CN116321083A - 一种终端管理方法及装置 - Google Patents

Abstract

本申请实施例公开一种终端管理方法及装置，以实现对终端的管理。该方法包括：第一设备接收用于对一个或多个终端执行第一操作的第一指令，根据管理规则确定是否允许执行所述第一操作和/或确定待被执行所述第一操作的目标终端。本申请方案适用于通信技术领域、物联网、人工智能、车联网、智能家居联网等领域。

Description

一种终端管理方法及装置

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种终端管理方法及装置。

背景技术

随着通信技术的演进发展，终端(terminal)被越来越多的用户(比如企业、个人)所使用，利用终端可以实现设备之间近距离、非接触式的通信。

终端包括射频识别(radio frequency identification，RFID)终端、超宽带(ultrawideband，UWB)终端以及蓝牙设备等不同类型的终端，且不同用户对终端的操作需求可能是不同的。如何实现用户对终端的精细化管理成为亟待解决的问题。

发明内容

本申请实施例提供一种终端管理方法及装置，以实现对终端的精细化管理。

为达到上述目的，本申请实施例采用如下技术方案：

第一方面，本申请实施例提供一种终端管理方法，所述方法包括：第一设备获取用于对一个或多个终端执行第一操作的第一指令，根据管理规则确定是否允许执行第一操作，和/或确定待被执行第一操作的目标终端。基于第一方面，第一设备获取到执行第一操作的指令后，根据管理规则执行终端管理，例如判断是否允许执行该指令和/或确定待被执行操作的目标终端等，从而使得各个操作请求方在该管理规则下有序地对终端执行相应操作，防止某个操作请求方一直占用网络资源或者执行权限之外的操作。

应理解，本申请所述的确定是否执行第一操作可以替换为确定是否向操作请求方发送执行第一操作的操作结果。该操作结果可以包括来自操作请求方请求的一个或多个终端的信息，或者包括来自目标终端的信息，该目标终端可以包括在操作请求方请求的一个或者多个终端。

一种可能的设计，管理规则包括下述一项或者多项：允许的操作类型、禁止的操作类型、允许操作的时间段、禁止操作的时间段、允许操作的位置信息、禁止操作的位置信息、单次操作终端数量阈值、累计操作终端数量阈值、被执行操作的终端数量阈值、累计操作次数阈值、操作频率阈值、允许被操作的终端的标识信息、禁止被操作的终端的标识信息、允许对终端执行操作的读写器的数量。基于该可能的设计，灵活且有效的设置管理规则。

一种可能的设计，管理规则包括允许的操作请求方的信息和/或禁止的操作请求方的信息；操作请求方的信息包括下述一项或者多项：操作请求方的名称信息、操作请求方的标识信息、操作请求方对应的数据网络名称信息、操作请求方对应的服务器的地址信息、操作请求方对应的服务器的端口信息、操作请求方对应的终端的标识信息。基于该可能的设计，还可以限定哪些操作请求方请求的操作才允许被执行，使得基于该管理规则下有序地对终端执行相应操作，防止某个操作请求方一直占用网络资源或者执行权限之外的操作。

一种可能的设计，第一设备根据管理规则确定是否允许执行第一操作，包括：第一设备根据允许的操作请求方的信息和/或禁止的操作请求方的信息，确定是否允许执行第一操作。第一设备根据允许的操作请求方的信息和/或禁止的操作请求方的信息，确定是否允许执行第一操作，包括：当第一操作的操作请求方的信息匹配禁止的操作请求方的信息时，第一设备确定不允许执行第一操作；或者，当第一操作的操作请求方的信息不匹配允许的操作请求方的信息时，第一设备确定不允许执行第一操作；或者，当第一操作的操作请求方的信息匹配允许的操作请求方的信息时，第一设备确定允许执行第一操作；或者，当第一操作的操作请求方的信息不匹配禁止的操作请求方的信息时，第一设备确定允许执行第一操作，使得基于该管理规则下有序地对终端执行相应操作，防止某个操作请求方一直占用网络资源或者执行权限之外的操作。

一种可能的设计，第一设备根据管理规则确定是否允许执行第一操作，包括：当满足第一条件时，第一设备根据管理规则确定不允许执行第一操作；第一条件为以下条件中的一个或多个：第一操作的操作类型属于禁止操作的操作类型；或者，执行第一操作的时间属于禁止操作的时间段；或者，第一指令指示执行第一操作的位置信息属于禁止操作的位置信息；或者，第一指令指示被执行第一操作的终端数量大于或等于单次操作终端数量阈值；或者，累计操作终端数量大于或等于累计操作终端数量阈值；或者，被执行操作的终端数量大于或等于被执行操作的终端数量阈值；或者，累计操作次数大于或等于累计操作次数阈值；或者，操作频率统计值大于或等于操作频率阈值；或者，一个或多个终端包括在禁止被操作的终端的标识信息所标识的终端中；或者，一个或多个终端未包括在允许被操作的终端的标识信息所标识的终端中。基于该可能的设计，当执行第一操作的相关信息不符合管理规则的规定时，确定不允许执行第一操作，使得操作有章可循。

一种可能的设计，第一设备根据管理规则确定是否允许执行第一操作，包括：当满足第二条件时，第一设备根据管理规则确定允许执行第一操作；第二条件为以下条件中的一个或多个：第一操作的操作类型属于允许操作的操作类型；或者，执行第一操作的时间属于允许操作的时间段；或者，第一指令指示执行第一操作的位置信息属于允许操作的位置信息；或者，第一指令指示被执行第一操作的终端数量小于或等于单次操作终端数量阈值；或者，累计操作终端数量小于或等于累计操作终端数量阈值；或者，被执行操作的终端数量小于或等于被执行操作的终端数量阈值；或者，累计操作次数小于或等于累计操作次数阈值；或者，操作频率统计值小于或等于操作频率阈值；或者，一个或多个终端包括在允许操作的终端的标识信息所标识的终端中；或者一个或多个终端未包括在禁止操作的终端的标识信息所标识的终端中。基于该可能的设计，当执行第一操作的相关信息符合管理规则的规定时，确定不允许执行第一操作，使得操作有章可循。

一种可能的设计，所述方法还包括：当目标终端不同于一个或多个终端时，第一设备将第一指令修改为第二指令，第二指令用于对目标终端执行第一操作。或者，当目标终端不同于一个或多个终端时，第一设备根据管理规则，确定不允许执行第一操作。基于该可能的设计，可以在执行第一操作的终端不是操作请求方所请求的终端时，更改操作请求或者不执行第一操作，灵活且有效地为下述应用场景提供可行性方案：执行第一操作的终端不是操作请求方所请求的终端。

一种可能的设计，当第一设备确定允许执行第一操作时，所述方法还包括：当第一设备为读写器时，第一设备执行第一操作；或者，当第一设备为移动管理设备时，第一设备向读写器发送第一指令或第二指令；或者，当第一设备为会话管理设备时，第一设备通知用户面设备向读写器发送第一指令或第二指令；其中，第二指令用于对目标终端执行第一操作。如此，灵活且有效地设计执行本申请所述方法的执行主体，扩大应用场景。

一种可能的设计，当第一设备确定不允许执行第一操作时，所述方法还包括：第一设备发送响应消息，响应消息包括操作失败指示、失败原因和操作请求方的信息中的至少一个。基于该可能的设计，可以将执行失败的结果指示给其他网元，以便其他网元根据执行失败的结果进行策略调整以及给出其他实行方案，进行提高对终端执行操作的可靠性。

一种可能的设计，所述方法还包括：第一设备根据操作结果和/或管理规则，获取统计数据；统计数据包括以下信息中的一项或多项：第一操作的操作类型、被执行第一操作的终端数量、累计操作终端数量、被执行操作的终端数量、操作频率统计值、累计操作次数、执行第一操作的时间、执行第一操作的持续时间、执行第一操作的位置信息。基于该可能的设计，可以对执行结果进行统计，并将统计数据上报给其他网元，以便其他网元根据统计数据进行策略调整等，进行提高对终端执行操作的可靠性。

一种可能的设计，所述方法还包括：第一设备向核心网设备发送统计数据，核心网设备包括以下设备中的一个或多个：移动管理设备、会话管理设备、策略控制设备、用户面设备、计费设备。基于此，可以向需要统计数据的网元发送统计数据，以便这些网元根据统计数据进行其他操作，使得整个通信系统协同工作，提高通信可靠性。

一种可能的设计，第一设备为读写器，或者用户面设备，或者控制面设备，或者服务器，灵活且有效的设计本申请所述方法的执行主体，扩大本申请的应用场景。

一种可能的设计，管理规则预配置于第一设备上或者管理规则由第一设备从第二设备获取，基于此，可以灵活且有效的获取/配置管理规则，简化系统设计。

一种可能的设计，第一操作包括下述一种或者多种：盘点操作、读操作、写操作以及失效操作，基于此，可以灵活且有效的设计本实施例所涉及的操作类型，扩大应用场景。

一种可能的设计，第一指令包括一个或者多个终端的标识信息、位置信息、第一操作的操作请求方的信息、读写器的信息以及第一操作的操作类型中的一种或多种。基于此，可以灵活且有效的设计第一指令所包括的信息，到达第一指令指示对一个或者终端执行第一操作的目的，简化系统设计。

一种可能的设计中，第一设备获取第一指令具体包括：第一设备从服务器获取第一指令；或者第一设备接收来自第三设备的第一指令，其中第一指令是第三设备从服务器接收的。如此，灵活且有效地提供了获取第一指令的多种方式，扩大应用场景和适用范围。

第二方面，本申请实施例提供一种终端管理方法，所述方法包括：服务器获取用于确定接收第一指令的第三设备的第一信息；第一信息用于确定接收第一指令的第三设备；服务器根据第一信息向第三设备发送用于对一个或多个终端执行第一操作的第一指令，基于此，服务器获知到能够第一指令的设备后向该设备发送执行操作的指令，简化系统设计。

一种可能的设计，第三设备为读写器，或者用户面设备，或者控制面设备，控制面设备包括移动管理设备或者网络开放设备。服务器根据第一信息向第三设备发送第一指令包括：服务器根据第一信息确定第三设备或者第三设备服务的一个或多个读写器位于目标区域，服务器向第三设备发送第一指令基于此，灵活且有效的设计接收第一指令的设备，扩大应用场景。

一种可能的设计，第一信息包括第三设备的地址信息；第三设备的地址信息用于建立第三设备与服务器之间的用户面连接；服务器根据第一信息向第三设备发送第一指令包括：服务器通过第三设备与服务器之间的用户面连接，向第三设备发送第一指令。

一种可能的设计，第一信息包括第三设备的标识信息；服务器根据第一信息向第三设备发送第一指令包括：服务器根据第三设备的标识信息，通过控制面通道向第三设备发送第一指令，基于此，可以从控制面向第三设备发送第一指令，简化系统设计。

一种可能的设计，服务器获取第一信息包括：服务器从第四设备获取第一信息；第四设备包括第三设备、核心网设备或者读写器。基于此，服务器可以从其他网元接收第三信息的相关信息，简化系统设计。

一种可能的设计，所述方法还包括：服务器发送订阅请求；订阅请求用于请求获取一个或多个设备的信息；一个或多个设备包括第三设备；服务器接收订阅响应；订阅响应包括一个或多个设备的信息。订阅请求包括以下信息中的一项或者多项：允许操作区域中的移动管理设备的信息、允许操作区域中的网络开放设备的信息、允许操作区域中的读写器的信息、允许操作区域中的用户面设备的信息、操作请求方的信息。基于此，可以通过订阅流程获取第三设备的相关信息，与现有订阅流程兼容，无需增加新的获取流程，简化系统设计，节省获取第三设备的相关信息所带来的信令开销。

一种可能的设计，第一信息包括以下信息中的一项或多项：第三设备的位置信息、第三设备的地址信息、第三设备的端口信息、第三设备的标识信息、第三设备与第三设备服务的一个或多个读写器的映射关系信息、第三设备服务的一个或多个读写器的位置信息、第三设备服务的一个或多个读写器的地址信息、第三设备服务的一个或多个读写器的端口信息、第三设备服务的一个或多个读写器的标识信息，基于此可以灵活且有效的设计第一信息，实现第一信息用于指示第三设备的目的。

第三方面，本申请实施例还提供一种连接建立方法，该方法包括：核心网设备获取用户面设备的地址信息；核心网设备向第一读写器发送地址信息，以使第一读写器根据地址信息与用户面设备建立第一连接。核心网设备向第二读写器发送地址信息，以使第二读写器根据地址信息与用户面设备建立第二连接。核心网设备指示用户面设备与服务器建立第三连接，核心网设备指示用户面设备关联第一连接与第三连接，第二连接与第三连接。

基于第三方面，核心网设备可以通过其与用户面设备之间的第三连接，向用户面设备发送指示对终端执行操作的指令，以便用户面网元通过第一连接、第二连接通知给相对应的读写器对终端执行操作，简化系统设计，且核心网设备与用户面设备传输一条指令即可，无需传输多条指令，节省信令开销。

一种可能的设计，核心网设备在第一读写器的会话建立流程中获取地址信息，并向第一读写器发送地址信息。核心网设备在第二读写器的会话建立流程中获取地址信息，并向第二读写器发送地址信息。基于此，可以在会话建立流程中获取用户面设备的地址信息并发送给读写器，以便读写器与用户面设备建立连接，兼容会话建立流程，节省信令开销。

一种可能的设计，所述方法还包括：核心网设备指示用户面设备管理第一连接与第二连接。比如指示用户面设备将第一连接和第二连接同第三连接关联/对应起来，便于管理。

第四方面，本申请实施例还提供一种连接建立方法，所述方法包括：用户面设备与第一读写器建立第一连接，与第二读写器建立第二连接；用户面设备关联第一连接与第三连接、第二连接与第三连接；第三连接为用户面设备与服务器之间建立的连接。

基于第四方面，核心网设备与用户面设备建立第三连接，用户面设备与不同读写器建立不同连接，以便用户面网元通过第三连接接收来自核心网设备发送的指令，并通过第一连接、第二连接通知给相对应的读写器对终端执行操作，简化系统设计，且核心网设备与用户面设备传输一条指令即可，无需传输多条指令，节省信令开销。

一种可能的设计，用户面设备关联第一连接与第三连接、第二连接与第三连接，包括：用户面设备根据核心网设备的指示，关联第一连接与第三连接、第二连接与第三连接。用户面设备根据核心网设备的指示，建立第三连接。

第五方面，本申请实施例还提供一种NAS消息的传输方法，所述方法包括：终端使用无源终端对应的NAS协议，向核心网设备发送NAS消息，终端向核心网设备发送用于指示核心网设备使用无源终端对应的NAS协议与终端交互的无源终端指示信息。

基于第五方面，终端使用无源终端对应的NAS协议发送NAS消息后，并指示核心网设备使用了无源终端对应的NAS协议，以便核心网设备接收到NAS消息，识别接收到的NAS消息是无源终端发送的NAS消息，使用无源终端对应的NAS协议检查接收到的NAS消息，避免因无源终端发送给核心网设备的是裁剪后的NAS消息，导致核心网设备按照有源终端NAS协议(可以称为现有NAS协议)检查出错，影响终端通信的问题。

一种可能的设计，终端向核心网设备发送无源终端指示信息包括：终端通过接入网设备向核心网设备发送无源终端指示信息；或者，无源终端指示信息携带在NAS消息中，灵活且有效的发送无源终端指示信息，扩大应用场景。

一种可能的设计，NAS消息为注册请求消息，注册请求消息携带第一信息，第一信息包括第一安全参数值、第一校验参数值和终端的标识中的一项或多项；第一信息用于第一网络设备对终端进行安全认证；或者，第一信息用于第一网络设备推演第一加密秘钥或者第一完整性保护秘钥。基于此，实现在进行网络注册时还进行网络认证，通过一条NAS消息实现多项功能，简化系统设计，节省信令开销。

一种可能的设计，第一网络设备为核心网设备、或者鉴权服务器、或者统一数据管理网元、AAA服务器或者是企业认证设备，有效且灵活的设计第一网络设备，扩大应用范围。

一种可能的设计，所述方法还包括：终端接收注册接受消息，注册接受消息携带第二信息，第二信息包含第二安全参数值、第二校验参数值中的一项或者多项；第二信息用于终端进行安全认证，或者第二信息用于终端推演第二加密秘钥或者第二完整性保护秘钥。基于此，实现在进行网络注册时还进行网络认证，通过一条NAS消息实现多项功能，简化系统设计，节省信令开销。

第六方面，本申请实施例还提供一种NAS消息的传输方法，所述方法包括：核心网设备接收来自终端的NAS消息；核心网设备识别NAS消息是无源终端发送的NAS消息；核心网设备使用无源终端对应的NAS协议与终端交互。

基于第六方面，核心网设备接收到NAS消息，可以识别接收到的NAS消息是否是无源终端发送的NAS消息，若是，则使用无源终端对应的NAS协议检查接收到的NAS消息，避免因无源终端发送给核心网设备的是裁剪后的NAS消息，导致核心网设备按照有源终端NAS协议(可以称为现有NAS协议)检查出错，影响终端通信的问题。

一种可能的设计，核心网设备识别NAS消息是无源终端发送的NAS消息，包括：NAS消息中携带无源终端指示信息，核心网设备根据NAS消息中携带的无源终端指示信息识别NAS消息是无源终端发送的NAS消息；或者，核心网设备根据终端的签约信息识别NAS消息是无源终端发送的NAS消息；或者，核心网设备接收来自接入网设备的无源终端指示信息，根据无源终端指示信息识别NAS消息是无源终端发送的NAS消息。灵活且有效的发送无源终端指示信息，扩大应用场景。

一种可能的设计，NAS消息为注册请求消息，注册请求消息携带第一信息，第一信息包括第一安全参数值、第一校验参数值和终端的标识中的一项或多项；第一信息用于第一网络设备对终端进行安全认证；或者，第一信息用于第一网络设备推演第一加密秘钥或者第一完整性保护秘钥，实现在进行网络注册时还进行网络认证，通过一条NAS消息实现多项功能，简化系统设计，节省信令开销。

一种可能的设计，所述方法还包括：核心网设备根据第一信息认证终端；或者，核心网设备根据第一信息推演第一加密秘钥或者第一完整性保护秘钥；或者，核心网设备向第一网络设备发送第一信息。第一网络设备为核心网设备、或者鉴权服务器、或者统一数据管理网元、AAA服务器或者是企业认证设备。基于此，可以由核心网设备对终端进行认证或者由其他设备对终端进行认证，扩大应用场景。

一种可能的设计，所述方法还包括：核心网设备向终端发送注册接受消息，注册接受消息包含第二信息，第二信息包含第二安全参数值和第二校验参数值中至少一项；第二信息用于终端认证网络；或者，第二信息用于终端推演第二加密秘钥或者第二完整性保护秘钥。实现在进行网络注册时还进行网络认证，通过一条NAS消息实现多项功能，简化系统设计，节省信令开销。

一种可能的设计，核心网设备使用无源终端对应的NAS协议与终端交互，包括：核心网设备忽略对NAS消息中的第一信元的格式检查或者长度检查；和/或，核心网设备忽略对NAS消息中的第一信元的存在性检查。或者，一种可能的设计，无源终端对应的NAS协议定义有第一信元，核心网设备使用无源终端对应的NAS协议与终端交互，包括：核心网设备向终端发送忽略了部分或者全部第一信元的NAS消息；或者核心网设备向终端发送包含长度剪裁的部分或者全部第一信元的NAS消息；或者，核心网设备向终端发送包含配置固定值的部分或者全部第一信元的NAS消息。基于此，规定了使用无源终端对应的NAS协议与终端进行NAS消息交互时哪些信元可以忽略检查等。

一种可能的设计，第一信元包括以下任意一项：安全头类型，填充位，注册请求消息标识，注册接受消息标识，5GS注册结果，5GS注册类型，秘钥组标识，终端的标识，PDU会话标识，流程交易标识，PDU会话建立请求标识，完整性保护最大速率，扩展协议鉴别器，移动管理原因值，注册拒绝消息标识，PDU会话建立接受消息标识，会话管理原因值，PDU会话建立拒绝消息标识，授权QoS规则，选择的PDU会话类型，会话聚合最大比特率，选择的会话与服务连续性模式，安全模式命令消息标识，重放终端安全能力，选择的安全算法，安全模式完成消息标识，上行非接入层传输消息标识，下行非接入层传输消息标识，认证请求消息标识，ABBA，认证响应消息标识，认证结果消息标识，认证失败消息标识，认证拒绝消息标识。基于此，灵活且有效的设计第一信元。

第七方面，本申请提供一种通信装置，该通信装置可以为第一设备或者第一设备中的芯片或者片上系统，还可以为第一设备中用于实现第一方面或第一方面的任一可能的设计所述的方法的功能模块。或者，该通信装置可以为服务器或者服务器中的芯片或者片上系统，还可以为服务器中用于实现第二方面或第二方面的任一可能的设计所述的方法的功能模块。或者该通信装置为核心网或者核心网设备中的芯片或片上系统，还可以为核心网设备中用于实现第三方面或第三方面的任一可能的设计所述的方法的功能模块。或者该通信装置为用户面设备或用户面设备中的芯片或片上系统，还可以为用户面设备中用于实现第四方面或第四方面的任一可能的设计所述的方法的功能模块。或者该通信装置可以为终端或终端中的芯片或片上系统，还可以为终端中用于实现第五方面或第五方面中的任一可能的设计所述的方法的功能模块。或者该通信装置为用于实现第六方面或第六方面的任一可能的设计所述的核心网设备或功能模块。

