CN112087724A - 一种通信方法、网络设备、用户设备和接入网设备 - Google Patents

Abstract

本申请提供了一种通信方法，包括：第一网络设备接收用户设备UE发送的加密的第一群组列表，第一群组列表包括UE请求接入的一个或多个群组的标识；第一网络设备解密加密的第一群组列表，以得到第一闭合访问业务标识组；第一网络设备确定统一数据管理UDM保存的签约群组列表；第一网络设备根据第一群组列表和签约群组列表，确定第二群组列表，第二群组列表包括允许UE接入的群组的标识；当存在第二群组列表时，第一网络设备向接入网设备发送第二群组列表。通过第一网络设备接收UE以加密方式发送的UE请求接入群组列表并进行解密，避免了数据泄露，保护了UE的隐私。

Description

一种通信方法、网络设备、用户设备和接入网设备

技术领域

本申请涉及通信领域，具体涉及一种通信方法、用户设备、接入网设备和网络设备。

背景技术

群组允许一个或多个特定小区的一群签约用户接入。群组的接入需要用户设备(user equipment，UE)、接入网设备和核心网的支持。在UE接入群组时，核心网与UE进行信息的传输以完成校验。在信息传输过程中，需要核心网设备和UE之间实现数据交互的信号可靠有效，不发生数据泄露，保护UE的隐私。

发明内容

本申请提供一种通信方法、网络设备、用户设备和接入网设备，能够避免数据泄露，保护UE的隐私。

第一方面，提供了一种通信方法，包括：第一网络设备接收用户设备UE发送的加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；所述第一网络设备解密所述加密的第一群组列表，以得到第一闭合访问业务标识组；所述第一网络设备确定统一数据管理UDM保存的签约群组列表；所述第一网络设备根据所述第一群组列表和所述签约群组列表，确定第二群组列表，第二群组列表包括允许所述UE接入的群组的标识；当存在所述第二群组列表时，所述第一网络设备向所述接入网设备发送所述第二群组列表。

通过第一网络设备接收UE以加密方式发送的请求接入群组列表并进行解密，避免了数据泄露，保护了UE的隐私。第一网络设备将允许UE接入的群组的标识发送至接入网设备，接入网设备可以为UE接入群组后的数据传输进行准备。

结合第一方面，在一些可能的实现方式中，所述第一网络设备接收UE发送的加密的第一群组列表，包括：所述第一网络设备接收所述UE通过非接入层NAS安全模式SM完成消息发送的所述加密的第一群组列表；或者，所述第一网络设备接收所述UE通过NAS安全上下文保护的上行NAS消息发送的所述加密的第一群组列表。

通过NASSM完成消息或者NAS安全上下文保护的上行NAS消息，第一网络设备接收加密的第一群组列表，实现了对第一群组列表的加密传输，不需要增加额外的流程。接收UE通过NAS SM完成消息发送加密的第一群组列表，可以减少UE与第一网络设备之间的信息交互，降低对系统的影响。

结合第一方面，在一些可能的实现方式中，所述方法还包括：当不存在所述第二群组列表时，所述第一网络设备根据所述UE与所述第一网络设备之间的共享密钥计算得到消息验证码；所述第一网络设备向所述接入网设备发送注册拒绝消息，所述消息验证码用于所述UE验证所述注册拒绝消息。

通过第一网络设备发送的消息验证码，UE可以对注册拒绝消息进行验证，避免UE因为伪造或修改后的注册拒绝消息导致无法接入群组。

结合第一方面，在一些可能的实现方式中，所述方法包括：所述第一网络设备接收所述接入网设备发送的第三群组列表，所述第三群组列表包括所述接入网设备支持的群组的标识，所述第一网络设备根据所述第一群组列表和所述签约群组列表，确定第二群组列表，包括：所述第一网络设备根据所述第一群组列表、所述第三群组列表和所述签约群组列表，确定所述第二群组列表。

通过第一接入网设备对接入网设备支持的群组列表、UE请求接入的群组列表、签约群组列表进行校验，保证允许UE接入的群组的准确。

结合第一方面，在一些可能的实现方式中，所述方法包括：所述第一网络设备接收所述接入网设备发送的接入群组请求信息，接入群组请求信息用于指示UE请求接入群组。

第二方面，提供了一种通信方法，包括：用户设备UE利用非接入层NAS安全上下文对第一群组列表进行加密，以获得加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；所述UE发送所述加密的第一群组列表。

UE以加密方式发送的请求接入群组列表，避免了数据泄露，保护了UE的隐私。

结合第二方面，在一些可能的实现方式中，所述UE发送所述加密的第一群组列表，包括：所述UE通过NAS安全模式SM完成消息向所述第一网络设备发送所述加密的第一群组列表；或者，所述UE通过NAS安全上下文保护的上行NAS消息发送所述加密的第一群组列表。

UE通过NASSM完成消息或者NAS安全上下文保护的上行NAS消息发送加密的第一群组列表，实现了对第一群组列表的加密传输，不需要增加额外的流程。UE通过NAS SM完成消息发送加密的第一群组列表，可以减少UE与第一网络设备之间的信息交互，降低对系统的影响。

结合第二方面，在一些可能的实现方式中，所述方法还包括：所述UE接收第一网络设备发送的注册拒绝消息，所述注册拒绝消息包括消息验证码，所述UE根据所述消息验证码验证所述注册拒绝消息。

通过UE根据消息验证码对注册拒绝消息进行验证，避免UE因为伪造或修改后的注册拒绝消息导致无法接入群组。

结合第二方面，在一些可能的实现方式中，所述方法包括：所述UE向所述接入网设备发送接入群组请求信息，接入群组请求信息用于指示UE请求接入群组。

第三方面，提供一种通信方法，包括：接入网设备接收用户设备UE发送的加密的第一群组列表，所述第一闭合访问业务标识组包括所述UE请求接入的一个或多个群组务的标识；所述接入网设备发送所述加密的第一群组列表；所述接入网设备接收第一网络设备发送的第二群组列表，所述第二群组列表包括允许所述UE接入的一个或多个群组的标识；所述接入网设备向所述UE发送所述一个或多个群组的服务质量QoS。

结合第三方面，在一些可能的实现方式中，所述方法包括：所述接入网设备接收所述UE向发送的接入群组请求信息，接入群组请求信息用于指示UE请求接入群组。

在UE接入群组的过程中，接入网设备接收网络设备发送的允许所述UE接入的群组的标识，为后续UE接入群组进行准备，能够减小系统延时。

第四方面，提供一种网络设备，包括：收发模块、解密模块和确定模块；收发模块，用于接收用户设备UE发送的加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；解密模块，用于对所述加密的第一群组列表进行解密，以得到第一闭合访问业务标识组；确定模块，用于确定统一数据管理UDM网元确定保存的签约群组列表；确定模块还用于，根据所述第一群组列表和所述签约群组列表，确定第二群组列表，第二群组列表包括允许所述UE接入的群组的标识；收发模块还用于，当存在所述第二群组列表时，所述第一网络设备向所述接入网设备发送所述第二群组列表。

结合第四方面，在一些可能的实现方式中，收发模块用于，接收所述UE通过非接入层NAS安全模式SM完成消息发送的所述加密的第一群组列表。

结合第四方面，在一些可能的实现方式中，所述用户设备还包括计算模块，计算模块用于，当不存在所述第二群组列表时，根据所述UE与所述第一网络设备之间的共享密钥计算得到消息验证码；所述收发模块还用于，向所述接入网设备发送注册拒绝消息，所述消息验证码用于所述UE验证所述注册拒绝消息。

结合第四方面，在一些可能的实现方式中，所述收发模块还用于，接收所述接入网设备发送的第三群组列表，所述第三群组列表包括所述接入网设备支持的群组的标识，确定模块用于，根据所述第一群组列表、所述第三群组列表和所述签约群组列表，确定所述第二群组列表。

第五方面，提供一种用户设备，包括：加密模块和收发模块；加密模块用于，利用非接入层NAS安全上下文对第一群组列表进行加密，以获得加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；收发模块用于，发送所述加密的第一群组列表。

结合第五方面，在一些可能的实现方式中，收发模块用于，通过NAS安全模式SM完成消息向所述第一网络设备发送所述加密的第一群组列表；或者，收发模块用于，通过NAS安全上下文保护的上行NAS消息发送所述加密的第一群组列表。

结合第五方面，在一些可能的实现方式中，所述收发模块还用于，接收第一网络设备发送的注册拒绝消息，所述注册拒绝消息包括消息验证码；所述用户设备还包括验证模块，验证模块用于根据所述消息验证码验证所述注册拒绝消息。

第六方面，提供一种接入网设备，其特征在于，包括：收发模块和生成模块；收发模块用于，接收用户设备UE发送的加密的第一群组列表，所述第一闭合访问业务标识组包括所述UE请求接入的一个或多个群组务的标识；收发模块还用于，发送所述加密的第一群组列表；收发模块还用于，接收第一网络设备发送的第二群组列表，所述第二群组列表包括允许所述UE接入的一个或多个群组的标识；生成模块用于根据所述一个或多个群组的标识生成所述一个或多个群组的服务质量QoS信息；收发模块还用于，向所述UE发送所述服务质量QoS信息。

第七方面，提供一种网络设备，包括：处理器和通信接口；所述通信接口用于，接收用户设备UE发送的加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；所述处理器用于，对所述加密的第一群组列表进行解密，以得到第一闭合访问业务标识组；所述处理器还用于，确定统一数据管理UDM网元确定保存的签约群组列表；所述处理器还用于，根据所述第一群组列表和所述签约群组列表，确定第二群组列表，第二群组列表包括允许所述UE接入的群组的标识；当存在所述第二群组列表时，所述第一网络设备向所述接入网设备发送所述第二群组列表。

结合第七方面，在一些可能的实现方式中，所述通信接口用于，接收所述UE通过非接入层NAS安全模式SM完成消息发送的所述加密的第一群组列表。

结合第七方面，在一些可能的实现方式中，当不存在所述第二群组列表时，所述处理器还用于，根据所述UE与所述第一网络设备之间的共享密钥计算得到消息验证码；所述通信接口还用于，向所述接入网设备发送注册拒绝消息，所述消息验证码用于所述UE验证所述注册拒绝消息。

结合第七方面，在一些可能的实现方式中，所述通信接口还用于，接收所述接入网设备发送的第三群组列表，所述第三群组列表包括所述接入网设备支持的群组的标识，所述处理器用于，根据所述第一群组列表、所述第三群组列表和所述签约群组列表，确定所述第二群组列表。

第八方面，提供一种用户设备，包括：处理器和通信接口；所述处理器用于，利用非接入层NAS安全上下文对第一群组列表进行加密，以获得加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；所述通信接口用于，发送所述加密的第一群组列表。

结合第八方面，在一些可能的实现方式中，所述通信接口用于，通过NAS安全模式SM完成消息向所述第一网络设备发送所述加密的第一群组列表；或者，所述通信接口用于，通过NAS安全上下文保护的上行NAS消息发送所述加密的第一群组列表。

结合第八方面，在一些可能的实现方式中，所述通信接口还用于，接收第一网络设备发送的注册拒绝消息，所述注册拒绝消息包括消息验证码，所述消息验证码用于所述UE验证所述注册拒绝消息。

第九方面，提供一种接入网设备，包括：处理器和通信接口；所述通信接口用于，接收用户设备UE发送的加密的第一群组列表，所述第一闭合访问业务标识组包括所述UE请求接入的一个或多个群组务的标识；所述通信接口还用于，发送所述加密的第一群组列表；所述通信接口还用于，接收第一网络设备发送的第二群组列表，所述第二群组列表包括允许所述UE接入的一个或多个群组的标识；所述通信接口还用于，向所述UE发送所述一个或多个群组的服务质量QoS。

