WO2022155915A1

WO2022155915A1 - 网络互通的方法及装置

Info

Publication number: WO2022155915A1
Application number: PCT/CN2021/073378
Authority: WO
Inventors: 强鹂; 杨林平
Original assignee: 华为技术有限公司
Priority date: 2021-01-22
Filing date: 2021-01-22
Publication date: 2022-07-28
Also published as: EP4274310A1; CN116391397A; EP4274310A4

Abstract

一种网络互通的方法及装置，涉及通信技术领域，用于在第一网络和第二网络互通的架构下，增强第一网络对终端设备接入第二网络的控制。该方法包括：第一网络中的第一接入管理网元接收终端设备发送的第一切片的标识信息，第一切片是与第二网络的业务相关的切片；第一接入管理网元根据第一切片的标识信息，向第二网络中的第二接入管理网元请求接入第二网络。

Description

网络互通的方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种网络互通的方法及装置。

背景技术

目前，在第一网络和第二网络互通的架构下，位于第一网络覆盖区域内的终端设备可以通过第一网络接入第二网络。但是，第一网络无法获知终端设备是否接入网络，也无法控制终端设备是否可以接入网络。针对这一问题，业界尚未给出相应的解决方案。

发明内容

本申请提供一种网络互通的方法及装置，用于在第一网络和第二网络互通的架构下，用于增强第一网络对终端设备接入第二网络的控制。

第一方面，提供一种网络互通的方法，该方法包括：第一网络中的第一接入管理网元接收终端设备发送的第一切片的标识信息，第一切片是与第二网络的业务相关的切片；第一接入管理网元根据第一切片的标识信息，向第二网络中的第二接入管理网元请求接入第二网络。

基于上述技术方案，第一接入管理网元接收到终端设备发送的第一切片的标识信息。由于第一切片是与第二网络的业务相关的切片，因此第一接入管理网元能够根据第一切片的标识信息，获知终端设备想要接入第二网络。从而，第一网络中的第一接入管理网元向第二网络中的第二接入管理网元请求访问第二网络。可见，第一网络中的第一接入管理网元可以获知终端设备要接入第二网络，也能控制终端设备接入第二网络。本申请提供的技术方案能够增强第一网络对终端设备接入第二网络的控制。

另外，现有技术中终端设备和第二网络可以直接交互信息，而第一网络仅负责透传终端设备和第二网络之间交互的信息，因此终端设备需要与第二网络中的安全网关(例如非3GPP互通功能(non-3GPP interworking function，N3IWF)网元)建立互联网安全协议(internet protocol security，IPsec)隧道，以保证通信安全。本申请提供的技术方案中，由第一接入管理网元代理终端设备请求接入第二网络，而终端设备不直接与第二网络交互信息，因此终端设备无需与安全网关(例如N3IWF)建立IPsec隧道，因此终端设备无需支持IPsec协议栈，从而减少终端设备的制造成本。

一种可能的设计中，该方法还包括：第一接入管理网元获取第一身份信息；第一接入管理网元向第二接入管理网元发送第二身份信息，第一身份信息用于在第一网络中标识终端设备，第一身份信息不同于第二身份信息。应理解，由于第一身份信息用于在第一网络中标识终端设备，因此第二网络中的网元可能不能识别第一身份信息。从而，第一接入管理网元通过向第二接入管理网元发送第二身份信息，以使用第二身份信息与第二接入管理网元进行通信。相应的，第二接入管理网元可以视使用第二身份信息的第一接入管理网元作为普通终端设备进行接入管理。

一种可能的设计中，第一身份信息为国际移动用户识别码(international mobile subscriber identity，IMSI)、用户永久标识符(subscriber permanent identifier，SUPI)、用户隐藏标识符(subscriber concealed identifier，SUCI)或者全局唯一的临时用户设备(user equipment，UE)标识(globally unique temporary UE identity，GUTI)；第二身份信息为IMSI、SUPI、SUCI或者GUTI。

一种可能的设计中，该方法还包括：第一接入管理网元建立第一身份信息和第二身份信息之间的关联关系。这样一来，第一接入管理网元可以实现代理终端终端设备与第二网络进行通信的目的。例如，基于第一身份信息和第二身份信息之间的关联关系，第一接入管理网元在从第二网络中的相关网元(例如第二接入管理网元)接收到与第二身份信息有关的消息A之后，可以对消息A进行解析以获取消息A携带的内容，并将消息A携带的全部或者部分内容封装为消息B发送给终端设备。又例如，基于第一身份信息和第二身份信息之间的关联关系，第一接入管理网元在接收到终端设备发送的、与第一切片相关的消息C之后，可以解析消息C以获取消息C所携带的内容，将消息C所携带的全部或者部分内容封装为消息D，使用第二身份信息将消息D发送给第二网络中的相关网元(例如第二接入管理网元)。

一种可能的设计中，第一切片是第一网络中的切片，第一接入管理网元根据第一切片的标识信息向第二网络中的第二接入管理网元请求接入第二网络，包括：第一接入管理网元根据第一切片的标识信息向第二网络中的第二接入管理网元请求接入第二网络的第二切片，第二切片与第一切片相关联。这样一来，第一接入管理网元代理终端设备接入第二切片，从而使得终端设备能够使用第二切片提供的服务。

一种可能的设计中，第一切片的标识信息包括在第一消息中，第一消息用于请求注册到第一网络。

一种可能的设计中，第一消息包括第一请求的(requested)网络切片选择辅助信息(network slice selection assistance information，NSSAI)，第一requested NSSAI包括第一切片的单网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI)。

一种可能的设计中，第一接入管理网元根据第一切片的标识信息，向第二网络中的第二接入管理网元请求接入第二网络，包括：第一接入管理网元根据第一切片的标识信息向第二网络中的第二接入管理网元发送第二消息，第二消息用于请求注册到第二网络。

一种可能的设计中，该方法还包括：第一接入管理网元接收第二接入管理网元发送的第三消息，第三消息用于表示注册成功；第一接入管理网元根据第三消息，向终端设备发送第四消息，第四消息用于表示允许终端设备具有接入第一切片的权限。

一种可能的设计中，第四消息用于允许终端设备具有接入第一切片的权限，包括：第四消息包括第一切片的标识信息。

一种可能的设计中，第四消息用于允许终端设备具有接入第一切片的权限，包括：第四消息包括第一允许的(allowed)NSSAI，第一allowed NSSAI包括第一切片的S-NSSAI。

一种可能的设计中，该方法还包括：第一接入管理网元接收第二接入管理网元发送的第五消息，该第五消息用于表示不允许使用第二网络的业务；第一接入管理网元根据第五消息，向终端设备发送第六消息，第六消息用于表示不允许终端设备接入第一切片。

一种可能的设计中，第六消息用于表示不允许终端设备接入第一切片，可以实现为：第六消息包括第一切片的标识信息。

一种可能的设计中，第六消息用于表示不允许终端设备接入第一切片，可以实现为：第六消息包括第一拒绝的(rejected)NSSAI，所述第一rejected NSSAI包括所述第一切片的S-NSSAI。

一种可能的设计中，第一切片的标识信息包括在第一消息中，第一消息用于请求建立第一切片关联的第一协议数据单元(protocol data unit，PDU)会话。

一种可能的设计中，第一接入管理网元根据第一切片的标识信息向第二网络中的第二接入管理网元请求接入第二网络，包括：第一接入管理网元根据第一切片的标识信息，向第二网络中的第二接入管理网元发送第二消息，第二消息用于请求建立第一切片相关的第二PDU会话。

一种可能的设计中，第一消息包括第一PDU会话的标识，第二消息包括第二PDU会话的标识。

一种可能的设计中，该方法还包括：第一接入管理网元接收第二接入管理网元发送的第七消息，第七消息用于表示第二PDU会话建立成功；第一接入管理网元根据第七消息，向终端设备发送第九消息，第九消息用于表示第一PDU会话建立成功。

一种可能的设计中，该方法还包括：第一接入管理网元从第二接入管理网元获取第二PDU会话的IP地址；第一接入管理网元向第一网络中的第一用户面网元发送第二PDU会话的IP地址。这样一来，第一用户面网元可以获知第二PDU会话的IP地址，继而可以实现在第一PDU会话和第二PDU会话之间的数据转发。

一种可能的设计中，该方法还包括：第一接入管理网元接收第二接入管理网元发送的第十消息，该第十消息用于表示第二PDU会话建立失败；第一接入管理网元根据第十消息，向终端设备发送第十一消息，该第十一消息用于表示第一PDU会话建立失败。

一种可能的设计中，该方法还包括：第一接入管理网元确定开启终端设备接入第一切片的权限；第一接入管理网元向终端设备发送第十二消息，第十二消息用于指示开启终端设备接入第一切片的权限。基于该设计，间接实现了对终端设备通过第一网络接入第二网络的权限的管控。

一种可能的设计中，第十二消息用于指示开启第一切片的权限，包括：第十二消息包括第一切片的标识信息。

一种可能的设计中，第十二消息用于指示开启第一切片的权限，包括：第十二消息包括第二allowed NSSAI，第二allowed NSSAI包括第一切片的S-NSSAI。

一种可能的设计中，该方法还包括：第一接入管理网元确定关闭终端设备接入第一切片的权限；第一接入管理网元向终端设备发送第十三消息，第十三消息用于指示关闭终端设备接入第一切片的权限。基于该设计，间接实现了对终端设备通过第一网络接入第二网络的权限的管控。

一种可能的设计中，第十三消息用于指示关闭第一切片的访问权限，包括：第十三消息包括第一切片的标识信息。

一种可能的设计中，第十三消息用于指示关闭第一切片的访问权限，包括：第十三消息包括第二rejected NSSAI，第二rejected NSSAI包括第一切片的NSSAI。

一种可能的设计中，第一网络为公共网络，第二网络为非公共网络；或者，第一网络为非公共网络，第二网络为公共网络。

第二方面，提供一种网络互通的方法，包括：在第二网络为终端设备建立第二PDU会话的过程中，N3IWF获取路由规则，路由规则用于转发第二PDU会话的数据包；N3IWF根据路由规则，转发第二PDU会话的数据包。

基于上述技术方案，N3IWF通过获取第二PDU会话的路由规则，可以转发第二PDU会话的数据包，从而保证第一网络和第二网络之间的正常通信。

一种可能的设计中，路由规则用于指示将源地址为第二PDU会话的IP地址的上行数据包转发给服务于第二PDU会话的第二用户面网元。

一种可能的设计中，N3IWF根据路由规则，转发第二PDU会话的数据包，包括：N3IWF从第一网络的第一用户面网元或者第一接入管理网元接收第二PDU会话的上行数据包；N3IWF根据路由规则，向服务于第二PDU会话的第二用户面网元发送第二PDU会话的上行数据包。

一种可能的设计中，路由规则还用于指示将目的地址为第二PDU会话的IP地址的下行数据包转发给第一网络中的第一接入管理网元或第一用户面网元。

一种可能的设计中，N3IWF根据路由规则，转发第二PDU会话的数据包，包括：N3IWF从服务于第二PDU会话的第二用户面网元接收第二PDU会话的下行数据包；N3IWF根据路由规则，向第一网络的第一用户面网元或者第一接入管理网元发送第二PDU会话的上行数据包。

第三方面，提供一种通信装置，通信装置部署在第一网络中，通信装置包括通信模块和处理模块；通信模块，用于接收终端设备发送的第一切片的标识信息，第一切片是与第二网络的业务相关的切片；处理模块，用于根据第一切片的标识信息，控制通信模块向第二网络中的第二接入管理网元请求接入第二网络。

一种可能的设计中，处理模块，还用于获取第一身份信息；通信模块，还用于向第二接入管理网元发送第二身份信息，第一身份信息用于在第一网络中标识终端设备，第一身份信息不同于第二身份信息。

一种可能的设计中，第一身份信息为IMSI、SUPI、SUCI或者GUTI；第二身份信息为IMSI、SUPI、SUCI或者GUTI。

一种可能的设计中，处理模块，还用于建立第一身份信息和第二身份信息之间的关联关系。

一种可能的设计中，第一切片是第一网络中的切片；处理模块，具体用于根据第一切片的标识信息，控制通信模块向第二网络中的第二接入管理网元请求接入第二网络的第二切片，第二切片与第一切片相关联。

一种可能的设计中，第一消息包括第一requested NSSAI，第一requested NSSAI包括第一切片的S-NSSAI。

一种可能的设计中，处理模块，具体用于根据第一切片的标识信息，控制通信模块向第二网络中的第二接入管理网元发送第二消息，第二消息用于请求注册到第二网络。

一种可能的设计中，通信模块，还用于接收第二接入管理网元发送的第三消息，第三消息用于表示注册成功；根据第三消息，向终端设备发送第四消息，第四消息用于表示允许终端设备具有接入第一切片的权限。

一种可能的设计中，第四消息用于允许终端设备具有接入第一切片的权限，包括：第四消息包括第一allowed NSSAI，第一allowed NSSAI包括第一切片的S-NSSAI。

一种可能的设计中，通信模块，还用于接收第二接入管理网元发送的第五消息，该第五消息用于表示不允许使用第二网络的业务；根据第五消息，向终端设备发送第六消息，第六消息用于表示不允许终端设备接入第一切片。

一种可能的设计中，第一切片的标识信息包括在第一消息中，第一消息用于请求建立第一切片关联的第一PDU会话。

一种可能的设计中，处理模块，具体用于根据第一切片的标识信息，控制通信模块向第二网络中的第二接入管理网元发送第二消息，第二消息用于请求建立第二PDU会话。

一种可能的设计中，通信模块，还用于接收第二接入管理网元发送的第七消息，第七消息用于表示第二PDU会话建立成功；根据第七消息，向终端设备发送第九消息，第九消息用于表示第一PDU会话建立成功。

