终端设备的鉴权方法及其装置与流程

1.本技术涉及通信技术领域，尤其涉及一种终端设备的鉴权方法及其装置。


背景技术：

2.目前，终端设备接入5g网络且为首次注册时，终端设备均需要经过接入、鉴权的过程。当终端设备鉴权成功并进入连接态，终端设备可以与网络进行通信。例如，终端设备向网络反馈定位信息，以实现网络对该终端设备的位置的定位。
3.但是，对于不具备接入能力的终端设备或者无需接入网络的终端设备来说，由于不具备接入能力的终端设备不具有通常的接入网络所需要的无线资源控制(radio resource control,rrc)协议层，无法完成鉴权的过程；而无需接入网络的终端设备可以是长期处于无线资源控制空闲(rrc idle)态的终端设备，无法完成鉴权的过程。因此，如何实现网络对不具备接入能力的终端设备或者无需接入网络的终端设备执行鉴权是当前亟待解决的问题。


技术实现要素：

4.本技术实施例提供了一种终端设备的鉴权方法及其装置，用于实现在第二终端设备不接入网络的情况下(包括第二终端设备不具备接入能力的情况或者第一终端设备无需接入网络的情况)，网络对该第二终端设备的鉴权。
5.本技术实施例第一方面提供一种通信方法，该方法包括：
6.第一核心网设备接收第一终端设备发送的第一消息，该第一消息携带第二终端设备的标识、随机数(random challenge，rand)和响应(response，res)，该随机数rand和响应res是该第二终端设备生成的；然后，第一核心网设备向认证服务功能(authentication server function，ausf)网元发送第一请求消息，该第一请求消息用于请求为第二终端设备执行鉴权，该第一请求消息携带第二终端设备的标识、该随机数rand和响应res；第一核心网设备接收ausf网元发送的第一鉴权响应，该第一鉴权响应用于指示第二终端设备鉴权成功。
7.本实施例中，辅助终端设备(即第一终端设备)获取第二终端设备的标识和第二终端设备的鉴权信息(例如，鉴权信息包括随机数rand和响应res)，第一核心网设备接收辅助终端设备发送的第二终端设备的标识和第二终端设备的鉴权信息，并将该第二终端设备的标识和该第二终端设备的鉴权信息发送给ausf网元，以实现ausf网元对该第二终端设备的鉴权。因此，通过本实施例的技术方案中，实现在第二终端设备不接入网络的情况下(包括第二终端设备不具备接入能力的情况或者第二终端设备无需接入网络的情况)，网络对该第二终端设备的鉴权。
8.一种可能的实现方式中，第一消息还包括以下至少一项：密钥集标识(key set identifier in 5g，ngksi)、架构间反投标下降(anti-bidding down betweenarchitectures，abba)、加密算法、或者、完整性算法；其中，该加密算法为用于对第
二终端设备的数据作加密保护的算法，该完整性算法为用于对第二终端设备的数据作完整性保护的算法。
9.本实施例中，该第一消息还携带有以上参数，以便于后续第二终端设备的鉴权成功之后，第二终端设备与无线接入网设备可以协商用于加密第二终端设备的数据的加密算法和完整性算法，以保证第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
10.另一种可能的实现方式中，该第一鉴权响应携带第三密钥k
seaf
；该方法还包括：第一核心网设备根据该第三密钥k
seaf
生成第四密钥k
amf
。
11.在该可能的实现方式中，当第二终端设备鉴权成功时，ausf网元向第一核心网设备发送第一鉴权响应，这样第一核心网设备可以根据第一鉴权响应携带的第三密钥k
seaf
生成第四密钥k
amf
，这样以便于后续第二终端设备与无线接入网设备之间的交互时所需要的一些信令密钥。
12.另一种可能的实现方式中，该第一鉴权响应还携带哈希预期响应(hash expected response，hxres)；第一核心网设备该第三密钥k
seaf
生成第四密钥k
amf
包括：第一核心网设备根据响应res和随机数rand计算哈希响应(hash response，hres)；该第一核心网设备对该哈希响应hres和哈希预期响应hxres进行验证；当验证通过时，第一核心网设备根据第三密钥k
seaf
生成第四密钥k
amf
。
13.在该可能的实现方式中，第一核心网设备生成第四密钥k
amf
之前，第一核心网设备还进一步地验证该哈希响应hres和哈希预期响应hxres，以提高对第二终端设备的鉴权的可靠性和安全性。
14.另一种可能的实现方式中，该方法还包括：第一核心网设备向第一终端设备发送第二终端设备的鉴权结果。
15.在该可能的实现方式中，第一核心网设备向第一终端设备反馈第二终端设备的鉴权结果，以告知第一终端设备该第二终端设备的鉴权结果。例如，当第二终端设备鉴权失败时，第一终端设备可以再次向第一核心网设备发送该第二终端设备的鉴权结果。
16.另一种可能的实现方式中，该方法包括：第一核心网设备向定位管理功能(location management function，lmf)网元发送定位服务请求，该定位服务请求携带第二终端设备的标识、加密算法和第一密钥k
gnb
；第一核心网设备接收lmf网元发送的定位服务响应，该定位服务响应携带第二终端设备的定位结果。
17.在该可能的实现方式中，第一核心网设备通过lmf网元发起定位服务请求的过程中向lmf网元发送该第二终端设备的标识、加密算法和第一密钥k
gnb
，以便于lmf网元通过测量请求消息向无线接入网设备下发该加密算法和第一密钥k
gnb
，实现第二终端设备与无线接入网设备对加密算法和密钥的协商，以保证第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
18.另一种可能的实现方式中，该定位服务请求还携带以下至少一项：完整性算法、或者、密钥集标识ngksi。
19.终端设备的鉴权信息，以请求网络再次为第二终端设备执行鉴权。
20.本技术实施例第二方面提供一种通信方法，该方法包括：
21.第一终端设备获取第二终端设备的标识、随机数rand和响应res，该随机数rand和
响应res是第二终端设备生成的；然后，第一终端设备向第一核心网设备发送第一消息，该第一消息携带第二终端设备的标识、随机数rand和响应res。
22.本实施例中，辅助终端设备(即第一终端设备)获取第二终端设备的标识和第二终端设备的鉴权信息(例如，鉴权信息包括随机数rand和响应res)。辅助终端设备向第一核心网设备发送并将该第二终端设备的标识和该第二终端设备的鉴权信息，以实现网络对该第二终端设备的鉴权。从而实现在第二终端设备不接入网络的情况下(包括第二终端设备不具备接入能力的情况或者第二终端设备无需接入网络的情况)，网络对该第二终端设备的鉴权。
23.一种可能的实现方式中，该第一消息还包括以下至少一项：密钥集标识ngksi，架构间反投标下降abba，加密算法、或者、完整性算法；其中，加密算法为用于对第二终端设备的数据作加密保护的算法，完整性算法为用于对第二终端设备的数据作完整性保护的算法。
24.本实施例中，该第一消息还携带有以上参数，以便于后续第二终端设备的鉴权成功之后，第二终端设备与无线接入网设备可以协商用于加密第二终端设备的数据的加密算法和完整性算法，以保证第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
25.另一种可能的实现方式中，该方法还包括：第一终端设备接收第一核心网设备发送的第二终端设备的鉴权结果。
26.在该可能的实现方式中，第一终端设备接收第一核心网设备反馈的第二终端设备的鉴权结果。这样当第二终端设备鉴权失败时，第一终端设备可以再次发送该第一终端设备的鉴权信息，以请求网络再次为第二终端设备执行鉴权。
27.本技术实施例第三方面提供一种通信方法，该方法包括：
28.ausf网元接收第一核心网设备发送的第一请求消息，该第一请求消息携带第二终端设备的标识、随机数rand和响应res，该随机数rand和该响应res是该第二终端设备生成的；然后，ausf网元向统一数据管理(unified data management，udm)网元发送第二请求消息，该第二请求消息用于请求第二终端设备的鉴权参数，该第二请求消息携带第二终端设备的标识和随机数rand；该ausf网元接收udm网元发送的鉴权参数，该鉴权参数包括预期响应xres，该预期响应srex是udm网元根据随机数rand生成的；该ausf网元对该响应res和该预期响应xres进行验证，当验证通过时，该ausf网元向第一核心网设备发送第一鉴权响应，该第一鉴权响应用于指示第二终端设备鉴权成功。
29.本实施例中，ausf网元接收第二终端设备的标识、随机数rand和响应res，然后，ausf网元向udm网元请求鉴权参数，以便于ausf网元通过该鉴权参数实现对第二终端设备的鉴权。从而实现在第二终端设备不接入网络的情况下(包括第二终端设备不具备接入能力的情况或者第二终端设备无需接入网络的情况)，网络对该第二终端设备的鉴权。
30.一种可能的实现方式中，在该ausf网元对该响应res和该预期响应xres进行验证之后，在该ausf网元向第一核心网设备发送第一鉴权响应之前，该方法还包括：该ausf网元根据预期响应xres和随机数rand生成哈希预期响应hxres；该ausf网元向第一核心网设备发送第一鉴权响应，包括：ausf网元向第一核心网设备发送第一鉴权响应，该第一鉴权响应携带该哈希预期响应hxres。
31.在该可能的实现方式中，ausf网元通过该预期响应xres生成哈希预期响应hxres并发送给第一核心网设备，以便于第一核心网设备对第二终端设备进一步鉴权，提高第二终端设备鉴权的安全性和可靠性。
32.本技术实施例第四方面提供一种通信方法，该方法包括：
33.无线接入网设备接收lmf网元发送的测量请求消息，该测量请求消息携带加密算法和第一密钥k
gnb
；该无线接入网设备根据该第一密钥k
gnb
计算第二密钥；该无线接入网设备根据该第二密钥和该加密算法对该第二终端设备的数据进行解密；无线接入网设备向lmf网元发送测量响应(measurement response)消息，该测量响应消息携带该第二终端设备的定位测量量。
34.在可能的实现方式中，无线接入网设备可以通过该第一密钥k
gnb
计算第二密钥，以通过该第二密钥和加密算法对第二终端设备的数据进行解密，并对第二终端设备发送的探测参考信号(sounding reference signal，srs)进行测量，以实现对第二终端设备的定位测量量的测量，以便于lmf网元对第二终端设备的位置的定位。由此可知，辅助终端设备上报第二终端设备决定的加密算法和完整性算法等，以实现第二终端设备的发送加密数据能够被无线接入网设备成功接收。并且，在加密传输机制下，保证了第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
35.一种可能的实现方式中，该测量请求消息还携带以下至少一项：完整性算法、或者、密钥集标识ngksi；其中，该完整性算法为用于对该第二终端设备的数据作完整性保护的算法。
36.在该可能的实现方式中，该测量请求消息还携带完整性算法或者密钥集标识ngksi，这样无线接入网设备可以确定用于对该第二终端设备的数据作完整性保护的算法。
37.另一种可能的实现方式中，该方法还包括：无线接入网设备根据第一密钥k
gnb
计算完整性密钥；然后，无线接入网设备根据该完整性密钥和完整性算法对该第二终端设备的数据进行完整性验证。
38.在该可能的实现方式中，该无线接入网设备还进一步计算完整性密钥，以用于对第二终端设备的数据进行完整性验证。
39.本技术实施例第五方面提供一种通信方法，该方法包括：
40.lmf网元接收第一核心网设备发送的定位服务请求，该定位服务请求携带第二终端设备的标识、第一密钥k
gnb
和加密算法；然后，lmf网元向无线接入网设备发送测量请求消息，其中，该测量请求消息携带加密算法和第一密钥k
gnb
，该加密算法为用于第二终端设备对第二终端设备的数据进行加密的算法；lmf网元接收无线接入网设备发送的测量响应消息，该测量响应消息携带该第二终端设备的定位测量量；该lmf网元根据该测量响应消息携带的定位测量量对第二终端设备进行定位，得到第二终端设备的定位结果；然后，lmf网元向第一核心网设备发送定位服务请求，该定位服务请求携带该第二终端设备的定位结果。
41.本实施例中，在第二终端设备的定位过程中，通过lmf网元向无线接入网设备发送第一密钥k
gnb
和加密算法，以实现第二终端设备与无线接入网设备之间对加密算法和密钥的协商，保证第二终端设备与无线接入网设备之间交互的信令的安全性。
42.一种可能的实现方式中，该定位服务请求还携带以下至少一项：完整性算法、或者密钥集标识ngksi；该测量请求消息还携带以下至少一项：该完整性算法、或者、该密钥集标
识ngksi；其中，该完整性算法为用于对该第二终端设备的数据作完整性保护的算法。
43.在该可能的实现方式中，在第二终端设备的定位过程中，通过lmf网元向无线接入网设备发送完整性算法等，实现第二终端设备与无线接入网设备之间对完整性算法的协商。
