CN116600290A - 网络校验的方法和装置 - Google Patents

Abstract

本申请实施例提供了一种校验网络的方法，该方法包括：第一终端设备从第一网络设备接收第一MAC值和一个网络的标识信息，其中，所述第一MAC值为根据所述第一网络设备所在网络的标识信息及所述第一终端设备对应的密钥信息确定的；所述第一终端设备根据所述标识信息及所述密钥信息生成第二MAC值；所述第一终端设备确定所述第一MAC值与所述第二MAC值是否匹配。从而确保UE接入合法的网络，避免被服务网络欺骗接入网络，被非法计费或窃取数据。

Description

网络校验的方法和装置

本申请要求于2022年02月7日提交中国专利局、申请号为202210116589.6、发明名称为“网络校验的方法和装置”的专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信领域，并且更具体地，涉及一种网络校验的方法和装置。

背景技术

在第三代合作伙伴计划(3rd generation partnership project，3GPP)中，提出了UE进行选网的相关规则，例如，在UE上配置公共陆地移动网络的身份标识(public landmobile network ID，PLMN ID)的优先级列表，UE收到多个网络的广播信号后，根据这些网络的优先级来确定接入某个网络。但有的网络可能广播错误的网络ID，导致UE接入错误的网络，造成非法计费或数据丢失。例如，低优先级网络可能广播高优先级网络的ID，进而可以吸引UE接入该低优先级网络。

现有技术中，UE在访问PLMN网络时，服务网络会向UE和归属网络发送包括选网规则的选网信息，例如，发送服务网络名称(service network，SN name)。UE和归属网络使用第五代(5th generation，5G)认证和密钥协商(5G authentication and key agreement，5G AKA)和EAP’认证和密钥协商(extensible authentication protocol-authenticationand key agreement，EAP-AKA)方法认证收到的SN name是否一致。比如，UE可以通过判断自身根据SN name生成的密钥与归属网络生成的密钥是否相同来验证UE和归属网络收到的SNname是否一致。但在非公共网络(non-public network，NPN)场景中，UE和归属网络无法使用该方法对SN name进行校验，导致服务网络可以用高优先级PLMN ID欺骗UE接入，非法获取商业利益或获取UE的通信数据。

因此，亟需一种校验服务网络的机制，以确保UE接入合法的网络，防止被服务网络欺骗接入网络，从而避免被非法计费或窃取数据。

发明内容

本申请实施例提供一种网络校验的方法和装置，确保UE接入合法的网络。

第一方面，提供了一种校验网络的方法，该方法包括：第一终端设备从第一网络设备接收第一MAC值和一个网络的标识信息，其中，所述第一MAC值为根据所述第一网络设备所在网络的标识信息及所述第一终端设备对应的密钥信息确定的；所述第一终端设备根据所述标识信息及所述密钥信息生成第二MAC值；所述第一终端设备确定所述第一MAC值与所述第二MAC值是否匹配。

可以理解，所述第一终端设备根据所述一个网络的标识信息及所述第一终端设备对应的密钥信息生成第二MAC值。

根据本申请实施例提供的技术方案，第一终端设备可以根据收到的该标识信息和密钥信息生成第二MAC值，进而可以确定第一MAC值与所述第二MAC值是否匹配，从而可以校验第一网络设备收到的网络的标识信息和UE自身收到的网络的标识信息是否一致，因此可以防止被服务网络欺骗接入网络，从而防止被非法计费或窃取数据。

可以理解，第一终端设备可以根据从网络设备所在网络获取的标识信息和密钥信息生成第二消息认证码，进而可以确定第一MAC值与所述第二MAC值是否匹配，第一MAC值是根据该网络设备所在网络的标识生成的，从而该第一终端设备可以根据两个MAC值是否匹配来校验UE自身收到的网络的标识信息与该网络设备所在网络的标识信息是否一致，因此可以防止该第一终端设备被服务网络欺骗接入网络，从而防止被非法计费或窃取数据。

在一种实现方式中，第一网络设备和第一终端设备进行可扩展验证协议(extensible authentication protocol，EAP)认证，从而完成相互认证。

可选的一种实施方式中，所述密钥信息包括主会话密钥信息或扩展主会话密钥信息。

可以理解，所述密钥信息包括主会话密钥(master session key，MSK)信息或扩展主会话密钥(extend master session key，EMSK)信息。

可选的一种实施方式中，所述一个网络的标识信息包括：所述一个网络的服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个。

应理解，网络身份标识可以为网络身份标识(network ID，NID)，单网络片选择辅助信息可以是单网络片选择辅助信息(single network slice selection assistanceinformation，S-NSSAI)。

第二方面，提供了一种信息发送的方法，该方法包括：第一网络中的第一网络设备确定包括第二网络设备的第二网络的标识信息；所述第一网络设备根据所述标识信息及第一终端设备对应的密钥信息生成MAC值；所述第一网络设备向所述第二网络设备发送所述MAC值。

根据本申请实施例提供的技术方案，第一网络设备可以确定第二网络设备的第二网络的标识信息并进一步根据该标识信息以及第一终端设备对应的密钥信息生成MAC值，并将MAC值发送给第二网络设备，用于终端设备校验第一网络设备收到的网络的标识信息和UE自身收到的网络的标识信息是否一致，从而可以防止终端设备因被服务网络欺骗接入网络而被非法计费或窃取数据。

可以理解，第一网络设备将MAC值发送给第二网络设备，进而可以用于第一终端设备确定第一MAC值与所述第二MAC值是否匹配，进一步的来校验UE自身收到的网络的标识信息和第一网络设备收到的网络的标识信息是否一致，从而可以防止该第一终端设备因被服务网络欺骗接入网络而被非法计费或窃取数据。

在一种实现方式中，该第二网络可以是第一终端设备所在区域内可以收到广播信号的任意网络设备。

在一种实现方式中，第二网络设备可以根据第一终端设备的标识信息确定第一网络设备，进一步的，第二网络设备可以将第二网络的标识信息及第一终端设备的标识信息发送给第一网络设备。

其中，第一终端设备的标识信息可以是用户永久标识(subscription permanentidentifier，SUPI)或用户隐藏标识(subscription concealed identifier，SUCI)。

可选的一种实施方式中，所述第一网络设备确定所述标识信息，包括：所述第一网络设备根据本地配置确定所述标识信息；或者，所述第一网络设备从所述第二网络设备获取所述标识信息。

可选的一种实施方式中，所述第一网络设备确定所述第二网络的标识信息，包括：所述第一网络设备从所述第二网络设备获取所述第二网络的标识信息；所述方法还包括：所述第一网络设备获取所述第二网络设备的IP地址和/或证书；所述第一网络设备根据所述IP地址和/或证书，以及IP地址和/或证书与网络的标识信息的对应关系，确定所述IP地址和/或证书所对应的标识信息；所述第一网络设备确定所述第二网络的标识信息与所述IP地址和/或证书所对应的标识信息相同。

可以理解，第一网络设备的本地配置包括第二网络的IP地址和/或证书与网络的标识信息的对应关系。

可选的一种实施方式中，所述密钥信息包括主会话密钥信息或扩展主会话密钥信息。

可选的一种实施方式中，所述第二网络的标识信息包括：所述第二网络的服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个。

可选的一种实施方式中，第一网络设备向第二网络设备发送所述第一MAC值，还可以发送MSK或EMSK。相应的，第一终端设备通过第二网络设备接收所述第一MAC值和一个网络的标识信息，根据该标识信息和第一终端设备对应的密钥信息生成第二MAC值，比较该第二MAC值和第一MAC值是否一致。

可选的一种实施方式中，第一终端设备通过第二网络设备接收一个网络的标识信息，根据该标识信息和第一终端设备对应的密钥信息生成第二MAC值，通过第二网络设备向第一网络设备发送该第二MAC值，相应的，第一网络设备比较该第二MAC值和第一MAC值是否一致。

第三方面，提供了一种校验网络的装置，该装置包括：接收模块，用于从第一网络设备接收第一MAC值和一个网络的标识信息，其中，所述第一MAC值为根据所述第一网络设备所在网络的标识信息及所述第一终端设备对应的密钥信息确定的；处理模块，用于根据所述标识信息及所述密钥信息生成第二MAC值；所述处理模块，还用于确定所述第一MAC值与所述第二MAC值是否匹配。

