CN113709732A - 网络接入方法、用户设备、网络实体及存储介质 - Google Patents

Abstract

本申请实施例提供一种网络接入方法、用户设备、网络实体及存储介质。在本申请实施例中，借助于不同于第一非公共网络且用户设备可接入的第一网络，将第一网络作为第一非公共网络的加密凭证的传输通道，通过第一网络中的网络实体将第一非公共网络的加密凭证下发给用户设备，使得用户设备能够从加密凭证中解密出第一非公共网络的安全凭证进而基于解密出的第一非公共网络的安全凭证安全地接入第一非公共网络，解决了第一非公共网络的安全接入问题。

Description

网络接入方法、用户设备、网络实体及存储介质

交叉引用

本申请引用于2020年05月21日递交的名称为“网络接入方法、用户设备、网络实体及存储介质”的第2020104375577号中国专利申请，其通过引用被全部并入本申请，以及引用于2020年06月03日递交的名称为“网络接入方法、用户设备、网络实体及存储介质”的第2020104969791号中国专利申请，其通过引用被部分并入本申请。

技术领域

本申请涉及通信技术领域，尤其涉及一种网络接入方法、用户设备、网络实体及存储介质。

背景技术

非公共网络(Non-Public Network，NPN)也可以叫做专网或者私网，是一种区别于运营商公共网络(public network)，如公共陆地移动网(Public Land Mobile Network，PLMN)的网络部署方式。目前非公共网络有两种主要的类型：隔离并且独立组网的非公共网络(Standalone NPN，SNPN)，以及与公共移动网络结合的非公共网络(Public NetworkIntegrated NPN，PNI-NPN)。SNPN不依赖于PLMN网络并且由SNPN运营商独立运营。PNI-NPN依赖于PLMN网络，并且由传统运营商运营。针对NPN网络，UE如何能够安全地接入NPN网络是亟待解决的问题。

发明内容

本申请的多个方面提供一种网络接入方法、用户设备、网络实体及存储介质，用以让用户设备安全地接入非公共网络。

本申请实施例提供一种网络接入方法，适用于用户设备，所述方法包括：接收第一网络中第一网络实体下发的第六消息，所述第六消息包括第一非公共网络的标识和对应的加密凭证；根据所述第一非公共网络的标识对应的默认凭证，对所述加密凭证进行解密，以得到所述第一非公共网络的安全凭证；根据所述第一非公共网络的标识和安全凭证，接入所述第一非公共网络。

本申请实施例还提供一种网络接入方法，适用于第一网络中的第一网络实体，所述方法包括：接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一非公共网络的标识和对应的加密凭证；向用户设备发送第六消息，所述第六消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述用户设备根据所述第一非公共网络的标识和对应的加密凭证接入所述第一非公共网络。

本申请实施例还提供一种网络接入方法，适用于第一网络中的第二网络实体，所述包括：接收第三网络实体发送的第二消息，所述第二消息包括第一非公共网络的标识和对应的加密凭证；向所述第一网络中的第一网络实体发送第四消息，所述第四消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述第一网络实体将所述第一非公共网络的标识和对应的加密凭证下发给用户设备进行所述第一非公共网络的接入操作。

本申请实施例还提供一种网络接入方法，适用于第三网络实体，所述方法包括：获取第一非公共网络的标识和对应的加密凭证；向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述第二网络实体经所述第一网络中第一网络实体下发所述第一非公共网络的标识和对应的加密凭证给用户设备进行所述第一非公共网络的接入操作。

本申请实施例还提供一种用户设备，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：通过所述通信组件接收第一网络中第一网络实体下发的第六消息，所述第六消息包括第一非公共网络的标识和对应的加密凭证；根据所述第一非公共网络的标识对应的默认凭证，对所述加密凭证进行解密，以得到第一非公共网络的安全凭证；根据所述第一非公共网络的标识和安全凭证，接入所述第一非公共网络。

本申请实施例还提供一种网络实体，可作为第一网络中的第一网络实体实现，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：通过所述通信组件接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一非公共网络的标识和对应的加密凭证；向用户设备发送第六消息，所述第六消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述用户设备根据所述第一非公共网络的标识和对应的加密凭证接入所述第一非公共网络。

本申请实施例还提供一种网络实体，可作为第一网络中的第二网络实体实现，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：通过所述通信组件接收第三网络实体发送的第二消息，所述第二消息包括第一非公共网络的标识和对应的加密凭证；向第一网络中的第一网络实体发送第四消息，所述第四消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述第一网络实体将所述第一非公共网络的标识和对应的加密凭证下发给用户设备进行所述第一非公共网络的接入操作。

本申请实施例还提供一种网络实体，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：获取第一非公共网络的标识和对应的加密凭证；通过所述通信组件向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述第二网络实体经所述第一网络中第一网络实体下发所述第一非公共网络的标识和对应的加密凭证给用户设备进行所述第一非公共网络的接入操作。

本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，当所述计算机程序被处理器执行时，致使所述处理器实现本申请实施例提供的任一网络接入方法中的步骤。

本申请实施例还提供一种网络接入方法，适用于用户设备，所述方法包括：接收第一网络中第一网络实体下发的第六消息，所述第六消息包括第一标识和第一非公共网络的加密凭证；根据所述第一标识对应的默认凭证，对所述加密凭证进行解密，以得到所述第一非公共网络的安全凭证；根据所述第一非公共网络的标识和安全凭证，接入所述第一非公共网络。

本申请实施例还提供一种网络接入方法，适用于第一网络中的第一网络实体，所述方法包括：接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一标识和第一非公共网络的加密凭证；向用户设备发送第六消息，所述第六消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述用户设备根据所述第一标识和第一非公共网络的加密凭证接入所述第一非公共网络。

本申请实施例还提供一种网络接入方法，适用于第一网络中的第二网络实体，所述方法包括：接收第三网络实体发送的第二消息，所述第二消息包括第一标识和第一非公共网络的加密凭证；向所述第一网络中的第一网络实体发送第四消息，所述第四消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第一网络实体将所述第一标识和第一非公共网络的加密凭证下发给用户设备进行所述第一非公共网络的接入操作。

本申请实施例还提供一种网络接入方法，适用于第三网络实体，所述方法包括：获取第一非公共网络的加密凭证和对应的第一标识；向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第二网络实体经所述第一网络中第一网络实体下发所述第一标识和第一非公共网络的加密凭证给用户设备进行所述第一非公共网络的接入操作。本申请实施例还提供一种用户设备，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：通过所述通信组件接收第一网络中第一网络实体下发的第六消息，所述第六消息包括第一标识和第一非公共网络的加密凭证；根据所述第一标识对应的默认凭证，对所述加密凭证进行解密，以得到第一非公共网络的安全凭证；根据所述第一非公共网络的标识和安全凭证，接入所述第一非公共网络。

本申请实施例还提供一种网络实体，可作为第一网络中的第一网络实体实现，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：通过所述通信组件接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一标识和第一非公共网络的加密凭证；向用户设备发送第六消息，所述第六消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述用户设备根据所述第一标识和第一非公共网络的加密凭证接入所述第一非公共网络。

本申请实施例还提供一种网络实体，可作为第一网络中的第二网络实体实现，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：通过所述通信组件接收第三网络实体发送的第二消息，所述第二消息包括第一标识和第一非公共网络的加密凭证；向第一网络中的第一网络实体发送第四消息，所述第四消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第一网络实体将所述第一标识和第一非公共网络的加密凭证下发给用户设备进行所述第一非公共网络的接入操作。

本申请实施例还提供一种网络实体，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：获取第一非公共网络的加密凭证和对应的第一标识；通过所述通信组件向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第二网络实体经所述第一网络中第一网络实体下发所述第一标识和第一非公共网络的加密凭证给用户设备进行所述第一非公共网络的接入操作。

本申请实施例还提供一种安全凭证下发方法，适用于第一非公共网络中的配置服务器，所述方法包括：

在用户设备满足第一触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第一消息，所述第一消息包括所述第一非公共网络对应的安全凭证和所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体将所述安全凭证下发给所述用户设备，以使所述用户设备根据所述安全凭证进行所述第一非公共网络的接入操作；

在用户设备满足第二触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体向所述用户设备发送与所述配置服务器建立连接所需的配置信息，以使所述用户设备在根据所述配置信息与所述配置服务器建立连接后基于所述连接从所述配置服务器获取所述第一非公共网络的安全凭证并据此进行所述第一非公共网络的接入操作。

本申请实施例还提供一种安全凭证下发方法，适用于第一非公共网络中的配置服务器，所述方法包括：

判断用户设备是否满足第一触发条件；

在用户设备满足第一触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第一消息，所述第一消息包括所述第一非公共网络对应的安全凭证和所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体将所述安全凭证下发给所述用户设备，以使所述用户设备根据所述安全凭证进行所述第一非公共网络的接入操作。

本申请实施例还提供一种安全凭证下发方法，适用于第一非公共网络中的配置服务器，所述方法包括：

判断用户设备是否满足第二触发条件；

在用户设备满足第二触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体向所述用户设备发送与所述配置服务器建立连接所需的配置信息，以使所述用户设备在根据所述配置信息与所述配置服务器建立连接后基于所述连接从所述配置服务器获取所述第一非公共网络的安全凭证并据此进行所述第一非公共网络的接入操作。

本申请实施例还提供一种配置服务器，位于第一非公共网络中，包括：存储器和处理器；所述存储器，用于存储计算机程序；所述处理器，与所述存储器耦合，用于执行所述计算机程序，以用于：

在用户设备满足第一触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第一消息，所述第一消息包括所述第一非公共网络对应的安全凭证和所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体将所述安全凭证下发给所述用户设备，以使所述用户设备根据所述安全凭证进行所述第一非公共网络的接入操作；

在用户设备满足第二触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体向所述用户设备发送与所述配置服务器建立连接所需的配置信息，以使所述用户设备在根据所述配置信息与所述配置服务器建立连接后基于所述连接从所述配置服务器获取所述第一非公共网络的安全凭证并据此进行所述第一非公共网络的接入操作。

本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，当所述计算机程序被处理器执行时，致使所述处理器实现本申请实施例提供的网络接入方法中的步骤。

在本申请实施例中，借助于不同于第一非公共网络的第一网络，将第一网络作为第一非公共网络的加密凭证的传输通道，通过第一网络中的网络实体将第一非公共网络的加密凭证下发给用户设备，使得用户设备能够从加密凭证中解密出第一非公共网络的安全凭证进而基于解密出的第一非公共网络的安全凭证安全地接入第一非公共网络，解决了第一非公共网络的安全接入问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请示例性实施例提供的一种移动通信系统的结构示意图；

图2a为本申请示例性实施例提供的一种UE借助于第一网络接入第一非公共网络的方法流程示意图；

图2b为本申请示例性实施例提供的另一种UE借助于第一网络接入第一非公共网络的方法流程示意图；

图3a为本申请示例性实施例提供的通过UE参数更新流程向UE 30下发第一非公共网络20的安全凭证供其接入第一非公共网络20的一种方法流程示意图；

图3b为本申请示例性实施例提供的通过UE参数更新流程向UE 30下发第一非公共网络20的安全凭证供其接入第一非公共网络20的另一种方法流程示意图；

图3c为本申请示例性实施例提供的通过UE注册流程向UE 30下发第一非公共网络20的安全凭证供其接入第一非公共网络20的方法流程示意图；

图3d为本申请示例性实施例提供的通过PDU会话建立流程向UE 30下发第一非公共网络20的安全凭证供其接入第一非公共网络20的方法流程示意图；

图4a为本申请示例性实施例提供的一种网络接入方法的流程示意图；

图4b为本申请示例性实施例提供的另一种网络接入方法的流程示意图；

图4c为本申请示例性实施例提供的又一种网络接入方法的流程示意图；

图4d为本申请示例性实施例提供的再一种网络接入方法的流程示意图；

图4e为本申请示例性实施例提供的一种安全凭证下发方法的流程示意图；

图5为本申请示例性实施例提供的一种用户设备的结构示意图；

图6为本申请示例性实施例提供的一种网络实体的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图1为本申请示例性实施例提供的一种移动通信系统的结构示意图。如图1所示，该移动通信系统100包括：第一网络10和第一非公共网络20。其中，第一网络10和第一非公共网络20是不同的网络形态，但是都可以为UE 30提供服务。对同一UE 30来说，在成功接入第一网络10的情况下可以使用第一网络10提供的服务，在成功接入第一非公共网络20的情况下也可以使用第一非公共网络20提供的服务。可选地，根据UE 30通信能力的不同，UE 30可以同时接入第一网络10和第一非公共网络20，也可以在同一时间选择接入第一网络10和第一非公共网络20中的任一网络。

在本申请实施例中，第一非公共网络20区别于运营商部署的移动通信网络(或称为公共网络)的概念，是一种为特定用户提供专用服务的网络，或者可以叫做专网，可以应用在工业物联网、区域性应急通信等领域。例如，在工业物联网领域中，垂直行业的厂商可以通过构建第一非公共网络20来向制定行业中的设备提供专有服务，例如工厂中可以使用第一非公共网络20来服务厂房中的自动化设备。在本实施例中，第一非公共网络20可以是SNPN，该网络不依赖于PLMN，可由SNPN专属运营商运营，不考虑与PLMN网络之间的切换。当然，本实施例的第一非公共网络20也可以是PNI-NPN，该网络由传统运营商运营，可以对PLMN网络进行订阅，依赖于PLMN的网络功能实现PNI-NPN和PLMN网络间的切换。

