具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请提供的技术方案可以应用于各种通信系统，例如：第五代(5thGeneration，5G)移动通信系统或新无线接入技术(new radio access technology，NR)。其中，5G移动通信系统可以包括非独立组网(non-standalone，NSA)和/或独立组网(standalone，SA)。

本申请提供的技术方案可以应用于终端设备建立多个协议数据单元(protocoldata unit，PDU)会话的任何场景中。

本申请提供的技术方案还可以应用于机器类通信(machine typecommunication，MTC)、机器间通信长期演进技术(Long Term Evolution-machine，LTE-M)、设备到设备(device-to device，D2D)网络、机器到机器(machine to machine，M2M)网络、物联网(internet of things，IoT)网络或者其他网络。其中，IoT网络例如可以包括车联网。其中，车联网系统中的通信方式统称为车到其他设备(vehicle to X，V2X，X可以代表任何事物)，例如，该V2X可以包括：车辆到车辆(vehicle to vehicle，V2V)通信，车辆与基础设施(vehicle to infrastructure，V2I)通信、车辆与行人之间的通信(vehicle topedestrian，V2P)或车辆与网络(vehicle to network，V2N)通信等。

为便于理解本申请实施例，首先结合图1详细说明适用于本申请实施例的网络架构。

图1是适用于本申请实施例提供的方法的网络架构的示意图。如图1所示，该网络架构例如是第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)定义的5G系统(the 5h generation system，5GS)。该网络架构可以分为接入网(access network，AN)和核心网(core network，CN)两部分。其中，接入网可用于实现无线接入有关的功能，接入网可以包含3GPP接入网(或者说3GPP接入技术)和非第三代合作伙伴计划(non-3GPP)接入网(或者说non-3GPP接入技术)。核心网主要包括以下几个关键逻辑网元：接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、用户面功能(user plane function，UPF)网元、策略控制功能(policy control function，PCF)网元和统一数据管理(unified datamanagement，UDM)网元等。

下面对图1中示出的各网元做简单介绍：

1、用户设备(user equipment，UE)：可以称终端设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。

终端设备可以是一种向用户提供语音/数据连通性的设备，例如，具有无线连接功能的手持式设备、车载设备等。目前，一些终端的举例可以为：手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑(如笔记本电脑、掌上电脑等)、移动互联网设备(mobileinternet device，MID)、虚拟现实(virtual reality，VR)设备、增强现实(augmentedreality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端、蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备等。

此外，终端设备还可以是物联网(Internet of things，IoT)系统中的终端设备。IoT是未来信息技术发展的重要组成部分，其主要技术特点是将物品通过通信技术与网络连接，从而实现人机互连，物物互连的智能化网络。IoT技术可以通过例如窄带(narrowband)NB技术，做到海量连接，深度覆盖，终端省电。

此外，终端设备还可以包括智能打印机、火车探测器、加油站等传感器，主要功能包括收集数据(部分终端设备)、接收网络设备的控制信息与下行数据，并发送电磁波，向网络设备传输上行数据。

应理解，终端设备可以是任何可以接入网络的设备。终端设备与接入网设备之间可以采用某种空口技术相互通信。

2、接入网(access network，AN)：接入网可以为特定区域的授权用户提供入网功能，包含无线接入网(radio access network，RAN)设备和AN设备。RAN设备主要是3GPP网络无线网络设备，AN设备可以是non-3GPP定义的接入网设备。

接入网络可以为采用不同接入技术的接入网络。目前的无线接入技术有两种类型：3GPP接入技术(例如3G、4G或5G系统中采用的无线接入技术)和非3GPP(non-3GPP)接入技术。3GPP接入技术是指符合3GPP标准规范的接入技术，例如，5G系统中的接入网设备称为下一代基站节点(next generation Node Base station，gNB)或者RAN。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以无线保真(wireless fidelity，WiFi)中的接入点(access point，AP)为代表的空口技术、全球互联微波接入(worldwideinteroperability for microwave access，WiMAX)、码分多址(code division multipleaccess，CDMA)网络等。接入网设备(AN设备)可以允许终端设备和3GPP核心网之间采用非3GPP技术互连互通。

基于无线通信技术实现接入网络功能的接入网可以称为RAN。无线接入网能够负责空口侧的无线资源管理、服务质量(quality of service，QoS)管理、数据压缩和加密等功能。无线接入网为终端设备提供接入服务，进而完成控制信号和用户数据在终端和核心网之间的转发。

无线接入网例如可以包括但不限于：宏基站、微基站(也称为小站)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base stationcontroller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，homeevolved NodeB，或home Node B，HNB)、基带单元(baseband unit，BBU)，WiFi系统中的AP、无线中继节点、无线回传节点、传输点(transmission point，TP)或者发送接收点(transmission and reception point，TRP)等，还可以为5G(如，NR)系统中的gNB或传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)，或者下一代通信6G系统中的基站等。本申请实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。

接入网可以为小区提供服务。终端设备可以通过接入网设备分配的传输资源(例如，频域资源，或者说，频谱资源)与小区通信。

3、AMF网元：主要用于移动性管理和接入管理等，如用户位置更新、用户注册网络、用户切换等。AMF还可用于实现移动性管理实体(mobility management entity，MME)中除会话管理之外的其它功能。例如，合法监听、或接入授权(或鉴权)等功能。

4、SMF网元：主要用于会话管理、UE的网际协议(Internet Protocol，IP)地址分配和管理、选择可管理用户平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。在本申请实施例中，SMF主要用户负责移动网络中的会话管理，如会话建立、修改、释放等。具体功能例如可以包括为终端设备分配IP地址、选择提供报文转发功能的UPF等。

5、UPF网元：负责终端设备中用户数据的转发和接收。UPF网元可以从数据网络(data network，DN)接收用户数据，通过接入网设备传输给终端设备。UPF网元还可以通过接入网设备从终端设备接收用户数据，转发到数据网络。UPF网元中为终端设备提供服务的传输资源和调度功能由SMF网元管理控制的。

6、数据网络(DN)：用于为用户提供数据服务的服务网络。例如，因特网(Internet)、第三方的业务网络、IP多媒体服务业务(IP multi-media service，IMS)网络等。

7、认证服务网元(authentication server function，AUSF)：主要用于用户鉴权等。

8、网络开放功能(network exposure function，NEF)网元：主要用于支持能力和事件的开放，如用于安全地向外部开放由3GPP网络功能提供的业务和能力等。

9、网络存储网元((network function(NF)repository function，NRF)：用于保存网络功能实体以及其提供服务的描述信息，以及支持服务发现，网元实体发现等。

10、PCF网元：用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF，SMF网元等)提供策略规则信息，负责获取与策略决策相关的用户签约信息等。

11、UDM网元：用于生成认证信任状，用户标识处理(如存储和管理用户永久身份等)，接入授权控制和签约数据管理等。

12、应用功能(application function，AF)网元：主要支持与3GPP核心网交互来提供服务，例如影响数据路由决策、与策略控制功能(PCF)交互、或者向网络侧提供第三方等。

在图1所示的网络架构中，各网元之间可以通过图中所示的接口通信，部分接口可以采用服务化接口的方式实现。如图所示，UE和AMF之间可以通过N1接口进行交互，交互消息例如可以称为N1消息(N1 Message)。RAN和AMF之间可以通过N2接口进行交互，N2接口可以用于非接入层(non-access stratum，NAS)消息的发送等。RAN和UPF之间可以通过N3接口进行交互，N3接口可以用于传输用户面的数据等。SMF和UPF之间可以通过N4接口进行交互，N4接口可以用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息。UPF和DN之间可以通过N6接口进行交互，N6接口可以于传输用户面的数据等。其他接口与各网元之间的关系如图1中所示，为了简洁，这里不一一详述。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从传统点到点的架构和服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

还应理解，图1中所示的AMF、SMF、UPF、网络切片选择功能网元(network sliceselection function，NSSF)、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对于上述网元的具体形态不作限定。

还应理解，上述命名仅为便于区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。图1中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

为便于理解本申请实施例，首先对本申请中涉及到的术语做简单说明。

1、协议数据单元(protocol data unit，PDU)会话(PDU session)

5G核心网(5G corenet，5GC)支持PDU连接业务。PDU连接业务可以是指终端设备与DN之间交换PDU数据包的业务。PDU连接业务通过终端设备发起PDU会话的建立来实现。一个PDU会话建立后，也就是建立了一条终端设备和DN的数据传输通道。换句话说，PDU会话是UE级别的。每个终端设备可以建立一个或多个PDU会话。终端设备可以通过终端设备到DN之间建立的PDU会话，来访问DN。

如前所述，SMF主要用户负责移动网络中的会话管理。PDU会话在终端设备和SMF之间可以通过NAS会话管理(session management，SM)信令进行建立、修改或释放。

在本申请实施例中，终端设备可以建立多个PDU会话或者说多个PDU连接业务，如终端设备可以建立两个或两个以上的PDU会话，关于该多个PDU会话，不作限定。例如，这些PDU会话的DN标识(data network name，DNN)可以不同，也可以相同。又如，不同的PDU会话可以由相同的SMF服务，也可以由不同的SMF服务。又如，这些PDU会话的建立可以同时发起或先后发起。

2、二次认证

在网络安全方面，网络的首要任务包括：要对接入网络的终端进行身份认证和授权。一个终端设备只有通过了认证后，才可以接入3GPP网络，并进一步请求建立PDU会话来访问DN上的各种业务。

目前的4G网络，终端设备的认证与授权都是由运营商网络直接进行，在5G标准化中，这类认证方法被称为主认证(Primary Authentication)，或者也可以称为第一级认证。随着垂直行业和物联网的发展，可以预见，运营商网络之外的DN对于接入到DN(虽然是通过运营商网络)的终端设备同样有认证与授权的需求。为了因应这种需求，3GPP在5G安全标准化中，定义了一种新型的认证方式，被称为二次认证(Secondary Authentication)，或者也可以称为第二级认证，这种认证方式可以由运营商网络以外的数据网络通过运营商网络对终端设备进行认证或授权。

在终端设备接入到运营商网络中，终端设备与运营商网络进行第一级认证成功之后，若终端设备需要接入某一DN，终端设备与运营商网络建立PDU会话。在终端设备与网络建立PDU会话的过程中，终端设备与DN对应的认证服务器(即认证网元)之间会进行第二级认证，该DN对应的认证服务器包括用于执行二次认证的网元。PDU会话的建立可由终端设备或者运营商网络的核心网(core network，CN)触发。在PDU会话建立过程中或建立之后，由运营商网络发起二次认证流程。例如，终端设备可向运营商网络发送认证请求，运营商网络可将认证请求转发给DN所对应的认证服务器，以便该DN所对应的认证服务器进行DN与终端设备之间的认证和/或授权。其中，DN所对应的认证服务器(如简称为DN的认证服务器)例如可以为：认证、授权、计费(authentication，authorization,and accounting，AAA)服务器(server)(AAA服务器)。DN所对应的认证服务器对终端设备的认证和/或者授权的结果会发送给运营商网络，运营商网络基于此结果来确认是否为终端设备建立相应的PDU会话连接。

为便于理解，结合图2简单介绍二次认证的流程。

201，终端设备向AMF发送注册请求。

202，终端设备与运营商网络进行第一级认证。

AMF接收到终端设备发送的注册请求之后，可触发AUSF执行终端设备与运营商网络之间的第一级认证。

可选地，AUSF执行终端设备与运营商网络的第一级认证过程中，可从UDM中获取第一级认证所需的认证信息，进而可根据UDM生成的认证信息或者存储的认证信息，实现终端设备与运营商网络之间的第一级认证。

203，终端设备和AMF之间建立NAS安全。

终端设备与运营商网络之间的第一级认证通过之后，AMF可与终端设备建立NAS安全。NAS存在于通用移动通信系统(universal mobile telecommunications system，UMTS)的无线通信协议栈中，作为CN与终端设备之间的功能层。NAS支持在CN与终端设备两者之间的信令和/或数据传输。

204，终端设备发起会话建立请求。

终端设备与AMF建立NAS安全之后，终端设备可向AMF发起会话建立请求，该会话建立请求例如可用于请求建立PDU会话。终端设备向AMF发送NAS消息，会话建立请求可以携带于NAS消息中。

205，AMF向SMF发送会话建立请求。

AMF接收到终端设备发送的NAS消息之后，可解码NAS消息中的会话建立请求，然后将会话建立请求发送给SMF。其中，SMF可为会话建立请求所请求建立的PDU会话所请求连接的SMF。