可以理解，处理模块具体根据所述一个网络的标识信息及所述第一终端设备对应的密钥信息生成第二MAC值。

根据本申请实施例提供的技术方案，该校验网络的装置中处理模块可以根据从网络设备所述网络获取的标识信息和密钥信息生成第二MAC值，进而可以确定第一MAC值与所述第二MAC值是否匹配，从而该处理模块可以根据两个MAC值是否匹配来校验UE自身收到的网络的标识信息与该网络设备收到的网络的标识信息是否一致，因此可以防止第一终端设备被服务网络欺骗接入网络，从而防止被非法计费或窃取数据。

可选的一种实施方式中，所述密钥信息包括主会话密钥信息或扩展主会话密钥信息。

可选的一种实施方式中，所述一个网络的标识信息包括：所述一个网络的服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个。

第四方面，提供了一种信息发送的装置，该装置包括：确定模块，用于确定包括第二网络设备的第二网络的标识信息；处理模块，用于根据所述标识信息及第一终端设备对应的密钥信息生成MAC值；发送模块，用于向所述第二网络设备发送所述MAC值。

根据本申请实施例提供的技术方案，处理模块可以确定第二网络设备的第二网络的标识信息并进一步根据该标识信息以及第一终端设备对应的密钥信息生成MAC值，并将MAC值发送给第二网络设备，进而可以用于第一终端设备确定第一MAC值与所述第二MAC值是否匹配，进一步的来校验UE自身收到的网络的标识信息与该网络设备所在网络的标识信息是否一致，用进一步的来校验UE自身收到的网络的标识信息和第一网络设备收到的网络的标识信息是否一致，从而可以防止该第一终端设备因被服务网络欺骗接入网络而被非法计费或窃取数据。

可选的一种实施方式中，所述确定模块具体用于：根据本地配置确定所述标识信息；或者，从所述第二网络设备获取所述标识信息。

可选的一种实施方式中，所述确定模块具体用于：获取所述第二网络设备的IP地址和/或证书；根据所述IP地址和/或证书，以及IP地址和/或证书与网络的标识信息的对应关系，确定所述IP地址和/或证书所对应的标识信息；确定所述第二网络的标识信息与所述IP地址和/或证书所对应的标识信息相同。

可选的一种实施方式中，所述密钥信息包括主会话密钥信息或扩展主会话密钥信息。

可选的一种实施方式中，所述第二网络的标识信息包括：所述第二网络的服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个。

第五方面，提供了一种网络校验的装置，包括，用于实现权利要求1-3项中任一项所述的方法的模块或单元。

第六方面，提供了一种信息发送的装置，包括：用于实现权利要求4-8项中任一项所述的方法的模块或单元。

第七方面，提供了一种网络校验的装置，包括，处理器，存储器，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得该通信设备执行第或第二方面及其各种可能实现方式中的网络校验方法。

可选地，该处理器为一个或多个，该存储器为一个或多个。

可选地，该存储器可以与该处理器集成在一起，或者该存储器与处理器分离设置。

第八方面，提供了一种计算机可读存储介质，其特征在于，该计算机可读介质存储用于设备执行的程序代码，该程序代码包括用于执行第一方面或第二方面的方法。

第九方面，提供一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述各方面中的任意一种实现方式中的方法。

第十方面，提供一种芯片，该芯片包括处理器与数据接口，该处理器通过该数据接口读取存储器上存储的指令，执行上述各方面中的任意一种实现方式中的方法。

可选地，作为一种实现方式，该芯片还可以包括存储器，该存储器中存储有指令，该处理器用于执行该存储器上存储的指令，当该指令被执行时，该处理器用于执行上述各方面中的任意一种实现方式中的方法。

上述芯片具体可以是现场可编程门阵列(field-programmable gate array，FPGA)或者专用集成电路(application-specific integrated circuit，ASIC)。

附图说明

图1示出了适用于本申请实施例的通信系统架构100的示意图。

图2示出了适用于本申请实施例提供的通信系统的一种网络架构200示意图。

图3示出了适用于本申请实施例提供的校验网络的方法的一种示意性框图。

图4示出了适用于本申请实施例提供的校验网络的方法的又一种示意性框图。

图5示出了适用于本申请实施例提供的校验网络的方法的一种示意性交互图。

图6示出了适用于本申请实施例提供的校验网络的方法的又一种示意性框图。

图7示出了适用于本申请实施例提供的校验网络的方法的又一种示意性交互图。

图8示出了适用于本申请实施例提供的校验网络的装置的示意性框图。

图9示出了种适用于本申请实施例提供的校验网络的装置的一种示意性架构图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通讯(GlobalSystem of Mobile communication，GSM)系统、码分多址(Code Division MultipleAccess，CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统、通用分组无线业务(General Packet Radio Service，GPRS)、长期演进(Long TermEvolution，LTE)系统、LTE频分双工(Frequency Division Duplex，FDD)系统、LTE时分双工(Time Division Duplex，TDD)、通用移动通信系统(Universal MobileTelecommunication System，UMTS)、全球互联微波接入(Worldwide Interoperabilityfor Microwave Access，WiMAX)通信系统、第五代(5th Generation，5G)系统或新无线(NewRadio，NR)、或未来演进的系统等。

本申请实施例中的终端设备可以指用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5G网络中的终端设备或者未来演进的公用陆地移动通信网络(Public Land Mobile Network，PLMN)中的终端设备等，本申请实施例对此并不限定。

本申请实施例中的网络设备可以是用于与终端设备通信的设备，该网络设备可以是全球移动通讯(Global System of Mobile communication，GSM)系统或码分多址(CodeDivision Multiple Access，CDMA)中的基站(Base Transceiver Station，BTS)，也可以是宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统中的基站(NodeB，NB)，还可以是LTE系统中的演进型基站(Evolutional NodeB，eNB或eNodeB)，还可以是云无线接入网络(Cloud Radio Access Network，CRAN)场景下的无线控制器，或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等，本申请实施例并不限定。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为便于理解本申请实施例，对于相关术语及中英文解释进行如下定义：

为便于理解本申请实施例，首先结合图1简要说明本申请实施例的一种通信系统100的结构示意图。如图1所示，该通信系统100可以包括一个终端设备，例如图1所示的终端设备110，该通信系统100还可以包括多个网络设备，例如图1所示的网络设备121、网络设备122及网络设备123。其中，终端设备110可以与网络设备121、网络设备122及网络设备123任一网络进行通信连接。例如，当终端设备110所在区域可以收到这三个网络设备的广播信号时，终端设备110可以根据连接需求选择网络进行通信。

可能的一种方式中，终端设备110在所在区域收到上述三个网络设备的广播信号时，终端设备110可以根据三个网络设备的优先级来选择接入哪一个网络。例如，上述网络设备可以是PLMN，在该终端设备110上配置有PLMN ID的优先级列表，当终端设备110接收到PLMN1，PLMN2及PLMN3的广播信号时，UE会按优先级优先选择PLMN1，或者只收到PLMN2和PLMN3的广播信号时，则会优先选择PLMN2。

图2示出了本申请通信系统的一种网络架构200示意图。

如图2所示，该通信系统的网络架构包括但不限于以下网元：

1、用户设备(UE)：本申请实施例中的用户设备也可以称为：用户设备(userequipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。

用户设备可以是一种向用户提供语音/数据连通性的设备，例如，具有无线连接功能的手持式设备、车载设备等。目前，一些终端的举例为：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、蜂窝电话、无绳电话、会话启动协议(session initiationprotocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5G网络中的用户设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的用户设备等，本申请实施例对此并不限定。

作为示例而非限定，在本申请实施例中，该用户设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。

此外，在本申请实施例中，用户设备还可以是物联网(internet of things，IoT)系统中的用户设备。IoT是未来信息技术发展的重要组成部分，其主要技术特点是将物品通过通信技术与网络连接，从而实现人机互连，物物互连的智能化网络。

在本申请实施例中，IOT技术可以通过例如窄带(narrow band)NB技术，做到海量连接，深度覆盖，终端省电。例如，NB可以包括一个资源块(resource block，RB)，即，NB的带宽只有180KB。要做到海量接入，必须要求终端在接入上是离散的，根据本申请实施例的通信方法，能够有效解决IOT技术海量终端在通过NB接入网络时的拥塞问题。

