WO2020029730A1

WO2020029730A1 - 一种身份信息的处理方法、设备及系统

Info

Publication number: WO2020029730A1
Application number: PCT/CN2019/094830
Authority: WO
Inventors: 张博
Original assignee: 华为技术有限公司
Priority date: 2018-08-09
Filing date: 2019-07-05
Publication date: 2020-02-13
Also published as: CN110830990B; US20210195409A1; EP3790299C0; US11510052B2; CN110830990A; EP3790299A4; EP3790299A1; EP3790299B1

Abstract

本申请实施例提供一种身份信息的处理方法、设备及系统，以解决终端的身份信息被泄露的问题。该方法包括：确定是否隐藏终端的第一身份信息，在确定隐藏终端的第一身份信息的情况下，隐藏第一身份信息，得到第二身份信息，向会话管理网元发送第二身份信息。后续，会话管理网元向第三网元发送第二身份信息，第三网元接收会话管理网元发送的终端的第二身份信息后，向解密功能实体发送用于请求解密终端的第二身份信息的解密请求，从解密功能实体接收解密后的身份信息，获取与解密后的身份信息对应的数据，向会话管理网元发送数据。

Description

一种身份信息的处理方法、设备及系统

本申请要求于2018年8月9日提交中国国家知识产权局、申请号为201810904615.5、发明名称为“一种身份信息的处理方法、设备及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种身份信息的处理方法、设备及系统。

背景技术

随着无线通信技术的快速发展，第五代(Fifth Generation，5G)移动通信网络(简称5G网络)应运而生，在5G网络中，为了满足不同客户(如业务提供商或者租户)的业务需求，提出了网络切片(Network Slice，NS)的概念。

其中，NS是一个用于支持特定网络能力与网络特性的逻辑隔离的网络，可以提供端到端(end to end，E2E)的网络服务。例如，终端可以向网络切片发送携带有终端的身份信息(如：用户永久标识(Subscription Permanent Identifier，SUPI))的请求消息，请求网络切片中的网络功能(Network Function，NF)为终端建立承载在网络切片上的协议数据单元(protocol data unit，PDU)会话(Session)，使终端通过PDU session接入数据网络(data network，DN)。

但是，不同网络切片所属域是不同的，当网络切片属于除运营商之外的域(如垂直行业安全域)时，将终端的身份信息发送至该网络切片，容易导致终端的身份信息泄露到垂直行业安全域的风险。

发明内容

本申请提供一种身份信息的处理方法、设备及系统，以解决终端的身份信息被泄露的问题。

为达到上述目的，本申请提供如下技术方案：

第一方面，本申请提供一种身份信息的处理方法，该方法包括：第一网元获取用于确定网络切片的所属域的第一参数，根据第一参数判断网络切片是否被运营商管理。基于该方法，可以判断网络切片是否被运营商管理，以便后续向该网络切片发送终端的身份信息时，根据该判断结果确定是否隐藏终端的身份信息，保护终端的身份信息不被泄露。如：在网络切片被运营商管理时，表示的身份信息是安全的，不用隐藏终端的身份信息；反之，在网络切片未被运营商管理时，则表示终端的网络切片位于垂直行业安全域，易泄露，需要隐藏终端的身份信息。需要说明的是，上述网络切片可以指支持终端接入的网络切片。

在第一方面的第一种可能的设计中，结合第一方面，第一网元为切片选择网元、网络贮存网元、接入和移动性管理网元中任一网元。如此，可以通过不同的网元来判断网络切片是否被运营商管理，提高了判断的灵活性。

在第一方面的第二种可能的设计中，结合第一方面或第一方面的第一种可能的设计，当第一网元为切片选择网元或者网络贮存网元时，该方法还包括：第一网元向接入和移动性管理网元发送指示信息，该指示信息用于指示网络切片是否被运营商管理；或者，用于指示是否隐藏终端的第一身份信息；或者，用于指示网络切片的所属域是否与运营商安全域属于同一安全域。如此，接入和移动性管理网元可以通过其他网元发送的指示信息判断网络切片是否被运营商管理。

在第一方面的第三种可能的设计中，结合第一方面或第一方面的任一种可能的设计，第一参数包括：网络切片对应的NSSAI、终端的TAI、终端的业务类型中的至少一种参数。

其中，在第一网元为切片选择网元时，第一网元可以接收接入和移动性管理网元发送的第一参数，第一参数可以包括在切片选择请求中。

在第一网元为网络贮存网元时，第一网元可以接收接入和移动性管理网元发送的第一参数，第一参数可以包括在NF发现请求中。

在第一网元为接入和移动性管理网元时，第一网元可以接收终端发送的第一参数，其中，第一参数可以包括在会话建立请求或者会话更新请求或者注册请求中。

第二方面，本申请提供一种通信装置，该通信装置可以为通信网络中的第一网元，第一网元可以为切片选择网元或者切片选择网元中的芯片或者片上系统，还可以为网络贮存网元或者网络贮存网元中的芯片或者片上系统；也可以为接入和移动性管理网元或者接入和移动性管理网元中的芯片或者片上系统。该通信装置可以实现上述各方面或者各可能的设计中通信装置所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该通信装置可以包括：获取单元，判断单元；

获取单元，用于获取用于确定网络切片的所属域的第一参数；

判断单元，用于根据第一参数判断网络切片是否被运营商管理。

其中，通信装置的具体实现方式可以参考第一方面或第一方面的任一种可能的设计提供的身份信息的处理方法中通信装置的行为功能，在此不再重复赘述。因此，该提供的通信装置可以达到与第一方面或者第一方面的任一种可能的设计相同的有益效果。

第三方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该通信装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该通信装置执行如上述第一方面或者第一方面的任一种可能的设计所述的身份信息的处理方法。

第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面或者上述方面的任一种可能的设计所述的身份信息的处理方法。

第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面或者上述方面的任一种可能的设计所述的身份信息的处理方法。

第六方面，提供了一种芯片系统，该芯片系统包括处理器、通信接口，用于支持通信装置实现上述方面中所涉及的功能，例如处理器获取用于确定网络切片的所属域的第一参数，根据第一参数判断网络切片是否被运营商管理。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第三方面至第六方面中任一种设计方式所带来的技术效果可参见上述第一方面或者第一方面的任一种可能的设计所带来的技术效果，不再赘述。

第七方面，本申请提供又一种身份信息的处理方法，该方法包括：第二网元确定是否隐藏终端的第一身份信息，在第二网元确定隐藏终端的第一身份信息的情况下，第二网元隐藏第一身份信息，得到第二身份信息，并向会话管理网元发送第二身份信息。基于该方法，第二网元可以将需要隐藏的终端的身份信息进行隐藏后发送至会话管理网元，保护终端的身份信息在发往垂直行业安全域时不被泄露。

在第七方面的第一种可能的设计中，结合第七方面，第二网元为接入和移动性管理网元、网络边缘保护代理、拜访地会话管理网元中任一网元。如此，可以通过不同网元隐藏终端的身份信息，提高了终端的身份信息隐藏的灵活性。

在第七方面的第二种可能的设计中，结合第七方面或第七方面的第一种可能的设计，第二网元确定是否隐藏终端的第一身份信息，包括：第二网元接收指示信息，根据指示信息确定是否隐藏终端的第一身份信息；指示信息用于指示网络切片是否被运营商管理；或者，指示信息用于指示是否隐藏终端的第一身份信息；或者，指示信息用于指示网络切片的所属域是否与运营商安全域属于同一安全域。

需要说明的是，当第二网元为接入和移动性管理网元时，第二网元自己可以判断网络切片是否被运营商管理，并根据自身的判断结果确定是否隐藏终端的第一身份信息。

在第七方面的第三种可能的设计中，根据第七方面或第七方面的任一种可能的设计，第二网元隐藏第一身份信息，得到第二身份信息，包括：第二网元利用公钥加密终端的第一身份信息，得到第二身份信息；或者，第二网元利用共享密钥加密终端的第一身份信息，得到第二身份信息；或者，第二网元根据共享密钥以及密钥推衍函数得到新的密钥，利用新的密钥加密终端的第一身份信息，得到第二身份信息；或者，第二网元随机化终端的第一身份信息，得到第二身份信息；或者，第二网元将终端的第一身份信息对应的GPSI作为第二身份信息。如此，可以通过多种方式隐藏终端的身份信息，提高了隐藏的灵活性。

第八方面，本申请提供一种通信装置，该通信装置可以为通信网络中的第二网元，第二网元可以为网络边缘保护代理或者网络边缘保护代理中的芯片或者片上系统，还可以为拜访地会话管理网元或者拜访地会话管理网元中的芯片或者片上系统；也可以为接入和移动性管理网元或者接入和移动性管理网元中的芯片或者片上系统。该通信装置可以实现上述第七方面或者第七方面的各可能的设计中通信装置所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该通信装置可以包括：确定单元、隐藏单元、发送单元。

确定单元，用于确定是否隐藏终端的第一身份信息；

隐藏单元，用于确定隐藏终端的第一身份信息的情况下，隐藏第一身份信息，得到第二身份信息；

发送单元，用于向会话管理网元发送第二身份信息。

其中，通信装置的具体实现方式可以参考第七方面或第七方面的任一种可能的设计提供的身份信息的处理方法中通信装置的行为功能，在此不再重复赘述。因此，该提供的通信装置可以达到与第七方面或者第七方面的任一种可能的设计相同的有益效果。