206，SMF校验签约数据。

SMF接收到会话建立请求之后，SMF从UDM处获取签约数据。如果签约数据指示需要执行二次认证，则可执行步骤207。

207，SMF启动可扩展的身份验证协议(extensible authentication protocol，EAP)认证流程。

可选地，若会话建立请求中没有携带认证信息，则执行步骤208和209；若会话建立请求中携带认证信息，则可跳过步骤208和209。

208，SMF发送EAP请求给终端设备。

SMF向终端设备发送EAP请求，请求终端设备的身份信息。

209，终端设备向SMF反馈EAP响应。

终端设备向SMF反馈EAP响应，以通知终端设备的身份信息。

210，SMF发起建立与UPF之间的N4接口会话连接。

若SMF与DN的认证服务器(如AAA服务器)之间没有用于传输消息的UPF，则SMF发起建立与UPF之间的N4接口会话连接。

可以理解，若SMF与DN的认证服务器之间有用于传输消息的UPF，则步骤210可以不执行。

211，SMF向DN的认证服务器发送EAP响应以及终端设备的身份信息。

如图2所示，SMF将EAP响应以及终端设备的身份信息通过UPF发送至DN认证服务器。

SMF把终端设备发来的EAP响应以及认证信息(即终端设备的身份信息)，通过步骤210建立的N4接口会话连接发送到UPF。UPF将上述EAP响应以及终端设备的身份信息发送至DN认证服务器。

212，DN的认证服务器对终端设备进行认证和/或授权。

终端设备和DN的认证服务器可以进行一次或多次EAP消息交互，以完成DN的认证服务器对终端设备的认证。

其中，终端设备与DN的认证服务器之间进行交互的EAP消息的消息类型或者交互方式等取决于具体使用的EAP认证方法，在此本申请不作限制。

213，DN的认证服务器通过UPF发送认证成功消息给SMF。

如果DN的认证服务器对终端设备认证成功，DN的认证服务器可以发送认证成功消息给UPF，通过UPF和N4接口会话连接发送认证成功消息给SMF。

214，SMF发起PDU会话建立的其他流程。

DN的认证服务器对终端设备的EAP认证结束之后，SMF可继续发起PDU会话建立的其他流程，例如可以包括但不限于：SMF向UPF发送N4接口会话建立/修改请求、UPF向SMF反馈N4接口会话建立/修改响应。

215，SMF通过AMF向终端设备发送PDU会话建立成功消息。

SMF将PDU会话建立成功消息发送给AMF，AMF将PDU会话建立成功消息转发给终端设备。

应理解，上述步骤201至步骤215仅是示例性说明，其不对本申请实施例的保护范围造成限定。

3、多PDU会话场景

在实际通信中，针对同一个DN，在某些场景下，一个终端设备可以建立两个或者两个以上的PDU会话。下面介绍几种可能的场景。

场景1：高可靠低时延通信(ultra reliable low latency communication，URLLC)

为了保证业务的可靠性传输，当发起的业务需要高可靠需求时，终端设备可以通过运营商网络建立多个PDU会话(如两个PDU会话)用于传输同一个业务，即该多个PDU会话用于接入到同一个DN。以两个PDU会话为例，具体的如图3所示，

如图3所示，终端设备与DN之间建立的两个PDU会话，即PDU会话1和PDU会话2，可以由不同的SMF服务，如SMF1和SMF2，该PDU会话1和PDU会话2接入到同一DN。应理解，终端设备与DN之间建立的多个PDU会话也可以由同一个SMF服务。终端设备与DN之间建立多个PDU会话，该多个PDU会话用于接入到同一DN的情况下，终端设备提供的DNN和/或网络标识(如一个网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI))不同。例如，终端设备提供的DNN不同；又如，终端设备提供的S-NSSAI不同；又如，终端设备提供的DNN和S-NSSAI都不同。

场景2：边缘计算(edge computing，EC)通信

在EC通信中，为了支持接入EC环境中的业务，可以包括三种接入方式，如图4所示。

如图4所示，接入方式1：即分布锚定点(distributed anchor point)，终端设备建立一个PDU会话，该PDU会话用于接入本地EC环境中的业务。接入方式2：即会话分组(session breakout)，终端设备建立一个PDU会话，该PDU会话可以接入本地EC环境中的业务，且该PDU会话还可以接入远端集中部署的业务。也就是说，通过接入方式2中可以实现业务分流，具体地，例如可以通过上行分类器(Uplink Classifier，UL CL)的方式实现业务分流，或者，也可以通过分支点(branching point，BP)的方式实现业务分流，对此不作限定。应理解，关于接入方式1和接入方式2仅是示例性说明，其不对本申请实施例的保护范围造成限定。

接入方式3：终端设备同时建立多个PDU会话(如两个PDU会话)，一个PDU会话用于接入本地EC环境中的业务，另一个PDU会话用于接入远端集中部署的业务。应理解，该多个PDU会话的建立可以按需在不同时间建立，也可以同时建立，服务PDU会话的SMF可以相同可以不同。此外，建立PDU会话使用的DNN也可以不同。可以得出，在EC通信中，也可能出现终端设备建立多个PDU会话的场景。

场景3：相同的DN不同需求的会话

对于同一个DN，不同的业务的需求可以是不同的，如业务连续性需求不同。或者为了保证业务的连续性，通过先断后开(make-before-break)的方式来保证业务的连续性。make-before-break就是在原有路径被拆除前先建立新路径的机制。这种情况下，终端设备与运营商网络之间也会建立两个PDU会话。这种情况中，该多个PDU会话的DNN可以相同也可以不同。

由上述三种场景可知，针对同一个DN，一个终端设备可以建立两个或者两个以上的PDU会话，该两个或者多个PDU会话可以同时建立，也可以按需在不同的时间建立，用于建立该两个或者多个PDU会话的DNN可以不同。

上文简单的介绍了适用于本申请实施例的多个PDU会话的场景，应理解，本申请实施例并未限定于此。任何涉及多个PDU会话的场景，都适用于本申请实施例。

关于多个PDU会话场景下的二次认证，以两个PDU会话为例，简单介绍现有的方案。

现有的方案包括，终端设备发起第一个PDU会话建立，SMF判断确定执行二次认证，并将认证成功的信息存储在本地或者UDM中。其中，认证信息包括DNN。在第二个PDU会话建立过程中，SMF获取第一个PDU会话的认证信息(可以是本地存储的认证信息或者从UDM获取的认证信息)。SMF根据第二个PDU会话请求中的DNN与第一个PDU会话的认证信息中的DNN相同，确定不执行二次认证流程，并授权建立新发起的PDU会话(即第二个PDU会话)，即继续执行PDU会话建立的后续流程。

现有的方案中，SMF根据认证信息中的DNN是否相同确定是否发起二次认证流程，这种方式，应用场景有限，可能会导致接入到同一个DN的多个PDU会话执行多次二次认证流程，从而导致额外的信令开销。例如，接入到同一个DN的多个PDU会话使用不同的DNN时，上述方案不能识别新的PDU会话用于接入同一个DN，从而导致接入到同一个DN的多个PDU会话执行多次二次认证流程，导致额外的信令开销。

此外，现有的方案中，主要针对的场景是，终端设备发起第二个PDU会话建立流程时，SMF发起的与DN之间的二次认证流程已经完成，结果存储在SMF或者UDM。若终端设备发起第二个PDU会话时，正在执行二次认证流程时，此时根据现有逻辑，SMF无法判断跳过二次认证流程。尤其是在两个PDU会话分别由不同的SMF服务时，如图5所示，第一个PDU会话由SMF1服务，第二个PDU会话由SMF2服务，这样也可能导致额外的信令开销。

又鉴于此，本申请提供一种方法，不仅可以适用于更多的场景，减少重复执行二次认证带来的信令开销，而且方案简单易行。

下面将结合附图详细说明本申请提供的各个实施例。

图6是本申请实施例提供的一种认证授权的方法600的示意性交互图。方法600可以包括如下步骤。

610，SMF接收来自终端设备的会话建立请求消息，该会话建立请求消息用于请求建立与数据网络#1的会话#1。

为区分且不失一般性，将步骤610中，终端设备请求建立的会话记为会话#1，终端设备请求接入的数据网络记为数据网络#1。

终端设备发起会话建立请求，该会话建立请求例如可以用于请求建立与数据网络的PDU会话。示例地，终端设备向AMF发起PDU会话建立请求，AMF向SMF发送PDU会话建立请求。

在会话建立过程中，SMF可以根据是否存在数据网络#1对终端设备的认证结果，确定是否要发起二次认证流程。

620，SMF判断是否存在数据网络#1对终端设备的认证结果。

认证结果，或者也可以称为认证授权结果，其用于确定数据网络#1是否已对终端设备进行过认证授权。例如，认证结果可以表示对终端设备的另一会话的认证结果(如对另一会话的二次认证成功或者失败)。

可选地，认证结果中可以包含时间信息，即认证结果的有效信息或者说有效的认证结果。例如，认证结果中包括认证时间范围。在该认证时间范围内，该认证结果是有效的；不在该认证时间范围，认证结果无效。应理解，其仅是示例性说明，并不对本申请实施例的保护范围造成限定。例如，超过认证时间范围后，可以不再保存该认证结果。

一种可能的情况，认证结果为认证成功。也就是说，SMF可以判断数据网络#1是否已经对终端设备认证授权成功。

又一种可能的情况，认证结果为认证失败。也就是说，SMF可以判断数据网络#1是否已经对终端设备认证授权失败。

关于SMF判断是否存在认证结果的方案，下文详细描述。

方法600可以包括步骤：步骤631或步骤632。

631，当存在认证结果时，对会话#1跳过二次认证流程。

一种可能的情况，SMF确定数据网络#1对终端设备认证授权成功。在该情况下，SMF对会话#1跳过二次认证流程，且使用认证成功的授权信息建立会话#1。在该情况下，关于SMF确定对会话#1跳过二次认证流程后可能的步骤，可以参考下文方法700中的步骤706B。

又一种可能的情况，SMF确定数据网络#1对终端设备认证授权失败。可以理解，数据网络对终端设备认证授权失败后，可以记录失败的结果(或者考虑失败的原因确定是否要记录失败的结果)，如记录一段时长。这样，终端设备再次请求接入数据网络时，SMF可以基于认证失败的结果，确定不对该终端设备发起二次认证。且在该情况下，SMF可以拒绝建立会话#1。

在本申请中，多次提及跳过二次认证流程，本领域技术人员应理解其含义。跳过二次认证流程，包含跳过二次认证流程的所有步骤或跳过二次认证流程的部分步骤。跳过二次认证流程，示例性的，例如可以跳过如上文所述的步骤207至213，或者跳过210至213，或者跳过212至213等。例如，在认证结果为认证成功时，表示，数据网络已对终端设备进行过认证授权，终端设备可以基于之前的认证结果接入数据网络或者说与数据网络进行通信。

632，当不存在认证结果时，对会话#1发起二次认证流程，或者，挂起会话#1。

一种可能的情况，当不存在认证结果时，对会话#1发起二次认证流程。

数据网络#1对终端设备没有进行过认证，在该情况下，可以对会话#1发起二次认证流程，具体的可以参考下文方法700中的步骤706A。

又一种可能的情况，当不存在认证结果时，挂起会话#1。

数据网络#1可能对终端设备正在进行认证或者将要对终端设备进行认证。在该情况下，当SMF确定数据网络#1对终端设备正在进行认证或者将要对终端设备进行认证后，可以挂起会话#1。其中，挂起会话#1，或者说暂停建立会话#1，表示暂时停止建立会话#1或者暂时停止针对会话#1进行二次认证流程。例如，可以是等待另一个会话的认证结果，基于另一个会话的认证结果确定如何处理该会话#1。其中，另一会话的认证结果可以用于指示另一会话的二次认证成功或者失败。

一可能的场景，终端设备在建立会话#1时同时携带另一个会话(例如记作会话#2)的会话信息(如会话ID)。通过这种方式指示，该会话#1与会话#2互为冗余，即接入到同一个DN。对于这种会话#1，SMF也可以进一步确定无需发起二次认证，或者，重用另一个会话#2的认证授权结果(如挂起会话#1，等待会话#2的认证授权结果)。以URLLC场景为，终端设备发送的指示信息#1指示的会话#1为冗余会话，在该场景下SMF不需要执行二次认证，SMF可以根据指示信息#1获取结果，或者说，需要发起二次认证时总是针对另一个会话(如会话2)发起二次认证，针对该会话#1可以直接跳过二次认证。

又一可能的场景，终端设备同时发起两个会话，其中一个为会话#1，另一个记为会话#3。在会话#1的建立请求消息中包含指示信息，该指示信息用于指示挂起会话#1，或者用于指示对于数据网络#1会有另一个会话(即会话#3)将要进行二次认证。在该场景下，SMF也可以基于该指示信息，跳过二次认证流程挂起会话#1。可选地，在该场景下，SMF可以向UDM请求或者订阅二次认证的结果，以便根据二次认证的结果处理挂起的会话#1。