一种可能的设计，该通信装置所实现的功能可通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该通信装置可以包括：发送单元以及接收单元；进一步的，该通信装置还可以包括处理单元。

又一种可能的设计中，该通信装置可以包括：处理器和通信接口，处理器与通信接口可以支持通信装置执行上述第一方面或者第一方面的任一可能的设计中或者第二方面或第二方面的任一可能的设计所述的方法。在又一种可能的设计中，所述通信装置还可以包括存储器，存储器，用于保存通信装置必要的计算机执行指令和数据。当该通信装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该通信装置执行如上述第一方面或者第一方面的任一可能的设计中或者第二方面或第二方面的任一可能的设计中所述的方法。或者第三方面或第三方面的任一可能的设计中所述的方法。或者第四方面或第四方面的任一可能的设计中所述的方法。或者第五方面或第五方面的任一可能的设计中所述的方法。或者第六方面或第六方面的任一可能的设计中所述的方法。

第八方面，提供了一种计算机可读存储介质，该计算机可读存储介质可以为可读的非易失性存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行如上述第一方面或者第一方面的任一可能的设计中或者第二方面或第二方面的任一可能的设计中所述的方法。或者第三方面或第三方面的任一可能的设计中所述的方法。

或者第四方面或第四方面的任一可能的设计中所述的方法。或者第五方面或第五方面的任一可能的设计中所述的方法。或者第六方面或第六方面的任一可能的设计中所述的方法。

第九方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述第一方面或者第一方面的任一可能的设计中或者第二方面或第二方面的任一可能的设计中所述的方法。或者第三方面或第三方面的任一可能的设计中所述的方法。

或者第四方面或第四方面的任一可能的设计中所述的方法。或者第五方面或第五方面的任一可能的设计中所述的方法。或者第六方面或第六方面的任一可能的设计中所述的方法。

第十方面，提供了一种通信装置，该通信装置可以为终端或者终端中的芯片或者片上系统，该通信装置包括一个或多个处理器、一个或多个存储器。所述一个或多个存储器与所述一个或多个处理器耦合，所述一个或多个存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，当所述一个或多个处理器执行所述计算机指令时，使所述终端执行如上述第一方面或者第一方面的任一可能的设计中或者第二方面或第二方面的任一可能的设计中所述的方法。或者第三方面或第三方面的任一可能的设计中所述的方法。或者第四方面或第四方面的任一可能的设计中所述的方法。或者第五方面或第五方面的任一可能的设计中所述的方法。或者第六方面或第六方面的任一可能的设计中所述的方法。

其中，第七方面至第十方面中任一种设计方式所带来的技术效果可参见上述各方面或者各方面的任一种可能的设计所带来的技术效果，不再赘述。

第十一方面，本申请实施例提供一种通信系统，该通信系统可以包括：第一设备以及服务器。第一设备可以执行第一方面或者第一方面的任一可能的设计所述的方法，服务器可以执行第二方面或者第二方面的任一可能的设计所述的方法。或者，

该通信系统可以包括：核心网设备以及用户面设备。核心网设备可以执行第三方面或者第三方面的任一可能的设计所述的方法，用户面设备可以执行第四方面或者第四方面的任一可能的设计所述的方法。或者，

该通信系统可以包括：终端以及核心网设备。终端可以执行第五方面或者第五方面的任一可能的设计所述的方法，核心网设备可以执行第六方面或者第六方面的任一可能的设计所述的方法。

附图说明

图1为P-IoT系统示意图；

图2a为盘点流程示意图一；

图2b为盘点流程示意图二；

图2c为盘点、读写流程示意图；

图3为本申请实施例提供的通信系统示意图；

图4为本申请实施例提供的终端管理系统示意图一；

图5为本申请实施例提供的终端管理系统示意图二；

图6为本申请实施例提供的终端管理系统示意图三；

图7为本申请实施例提供的终端管理方法流程图一；

图8为本申请实施例提供的终端管理方法流程图二；

图9为本申请实施例提供的终端管理方法流程图三；

图10为本申请实施例提供的终端管理方法流程图四；

图11为本申请实施例提供的NAS消息传输方法流程图一；

图12为本申请实施例提供的NAS消息传输方法流程图二；

图13为本申请实施例提供的一种通信装置的组成示意图一；

图14为本申请实施例提供的一种通信装置的组成示意图二。

具体实施方式

无源物联网(passive internet of things，passive IoT)(可以简称为P-IoT)是物联领域中重要的研究方向。如图1所示，P-IoT可以包括终端(terminal)101、读写器(reader)102以及服务器(server)103。读写器(reader)102可以通过无线射频技术与终端101进行非接触双向数据通信、对终端进行读写。

其中，终端101可以理解为无源源物联网终端((P-IoT terminal)。终端101可以附着在物体上标识目标对象，终端中存储该物体的信息，且每个终端都有一个全球唯一的电子产品代码(electronic product code，EPC)。无源物联网终端的工作方式为：当终端进入读写器有效识别范围内时，终端接收读写器发出的射频信号，凭借感应电流获得能量发出存储在芯片中的信息(此终端为无源终端)。读写器接收信息并解码后送至服务器进行数据处理。应理解，本申请所述的终端可以看做是一个标签，本申请所述的终端管理方法可以理解标签管理方法或对标签的管理方法等，不予限制。本申请还可以应用于半无源物联网或者半有源物联网技术。半有源终端或者半无源终端的工作方式为：由终端通过太阳能等方式获取能量，通过获取到的能量发送存储的信息。半有源终端可以是半无源标签。

读写器102通过射频信号根据服务器下发的操作指令来阅读指定的终端中存储的信息。若为盘点操作，读写器可以盘点其管理范围内的终端的信息。若为读操作，读写器则读取该终端存储区中的数据。可选的，在一些需要改写终端内存储的信息的场合下，读写器还可具有写的功能，若为写操作，则读写器将数据写入终端的存储区中。可选的，在一些需要失效终端的场合下，读写器还可以对终端执行失效操作。本申请中，读写器102也可以称为阅读器。读写器102可以独立部署，也可以部署在/集成在其他设备中，比如终端中，此时该读写器102可以看做是一个终端。

服务器103依据需求下发操作指令，并获取终端执行的最终结果，最终结果可以包括但不限于读取的终端的类型、终端的数量、读取操作是否成功。服务器103可位于本地网络中，比如位于数据网络(data network)中，或者服务器103也可以位于第三方应用系统中，此时服务器103可以理解为应用功能(application function，AF)。

P-IoT的主要应用场景包括仓库管理、盘点、物流等。例如，以物流运输为例，可以给货品嵌入或贴上标签，该标签对应货品的相关信息，读写器可以采用上述方式与标签进行数据通信，从标签获取货品的相关信息，并上报给中央信息系统，以使得管理人员可以在中央信息系统中迅速查询货品的相关信息，提高货品交接速度和准确率，如果有货品丢失等异常情况，管理人员也可以第一时间获知并处理。

又例如，以固定资产管理为例，图书馆、艺术馆及博物馆等资产庞大或者物品贵重的一些场所，可以给物品嵌入或贴上标签，读写器可以采用上述方式与标签进行数据通信，从标签获取物品的相关信息，并上报给中央信息系统，以便于在书籍或者贵重物品的存放信息有异常变动的情况下，第一时间提醒管理员进行处理。

本申请实施例中，服务器103下发的操作指令可以包括盘点指令、读指令、写指令以及失效操作中的一项或者多项。应理解，本申请不限制操作指令的类型、操作指令的命名，除盘点指令、读指令、写指令以及失效操作之外，还可以包括其他操作指令，此外，这些操作指令还可以命名为其他名称，不予限制。

本申请所述的操作指令可以用于指示对终端执行某种操作，比如盘点指令可以用于指示对终端执行盘点操作，读指令可以用于指示对终端执行读操作，写指令可以用于指示对终端执行写操作，失效指令可以用于指示对终端执行失效操作。其中盘点操作可以是获取终端的标识(比如标签标识)的操作，盘点还可以理解为盘存，二者具有等效概念。读操作可以是读取终端内存储的信息的操作。写操作可以是向终端的内存储中写入信息的操作。失效操作可以是失效终端的信息(比如终端的标签标识等)的操作，被失效的终端不能被盘点、不能被读/不能被写。

下面结合图2a，以服务器103下发盘点指令为例进行描述。

如图2a所示，当服务器103对某一范围内的终端进行盘点时，服务器103可以向读写器102发送盘点指令，盘点指令可以包括盘点的区域位置信息、待盘点的终端的标识信息等。当读写器102接收到该盘点指令后，根据盘点指令中的终端的标识信息执行盘点流程(如图2b所示)。当读写器102执行盘点流程完成后，向服务器103发送盘点结果。

图2b示出了终端的盘点流程。如图2b所示，在步骤201中，读写器(如图1中的读写器102)向终端(如图1中的终端101)发送选择(select)命令。

例如，当读写器收到服务器发送的盘点命令(或者，该盘点命令可由服务器通过中间件向读写器发送)，生成选择命令，该选择命令中包括终端的范围(如某些特定范围的EPC码)。终端接收选择命令后，判断自己是否属于该选择命令指示的终端的范围，若该终端属于指示的终端的范围，则在后续接收查询命令后反馈信息。若该终端不属于应判断的终端范围，则在接收查询命令后不必反馈信息。

在步骤202中，读写器向指定范围内的终端发送查询(query)命令。

在步骤203中，当终端发现自己属于选择命令中的终端范围时，向读写器反馈一个随机数。例如，终端可以通过竞争的方式向读写器反馈随机数，例如，随机数可以是16比特的随机数(16-bit random number，RN16)。

在步骤204中，当读写器收到来自终端发送的随机数后，向终端发送应答(acknowledgement，ACK)命令，该命令中包含了通过步骤203接收到的随机数。

在步骤205中，当终端收到读写器发送的应答命令，并验证该随机数正确后，向读写器反馈其EPC码。

进一步的，服务器可以根据终端的盘点结果对终端进行读写操作。图2c示出了终端的读写流程，该流程中的步骤301-305可参考图2b中步骤201至205的描述，属于盘点操作流程。其中，步骤302与图2b中步骤202的区别在于，接收步骤302中查询命令的终端为某一特定EPC码的终端。此外，读写流程还包括步骤306～步骤309：

在步骤306中，读写器向该终端发送请求随机数命令(Req_RN)。其中，请求随机数命令中包括了步骤303中收到的随机数，如RN16；

在步骤307中，终端验证该随机数正确，则向读写器发送句柄。句柄用于识别不同的读写器的标识，在后续的读写流程中，读命令或写命令都包括该句柄；

在步骤308中，读写器向终端发送读命令或写命令，读命令或写命令中包括句柄。若为写命令，则写命令中还包括待写入终端存储区的数据；

在步骤309中，若步骤308为读命令，则终端反馈自己存储区中的数据的同时包括步骤307中所述句柄。若步骤308为写命令，则可以无需此步骤。

目前，企业将P-IoT技术与蜂窝通信系统(或者称为蜂窝网络)进行融合，或者将无线射频识别(radio frequency identification，RFID)技术与蜂窝通信系统进行融合，以降低两套系统的部署和运维成本。该蜂窝通信系统可以是第三代合作伙伴计划(3rdgeneration partnership project，3GPP)通信系统，如第4代(4th generation，4G)通信系统、长期演进(long term evolution，LTE)系统，又可以为第五代(5th generation，5G)通信系统或者新空口(new radio，NR)系统、下一代通信系统，也可以为非3GPP通信系统，即本申请不限定与P-IoT技术融合的通信系统。

图3为P-IoT技术与蜂窝通信系统的网络架构示意图，该网络架构可以包括终端、读写器、接入网设备、核心网设备、数据网络(data network，DN)以及应用功能(application function，AF)。DN中可以部署有服务器(server)。其中，核心网设备可分为控制面设备和用户面设备。控制面设备可以包括如下设备中的至少一项：会话管理设备、网络开放设备、策略控制设备、移动管理设备、数据存储设备、计费设备。

图3所示的网络架构中还标明了各个设备之间的通信接口，本申请实施例涉及的通信接口包括：N2，接入网设备与移动管理设备之间的通信接口；N3，接入网设备与用户面设备之间的通信接口，用于传输用户数据；N4，会话管理网元与用户面设备之间的通信接口，用于对用户面设备进行策略配置等；N6，DN与用户面设备之间的通信接口。当然，各个设备之间的通信接口还可以具有其他的名称，本申请在此并不限制。

本申请中的终端可以称为用户设备(user equipment，UE)，或者称为终端设备，可以是一种具有无线收发功能的设备，也可以是一种无源、半无源或者半有源的终端设备或者标签。当终端为无源、半无源或者半有源的终端或者标签时，可以通过获取能量以接收或者发送数据。获取能量的方式可以通过无线电、太阳能、光能、风能、水能、热能、动能等方式获取。本申请对于无源或者半有源的终端获取能量的方式不做限定。终端可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述用户设备也可称为终端，可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请中的标签可以以独立的形态存在，也可以集成于上述终端中，也可以集成于传感器等等，下文中“标签”可以和“终端”的称谓互换，并不影响本申请的实质内容。

其中，接入网设备也可以是无线接入网(access network，AN)设备或者无线接入网(radio access network，RAN)。接入网设备的主要功能是控制用户通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲，它驻留某个设备之间(如移动电话、一台计算机，或任何远程控制机)，并提供与其核心网的连接。接入网设备包括但不限于：5G中的(g nodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(basestation controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(BaseBand Unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等，此外，还可以包括无线保真(wireless fidelity，wifi)接入点(access point，AP)等。接入网设备也可称为RAN装置，下文均简称为RAN。

其中，读写器(reader)通过射频信号或者无线信号与终端交互。读写器也可以称为阅读器，本申请对读写器的名称不做限定。读写器根据服务器下发的指令来获取指定的终端中存储的信息。若为盘点操作(或者可以称为盘存操作)，读写器获取终端的标识信息；该标识信息可以是终端的唯一标识，也可以是终端的临时标识。若为读操作，读写器则读取该终端存储区中的数据。可选的，在一些需要改写终端内存储的信息的场合下，读写器还可具有写的功能，若为写操作，则读写器将数据写入终端的存储区中。除此之外，读写器还可以对终端执行失效操作。在被执行失效操作后，该终端失效，不可被执行盘点操作、读操作或者写操作等操作。本申请中，读写器可以是终端设备，也可以接入网设备、杆站、eNodeB、gNodeB、接入回传一体化(integrated access and backhaul，IAB)节点。

服务器可以位于DN中，为终端提供提供业务服务、下发操作指令等。该服务器可以称为P-IoT服务器。AF也可以为终端提供业务服务、下发操作指令等。AF可以位于第三方应用系统中。服务器可以与AF独立部署，也可以合设，集成在同一设备中，不予限制。

用户面设备主要负责分组数据包的转发、服务质量(quality of service，QoS)控制、计费信息统计等。计费信息又可称为计费数据、计费消息、计费内容等。用户面设备可以是5G通信系统中的用户面功能功能(user plane function，UPF)实体。

控制面设备主要负责业务流程交互、向用户面下发数据包转发策略、QoS控制策略等。其中，移动管理设备主要负责用户的接入和移动性管理。会话管理设备负责管理用户协议数据单元(protocol data unit，PDU)会话的创建、删除等，维护PDU会话上下文及用户面转发管道信息。网络开放设备具备对外开放和提供接口的功能。策略控制设备负责制定QoS控制策略等。计费设备负责对通信过程中所使用的网络资源进行计费。数据管理设备可以负责管理、存储网络中的数据等。

应理解，移动管理设备可以是5G通信系统中接入与移动性管理功能(access andmobility management function，AMF)实体、会话管理设备可以是5G通信系统中会话管理功能(session management function，SMF)实体、策略控制设备可以是5G通信系统中策略控制功能(policy control function，PCF)实体，网络开放设备可以是5G通信系统中网络开放功能(network exposure function，NEF)实体。数据存储设备可以包括5G通信系统中的统一数据管理设备(unified data management，UDM)或网络存储功能(networkrepository function，NRF)或统一数据库(unified data repository，UDR)中一个或者多个。计费设备可以是5G通信系统中的计费功能(charging function，CHF)实体。

可以理解的是,上述功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能，或者是平台(例如,云平台)上实例化的虚拟化功能。上述功能可划分出一个或多个服务，进一步，还可能会出现独立于网络功能存在的服务。在本申请中，上述功能的实例、或上述功能中包括的服务的实例、或独立于网络功能存在的服务实例均可称为服务实例。

本申请实施例中所述的UPF实体、SMF实体、AMF实体、NEF实体、PCF实体、CHF实体也可分别称为UPF装置、SMF装置、AMF装置、NEF装置、CHF实体，以下均分别简称为UPF、SMF、AMF、NEF、CHF。此外，在实际部署中，图3中所示设备可以独立部署，也可以合设。例如，移动管理设备可以与会话管理设备合设；会话管理设备可以与用户面设备合设。当两个设备合设的时候，本申请实施例提供的这两个设备之间的交互就成为该合设设备的内部操作或者可以省略。

在P-IoT技术与蜂窝通信系统的网络架构进行融合的场景下，由于当前没有支持执行终端管理的设备，因此在P-IoT技术与5G通信系统的网络架构进行融合时，无法对终端执行管理，不利于有序地执行指令，而且当某一企业没有权限对其他企业执行终端操作，但仍发送了终端操作指令时，若无终端管理，则无权限的企业获取了其他企业的信息，容易存在安全隐患。为解决该问题，本申请中可以由读写器、用户面设备或核心网设备(比如移动管理设备)基于管理规则对终端(比如标签)进行管理。

下面以5G通信系统和P-IoT技术融合为例，结合图4-图6对融合后的系统架构以及终端管理方法进行描述，其他通信系统与P-IoT技术融合的系统架构以及终端管理方法可参照本申请中所述。此外，RFID技术与蜂窝通信系统融合后的系统架构以及终端管理方法可以参照本申请中所述，后续不再赘述。

图4为本申请实施例提供的P-IoT技术与蜂窝融合的一种网络架构的示意图。在图4所示的网络架构中，可以由读写器执行终端管理，比如读写器从核心网设备(如AMF)获取管理规则。可选的，该管理规则可以与配置于读写器。读写器接收到服务器下发的指令后，读写器可以根据管理规则判断是否可以执行该指令。若允许执行该指令，则读写器根据指令执行相对应的操作，并统计操作结果。读写器通过用户面连接向服务器发送执行操作后的操作结果。否则，读写器丢弃该指令，或者向通过用户面连接向服务器反馈，表示该指令无效或者未成功执行(失败)。

图5为本申请实施例提供的P-IoT技术与蜂窝融合的一种网络架构的示意图。在图5所示的网络架构中，可以由用户面功能(UPF)设备执行终端管理，比如UPF可以从SMF获取管理规则，或者该管理规则可以与配置于UPF。UPF接收到服务器下发的指令后，可以根据管理规则判断是否允许执行该指令。若允许执行该指令，则UPF向读写器发送该指令；否则，UPF丢弃该指令，或者向服务器发送反馈，表示该指令无效或未成功执行(失败)。当读写器执行指令完成并向UPF发送操作结果后，UPF可以根据操作结果获取统计数据，并向SMF发送该统计数据，以及向服务器发送操作结果。

图6为本申请实施例提供的P-IoT技术与蜂窝融合的一种网络架构的示意图。在图6所示的网络架构中，可以由AMF执行终端管理，比如AMF可以从PCF获取管理规则，或者该管理规则预配置于AMF，AMF接收到AF下发的指令后，AMF根据管理规则判断是否允许执行该指令。若允许执行该指令，则AMF向读写器发送该指令；否则AMF丢弃该指令，或者通过NEF向服务器发送反馈，表示该指令未成功执行(失败)或无效。当读写器执行完指令后，向AMF发送操作结果。AMF根据操作结果获取统计数据，并通过NEF向服务器发送操作结果，以及向SMF发送统计数据。

应理解，本申请实施例中，根据管理规则对终端进行管理的设备可以称为第一设备，该第一设备可以是读写器，或者UPF，或者AMF。除此之外，第一设备还可以是SMF、NEF、PCF、服务器等设备，不予限制。本申请仅以第一设备是读写器，或者UPF，或者AMF为例进行说明，其他设备管理终端的方法可以参照本申请所述。

可选的，本申请实施例中，管理规则可以预先配置在第一设备上，也可以由第一设备从第二设备获取，第二设备可以是移动管理设备、会话管理设备、策略控制设备、用户面设备、计费设备、统一数据管理设备、统一数据库设备中任一设备。

进一步可选的，在第一设备获取到统计数据后，可以向核心网设备发送该统计数据，便于核心网设备根据该统计数据进行计费以及其他操作等。比如该核心网设备可以包括以下设备中的一个或多个：移动管理设备、会话管理设备、策略控制设备、用户面设备、计费设备、统一数据管理设备、统一数据库设备，第一设备可以向移动管理设备、会话管理设备、策略控制设备、用户面设备、计费设备、统一数据管理设备、统一数据库设备中的一个或多个发送统计数据。