另外，本申请实施例中的接入设备可以是用于与用户设备通信的设备，该接入设备也可以称为接入网设备或无线接入网设备，例如，接入设备可以是LTE系统中的演进型基站(evolved NodeB，eNB或eNodeB)，还可以是云无线接入网络(cloud radio accessnetwork，CRAN)场景下的无线控制器，或者该接入设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的接入设备或者未来演进的PLMN网络中的接入设备等，可以是WLAN中的接入点(access point，AP),可以是新型无线系统(new radio，NR)系统中的gNB本申请实施例并不限定。

另外，在本申请实施例中，用户设备还可与其他通信系统的用户设备进行通信，例如，设备间通信等。例如，该用户设备还可以与其他通信系统的用户设备进行时间同步报文的传输(例如，发送和/或接受)。

2、接入设备(AN/RAN)：本申请实施例中的接入设备可以是用于与用户设备通信的设备，该接入设备也可以称为接入网设备或无线接入网设备，例如，接入设备可以是LTE系统中的演进型基站(evolved NodeB，eNB或eNodeB)，还可以是云无线接入网络(cloudradio access network，CRAN)场景下的无线控制器，或者该接入设备可以为中继站、接入点、车载设备、可穿戴设备以及5G网络中的接入设备或者未来演进的PLMN网络中的接入设备等，可以是WLAN中的接入点(access point，AP)，可以是NR系统中的gNB本申请实施例并不限定。

另外，在本申请实施例中，接入设备是RAN中的设备，或者说，是将用户设备接入到无线网络的RAN节点。例如，作为示例而非限定，作为接入设备，可以列举：gNB、传输接收点(transmission reception point，TRP)、演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base stationcontroller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，homeevolved NodeB，或home Node B，HNB)、基带单元(base band unit，BBU)，或无线保真(wireless fidelity，Wifi)接入点(access point，AP)等。在一种网络结构中，网络设备可以包括集中单元(centralized unit，CU)节点、或分布单元(distributed unit，DU)节点、或包括CU节点和DU节点的RAN设备、或者控制面CU节点(CU-CP节点)和用户面CU节点(CU-UP节点)以及DU节点的RAN设备。

接入设备为小区提供服务，用户设备通过该小区使用的传输资源(例如，频域资源，或者说，频谱资源)与接入设备进行通信，该小区可以是接入设备(例如基站)对应的小区，小区可以属于宏基站，也可以属于小小区(small cell)对应的基站，这里的小小区可以包括：城市小区(metro cell)、微小区(micro cell)、微微小区(pico cell)、毫微微小区(femto cell)等，这些小小区具有覆盖范围小、发射功率低的特点，适用于提供高速率的数据传输服务。

此外，LTE系统或5G系统中的载波上可以同时有多个小区同频工作，在某些特殊场景下，也可以认为上述载波与小区的概念等同。例如在载波聚合(carrier aggregation，CA)场景下，当为UE配置辅载波时，会同时携带辅载波的载波索引和工作在该辅载波的辅小区的小区标识(cell indentification，Cell ID)，在这种情况下，可以认为载波与小区的概念等同，比如用户设备接入一个载波和接入一个小区是等同的。

本申请的通信系统还可以适用于车联网(vehicle to everything，V2X)技术，即，本申请的用户设备还可以是汽车，例如，智能汽车或自动驾驶汽车。

V2X中的“X”代表不同的通信目标，V2X可以包括但不限于：汽车对汽车(vehicleto vehicl，V2V)，汽车对路标设(vehicle to infrastructure，V2I)，汽车对网络(vehicleto network，V2N)，和汽车对行人(vehicle to pedestrian，V2P)。

在V2X中，接入设备可以为UE配置“区域(zone)”。其中，该区域也可以称为地理区域。当区域配置了以后，世界将被分成多个区域，这些区域由参考点、长、宽来进行定义。UE在进行区域标识(identifier，ID)确定的时候，会使用区域的长、宽、长度上面的区域数量、宽度上面的区域数量以及参考点进行余的操作。上述信息可以由接入设备进行配置。

V2X的业务可以通过两种方式提供：即，基于邻近服务通信(Proximity-basedServices Communication 5，PC5)接口的方式和基于Uu接口的方式。其中PC5接口是在直通链路(sidelink)基础上定义的接口，使用这种接口，通信设备(例如，汽车)之间可以直接进行通信传输。PC5接口可以在覆盖外(out of coverage，OOC)和覆盖内(in coverage，IC)下使用，但只有得到授权的通信设备才能使用PC5接口进行传输。

3、接入和移动性管理功能(Access and Mobility Management Function，AMF)网元：主要用于移动性管理和接入管理等，可以用于实现LTE系统中移动性管理实体(mobility management entity，MME)功能中除会话管理之外的其它功能，例如，合法监听以及接入授权/鉴权等功能。AMF网元为用户设备中的会话提供服务的情况下，会为该会话提供控制面的存储资源，以存储会话标识、与会话标识关联的SMF网元标识等。在本申请实施例中，可用于实现接入和移动管理网元的功能。

4、会话管理功能(Session Management Function，SMF)网元：主要用于会话管理、用户设备的网络互连协议(internet protocol，IP)地址分配和管理、选择和管理用户平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。在本申请实施例中，可用于实现会话管理网元的功能。

5、策略控制(Policy Control Function，PCF)网元：用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF，SMF网元等)提供策略规则信息以及基于流量的计费控制功能等。

6、统一数据管理(unified data management，UDM)网元：主要负责UE的签约数据的处理，包括用户标识的存储和管理、用户签约数据、鉴权数据等。

7、用户面功能(User Plane Function，UPF)网元：可用于分组路由和转发、或用户面数据的服务质量(quality of service，QoS)处理等。用户数据可通过该网元接入到数据网络(data network，DN)，还可以从数据网络接收用户数据，通过接入网设备传输给用户设备。UPF网元中为用户设备提供服务的传输资源和调度功能由SMF网元管理控制的。在本申请实施例中，可用于实现用户面网元的功能。

8、网络能力开放功能(Network Exposure Function，NEF)网元：用于安全地向外部开放由3GPP网络功能提供的业务和能力等，主要支持3GPP网络和第三方应用安全的交互。

9、应用功能(Application Function，AF)网元：用于进行应用影响的数据路由，接入网络开放功能网元，或，与策略框架交互进行策略控制等，例如影响数据路由决策，策略控制功能或者向网络侧提供第三方的一些服务。

10、网络切片选择功能(Network Slice Selection Function，NSSF)网元：主要负责网络切片选择，根据UE的切片选择辅助信息、签约信息等确定UE允许接入的网络切片实例。

11、认证服务器功能(Authentication Server Function，AUSF)网元：支持3GPP和非3GPP的接入认证。

12、网络存储功能(Network Repository Function,NRF)网元：支持网络功能的注册和发现。

13、统一数据存储功能(Unified Data Repository,UDR)网元：存储和获取UDM和PCF使用的签约数据。

在该网络架构中，N2接口为RAN和AMF实体的参考点，用于NAS(Non-AccessStratum，非接入层)消息的发送等；N3接口为RAN和UPF网元之间的参考点，用于传输用户面的数据等；N4接口为SMF网元和UPF网元之间的参考点，用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息。

应理解，图2中的UE、(R)AN、UPF和DN一般被称为数据面网络功能和实体，用户的数据流量可以通过UE和DN之间建立的PDU会话进行传输，传输会经过(R)AN和UPF这两个网络功能实体；而其他的部分则被称为控制面网络功能和实体，主要负责认证和鉴权、注册管理、会话管理、移动性管理以及策略控制等功能，从而实现用户层流量可靠稳定的传输。

需要说明的是，本申请实施例中，(R)AN、AMF可以称为服务网络，AUSF和UDM可以称为归属网络。

本申请中，上述服务网络可以理解为终端设备提供服务的网络，归属网络可以理解为存储或者管理终端设备的凭据的功能或者网络。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从传统点到点的架构和服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