相应地，在第一非公共网络20是SNPN的情况下，第一网络10可以是传统运营商部署的公共网络，如PLMN；或者，第一网络10也可以是第二非公共网络，例如可以是与公共网络结合的非公共网络，即PNI-NPN。在第一非公共网络20是PNI-NPN的情况下，第一网络10可以是传统运营商部署的公共网络，如PLMN。当然，本申请实施例不对第一网络10做限定，除了PLMN和PNI-NPN之外，还可以是传统运营商部署的与第一非公共网络20不同但允许UE 30接入并可为UE 30提供服务的其它网络。在本申请实施例中，并不限定公共网络的网络制式，例如可以是4G，也可以是5G。在图1中，以第一网络10是5G公共网络(如PLMN)，第一非公共网络20是SNPN为例进行图示。

如图1所示，第一网络10(即5G公共网络)包括接入网11和核心网12，接入网11主要包括基站，核心网12包括但不限于以下多个网络实体：鉴权服务器功能(AuthenticationServer Function，AUSF)、用户平面功能(User plane Function，UPF)、接入和移动性管理功能(Access and Mobility Management Function，AMF)、统一数据管理(Unified DataManagement，UDM)、网络开放功能(Network Exposure Function，NEF)、会话管理功能(Session Management Function，SMF)、网络切片选择功能(Network Slice SelectionFunction，NSSF)、网络存储功能(NF Repository Function，NRF)、策略控制功能(PolicyControl function，PCF)、应用层功能(Application Function，AF)等。

在本申请实施例中，UE 30可以是消费电子类产品，例如手机，平板电脑、个人电脑等，也可以是IoT设备，例如门锁，水表，电表等。UE 30不仅是已签约第一网络10的UE，同时也是需要第一非公共网络20提供的服务的UE。UE30成功接入第一网络10之后可以使用第一网络10提供的服务，例如通话服务、数据服务等。同理，UE 30在使用第一非公共网络20提供的服务之前，也需要接入第一非公共网络20。无论第一非公共网络20是SNPN还是PNI-NPN，鉴于第一非公共网络20的应用领域和自身特性，其一方面需要满足高服务质量(Quality-of-Service)的需求，另一方面需要满足高安全需求，这对UE 30接入第一非公共网络20的安全性提出了较高要求。在本申请实施例中，为了满足第一非公共网络20的高安全需求，第一非公共网络20可以使用独立的安全凭证(credentials)对请求接入的UE 30进行鉴权，即UE 30需要基于第一非公共网络20独立的安全凭证向第一非公共网络20发起接入流程。那么，UE 30如何能够安全地获得第一非公共网络20的安全凭证并基于该安全凭证接入第一非公共网络20，是重点需要解决的问题。

在本申请实施例中，为了保证第一非公共网络20的安全凭证的安全性，可对该安全凭证进行加密传输；另外，可借助UE 30已接入的第一网络10，将第一网络10作为第一非公共网络20的加密凭证的传输通道，通过对UE 30在第一网络10中涉及的通信流程进行修改，借助第一网络10中的网络实体将第一非公共网络20的加密凭证下发给UE 30，使得UE30能够从加密凭证中解密出第一非公共网络20的安全凭证进而基于解密出的第一非公共网络20的安全凭证安全地接入第一非公共网络20，解决了第一非公共网络20的安全接入问题。

图2a为本申请示例性实施例提供的一种UE 30借助于第一网络10接入第一非公共网络20的方法流程示意图。如图2a所示，该方法包括：

21a、第三网络实体获取第一非公共网络20的标识和对应的加密凭证。

22a、第三网络实体向第一网络10中的第二网络实体发送第二消息，所述第二消息包括第一非公共网络20的标识和对应的加密凭证。

25a、第二网络实体向第一网络10中的第一网络实体发送第四消息，所述第四消息包括第一非公共网络20的标识和对应的加密凭证。

26a、第一网络实体向UE 30发送第六消息，所述第六消息包括第一非公共网络20的标识和对应的加密凭证。

27a、UE 30根据第一非公共网络20的标识对应的默认凭证，对加密凭证进行解密，以得到第一非公共网络20的安全凭证。

28a、UE 30根据第一非公共网络20的标识和安全凭证，接入第一非公共网络20。

在本实施例中，第三网络实体是可以同时与第一非公共网络20和第一网络10的核心网相互作用的网络实体，可以提供一些应用影响路由、策略控制、接入NEF等功能，但不限于此。第三网络实体可以是传统运营商(即第一网络10运营商)内部的AF，也可以是第三方(如SNPN运营商或者云服务提供商)的AF。如果第三网络实体是传统运营商内部的AF，与第一网络10中的其他网络实体在一个可信域内，可以直接与第一网络10中的其他网络实体如第二网络实体交互访问；如果第三网络实体是第三方的AF，则与第一网络10中的其他网络实体不在一个可信域内，可通过第一网络10中的第四网络实体，如NEF访问第一网络10中的其他网络实体如第二网络实体，以保证第一网络10的安全性。在图2a和图2b中，以虚线框示出第四网络实体(如NEF)表示第四网络实体(如NEF)为一可选的网络实体。具体的，通过第四网络实体(如NEF)访问第二网络实体可以借助于NEF参数提供更新消息(Nnef_ParameterProvision_Update)或者是NEF数据流影响更新消息(Nnef_TrafficInfluence_Update)。AF首先向NEF发送NEF参数提供更新消息或者是NEF数据流影响更新消息，消息中包括第一非公共网络20的标识和加密凭证。NEF接收到NEF参数提供更新消息或者是NEF数据流影响更新消息后，向UDM发送UDM参数提供更新消息(Nudm_ParameterProvision_Update)，消息中包括第一非公共网络20的标识以及对应的加密凭证。可选的，AF到NEF之间接口的消息也可以用其他NEF相关的消息，该消息的功能向NEF发送第一非公共网络20的标识以及对应的加密凭证。NEF到UDM的接口消息也可以用其他UDM相关的消息。该消息的功能是向UDM发送第一非公共网络20的标识以及对应的加密凭证，使得UDM存储该第一非公共网络的标识以及对应的加密凭证。

在本实施例中，第三网络实体可以获取第一非公共网络20的标识和对应的加密凭证。在本实施例中，并不限定第三网络实体获取第一非公共网络20的标识和对应的加密凭证的实施方式。在一可选实施例中，可以预置第一非公共网络20的标识和对应的加密凭证，则第三网络实体可以获取预置的第一非公共网络20的标识和对应的加密凭证。在另一可选实施例中，第三网络实体可以接收第一非公共网络20中的网络实体发送的第一非公共网络20的标识和对应的加密凭证。

在一可选实施例中，第三网络实体在通过第一网络10下发第一非公共网络20的标识和对应的加密凭证之前，还可以接收第一消息。第一消息用于触发第三网络实体通过第一网络10下发第一非公共网络20的标识和对应的加密凭证。在本实施例中，并不限定第三网络实体接收第一消息的实施方式，例如可以采用但不限于下述两种方式：

方式1：UE 30向第三网络实体发送其已接入第一网络10的通知消息，该通知消息用于触发第三网络实体通过第一网络10下发第一非公共网络20的标识和对应的加密凭证。对第三网络实体来说，接收第一消息，可以是：接收UE30发送的通知其已接入第一网络10的通知消息。例如，UE 30可以将其已经接入第一网络10的状态通过应用层(例如，App等的方式)向第三网络实体发送通知消息。

方式2：UE 30接入非3GPP网络，例如WiFi，通过其所接入的非3GPP网络向第三网络实体发送触发信号，以触发第三网络实体通过第一网络10下发第一非公共网络20的标识和对应的加密凭证。对第三网络实体来说，接收第一消息，可以是：接收UE 30通过非3GPP网络发送的触发消息，该触发消息用于触发第三网络实体通过第一网络10下发第一非公共网络20的标识和对应的加密凭证的。

对第三网络实体来说，在接收到第一消息后，启动通过第一网络10下发第一非公共网络20的标识和对应的加密凭证的流程，即将第一非公共网络20的标识和对应的加密凭证封装或添加到第二消息中，并向第一网络10中的第二网络实体发送第二消息，以使得第二网络实体经第一网络中第一网络实体将第一非公共网络20的标识和对应的加密凭证下发给UE 30，使得UE 30据此进行第一非公共网络20的接入操作。可选地，第三网络实体可以直接将第二消息发送给第二网络实体，也可以经NEF将第二消息发送给第二网络实体。可选地，第二网络实体可以是第一网络10核心网中控制面的网络实体，例如可以是负责用户签约数据管理的网络实体，如5G网络中的UDM；或者，也可以是负责策略控制和管理的网络实体，如5G网络中的PCF。具体的，通过NEF访问第二网络实体可以借助于NEF参数提供更新消息(Nnef_ParameterProvision_Update)或者是NEF数据流影响更新消息(Nnef_TrafficInfluence_Update)。AF首先向NEF发送NEF参数提供更新消息或者是NEF数据流影响更新消息，消息中包括第一非公共网络20的标识和对应的加密凭证。NEF接收到NEF参数提供更新消息或者是NEF数据流影响更新消息后，向UDM发送UDM参数提供更新消息(Nudm_ParameterProvision_Update)，消息中包括第一非公共网络20的标识以及对应的加密凭证。可选的，AF到NEF之间接口的消息也可以用其他NEF相关的消息，该消息的功能向NEF发送第一非公共网络20的标识以及对应的加密凭证。NEF到UDM的接口消息也可以用其他UDM相关的消息。该消息的功能是向UDM发送第一非公共网络20的标识以及对应的加密凭证，使得UDM存储该第一非公共网络20的标识以及对应的加密凭证。

对第二网络实体来说，可接收第三网络实体发送的第二消息，从第二消息中解析出第一非公共网络20的标识和对应的加密凭证；进而，将第一非公共网络20的标识和对应的加密凭证封装或添加到第四消息中，并向第一网络10中的第一网络实体发送第四消息，以使得第一网络实体下发给UE 30，使得UE 30据此进行第一非公共网络20的接入操作。可选地，第一网络实体可以是第一网络10核心网中可面向用户的控制面的网络实体，例如可以是负责用户移动性和接入管理的网络实体，如5G网络中的AMF。

对第一网络实体来说，可接收第一网络10中第二网络实体发送的第四消息，从第四消息中解析出第一非公共网络20的标识和对应的加密凭证；将第一非公共网络20的标识和对应的加密凭证封装或添加到第六消息中，并向UE 30发送第六消息，以使得UE 30根据第一非公共网络20的标识和对应的加密凭证接入第一非公共网络20。对UE 30来说，可接收第一网络中第一网络实体下发的第六消息，从第六消息中解析出第一非公共网络20的标识和对应的加密凭证；根据与第一非公共网络20的标识对应的默认凭证，对加密凭证进行解密，以得到第一非公共网络20的安全凭证；根据第一非公共网络20的标识和安全凭证，接入第一非公共网络20。

在本实施例中，UE 30可以预置默认凭证与非公共网络的标识之间的对应关系。在该对应关系中，可以包含一个或多个非公共网络的标识及其对应的默认凭证。在本实施例中，非公共网络的标识既可以唯一标识一个非公共网络，也可以唯一标识对非公共网络的加密凭证进行解密所需的默认凭证。基于此，UE30从第六消息中解析出第一非公共网络20的标识后，可查询该对应关系，得到与第一非公共网络20的标识对应的默认凭证。其中，默认凭证是指对加密凭证进行解密所需的凭证信息。在本实施例中，并不限定对第一非公共网络20的安全凭证进行加密使用的加密方式，其中，对安全凭证进行加密的加密方式不同，默认凭证在实现上也会有所不同。例如，可以采用对称加密方式对安全凭证进行加密，则默认凭证可以是对称加密方式中的密钥，例如预共享密钥(Pre-Shared Key，PSK)。又例如，也可以采用非对称加密方式对安全凭证进行加密，则默认凭证可以是非对称加密方式中的公钥，相应地，可以采用非对称加密方式中的私钥对安全凭证进行加密，得到加密凭证。安全凭证可以是密钥相关的安全信息，例如安全凭证可以是根密钥，也可以是证书加上公私钥对等，凡是可以让UE 30安全接入第一非公共网络20的凭证信息都适用于本申请实施例。

在本实施例中，第一非公共网络20的标识可以是能够唯一标识第一非公共网络20的信息，例如可以包括公共陆地移动网标识(PLMN ID)和网络标识(Network ID，NID)。公共陆地移动网标识和网络标识的组合可以用来作为SNPN的唯一标识。可选的，公共陆地移动网标识和网络标识的组合也可以用来作为PNI-NPN的唯一标识。

UE 30在得到第一非公共网络20的标识和安全凭证后，可以根据第一非公共网络20的标识和安全凭证向第一非公共网络20中的网络实体发起接入或注册请求，注册过程中，UE 30会根据安全凭证和网络侧进行双向鉴权；在UE 30通过鉴权之后，UE 30即成功接入第一非公共网络20，之后可使用第一非公共网络20提供的服务。其中，鉴权过程是用来鉴别UE 30对于网络侧是否是合法的终端，同样的，UE 30也会在鉴权过程中判断网络侧是否是合法的网络，这里的网络侧是指第一非公共网络20。