第九方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该通信装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该通信装置执行如上述第七方面或者第七方面的任一种可能的设计所述的身份信息的处理方法。

第十方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第七方面或者上述方面的任一种可能的设计所述的身份信息的处理方法。

第十一方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第七方面或者上述方面的任一种可能的设计所述的身份信息的处理方法。

第十二方面，提供了一种芯片系统，该芯片系统包括处理器、通信接口，用于支持通信装置实现上述方面中所涉及的功能，例如处理器确定是否隐藏终端的第一身份信息，在确定隐藏终端的第一身份信息的情况下，隐藏第一身份信息，得到第二身份信息，并通过通信接口向会话管理网元发送第二身份信息。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第九方面至第十二方面中任一种设计方式所带来的技术效果可参见上述第七方面或者第七方面的任一种可能的设计所带来的技术效果，不再赘述。

第十三方面，本申请提供一种身份信息的处理方法，所述方法包括：第三网元接收会话管理网元发送的终端的身份信息以及用于指示终端的身份信息为隐藏后的身份信息的指示；第三网元根据指示向解密功能实体发送解密请求，其中，解密请求包括终端的身份信息，解密请求用于请求解密终端的身份信息；第三网元从解密功能实体接收解密后的身份信息，获取与解密后的身份信息对应的数据，向会话管理网元发送数据。基于该方法，在第三网元接收到的身份信息为隐藏后的身份信息的情况下，请求解密功能实体对隐藏后的身份信息进行解密，获取与解密后的身份信息对应的数据，并将获取到的数据发送给会话管理网元，以便会话管理网元根据接收的数据实现PDU session上的业务传输。如此，在终端的身份信息不被泄露的情况下，保证了业务传输的连续性。

在第十三方面的第一种可能的设计中，结合第十三方面，第三网元为策略控制网元、计费网元、数据管理网元中任一网元。如此，不同网元接收到隐藏后的身份信息后，可以请求其他网元解密终端的身份信息。

在第十三方面的第二种可能的设计中，结合第十三方面或者第十三方面的第一种可能的设计，解密功能实体为接入和移动性管理网元、数据管理网元、网络贮存网元、计费网元、策略控制网元、认证鉴权网元中任一网元。如此，可以通过不同网元解密隐藏后的终端的身份信息，增加解密终端的身份信息的灵活性。

在第十三方面的第二种可能的设计中，结合第十三方面或者第十三方面的任一种可能的设计，所述方法还包括：第三网元向会话管理网元发送隐藏后的第二身份信息对应的信息，以便会话管理网元保存隐藏后的第二身份信息以及第二身份信息对应的信息。如此，可以在第三网元通知会话管理网元发送信息的情况下，直接向会话管理网元发送隐藏后的身份信息即可，无需通过解密功能实体解密隐藏后的身份信息后，再向会话管理网元发送信息，降低了第三网元的处理功耗以及与其他网元之间的信令开销。

第十四方面，本申请提供一种通信装置，该通信装置可以为通信网络中的第三网元，第三网元可以为策略控制网元或者策略控制网元中的芯片或者片上系统，还可以为计费网元或者计费网元中的芯片或者片上系统；也可以为数据管理网元或者数据管理网元中的芯片或者片上系统。该通信装置可以实现上述第十三方面或者第十三方面的各可能的设计中通信装置所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该通信装置可以包括：接收单元、发送单元、获取单元。

接收单元，用于接收会话管理网元发送的终端的身份信息以及用于指示终端的身份信息为隐藏后的身份信息的指示；

发送单元，用于根据指示向解密功能实体发送解密请求，其中，解密请求包括终端的身份信息，解密请求用于请求解密终端的身份信息；

接收单元，还用于从解密功能实体接收解密后的身份信息；

获取单元，用于获取与解密后的身份信息对应的数据；

发送单元，还用于向会话管理网元发送数据。

其中，通信装置的具体实现方式可以参考第十三方面或第十三方面的任一种可能的设计提供的身份信息的处理方法中通信装置的行为功能，在此不再重复赘述。因此，该提供的通信装置可以达到与第十三方面或者第十三方面的任一种可能的设计相同的有益效果。

第十五方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该通信装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该通信装置执行如上述第十三方面或者第十三方面的任一种可能的设计所述的身份信息的处理方法。

第十六方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第十三方面或者上述方面的任一种可能的设计所述的身份信息的处理方法。

第十七方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第十三方面或者上述方面的任一种可能的设计所述的身份信息的处理方法。

第十八方面，提供了一种芯片系统，该芯片系统包括处理器、通信接口，用于支持通信装置实现上述方面中所涉及的功能，例如处理器接收会话管理网元发送的终端的身份信息以及用于指示终端的身份信息为隐藏后的身份信息的指示，根据指示向解密功能实体发送解密请求，其中，解密请求包括终端的身份信息，解密请求用于请求解密终端的身份信息；从解密功能实体接收解密后的身份信息，获取与解密后的身份信息对应的数据，向会话管理网元发送数据。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第十五方面至第十八方面中任一种设计方式所带来的技术效果可参见上述第十三方面或者第十三方面的任一种可能的设计所带来的技术效果，不再赘述。

第十九方面，本申请提供一种身份信息的处理系统，包括：如第二方面至第六方面所述的第一网元、如第八方面至第十二方面所述的第二网元、如第十四方面至第十八方面所述的第三网元。

附图说明

图1为本申请实施例提供的系统架构示意图；

图2a为本申请实施例提供的非漫游场景下的系统架构示意图；

图2b为本申请实施例提供的LOB漫游场景下的系统架构示意图；

图2c为本申请实施例提供的home routed漫游场景下的系统架构示意图；

图3为本申请实施例提供的一种通信装置的组成示意图；

图4为本申请实施例提供的一种身份信息的处理方法流程图；

图5为本申请实施例提供的又一种身份信息的处理方法流程图；

图6为本申请实施例提供的再一种身份信息的处理方法流程图；

图7为本申请实施例提供的再一种身份信息的处理方法流程图；

图8为本申请实施例提供的再一种身份信息的处理方法流程图；

图9为本申请实施例提供的一种通信装置的组成示意图；

图10为本申请实施例提供的又一种通信装置的组成示意图；

图11为本申请实施例提供的再一种通信装置的组成示意图。

具体实施方式

首先，为了便于理解本申请实施例，对本申请实施例涉及的一些技术术语进行描述：

NS：是一个具备特定网络特性的逻辑网络，不同网络切片之间逻辑上是隔离的，它可以按照需求方的要求灵活地提供一种或者多种网络服务。一个网络切片由单网络切片选择辅助信息(Single Network Slice Selection Assistance Information，S-NSSAI)来标识。

网络切片选择辅助信息(network slice selection assistance information，NSSAI)：用于指示一个或者多个网络切片，NSSAI中包括多个单NSSAI(single NSSAI，S-NSSAI)。S-NSSAI由服务类型(slice/service type，SST)和切片区分器(slice differentiator，SD)等参数组成。其中，SST包括标准化和运营商自定义的类型；SD是补充SST的可选信息，以区分相同SST的多个网络切片。需要说明的是，在本申请实施例中，可以将NSSAI简称为网络切片信息。

运营商安全域：运营商所管理的网络。

垂直行业安全域：运营商安全域之外的其他网络，即非运营商管理的网络。在本申请各实施例中，垂直行业安全域可称为业务管理域或者业务安全域等。其中一种可能的部署方式为，垂直行业安全域中与运营商安全域之间通过网络边缘保护代理(Security Edge Protection Proxy，SEPP)相互通信。如：垂直行业安全域的边缘部署有SEEP1，运营商安全域的边缘部署有SEEP2，垂直行业安全域中的网络功能(Network Function，NF)可以通过SEEP1向运营商安全域中的SEEP2发送信息，SEEP2接收到SEEP1发送的信息后，将接收到的信息发送给运营商安全域中的NF。

下面结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

本申请提供的技术方案可以应用于图1所示网络，该网络可以为5G网络。如图1所示，该网络可以包括：终端、接入网设备、接入和移动性管理网元、多个网络切片(如图1中的NS-1和NS-2)、切片选择网元、策略控制网元、数据管理网元、计费网元、数据网络(Data Network，DN)等。其中，每个网络切片由不同网络功能和物理资源集合而成，可以用于承载PDU session，以便终端通过该PDU session接入数据网络。一种可能的结构中，网络切片由网络贮存网元、多个管理网元、多个用户面网元组成。网络切片间相互隔离，多个网络切片可以共享同一切片选择网元、接入和移动性管理网元、数据管理网元、策略控制网元、计费网元。在图1中，不同网络切片可以均位于运营商安全域中，被运营商所管理；也可以部署在除运营商之外的网络中。例如，图1中的NS-1位于运营商安全域，NS-2位于垂直业务安全域。在图1中，每个域的边缘可以部署有SEEP，SEEP为域的通信接口，具有收发数据或信息的功能，不同域中的NF可以通过SEEP相互通信。需要说明的是，图1所示网络架构仅为示例性架构图，虽然未示出，但除图1所示网络功能外，图1所示网络还可以包括其他功能，如：认证鉴权网元(如：认证服务器功能(Authentication Server Function，AUSF))、认证信任状存储和处理功能(Authentication credential Repository and Processing Functon，ARPF)等。

其中，图1中的终端可以为用户设备(User Equipment，UE)，还可以为各种具有无线或者有线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备；还可以包括用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(Personal Digital Assistant，PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordless phone)或者无线本地环路(Wireless Local Loop，WLL)台、机器类型通信(Machine Type Communication，MTC)终端、移动台(Mobile Station，MS)等，不予限制。