应理解，图2中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

需要说明的是，上述“网元”也可以称为实体、设备、装置或模块等，本申请并未特别限定。并且，在本申请中，为了便于理解和说明，在对部分描述中省略“网元”这一描述，例如，将SMF网元简称SMF，此情况下，该“SMF”应理解为SMF网元或SMF实体，以下，省略对相同或相似情况的说明。

可以理解的是，上述实体或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

下面以具体的实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。

下图实施例，第一网络设备作为归属网络的一例，第二网络设备作为第二网络的服务网络的一例。

其中，第一网络设备作为第一终端设备的归属实体，第一网络设备可以是以AAA指代第一终端设备的归属实体，也可以是证书持有者(credential holder)或DCS或AUSF/UDM。

应理解，第一终端设备的归属实体根据不同场景可以是不同的网络实体，也可以是不同的名称指代。本申请实施例对此不作限定。

本申请中第一终端设备接入的网络可以叫做NPN网络，也可以叫做onboarding网络，也可以叫做服务网络。

图3是本申请实施例提供的网络校验的方法的一种示意性框图，方法300可以包括如下步骤：

S310，第一终端设备从网络设备接收第一MAC值和一个网络的标识信息。

一种可能的实施方式中，第一终端设备从第二网络设备接收第一MAC值和包括第二网络设备的第二网络的标识信息。相应的，第一网络设备可以通过第二网络设备向第一终端设备发送第一MAC值。

其中，该一个网络的标识信息可以是服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个，也可以是任意包括可以标识网络身份的信息。

应理解，该一个网络的标识信息可以理解为第一终端设备选择网络连接时的选网信息，即，第一终端设备在选择网络时，可以校验该网络的标识信息。

应理解，该一个网络可以是第一终端设备所在区域内可以收到广播信号的任意网络设备，例如，可以是第二网络。

S320，所述第一终端设备根据所述一个网络的标识信息及所述第一终端设备对应的密钥信息生成第二MAC值。

其中，第一终端设备的密钥信息可以是主会话密钥(master session key，MSK)或扩展主会话密钥(extend master session key，EMSK)。

应理解，上述第一终端设备生成的第二MAC值可以理解为，第一终端设备根据第一终端设备的MSK或EMSK，或其他密钥结合收到的一个网络的标识信息生成了一个该网络的MAC值。

应理解，在步骤S320之前，第一终端设备需要和第一网络设备相互认证。

一种可能的实施方式中，第一网络设备和第一终端设备进行EAP认证。

S330，所述第一终端设备确定所述第一MAC值与所述第二MAC值是否匹配。

当从一个网络接收的第一MAC值和第一终端设备生成的第二MAC值匹配时，校验成功，即，意味着，确定该网络为合法网络，该第一终端设备可以接入该网络中的网络设备；相应的，当第一MAC值和第一终端设备生成的第二MAC值不匹配时，校验失败，则确定该网络为非法网络，该第一终端设备不能接入该网络中的网络设备。

根据本申请实施例提供的技术方案，第一终端设备可以根据从网络设备获取的标识信息和密钥信息生成第二MAC值，进而可以确定第一MAC值与所述第二MAC值是否匹配，第一MAC值是根据该网络设备所在网络的标识生成的，从而该第一终端设备可以根据两个MAC值是否匹配来校验UE自身收到的网络的标识信息与该网络设备所在网络的标识信息是否一致，因此可以防止该第一终端设备被服务网络欺骗接入网络，从而防止被非法计费或窃取数据。

图4是本申请实施例提供的网络校验的方法的一种示意性框图，方法400可以包括如下步骤：

S410，第一网络设备确定包括第二网络设备的第二网络的标识信息。

一种可能的实施方式中，第一网络设备可以从第二网络设备接收所述第二网络的标识信息。相应的，第二网络设备向第一网络设备发送所述第二网络设备的标识信息。

其中，第二网络的标识信息可以是SN name、PLMN ID、NID、PLMN ID+NID及S-NSSAI中的至少一个，也可以是任意包括可以标识网络身份的信息。

应理解，该第二网络的标识信息可以理解为第一终端设备选择网络连接时的选网信息，即，第一终端设备在选择网络时，可以校验第二网络的标识信息。

应理解，该第二网络可以是第一终端设备所在区域内可以收到广播信号的任意网络设备。

具体的，第二网络设备可以根据第一终端设备的标识信息确定第一网络设备，进一步的，第二网络设备可以将第二网络的标识信息及第一终端设备的标识信息发送给第一网络设备。

其中，第一终端设备的标识信息可以是SUPI。

可以理解，第一终端设备的标识信息可以是SUCI。

可选的，第一网络设备还可以根据本地配置校验所述第二网络的标识信息。

具体的，第一网络设备从所述第二网络设备获取所述第二网络的标识信息后，第一网络设备根据本地配置确定该第二网络是否和该标识信息具有对应关系，该对应关系可以理解为第二网络有使用该标识信息的权限。

例如，第一网络设备可以获取第二网络设备的IP地址和/或证书，根据该IP地址和/或证书与网络的标识信息的对应关系，确定所述IP地址和/或证书所对应的标识信息，进一步的，第一网络设备确定所述第二网络的标识信息与所述IP地址和/或证书所对应的标识信息相同，则可以校验所述第二网络的标识信息正确。

可以理解，第一网络设备的本地配置包括第二网络的IP地址和/或证书与网络的标识信息的对应关系。

再例如，第一网络设备可以获取第二网络设备的证书，根据该证书中携带的PLMNID来验证标识信息，确定所述证书中携带的PLMN ID与所述第二网络的标识信息是否相同，则可以校验所述第二网络的标识信息是否正确。

可以理解，第一网络设备的本地配置包括第二网络的PLMN ID。

另一种可能的实施方式中，第一网络设备还可以根据本地配置获取该第二网络的标识信息。

具体的，第一网络设备根据本地配置直接确定第二网络设备的标识信息。

例如，第一网络设备根据本地配置可以直接查找到第二网络设备的IP地址和/或证书与网络的标识信息的对应关系，从而确定出第二网络网络设备所在网络的标识信息。

可以理解，第一网络设备的本地配置包括第二网络的IP地址和/或证书与网络的标识信息的对应关系。

再例如，第一网络设备根据本地配置可以查找到第二网络设备的证书，并从证书中获取第二网络设备所在网络的PLMN ID。

可以理解，第一网络设备的本地配置包括第二网络的PLMN ID。

S420，第一网络设备根据所述标识信息及第一终端设备对应的密钥信息生成MAC值。

具体的，第一网络设备根据所述第一终端设备的标识信息确定第一终端设备对应的密钥信息，进一步的，第一网络设备根据所述第二网络的标识信息和所述第一终端设备对应的密钥信息生成MAC值。

本申请中，第一网络设备根据所述包括第二网络设备的第二网络的标识信息和所述第一终端设备对应的密钥信息生成的MAC值可以记为第一MAC值。

其中，第一终端设备的密钥信息可以是主会话密钥(master session key，MSK)。

可以理解，该第一终端设备的密钥信息也可以是扩展主会话密钥(extend mastersession key，EMSK)。

应理解，上述第一网络设备生成的第一MAC值可以理解为，第一网络设备根据第一终端设备的MSK或EMSK，或其他密钥结合第二网络的标识信息生成了一个该服务网络(第二网络设备所在网络)的MAC值。

应理解，在步骤S420之前，第一网络设备需要和第一终端设备相互认证。

一种可能的实施方式中，第一网络设备和第一终端设备进行EAP认证。

S430，第一网络设备向第二网络设备发送所述MAC值。

本申请中，第一网络设备也可以接收第一终端设备发送的第二MAC值。

具体的，第一网络设备向第二网络设备发送所述第一MAC值，相应的，第二网络设备接收所述第一MAC值。或者，第一网络设备通过所述第二网络设备接收所述第一终端设备发送的第二MAC值，相应的，第一终端设备通过所述第二网络设备向所述第一网络设备发送所述第二MAC值。

一种可能的实施方式中，第一网络设备向第二网络设备发送所述第一MAC值，还可以发送MSK或EMSK。相应的，第一终端设备通过第二网络设备接收所述第一MAC值和一个网络的标识信息，根据该标识信息和第一终端设备对应的密钥信息生成第二MAC值，比较该第二MAC值和第一MAC值是否一致。