一种可能的设计中，通信模块，还用于从第二接入管理网元获取第二PDU会话的IP地址；向第一网络中的第一用户面网元发送第二PDU会话的IP地址。

一种可能的设计中，通信模块，还用于接收第二接入管理网元发送的第十消息，该第十消息用于表示第二PDU会话建立失败；向终端设备发送第十一消息，该第十一消息用于表示第一PDU会话建立失败。

一种可能的设计中，处理模块，还用于确定开启终端设备接入第一切片的权限；通信模块，还用于向终端设备发送第十二消息，第十二消息用于指示开启终端设备接入第一切片的权限。

一种可能的设计中，处理模块，还用于确定关闭终端设备接入第一切片的权限；通信模块，还用于向终端设备发送第十三消息，第十三消息用于指示关闭终端设备接入第一切片的权限。

第四方面，提供一种通信装置，通信装置包括处理模块和通信模块。其中，处理模块，用于在第二网络为终端设备建立第二PDU会话的过程中获取路由规则。通信模块，用于根据路由规则，转发第二PDU会话的数据包。

一种可能的设计中，通信模块，具体用于从第一网络的第一用户面网元或者第一接入管理网元接收第二PDU会话的上行数据包；根据路由规则，向服务于第二PDU会话的第二用户面网元发送第二PDU会话的上行数据包。

一种可能的设计中，通信模块，具体用于从服务于第二PDU会话的第二用户面网元接收第二PDU会话的下行数据包；根据路由规则，向第一网络的第一用户面网元或者第一接入管理网元发送第二PDU会话的上行数据包。

第五方面，提供一种通信装置，所述通信装置包括处理器和存储器，存储器存储有计算机程序指令，当处理器执行存储器所存储的计算机程序指令时，处理器用于实现上述第一方面或第二方面中任一设计提供的方法。

第六方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，当该计算机指令在计算机上运行时，使得计算机执行第一方面或第二方面中任一设计提供的方法。

第七方面，提供一种包含计算机指令的计算机程序产品，当该计算机指令在计算机上运行时，使得计算机执行第一方面或第二方面中任一设计提供的方法。

第八方面，提供一种芯片，包括：处理电路和收发管脚，处理电路和收发管脚用于实现上述第一方面或第二方面中任一设计提供的方法。其中，处理电路用于执行相应方法中的处理动作，收发管脚用于执行相应方法中的接收/发送的动作。

第九方面，提供一种通信系统，该通信系统包括第一网络中第一接入管理网元和第二网络中的N3IWF。其中，第一接入管理网元用于执行第一方面中任一设计提供的方法。N3IWF用于执行第二方面中任一设计提供的方法。

需要说明的是，上述第三方面至第九方面中任一种设计所带来的技术效果可以参见第一方面中对应设计所带来的技术效果，此处不再赘述。

附图说明

图1为本申请实施例提供的一种注册流程的示意图；

图2为本申请实施例提供的一种5G网络的架构示意图；

图3为SNPN的架构示意图；

图4为PNI-NPN的架构示意图；

图5为本申请实施例提供的一种一种公私网互通架构的示意图；

图6为本申请实施例提供的一种通信系统的示意图；

图7(a)为本申请实施例提供的一种公私网互通架构的示意图；

图7(b)为本申请实施例提供的另一种公私网互通架构的示意图；

图7(c)为本申请实施例提供的另一种公私网互通架构的示意图；

图7(d)为本申请实施例提供的另一种公私网互通架构的示意图；

图8为本申请实施例提供的一种网络互通的方法的流程图；

图9为本申请实施例提供的另一种网络互通的方法的流程图；

图10为本申请实施例提供的另一种网络互通的方法的流程图；

图11为本申请实施例提供的另一种网络互通的方法的流程图；

图12为本申请实施例提供的另一种网络互通的方法的流程图；

图13(a)为本申请实施例提供的另一种网络互通的方法的流程图；

图13(b)为本申请实施例提供的另一种网络互通的方法的流程图；

图14为本申请实施例提供的另一种网络互通的方法的流程图；

图15(a)为本申请实施例提供的另一种网络互通的方法的流程图；

图15(b)为本申请实施例提供的另一种网络互通的方法的流程图；

图16为本申请实施例提供的另一种网络互通的方法的流程图；

图17为本申请实施例提供的另一种网络互通的方法的流程图；

图18为本申请实施例提供的另一种网络互通的方法的流程图；

图19为本申请实施例提供的另一种网络互通的方法的流程图；

图20为本申请实施例提供的一种通信装置的结构示意图；

图21为本申请实施例提供的另一种通信装置的结构示意图。

具体实施方式

在本申请的描述中，除非另有说明，“/”表示“或”的意思，例如，A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。此外，“至少一个”是指一个或多个，“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

需要说明的是，本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

为了便于本领域技术人员的理解，下面先对一些技术术语进行介绍。

1、网络切片(network slice)

网络切片是一个用于支持特定网络能力与网络特性的逻辑隔离的网络，可以包括端到端(end to end，E2E)的整个网络，也可以部分网络功能在多个网络切片中共享，是满足第三代合作伙伴项目(3rd generation partnership project，3GPP)提出的第五代(5th generation，5G)移动通信技术关于网络差异化需求的关键技术。

网络切片可以由S-NSSAI来标识。S-NSSAI包括如下两部分：(1)切片/服务类型(slice/service type，SST)，用于在功能或者服务方面预期网络切片的行为；(2)切片差分器(slice differentiator，SD)，属于可选的信息，用于区分具有相同的SST的多个网络切片。在本申请中，网络切片也称为切片。

2、NSSAI

NSSAI是S-NSSAI的集合。也就是说，一个NSSAI可以包括至少一个S-NSSAI。

可选的，NSSAI存在以下多种类别：

(1)请求的(requested)NSSAI，包括一个或多个终端设备请求接入的S-NSSAI；

(2)允许的(allowed)NSSAI，包括一个或多个被网络侧允许接入的S-NSSAI；

(3)拒绝的(rejected)NSSAI，包括一个或多个被网络侧拒绝接入的S-NSSAI。

3、安全上下文

安全上下文是指可以用于实现数据的安全保护(例如，加密/解密，和/或完整性保护/校验)的信息。示例性的，安全上下文可以包括加密密钥、完整性保护密码等。

其中，加密密钥为发送端根据加密算法对明文进行加密以生成密文时输入的参数。若使用对称加密的方法，加密密钥和解密密钥是相同的。接收端可以根据相同的加密算法和加密密钥对密文进行解密。换句话说，发送端和接收端可以基于同一个密钥去加密和解密。

完整性保护密钥为发送端根据完整性保护算法对明文或密文进行完整性保护时输入的参数。接收端可以根据相同的完整性保护算法和完整性保护密钥对进行了完整性保护的数据进行完整性验证。

4、注册流程

注册流程用于建立终端设备与网络侧之间的连接，以使得终端设备能够接入到网络中。注册流程可以分为：

1)初始注册流程：终端设备由于某些原因(例如开机)而发起的第一次注册流程。

2)移动更新注册流程：终端设备移动出原先的服务区域而发起的注册流程。

3)周期性注册流程：终端设备按照预设时间间隔而发起的注册流程。应理解，周期性注册流程类似于心跳机制，以便于网络侧获知终端还处于服务区域内。

4)紧急注册流程：终端设备为了使用紧急服务而发起的注册流程。其中，终端设备可以是受限的终端设备，例如未安装SIM卡的终端设备。示例性的，紧急服务可以包括拔打急救电话等。

示例性的，如图1所示，注册流程可以包括以下步骤：

S1、终端设备向接入网设备发送注册请求。

S2、接入网设备执行接入和移动性管理功能(core access and mobility management function，AMF)选择流程。

S3、接入网设备向第一AMF发送注册请求。

S4、第一AMF根据注册请求，确定第二AMF，并向第二AMF发送上下文传输请求。

其中，第一AMF是当前为终端设备提供服务的AMF。第二AMF是之前为终端设备提供服务的AMF。

S5、第二AMF向第一AMF发送上下文传输请求的响应消息。

S6、第一AMF向终端设备发送标识请求(例如Identity Request消息)。

S7、终端设备向第一AMF发送标识请求的响应消息(例如Identity Response消息)。

S8、第一AMF执行鉴权功能(authentication server function，AUSF)选择流程。

如果第一AMF无法从本地或者第二AMF中查找到安全上下文，或者第一AMF对终端设备发送的信息进行完整性校验失败，则第一AMF应执行下述步骤S9。

S9、终端设备和网络侧之间执行认证和安全流程。

S10、第一AMF向第二AMF发送注册状态更新消息(例如Namf_Communication RegistrationStatusUpdate消息)。

S11、第一AMF向UE发起标识获取流程。

S12、第一AMF与设备标识寄存器(equipment identity register，EIR)执行设备标识检查。

S13、第一AMF执行统一数据管理(unified data management，UDM)选择流程。

S14、第一AMF与UDM执行AMF注册、UE签约订阅获取流程。

S15、若第一AMF确定第二AMF提供的策略控制功能(policy control function，PCF)信息不可用，第一AMF执行PCF选择流程。

S16、若第一AMF确定第二AMF提供的PCF信息可用，且PCF信息指示的PCF是第二AMF使用的PCF时，第一AMF向该PCF发送控制策略获取请求。

S17、第一AMF向终端设备发送注册接收消息(例如Registration Accept消息)。

其中，注册接收消息用于指示网络侧接受终端设备的注册。

S18、终端设备向第一AMF发送注册完成消息(例如Registration complete消息)。

可以理解的是，注册完成消息用于指示完成注册流程。

其中，上述步骤S4-S16、以及S18均是可选的步骤，可以根据实际情况选择执行或者不执行。

以上是对注册流程中的各个步骤的一些介绍，注册流程还可以包括其他步骤，本申请实施例不限于此。

5、协议数据单元(protocol data unit，PDU)会话

5G核心网支持PDU连接业务，PDU连接业务就是终端设备和数据网络(data network，DN)之间交换PDU数据包的业务。PDU连接业务通过终端设备发起PDU会话的建立来实现。终端设备建立PDU会话，也就是建立了一条终端设备和DN之间的数据传输通道。

需要说明的是，终端设备可以发起建立一个或多个PDU会话，来连接到相同的DN或者不同的DN。终端设备可以由一组核心网网元(如会话管理功能(session management function，SMF)网元、策略控制功能(policy control function，PCF)网元和用户面功能(user plane function，UPF)网元等)服务，这些核心网网元协调着管理终端设备的PDU会话资源。

6、5G系统架构

如图2所示，5G网络可以包括终端设备、无线接入网络(radio access network，RAN)或者接入网络(access network，AN)(下文中将RAN和AN统称为(R)AN)、核心网(core network，CN)、以及数据网(data network，DN)。

其中，终端设备可以是一种具有无线收发功能的设备。所述终端设备可以有不同的名称，例如用户设备(user equipment，UE)、接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。终端可以被部署在陆地上，包括室内或室外、手持或车载；也可以被部署在水面上(如轮船等)；还可以被部署在空中(例如飞机、气球和卫星上等)。终端设备包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或计算设备。示例性地，终端设备可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。

接入网设备是一种为终端设备提供无线通信功能的设备。接入网设备也可以称为基站。基站可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，接入点等。具体可以为：是无线局域网(wireless local area network，WLAN)中的接入点(access point，AP)，全球移动通信系统(global system for mobile Communications，GSM)或码分多址接入(code division multiple access，CDMA)中的基站(Base Transceiver Station，BTS)，也可以是宽带码分多址(wideband code division multiple access，WCDMA)中的基站(NodeB，NB)，还可以是长期演进(long term evolution，LTE)中的演进型基站(evolved Node B，eNB或eNodeB)，或者中继站或接入点，或者车载设备、可穿戴设备以及未来5G网络中的下一代节点B(the next generation Node B，gNB)或者未来演进的公用陆地移动网(Public Land Mobile Network，PLMN)网络中的基站等。

核心网包括多个核心网网元(或者称为网络功能网元)，例如：接入和移动管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、策略控制功能(policy control function，PCF)网元、用户面功能(user plane function，UPF)网元、AUSF网元、以及UDM网元。此外，核心网还可以包括一些其他未示出的网元，本申请实施例在此不予赘述。

此外，核心网还可以包括一些图2中未示出的网元，例如安全锚功能(security anchor function，SEAF)网元等，本申请实施例在此不予赘述。

在未来的通信系统如6G通信系统中，上述网元或设备仍可以使用其在5G通信系统中的名称，或者有其它名称；上述网元或设备的功能可以由一个独立网元完成，也可以由若干个网元共同完成，本申请实施例对此不作限定。

在实际部署中，核心网中的网元可以合设。例如，接入和移动管理功能可以与会话管理功能合设；会话管理功能可以与用户面功能合设。当两个网元合设的时候，本申请实施例提供的这两个网元之间的交互就成为该合设网元的内部操作或者可以省略。

以上是对本申请所涉及的技术术语的介绍，以下不再赘述。

公共陆地移动网络(public land mobile network，PLMN)是为公众提供陆地移动通信业务而建立和经营的公共网络。随着网络业务的发展，一些企业或者个人为了自身业务的安全考虑，也存在建立自用的非公共网络(non-public network，NPN)的需求。

根据部署方式的不同，目前NPN可以为两类：独立部署的NPN(stand-alone NPN，SNPN)和依赖于PLMN的NPN(PLMN-integrated NPN，PNI-NPN)。

如图3所示，SNPN具有独立的接入网设备和核心网，不依赖网络运营商建立的PLMN提供功能。例如，如图3所示，SNPN可以有独立的AMF、AUSF、UPF以及gNB。

如图4所示，PNI-NPN是在PLMN支持下部署的NPN。PNI-NPN可以完全或者部分托管在PLMN的基础设施上，依赖PLMN提供部分网络功能。例如，如图4所示，对于PNI-NPN1，UE需要使用PLMN中的gNB和UPF才能接入私网DN1。对于PNI-NPN2，UE需要使用PLMN中的gNB和UPF才能接入私网DN2。

