一种认证方法、装置、会话管理功能实体、服务器及终端与流程

1.本发明涉及通信技术领域，尤其涉及一种认证方法、装置、会话管理功能实体、服务器及终端。


背景技术：

2.二次认证是接入5g网络执行首次认证之后执行的认证，主要提供了终端(ue)与外部数据网络(如，业务提供方)之间的业务认证以及相关密钥管理功能。二次认证实现5g网络与业务侧平台的配合，由业务侧平台执行认证，由5g网络承载认证消息并根据认证结果控制ue可否接入外部数据网络。与ue接入运营商网络时进行首次认证所使用的存储于usim(全球用户识别模块)的信任状不同，二次认证需要通过额外的信任状(如证书)来实现，且认证服务器位于外部数据网络。
3.初始二次认证之后，认证服务器或authenticator(认证方)视情况重新发起对ue的二次认证，包括以下情况：
①
服务器down掉(出故障、掉线、关掉等无法提供服务的情况)；
②
管理员在认证服务器上修改了某一用户的访问权限、授权属性等参数，此时如果用户已经在线，则需要及时对该用户进行重认证以确保用户的合法性；
③
在线超时重认证；
④
authenticator配置了定期的重认证；
⑤
认证失败。二次认证之后，如果用户下线、发现虚假登陆、认证授权改变或用户数过多，可发起二次认证状态撤销。其中：重认证的说法也可以用于遗留3gpp系统(例如，全球移动通信系统gsm、通用无线分组业务gprs、通用移动通信系统umts、长期演进lte(或系统架构演进sae))中，和当前的5g系统接入中。
4.对于外部数据网络来说，相比应用层的认证，二次认证使得对外部数据网络的访问控制发生在会话建立之前，避免恶意终端建立和外部数据网络之间的数据通道；使用二次认证也可以避免机卡分离，当终端尤其是物联网设备的卡被插到其他终端上时，由于攻击者所使用的终端不具备二次认证所使用的信任状，当攻击者在尝试接入某网络时，会因为无法通过二次认证而被拒绝，以保证数据网络的安全。对于5g网络来说，二次认证给运营商使能了为垂直行业提供安全服务的能力。
5.现有技术中，二次认证时smf(会话管理功能)向外发送gpsi(通用公开订阅标识)，gpsi是ue的标识，存放在udm(统一数据管理设备)中，smf可根据gpsi识别到ue。当aaa服务器决定向某个ue发起重认证及撤销二次认证时，向网络发送gpsi以便网络识别到ue，更新ue二次认证的状态，以及告知ue重新进行认证。
6.具体的，现有方案中，二次认证时smf向aaa服务器发送gpsi，当aaa服务器发起重认证及撤销二次认证时，会向网络发送该gpsi供网络识别ue来用，但该方案需要对已有aaa服务器做较大改造：传统aaa服务器只有eap id作为eap认证的用户标识，无法识别gpsi，因此应用该方案需aaa服务器增加存放ue的网络标识gpsi，并在重认证及撤销流程发起时需向smf发送gpsi。
7.由上可知，现有的认证方案存在暴露ue信息、需要服务器维护额外信息、改变服务器原有账号管理系统、实现成本高的问题。


技术实现要素：

8.本发明的目的在于提供一种认证方法、装置、会话管理功能实体、服务器及终端，以解决现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
9.为了解决上述技术问题，本发明实施例提供一种认证方法，应用于会话管理功能smf实体，包括：
10.接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；
11.根据所述服务器的地址，得到目标数据网络的标识；
12.根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；
13.根据所述ue id，触发对应终端与所述服务器进行重认证操作；
14.其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系。
15.可选的，所述根据所述ue id，触发对应终端与所述服务器进行重认证操作，包括：
16.根据所述ue id，向对应终端发送可扩展认证协议eap重认证身份请求；
17.接收所述终端根据所述eap重认证身份请求反馈的eap重认证身份响应；
18.将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证；
19.其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述重认证请求中携带的eap id相同或不同。
20.可选的，在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，还包括：
21.根据所述eap重认证身份响应中携带的eap id，更新所述第一映射关系。
22.可选的，所述根据所述eap重认证身份响应中携带的eap id，更新所述第一映射关系，包括：
23.将所述第一映射关系中的eap id更新为所述eap重认证身份响应中携带的eap id。
24.可选的，所述第一映射关系包括至少一个所述映射关系，每一所述映射关系对应一个二次认证状态信息；
25.所述根据所述ue id，触发对应终端与所述服务器进行重认证操作，还包括：
26.在将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证之后，接收所述服务器发送的eap重认证结果信息；
27.在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，还包括：
28.根据所述eap重认证结果信息，更新所述第一映射关系中的二次认证状态信息。
29.可选的，在接收服务器发送的重认证请求之前，还包括：
30.在所述重认证操作对应的二次认证操作的过程中，获取ue id、目标数据网络的标识以及eap id；并根据获取的ue id、目标数据网络的标识以及eap id，得到所述映射关系。
31.可选的，在接收服务器发送的重认证请求之前，还包括：
32.获取所述二次认证操作的认证结果信息，作为得到的所述映射关系的二次认证状态信息。
33.可选的，所述获取ue id、目标数据网络的标识以及eap id，包括：
34.接收所述终端发送的协议数据单元pdu会话建立请求；
35.从所述pdu会话建立请求中获取ue id、目标数据网络的标识以及eap id，所述pdu会话建立请求中携带的eap id与所述重认证请求中携带的eap id相同；或者，
36.接收所述终端发送的pdu会话建立请求；
37.从所述pdu会话建立请求中获取ue id和目标数据网络的标识，并根据所述pdu会话建立请求向所述终端发送可扩展认证协议eap身份请求；
38.接收所述终端根据所述eap身份请求反馈的eap身份响应；
39.从所述eap身份响应中获取eap id；
40.其中，所述eap身份响应中携带的eap id与所述重认证请求中携带的eap id相同。
41.可选的，所述第一映射关系及二次认证状态信息均存储在本地或者统一数据管理设备udm中。
42.本发明实施例还提供了一种认证方法，应用于服务器，包括：
43.向会话管理功能smf实体发送重认证请求；
44.其中，所述重认证请求中携带有可扩展认证协议身份标识eap id。
45.可选的，在向会话管理功能smf实体发送重认证请求之后，还包括：
46.接收所述smf实体发送的可扩展认证协议eap重认证身份响应；
47.根据所述eap重认证身份响应，与对应的终端之间进行eap重认证。
48.可选的，在根据所述eap重认证身份响应，与对应的终端之间进行eap重认证之后，还包括：
49.将eap重认证结果信息发送给所述smf实体。
50.本发明实施例还提供了一种认证方法，应用于终端，包括：
51.接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求；
