WO2023041054A1

WO2023041054A1 - 网络验证的方法和装置

Info

Publication number: WO2023041054A1
Application number: PCT/CN2022/119391
Authority: WO
Inventors: 孙陶然; 吴义壮; 朱方园
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2021-09-18
Filing date: 2022-09-16
Publication date: 2023-03-23
Anticipated expiration: 2024-03-18
Also published as: EP4391652A1; EP4391652A4; US20240224098A1; CN115843029A

Abstract

本申请提供了一种网络验证的方法和装置，该方法可以包括：切片统计网元(30)接收来自移动管理网元(20)的切片注册请求消息(410)，该切片注册请求消息(410)包括终端设备(10)的标识和网络切片的标识；响应于该切片注册请求消息(410)，该切片统计网元(30)判断该终端设备(10)是否占用了该网络切片的资源；根据判断结果，该切片统计网元(30)确定是否将该终端设备(10)计入接入该网络切片的终端统计。

Description

网络验证的方法和装置

本申请要求于2021年09月18日提交中国专利局、申请号为202111101901.6、申请名称为“网络验证的方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种网络验证的方法和装置。

背景技术

为了应对网络流量的爆炸性增长，第五代移动通信(the fifth generation,5G)网络需要能够同时支持多样化的服务需求，以满足不同服务对网络吞吐量、延迟、数量和可靠性等指标要求。5G网络需要具有高带宽以承载虚拟现实、超高清视频和其他服务。同时5G网络需要提供海量连接和超低时延以更好的服务车联网业务、工业制造等。

不同的应用场景对网络功能、系统性能、安全性、用户体验等有不同的要求。如果使用同一网络提供服务，网络势必会非常复杂、繁琐，而且还会造成高额的网络维护费用。相反，如果对不同服务需求的不同业务提供专有网络，而且专有网络仅包含此类业务所需的功能，则该业务的服务效率将大大提高，网络性能也会得保障。这将会保证应用程序方案所需的网络性能，网络的操作和维护也会变得简单。

5G网络切片将现有网络进行分割，形成独立的逻辑网络，为差异化业务提供定制服务。根据不同的服务质量要求，通过分配相应的网络功能和网络资源，实现5G架构的实例化。5G网络切片的逻辑网络是网络功能资源和这些网络功能配置的集合。这个逻辑网络包含满足特定业务需求的网络特征。

5G网络中，可以通过对网络切片上的注册UE的数量的统计和限制实现对网络切片的准入控制。在UE通过AMF接入网络切片后，AMF会通知NSACF更新网络切片上的注册UE的数量，当网络切片上的注册UE数量达到最大值时，NSACF会阻止UE接入此网络切片。然而，当AMF发生异常或被攻击者攻破后，AMF可能会恶意向NSACF请求更新一些的网络切片上的注册UE数量，这会导致这些网络切片上的注册UE数量很快达到满额，使得其他UE无法接入这些网络切片，从而引起网络切片的拒绝服务。因此，如何防止AMF通过每网络切片UE可用性检查和授权流程发起DoS攻击，是当前亟待解决的问题。

发明内容

本申请提供了一种网络验证的方法和装置，以防止恶意的移动管理网元通过请求将终端设备计入该终端设备未占用的网络切片的终端统计，来发起拒绝服务攻击。

第一方面，提供了一种网络验证的方法，该方法包括：切片统计网元(30)接收来自移动管理网元(30)的切片注册请求消息(410)，该切片注册请求消息(101)包括终端设备(10)的标识和网络切片的标识；响应于该切片注册请求消息，该切片统计网元(30)判断该终端设备(10)是否占用了该网络切片的资源；根据判断结果，该切片统计网元(30)确定是否将该终端设备(10)计入接入该网络切片的终端统计。

应理解，这里的切片统计网元(30)判断该终端设备(10)是否占用了该网络切片的资源，还可以是切片统计网元(30)判断终端设备(10)是否接入了该网络切片，或者是切片统计网元(30)判断终端设备(10)是否注册到了该网络切片。

基于上述技术方案，切片统计网元根据终端设备是否占用了网络切片的资源，来确定是否将终端设备计入接入网络切片的终端统计，从而可以防止恶意的移动管理网元通过请求将终端设备计入该终端设备未占用的网络切片的终端统计，来发起拒绝服务攻击。

结合第一方面，在第一方面的某些实现方式中，该切片统计网元(30)判断该终端设备(10)是否占用了该网络切片的资源，包括：该切片统计网元(30)向存储网元(40)发送切片信息请求消息(428)，该切片信息请求消息(428)包括该终端设备(10)的标识，该切片信息请求消息(428)用于请求获取该终端设备(10)占用的网络切片的切片信息；该切片统计网元(30)接收来自该存储网元(40)的该切片信息，该切片信息包括以下任一项：该终端设备(10)请求的网络切片、该终端设备(10)被允许接入的网络切片、该终端设备(10)的请求网络切片为空的指示信息、该终端设备(10)被允许的网络切片为空的指示信息；该切片统计网元(30)根据该切片信息，判断该终端设备(10)是否占用了该网络切片的资源。

基于上述技术方案，切片统计网元通过存储网元获取终端设备占用的网络切片的切片信息，从而可以根据该切片信息来判断该终端设备是否占用了该网络切片的资源，从而可以确定是否将该终端设备计入接入该网络切片的终端统计。

结合第一方面，在第一方面的某些实现方式中，该切片统计网元(20)根据该切片信息，判断该终端设备(10)是否占用了该网络切片的资源，包括：当该切片信息包括该终端设备(10)请求的网络切片时，该切片统计网元(30)验证该网络切片是否属于该终端设备(10)请求的网络切片；在该网络切片属于该终端设备(10)请求的网络切片的情况下，该切片统计网元(30)确定该终端设备占用了该网络切片的资源；或者，当该切片信息包括该终端设备(10)被允许的网络切片时，该切片统计网元(30)验证该网络切片是否属于该终端设备(10)被允许的网络切片；在该网络切片属于该终端设备(10)被允许的网络切片的情况下，该切片统计网元(30)确定该终端设备(10)占用了该网络切片的资源；或者，当该切片信息包括该终端设备(10)请求的网络切片为空的指示信息时，该切片统计网元(30)验证该网络切片是否属于该终端设备(10)的默认网络切片；在该网络切片属于该终端设备(10)的默认网络切片的情况下，该切片统计网元(30)确定该终端设备占用了该网络切片的资源；或者，当该切片信息包括该终端设备(10)被允许的网络切片为空的指示信息时，该切片统计网元(30)确定该终端设备(10)没有占用该网络切片的资源。

基于上述技术方案，切片统计管理网元可以根据获取到的切片信息的内容，灵活验证该终端设备是否占用了该网络切片的资源，从而可以确定是否将该终端设备计入接入该网络切片的终端统计。

结合第一方面，在第一方面的某些实现方式中，该切片统计网元(30)根据该切片信息，判断该终端设备(10)是否占用了该网络切片的资源，包括：该切片统计网元(30)向存储网元(40)发送切片验证请求消息(421)，该切片验证请求消息(421)包括该终端设备(10)的标识和该网络切片的标识，该切片验证请求消息(421)用于请求验证该终端设备(10)是否占用了该网络切片的资源；该切片统计网元(30)接收来自该存储网元(40)的指示信息(426)；该切片统计网元(30)根据该指示信息(426)确定该终端设备(10)是否占用了该网络切片的资源。

基于上述技术方案，切片统计网元可以请求存储网元验证该终端设备是否占用了该网络切片的资源，从而可以确定是否将该终端设备计入接入该网络切片的终端统计。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该切片统计网元(30)验证该终端设备(10)是否接入了网络。

结合第一方面，在第一方面的某些实现方式中，该切片统计网元(30)验证该终端设备(10)是否接入了网络，包括：该切片统计网元(30)向存储网元(40)发送终端信息请求消息，该终端信息请求消息包括该终端设备(10)的标识；该切片统计网元(30)接收来自该存储网元(40)的状态指示信息；该切片统计网元(30)根据该状态指示信息确定该终端设备(10)是否接入了网络。

应理解，在该切片统计网元(30)判断该终端设备(10)是否占用了该网络切片的资源之前，或同时，请求切片统计网元(30)验证该终端设备(10)是否接入了网络。

在该切片统计网元(30)确定终端设备(10)没有接入网络时，切片统计网元(30)判断该终端设备(10)没有接入该网络切片，或者，该切片统计网元(30)判断该移动管理网元发生了异常，或者，该切片统计网元(30)确定不将终端设备(10)计入接入该网络切片的终端统计，或者，该切片统计网元(30)拒绝或忽略来自移动管理网元(20)的切片注册请求消息。

结合第一方面，在第一方面的某些实现方式中，在该切片统计网元(30)判断该终端设备(10)是否占用了该网络切片的资源之前，该方法还包括：该切片统计网元(30)验证该终端设备(10)是否接入了该移动管理网元(20)，或者说，该切片统计网元(30)验证该终端设备(10)是否与该移动管理网元(20)对应。

结合第一方面，在第一方面的某些实现方式中，该切片统计网元(30)验证该终端设备(10)是否接入了该移动管理网元(20)，包括：该切片统计网元(30)向存储网元(40)发送切片验证请求消息(421)，该切片验证请求消息(421)包括该移动管理网元(20)的标识；该切片统计网元(30)接收来自该存储网元(40)的指示信息；该切片统计网元(30)根据该指示信息确定该终端设备(10)是否接入了该移动管理网元(20)。

应理解，在该切片统计网元(30)判断该终端设备(10)是否占用了该网络切片的资源之前，或同时，请求切片统计网元(30)验证该终端设备(10)是否接入了该移动管理网元(20)。

在该切片统计网元(30)确定终端设备(10)未接入该移动管理网元(20)时，切片统计网元(30)判断该终端设备(10)没有接入该网络切片，或者，该切片统计网元(30)判断该移动管理网元发生了异常，或者，该切片统计网元(30)确定不将终端设备(10)计入接入该网络切片的终端统计，或者，该切片统计网元(30)拒绝或忽略来自移动管理网元(20)的切片注册请求消息。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该切片统计网元(30)验证计入该网络切片的终端统计的一个或多个终端设备是否占用了该网络切片的资源。

在该实现方式中，切片统计网元(30)可以在验证了终端设备(10)的同时，或者之后，验证计入该网络切片上的终端统计的其他终端设备是否占用了该网络切片的资源，当这些其他终端设备中的一个或多个没有占用该网络切片的资源，或者说当这些其他终端设备中的一个或多个没有接入该网络切片，则切片统计网元(30)将该一个或多个终端设备从该网络切片的终端统计中删除，从而可以使得该网络切片上的终端统计更加准确。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该切片统计网元(30)确定接入该网络切片的终端统计的数量大于或等于阈值。

基于上述技术方案，接入该网络切片的终端统计的数量大于或等于设定的阈值的情况下，切片统计网元才去判断该终端设备是否占用了该网络切片的资源，而不是在任意情况都进行判断，从而可以节省资源。

结合第一方面，在第一方面的某些实现方式中，该切片统计网元(30)根据判断结果，该切片统计网元(30)确定是否将该终端设备(10)计入接入该网络切片的终端统计，包括：当该终端设备(10)占用了该网络切片的资源时，该切片统计网元(30)将该终端设备计入接入该网络切片的终端统计；当该终端设备(10)没有占用该网络切片的资源时，该切片统计网元(30)不将该终端设备(10)计入接入该网络切片的终端统计。

基于上述技术方案，切片统计网元可以根据判断结果确定是否将该终端设备计入接入该网络切片的终端统计，从而可以防止恶意的移动管理网元通过请求将终端设备计入该终端设备未占用的网络切片的终端统计，来发起拒绝服务攻击。

结合第一方面，在第一方面的某些实现方式中，该切片注册请求消息用于请求将该终端设备计入接入该网络切片上的终端统计。

第二方面，提供了一种网络验证的方法，该方法包括：存储网元(40)接收来自切片统计网元(30)的切片验证请求消息(421)，该切片验证请求消息(421)包括终端设备(10)的标识和网络切片的标识；响应于该切片验证请求消息(421)，该存储网元(40)获取该终端设备(10)占用的网络切片的切片信息，该切片信息包括以下任一项：该终端设备(10)请求的网络切片、该终端设备(10)被允许的网络切片、该终端设备(10)请求的网络切片为空的指示信息、该终端设备(10)被允许的网络切片为空的指示信息；该存储网元(40)根据该终端设备(10)的切片信息，验证该终端设备(10)是否占用了该网络切片的资源。

