CN115843027A - 通信方法和通信设备 - Google Patents

Abstract

本申请实施例提供了一种通信方法和通信设备，该通信方法包括：移动管理设备获取终端设备的第一信息，第一信息包括终端设备的归属网络标识和/或路由指示，第一信息指示移动管理设备选择第二网络的第二鉴权设备，终端设备的凭证属于第二网络，第二网络未部署第二鉴权设备；移动管理设备根据第一信息，选择第一鉴权设备，第一鉴权设备与移动管理设备属于第一网络。通过该方法，当第二网络没有部署第二鉴权设备时，本申请能够使终端设备进行鉴权。

Description

通信方法和通信设备

本申请是申请日为2021年9月19日，中国申请号为202111101555.1、发明名称为“通信方法和通信设备”的发明申请的分案申请。

技术领域

本申请实施例涉及通信技术领域，更具体地，涉及一种通信方法和通信设备。

背景技术

当终端设备采用第二网络的凭证(亦可以称为外部凭证)接入第一网络，该第一网络可以是支持外部凭证的网络，例如，独立非公共网络(standalone non-public network，SNPN)，即表示，在终端设备接入第一网络的过程中，由不同于第一网络的网络，例如，凭证持有者(credentials holder，CH)，执行终端设备的主鉴权或者安全流程。

由于不同的第二网络执行终端设备的主鉴权或者安全流程的设备可以不一，第一网络中与第二网络交互的设备也会不同。因此，经常出现错误案例(error case)或者异常案例(abnormal case)的通信场景。

因此，亟需一种能够使终端设备进行鉴权的通信方法。

发明内容

本申请实施例提供一种通信方法和通信设备，能够使终端设备进行鉴权。

第一方面，提供了一种通信方法，包括：移动管理设备获取终端设备的第一信息，该第一信息包括终端设备的归属网络标识和/或路由指示，该第一信息指示移动管理设备选择第二网络的第二鉴权设备，该终端设备的凭证属于第二网络，该第二网络未部署第二鉴权设备；移动管理设备根据该第一信息，选择第一鉴权设备，该第一鉴权设备与该移动管理设备属于第一网络。

通过上述技术方案，本申请可以实现在终端设备采用第二网络的凭证且第二网络采用鉴权授权计费服务器执行鉴权的情况下，第一网络的移动管理设备会选择第一网络的第一鉴权设备，而不会因为找不到第二网络的第二鉴权设备时，向终端设备发送注册拒绝信息，导致终端设备无法注册或者接入该第一网络，从而使终端设备成功注册或者接入到第一网络中来。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该移动管理设备根据该第一信息，未发现该第二鉴权设备。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该移动管理设备根据配置信息，选择第一鉴权设备，该配置信息指示该移动管理设备根据该第一信息未发现第二鉴权设备时选择第一鉴权设备。

结合第一方面，在第一方面的某些实现方式中，该移动管理设备根据第一信息，选择第一鉴权设备，包括：移动管理设备还获取来自终端设备的指示信息，该指示信息指示第一网络支持外部凭证和/或终端设备采用外部凭证；移动管理设备基于指示信息，选择第一鉴权设备。

通过由终端设备向第一网络的移动管理设备发送指示信息，该指示信息用于指示第一网络支持外部凭证或者指示终端设备采用外部凭证，如此，有助于第一网络的移动管理设备在未发现第二网络的第二鉴权设备时，会选择第一网络的第一鉴权设备，从而完成终端设备接入到第一网络的接入或者注册过程。

结合第一方面，在第一方面的某些实现方式中，该移动管理设备根据第一信息，选择第一鉴权设备，包括：移动管理设备向网络存储设备发送请求信息，该请求信息用于请求发现第二鉴权设备，该请求信息包括该第一信息；该移动管理设备获取来自该网络存储设备的响应信息，该响应信息用于指示未发现第二鉴权设备，和/或，该响应信息包括第一鉴权设备的标识信息和/或地址信息；该移动管理设备基于该响应信息，选择第一鉴权设备。

通过由第一网络的移动管理设备向网络存储设备发送请求信息，请求网络存储设备发现第二网络的第二鉴权设备，并基于网络存储设备反馈的响应信息，选择第一鉴权设备，如此，有助于第一网络的移动管理设备在未发现第二网络的第二鉴权设备时，会选择第一网络的第一鉴权设备，从而完成终端设备接入到第一网络的接入或者注册过程。

结合第一方面，在第一方面的某些实现方式中，请求信息还包括第一指示信息，该第一指示信息指示第一网络支持外部凭证和/或终端设备采用外部凭证。

通过该指示信息，有助于第一网络的网络存储设备确定第一网络支持外部凭证或者确定终端设备采用外部凭证，从而在找不到第二网络的第二鉴权设备时，其向移动管理设备反馈未发现或者反馈第一鉴权设备的标识信息和/或地址信息，如此，有助于第一网络的移动管理设备会选择第一网络的第一鉴权设备，从而完成终端设备接入到第一网络的接入或者注册过程。

结合第一方面，在第一方面的某些实现方式中，该移动管理设备根据第一信息，选择第一鉴权设备，包括：移动管理设备还获取来自接入网设备的网络标识，该网络标识指示第一网络为非公共网络；移动管理设备基于第一网络标识与第一信息，选择第一鉴权设备。

具体地，第一网络的移动管理设备根据网络标识确定第一网络为非公共网络，并根据第一信息确定终端设备的凭证属于第二网络，由此第一网络的移动管理设备确定第一网络支持外部凭证或者确定终端设备采用外部凭证。

通过由接入网设备向移动管理设备发送网络标识，从而有助于第一网络的移动管理设备在确定第一网络支持外部凭证或者确定终端设备采用外部凭证，从而在找不到第二网络的第二鉴权设备时，第一网络的移动管理设备会选择第一网络的第一鉴权设备，从而完成终端设备接入到第一网络的接入或者注册过程。

结合第一方面，在第一方面的某些实现方式中，该移动管理设备根据第一信息，选择第一鉴权设备，包括：移动管理设备基于配置信息，选择第一鉴权设备，其中，该配置信息包括一个或多个归属网络标识和/或路由指示。

结合第一方面，在第一方面的某些实现方式中，该移动管理设备基于配置信息，选择第一鉴权设备，包括：当终端设备的归属网络标识和/或路由指示匹配一个或多个归属网络标识和/或路由指示时，移动管理设备选择第一鉴权设备。

当该终端设备的归属网络标识和/或路由指示与第一网络的移动管理设备的配置信息匹配时，则第一网络的移动管理设备会选择第一网络的第一鉴权设备，从而有助于完成终端设备接入到第一网络的接入或者注册过程。

结合第一方面，在第一方面的某些实现中，该配置信息是预配置于该移动管理设备的，或者是该移动管理设备从控制面设备获取的，该控制面设备包括策略控制设备、统一数据管理设备、用户数据库设备、应用功能设备、网络开放设备或者网络存储设备。

结合第一方面，在第一方面的某些实现中，第一鉴权设备为鉴权服务功能设备。

结合第一方面，在第一方面的某些实现中，第二鉴权设备为鉴权服务功能设备。

第二方面，提供了一种通信方法，包括：网络存储设备接收来自移动管理设备的请求信息，请求信息包括终端设备的归属网络标识和/或路由指示，请求信息用于请求发现第二网络的第二鉴权设备，终端设备的凭证属于第二网络，第二网络未部署第二鉴权设备；网络存储设备向移动管理设备发送响应信息，响应信息包括指示未发现第二鉴权设备，和/或，响应信息包括第一鉴权设备的标识信息和/或地址信息，其中，第一鉴权设备、网络存储设备与移动管理设备属于第一网络。

通过上述技术方案，本申请可以实现在终端设备采用第二网络的凭证且第二网络采用鉴权授权计费服务器执行鉴权的情况下，第一网络的移动管理设备会选择第一网络的第一鉴权设备，而不会因为找不到第二网络的第二鉴权设备时，向终端设备发送注册拒绝信息，导致终端设备无法注册或者接入该第一网络，从而使终端设备成功注册或者接入到第一网络中来。

结合第二方面，在第二方面的某些实现方式中，请求信息还包括第一指示信息，第一指示信息指示第一网络支持外部凭证和/或终端设备采用外部凭证。

通过该指示信息，有助于第一网络的网络存储设备确定第一网络支持外部凭证或者确定终端设备采用外部凭证，从而在找不到第二网络的第二鉴权设备时，其向移动管理设备反馈未发现或者反馈第一鉴权设备的标识信息和/或地址信息，如此，有助于第一网络的移动管理设备会选择第一网络的第一鉴权设备，从而完成终端设备接入到第一网络的接入或者注册过程。

结合第二方面，在第二方面的某些实现方式中，在网络存储设备向移动管理设备发送响应信息之前，方法还包括：网络存储功能网元未发现第二鉴权设备。

结合第二方面，在第二方面的某些实现方式中，网络存储设备向移动管理设备发送响应信息，包括：当终端设备的归属网络标识和/或路由指示与配置信息匹配时，确定发送响应信息，配置信息包括一个或多个归属网络标识和/或路由指示；或者，网络存储设备根据第一指示信息，确定发送响应信息；或者，网络存储设备未发现第二鉴权设备，确定发送所述响应信息。

结合第二方面，在第二方面的某些实现方式中，该配置信息是预配置于该网络存储设备中，或者是该网络存储设备从控制面设备获取的，该控制面设备包括移动管理设备、统一数据管理设备、策略控制设备、用户数据库设备、网络开放设备或者应用功能设备。

通过上述所描述的各种方案，有助于第一网络的网络存储设备在未发现第二网络的第二鉴权设备时，其向第一网络的移动管理设备反馈响应信息，有助于第一网络的移动管理设备选择第一网络的第一鉴权设备，从而有助于完成终端设备接入到第一网络的接入或者注册过程。

第三方面，提供了一种通信方法，包括：第三鉴权设备获取第二信息，第二信息指示终端设备执行在线签约；第三鉴权设备根据第二信息确定第四鉴权设备，第四鉴权设备用于执行终端设备的鉴权流程。

本申请通过第三鉴权设备获知终端设备为执行在线签约时，选择网络切片与非公共网络鉴权授权设备或者直接与默认凭证服务器交互，从而实现终端设备成功接入网络执行在线签约，并能够避免因选择数据管理设备，并与数据管理设备交互后，由于数据管理设备没有关于该终端设备的签约数据而无法执行鉴权或者引起错误案例或者异常案例，导致终端设备无法接入网络。

结合第三方面，在第三方面的某些实现方式中，该第二信息是由移动管理设备发送的；或者，该第二信息是由终端设备发送的。

结合第三方面，在第三方面的某些实现方式中，当第二信息是由终端设备发送的，第二信息为终端设备的用户隐藏标识。

通过由终端设备向第三鉴权设备发送第二信息，从而有助于第三鉴权设备获知该终端设备是为了执行在线签约，选择网络切片与非公共网络鉴权授权设备或者直接与默认凭证服务器交互，从而实现终端设备成功接入网络执行在线签约，并能够避免因选择统一数据管理设备，并与统一数据管理设备交互后，由于统一数据管理设备没有关于该终端设备的签约数据而无法执行鉴权或者引起错误案例或者异常案例，导致终端设备无法接入网络。