52.根据所述eap重认证身份请求，向所述smf实体反馈eap重认证身份响应；
53.其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述smf实体接收到的重认证请求中携带的eap id相同或不同。
54.可选的，所述根据所述eap重认证身份请求，向所述smf实体反馈eap重认证身份响应，包括：
55.确定eap id；
56.生成包含所述eap id的eap重认证身份响应；
57.将生成的所述eap重认证身份响应反馈给所述smf实体。
58.可选的，在接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求之前，还包括：
59.在所述重认证请求相对应的重认证操作所对应的二次认证操作的过程中，向所述smf实体发送协议数据单元pdu会话建立请求；所述pdu会话建立请求中携带有ue id、目标数据网络的标识以及eap id，所述pdu会话建立请求中携带的eap id与所述重认证请求中携带的eap id相同；或者，
60.在所述重认证请求相对应的重认证操作所对应的二次认证操作的过程中，向所述smf实体发送协议数据单元pdu会话建立请求；所述pdu会话建立请求中携带有ue id和目标
数据网络的标识；
61.接收所述smf实体根据所述pdu会话建立请求发送的可扩展认证协议eap身份请求；
62.根据所述eap身份请求向所述smf实体反馈eap身份响应；
63.其中，所述eap身份响应中携带有eap id，所述eap身份响应中携带的eap id与所述重认证请求中携带的eap id相同。
64.本发明实施例还提供了一种认证装置，应用于会话管理功能smf实体，包括：
65.第一接收模块，用于接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；
66.第一处理模块，用于根据所述服务器的地址，得到目标数据网络的标识；
67.第二处理模块，用于根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；
68.第一触发模块，用于根据所述ue id，触发对应终端与所述服务器进行重认证操作；
69.其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系。
70.可选的，所述第一触发模块，包括：
71.第一发送子模块，用于根据所述ue id，向对应终端发送可扩展认证协议eap重认证身份请求；
72.第一接收子模块，用于接收所述终端根据所述eap重认证身份请求反馈的eap重认证身份响应；
73.第一触发子模块，用于将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证；
74.其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述重认证请求中携带的eap id相同或不同。
75.可选的，还包括：
76.第一更新模块，用于在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，根据所述eap重认证身份响应中携带的eap id，更新所述第一映射关系。
77.可选的，所述第一更新模块，包括：
78.第一更新子模块，用于将所述第一映射关系中的eap id更新为所述eap重认证身份响应中携带的eap id。
79.可选的，所述第一映射关系包括至少一个所述映射关系，每一所述映射关系对应一个二次认证状态信息；
80.所述第一触发模块，还包括：
81.第二接收子模块，用于在将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证之后，接收所述服务器发送的eap重认证结果信息；
82.所述认证装置还包括：
83.第二更新模块，用于在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，根据所述eap重认证结果信息，更新所述第一映射关系中的二次认证状态信息。
84.可选的，还包括：
85.第三处理模块，用于在接收服务器发送的重认证请求之前，在所述重认证操作对应的二次认证操作的过程中，获取ue id、目标数据网络的标识以及eap id；并根据获取的ue id、目标数据网络的标识以及eap id，得到所述映射关系。
86.可选的，还包括：
87.第一获取模块，用于在接收服务器发送的重认证请求之前，获取所述二次认证操作的认证结果信息，作为得到的所述映射关系的二次认证状态信息。
88.可选的，所述第三处理模块，包括：
89.第三接收子模块，用于接收所述终端发送的协议数据单元pdu会话建立请求；
90.第一获取子模块，用于从所述pdu会话建立请求中获取ue id、目标数据网络的标识以及eap id，所述pdu会话建立请求中携带的eap id与所述重认证请求中携带的eap id相同；或者，
91.第四接收子模块，用于接收所述终端发送的pdu会话建立请求；
92.第一处理子模块，用于从所述pdu会话建立请求中获取ue id和目标数据网络的标识，并根据所述pdu会话建立请求向所述终端发送可扩展认证协议eap身份请求；
93.第五接收子模块，用于接收所述终端根据所述eap身份请求反馈的eap身份响应；
94.第二获取子模块，用于从所述eap身份响应中获取eap id；
95.其中，所述eap身份响应中携带的eap id与所述重认证请求中携带的eap id相同。
96.可选的，所述第一映射关系及二次认证状态信息均存储在本地或者统一数据管理设备udm中。
97.本发明实施例还提供了一种认证装置，应用于服务器，包括：
98.第一发送模块，用于向会话管理功能smf实体发送重认证请求；
99.其中，所述重认证请求中携带有可扩展认证协议身份标识eap id。
100.可选的，还包括：
101.第二接收模块，用于在向会话管理功能smf实体发送重认证请求之后，接收所述smf实体发送的可扩展认证协议eap重认证身份响应；
102.第一认证模块，用于根据所述eap重认证身份响应，与对应的终端之间进行eap重认证。
103.可选的，还包括：
104.第二发送模块，用于在根据所述eap重认证身份响应，与对应的终端之间进行eap重认证之后，将eap重认证结果信息发送给所述smf实体。
105.本发明实施例还提供了一种认证装置，应用于终端，包括：
106.第三接收模块，用于接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求；
107.第一反馈模块，用于根据所述eap重认证身份请求，向所述smf实体反馈eap重认证身份响应；
108.其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述smf实体接收到的重认证请求中携带的eap id相同或不同。
109.可选的，所述第一反馈模块，包括：
110.第一确定子模块，用于确定eap id；
111.第一生成子模块，用于生成包含所述eap id的eap重认证身份响应；
112.第一反馈子模块，用于将生成的所述eap重认证身份响应反馈给所述smf实体。
113.本发明实施例还提供了一种会话管理功能实体，包括：处理器和收发机；
114.所述处理器，用于利用所述收发机接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；
115.根据所述服务器的地址，得到目标数据网络的标识；
116.根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；
117.根据所述ue id，触发对应终端与所述服务器进行重认证操作；
