WO2021208857A1

WO2021208857A1 - 接入控制方法及通信设备

Info

Publication number: WO2021208857A1
Application number: PCT/CN2021/086626
Authority: WO
Inventors: 柯小婉
Original assignee: 维沃移动通信有限公司
Priority date: 2020-04-17
Filing date: 2021-04-12
Publication date: 2021-10-21

Abstract

本发明实施例提供接入控制方法及通信设备，该接入控制方法包括：发送第一信息；所述第一信息包括以下至少一项：第一NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息、用于请求证书下载的指示信息、用于请求第一接入方式的指示信息、第一接入方式的类型信息、证书下载方式的类型信息；所述第一NPN的信息用于以下至少一项：请求接入第一NPN的权限、请求通过第二证书接入第一NPN、请求接入NPN类型的网络的权限；该第一指示信息用于请求接入第一NPN的权限；该第二指示信息用于请求第一NPN的证书；该第三指示信息用于请求通过第二证书接入第一NPN的权限；该第四指示信息用于请求通过第二证书接入NPN类型的网络的权限。

Description

接入控制方法及通信设备

相关申请的交叉引用

本申请主张在2020年4月17日在中国提交的中国专利申请号No.202010307389.X和在2021年1月20日在中国提交的中国专利申请号No.202110078153.8的优先权，其全部内容通过引用包含于此。

技术领域

本发明实施例涉及无线通信技术领域，尤其涉及一种接入控制方法及通信设备。

背景技术

目前，企业可以通过通信网络技术部署非公众网络(Non-Public Network，NPN)，用于本企业等内部业务或专用于企业中的员工。非公众网络区别于运营商向公众用户提供的公共网络服务。由于NPN的部署范围较小，业务也可能是专属的，因此，终端能接入的NPN数量众多。一般来说，终端接入一个网络需要具有能够通过所述网络的认证的证书。为终端所有能接入的NPN都配置证书，会是一个繁杂的工作。另外，NPN可能无法向运营商一样预先为终端配置全球用户识别卡(Universal Subscriber Identity Module，USIM)并在所述USIM中保存用于接入网络证书。因此，如何有效实现对终端的证书配置和网络接入控制，是目前亟待解决的技术问题。

发明内容

本发明实施例提供一种接入控制方法及通信设备，用于解决如何有效实现对终端的证书配置和网络接入控制的问题。

为了解决上述技术问题，本发明是这样实现的：

第一方面，本发明实施例提供了一种接入控制方法，应用于第一通信设备，包括：

发送第一信息；

其中，所述第一信息包括以下至少一项：第一独立组网的非公众网络NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息、用于请求证书下载的指示信息、用于请求第一接入方式的指示信息、第一接入方式的类型信息、证书下载方式的类型信息；

所述第一NPN的信息能够用于以下至少一项：请求接入第一NPN的权限、请求第一NPN的证书、请求通过第二证书接入第一NPN、请求接入NPN类型的网络的权限；

所述第一指示信息用于请求接入第一NPN的权限，或用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限；

所述第二指示信息用于请求第一NPN的证书，或用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书；

所述第三指示信息用于请求通过第二证书接入第一NPN的权限，或用于请求通过当前接入网络的证书接入第一NPN的权限；

所述第四指示信息用于请求通过第二证书接入NPN类型的网络的权限，或用于请求通过当前接入网络的证书接入NPN类型网络的权限；

所述第二证书包括第一通信设备已经具有的证书；

所述第一接入方式包括：为了下载用于接入第二网络的证书而接入第一网络的接入方式；所述第一网络和所述第二网络是同一个网络或者不同的网络；

所述第一接入方式的类型信息指示以下至少一项：控制面类型的第一接入方式、用户面类型的第一接入方式；

所述证书下载方式的类型信息指示以下至少一项目：控制面类型的证书下载方式、用户面类型的证书下载方式。

第二方面，本发明实施例提供了一种接入控制方法，应用于第二通信设备，包括：

获取第一信息；

根据所述第一信息，执行第一操作；

其中，所述执行第一操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许终端获取接入第一NPN的权限；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

确认是否允许为终端增加通过第二证书接入NPN类型网络的权限；

确认为终端配置第二NPN的证书信息，或者确认为终端增加通过第二证书接入第三NPN的权限，或者确认为终端增加通过第二证书接入NPN类型网络的权限；

确定第一服务器；

确定第二服务器；

确定第二信息；

向第一服务器、和/或第二服务器发起终端的证书配置请求或配置更新请求；

向第一服务器、和/或第二服务器发送第二信息；

其中，所述第一服务器是以下之一：为终端配置第二NPN的证书的配置服务器，为终端配置用于接入NPN的证书的配置服务器，终端为了下载用于接入NPN的证书而需要访问的服务器；所述第二服务器是为终端配置第二证书的配置服务器；所述第二信息包括所述第一信息中的全部信息或者部分信息。

第三方面，本发明实施例提供了一种接入控制方法，应用于第三通信设备，包括：

获取第一信息或第二信息；

根据所述第一信息或第二信息，执行第二操作；

其中，所述执行第二操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

为终端配置第二NPN的证书信息，或者为终端增加通过所述第二证书接入第三NPN的权限，或者为终端增加通过所述第二证书接入NPN类型网络的权限；

发送第二NPN的证书信息，或者发送第二证书的更新信息；

其中，所述第二证书包括终端已经具有的证书；

所述第二NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN；

所述第三NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN；

所述第二NPN与所述第三NPN相同或者不同。

第四方面，本发明实施例提供了一种接入控制方法，应用于第四通信设备，包括：

获取第三信息；其中，所述第三信息包括第二NPN的证书信息和第二证书的更新信息中的至少一者；所述第二证书包括第一通信设备已经具有的证书；第二NPN是一个或多个NPN；

根据所述第三信息，执行接入第二NPN或第四网络的操作；

其中，所述第四网络是以下之一：不同于第二NPN的其他网络、不同于第二网络的其他网络；

所述第二NPN的证书信息包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息、允许通过第二NPN证书接入NPN类型网络的权限；

所述当前接入网络的证书信息包括以下至少一项：允许通过当前接入网络的证书接入的网络的信息、允许通过当前接入网络的证书接入被请求的NPN的指示信息、允许通过当前接入网络的证书接入NPN类型的网络的指示信息；

所述第二证书的更新信息包括以下至少一项：允许通过第二证书接入的网络的信息、允许通过第二证书接入NPN类型网络的权限、允许通过第二证书接入被请求的NPN的指示信息、允许通过第二证书接入NPN类型的网络的指示信息。

第五方面，本发明实施例提供了一种通信设备，所述通信设备为第一通信设备，包括：

发送模块，用于发送第一信息；

所述第二证书包括第一通信设备已经具有的证书；

第六方面，本发明实施例提供了一种通信设备，所述通信设备为第二通信设备，包括：

第一获取模块，用于获取第一信息；

第一执行模块，用于根据所述第一信息，执行第一操作；

其中，所述执行第一操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许终端获取接入第一NPN的权限；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

确定第一服务器；

确定第二服务器；

确定第二信息；

向第一服务器、和/或第二服务器发送第二信息；

第七方面，本发明实施例提供了一种通信设备，所述通信设备为第三通信设备，包括：

第二获取模块，用于获取第一信息或第二信息；

第二执行模块，用于根据所述第一信息或第二信息，执行第二操作；

其中，所述执行第二操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

发送第二NPN的证书信息，或者发送第二证书的更新信息；

其中，所述第二证书包括终端已经具有的证书；

所述第二NPN与所述第三NPN相同或者不同。

第八方面，本发明实施例提供了一种通信设备，所述通信设备为第四通信设备，包括：

第三获取模块，用于获取第三信息；其中，所述第三信息包括第二NPN的证书信息和第二证书的更新信息中的至少一者；所述第二证书包括第一通信设备已经具有的证书；第二NPN是一个或多个NPN；

第三执行模块，用于根据所述第三信息，执行接入第二NPN或第四网络的操作；

第九方面，本发明实施例提供了一种通信设备，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现第一方面提供的接入控制方法的步骤，或者，实现第二方面提供的接入控制方法的步骤，或者，实现第三方面提供的接入控制方法的步骤，或者，实现第四方面提供的接入控制方法的步骤。

第十方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面提供的接入控制方法的步骤，或者，实现第二方面提供的接入控制方法的步骤，或者，实现第三方面提供的接入控制方法的步骤，或者，实现第四方面提供的接入控制方法的步骤。

在本发明实施例中，当请求接入NPN的权限时，网络可以决定分配对应NPN的证书或者为终端的已有证书增加被请求NPN网络的接入权限；当请求接入多个NPN的权限时，网络可以仅分配一个NPN的证书，但可以通过所述NPN的证书接入多个NPN或者网络可以为终端的已有证书增加被请求NPN网络的接入权限。由此，可以有效实现对终端的证书配置和网络接入控制。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明一实施例的接入控制方法的流程示意图；

图2为本发明另一实施例的接入控制方法的流程示意图；

图3为本发明又一实施例的接入控制方法的流程示意图；

图4为本发明又一实施例的接入控制方法的流程示意图；

图5本发明具体实施例的接入控制方法的流程示意图；

图6为本发明提供的一种通信设备的结构图；

图7为本发明提供的另一种通信设备的结构图；

图8为本发明提供的另一种通信设备的结构图；

图9为本发明提供的另一种通信设备的结构图；

图10为本发明提供的另一种通信设备的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请的说明书和权利要求书中的术语“包括”以及它的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。此外，说明书以及权利要求中使用“和/或”表示所连接对象的至少其中之一，例如A和/或B，表示包含单独A，单独B，以及A和B都存在三种情况。

在本发明实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本发明实施例中，可选的，获取可以理解为从配置获得、接收、通过请求后接收、通过自学习获取、根据未收到的信息推导获取或者是根据接收的信息处理后获得，具体可根据实际需要确定，本发明实施例对此不作限定。

可选的，发送可以包含广播，系统消息中广播，响应请求后返回。

在本发明一种实施例中，非公网是非公众网络的简称。非公众网络可以称为以下之一：非公众通信网络。非公网可以包括以下至少一种部署方式：物理的非公网、虚拟的非公网、实现在公网上的非公网。一种实施方式中，非公网为非独立组网(Public Network Integrated,PNI)的NPN，通过在运营商 PLMN(Public Land Mobile Network)网络中支持封闭访问组(Closed Access Group，CAG)。一个CAG可以由一组终端组成。另一种实施方式中，非公网为独立组网的NPN(简称为SNPN)。SNPN的网络标识可以由PLMN ID和NID构成。