图1中的接入网设备主要用于实现物理层功能、资源调度和无线资源管理、接入控制以及移动性管理等功能；可以为下一代基站(generation nodeB，gNB)或某种其它任一接入单元；也可能为其他具体有线网络功能的接入网设备。

图1中的切片选择网元具备选择网络切片以及识别网络切片的属性的功能，主要用于根据终端请求的NSSAI和/或终端签约的NSSAI等信息为终端选择合适的网络切片、判断选择出的网络切片是否被运营商管理等。具体的，该切片选择网元可以为网络切片选择功能(Network Slice Selection Function，NSSF)。

图1中的接入和移动性管理网元主要实现对终端的接入控制和移动性管理功能，还可以用于保护终端的身份信息(如终端的SUPI等)。具体的，该接入和移动性管理网元可以为接入和移动管理功能(Access and Mobility Management Function，AMF)。

图1中的网络贮存网元保存有网络中各个网络功能(Network Function，NF)的概况(profile)、NF支持的业务，主要用于发现NF以及判断其发现的NF所处的网络是否被运营商管理等。具体的，该网络贮存网元可以为网络仓库功能(Network Repository Function，NRF)。

图1中的会话管理网元主要用于实现用户面传输路径的建立、释放和更改等会话管理功能，还可以用于在会话管理网元为终端的拜访地会话管理网元的情况下，隐藏(hide)发往归属地会话管理网元的终端的身份信息。具体的，该会话管理网元可以为会话管理功能(Session Management，SMF)。

图1中的用户面网元主要负责用户面数据的路由转发等功能，如：负责对终端的数据报文过滤、数据传输/转发、速率控制、生成计费信息等。具体的，该用户面网元可以为用户面功能(User Plane Function，UPF)。

图1中的策略控制网元主要用于制定与终端相关的策略与计费控制规则(Policy and Charging Control Rule，PCC rule)，还可以用于在接收到会话管理网元发送的隐藏后的身份信息后，获取与隐藏后的身份信息对应的原身份信息，并向会话管理网元下发原身份信息对应的数据。具体的，该策略控制网元可以为策略控制功能(Policy Control Function，PCF)。

图1中的数据管理网元主要用于保存终端签约的数据和相关信息，还可以用于在接收到会话管理网元发送的隐藏后的身份信息后，获取与隐藏后的身份信息对应的原身份信息，并向会话管理网元下发原身份信息对应的数据。具体的，该数据管理网元可以为统一数据管理(unified data management，UDM)。

图1中的计费网元主要用于对终端的流量进行计费等，还可以用于在接收到会话管理网元发送的隐藏后的身份信息后，获取与隐藏后的身份信息对应的原身份信息，并向会话管理网元下发原身份信息对应的数据。具体的，该计费网元可以为计费控制功能(Charge Function，CHF)。

需要说明的是，上述各架构中的网元名字只是一个示例，具体实现中网元名字可能为其他名字，本申请实施例对此不作具体限定。下面以图1为5G网络，图1中的接入和移动性管理网元为AMF，切片选择网元为NSSF，网络贮存网元为NRF，会话管理网元为AMF，策略控制网元为PCF，数据管理网元为UDM，计费网元为CHF为例，对本申请提供的身份信息的处理方法进行介绍。

如图2a所示，为终端处于非漫游场景下的系统架构图。在图2a中，终端位于归属公共陆地移动网络(Home Public Land Mobile Network，HPLMN)(简称hPLMN)中，终端可以通过hPLMN中的NS接入DN。例如：终端可以通过hPLMN中的NS-2接入DN1。

由于终端设备的的移动性，终端设备在5G网络中移动时，可能会处于图2b所示的本地分汇(Local breakout，LBO)漫游的场景或者图2c所示的归属地路由(home routed)漫游的场景，其中，LBO漫游可以指漫游终端通过拜访地的网络切片接入网络获取相应的业务，业务的提供者可以是拜访公共陆地移动网络(Public Land Mobile Network，PLMN)(简称vPLMN)。例如，如图2b所示，终端通过vPLMN中的SMF(即vSMF)接入DN1获取相应的业务，所有访问业务的终端面流量都经vPLMN中的vSMF上报给hPLMN中的PCF(即hPCF)，即：local breakout漫游下为终端服务的SMF位于拜访地。

home routed漫游是指经由归属地路由，通过拜访地的SMF与归属地SMF相连接，进行控制信令传输，并由归属地网络切片与数据网络相连接，如：图2c所示，vSMF为拜访地SMF，hSMF为拜访地SMF，终端可以通过vSMF向hSMF发送消息，hSMF可以将接收到的消息上传给PCF或者CHF或者UDM等。

在图1～图2c所示系统中，为了避免终端的身份信息(如SUPI)泄露到垂直行业安全域，在终端接入某个网络切片之前，判断该网络切片是否被运营商管理，在该网络切片被运营商管理的情况下(如：网络切片位于垂直行业安全域的情况下)，隐藏终端的身份信息，即：加密终端的身份信息，后续向该网络切片发送终端的身份信息时，发送加密后的身份信息，保护终端的身份信息不被泄露到垂直行业安全域。当网络中的某些网元(如PCF或CHF或UDM)接收到加密后的身份信息后，解密收到的身份信息，获取与解密后的身份信息对应的数据。上述隐藏终端的身份信息的操作可以为通过随机化的方式处理终端的身份信息。具体的，该方法可参照图4～图8所示。

为了实现本申请实施例提供的身份信息的处理方法，上述网络中的各个网元可以包括图3所示部件。图3为本申请实施例提供的一种通信装置的组成示意图，如图3所示，该通信装置300包括至少一个处理器301，通信线路302，以及至少一个通信接口304，还可以包括存储器303。其中，处理器301，存储器303以及通信接口304三者之间可以通过通信线路302连接。

处理器301可以是一个中央处理器(Central Processing Unit，CPU)，也可以是特定集成电路(Application Specific Integrated Circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个数字信号处理器(Digital Signal Processor，DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，FPGA)。

通信线路302可包括一通路，用于在上述组件之间传送信息。

存储器303可以是只读存储器(Read-Only Memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(Random Access Memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器303可以是独立存在，通过通信线路302与处理器301相连接。存储器303也可以和处理器301集成在一起。其中，存储器303用于存储执行指令或者应用程序代码，并由处理器301来控制执行，实现本申请下述实施例提供的身份信息的处理方法。

通信接口304，用于与其他设备或通信网络通信，可以使用任何收发器一类的装置，如以太网，无线接入网(Radio Access Network，RAN)，无线局域网(Wireless Local Area Networks，WLAN)等。

作为一种可实现方式，处理器301可以包括一个或多个CPU，例如图3中的CPU0和CPU1。作为另一种可实现方式，通信装置300可以包括多个处理器，例如图3中的处理器301和处理器307。作为再一种可实现方式，通信装置300还可以包括输出设备305和输入设备306。

需要说明的是，上述的通信装置300可以是一个通用设备或者是一个专用设备。例如，通信装置300可以是台式机、便携式电脑、网络服务器、PDA、移动手机、平板电脑、无线终端、嵌入式设备或有图3中类似结构的设备。本申请实施例不限定通信装置300的类型。

下面结合图2a～图2c，对本申请实施例提供的身份信息的处理方法进行具体阐述。需要说明的是，本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请实施例对此不作具体限定。

图4为本申请实施例提供的一种身份信息的处理方法流程图，该方法可以应用于图2a或图2b或图2c所示场景中，在该方法用于图2a所示场景中时，该方法中的AMF、NSSF可以为归属地AMF(即hAMF)、归属地NSSF(即hNSSF)。在该方法用于图2b所示场景中时，该方法中的AMF、NSSF可以为图2b中的拜访地AMF(即vAMF)、拜访地NSSF(即vNSSF)。在该方法用于图2c所示场景中时，该方法中的AMF、NSSF可以为图2c中的拜访地AMF(即vAMF)、归属地NSSF(即hNSSF)。如图4所示，该方法可以包括：

步骤401：终端向AMF发送第一请求消息。

其中，该AMF可以为默认AMF。终端可以通过接入网设备向AMF发送第一请求消息。

其中，第一请求消息可以用于请求AMF为终端建立网络接入；还可以用于指示AMF在网络切片位于垂直行业安全域的情况下，隐藏发往网络切片的终端的身份信息。

第一请求消息可以为会话建立请求或者会话更新请求或者注册请求，不予限制。第一请求消息可以包括终端的第一身份信息以及终端请求的NSSAI，还可以包括其他信息，如：终端的设备类型、终端的业务标识、终端的业务类型参数等；又可以包括隐藏指示，该隐藏指示可以用于指示AMF在网络切片位于垂直行业安全域的情况下，隐藏发往该网络切片的终端的身份信息。需要说明的是，第一请求消息也可以不包括隐藏指示，当AMF接收到包括终端的第一身份信息的第一请求消息时，默认在网络切片位于垂直行业安全域的情况下，隐藏发往该网络切片的终端的第一身份信息。