在本申请一些可选实施例中，如图2b所示，在步骤25a之前，还可以包括以下步骤：

23a、UE 30向第一网络实体发送第五消息，所述第五消息包括用于获取第一非公共网络20的加密凭证的标识，以使得第一网络实体向第二网络实体请求第一非公共网络20的加密凭证。

24a、第一网络实体向第二网络实体发送第三消息，所述第三消息包括UE 30的标识和用于获取第一非公共网络20的加密凭证的标识。

在本实施例中，UE 30在接收第一网络实体下发的第六消息之前，向第一网络实体发送第五消息，所述第五消息包括用于获取第一非公共网络20的加密凭证的标识，以使得第一网络实体向第二网络实体请求第一非公共网络20的加密凭证。对第一网络实体来说，可接收UE 30发送的第五消息，根据第五消息中用于获取第一非公共网络20的加密凭证的标识，向第二网络实体发送第三消息，所述第三消息包括UE 30的标识和用于获取第一非公共网络20的加密凭证的标识。这里UE 30的标识可以是UE 30的签约永久标识(Subscription Permanent Identifier，SUPI)。对第二网络实体来说，可接收第一网络实体发送的第三消息，根据第三消息中用于获取第一非公共网络20的加密凭证的标识，向第一网络实体发送第四消息，并在第四消息包括第一非公共网络20的标识和对应的加密凭证，使得第一网络实体通过第六消息将第一非公共网络20的标识和对应的加密凭证下发给UE 30。

进一步，在本申请一些可选实施例中，如图2b所示，所述方法还包括以下步骤：

29a、去注册第一网络10。

在本实施例中，UE 30还可以发起去注册第一网络10的流程。其中，去注册第一网络10的流程包括：UE 30向第一网络实体发起去注册请求；以及接收第一网络实体返回的去注册接受消息。可选地，UE 30可以在接入第一非公共网络20之前，发起去注册第一网络10的流程，并在完成去注册第一网络10的流程之后，发起接入第一非公共网络20的流程。或者，若UE 30支持同时接入两个或两个以上的网络，则UE 30可以在接入第一非公共网络20之前，发起去注册第一网络10的流程，也可以在发起接入第一非公共网络20的流程期间，或者在接入第一非公共网络20之后，发起去注册第一网络10的流程。在图2b中，以UE 30在接入第一非公共网络20之后，发起去注册第一网络10的流程为例进行图示，但并不限于此。

在此说明，图2a和图2b所示交互流程仅是本申请技术方案的概括性流程，其中，根据第一网络实体、第二网络实体和第三网络实体在实现上的不同，整个方案流程在细节实现上会有所差异，例如通信流程以及第一消息至第六消息在实现上会有所不同。在本申请一些示例性实施例中，可以将第一非公共网络20的安全凭证加密并存储到第一网络10，如PLMN中的UDM网络实体上，并且通过UE 30和核心网的控制面通信流程将第一非公共网络20的安全凭证空发到UE 30上。其中，UE 30与核心网的控制面交互流程包括但不限于：注册流程(registration procedures)，去注册流程(deregistration procedures)，服务请求流程(Service Request procedures)，基于UDM控制面流程更新UE参数的流程(UEParameters Update via UDM Control Plane Procedure)，PDU会话建立流程(PDUSession Establishment)，PDU会话修改流程(PDU Session Modification)，PDU会话释放流程(PDU Session Release)等等。在本申请实施例中，可在UE 30与核心网的控制面交互流程中，选择合适的控制面交互流程，对所选择的控制面交互流程进行修改，进而通过该控制面交互流程中的网络实体将第一非公共网络20的加密凭证下发给UE 30。

下面以第一非公共网络20是SNPN为例，结合图3a-图3d所示交互流程，对在不同控制面交互流程中向UE 30下发第一非公共网络20的安全凭证的过程进行示例性说明。

图3a为本申请示例性实施例提供的通过UE参数更新流程向UE 30下发第一非公共网络20的安全凭证供其接入第一非公共网络20的方法流程示意图。如图3a所示，该方法包括：

31a、UE预置默认凭证以及默认凭证所对应的SNPN标识，其中，SNPN标识包括PLMNID和NID。

33a、AF向UDM发送参数提供更新请求(Nudm_ParameterProvision_Updaterequest)消息，该消息中包括通用公共签约标识(Generic Public SubscriptionIdentifier，GPSI)，SNPN标识和对应的加密凭证(encrypted credentials)。

34a、UDM向AMF发送签约数据管理通知(Nudm_SDM_Notification Notify)消息，该消息中包括SUPI，SNPN标识和对应的加密凭证。

35a、AMF向UE发送下行非接入层传输(DL NAS TRANSPORT)消息，该消息中包括SNPN标识和对应的加密凭证。

36a、UE利用与接收到的SNPN标识对应的默认凭证解密加密凭证，得到SNPN安全凭证。

37a、UE发起PLMN网络的去注册流程，并根据SNPN标识和SNPN安全凭证发起SNPN的注册流程并完成与该SNPN的鉴权。

在本实施例中，AF是第三网络实体的一种实现，UDM是第二网络实体的一种实现，AMF是第一网络实体的一种实现。相应地，步骤33a中的Nudm_ParameterProvision_Updaterequest消息是第二消息的一种实现，步骤34a中的Nudm_SDM_Notification Notify消息是第四消息的一种实现，步骤35a中的DL NAS TRANSPORT消息是第六消息的一种实现。

在步骤33a中，GPSI是UE的一种标识，例如可以是UE使用的手机号或域名信息等。UE的GPSI与SUPI之间具有对应关系。在步骤33a中，SNPN标识表示SNPN；加密凭证是对SNPN的安全凭证进行加密的结果。

需要说明的是，在步骤33a中，AF可以直接向UDM发送Nudm_ParameterProvision_Update request消息，也可以通过NEF访问UDM，如图3a所示，虚线框表示NEF为可选的网络实体。具体的，如图3b所示，AF通过NEF访问UDM可以借助于NEF参数提供更新消息(Nnef_ParameterProvision_Update)或者是NEF数据流影响更新消息(Nnef_TrafficInfluence_Update)。在步骤33a1中，AF向NEF发送NEF参数提供更新消息或者是NEF数据流影响更新消息，消息中包括GPSI、SNPN标识和对应的加密凭证。在步骤33a2中，NEF接收到NEF参数提供更新消息或者是NEF数据流影响更新消息后，向UDM发送UDM参数提供更新消息(Nudm_ParameterProvision_Update)，消息中包括GPSI、SNPN标识以及对应的加密凭证。

在步骤34a中，UDM可以从Nudm_ParameterProvision_Update request消息中解析出GPSI、SNPN标识和对应的加密凭证；根据GPSI与SUPI之间的对应关系，将UE的GPSI映射为UE的SUPI，无论是GPSI还是SUPI都可以唯一标识UE；将SUPI、SNPN标识和对应的加密凭证封装或添加到Nudm_SDM_Notification Notify消息中发送给AMF。在步骤35a中，AMF从Nudm_SDM_Notification Notify消息中解析出SUPI、SNPN标识和对应的加密凭证，将SNPN标识和对应的加密凭证封装或添加到DL NAS TRANSPORT消息中，并根据SUPI将DL NAS TRANSPORT消息发送给对应的UE。在步骤35a中，UE从DL NAS TRANSPORT消息中解析出SNPN标识和对应的加密凭证，查询预置默认凭证以及默认凭证所对应的SNPN标识，利用与接收到的SNPN标识对应的默认凭证解密加密凭证，以得到SNPN安全凭证。在步骤36a中，UE一方面发起PLMN网络的去注册流程，一方面根据SNPN标识和SNPN安全凭证发起SNPN的注册流程并完成与该SNPN的鉴权。在步骤36a中，并不限定UE发起PLMN网络的去注册流程和发起SNPN的注册流程两者之间的先后顺序，可视UE的通信能力而定。

在本实施例中，通过对UE参数更新流程进行修改，复用UE参数更新流程中的部分消息，借助于PLMN核心网中UDM、AMF等网络实体将加密凭证下发给UE，使得UE能够从中解密出SNPN安全凭证进而基于SNPN的安全凭证成功接入SNPN，有利于满足SNPN的安全需求。

图3c为本申请示例性实施例提供的通过UE注册流程向UE 30下发第一非公共网络20的安全凭证供其接入第一非公共网络20的方法流程示意图。如图3c所示，该方法包括：

31b、UE预置默认凭证以及默认凭证所对应的SNPN标识，其中，SNPN标识包括PLMNID和NID。

33b、AF向UDM发送参数提供更新请求(Nudm_ParameterProvision_Updaterequest)消息，该消息中包括GPSI，SNPN标识和对应的加密凭证(encryptedcredentials)。

34b、UE触发PLMN网络的注册流程，在该流程中，UE可向AMF发送注册请求(Registration Request)消息，该消息中包括SUPI和用于获取SNPN的加密凭证的标识。

35b、在网络注册流程中，AMF向UDM发送签约数据管理获取(Nudm_SDM_Get)请求消息，该消息中包括SUPI。

36b、UDM向AMF发送签约数据管理获取(Nudm_SDM_Get)响应消息，该消息中SNPN标识和对应的加密凭证。

37b、AMF向UE发送注册接受(Registration Accept)消息，该消息中包括SNPN标识和对应的加密凭证。

38b、UE利用与接收到的SNPN标识对应的默认凭证解密加密凭证，得到SNPN安全凭证。

39b、UE发起PLMN网络的去注册流程，并根据SNPN标识和SNPN安全凭证发起SNPN的注册流程并完成与该SNPN的鉴权。

在本实施例中，AF是第三网络实体的一种实现，UDM是第二网络实体的一种实现，AMF是第一网络实体的一种实现。相应地，步骤33b中的Nudm_ParameterProvision_Updaterequest消息是第二消息的一种实现，步骤35b中的Nudm_SDM_Get请求消息是第三消息的一种实现，在步骤36b中的Nudm_SDM_Get响应消息是第四消息的一种实现，步骤34b中的Registration Request消息是第五消息的一种实现，步骤37b中的Registration Accept消息是第六消息的一种实现。

关于步骤31b-33b的相关描述，可参见图3a所示实施例中关于步骤31a-33a的描述，在此不再赘述。

需要说明的是，在步骤33b中，AF可以直接向UDM发送Nudm_ParameterProvision_Update request消息，也可以通过NEF访问UDM，如图3c所示，虚线框表示NEF为可选的网络实体。具体的，AF通过NEF访问UDM可以借助于NEF参数提供更新消息(Nnef_ParameterProvision_Update)或者是NEF数据流影响更新消息(Nnef_TrafficInfluence_Update)。AF首先向NEF发送NEF参数提供更新消息或者是NEF数据流影响更新消息，消息中包括GPSI、SNPN标识和对应的加密凭证。NEF接收到NEF参数提供更新消息或者是NEF数据流影响更新消息后，向UDM发送UDM参数提供更新消息(Nudm_ParameterProvision_Update)，消息中包括GPSI、SNPN标识以及对应的加密凭证。该流程的图示过程可参照图3b，在本实施例中不再展开图示。

在步骤34b中，UE触发PLMN的注册流程，关于该注册流程的详细步骤可参见通信标准的规定，或者现有技术，在此不做限定。在本实施例中，在向PLMN进行注册的过程中，UE可向AMF发送Registration Request消息，该消息中包括SUPI和用于获取SNPN的加密凭证的标识；其中，SUPI用于唯一标识UE，用于获取SNPN的加密凭证的标识用于触发AMF向UDM请求加密凭证。在步骤35b中，AMF接收UE发送的Registration Request消息，从RegistrationRequest消息中解析出SUPI和用于获取SNPN的加密凭证的标识；根据用于获取SNPN的加密凭证的标识，将SUPI封装或添加到Nudm_SDM_Get请求消息中发送给UDM，以向UDM请求加密凭证。在步骤36b中，UDM从Nudm_SDM_Get请求消息中解析出SUPI，根据GPSI与SUPI之间的对应关系，将UE的SUPI映射为UE的GPSI，进而得到UE对应的SNPN标识和对应的加密凭证，将SNPN标识和对应的加密凭证封装或添加到Nudm_SDM_Get响应消息中发送给AMF。在步骤37b中，AMF从Nudm_SDM_Get响应消息中解析出SNPN标识和对应的加密凭证，将SNPN标识和对应的加密凭证封装或添加到Registration Accept消息中下发给发起注册请求的UE。在步骤38b中，UE从Registration Accept消息中解析出SNPN标识和对应的加密凭证，查询预置默认凭证以及默认凭证所对应的SNPN标识，利用与接收到的SNPN标识对应的默认凭证解密加密凭证，以得到SNPN安全凭证。在步骤39b中，UE一方面发起PLMN网络的去注册流程，一方面根据SNPN标识和SNPN安全凭证发起SNPN的注册流程并完成与该SNPN的鉴权。在步骤39b中，并不限定UE发起PLMN网络的去注册流程和发起SNPN的注册流程两者之间的先后顺序，可视UE的通信能力而定。