118.其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系。
119.可选的，所述处理器具体用于：
120.根据所述ue id，利用所述收发机向对应终端发送可扩展认证协议eap重认证身份请求；
121.利用所述收发机接收所述终端根据所述eap重认证身份请求反馈的eap重认证身份响应；
122.利用所述收发机将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证；
123.其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述重认证请求中携带的eap id相同或不同。
124.可选的，处理器还用于：
125.在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，根据所述eap重认证身份响应中携带的eap id，更新所述第一映射关系。
126.可选的，所述处理器具体用于：
127.将所述第一映射关系中的eap id更新为所述eap重认证身份响应中携带的eap id。
128.可选的，所述第一映射关系包括至少一个所述映射关系，每一所述映射关系对应一个二次认证状态信息；
129.所述处理器还用于：
130.在将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证之后，利用所述收发机接收所述服务器发送的eap重认证结果信息；
131.所述处理器还用于：
132.在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，根据所述eap重认证结果信息，更新所述第一映射关系中的二次认证状态信息。
133.可选的，所述处理器还用于：
134.在接收服务器发送的重认证请求之前，在所述重认证操作对应的二次认证操作的过程中，获取ue id、目标数据网络的标识以及eap id；并根据获取的ue id、目标数据网络的标识以及eap id，得到所述映射关系。
135.可选的，所述处理器还用于：
136.在接收服务器发送的重认证请求之前，获取所述二次认证操作的认证结果信息，作为得到的所述映射关系的二次认证状态信息。
137.可选的，所述处理器具体用于：
138.利用所述收发机接收所述终端发送的协议数据单元pdu会话建立请求；
139.从所述pdu会话建立请求中获取ue id、目标数据网络的标识以及eap id，所述pdu会话建立请求中携带的eap id与所述重认证请求中携带的eap id相同；或者，
140.利用所述收发机接收所述终端发送的pdu会话建立请求；
141.从所述pdu会话建立请求中获取ue id和目标数据网络的标识，并根据所述pdu会话建立请求利用所述收发机向所述终端发送可扩展认证协议eap身份请求；
142.利用所述收发机接收所述终端根据所述eap身份请求反馈的eap身份响应；
143.从所述eap身份响应中获取eap id；
144.其中，所述eap身份响应中携带的eap id与所述重认证请求中携带的eap id相同。
145.可选的，所述第一映射关系及二次认证状态信息均存储在本地或者统一数据管理设备udm中。
146.本发明实施例还提供了一种服务器，包括：处理器和收发机；
147.所述处理器，用于利用所述收发机向会话管理功能smf实体发送重认证请求；
148.其中，所述重认证请求中携带有可扩展认证协议身份标识eap id。
149.可选的，所述处理器还用于：
150.在向会话管理功能smf实体发送重认证请求之后，利用所述收发机接收所述smf实体发送的可扩展认证协议eap重认证身份响应；
151.根据所述eap重认证身份响应，与对应的终端之间进行eap重认证。
152.可选的，所述处理器还用于：
153.在根据所述eap重认证身份响应，与对应的终端之间进行eap重认证之后，利用所述收发机将eap重认证结果信息发送给所述smf实体。
154.本发明实施例还提供了一种终端，包括：处理器和收发机；
155.所述处理器，用于利用所述收发机接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求；
156.根据所述eap重认证身份请求，利用所述收发机向所述smf实体反馈eap重认证身份响应；
157.其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述smf实体接收到的重认证请求中携带的eap id相同或不同。
158.可选的，所述处理器具体用于：
159.确定eap id；
160.生成包含所述eap id的eap重认证身份响应；
161.利用所述收发机将生成的所述eap重认证身份响应反馈给所述smf实体。
162.本发明实施例还提供了一种会话管理功能实体，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器执行所述程序时实现上述会话管理功能实体侧的认证方法。
163.本发明实施例还提供了一种服务器，包括存储器、处理器及存储在所述存储器上
并可在所述处理器上运行的程序；所述处理器执行所述程序时实现上述服务器侧的认证方法。
164.本发明实施例还提供了一种终端，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器执行所述程序时实现上述终端侧的认证方法。
165.本发明实施例还提供了一种可读存储介质，其上存储有程序，该程序被处理器执行时实现上述会话管理功能实体侧、服务器侧或终端侧的认证方法中的步骤。
166.本发明的上述技术方案的有益效果如下：
167.上述方案中，通过接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；根据所述服务器的地址，得到目标数据网络的标识；根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；根据所述ue id，触发对应终端与所述服务器进行重认证操作；其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系；能够实现在核心网网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
附图说明
168.图1为本发明实施例的认证方法流程示意图一；
169.图2为本发明实施例的认证方法流程示意图二；
170.图3为本发明实施例的认证方法流程示意图三；
171.图4为本发明实施例的ue id、eap id以及dnn对应关系示意图；
172.图5为本发明实施例的二次认证流程示意图；
173.图6为本发明实施例的重认证流程示意图；
174.图7为本发明实施例的认证装置结构示意图一；
175.图8为本发明实施例的认证装置结构示意图二；
176.图9为本发明实施例的认证装置结构示意图三；
177.图10为本发明实施例的会话管理功能实体结构示意图；
178.图11为本发明实施例的服务器结构示意图；
179.图12为本发明实施例的终端结构示意图。
具体实施方式
180.为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。
181.本发明针对现有的技术中认证方案存在暴露ue信息、实现和维护成本高的问题，提供一种认证方法，应用于会话管理功能smf实体，如图1所示，包括：
182.步骤11：接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；
183.步骤12：根据所述服务器的地址，得到目标数据网络的标识；
184.步骤13：根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；