基于上述技术方案，存储网元根据切片验证请求消息，判断终端设备是否占用了网络切片的资源，从而可以向切片统计网元指示判断结果，以便切片统计网元可以确定是否将终端设备计入接入网络切片的终端统计，从而可以防止恶意的移动管理网元通过请求将终端设备计入该终端设备未占用的网络切片的终端统计，来发起拒绝服务攻击。

结合第二方面，在第二方面的某些实现方式中，该存储网元(40)根据该终端设备(10)的切片信息，验证该终端设备(10)是否占用了该网络切片的资源，包括：当该切片信息包括该终端设备(10)请求的网络切片时，该存储网元(40)验证该网络切片是否属于该终端设备(10)请求的网络切片，在该网络切片属于该终端设备(10)请求的网络切片的情况下，该存储网元(40)确定该终端设备(10)占用了该网络切片的资源；当该切片信息包括该终端设备(10)被允许的网络切片时，该存储网元(40)验证该网络切片是否属于该终端设备(10)被允许的网络切片，在该网络切片属于该终端设备(10)被允许的网络切片的情况下，该存储网元(40)确定该终端设备(10)占用了该网络切片的资源；当该切片信息包括该终端设备(10)的请求网络切片为空的指示信息时，该存储网元(40)验证该网络切片是否属于该终端设备(10)的默认网络切片，在该网络切片属于该终端设备(10)的默认网络切片的情况下，该存储网元(40)确定该终端设备(10)占用了该网络切片的资源；当该切片信息包括该终端设备(10)被允许的网络切片为空的指示信息时，该存储网元(40)确定该终端设备(10)占用了该网络切片的资源。

基于上述技术方案，存储网元可以根据获取到的切片信息的内容，灵活验证该终端设备是否占用了该网络切片的资源，以便切片管理网元可以确定是否将该终端设备计入接入该网络切片的终端统计。

结合第二方面，在第二方面的某些实现方式中，该存储网元(40)获取该终端设备(10)占用的网络切片的切片信息，包括：该存储网元(40)根据该终端设备(10)的标识，在本地获取该切片信息。

结合第二方面，在第二方面的某些实现方式中，该存储网元(40)获取该终端设备(10)占用的网络切片的切片信息，包括：在该存储网元(40)本地没有该切片信息时，该存储网元(40)向该终端设备(10)发送切片信息请求消息(423)，该切片信息请求消息(423)用于请求获取该切片信息；该存储网元(40)接收来自该终端设备(10)的受到了完整性保护的切片信息响应消息，该切片信息响应消息包括该切片信息和完整性校验参数，该完整性校验参数用于验证该切片信息是否被篡改。

基于上述技术方案，存储网元可以从本地获取该终端设备占用的网络切片的切片信息，或者向终端设备请求该切片信息，从而可以根据该切片信息判断终端设备是否占用了该网络切片的资源，以便切片管理网元可以确定是否将该终端设备计入接入该网络切片的终端统计。

结合第二方面，在第二方面的某些实现方式中，该方法还包括：存储网元(40)验证该终端设备(10)是否接入了网络；在终端设备(10)没有接入网络的情况下，该存储网元(40)向切片管理网元(30)发送状态指示信息，该状态指示信息用于指示终端设备(10)是否接入了网络，或者，存储网元(40)向切片管理网元(30)发送验证失败的指示信息。

结合第二方面，在第二方面的某些实现方式中，该存储网元(40)验证该终端设备(10)是否接入了网络，包括：该存储网元(40)根据终端设备(10)的标识获取终端设备(10)的上下文；如果存储网元(40)获取到了该终端设备(10)的上下文，则存储网元(40)确定终端设备(10)接入了网络；如果存储网元(40)没有获取到该终端设备(10)的上下文，则存储网元(40)确定终端设备(10)没有接入网络。

结合第二方面，在第二方面的某些实现方式中，该切片验证请求消息(421)还包括移动管理网元(20)的标识，该方法还包括：存储网元(40)验证该终端设备(10)是否接入了该移动管理网元(20)；在该终端设备(10)没有接入该移动管理网元(20)的情况下，该存储网元(40)向切片管理网元(30)发送指示信息，该指示信息用于指示该终端设备(10)没有接入该移动管理网元(20)，或者，该存储网元(40)向切片管理网元(30)发送验证失败的指示信息。

结合第二方面，在第二方面的某些实现方式中，该存储网元(40)验证该终端设备(10)是否接入了该移动管理网元(20)，包括：该存储网元(40)根据终端设备(10)的标识获取终端设备(10)的上下文；该存储网元(40)根据该终端设备(10)的上下文验证该终端设备(10)是否接入了该移动管理网元(20)。

结合第二方面，在第二方面的某些实现方式中，该方法还包括：该存储网元(40)向验证网元(50)发送验证请求消息，该验证请求消息包括该切片信息和该完整性校验参数，该验证请求消息用于请求验证该切片信息是否被篡改；该存储网元(40)接收来自该验证网元(50)的完整性验证指示信息；该存储网元(40)根据该完整性验证指示信息确定该切片信息是否被篡改。

基于上述技术方案，存储网元可以根据完整性校验参数验证来自终端设备的切片信息的完整性，从而防止切片信息被篡改。

结合第二方面，在第二方面的某些实现方式中，在该存储网元(40)获取该终端设备(10)的切片信息之前，该方法还包括：该储存网元(40)确定该网络切片的标识属于该终端设备(10)的签约网络切片。

基于上述技术方案，存储网元在判断终端设备是否占用了该网络切片的资源之前，先判断网络切片的标识是否属于终端设备的签约网络切片，在该网络切片的标识不属于终端设备的签约网络切片的情况下，存储网元便不需要执行后续判断流程，从而可以节省资源开销。

结合第二方面，在第二方面的某些实现方式中，该切片验证请求消息(424)用于请求验证该终端设备(10)是否占用了该网络切片的资源。

第三方面，提供了一种网络验证的方法，该方法包括：在满足触发条件的情况下，终端设备(10)生成具有完整性保护的消息，该消息包括该终端设备(10)占用的网络切片的切片信息，该切片信息包括以下任意一项：该终端设备的请求网络切片、该终端设备的允许网络切片、该终端设备(10)请求的网络切片为空的指示信息、该终端设备(10)被允许的网络切片为空的指示信息；该终端设备(10)将该消息发送给存储网元(40)。

基于上述技术方案，终端设备在满足触发条件的情况下，向存储网元上报该终端设备占用的网络切片的切片信息，以便移动管理网元向切片管理网元请求将该终端设备计入接入该网络切片的终端统计时，可以通过存储网元判断该终端设备是否占用了该网络切片的资源，从而确定是否将该终端设备计入接入该网络切片的终端统计。

结合第三方面，在第三方面的某些实现方式中，该触发条件包括以下任意一项或多项：该终端设备(10)接收到非接入层安全模式命令消息；该终端设备(10)接收到注册接受消息；该终端设备(10)接收到来自该存储网元(40)的切片信息请求消息(423)，该切片信息请求消息(423)用于请求获取该切片信息。

结合第三方面，在第三方面的某些实现方式中，该方法还包括：该终端设备(10)利用完整性密钥和该切片信息生成完整性校验参数，该消息中还包括该完整性校验参数，该完整性校验参数用于验证该切片信息是否被篡改。

终端设备将发送给存储网元的切片信息进行了完整性保护，从而可以避免该切片信息被篡改。

第四方面，提供了一种网络验证的方法，其特征在于，包括：终端设备(10)向移动管理网元(20)发送注册请求消息，该注册请求消息用于该终端设备(10)请求注册到网络；该终端设备(10)接收非接入层安全模式命令消息；在该注册请求消息携带请求网络切片的情况下，该终端设备(10)向切片统计网元(30)发送切片信息，该切片信息包括该请求网络切片；在该注册请求消息没有携带请求网络切片的情况下，该终端设备(10)向切片统计网元(30)发送切片信息，该切片信息包括该请求网络切片为空的指示信息。

第五方面，提供了一种网络验证的方法，其特征在于，包括：终端设备(10)向移动管理网元(20)发送注册请求消息，该注册请求消息用于该终端设备(10)请求注册到网络；该终端设备(10)接收来自该移动管理网元(20)的注册接受消息；在该注册接受消息包括允许网络切片的情况下，该终端设备(10)向切片统计网元(30)发送切片信息，该切片信息包括该允许网络切片；在该注册接受消息不包括该允许网络切片的-情况下，该终端设备(10)向该切片统计网元(30)发送切片信息，该切片信息包括该允许网络切片为空的指示信息。

第六方面，提供了一种网络验证的方法，其特征在于，包括：移动管理网元(20)向存储网元(40)发送终端设备(10)占用的网络切片的切片信息之后，该移动管理网元(20)向切片统计网元(30)发送注册请求消息(410)，该注册请求消息(410)包括终端设备(10)的标识和网络切片的标识。可选地，该注册请求消息(410)用于请求将终端设备(10)计入接入该网络切片上的终端统计的数量。

在一种实现方式中，当该网络切片被包括在终端设备(10)的被允许的网络切片中，且这个网络切片被要求进行网络切片的准入控制时，移动管理网元(20)才向切片统计网元(30)发送注册请求消息(410)，以请求切片统计网元(30)对该网络切片进行准入控制，这里的准入控制流程包括切片统计网元(30)将占用了网络切片资源的终端设备计入接入该网络切片的终端统计。

基于上述技术方案，移动管理网元在向存储网元发送了终端设备的切片信息之后，才发起网络切片准入控制流程，在这种情况下的网络切片准入控制流程中，如果存储网元在本地没有找到该终端设备的切片信息，则可以确定该终端设备没有占用该网络切片的资源，或者确定该终端设备没有接入该网络切片，而不需要额外的验证，从而可以节省资源。

第七方面，提供了一种网络验证的装置，其特征在于，包括：收发模块，用于接收来自移动管理网元(30)的切片注册请求消息(410)，该切片注册请求消息(101)包括终端设备(10)的标识和网络切片的标识；处理模块，用于响应于该切片注册请求消息，判断该终端设备(10)是否占用了该网络切片的资源；该处理模块，还用于根据判断结果，确定是否将该终端设备(10)计入接入该网络切片的终端统计。

结合第七方面，在第七方面的某些实现方式中，该收发模块具体用于：向存储网元(40)发送切片信息请求消息(428)，该切片信息请求消息(428)包括该终端设备(10)的标识，该切片信息请求消息(428)用于请求获取该终端设备(10)占用的网络切片的切片信息；接收来自该存储网元(40)的该切片信息，该切片信息包括以下任一项：该终端设备(10)请求的网络切片、该终端设备(10)被允许接入的网络切片、该终端设备(10)的请求网络切片为空的指示信息、该终端设备(10)被允许的网络切片为空的指示信息；该处理模块具体用于：根据该切片信息，判断该终端设备(10)是否占用了该网络切片的资源。

结合第七方面，在第七方面的某些实现方式中，该处理模块具体用于：当该切片信息包括该终端设备(10)请求的网络切片时，验证该网络切片是否属于该终端设备(10)请求的网络切片；在该网络切片属于该终端设备(10)请求的网络切片的情况下，确定该终端设备占用了该网络切片的资源；或者，该处理模块具体用于：当该切片信息包括该终端设备(10)被允许的网络切片时，验证该网络切片是否属于该终端设备(10)被允许的网络切片；在该网络切片属于该终端设备(10)被允许的网络切片的情况下，确定该终端设备(10)占用了该网络切片的资源；或者，该处理模块具体用于：当该切片信息包括该终端设备(10)请求的网络切片为空的指示信息时，验证该网络切片是否属于该终端设备(10)的默认网络切片；在该网络切片属于该终端设备(10)的默认网络切片的情况下，确定该终端设备占用了该网络切片的资源；或者，该处理模块具体用于：当该切片信息包括该终端设备(10)被允许的网络切片为空的指示信息时，确定该终端设备(10)没有占用该网络切片的资源。