在本发明一种实施例中，非公网服务是非公众网络服务的简称。非公众网络服务也可以称为以下之一：非公众网络的网络服务、非公众通信服务、非公众网络通信服务、非公网的网络服务或其他命名。需要说明的是，在本发明实施例中对于命名方式不做具体限定。一种实施方式中，非公网为封闭访问组，此时，非公网服务为封闭的访问组的网络服务。

在本发明一种实施例中，非公众网络可以包含或称为私有网络。私有网络可以称为以下之一：私有通信网络、私网、本地区域网络(LAN)、私有虚拟网络(PVN)、隔离的通信网络、专用的通信网络或其他命名。需要说明的是，在本发明实施例中对于命名方式不做具体限定。

在本发明一种实施例中，非公众网络服务可以包含或称为私有网络服务。私有网络服务可以称为以下之一：私有网络的网络服务、私有通信服务、私有网络服务、私网服务、本地区域网络(LAN)服务、私有虚拟网络(PVN)服务、隔离的通信网络服务、专用的通信网络服务、专用的网络服务或其他命名。需要说明的是，在本发明实施例中对于命名方式不做具体限定。

在本发明一种实施例中，公网是公众网络的简称。公众网络可以称为以下之一：公众通信网络或其他命名。需要说明的是，在本发明实施例中对于命名方式不做具体限定。

在本发明一种实施例中，公网服务是公众网络服务的简称。公众网络服务也可以称为以下之一：公众网络的网络服务、公众通信服务、公众网络通信服务、公网的网络服务或其他命名。需要说明的是，在本发明实施例中对于命名方式不做具体限定。

为了能够有效地支持终端访问多个NPN，一个用于接入NPN的证书能够接入多个NPN。一种方式是直接接入，比如通过NPN1的证书接入NPN1；另一种方式是间接接入，比如通过NPN2或PLMN的证书接入NPN1。

为了有效实现终端的网络接入控制，还要解决如下问题：

问题1：当一个用户终端(User Equipment，UE)想接入NPN1，但还没有被配置NPN1的证书时，UE可以向网络请求接入NPN1的权限。当UE已经具有NPN2或PLMN的证书时，UE可以请求追加接入其他网络比如NPN1的权限或者由网络来决定是给UE配置NPN1的证书还是增加UE已经具有证书接入的网络的权限。但这需要网络的提供授权和/或更新UE的签约。目前，网络不知道UE具体想获取哪些NPN的接入权限或者说网络不知道UE想增加哪些已经具有证书能够接入的网络。

问题2：当一个UE想接入NPN1和NPN2，但还没有被配置NPN1和NPN2的证书时，UE在NPN1下请求接入网络的授权或当前网络的证书时，网络目前不知道UE除了NPN1的接入授权请求之外，还存在其他NPN(如NPN2)接入授权请求。另外，不同NPN对应的证书配置服务器可能不同。对控制面方法，是网络中的网元如接入移动管理功能(Access and Mobility Management Function，AMF)，收到UE的请求后，直接或间接向证书配置服务器，获取UE的接入网络的证书配置。如果UE想获取NPN的证书或接入权限不同于当前接入的NPN，网络不知道如何为UE选择所述NPN的证书的配置服务器。

一种解决方法是，UE在请求NPN的签约时，提供想要接入的NPN网络列表。对控制面方法，网络(比如AMF)代表UE向配置服务器请求NPN的证书。当不同的NPN的配置服务器不同时，还可以根据UE请求接入的NPN的网络列表来选择配置服务器。网络给UE配置的证书中包含所述证书能够接入的NPN列表。对用户面的方法，终端可以直接向配置服务请求NPN的证书。

本发明一种可选实施例中，NPN包括但不限于以下之一：SNPN(独立组网的NPN)，PNI SNPN(公众网络集成的NPN Public network integrated NPN)本发明一种可选实施例中，第二网络的网络类型可以包括但不限于以下之一：PLMN，SNPN，NPN(如SNPN，或PNI NPN)等。

本发明一种可选实施例中，所述证书可以称为签约证书。所述网络的证书可以称为所述网络的签约证书。被配置了所述证书的终端也就具有了在所述网络中的签约证书。

本发明一种可选实施例中，网络的证书(如第一NPN的证书，第二NPN的证书，第二网络的证书，NPN的证书)是为终端配置的所述网络的证书。所述网络的证书能够使得终端通过所述网络的认证。

本发明一种可选实施例中，所述网络的证书可以包括以下至少一项：终端在所述网络的签约信息、长期密钥(long-term key(s)，也称为根密钥)，签约标识符(如SUPI)。所述签约标识符用于唯一标识所述签约。所述网络的证书可以用于终端和网络间相互认证。终端获取所述签约标识符后，在接入网络时采用所述签约标识符作为或生成在所述终端在所述网络的标识。所述签约标识符包括所述网络的标识和终端标识。所述网络包括以下至少一项：NPN，PLMN。本文中的第一NPN的证书、第二NPN的证书、第二网络的证书符合所述网络的证书的定义。在本发明实施例中，所述网络包括但不限于以下之一：第一NPN，第二NPN，第二网络，NPN。比如第一NPN的证书，第二NPN的证书，第二网络的证书，NPN的证书。

本发明一种可选实施例中，所述第三方的证书是为终端配置的除了网络的证书之外的其他类型的证书。所述第三方可以为终端厂家，或应用等。比如终端厂家为终端配置的证书，或应用(APP)的证书。所述第三方的证书可以包括但不限于以下至少一项：终端在所述第三方的签约信息、长期密钥(long-term key(s)，也称为根密钥)或密码，终端再所述第三方签约标识符(如IMSI，或PEI，或用户名和/或密钥)。

本发明一种可选实施例中，请求接入网络(第一NPN)的权限包括请求能够使得终端通过所述网络认证的证书，所述证书可以是终端在该网络的证书或者该网络之外的证书(如服务提供商的证书，该网络之外的其他网络的证书，或第三方的证书)。

本发明一种可选实施例中，允许通过第一NPN的证书接入的网络的信息包括所述第一NPN的证书能够使得终端通过所述网络的认证和/或能够使得终端认证所述网络。所述网络为允许通过第一NPN的证书接入的网络，包括第一NPN。

本发明一种可选实施例中，允许通过第二NPN的证书接入的网络的信息包括所述第二NPN的证书能够使得终端通过所述网络的认证和/或能够使得终端认证所述网络。所述网络为允许通过第二NPN的证书接入的网络，包括第二NPN。

本发明一种可选实施例中，允许通过所述NPN的证书接入的网络的信息包括所述NPN的证书能够使得终端通过所述网络的认证和/或能够使得终端认证所述网络。所述网络为允许通过所述NPN的证书接入的网络，包括所述NPN。

本发明一种可选实施例中，允许通过第二网络的证书接入的网络的信息包括所述第二证书能够使得终端通过所述网络的认证和/或能够使得终端认证所述网络。所述网络为允许通过所述第二网络的证书接入的网络，包括所述第二网络。

本发明一种可选实施例中，所述NPN的信息包括所述NPN的标识信息。

本发明一种可选实施例中，所述网络的信息包括所述网络的标识信息。

本发明一种可选实施例中，通信设备可以包括以下至少一项：通信网元和终端。

本发明一种实施例中，通信网元可以包括以下至少一项：核心网网元和无线接入网网元。

本发明实施例中，核心网网元(CN网元)可以包含但不限于如下至少一项：核心网设备、核心网节点、核心网功能、核心网网元、移动管理实体(Mobility Management Entity，MME)、接入移动管理功能(Access Management Function，AMF)、会话管理功能(Session Management Function，SMF)、用户平面功能(User Plane Function，UPF)、服务网关(serving GW，SGW)、PDN网关(PDN Gate Way，PDN网关)、策略控制功能(Policy Control Function、PCF)、策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)、GPRS服务支持节点(Serving GPRS Support Node，SGSN,通用无线分组业务(General Packet Radio Service，GPRS))、网关GPRS支持节点(Gateway GPRS Support Node，GGSN)、统一数据管理(Unified Data Management，UDM)，统一数据存储(Unified Data Repository，UDR)、归属用户服务器(Home Subscriber Server，HSS)和应用功能(Application Function，AF)。

本发明实施例中，RAN网元可以包含但不限于至少以下之一：无线接入网设备、无线接入网节点、无线接入网功能、无线接入网单元、3GPP(3rd Generation Partnership Project)无线接入网、非3GPP无线接入网、集中单元(Centralized Unit，CU)、分布式单元(Distributed Unit，DU)、基站、演进型基站(evolved Node B，eNB)、5G基站(gNB)、无线网络控制器(Radio Network Controller，RNC)、基站(NodeB)、非3GPP互操作功能(Non-3GPP Inter Working Function，N3IWF)、接入控制(Access Controller，AC)节点、接入点(Access Point，AP)设备或无线局域网(Wireless Local Area Networks，WLAN)节点、N3IWF。

本发明实施例中，终端可以包括支持终端功能的中继和/或支持中继功能的终端。终端也可以称作终端设备或者用户终端(User Equipment，UE)，终端可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)、个人数字助理(Personal Digital Assistant，PDA)、移动上网装置(Mobile Internet Device，MID)、可穿戴式设备(Wearable Device)或车载设备等终端侧设备，需要说明的是，在本发明实施例中并不限定终端的具体类型。

本发明一种可选实施例中，所述第一接入方式包括：为了下载用于接入第二网络的证书而接入第一网络的接入方式。所述控制面类型的第一接入方式包括：为了下载用于接入第二网络的证书而接入第一网络的接入方式，且下载用于接入第二网络的证书的方式是控制面类型的证书下载方式。所述用户面类型的第一接入方式包括：为了下载用于接入第二网络的证书而接入第一网络的接入方式，且下载用于接入第二网络的证书的方式是用户面类型的证书下载方式；所述第一网络和所述第二网络是同一个网络或者不同的网络。

本发明一种可选实施例中，“用于请求接入第一NPN的权限”包括用于请求第一NPN的证书，所述第一NPN的证书用于接入第一NPN。

本发明一种可选实施例中，第一接入方式的类型信息包括终端支持和/或请求的第一接入方式的类型信息。

本发明一种可选实施例中，证书下载方式的类型信息包括包括终端支持和/或请求的证书下载方式的类型信息。

本发明一种可选实施例中，第一服务器的地址信息包括以下至少一项：第一服务器的IP(Internet Protocol)地址，第一服务器的MAC(Media Access Control)地址，第一服务器的端口号。

