WO2019196766A1

WO2019196766A1 - 通信方法和装置

Info

Publication number: WO2019196766A1
Application number: PCT/CN2019/081678
Authority: WO
Inventors: 李欢; 靳维生; 李�赫
Original assignee: 华为技术有限公司
Priority date: 2018-04-08
Filing date: 2019-04-08
Publication date: 2019-10-17
Also published as: EP3767982A1; EP3767982A4; CN110351725A; CN110351725B; US20210045050A1

Abstract

本申请提供一种通信方法和装置，该通信方法包括：第一通信网络中的第一接入和移动性管理网元从终端设备接收第一消息，所述第一消息中包括用于所述终端设备接入第二通信网络的非接入层NAS参数；所述第一接入和移动性管理网元向所述第二通信网络中的第二接入和移动性管理网元发送第二消息，所述第二消息中包括所述NAS参数。因此，本申请实施例能够使得该终端设备能够基于该NAS参数，通过第一通信网络中的第一接入和移动性管理网元，接入所述第二通信网络。

Description

通信方法和装置

本申请要求于2018年04月08日提交中国专利局、申请号为201810308401.1、申请名称为“通信方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，并且更具体的，涉及通信领域中的通信方法和装置。

背景技术

第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)已经发布了下一代移动通信网络架构(Next Generation System)，也称第五代(fifth generation，5G)网络架构。另外，中立部署网络(Neutral Host Network，NHN)也在不断地演进中。

随着网络架构的不断发展，未来这两种网络架构之间会出现越来越多的交互需求。因此，如何使得终端设备通过中立部署网络(Neutral Host Network，NHN)接入5G通信网络是一项亟待解决的问题。

发明内容

本申请提供一种通信方法和装置，能够使得终端设备通过NHN网络接入5G通信网络。

第一方面，提供了一种通信方法，包括：

第一通信网络中的第一接入和移动性管理网元从终端设备接收第一消息，所述第一消息中包括用于所述终端设备接入第二通信网络的非接入层NAS参数；

所述第一接入和移动性管理网元向所述第二通信网络中的第二接入和移动性管理网元发送第二消息，所述第二消息中包括所述NAS参数。

因此，通过第一通信网络中的第一接入和移动性管理网元接收用于终端设备接入第二通信网络的NAS参数，并向第二通信网络中的第二接入和移动性管理网元发送该NAS参数，能够使得该终端设备能够基于该NAS参数，通过第一通信网络中的第一接入和移动性管理网元，接入所述第二通信网络。

可选的，第一通信网络可以为NH网络，第一移动性管理网元可以为NH网络中的NH AMF网元。第二通信网络可以为5G通信网络，第二移动性管理网元为5G控制面中的AMF网元，终端设备可以为UE，本申请实施例对此不作具体限定。

可选的，该第一消息中可以包括第一指示信息，该第一指示信息用于指示接入到第二通信网络。具体的，该第一指示信息可以为该终端设备的标识(ID)，比如用户的永久身份标识(SUPI)，用户的临时身份(GUTI)，也可以是一个独立的指示，本申请实施例对此不作限定。这样，第一接入和移动性管理网元可以根据该指示信息，确定终端设备需要接入第二通信网络。

在第一方面的一些可能的实现方式中，所述第一消息中还包括所述终端设备的安全能力信息。

在第一方面的一些可能的实现方式中，所述安全能力信息包括应用于所述第一通信网络的安全能力。

在第一方面的一些可能的实现方式中，所述第二消息中还包括所述第一通信网络的网络标识和/或接入类型。

在一种可能的实现方式中，第二消息中可以包括接入网(Access Network，AN)参数，AN参数可以包括上述网络标识或者接入类型。

可选的，本申请实施例中，第二消息中可以包括终端设备支持的第一通信网络的安全能力信息。

在第一方面的一些可能的实现方式中，如果所述第二网络中的鉴权服务器与所述终端设备之间鉴权成功，所述方法还包括：

所述第一接入和移动性管理网元根据所述第一通信网络的密钥，对第一安全模式命令进行安全性保护，所述第一安全模式命令用于启动所述终端设备与所述第一通信网络之间的消息交互安全保护；

所述第一接入和移动性管理网元将进行安全性保护之后的所述第一安全模式命令发送给所述终端设备。

在第一方面的一些可能的实现方式中，所述第一接入和移动性管理网元根据所述第一通信网络的密钥，对第一安全模式命令进行安全性保护之前，还包括：

所述第一接入和移动性管理网元从所述第二接入和移动性管理网元或安全功能实体接收以下信息中的至少一项：

所述密钥；

用于生成所述密钥的参数；

用于生成所述密钥的基础密钥。

在第一方面的一些可能的实现方式中，还包括：所述第一接入和移动性管理网元根据所述用于生成所述密钥的参数和/或用于生成所述密钥的基础密钥生成所述密钥。

可选的，第一接入和移动性管理网元可以根据提前与终端设备约定好的方法生成上述密钥。具体的，该约定好的方法可以参见现有技术中的生成密钥的方法，本申请实施例不再详细描述。

或者，当第一接入和移动性管理网元没有接收到密钥，或用于生成密钥的参数或用于生成密钥的基础密钥时，可以向第二接入和移动性管理网元请求密钥。

在第一方面的一些可能的实现方式中，还包括：所述第一接入和移动性管理网元向所述终端设备发送用于生成所述密钥的参数。

在第一方面的一些可能的实现方式中，还包括：所述第一接入和移动性管理网元从所述终端设备接收第一SMP，所述第一SMP为所述终端设备在成功验证所述第一安全模式命令之后生成的所述第一安全模式命令的答复消息。

在第一方面的一些可能的实现方式中，所述第一SMP采用与所述第一安全模式命令的保护方法相对应的方式进行安全保护。

在第一方面的一些可能的实现方式中，还包括：

所述第一接入和移动性管理网元从所述第二接入和移动性管理网元接收第二安全模式命令，并向所述终端设备发送所述第二安全模式命令，其中，所述第二安全模式命令用于启动所述终端设备与所述第二通信网络之间的消息交互安全保护。

在第一方面的一些可能的实现方式中，所述第一接入和移动性管理网元同时向所述终端设备发送所述第一安全模式命令和所述第二安全模式命令；或者

所述第一接入和移动性管理网元在向所述终端设备发送所述第二安全模式命令之后，向所述终端设备发送所述第一安全模式命令；或者

所述第一接入和移动性管理网元在向所述终端设备发送所述第一安全模式命令之后，向所述终端设备发送所述第二安全模式命令。

作为一例，所述NH AMF可以向UE发送N1-N消息，该N1-N消息中包括所述SMC#1和SMC#2。此时，在N1-N消息中，SMC#2中可以嵌套SMC#1，或者SMC#1与SMC#2可以是并列的两个消息，本申请实施例对此不做具体限定。

作为另一例，NH AMF从AMF那里接收到SMC#1之后，将该SMC#1封装在N1-N消息#1中发送给UE。然后，将根据NH-Kamf对SMC#2进行安全性保护之后的SMC封装在N1-N消息#2中发送给UE。

作为另一例，NH AMF从AMF那里接收到SMC#1之后，先存储SMC#1。先将根据NH-Kamf对SMC#2进行安全性保护之后的SMC封装在N1-N消息#2中发送给UE，再将该SMC#1封装在N1-N消息#1中发送给UE。

在第一方面的一些可能的实现方式中，还包括：所述第一接入和移动性管理网元从所述终端设备接收第二SMP，所述第二SMP为所述终端设备在成功验证所述第二安全模式命令之后生成的所述第二安全模式命令的答复消息。

可选的，本申请实施例中，NAS加密可以只在终端设备和第一接入和移动性管理网元之间进行。此时，一种可能的实现方式，第二接入和移动性管理网元通过第一接入和移动性管理网元发送SMC#1给终端设备，并在该SMC#1中包括一个指示，表示不需要协商终端设备和第二接入和移动性管理网元之间的NAS密钥，这样终端设备与第二接入和移动性管理网元之间后续的NAS消息可以不需要进行安全性保护。

或者，另一种可能的实现方式，第二接入和移动性管理网元可以不发送SMC#1，而发送NAS注册接受消息到第一接入和移动性管理网元，触发第一接入和移动性管理网元发送SMC#2给终端设备。

或者，另一种可能的实现方式，第二接入和移动性管理网元发送N2消息或者N14消息(或者调用N14服务)，触发第一接入和移动性管理网元发送SMC#2给终端设备。

在第一方面的一些可能的实现方式中，还包括：

所述第一接入和移动性管理网元从所述第二接入和移动性管理网元接收第三消息，并向所述终端设备发送第四消息，其中，所述第三消息和所述第四消息分别包括用于所述终端设备对所述第二通信网络进行鉴权的参数；

所述第一接入和移动性管理网元从所述终端设备接收所述第四消息的响应消息，并向所述第二接入和移动性管理网元发送所述第三消息的响应消息，其中，所述第三消息的响应消息和所述第四消息的响应消息分别包括用于所述第二通信网络中的网元对所述终端设备进行鉴权的参数。