185.步骤14：根据所述ue id，触发对应终端与所述服务器进行重认证操作；
186.其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系。
187.目标数据网络的标识可以是数据网络名称dnn，但并不以此为限。
188.本发明实施例提供的所述认证方法通过接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；根据所述服务器的地址，得到目标数据网络的标识；根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；根据所述ue id，触发对应终端与所述服务器进行重认证操作；其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系；能够实现在核心网网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
189.具体的，所述根据所述ue id，触发对应终端与所述服务器进行重认证操作，包括：根据所述ue id，向对应终端发送可扩展认证协议eap重认证身份请求；接收所述终端根据所述eap重认证身份请求反馈的eap重认证身份响应；将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证；其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述重认证请求中携带的eap id相同或不同。
190.进一步的，在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，还包括：根据所述eap重认证身份响应中携带的eap id，更新所述第一映射关系。
191.具体的，所述根据所述eap重认证身份响应中携带的eap id，更新所述第一映射关系，包括：将所述第一映射关系中的eap id更新为所述eap重认证身份响应中携带的eap id。
192.本发明实施例中，所述第一映射关系包括至少一个所述映射关系，每一所述映射关系对应一个二次认证状态信息；所述根据所述ue id，触发对应终端与所述服务器进行重认证操作，还包括：在将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证之后，接收所述服务器发送的eap重认证结果信息；在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，还包括：根据所述eap重认证结果信息，更新所述第一映射关系中的二次认证状态信息。
193.其中，一旦开启了重认证流程，也可理解为smf实体接收到服务器发送的重认证请求，那么就表示二次认证的结果不被认可，因此，二次认证得到的上述二次认证状态信息也就是不被认可的，不可以根据二次认证状态信息执行后续操作；但是，具体实现中，如果重认证流程未正常完成(比如中断)，而无法得到上述eap重认证结果信息以获取最终的二次认证状态信息，那么就可能造成smf执行存在风险的操作，比如：
194.二次认证得到的上述二次认证状态信息为成功，在重认证的过程中由于某些原因
导致了认证中断，这时由于重认证流程未完成，故也无法得到eap重认证结果信息，无法更新二次认证状态信息，所以，二次认证状态信息仍然标记为成功；后续smf就会认为认证结果是成功，执行操作是安全的，从而执行了与该次重认证流程对应的操作(比如建立终端与目标数据网络之间的链接)；但实际上重认证并未完成，而且由于启动了重认证，所以与该次重认证流程对应的操作可能是存在风险的，一旦smf执行了该次重认证流程对应的操作就可能存在安全风险；
195.故，为了避免上述这种类似的情况，本发明实施例中，在接收服务器发送的重认证请求，以及根据所述服务器的地址，得到目标数据网络的标识之后，根据所述ue id，触发对应终端与所述服务器进行重认证操作之前，还可以包括：(先)将重认证请求中携带的eap id和目标数据网络的标识所对应的映射关系对应的二次认证状态信息设置为失败。
196.这样可以防止重认证流程未正常结束的情况下，smf根据二次认证状态信息(信息为成功)执行存在风险的操作。
197.进一步的，在接收服务器发送的重认证请求之前，还包括：在所述重认证操作对应的二次认证操作的过程中，获取ue id、目标数据网络的标识以及eap id；并根据获取的ue id、目标数据网络的标识以及eap id，得到所述映射关系。
198.具体的，可以理解为：重认证操作与二次认证操作之间存在对应关系，重认证操作是针对二次认证操作之后的再次认证操作。
199.更进一步的，在接收服务器发送的重认证请求之前，还包括：获取所述二次认证操作的认证结果信息，作为得到的所述映射关系的二次认证状态信息。
200.具体的，所述获取ue id、目标数据网络的标识以及eap id，包括：接收所述终端发送的协议数据单元pdu会话建立请求；从所述pdu会话建立请求中获取ue id、目标数据网络的标识以及eap id，所述pdu会话建立请求中携带的eap id与所述重认证请求中携带的eap id相同；或者，接收所述终端发送的pdu会话建立请求；从所述pdu会话建立请求中获取ue id和目标数据网络的标识，并根据所述pdu会话建立请求向所述终端发送可扩展认证协议eap身份请求；接收所述终端根据所述eap身份请求反馈的eap身份响应；从所述eap身份响应中获取eap id；其中，所述eap身份响应中携带的eap id与所述重认证请求中携带的eap id相同。
201.本发明实施例中，所述第一映射关系及二次认证状态信息均存储在本地或者统一数据管理设备udm中。
202.本发明实施例还提供了一种认证方法，应用于服务器，如图2所示，包括：
203.步骤21：向会话管理功能smf实体发送重认证请求；
204.其中，所述重认证请求中携带有可扩展认证协议身份标识eap id。
205.本发明实施例提供的所述认证方法通过向会话管理功能smf实体发送重认证请求；其中，所述重认证请求中携带有可扩展认证协议身份标识eap id；能够实现支撑实现在核心网网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
206.进一步的，在向会话管理功能smf实体发送重认证请求之后，还包括：接收所述smf实体发送的可扩展认证协议eap重认证身份响应；根据所述eap重认证身份响应，与对应的终端之间进行eap重认证。
207.更进一步的，在根据所述eap重认证身份响应，与对应的终端之间进行eap重认证之后，还包括：将eap重认证结果信息发送给所述smf实体。
208.这样可以支撑smf针对映射关系对应的认证状态的更新。
209.本发明实施例还提供了一种认证方法，应用于终端，如图3所述，包括：
210.步骤31：接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求；
211.步骤32：根据所述eap重认证身份请求，向所述smf实体反馈eap重认证身份响应；
212.其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述smf实体接收到的重认证请求中携带的eap id相同或不同。
213.本发明实施例提供的所述认证方法通过接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求；根据所述eap重认证身份请求，向所述smf实体反馈eap重认证身份响应；其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述smf实体接收到的重认证请求中携带的eap id相同或不同；能够实现支撑实现在核心网网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