本申请各实施例中，终端的第一身份信息可以为终端的用户永久标识(Subscription Permanent Identifier，SUPI)，或者终端的国际移动用户识别码(International Mobile Subscriber Identity，IMSI)，或者终端的全球唯一临时标识(Globally Unique Temporary Identifier，GUTI)，或者终端的临时移动用户标识符(Temporary Mobile Subscriber Identity，TMSI)(如：系统架构演进临时移动用户标识符(S-TMSI)或者移动管理功能临时移动用户标识符(M-TMSI)或者分组域用户临时标识符(P-TMSI))，或者终端的IP多媒体私有标识(IP Multimedia Private Identity，IMPI)，或者终端的IP多媒体共有标识(IP Multimedia Public Identity，IMPU)，或者终端的国际移动台设备标识(International Mobile Station Equipment Identity，IMEI)等，不予限制。

步骤402：AMF接收第一请求消息，向NSSF发送切片选择请求。

其中，切片选择请求可以用于请求NSSF选择支持终端接入的网络切片，切片选择请求可以包括终端请求的NSSAI，还可以包括终端的SUPI对应的公共陆地移动网标识(Public Land Mobile Network Identity，PLMN ID)、终端的路由区域标识(Tracking Area Identity，TAI)、终端的设备类型、终端的业务标识、终端的业务类型参数中的一种或多种信息。

可选的，步骤402中，当AMF接收到第一请求消息后，若AMF自身不能为终端选择出合适的网络切片，则向NSSF发送切片选择请求；若AMF自身可以为终端选择出合适的网络切片，则不向NSSF发送切片选择请求。具体的，AMF可以通过现有技术判断自身是否可以为终端选择出合适的网络切片，本申请实施例对此不予赘述。

在图4所示方法应用于图2a或图2b所示场景下时，AMF可以通过AMF与NSSF之间的通信接口(如：服务化接口Nnssf)直接向NSSF发送切片选择请求。在图4所示方法应用于图2c所示场景下时，如图2c所示，AMF可以向vNSSF发送切片选择请求，vNSSF接收到切片选择请求后，向hNSSF转发该切片选择请求。需要说明的是，AMF向vNSSF发送的切片选择请求与vNSSF向hNSSF发送的切片选择请求中均携带有终端请求的NSSAI，除携带NSSAI之外，AMF向vNSSF发送的切片选择请求中携带的信息可以与vNSSF向hNSSF发送的切片选择请求中携带的信息相同或不同。

步骤403：NSSF接收切片选择请求，判断网络切片是否被运营商管理。

其中，步骤403中所述的网络切片可以为NSSF选择的、支持终端接入的网络切片。具体的，NSSF选择网络切片的过程可参照现有技术，本申请实施例对此不予赘述。

其中，网络切片是否被运营商管理可以指：网络切片是否位于运营商安全域或者网络切片的所属域与运营商安全域是否属于同一安全域。如：若终端的网络切片位于运营商安全域中，则表示网络切片被运营商管理；反之，网络切片位于运营商安全域之外(即位于垂直行业安全域中)，网络切片不被运营商管理。

需要说明的是，本申请中的下述几四种描述：网络切片是否被运营商管理、网络切片是否位于运营商安全域、发往网络切片的身份信息是否需要隐藏(或者保护)、发往(网络切片中的)NF(如：SMF)的身份信息是否需要隐藏(或者保护)、网络切片的所属域与运营商安全域是否属于同一安全域为同一概念，这四种描述形式之间可以相互替换。例如，“判断网络切片是否被运营商管理”可以描述为“判断发往(网络切片中的)NF(如：SMF)的身份信息是否需要隐藏”，还可以描述为“判断网络切片的所属域与运营商安全域是否属于同一安全域”，也可以描述为“判断网络切片是否位于运营商安全域”。此外，还可以用其他描述语言来间接表达“网络切片是否被运营商管理”，即用其可用于表达“网络切片是否被运营商管理”的语言描述也在本申请的保护范围之内。

一种可能的设计中，NSSF根据NSSAI与网络切片所属域的对应关系，确定网络切片是否被运营商管理；其中，网络切片所属域包括运营商安全域或者垂直行业安全域。例如，NSSAI1对应运营商安全域，NSSAI2对应垂直行业安全域，当NSSF选择出的网络切片对应的NSSAI为NSSAI2时，则确定网络切片位于垂直行业安全域，不被运营商管理。或者，NSSAI中包括NSSAI对应的网络切片是否属于运营商安全域的指示，NSSF根据此指示可以直接确定网络切片是否被运营商管理，如：当该指示用于指示NSSAI对应的网络切片不属于运营商安全域时，NSSF确定网络切片不位于运营商安全域，而是位于垂直行业安全域。

又一种可能的设计中，切片选择请求中包括终端的TAI，若终端的TAI指示终端位于垂直行业安全域中，则NSSF根据终端的TAI确定网络切片属于被运营商管理，反之，则确定网络切片不被运营商管理。

再一种可能的设计中，切片选择请求中包括终端的业务类型，若终端的业务类型指示终端的业务属于垂直行业业务范畴，则NSSF根据终端的业务类型确定网络切片属于被运营商管理，反之，则确定网络切片不被运营商管理。

可选的，上述网络切片等价为网络切片内的NF(如：SMF、UPF等网络功能实体)。即本申请中所述的网络切片是否被运营商管理等同于网络切片中的NF(如：SMF或者UPF)是否被运营商管理。

步骤404：NSSF向AMF发送指示信息。

其中，指示信息可以用于指示网络切片是否被运营商管理，或者用于指示是否隐藏终端的第一身份信息，或者用于指示网络切片的所属域是否与运营商安全域属于同一安全域。

以指示信息用于指示网络切片是否被运营商管理为例，该指示信息可以为二进制比特数“0”或“1”，其中，“0”表示网络切片未被运营商管理，“1”表示网络切片被运营商管理。或者，该指示信息为布尔值“true”或者“false”，“false”表示网络切片未被运营商管理，“true”表示网络切片被运营商管理。

在图4所示方法应用于图2a或图2b所示场景下时，NSSF可以通过NSSF与AMF之间的通信接口(如：服务化接口Namf)直接向AMF发送指示信息。

在图4所示方法应用于图2c所示场景下时，hNSSF向vNSSF发送指示信息，由vNSSF向AMF发送指示信息。需要说明的是，hNSSF向vNSSF发送的指示信息与vNSSF向AMF发送的指示信息可以相同，也可以不同，如：hNSSF向vNSSF发送的指示信息可以用于指示网络切片不被运营商管理，vNSSF向AMF发送的指示信息可以用于指示是否隐藏终端的身份信息。

需要说明的是，在步骤404中，NSSF还可以向AMF发送网络切片对应的NSSAI以及其他信息，不予限制。

步骤405：AMF接收指示信息。

进一步可选的，AMF接收到指示信息后，可以由自身或者其他网元根据指示信息确定是否隐藏终端的第一身份信息。具体的，根据指示信息确定是否隐藏终端的第一身份信息的过程可参照7中所示。

在图4所示的方法中，可以通过NSSF判断网络切片是否被运营商管理，并根据判断结果向AMF发送指示信息，后续，以便AMF或者其他网元根据该指示信息确定是否隐藏终端的身份信息，保护终端的身份信息不被泄露。

与图4不同的是，在又一种可实现方法中，可以通过NRF判断为终端服务的会话管理网元是否被运营商管理，具体的，该方法可参照图5所示。

图5为本申请实施例提供的又一种身份信息的处理方法，该方法可以应用于图2a或图2b或图2c所示场景中，在该方法用于图2a所示场景中时，该方法中的AMF、NRF可以为归属地AMF(即hAMF)、归属地NRF(即hNRF)。在该方法用于图2b所示场景中时，该方法中的AMF、NRF可以为图2b中的拜访地AMF(即vAMF)、拜访地NRF(即vNRF)。在该方法用于图2c所示场景中时，该方法中的AMF、NRF可以为图2c中的拜访地AMF(即vAMF)、归属地NRF(即hNRF)。如图5所示，该方法可以包括：

步骤501：终端向AMF发送第一请求消息。

其中，步骤501可参照步骤401所述，不再赘述。

步骤502：AMF接收第一请求消息，向NRF发送NF发现请求。

其中，NF发现请求中可以包括网络切片对应的NSSAI，该网络切片可以为支持终端接入的网络切片。NF发现请求可以用于请求NRF发现该NSSAI对应的网络切片中为终端服务的SMF以及判断该SMF是否被运营商管理。除包括NSSAI之外，NF发现请求还可以包括终端的SUPI对应的PLMN ID、终端的TAI、终端的设备类型、终端的业务标识、终端的业务类型参数中的一种或多种信息。

可选的，步骤502中，当AMF接收到第一请求消息，且选择出网络切片后，若AMF自身不能从该网络切片中选择出为终端服务的SMF，则向NRF发送NF发现请求；若AMF自身可以从该网络切片中选择出为终端服务的SMF，则不向NSSF发送切片选择请求。具体的，AMF可以采用现有技术判断自身是否可以选择出为终端服务的SMF，本申请实施例对此不予赘述。其中，在图2c所示场景下，AMF选择出的网络切片为拜访地网络切片。

在图5所示方法应用于图2a或图2c所示场景下时，AMF可以通过AMF与NRF之间的通信接口(如：服务化接口Nnrf)直接向NRF发送NF发现请求。在图4所示方法应用于图2c所示场景下时，如图2c所示，AMF可以向vNRF发送NF发现请求，vNRF接收到NF发现请求后，向hNRF转发该NF发现请求；其中，vNRF为AMF选择出的拜访地网络切片中的NRF，hNRF为与该拜访地网络切片相对应的归属地网络切片中的NRF。需要说明的是，AMF向vNRF发送的NF发现请求与vNRF向hNRF发送的NF发现请求中均携带有终端请求的NSSAI，除携带NSSAI之外，AMF向vNRF发送的NF发现请求中携带的信息可以与vNRF向hNRF发送的NF发现请求中携带的信息相同或者不同。