本发明一种可选实施例中，所述用于接入NPN的证书包括所述NPN的证书。

以下对本发明实施例的接入控制方法进行详细说明。

请参考图1，本发明实施例提供了一种接入控制方法，应用于第一通信设备；该第一通信设备包括但不限于：终端；所述方法包括：

步骤11：发送第一信息。

其中，所述第一信息可以包括以下至少一项：第一NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息。

所述第一NPN的信息可以包括一个或多个NPN的标识。

所述第一NPN的信息能够用于以下至少一项：请求接入第一NPN的权限、请求第一NPN的证书、请求通过第二证书接入第一NPN、请求接入NPN类型的网络的权限。

所述第一指示信息用于请求接入第一NPN的权限，或用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限。

所述第二指示信息用于请求第一NPN的证书，或用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书。

所述第三指示信息用于请求通过第二证书接入第一NPN的权限，或用于请求通过当前接入网络的证书接入第一NPN的权限。

所述第四指示信息用于请求通过第二证书接入NPN类型的网络的权限，或用于请求通过当前接入网络的证书接入NPN类型网络的权限。

所述第二证书可以包括第一通信设备已经具有的证书；

所述证书下载方式的类型信息指示以下至少一项目：控制面类型的证书下载方式、用户面类型的证书下载方式。所述第一通信设备已经具有的证书可以包括以下之一：第一通信设备已经具有的第二网络的证书、第一通信设备已经具有的第三方的证书、第一通信设备已经具有的服务提供商的证书。所述第三方的证书为不同于网络的证书的其他类型的证书，比如终端厂家的证书，或应用(APP)的证书。所述服务提供商包括但不限于以下之一：第二网络(如PLMN，或NPN(如SNPN，或PNI NPN)等)，第三方。

可选的，第二网络的索引信息可以包括：第二网络的标识信息。该第二网络的标识信息可以包含在终端在第二网络中的终端标识发送给网络。

一种实施方式中，上述请求的第一NPN可以是以下之一：所有的NPN，一个NPN，多个NPN。

一种实施方式中，第二网络可以为不同于第一NPN的网络。第二网络可以包括但不限于：除了第一NPN之外的NPN，PLMN，PNI NPN。

一种实施方式中，向目标端发送第一信息。所述目标端包括：核心网网元(如AMF)。所述核心网网元可以是以下之一：第一NPN的核心网网元，第二网络的核心网网元，或第三网络的核心网网元。

一种实施方式中，请求接入第一NPN的权限包括请求能够使得第一通信设备通过所述第一NPN认证的证书，所述证书可以是第一NPN的证书或者该第一NPN之外的第三方的证书，比如第二网络的证书。当第一NPN存在多个NPN时，所述证书可以是第一NPN中的一部分NPN的证书。比如，第一NPN包含NPN1和NPN2。可以为第一通信设备配置NPN1的证书，所述NPN1的证书能够使得第一通信设备通过NPN1和NPN2的认证。

可选的，所述当前接入网络为接收所述第一信息的网络。一种实施方式中，所述当前接入网络可以是以下之一：第一NPN，第二网络，或第三网络。当第一NPN包含多个NPN时，当前接入网络可为第一NPN中的一个NPN。

第一信息包含的项目组合包括但不限于以下的实施方式：

1)一种实施方式中，第一信息仅包括：第一NPN的信息。

2)另一种实施方式中，第一信息包括：第一指示信息。不难理解，所述第一指示信息用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限的情况下，可以不包括第一NPN的信息。

3)另一种实施方式中，第一信息包括：第二指示信息。不难理解，所述第二指示信息用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书的情况下，可以不包括第一NPN的信息。

4)另一种实施方式中，第一信息包括：第四指示信息。不难理解，当第四指示信息用于请求通过当前接入网络的证书接入NPN类型网络的权限的情况下，可以不包括第一NPN的信息。

5)另一种实施方式中，第一信息包括：第一NPN的信息和第一指示信息。不难理解，所述第一指示信息用于用于请求接入第一NPN的权限的情况下，需要提供第一NPN的信息。

6)另一种实施方式中，第一信息包括：第一NPN的信息和第二指示信息。不难理解，所述第二指示信息用于用于请求第一NPN的证书的情况下，需要提供第一NPN的信息。

7)另一种实施方式中，第一信息包括：第一NPN的信息和第三指示信息。不难理解，所述第三指示信息用于请求通过第二证书接入第一NPN的权限，或用于请求通过当前接入网络的证书接入第一NPN的权限的情况下，需要提供第一NPN的信息。

8)另一种实施方式中，第一信息包括：第三指示信息和第二网络的索引信息。不难理解，所述第三指示信息可以用于请求通过第二证书接入第一NPN的权限；如果当前接入的网络不是第二网络时，需要提供第二网络的索引信息。

9)另一种实施方式中，第一信息包括：第四指示信息和第二网络的索引信息。不难理解，所述第四指示信息可以用于请求通过第二证书接入NPN类型的网络的权限；如果当前接入的网络不是第二网络时，需要提供第二网络的索引信息。

10)另一种实施方式中，第一信息包括：第一NPN的信息、第三指示信息和第二网络的索引信息。不难理解，所述第三指示信息可以用于请求通过第二证书接入第一NPN的权限；如果当前接入的网络是第三网络时，需要提供第二网络的索引信息和第一NPN的信息。

可选地，第一NPN的信息可以包括第一NPN的标识信息。当所述NPN为SNPN时，该第一NPN的标识信息可以由PLMN ID和NID构成。当所述NPN为PNI NPN时，该第一PNI NPN的标识信息可以由PLMN ID构成。

1)一种实施方式中，终端可以通过请求接入第一NPN的权限，由网络来确定是给终端配置第一NPN的证书，或者是在终端已经具有的第二证书的基础上，增加通过第二证书接入第一NPN的权限。

2)另一种实施方式中，终端可以请求第一NPN的证书，来请求获取接入第一NPN的权限。

3)另一种实施方式中，终端可以请求通过第二证书接入第一NPN，来请求获取接入第一NPN的权限。

4)另一种实施方式中，终端可以在接入第二网络时，发送第一信息，该第一信息比如为第一NPN的标识信息。此时，该第一信息中可以不包含第二网络的信息。

5)另一种实施方式中，终端可以在接入第一NPN时，发送第一信息，该第一信息比如为第一指示信息，用于请求接入第一NPN的权限；或者，该第一信息比如为第二指示信息，用于请求第一NPN的证书；或者，该第一信息比如为第三指示信息，用于请求通过第二证书接入第一NPN。

6)另一种实施方式中，终端可以在接入NPN类型的网络时，发送第一信息，该第一信息比如为第四指示信息，用于请求接入NPN类型的网络的权限。

7)另一种实施方式中，终端可以在接入第三网络时，发送第一信息，该第一信息比如为第一NPN的标识信息。而该第三网络可以不同于第二网络和第一NPN。

可选的，上述发送第一信息之后，所述方法还可包括：

获取第三信息；所述第三信息包括第二NPN的证书信息和所述第二证书的更新信息中的至少一者；

根据所述第三信息，执行接入第二NPN或第四网络的操作。

其中，所述第四网络可以是以下之一：不同于第二NPN的其他网络(如不同于第一NPN的其他NPN，或PLMN)、不同于第二网络的其他网络。

一种实施方式中，所述第二NPN等同于第一NPN，即是第一NPN中所有NPN。另一种实施方式中，第一NPN中包括多个NPN的情况下，第二NPN是所述第一NPN中的子集，即第二NPN是第一NPN中的部分NPN。

一种实施方式中，网络仅对第一NPN中的部分NPN进行接入授权(即第二NPN)，仅为第一通信设备配置了所述部分NPN的证书。比如，终端请求接入NPN1、NPN2和NPN3的接入权限。不难理解，网络可能仅允许终端获取接入NPN1和NPN2的权限，给终端配置NPN1的证书和NPN2的证书。终端通过NPN1的证书仅可以接入NPN1。终端通过NPN2的证书仅可以接入NPN2。

另一种实施方式中，网络对第一NPN中的多个NPN进行接入授权，但仅为第一通信设备配置了部分NPN的证书(即第二NPN)，通过所述部分NPN的证书，可以接入多个NPN。比如，终端请求接入NPN1、NPN2和NPN3的接入权限。不难理解，网络可能允许终端接入NPN1和NPN2。网络可以仅给终端配置NPN2的证书，但通过NPN2的证书不仅仅接入NPN2，还可以接入NPN1。此时，所述能够通过NPN2的证书接入的NPN1可以称为NPN2的等价NPN，NPN2的终端允许漫游的NPN，或能够为NPN2提供接入的NPN。NPN2可以称为所述NPN1的服务提供商。

可选的，所述第二NPN的证书信息包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息(比如网络标识信息)、允许通过第二NPN的证书接入NPN类型网络的权限。其中，所述允许通过第二NPN的证书接入的网络可以包括除了第二NPN之外的其他网络。所述除了第二NPN之外的其他网络包括以下至少一项：除了第二NPN之外的其他NPN、PLMN、PNI NPN。所述第二NPN可称为所述其他网络的服务提供商。所述其他网络可以称为第二NPN的等价网络、第二NPN的终端允许漫游的网络，或能够为第二NPN提供接入的网络。

可选的，所述当前接入网络的证书信息可以包括以下至少一项：允许通过当前接入网络的证书接入的网络的信息(比如网络标识信息(如NPN的网络标识信息))，允许通过当前接入网络的证书接入被请求的NPN的指示信息，允许通过当前接入网络的证书接入NPN类型的网络的指示信息。其中，所述允许通过当前接入网络的证书接入的网络可以包括除了当前接入网络之外的其他网络。所述除了当前接入网络之外的其他网络可包括以下至少一项：除了当前接入网络之外的NPN、PLMN、PNI NPN。所述当前接入网络可以称为所述其他网络的服务提供商。所述其他网络可以称为所述当前接入网络的等价网络、所述当前接入网络的终端允许漫游的网络，或能够为所述当前接入网络提供接入的网络。

可选的，所述第二证书的更新信息可以包括以下至少一项：允许通过第二证书接入的网络的信息(比如网络标识信息(如NPN的标识信息))、允许通过第二证书接入被请求的NPN的指示信息、允许通过第二证书接入NPN类型的网络的指示信息。其中，所述允许通过第二证书接入的网络可以包括除了第二网络之外的其他网络。所述除了第二网络之外的其他网络包括以下至少一项：除了第二网络之外的NPN、PLMN、PNI NPN。所述第二网络可以称为所述其他网络的服务提供商。所述其他网络可以称为第二网络的等价网络、第二网络的终端允许漫游的网络，或能够为第二网络提供接入的网络。

一种实施方式中，所述允许通过第二NPN的证书接入的网络包括第四网络。

一种实施方式中，所述允许通过第二证书接入的网络包括第四网络。

一种实施方式中，所述第二证书的更新信息包含所有允许通过第二证书接入的网络的网络标识信息。即对终端没有请求接入权限的网络，网络也将所述允许通过第二证书接入的网络的网络标识信息发送给终端。