在本实施例中，通过对UE面向PLMN的注册流程进行修改，复用注册流程中的部分消息，借助于PLMN核心网中UDM、AMF等网络实体将加密凭证下发给UE，使得UE能够从中解密出SNPN安全凭证进而基于SNPN的安全凭证成功接入SNPN，有利于满足SNPN的安全需求。

图3d为本申请示例性实施例提供的通过PDU会话建立流程向UE 30下发第一非公共网络20的安全凭证供其接入第一非公共网络20的方法流程示意图。如图3d所示，该方法包括：

31c、UE预置默认凭证以及默认凭证所对应的SNPN标识，其中，SNPN标识包括PLMNID和NID。

33c、AF向UDM发送参数提供更新请求(Nudm_ParameterProvision_Updaterequest)消息，该消息中包括GPSI，SNPN标识和对应的加密凭证(encryptedcredentials)。

34c、UE触发PDU会话建立流程，在该流程中，UE可向AMF发送协议数据单元会话建立请求(PDU Session Establishment Request)消息，该消息中包括SUPI和用于获取SNPN的加密凭证的标识。

35c、在PDU会话建立流程中，AMF向UDM发送签约数据管理获取(Nudm_SDM_Get)请求消息，该消息中包括SUPI。

36c、UDM向AMF发送签约数据管理获取(Nudm_SDM_Get)响应消息，该消息中SNPN标识和对应的加密凭证。

37c、AMF向UE发送协议数据单元会话建立接受(PDU Session EstablishmentAccept)消息，该消息中包括SNPN标识和对应的加密凭证。

38c、UE利用与接收到的SNPN标识对应的默认凭证解密加密凭证，得到SNPN安全凭证。

39c、UE发起PLMN网络的去注册流程，并根据SNPN标识和SNPN安全凭证发起SNPN的注册流程并完成与该SNPN的鉴权。

在本实施例中，AF是第三网络实体的一种实现，UDM是第二网络实体的一种实现，AMF是第一网络实体的一种实现。相应地，步骤33c中的Nudm_ParameterProvision_Updaterequest消息是第二消息的一种实现，步骤35c中的Nudm_SDM_Get请求消息是第三消息的一种实现，在步骤36c中的Nudm_SDM_Get响应消息是第四消息的一种实现，步骤34c中的PDUSession Establishment Request消息是第五消息的一种实现，步骤37c中的PDU SessionEstablishment Accept消息是第六消息的一种实现。

关于步骤31c-33c的相关描述，可参见图3a所示实施例中关于步骤31a-33a的描述，在此不再赘述。

需要说明的是，在步骤33c中，AF可以直接向UDM发送Nudm_ParameterProvision_Update request消息，也可以通过NEF访问UDM，如图3d所示，虚线框表示NEF为可选的网络实体。具体的，AF通过NEF访问UDM可以借助于NEF参数提供更新消息(Nnef_ParameterProvision_Update)或者是NEF数据流影响更新消息(Nnef_TrafficInfluence_Update)。AF首先向NEF发送NEF参数提供更新消息或者是NEF数据流影响更新消息，消息中包括GPSI、SNPN标识和对应的加密凭证。NEF接收到NEF参数提供更新消息或者是NEF数据流影响更新消息后，向UDM发送UDM参数提供更新消息(Nudm_ParameterProvision_Update)，消息中包括GPSI、SNPN标识以及对应的加密凭证。该流程的图示过程可参照图3b，在本实施例中不再展开图示。

在步骤34c中，UE触发PDU会话建立流程，关于PDU会话建立流程的详细步骤可参见通信标准的规定，或者现有技术，在此不做限定。在本实施例中，在PDU会话建立流程中，UE可向AMF发送PDU Session Establishment Request消息，该消息中包括SUPI和用于获取SNPN的加密凭证的标识；其中，SUPI用于唯一标识UE，用于获取SNPN的加密凭证的标识用于触发AMF向UDM请求加密凭证。在步骤35c中，AMF接收UE发送的PDU Session EstablishmentRequest消息，从PDU Session Establishment Request消息中解析出SUPI和用于获取SNPN的加密凭证的标识；根据用于获取SNPN的加密凭证的标识，将SUPI封装或添加到Nudm_SDM_Get请求消息中发送给UDM，以向UDM请求加密凭证。在步骤36c中，UDM从Nudm_SDM_Get请求消息中解析出SUPI，根据GPSI与SUPI之间的对应关系，将UE的SUPI映射为UE的GPSI，进而得到UE对应的SNPN标识和对应的加密凭证，将SNPN标识和对应的加密凭证封装或添加到Nudm_SDM_Get响应消息中发送给AMF。在步骤37c中，AMF从Nudm_SDM_Get响应消息中解析出SNPN标识和对应的加密凭证，将SNPN标识和对应的加密凭证封装或添加到PDU SessionEstablishment Accept消息中下发给发起PDU会话建立请求的UE。在步骤38c中，UE从PDUSession Establishment Accept消息中解析出SNPN标识和对应的加密凭证，查询预置默认凭证以及默认凭证所对应的SNPN标识，利用与接收到的SNPN标识对应的默认凭证解密加密凭证，以得到SNPN安全凭证。在步骤39c中，UE一方面发起PLMN网络的去注册流程，一方面根据SNPN标识和SNPN安全凭证发起SNPN的注册流程并完成与该SNPN的鉴权。在步骤39c中，并不限定UE发起PLMN网络的去注册流程和发起SNPN的注册流程两者之间的先后顺序，可视UE的通信能力而定。

在本实施例中，通过对UE发起PDU会话建立流程进行修改，复用PDU会话建立流程中的部分消息，借助于PLMN核心网中UDM、AMF等网络实体将加密凭证下发给UE，使得UE能够从中解密出SNPN安全凭证进而基于SNPN的安全凭证成功接入SNPN，有利于满足SNPN的安全需求。

图4a为本申请示例性实施例提供的一种网络接入方法的流程示意图。该方法是从用户设备的角度进行的描述，如图4a所示，该方法包括：

41a、接收第一网络中第一网络实体下发的第六消息，第六消息包括第一非公共网络的标识和对应的加密凭证；

42a、根据第一非公共网络的标识对应的默认凭证，对加密凭证进行解密，以得到第一非公共网络的安全凭证；

43a、根据第一非公共网络的标识和安全凭证，接入第一非公共网络。

在一可选实施例中，在接收第一网络中第一网络实体下发的第六消息之前，还包括：向第三网络实体发送其已接入第一网络的通知消息，以触发第三网络实体通过第一网络下发第一非公共网络的加密凭证。

在一可选实施例中，方法还包括：去注册第一网络。

在一可选实施例中，第六消息为下行非接入层传输(DL NAS TRANSPORT)消息。

在一可选实施例中，在接收第一网络中第一网络实体下发的第六消息之前，还包括：向第一网络实体发送第五消息，第五消息包括用于获取第一非公共网络的加密凭证的标识，以使得第一网络实体向第一网络中的第二网络实体请求第一非公共网络的加密凭证。

进一步可选地，第五消息为注册请求(Registration Request)消息，第六消息为注册接受(Registration Accept)消息；或者，第五消息为协议数据单元会话建立请求(PDUSession Establishment Request)消息，第六消息为协议数据单元会话建立接受(PDUSession Establishment Accept)消息。

在一可选实施例中，第一非公共网络的标识包括公共陆地移动网标识(PLMN ID)和网络标识(NID)。

在一可选实施例中，第一非公共网络是SNPN。相应地，第一网络是公共网络，如PLMN；或者是第一网络是第二非公共网络，如PNI-NPN。

图4b为本申请示例性实施例提供的另一种网络接入方法的流程示意图。该方法是从第一网络中第一网络实体的角度进行的描述，如图4b所示，该方法包括：

41b、接收第一网络中第二网络实体发送的第四消息，第四消息包括第一非公共网络的标识和对应的加密凭证；

42b、向用户设备发送第六消息，第六消息包括第一非公共网络的标识和对应的加密凭证，以使得用户设备根据第一非公共网络的标识和对应的加密凭证接入第一非公共网络。

在一可选实施例中，在接收第一网络中第二网络实体发送的第四消息之前，还包括：向第二网络实体发送第三消息，第三消息包括用户设备的标识和用于获取第一非公共网络的加密凭证的标识。

进一步可选地，第三消息为签约数据管理获取(Nudm_SDM_Get)请求消息，第四消息为签约数据管理获取Nudm_SDM_Get)响应消息。

在一可选实施例中，在向第二网络实体发送第三消息之前，还包括：接收用户设备发送的第五消息，第五消息包括用于获取第一非公共网络的加密凭证的标识，以使得第一网络实体向第二网络实体请求第一非公共网络的加密凭证。

进一步可选地，第五消息为注册请求(Registration Request)消息，第六消息为注册接受(Registration Accept)消息；或者，第五消息为协议数据单元会话建立请求(PDUSession Establishment Request)消息，第六消息为协议数据单元会话建立接受(PDUSession Establishment Accept)消息。

在一可选实施例中，第一非公共网络是SNPN。相应地，第一网络是公共网络，如PLMN；或者是第一网络是第二非公共网络，如PNI-NPN。

可选地，第一网络实体是AMF。

图4c为本申请示例性实施例提供的又一种网络接入方法的流程示意图。该方法是从第一网络中第二网络实体的角度进行的描述，如图4c所示，该方法包括：

41c、接收第三网络实体发送的第二消息，第二消息包括第一非公共网络的标识和对应的加密凭证；

42c、向第一网络中的第一网络实体发送第四消息，第四消息包括第一非公共网络的标识和对应的加密凭证，以使得第一网络实体将第一非公共网络的标识和对应的加密凭证下发给用户设备进行第一非公共网络的接入操作。

在一可选实施例中，在向第一网络中的第一网络实体发送第四消息之前，还包括：接收第一网络实体发送的第三消息，第三消息中包括用户设备的标识和用于获取第一非公共网络的加密凭证的标识。

在一可选实施例中，第三消息为签约数据管理获取(Nudm_SDM_Get)请求消息，第四消息为签约数据管理获取Nudm_SDM_Get)响应消息。

在另一可选实施例中，第四消息为签约数据管理通知(Nudm_SDM_NotificationNotify)消息。

在一可选实施例中，第二消息为参数提供更新请求(Nudm_ParameterProvision_Update request)消息。

在一可选实施例中，第一非公共网络是SNPN。相应地，第一网络是公共网络，如PLMN；或者是第一网络是第二非公共网络，如PNI-NPN。

可选地，第二网络实体是UDM。

图4d为本申请示例性实施例提供的再一种网络接入方法的流程示意图。该方法是从第三网络实体的角度进行的描述，如图4d所示，该方法包括：

41d、获取第一非公共网络的标识和对应的加密凭证；

42d、向第一网络中的第二网络实体发送第二消息，第二消息包括第一非公共网络的标识和对应的加密凭证，以使得第二网络实体经第一网络中第一网络实体下发第一非公共网络的标识和对应的加密凭证给用户设备进行第一非公共网络的接入操作。

在一可选实施例中，方法还包括：接收第一消息，第一消息用于触发通过第一网络下发第一非公共网络的标识和对应的加密凭证。

进一步可选地，接收第一消息，包括：接收用户设备发送的通知其已接入第一网络的通知消息；或者，接收用户设备通过非3GPP网络发送的触发消息，该触发消息用于触发第三网络实体通过第一网络下发第一非公共网络的标识和加密凭证的。

在一可选实施例中，第二消息为参数提供更新请求(Nudm_ParameterProvision_Update request)消息。

在一可选实施例中，第一非公共网络是SNPN。相应地，第一网络是公共网络，如PLMN；或者是第一网络是第二非公共网络，如PNI-NPN。

可选地，第三网络实体是AF。

在本申请提供的方法实施例中，借助于不同于第一非公共网络的第一网络，将第一网络作为第一非公共网络的加密凭证的传输通道，通过第一网络中的网络实体将第一非公共网络的加密凭证下发给用户设备，使得用户设备能够从加密凭证中解密出第一非公共网络的安全凭证进而基于解密出的第一非公共网络的安全凭证安全地接入第一非公共网络，解决了第一非公共网络的安全接入问题。

在此说明，在本申请实施例中，为了保证第一非公共网络的安全凭证在传输过程中的安全，需要对第一非公共网络的安全凭证进行加密，那么在用户设备一端需要对接收到的加密凭证进行解密，解密需要使用对应的默认凭证，在上述实施例中，通过非公共网络的标识来唯一标识一个默认凭证，因此，可通过第一非公共网络的标识来获取对第一非公共网络的加密凭证进行解密所需的默认凭证，但是对默认凭证进行标识的方式并不限于非公共网络的标识这一种实现方式。例如，可以利用第一标识来唯一标识一个默认凭证，即一个默认凭证对应一个第一标识，第一标识可以是非公共网络的标识，也可以是一个私有标识，还可以是解密标识，等等。