第二方面，提供了一种通信方法，包括：

所述终端设备向所述第一通信网络中的第一接入和移动性管理网元发送第一消息，所述第一消息中包括用于所述终端设备接入所述第二通信网络的非接入层NAS参数。

在第二方面的一些可能的实现方式中，所述第一消息中还包括所述终端设备的安全能力信息。

在第二方面的一些可能的实现方式中，所述安全能力信息包括应用于所述第一网络的安全能力。

在第二方面的一些可能的实现方式中，如果所述第二网络中的鉴权服务器与所述终端设备之间鉴权成功，所述方法还包括：

所述终端设备从所述第一接入和移动性管理网元接收第一安全模式命令，其中，所述第一安全模式命令用于启动所述终端设备与所述第一通信网络之间的消息交互安全保护，所述第一安全模式命令是使用所述第一通信网络的密钥进行安全性保护的。

在第二方面的一些可能的实现方式中，还包括：所述终端设备从所述第一接入和移动性管理网元接收用于生成所述密钥的参数。

在第二方面的一些可能的实现方式中，还包括：所述终端设备向所述第一接入和移动性管理网元发送第一SMP，所述第一SMP为所述终端设备在成功验证所述第一安全模式命令之后生成的所述第一安全模式命令的答复消息。

在第二方面的一些可能的实现方式中，所述第一SMP采用与所述第一安全模式命令的保护方法相对应的方式进行安全保护。

在第二方面的一些可能的实现方式中，还包括：所述终端设备从所述第一接入和移动性管理网元接收第二安全模式命令，其中，所述第二安全模式命令是所述第一接入和移动性管理网元从所述第二接入和移动性管理网络接收的，所述第二安全模式命令用于启动所述终端设备与所述第二通信网络之间的消息交互安全保护。

在第二方面的一些可能的实现方式中，所述终端设备同时从所述第一接入和移动性管理网元接收所述第一安全模式命令和所述第二安全模式命令；或者

所述终端设备从所述第一接入和移动性管理网元接收所述第二安全模式命令之后，从所述第一接入和移动性管理网络接收所述第一安全模式命令；或者

所述终端设备从所述第一接入和移动性管理网元接收所述第一安全模式命令之后，从所述第一接入和移动性管理网络接收所述第二安全模式命令。

在第二方面的一些可能的实现方式中，还包括：所述终端设备向所述第一接入和移动性管理网元发送第二SMP，所述第二SMP为所述终端设备在成功验证所述第二安全模式命令之后生成的所述第二安全模式命令的答复消息。

在第二方面的一些可能的实现方式中，还包括：

所述终端设备从所述第一接入和移动性管理网元接收第四消息，所述第四消息中包括用于所述终端设备对所述第二通信网络进行鉴权的参数；

所述终端设备向所述第一接入和移动性管理网元发送所述第四消息的响应消息，所述第四消息的响应消息中包括用于所述第二通信网络中的网元对所述终端设备进行鉴权的参数。

第三方面，提供了一种通信方法，包括：

第二通信网络中的第二接入和移动性管理网元从第一通信网络中的第一接入和移动性管理网元接收第二消息，所述第二消息中包括用于终端设备接入所述第二通信网络的非接入层NAS参数；

所述第二接入和移动性管理网元对所述第二消息进行处理。

在第三方面的一些可能的实现方式中，所述第二消息中还包括所述第一通信网络的网络标识和/或接入类型。

在第三方面的一些可能的实现方式中，还包括：所述第二接入和移动性管理网元根据所述第二消息，向所述第二通信网络中的鉴权服务器发送终端鉴权请求；

所述第二接入和移动性管理网元接收所述鉴权服务器发送的对应于所述终端鉴权请求的终端鉴权响应，所述终端鉴权响应中包括所述鉴权服务器与所述终端设备之间的鉴权结果。

可选的，该终端鉴权请求中可以包括上文中所述的AN参数。

在第三方面的一些可能的实现方式中，还包括：所述第二接入和移动性管理网元从所述鉴权服务器接收鉴权挑战消息，所述鉴权挑战消息中包括用于所述终端设备对所述第二通信网络进行鉴权的参数；

所述第二接入和移动性管理网元向所述第一接入和移动性管理网元发送第三消息，其中，所述第三消息包括所述用于所述终端设备对所述第二通信网络进行鉴权的参数。

在第三方面的一些可能的实现方式中，还包括：所述第二接入和移动性管理网元从所述第一接入和移动性管理网元接收所述第三消息的响应消息，其中，所述第三消息的响应消息包括用于所述第二通信网络中的网元对所述终端设备进行鉴权的参数；

所述第二接入和移动性管理网元向所述鉴权服务器发送对应于所述鉴权挑战消息的响应消息，所述鉴权挑战消息的响应消息包括所述用于所述第二通信网络中的网元对所述终端设备进行鉴权的参数。

在第三方面的一些可能的实现方式中，如果所述第二通信网络中的鉴权服务器与所述终端设备之间鉴权成功，所述方法还包括：

所述第二接入和移动性管理网元接收所述鉴权服务器发送的以下信息中的至少一项：

所述第一通信网络的密钥；

用于生成所述密钥的参数；

用于生成密钥的基础密钥。

在第三方面的一些可能的实现方式中，如果所述鉴权服务器与所述终端设备之间鉴权成功，所述方法还包括：

所述第二接入和移动性管理网元向所述第一接入和移动性管理网元发送以下信息中的至少一项：

所述第一通信网络的密钥；

用于生成所述密钥的参数；

用于生成密钥的基础密钥。

在第三方面的一些可能的实现方式中，还包括：

所述第二接入和移动性管理网元向所述第一接入和移动性管理网元发送第二安全模式命令，所述第二安全模式命令用于启动所述终端设备与所述第二通信网络之间的消息交互安全保护。

在第三方面的一些可能的实现方式中，还包括：

所述第二接入和移动性管理网元从所述第一接入和移动性管理网元接收第二SMP，所述第二SMP为所述终端设备在成功验证所述第二安全模式命令之后生成的所述第二安全模式命令的答复消息。

第四方面，提供了一种通信装置，用于执行上述任一方面或任一方面的任意可能的实现方式中的方法。具体地，该通信装置包括用于执行上述任一方面或任一方面的任意可能的实现方式中的方法的单元。

第五方面，提供了一种通信装置，该装置包括：收发器、存储器、处理器和总线系统。其中，该收发器、该存储器和该处理器通过该总线系统相连，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，以控制收发器接收和/或发送信号，并且当该处理器执行该存储器存储的指令时，该执行使得该处理器执行上述任一方面或任一方面的任意可能的实现方式中的方法。

第六方面，提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行上述任一方面的任意可能的实现方式中的方法的指令。

第七方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码被通信设备(例如，终端设备或网络设备)的通信单元、处理单元或收发器、处理器运行时，使得通信设备执行上述任一方面的任意可能的实现方式中的方法。

第八方面，提供了一种通信芯片，其中存储有指令，当其在无线通信的装置上运行时，使得所述通信芯片执行上述任一方面的任意可能的实现方式中的方法。

因此，本申请实施例中，通过第一通信网络中的第一接入和移动性管理网元接收用于终端设备接入第二通信网络的NAS参数，并向第二通信网络中的第二接入和移动性管理网元发送该NAS参数，基于此使得第二通信网络中的核心网根据该NAS参数来完成终端设备对第二通信网络的接入过程。因此，本申请实施例能够使得该终端设备通过第一通信网络中的第一接入和移动性管理网元，接入所述第二通信网络。

附图说明

图1示出了应用本申请实施例的系统架构100的示意图。

图2示出了本申请实施例的应用场景200的示意图。

图3示出了本申请实施例提供的一种通信方法的示意性流程图。

图4示出了本申请实施例提供的另一种通信网络的示意性流程图。

图5示出了本申请实施例提供的一种通信装置的示意性框图。

图6示出了本申请实施例提供的另一种通信装置的示意性框图。

图7示出了本申请实施例提供的另一种通信装置的示意性框图。

图8示出了本申请实施例提供的另一种通信装置的示意性框图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

图1示出了应用本申请实施例的系统架构100的示意图。如图1所示，该系统架构100包括：终端设备101、第一接入和移动性管理网元102和第二接入和移动性管理网元103。具体的，第一接入和移动性管理网元102为第一通信网络中的网元，第二接入和移动性管理网元103为第二通信网络中的网元。

上述系统架构100可以用于执行本申请实施例中的通信方法。

在一种可能的实现方式中，终端设备101用于：从第一通信网络中的第一接入和移动性管理网元102发送第一消息，所述第一消息中包括用于所述终端设备接入第二通信网络的非接入层NAS参数。

所述第一接入和移动性管理网元102用于：从终端设备101接收第一消息，所述第一消息中包括用于所述终端设备接入第二通信网络的非接入层NAS参数；所述第一接入和移动性管理网元102向所述第二通信网络中的第二接入和移动性管理网元103发送第二消息，所述第二消息中包括所述NAS参数。

所述第一接入和移动性管理网元103用于：从第一通信网络中的第一接入和移动性管理网元接收第二消息，所述第二消息中包括用于终端设备101接入所述第二通信网络的非接入层NAS参数。

因此，在系统架构100中，通过第一通信网络中的第一接入和移动性管理网元接收用于终端设备接入第二通信网络的NAS参数，并向第二通信网络中的第二接入和移动性管理网元发送该NAS参数，能够使得该终端设备能够基于该NAS参数，通过第一通信网络中的第一接入和移动性管理网元，接入所述第二通信网络。

可选的，上述系统架构100中的接入和移动性管理网元可以由一个设备实现，也可以由多个设备共同实现，还可以是一个设备内的一个功能模块，本申请实施例对此不作具体限定。可以理解的是，上述功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能，本申请实施例对此不作限定。