结合第七方面，在第七方面的某些实现方式中，该收发模块具体用于：所向存储网元(40)发送切片验证请求消息(421)，该切片验证请求消息(421)包括该终端设备(10)的标识和该网络切片的标识，该切片验证请求消息(421)用于请求验证该终端设备(10)是否占用了该网络切片的资源；接收来自该存储网元(40)的指示信息(426)；该处理模块具体用于：根据该指示信息(426)确定该终端设备(10)是否占用了该网络切片的资源。

结合第七方面，在第七方面的某些实现方式中，该处理模块还用于：确定接入该网络切片的终端统计的数量大于或等于阈值。

结合第七方面，在第七方面的某些实现方式中，当该终端设备(10)占用了该网络切片的资源时，该处理模块具体用于将该终端设备计入接入该网络切片的终端统计；当该终端设备(10)没有占用该网络切片的资源时，该处理模块具体用于不将该终端设备(10)计入接入该网络切片的终端统计。

结合第七方面，在第七方面的某些实现方式中，该第一请求消息用于请求增加接入该网络切片上的终端统计的数量。

第八方面，提供了一种网络验证的装置，其特征在于，包括：收发模块，用于接收来自切片统计网元(30)的切片验证请求消息(421)，该切片验证请求消息(421)包括终端设备(10)的标识和网络切片的标识；处理模块，用于响应于该切片验证请求消息(421)，获取该终端设备(10)占用的网络切片的切片信息，该切片信息包括以下任一项：该终端设备(10)请求的网络切片、该终端设备(10)被允许的网络切片、该终端设备(10)请求的网络切片为空的指示信息、该终端设备(10)被允许的网络切片为空的指示信息；该处理模块，还用于根据该终端设备(10)的切片信息，验证该终端设备(10)是否占用了该网络切片的资源。

结合第八方面，在第八方面的某些实现方式中，当该切片信息包括该终端设备(10)请求的网络切片时，该处理模块具体用于验证该网络切片是否属于该终端设备(10)请求的网络切片，在该网络切片属于该终端设备(10)请求的网络切片的情况下，该存储网元(40)确定该终端设备(10)占用了该网络切片的资源；当该切片信息包括该终端设备(10)被允许的网络切片时，该处理模块具体用于验证该网络切片是否属于该终端设备(10)被允许的网络切片，在该网络切片属于该终端设备(10)被允许的网络切片的情况下，该处理模块具体用于确定该终端设备(10)占用了该网络切片的资源；当该切片信息包括该终端设备(10)的请求网络切片为空的指示信息时，该处理模块具体用于验证该网络切片是否属于该终端设备(10)的默认网络切片，在该网络切片属于该终端设备(10)的默认网络切片的情况下，该处理模块具体用于确定该终端设备(10)占用了该网络切片的资源；当该切片信息包括该终端设备(10)被允许的网络切片为空的指示信息时，该处理模块具体用于确定该终端设备(10)占用了该网络切片的资源。

结合第八方面，在第八方面的某些实现方式中，该处理模块具体用于根据该终端设备(10)的标识，在本地获取该切片信息。

结合第八方面，在第八方面的某些实现方式中，在该处理模块没有从本地获取到该切片信息时，该收发模块具体用于向该终端设备(10)发送切片信息请求消息(423)，该切片信息请求消息(423)用于请求获取该切片信息；该收发模块具体用于接收来自该终端设备(10)的受到了完整性保护的切片信息响应消息，该切片信息响应消息包括该切片信息和完整性校验参数，该完整性校验参数用于验证该切片信息是否被篡改。

结合第八方面，在第八方面的某些实现方式中，该收发模块还用于向验证网元(50)发送验证请求消息，该验证请求消息包括该切片信息和该完整性校验参数，该验证请求消息用于请求验证该切片信息是否被篡改；接收来自该验证网元(50)的完整性验证指示信息；该处理模块还用于根据该完整性验证指示信息确定该切片信息是否被篡改。

结合第八方面，在第八方面的某些实现方式中，该处理模块还用于确定该网络切片的标识属于该终端设备(10)的签约网络切片。

结合第八方面，在第八方面的某些实现方式中，该切片验证请求消息(424)用于请求验证该终端设备(10)是否占用了该网络切片的资源。

第九方面，提供了一种网络验证的装置，其特征在于，包括：处理模块，用于在满足触发条件的情况下，生成具有完整性保护的消息，该消息包括该终端设备(10)占用的网络切片的切片信息，该切片信息包括以下任意一项：该终端设备的请求网络切片、该终端设备的允许网络切片、该终端设备(10)请求的网络切片为空的指示信息、该终端设备(10)被允许的网络切片为空的指示信息；收发模块，用于将该消息发送给存储网元(40)。

结合第九方面，在第九方面的某些实现方式中，该触发条件包括以下任意一项或多项：该收发模块接收到非接入层安全模式命令消息；该收发模块接收到注册接受消息；该收发模块接收到来自该存储网元(40)的切片信息请求消息(423)，该切片信息请求消息(423)用于请求获取该切片信息。

结合第九方面，在第九方面的某些实现方式中，该处理模块还用于利用完整性密钥和该切片信息生成完整性校验参数，该消息中还包括该完整性校验参数，该完整性校验参数用于验证该切片信息是否被篡改。

第十方面，提供一种通信装置，该装置用于执行上述第一方面至第五方面提供的方法。具体地，该装置可以包括用于执行第一方面至第五方面提供的方法的单元和/或模块，如处理单元和/或通信单元。

在一种实现方式中，该装置为网络设备，例如该装置为切片统计网元(30)，或存储网元(40)，或认证网元(50)。当该装置为网络设备时，通信单元可以是收发器，或，输入/输出接口；处理单元可以是处理器。

在另一种实现方式中，该装置为用于网络设备中的芯片、芯片系统或电路。当该装置为用于通信设备中的芯片、芯片系统或电路时，通信单元可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等；处理单元可以是处理器、处理电路或逻辑电路等。

一种可能情况，该装置为切片统计网元(30)或切片统计网元(30)中的芯片、芯片系统或电路。在该情况下，该装置可以包括用于执行第一方面提供的方法的单元和/或模块，如处理单元和/或通信单元。

又一种可能情况，该装置为存储网元(40)或存储网元(40)中的芯片、芯片系统或电路。在该情况下，该装置可以包括用于执行第二方面提供的方法的单元和/或模块，如处理单元和/或通信单元。

在另一种实现方式中，该装置为终端设备，例如该装置为终端设备(10)。当该装置为终端设备时，通信单元可以是收发器，或，输入/输出接口；处理单元可以是处理器。

一种可能情况，该装置为终端设备(10)或终端设备(10)中的芯片、芯片系统或电路。在该情况下，该装置可以包括用于执行第三方面至第五方面中任一方面提供的方法的单元和/或模块，如处理单元和/或通信单元。

可选地，上述收发器可以为收发电路。可选地，上述输入/输出接口可以为输入/输出电路。

第十一方面，提供一种通信装置，该装置包括：存储器，用于存储程序；处理器，用于执行存储器存储的程序，当存储器存储的程序被执行时，处理器用于执行上述第一方面至第五方面提供的方法。

第十二方面，本申请提供一种处理器，用于执行上述各方面提供的方法。在执行这些方法的过程中，上述方法中有关发送上述信息和获取/接收上述信息的过程，可以理解为由处理器输出上述信息的过程，以及处理器接收输入的上述信息的过程。在输出上述信息时，处理器将该上述信息输出给收发器，以便由收发器进行发射。该上述信息在由处理器输出之后，还可能需要进行其他的处理，然后才到达收发器。类似的，处理器接收输入的上述信息时，收发器获取/接收该上述信息，并将其输入处理器。更进一步的，在收发器收到该上述信息之后，该上述信息可能需要进行其他的处理，然后才输入处理器。

基于上述原理，举例来说，前述方法中提及的接收请求消息可以理解为处理器接收输入的信息。

对于处理器所涉及的发射、发送和获取/接收等操作，如果没有特殊说明，或者，如果未与其在相关描述中的实际作用或者内在逻辑相抵触，则均可以更加一般性的理解为处理器输出和接收、输入等操作，而不是直接由射频电路和天线所进行的发射、发送和接收操作。

在实现过程中，上述处理器可以是专门用于执行这些方法的处理器，也可以是执行存储器中的计算机指令来执行这些方法的处理器，例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

第十三方面，提供一种计算机可读存储介质，该计算机可读介质存储用于设备执行的程序代码，该程序代码包括用于执行上述第一方面至第五方面提供的方法。

第十四方面，提供一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述第一方面至第五方面提供的方法。

第十五方面，提供一种芯片，该芯片包括处理器与通信接口，该处理器通过该通信接口读取存储器上存储的指令，执行上述第一方面至第五方面提供的方法。

可选地，作为一种实现方式，该芯片还可以包括存储器，该存储器中存储有指令，该处理器用于执行该存储器上存储的指令，当该指令被执行时，该处理器用于执行上述第一方面至第五方面提供的方法。

附图说明

图1是一种适用于本申请实施例的网络结构的示意图。

图2是一种网络切片准入控制的方法的示意性流程图。

图3是另一种网络切片准入控制的方法的示意性流程图。

图4是本申请实施例提供的一种网络验证方法的示例性流程图。

图5是本申请实施例提供的另一种网络验证方法的示例性流程图。

图6是本申请实施例提供的又一种网络验证方法的示例性流程图。

图7是本申请一个实施例提供的网络验证的装置的示意性框图。

图8是本申请另一个实施例提供的网络验证的装置的示意性框图。

图9是本申请又一个实施例提供的网络验证的装置的示意性框图。

图10是本申请又一个实施例提供的网络验证的装置的示意性框图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图，对本申请中的技术方案进行描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中，在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。

为了解决背景技术提及的问题，如图1的(a)所示，本申请提供了一种通信系统，该通信系统包括终端设备(10)、移动管理网元(20)和切片统计网元(30)。其中，该切片统计网元(30)用于接收来自移动管理网元(30)的切片注册请求消息(410)，该切片注册请求消息(410)包括终端设备(10)的标识和网络切片的标识；响应于该切片注册请求小，该切片统计网元(30)判断该终端设备(10)是否占用了第一网络切片的资源；根据判断结果，该切片统计网元(30)确定是否将该终端设备(10)计入该网络切片的终端统计。

可选地，该系统中还包括存储网元(40)和认证网元(50)。其中，该存储网元(40)用于接收来自该切片统计网元(30)的切片验证请求消息(421)，该切片验证请求消息(421)包括该终端设备(10)的标识和该网络切片的标识；响应于该切片验证请求消息(421)，该存储网元(40)获取该终端设备(10)占用的网络切片的切片信息，该切片信息包括以下任一项：该终端设备(10)请求的网络切片、该终端设备(10)被允许的网络切片、该终端设备(10)请求的网络切片为空的指示信息、该终端设备(10)被允许的网络切片为空的指示信息；该存储网元(40)根据该终端设备(10)的切片信息，验证该终端设备(10)是否占用了该网络切片的资源。该认证网元(50)用于接收来自该存储网元的验证请求消息，该验证请求消息包括该终端设备(10)占用的网络切片的切片信息和完整性校验参数，该完整性校验参数用于验证该切片信息是否被篡改；该认证网元(50)根据该切片信息和完整性密钥生成完整性校验参数，在认证网元(50)生成的该完整性校验参数和该验证请求消息中携带的完整性校验参数相同的情况下，该认证网元(50)确定该切片信息没有被篡改。

应理解，图1的(a)中各网元之间的具体交互过程可以参照图4中的方法流程，具体实现的方案见方法400中的详细说明。

本申请提供的技术方案可以应用于各种通信系统，例如：第五代(5th generation，5G)或新无线(new radio，NR)系统、长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)系统等。本申请提供的技术方案还可以应用于未来的通信系统，如第六代移动通信系统。本申请提供的技术方案还可以应用于设备到设备(device to device，D2D)通信，车到万物(vehicle-to-everything，V2X)通信，机器到机器(machine to machine，M2M)通信，机器类型通信(machine type communication，MTC)，以及物联网(internet of things，IoT)通信系统或者其他通信系统。