应理解，NPN是企业自建的私网，NPN可以和公网(也即PLMN)隔离。但是，在一些情况下，企业仍存在NPN和PLMN互通的需求。例如，企业的员工需要在家办公，则员工需要通过PLMN接入NPN。又例如，企业内的设备在夜间发生故障，员工需要使用企业通讯软件通知管理员，也就是企业的设备需要通过NPN接入PLMN。又例如，企业在北京园区建立了一个SNPN，后来随着规模扩大在上海建立分公司并在上海园区又建立了另一个SNPN，两个SNPN需要通过PLMN互联起来。

以NPN为SNPN为例，图5示出一种公私网互通架构。如图5所示，PLMN的核心网包括AMF、SMF和UPF。SNPN的核心网包括AMF、SMF、UPF和N3IWF。相应的，PLMN的核心网也可以设置相应的N3IWF(图5中未示出)，以保证UE与PLMN之间连接的安全。

基于图5所示的架构，终端设备可以通过PLMN的接入网和核心网，接入SNPN的核心网。但是，一方面，由于终端设备与SNPN的消息在PLMN中是透传的，因此PLMN无法感知终端设备是否接入SNPN，也无法控制终端设备接入SNPN。另外一方面，为了保障安全，N3IWF需要与终端设备建立安全隧道。该安全隧道一般是基于复杂的IPsec协议栈来实现的。这就导致需要终端设备支持IPsec协议栈，从而使得终端设备的协议栈变得复杂，增大了终端设备的制造成本。

因此，在第一网络和第二网络互通的架构下，如何增强第一网络对终端设备接入第二网络的控制，是亟待解决的技术问题。

对此，如图6所示，本申请实施例提供一种通信系统10，该通信系统10包括：第一接入管理网元101和第二接入管理网元102。应理解，第一接入管理网元101和第二接入管理网元102之间可以直接通信，也可以通过其他设备的转发进行通信，对此不作限定。

其中，第一接入管理网元101属于第一网络，第二接入管理网元属于第二网络。第一网络和第二网络是不同的两个网络。第一网络可以是公共网络或者非公共网络，第二网络可以是公共网络或者非公共网络。例如，第一网络为公共网络，第二网络为非公共网络。或者，第一网络为非公共网络，第二网络为公共网络。第一网络和第二网络可以采用相同的通信制式或者不同的通信制式。例如，第一网络采用5G通信制式，第二网络也采用5G通信制式。

第一接入管理网元101，用于接收终端设备发送的第一切片的标识信息，第一切片是与第二网络的业务相关的切片；根据第一切片的标识信息，向第二网络中的第二接入管理网元请求接入第二网络。

上述第一接入管理网元101和第二接入管理网元102所执行的操作的具体描述可以参考下文中相应的方法实施例，在此不予赘述。

应理解，由于第一切片是与第二网络的业务相关的切片，因此第一接入管理网元能够根据第一切片的标识信息，获知终端设备想要接入第二网络。从而，第一网络中的第一接入管理网元向第二网络中的第二接入管理网元请求接入第二网络。可见，第一网络中的第一接入管理网元可以获知终端设备要接入第二网络，也能控制终端设备接入第二网络。本申请提供的技术方案能够增强第一网络对终端设备接入第二网络的控制。

另外，由第一接入管理网元代理终端设备请求接入第二网络，而终端设备不直接与第二网络交互信息，因此终端设备无需与安全网关(例如N3IWF)建立IPsec隧道，因此终端设备无需支持IPsec协议栈，从而减少终端设备的制造成本。

示例性的，图6所示的通信系统10可以适用于以下图7(a)-图7(d)所示的第一网络和第二网络互通的架构中。其中，通信系统10中的第一接入管理网元101可以实现为第一网络中的AMF，第二接入管理网元可以实现为第二网络中的AMF。

架构一

图7(a)示出一种第一网络和第二网络互通的架构。如图7(a)所示，第一网络可以包括AMF和UPF，第二网络包括AMF、N3IWF和UPF。其中，第一网络的AMF和第二网络的N3IWF建立有安全隧道，第一网络的UPF和第二网络的N3IWF建立有安全隧道。

应理解，由于N3IWF和第一网络中的AMF和UPF分别建立了隧道，因此对来自第二网络的消息，N3IWF根据该消息是数据面消息还是控制面消息进行转发。对于控制面消息，N3IWF通过用于与第一网络的AMF通信的隧道将控制面消息发送给第一网络的AMF。对于数据面消息，N3IWF通过用于与第一网络的UPF通信的隧道将数据面消息发送给第一网络的UPF。

基于图7(a)所示的架构，第一网络中的AMF和第二网络中的AMF之间的信息可以通过N3IWF进行中转。

例如，基于图7(a)所示的架构，第一网络中的AMF发送给第二网络中的AMF的消息(例如下文中的第二消息等)的传输路径可以为：第一网络中的AMF->N3IWF->第二网络中的AMF。其中，->表示传输方向，例如第一网络中的AMF->N3IWF即表示第一网络中的AMF将消息发送给N3IWF，在此统一说明，以下不再赘述。

又例如，基于图7(a)所示的架构，第二网络中的AMF发送给第一网络中的AMF的消息(例如下文中的第三消息、第五消息、第七消息、第十消息等)的传输路径可以为：第二网络中的AMF->N3IWF->第一网络中的AMF。

基于图7(a)所示的架构，UE的用户面数据可以通过第一网络中的接入网设备、第一网络的UPF、N3IWF、以及第二网络的UPF来传输。

例如，基于图7(a)所示的架构，UE的下行用户面数据的传输路径可以为：第二网络中的UPF->N3IWF->第一网络中的UPF->第一网络的接入网设备->UE。

例如，基于图7(a)所示的架构，UE的上行用户面数据的传输路径可以为：UE->第一网络的接入网设备->第一网络中的UPF->N3IWF->第二网络中的UPF。

架构二

图7(b)示出另一种第一网络和第二网络互通的架构示意图。如图7(b)所示，第一网络的核心网可以包括AMF和UPF，第二网络的核心网包括AMF、N3IWF和UPF。其中，第一网络的AMF和第二网络的N3IWF未建立安全隧道，第一网络的UPF和第二网络的N3IWF建立有安全隧道。

应理解，由于N3IWF与第一网络的UPF建立有隧道，而与第一网络的AMF未建立隧道。因此，对于来自第二网络的消息，无论该消息是数据面消息还是控制面消息，N3IWF均通过用于与第一网络的UPF通信的隧道将该消息转发给第一网络的UPF。

基于图7(b)所示架构中，第一网络中的AMF和第二网络中的AMF之间的信息可以通过N3IWF以及一些其他网元进行中转。

例如，基于图7(b)所示架构中，第一网络中的AMF发送给第二网络中的AMF的消息(例如下文中的第二消息等)的传输路径可以为：第一网络中的AMF->第一网络中的SMF->第一网络中的UPF->N3IWF->第二网络中的AMF。

又例如，基于图7(b)所示架构中，第二网络中的AMF发送给第一网络中的AMF的消息(例如下文中的第三消息、第五消息、第七消息、第十消息等)的传输路径可以为：第二网络中的AMF->N3IWF->第一网络中的UPF->第一网络中的SMF->第一网络中的AMF。

基于图7(b)所示的架构，UE的用户面数据可以通过第一网络中的接入网设备、第一网络的UPF、N3IWF、以及第二网络的UPF来传输。

例如，基于图7(b)所示的架构，UE的下行用户面数据的传输路径可以为：第二网络中的UPF->N3IWF->第一网络中的UPF->第一网络的接入网设备->UE。

例如，基于图7(b)所示的架构，UE的上行用户面数据的传输路径可以为：UE->第一网络的接入网设备->第一网络中的UPF->N3IWF->第二网络中的UPF。

架构三

图7(c)示出另一种第一网络和第二网络互通的架构示意图。如图7(c)所示，第一网络的核心网可以包括AMF和UPF，第二网络的核心网包括AMF、N3IWF和UPF。其中，第一网络的AMF和第二网络的N3IWF建立有安全隧道，第一网络的UPF和第二网络的N3IWF未建立安全隧道。

应理解，由于N3IWF与第一网络的AMF建立有隧道，而与第一网络的UPF未建立隧道。因此，对于来自第二网络的消息，无论该消息是数据面消息还是控制面消息，N3IWF均通过用于与第一网络的AMF通信的隧道将该消息转发给第一网络的AMF。

基于图7(c)所示的架构，第一网络中的AMF和第二网络中的AMF之间的信息可以通过N3IWF进行中转。

例如，基于图7(c)所示的架构，第一网络中的AMF发送给第二网络中的AMF的消息(例如下文中的第二消息等)的传输路径可以为：第一网络中的AMF->N3IWF->第二网络中的AMF。

又例如，基于图7(c)所示的架构，第二网络中的AMF发送给第一网络中的AMF的消息(例如下文中的第三消息、第五消息、第七消息、第十消息等)的传输路径可以为：第二网络中的AMF->N3IWF->第一网络中的AMF。

基于图7(c)所示的架构，UE的用户面数据可以通过第一网络中的接入网设备、第一网络中的AMF、N3IWF和第二网络中的AMF来传输。

例如，基于图7(c)所示的架构，UE的下行用户面数据的传输路径可以为：第二网络中的AMF->N3IWF->第一网络中的AMF->第一网络的接入网设备->UE。

例如，基于图7(c)所示的架构，UE的上行用户面数据的传输路径可以为：UE->第一网络的接入网设备->第一网络中的AMF->N3IWF->第二网络中的AMF。

可选的，图7(c)所示的架构仅支持UE的数据面消息中部分类型的消息(例如小包数据)在两个网络之间传输。

架构四

图7(d)示出另一种第一网络和第二网络的架构示意图。如图7(d)所示，第一网络中的AMF和第二网络中的AMF直接连接，第一网络中的UPF和第二网络中的UPF直接连接。

基于图7(d)所示的架构，第一网络中的AMF可以和第二网络中的AMF直接通信。第一网络中的UPF可以和第二网络中的UPF直接通信。

在图7(a)-图7(d)所示架构中，第一网络和第二网络均存在未标示出的网元，例如SMF、AUSF等，对此不作限定。

在图7(a)-图7(c)所示架构中，N3IWF可以换成其他设备，对此不作限定。例如，在图7(a)-图7(c)所示架构中，N3IWF可以替换为接入网设备，该接入网设备可以和第一网络中的AMF和/或UPF建立连接。

下面结合说明书附图对本申请实施例进行介绍。应理解，下述实施例中提及的各种消息、信息、参数的名称仅是示例，不构成具体限定。各种消息、信息和参数在不同应用场景下可以有不同的名称。

以下对本申请实施例提供的一种网络互通的方法进行详细介绍。如图8所示，该方法包括：

S101、终端设备向第一接入管理网元发送第一切片的标识信息。相应的，第一接入管理网元接收终端设备发送的第一切片的标识信息。

其中，第一接入管理网元属于第一网络。第一接入管理网元用于负责第一网络的接入管理。示例性的，第一接入管理网元可以为4G网络中的移动管理实体(mobility management entity，MME)，或者5G网络中的AMF，或者未来网络中承担接入管理等功能的设备。

第一切片是第一网络中的切片。第一切片是与第二网络的业务相关的切片。或者说，第一切片关联第二网络的全部或者部分业务。

第一切片的标识信息表示终端设备请求接入第一切片；或者第一切片的标识信息表示终端设备请求接入第二网络；或者第一切片的标识信息表示终端设备请求使用第二网络的业务。

作为一种可能的实现方式，步骤S101可以具体实现为：终端设备向第一接入管理网元发送第一消息，该第一消息包括第一切片的标识信息。示例性的，第一切片的标识信息可以为第一切片的S-NSSAI，对此不作限定。

可选的，第一接入管理网元获取第一网络的标识。示例性的，第一接入管理网元接收终端设备发送的第一消息中还可以包括第一网络的标识。该第一网络的标识表明该第一消息用于第一网络中的相关流程(例如注册流程或者PDU会话建立流程等)。

可选的，第一接入管理网元获取第一身份信息。示例性的，第一消息包括第一身份信息，第一身份信息用于在第一网络中标识终端设备。从而，第一接入管理网元可以根据第一身份信息，获知发送第一消息的终端设备。示例性的，第一身份信息的形式可以为IMSI、SUPI、SUCI或者GUTI等，对此不作限定。

在本申请实施例中，身份信息还可以有其他名称，例如终端标识信息、设备标识信息、用户信息等，对此不作限定。

在本申请实施例中，第一消息可以为非接入层(non-access stratum，NAS)消息。示例性的，第一消息可以为注册请求消息、PDU会话建立请求消息或服务请求消息等。

S102、第一接入管理网元根据第一切片的标识信息，向第二接入管理网元请求接入第二网络。相应的，第二接入管理网元接收第一接入管理网元发送的接入第二网络的请求。

其中，第二接入管理网元属于第二网络。第二接入管理网元用于负责第二网络的接入管理。示例性的，第二接入管理网元可以为4G网络中的MME，或者5G网络中的AMF，或者未来网络中承担接入管理等功能的设备。

在本申请实施例中，接入第二网络，可以是指注册到第二网络，或者在第二网络中建立PDU会话等，对此不作具体限定。

可选的，步骤S102可以具体实现为：第一接入管理网元根据第一切片的标识信息，向第二接入管理网元发送第二消息，该第二消息用于请求接入第二网络。

可选的，第二消息可以为NAS消息。示例性的，第二消息可以为注册请求消息、PDU会话建立请求消息或服务请求消息等。

一种可能的设计中，第一接入管理网元根据第一切片的标识信息，向第二接入管理网元请求接入第二网络的第二切片。第一切片与第二切片相关联。

可选的，第一接入管理网元还可以从其他网元(例如统一数据管理网元)获取到第一切片的标识信息与一个或多个第二切片的标识信息之间的关联关系；或者，该关联关系可以配置在第一接入管理网元上。其中，第二切片为第二网络中的切片。一个第二切片关联第二网络中的一种业务。