另一种实施方式中，所述第二证书的更新信息仅增加包括所述请求的第一NPN中被允许接入权限的NPN的标识信息。

一种实施方式中，当允许通过第二NPN的证书接入的网络的网络标识信息包含第四网络的标识信息时，终端可以通过第二NPN的证书接入第四网络。而该通过第二NPN的证书接入第四网络可以包括：向第四网络接入时，提供的UE标识是对应第二NPN的证书的UE标识(如SUPI，SUCI，或NAI等)，所述UE标识中可包含第二NPN的标识信息。比如通过注册请求提供所述UE标识。

一种实施方式中，当允许通过第二证书接入的网络的网络标识信息包含第四网络的标识时，终端可以通过第二证书接入第四网络。而该通过第二证书接入第四网络包括：向第四网络接入时，提供的UE标识是对应第二证书的UE标识(如SUPI，SUCI，或NAI等)，所述UE标识中可包含第二网络的标识信息。

可选地，所述发送第一信息的步骤之后，接收以下至少一项：第一服务器的地址信息，第一服务器对应的NPN的标识信息。

一种实施方式中，所述第一服务器对应的NPN包括：第一服务器能够配置的用于接入所述NPN的证书。所述用于接入所述NPN的证书包括所述NPN的证书。

一种实施方式中，从网络(如第二通信设备)获得所述第一服务器的地址信息和/或第一服务器对应的NPN的标识信息。所述网络可以为终端通过第一接入方式(如onboarding接入的网络，如O-SNPN)

可选的，当满足第四条件时，忽略或丢弃所述第一服务器的地址信息和/或第一服务器对应的NPN的标识信息。

所述第四条件包括以下至少一项：

终端支持和/或请求控制面类型的证书下载方式；

终端支持和/或请求控制面类型的第一接入方式；

终端不支持和/或不请求用户面类型的证书下载方式；

终端不支持和/或不请求用户面类型的第一接入方式；

所述第一服务器不是第一NPN的证书的配置服务器。

不难理解，第一服务器的地址是用于用户面类型的证书下载方式或用户面类型的第一接入方式的。对不支持用户面类型的证书下载方式或用户面类型的第一接入方式的终端，可以对网络发送的第一服务器的相关信息(如第一服务器的地址信息和/或第一服务器对应的NPN的标识信息)进行忽略或丢弃。

所述终端支持和/或请求控制面类型的证书下载方式可以包括终端仅支持和/或仅请求控制面类型的证书下载方式。

所述终端支持和/或请求控制面类型的第一接入方式可以包括终端仅支持和/或仅请求控制面类型的第一接入方式。

不难理解，通过本实施例，当请求接入NPN的权限时，网络可以决定分配对应NPN的证书或者为终端的已有证书增加被请求NPN网络的接入权限；当请求接入多个NPN的权限时，网络可以仅分配一个NPN的证书，但可以通过所述NPN的证书接入多个NPN或者网络可以为终端的已有证书增加被请求NPN网络的接入权限。比如第一NPN包括NPN1和NPN2，网络可以仅分配NPN1的证书，而第一通信设备比如终端可以通过NPN1的证书接入NPN1和NPN2。NPN2可以是NPN1的等价NPN或者是允许漫游的NPN。此时，第二NPN为NPN1。由此，可以有效实现对终端的证书配置和网络接入控制。

请参考图2，本发明实施例提供了一种接入控制方法，应用于第二通信设备；该第二通信设备包括但不限于核心网网元(如AMF)，所述核心网网络可以是以下之一：第一NPN的核心网网元、第二网络的核心网网元或第三网络的核心网网元；所述方法包括：

步骤21：获取第一信息。

需指出的，此步骤中获取的第一信息具体如图1所示实施例中所述，此处不再赘述。

一种实施方式中，第二通信设备可以从终端获取第一信息。

步骤22：根据所述第一信息，执行第一操作。

其中，所述执行第一操作可以包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许终端获取接入第一NPN的权限；

确认是否允许为终端配置第一NPN的证书信息；确认是否允许为终端增加通过第二证书接入第一NPN的权限；

确定第一服务器；

发送第一服务器的地址信息和/或第一服务器对应的NPN的标识信息；

确定第二服务器；

确定第二信息；

向第一服务器、和/或第二服务器发送第二信息；

向第一通信设备发送第二NPN的证书信息或发送第二证书更新信息。

其中，所述第一服务器是以下之一：为终端配置第二NPN的证书的配置服务器，为终端配置用于接入NPN的证书的配置服务器，终端为了下载用于接入NPN的证书而需要访问的服务器；所述第二服务器是为终端配置第二证书的配置服务器。

可选地，第二NPN可以是第一NPN中全部NPN或部分NPN。一种实施方式中，所述第二NPN是第一NPN中允许为终端配置证书的NPN。不难理解，可能全部或只有部分被请求的第一NPN允许为终端配置对应的证书。不难理解，比如终端请求NPN1，NPN2，NPN3的接入权限，但只有NPN1和NPN2被允许接入，一种实施方式中，网络可以为终端配置NPN1和NPN2的证书。另一种实施方式中，网络可以为终端配置NPN1的证书并可以通过所述NPN1的证书接入NPN2。不难理解，当终端允许接入的NPN的数量众多时，可以通过该方法节省配置的NPN的证书。不难理解，第二NPN可以是允许终端获取接入权限的NPN的子集。

可选地，第三NPN可以是第一NPN中全部NPN或部分NPN。一种实施方式中，所述第三NPN是第一NPN中允许终端获取接入权限的NPN。不难理解，可能只有部分被请求的第一NPN允许终端获取接入权限。不难理解，比如终端请求NPN1，NPN2，NPN3的接入权限，但只有NPN1和NPN2被允许接入。一种实施方式中，网络可以为终端更新第二证书，增加通过所述第二证书接入NPN1和NPN2的权限。

可选地，所述第二信息可以包括以下至少一项：NPN的信息、第二网络的索引信息(如第二网络的标识信息)、第一指示信息、第二指示信息、第三指示信息、第四指示信息。所述第二信息中的所述NPN可以是所述第一信息中的所述第一NPN中的所有NPN或部分NPN。不难理解，对被请求获取接入权限的NPN，可能只有一部分NPN被允许或被确认获取接入权限。

一种实施方式中，所述NPN可以包括以下之一：第一NPN、第二NPN、第三NPN。第一NPN如图1实施例所述，第二NPN如前文实施例所述，此处不再赘述。第三NPN如前文实施例所述，此处不再赘述。第二NPN与第三NPN可以相同也可以不同。

所述NPN的信息能够用于以下至少一项：请求接入所述NPN的权限、请求所述NPN的证书、请求通过第二证书接入所述NPN、请求接入NPN类型的网络的权限。

所述第一指示信息用于请求接入所述NPN的权限，或用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限。

所述第二指示信息用于请求所述NPN的证书，或用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书。

所述第三指示信息用于请求通过第二证书接入所述NPN的权限，或用于请求通过当前接入网络的证书接入所述NPN的权限。

一种实施方式中，当接收第一信息的网络与一个或多个NPN间存在协议，允许通过所述网络的证书接入所述NPN。当获取第一指示信息(如用于请求接入NPN类型的网络的权限)，第二指示信息(如用于请求接入NPN类型网络的证书)，第三指示信息(如用于请求通过当前接入网络的证书接入所述NPN的权限)，或第四指示信息(如用于请求通过第二证书接入NPN类型的网络的权限，或用于请求通过当前接入网络的证书接入NPN类型网络的权限)时，所述网络可以为终端更新所述网络的证书信息，包含NPN类型网络的接入权限。

示例性地，比如NPN1与NPN2，NPN3存在协议，允许终端采用NPN1的证书信息接入NPN2和NPN3。当终端向NPN1请求NPN类型网络的接入权限时。NPN1可以为终端打开所述权限并指示给终端。一种实施方式是，将允许通过NPN1的证书接入的网络的信息中增加NPN2和NPN3。另一种实施方式中，在NPN1的证书信息中指示允许接入NPN类型的网络。

示例性地，比如第二网络与NPN1，NPN2和NPN3存在协议，允许终端采用第二网络的证书信息接入NPN1，NPN2和NPN3。终端向第二网络发送所述第一信息。当终端向第二网络请求NPN类型网络的接入权限时。第二网络可以为终端打开所述权限并指示给终端。一种实施方式是，将允许通过第二网络的证书接入的网络的信息中增加NPN1，NPN2和NPN3。另一种实施方式是，在第二网络的证书信息中指示允许接入NPN类型的网络。

所述第二证书可以包括第一通信设备已经具有的证书。所述第一通信设备已经具有的证书可以包括以下之一：第一通信设备已经具有的第二网络的证书，第一通信设备已经具有的第三方的证书、第一通信设备已经具有的服务提供商的证书。所述第三方的证书为不同于网络的证书的其他类型的证书，比如终端厂家的证书，或应用(APP)的证书。所述服务提供商包括但不限于以下之一：第二网络(如PLMN，或NPN(如SNPN，或PNI NPN)等)，第三方。

一种实施方式中，所述第二信息可以包括第一信息中的全部信息，即为获取的第一信息。另一种实施方式中，所述第二信息可以包括第一信息中的部分信息，即为获取的第一信息中的部分信息。不难理解，第一信息中的部分信息可以仅仅用于索引证书配置服务器，而不需要发送给相关的服务器。

一种实施方式中，第二通信设备可以通过获取终端的签约信息，网络的策略和/或NPN的允许设备列表，执行以下至少一项：确认是否允许终端获取接入第一NPN的权限、确认是否允许为终端配置第一NPN的证书信息、确认是否允许为终端增加通过第二证书接入第一NPN的权限。

可选地，终端的签约信息可以包括以下至少一项：允许终端获取接入权限的NPN的信息(如NPN的标识信息)；允许为终端配置证书的NPN的信息(如NPN的标识信息)；允许终端已有证书的基础上增加接入权限的NPN的信息(如NPN的标识信息)。

可选的，网络的策略(可以称为运营商策略)可以包括以下之一：确认允许终端获取接入某个NPN的权限的情况下，为终端配置所述NPN的证书信息；确认允许终端获取接入某个NPN的权限的情况下，在终端在已有证书的基础上增加接入所述NPN的权限。

1)一种实施方式中，第二通信设备可以直接为终端增加(或称为追加)通过第二证书接入第三NPN的权限，或为终端配置第二NPN的证书。

2)一种实施方式中，第二通信设备可以向第二服务器请求为终端追加通过第二证书接入第三NPN的权限。

3)一种实施方式中，第二通信设备可以向第一服务器请求为终端配置第二NPN的证书。

获取第一信息的方式可以包括但不限于以下之一的实施方式：

1)一种实施方式中，终端可以通过发送第一信息，向第一NPN请求接入第一NPN的权限。不难理解，在该方式下，该第一信息中可以不包含第一NPN的信息，而包含第一指示信息。该第一指示信息可以理解为用于请求当前接入网络的权限。