结合第三方面，在第三方面的某些实现方式中，第四鉴权设备包括以下设备中的一个或多个：网络切片和独立非公共网络鉴权授权设备、默认凭证服务器和鉴权授权计费服务器。

结合第三方面，在第三方面的某些实现方式中，该方法还包括：第三鉴权设备跳过选择统一数据管理设备。

本申请通过第三鉴权设备获知终端设备为执行在线签约时，选择网络切片与非公共网络鉴权授权设备或者直接与默认凭证服务器交互，从而实现终端设备成功接入网络执行在线签约，并能够避免因选择统一数据管理设备，并与统一数据管理设备交互后，由于统一数据管理设备没有关于该终端设备的签约数据而无法执行鉴权或者引起错误案例或者异常案例，导致终端设备无法接入网络。

结合第三方面，在第三方面的某些实现方式中，该方法还包括：第三鉴权设备根据该终端设备的用户隐藏标识，获取终端设备的用户永久标识符。

当第三鉴权设备跳过选择统一数据管理设备，终端设备的用户隐藏标识无法通过统一数据管理设备解密或者恢复成永久标识符。然而，在终端设备的注册流程中，核心网设备(或者控制面设备)之间的信令交互，通常需要包括终端设备的标识信息，该标识信息通常为永久标识符。因此，当第三鉴权设备获知终端设备执行在线签约或者获知终端设备执行注册是为了在线签约时，可以根据用户隐藏标识获取或者恢复永久标识符，确保核心网设备(或者控制面设备)之间的信令交互不受影响。

结合第三方面，在第三方面的某些实现方式中，该方法还包括：第三鉴权设备从该终端设备的用户隐藏标识恢复该终端设备的用户永久标识符。

第四方面，提供了一种通信设备，包括：收发单元，用于获取终端设备的第一信息，该第一信息包括终端设备的归属网络标识和/或路由指示，该第一信息指示移动管理设备选择第二网络的第二鉴权设备，该终端设备的凭证属于第二网络，该第二网络未部署第二鉴权设备；处理单元，用于根据第一信息，选择第一鉴权设备，该第一鉴权设备与该移动管理设备属于第一网络。

结合第四方面，在第四方面的某些实现方式中，处理单元，还用于根据该第一信息，未发现该第二鉴权设备。

结合第四方面，在第四方面的某些实现方式中，处理单元，用于根据配置信息，选择第一鉴权设备，该配置信息指示移动管理设备根据该第一信息未发现第二鉴权设备时选择第一鉴权设备。

结合第四方面，在第四方面的某些实现方式中，收发单元，还用于获取来自终端设备的指示信息，该指示信息指示第一网络支持外部凭证和/或终端设备采用外部凭证；处理单元，用于基于指示信息，选择第一鉴权设备。

结合第四方面，在第四方面的某些实现方式中，请求信息还包括第一指示信息，该第一指示信息指示第一网络支持外部凭证和/或终端设备采用外部凭证。

结合第四方面，在第四方面的某些实现方式中，收发单元，用于向网络存储设备发送请求信息，该请求信息用于请求发现第二鉴权设备，该请求信息包括第一信息；收发单元，用于获取来自网络存储设备的响应信息，该响应信息用于指示未发现第二鉴权设备，和/或，该响应信息包括第一鉴权设备的标识信息和/或地址信息；处理单元，用于基于响应信息，选择第一鉴权设备。

结合第四方面，在第四方面的某些实现方式中，收发单元，还用于获取来自接入网设备的网络标识，该网络标识指示第一网络为非公共网络；处理单元，用于基于第一网络标识与第一信息，选择第一鉴权设备。

结合第四方面，在第四方面的某些实现方式中，处理单元，用于基于配置信息，选择第一鉴权设备，其中，该配置信息包括一个或多个归属网络标识和/或路由指示。

结合第四方面，在第四方面的某些实现方式中，当终端设备的归属网络标识和/或路由指示匹配一个或多个归属网络标识和/或路由指示时，处理单元，用于选择第一鉴权设备。

结合第四方面，在第四方面的某些实现中，该配置信息是预配置于移动管理设备的，或者是移动管理设备从控制面设备获取的，该控制面设备包括策略控制设备、统一数据管理设备、用户数据库设备、应用功能设备、网络开放设备或者网络存储设备。

结合第四方面，在第四方面的某些实现中，第一鉴权设备为鉴权服务功能设备。

结合第四方面，在第四方面的某些实现中，第二鉴权设备为鉴权服务功能设备。

第五方面，提供了一种通信设备，包括：收发单元，用于获取来自移动管理设备的请求信息，请求信息包括终端设备的归属网络标识和/或路由指示，请求信息用于请求发现第二网络的第二鉴权设备，终端设备的凭证属于第二网络，第二网络未部署第二鉴权设备；处理单元，用于向移动管理设备发送响应信息，响应信息包括指示未发现第二鉴权设备，和/或，响应信息包括第一鉴权设备的标识信息和/或地址信息，其中，第一鉴权设备、网络存储设备与移动管理设备属于第一网络。

结合第五方面，在第五方面的某些实现方式中，请求信息包括第一指示信息，第一指示信息指示第一网络支持外部凭证和/或终端设备采用外部凭证。

结合第五方面，在第五方面的某些实现方式中，处理单元，用于未发现第二鉴权设备。

结合第五方面，在第五方面的某些实现方式中，当终端设备的归属网络标识和/或路由指示与配置信息匹配时确定用于发送响应信息，配置信息包括一个或多个归属网络标识和/或路由指示；或者，处理单元用于根据第一指示信息确定发送响应信息；或者，处理单元用于未发现第二鉴权设备确定发送响应信息。

结合第五方面，在第五方面的某些实现方式中，该配置信息是预配置于网络存储设备中，或者是网络存储设备从控制面设备获取的，该控制面设备包括移动管理设备、统一数据管理设备、策略控制设备、用户数据库设备、网络开放设备或者应用功能设备。

第六方面，提供了一种通信设备，包括：收发单元，用于获取第二信息，第二信息指示终端设备执行在线签约；处理单元，用于根据第二信息确定第四鉴权设备，第四鉴权设备用于执行终端设备的鉴权流程。

结合第六方面，在第六方面的某些实现方式中，该第二信息是由移动管理设备发送的；或者，该第二信息是由终端设备发送的。

结合第六方面，在第六方面的某些实现方式中，当第二信息是由终端设备发送的，第二信息为终端设备的用户隐藏标识。

结合第六方面，在第六方面的某些实现方式中，第四鉴权设备包括以下设备中的一个或多个：网络切片和独立非公共网络鉴权授权设备、默认凭证服务器和鉴权授权计费服务器。

结合第六方面，在第六方面的某些实现方式中，该处理单元，还用于跳过选择统一数据管理设备。

结合第六方面，在第六方面的某些实现方式中，该处理单元，还用于根据该终端设备的用户隐藏标识，获取终端设备的用户永久标识符。

结合第六方面，在第六方面的某些实现方式中，该处理单元，还用于从该终端设备的用户隐藏标识恢复该终端设备的用户永久标识符。

第七方面，提供了一种计算机可读存储介质，存储有计算机程序或指令，所述计算机程序或指令用于实现第一方面以及第一方面的任一种可能实现方式中所述的方法，或者，第二方面以及第二方面的任一种可能实现方式中所述的方法；或者，第三方面以及第三方面的任一种可能实现方式中所述的方法中任一项所述的方法。

第八方面，提供了一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行第一方面以及第一方面的任一种可能实现方式中所述的方法，或者，第二方面以及第二方面的任一种可能实现方式中所述的方法；或者，第三方面以及第三方面的任一种可能实现方式中所述的方法中任一项所述的方法。

第九方面，提供了一种通信系统，包括用于执行第一方面以及第一方面的任一种可能实现方法中的移动管理设备，以及用于执行第二方面以及第二方面的任一种可能实现方法中的任意实现方法的网络存储设备。

第十方面，提供了一种通信系统，包括用于执行第一方面以及第一方面的任一种可能实现方法中的移动管理设备，以及用于执行第二方面以及第二方面的任一种可能实现方法中的任意实现方法的网络存储设备，以及用于执行第三方面以及第三方面的任一种可能实现方法中的任意实现方法的第三鉴权设备。

附图说明

图1是一种通信系统的示意图。

图2是一种通信方法的示意流程图。

图3是本申请实施例提供的一种通信方法的示意流程图。

图4是本申请实施例提供的另一种通信方法的示意流程图。

图5是本申请实施例提供的又一种通信方法的示意流程图。

图6是本申请实施例提供的再一种通信方法的示意流程图。

图7是本申请实施例提供的又再一种通信方法的示意流程图。

图8是本申请实施例提供的一种通信设备的示意框图。

图9是本申请实施例提供的另一种通信设备的示意框图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通讯(globalsystem of mobile communication，GSM)系统、码分多址(code division multipleaccess，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(long termevolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobiletelecommunication system，UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access，WiMAX)通信系统、第五代(5th generation，5G)系统或新无线(newradio，NR)、以及未来的其他通信系统等。

本申请实施例中的终端设备可以指用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，5G网络中的终端设备或者公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备等，本申请实施例对此并不限定。

本申请实施例中的网络设备可以是用于与终端设备通信的设备，该网络设备可以是GSM系统或CDMA系统中的基站(base transceiver station，BTS)，也可以是WCDMA系统中的基站(nodeB，NB)，还可以是LTE系统中的演进型基站(evolutional nodeB，eNB或eNodeB)，还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及5G网络中的网络设备、PLMN网络中的网络设备或者非公共网络中的网络设备等，本申请实施例并不限定。

下面将结合附图，对本申请实施例的技术方案进行描述。

图1是一种通信系统的示意图。如图1所示，该网络包括接入和移动性管理功能(access and mobility management function，AMF)、能力开放功能(network exposurefunction，NEF)、网络存储功能(network repository function，NRF)、统一数据管理(unified data management，UDM)、无线接入网(radio access network，RAN)设备、策略控制功能(policy control function，PCF)、用户设备(user equipment，UE)、策略控制功能(policy control function，PCF)、用户面功能(user plane function，UPF)、数据网络(data network，DN)、鉴权服务功能(authentication server function，AUSF)、网络切片选择功能(network slice selection function，NSSF)、AAA服务器(authentication,authorization,and accounting server，AAA Server)以及网络切片和SNPN鉴权授权功能(network slice-specific and SNPN authentication and authorization function，NSSAAF)等等。

应理解，图1仅作为一种示意性的描述图，本申请实施例对网络实际部署的网元(或者设备)的数量和种类不做限制。

需要说明的是，在图1所示的示意图中，该虚线框所框的设备属于第一网络，该虚线框所未选择的设备属于第二网络。第二网络并不同于UE所需要接入的第一网络，其用于对接入第一网络的UE执行安全流程。其中，第一网络可以是公共网络(public land mobilenetwork，PLMN)、非公共网络(non-public network，NPN)，例如SNPN、公共网络集成非公共网络(public network integrated non-public network，PNI-NPN)；第二网络可以是PLMN、NPN。由于UE的凭证是属于第二网络的，因此第二网络也可以称为凭证持有者(credentials holder，CH)。

其中，图1所示的各设备的主要功能描述如下：

UE：可以称终端设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。

此外，UE还可以是物联网(internet of things，IoT)系统中的终端设备。IoT是未来信息技术发展的重要组成部分，其主要技术特点是将物品通过通信技术与网络连接，从而实现人机互连，物物互连的智能化网络。IoT技术可以通过例如窄带(narrow band)NB技术，做到海量连接，深度覆盖，终端省电。