第十方面，提供一种通信系统，包括上文所述的接入网设备、网络设备、用户设备。

第十一方面，提供一种计算机程序存储介质，所述计算机程序存储介质具有程序指令，当所述程序指令被执行时，使得上文所述的方法被执行。

第十二方面，提供一种芯片，所述芯片包括至少一个处理器，当程序指令被所述至少一个处理器中执行时，使得上文所述的方法被执行。

附图说明

图1是适用于本申请实施例提供的方法的网络架构的示意图。

图2是一种终端设备接入群组的方法的示意性流程图。

图3是本申请一个实施例提供的一种通信方法的示意性流程图。

图4是一种接入层安全模式建立的示意性流程图。

图5是一种非接入层安全模式建立的示意性流程图。

图6是一种鉴权认证的示意性流程图。

图7是本申请另一个实施例提供的一种通信方法的示意性流程图。

图8是本申请又一个实施例提供的一种通信方法的示意性流程图。

图9是本申请又一个实施例提供的一种通信方法的示意性流程图。

图10是本申请又一个实施例提供的一种通信方法的示意性流程图。

图11是本申请又一个实施例提供的一种通信方法的示意性流程图。

图12是本申请又一个实施例提供的一种通信方法的示意性流程图。

图13是本申请一个实施例提供的一种用户设备的示意性结构图。

图14是本申请一个实施例提供的一种网络设备的示意性结构图。

图15是本申请一个实施例提供的一种接入网设备的示意性结构图。

图16是本申请另一个实施例提供的一种用户设备的示意性结构图。

图17是本申请另一个实施例提供的一种网络设备的示意性结构图。

图18是本申请另一个实施例提供的一种接入网设备的示意性结构图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通信(globalsystem for mobile communications，GSM)系统、码分多址(code division multipleaccess，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(long termevolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobiletelecommunication system，UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access，WiMAX)通信系统、未来的第五代(5th generation，5G)系统或新无线(new radio，NR)等。

应理解，本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定，只要能够通过运行记录有本申请实施例的提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可，例如，本申请实施例提供的方法的执行主体可以是终端或网络设备，或者，是UE或网络设备中能够调用程序并执行程序的功能模块。

为便于理解本申请实施例，首先结合图1详细说明本申请实施例的一个应用场景。

图1是适用于本申请实施例提供的方法的网络架构的示意图。图1所示的网络架构具体可以包括下列网元：

1、用户设备(user equipment，UE)：可以称终端设备、终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。UE还可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备等，还可以是端设备，逻辑实体，智能设备，如手机，智能终端等终端设备，或者服务器，网关，基站，控制器等通信设备，或者物联网设备，如传感器，电表，水表等物联网(Internet ofthings，IoT)设备。UE还可以是有线设备，如计算机、笔记本电脑等。本申请实施例对此并不限定。

2、接入网(access network，AN)：为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等使用不同质量的传输隧道。接入网络可以为采用不同接入技术的接入网络。目前的无线接入技术有两种类型：第三代合作伙伴计划(3rd GenerationPartnership Project，3GPP)接入技术(例如3G、4G或5G系统中采用的无线接入技术)和非第三代合作伙伴计划(non-3GPP)接入技术。3GPP接入技术是指符合3GPP标准规范的接入技术，采用3GPP接入技术的接入网络称为无线接入网络(Radio Access Network，RAN)，其中，5G系统中的接入网设备称为下一代基站节点(next generation Node Base station，gNB)。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以wifi中的接入点(access point，AP)为代表的空口技术。

基于有线通信技术实现接入网络功能的接入网可以称为有线接入网。

基于无线通信技术实现接入网络功能的接入网可以称为无线接入网(radioaccess network，RAN)。无线接入网能够管理无线资源，为终端提供接入服务，进而完成控制信号和用户数据在终端和核心网之间的转发。

无线接入网例如可以是基站(NodeB)、演进型基站(evolved NodeB，eNB或eNodeB)、5G移动通信系统中的基站(gNB)、未来移动通信系统中的基站或WiFi系统中的AP等，还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该接入网设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等。本申请的实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。

3、接入和移动管理功能(access and mobility management function，AMF)实体：主要用于移动性管理和接入管理等，可以用于实现移动性管理实体(mobilitymanagement entity，MME)功能中除会话管理之外的其它功能，例如，合法监听、或接入授权(或鉴权)等功能。在本申请实施例中，可用于实现接入和移动管理网元的功能。

4、会话管理功能(session management function，SMF)实体：主要用于会话管理、UE的网际协议(internet protocol，IP)地址分配和管理、选择可管理用户平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。在本申请实施例中，可用于实现会话管理网元的功能。

5、用户平面功能(user plane function，UPF)实体：即，数据面网关。可用于分组路由和转发、或用户面数据的服务质量(quality of service，QoS)处理等。用户数据可通过该网元接入到数据网络(data network，DN)。在本申请实施例中，可用于实现用户面网关的功能。

6、数据网络(DN)：用于提供传输数据的网络。例如，运营商业务的网络、因特(Internet)网、第三方的业务网络等。

7、认证服务功能(authentication server function，AUSF)实体：主要用于用户鉴权等。

8、网络开放功能(network exposure function，NEF)实体：用于安全地向外部开放由3GPP网络功能提供的业务和能力等。

9、网络存储功能((network function(NF)repository function，NRF)实体：用于保存网络功能实体以及其提供服务的描述信息，以及支持服务发现，网元实体发现等。

10、策略控制功能(policy control function，PCF)实体：用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF，SMF网元等)提供策略规则信息等。

11、统一数据管理(unified data management，UDM)实体：用于处理用户标识、接入鉴权、注册、或移动性管理等。

12、应用功能(application function，AF)实体：用于进行应用影响的数据路由，接入网络开放功能网元，或，与策略框架交互进行策略控制等。

在该网络架构中，N1接口为终端与AMF实体之间的参考点；N2接口为AN和AMF实体的参考点，用于非接入层(non-access stratum，NAS)消息的发送等；N3接口为(R)AN和UPF实体之间的参考点，用于传输用户面的数据等；N4接口为SMF实体和UPF实体之间的参考点，用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息；N6接口为UPF实体和DN之间的参考点，用于传输用户面的数据等。

图1中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从传统点到点的架构和服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

还应理解，图1中所示的AMF网元、SMF网元、UPF网元、NSSF网元、NEF网元、AUSF网元、NRF网元、PCF网元、UDM网元，均可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对此不做限定。执行核心网网元功能的设备又可以称为核心网设备或网络设备。

上述命名仅为用于区分不同的功能，并不代表这些网元分别为独立的物理设备，本申请对于上述网元的具体形态不作限定，例如，可以集成在同一个物理设备中，也可以分别是不同的物理设备。此外，上述命名仅为便于区分不同的功能，而不应对本申请构成任何限定，本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。在此进行统一说明，以下不再赘述。

为便于理解，在描述本申请实施例之前，首先对本申请涉及的几个术语做简单介绍。

1、鉴权与密钥协商(authentication and key agreement，AKA)：用户可以在开机发起注册过程中，与网络进行AKA过程。通过AKA过程可以实现终端和网络端的双向鉴权，使终端和网络端密钥达成一致，这样才能保证两者之间安全地通信。

2、密钥KSEAF：在UE注册过程中AUSF向SEAF发送的密钥；SEAF计算得到KAMF，再发送KAMF至AMF。SEAF与AMF可以独立部署，也可以合并部署。

3、密钥KAMF：在UE注册过程中UE和AMF分别获取到的密钥KAMF。密钥KAMF根据密钥KSEAF确定。KAMF与5G中的密钥集标识符(KSI in 5G，ngKSI)相关。例如，UE和AMF可以分别预先保存至少一个KAMF与至少一个ngKSI的一一对应关系。因此每个ngKSI可用于唯一地指示一个KAMF。KAMF可用于后续生成密钥KgNB。

4、密钥KgNB：由密钥KAMF派生出的密钥，即根据密钥KAMF，可以确定的密钥KgNB。例如，密钥KgNB可以基于密钥派生函数(key derivation function，KDF)等算法、KAMF等生成。

还应理解，上文列举的中间密钥、根密钥的名称仅为便于区分而命名，不应对本申请构成任何限定，本申请并不排除采用其他的名称来替代上述中间密钥或根密钥以实现相同或相似功能的可能。

5、加密密钥：发送端根据加密算法对明文进行加密以生成密文时输入的参数。若使用对称加密的方法，加密密钥和解密密钥是相同的。接收端可以根据相同的加密算法和加密密钥对密文进行解密。换句话说，发送端和接收端可以基于同一个密钥去加密和解密。

6、完整性保护密钥：发送端根据完整性保护算法对明文或密文进行完整性保护时输入的参数。接收端可以根据相同的完整性保护算法和完整性保护密钥对进行了完整性保护的数据进行完整性验证。

7、安全能力：包括但不限于：安全算法、安全参数、密钥等。在本申请实施例中，安全能力例如可以包括UE的安全能力和用户面网关的安全能力等。

8、安全算法：用于在对数据安全保护时使用的算法。例如可包括：加/解密算法、完整性保护算法等。

9、安全上下文：可以用于实现数据加解密和/或完整性保护的信息。安全上下文例如可以包括：加/解密密钥、完整性保护密钥、新鲜参数(比如NAS Count)、ngKSI以及安全算法。

普通蜂窝小区可允许运营商的所有合法签约用户(和漫游用户)接入。而群组允许一个或多个特定小区的一群签约用户接入。也就是说，可以接入群组的用户是受限的、有条件的。同一用户可属于多个群组，即可以接入多个群组。每个群组对应于一个群组标识。群组的接入需要UE、接入网设备和核心网的支持。

本申请实施例适用UE需要接入群组的场景，群组例如可以为闭合接入组(closedaccess group，CAG)，或者封闭用户组(closed subscriber group，CSG)等。下文以CAG为例进行描述。

图2是一种UE接入群组的方法的示意性流程图。

用户身份解密功能(subscription identifier de-concealing function，SIDF)网元可以配置在统一的数据管理功能(unified data management，UDM)网元中，也可独立部署。也就是说，UDM网元可以通过自己部署的SIDF，或者通过调用SIDF，提供用户身份解密功能。

UE配置有列表1，列表1可以称为被允许的CAG标识(identification，ID)列表(allowed CAG ID list)。列表1包括UE可以接入的CAG的标识。

在步骤101，接入网设备向UE发送列表2，列表2是小区支持的CAG ID列表，列表2包括小区支持的CAG的ID。

接入网设备通过广播的方式发送列表2。广播的内容可能没有加密保护，即接入网设备覆盖范围内的设备都可以获取接入网设备广播的信息。因此，接入网设备覆盖范围内的设备都可以获取列表2。

接入网设备也可以通过单播的方式发送列表2。单播的内容可能没有加密保护，即接入网设备覆盖范围内的设备都可以获取接入网设备单播的信息。因此，接入网设备覆盖范围内的设备都可以获取列表2。

在步骤102，UE对列表1和列表2进行匹配，获取列表1和列表2中均包含的CAG ID，即匹配的CAG ID(selected matching CAG ID)。UE获取第一匹配组，第一匹配组包括一个或多个匹配的CAG ID。列表1包括第一匹配组中的CAG ID，列表2中均包括第一匹配组中的CAG ID。或者说，列表1和列表2均包括第一匹配组。

在步骤103，UE向接入网设备发送注册请求(registration request，RR)信息和第一匹配组。

RR信息包括用户隐藏标识符(Subscriber Concealed Identifier，SUCI)。SUCI是根据归属网络公钥标识符(home network public key identifier)对应的公钥对用户永久标识(subscription permanent identifier，SUPI)进行加密得到的。归属网络公钥标识符用于指示SUPI加密和SUCI解密采用的公钥和/或私钥。也就是说，UE使用具有原始公钥(即归属网络公钥)的保护方案来生成SUCI。

UDM保存有归属网络公钥标识符对应的私钥。用于用户隐私的算法应在UDM的安全环境中执行。

SIDF用于根据SUCI解密以得到SUPI。当归属网络公钥用于SUPI的加密时，SIDF将使用安全存储在归属运营商网络中的归属网络私钥来解密SUCI。解密应在UDM中进行。应定义对SIDF的访问权限，以便仅允许归属网络的网元请求SIDF。

第一匹配组是通过无线资源控制(radio resource control，RRC)层发送的。

在步骤104，接入网设备向接入和移动管理功能(access and mobilitymanagement function，AMF)网元发送RR信息和第二匹配组。

