WO2023213184A1

WO2023213184A1 - 一种通信方法及通信装置

Info

Publication number: WO2023213184A1
Application number: PCT/CN2023/088762
Authority: WO
Inventors: 雷骜; 吴义壮; 崔洋
Original assignee: 华为技术有限公司
Priority date: 2022-05-06
Filing date: 2023-04-17
Publication date: 2023-11-09
Also published as: CN117062161A

Abstract

本申请实施例提供一种通信方法及通信装置，涉及通信技术领域。终端设备根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息；第一网络与第二网络不同；终端设备接收来自第二网络的认证请求后，根据第二认证信息与第二网络进行接入认证。本申请中，接入第二网络的第二认证信息是基于接入第一网络的第一认证信息确定的，该方式可降低接入认证的复杂度，提高数据处理效率。

Description

一种通信方法及通信装置

相关申请的交叉引用

本申请要求在2022年05月06日提交中国专利局、申请号为202210488537.1、申请名称为“一种通信方法及通信装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种通信方法及通信装置。

背景技术

公共安全隔离运营(isolated e-utran operation for public safety，IOPS)技术在第三代移动通信伙伴项目(3rd generation partnership project，3GPP)R13版本中引入长期演进技术(long term evolution，LTE)系统。LTE标准技术规范(technical specification，TS)23.401和TS33.401中对于IOPS场景的定义主要集中于用户设备(user equipment，UE)从宏网接入切换到IOPS网络。

UE在与宏网和IOPS网络进行主认证时，需要使用不同与宏网签约时的国际移动用户识别码(international mobile subscriber identity，IMSI)和不同的根密钥。即宏网核心网中只会存储UE与宏网进行主认证时使用的IMSI和根密钥，而IOPS核心网中只会存储UE与IOPS网络进行主认证时使用的IMSI和根密钥，UE在与不同网络进行主认证时，启用对应的IMSI和根密钥。

在执行IOPS的接入认证的时候，UE是通过将宏网的USIM app切换为IOPS USIM app方式选择到UE侧的IOPS密钥，UE侧密钥切换到IOPS app后使用IOPS app中的密钥，实现后续与IOPS网络进行接入认证。如果需要在UE上实现USIM app的切换，有两种可选的实现方式：

方式1.使用单一的UICC卡实现双USIM app功能，即在同一个UICC上安装两个USIM app，一个服务于宏网接入，一个专用于IOPS网络接入。UE在需要切换成USIM app时，指示UICC激活对应的USIM app。

方式2.使用不同的UICC卡实现双USIM app功能，即一张UICC卡上面安装用于宏网接入的USIM app，另一张UICC卡上面安装用于IOPS网络接入的USIM app。

发明内容

本申请提供一种通信方法及通信装置，以降低终端设备接入不同的网络的复杂度，提高数据处理效率。

第一方面，本申请提供一种通信方法，包括：

终端设备根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息；第一网络与第二网络不同；终端设备接收来自第二网络的认证请求后，根据第二认证信息与第二网络进行接入认证。

本申请中，终端设备根据终端设备与第一网络进行接入认证所用的第一认证信息确定终端设备与第二网络进行接入认证所用的第二认证信息可以理解为终端设备参考第一认证信息确定第二认证信息，或者基于第一认证信息中的某些参数推演获取第二认证信息，本申请在此不对如何确定第二认证信息进行限定。其中，第一网络和第二网络为两个不同的网络，通常是终端若可以接入两个网络需要由两个网络的运营商预配置两套不同的认证信息分别与对应的网络进行接入认证，但是本申请中，终端设备可基于某个网络的认证信息确定另一网络的认证信息，通过该方式可以减少接入认证的复杂度，且减少了设备数据计算量，且在终端设备中也无需存储大量的认证信息，还可以减少终端设备中的数据存储量，节约设备的存储空间，进一步地采用本申请的方案可以提高数据处理效率。

在一种可选的方式中，终端设备接收到来自第一网络的用于指示终端设备生成第二认证信息的指示信息的情况下，根据接入第一认证信息确定第二认证信息；和/或，终端设备具有接入第二网络的能力的情况下，根据第一认证信息确定第二认证信息；和/或，终端设备接收到第二网络的标识信息，确定与第二网络建立连接的情况下，根据第一认证信息确定第二认证信息。

本申请中，终端设备可根据第一网络的指示信息触发确定第二认证信息，还可在确定自身具有接入第二网络的能力的情况下，确定第二认证信息，还可在接收到第二网络的标识信息，确定与第二网络建立连接的情况下，确定第二认证信息，还可能是上述3种方式的结合，本申请在此不具体限定，可根据实际需求灵活确定，通过该方式，终端设备可以明确知晓确定第二认证信息的时机，而不是预先确定第二认证信息，可以保证数据处理的时效性和可靠性。需要说明的是，终端设备具有接入第二网络的能力可以理解为终端设备支持与第二网络建立连接，或终端设备可以与第二网络建立链接。终端设备支持与第二网络建立连接，可以是终端设备根据内部信息确定，例如从用户身份识别模块获取了支持第二网络的指示，或从用户身份识别模块取了第二网络的签约信息，也可以是终端设备中预配置了支持第二网络的能力信息。

在一种可选的方式中，终端设备包括：移动设备和用户身份识别模块，移动设备指示所述用户身份识别模块根据第一认证信息确定第二认证信息；用户身份识别模块根据第一认证信息确定第二认证信息。

本申请中，在终端设备包括用户身份识别模块时，通过移动设备与用户身份识别模块的相互配合确定第二认证信息，更加适配实际生产生活中终端设备如，手机的需求。在实际应用时，移动设备可通过指示信息直接指示用户身份识别模块，以便用户身份识别模块确定第二认证信息，还可通过第二网络的上下文信息的指示信息进行指示，还可通过其他方式，本申请在此不具体限定。

在一种可选的方式中，移动设备通过第二网络的上下文信息的指示信息指示用户身份识别模块获取第二认证信息。

通过该方式移动设备可以在使用第二网络的上下文信息的指示信息来指示用户身份识别模块使用第二网络的上下文信息进行接入认证，同时使用第二网络的上下文信息来指示用户身份识别模块确定第二认证信息，可以节约信令。

在一种可选的方式中，移动设备接收来自第二网络的认证请求后，移动设备将第二网络的上下文信息的指示信息发送至用户身份识别模块；用户身份识别模块根据第二网络的上下文信息的指示信息，确定第二网络的上下文中的第二认证信息；用户身份识别模块采用第二认证信息与第二网络进行接入认证。

通过第二网络的上下文信息的指示信息确定第二网络的上下文中的第二认证信息，基于第二认证信息与第二网络进行接入认证，可以提高数据处理效率。

在一种可选的方式中，第一认证信息和第二认证信息存储于用户身份识别模块。

本申请中，第一认证信息和第二认证信息均存储在用户身份识别模块中，终端设备无需设置两张UICC卡，也无需部署两个不同的app，可以降低终端设备的处理复杂度。

在一种可选的方式中，用户身份识别模块向移动设备请求第一认证信息；用户身份识别模块根据第一认证信息确定第二认证信息，并采用第二认证信息与第二网络进行接入认证。

本申请中，移动设备在接收到用户身份识别模块后请求第一认证信息后，确定第二认证信息，可以保证数据处理效率。

在一种可选的方式中，第二网络的认证请求中包括：第二网络的指示信息，终端设备根据第二网络的指示信息、第二认证信息与第二网络进行接入认证。

本申请中，终端设备基于第二网络的认证请求中的第二网络的指示信息以及第二认证信息与第二网络进行接入认证可以提高数据处理效率。

在一种可选的方式中，终端设备将第一认证信息作为密钥推演函数的输入参数，生成第二认证信息，密钥推演函数可以是现有标准中的key derivation function(KDF)函数。具体可以为，终端设备将第一认证信息作为密钥推演函数的输入参数，将密钥推演函数的输出作为第二认证信息。

通过该方式推演的第二认证信息可以适配两个网络的需求，避免采用两套不同的认证信息与不同的网络进行接入认证，可以提高数据处理效率。

在一种可选的方式中，第一认证信息包括以下中的一种或多种：机密性密钥CK、完整性密钥IK、序号(sequence number，SQN)、AUSF密钥K_AUSF、SEAF密钥K_SEAF、AMF密钥K_AMF。