此外，UE还可以包括智能打印机、火车探测器、加油站等传感器，主要功能包括收集数据(部分终端设备)、接收网络设备的控制信息与下行数据，并发送电磁波，向网络设备传输上行数据。

应理解，UE可以是任何可以接入网络的设备。UE与接入网设备之间可以采用某种空口技术相互通信。

无线接入网设备(radio access network，RAN)(亦可称为接入网设备)，对应5G中的不同接入网，如有线接入、无线基站接入等多种方式。本申请中的RAN设备包括但不限于：5G中的下一代基站(gnodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base stationcontroller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，homeevolved nodeB，或home node B，HNB)、基带单元(base band unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等。

统一数据管理(unified data management，UDM)(也可以称为统一数据管理网元、统一数据管理实体、数据管理设备、统一数据管理设备)，是核心网设备的一种，主要用于处理终端设备标识，接入鉴权，注册以及移动性管理等。统一数据管理设备是控制面设备。

策略控制功能(policy control function，PCF)(也可以称为策略控制网元、策略控制功能网元、策略控制设备、策略控制功能实体等)：主要负责针对会话、业务流级别进行计费、服务质量(quality of service，QoS)带宽保障及移动性管理、UE策略决策等策略控制功能。

会话管理功能(session management function，SMF)：主要进行会话管理、PCF下发控制策略的执行、UPF的选择、UE IP地址分配等功能。

接入和移动管理功能(access and mobility management function，AMF)(也可以称为接入与移动性管理功能实体、接入与移动性管理设备、接入与移动性管理网元、接入管理设备、移动管理设备)，是核心网设备的一种，主要用于移动性管理和接入管理等，可以用于实现移动性管理实体(mobility management entity，MME)功能中除会话管理之外的其它功能，例如，合法监听、或接入授权(或鉴权)、用户设备的注册、移动性管理、跟踪区更新流程、可达性检测、会话管理网元的选择、移动状态转换管理等功能。例如，在5G中，接入与移动性管理网元可以是接入与移动性管理功能(access and mobility managementfunction，AMF)网元，在未来通信，如6G中，接入与移动性管理网元仍可以是AMF网元，或有其它的名称，本申请不做限定。当接入与移动性管理网元是AMF网元时，该AMF可以提供Namf服务。

用户面功能(user plane function，UPF)(也可以称为用户面设备、用户面功能网元、用户面网元、用户面功能实体)：主要包括以下功能：数据包路由和传输、包检测、业务用量上报、QoS处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。

鉴权服务功能(authentication server function，AUSF)(也可以称为鉴权服务功能网元、鉴权服务功能实体、鉴权服务设备、鉴权设备)：主要用于用户鉴权、执行认证，即UE与运营商网络之间的认证。鉴权服务功能网元接收到签约用户发起的认证请求之后，可通过统一数据管理网元中存储的认证信息和/或授权信息对签约用户进行认证和/或授权，或者通过统一数据管理网元生成签约用户的认证和/或授权信息。鉴权服务功能网元可向签约用户反馈认证信息和/或授权信息。在一种可能的实现方式中，鉴权服务功能网元也可以与统一数据管理网元合设。在5G通信系统中，鉴权服务功能网元可以是鉴权服务功能(authentication server function，AUSF)网元。在未来的通信系统中，统一数据管理仍可以是AUSF，或者，还可以有其它的名称，本申请实施例不做限定。

网络存储功能(network repository function，NRF)(也可以称为网络存储设备、网络存储功能网元、网络存储功能实体)：主要用于支持服务发现功能。从一个网元功能或服务通信代理(service communication proxy，SCP)收到网元发现请求，并且可以予以反馈该网元发现请求信息。同时，NRF还用于负责维护可用网络功能的信息以及它们各自支持的服务。也可以理解为网络存储设备。其中，发现流程是由需求网元功能(networkfunction，NF)借助NRF实现特定NF或者特定服务寻址的过程，NRF提供相应NF实例或NF服务实例的IP地址或者全限定域名(fully qualified domain name，FQDN)或者统一资源标识符(unified resource identifier，URI)。此外，NRF还可以通过提供网络标识(例如PLMNID)实现跨PLMN的发现流程。为了实现网元功能的寻址发现，各个网元都需要在NRF中进行登记，一些网元功能可在首次运行时在NRF中进行登记。网络存储功能设备可以是核心网设备。

网络开放功能(network exposure function，NEF)(也可以称为网络开放设备、网络开放功能实体、网络开放功能网元、网络能力开放功能实体、网络能力开放功能设备、网络能力开放功能网元、网络能力开放设备等)：主要用于支持能力和事件的开放，如用于安全地向外部开放由3GPP网络功能提供的业务和能力等。

用户数据库(user data repository，UDR)(也可以称为用户数据库实体、用户数据库网元、用户数据库设备等)，它能够针对不同类型的数据如签约数据、策略数据有不同的数据接入鉴权机制，以保证数据接入的安全性。

鉴权授权计费服务器(authentication authorization accounting server，AAAserver)(也可以称为鉴权授权服务器、鉴权授权设备、鉴权设备、鉴权授权计费设备等)，是一个能够处理用户访问请求的服务器程序、提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”。

网络切片和独立非公共网络鉴权授权功能(network slice-specific and SNPNauthentication and authorization function)，主要用于支持与AAA服务器或者AAA代理进行特定网络切片鉴权授权，以及支持采用来自凭证持有者(credentials holder，CH)的凭证接入SNPN，该凭证持有者采用AAA server进行鉴权。

其中，如图1所示，终端设备通过RAN设备接入网络。

终端设备通过N1接口(简称N1)与AMF通信。

RAN通过N2接口(简称N2)与AMF通信。

RAN通过N3接口(简称N3)与UPF通信。

UPF通过N9接口(简称N9)与UPF通信。

UPF通过N6接口(简称N6)分别与DN通信。

此外，图1所示的AMF、SMF、NEF、NRF、PCF或者UDM等控制面功能也可以采用服务化接口进行交互。

例如，AMF对外提供的服务化接口可以为Namf。

NSSF对外提供的服务化接口可以为Nnssf。

UDM对外提供的服务化接口可以为Nudm。

NEF对外提供的服务化接口可以为Nnef。

NRF对外提供的服务化接口可以为Nnrf。

PCF对外提供的服务化接口可以为Npcf。

AF对外提供的服务化接口可以为Naf。

AUSF对外提供的服务化接口可以为Nausf。

NSSAAF对外提供的服务化接口可以为Nnssaaf。

SMF对外提供的服务化接口可以为Nsmf。

应理解，本申请实施例中的RAN、SMF、PCF或者AF也可以称之为通信装置或通信设备，其可以是一个通用设备或者是一个专用设备，本申请对此不作具体限定。

还应理解，上述命名仅为用于区分不同的功能，并不代表这些设备分别为独立的物理设备，本申请对于上述设备的具体形态不作限定，例如，可以集成在同一个物理设备中，也可以分别是不同的物理设备。在实际部署中，网元或者设备可以合设。例如，接入与移动性管理网元可以与会话管理网元合设；会话管理网元可以与用户面网元合设。当两个网元合设的时候，本申请实施例提供的这两个网元之间的交互就成为该合设网元的内部操作或者可以省略。

可以理解的是，上述功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是硬件与软件的结合，或者是平台(例如，云平台)上实例化的虚拟化功能。

需要说明的是，图1的各个设备(比如PCF、AMF等)的命名仅是一个名字，名字对设备本身的功能不构成限定。在5G网络以及未来其它的网络中，上述各个设备也可以是其他的名字，本申请对此不作具体限定。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能是其他命名，等等，在此进行统一说明，以下不再赘述。

需要说明的是，本申请实施例的技术方案适用于5G网络，也同样适用于4G、6G网络，以及未来的通信网络等等。

为了更好的描述本申请实施例的技术方案，下文将对与本申请实施例的技术方案相关的技术术语进行描述。

第一，NPN。

NPN根据核心网(core network，CN)是否独立，包括两种类型：

1)SNPN。该网络不依赖于PLMN网络而存在，是由SNPN的运营商运营。

2)PNI-NPN。该网络依赖于PLMN网络，是由传统运营商运营。换言之，PNI-NPN实则等同于PLMN，只是PLMN会提供特殊的切片和/或数据网络来提供NPN业务，并且并非所有的UE都能获取该NPN业务，只有当UE通过切片鉴权和/或二次鉴权才能获取该NPN业务。

第二，外部鉴权。

外部鉴权是指，在UE接入第一网络之前，由不同于第一网络的凭证持有者(credentials holder，CH)对UE执行安全流程。其中，安全流程可以包括主鉴权、鉴权、授权等流程。应理解，此时UE采用外部凭证(或者称为外部签约)接入第一网络。

CH包括一种架构，该架构采用AAA server对UE执行鉴权。此时，第一网络的核心网设备需要与CH的AAA server交互完成UE的鉴权流程。一种可能的实现方式中，由第一网络的鉴权授权设备与CH的AAA server交互。

图2是一种通信方法的示意流程图。具体内容如图2所示。

S210，RAN接收来自UE的注册请求信息。

应理解，当UE需要注册到网络中时，UE发送注册请求信息，该注册请求信息包括终端设备的标识信息。示例性地，UE的标识信息可以包括以下信息中的一个或多个：全球唯一临时标识(globally unique temporary identity，GUTI)、SUCI和永久设备标识(permanent equipment identifier，PEI)。

S220，RAN执行AMF的选择。

应理解，RAN在接收到来自UE的注册请求信息之后，其会选择合适的AMF，并向该AMF发送UE的注册请求信息。

S230，AMF接收注册请求信息。

S240，AMF执行AUSF的选择。

具体地，AMF选择合适的AUSF以进行鉴权等安全流程。

S250，执行鉴权或者安全流程。

应理解，上述鉴权或者安全流程的执行过程涉及UE、AMF、AUSF以及UDM的交互。

S260，获取UE的签约数据。

UE与核心网网元进行相互鉴权成功之后，AMF可以与UDM进行交互以便获取终端设备的签约数据。

S270，AMF向RAN发送N2信息。

应理解，AMF向RAN发送的N2信息包括非接入层(non access stratum，NAS)信息，该NAS信息包括注册接受信息。

S280，RAN向UE发送注册接受信息。

RAN接收来自AMF发送的注册接受信息之后，其会向UE转发该注册接受信息。从而，UE完成了注册流程。

当终端设备采用第二网络的凭证(亦可以称为外部凭证)接入第一网络，该第一网络可以是支持外部凭证的网络，例如，独立非公共网络(standalone non-public network，SNPN)，即表示，在终端设备接入第一网络的过程中，由不同于第一网络的第二网络，例如，凭证持有者(credentials holder，CH)，执行终端设备的主鉴权或者安全流程。

由于不同的第二网络执行终端设备的主鉴权或者安全流程的设备可以不一，第一网络中与第二网络交互的设备也会不同。为了确保第二网络能对终端设备执行鉴权流程，需要根据第二网络的架构选择相对应的第一网络的设备，否则第一网络会误认为是错误案例(error case)或者异常案例(abnormal case)的通信场景，导致终端设备无法被第二网络执行鉴权。