第二匹配组可以与第一匹配组相同。

在步骤104之前，可选的，接入网设备可以对第一匹配组与列表2进行匹配，以获得第二匹配组。第二匹配组包括一个或多个CAG ID。第一匹配组和列表2均包括第二匹配组。通过接入网设备的匹配，可以降低UE接入CAG注册错误的概率。

RR信息和第二匹配组是通过接入网设备与AMF网元之间的N2接口发送的。

在步骤105之前，AMF向统一的数据管理功能(unified data management，UDM)/(subscription identifier de-concealing function，SIDF)网元发送认证请求消息至身份验证服务器功能(authentication server function，AUSF)，其中携带SUCI。AUSF发送得到请求之前UDM，其中携带SUCI

UDM/SIDF网元根据SUCI，确定UE的SUPI。

在步骤105，鉴权认证和安全流程。

鉴权认证流程和安全流程可以参见协议第三代合作伙伴计划(3rd generationpartnership project，3GPP)技术规范(technical specification，TS)33.501V15.4.0(2019-03)。在身份认证过程中，UDM/SIDF网元生成认证向量，并发送至AUSF网元。

鉴权认证流程中，经过AUSF网元、SEAF网元和UE之间的认证过程后，AUSF网元向SEAF网元发送密钥KSEAF。SEAF网元根据密钥KSEAF生成密钥KAMF，并向AMF网元发送密钥KAMF。SEAF网元也可以部署在AMF网元所在的设备中。SEAF网元向UE发送密钥集标识符(keyset identifier，KSI)。KSI可以是5G密钥集标识符(key set identifier in 5G，ngKSI)。UE通过该KSI可以确定密钥KAMF。通过上述方式，UE和AMF网元实现了密钥KAMF的共享。上述给出了一种认证的实现方式，不排除认证方式进一步演进，以及其他双向认证的机制。本专利不做赘述。

在鉴权认证流程之后，可以进行非接入层(non-access stratum，NAS)安全模式命令(security mode command，SMC)和接入层(access stratum，AS)安全模式命令(securitymode command，SMC)。

在步骤106之前，UDM/SIDF网元根据SUPI确定UE的签约数据。签约数据也可以称为签约信息。UE的签约数据包括列表3，列表3包括网络侧允许UE接入的CAG ID。列表3包括一个或多个CAG ID。

在步骤106，AMF网元接收UDM/SIDF网元发送的列表3。

在步骤107，AMF网元对第二匹配组和列表3进行匹配。AMF检查第二匹配组和列表3是否包括至少一个相同的CAG ID。该至少一个相同的CAG ID作为目标CAG ID

如果存在目标CAG ID，进行步骤108a。

在步骤108a，AMF向UE发送注册接受信息。

如果不存在目标CAG ID，进行步骤108b。

在步骤108b，AMF向UE发送注册拒绝信息。

在步骤108b之后，UE从列表1中删除第一匹配组对应的CAG ID。

通过上述方式，可以使UE进行对应的CAG业务。

UE希望进行的CAG业务与UE的类型有关，每种CAG业务仅特定的UE可以接入和使用。因此，UE希望进行的CAG业务涉及隐私。UE向接入网设备发送第一匹配组时，攻击者通过窃听空口从而获取UE请求接入的CAG ID，泄露隐私。

为了解决上述问题，本申请实施例提供了一种通信方法。通过加密的方式发送UE请求接入的CAG ID。通过该方式，可以降低隐私泄露的可能性。

图3是本申请实施例提供的一种通信方法的示意性流程图。

在步骤201，UE生成加密的第一群组列表。

群组列表又可以称为群组标识集合。第一群组列表包括UE请求接入的一个或多个群组的标识。群组例如可以是CAG、CSG等。

UE请求接入的一个或多个群组的标识可以是配置给UE的第二群组列表的全部或部分标识。

在步骤202，UE发送加密的第一群组列表。

UE可以向AMF网元发送加密的第一群组列表。

在一些实施例中，UE可以与AMF网元建立NAS安全上下文，即建立NAS安全模式。NAS安全上下文的建立可以参见图4。

UE可以通过NAS安全上下文建立过程中的NASSM完成消息向AMF网元发送第一群组组。UE也可以在NAS安全上下文建立之后，向AMF网元发送所述加密的第一群组列表，即UE可以通过NAS安全上下文保护的NAS消息向AMF网元发送第一群组列表。

UE可以与AMF网元进行认证，以获取共享密钥。UE的认证可以参见图6。UE可以根据该共享密钥与AMF网元建立NAS安全上下文。NAS安全上下文的建立可以参见图4。

AMF可以对UE发送的加密的第一群组列表进行解密。AMF可以通机密性算法对加密的第一群组列表进行解密。

在另一些实施例中，UE可以通过AMF公钥对第一群组列表进行加密。UE可以向AMF网元发送加密的第一群组列表。AMF公钥可以是AMF向UE发送的，或者可以是UE预配置的。

AMF网元配置有AMF公钥对应的AMF私钥。AMF网元可以根据AMF私钥对加密的第一群组列表进行解密。

UE可以向UDM网元发送加密的第一群组列表。

UE可以根据所述归属网络密钥对所述第一群组列表进行加密，以得到加密的第一群组列表。

UE可以向UDM网元发送加密的第一群组列表和归属网络公钥标识符。归属网络公钥标识符用于指示所述归属网络密钥。

UDM网元接收加密的第一群组列表和归属网络公钥标识符。UDM网元可以根据归属网络公钥标识符确定归属网络私钥。UDM网元可以根据归属网络私钥对加密的第一群组列表进行解密。

UE可以向接入网设备发送加密的第一群组列表。

在一些实施例中，UE可以与接入网设备建立AS安全上下文，即建立AS安全模式。AS安全上下文的建立可以参见图5。

UE可以通过AS安全上下文建立过程中的ASSM完成消息向接入网设备发送第一群组列表。UE也可以在AS安全上下文建立之后，向接入网设备发送所述加密的第一群组列表，即UE可以通过AS安全上下文保护的AS消息向接入网设备发送第一群组。

AMF向接入网设备分发KgNB。UE根据KAMF生成KgNB。之后UE与接入网设备可以建立接入层AS安全模式SM。

接入网设备可以对UE发送的加密的第一群组列表进行解密。接入网设备可以通机密性算法对加密的第一群组列表进行解密。

接入网设备可以对接收的加密的第一群组列表进行解密。接入网设备可以通过机密性算法对加密的第一群组列表进行解密。在另一些实施例中，UE可以通过接入网设备公钥对第一群组列表进行加密。UE可以向接入网设备发送加密的第一群组列表。接入网设备公钥可以是接入网设备向UE发送的，或者可以是UE预配置的。接入网设备配置有接入网设备公钥对应的AMF私钥。接入网设备可以根据接入网设备私钥对加密的第一群组列表进行解密。

可选地，UE可以接收AMF网元发送的注册拒绝消息。注册拒绝消息包括消息验证码，所述消息验证码用于所述UE验证所述注册拒绝消息。注册拒绝消息还可以包括拒绝码。拒绝码可以用于指示拒绝UE注册，或者拒绝码可以用于指示拒绝UE注册的原因。拒绝UE注册的原因可以是AMF网元校验失败，或者，UE认证失败等。AMF网元校验失败是指AMF网元确定不存在第二群组列表。第二群组列表包括UDM保存的签约群组列表与第一群组列表中相同的群组的标识。

可选地，UE可以向接入网设备发送接入群组请求信息，所述接入群组请求信息用于指示所述UE请求接入群组。

通过步骤201-步骤202，UE通过加密的方式发送第一群组列表，可以避免泄密。

图4是一种建立NAS安全上下文的示意性流程图。

在步骤301a，AMF网元启动完整性保护。

在步骤301b，AMF网元向UE发送NAS SM指令消息。NAS SM指令消息包括完整性算法，加密算法，NAS消息验证码(message authentication code，MAC)，UE安全能力、KSI等。该NAS MAC可以用于验证NAS SM指令消息的完整性。

在步骤301c，AMF网元启动上行链路解密

在步骤302a，UE验证NAS SM完成消息完整性。如果验证成功，UE启动上行链路加密，下行链路解密和完整性保护

在步骤302b，UE向AMF网元发送NAS安全模式完成消息。NAS安全模式完成消息包括NAS MAC。该NAS MAC可以用于验证NAS SM完成消息的完整性。

在步骤301d，AMF网元启动下行链路加密。

AMF网元触发NAS SMC流程，发送NAS安全模式指令至UE；UE发送NAS安全模式完成消息。步骤301b中，AMF网元向UE发送NAS SM指令消息，仅有完整性保护。步骤302b中，UE向AMF网元发送NAS安全模式完成消息，具有机密性和完整性保护。之后，UE与AMF共享NAS安全上下文。UE与AMF网元可以通过NAS安全上下文保护要发送的消息，通过NAS安全上下文保护NAS消息具有完整性和机密性保护。通过步骤301a-302d，建立了NAS安全上下文。

需要说明的是，为了方便理解，图4只是简述了NAS SMC的处理流程，具体在应用中可以增加其他的处理过程和/或参数，或者减少上述部分处理过程和/或参数。

图5是一种建立AS安全上下文的示意性流程图。

在步骤401a之前，RAN接收密钥KgNB。密钥KgNB是AMF网元根据密钥KAMF确定的。AMF应生成密钥KgNB并向RAN发送该密钥。

在步骤401a，RAN启动RRC完整性保护。

在步骤401b，RAN向UE发送AS SM指令消息，AS SM指令消息包括完整性算法，加密算法，MAC-I，其中，MAC-I是根据密钥KgNB确定的。

在步骤401c，RAN启动RRC下行链路加密。

在步骤402a，UE验证AS SM指令消息的完整性。UE根据MAC-I验证AS SM指令消息的完整性。如果验证成功，UE启动RRC完整性保护和RRC下行链路解密。UE根据AS SMC信息指示的加密算法，对RRC下行链路解密。

在步骤402b，UE向RAN发送AS SM完成消息。AS SM完成消息包括MAC-I，MAC-I是根据密钥KgNB确定的。RAN根据MAC-I可以对AS SM完成消息进行解密，并验证AS SM完成消息的完整性。

在步骤402c，UE启动RRC上行链路加密。

在步骤401d，RAN启动RRC上行链路解密。

RAN触发AS SMC流程，向UE发送AS安全模式指令消息。UE向RAN发送AS安全模式完成消息。其中，步骤401b中的消息仅进行完整性保护，步骤402b的消息同时进行机密性和完整性保护。根据密钥KgNB可以对AS安全模式下UE和RAN之间传输的消息进行完整性和机密性保护。之后，UE与接入网设备共享AS安全上下文，UE与接入网设备可以通过AS安全上下文保护发送AS消息，通过AS安全上下文保护的AS消息具有完整性和机密性保护。通过步骤401a-402d，建立了AS安全上下文。

需要说明的是，为了方便理解，图5只是简述了AS安全上下文建立的处理流程，具体在应用中可以增加其他的处理过程和/或参数，或者减少上述部分处理过程和/或参数。

图6是一种鉴权认证的方法的示意性流程图。鉴权认证也可以称为身份认证。

在通信网络中，UE请求访问服务提供商提供的服务时，对该UE是否具有访问权限进行校验。鉴权认证的过程可以参见

在步骤501，UDM/ARPF网元生成认证向量。

在步骤502，UDM/ARPF网元向AUSF网元发送第一认证回复消息，第一认证回复消息可以是Nudm_UEAuthentication_Get ReSponse消息。第一认证回复消息包括认证向量。

在步骤503，UE与AUSF网元进行双向认证。

在步骤504，AUSF生成并向SEAF网元发送密钥KSEAF。

在步骤505，SEAF网元根据密钥KSEAF生成密钥KAMF，并向UE发送KSI，KSI用于指示密钥KAMF。

SEAF网元可以与AMF网元独立部署，也可以单独部署。SEAF网元可以向AMF网元发送KAMF。

图6仅给出了一种认证方法，也包括其他的的认证方式，例如5G认证和密钥协议；也可能认证同时包括UE与AMF认证，UE与AUSF的认证等，本申请实施例不做限制。

图7是本申请实施例提供的一种通信方法的示意性流程图。

第一网络设备包括AMF网元。第一网络设备也可以包括SMF网元，AUSF网元，SEAF网元UDM网元等网络功能(network function，NF)的网元，本申请实施例不做限制。