可选的，本申请实施例所述的指令可以称为第一指令或者第一操作指令，不予限制。此外，本申请所述的终端可以理解为标签，本申请所述的终端管理可以理解为标签管理。

可选的，本申请实施例中，服务器可以通过第三设备向第一设备发送第一指令，比如服务器可以获取用于确定接收第一指令的第三设备的第一信息，根据第一信息向第三设备发送第一指令，由第三设备将第一指令转发给执行终端管理的设备(比如第一设备)。

可选的，第三设备为接收服务器下发指令(比如第一指令)的设备，第三设备可以包括读写器或者用户面设备或控制面设备，控制面设备可以包括移动管理设备或者网络开放设备。第一设备为执行终端管理的设备。第三设备可以与第一设备为同一设备，也可以为不同设备。应理解，如果第三设备与第一设备合设或者为同一设备，第三设备接收到第一指令后，不执行转发过程，而是直接根据管理规则执行本申请所示的终端管理方案。

可选的，在服务器根据第一信息确定第三设备或者第三设备服务的一个或多个读写器位于目标区域的情况下，服务器向第三设备发送第一指令。

可选的，第一信息包括第三设备的地址信息；第三设备的地址信息用于建立第三设备与服务器之间的用户面连接；服务器根据第一信息向第三设备发送第一指令包括：服务器通过第三设备与服务器之间的用户面连接，向第三设备发送第一指令，即通过用户面向第三设备发送第一指令。

可选的，第一信息包括第三设备的标识信息；服务器根据第一信息向第三设备发送第一指令包括：服务器根据第三设备的标识信息，通过控制面通道向第三设备发送第一指令，即通过控制面向第三设备发送第一指令。

比如图4所示方法中，第三设备为读写器，第一设备为读写器，服务器可以通过读写器与服务器之间的用户面连接向读写器发送第一指令。又比如，图5所示方法中，第三设备为UPF，第一设备为UPF，服务器可以通过服务器与UPF之间的N6连接向UPF发送第一指令。再比如，图6所示方法中，第三设备为NEF或者AMF或SMF，第一设备为AMF，服务器可以获取AMF的标识信息，将AMF的标识信息以及第一指令发送给NEF，由NEF根据AMF的标识信息将第一指令转发给AMF，或者服务器将AMF的标识信息以及第一指令发送给AMF，由AMF根据AMF的标识信息将第一指令转发给AMF。

可选的，服务器可以从第四设备获取用于确定第一指令的第三设备的第一信息，第四设备可以包括所述第三设备、核心网设备(比如NEF或者SMF或UPF)或者读写器。一种可能的实现中，服务器可以通过订阅流程从第四设备获取第一信息。

比如服务器可以发送订阅请求，比如服务器向第四设备发送订阅请求，该订阅请求可以用于请求获取一个或多个设备的信息；一个或多个设备包括第三设备；服务器接收订阅响应，订阅响应包括一个或多个设备的信息。

应理解，本申请所述的第一设备可以指根据管理规则确定是否允许执行操作和/或确定待被执行操作的目标终端的设备。第二设备可以是向第一设备下发管理规则的设备。第三设备可以指接收服务器下发的指令(比如第一指令)的设备。第四设备可以是收集用于确定第三设备的第一信息，并上报给服务器的设备。第一设备、第二设备、第三设备、第四设备可以为同一设备，也可以为不同设备，不予限制。

应理解，本申请所述的确定是否执行操作(比如第一操作)可以替换为确定是否向操作请求方发送执行该操作(比如第一操作)的操作结果。

应理解，本申请实施例中，在图3-图6所示网络架构中，无源终端、半有源终端或者半无源终端可以通过读写器与RAN交互，或者无源终端、半有源终端或者半无源终端可以直接与RAN交互，比如在RAN具备读写器的功能的情况下，无源终端、半有源终端或者半无源终端可以直接与RAN交互，不予限制。

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。

本申请实施例描述的网络架构是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。以下以P-IoT技术为例阐述对终端的管理方法，但本申请中的终端管理方法不限于P-IoT技术，也可适用于RFID等技术。

下面结合图4-图6所示蜂窝融合系统，以P-IoT技术与5G通信系统融合为例对本申请实施例提供的终端管理方法进行描述。其中，下述各实施例之间涉及的动作，术语等可以相互参考，各实施例中设备之间交互的消息名称或消息中的参数名称等只是一个示例，具体实现中也可以采用其他的名称，不予限制。此外，本申请实施例中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述对象的特定顺序，本申请实施例对“第一”和“第二”所表示的不同对象的属性不做限定。应理解，本申请中的终端管理方法P-IoT技术，也可以适用于RFID技术等，不予限制。

以图4所示蜂窝融合系统为例，在图4所示蜂窝融合系统中，读写器接收来自服务器的用于指示对一个或多个终端执行第一操作的第一指令，之后，由读写器根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端。具体的该方法参照图7。

图7为本申请实施例提供的一种终端管理方法流程图，该方法中由读写器根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端。图7所示的实施例可以适用图4的蜂窝融合架构。如图7所示，该方法包括以下步骤：

S701、可选的，读写器完成注册以及会话建立。

例如，当读写器为终端时，读写器可以执行注册和会话建立流程。当读写器为接入网设备时，读写器可以无需执行注册流程和会话建立流程。或者，当读写器为接入网设备时，读写器可以无需执行注册流程，仅执行会话建立流程。其中，会话可以是设备粒度的；即位于读写器覆盖范围内的终端的数据可以均通过该会话传输。

其中，读写器可以为图4所示读写器，该读写器可以独立部署，也可以集成在其他设备中，比如集成在RAN或者终端中，不予限制。需要说明的是，本申请实施例中，当RAN具备读写器执行的功能的场景下，读写器所执行的动作可以由RAN来执行，比如当读写器集成在RAN中时，无RAN与读写器的交互的过程，此时，读写器发送或者接收的消息均有RAN发送或者接收。

其中，读写器的注册流程可以参照现有流程，不再赘述。

其中，读写器的会话可以包括：读写器与RAN之间的空口连接(或者空口资源)、RAN与UPF之间的N3隧道(或者称为N3连接)，读写器的会话可以称为读写器的用户面传输通道或者用户面连接，读写器的会话与该读写器对应的N6隧道(或者称为N6连接)之间存在映射关系，N6隧道可以指服务器和UPF之间的传输隧道，读写器的会话可以用于传输服务器向读写器发送的指令(比如本申请中的第一指令)，比如服务器通过其和UPF之间的N6隧道向UPF发送第一指令，UPF接收到第一指令后，根据读写器的会话与N6隧道之间的映射关系，将第一指令通过N6隧道对应的N3隧道发送RAN，由RAN发送给读写器。可以理解的，当读写器为RAN时或者当RAN具备读写器功能时，无需建立RAN与读写器的空口连接；此时，RAN建立的用户面连接可以是RAN与UPF的N3连接。

示例性的，读写器的会话建立过程可以包括：读写器向AMF发送会话建立请求消息，会话建立请求消息包括读写器的标识、会话标识、读写器请求的数据网络名称(datanetwork name，DNN)、单网络切片选择辅助信息(single network slice selectionassistance information，S-NSSAI)中的一项或多项。AMF接收会话建立请求消息，选择SMF，向SMF发送创建会话上下文请求，创建会话上下文请求包括读写器的标识、读写器请求的DNN、会话标识中的一项或多项。SMF向AMF发送创建会话上下文响应。SMF与UPF建立N4连接。SMF向AMF发送N1N2消息，N1N2消息中包括UPF的隧道端点标识等信息，AMF将N1N2消息发给RAN，以指示RAN根据UPF的隧道端口标识将上行数据发送至UPF。AMF向RAN发送N2会话请求消息，N2会话请求消息包括需要发给读写器的非接入层(non-access stratum，NAS)消息。RAN与读写器建立空口资源(或者空口连接)，RAN将NAS消息发给读写器；NAS消息中包括会话建立接受消息。RAN向AMF发送N2会话响应消息，其中N2会话响应消息包括RAN侧的隧道端点标识，RAN侧的隧道端点标识用于UPF将下行数据发送给RAN侧。AMF将RAN发送的RAN侧的隧道端点标识通过更新会话上下文请求发送给SMF。SMF通过N4会话修改过程向UPF发送RAN侧的隧道端点标识，UPF将RAN侧的隧道端点标识信息关联至一个N6接口，该N6接口可以对应服务器与UPF之间的N6隧道，SMF向AMF发送更新会话上下文响应。

一种可能的实现方式中，上述会话建立过程可以是PDU会话建立过程。

S702、读写器获取管理规则。

一种示例中，读写器可以从第二设备获取管理规则，第二设备可以包括AMF、SMF、PCF、UPF、UDM、UDR以及CHF中任一种设备。以第二设备为AMF为例，AMF上可以预先配置有管理规则，AMF可以在读写器注册流程中或者读写器完成注册流程之后，从本地获取管理规则，并向读写器发送管理规则。或者AMF可以从第二设备获取管理规则，在读写器注册流程中或者读写器完成注册流程之后向读写器发送获取到的管理规则。

以第二设备为SMF为例，SMF上可以预先配置有管理规则，SMF可以获取管理规则，并在会话建立过程中或者会话修改过程中或者N2过程(如(creating NGAP UE-TNLA-bindings)过程)中将管理规则发送给读写器。

又一种示例中，读写器上可以预先配置有管理规则，读写器可以从本地获取管理规则。

本申请实施例中，管理规则(management rule(s))可以用于确定是否执行服务器下发的对于终端的操作指令和/或筛选出能够被执行服务器下发的操作指令的目标终端(比如目标标签)。管理者可以根据操作请求方的业务需求、操作请求方与运营商的签约信息、开放权限、计费信息中的一项或多项制定管理规则，管理规则可以预先配置在某个设备上，比如预先配置在AMF或SMF上。管理规则可以是一系列信息或者一系列相关操作的集合。

一种示例中，管理规则可以包括下述一项或多项：允许的操作类型、禁止的操作类型、允许操作的时间段、禁止操作的时间段、允许操作的位置信息、禁止操作的位置信息、单次操作终端数量阈值、累计操作终端数量阈值、被执行操作的终端数量阈值、累计操作次数阈值、操作频率阈值、允许被操作的终端的标识信息、禁止被操作的终端的标识信息、允许对终端执行操作的读写器的数量。该示例中，管理规则可以不以操作请求方(比如某个企业或租户或公司等)为粒度进行设置，该管理规则对于任何操作请求方都是适用的，可以理解为是通用的管理规则。

应理解，本申请实施例中，管理规则中包括的与操作相关的信息可以称为操作属性，比如上述的允许的操作类型、禁止的操作类型、允许操作的时间段、禁止操作的时间段、允许操作的位置信息、禁止操作的位置信息、单次操作终端数量阈值、累计操作终端数量阈值、被执行操作的终端数量阈值、累计操作次数阈值、操作频率阈值可以统称为操作属性。管理规则中包括的与被执行操作的终端相关的信息可以称为被执行操作的终端属性，比如上述的允许被操作的终端的标识信息、禁止被操作的终端的标识信息、允许对终端执行操作的读写器的数量可以统称为终端属性。

本申请实施例中，允许的(allowed)操作类型可以理解为允许读写器对终端(比如标签)执行的操作类型。相对的，禁止的操作类型可以理解为禁止/不允许读写器对终端执行的操作类型。其中操作类型和操作为等效概念，操作类型可以包括盘点操作(也可称为盘存操作)、读操作、写操作、失效操作中一项或多项。具体的，管理规则中可以包括允许的操作类型，不包括禁止的操作类型，此时默认除允许的操作类型外的其他操作类型为禁止的操作类型或者为不允许的操作类型。或管理规则中包括禁止的操作类型，不包括允许的操作类型，此时默认除禁止的操作类型外的其他操作类型段为允许的操作类型或者为非禁止的操作类型。或者，管理规则中包括允许的操作类型以及禁止的操作类型。

例如，假设操作类型包括盘点操作、读操作、写操作以及失效操作，其中若允许的操作类型是盘点操作，则禁止的操作类型包括读操作、写操作以及失效操作。

应理解，本申请实施例引入的操作类型是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，除本申请中所述操作类型之外，还可以包括其他操作类型。比如，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于其他新的操作类型也是适用的。

本申请实施例中，允许操作的时间段可以理解为读写器对终端(比如标签)执行相应操作(比如允许的操作)的时间段。相对的，禁止操作的时间段可以理解为禁止读写器对终端执行相应操作(比如允许的操作)的时间段。一种可能的实现方式中，时间段可以用开始时间以及结束时间表示，或者时间段可以用开始时间以及持续时间表示，或者时间段可以用持续时间以及结束时间表示。另一种可能的实现方式中，时间段可以用某一时间表示。例如该时间之后的时间段为允许操作或者禁止操作的时间段；或者，该时间之前的时间段为允许操作或者禁止操作的时间段。本申请对于时间或者时间段的表示方式不做限定。具体的，管理规则中可以包括允许操作的时间段，不包括禁止操作的时间段，此时默认除允许操作的时间段之外的其他时间为禁止操作的时间段。或者管理规则中包括禁止操作的时间段，不包括允许操作的时间段，此时默认除禁止操作的时间段之外的其他时间段为允许操作的时间段。或者，管理规则中包括允许操作的时间段以及禁止操作的时间段。

例如，假设允许的操作为盘点操作，允许盘点操作的时间段可以是{开始时间9:00，结束时间10:00}，也可以是{开始时间9:00，持续时间1小时}，还可以是{结束时间10:00，持续时间1小时}；禁止盘点操作的时间段可以是全天中除允许操作的时间段之外的其他时间；可以理解的，允许操作的时间段可以是全天中除禁止操作的时间段之外的其他时间。

本申请实施例中，允许操作的位置信息可以理解允许执行操作的区域的位置信息，如果存在一个区域，允许对该区域内的部分或全部终端执行操作，则该区域为允许执行操作的区域。相对的，禁止操作的位置信息可以理解为禁止执行操作的区域的位置信息，如果一个区域，禁止对该区域内的终端执行操作，则该区域为禁止操作的区域。具体的，管理规则中可以包括允许操作的位置信息，不包括禁止操作的位置信息，此时默认除允许操作的位置信息之外的其他位置为禁止操作的位置信息。或者管理规则中包括禁止操作的位置信息，不包括允许操作的位置信息，此时默认除禁止操作的位置信息外的其他位置信息为允许操作的位置信息。或者管理规则中包括允许操作的位置信息以及禁止操作的位置信息。

其中，一种可能的实现方式中，上述区域可以包括一个或者多个小区，或者包括一个或者多个跟踪区域(tracking area，TA)，或者包括一个或多个注册区域(registrationarea，RA)，或者包括一个或多个网络。该网络可以包括公共网络(public land mobilenetwork，PLMN)或非公共网(non-public network)，其中，非公共网络还可以包括独立非公共网络(standalone non-public network，SNPN)和公共网络集成非公共网络(publicnetwork integrated non-public network，PNI-NPN)。一种可能的实现方式中，区域的位置信息可以包括该区域的经纬度信息、该区域的坐标值信息、该区域对应的小区的小区标识、该区域对应的跟踪区(tracking area，TA)标识、该区域对应的注册区域信息、该区域对应的网络标识中的一项或者多项。该区域对应的网络标识可以包括该区域对应的PLMN的标识(可以称为PLMN ID)，或者该区域对应的网络标识根据PLMN ID以及该区域所在网络的标识(network ID，NID)确定，比如该区域对应的网络标识可以包括PLMN ID+NID。

例如，允许执行操作的区域为区域A，该区域A的位置信息可以是允许操作的位置信息，该区域A的位置信息为{经纬度1，经纬度2，经纬度3……经纬度n}，或者{坐标值1，坐标值2，坐标值3……坐标值n}，或者{小区标识1，小区标识2，……小区标识n}，或者{跟踪区标识1，跟踪区标识2，……跟踪区标识n}，或者{网络标识1，网络标识2，……网络标识m}。本申请对位置信息的构造或者表现形式不做限定。

本申请实施例中，单次操作终端数量阈值可以理解为单次操作终端的最大数量，单次操作终端可以指操作请求方发送的指令中指示待被执行操作的终端或者单次操作中被执行操作的终端。这里的被执行操作的终端可以是允许被执行操作的终端(即目标终端)，或者是指令中指示的待被执行操作的终端。一种可能的实现方式中，根据单次操作终端数量阈值，确定是否允许执行操作或者确定被执行操作的终端。例如，单次操作终端数量阈值为500，当单次操作终端数量指操作请求方发送的指令中指示待被执行操作的终端时，则可以表示操作请求方发送的指令中指示待被执行操作的终端数量最多为500个。若操作请求方发送的指令中指示待被执行操作的终端数量小于或者等于500个，则确定允许执行操作。若操作请求方发送的指令中指示待被执行操作的终端数量大于500个，例如为1000个，则可以根据管理规则筛选待被执行操作的终端，使得待被执行操作的终端数量小于或等于500个；或者可以根据管理规则确定不允许执行该指令。另一种可能的实现方式中，根据单次操作终端数量阈值，确定是否允许执行操作或者确定被执行操作的终端。例如，单次操作终端数量阈值为500，当单次操作终端数量指操作请求方发送的指令中指示被执行操作的终端时，则可以表示被执行操作的终端数量最多为500个。若操作请求方发送的指令中指示待被执行操作的终端数量小于或者等于500个，则确定允许执行操作。若操作请求方发送的指令中指示待被执行操作的终端数量大于500个，例如为1000个，则可以根据管理规则筛选待被执行操作的终端，使得待被执行操作的终端数量小于或等于500个；或者可以根据管理规则依次对部分终端执行操作，直到被执行操作的终端数量达到500个时，停止对剩余未被执行操作的终端执行操作；或者可以根据管理规则确定不允许执行该指令。

本申请实施例中，累计操作终端数量阈值可以理解为一段时间内累计的单次操作终端的最大数量。这里单次操作终端的定义同上。两次或两次以上的操作中，如果同一终端对应的操作类型是相同，则该终端对应的累计的单次操作终端数量不是一个，而是等于操作次数，即单次操作终端可以是被重复计算的。例如一段时间对内标签3被盘点了3次，那么累计操作终端数量为3。两次或两次以上的操作中，如果同一终端对应的操作类型有不相同的情况下，则累计操作终端数量可以不根据操作类型统计，也可以根据操作类型统计。例如，一段时间内对标签3被盘点了3次，被读了2次。若不根据操作类型统计，那么累计操作终端数量为5。若根据操作类型统计，那么累计操作终端数量为盘点操作对应的累计操作终端数量为3，读操作对应的累计操作终端数量为2。

本申请实施例中，被执行操作的终端数量阈值可以理解为一段时间内被执行操作的终端的最大数量，被执行操作的一个终端计数为1，即使该终端在这段时间内被多次执行操作，仍旧计数为1，即该终端是不会被重复计算的。比如终端3被执行盘点3次，但算1个终端。

本申请实施例中，可选的，可以根据终端的标识信息确定被执行操作的终端数量。一种可能的设计中，被执行操作的终端数量等于终端的标识信息的数量，比如盘点结果包括N个终端的标识信息，则确定被执行操作的终端数量为N，该设计中，不执行去重操作。又一种可能的设计中，执行去重操作，对获取到的终端的标识信息进行去重处理，将去重后的终端的标识信息作为被执行操作的终端数量。

其中去重可以理解为去重操作结果中重复出现的终端的标识信息，该终端对应的被执行操作的次数计算为1。不去重可以理解为操作结果中重复出现的终端的标识信息，该终端对应的被执行操作的次数计算为重复出现次数。例如，读写器在盘点操作过程中周期对标签进行盘点，获取到两份操作结果，操作结果1{盘点操作，标签1、标签3，标签4}，操作结果2{盘点操作，标签1、标签2、标签3，标签5}。如果不去重，则被执行盘点操作的终端的标识信息包括{标签1、标签3，标签4，标签1、标签2、标签3，标签5}，被执行盘点操作的终端数量为7。如果去重，则读写器去掉这两份操作结果中被重复计算的标签1和标签3，被执行盘点操作的终端的标识信息包括{标签1、标签2、标签3，标签4，标签5}，被执行盘点操作的终端数量为5。

本申请实施例中，终端的标识信息可以用于标识终端，终端的标识信息可以理解为标签的标识信息，该标识信息可以是永久标识信息、全球唯一的标识信息、临时标识信息、非全球唯一的标识信息，例如标签的标识信息可以包括标签的EPC，终端的标识信息也可以理解为标签作为终端(或者理解为标签所在终端或者标签对应的终端)的标识信息，终端的标识信息可以包括用户永久标识(subscription permanent identifier，SUPI)、用户隐藏标识(subscription concealed identifier，SUCI)、5G全球唯一临时标识(5Gglobally unique temporary identity，5G-GUTI)、一般公共订阅标识符(generic publicsubscription identifier，GPSI)、5G临时移动台标识(5G temporary mobile subscriberidentity，5G-TMSI)、临时移动台标识(temporary mobile subscriber identity，TMSI)、国际移动用户识别码(international mobile subscriber identity，IMSI)或国际移动设备标识(international mobile equipment identity，IMEI)、永久设备标识(permanentequipment identifier，PEI)。