图2示出了本申请实施例的应用场景200的示意图。在应用场景200中，中立部署网络NHN与3GPP网络互通。本申请实施例中，3GPP网络可以为5G通信网络或者未来其他可能的网络(例如6G通信网络)，本申请实施例对此不作具体限定，这里，为了方便描述，将以5G通信网络为例进行描述，但本申请实施例并不限于此。

具体的，该5G通信网络的5G控制面中包括接入和移动性管理功能(access and mobility management function，AMF)网元，负责接入和移动性管理，具有对用户进行认证、切换、位置更新等功能。

NHN网络的NHN核心网中包括中立部署(Neutral Host，NH)AMF网元，这里NH AMF的功能类似于5G控制面中的AMF的功能。并且，NH AMF与5G通信网络中的AMF之间可以通过N2接口或者N14接口进行通信。

应理解，在上述系统架构100中，第一接入和移动性管理网元102具体可以对应图2中的NH AMF网元，第二接入和移动性管理网元103具体可以对应图2中的AMF网元。

可选的，5G控制面中还可以包括以下网元：

鉴权服务功能(authentication server function，AUSF)网元，具有认证授权业务功能，用于负责密钥的生成以及与UE之间的双向鉴权。

统一数据管理(unified data management，UDM)网元，保存有用户的签约数据。

会话管理功能(session management function，SMF)网元，负责会话管理，包括分组数据单元(packet data unit，PDU)会话的建立、修改、释放等。

策略控制功能(policy control function，PCF)网元，负责用户策略管理，既包括移动性相关策略，也包括PDU会话相关策略，例如，服务质量(quality of service，QoS)策略、计费策略等。

网络存储功能(network repository function，NRF)网元，负责保存网络功能和业务信息，支持业务和网络功能的发现功能(即，接受网络功能查询请求，提供所发现的网络功能的信息)。

网络开放功能(Network Exposure Function，NEF)网元，为运营商提供开放网络功能给第三方，第三方向运营商网络传输信息提供一个安全的平台。

可选的，5G通信系统中还可以包括应用功能(AF)网元。

可选地，该5G通信架构中还可以包括：5G核心网(Next Generation Core，NG Core)的用户面功能(user plane function，UPF)网元，UPF是用户面功能，负责用户数据的转发。

可选地，该5G通信架构中还可以包括：数据网络(data network，DN)：用户的PDU会话访问的目的地。

可选的，NHN核心网中还可以包括NH SMF，具体的，NH SMF的功能类似于5G控制面中的SMF的功能。

可选的，NHN核心网中还可以包括IWK-NEF，具体的，IWK-NEF的功能类似于5G控制面中的NEF的功能。

可选的，NHN核心网中还可以包括NH UPF，具体的，NH UPF的功能类似于5G通信架构中的UPF的功能。

应理解，上述应用场景200中，还包括用户设备(user equipment，UE)。其中，UE可以通过NR MF AP接入NHN网络，UE通过N1接口与NH AMF通信。NHN网络中的NH AMF可以通过N2接口或N14接口与5G通信网络中的AMF通信。

可选的，UE可以通过N1接口与5G控制面中的AMF通信，NH UPF可以通过N3接口与5G通信网络中的NG Core UPF通信，IWK-NEF可以与5G控制面中的NEF通信。另外，5G通信网络中SMF可以通过N4接口与NG Core UPF通信，NG Core UPF可以通过N6接口与DN通信，本申请实施例对此不作限定。

应理解，在上述系统架构100中，终端设备101具体可以对应图2中UE。

需要说明的是，图2中仅以终端设备为UE作出了示例性说明。另外，图2中的各个网元之间的接口名称仅仅是一个示例，在具体实现中，该系统架构200的接口名称还可能为其他名称，本申请实施例对此不作具体限定。

此外，NR MF AP设备也可以称之为接入设备，该接入设备指的是终端设备接入NHN网络的设备。无线接入网设备是终端设备通过无线方式接入到该移动通信系统中的接入设备，例如可以是无线基站，企业小站，家庭网关等，本申请的实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。

当然，上述应用场景200中还可以部署其它的网元，例如，网络切片选择功能(network slice selection function，NSSF)网元等，本申请实施例对此不作具体限定。

本申请实施例中所涉及到的终端设备(terminal)可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备；还可以包括用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant，PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordless phone)或者无线本地环路(wireless local loop，WLL)台、机器类型通信(machine type communication，MTC)终端、用户设备(user equipment，UE)，移动台(mobile station，MS)，终端设备(terminal device)或者中继用户设备等。其中，中继用户设备例如可以是5G家庭网关(residential gateway，RG)。为方便描述，本申请中，上面提到的设备统称为终端设备。

图3示出了本申请实施例提供的一种通信方法的示意性流程图。该方法可以应用于图 1所示的系统架构100，也可以应用于图2所示的应用场景200，本申请实施例不限于此。

具体的，第一通信网络可以为应用场景200中的NH网络，第一移动性管理网元可以为NH网络中的NH AMF网元。第二通信网络可以为应用场景200中的5G通信网络，第二移动性管理网元为5G控制面中的AMF网元，终端设备可以为应用场景200中的UE，本申请实施例对此不作具体限定。

可选的，310，终端设备决定通过第一通信网络接入第二通信网络。

终端设备可以根据终端上的配置信息，运营商的策略，所需要使用的业务等决定通过第一通信网络接入第二通信网络，具体的方式本专利不做限定。一个具体的例子，当终端设备在第一通信网络的覆盖中，但是需要使用第二网络的运营商提供的服务，则终端设备需要通过第一通信网络接入第二通信网络。

320，终端设备向第一通信网络中的第一接入和移动性管理网元发送第一消息，所述第一消息中包括用于所述终端设备接入第二通信网络的非接入层(Non-access stratum，NAS参数)。对应的，所述第一接入和移动性管理网元从所述终端设备接收所述第一消息。

这里，所述终端设备接入第二通信网络的NAS参数可以是一条NAS消息，也可以是用于组成NAS消息的一个或多个参数，如终端标识，终端能力，注册类型，PDU会话标识，数据网络名称DNN，网络切片选择辅助信息NSSAI等。

可选的，该第一消息中可以包括第一指示信息，该第一指示信息用于指示接入到第二通信网络。具体的，该第一指示信息可以为该终端设备的标识(ID)，比如用户的永久身份标识(SUPI)，用户的临时身份(GUTI)，也可以是一个独立的指示，本申请实施例对此不作限定。

可选的，该第一消息中还可以包括终端设备的安全能力信息。相应的，第一接入与移动性管理网元接收到第一消息后，保存该终端设备的安全能力。

在一种可能的实现方式中，该安全能力信息包括应用于所述第一通信网络的安全能力。这里，终端设备的安全能力信息例如为该终端设备支持的安全算法，该终端设备是否持有第一通信网络的公钥或证书，该终端设备支持的安全协议以及相关协议的版本号等。

作为一个具体的例子，该终端设备可以支持被3GPP组织标准化的所有的安全算法，或者，该终端设备还可以支没有被3GPP组织标准化的的安全算法，本申请实施例对此不作具体限定。

作为另一个具体的例子，该终端设备可以支持安全传输层协议(Transport Layer Security，TLS)，具体可以支持TLS1.0版本、TLS2.0版本或TLS3.0版本。

330，所述第一接入和移动性管理网元向所述第二通信网络中的第二接入和移动性管理网元发送第二消息，所述第二消息中包括NAS参数。对应的，所述第二接入和移动性管理网元从所述第一接入和移动性管理网元接收所述第二消息。

具体的，本申请实施例中，所述第一接入和移动性管理网元可以获取该第一消息中包括的NAS参数，并生成包含NAS参数的第二消息中，然后向第二接入和移动性管理网元发送该第二消息。示例性地，该NAS参数也可以以一整条消息的形式呈现。

作为一例，第二消息中可以包括NAS注册请求消息。一种可能的实现方式中，当第一消息中包括NAS注册请求消息时，第一接入和移动性管理网元可以将获取到的该NAS 注册请求消息封装在第二消息中。另一种可能的实现方式中，当第一消息中包NAS参数时，第一接入和移动性管理网元根据该NAS参数，生成NAS注册消息，并将该NAS注册请求消息封装在第二消息中。

作为一个可选的实施例，所述第二消息中还可以包括所述第一通信网络的网络标识和/或接入类型。

具体的，网络标识可以包括第一通信网络中的核心网和/或接入网的网络标识，另外，这里核心网与接入网的网络标识可以相同，或者也可以不同，本申请实施例对此不做限定。

接入类型表示第一通信网络的接入技术类型，可以包括第一通信网络接入网和/或核心网的类型，取值可以为MultiFire，LTE-U，NHN等，本申请对此不作限定。

在一种可能的实现方式中，第二消息中可以包括接入网(Access Network，AN)参数，AN参数可以包括上述网络标识或者接入类型。具体的，这里第一接入和移动性管理网元的AN参数可以来自于终端设备发送的MF AN参数，也可以来自于终端设备向第一接入与移动性管理网元发送的第一消息，或者该AN参数可以由第一接入与移动性管理网元生成，本申请实施例对此不作具体限定。