具体的，解密标识可以是默认凭证标识，默认凭证标识可以和对应的默认凭证一起预置在UE上。具体的，默认凭证标识可以和对应的默认标识通过预置的方式存储在UE中的通过通用集成电路卡(Universal Integrated Circuit Card,UICC)上。同时，AF也将默认凭证标识以及对应的加密凭证通过可选的NEF下发到UDM上。UE通过PLMN网络的DL NASTRANSPORT接收到默认凭证标识以及对应的加密凭证后，通过移动设备(MobileEquipment，ME)到UICC的接口将默认凭证标识以及对应的加密凭证发送到UICC中，UICC根据默认凭证标识对应的默认凭证解密加密凭证，从而获得对应的第一非公共网络的安全凭证。可选的，默认凭证也可以和私有标识进行关联从而根据上述过程从获取的消息中包含的私有标识来找到对应的默认凭证来解密加密凭证。私有标识可以是第一非公共网络标识的一部分，例如PLMN ID或者是NID。可选的，私有标识也可以是第一非公共网络中某个网络功能的标识，例如私有标识可以第一非公共网络中UDM的标识，或者是默认凭证服务器(Default Credential Server，DCS)的标识。DCS的功能可以是UE在UE注册到第一非公共网络时，对UE进行认证。可选的，私有标识也可以定制的可以映射默认凭证以及加密凭证的任意标识。

在上述第一标识的基础上，本申请还提供以下几种方法实施例，具体如下所示：

一种从用户设备进行描述的网络接入方法，包括：接收第一网络中第一网络实体下发的第六消息，第六消息包括第一标识和第一非公共网络的加密凭证；根据第一标识对应的默认凭证，对加密凭证进行解密，以得到第一非公共网络的安全凭证；根据第一非公共网络的标识和安全凭证，接入第一非公共网络。

一种从第一网络中的第一网络实体进行描述的网络接入方法，包括：接收第一网络中第二网络实体发送的第四消息，第四消息包括第一标识和第一非公共网络的加密凭证；向用户设备发送第六消息，第六消息包括第一标识和第一非公共网络的加密凭证，以使得用户设备根据第一标识和第一非公共网络的加密凭证接入第一非公共网络。

一种从第一网络中的第二网络实体进行描述的网络接入方法，包括：接收第三网络实体发送的第二消息，第二消息包括第一标识和第一非公共网络的加密凭证；向第一网络中的第一网络实体发送第四消息，第四消息包括第一标识和第一非公共网络的加密凭证，以使得第一网络实体将第一标识和第一非公共网络的加密凭证下发给用户设备进行第一非公共网络的接入操作。

一种从第三网络实体进行描述的网络接入方法，包括：获取第一非公共网络的加密凭证和对应的第一标识；向第一网络中的第二网络实体发送第二消息，第二消息包括第一标识和第一非公共网络的加密凭证，以使得第二网络实体经第一网络中第一网络实体下发第一标识和第一非公共网络的加密凭证给用户设备进行第一非公共网络的接入操作。

上述各方法实施例与前述方法实施例的区别在于：各消息中携带的信息不完全相同，上述各方法实施例中各消息中携带的是第一标识，而非第一非公共网络的标识，第一标识用于唯一标识对第一非公共网络的加密凭证进行解密所需的默认凭证，这点与第一非公共网络的标识的作用相同。与第一非公共网络的标识相比，第一标识的实现形式更为灵活、多样，可以是任何能够唯一标识一个默认凭证的标识类信息，例如可以是非公共网络的标识，也可以是一个私有标识，还可以是解密标识，等等。关于私有标识和解密标识的描述参见上文，在此不再赘述。关于上述各方法实施例中的用户设备、网络实体、各个消息、各网络以及第一非公共网络的加密凭证等相关定义、解释或说明，均与前述实施例相同，可参见前述实施例的详细描述，在此不再赘述。另外，上述各方法实施例中各步骤的详细实现也与前述实施例相同或相似，可参见前述实施例，在此不再赘述。

在此说明，在上述各实施例中，各个消息中除了包括第一标识和第一非公共网络的加密凭证之外，也可以包括第一非公共网络的标识，对此不做限定。当然，若上述各消息中不包括第一非公共网络的标识，用户设备也可以通过其他消息或其它方式获知第一非公共网络的标识，对此不做限定。用户设备最终根据第一非公共网络的标识和解密出来的安全凭证成功接入第一非公共网络。

在本申请实施例中，UE有可能需要从第一网络接入第一非公共网络。关于第一网络和第一非公共网络的解释说明，可参见前述实施例，在此不做赘述。为了保证第一非公共网络的安全性，UE需要基于第一非公共网络独立的安全凭证向第一非公共网络发起接入流程。UE除了采用上述实施例提供的方式获得第一非公共网络的安全凭证之外，还可以采用下述实施例提供的方式获得第一非公共网络的安全凭证，进而可基于该安全凭证接入第一非公共网络。

在本申请下述实施例中，第一非公共网络中部署有配置服务器(ProvisioningServer，PS)，UE可以通过第一网络从第一非公共网络中的PS侧获取第一非公共网络的安全凭证。其中，UE可以通过第一网络的控制面(Control Plane，CP)或用户面(User Plane，UP)从PS侧来获取第一非公共网络的安全凭证。具体的，控制面主要承载5G核心网网元之间互相交换的信令信息，例如NEF相关的事件暴露信息(EventExposure)。用户面主要承载UE到通过UPF到DN的PDU会话。但是，考虑到第一网络和第一非公共网络之间的协议(agreement)有所不同，PS和第一网络之间可能拥有不同的连接方式，例如PS和第一网络之间可能只存在UP面连接(即通过N6接口连接到第一网络的UPF网元)，也可能只存在CP面连接(即可以通过NEF和第一网络核心网网元进行交互)，也可能同时存在UP面和CP面连接。鉴于此，在本申请下述实施例中，通过设置不同的触发条件，PS可以根据这些触发条件来决定采用CP面向UE传递第一非公共网络的安全凭证，还是决定采用UP面向UE传递第一非公共网络的安全凭证。

在本申请下述实施例中，将触发条件分为两种，记为第一触发条件和第二触发条件；PS可以判断UE满足哪种触发条件；在UE满足第一触发条件时，PS采用CP面向UE传递第一非公共网络的安全凭证；在UE满足第二触发条件时，PS采用UP面向UE传递第一非公共网络的安全凭证。

其中，在UE满足第一触发条件时，PS采用CP面向UE传递第一非公共网络的安全凭证的详细过程包括：经第一网络中第一网络实体向第一网络中的第二网络实体发送第一消息，所述第一消息包括第一非公共网络对应的安全凭证和UE的标识，以使第二网络实体经第一网络中第三网络实体将该安全凭证下发给与UE的标识对应的UE，以使该UE根据该安全凭证进行第一非公共网络的接入操作。

其中，在UE满足第二触发条件时，PS采用UP面向UE传递第一非公共网络的安全凭证的详细过程包括：经第一网络中第一网络实体向第一网络中的第二网络实体发送第二消息，所述第二消息包括UE的标识，以使第二网络实体经第一网络中第三网络实体向与该UE的标识对应的UE发送与PS建立连接所需的配置信息，以使该UE在根据该配置信息与PS建立连接后基于该连接从PS获取第一非公共网络的安全凭证并据此进行第一非公共网络的接入操作。

其中，第一网络实体是第一网络中负责提供外部网络和内部网络的信息转换和交流、保证网络安全的网络实体，可以获知外部网络或内部网络中各网络实体的网络能力，并可向各网络实体提供其感兴趣的其它网络实体的网络能力信息。可选地，第一网络实体可以是NEF，但不限于此。第二网络实体是第一网络中负责用户标识、签约数据、鉴权数据的管理、用户的服务网元注册管理等的网络实体，例如可以是UDM。第三网络实体是第一网络中负责移动性管理的网络实体，例如可以是AMF。

在一可选实施例中，在判断UE满足哪种触发条件之前，还可以根据应用层的信息，识别或确定第一网络中需要接入第一非公共网络的UE。例如，在第一网络无法为UE提供服务的情况下，UE需要接入第一非公共网络；或者，在第一网络无法为UE提供服务保障质量的情况下，UE需要接入第一非公共网络。其中，PS可以根据这些应用层的信息，获取需要接入第一非公共网络的UE的标识。其中，UE的标识可以是通用公共用户标识(Generic PublicSubscription Identifier，GPSI)，也可以是与GPSI映射的签约永久标识(SubscriptionPermanent Identifier，SUPI)，也开始是UE的IP地址或者是5G全球唯一临时标识(5G-Globally Unique Temporary Identifier,5G-GUTI)或者是永久设备标识(PermanentEquipment Identifier,PEI)。GPSI是用户设备的一种标识，例如可以是用户设备使用的手机号或域名信息等。

在一可选实施例中，上述第一触发条件和第二触发条件可以与UE和第一网络之间的签约信息、UE的能力信息以及UE与PS协商使用的密钥类型等信息相关联。基于这些信息，可以配置多个第一触发条件和多个第二触发条件。

其中，第一触发条件包括以下至少一个：

a1：UE为第一类设备；第一类设备是指轻量级的设备，例如可以是IoT设备，这些设备的UP面资源相对有限，如果UE属于第一类设备，说明其UP面资源有限，为了节约UE的UP面资源，PS可以决定采用CP面向UE传递第一非公共网络的安全凭证。

a2：PS无法接入第一网络中的第四网络实体；第四网络实体是第一网络中具有分流功能的网络实体，例如可以是UPF；如果PS无法接入第一网络中的第四网络实体，意味着PS与第一网络之间不存在UP面连接(即通过N6接口连接到第一网络的UPF网元)，只能采用CP面向UE传递第一非公共网络的安全凭证。

a3：UE与PS协商使用的密钥用于解密第一非公共网络的加密凭证。其中，UE与PS协商使用的密钥可以是预置的，也可以是PS通过一个加密通道下发给UE的，对此不做限定。如果UE与PS协商使用的密钥用于解密第一非公共网络的加密凭证，这意味着PS可以采用CP面向UE传递第一非公共网络的安全凭证，而且该安全凭证还可以是经过加密的，此时UE可以根据其与PS协商的密钥解密该加密凭证，得到第一非公共网络的安全凭证，详细实施过程可参见前述实施例，在此不再赘述。

其中，在满足上述任意一个条件或者多个条件的情况下，PS就可以决定采用CP面向UE传递第一非公共网络的安全凭证。但是，需要说明的是，在满足上述任一个条件或者多个条件的情况下，并不意味着PS一定要采用CP面向UE传递第一非公共网络的安全凭证，具体可由PS根据其它策略决定。

在上述第一触发条件的基础上，PS在确定UE需要接入第一非公共网络(或者说是UE需要获取第一非公共网络的安全凭证)的情况下，PS可以结合UE的相关信息判断UE是否满足第一触发条件，该判断具体包括以下至少一种：

根据UE上报的能力信息，判断UE是否为第一类设备；

根据UE与第一网络的签约信息，判断PS是否无法接入第一网络中的第四网络实体；

根据UE与PS协商使用的密钥的类型，判断该密钥是否用于解密第一非公共网络的加密凭证；

若任一判断操作的判断结果为是，则确定UE满足第一触发条件。此时，说明PS可以采用CP面向UE传递第一非公共网络的安全凭证，当然，是否采用CP面向UE传递第一非公共网络的安全凭证由PS决定。

其中，与第一触发条件对应，第二触发条件包括以下至少一个：

b1：PS可以接入第一网络中的第四网络实体；如果PS可以接入第一网络中的第四网络实体，意味着PS与第一网络之间存在UP面连接(即通过N6接口连接到第一网络的UPF网元)，可以采用UP面向UE传递第一非公共网络的安全凭证。

b2：UE为第二类设备，第二类设备不同于第一类设备；第二类设备是指UP面资源相对充足的设备，例如可以是UP面资源不受限的UE。如果UE属于第二类设备，说明其UP面资源比较充裕，PS可以决定采用UP面向UE传递第一非公共网络的安全凭证。

b3：UE与PS协商使用的密钥用于对UE进行鉴权认证。其中，UE与PS协商使用的密钥可以是预置的，也可以是PS通过一个加密通道下发给UE的，对此不做限定。如果UE与PS协商使用的密钥用于对UE进行鉴权认证，这意味着UE有可能无法解密从PS侧下发的第一非公共网络中经过加密的安全凭证(简称为加密凭证)，这意味着PS无法采用CP面向UE传递第一非公共网络的安全凭证，则PS可以采用UP面向UE传递第一非公共网络的安全凭证。

在此说明，在上述条件b2和b3中，要求PS可以接入第一网络中的第四网络实体，即要求PS与第一网络之间存在UP面连接(即通过N6接口连接到第一网络的UPF网元)，之后可在进一步满足条件b2和b3中至少一个条件的情况下，采用UP面向UE传递第一非公共网络的安全凭证。

在上述第二触发条件的基础上，PS在确定UE需要接入第一非公共网络(或者说是UE需要获取第一非公共网络的安全凭证)的情况下，PS可以结合UE的相关信息判断UE是否满足第二触发条件，该判断具体包括以下至少一种：

根据UE上报的能力信息，判断UE是否为第二类设备；

根据UE与第一网络的签约信息，判断PS是否可以接入第一网络中的第四网络实体；

根据UE与PS协商使用的密钥的类型，判断该密钥是否用于对UE进行鉴权认证；

若任一判断操作的判断结果为是，则确定UE满足第二触发条件。此时，说明PS可以采用UP面向UE传递第一非公共网络的安全凭证，当然，是否采用UP面向UE传递第一非公共网络的安全凭证由PS决定。

