CN111465011B - 跨网络接入方法、装置、存储介质及通信系统 - Google Patents

Abstract

本申请实施例提供的跨网络接入方法、装置、存储介质及通信系统，其中，该方法包括：第一网络设备接收第二网络设备发送的终端设备对应的用户标识，与该终端设备进行合法性认证，并在确定合法性认证通过后，将终端设备的用户临时标识和密钥集指示发送给第二网络设备，接收该终端设备通过第二网络设备建立的会话发送的注册请求消息，该注册请求消息包括：终端设备的用户临时标识、密钥集指示，根据终端设备的用户临时标识和密钥集指示，判定是否允许该终端设备接入。该技术方案，减少了终端设备在注册流程时第一网络设备与终端设备之间的认证流程，降低了认证复杂度，提高了网络接入效率。

Description

跨网络接入方法、装置、存储介质及通信系统

技术领域

本申请涉及通信技术领域，尤其涉及一种跨网络接入方法、装置、存储介质及通信系统。

背景技术

现阶段，无线通信技术已经深入的人们的生活。用户的终端设备既可以接入公共数据网络，也可以接入非公共网络，终端设备可以具有可接入的每个数据网络的身份信息和密钥。

现有技术中，当终端设备处于具有第一网络的信号、没有第二网络的信号的场景下，但又有接入第二网络的需求时，终端设备可以通过第一网络访问第二网络。即，终端设备与第二网络首先通过第一网络执行首次双向认证，在确定两者均合法后，终端设备通过第一网络建立协议数据单元(protocol data unit，PDU)会话，在会话建立后，终端设备通过该PDU会话向第二网络发送注册请求，终端设备与第二网络执行第二次双向认证，并在第二次双向认证通过后接入第二网络。

由上述可知，现有技术中，终端设备通过第一网络访问第二网络时，认证过程复杂，导致终端设备接入第二网络的效率低，时延长。

发明内容

本申请实施例提供一种跨网络接入方法、装置、存储介质及通信系统，以解决现有技术中终端设备通过第二网络访问第一网络时，认证过程复杂、接入效率低的问题。

本申请第一方面提供一种跨网络接入方法，适用于第一网络设备，包括：

接收第二网络设备发送的终端设备对应的用户标识；

与所述终端设备进行合法性认证；

在确定所述合法性认证通过后，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备；

接收所述终端设备通过所述第二网络设备建立的会话发送的注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示；

根据所述终端设备的用户临时标识和密钥集指示，判定是否允许所述终端设备接入。

在本实施例中，第一网络设备在接收到第二网络设备发送的终端设备对应的用户标识后，与终端设备进行合法性认证，并通过第二网络设备将认证过程中的终端设备的用户临时标识和密钥集指示等认证参数发送给终端设备，以使终端设备向第一网络设备所在网络注册时携带这些认证参数，减少了终端设备在注册流程时的认证流程，降低了认证复杂度，提高了网络接入效率。

示例性的，在第一方面的一种可能设计中，所述方法还包括：

向所述第二网络设备发送非接入层安全模式命令消息，以使所述第二网络设备将所述非接入层安全模式命令消息发送给终端设备，所述非接入层安全模式命令消息用于指示终端设备进行安全验证。

在本实施例中，第一网络设备通过第二网络设备向终端设备发送非接入层安全模式命令消息，可以使得终端设备对该非接入层安全模式命令消息进行安全性验证，提高了接入过程中的安全性。

示例性的，在第一方面的另一种可能设计中，所述将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，所述方法还包括：

确定是否从所述第二网络设备接收到安全指示；

所述将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，包括：

若确定从所述第二网络设备接收到安全指示，则将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

在本实施例中，当第一网络设备通过判断确定出从第二网络设备接收到了安全指示，这样可以触发第一网络设备在合法性认证通过后，将认证过程中的终端设备的用户临时标识和密钥集指示发送给第二网络设备，进而转发给终端设备，为提高终端设备的接入效率奠定了基础。

示例性的，在第一方面的再一种可能设计中，所述将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，所述方法还包括：

确定所述第一网络设备所属的网络是否为非公共网络NPN或是否公共陆地移动网络PLMN；

所述将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，包括：

若确定所述第一网络设备所属的网络为非公共网络NPN或公共陆地移动网络PLMN，则将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

在本实施例中，若第一网络设备所属的网络是否为非公共网络NPN或是否公共陆地移动网络PLMN，这也会触发第一网络设备在合法性认证通过后，通过第二网络设备将认证过程中的终端设备的用户临时标识和密钥集指示发送给终端设备，以使终端设备接收到该终端设备的用户临时标识和密钥集指示，其为提高终端设备的接入效率奠定了基础。

示例性的，在第一方面的又一种可能设计中，所述接收第二网络设备发送的终端设备对应的用户标识，包括：

接收所述第二网络设备通过非接入层容器发送的所述终端设备对应的用户标识，所述非接入层容器，用于触发所述合法性认证。

在本实施例中，若第一网络设备接收到通过非接入层容器发送的终端设备对应的用户标识，则执行与终端设备的合法性认证，并在合法性认证后将认证过程中的终端设备的用户临时标识和密钥集指示通过第二网络设备发送给终端设备，这样终端设备同样可以接收到上述终端设备的用户临时标识和密钥集指示。

本申请第二方面提供一种跨网络接入方法，适用于终端设备，包括：

向第二网络设备发送会话建立请求消息，所述会话建立请求消息，包括：所述终端设备对应的用户标识；

接收所述第二网络设备通过会话建立响应消息发送的所述终端设备的用户临时标识、密钥集指示；

通过所述第二网络设备建立的协议数据单元PDU会话向第一网络设备发送注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示。

在本实施例中，终端设备在向第一网络设备发送注册请求消息后携带终端设备的用户临时标识、密钥集指示，可以减少第一网络设备与终端设备的双向认证流程，降低了认证复杂度，提高了网络接入效率。

示例性的，在第二方面的一种可能设计中，所述方法还包括：

接收所述第二网络设备发送的非接入层安全模式命令消息；

验证所述非接入层安全模式命令消息；

若验证成功，则发送非接入层安全模式命令完成消息至所述第一网络设备。

示例性的，在第二方面的另一种可能设计中，所述方法还包括：

向所述第二网络设备发送安全指示，所述安全指示用于指示所述第一网络设备下发所述终端设备的用户临时标识和密钥集指示。

示例性的，在第二方面的再一种可能设计中，所述会话建立请求包括非接入层容器，所述非接入层容器包括所述终端设备对应的用户标识。

本申请第三方面提供一种跨网络接入方法，适用于第二网络设备，包括：

接收终端设备发送的会话建立请求消息，所述会话建立请求消息，包括：所述终端设备对应的用户标识；

向所述第一网络设备发送所述终端设备对应的用户标识；

接收所述第一网络设备发送的所述终端设备的用户临时标识和密钥集指示；

通过会话建立响应消息向所述终端设备发送所述终端设备的用户临时标识和密钥集指示。

在本实施例中，第二网络设备作为终端设备与第一网络设备的中介，可以将第一网络设备在合法性认证过程中的终端设备的用户临时标识和密钥集指示等认证参数发送给终端设备，使得终端设备可以携带这些参数向第一网络设备发送注册请求消息，为降低终端设备的认证复杂度提供了可能实现条件。

示例性的，在第三方面的一种可能设计中，所述方法还包括：

向所述第一网络设备发送安全指示，所述安全指示用于指示所述第一网络设备下发所述终端设备的用户临时标识和密钥集指示。

示例性的，在第三方面的另一种可能设计中，所述向所述第一网络设备发送所述终端设备对应的用户标识，包括：

通过非接入层容器向所述第一网络设备发送所述终端设备对应的用户标识。

本申请第四方面提供一种跨网络接入装置，适用于第一网络设备，包括：接收模块、处理模块和发送模块；

所述接收模块，用于接收第二网络设备发送的终端设备对应的用户标识；

所述处理模块，用于与所述终端设备进行合法性认证；

所述发送模块，用于在确定所述合法性认证通过后，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备；

所述接收模块，还用于接收所述终端设备通过所述第二网络设备建立的会话发送的注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示；

所述处理模块，用于根据所述终端设备的用户临时标识和密钥集指示，判定是否允许所述终端设备接入。

示例性的，在第四方面的一种可能设计中，所述发送模块，还用于向所述第二网络设备发送非接入层安全模式命令消息，以使所述第二网络设备将所述非接入层安全模式命令消息发送给终端设备，所述非接入层安全模式命令消息用于指示终端设备进行安全验证。

示例性的，在第四方面的另一种可能设计中，所述处理模块，还用于在所述发送模块将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，确定是否从所述第二网络设备接收到安全指示；

所述发送模块，用于将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，具体为：

所述发送模块，具体用于在所述处理模块确定从所述第二网络设备接收到安全指示时，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

示例性的，在第四方面的再一种可能设计中，所述处理模块，还用于在所述发送模块将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，确定所述第一网络设备所属的网络是否为非公共网络NPN或是否公共陆地移动网络PLMN；

所述发送模块，用于将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，具体为：

所述发送模块，具体用于在所述处理模块确定所述第一网络设备所属的网络为非公共网络NPN或公共陆地移动网络PLMN时，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

示例性的，在第四方面的又一种可能设计中，所述接收模块，用于接收第二网络设备发送的终端设备对应的用户标识，具体为：

所述接收模块，具体用于接收所述第二网络设备通过非接入层容器发送的所述终端设备对应的用户标识，所述非接入层容器，用于触发所述合法性认证。

本申请第五方面提供一种跨网络接入装置，适用于终端设备，包括：处理模块、发送模块和接收模块；

所述处理模块，用于通过所述发送模块向第二网络设备发送会话建立请求消息，所述会话建立请求消息，包括：所述终端设备对应的用户标识；

所述接收模块，用于接收所述第二网络设备通过会话建立响应消息发送的所述终端设备的用户临时标识、密钥集指示；

所述发送模块，用于在所述接收模块接收到所述终端设备的用户临时标识、密钥集指示后，通过所述第二网络设备建立的协议数据单元PDU会话向第一网络设备发送注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示。

示例性的，在第五方面的一种可能设计中，所述接收模块，还用于接收所述第二网络设备发送的非接入层安全模式命令消息；

所述处理模块，还用于验证所述接收模块接收到的所述非接入层安全模式命令消息；

所述发送模块，还用于在验证成功时，发送非接入层安全模式命令完成消息至所述第一网络设备。

示例性的，在第五方面的再一种可能设计中，所述会话建立请求包括非接入层容器，所述非接入层容器包括所述终端设备对应的用户标识。

本申请第六方面提供一种跨网络接入装置，适用于第二网络设备，包括：接收模块、处理模块和发送模块；

所述接收模块，用于接收终端设备发送的会话建立请求消息，所述会话建立请求消息，包括：所述终端设备对应的用户标识；

所述处理模块，用于通过所述发送模块向所述第一网络设备发送所述终端设备对应的用户标识；

所述接收模块，还用于接收所述第一网络设备发送的所述终端设备的用户临时标识和密钥集指示；

所述发送模块，用于通过会话建立响应消息向所述终端设备发送所述终端设备的用户临时标识和密钥集指示。

示例性的，在第六方面的一种可能设计中，所述处理模块，还用于通过所述发送模块向所述第一网络设备发送安全指示，所述安全指示用于指示所述第一网络设备下发所述终端设备的用户临时标识和密钥集指示。