在步骤1101，UE利用NAS安全上下文对第一群组列表进行加密，以获得加密的第一群组列表。第一群组列表包括所述UE请求接入的一个或多个群组的标识。

第一群组列表可以包括配置给UE的UE群组列表中的全部或部分标识。

UE可以将UE群组列表作为第一群组列表。

在步骤1101之前，UE接收接入网设备发送的接入网群组列表，接入网群组列表包括接入网设备支持的群组的标识。UE可以根据接入网群组列表和UE群组列表，确定第一群组列表，第一群组列表包括接入网群组列表和UE群组列表中相同的群组的标识。

在步骤1102，UE发送所述加密的第一群组列表。

在步骤1102之前，UE可以与AMF建立NAS安全上下文。UE可以通过NAS安全上下文保护的NAS消息发送加密的第一群组列表。

或者，在UE与AMF之间的NAS安全上下文建立过程中，在UE建立NAS安全上下文后，UE通过NAS SM完成消息向第一网络设备发送加密的第一群组列表。

第一网络设备接收加密的第一群组列表。第一网络设备对加密的第一群组列表进行解密。

在步骤1103，第一网络设备进行校验。AMF根据第一群组列表和签约群组列表，确定第二群组列表。第二群组列表包括第一群组列表和签约群组列表中相同的群组的标识。第二群组列表包括允许UE接入的群组的标识。即该相同的群组的标识作为允许UE接入的群组的标识。

在步骤1103之前，第一网络设备确定UDM网元保存的签约群组列表。也就是说，第一网络设备不包括UDM网元，第一网络设备可以接收UDM网元发送的签约群组列表。第一网络设备包括UDM网元，第一网络设备可以获取UDM网元保存的签约群组列表。

当存在第二群组列表时，进行步骤1104。

在步骤1104，第一网络设备向接入网设备发送第二群组列表。接入网设备接收第二群组列表，获取允许允许UE接入的群组的标识。

可选地，在步骤1104之后，可以进行步骤1105。

在步骤1105，接入网设备向UE发送第二群组列表中每个标识对应的群组的无线资源分配信息和/或服务质量(quality of service，QoS)信息等。

当不存在第二群组列表时，进行步骤1106。

在步骤1106，第一网络设备向UE发送注册拒绝消息。为了避免攻击者修改或伪造注册拒绝消息，AMF可以通过以下方式发送注册拒绝消息。

第一网络设备可以通过NAS消息向UE发送注册拒绝消息。在步骤1106之前，AMF与UE是否进行NAS安全上下文的建立，本申请实施例不作限定。在建立NAS安全上下文的情况下，第一网络设备可以通过NAS安全上下文向UE发送注册拒绝消息。即注册拒绝消息可以是通过NAS安全上下文保护的NAS消息。

参见图11，第一网络设备可以根据UE与AMF之间的共享密钥计算得到消息验证码。第一网络设备可以向UE发送注册拒绝消息，注册拒绝消息包括消息验证码。消息验证码用于UE验证注册拒绝消息。

参见图12，第一网络设备也可以根据AMF私钥计算数字签名。第一网络设备可以向UE发送注册拒绝消息，注册拒绝消息包括该数字签名。UE根据AMF公钥对该数字签名进行解密。

可选地，UE可以向接入网设备发送接入群组请求信息，所述接入群组请求信息用于指示所述UE请求接入群组。

通过步骤1101-1106，UE以加密的方式发送请求接入的群组的标识，可以避免UE隐私的泄露。

群组例如可以是CAG、CSG等。下面以UE请求接入CAG为例进行说明。

图8是本申请实施例提供的一种通信方法的示意性流程图。

UE可以通过加密的NAS消息，向AMF网元发送第一匹配组。

UE保存有列表1，列表1可以称为被允许的CAGID列表(allowed CAG ID list)。列表1包括配置给UE的CAG的标识。即列表1表示UE支持接入的CAG。具体UE如何获得列表1不做限制。例如，列表1可以包括UE可以从运营商处获取的CAG ID，可以包括网管配置的CAG ID，可以包括UE出厂时配置的CAG ID等。

在步骤601，接入网设备广播系统信息，系统信息包括列表2，列表2是小区支持的CAG ID列表，该小区是接入网设备覆盖的一个或多个小区中该UE所在的小区。广播的内容可能没有加密保护，接入网设备覆盖范围内的设备都可以获取接入网设备广播的信息。

可选的，在步骤601，接入网设备单播发送系统信息，系统信息包括列表2，列表2包括小区支持的CAG ID。单播的内容可能没有加密保护，接入网设备覆盖范围内的设备都可以获取接入网设备单播的信息。

在步骤602，UE对列表1和列表2进行匹配，即UE检查是否存在第一匹配组，第一匹配组包括至少一个CAG ID。第一匹配组中的CAG ID即属于列表1，又同时属于列表2。可以将第一匹配组中的CAG ID称为匹配的CAG ID(selected matching CAG ID)。

在步骤603，UE向接入网设备发送注册请求(registration request，RR)消息，注册请求消息包括SUCI。注册请求消息可以是控制面消息。

在步骤603之前，UE计算SUCI，所述SUCI为对于永久身份SUPI的封装，以使攻击者不能通过窃听空口获得SUPI。SUPI是UE的永久身份标识。也就是说，UE对SUPI加密以得到SUCI。

SUCI可以包括SUPI类型、路由指示符、保护方案标识符、归属网络公钥标识符等信息中的一种或多种。其中，路由指示符和归属网络公钥标识符不进行加密。保护方案标识符用于指示商城SUCI采用的保护方案，即对SUPI加密的方案。路由指示符可用于指示能够为UE提供服务的UDM网元。

可选地，UE向接入网设备发送第一指示信息。第一指示信息用于指示UE请求接入CAG。

UE可以向接入网设备发送的第一指示信息用于指示UE请求接入CAG。由于RR消息中与UE注册相关的信息由UE发送给AMF网元，接入网设备需要对该信息进行转发，无法感知该信息。因此，通过UE向接入网设备发送第一指示信息，可以向接入网设备指示进行对应于UE请求接入CAG的流程。

可选地，第一指示信息承载在注册请求消息或其他消息中。例如，第一指示信息可以通过无线资源控制(radio resource control，RRC)消息发送。第一指示信息可以采用多种形式，例如，第一指示信息可以包括UE接收的列表2，或者，第一指示信息可以占用注册请求消息的某个字段。

在步骤604，接入网设备向AMF网元转发该注册请求消息。注册请求消息包括SUCI。转发的注册请求消息可以通过接入网设备与AMF网元之间的N2接口发送，即转发的注册请求消息可以是N2消息。

可选地，接入网设备可以向AMF网元发送第二指示信息。例如，若接入网设备接收到第一指示信息，则接入网设备向AMF网元发送第二指示信息。第二指示信息指示UE请求接入CAG业务。

接入网设备发送的第二指示信息，可以指示AMF进行对应于UE请求接入CAG的流程。

第二指示信息可以承载在转发的注册请求消息中。第二指示信息也可以承载在其他消息中。

可选地，接入网设备可以向AMF网元发送列表2。第二指示信息可以包括列表2。例如，若接入网设备接收到第一指示信息，则接入网设备向AMF网元发送列表2。

在步骤605，AMF网元向AUSF发送SUCI。SUCI可以承载在第一身份认证请求消息中。第一认证请求消息可以是Nausf_UEAuthentication_Authenticate Request消息。

可选的，AMF可以接收第二指示信息和/或列表2。

在步骤606，AUSF网元向UDM/SIDF网元发送SUCI。SUCI可以承载在第二身份认证请求消息种中。第二认证请求消息可以是Nudm_UEAuthentication_Get Request消息。

在步骤607，UDM/SIDF网元对SUCI解密以得到SUPI，并执行认证算法选择，根据选择的认证算法生成认证向量。

步骤608为认证流程，用于UE的身份认证。

具体地，UDM/SIDF网元向AUSF网元发送认证向量。认证向量可以承载在认证回复消息中。认证回复消息可以是Nudm_UEAuthentication_Get ReSponse消息。

UE与AUSF网元进行双向认证。AUSF生成并向SEAF网元发送密钥KSEAF。SEAF网元根据密钥KSEAF生成密钥KAMF。SEAF向UE发送KSI，KSI用于指示密钥KAMF。UE根据KSI可以确定密钥KAMF。SEAF向AMF发送KAMF。这里SEAF可以与AMF独立部署，也可以单独部署。本申请实施例对上述UE与AUSF网元进行认证的步骤具体细节和流程不做限制。

通过上述步骤，AMF网元与UE共享密钥KAMF。

在步骤609-610，AMF网元与UE进行非接入层安全模式命令(non access stratumsecurity mode command，NAS SMC)流程。

根据密钥K_AMF，UE和AMF网元可以确定UE和AMF网元之间的完整性密钥和机密性密钥，从而对UE和AMF网元之间的消息进行完整性保护和机密性保护。进行机密性保护，即信息发送端对信息进行加密，信息接收端对信息进行解密。

在步骤609，AMF网元向UE发送NAS安全模式指令消息。NAS安全模式指令消息具有完整性保护。这里完整性保护为已有技术不做赘述。

在步骤610，UE向AMF网元发送NAS安全模式完成消息。

可选地，NAS安全模式完成消息可以包括第一匹配组。NAS安全模式完成消息是机密性和完整性保护的。因此，第一匹配组以加密的方式发送至AMF网元。此时，可以不进行步骤611。

在UE接入CAG的过程中，建立了NAS安全上下文。通过NAS SMC完成消息发送第一匹配组，或者在NAS安全上下文保护的NAS消息中发送第一匹配组，可以对第一匹配组进行加密，且不会增加额外的处理过程。

通过步骤609-610，UE与AMF网元通过NAS SMC流程建立了安全上下文，AMF网元与UE之间的消息可以加密传输。通过NAS安全模式，AMF网元与UE之间的消息可以具有完整性保护和机密性保护。

在NAS安全模式完成消息不包括第一匹配组的情况下，可以进行步骤611。步骤611在UE与AMF网元通过NAS SMC流程建立安全上下文之后进行。

在步骤611，UE通过上行(uplink，UL)的NAS消息，向AMF发送第一匹配组。也就是说，第一匹配组是通过NAS安全保护发送的。

在步骤612，AMF网元接收UDM网元发送的列表3。列表3包括网络侧允许UE接入的CAG ID。AMF网元可以接收UDM网元发送的签约数据，签约数据包括列表3。

在步骤612之前，AMF网元可以向UDM网元发送请求消息，从UDM获得SUPI对应的签约数据。可选的，所述请求消息包括SUPI。所述签约数据包括列表3，列表3包括网络侧允许UE接入的CAG ID。

在步骤613，AMF将列表3和第一匹配组进行匹配，以确定是否存在第二匹配组。列表3包括第二匹配组中的CAG ID，并且，第一匹配组包括第二匹配组中的CAG ID。也就是说，AMF将列表3、第一匹配组中相同的CAG ID作为第二匹配组中的CAG ID。

可选地，AMF将列表2、列表3、第一匹配组进行匹配，以确定是否存在第二匹配组。列表2包括第二匹配组中的CAG ID，列表3包括第二匹配组中的CAG ID，并且，第一匹配组包括第二匹配组中的CAG ID。也就是说，AMF将列表2、列表3、第一匹配组中相同的CAG ID作为第二匹配组中的CAG ID。

对于AMF将列表2、列表3、第一匹配组进行匹配的情况，可以不进行步骤601-602。UE可以将列表1作为第一匹配组。

由于第一匹配组通过NAS消息发送至AMF网元，接入网设备无法对UE发送的第一匹配组进行检查和验证，不能确保UE的匹配结果即第一匹配组中的CAG ID均为列表2中的CAGID。因此，AMF网元可以根据列表2生成第二匹配组。

可选地，AMF网元预配置有接入网设备支持的CAG ID，即AMF预配置有列表2。此时步骤604步中，接入网设备可以不向AMF网元发送列表2。或者列表2作为第二指示信息，指示UE请求接入CAG业务。