第一认证信息中包括上述参数可保证终端设备推演出第二认证信息。

在一种可选的方式中，第一网络为IOPS网络或私网，第二网络为宏网络；或，第一网络为宏网络，第二网络为IOPS网络或私网。

第二方面，本申请实施例提供一种通信装置，所述通信装置可以为终端设备或者设置在终端设备内部的芯片。所述通信装置具备实现上述第一方面中任一方面的功能，比如，所述通信装置包括执行上述第一方面中任一方面涉及步骤所对应的模块或单元或手段(means)，所述功能或单元或手段可以通过软件实现，或者通过硬件实现，也可以通过硬件执行相应的软件实现。

在一种可能的设计中，所述通信装置包括处理单元、收发单元，其中，收发单元可以用于收发信号，以实现该通信装置和其它装置之间的通信，比如，收发单元用于接收来自终端设备的配置信息；处理单元可以用于执行该通信装置的一些内部操作。所述收发单元可以称为输入输出单元、通信单元等，所述收发单元可以是收发器；所述处理单元可以是处理器。当通信装置是通信设备中的模块(如，芯片)时，所述收发单元可以是输入输出接口、输入输出电路或输入输出管脚等，也可以称为接口、通信接口或接口电路等；所述处理单元可以是处理器、处理电路或逻辑电路等。

在又一种可能的设计中，所述通信装置包括处理器，还可以包括收发器，所述收发器用于收发信号，所述处理器执行程序指令，以完成上述第一方面中任意可能的设计或实现方式中的方法。其中，所述通信装置还可以包括一个或多个存储器，所述存储器用于与处理器耦合，所述存储器可以保存实现上述第一方面中任一方面涉及的功能的必要计算机程序或指令。所述处理器可执行所述存储器存储的计算机程序或指令，当所述计算机程序或指令被执行时，使得所述通信装置实现上述第一方面任意可能的设计或实现方式中的方法。

在又一种可能的设计中，所述通信装置包括处理器，处理器可以用于与存储器耦合。所述存储器可以保存实现上述第一方面中任一方面涉及的功能的必要计算机程序或指令。所述处理器可执行所述存储器存储的计算机程序或指令，当所述计算机程序或指令被执行时，使得所述通信装置实现上述第一方面至第三方面任意可能的设计或实现方式中的方法。

在又一种可能的设计中，所述通信装置包括处理器和接口电路，其中，处理器用于通过所述接口电路与其它装置通信，并执行上述第一方面任意可能的设计或实现方式中的方法。

可以理解地，上述第二方面中，处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。此外，以上处理器可以为一个或多个，存储器可以为一个或多个。存储器可以与处理器集成在一起，或者存储器与处理器分离设置。在具体实现过程中，存储器可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

第三方面，本申请实施例提供一种通信系统，该通信系统包括上述第一方面中的终端设备。

第四方面，本申请提供了一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现上述第一方面中任一种可能的设计中所述的方法。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

第五方面，本申请还提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机可读指令，当计算机可读指令在计算机上运行时，以使得计算机执行如第一方面中任一种可能的设计中的方法。

第六方面，本申请提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面的各实施例的方法。

上述第二方面至第六方面可以达到的技术效果，请参照上述第一方面中相应可能设计方案可以达到的技术效果说明，本申请这里不再重复赘述。

附图说明

图1示出了本申请实施例提供的一种通信系统的示意图；

图2A示出了一种应用场景的示意图；

图2B示出了另一种应用场景的示意图；

图3示出了UE从宏网切换到IOPS网络的流程示意图；

图4示出了本申请实施例提供的一种通信方法的流程示意图；

图5A示出了本申请实施例提供的另一种通信方法的流程示意图；

图5B示出了本申请实施例提供的另一种通信方法的流程示意图；

图6示出了本申请实施例提供的另一种通信方法的流程示意图；

图7示出了本申请实施例提供的另一种通信方法的流程示意图；

图8A示出了本申请实施例提供的另一种通信方法的流程示意图；

图8B示出了本申请实施例提供的另一种通信方法的流程示意图；

图9示出了本申请实施例提供的通信装置的结构示意图；

图10示出了本申请实施例提供的通信装置的结构示意图；

图11示出了本申请实施例提供的通信装置的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中，在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。因此装置与方法的实施可以相互参见，重复之处不再赘述。

图1示例性示出一种移动通信网络架构的示意图，该网络架构中包括终端设备、接入网设备、接入和移动管理功能、会话管理功能、用户面功能、策略控制功能、网络切片选择功能、网络切片特定身份验证和授权功能、网络仓库功能、网络数据分析功能、统一数据管理功能、统一数据存储功能、认证服务功能、网络能力开放功能、终端无线能力管理功能、绑定支撑功能、应用功能，以及连接运营商网络的数据网络(data network，DN)。终端设备可通过当前位置的接入节点来接入无线网络。终端设备可通过接入网设备、用户面功能向数据网络发送业务数据，以及从数据网络接收业务数据。

接入和移动管理功能，主要用于移动网络中的终端设备的附着、移动性管理、跟踪区更新流程等。在5G通信系统中，接入和移动管理功能可以是接入与移动性管理功能(access and mobility management function，AMF)，在未来的通信系统(如6G通信系统)中，接入和移动管理功能可以仍是AMF，或者也可以具有其它名称，本申请并不限定。

会话管理功能，主要用于移动网络中的会话管理，如会话建立、修改、释放。具体功能如为终端设备分配互联网协议地址、选择提供报文转发功能的用户面功能等。在5G通信系统中，会话管理功能可以是会话管理功能(session management function，SMF)，在未来的通信系统(如6G通信系统)中，会话管理功能可以仍是SMF，或者也可以具有其它名称，本申请并不限定。

用户面功能，主要用于对用户报文进行处理，如转发和计费等。在5G通信系统中，用户面功能可以是用户面功能(user plane function，UPF)，在未来的通信系统(如6G通信系统)中，用户面功能可以仍是UPF，或者也可以具有其它名称，本申请并不限定。

策略控制功能，包含策略控制功能、计费策略控制功能、服务质量(quality of service，QoS)控制等。在5G通信系统中，策略控制功能可以是策略控制功能(policy control function，PCF)，在未来的通信系统(如6G通信系统)中，策略控制功能可以仍是PCF，或者也可以具有其它名称，本申请并不限定。

网络切片选择功能，主要用于为终端设备的业务选择合适的网络切片。在5G通信系统中，网络切片选择功能可以是网络切片选择功能(network slice selection function，NSSF)，在未来的通信系统(如6G通信系统)中，网络切片选择功能可以仍是NSSF，或者也可以具有其它名称，本申请并不限定。

网络切片特定身份验证和授权功能(network slice-specific authentication and authorization function，NSSAAF)主要用于针对终端设备接入特定网络切片的验证和授权。

网络仓库功能，主要用于提供网络功能或网络功能所提供服务的注册和发现。在5G通信系统中，网络仓库功能可以是网络仓库功能(network repository function，NRF)，在未来的通信系统(如6G通信系统)中，网络仓库功能可以仍是NRF，或者也可以具有其它名称，本申请并不限定。

网络数据分析功能，可以从各个网络功能，例如策略控制功能、会话管理功能、用户面功能、接入管理功能、应用功能(通过网络能力开放功能)收集数据，并进行分析和预测。在5G通信系统中，网络数据分析功能可以是网络数据分析功能(network data analytics function，NWDAF)，在未来的通信系统(如6G通信系统)中，网络数据分析功能可以仍是NWDAF，或者也可以具有其它名称，本申请并不限定。

统一数据管理功能，主要用于管理终端设备的签约信息。在5G通信系统中，统一数据管理功能可以是统一数据管理(unified data management，UDM)功能，在未来的通信系统(如6G通信系统)中，统一数据管理功能可以仍是UDM功能，或者也可以具有其它名称，本申请并不限定。

统一数据存储功能，主要用于存储结构化的数据信息，其中包括签约信息、策略信息，以及有标准格式定义的网络数据或业务数据。在5G通信系统中，统一数据存储功能可以是统一数据存储(unified data repository，UDR)功能，在未来的通信系统(如6G通信系统)中，统一数据存储功能可以仍是UDR功能，或者也可以具有其它名称，本申请并不限定。

认证服务功能，主要用于对终端设备进行安全认证。在5G通信系统中，认证服务功能可以是认证服务端功能(authentication server function，AUSF)，在未来的通信系统(如6G通信系统)中，认证服务功能可以仍是AUSF，或者也可以具有其它名称，本申请并不限定。

网络能力开放功能，可以将网络的部分功能有控制地暴露给应用。在5G通信系统中，网络能力开放功能可以是NEF，在未来的通信系统(如6G通信系统)中，网络能力开放功能可以仍是NEF，或者也可以具有其它名称，本申请并不限定。