应理解，第一终端设备生成MAC值和第一网络设备生成MAC值的方式相同。

需要说明的是，第一网络设备可以通过第二网络设备向第一终端设备发送该第一MAC值，该第一MAC值承载在EAP消息中，也可以通过其他信令承载，例如，通过一条单独的消息携带该第一MAC值；再例如，在EAP认证交互消息中承载。

另一种可能的实施方式中，第一终端设备接收一个网络的标识信息，根据该标识信息和第一终端设备对应的密钥信息生成第二MAC值，通过第二网络设备向第一网络设备发送该第二MAC值，相应的，第一网络设备比较该第二MAC值和第一MAC值是否一致。

应理解，第一终端设备可以在进行EAP认证交互中，计算好所述第二MAC值并通过第二网络设备发送给第一网络设备进行校验。

可以理解，当第一网络设备生成的第一MAC值和第一终端设备生成的第二MAC值匹配时，校验成功，即，意味着，确定该第二网络为合法网络，该第一终端设备可以接入该第二网络中的第二网络设备；相应的，当第一网络设备生成的第一MAC值和第一终端设备生成的第二MAC值不匹配时，校验失败，则确定该第二网络为非法网络，该第一终端设备不能接入该第二网络中的第二网络设备。

根据本申请实施例提供的技术方案，第一网络设备可以确定第二网络标识信息并结合第一终端设备的密钥信息生成第一MAC值，第一终端设备可以根据收到的该标识信息和密钥信息生成第二MAC值，进而通过互相发送并互相校验可以确定第一MAC值与所述第二MAC值是否匹配，从而可以校验第一网络设备收到的网络的标识信息和UE自身收到的网络的标识信息是否一致，因此可以防止该第一终端设备被服务网络欺骗接入网络，从而防止被非法计费或窃取数据。

图5是本申请实施例提供的一种网络检验的方法的一种示意性交互图。图5的方法500是对应于图3的方法300的具体实施步骤。图5所示的方法可以包括如下步骤：

S501，UE发起注册请求，携带用户标识SUCI或SUPI。

具体的，UE向服务网络的AMF/SEAF发送请求消息#A，该请求消息#A用于向UE发起注册请求，该请求消息#A携带该UE的用户标识SUCI或SUPI。

S502，AMF向AUSF请求认证。

具体的，AMF向AUSF发送请求消息#B，该请求消息#B用于请求UE的主认证。

该请求消息#B携带UE的用户标识SUCI或SUPI，该用户标识用于AMF选择AUSF。

S503-S505，AUSF向UDM获取SUPI(该步骤可以省略。)

S503，AUSF向UDM发送请求消息#C，该请求消息#C用于启动一个Nudm_UEAuthentication_Get服务操作。

该请求消息#C携带UE的用户标识SUCI或SUPI，该用户标识用于AUSF选择UDM。

S504，UDM将SUCI解析为SUPI。

S505，UDM向AUSF发送响应消息#A，该消息消息#A包括所述UE的SUPI。

可以理解，步骤S503-步骤S505为AUSF向UDM获取SUPI，该步骤为可选的步骤。

S506，AUSF携带SUPI/SUCI向NSSAAF请求认证，可选携带SN name。

AUSF向NSSAF发送请求消息#D，该请求消息#D用于向NSSAAF请求认证，发起Nnssaaf_AIWF_Authenticate服务操作。该请求消息#D携带SUPI/SUCI。

可选的，还可以携带标识#a，该标识#a为包括服务网络的网络标识信息的一例，该网络标识信息可以是服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个，也可以是任意包括可以标识网络身份的信息。

S507，NSSAAF携带SUPI/SUCI向AAA请求认证，可选携带SN name。

NSSAAF向AAA服务器发送请求消息#E，该请求消息#E用于向AAA服务器请求认证，该请求消息#E携带SUPI/SUCI，可选的携带标识#a。应理解，NSSAAF可以根据SUPI选择AAA服务器，并进行相关的协议转换，再将请求消息#E发送给AAA服务器。

需要说明的是，NSSAAF判断AAA服务器支持标识#a的识别，才会将标识#a发送给AAA服务器。

一种可能的实现方式中，该请求消息#E可以通过AAA消息发送。

S508，AAA服务器根据请求消息#E确定标识#a。

例如，如果第7步携带SN name，则AAA根据本地配置(比如本地配置IP、证书与SNname的对应关系，或证书中携带PLMN ID)校验收到的SN name。如果第7步不携带SN name，则AAA根据本地配置获取SN name(比如本地配置IP、证书与SN name的对应关系，或证书中携带PLMN ID，则可以通过对端IP或证书获取SN name)。

具体的，AAA服务器确定包括服务网络的网络的标识信息。包括两种方式：

方式一：请求消息#E携带了标识#a，则AAA服务器根据本地配置确定该标识#a和该服务网络是否具有对应关系。

一种可能的实施方式中，AAA服务器可以根据该服务网络的IP地址和/或证书与网络的标识信息的对应关系，确定所述IP地址和/或证书所对应的标识信息，进一步的，AAA服务器确定所述标识#a与所述IP地址和/或证书所对应的标识信息相同，则可以校验所述标识#a是否正确。

可以理解，AAA服务器的本地配置包括服务网络的IP地址和/或证书与网络的标识信息的对应关系。

再例如，AAA服务器根据服务网络的证书中携带的PLMN ID来验证标识信息，确定所述证书中携带的PLMN ID与所述标识#a是否相同，则可以校验所述标识#a是否正确。

可以理解，AAA服务器的本地配置包括服务网络的PLMN ID。

方式二：请求消息#E没有携带标识#a，AAA服务器根据本地配置获取该服务网络的标识信息标识#a。

具体的，AAA服务器根据本地配置直接确定服务网络的标识信息。

例如，AAA服务器根据本地配置可以直接查找到服务网络的IP地址和/或证书与网络的标识信息的对应关系，从而确定出服务网络所在网络的标识信息。

可以理解，AAA服务器的本地配置包括服务网络的IP地址和/或证书与网络的标识信息的对应关系。

再例如，AAA服务器根据本地配置可以查找到服务网络的证书，并从证书中获取服务网络所在网络的PLMN ID。

可以理解，AAA服务器的本地配置包括服务网络的PLMN ID。

应理解，UE和AAA服务器需要进行认证。

一种可能的实施方式中，AAA服务器和UE进行EAP认证，完成相互认证。

S509，AAA服务器使用MSK或EMSK或其生成的其他密钥和标识#a生成第一MAC值。

可以理解，AAA使用MSK或EMSK或其生成的其他密钥和SN name生成新的密钥(示例命名MSK*)，然后将MSK*发送给AUSF。

示例性的，AAA服务器使用MSK或EMSK或其生成的其他密钥和SN name生成新的密钥，该新的密钥也可以是MAC值，然后将MAC值发送给AUSF。

S510-S513，将MSK*发送给AUSF，计算Kausf和Kseaf并发送给UE。

可以理解，AAA服务器也可以将MAC值发送给AUSF，计算Kausf和Kseaf并发送给服务网络的AMF。

S514，AMF通过NAS消息#A向UE发送第一MAC值。

相应的，UE接收该第一MAC值。

S515，UE侧采用相同的方式生成密钥。

例如，UE侧采用相同的方式生成第二MAC值。

具体的，UE通过步骤S510-S513获得Kausf，UE使用MSK或EMSK或其生成的其他密钥和标识#b生成第二MAC值。其中，标识#b为UE从服务网络接收的服务网络的网络标识信息的一例，该网络标识信息可以是服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个，也可以是任意包括可以标识网络身份的信息。

进一步的，UE确定第一MAC值和第二MAC值是否匹配。

应理解，UE生成MAC值和AAA服务器生成MAC值的方式相同。

另一种可能的实施方式中，UE通过服务网络接收一个网络的标识信息标识#b，根据该标识#b和UE对应的MSK/EMSK或其他密钥信息生成第二MAC值，通过服务网络向AAA服务器发送该第二MAC值，相应的，AAA服务器来执行验证，比较该第二MAC值和第一MAC值是否匹配。