更具体地说，当第二网络未部署第二鉴权设备场景下，该方案也无法使终端设备被第二网络进行鉴权。

鉴于上述技术问题，本申请提供了一种通信方法，通过该方法，本申请能够使终端设备进行鉴权。

下文将结合图3至图7对本申请提供的通信方法做出描述。

为便于描述本申请实施例的技术方案，本申请实施例以第一网络为SNPN、第二网络为CH或者默认凭证服务器为例，对本申请实施例的技术方案进行描述，但是该描述方式并不能对本申请实施例的技术方案的实际应用范围造成任何的限定作用。

需要说明的是，在本申请实施例中，移动管理设备可以对应于AMF，也可以对应其他类似的用于执行AMF功能的设备，第一鉴权设备和第二鉴权设备可以对应于AUSF，也可以对应其他类似的用于执行AUSF功能的设备，本申请实施例不作具体限定。

图3是本申请提供的一种通信方法的示意流程图。该方法#300的具体内容如图3所示。

S310，移动管理设备获取终端设备的第一信息，第一信息包括终端设备的归属网络标识和/或路由指示，第一信息指示移动管理设备选择第二网络的第二鉴权设备，终端设备的凭证属于第二网络，第二网络未部署第二鉴权设备。

应理解，该归属网络标识用于标识终端设备或者签约用户的归属网络标识或者标识终端设备所属的网络或者域(domain)，例如可以是归属网络标识(home networkidentifier，HNI)。其中，该HNI用于选择鉴权设备或者统一数据管理设备，或者，用于指示该终端设备的凭证属于第二网络，示例性地，该终端设备的凭证属于CH。

应理解，该路由指示用于选择鉴权设备或者统一数据管理设备，例如可以是路由指示(routing indicator，RI)。

作为一种可能的实现方式，该路由指示可以结合归属网络标识将网络信令路由至鉴权设备或者统一数据管理设备。

应理解，终端设备的凭证用于识别终端设备或者验证、授权或者鉴权终端设备，例如可以是凭证(credentials)或者数字证书。

第二鉴权设备用于执行终端设备的安全流程，应理解，该安全流程包括但不限于：主鉴权、主认证、鉴权、认证或授权流程。或者说，第二鉴权设备主要用于用户鉴权、执行认证，即UE与运营商网络之间的认证。第二鉴权设备接收到签约用户发起的认证请求之后，可通过统一数据管理中存储的认证信息和/或授权信息对签约用户进行认证和/或授权，或者通过统一数据管理生成签约用户的认证和/或授权信息。例如，第二鉴权设备可以是第二网络中的AUSF。

作为一种可能的实现方式，第一信息是指终端设备的HNI，或者，第一信息是指终端设备的RI，或者，第一信息是指终端设备的HNI和RI，这可以具体依情况而定，本申请实施例不作具体限定。可选地，该第一信息还可以包括其他的信息。

作为一种可能的实现方式，第一信息可以是指终端设备向接入网设备发送的用户隐藏标识(subscription concealed identifier，SUCI)或者用户永久标识(subscriptionpermanent identifier，SUPI)，该SUCI或者SUPI包括终端设备的HNI和/或RI。

其中，第一信息的具体形式可以有多种，不限于“终端设备的归属网络标识和/或路由指示，第一信息指示移动管理设备选择第二网络的第二鉴权设备”。例如：作为一种可能的实现方式，第一信息可以指示终端设备属于第二网络，或者，指示终端设备的凭证属于第二网络，或者，指示第二网络。移动管理设备在发现和选择鉴权设备时，可以根据第一信息获知需要发现和选择第二网络的第二鉴权设备。

作为一种可能的实现方式，归属网络标识可以是终端设备的SUCI或者永久标识符(subscription permanent identifier，SUPI)包括的归属网络标识或者域名信息；例如，当终端设备的SUPI类型为国际移动用户识别码(international mobile subscriberidentity，IMSI)时，归属网络标识包括移动国家码(mobile country code，MCC)和移动网络码(mobile network code，MNC)；当SUPI类型为网络特定标识(network specificidentifier，NSI)时，SUPI的格式为网络访问标识(network access identifier，NAI)格式，例如SUPI的格式为username@realm；其中，realm部分为域名信息。此时，归属网络标识指示域名信息，例如可以为一个字符串。该域名信息是对应于NAI格式的SUPI中的realm部分。即，作为一种可能的实现方式，归属网络标识为NAI格式的SUPI中的realm部分。作为一种可能的实现方式，该realm部分可以包括MCC、MNC或者网络标识(network identifier，NID)中的一个或多个。应理解，该域名信息为终端设备所属的第二网络的域名信息，或者可以理解为，该域名信息指示终端设备所属的第二网络。

应理解，该移动管理设备获取终端设备的第一信息，可以是以这样的途径获得：终端设备向接入网设备发送注册请求信息，该注册请求信息包括第一信息；接着，接入网设备向移动管理设备转发来自终端设备的注册请求信息，该注册请求信息包括第一信息。应理解，该注册请求信息用于指示该终端设备请求接入第一网络。

应理解，第一信息用于指示移动管理设备选择第二网络的第二鉴权设备。

一种可能的实现方式中，第一信息的归属网络标识指示第二网络，因此其能够指示第一网络的移动管理设备选择第二网络的第二鉴权设备。

应理解，该终端设备的凭证属于第二网络，可以理解为：终端设备的凭证是由第二网络授予或者分配，或者，终端设备的凭证来自于第二网络，或者，由第二网络对终端设备执行鉴权。

一种可能的实现方式中，第一信息包括终端设备的归属网络标识和/或路由指示，该归属网络标识和/或路由指示指示第二网络，因此第一网络的移动管理设备可以获知终端设备的凭证属于第二网络。

还应理解，第二网络没有部署第二鉴权设备，可以理解为该第二网络对应于前述所描述的CH的一种架构，该架构部署了AAA server，但并没有部署第二鉴权设备(或者说，没有部署AUSF)，或者，还可以理解为，第二网络采用AAA server对终端设备执行鉴权，而不是采用AUSF对终端设备执行鉴权。

S320，移动管理设备根据第一信息，选择第一鉴权设备，第一鉴权设备与移动管理设备属于第一网络。

具体而言，移动管理设备在获取了第一信息之后，根据第一信息所包括的终端设备的HNI和/或RI确定第二网络，但由于第二网络并未部署第二鉴权设备，因此，该移动管理设备会选择第一鉴权设备，该第一鉴权设备与该移动管理设备属于第一网络。

应理解，该第二网络可以是前面所述的CH，也可以是其他的网络。第一网络可以是前面所述的SNPN，也可以是其他的网络。

通过上述技术方案，当第二网络并未部署第二鉴权设备时，第一网络的移动管理设备会选择第一网络的第一鉴权设备，第一鉴权设备用于执行或者参与该终端设备的鉴权流程，例如第一鉴权设备可以对密钥进行推衍、转发或者发送可拓展鉴权协议(extensibleauthentication protocol，EAP)信息，从而完成终端设备接入或者注册第一网络的接入或者注册流程。

应理解，第一鉴权设备参与终端设备的鉴权流程，还可以理解为：第一鉴权设备参与该终端设备的鉴权流程的部分流程，并非全部流程。

作为一种可能的实现方式，移动管理设备根据第一信息，未发现第二鉴权设备。

作为一种可能的实现方式，移动管理设备获取配置信息或者配置策略信息，该配置信息或配置策略信息指示当移动管理设备根据第一信息未发现第二鉴权设备时，选择第一鉴权设备。当第二网络有部署第二鉴权设备或者当第二网络采用第二鉴权设备执行鉴权流程时，移动管理设备应根据第一信息选择第二网络的第二鉴权设备以执行终端设备的鉴权流程。移动管理设备根据第一信息，在未发现第二鉴权设备时，选择第一鉴权设备。

作为一种可能的实现方式中，该配置信息或者配置策略可以是预配置于该移动管理设备中，或者移动管理设备可以从控制面设备获取该配置信息或者配置策略。控制面设备可以包括策略控制设备、统一数据管理设备、用户数据库设备、应用功能设备、网络开放设备或者网络存储设备。

作为一种可能的实现方式，移动管理设备根据第一信息未发现第二鉴权设备时，可以获知第二网络是采用AAA server执行鉴权流程，或者，可以获知第二网络不采用第二鉴权设备执行鉴权，因此移动管理设备会选择第一网络的第一鉴权设备执行该终端设备的鉴权流程(或者触发该终端设备的鉴权流程)。

具体而言，移动管理设备在获取终端设备的第一信息之后，基于该第一信息中包括的终端设备的HNI和/或RI，确定了终端设备的凭证所属的第二网络，并寻找第二网络的第二鉴权设备，但由于第二网络并未部署第二鉴权设备，或者，第二网络并未采用第二鉴权设备执行鉴权流程，或者，第二网络采用AAA server执行鉴权流程，因此，移动管理设备根据第一信息，并未发现第二网络的第二鉴权设备。

作为一种可能的实现方式，移动管理设备根据第一信息，选择第一鉴权设备，包括：

S320#a1，移动管理设备还获取来自终端设备的指示信息，该指示信息指示第一网络支持外部凭证和/或终端设备采用外部凭证。

具体地，移动管理设备还可以根据来自终端设备的指示信息，获知第一网络为支持外部凭证的网络和/或终端设备采用外部凭证。当移动管理设备根据第一信息未发现第二鉴权设备时，可以获知第二网络未部署第二鉴权设备，或者，第二网络是采用AAA server执行鉴权，或者，第二网络不采用第二鉴权设备执行鉴权，此时移动管理设备会选择第一鉴权设备执行该终端设备的鉴权流程(或者触发该终端设备的鉴权流程)，避免将终端设备的注册行为误认为错误案例或者非正常案例，而拒绝终端设备的接入或者注册。

S320#b1，移动管理设备基于指示信息，选择第一鉴权设备。

具体地，终端设备还可以向移动管理设备发送指示信息，该指示信息指示终端设备采用外部凭证或者第一网络支持外部凭证。

应理解，终端设备采用外部凭证，可以理解为终端设备的凭证来自第二网络，即终端设备的凭证不是来自第一网络，或者，还可以理解为终端设备的安全流程是由第一网络之外的设备执行的。应理解，该安全流程包括但不限于：主鉴权、主认证、鉴权、认证或授权流程。其中，第一网络之外的设备可以理解为是与第一网络不同网络的设备或者服务器。因此，移动管理设备根据第一信息未发现第二鉴权设备时，基于该指示信息确定该终端设备采用外部凭证和/或第一网络支持外部凭证时，则会选择第一鉴权设备，并由第一鉴权设备来参与终端设备的鉴权流程。

作为一种可能的实现方式，移动管理设备根据第一信息，选择第一鉴权设备，包括：

S320#a2，移动管理设备向网络存储设备发送请求信息，该请求信息用于请求发现第二鉴权设备，该请求信息包括第一信息。

S320#b2，移动管理设备获取来自网络存储设备的响应信息，该响应信息用于指示未发现第二鉴权设备，和/或，该响应信息包括第一鉴权设备的标识信息和/或地址信息。

S320#c2，移动管理设备基于响应信息，选择第一鉴权设备。

可选的，该请求信息还包括第一指示信息，该第一指示信息用于指示第一网络支持外部凭证和/或终端设备采用外部凭证。

具体而言，移动管理设备自获取终端设备的第一信息之后，向网络存储设备发送请求信息，该请求信息用于请求发现第二网络的第二鉴权设备。该请求信息可以是Nnrf_NFDiscovery_Request，该请求信息包括第一信息和网络功能类型。该网络功能类型用于指示移动管理设备需要网络存储设备发现的网络功能类型，例如，当网络功能类型指示鉴权设备或者鉴权功能时，移动管理设备请求网络存储设备发现第二网络的鉴权设备(或者，请求发现AUSF)。