终端无线能力管理功能，用于存储和管理网络内终端设备的无线能力。在5G通信系统中，终端无线能力管理功能可以是终端无线能力管理功能(UE radio capability management function，UCMF)，在未来的通信系统(如6G通信系统)中，终端无线能力管理功能可以仍是UCMF，或者也可以具有其它名称，本申请并不限定。

绑定支撑功能，用于维护用户网络之间互连的协议(Internet Protocol，IP)地址和服务功能的对应关系。在5G通信系统中，绑定支撑功能可以是绑定支撑功能(binding support function，BSF)，在未来的通信系统(如6G通信系统)中，绑定支撑功能可以仍是BSF，或者也可以具有其它名称，本申请并不限定。

应用功能，可以向运营商的通信网络的控制面功能提供各类应用的服务数据，或者从通信网络的控制面功能获得网络的数据信息和控制信息。在5G通信系统中，应用功能可以是应用功能(application function，AF)，在未来的通信系统(如6G通信系统)中，应用功能可以仍是AF，或者也可以具有其它名称，本申请并不限定。

数据网络，主要用于为终端设备提供数据传输服务。数据网络可以是私有网络，如局域网，也可以是公用数据网(public data network，PDN)，如因特网(Internet)，还可以是运营商合并部署的专有网络，如配置的IP多媒体网络子系统(IP multimedia core network subsystem，IMS)服务。

本申请实施例中所涉及的终端(也即终端设备)，是用户侧的一种用于接收或发射信号的实体，用于向网络设备发送上行信号，或从网络设备接收下行信号。包括向用户提供语音和/或数据连通性的设备，例如可以包括UE、具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经无线接入网(radio access network，RAN)与核心网进行通信，与RAN交换语音和/或数据。该终端设备可以包括UE、车用无线通信技术(vehicle to X，V2X)终端设备、无线终端设备、移动终端设备、设备到设备通信(device-to-device，D2D)终端设备、机器到机器/机器类通信(machine-to-machine/machine-type communications，M2M/MTC)终端设备、IoT终端设备、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、远程站(remote station)、AP、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、或用户装备(user device)、可穿戴设备、车载设备、无人机等。

作为示例而非限定，在本申请实施例中，该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。

需要说明的是，本申请实施例中功能还可以称为网元、网络功能或功能实体、设备等，例如，接入和移动管理功能还可以称为接入和移动管理网元、或接入和移动管理网络功能、或接入和移动管理功能实体等。各个功能的名称在本申请中不做限定，本领域技术人员可以将上述功能的名称更换为其它名称而执行相同的功能，均属于本申请保护的范围。

图2A示出了本申请提供的一种应用场景示意图，该场景以IOPS网络与宏网为例，当然在实际应用时也可以是私网和宏网，本申请并不具体限定，通常终端设备在无回传通信条件下通过具有IOPS功能的LTE接入网设备(IOPS-capable eNB)为公共安全用户提供通信服务。其中无回传通信即接入网设备与LTE宏网核心网(macro EPC)之间链接中断的情况。在地震等灾难，或回传光纤故障等情况下，回传通信中断，此时具有IOPS功能的LTE接入网设备(IOPS-capable eNodeBs)建立与IOPS网络的回传连接，形成可为用于提供本地连接的IOPS网络(IOPS network)，终端设备通过IOPS网络在IOPS模式(IOPS mode)下接收通信服务，以确保数据的可靠传输。此外不具有IOPS功能的LTE接入网设备(IOPS-Incapable eNodeBs)不能建立与IOPS网络的回传连接。

图2B示出了本申请提供的另一应用场景示意图，该场景以IOPS网络为例，当然在实际应用时也可以是私网，本申请并不具体限定，在没有IOPS-capable eNB为公共安全用户提供通信服务的情况下(也即No infrastracture)，在eNodeB部署(eNodeB Deployed)时，使用具有IOPS功能的接入网设备(Nomadlc eNodeB)(该接入网设备是可移动的，类似于用户备着一个小接入网设备)实现与IOPS网络的回传连接建立，形成可为用于提供本地连接的IOPS核心网(Local EPC)，形成可为用于提供本地连接的IOPS网络(IOPS network)。

现有LTE TS 23.401和TS 33.401中对于IOPS场景的定义主要集中于UE从宏网接入切换到IOPS网络接入的流程。其中LTE对于IOPS场景有如下基本假设：

1、宏网EPC与支持IOPS模式的核心网(即本地IOPS模式的EPC，也称Local EPC，或L-EPC)之间存在隔离，RAN节点同时支持宏网和IOPS，该RAN节点为具有IOPS功能的eNB节点(IOPS-capable eNB)。IOPS-capable eNB与宏网EPC和L-EPC均有连接。

2、IOPS模式具有专属的标识，如公共陆地移动网络标识(public land mobile network identifier，PLMN ID)，同一个公共安全机构/运营商的所有L-EPC有同样的PLMN ID。IOPS模式开启时，IOPS-capable eNB会广播IOPS对应的PLMN ID以辅助支持IOPS模式的UE接入IOPS模式。

3、只有授权的具有IOPS功能的UE(IOPS-enabled UE)可以接入IOPS网络。

4、L-EPC主要功能是为IOPS-enabled UE之间通信提供路由功能。

5、IOPS-enabled UE具有两个UMTS用户身份识别模块应用(universal mobile telecommunications system subscriber identity module application，USIM app)，两个USIM app分别对应IOPS模式和正常模式。IOPS的USIM app有专用于IOPS PLMN的根密钥K、PLMN ID和国际移动用户识别码(international mobile subscriber Identity，IMSI)。

现有TS 23.401中UE从宏网切换到IOPS网络的流程如图3所示，如下：

步骤1.UE接入到宏网EPC，并进行通信业务。

步骤2.eNB检测到与宏网的回传链路断线，此eNB为IOPS-capable eNB以下不再赘述。

eNB根据运营商本地策略决策激活IOPS模式。

步骤3.L-EPC激活后，eNB与L-EPC建立回传链路。

步骤4.eNB与L-EPC建立回传链路后，广播IOPS网络的PLMN ID。

步骤5.UE检测到IOPS PLMN ID广播，激活IOPS专用的USIM app。

步骤6.UE根据IOPS PLMN ID确定需要接入对应的L-EPC，并与L-EPC进行接入流程(包括接入认证)和会话建立。

步骤7.UE与L-EPC执行接入流程(附着流程)并建立本地协议数据网络(packet data network，PDN)链接。

步骤8.UE接入L-EPC并进行通信服务。

现有技术中UE在与宏网和IOPS网络进行主认证时，需要使用不同与宏网签约时的IMSI和不同的根密钥。即宏网核心网中只会存储UE与宏网进行主认证时使用的IMSI和根密钥，而IOPS核心网中只会存储UE与IOPS网络进行主认证时使用的IMSI和根密钥，UE在与不同网络进行主认证时，启用对应的IMSI和根密钥，该方式操作复杂。

UE由移动设备(mobile equipment，ME)和用户身份识别模块(USIM app)组成。USIM app用于存储用户与网络侧进行认证所需的根密钥信息。一个ME设备只有使用USIM app中的信息(IMSI和根密钥)接入网络才可被视为UE。其中ME为终端的硬件设备，例如手机。集成电路卡(universal integrated circuit card，UICC)为USIM app的硬件载体，UICC和USIM app均由UICC卡供应商提供。USIM app内信息由运营商提供，并由UICC的供应商写入USIM app中。

UE在检测到IOPS PLMN ID广播后，需要激活IOPS专用于IOPS模式的USIM app，其中USIM app中包括执行接入认证所用的根密钥K。IOPS的USIM app有专用于IOPS PLMN的根密钥K、PLMN ID和IMSI。

因此在执行IOPS的接入认证的时候，UE是通过将宏网的USIM app切换为IOPS USIM app方式选择到UE侧的IOPS密钥，UE侧密钥切换到IOPS app后使用IOPS app中的密钥，实现后续与IOPS网络进行接入认证，该方式操作复杂。

基于此，本申请提供一种通信方法，以降低接入认证的复杂度。参阅图4为本申请实施例提供的一种通信方法的示意图，该方法可通过终端设备来执行，执行如下：

步骤401，终端设备根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息；第一网络与第二网络不同。

需要说明的是，步骤401中所述的终端设备可以为不设置USIM app的终端设备，即终端设备中不存在USIM app或不存在承载USIM app的功能模块，如，定位标签、物联网设备等，还可以为设置USIM app的终端设备，即终端设备中存在USIM app或不存在承载USIM app的功能模块，如，手机等，本申请在此不具体限定终端设备的类型。