可选的，第二切片的标识信息可以承载于第二消息中。

可选的，第一接入管理网元获取第二网络的标识信息；第一接入管理网元向第二接入管理网元发送第二网络的标识信息。示例性的，第一接入管理网元可以从其他网元(例如统一数据管理网元)获取到第一切片的标识信息与第二网络的标识信息之间的关联关系；或者，该关联关系可以配置在第一接入管理网元上。因此，第一接入管理网元在接收到第一切片的标识信息之后，能够确定第一切片所关联的网络(也即第二网络)。

示例性的，以第二网络为PLMN为例，第二网络的标识信息可以为PLMN ID。或者，以第二网络为SNPN为例，第二网络的标识信息可以为SNPN ID。

可选的，第二网络的标识信息可以承载于第二消息中，以表明该第二消息用于第二网络的相关流程(例如注册流程、PDU会话建立流程)。

可选的，第一接入管理网元还可以获取第二身份信息；第一接入管理网元向第二接入管理网元发送第二身份信息。其中，第二身份信息用于在第二网络中标识终端设备。第二身份信息不同于第一身份信息。举例来说，假设第一消息包括SUCI#1，第二消息可以包括SUCI#2，SUCI#1不同于SUCI#2。

示例性的，第二身份信息的形式可以为IMSI、SUPI、SUCI或者GUTI等，对此不作限定。

可选的，第二身份信息可以承载于第二消息中。应理解，由于第一身份信息用于在第一网络中标识终端设备，因此第二网络中的网元可能不能识别第一身份信息。从而，第二消息包括第二网络能够识别的第二身份信息，以使得第一接入管理网元可以代理终端设备与第二网络中的相关网元(例如第二接入管理网元)正常通信。

可选的，第一接入管理网元可以建立并存储第一身份信息和第二身份信息之间的关联关系，从而第一接入管理网元可以实现代理终端设备与第二网络进行通信的目的。

例如，基于第一身份信息和第二身份信息之间的关联关系，第一接入管理网元在从第二网络中的相关网元(例如第二接入管理网元)接收到与第二身份信息有关的消息A之后，可以对消息A进行解析以获取消息A携带的内容，并将消息A携带的全部或者部分内容封装为消息B发送给终端设备。

又例如，基于第一身份信息和第二身份信息之间的关联关系，第一接入管理网元在接收到终端设备发送的、与第一切片相关的消息C之后，可以解析消息C以获取消息C所携带的内容，并将消息C所携带的全部或者部分内容封装为消息D发送给第二网络中的相关网元(例如第二接入管理网元)。

下面对第一接入管理网元获取第二身份信息的实现方式进行介绍。

实现方式1-1、第一接入管理网元从终端设备获取第二身份信息。

实现方式1-2、第一接入管理网元从终端设备获取第三身份信息；之后，第一接入管理网元根据第三身份信息，生成第二身份信息。

应理解，第三身份信息用于推导出第二身份信息。

一种可能的设计中，第三身份信息是对第二身份信息进行解密后的身份信息。相应的，第二身份信息是对第三身份信息进行加密后的身份信息。

例如，第三身份信息为SUPI，第二身份信息为SUCI。SUCI是将SUPI通过加密后得到的。

实现方式1-3、第一接入管理网元从本地获取第二身份信息。

作为一种可能的实现方式，第一接入管理网元预先建立第一对应关系，第一对应关系包括第一切片的标识信息与第二身份信息之间的对应关系。从而，第一接入管理网元可以根据第一对应关系以及第一切片的标识信息，查找到第二身份信息。应理解，上述第一对应关系可以是一对一的对应关系，或者一对多的对应关系，对此不作限定。

作为另一种可能的实现方式，第一接入管理网元预先建立第二对应关系，第二对应关系包括第一身份信息与第二身份信息之间的对应关系。从而，第一接入管理网元可以根据第二对应关系以及从终端设备获取的第一身份信息，查找到对应的第二身份信息。

作为再一种可能的实现方式，第一接入管理网元预先存储多个用于第二网络的身份信息。之后，在接收到第一切片的标识信息的情况下，第一接入管理网元可以按照一定规则或者随机方式从预先存储的多个用于第二网络的身份信息中，选取一个身份信息作为第二身份信息。

实现方式1-4、第一接入管理网元从本地获取第三身份信息；之后，第一接入管理网元根据第三身份信息，生成第二身份信息。

作为一种可能的实现方式，第一接入管理网元可以预先建立第三对应关系，第三对应关系可以为第一切片的标识信息与第三身份信息之间的对应关系。从而，第一接入管理网元可以根据第三对应关系以及第一切片的标识信息，查找到第三身份信息。应理解，上述第三对应关系可以是一对一的对应关系，或者一对多的对应关系，对此不作限定。

作为另一种可能的实现方式，第一接入管理网元可以预先建立第四对应关系，第四对应关系可以为第四身份信息与第三身份信息之间的对应关系，其中第四身份信息用于推导出第一身份信息。从而，第一接入管理网元根据第四对应关系，以及第一身份信息，查找到对应的第三身份信息。

示例性的，假设第一身份信息为SUCI#1，第二身份信息为SUCI#2，第三身份信息为SUPI#2，第四身份信息为SUPI#1。其中，SUPI#1可以生成SUCI#1，SUPI#2可以生成SUCI#2。第一接入管理网元根据接收到的SUCI#1，确定SUCI#1对应的SUPI#1。第一接入管理网元再根据SUPI#1与SUPI#2之间的对应关系，以及SUPI#1，确定出SUPI#2。第一接入管理网元根据SUPI#2可以确定出SUCI#2。

作为再一种可能的实现方式，第一接入管理网元预先存储了多个用于第二网络的身份信息。之后，在接收到第一切片的标识信息的情况下，第一接入管理网元可以按照一定规则或者随机方式从预先存储的多个用于第二网络的身份信息中，选取一个身份信息作为第三身份信息。

实现方式1-5、第一接入管理网元从第一网络中的其他网元(例如第一数据管理网元)获取到第二身份信息。

示例性的，第一接入管理网元向第一数据管理网元发送第一请求消息；之后，第一接入管理网元接收第一数据管理网元发送的第一响应消息，第一响应消息包括第二身份信息。

可选的，第一请求消息可以包括第一身份信息或者第一切片的标识信息。

示例性的，第一请求消息可以为Nudm_SDM_GET Request，第一响应消息可以为Nudm_SDM_GET Response，对此不作限定。

实现方式1-6、第一接入管理网元从第一网络中的其他网元(例如第一数据管理网元)获取到第三身份信息；之后，第一接入管理网元根据第三身份信息，生成第二身份信息。

例如，第一接入管理网元向第一数据管理网元发送第二请求消息；之后，第一接入管理网元接收统一数据管理网元发送的第一响应消息，第一响应消息包括第三身份信息。

可选的，第二请求消息可以包括第四身份信息、第一身份信息或者第一切片的标识。示例性的，第二请求消息可以为Nudm_SDM_GET Request，第二响应消息可以为Nudm_SDM_GET Response，对此不作限定。

上述实现方式1-1至实现方式1-6仅是示例，第一接入管理网元获取第二身份信息还可以采用其他实现方式，对此不作限定。

可选的，第一接入管理网元还可以获取第二身份信息关联的签约信息，并以第二身份信息关联的签约信息，生成第二消息。示例性的，第一接入管理网元从第一数据管理网元获取第二身份信息关联的签约信息；或者，该签约信息配置在第一接入管理网元上。

其中，第二身份信息关联的签约信息可以包括以下参数中的一项或者多项：第二网络的标识、第二切片的标识、安全算法(例如加密算法或者完整性保护算法)、非接入层(non-access stratum，NAS)计数值(NAS counter)、PDU session ID、PDU session的IP地址或MAC地址等、PDU session相关联的数据网络名称(data network name，DNN)。可选的，在第二网络为PNI-NPN的情况下，第二身份信息关联的签约信息还可以包括封闭接入组信息列表(closed access group information list，CAG information list)，对此不作限定。

应理解，上述签约信息还可以被称为上下文信息等，对此不作限定。

例如，第一接入管理网元可以根据第二身份信息关联的签约信息中的安全算法和NAS counter，对第二消息进行安全保护。

又例如，第一接入管理网元可以根据第二身份信息关联的签约信息中的第二切片的标识，确定第二消息所包括的第二切片的标识。

下面结合图7(a)-图7(d)所示的架构来具体说明第一接入管理网元向第二接入管理网元发送第二消息的具体实现方式。

例如，基于图7(a)所示的架构中，第一接入管理网元向N3IWF发送第二消息；N3IWF向第二接入管理网元转发第二消息。

又例如，基于图7(b)所示的架构中，第一接入管理网元向第一会话管理网元发送第二消息；第一会话管理网元向第一用户面网元发送第二消息；第一用户面网元向N3IWF发送第二消息；N3IWF向第二接入管理网元发送第二消息。

又例如，基于图7(c)所示的架构中，第一接入管理网元向N3IWF发送第二消息；N3IWF向第二接入管理网元转发第二消息。

又例如，基于图7(d)所示架构中，第一接入管理网元直接与第二接入管理网元连接，因此第一接入管理网元直接向第二接入管理网元发送第二消息。

基于图8所示的实施例，第一接入管理网元接收到终端设备发送的第一切片的标识信息。由于第一切片是与第二网络的业务相关的切片，因此第一接入管理网元能够根据第一切片的标识信息，获知终端设备想要接入第二网络。从而，第一网络中的第一接入管理网元向第二网络中的第二接入管理网元请求访问第二网络。可见，第一网络中的第一接入管理网元可以获知终端设备要接入第二网络，也能控制终端设备接入第二网络。本申请提供的技术方案能够增强第一网络对终端设备接入第二网络的控制。

另外，在本申请实施例中，第一接入管理网元代理终端设备请求接入第二网络，而终端设备不直接与第二网络通信，因此终端设备无需与第二网络中的安全网关建立IPsec隧道，因此终端设备无需支持IPsec协议栈，从而减少终端设备的制造成本。

以下结合图9，举例说明注册场景下一种网络互通的方法。如图9所示，该方法包括：

S101：可以参考图8中S101的描述。

在注册场景下，上述步骤S101可以具体实现为：终端设备向第一接入管理网元发送第一消息。

第一消息用于请求注册到第一网络。示例性的，第一消息可以为注册请求消息。

从而，第一消息包括第一切片的标识信息，可以具体实现为：第一消息包括requested NSSAI，该requested NSSAI包括第一切片的S-NSSAI。可选的，该requested NSSAI还可以包括其他网络切片的S-NSSAI，对此不作限定。

应理解，在第一接入管理网元接收到第一消息之后，终端设备可以和第一网络中的其他网元执行第一网络的注册流程中的部分步骤，例如图1所示的注册流程中的步骤S4～S14中的全部或者部分。在执行图1所示的步骤S4-S14的过程中，终端设备执行图1所示的通信设备所执行的操作，第一接入管理网元执行图1所示的第一AMF所执行的操作。

示例性的，终端设备和第一网络中的网元执行鉴权、标识请求等操作。另外，基于注册流程中的鉴权等相关步骤，第一接入管理网元和终端设备均可以获取第一身份信息关联的第一安全上下文。从而，终端设备和第一接入管理网元之间可以使用第一安全上下文，来保证终端设备和第一接入管理网元之间的通信安全(例如进行加密保护、完整性保护等)。

S102：可以参考图8中S102的描述。

上述步骤S102可以具体实现为：第一接入管理网元向第二接入管理网元发送第二消息。

第二消息用于请求接入第二网络，可以具体实现为：第二消息用于请求注册到第二网络。相应的，第二消息可以具体为注册请求消息。

这样一来，第二接入管理网元根据第二消息，可以把第一接入管理网元作为一个普通终端设备来看待。基于这样的方式，第一接入管理网元实现代理终端设备接入第二网络的目的。

可选的，第一接入管理网元还可以存储第一切片的标识信息与m个第二切片的标识信息之间的关联关系。从而，第二消息可以包括n个第二切片的标识信息。其中，n个第二切片是上述m个第二切片的子集。上述m、n均为大于或等于零的整数，n小于等于m。

示例性的，第二消息包括n个第二切片的标识信息，可以具体实现为：第二消息包括requested NSSAI，该requested NSSAI包括n个第二切片的S-NSSAI。

应理解，在第二接入管理网元接收到第二消息之后，第一接入管理网元可以和第二网络中的网元执行第二网络的注册流程的部分步骤，例如图1中的步骤S4-S16中的全部或者部分。在执行图1所示的步骤S4-S16的过程中，第一接入管理网元执行图1所示的通信设备所执行的操作，第二接入管理网元执行图1所示的第一AMF所执行的操作。

基于注册流程中的鉴权等相关步骤，第一接入管理网元和第二接入管理网元可以获取到与第二身份信息关联的第二安全上下文。从而，第一接入管理网元和第二接入管理网元可以使用第二安全上下文，来保证第一接入管理网元和第二接入管理网元之间的通信安全(例如进行加密保护、完整性保护等)。

可选的，该网络互通的方法在步骤S102之后还可以包括步骤S201-S202。

S201、第二接入管理网元向第一接入管理网元发送第三消息。相应的，第一接入管理网元接收第二接入管理网元发送的第三消息。

其中，第三消息用于表示允许接入第二网络。或者，第三消息用于表示在第二网络注册成功。示例性的，第三消息可以为注册完成(registration accept)消息。

一种可能的实现方式中，第三消息用于表示允许接入第二网络，可以具体实现为：第三消息用于表示允许第一接入管理网元接入第二网络。

可选的，第三消息还可以包括allowed NSSAI，该allowed NSSAI包括p个第二切片的标识。示例性的，p个第二切片可以为上述n个第二切片的子集，p为大于或等于0的整数，p小于等于n。

可选的，在第一接入管理网元接收到第三消息之后，第一接入管理网元可以执行第一网络的注册流程中剩下的步骤(例如图1中步骤S15-S18)的部分或全部，以完成终端设备注册到第一网络的流程。