44.本技术实施例第六方面提供一种通信方法，该方法包括：
45.无线接入网设备发送第二消息，该第二消息携带公共密钥，该公共密钥用于计算第二密钥，该第二密钥用于无线接入网设备对第二终端设备的数据进行解密。
46.在该可能的实现方式中，无线接入网设备通过广播或组播的方式向第二终端设备发送公共密钥等，该公共密钥用于计算第二密钥，该第二密钥用于无线接入网设备对第二终端设备的数据进行解密。这样第二终端设备可以通过该第二密钥对该第二终端设备的数据进行加密，而无线接入网设备可以通过该第二密钥对第二终端设备的数据进行解密，以保证第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
47.一种可能的实现方式中，该第二消息还携带以下至少一项：密钥集标识ngksi、加密算法、或者、完整性算法；其中，加密算法为用于对第二终端设备的数据作加密保护的算法，完整性算法为用于对第二终端设备的数据作完整性保护的算法。
48.在该可能的实现方式中，无线接入网设备还可以广播或组播的方式向第二终端设备密钥集标识ngksi、加密算法、或者、完整性算法，以实现对加密算法、完整性算法等的协商。
49.另一种可能的实现方式中，该方法还包括：无线接入网设备接收接入与移动性管理功能(access and mobility management function，amf)网元发送的以下信息中的至少一项：公共密钥、加密算法、密钥集标识ngksi、或者、完整性算法。
50.在该可能的实现方式中，无线接入网设备发送的第二消息中携带公共密钥、加密算法等可以是核心网设备决定的，并且通过核心网中的amf网元向无线接入网设备发送该公共密钥、加密算法等。
51.另一种可能的实现方式中，该方法还包括：无线接入网设备接收lmf网元发送的测量请求消息，该测量请求消息携带以下至少一项：公共密钥、加密算法、密钥集标识ngksi、或者、完整性算法。
52.在该可能的实现方式中，无线接入网设备发送的第二消息中携带公共密钥、加密算法等可以是核心网设备决定的，并且通过核心网中的lmf网元向无线接入网设备发送该公共密钥、加密算法等。
53.本技术实施例第七方面提供一种通信方法，该方法包括：
54.第二终端设备接收无线接入网设备的第二消息，该第二消息携带公共密钥；然后，第二终端设备根据该公共密钥计算第二密钥，该第二密钥用于该第二终端设备对该第二终端设备的数据进行加密。
55.本实施例中，第二终端设备接收无线接入网设备发送的公共密钥，这样第二终端设备可以根据该公共密钥计算第二密钥。第二终端设备可以通过该第二密钥对该第二终端设备的数据进行加密，而无线接入网设备可以通过该第二密钥对第二终端设备的数据进行解密，以保证第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
56.一种可能的实现方式中，该第二消息还携带以下至少一项：密钥集标识ngksi、加
密算法、或者、完整性算法；其中，加密算法为用于对第二终端设备的数据作加密保护的算法，完整性算法为用于对第二终端设备的数据作完整性保护的算法。
57.在该可能的实现方式中，无线接入网设备还可以广播或组播的方式向第二终端设备密钥集标识ngksi、加密算法、或者、完整性算法，以实现第二终端设备与无线接入网设备对加密算法、完整性算法等的协商。
58.另一种可能的实现方式中，该方法还包括：第二终端设备根据公共密钥计算完整性密钥，该完整性密钥用于第二终端设备通过完整性算法对第二终端设备的数据进行完整性保护。
59.另一种可能的实现方式中，该方法还包括：第二终端设备根据公共密钥计算完整性密钥，该完整性密钥用于第二终端设备通过完整性算法对第二终端设备的数据进行完整性保护。
60.在该可能的实现方式中，第二终端设备通过公共密钥计算得到完整性密钥，以便于第二终端设备对第二终端设备的数据进行完整性保护，以提高数据传输的安全性。
61.本技术实施例第八方面提供一种通信方法，该方法包括：
62.lmf网元接收amf网元发送的定位服务请求，该定位服务请求携带第二终端设备的标识和公共密钥，该公共密钥用于计算第二密钥，该第二密钥用于该第二终端设备对该第二终端设备的数据进行加密；然后，lmf网元向无线接入网设备发送测量请求消息，该测量请求消息携带公共密钥。
63.本实施例中，核心网决定该公共密钥，在第二终端设备的定位过程中，由amf网元向lmf网元发送该公共密钥，以便于lmf网元向无线接入网设备发送该公共密钥，这样无线接入网设备可以通过广播或组播的方式发送该公共密钥，以实现第二终端设备与无线接入网设备对密钥的协商，从而保证第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
64.一种可能的实现方式中，该定位服务请求还携带以下至少一项：加密算法、完整性算法、或者、密钥集标识ngksi；该测量请求消息还携带以下至少一项：该加密算法、该完整性算法、或者、该密钥集标识ngksi；其中，该加密算法为用于对该第二终端设备的数据作加密保护的算法，该完整性算法为用于对该第二终端设备的数据作完整性保护的算法。
65.在该可能的实现方式中，该定位服务请求还携带密钥集标识ngksi、加密算法、或者、完整性算法，以实现第二终端设备与无线接入网设备对加密算法、完整性算法等的协商。
66.本技术实施例第九方面提供一种通信装置，该通信装置包括：
67.收发模块，用于接收第一终端设备发送的第一消息，该第一消息携带第二终端设备的标识、随机数rand和响应res，该随机数rand和响应res是该第二终端设备生成的；向ausf网元发送第一请求消息，该第一请求消息用于请求为第二终端设备执行鉴权，该第一请求消息携带第二终端设备的标识、该随机数rand和响应res，接收ausf网元发送的第一鉴权响应，该第一鉴权响应用于指示第二终端设备鉴权成功。
68.一种可能的实现方式中，第一消息还包括以下至少一项：密钥集标识ngksi、架构间反投标下降abba、加密算法、或者、完整性算法；其中，该加密算法为用于对第二终端设备的数据作加密保护的算法，该完整性算法为用于对第二终端设备的数据作完整性保护的算
法。
69.另一种可能的实现方式中，该第一鉴权响应携带第三密钥k
seaf
；该通信装置还包括处理模块；
70.该处理模块，用于根据该第三密钥k
seaf
生成第四密钥k
amf
。
71.另一种可能的实现方式中，该第一鉴权响应还携带哈希预期响应hxres；该处理模块具体用于：
72.根据响应res和该随机数rand计算哈希响应hres；对该哈希响应hres和哈希预期响应hxres进行验证；当验证通过时，根据第三密钥k
seaf
生成第四密钥k
amf
。
73.另一种可能的实现方式中，该收发模块还用于：
74.向第一终端设备发送第二终端设备的鉴权结果。
75.另一种可能的实现方式中，该收发模块还用于：
76.向lmf网元发送定位服务请求，该定位服务请求携带第二终端设备的标识、加密算法和第一密钥k
gnb
；接收lmf网元发送的定位服务响应，该定位服务响应携带第二终端设备的定位结果。
77.另一种可能的实现方式中，该定位服务请求还携带以下至少一项：完整性算法、或者、密钥集标识ngksi。
78.本技术实施例第十方面提供一种第一终端设备，该第一终端设备包括：
79.处理模块，用于获取第二终端设备的标识、随机数rand和响应res，该随机数rand和响应res是第二终端设备生成的；
80.收发模块，用于向第一核心网设备发送第一消息，该第一消息携带第二终端设备的的标识、随机数rand和响应res。
81.一种可能的实现方式中，该第一消息还包括以下至少一项：密钥集标识ngksi，架构间反投标下降abba，加密算法、或者、完整性算法；其中，加密算法为用于对第二终端设备的数据作加密保护的算法，完整性算法为用于对第二终端设备的数据作完整性保护的算法。
82.另一种可能的实现方式中，该收发模块还用于：
83.接收第一核心网设备发送的第二终端设备的鉴权结果。
84.本技术实施例第十一方面提供一种通信装置，该通信装置包括：
85.收发模块，用于接收第一核心网设备发送的第一请求消息，该第一请求消息携带第二终端设备的标识、随机数rand和响应res，该随机数rand和该响应res是该第二终端设备生成的；
86.处理模块，用于向udm网元发送第二请求消息，该第二请求消息用于请求第二终端设备的鉴权参数，该第二请求消息携带第二终端设备的标识和随机数rand；
87.该收发模块，还用于接收udm网元发送的鉴权参数，该鉴权参数包括预期响应xres，该预期响应srex是udm网元根据随机数rand生成的；
88.该处理模块，还用于对该响应res和该预期响应xres进行验证；
89.该收发模块，还用于当验证通过时，向第一核心网设备发送第一鉴权响应，该第一鉴权响应用于指示第二终端设备鉴权成功。
90.一种可能的实现方式中，该处理模块还用于：
91.根据预期响应xres和该随机数rand生成哈希预期响应hxres；
92.该收发模块具体用于：
93.向第一核心网设备发送第一鉴权响应，该第一鉴权响应携带哈希预期响应hxres。
94.本技术实施例第十二方面提供一种通信装置，该通信装置包括：
95.收发模块，用于接收lmf网元发送的测量请求消息，该测量请求消息携带加密算法和第一密钥k
gnb
；
96.处理模块，用于根据该第一密钥k
gnb
计算第二密钥；根据该第二密钥和该加密算法对该第二终端设备的数据进行解密；
97.该收发模块，还用于向lmf网元发送测量响应消息，该测量响应消息携带该第二终端设备的定位测量量。
98.一种可能的实现方式中，该测量请求消息还携带以下至少一项：完整性算法、或者、密钥集标识ngksi；其中，该完整性算法为用于对该第二终端设备的数据作完整性保护的算法。
99.另一种可能的实现方式中，该处理模块还用于：
100.根据第一密钥k
gnb
计算完整性密钥；
101.根据该完整性密钥和完整性算法对该第二终端设备的数据进行完整性验证。
102.本技术实施例第十三方面提供一种通信装置，该通信装置包括：
103.收发模块，用于接收第一核心网设备发送的定位服务请求，该定位服务请求携带第二终端设备的标识、第一密钥k
gnb
和加密算法；向无线接入网设备发送测量请求消息，其中，该测量请求消息携带加密算法和第一密钥k
gnb
，该加密算法为用于第二终端设备对第二终端设备的数据进行加密的算法。
104.一种可能的实现方式中，该定位服务请求还携带以下至少一项：完整性算法、或者密钥集标识ngksi；该测量请求消息还携带以下至少一项：该完整性算法、或者、该密钥集标识ngksi；其中，该完整性算法为用于对该第二终端设备的数据作完整性保护的算法。
105.本技术实施例第十四方面提供一种通信装置，该通信装置包括：
106.收发模块，用于发送第二消息，该第二消息携带公共密钥，该公共密钥用于计算第二密钥，该第二密钥用于该通信装置对第二终端设备的数据进行解密；接收无线接入网设备发送的测量响应消息，该测量响应消息携带该第二终端设备的定位测量量；
107.处理模块，用于根据该测量响应消息携带的定位测量量对第二终端设备进行定位，得到第二终端设备的定位结果；
108.该收发模块，还用于向第一核心网设备发送定位服务请求，该定位服务请求携带该第二终端设备的定位结果。
109.一种可能的实现方式中，该第二消息还携带以下至少一项：密钥集标识ngksi、加密算法、或者、完整性算法；其中，加密算法为用于对第二终端设备的数据作加密保护的算法，完整性算法为用于对第二终端设备的数据作完整性保护的算法。
110.另一种可能的实现方式中，该收发模块还用于：
111.接收amf网元发送的以下信息中的至少一项：公共密钥、加密算法、密钥集标识ngksi、或者、完整性算法。
112.另一种可能的实现方式中，该收发模块还用于：
113.接收lmf网元发送的测量请求消息，该测量请求消息携带以下至少一项：公共密钥、加密算法、密钥集标识ngksi、或者、完整性算法。
114.本技术实施例第十五方面提供一种第二终端设备，该第二终端设备包括：
115.收发模块，用于接收无线接入网设备的第二消息，该第二消息携带公共密钥；然后，第二终端设备根据该公共密钥计算第二密钥，该第二密钥用于该第二终端设备对该第二终端设备的数据进行加密。
116.一种可能的实现方式中，该第二消息还携带以下至少一项：密钥集标识ngksi、加密算法、或者、完整性算法；其中，加密算法为用于对第二终端设备的数据作加密保护的算法，完整性算法为用于对第二终端设备的数据作完整性保护的算法。
117.另一种可能的实现方式中，该第二终端设备还包括处理模块；
118.该处理模块，用于根据公共密钥计算完整性密钥，该完整性密钥用于第二终端设备通过完整性算法对第二终端设备的数据进行完整性保护。
119.另一种可能的实现方式中，该处理模块还用于：
120.根据公共密钥计算完整性密钥，该完整性密钥用于第二终端设备通过完整性算法对第二终端设备的数据进行完整性保护。
121.本技术实施例第十六方面提供一种通信装置，该通信装置包括：