步骤503：NRF接收NF发现请求，判断SMF是否被运营商管理。

其中，步骤503中所述的SMF可以是NRF从支持终端接入的网络切片中选择出的、为终端服务的SMF，也可以为其他能够为终端服务的SMF。其中，NRF选择为终端服务的SMF的过程可参照现有技术，本申请实施例对此不予赘述。需要说明的是，在图2c所示场景下，NRF选择出的SMF为归属地SMF(hSMF)。

在SMF是NRF从支持终端接入的网络切片中选择出的、为终端服务的SMF的情况下，NRF判断SMF是否被运营商管理的过程可以包括：NRF判断NF发现请求中包括的NSSAI对应的网络切片是否被运营商管理，若被运营商管理，则确定选择出的SMF被运营商管理，反之，则确定选择出的SMF不被运营商管理。NRF判断NF发现请求中包括的NSSAI对应的网络切片是否被运营商管理的过程可参照步骤403中NSSF判断网络切片是否被运营商管理的过程，不再赘述。

在步骤503中的SMF为其他SMF的情况下，NRF可以根据SMF的地址信息判断该SMF是否被运营商管理。如：NRF可以查看运营商管理的所有地址信息，若该SMF的地址信息包括在运营商管理的地址信息的范围之内，则确定该SMF被运营商管理，反之，则确定该SMF不被运营商管理。其中，SMF的地址信息用于标识该SMF，可以为SMF的因特网协议(Internet Protocol，IP)地址，或者SMF全量域名(fully qualified domain name，FQDN)，或者SMF实例的信息，或者SMF业务实例的地址等。

需要说明的是，SMF是否被运营商管理、SMF所在的网络切片是否被运营商管理、SMF所在的网络切片是否位于运营商安全域、发往SMF的身份信息是否需要隐藏(或者保护)、发往SMF所在的网络切片的身份信息是否需要隐藏(或者保护)、SMF所在的网络切片的所属域与运营商安全域是否属于同一安全域为同一概念，这几种描述形式之间可以相互替换。例如，以SMF为支持终端接入的网络切片中的SMF为例，“判断SMF是否被运营商管理”可以描述为“判断终端接入的网络切片是否被运营商管理”，还可以描述为“判断终端接入的网络切片与运营商安全域是否属于同一安全域”等，不予限制。此外，还可以用其他描述语言来间接表达“SMF是否被运营商管理”，即用其可用于表达“SMF是否被运营商管理”的语言描述也在本申请的保护范围之内。

步骤504：NRF向AMF发送SMF的地址信息以及指示信息。

其中，步骤504中的指示信息可以用于指示SMF是否被运营商管理，或者用于指示是否隐藏发往该SMF的终端的第一身份信息，或者用于指示SMF的所属域是否与运营商安全域属于同一安全域。该指示信息的具体表示形式可参照步骤404中所述，不再赘述。

在图5所示方法应用于图2a或图2b所示场景下时，NRF可以通过NRF与AMF之间的通信接口(如：服务化接口Namf)直接向AMF发送SMF的地址信息以及指示信息。

在图5所示方法应用于图2c所示场景下时，hNRF向vNRF发送SMF的地址信息以及指示信息，由vNRF向AMF发送SMF的地址信息以及指示信息。需要说明的是，hNRF向vNRF发送的指示信息与vNRF向AMF发送的指示信息可以相同，也可以不同，如：hNRF向vNRF发送的指示信息可以用于指示SMF不被运营商管理，vNRF向AMF发送的指示信息可以用于指示隐藏发往SMF的终端的第一身份信息。

步骤505：AMF接收SMF的地址信息以及指示信息。

进一步可选的，AMF接收到指示信息后，可以由自身或者其他网元根据指示信息确定是否隐藏终端的第一身份信息。具体的，根据指示信息确定是否隐藏终端的第一身份信息的过程可参照7中所示。需要说明的是，在图5所示方法中，NRF也可以仅向AMF发送SMF的地址信息，后续，AMF接收到SMF的地址信息后，根据SMF的地址信息确定SMF是否被运营商管理。如：若SMF的地址信息包括在运营商所管理的地址信息的范围内，则确定SMF被运营商管理，反之，则确定SMF不被运营商管理。

在图5所示的方法中，可以通过NRF判断网络切片中的SMF是否被运营商管理，并根据判断结果向AMF发送指示信息，后续，便于AMF或者其他网元根据该指示信息确定是否隐藏终端的身份信息，保护终端的身份信息不被泄露。

与图4或图5所示方法不同的是，再一种可实现方法中，可以通过AMF自身判断网络切片是否被运营商管理。具体的，该可实现方法可参照图6中所示。

图6为本申请实施例提供的再一种身份信息的处理方法，该方法可以应用于图2a或图2b或图2c所示场景中，在该方法用于图2a所示场景中时，该方法中的AMF、UDM可以为归属地AMF(即hAMF)、归属地UDM。在该方法用于图2b所示场景中时，该方法中的AMF可以为图2b中的拜访地AMF(即vAMF)，UDM可以为归属地UDM。在该方法用于图2c所示场景中时，该方法中的AMF可以为图2c中的拜访地AMF(即vAMF)，UDM可以为归属地UDM。如图6所示，该方法可以包括：

步骤601：终端向AMF发送第一请求消息。

其中，步骤601可参照步骤401所述，不再赘述。

步骤602：AMF接收第一请求消息，向UDM发送数据请求。

其中，数据请求中可以包括终端的第一身份信息，数据请求可以用于请求终端的签约数据。该数据请求可以为Nudm消息，

步骤603：UDM获取终端的签约数据，向AMF发送获取到的终端的签约数据。

其中，终端的签约数据可以包括终端签约的NSSAI，或者终端签约的数据网络的名称(Data Network Name，DNN)，或者，终端签约的NSSAI以及终端签约的NSSAI是否被运营商管理间的对应关系，或者终端签约的DNN以及终端签约的DNN是否被运营管理间的对应关系。

步骤604：AMF接收终端签约的数据，根据终端签约的数据以及终端请求的NSSAI，判断网络切片是否被运营商管理。

其中，该网络切片可以为支持终端接入的网络切片。AMF可以根据终端签约的数据以及终端请求的NSSAI确定支持终端接入的网络切片，其具体实现方式可参照现有技术，不再赘述。

具体的，AMF判断网络切片是否被运营商管理的过程可参照步骤403中NSSF判断网络切片是否被运营商管理的过程，不再赘述。除参照步骤403之外，AMF还可以根据网络切片对应的DNN，根据该DNN是否被运营商管理，判断网络切片是否被运营商管理，如：若DNN被运营商管理，则确定网络切片被运营商管理，反之，则确定网络切片不被运营商管理。

进一步可选的，AMF判断网络切片是否被运营商管理后，可以由自身或者其他网元确定是否隐藏终端的第一身份信息。具体的，确定是否隐藏终端的第一身份信息的过程可参照7中所示。

在图6所示的方法中，可以通过AMF判断网络切片是否被运营商管理，后续，便于AMF或者其他网元根据AMF的判断结果确定是否隐藏终端的身份信息，保护终端的身份信息不被泄露。

以上图4～图6主要对网络切片或者SMF是否被运营商管理进行了描述。接下来，在网络切片或者SMF被运营商管理的情况下，隐藏终端的第一身份信息，反之，则直接向网络切片中的SMF发送终端的第一身份信息。具体的，该过程可参照图7所示。

图7为本申请提供的一种身份信息的处理方法流程示意图，该方法可以应用于图2a或图2b或图2c所示场景中，在该方法用于图2a所示场景中时，该方法中的AMF、SMF可以为归属地AMF(即hAMF)、归属地SMF。在该方法用于图2b所示场景中时，该方法中的AMF可以为图2b中的拜访地AMF(即vAMF)，SMF可以为拜访地SMF(vSMF)。在该方法用于图2c所示场景中时，该方法中的AMF可以为图2c中的拜访地AMF(即vAMF)，SMF可以为归属地SMF(hSMF)。如图7所示，所述方法包括：

步骤701：AMF确定是否隐藏终端的第一身份信息。

一种可能的设计中，AMF根据从NSSF或者NRF接收到的指示信息确定是否隐藏终端的第一身份信息；其中，指示信息的相关描述可参照图4或图5中所述，不再赘述。

例如，若指示信息用于指示网络切片被运营商管理，则确定不隐藏终端的第一身份信息，反之，则确定隐藏终端的第一身份信息。或者，若指示信息用于指示隐藏终端的第一身份信息，则直接确定隐藏终端的第一身份信息，反之，则确定不隐藏终端的第一身份信息。