可选的，第一接入管理网元可以建立第一切片的标识信息与第二身份信息(或者由第二身份信息推演得到的其他身份信息)之间对应关系。

可选的，第一接入管理网元可以建立第二安全上下文与第一安全上下文之间的关联关系，以保证终端设备和第二网络之间通信的安全性。可选的，第二安全上下文与第一安全上下文之间的关联关系可以基于第一身份信息和第二身份信息之间的关联关系、第一身份信息和第一安全上下文之间的关联关系和第二身份信息和第二安全上下文之间的关联关系确定。

例如，对于第二网络中的相关网元(例如第二接入管理网元)发送的消息A，第一接入管理网元可以解析消息A以获取消息A所携带的内容，并将消息A所携带的全部或者部分内容封装为消息B，使用第一安全上下文对消息B进行安全保护，将安全保护后的消息B发送给终端设备。

又例如，对于终端设备发送的、与第一切片相关的消息C，第一接入管理网元可以解析该消息C以获取消息C所携带的内容，并将消息C所携带的全部或者部分内容封装为消息D，使用第二安全上下文对消息D进行安全保护，将安全保护后的消息D发送给第二网络中的相关网元(例如第二接入管理网元)。

下面结合图7(a)-图7(b)所示的架构，具体说明第二接入管理网元向第一接入管理网元发送第三消息的具体实现方式。

例如，基于图7(a)所示的架构中，第二接入管理网元向N3IWF发送第三消息；N3IWF向第一接入管理网元发送第三消息。

又例如，基于图7(b)所示的架构中，第二接入管理网元向N3IWF发送第三消息；N3IWF向第一用户面网元发送第三消息；第一用户面网元向第一会话管理网元发送第三消息；第一会话管理网元向第一接入管理网元发送第三消息。

又例如，基于图7(c)所示的架构中，第二接入管理网元向N3IWF发送第三消息；N3IWF向第一接入管理网元发送第三消息。

又例如，基于图7(d)所示的架构中，第二接入管理网元直接向第一接入管理网元发送第三消息。

S202、第一接入管理网元根据第三消息，向终端设备发送第四消息。相应的，终端设备接收第一接入管理网元发送的第四消息。

其中，第四消息用于表示允许终端设备具有接入第一切片的权限。可选的，一种可能的实现方式中，第四消息包括allowed NSSAI，该allowed NSSAI包括第一切片的S-NSSAI。

可选的，在注册场景下，第四消息还可以用于表示终端设备成功注册到第一网络。示例性的，第四消息可以为注册接受消息。

基于图9所示的实施例，第一接入管理网元接收到终端设备发送的第一切片的标识信息，代理终端设备请求接入第二网络。在第二网络注册成功的情况下，第一接入管理网元通过第四消息，使得终端设备获知自身具备接入第一切片的权限。在这一过程中，终端设备不直接与第二网络通信，因此终端设备无需与第二网络中的安全网关建立IPsec隧道，因此终端设备无需支持IPsec协议栈，从而减少终端设备的制造成本。

以下结合图10，举例说明注册场景下另一种网络互通的方法。如图10所示，该方法包括：

S101：可以参考图9中S101的描述。

S102：可以参考图9中S102的描述。

可选的，该方法还可以包括步骤S301-S302。

S301、第二接入管理网元向第一接入管理网元发送第五消息。相应的，第一接入管理网元接收第二接入管理网元发送的第五消息。

其中，第五消息用于表示不允许使用第二网络的业务。

可选的，第五消息可以采用以下设计中的任意一种：

设计1、第五消息用于表示在第二网络中注册失败。

基于该设计1，第五消息可以为注册拒绝消息。

可选的，基于设计1，第五消息可以包括rejected NSSAI，rejected NSSAI可以包括上述n个第二切片的S-NSSAI。

设计2、第五消息用于表示在第二网络中注册成功，但未获取到接入第二切片的权限。

基于设计2，第五消息可以为注册接受消息，并且第五消息包括rejected NSSAI，rejected NSSAI可以包括上述n个第二切片的S-NSSAI。

下面结合图7(a)-图7(b)所示的架构，具体说明第二接入管理网元向第一接入管理网元发送第五消息的具体实现方式。

例如，基于图7(a)或图7(c)所示的架构中，第二接入管理网元向N3IWF发送第五消息；N3IWF向第一接入管理网元发送第五消息。

又例如，基于图7(b)所示的架构中，第二接入管理网元向N3IWF发送第五消息；N3IWF向第一用户面网元发送第五消息；第一用户面网元向第一会话管理网元发送第五消息；第一会话管理网元向第一接入管理网元发送第五消息。

又例如，基于图7(d)所示的架构中，第二接入管理网元直接向第一接入管理网元发送第五消息。

S302、第一接入管理网元根据第五消息，向终端设备发送第六消息。相应的，终端设备接收第一接入管理网元发送的第六消息。

其中，第六消息用于表示不允许终端设备接入第一切片。应理解，上述不允许可以采用其他描述方式，例如不提供(not provide)，废除/撤销(revoke)，拒绝(reject)，禁用(disable)，去激活(disactivate)等，本申请实施例对此不作限制。

一种可能的实现方式中，第六消息可以包括rejected NSSAI，rejected NSSAI包括所述第一切片的S-NSSAI。

基于图10所示的实施例，第一接入管理网元接收到终端设备发送的第一切片的标识信息，代理终端设备请求接入第二网络。在第二网络注册失败的情况下，或者在第二网络注册成功但未获取到任一第二切片的接入权限的情况下，第一接入管理网元通过第六消息，使得终端设备获知自身不具备接入第一切片的权限。在这一过程中，终端设备不直接与第二网络通信，因此终端设备无需与安全网关建立IPsec隧道，因此终端设备无需支持IPsec协议栈，从而减少终端设备的制造成本。

以下结合图11，举例说明PDU会话建立场景下网络互通的方法。如图11所示，该方法包括：

S101：可以参考图8中S101的描述。

在PDU会话建立场景下，上述步骤S101可以具体实现为：终端设备向第一接入管理网元发送第一消息。第一消息可以用于请求在建立第一切片关联的第一PDU会话。

一种可能的设计中，第一消息即为第一PDU会话建立请求消息。从而，第一消息包括第一切片的标识，即为第一PDU会话建立请求消息包括第一切片的标识。

另一种可能的设计中，第一消息可以包括第一切片的标识信息和第一PDU会话建立请求消息。

其中，上述第一PDU会话建立请求消息用于请求建立第一PDU会话。第一PDU会话建立请求消息可以包括第一PDU会话的标识。

应理解，第一PDU会话可以是基于用户面的PDU会话，或者是基于控制面的PDU会话，以适应不同的第一网络和第二网络的互通架构。

例如，在图7(a)、图7(b)或图7(d)所示的架构中，第一网络中的第一用户面网元具有和第二网络中的相关网元进行通信的隧道(或者说连接)，因此第一用户面网元可以负责数据包在第一PDU会话和第二PDU会话之间的转发，因此第一PDU会话可以建立为基于用户面的PDU会话。

又例如，在图7(c)所示的架构中，第一网络中的第一用户面网元不具有和第二网络中的相关网元进行通信的隧道(或者说连接)，因此第一用户面网元不能够负责数据包在第一PDU会话和第二PDU会话之间的转发，因此第一PDU会话需要建立为基于控制面的PDU会话。也即，第一接入管理网元负责数据包在第一PDU会话和第二PDU会话之间的转发。

基于图7(c)所示的架构中，在第一PDU会话为基于控制面的PDU会话的情况下，第一PDU会话中的数据包的上行传输路径为：UE->第一接入管理网元->N3IWF；第一PDU会话中的数据包的下行传输路径为：N3IWF->第一接入管理网元->UE。

S102：可以参考图8中S102的描述。

在PDU会话建立场景下，上述步骤S102可以具体实现为：第一接入管理网元向第二接入管理网元发送第二消息。

第二消息用于请求接入第二网络，可以具体实现为：第二消息用于请求建立第二PDU会话。示例性的，第二消息可以包括第二PDU会话建立请求消息，或者第二消息即为第二PDU会话建立请求消息。

其中，第二PDU会话建立请求消息用于请求建立第二PDU会话，第二PDU会话建立请求消息可以包括第二PDU会话的标识。第二PDU会话的标识不同于第一PDU会话的标识。可选的，第二PDU会话的标识可以由第一接入管理网元来配置。

可选的，第一接入管理网元可以获取第一PDU会话的IP地址，并向第二接入管理网元发送第一PDU会话的地址。

示例性的，第一接入管理网元可以从第一会话管理网元获取第一PDU会话的IP地址，第一会话管理网元为第一网络中用于负责管理第一PDU会话的会话管理网元。从而，第一接入管理网元可以将第一PDU会话的IP地址封装到第二消息中，以使得第二接入管理网元可以根据第二消息，获取到第一PDU会话的IP地址。

可选的，第一PDU会话的IP地址可以承载于第二消息中。

应理解，第二消息可以用第一接入网设备在注册到第二网络的过程中获取到的第二安全上下文进行处理(例如加密保护、完整性保护等)。

第二接入管理网元在接收到用于请求建立第二PDU会话的第二消息之后，可以执行第二PDU会话的建立流程。

可选的，第二消息包括第一PDU会话的IP地址。第二接入管理网元可以从第一接入管理网元获取到第一PDU会话的IP地址。第二接入管理网元可以通过第二会话管理网元向第二用户面网元发送第一PDU会话的IP地址。其中，第二会话管理网元和第二用户面网元属于第二网络。并且，在第二PDU会话建立的过程中，第二会话管理网元会配置第二PDU会话的IP地址，并将第二PDU会话的IP地址发送给第二用户面网元。从而，第二用户面网元可以获知第一PDU会话的IP地址和第二PDU会话的IP地址之间的关联关系，从而第二用户面网元可以负责数据包在第一PDU会话和第二PDU会话之间的转发。

可选的，第二消息也可以不包括第一PDU会话的IP地址。例如，针对上述图7(a)、图7(b)或者其他类似的架构，N3IWF与第一网络中的一个第一用户面网元有连接，从而N3IWF通过第一用户面网元在第二PDU会话和第一PDU会话之间进行数据转发。示例性的，N3IWF将第二用户面网元传输的下行用户面数据转发到第一用户面网元，第一用户面网元将该下行用户面数据通过转发给终端设备。

可选的，基于图7(a)-图7(c)所示的架构中，在第二PDU会话的建立流程中，需要配置N3WIF和第二用户面网元之间的连接，以保证数据包在第一PDU会话和第二PDU会话之间的正常转发。其中，第二用户面网元为第二网络中服务于第二PDU会话的用户面网元。

示例性的，在第二网络为终端设备建立第二PDU会话的过程中，N3IWF获取第一路由规则，该第一路由规则用于转发第二PDU会话的数据包；N3IWF根据第一路由规则，转发第二PDU会话的数据包。

可选的，第一路由规则用于指示将源地址为第二PDU会话的IP地址的上行数据包转发给服务于第二PDU会话的第二用户面网元。从而，N3IWF根据第一路由规则，转发第二PDU会话的数据包，可以具体实现为：N3IWF从第一网络的第一用户面网元或者第一接入管理网元接收第二PDU会话的上行数据包；N3IWF根据第一路由规则，向服务于第二PDU会话的第二用户面网元发送第二PDU会话的上行数据包。

可选的，第一路由规则还用于指示将目的地址为第二PDU会话的IP地址的下行数据包转发给第一网络中的第一接入管理网元或第一用户面网元。从而，N3IWF根据第一路由规则，转发第二PDU会话的数据包，包括：N3IWF从服务于第二PDU会话的第二用户面网元接收第二PDU会话的下行数据包；N3IWF根据第一路由规则，向第一网络的第一用户面网元或者第一接入管理网元发送第二PDU会话的上行数据包。

可选的，在第二PDU会话建立成功的情况下，该方法还可以包括以下步骤：

S401、第二接入管理网元向第一接入管理网元发送第七消息。相应的，第一接入管理网元接收第二接入管理网元发送的第七消息。

其中，第七消息用于表示第二PDU会话建立成功。

下面结合图7(a)-图7(b)所示的架构，具体说明第二接入管理网元向第一接入管理网元发送第七消息的具体实现方式。

例如，基于图7(a)或图7(c)所示的架构中，第二接入管理网元向N3IWF发送第五消息；N3IWF向第一接入管理网元发送第七消息。

又例如，基于图7(b)所示的架构中，第二接入管理网元向N3IWF发送第七消息；N3IWF向第一用户面网元发送第七消息；第一用户面网元向第一会话管理网元发送第七消息；第一会话管理网元向第一接入管理网元发送第七消息。

又例如，基于图7(d)所示的架构中，第二接入管理网元直接向第一接入管理网元发送第七消息。

S402、第一接入管理网元根据第七消息，执行第一PDU会话的建立流程。

在第二PDU会话建立的流程中，第一接入管理网元可以从第二接入管理网元获取到第二PDU会话的IP地址。在第一PDU会话的建立流程中，第一接入管理网元可以向第一用户面网元发送第二PDU会话的IP地址。并且，在第一PDU会话的建立流程中，第一会话管理网元会配置第一PDU会话的IP地址，并将第一PDU会话的IP地址发送给第一用户面网元。从而，第一用户面网元可以获知第一PDU会话的IP地址和第二PDU会话的IP地址之间的关联关系。第一用户面网元根据该关联关系对终端设备的数据包在第一PDU会话和第二PDU会话之间进行转发。

示例性的，第一接入管理网元可以向第一用户面网元发送第二PDU会话的IP地址可以具体实现为：第一接入管理网元向第一会话管理网元发送第八消息，第八消息包括第二PDU会话的IP地址。之后，第一会话管理网元根据第八消息，获取到第二PDU会话的IP地址，再将第二PDU会话的IP地址发送给第一用户面网元。可选的，第八消息还包括第一PDU会话的标识和第二PDU会话的标识。