示例性的，在第六方面的另一种可能设计中，所述处理模块，用于通过所述发送模块向所述第一网络设备发送所述终端设备对应的用户标识，具体为：

所述处理模块，还用于利用所述发送模块通过非接入层容器向所述第一网络设备发送所述终端设备对应的用户标识。

本申请第七方面提供一种跨网络接入方法，适用于第一网络设备，包括：

接收终端设备发送的注册请求消息，所述注册请求消息包括：所述第一网络设备对应的用户标识、第二网络设备对应的用户标识和/或第二网络设备的标识；

基于所述注册请求消息与所述终端设备进行合法性认证；

在确定所述合法性认证通过后，基于所述第二网络设备对应的用户标识和/或所述第二网络设备的标识，向所述第二网络设备发送通知消息，所述通知消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识、所述第二网络设备对应的用户标识和/或所述第二网络设备的标识；

接收所述第二网络设备发送的接收响应，将所述接收响应发送给终端设备，所述接收响应，用于指示所述第二网络设备接收到所述通知消息。

在本实施例中，第一网络设备与终端设备进行合法性认证后，可以将第一网络设备对应的用户标识和/或第一网络设备的标识、第二网络设备对应的用户标识和/或第二网络设备的标识发送给第二网络设备，以使第二网络设备保存终端设备的用户标识与第一网络设备的标识的对应关系，这样第二网络设备可以根据保存的对应关系判断是否为终端设备建立会话，提高了第二网络设备对会话建立请求消息的认证效率。

本申请第八方面提供一种跨网络接入方法，适用于终端设备，包括：

向第一网络设备发送注册请求消息，所述注册请求消息包括：所述第一网络设备对应的用户标识、第二网络设备对应的用户标识和/或第二网络设备的标识；

接收所述第一网络设备发送的接收响应，所述接收响应，用于指示所述第二网络设备接收到所述第一网络设备发送的通知消息，所述通知消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识、所述第二网络设备对应的用户标识和/或所述第二网络设备的标识；

向所述第二网络设备发送会话建立请求消息，所述会话建立请求消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识；

接收所述第二网络设备发送的会话建立响应消息，所述会话建立响应消息用于指示所述第二网络设备是否为所述终端设备建立协议数据单元PDU会话。

在本实施例中，终端设备在向第一网络设备发送的注册请求消息中携带第一网络设备对应的用户标识、第二网络设备对应的用户标识和/或第二网络设备的标识，这样第一网络设备与终端设备进行合法性认证后，可以将第一网络设备对应的用户标识和/或第一网络设备的标识、第二网络设备对应的用户标识和/或第二网络设备的标识发送给第二网络设备，为提高第二网络设备的认证效率奠定了基础。

本申请第九方面提供一种跨网络接入方法，适用于第二网络设备，包括：

接收终端设备发送的会话建立请求消息，所述会话建立请求消息包括：第一网络设备对应的用户标识和/或第一网络设备的标识；

根据所述会话建立请求消息，查询所述第二网络设备保存的对应关系，判断所述会话建立请求消息对应的对应关系是否正确；

在确定所述会话建立请求消息对应的对应关系正确时，为所述终端设备和所述第一网络设备建立协议数据单元PDU会话；

向所述终端设备发送会话建立响应消息，所述会话建立响应消息用于指示所述第二网络设备是否为所述终端设备建立协议数据单元PDU会话。

在本实施例中，第二网络设备在接收到终端设备发送的会话建立请求消息时，可以查询保存的对应关系，进而判断会话建立请求消息对应的对应关系是否正确，进而确定是否为终端设备建立PDU会话，不需要再次触发终端设备与第一网络设备的合法性认证，缩短了会话请求消息的响应时间，提高了认证过程中的认证效率。

示例性的，在第九方面的一种可能设计中，在所述接收终端设备发送的会话建立请求消息之前，所述方法还包括：

接收所述第一网络设备发送的通知消息，所述通知消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识、所述第二网络设备对应的用户标识和/或所述第二网络设备的标识；

根据所述通知消息，保存所述第一网络设备对应的用户标识和/或所述第一网络设备的标识与所述第二网络设备对应的用户标识和/或所述第二网络设备的标识的对应关系；

向所述第一网络设备发送接收响应，所述接收响应，用于指示所述第二网络设备接收到所述通知消息。

在本实施例中，第二网络设备接收第一网络设备发送的通知消息，保存第一网络设备对应的用户标识和/或第一网络设备的标识与第二网络设备对应的用户标识和/或第二网络设备的标识的对应关系，其为缩短会话建立请求消息的响应时间奠定了基础。

本申请第十方面提供一种跨网络接入装置，适用于第一网络设备，包括：接收模块、处理模块和发送模块；

所述接收模块，用于接收终端设备发送的注册请求消息，所述注册请求消息包括：所述第一网络设备对应的用户标识、第二网络设备对应的用户标识和/或第二网络设备的标识；

所述处理模块，用于基于所述注册请求消息与所述终端设备进行合法性认证；

所述发送模块，用于在所述处理模块确定所述合法性认证通过后，基于所述第二网络设备对应的用户标识和/或所述第二网络设备的标识，向所述第二网络设备发送通知消息，所述通知消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识、所述第二网络设备对应的用户标识和/或所述第二网络设备的标识；

所述接收模块，还用于接收所述第二网络设备发送的接收响应，将所述接收响应发送给终端设备，所述接收响应，用于指示所述第二网络设备接收到所述通知消息。

本申请第十一方面提供一种跨网络接入装置，适用于终端设备，包括：处理模块、发送模块和接收模块；

所述处理模块，用于通过所述发送模块向第一网络设备发送注册请求消息，所述注册请求消息包括：所述第一网络设备对应的用户标识、第二网络设备对应的用户标识和/或第二网络设备的标识；

所述接收模块，用于接收所述第一网络设备发送的接收响应，所述接收响应，用于指示所述第二网络设备接收到所述第一网络设备发送的通知消息，所述通知消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识、所述第二网络设备对应的用户标识和/或所述第二网络设备的标识；

所述处理模块，还用于通过所述发送模块向所述第二网络设备发送会话建立请求消息，所述会话建立请求消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识；

所述接收模块，还用于接收所述第二网络设备发送的会话建立响应消息，所述会话建立响应消息用于指示所述第二网络设备是否为所述终端设备建立协议数据单元PDU会话。

本申请第十二方面提供一种跨网络接入装置，适用于第二网络设备，包括：接收模块、处理模块和发送模块；

所述接收模块，用于接收终端设备发送的会话建立请求消息，所述会话建立请求消息包括：第一网络设备对应的用户标识和/或第一网络设备的标识；

所述处理模块，用于根据所述会话建立请求消息，查询所述第二网络设备保存的对应关系，判断所述会话建立请求消息对应的对应关系是否正确，以及在确定所述会话建立请求消息对应的对应关系正确时，为所述终端设备和所述第一网络设备建立协议数据单元PDU会话；

所述发送模块，用于向所述终端设备发送会话建立响应消息，所述会话建立响应消息用于指示所述第二网络设备是否为所述终端设备建立协议数据单元PDU会话。

示例性的，在第十二方面的一种可能设计中，所述接收模块，还用于在接收终端设备发送的会话建立请求消息之前，接收所述第一网络设备发送的通知消息，所述通知消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识、所述第二网络设备对应的用户标识和/或所述第二网络设备的标识；

所述处理模块，还用于根据所述通知消息，保存所述第一网络设备对应的用户标识和/或所述第一网络设备的标识与所述第二网络设备对应的用户标识和/或所述第二网络设备的标识的对应关系；

所述发送模块，还用于向所述第一网络设备发送接收响应，所述接收响应，用于指示所述第二网络设备接收到所述通知消息。

本申请实施例第十三方面提供一种跨网络接入装置，适用于第一网络设备，所述装置包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述第一方面提供的方法或者上述第七方面提供的方法。

本申请实施例第十四方面提供一种跨网络接入装置，包括用于执行以上第一方面的方法的至少一个处理元件(或芯片)或者第七方面的方法的至少一个处理元件(或芯片)。

本申请实施例第十五方面提供一种存储介质，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面的方法或者上述第七方面的方法。

本申请实施例第十六方面提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法或者上述第七方面的方法。

本申请实施例第十七方面提供一种跨网络接入装置，适用于终端设备，所述装置包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述第二方面提供的方法或者上述第八方面提供的方法。

本申请实施例第十八方面提供一种跨网络接入装置，包括用于执行以上第二方面的方法的至少一个处理元件(或芯片)或者第八方面的方法的至少一个处理元件(或芯片)。

本申请实施例第十九方面提供一种存储介质，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第二方面的方法或者上述第八方面的方法。

本申请实施例第二十方面提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法或者上述第八方面的方法。

本申请实施例第二十一方面提供一种跨网络接入装置，适用于第二网络设备，所述装置包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述第三方面提供的方法或者上述第九方面提供的方法。

本申请实施例第二十二方面提供一种跨网络接入装置，包括用于执行以上第三方面的方法的至少一个处理元件(或芯片)或者第九方面的方法的至少一个处理元件(或芯片)。

本申请实施例第二十三方面提供一种存储介质，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第三方面的方法或者上述第九方面的方法。

本申请实施例第二十四方面提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第三方面的方法或者上述第九方面的方法。

本申请实施例第二十五方面提供一种通信系统，包括：第一网络设备、第二网络设备和终端设备；

所述终端设备通过所述第二网络设备所在的网络接入所述第一网络设备所在的网络；

所述第一网络设备至少包括第四方面所述的跨网络接入装置，所述终端设备至少包括上述第五方面所述的跨网络接入装置，所述第二网络设备至少包括第六方面所述的跨网络接入装置；

或者

所述第一网络设备至少包括第七方面所述的跨网络接入装置，所述终端设备至少包括上述第八方面所述的跨网络接入装置，所述第二网络设备至少包括第九方面所述的跨网络接入装置。

本申请实施例提供的跨网络接入方法、装置、存储介质及通信系统，基于终端设备和第一网络设备的合法性认证流程，第一网络设备通过第二网络设备将认证过程中的终端设备的用户临时标识和密钥集指示等认证参数发送给终端设备，终端设备向第一网络设备所在网络注册时携带这些认证参数，减少了终端设备在注册流程时的认证流程，降低了认证复杂度，提高了网络接入效率。

附图说明

图1为本申请实施例提供的一种通信系统的结构示意图；

图2A为现有技术中终端设备跨PLMN访问NPN的场景示意图；

图2B为现有技术中终端设备跨PLMN访问NPN的流程示意图；

图3为本申请实施例提供的跨网络接入方法实施例一的交互流程示意图；

图4为本申请实施例提供的跨网络接入方法实施例二的交互流程示意图；

图5为本申请实施例提供的跨网络接入方法实施例三的交互流程示意图；

图6为本申请实施例提供的跨网络接入方法实施例四的交互流程示意图；

图7为本申请实施例提供的跨网络接入装置实施例一的结构示意图；

图8为本申请实施例提供的跨网络接入装置实施例二的结构示意图；

图9为本申请实施例提供的跨网络接入装置实施例三的结构示意图；

图10为本申请实施例提供的跨网络接入装置实施例四的结构示意图；

图11为本申请实施例提供的跨网络接入装置实施例五的结构示意图；

图12为本申请实施例提供的跨网络接入装置实施例六的结构示意图；

图13为本申请实施例提供的跨网络接入装置实施例七的结构示意图；

图14为本申请实施例提供的跨网络接入装置实施例八的结构示意图；

图15为本申请实施例提供的跨网络接入装置实施例九的结构示意图；

图16为本申请实施例提供的一种通信系统的结构示意图。

具体实施方式

本申请下述各实施例提供的跨网络接入方法，可适用于通信系统中。图1为本申请实施例提供的一种通信系统的结构示意图。如图1所示，该通信系统可以包括至少一个终端设备和至少两个网络设备。图1示例性地示出了一个终端设备11和两个网络设备(第一网络设备12和第二网络设备13)。在图1所示实施例的通信系统中，终端设备11对应的用户标识可以有两个，分别是第一网络设备12对应的用户标识、第二网络设备13对应的用户标识。终端设备11可以根据第一网络设备12对应的用户标识和密钥集访问第一网络设备12所在的网络，终端设备11也可以根据第二网络设备13对应的用户标识和密钥集访问第二网络设备13所在的网络。