网络存储设备在获取来自移动管理设备的请求信息之后，会向移动管理设备发送响应信息，该响应信息可以包括一个反馈未发现第二鉴权设备的信息，也可以包括第一鉴权设备的标识信息和/或地址信息，或者，该响应信息也可以包括未发现第二鉴权设备的信息和第一鉴权设备的标识信息和/或地址信息。

作为一种可能的实现方式，网络存储设备根据第一信息包括的终端设备的HNI和/或RI，获知需要发现的第二鉴权设备属于第二网络，在未发现第二鉴权设备的情况下，向移动管理设备发送该响应信息。

可选的，网络存储设备根据请求信息获知移动管理设备需要发现第二鉴权设备，并根据第一信息包括的终端设备的HNI和/或RI，获知需要发现的第二鉴权设备是属于第二网络，由此还可以推测或者获知终端设备的凭证属于第二网络，在未发现第二鉴权设备的情况下，向移动管理设备发送该响应信息。

可选的，网络存储设备根据请求信息获知移动管理设备需要发现第二鉴权设备，并根据第一信息中所包括的终端设备的HNI和/或RI，获知需要发现的第二鉴权设备是属于第二网络，由此还可以推测或者获知终端设备的凭证属于第二网络；当请求信息中还包括移动管理设备发送的第一指示信息时，网络存储设备在未发现第二鉴权设备的情况下，还可以推测或者获知第二网络无部署第二鉴权设备，或者，第二网络是采用AAA server执行终端设备鉴权，或者，第二网络不采用第二鉴权设备执行终端设备鉴权，NRF可以选择第一网络的第一鉴权设备，并向移动管理设备发送该响应信息。

移动管理设备在获取来自网络存储设备的响应信息之后，基于该响应信息，选择第一鉴权设备。

作为一种可能的实现方式，移动管理设备根据第一信息，选择第一鉴权设备，包括：

S320#a3，移动管理设备还获取来自接入网设备的网络标识，该网络标识指示第一网络为非公共网络。

S320#b3，移动管理设备基于该第一网络标识与该第一信息，选择第一鉴权设备。

具体而言，移动管理设备获取来自接入网设备的网络标识，示例性地，该网络标识是网络识别码(network identification，NID)，该NID指示该第一网络为SNPN。当移动管理设备根据终端设备的HNI和/或RI，无法找到第二网络的第二鉴权设备时，移动管理设备选择第一网络的第一鉴权设备。

具体的，由于NID指示移动管理设备所属的第一网络为SNPN，且终端设备的HNI和/或RI指示该终端设备凭证所属的第二网络为SNPN之外的网络，因此移动管理设备可以推测或者确定该终端设备采用外部凭证或者确定第一网络支持外部凭证。由此，当移动管理设备发现该HNI和/或RI所指示的第二网络没有部署第二鉴权设备时，移动管理设备可以确定该第二网络未部署第二鉴权设备，或者，第二网络不采用第二鉴权设备执行终端设备的主鉴权或者安全流程，或者，第二网络采用AAA Server执行终端设备的主鉴权或者安全流程，因此移动管理设备会选择第一网络的第一鉴权设备。

作为一种可能的实现方式，移动管理设备根据第一信息，选择第一鉴权设备，包括：

S320#a4，移动管理设备基于配置信息，选择第一鉴权设备。

应理解，移动管理设备能够基于配置信息选择第一鉴权设备，该配置信息包括一个或多个HNI和/或RI。示例性地，该配置信息包括的一个或多个HNI和/或RI用于指示除第一网络之外的采用AAA server执行鉴权的一个或多个网络，因此，当移动管理设备获取的终端设备的HNI和/或RI属于或者匹配该配置信息中的一个或多个HNI和/或RI时，则移动管理设备基于该配置信息选择第一网络的第一鉴权设备。

更具体地说，当终端设备的HNI和/或RI属于或者匹配该一个或多个HNI和/或RI时，移动管理设备会选择第一网络的第一鉴权设备。

作为一种可能的实现方式，该配置信息可以预配置于移动管理设备，或者，移动管理设备可以从控制面设备获取该配置信息；控制面设备可以包括策略控制设备、统一数据管理设备、用户数据库设备、应用功能设备、网络开放设备或者网络存储设备。

通过上述技术方案，本申请可以实现，在终端设备采用外部凭证且第二网络采用AAA server执行鉴权的情况下，第一网络的移动管理设备会选择第一网络的第一鉴权设备，而不会因为找不到第二网络的第二鉴权设备时，向终端设备发送注册拒绝信息，导致终端设备无法注册或者接入该第一网络，从而使终端设备成功注册或者接入第一网络。

更具体地说，当UE采用外部凭证接入第一网络，且CH采用AAA Server执行鉴权时，若第一网络的移动管理设备采用上述的注册方法执行第二鉴权设备的选择时，会出现无法通过网络存储设备发现第二鉴权设备。由于UE的SUCI中的HNI和/或RI指示的是第二网络，而第二网络采用AAA Server执行鉴权而不是采用第二鉴权设备执行鉴权(例如当第二网络部署AAA server执行鉴权而没有部署第二鉴权设备执行鉴权)，因此网络存储设备并没有关于该第二网络的第二鉴权设备信息，或者第一网络的网络存储设备没法通过第二网络的网络存储设备发现第二网络的第二鉴权设备。因此第一网络的移动管理设备不能通过UE的SUCI的HNI进行第二鉴权设备的发现与选择。此时，网络存储设备会向第一网络的移动管理设备发送查询失败(failure)或者无发现(404not found)等反馈信息。第一网络的移动管理设备在收到反馈信息之后，会向UE发送注册请求拒绝信息，导致UE无法注册到第一网络中。

因此，通过上述技术方案，当第一网络的移动管理设备在没有发现第二网络的第二鉴权设备的情况下，会选择第一网络的第一鉴权设备，从而使终端设备成功注册或者接入第一网络，避免将终端设备的正常注册行为视为错误案例而予以拒绝终端设备的接入或者注册。

应理解，上述的图3描述了本申请实施例提供的一种通信方法的整体流程，下文将结合图4至7对本申请实施例提供的一种通信方法在具体应用场景下的应用进行进一步的描述。

图4是本申请提供的另一种通信方法的示意流程图。该方法#400的具体内容如图4所示。

S401-S402，同S310-S320，在此不再赘述。

S403，移动管理设备向第一鉴权设备发送鉴权请求信息。

应理解，移动管理设备向第一鉴权设备发送鉴权请求信息之后，便发起了鉴权/安全流程。

S404，第一鉴权设备向统一数据管理设备发送鉴权获取请求信息。

具体地，第一鉴权设备向统一数据管理设备发送终端设备的鉴权获取请求信息(例如Nudm_UEAU_Get Request)，该请求信息包括终端设备的SUCI。

统一数据管理设备根据该SUCI获取终端设备的SUPI(例如将SUCI解密后获取SUPI)，随后数据管理设备查询适用于该SUPI的鉴权方法。统一数据管理设备根据签约数据或者根据网络接入标识(network access identifier，NAI)格式的SUPI中的realm部分(即可以理解为域名部分)，确定采用外部的实体执行主鉴权。

一种可能的实现方式，当统一数据管理设备无法获取终端设备的签约数据(例如终端设备并非为执行外部鉴权的终端设备，可能是第一网络之外的网络的终端设备，且该网络没有与该第一网络签署漫游协议，因此第一网络中的移动管理设备无法发现终端设备所属的第二网络的第二鉴权设备)，此时统一数据管理设备还可以确定终端设备执行鉴权失败；或者统一数据管理设备获知终端设备并非执行外部鉴权或者或者终端设备对应的第二网络并非为采用AAA server执行鉴权时，统一数据管理设备还可以确定终端设备执行鉴权失败。

S405，统一数据管理设备向第一鉴权设备发送鉴权获取响应信息。

具体地，统一数据管理设备能根据SUCI获取SUPI，则统一数据管理设备向第一鉴权设备发送终端设备的鉴权获取响应信息(例如Nudm_UEAU_Get Response)，该信息包括SUPI，并指示第一鉴权设备为外部鉴权，即采用外部实体(或者外部CH)执行主鉴权。若统一数据管理设备无法根据SUCI获取SUPI或者统一数据管理设备获知UE无法鉴权成功，统一数据管理设备向第一鉴权设备指示UE执行鉴权失败。

S406，第一鉴权设备向鉴权授权设备发送AAA互操作鉴权请求信息。

具体地，若统一数据管理设备向第一鉴权设备发送了终端设备的SUPI或者SUPI中的realm部分(即域名信息)，以及该指示信息，则第一鉴权设备根据统一数据管理设备的指示信息，选择鉴权授权设备(例如可以是NSSAAF)，并向该鉴权授权设备发送AAA互操作鉴权请求信息(例如Nnssaaf_AAA interworking_Authentication Request)，该信息包括终端设备的SUPI或者SUPI中的realm部分(即域名信息)。

S407，鉴权授权设备向AAA server发送EAP请求信息。

具体地，若鉴权授权设备在步骤S406中接收终端设备的SUPI，则鉴权授权设备基于终端设备的SUPI中realm部分相对应的域名信息选择AAA server，并向该AAA server发送EAP请求信息(例如EAP request)。若鉴权授权设备在步骤S406中接收终端设备的SUPI中的realm部分(即域名信息)，则鉴权授权设备基于该realm部分相对应的域名信息选择AAAserver。

S408，AAA Server执行EAP鉴权流程。

应理解，该流程涉及终端设备、移动管理设备、第一鉴权设备、鉴权授权设备和AAAserver。

可选的，该EAP鉴权流程可以理解为是终端设备与AAA server之间执行EAP鉴权，AAA server作为EAP server，终端设备作为EAP client；移动管理设备、第一鉴权设备、鉴权授权设备用于转发终端设备与AAA server之间的EAP信息。

S409，AAA server向鉴权授权设备发送EAP响应信息。

当终端设备的鉴权成功后，AAA server向鉴权授权设备发送EAP响应信息(例如EAP-response)，该响应信息包括EAP成功的信息(EAP success)和主会话密钥(mastersession key，MSK)。

S410，鉴权授权设备向第一鉴权设备发送AAA互操作鉴权响应信息。

应理解，该AAA互操作鉴权响应信息(例如Nnssaaf_AAA interworking_Authentication Responset)包括EAP success和MSK。

S411，第一鉴权设备进行密钥推衍。

具体地，第一鉴权设备根据MSK进行密钥推衍。

S412，第一鉴权设备向移动管理设备发送鉴权响应信息。

应理解，该响应信息可以是Nausf_UEAU_Authenticate Response，该响应信息包括EAP成功信息、推衍后的密钥和SUPI。

若步骤S405中，第一鉴权设备收到来自统一数据管理设备的鉴权失败的信息，则第一鉴权设备跳过步骤S406至S411，直接向移动管理设备发送鉴权失败的信息。

S413，移动管理设备向终端设备发送EAP成功信息。

应理解，该EAP成功信息可以通过非接入层信息(non access stratum，NAS)发送。

应理解，该NAS信息中包括EAP成功信息。

应理解，若步骤S412中，移动管理设备收到第一鉴权设备发送的鉴权失败的信息，则移动管理设备可以不发送该EAP成功信息，也可以向终端设备发送鉴权失败的信息或者注册拒绝信息。