例如，上述第八消息可以为PDU会话上下文创建请求消息，例如Nsmf_PDUSession_CreateSMContext Request。

示例性的，第一会话管理网元可以向第一用户面网元发送第二路由规则，该第二路由规则包括第一PDU会话的IP地址和第二PDU会话的IP地址，以实现向第一用户面网元发送第一PDU会话的IP地址和第二PDU会话的IP地址的目的。

示例性的，第一会话管理网元可以向第一用户面网元发送第二路由规则，可以具体实现为：第一会话管理网元向第一用户面网元发送N4会话创建/修改消息，该N4会话创建/修改消息包括第二路由规则。

例如，上述第二路由规则可以包括分组检测规则(packet detection rule，PDR)，转发动作规则(forwarding action rule，FAR)。

可选，第二路由规则用于指示将上行数据包的源地址从第一PDU会话的IP地址修改为第二PDU会话的IP地址，并将修改后的上行数据包发送给第二网络(例如第二用户面网元)。

例如，对于上行数据包，第二路由规则中的PDR可以包括第一PDU会话的IP地址，PDR对应的FAR可以包括第二PDU会话的IP地址。基于该第二路由规则，当上行数据包的源地址与PDR所包括的第一PDU会话的IP地址相匹配时，第一用户面网元根据该PDR对应的FAR，将上行数据包的源地址修改为第二PDU会话的IP地址，并将修改后的上行数据包发送给第二网络。

可选的，第二路由规则还用于指示将下行数据包的目的地址从第二PDU会话的IP地址修改为第一PDU会话的IP地址，并将修改后的上行数据包发送给服务于终端设备的接入网设备。

又例如，对于下行数据包，第二路由规则中的PDR可以包括第二PDU会话的IP地址，PDR对应的FAR可以包括第一PDU会话的IP地址。基于该第二路由规则，当下行数据包的目的地址与PDR所包括的第二PDU会话的IP地址相匹配时，第一用户面网元根据该PDR对应的FAR，将下行数据包的目的IP地址修改为第一PDU会话的IP地址，并将修改后的下行数据包发送给服务于终端设备的接入网设备。接入网设备将下行数据包转发给终端设备。

上述第一用户面网元和第一会话管理网元属于第一网络。示例性的，第一用户面网元可以为UPF或者未来网络中承担用户面功能的网元。第一会话管理网元可以为SMF或者未来网络中承担会话管理功能的网元。

在第一PDU会话建立成功的情况下，第一接入管理网元可以执行下述步骤S403。

S403、第一接入管理网元向终端设备发送第九消息。相应的，终端设备接收第一接入管理网元发送的第九消息。

其中，第九消息用于表示第一PDU会话建立成功。

基于图11所示的实施例，在第二PDU会话建立成功的情况下，第一接入管理网元发起第一PDU会话的建立流程，以建立第一PDU会话。从而，可以实现将第一PDU会话和第二PDU会话进行关联，从而打通终端设备到第二网络的数据通道。

以下针对图11所示的网络互通方法应用在图7(a)或图7(b)所示的第一网络和第二网络的互通架构下的具体实现进行说明。

如图12所示，该网络互通方法包括以下步骤：

S501、可以参考图11中的步骤S101。

S502、可以参考图11中的步骤S102。

S503、第二接入管理网元选择第二会话管理网元。

S504、第二接入管理网元向第二会话管理网元发送PDU会话上下文创建请求消息。相应的，第二会话管理网元从第二接入管理网元接收PDU会话上下文创建请求消息。

其中，PDU会话上下文创建请求消息包括第二PDU会话的标识。

示例性的，PDU会话上下文创建请求消息可以有其他名称，例如Nsmf_PDUSession_CreateSMContext Request，对此不作限定。

基于PDU会话上下文创建请求消息，第二会话管理网元可以创建第二PDU会话的上下文。

S505、第二会话管理网元向第二接入管理网元发送PDU会话上下文创建响应消息。相应的，第二接入管理网元从第二会话管理网元接收PDU会话上下文创建响应消息。

S506、第二会话管理网元选择第二用户面网元。

第二会话管理网元会配置第二PDU会话的IP地址。

S507、第二会话管理网元向第二用户面网元发送N4会话建立/修改请求(N4 Session Establishment/Modification Request)消息。相应的，第二用户面网元从第二会话管理网元接收N4会话建立/修改请求消息。

其中，N4会话建立/修改请求消息用于建立第二PDU会话的N4会话的上下文。

在本申请实施例中，N4会话建立/修改请求消息包括第二PDU会话的IP地址。

应理解，N4会话建立/修改请求消息可以包括第三路由规则。第三路由规则用于将第二PDU会话的下行数据包发送给N3IWF；或者说，第三路由规则用于将目的地址为第二PDU会话的IP地址的下行数据包发送给N3IWF。

S508、第二用户面网元向第二会话管理网元发送N4会话建立/修改响应(N4 Session Establishment/Modification Response)消息。相应的，第二会话管理网元从第二用户面网元接收N4会话建立/修改响应消息。

S509、第二会话管理网元向第二接入管理网元发送Namf_Communication_N1N2MessageTransfer消息。相应的，第二接入管理网元接收第二会话管理网元发送的Namf_Communication_N1N2MessageTransfer消息。

其中，Namf_Communication_N1N2MessageTransfer消息包括第二PDU会话的标识、N2会话管理(session management，SM)信息，以及N1 SM容器(container)。

示例性的，N2 SM信息可以包括第二PDU会话的标识，服务质量(quality of service，QoS)配置信息，核心网(core network，CN)隧道信息和第二PDU会话的类型。应理解，N2 SM信息还可以直接包括上述第一路由规则，或者用于配置第一路由规则的参数(如第二PDU会话的IP地址等)。

示例性的，N1 SM容器可以包括PDU会话建立接受(PDU session establishment accept)消息。其中，PDU会话建立接受消息可以包括QoS规则、第二PDU会话的类型和第二PDU会话的IP地址。应理解，N1 SM容器还可以包括其他参数，在此不一一列举。

S510、第二接入管理网元向N3IWF发送N2 PDU会话建立请求消息。相应的，N3IWF接收第二接入管理网元发送的N2 PDU会话建立请求消息。

其中，N2 PDU会话建立请求消息包括N2 SM信息以及NAS消息。NAS消息包括第二PDU会话的标识以及N1 SM容器。

可选的，基于N2 SM信息，N3IWF可以从N2 SM消息中获取第一路由规则。或者，N3IWF可以根据N2 SM信息所包括的用于配置第一路由规则的参数，配置第一路由规则。

示例性的，在图7(a)或图7(b)所示架构中，第一路由规则用于指示将源地址为第二PDU会话的IP地址的上行数据包转发给第二用户面网元。或者，第一路由规则用于指示将目的地址为第二PDU会话的IP地址的下行数据包转发给第一用户面网元。

S511、N3IWF向第一接入管理网元发送NAS消息。相应的，第一接入管理网元接收N3IWF发送的NAS消息。

示例性的，基于图7(a)所示的架构，N3IWF向第一接入管理网元发送该NAS消息。

示例性的，基于图7(b)所示的架构，N3IWF向第一用户面网元发送该NAS消息，第一用户面网元向第一会话管理网元发送该NAS消息，第一会话管理网元向第一接入管理网元发送该NAS消息。

应理解，步骤S510和步骤S511可以使得第二接入管理网元向第一接入管理网元发送PDU会话建立接受消息，相当于实现了图11中的步骤S401。

在完成步骤S511之后，N3IWF可以向第二接入管理网元发送N2 PDU会话建立响应消息。

应理解，上述步骤S502-S511仅是介绍了第二PDU会话建立流程中的一些步骤，第二PDU会话建立流程还可以包括其他步骤，对此不作限定。

S512、第一接入管理网元选择第一会话管理网元。

S513、第一接入管理网元向第一会话管理网元发送PDU会话上下文创建请求消息。相应的，第一会话管理网元从第一接入管理网元接收PDU会话上下文创建请求消息。

其中，PDU会话上下文创建请求消息包括第一PDU会话的标识和第二PDU会话的IP地址。

基于PDU会话上下文创建请求消息，第一会话管理网元可以创建第一PDU会话的上下文。

S514、第一会话管理网元向第一接入管理网元发送PDU会话上下文创建响应消息。相应的，第一接入管理网元从第一会话管理网元接收PDU会话上下文创建响应消息。

S515、第一会话管理网元选择第一用户面网元。

第一会话管理网元配置第一PDU会话的IP地址。

S516、第一会话管理网元向第一用户面网元发送N4会话建立/修改请求消息。相应的，第一用户面网元从第一会话管理网元接收N4会话建立/修改请求消息。

其中，N4会话建立/修改请求消息用于建立第一PDU会话的N4会话的上下文。

在本申请实施例中，该N4会话建立/修改请求消息包括第一PDU会话的IP地址和第二PDU会话的IP地址。

示例性的，N4会话建立/修改请求消息包括第二路由规则。其中，第二路由规则的具体描述可以参考前文的具体介绍，在此不再赘述。

S517、第一用户面网元向第一会话管理网元发送N4会话建立/修改响应消息。相应的，第二会话管理网元从第二用户面网元接收N4会话建立/修改响应消息。

S518、第一会话管理网元向第一接入管理网元发送Namf_Communication_N1N2MessageTransfer消息。相应的，第一接入管理网元接收第一会话管理网元发送的Namf_Communication_N1N2MessageTransfer消息。

其中，Namf_Communication_N1N2MessageTransfer消息包括第一PDU会话的标识、N2会话管理(session management，SM)信息，以及N1 SM容器(container)。

示例性的，N2 SM信息可以包括第一PDU会话的标识，服务质量(quality of service，QoS)配置信息，核心网(core network，CN)隧道信息和第一PDU会话的类型。应理解，N2 SM信息还可以包括第四路由规则，或者用于配置第四路由规则的参数(例如第一PDU会话的IP地址)。第四路由规则用于第一接入网设备转发第一PDU会话的数据包。

示例性的，N1 SM容器可以包括PDU会话建立接受(PDU session establishment accept)消息。其中，PDU会话建立接受消息可以包括QoS规则、第一PDU会话的类型和第一PDU会话的IP地址。应理解，N1 SM容器还可以包括其他参数，在此不一一列举。

S519、第一接入管理网元向第一接入网设备发送N2 PDU会话建立请求消息。相应的，第一接入网设备接收第一接入管理网元发送的N2 PDU会话建立请求消息。

其中，N2 PDU会话建立请求消息包括N2 SM信息以及NAS消息。NAS消息包括第一PDU会话的标识以及N1 SM容器。

基于N2 SM信息，第一接入网设备可以从N2 SM信息获取第四路由规则；或者，第一接入网设备用于根据N2 SM信息所包括的用于配置第四路由规则的参数，配置第四路由规则。

其中，第四路由规则用于指示将源地址为第一PDU会话的IP地址的上行数据包转发给第一用户面网元。

第四路由规则还用于指示将目的地址为第一PDU会话的IP地址的下行数据包转发给终端设备。

S520、第一接入网设备向终端设备发送NAS消息。相应的，终端设备从第一接入网设备接收NAS消息。

其中，NAS消息包括N1 SM容器，N1 SM容器包括PDU会话建立接受消息。

应理解，步骤S519和S520可以使得第一接入管理网元向终端设备发送PDU会话建立接受消息，相当于实现了图11中的S402。

在步骤S520之后，第一接入网设备可以向第一接入管理网元发送N2 PDU会话建立响应消息。

应理解，上述步骤S512-S520仅介绍了第一PDU会话的建立流程中的一部分步骤，第一PDU会话的建立流程还可以有其他步骤，对不作限定。

基于图12所示的实施例，基于图7(a)或图7(b)所示的架构下，通过在第一网络中建立第一PDU会话，在第二网络中建立第二PDU会话，并将第一PDU会话和第二PDU会话关联起来(例如第一用户面网元获取第一PDU会话的IP地址和第二PDU会话的IP地址)。从而，终端设备可以通过第一网络传输数据到第二网络，或者终端设备可以通过第一网络接收到第二网络下发的数据。

基于图12所示的实施例，以下结合图13(a)来具体说明上行数据在图7(a)或图7(b)所示的架构下的传输流程。如图13(a)所示，该方法包括以下步骤：

S601、终端设备向第一接入网设备发送第一数据包。

其中，该第一数据包可以包括第一PDU会话的IP地址。

S602、第一接入网设备向第一用户面网元发送第一数据包。

作为一种可能的实现方式，第一接入网设备基于第一PDU会话建立流程中配置的路由规则，将第一数据包转发给第一用户面网元。

S603、第一用户面网元基于第一数据包，向N3IWF发送第二数据包。

作为一种可能的实现方式，第一用户面网元将第一数据包中的第一PDU会话的IP地址替换为第二PDU的IP地址，生成第二数据包；第一用户面网元通过与N3IWF之间预设的安全隧道向N3IWF发送第二数据包。

S604、N3IWF向第二用户面网元发送第二数据包。

作为一种可能的实现方式，N3IWF基于第二PDU会话建立流程中配置的路由规则，将第二数据包转发给第二用户面网元。

可选的，第二用户面网元接收到第二数据包之后，可以将第二数据包转发到相应的数据网络中。

基于图13(a)所示实施例，终端设备可以通过第一网络向第二网络发送数据。

基于图12所示的实施例，以下结合图13(b)来具体说明下行数据在图7(a)或图7(b)所示的架构下的传输流程。如图13(b)所示，该方法包括以下步骤：

S701、第二用户面网元向N3IWF发送第三数据包。

其中，第三数据包包括第二PDU会话的IP地址。

可选的，第三数据包可以是数据网络发送给第二用户面网元的。

S702、N3IWF向第一用户面网元发送第三数据包。

作为一种可能的实现方式，N3IWF通过与第一用户面网元之间预先建立的安全隧道，向第一用户面网元发送第三数据包。

可选的，N3IWF根据第二PDU会话建立流程中配置的第一路由规则，将第三数据包转发给第一用户面网元。

S703、第一用户面网元基于第三数据包，向第一接入网设备发送第四数据包。

作为一种可能的实现方式，第一用户面网元将第三数据包中的第二PDU会话的IP 地址替换为第一PDU会话的IP地址，生成第四数据包；第一用户面网元基于第一PDU会话建立流程中配置的第二路由规则，向第一接入网设备发送第四数据包。