可选的，在本申请的实施例中，网络设备所在的网络可以包括：非3GPP接入的互通网元(non-3GPPinterworking function，N3iwf)，接入及移动性管理(access andmobility management function，AMF)、会话管理功能(session management function，SMF)、用户面功能网元(user plane function，UPF)等功能网元。本申请实施例中的第一网络设备和第二网络设备的体现形式可以为其所在网络的任意一个网元。其中，AMF主要是接入和移动管理功能，UPF主要用于接收控制信令，以及处理用户面数据等功能。

示例性的，网络设备所在的网络不限于包括N3iwf、AMF、SMF、UPF，其还可以包括：认证服务器功能网元(authentication server function，AUSF)、统一的数据管理(unified data management，UDM)、认证信任状存储和处理功能(authenticationcredential repository and processing function，ARPF)等其他的网元，本申请实施例不限于此。其中，AUSF主要用于执行与认证相关的操作；UDM用于执行用户数据的管理等功能；ARPF主要用于执行用户的身份、密钥和签约数据等的存储以及处理等。

可选的，该通信系统不限于包括网络设备和终端设备，其还可以包括网络控制器、移动管理实体等其他网络实体，本申请实施例不限于此。

本申请实施例所应用的通信系统可以为全球移动通讯(global system ofmobile communication，GSM)系统、码分多址(code division multiple access，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time divisionduplex，TDD)、通用移动通信系统(universal mobile telecommunication system，UMTS)，及其他应用正交频分复用(orthogonal frequency division multiplexing，OFDM)技术的无线通信系统等。本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

在本申请实施例中，上述终端设备11为通信系统中的一个逻辑实体，可以为有线或者无线设备，如手机，智能终端等终端设备，或者服务器，网关，基站，控制器等通信设备，或者物联网设备，如传感器，电表，水表等IoT设备。该终端设备11也可称之为用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal)、终端(terminal)等，该终端设备11可以经无线接入网(radio access network，RAN)与一个或多个核心网进行通信，例如，终端设备11可以是移动电话(或称为“蜂窝”电话)、具有移动终端的计算机等，本申请中的终端设备不限于包括上述UE、MS台、固定或移动用户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机或能够在无线环境中工作的任何其他类型的用户设备，本申请实施例对终端设备的具体表现形式不作具体限定。

示例性的，接入网络(access network，AN)中的网络设备可以指具有无线或者有线接入功能的网元，可以为4G的接入点，WiFi接入点，5G的基站，或者有线接入的接入点(access point，AP)等节点。

本申请实施例中，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

下面首先针对本申请实施例适用场景进行简要说明。

现今，无线通信技术已经深入的人们的生活。当用户在享受通信便利的同时，也可能面临安全和隐私的威胁。本申请实施例中以通信系统包括两个数据网络进行说明。示例性的，该两个数据网络可以分别为公共陆地移动网络(public land mobile network，PLMN)和非公共网络(non public network，NPN)。其中，PLMN是类似于运营商管理的电信网络，NPN是类似于企业或者垂直行业管理的电信网络。若一个终端设备可以分别接入到PLMN和NPN，则该终端设备既可以具有PLMN的身份(即用户标识)和密钥，也可以具有NPN的身份和密钥。

通常情况下，终端设备既可以直接接入到PLMN，也可以直接接入到NPN。在某些情况下，若终端设备具有PLMN的信号但没有NPN的信号，终端设备也可以跨PLMN访问NPN；或者，若终端设备具有NPN的信号但没有PLMN的信号，终端设备也可以跨NPN访问PLMN。

示例性的，图2A为现有技术中终端设备跨PLMN访问NPN的场景示意图。如图2A所示，对于终端设备跨PLMN访问NPN的场景，终端设备通过PLMN为终端设备建立的会话(例如，协议数据单元会话(protocol data unit session，PDU会话))访问NPN网络。具体的，终端设备可以首先接入PLMN，PLMN在确定终端设备和NPN的双向认证通过后，建立一个专门用于终端设备访问NPN网络的PDU会话，这样终端设备可以通过该PDU会话访问NPN网络。

示例性的，图2B为现有技术中终端设备跨PLMN访问NPN的流程示意图。如图2B所示，该流程可以包括如下步骤：

步骤21：终端设备向PLMN发送会话建立请求；

步骤22：PLMN根据该会话建立请求触发终端设备和NPN执行双向认证；

步骤23：PLMN在确定双向认证通过时，建立PDU会话。

其中，该PDU会话是为了传输终端设备和NPN之间数据的会话；

步骤24：PLMN将会话建立响应反馈给终端设备。

步骤25：终端设备向NPN发送注册请求；

步骤26：触发终端设备和NPN执行双向认证，以使NPN确定是否允许终端设备接入。

具体的，终端设备向PLMN发送会话建立请求之前，终端设备首先向PLMN发起注册申请，请求接入到PLMN；在接入到PLMN之后，终端设备与PLMN之间执行认证，终端设备验证PLMN是否为合法网络，同时PLMN验证终端设备对应的用户标识是否为合法用户；若认证成功，终端设备与PLMN的AMF建立非接入层(non access stratum，NAS)安全机制。进一步的，若终端设备需要向某个外部的数据网络(data network，DN)发送数据，则此时需要向PLMN发起PDU会话的建立流程。同时，运营商网络PLMN为了验证终端设备是否允许被接入到DN，进而授权是否为终端设备建立此DN的PDU会话。

可以理解的是，在本实施例中，DN相对于PLMN属于外部网络，因而，终端设备与DN的双向认证通过后，外部网络的DN会将认证结果发送给PLMN，以使PLMN确定是否允许建立PDU会话。

可选的，NPN是一个独立网络，终端设备可以通过PLMN建立与NPN的数据连接。同时，该NPN也包含5G网络中的AMF，SMF，UPF等功能网元。

所以，现有技术中，PLMN为终端设备建立用于访问NPN的PDU会话之前，终端设备与NPN之间需要执行一次双向认证，而且，终端设备在通过PLMN建立的PDU会话访问NPN，即在注册流程过程中，终端设备与NPN之间也需要做双向认证，这样终端设备在跨PLMN访问NPN的过程中，执行了两次与NPN的双向认证，认证过程复杂，导致终端设备接入NPN的效率低，时延长。

下面，通过具体实施例对本申请的技术方案进行详细说明。需要说明的是，下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。

示例性的，在介绍本申请的技术方案之前，首先将具体实施例中的某些术语进行介绍。

例如，NPN ID：非公共网络的标识，本申请实施例中均表示第一网络设备所在网络的标识；

NPN UE ID：终端设备在非公共网络中的用户标识，本申请实施例中指终端设备在第一网络中的用户标识；

N3iwf1 IP：非3GPP接入的互通网元，本申请实施例中指第一网络的IP地址；

NPN UE安全能力：非公共网络中终端设备的安全能力(NPN UE securitycapability)，本申请实施例中指第一网络设备对应终端设备的安全能力；

NPN-GUTI：非公共网络的全球唯一临时标识(non-public network-globallyunique temporary identity)，本申请实施例中指第一网络中终端设备的用户临时标识；

NPN-ngKIS：非接入网络中的下一代网络密钥集指示(next generation key setidentifier)，本申请实施例中指第一网络的密钥集指示；

ABBA：代表不同网络架构下防止降维攻击的方法，用于区分不同的网络架构。

可选的，图3为本申请实施例提供的跨网络接入方法实施例一的交互流程示意图。该方法以第一网络设备、第二网络设备和终端设备的交互进行说明。可以理解的是，第一网络设备所在的网络可以是NPN，第二网络设备所在的网络可以是PLMN；或者第一网络设备所在的网络是PLMN，第二网络设备所在的网络是NPN。本申请实施例并不第一网络设备和第二网络设备所属的网络进行限定。在本实施例中，下述可以以第一网络设备所在的网络为NPN，第二网络设备所在的网络为PLMN进行举例说明。

示例性的，如图3所示，在本实施例中，第二网络设备所在的网络可以包括AMF2、SMF2、UPF2等网元，第一网络设备所在的网络可以包括N3iwf1、AMF1、AUSF1、UDM1/ARPF1等网元。第二网络设备的操作步骤可以由AMF2、SMF2、UPF2等网元执行，第一网络设备的操作步骤可以由N3iwf1、AMF1、AUSF1、UDM1/ARPF1等网元执行。

示例性的，如图3所示，在本实施例中，该方法可以包括如下步骤：

步骤31：终端设备向第二网络设备所在的网络发起注册流程，并注册至第二网络设备所在的网络。

示例性的，在本实施例中，当终端设备想要接入到第二网络设备所在的网络，但没有第二网络设备所在网络的信号时，终端设备可以首先接入到第一网络设备所在的网络。

具体的，终端设备可以向第二网络设备发送注册请求，该注册请求中携带第二网络设备对应终端设备的用户标识，这样第二网络设备可以根据注册请求中的第二网络设备对应终端设备的用户标识查询该终端设备的用户，并执行双向认证。若终端设备和第二网络均相互认证通过，则该终端设备注册到该第二网络设备所在的网络。

关于终端设备注册到第二网络设备所在网络的流程与现有技术中的类似，此处不再赘述。

步骤32、终端设备向第二网络设备发送会话建立请求消息，该会话建立请求消息，包括：终端设备对应的用户标识。

示例性的，在本实施例中，由于终端设备无法直接连接到第一网络设备所在的网络，因而，当终端设备成功注册到第二网络设备后，其可以请求第二网络设备为其建立PDU会话，在终端设备和用于提供PDU连通性服务的数据网络之间建立关联，以使其终端设备通过该PDU会话请求连接到的第一网络设备所在的网络。

可以理解的是，在本实施例中，该会话建立请求消息中的终端设备对应的用户标识是终端设备在第一网络中的用户标识(例如，NPN UE ID)。这样，第二网络设备接收到该终端设备在第一网络的用户标识之后可以将其发送给第一网络设备以使其进行认证。

示例性的，在本实施例中，该会话建立请求消息中还可以包括如下参数中的任意一种或几种：第一网络设备所在网络的标识(例如，NPN ID)、N3iwf1 IP、第一网络设备对应终端设备的安全能力(例如，NPN UE安全能力)。其中，N3iwf1的地址可以是终端设备预置的。N3iwf1 IP可以使得第二网络设备确定第一网络的连接地址。

可选的，如图3所示，在本实施例中，终端设备可以将会话建立请求消息发送给第二网络设备所在网络中的AMF2。

步骤33：第二网络设备向第一网络设备发送终端设备在第一网络的用户标识和第一网络设备所在网络的标识、N3iwf1 IP、第一网络设备对应终端设备的安全能力的至少一项。