在此说明，在本申请实施例中，PS可以仅执行判断UE是否满足第一触发条件的判断操作，在判断出UE不满足第一触发条件的情况下，可以默认UE满足第二触发条件；或者，也可以仅执行判断UE是否满足第二触发条件的判断操作，在判断出UE不满足第二触发条件的情况下，可以默认UE满足第一触发条件；或者，PS也可以既执行判断UE是否满足第一触发条件的判断操作，又执行判断UE是否满足第二触发条件的判断操作，且不限定执行这种判断操作的先后顺序。举例说明：PS可以先执行判断UE是否满足第一触发条件的判断操作，在判断出UE满足第一触发条件的情况下，采用CP面向UE传递第一非公共网络的安全凭证；在判断出UE不满足第一触发条件的情况下，可以进一步执行判断UE是否满足第二触发条件的判断操作，并在判断出UE满足第二触发条件的情况下，采用UP面向UE传递第一非公共网络的安全凭证。

下面以第一非公共网络是SNPN、第一网络是PLMN为例，结合图4e所示交互流程，对在PS向UE0下发第一非公共网络的安全凭证的过程进行示例性说明。

图4e为本申请示例性实施例提供的一种安全凭证下发方法的流程示意图。如图4e所示，该方法包括：

41e、PS确定需要获取SNPN的安全凭证(credential)的UE，并且确定是通过CP面还是UP面向UE传递SNPN的安全凭证。

可选地，PS可以根据应用层的信息，识别需要接入SNPN的UE，也就是确定需要获取SNPN的安全凭证的UE。

可选地，PS可以根据触发通过CP面向UE传递SNPN的安全凭证的触发条件(相当于上述第一触发条件)以及触发通过UP面向UE传递SNPN的安全凭证的触发条件(相当于上述第二触发条件)，来确定具体是通过CP面还是UP面向UE传递SNPN的安全凭证。

其中，触发通过CP面向UE传递SNPN的安全凭证的触发条件包括以下至少一个：

UE属于第一类设备，即轻量级的设备；针对该条件，PS可以根据UE上报的能力信息，判断UE是否属于轻量级的设备，例如如果UE是IoT终端，则可以确定UE属于轻量级的设备(即第一类设备)，说明UE的UP面资源受限，则可以采用CP面向UE传递SNPN的安全凭证；

PS无法连接PLMN的UP面；针对该条件，PS可以从UE的运营商相关签约信息中，获取PS是否可以连接PLMN的UP面的信息；如果获取到PS无法连接PLMN的UP面的信息，说明PS没有连接到该PLMN的UPF，因此无法采用UP面，只能采用CP面向UE传递SNPN的安全凭证；

UE与PS协商使用的密钥用于解密SNPN的加密凭证；针对该条件，PS可以获取其与UE协商使用的密钥以及该密钥的类型，据此判断该密钥是否用于解密SNPN的加密凭证，如果是，说明UE可以解密PS通过CP面下发的SNPN的加密凭证，因此可以采用CP面向UE传递SNPN的安全凭证。

其中，触发通过UP面向UE传递SNPN的安全凭证的触发条件包括以下至少一个：

PS可以连接PLMN的UP面；针对该条件，PS可以从UE的运营商相关签约信息中获取PS可以连接该PLMN的UPF，则可以采用UP面向UE传递SNPN的安全凭证；

UE属于第二类设备，例如非轻量级设备；针对该条件，PS可以根据UE上报的能力信息，确定UE没有UP面的资源限制，则可以采用UP面向UE传递SNPN的安全凭证；

UE与PS协商使用的密钥用于对UE进行鉴权认证；针对该条件，PS可以获取其与UE协商使用的密钥以及该密钥的类型，据此判断该密钥是否用于对UE进行鉴权认证，如果是，说明UE无法解密PS通过CP面下发的SNPN的加密凭证，因此可以采用UP面向UE传递SNPN的安全凭证。

如果PS决定用CP面向UE传递SNPN的安全凭证，则执行下面步骤42e1-44e1、步骤45e-47e以及步骤48e1；如果PS决定用UP面向UE传递SNPN的安全凭证，则执行下面步骤42e2-44e2、步骤45e-47e以及步骤48e2和步骤49e。

42e1、PS向NEF发送入网配置请求(onboarding request)消息，该请求消息中包括GPSI，以及SNPN的安全凭证。

43e1、NEF向UDM发送onboarding request消息，该请求消息中包括GPSI，以及SNPN的安全凭证。

44e1、UDM暂存SNPN的安全凭证，并向AMF发送UDM签约者数据管理通知(Nudm_SDM_notification_Notify)消息，该消息中包括GPSI以及SNPN的安全凭证。

42e2、PS向NEF发送入网配置请求(onboarding request)消息，该请求消息中包括GPSI。可选地，PS向NEF发送的入网配置请求(onboarding request)消息可以是NEF参数配置更新请求(Nnef_ParameterProvision_update request)消息，也可以是其他具有类似功能的消息；

43e2、NEF向UDM发送onboarding request消息，该请求消息中包括GPSI，可选地，NEF向UDM发送的onboarding request消息可以是UDM参数配置更新请求(Nudm_ParameterProvision_update request)消息，也可以是其他具有类似功能的消息；

44e2、UDM向AMF发送Nudm_SDM_notification_Notify消息，该消息中包括GPSI以及UE连接PS所需的配置信息。

45e、AMF向UDM发送UDM签约者数据管理通知/确认(Nudm_SDM_notification_Notify/ACK)消息。

46e、UDM向NEF发送入网配置响应(onboarding response)消息。可选地，UDM向NEF发送的入网配置响应(onboarding response)消息可以是UDM参数配置更新响应(Nudm_ParameterProvision_update response)消息，也可以是其他具有类似功能的消息；

47e、NEF向PS发送入网配置响应(onboarding response)消息。可选地，NEF向PS发送的入网配置响应(onboarding response)消息可以是NEF参数配置更新响应(Nnef_ParameterProvision_update response)消息，也可以是其他具有类似功能的消息；

48e1、AMF向UE发送下行NAS传输(DL NAS transport)消息，该消息中包括GPSI和SNPN的安全凭证。

48e2、AMF向UE发送下行NAS传输(DL NAS transport)消息，该消息中包括GPSI和UE连接PS所需的配置信息。

其中，UE连接PS所需的配置信息可以包括辅助UE通过UP面找到PS的一些信息，例如可以包括PS的地址信息以及PS对UE进行鉴权认证所需的密钥或凭证信息等。其中，PS的地址信息可以是PS的IP地址，也可以是PS的全称域名(Fully Qualified Domain Name，FQDN)。

另外，UE连接PS所需的配置信息除了由UDM下发之外，也可以是预置的，还可以是通过其它方式获取的，例如，UE可以通过应用层连接到专网相关的应用配置服务器来获取连接PS所需的配置信息，又或者UE可以通过扫描凭证(例如演唱会门票二维码或者是其他类型票据凭证等)获取到连接PS所需的配置信息。可选地，UE连接PS所需的配置信息可以预先存储在UDM中，基于此，UDM在接收到NEF发送的onboarding request消息后，可以根据该消息中包含的GPSI在本地查询获取对应UE连接PS所需的配置信息。进一步可选地，NEF发送给UDM的onboarding request消息中还可以包括指示信息，用于指示UDM在本地查询获取与GPSI对应的UE连接PS所需的配置信息。或者，UE连接PS所需的配置信息可由PS下发，具体地，PS发送给NEF的onboarding request消息中可以包括UE连接PS所需的配置信息；NEF将UE连接PS所需的配置信息携带在发送给UDM的onboarding request消息中，这样UDM可以从NEF发送的onboarding request消息中获取UE连接PS所需的配置信息，进而经AMF下发给UE，以使UE根据该配置信息与PS建立连接。

49e、UE根据获取的配置信息，通过PDU会话(PDU session)建立过程建立和PS的连接，并基于该连接通过UP面从PS侧获取SNPN的安全凭证。

在本申请上述实施例中，PS可以根据UE上报的信息或UE与PS协商的密钥信息或UE的运营商相关签约信息，来灵活选取采用CP面或者是UP面来向UE传递SNPN的安全凭证，增强了向UE传递SNPN的安全凭证的灵活性。

UE在获取到SNPN的安全凭证之后，可以基于该安全凭证发起对SNPN的接入流程。其中，基于该安全凭证发起对SNPN的接入流程的详细过程可参见前述实施例，在此不再赘述。

需要说明的是，上述实施例所提供方法的各步骤的执行主体均可以是同一设备，或者，该方法也由不同设备作为执行主体。比如，步骤41a至步骤43a的执行主体可以为设备A；又比如，步骤41a和42a的执行主体可以为设备A，步骤43a的执行主体可以为设备B；等等。

另外，在上述实施例及附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如41a、42a等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。需要说明的是，本文中的“第一”、“第二”、“第三”、“第四”、“第五”、“第六”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”、“第二”、“第三”、“第四”、“第五”、“第六”是不同的类型。

图5为本申请示例性实施例提供的一种用户设备的结构示意图。如图5所示，该用户设备包括：存储器51、处理器52以及通信组件53。

存储器51，用于存储计算机程序，并可被配置为存储其它各种数据以支持在用户设备上的操作。这些数据的示例包括用于在用户设备上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。

处理器52，与存储器51耦合，用于执行存储器51中的计算机程序，以用于：通过通信组件53接收第一网络中第一网络实体下发的第六消息，所述第六消息包括第一非公共网络的标识和对应的加密凭证；根据所述第一非公共网络的标识对应的默认凭证，对所述加密凭证进行解密，以得到第一非公共网络的安全凭证；根据所述第一非公共网络的标识和安全凭证，接入所述第一非公共网络。

在一可选实施例中，处理器52还用于：在接收第一网络中第一网络实体下发的第六消息之前，通过通信组件53向第三网络实体发送其已接入第一网络的通知消息，以触发第三网络实体通过第一网络下发第一非公共网络的加密凭证。

在一可选实施例中，处理器52还用于：去注册第一网络。

在一可选实施例中，第六消息为下行非接入层传输消息。

在一可选实施例中，处理器52还用于：在接收第一网络中第一网络实体下发的第六消息之前，通过通信组件53向第一网络实体发送第五消息，第五消息包括用于获取第一非公共网络的加密凭证的标识，以使得第一网络实体向第一网络中的第二网络实体请求第一非公共网络的加密凭证。

进一步可选地，第五消息为注册请求消息，第六消息为注册接受消息；或者，第五消息为协议数据单元会话建立请求消息，第六消息为协议数据单元会话建立接受消息。

在一可选实施例中，第一非公共网络的标识包括公共陆地移动网标识(PLMN ID)和网络标识(NID)。

在一可选实施例中，第一非公共网络是SNPN。相应地，第一网络是公共网络，如PLMN；或者是第一网络是第二非公共网络，如PNI-NPN。

进一步，如图5所示，该用户设备还包括：显示器54、电源组件55、音频组件56等其它组件。图5中仅示意性给出部分组件，并不意味着用户设备只包括图5所示组件。可选地，本实施例的用户设备可以是消费电子类产品，例如手机，平板电脑、个人电脑等，也可以是IoT设备，例如门锁，水表，电表等。

本申请实施例还提供一种用户设备，该用户设备与图5所示用户设备的区别在于：其处理器执行存储器中的计算机程序所实现的功能不完全相同。本实施例的用户设备，其处理器执行存储器中的计算机程序可实现以下操作：通过通信组件接收第一网络中第一网络实体下发的第六消息，第六消息包括第一标识和第一非公共网络的加密凭证；根据第一标识对应的默认凭证，对加密凭证进行解密，以得到第一非公共网络的安全凭证；根据第一非公共网络的标识和安全凭证，接入第一非公共网络。除此之外，本实施例用户设备中的处理器执行存储器中的计算机程序还可实现其它操作，关于其它操作可参见图5所示实施例，在此不再赘述。

本实施例的用户设备与图5所示实施例中的用户设备的区别在于：各消息中携带的信息不完全相同，本实施例中各消息中携带的是第一标识，而非第一非公共网络的标识，第一标识用于唯一标识对第一非公共网络的加密凭证进行解密所需的默认凭证，这点与第一非公共网络的标识的作用相同。与第一非公共网络的标识相比，第一标识的实现形式更为灵活、多样，可以是任何能够唯一标识一个默认凭证的标识类信息，例如可以是非公共网络的标识，也可以是一个私有标识，还可以是解密标识，等等。关于私有标识和解密标识的描述参见上文，在此不再赘述。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被处理器执行时，致使处理器能够实现图4a所示方法实施例中或者其他可由用户设备执行的方法实施例中的各步骤。

图6为本申请示例性实施例提供的一种网络实体的结构示意图。该网络实体可作为第一网络中的第一网络实体，如图6所示，该网络实体包括：存储器61、处理器62以及通信组件63。

存储器61，用于存储计算机程序，并可被配置为存储其它各种数据以支持在网络实体上的操作。这些数据的示例包括用于在用户设备上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。

处理器62，与存储器61耦合，用于执行存储器61中的计算机程序，以用于：通过通信组件63接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一非公共网络的标识和对应的加密凭证；向用户设备发送第六消息，所述第六消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述用户设备根据所述第一非公共网络的标识和对应的加密凭证接入所述第一非公共网络。