可选的，本申请实施例中，第二消息中可以包括终端设备支持的第一通信网络的安全能力信息。具体的，第二消息中是否包括该终端设备支持的第一通信网络的安全能力的信息可以取决于第一通信网络和第二通信网络的信任关系。例如，当两者是可信的，或者协议要求必须将终端设备支持的第一通信的安全能力信息发送给第二接入与移动性管理网元时，则第二消息中必须包括终端设备支持的第一通信网络的安全能力信息。具体的，安全能力信息可以参见上文中的描述，为避免重复，这里不再赘述。

340，所述第二接入和移动性管理网元对所述第二消息进行处理。

具体的，第二接入和移动性管理网元可以对该第二消息进行解析处理，并获取该第二消息中携带的NAS参数，以及上文中所述的其他参数。

可选的，本申请实施例中，还包括：所述第二接入和移动性管理网元根据所述第二消息，向所述第二通信网络中的鉴权服务器发送终端鉴权请求，以启动鉴权服务器与终端设备之间的鉴权流程。具体的，鉴权服务器与终端设备之间的鉴权流程如下：

可选的，该终端鉴权请求中可以包括上文中所述的AN参数。

对应的，鉴权服务器从第二接入和移动性管理网络接收该终端鉴权请求，并在接收到该鉴权请求之后，向数据管理网元(例如UDM)发送鉴权信息请求消息，并接收数据管理网元发送的鉴权信息响应消息。这里，鉴权信息响应消息中可以包括用于对该终端鉴权的用户相关数据，该用户相关数据例如为用户的签约信息，本申请实施例对此不作限定。

鉴权服务器在接收到数据管理网元发送的鉴权信息响应消息之后，生成鉴权挑战(Authentication Challenge)消息，该鉴权挑战消息中包括用于终端设备对第二通信网络进行鉴权的参数，例如为终端设备的鉴权向量。

可选的，本申请实施例中，鉴权服务器可以与数据管理网元分设在两个设备上，或者可以合设在一个设备上，即此时该设备同时具备鉴权服务器和数据管理网元的功能，本申请实施例对此不作具体限定。

对应的，所述第二接入和移动性管理网元从所述鉴权服务器接收鉴权挑战消息，所述鉴权挑战消息中包括用于所述终端设备对所述第二通信网络进行鉴权的参数；

然后，所述第二接入和移动性管理网元向所述第一接入和移动性管理网元发送第三消息，其中，所述第三消息包括用于所述终端设备对所述第二通信网络进行鉴权的参数。在一种可能实施方式中，该第三消息中可以直接嵌套上述鉴权挑战消息。

对应的，第一接入和移动性管理网元从所述第二接入和移动性管理网元接收所述第三消息，并向所述终端设备发送第四消息。对应的，所述终端设备从所述第一接入和移动性管理网元接收所述第四消息。这里，所述第四消息包括用于所述终端设备对所述第二通信网络进行鉴权的参数。在一种可能实施方式中，该第四消息中可以直接嵌套上述鉴权挑战消息。

所述终端设备接收到所述第四消息之后，根据所述第三消息中包括的用于所述终端设备对所述第二通信网络进行鉴权的参数，对所述第二通信网络进行鉴权。具体的，所述终端设备对所述第二通信网络进行鉴权的过程可以参见现有技术中的描述，本申请实施例对此不作详细描述。

当所述终端设备鉴权成功之后，所述终端设备向所述第一接入和移动性管理网元发送所述第四消息的响应消息，所述第四消息的响应消息中包括用于所述第二通信网络中的网元对所述终端设备进行鉴权的参数。在一种可能的实现方式中，该第四消息的响应消息中可以包括鉴权响应消息，该鉴权响应消息具体为上文中的鉴权挑战消息的响应消息。

对应的，所述第一接入和移动性管理网元从所述终端设备接收所述第四消息的响应消息，并向所述第二接入和移动性管理网元发送所述第三消息的响应消息。对应的，所述第二接入和移动性管理网元从所述第一接入和移动性管理网元接收所述第三消息的响应消息，并根据该第三消息的响应消息，向鉴权服务器发送对应于所述鉴权挑战消息的响应消息。这里，第三消息的响应消息中包括用于所述第二通信网络中的网元对所述终端设备进行鉴权的参数。在一种可能的实现方式中，第三消息中可以直接包括上述鉴权挑战消息的响应消息。

对应的，鉴权服务器接收第二接入和移动性管理网元发送的对应于所述鉴权挑战消息的响应消息，并根据该对应于所述鉴权挑战消息的响应消息，对终端设备进行鉴权。具体的，鉴权服务器对所述终端设备进行鉴权的过程可以参见现有技术中的描述，本申请实施例对此不作详细描述。

在经过上述鉴权服务器与终端设备之间的鉴权流程，鉴权服务器可以获得所述鉴权服务器与所述终端设备之间的鉴权结果。然后，鉴权服务器向第二接入和移动性管理网元发送对应于所述终端鉴权请求的终端鉴权响应，所述终端鉴权响应中包括所述鉴权服务器与所述终端设备之间的鉴权结果。

可选的，本申请实施例中，当鉴权服务器与所述终端设备之间鉴权成功时，第二通信网络中的网元可以确定第一通信网络的密钥，或确定用于生成第一通信网络的密钥的参数，或确定用于生成第一通信网络的密钥的基础密钥。具体的，第一通信网络的密钥即为终端神和第一通信网络之间保护消息的密钥。这里，第二通信网络中的网元可以为该第二接入和移动性管理网元，或者为该鉴权服务器，或者为安全锚点网元等，本申请实施例对此不作具体限定。

这时，第一接入和移动性管理网元可以从所述第二接入和移动性管理网元，或该鉴权服务器，或者安全锚点网元接收所述密钥、用于生成所述密钥的参数、用于生成所述密钥的基础密钥中的至少一项。例如，该鉴权服务器可以将所述密钥、用于生成所述密钥的参数、用于生成所述密钥的基础密钥中的至少一项发送给所述第二接入和移动性管理实体和独立的安全功能实体中的至少一项。可选的，独立的安全功能实体可以将所述密钥、用于生成所述密钥的参数、用于生成所述密钥的基础密钥中的至少一项发送给第一接入和移动性管理网元。

下面将以鉴权服务器为AUSF、第一接入和移动性管理网元为NH AMF、第二接入和移动性管理网元为AFM为例，详细描述生成第一通信网络的密钥的几种方式。应理解，下面的举例是为了本领域的技术人员理解本申请实施例的技术方案，不构成对本申请实施例的限定。

在一种可能的实现方式中，AUSF可以生成第一通信网络(即NH网络)的基础密钥，可以记为NH-Kseaf。另外，第一通信网络的密钥可以记为NH-Kamf。具体的，AUSF可以结合NH网络的标识和新鲜性参数来生成NH-Kseaf。这里，新鲜性参数例如为计数器值：COUNT。

然后，AUSF可以将NH-Kseaf和新鲜性参数传递给AMF，或者该AMF中的SEAF。这时，一种可能的方式，AMF或AMF中的SEAF可以根据NH-Kseaf生成NH-Kamf，之后向NH-AMF发送NH-Kamf。另一种可能的方式，AMF或AMF中的SEAF可以将NH-Kseaf发送给NH AMF或NH网络中的安全功能实体，由NH AMF或NH网络中的安全功能实体基于NH-Kseaf来生成NH-Kamf。

或者，AUSF可以将NH-Kseaf和新鲜性参数发送给独立的安全功能。这时，一种可能的方式，该独立的安全功能将NH-Kseaf发送给NH AMF或NH网络中的安全功能实体，由NH AMF或NH网络中的安全功能实体基于NH-Kseaf生成NH-Kamf。另一种可能的方式，该独立的安全功能基于该NH-Kseaf生成NH-Kamf，然后将NH-Kamf发送给NH AMF或NH网络中的安全功能实体。

或者，AUSF可以直接将NH-Kseaf发送给NH-AMF或NH网络中的安全功能实体，再由NH AMF或NH网络中的安全功能实体基于该NH-Kseaf生成HN-Kamf。

可选的，当NH网络中的安全功能实体获取NH-Kamf时，NH网络中的安全功能实体可以将该NH-Kamf发送给NH AMF。

另一种可能的实现方式，AMF可以根据自己的密钥(记为Kamf)、NH网络的标识和新鲜性参数生成NH-Kamf，然后可以将NH-Kamf传递给NH-AMF。可选的，NH-Kamf可以携带在N14消息或N2消息中发送，或者可以与AMF与UE之间的SMC消息一起携带在N14消息或N2消息中发送，本申请实施了对此不做限定。

可选的，AMF还可以生成用于生成上述第一通信网络的密钥的参数，该参数例如为选择的算法。可选的，该用于生成第一通信网络的密钥的参数可以与AMF与UE之间的SMC消息携带在一条N14消息中，本申请实施例对此不做限定。

另一种可能的实现方式中，NH AMF可以根据提前与UE约定好的方法生成NH-Kamf密钥。具体的，该约定好的方法可以参见现有技术中的生成密钥的方法，本申请实施例不再详细描述。

或者，当NH AMF没有从AUSF、AMF或独立的安全功能实体接收到密钥，或用于生成密钥的参数或用于生成密钥的基础密钥时，NH AMF可以向AMF请求密钥。AMF接收到NH AMF发送的请求之后，向NH AMF发送密钥，或用于生成密钥的参数和用于生成密钥的基础密钥中的至少一种。

当NH AMF接收到用于生成密钥的参数或用于生成密钥的基础密钥(并未接收到密钥)时，还包括：所述第一接入和移动性管理网元根据所述用于生成所述密钥的参数和/或用于生成所述密钥的基础密钥生成所述密钥。这里，NH AMF根据用于生成所述密钥的参数和/或基础密钥生成所述密钥的方式可以参见上文中的描述，为避免重复，这里不再赘述。