又一种可能的设计中，AMF根据本地预设策略确定是否隐藏终端的第一身份信息，如：AMF可以采用图6所示方法确定是否隐藏终端的第一身份信息。

需要说明的是，本申请不限制AMF确定是否隐藏终端的第一身份信息的实现方式。

步骤702：在AMF确定隐藏终端的第一身份信息的情况下，隐藏终端的第一身份信息得到第二身份信息。

在本申请各实施例中，隐藏可以指加密或者封装或者保护。第二身份信息可以为隐藏后的终端的身份信息，第二身份信息可以与终端的第一身份信息对应。

具体的，AMF可以通过下述几种方式隐藏终端的第一身份信息，得到第二身份信息：

方式一：利用公钥加密终端的第一身份信息，得到第二身份信息。

方式二：利用共享密钥加密终端的第一身份信息，得到第二身份信息。其中，共享密钥预先配置在隐藏终端的第一身份信息的网元(如AMF)上和解密第二身份信息的网元上。

方式三：AMF根据共享密钥衍生出新的密钥，利用新的密钥加密终端的第一身份信息，得到第二身份信息。

例如：新的密钥K_SST＝KDF(K)，或者K_SST＝KDF(K，SST)，其中，K为共享密钥，SST为NSSAI包括的切片信息，KDF为密钥推衍函数。共享密钥K预先配置在隐藏终端的第一身份信息的网元(如AMF)上和解密第二身份信息的网元(如图8中所示的解密功能实体)上。

需要说明的是，上述密钥推衍函数内的参数，除了K，SST之外，还可能包括切片ID，会话ID中的至少一项；也可以包括时间，计算器，序列号，随机数(nonce)等。在方式三中，AMF需要将AMF与解密第二身份信息的网元间没有共享的参数(如：切片ID，时间，计算器，序列号，随机数(nonce)等)发送至SMF，以便SMF将这些没有共享的参数发送至解密第二身份信息的网元，以使得解密第二身份信息的网元使用相同推衍函数和推衍参数得到K_SST，进而根据K_SST解密第二身份信息，得到终端的第一身份信息。

方式四：AMF随机化终端的第一身份信息，得到第二身份信息。

一种可能的设计中，AMF根据hash类型函数随机化终端的第一身份信息。这里hash类型的函数可以为普通的hash类型函数(如SHA-256等)，或者媒体接入控制(Media Access Control，MAC)消息验证码(Message Authentication Code)类型的函数(如：基于哈希算法的消息验证码(Hashed Base Message Authentication，HMAC)，或者基于加密的验证码(Cipher-based MAC，CMAC)等)，不做限制。例如，以终端的第一身份信息为SUPI为例，隐藏后的身份信息＝hash(SUPI，SST)，或者hash(SUPI，SST，(nonce，序列号(sequence number)，时间(time)中的至少一项))。其中，随机数为AMF生成的任一数值。序列号为当前时刻的前一时刻AMF与SMF交互的信息的序号。时间为当前时刻AMF内定时器的时间。

又一种可能的设计中，第二身份信息由AMF的路由信息(routing information)以及AMF生成的随机数组成。例如，以终端的第一身份信息为SUPI为例，Hide(SUPI)＝AMF routing information||random number。

在方式四中，AMF保存隐藏后的第二身份信息与终端的第一身份信息的对应关系，以便后续AMF接收到解密第二身份信息的网元发送的解密请求后，根据该对应关系解密得到终端的第一身份信息。

方式五：AMF将终端的第一身份信息对应的GPSI作为隐藏后的第二身份信息。

需要说明的是，本申请中所述隐藏终端的第一身份信息可以指：将终端的第一身份信息全部隐藏或者部分隐藏，其中，部分隐藏指隐藏终端的第一身份信息中的部分信息。以终端的第一身份信息为SUPI为例，SUPI包括网络标识和身份标识两部分信息，网络标识可以为MNC，MCC，身份标识可以为MSIN，其中，网络标识可以不用隐藏，身份标识隐藏。

步骤703：AMF向SMF发送第二身份信息。

其中，第二身份信息可以包括在会话建立请求或者会话更新请求中向SMF发送。除第二身份信息之外，AMF还可以向SMF发送第二身份信息为隐藏后的身份信息的指示，以便SMF接收到该指示后，将第二身份信息以及该指示一起发送给PCF或CHF或者UDM等。

在图7所示方法应用于图2a或图2b所示场景下时，AMF可以通过AMF与SMF之间的通信接口(如：服务化接口Nsmf)直接向SMF发送第二身份信息；或者，AMF向其所在域的第一SEEP发送第二身份信息，第一SEEP接收到第二身份信息后，向SMF所在域的第二SEEP发送第二身份信息，第二SEEP接收第二身份信息，向SMF发送接收到的第二身份信息。

在图7所示方法应用于图2c所示场景下时，hAMF向vSMF发送第二身份信息，由vSMF向hSMF发送第二身份信息。

可选的，在AMF确定不隐藏终端的第一身份信息的情况下，AMF直接向SMF发送终端的第一身份信息。其中，除发送终端的第一身份信息外，AMF还可以向SMF发送第一身份信息为未隐藏的身份信息的指示。其中，AMF向SMF发送第一身份信息的过程可参照AMF向SMF发送第二身份信息的过程，不再赘述。

在本申请中，可以用“0”或“1”来指示AMF向SMF发送的身份信息是否为隐藏后的身份信息。如：“0”指示AMF向SMF发送的身份信息未隐藏，“1”指示AMF向SMF发送的身份信息被隐藏。需要说明的是，向SMF发送终端的第一身份信息的同时，AMF也可以不向SMF发送用于指示第一身份信息为未隐藏后的身份信息的指示，当SMF接收到仅包括终端的第一身份信息的消息时，默认接收到的身份信息为未隐藏后的身份信息。

可选的，在图7所示方法中，AMF根据本地策略确定是否执行图7所示步骤701以及隐藏终端的第一身份信息的过程，其中，本地策略预先配置在AMF上，本地策略用于规定AMF在向其他网元发送终端的身份信息之前，开启或者关闭AMF的确定是否隐藏终端的身份信息的功能。在AMF确定不执行步骤701的情况下，可以通过其他网元来隐藏终端的身份信息。具体如下：

在图2a或图2b的情况下，AMF接收到NSSF或者NRF发送的指示信息，或者AMF自身判断网络切片是否被运营商管理之后，不执行步骤702～步骤703，而是向其所在的第一SEEP或者SMF所在的第二SEEP发送隐藏终端的第一身份信息的指示信息以及终端的第一身份信息，以便第一SEEP或者第二SEEP根据隐藏终端的第一身份信息的指示信息隐藏终端的第一身份信息，得到第二身份信息，并向SMF发送第二身份信息。其中，第一SEEP或第二SEEP隐藏终端的第一身份信息的过程可参照AMF隐藏终端的第一身份信息的过程，不再赘述。

在图2c的情况下，AMF接收到NSSF或者NRF发送的指示信息，或者AMF自身判断网络切片是否被运营商管理之后，AMF不执行步骤702～步骤703，而是向vSMF发送用于指示隐藏终端的第一身份信息的指示信息以及终端的第一身份信息，以便vSMF根据隐藏终端的第一身份信息的指示信息隐藏终端的第一身份信息，得到第二身份信息，并向hSMF发送第二身份信息。其中，vSMF隐藏终端的第一身份信息的过程可参照AMF隐藏终端的第一身份信息的过程，不再赘述。AMF接收到的指示信息与AMF向vSMF发送的指示信息可以相同，也可以不同，如：AMF接收到的指示信息可以为网络切片不被运营商管理，AMF向vSMF发送的指示信息可以为隐藏终端的第一身份信息。

在图7所示的方法中，可以将需要隐藏的身份信息进行隐藏后发送至SMF，保护终端的身份信息在发往垂直行业安全域时不被泄露。

SMF接收到终端的身份信息(第一身份信息或者第二身份信息)后，可以将接收到的身份信息发送至PCF或CHF或UDM，以便PCF或CHF或UDM接收SMF发送的终端的身份信息，并在终端的身份信息为隐藏后的第二身份信息的情况下，请求解密功能实体解密第二身份信息得到第一身份，并根据解密后的第一身份信息获取与终端相关的数据返回给SMF。下面结合图8，以SMF向PCF发送其接收到的终端的身份信息为例，对该过程进行介绍。其中，SMF向UDM或者CHF发送终端的身份信息的过程可参照图8所示过程。

图8为本申请提供的一种身份信息的处理方法流程图，该方法可以应用于图2a或图2b或图2c所示场景中，在该方法用于图2a所示场景中时，该方法中的SMF可以为归属地SMF，PCF可以为归属地PCF。在该方法用于图2b所示场景中时，该方法中的SMF可以为拜访地SMF(vSMF)，PCF可以为归属地PCF。在该方法用于图2c所示场景中时，该方法中的SMF可以为归属地SMF(hSMF)，PCF可以为归属地PCF。如图8所示，所述方法包括：

步骤801：SMF接收终端的身份信息。

其中，SMF接收到的身份信息可以为未隐藏的终端的第一身份信息或者隐藏后的第二身份信息。

可选的，步骤801中，SMF还接收到用于指示终端的身份信息是否为隐藏后的身份信息的指示，以便SMF根据此指示可以判定接收到的身份信息是否为隐藏后的身份信息。或者，步骤801中，SMF接收到第二身份信息以及用于指示终端的身份信息为隐藏后的身份信息的指示，以便SMF根据此指示可以判定接收到的身份信息为隐藏后的身份信息。

步骤802：在终端的身份信息为隐藏后的第二身份信息的情况下，SMF向PCF发送第二身份信息以及用于指示第二身份信息为隐藏后的身份信息的指示。

可选的，SMF通过SEEP向PCF发送第二身份信息以及用于指示第二身份信息为隐藏后的身份信息的指示，或者，通过其与PCF的通信接口(如：服务化接口Npcf)向PCF发送第二身份信息以及用于指示第二身份信息为隐藏后的身份信息的指示。