可选的，在本实施例中，首先，第二网络设备所在的网络AMF2接收到终端设备发送的会话建立消息后，可以将该会话建立消息中包括内容的至少一项发送至SMF2。

例如，AMF2将终端设备在第一网络的用户标识(例如，NPN UE ID)、第一网络设备所在网络的标识(例如，NPN ID)、N3iwf1的IP以及第一网络设备对应终端设备的安全能力(例如，NPN UE安全能力)的至少一项发送给SMF2。其中，N3iwf1 IP、NPN ID以及NPN UE安全能力均为可选内容。

其次，SMF2根据接收到的NPN UE ID确定终端设备和第一网络设备之间需要执行双向认证，即终端设备需要验证第一网络设备所在的网络是否为合法网络，第一网络设备需要验证终端设备是否为合法用户。因而，SMF2将NPN ID、N3iwf1 IP、NPN UE ID发送至UPF2。同理，该N3iwf1 IP、NPN ID以及NPN UE安全能力均可以为可选内容。

值得说明的是，N3iwf1 IP可以是从AMF2获得的，也可以为SMF2根据NPN ID和/或NPN UE ID确定的。

在本实施例中，在一种可能的设计中，终端设备向第二网络设备的SMF2发送的会话建立请求中也可以不携带终端设备在第一网络的用户标识(例如，NPN UE ID)。如果SMF2确定需要终端设备和第一网络设备执行合法性认证时，再请求终端设备发送NPN UE ID至SMF2。

再次，UPF2将NPN UE ID、NPN ID(可选的)发送给第一网络设备所在网络的N3iwf1。其中，N3iwf1 IP可以为从SMF2获得的，也可以为UPF2根据NPN ID或者NPN UE ID确定的。

步骤34：第一网络设备根据接收到的终端设备对应的用户标识，与该终端设备进行合法性认证。

可选的，在实施例中，第一网络设备所在网络的N3iwf1将NPN UE ID发送至AMF1。或者，第二网络设备的UPF2直接将NPN UE ID发送至第一网络设备所在网络的AMF1。或者，第二网络设备的SMF2直接将NPN UE ID发送至第一网络设备所在网络的AMF1。

示例性的，第一网络设备的AMF1还可以接收N3iwf1发送的NPN UE安全能力，或者直接接收UPF2发送的NPN UE安全能力。进一步的，AMF1可以将NPN UE ID发送至AUSF1。

在本实施例中，AUSF1接收到NPN UE ID后，执行终端设备与NPN之间执行双向的合法性认证，AUSF1认证终端设备通过后，计算密钥Kseaf。

值得说明的是，双向的合法性认证的基本原理以及生成Kseaf的过程不做限制，仅完成终端设备与第一网络的认证和推衍出相关密钥即可。可以为现有技术，本申请实施例对此不做赘述。例如，双向的合法性认证可以基于5G认证和密钥协商(authentication andkey agreement，AKA)或者可扩展的认证协议(extensible authentication protocol，EAP)AKA’的认证方法；又或者任意EAP方式支持的认证方法等。其中，5G AKA和EAP AKA’是两种5G网络认证的方法，EAP AKA’又是EAP方式的一种。EAP可以支持多种认证方法。

步骤35：第一网络设备在确定该合法性认证通过后，将终端设备的用户临时标识和密钥集指示发送给第二网络设备。

可选的，在本实施例中，在AUSF1确定该合法性认证通过后，AUSF1可以将生成的认证成功指示和Kseaf发送至AMF1。可选的，该认证成功指示可以为EAP成功，AKA成功等指示，该认证成功指示可以根据AUSF1选择的认证方法确定，此处不对此进行限定。

示例性的，AMF1可以根据接收到的密钥Kseaf生成密钥Kamf，并将认证成功指示、认证过程中生成的终端设备的用户临时标识(例如，NPN-GUTI)，密钥集指示(例如，NPN-ngKSI)、ABBA(可选的)发送给第二网络设备所在网络的UPF2。

其中，NPN-GUTI为终端设备的临时身份，ngKSI代表ng网络的哪个密钥，ABBA代表不同网络架构下防止降维攻击的方法，用于区分不同的网络架构，即保证不同网络架构用不同的密钥，因而，生成不同密钥的ABBA不同。

可选的，AMF1也可以首先将认证成功指示、NPN-GUTI、NPN-ngKSI、ABBA(可选的)等发送至N3iwf1，再由N3iwf1发送至UPF2。

可选的，AMF1也可以首先将认证成功指示、NPN-GUTI、NPN-ngKSI、ABBA(可选的)等发送至SMF2，SMF2再将其发送至AMF2。

可选的，在本实施例中，ABBA为可选内容，其可以用来指示当前认证流程的版本；也可以用来指示本认证结果可以用来做后续终端设备的注册安全等，本申请实施例对其不做限制。

可选的，NPN-ngKSI可以在认证流程中发送给终端设备(例如，在发送NPN-GUTI之前的任一步)，而在认证通过后，不需要再发送。

可选的，UPF2再将接收到的上述认证成功指示、NPN-GUTI、NPN-ngKSI、ABBA(可选的)发送给SMF2，SMF2再将其发送至AMF2。本专利实施例对于AMF1将认证成功指示、NPN-GUTI、NPN-ngKSI、ABBA(可选的)等发送至AMF2的方式进行限制。

可选的，在本实施例的一种可能设计中，终端设备还可以向第二网络设备发送安全指示，该安全指示用于指示第一网络设备下发该终端设备的用户临时标识和密钥集指示。也即，终端设备向第二网络设备发送的会话建立请求消息中可以包括该安全指示，这样，第二网络设备会将接收到的安全指示发送给第一网络设备。

因而，在步骤35中，第一网络设备将终端设备的用户临时标识和密钥集指示发送给第二网络设备之前，该方法还包括如下步骤：

第一网络设备确定是否从第二网络设备接收到该安全指示。

由于安全指示用于指示第一网络设备下发所述终端设备的用户临时标识和密钥集指示，所以，该步骤35中的将终端设备的用户临时标识和密钥集指示发送给第二网络设备可以通过如下步骤实现：

若第一网络设备确定从第二网络设备接收到安全指示，则将该终端设备的用户临时标识和密钥集指示发送给第二网络设备。

可选的，在本实施例的另一种可能设计中，第一网络设备将终端设备的用户临时标识和密钥集指示发送给第二网络设备之前，还可以包括如下步骤：

确定该第一网络设备所属的网络是否为非公共网络NPN或是否公共陆地移动网络PLMN。

鉴于NPN和PLMN的网络属性，当其认证第一网络设备与终端设备的合法性认证通过后，NPN或PLMN的网元会将认证过程中的安全参数等内容发送给终端设备。所以，在本实施例中，上述步骤35中，第一网络设备将终端设备的用户临时标识和密钥集指示发送给第二网络设备可以通过如下步骤实现：

若确定第一网络设备所属的网络为非公共网络NPN或公共陆地移动网络PLMN，则将该终端设备的用户临时标识和密钥集指示发送给第二网络设备。

步骤36：第二网络设备通过会话建立响应消息向终端设备发送接收到的终端设备的用户临时标识和密钥集指示。

可选的，在本实施例中，AMF2根据上述认证成功指示、NPN-GUTI、NPN-ngKSI、ABBA(可选的)生成会话建立响应消息，通过会话建立响应将上述认证成功指示、NPN-GUTI、NPN-ngKSI、ABBA(可选的)发送给终端设备。

通过上述步骤31至步骤36，终端设备与第一网络设备所在网络的AMF1保存有Kamf、NPN-ngKSI、ABBA(可选的)、NPN-GUTI、NPN UE安全能力(可选的)。

可选的，第一网络设备通过第二网络设备仅发送终端设备的用户临时标识给终端设备。

步骤37：终端设备通过第二网络设备建立的PDU会话向第一网络设备发送注册请求消息，该注册请求消息包括：终端设备的用户临时标识、密钥集指示。

可选的，在本实施例中，终端设备接收到第二网络设备通过会话建立响应消息发送的终端设备的用户临时标识和密钥集指示之后，终端设备便可以发起NPN的注册流程。具体的，终端设备将接收到的终端设备的用户临时标识NPN-GUTI、密钥集指示NPN-ngKSI、终端设备的设备安全能力NPN UE security capability(可选的)等内容封装在注册请求消息中发送给第一网络设备(例如，第一网络设备所在网络的接入网NPN AN)。

例如，第一网络设备所在网络的NPN N3iwf1或者NPN RAN接收上述注册请求消息。值得说明的是，NPN-GUTI，NPN-ngKSI为终端设备从上述第二网络中PDU会话建立过程中终端设备与第一网络设备在合法性认证过程中获取到的。

可选的，上述注册流程可以为终端设备直接向第一网络设备所在网络NPN发起的注册流程，也可以为终端设备通过PLMN建立的PDU会话向第一网络设备所在网络NPN发起的注册流程。因此，终端设备的接入点可以为第一网络设备所在网络的接入网NPN AN，而不仅仅为N3iwf1的接入方式。

步骤38：第一网络设备根据接收到的注册请求消息中包括的终端设备的用户临时标识和密钥集指示，判定是否允许该终端设备接入。

示例性的，在本实施例中，当第一网络设备所在网络的接入网NPN AN接收到上述注册请求消息之后，首先可以基于注册请求消息中携带的终端设备的用户临时标识NPN-GUTI确定出AMF1的地址；其次，将终端设备的用户临时标识NPN-GUTI、密钥集指示NPN-ngKSI、终端设备的设备安全能力NPN UE安全能力(可选的)发送至AMF1；再次，AMF1根据NPN-GUTI、NPN-ngKSI确定出Kamf，再根据Kamf执行对于终端设备的认证；若认证通过，则允许终端设备接入；否则，确定不允许该终端设备接入。例如，根据Kamf执行对于终端设备的认证，可以解释为执行NAS SMC的流程，以确定终端设备是否正确或合法。

可选的，终端设备接入到第一网络设备所在网络后，执行与AMF1的其他流程(例如，NAS SMC等)，关于执行的具体流程与现有技术的类似，本实施例中不对其进行赘述。

可以理解的是，在一种可能实现方式中，第二网络设备所在网络的SMF2与第一网络设备所在网络的AMF1之间可直接传递参数，不需要通过UPF2和/或N3iwf1的传递。在另一个可能的实现方式中，SMF2与N3iwf1之间也可以直接传递参数，不需要通过UPF2。

可选的，第一网络设备所在网络的AUSF1可以不向终端设备发送认证成功指示。终端设备可以根据是否接收到终端设备的用户临时标识和密钥集指示等安全参数来判定是否合法性认证通过。

可选的，上述认证成功指示，也可以为认证结果指示，用来指示认证的结果。

本申请实施例提供的跨网络接入方法，第一网络设备根据接收到的终端设备对应的用户标识后，与该终端设备进行合法性认证，在确定合法性认证通过后，将该终端设备的用户临时标识和密钥集指示发送给第二网络设备，第二网络设备再将其发送至终端设备，这样终端设备可以通过第二网络设备建立的会话向第一网络设备发送注册请求消息，且该注册请求消息包括：终端设备的用户临时标识、密钥集指示，第一网络设备可以根据接收到的终端设备的用户临时标识和密钥集指示判定是否允许终端设备接入。该技术方案，基于终端设备和第一网络设备的合法性认证流程，第一网络设备通过第二网络设备将认证过程中的终端设备的用户临时标识和密钥集指示等认证参数发送给终端设备，以使终端设备向第一网络设备所在网络注册时携带这些认证参数，减少了终端设备在注册流程时的认证流程，提高了网络接入效率。