本申请实施例中，累计操作次数阈值可以理解为一段时间内操作请求方请求对终端执行操作的次数的最大值。一种可能的实现方式中，累计操作次数可以不根据操作类型统计，也可以根据操作类型统计。例如，操作请求方在一段时间内请求对终端3执行盘点操作3次，读操作2次。若不根据操作类型统计，则累计操作次数为5；若根据操作类型统计，则盘点操作对应的累计操作次数为3，读操作对应的累计操作次数为2。另一种可能的实现方式中，累计操作次数可以仅包括执行操作成功的次数，也可以包括执行操作成功以及执行操作失败的次数。例如，操作请求方在一段时间内请求对终端3执行盘点操作5次，仅有3次成功盘点到终端3。若累计操作次数仅包括执行操作成功的次数，那么累计操作次数为3；若累计操作次数包括执行操作成功以及执行操作失败的次数，则累计操作次数为5。

应理解，本申请对累计操作次数是否需要根据操作类型统计、是否仅统计操作成功的次数不做限定，累计操作次数是否根据操作类型统计以及累计操作类型是否仅包括操作成功的次数可以是相互解耦、相互独立的，也可以是相互结合的。即可以仅根据操作类型统计得到累计操作次数，也可以仅根据操作成功的次数得到累计操作次数，还可以根据操作类型以及该操作类型下的操作成功的次数得到与该操作类型对应的累计操作次数。

本申请实施例中，操作频率阈值可以理解为操作频率的最大值。操作频率可以指一段时间内操作请求方下发的指示对终端执行操作的指令的次数，或者指一段时间内操作请求方下发的指示对终端执行操作的指令的次数与该段时间的总时长的比值。

本申请实施例中，允许被操作的终端的标识信息可以理解为允许被执行服务器所指示的操作的终端的标识信息，终端的标识信息可以用于标识该终端。相对的，禁止被操作的终端的标识信息可以理解为不允许/禁止被执行服务器所指示的操作的终端的标识信息。具体的，管理规则中可以包括允许被操作的终端的标识信息，不包括禁止被操作的终端的标识信息，此时默认除允许被操作的终端的标识信息之外的其他终端的标识信息为禁止被操作的终端的标识信息。或者管理规则中包括禁止被操作的终端的标识信息，不包括允许被操作的终端的标识信息，此时默认除禁止被操作的终端的标识信息之外的其他终端的标识信息为允许被操作的终端的标识信息。或者，管理规则中包括允许被操作的终端的标识信息以及禁止被操作的终端的标识信息。

一种可能的实现方式中，以操作类型为粒度规定允许被操作的终端的标识信息、禁止被操作的终端的标识信息，即允许被操作的终端的标识信息，禁止被操作的终端的标识信息与某个特定的操作类型(比如盘点操作)对应，此时允许被操作的终端的标识信息和/禁止被操作的终端的标识信息、以及操作类型对应包括在管理规则中。又一种可能的实现方式中，不以操作类型为粒度规定允许被操作的终端的标识信息、禁止被操作的终端的标识信息，此时允许被操作的终端可以是允许被操作的所有终端的集合，禁止被操作的终端可以是禁止被操作的所有终端的集合，这里的操作是一个广义概念，包括盘点操作、读操作、写操作以及失效操作中的一项或者多项，不是一个特定操作，

例如，允许对终端ID为1，2，3，4…k的终端进行操作，则允许被操作的终端的标识信息为{终端1，终端2，终端3，终端4……终端k}，除这些终端的标识信息之外的其他终端的标识信息可以理解为禁止被操作的终端的标识信息。或者，假设不允许/禁止对终端ID为1，2，3，4…k的终端进行操作，则不允许/禁止被操作的终端的标识信息为{终端1，终端2，终端3，终端4……终端k}，除这些终端的标识信息之外的其他终端的标识信息可以理解为允许被操作的终端的标识信息。

例如，允许对终端ID为1，2，3的终端进行盘点操作，允许对终端ID为4，5，6的终端进行读操作。则允许被操作的终端的标识信息为{盘点操作：终端1，终端2，终端3；读操作：终端4，终端5，终端6}，则除终端1,终端2，终端3之外的其他终端的标识信息可以理解为禁止被执行盘点操作的终端的标识信息；则除终端4,终端5，终端6之外的其他终端的标识信息可以理解为禁止被执行读操作的终端的标识信息。或者，假设不允许/禁止对终端ID为1，2，3的终端进行盘点操作，不允许/禁止对终端ID为4，5，6的终端进行读操作。则不允许/禁止操作的终端的标识信息为{盘点操作：终端1，终端2，终端3；读操作：终端4，终端5，终端6}，则除终端1,终端2，终端3之外的其他终端的标识信息可以理解为允许被执行盘点操作的终端的标识信息；则除终端4,终端5，终端6之外的其他终端的标识信息可以理解为允许被执行读操作的终端的标识信息。

本申请实施例中，允许对终端执行操作的读写器的数量可以理解为具备对终端执行操作的读写器中被允许对终端执行操作的读写器的数量。或者可以理解为操作请求方请求的单次操作中，允许执行操作的读写器的数量。假设存在50个读写器，其中仅允许这50个中的20个读写器对终端执行盘点操作，则允许对终端执行操作的读写器的数量为20。或者，假设存在50个读写器，允许对终端执行操作的读写器的数量为20，则操作请求方发送的指令中，指示执行操作的读写器的数量需小于或等于20个。若大于或等于20个，则可以根据管理规则筛选部分读写器执行操作，使得对终端执行操作的读写器的数量小于或等于20个；或者可以根据管理规则，确定不允许执行该操作。

又一种示例中，以操作请求方为粒度配置管理规则，该管理规则对应某一个或者多个特定的操作请求方，该管理规则对于不同操作请求方可以是不同的，不是通用的管理规则。具体的，管理规则可以包括允许的操作请求方的信息和/或禁止的操作请求方的信息，根据操作请求方的相关信息确定是否执行指令中所指示的操作。比如当操作请求方的信息匹配禁止的操作请求方的信息时，确定不允许执行该操作请求方所指示的操作；或者，当操作请求方的信息不匹配允许的操作请求方的信息时，确定不允许执行该操作请求方所指示的操作。当操作请求方的信息匹配允许的操作请求方的信息时，确定允许执行该操作请求方所指示的操作，以及进一步的根据其他信息确定执行操作的目标终端；或当操作请求方的信息不匹配禁止的操作请求方的信息时，确定允许执行该操作请求方所指示的操作，以及进一步的根据其他信息确定执行操作的目标终端。

进一步可选的，该示例中，管理规则还包括下述一项或者多项：允许的操作类型、禁止的操作类型、允许操作的时间段、禁止操作的时间段、允许操作的位置信息、禁止操作的位置信息、单次操作终端数量阈值、累计操作终端数量阈值、被执行操作的终端数量阈值、累计操作次数阈值、操作频率阈值、允许被操作的终端的标识信息、禁止被操作的终端的标识信息、允许对终端执行操作的读写器的数量。这些信息可以用于筛选出能够执行操作请求方所请求的操作的目标终端，这些信息的描述可参照上文，不予赘述。

本申请实施例中，操作请求方的信息可以用于指示操作请求方和/或操作请求方可以管理的终端。具体的，操作请求方的信息可以包括：操作请求方的名称信息(比如公司/企业/第三方名称等)、操作请求方的标识信息(比如公司/企业/第三方代号、编码等)、操作请求方对应的数据网络名称(data network name，DNN)信息、操作请求方对应的服务器的地址信息、操作请求方对应的服务器的端口信息(比如端口ID和/或端口状态信息等)、操作请求方对应的终端的标识信息。数据网络名称信息可以用于指示操作请求方对应的数据网络(data network，DN)。服务器的地址信息可以包括但不限于服务器的因特网协议(internet protocol，IP)地址或者媒体接入控制(media access control，MAC)地址。操作请求方对应的终端可以包括归属于操作请求方的终端或者操作请求方管理的终端，或者包括允许被执行操作请求方所指示的操作的终端。

本申请实施例中，操作请求方可以简称为请求方，所述操作请求方可以包括企业、租户、第三方或者公司等，不予限制。允许的操作请求方可以指允许向读写器发出指令，指示读写器对终端执行操作的操作请求方。相对应的，禁止的操作请求方可以指不允许/禁止向读写器发出指令，指示读写器对终端执行操作的操作请求方。具体的，管理规则中可以包括允许的操作请求方，不包括禁止的操作请求方，此时默认除允许的操作请求方之外的其他请求方为禁止的操作请求方。或者管理规则中包括禁止的操作请求方，不包括允许的操作请求方，此时默认除禁止的操作请求方之外的其他请求方为允许的操作请求方。或者，管理规则中包括允许的操作请求方以及禁止的操作请求方。应理解，如果操作请求方为禁止的操作请求方，则该操作请求方进行

例如，表一示出了企业以及企业对应的管理规则，如表一所示，预先规定企业1仅可以对终端1，终端2，…终端50执行盘点操作，规定企业2仅可以对终端50，终端51，…终端100执行盘点操作，规定企业3仅可以对终端1，终端2，…终端50执行读操作。可以规定企业1和企业2为允许的操作请求方，默认企业3为禁止的操作请求方。

表一

应理解，本申请不限定管理规则的命名，还可以命名为第一规则、或终端管理规则等。

S703、服务器获取第一信息。

其中，该服务器可以为操作请求方部署的服务器，比如该服务器可以为图3中的AF或者server(可以称为P-IoT server)。

本申请实施例中，第一信息可以用于确定接收第一指令的第三设备，第一信息可以替换描述为第三设备的信息。在图4所示应用场景下，第三设备可以是UPF或者读写器或者控制面网元(AMF或者SMF等)。可选的，S703中服务器获取的第一信息包括一个或者多个设备的信息，该一个或者多个设备包括第三设备，该一个或者多个设备所处的区域可以理解为允许操作区域或者服务器对应的操作请求方的允许操作区域。若对操作请求方无操作区域的限定，则允许操作区域可以理解为全局区域，即不限定哪些区域为允许操作区域，哪些区域为不允许/禁止操作的区域。

本申请实施例中，第一信息可以包括以下信息中的一项或多项：第三设备的信息、第三设备与第三设备服务的一个或多个读写器的映射关系信息、第三设备服务的一个或者多个读写器的信息中的一个或者多个。本申请中，第三设备的信息可以用于指示第三设备，第三设备的信息可以包括第三设备的位置信息、第三设备的地址信息、第三设备的端口信息、第三设备的标识信息中的一个或者多个。读写器的信息可以用于指示读写器，读写器的信息可以包括读写器的位置信息、读写器的地址信息、读写器的端口信息、读写器的标识信息中的一个或者多个。

本申请实施例中，第一指令可以用于指示对一个或者多个终端执行第一操作，这里的终端可以指上述终端，第一操作可以包括上述盘点操作、读操作、写操作、失效操作中的一项或多项，不予赘述。第一指令可以包括终端的标识信息、终端的位置信息、第一操作的操作请求方的信息、读写器的信息以及第一操作的操作类型中的一种或多种。

本申请实施例中，第三设备的位置信息可以用于指示第三设备所处位置，比如第三设备的位置信息可以包括但不限于第三设备所在小区的小区标识、第三设备所在跟踪区的跟踪区标识(TAI)、第三设备所在的注册区域、第三设备所在网络的网络标识(PLMN ID或者PLMN ID+NID)、第三设备对应的经纬度标识、第三设备对应的坐标值等。比如，以第三设备为读写器为例，读写器的位置信息可以用于指示读写器所处位置，读写器的位置信息可以包括但不限于读写器所在小区的小区标识、读写器所在跟踪区的跟踪区标识(TAI)、读写器所在的注册区域、读写器所在网络的网络标识(PLMN ID或者PLMN ID+NID)、读写器对应的经纬度标识、读写器对应的坐标值等。

本申请实施例中，第三设备的地址信息可以包括但不限于第三设备的IP地址、第三设备对应的N6接口IP地址、第三设备的MAC地址。读写器的地址信息可以包括但不限于读写器的IP地址、读写器对应的N6接口地址信息(比如N6接口IP地址和/或N6接口MAC地址)、读写器的MAC地址。应理解，本申请所述的读写器的地址信息可以是静态地址信息，在一定时间内是不更改的，或者该读写器的地址信息为动态地址信息，不予限制。本申请所述的读写器对应的N6接口地址信息用于建立读写器对应的UPF与服务器之间的N6连接(或者称为N6隧道)，N6连接与该读写器对应的N3隧道(或者通用分组无线隧道协议(general packetradio service tunneling protocol，GTP)隧道)之间存在映射关系。

本申请实施例中，第三设备的标识信息可以包括第三设备的ID。读写器的标识信息可以包括读写器的ID，读写器的标识可以包括用户永久标识(subscription permanentidentifier，SUPI)、用户隐藏标识(subscription concealed identifier，SUCI)、5G全球唯一临时标识(5G globally unique temporary identity，5G-GUTI)、一般公共订阅标识符(generic public subscription identifier，GPSI)、5G临时移动台标识(5G temporarymobile subscriber identity，5G-TMSI)、临时移动台标识(temporary mobilesubscriber identity，TMSI)、国际移动用户识别码(international mobile subscriberidentity，IMSI)或读写器对应的设备标识，设备标识包括国际移动设备标识(international mobile equipment identity，IMEI)、永久设备标识(permanentequipment identifier，PEI)，比如读写器部署在RAN上或者读写器为接入网设备，则读写器的标识信息可以包括接入网设备的标识(例如RAN node ID)。

以第三设备为读写器为例，S703可以替换描述为服务器获取读写器的信息，该读写器的信息可以称为第一信息。读写器的信息可以用于确定接收第一指令的读写器。具体的，读写器的信息可以包括以下信息中的一项或多项：读写器的位置信息、读写器的地址信息、读写器的端口信息、读写器的标识信息。

一种可能的实现中，服务器从第四设备获取第一信息。第四设备可以与第三设备为同一设备，也可以为不同设备，比如第三设备可以为第四设备管理/服务的设备。在图4所示场景下，第四设备可以包括但不限于读写器，或者核心网设备。核心网设备可以包括UPF、SMF、NEF。

比如假设第三设备为读写器，第一信息包括读写器的信息，第四设备为读写器，读写器可以根据操作请求方对应的服务器的地址信息，与服务器建立IP连接，并通过该IP连接向服务器发送读写器的信息。其中操作请求方对应的服务器的地址信息可以包括在S702中所述的管理规则中，读写器可以从管理规则中获取操作请求方对应的服务器的地址信息。

又比如，假设第三设备为读写器，第一信息包括读写器的信息，第四设备为SMF，服务器为AF，SMF可以从读写器获取读写器的信息，并通过NEF向AF发送读写器的信息。SMF可以在读写器建立会话过程中获取读写器的信息。该会话可以是PDU会话。

又比如，假设第三设备为读写器，第一信息包括读写器的信息，第四设备为UPF，UPF可以从读写器获取读写器的信息，并通过与服务器的建立的连接向服务器发送读写器的信息。UPF可以在读写器建立会话过程中获取读写器的信息。该会话可以是PDU会话。

又一种可能的实现中，服务器可以通过订阅流程获取第一信息。比如服务器可以向第四设备发送订阅请求，请求订阅一个或者多个设备的信息，该一个或者多个设备包括第三设备，服务器接收来自第四设备的订阅响应，该订阅响应中包括服务器所请求的一个或者多个设备的信息。该订阅响应还可以称为事件通知(event exposure_notify)消息。

其中，订阅请求可以理解为事件订阅请求(event exposure_subscribe request)消息，订阅请求可以用于订阅一个或者多个设备的信息，该一个或者多个设备包括第三设备。如上所述，该一个或者多个设备所处的区域可以理解为允许操作区域或者服务器对应的操作请求方的允许操作区域。一种可能的实现中，若对操作请求方无操作区域的限定，则允许操作区域可以理解为全局区域，即不限定哪些区域为允许操作区域，哪些区域为不允许/禁止操作的区域，该情况下，订阅请求对应全局区域，请求的是全局区域中一个或者多个设备的信息。又一种可能的实现中，如果对操作请求方有操作区域，即允许操作区域为特定的某些区域，则此时的订阅请求与该特定的某些区域对应，用于请求该特定的某些区域中的一个或者多个设备的信息。

本申请实施例中，订阅请求可以包括第四设备的信息，以便将订阅请求发送给第四设备，请求第四设备将其对应的/管理的/服务的一个或者多个设备(如第三设备)的信息包括在第一信息中发送给服务器。应理解，如果服务器对应的允许操作区域为特定的某些区域，则该订阅请求还可以包括允许操作区域的信息，以请求获取该允许操作区域中的第三设备的信息。订阅响应可以包括订阅请求所请求的一个或者多个设备的信息，比如可以包括第三设备的信息、第三设备管理/服务的读写器的信息、操作请求方的信息中的一项或者多项。其中第三设备的信息、读写器的信息的相关描述参照上文，不再赘述。

例如，第四设备可以包括核心网设备、读写器、用户面设备中的一个或者多个。一种可能的实现中，在不限制该订阅请求对应某些特定区域的场景下，订阅请求可以包括核心网设备的信息、读写器的信息(比如读写器的地址信息)、操作请求方的信息。又一种可能的实现中，在限制该订阅请求对应某些特定区域(比如允许操作区域)的场景下，订阅请求可以包括以下信息中的一项或者多项：允许操作区域中的核心网设备的信息、允许操作区域中的读写器的信息(比如读写器的地址信息)、操作请求方的信息。核心网设备可以包括控制面设备(比如AMF、SMF或者NEF)以及用户面设备(比如UPF)。

本申请实施例中，核心网设备的信息可以用于指示核心网设备或者用于指示核心网设备与核心网设备管理/服务的第三设备(比如读写器)之间的映射关系或关联关系。核心网设备的信息可以包括以下信息中的一项或多项：核心网设备的标识信息、核心网设备的地址信息、核心网设备的端口信息、核心网设备的位置信息。

例如，假设第四设备为SMF，第三设备为读写器，第一信息包括读写器的信息，服务器可以向该SMF发送订阅请求，请求订阅SMF管理/服务的位于允许操作区域的读写器的信息，SMF接收订阅请求，找到位于允许操作区域的读写器对应的移动管理设备(比如AMF)，通过AMF获取读写器的信息，向服务器发送包括读写器的信息的订阅响应。

进一步的，服务器可以存储获取到的第一信息，以便后续根据存储的第一信息，向第三设备发送第一指令。一种可能的实现中，在操作请求方无操作区域的限定的场景下，服务器可以默认存储的第一信息对应全局区域。又一种可能的实现中，在操作请求方有操作区域的限定的场景下，可以存储第一信息以及允许操作区域之间的对应关系，以便根据该对应关系获知哪些区域中有哪些接收第一指令的第三设备。应理解，本申请所述的全局区域可以对应/适用于操作请求方不对区域进行限制的场景，这里的全局区域可以指整个网络，也可以默认是该网络中的任何区域。

例如假设第一信息为读写器的信息，在操作请求方有操作区域的限定的场景下，服务器可以存储获取到的读写器的信息以及允许操作区域之间的对应关系。例如，下表二示出了服务器存储的读写器的信息及其对应的区域，如表二所示，区域A对应读写器_1的信息、读写器_2的信息。区域B对应读写器_3的信息、读写器_4的信息。应理解，表二仅为示例性表格，读写器的信息可以如表二所示，包括读写器的标识信息、读写器的地址信息、读写器的端口信息，也可以读写器的标识信息、读写器的地址信息和读写器的端口信息中的部分信息，不予限制。此外，在操作请求方对操作区域无限定的场景下，表二中的允许操作区域默认为全局区域。

表二

S704、服务器根据第一信息，向第三设备发送第一指令。相应的，第三设备接收第一指令，向读写器发送第一指令。相应的，读写器接收第一指令。

其中，第一指令的相关描述如上所述，不予赘述。

示例性的，服务器根据第一信息向第三设备发送第一指令可以包括：如果服务器确定第三设备和/或第三设备服务的读写器位于目标区域，则服务器根据第一信息向位于目标区域的第三设备发送第一指令。

其中，目标区域可以指待执行第一操作的区域。目标区域可以包括在允许操作区域(即操作请求方限定的可以在此执行操作的区域)中。可选的，服务器可以根据S702中存储的第三设备的信息与允许操作区域之间的对应关系，确定位于目标区域中的第三设备的信息。

例如，在操作请求方有对区域1内的终端执行盘点的需求的情况下，该操作请求方可以通过查表二，确定位于区域1中的读写器的信息：读写器_1的信息和读写器_2的信息，操作请求方根据根据读写器_1的信息确定位于目标区域的读写器_1，向读写器_1用于指示对终端进行盘点的指令，根据读写器_2的信息确定位于目标区域的读写器_2，向读写器_2发送用于指示对一个或者多个终端执行盘点操作的指令。

应理解，如果第三设备为读写器，第一信息包括读写器的信息，则S704可以替换描述为服务器根据读写器的信息，向读写器发送第一指令，比如通过控制面信道向读写器发送第一指令，或者通过读写器的用户面连接向读写器发送第一指令。