在一可选实施例中，处理器62还用于：在接收第一网络中第二网络实体发送的第四消息之前，通过通信组件63向第二网络实体发送第三消息，第三消息包括用户设备的标识和用于获取第一非公共网络的加密凭证的标识。

进一步可选地，第三消息为签约数据管理获取请求消息，第四消息为签约数据管理获取响应消息。

在一可选实施例中，处理器62还用于：在向第二网络实体发送第三消息之前，通过通信组件63接收用户设备发送的第五消息，第五消息包括用于获取第一非公共网络的加密凭证的标识，以使得第一网络实体向第二网络实体请求第一非公共网络的加密凭证。

进一步可选地，第五消息为注册请求消息，第六消息为注册接受消息；或者，第五消息为协议数据单元会话建立请求消息，第六消息为协议数据单元会话建立接受消息。

在一可选实施例中，第一非公共网络是SNPN。相应地，第一网络是公共网络，如PLMN；或者是第一网络是第二非公共网络，如PNI-NPN。

可选地，本实施例的网络实体可以是AMF。

进一步，如图6所示，该用户设备还包括：显示器64、电源组件65、音频组件66等其它组件。图6中仅示意性给出部分组件，并不意味着用户设备只包括图6所示组件，具体可视网络实体的产品形态而定。本实施例的网络实体可以实现为台式电脑、笔记本电脑、智能手机或IOT设备等终端设备，也可以是常规服务器、云服务器或服务器阵列等服务端设备。若本实施例的网络实体实现为台式电脑、笔记本电脑、智能手机等终端设备，可以包含图6中虚线框内的组件；若本实施例的网络实体实现为常规服务器、云服务器或服务器阵列等服务端设备，则可以不包含图6中虚线框内的组件。

本申请实施例还提供一种可作为第一网络中的第一网络实体实现的网络实体，该用户设备与图6所示实施例中的网络实体的区别在于：其处理器执行存储器中的计算机程序所实现的功能不完全相同。本实施例的用户设备，其处理器执行存储器中的计算机程序可实现以下操作：通过通信组件接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一标识和第一非公共网络的加密凭证；向用户设备发送第六消息，所述第六消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述用户设备根据所述第一标识和第一非公共网络的加密凭证接入所述第一非公共网络。除此之外，本实施例网络实体中的处理器执行存储器中的计算机程序还可实现其它操作，关于其它操作可参见图6所示实施例，在此不再赘述。

本实施例的网络实体与图6所示实施例中的网络实体的区别在于：各消息中携带的信息不完全相同，本实施例中各消息中携带的是第一标识，而非第一非公共网络的标识，第一标识用于唯一标识对第一非公共网络的加密凭证进行解密所需的默认凭证，这点与第一非公共网络的标识的作用相同。与第一非公共网络的标识相比，第一标识的实现形式更为灵活、多样，可以是任何能够唯一标识一个默认凭证的标识类信息，例如可以是非公共网络的标识，也可以是一个私有标识，还可以是解密标识，等等。关于私有标识和解密标识的描述参见上文，在此不再赘述。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被处理器执行时，致使处理器能够实现图4b所示方法实施例中或者其他可由第一网络实体实施的方法实施例中的各步骤。

本申请实施例还提供一种网络实体，该网络实体可作为第一网络中的第二网络实体实现，该网络实体的实现结构与图6所示网络实体的实现结构相同或类似，可参照图6所示网络实体的结构实现。本实施例提供的网络实体与图6所示实施例中网络实体的区别主要在于：处理器执行存储器中存储的计算机程序所实现的功能不同。对本实施例提供的网络实体来说，其处理器执行存储器中存储的计算机程序，可用于：接收第三网络实体发送的第二消息，第二消息包括第一非公共网络的标识和对应的加密凭证；向第一网络中的第一网络实体发送第四消息，第四消息包括第一非公共网络的标识和对应的加密凭证，以使得第一网络实体将第一非公共网络的标识和对应的加密凭证下发给用户设备进行第一非公共网络的接入操作。

在一可选实施例中，处理器还用于：在向第一网络中的第一网络实体发送第四消息之前，接收第一网络实体发送的第三消息，第三消息中包括用户设备的标识和用于获取第一非公共网络的加密凭证的标识。

在一可选实施例中，第三消息为签约数据管理获取请求消息，第四消息为签约数据管理获取响应消息。

在另一可选实施例中，第四消息为签约数据管理通知消息。

在一可选实施例中，第二消息为参数提供更新请求消息。

在一可选实施例中，第一非公共网络是SNPN。相应地，第一网络是公共网络，如PLMN；或者是第一网络是第二非公共网络，如PNI-NPN。

可选地，本实施例的网络实体可以是UDM。

本申请实施例还提供一种可作为第一网络中的第二网络实体实现的网络实体，该用户设备与上述实施例中可作为第一网络中的第二网络实体实现的网络实体的区别在于：其处理器执行存储器中的计算机程序所实现的功能不完全相同。本实施例的用户设备，其处理器执行存储器中的计算机程序可实现以下操作：通过通信组件接收第三网络实体发送的第二消息，所述第二消息包括第一标识和第一非公共网络的加密凭证；向第一网络中的第一网络实体发送第四消息，所述第四消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第一网络实体将所述第一标识和第一非公共网络的加密凭证下发给用户设备进行所述第一非公共网络的接入操作。除此之外，本实施例网络实体中的处理器执行存储器中的计算机程序还可实现其它操作，关于其它操作可参见前述提供的可作为第一网络中的第二网络实体实现的网络实体实施例，在此不再赘述。

本实施例的网络实体与前述提供的可作为第一网络中的第二网络实体实现的网络实体的区别在于：各消息中携带的信息不完全相同，本实施例中各消息中携带的是第一标识，而非第一非公共网络的标识，第一标识用于唯一标识对第一非公共网络的加密凭证进行解密所需的默认凭证，这点与第一非公共网络的标识的作用相同。与第一非公共网络的标识相比，第一标识的实现形式更为灵活、多样，可以是任何能够唯一标识一个默认凭证的标识类信息，例如可以是非公共网络的标识，也可以是一个私有标识，还可以是解密标识，等等。关于私有标识和解密标识的描述参见上文，在此不再赘述。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被处理器执行时，致使处理器能够实现图4c所示方法实施例中或者其他可由第一网络实体实施的方法实施例中的各步骤。

本申请实施例还提供一种网络实体，该网络实体可作为第三网络实体实现，该网络实体的实现结构与图6所示网络实体的实现结构相同或类似，可参照图6所示网络实体的结构实现。本实施例提供的网络实体与图6所示实施例中网络实体的区别主要在于：处理器执行存储器中存储的计算机程序所实现的功能不同。对本实施例提供的网络实体来说，其处理器执行存储器中存储的计算机程序，可用于：获取第一非公共网络的标识和对应的加密凭证；向第一网络中的第二网络实体发送第二消息，第二消息包括第一非公共网络的标识和对应的加密凭证，以使得第二网络实体经第一网络中第一网络实体下发第一非公共网络的标识和对应的加密凭证给用户设备进行第一非公共网络的接入操作。

在一可选实施例中，处理器还用于：接收第一消息，第一消息用于触发通过第一网络下发第一非公共网络的标识和对应的加密凭证。

进一步可选地，处理器在接收第一消息时，具体用于：接收用户设备发送的通知其已接入第一网络的通知消息；或者，接收用户设备通过非3GPP网络发送的触发消息，该触发消息用于触发第三网络实体通过第一网络下发第一非公共网络的标识和对应的加密凭证的。

在一可选实施例中，第二消息为参数提供更新请求消息。

在一可选实施例中，第一非公共网络是SNPN。相应地，第一网络是公共网络，如PLMN；或者是第一网络是第二非公共网络，如PNI-NPN。

可选地，第三网络实体可以是AF。

本申请实施例还提供一种可作为第三网络实体实现的网络实体，该用户设备与上述实施例中可作为第三网络实体实现的网络实体的区别在于：其处理器执行存储器中的计算机程序所实现的功能不完全相同。本实施例的用户设备，其处理器执行存储器中的计算机程序可实现以下操作：获取第一非公共网络的加密凭证和对应的第一标识；通过所述通信组件向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第二网络实体经所述第一网络中第一网络实体下发所述第一标识和第一非公共网络的加密凭证给用户设备进行所述第一非公共网络的接入操作。除此之外，本实施例网络实体中的处理器执行存储器中的计算机程序还可实现其它操作，关于其它操作可参见前述提供的可作为第三网络实体实现的网络实体实施例，在此不再赘述。

本实施例的网络实体与前述提供的可作为第三网络实体实现的网络实体的区别在于：各消息中携带的信息不完全相同，本实施例中各消息中携带的是第一标识，而非第一非公共网络的标识，第一标识用于唯一标识对第一非公共网络的加密凭证进行解密所需的默认凭证，这点与第一非公共网络的标识的作用相同。与第一非公共网络的标识相比，第一标识的实现形式更为灵活、多样，可以是任何能够唯一标识一个默认凭证的标识类信息，例如可以是非公共网络的标识，也可以是一个私有标识，还可以是解密标识，等等。关于私有标识和解密标识的描述参见上文，在此不再赘述。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被处理器执行时，致使处理器能够实现图4d所示方法实施例中或者其他可由第三网络实体实施的方法实施例中的各步骤。

本申请实施例还提供一种配置服务器，该配置服务器位于第一非公共网络中，该配置服务器的实现结构与图6所示网络实体的实现结构相同或类似，可参照图6所示网络实体的结构实现。本实施例提供的配置服务器与图6所示实施例中网络实体的区别主要在于：处理器执行存储器中存储的计算机程序所实现的功能不同。对本实施例提供的配置服务器来说，其处理器执行存储器中存储的计算机程序，可用于：

在用户设备满足第一触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第一消息，所述第一消息包括所述第一非公共网络对应的安全凭证和所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体将所述安全凭证下发给所述用户设备，以使所述用户设备根据所述安全凭证进行所述第一非公共网络的接入操作；

在用户设备满足第二触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体向所述用户设备发送与所述配置服务器建立连接所需的配置信息，以使所述用户设备在根据所述配置信息与所述配置服务器建立连接后基于所述连接从所述配置服务器获取所述第一非公共网络的安全凭证并据此进行所述第一非公共网络的接入操作。

在一可选实施例中，上述处理器还用于：根据应用层的信息，识别第一网络中需要接入第一非公共网络的用户设备。

在一可选实施例中，上述第一触发条件包括以下至少一个：

用户设备为第一类设备；

配置服务器无法接入第一网络中的第四网络实体；

用户设备与配置服务器协商使用的密钥用于解密所述第一非公共网络的加密凭证。

基于上述，处理器还用于执行以下判断用户设备是否满足第一触发条件的至少一种判断操作：

根据用户设备上报的能力信息，判断所述用户设备是否为第一类设备；

根据用户设备与第一网络的签约信息，判断所述配置服务器是否无法接入所述第一网络中的第四网络实体；

根据用户设备与所述配置服务器协商使用的密钥的类型，判断所述密钥是否用于解密所述第一非公共网络的加密凭证；

若任一判断操作的判断结果为是，则确定用户设备满足所述第一触发条件。

相应地，上述第二触发条件包括以下至少一个：

配置服务器可以接入第一网络中的第四网络实体；

用户设备为第二类设备，所述第二类设备不同于第一类设备；

用户设备与配置服务器协商使用的密钥用于对用户设备进行鉴权认证。

基于上述，处理器还用于执行以下判断用户设备是否满足第二触发条件的至少一种判断操作：

根据用户设备上报的能力信息，判断所述用户设备是否为第二类设备；

根据用户设备与第一网络的签约信息，判断所述配置服务器是否可以接入所述第一网络中的第四网络实体；

根据用户设备与所述配置服务器协商使用的密钥的类型，判断所述密钥是否用于对所述用户设备进行鉴权认证；

若任一判断操作的判断结果为是，则确定用户设备满足所述第二触发条件。

需要说明的是，处理器可以仅具有执行上述判断用户设备是否满足第一触发条件以及在满足第一触发条件时，通过CP面向用户设备发送第一非公共网络的安全凭证的功能；也可以仅具有执行上述判断用户设备是否满足第二触发条件以及在满足第二触发条件时，通过UP面向用户设备发送第一非公共网络的安全凭证的功能；或者，也可以同时具有上述两部分功能。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被处理器执行时，致使处理器能够实现图4e所示方法实施例中的各步骤。

上述各实施例中的存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

上述各实施例中的通信组件被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络，如WiFi，2G、3G、4G/LTE、5G等移动通信网络，或它们的组合。在一个示例性实施例中，通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

上述各实施例中的显示器包括屏幕，其屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。

上述各实施例中的电源组件，为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统，一个或多个电源，及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。

上述各实施例中的音频组件，可被配置为输出和/或输入音频信号。例如，音频组件包括一个麦克风(MIC)，当音频组件所在设备处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器或经由通信组件发送。在一些实施例中，音频组件还包括一个扬声器，用于输出音频信号。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (43)