122.收发模块，用于接收amf网元发送的定位服务请求，该定位服务请求携带第二终端设备的标识和公共密钥，该公共密钥用于计算第二密钥，该第二密钥用于该第二终端设备对该第二终端设备的数据进行加密；向无线接入网设备发送测量请求消息，该测量请求消息携带公共密钥。
123.一种可能的实现方式中，该定位服务请求还携带以下至少一项：加密算法、完整性算法、或者、密钥集标识ngksi；该测量请求消息还携带以下至少一项：该加密算法、该完整性算法、或者、该密钥集标识ngksi；其中，该加密算法为用于对该第二终端设备的数据作加密保护的算法，该完整性算法为用于对该第二终端设备的数据作完整性保护的算法。
124.本技术实施例第十七方面提供一种通信装置，该通信装置包括：处理器、存储器和收发器；该处理器用于该收发器收发信号；该存储器中存储有计算机程序；该处理器还用于调用并运行该存储器中存储的计算机程序，使得处理器实现如第一方面中的任意一种实现方式。
125.本技术实施例第十八方面提供一种第一终端设备，该第一终端设备包括：处理器、存储器和收发器；该处理器用于该收发器收发信号；该存储器中存储有计算机程序；该处理器还用于调用并运行该存储器中存储的计算机程序，使得处理器实现如第二方面中的任意一种实现方式。
126.本技术实施例第十九方面提供一种通信装置，该通信装置包括：处理器、存储器和收发器；该处理器用于该收发器收发信号；该存储器中存储有计算机程序；该处理器还用于调用并运行该存储器中存储的计算机程序，使得处理器实现如第三方面中的任意一种实现方式。
127.本技术实施例第二十方面提供一种通信装置，该通信装置包括：处理器、存储器和收发器；该处理器用于该收发器收发信号；该存储器中存储有计算机程序；该处理器还用于调用并运行该存储器中存储的计算机程序，使得处理器实现如第四方面中的任意一种实现
方式。
128.本技术实施例第二十一方面提供一种通信装置，该通信装置包括：处理器、存储器和收发器；该处理器用于该收发器收发信号；该存储器中存储有计算机程序；该处理器还用于调用并运行该存储器中存储的计算机程序，使得处理器实现如第五方面中的任意一种实现方式。
129.本技术实施例第二十二方面提供一种通信装置，该通信装置包括：处理器、存储器和收发器；该处理器用于该收发器收发信号；该存储器中存储有计算机程序；该处理器还用于调用并运行该存储器中存储的计算机程序，使得处理器实现如第六方面中的任意一种实现方式。
130.本技术实施例第二十三方面提供一种第二终端设备，该第二终端设备包括：处理器、存储器和收发器；该处理器用于该收发器收发信号；该存储器中存储有计算机程序；该处理器还用于调用并运行该存储器中存储的计算机程序，使得处理器实现如第七方面中的任意一种实现方式。
131.本技术实施例第二十四方面提供一种通信装置，该通信装置包括：处理器、存储器和收发器；该处理器用于该收发器收发信号；该存储器中存储有计算机程序；该处理器还用于调用并运行该存储器中存储的计算机程序，使得处理器实现如第八方面中的任意一种实现方式。
132.本技术实施例第二十五方面提供一种包括指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得该计算机执行如第一方面至第八方面中任一种的实现方式。
133.本技术实施例第二十六方面提供一种计算机可读存储介质，包括计算机指令，当该指令在计算机上运行时，使得计算机执行如第一方面至第八方面中的任一方面中的任一种实现方式。
134.本技术实施例第二十七方面提供一种芯片装置，包括处理器，用于与存储器相连，调用该存储器中存储的程序，以使得该处理器执行上述第一方面至第八方面中的任一方面中的任一种实现方式。
135.本技术实施例第二十八方面提供一种通信系统，该通信系统包括如第九方面的通信装置、第十方面的第一终端设备和第十一方面的通信装置。
136.可选的，该通信系统还包括如第十二方面的通信装置和第十三方面的通信装置。
137.本技术实施例第二十九方面提供一种通信系统，该通信系统包括如第十四方面的通信装置和第十五方面的第二终端设备。
138.可选的，该通信系统还包括如第十六方面的通信装置。
139.从以上技术方案可以看出，本技术实施例具有以下优点：
140.经由上述技术方案可知，第一核心网设备接收第一终端设备发送的第一消息，该第一消息携带第二终端设备的标识、随机数rand和响应res，该随机数rand和该响应res是第二终端设备生成的；然后，第一核心网设备向ausf网元发送第一请求消息，该第一请求消息用于请求为第二终端设备执行鉴权，该第一请求消息携带第二终端设备的标识、随机数rand和响应res；该第一核心网设备接收ausf网元发送的第一鉴权响应，该第一鉴权响应用于指示第二终端设备鉴权成功。由此可知，本技术实施例的技术方案中，通过辅助终端设备获取第二终端设备的标识和第二终端设备的鉴权信息(例如，鉴权信息包括随机数rand和
响应res)。第一核心网设备接收辅助终端设备发送的第二终端设备的标识和第二终端设备的鉴权信息，并将该第二终端设备的标识和该第二终端设备的鉴权信息发送给ausf网元，以实现ausf网元对该第二终端设备的鉴权。因此，通过本技术实施例的技术方案中，实现在第二终端设备不接入网络的情况下(包括第二终端设备不具备接入能力的情况或者第二终端设备无需接入网络的情况)，网络对该第一终端设备的鉴权。
附图说明
141.图1a为本技术实施例通信系统的一个架构示意图；
142.图1b为本技术实施例网络架构的一个网络架构示意图；
143.图2为本技术实施例通信方法的一个实施例示意图；
144.图3为本技术实施例通信方法的另一个实施例示意图；
145.图4为本技术实施例通信方法的另一个实施例示意图；
146.图5为本技术实施例通信装置的一个结构示意图；
147.图6为本技术实施例第一终端设备的一个结构示意图；
148.图7为本技术实施例通信装置的另一个结构示意图；
149.图8为本技术实施例通信装置的另一个结构示意图；
150.图9为本技术实施例通信装置的另一个结构示意图；
151.图10为本技术实施例通信装置的另一个结构示意图；
152.图11为本技术实施例第二终端设备的一个结构示意图；
153.图12为本技术实施例通信装置的另一个结构示意图；
154.图13为本技术实施例通信装置的另一个结构示意图；
155.图14为本技术实施例第一终端设备的另一个结构示意图；
156.图15为本技术实施例通信装置的另一个结构示意图；
157.图16为本技术实施例通信装置的另一个结构示意图；
158.图17为本技术实施例通信装置的另一个结构示意图；
159.图18为本技术实施例通信装置的另一个结构示意图；
160.图19为本技术实施例通信装置的另一个结构示意图；
161.图20为本技术实施例通信系统的一个示意图；
162.图21为本技术实施例通信系统的另一个示意图。
具体实施方式
163.本技术实施例提供了一种终端设备的鉴权方法及其装置，用于实现网络对不具备接入能力的终端设备的鉴权和保证该终端设备与网络之间进行交互的空口信令的安全性。
164.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地描述。
165.本技术的说明书、权利要求书及附图中的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备等，没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元等，或可选地还包括对于这些过程、方法、产品或设备等固有的其它步骤或单元。
166.在本文中提及的“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员可以显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。
167.在本技术中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上，“至少两个(项)”是指两个或三个及三个以上，“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：只存在a，只存在b以及同时存在a和b三种情况，其中a，b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。
168.下面对本技术实施例所应用的通信系统进行介绍。
169.本技术提供的技术方案可以应用于各种通信系统。一个通信系统中，由运营者运营的部分可称为公共陆地移动网络(public land mobile network，plmn)(也可以称为运营商网络等)。plmn是由政府或其所批准的经营者，为公众提供陆地移动通信业务目的而建立和经营的网络，主要是移动网络运营商(mobile network operator，mno)为用户提供移动宽带接入服务的公共网络。本技术中所描述的plmn，具体可为符合第三代合作伙伴项目(3rd generation partnership project，3gpp)标准要求的网络，简称3gpp网络。3gpp网络通常包括但不限于第五代移动通信(5th-generation，5g)网络(简称5g网络)、第四代移动通信(4th-generation，4g)网络(简称4g网络)等。
170.为了方便描述，下面以plmn为例对图1a所示的通信系统进行说明。或者，本技术提供的技术方案还可以应用于长期演进(long term evolution，lte)系统、lte频分双工(frequency division duplex，fdd)系统、lte时分双工(time division duplex，tdd)、通用移动通信系统(universal mobile telecommunication system，umts)、全球互联微波接入(worldwide interoperability for microwave access，wimax)通信系统、第五代(5th generation，5g)通信系统或新无线(new radio，nr)以及未来的其他通信系统如6g等。
171.随着移动带宽接入服务的扩展，移动网络也会随之发展以便更好地支持多样化的商业模式，满足更加多样化的应用业务以及更多行业的需求。例如，为了给更多的行业提供更好、更完善的服务，5g网络相对于4g网络做了网络架构调整。如5g网络将4g网络中的移动管理实体(mobility management entity，mme)进行拆分，拆分为包括接入与移动性管理功能(access and mobility management function，amf)和会话管理功能(session management function，smf)等多个网络功能。
172.图1a是本技术实施例通信系统的一个架构示意图，它以3gpp标准化过程中定义的非漫游场景下基于服务化架构的5g网络架构为例。该网络架构可以包括三部分，分别是终端设备部分、plmn和数据网络(data network，dn)。
173.终端设备部分可以包括终端设备110，该终端设备110也可以称为用户设备(user equipment，ue)。本技术中的终端设备110是一种具有无线收发功能的设备，可以经无线接入网(radio access network，ran)140中的无线接入网设备(或者也可以称为接入设备)与一个或多个核心网(core network，cn)设备(或者也可以称为核心设备)进行通信。
174.终端设备110也可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、用户代理或用户装置等。终端设备110可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。
175.或者，终端设备110还可以包括受限设备，例如功耗较低的设备，或存储能力有限的设备，或计算能力有限的设备等。例如包括条码、射频识别(radio frequency identification，rfid)、传感器、全球定位系统(global positioning system，gps)、激光扫描器等信息传感设备。
176.或者，终端设备110还可以是蜂窝电话(cellular phone)、无绳电话、会话启动协议(session initiation protocol，sip)电话、智能电话(smart phone)、手机(mobile phone)、无线本地环路(wireless local loop，wll)站、个人数字处理(personal digital assistant，pda)等。或者，终端设备110还可以是具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它设备、车载设备、可穿戴设备、无人机设备或物联网、车联网中的终端、5g网络以及未来网络中的任意形态的终端、中继用户设备或者未来演进的plmn中的终端等。其中，中继用户设备例如可以是5g家庭网关(residential gateway，rg)。例如终端设备110可以是虚拟现实(virtual reality，vr)终端、增强现实(augmented reality，ar)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。本技术实施例对终端设备的类型或种类等并不限定。