由于第一匹配组是UE已经进行匹配的得到的，为了减小计算量，AMF也可以不再对列表2进行匹配。即AMF可以进对第一匹配组和列表3进行匹配。此时，接入网设备向AMF网元发送的列表2可以作为第二指示信息，第二指示信息用于指示UE请求接入CAG业务。

如果存在第二匹配组，则允许UE接入第二匹配组中CAG ID对应的CAG业务。

在步骤614，若允许UE接入，则AMF可以向接入网设备发送第二匹配组。第二匹配组可以通过N2消息发送。第二匹配组包括允许UE接入的CAG的标识。接入网设备接收第二匹配组，以获取允许UE接入的CAG ID。可选的，接入网设备接收到允许UE接入的第二匹配组之后，执行第二匹配组中CAG ID对应的无线资源管理等操作，例如向UE发送第二匹配组中每个CAG ID对应的CAG的资源配置信息等。可选的，接入网设备向UE发送所述第二匹配组内CAG ID对应的策略信息，例如每个CAG的QoS信息等。策略信息用于指示UE接入CAG之后，进行数据传输的相关参数。本申请实施例中接入网设备对于第二匹配组内CAG ID的具体操作不做限制。

在步骤615，AMF网元向UE发送注册响应消息。注册响应消息可以是注册接受消息或注册拒绝消息。

若允许UE接入，则AMF网元向UE发送注册接受消息。可选的，AMF网元向UE发送第二匹配组，即允许UE接入的CAG ID。

若不允许UE接入，则AMF网元向UE发送注册拒绝消息。可选的，所述注册拒绝消息包括校验失败指示信息。校验失败指示信息可以用于指示注册拒绝的原因，例如CAG ID校验不通过或或UE身份认证失败等。

可选的，AMF通过其他下行NAS消息向UE发送是否允许UE接入CAG的信息。。

可选地，在步骤610之前，进一步地，在步骤603之前，UE可以接收保护指示信息，保护指示信息用于指示UE发送加密的第一匹配组。也就是说，保护指示信息用于指示UE对第一匹配组进行加密，并通过加密的方式发送第一匹配组。例如，在步骤603之前，UE进行了一次注册的流程。该次注册接入过程中，注册接收消息包括保护指示信息。在后续UE接入CAG的过程中，采用上述方式对注册拒绝消息进行保护。

通过步骤601-615，UE通过加密的方式发送第一匹配组，可以避免信息的泄露。

在一些实施例中，UE可以通过除RR消息之外的NAS消息向AMF网元发送第一指示信息。AMF通过第一指示信息确定UE请求接入CAG的流程。

在一些实施例中，也可能基站不广播列表2，或者UE不进行基站广播列表2与列表1的匹配；UE通过NAS消息发送加密的列表1至AMF。后续的操作与后面流程相同，不同点在于第一匹配组，此时为列表1。

在一些实施例中，还可能UE基于AMF的公钥加密第一匹配组，得到第一匹配组的密文。并通过将第一匹配组的密文通过NAS消息发送给AMF，例如通过RR消息与SUCI一起发送给AMF；或者通过其他NAS消息发送给AMF。AMF通过AMF的私钥解密第一匹配组的密文得到第一匹配组。后面判定的流程与上述实施例相同。这里UE获得AMF的公钥的过程，可以为预置，或者在之前注册流程中有AMF分发给UE的；不做限制。

图9是本申请实施例提供的一种通信方法的示意性流程图。

UE可以根据归属网络密钥对第一匹配组进行加密，并将加密的第一匹配组发送至UDM网元，UDM网元对加密的第一匹配组进行解密，将解密后的第一匹配组发送至AMF。

UE保存有列表1，列表1可以称为被允许的CAGID列表(allowed CAG ID list)。列表1包括配置给UE的CAG的标识。即列表1表示UE支持接入的CAG。具体UE如何获得列表1不做限制。例如，列表1可以包括UE可以从运营商处获取的CAG ID，可以包括网管配置的CAG ID，可以包括UE出厂时配置的CAG ID等。

在步骤601，接入网设备广播系统信息，系统信息包括列表2，列表2是接入网设备覆盖的小区支持的CAG ID列表。广播的内容没有加密保护，接入网设备覆盖范围内的设备都可以获取接入网设备广播的信息。

可选地，在步骤601，接入网设备单播发送系统信息，系统信息包括列表2，列表2是小区支持的CAG ID列表。单播的内容可能没有加密保护，接入网设备覆盖范围内的设备都可以获取接入网设备单播的信息。

在步骤602，UE对列表1和列表2进行匹配，即UE检查是否存在第一匹配组，第一匹配组包括至少一个CAG ID。第一匹配组中的CAG ID即属于列表1，又同时属于列表2。可以将第一匹配组中的CAG ID称为匹配的CAG ID(selected matching CAG ID)。

在步骤703，UE向接入网设备发送注册请求消息，注册请求消息包括SUCI。注册请求消息可以是控制面消息。

注册请求消息还包括，加密的第一匹配组。

在步骤703之前，UE计算SUCI，所述SUCI为对于永久身份SUPI的封装，以使攻击者不能通过窃听空口获得SUPI。SUPI是UE的永久身份标识。也就是说，UE对SUPI加密以得到SUCI。

SUCI可以包括SUPI类型、路由指示符、保护方案标识符、归属网络公钥标识符等信息中的一种或多种。其中，路由指示符和归属网络公钥标识符不进行加密。保护方案标识符用于指示上述SUCI采用的保护方案，即对SUPI加密的方案。路由指示符可用于指示能够为UE提供服务的UDM网元。

在步骤703之前，UE根据归属网络公钥对第一匹配组进行加密，以得到加密的第一匹配组。UE根据归属网络公钥对第一匹配组进行加密，也可以称为UE对第一匹配组进行封装。

UE可以采用与SUCI相同的加密方式对第一匹配组进行加密。UE可以对SUPI和第一匹配组共同进行加密，封装在一个信息中。也就是说，SUCI与加密的第一匹配组可以承载在相同的消息中。或者，UE可以分别对SUPI和第一匹配组进行加密。可选的，加密的第一匹配组包括路由指示符、保护方案标识符、归属网络公钥标识符等信息中的一种或多种。SUCI与加密的第一匹配组可以承载在相同或不同的消息中。

UE也可以采用与SUCI不同的加密方式对第一匹配组进行加密。例如，SUCI与加密的第一匹配组可以对应于不同的归属网络密钥，即对应于不同的归属网络公钥标识符。加密的第一匹配组包括路由指示符、保护方案标识符、归属网络公钥标识符等信息中的一种或多种。SUCI与加密的第一匹配组可以承载在相同或不同的消息中。归属网络密钥包括归属网络公钥和归属网络私钥。UE和UDM网元包括与归属网络公钥标识符与归属网络公钥、归属网络私钥的对应关系。

可选地，UE向接入网设备发送第一指示信息。第一指示信息用于指示UE请求接入CAG业务。

可选地，第一指示信息承载在注册请求消息或其他消息中。例如，第一指示信息可以通过无线资源控制(radio resource control，RRC)消息发送。第一指示信息可以采用多种形式，例如，第一指示信息可以包括UE接收的列表2，或者，第一指示信息可以占用注册请求消息的某个字段。

在步骤704，接入网设备向AMF网元发送注册请求消息。注册请求消息包括SUCI和加密的第一匹配组。注册请求消息可以通过接入网设备与AMF网元之间的N2接口发送，即注册请求消息可以是N2消息。

可选地，接入网设备可以向AMF网元发送第二指示信息。例如，若接入网设备接收到第一指示信息，则接入网设备向AMF网元发送第二指示信息。第二指示信息指示UE请求接入CAG业务。

第二指示信息可以承载在注册请求消息中。第二指示信息也可以承载在其他消息中。

可选地，接入网设备可以向AMF网元发送列表2。第二指示信息可以包括列表2。

在步骤705，AMF网元向AUSF发送加密的第一匹配组和SUCI。SUCI可以承载在第一身份认证请求消息中。加密的第一匹配组可以承载在第一身份认证请求消息或其他消息中。第一身份认证请求消息可以是Nausf_UEAuthentication_Authenticate Request消息。

可选的，AMF可以接收第二指示信息和/或列表2。

在步骤706，AUSF网元向UDM/SIDF网元发送加密的第一匹配组和SUCI。SUCI可以承载在第二认证请求消息中。加密的第一匹配组可以承载在第二认证请求消息或其他消息中。第二认证请求消息种可以是Nudm_UEAuthentication_Get Request消息。

在步骤707，UDM/SIDF网元可以根据归属网络公钥标识符对应的归属网络私钥，对SUCI和加密的第一匹配组进行解密。

UDM/SIDF网元对SUCI解密以得到SUPI，并执行认证算法选择，根据选择的认证算法生成认证向量。UDM/SIDF网元对加密的第一匹配组进行解密，以得到第一匹配组。

或者，UDM/SIDF网元对与SUPI、第一匹配组对应的一个信息进行解密，得到SUPI、第一匹配组。

UDM/SIDF网元根据SUPI确定UE的签约数据。UE的签约数据包括列表3，列表3包括网络侧允许UE接入的CAG ID。

UDM/SIDF网元对第一匹配组和列表3进行匹配，以获取第三配匹配组。第三匹配组中包括第一匹配组和列表3中相同的CAG ID。

若UDM/SIDF网元确定不存在第三匹配组不进行步骤UE认证流程及步骤614。在不存在第三匹配组，校验失败的情况下，无需进行后续的UE认证流程，节省了系统的信令开销。

UDM/SIDF网元可以拒绝UE的注册。UDM可以经过或不经过AUSF网元，向AMF网元发送拒绝指示信息。

在步骤615之前，UDM网元可以经过或不经过AUSF网元向AMF网元发送第一拒绝指示信息。第一拒绝指示信息可以包括注册拒绝的原因。也就是说，第一拒绝指示信息可以用于指示不存在第三匹配组，即校验失败，不存在允许UE接入的CAG。

AMF网元接收UDM网元发送的拒绝指示信息，确定不存在第二匹配组，即不存在允许UE接入的CAG。

在步骤615，AMF网元向UE发送注册拒绝消息。

若UDM/SIDF网元确定存在第三匹配组，进行步骤709-710。步骤709-710为认证流程中的步骤，认证流程用于UE的身份认证。

具体地，在步骤709，UDM/SIDF网元向AUSF网元发送认证向量。认证向量可以承载在第一认证回复消息中。第一认证回复消息可以是Nudm_UEAuthentication_Get ReSponse消息。

在步骤710，AUSF网元向AMF网元发送认证向量。认证向量可以承载在第二认证回复消息中。第二认证回复消息可以是Nudm_UEAuthentication_Get ReSponse消息。

UDM/SIDF网元可以向AMF网元发送第三匹配组。

UDM/SIDF网元可以向AUSF网元发送第三匹配组。AUSF网元向AMF网元发送第三匹配组。也就是说，第三匹配组可以经过经AUSF网元转发，发送至AMF网元。第三匹配组可以承载在第一认证回复消息或其他消息中。第三匹配组可以承载在第二认证回复消息或其他消息中。

UDM/SIDF还可以通过其他消息向AMF网元发送第三匹配组，不经过其他网元的转发。

UE与AUSF网元进行双向认证。认证成功之后，AUSF生成并向SEAF网元发送密钥KSEAF。SEAF网元根据密钥KSEAF生成密钥KAMF，并向UE发送KSI，KSI用于指示密钥KAMF。UE根据KSI可以确定密钥KAMF。SEAF向AMF发送KAMF。这里SEAF可以与AMF独立部署，也可以单独部署。本申请实施例对上述UE与AUSF网元进行认证的步骤具体细节和流程不做限制。

通过上述步骤，AMF网元与UE共享密钥KAMF。

在认证流程之后，根据密钥KAMF，UE与AMF可以建立NAS安全上下文，UE与接入网设备可以建立AS安全上下文。

在步骤614之前，AMF网元接收UDM网元发送的第三匹配组。AMF网元根据第三匹配组确定第二匹配组。

AMF网元可以将第三匹配组作为第二匹配组。

AMF网元可以对第三匹配组与列表2进行匹配，以确定第二匹配组。第二匹配组包括第三匹配组与列表2中相同的CAG ID。

由于第一匹配组通过加密的方式发送至UDM网元，接入网设备无法对UE发送的第一匹配组进行检查和验证，不能确保UE的匹配结果即第一匹配组中的CAG ID均为列表2中的CAG ID。因此，AMF网元可以根据列表2生成第二匹配组。