如果第三设备为控制面设备(比如AMF或者SMF或NEF)，则服务器可以根据第一信息向第三设备发送第一指令，由第三设备通过控制面信道向读写器发送第一指令。

例如，假设第三设备为SMF。第一信息包括读写器的信息，比如包括读写器的标识信息，SMF接收到第一指令后，可以根据读写器的标识信息向读写器发送第一指令。或者在第一信息未包括读写器的信息的场景下，SMF向其管理的/服务的读写器发送第一指令。其中读写器的标识信息的相关描述可参照上文所述，不再赘述。

如果第三设备为用户面设备(比如UPF)，则服务器可以根据第一信息向第三设备发送第一指令，由第三设备通过读写器与第三设备之间的用户面连接向读写器发送第一指令。

比如，第一信息可以包括读写器对应的N6接口地址信息，服务器可以根据读写器对应的N6接口地址信息，通过N6连接向UPF发送第一指令，由UPF通过读写器对应的N3隧道发送给读写器。

S705、响应于第一指令，读写器根据管理规则确定是否允许执行第一指令所指示的第一操作，和/或确定待被执行第一操作的目标终端(比如目标标签)。

应理解，根据管理规则确定是否允许执行第一指令所指示的第一操作可以包括根据管理规则确定允许执行第一操作或者根据管理规则确定不允许执行第一操作，此时，根据管理规则不判断/确定被执行第一操作的目标终端，被执行第一操作的目标终端可以是第一指令所指示的全部终端或者部分终端，也可以是第一指令所指示的终端之外的其他终端。

示例性的，读写器根据管理规则确定是否允许执行第一指令所指示的第一操作可以包括：确定第一操作是否满足管理规则中包括的操作属性，若满足，则确定允许执行第一操作。或者确定第一指令所指示的一个或多个终端是否满足管理规则中包括的终端属性，若满足，则确定允许执行第一操作。或者确定第一操作是否满足管理规则中包括的操作属性，以及确定第一指令所指示的一个或者多个终端是否满足管理规则中包括的终端属性，如果二者都满足，则确定允许执行第一操作，反之则确定不允许执行第一操作。

一种可能的实现中，当满足第一条件时，确定不允许执行第一操作，第一条件为以下条件中的一个或多个：第一操作的操作类型属于禁止操作的操作类型、执行第一操作的时间属于禁止操作的时间段、第一指令指示执行第一操作的位置信息属于禁止操作的位置信息、第一指令指示被执行第一操作的终端数量大于或等于单次操作终端数量阈值、累计操作终端数量大于或等于累计操作终端数量阈值、被执行操作的终端数量大于或等于被执行操作的终端数量阈值、累计操作次数大于或等于累计操作次数阈值、操作频率统计值大于或等于操作频率阈值、一个或多个终端未包括在允许操作的终端的标识信息所标识的终端中、一个或多个终端包括在禁止操作的终端的标识信息所标识的终端中。

又一种可能的实现中，读写器根据管理规则确定是否允许执行第一操作，包括：当满足第二条件时，读写器确定允许执行第一操作；第二条件为以下条件中的一个或多个：第一操作的操作类型属于允许操作的操作类型、执行第一操作的时间属于允许操作的时间段、第一指令指示执行第一操作的位置信息属于允许操作的位置信息、第一指令指示被执行第一操作的终端数量小于或等于单次操作终端数量阈值、累计操作终端数量小于或等于累计操作终端数量阈值、被执行操作的终端数量小于或等于被执行操作的终端数量阈值、累计操作次数小于或等于累计操作次数阈值、操作频率统计值小于或等于操作频率阈值、一个或多个终端包括在允许操作的终端的标识信息所标识的终端中、一个或多个终端未包括在禁止操作的终端的标识信息所标识的终端中。

应理解，本申请所述的“A属于B”可以理解为“A包括于B中”或“A包括在B中”或者“A中的部分或者全部包括在B中”。

本申请实施例中，累计操作终端数量可以指第一设备接收到第一指令之前累计的被执行操作的终端的总数量，也可以第一设备根据第一指令估算执行第一指令后的累计操作终端数量，比如将第一设备接收到第一指令之前累计的被执行操作的终端的总数量和第一指令指示被执行第一操作的终端的数量之和确定为累计终端数量，类似的，该计数规则可以适用于累计操作次数、被执行操作的终端数量等场景。比如累计操作次数可以指第一设备接收到第一指令之前已执行的操作的总数量，也可以第一设备根据第一指令估算累计操作次数，比如将第一设备接收到第一指令之前已执行的操作的总数量和第一指令所指示的第一操作的数量之和确定为累计操作次数。被执行操作的终端数量可以指第一设备接收到第一指令之前已被执行操作的终端的总数量，也可以第一设备根据第一指令估算执行第一指令后的被执行操作的终端数量，比如第一设备可以将接收到第一指令之前已被执行操作的终端的总数量和第一指令指示被执行第一操作的终端的数量之和确定为被执行操作的终端数量。这里在统计被执行操作的终端数量时，将重复被执行相同类型操作的一个终端计数为1，即不重复计算终端数量。在统计累计操作终端数量时，将重复被执行相同类型操作的一个终端计数为重复次数，即累计操作终端数量是可以被重复计算的。

例如，假设第一设备为读写器，第一指令包括{时间段9:00-9:30、终端1至终端100、盘点操作}、{时间段10:00-10:30、终端51至终端100、盘点操作}，则读写器根据第一指令估算出累计操作终端数量为150个，累计操作次数为150次，因终端51至终端100被重复执行2次盘点操作，在不重复执行被执行操作的终端数量的场景下，被执行操作的终端数量为100次。

本申请实施例中，一个或多个终端包括在禁止被操作的终端的标识信息所标识的终端中可以理解为一个或多个终端中的部分终端包括在禁止被操作的终端的标识信息所标识的终端中，也可以理解为一个或多个终端均包括在禁止被操作的终端信息所标识的终端中。

本申请实施例中，一个或多个终端未包括在允许被操作的终端的标识信息所标识的终端中可以理解为一个或多个终端中的部分终端未包括在允许被操作的终端的标识信息所述标识的终端中，也可以理解为一个或多个终端均未包括在允许被操作的终端的标识信息所标识的终端中。

例如，假设第一设备为读写器，终端为终端，第一指令包括{终端1至终端100、盘点操作}，允许被操作的终端的标识信息包括{终端1至终端50}，禁止被操作的终端的标识信息包括{终端51至终端100}，满足第一指令指示的部分终端包括在允许被操作的终端中，部分终端包括在禁止被操作的终端中，满足允许执行盘点操作的条件。

再一种可能的实现中，读写器根据允许的操作请求方的信息和/或禁止的操作请求方的信息，确定是否允许执行第一操作。比如，当第一操作的操作请求方的信息匹配禁止的操作请求方的信息时，读写器确定不允许执行第一操作；或者，当第一操作的操作请求方的信息不匹配允许的操作请求方的信息时，读写器确定不允许执行第一操作；或者，当第一操作的操作请求方的信息匹配允许的操作请求方的信息时，读写器确定允许执行第一操作；当第一操作的操作请求方的信息不匹配禁止的操作请求方的信息时，读写器确定允许执行第一操作。

应理解，本申请所述的“A匹配B”可以理解为“A与B相同”。

例如，假设第一设备为读写器，第一指令包括{企业1、终端1至终端100、盘点操作}，管理规则中允许的操作请求方包括企业1，与第一指令指示的操作请求方匹配，则确定允许执行盘点操作。

示例性的，根据管理规则确定待被执行第一操作的目标终端(比如目标标签)可以包括：在管理规则中允许操作的操作类型为第一操作的情况下，将管理规则中允许被操作的终端的标识信息所标识的终端确定为目标终端，此时确定出的目标终端可以包括在第一指令指示的一个或者多个终端中，也可以未包括在第一指令指示的一个或者多个多种终端。或者将管理规则中允许被操作的终端的标识信息所标识的、且包括在第一指令所指示的终端中的终端确定为目标终端。目标终端满足下述一项或者多项：目标终端对应的操作类型属于第一操作、执行第一操作的时间属于允许操作的时间段、执行第一操作的位置信息属于允许操作的位置信息、目标终端数量小于或等于单次操作终端数量阈值、累计操作终端数量小于或等于累计操作终端数量阈值、被执行操作的目标终端数量小于或等于被执行操作的终端数量阈值、目标终端包括在允许操作的终端的标识信息所标识的终端中、目标终端未包括在禁止操作的终端的标识信息所标识的终端中。

应理解，根据管理规则确定是否允许执行第一指令所指示的第一操作、根据管理规则确定待被执行第一操作的目标终端(比如目标标签)这两个过程可以是解耦的、各自单独执行，也可以结合执行。比如确定是否允许执行第一操作和根据规则确定待被执行第一操作的目标终端可以择一执行，也可以先确定是否允许执行第一操作，在确定允许执行第一操作之后，确定待被执行的第一操作的目标终端；或者，先确定待被执行第一操作的目标终端，再查看目标终端是否包括在第一指令所指示的终端中，若包括(比如目标终端与第一指令所指示的终端存在交集)，则确定允许对目标终端执行第一操作，反之，若不包括(比如目标终端与第一指令所指示的终端无交集)，则确定不允许执行第一操作。

例如，假设管理规则包括{允许被操作的终端的标识信息：终端1至终端100、允许的操作类型：盘点操作}，则根据管理规则可以获知待被执行盘点操作的终端有终端1至终端100，可以将终端1至终端100确定为目标终端(或者称为目标终端)。

又例如，假设第一设备为读写器，终端为终端，第一指令包括{企业1、终端1至终端100、盘点操作}，从表一可知，管理规则中允许的操作请求方包括企业1，第一指令指示的操作请求方包括在允许的操作请求方中，确定允许执行盘点操作。进一步的，从表一可知，企业1仅可以对终端1至终端50执行盘点操作，而终端51至终端100不属于企业1管理，是企业2管理的，则读写器根据管理规则可以确定待被执行盘点操作的目标终端为{终端1至终端50}，对终端1至终端50执行盘点操作，不对不属于企业1的终端51至终端100执行盘点操作。

进一步的，如果读写器确定允许执行第一操作，则执行S706-S708，反之，如果读写器确定不允许执行第一操作，则执行S709。

S706、读写器根据第二指令对目标终端执行第一操作。

其中，第二指令可以用于对目标终端执行第一操作。由S705可以可知读写器可以根据管理规则确定待被执行第一操作的目标终端。可以理解为，在一种可能的实现方式中，读写器可以根据管理规则确定第二指令。

一种可能的实现方式中，目标终端为第一指令所指示的全部终端，第一指令指示的终端与目标终端相同，第二指令与第一指令的作用相同，可以理解为第二指令即为第一指令。

又一种可能的实现方式中，第一指令指示的终端与目标终端不同，比如如果目标终端为第一指令所指示的一个或者多个终端中的部分终端，则第二指令为对第一指令更改后的指令，比如第二指令可以是删除第一指令包括的除目标终端之外的其他终端的标识信息得到的指令。或者如果第一指令所指示的终端为目标终端的子集，可以更改第一指令为第二指令，指示对目标终端执行第一操作，或者保存第一指令不变，第二指令即为第一指令。

例如，假设根据管理规则将终端1至终端100确定为待被执行盘点操作的目标终端(或者称为目标终端)，第一指令包括{终端1至终端100、盘点操作}，用于指示对终端1至终端100执行盘点操作，则此时目标终端与第一指令指示的终端相同，不更改指令，根据第一指令对终端1至终端100执行盘点操作。

又例如，假设根据管理规则将终端1至终端100确定为待被执行盘点操作的目标终端(或者称为目标终端)，第一指令包括{终端1至终端50、盘点操作}，则不更改指令，根据第一指令对终端1至终端50执行盘点操作，或者更改指令为第二指令{终端1至终端100、盘点操作}，指示对终端1至终端100执行盘点操作。

再例如，假设根据管理规则将终端1至终端50确定为待被执行盘点操作的目标终端(或者称为目标终端)，第一指令包括{终端1至终端100、盘点操作}，则目标终端为第一指令指示的部分终端，则更改第一指令为第二指令，第二指令包括{终端1至终端50、盘点操作}，用于指示对终端1至终端100执行盘点操作。

其中，读写器根据第二指令对目标终端执行第一操作可以理解为读写器在第二指令的指示下对目标终端执行第一操作。其中对目标终端执行第一操作的过程可以参照现有技术，不予赘述。比如盘点操作参考图2b的描述，读操作或写操作可参考图2c的描述，不再赘述。

S707、读写器向服务器发送操作结果。相应的，服务器接收操作结果。

其中，操作结果可以包括操作请求方的信息和/或终端数据。操作请求方的信息如上文所述，不再赘述。终端数据可以包括对目标终端执行第一操作过程中收集到的数据，比如执行盘点操作后盘点到的终端(比如标签)的信息、执行读操作后从终端(比如标签)中获取到的数据信息以及被成功读取的终端的信息、执行写操作后被成功写入信息的终端的信息、执行失效操作后被失效的终端的信息等。

S708、读写器根据操作结果和/或管理规则获取统计数据，并向核心网设备发送统计数据。相应的，核心网设备接收统计数据。

其中，接收统计数据的核心网设备可以包括UPF、AMF、SMF、NEF以及CHF中任一个或者多个。读写器可以周期性地发送统计数据，或者每次执行完操作后即发送统计数据。

其中，统计数据可以包括以下信息中的一项或多项：第一操作的操作类型、被执行第一操作的终端数量、累计操作终端数量、被执行操作的终端数量、操作频率统计值、累计操作次数、执行第一操作的时间、执行第一操作的持续时间、执行第一操作的位置。统计数据可以用于统计累计执行操作的次数和/或累计单次操作终端的数量、统计某段时间内服务器发起操作的次数，根据发起操作的次数计算得到的操作频率等。

一种可能的实现方式中，读写器根据操作结果和/或管理规则获取统计数据可以包括下述一项或者多项：当管理规则中包括操作类型的信息或者读写器获取到需要统计操作类型的指示信息时，其中操作类型的信息包括允许的操作类型和/或禁止的操作类型，读写器根据操作结果统计操作类型，其中需要统计操作类型的指示信息可以包括在管理规则中或者由读写器从其他设备获取；

当管理规则中包括单次操作终端数量阈值或者读写器获取到需要统计单次操作终端数量的指示信息时，读写器根据操作结果统计单次操作终端数量；需要统计单次操作终端数量的指示信息可以包括在管理规则中或者由读写器从其他设备获取；

当管理规则中包括累计操作终端数量阈值或者读写器获取到需要统计累计操作终端数量的指示信息时，读写器根据操作结果统计累计操作终端数量；需要统计累计操作终端数量的指示信息可以包括在管理规则中或者由读写器从其他设备获取；

当管理规则中包括被执行操作的终端数量阈值或者读写器获取到需要统计被执行操作的终端数量的指示信息时，读写器根据操作结果统计被执行操作的终端数量；需要统计被执行操作的终端数量的指示信息可以包括在管理规则中或由读写器从其他设备获取；

当管理规则中包括累计操作次数阈值或者读写器获取到需要统计累计操作次数的指示信息时，读写器根据操作结果统计累计操作次数；需要统计累计操作次数的指示信息可以包括在管理规则中或者由读写器从其他设备获取；

当管理规则中包括操作频率阈值或者读写器获取到需要统计操作频率阈值的指示信息时，读写器根据操作结果统计操作频率；需要统计操作频率阈值的指示信息可以包括在管理规则中或者由读写器从其他设备获取；

当管理规则中包括执行第一操作的时间信息或者读写器获取到需要统计执行第一操作的时间信息的指示信息时，读写器根据操作结果统计执行第一操作的时间信息，其中时间信息包括起始时间、持续时间或结束时间、允许操作的时间段、禁止操作的时间段中的一个或多个；需要统计执行第一操作的时间信息的指示信息可以包括在管理规则中或者由读写器从其他设备获取；

当管理规则中包括执行第一操作的位置信息或者读写器获取到需要统计执行第一操作的位置信息的指示信息时，读写器根据操作结果统计执行第一操作的位置信息，其中位置信息包括经纬度、坐标值、小区标识、跟踪区标识、网络标识、注册区域标识、切片标识、允许操作的位置信息、禁止操作的位置信息中的一个或多个。需要统计执行第一操作的位置信息的指示信息可以包括在管理规则中或者由读写器从其他设备获取。

例如，假设管理规则包括操作类型的信息、单次操作终端数量阈值、被执行操作的终端数量阈值。则在读写器对终端1至终端100执行盘点操作之后，获取到操作结果{盘点操作，终端1的信息、终端2的信息，…终端100的信息}，读写器根据管理规则统计操作类型为盘点操作，此次单次操作终端数量为100个，此次被执行操作的终端数量为100个，

进一步的，核心网设备根据接收到的统计数据生成计费信息和/或更新/修改管理规则。

S709、读写器向服务器发送响应消息，相应的，服务器接收响应消息。

其中，该响应消息可以包括操作失败指示、失败原因和操作请求方的信息中的至少一个，该响应消息可以用于指示对一个或多个终端执行第一操作失败。

基于图7所示方法，通过向服务器提供读写器的信息，使得服务器可以在发送指令前，确定执行第一操作的读写器，向读写器发送指令。此外，读写器接收都指令后，根据管理规则执行终端(比如标签)管理，例如判断是否允许执行该指令和/或确定待被执行操作的目标终端等，从而使得各个操作请求方在该管理规则下有序地对终端执行相应操作，防止某个操作请求方一直占用网络资源或者执行权限之外的操作。

图7以读写器根据管理规则对终端进行管理为例进行描述，需要说明的是，本申请不限于由读写器根据管理规则对终端进行管理，还可以由其他网元/设备根据管理规则对需要执行第一操作的终端进行管理，比如在图5所示蜂窝融合系统中，还可以由UPF根据管理规则对需要执行第一操作的终端进行管理。UPF接收来自服务器的用于指示对一个或多个终端执行第一操作的第一指令，之后，由UPF根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端。具体的，该过程参照图8或图9所示。

图8为本申请实施例提供的一种终端管理方法流程图，UPF根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端。图8所示的实施例可以适用图5的蜂窝融合架构，如图8所示，该方法包括以下步骤：

S801、可选的，读写器完成注册以及会话建立。

其中，S801与S701相同，不再赘述。

S802、UPF获取管理规则。

其中，管理规则的相关描述可以参照S702中所述。

其中，UPF获取管理规则的方式可参照S702中读写器获取管理规则的方式。

比如UPF可以从第二设备获取管理规则。第二设备可以包括但不限于UDM、UDR、PCF、NEF或者AMF中的任意一个。以第二设备为SMF为例，SMF上可以预先配置有管理规则，SMF可以在读写器的会话建立流程中或者在读写器完成会话建立流程之后，从本地获取管理规则，并向服务读写器的UPF发送管理规则。或者SMF可以从第二设备获取管理规则，在读写器的会话建立流程中或者在读写器完成会话建立流程之后向UPF发送获取到的管理规则。其中，会话建立流程可以是PDU会话建立流程。

又比如UPF上可以预配置管理规则，UPF可以从本地获取管理规则。

S803、服务器获取第一信息。

其中，如S703中所述，第一信息用于确定接收第一指令的第三设备，第一信息可以替换描述为第三设备的信息。在图5所示应用场景下，第三设备可以是UPF。

具体的，第一信息的相关描述、以及获取方式可以参照S703中所述，不再赘述。

S804、服务器根据第一信息向UPF发送第一指令。相应的，UPF接收第一指令。

一种可能的实现中，第一信息包括UPF的信息，UPF的信息可以包括UPF的位置信息、UPF的地址信息、UPF的端口信息、UPF的标识信息中的一个或者多个。服务器根据UPF的信息向UPF发送第一指令。

又一种可能的设计中，第一信息包括UPF管理/服务的读写器的信息，读写器的信息的相关描述可以参照S703中所述，不再赘述。服务器根据UPF管理/服务的读写器的信息，通过读写器对应的N6连接，向UPF发送第一指令。

例如，读写器的信息包括读写器对应的N6接口地址信息，读写器对应的N6接口地址信息用于建立N6连接，N6连接与该读写器对应的N3隧道之间存在映射关系。服务器可以根据读写器对应的N6接口地址信息，通过N6连接向UPF发送第一指令。

S804中，每个读写器有其对应的N6连接，每个N6连接有对应的N6接口地址信息，该N6口地址信息可以是静态地址信息，在一定时间内是不更改的。在存在多个读写器待接收第一指令的情况下，服务器可以分别通过这多个读写器对应的N6连接，向UPF发送第一指令，即服务器以单播方式向UPF发送第一指令。