177.plmn可以包括：网络开放功能(network exposure function，nef)131、网络存储功能(network function repository function，nrf)132、策略控制功能(policy control function，pcf)133、统一数据管理(unified data management，udm)134、应用功能(application function，af)135、认证服务器功能(authentication server function，ausf)136、amf137、会话管理功能(session management function，smf)138、用户面功能(user plane function，upf)139以及(无线)接入网((radio)access network，(r)an)140等。上述plmn中，除(无线)接入网140部分之外的部分可以称为核心网络(core network，cn)部分或核心网部分。
178.数据网络(data network,dn)120，也可以称为分组数据网络(packet data network，pdn)，通常是位于plmn之外的网络，例如第三方网络。示例性的，plmn可以接入多个数据网络dn 120，数据网络dn 120上可部署多种业务，从而为终端设备110提供数据和/或语音等服务。例如，数据网络dn 120可以是某智能工厂的私有网络，智能工厂安装在车间的传感器可为终端设备110，数据网络dn 120中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，根据指令将采集的传感器数据传送给控制服务器等。又例如，数据网络dn 120可以是某公司的内部办公网络，该公司员工的手机或者电脑可为终端设备110，员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。终端设备110可通过plmn提供的接口(例如图1a中的n1接口等)与plmn建立连接，使用plmn提供的数据和/或语音等服务。终端设备110还可通过plmn
访问数据网络dn 120，使用数据网络dn 120上部署的运营商业务，和/或第三方提供的业务。其中，上述第三方可为plmn和终端设备110之外的服务方，可为终端设备110提供其他数据和/或语音等服务。其中，上述第三方的具体表现形式，具体可根据实际应用场景确定，在此不做限制。
179.示例性的，下面对plmn中的网络功能进行简要介绍。
180.(r)an 140是plmn的子网络。终端设备110要接入plmn，首先是经过(r)an 140，进而通过(r)an 140与plmn中的业务节点连接。本技术实施例中的接入网设备，是一种为终端设备110提供无线通信功能的设备，也可以称为接入设备、(r)an设备或网络设备等。如该接入设备包括但不限于：5g系统中的下一代基站(next generation node basestation，gnb)、lte系统中的演进型基站(evolved node b，enb)、无线网络控制器(radio network controller，rnc)、节点b(node b，nb)、基站控制器(base station controller，bsc)、基站收发台(base transceiver station，bts)、家庭基站(home evolved nodeb，或home node b，hnb)、基带单元(base band unit，bbu)、传输接收点(transmitting and receiving point，trp)、发射点(transmitting point，tp)、小基站设备(pico)、移动交换中心，或者未来网络中的网络设备等。可理解，本技术对无线接入网设备的具体类型不作限定。采用不同无线接入技术的系统中，具备无线接入网设备功能的设备的名称可能会有所不同。
181.可选的，在接入设备的一些部署中，接入设备可以包括集中式单元(centralized unit，cu)和分布式单元(distributed unit，du)等。在接入设备的另一些部署中，cu还可以划分为cu-控制面(control plane，cp)和cu-用户面(user plan，up)等。在接入设备的又一些部署中，接入设备还可以是开放的无线接入网(open radio access network，oran)架构等，本技术对于接入设备的具体部署方式不作限定。
182.网络开放功能nef(也可以称为nef网络功能或nef网络功能实体)131是由运营商提供控制面功能。nef网络功能131以安全的方式对第三方开放plmn的对外接口。在smf网络功能138需要与第三方的网络功能通信时，nef网络功能131可作为smf网络功能138与第三方的网络实体通信的中继。nef网络功能131作为中继时，可作为签约用户的标识信息的翻译，以及第三方的网络功能的标识信息的翻译。比如，nef网络功能131将签约用户的用户永久标识符(subscriber permanent identifier，supi)从plmn发送到第三方时，可以将supi翻译成其对应的外部身份标识(identity，id)。反之，nef网络功能131将外部id(第三方的网络实体id)发送到plmn时，可将其翻译成supi。
183.网络存储功能nrf 132，可用于维护网络中所有网络功能服务的实时信息。
184.策略控制功能pcf 133是由运营商提供的控制面功能，用于向会话管理功能smf 138提供协议数据单元(protocol data unit，pdu)会话的策略。策略可以包括计费相关策略、qos相关策略和授权相关策略等。
185.统一数据管理udm 134是由运营商提供的控制面功能，负责存储plmn中签约用户的用户永久标识符(subscriber permanent identifier，supi)、安全上下文(security context)、签约数据等信息。上述plmn的签约用户具体可为使用plmn提供的业务的用户，例如使用中国电信的终端设备芯卡的用户，或者使用中国移动的终端设备芯卡的用户等。示例性的，签约用户的supi可为终端设备芯卡的号码等。上述安全上下文可以为存储在本地终端设备(例如手机)上的数据(cookie)或者令牌(token)等。上述签约用户的签约数据可
以为该终端设备芯卡的配套业务，例如该手机芯卡的流量套餐等。
186.应用功能af 135，用于进行应用影响的数据路由，接入网络开放功能，与策略框架交互进行策略控制等。
187.认证服务器功能ausf 136是由运营商提供的控制面功能，通常用于一级认证，即终端设备110(签约用户)与plmn之间的认证。
188.接入与移动性管理功能amf 137是由plmn提供的控制面网络功能，负责终端设备110接入plmn的接入控制和移动性管理，例如包括移动状态管理，分配用户临时身份标识，认证和授权用户等功能。
189.会话管理功能smf 138是由plmn提供的控制面网络功能，负责管理终端设备110的协议数据单元(protocol data unit，pdu)会话。pdu会话是一个用于传输pdu的通道，终端设备需要通过pdu会话与dn 120互相传输pdu。pdu会话可以由smf 138负责建立、维护和删除等。smf 138包括会话管理(如会话建立、修改和释放，包含upf 139和(r)an 140之间的隧道维护等)、upf 139的选择和控制、业务和会话连续性(service and session continuity，ssc)模式选择、漫游等会话相关的功能。
190.用户面功能upf 139是由运营商提供的网关，是plmn与dn 120通信的网关。upf 139包括数据包路由和传输、包检测、业务用量上报、服务质量(quality of service，qos)处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。
191.图1a中nnef、nausf、nnrf、npcf、nudm、naf、namf、nsmf、n1、n2、n3、n4，以及n6为接口序列号。示例性的，上述接口序列号的含义可参见3gpp标准协议中定义的含义，本技术对于上述接口序列号的含义不做限制。需要说明的是，图1a中仅以终端设备110为ue作出了示例性说明，图1a中的各个网络功能之间的接口名称也仅仅是一个示例，在具体实现中，该系统架构的接口名称还可能为其他名称，本技术对此不作限定。
192.本技术中的移动性管理网络功能可以是图1a所示的amf 137，也可以是未来通信系统中的具有上述接入与移动性管理功能amf 137的其他网络功能。或者，本技术中的移动性管理网络功能还可以是lte系统中的移动管理实体(mobility management entity，mme)等。
193.为方便描述，本技术实施例中将接入与移动性管理功能amf137简称为amf网元，将统一数据管理udm134简称为udm网元，将认证服务器功能ausf 136简称为ausf网元。即本技术实施例中后文所描述的amf网元均可替换为接入与移动性管理功能，udm网元均可替换为统一数据管理，ausf网元均可替换为认证服务器功能。
194.请参阅图1b，图1b为本技术实施例网络架构的一个网络架构示意图。该网络架构包括终端设备101、下一代节点b(next generation node b，gnb)102、下一代演进型节点b(next generation evolved node b，ng-enb)103、接入与移动性管理功能(access and mobility management function，amf)104和lmf网元。
195.其中，终端设备101通过uu接口与服务基站(如图1a中的gnb102或ng-enb103)进行通信。ng-enb103为连接5g核心网的演进的长期演进(long term evolution，lte)基站，gnb102为5g通信系统中的基站。该网络架构中，基站之间通过xn接口进行通信，基站与amf104之间通过ng-c接口进行通信。amf104与lmf105之间通过nl1接口进行通信，amf104相当于基站与lmf105之间进行通信的路由器。lmf105用于对终端设备的位置进行定位计算和
管理。
196.上述图1b仅仅示出了该网络架构包括gnb102和ng-enb103的两个基站的示例。而在实际应用中，该网络架构还可以包括更多基站，或者，该网络架构只包括一个基站，具体本技术不做限定。该网络架构中的终端设备101为图1a所示的终端设备110，amf104为图1a所示的amf137。对于终端设备101、amf104的相关介绍请参阅前述图1a中的相关介绍，这里不再赘述。
197.为方便描述，本技术实施例中将lmf104简称为lmf网元，即本技术实施例中后文所描述的lmf网元均可替换为定位管理功能网元。
198.目前，终端设备接入5g网络且终端设备在该5g网络进行首次注册时，终端设备均需要经过接入、鉴权的过程。当终端设备鉴权成功并进入连接态，终端设备可以与网络进行通信。例如，终端设备向网络反馈定位信息，以实现网络对该终端设备的位置的定位。
199.但是，对于不具备接入能力的终端设备或无需接入网络的终端设备来说，由于不具备接入能力或者没有接入网络，无法完成鉴权的过程。
200.其中，接入能力是指终端设备具备接入网络并进入无线资源控制连接(rrc connected)态的能力。具体体现为该终端设备具有接入网络所需的物理层、数据链路层和rrc层等协议层。对于不具备接入能力的终端设备，该终端设备可以为超低功耗的定位标签设备，该终端设备不具有rrc层，不能进入连接态。无需接入网络的终端设备可以是指长期处于无线资源控制空闲(rrc idle)态的终端设备。
201.基于上述问题，通过本技术实施例中提供的图2所示的实施例提供的通信方法实现网络对不具备接入能力的终端设备或无需接入网络的终端设备的鉴权。进一步的，为了保证该不具备接入能力的终端设备或无需接入网络的终端设备与网络之间进行交互的空口信令的安全性，可以通过本技术图3所示的实施例或图4所示的实施例提供的通信方法实现该不具备接入能力的终端设备或无需接入网络的终端设备与网络之间的安全激活，以保证该不具备接入能力的终端设备或无需接入网络的终端设备与网络之间进行交互的空口信令的安全性。
202.请参阅图2，图2为本技术实施例通信方法的一个实施例示意图。在图2中，该方法包括：
203.201、第一终端设备获取第二终端设备的鉴权信息。
204.其中，该第二终端设备的鉴权信息包括随机数rand和响应res。随机数rand和响应res由该第二终端设备生成或提供的。