应理解，UE可以在进行EAP认证交互中，计算好所述第二MAC值并发送给AAA服务器进行校验。

需要说明的是，UE需要配置是否采用网络标识信息(标识#b)进行MAC值生成的指示，然后根据指示确定是否执行MAC值的生成。

可以理解，当AAA服务器生成的第一MAC值和UE生成的第二MAC值匹配时，校验成功，即，意味着，该UE可以接入该服务网络中的网络设备；相应的，当AAA服务器生成的第一MAC值和UE生成的第二MAC值不匹配时，校验失败，则该UE不能接入该服务网络中的网络设备。

需要说明的是，由于本申请方案需要AAA进行升级，故可能存在无法升级的AAA，此时需要解决兼容性问题：

1、UE上配置是否采用SN name进行MSK*生成的指示。然后根据指示确定是否执行。

2、NSSAAF判断AAA支持SN name识别，才会将SN name发送给AAA。

应理解，UE上配置是否采用SN name进行MAC值生成的指示。然后根据指示确定是否执行。

根据本申请实施例提供的方案，将网络的标识信息(SN name)加入归属方密钥生成的方式，可以保证UE和归属方感知SN name，从而隐式的校验出收到的SN name是否一致。

具体的，归属网络可以确定服务网络发送的网络标识信息，并结合UE的密钥信息生成第一MAC值，UE可以根据收到的该标识信息和密钥信息生成第二MAC值，进而通过互相发送并互相校验可以确定第一MAC值与所述第二MAC值是否匹配，从而可以校验UE自身收到的网络的标识信息是否合法，因此可以防止被服务网络欺骗接入网络，从而防止被非法计费或窃取数据。

图6是本申请实施例提供的网络校验的方法的又一种示意性框图，方法500可以包括如下步骤：

S610，第一网络设备确定包括第二网络设备的第二网络的标识信息。

一种可能的实施方式中，第一网络设备可以从第二网络设备接收所述第二网络的标识信息。相应的，第二网络设备向第一网络设备发送所述第二网络设备的标识信息。

其中，第二网络的标识信息可以是SN name、PLMN ID、NID、PLMN ID+NID及S-NSSAI中的至少一个，也可以是任意包括可以标识网络身份的信息。

应理解，该第二网络的标识信息可以理解为第一终端设备选择网络连接时的选网信息，即，第一终端设备在选择网络时，可以校验第二网络的标识信息。

应理解，该第二网络可以是第一终端设备所在区域内可以收到广播信号的任意网络设备。

具体的，第二网络设备可以根据第一终端设备的标识信息确定第一网络设备，进一步的，第二网络设备可以将第二网络的标识信息及第一终端设备的标识信息发送给第一网络设备。

其中，第一终端设备的标识信息可以是SUPI。

应理解，该第一终端设备的标识信息也可以是SUCI。

可选的，第一网络设备还可以根据本地配置校验所述第二网络的标识信息。

具体的，第一网络设备从所述第二网络设备获取所述第二网络的标识信息后，第一网络设备根据本地配置确定该第二网络是否和该标识信息具有对应关系，该对应关系可以理解为第二网络有使用该标识信息的权限。

例如，第一网络设备可以获取第二网络设备的IP地址和/或证书，根据该IP地址和/或证书与网络的标识信息的对应关系，确定所述IP地址和/或证书所对应的标识信息，进一步的，第一网络设备确定所述第二网络的标识信息与所述IP地址和/或证书所对应的标识信息相同，则可以校验所述第二网络的标识信息正确。

可以理解，第一网络设备的本地配置包括第二网络的IP地址和/或证书与网络的标识信息的对应关系。

再例如，第一网络设备可以获取第二网络设备的证书，根据该证书中携带的PLMNID来验证标识信息，确定所述证书中携带的PLMN ID与所述第二网络的标识信息是否相同，则可以校验所述第二网络的标识信息是否正确。

可以理解，第一网络设备的本地配置包括第二网络的PLMN ID。

另一种可能的实施方式中，第一网络设备还可以根据本地配置获取该第二网络的标识信息。

具体的，第一网络设备根据本地配置直接确定第二网络设备的标识信息。

例如，第一网络设备根据本地配置可以直接查找到第二网络设备的IP地址和/或证书与网络的标识信息的对应关系，从而确定出第二网络网络设备所在网络的标识信息。

可以理解，第一网络设备的本地配置包括第二网络的IP地址和/或证书与网络的标识信息的对应关系。

再例如，第一网络设备根据本地配置可以查找到第二网络设备的证书，并从证书中获取第二网络设备所在网络的PLMN ID。

可以理解，第一网络设备的本地配置包括第二网络的PLMN ID。

S620，第一网络设备根据所述标识信息及第一终端设备对应的密钥信息生成MSK信息。

第一网络设备根据所述标识信息及第一终端设备对应的密钥信息生成的MSK信息可以是第一MSK*信息。

具体的，第一网络设备根据所述第一终端设备的标识信息确定第一终端设备对应的密钥信息，进一步的，第一网络设备根据所述第二网络的标识信息和所述第一终端设备对应的密钥信息生成MSK信息。

其中，第一终端设备的密钥信息可以是MSK或EMSK。

应理解，上述第一网络设备生成的更新的密钥信息可以理解为，第一网络设备根据第一终端设备的MSK或EMSK，或其他密钥结合第二网络的标识信息生成了一个该服务网络(第二网络设备)的另一个密钥信息，该密钥信息可以是MSK信息，以下实施例中以第一MSK*信息为例进行说明。

应理解，在步骤S620之前，第一网络设备需要和第一终端设备相互认证。

一种可能的实施方式中，第一网络设备和第一终端设备进行EAP认证，完成相互认证。

S630，第一网络设备向第二网络设备发送所述MSK信息。

具体的，第一网络设备向第二网络设备发送所述第一MSK*信息，相应的，第二网络设备接收所述第一MSK*信息。

一种可能的实施方式中，第一网络设备向第二网络设备发送所述第一MSK*信息，MSK或EMSK。相应的，第一终端设备通过第二网络设备接收所述第一MSK*信息和一个网络的标识信息，根据该标识信息和第一终端设备对应的密钥信息生成第二MSK*信息，比较该第二MSK*信息和第一MSK*信息是否一致。

应理解，第一终端设备生成第二MSK*信息和第一网络设备生成第一MSK*信息的方式相同。

需要说明的是，第一网络设备可以通过第二网络设备向第一终端设备发送该第一MSK*信息，该第一MSK*信息承载在EAP消息中，也可以通过其他信令承载，例如，通过一条单独的消息携带该第一MSK*信息；再例如，在EAP认证交互消息中承载。

可以理解，当第一网络设备生成的第一MSK*信息和第一终端设备生成的第二MSK*信息匹配时，校验成功，即，意味着，该第一终端设备可以接入该第二网络中的第二网络设备；相应的，当第一网络设备生成的第一MSK*信息和第一终端设备生成的第二MSK*信息不匹配时，校验失败，则该第一终端设备不能接入该第二网络中的第二网络设备。

根据本申请实施例提供的技术方案，第一网络设备可以确定第二网络标识信息并结合第一终端设备的密钥信息生成新的密钥信息，第一终端设备可以根据收到的该标识信息和密钥信息生成新的密钥信息，进而第一终端设备可以根据两个新的密钥信息是否匹配来校验自己生成的密钥信息与该网络设备所在网络的标识信息是否一致，从而可以校验UE自身收到的网络的标识信息是否合法，因此可以防止被服务网络欺骗接入网络，从而防止被非法计费或窃取数据。

图7是本申请实施例提供的一种网络检验的方法的一种示意性交互图。图7的方法700是对应于图6的方法600的具体实施步骤。

该实施例中，使用MSK或EMSK或其生成的其他密钥和SN name生成一个SN的MAC值，然后将该MAC值经服务网络发送给UE进行校验。

本实施例中，以NPN场景为例，其中，UE作为第一终端设备的一例，第二网络设备包括AMF/SEAF，AUSF，UDM，NSSAF等网络实体，第一网络设备以AAA服务器为例进行说明。