其中，第一网络与第二网络可以为相互隔离的网络。其中，第一网络可为IOPS网络或私网，第二网络为宏网络；或，第一网络为宏网络，第二网络为IOPS网络或所述私网，如，第一网络为IOPS网络，第二网络为宏网络；第一网络为私网(如，校园网、园区网等)，第二网络为宏网；第一网络为宏网，第二网络为IOPS网络；第一网络为宏网，第二网络为私网等，本申请在此不具体限定。

其中，终端设备与第一网络进行接入认证可以理解为终端设备与第一网络的主认证，终端设备与第一网络的主认证用于终端设备与第一网络之间互相认证身份，仅在主认证通过后，终端才可与第一网络进行后续注册流程和会话建立流程。假定该第一网络为宏网，则表示终端设备与宏网的主认证；假定该第一网络为IOPS网络，则表示终端设备与IOPS网络的主认证。终端设备与第二网络进行接入认证，可以理解为终端设备与第二网络的主认证，终端设备与第二网络的主认证用于终端设备与第二网络之间互相认证身份，仅在主认证通过后，终端才可与第二网络进行后续注册流程和会话建立流程。假定该第二网络为IOPS网络，则表示终端设备与IOPS网络的主认证；假定该第二网络为宏网，则表示终端设备与宏网的主认证。本申请在此不展开如何进行主认证流程，可参照现有技术来理解。

此外，终端设备根据终端设备与第一网络进行接入认证所用的第一认证信息确定终端设备与第二网络进行接入认证所用的第二认证信息可以理解为终端设备参考第一认证信息确定第二认证信息，或者基于第一认证信息中的某些参数推演第二认证信息，本申请在此不对如何确定第二认证信息进行限定，如，第一网络为宏网，第二网络为IOPS网络，终端设备可根据终端设备与宏网的第一认证信息确定终端设备与IOPS网络的第二认证信息；第一网络为IOPS网络，第二网络为宏网，终端设备可根据终端设备与IOPS网络的第一认证信息确定终端设备与宏网的第二认证信息，本申请在此不具体限定。

可选的，终端设备将第一认证信息作为输入参数，生成第二认证信息。具体可以为，终端设备将第一认证信息作为密钥推演函数(key derivation function，KDF)的输入参数，将密钥推演函数的输出作为第二认证信息，其中密钥推演函数可以是现有标准中的KDF函数。通过该方式推演的第二认证信息可以适配两个网络接入认证的需求，避免采用两套不同的认证信息与不同的网络进行接入认证，可以提高数据处理效率。

可选的，第一认证信息包括以下中的一种或多种：CK、IK、SQN、K_AUSF、K_SEAF、K_AMF。终端设备根据终端设备第一网络主认证产生的密钥推演获取第二认证信息，可以是根据第一网络与UE在主认证流程中生成的CK和IK进一步推演第二认证信息，推演方式具体如下：

使用CK和IK作为密钥推演函数(key derivation function，KDF)的输入，获取密钥推演函数的输出信息作为第二认证信息，或者使用CK和IK作为密钥推演函数的输入，获取密钥推演函数的输出信息和SQN参数一起作为第二认证信息。

也可以是根据第一网络与UE在主认证流程中生成的K_AUSF、K_SEAF和K_AMF中的一个或多个进一步推演，则此时第一UDM需要先向AUSF、SEAF或AMF获取K_AUSF、K_SEAF和K_AMF中的一个或多个后再进一步生成第一认证信息，推演方式具体如下：

使用K_AUSF、K_SEAF和K_AMF中的一个或多个作为密钥推演函数(key derivation function，KDF)的输入，获取密钥推演函数的输出信息作为第二认证信息，或者使用K_AUSF、K_SEAF和K_AMF中的一个或多个作为密钥推演函数的输入，获取密钥推演函数的输出信息和SQN参数一起作为第二认证信息。

本申请在实际应用时，不对推演方式进行限定，可采用上述推演方式中一种进行推演，还可以采用其他推演方式进行推演，如终端设备与第一网络约定推演规则进行推演等，本申请在此不具体限定。

可选的，终端设备根据第一认证信息，确定第二认证信息，可能是受到如下触发条件的触发，具体如下：

条件1、终端设备接收到来自第一网络的用于指示终端设备生成第二认证信息的指示信息的情况下，根据接入第一认证信息确定第二认证信息。

需要说明的是，该指示信息可以为第一网络单独指示的信息，也即该指示信息仅用于指示终端设备生成第二认证信，其中，单独的指示信息的形式可以是使用专用的消息用于隐式指示，也可是使用专用的指示信息指示；该指示信息还可以为第一网络通过其他信息携带，也即该指示信息携带在其他信息中，通过该方式可以节约信令，具体采用哪种方式进行指示本申请在此不具体限定。

条件2、终端设备具有接入第二网络的能力的情况下，根据第一认证信息确定第二认证信息。

需要说明的是，假定第二网络为IOPS网络，终端设备具有接入第二网络的能力可以理解为终端设备支持与IOPS网络建立连接，终端设备在确定支持与IOPS网络建立连接的情况下，可直接根据第一认证信息确定第二认证信息。需要说明的是，终端设备支持与IOPS网络建立连接，可以是终端设备根据内部信息确定，例如从USIM app获取了支持IOPS网络的指示，或从USIM app获取了IOPS网络的签约信息，也可以是移动设备预配置了支持IOPS网络的能力信息。

条件3、终端设备接收到第二网络的标识信息，确定与第二网络建立连接的情况下，根据第一认证信息确定第二认证信息。

需要说明的是，终端设备可能接收到来自支持为第二网络提供服务的接入网设备的广播消息，该消息中包括第二网络的标识，如广播的标识为PLMN1，终端设备在确定可以与标识为PLMN1的第二网络建立连接的情况下，可直接根据第一认证信息确定第二认证信息。终端设备在确定可以与第二网络的标识对应的第二网络建立连接，具体为终端设备根据第二网络的标识，确定需要接入第二网络。

此外，还要说明的是，在实际应用时，终端设备可能接收到上述任一触发条件的触发，还可能是接收到上述多个触发条件的触发，如，终端设备同时接收到条件1以及条件2的触发；终端设备同时接收到条件1以及条件3的触发；终端设备同时接收到条件1、条件2以及条件3的触发，本申请在此仅示例性描述，并不具体限定。

本申请中，终端设备可根据第一网络的指示信息触发确定第二认证信息，还可在确定自身具有接入第二网络的能力的情况下，确定第二认证信息，还可在接收到第二网络的标识信息，确定与第二网络建立连接的情况下，确定第二认证信息，还可能是上述3种情况的结合，本申请在此不具体限定，可根据实际需求灵活确定，通过该方式，终端设备可以明确知晓确定第二认证信息的时机，而不是预先确定第二认证信息，可以保证数据处理的时效性和可靠性。

步骤402，终端设备接收来自第二网络的认证请求后，根据第二认证信息与第二网络进行接入认证。

具体的，根据第二认证信息与第二网络进行接入认证，可以是使用第二认证信息全部或部分作为终端设备与第二网络进行主认证所需的根密钥，也可以是使用终端设备与第二网络进行主认证所需的根密钥和第二认证信息进一步获取主认证流程中发送给第二网络的认证信息，例如XMAC和/或RES等信息。

本申请中，第一网络和第二网络为两个不同的网络，通常是终端若可以接入两个网络需要推演两套不同的认证信息分别与对应的网络进行接入认证，但是本申请中，终端设备可基于某个网络的认证信息确定另一网络的认证信息，通过该方式可以减少接入认证的复杂度，且减少了设备数据计算量，且在终端设备中也无需存储大量的认证信息，还可以减少终端设备中的数据存储量，节约设备的存储空间，进一步地采用本申请的方案可以提高数据处理效率。

为了更好地说明本申请的方案，附图5A和5B采用移动设备(ME)、用户身份识别模块(USIM app)(其中，ME与USIM app构成UE，在图5A中UE包括USIM app，在图5B中UE的USIM app为可选的)、第一网络以及第二网络之间的数据交互为例来说明。在该实施例中，以第一网络为宏网，第二网络为IOPS网络(也即下文所述的IOPS核心网)，第一UDM属于宏网，第二UDM属于IOPS网络为例来说明，在图5A中，具体如下：

步骤0：UE接入宏网，与宏网完成主认证流程。

宏网根据与UE主认证后生成的密钥获取IOPS模式下的根密钥，记为K_IOPS(也即第二认证信息)。宏网将K_IOPS发送给IOPS核心网。其中，K_IOPS为UE与宏网共享的密钥，K_IOPS可以根据宏网和UE之间主认证流程中生成的CK和IK进一步推演，也可以根据宏网和UE之间主认证流程中生成的K_AUSF、K_SEAF或K_AMF进一步推演，此处不作限定。可参照上述终端设备推演第二认证信息的方式来理解，在此不赘述。在实际应用时，宏网可根据AMF的触发，或者宏网UDM的数据处理，根据第一认证信息确定第二认证信息，本申请在此不具体限定。