205.具体的，该随机数rand为该第二终端设备针对该第二终端设备的鉴权过程生成的随机数。该随机数rand为用于第二终端设备的鉴权的参数。响应res为该第二终端设备根据该第二终端设备的根密钥和该随机数rand计算得到的。其中，第二终端设备的根密钥是第二终端设备签约时udm网元和第二终端设备共同存储的永久密钥。该响应res用于与核心网生成的预期响应(expected response，xres)进行比较，以实现对第二终端设备的鉴权。预期响应xres的生成过程请参阅步骤205的相关介绍。
206.其中，第一终端设备为第二终端设备的辅助终端设备，第二终端设备为不具有接入能力的终端设备或者无需接入网络的终端设备。例如，第二终端设备为超低功耗的定位标签设备。第一终端设备为具有接入能力的终端设备，该第一终端设备用于获取第二终端
设备的鉴权信息，并代替第二终端设备向网络上报该第二终端设备的鉴权信息。
207.可选的，下面示例出第一终端设备获取第二终端设备的鉴权信息的几种可能的实现方式。需要指出的是，本实施例对第一终端设备获取第二终端设备的鉴权信息的获取方式不作限定，第一终端设备还可以通过其他方式获取该第二终端设备的鉴权信息，具体本技术不做限定。
208.1、通过人工将第二终端设备的鉴权信息输入该第一终端设备中。
209.2、第一终端设备通过扫二维码或条形码的方式获取该第二终端设备的鉴权信息。
210.可选的，该鉴权信息还包括以下至少一项：
211.密钥集标识ngksi、架构间反投标下降abba、加密算法(ciphering algorithm)、完整性算法(integrity algorithm)。
212.其中，密钥集标识ngksi为该第二终端设备所使用的密钥集的标识，用于指示网络与该第二终端设备使用同样的密钥集。abba用于amf网元生成第四密钥k
amf。
加密算法为用于对第二终端设备的数据作加密保护的算法。完整性算法为用于对第二终端设备的数据作完整性保护的算法。
213.例如，第二终端设备向无线接入网设备发送上行数据时，第二终端设备可以通过该加密算法对该上行数据进行加密，并且第二终端设备还可以通过该完整性算法对该上行数据进行完整性保护。
214.202、第一终端设备向第一核心网设备发送第一消息。
215.其中，第一消息携带第二终端设备的标识、随机数rand和响应res。可选的，该第二终端设备的标识为用户设备标识(user equipment identity，ue id)。例如，该第二终端设备的订阅隐藏标识符(subscription concealed identifier，suci)、全球唯一临时用户设备标识(globally unique temporary ue identity，guti)。
216.可选的，该第一消息还包括以下至少一项：
217.密钥集标识ngksi、架构间反投标下降abba、加密算法、完整性算法。
218.密钥集标识ngksi用于第二终端设备和amf网元推演(derive)密钥(例如，密钥kgnb)。架构间反投标下降abba用于第二终端设备和安全锚点功能(security anchor function，seaf)网元生成k
amf
。加密算法为用于对第二终端设备的数据进行加密的算法。完整性算法为用于对第二终端设备的数据进行完整性保护的算法。seaf网元用于为终端设备提供鉴权功能。
219.第一消息携带的第二终端设备的鉴权信息的相关介绍请参阅步骤201中的相关介绍，这里不再赘述。
220.可选的，在通信系统中，当seaf网元与amf网元共部署时，统称为amf网元，则该第一核心网网元为amf网元。当seaf网元与amf网元分开部署时，则该第一核心网设备为seaf网元。上述图1a所示的通信系统仅以seaf网元和amf网元共部署为例进行说明，在实际应用中，seaf网元和amf网元可以分开部署，具体本技术不做限定。
221.可选的，该第一消息为非接入层(non access stratum，nas)消息。
222.203、第一核心网设备向ausf网元发送第一请求消息。
223.其中，第一请求消息用于请求为第二终端设备执行鉴权，该第一请求消息携带第二终端设备的标识、随机数rand和响应res。
224.可选的，该第一请求消息为鉴权请求消息(nausf_ueauthentication_authenticate request)。
225.204、ausf网元向udm网元发送第二请求消息。
226.其中，第二请求消息用于请求该第二终端设备的鉴权参数，该第二请求消息携带第二终端设备的标识和随机数rand。
227.可选的，该第二请求消息为鉴权获取请求消息(nudm_ueauthentication_get request)。
228.具体的，ausf网元通过鉴权获取请求消息向udm网元请求鉴权向量，该鉴权获取请求消息携带该第二终端设备的标识和随机数rand。
229.205、udm网元向ausf网元发送鉴权参数。
230.其中，该鉴权参数包括预期响应xres。
231.具体的，预期响应xres为udm网元根据第二终端设备生成或提供的随机数rand以及存储于udm网元的第二终端设备的根密钥生成的。该预期响应xres用于与第二终端设备生成或提供的响应res进行比较，以实现对第二终端设备的鉴权。
232.一种可能的实现方式中，udm网元向ausf网元发送针对第二请求消息的响应消息，该响应消息携带鉴权参数。该针对第二请求消息的响应消息为鉴权获取响应消息(nudm_ueauthentication_get response)。
233.可选的，该响应消息包括鉴权向量，udm网元生成鉴权向量，该鉴权向量包括预期响应xres。可选的，该鉴权向量还包括该随机数rand。需要说明的是，鉴权向量还可以包括其他参数，具体可以参阅现有相关通信协议中对鉴权向量的相关介绍，此处不做介绍。
234.206、ausf网元对响应res和预期响应xres进行验证。
235.具体的，由上述步骤201可知，该响应res是由第二终端设备根据该第二终端设备的根密钥和该第二终端设备生成或提供的随机数rand推演得到的。由上述步骤205可知，预期响应xres为udm网元根据第二终端设备生成或提供的随机数rand以及存储于udm网元的第二终端设备的根密钥生成的。因此，ausf网元可以将响应res与预期响应(expected response，xres)进行一致性对比，对第二终端设备的合法性进行认证；若对比一致，则认证通过，即可以理解为第二终端设备的鉴权成功，则执行步骤209；若对比不一致，则认证不通过，即可以理解为第二终端设备的鉴权失败，则执行步骤207。
236.207、ausf网元向第一核心网设备发送第二鉴权响应(authenticate response)。
237.其中，第二鉴权响应用于指示第二终端设备鉴权失败。
238.ausf网元执行步骤207之后，ausf网元可以进一步执行步骤213，以通知第一终端设备该第二终端设备的鉴权结果。
239.可选地，当ausf对第二终端设备鉴权成功时，图2所示的实施例还包括步骤208、步骤210和步骤211。
240.208、ausf网元根据预期响应xres和随机数rand计算哈希预期响应(hash expected response，hxres)。
241.该哈希预期响应hxres用于与哈希响应hres进行比较，以实现对第二终端设备的鉴权。其中，哈希响应hres的生成过程请参阅步骤210。
242.209、ausf网元向第一核心网设备发送第一鉴权响应(authenticate response)。
243.其中，该第一鉴权响应用于指示第二终端设备鉴权成功，该第一鉴权响应携带第三密钥k
seaf
。
244.具体的，当ausf网元对响应res与预期响应xres进行一致性对比确定认证通过时，则ausf网元可以确定第二终端设备鉴权成功，那么ausf网元通过该第一鉴权响应指示ausf网元对第二终端设备鉴权成功。
245.可选的，如果ausf网元执行步骤208，则该第一鉴权响应还携带该哈希预期响应hxres。
246.210、第一核心网设备根据响应res和随机数rand计算哈希响应hres。
247.211、第一核心网设备对哈希响应hres和哈希预期响应hxres进行验证。
248.由上述步骤208可知，该哈希预期响应hxres是由ausf网元根据预期响应xres和随机数rand生成的。由上述步骤210可知，哈希响应hres是由第一核心网设备根据响应res和随机数rand生成的。因此，第一核心网设备可以将哈希响应hres与哈希预期响应hxres进行一致性对比，对第二终端设备的合法性进行认证；若对比一致，则认证通过，即可以理解为第一核心网设备对第二终端设备鉴权成功，则执行步骤212。应理解，步骤209指示ausf网元对第二终端设备鉴权成功，步骤211用于第一核心网设备对第二终端设备的鉴权。在本实施例包含第一核心网设备进行验证的情况下，当ausf网元和第一核心网设备都对第二终端设备鉴权成功，说明网络对第二终端设备鉴权成功。
249.需要说明的是，若哈希响应hres与哈希预期响应hxres不一致，则认证不通过，即可以理解为第二终端设备的鉴权失败，则第一核心网设备不执行步骤212。进一步地，第一核心网设备可以向第一终端设备反馈第二终端设备鉴权失败。
250.212、第一核心网设备根据第三密钥k
seaf
生成第四密钥k
amf
。
251.第一核心网设备在步骤209接收到第一鉴权响应后，第一核心网设备可以根据第一鉴权响应携带的第三密钥k
seaf
生成第四密钥k
amf
。具体生成第四密钥k
amf
的生成过程与现有k
amf
生成过程类似，具体可以参阅已有相关通信协议的说明，这里不再赘述。
252.具体的，第一核心网设备可以通过第三密钥k
seaf
和架构间反投标下降abba生成第四密钥k
amf
。具体生成第四密钥k
amf
的生成过程与现有k
amf
生成过程类似，具体可以参阅已有相关通信协议的说明，这里不再赘述。
253.下面说明第一核心网设备获取架构间反投标下降abba的方式：
254.方式1、架构间反投标下降abba是第一核心网设备从核心网其他设备获取到的，即架构间反投标下降abba是由核心网生成或提供的。
255.方式2、架构间反投标下降abba是第一终端设备向第一核心网设备发送的，该架构间反投标下降abba是由第二终端设备生成或提供的。在该方式下，则上述图2所示的实施例中步骤201中第一终端设备获取该abba，并且在上述图2所示的实施例的步骤202中第一消息携带该架构间反投标下降abba。
256.需要说明的是，当seaf网元和amf网元共部署时，则第一核心网设备执行步骤212即可；当seaf网元和amf网元分开部署时，该第一核心网设备为seaf网元，那么seaf网元生成该第四密钥k
amf
之后，向amf网元发送该第四密钥k
amf
。
257.可选的，amf网元通过第四密钥k
amf
和密钥集标识ngksi生成该第一密钥k
gnb
，具体的生成过程与现有第一密钥k
gnb
生成过程类似，具体可以参阅已有相关通信协议的说明，这
里不再赘述。其中，第一密钥k
gnb
用于计算对第二终端设备的数据进行加密的密钥。
258.可选的，本实施例还包括步骤213。
259.213、第一核心网设备向第一终端设备发送第二终端设备的鉴权结果。
260.可选地，在步骤206中第二终端设备的鉴权成功或鉴权失败后，第一核心网设备收到鉴权响应后可以向第一终端设备反馈该第二终端设备的鉴权结果。
261.本技术实施例中，第一核心网设备接收第一终端设备发送的第一消息，该第一消息携带第二终端设备的标识、随机数rand和响应res，该随机数rand和该响应res是第二终端设备生成或提供的；然后，第一核心网设备向ausf网元发送第一请求消息，该第一请求消息用于请求为第二终端设备执行鉴权，该第一请求消息携带第二终端设备的标识、随机数rand和响应res。由此可知，本技术实施例的技术方案中，通过辅助终端设备获取第二终端设备的标识和第二终端设备的鉴权信息(例如，鉴权信息包括随机数rand和响应res)，并向ausf网元发送该第二终端设备的标识和第二终端设备的鉴权信息，以实现ausf网元对该第二终端设备的鉴权。因此，通过本技术实施例的技术方案实现在第二终端设备不接入网络的情况下(包括第二终端设备不具备接入能力的情况或者第二终端设备无需接入网络的情况)，网络对该第二终端设备执行鉴权。
262.可选的，上述图2所示的实施例中示出了由ausf网元通过响应res和预期响应xres进行验证实现对第二终端设备的鉴权的实现方式。第一核心网设备也可以进一步地通过哈希响应hres和哈希预期响应hxres进行验证实现对第二终端设备的鉴权的实现方式。在实际应用中，ausf网元也可以不执行步骤206和步骤207，且步骤203的第一请求消息用于第一核心网设备向ausf网元请求哈希预期响应hxres。步骤209的第一鉴权响应用于ausf网元向第一核心网设备发送该哈希预期响应hxres。然后，由第一核心网设备执行步骤210和步骤211以实现对第二终端设备的鉴权，当步骤211中第一核心网设备确定哈希响应hres和哈希预期响应hxres一致时，则第一核心网设备确定对该第二终端设备的鉴权成功；当步骤211中第一核心网设备确定哈希响应hres和哈希预期响应hxres不一致时，则第一核心网设备确定第二终端设备的鉴权失败。