在本申请中，多次提及正在进行二次认证，其可以包括二次认证正在进行；或者，也可以包括二次认证将要进行。如针对另一个会话将要进行二次认证或者正在进行二次认证。为简洁，下文统一用正在进行二次认证表述。

关于该情况，下文结合方面二详细描述。

通过本申请实施例，在会话建立过程中，SMF可以根据数据网络是否已经对终端设备进行过认证，确定是否要发起二次认证流程，或者，SMF可以根据数据网络与终端设备是否正在进行认证或将要进行认证，确定是否挂起会话。即认证授权流程用于数据网络认证授权终端设备是否能建立会话接入数据网络。从而可以保证使用不同的DNN标识数据网络的场景下，以及在同时建立会话或在建立会话时有另一个会话正在进行认证的场景下，也能够避免重复执行二次认证的流程。通过本申请实施例，可以保证即使使用不同的DNN接入到数据网络，SMF也可以尽可能地避免重复执行二次认证流程。

下面结合几个方面的内容详细介绍本申请实施例。下面各个方面的内容可以单独使用，也可以结合使用，对此不作限定。

方面一：SMF判断是否存在认证结果的方式。

实现方式1：SMF可以根据认证授权信息，判断是否存在认证结果。

示例地，SMF可以判断已认证数据集中是否存在所述认证结果。已认证数据集表示已经进行过认证的数据或者信息。如SMF可以判断对终端设备已经进行过认证的数据网络中是否包括数据网络#1，或者，SMF可以判断数据网络#1已经进行过认证的终端设备中是否包括该终端设备。已认证数据集可以包括两个数据集，如已认证成功的数据集和已认证失败的数据集，SMF可以从已认证成功的数据集和已认证失败的数据集中判断，是否存在该认证结果。

例如，终端设备向SMF发送用于标识数据网络#1的DNN，例如记作DNN#1。认证授权信息中包括已成功授权的DNN。通过判断DNN#1是否存在已成功授权的DNN中，确定是否存在认证结果，如确定终端设备是否已经认证授权成功。

可选地，认证授权信息中还可以包括但不限于以下一项或多项：数据网络特定标识(DN-Specific Id)、数据网络的认证服务器的标识(Identifier，Id)(如DN-AAA Id)、时效信息、数据网络授权文本的索引(index)、数据网络授权的会话的聚合最大比特速率(aggregated maximum bit rate，AMBR)、允许的MAC地址(s)、允许的虚拟局域网(virtuallocal area network，VLAN)标识(VLAN Identifier，VID)(VIDs)、上报会话信息指示、会话管理控制相关信息。其中，上报会话信息指示，用于指示上报会话的相关信息，如会话的地址信息。

当认证授权信息中包含的DNN和DNN#1相同时，说明是同一个数据网络，即不需要执行二次认证；当认证授权信息中包含的DNN和DNN#1不同时，可以确定认证授权信息中包含的DNN和从DNN#1是否为等价DNN，即是否指示同一数据网络。等价DNN，即表示标识同一数据网络的DNN。

示例地，可以预先配置多个DNN(或者说一个DNN列表)(即等价DNN)，用于指示同一数据网络。例如，SMF根据获取到的认证授权信息获得该多个DNN。

例如，DNN#1为DNN1，认证授权信息中多个DNN(即等价DNN)包括{DNN1、DNN2、DNN3}。那么表示已认证授权的数据网络与终端设备请求接入的数据网络#1为同一数据网络；或者说，该终端设备之前已经与请求接入的数据网络进行过认证，不需要再进行二次认证流程了。在该情况下，方法600可以包括步骤631。

又如，DNN#1为DNN5，认证授权信息中多个DNN(即等价DNN)包括{DNN1、DNN2、DNN3}。那么表示已认证授权的数据网络与终端设备请求接入的数据网络#1为不同数据网络；或者说，该终端设备未与请求接入的数据网络进行过认证，需要进行二次认证流程。在该情况下，方法600可以包括步骤632。

可选地，可以根据以下任一项，获取认证授权信息。

一示例，SMF可以通过终端设备的上下文获取认证授权信息。或者说，SMF可以获取终端设备的上下文，并根据终端设备的上下文，判断对会话#1是否发起二次认证流程。

又一示例，SMF从本地获取存储的认证授权信息。

又一示例，SMF从数据网络的认证服务器处获取认证授权信息。

又一示例，SMF从UDM处获取认证授权信息。

关于SMF获取认证授权信息的可能的完整流程，下文结合图7至图10中的具体实施例进行说明。

实现方式2：SMF可以根据指示信息#1，判断是否存在认证结果。

应理解，为区分且不失一般性，在本申请实施例中，指示信息#1表示用于判断是否存在认证结果的信息。

一示例，指示信息#1来自于终端设备。

终端设备向SMF发送起指示信息#1，以便SMF根据该指示信息#1判断是否存在认证结果。该指示信息#1可以通过单独的信令发给SMF，也可以携带于会话建立请求消息中，对此不作限定。

一可能的情况，该指示信息#1可以在判断完是否存在认证结果之前发送。如SMP判断不存在认证结果，且对会话#1发起二次认证流程之后，向终端设备发送EAP，终端设备接收到该EAP后，发送指示信息#1。又如，SMP判断不存在认证结果后、且对会话#1发起二次认证流程之前，终端设备向SMF发送指示信息#1。

又一种可能的情况，该指示信息#1可以在没有判断是否存在认证结果之前发送。如终端设备在发起会话建立请求时，可以先判断是否有认证结果或者是否有正在进行的二次认证，如果有，则发送指示信息#1。在该情况下，SMF可以不用判断是否存在认证结果，可以直接根据指示信息#1确定是否有认证结果或者确定是否挂起会话#1。

关于指示信息#1的形式不作限定。

一可能的形式，指示信息#1可以体现为会话标识。

例如，终端设备在建立会话#1时同时携带另一个会话(例如记作会话#2)的会话标识(如会话ID)。通过这种方式指示，该会话#1与会话#2互为冗余，即接入到同一个DN。对于这种会话#1，SMF也可以进一步确定无需发起二次认证，或者，重用另一个会话#2的认证授权结果。如一种可能的场景，以URLLC场景为，终端设备发送的指示信息#1指示的会话#1为冗余会话，在该场景下SMF不需要执行二次认证，SMF可以根据指示信息#1获取结果，或者说，需要发起二次认证时总是针对另一个会话(如会话2)发起二次认证，针对该会话#1可以直接跳过二次认证。

又一可能的形式，指示信息#1可以体现为DNN。

例如，终端设备在建立会话#1时同时携带另一个会话(例如记作会话#2)的DNN。通过这种方式指示，该会话#1为不同于之前DNN的同一DN的会话。对于这种会话#1，SMF也可以进一步确定无需发起二次认证，或者，重用另一个会话#2的认证授权结果。

又一可能的形式，指示信息#1可以通过新增字段或者复用现有的字段体现。

例如，终端设备在建立会话#1时，确定会话#1是否为同一个数据网络的会话，即数据网络#1与之前建立的会话的数据网络是否相同。如，如果该新增字段或者现有字段的取值为“0”，表示不同，对于这种会话#1，SMF可以发起二次认证；如果如果该新增字段或者现有字段的取值为“1”，表示相同，对于这种会话#1，SMF可以进一步确定无需发起二次认证，或者，重用另一个会话#2的认证授权结果。

因此，通过终端设备向SMF发送指示信息，从而使得SMF感知使用不同的DNN的会话已经建立。因此SMF能够识别同一个数据网络使用不同的DNN的会话，从而避免重复的执行二次认证流程带来的信令开销。

又一示例，指示信息#1来自于数据网络#1的认证服务器。

数据网络#1的认证服务器向SMF发送指示信息#1，以便SMF根据该指示信息#1判断是否存在认证结果。

在会话建立过程中，由数据网络#1的认证服务器确定是否以对该终端设备进行过认证，并且可以直接向SMF发送认证授权结果。因此可以通过集中控制点数据网络的认证服务器判断重用二次认证结果，从而避免重复的执行二次认证流程带来的信令开销。

上文方面一，主要介绍了SMF判断是否存在认证结果的方式，下文结合方面二，介绍关于正在进行二次认证的方案。

方面二：SMF确定正在进行二次认证。

针对同一个数据网络，一个终端设备可以建立两个或者两个以上的会话，该两个或者多个会话可以同时建立，也可以按需在不同的时间建立。那么可能会出现，在终端设备发起会话#1的建立请求时，可能正在执行二次认证。

例如，在终端设备发起会话#1的会话建立请求、且SMF确定不存在认证结果后，可以对会话#1发起二次认证流程，或者，也可以判断当前是否正在进行二次认证。又如，在SMF判断是否存在认证结果之前，SMF即已确定当前是否在进行二次认证。如果SMF确定正在进行二次认证，如正在进行对应会话#2的二次认证，则挂起会话#1。

SMF根据会话#2的认证授权结果，确定继续建立会话#1还是拒绝建立会话#1。

一可能的情况，该认证授权结果指示对会话#2的二次认证成功。该认证授权结果还可以包括：认证授权信息。在该情况下，SMF根据认证授权结果确定继续会话#1建立，并不需要再进行二次认证流程(即跳过二次认证流程)，基于该认证授权信息，继续建立会话#1。

又一可能的情况，该认证授权结果指示对会话#2的二次认证失败。在该情况下，SMF可以根据认证授权结果确定拒绝会话#1建立，即终止会话#1的建立；或者，SMF也可以根据认证授权失败的原因，确定是否终止会话#1的建立。

可选地，SMF可以根据数据网络的认证服务器的反馈，确定对会话#2的二次认证成功或者失败。

示例地，SMF可以根据在预设时长后，是否接收到数据网络的认证服务器的反馈，如会话#2的认证结果，确定后续的处理。该预设时长可以是预先规定的时长，如协议预先定义的；或者，也可以是根据历史通信情况确定的一个时长。

示例地，可以通过定时器来实现。例如，在SMF挂起会话#1后，以预设时长为时间长度激活定时器。若在定时器超期前均未收到会话#2的认证结果，则确定对会话#2的二次认证失败，并终止会话#1的建立。

一种可能的实现方式：SMF可以根据指示信息#2，确定正在进行二次认证。

应理解，为区分且不失一般性，在本申请实施例中，指示信息#2表示用于指示正在进行二次认证的信息。

一示例，指示信息#2来自于终端设备。

终端设备向SMF发送指示信息#2，以便SMF根据指示信息#2挂起会话#1。该指示信息#2可以通过单独的信令发给SMF，也可以携带于会话建立请求消息中，对此不作限定。

例如，终端设备在发送会话建立请求消息之前，可以先确定同一个数据网络(即数据网络#1)对应有一个会话(如记为会话#2)正在执行二次认证流程。因此，通过终端设备向SMF发送指示信息#2，从而使得SMF挂起会话#1。在该情况下，SMF可以不用判断是否存在认证结果，而是根据终端设备的指示，确定无需发起二次认证流程。

又如，终端设备同时发起两个会话(会话#1和会话#3)。在其中会话#1的会话建立请求中包含指示信息#2，SMF接收到指示信息#2的时候，可以根据指示信息#2直接跳过该二次认证流程，而是挂起会话#1。在该情况下，该SMF和另一个SMF还没有收到另一个会话(即会话#3)的建立请求或者同时收到了会话#3的建立请求，但SMF可以指示信息直接跳过该二次认证流程，从而也可以避免重复的二次认证。

又如，在SMF判断不存在认证结果、确定对会话#1发起二次认证流程过程后，在二次认证流程过程中，终端设备向SMF发送指示信息#2，以便SMF根据指示信息#2挂起会话#1。

又一示例，指示信息#2来自于数据网络#1的认证服务器。

数据网络#1的认证服务器向SMF发送指示信息#2，以便SMF确定正在进行二次认证，挂起会话#1。

在会话建立过程中，由数据网络#1的认证服务器确定是否正在对该终端设备进行认证。

应理解，上述SMF根据指示信息#2判断正在进行二次认证仅是示例性说明，对此不作限定。例如，SMF也可以自己判断是否正在进行二次认证。

可选地，在方面二中，SMF也可以根据指示信息#4确定是否要根据正在执行的二次认证结果确定是否继续执行会话#1建立流程。应理解，为区分且不失一般性，在本申请实施例中，指示信息#4表示用于确定是否需要根据正在执行的二次认证结果确定是否继续执行会话#1建立流程的信息。具体地，可以参考下文图8中的描述。

方面一和方面二所述的方案可以单独使用，也可以结合使用。例如，SMF根据方面一所述的方案判断是否存在认证结果，在确定不存在认证结果的情况下，再根据方面二所述的方案，确定是否正在进行二次认证。又如，SMF可以先根据方面二所述的方案，确定是否正在进行二次认证，在确定正在进行二次认证的情况下，直接挂起会话。