2)一种实施方式中，当第一NPN包含多个NPN时，终端可以向第一NPN中的其中一个NPN请求接入第一NPN的权限。所述第一NPN的接入权限可以通过获取第一NPN的证书信息或者通过增加通过第二证书接入第一NPN的权限实现。

3)一种实施方式中，终端可以通过发送第一信息，向第二网络请求接入第一NPN的权限。不难理解，在该方式下，该第一信息中需包含第一NPN的信息。在该方式下，该第一信息可以不包含所述第二网络的索引信息。

4)一种实施方式中，终端可以通过发送第三指示信息，用于请求通过第二证书接入第一NPN的权限，或请求通过当前接入网络的证书接入第一NPN的权限。当终端当前接入网络为第二网络时，所述第三指示信息可以理解为请求通过当前接入网络的证书接入第一NPN的权限。

5)一种实施方式中，终端可以通过发送第一信息，向第一NPN或第三网络请求增加通过第二证书接入第一NPN的权限。不难理解，在该方式下，该第一信息中需包含第二网络的索引信息。该第二网络的索引信息可以用于索引第二服务器。

可选的，第二通信设备可以根据以下至少一项，确定第一服务器(如确定第一服务器的地址)：

第一信息中的第一NPN的信息；

终端当前接入网络。

一种实施方式中，终端接入第一NPN并向第一NPN发送第一信息。不难理解，此情况下，第二通信设备是第一NPN中的设备，可以根据当前接入网络和第一服务器地址与当前接入网路的映射关系，确定第一服务器。

一种实施方式中，终端接入第二NPN并向第二NPN发送第一信息。不难理解，此情况下，第二通信设备是第二NPN中的设备，可以根据当前接入网络和第一服务器地址与当前接入网路的映射关系，确定第一服务器。

另一种实施方式中，可以根据所述第一NPN的信息和第一服务器地址与NPN的标识信息的映射关系，确定第一服务器。

所述证书下载方式的类型信息指示以下至少一项：控制面类型的证书下载方式、用户面类型的证书下载方式。

一种实施方式中，向终端发送第一服务器的地址信息和/或第一服务器对应的NPN的标识信息。

可选地，发送第一服务器的地址信息和/或第一服务器对应的NPN的标识信息包括：当满足第三条件时，发送第一服务器的地址信息和/或第一服务器对应的NPN的标识信息。

第三条件包括：

所述第一接入方式的类型信息指示用户面类型的第一接入方式；

所述证书下载方式的类型信息指示用户面类型的证书下载方式。

不难理解，第一服务器的地址信息是用于用户面类型的证书下载方式或用户面类型的第一接入方式的。对不支持和/或不请求用户面类型的证书下载方式或用户面类型的第一接入方式的终端，网络可以不发送第一服务器的相关信息(如第一服务器的地址信息和/或第一服务器对应的NPN的标识信息)。或者说，对支持和/或请求了用户面类型的证书下载方式或用户面类型的第一接入方式的终端，网络可以发送第一服务器的相关信息。

一种实施方式中，第二通信设备可在满足第一条件的情况下，执行确定第一服务器的操作，确定第二信息和/或执行向第一服务器发送第二信息的操作。该第一条件可包括以下至少一项：

确认允许终端获取接入第一NPN的权限；

确认允许为终端配置第一NPN的证书信息；

确认为终端配置第二NPN的证书信息；

获取第一信息中的第一指示信息；

获取第一信息中的第二指示信息；

获取第一信息中的第一NPN的信息。

其中，所述第二NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN。

一种实施方式中，所述确认允许终端获取接入第一NPN的权限可以包括确认允许终端获取接入第一NPN中一部分的NPN的权限。一种实施方式中，所述确认允许为终端配置第一NPN的证书信息可以包括确认允许为终端配置第一NPN中一部分NPN的证书信息。

可选的，第二通信设备可以根据以下至少一项，确定第二服务器(如确定第二服务器的地址)：

第一信息中的第二网络的信息；

第一信息中的第一NPN的信息；

终端当前接入网络。

一种实施方式中，第二通信设备是第二网络中的设备，可以通过终端当前接入的网络和/或当前接入网络对应的第二服务器地址，确认第二服务器。

另一种实施方式中，可以根据所述第一NPN的信息和第二服务器地址与NPN标识信息的映射关系，确定第二服务器。

另一种实施方式中，可以根据所述第二网络的索引信息和第二服务器地址与网络标识信息的映射关系，确定第二服务器。

一种实施方式中，第二通信设备可在满足第二条件的情况下，执行确定第二服务器的操作，确定第二信息和/或执行向第二服务器发送第二信息的操作。该第二条件可包括以下至少一项：

确认允许终端获取接入第一NPN的权限；

确认允许为终端增加通过第二证书接入第一NPN的权限；

确认为终端增加通过第二证书接入第三NPN的权限；

获取第一信息中的第一指示信息；

获取第一信息中的第三指示信息；

获取第一信息中的第四指示信息；

获取第一信息中的第一NPN的信息；

获取第一信息中的第二网络的索引信息。

其中，所述第三NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN。

一种实施方式中，所述确认允许终端获取接入第一NPN的权限可以包括确认允许终端获取接入第一NPN中一部分的NPN的权限。一种实施方式中，所述确认允许为终端增加通过第二证书接入第一NPN的权限可以包括确认允许为终端增加通过第二证书接入第一NPN中的一部分NPN的权限

可选地，向第一服务器发送第二信息的步骤之后，所述方法还可包括：

获取第二NPN的证书信息；

发送所述获取的第二NPN的证书信息。

比如从第一服务地器获取第二NPN的证书信息。此时，可以向以下至少之一发送所述第二NPN的证书信息：第一通信设备(包括终端)，用户数据管理设备(如UDM，HSS和/或UDR)。

可选地，向第二服务器发送第二信息的步骤之后，所述方法还可包括：

获取第二证书的更新信息；

发送所述获取的第二证书的更新信息。

比如从第二服务器获取第二证书的更新信息。此时，可以向以下至少之一发送所述第二证书的更新信息：第一通信设备(包括终端)，用户数据管理设备(如UDM，HSS和/或UDR)。

不难理解，通过本实施例，第二通信设备基于获取的第一信息，可以确认是否允许终端获取接入NPN的权限、或者确认是否为终端配置相应NPN的证书信息，或者确定终端所需的证书配置服务器等，从而有效实现对终端的证书配置和网络接入控制。

请参考图3，本发明实施例提供了一种接入控制方法，应用于第三通信设备；该第三通信设备包括但不限于：第一服务器，第二服务器，或核心网网元(如AMF)。所述核心网网络可以是以下之一：第一NPN的核心网网元、第二网络的核心网网元或第三网络的核心网网元所述方法包括：

步骤31：获取第一信息或第二信息。

其中，所述第一信息可包括以下至少一项：第一NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息。对于第一信息中的第一NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息和第四指示信息，具体可如图1所示实施例中所述，此处不再赘述。

所述第二信息可以包括以下至少一项：NPN的信息、第二网络的索引信息(如第二网络的标识信息)、第一指示信息、第二指示信息、第三指示信息、第四指示信息。

一种实施方式中，可以从第一通信设备获取所述第一信息，或者从第二通信设备获取所述第一信息。比如，第一通信设备将第一信息发送给第二通信设备，第二通信设备再将所述第一信息发送给第三通信设备。

一种实施方式中，可以从第二通信设备获取所述第二信息。比如第一通信设备将第一信息发送给第二通信设备，第二通信设备根据第一信息生成第二信息后，再将所述第二信息发送给第三通信设备。第二信息的所述NPN可以是第一信息中第一NPN的全部NPN或部分NPN。

一种实施方式中，所述NPN可以包括以下之一：第一NPN、第二NPN、第三NPN。第一NPN如图1实施例所述，第二NPN如图2实施例所述，此处不再赘述。第三NPN如图2实施例所述，此处不再赘述。第二NPN与第三NPN可以相同也可以不同。

步骤32：根据所述第一信息或第二信息，执行第二操作。

其中，所述执行第二操作可以包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

发送第二NPN的证书信息，或者发送第二证书的更新信息。

所述第二证书可以包括第一通信设备已经具有的证书。所述第一通信设备已经具有的证书可以包括以下之一：第一通信设备已经具有的第二网络的证书，第一通信设备已经具有的第三方的证书。所述第三方的证书为不同于网络的证书的其他类型的证书，比如终端厂家的证书，或应用(APP)的证书。

第二网络可以包括但不限于以下之一：PLMN，NPN(如SNPN，或PNI NPN)等。

所述第二NPN的证书信息可包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息(比如网络标识信息)、允许通过第二NPN证书接入NPN类型网络的权限。所述允许通过第二NPN的证书接入的网络可以包括除了第二NPN之外的其他网络，所述除了第二NPN之外的其他网络包括以下至少一项：除了第二NPN之外的其他NPN，PLMN，PNI NPN。所述第二NPN可以称为所述其他网络的服务提供商。所述其他网络可以称为第二NPN的等价网络，第二NPN的终端允许漫游的网络，或能够为第二NPN提供接入的网络。

所述第二NPN是在所述第一NPN中包括多个NPN的情况下，所述第一NPN中的子集。

可选的，所述第二证书的更新信息可以包括以下至少一项：允许通过第二证书接入的网络的信息(比如网络标识信息)、允许通过第二证书接入NPN类型网络的权限、允许通过第二证书接入被请求的NPN的指示信息，允许通过第二证书接入NPN类型的网络的指示信息。其中，所述允许通过第二证书接入的网络可以包括除了第二网络之外的其他网络。所述除了第二网络之外的其他网络包括以下至少一项：除了第二网络之外的NPN，PLMN，PNI NPN。所述第二网络可以称为所述其他网络的服务提供商。所述其他网络可以称为第二网络的等价网络，第二网络的终端允许漫游的网络，或能够为第二网络提供接入的网络。

一种实施方式中，允许通过第二证书接入的网络至少包括一个请求的NPN(如第一NPN中至少一个NPN，第二NPN，或第三NPN)。

一种实施方式中，所述发送的第二证书的更新信息包含所有允许通过第二证书接入的网络的网络标识信息，不仅仅是请求的NPN的标识信息(如第一NPN的标识信息中至少一个NPN的标识信息，第二NPN，或第三NPN)。