可选的，在上述实施例的基础上，图4为本申请实施例提供的跨网络接入方法实施例二的交互流程示意图。本实施例与上述图3所示实施例的区别在于，终端设备发送的会话建立请求消息中还包括设备安全能力，这样第一网络设备在接收到终端设备的用户标识和设备安全能力，并执行合法性认证后，可以向第二网络设备发送NAS安全模式命令消息、终端设备的用户临时标识和密钥集指示，进而发送给终端设备，终端设备可以根据接收到的非接入层安全模式命令消息进行安全验证。

具体的，在本实施例中，如图4所示，该方法可以包括如下步骤：

步骤41：终端设备向第二网络设备所在的网络发起注册流程，并注册至第二网络设备所在的网络。

步骤42：终端设备向第二网络设备发送会话建立请求消息，该会话建立请求消息，包括：终端设备对应的用户标识、设备安全能力。

其中，该设备安全能力指的是第一网络设备所在网络对应终端设备的安全能力。

步骤43：第二网络设备根据接收到的会话建立请求消息，向第一网络设备发送终端设备对应的用户标识和设备安全能力。

步骤44：第一网络设备根据接收到的终端设备对应的用户标识与该终端设备进行合法性认证。

步骤45：第一网络设备向第二网络设备发送NAS安全模式命令消息、终端设备的用户临时标识和密钥集指示。

可选的，在本实施例中，第一网络设备所在网络的AMF1根据接收到的设备安全能力(NPN UE安全能力)后，执行NAS安全模式命令流程，生成NAS安全模式命令消息。

示例性的，AMF1首先根据接收到的NPN UE安全能力确定出终端设备和网络设备支持的NAS安全算法和NAS安全密钥，其次基于确定的NAS安全算法和NAS安全密钥，对生成的NAS安全模式命令消息做完整性保护(例如，计算NAS MAC)。

值得说明的是，如何确定NAS安全算法、如何确定NAS安全密钥，以及如何计算NASMAC的方法可按照现有方法实现，本实施例中不对其进行赘述。

示例性的，NAS安全模式命令消息可以包括密钥集指示NPN-ngkSI、ABBA、NPN UE安全能力、确定的NAS安全算法(包括确定的NAS加密算法和/或确定的NAS完整性保护算法)中的至少一项。

可选的，NAS安全模式命令消息还可以包括第一网络设备所在网络对应的终端设备的用户临时标识NPN-GUTI，或者采用NAS安全算法和NAS安全密钥加密后的终端设备的用户临时标识NPN-GUTI。

可选的，该NAS安全模式命令消息还可以包括认证成功指示。

可选的，在本实施例中，AMF1可以采用上述图3所示实施例的方法，首先向第二网络设备所在的PLMN网络发送认证成功指示、NAS安全模式命令消息以及上述终端设备的用户临时标识、密钥集指示等。若认证成功指示包括在NAS安全模式命令消息中，则可以发送NAS安全模式命令消息、终端设备的用户临时标识、密钥集指示给终端设备即可。

步骤46：第二网络设备通过会话建立响应消息将接收到的NAS安全模式命令消息、终端设备的用户临时标识和密钥集指示发送给终端设备。

步骤47：终端设备验证接收到的非接入层安全模式命令消息。

步骤48：若终端设备验证成功，则发送非接入层安全模式命令完成消息至第一网络设备。

可选的，终端设备接收到上述NAS安全模式命令消息，在验证成功后，可以通过第二网络设备所在的PLMN网络将该NAS安全模式命令完成消息发送给第一网络设备所在网络的AMF1。

可选的，AMF1接收到NAS安全模式命令完成消息之后，可以通过第二网络设备所在的PLMN网络将终端设备的用户临时标识NPN-GUTI和密钥集指示NPN-ngKSI发送给终端设备。示例性的，该NPN-GUTI可以是加密的用户临时标识。

所以，在本实施例中，通过上述步骤，终端设备与第一网络设备所在网络的AMF1中均保存有Kamf、NPN-ngKSI、ABBA、NPN-GUTI、NPN UE安全能力、NAS安全保护密钥(NAS加密密钥和NAS完整性保护密钥)、NAS安全算法(NAS加密算法和NAS完整性保护算法)等内容。

步骤49：终端设备通过第二网络设备建立的PDU会话向第一网络设备发送注册请求消息，该注册请求消息包括：终端设备的用户临时标识、密钥集指示、完整性保护验证码。

其中，该完整性保护验证码为使用NAS安全保护密钥和NAS完整性保护算法，针对所述注册请求消息计算得到的，用于对注册请求消息进行完整性保护。

可选的，该注册请求消息还可能包括NPN UE安全能力。

步骤410：第一网络设备根据接收到的终端设备的用户临时标识、密钥集指示和完整性保护验证码，判定是否允许该终端设备接入。

示例性的，在本实施例中，第一网络设备首先根据终端设备的用户临时标识和密钥集指示，确定NAS安全保护密钥和NAS完整性保护算法，再利用该NAS安全保护密钥和NAS完整性保护算法验证收到的完整性保护验证码是否正确，若正确，则允许该终端设备接入，否则不允许终端设备接入。

值得说明的是，在本实施例中，上述各步骤中未详尽的实现原理可以参见上述图3所示实施例中的记载，本实施例不再赘述。

本申请实施例提供的跨网络接入方法，第一网络设备根据接收到的终端设备对应的用户标识与该终端设备进行合法性认证后，通过第二网络设备将NAS安全模式命令消息、终端设备的用户临时标识和密钥集指示发送给终端设备，终端设备根据接收到的非接入层安全模式命令消息进行安全验证，以及通过第二网络设备建立的PDU会话向第一网络设备发送注册请求消息，第一网络设备根据接收到的终端设备的用户临时标识和密钥集指示，判定是否允许该终端设备接入，并执行NAS安全模式命令流程。该技术方案中，第一网络设备合法性认证通过后，除了将认证过程中的终端设备的用户临时标识和密钥集指示等认证参数发送给终端设备之外，还将非接入层安全模式命令消息发送给终端设备，这样终端设备可以对NAS进行安全验证，以及向第一网络设备所在网络注册时携带这些认证参数，减少了终端设备在注册流程时的认证流程，提高了网络接入效率。

可选的，在上述实施例的基础上，图5为本申请实施例提供的跨网络接入方法实施例三的交互流程示意图。本申请实施例与上述图3和图4所示实施例的区别在于，终端设备通过会话建立请求消息将第一网络设备所在网络的非接入层容器(例如，NPN NAScontainer)发送给第二网络设备所在的网络，进而由第二网络设备通过非接入层容器将终端设备的用户标识发送给第一网络设备。该NPN NAS container可以触发第一网络设备执行与终端设备的合法性认证。

具体的，在本实施例中，如图5所示，该方法可以包括如下步骤：

步骤51：终端设备向第二网络设备所在的网络发起注册流程，并注册至第二网络设备所在的网络。

步骤52：终端设备向第二网络设备发送会话建立请求消息，该会话建立请求消息，包括：非接入层容器；该非接入层容器包括：终端设备对应的用户标识。

可选的，该非接入层容器还可以包括以下的至少一项：设备安全能力、安全指示、N3iwf1 IP、NPN ID等内容。

示例性的，该非接入层容器可以包括上述图3所示实施例或图4所示实施例中会话建立请求消息中的内容。在另一个可能实现方式中，该非接入层容器中还可以包括终端设备在第一网络设备所在网络的注册请求消息。

可选的，该非接入层容器中的内容除了包括图3所示实施例或图4所示实施例中会话建立请求消息中的内容之外，还可以包括以下参数的至少一项：注册类型、请求的NSSAI、S-NSSAI、默认配置的NSSAI指示等，本申请实施例不对非接入层容器包括的具体内容进行限定。

可选的，NSSAI即网络切片选择辅助信息(network slice selection assistanceinformation，NSSAI)，S-NSSAI即单个NSSAI(single network slice selectionassistance information，S-NSSAI)。NSSAI和S-NSSAI均是网络切片辅助选择的参数，用于辅助网络切片的选择。

步骤53：第二网络设备根据接收到的会话建立请求消息，通过非接入层容器向第一网络设备发送终端设备对应的用户标识。

可选的，在本实施例中，第二网络设备接收到终端设备发送的会话建立请求消息之后，可以将会话建立请求消息中的非接入层容器发送给第一网络设备。

步骤54：第一网络设备根据通过接入层容器接收到的终端设备对应的用户标识触发终端设备的注册流程，并执行与终端设备进行合法性认证。

步骤55：第一网络设备在确定该合法性认证通过后，通过非接入层容器将终端设备的用户临时标识和密钥集指示发送给第二网络设备。

步骤56：第二网络设备通过会话建立响应消息向终端设备发送接收到的终端设备的用户临时标识和密钥集指示。

其中，该会话建立响应消息包括：从第一网络设备接收的非接入层容器，该非接入层容器包括：终端设备的用户临时标识和密钥集指示。

步骤57：终端设备通过第二网络设备建立的PDU会话向第一网络设备发送注册请求消息，该注册请求消息包括：终端设备的用户临时标识、密钥集指示。

步骤58：第一网络设备根据接收到的注册请求消息中包括的终端设备的用户临时标识和密钥集指示，判定是否允许该终端设备接入。

值得说明的是，在本实施例中，上述各步骤中未详尽的实现原理可以参见上述图3或图4所示实施例中的记载，本实施例不再赘述。

值得说明的是，本申请实施例并不对第一网络AMF1与第二网络AMF2和SMF2的通信方式做限制，可以通过开放功能网元进行相互通信，或者也可以通过N3iwf1和UPF2的至少一项进行通信。

本申请实施例提供的跨网络接入方法，终端设备通过会话建立请求消息将包括终端设备的用户标识的非接入层容器发送给第二网络设备，由第二网络设备通过非接入层容器将终端设备的用户标识发送给第一网络设备，这样第一网络设备根据通过接入层容器接收到的终端设备对应的用户标识触发终端设备的注册流程，并执行与终端设备进行合法性认证，以及在合法性认证通过后，通过第二网络设备将认证过程中的终端设备的用户临时标识和密钥集指示等认证参数发送给终端设备，终端设备可以利用接收到的认证参数向第一网络设备所在网络发起注册流程，减少了终端设备在注册流程时的认证流程，提高了网络接入效率。

上述实施例描述了，第一网络设备通过第二网络设备分发终端设备的用户临时身份和密钥集指示给终端设备的方法。可选的，在另外一种可能性的设计中，密钥集指示在发送终端设备的用户临时身份之前的任一步骤中发送给终端设备。可选的，再一种可能性的设计中，第一网络设备通过第二网络设备仅分发终端设备的用户临时身份给终端设备，不发送密钥集指示，而在终端设备发送给第一网络设备的注册请求消息中，也仅包含终端设备的用户临时身份；这里第一网络设备可以根据终端设备的用户临时身份确定保护密钥。关于其他流程与之前实施例类似，本实施例中不再赘述。

图6为本申请实施例提供的跨网络接入方法实施例四的交互流程示意图。本实施例与前述图3至图5所示实施例的不同在于，本实施例是一种快速授权方法，根据第二网络设备中存储的标识的绑定关系，确定是否为终端设备和第一网络设备建立PDU会话，而前述图3至图5所示实施例是根据终端设备和第一网络设备的合法性认证结果确定是否为终端设备和第一网络设备建立PDU会话，并且将合法性认证过程中的认证参数(例如，终端设备的用户临时标识和密钥集指示)发送给终端设备。