下文结合方面三，介绍关于存储认证授权结果和/或认证授权信息的方案。

方面三：SMF确定是否存储认证结果。认证结果例如包括：认证授权结果(如认证成功或失败)和/或认证授权信息。

实现方式1：SMF可以根据指示信息#3，确定是否存储认证结果。

应理解，为区分且不失一般性，在本申请实施例中，指示信息#3表示用于确定是否存储认证结果的信息。

例如，若指示信息#3指示认证结果可以重用，或者该指示信息#3指示SMF存储认证结果，基于该指示信息#3，SMF确定存储认证授权信息。若指示信息#3指示认证结果不可以重用，或者该指示信息#3指示SMF不存储认证结果，基于该指示信息#3，SMF确定不存储认证授权信息。

一示例，指示信息#3来自于终端设备。

终端设备向SMF发送起指示信息#3，以便SMF根据该指示信息#3确定是否存储认证结果。该指示信息#3可以通过单独的信令发给SMF，也可以携带于会话建立请求消息中，对此不作限定。

又一示例，指示信息#3来自于数据网络#1的认证服务器。

数据网络#1的认证服务器向SMF发送指示信息#3，以便SMF根据该指示信息#3确定是否存储认证结果。

实现方式2：SMF可以根据会话属性和/或本地策略，确定是否存储认证结果。

本地策略，例如可以表示预先规定的要求，如预先规定存储认证结果或预先规定不存储认证结果。

会话属性，例如可以包括但不限于：会话类型(type)(如IP或者以太网或者非结构化)、会话和服务连续性模式、用户面安全管理信息、多接入PDU连接服务(multi-accessPDU connectivity service)、高可靠类型等属性。例如，对于多接入PDU连接服务，SMF存储认证结果。

通过有选择地存储认证结果，可以提高资源和空间利用率。应理解，上述仅是示例性说明，对此不作限定。例如，也可以预先规定，如协议定义，存储二次认证的认证结果，如存储一定的时长。

可选地，SMF确定存储认证结果时，可以存储一定的时长，如存储时长或有效期。在存储时长到期后，可以删除认证结果，从而保证更高的安全。其中，存储时长可以是预先定义的，也可以是由数据网络的认证网元提供，对此不作限定。

上述各个方面所述的方案可以单独使用，也可以结合使用。例如，SMF根据方面一所述的方案判断是否存在认证结果，在不存在认证结果的情况下，再根据方面二所述的方案，确定正在进行二次认证，并且，可以根据方面三所述的方案，确定是否存储认证结果。

上文结合三个方面，简单介绍了本申请实施例。下文，以数据网络的认证服务器为DN-AAA、会话为PDU会话为例，结合图7至图10所示的可能的完整流程，介绍适用于本申请的几个具体实施例。

图7(1)和(2)示出了适用于本申请一实施例的方法700的示意性交互图。方法700主要介绍了上文所述的SMF根据授权信息判断是否存在认证结果的方案。

方法700可以包括如下步骤。

701，终端设备向AMF发起PDU会话建立请求。

终端设备可以通过接入网(AN或RAN)向AMF发送NAS消息，该NAS消息中包含PDU会话建立请求。例如，NAS消息中包含单一网络切片选择辅助信息(Single Network SliceSelection Assistance Information，S-NSSAI)和会话管理(session management，SM)(N1SM)信息，N1 SM信息中包含会话建立请求。通过终端设备发起PDU会话的建立，可以实现PDU连接业务，即终端设备与DN之间交换PDU数据包的业务。一个PDU会话建立后，也就是建立了一条终端设备和DN的数据传输通道。

示例地，该NAS消息中还可以携带DNN，即用于指示终端设备想要接入的DN。

702，AMF向SMF发送PDU会话建立请求。

示例地，AMF可以向SMF发送N_smf接口PDU会话建立会话管理上下文请求(N_smf_PDUSession_CreateSMContext Request)消息，该消息中包含PDU会话建立请求。可选地，该消息中还可以包含DNN，以用于指示终端设备想要接入的DN。

应理解，N_smf_PDUSession_CreateSMContext Request消息，仅是示例性说明，对此不作限定。只要AMF可以向SMF发送PDU会话建立请求，该PDU会话建立请求携带于任何消息中均是可行的。

SMF接收到PDU会话建立请求后，可以先获取终端设备的会话管理签约。例如，可以从本地获取，也可以从UDM处获取。为便于说明，图7仅示出了从UDM处获取的情况，应理解，任何可以使得SMF获取到终端设备的会话管理签约的方案，都适用于本申请实施例。

703，SMF向UDM请求终端设备的会话管理签约信息。

示例地，SMF可以向UDM发送N_udm接口会话管理签约获取(N_udm_SDM_Get)消息，请求终端设备的会话管理签约信息。

应理解，N_udm_SDM_Get消息，仅是示例性说明，对此不作限定。只要SMF可以向UDM请求终端设备的会话管理签约信息，该请求携带于任何消息中均是可行的。

704，UDM向SMF发送终端设备的会话管理签约信息。

示例地，UDM可以向SMF发送N_udm接口会话管理签约获取响应(N_udm_SDM_Getresponse)消息，该响应消息中包含终端设备的会话管理签约信息。

应理解，N_udm_SDM_Get response消息，仅是示例性说明，对此不作限定。只要UDM可以向SMF发送终端设备的会话管理签约信息，该会话管理签约信息携带于任何消息中均是可行的。

SMF获取到终端设备的会话管理签约信息后，可以判断PDU会话是否需要进行二次认证授权。假设SMF确定PDU会话需要二次认证授权。

705，SMF确定认证方式为二次认证。

换句话说，SMF确定PDU会话需要二次认证授权。可以理解，SMF确定终端设备与DN需要二次认证。在发起二次认证流程之前，SMF可以判断终端设备是否已经与该DN进行过二次认证(即是否存在认证结果)，从而判断是否要发起二次认证。

706，SMF判断是否发起二次认证流程。

可选地，步骤705和步骤706也可以合并，即确定认证方式为二次认证和判断是否发起二次认证流程为同一步骤。或者可以理解为，认证方式为二次认证的情况下，默认要判断是否发起二次认证流程。

例如，可以基于方法600方面一所述的实现方式1，判断是否发起二次认证流程。下面简单的介绍两种方案。

方案1：SMF根据UE上下文信息，判断是否发起二次认证流程。

如果SMF上有UE的上下文，SMF可以根据UE的上下文确定是否发起二次认证流程。若SMF根据UE的上下文确定需要执行二次认证，则执行图7(1)中的步骤706A。若SMF根据UE上下文确定跳过二次认证流程(或者说不发起二次认证流程)，则执行图7(2)中的步骤706B。

具体地，SMF可以根据UE的上下文中是否包含：DNN对应的认证授权信息，或者，DNN指示的DN的认证授权信息，确定是否执行二次认证。

认证授权信息中可以包含一个DNN，该DNN用于标识DN，通过比较该DNN与从AMF处接收到的DNN，来确定是否是同一DN。认证授权信息中还可以包括PDU会话管理控制相关信息。可选地，认证授权信息中还可以包括但不限于以下一项或多项：DN-Specific Id、DN-AAA Id、时效信息、DN授权文本的索引(index)、DN授权的会话的聚合最大比特速率AMBR、允许的MAC地址(s)、允许的虚拟局域网标识(VIDs)、上报PDU会话信息指示。其中，上报PDU会话信息指示，用于指示上报PDU会话的相关信息，如PDU会话的地址信息。

当认证授权信息中包含的DNN和从AMF接收到的DNN相同时，说明是同一个DN，即不需要执行二次认证；当认证授权信息中包含的DNN和从AMF接收到的DNN不同时，可以确定认证授权信息中包含的DNN和从AMF接收到的DNN是否为等价DNN，即是否指示同一DN。等价DNN，即表示标识同一DN的DNN。

示例地，可以预先配置多个DNN(或者说一个DNN列表)(即等价DNN)，用于指示同一DN。例如，UDM向SMF发送终端设备的会话管理签约信息中包括该多个DNN。又如，也可以是SMF根据本地保存或者从UDM处获取到的认证授权信息中获得的。

例如，从AMF接收到的DNN为DNN1，认证授权信息中多个DNN(即等价DNN)包括{DNN1、DNN2、DNN3}。那么表示已认证授权的DN与终端设备请求接入的DN为同一DN；或者说，该终端设备之前已经与请求接入的DN进行过认证，不需要再进行二次认证流程了。在该情况下，SMF可以执行图7(2)中的步骤706B。

又如，从AMF接收到的DNN为DNN5，认证授权信息中多个DNN(即等价DNN)包括{DNN1、DNN2、DNN3}。那么表示已认证授权的DN与终端设备请求接入的DN为不同DN；或者说，该终端设备未与请求接入的DN进行过认证，需要进行二次认证流程。在该情况下，SMF可以执行图7(1)中的步骤706A。

基于上述方案1，SMF可以根据本地保存的UE的上下文，判断是否发起二次认证流程，方案简单易行。

方案2：SMF根据获取的认证授权信息，判断是否发起二次认证流程。

可选地，若SMF上无UE的上下文，则SMF可以向UDM请求终端设备的认证授权信息，即SMF可以执行步骤707和708。SMF可以向UDM请求终端设备的认证授权信息，或者说历史二次认证授权信息，即终端设备在之前进行二次认证授权的相关信息。从而SMF可以根据获取的认证授权信息，判断是否发起二次认证流程。

707，SMF向UDM请求终端设备的认证授权信息。

示例地，SMF可以向UDM发送N_udm_UE_Get消息，请求终端设备的认证授权信息。可选地，该N_udm_UE_Get消息中还可以包含DNN信息。

应理解，N_udm_UE_Get消息，仅是示例性说明，对此不作限定。

可选地，步骤707和步骤703也可以合并处理，即SMF在请求UE的会话管理签约信息时，可以同时请求UE的认证授权信息。

708，UDM向SMF发送终端设备的认证授权信息。

可选地，步骤708和步骤704也可以合并处理，即UDM在发送UE的会话管理签约信息时，可以同时发送UE的认证授权信息。

一种情况，UDM中存储有终端设备的认证授权信息。示例地，UDM可以向SMF发送N_udm_UE_Getresponse消息，该消息中包含终端设备的认证授权信息。可选地，UDM包含认证授权信息中DNN等价的DNN信息。

若SMF向UDM请求终端设备的认证授权信息的请求消息中包括DNN信息，那么SMF获取的UE的认证授权信息为该DNN对应的数据网络的认证授权信息。UDM中可以配置DN的DNN列表信息，即有多个DNN(即等价DNN)可以指示同一DN。可选地，UDM向SMF发送的认证授权信息中携带与DNN等价的一个或多个DNN。

SMF根据响应消息中的认证授权信息，判断是否发起二次认证流程。若SMF根据响应消息中的认证授权信息确定需要执行二次认证，则执行图7(1)的步骤706A。若SMF根据响应消息中的认证授权信息确定跳过二次认证流程，则执行图7(2)的步骤706B。关于认证授权信息的内容以及SMF判断的方式，可以参考方案1中的描述，此处不再赘述。

又一种情况，UDM中不存储有终端设备的认证授权信息。示例地，UDM可以向SMF发送N_udm_UE_Get response消息，该消息中不包含终端设备的认证授权信息。或者，UDM也可以不向SMF发送消息，SMF没有接收到UDM的响应后(如在预设时长后没有接收到UDM的响应)，默认没有终端设备的认证授权信息。在该情况下，SMF可以确定发起二次认证流程，即执行步骤706A。

应理解，步骤707和步骤708仅是示例说明。可选地，SMF也可以在本地存储了认证授权信息。在该情况下，SMF可以不需要向UDM请求认证授权信息，即步骤707和步骤708可以不需要执行。

下面介绍步骤图7(1)的706A和图7(2)的步骤706B。

步骤706A：执行二次认证流程。如图7(1)所示，在SMF确定发起二次认证流程后，方法700可以包括步骤706A1至706A7。

706A1，SMF确定发起二次认证流程。

可以理解，SMF触发二次认证流程。

706A2，终端设备与DN-AAA之间进行二次认证和授权。

DN-AAA对终端设备进行认证和/或授权。终端设备和DN-AAA可以进行一次或多次EAP消息交互，以完成DN-AAA对终端设备的认证。关于终端设备和DN-AAA进行二次认证的过程可以参考现有二次认证的流程，例如可以参考上文206至212的描述，对此不作限定。

如果DN-AAA对终端设备认证成功，DN-AAA可以向SMF发送认证成功的消息。

706A3，DN-AAA向SMF发送认证成功的消息。

该认证成功的消息，或者说认证结果，即表示对另一PDU会话的二次认证成功。该认证成功的消息中可以包括认证授权信息。可选地，该认证成功的消息中可以包括指示信息#3，该指示信息#3用于指示认证结果是否可以重用，或者该指示信息#3用于指示SMF是否需要存储认证结果。