可选的，指示第二身份信息为隐藏后的身份信息的指示也可不发。PCF可以根据接收到的身份信息判定其是否为隐藏后的身份信息；或者PCF可以根据SMF的信息(例如源SMF的地址等)判定SMF发送的身份信息是否为隐藏后的身份信息，即PCF不需要指示就可以判定其接收到的身份信息是否为隐藏后的身份信息。

步骤803：PCF接收第二身份信息以及用于指示第二身份信息为隐藏后的身份信息的指示，向解密功能实体发送解密请求。

其中，解密请求中包括第二身份信息，解密请求可以用于请求解密隐藏后的第二身份信息。

其中，解密功能实体可以为UDM、AMF、CHF、AUSF、ARPF、NRF、PCF中任一网元。需要说明的是，当解密功能实体为除自身之外的其他功能时，其中一种可选方式为，PCF获取解密功能实体的地址信息，根据解密功能实体的地址信息向解密发送解密请求。

解密功能实体的地址信息可以由解密功能实体发送给SMF，由SMF发送给PCF，如：以解密功能实体为AMF为例，解密功能实体的地址信息可以与第二身份信息包括在同一消息中发送给PCF，也可以包括在不同消息中发送给PCF。或者，PCF中预先配置有解密功能实体的地址信息，当PCF接收到第二身份信息以及用于指示第二身份信息为隐藏后的身份信息的指示时，PCF根据其内预先配置的解密功能实体的地址信息向解密功能实体发送解密请求。或者，在解密功能实体为AMF，且AMF采用方式四隐藏终端的身份信息的情况下，PCF可以根据隐藏的身份信息中AMF的路由信息来确定AMF，并请求AMF解密隐藏后的身份信息。如：Hide(SUPI)＝AMF routing information||random number，当PCF接收到Hide(SUPI)后，PCF根据AMF routing information确定AMF的地址信息，向AMF发送解密请求。

步骤804：解密功能实体接收解密请求，解密隐藏后的第二身份信息，得到终端的第一身份信息，向PCF发送终端的第一身份信息。

其中，在采用方式一隐藏终端的身份信息情况下，解密功能实体通过私钥解密隐藏后的第二身份信息，得到终端的第一身份信息。

在采用方式二隐藏终端的身份信息情况下，解密功能实体通过共享密钥解密隐藏后的第二身份信息，得到终端的第一身份信息。其中，共享密钥预先存储在解密功能实体上。

在采用方式三隐藏终端的身份信息情况下，解密功能实体通过推衍函数和推衍参数得到共享密钥后，基于共享密钥解密隐藏后的第一身份信息，得到终端的第二身份信息。

在采用方式四隐藏终端的身份信息情况下，解密功能实体为AMF，AMF保存有隐藏后的第二身份信息与终端的第一身份信息的对应关系，根据此对应关系得到终端的第一身份信息。

在采用方式五隐藏终端的身份信息情况下，解密功能实体为AMF或UDM，解密功能实体通过终端的身份信息与GPSI的对应关系解密隐藏后的第二身份信息，得到终端的第一身份信息。

步骤805：PCF接收终端的第一身份信息，获取与第一身份份信息对应的数据，并向SMF发送获取到的数据。

需要说明的是，在终端的身份信息为第一身份信息的情况下，SMF向PCF发送第第一身份信息。PCF接收SMF发送的第一身份信息，不需要解密接收到的第一身份信息，直接获取与第一身份份信息对应的数据，并向SMF发送获取到的数据。

在图8所示方法中，在PCF接收到的身份信息为隐藏后的身份信息的情况下，请求解密功能实体对隐藏后的身份信息进行解密，获取与解密后的身份信息对应的数据，并将获取到的数据发送给SMF，以便SMF根据接收的数据实现PDU session上的业务传输。如此，在终端的身份信息不被泄露的情况下，保证了业务传输的连续性。

进一步的，在图8所示方法中，PCF可以向SMF发送隐藏后的第二身份信息对应的信息，以便SMF保存隐藏后的第二身份信息以及第二身份信息对应的信息。后续，当PCF需要向SMF发送消息(例如通知消息)时，向SMF发送隐藏后的第二身份信息，以使得SMF根据隐藏后的第二身份信息直接获取第二身份信息对应的信息，并根据获取到的信息执行相应操作。例如：更新用户对应的策略等，或者通知UPF，或者向接入网设备发送服务质量(Quanlity of Server，QoS)变更等等。如此，可以在PCF通知SMF发送信息的情况下，直接向SMF发送隐藏后的身份信息即可，无需通过解密功能实体解密隐藏后的身份信息后，再向SMF发送信息，降低了第三网元的处理功耗以及与其他网元之间的信令开销。

上述主要从AMF、SMF、NSSF、NRF各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，上述AMF为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对执行上述方法的通信装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图9示出了的一种通信装置的结构图，该通信装置可以为切片选择网元(如NSSF)或者切片选择网元中的芯片或者片上系统，还可以为网络贮存网元(如NRF)或者网络贮存网元中的芯片或者片上系统；也可以为接入和移动性管理网元(如AMF)或者接入和移动性管理网元中的芯片或者片上系统，该通信装置可以用于执行上述实施例中涉及的终端的功能。作为一种可实现方式，图9所示通信装置包括：获取单元90，判断单元91；

获取单元90，用于获取用于确定网络切片的所属域的第一参数；如：获取单元90支持图9所示通信装置执行步骤402或者步骤502或者步骤601。

判断单元91，用于根据第一参数判断网络切片是否被运营商管理。如：判断单元91用于支持图9所示通信装置执行步骤403或者步骤503或者步骤604。

进一步的，如图9所示，在通信装置为切片选择网元(如NSSF)或者切片选择网元中的芯片或者片上系统，或者，为网络贮存网元(如NRF)或者网络贮存网元中的芯片或者片上系统时，该通信装置还可以包括：发送单元92；

发送单元92，用于向接入和移动性管理网元发送指示信息，该指示信息的相关描述如前所述，不再赘述。如：发送单元92用于支持图9所示的通信装置执行步骤404和步骤504。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。本申请实施例提供的通信装置，用于执行上述身份信息的处理方法中通信装置的功能，因此可以达到与上述身份信息的处理方法相同的效果。

作为又一种可实现方式，图9所示通信装置可以包括：处理模块和通信模块。获取单元90和判断单元91集成在处理模块中，发送单元92集成的通信模块中。处理模块用于对通信装置的动作进行控制管理，例如，处理模块用于支持该通信装置支持步骤403或者步骤503或者步骤604以及执行本文所描述的技术的其它过程。通信模块用于支持通信装置执行步骤404和步骤504以及与其他网络实体的通信，例如与图1示出的功能模块或网络实体之间的通信。进一步的，该通信装置还可以包括存储模块，用于存储通信装置的程序代码和数据。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块可以是收发电路或通信接口等。存储模块可以是存储器。当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，图9所示通信装置可以为图3所示通信装置。

图10示出了的一种通信装置的结构图，该通信装置可以为网络边缘保护代理(如：SEEP)或者网络边缘保护代理中的芯片或者片上系统，还可以为拜访地会话管理网元(如：vSMF)或者拜访地会话管理网元中的芯片或者片上系统；也可以为接入和移动性管理网元(如：AMF)或者接入和移动性管理网元中的芯片或者片上系统。该通信装置可以用于执行上述实施例中涉及的终端的功能。作为一种可实现方式，图10所示通信装置包括：确定单元100、隐藏单元101、发送单元102。

确定单元100，用于确定是否隐藏终端的第一身份信息；如：确定单元100用于支持图10所示的通信装置执行步骤701。

隐藏单元101，用于在确定隐藏终端的第一身份信息的情况下，隐藏第一身份信息，得到第二身份信息；如：隐藏单元101用于支持图10所示的通信装置执行步骤702。

发送单元102，用于向会话管理网元发送第二身份信息。如：发送单元102用于支持图10所示的通信装置执行步骤703。

进一步的，如图10所示，该通信装置还可以包括：接收单元103；

所述接收单元103，用于接收切片选择网元或者网络贮存网元发送的指示信息，该指示信息的相关描述如前所述，不再赘述。

确定单元100，具体用于根据该指示信息确定是否隐藏终端的第一身份信息。

作为又一种可实现方式，图10所示通信装置可以包括：处理模块和通信模块。处理模块集成有确定单元100、隐藏单元101；通信模块集成有接收单元103、发送单元102。处理模块用于对通信装置的动作进行控制管理，例如，处理模块用于支持该通信装置支持步骤701、步骤702以及执行本文所描述的技术的其它过程。通信模块用于支持通信装置执行步骤703以及与其他网络实体的通信，例如与图1示出的功能模块或网络实体之间的通信。进一步的，该通信装置还可以包括存储模块，用于存储通信装置的程序代码和数据。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块可以是收发电路或通信接口等。存储模块可以是存储器。当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，图10所示通信装置可以为图3所示通信装置。

图11示出了的一种通信装置的结构图，该通信装置可以为策略控制网元(如：PCF)或者策略控制网元中的芯片或者片上系统，还可以为计费网元(如CHF)或者计费网元中的芯片或者片上系统；也可以为数据管理网元(如UDM)或者数据管理网元中的芯片或者片上系统。该通信装置可以用于执行上述实施例中涉及的终端的功能。作为一种可实现方式，图11所示通信装置包括：接收单元110、发送单元111、获取单元112。