步骤1：ME根据触发条件确定指示USIM app生成K_IOPS，触发条件如下：

触发条件a：ME根据从宏网获取的IOPS指示确定需要指示USIM app生成K_IOPS(也即上述的条件1)。具体的，ME可以与任意与宏网交互的消息中获取IOPS指示，例如UE 从注册成功消息中获取IOPS指示，或UE根据UE配置更新流程中的UE配置更新命令(UE configuration update command)消息获取IOPS指示。

触发条件b：ME根据自身设备支持IOPS接入，确定需要指示USIM app生成K_IOPS(也即上述的条件2)。具体的，ME支持IOPS接入，即ME支持与IOPS网络建立连接，ME可以根据从USIM app获取了支持IOPS网络的指示确定ME支持IOPS接入，ME还可以根据从USIM app获取了IOPS网络的签约信息确定ME支持IOPS接入，ME也可以根据ME设备中预配置了支持IOPS网络的能力信息确定ME支持IOPS接入。

触发条件c：ME获取到具有IOPS功能的接入网设备广播的IOPS PLMN ID，确定需要与IOPS网络建立连接，进一步的确定需要指示USIM app生成K_IOPS(也即上述的条件3)。具体的，ME确定与IOPS网络建立链接可以是在ME搜索不到除IOPS网络以外的其他可接入网络的PLMN信息时，确定需要接入IOPS网络，或者，ME确定与IOPS网络建立链接可以是根据运营商配置ME接收到IOPS网络的PLMN信息后默认接入IOPS网络。

本申请中，具有IOPS功能的接入网设备为可支持接入宏网核心网和IOPS核心网的RAN节点，可以是IOPS-capable gNB或IOPS-capable NG-RAN(next generation radio access network)，即同时支持接入5G宏网核心网和5G IOPS核心网的gNB节点或同时支持接入5G宏网核心网和5G IOPS核心网的NG-RAN节点。在触发条件c之前，IOPS功能接入网设备还在检测到宏网断链后，与IOPS核心网建立回传链接。

可选的，ME指示USIM app确定第二认证信息；USIM app确定第二认证信息，在实际应用时，可参照步骤2来执行。ME还可通过IOPS网络的上下文信息的指示信息指示USIM app确定第二认证信息。本申请在此不具体限定。

步骤2:ME向USIM app发送密钥存储指示。

上述的密钥存储指示USIM app确定K_IOPS，并存储K_IOPS。

可选的，该密钥存储指示同时指示USIM app存储其他用于主认证所需的参数，该参数可以是主认证所需的SQN参数。

可选的，如果K_IOPS由K_AUSF、K_SEAF或K_AMF推演，且ME确定USIM app不存储K_AUSF、K_SEAF或K_AMF，ME同时将K_AUSF、K_SEAF或K_AMF发送给USIM app。ME也可不进行确认直接发送K_AUSF、K_SEAF或K_AMF至USIM app。ME确定USIM app不存储K_AUSF、K_SEAF或K_AMF的方法可以为，ME没有从USIM app获取5G安全参数存储指示，具体可参考现有标准。

在实际应用时，移动设备可通过指示信息(上述的密钥存储指示)直接指示用户身份识别模块，以便用户身份识别模块确定第二认证信息，还可通过IOPS网络的上下文信息的指示信息进行指示，还可通过其他方式，本申请在此不具体限定。

步骤3：USIM app根据密钥存储指示推演K_IOPS，USIM app存储K_IOPS。K_IOPS为用于与IOPS网络进行接入认证的根密钥其中，K_IOPS可以根据宏网和UE之间主认证流程中生成的CK和IK进一步推演，也可以根据宏网和UE之间主认证流程中生成的K_AUSF、K_SEAF或K_AMF进一步推演，此处不作限定。可参照上述图4步骤401中终端设备推演第二认证信息的方式来理解，在此不赘述。

需要说明的是，USIM app存储K_IOPS并确定K_IOPS为用于与IOPS网络进行接入认证的根密钥，可以是建立并存储IOPS标识和K_IOPS的对应关系，也可以是将K_IOPS存储到专用于存储IOPS的密钥的存储区域，也可以是将K_IOPS存储到USIM app中用于存储与IOPS网络进行接入认证所需的上下文信息中，即USIM app可以后续根据IOPS相关的指示信息获取到K_IOPS。其中IOPS标识用于指示其对应的信息用于IOPS网络进行接入认证，USIM app可在确定需要与IOPS网络进行接入认证时，确定IOPS标识并用于索引信息，IOPS标识可以是IOPS网络的上下文指示信息。例如，USIM app推演了接入IOPS网络1的密钥后，接入到其他IOPS网络中，当USIM app再次接入IOPS网络1则无需进行密钥推演，直接从存储区域调取与IOPS网络1进行接入认证即可，该方式可节约设备的处理资源，提高数据处理效率。

可选的，USIM app同时确定并存储其他用于UE与IOPS网络主认证所需的参数，具体为，USIM app将K_IOPS和其他用于UE与IOPS网络主认证所需的参数存储到USIM app中用于存储与IOPS网络进行接入认证所需的上下文信息中，也可为USIM app确定并存储IOPS标识、K_IOPS、UE与IOPS网络主认证所需参数的对应关系。

步骤4：ME触发与IOPS网络建立连接以接入IOPS网络，与IOPS网络进行主认证。

可选的，如果步骤1并非由触发条件c触发，则在此步骤4之前支持IOPS功能的接入网设备还可在检测到宏网断链后，与IOPS网络建立回传链接，且ME根据支持IOPS功能的接入网设备广播的IOPS PLMN ID，确定需要与IOPS核心网建立连接，之后IOPS网络可向ME发起主认证请求。

可选的，ME接收来自第二网络的认证请求后，ME确定第二网络的上下文信息的指示信息，ME将第二网络的上下文信息的指示信息发送至USIM app；USIM app根据第二网络的上下文信息的指示信息，获取第二网络的上下文中的第二认证信息；USIM app采用第二认证信息与第二网络进行接入认证。具体可参照下述步骤5-7来理解。

其中，第一认证信息与第二认证信息存储于用户身份识别模块。

本申请中，第一认证信息与第二认证信息均存储在用户身份识别模块中，终端设备无需设置两张UICC卡，也无需部署两个不同的app，可以降低终端设备的处理复杂度。

步骤5：ME获取到IOPS网络的主认证请求后，确定该主认证请求用于与IOPS网络进行主认证，ME确定IOPS网络上下文信息的指示信息。其中IOPS网络上下文信息的指示信息用于指示需要使用IOPS网络上下文信息与IOPS网络进行主认证。

具体的实现方式可以是ME确定AUTHENTICATION command命令，其中，AUTHENTICATION command中包括步骤5确定的IOPS网络上下文信息的指示信息。更具体的，ME将IOPS网络上下文信息的指示信息包括在AUTHENTICATION command消息中的P2域中，即AUTHENTICATION command中P2域内的值为IOPS网络上下文信息的指示信息。

步骤6：ME向USIM app发送IOPS网络上下文信息的指示信息。

本方法使得USIM app可以通过IOPS网络的上下文信息的指示信息确定IOPS网络的上下文中的第二认证信息，基于第二认证信息与IOPS网络进行接入认证，可以提高数据处理效率。

步骤7：USIM app根据IOPS网络上下文信息的指示信息确定需要使用与IOPS网络进行接入认证，USIM app确定需要使用K_IOPS执行主认证流程。

可选的，USIM app还可根据IOPS网络上下文信息的指示信息确定需要使用与IOPS网络进行接入认证，USIM app还确定认证所需的其他参数信息，例如SQN。

需要说明的是，USIM app根据与IOPS网络上下文信息的指示信息确定K_IOPS和/或认证所需的其他参数信息，可以是根据IOPS网络上下文信息的指示信息确定需要使用与IOPS网络进行接入认证后进一步确定IOPS标识，USIM app使用IOPS标识索引到K_IOPS和/或认证所需的其他参数信息，也可以是根据IOPS网络上下文信息的指示信息确定需要使用与IOPS网络进行接入认证后，从专用于存储IOPS模式K_IOPS和/或认证所需的其他参数信息的存储区域获取K_IOPS和/或认证所需的其他参数信息，还可以是也可以是根据IOPS网络上下文信息的指示信息确定需要使用与IOPS网络进行接入认证后，从专用于存储IOPS模式K_IOPS和/或认证所需的其他参数信息的上下文信息中获取K_IOPS和/或认证所需的其他参数信息。