706A4，SMF存储认证授权信息。

一示例，SMF根据指示信息#3，确定是否存储认证授权信息。

若指示信息#3指示认证结果可以重用，或者该指示信息#3指示SMF存储认证结果，基于该指示信息#3，SMF确定存储认证授权信息。若指示信息#3指示认证结果不可以重用，或者该指示信息#3指示SMF不存储认证结果，基于该指示信息#3，SMF确定不存储认证授权信息。

又一示例，SMF根据本地策略或者PDU会话属性，确定是否存储认证授权信息。

本地策略，例如可以表示预先规定的要求，如预先规定存储认证授权信息或预先规定不存储认证授权信息。

PDU会话属性，例如可以包括但不限于：PDU会话类型(type)(如IP或者以太网或者非结构化)、会话和服务连续性模式、用户面安全管理信息、多接入PDU连接服务(multi-access PDU connectivity service)、高可靠类型等属性。例如，对于多接入PDU连接服务，SMF存储认证授权信息。

又一示例，SMF根据是否接收到指示信息#3，确定是否存储认证授权信息。

若SMF接收到来自DN-AAA的用于指示认证结果可以重用或者用于指示存储认证结果的指示信息#3，则SMF确定存储认证授权信息；若SMF没有接收到来自DN-AAA的指示信息#3，则SMF确定不存储认证授权信息。

应理解，上述示例仅是示例性说明，本申请并未限定于此。例如，SMF可以直接默认存储认证授权信息。

706A5，SMF向UDM发送认证授权信息。

示例地，SMF可以向UDM发送N_udm接口会话管理签约更新(N_udm_SDM_Update)消息，该消息中包括二次认证的认证授权信息。认证授权信息例如可以包括但不限于：DN-SpecificId、DNN、DN-AAA Id、时效信息、DN授权文本的索引、DN授权的会话的AMBR、允许的MAC地址(s)、允许的VID(s)、上报PDU会话信息指示。

应理解，N_udm_SDM_Update消息，仅是示例性说明，对此不作限定。只要SMF可以向UDM发送认证授权信息，该认证授权信息携带于任何消息中均是可行的。

706A6，UDM向SMF发送响应消息。

UDM向SMF发送针对认证授权信息的响应消息。示例地，SMF接收UDM发送的N_udm_SDM_Update响应(N_udm_SDM_Updateresponse)消息。

706A7，SMF继续PDU会话建立流程。

DN-AAA对终端设备认证结束之后，SMF可继续发起PDU会话建立的其他流程，例如可以包括但不限于：SMF向UPF发送N4接口会话建立/修改请求、UPF向SMF反馈N4接口会话建立/修改响应。SMF还可以通过AMF向终端设备发送PDU会话建立成功消息。

应理解，上述仅是简单的示例性说明，关于具体的二次认证和授权过程，可以参考现有方案，本申请实施例不作限定。

步骤706B：不执行二次认证流程。如图7(2)所示，在SMF确定跳过二次认证流程的情况下，方法700可以包括步骤706B1至706B6。

706B1，SMF确定跳过二次认证。

例如，在该情况下，不需要执行图7(1)中的步骤706A2。

706B2，SMF确获取终端设备的PDU会话的地址。

SMF根据获取的认证授权信息，执行PDU会话建立流程。该认证授权信息，例如可以是SMF从UE的上下文中获取的；又如可以是SMF从UDM处获取的；又如也可以是SMF本地保存的。具体的可以参考上文描述。

若SMF接收了用于PDU会话控制的授权信息，例如可以包括但不限于：DN授权文本的索引、DN授权的会话的AMBR、允许的MAC地址(s)、允许的VID(s)、上报PDU会话信息指示。SMF利用这些授权信息执行PDU会话建立流程。例如，SMF可以向PCF发送DN授权文本的索引、DN授权的会话的AMBR，根据允许的MAC地址(s)以及允许的VID(s)确定PDU会话的地址。

706B3，SMF根据获取的DNN或认证授权信息确定目标DN-AAA。

以SMF根据认证授权信息确定目标DN-AAA为例，一种可能的实现方式，认证结果中存储DN-AAA地址，从而可以根据该认证结果确定DN-AAA；又一种可能的实现方式，认证结果中包含DN-Specific Id，根据DN-Specific Id确定DN AAA地址。

应理解，任何可以使得SMF确定目标DN-AAA的方式，都适用于本申请实施例。

706B4，SMF向目标DN-AAA上报PDU会话的地址信息。

PDU会话的地址信息，例如可以包括但不限于：IP地址、MAC地址、或VIDs等。

一示例，SMF可以根据DN-AAA的指示，上报PDU会话的地址信息。例如，SMF可以根据认证授权信息中的上报PDU会话信息指示，确定要通知DN-AAAPDU会话的地址信息。

又一示例，SMF可以根据本地配置(如本地配置了需要通知PDU会话的地址信息的要求)，确定要通知DN-AAA PDU会话的地址信息。

可选地，SMF还可以携带终端设备的通用公共订阅标识(Generic PublicSubscription Identifier，GPSI)。

706B5，DN-AAA存储新的SMF的信息。

DN-AAA可以确定存储新的SMF的信息，即维护与SMF之间的会话，用于DN-AAA后续与SMF交互。

706B6，SMF继续PDU会话建立流程。

SMF继续执行PDU会话建立流程，例如可以包括但不限于：SMF向UPF发送N4接口会话建立/修改请求、UPF向SMF反馈N4接口会话建立/修改响应。

应理解，各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定。例如，步骤706B4也可以发生在PDU会话建立完成之后，即在步骤706B6之后。又如，步骤706和步骤705可以合并，即确定认证方式为二次认证和判断是否发起二次认证流程为同一步骤。

上文结合图7所示的方法700介绍了一具体实施例。通过本申请实施例，在PDU会话建立过程中，SMF可以根据UE上下文或者从UDM获取的认证授权信息或者本地保存的认证授权信息，确定是否要发起二次认证流程。在认证授权信息中还包括PDU会话管理控制相关信息，从而在跳过二次认证流程时，可以直接根据该认证授权信息建立PDU会话。此外，在认证授权信息中还可以包括用于标识同一个DN的多个DNN信息(即等价DNN)，从而可以保证使用不同的DNN标识DN的场景下，也能够避免重复执行二次认证的流程。通过本申请实施例，可以保证即使使用不同的DNN接入到DN，SMF也可以尽可能地避免重复执行二次认证流程。此外，增强了存储的授权信息，从而保证PDU会话的控制信息也能够被使用。

图8示出了适用于本申请又一实施例的方法800的示意性交互图。方法800主要介绍了上文所述的关于正在进行二次认证的方案，在方法800中，SMF根据是否存在认证结果确定发起二次认证流程后，可以由DN认证服务器向SMF指示挂起会话。

方法800可以包括如下步骤。

801，终端设备向AMF发起PDU会话建立请求。

示例地，终端设备向AMF发送NAS消息，该NAS消息中还可以携带DNN，即用于指示终端设备想要接入的DN。

应理解，步骤801与上文方法700中的步骤701的具体过程相似。由于上文方法700中已经对步骤701做了详细说明，为了简洁，这里不再赘述。

与步骤701不同的是，在步骤801中，终端设备还可以发送DN对应的认证授权信息，如在PDU会话建立请求中包含DN对应的认证授权信息，或者，也可以将DN对应的认证授权信息单独发给AMF。

802，AMF向SMF发送PDU会话建立请求。

应理解，步骤802与上文方法700中的步骤702的具体过程相似。由于上文方法700中已经对步骤702做了详细说明，为了简洁，这里不再赘述。

803，SMF向UDM请求终端设备的会话管理签约信息。

应理解，步骤803与上文方法700中的步骤703的具体过程相似。由于上文方法700中已经对步骤703做了详细说明，为了简洁，这里不再赘述。

804，UDM向SMF发送终端设备的会话管理签约信息。

应理解，步骤804与上文方法700中的步骤704的具体过程相似。由于上文方法700中已经对步骤704做了详细说明，为了简洁，这里不再赘述。

805，SMF确定认证方式为二次认证。

应理解，步骤805与上文方法700中的步骤705的具体过程相似。由于上文方法700中已经对步骤705做了详细说明，为了简洁，这里不再赘述。

806，SMF可以判断是否发起二次认证流程。

例如，可以包括步骤807和步骤808。

807，SMF向UDM请求终端设备的认证授权信息。

应理解，步骤807与上文方法700中的步骤707的具体过程相似。由于上文方法700中已经对步骤707做了详细说明，为了简洁，这里不再赘述。

808，UDM向SMF发送终端设备的认证授权信息。

应理解，步骤808与上文方法700中的步骤708的具体过程相似。由于上文方法700中已经对步骤708做了详细说明，为了简洁，这里不再赘述。

应理解，步骤806与上文方法700中的步骤706的具体过程相似。由于上文方法700中已经对步骤706做了详细说明，为了简洁，这里不再赘述。

假设通过判断，SMF确定发起二次认证流程。

809，SMF确定发起二次认证流程。

在方法800中，SMF基于是否有认证结果判断发起二次认证流程后，SMF还可以判断是否有正在进行的二次认证流程。

例如，在步骤806中，SMF可以进一步判断本地是否包含DNN(即步骤801中的DNN)对应的DN有正在执行的二次认证流程。若有，SMF则跳过二次认证流程，本地存储指示信息#4，该指示信息#4表明需要根据正在执行的二次认证结果确定是否继续执行PDU会话流程。若没有，则确定发起二次认证流程。具体地，下文结合方法1000所示的实施例说明。

810，SMF向DN-AAA发送认证授权请求消息。

SMF向DN-AAA发送认证授权请求消息，该请求消息中包含用于认证授权的信息(如EAP信息)。

811，DN-AAA确定对于同一个终端设备在做认证。

DN-AAA根据SMF发送的请求消息，确定对于同一个终端设备同一个DN(DN-specific ID)在执行二次认证。DN-AAA可以在本地存储SMF标识和指示信息#5，指示信息#5用于表明需要通知SMF二次认证授权结果。

812，DN-AAA向SMF发送认证授权响应消息。

在DN-AAA向SMF发送的响应消息中可以包括挂起指示，即指示SMF挂起PDU会话。挂起，或者说暂停，表示暂时停止建立PDU会话或者暂时停止进行二次认证流程。

813，SMF挂起PDU会话。

SMF挂起PDU会话，即SMF不继续执行PDU会话的建立流程。

SMF可以根据DN-AAA的反馈，如另一PDU会话的认证结果，确定后续的处理。例如，在对另一PDU会话的二次认证成功后，SMF可以继续PDU会话建立流程，SMF可以不需要重复执行二次认证流程，如可以执行如方法700中的步骤706B。又如，在对另一PDU会话的二次认证失败后，SMF可以终止PDU会话的建立。或者，在认证授权失败后，SMF可以根据认证失败的原因，确定是否终止PDU会话的建立。

示例地，SMF可以根据在预设时长后，是否接收到DN-AAA的反馈，如另一PDU会话的二次认证结果(即刚进行二次认证的PDU会话的二次认证结果)，确定后续的处理。该预设时长可以是预先规定的时长，如协议预先定义的；或者，也可以是根据历史通信情况确定的一个时长。

示例地，可以通过定时器来实现。例如，在SMF挂起PDU会话后，以预设时长为时间长度激活定时器。又如，SMF在接收到DN-AAA的认证授权响应消息后，以预设时长为时间长度激活定时器。若在定时器超期前均未收到另一PDU会话的二次认证结果(即刚进行二次认证的PDU会话的二次认证结果)的消息，则确定对另一PDU会话的二次认证失败，并终止PDU会话的建立。

814，DN-AAA认证完成，确定通知SMF。

DN-AAA可以根据本地存储的指示信息#5确定通知SMF，或者DN-AAA也可以默认通知SMF。

若二次认证授权成功，则在二次认证授权成功后，DN-AAA向SMF发送指示另一PDU会话的二次认证成功的认证结果(即刚进行二次认证的另一PDU会话的二次认证成功或失败)和认证授权信息；若二次认证授权失败，则在二次认证授权失败后，DN-AAA向SMF指示另一PDU会话的二次认证失败(即刚进行二次认证的另一PDU会话的二次认证失败)。或者，若二次认证授权失败，则DN-AAA不发送另一PDU会话的二次认证结果，SMF在预设时长接收不到认证结果后，默认认证授权失败。

815，DN-AAA向SMF发送认证授权结果。

该认证授权结果包括：对另一PDU会话的二次认证成功的认证结果(即刚进行二次认证的PDU会话的二次认证成功)和认证授权信息；或者，该认证授权结果包括：对另一PDU会话二次认证失败的认证结果。