如图1的(b)所示，为基于服务化架构的第五代(5th generation，5G)网络架构示意图。应理解，图1的(a)中的移动管理网元(20)可以是图1的(b)中的AMF，图1的(a)中的存储网元(40)可以是图1的(b)中的UDM，图1的(a)中的认证网元(50)可以是图1的(b)中的AUSF，图1的(a)中的终端设备(10)可以是图1的(b)中的UE。图1的(a)中的切片管理网元(30)可以是NSACF。

图1的(b)所示的5G网络架构中可包括三部分，分别是终端设备部分、数据网络(data network，DN)和运营商网络部分。下面对其中的部分网元的功能进行简单介绍说明。

其中，运营商网络可包括以下网元中的一个或多个：鉴权服务器功能(authentication server function，AUSF)网元、网络开放功能(network exposure function，NEF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、统一数据库(unified data repository，UDR)、网络存储功能(network repository function，NRF)网元、应用功能(application function，AF)网元、接入与移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、无线接入网(radioaccess network，RAN)以及用户面功能(user plane function，UPF)网元等。上述运营商网络中，除无线接入网部分之外的部分可以称为核心网络部分。

1、终端设备(terminal device)：也可以成为用户设备(user equipment，UE)，是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical) 中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。这里的终端设备，指的是第三代合作伙伴计划(3rd generation partnership project，3GPP)终端。为便于说明，本申请后续以UE代指终端设备为例进行说明。

上述终端设备可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接，使用运营商网络提供的数据和/或语音等服务。终端设备还可通过运营商网络访问DN，使用DN上部署的运营商业务，和/或第三方提供的业务。其中，上述第三方可为运营商网络和终端设备之外的服务方，可为终端设备提供他数据和/或语音等服务。其中，上述第三方的具体表现形式，具体可根据实际应用场景确定，在此不做限制。

2、无线接入网络(radio access network，RAN)网元：在下文中简称为RAN，对应接入网设备。

RAN是运营商网络的子网络，是运营商网络中业务节点与终端设备之间的实施系统。终端设备要接入运营商网络，首先是经过RAN，进而可通过RAN与运营商网络的业务节点连接。本申请中的RAN设备，是一种为终端设备提供无线通信功能的设备，RAN设备也称为接入网设备。本申请中的RAN设备包括但不限于：5G中的下一代基站(g nodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(baseBand unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等。3、用户面功能(user plane function，UPF)：用于分组路由和转发以及用户面数据的服务质量(quality of service，QoS)处理等。

在5G通信系统中，该用户面网元可以是用户面功能(user plane function，UPF)网元。在未来通信系统中，用户面网元仍可以是UPF网元，或者，还可以有其它的名称，本申请不做限定。

4、多播/广播用户面功能(multicast/broadcast-user plane function，MB-UPF)

MB-UPF主要负责将多播广播流传送到RAN(或者UPF)，可以进行多播广播流的包过滤、分发，实现多播广播服务的QoS增强以及计数/上报等。本申请中的MB-UPF和UPF不做严格区分，使用(MB-)UPF表示MB-UPF或者UPF。

5、数据网络(data network，DN)：用于提供传输数据的网络。

在5G通信系统中，该数据网络网元可以是数据网络网元。在未来通信系统中，数据网络网元仍可以是DN网元，或者，还可以有其它的名称，本申请不做限定。

6、接入和移动管理网元

接入和移动管理网元主要用于移动性管理和接入管理等，可以用于实现MME功能中除会话管理之外的其它功能，例如，合法监听以及接入授权/鉴权等功能。

在5G通信系统中，该接入和移动管理网元可以是接入和移动管理功能(access and mobility management function，AMF)。在未来通信系统中，接入和移动管理设备仍可以是AMF，或者，还可以有其它的名称，本申请不做限定。

7、会话管理功能(session management function，SMF)：主要用于会话管理、用户设备的网络互连协议(internet protocol，IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。

在5G通信系统中，该会话管理网元可以是会话管理功能网元。在未来通信系统中，会话管理网元仍可以是SMF网元，或者，还可以有其它的名称，本申请不做限定。

8、多播/广播会话管理功能(multicast/broadcast-session management function，MB-SMF)

MB-SMF主要负责多播广播会话管理，控制多播广播传输，根据PCF提供或本地配置的多播广播服务是策略规则对MB-UPF和RAN进行相应的配置，以完成多播广播流的传输。本申请中的MB-SMF和SMF不做严格区分，使用(MB-)SMF表示MB-SMF或者SMF。

9、策略控制功能(policy control function，PCF)：用于指导网络行为的统一策略框架，为控制面功能网元(例如AMF，SMF等)提供策略规则信息等。

在4G通信系统中，该策略控制网元可以是策略和计费规则功能(policy and charging rules function，PCRF)网元。在5G通信系统中，该策略控制网元可以是策略控制功能PCF网元。在未来通信系统中，策略控制网元仍可以是PCF网元，或者，还可以有其它的名称，本申请不做限定。

10、应用功能(application function，AF)：用于进行应用影响的数据路由，无线接入网络开放功能网元，与策略框架交互进行策略控制等。

在5G通信系统中，该应用网元可以是应用功能网元。在未来通信系统中，应用网元仍可以是AF网元，或者，还可以有其它的名称，本申请不做限定。

11、统一数据管理(unified data management，UDM)：用于处理UE标识，接入鉴权，注册以及移动性管理等。

在5G通信系统中，该数据管理网元可以是统一数据管理网元；在4G通信系统中，该数据管理网元可以是归属用户服务器(home subscriber server，HSS)网元在未来通信系统中，统一数据管理仍可以是UDM网元，或者，还可以有其它的名称，本申请不做限定。

12、统一数据存储(unified data repository，UDR)：主要包括以下功能：签约数据、策略数据、应用数据等类型数据的存取功能。

13、认证服务器(authentication server function，AUSF)：用于鉴权服务、产生密钥实现对用户设备的双向鉴权，支持统一的鉴权框架。

在5G通信系统中，该认证服务器可以是认证服务器功能网元。在未来通信系统中，认证服务器功能网元仍可以是AUSF网元，或者，还可以有其它的名称，本申请不做限定。

14、数据网络(data network，DN)：DN是位于运营商网络之外的网络，运营商网络可以接入多个DN，DN上可部署多种业务，可为终端设备提供数据和/或语音等服务。例如，DN是某智能工厂的私有网络，智能工厂安装在车间的传感器可为终端设备，DN中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，根据指令将采集的传感器数据传送给控制服务器等。又例如，DN是某公司的内部办公网络，该公司员工的手机或者电脑可为终端设备，员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。

图1的(b)中Nausf、Nnef、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4，以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义，在此不做限制。

在图1的(b)所示的网络架构中，各网元之间可以通过图中所示的接口通信。如图所示，UE和AMF之间可以通过N1接口进行交互，交互消息例如可以称为N1消息(N1Message)。RAN和AMF之间可以通过N2接口进行交互，N2接口可以用于非接入层(non-access stratum，NAS)消息的发送等。RAN和UPF之间可以通过N3接口进行交互，N3接口可以用于传输用户面的数据等。SMF和UPF之间可以通过N4接口进行交互，N4接口可以用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息。UPF和DN之间可以通过N6接口进行交互，N6接口可以于传输用户面的数据等。其他接口与各网元之间的关系如图1中所示，为了简洁，这里不一一详述。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

还应理解，图1中所示的AMF、SMF、UPF、网络切片选择功能网元(network slice selection function，NSSF)、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对于上述网元的具体形态不作限定。

还应理解，上述命名仅为便于区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。图1中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

可以理解的是，上述网元或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。为方便说明，本申请后续，以网络设备为接入和移动管理网元AMF，基站为无线接入网络RAN为例进行说明。

本申请中的终端设备(10)、移动管理网元(20)、切片统计网元(30)、存储网元(40)和认证网元(50)可以是5G系统中的UE、AMF、NSACF、UDM、AUSF，也可以是未来通信如第六代(6th generation，6G)网络中具有上述UE、AMF、NSACF、UDM、AUSF的功能的网元，本申请对此不限定。

应理解，上述应用于本申请实施例的网络架构仅是一种举例说明，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

例如，在某些网络架构中，AMF、SMF网元、PCF网元、BSF网元以及UDM网元等网络功能网元实体都称为网络功能(network function，NF)网元；或者，在另一些网络架构中，AMF，SMF网元，PCF网元，BSF网元，UDM网元等网元的集合都可以称为控制面功能网元。

本申请实施例的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如，计算机可读介质可以包括，但不限于：磁存储器件(例如，硬盘、软盘或磁带等)，光盘(例如，压缩盘(compact disc，CD)、数字通用盘(digital versatile disc，DVD)等)，智能卡和闪存器件(例如，可擦写可编程只读存储器(erasable programmable read-only memory，EPROM)、卡、棒或钥匙驱动器等)。另外，本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于，无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

为便于理解本申请实施例，首先对本申请中涉及到的术语做简单说明。

1、允许网络切片选择辅助信息(Allowed NSSAI)：

服务PLMN在例如注册过程期间提供的NSSAI，指示UE可以在服务PLMN中用于当前注册区域的S-NSSAI值。

2、请求网络切片选择辅助信息(Requested NSSAI)：

UE在注册时向服务PLMN提供的NSSAI。

3、签约单网络切片选择辅助信息(Subscribed S-NSSAI)：

基于用户信息的S-NSSAI,UE在PLMN中签约使用。

4、默认单网络切片选择辅助信息(Default S-NSSAI)：

Subscribed NSSAI中带有Default指示的切片，当UE没有可以接入的网络切片时，默认接入的网络切片。

5、拒绝网络切片选择辅助信息(Reject NSSAI)：

UE在例如注册过程中请求接入的NSSAI，但服务PLMN拒绝UE接入，指示UE不可以在服务PLMN中用于当前注册区域的S-NSSAI值。

下面结合图2介绍一种网络切片准入控制方法200。方法200包括：

S201，AMF向NSACF发送每网络切片UE数量可用性检查和更新请求(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Request)消息。

示例性地，当一个网络切片被包含在一个UE的允许NSSAI(Allowed NSSAI)中或在一个UE的Allowed NSSAI中被移除，且这个网络切片被要求进行网络切片准入控制(network slice admission control，NSAC)，AMF会发起每网络切片UE数量可用性检查和更新流程，该流程发起的几种可能的场景示例如下：

一示例，AMF可以在UE的注册流程(包括初始注册，移动性注册)中发起每网络切片UE数量可用性检查和更新流程。在提前接入控制(early admission control，EAC)模式被激活的情形下，AMF可以在向UE发送注册接受消息之前发起该流程；在EAC模式没有被激活的情形下，AMF可以在向UE发送注册接受消息之后发起该流程。

另一示例，AMF可以在UE去注册流程中发起每网络切片UE数量可用性检查和更新流程。

又一示例，AMF可以在由于网络切片认证和授权流程或UE签约切片改变所导致的UE配置更新流程中发起每网络切片UE数量可用性检查和更新流程。在EAC模式被激活的情形下，AMF在UE配置更新流程之前发起该流程；在EAC模式没被激活的情形下，AMF在UE配置更新流程之后发起该流程。

AMF确定发起每网络切片UE数量可用性检查和更新流程后，向NSACF发送每网络切片UE数量可用性检查和更新请求消息，该请求消息中包括UE ID(该UE ID例如是用户永久标识(subscription permanent identifier，SUPI))，接入类型，S-NSSAI和更新标志，其中，该更新标志用于指示增加切片上的注册UE数量，或减少切片上的注册UE数量。另外该请求消息中可以携带一个或多个S-NSSAI，本申请不做限定。

当UE已经注册到S-NSSAI上时，该更新标志指示增加切片上的注册UE数量；当UE从S-NSSAI上去注册时，该更新标志指示减少切片上的注册UE数量。

S202，NSACF更新S-NSSAI上的注册UE数量。

示例性地，NSACF接收来自AMF的每网络切片UE数量可用性检查和更新请求消息之后，然后根据该请求消息中携带的信息，更新S-NSSAI上的注册UE数量。

一示例，该每网络切片UE数量可用性检查和更新请求消息中携带的更新标志指示增加切片上的注册UE数量，则NSACF检查UE ID是否已经在注册到了S-NSSAI的UE列表中，或者说NSACF检查S-NSSAI的UE列表中是否有请求消息中携带的UE ID，也就是检查S-NSSAI是否已经统计了该UE ID。