1.一种网络接入方法，适用于用户设备，其特征在于，所述方法包括：

接收第一网络中第一网络实体下发的第六消息，所述第六消息包括第一非公共网络的标识和对应的加密凭证；

根据所述第一非公共网络的标识对应的默认凭证，对所述加密凭证进行解密，以得到所述第一非公共网络的安全凭证；

根据所述第一非公共网络的标识和安全凭证，接入所述第一非公共网络。

2.根据权利要求1所述的方法，其特征在于，在接收第一网络中第一网络实体下发的第六消息之前，还包括：

向第三网络实体发送其已接入第一网络的通知消息，以触发所述第三网络实体通过所述第一网络下发第一非公共网络的加密凭证。

3.根据权利要求1所述的方法，其特征在于，还包括：去注册所述第一网络。

4.根据权利要求1所述的方法，其特征在于，所述第六消息为下行非接入层传输消息。

5.根据权利要求1所述的方法，其特征在于，在接收第一网络中第一网络实体下发的第六消息之前，还包括：

向所述第一网络实体发送第五消息，所述第五消息包括用于获取所述第一非公共网络的加密凭证的标识，以使得所述第一网络实体向所述第一网络中的第二网络实体请求所述第一非公共网络的加密凭证。

6.根据权利要求5所述的方法，其特征在于，所述第五消息为注册请求消息，所述第六消息为注册接受消息；或者，

所述第五消息为协议数据单元会话建立请求消息，所述第六消息为协议数据单元会话建立接受消息。

7.根据权利要求1-6任一项所述的方法，其特征在于，所述第一非公共网络的标识包括公共陆地移动网标识和网络标识。

8.根据权利要求1-6任一项所述的方法，其特征在于，所述第一网络是公共网络，或者是第二非公共网络。

9.一种网络接入方法，适用于第一网络中的第一网络实体，其特征在于，所述方法包括：

接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一非公共网络的标识和对应的加密凭证；

向用户设备发送第六消息，所述第六消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述用户设备根据所述第一非公共网络的标识和对应的加密凭证接入所述第一非公共网络。

10.根据权利要求9所述的方法，其特征在于，在接收第一网络中第二网络实体发送的第四消息之前，还包括：

向所述第二网络实体发送第三消息，所述第三消息包括用户设备的标识和用于获取所述第一非公共网络的加密凭证的标识。

11.根据权利要求10所述的方法，其特征在于，在向所述第二网络实体发送第三消息之前，还包括：

接收所述用户设备发送的第五消息，所述第五消息包括用于获取所述第一非公共网络的加密凭证的标识，以使得所述第一网络实体向所述第二网络实体请求所述第一非公共网络的加密凭证。

12.一种网络接入方法，适用于第一网络中的第二网络实体，其特征在于，所述方法包括：

接收第三网络实体发送的第二消息，所述第二消息包括第一非公共网络的标识和对应的加密凭证；

向所述第一网络中的第一网络实体发送第四消息，所述第四消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述第一网络实体将所述第一非公共网络的标识和对应的加密凭证下发给用户设备进行所述第一非公共网络的接入操作。

13.根据权利要求12所述的方法，其特征在于，在向所述第一网络中的第一网络实体发送第四消息之前，还包括：

接收所述第一网络实体发送的第三消息，所述第三消息中包括用户设备的标识和用于获取所述第一非公共网络的加密凭证的标识。

14.根据权利要求13所述的方法，其特征在于，所述第三消息为签约数据管理获取请求消息，所述第四消息为签约数据管理获取响应消息。

15.根据权利要求12所述的方法，其特征在于，所述第四消息为签约数据管理通知消息。

16.一种网络接入方法，适用于第三网络实体，其特征在于，所述方法包括：

获取第一非公共网络的标识和对应的加密凭证；

向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述第二网络实体经所述第一网络中第一网络实体下发所述第一非公共网络的标识和对应的加密凭证给用户设备进行所述第一非公共网络的接入操作。

17.根据权利要求16所述的方法，其特征在于，还包括：

接收第一消息，所述第一消息用于触发通过所述第一网络下发第一非公共网络的标识和对应的加密凭证。

18.根据权利要求17所述的方法，其特征在于，接收第一消息，包括：

接收用户设备发送的通知其已接入第一网络的通知消息。

19.根据权利要求16-18任一项所述的方法，其特征在于，所述第二消息为参数提供更新请求消息。

20.一种用户设备，其特征在于，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：

通过所述通信组件接收第一网络中第一网络实体下发的第六消息，所述第六消息包括第一非公共网络的标识和对应的加密凭证；

根据所述第一非公共网络的标识对应的默认凭证，对所述加密凭证进行解密，以得到第一非公共网络的安全凭证；

根据所述第一非公共网络的标识和安全凭证，接入所述第一非公共网络。

21.一种网络实体，可作为第一网络中的第一网络实体实现，其特征在于，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：

通过所述通信组件接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一非公共网络的标识和对应的加密凭证；向用户设备发送第六消息，所述第六消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述用户设备根据所述第一非公共网络的标识和对应的加密凭证接入所述第一非公共网络。

22.一种网络实体，可作为第一网络中的第二网络实体实现，其特征在于，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：

通过所述通信组件接收第三网络实体发送的第二消息，所述第二消息包括第一非公共网络的标识和对应的加密凭证；向第一网络中的第一网络实体发送第四消息，所述第四消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述第一网络实体将所述第一非公共网络的标识和对应的加密凭证下发给用户设备进行所述第一非公共网络的接入操作。

23.一种网络实体，其特征在于，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：

获取第一非公共网络的标识和对应的加密凭证；通过所述通信组件向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述第一非公共网络的标识和对应的加密凭证，以使得所述第二网络实体经所述第一网络中第一网络实体下发所述第一非公共网络的标识和对应的加密凭证给用户设备进行所述第一非公共网络的接入操作。

24.一种存储有计算机程序的计算机可读存储介质，其特征在于，当所述计算机程序被处理器执行时，致使所述处理器实现权利要求1-19任一项所述方法中的步骤。

25.一种网络接入方法，适用于用户设备，其特征在于，所述方法包括：

接收第一网络中第一网络实体下发的第六消息，所述第六消息包括第一标识和第一非公共网络的加密凭证；

根据所述第一标识对应的默认凭证，对所述加密凭证进行解密，以得到所述第一非公共网络的安全凭证；

根据所述第一非公共网络的标识和安全凭证，接入所述第一非公共网络。

26.根据权利要求25所述的方法，其特征在于，所述第一标识为私有标识，或解密标识。

27.一种网络接入方法，适用于第一网络中的第一网络实体，其特征在于，所述方法包括：

接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一标识和第一非公共网络的加密凭证；

向用户设备发送第六消息，所述第六消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述用户设备根据所述第一标识和第一非公共网络的加密凭证接入所述第一非公共网络。

28.一种网络接入方法，适用于第一网络中的第二网络实体，其特征在于，所述方法包括：

接收第三网络实体发送的第二消息，所述第二消息包括第一标识和第一非公共网络的加密凭证；

向所述第一网络中的第一网络实体发送第四消息，所述第四消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第一网络实体将所述第一标识和第一非公共网络的加密凭证下发给用户设备进行所述第一非公共网络的接入操作。

29.一种网络接入方法，适用于第三网络实体，其特征在于，所述方法包括：

获取第一非公共网络的加密凭证和对应的第一标识；

向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第二网络实体经所述第一网络中第一网络实体下发所述第一标识和第一非公共网络的加密凭证给用户设备进行所述第一非公共网络的接入操作。

30.一种用户设备，其特征在于，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：

通过所述通信组件接收第一网络中第一网络实体下发的第六消息，所述第六消息包括第一标识和第一非公共网络的加密凭证；

根据所述第一标识对应的默认凭证，对所述加密凭证进行解密，以得到第一非公共网络的安全凭证；

根据所述第一非公共网络的标识和安全凭证，接入所述第一非公共网络。

31.一种网络实体，可作为第一网络中的第一网络实体实现，其特征在于，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：

通过所述通信组件接收第一网络中第二网络实体发送的第四消息，所述第四消息包括第一标识和第一非公共网络的加密凭证；向用户设备发送第六消息，所述第六消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述用户设备根据所述第一标识和第一非公共网络的加密凭证接入所述第一非公共网络。

32.一种网络实体，可作为第一网络中的第二网络实体实现，其特征在于，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：

通过所述通信组件接收第三网络实体发送的第二消息，所述第二消息包括第一标识和第一非公共网络的加密凭证；向第一网络中的第一网络实体发送第四消息，所述第四消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第一网络实体将所述第一标识和第一非公共网络的加密凭证下发给用户设备进行所述第一非公共网络的接入操作。

33.一种网络实体，其特征在于，包括：存储器、处理器和通信组件；所述存储器，用于存储计算机程序；所述处理器用于执行所述计算机程序，以用于：

获取第一非公共网络的加密凭证和对应的第一标识；通过所述通信组件向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述第一标识和第一非公共网络的加密凭证，以使得所述第二网络实体经所述第一网络中第一网络实体下发所述第一标识和第一非公共网络的加密凭证给用户设备进行所述第一非公共网络的接入操作。

34.一种存储有计算机程序的计算机可读存储介质，其特征在于，当所述计算机程序被处理器执行时，致使所述处理器实现权利要求26-29任一项所述方法中的步骤。

35.一种安全凭证下发方法，适用于第一非公共网络中的配置服务器，其特征在于，所述方法包括：

在用户设备满足第一触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第一消息，所述第一消息包括所述第一非公共网络对应的安全凭证和所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体将所述安全凭证下发给所述用户设备，以使所述用户设备根据所述安全凭证进行所述第一非公共网络的接入操作；

在用户设备满足第二触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体向所述用户设备发送与所述配置服务器建立连接所需的配置信息，以使所述用户设备在根据所述配置信息与所述配置服务器建立连接后基于所述连接从所述配置服务器获取所述第一非公共网络的安全凭证并据此进行所述第一非公共网络的接入操作。

36.根据权利要求35所述的方法，其特征在于，所述第一触发条件包括以下至少一个：

用户设备为第一类设备；

配置服务器无法接入第一网络中的第四网络实体；

用户设备与配置服务器协商使用的密钥用于解密所述第一非公共网络的加密凭证。

37.根据权利要求36所述的方法，其特征在于，还包括以下判断用户设备是否满足第一触发条件的至少一种判断操作：

根据用户设备上报的能力信息，判断所述用户设备是否为第一类设备；

根据用户设备与第一网络的签约信息，判断所述配置服务器是否无法接入所述第一网络中的第四网络实体；

根据用户设备与所述配置服务器协商使用的密钥的类型，判断所述密钥是否用于解密所述第一非公共网络的加密凭证；

若任一判断操作的判断结果为是，则确定用户设备满足所述第一触发条件。

38.根据权利要求35所述的方法，其特征在于，所述第二触发条件包括以下至少一个：

配置服务器可以接入第一网络中的第四网络实体；

用户设备为第二类设备，所述第二类设备不同于第一类设备；

用户设备与配置服务器协商使用的密钥用于对用户设备进行鉴权认证。

39.根据权利要求38所述的方法，其特征在于，还包括以下判断用户设备是否满足第二触发条件的至少一种判断操作：

根据用户设备上报的能力信息，判断所述用户设备是否为第二类设备；

根据用户设备与第一网络的签约信息，判断所述配置服务器是否可以接入所述第一网络中的第四网络实体；

根据用户设备与所述配置服务器协商使用的密钥的类型，判断所述密钥是否用于对所述用户设备进行鉴权认证；

若任一判断操作的判断结果为是，则确定用户设备满足所述第二触发条件。

40.根据权利要求35-39任一项所述的方法，其特征在于，还包括：

根据应用层的信息，识别第一网络中需要接入第一非公共网络的用户设备。

41.一种安全凭证下发方法，适用于第一非公共网络中的配置服务器，其特征在于，所述方法包括：

判断用户设备是否满足第一触发条件；

在用户设备满足第一触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第一消息，所述第一消息包括所述第一非公共网络对应的安全凭证和所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体将所述安全凭证下发给所述用户设备，以使所述用户设备根据所述安全凭证进行所述第一非公共网络的接入操作。

42.一种安全凭证下发方法，适用于第一非公共网络中的配置服务器，其特征在于，所述方法包括：

判断用户设备是否满足第二触发条件；

在用户设备满足第二触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体向所述用户设备发送与所述配置服务器建立连接所需的配置信息，以使所述用户设备在根据所述配置信息与所述配置服务器建立连接后基于所述连接从所述配置服务器获取所述第一非公共网络的安全凭证并据此进行所述第一非公共网络的接入操作。

43.一种配置服务器，位于第一非公共网络中，其特征在于，包括：存储器和处理器；

所述存储器，用于存储计算机程序；

所述处理器，与所述存储器耦合，用于执行所述计算机程序，以用于：

在用户设备满足第一触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第一消息，所述第一消息包括所述第一非公共网络对应的安全凭证和所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体将所述安全凭证下发给所述用户设备，以使所述用户设备根据所述安全凭证进行所述第一非公共网络的接入操作；

在用户设备满足第二触发条件的情况下，经第一网络中第一网络实体向第一网络中的第二网络实体发送第二消息，所述第二消息包括所述用户设备的标识，以使所述第二网络实体经第一网络中第三网络实体向所述用户设备发送与所述配置服务器建立连接所需的配置信息，以使所述用户设备在根据所述配置信息与所述配置服务器建立连接后基于所述连接从所述配置服务器获取所述第一非公共网络的安全凭证并据此进行所述第一非公共网络的接入操作。

Images