S414，移动管理设备向终端设备发送反馈信息。

具体地，若UE鉴权成功，移动管理设备向UE发送注册接受信息；若UE鉴权失败，移动管理设备向UE发送注册拒绝信息。

应理解，步骤S413和步骤S414可以通过同一消息发送，也可以通过不同消息发送。

通过上述技术方案，当第一网络的移动管理设备在没有发现第二网络的第二鉴权设备的情况下会选择第一网络的第一鉴权设备，从而使终端设备成功注册或者接入到第一网络中，避免将终端设备的正常注册行为视为错误案例而予以拒绝终端设备的接入或者注册。

图5是本申请提供的又一种通信方法的示意流程图。该方法#500的具体内容如图5所示。

S510，同前述步骤S310，在此不再赘述。

S520，移动管理设备向网络存储设备发送请求信息，该请求信息包括终端设备的HNI和/或RI，该请求信息用于请求发现第二网络的第二鉴权设备，终端设备的凭证属于第二网络，第二网络未部署第二鉴权设备。

相应地，网络存储设备接收来自移动管理设备的请求信息。

作为一种可能的实现方式，该请求信息还包括第一指示信息，该第一指示信息用于指示第一网络支持外部凭证和/或终端设备采用外部凭证。

具体而言，移动管理设备自获取终端设备的第一信息之后，其向网络存储设备发送请求信息，该请求信息用于请求发现第二网络的第二鉴权设备。该请求信息可以是Nnrf_NFDiscovery_Request，该请求信息包括终端设备的HNI和/或RI，以及网络功能类型。该网络功能类型用于指示移动管理设备需要网络存储设备发现的网络功能类型。例如，该网络功能类型指示鉴权设备时，该请求信息指示用于请求发现第二网络的第二鉴权设备。

S530，网络存储设备向移动管理设备发送响应信息，该响应信息包括指示未发现第二鉴权设备，和/或，该响应信息包括第一鉴权设备的标识信息和/或地址信息。

应理解，第一鉴权设备、网络存储设备与移动管理设备属于第一网络。

应理解，网络存储设备在获取来自移动管理设备的请求信息之后，会向移动管理设备发送响应信息，该响应信息可以包括未发现第二鉴权设备的信息，也可以包括一个携带第一鉴权设备的标识信息和/或地址信息的信息，或者，该响应信息也可以包括未发现第二鉴权设备和第一鉴权设备的标识信息和/或地址信息的信息。

作为一种可能的实现方式，网络存储设备向移动管理设备发送响应信息之前，网络存储设备未发现第二鉴权设备。

具体而言，网络存储设备根据HNI和/或RI，确定需要发现的第二鉴权设备属于第二网络，在未发现第二网络的第二鉴权设备的情况下，向移动管理设备发送响应信息。继而，移动管理设备在获取来自网络存储设备的响应信息之后，基于该响应信息，选择第一鉴权设备。

作为一种可能的实现方式，网络存储设备向移动管理设备发送响应信息，包括：

当终端设备的HNI和/或RI与配置信息匹配时，发送响应信息，该配置信息包括一个或多个HNI和/或RI。

示例性地，该配置信息包括的一个或多个HNI和/或RI用于指示除第一网络之外的采用AAA server执行鉴权或者不采用第二鉴权设备执行鉴权的一个或多个网络，因此，当移动管理设备获取的终端设备的HNI和/或RI属于或者匹配该配置信息中的一个或多个HNI和/或RI时，网络存储设备基于该配置信息，发送响应信息。

更具体地说，当终端设备的归属网络标识和/或路由指示属于或者匹配该一个或多个归属网络标识和/或路由指示时，网络存储设备基于该配置信息，向移动管理设备发送响应信息。

作为一种可能的实现方式，该配置信息可以预配置于网络存储设备中，或者网络存储设备可以从控制面设备获取该配置信息。控制面设备包括移动管理设备、策略控制设备、统一数据管理设备、用户数据库设备、网络开放设备或者应用功能设备。

作为一种可能的实现方式，网络存储设备向移动管理设备发送响应信息，包括：

网络存储设备根据第一指示信息，发送响应信息。

具体地，网络存储设备基于该第一指示信息，确定移动管理设备所属的第一网络为SNPN，或者确定终端设备采用外部凭证，或者确定移动管理设备请求发现的第二鉴权设备是用于执行外部鉴权，当网络存储设备未发现或者无法发现终端设备的HNI和/或RI对应的第二网络的第二鉴权设备时，网络存储设备向移动管理设备发送该响应信息。

作为一种可能的实现方式，网络存储设备向移动管理设备发送响应信息，包括：

网络存储设备未发现第二鉴权设备，发送响应信息。

具体地，当网络存储设备未发现或者无法发现终端设备的HNI和/或RI对应的第二网络的第二鉴权设备时，网络存储设备向移动管理设备发送该响应信息。

通过上述技术方案，当第一网络的移动管理设备在没有发现第二网络的第二鉴权设备的情况下会选择第一网络的第一鉴权设备，从而使终端设备成功注册或者接入到第一网络中，避免将终端设备的正常注册行为视为错误案例而予以拒绝终端设备的接入或者注册。

应理解，上述的图5描述了本申请实施例提供的另一种通信方法的整体流程，下文将结合图6对本申请实施例图5所提供的通信方法在具体应用场景下的应用进行描述。

图6是本申请提供的再一种通信方法的示意流程图。该方法#600的具体内容如图6所示。

S601-S603，同前述步骤S510-530，在此不再赘述。

S604，移动管理设备选择第一鉴权设备。

具体而言，移动管理设备获取终端设备的第一信息之后，向网络存储设备发送请求信息，该请求信息用于请求发现第二网络的第二鉴权设备。该请求信息可以是Nnrf_NFDiscovery_Request，该信息包括第一信息和网络功能类型。该网络功能类型用于指示移动管理设备需要网络存储设备发现的网络功能类型，例如，当网络功能类型指示鉴权设备时，移动管理设备请求网络存储设备发现第二网络的鉴权设备(或者，请求发现AUSF)。

网络存储设备获取来自移动管理设备的请求信息之后，向移动管理设备发送响应信息，该响应信息可以包括未发现第二鉴权设备的信息，也可以包括第一鉴权设备的标识信息和/或地址信息，或者，该响应信息也可以包括未发现第二鉴权设备的信息和第一鉴权设备的标识信息和/或地址信息。

作为一种可能的实现方式，网络存储设备根据第一信息中所包括的终端设备的HNI和/或RI，获知需要发现的第二鉴权设备属于第二网络，在未发现第二鉴权设备的情况下，向移动管理设备发送该响应信息。

可选的，网络存储设备根据请求信息获知移动管理设备需要发现第二鉴权设备，并根据第一信息中所包括的终端设备的HNI和/或RI，获知需要发现的第二鉴权设备是属于第二网络，由此还可以推测或者获知终端设备的凭证属于第二网络，在未发现第二鉴权设备的情况下，向移动管理设备发送该响应信息。

可选的，网络存储设备根据请求信息获知移动管理设备需要发现第二鉴权设备，并根据第一信息中所包括的终端设备的HNI和/或RI，或者需要发现的第二鉴权设备是属于第二网络，由此还可以推测或者获知终端设备的凭证属于第二网络；当请求信息中还包括移动管理设备发送的第一指示信息时，网络存储设备在未发现第二鉴权设备的情况下，还可以推测或者获知第二网络无部署第二鉴权设备，或者，第二网络不采用第二鉴权设备执行终端设备鉴权，或者，第二网络是采用AAA server执行终端设备鉴权，网络存储设备可以选择第一网络的第一鉴权设备，并向移动管理设备发送该响应信息。

移动管理设备获取来自网络存储设备的响应信息之后，基于该响应信息，选择第一鉴权设备。

S605-616，同前述步骤S403-S414，在此不再赘述。

通过上述技术方案，本申请可以实现在终端设备采用外部凭证，且第二网络并未部署第二鉴权设备，或者，第二网络不采用第二鉴权设备执行终端设备鉴权，或者，第二网络采用AAA server执行终端设备鉴权时，网络存储设备使能移动管理设备选择第一网络的第一鉴权设备，而不会因为未发现或者无法发现第二网络的第二鉴权设备时，向移动管理设备发送失败或者错误指示信息，导致移动管理设备向该终端设备发送注册拒绝信息，致使该终端设备无法注册或接入该第一网络。

图7是本申请提供的又再一种通信方法的示意流程图。该方法#700的具体内容如图7所示。

S701，终端设备向接入网设备发送注册请求信息。

该注册请求信息包括接入网(access network，AN)参数和NAS注册请求信息。其中，该AN参数包括在线签约指示(onboarding indication)。该NAS注册请求信息中指示的注册类型为SNPN在线签约(SNPN onboarding)。

S702，接入网设备选择移动管理设备。

具体地，接入网设备根据该在线签约指示选择支持在线签约功能的移动管理设备。

S703，接入网设备向移动管理设备发送注册请求信息。

具体地，当接入网设备基于该在线签约指示信息选择好移动管理设备之后，接入网设备向其选择的移动管理设备转发NAS注册请求信息。

S704，移动管理设备向第三鉴权设备发送鉴权请求信息。

应理解，第三鉴权设备可以与前述的第一鉴权设备类似，可以对应于AUSF，也可以对应其他类似的用于执行AUSF功能的设备，本申请实施例不作具体限定。

对应的，第三鉴权设备接收来自移动管理设备的鉴权请求信息。

具体地，移动管理设备根据NAS注册请求信息中的注册类型为独立非公共网络在线签约(SNPN Onboarding)类型，确定终端设备注册该SNPN是为了执行在线签约。移动管理设备根据在线签约的配置信息(或者称为配置数据或配置策略)，选择合适的第三鉴权设备，并向该第一鉴权设备发送鉴权请求信息，该信息包括终端设备的SUCI。

作为一种可能的实现方式，该配置信息是预配置于该移动管理设备的，或者该配置信息是该移动管理设备从控制面设备获取的。控制面设备包括策略控制设备、统一数据管理设备、用户数据库设备、网络存储设备、应用功能设备或者网络开放设备。

应理解，该鉴权请求信息还包括第二信息，该第二信息用于指示该终端设备为执行在线签约，或者该第二信息指示该终端设备执行注册是为了在线签约。

作为一种可能的实现方式，第二信息可以是指示信息或者终端设备的SUCI或者SUPI。

作为一种可能的实现方式，该终端设备的SUCI或者SUPI的类型可以指示终端设备执行在线签约或者指示终端设备注册是为了在线签约。

作为一种可能的实现方式，该鉴权请求信息所包括的第二信息可以是由移动管理设备发送给第三鉴权设备(或者可以理解为第二信息是来自移动管理设备)，或者，是来自终端设备的，其用于指示终端设备为执行在线签约或者指示终端设备执行注册是为了在线签约。