在UE ID已经在注册到了S-NSSAI的UE列表的情形下，说明该UE ID已经被统计为注册到了S-NSSAI(或者说该UE ID已经被统计为注册到了该S-NSSAI所标识的网络切片中)，此时NSACF无需更新S-NSSAI上的注册UE的数量。NSACF创建与此次更新关联的新条目，并临时维护与先前更新关联的旧条目(如果存在的话)。NSACF在接收到包括指示减少切片上的注册UE的数量的更新标志的请求消息时，删除旧条目。

在UE ID没有注册到S-NSSAI的UE列表，并且S-NSSAI上的注册UE的数量还没有达到最大值的情形下，NSACF将UE ID添加到注册到S-NSSAI的UE列表中，并增加当前注册到S-NSSAI的UE数量。

在UE ID没有注册到S-NSSAI的UE列表，但S-NSSAI上的注册UE的数量已经达到最大值的情形下，则NSACF返回结果参数以指示S-NSSAI上的注册UE的数量已经达到了最大值。

另一示例，该每网络切片UE数量可用性检查和更新请求消息中携带的更新标志指示减少切片上的注册UE数量，则NSACF检查与UE ID关联的条目的数量。

在只有一个与UE ID关联的条目的情形下，NSACF将UE ID从S-NSSAI的注册UE列表中删除该UE ID。

在有两个与UE ID关联的条目的情形下，NSACF将删除旧条目，并保留新条目。

S203，NSACF向AMF发送每网络切片UE数量可用性检查和更新响应消息(NSACF返回Nnsacf_UEsPerSliceAvailabilityCheckAndUpdate_Response)。

示例性地，该每网络切片UE数量可用性检查和更新响应消息中包括注册UE的数量已经达到最大值的S-NSSAI(s)以及结果参数，该结果参数用于指示该S-NSSAI(s)上的注册UE的数量已经达到了最大值。

在UE注册过程，如果UE请求向多个S-NSSAI进行注册，其中只有部分S-NSSAI达到了每网络切片的最大UE数量，则AMF向UE发送注册接受消息，同时AMF还发送拒绝NSSAI(Reject NSSAI)，该列表中包括注册UE的数量达到了最大值的S-NSSAI(s)。对于每个被拒绝的S-NSSAI，MAF还可以在响应消息中携带拒绝原因(例如每网络切片达到了最大UE数量)和可选的回退定时器。

如果UE在注册过程请求的一个或多个S-NSSAI均达到了最大UE数量，但是若一个或多个签约的S-NSSAI在签约数据中标记为Default(记为Default S-NSSAI)，并且其不受网络切片准入控制，则AMF可以决定将这些Default S-NSSAI包括在Allowed NSSAI中。否则，AMF拒绝UE的注册请求。在注册拒绝消息中，AMF在被拒绝的NSSAI参数中包括被拒绝的S-NSSAI。

然而，当AMF发生异常或者被攻击者攻破时，AMF可能会向NSACF请求更新UE没有请求或者签约的网络切片上的注册UE的数量，这可能会导致网络切片上注册UE的数量很快达到满额，使得其他UE无法接入到该网络切片，从而引起网络切片的拒绝服务。下面结合图3中的方法300介绍一种恶意AMF发起拒绝服务(denial of service，DoS)的方法流程。方法300包括：

S301，UE向AMF发送网络切片注册请求消息。

示例性地，该网络切片注册请求消息中包括S-NSSAI1和S-NSSAI2，即UE请求注册S-NSSAI1和S-NSSAI2上(或者说请求注册到S-NSSAI1和S-NSSAI2所标识的网络切片上)。

S302，AMF向NSACF发送每网络切片UE数量可用性检查和更新请求消息。

示例性地，该AMF为恶意的AMF(例如该AMF被攻击者攻破)，该每网络切片UE数量可用性检查和更新请求消息中携带了S-NSSAI1、S-NSSAI2和S-NSSAI3，另外还携带了UE ID、接入类型、更新标识等，该更新标识用于指示增加网络切片S-NSSAI1、S-NSSAI2和S-NSSAI3上的注册UE数量。

S303，NSACF更新S-NSSAI1、S-NSSAI2和S-NSSAI3上的注册UE的数量。

由于UE没有请求注册到S-NSSAI3，因此NSACF因为攻击者的请求增加了S-NSSAI3上的注册UE数量。恶意的AMF多次发起攻击后，S-NSSAI3上的注册UE的数量很快就会达到满额，从而使得其他UE无法接入到该网络切片中。

鉴于此，本申请提供了一种授权验证的方法，可以防止恶意的AMF通过每网络切片UE数量可用性检查和更新流程发起DoS攻击。

图4示出了本申请实施例提供的方法400的示例性流程图。该方法400包括：

410，移动管理网元(20)向切片统计网元(30)发送切片注册请求消息。

示例性地，该切片注册请求消息包括终端设备(10)的标识和网络切片的标识。

可选地，该切片注册请求消息可以用于请求增加计入该网络切片上的终端统计的数量。

应理解，在5G系统中，该移动管理网元(20)可以是AMF，该切片统计网元(30)可以是NSACF。

420，切片统计网元(30)判断终端设备(10)是否占用了该网络切片的资源。

示例性地，响应于该切片注册请求消息，该切片统计网元(30)判断终端设备(10)是否占用了该网络切片的资源，或者说，该切片统计网元(30)判断终端设备(10)是否已经接入了该网络切片，或者说，该切片统计网元(30)判断终端设备(10)是否已经注册到了该网络切片。

可选地，在420之前，切片统计网元(30)判断计入该网络切片的终端统计的数量是否大于或等于设定的阈值。在切片统计网元(30)确定计入该网络切片的终端统计的数量大于或等于设定的阈值的情况下，切片统计网元(30)判断终端设备(10)是否占用了该网络切片的资源。也就是说，在计入该网络切片上的终端统计的数量小于设定的阈值的情况下，可以不必验证该终端设备(10)是否占用了该网络切片的资源，从而可以减少资源开销。

另一方面，还可以验证计入该网络切片的终端统计的其他终端设备是否占用了该网络切片的资源。一种方式中，可以在确定了该网络切片的终端统计的数量大于或等于设定的阈值的情况下，同步验证计入该网络切片的终端统计的所有(或部分)终端设备，以及终端设备(10)是否占用了该网络切片的资源；另一种方式中，在确定了该网络切片的终端统计的数量大于或等于设定的阈值的情况下，切片统计网元(30)先判断终端设备(10)是否占用了该网络切片的资源，如果判断结果显示终端设备(10)占用了该网络切片的资源的话，切片统计网元(30)再验证计入该网络切片的终端统计的终端设备是否占用了该网络切片的资源。如果这些终端设备中存在一个或多个终端设备没有占用该网络切片的资源，则切片统计网元(30)将该一个或多个终端设备从计入该网络切片的终端统计中删除。

下面以终端设备(10)为例，介绍两种切片统计网元(30)判断终端设备(10)是否占用了该网络切片的资源的两种可能的实现方式。应理解，其他终端设备的验证方式类似，不再赘述。一种可能的实现方式中(记为方案a)，切片统计网元(30)请求存储网元(40)判断终端设备(10)是否占用了该网络切片的资源。示例性地：

421，切片统计网元(30)向存储网元(40)发送切片验证请求消息。

示例性的，该切片验证请求消息包括终端设备(10)的标识和该网络切片的标识。

可选地，该切片验证请求消息可以用于请求存储网元(40)验证终端设备(10)是否占用了该网络切片的资源。

对应的，存储网元(40)接收来自切片统计网元(30)的切片验证请求消息。然后响应于该切片验证请求消息，在422，存储网元(40)获取终端设备(10)的切片信息。

示例性地，存储网元(40)根据终端设备(10)的标识从本地获取该终端设备(10)的切片信息。如果存储网元(40)从本地获取终端设备(10)的切片信息失败，或者说，如果存储网元(40)本地没有保存终端设备(10)的切片信息，则存储网元(40)确定该终端设备(10)没有占用该网络切片的资源，或者该存储网元(40)向终端设备(10)请求获取该终端设备(10)的切片信息，然后根据该切片信息判断终端设备(10)是否占用了该网络切片的资源。下面通过示例详细说明：

一种可能的实现方式中，在满足触发条件的情况下，终端设备(10)生成具有完整性保护的消息，该消息中包括终端设备(10)占用的网络切片的切片信息，然后终端设备(10)将该消息发送给存储网元(40)，存储网元(40)接收到该切片信息之后，在本地保存该切片信息，该切片信息与该终端设备(10)的标识相关联。这里的触发条件例如是终端设备(10)接收到非接入层安全模式命令消息，或者终端设备(10)接收到注册接受消息。在该实现方式中，如果配置了移动管理网元(20)在向存储网元(40)发送了来自终端设备(10)的切片信息之后，同时该网络切片被包含在终端设备(10)的被允许的网络切片中，且该网络切片被要求进行网络切片准入控制，移动管理网元(20)才发起步骤410的切片注册请求消息，则在这种情况下，若存储网元(40)接收到来自切片统计网元(30)的切片验证请求消息后，在本地没有找到与终端设备(10)的标识相关联的切片信息，则存储网元可以确定终端设备(10)没有占用该网络切片的资源。或者，若存储网元(40)接收到来自切片统计网元(30)的切片验证请求消息后，在本地没有找到与终端设备(10) 的标识相关联的切片信息，则存储网元可以向终端设备(10)请求获取该切片信息。例如：

423，存储网元(40)向终端设备(10)发送切片信息请求消息。

示例性地，存储网元(40)通过移动管理网元(20)向终端设备(10)发送切片信息请求消息，该切片信息请求消息包括该终端设备(10)的标识，该切片信息请求消息用于请求获取该终端设备(10)占用的网络切片的切片信息。

424，终端设备(10)向存储网元(40)发送切片信息响应消息，该切片信息响应消息包括该切片信息。

示例性地，终端设备(10)接收到来自存储网元(40)的切片信息请求消息之后，生成切片信息响应消息，该响应消息中包括终端设备(10)占用的网络切片的切片信息。一种情况，如果终端设备(10)已经发送了注册请求消息，但终端设备(10)还没有收到响应于该注册请求消息的注册接受消息，则该切片信息包括终端设备(10)在注册请求消息中携带的请求网络切片；如果终端设备在注册请求消息中没有携带请求的网络切片，或者说，终端设备(10)在注册请求消息中携带的请求的网络切片为空，则该切片信息包括终端设备(10)请求的网络切片为空的指示信息。另一种情况，如果终端设备(10)已经接收到了注册接受消息，且该注册接受消息携带了终端设备(10)的被允许的网络切片，则该切片信息包括该终端设备(10)被允许的网络切片；如果终端设备(10)已经接收到了注册接受消息，且该注册接受消息没有携带终端设备(10)的被允许的网络切片，或者说该注册接受消息中携带的终端设备(10)的被允许的网络切片为空，则该切片信息包括该终端设备(10)被允许的网络切片为空的指示信息。

另一方面，终端设备(10)对该切片信息响应消息进行完整性保护。例如，终端设备(10)利用完整性密钥和该切片信息生成完整性校验参数，终端设备(10)在该切片信息响应消息中携带该完整性校验参数，该完整性校验参数用于验证该切片信息是否被篡改，该完整性密钥是终端设备(10)和认证网元(50)之间的共同拥有的密钥，此密钥是在终端设备(10)主认证过程产生的。

425，存储网元(40)根据该切片信息判断终端设备(10)是否占用了网络切片的资源。

示例性地，存储网元(40)接收来自终端设备(10)的切片信息响应消息之后，获取该切片信息响应消息中的完整性校验参数和切片信息，并根据该完整性校验参数验证该切片信息是否被篡改。例如：存储网元(40)向认证网元(50)发送验证请求消息，该验证请求消息包括该完整性校验参数和该切片信息，该验证请求消息用于请求验证该切片信息是否篡改。对应地，认证网元(50)接收该验证请求消息，然后利用完整性密钥和该切片信息生成完整性校验参数，如果认证网元(50)生成的完整性校验参数和验证请求消息中携带的完整性校验参数相同，则验证通过，否则验证失败。然后认证网元(50)向存储网元(40)发送完整性验证指示信息，该完整性验证指示信息用于指示该切片信息是否被篡改。对应地，存储网元(40)接收该完整性验证指示信息，并根据该完整性验证指示信息确定切片信息是否被篡改。又例如，存储网元(40)向认证网元(50)发送验证请求消息，该验证请求消息用于请求获取终端设备(10)和认证网元之间共享的完整性密钥。认证网元(50)根据该验证请求消息，向存储网元(40)发送完整性密钥。存储网元(40)根据该完整性密钥和该切片信息生成完整性校验参数，如果存储网元(40)生成的完整性校验参数和验证请求消息中携带的完整性校验参数相同，则验证通过，否则验证失败。