可选地，从第一源端获取第一信息，所述第一源端包括以下之一：第一通信设备(包括终端)。

可选地，从第二源端获取第二信息，所述第二源端包括：第二通信设备、终端发送第一信息的网络、终端接入的网络。

可选地，向目标端发送第二NPN的证书信息或发送第二证书的更新信息，所述目标端包括至少以下之一：第一通信设备(包括终端)、第二通信设备、接收第一信息的网络(如接收第一信息的网络中的UDM或UDR)、第二网络中用户管理设备、第二NPN中的网络设备(如用户管理设备)、终端当前接入的网络。不难理解，当新的网络证书被配置或更新，需要同时同步给第一通信设备(包括终端)和所述网络，这样当终端接入所述网络时，所述网络可以对终端进行认证。当终端允许通过所述第一网络证书接入的第二网络时，第二网络也可以请求第一网络对终端进行认证。

不难理解，通过本实施例，第三通信设备可以基于获取的第二信息，为终端配置所需的证书信息，从而有效实现对终端的证书配置和网络接入控制。

请参考图4，本发明实施例提供了一种接入控制方法，应用于第一通信设备；该第一通信设备包括但不限于：终端；所述方法包括：

步骤41：获取第三信息。

步骤42：根据所述第三信息，执行接入第二NPN或第四网络的操作。

其中，所述第三信息可包括第二NPN的证书信息和第二证书的更新信息中的至少一者。

一种实施方式中，所述第二NPN可以泛指一个或多个NPN。一种实施方式下，可以直接获取第二NPN的证书；另一种实施方式下，通过请求第一NPN后获取第二NPN的证书。在此情况下，一种实施方式中，所述第二NPN等同于第一NPN；另一种实施方式中，第二NPN是所述第一NPN中的子集，比如第一NPN中包括多个NPN的情况下，第二NPN可以是第一NPN中的部分NPN。

可选的，所述第二NPN的证书信息包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息(比如网络标识信息)、允许通过第二NPN的证书接入NPN类型网络的权限。其中，所述允许通过第二NPN的证书接入的网络可以包括除了第二NPN之外的其他网络，所述除了第二NPN之外的其他网络包括以下至少一项：除了第二NPN之外的其他NPN，PLMN，PNI NPN。所述第二NPN可以称为所述其他网络的服务提供商。所述其他网络可以称为第二NPN的等价网络，第二NPN的终端允许漫游的网络，或能够为第二NPN提供接入的网络。

一种实施方式中，所述当前接入网络为发送所述第一信息的网络或是获取所述第三信息的网络。所述第四网络可以不同于所述当前接入网络。

所述第一信息具体如图1实施例所述。

可选的，所述当前接入网络的证书信息可以包括以下至少一项：允许通过当前接入网络的证书接入的网络的信息(比如网络标识信息(如NPN的网络标识信息))，允许通过当前接入网络的证书接入被请求的NPN的指示信息，允许通过当前接入网络的证书接入NPN类型的网络的指示信息。其中，所述允许通过当前接入网络的证书接入的网络的信息可以包括除了当前接入网络之外的其他网络。所述除了当前接入网络之外的其他网络包括以下至少一项：除了当前接入网络之外的NPN，PLMN，PNI NPN。所述当前接入网络可以称为所述其他网络的服务提供商。所述其他网络可以称为所述当前接入网络的等价网络，所述当前接入网络的终端允许漫游的网络，或能够为所述当前接入网络提供接入的网络。

可选的，所述第二证书的更新信息可以包括以下至少一项：允许通过第二证书接入的网络的信息(比如网络标识信息(如NPN的标识信息))、允许通过第二证书接入NPN类型网络的权限、允许通过第二证书接入被请求的NPN的指示信息、允许通过第二证书接入NPN类型的网络的指示信息。其中，所述允许通过第二证书接入的网络可以包括除了第二网络之外的其他网络，所述除了第二网络之外的其他网络包括以下至少一项：除了第二网络之外的NPN，PLMN，PNI NPN。所述第二网络可以称为所述其他网络的服务提供商。所述其他网络可以称为第二网络的等价网络，第二网络的终端允许漫游的网络，或能够为第二网络提供接入的网络。

其中，所述第四网络可以是以下之一：不同于第二NPN的其他网络(如不同于第二NPN的其他NPN，或PLMN)，不同于请求第一NPN接入权限的网络的其他网络，或不同于第二网络的其他网络。

一种实施方式中，当允许通过第一NPN的证书接入的网络的网络标识信息包含第四网络的标识信息时，终端可以通过第一NPN的证书接入第四网络。而该通过第一NPN的证书接入第四网络可以包括：向第四网络接入时，提供的UE标识是对应第一NPN的证书的UE标识(如SUPI，SUCI，或NAI等)，所述UE标识中可包含第一NPN的标识信息。

可选的，上述步骤41之前，所述方法还可包括：发送第一信息。对于该发送第一信息的相关内容可如图1所示实施例中所述，在此不再赘述。

可选的，在此情况下，一种实施方式中，所述第二NPN等同于第一NPN；另一种实施方式中，第二NPN是所述第一NPN中的子集，比如第一NPN中包括多个NPN的情况下，第二NPN可以是第一NPN中的部分NPN。

一种实施方式中，网络仅对第一NPN中的部分NPN进行接入授权(即第二NPN)，仅为第一通信设备配置了所述部分NPN的证书。比如，终端请求接入NPN1，NPN2和NPN3的接入权限。不难理解，网络可能仅允许终端获取接入NPN1和NPN2的权限，给终端配置NPN1的证书和NPN2的证书。终端通过NPN1的证书仅可以接入NPN1。终端通过NPN2的证书仅可以接入NPN2。

另一种实施方式中，网络对第一NPN中的多个NPN进行接入授权，但仅为第一通信设备配置了部分NPN的证书(即第二NPN)，通过所述部分NPN的证书，可以接入多个NPN。比如，终端请求接入NPN1，NPN2和NPN3的接入权限。不难理解，网络可能允许终端接入NPN1和NPN2。网络可以仅给终端配置NPN2的证书，但通过NPN2的证书不仅仅接入NPN2，还可以接入NPN1。此时，所述能够通过NPN2的证书接入的NPN1可以称为NPN2 的等价NPN，NPN2的终端允许漫游的NPN，或能够为NPN2提供接入的NPN。NPN2可以称为所述NPN1的服务提供商。

一种实施方式中，从源端获取第三信息，所述源端包括以下之一：第一通信设备、第二通信设备、接收第一信息的网络、当前接入的网络。

不难理解，通过本实施例，当请求接入多个NPN的权限时，网络可以仅分配一个NPN的证书，但可以通过所述NPN的证书接入多个NPN。由此，可以有效实现终端的网络接入控制。

下面结合具体实施例对本发明实施例提供的方法进行描述。

本实施例中，如图5所示，UE的NPN证书配置过程可包括如下步骤：

步骤51：UE通过NG-RAN向第一网络的AMF发起注册请求。可选地，在该注册请求中包含UE的请求获取接入证书(credential)的NPN列表list。

一种实施方式中，UE已经具有NPN1的credetial，请求追加NPN2的证书。此时AMF可以通过接入NPN1的证书对UE进行认证。

另一种实施方式中，UE还没有NPN1的证书，同时请求NPN1和NPN2的证书。此时需要通过默认证书(default credential)或者UE提供的SUPI对应的UDM对UE进行认证。

步骤52：AMF根据该NPN list，选择配置服务器，并向该配置服务器发送证书配置请求。

步骤53：如果上述步骤没有认证过UE，可选地，配置服务器通过认证服务器对UE进行认证。

步骤54：认证通过后，配置服务器通过AMF向UE发送配置响应，以对UE进行配置。

一种实施方式中，当请求证书的NPN list包含NPN2时，一方面NPN1的配置服务器可以更新NPN1的证书，补充允许漫游的NPN2。或者NPN2的配置服务器单独给UE配置NPN2的证书。

此外，可选地，配置服务器可将UE的证书同步给UDM。

请参考图6，本发明实施例提供了一种通信设备，所述通信设备为第一通信设备，如图6所示，该通信设备60包括：

发送模块61，用于发送第一信息；

所述第二证书可以包括第一通信设备已经具有的证书。所述第一通信设备已经具有的证书包括：第一通信设备已经具有的第二网络的证书，第一通信设备已经具有的第三方的证书。所述第三方的证书为不同于网络的证书的其他类型的证书，比如终端厂家的证书，或应用(APP)的证书。

可选的，该通信设备60还可包括：

第三获取模块，用于获取第三信息；其中，所述第三信息包括第二NPN的证书信息和所述第二证书的更新信息中的至少一者；

所述第二NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN。

可选的，所述第二NPN的证书信息包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息、允许通过第二NPN证书接入NPN类型网络的权限；

和/或，所述第二证书的更新信息包括以下至少一项：允许通过第二证书接入的网络的信息、允许通过第二证书接入NPN类型网络的权限、允许通过第二证书接入被请求的NPN的指示信息、允许通过第二证书接入NPN类型的网络的指示信息。

可选的，所述允许通过第二NPN的证书接入的网络包括所述第四网络；

和/或，所述允许通过第二证书接入的网络包括所述第四网络。

一种实施方式中，所述第一服务器对应的NPN包括第一服务器能够配置的用于接入所述NPN的证书。所述用于接入所述NPN的证书包括所述NPN的证书。

一种实施方式中，从网络获得所述第一服务器的地址信息和/或第一服务器对应的NPN的标识信息。所述网络可以为终端通过第一接入方式(如onboarding接入的网络，如O-SNPN)

所述第四条件包括以下至少一项：

终端支持和/或请求控制面类型的证书下载方式；

终端支持和/或请求控制面类型的第一接入方式；

终端不支持和/或不请求用户面类型的证书下载方式；

终端不支持和/或不请求用户面类型的第一接入方式；

所述第一服务器不是第一NPN的证书的配置服务器。

不难理解，第一服务器的地址是用于用户面类型的证书下载方式或用户面类型的第一接入方式的。对不支持用户面类型的证书下载方式或用户面类型的第一接入方式的终端，可以对网络发送的第一服务器的相关信息进行忽略或丢弃。

所述终端支持和/或请求控制面类型的证书下载方式可以包括终端仅支持和/或请求控制面类型的证书下载方式。

所述终端支持和/或请求控制面类型的第一接入方式可以包括终端仅支持和/或请求控制面类型的第一接入方式。

本实施例中，通信设备60能够实现本发明图1所示方法实施例中实现的各个过程，以及达到相同的有益效果，为避免重复，这里不再赘述。

请参考图7，本发明实施例提供了一种通信设备，所述通信设备为第二通信设备，如图7所示，该通信设备70包括：

第一获取模块71，用于获取第一信息；

第一执行模块72，用于根据所述第一信息，执行第一操作；

其中，所述执行第一操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许终端获取接入第一NPN的权限；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