263.请参阅图3，图3为本技术实施例通信方法的另一个实施例示意图。在图3中，该方法包括：
264.301、amf网元向lmf网元发送定位服务请求。
265.其中，该定位服务请求用于请求对第二终端设备进行定位，该定位服务请求携带第二终端设备的标识、第一密钥k
gnb
和加密算法。
266.可选的，该定位服务请求还携带以下至少一项：
267.完整性算法、密钥集标识ngksi、架构间反投标下降abba。
268.具体的，该定位服务请求携带的参数的功能介绍请参阅前述图2所示的实施例中步骤201中相关的功能介绍，这里不再赘述。
269.在步骤301之前，该amf网元生成该第一密钥k
gnb
，具体的生成过程请参阅前述步骤212中第一核心网设备生成第一密钥k
gnb
的相关介绍，这里不再赘述。
270.需要说明的是，加密算法、完整性算法、密钥集标识ngksi和架构间反投标下降abba可以是核心网决定的，那么在该方式下，amf网元从其他核心网设备获取加密算法、完整性算法、密钥集标识ngksi和架构间反投标下降abba。或者，加密算法、完整性算法、密钥
集标识ngksi和架构间反投标下降abba可以是第二终端设备决定的，那么在该方式下，上述步骤202中的第一消息携带该加密算法、完整性算法、密钥集标识ngksi和架构间反投标下降abba。当seaf网元与amf网元共部署时，amf网元为图2所示的实施例的第一核心网设备，amf网元从该第一消息获取该加密算法、完整性算法、密钥集标识ngksi和架构间反投标下降abba。当seaf网元与amf网元分开部署时，即图2所示的实施例中的第一核心网设备为seaf网元，amf网元先接收第一终端设备发送的第一消息，该第一消息携带该加密算法、完整性算法、密钥集标识ngksi和架构间反投标下降abba。amf网元从该第一消息获取该加密算法、完整性算法、密钥集标识ngksi和架构间反投标下降abba。然后，amf网元向seaf网元发送该第一消息。
271.本实施例中，图3所示的实施例中可以是基于图2所示的实施例中第二终端设备鉴权成功的基础上执行的。amf网元通过图2所示的实施例中步骤202中的第一消息获取该第二终端设备的鉴权信息。即本技术实施例中，由第二终端设备决定用于第二终端设备与无线接入网设备之间进行交互的数据的加密算法和完整性算法。
272.需要说明的是，当seaf网元和amf网元分开部署时，即图2所示的实施例中的第一核心网设备为seaf网元，则amf网元接收该第二终端设备的标识和加密算法等，再由amf网元向该seaf网元发送该第二终端设备的标识和加密算法等。当seaf网元和amf网元共部署时，统称为amf网元，则第一核心网设备称为amf网元，amf网元可以通过图2所示的实施例中的第一消息获取该第二终端设备的标识和加密算法等。
273.302、lmf网元向无线接入网设备发送测量请求(measurement request)消息。
274.其中，该测量请求消息携带第一密钥k
gnb
和加密算法。
275.可选的，该测量请求消息还携带以下至少一项：
276.完整性算法、密钥集标识ngksi。
277.具体的，lmf网元通过测量请求消息请求无线接入网设备测量第二终端设备的定位测量量，并在该测量请求消息携带加密算法和第一密钥k
gnb
。例如，该无线接入网设备为图1b所示的gnb，lmf网元通过amf网元向该gnb发送该测量请求消息。
278.需要说明的是，lmf网元也可以通过其他消息向无线接入网设备发送k
gnb
和加密算法，具体本技术不做限定。
279.本实施例中，lmf网元在对第二终端设备作定位时，lmf网元选择一个或多个无线接入网设备，并由该一个或多个无线接入网设备对该第二终端设备进行定位测量。在本实施例中，仅以lmf网元选择一个无线接入网设备对第二终端设备进行定位测量为例进行说明，并不属于对本技术实施例的技术方案的限制。
280.303、无线接入网设备根据第一密钥k
gnb
生成第二密钥。
281.其中，第二密钥用于无线接入网设备对第二终端设备发送的数据进行解密。
282.可选的，无线接入网设备根据第一密钥k
gnb
和密钥集标识ngksi生成第二密钥，具体的计算第二密钥的过程与现有计算用于加密终端设备的数据的加密密钥的流程类似，具体请参阅现有相关通信协议的相关介绍，这里不再赘述。
283.304、第二终端设备向无线接入网设备发送第二终端设备的数据和参考信号。
284.其中，第二终端设备的数据包括以下至少一项：第二终端设备的标识，或者，第二终端设备的电量。该参考信号为srs。
285.305、无线接入网设备根据第二密钥和加密算法对第二终端设备的数据进行解密。
286.具体的，第二终端设备在发送该第二终端设备的数据时，通过该第二密钥和该加密算法对该第二终端设备的数据进行加密。因此，无线接入网设备可以通过该第二密钥和加密算法对该第二终端设备的数据进行解密，得到解密后的该第二终端设备的数据。例如，该第二终端设备的标识，那么无线接入网设备可以确定该srs是由第二终端设备发送的，并对该srs进行测量，得到该第二终端设备的定位测量量。
287.其中，第二终端设备根据第一密钥k
gnb
生成第二密钥。而第二终端设备生成第一密钥k
gnb
的生成过程与前述图2所示的实施例中步骤212中amf网元生成第一密钥k
gnb
的过程类似。第二终端设备生成第一密钥k
gnb
使用的参数(架构间反投标下降abba和密钥集标识ngksi)可以是第二终端设备决定的，也可以是核心网决定的。如果是核心网决定的，则步骤302的测量请求消息中还包括该架构间反投标下降abba和密钥集标识ngksi，然后无线接入网设备广播该架构间反投标下降abba和密钥集标识ngksi，以便于第二终端设备接收该架构间反投标下降abba和密钥集标识ngksi。
288.可选的，图3所示的实施例还包括步骤305a和步骤305b。
289.步骤305a：第二终端设备根据第一密钥k
gnb
生成完整性密钥。
290.具体的，当该测量请求消息还携带完整性算法时，第二终端设备根据该第一密钥k
gnb
生成完整性密钥。在步骤305a之前，第二终端设备生成该第一密钥k
gnb
，而第二终端设备生成第一密钥k
gnb
的生成过程与前述图2所示的实施例中步骤212中amf网元生成第一密钥k
gnb
的过程类似。
291.可选的，第二终端设备根据该第一密钥k
gnb
和密钥集标识ngksi计算完整性密钥，具体的计算过程与现有计算完整性密钥类似，具体请参阅现有相关通信协议的相关介绍，这里不再赘述。
292.步骤305b：第二终端设备根据该完整性密钥和该完整性算法对该第二终端设备的数据进行完整性验证。
293.306、无线接入网设备向lmf网元发送测量响应(measurement response)消息。
294.其中，该测量响应消息携带该第二终端设备的定位测量量。
295.具体的，lmf网元通过该第二终端设备的定位测量量对该第二终端设备的位置进行定位计算。
296.307、lmf网元向amf网元发送定位服务响应。
297.具体的，在第二终端设备的定位过程中，lmf网元选择一个或多个无线接入网设备对第二终端设备作定位测量，lmf网元接收该一个或多个无线接入网设备发送的第二终端设备的定位测量量；然后，lmf根据第二终端设备的定位测量量以及定位算法对第二终端设备进行定位，得到定位结果。然后，lmf网元向amf网元通过该定位服务响应反馈该第二终端设备的定位结果。
298.本技术实施例中，amf网元向lmf网元发送定位服务请求，该定位服务请求携带加密算法和第一密钥k
gnb
；然后，lmf网元向无线接入网设备发送测量请求消息，该测量请求消息携带加密算法和第一密钥k
gnb
。这样无线接入网设备可以通过该第一密钥k
gnb
计算第二密钥，以通过该第二密钥和加密算法对第二终端设备的数据进行解密，并对第二终端设备发送的srs进行测量，以实现对第二终端设备的定位测量量的测量，以便于lmf网元对第二终
端设备的位置的定位。由此可知，辅助终端设备上报第二终端设备决定的加密算法和完整性算法等，以实现第二终端设备的发送加密数据能够被无线接入网设备成功接收。并且，在加密传输机制下，保证了第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
299.上述图3所示的实施例中示出了amf网元通过第二终端设备的位置定位流程过程，告知无线接入网设备该第二终端设备决定的加密算法和完整性算法的实现方式。在实际应用中，也可以是amf网元直接向无线接入网设备发送该第二终端设备的标识、加密算法、完整性算法等，具体本技术不做限定。
300.请参阅图4，图4为本技术实施例通信方法的另一个实施例示意图。在图4中，该方法包括：
301.401、无线接入网设备发送第二消息。
302.该第二消息携带公共密钥，该公共密钥用于计算第二密钥，第二密钥用于无线接入网设备对第二终端设备的数据进行解密。
303.可选的，该第二消息还携带以下至少一项：
304.密钥集标识ngksi、加密算法、完整性算法。对于密钥集标识ngksi、加密算法和完整性算法的功能介绍请参阅图2所示的实施例中步骤201的相关介绍，不同的地方在于，本实施例中密钥集标识ngksi、加密算法和完整性算法是由接入网决定的，或者是由核心网决定后发送给接入网的。
305.本实施例中，图4所示的实施例可以是基于图2所示的实施例中第二终端设备鉴权成功的基础上执行的。
306.本实施例中，该第二消息为广播消息或组播消息。例如，无线接入网设备可以在为第二终端设备配置srs时，通过广播消息广播该公共密钥、加密算法和完整性算法等。
307.对于由核心网决定的情况，下面示出两种可能的实现方式。
308.实现方式1：由amf网元向无线接入网设备发送该公共密钥。
309.可选的，该amf网元还向该无线接入网设备发送以下信息中的至少一项：
310.密钥集标识ngksi、加密算法、完整性算法。
311.实现方式2：由lmf网元向无线接入网设备发送测量请求消息，该测量请求消息携带该公共密钥。在该实现方式2下，图4所示的实施例还包括步骤401a和步骤401b。
312.步骤401a：amf网元向lmf网元发送定位服务请求。
313.其中，该定位服务请求携带该公共密钥。
314.可选的，该定位服务请求还携带以下至少一项：
315.加密算法、完整性算法、密钥集标识ngksi。
316.在该实现方式中，公共密钥、加密算法、完整性算法和密钥集标识ngksi是由核心网中的amf网元决定的，并通过第二终端设备的位置定位过程中告知无线接入网设备。这样无线接入网设备可以通过该公共密钥计算第二密钥，以通过该第二密钥和加密算法对第二终端设备的数据进行解密。
317.步骤401b：lmf网元向无线接入网设备发送测量请求消息。
318.其中，该测量请求消息携带该公共密钥。
319.可选的，该测量请求消息还携带以下至少一项：
320.加密算法、完整性算法、或者、密钥集标识ngksi。
321.具体的，lmf网元通过测量请求消息请求无线接入网设备测量第二终端设备的定位测量量，并在该测量请求消息中携带该公共密钥、加密算法以及完整性算法等。例如，该无线接入网设备为图1b所示的gnb，lmf网元通过amf网元向该gnb发送该测量请求消息。
322.需要说明的是，加密算法和/或完整性算法可以是通过通信协议预先约定的，或者是在第二终端设备和无线接入网设备中预先配置的，所以无线接入网设备发送的第二消息中可以不携带该加密算法和/或完整性算法。
323.402、第二终端设备根据公共密钥生成第二密钥。
324.其中，第二密钥用于第二终端设备对第二终端设备的数据进行加密。
325.可选的，第二终端设备根据第一密钥k
gnb
和公共密钥计算第二密钥，或者，第二终端设备根据第一密钥k
gnb
、公共密钥和密钥集标识ngksi计算第二密钥。而第一密钥k
gnb
可以是由amf网元向第一终端设备发送的。
326.具体的，第二终端设备通过该第二密钥和该加密算法对该第二终端设备的数据进行加密。例如，第二终端设备可以通过椭圆曲线加密方案(elliptic curve integratedencryption scheme，ecies)实现第二密钥的生成和对第二终端设备的数据的加密，具体过程请参阅现有相关通信协议的相关介绍，这里不再赘述。
327.一种可能的实现方式中，图4所示的实施例还包括步骤403。
328.403、第二终端设备根据公共密钥生成完整性密钥。
329.具体的，当该第二消息还携带完整性算法时，第二终端设备根据该公共密钥生成完整性密钥。该完整性密钥用于第二终端设备根据该完整性算法对该第二终端设备的数据进行完整性保护。
330.可选的，该第二终端设备根据第一密钥k
gnb
和公共密钥计算完整性密钥。
331.其中，步骤401中无线接入网设备下发的加密算法用于第二终端设备通过该第二密钥对该第二终端设备的数据进行加密。步骤401中无线接入网设备下发的完整性算法用于第二终端设备通过该完整性密钥对该第二终端设备的数据进行完整性保护。