根据验证结果，如果切片信息没有被篡改，则存储网元(40)根据该切片信息判断终端设备(10)是否占用了网络切片的资源。示例性地：

当该切片信息包括该终端设备(10)请求的网络切片时，该存储网元(40)验证该网络切片是否属于该终端设备(10)请求的网络切片；在该网络切片属于该终端设备(10)请求的网络切片的情况下，该存储网元(40)确定该终端设备占用了该网络切片的资源；或者，

当该切片信息包括该终端设备(10)被允许的网络切片时，该存储网元(40)验证该网络切片是否属于该终端设备(10)被允许的网络切片；在该网络切片属于该终端设备(10)被允许的网络切片的情况下，该存储网元(40)确定该终端设备(10)占用了该网络切片的资源；或者，

当该切片信息包括该终端设备(10)请求的网络切片为空的指示信息时，该存储网元(40)验证该网络切片是否属于该终端设备(10)的默认网络切片；在该网络切片属于该终端设备(10)的默认网络切片的情况下，该存储网元(40)确定该终端设备占用了该网络切片的资源；或者

当该切片信息包括该终端设备(10)被允许的网络切片为空的指示信息时，该存储网元(40)确定该终端设备(10)没有占用该网络切片的资源。

可选地，在步骤422之前，存储网元(40)在接收到切片验证请求消息之后，可以验证终端设备(10)是否接入了网络。示例性地，该存储网元(40)根据终端设备(10)的标识获取终端设备(10)的上下文；如果存储网元(40)获取到了该终端设备(10)的上下文，则存储网元(40)确定终端设备(10)接入了网络；如果存储网元(40)没有获取到该终端设备(10)的上下文，则存储网元(40)确定终端设备(10)没有接入网络。

在终端设备(10)没有接入网络的情况下，该存储网元(40)向切片管理网元(30)发送状态指示信息，该状态指示信息用于指示终端设备(10)是否接入了网络，或者，存储网元(40)向切片管理网元(30)发送验证失败的指示信息。

可选地，步骤421的切片验证请求消息还包括移动管理网元(20)，在步骤422之前，存储网元(40)在接收到切片验证请求消息之后，验证该移动管理网元(20)是否是终端设备(10)接入的移动管理网元，或者说，验证该移动管理网元(20)与该终端设备(10)是否匹配，或者说，验证该终端设备(10)是否接入了该移动管理网元(20)。示例性地，该存储网元(40)根据终端设备(10)的标识获取终端设备(10)的上下文；该存储网元(40)根据该终端设备(10)的上下文验证该终端设备(10)是否接入了该移动管理网元(20)。例如，该存储网元(40)从该终端设备(10)的上下文中获取该终端设备(10)接入的移动管理网元的标识，如果该终端设备(10)接入的移动管理网元的标识与移动管理网元(20)的标识相同，则表示该移动管理网元(20)是该终端设备(10)接入的移动管理网元。在该终端设备(10)没有接入该移动管理网元(20)的情况下，该存储网元(40)向切片管理网元(30)发送指示信息，该指示信息用于指示该终端设备(10)没有接入该移动管理网元(20)，或者，该存储网元(40)向切片管理网元(30)发送验证失败的指示信息。

426，存储网元(40)向切片统计网元(30)发送指示信息。

可选地，该指示信息用于指示该终端设备(10)是否占用了该网络切片的资源，或者，该指示信息用于指示终端设备(10)是否接入该网络切片，或者，该指示信息用于向终端设备(10)指示未接入该网络切片的终端设备的标识，或者该指示信息用于向终端设备(10)指示所有终端设备均接入了该网络切片，或者该指示信息用于向终端设备(10)指示接入了该网络切片的终端设备的标识。

对应的，切片统计网元(30)接收该指示信息，并根据该指示信息判断该终端设备(10)是否占用了该网络切片的资源。

应理解，切片统计网元(30)可以通过以上方式对计入网络切片的终端统计的所有终端设备的进行验证，并将验证失败的终端设备从计入该网络切片的终端统计中删除。

如果切片统计网元(30)对计入第一网络切片的所有会话均进行了验证，则在验证完成后，切片统计网元可以设置一个flag，以及和该flag对应的timer。该flag用于指示计入网络切片的所有终端设备已经进行了验证，该timer用于指示该flag的有效时间。此时，如果后续有某个移动管理网元向该切片统计网元(30)请求对计入该网络切片的终端统计进行更新，而该flag还在有效期内，切片统计网元(30)只需要验证该移动管理网元请求统计的终端设备，而不需要对已经计入该网络切片的其他终端设备进行验证。

另一种可能的实现方式中(记为方案b)，切片统计网元(30)从存储网元(40)获取终端设备(10)占用的网络切片的切片信息，以判断终端设备(10)是否占用了网络切片的资源。示例性地：

428，切片统计管理网元(20)向存储网元(40)发送切片信息请求消息，该切片信息请求消息中包括终端设备(10)的标识，该切片信息请求消息用于请求获取该终端设备(10)占用的网络切片的切片信息。

对应地，存储网元(40)接收该切片信息请求消息。响应于该切片信息请求消息，存储网元(40)获取该终端设备(10)占用的网络切片的切片信息，该切片信息包括以下任一项：该终端设备(10)请求的网络切片、该终端设备(10)被允许的网络切片、该终端设备(10)请求的网络切片为空的指示信息、该终端设备(10)被允许的网络切片为空的指示信息。应理解，存储网元(10)获取终端设备(10)的切片信息的方式与S422类似，这里不再赘述。

429，存储网元(40)向切片统计网元(30)发送该切片信息。

430，切片统计网元(30)根据切片信息判断终端设备(10)是否占用了网络切片的资源。

示例性地，当该切片信息包括该终端设备(10)请求的网络切片时，该切片统计网元(30)验证该网络切片是否属于该终端设备(10)请求的网络切片；在该网络切片属于该终端设备(10)请求的网络切片的情况下，该切片统计网元(30)确定该终端设备占用了该网络切片的资源；或者，

当该切片信息包括该终端设备(10)被允许的网络切片时，该切片统计网元(30)验证该网络切片是否属于该终端设备(10)被允许的网络切片；在该网络切片属于该终端设备(10)被允许的网络切片的情况下，该切片统计网元(30)确定该终端设备(10)占用了该网络切片的资源；或者，

当该切片信息包括该终端设备(10)请求的网络切片为空的指示信息时，该切片统计网元(30)验证该网络切片是否属于该终端设备(10)的默认网络切片；在该网络切片属于该终端设备(10)的默认网络切片的情况下，该切片统计网元(30)确定该终端设备占用了该网络切片的资源；或者

当该切片信息包括该终端设备(10)被允许的网络切片为空的指示信息时，该切片统计网元(30)确定该终端设备(10)没有占用该网络切片的资源。

440，根据判断结果，该切片统计管理网元(20)确定是否将终端设备(10)计入接入该网络切片的终端统计。

示例性地，当判断结果是终端设备(10)占用了该网络切片的资源时，该切片统计网元(30)将该终端设备计入接入所述网络切片的终端统计；当判断结果是终端设备(10)没有占用该网络切片的资源时，该切片统计网元(30)不将该终端设备(10)计入接入该网络切片的终端统计。

图5示出了本申请实施例提供的方法500的示例性流程图。该方法500包括：

501，UE向AMF发送注册请求(Registration Request)消息。

示例性地，该注册请求消息中包括该UE的标识(UE ID，例如UE的SUPI)。可选地，该注册请求消息中还可以包括Requested NSSAI，该Requested NSSAI可以包括一个或多个S-NSSAI，该注册请求消息用于该UE请求注册到该一个或多个S-NSSAI，或者说该注册请求消息用于该UE在网络侧进行注册。应理解，这里的UE请求注册到该一个或多个S-NSSAI，指的是UE请求注册到该一个或多个S-NSSAI所标识或关联的网络切片，后续实施例中的类似表达也可进行类似的解释，不再重复说明。

如果本次注册为初始注册，则该UE ID可以为SUCI；如果本次注册不是初始注册，则该UE ID可以为GUTI。

502，UE和网络侧完成主认证流程。

在主认证流程中，UE和AUSF分别生成密钥Kausf。

需要说明的是，如果注册请求消息中携带的UE ID为SUPI，则在主认证流程之后，UDM会将该SUCI解密为SUPI，并将该SUPI发送给AMF，后续流程中所使用的UE ID均为该SUPI。如果注册请求消息中携带的UE ID为GUTI，则AMF在收到注册请求后会将GUTI映射为SUPI，后续流程中所使用的UE ID均为该SUPI。

可选地，503，AMF向UE发送注册接受(Registration accept)消息。

示例性地，主认证流程完成之后，AMF向UE发送注册接受消息，该注册接受消息中包括Allowed NSSAI。应理解，该Allowed NSSAI属于Requested NSSAI，即Allowed NSSAI中的切片为Requested NSSAI中的部分或全部切片；或者该Allowed NSSAI不属于Requested NSSAI，即Allowed NSSAI中的切片不包括Requested NSSAI中的切片，此时该Allowed NSSAI属于Default NSSAI。

504，UE通过NAS消息向AMF发送此次注册的切片信息。

示例性地，UE可以在主认证流程之后，也可以在接收到注册接受消息之后，根据UE中储存的此次注册的上下文，通过NAS消息向AMF发送此次注册的切片信息。

一种示例，该NAS消息中还包括UE ID、message type和UE占用的网络切片的切片信息，该message type用于指示该NAS消息是用于上报切片信息的。该切片信息包括Requested NSSAI、Allowed NSSAI、Requested NSSAI为空的指示信息、Allowed NSSAI为空的指示信息中的至少一项，该切片信息可以承载于network slice container中，该network slice container中还包括UE ID、container type、消息认证码MAC-I，可选地该network slice container中还可以包括新鲜性参数。其中，该container type用于指示network slice container中包括UE ID对应的切片信息。

另一种示例，该NAS消息中包括UE ID、message type、消息认证码MAC-I，以及Requested NSSAI、Allowed NSSAI、Requested NSSAI为空的指示信息、Allowed NSSAI为空的指示信息中的至少一项，可选地还包括新鲜性参数。其中，该message type用于指示该NAS消息需要传输给该UE ID对应的UDM，且该Message Type还指示该NSA消息用于上报切片信息。该消息认证码MAC-I可以是根据该NAS消息中的所有参数生成的。需要说明的是，消息认证码MAC-I用于验证network slice container的完整性，即用于验证network slice container内的信息是否被篡改。本申请对MAC-I的生成方式不作限定。一种示例，UE可以将主认证流程中生成的密钥Kausf和network slice container中的UE ID、切片信息、container type作为输入参数生成MAC-I。另一种示例，UE也可以使用Kausf、新鲜性参数、container type作为输入参数生成密钥Ks，再将Ks和Network Slice container中的UE ID、切片信息、container type作为输入参数生成MAC-I。

示例性地，该切片信息可以包括Requested NSSAI、Allowed NSSAI、Requested NSSAI为空的指示信息、Allowed NSSAI为空的指示信息中的至少一项。