可选的，本申请实施例中，还包括：所述第一接入和移动性管理网元根据所述第一通信网络的密钥，对第一安全模式命令(Security Mode Command，SMC)进行安全性保护。所述第一SMC用于启动所述终端设备与所述第一通信网络之间的消息交互安全保护。

应理解，本申请实施例中，仅以用于启动终端设备与通信网络之间的消息交互安全保护的消息或命令的名称为安全模式命令，即SMC为例进行描述，本申请实施例对此不作限定。

所述第一接入和移动性管理网元将进行安全性保护之后的所述第一SMC发送给所述终端设备。对应的，所述终端设备从所述第一接入和移动性管理网元接收第一SMC。

可选的，当所述终端设备对所述第一SMC验证成功之后，还包括：

所述终端设备向所述第一接入和移动性管理网元发送第一安全模式完成(Security Mode Complete，SMP)消息，所述第一SMP消息为所述终端设备在成功验证所述第一SMC之后生成的所述第一SMC的答复消息。对应的，所述第一接入和移动性管理网元从所述终端设备接收第一SMP消息。

应理解，本申请实施例中，以SMC的答复消息的名称为安全模式完成消息，即SMP为例进行描述，本申请实施例对此不作限定。

可选的，本申请实施例中，还包括：

所述第二接入和移动性管理网元向所述第一接入和移动性管理网元发送第二SMC，对应的，所述第一接入和移动性管理网元从所述第二接入和移动性管理网元接收所述第二SMC，并向所述终端设备发送所述第二SMC，其中，所述第二SMC用于启动所述终端设备与所述第二通信网络之间的消息交互安全保护。对应的，所述终端设备从所述第一接入和移动性管理网元接收第二SMC。

可选的，所述终端设备向所述第一接入和移动性管理网元发送第二SMP，对应的，所述第一接入和移动性管理网元从所述终端设备接收第二SMP，所述第二接入和移动性管理网元从所述第一接入和移动性管理网元接收第二SMP，所述第二SMP为所述终端设备在成功验证所述第二SMC之后生成的所述第二SMC的答复消息。

为了描述方便，下文将以第一接入和移动性管理网元为NH AMF、第二接入和移动性管理网元为AFM、终端设备为UE为例，描述终端设备与第一通信网络以及终端设备与第二通信网络之间的消息交互安全保护过程。下面，将第二SMC记为SMC#1、第一SMC记为为SMC#2、第二SMP记为SMP#1、第一SMP记为SMP#2。

可选的，本申请实施例中，所述NH AMF从所述AMF接收SMC#1，并向UE发送所述SMC#1。

具体的，AMF可以按照现有技术的方式的获取AMF的密钥Kamf，然后根据密钥Kamf进一步衍生Knas-int和Knas-enc，然后使用Knas-int密钥对SMC#1进行安全性保护。这里，安全性保护包括完整性保护。

具体而言，本申请实施例中，AMF可以向NH AMF发送N14消息，该N14消息中可以包括上文中的NH-Kamf和SMC#1。具体的，NH-Kamf可以放到SMC#1外，也可以放到SMC#1内。一个具体的例子，如果NH-AMF需要使用AMF选择的生成密钥的算法作为生成NH-Kamf的一个输入参数，则AMF可以在该SMC#1外获取该NH-Kamf，也就是说，此时NH-Kamf可以放到SMC#1外。相应的，NH AMF获取到该N14消息之后，可以确定NH-Kamf和SMC#1。

可选的，本申请实施例中，还包括：所述NH AMF根据所述NH网络的密钥，对SMC#2进行安全性保护。然后，所述NH AMF将进行安全性保护之后的所述SMC#2发送给UE。

具体的，NH AMF获取密钥NH-Kamf之后，可以选择要使用的安全保护方法，并结合该安全保护方法，生成UE和NH AMF之间保护NAS消息的密钥Knas。然后，基于Knas密钥对安SMC#2进行安全性保护。这里，安全性保护为加密保护和完整性保护中的至少一种。

可选的，本申请实施例中，一种可能的实现方式，所述NH AMF同时向UE发送所述SMC#1和所述SMC#2。

具体的，所述NH AMF可以向UE发送N1-N消息，该N1-N消息中包括所述SMC#1和SMC#2。此时，在N1-N消息中，SMC#2中可以嵌套SMC#1，或者SMC#1与SMC#2可以是并列的两个消息，本申请实施例对此不做具体限定。

具体而言，NH AMF可以对从AMF那里接收到的SMC#1再做一次安全保护，使得SMC#2中可以嵌套SMC#1，即使得SMC#1成为SMC#2负荷(payload)中的一部分。或者，NH AMF可以对从MAF那里接收到的SMC#1不做处理，而是根据NH-Kamf对SMC#2进行安全性保护，最后将SMC#1与SMC#2一起封装在N1-N消息中发送给UE，即此时SMC#1与SMC#2为N1-N消息中的并列的两个消息。

或者另一种可能的实现方式，所述NH AMF在向所述UE发送所述SMC#1之后，向所述UE发送所述SMC#2。

具体的，NH AMF从AMF那里接收到SMC#1之后，将该SMC#1封装在N1-N消息#1中发送给UE。然后，将根据NH-Kamf对SMC#2进行安全性保护之后的SMC封装在N1-N消息#2中发送给UE。

或者另一种可能的实现方式，所述NH AMF在向所述UE发送所述SMC#2之后，向所述UE发送所述SMC#1。

具体的，NH AMF从AMF那里接收到SMC#1之后，先存储SMC#1。先将根据NH-Kamf对SMC#2进行安全性保护之后的SMC封装在N1-N消息#2中发送给UE，再将该SMC#1封装在N1-N消息#1中发送给UE。

应注意，本申请实施例中，SMC#1和SMC#2的交互可以是等一个全部做完再启动另一个，即收到一个SMP后再发另一个SMC消息，也可以不需要等一个全部做完再启动另一个。

可选的，本申请实施例中，所述NH AMF向所述UE发送用于生成所述密钥的参数。这里，用于生成密钥的参数还可以称为该密钥的生成材料，例如安全保护算法等。并且，为了安全起见，这里的生成密钥的参数不包括密钥本身，以及生成密钥的基础密钥。

具体的，该生成密钥的参数可以与安全命令模式#2一起发送。例如该生成密钥的参数可以放到安全命令模式#2外，然后NH AMF对生成密钥的参数和安全命令模式#2一起做安全性保护。

可选的，本申请实施例中，NAS加密可以只在UE和NH AMF之间进行，即NH AMF和AMF之间可以是不加密的。此时，一种可能的实现方式，AMF通过NH AMF发送SMC#1给UE，并在SMC#1中包括一个指示，表示不需要协商UE和AMF之间的NAS密钥，这样UE与AMF之间后续的NAS消息可以不需要进行安全性保护。或者，另一种可能的实现方式，AMF可以不发送SMC#1，而发送NAS注册接受消息到NH AMF，触发NH AMF发送SMC#2给UE。或者，另一种可能的实现方式，AMF发送N2消息或者N14消息(或者调用N14服务)，触发NH AMF发送SMC#2给UE。

对应的，UE在收到SMC#1时，验证AMF的安全保护是否正确，UE在收到SMC#2时，验证NH AMF的安全保护是否正确。

一种具体的实施方式中，UE可以先验证UE与NH AMF之间的SMC#2的安全保护，如果SMC#2的安全保护验证正确，则可以进一步验证UE与AMF之间的SMC#1的安全保护是否正确。如果SMC#2的安全保护验证不正确，则UE也可以进一步验证UE与AMF之间的SMC#1的安全保护是否正确。此时，可以理解为NH网络出现了问题，但是有可能3GPP网络是正常的。

另一种可能的实现方式，UE也可以先验证UE与AMF之间的SMC#1的安全保护，如果SMC#1的安全保护验证正确，则可以进一步验证UE与NH AMF之间的SMC#2的安全保护是否正确。如果SMC#1的安全保护验证不正确，则UE可以不验证UE与NH AMF之间的SMC#2。这时，可以理解为5G网元是不正常的，UE可以不进行接入。

并且，本申请实施例中，当UE确定验证SMC#1的安全保护正确之后，可以生成SMP消息#1，并向NH AMF发送该SMP#1。当终端设备确定验证SMC#2的安全保护正确之后，可以生成安全模式完成(Security Mode Complete，SMP)消息#2，并向NH AMF发送该SMP#2。

可选的，SMP可以采用与其对应的SMC的保护方法相对应的方式进行安全保护。

一方面，SMP#1可以采用与SMC#1相同的方式进行安全性保护，SMP#2可以采用与SMC#2相同的方式进行安全性保护。

另一方面，当SMC#2中嵌套SMC#1时，SMP#2中可以嵌套SMP#2，或者当SMC#1与SMC#2可以是一条N1-N消息中的并列的两个消息时，SMP#1和SMP#2对应为一条N1-N消息中并列的两个消息，或者当SMC#1在N1-N消息#1中，SMC#2在N1-N消息#2中时，SMP#1放在N1-N消息#3中，SMP#2放在N1-N消息#4中，其中，N1-N消息#3中响应于N1-N消息#1，N1-N消息#4中响应于N1-N消息#2。