示例性的，本实施例可以分为两个部分，第一部分：终端设备与第一网络设备所在网络执行合法性认证，并将终端设备与第一网络设备的标识关联关系发送至第二网络设备进行保存的过程；第二部分：第二网络设备保存接收到的标识关联关系，根据接收到的终端设备的用户标识和第一网络设备的标识，确定是否为终端设备和第一网络设备建立PDU会话的过程。可以理解的是，这两个部分可以独立执行，也可以同时执行，本实施例并不对两个部分的执行方式和顺序进行限定。

示例性的，本实施例与上述图3至图5所示实施例中的应用场景类似，第一网络设备所在的网络可以为NPN，第二网络设备所在的网络可以为PLMN；或者第一网络设备所在的网络可以为PLMN，第二网络设备所在的网络可以为NPN。本实施例仍然以第一网络设备所在的网络为NPN，第二网络设备所在的网络为PLMN进行说明。

在本实施例中，如图6所示，该方法可以包括如下步骤：

步骤61：终端设备向第一网络设备发送注册请求消息，该注册请求消息包括：第一网络设备对应的用户标识、第二网络设备对应的用户标识和/或第二网络设备的标识。

可选的，在本实施例中，终端设备首先发起NPN网络的注册流程，即，首先向第一网络设备所在网络NPN的AMF1发送注册请求消息，该注册请求消息中包括：NPN UE ID以及PLMN UE ID和/或PLMN ID。

可选的，在本实施例的一种可能的实现方式中，AMF1可以将接收到的NPN UE ID发送至AUSF1，以执行认证流程。

可选的，在本实施例的另一种可能的实现方式中，AMF1可以将接收到的NPN UEID、PLMN UE ID和/或PLMN ID均发送至AUSF1，以执行认证流程。

步骤62：第一网络设备基于接收到的注册请求消息对终端设备和第一网络设备进行合法性认证。

可选的，在本实施例中，当第一网络设备所在网络的AUSF1在接收到NPN UE ID或者NPN UE ID、PLMN UE ID和/或PLMN ID时，AUSF1可以根据其中的NPN UE ID执行与终端设备的合法性认证。

关于合法性认证的具体实现可以参见上述图3至图5所示实施例中的记载，此处不再赘述。可选的，注册请求消息可以仅包括第一网络设备对应的用户标识(如NPN UE ID)。当认证成功后，终端设备再发送第二网络设备对应的用户标识和/或第二网络设备的标识(如，PLMN UE ID和/或PLMN ID)给AMF1。

步骤63：第一网络设备在确定合法性认证通过后，基于第二网络设备对应的用户标识和/或第二网络设备的标识，向第二网络设备发送通知消息。

其中，该通知消息包括：第一网络设备对应的用户标识和/或第一网络设备的标识、第二网络设备对应的用户标识和/或第二网络设备的标识。

可选的，作为一种示例，当第一网络设备所在网络的AUSF1确定NPN UE的合法性认证通过后，可以将认证结果同步给AMF1，这样AMF1可以根据PLMN UE ID和/或PLMN ID，确定出第二网络设备所在PLMN网络中AUSF2的地址，并将NPN UE ID和/或NPN ID，以及PLMN UEID和/或PLMN ID发送至AUSF2。AUSF2再通过通知消息将NPN UE ID和/或NPN ID，以及PLMNUE ID和/或PLMN ID发送至UDM2。

可选的，作为另一种示例，AUSF1确定NPN UE的合法性认证通过之后，可以将该认证结果同步给UDM1/ARPF1，其中，该认证结果中包括：NPN UE ID和/或NPN ID，以及PLMN UEID和/或PLMN ID。在本实施例中，AUSF1还可以在对NPN UE进行认证之前将NPN UE ID和/或NPN ID，与PLMN UE ID和/或PLMN ID的对应关系发送至UDM1/APRF1；并且在确定NPN UE的合法性认证通过后，UDM1/ARPF1再通过通知消息将NPN UE ID和/或NPN ID与PLMN UE ID和/或PLMN ID的对应关系发送给PLMN网络的UDM2/ARPF2。

通过本步骤的不同示例可知，广义上来讲，终端设备在NPN网络认证成功之后，NPN的任一网元(例如，AMF1，AUSF1，UDM1)都可以通过通知消息将NPN UE ID和/或NPN ID与PLMN UE ID和/或PLMN ID的对应关系发送给PLMN网络的任一网元(例如AMF2，AUSF2，SMF2，UDM2)。

可选的，针对上述不同的示例，终端设备也可以在NPN认证成功后，再单独发送PLMN UE ID和/或PLMN ID至NPN网络，以使NPN网络再发送关联的NPN UE ID和/或NPN ID，以及PLMN UE ID和/或PLMN ID至PLMN网络。

步骤64：第二网络设备根据接收到的通知消息，保存第一网络设备对应的用户标识和/或第一网络设备的标识与第二网络设备对应的用户标识和/或第二网络设备的标识的对应关系。

示例性的，第二网络设备所在PLMN网络的UDM2接收到NPN UE ID和/或NPN ID，以及PLMN UE ID和/或PLMN ID时，UDM2可以保存NPN UE ID和/或NPN ID与PLMN UE ID和/或PLMN ID的对应关系。

步骤65：第二网络设备向第一网络设备发送接收响应。

其中，该接收响应用于指示第二网络设备接收到上述通知消息。

可选的，步骤66：第一网络设备将接收到的接收响应发送给终端设备。

步骤67：终端设备向第二网络设备发送会话建立请求消息，该会话建立请求消息包括：第一网络设备对应的用户标识和/或第一网络设备的标识。

可选的，在本实施例中，终端设备需要通过PLMN建立的PDU会话接入NPN时，终端设备首先执行PLMN的注册流程。当终端设备成功注册到PLMN之后，终端设备向PLMN发送PDU会话建立请求消息至AMF2。其中，该会话建立请求消息包括NPN UE ID和/或NPN ID。

步骤68：第二网络设备根据接收到的会话建立请求消息，查询第二网络设备保存的对应关系，判断该会话建立请求消息对应的对应关系是否正确。

可选的，在本实施例中，AMF2确认出第二网络设备所在网络对应终端设备的用户标识PLMN UE ID，并将该PLMN UE ID同NPN UE ID和/或NPN ID一起发送至SMF2，SMF2再将PLMN UE ID以及NPN UE ID和/或NPN ID发送至UDM2/ARPF2；UDM2/ARPF2根据已保存的NPNUE ID和/或NPN ID与PLMN UE ID和/或PLMN ID的对应关系，判断该SMF2请求的对应关系是否正确，也即，判断该会话建立请求消息对应的对应关系是否正确。

步骤69：若对应关系校验正确，第二网络设备为终端设备和第一网络设备授权建立PDU会话。

步骤610：第二网络设备向终端设备反馈PDU会话建立响应消息。

其中，该会话建立响应消息用于指示所述第二网络设备是否为所述终端设备建立PDU会话。

示例性的，在本实施例中，若UDM2/ARPF2确定该会话建立请求消息对应的对应关系正确，则UDM2/ARPF2将判断对应关系正确的结果发送给SMF2，授权SMF2为终端设备建立针对NPN网络的PDU会话，SMF2将PDU会话建立完成消息发送至终端设备。

示例性的，在本实施例的一种可能实现方式中，SMF2也可以在接收到UDM2确定的对应关系正确的结果后，再触发终端设备与NPN网络之间执行合法性认证流程。

示例性的，在本实施例的另一种可能实现方式中，UDM2/ARPF2确定该会话建立请求消息对应的对应关系不正确，则将判断对应关系不正确的结果发送给SMF2，这样，SMF2会拒绝建立会话，并且将拒绝建立会话的原因(例如，身份校验不正确)发送给终端设备。

示例性的，在本申请的一种可能设计中，SMF2或者AMF2也可能从UDM2/ARPF2处获得终端设备的签约数据，进而根据签约数据的内NPN UE ID和/或NPN ID与PLMN UE ID和/或PLMN ID的对应关系，确定终端设备在会话建立请求消息中请求的NPN UE ID和/或NPNID是否正确。若终端设备的签约数据包含PLMN UE ID与终端设备请求的NPN UE ID和/或NPN ID对应关系，则为该终端设备和第一网络设备建立PDU会话。

步骤611：终端设备通过第二网络设备建立的PDU会话接入到第一网络设备所在的网络。

在本实施例中，由于终端设备在PDU会话之前已经向NPN网络发送的注册请求消息，所以，当终端设备接收到第二网络设备建立PDU会话的会话建立响应消息后，便可以接入到NPN网络中。

本申请实施例提供的跨网络接入方法，第一网络设备在确定合法性认证通过后，基于第二网络设备对应的用户标识和/或第二网络设备的标识，向第二网络设备发送通知消息，以使第二网络设备保存第一网络设备对应的用户标识和/或第一网络设备的标识与第二网络设备对应的用户标识和/或第二网络设备的标识的对应关系，从而，第二网络设备接收到终端设备发送的会话建立请求消息时，查询保存的对应关系，判断该会话建立请求消息对应的对应关系是否正确；若是，则为终端设备和所述第一网络设备建立协议数据单元PDU会话，并向终端设备反馈PDU会话建立响应消息。该技术方案中，第二网络设备在接收到终端设备发送的会话建立请求消息时，可以查询保存的对应关系，进而判断会话建立请求消息对应的对应关系是否正确，进而确定是否为终端设备建立PDU会话，不需要再次触发终端设备与第一网络设备的合法性认证，缩短了响应时间，提高了认证过程中的认证效率。

值得说明的是，在本申请的上述任一实施例中，终端设备发送给第一网络设备或第二网络设备的终端设备的用户标识可以为加密后的用户标识，也可以为临时用户标识。若终端设备的用户标识为加密后的用户标识，UDM可以将其恢复为真实的用户标识，若终端设备的用户标识为临时用户标识，AMF可将其恢复为真实的用户标识。

例如，在图6所示的实施例中，终端设备向第一网络设备发送的注册请求消息中的NPN UE ID(可能为加密ID，或者临时ID)与NPN NF发送给PLMN网络功能实体(networkfunction，NF)的UE ID(真实ID)可能不同，但都是代表终端设备的身份。

值得说明的是，上述实施例给出基于终端设备在第一网络认证成功后，第一网络设备会将第一网络设备对应的用户标识和/或第一网络设备的标识、第二网络设备对应的用户标识和/或第二网络设备的标识发送给第二网络设备以使终端设备在第二网络设备建立会话时，可以进行校验。在上述基础上，还包括以下可能性。

可能性1，第一网络设备建立白名单，白名单包括的内容为第一网络设备对应的用户标识和/或第一网络设备的标识、第二网络设备对应的用户标识和/或第二网络设备的标识的对应关系列表。建立白名单的方式不做限制，例如图6对应实施例是基于认证成功后，终端设备发送的内容；或者第一网络设备内部管理或者收集的名单等。第一网络设备会将此白名单的内容发送给第二网络设备，以使第二网络设备在上述会话授权的过程中，校验请求的终端设备是否在此白名单内；如果白名单内包括此对应关系，则授权建立此会话；否则拒绝或释放此会话，或者不授权建立此会话。校验的方式可以参考图6对应实施例。