214.具体的，所述根据所述eap重认证身份请求，向所述smf实体反馈eap重认证身份响应，包括：确定eap id；生成包含所述eap id的eap重认证身份响应；将生成的所述eap重认证身份响应反馈给所述smf实体。
215.这样可以实现允许对于eap id进行重新设置。
216.进一步的，在接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求之前，还包括：在所述重认证请求相对应的重认证操作所对应的二次认证操作的过程中，向所述smf实体发送协议数据单元pdu会话建立请求；所述pdu会话建立请求中携带有ue id、目标数据网络的标识以及eap id，所述pdu会话建立请求中携带的eap id与所述重认证请求中携带的eap id相同；或者，在所述重认证请求相对应的重认证操作所对应的二次认证操作的过程中，向所述smf实体发送协议数据单元pdu会话建立请求；所述pdu会话建立请求中携带有ue id和目标数据网络的标识；接收所述smf实体根据所述pdu会话建立请求发送的可扩展认证协议eap身份请求；根据所述eap身份请求向所述smf实体反馈eap身份响应；其中，所述eap身份响应中携带有eap id，所述eap身份响应中携带的eap id与所述重认证请求中携带的eap id相同。
217.这样可以支撑smf得到映射关系并维护。
218.下面结合smf实体、服务器以及终端等多侧对本发明实施例提供的所述认证方法进行进一步说明，其中，目标数据网络的标识以dnn为例，服务器以aaa(验证、授权和记账)服务器为例。
219.针对上述技术问题，考虑到：(1)二次认证可基于eap(可扩展认证协议)实现，由5g
网元smf(会话管理功能)充当eap认证中的authenticator(认证方)，由5g网络的信令通道(非接入层nas信令 n4接口(smf和用户面功能upf之间的接口))承载认证授权消息交换，由5g网络的网元来触发二次认证及根据aaa(验证、授权和记账)服务器的认证结果决定是否为访问该数据网络建立pdu(协议数据单元)会话，即是否允许ue接入外部数据网络；
220.(2)用户通过ue接入运营商网络，并访问外部数据网络；ue有多个身份标识id，其中，作为外部数据网络的访问用户，终端设备在外部数据网络的签约id为user id for dn(数据网络dn的用户身份标识)，针对不同dn可能有多个user id；作为运营商网络的访问用户，其与sim(用户识别模块)卡绑定用于入网的身份标识，即终端设备在运营商网络的签约id为ue id；外部数据网络标识为dnn(数据网络名称)；user id for dn也即对应的外部数据网络dnn执行eap认证时使用的eap id；具体的，ue id，eap id以及dnn对应的关系如图4所示；
221.本发明实施例提供了一种认证方法，涉及：在核心网网元中维护并使用eap id-ue id-dnn三者的映射关系：在二次认证时增加映射条目，在重认证时(利用映射关系)使用eap id作为键值取得ue id定位终端，并更新映射条目，不需发送gpsi，也不需要aaa服务器维护gpsi。
222.本方案具体可实现为一种5g网络二次认证重认证的方法：
223.1.架构概述
224.aaa server(即aaa服务器)位于外部数据网络，负责执行对该外部数据网络访问的认证授权。核心网网元smf负责启动二次认证，在ue和aaa server之间传递eap消息，保存二次认证的状态和ue多身份的关系(以eap id
–
ue id-dnn的映射表形式)，保存eap id的认证授权关系。
225.映射表为四元组：ue id，dnn，eap id，认证状态(成功、失败)其中ue id-dnn为主键。
226.2.实现流程
227.(1)关于二次认证流程具体可如图5所示，包括：
228.步骤51：终端向smf(authenticator，认证方)发送pdu会话建立请求(携带ue id，dnn，pdu会话id)；
229.具体的，终端开机注册，基于运营商网络接入凭证对ue id(即订阅永久标识符supi)执行首次认证，并建立和网络的nas(非接入层)安全上下文。
230.终端启动应用，触发对(ue要访问的)dn的pdu会话建立请求，具体可发送网络切片标识(即单个-网络切片选择辅助信息s-nssai)、数据网络名字dnn、pdu会话id以及请求类型。amf(接入和移动管理功能，图中未体现)选择smf并向其发送supi、pdu会话id、s-nssai以及dnn。
231.步骤52：smf获取订阅信息及本地策略，验证ue请求，判断是否允许ue请求，是否需执行二次认证，该dn是否已认证过该ue；
232.具体的，smf根据supi从udm(图中未体现)中获取订阅数据，smf检查ue请求中的数据是否符合用户订阅；检查与dn相关的smf策略是否要求二次认证授权；检查ue是否已被该dn或者同一个aaa服务器认证和/或授权(认证授权成功的消息可能存在smf或udm中)，如果需要则进行二次认证，进入步骤53。
233.步骤53：smf启动eap认证；
234.具体的，smf启动与aaa服务器之间的eap认证。
235.步骤54：smf向终端发送eap-request/identity(eap身份请求)；
236.也就是，smf发送eap request/identity给ue(终端)。在此说明，eap request/identity表示eap request(eap请求) identity(请求分类为身份)，具体是指eap请求中的身份请求，也就是上述eap身份请求；同理的，以下的eap-response/identity是指eap响应中的身份响应，也就是上述eap身份响应。
237.步骤55：终端向smf反馈eap-response/identity；
238.具体的，ue以eap response/identity协议包发送针对该dn的用户标识eap id，该内容也可以在步骤51发送，在此不作限定。
239.步骤56：smf获取eap id；
240.步骤57：smf建立n4会话，根据ue请求和本地策略识别aaa服务器；
241.具体的，smf选择upf，建立n4会话，根据ue请求的dnn和本地策略识别aaa服务器；
242.步骤58：smf借由upf向aaa服务器发送eap-response/identity；
243.具体的，smf将eap request/identity通过n4会话经upf转发给aaa服务器；
244.步骤59：终端与aaa服务器之间交互eap-request/eap-response messages(即eap请求和eap应答消息，via n4 and nas(通过n4和nas))；
245.具体的，aaa服务器和终端按照eap方法要求通过nas信令和n4会话交换eap信息，执行eap认证；
246.步骤510：aaa服务器借由upf向smf发送eap-success(eap成功)，or(或者)，步骤510a：aaa服务器借由upf向smf发送eap-failure(eap失败)；
247.具体的，如果认证成功，aaa服务器发送eap success消息给smf；如果认证失败，aaa服务器发送eap failure消息给smf。
248.步骤511：smf建立eap id、dnn和ue id的映射关系；
249.具体的，smf建立eap id、dnn和ue id(即supi)之间的映射条目(即上述第一映射关系)，也可以存在udm中，其中，如果接到eap success，则条目的认证状态位设置为成功(即上述二次认证状态信息为成功)，如果接到eap failure，则条目的认证状态位设置为失败(即上述二次认证状态信息为失败)。