确定第一服务器；

确定第二服务器；

确定第二信息；

向第一服务器、和/或第二服务器发送第二信息；

可选的，所述第一信息包括以下至少一项：第一NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息、用于请求证书下载的指示信息、用于请求第一接入方式的指示信息、第一接入方式的类型信息、证书下载方式的类型信息；

可选地，第一执行模块72，当满足第三条件时，发送第一服务器的地址信息和/或第一服务器对应的NPN的标识信息。

第三条件包括：

可选的，所述第一执行模块72可在满足第一条件的情况下，执行确定第一服务器的操作，确定第二信息和/或执行向第一服务器发送第二信息的操作；其中，所述第一条件包括以下至少一项：

确认允许终端获取接入第一NPN的权限；

确认允许为终端配置第一NPN的证书信息；

确认为终端配置第二NPN的证书信息；

获取第一信息中的第一指示信息；

获取第一信息中的第二指示信息；

获取第一信息中的第一NPN的信息；

可选的，所述第一执行模块72可在满足第二条件的情况下，执行确定第二服务器的操作，确定第二信息和/或执行向第一服务器发送第二信息的操作；其中，所述第二条件包括以下至少一项：

确认允许终端获取接入第一NPN的权限；

确认允许为终端增加通过第二证书接入第一NPN的权限；

确认为终端增加通过第二证书接入第三NPN的权限；

获取第一信息中的第一指示信息；

获取第一信息中的第三指示信息；

获取第一信息中的第四指示信息；

获取第一信息中的第一NPN的信息；

获取第一信息中的第二网络的索引信息；

本实施例中，通信设备70能够实现本发明图2所示方法实施例中实现的各个过程，以及达到相同的有益效果，为避免重复，这里不再赘述。

请参考图8，本发明实施例提供了一种通信设备，所述通信设备为第三通信设备，如图8所示，该通信设备80包括：

第二获取模块81，用于获取第一信息或第二信息；

第二执行模块82，用于根据所述第一信息或第二信息，执行第二操作；

其中，所述执行第二操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

发送第二NPN的证书信息，或者发送第二证书的更新信息；

其中，所述第二证书包括终端已经具有的证书；

所述第二NPN与所述第三NPN相同或者不同。

可选的，所述第二信息包括以下至少一项：NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息；

所述NPN的信息能够用于以下至少一项：请求接入NPN的权限、请求所述NPN的证书、请求通过第二证书接入所述NPN、请求接入NPN类型的网络的权限；

所述第一指示信息用于请求接入所述NPN的权限，或用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限；

所述第二指示信息用于请求所述NPN的证书，或用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书；

所述第三指示信息用于请求通过第二证书接入所述NPN的权限，或用于请求通过当前接入网络的证书接入所述NPN的权限；

可选的，所述第一NPN的证书信息包括以下至少一项：第一NPN的证书、允许通过第一NPN的证书接入的网络的信息、允许通过第一NPN证书接入NPN类型网络的权限；

和/或，所述第二NPN的证书信息包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息、允许通过第二NPN证书接入 NPN类型网络的权限；

和/或，所述第二证书的更新信息包括以下至少一项：允许通过第二证书接入的网络的信息、允许通过第二证书接入NPN类型网络的权限、允许通过第二证书接入被请求的NPN的指示信息、允许通过第二证书接入NPN类型的网络的指示信息；

本实施例中，通信设备80能够实现本发明图3所示方法实施例中实现的各个过程，以及达到相同的有益效果，为避免重复，这里不再赘述。

请参考图9，本发明实施例提供了一种通信设备，所述通信设备为第四通信设备，如图9所示，该通信设备90包括：

第三获取模块91，用于获取第三信息；其中，所述第三信息包括第二NPN的证书信息和第二证书的更新信息中的至少一者；所述第二证书包括第一通信设备已经具有的证书；第二NPN是一个或多个NPN；

第三执行模块92，用于根据所述第三信息，执行接入第二NPN或第四网络的操作；

本实施例中，通信设备90能够实现本发明图4所示方法实施例中实现的各个过程，以及达到相同的有益效果，为避免重复，这里不再赘述。

参见图10，图10是本发明实施例提供的另一种通信设备的结构示意图，如图10所示，通信设备100包括：处理器101、存储器102及存储在所述存储器102上并可在所述处理器上运行的计算机程序，通信设备100中的各个组件通过总线接口103耦合在一起，所述计算机程序被所述处理器101执行时可实现上述图1所示方法实施例中实现的各个过程，或者，实现上述图2所示方法实施例中实现的各个过程，或者，实现上述图3所示方法实施例中实现的各个过程，或者，实现上述图4所示方法实施例中实现的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现上述图1所示方法实施例中实现的各个过程，或者，实现上述图2所示方法实施例中实现的各个过程，或者，实现上述图3所示方法实施例中实现的各个过程，或者，实现上述图4所示方法实施例中实现的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。

Claims

一种接入控制方法，应用于第一通信设备，包括：

发送第一信息；

其中，所述第一信息包括以下至少一项：第一非公众网络NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息、用于请求证书下载的指示信息、用于请求第一接入方式的指示信息、第一接入方式的类型信息、证书下载方式的类型信息；

所述第一NPN的信息能够用于以下至少一项：请求接入第一NPN的权限、请求第一NPN的证书、请求通过第二证书接入第一NPN、请求接入NPN类型的网络的权限；

所述第一指示信息用于请求接入第一NPN的权限，或用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限；

所述第二指示信息用于请求第一NPN的证书，或用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书；

所述第三指示信息用于请求通过第二证书接入第一NPN的权限，或用于请求通过当前接入网络的证书接入第一NPN的权限；

所述第四指示信息用于请求通过第二证书接入NPN类型的网络的权限，或用于请求通过当前接入网络的证书接入NPN类型网络的权限；

所述第二证书包括第一通信设备已经具有的证书；

其中，

所述第一接入方式包括：为了下载用于接入第二网络的证书而接入第一网络的接入方式；所述第一网络和所述第二网络是同一个网络或者不同的网络；

所述第一接入方式的类型信息指示以下至少一项：控制面类型的第一接入方式、用户面类型的第一接入方式；

所述证书下载方式的类型信息指示以下至少一项目：控制面类型的证书下载方式、用户面类型的证书下载方式。
根据权利要求1所述的方法，其中，所述发送第一信息之后，所述方法还包括：

获取第三信息；其中，所述第三信息包括第二NPN的证书信息和所述第二证书的更新信息中的至少一者；

根据所述第三信息，执行接入第二NPN或第四网络的操作；

其中，所述第四网络是以下之一：不同于第二NPN的其他网络、不同于第二网络的其他网络；

所述第二NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN。
根据权利要求2所述的方法，其中，

所述第二NPN的证书信息包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息、允许通过第二NPN证书接入NPN类型网络的权限；

和/或，所述第二证书的更新信息包括以下至少一项：允许通过第二证书接入的网络的信息、允许通过第二证书接入NPN类型网络的权限、允许通过第二证书接入被请求的NPN的指示信息、允许通过第二证书接入NPN类型的网络的指示信息。
根据权利要求3所述的方法，其中，

所述允许通过第二NPN的证书接入的网络包括所述第四网络；

和/或

所述允许通过第二证书接入的网络包括所述第四网络。
根据权利要求1所述的方法，其中，所述发送第一信息的步骤之后，接收以下至少一项：第一服务器的地址信息，第一服务器对应的NPN的标识信息。
根据权利要求5所述的方法，其中，当满足第四条件时，忽略或丢弃所述第一服务器的地址信息和/或第一服务器对应的NPN的标识信息。

所述第四条件包括以下至少一项：

终端支持和/或请求控制面类型的证书下载方式

终端支持和/或请求控制面类型的第一接入方式；

终端不支持和/或不请求用户面类型的证书下载方式

终端不支持和/或不请求用户面类型的第一接入方式；

所述第一服务器不是第一NPN的证书的配置服务器。
一种接入控制方法，应用于第二通信设备，包括：

获取第一信息；

根据所述第一信息，执行第一操作；

其中，所述执行第一操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许终端获取接入第一NPN的权限；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

确认是否允许为终端增加通过第二证书接入NPN类型网络的权限；

确认为终端配置第二NPN的证书信息，或者确认为终端增加通过第二证书接入第三NPN的权限，或者确认为终端增加通过第二证书接入NPN类型网络的权限；

确定第一服务器；

发送第一服务器的地址信息和/或第一服务器对应的NPN的标识信息；

确定第二服务器；

确定第二信息；

向第一服务器、和/或第二服务器发起终端的证书配置请求或配置更新请求；

向第一服务器、和/或第二服务器发送第二信息；

其中，所述第一服务器是以下之一：为终端配置第二NPN的证书的配置服务器，为终端配置用于接入NPN的证书的配置服务器，终端为了下载用于接入NPN的证书而需要访问的服务器；所述第二服务器是为终端配置第二证书的配置服务器；所述第二信息包括所述第一信息中的全部信息或者部分信息。
根据权利要求7所述的方法，其中，

所述第一信息包括以下至少一项：第一NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息、用于请求证书下载的指示信息、用于请求第一接入方式的指示信息、第一接入方式的类型信息、证书下载方式的类型信息；

所述第一NPN的信息能够用于以下至少一项：请求接入第一NPN的权限、请求第一NPN的证书、请求通过第二证书接入第一NPN、请求接入NPN类型的网络的权限；

所述第一指示信息用于请求接入第一NPN的权限，或用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限；

所述第二指示信息用于请求第一NPN的证书，或用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书；

所述第三指示信息用于请求通过第二证书接入第一NPN的权限，或用于请求通过当前接入网络的证书接入第一NPN的权限；

所述第四指示信息用于请求通过第二证书接入NPN类型的网络的权限，或用于请求通过当前接入网络的证书接入NPN类型网络的权限；

所述第二证书包括终端已经具有的证书；

所述第一接入方式的类型信息指示以下至少一项：控制面类型的第一接入方式、用户面类型的第一接入方式；

所述证书下载方式的类型信息指示以下至少一项：控制面类型的证书下载方式、用户面类型的证书下载方式。
根据权利要求7所述的方法，其中，发送第一服务器的地址信息和/或第一服务器对应的NPN的标识信息包括：当满足第三条件时，发送第一服务器的地址信息和/或第一服务器对应的NPN的标识信息；

其中，所述第三条件包括：

所述第一接入方式的类型信息指示用户面类型的第一接入方式；

所述证书下载方式的类型信息指示用户面类型的证书下载方式。
根据权利要求7所述的方法，其中，所述第二通信设备在满足第一条件的情况下，执行确定第一服务器的操作、确定第二信息和/或执行向第一服务器发送第二信息的操作；其中，所述第一条件包括以下至少一项：