可选地，AMF网元预配置有接入网设备支持的CAG ID，即AMF预配置有列表2。此时步骤704步中，接入网设备可以不向AMF网元发送列表2。或者接入网设备向AMF网元发送的列表2可以作为第二指示信息，指示UE请求接入CAG业务。

由于第一匹配组是UE已经进行匹配的得到的，为了减小计算量，AMF也可以不再对列表2进行匹配。即AMF可以进对第一匹配组和列表3进行匹配。此时，接入网设备向AMF网元发送的列表2可以作为第二指示信息，第二指示信息用于指示UE请求接入CAG业务。

若存在第二匹配组，进行步骤614。

在步骤614，则AMF网元可以向接入网设备发送第二匹配组。第二匹配组可以通过N2消息发送。第二匹配组包括允许UE接入的CAG的标识。接入网设备获取允许UE接入的CAGID。可选的，接入网设备接收到允许UE接入的第二匹配组之后，执行第二匹配组中CAG ID对应的无线资源管理等操作。本申请实施例对于接入网设备的具体操作不做限制。

在步骤615，AMF网元向UE发送注册回复消息。注册回复消息可以是注册接受消息或注册拒绝消息。

若AMF网元确定存在第二匹配组，允许UE接入，则AMF网元向UE发送注册接受消息。可选的，AMF网元向UE发送第二匹配组，即允许UE接入的CAG ID。

若不允许UE接入，则AMF网元向UE发送注册拒绝消息。可选的，所述注册拒绝消息包括第二拒绝指示信息，第二拒绝指示信息用于指示注册失败的原因，例如CAG ID校验不通过，或认证失败。

可选的，注册回复消息可以是下行NAS消息。

通过上述步骤，UE通过加密的方式发送第一匹配组，可以避免信息的泄露。

在进行UE的认证流程之前，UDM/SIDF网元对UE能够是否能够接入CAG进行校验，即对第一匹配组和列表3进行匹配。

在一些实施例中，可以由AMF对第一匹配组和列表3进行匹配，进行校验。

在步骤707，UDM/SIDF网元可以根据归属网络公钥标识符对应的归属网络私钥，对SUCI和加密的第一匹配组进行解密。

UDM/SIDF网元对SUCI解密以得到SUPI，并执行认证算法选择，根据选择的认证算法生成认证向量。UDM/SIDF网元对加密的第一匹配组进行解密，以得到第一匹配组。

或者，UDM/SIDF网元对与SUPI、第一匹配组对应的一个信息进行解密，得到SUPI、第一匹配组。

UDM/SIDF网元根据SUPI确定UE的签约数据。UE的签约数据包括列表3，列表3包括网络侧允许UE接入的CAG ID。

在步骤707之后，认证流程，用于UE的身份认证。

UDM/SIDF网元向AMF网元发送第一匹配组和列表3。

UDM/SIDF网元可以向AMF网元发送第一匹配组和列表3。第一匹配组和/或列表3可以承载在第一身份认证回复消息或其他消息中。

UDM/SIDF网元可以向AUSF网元发送第一匹配组和列表3。AUSF网元向AMF网元发送第一匹配组和列表3。也就是说，第一匹配组和列表3可以经过经AUSF网元转发，发送至AMF网元。第一匹配组和/或列表3可以承载在第二认证回复消息或其他消息中。

在步骤614之前，AMF网元根据第一匹配组和列表3进行匹配，以确定第二匹配组。第二匹配组中包括第一匹配组和列表3中国相同的CAG ID。

AMF可以将列表3、第一匹配组中相同的CAG ID作为第二匹配组中的CAG ID。，AMF也可以将列表2、列表3、第一匹配组中相同的CAG ID作为第二匹配组中的CAG ID。

在步骤614，若允许UE接入，则AMF可以向接入网设备发送第二匹配组。

在步骤615，AMF网元向UE发送注册回复消息。注册回复消息可以是注册接受消息或注册拒绝消息。

在一些实施例中，UE可以不进行列表2与列表1的匹配，基站也可以不广播列表2，。UE通过NAS消息向AMF网元发送加密的列表1。后续的操作与上述流程相同。与上述流程相比，该方式的不同点在于第一匹配组此时为列表1。也就是说，对于AMF将第三匹配组与列表2进行匹配的情况，可以不进行步骤601-602。UE可以将列表1作为第一匹配组。

图10是本申请实施例提供的一种通信方法的示意性流程图。

UE可以通过加密的AS消息，向接入网设备网元发送第一匹配组。

UE配置有列表1。列表1包括UE支持接入的CAG ID。

在步骤601，接入网设备向UE发送列表2。列表2包括接入网设备覆盖的小区支持的CAG ID。该小区是接入网设备覆盖的一个或多个小区中该UE所在的小区。广播的内容可能没有加密保护，接入网设备覆盖范围内的设备都可以获取接入网设备广播的信息。

可选的，在步骤601，接入网设备单播发送系统信息，系统信息包括列表2，列表2包括小区支持的CAG ID。单播的内容可能没有加密保护，接入网设备覆盖范围内的设备都可以获取接入网设备单播的信息。

在步骤602，UE对列表1和列表2进行匹配，以获得第一匹配组。第一匹配组包括列表1和列表2中相同的CAG ID。UE对列表1和列表2进行匹配，即UE确定第一匹配组，第一匹配组包括至少一个CAG ID。第一匹配组中的CAG ID即属于列表1，又同时属于列表2。可以将第一匹配组中的CAG ID称为匹配的CAG ID(selected matching CAG ID)。

在步骤603，UE向接入网设备发送注册请求消息，注册请求消息包括SUCI。

在步骤603之前，UE计算SUCI，所述SUCI为对于永久身份SUPI的封装，以使攻击者不能通过窃听空口获得SUPI。SUPI是UE的永久身份标识。也就是说，UE对SUPI加密以得到SUCI。

SUCI可以包括SUPI类型、路由指示符、保护方案标识符、归属网络公钥标识符等信息中的一种或多种。其中，路由指示符和归属网络公钥标识符不进行加密。保护方案标识符用于指示商城SUCI采用的保护方案，即对SUPI加密的方案。路由指示符可用于指示能够为UE提供服务的UDM网元。

可选地，UE向接入网设备发送第一指示信息。第一指示信息用于指示UE请求接入CAG。

UE可以向接入网设备发送的第一指示信息用于指示UE请求接入CAG。由于RR消息中与UE注册相关的信息由UE发送给AMF网元，接入网设备需要对该信息进行转发，无法感知该信息。因此，通过UE向接入网设备发送第一指示信息，可以向接入网设备指示进行对应于UE请求接入CAG的流程。

可选地，第一指示信息承载在注册请求消息或其他消息中。例如，第一指示信息可以通过无线资源控制(radio resource control，RRC)消息发送。第一指示信息可以采用多种形式，例如，第一指示信息可以包括UE接收的列表2，或者，第一指示信息可以占用注册请求消息的某个字段。

在步骤604，接入网设备向AMF网元发送注册请求消息。注册请求消息包括SUCI。注册请求消息可以通过接入网设备与AMF网元之间的N2接口发送，即注册请求消息可以是N2消息。

可选地，接入网设备可以向AMF网元发送第二指示信息。例如，若接入网设备接收到第一指示信息，则接入网设备向AMF网元发送第二指示信息。第二指示信息指示UE请求接入CAG业务。

第二指示信息可以承载在注册请求消息中。第二指示信息也可以承载在其他消息中。

可选地，接入网设备可以向AMF网元发送列表2。第二指示信息可以包括列表2。

在步骤605，AMF网元向AUSF发送SUCI。SUCI可以承载在第一身份认证请求消息中。第一身份认证请求消息可以是Nausf_UEAuthentication_Authenticate Request消息。

可选的，AMF可以接收第二指示信息和/或列表2。

在步骤606，AUSF网元向UDM/SIDF网元发送SUCI。SUCI可以承载在第二身份认证请求消息种中。第二身份认证请求消息种可以是Nudm_UEAuthentication_Get Request消息。

在步骤607，UDM/SIDF网元对SUCI解密以得到SUPI，并执行认证算法选择，根据选择的认证算法生成认证向量。

步骤608为认证流程，用于UE的身份认证。

具体地，UDM/SIDF网元向AUSF网元发送认证向量。认证向量可以承载在身份认证回复消息中。身份认证回复消息可以是Nudm_UEAuthentication_Get ReSponse消息。

UE与AUSF网元进行双向认证。AUSF生成并向SEAF网元发送密钥KSEAF。SEAF网元根据密钥KSEAF生成密钥KAMF，并向UE发送KSI，KSI用于指示密钥KAMF。UE根据KSI可以确定密钥KAMF。SEAF向AMF发送KAMF。这里SEAF可以与AMF独立部署，也可以单独部署。本申请实施例对上述UE与AUSF网元进行认证的步骤具体细节和流程不做限制。

通过上述步骤，AMF网元与UE共享密钥KAMF。

在步骤809-810a，接入网设备与UE进行接入层安全模式(access stratumsecurity mode，NAS SM)的建立。

在步骤809之前，AMF计算并向接入网设备发送密钥KgNB。密钥KgNB是根据密钥KAMF确定的。根据密钥KgNB，UE和接入网设备可以确定UE和接入网设备之间的完整性密钥和机密性密钥，从而对UE和接入网设备之间的消息进行完整性保护和机密性保护。进行机密性保护，即信息发送端对信息进行加密，信息接收端对信息进行解密。

在步骤809，接入网设备向UE发送AS安全模式指令消息。AS安全模式指令消息具有完整性保护。

在步骤810a，UE向接入网设备发送AS安全模式完成消息。AS安全模式完成消息具有机密性和完整性保护。

可选地，AS安全模式完成消息可以包括第一匹配组。因此，第一匹配组以加密的方式发送至接入网设备。此时，可以不进行步骤611。

通过步骤809-810a，UE与接入网设备网元通过AS SMC流程建立了安全上下文，接入网设备与UE之间的消息可以加密传输。通过AS安全模式，AMF网元与UE之间的消息可以具有完整性保护和机密性保护。

还可能，在AS安全模式完成消息不包括第一匹配组，通过步骤810b进行第一匹配组的发送。步骤810b在UE与接入网设备通过AS SMC流程建立AS安全上下文之后进行。

在步骤810b，UE通过上行(uplink，UL)AS消息，向AMF发送第一匹配组发送。也就是说，第一匹配组是通过AS安全上下文保护的情况下发送的。

在步骤814之前，接入网设备对通过AS安全模式完成消息，或者AS安全上下文保护的上行AS消息接收的第一匹配组进行解密。接入网设备根据AS安全上下文进行解密，以获取解密后的第一匹配组。

在一些实施例中，在步骤814之前，接入网设备可以对第一匹配组进行检验。

可选的，接入网设备可以对第一匹配组和列表2进行匹配。接入网设备可以去除第一匹配组中的列表2之外的CAG ID，以获得新的第一匹配组。

可选的，接入网设备接收UE发送的第一匹配组。接入网设备确定第一匹配组中的CAG ID是否在接入网设备所支持的CAG ID的列表2中。如果第一匹配组属于列表2，即第一匹配组在列表2中，则接入网设备向AMF网元发送第一匹配组。否则，接入网设备不发送第一匹配组；可选的，接入网设备拒绝UE的接入。

在另一些实施列中，可以由AMF网元对第一匹配组进行和列表2进行匹配。

AMF网元可以预配置列表2。或者，AMF网元可以接收接入网设备发送的列表2。例如步骤604中，接入网设备向AMF网元发送列表2。AMF网元可以对列表2、列表3、第一匹配组进行匹配。即AMF网元可以确定第二匹配组，第二匹配组包括列表2、列表3、第一匹配组中相同的CAG ID。

或者，接入网设备和AMF可以均不进行第一匹配组和列表2的匹配。

在步骤814，UE向AMF网元发送解密后的第一匹配组。解密后的第一匹配组可以是校验后的第一匹配组。第二匹配组可以通过N2消息发送。第二匹配组包括允许UE接入的CAG的标识。