可能性2，第一网络设备建立黑名单，黑名单包括的内容为第一网络设备对应的用户标识和/或第一网络设备的标识、第二网络设备对应的用户标识和/或第二网络设备的标识的对应关系列表。建立黑名单的方式不做限制，例如第一网络设备内部管理或者收集的名单等。第一网络设备会将此黑名单的内容发送给第二网络设备，以使第二网络设备在上述会话授权的过程中，校验请求的终端设备是否在此黑名单内；如果黑名单内包括此对应关系，则拒绝或释放此会话，或者不授权建立此会话；否则授权建立此会话。校验的方式可以参考图6对应实施例。

图7为本申请实施例提供的跨网络接入装置实施例一的结构示意图。该装置可以集成于前述第一网络设备内，也可以直接通过第一网络设备实现。参见图7所示，该装置可以包括：接收模块71、处理模块72和发送模块73。

其中，该接收模块71，用于接收第二网络设备发送的终端设备对应的用户标识；

该处理模块72，用于与所述终端设备进行合法性认证；

该发送模块73，用于在确定所述合法性认证通过后，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备；

该接收模块71，还用于接收所述终端设备通过所述第二网络设备建立的会话发送的注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示；

该处理模块72，用于根据所述终端设备的用户临时标识和密钥集指示，判定是否允许所述终端设备接入。

示例性的，在本实施例的一种可能设计中，该发送模块73，还用于向所述第二网络设备发送非接入层安全模式命令消息，以使所述第二网络设备将所述非接入层安全模式命令消息发送给终端设备。

其中，该非接入层安全模式命令消息用于指示终端设备进行安全验证。

示例性的，在本实施例的另一种可能设计中，所述处理模块72，还用于在所述发送模块73将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，确定是否从所述第二网络设备接收到安全指示；

相应的，所述发送模块73，用于将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，具体为：

所述发送模块73，具体用于在所述处理模块72确定从所述第二网络设备接收到安全指示时，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

示例性的，在本实施例的再一种可能设计中，所述处理模块72，还用于在所述发送模块73将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，确定所述第一网络设备所属的网络是否为非公共网络NPN或是否公共陆地移动网络PLMN；

相应的，所述发送模块73，用于将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，具体为：

所述发送模块73，具体用于在所述处理模块72确定所述第一网络设备所属的网络为非公共网络NPN或公共陆地移动网络PLMN时，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

示例性的，在本实施例的又一种可能设计中，所述接收模块71，用于接收第二网络设备发送的终端设备对应的用户标识，具体为：

所述接收模块71，具体用于接收所述第二网络设备通过非接入层容器发送的所述终端设备对应的用户标识，所述非接入层容器，用于触发所述合法性认证。

本申请实施例提供的装置可以用于执行上述图3至图5所示跨网络接入方法实施例中第一网络设备的技术方案，其实现原理和有益效果类似，此处不再赘述。

图8为本申请实施例提供的跨网络接入装置实施例二的结构示意图。该装置可以集成于前述终端设备内，也可以直接通过终端设备实现。参见图8所示，该装置可以包括：处理模块81、发送模块82和接收模块83。

其中，该处理模块81，用于通过所述发送模块82向第二网络设备发送会话建立请求消息，所述会话建立请求消息，包括：所述终端设备对应的用户标识；

该接收模块83，用于接收所述第二网络设备通过会话建立响应消息发送的所述终端设备的用户临时标识、密钥集指示；

该发送模块82，用于在所述接收模块83接收到所述终端设备的用户临时标识、密钥集指示后，通过所述第二网络设备建立的协议数据单元PDU会话向第一网络设备发送注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示。

示例性的，在本实施例的一种可能设计中，所述接收模块83，还用于接收所述第二网络设备发送的非接入层安全模式命令消息；

所述处理模块81，还用于验证所述接收模块83接收到的所述非接入层安全模式命令消息；

所述发送模块82，还用于在验证成功时，发送非接入层安全模式命令完成消息至所述第一网络设备。

示例性的，在本实施例的另一种可能设计中，所述处理模块81，还用于通过所述发送模块82向所述第二网络设备发送安全指示，所述安全指示用于指示所述第一网络设备下发所述终端设备的用户临时标识和密钥集指示。

示例性的，在本实施例的上述可能设计中，所述会话建立请求包括非接入层容器，所述非接入层容器包括所述终端设备对应的用户标识。

本申请实施例提供的装置可以用于执行上述图3至图5所示跨网络接入方法实施例中终端设备的技术方案，其实现原理和有益效果类似，此处不再赘述。

图9为本申请实施例提供的跨网络接入装置实施例三的结构示意图。该装置可以集成于前述第二网络设备内，也可以直接通过第二网络设备实现。参见图9所示，该装置可以包括：接收模块91、处理模块92和发送模块93。

其中，该接收模块91，用于接收终端设备发送的会话建立请求消息，所述会话建立请求消息，包括：所述终端设备对应的用户标识；

该处理模块92，用于通过所述发送模块93向所述第一网络设备发送所述终端设备对应的用户标识；

该接收模块91，还用于接收所述第一网络设备发送的所述终端设备的用户临时标识和密钥集指示；

该发送模块93，用于通过会话建立响应消息向所述终端设备发送所述终端设备的用户临时标识和密钥集指示。

示例性的，在本实施例的一种可能设计中，所述处理模块92，还用于通过所述发送模块93向所述第一网络设备发送安全指示，所述安全指示用于指示所述第一网络设备下发所述终端设备的用户临时标识和密钥集指示。

示例性的，在本实施例的另一种可能设计中，所述处理模块92，用于通过所述发送模块93向所述第一网络设备发送所述终端设备对应的用户标识，具体为：

所述处理模块92，还用于利用所述发送模块93通过非接入层容器向所述第一网络设备发送所述终端设备对应的用户标识。

本申请实施例提供的装置可以用于执行上述图3至图5所示跨网络接入方法实施例中第二网络设备的技术方案，其实现原理和有益效果类似，此处不再赘述。

图10为本申请实施例提供的跨网络接入装置实施例四的结构示意图。该装置可以集成于前述第一网络设备内，也可以直接通过第一网络设备实现。参见图10所示，该装置可以包括：接收模块101、处理模块102和发送模块103。

在本实施例中，该接收模块101，用于接收终端设备发送的注册请求消息；

其中，所述注册请求消息包括：所述第一网络设备对应的用户标识、第二网络设备对应的用户标识和/或第二网络设备的标识；

该处理模块102，用于基于所述注册请求消息与所述终端设备进行合法性认证；

该发送模块103，用于在所述处理模块102确定所述合法性认证通过后，基于所述第二网络设备对应的用户标识和/或所述第二网络设备的标识，向所述第二网络设备发送通知消息；

其中，所述通知消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识、所述第二网络设备对应的用户标识和/或所述第二网络设备的标识；

该接收模块101，还用于接收所述第二网络设备发送的接收响应，将所述接收响应发送给终端设备，所述接收响应，用于指示所述第二网络设备接收到所述通知消息。

本申请实施例提供的装置可以用于执行上述图6所示跨网络接入方法实施例中第一网络设备的技术方案，其实现原理和有益效果类似，此处不再赘述。

图11为本申请实施例提供的跨网络接入装置实施例五的结构示意图。该装置可以集成于前述终端设备内，也可以直接通过终端设备实现。参见图11所示，该装置可以包括：处理模块111、发送模块112和接收模块113。

其中，该处理模块111，用于通过所述发送模块112向第一网络设备发送注册请求消息，所述注册请求消息包括：所述第一网络设备对应的用户标识、第二网络设备对应的用户标识和/或第二网络设备的标识；

该接收模块113，用于接收所述第一网络设备发送的接收响应，所述接收响应，用于指示所述第二网络设备接收到所述第一网络设备发送的通知消息，所述通知消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识、所述第二网络设备对应的用户标识和/或所述第二网络设备的标识；

该处理模块111，还用于通过所述发送模块112向所述第二网络设备发送会话建立请求消息，所述会话建立请求消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识；

该接收模块113，还用于接收所述第二网络设备发送的会话建立响应消息，所述会话建立响应消息用于指示所述第二网络设备是否为所述终端设备建立协议数据单元PDU会话。

本申请实施例提供的装置可以用于执行上述图6所示跨网络接入方法实施例中终端设备的技术方案，其实现原理和有益效果类似，此处不再赘述。

图12为本申请实施例提供的跨网络接入装置实施例六的结构示意图。该装置可以集成于前述第二网络设备内，也可以直接通过第二网络设备实现。参见图12所示，该装置可以包括：接收模块121、处理模块122和发送模块123。

其中，该接收模块121，用于接收终端设备发送的会话建立请求消息，所述会话建立请求消息包括：第一网络设备对应的用户标识和/或第一网络设备的标识；

该处理模块122，用于根据所述会话建立请求消息，查询所述第二网络设备保存的对应关系，判断所述会话建立请求消息对应的对应关系是否正确，以及在确定所述会话建立请求消息对应的对应关系正确时，为所述终端设备和所述第一网络设备建立协议数据单元PDU会话；

该发送模块123，用于向所述终端设备发送会话建立响应消息，所述会话建立响应消息用于指示所述第二网络设备是否为所述终端设备建立协议数据单元PDU会话。

示例性的，在本实施例的一种可能设计中，该接收模块121，还用于在接收终端设备发送的会话建立请求消息之前，接收所述第一网络设备发送的通知消息，所述通知消息包括：所述第一网络设备对应的用户标识和/或所述第一网络设备的标识、所述第二网络设备对应的用户标识和/或所述第二网络设备的标识；

该处理模块122，还用于根据所述通知消息，保存所述第一网络设备对应的用户标识和/或所述第一网络设备的标识与所述第二网络设备对应的用户标识和/或所述第二网络设备的标识的对应关系；

该发送模块123，还用于向所述第一网络设备发送接收响应，所述接收响应，用于指示所述第二网络设备接收到所述通知消息。

本申请实施例提供的装置可以用于执行上述图6所示跨网络接入方法实施例中第二网络设备的技术方案，其实现原理和有益效果类似，此处不再赘述。

需要说明的是，应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。例如，确定模块可以为单独设立的处理元件，也可以集成在上述装置的某一个芯片中实现，此外，也可以以程序代码的形式存储于上述装置的存储器中，由上述装置的某一个处理元件调用并执行以上确定模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。这里所述的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

例如，以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，ASIC)，或，一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(centralprocessing unit，CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，SOC)的形式实现。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在可读存储介质中，或者从一个可读存储介质向另一个可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘solid state disk(SSD))等。

图13为本申请实施例提供的跨网络接入装置实施例七的结构示意图。该装置可以集成于前述第一网络设备内，或者直接通过前述第一网络设备实现。本申请实施例提供的装置，可以用于实现上述的图3至图5所示方法实施例中第一网络设备的操作，也可以用于实现上述的图6所示方法实施例中第一网络设备的操作。

如图13所示，本实例提供的装置，包括：处理器131和收发器132。可选的，该装置还可以包括存储器133，该存储器133用于存储处理器131的执行指令。可选的，该收发器132也可以由独立功能的发送器和接收器实现，两者均可以通过天线等形式实现，本申请实施例并不对其限定。

作为一种示例，该处理器131和收发器132用于运行计算机执行指令，使该装置执行如上图3至图5所示实施例中第一网络设备执行的各个步骤。

具体的，在上述图7中，所述处理模块72可以对应处理器131，接收模块71和发送模块73可以对应收发器132等。

作为另一种示例，该处理器131和收发器132用于运行计算机执行指令，使该装置执行如上图6所示实施例中第一网络设备执行的各个步骤。

具体的，在上述图10中，所述处理模块102可以对应处理器131，接收模块101和发送模块103可以对应收发器132等。

图14为本申请实施例提供的跨网络接入装置实施例八的结构示意图。该装置可以集成于前述终端设备内，或者直接通过前述终端设备实现。本申请实施例提供的装置，可以用于实现上述的图3至图5所示方法实施例中终端设备的操作，也可以用于实现上述的图6所示方法实施例中终端设备的操作。