332.图4所示的实施例中，无线接入网设备通过广播或组播的方式向第二终端设备发送该公共密钥、加密算法和完整性算法等。在图4所示的实施例的基础上，可以通过现有定位流程实现对第二终端设备的位置的定位。在第二终端设备的位置定位过程中，无线接入网设备可以通过该第二密钥以及该加密算法实现对第二终端设备的数据的解密，和通过该完整性密钥以及完整性算法对第二终端设备的数据的完整性验证。可选的，无线接入网设备可以通过ecies实现对第二终端设备的数据的解密，具体的解密过程请参阅现有相关通信协议的相关介绍，这里不再赘述。
333.本技术实施例中，无线接入网设备发送第二消息，该第二消息携带公共密钥；然后，第二终端设备根据该公共密钥生成该第二密钥。这样第二终端设备可以通过该第二密钥对该第二终端设备的数据进行加密，而无线接入网设备可以通过该第二密钥对第二终端设备的数据进行解密，以保证第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。例如，在第二终端设备的位置定位过程中，无线接入网设备对该第二终端设备发送的第二终端设备的数据(例如，该第二终端设备的标识)进行解密，并对第二终端设备发送的srs进行测量，以实现对第二终端设备的定位测量量的测量，以便于lmf网元对第二终端
设备的位置的定位。由此可知，无线接入网设备广播该无线接入网设备或核心网决定的公共密钥、加密算法和完整性算法等，以实现第二终端设备通过第二密钥对第二终端设备的数据进行加密，这样无线接入网设备能够成功接收该第二终端设备的加密数据。并且，在加密传输机制下，保证了第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
334.下面对本技术实施例提供的通信装置进行描述。请参阅图5，图5为本技术实施例通信装置的一个结构示意图。该通信装置可以用于执行图2所示的实施例中第一核心网设备执行的步骤，可以参考上述方法实施例中的相关描述。
335.该通信装置包括收发模块501。可选的，该通信装置还包括处理模块502。
336.该收发模块501，用于接收第一终端设备发送的第一消息，该第一消息携带第二终端设备的标识、随机数rand和响应res，该随机数rand和响应res是该第二终端设备生成的；向ausf网元发送第一请求消息，该第一请求消息用于请求为第二终端设备执行鉴权，该第一请求消息携带第二终端设备的标识、该随机数rand和响应res；接收ausf网元发送的第一鉴权响应，该第一鉴权响应用于指示第二终端设备鉴权成功。
337.一种可能的实现方式中，第一消息还包括以下至少一项：密钥集标识ngksi、架构间反投标下降abba、加密算法、或者、完整性算法；其中，该加密算法为用于对第二终端设备的数据作加密保护的算法，该完整性算法为用于对第二终端设备的数据作完整性保护的算法。
338.另一种可能的实现方式中，该第一鉴权响应携带第三密钥k
seaf
；
339.该处理模块502，用于根据该第三密钥k
seaf
生成第四密钥k
amf
。
340.另一种可能的实现方式中，该第一鉴权响应还携带哈希预期响应(hash expected response，hxres)；该处理模块502具体用于：
341.根据响应res和随机数rand计算哈希响应hres；对该哈希响应hres和哈希预期响应hxres进行验证；当验证通过时，根据第三密钥k
seaf
生成第四密钥k
amf
。
342.另一种可能的实现方式中，该收发模块501还用于：
343.向第一终端设备发送第二终端设备的鉴权结果。
344.另一种可能的实现方式中，该收发模块501还用于：
345.向lmf网元发送定位服务请求，该定位服务请求携带第二终端设备的标识、加密算法和第一密钥k
gnb
；接收lmf网元发送的定位服务响应，该定位服务响应携带第二终端设备的定位结果。
346.另一种可能的实现方式中，该定位服务请求还携带以下至少一项：完整性算法、或者、密钥集标识ngksi。
347.本技术实施例中，收发模块501接收第一终端设备发送的第一消息，该第一消息携带第二终端设备的标识、随机数rand和响应res，该随机数rand和响应res是该第二终端设备生成的；收发模块501向ausf网元发送第一请求消息，该第一请求消息用于请求为第二终端设备执行鉴权，该第一请求消息携带第二终端设备的标识、该随机数rand和响应res；收发模块501接收ausf网元发送的第一鉴权响应，该第一鉴权响应用于指示第二终端设备鉴权成功，从而实现在第二终端设备不接入网络的情况下(包括第二终端设备不具备接入能力的情况或者第二终端设备无需接入网络的情况)，网络对该第二终端设备的鉴权。
348.下面对本技术实施例提供的第一终端设备进行描述。请参阅图6，图6为本技术实施例第一终端设备的一个结构示意图。该第一终端设备可以用于执行图2所示的实施例中第一终端设备执行的步骤，可以参考上述方法实施例中的相关描述。
349.该第一终端设备包括处理模块601和收发模块602。
350.处理模块601，用于获取第二终端设备的标识、随机数rand和响应res，该随机数rand和响应res是第二终端设备生成的；
351.收发模块602，用于向第一核心网设备发送第一消息，该第一消息携带第二终端设备的的标识、随机数rand和响应res。
352.一种可能的实现方式中，该第一消息还包括以下至少一项：密钥集标识ngksi，架构间反投标下降abba，加密算法、完整性算法。
353.另一种可能的实现方式中，该收发模块602还用于：
354.接收第一核心网设备发送的第二终端设备的鉴权结果。
355.本技术实施例中，处理模块601获取第二终端设备的标识、随机数rand和响应res，该随机数rand和响应res是第二终端设备生成的；收发模块602向第一核心网设备发送第一消息，该第一消息携带第二终端设备的的标识、随机数rand和响应res。以实现网络对该第二终端设备的鉴权。从而实现在第二终端设备不接入网络的情况下(包括第二终端设备不具备接入能力的情况或者第二终端设备无需接入网络的情况)，网络对该第二终端设备的鉴权。
356.下面对本技术实施例提供的通信装置进行描述。请参阅图7，图7为本技术实施例通信装置的一个结构示意图。该通信装置可以用于执行图2所示的实施例中ausf网元执行的步骤，可以参考上述方法实施例中的相关描述。
357.该通信装置包括收发模块701和处理模块702。
358.该收发模块701，用于接收第一核心网设备发送的第一请求消息，该第一请求消息携带第二终端设备的标识、随机数rand和响应res，该随机数rand和该响应res是该第二终端设备生成的；
359.该处理模块702，用于向udm网元发送第二请求消息，该第二请求消息用于请求第二终端设备的鉴权参数，该第二请求消息携带第二终端设备的标识和随机数rand；
360.该收发模块701，还用于接收udm网元发送的鉴权参数，该鉴权参数包括预期响应xres，该预期响应srex是udm网元根据随机数rand生成的；
361.该处理模块702，还用于对该响应res和该预期响应xres进行验证；
362.该收发模块701，还用于当验证通过时，向第一核心网设备发送第一鉴权响应，该第一鉴权响应用于指示第二终端设备鉴权成功。
363.一种可能的实现方式中，该处理模块702还用于：
364.根据预期响应xres和该随机数rand生成哈希预期响应hxres；
365.该收发模块701具体用于：
366.向第一核心网设备发送该第一鉴权响应，该第一鉴权响应携带该哈希预期响应hxres。
367.本技术实施例中，收发模块701接收第一核心网设备发送的第一请求消息，该第一请求消息携带第二终端设备的标识、随机数rand和响应res，该随机数rand和该响应res是
该第二终端设备生成的；处理模块702向udm网元发送第二请求消息，该第二请求消息用于请求第二终端设备的鉴权参数，该第二请求消息携带第二终端设备的标识和随机数rand；该收发模块701接收udm网元发送的鉴权参数，该鉴权参数包括预期响应xres，该预期响应srex是udm网元根据随机数rand生成的；该处理模块702对该响应res和该预期响应xres进行验证；当验证通过时，该收发模块701向第一核心网设备发送第一鉴权响应，该第一鉴权响应用于指示第二终端设备鉴权成功。从而实现在第二终端设备不接入网络的情况下(包括第二终端设备不具备接入能力的情况或者第二终端设备无需接入网络的情况)，网络对该第二终端设备的鉴权。
368.下面对本技术实施例提供的通信装置进行描述。请参阅图8，图8为本技术实施例通信装置的一个结构示意图。该通信装置可以用于执行图3所示的实施例中无线接入网设备执行的步骤，可以参考上述方法实施例中的相关描述。
369.该通信装置包括收发模块801和处理模块802。
370.收发模块801，用于接收lmf网元发送的测量请求消息，该测量请求消息携带加密算法和第一密钥k
gnb
；
371.处理模块802，用于根据该第一密钥k
gnb
计算第二密钥；根据该第二密钥和该加密算法对该第二终端设备的数据进行解密；
372.该收发模块801，还用于向lmf网元发送测量响应消息，该测量响应消息携带该第二终端设备的定位测量量。
373.一种可能的实现方式中，该测量请求消息还携带以下至少一项：完整性算法、或者、密钥集标识ngksi；其中，该完整性算法为用于对该第二终端设备的数据作完整性保护的算法。
374.另一种可能的实现方式中，该处理模块802还用于：
375.根据第一密钥k
gnb
计算完整性密钥；
376.根据该完整性密钥和完整性算法对该第二终端设备的数据进行完整性验证。
377.本技术实施例中，收发模块801接收lmf网元发送的测量请求消息，该测量请求消息携带加密算法和第一密钥k
gnb
；处理模块802根据该第一密钥k
gnb
计算第二密钥，并根据该第二密钥和该加密算法对该第二终端设备的数据进行解密。以实现第二终端设备的发送加密数据能够被该通信装置成功接收。并且，在加密传输机制下，保证了第二终端设备与该通信装置之间进行交互的空口信令的安全性。
378.下面对本技术实施例提供的通信装置进行描述。请参阅图9，图9为本技术实施例通信装置的一个结构示意图。该通信装置可以用于执行图3所示的实施例中lmf网元执行的步骤，可以参考上述方法实施例中的相关描述。
379.该通信装置包括收发模块901和处理模块902。
380.收发模块901，用于接收第一核心网设备发送的定位服务请求，该定位服务请求携带第二终端设备的标识、第一密钥k
gnb
和加密算法；向无线接入网设备发送测量请求消息，其中，该测量请求消息携带加密算法和第一密钥k
gnb
，该加密算法为用于第二终端设备对第二终端设备的数据进行加密的算法；接收无线接入网设备发送的测量响应消息，该测量响应消息携带该第二终端设备的定位测量量；
381.该处理模块902，用于根据该测量响应消息携带的定位测量量对第二终端设备进
行定位，得到第二终端设备的定位结果；
382.该收发模块901，还用于向第一核心网设备发送定位服务请求，该定位服务请求携带该第二终端设备的定位结果。
383.一种可能的实现方式中，该定位服务请求还携带以下至少一项：完整性算法、或者密钥集标识ngksi；该测量请求消息还携带以下至少一项：该完整性算法、或者、该密钥集标识ngksi；其中，该完整性算法为用于对该第二终端设备的数据作完整性保护的算法。
384.本实施例中，在第二终端设备的定位过程中，收发模块901向无线接入网设备发送第一密钥k
gnb
和加密算法，以实现第二终端设备与无线接入网设备之间对加密算法和密钥的协商，保证第二终端设备与无线接入网设备之间交互的信令的安全性。并且，收发模块901接收无线接入网设备发送的测量响应消息，该测量响应消息携带该第二终端设备的定位测量量；然后，该处理模块902根据该定位测量量对该第二终端设备进行定位，得到第二终端设备的定位结果，并通过收发模块901向第一核心网设备发送定位服务请求，该定位服务请求携带该第二终端设备的定位结果，从而实现对第二终端设备的定位。
385.下面对本技术实施例提供的通信装置进行描述。请参阅图10，图10为本技术实施例通信装置的一个结构示意图。该通信装置可以用于执行图4所示的实施例中无线接入网设备执行的步骤，可以参考上述方法实施例中的相关描述。
386.该通信装置包括收发模块1001。
387.收发模块1001，用于发送第二消息，该第二消息携带公共密钥，该公共密钥用于计算第二密钥，该第二密钥用于该通信装置对第二终端设备的数据进行解密。
388.一种可能的实现方式中，该第二消息还携带以下至少一项：密钥集标识ngksi、加密算法、或者、完整性算法；其中，加密算法为用于对第二终端设备的数据作加密保护的算法，完整性算法为用于对第二终端设备的数据作完整性保护的算法。
389.另一种可能的实现方式中，该收发模块1001还用于：
390.接收amf网元发送的以下信息中的至少一项：公共密钥、加密算法、密钥集标识ngksi、或者、完整性算法。
391.另一种可能的实现方式中，该收发模块1001还用于：
392.接收lmf网元发送的测量请求消息，该测量请求消息携带以下至少一项：公共密钥、加密算法、密钥集标识ngksi、或者、完整性算法。