S704、第一接入网设备向终端设备发送第四数据包。

基于图13(b)所示实施例，终端设备可以通过第一网络从第二网络获取到数据。

以下针对图11所示的网络互通方法应用在图7(c)所示的第一网络和第二网络的互通架构下的具体实现进行说明。如图14所示，该网络互通方法包括以下步骤：

S801-S814、与步骤S510-S514相似，其具体描述可以参考图12所示的实施例，在此不再赘述。

可选的，S810中，基于N2 SM信息，N3IWF可以从N2 SM消息中获取第一路由规则。或者，N3IWF可以根据N2 SM信息所包括的用于配置第一路由规则的参数，配置第一路由规则。

示例性的，在图7(c)所示架构中，第一路由规则则用于指示将源地址为第二PDU会话的IP地址的上行数据包转发给第二用户面网元。或者，第一路由规则用于指示将目的地址为第二PDU会话的IP地址的下行数据包转发给第一接入管理网元。

可选的，在步骤S813中，第一接入管理网元向第一会话管理网元发送的PDU会话上下文创建请求消息可以包括第三指示信息，第三指示信息用于指示由第一接入管理网元来负责传输第一PDU会话的数据包。从而，第一会话管理网元可以不用选择第一用户面网元，以及不用执行与第一用户面网元的交互操作(例如向第一用户面网元发送N4会话建立/修改请求消息，或者从第一用户面网元接收N4会话建立/修改响应消息)。

可选的，在步骤S813之后，第一会话管理网元也可以选择第一用户面网元，并执行与第一用户面网元的交互操作。应理解，在图7(c)所示架构中，即使第一会话管理网元选择第一用户面网元，第一用户面网元实际上并不能用于负责数据包在第一PDU会话和第二PDU会话之间的传输。

S815、第一会话管理网元向第一接入管理网元发送Namf_Communication_N1N2MessageTransfer消息。相应的，第一接入管理网元接收第一会话管理网元发送的Namf_Communication_N1N2MessageTransfer消息。

可选的，在接收到Namf_Communication_N1N2MessageTransfer消息之后，第一接入管理网元可以配置第五路由规则，第五路由规则用于第一接入管理网元负责数据包在第一PDU会话和第二PDU会话之间的转发。

示例性的，第五路由规则用于上行数据包的源地址从第一PDU会话的IP地址修改为第二PDU会话的IP地址，并将修改后的上行数据包转发给第二网络(例如N3IWF或者第二用户面网元)。

示例性的，第五路由规则还用于将下行数据包的目标IP地址从第二PDU会话的IP地址修改为第一PDU会话的IP地址，并将修改后的下行数据包转发给第一接入网设备。

S812-S815可选。S816-S817、可以参考图11中的步骤S519-S520。

基于图14所示的实施例，在图7(c)所示的架构下，在第一网络中建立基于控制面的第一PDU会话，在第二网络中建立基于用户面的第二PDU会话。从而，终端设备可以通过第一网络传输数据到第二网络，以及终端设备可以通过第一网络接收到第二网络下发的数据。

基于图14所示的实施例，以下结合图15(a)来具体说明上行数据在图7(c)所示的架构下的传输流程。如图15(a)所示，该方法包括以下步骤：

S901、终端设备向第一接入网设备发送NAS消息。

其中，NAS消息包括第一PDU会话的标识和第一数据包。

S902、第一接入网设备向第一接入管理网元发送NAS消息。

应理解，对于NAS消息，第一接入网设备仅在终端设备和第一接入管理网元之间进行透传，不会对NAS消息进行其他处理。

S903、第一接入管理网元根据NAS消息，向N3IWF发送第二数据包。

作为一种可能的实现方式，第一接入管理网元将第一数据包中的第一PDU会话的IP地址替换为第二PDU的IP地址，生成第二数据包。第一接入管理网元通过与N3IWF之间的安全隧道，向N3IWF发送第二数据包。

S904、N3IWF向第二用户面网元发送第二数据包。

基于图15(a)所示实施例，终端设备可以通过第一网络向第二网络发送数据。

基于图14所示的实施例，以下结合图15(b)来具体说明下行数据在图7(c)所示的架构下的传输流程。如图15(b)所示，该方法包括以下步骤：

S1001、第二用户面网元向N3IWF发送第三数据包。

其中，第三数据包包括第二PDU会话的IP地址。

S1002、N3IWF向第一接入管理网元发送第三数据包。

作为一种可能的实现方式，N3IWF通过与第一接入管理网元之间预先建立的安全隧道，向第一接入管理网元发送第三数据包。

可选的，N3IWF根据第二PDU会话建立流程中配置的第一路由规则，将第三数据包转发给第一接入管理网元。

S1003、第一接入管理网元基于第三数据包，向第一接入网设备发送下行NAS传输(downlink NAS transport)消息。

其中，下行NAS传输(downlink NAS transport)消息包括第一PDU会话的标识以及第四数据包。

可选的，第一接入管理网元将第三数据包中的第二PDU会话的IP地址替换为第一PDU会话的IP地址，生成第四数据包。

S1004、第一接入网设备向终端设备发送无线资源控制(radio resource control，RRC)下行消息。

其中，RRC下行消息包括第四数据包。

基于图15(b)所示的实施例，终端设备能够通过第一网络接收第二网络下的数据。

以下结合图16，举例说明PDU会话建立场景下的另一种网络互通的方法。如图12所示，该方法包括：

S101：可以参考图11中S101的描述。

S102：可以参考图11中S102的描述。

可选的，在第二PDU会话建立失败的情况下，该方法还可以包括以下步骤：

S1101、第二接入管理网元向第一接入管理网元发送第十消息。相应的，第一接入管理网元接收第二接入管理网元发送的第十消息。

其中，第十消息用于表示第二PDU会话建立失败。

S1102、第一接入管理网元根据第十消息，向终端设备发送第十一消息。相应的，终端设备接收第一接入管理网元发送的第十一消息。

其中，第十一消息用于表示第一PDU会话建立失败。

基于图16所示的实施例，在第二PDU会话建立失败的情况下，第一接入管理网元仅需要向终端设备发送第十一消息，而不用执行相关技术中PDU会话建立流程中的一些其他步骤，从而有利于节省信令开销以及相应的资源消耗。

可选的，在实际应用中，一些情况下，终端设备需要具备通过第一网络接入第二网络的权限，以使用第二网络提供的服务。示例性的，以第一网络为私网，第二网络为公网为例，在员工需要与客户进行视频会议时，员工使用的终端设备需要具备从公司的私网接入公网的权限，以便于通过公网与客户使用的终端设备建立视频会议的相关连接。

在另一些情况下，终端设备不需要具备通过第一网络接入第二网络的权限，以保证私密性。示例性的，以第一网络为私网，第二网络为公网为例，在员工在进行技术开发时，需要禁止员工使用的终端设备通过公司的私网接入公网，以避免技术泄露。

可见，在实际应用中，有必要对终端设备是否具备通过第一网络接入第二网络的权限进行管控，以满足在不同场景下的使用需求。

对此，本申请实施例提供如下图17和图19所示的技术方案。其中，图17所示的技术方案用于开启终端设备接入第一切片的权限。图19所示的技术方案用于关闭终端设备接入第一切片的权限。这样一来，可以通过对终端设备接入第一切片的权限进行管控，来间接实现对终端设备具备通过第一网络接入第二网络的权限的管控。

应理解，图17或图19所示的技术方案可以和前述图8-图16所示的技术方案中的任意一个相互结合使用。

如图17所示，为本申请实施例提供的一种网络互通的方法，该方法包括以下步骤：

S1201、第一接入管理网元确定开启终端设备接入第一切片的权限。

应理解，开启还可以替换为提供(provide)，授予(grant)，接受(accept)，使能(able)、激活(activate)等类似描述，对此不作限定。

可选的，步骤S601可以采用以下实现方式中的任意一种：

实现方式一、第一接入管理网元接收管理系统发送的第一指示信息，第一指示信息用于指示开启终端设备接入第一切片的权限。

示例性的，上述管理系统可以为操作维护管理(operation administration and maintenance)系统。

实现方式二、第一接入管理网元根据本地配置的策略，确定开启终端设备接入第一切片的权限。

示例性的，上述本地配置的策略可以基于时间或者终端设备所处的位置来确定。

实现方式三、第一接入管理网元接收第二接入管理网元发送的第十四消息。其中，第十四消息用于指示开启第一切片对应的一个或多个第二切片的接入权限。

S1202、第一接入管理网元向终端设备发送第十二消息。相应的，终端设备接收第一接入管理网元发送的第十二消息。

其中，第十二消息用于指示开启终端设备接入第一切片的权限。

一种可能的实现方式中，第十二消息包括allowed NSSAI，allowed NSSAI包括第一切片的S-NSSAI。

示例性的，第十二消息可以为用户设备配置更新命令(UE configuration update command)消息或者下行NAS传输消息(DL NAS transport message)或者其它的NAS消息。

可选的，在执行步骤S602之前，第一接入管理网元还可以先向第二接入管理网元发送注册请求消息，该注册请求消息的具体实现可以参考上述注册场景中的第二消息。之后，在第一接入管理网元接收到第二接入管理网元发送的注册接受消息之后，第一接入管理网元再执行步骤S602。

基于图17所示的实施例，第一接入管理网元通过第十二消息，使得终端设备获知自身具备接入第一切片的权限。从而，终端设备在本地维护的allowed NSSAI包括第一切片的S-NSSAI。进而，在终端设备需要使用第二网络的相关业务的情况下，终端设备可以发起接入第一切片的相关流程(例如图8中的步骤S101)。

以下结合图18，举例说明注册场景下另一种网络互通的方法。如图18所示，该方法包括：

S1301：可以参考图17中的S1201的描述。

S1302、可以参考图9中的S102的描述。

S1303、可以参考图9中的S201的描述。

S1304、可以参考图17中的S1202的描述。

基于图18所示，在第一接入管理网元确定开启终端设备接入第一切片的权限的情况下，第一接入管理网元先向第二接入管理网元请求接入第二网络。在允许接入第二网络的情况下，第一接入管理网元向终端设备发送第十二消息，以开启终端设备接入第一切片的权限。这样一来，保证终端设备在后续需要接入第一切片的情况下，终端设备可以接入第一切片。

可选的，在注册流程中，若第二接入管理网元向第一接入管理网元指示不允许接入第二网络，或者不允许使用第二网络的业务，则第一接入管理网元不向终端设备发送第十二消息，以避免终端设备发起不必要的流程(例如接入第一切片的相关流程)，从而减少不必要的信令开销。

如图19所示，为本申请实施例提供的一种网络互通的方法，该方法包括以下步骤：

S1401、第一接入管理网元确定关闭终端设备接入第一切片的权限。

应理解，上述关闭可以采用其他描述方式，例如不提供(Not provide)，废除/撤销(revoke)，拒绝(reject)，禁用(disable)，去激活(dis activate)，本申请实施例对此不作限制。

可选的，步骤S1401可以采用以下实现方式中的任意一种：

实现方式一、第一接入管理网元接收管理系统发送的第二指示信息，该第二指示信息用于指示关闭终端设备接入第一切片的权限。

实现方式二、第一接入管理网元根据本地配置的策略，确定关闭终端设备接入第一切片的权限。

实现方式三、第一接入管理网元接收第二接入管理网元发送的第十五消息，该第十五消息用于关闭第一切片对应的所有第二切片的权限。

可选的，在确定关闭终端设备接入第一切片的权限之后，若终端设备在第一切片上建立有第一PDU会话，第一接入管理网元需要执行相应的PDU会话释放流程，以释放第一PDU会话和第二PDU会话。

可选的，在确定关闭终端设备接入第一切片的权限之后，第一接入管理网元可以发起第二网络中与第二身份信息关联的去注册流程。示例性的，第一接入管理网元向第二接入管理网元发送去注册请求消息；之后，第一接入管理网元接收第二接入管理网元发送的去注册完成消息。

可选的，在多个终端设备的身份信息关联同一个第二身份信息的情况下，若多个终端设备中存在至少一个终端设备具备接入第一切片的权限，则第一接入管理网元不应该发起第二网络中与第二身份信息关联的去注册流程。这样一来，避免影响到具备接入第一切片权限的终端设备的正常使用。

可选的，在接收到去注册完成消息之后，第一接入管理网元删除第二身份信息相关的安全上下文信息等。这样可以避免第一接入管理网元存储不必要的信息，节省第一接入管理网元的存储空间。

可选的，在接收到去注册完成消息之后，第一接入管理网元还可以删除第二身份信息与第一切片的标识信息之间的关联关系。这样相当于将第二身份信息与第一切片进行解耦，第一接入管理网元可以使用第二身份信息绑定其他网络切片。

可选的，在接收到去注册完成消息之后，第一接入管理网元还可以删除第二身份信息与第一身份信息之间的关联关系。这样相当于将第二身份信息进行回收，第一接入管理网元可以使用第二身份信息来代理第一网络中的其他终端设备去接入第二网络。

S1402、第一接入管理网元向终端设备发送第十三消息。相应的，终端设备接收第一接入管理网元发送的第十三消息。

其中，第十三消息用于指示关闭终端设备接入第一切片的权限。

一种可能的实现方式中，第十三消息包括rejected NSSAI，该rejected NSSAI包括第一切片的S-NSSAI。

示例性的，第十三消息可以为用户设备配置更新命令(UE configuration update command)消息或者下行NAS传输消息(DL NAS transport message)或者其它的NAS消息。