250.步骤512：smf向终端发送eap-success(与步骤510对应)；or，步骤512a：smf向终端发送eap-failure(与步骤510a对应)；
251.具体的，smf将认证成功或失败消息发送给终端。
252.(2)关于重认证流程具体可如图6所示，包括：
253.步骤60：二次认证，smf存下eap id-dnn-ue id的映射关系；
254.具体的，在之前的二次认证中，smf已存下eapid、dnn和ueid的映射关系；
255.步骤61：smf决定并发起重认证；or，步骤61a：aaa服务器决定并发起重认证；步骤61b：aaa服务器借由upf向smf发送重认证请求(携带eap id)；
256.具体的，smf或aaa服务器均可以按照策略在特定情况下发起重认证，如果aaa服务器发起，重认证请求将从aaa服务器发送给smf，且携带要执行重认证的用户的eap id；
257.步骤62：smf根据eap id和dnn映射得到ue id，以识别ue；
258.具体的，smf根据aaa服务器的地址得到dnn，根据eap id和dnn从映射表中得到ue id，用于识别ue；并将eap id-dnn的映射条目的状态设置为失败。
259.步骤63：smf向终端发送eap-request/re-auth identity(eap重认证身份请求)；
260.具体的，smf启动与aaa服务器之间的eap认证，smf发送eaprequest/re-auth identity给识别到的ue(s)。在此说明，eap request/re-auth identity表示eap request(eap请求) re-auth identity(请求分类为重认证身份)，具体是指eap请求中的重认证身份请求，也就是上述eap重认证身份请求；同理的，以下的eap-response/re-auth identity是指eap响应中的重认证身份响应，也就是上述eap重认证身份响应。
261.步骤64：终端向smf反馈eap-response/re-auth identity(eap重认证身份响应)；
262.具体的，ue以eap response/re-auth identity协议包发送针对该dn的用户标识eap id(可能与步骤61b中的不同，可以是重新输入的)；
263.步骤65：smf获取eap id；
264.步骤66：smf借由upf向aaa服务器发送eap-response/re-auth identity；
265.也就是，smf将eap response/re-auth identity发给aaa服务器；
266.步骤67：终端与aaa服务器之间交互eap-request/eap-response messages(via n4 and nas)；
267.具体的，aaa服务器和终端按照eap方法要求通过nas信令和n4会话交换eap信息，执行eap认证；
268.步骤68：aaa服务器借由upf向smf发送eap-success，or，步骤68a：aaa服务器借由upf向smf发送eap-failure；
269.具体的，如果认证成功，aaa服务器发送eap success消息给smf；如果认证失败，aaa服务器发送eap failure消息给smf。
270.步骤69：smf更新ue id、dnn和eap id的映射关系；
271.具体的，更新eap id、dnn和ue id(即supi)之间的映射条目(覆盖旧信息)，且，如果接到eap success，则条目的认证状态位更新为成功，如果接到eap failure，则条目的认证状态位仍为失败。
272.步骤610：smf向终端发送eap-success(与步骤68对应)；or，步骤610a：smf向终端发送eap-failure(与步骤68a对应)；
273.具体的，smf将认证成功或失败消息发送给终端。
274.由上可知，本发明实施例提供的方案主要涉及：
275.(1)在5g网络中触发二次认证重认证的方法：二次认证时，在smf或udm中建立eap id、dnn和ue id(即supi)之间的映射条目及二次认证状态；当二次认证(的)重认证时，aaa服务器发送需重认证的eap id给smf，smf根据收到的eap id及映射表寻找ue id以定位ue并触发二次认证重认证，二次认证重认证后更新eap id、dnn和ue id(即supi)之间的映射条目及二次认证状态。
276.(2)对smf的新增功能：1)二次认证时，smf中建立eap id、dnn和ue id(即supi)之间的映射条目，并根据二次认证的结果设置条目的认证状态位为成功或失败；2)二次认证重认证时，根据收到的eap id及映射表寻找ue id，二次认证重认证后更新eap id、dnn和ue id(即supi)之间的映射条目，并根据二次认证重认证的结果设置条目的认证状态位为成功
或失败。关于映射条目以及条目的认证状态可以均存储在smf或者udm，在此不作限定。
277.综上，本发明实施例提供的方案：
278.1.不需向外部数据网络暴露ue信息，传递的是eap id而不是gpsi；
279.2.不需要aaa服务器维护gpsi，不改变aaa服务器原有账号管理系统。
280.在此说明，本发明实施例中上述涉及的重认证具体可以是指外部数据网络二次认证的重认证，但并不以此为限。
281.本发明实施例还提供了一种认证装置，应用于会话管理功能smf实体，如图7所示，包括：
282.第一接收模块71，用于接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；
283.第一处理模块72，用于根据所述服务器的地址，得到目标数据网络的标识；
284.第二处理模块73，用于根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；
285.第一触发模块74，用于根据所述ue id，触发对应终端与所述服务器进行重认证操作；
286.其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系。
287.本发明实施例提供的所述认证装置通过接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；根据所述服务器的地址，得到目标数据网络的标识；根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；根据所述ue id，触发对应终端与所述服务器进行重认证操作；其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系；能够实现在核心网网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
288.具体的，所述第一触发模块，包括：第一发送子模块，用于根据所述ue id，向对应终端发送可扩展认证协议eap重认证身份请求；第一接收子模块，用于接收所述终端根据所述eap重认证身份请求反馈的eap重认证身份响应；第一触发子模块，用于将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证；其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述重认证请求中携带的eap id相同或不同。
289.进一步的所述的认证装置，还包括：第一更新模块，用于在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，根据所述eap重认证身份响应中携带的eap id，更新所述第一映射关系。