393.本技术实施例中，收发模块1001发送第二消息，该第二消息携带公共密钥，该公共密钥用于计算第二密钥，该第二密钥用于该通信装置对第二终端设备的数据进行解密。这样第二终端设备可以通过该第二密钥对该第二终端设备的数据进行加密，而该通信装置可以通过该第二密钥对第二终端设备的数据进行解密，以保证第二终端设备与该通信装置之间进行交互的空口信令的安全性。
394.下面对本技术实施例提供的第二终端设备进行描述。请参阅图11，图11为本技术实施例通信装置的一个结构示意图。该通信装置可以用于执行图4所示的实施例中第二终端设备执行的步骤，可以参考上述方法实施例中的相关描述。
395.该通信装置包括收发模块1101和处理模块1102。
396.收发模块1101，用于接收无线接入网设备的第二消息，该第二消息携带公共密钥；
397.处理模块1102，用于根据该公共密钥计算第二密钥，该第二密钥用于该第二终端
设备对该第二终端设备的数据进行加密。
398.一种可能的实现方式中，该第二消息还携带以下至少一项：密钥集标识ngksi、加密算法、或者、完整性算法；其中，加密算法为用于对第二终端设备的数据作加密保护的算法，完整性算法为用于对第二终端设备的数据作完整性保护的算法。
399.另一种可能的实现方式中，该处理模块1102，用于根据公共密钥计算完整性密钥，该完整性密钥用于第二终端设备通过完整性算法对第二终端设备的数据进行完整性保护。
400.另一种可能的实现方式中，该处理模块1102还用于：
401.根据公共密钥计算完整性密钥，该完整性密钥用于第二终端设备通过完整性算法对第二终端设备的数据进行完整性保护。
402.本技术实施例中，收发模块1101接收无线接入网设备的第二消息，该第二消息携带公共密钥；处理模块1102根据该公共密钥计算第二密钥，该第二密钥用于该第二终端设备对该第二终端设备的数据进行加密。第二终端设备可以通过该第二密钥对该第二终端设备的数据进行加密，而无线接入网设备可以通过该第二密钥对第二终端设备的数据进行解密，以保证第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
403.下面对本技术实施例提供的通信装置进行描述。请参阅图12，图12为本技术实施例通信装置的一个结构示意图。该通信装置包括收发模块1201。
404.收发模块1201，用于接收amf网元发送的定位服务请求，该定位服务请求携带第二终端设备的标识和公共密钥，该公共密钥用于计算第二密钥，该第二密钥用于该第二终端设备对该第二终端设备的数据进行加密；向无线接入网设备发送测量请求消息，该测量请求消息携带公共密钥。
405.一种可能的实现方式中，该定位服务请求还携带以下至少一项：加密算法、完整性算法、或者、密钥集标识ngksi；该测量请求消息还携带以下至少一项：该加密算法、该完整性算法、或者、该密钥集标识ngksi；其中，该加密算法为用于对该第二终端设备的数据作加密保护的算法，该完整性算法为用于对该第二终端设备的数据作完整性保护的算法。
406.本实施例中，核心网决定该公共密钥，在第二终端设备的定位过程中，由收发模块1201向lmf网元发送该公共密钥，以便于lmf网元向无线接入网设备发送该公共密钥，这样无线接入网设备可以通过广播或组播的方式发送该公共密钥，以实现第二终端设备与无线接入网设备对密钥的协商，从而保证第二终端设备与无线接入网设备之间进行交互的空口信令的安全性。
407.本技术还提供一种通信装置，请参阅图13，本技术实施例中通信装置的另一个结构示意图，该通信装置可以用于执行图2所示实施例中第一核心网设备执行的步骤，可以参考上述方法实施例中的相关描述。
408.该通信装置包括：处理器1301、存储器1302和收发器1303。
409.一种可能的实现方式中，该处理器1301、存储器1302和收发器1303分别通过总线相连，该存储器中存储有计算机指令。
410.前述实施例中的处理模块502具体可以是本实施例中的处理器1301，因此该处理器1301的具体实现不再赘述。前述实施例中的收发模块501则具体可以是本实施例中的收发器1303，因此收发器1303的具体实现不再赘述。
411.本技术实施例还提供一种第一终端设备，该第一终端设备可以用于执行上述方法
实施例中由第一终端设备所执行的动作。
412.图14示出了一种简化的终端设备的结构示意图。为了便于理解和图示方式，图14中，终端设备以手机作为例子。如图14所示，第一终端设备包括处理器、存储器、射频电路、天线及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对第一终端设备进行控制，执行软件程序，处理软件程序的数据等。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。需要说明的是，有些种类的终端设备可以不具有输入输出装置。
413.当需要发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。为便于说明，图14中仅示出了一个存储器和处理器。在实际的终端设备产品中，可以存在一个或多个处理器和一个或多个存储器。存储器也可以称为存储介质或者存储设备等。存储器可以是独立于处理器设置，也可以是与处理器集成在一起，本技术实施例对此不做限制。
414.在本技术实施例中，可以将具有收发功能的天线和射频电路视为第一终端设备的收发单元，将具有处理功能的处理器视为第一终端设备的处理单元。如图14所示，第一终端设备包括收发单元1410和处理单元1420。收发单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器，处理单板，处理模块、处理装置等。可选的，可以将收发单元1410中用于实现接收功能的器件视为接收单元，将收发单元1410中用于实现发送功能的器件视为发送单元，即收发单元1410包括接收单元和发送单元。收发单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。
415.应理解，收发单元1410用于执行上述方法实施例中第一终端设备侧的发送操作和接收操作，处理单元1420用于执行上述方法实施例中第一终端设备上除了收发操作之外的其他操作。
416.例如，一种可能的实现方式中，在下行定位场景中，该收发单元1410用于执行图2中的步骤202和步骤213中第一终端设备侧的收发操作，和/或收发单元910还用于执行本技术实施例中第一终端设备的其他收发步骤；处理单元1420，用于执行图2中的步骤201，和/或处理单元1420还用于执行本技术实施例中终端设备侧的其他处理步骤。
417.当该第一终端设备为芯片时，该芯片包括收发单元和处理单元。其中，该收发单元可以是输入输出电路、通信接口；处理单元为该芯片上集成的处理器或者微处理器或者集成电路。
418.本技术还提供一种通信装置，请参阅图15，本技术实施例中通信装置的另一个结构示意图，该通信装置可以用于执行图2所示实施例中ausf网元执行的步骤，可以参考上述方法实施例中的相关描述。
419.该通信装置包括：处理器1501、存储器1502和收发器1503。
420.一种可能的实现方式中，该处理器1501、存储器1502和收发器1503分别通过总线
相连，该存储器中存储有计算机指令。
421.前述实施例中的处理模块702具体可以是本实施例中的处理器1501，因此该处理器1501的具体实现不再赘述。前述实施例中的收发模块701则具体可以是本实施例中的收发器1503，因此收发器1503的具体实现不再赘述。
422.本技术还提供一种通信装置，请参阅图16，本技术实施例中通信装置的另一个结构示意图，该通信装置可以用于执行图3所示实施例中无线接入网设备执行的步骤，可以参考上述方法实施例中的相关描述。
423.该通信装置包括：处理器1601、存储器1602和收发器1603。
424.一种可能的实现方式中，该处理器1601、存储器1602和收发器1603分别通过总线相连，该存储器中存储有计算机指令。
425.前述实施例中的处理模块802具体可以是本实施例中的处理器1601，因此该处理器1601的具体实现不再赘述。前述实施例中的收发模块801则具体可以是本实施例中的收发器1603，因此收发器1603的具体实现不再赘述。
426.本技术还提供一种通信装置，请参阅图17，本技术实施例中通信装置的另一个结构示意图，该通信装置可以用于执行图3所示实施例中lmf网元执行的步骤，可以参考上述方法实施例中的相关描述。
427.该通信装置包括：处理器1701、存储器1702和收发器1703。
428.一种可能的实现方式中，该处理器1701、存储器1702和收发器1703分别通过总线相连，该存储器中存储有计算机指令。
429.前述实施例中的收发模块901则具体可以是本实施例中的收发器1703，因此收发器1703的具体实现不再赘述。
430.本技术还提供一种通信装置，请参阅图18，本技术实施例中通信装置的另一个结构示意图，该通信装置可以用于执行图4所示实施例中无线接入网设备执行的步骤，可以参考上述方法实施例中的相关描述。
431.该通信装置包括：处理器1801、存储器1802和收发器1803。
432.一种可能的实现方式中，该处理器1801、存储器1802和收发器1803分别通过总线相连，该存储器中存储有计算机指令。
433.前述实施例中的收发模块1001则具体可以是本实施例中的收发器1803，因此收发器1803的具体实现不再赘述。
434.本技术实施例还提供一种第二终端设备，该第二终端设备可以用于执行上述方法实施例中由第二终端设备所执行的动作。第二终端设备的结构与第一终端设备的结构类似，具体可以参阅图14所示的第一终端设备的相关说明。
435.本技术还提供一种通信装置，请参阅图19，本技术实施例中通信装置的另一个结构示意图。
436.该通信装置包括：处理器1901、存储器1902和收发器1903。
437.一种可能的实现方式中，该处理器1901、存储器1902和收发器1903分别通过总线相连，该存储器中存储有计算机指令。
438.前述实施例中的收发模块1201则具体可以是本实施例中的收发器1903，因此收发器1903的具体实现不再赘述。
439.请参阅图20，本技术实施例还提供了一种通信系统，该通信系统包括如图5所示的通信装置、如图6所示的第一终端设备和如图7所示的通信装置。其中，图5所示的通信装置用于执行图2所示的实施例中第一核心网设备执行的全部或部分步骤，图6所示的第一终端设备用于执行图2所示的实施例中第一终端设备执行的全部或部分步骤，图7所示的通信装置用于执行图2所示的实施例中ausf网元执行的全部或部分步骤。
440.可选的，该通信系统还包括如图8所示的通信装置和如图9所示的通信装置。该如图8所示的通信装置用于执行图3所示的实施例中无线接入网设备执行的全部或部分步骤，图9所示的通信装置用于执行图3所示的实施例中lmf网元执行的全部或部分步骤。
441.请参阅图21，本技术实施例还提供了一种通信系统，该通信系统包括如图10所示的通信装置和图11所示的第二终端设备。其中，图10所示的通信装置用于执行图4所示的实施例中无线接入网设备执行的全部或部分步骤，图11所示的第二终端设备用于执行图4所示的实施例中第二终端设备执行的全部或部分步骤。
442.可选的，该通信系统还包括如图12所示的通信装置。
443.本技术实施例还提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得该计算机执行如上述图2、图3和图4所示的实施例的通信方法。
444.本技术实施例还提供了一种计算机可读存储介质，包括计算机指令，当该计算机指令在计算机上运行时，使得计算机执行如上述图2、图3和图4所示的实施例的通信方法。
445.本技术实施例还提供一种芯片装置，包括处理器，用于与存储器相连，调用该存储器中存储的程序，以使得该处理器执行上述图2、图3和图4所示的实施例的通信方法。
446.其中，上述任一处提到的处理器，可以是一个通用中央处理器，微处理器，特定应用集成电路(application-specific integrated circuit，asic)，或一个或多个用于控制上述图2、图3和图4所示的实施例的通信方法的程序执行的集成电路。上述任一处提到的存储器可以为只读存储器(read-only memory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，ram)等。
447.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
448.在本技术所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
449.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
450.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
451.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
452.以上所述，以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。