或者，可选的，NH AMF还可以向UE指示期望SMP#2采用的安全保护方法，例如只进行加密保护。作为一例，该指示信息可以与SMC#2一起发送给UE，例如封装在同一条N1-N消息中。这时，UE可以根据该指示对SMP#2进行安全保护。

或者，当不发送SMC#1时，NH AMF不需要向AMF发送SMP#1，即UE仅需要采用指定的方式，或与SMC#2对应的方式生成以及发送SMP#2。

对应的，NH AMF收到SMP消息后，对该SMP消息进行验证。可选的，NH AMF可以根据AMF选择的方法对SMP消息进行验证。

具体的，在SMP#1和SMP#2在同一条N1-N消息中的情况下，当NH AMF对SMP#2验证成功时，将该N1-N消息中的剩余消息发送给AMF。在SMP#1放在N1-N消息#3中，SMP#2放在N1-N消息#4中的情况下，NH AMF对SMP#2验证成功后，可以将SMC#1发送给UE，由UE对SMC#1进行验证。

因此，本申请实施例中，通过第一通信网络中的第一接入和移动性管理网元接收用于终端设备接入第二通信网络的NAS参数，并向第二通信网络中的第二接入和移动性管理网元发送该NAS参数，进而使得终端设备通过第一通信网络注册到第二通信网络，并且使用第二通信网络核心网提供的参数对终端设备和第一通信网络网络之间的NAS消息进行安全协商，提高网络的安全性能。

为便于理解，下面以第一接入和移动性管理网元为NH AMF、第二接入和移动性管理网元为AMF、终端设备为UE为例，结合图4对本申请实施例进行详细说明。图4示出了本申请实施例提供的通信示意性流程图。该方法可以应用于图1所示的系统架构100，也可以应用于图2所示的应用场景200，本申请实施例不限于此。

401，UE向NH网络中的NH AMF发第一消息，该第一消息中包括用于该UE接入5G通信网络的NAS参数。

可选的，本申请实施例中，UE与NH AMF之间的接口可以称为N1-N接口，UE与NH AMF通过该N1-N接口传递的消息可以称为N1-N消息。此时，该第一消息具体可以称为N1-N注册请求消息(N1-N/Registration Request)。

作为一例，该NAS参数具体可以为NAS注册请求(NAS registration request)消息。此时，该第一消息中可以嵌套该NAS注册请求消息，即NAS注册请求消息为内层消息。这时，该第一消息可以记为N1-N/Registration Request(NAS[Registration Request])。

可选的，该第一消息中还可以包括该UE的安全能力信息。

可选的，该第一消息中可以包括第一指示信息，该第一指示信息用于指示接入到5G通信网络。具体的，该第一指示信息可以为该UE的标识(ID)，也可以是一个独立的标识。

具体的，第一消息以及其中包括的信息可以参见上文中的描述，为避免重复，这里不再赘述。

402，NH AMF向5G通信网络中的AMF发送第二消息，该第二消息中包括NAS参数。

本申请实施例中，NH AMF与AMF之间的接口可以为N14接口或N2接口，对应的可以将NH AMF与AMF之间的消息称为N14消息或N2消息。

作为一例，第二消息中包括的NAS参数可以为NAS注册请求消息。作为一例，此时，该第二消息可以记为N14message(NAS[Registration Request])或N2message(NAS[Registration Request])。

可选的，所述第二消息中还可以包括所述NH网络的网络标识和/或接入类型。

可选的，本申请实施例中，第二消息中可以包括UE支持的NH网络的安全能力信息。

具体的，第二消息以及第二消息中包括的信息可以参见上文中的描述，为避免重复，这里不再赘述。

403，AMF根据该第二消息，向AUSF发送UE鉴权请求(UE Authentication Request)。

可选的，该终端鉴权请求中可以包括上文中所述的AN参数。

404，AUSF向UDM发送鉴权信息请求(Auth Info request)，并接收UDM发送的鉴权信息响应(Auth Info response)。

具体的，鉴权信息请求以及鉴权信息响应可以参见上文中的描述，为避免重复，这里不再赘述。

405，AUSF向AMF发送鉴权挑战消息(Authentication Challenge)，该鉴权挑战消息中包括用于UE对5G通信网络进行鉴权的参数，例如包括UE的鉴权向量。

406，AMF向NH AMF发送第三消息，该第三消息中包括用于UE对5G通信网络进行鉴权的参数。作为一例，该第三消息可以包括所述鉴权挑战消息，该第三消息可以记为N14(NAS[Authentication Challenge])或N2(NAS[Authentication Challenge])

407，NH AMF向UE发送第四消息，该第四消息中包括用于UE对5G通信网络进行鉴权的参数。作为一例，该第四消息可以包括所述鉴权挑战消息，即第四消息是根据内层NAS消息一致的Authentication Challenge消息，记为N1-N(NAS[Authentication Challenge])。作为另一例，该第四消息可以是专门用于传输UE与AMF之间NAS消息的N1-N消息，记为N1-N Direct NAS Transfer。

408，UE向NH AMF发送第四消息的响应消息，所述第四消息的响应消息中包括用于所述5G通信网络的网元对所述UE进行鉴权的参数。作为一例，该第四消息的响应消息中包括鉴权挑战消息的响应消息，第四消息的响应消息可以记为N1-N(NAS[Authentication response])。

409，NH AMF向AMF发送第三消息的响应消息，所述第三消息的响应消息中包括用于所述5G通信网络的网元对所述UE进行鉴权的参数。作为一例，该第三消息的响应消息中包括鉴权挑战消息的响应消息。第三消息的响应消息可以记为N14(NAS[Authentication response])或N2(NAS[Authentication response])。

410，AMF向AUSF发送鉴权挑战消息的响应消息(Authentication response)。

具体的，AMF可以将第三消息中的鉴权挑战消息的响应消息发送给AUSF。

411，AUSF向AMF发送UE鉴权响应(UE Authentication Response)。具体的，该UE鉴权响应为403中的AMF向AUSF发送的UE鉴权请求的响应消息。

具体的，上述403至411对应于AUSF与UE之间的鉴权过程。具体的，AUSF与UE之间的鉴权过程可以参见上文中的描述，为避免重复，这里不再赘述。

并且，UE鉴权响应中包括所述AUSF与所述UE之间的鉴权结果。可选的，当AUSF与UE鉴权成功时，5G通信网络中的网元可以确定UE与NH网络之间保护消息的密钥，记为NH-Kamf，或者确定生成该密钥的参数，或者确定该密钥的基础密钥，该基础密钥例如为NH-Kseaf。然后，5G通信网络中的网元可以将NH-Kamf、或者生成NH-Kamf的参数，或者NH-Kseaf中的至少一种发送给NH AMF。或者，NH AMF可以自己生成该NH-Kamf。

具体的，生成以及传递NH-Kamf的过程可以参见上文中的描述，为避免重复，这里不再赘述。

图4中的41过程示出了UE先与5G通信网络之间的消息交互安全保护流程，后与NH网络之间的消息交互安全保护流程，41过程包括步骤412至420。

412，AMF向NH AMF发送SMC请求#1，此时412中发送的消息可以记为N14(NAS[SMC Request])或N2(NAS[SMC Request])。可选的，412中，AMF还可以与该SMC请求#1一起，向NH AMF发送安全参数，例如为NH-Kamf，或者NH-Kseaf等。

可选的，该SMC请求#1中包括指示信息，该指示信息用于指示不需要协商UE和AMF之间的NAS密钥。

可替换的，412中，AMF可以向NH AMF发送N14消息或N2消息，并且该消息中不包括SMC#请求1。

413，NH AMF可以不对该SMC请求#1进行处理，直接向UE发送该SMC请求#1，此时413中发送的消息可以记为N1-N(NAS[SMC Request])。

414，UE可以验证UE与AMF之间的SMC请求#1的安全保护是否正确。当验证正确时，向NH AMF发送SMP消息#1，SMP消息#1为上述SMC请求#1的响应消息。此时414中发送的消息可以记为N1-N(NAS[SMC Complete])。

415，NH AMF向AMF发送SMP消息#1，此时415中发送的消息可以记为N14(NAS[SMC Complete])或N2(NAS[SMC Complete])。

可替换的，如果412中的N2消息或N14消息中不包括SMC#请求1，则不执行413和414。并且，415可以替换为：NH AMF向AMF发送对应于412中的N2消息或N14消息的响应消息。

416，AMF向NH AMF发送注册接受消息#1，该注册接受消息#1表示AMF同意UE接入该5G通信网络。此时416中发送的消息可以记为N14(NAS[Registration Accept])或N2(NAS[Registration Accept])。

417，NH AMF向UE发送SMC消息#2和注册接受消息#1，记为N1-N[SMC Request(NAS[Registration Accept])]。

具体的，NH AMF可以根据NH-Kamf，生成用于对NAS消息进行加密的密钥NH-Knas，然后使用该NH-Knas对SMC#2进行安全性保护。同时，将从AMF那里接收来的注册接受消息#1一起发送给UE。

418，UE向NH AMF发送SMP消息#2和注册完成消息#1，记为N1-N[SMC complete(NAS[Registration complete])]其中，注册完成消息#1表示UE成功接入5G通信网络。

具体的，UE可以验证UE与NH AMF之间的SMC请求#2的安全保护是否正确。当验证正确时，向NH AMF发送SMP消息#2，SMP消息#2为上述SMC请求#2的响应消息。