图7所示的方法可以包括如下步骤：

S701，UE向服务网络的AMF/SEAF发送请求消息#A，该请求消息#A用于发起注册请求，该请求消息#A携带该UE的用户标识SUCI或SUPI。

S702，AMF向AUSF发送请求消息#B，该请求消息#B用于请求UE的主认证。

该请求消息#B携带UE的用户标识SUCI或SUPI，该用户标识用于AMF选择AUSF。

S703，AUSF向UDM发送请求消息#C，该请求消息#C用于启动一个Nudm_UEAuthentication_Get服务操作。

该请求消息#C携带UE的用户标识SUCI或SUPI，该用户标识用于AUSF选择UDM。

S704，UDM将SUCI解析为SUPI。

S705，UDM向AUSF发送响应消息#A，该消息消息#A包括所述UE的SUPI。

可以理解，步骤S703-步骤S705为AUSF向UDM获取SUPI，该步骤为可选的步骤。

S706，AUSF向NSSAF发送请求消息#D，该请求消息#D用于向NSSAAF请求认证，发起Nnssaaf_AIWF_Authenticate服务操作。该请求消息#D携带SUPI/SUCI。

可选的，还可以携带标识#a，该标识#a为包括服务网络的网络标识信息的一例，该网络标识信息可以是服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个，也可以是任意包括可以标识网络身份的信息。

S707，NSSAAF向AAA服务器发送请求消息#E，该请求消息#E用于向AAA服务器请求认证，该请求信息#E携带SUPI/SUCI，可选的携带标识#a。应理解，NSSAAF可以根据SUPI选择AAA服务器，并进行相关的协议转换，再将请求消息#E发送给AAA服务器。

需要说明的是，NSSAAF判断AAA服务器支持标识#a的识别，才会将标识#a发送给AAA服务器。

一种可能的实现方式中，该请求消息#E可以通过AAA消息发送。

S708，AAA服务器根据请求消息#E确定标识#a。

具体的，AAA服务器确定包括服务网络的网络的标识信息。包括两种方式：

方式一：请求消息#E携带了标识#a，则AAA服务器根据本地配置确定该标识#a和该服务网络是否具有对应关系。

一种可能的实施方式中，AAA服务器可以根据该服务网络的IP地址和/或证书与网络的标识信息的对应关系，确定所述IP地址和/或证书所对应的标识信息，进一步的，AAA服务器确定所述标识#a与所述IP地址和/或证书所对应的标识信息相同，则可以校验所述标识#a是否正确。

可以理解，AAA服务器的本地配置包括服务网络的IP地址和/或证书与网络的标识信息的对应关系。

再例如，AAA服务器根据服务网络的证书中携带的PLMN ID来验证标识信息，确定所述证书中携带的PLMN ID与所述标识#a是否相同，则可以校验所述标识#a是否正确。

可以理解，AAA服务器的本地配置包括服务网络的PLMN ID。

方式二：请求消息#E没有携带标识#a，AAA服务器根据本地配置获取该服务网络的标识信息标识#a。

具体的，AAA服务器根据本地配置直接确定服务网络的标识信息。

例如，AAA服务器根据本地配置可以直接查找到服务网络的IP地址和/或证书与网络的标识信息的对应关系，从而确定出服务网络所在网络的标识信息。

可以理解，AAA服务器的本地配置包括服务网络的IP地址和/或证书与网络的标识信息的对应关系。

再例如，AAA服务器根据本地配置可以查找到服务网络的证书，并从证书中获取服务网络所在网络的PLMN ID。

可以理解，AAA服务器的本地配置包括服务网络的PLMN ID。

应理解，UE和AAA服务器需要进行认证。

一种可能的实施方式中，AAA服务器和UE进行EAP认证，完成相互认证。

S709，AAA服务器使用MSK或EMSK或其生成的其他密钥和标识#a生成第一MSK*信息。

S710-S713，AAA服务器将第一MSK*信息发送给服务网络中AUSF，AUSF根据第一MSK*信息计算出Kseaf，并发送给服务网络的AMF。

S714，AMF通过NAS消息#a向UE发送根据第一MSK*信息计算出的Kseaf。

相应的，UE接收该根据第一MSK*信息计算出的Kseaf。

S715，UE使用相同的方法生成第二MSK*信息，并计算出对应的Kseaf。

具体的，UE通过步骤S710-S713获得Kausf，UE使用MSK或EMSK或其生成的其他密钥和标识#b生成第二MSK*信息。其中，标识#b为UE从服务网络接收的服务网络的网络标识信息的一例，该网络标识信息可以是服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个，也可以是任意包括可以标识网络身份的信息。

进一步的，UE确定第一MSK*信息计算出的Kseaf和第二MSK*信息计算出的Kseaf是否匹配。

应理解，UE生成MSK*信息和AAA服务器生成MSK*信息的方式相同。

需要说明的是，SN_MAC的携带可以按图中所示方式，也可以其他流程承载，比如AAA单独给UE发送一条消息，消息中携带SN_MAC，或者在EAP认证交互消息中承载。上述只是一种示例方式。

可以理解，MSK*信息的携带可以按图中所示方式，也可以其他流程承载，比如AAA单独给UE发送一条消息，消息中携带SN_MAC，或者在EAP认证交互消息中承载。上述只是一种示例方式。

另外也可以由UE计算后，发给AAA进行校验，比如在EAP认证交互中，UE计算好SN__MAC后发送给AAA进行校验。

需要说明的是，UE上需要配置是否采用网络标识信息(标识#b)进行MSK*信息生成的指示，然后根据指示确定是否执行。

可以理解，当AAA服务器生成的MSK*信息和UE生成的MSK*信息匹配时，校验成功，即，意味着，该UE可以接入该服务网络中的网络设备；相应的，当AAA服务器生成的MSK*信息和UE生成的MSK*信息不匹配时，校验失败，则该UE不能接入该服务网络中的网络设备。

与方法500不同的是，采用显式的方式，下发归属方收到的SN name给UE校验，或者UE上报收到的SN name给AAA校验，同样能够完成对SN name的校验。

根据本申请实施例提供的技术方案，归属网络可以确定服务网络发送的网络标识信息并结合UE的密钥信息生成新的密钥信息(第一MSK*信息)，进而可以用于第一终端设备确定归属网络生成的新的秘钥信息与UE生成的新的秘钥信息是否匹配，进一步的来校验UE自身收到的网络的标识信息和归属网络收到的网络的标识信息是否一致，从而可以校验UE自身收到的网络的标识信息是否合法，因此可以防止被服务网络欺骗接入网络，从而防止被非法计费或窃取数据。

以上，结合图3至图7详细说明了本申请实施例提供的方法。以下，结合图8至图9详细说明本申请实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

该装置用于实现上述实施例及相关实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图8是本申请实施例提供的网络检验装置的示意性框图。该检验装置800包括收发单元810和处理单元820。收发单元810可以实现相应的通信功能，处理单元820可以读取存储单元中的指令和/或数据，以使得通信设备实现前述方法实施例。收发单元810还可以称为通信接口或通信单元。

该网络校验装置800还可以包括存储单元，可以用于存储指令和/或数据。

该网络校验装置800可以用于执行上文方法实施例中终端设备(UE)所执行的动作，这时，该网络校验装置800可以为终端设备或者可配置于终端设备的部件，收发单元810用于执行上文方法实施例中终端设备侧的收发相关的操作，处理单元820用于执行上文方法实施例中终端设备侧的处理相关的操作。

或者，该网络校验装置800可以用于执行上文方法实施例中网络设备(第一网络设备和第二网络设备)所执行的动作，收发单元810用于执行上文方法实施例中第一网络设备和第二网络设备的收发相关的操作，处理单元820用于执行上文方法实施例中第一网络设备和第二网络设备侧的处理相关的操作。

应理解，各单元执行相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

如图9所示，本申请实施例还提供一种网络校验装置900。该网络校验装置900包括处理器910，处理器910与存储器920耦合，存储器920用于存储计算机程序或指令和/或数据，处理器910用于执行存储器920存储的计算机程序或指令和/或数据，还包括收发器930，收发器930用于信号的接收和/或发送。例如，处理器910用于控制收发器930进行信号的接收和/或发送。使得上文方法实施例中的方法被执行。