例如，如果注册流程还没有完成，即UE没有收到注册接受消息，UE的上下文也就没有Allowed NSSAI，此时该切片信息包括Requested NSSAI；又例如，如果注册流程已经完成，即UE上下文保存有Allowed NSSAI，此时该切片信息包括Allowed NSSAI，或者，该切片信息包括Allowed NSSAI和Requested NSSAI；又例如，如果UE在注册发起时没有请求网络切片(即注册请求消息中没有携带Requested NSSAI)，此时该网络切片信息可以包括Requested NSSAI为空的指示信息，该Requested NSSAI为空的指示信息可以用于指示UE未请求网络切片；又例如，注册流程已经完成，但注册接受消息中没有携带Allowed NSSAI，或者说Allowed NSSAI列表为空，此时该网络切片信息可以包括Allowed NSSAI为空的指示信息，该Allowed NSSAI为空的指示信息可以用于指示Allowed NSSAI列表为空。应理解，如果UE在注册发起时没有请求网络切片，但UE从注册接受消息中获取到了Allowed NSSAI，此时该切片信息既可以包括Allowed NSSAI，也可以包括Requested NSSAI为空的指示信息，此时该Requested NSSAI为空的指示信息用于指示UE在注册发起时没有请求网络切片。

505，AMF向UDM发送切片信息。

示例性地，AMF接收到来自UE的NAS消息之后，根据该NAS消息中的message type将network slice container发送给UDM。该network slice container中包括切片信息、UE ID、container type、消息认证码MAC-I，可选地该network slice container中还包括新鲜性参数。

506，UDM通过AUSF验证消息的完整性。

示例性地，UDM接收到来自AMF的network slice container后，根据container type 确定确定network slice container包括UE上报的切片信息，并根据UE ID和UE上下文中对应的AUSF找到储存有UE根密钥Kausf的AUSF，并向该AUSF请求验证该network slice container的完整性。本申请对验证消息完整性的具体方式不作限定。下面给出两种具体示例：

一示例，UDM将生成MAC-I的参数发送给AUSF，其中包括UE ID、切片信息、container type，如果MAC-I是通过Ks生成的，则也应将新鲜性参数发送给AUSF。AUSF收到参数后将Kausf、UE ID、切片信息、container type作为输入参数生成MAC-I-AUSF，如果参数中包含新鲜性参数，则AUSF先将Kausf、新鲜性参数和container type作为输入参数生成密钥Ks，再将Ks、UE ID、切片信息、container type作为输入参数生成MAC-I-AUSF。AUSF将生成的MAC-I-AUSF返回给UDM，UDM将MAC-I-AUSF与MAC-I对比，如果值相同则验证成功，如果值不同则验证失败。

另一示例，UDM将network slice container发送给AUSF，AUSF根据上述方式生成MAC-I-AUSF，然后将MAC-I-AUSF与MAC-I对比，如果值相同则验证成功，如果值不同则验证失败。AUSF将验证结果返回给UDM。

507，UDM保存切片信息。

示例性地，如果506中的消息完整性验证通过，则UDM将UE上报的切片信息作为UE上下文储存。

可选地，508，AMF向UE发送注册接受(Registration accept)消息。

需要说明的是，由于每网络切片UE数量可用性检查和更新流程可以发生在注册流程之中，也可以发生在注册流程之后，所以UE既可以在注册流程中通过AMF向UDM上报切片信息，也可以在注册流程之后通过AMF向UDM上报切片信息。因此，如果注册流程在503没有完成，即AMF没有在503向UE发送注册接受消息，则AMF可以在508向UE发送注册接受消息，该注册接受消息中携带Allowed NSSAI。

509，AMF向NSACF发送每网络切片UE数量可用性检查和更新请求(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Request)消息。

示例性地，当AMF向UDM发送了切片信息之后，同时当一个网络切片被包含在UE被允许的NSSAI中，且这个网络切片被要求进行网络切片准入控制，AMF确定发起每网络切片UE数量可用性检查和更新流程，并向NSACF发送每网络切片UE数量可用性检查和更新请求消息，该请求消息中包括UE ID，AMF ID#1，接入类型，S-NSSAI和更新标志，该AMF ID#1用于标识该AMF。该每网络切片UE数量可用性检查和更新请求消息用于请求更新第一网络切片上的注册UE数量，该第一网络切片与该S-NSSAI对应。该更新标志用于指示增加第一网络切片上的注册UE数量或减少第一网络切片上的注册UE数量。另外该请求消息中可以携带一个或多个S-NSSAI，本申请不做限定。

510，NSACF检查切片是否满额，以及是否已经统计了该UE ID。

示例性地，NSACF接收来自AMF的每网络切片UE数量可用性检查和更新请求消息，如果该请求消息中携带的更新标识用于指示增加第一网络切片上注册UE数量，则NSACF检查该第一网络切片上的注册UE数量是否已经满额，即检查该第一网络切片上的注册UE数量是否已经达到最大值，或者说检查该第一网络切片上的注册UE的数量是否已经达到设定的阈值。

如果第一网络切片上的注册UE数量已经满额，则NSACF向AMF发送第一网络切片已经满额的指示。

如果第一网络切片上的注册UE数量没有满额，则NSACF还检查该UE ID对应的UE是否已经在第一网络切片上被统计，或者说该UE ID是否已经在第一网络切片的注册UE列表中。如果该UE已经被统计，则NSACF生成新的条目，并向AMF发送对应的结果参数。

如果第一网络切片没有满额，且该UE也没有在第一网络切片上被统计，NSACF先将该UE统计到第一网络切片上，统计过程如S202所示，统计完成后向AMF发送每网络切片UE数量可用性检查和更新响应(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Response)消息，如S203所示，并可选地，NSACF判断第一网络切片上的UE数量是否达到了设定的阈值。如果达到了设定的阈值，则NSAFC进一步验证第一网络切片上所有注册UE(记为UEs)，该UEs包括509中的UE ID所标识的UE，验证内容包括这些UEs的状态、UEs是否与该AMF相匹配、UEs是否与该第一网络切片相匹配。

一种可能的实现方案(记为方案1)中，NSACF请求UDM进行验证。示例性地：

511，NSACF向UDM发送验证请求消息。

这里以本申请实施例中所涉及的UE(即步骤509中的UE ID所对应的UE)为例进行说明，对其他UE的验证方式与此类似，不再赘述。应理解，NSACF可以同时请求UDM验证UEs中的所有UE，也可以在验证了该UE之后，再验证其他UEs中的其他UE。如果是后一种情况，即先验证该UE，可以在该UE验证失败的情况下再验证其他UE，如果该UE验证成功，也可以不验证UEs中的其他UE。本申请不作限定。

示例性地，NSACF根据UE ID找到该UE对应的UDM，并向该UDM发送验证请求消息，该验证请求消息中包括UE ID，AMF ID#1和S-NSSAI。

512，UDM验证UE状态和AMF ID#1。

示例性地，UDM根据UE ID检测UE对应的UE上下文，如果没有检测到UE上下文，表示UE没有接入网络，则验证失败，UDM向AMF返回验证失败的响应消息，并携带原因值；如果检测到了UE上下文，则UDM进一步根据UE上下文中储存的AMF的信息来验证AMF ID#1，或者说，UDM进一步验证验证请求消息中携带的AMF ID#1是否与UE实际接入的AMF相匹配，具体地，UDM通过UE上下文中的AMF信息获取AMF ID#2，该AMF ID#2用于标识UE接入的AMF，UDM验证AMF ID#1与AMF ID#2是否相同。如果相同的话，则验证通过；如果不相同的话，则该UE验证失败，UDM记录失败UE的UE ID。

可选地，513，UDM检查S-NSSAI是否在签约NSSAI(Subscribed NSSAI)中。

示例性地，UDM根据UE ID找到本地保存的UE签约信息并获取UE对应的Subscribed NSSAI，然后检查验证请求消息中携带的S-NSSAI是否在该Subscribed NSSAI中，如果不在，则验证失败，UDM向NSACF发送验证失败的响应消息，并携带原因值。如果验证通过，则进一步验证UE是否接入了S-NSSAI(，或者说，进一步验证UE是否占用了该S-NSSAI的资源，或者说进一步验证UE是否注册到了该S-NSSAI，或者说进一步验证S-NSSAI与该UE的切片信息是否匹配，或者说进一步验证S-NSSAI是否属于该UE的 Requested NSSAI/Allowed NSSAI/Default NSSAI)。

示例性地，如果UDM没有存储与UE ID相关联的切片信息，则验证失败。

或者，在另一种可能的实现方式中，如果UDM没有存储与UE ID相关联的切片信息，则UDM通过AMF向UE请求UE的切片信息。例如：UDM通过AMF向UE发送切片信息请求消息，该切片信息请求消息用于请求UE的切片信息，该切片信息请求消息中携带UE ID和Message type，其中，该Message type用于指示该请求消息用于请求切片信息。UDM在向AMF发送该切片信息请求消息之后可以设置定时器，如果定时器超时还未收到UE上报的切片信息的话，则UDM判断验证失败，并向NSACF发送验证失败的响应消息，并携带原因值。对应的，AMF接收到UDM发送的切片信息请求消息之后，AMF会将该切片信息请求消息发送给UE，UE在收到切片信息请求消息后，UE通过AMF向UDM上报此次切片注册的切片信息。应理解，UE会对该切片信息进行完整性保护，以防止该切片信息被篡改。514，UDM验证UE是否接入了S-NSSAI。

示例性地，UDM根据UE上报的切片信息，来验证UE是否接入了S-NSSAI。

如果切片信息中包括Allowed NSSAI为空的指示信息，则表示UE接收到的注册接受消息中的Allowed NSSAI列表为空，则验证失败。

如果切片信息中包括Requested NSSAI为空的指示信息，则表示UE未请求网络切片，则UDM验证S-NSSAI是否属于Default NSSAI，如果属于，则验证成功，如果不属于，则验证失败。

如果切片信息中包括Requested NSSAI，则UDM验证S-NSSAI是否属于该Requested NSSAI，如果属于，则验证成功；如果不属于，则验证失败。

如果切片信息中包括Allowed NSSAI，则UDM验证S-NSSAI是否属于该Allowed NSSAI，如果属于，则验证成功；如果不属于，则验证失败。

如果切片信息中包括Requested NSSAI和Allowed NSSAI，则UDM验证请求消息中的S-NSSAI是否属于Allowed NSSAI，如果属于，则验证成功；如果不属于，则验证失败。

515，UDM向NSACF发送验证结果。

示例性地，如果验证失败，则验证结果包括该UE ID。

应理解，如果NSACF请求UDM验证UEs中所有UE，则该验证结果中包括所有验证失败的UE ID和失败原因值。如果没有验证失败的UE，则该验证结果中包含所有UE验证成功的指示。

另一种可能的实现方案(记为方案2)中，NSACF从UDM获取验证信息，然后根据该验证信息进行验证。示例性地：

516，NSACF向UDM发送切片信息请求消息。

示例性地，NSACF根据UE ID找到对应的UDM，并向该UDM发送切片信息请求消息，该切片信息请求消息用于请求获取UE的切片信息，该切片信息请求消息中包括该UE的UE ID。

对应地，UDM接收切片信息请求消息。

UDM根据切片信息请求消息中的UE ID找到对应的UE上下文，如果UDM中没有储存对应的UE上下文，则UDM向NSACF返回UE上下文不存在的指示，如果UDM中存有UE上下文，则继续进行517步。

517，UDM向NSACF发送UE的切片信息。

示例性地，UDM将UE上报的切片信息发送给NSACF。

UDM还向NSACF发送UE接入的AMF的信息，该AMF的信息例如是(或者包括)AMF ID#2，该AMF ID#2用于标识UE实际接入的AMF。

518，NSACF验证S-NSSAI是否与切片信息相匹配。

NSACF根据UE接入的AMF的信息判断发送每网络切片UE数量可用性检查和更新请求消息的AMF是否是UE接入的AMF，例如，NSACF验证AMF ID#1是否和AMF ID#2相同，如果相同的话，则验证通过，如果不相同，则验证失败；

NSACF验证每网络切片UE数量可用性检查和更新请求消息中携带的S-NSSAI是否与UE的切片信息相匹配。

和514的验证步骤相同，如果切片信息中包括Requested NSSAI为空的指示信息，则表示UE未请求网络切片，则UDM验证S-NSSAI是否属于Default NSSAI，如果属于，则验证成功，如果不属于，则验证失败。

519，NSACF根据验证结果，对于验证失败的UE，NSACF删除此UE的计数信息，当某一AMF上的验证UE数量超过阈值时，NSACF认为此AMF被攻击，忽略后续此AMF发送的每网络切片UE数量可用性检查和更新响应(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Response)消息。图6示出了本申请实施例提供的方法600的示例性流程图。该方法600包括：