816，SMF根据认证授权结果处理挂起的PDU会话。

例如，SMF根据认证授权结果确定继续PDU会话建立或者拒绝PDU会话建立。

一可能的情况，该认证授权结果包括：对另一PDU会话二次认证成功的认证结果(即刚进行二次认证的PDU会话的二次认证成功)和认证授权信息。在该情况下，SMF根据认证结果确定继续PDU会话建立，并不需要再进行二次认证流程，基于该认证授权信息，继续建立PDU会话。

又一可能的情况，该认证授权结果包括：对另一PDU会话二次认证失败的认证结果。在该情况下，SMF可以根据认证授权结果确定拒绝PDU会话建立，即终止PDU会话的建立。或者，在该情况下，SMF也可以根据认证授权失败的原因，确定是否要拒绝PDU会话建立。

可选地，在认证授权成功的情况下，SMF可以向DN-AAA上报PDU会话的地址信息。

817，SMF向DN-AAA上报PDU会话的地址信息。

PDU会话的地址信息，例如可以包括但不限于：IP地址、MAC地址、或VIDs等。

一示例，SMF可以根据DN-AAA的指示，上报PDU会话的地址信息。例如，SMF可以根据认证授权信息中的上报PDU会话信息指示，确定要通知DN-AAAPDU会话的地址信息。

又一示例，SMF可以根据本地配置(如本地配置了需要通知PDU会话的地址信息的要求)，确定要通知DN-AAA PDU会话的地址信息。

又一示例，SMF可以根据从UDM获取的签约信息，确定要通知DN-AAA PDU会话的地址信息。

可选地，SMF还可以携带终端设备的GPSI。

上文结合图8所示的方法800介绍了又一具体实施例。通过本申请实施例，在PDU会话建立过程中，由DN认证服务器确定是否有正在执行的二次认证流程，并存储指示信息，以使得跳过二次认证流程直接向SMF发送认证授权结果。因此可以通过集中控制点DN认证服务器判断重用二次认证结果，从而避免重复的执行二次认证流程带来的信令开销。

图9示出了适用于本申请又一实施例的方法900的示意性交互图。方法900主要介绍了上文所述的关于正在进行二次认证的方案，在方法900中，SMF根据是否存在认证结果确定发起二次认证流程后，可以由终端设备向SMF指示挂起会话。

方法900可以包括如下步骤。

901，终端设备向AMF发起PDU会话建立请求。

应理解，步骤901与上文方法700中的步骤701的具体过程相似。由于上文方法700中已经对步骤701做了详细说明，为了简洁，这里不再赘述。

902，AMF向SMF发送PDU会话建立请求。

应理解，步骤902与上文方法700中的步骤702的具体过程相似。由于上文方法700中已经对步骤702做了详细说明，为了简洁，这里不再赘述。

903，SMF向UDM请求终端设备的会话管理签约信息。

应理解，步骤903与上文方法700中的步骤703的具体过程相似。由于上文方法700中已经对步骤703做了详细说明，为了简洁，这里不再赘述。

904，UDM向SMF发送终端设备的会话管理签约信息。

应理解，步骤804与上文方法700中的步骤704的具体过程相似。由于上文方法700中已经对步骤704做了详细说明，为了简洁，这里不再赘述。

905，SMF确定PDU会话需要二次认证授权。

应理解，步骤905与上文方法700中的步骤705的具体过程相似。由于上文方法700中已经对步骤705做了详细说明，为了简洁，这里不再赘述。

906，SMF可以判断是否发起二次认证流程。

例如，可以包括步骤907和步骤908。

907，SMF向UDM请求终端设备的认证授权信息。

应理解，步骤907与上文方法700中的步骤707的具体过程相似。由于上文方法700中已经对步骤707做了详细说明，为了简洁，这里不再赘述。

908，UDM向SMF发送终端设备的认证授权信息。

应理解，步骤908与上文方法700中的步骤708的具体过程相似。由于上文方法700中已经对步骤708做了详细说明，为了简洁，这里不再赘述。

应理解，步骤906与上文方法700中的步骤906的具体过程相似。由于上文方法700中已经对步骤906做了详细说明，为了简洁，这里不再赘述。

假设通过判断，SMF确定发起二次认证流程。

909，SMF确定发起二次认证流程。

910，SMF向AMF发送认证消息(authentication message)。

SMF向终端设备发送认证消息以便终端设备进行认证。可选地，SMF可以通过AMF向终端设备发送认证消息。

示例地，SMF可以向AMF发送N_amf接口N1N2消息转移(N_smf_N1N2MessageTransfer)消息，该消息中包含认证消息。

911，AMF向终端设备发送认证消息。

示例地，AMF可以向终端设备发送NAS会话管理(session management，SM)传输(NAS SM transport)消息，该消息中包含认证消息。

终端设备接收到该认证消息后，可以确定是否正在执行二次认证。假设终端设备确定正在执行二次认证。

912，终端设备确定正在执行二次认证。

终端设备确定对于同一个DN(或者说对应相同的DN-specific Id)正在执行二次认证，那么终端设备可以向SMF发送挂起指示(即指示信息#2)。终端设备可以通过AMF向SMF发送挂起指示。

可选地，终端设备还可以本地存储指示信息#5，表明需要通知SMF二次认证授权结果(如终端设备发送指示信息#1)。或者，也可以预先规定终端设备需要通知SMF二次认证授权结果。

913，终端设备向AMF发送挂起指示。

示例地，终端设备可以向AMF发送NAS SM transport消息，该消息中包含挂起指示。挂起指示用于指示SMF正在执行二次认证流程。

914，AMF向SMF发送挂起指示。

示例地，AMF可以向SMF发送N_smf接口PDU会话更新会话管理上下文(N_smf_PDUSession_UpdateSMContext)消息，该消息中包含挂起指示。挂起指示用于指示SMF正在执行二次认证流程。

915，SMF挂起PDU会话。

SMF接收到挂起指示后，挂起PDU会话，即不继续执行PDU会话的建立流程。可选地，SMF接收到挂起指示后，还可以向UDM订阅授权结果通知，基于该订阅授权结果通知，UDM会在接收到新的认证结果时，通知SMF。或者，可选地，SMF接收到挂起指示后，还可以向DN-AAA订阅授权结果通知，基于该订阅授权结果通知，DN-AAA会在接收到新的认证结果时，通知SMF。

SMF可以根据终端设备的反馈，如对另一PDU会话二次认证成功的认证结果或者对另一PDU会话二次认证失败的认证结果，确定后续的处理。例如，对另一PDU会话二次认证成功后，SMF可以继续PDU会话建立流程，SMF可以不需要重复执行二次认证流程，如可以执行如方法700中的步骤706B。又如，对另一PDU会话二次认证失败后，SMF可以终止PDU会话的建立；或者，根据认证授权失败的原因，确定是否终止PDU会话的建立。

示例地，SMF可以根据在预设时长后，是否接收到终端设备的反馈，如对另一PDU会话二次认证的认证结果，确定后续的处理。该预设时长可以是预先规定的时长，如协议预先定义的；或者，也可以是根据历史通信情况确定的一个时长。

示例地，可以通过定时器来实现。例如，在SMF挂起PDU会话后，以预设时长为时间长度激活定时器。又如，SMF在接收到AMF的挂起指示后，以预设时长为时间长度激活定时器。若在定时器超期前均未收到对另一PDU会话二次认证的认证结果，则确定认证授权失败，并终止PDU会话的建立。

916，终端设备确定二次认证结束。

终端设备确定二次认证结束后，可以根据本地存储的指示信息#5或者根据预先规定，向SMF发送认证结果通知信息。例如，终端设备可以通知SMF二次认证结果，或者，终端设备可以通知SMF获取二次认证结果。

终端设备可以通过AMF向SMF发送认证结果通知信息。

917，终端设备向AMF发送认证结果通知信息。

示例地，终端设备可以向AMF发送NAS SM transport消息，该消息中包含认证结果通知信息。

918，AMF向SMF发送认证结果通知信息。

示例地，AMF可以向SMF发送N_smf_PDUSession_UpdateSMContext消息，该消息中包含认证结果通知信息，认证结果通知信息用于指示会话的二次认证成功或者失败。

一情况，如果该认证结果通知信息通知SMF二次认证结果，那么SMF可以根据该认证结果通知信息确定认证授权成功或者认证授权失败。

又一情况，如果该认证结果通知信息通知SMF获取二次认证结果，那么SMF可以根据该认证结果通知信息请求UDM提供二次认证授权结果。在该情况下，方法900还可以包括步骤919至921。

919，SMF根据认证结果通知信息，向UDM获取认证授权信息。

920，SMF向UDM请求终端设备的认证授权信息。

应理解，步骤920与上文方法700中的步骤707的具体过程相似。由于上文方法700中已经对步骤707做了详细说明，为了简洁，这里不再赘述。

还应理解，步骤920也可以不用执行，即UDM基于SMF之前的订阅授权结果通知，在接收到新的认证结果时，会通知SMF。

921，UDM向SMF发送终端设备的认证授权信息。

应理解，步骤921与上文方法700中的步骤708的具体过程相似。由于上文方法700中已经对步骤708做了详细说明，为了简洁，这里不再赘述。

SMF根据终端设备的通知，或者从UDM处获取的终端设备的认证授权信息，可以确认认证授权结果，并且可以根据认证授权结果确定继续PDU会话建立或者拒绝PDU会话建立。

一可能的情况，该认证授权结果包括：对另一PDU会话二次认证成功的认证结果(即刚进行二次认证的PDU会话的二次认证成功)和认证授权信息。在该情况下，SMF根据认证授权结果确定继续PDU会话建立，并不需要再进行二次认证流程，基于该认证授权信息，继续建立PDU会话。

又一可能的情况，该认证授权结果包括：对另一PDU会话二次认证失败的认证结果。在该情况下，SMF根据认证授权结果确定拒绝PDU会话建立，即终止PDU会话的建立。或者，在该情况下，SMF也可以根据认证授权失败的原因，确定是否要拒绝PDU会话建立。

可选地，在认证授权成功的情况下，SMF可以向DN-AAA上报PDU会话的地址信息。PDU会话的地址信息，例如可以包括但不限于：IP地址、MAC地址、或VIDs等。

在认证授权成功的情况下，如果SMF确定需要向DN-AAA上报PDU会话的地址信息，那么SMF可以根据DN-specific Id确定目标DN认证服务器。

922，SMF确定目标DN-AAA。

SMF可以根据获取的DN-specific Id(DNN)确定目标DN-AAA。

923，SMF向目标DN-AAA上报PDU会话的地址信息。

可选地，SMF可以根据DN-specific Id确定目标DN-AAA的地址，或者，SMF可以根据认证授权信息中的DN-AAA地址，向该DN-AAA上报PDU会话地址。

924，DN-AAA确定存储新的SMF信息。

如果该SMF为新的SMF，则DN-AAA确定存储SMF信息。

一种可能的实现方式，可以根据本地是否已经与SMF建立关联，确定是否存储SMF信息。

例如，如果DN-AAA已经与SMF建立关联，则表明该SMF不是新的，故不需要存储SMF信息。

又如，如果DN-AAA未与SMF建立关联，则表明该SMF是新的，故存储SMF信息。

上文结合图9所示的方法900介绍了又一具体实施例。通过本申请实施例，在PDU会话建立过程中，由终端设备确定是否有正在执行的二次认证流程，并存储指示信息，以使得跳过二次认证流程直接向SMF发送认证授权结果。因此可以通过由终端设备指示正在执行二次认证，从而避免重复的执行二次认证流程带来的信令开销。

图10示出了适用于本申请再一实施例的方法1000的示意性交互图。方法1000主要介绍了终端设备在请求建立会话时，指示SMF挂起会话或者是否需要发起二次认证流程。

方法1000可以包括如下步骤。

1001，终端设备确定为同一个DN的PDU会话。

可以理解，终端设备在发送PDU会话建立请求之前，可以先确定建立的为同一个DN的PDU会话，即与之前建立的会话的DN或者正在执行二次认证的DN相同。

例如，终端设备确定建立的PDU会话为DN的其中一个冗余的PDU会话。

又如，终端设备确定使用的是不同于之前DNN的同一个DN的PDU会话。

又如，终端设备确定同一个DN对应有一个PDU会话正在执行二次认证流程。

1002，终端设备向AMF发起PDU会话建立请求。

应理解，步骤1002与上文方法700中的步骤701的具体过程相似。由于上文方法700中已经对步骤701做了详细说明，为了简洁，这里不再赘述。

与步骤701不同的是，在步骤1002中，终端设备还可以发送用于确定是否执行二次认证流程的信息(即指示信息#1)。如在PDU会话建立请求中包含用于确定是否执行二次认证流程的信息，或者，也可以将用于确定是否执行二次认证流程的信息单独发给AMF。