并且，当UE收到注册接受消息#1时，生成对应于该注册接受消息#1的注册完成消息#1，并且，将该注册完成消息#1发送给NH AMF。可选的，SMP消息#2和注册完成消息#1可以一起发送。

可选的，SMP可以采用与SMC的保护方法相对应的方式进行安全保护。具体的，SMP消息#1和SMP消息#2的发送方式可以参见上文中的描述，为避免重复，这里不再赘述。

419，NH AMF向UE发送注册接受消息#2，记为N1-N[Registration accept]，该注册接受消息#2表示NH AMF同意UE接入该NH网络。

420，UE向NH AMF生成对应于发送注册接受消息#2的注册完成消息#2，并向NH AMF发送该注册完成消息#2，记为N1-N[Registration complete]，注册完成消息#2表示UE成功接入NH网络。

具体的，这里SMC请求#1、SMC请求#2、SMP消息#1、SMP消息#2可以参见图3中SMC#1、SMC#2、SMP#1、SMP#2的描述，为避免重复，这里不再赘述。

42过程示出了UE同时与5G通信网络以及NH网络之间的消息交互安全保护流程，42过程包括步骤412’至418’。

412’，AMF向NH AMF发送SMC请求#1。可选的，412’中，AMF还可以与该SMC请求#1一起，向NH AMF发送安全参数，例如为NH-Kamf，或者NH-Kseaf等。

可选的，该SMC请求#1中包括一个指示，表示不需要协商UE和AMF之间的NAS密钥。

可替换的，412’中，AMF可以向NH AMF发送N14消息或N2消息，并且该消息中不包括SMC#请求1。

413’，NH AMF向UE发送SMC请求#1和SMC请求#2。

具体的，NH AMF收到SMC请求#1之后，可以根据NH-Kamf，生成用于对NAS消息进行加密的密钥NH-Knas，然后使用该NH-Knas对SMC#2进行安全性保护，或者对SMC请求#1和SMC请求#2进行安全性保护。然后，将SMC请求#1和SMC请求#2一起发送给UE。

具体的，SMC请求#1和SMC请求#2同时发送的方式可以参见上文中的描述，为避免重复，这里不再赘述。

414’，UE向NH AMF发送SMP消息#1和SMP消息#2，SMP消息#1为上述SMC请求#1的响应消息，SMP消息#2为上述SMC请求#2的响应消息。

具体的，UE可以分别验证SMC请求#1和SMC请求#2的安全保护是否正确。当SMC请求#1和SMC请求#2都验证正确时，向NH AMF发送SMP消息#1以及SMP消息#2。

415’，NH AMF向AMF发送SMP消息#1。

具体的，NH AMF可以获取SMP#2，并将剩余消息转发给AMF，剩余消息中包括SMP消息#1。

可替换的，如果412’中的N2消息或N14消息中不包括SMC#请求1，则413’中发送的消息中不包括SMC#请求1，414’中发送的消息中不包括SMP#消息1，并且415’中发送的消息可替换为412’中的对应于N2消息或N14消息的响应消息。

416’，AMF向NH AMF发送注册接受消息#1，该注册接受消息#1表示AMF同意UE接入该5G通信网络。

可替换的，412’不执行，在413’前执行416’，则413’中发送的消息中不包括SMC#请求1，414’中发送的消息中不包括SMP#消息1，415’不执行。

417’，NH AMF向UE发送注册接受消息#1和注册接受消息#2，该注册接受消息#2表示NH AMF同意UE接入该NH网络。

418’，UE向NH AMF发送注册完成消息#1和注册完成消息#2。

注册完成消息#1表示UE成功接入5G通信网络，注册完成消息#2表示UE成功接入NH网络。

具体的，这里SMC请求#1、SMC请求#2、SMP消息#1、SMP消息#2可以参见图3以及图4中41部分中SMC#1、SMC#2、SMP#1、SMP#2的描述，为避免重复，这里不再赘述。

可选的，本申请实施例中，如果AUSF对所述UE鉴权失败，则AMF在收到AUSF发送的UE鉴权响应之后，向NH AMF发送NAS注册拒绝消息(NAS[Registration Reject])。NH AMF在收到该NAS注册拒绝消息之后，可以将该NAS注册消息嵌套在N1-N注册拒绝消息中(N1-N[Registration Reject(NAS[Registration Reject])])发送给UE，或者直接向UE发送N1-N注册拒绝消息(N1-N[Registration Reject])。

因此，本申请实施例使得终端设备通过NHN网络注册到3GPP 5G核心网，并且使用3GPP 5G核心网提供的参数对终端设备和NHN网络之间的NAS消息进行安全协商，提高网络的安全性能。

上述主要从不同网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，第一接入和移动性管理网元、第二接入和移动性管理网元和终端设备为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的技术方案的范围。

本申请实施例可以根据上述方法示例对第一接入和移动性管理网元、第二接入和移动性管理网元和终端设备等进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元的情况下，图5示出了本申请实施例中所涉及的一种装置的一种可能的示例性框图，该装置500可以以软件、硬件或软硬结合的形式存在。图5示出了本申请实施例中所涉及的装置的一种可能的示意性框图。装置500包括：处理单元502和通信单元503。处理单元502用于对装置的动作进行控制管理。通信单元503用于支持装置与其他设备的通信。装置还可以包括存储单元501，用于存储装置的程序代码和数据。

图5所示的装置500可以是本申请实施例所涉及的第一接入和移动性管理网元、第二接入和移动性管理网元。

当图5所示的装置500为第一接入和移动性管理网元时，处理单元502能够支持装置500执行上述各方法示例中由第一接入和移动性管理网元完成的动作，例如，处理单元502支持装置500执行图3中的对第一消息的处理，以及确定第二消息的动作，图4中的步骤中对第一消息的处理，确定第二消息、对第三消息的处理、确定第四消息、对第四消息的响应消息的处理、确定第三消息的响应消息、对SMC请求#1进行处理、对SMP消息#1进行处理、对注册接受消息#1进行处理、确定SMC请求#2、对SMP消息#2进行处理、确定注册接受消息#2、对注册完成消息#2进行处理的动作，和/或用于本文所描述的技术的其它过程。通信单元503能够支持装置500与第二接入和移动性管理网元、终端设备、独立的安全功能实体、第一通信网络中的SEAF网元等之间的通信，例如，通信单元503支持装置500执行图3中的步骤320和330，图4中的步骤401、402、406、407、408、409、412、413、414、415、416、417、418、419、420，或412’、413’、414’、415’、416’、417’、418’，和/或其他相关的通信过程。

当图5所示的装置500为第二接入和移动性管理网元时，处理单元502能够支持装置500执行上述各方法示例中由第二接入和移动性管理网元完成的动作，例如，处理单元502支持装置500执行图3中的对第二消息进行处理的动作，图4中的对第二消息进行处理、确定UE鉴权请求、对鉴权挑战消息进行处理、确定第三消息、对第三消息的响应消息进行处理、确定鉴权响应、对UE鉴权响应进行处理的动作，和/或用于本文所描述的技术的其它过程。通信单元503能够支持装置500与第第一接入和移动性管理网元、鉴权处理器等之间的通信，例如，通信单元503支持装置500执行图3中的步骤330，图4中的步骤402、403、405、406、409、410、411，和/或其他相关的通信过程。

示例性地，处理单元502可以是处理器或控制器，例如可以是中央处理器(Central Processing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，单元和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元503可以是通信接口，该通信接口是统称，在具体实现中，该通信接口可以包括一个或多个接口。存储单元501可以是存储器。

当处理单元502为处理器，通信单元503为通信接口，存储单元501为存储器时，本申请实施例所涉及的装置500可以为图6所示的装置600。

参阅图6所示，该装置600包括：处理器602和通信接口603。进一步地，该装置600还可以包括存储器601。可选的，装置600还可以包括总线604。其中，通信接口603、处理器602以及存储器601可以通过总线604相互连接；总线604可以是外设部件互连标准(Peripheral Component Interconnect，PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，EISA)总线等。所述总线604可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

其中，处理器602可以通过运行或执行存储在存储器601内的程序，执行所述装置600的各种功能。

示例性地，图6所示的装置600可以是本申请实施例所涉及的第一接入和移动性管理网元、第二接入和移动性管理网元。

当装置600为第一接入和移动性管理网元时，处理器602可以通过运行或执行存储在存储器601内的程序，执行上述各方法示例中由第一接入和移动性管理网元完成的动作。当装置600为第二接入和移动性管理网元时，处理器602可以通过运行或执行存储在存储器601内的程序，执行上述各方法示例中由第二接入和移动性管理网元完成的动作。

在采用集成的单元的情况下，图7示出了本申请实施例中所涉及的另一种装置的一种可能的示例性框图，该装置700可以以软件、硬件或软硬结合的形式存在。图7示出了本申请实施例中所涉及的装置的一种可能的示意性框图。装置700包括：处理单元702和通信单元703。处理单元702用于对装置的动作进行控制管理。通信单元703用于支持装置与其他设备的通信。装置还可以包括存储单元701，用于存储装置的程序代码和数据。