如图14所示，本实例提供的装置，包括：处理器141和收发器142。可选的，该装置还可以包括存储器143，该存储器143用于存储处理器141的执行指令。可选的，该收发器142也可以由独立功能的发送器和接收器实现，两者均可以通过天线等形式实现，本申请实施例并不对其限定。

作为一种示例，该处理器141和收发器142用于运行计算机执行指令，使该装置执行如上图3至图5所示实施例中终端设备执行的各个步骤。

具体的，在上述图8中，所述处理模块81可以对应处理器131，发送模块82和接收模块83可以对应收发器142等。

作为另一种示例，该处理器141和收发器142用于运行计算机执行指令，使该装置执行如上图6所示实施例中终端设备执行的各个步骤。

具体的，在上述图11中，所述处理模块111可以处理器141，发送模块112和接收模块113可以对应收发器142等。

图15为本申请实施例提供的跨网络接入装置实施例九的结构示意图。该装置可以集成于前述第二网络设备内，或者直接通过前述第二网络设备实现。本申请实施例提供的装置，可以用于实现上述的图3至图5所示方法实施例中第二网络设备的操作，也可以用于实现上述的图6所示方法实施例中第二网络设备的操作。

如图15所示，本实例提供的装置，包括：处理器151和收发器152。可选的，该装置还可以包括存储器153，该存储器153用于存储处理器151的执行指令。可选的，该收发器152也可以由独立功能的发送器和接收器实现，两者均可以通过天线等形式实现，本申请实施例并不对其限定。

作为一种示例，该处理器151和收发器152用于运行计算机执行指令，使该装置执行如上图3至图5所示实施例中第二网络设备执行的各个步骤。

具体的，在上述图9中，所述处理模块92可以对应处理器151，接收模块91和发送模块93可以对应收发器152等。

作为另一种示例，该处理器151和收发器152用于运行计算机执行指令，使该装置执行如上图6所示实施例中第二网络设备执行的各个步骤。

具体的，在上述图12中，所述处理模块122可以对应处理器151，接收模块121和发送模块123可以对应收发器152等。

示例性的，本申请实施例还提供一种存储介质，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行如上述图3至图5所示实施例中第一网络设备执行的各个步骤或者如上述图6所示实施例中第一网络设备执行的各个步骤。

示例性的，本申请实施例还提供一种运行指令的芯片，所述芯片用于执行如上述图3至图5所示实施例中第一网络设备执行的各个步骤或者如上述图6所示实施例中第一网络设备执行的各个步骤。

示例性的，本申请实施例还提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述图3至图5所示实施例中第一网络设备执行的各个步骤或者如上述图6所示实施例中第一网络设备执行的各个步骤。

示例性的，本申请实施例还提供一种存储介质，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行如上述图3至图5所示实施例中终端设备执行的各个步骤或者如上述图6所示实施例中终端设备执行的各个步骤。

示例性的，本申请实施例还提供一种运行指令的芯片，所述芯片用于执行如上述图3至图5所示实施例中终端设备执行的各个步骤或者如上述图6所示实施例中终端设备执行的各个步骤。

示例性的，本申请实施例还提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述图3至图5所示实施例中终端设备执行的各个步骤或者如上述图6所示实施例中终端设备执行的各个步骤。

示例性的，本申请实施例还提供一种存储介质，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行如上述图3至图5所示实施例中第二网络设备执行的各个步骤或者如上述图6所示实施例中第二网络设备执行的各个步骤。

示例性的，本申请实施例还提供一种运行指令的芯片，所述芯片用于执行如上述图3至图5所示实施例中第二网络设备执行的各个步骤或者如上述图6所示实施例中第二网络设备执行的各个步骤。

示例性的，本申请实施例还提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述图3至图5所示实施例中第二网络设备执行的各个步骤或者如上述图6所示实施例中第二网络设备执行的各个步骤。

图16为本申请实施例提供的一种通信系统的结构示意图。如图16所示，本实施例提供的通信系统，包括：第一网络设备161、第二网络设备162和终端设备163。

其中，第一网络设备161至少包括上述图7所示实施例中的跨网络接入装置，第二网络设备162至少包括上述图9所示实施例中的跨网络接入装置，终端设备163至少包括上述图8所示实施例中的跨网络接入装置。关于第一网络设备、第二网络设备和终端设备的具体实现方案和有益效果参见图3至图5所示实施例中的记载，此处不再赘述。

或者

第一网络设备161至少包括上述图10所示实施例中的跨网络接入装置，第二网络设备162至少包括上述图12所示实施例中的跨网络接入装置，终端设备163至少包括上述图11所示实施例中的跨网络接入装置。关于第一网络设备、第二网络设备和终端设备的具体实现方案和有益效果参见图6所示实施例中的记载，此处不再赘述。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系；在公式中，字符“/”，表示前后关联对象是一种“相除”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中，a，b，c可以是单个，也可以是多个。

可以理解的是，在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本申请的实施例的范围。

可以理解的是，在本申请的实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请的实施例的实施过程构成任何限定。

Claims (22)

1.一种跨网络接入方法，适用于第一网络设备，其特征在于，包括：

接收第二网络设备发送的终端设备对应的用户标识；

与所述终端设备进行合法性认证；

在确定所述合法性认证通过后，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备；

接收所述终端设备通过所述第二网络设备建立的PDU会话向第一网络设备发送的注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示；

根据所述终端设备的用户临时标识和密钥集指示，判定是否允许所述终端设备接入。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

向所述第二网络设备发送非接入层安全模式命令消息，以使所述第二网络设备将所述非接入层安全模式命令消息发送给终端设备，所述非接入层安全模式命令消息用于指示终端设备进行安全验证。

3.根据权利要求1或2所述的方法，其特征在于，所述将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，所述方法还包括：

确定是否从所述第二网络设备接收到安全指示；

所述将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，包括：

若确定从所述第二网络设备接收到安全指示，则将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

4.根据权利要求1或2所述的方法，其特征在于，所述将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，所述方法还包括：

确定所述第一网络设备所属的网络是否为非公共网络NPN或是否公共陆地移动网络PLMN；

所述将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，包括：

若确定所述第一网络设备所属的网络为非公共网络NPN或公共陆地移动网络PLMN，则将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

5.根据权利要求1或2所述的方法，其特征在于，所述接收第二网络设备发送的终端设备对应的用户标识，包括：

接收所述第二网络设备通过非接入层容器发送的所述终端设备对应的用户标识，所述非接入层容器，用于触发所述合法性认证。

6.一种跨网络接入方法，适用于终端设备，其特征在于，包括：

向第二网络设备发送会话建立请求消息，所述会话建立请求消息，包括：所述终端设备对应的用户标识；

接收所述第二网络设备通过会话建立响应消息发送的所述终端设备的用户临时标识、密钥集指示；

通过所述第二网络设备建立的协议数据单元PDU会话向第一网络设备发送注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

接收所述第二网络设备发送的非接入层安全模式命令消息；

验证所述非接入层安全模式命令消息；

若验证成功，则发送非接入层安全模式命令完成消息至所述第一网络设备。

8.根据权利要求6或7所述的方法，其特征在于，所述方法还包括：

向所述第二网络设备发送安全指示，所述安全指示用于指示所述第一网络设备下发所述终端设备的用户临时标识和密钥集指示。

9.根据权利要求6或7所述的方法，其特征在于，所述会话建立请求包括非接入层容器，所述非接入层容器包括所述终端设备对应的用户标识。

10.一种跨网络接入装置，适用于第一网络设备，其特征在于，包括：接收模块、处理模块和发送模块；

所述接收模块，用于接收第二网络设备发送的终端设备对应的用户标识；

所述处理模块，用于与所述终端设备进行合法性认证；

所述发送模块，用于在确定所述合法性认证通过后，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备；

所述接收模块，还用于接收所述终端设备通过所述第二网络设备建立的PDU会话向第一网络设备发送的注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示；

所述处理模块，用于根据所述终端设备的用户临时标识和密钥集指示，判定是否允许所述终端设备接入。

11.根据权利要求10所述的装置，其特征在于，所述发送模块，还用于向所述第二网络设备发送非接入层安全模式命令消息，以使所述第二网络设备将所述非接入层安全模式命令消息发送给终端设备，所述非接入层安全模式命令消息用于指示终端设备进行安全验证。

12.根据权利要求10或11所述的装置，其特征在于，所述处理模块，还用于在所述发送模块将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，确定是否从所述第二网络设备接收到安全指示；

所述发送模块，用于将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，具体为：

所述发送模块，具体用于在所述处理模块确定从所述第二网络设备接收到安全指示时，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

13.根据权利要求10或11所述的装置，其特征在于，所述处理模块，还用于在所述发送模块将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备之前，确定所述第一网络设备所属的网络是否为非公共网络NPN或是否公共陆地移动网络PLMN；

所述发送模块，用于将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备，具体为：

所述发送模块，具体用于在所述处理模块确定所述第一网络设备所属的网络为非公共网络NPN或公共陆地移动网络PLMN时，将所述终端设备的用户临时标识和密钥集指示发送给所述第二网络设备。

14.根据权利要求10或11所述的装置，其特征在于，所述接收模块，用于接收第二网络设备发送的终端设备对应的用户标识，具体为：

所述接收模块，具体用于接收所述第二网络设备通过非接入层容器发送的所述终端设备对应的用户标识，所述非接入层容器，用于触发所述合法性认证。

15.一种跨网络接入装置，适用于终端设备，其特征在于，包括：处理模块、发送模块和接收模块；

所述处理模块，用于通过所述发送模块向第二网络设备发送会话建立请求消息，所述会话建立请求消息，包括：所述终端设备对应的用户标识；

所述接收模块，用于接收所述第二网络设备通过会话建立响应消息发送的所述终端设备的用户临时标识、密钥集指示；

所述发送模块，用于在所述接收模块接收到所述终端设备的用户临时标识、密钥集指示后，通过所述第二网络设备建立的协议数据单元PDU会话向第一网络设备发送注册请求消息，所述注册请求消息包括：所述终端设备的用户临时标识、密钥集指示。

16.根据权利要求15所述的装置，其特征在于，所述接收模块，还用于接收所述第二网络设备发送的非接入层安全模式命令消息；

所述处理模块，还用于验证所述接收模块接收到的所述非接入层安全模式命令消息；

所述发送模块，还用于在验证成功时，发送非接入层安全模式命令完成消息至所述第一网络设备。

17.根据权利要求15或16所述的装置，其特征在于，所述处理模块，还用于通过所述发送模块向所述第二网络设备发送安全指示，所述安全指示用于指示所述第一网络设备下发所述终端设备的用户临时标识和密钥集指示。

18.根据权利要求15或16所述的装置，其特征在于，所述会话建立请求包括非接入层容器，所述非接入层容器包括所述终端设备对应的用户标识。

19.一种跨网络接入装置，适用于第一网络设备，所述装置包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如上述权利要求1-5任一项所述的方法。

20.一种跨网络接入装置，适用于终端设备，所述装置包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如上述权利要求6-9任一项所述的方法。

21.一种存储介质，其特征在于，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行如权利要求1-5任一项所述的方法。

22.一种存储介质，其特征在于，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行如权利要求6-9任一项所述的方法。

Images