可选地，终端设备可以发送以下一项或多项：DNN信息、关联的PDU会话的PDU会话ID、正在执行二次认证的指示或无需执行二次认证的指示(即指示信息#2)。

一示例，终端设备确定建立的PDU会话为DN的其中一个冗余的PDU会话的情况下，终端设备可以发送：关联的PDU会话信息，如关联的PDU会话的PDU会话ID。

又一示例，终端设备确定使用的是不同于之前DNN的同一个DN的PDU会话的情况下，终端设备可以发送：DNN信息，即之前与DN建立的PDU会话的DNN。

又一示例，终端设备确定同一个DN对应有一个PDU会话正在执行二次认证流程的情况下，终端设备可以发送：正在执行二次认证的指示或无需执行二次认证的指示(即指示信息#2)。

1003，AMF向SMF发送PDU会话建立请求。

应理解，步骤1003与上文方法700中的步骤702的具体过程相似。由于上文方法700中已经对步骤702做了详细说明，为了简洁，这里不再赘述。

与步骤702不同的是，在步骤1003中，AMF还可以向SMF发送用于确定是否执行二次认证流程的信息。如在PDU会话建立请求中包含用于确定是否执行二次认证流程的信息，或者，也可以将用于确定是否执行二次认证流程的信息单独发给SMF。

1004，SMF向UDM请求终端设备的会话管理签约信息。

示例地，SMF可以向UDM发送N_udm_SDM_Get消息，请求终端设备的会话管理签约信息。

一情况，如果用于确定是否执行二次认证流程的信息(即指示信息#1)中包括正在执行二次认证的指示信息(即指示信息#2)，那么SMF向UDM发送的N_udm_SDM_Get消息中可以包括：指示UDM在接收到终端设备的认证授权信息后通知SMF的指示信息。在该情况下，方法1000可以包括执行步骤1006和1007。

又一情况，如果用于确定是否执行二次认证流程的信息(即指示信息#1)中包括DNN信息，那么SMF向UDM发送的N_udm_SDM_Get消息中可以包括：指示UDM发送对应DNN的认证授权信息。在该情况下，无需执行步骤1006和1007。

又一情况，如果用于确定是否执行二次认证流程的信息(即指示信息#1)中包括关联的PDU会话的PDU会话ID，那么SMF向UDM发送的N_udm_SDM_Get消息中可以包括：指示UDM发送PDU会话ID对应的认证授权信息。在该情况下，无需执行步骤1009和1010。

1005，UDM向SMF发送终端设备的会话管理签约信息。

示例地，UDM可以向SMF发送N_udm_SDM_Get response消息，该响应消息中包含终端设备的会话管理签约信息。

SMF获取到终端设备的会话管理签约信息后，可以判断PDU会话是否需要进行二次认证授权。假设SMF确定PDU会话需要二次认证授权。

1006，SMF确定认证方式为二次认证。即SMF确定PDU会话需要二次认证授权。

应理解，步骤1006与上文方法700中的步骤705的具体过程相似。由于上文方法700中已经对步骤705做了详细说明，为了简洁，这里不再赘述。

1007，SMF可以判断是否发起二次认证流程。

情况1，终端设备确定同一个DN对应有一个PDU会话正在执行二次认证流程，终端设备向SMF发送正在执行二次认证的指示信息(即指示信息#2)，基于该指示SMF可以判断跳过二次认证。

情况2，终端设备确定建立的PDU会话为DN的其中一个冗余的PDU会话，终端设备向SMF发送关联的PDU会话信息(如关联的PDU会话的PDU会话ID)，基于该指示SMF可以判断跳过二次认证。

在该情况1或情况2下，SMF可以向UDM发送订阅(subscribe)消息(如Nudm_SDM_subscribe消息)，该消息用于指示UDM在接收到终端设备的认证授权信息后通知SMF。或者说，SMF可以向UDM订阅授权结果通知，UDM会在接收到新的认证结果时，通知SMF。或者，SMF也可以向DN-AAA订阅授权结果通知。可选地，在该情况下，SMF可以直接向DN-AAA或者UDM发送请求消息，用于请求通知认证授权结果(即对另一PDU会话的二次认证的认证结果)。如果认证授权成功，那么SMF根据认证授权结果确定继续PDU会话建立；如果认证授权失败，那么SMF根据认证授权结果确定拒绝PDU会话建立，即终止PDU会话的建立，或者，根据认证授权失败的原因确定是否要拒绝PDU会话建立。

应理解，上述仅是示例性说明。例如，在该情况1或情况2下，SMF还可以看本地是否有正在进行的二次认证或认证结果。没有的话，SMF向UDM或DN-AAA订阅结果。

情况3，终端设备确定使用的是不同于之前DNN的同一个DN的PDU会话，终端设备向SMF发送DNN信息，即之前与DN建立的PDU会话的DNN，基于该DNN信息SMF可以判断跳过二次认证。

在该情况3下，SMF可以根据本地信息确定是否有对应DNN的认证授权结果。如果本地有对应DNN的认证授权结果，则重用；如果本地没有对应DNN的认证授权结果，则向UDM查询是否有对应DNN认证授权结果。可选地，SMF向UDM查询是否有对应DNN认证授权结果时，可以在查询请求中携带DNN信息。又一情况，如果用于确定是否执行二次认证流程的信息(即指示信息#1)中包括关联的PDU会话的PDU会话ID，那么SMF可以根据本地信息确定是否有PDU会话ID对应的认证授权结果。如果本地有PDU会话ID对应的认证授权结果，则重用；如果本地没有PDU会话ID对应的认证授权结果，则向UDM查询是否有PDU会话ID对应的认证授权结果。可选地，SMF向UDM查询是否有PDU会话ID对应的认证授权结果时，可以在查询请求中携带PDU会话ID。

上述三种情况仅为示例性说明。通过步骤1007，SMF可以根据终端设备的指示确定是否发起二次认证流程。或者，SMF也可以查询本地或者基于UDM，确定是否要发起二次认证流程。

1008，SMF确定跳过二次认证流程。

以情况1或情况2为例，那么SMF可以向UDM发送订阅消息，即方法1000可以包括步骤1009。

1009，SMF向UDM发送订阅消息。

即SMF向UDM订阅事件，用于通知UDM在接收到终端设备的认证授权信息后通知SMF。

应理解，为便于描述，图10仅示出了SMF向UDM发送订阅消息的情况，对此不作限定。例如，SMF也可以向DN-AAA发送订阅消息。

1010，UDM向SMF发送认证授权信息

UDM接收到认证授权信息时，通知SMF。SMF可以基于该认证授权信息，继续PDU会话的建立。

1011，SMF向DN-AAA上报PDU会话的地址信息。

可选地，SMF可以向该DN-AAA上报PDU会话地址。

可选地，SMF还可以携带终端设备的GPSI。

1012，DN-AAA确定存储新的SMF信息。

DN-AAA可以存储SMF和对应的PDU会话信息。

应理解，步骤1012与上文方法900中的步骤924的具体过程相似。由于上文方法900中已经对步骤924做了详细说明，为了简洁，这里不再赘述。

上文结合图10所示的方法1000介绍了又一具体实施例。通过本申请实施例，通过终端设备向SMF发送指示信息，从而使得SMF感知是否有正在执行的二次认证或者使用不同的DNN的PDU会话已经建立。因此SMF能够识别同一个DN使用不同的DNN的PDU会话，以及是否有正在执行的二次认证流程，从而避免重复的执行二次认证流程带来的信令开销。

上文结合图7至图10详细介绍了几个可能的完整流程。应理解，在上文各实施例中，各网元可以执行各实施例中的部分或全部步骤。这些步骤或操作仅是示例，本申请实施例还可以执行其它操作或者各种操作的变形。此外，各个步骤可以按照各实施例呈现的不同的顺序来执行，并且有可能并非要执行本申请实施例中的全部操作。且，各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

应理解，在上述一些实施例中，以会话为PDU会话为例进行了示例性说明，对此不作限定。任何用于接入DN的会话均适用于本申请实施例。

还应理解，在上述一些实施例中，使用具体的消息，如N_smf_PDUSession_UpdateSMContext Request消息、N_udm_SDM_Get消息、N_udm_SDM_Get response消息、N_udm_UE_Get消息、N_udm_UE_Get response消息、N_udm_SDM_Update消息、N_udm_SDM_Updateresponse消息，等等，关于消息的命名以及类型，均不作限定。任何可以实现相同功能的消息，都适用于本申请实施例。

基于上述技术方案，认证授权流程可以用于数据网络认证授权终端设备是否能建立会话接入数据网络。具体地，在会话建立过程中，SMF可以根据数据网络是否已经对终端设备认证授权成功，确定是否要发起二次认证流程，从而可以保证使用不同的DNN标识数据网络的场景下，也能够避免重复执行二次认证的流程。通过本申请实施例，可以保证即使使用不同的DNN接入到数据网络，SMF也可以尽可能地避免重复执行二次认证流程。

此外，基于上述技术方案，在会话建立过程中，由DN认证服务器或者终端设备确定是否有正在执行的二次认证流程，并存储指示信息，以使得跳过二次认证流程直接向SMF发送认证授权结果。因此可以通过集中控制点DN认证服务器或者终端设备判断重用二次认证结果，从而避免重复的执行二次认证流程带来的信令开销。

本文中描述的各个实施例可以为独立的方案，也可以根据内在逻辑进行组合，这些方案都落入本申请的保护范围中。

可以理解的是，上述各个方法实施例中，由设备(如SMF、终端设备、DN认证服务器等)实现的方法和操作，也可以由可用于设备的部件(例如芯片或者电路)实现。

以上，结合图6至图10详细说明了本申请实施例提供的方法。以下，结合图11和图12详细说明本申请实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，各个网元，例如终端设备设备或者SMF或者DN-AAA，为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对各个网元进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。下面以采用对应各个功能划分各个功能模块为例进行说明。

图11是本申请实施例提供的认证授权的装置的示意性框图。该装置1100包括收发单元1110和处理单元1120。收发单元1110可以实现相应的通信功能，处理单元1120用于进行数据处理。收发单元1110还可以称为通信接口或通信单元。

可选地，该装置1100还可以包括存储单元，该存储单元可以用于存储指令和/或数据，处理单元1120可以读取存储单元中的指令和/或数据，以使得通信装置实现前述方法实施例。

该装置1100可以用于执行上文方法实施例中终端设备所执行的动作，这时，该装置1100可以为终端设备或者可配置于终端设备的部件，收发单元1110用于执行上文方法实施例中终端设备侧的收发相关的操作，处理单元1120用于执行上文方法实施例中终端设备侧的处理相关的操作。

或者，该装置1100可以用于执行上文方法实施例中SMF所执行的动作，这时，该装置1100可以为SMF或者可配置于SMF的部件，收发单元1110用于执行上文方法实施例中SMF侧的收发相关的操作，处理单元1120用于执行上文方法实施例中SMF侧的处理相关的操作。

或者，该装置1100可以用于执行上文方法实施例中DN的认证服务器(或者说DN的认证网元)所执行的动作，这时，该装置1100可以为DN的认证服务器或者可配置于DN的认证服务器的部件，收发单元1110用于执行上文方法实施例中DN的认证服务器侧的收发相关的操作，处理单元1120用于执行上文方法实施例中DN的认证服务器侧的处理相关的操作。

作为一种设计，该装置1100用于执行上文图6所示实施例中SMF所执行的动作。

在一种实现方式中，收发单元1110用于：接收来自终端设备的会话建立请求消息，该会话建立请求消息用于请求建立与数据网络的会话；处理单元1120用于：判断是否存在数据网络对终端设备的认证结果；当存在认证结果时，对会话跳过二次认证流程。

作为一示例，认证结果中包括认证授权信息，认证授权信息包括以下一项或多项：一个或多个数据网络标识、数据网络的认证网元的标识、时效信息、数据网络授权文本的索引、数据网络授权的会话的聚合最大比特速率、允许的媒体访问控制地址、允许的虚拟局域网、用于指示上报会话信息的信息。

作为又一示例，处理单元1120用于：当判断不存在认证结果时，对会话发起二次认证流程，或者，挂起会话。

作为又一示例，处理单元1120具体用于：根据终端设备或者数据网络的认证网元发送的第一指示信息，挂起会话，其中，第一指示信息用于指示数据网络对终端设备的另一会话进行二次认证。

作为又一示例，处理单元1120还用于：当不存在认证结果时，判断数据网络是否对终端设备的另一会话进行二次认证；当数据网络对终端设备的另一会话进行二次认证时，挂起会话；或者，当数据网络没有对终端设备的另一会话进行二次认证时，对会话发起二次认证流程。

作为又一示例，收发单元1110还用于：获取数据网络对终端设备的另一会话的认证结果，另一会话的认证结果用于指示对另一会话的二次认证成功或者失败。

作为又一示例，处理单元1120还用于：当另一会话的认证结果指示对另一会话的二次认证成功时，对会话跳过二次认证流程，并继续后续会话的建立流程；或者，当另一会话的认证结果指示对另一会话的二次认证失败时，拒绝建立会话。