在步骤612，AMF网元接收UDM网元发送的列表3。列表3包括网络侧允许UE接入的CAG ID。AMF网元可以接收UDM网元发送的签约数据，签约数据包括列表3

本申请实施例对步骤814和步骤612的先后顺序不进行限定。

可选的，在步骤612之前，AMF网元可以向UDM网元发送签约数据请求，从UDM网元获得UE对应的签约数据。所述签约数据包括列表3，列表3包括网络侧允许UE接入的CAG ID。

在步骤613，AMF将列表3和第一匹配组进行匹配，以确定是否存在第二匹配组。列表3包括第二匹配组中的CAG ID，并且，第一匹配组包括第二匹配组中的CAG ID。也就是说，AMF将列表3、第一匹配组中相同的CAG ID作为第二匹配组中的CAG ID。

如果存在第二匹配组，则允许UE接入第二匹配组中CAG ID对应的CAG业务。

在步骤615，AMF网元向UE发送注册回复消息。注册回复消息可以是注册接受消息或注册拒绝消息。

若允许UE接入，则AMF网元向UE发送注册接受消息。可选的，AMF网元向UE发送第二匹配组，即允许UE接入的CAG ID。

若不允许UE接入，则AMF网元向UE发送注册拒绝消息。可选的，所述注册拒绝消息包括校验失败指示信息，所述校验失败指示信息用于指示CAG ID校验不通过。校验失败指示信息可以指示注册拒绝的原因，即CAG ID校验不通过。

可选地，注册回复消息可以是AMF向UE发送的下行NAS消息。

在另一些实施例中，接入网设备也可以根据接入网设备的其他公钥对第一匹配组进行加密。UE可以预配置接入网设备的公钥，UE可以接收接入网设备发送的公钥，例如，接入网设备可以广播接入网设备的公钥等。

可选地，在步骤810a之前，UE可以接收保护指示信息，保护指示信息用于指示UE发送加密的第一匹配组。

UE在AS SM下发送加密的第一匹配组，或者UE通过AS SMC完成消息发送加密的第一匹配组，可以方式信息泄露。同时，对UE接入CAG流程的影响小。

图11是本申请实施例提供的一种通信方法的示意性流程图。

在UE接入CAG的过程中，UE接收注册拒绝消息后，会将第一匹配组中的CAG ID从列表1中删除。如果攻击者可以伪造注册拒绝消息，那么攻击者通过伪造多个拒绝消息，可能导致UE将列表1清空。列表1清空后，UE不能使用CAG服务。

如果AMF网元或UDM网元校验失败，即不存在允许UE接入的CAG ID，AMF需要向UE发送注册拒绝消息。

AMF网元确定不存在允许UE接入的CAG ID，则AMF网元向UE发送注册拒绝消息。

UDM网元确定不存在允许UE接入的CAG ID，UDM网元向AMF网元发送校验失败信息。AMF网元根据校验失败信息，向UE发送注册拒绝消息。

UE身份认证完成后，UE与AMF网元共享密钥KAMF。

如果在NAS SM的建立完成之后，建立了UE与AMF网元之间的安全上下文，即NAS保护上下文。AMF网元可以通过NAS安全上下文保护的NAS消息向UE发送注册拒绝消息。通过NAS安全上下文保护的的消息具有机密性保护，可以防止攻击者的攻击。或者，AMF网元可以通过步骤901-902向UE发送注册拒绝消息。

另外，不管NAS安全上下文是否建立，AMF网元还可以通过步骤901-902向UE发送注册拒绝消息。

在步骤901之前，进行了UE身份认证。UE与AMF网元共享密钥KAMF。

在步骤901，AMF网元确定校验不通过，计算MAC。

在步骤901之前，AMF网元可以接收UDM发送的校验失败消息。AMF网元可以根据校验失败消息，确定校验不通过。或者，AMF网元可以进行校验，确定校验不通过。AMF进行校验，参见图2、图7、图9。

AMF网元基于首先基于密钥KAMF计算MAC。

MAC又可以称为消息鉴别码、文件消息认证码、讯息鉴别码、信息认证码，是经过特定算法后产生的一小段信息，检查某段消息的完整性。MAC可以作身份验证。MAC可以用来检查在消息传递过程中，内容是否被更改。同时，MAC可以作为消息来源的身份验证，确认消息的来源。

AMF网元根据消息验证码函数计算以得到MAC。

消息验证码函数的输入参数包括密钥KAMF，消息验证码函数的输入参数还可以包含以下参数中的至少一个：拒绝指示信息，ngKSI，NAS上行计数器，NAS下行计数器，第一匹配组，防架构之间降维攻击参数(ABBA，anti-bidding down between architectures)，AMFID，AMF集合标识(AMF set ID)，SUCI，SUPI，AMF随机选择的新鲜参数，服务网络标识等。AMF随机选择的新鲜参数例如可以是被使用一次的非重复的随机数(number used once或number once，nonce)等随机数。服务网络标识即AMF所在的服务网络。第一匹配组包括UE请求接入的CAGID。拒绝指示信息用于指示注册拒绝的原因，例如UE请求接入的CAG的标识校验未通过，或者指示UE的注册请求被拒绝。注册拒绝的原因还可以是其他校验失败，鉴权认证失败等。

在步骤902，AMF网元向UE发送注册拒绝消息。

注册拒绝消息包括MAC。

注册拒绝消息还可以包括拒绝指示信息。

注册拒绝消息还可以ngKSI，ngKSI用于指示KAMF。

注册拒绝消息还可以包括消息验证码函数的多个输入参数中除KAMF之外的至少一个。例如，注册拒绝消息可以包括以下参数中至少一种：NAS上行计数器，NAS下行计数器，第一匹配组，防架构之间降维攻击参数(anti-bidding down between architectures，ABBA)，AMF ID，AMF集合标识(AMF set ID)，SUCI，SUPI，AMF随机选择的新鲜参数，服务网络标识等。第一匹配组是UE根据配置给UE的CAG ID列表1和接入网设备支持的CAG ID列表2确定的，第一匹配组包括列表1和列表2中相同的CAG ID。

AMF网元也可以通过其他消息向UE发送消息验证码函数的输入参数。例如，在身份认证过程中，AMF网元向UE发送ngKSI。

UE也可以保存有消息验证码函数的输入参数。UE在确定第一匹配组后，保存第一匹配组。UE还可以保存有SUCI、SUPI等。AMF可以向UE发送消息验证码函数的输入参数中UE未保存的参数。

在步骤902之后，UE对MAC进行验证。UE根据消息验证码函数和消息验证码函数的输入参数，计算MAC。

UE根据计算得到的MAC与注册拒绝消息中的MAC，确定是否校验通过。

UE确定计算得到的MAC与注册拒绝消息中的MAC相同，则验证通过。UE可以将第一匹配组从配置给UE的CAG ID列表1中删除。

UE确定计算得到的MAC与注册拒绝消息中的MAC不同，则验证未通过。UE确定注册拒绝消息为伪造的消息。

通过步骤901-902，AMF网元发送MAC，UE可以通过MAC确定注册拒绝消息的真伪，防止攻击者修改和伪造注册拒绝消息。

图12是本申请实施例提供的一种通信方法的示意性流程图。

在UE接入CAG的过程中，UE接收注册拒绝消息后，会将第一匹配组中的CAG ID从列表1中删除。如果攻击者可以伪造注册拒绝消息，那么攻击者通过伪造多个拒绝消息，可能导致UE将列表1清空。列表1清空后，UE不能使用CAG服务。

AMF/UDM网元确定校验不通过，进行步骤1001-1003。

在步骤1001，AMF/UDM网元计算数字签名。

在步骤1002，AMF/UDM网元向UE发送该数字签名。

对于UDM进行校验的情况，UDM校验不通过，可以基于归属网络的私钥和拒绝指示信息计算数字签名。UDM进行校验，参见图9。

可选地，UDM根据数字签名函数计算得到数字签名。数字签名函数的输入参数包括归属网络私钥。数字签名函数的输入参数还可以包含以下参数中的至少一个，第一匹配组，SUCI，SUPI，UDM随机选择的新鲜参数(nonce，随机数等)，服务网络标识(AMF所在的服务网络)，归属网络标识和拒绝指示信息。第一匹配组包括UE请求接入的CAGID。拒绝指示信息用于指示注册拒绝的原因，例如UE请求接入的CAG的标识校验未通过，或者鉴权认证失败等。

UDM网元向UE发送数字签名。该数字签名可以经过AMF网元和/或AUSF网元等的转发。

可选地，UDM网元可以向AMF网元发送拒绝指示信息，用于指示校验失败。AMF发送注册拒绝消息至UE，其中携带UDM发送的数字签名。

UE接收注册拒绝消息。UE可以根据可能的拒绝原因对应的拒绝指示信息，验证该数字签名，即校验数字签名的正确性。或者，UE可以根据接收的拒绝指示信息验证该数字签名。

可选的，UDM网元还可以通过AMF和/或AUSF向UE发送用于签名的密钥标识。可选的，UDM网元还可以发送公钥标识，以使UE可以根据公钥标识确定数字签名计算所用的公钥。

可选的，UDM网元还可以发送算法指示，UE可以根据算法指示确定数字签名计算所用的算法。

可选的，UDM网元发送的参数还可以包括以下参数中的至少一种：SUCI，SUPI，UDM随机选择的新鲜参数(nonce，随机数等)，服务网络标识(AMF所在的服务网络)，归属网络标识和拒绝指示信息等。UDM和/或AMF网元还可以发送其他UE未保存的参数，以使UE可以正确的校验MAC。

对于AMF网元进行校验的情况，AMF网元校验不通过，可以基于AMF的私钥，对拒绝指示信息计算数字签名。

AMF网元进行校验，参见图2、图8、图10。AMF校验不通过，AMF可以基于AMF的私钥和拒绝指示信息计算数字签名。

可选地，AMF根据数字签名函数计算得到数字签名。数字签名函数的输入参数包括AMF保存私钥。数字签名函数的输入参数还可以包含以下参数中的至少一个，第一匹配组，SUCI，SUPI，AMF随机选择的新鲜参数(nonce，随机数等)，服务网络标识(AMF所在的服务网络)，AMF公钥标识和拒绝指示信息；

在步骤1002，AMF网元向UE发送注册拒绝消息。

注册拒绝消息包括数字签名。

注册拒绝消息还可以包括拒绝指示信息。

注册拒绝消息还可以包括用于计算数字签名的密钥标识，UE根据密钥标识可以确定密钥标识对应的AMF公钥，从而对数字签名进行验证。

注册拒绝消息还可以包括数字签名函数的多个输入参数中除AMF公钥之外的至少一个。例如，注册拒绝消息可以包括以下参数中至少一种：第一匹配组，SUCI，SUPI，UDM随机选择的新鲜参数(nonce，随机数等)，AMF随机选择的新鲜参数(nonce，随机数等)，服务网络标识(AMF所在的服务网络)，AMF公钥标识和拒绝指示信息。

在步骤1003，UE校验数字签名的正确性。

UE接收该数字签名。UE对该数字签名进行校验。如果校验通过，确定UE不被允许接入第一匹配组中CAG ID对应的CAG。

UE保存有归属网络的公钥。具体获得归属网络公钥的方式不做限制。

若验证通过，UE可以将第一匹配组从配置给UE的CAG ID列表1中删除。

若验证未通过，UE确定注册拒绝消息为伪造的消息。

通过步骤1001-1003，AMF/UDM网元发送数字签名，UE可以通过数字签名确定注册拒绝消息的真伪，防止攻击者修改和伪造注册拒绝消息，完成对拒绝指示信息的保护。

上文结合图1至图12的描述了本申请实施例的方法实施例，下面结合图13至图18，描述本申请实施例的装置实施例。应理解，方法实施例的描述与装置实施例的描述相互对应，因此，未详细描述的部分可以参见前面方法实施例。