步骤8：USIM app与网络侧使用K_IOPS作为根密钥执行主认证流程。

具体体现于，USIM app在步骤8回复生成的CK、IK、XMAC和RES值，ME根据USIM app的回复消息进一步确定主认证的回复消息，步骤8以及后续网络侧验证主认证回复消息可参考TS 33.501现有技术，此处不再赘述。

在接收到主认证回复消息后，IOPS网络可以通过如下方法中的任意一种确定USIM app确实根据上述步骤生成了K_IOPS：

a.IOPS网络没有在主认证回复中接收到认证失败(authentication failure)或同步失败(synchronisation failure)消息。

b.主认证回复消息通过了网络侧验证，即UE成功通过主认证。

在图5B中，具体如下：

步骤0-1可参照上述图5A中步骤0-1的描述，在此不赘述。

步骤2:ME根据步骤1中的触发条件推演K_IOPS，存储K_IOPS。K_IOPS为用于与IOPS网络进行接入认证的根密钥。

其中，K_IOPS可以根据宏网和UE之间主认证流程中生成的CK和IK进一步推演，也可以根据宏网和UE之间主认证流程中生成的K_AUSF、K_SEAF或K_AMF进一步推演，此处不作限定。可参照上述图4步骤401中终端设备推演第二认证信息的方式来理解，在此不赘述。

需要说明的是，ME存储K_IOPS并确定K_IOPS为用于与IOPS网络进行接入认证的根密钥，可以是建立并存储IOPS标识和K_IOPS的对应关系，也可以是将K_IOPS存储到专用于存储IOPS的密钥的存储区域，也可以是将K_IOPS存储到ME中用于存储与IOPS网络进行接入认证所需的上下文信息中，即ME可以后续根据IOPS相关的指示信息获取到K_IOPS。其中IOPS标识用于指示其对应的信息用于IOPS网络进行接入认证，ME可在确定需要与IOPS网络进行接入认证时，确定IOPS标识并用于索引信息，IOPS标识可以是IOPS网络的上下文指示信息。例如，ME推演了接入IOPS网络的密钥后，接入到其他IOPS网络中，当ME再次接入IOPS网络1则无需进行密钥推演，直接从存储区域调取与IOPS网络1进行接入认证即可，该方式可节约设备的处理资源，提高数据处理效率。

可选的，ME同时确定并存储其他用于UE与IOPS网络主认证所需的参数，具体为，ME将K_IOPS和其他用于UE与IOPS网络主认证所需的参数存储到ME中用于存储与IOPS网络进行接入认证所需的上下文信息中，也可为ME确定并存储IOPS标识、K_IOPS、UE与IOPS网络主认证所需参数的对应关系。

步骤3：ME触发与IOPS网络建立连接以接入IOPS网络，与IOPS网络进行主认证。

可选的，如果步骤1并非由触发条件c触发，则在此步骤3之前支持IOPS功能的接入网设备还可在检测到宏网断链后，与IOPS网络建立回传链接，且ME根据支持IOPS功能的接入网设备广播的IOPS PLMN ID，确定需要与IOPS核心网建立连接，之后IOPS网络可向ME发起主认证请求。

步骤4：ME获取到IOPS网络的主认证请求后，确定该主认证请求用于与IOPS网络进行主认证，ME确定与网络侧使用K_IOPS作为根密钥执行主认证流程。

具体体现在，ME获取到IOPS网络的主认证请求，确定该主认证请求用于与IOPS网络进行主认证，ME确定K_IOPS和/或其他用于UE与IOPS网络主认证所需的参数后确定主认证流程中的CK、IK、XMAC和RES值，ME进一步根据CK、IK、XMAC和RES确定主认证的回复消息，步骤4以及后续网络侧验证主认证回复消息可参考TS 33.501现有技术，此处不再赘述。其中，ME确定K_IOPS和/或其他用于UE与IOPS网络主认证所需的参数，可以是ME接收来自IOPS网络的认证请求后，ME需要使用与IOPS网络进行接入认证后从专用于存储IOPS模式K_IOPS和/或认证所需的其他参数信息的存储区域获取K_IOPS和/或认证所需的其他参数信息，还可以是ME接收来自IOPS网络的认证请求后，ME需要使用与IOPS网络进行接入认证后从专用于存储IOPS模式K_IOPS和/或认证所需的其他参数信息的上下文信息中获取K_IOPS和/或认证所需的其他参数信息，还可以是ME接收来自IOPS网络的认证请求后，ME需要使用与IOPS网络进行接入认证后进一步确定IOPS标识，ME根据IOPS标识和步骤2中的对应关系确定K_IOPS和/或其他用于UE与IOPS网络主认证所需的参数。

本申请中，终端设备可基于某个网络的认证信息确定另一网络的认证信息，通过该方式可以减少接入认证的复杂度，且减少了设备数据计算量，且在终端设备中也无需存储大量的认证信息，还可以减少终端设备中的数据存储量，节约设备的存储空间，进一步地采用本申请的方案可以提高数据处理效率。

为了更好地说明本申请的方案，附图6采用ME、用户身份识别模块(USIM app)(其中，ME与USIM app构成UE)、第一网络以及第二网络之间的数据交互为例来说明。在该实施例中，以第一网络为宏网，第二网络为IOPS网络(也即下文所述的IOPS核心网)，第一UDM属于宏网，第二UDM属于IOPS网络为例来说明，在图6中，具体如下：

步骤0同上述图5A和图5B中的步骤0，在此不赘述。

步骤1：ME获取到具有IOPS功能的接入网设备广播的IOPS PLMN ID，确定IOPS网络建立连接(也即上述图4步骤401中的条件3)。具体为，ME获取到具有IOPS功能的接入网设备广播的IOPS PLMN ID，确定需要与IOPS网络建立连接，进一步的确定需要指示USIM app生成K_IOPS。具体的，ME确定与IOPS网络建立链接可以是在ME搜索不到除IOPS网络以外的其他可接入网络的PLMN信息时，确定需要接入IOPS网络，或者，ME确定与IOPS网络建立链接可以是根据运营商配置ME接收到IOPS网络的PLMN信息后默认接入IOPS网络。

步骤2：ME触发与IOPS网络建立连接以接入IOPS网络，与IOPS网络进行主认证。

步骤3：ME获取到IOPS网络的主认证请求后，根据步骤1中ME获取到的IOPS PLMN ID，确定与IOPS核心网建立连接并执行接入认证，ME确定IOPS网络上下文信息的指示信息。其中IOPS网络上下文信息的指示信息用于指示需要使用IOPS网络上下文信息与 IOPS网络进行主认证。

具体的实现方式可以是ME确定AUTHENTICATION command命令，其中，AUTHENTICATION command中包括步骤3确定的IOPS网络上下文信息的指示信息。更具体的，ME将IOPS网络上下文信息的指示信息包括在AUTHENTICATION command消息中的P2域中，即AUTHENTICATION command中P2域内的值为IOPS网络上下文信息的指示信息。

步骤4：ME向USIM app发送IOPS网络上下文信息的指示信息。

可选的，如果K_IOPS由K_AUSF、K_SEAF或K_AMF推演，且ME确定USIM app不存储K_AUSF、K_SEAF或K_AMF，ME在步骤4中同时将K_AUSF、K_SEAF或K_AMF发送给USIM app。ME也可不进行确认直接发送K_AUSF、K_SEAF或K_AMF至USIM app。ME确定USIM app不存储K_AUSF、K_SEAF或K_AMF的方法可以为，ME没有从USIM app获取5G安全参数存储指示，具体可参考现有标准。

步骤5：USIM app根据IOPS网络上下文信息的指示信息确定需要使用与IOPS网络进行接入认证，USIM app确定推演K_IOPS，并使用该K_IOPS作为根密钥执行与IOPS网络的主认证流程。

可选的，USIM app还同时根据IOPS网络上下文信息的指示信息确定认证所需的其他参数信息，例如SQN。

步骤6：USIM app与网络侧使用K_IOPS作为根密钥执行主认证流程。具体可参照上述附图5A中步骤8的描述。

与上述附图5A实施例的不同在于，USIM app省去了根据IOPS指示信息调用存储过的K_IOPS的过程，省去了存储过程减少了存储负担。

为了更好地说明本申请的方案，附图7采用ME、用户身份识别模块(USIM app)(其中，ME与USIM app构成UE)、第一网络以及第二网络之间的数据交互为例来说明。在该实施例中，以第一网络为宏网，第二网络为IOPS网络(也即下文所述的IOPS核心网)，第一UDM属于宏网，第二UDM属于IOPS网络为例来说明，在图7中，具体如下：