基于图19所示的实施例，第一接入管理网元可以通过第十三消息，关闭终端设备接入第一切片的权限，实现对终端设备接入第一切片的管控。

上述主要从方法的角度对本申请实施例提供的方案进行了介绍。可以理解的是，第一接入管理网元和终端设备为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的技术方案的范围。

本申请实施例可以根据上述方法示例对第一接入管理网元和终端设备进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

如图20所示，为本申请实施例提供的一种通信装置，该通信装置包括处理模块201和通信模块202。

示例性的，以通信装置为第一接入管理网元为例，处理模块201用于解析消息(例如第一消息等)，生成消息(例如第二消息等)，图11中的步骤S402，图12中的步骤S512，图17中的步骤S1201，图18中的步骤S1301，图19中的步骤S1401，以及第一接入管理网元需要执行的其他处理操作。通信模块202用于执行图8中的步骤S101-S102，图9中的步骤S201-S202，图10中的步骤S301-S302，图11中的步骤S401和S403，图12中的步骤S501、S502、S511、S513、S514、S518和S519，图14中的步骤S801、S802、S811和S812，图15(a)中的步骤S902和S903，图15(b)中的步骤S1002和S1003，图16中的步骤S1101和S1102，图17中的步骤S1202，图18中的步骤S1302-S1304，图19中的步骤S1402，和/或第一接入管理网元需要执行的其他通信操作。

示例性的，以通信装置为终端设备为例，处理模块201用于生成消息(例如第一消息等)，解析消息(例如第六消息等)，和/或终端设备需要执行的其他处理操作。通信模块202用于执行图8中的步骤S101，图9中的步骤S202，图10中的步骤S302，图11中的步骤S403，图12中的步骤S501和S520，图13(a)中的步骤S601，图13(b)中的步骤S704，图14中的步骤S801和S812，图15(a)中的步骤S901，图15(b)中的步骤S1004，图16中的步骤S1102，图17中的步骤S1202，图18中的步骤S1304，图19中的步骤S1402，和/或终端设备需要执行的其他通信操作。

示例性的，以通信装置为N3IWF为例，处理模块201用于在在第二网络为终端设备建立第二PDU会话的过程中，获取第一路由规则，第一路由规则用于转发第二PDU会话的数据包。通信模块202用于根据第一路由规则，转发第二PDU会话的数据包。

一种可能的设计中，第一路由规则用于指示将源地址为第二PDU会话的IP地址的上行数据包转发给服务于第二PDU会话的第二用户面网元。

一种可能的设计中，通信模块202，具体用于从第一网络的第一用户面网元或者第一接入管理网元接收第二PDU会话的上行数据包；根据第一路由规则，向服务于第二PDU会话的第二用户面网元发送第二PDU会话的上行数据包。

一种可能的设计中，第一路由规则还用于指示将目的地址为第二PDU会话的IP地址的下行数据包转发给第一网络中的第一接入管理网元或第一用户面网元。

一种可能的设计中，通信模块，具体用于从服务于第二PDU会话的第二用户面网元接收第二PDU会话的下行数据包；根据第一路由规则，向第一网络的第一用户面网元或者第一接入管理网元发送第二PDU会话的上行数据包。

可选，该通信装置还可以包括存储模块203，用于存储通信装置的程序代码和数据，数据可以包括不限于原始数据或者中间数据等。

其中，处理模块201可以是处理器或控制器，例如可以是中央处理器(Central Processing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。

通信模块202可以是通信接口、收发器或收发电路等。以下以通信模块202为通信接口为例进行说明。在具体实现中，该通信接口可以包括多个接口，例如可以包括：基站和终端之间的接口和/或其他接口。

存储模块203可以是存储器。

当处理模块201为处理器，通信模块202为通信接口，存储模块203为存储器时，本申请实施例所涉及的通信装置可以为图21所示。

参阅图21所示，该通信装置包括：处理器301、通信接口302、存储器303。可选的，通信装置还可以包括总线304。其中，通信接口302、处理器301以及存储器303可以通过总线304相互连接；总线304可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。所述总线304可以分为地址总线、数据总线、控制总线等。为便于表示，图21中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，本申请实施例还提供一种携带计算机指令的计算机程序产品，当该计算机指令在计算机上运行时，使得计算机执行上述图8-图19中的方法。

可选的，本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，当该计算机指令在计算机上运行时，使得计算机执行上述图8-图19中的方法。

可选的，本申请实施例还提供一种芯片，包括：处理电路和收发管脚，处理电路和收发管脚用于实现上述图8-图19中的方法。其中，处理电路用于执行相应方法中的处理动作，收发管脚用于执行相应方法中的接收/发送的动作。

可选的，本申请实施例还提供一种通信系统，该通信系统包括第一接入管理网元和N3IWF。第一接入管理网元用于执行上述图8-图19所示的任一方法。N3IWF用于执行图12至图15(b)所示的任一方法。

本领域普通技术人员可以理解：在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，DVD))、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个设备上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个功能单元独立存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种网络互通的方法，其特征在于，所述方法包括：

第一网络中的第一接入管理网元接收终端设备发送的第一切片的标识信息，所述第一切片是与第二网络的业务相关的切片；

所述第一接入管理网元根据所述第一切片的标识信息，向所述第二网络中的第二接入管理网元请求接入所述第二网络。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一接入管理网元获取第一身份信息；

所述第一接入管理网元向所述第二接入管理网元发送第二身份信息，所述第一身份信息用于在所述第一网络中标识所述终端设备，所述第一身份信息不同于所述第二身份信息。
根据权利要求2所述的方法，其特征在于，所述第一身份信息为国际移动用户识别码IMSI、用户永久标识符SUPI、用户隐藏标识符SUCI和全局唯一的临时用户设备标识GUTI中的至少一项；第二身份信息为以下中的至少一项：IMSI、SUPI、SUCI和GUTI中的至少的一项。
根据权利要求2或3所述的方法，其特征在于，所述方法还包括：

所述第一接入管理网元建立所述第一身份信息和所述第二身份信息之间的关联关系。
根据权利要求1至4任一项所述的方法，其特征在于，所述第一切片是所述第一网络中的切片，所述第一接入管理网元根据所述第一切片的标识信息向所述第二网络中的第二接入管理网元请求接入所述第二网络，包括：

所述第一接入管理网元根据所述第一切片的标识信息向所述第二网络中的第二接入管理网元请求接入所述第二网络的第二切片，所述第二切片与所述第一切片相关联。
根据权利要求1至5任一项所述的方法，其特征在于，所述第一切片的标识信息包括在第一消息中，所述第一消息用于请求注册到所述第一网络。
根据权利要求6所述的方法，其特征在于，所述第一接入管理网元根据所述第一切片的标识信息，向所述第二网络中的第二接入管理网元请求接入所述第二网络，包括：

所述第一接入管理网元根据所述第一切片的标识信息向所述第二网络中的第二接入管理网元发送第二消息，所述第二消息用于请求注册到所述第二网络。
根据权利要求7所述的方法，其特征在于，所述方法还包括：

所述第一接入管理网元接收所述第二接入管理网元发送的第三消息，所述第三消息用于表示注册成功；

所述第一接入管理网元根据所述第三消息，向所述终端设备发送第四消息，所述第四消息用于表示允许所述终端设备具有接入所述第一切片的权限。
根据权利要求8所述的方法，其特征在于，所述第四消息用于允许所述终端设备具有接入所述第一切片的权限，包括：

所述第四消息包括所述第一切片的标识信息。
根据权利要求1至6任一项所述的方法，其特征在于，所述第一切片的标识信息包括在第一消息中，所述第一消息用于请求建立所述第一切片关联的第一协议数据单元PDU会话。
根据权利要求10所述的方法，其特征在于，所述第一接入管理网元根据所述第一切片的标识信息向所述第二网络中的第二接入管理网元请求接入所述第二网络，包括：

所述第一接入管理网元根据所述第一切片的标识信息，向所述第二网络中的第二接入管理网元发送第二消息，所述第二消息用于请求建立与第一切片相关的第二PDU会话。
根据权利要求11所述的方法，其特征在于，所述第一消息包括所述第一PDU会话的标识，所述第二消息包括所述第二PDU会话的标识。
根据权利要求11或12所述的方法，其特征在于，所述方法还包括：

所述第一接入管理网元接收所述第二接入管理网元发送的第七消息，所述第七消息用于表示所述第二PDU会话建立成功；

所述第一接入管理网元根据所述第七消息，向所述终端设备发送第九消息，所述第九消息用于表示所述第一PDU会话建立成功。
根据权利要求13所述的方法，其特征在于，所述方法还包括：

所述第一接入管理网元从所述第二接入管理网元获取所述第二PDU会话的IP地址；

所述第一接入管理网元向所述第一网络中的第一用户面网元发送所述第二PDU会话的IP地址。
根据权利要求1至14任一项所述的方法，其特征在于，所述方法还包括：

所述第一接入管理网元确定开启所述终端设备接入所述第一切片的权限；

所述第一接入管理网元向所述终端设备发送第十二消息，所述第十二消息用于指示开启所述终端设备接入所述第一切片的权限。
根据权利要求15所述的方法，其特征在于，所述第十二消息用于指示开启所述第一切片的权限，包括：

所述第十二消息包括所述第一切片的标识信息。
根据权利要求1至16任一项所述的方法，其特征在于，所述第一网络为公共网络，所述第二网络为非公共网络；或者，所述第一网络为非公共网络，所述第二网络为公共网络。
一种通信装置，其特征在于，所述通信装置部署在第一网络中，所述通信装置包括通信模块和处理模块；

所述通信模块，用于接收终端设备发送的第一切片的标识信息，所述第一切片是与第二网络的业务相关的切片；

所述处理模块，用于根据所述第一切片的标识信息，控制所述通信模块向所述第二网络中的第二接入管理网元请求接入所述第二网络。
根据权利要求18所述的装置，其特征在于，

所述处理模块，还用于获取第一身份信息；

所述通信模块，还用于向所述第二接入管理网元发送第二身份信息，所述第一身份信息用于在所述第一网络中标识所述终端设备，所述第一身份信息不同于所述第二身份信息。
根据权利要求19所述的装置，其特征在于，所述第一身份信息为国际移动用户识别码IMSI、用户永久标识符SUPI、用户隐藏标识符SUCI和全局唯一的临时用户设备标识GUTI中的至少一项；第二身份信息为IMSI、SUPI、SUCI和GUTI中的至少一项。
根据权利要求19或20所述的装置，其特征在于，

所述处理模块，还用于建立所述第一身份信息和所述第二身份信息之间的关联关系。
根据权利要求18至21任一项所述的装置，其特征在于，所述第一切片是所述第一网络中的切片；

所述处理模块，具体用于根据所述第一切片的标识信息，控制所述通信模块向所述第二网络中的第二接入管理网元请求接入所述第二网络的第二切片，所述第二切片与所述第一切片相关联。
根据权利要求18至22任一项所述的装置，其特征在于，所述第一切片的标识信息包括在第一消息中，所述第一消息用于请求注册到所述第一网络。
根据权利要求23所述的装置，其特征在于，

所述处理模块，具体用于根据所述第一切片的标识信息，控制所述通信模块向所述第二网络中的第二接入管理网元发送第二消息，所述第二消息用于请求注册到所述第二网络。
根据权利要求24所述的装置，其特征在于，

所述通信模块，还用于接收所述第二接入管理网元发送的第三消息，所述第三消息用于表示注册成功；根据所述第三消息，向所述终端设备发送第四消息，所述第四消息用于表示允许所述终端设备具有接入所述第一切片的权限。
根据权利要求25所述的装置，其特征在于，所述第四消息用于允许所述终端设备具有接入所述第一切片的权限，包括：

所述第四消息包括所述第一切片的标识信息。
根据权利要求18至22任一项所述的装置，其特征在于，所述第一切片的标识信息包括在第一消息中，所述第一消息用于请求建立所述第一切片关联的第一协议数据单元PDU会话。
根据权利要求27所述的装置，其特征在于，

所述处理模块，具体用于根据所述第一切片的标识信息，控制所述通信模块向所述第二网络中的第二接入管理网元发送第二消息，所述第二消息用于请求建立第二PDU会话。
根据权利要求28所述的装置，其特征在于，所述第一消息包括所述第一PDU会话的标识，所述第二消息包括所述第二PDU会话的标识。
根据权利要求28或29所述的装置，其特征在于，

所述通信模块，还用于接收所述第二接入管理网元发送的第七消息，所述第七消息用于表示所述第二PDU会话建立成功；根据所述第七消息，向所述终端设备发送第九消息，所述第九消息用于表示所述第一PDU会话建立成功。
根据权利要求30所述的装置，其特征在于，

所述通信模块，还用于从所述第二接入管理网元获取所述第二PDU会话的IP地址；向所述第一网络中的第一用户面网元发送所述第二PDU会话的IP地址。
根据权利要求18至31任一项所述的装置，其特征在于，

所述处理模块，还用于确定开启所述终端设备接入所述第一切片的权限；

所述通信模块，还用于向所述终端设备发送第十二消息，所述第十二消息用于指示开启所述终端设备接入所述第一切片的权限。
根据权利要求32所述的装置，其特征在于，所述第十二消息用于指示开启所述第一切片的权限，包括：

所述第十二消息包括所述第一切片的标识信息。
根据权利要求18至33任一项所述的装置，其特征在于，所述第一网络为公共网络，所述第二网络为非公共网络；或者，所述第一网络为非公共网络，所述第二网络为公共网络。
一种通信装置，其特征在于，包括处理器和存储器，所述存储器存储有计算机程序指令，所述处理器读取所述计算机程序指令时执行权利要求1至17任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机指令，当所述计算机指令在计算机上运行时，使得计算机执行如权利要求1至17任一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机指令，当所述计算机程序产品在计算机上运行时，使得计算机执行如权利要求1至17任一项所述的方法。
一种芯片，其特征在于，所述芯片包括处理电路和收发管脚；所述处理电路用于执行权利要求1至17中任一项所述的方法中的处理操作，所述收发管脚用于执行权利要求1至17中任一项所述的方法中的通信操作。