确认允许终端获取接入第一NPN的权限；

确认允许为终端配置第一NPN的证书信息；

确认为终端配置第二NPN的证书信息；

获取第一信息中的第一指示信息；

获取第一信息中的第二指示信息；

获取第一信息中的第一NPN的信息；

其中，所述第二NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN。
根据权利要求7所述的方法，其中，所述第二通信设备在满足第二条件的情况下，执行确定第二服务器的操作、确定第二信息和/或执行向第一服务器发送第二信息的操作；其中，所述第二条件包括以下至少一项：

确认允许终端获取接入第一NPN的权限；

确认允许为终端增加通过第二证书接入第一NPN的权限；

确认为终端增加通过第二证书接入第三NPN的权限；

获取第一信息中的第一指示信息；

获取第一信息中的第三指示信息；

获取第一信息中的第四指示信息；

获取第一信息中的第一NPN的信息；

获取第一信息中的第二网络的索引信息；

其中，所述第三NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN。
根据权利要求7所述的方法，其中，所述向第一服务器发送第二信息的步骤之后，所述方法还包括：

获取第二NPN的证书信息；

发送所述获取的第二NPN的证书信息；

和/或

所述向第二服务器发送第二信息的步骤之后，所述方法还包括：

获取第二证书的更新信息；

发送所述获取的第二证书的更新信息。
一种接入控制方法，应用于第三通信设备，包括：

获取第一信息或第二信息；

根据所述第一信息或第二信息，执行第二操作；

其中，所述执行第二操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

确认是否允许为终端增加通过第二证书接入NPN类型网络的权限；

为终端配置第二NPN的证书信息，或者为终端增加通过所述第二证书接入第三NPN的权限，或者为终端增加通过所述第二证书接入NPN类型网络的权限；

发送第二NPN的证书信息，或者发送第二证书的更新信息；

其中，所述第二证书包括终端已经具有的证书；

所述第二NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN；

所述第三NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN；

所述第二NPN与所述第三NPN相同或者不同。
根据权利要求13所述的方法，其中，所述第一信息包括以下至少一项：第一NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息；

所述第一NPN的信息能够用于以下至少一项：请求接入第一NPN的权限、请求第一NPN的证书、请求通过第二证书接入第一NPN、请求接入NPN类型的网络的权限；

所述第一指示信息用于请求接入第一NPN的权限，或用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限；

所述第二指示信息用于请求第一NPN的证书，或用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书；

所述第三指示信息用于请求通过第二证书接入第一NPN的权限，或用于请求通过当前接入网络的证书接入第一NPN的权限；

所述第四指示信息用于请求通过第二证书接入NPN类型的网络的权限，或用于请求通过当前接入网络的证书接入NPN类型网络的权限。
根据权利要求13所述的方法，其中，所述第二信息包括以下至少一项：NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息；

所述NPN的信息能够用于以下至少一项：请求接入NPN的权限、请求所述NPN的证书、请求通过第二证书接入所述NPN、请求接入NPN类型的网络的权限；

所述第一指示信息用于请求接入所述NPN的权限，或用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限；

所述第二指示信息用于请求所述NPN的证书，或用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书；

所述第三指示信息用于请求通过第二证书接入所述NPN的权限，或用于请求通过当前接入网络的证书接入所述NPN的权限；

所述第四指示信息用于请求通过第二证书接入NPN类型的网络的权限，或用于请求通过当前接入网络的证书接入NPN类型网络的权限。
根据权利要求13所述的方法，其中，所述第一NPN的证书信息包括以下至少一项：第一NPN的证书、允许通过第一NPN的证书接入的网络的信息、允许通过第一NPN证书接入NPN类型网络的权限；

和/或，所述第二NPN的证书信息包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息、允许通过第二NPN证书接入NPN类型网络的权限；

和/或，所述第二证书的更新信息包括以下至少一项：允许通过第二证书接入的网络的信息、允许通过第二证书接入NPN类型网络的权限、允许通过第二证书接入被请求的NPN的指示信息、允许通过第二证书接入NPN类型的网络的指示信息；

其中，所述第二NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN。
一种接入控制方法，应用于第一通信设备，包括：

获取第三信息；其中，所述第三信息包括第二NPN的证书信息和第二证书的更新信息中的至少一者；所述第二证书包括第一通信设备已经具有的证书；第二NPN是一个或多个NPN；

根据所述第三信息，执行接入第二NPN或第四网络的操作；

其中，所述第四网络是以下之一：不同于第二NPN的其他网络、不同于第二网络的其他网络；

所述第二NPN的证书信息包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息、允许通过第二NPN证书接入NPN类型网络的权限；

所述当前接入网络的证书信息包括以下至少一项：允许通过当前接入网络的证书接入的网络的信息、允许通过当前接入网络的证书接入被请求的NPN的指示信息、允许通过当前接入网络的证书接入NPN类型的网络的指示信息；

所述第二证书的更新信息包括以下至少一项：允许通过第二证书接入的网络的信息、允许通过第二证书接入NPN类型网络的权限、允许通过第二证书接入被请求的NPN的指示信息、允许通过第二证书接入NPN类型的网络的指示信息。
根据权利要求17所述的方法，其中，

所述允许通过第二NPN的证书接入的网络包括所述第四网络；

和/或

所述允许通过第二证书接入的网络包括所述第四网络。
一种通信设备，所述通信设备为第一通信设备，包括：

发送模块，用于发送第一信息；

其中，所述第一信息包括以下至少一项：第一独立组网的非公众网络NPN的信息、第二网络的索引信息、第一指示信息、第二指示信息、第三指示信息、第四指示信息、用于请求证书下载的指示信息、用于请求第一接入方式的指示信息、第一接入方式的类型信息、证书下载方式的类型信息；

所述第一NPN的信息能够用于以下至少一项：请求接入第一NPN的权限、请求第一NPN的证书、请求通过第二证书接入第一NPN、请求接入NPN 类型的网络的权限；

所述第一指示信息用于请求接入第一NPN的权限，或用于请求当前接入网络的权限，或用于请求接入NPN类型网络的权限；

所述第二指示信息用于请求第一NPN的证书，或用于请求当前接入网络的证书，或用于请求接入NPN类型网络的证书；

所述第三指示信息用于请求通过第二证书接入第一NPN的权限，或用于请求通过当前接入网络的证书接入第一NPN的权限；

所述第四指示信息用于请求通过第二证书接入NPN类型的网络的权限，或用于请求通过当前接入网络的证书接入NPN类型网络的权限；

所述第二证书包括第一通信设备已经具有的证书；其中，

所述第一接入方式包括：为了下载用于接入第二网络的证书而接入第一网络的接入方式；所述第一网络和所述第二网络是同一个网络或者不同的网络；

所述第一接入方式的类型信息指示以下至少一项：控制面类型的第一接入方式、用户面类型的第一接入方式；

所述证书下载方式的类型信息指示以下至少一项目：控制面类型的证书下载方式、用户面类型的证书下载方式。
一种通信设备，所述通信设备为第二通信设备，包括：

第一获取模块，用于获取第一信息；

第一执行模块，用于根据所述第一信息，执行第一操作；

其中，所述执行第一操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许终端获取接入第一NPN的权限；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

确认是否允许为终端增加通过第二证书接入NPN类型网络的权限；

确认为终端配置第二NPN的证书信息，或者确认为终端增加通过第二证书接入第三NPN的权限，或者确认为终端增加通过第二证书接入NPN类型网络的权限；

确定第一服务器；

发送第一服务器的地址信息和/或第一服务器对应的NPN的标识信息；

确定第二服务器；

确定第二信息；

向第一服务器、和/或第二服务器发起终端的证书配置请求或配置更新请求；

向第一服务器、和/或第二服务器发送第二信息；

其中，所述第一服务器是以下之一：为终端配置第二NPN的证书的配置服务器，为终端配置用于接入NPN的证书的配置服务器，终端为了下载用于接入NPN的证书而需要访问的服务器；所述第二服务器是为终端配置第二证书的配置服务器；所述第二信息包括所述第一信息中的全部信息或者部分信息。
一种通信设备，所述通信设备为第三通信设备，包括：

第二获取模块，用于获取第一信息或第二信息；

第二执行模块，用于根据所述第一信息或第二信息，执行第二操作；

其中，所述执行第二操作包括以下至少一项：

确认终端对接入第一NPN的权限的请求；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端配置第一NPN的证书信息；

确认是否允许为终端增加通过第二证书接入第一NPN的权限；

确认是否允许为终端增加通过第二证书接入NPN类型网络的权限；

为终端配置第二NPN的证书信息，或者为终端增加通过所述第二证书接入第三NPN的权限，或者为终端增加通过所述第二证书接入NPN类型网络的权限；

发送第二NPN的证书信息，或者发送第二证书的更新信息；

其中，所述第二证书包括终端已经具有的证书；

所述第二NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN；

所述第三NPN是所述第一NPN中所有NPN，或者是所述第一NPN中的一部分NPN；

所述第二NPN与所述第三NPN相同或者不同。
一种通信设备，所述通信设备为第四通信设备，包括：

第三获取模块，用于获取第三信息；其中，所述第三信息包括第二NPN的证书信息和第二证书的更新信息中的至少一者；所述第二证书包括第一通信设备已经具有的证书；第二NPN是一个或多个NPN；

第三执行模块，用于根据所述第三信息，执行接入第二NPN或第四网络的操作；

其中，所述第四网络是以下之一：不同于第二NPN的其他网络、不同于第二网络的其他网络；

所述第二NPN的证书信息包括以下至少一项：第二NPN的证书、允许通过第二NPN的证书接入的网络的信息、允许通过第二NPN证书接入NPN类型网络的权限；

所述当前接入网络的证书信息包括以下至少一项：允许通过当前接入网络的证书接入的网络的信息、允许通过当前接入网络的证书接入被请求的NPN的指示信息、允许通过当前接入网络的证书接入NPN类型的网络的指示信息；

所述第二证书的更新信息包括以下至少一项：允许通过第二证书接入的网络的信息、允许通过第二证书接入NPN类型网络的权限、允许通过第二证书接入被请求的NPN的指示信息、允许通过第二证书接入NPN类型的网络的指示信息。
一种通信设备，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至6中任一项所述的接入控制方法的步骤，或者，实现如权利要求7至12中任一项所述的接入控制方法的步骤，或者，实现如权利要求13至16中任一项所述的接入控制方法的步骤，或者，实现如权利要求17或18所述的接入控制方法的步骤。
一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的接入控制方法的步骤，或者，实现如权利要求7至12中任一项所述的接入控制方法的步骤，或者，实现如权利要求13至16中任一项所述的接入控制方法的步骤，或者，实现如权利要求17或18所述的接入控制方法的步骤。