步骤0-4同上述图6中的步骤0-4，在此不赘述。

可选的，ME不向USIM app发送推演K_IOPS所需的参数，USIM app主动向ME请求推演K_IOPS所需的参数，具体地，USIM app在获取到ME发送的IOPS网络上下文信息的指示信息后，向移动设备请求第一认证信息；USIM app根据第一认证信息确定第二认证信息，并采用第二认证信息与第二网络进行接入认证。具体可参照步骤5-6来理解。

步骤5：USIM app向ME请求获取K_AUSF、K_SEAF或K_AMF中的一项或多项。

步骤6：ME将K_AUSF、K_SEAF或K_AMF中的一项或多项发送至USIM app。

步骤7：USIM app推演K_IOPS，并使用该K_IOPS作为根密钥执行与IOPS网络的主认证流程。

步骤8：同上述图5A中的步骤8在此不赘述。

为了更好地说明本申请的方案，附图8A和8B采用ME、用户身份识别模块(USIM app)(其中，ME与USIM app构成UE，在图8A中UE包括USIM app，在图8B中UE的USIM app为可选的)、第一网络以及第二网络之间的数据交互为例来说明。在该实施例中，以第一网络为宏网，第二网络为IOPS网络(也即下文所述的IOPS核心网)，第一UDM属于宏网，第二UDM属于IOPS网络为例来说明，在图8A中，具体如下：

步骤0-1同上述图6中步骤0-1。

可选的，终端设备从第二网络获取的认证请求中包括：第二网络的指示信息，终端设备根据第二网络的指示信息、第二认证信息与第二网络进行接入认证。具体可参照下述步骤2来理解。

步骤2：IOPS网络向ME发起主认证请求，IOPS网络通过主认证请求指示UE本次主认证请求属于与IOPS网络进行主认证。

具体的，IOPS网络在主认证请求中携带IOPS指示信息，也可以是IOPS网络在认证向量中的认证管理字段(authentication management field，AMF)中携带IOPS指示信息，例如在认证管理字段的第8-15位中携带IOPS指示信息。

步骤3：ME获取到IOPS网络的主认证请求后，确定与IOPS核心网建立连接并执行接入认证，ME确定IOPS网络上下文信息的指示信息。其中IOPS网络上下文信息的指示信息用于指示需要使用IOPS网络上下文信息与IOPS网络进行主认证。

可选的，如果IOPS网络使用认证管理字段携带IOPS指示信息，则ME也可不确定IOPS网络上下文信息的指示信息来指示USIM app需要使用IOPS网络上下文信息与IOPS网络进行主认证，而改为由USIM app获取到认证管理字段后根据其中的IOPS指示信息确定获取K_IOPS后与IOPS核心网执行主认证流程。

步骤4：ME向USIM app发送IOPS网络上下文信息的指示信息。

可选的，如果IOPS网络使用AMF携带IOPS指示信息，则也可不由ME确定IOPS网络上下文信息的指示信息来指示USIM app需要使用IOPS网络上下文信息与IOPS网络进行主认证，而改为由USIM app获取到AMF后根据其中的IOPS指示信息确定获取K_IOPS 后与IOPS核心网执行主认证流程。

步骤5：USIM app根据IOPS网络上下文信息的指示信息确定需要使用与IOPS网络进行接入认证，USIM app确定需要使用K_IOPS执行主认证流程。

步骤6同上述图5A中的步骤8在此不赘述。

在图8B中，具体如下：

步骤0-2可参照上述图8A中步骤0-2的描述，在此不赘述。

步骤3：ME获取到IOPS网络的主认证请求后，确定与IOPS核心网建立连接并执行接入认证，ME确定K_IOPS并与网络侧使用K_IOPS作为根密钥执行主认证流程。其中，K_IOPS可以根据宏网和UE之间主认证流程中生成的CK和IK进一步推演，也可以根据宏网和UE之间主认证流程中生成的K_AUSF、K_SEAF或K_AMF进一步推演，此处不作限定。可参照上述图4步骤401中终端设备推演第二认证信息的方式来理解，在此不赘述。

上述主要从设备交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，为了实现上述功能，各个设备可以包括执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请的实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对设备进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

在采用集成的单元的情况下，图9示出了本申请实施例中所涉及的通信装置的可能的示例性框图。如图9所示，通信装置900可以包括：处理单元901和收发单元902。处理单元901用于对通信装置900的动作进行控制管理。收发单元902用于支持通信装置900与其他设备的通信。可选地，收发单元902可以包括接收单元和/或发送单元，分别用于执行接收和发送操作。可选的，通信装置900还可以包括存储单元，用于存储通信装置900的程序代码和/或数据。所述收发单元可以称为输入输出单元、通信单元等，所述收发单元可以是收发器；所述处理单元可以是处理器。当通信装置是通信设备中的模块(如，芯片)时，所述收发单元可以是输入输出接口、输入输出电路或输入输出管脚等，也可以称为接口、通信接口或接口电路等；所述处理单元可以是处理器、处理电路或逻辑电路等。具体地，该装置可以为上述的UE等。

在一个实施例中，通信装置900的处理单元901，用于根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息；第一网络与第二网络不同；收发单元902，用于接收来自第二网络的认证请求后，根据第二认证信息与第二网络进行接入认证。

可选的，收发单元902接收到来自第一网络的用于指示终端设备生成第二认证信息的指示信息的情况下，处理单元901根据接入第一认证信息确定第二认证信息；和/或，通信装置具有接入第二网络的能力的情况下，处理单元902根据第一认证信息确定第二认证信息；和/或，收发单元902接收到第二网络的标识信息，确定与第二网络建立连接的情况下，处理单元901根据第一认证信息确定第二认证信息。

可选的，通信装置900包括：移动设备和用户身份识别模块，移动设备指示用户身份识别模块根据第一认证信息确定第二认证信息；用户身份识别模块根据第一认证信息确定第二认证信息。

可选的，移动设备通过第二网络的上下文信息的指示信息指示用户身份识别模块获取第二认证信息。

可选的，移动设备接收来自第二网络的认证请求后，将第二网络的上下文信息的指示信息发送至用户身份识别模块；用户身份识别模块根据第二网络的上下文信息的指示信息，获取第二网络的上下文中的第二认证信息；采用第二认证信息与第二网络进行接入认证。

可选的，第一认证信息与第二认证信息存储于用户身份识别模块。

可选的，用户身份识别模块向移动设备请求第一认证信息；用户身份识别模块根据第一认证信息确定第二认证信息，并采用第二认证信息与第二网络进行接入认证。

可选的，认证请求中包括：第二网络的指示信息，终端设备根据第二网络的指示信息、第二认证信息与第二网络进行接入认证。

可选的，处理单元901用于将第一认证信息作为输入参数，生成第二认证信息。

可选的，第一认证信息包括以下中的一种或多种：CK、IK、SQN参数、K_AUSF、K_SEAF、K_AMF。

可选的，第一网络为IOPS网络或私网，第二网络为宏网络；或，第一网络为宏网络，第二网络为IOPS网络或私网。

如图10所示，为本申请还提供的一种通信装置1000。通信装置1000可以是芯片或芯片系统。该通信装置可以位于上述任一方法实施例所涉及的设备中，例如UE等，以执行该设备所对应的动作。

可选的，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

通信装置1000包括处理器1010。

处理器1010，用于执行存储器1020中存储的计算机程序，以实现上述任一方法实施例中各个设备的动作。

通信装置1000还可以包括存储器1020，用于存储计算机程序。

可选地，存储器1020和处理器1010之间耦合。耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。可选的，存储器1020与处理器1010集成在一起。

其中，处理器1010和存储器1020均可以为一个或多个，不予限制。

可选的，在实际应用中，通信装置1000中可以包括收发器1030，也可不包括收发器1030，图中以虚线框来示意，通信装置1000可以通过收发器1030和其它设备进行信息交互。收发器1030可以是电路、总线、收发器或者其它任意可以用于进行信息交互的装置。

在一种可能的实施方式中，该通信装置1000可以为上述各方法实施中的UE。

本申请实施例中不限定上述收发器1030、处理器1010以及存储器1020之间的具体连接介质。本申请实施例在图10中以存储器1020、处理器1010以及收发器1030之间通过总线连接，总线在图10中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10 中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实施或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)。存储器还可以是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实施存储功能的装置，用于存储计算机程序、程序指令和/或数据。