290.具体的，所述第一更新模块，包括：第一更新子模块，用于将所述第一映射关系中的eap id更新为所述eap重认证身份响应中携带的eap id。
291.本发明实施例中，所述第一映射关系包括至少一个所述映射关系，每一所述映射
关系对应一个二次认证状态信息；所述第一触发模块，还包括：第二接收子模块，用于在将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证之后，接收所述服务器发送的eap重认证结果信息；所述认证装置还包括：第二更新模块，用于在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，根据所述eap重认证结果信息，更新所述第一映射关系中的二次认证状态信息。
292.进一步的，所述的认证装置，还包括：第三处理模块，用于在接收服务器发送的重认证请求之前，在所述重认证操作对应的二次认证操作的过程中，获取ue id、目标数据网络的标识以及eap id；并根据获取的ue id、目标数据网络的标识以及eap id，得到所述映射关系。
293.更进一步的，所述的认证装置，还包括：第一获取模块，用于在接收服务器发送的重认证请求之前，获取所述二次认证操作的认证结果信息，作为得到的所述映射关系的二次认证状态信息。
294.具体的，所述第三处理模块，包括：第三接收子模块，用于接收所述终端发送的协议数据单元pdu会话建立请求；第一获取子模块，用于从所述pdu会话建立请求中获取ue id、目标数据网络的标识以及eap id，所述pdu会话建立请求中携带的eap id与所述重认证请求中携带的eap id相同；或者，第四接收子模块，用于接收所述终端发送的pdu会话建立请求；第一处理子模块，用于从所述pdu会话建立请求中获取ue id和目标数据网络的标识，并根据所述pdu会话建立请求向所述终端发送可扩展认证协议eap身份请求；第五接收子模块，用于接收所述终端根据所述eap身份请求反馈的eap身份响应；第二获取子模块，用于从所述eap身份响应中获取eap id；其中，所述eap身份响应中携带的eap id与所述重认证请求中携带的eap id相同。
295.本发明实施例中，所述第一映射关系及二次认证状态信息均存储在本地或者统一数据管理设备udm中。
296.其中，上述会话管理功能实体侧的认证方法的所述实现实施例均适用于该认证装置的实施例中，也能达到相同的技术效果。
297.本发明实施例还提供了一种认证装置，应用于服务器，如图8所示，包括：
298.第一发送模块81，用于向会话管理功能smf实体发送重认证请求；
299.其中，所述重认证请求中携带有可扩展认证协议身份标识eap id。
300.本发明实施例提供的所述认证装置通过向会话管理功能smf实体发送重认证请求；其中，所述重认证请求中携带有可扩展认证协议身份标识eap id；能够实现支撑实现在核心网网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
301.进一步的，所述的认证装置，还包括：第二接收模块，用于在向会话管理功能smf实体发送重认证请求之后，接收所述smf实体发送的可扩展认证协议eap重认证身份响应；第一认证模块，用于根据所述eap重认证身份响应，与对应的终端之间进行eap重认证。
302.更进一步的，所述的认证装置，还包括：第二发送模块，用于在根据所述eap重认证
身份响应，与对应的终端之间进行eap重认证之后，将eap重认证结果信息发送给所述smf实体。
303.其中，上述服务器侧的认证方法的所述实现实施例均适用于该认证装置的实施例中，也能达到相同的技术效果。
304.本发明实施例还提供了一种认证装置，应用于终端，如图9所示，包括：
305.第三接收模块91，用于接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求；
306.第一反馈模块92，用于根据所述eap重认证身份请求，向所述smf实体反馈eap重认证身份响应；
307.其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述smf实体接收到的重认证请求中携带的eap id相同或不同。
308.本发明实施例提供的所述认证装置通过接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求；根据所述eap重认证身份请求，向所述smf实体反馈eap重认证身份响应；其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述smf实体接收到的重认证请求中携带的eap id相同或不同；能够实现支撑实现在核心网网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
309.具体的，所述第一反馈模块，包括：第一确定子模块，用于确定eap id；第一生成子模块，用于生成包含所述eap id的eap重认证身份响应；第一反馈子模块，用于将生成的所述eap重认证身份响应反馈给所述smf实体。
310.其中，上述终端侧的认证方法的所述实现实施例均适用于该认证装置的实施例中，也能达到相同的技术效果。
311.本发明实施例还提供了一种会话管理功能实体，如图10所示，包括：处理器101和收发机102；
312.所述处理器101，用于利用所述收发机102接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；
313.根据所述服务器的地址，得到目标数据网络的标识；
314.根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；
315.根据所述ue id，触发对应终端与所述服务器进行重认证操作；
316.其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系。
317.本发明实施例提供的所述会话管理功能实体通过接收服务器发送的重认证请求，所述重认证请求中携带有可扩展认证协议身份标识eap id；根据所述服务器的地址，得到目标数据网络的标识；根据所述eap id、目标数据网络的标识以及第一映射关系，得到终端标识ue id；根据所述ue id，触发对应终端与所述服务器进行重认证操作；其中，所述第一映射关系包括eap id、目标数据网络的标识以及ue id之间的映射关系；能够实现在核心网
网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
318.具体的，所述处理器具体用于：根据所述ue id，利用所述收发机向对应终端发送可扩展认证协议eap重认证身份请求；利用所述收发机接收所述终端根据所述eap重认证身份请求反馈的eap重认证身份响应；利用所述收发机将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证；其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述重认证请求中携带的eap id相同或不同。
319.进一步的，处理器还用于：在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，根据所述eap重认证身份响应中携带的eap id，更新所述第一映射关系。
320.具体的，所述处理器具体用于：将所述第一映射关系中的eap id更新为所述eap重认证身份响应中携带的eap id。
321.本发明实施例中，所述第一映射关系包括至少一个所述映射关系，每一所述映射关系对应一个二次认证状态信息；所述处理器还用于：在将所述eap重认证身份响应发送给所述服务器，触发所述终端与所述服务器进行eap重认证之后，利用所述收发机接收所述服务器发送的eap重认证结果信息；所述处理器还用于：在根据所述ue id，触发对应终端与所述服务器进行重认证操作之后，根据所述eap重认证结果信息，更新所述第一映射关系中的二次认证状态信息。