S805、UPF根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端(比如目标标签)。

其中，S805与S705中读写器所执行的动作相同，不再赘述。

进一步的，如果UPF确定允许执行第一操作，则执行S806-S809，反之，如果UPF确定不允许执行第一操作，则执行S810。

S806、UPF向读写器发送第二指令，相应的，读写器接收第二指令。

其中，第二指令的相关描述与S706中相同，不再赘述。

示例性的，UPF可以通过读写器对应的N3隧道向读写器发送第二指令。

S807、读写器根据第二指令对目标终端执行第一操作。

其中，S807与S706相同，不再赘述。

S808、读写器向UPF发送操作结果，UPF将接收到操作结果发送给服务器。相应的，服务器接收操作结果。

其中，操作结果的相关描述可以参照S707中所述，不再赘述。

S809、UPF根据操作结果和/或所述管理规则获取统计数据，并向核心网设备发送统计数据。相应的，核心网设备接收统计数据。

其中，统计数据的相关描述以及S809的执行过程与S708相同，不再赘述。

S810、UPF向服务器发送响应消息，相应的，服务器接收响应消息。

其中，该响应消息可以包括操作失败指示、失败原因和操作请求方的信息中的至少一个，该响应消息可以用于指示对一个或多个终端执行第一操作失败。

基于图8所示方法，服务器可以获取UPF的信息或者UPF管理/服务的读写器的信息，使得服务器根据UPF的信息或者UPF管理/服务的读写器的信息向UPF发送指令。UPF接收都指令后，根据管理规则执行终端(比如标签)管理，例如判断是否允许执行该指令和/或确定待被执行操作的目标终端等，从而使得各个操作请求方在该管理规则下有序地对终端执行相应操作，防止某个操作请求方一直占用网络资源或者执行权限之外的操作。

需要说明的是，图8所述的UPF对终端进行管理的实施例中，UPF通过单播方式接收来自服务器的用于指示对终端进行操作的指令。可替换的，为提高资源利用率，与图8不同的，服务器还可以通过多播方式向UPF发送指令，换言之，UPF可以通过多播方式接收来自服务器的用于指示对终端进行操作的指令，该过程具体如图9所示。

图9为本申请实施例提供的一种终端管理方法流程图，如图8所述方法一样，图9中也是UPF根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端。图9所示的实施例也可以适用图5的蜂窝融合架构，但与图8不同的是，图9所示方法中服务器通过多播方式向UPF发送指令。如图9所示，该方法包括以下步骤：

S901、可选的，读写器完成注册以及会话建立。

其中，读写器的注册流程可以参照现有流程，不再赘述。

其中，会话建立流程可以参照S701中所述，与S701所述的会话建立流程不同是，为不同读写器配置同一N6口地址信息，SMF向UPF发送配置信息，配置这多个读写器对应的多个N3隧道与该同一N6口地址信息对应，即将不同读写器对应的N3隧道关联至同个N6接口，以便UPF将通过该N6口地址信息接收到的第一指令可以通过多个N3隧道转发至不同的读写器，提高资源利用率。

S902、UPF获取管理规则。

其中，S902与S802相同，不再赘述。

S903、服务器获取第一信息。

其中，S903与S803相同，不再赘述。

S904、服务器根据第一信息向UPF发送第一指令。相应的，UPF接收第一指令。

与S804不同的是，在S905中，多个读写器对应的N6接口地址信息相同，即多个读写器共享同一个N6连接，该N6连接与多个读写器对应的N3隧道之间存在映射关系。服务器可以通过该N6连接，向UPF发送第一指令，即服务器以多播方式(或者称为组播方式)向UPF发送第一指令，以便UPF接收到第一指令后通过多个N3隧道向多个读写器发送第一指令或第二指令。

例如，假设一个UPF服务N个读写器，N为大于或等于2的整数，当服务器需要向这些读写器发送指令时，均需要通过该UPF向读写器发送指令，如果采用单播方式，服务器实际上通过N个N6连接向同个UPF发送6条相同的指令。如果采用多播方式，则服务器只需通过一条N6连接向UPF发送一条指令，网络资源开销可以进一步降低。

S905、UPF根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端(比如目标标签)。

其中，S905与S805相同，不再赘述。

S906、UPF向读写器发送第二指令，相应的，读写器接收第二指令。

其中，第二指令的相关描述与S706中相同，不再赘述。

示例性的，UPF可以通过读写器对应的N3隧道向读写器发送第二指令。

S907、读写器根据第二指令对目标终端执行第一操作。

其中，S907与S706相同，不再赘述。

S908、读写器向UPF返回操作结果，UPF将接收到操作结果发送给服务器。相应的，服务器接收操作结果。

其中，操作结果的相关描述可以参照S707中所述，不再赘述。

S909、UPF根据操作结果和/或所述管理规则获取统计数据，并向核心网设备发送统计数据。相应的，核心网设备接收统计数据。

其中，统计数据的相关描述以及S909的执行过程与S708相同，不再赘述。

S910、UPF向服务器发送响应消息，相应的，服务器接收响应消息。

其中，该响应消息可以包括操作失败指示、失败原因和操作请求方的信息中的至少一个，该响应消息可以用于指示对一个或多个终端执行第一操作失败。

基于图9所示方法，服务器可以获取UPF的信息或者UPF管理/服务的读写器的信息，使得服务器根据UPF的信息或者UPF管理/服务的读写器的信息，通过同一N6连接(或者称为共享N6连接)向UPF发送指令。UPF接收都指令后，根据管理规则执行终端(比如标签)管理，例如判断是否允许执行该指令和/或确定待被执行操作的目标终端等，从而使得各个操作请求方在该管理规则下有序地对终端执行相应操作，防止某个操作请求方一直占用网络资源或者执行权限之外的操作。

图7以读写器根据管理规则对终端进行管理为例进行描述，图8或图9以UPF根据管理规则对终端进行管理为例进行描述，需要说明的是，本申请不限于由读写器或UPF根据管理规则对终端进行管理，还可以由其他网元/设备根据管理规则对需要执行第一操作的终端进行管理，比如在图6所示蜂窝融合系统中，还可以由AMF根据管理规则对需要执行第一操作的终端进行管理。AMF接收来自服务器的用于指示对一个或多个终端执行第一操作的第一指令，之后，由AMF根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端。具体的，该过程参照图10所示。

图10为本申请实施例提供的一种终端管理方法流程图，由AMF根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端。图10所示的实施例可以适用图6的蜂窝融合架构，如图10所示，该方法包括以下步骤：

S1001、可选的，读写器完成注册以及会话建立。

其中，S1001与S701相同，不再赘述。

应理解，图10所示方法中，因服务器通过控制面向AMF发送第一指令，并由AMF执行终端管理动作，不用通过用户面发送指令，S1001中的会话建立过程可以执行也可以不执行，不予限制。

S1002、服务器获取第一信息。

其中，如S703中所述，第一信息用于确定接收第一指令的第三设备，第一信息可以替换描述为第三设备的信息。在图6所示应用场景下，第三设备可以是AMF、NEF或者SMF中任一设备。本申请中以AMF为例进行说明，其他设备的执行过程可以参照图10所示方法。

在图6所示应用场景下，以第三设备为AMF为例，第一信息可以包括AMF的信息和/或AMF管理/服务的读写器的信息。如上所述，AMF的信息用于指示AMF，AMF的信息可以包括UPF的位置信息、UPF的地址信息、UPF的端口信息、UPF的标识信息中的一个或者多个。

具体的，第一信息的获取方式可以参照S703中所述，比如服务器可以通过订阅流程从第四设备获取第一信息。在图6所示应用场景下，第四设备可以包括NEF或者AMF或SMF等。

以第四设备为AMF、第三设备为AMF为例，获取第一信息的方式如图10中S1002a-S1002d所示：服务器向NEF发送订阅请求(Nnef_event exposure_subscribe request)，该订阅请求的相关描述可以参照S703中所述。NEF接收订阅请求，向AMF发送订阅请求(Namf_EventExposure_Subscribe Request)。可选的，NEF还向服务器发送响应(比如Nnef_EventExposure_Subscribe Response)。AMF接收订阅请求(Nnef_event exposure_subscribe request)，向NEF发送响应(比如Namf_EventExposure_Subscribe Response)。获取其管理的完成注册的读写器的信息，AMF向NEF发送事件通知(Namf_EventExposure_Notify)，事件通知消息中可以包括操作请求方的信息、读写器的信息和/或AMF的信息。NEF接收AMF发送的事件通知后，向服务器发送包括操作请求方的信息、读写器的信息和/或AMF的信息的事件通知(Nnef_EventExposure_Notify)。

应理解，服务器向NEF发送的订阅请求，NEF向AMF发送的订阅请求包括的信息是相同，只不过因通过不同的接口发送，使得订阅请求的英文命名不同。类似的，AMF向NEF发送的事件通知、NEF向服务器发送的事件通知包括的信息是相同的，只不过因通过不同的接口发送，使得事件通知的英文命名不同。

S1003、服务器根据第一信息，向第三设备发送第一指令。相应的，第三设备接收第一指令，向AMF发送第一指令。相应的，AMF接收第一指令。

例如，如图10中所示，假设第三设备为NEF，服务器根据第一信息，向NEF发送第一指令，NEF接收到第一指令后，转发给AMF。相应的，AMF通过NEF接收第一指令。

又例如，假设第三设备为AMF，服务器根据第一信息，向AMF发送第一指令，比如通过NEF或者SMF向AMF发送第一指令。AMF通过NEF或者SMF接收第一指令。

可选的，服务器还向NEF发送其他控制面信息。比如还可以向NEF发送读写器的信息和/或AMF的信息，以便NEF根据读写器的信息向服务该读写器的AMF发送第一指令，或者根据AMF的信息向AMF发送第一指令。其中读写器的信息和/或AMF的信息可以在S1003中所述的订阅流程中获取到。

又比如，服务器可以向NEF发送操作请求方的信息，NEF根据操作请求方的信息(比如操作请求方所在的DNN)，向该DNN对应的AMF发送第一指令。

进一步可选的，NEF还可以向AMF发送操作请求方的信息。

S1004、AMF根据管理规则确定是否允许执行第一操作和/或确定待被执行第一操作的目标终端(比如目标标签)。

其中，管理规则的相关描述可以参照S702中所述。

其中，AMF获取管理规则的方式可参照S702中读写器获取管理规则的方式。

比如AMF可以从第二设备获取管理规则。其中第二设备可以包括但不限于UDM、UDR、PCF、NEF或者SMF中的任意一个。以第二设备为SMF为例，SMF上可以预配置管理规则，SMF可以在读写器的注册流程之前或者注册流程中或者注册流程之后向AMF发送管理规则，还可以在读写器的会话建立流程中或者会话建立流程之后向AMF发送管理规则。

又比如AMF上可以预配置管理规则，AMF可以从本地获取管理规则。

其中，S1004与S705中读写器所执行的动作相同，不再赘述。

进一步的，如果AMF确定允许执行第一操作，则执行S1006-S1009，反之，如果AMF确定不允许执行第一操作，则执行S1010。

S1005、AMF向读写器发送第二指令，相应的，读写器接收第二指令。

其中，第二指令的相关描述可参照S706中所述，不再赘述。

可选的，AMF还可以向读写器发送操作请求方的信息；或者事件标识(referenceID或者event ID)，该事件标识与操作请求方对应，比如事件标识与操作请求方的信息之间存在映射关系，该事件标识用于指示是哪个操作请求方发送的操作指令。进一步的，AMF可以存储事件标识与操作请求方的信息之间的对应关系。

S1006、读写器根据第二指令对目标终端执行第一操作。

其中，S1006与S706相同，不再赘述。

S1007、读写器向AMF发送操作结果，由AMF通过NEF返回给服务器。相应的，服务器接收操作结果。

其中，操作结果的相关描述可参照S707中所述，不再赘述。

如果S1005中AMF还向读写器发送操作请求方的信息，则S1007中读写器还向AMF发送操作请求方的信息，比如将操作结果和操作请求方的信息一起发送给AMF。进一步的，AMF向NEF发送操作请求方的信息以及操作结果，NEF根据操作请求方的信息，确定是哪个操作请求方，向该操作请求方对应的服务器发送操作结果。

如果S1005中AMF还向读写器发送事件标识，则读写器还向AMF发送事件标识，比如将操作结果和事件标识一起发送给AMF，以指示AMF根据事件标识确定该事件对应的操作请求方的信息。进一步的，AMF接收到操作结果以及事件标识后，根据事件标识与操作请求方的信息之间的对应关系得到操作请求方的信息，向NEF发送操作请求方的信息以及操作结果，NEF根据操作请求方的信息确定是哪个操作请求方，向该操作请求方对应的服务器发送操作结果。

S1008、AMF根据操作结果和/或所述管理规则获取统计数据；可选的，AMF可以向核心网设备发送统计数据。相应的，核心网设备接收统计数据。一种可能的实现方式中，当核心网设备为AMF时，AMF获取统计数据后，向核心网设备发送统计数据为内部实现。另一种可能的实现方式中，AMF获取统计数据后，可以对统计数据执行处理，例如记录被执行操作的终端信息、终端数量等。对统计数据执行处理可以是内部实现。

其中，统计数据的相关描述以及S1008的执行过程与S708相同，不再赘述。

S1009、AMF向服务器发送响应消息，相应的，服务器接收响应消息。

其中，该响应消息可以包括操作失败指示、失败原因和操作请求方的信息中的至少一个，该响应消息可以用于指示对一个或多个终端执行第一操作失败。

基于图10所示方法，服务器可以获取AMF的信息或者AMF管理/服务的读写器的信息，使得服务器根据AMF的信息或者AMF管理/服务的读写器的信息向AMF发送指令。AMF接收都指令后，根据管理规则执行终端(比如标签)管理，例如判断是否允许执行该指令和/或确定待被执行操作的目标终端等，从而使得各个操作请求方在该管理规则下有序地对终端执行相应操作，防止某操作请求方一直占用网络资源或者执行权限之外的操作。

上述图4-图10所示实施例以不同设备根据管理规则管理终端(比如图1中的终端101)为例进行说明。需要说明的是，上述实施例中，终端可以替换为无源终端或者半无源终端，读写器可以替换为接入网设备，UPF可以替换为用户面网元，服务器可以替换为AF等，AMF可以替换为控制面网元，比如可以替换为SMF等其他设备等。上述实施例中的盘点操作可以替换为盘存操作，二者具备等同概念，可以互换使用。

此外，有些终端(比如图1中的终端101或者P-IoT终端)是功能非常简单的设备，它们的设计复杂度较低，且成本较低。这类终端可以称为无源终端(比如无源终端)。这类终端与核心网设备通过非接入层(non-access stratum，NAS)消息进行交互时，并不需要那么多种类的NAS消息，而且不需要NAS消息中携带那么多的信元，且所需信元的长度也不需要那么长。因此，为满足无源终端的设计复杂度较低且成本较低的要求，可以通过裁剪无源终端与核心网设备交互时的NAS消息，实现简化NAS消息的复杂度，进而达到简化无源终端的设计复杂度。

具体的，裁剪NAS消息的方法可以包括如下一种或者多种：一、多条NAS消息所指示的功能合并到一条NAS消息，从而减少NAS消息的条数，通过一条NAS消息实现多个功能。二、裁剪NAS消息中的信元，比如把NAS消息中信元的长度裁短，和/或者直接把NAS消息中不需要的信元删除。三、对NAS消息中的信元配置固定值，这些固定值可以预先配置在无源终端上，这样无源终端就可以直接忽略这些固定值对应的信元，而不需要对这些信元进行解析以及逻辑判断。从而减轻无源终端的设计复杂度。

但是，裁剪NAS消息可能会带来如下问题：现有的部分NAS消息是必选的，这些消息中的部分信元也是必选的，如果核心网设备接收到的NAS消息不是必选NAS消息和必选信元，核心网设备就会认为接收到NAS消息是出错的，从而反馈拒绝消息，影响无源终端的通信行为(比如数据传输等)。例如，信元有特定的格式或者长度，且该信元为8比特(bits)，如果核心网设备(比如AMF)接收到的NAS消息中的信元不是8bits，就认为该信元错误。又例如，对于某个必选信元，AMF检查该信元是否包含在NAS消息中，如果NAS消息中不包含该必选信元，就认为接收到的NAS消息是不完整的，从而拒绝无源终端通过该NAS消息发起的请求，比如在通过NAS消息请求注册的情况下，拒绝无源终端的注册、在通过NAS消息请求会话建立的情况下，拒绝无源终端的会话建立等。

为解决裁剪NAS消息带来的问题，本申请实施例还提供一种NAS消息的传输方法，该方法中，为无源终端配置对应的NAS协议，核心网设备接收到NAS消息后，可以先识别出该NAS消息是无源终端设备发送的NAS消息，再根据无源终端对应的NAS协议对接收到的NAS消息进行检查，比如忽略对某些必选NAS消息和/或接收到的NAS消息中第一信元的检查，比如即使没有收到必选NAS消息也不出错，或者不对必选NAS检查等。又比如，当检查到NAS消息中不存在第一信元时也不认为出错，或者不检查NAS消息中是否存在第一信元等。

本申请实施例中，必选NAS消息可以是有源终端与核心网设备交互必须要用到的NAS消息。第一信元可以是有源终端与核心网设备交互所使用的NAS消息中的必选信元，是有源终端与核心网设备交互的NAS消息中必须存在的信元，第一信元可以称为有源终端的NAS消息中的必选信元或者有源终端信元等，第一信元不可以从有源终端的NAS消息中删除，或者第一信元必选包括在有源终端的NAS消息中，不包括就出错。相对于无源终端来说，第一信元不是无源终端的NAS消息中的必选信元。比如第一信元可以不存在于无源终端的NAS消息中，或者第一信元可以存在于无源终端的NAS消息中，只不过无源终端的NAS消息中的第一信元的长度可以截短、可以被配置为固定值等。应理解，本申请中有源终端和无源终端为相对概念，有源终端可以指利用电池或者有线电源工作的终端，比如有源终端可以是手机、电脑。无源终端可以是利用太阳能或者感应电流产生的能量进行工作的终端。

本申请实施例中，有源终端对应的NAS协议可以称为有源终端NAS协议或者现有机制的NAS协议等。无源终端对应的NAS协议可以称为无源终端NAS协议，无源终端对应的NAS协议可以规定无源终端的NAS消息集成的功能、规定不再携带第一信元、忽略对第一信元的检查等中的一个或者多个。应理解，本申请不限制无源终端对应的NAS协议的命名，还可以称为第一协议或者其他名称的NAS协议等，不予限制。

本申请实施例中，第一信元可以包括下述一种或者多种：安全头类型(securityheader type)，填充位(spare half octet)，注册请求消息标识(registration requestmessage identity)，注册接受消息标识(registration accept message identity)，5GS注册结果(5GS registration result)，5GS注册类型(5GS registration type)，秘钥组标识(ngKSI)，终端的标识(5GS mobile identity)，PDU会话标识(PDU session identity)，流程交易标识(procedure transaction identity)，PDU会话建立请求标识(PDU sessionestablishment request message identity)，完整性保护最大速率(integrityprotection maximum data rate)，扩展协议鉴别器(extended protocoldiscriminator)，移动管理原因值(5GMM cause)，注册拒绝消息标识(registrationreject message identity)，PDU会话建立接受消息标识(PDU session establishmentaccept message identity)，会话管理原因值(5GSM cause)，PDU会话建立拒绝消息标识(PDU session establishment reject message identity)，授权QoS规则(authorizedQoS rules)，选择的PDU会话类型(selected PDU session type)，会话聚合最大比特率(session AMBR)，选择的会话与服务连续性模式(selected SSC mode)，安全模式命令消息标识(security mode command message identity)，重放终端安全能力(replayed UEsecurity capabilities)，选择的安全算法(selected NAS security algorithms)，安全模式完成消息标识(security mode complete message identity)，上行非接入层传输消息标识(UL NAS transport message identity)，下行非接入层传输消息标识(DL NAStransport message identity)，认证请求消息标识(authentication request messageidentity)，防降级(anti-bidding down，ABBA)，认证响应消息标识(authenticationresponse message identity)，认证结果消息标识(authentication result messageidentity)，认证失败消息标识(authentication failure message identity)，认证拒绝消息标识(authentication reject message identity)。

下面结合图11-图12对本申请实施例提供的NAS消息的传输方法进行介绍。其中本申请实施例提供的NAS消息的传输方法可以适用于图3-图6任一所示的通信系统。

图11为本申请实施例提供的一种NAS消息的传输方法的流程图，如图11所示，包括：

S1101：终端使用无源终端对应的NAS协议，向核心网设备发送NAS消息。相应的，核心网设备接收来自终端的NAS消息。

其中，终端可以是无源终端。核心网设备可以是AMF或者其他核心网设备，不予限制。

其中，终端向核心网设备发送NAS消息可以用于请求实现某一种或者多种功能，比如可以用于请求进行网络注册、安全认证、建立会话、修改会话中的一种或多种。

示例性的，终端使用无源终端对应的NAS协议，向核心网设备发送NAS消息可以包括：终端按照无源终端对应的NAS协议执行如下一种或者多种操作生成NAS消息：将多个功能集成在一条NAS消息中、删除NAS消息中的第一信元、截短信元的长度、设置固定值，向核心网设备发送生成的NAS消息。

例如，NAS消息可以为注册请求消息，该注册请求消息可以用于请求进行网络注册以及安全认证，比如该注册请求消息中除了包括用于请求网络注册的信元之外，该注册请求消息还可以第一信息，第一信息可以包括第一安全参数值、第一校验参数值和终端的标识中的一项或多项；第一信息可以用于第一网络设备对终端进行安全认证；或者，第一信息可以用于第一网络设备推演第一加密秘钥或者第一完整性保护秘钥。

本申请实施例中，第一安全参数值可以是随机值或者随机数、或者是接入类型信息、或者终端获取的其他安全参数值。第一校验参数值可以是令牌(Token)，或者消息认证码(message authentication code，MAC)值。