图7所示的装置700可以是终端设备，也可以为应用于终端设备的芯片。处理单元702能够支持装置700执行上述各方法示例中由终端设备完成的动作，例如，处理单元702支持装置702执行图3中的步骤310，以及确定第一消息的动作，图4中的步骤确定第一消息、对第四消息进行处理、确定第四消息的响应消息、对SMC请求#1、SMC请求#2进行处理、确定SMP消息#1、SMP消息#2、对注册接受消息#1和注册接受消息#2进行处理、确定注册完成消息#1和注册完成消息#2，和/或用于本文所描述的技术的其它过程。通信单元703能够支持装置700与第一接入和移动性管理网元等之间的通信，例如，通信单元703支持装置700执行图3中的步骤320，图4中的步骤401、407、408、413、414、417、418、419、420，或413’、414’、417’、418’、419’、420’，和/或其他相关的通信过程。

示例性地，处理单元702可以是处理器或控制器，例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，单元和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元703可以是通信接口，该通信接口是统称，在具体实现中，该通信接口可以包括一个或多个接口。存储单元701可以是存储器。

当处理单元702为处理器，通信单元703为收发器，存储单元701为存储器时，本申请实施例所涉及的装置700可以为图8所示的终端设备。

图8示出了本申请实施例中所涉及的终端设备的一种可能的设计结构的简化示意图。所述终端设备800包括发射器801，接收器802和处理器803。其中，处理器803也可以为控制器，图8中表示为“控制器/处理器803”。可选的，所述终端设备800还可以包括调制解调处理器805，其中，调制解调处理器805可以包括编码器806、调制器807、解码器808和解调器809。

在一个示例中，发射器801调节(例如，模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号，该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上，天线接收上述实施例中基站发射的下行链路信号。接收器802调节(例如，滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器805中，编码器806接收要在上行链路上发送的业务数据和信令消息，并对业务数据和信令消息进行处理(例如，格式化、编码和交织)。调制器807进一步处理(例如，符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器809处理(例如，解调)该输入采样并提供符号估计。解码器808处理(例如，解交织和解码)该符号估计并提供发送给终端设备800的已解码的数据和信令消息。编码器806、调制器807、解调器809和解码器808可以由合成的调制解调处理器805来实现。这些单元根据无线接入网采用的无线接入技术(例如，LTE、5G及其他演进系统的接入技术)来进行处理。需要说明的是，当终端设备800不包括调制解调处理器805时，调制解调处理器805的上述功能也可以由处理器803完成。

处理器803对终端设备800的动作进行控制管理，用于执行上述本申请实施例中由终端设备800进行的处理过程。例如，处理器803还用于执行3和图5所示方法中涉及终端设备的处理过程和/或本申请所描述的技术方案的其他过程。

进一步的，终端设备800还可以包括存储器804，存储器804用于存储用于终端设备800的程序代码和数据。

结合本申请实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read Only Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于集中式单元的控制面实体、集中式单元的用户面实体、终端设备或统一数据存储网元中。当然，处理器和存储介质也可以作为分立组件存在于集中式单元的控制面实体、集中式单元的用户面实体、终端设备或统一数据存储网元中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本申请实施例的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请实施例的具体实施方式而已，并不用于限定本申请实施例的保护范围，凡在本申请实施例的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本申请实施例的保护范围之内。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种通信方法，其特征在于，包括：

第一通信网络中的第一接入和移动性管理网元从终端设备接收第一消息，所述第一消息中包括用于所述终端设备接入第二通信网络的非接入层NAS参数；

所述第一接入和移动性管理网元向所述第二通信网络中的第二接入和移动性管理网元发送第二消息，所述第二消息中包括所述NAS参数。
根据权利要求1所述的方法，其特征在于，所述第一消息中还包括所述终端设备的安全能力信息。
根据权利要求2所述的方法，其特征在于，所述安全能力信息包括应用于所述第一通信网络的安全能力。
根据权利要求1-3任一项所述的方法，其特征在于，所述第二消息中还包括所述第一通信网络的网络标识和/或接入类型。
根据权利要求1-4任一项所述的方法，其特征在于，如果所述第二网络中的鉴权服务器与所述终端设备之间鉴权成功，所述方法还包括：

所述第一接入和移动性管理网元根据所述第一通信网络的密钥，对第一安全模式命令进行安全性保护，所述第一安全模式命令用于启动所述终端设备与所述第一通信网络之间的消息交互安全保护；

所述第一接入和移动性管理网元将进行安全性保护之后的所述第一安全模式命令发送给所述终端设备。
根据权利要求5所述的方法，其特征在于，所述第一接入和移动性管理网元根据所述第一通信网络的密钥，对第一安全模式命令进行安全性保护之前，还包括：

所述第一接入和移动性管理网元从所述第二接入和移动性管理网元或安全功能实体接收以下信息中的至少一项：

所述密钥；用于生成所述密钥的参数；用于生成所述密钥的基础密钥。
根据权利要求5或6所述的方法，其特征在于，还包括：

所述第一接入和移动性管理网元向所述终端设备发送用于生成所述密钥的参数。
根据权利要求5-7任一项所述的方法，其特征在于，还包括：

所述第一接入和移动性管理网元从所述第二接入和移动性管理网元接收第二安全模式命令，并向所述终端设备发送所述第二安全模式命令，其中，所述第二安全模式命令用于启动所述终端设备与所述第二通信网络之间的消息交互安全保护。
一种通信方法，其特征在于，包括：

终端设备决定通过第一通信网络接入第二通信网络；

所述终端设备向所述第一通信网络中的第一接入和移动性管理网元发送第一消息，所述第一消息中包括用于所述终端设备接入所述第二通信网络的非接入层NAS参数。
根据权利要求9所述的方法，其特征在于，所述第一消息中还包括所述终端设备的安全能力信息。
根据权利要求10所述的方法，其特征在于，所述安全能力信息包括应用于所述第一网络的安全能力。
根据权利要求9-11任一项所述的方法，其特征在于，如果所述第二网络中的鉴权服务器与所述终端设备之间鉴权成功，所述方法还包括：

所述终端设备从所述第一接入和移动性管理网元接收第一安全模式命令，其中，所述第一安全模式命令用于启动所述终端设备与所述第一通信网络之间的消息交互安全保护，所述第一安全模式命令是使用所述第一通信网络的密钥进行安全性保护的。
根据权利要求12所述的方法，其特征在于，还包括：

所述终端设备从所述第一接入和移动性管理网元接收用于生成所述密钥的参数。
根据权利要求12或13所述的方法，其特征在于，还包括：

所述终端设备从所述第一接入和移动性管理网元接收第二安全模式命令，其中，所述第二安全模式命令是所述第一接入和移动性管理网元从所述第二接入和移动性管理网络接收的，所述第二安全模式命令用于启动所述终端设备与所述第二通信网络之间的消息交互安全保护。
一种通信方法，其特征在于，包括：

第二通信网络中的第二接入和移动性管理网元从第一通信网络中的第一接入和移动性管理网元接收第二消息，所述第二消息中包括用于终端设备接入所述第二通信网络的非接入层NAS参数；

所述第二接入和移动性管理网元对所述第二消息进行处理。
根据权利要求15所述的方法，其特征在于，所述第二消息中还包括所述第一通信网络的网络标识和/或接入类型。
根据权利要求15或16所述的方法，其特征在于，还包括：

所述第二接入和移动性管理网元根据所述第二消息，向所述第二通信网络中的鉴权服务器发送终端鉴权请求；

所述第二接入和移动性管理网元接收所述鉴权服务器发送的对应于所述终端鉴权请求的终端鉴权响应，所述终端鉴权响应中包括所述鉴权服务器与所述终端设备之间的鉴权结果。
根据权利要求17所述的方法，其特征在于，如果所述第二通信网络中的鉴权服务器与所述终端设备之间鉴权成功，所述方法还包括：

所述第二接入和移动性管理网元接收所述鉴权服务器发送的以下信息中的至少一项：

所述第一通信网络的密钥；

用于生成所述密钥的参数；

用于生成密钥的基础密钥。
根据权利要求17或18所述的方法，其特征在于，如果所述鉴权服务器与所述终端设备之间鉴权成功，所述方法还包括：

所述第二接入和移动性管理网元向所述第一接入和移动性管理网元发送以下信息中的至少一项：

所述第一通信网络的密钥；

用于生成所述密钥的参数；

用于生成密钥的基础密钥。
根据权利要求18或19所述的方法，其特征在于，还包括：

所述第二接入和移动性管理网元向所述第一接入和移动性管理网元发送第二安全模式命令，所述第二安全模式命令用于启动所述终端设备与所述第二通信网络之间的消息交互安全保护。
一种接入和移动性管理网元，其特征在于，包括：用于执行如权利要求1至8任一项所述方法中各个步骤的单元。
一种装置，应用于终端设备，其特征在于，包括：用于执行如权利要求9至14任一项所述方法中各个步骤的单元。
一种终端设备，其特征在于，包括如权利要求22所述的装置。
一种接入和移动性管理网元，其特征在于，包括：用于执行如权利要求15至20任一项所述方法中各个步骤的单元。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行如权利要求1至20任一项所述的方法。
一种装置，其特征在于，所述装置包括处理器和存储器；

所述存储器用于存储计算机执行指令，当所述装置运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述装置执行如权利要求1-8任一所述的方法。
一种装置，其特征在于，所述装置包括处理器和存储器；

所述存储器用于存储计算机执行指令，当所述装置运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述装置执行如权利要求9-14任一所述的方法。
根据权利要求27所述的装置，其特征在于，所述装置包括终端或所述终端内的芯片。
一种装置，其特征在于，所述装置包括处理器和存储器；

所述存储器用于存储计算机执行指令，当所述装置运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述装置执行如权利要求15-20任一所述的方法。