接收单元110，用于接收会话管理网元发送的终端的身份信息以及用于指示终端的身份信息为隐藏后的身份信息的指示；如：接收单元110用于支持图11所示的通信装置执行步骤802。

发送单元111，用于根据指示向解密功能实体发送解密请求，其中，解密请求包括终端的身份信息，解密请求用于请求解密终端的身份信息；如：发送单元111用于支持图11所示的通信装置执行步骤803。

接收单元110，还用于从解密功能实体接收解密后的身份信息；如：接收单元110用于支持图11所示的通信装置执行步骤804。

获取单元112，用于获取与解密后的身份信息对应的数据。

发送单元111，还用于向会话管理网元发送数据。如：发送单元111用于支持图11所示的通信装置执行步骤805。

作为又一种可实现方式，图11所示通信装置可以包括：处理模块和通信模块。处理模块集成有获取单元112；通信模块集成有接收单元110、发送单元111。处理模块用于对通信装置的动作进行控制管理，例如，处理模块用于支持该通信装置获取与解密后的身份信息对应的数据以及执行本文所描述的技术的其它过程。通信模块用于支持通信装置执行步骤802、步骤803、步骤804、步骤805以及与其他网络实体的通信，例如与图1示出的功能模块或网络实体之间的通信。进一步的，该通信装置还可以包括存储模块，用于存储通信装置的程序代码和数据。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块可以是收发电路或通信接口等。存储模块可以是存储器。当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，图11所示通信装置可以为图3所示通信装置。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种身份信息的处理方法，其特征在于，所述方法包括：

第一网元获取第一参数；所述第一参数用于确定网络切片的所属域；

所述第一网元根据所述第一参数判断所述网络切片是否被运营商管理。
根据权利要求1所述的身份信息的处理方法，其特征在于，

所述第一网元为切片选择网元、网络贮存网元、接入和移动性管理网元中任一网元。
根据权利要求2所述的身份信息的处理方法，其特征在于，当所述第一网元为切片选择网元或者网络贮存网元时，所述方法还包括：

所述第一网元向所述接入和移动性管理网元发送指示信息；

其中，所述指示信息用于指示所述网络切片是否被运营商管理；或者，

所述指示信息用于指示是否隐藏所述终端的第一身份信息；或者，

所述指示信息用于指示所述网络切片的所属域是否与运营商安全域属于同一安全域。
根据权利要求1-3任一项所述的身份信息的处理方法，其特征在于，

所述第一参数包括：所述网络切片对应的网络切片选择辅助信息NSSAI、所述终端的路由区域标识TAI、所述终端的业务类型中的至少一种参数。
一种身份信息的处理方法，其特征在于，所述方法包括：

第二网元确定是否隐藏终端的第一身份信息；

在所述第二网元确定隐藏所述终端的第一身份信息的情况下，所述第二网元隐藏所述第一身份信息，得到第二身份信息，并向会话管理网元发送所述第二身份信息。
根据权利要求5所述的身份信息的处理方法，其特征在于，

所述第二网元为接入和移动性管理网元、网络边缘保护代理、拜访地会话管理网元中任一网元。
根据权利要求5或6所述的身份信息的处理方法，其特征在于，在所述第二网元确定是否隐藏终端的第一身份信息之前，所述方法还包括：

所述第二网元接收指示信息，其中，所述指示信息用于指示所述网络切片是否被运营商管理；或者，所述指示信息用于指示是否隐藏所述终端的第一身份信息；或者，所述指示信息用于指示所述网络切片的所属域是否与运营商安全域属于同一安全域；

所述第二网元确定是否隐藏终端的第一身份信息，包括：根据所述指示信息确定是否隐藏终端的第一身份信息。
根据权利要求5-7任一项所述的身份信息的处理方法，其特征在于，所述第二网元隐藏所述第一身份信息，得到第二身份信息，包括：

所述第二网元利用公钥加密所述终端的第一身份信息，得到第二身份信息；或者，

所述第二网元利用共享密钥加密所述终端的第一身份信息，得到第二身份信息；或者，

所述第二网元根据共享密钥以及密钥推衍函数得到新的密钥，利用所述新的密钥加密所述终端的第一身份信息，得到第二身份信息；或者，

所述第二网元随机化所述终端的第一身份信息，得到第二身份信息；或者，

所述第二网元将所述终端的第一身份信息对应的广义公共用户标识GPSI作为所述第二身份信息。
一种身份信息的处理方法，其特征在于，所述方法包括：

第三网元接收会话管理网元发送的终端的身份信息以及用于指示所述终端的身份信息为隐藏后的身份信息的指示；

所述第三网元根据所述指示向解密功能实体发送解密请求，其中，所述解密请求包括所述终端的身份信息，所述解密请求用于请求解密所述终端的身份信息；

所述第三网元从所述解密功能实体接收解密后的身份信息，获取与所述解密后的身份信息对应的数据，向所述会话管理网元发送所述数据。
根据权利要求9所述的身份信息的处理方法，其特征在于，

所述第三网元为策略控制网元、计费网元、数据管理网元中任一网元。
根据权利要求9或10所述的身份信息的处理方法，其特征在于，

所述解密功能实体为接入和移动性管理网元、所述数据管理网元、网络贮存网元、所述计费网元、所述策略控制网元、认证鉴权网元中任一网元。
一种通信装置，其特征在于，所述通信装置包括：

获取单元，用于获取第一参数；所述第一参数用于确定网络切片的所属域；

判断单元，用于根据所述第一参数判断所述网络切片是否被运营商管理。
根据权利要求12所述的通信装置，其特征在于，

所述通信装置为切片选择网元、网络贮存网元、接入和移动性管理网元中任一网元。
根据权利要求13所述的通信装置，其特征在于，当所述通信装置为切片选择网元或者网络贮存网元时，所述通信装置还包括：

发送单元，用于向所述接入和移动性管理网元发送指示信息；

其中，所述指示信息用于指示所述网络切片是否被运营商管理；或者，

所述指示信息用于指示是否隐藏所述终端的第一身份信息；或者，

所述指示信息用于指示所述网络切片的所属域是否与运营商安全域属于同一安全域。
根据权利要求12-14任一项所述的通信装置，其特征在于，

所述第一参数包括：所述网络切片对应的网络切片选择辅助信息NSSAI、所述终端的路由区域标识TAI、所述终端的业务类型中的至少一种参数。
一种通信装置，其特征在于，所述通信装置包括：

确定单元，用于确定是否隐藏终端的第一身份信息；

隐藏单元，用于在所述确定单元确定隐藏所述终端的第一身份信息的情况下，隐藏所述第一身份信息，得到第二身份信息；

发送单元，用于向会话管理网元发送所述第二身份信息。
根据权利要求16所述的通信装置，其特征在于，

所述通信装置为接入和移动性管理网元、网络边缘保护代理、拜访地会话管理网元中任一网元。
根据权利要求16或17所述的通信装置，其特征在于，所述通信装置，还包括：

接收单元，用于接收指示信息；所述指示信息用于指示所述网络切片是否被运营商管理；或者，所述指示信息用于指示是否隐藏所述终端的第一身份信息；或者，所述指示信息用于指示所述网络切片的所属域是否与运营商安全域属于同一安全域；

所述确定单元，具体用于根据所述指示信息确定是否隐藏终端的第一身份信息。
根据权利要求16-18任一项所述的通信装置，其特征在于，所述隐藏单元，具体用于：

利用公钥加密所述终端的第一身份信息，得到第二身份信息；或者，

利用共享密钥加密所述终端的第一身份信息，得到第二身份信息；或者，

根据共享密钥以及密钥推衍函数得到新的密钥，利用所述新的密钥加密所述终端的第一身份信息，得到第二身份信息；或者，

随机化所述终端的第一身份信息，得到第二身份信息；或者，

将所述终端的第一身份信息对应的广义公共用户标识GPSI作为所述第二身份信息。
一种通信装置，其特征在于，所述通信装置包括：

接收单元，用于接收会话管理网元发送的终端的身份信息以及用于指示所述终端的身份信息为隐藏后的身份信息的指示；

发送单元，用于根据所述指示向解密功能实体发送解密请求，其中，所述解密请求包括所述终端的身份信息，所述解密请求用于请求解密所述终端的身份信息；

所述接收单元，还用于从所述解密功能实体接收解密后的身份信息；

获取单元，用于获取与所述解密后的身份信息对应的数据；

所述发送单元，还用于向所述会话管理网元发送所述数据。
根据权利要求20所述的通信装置，其特征在于，

所述通信装置为策略控制网元、计费网元、数据管理网元中任一网元。
根据权利要求20或21所述的通信装置，其特征在于，

所述解密功能实体为接入和移动性管理网元、所述数据管理网元、网络贮存网元、所述计费网元、所述策略控制网元、认证鉴权网元中任一网元。
一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使得所述计算机执行如权利要求1-4任一项所述的身份信息的处理方法，或者如权利要求5-8任一项所述的身份信息的处理方法，或者如权利要求9-11任一项所述的身份信息的处理方法。
一种计算机存储介质，其特征在于，所述计算机存储介质包括计算机指令，当所述计算机指令在计算机上运行时，使得所述计算机执行如权利要求1-4任一项所述的身份信息的处理方法，或者如权利要求5-8任一项所述的身份信息的处理方法，或者如权利要求9-11任一项所述的身份信息的处理方法。