基于以上实施例，参见图11，本申请实施例还提供另一种通信装置1100，包括：接口电路1110和逻辑电路1120；接口电路1110，可以理解为输入输出接口，可用于执行上述任一方法实施例中各个设备的收发步骤，逻辑电路1120可用于运行代码或指令以执行上述任一实施例中各个设备执行的方法，不再赘述。

基于以上实施例，本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质存储有指令，当所述指令被执行时，使上述任一方法实施例中各个设备执行的方法被实施，例如，使得图4所示实施例中终端设备执行的方法被实施。该计算机可读存储介质可以包括：U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

基于以上实施例，本申请实施例提供一种通信系统，该通信系统包括上述任一方法实施例中提及的终端设备，可用于执行上述任一方法实施例中各个设备执行的方法。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理装置的处理器以产生一个机器，使得通过计算机或其他可编程数据处理装置的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理装置以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理装置上，使得在计算机或其他可编程装置上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程装置上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims

一种通信方法，其特征在于，包括：

终端设备根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息；所述第一网络与所述第二网络不同；

所述终端设备接收来自所述第二网络的认证请求后，根据所述第二认证信息与所述第二网络进行接入认证。
根据权利要求1所述的方法，其特征在于，所述终端设备根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息，包括：

所述终端设备接收到来自所述第一网络的用于指示所述终端设备生成第二认证信息的指示信息的情况下，根据接入所述第一认证信息确定所述第二认证信息；和/或，

所述终端设备具有接入所述第二网络的能力的情况下，根据所述第一认证信息确定所述第二认证信息；和/或，

所述终端设备接收到所述第二网络的标识信息，确定与所述第二网络建立连接的情况下，根据所述第一认证信息确定所述第二认证信息。
根据权利要求1或2所述的方法，其特征在于，所述终端设备包括：移动设备和用户身份识别模块，所述终端设备根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息包括：

所述移动设备指示所述用户身份识别模块根据所述第一认证信息确定所述第二认证信息；

所述用户身份识别模块根据所述第一认证信息确定所述第二认证信息。
根据权利要求3所述的方法，其特征在于，所述移动设备指示所述用户身份识别模块根据所述第一认证信息确定所述第二认证信息，包括：

所述移动设备通过所述第二网络的上下文信息的指示信息指示所述用户身份识别模块获取所述第二认证信息。
根据权利要求3或4所述的方法，其特征在于，所述终端设备接收来自所述第二网络的认证请求后，根据所述第二认证信息与所述第二网络进行接入认证，包括：

所述移动设备接收来自所述第二网络的认证请求后，所述移动设备将所述第二网络的上下文信息的指示信息发送至所述用户身份识别模块；

所述用户身份识别模块根据所述第二网络的上下文信息的指示信息，获取所述第二认证信息；

所述用户身份识别模块采用所述第二认证信息与所述第二网络进行接入认证。
根据权利要求4或5所述的方法，其特征在于，所述第一认证信息和所述第二认证信息存储于所述用户身份识别模块。
根据权利要求5所述的方法，其特征在于，所述用户身份识别模块采用所述第二认证信息与所述第二网络进行接入认证，包括：

所述用户身份识别模块向所述移动设备请求所述第一认证信息；

所述用户身份识别模块根据所述第一认证信息确定所述第二认证信息，并采用所述第二认证信息与所述第二网络进行接入认证。
根据权利要求1-7中任一所述的方法，其特征在于，所述认证请求中包括：所述第二网络的指示信息，根据所述第二认证信息与所述第二网络进行接入认证，包括：

所述终端设备根据所述第二网络的指示信息确定使用所述第二认证信息与所述第二网络进行接入认证。
根据权利要求1-8中任一所述的方法，其特征在于，所述终端设备根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息，包括：

所述终端设备将所述第一认证信息作为输入参数，获取所述第二认证信息。
根据权利要求1-9中任一所述的方法，其特征在于，所述第一认证信息包括以下中的一种或多种：机密性密钥CK、完整性密钥IK、序号SQN、AUSF密钥K_AUSF、SEAF密钥K_SEAF、AMF密钥K_AMF。
根据权利要求1-10中任一所述的方法，其特征在于，所述第一网络为公共安全隔离运营IOPS网络或私网，所述第二网络为宏网络；或，所述第一网络为所述宏网络，所述第二网络为所述IOPS网络或所述私网。
一种通信装置，其特征在于，包括：

处理单元，用于根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息；所述第一网络与所述第二网络不同；

收发单元，用于接收来自所述第二网络的认证请求后，根据所述第二认证信息与所述第二网络进行接入认证。
根据权利要求12所述的装置，其特征在于，所述收发单元用于：

接收到来自所述第一网络的用于指示所述通信装置生成第二认证信息的指示信息的情况下，根据接入所述第一认证信息确定所述第二认证信息；和/或，

所述通信装置具有接入所述第二网络的能力的情况下，根据所述第一认证信息确定所述第二认证信息；和/或，

接收到所述第二网络的标识信息，确定与所述第二网络建立连接的情况下，根据所述第一认证信息确定所述第二认证信息。
根据权利要求12或13所述的装置，其特征在于，所述通信装置包括：移动设备和用户身份识别模块，所述处理单元用于：

通过所述移动设备指示所述用户身份识别模块根据所述第一认证信息确定所述第二认证信息；

通过所述用户身份识别模块根据所述第一认证信息确定所述第二认证信息。
根据权利要求14所述的装置，其特征在于，所述处理单元用于：

通过所述第二网络的上下文信息的指示信息指示所述用户身份识别模块获取所述第二认证信息。
根据权利要求14或15所述的装置，其特征在于，所述收发单元用于：

通过所述移动设备接收来自所述第二网络的认证请求后，所述移动设备将所述第二网络的上下文信息的指示信息发送至所述用户身份识别模块；

通过所述用户身份识别模块根据所述第二网络的上下文信息的指示信息，获取所述第二认证信息；所述用户身份识别模块采用所述第二认证信息与所述第二网络进行接入认证。
根据权利要求15或16所述的装置，其特征在于，所述第一认证信息和所述第二认证信息存储于所述用户身份识别模块。
根据权利要求16所述的装置，其特征在于，所述处理单元用于：

向所述移动设备请求所述第一认证信息；

根据所述第一认证信息确定所述第二认证信息，并采用所述第二认证信息与所述第二网络进行接入认证。
根据权利要求12-18中任一所述的装置，其特征在于，所述认证请求中包括：所述第二网络的指示信息，所述处理单元，用于：

根据所述第二网络的指示信息确定使用所述第二认证信息与所述第二网络进行接入认证。
根据权利要求12-19中任一所述的装置，其特征在于，所述处理单元用于：

将所述第一认证信息作为输入参数，获取所述第二认证信息。
根据权利要求12-20中任一所述的装置，其特征在于，所述第一认证信息包括以下中的一种或多种：机密性密钥CK、完整性密钥IK、序号SQN、AUSF密钥K_AUSF、SEAF密钥K_SEAF、AMF密钥K_AMF。
根据权利要求12-21中任一所述的装置，其特征在于，所述第一网络为公共安全隔离运营IOPS网络或私网，所述第二网络为宏网络；或，所述第一网络为所述宏网络，所述第二网络为所述IOPS网络或所述私网。
一种通信装置，其特征在于，包括：至少一个处理器和存储器；

所述存储器，用于存储计算机程序或指令；

所述至少一个处理器，用于执行所述计算机程序或指令，以使得如权利要求1-11中任一项所述的方法被执行。
一种芯片系统，其特征在于，所述芯片系统包括：处理电路；所述处理电路与存储介质耦合；

所述处理电路，用于执行所述存储介质中的部分或者全部计算机程序或指令，当所述部分或者全部计算机程序或指令被执行时，用于实现如权利要求1-11中任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有指令，当所述指令被计算机执行时，使得如权利要求1-11中任一项所述的方法被执行。
一种包含计算机程序或指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得上述权利要求1-11中任一项所述的方法被执行。
一种通信方法，其特征在于，包括：

终端设备根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息；所述第一网络与所述第二网络不同；

所述第二网络向所述终端设备发送认证请求；

所述终端设备接收来自所述第二网络的认证请求后，根据所述第二认证信息与所述第二网络进行接入认证。
一种通信系统，其特征在于，包括终端设备和通信设备，其中：

所述终端设备用于：

根据与第一网络进行接入认证所用的第一认证信息确定与第二网络进行接入认证所用的第二认证信息；所述第一网络与所述第二网络不同；

接收来自所述第二网络的认证请求后，根据所述第二认证信息与所述第二网络进行接入认证；

所述通信设备为所述第二网络的设备，且用于向所述终端设备发送所述认证请求。