图13是本申请实施例提供的一种用户设备的示意性结构图。用户设备1300包括：加密模块1310和收发模块1320。

加密模块1310用于，利用非接入层NAS安全上下文对第一群组列表进行加密，以获得加密的第一群组列表，第一群组列表包括UE请求接入的一个或多个群组的标识。

收发模块1320用于，发送加密的第一群组列表。

可选地，收发模块1320用于，通过NAS安全模式SM完成消息向第一网络设备发送加密的第一群组列表。

可选地，收发模块1320用于，通过NAS安全上下文保护的上行NAS消息发送加密的第一群组列表。

可选地，收发模块1320还用于，接收第一网络设备发送的注册拒绝消息，注册拒绝消息包括消息验证码。

用户设备1300还包括验证模块，验证模块用于根据消息验证码验证注册拒绝消息。

图14是本申请实施例提供的一种网络设备的示意性结构图。网络设备1400，包括：收发模块1410、解密模块1420和确定模块1430。

收发模块1410用于，接收用户设备UE发送的加密的第一群组列表，第一群组列表包括UE请求接入的一个或多个群组的标识。

解密模块1420用于，对加密的第一群组列表进行解密，以得到第一闭合访问业务标识组。

确定模块1430用于，确定UDM网元确定保存的签约群组列表。

确定模块1430还用于，根据第一群组列表和签约群组列表，确定第二群组列表，第二群组列表包括允许UE接入的群组的标识。

收发模块1410还用于，当存在第二群组列表时，第一网络设备向接入网设备发送第二群组列表。

可选地，收发模块1410用于，接收UE通过非接入层NAS安全模式SM完成消息发送的加密的第一群组列表。

可选地，用户设备1400还包括计算模块，计算模块用于，当不存在第二群组列表时，根据UE与第一网络设备之间的共享密钥计算得到消息验证码。

收发模块1410还用于，向接入网设备发送注册拒绝消息，消息验证码用于UE验证注册拒绝消息。

可选地，收发模块1410还用于，接收接入网设备发送的第三群组列表，第三群组列表包括接入网设备支持的群组的标识。

确定模块1430用于，根据第一群组列表、第三群组列表和签约群组列表，确定第二群组列表。

图15是本申请实施例提供的一种接入网设备的示意性结构图。接入网设备1500包括：收发模块1510和生成模块1520。

收发模块1510用于，接收用户设备UE发送的加密的第一群组列表，第一闭合访问业务标识组包括UE请求接入的一个或多个群组务的标识。

收发模块1510还用于，发送加密的第一群组列表。

收发模块1510还用于，接收第一网络设备发送的第二群组列表，第二群组列表包括允许UE接入的一个或多个群组的标识。

生成模块1520用于，根据一个或多个群组的标识生成一个或多个群组的服务质量QoS信息,。

收发模块1510还用于，向UE发送服务质量QoS信息。

图16是本申请实施例提供的一种网络设备的示意性结构图。网络设备1600，其特征在于，包括：处理器1610和通信接口1620。

通信接口1620用于，接收用户设备UE发送的加密的第一群组列表，第一群组列表包括UE请求接入的一个或多个群组的标识。

处理器1610用于，对加密的第一群组列表进行解密，以得到第一闭合访问业务标识组。

处理器1610还用于，确定UDM网元确定保存的签约群组列表。

处理器1610还用于，根据第一群组列表和签约群组列表，确定第二群组列表，第二群组列表包括允许UE接入的群组的标识。

通信接口1620用于，当存在第二群组列表时，向接入网设备发送第二群组列表。

可选地，通信接口1620用于，接收UE通过非接入层NAS安全模式SM完成消息发送的加密的第一群组列表。

可选地，处理器1610还用于，当不存在第二群组列表时，根据UE与第一网络设备之间的共享密钥计算得到消息验证码。

通信接口1620还用于，向接入网设备发送注册拒绝消息，消息验证码用于UE验证注册拒绝消息。

可选地，通信接口1620还用于，接收接入网设备发送的第三群组列表，第三群组列表包括接入网设备支持的群组的标识。

处理器1610用于，根据第一群组列表、第三群组列表和签约群组列表，确定第二群组列表。

图17是本申请实施例提供的一种用户设备的示意性结构图。用户设备1700包括：处理器1710和通信接口1720；

处理器1710用于，利用非接入层NAS安全上下文对第一群组列表进行加密，以获得加密的第一群组列表，第一群组列表包括UE请求接入的一个或多个群组的标识；

通信接口1720用于，发送加密的第一群组列表。

可选地，通信接口1720用于，通过NAS安全模式SM完成消息向第一网络设备发送加密的第一群组列表。

可选地，通信接口1720用于，通过NAS安全上下文保护的上行NAS消息发送加密的第一群组列表。

可选地，通信接口1720还用于，接收第一网络设备发送的注册拒绝消息，注册拒绝消息包括消息验证码。

处理器1710还用于，根据消息验证码验证注册拒绝消息。

图18是本申请实施例提供的一种接入网设备的示意性结构图。接入网设备1800包括通信接口1810。

通信接口1810用于，接收用户设备UE发送的加密的第一群组列表，第一闭合访问业务标识组包括UE请求接入的一个或多个群组务的标识；

通信接口1810还用于，发送加密的第一群组列表；

通信接口1810还用于，接收第一网络设备发送的第二群组列表，第二群组列表包括允许UE接入的一个或多个群组的标识；

通信接口1810还用于，向UE发送该一个或多个群组的服务质量QoS信息。

可选地，接入网设备1800包括处理器，处理器用于根据第二群组列表生成该一个或多个群组的服务质量QoS信息。

本申请实施例提供一种计算机程序存储介质，所述计算机程序存储介质具有程序指令，当所述程序指令被执行时，使得上文中的方法中所述第一网络设备、接入网设备、用户设备中任一个的功能得以实现。

本申请实施例提供一种芯片，所述芯片包括至少一个处理器，当程序指令被所述至少一个处理器中执行时，使得上文中的方法中所述第一网络设备、接入网设备、用户设备中任一个的功能得以实现。

本申请实施例提供一种通信系统，包括上文中的第一网络设备、用户设备和接入网设备。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (20)

1.一种通信方法，其特征在于，包括：

第一网络设备接收用户设备UE发送的加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；

所述第一网络设备解密所述加密的第一群组列表，以得到第一闭合访问业务标识组；

所述第一网络设备确定统一数据管理UDM保存的签约群组列表；

所述第一网络设备根据所述第一群组列表和所述签约群组列表，确定第二群组列表，第二群组列表包括允许所述UE接入的群组的标识；

当存在所述第二群组列表时，所述第一网络设备向所述接入网设备发送所述第二群组列表。

2.根据权利要求1所述的方法，其特征在于，所述第一网络设备接收UE发送的加密的第一群组列表，包括：

所述第一网络设备接收所述UE通过非接入层NAS安全模式SM完成消息发送的所述加密的第一群组列表；或者，所述第一网络设备接收所述UE通过NAS安全上下文保护的上行NAS消息发送的所述加密的第一群组列表。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

当不存在所述第二群组列表时，所述第一网络设备根据所述UE与所述第一网络设备之间的共享密钥计算得到消息验证码；

所述第一网络设备向所述接入网设备发送注册拒绝消息，所述消息验证码用于所述UE验证所述注册拒绝消息。

4.根据权利要求1-3中任一项所述的方法，其特征在于，所述方法包括：

所述第一网络设备接收所述接入网设备发送的第三群组列表，所述第三群组列表包括所述接入网设备支持的群组的标识；

所述第一网络设备根据所述第一群组列表和所述签约群组列表，确定第二群组列表，包括：所述第一网络设备根据所述第一群组列表、所述第三群组列表和所述签约群组列表，确定所述第二群组列表。

5.一种通信方法，其特征在于，包括：

用户设备UE利用非接入层NAS安全上下文对第一群组列表进行加密，以获得加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；

所述UE发送所述加密的第一群组列表。

6.根据权利要求5所述的方法，其特征在于，

所述UE发送所述加密的第一群组列表，包括：所述UE通过NAS安全模式SM完成消息向所述第一网络设备发送所述加密的第一群组列表；或者，所述UE通过NAS安全上下文保护的上行NAS消息发送所述加密的第一群组列表。

7.根据权利要求5或6所述的方法，其特征在于，所述方法包括：

所述UE接收第一网络设备发送的注册拒绝消息，所述注册拒绝消息包括消息验证码，

所述UE根据所述消息验证码验证所述注册拒绝消息。

8.一种通信方法，其特征在于，包括：

接入网设备接收用户设备UE发送的加密的第一群组列表，所述第一闭合访问业务标识组包括所述UE请求接入的一个或多个群组务的标识；

所述接入网设备发送所述加密的第一群组列表；

所述接入网设备接收第一网络设备发送的第二群组列表，所述第二群组列表包括允许所述UE接入的一个或多个群组的标识；

所述接入网设备向所述UE发送所述一个或多个群组的服务质量QoS信息。

9.一种网络设备，其特征在于，包括：处理器和通信接口；

所述通信接口用于，接收用户设备UE发送的加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；

所述处理器用于，对所述加密的第一群组列表进行解密，以得到第一闭合访问业务标识组；

所述处理器还用于，确定统一数据管理UDM网元确定保存的签约群组列表；

所述处理器还用于，根据所述第一群组列表和所述签约群组列表，确定第二群组列表，第二群组列表包括允许所述UE接入的群组的标识；

所述通信接口还用于，当存在所述第二群组列表时，向所述接入网设备发送所述第二群组列表。

10.根据权利要求9所述的网络设备，其特征在于，所述通信接口用于，接收所述UE通过非接入层NAS安全模式SM完成消息发送的所述加密的第一群组列表。

11.根据权利要求9或10所述的方法网络设备，其特征在于，

所述处理器还用于，当不存在所述第二群组列表时，根据所述UE与所述第一网络设备之间的共享密钥计算得到消息验证码；

所述通信接口还用于，向所述接入网设备发送注册拒绝消息，所述消息验证码用于所述UE验证所述注册拒绝消息。

12.根据权利要求9-11中任一项所述的网络设备，其特征在于，

所述通信接口还用于，接收所述接入网设备发送的第三群组列表，所述第三群组列表包括所述接入网设备支持的群组的标识；

所述处理器用于，根据所述第一群组列表、所述第三群组列表和所述签约群组列表，确定所述第二群组列表。

13.一种用户设备，其特征在于，包括：处理器和通信接口；

所述处理器用于，利用非接入层NAS安全上下文对第一群组列表进行加密，以获得加密的第一群组列表，所述第一群组列表包括所述UE请求接入的一个或多个群组的标识；

所述通信接口用于，发送所述加密的第一群组列表。

14.根据权利要求13所述的用户设备，其特征在于，

所述通信接口用于，通过NAS安全模式SM完成消息向所述第一网络设备发送所述加密的第一群组列表；或者，所述通信接口用于，通过NAS安全上下文保护的上行NAS消息发送所述加密的第一群组列表。

15.根据权利要求13或14所述的用户设备，其特征在于，

所述通信接口还用于，接收第一网络设备发送的注册拒绝消息，所述注册拒绝消息包括消息验证码，

所述处理器还用于，根据所述消息验证码验证所述注册拒绝消息。

16.一种接入网设备，其特征在于，包括：处理器和通信接口；

所述通信接口用于，接收用户设备UE发送的加密的第一群组列表，所述第一闭合访问业务标识组包括所述UE请求接入的一个或多个群组务的标识；

所述通信接口还用于，发送所述加密的第一群组列表；

所述通信接口还用于，接收第一网络设备发送的第二群组列表，所述第二群组列表包括允许所述UE接入的一个或多个群组的标识；

所述通信接口还用于，向所述UE发送所述一个或多个群组的服务质量QoS信息。

17.一种通信设备，其特征在于，包括用于执行如权利要求1至8中任一项所述的方法的模块。

18.一种计算机程序存储介质，其特征在于，所述计算机程序存储介质具有程序指令，当所述程序指令被执行时，使得如权利要求1至8中任一项所述的方法被执行。

19.一种芯片，其特征在于，所述芯片包括至少一个处理器，当程序指令被所述至少一个处理器中执行时，使得如权利要求1至8中任一项所述的方法被执行。

20.一种通信系统，其特征在于，包括如权利要求9-12中任一项所述的网络设备，如权利要求13-15中任一项所述的用户设备，以及如权利要求16所述的接入网设备。

Images