作为一种可能的实现方式，当第二信息是由移动管理设备发送或者是来自移动管理设备时，第二信息可以是由移动管理设备生产的。

在一种可能的实现方式中，该请求信息为Nausf_UEAU_Authenticate Request。

S705，第三鉴权设备根据第二信息确定第四鉴权设备。

具体地，第三鉴权设备基于移动管理设备发送的鉴权请求信息中的第二信息确定终端设备为执行在线签约，并基于该第二信息确定第四鉴权设备。

第四鉴权设备用于执行终端设备的安全流程，应理解，该安全流程包括但不限于：主鉴权、主认证、鉴权、认证或授权流程。作为一种可能的实现方式，该第四鉴权设备能够用于执行EAP鉴权，例如，第四鉴权设备作为EAP服务器，对EAP客户端进行鉴权。

作为一种可能的实现方式，当第二信息是由移动管理设备发送或者来自移动管理设备时，该第二信息可以是指示信息，用于指示终端设备是执行在线签约或者指示终端设备执行注册是为了在线签约。

作为一种可能的实现方式，当第二信息是来自终端设备时，第二信息可以是终端设备的SUCI或者SUPI。

可选的，终端设备的SUPI或者SUCI中的域名信息(或者realm部分或者归属网络标识和/或路由指示)指示默认凭证域名，或者，指示终端设备执行在线签约，或者，指示终端设备执行注册是为了在线签约。

作为一种可能的实现方式，第三鉴权设备根据配置信息和第二信息，确定终端设备为执行在线签约或者确定终端设备执行注册是为了在线签约。

一种可能的实现方式中，该配置信息包括一个或多个域名信息，该一个或多个域名信息指示一个或多个默认凭证域名。当第二信息属于或者匹配该配置信息时，第二信息可以用于指示终端设备执行在线签约或者指示终端设备执行注册是为了在线签约。

应理解，第二信息属于或者匹配该配置信息可以理解为第二信息属于或者该一个或多个域名信息。

作为一种可能的实现方式，该域名信息包括归属网络标识、路由指示、MCC、MNC、NID中的一个或多个。

作为一种可能的实现方式，该配置信息可以预配置于该第三鉴权设备中，也可以是该第三鉴权设备从控制面设备获取的。该控制面设备包括移动管理设备、策略控制设备、统一数据管理设备、用户数据库设备、应用功能设备、网络开放设备。

作为一种可能的实现方式，第三鉴权设备还可以根据终端设备的SUCI获取SUPI。

应理解，第三鉴权设备根据SUCI获取SUPI可以理解为第三鉴权设备从SUCI恢复SUPI，或者可以理解为第三鉴权设备将SUCI解密为SUPI。

当第三鉴权设备跳过选择统一数据管理设备，终端设备的SUCI无法通过统一数据管理设备解密或者恢复成SUPI。然而，在终端设备的注册流程中，核心网设备(或者控制面设备)之间的信令交互，通常需要包括终端设备的标识信息，该标识信息通常为SUPI。因此，当第三鉴权设备获知终端设备执行在线签约或者获知终端设备执行注册是为了在线签约时，可以根据SUCI获取或者恢复SUPI，确保核心网设备(或者控制面设备)之间的信令交互不受影响。

作为一种可能的实现方式，该第四鉴权设备包括网络切片和独立非公共网络鉴权授权设备和默认凭证服务器(default credentials server，DCS)。

可选地，该DCS是鉴权授权计费服务器。

当第四鉴权设备为网络切片和非公共网络鉴权授权设备时，该方法包括如下：

S706，第三鉴权设备向第四鉴权设备发送AAA互操作鉴权请求信息。

应理解，第三鉴权设备根据该第二信息确定第四鉴权设备。

具体地，第三鉴权设备在确定终端设备为执行在线签约之后，其根据第二信息确定第四鉴权设备，该第四鉴权设备用于执行终端设备的鉴权流程。

作为一种可能的实现方式，第一鉴权设备跳过选择统一数据管理设备。

具体地，第三鉴权设备根据第二信息获知该终端设备为执行在线签约，或者获知该终端设备执行注册是为了在线签约，第三鉴权设备无需选择统一数据管理设备或者跳过选择统一数据管理设备。

应理解，若网络切片和非公共网络鉴权授权设备与DCS交互，则第三鉴权设备向网络切片和非公共网络鉴权授权设备发送鉴权请求信息，该信息包括终端设备的标识信息，如终端设备的SUCI、SUPI或者EAP标识中的一个或多个。若终端设备的标识信息包括SUPI，则第一鉴权设备在向网络切片和非公共网络鉴权授权设备发送请求信息之前，还可以根据终端设备的SUCI获取SUPI。

应理解，第三鉴权设备根据SUCI获取SUPI可以理解为第三鉴权设备从SUCI恢复SUPI，或者可以理解为第三鉴权设备将SUCI解密为SUPI。

应理解，若终端设备的标识信息包括EAP标识，则第三鉴权设备还可以向网络切片和非公共独立网络鉴权授权设备发送域名信息。该域名信息可以来自终端设备的SUCI或者SUPI中的realm部分(可以理解为归属网络标识或者HNI)，从而可以使得网络切片和非公共网络鉴权授权设备获知需要与哪一个域或者哪一个网络中的DCS交互。

S707，网络切片和非公共网络鉴权授权设备向DCS发送EAP请求信息。

作为一种可能的实现方式，网络切片和非公共网络鉴权授权设备根据第三鉴权设备发送的域名信息选择DCS。网络切片和非公共网络鉴权授权设备向DCS发送EAP请求信息(EAP request)，该信息包括EAP开始(EAP start)和EAP标识(EAP identity)。

S708，DCS执行EAP鉴权流程。

应理解，该流程涉及终端设备、移动管理设备、第三鉴权设备、网络切片和非公共网络鉴权授权设备和DCS之间的交互。

可选的，网络切片和非公共网络鉴权授权设备进行EAP信息的转发。

S709，DCS向网络切片和非公共网络鉴权授权设备发送EAP响应信息(EAPresponse)。

当终端设备鉴权成功之后，DCS向网络切片和非公共网络鉴权授权设备发送EAP响应信息(例如EAP-response)，该响应信息包括EAP成功信息(EAP success)。

可选的，该响应信息还可以包括主会话密钥(master session key，MSK)。

S710，网络切片和非公共网络鉴权授权设备向第三鉴权设备发送AAA互操作鉴权响应信息。

应理解，该AAA互操作鉴权响应信息包括EAP成功信息。

可选的，该AAA互操作鉴权响应信息还可以包括MSK。

可选地，S711，第三鉴权设备进行密钥推衍。

具体地，当第三鉴权设备有接收MSK时，第三鉴权设备根据MSK进行密钥推衍。

S712，第三鉴权设备向移动管理设备发送鉴权响应信息。

应理解，该响应信息包括EAP成功和UE的标识信息(标识信息可以是SUCI或SUPI)。

可选的，该响应信息还可以包括推衍密钥。

作为一种可能的实现方式，该响应信息为Nausf_UEAU_Authenticate Response。

S713，移动管理设备向终端设备发送EAP成功信息。

作为一种可能的实现方式，该EAP成功信息是通过NAS信息发送的。

应理解，该NAS信息包括EAP成功信息。

S714，移动管理设备向终端设备发送反馈信息。

具体地，若UE鉴权成功，移动管理设备向UE发送注册接受信息；若UE鉴权失败，则移动管理设备向UE发送注册拒绝信息。

应理解，上述的技术方案是针对第四鉴权设备为网络切片和非公共网络鉴权授权设备的，当第四鉴权设备是DCS时，该方法包括如下：

S706#a，第三鉴权设备向DCS发送EAP请求信息。

具体地，若第四鉴权设备是DCS，则第三鉴权设备向DCS发送EAP请求信息(例如EAPrequest)，该请求信息包括EAP开始和EAP标识。

S707#a，DCS执行EAP鉴权流程。

应理解，该流程涉及终端设备、移动管理设备、第三鉴权设备和DCS之间的交互。

S708#a，DCS向第三鉴权设备发送EAP响应信息。

具体地，DCS向鉴权授权设备发送EAP响应消息(EAP response)，该信息包括EAP成功。

可选的，该信息还可以包括MSK。

可选地，S709#a，第三鉴权设备进行秘钥推衍。

具体地，当第三鉴权设备有接收MSK时，第三鉴权设备根据MSK进行密钥推衍。

S710#a，第三鉴权设备向移动管理设备发送鉴权响应信息。

应理解，该响应信息包括EAP成功和UE的标识信息(标识信息可以是SUCI或SUPI)。

可选的，该响应信息还可以包括推衍密钥。

作为一种可能的实现方式，该响应信息为Nausf_UEAU_Authenticate Response。

S711#a，移动管理设备向终端设备发送EAP成功信息。

作为一种可能的实现方式，该EAP成功信息是通过NAS信息发送的。

应理解，该NAS信息包括EAP成功信息。

S712#a，移动管理设备向终端设备发送反馈信息。

具体地，若UE鉴权成功，移动管理设备向UE发送注册接受信息；若UE鉴权失败，则移动管理设备向UE发送注册拒绝信息。

本申请通过第三鉴权设备获知终端设备为执行在线签约或者获知终端设备注册是为了在线签约时，选择第四鉴权设备，并由第四鉴权设备执行该终端设备的鉴权流程，从而实现终端设备成功接入到网络中来，并能够避免因选择统一数据管理设备，并与统一数据管理设备交互后，由于统一数据管理设备没有关于该终端设备的签约数据而无法执行鉴权或者引起错误案例或者异常案例，导致终端设备无法接入网络。

应理解，本申请实施例中的信息还可以理解为消息，例如EAP请求信息可以理解为EAP请求消息，响应信息可以理解为响应消息，NAS信息可以理解为NAS消息，等等。

图8是本申请提供的通信设备800的示意性框图。如图所示，该通信设备800可以包括：收发单元810和处理单元820。

在一种可能的设计中，该通信设备800可以是上文方法实施例中的移动管理设备，也可以是用于实现上文方法实施例中移动管理设备的功能的芯片。

应理解，该通信设备800可对应于根据本申请实施例中的移动管理设备，该通信设备800可以包括用于执行图3至图7中的移动管理设备执行的方法的单元。并且，该通信设备800中的各单元和上述其他操作和/或功能分别为了实现图3至图7中的相应流程。

作为一种示例性描述，该通信设备800能够实现前述方法实施例中的S310、S320和S330和S340中涉及移动管理设备有关的动作、步骤或者方法，也能够实现前述方法实施例中的S510、S520、S530中涉及移动管理设备有关的动作、步骤或者方法。

应理解，上述内容仅作为示例性理解，该通信设备800还能够实现上述方法实施例中的其他与移动管理设备相关的步骤、动作或者方法，在此不再赘述。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信设备800可以是上文方法实施例中的网络存储设备，也可以是用于实现上文方法实施例中网络存储设备的功能的芯片。

应理解，该通信设备800可对应于根据本申请实施例中的网络存储设备，该通信设备800可以包括用于执行图3至图8中网络存储设备执行的方法的单元。并且，该通信设备800中的各单元和上述其他操作和/或功能分别为了实现图3至图7中的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

应理解，上述内容仅作为示例性理解，该通信设备800还能够实现上述方法实施例中的其他与网络存储设备相关的步骤、动作或者方法，在此不再赘述。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

应理解，上述内容仅作为示例性理解，该通信设备800还能够实现上述方法实施例中的其他与第一鉴权设备相关的步骤、动作或者方法，在此不再赘述。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

应理解，上述内容仅作为示例性理解，该通信设备800还能够实现上述方法实施例中的其他与第二鉴权设备相关的步骤、动作或者方法，在此不再赘述。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