本申请实施例中，终端的标识可以用于标识终端，终端的标识可以用于标识终端。终端的标识可以理解为终端的标识信息。具体的，终端的标识可以为终端的IP地址或者终端的媒体接入控制(media access control，MAC)地址或者终端的国际移动用户识别码(international mobile subscriber identity，IMSI)，或者终端的永久标识信息(subscriber permanent identifier，SUPI)，5G全球用户设备的临时标识信息(5G globaluser temporary identifier，5G-GUTI)，或者电子产品代码(electronic product code，EPC)，或者传输标识(transponder ID，TID)。

本申请实施例中，第一加密秘钥可以用于采用加密算法对终端与核心网设备之间传输的信息进行加密处理。加密算法可以包括SM7认证协议、或者流加密算法、或者分组加密算法、或者Chaskey加密算法、或者高级加密算法(advanced encryption standard，AES)加密算法或者哈希加密算法或认证与秘钥协定(authentication and key agreement，AKA)算法。

本申请实施例中，第一完整性保护秘钥可以用于利用完整性保护算法，对终端与核心网设备之间传输的信息进行完整性保护。完整性保护算法可以包括密码块链接-消息认证码(cipher block chaining message authentication code，CBC-MAC)完整性校验算法，或者哈希完整性保护算法，或者哈希消息认证码(hash message authenticationcode，HMAC)完整性校验算法等。

本申请实施例中，第一网络设备可以理解为认证设备，用于进行安全认证。具备的，第一网络设备可以为核心网设备、或者鉴权服务器(比如鉴权服务器功能(authentication server function，AUSF)、或者统一数据管理网元(比如统一数据管理(unified data management，UDM))、认证，授权，统计(authentication authorizationand accounting，AAA)服务器或者是企业认证设备。

S1102：可选的，终端向核心网设备发送无源终端指示信息。应理解，此处无源终端指示也可以再步骤S1101发送。

其中，无源终端指示信息可以用于指示核心网设备使用无源终端对应的NAS协议与终端交互；或者无源终端指示信息可以指示该终端发送给NAS消息是使用无源终端发送的NAS消息。无源终端指示信息可以是一个显式指示，比如可以是二进制比特，二进制比特“1”表示使用无源终端对应的NAS协议进行交互；二进制比特“0”表示不使用无源终端对应的NAS协议进行交互。或者无源终端指示信息可以是注册类型或者设备类型，注册类型或设备类型可以指示使用无源终端对应的NAS协议。

应理解，无源终端指示信息为示例性命名，还可以命名为第一指示及其他名称。

示例性的，终端可以通过接入网设备向核心网发送无源终端指示信息，比如终端向接入网设备发送无源终端指示信息，由接入网设备将接收到的无源终端指示信息转发给核心网设备。或者终端可以直接向核心网设备发送无源终端指示信息，比如将无源终端携带在NAS消息中向核心网设备发送。

应理解，S1102为可选步骤，终端可以不将无源终端指示信息发送给核心网设备，而是由核心网设备从终端的签约信息中获知该无源终端指示信息，进而识别出接收到的NAS消息是无源终端发送的NAS消息。

S1103:核心网设备识别接收到的NAS消息是无源终端发送的NAS消息。

一种示例中，NAS消息中携带无源终端指示信息，核心网设备根据NAS消息中携带的无源终端指示信息获知NAS消息是无源终端发送的NAS消息。

又一种示例中，核心网设备根据终端的签约信息获知NAS消息是无源终端发送的NAS消息。比如，终端的签约信息中携带有终端的标识与终端类型的对应关系，核心网设备可以查询终端的签约信息，获知该终端属于无源终端，进而识别使用接收到来自无源终端的NAS消息，使用无源终端对应的NAS协议与该终端进行交互。

再一种示例中，核心网设备接收来自接入网设备的无源终端指示信息，根据无源终端指示信息获知NAS消息是无源终端发送的NAS消息。

S1104：核心网设备使用无源终端对应的NAS协议与终端交互。

示例性的，核心网设备使用无源终端对应的NAS协议与终端交互可以包括：核心网设备使用无源终端对应的NAS协议检查接收到NAS消息，比如忽略对NAS消息中的第一信元的格式检查或者长度检查，和/或忽略对NAS消息中的第一信元的存在性检查。

本申请实施例中，忽略对NAS消息中的第一信元的格式检查或者长度检查可以理解为即使该NAS消息中第一信元的格式或者长度不符合规定，也不认为出错，或者不对该NAS消息中第一信元的格式或者长度进行检查等。忽略对NAS消息中的第一信元的存在性检查可以理解为即使NAS消息中不包括第一信元，也不认为出错。

应理解，本申请所述的第一信元的格式可以包括第一信元在NAS消息中占用的比特位置，还可以包括第一信元的长度等。

例如，第一信元有特定的格式或者长度，且该第一信元为8比特(bits)，核心网设备(比如AMF)接收到NAS消息后，忽略对该NAS消息中第一信元的格式或者长度检查，即使第一信元不是8bits，长度被截短，也不认为该第一信元错误。又例如，对于某个第一信元，AMF检查该第一信元是否包含在NAS消息中，如果NAS消息中不包含该第一信元，也不认为接收到的NAS消息不完整，接受无源终端通过该NAS消息发起的请求，比如在通过NAS消息请求注册的情况下，接受无源终端的注册请求，在通过NAS消息请求会话建立的情况下，接受无源终端的会话建立请求等。

进一步的，核心网设备使用无源终端对应的NAS协议检查接收到的NAS消息之后，根据NAS消息执行相应功能。比如核心网设备使用无源终端的NAS协议识别出接收到的NAS消息为注册请求消息，该NAS消息除了请求进行网络注册之外，还用于请求对终端进行安全认证，该NSA消息包括第一安全参数值、第一校验参数值和终端的标识中的一项或多项的第一信息。核心网设备根据接收到的NAS消息对终端进行网络注册、以及执行对终端进行安全认证的过程。

本申请实施例所述的对终端进行安全认证的过程可以包括：核心网设备根据第一信息认证终端，或者核心网网设备根据第一信息推演第一加密秘钥或者第一完整性保护秘钥；或者，核心网设备向第一网络设备发送第一信息，以便第一网络设备根据第一信息认证终端或者根据第一信息推演第一加密秘钥或者第一完整性保护秘钥。

进一步的，对终端进行网络注册、以及对终端进行安全认证完成之后，所述方法还包括：核心网设备向终端发送注册接受消息，注册接受消息可以指示完成网络注册，注册接受消息可以包含第二信息，第二信息可以包含第二安全参数值和第二校验参数值中至少一项；第二信息可以用于终端认证网络，或者第二信息用于终端推演第二加密秘钥或者第二完整性保护秘钥。

本申请实施例中，第二安全参数值可以是随机值或者随机数、或者是接入类型信息、或者核心网设备获取的其他安全参数值。第二校验参数值可以是令牌(Token)或MAC值。

本申请实施例中，第二加密秘钥可以用于终端采用加密算法对终端与核心网设备之间传输的信息进行加密处理。

本申请实施例中，第二完整性保护秘钥可以用于终端利用完整性保护算法，对终端与核心网设备之间传输的信息进行完整性保护。

可选的，核心网设备使用无源终端对应的NAS协议检查接收到的NAS消息，根据NAS消息执行完相应功能(比如网络注册、安全认证等)之后，可以使用无源终端对应的NAS协议向终端返回响应消息。比如以注册接受消息为响应消息为例，核心网设备可以使用无源终端对应的NAS协议将注册接受消息携带在NAS消息中向终端发送。

其中，核心网设备向终端返回的NAS消息可以是经过裁剪的NAS消息，该NAS消息中忽略了部分或者全部第一信元，或者包含长度剪裁的部分或者全部第一信元；或者，包含配置固定值的部分或者全部第一信元。

基于图11所述的方法，核心网设备接收到NAS消息，可以识别接收到的NAS消息是否是无源终端发送的NAS消息，若是，则使用无源终端对应的NAS协议检查接收到的NAS消息，避免因无源终端发送给核心网设备的是裁剪后的NAS消息，导致核心网设备按照有源终端NAS协议(可以称为现有NAS协议)检查出错，影响终端通信的问题。

需要说明的是，图11中的终端可以为无源终端或者半无源终端，图11中的第一网络设备可以为核心网设备或者AUSF或者UDM或者AAA服务器或者是企业认证设备等，图11中的核心网设备可以是AMF或SMF等，图11中终端发往核心网设备的NAS消息可以是注册请求消息，核心网设备发往终端的NAS消息可以是注册接受消息。此外，本申请不限定无源终端指示信息的命名，还可以命名为其他名称，比如第一指示信息等。另外，本申请所述的用于安全认证的参数可以称为安全认证参数，比如图11中的安全参数值、校验参数值、加密秘钥或者第一完整性保护秘钥等都可以称为安全认证参数。

下面结合图12所示过程，假设终端为无源终端，第一网络设备为AAA服务器、核心网设备为AMF，安全认证参数包括在注册请求消息中，即使用一条NAS消息实现网络注册、安全认证，对图11所示方法进行描述。

图12为本申请提供的一种NAS消息的传输方法，如图12所示，包括：

S1200：无源终端和AAA服务器配置对称秘钥K值。

其中，无源终端可以是如图1所示的终端101。

其中，AAA服务器还可以替换为其他设备，比如还可以是AUSF或UDM或企业认证设备或者核心网设备等。

其中对称秘钥K值可以与无源终端的标识对应存储在AAA服务器上。

S1201：AF向AMF发送第一指令。相应的，AMF接收第一指令。

其中，第一指令可以用于指示对一个或者多个无源终端执行第一操作，第一操作如上文所述，可以包括盘点操作、读操作、写操作、失效操作或者其他与无源终端(比如无源标签)交互操作中的一种或者多种。

可选的，AF还向AMF发送管理规则以及其他信息。该管理规则可以用于AMF判断是否允许对执行AF发送的指令所指示的操作，和/或确定执行AF发送的指令所指示的操作的无源终端。具体的，管理规则的相关描述可参照上文所述，不予赘述。

示例性的，AF获取AMF的信息，根据AMF的信息通过网络开放功能(比如NEF)向AMF发送指令、管理规则。其中AF可操作上述图10所示方法中的S1002a、S1002d获取AMF的信息，不予赘述。

S1202：AMF向读写器发送第二指令。相应的，读写器接收第二指令。

其中，读写器可以为图3中的读写器，该读写器可以集成在RAN或者UE中，当该读写器集成在RAN中时，读写器可以理解为RAN，即由RAN执行读写器所执行的功能。当该读写器集成在UE时，读写器可以理解为UE，即由UE执行读写器所执行的功能。

其中，第二指令可以指示对无源终端执行第一操作。第二指令可以由AMF根据第一指令以及管理规则得到，无源终端为AMF根据管理规则从第一指令所指示的一个或者多个无源终端中，过滤/筛选出的被允许执行第一操作的无源终端。

应理解，当根据管理规则确定出执行第一操作的无源终端为第一指令所指示的无源终端时，第二指令即为第一指令。

S1203：读写器根据第二指令，对无源终端执行第一操作。如对无源终端执行盘点操作。

S1204：无源终端向AMF发送注册请求消息。相应的，AMF接收注册请求消息。

其中，注册请求消息可以携带在NAS消息中，注册请求消息可以由无源终端使用无源终端对应的NAS协议生成。注册请求消息可以包括无源终端的标识、安全认证参数以及无源终端指示信息，即把安全参数携带在注册请求消息，从而减少NAS消息的条数。

其中安全认证参数可以用于对无源终端进行安全认证鉴权，以验证无源终端的合法性。安全认证参数可以包括随机值RAND1、校验参数值Token1或者第一MAC值以及无源终端的标识。校验参数值Token1或者第一MAC值可以由无源终端根据RAND1以及对称秘钥K值生成。

其中无源终端指示信息用于指示AMF使用无源终端对应的NAS协议与无源终端交互。

S1205：AMF根据接收到的无源终端指示信息，确定使用无源终端对应的NAS协议与无源终端交互。比如AMF确定使用无源终端对应的NAS协议检查接收到的NAS消息。AMF忽略对NAS协议中的第一信元的格式检查和/或第一信元的长度检查；AMF忽略对NAS协议中的第一信元的存在性检查。

可选的，AMF使用无源终端对应的NAS协议检查接收到的NAS消息之后，可以从接收到NAS消息获知需要对无源终端进行网络注册以及安全认证。

S1206：AMF向AAA服务器发送安全认证参数。AAA服务器接收安全认证参数。

比如AMF将接收到的RAND1、Token1或者第一MAC值和无源终端的标识发送给AAA服务器。

S1207：AAA服务器根据无源终端的标识查询到秘钥K值，并根据获取的RAND1和秘钥K值计算新的校验参数值Token(nw)或者MAC(nw)。如果Token(nw)＝Token1或者MAC(nw)＝MAC，即认证成功。同时，AAA服务器生成随机值RAND2，并基于RAND1和RAND2生成校验参数值Token2或者第二MAC值。

S1208：AAA服务器根据秘钥K值、RAND1和RAND2推演出AAA服务器的秘钥K_auth。具体的，该推演过程可以参照现有过程，不予赘述。

S1209：AAA服务器向AMF发送认证响应消息。相应的，AMF接收认证响应消息。

其中，认证响应消息可以包含RAND1、RAND2，Token2或者第二MAC值和AAA服务器的秘钥K_auth。

S1210：AMF生成随机数RAND3，并根据接收到的AAA服务器的秘钥K_auth推演出完整性保护秘钥K_msg。

S1211：AMF开启上行计数器Count_UL和下行计数器Count_DL，将上行计数器和下行计数器的计数值作为新鲜性参数。

S1212：AMF使用无源终端对应的NAS协议向无源终端发送注册接受消息。相应的，无源终端接收注册接受消息。

其中，注册接受消息可以包含无源终端的标识，RAND1、RAND2以及Token2或者第二MAC值，即将终端对网络进行安全认证的参数携带在注册接受消息中，减少NAS消息的条数。

其中注册接受消息携带在NAS消息中，该NAS消息中可以忽略部分或者全部第一信元，或者对部分或者全部第一信元配置固定值，以降低NAS消息的设计复杂度，进而降低无源终端处理的NAS消息的复杂度。

S1213：无源终端根据获取的RAND1、RAND2和对称秘钥K值计算无源终端的校验参数值Token(terminal)或者MAC(terminal)。如果Token(terminal)等于其接收到的Token2或者MAC(terminal)等于其接收到的第二MAC值，即认证成功。

S1214：无源终端开启上行计数器Count_UL和下行计数器Count_DL，将上行计数器和下行计数器的计数值作为新鲜性参数。

S1215：无源终端根据对称秘钥K值、RAND1以及RAND2推演出完整性保护秘钥K_msg。无源终端推演出的完整性保护秘钥与S1210中所述的完整性保护秘钥K_msg相同。

S1216：可选的，读写器对无源终端执行读或者写操作。

S1217：无源终端向AMF发送会话建立请求(PDU session establishmentrequest)消息。相应的，AMF接收会话建立请求消息。

其中，会话建立请求消息可以是一个NAS消息，会话建立请求消息可以携带无源终端的标识、无源终端的读写结果、消息认证码(message authentication code，MAC)值以及计数值“count值”。还可以携带无源终端指示信息以及其他信息。

其中MAC值用于对无源终端与网络侧交互的消息进行完整性验证。

其中，会话建立请求消息中携带的信息可以是无源终端基于K_msg以及count值，利用完整性算法进行完整性保护后的信息。

S1218：AMF根据无源终端指示信息，判断使用无源终端对应的NAS协议与无源终端交互。该步骤与S1205步骤相同。比如，AMF忽略对NAS协议中的第一信元的格式检查或者长度检查；AMF忽略对NAS协议中的第一信元的存在性检查等。

进一步的，AMF检查完接收到的NAS消息后，触发SMF执行会话建立过程。

S1219：AMF向AF发送无源终端的盘点/读写结果。相应的，AF接收无源终端的盘点/读写结果。

基于图12所示方法，AMF接收到NAS消息可以识别接收到的NAS消息是否是无源终端发送的NAS消息，若是，则使用无源终端对应的NAS协议检查接收到的NAS消息，避免因无源终端发送给AMF的是裁剪后的NAS消息，导致AMF按照有源终端协议检查出错，影响终端通信的问题。同时，将安全认证参数携带在注册请求消息/注册接受消息中，即通过注册流程实现安全认证，减少NAS消息的条数，降低NAS消息的开销。

图12所示方法中由无源终端将无源终端指示信息携带在NAS消息中向AMF发送，以便AMF根据接收到的NAS消息中携带的无源终端指示信息，识别接收到的NAS消息是无源终端发送的NAS消息，进而使用无源终端对应的NAS协议与无源终端进行交互。可替换的，无源终端可以不将无源终端指示信息携带在NAS消息中向AMF发送，此时AMF还可以下述任一可能的设计方式识别NAS消息是无源终端发送的NAS消息：

一种可能的设计方式，无源终端向读写器(可以是RAN)发送无源终端指示信息，例如在S1203中向读写器发送无源终端指示信息。读写器向AMF发送无源终端指示信息，比如在S1204中由读写器向AMF发送，AMF根据来自读写器的无源终端指示信息，识别接收到的NAS消息是无源终端发送的NAS消息。

又一种可能的设计方式，读写器向AMF发送无源终端的标识，比如在S1204中由读写器向AMF发送，AMF接收到无源终端的标识后，向UDM发送用于请求获取无源终端的签约信息的获取请求，该获取请求中携带无源终端的标识，UDM接收到获取请求后，查询得到无源终端的签约信息，向AMF发送无源终端的签约信息，其中无源终端的签约信息携带无源终端指示信息，从而AMF根据无源终端的签约信息获知接收到的NAS消息是无源终端发送的NAS消息。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。相应的，本申请实施例还提供了通信装置，该通信装置可以为上述方法实施例中的第一设备、服务器、核心网设备、用户面设备、终端或者包含第一设备、服务器、核心网设备、用户面设备或者终端的功能的装置，或者为可用于上述设备的部件。可以理解的是，该通信装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可对每个特定的应用使用不同方法实现所描述的功能，但是这种实现不应认为超出本申请的范围。

图13为根据本申请实施例提供的一种通信装置的示意图。通信装置包括处理单元1301、接收单元1302和发送单元1303。处理单元1301用于实现通信装置对数据的处理。接收单元1302用于接收通信装置与其他单元或者网元的内容，发送单元1303用于接收通信装置与其他单元或者网元的内容。应理解，本申请实施例中的处理单元1301可以由处理器或处理器相关电路组件(或者，称为处理电路)实现，接收单元1302可以由接收器或接收器相关电路组件实现。发送单元1303可以由发送器或发送器相关电路组件实现。

示例性地，通信装置可以是通信装置设备，也可以是应用于通信装置设备中的芯片或者其他具有上述通信装置设备功能的组合器件、部件等。

示例性的，通信装置可以为图4至图12中任一的第一设备或服务器或者核心网设备或者用户面设备或者终端。

当该通信装置为第一设备时，处理单元1301用于通过接收单元1302获取用于对一个或多个终端执行第一操作的第一指令，根据管理规则确定是否允许执行第一操作，和/或确定待被执行第一操作的目标终端。

当该通信装置为服务器时，处理单元1301用于通过接收单元1302获取用于确定接收第一指令的第三设备的第一信息；第一信息用于确定接收第一指令的第三设备；处理单元1301用于根据第一信息向第三设备发送用于对一个或多个终端执行第一操作的第一指令。

当该通信装置为核心网设备时，接收单元1302用于获取用户面设备的地址信息，向第一读写器发送地址信息，以使第一读写器根据地址信息与用户面设备建立第一连接。向第二读写器发送地址信息，以使第二读写器根据地址信息与用户面设备建立第二连接。处理单元1301用于指示用户面设备与服务器建立第三连接，核心网设备指示用户面设备关联第一连接与第三连接，第二连接与第三连接。

当该通信装置为用户面设备时，接收单元1302用于与第一读写器建立第一连接，与第二读写器建立第二连接；处理单元1301用于关联第一连接与第三连接、第二连接与第三连接；第三连接为用户面设备与服务器之间建立的连接。

当该通信装置为终端时，接收单元1302用于使用无源终端对应的NAS协议，向核心网设备发送NAS消息，向核心网设备发送用于指示核心网设备使用无源终端对应的NAS协议与终端交互的无源终端指示信息。

当该通信装置为核心网设备时，接收单元1302用于接收来自终端的NAS消息；处理单元1301用于识别NAS消息是无源终端发送的NAS消息，使用无源终端对应的NAS协议与终端交互。

此外，上述各个单元还可以用于支持本文所描述的技术的其它过程。有益效果可参考前面的描述，此处不再赘述。

图14为根据本申请实施例提供的另一种通信装置的示意图，该通信装置包括：处理器1401、通信接口1402、存储器1403。其中，处理器1401、通信接口1402以及存储器1403可以通过总线1404相互连接；总线1404可以是外设部件互连标准(peripheral componentinterconnect，PCI)总线或扩展工业标准结构(extended industry standardarchitecture，EISA)总线等。上述总线1404可以分为地址总线、数据总线和控制总线等。为便于表示，图14中仅用一条线表示，但并不表示仅有一根总线或一种类型的总线。处理器1401可以是中央处理器(central processing unit，CPU)，网络处理器(networkprocessor，NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(Generic Array Logic，GAL)或其任意组合。存储器1403可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。