可选地，该网络校验装置900包括的处理器910为一个或多个。

可选地，如图9所示，该网络校验装置900还可以包括存储器920。

可选地，该网络校验装置900包括的存储器920可以为一个或多个。

可选地，该存储器920可以与该处理器910集成在一起，或者分离设置。

作为一种方案，该网络校验装置900用于实现上文方法实施例中由终端设备(UE)执行的操作。

例如，处理器910用于实现上文方法实施例中由终端设备(UE)执行的处理相关的操作，收发器930用于实现上文方法实施例中由终端设备(UE)执行的收发相关的操作。

作为另一种方案，该网络校验装置900用于实现上文方法实施例中由网络设备(第一网络设备和第二网络设备)执行的操作。

例如，处理器910用于实现上文方法实施例中由网络设备(第一网络设备和第二网络设备)执行的处理相关的操作，收发器930用于实现上文方法实施例中由网络设备(第一网络设备和第二网络设备)执行的收发相关的操作。

应理解，上述处理器910和存储器920可以合成一个处理装置，处理器910用于执行存储器920中存储的程序代码来实现上述功能。具体实现时，该存储器920也可以集成在处理器910中，或者独立于处理器910。应理解，处理器1110也可以和前面网络校验装置中的各个处理单元相对应，收发器930可以和前面网络校验装置中的各个接收单元和发送单元相对应。

还应理解，收发器930可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器还可以进一步包括天线，天线的数量可以为一个或多个。收发器还可以是通信接口或者接口电路。

应理解，具体地，该网络校验装置900可对应于根据本申请实施例的方法300至方法700的终端设备和网络设备。该网络校验装置900可以包括方法500和700中的终端设备和网络设备执行的方法的单元，执行方法500和700中的网络设备和终端设备执行的方法的单元。各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，相应的有益效果也可参考前述方法实施例，为了简洁，在此不再赘述。

在一种可能的设计中，该芯片，例如可以为可用于装置中的通信芯片，用于实现装置中处理器910的相关功能。该芯片装置可以为实现相关功能的现场可编程门阵列，专用集成芯片，系统芯片，中央处理器，网络处理器，数字信号处理电路，微控制器，还可以采用可编程控制器或其他集成芯片。该芯片中，可选的可以包括一个或多个存储器，用于存储程序代码，当所述代码被执行时，使得处理器实现相应的功能。

可选的，上述实施例中涉及的存储器与处理器可以是物理上相互独立的单元，或者，存储器也可以和处理器集成在一起。

本申请实施例还提供了一种计算机可读存储介质，其上存储有用于实现上述方法实施例中的方法的计算机程序。当该计算机程序在计算机上运行时，使得该计算机可以实现上述方法实施例中的方法。

根据本申请实施例提供的方法，本申请提供一种计算机程序产品，包括计算机程序，当该计算机程序在计算机上运行时，使得该计算机可以执行上述方法实施例中的方法。

根据本申请实施例提供的方法，本申请还提供一种系统，其包括前述的一个或多个终端设备以及一个或多个网络设备。

上述各个装置实施例中网络设备与终端设备和方法实施例中的网络设备或终端设备完全对应，由相应的模块或单元执行相应的步骤具体单元的功能可以参考相应的方法实施例。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

应注意，本申请实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digitalsignal processor,DSP)、专用集成电路(application-specific integrated circuit,ASIC)、现场可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch-link DRAM，SLDRAM)和直接内存总线随机存取存储器(directram-bus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

根据本申请实施例提供的通信方法，本申请还提供一种计算机程序产品，该计算机程序产品上存储有计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行本申请的通信方法。

根据本申请实施例提供的通信方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行本申请的通信方法。

根据本申请实施例提供的通信方法，本申请还提供一种系统，其包括前述的装置或设备。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

上述各个装置实施例中网络侧设备与终端设备和方法实施例中的网络侧设备或终端设备对应，由相应的模块或单元执行相应的步骤，例如通信单元(收发器)执行方法实施例中接收或发送的步骤，除发送、接收外的其它步骤可以由处理单元(处理器)执行。具体单元的功能可以参考相应的方法实施例。其中，处理器可以为一个或多个。

在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在2个或更多个计算机之间。此外，这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所述领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (18)

1.一种网络校验的方法，其特征在于，包括：

第一终端设备从第一网络设备接收第一MAC值和一个网络的标识信息，其中，所述第一MAC值为根据所述第一网络设备所在网络的标识信息及所述第一终端设备对应的密钥信息确定的；

所述第一终端设备根据所述标识信息及所述密钥信息生成第二MAC值；

所述第一终端设备确定所述第一MAC值与所述第二MAC值是否匹配。

2.根据权利要求1所述的方法，其特征在于，所述密钥信息包括主会话密钥信息或扩展主会话密钥信息。

3.根据权利要求1或2所述的方法，其特征在于，所述一个网络的标识信息包括：所述一个网络的服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个。

4.一种信息发送方法，其特征在于，包括：

第一网络中的第一网络设备确定包括第二网络设备的第二网络的标识信息；

所述第一网络设备根据所述标识信息及第一终端设备对应的密钥信息生成MAC值；

所述第一网络设备向所述第二网络设备发送所述MAC值。

5.根据权利要求4所述的方法，其特征在于，所述第一网络设备确定所述标识信息，包括：

所述第一网络设备根据本地配置确定所述标识信息；或者，

所述第一网络设备从所述第二网络设备获取所述标识信息。

6.根据权利要求4或5所述的方法，其特征在于，

所述第一网络设备确定所述第二网络的标识信息，包括：所述第一网络设备从所述第二网络设备获取所述第二网络的标识信息；

所述方法还包括：

所述第一网络设备获取所述第二网络设备的IP地址和/或证书；

所述第一网络设备根据所述IP地址和/或证书，以及IP地址和/或证书与网络的标识信息的对应关系，确定所述IP地址和/或证书所对应的标识信息；

所述第一网络设备确定所述第二网络的标识信息与所述IP地址和/或证书所对应的标识信息相同。

7.根据权利要求4所述的方法，其特征在于，所述密钥信息包括主会话密钥信息或主扩展会话密钥信息。

8.根据权利要求4-7项中任一项所述的方法，其特征在于，所述第二网络的标识信息包括：所述第二网络的服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个。

9.一种网络校验的装置，其特征在于，包括：

接收模块，用于从网络设备接收第一MAC值和一个网络的标识信息，其中，所述第一MAC值为根据所述网络设备所在网络的标识信息及第一终端设备对应的密钥信息确定的；

处理模块，用于根据所述一个网络的标识信息及所述第一终端设备对应的密钥信息生成第二MAC值；

所述处理单元，还用于确定所述第一MAC值与所述第二MAC值是否匹配。

10.根据权利要求9所述的装置，其特征在于，所述密钥信息包括主会话密钥信息或扩展主会话密钥信息。

11.根据权利要求9或10所述的装置，其特征在于，所述一个网络的标识信息包括：所述一个网络的服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个。

12.一种信息发送装置，其特征在于，包括：

处理模块，用于确定包括第二网络设备的第二网络的标识信息；

所述处理模块，还用于根据所述标识信息及第一终端设备对应的密钥信息生成MAC值；

发送模块，用于向所述第二网络设备发送所述MAC值。

13.根据权利要求12所述的装置，其特征在于，所述处理模块具体用于根据本地配置确定所述标识信息；或者，从所述第二网络设备获取所述标识信息。

14.根据权利要求12或13所述的装置，其特征在于，所述处理模块具体用于获取所述第二网络设备的IP地址和/或证书；根据所述IP地址和/或证书，以及IP地址和/或证书与网络的标识信息的对应关系，确定所述IP地址和/或证书所对应的标识信息；确定所述第二网络的标识信息与所述IP地址和/或证书所对应的标识信息相同。

15.根据权利要求14所述的装置，其特征在于，所述密钥信息包括主会话密钥信息或主扩展会话密钥信息。

16.根据权利要求12-15项中任一项所述的装置，其特征在于，所述第二网络的标识信息包括：所述第二网络的服务网络名称、公共陆地移动网络的身份标识、网络身份标识、公共陆地移动网络的身份标识和网络身份标识、及单网络片选择辅助信息中的至少一个。

17.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序用于执行如权利要求1至8中任一项所述的方法。

18.一种芯片系统，其特征在于，包括：处理器，所述处理器用于执行存储的计算机程序，所述计算机程序用于执行如权利要求1至8中任一项所述的方法。