作为又一示例，处理单元1120还用于：在对会话的二次认证成功后，根据以下任一项：确定是否存储会话的认证结果：会话的会话属性、本地策略或第二指示信息，其中，第二指示信息为：来自数据网络的认证网元或者来自终端设备的用于指示是否存储会话的认证结果的信息。

作为又一示例，处理单元1120具体用于：判断本地是否存在认证结果；或者，判断统一数据管理网元中是否存在认证结果；或者，根据来自终端设备或者数据网络的认证网元的第三指示信息，判断是否存在认证结果；或者，判断已认证数据集中是否存在认证结果。

作为又一示例，所处理单元1120具体用于：当已认证数据集中包括数据网络的标识时，确定存在认证结果；或者，当已认证数据集不包括数据网络的标识时，确定不存在认证结果。

在另一种实现方式中，收发单元1110用于：接收来自终端设备的会话建立请求消息，该会话建立请求消息用于请求建立与数据网络的会话；处理单元1120用于：判断数据网络是否对终端设备的另一会话进行二次认证；当数据网络对终端设备的另一会话进行二次认证时，挂起会话。

作为一示例，处理单元1120具体用于：根据会话建立请求消息中携带的第一指示信息，挂起会话，其中，第一指示信息用于指示数据网络对终端设备的另一会话进行二次认证。

作为又一示例，收发单元1110还用于：获取数据网络对终端设备的另一会话的认证结果，另一会话的认证结果用于指示对另一会话的二次认证成功或者失败。

作为又一示例，处理单元1120还用于：当另一会话的认证结果指示对另一会话的二次认证成功时，对会话跳过二次认证流程，并继续后续会话的建立流程；或者，当另一会话的认证结果指示对另一会话的二次认证失败时，拒绝建立会话。

作为又一示例，处理单元1120还用于：当数据网络没有对终端设备的另一会话进行二次认证时，判断是否存在数据网络对终端设备的认证结果；当存在认证结果时，对会话跳过二次认证流程；或者，当不存在认证结果时，对会话发起二次认证流程。

作为又一示例，处理单元1120还用于：根据以下任一项：确定是否存储会话的认证结果：会话的会话属性、本地策略或第二指示信息，其中，第二指示信息为：来自数据网络的认证网元或者来自终端设备的用于指示是否存储会话的认证结果的信息。

作为又一示例，处理单元1120具体用于：判断本地是否存在认证结果；或者，判断统一数据管理网元中是否存在认证结果；或者，根据来自终端设备或者数据网络的认证网元的第三指示信息，判断是否存在认证结果；或者，判断已认证数据集中是否存在认证结果。

作为又一示例，处理单元1120具体用于：当已认证数据集中包括数据网络的标识时，确定存在认证结果；或者，当已认证数据集不包括数据网络的标识时，确定不存在认证结果。

该装置1100可实现对应于根据本申请实施例的方法600至方法1000中的SMF执行的步骤或者流程，该装置1100可以包括用于执行图6中的方法600至图10中方法1000中的SMF执行的方法的单元。并且，该装置1100中的各单元和上述其他操作和/或功能分别为了实现图6中的方法600至图10中方法1000的相应流程。

其中，当该装置1100用于执行图6中的方法600时，收发单元1110可用于执行方法600中的步骤610，处理单元用于指示方法600中的620、631或632。

当该装置1100用于执行图7中的方法700时，收发单元1110可用于执行方法700中的步骤702、703、704、707、708、706A3、706A5、706A6、706B4，处理单元1120可用于执行方法700中的步骤705、706、706A1、706A2、706A4、706A7、706B1、706B2、706B3、706B6。

当该装置1100用于执行图8中的方法800时，收发单元1110可用于执行方法800中的步骤803、804、807、808、810、812、815、817，处理单元1120可用于执行方法800中的步骤805、806、809、813、816。

当该装置1100用于执行图9中的方法900时，收发单元1110可用于执行方法900中的步骤903、904、907、908、910、914、918、920、921、923，处理单元1120可用于执行方法900中的步骤905、906、909、915、919、922。

当该装置1100用于执行图10中的方法1000时，收发单元1110可用于执行方法1000中的步骤1004、1005、1007、1009、1010，处理单元1120可用于执行方法1000中的步骤1006、1007、1008。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

作为另一种设计，装置1100用于执行上文图6所示实施例中终端设备所执行的动作。

在一种实现方式中，收发单元1110用于：接收来自终端设备的会话建立请求消息，该会话建立请求消息用于请求建立与数据网络的会话；处理单元1120用于：在与数据网络对会话进行二次认证的过程中，判断数据网络是否对终端设备的另一会话进行二次认证；收发单元1110还用于：当数据网络对终端设备的另一会话进行二次认证时，向会话管理网元发送第一指示信息，第一指示信息用于指示数据网络对终端设备的另一会话进行二次认证。

作为一示例，处理单元1120具体用于：在收发单元1110接收来自会话管理网元的身份验证协议请求消息之后，判断数据网络是否对终端设备的另一会话进行二次认证。

作为又一示例，收发单元1110还用于：向会话管理网元发送另一会话的认证结果，另一会话的认证结果用于指示另一会话的二次认证成功或者失败。

作为又一示例，收发单元1110还用于：根据存储的信息和会话的会话属性中的一个或者多个，确定在数据网络对终端设备的另一会话二次认证结束后，向会话管理网元发送另一会话的认证结果，其中，存储的信息用于指示在数据网络对终端设备的另一会话二次认证结束后，向会话管理网元发送另一会话的认证结果。

作为又一示例，收发单元1110还用于：向会话管理网元发送第二指示信息，第二指示信息用于指示是否存储数据网络对终端设备的认证结果的信息。

该装置1100可实现对应于根据本申请实施例的方法600至方法1000中的SMF执行的步骤或者流程，该装置1100可以包括用于执行图6中的方法600至图10中方法1000中的SMF执行的方法的单元。并且，该装置1100中的各单元和上述其他操作和/或功能分别为了实现图6中的方法600至图10中方法1000的相应流程。

其中，当该装置1100用于执行图6中的方法600时，收发单元1110可用于执行方法600中的步骤610。

当该装置1100用于执行图7中的方法700时，收发单元1110可用于执行方法700中的步骤701。

当该装置1100用于执行图8中的方法800时，收发单元1110可用于执行方法800中的步骤801。

当该装置1100用于执行图9中的方法900时，收发单元1110可用于执行方法900中的步骤901、911、913、917，处理单元1120可用于执行方法900中的步骤912、916。

当该装置1100用于执行图10中的方法1000时，处理单元1120可用于执行方法1000中的步骤1001，收发单元1110可用于执行方法1000中的步骤1002。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

作为又一种设计，装置1100用于执行上文图6所示实施例中DN的认证服务器所执行的动作，收发单元1110用于：接收来自会话管理网元的认证授权消息，认证授权消息用于数据网络验证终端设备是否授权建立接入数据网络的会话；处理单元1120用于：判断是否存在数据网络对终端设备的认证结果，或，判断数据网络对终端设备的另一会话进行二次认证；收发单元1110还用于：向会话管理网元发送第一指示信息，第一指示信息用于指示是否存在数据网络对终端设备的认证结果，或者，第一指示信息用于指示数据网络对终端设备的另一会话进行二次认证。

作为一示例，判断数据网络对终端设备的另一会话进行二次认证的情况下，收发单元1110还用于：在数据网络对终端设备的另一会话二次认证结束后，向会话管理网元发送另一会话的认证结果，另一会话的认证结果用于指示另一会话的二次认证成功或者失败。

作为又一示例，收发单元1110具体用于：根据存储的信息和会话的会话属性中的一个或者多个，确定在数据网络对终端设备的另一会话二次认证结束后，向会话管理网元发送另一会话的认证结果，其中，存储的信息用于指示在数据网络对终端设备的另一会话二次认证结束后，向会话管理网元发送另一会话的认证结果。

作为又一示例，收发单元1110还用于：向会话管理网元发送第二指示信息，第二指示信息用于指示是否存储数据网络对终端设备的认证结果的信息。

该装置1100可实现对应于根据本申请实施例的方法600至方法1000中的DN的认证服务器执行的步骤或者流程，该装置1100可以包括用于执行图6中的方法600至图10中方法1000中的DN的认证服务器执行的方法的单元。并且，该装置1100中的各单元和上述其他操作和/或功能分别为了实现图6中的方法600至图10中方法1000的相应流程。

其中，当该装置1100用于执行图6中的方法600时，收发单元1110可用于执行方法600中的步骤610，处理单元1120可用于执行方法600中的步骤620、631或632。

当该装置1100用于执行图7中的方法700时，收发单元1110可用于执行方法700中的步骤706A3、706B4，处理单元1120可用于执行方法700中的步骤706A2、706B5。

当该装置1100用于执行图8中的方法800时，收发单元1110可用于执行方法800中的步骤810、812、815、817，处理单元1120可用于执行方法800中的步骤811、814。

当该装置1100用于执行图9中的方法900时，收发单元1110可用于执行方法900中的步骤923，处理单元1120可用于执行方法900中的步924。

当该装置1100用于执行图10中的方法1000时，收发单元1110可用于执行方法1000中的步骤1011，处理单元1120可用于执行方法1000中的步骤1012。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

上文实施例中的处理单元1120可以由至少一个处理器或处理器相关电路实现。收发单元1110可以由收发器或收发器相关电路实现。存储单元可以通过至少一个存储器实现。

如图12所示，本申请实施例还提供一种认证授权的设备1200。该设备1200包括处理器1210，处理器1210与存储器1220耦合，存储器1220用于存储计算机程序或指令和/或数据，处理器1210用于执行存储器1220存储的计算机程序或指令和/或数据，使得上文方法实施例中的方法被执行。

可选地，该设备1200包括的处理器1210为一个或多个。

可选地，如图12所示，该设备1200还可以包括存储器1220。

可选地，该设备1200包括的存储器1220可以为一个或多个。

可选地，该存储器1220可以与该处理器1210集成在一起，或者分离设置。

可选地，如图12所示，该设备1200还可以包括收发器1230，收发器1230用于信号的接收和/或发送。例如，处理器1210用于控制收发器1230进行信号的接收和/或发送。

作为一种方案，该设备1200用于实现上文方法实施例中由终端设备执行的操作。

例如，处理器1210用于实现上文方法实施例中由终端设备执行的处理相关的操作，收发器1230用于实现上文方法实施例中由终端设备执行的收发相关的操作。

作为另一种方案，该设备1200用于实现上文方法实施例中由SMF执行的操作。

例如，处理器1210用于实现上文方法实施例中由SMF执行的处理相关的操作，收发器1230用于实现上文方法实施例中由SMF执行的收发相关的操作。

作为又一种方案，该设备1200用于实现上文方法实施例中由DN的认证服务器执行的操作。

例如，处理器1210用于实现上文方法实施例中由DN的认证服务器执行的处理相关的操作，收发器1230用于实现上文方法实施例中由DN的认证服务器执行的收发相关的操作。

应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

本申请实施例还提供了一种处理装置，包括处理器和接口；所述处理器用于执行上述任一方法实施例中的方法。

应理解，上述处理装置可以是一个或多个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(applicationspecific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(networkprocessor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logicdevice，PLD)或其他集成芯片。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由终端设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由终端设备执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由SMF执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由SMF执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由DN的认证服务器执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由DN的认证服务器执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由终端设备执行的方法，或由SMF执行的方法，或由DN的认证服务器执行的方法。

本申请实施例还提供一种通信系统，该通信系统包括上文实施例中的终端设备、SMF、DN的认证服务器。

所属领域的技术人员可以清楚地了解到，为描述方便和简洁，上述提供的任一种通信装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定，只要能够通过运行记录有本申请实施例提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可。例如，本申请实施例提供的方法的执行主体可以是终端设备或网络设备，或者，是终端设备或网络设备中能够调用程序并执行程序的功能模块。

本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。

其中，计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质(或者说计算机可读介质)例如可以包括但不限于：磁性介质或磁存储器件(例如，软盘、硬盘(如移动硬盘)、磁带)、光介质(例如，光盘、压缩盘(compact disc，CD)、数字通用盘(digital versatiledisc，DVD)等)、智能卡和闪存器件(例如，可擦写可编程只读存储器(erasableprogrammable read-only memory，EPROM)、卡、棒或钥匙驱动器等)、或者半导体介质(例如固态硬盘(solid state disk，SSD)等、U盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)等各种可以存储程序代码的介质。

本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于：无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM可以包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，上述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。

另外，在本申请各个实施例中的各功能单元可以集成在一个单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。

当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，计算机可以是个人计算机，服务器，或者网络设备等。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。关于计算机可读存储介质，可以参考上文描述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求和说明书的保护范围为准。