示例性的，通信装置可以为图4至图12中任一的第一设备或服务器或者核心网设备或者用户面设备或者终端。其中，处理器1401用于实现通信装置的数据处理操作，通信接口1402用于实现通信装置的接收操作和发送操作。

当该通信装置为第一设备时，处理器1401用于通过通信接口1402获取用于对一个或多个终端执行第一操作的第一指令，根据管理规则确定是否允许执行第一操作，和/或确定待被执行第一操作的目标终端。

当该通信装置为服务器时，处理器1401用于通过通信接口1402获取用于确定接收第一指令的第三设备的第一信息；第一信息用于确定接收第一指令的第三设备；服务器根据第一信息向第三设备发送用于对一个或多个终端执行第一操作的第一指令。

当该通信装置为核心网设备时，通信接口1402用于获取用户面设备的地址信息，向第一读写器发送地址信息，以使第一读写器根据地址信息与用户面设备建立第一连接。向第二读写器发送地址信息，以使第二读写器根据地址信息与用户面设备建立第二连接。处理器1401用于指示用户面设备与服务器建立第三连接，核心网设备指示用户面设备关联第一连接与第三连接，第二连接与第三连接。

当该通信装置为用户面设备时，通信接口1402用于与第一读写器建立第一连接，与第二读写器建立第二连接；处理器1401用于关联第一连接与第三连接、第二连接与第三连接；第三连接为用户面设备与服务器之间建立的连接。

当该通信装置为终端时，通信接口1402用于使用无源终端对应的NAS协议，向核心网设备发送NAS消息，向核心网设备发送用于指示核心网设备使用无源终端对应的NAS协议与终端交互的无源终端指示信息。

当该通信装置为核心网设备时，通信接口1402用于接收来自终端的NAS消息；处理器1401用于识别NAS消息是无源终端发送的NAS消息，使用无源终端对应的NAS协议与终端交互。

此外，上述各个模块还可以用于支持本文所描述的技术的其它过程。有益效果可参考前面的描述，此处不再赘述。

本申请实施例提供一种通信系统，其包括前述的第一设备以及服务器，其中，第一设备执行图7至图10中任一所示实施例中第一设备执行的方法，服务器执行图7至图10中任一所示实施例中服务器执行的方法。

本申请实施例还提供一种通信系统，包括核心网设备以及用户面设备，其中，核心网设备执行图9中核心网设备执行的方法，用户面设备执行图9中用户面设备执行的方法。

本申请实施例还提供一种通信系统，包括终端和核心网设备，其中，终端执行图11-图12中任一实施例中终端执行的方法。核心网设备执行图11-图12中任一实施例中核心网设备执行的方法。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，该计算机程序被计算机执行时，所述计算机可以实现上述图7至图12中任一所示的实施例所述的方法。

本申请实施例还提供一种计算机程序产品，所述计算机程序产品用于存储计算机程序，该计算机程序被计算机执行时，所述计算机可以实现上述图7至图12中任一所示的实施例所述的方法。

本申请还提供一种芯片，包括处理器。该处理器用于读取并运行存储器中存储的计算机程序，以执行本申请提供的方法中由第一设备、服务器、核心网设备、用户面设备或者终端中的相应操作和/或流程。可选地，该芯片还包括存储器，该存储器与该处理器通过电路或电线与存储器连接，处理器用于读取并执行该存储器中的计算机程序。进一步可选地，该芯片还包括通信接口，处理器与该通信接口连接。通信接口用于接收处理的数据和/或信息，处理器从该通信接口获取该数据和/或信息，并对该数据和/或信息进行处理。该通信接口可以是该芯片上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。

上述的芯片也可以替换为芯片系统，这里不再赘述。

本申请中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

另外，本申请的说明书和权利要求书及所述附图中的术语“第一”和“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (48)

1.一种终端管理方法，其特征在于，所述方法包括：

第一设备获取第一指令；所述第一指令用于对一个或多个终端执行第一操作；

第一设备根据管理规则确定是否允许执行所述第一操作，和/或，确定待被执行所述第一操作的目标终端。

2.根据权利要求1所述的方法，其特征在于，所述管理规则包括下述一项或者多项：允许的操作类型、禁止的操作类型、允许操作的时间段、禁止操作的时间段、允许操作的位置信息、禁止操作的位置信息、单次操作终端数量阈值、累计操作终端数量阈值、被执行操作的终端数量阈值、累计操作次数阈值、操作频率阈值、允许被操作的终端的标识信息、禁止被操作的终端的标识信息、允许对终端执行操作的读写器的数量。

3.根据权利要求1所述的方法，其特征在于，所述管理规则包括允许的操作请求方的信息和/或禁止的操作请求方的信息；

所述操作请求方的信息包括下述一项或者多项：所述操作请求方的名称信息、所述操作请求方的标识信息、所述操作请求方对应的数据网络名称信息、所述操作请求方对应的服务器的地址信息、所述操作请求方对应的服务器的端口信息、所述操作请求方对应的终端的标识信息。

4.根据权利要求3所述的方法，其特征在于，所述管理规则还包括下述一项或多项：

允许的操作类型、禁止的操作类型、允许操作的时间段、禁止操作的时间段、允许操作的位置信息、禁止操作的位置信息、单次操作终端数量阈值、累计操作终端数量阈值、被执行操作的终端数量阈值、累计操作次数阈值、操作频率阈值、允许被操作的终端的标识信息、禁止被操作的终端的标识信息、允许对终端执行操作的读写器的数量。

5.根据权利要求3或4所述的方法，其特征在于，所述第一设备根据管理规则确定是否允许执行所述第一操作，包括：

所述第一设备根据所述允许的操作请求方的信息和/或禁止的操作请求方的信息，确定是否允许执行第一操作。

6.根据权利要求5所述的方法，其特征在于，所述第一设备根据所述允许的操作请求方的信息和/或禁止的操作请求方的信息，确定是否允许执行第一操作，包括：

当所述第一操作的操作请求方的信息匹配所述禁止的操作请求方的信息时，所述第一设备确定不允许执行所述第一操作；或者，

当所述第一操作的操作请求方的信息不匹配所述允许的操作请求方的信息时，所述第一设备确定不允许执行所述第一操作；或者，

当所述第一操作的操作请求方的信息匹配所述允许的操作请求方的信息时，所述第一设备确定允许执行所述第一操作；或者，

当所述第一操作的操作请求方的信息不匹配所述禁止的操作请求方的信息时，所述第一设备确定允许执行所述第一操作。

7.根据权利要求2所述的方法，其特征在于，所述第一设备根据管理规则确定是否允许执行所述第一操作，包括：当满足第一条件时，所述第一设备根据所述管理规则确定不允许执行所述第一操作；所述第一条件为以下条件中的一个或多个：

所述第一操作的操作类型属于所述禁止操作的操作类型；或者，

执行所述第一操作的时间属于所述禁止操作的时间段；或者，

所述第一指令指示执行所述第一操作的位置信息属于所述禁止操作的位置信息；或者，

所述第一指令指示被执行所述第一操作的终端数量大于或等于所述单次操作终端数量阈值；或者，

累计操作终端数量大于或等于所述累计操作终端数量阈值；或者，

被执行操作的终端数量大于或等于所述被执行操作的终端数量阈值；或者，

累计操作次数大于或等于所述累计操作次数阈值；或者，

操作频率统计值大于或等于所述操作频率阈值；或者，

所述一个或多个终端包括在所述禁止被操作的终端的标识信息所标识的终端中；或者，

所述一个或多个终端未包括在所述允许被操作的终端的标识信息所标识的终端中。

8.根据权利要求2所述的方法，其特征在于，所述第一设备根据管理规则确定是否允许执行所述第一操作，包括：当满足第二条件时，所述第一设备根据所述管理规则确定允许执行所述第一操作；所述第二条件为以下条件中的一个或多个：

所述第一操作的操作类型属于所述允许操作的操作类型；或者，

执行所述第一操作的时间属于所述允许操作的时间段；或者，

所述第一指令指示执行所述第一操作的位置信息属于所述允许操作的位置信息；或者，

所述第一指令指示被执行所述第一操作的终端数量小于或等于所述单次操作终端数量阈值；或者，

累计操作终端数量小于或等于所述累计操作终端数量阈值；或者，

被执行操作的终端数量小于或等于所述被执行操作的终端数量阈值；或者，

累计操作次数小于或等于所述累计操作次数阈值；或者，

操作频率统计值小于或等于所述操作频率阈值；或者，

所述一个或多个终端包括在所述允许操作的终端的标识信息所标识的终端中；或者

所述一个或多个终端未包括在所述禁止操作的终端的标识信息所标识的终端中。

9.根据权利要求1至8任一项所述的方法，其特征在于，所述方法还包括：

当所述目标终端不同于所述一个或多个终端时，所述第一设备将所述第一指令修改为第二指令，所述第二指令用于对所述目标终端执行所述第一操作。

10.根据权利要求1至8任一项所述的方法，其特征在于，所述方法还包括：

当所述目标终端不同于所述一个或多个终端时，所述第一设备根据所述管理规则，确定不允许执行所述第一操作。

11.根据权利要求1至10任一项所述的方法，其特征在于，当所述第一设备确定允许执行所述第一操作时，所述方法还包括：

当第一设备为读写器时，所述第一设备执行第一操作；或者，

当所述第一设备为移动管理设备时，所述第一设备向读写器发送所述第一指令或第二指令；或者，

当所述第一设备为会话管理设备时，所述第一设备通知用户面设备向读写器发送所述第一指令或第二指令；

其中，所述第二指令用于对所述目标终端执行所述第一操作。

12.根据权利要求1至10任一项所述的方法，其特征在于，当所述第一设备确定不允许执行所述第一操作时，所述方法还包括：

所述第一设备发送响应消息，所述响应消息包括操作失败指示、失败原因和操作请求方的信息中的至少一个。

13.根据权利要求1至12任一项所述的方法，其特征在于，所述方法还包括：

所述第一设备根据操作结果和/或所述管理规则，获取统计数据；所述统计数据包括以下信息中的一项或多项：所述第一操作的操作类型、被执行所述第一操作的终端数量、累计操作终端数量、被执行操作的终端数量、操作频率统计值、累计操作次数、执行所述第一操作的时间、执行所述第一操作的持续时间、执行所述第一操作的位置信息。

14.根据权利要求13所述的方法，其特征在于，所述方法还包括：

所述第一设备向核心网设备发送所述统计数据，核心网设备包括以下设备中的一个或多个：移动管理设备、会话管理设备、策略控制设备、用户面设备、计费设备。

15.根据权利要求1-14任一项所述的方法，其特征在于，

所述第一设备为读写器，或者用户面设备，或者控制面设备，或者服务器。

16.根据权利要求1-15任一项所述的方法，其特征在于，

所述管理规则预配置于所述第一设备上；或者，

所述管理规则由所述第一设备从第二设备获取。

17.根据权利要求1-16任一项所述的方法，其特征在于，

所述第一操作包括下述一种或者多种：盘点操作、读操作、写操作以及失效操作。

18.根据权利要求1-17任一项所述的方法，其特征在于，

所述第一指令包括所述一个或者多个终端的标识信息、位置信息、所述第一操作的操作请求方的信息、读写器的信息以及所述第一操作的操作类型中的一种或多种。

19.一种终端管理方法，其特征在于，所述方法包括：

服务器获取第一信息；所述第一信息用于确定接收第一指令的第三设备；

所述服务器根据所述第一信息向所述第三设备发送所述第一指令；其中，所述第一指令用于对一个或多个终端执行第一操作。

20.根据权利要求19所述的方法，其特征在于，

所述第三设备为读写器，或者用户面设备，或者控制面设备；

所述控制面设备包括移动管理设备或者网络开放设备。

21.根据权利要求19或20所述的方法，其特征在于，所述服务器根据所述第一信息向所述第三设备发送所述第一指令，包括：

所述服务器根据所述第一信息，确定所述第三设备或者所述第三设备服务的一个或多个读写器位于目标区域，所述服务器向所述第三设备发送所述第一指令。

22.根据权利要求19-21任一项所述的方法，其特征在于，所述第一信息包括所述第三设备的地址信息；所述第三设备的地址信息用于建立所述第三设备与所述服务器之间的用户面连接；所述服务器根据所述第一信息向所述第三设备发送所述第一指令包括：

所述服务器通过所述第三设备与所述服务器之间的用户面连接，向所述第三设备发送所述第一指令。

23.根据权利要求19-21任一项所述的方法，其特征在于，所述第一信息包括所述第三设备的标识信息；所述服务器根据所述第一信息向所述第三设备发送所述第一指令包括：

所述服务器根据第三设备的标识信息，通过控制面通道向所述第三设备发送所述第一指令。

24.根据权利要求19-23任一项所述的方法，其特征在于，所述服务器获取第一信息包括：

所述服务器从第四设备获取所述第一信息；所述第四设备包括所述第三设备、核心网设备或者读写器。

25.根据权利要求19-24任一项所述的方法，其特征在于，所述方法还包括：

所述服务器发送订阅请求；所述订阅请求用于请求获取一个或多个设备的信息；所述一个或多个设备包括所述第三设备；

所述服务器接收订阅响应；所述订阅响应包括所述一个或多个设备的信息。

26.根据权利要求25述的方法，其特征在于，

所述订阅请求包括以下信息中的一项或者多项：所述允许操作区域中的移动管理设备的信息、所述允许操作区域中的网络开放设备的信息、所述允许操作区域中的读写器的信息、所述允许操作区域中的用户面设备的信息、操作请求方的信息。

27.根据权利要求25或26所述的方法，其特征在于，所述第一信息包含于所述一个或多个设备的信息。

28.根据权利要求19-27任一项所述的方法，其特征在于，

所述第一信息包括以下信息中的一项或多项：所述第三设备的位置信息、所述第三设备的地址信息、所述第三设备的端口信息、所述第三设备的标识信息、所述第三设备与所述第三设备服务的一个或多个读写器的映射关系信息、所述第三设备服务的一个或多个读写器的位置信息、所述第三设备服务的一个或多个读写器的地址信息、所述第三设备服务的一个或多个读写器的端口信息、所述第三设备服务的一个或多个读写器的标识信息。

29.一种非接入层NAS消息的传输方法，其特征在于，所述方法包括：

终端使用无源终端对应的NAS协议，向核心网设备发送NAS消息；

所述终端向所述核心网设备发送无源终端指示信息；其中，所述无源终端指示信息用于指示所述核心网设备使用无源终端对应的NAS协议与所述终端交互。

30.根据权利要求29所述的方法，其特征在于，所述终端向核心网设备发送无源终端指示信息包括：

所述终端通过接入网设备向所述核心网设备发送所述无源终端指示信息；或者，

所述无源终端指示信息携带在所述NAS消息中。

31.根据权利要求29或30所述的方法，其特征在于，

所述NAS消息为注册请求消息，所述注册请求消息携带第一信息，所述第一信息包括第一安全参数值、第一校验参数值和所述终端的标识中的一项或多项；

所述第一信息用于第一网络设备对所述终端进行安全认证；或者，所述第一信息用于第一网络设备推演第一加密秘钥或者第一完整性保护秘钥。

32.根据权利要求31所述的方法，其特征在于，

所述第一网络设备为所述核心网设备、或者鉴权服务器、或者统一数据管理网元、AAA服务器或者是企业认证设备。

33.根据权利要求29-32任一项所述的方法，其特征在于，所述方法还包括：

所述终端接收注册接受消息，所述注册接受消息携带第二信息，所述第二信息包含第二安全参数值、第二校验参数值中的一项或者多项；

所述第二信息用于所述终端进行安全认证，或者所述第二信息用于所述终端推演第二加密秘钥或者第二完整性保护秘钥。

34.一种非接入层NAS消息的传输方法，其特征在于，所述方法包括：

核心网设备接收来自终端的NAS消息；

所述核心网设备识别所述NAS消息是无源终端发送的NAS消息；

所述核心网设备使用无源终端对应的NAS协议与所述终端交互。

35.根据权利要求34所述的方法，其特征在于，所述核心网设备识别所述NAS消息是无源终端发送的NAS消息，包括：

所述NAS消息中携带无源终端指示信息，所述核心网设备根据所述NAS消息中携带的无源终端指示信息识别所述NAS消息是无源终端发送的NAS消息；或者，

所述核心网设备根据所述终端的签约信息识别所述NAS消息是无源终端发送的NAS消息；或者，

所述核心网设备接收来自接入网设备的无源终端指示信息，根据所述无源终端指示信息识别所述NAS消息是无源终端发送的NAS消息。

36.根据权利要求34或35所述的方法，其特征在于，

所述NAS消息为注册请求消息，所述注册请求消息携带第一信息，所述第一信息包括第一安全参数值、第一校验参数值和所述终端的标识中的一项或多项；

所述第一信息用于第一网络设备对所述终端进行安全认证；或者，所述第一信息用于第一网络设备推演第一加密秘钥或者第一完整性保护秘钥。

37.根据权利要求36所述的方法，其特征在于，所述方法还包括：

所述核心网设备根据所述第一信息认证所述终端；或者，

所述核心网设备根据所述第一信息推演第一加密秘钥或者第一完整性保护秘钥；或者，

所述核心网设备向第一网络设备发送所述第一信息。

38.根据权利要求36或37所述的方法，其特征在于，

所述第一网络设备为所述核心网设备、或者鉴权服务器、或者统一数据管理网元、AAA服务器或者是企业认证设备。

39.根据权利要求36-38任一项所述的方法，其特征在于，所述方法还包括：

所述核心网设备向所述终端发送注册接受消息，所述注册接受消息包含第二信息，第二信息包含第二安全参数值和第二校验参数值中至少一项；

所述第二信息用于所述终端认证网络；或者，所述第二信息用于所述终端推演第二加密秘钥或者第二完整性保护秘钥。

40.根据权利要求34-39任一项所述的方法，其特征在于，所述核心网设备使用无源终端对应的NAS协议与所述终端交互，包括：

所述核心网设备忽略对所述NAS消息中的第一信元的格式检查或者长度检查；和/或，

所述核心网设备忽略对所述NAS消息中的第一信元的存在性检查。

41.根据权利要求34-40任一项所述的方法，其特征在于，所述无源终端对应的NAS协议定义有第一信元，所述核心网设备使用无源终端对应的NAS协议与所述终端交互，包括：

所述核心网设备向所述终端发送忽略了部分或者全部第一信元的NAS消息；或者

所述核心网设备向所述终端发送包含长度剪裁的部分或者全部第一信元的NAS消息；或者，

所述核心网设备向所述终端发送包含配置固定值的部分或者全部第一信元的NAS消息。

42.根据权利要求40或41所述的方法，其特征在于，所述第一信元包括以下任意一项：

安全头类型，填充位，注册请求消息标识，注册接受消息标识，5GS注册结果，5GS注册类型，秘钥组标识，终端的标识，PDU会话标识，流程交易标识，PDU会话建立请求标识，完整性保护最大速率，扩展协议鉴别器，移动管理原因值，注册拒绝消息标识，PDU会话建立接受消息标识，会话管理原因值，PDU会话建立拒绝消息标识，授权QoS规则，选择的PDU会话类型，会话聚合最大比特率，选择的会话与服务连续性模式，安全模式命令消息标识，重放终端安全能力，选择的安全算法，安全模式完成消息标识，上行非接入层传输消息标识，下行非接入层传输消息标识，认证请求消息标识，防降级ABBA，认证响应消息标识，认证结果消息标识，认证失败消息标识，认证拒绝消息标识。

43.一种通信系统，其特征在于，所述通信系统包括：

第一设备，用于获取第一指令，根据管理规则确定是否允许执行所述第一操作，和/或，确定待被执行所述第一操作的目标终端；其中，所述第一指令用于对一个或多个终端执行第一操作。

44.一种通信系统，其特征在于，所述通信系统包括：

服务器，用于获取第一信息，根据所述第一信息向所述第三设备发送所述第一指令；所述第一信息用于确定接收第一指令的第三设备；所述第一指令用于对一个或多个终端执行第一操作。

45.一种通信系统，其特征在于，所述通信系统包括：

终端，用于使用无源终端对应的非接入层NAS协议，向所述核心网设备发送NAS消息，向核心网设备发送无源终端指示信息；其中，所述无源终端指示信息用于指示所述核心网设备使用无源终端对应的NAS协议与所述终端交互；

所述核心网设备，用于接收来自所述终端的所述NAS消息，识别所述NAS消息是无源终端发送的NAS消息，使用无源终端对应的NAS协议与所述终端交互。

46.一种通信装置，其特征在于，包括处理器；所述处理器用于从存储器中读取并运行程序，以实现如权利要求1至18中任一项所述的方法；或者实现如权利要求19至28任一项所述的方法；或者实现权利要求29-33任一项所述的方法；或者实现如权利要求34-42任一项所述的方法。

47.一种包含指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得计算机执行如权利要求1至18中任一项所述的方法，或者权利要求19至28任一项所述的方法；或者实现权利要求29-33任一项所述的方法；或者实现如权利要求34-42任一项所述的方法。

48.一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得处理器执行如权利要求1至18中任一项所述的方法，或者权利要求19至28任一项所述的方法；或者实现权利要求29-33任一项所述的方法；或者实现如权利要求34-42任一项所述的方法。

Images