应理解，上述内容仅作为示例性理解，该通信设备800还能够实现上述方法实施例中的其他与第三鉴权设备相关的步骤、动作或者方法，在此不再赘述。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

应理解，上述内容仅作为示例性理解，该通信设备800还能够实现上述方法实施例中的其他与第四鉴权设备相关的步骤、动作或者方法，在此不再赘述。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，该通信设备800中的收发单元810可对应于图9中示出的通信设备900中的收发器920，该通信设备800中的处理单元820可对应于图9中示出的通信设备900中的处理器910。

还应理解，当该通信设备800为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

收发单元810用于实现通信设备800的信号的收发操作，处理单元820用于实现通信设备800的信号的处理操作。

可选地，该通信设备800还包括存储单元830，该存储单元830用于存储指令。

图9是本申请实施例提供的通信设备900的示意性框图。如图所示，该通信设备900包括：至少一个处理器910和收发器920。该处理器910与存储器耦合，用于执行存储器中存储的指令，以控制收发器920发送信号和/或接收信号。可选地，该通信设备900还包括存储器930，用于存储指令。

应理解，上述处理器910和存储器930可以合成一个处理装置，处理器910用于执行存储器930中存储的程序代码来实现上述功能。具体实现时，该存储器930也可以集成在处理器910中，或者独立于处理器910。

还应理解，收发器920可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器920还可以进一步包括天线，天线的数量可以为一个或多个。收发器920有可以是通信接口或者接口电路。

当该通信设备900为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。本申请实施例还提供了一种处理装置，包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(applicationspecific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(networkprocessor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logicdevice，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由移动管理设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由移动管理设备执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由网络存储设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由网络存储设备执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由第一鉴权设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由第一鉴权设备执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由第二鉴权设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由第二鉴权设备执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由第三鉴权设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由第三鉴权设备执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由第四鉴权设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由第四鉴权设备执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由移动管理设备执行的方法，或由网络存储设备执行的方法，或由第一鉴权设备执行的方法，或由第二鉴权设备执行的方法，或由第三鉴权设备执行的方法，或由第四鉴权设备执行的方法。

本申请实施例提供了一种通信系统，包括移动管理设备，其用于执行前述由移动管理设备执行的方法，和网络存储设备，其用于执行前述由网络存储设备执行的方法。

本申请实施例提供了一种通信系统，包括移动管理设备，其用于执行前述由移动管理设备执行的方法，和网络存储设备，其用于执行前述由网络存储设备执行的方法，以及第三鉴权设备，其用于执行前述由第三鉴权设备执行的方法。

所属领域的技术人员可以清楚地了解到，为描述方便和简洁，上述提供的任一种通信装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定，只要能够通过运行记录有本申请实施例提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可。例如，本申请实施例提供的方法的执行主体可以是终端设备或网络设备，或者，是终端设备或网络设备中能够调用程序并执行程序的功能模块。

本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。

其中，计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质(或者说计算机可读介质)例如可以包括但不限于：磁性介质或磁存储器件(例如，软盘、硬盘(如移动硬盘)、磁带)、光介质(例如，光盘、压缩盘(compact disc，CD)、数字通用盘(digital versatiledisc，DVD)等)、智能卡和闪存器件(例如，可擦写可编程只读存储器(erasableprogrammable read-only memory，EPROM)、卡、棒或钥匙驱动器等)、或者半导体介质(例如固态硬盘(solid state disk，SSD)等、U盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)等各种可以存储程序代码的介质。

本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于：无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM可以包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，上述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。

另外，在本申请各个实施例中的各功能单元可以集成在一个单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。

当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，计算机可以是个人计算机，服务器，或者网络设备等。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。关于计算机可读存储介质，可以参考上文描述。

应理解，在本申请实施例中，编号“第一”、“第二”…仅仅为了区分不同的对象，比如为了区分不同的网络设备，并不对本申请实施例的范围构成限制，本申请实施例并不限于此。

还应理解，在本申请中，“当…时”、“若”以及“如果”均指在某种客观情况下网元会做出相应的处理，并非是限定时间，且也不要求网元实现时一定要有判断的动作，也不意味着存在其它限定。

还应理解，在本申请各实施例中，“A对应的B”表示B与A相关联，根据A可以确定B。但还应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

还应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (30)

1.一种通信方法，其特征在于，包括：

鉴权服务功能AUSF获取指示终端设备执行在线签约的信息；

所述AUSF根据所述指示终端设备执行在线签约的信息，确定网络切片和非公共网络鉴权授权功能NSSAAF，所述NSSAAF用于执行所述终端设备的鉴权流程；

所述AUSF向所述NSSAAF发送鉴权请求信息。

2.根据权利要求1所述的方法，其特征在于，所述指示终端设备执行在线签约的信息是由移动管理设备发送的；或者，

所述指示终端设备执行在线签约的信息是由所述终端设备发送的。

3.根据权利要求2所述的方法，其特征在于，当所述指示终端设备执行在线签约的信息是由所述终端设备发送的，所述指示终端设备执行在线签约的信息为所述终端设备的用户隐藏标识SUCI。

4.根据权利要求3所述的方法，其特征在于，所述SUCI中的域名信息指示默认凭证域名。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

所述AUSF根据配置信息和所述指示终端设备执行在线签约的信息，确定所述终端设备执行在线签约。

6.根据权利要求5所述的方法，其特征在于，所述配置信息包括一个或多个域名信息；所述一个或多个域名信息指示一个或多个默认凭证域名。

7.根据权利要求3所述的方法，其特征在于，所述方法还包括：

所述AUSF根据所述终端设备的用户隐藏标识SUCI，获取所述终端设备的用户永久标识符SUPI，所述鉴权请求消息中包括所述SUPI。

8.根据权利要求1至7中任一项所述的方法，其特征在于，所述方法还包括：

所述AUSF跳过选择统一数据管理设备。

9.根据权利要求1至8中任一项所述的方法，其特征在于，所述鉴权请求信息包括鉴权授权计费AAA互操作鉴权请求信息。

10.一种通信方法，其特征在于，包括：

网络存储设备接收来自移动管理设备的请求信息，所述请求信息包括终端设备的归属网络标识和/或路由指示，所述请求信息用于请求发现第二网络的第二鉴权服务功能AUSF，所述终端设备的凭证属于所述第二网络，所述第二网络采用鉴权授权计费AAA服务器执行终端设备的主鉴权；

所述网络存储设备向所述移动管理设备发送响应信息，所述响应信息包括指示未发现所述第二AUSF，和/或，所述响应信息包括第一AUSF的标识信息和/或地址信息，

其中，所述第一AUSF、所述网络存储设备与所述移动管理设备属于第一网络。

11.根据权利要求10所述的方法，其特征在于，所述请求信息还包括第一指示信息，所述第一指示信息指示所述第一网络支持外部凭证和/或所述终端设备采用外部凭证。

12.根据权利要求10或11所述的方法，其特征在于，在所述网络存储设备向所述移动管理设备发送响应信息之前，所述方法还包括：

所述网络存储功能网元未发现所述第二AUSF。

13.根据权利要求10至12中任一项所述的方法，其特征在于，所述网络存储设备向所述移动管理设备发送响应信息，包括：

当所述终端设备的归属网络标识和/或路由指示与配置信息匹配时，发送所述响应信息，所述配置信息包括一个或多个归属网络标识和/或路由指示；或者，

所述网络存储设备根据所述第一指示信息，发送所述响应信息；或者，

所述网络存储设备未发现所述第二AUSF，发送所述响应信息。

14.根据权利要求10至13中任一项所述的方法，其特征在于，所述第一网络为SNPN，所述第二网络为凭证持有者。

15.一种通信设备，其特征在于，包括：

收发单元，用于获取指示终端设备执行在线签约的信息；

处理单元，用于根据所述指示终端设备执行在线签约的信息，确定网络切片和非公共网络鉴权授权功能NSSAAF，所述NSSAAF用于执行所述终端设备的鉴权流程；

所述收发单元，还用于向所述NSSAAF发送鉴权请求信息。

16.根据权利要求15所述的通信设备，其特征在于，所述指示终端设备执行在线签约的信息是由移动管理设备发送的；或者，

所述指示终端设备执行在线签约的信息是由所述终端设备发送的。

17.根据权利要求16所述的通信设备，其特征在于，当所述指示终端设备执行在线签约的信息是由所述终端设备发送的，所述指示终端设备执行在线签约的信息为所述终端设备的用户隐藏标识SUCI。

18.根据权利要求17所述的通信设备，其特征在于，所述SUCI中的域名信息指示默认凭证域名。

19.根据权利要求15至18中任一项所述的通信设备，所述处理单元，还用于：

根据配置信息和所述指示终端设备执行在线签约的信息，确定所述终端设备执行在线签约。

20.根据权利要求19所述的方通信设备，其特征在于，所述配置信息包括一个或多个域名信息；所述一个或多个域名信息指示一个或多个默认凭证域名。

21.根据权利要求17所述的通信设备，其特征在于，所述处理单元，还用于：

根据所述终端设备的用户隐藏标识SUCI，获取所述终端设备的用户永久标识符SUPI，所述鉴权请求消息中包括所述SUPI。

22.根据权利要求15至21中任一项所述的通信设备，其特征在于，所述处理单元，还用于：

跳过选择统一数据管理设备。

23.根据权利要求15至22中任一项所述的通信设备，其特征在于，所述鉴权请求信息包括鉴权授权计费AAA互操作鉴权请求信息。

24.一种通信设备，其特征在于，包括：

收发单元，用于接收来自移动管理设备的请求信息，所述请求信息包括终端设备的归属网络标识和/或路由指示，所述请求信息用于请求发现第二网络的第二鉴权服务功能AUSF，所述终端设备的凭证属于所述第二网络，所述第二网络采用鉴权授权计费AAA服务器执行终端设备的主鉴权；

所述收发单元，还用于向所述移动管理设备发送响应信息，所述响应信息包括指示未发现所述第二AUSF，和/或，所述响应信息包括第一AUSF的标识信息和/或地址信息，

其中，所述第一AUSF、所述网络存储设备与所述移动管理设备属于第一网络。

25.根据权利要求24所述的通信设备，其特征在于，所述请求信息还包括第一指示信息，所述第一指示信息指示所述第一网络支持外部凭证和/或所述终端设备采用外部凭证。

26.根据权利要求24或25所述的通信设备，其特征在于，在所述网络存储设备向所述移动管理设备发送响应信息之前，所述方法还包括：

所述网络存储功能网元未发现所述第二AUSF。

27.根据权利要求24至26中任一项所述的通信设备，其特征在于，

当所述终端设备的归属网络标识和/或路由指示与配置信息匹配时，所述收发单元，用于向所述移动管理设备发送所述响应信息，所述配置信息包括一个或多个归属网络标识和/或路由指示；或者，

所述收发单元，用于根据所述第一指示信息向所述移动管理设备发送所述响应信息；或者，

所述收发单元，用于在未发现所述第二AUSF时，向所述移动管理设备发送所述响应信息。

28.根据权利要求24至27中任一项所述的通信设备，其特征在于，所述第一网络为SNPN，所述第二网络为凭证持有者。

29.一种计算机可读存储介质，其特征在于，存储有计算机程序或指令，所述计算机程序或指令用于实现权利要求1至14中任一项所述的方法。

30.一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行权利要求1至14中任一项所述的方法。

Images