322.进一步的，所述处理器还用于：在接收服务器发送的重认证请求之前，在所述重认证操作对应的二次认证操作的过程中，获取ue id、目标数据网络的标识以及eap id；并根据获取的ue id、目标数据网络的标识以及eap id，得到所述映射关系。
323.更进一步的，所述处理器还用于：在接收服务器发送的重认证请求之前，获取所述二次认证操作的认证结果信息，作为得到的所述映射关系的二次认证状态信息。
324.具体的，所述处理器具体用于：利用所述收发机接收所述终端发送的协议数据单元pdu会话建立请求；从所述pdu会话建立请求中获取ue id、目标数据网络的标识以及eap id，所述pdu会话建立请求中携带的eap id与所述重认证请求中携带的eap id相同；或者，利用所述收发机接收所述终端发送的pdu会话建立请求；从所述pdu会话建立请求中获取ue id和目标数据网络的标识，并根据所述pdu会话建立请求利用所述收发机向所述终端发送可扩展认证协议eap身份请求；利用所述收发机接收所述终端根据所述eap身份请求反馈的eap身份响应；从所述eap身份响应中获取eap id；其中，所述eap身份响应中携带的eap id与所述重认证请求中携带的eap id相同。
325.本发明实施例中，所述第一映射关系及二次认证状态信息均存储在本地或者统一数据管理设备udm中。
326.其中，上述会话管理功能实体侧的认证方法的所述实现实施例均适用于该会话管理功能实体的实施例中，也能达到相同的技术效果。
327.本发明实施例还提供了一种服务器，如图11所示，包括：处理器111和收发机112；
328.所述处理器111，用于利用所述收发机112向会话管理功能smf实体发送重认证请求；
329.其中，所述重认证请求中携带有可扩展认证协议身份标识eap id。
330.本发明实施例提供的所述服务器通过向会话管理功能smf实体发送重认证请求；其中，所述重认证请求中携带有可扩展认证协议身份标识eap id；能够实现支撑实现在核心网网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
331.进一步的，所述处理器还用于：在向会话管理功能smf实体发送重认证请求之后，利用所述收发机接收所述smf实体发送的可扩展认证协议eap重认证身份响应；根据所述eap重认证身份响应，与对应的终端之间进行eap重认证。
332.更进一步的，所述处理器还用于：在根据所述eap重认证身份响应，与对应的终端之间进行eap重认证之后，利用所述收发机将eap重认证结果信息发送给所述smf实体。
333.其中，上述服务器侧的认证方法的所述实现实施例均适用于该服务器的实施例中，也能达到相同的技术效果。
334.本发明实施例还提供了一种终端，如图12所示，包括：处理器121和收发机122；
335.所述处理器121，用于利用所述收发机122接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求；
336.根据所述eap重认证身份请求，利用所述收发机122向所述smf实体反馈eap重认证身份响应；
337.其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述smf实体接收到的重认证请求中携带的eap id相同或不同。
338.本发明实施例提供的所述终端通过接收会话管理功能smf实体发送的可扩展认证协议eap重认证身份请求；根据所述eap重认证身份请求，向所述smf实体反馈eap重认证身份响应；其中，所述eap重认证身份响应中携带有eap id；所述eap重认证身份响应中携带的eap id与所述smf实体接收到的重认证请求中携带的eap id相同或不同；能够实现支撑实现在核心网网元(smf)中维护并使用eap id、目标数据网络的标识以及ue id三者之间的映射关系：在重认证时利用映射关系使用eap id作为键值取得ue id定位终端，触发重认证，不需获取gpsi，也不需要服务器维护gpsi，也不会改变服务器原有账号管理系统，降低实现和维护成本，并且避免暴露ue信息；很好的解决了现有技术中认证方案存在暴露ue信息、实现和维护成本高的问题。
339.具体的，所述处理器具体用于：确定eap id；生成包含所述eap id的eap重认证身份响应；利用所述收发机将生成的所述eap重认证身份响应反馈给所述smf实体。
340.其中，上述终端侧的认证方法的所述实现实施例均适用于该终端的实施例中，也能达到相同的技术效果。
341.本发明实施例还提供了一种会话管理功能实体，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器执行所述程序时实现上述会话管
理功能实体侧的认证方法。
342.其中，上述会话管理功能实体侧的认证方法的所述实现实施例均适用于该会话管理功能实体的实施例中，也能达到相同的技术效果。
343.本发明实施例还提供了一种服务器，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器执行所述程序时实现上述服务器侧的认证方法。
344.其中，上述服务器侧的认证方法的所述实现实施例均适用于该服务器的实施例中，也能达到相同的技术效果。
345.本发明实施例还提供了一种终端，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器执行所述程序时实现上述终端侧的认证方法。
346.其中，上述终端侧的认证方法的所述实现实施例均适用于该终端的实施例中，也能达到相同的技术效果。
347.本发明实施例还提供了一种可读存储介质，其上存储有程序，该程序被处理器执行时实现上述会话管理功能实体侧、服务器侧或终端侧的认证方法中的步骤。
348.其中，上述会话管理功能实体侧、服务器侧或终端侧的认证方法的所述实现实施例均适用于该可读存储介质的实施例中，也能达到对应相同的技术效果。
349.需要说明的是，此说明书中所描述的许多功能部件都被称为模块/子模块，以便更加特别地强调其实现方式的独立性。
350.本发明实施例中，模块/子模块可以用软件实现，以便由各种类型的处理器执行。举例来说，一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块，举例来说，其可以被构建为对象、过程或函数。尽管如此，所标识模块的可执行代码无需物理地位于一起，而是可以包括存储在不同位里上的不同的指令，当这些指令逻辑上结合在一起时，其构成模块并且实现该模块的规定目的。
351.实际上，可执行代码模块可以是单条指令或者是许多条指令，并且甚至可以分布在多个不同的代码段上，分布在不同程序当中，以及跨越多个存储器设备分布。同样地，操作数据可以在模块内被识别，并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集，或者可以分布在不同位置上(包括在不同存储设备上)，并且至少部分地可以仅作为电子信号存在于系统或网络上。
352.在模块可以利用软件实现时，考虑到现有硬件工艺的水平，所以可以以软件实现的模块，在不考虑成本的情况下，本领域技术人员都可以搭建对应的硬件电路来实现对应的功能，所述硬件电路包括常规的超大规模集成(vlsi)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
353.以上所述的是本发明的优选实施方式，应当指出对于本技术领域的普通人员来说，在不脱离本发明所述原理前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。