601，UE向AMF发送注册请求(Registration Request)消息。

602，UE和网络侧完成主认证流程。

可选地，603，AMF向UE发送注册接受(Registration accept)消息。

应理解，601～603与方法500中的S501～S503类似，这里不再赘述。

604，AMF向NSACF发送每网络切片UE数量可用性检查和更新请求(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Request)消息，该请求消息中包括UE ID，AMF ID#1，接入类型，S-NSSAI和更新标志。

605，NSACF检查切片是否满额，以及是否已经统计了该UE ID。

应理解，604～605与方法500中的S509～S510类似，这里不再赘述。

如果第一网络切片没有满额，且该UE也没有在第一网络切片上被统计，则可选地，NSACF判断第一网络切片上的UE数量是否达到了设定的阈值。如果达到了设定的阈值，则NSAFC进一步验证该UE的状态、该UE是否与该AMF相匹配、该UE是否与该第一网络切片相匹配。该第一网络切片与每网络切片UE数量可用性检查和更新请求消息中的S-NSSAI对应。

一种可能的实现方案(记为方案3)中，NSACF请求UDM进行验证。示例性地：

606，NSACF向UDM发送验证请求消息。

示例性地，NSACF根据UE ID找到对应的UDM，并向该UDM发送验证请求消息，该验证请求消息中包括UE ID、S-NSSAI、AMF ID。

607，UDM验证UE状态和AMF ID#1。

应理解，该607与方法500中的S512类似，这里不再重复说明。

608，UDM检查S-NSSAI是否在签约NSSAI中。

示例性地，UDM根据本地保存的UE签约信息获取UE对应的Subscribed NSSAI，然后检查验证请求消息中携带的S-NSSAI是否在该Subscribed NSSAI中。

进一步可选地，UDM还可以检测S-NSSAI是否在Default NSSAI中。

如果S-NSSAI属于Default NSSAI，则UDM可以向NSACF发送验证成功的响应消息；如果S-NSSAI不属于Subscribed NSSAI，则UDM可以向NSACF发送验证失败的响应消息，并携带原因值；如果S-NSSAI属于Subscribed NSSAI但不属于Default NSSAI，则UDM进一步可以通过AMF向UE请求获取UE的切片信息。示例性地：

609，UDM通过AMF向UE发送切片信息请求消息。

该切片信息请求消息用于请求UE的切片信息，该切片信息请求消息中携带UE ID和Message type，其中，该Message type用于指示该请求消息用于请求切片信息。UDM在向AMF发送该切片信息请求消息之后可以设置定时器，如果定时器超时还未收到UE上报的切片信息的话，则UDM判断验证失败，并向NSACF发送验证失败的响应消息，并携带原因值。对应的，AMF接收到UDM发送的切片信息请求消息之后，AMF会将该切片信息请求消息发送给UE，

610，UE通过AMF向UDM上报切片信息。

示例性地，UE在收到切片信息请求消息后，UE通过AMF向UDM上报此次注册的切片信息，以及消息认证码MAC-I。

该消息认证码用于对该切片信息进行完整性保护，以防止该切片信息被篡改。具体方式与方法500中S504里介绍的消息认证码的生成方式类似，不再重复说明。

611，UDM验证消息完整性。

611中验证消息完整性的方法与方法500中的S506介绍的方案类似，不再重复说明。

612，UDM验证UE是否接入了该S-NSSAI。

示例性地，UDM根据UE上报的切片信息，来验证UE是够接入了该S-NSSAI。

如果切片信息中包括Allowed NSSAI，则UDM验证S-NSSAI是否属于该AllowedNSSAI，如果属于，则验证成功；如果不属于，则验证失败。

613，UDM向NSACF发送验证结果。

示例性地，该验证结果中包括UE ID。如果该验证结果为验证失败，还可以携带失败原因。

另一种可能的实现方案(记为方案4)中，NSACF从UDM获取验证信息，然后根据该验证信息进行验证。示例性地：

614，NSACF向UDM发送切片信息请求消息。

615，UDM通过AMF向UE发送切片信息请求消息。

616，UE通过AMF向UDM上报切片信息。

617，UDM验证消息完整性。

615～617与609～611类似，不再赘述。

618，UDM向NSACF发送切片信息。示例性地，UDM将UE上报的切片信息发送给NSACF。

UDM还向NSACF发送UE状态指示信息以及UE接入的AMF的信息，该AMF的信息例如是(或者包括)AMF ID#2，该AMF ID#2用于标识UE实际接入的AMF。

619，NSACF验证UE是否接入了S-NSSAI。

应理解，619与方法500中的S518类似，不再重复说明。

620，NSACF向AMF发送每网络切片UE数量可用性检查和更新响应(Nnsacf_NumberOfUEsPerSliceAvailabilityCheckAndUpdate_Response)消息。

示例性地，如果每网络切片UE数量可用性检查和更新请求消息内携带的信息验证成功，则NSACF根据该请求消息更新第一网络切片上的注册UE的数量，并向AMF返回每网络切片UE数量可用性检查和更新响应消息，该响应消息用于指示UE数量更新成功；如果每网络切片UE数量可用性检查和更新请求消息内携带的信息验证失败，则NSACF向AMF返回每网络切片UE数量可用性检查和更新响应消息，该响应消息用于指示验证失败，或者该响应消息用于拒绝每网络切片UE数量可用性检查和更新请求消息。可选地，还可以携带失败或拒绝的原因。

可选地，在621，AMF向UE发送注册接受消息。

示例性地，上述流程既可以发生在UE的注册流程之中，也可以发生在注册流程之后。如果上述流程发送在UE注册流程之后，则可以在完成上述每网络切片UE数量可用性检查和更新流程之后，AMF向UE发送注册接受消息，该注册接受消息包括Allowed NSSAI。

以上，结合图4至图6详细说明了本申请实施例提供的方法。以下，结合图7至图10详细说明本申请实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

图7是本申请实施例提供的用于网络验证的装置10的示意性框图。该装置10包括收发模块11和处理模块12。收发模块11可以实现相应的通信功能，处理模块12用于进行数据处理。收发模块11还可以称为通信接口或通信单元。

在一种可能的设计中，该装置10可对应于上文方法实施例中的切片统计网元(20) (或者NSACF)。

示例性地，该装置10可对应于本申请实施例的方法400中的切片统计网元(20)，或者方法500至方法600中的UDM。该装置10可以包括用于执行图4至图6中的切片统计网元(20)(或者NSACF)所执行的方法的模块。并且，该装置10中的各单元和上述其他操作和/或功能分别为了实现图4至图6所示方法的相应流程。

该装置10中的该收发模块11执行上述各方法实施例中的切片统计网元(20)(或者NSACF)所执行的接收和发送操作，该处理模块12则执行除了该接收和发送操作之外的操作。

在另一种可能的设计中，该装置10可对应于上文方法实施例中的终端设备(10)(或者UE)。

示例性地，该装置10可对应于本申请实施例的方法400中的终端设备(10)，或者方法500至方法600中的UE。该装置10可以包括用于执行图4至图6中的终端设备(10)(或者UE)所执行的方法的模块。并且，该装置10中的各单元和上述其他操作和/或功能分别为了实现图4至图6所示方法的相应流程。

该装置10中的该收发模块11执行上述各方法实施例中的终端设备(10)(或者UE)所执行的接收和发送操作，该处理模块12则执行除了该接收和发送操作之外的操作。

在又一种可能的设计中，该装置10可对应于上文方法实施例中的存储网元(40)(或者UDM)。

示例性地，该通信装置10可对应于本申请实施例的方法400中的存储网元(40)，或者方法500至方法600中的NSACF。该装置10可以包括用于执行图4至图6中的存储网元(40)(或者UDM)所执行的方法的模块。并且，该装置10中的各单元和上述其他操作和/或功能分别为了实现图4至图6所示方法的相应流程。

该装置10中的该收发模块11执行上述各方法实施例中的存储网元(40)(或者UDM)所执行的接收和发送操作，该处理模块12则执行除了该接收和发送操作之外的操作。

根据前述方法，图8为本申请实施例提供的用于网络验证的装置20的示意图。在一种可能的设计中，该装置20可对应于上文方法实施例中的切片统计网元(20)(或者NSACF)；在另一种可能的设计中，该装置10可对应于上文方法实施例中的终端设备(10)(或者UE)；在又一种可能的设计中，该装置10可对应于上文方法实施例中的存储网元(40)(或者UDM)。

该装置20可以包括处理器21(即，处理模块的一例)和存储器22。该存储器22用于存储指令，该处理器21用于执行该存储器22存储的指令，以使该装置20实现如图4至图6对应的方法中终端设备或网络设备执行的步骤。

进一步地，该装置20还可以包括输入口23(即，收发模块的一例)和输出口24(即，收发模块的另一例)。进一步地，该处理器21、存储器22、输入口23和输出口24可以通过内部连接通路互相通信，传递控制和/或数据信号。该存储器22用于存储计算机程序，该处理器21可以用于从该存储器22中调用并运行该计算机程序，以控制输入口23接收信号，控制输出口24发送信号，完成上述方法中终端设备或网络设备的步骤。该存储器22可以集成在处理器21中，也可以与处理器21分开设置。

可选地，若该通信装置20为通信设备，该输入口23为接收器，该输出口24为发送器。其中，接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时，可以统称为收发器。

可选地，若该通信装置20为芯片或电路，该输入口23为输入接口，该输出口24为输出接口。

作为一种实现方式，输入口23和输出口24的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器21可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。

作为另一种实现方式，可以考虑使用通用计算机的方式来实现本申请实施例提供的通信设备。即将实现处理器21、输入口23和输出口24功能的程序代码存储在存储器22中，通用处理器通过执行存储器22中的代码来实现处理器21、输入口23和输出口24的功能。

该装置20所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

图9示出了一种简化的网络设备30的结构示意图。网络设备包括31部分以及32部分。31部分主要用于射频信号的收发以及射频信号与基带信号的转换；32部分主要用于基带处理，对网络设备进行控制等。31部分通常可以称为收发模块、收发机、收发电路、或者收发器等。32部分通常是网络设备的控制中心，通常可以称为处理模块，用于控制网络设备执行上述方法实施例中网络设备侧的处理操作。

31部分的收发模块，也可以称为收发机或收发器等，其包括天线和射频电路，其中射频电路主要用于进行射频处理。例如，可以将31部分中用于实现接收功能的器件视为接收模块，将用于实现发送功能的器件视为发送模块，即31部分包括接收模块和发送模块。接收模块也可以称为接收机、接收器、或接收电路等，发送模块可以称为发射机、发射器或者发射电路等。

32部分可以包括一个或多个单板，每个单板可以包括一个或多个处理器和一个或多个存储器。处理器用于读取和执行存储器中的程序以实现基带处理功能以及对网络设备的控制。若存在多个单板，各个单板之间可以互联以增强处理能力。作为一种可选的实施方式，也可以是多个单板共用一个或多个处理器，或者是多个单板共用一个或多个存储器，或者是多个单板同时共用一个或多个处理器。

例如，在一种实现方式中，图9所示的网络设备可以是图4至图6所示的方法中所示的任意网络设备，例如移动管理网元(20)、切片统计网元(30)、存储网元(40)、认证网元(50)等。

31部分的收发模块用于执行图4至图6所示的方法中任意网络设备的收发相关的步骤；32部分用于执行图4至图6所示的方法中的任意网络设备的处理相关的步骤。

应理解，图9仅为示例而非限定，上述包括收发模块和处理模块的网络设备可以不依赖于图9所示的结构。

当该装置40为芯片时，该芯片包括收发模块和处理模块。其中，收发模块可以是输入输出电路、通信接口；处理模块为该芯片上集成的处理器或者微处理器或者集成电路。

图10为本申请提供的一种终端设备40的结构示意图。为了便于说明，图10仅示出了通信装置的主要部件。如图10所示，终端设备40包括处理器、存储器、控制电路、天线以及输入输出装置。

处理器主要用于对通信协议以及通信数据进行处理，以及对整个终端设备进行控制，执行软件程序，处理软件程序的数据，例如用于支持终端设备执行上述传输预编码矩阵的指示方法实施例中所描述的动作。存储器主要用于存储软件程序和数据，例如存储上述实施例中所描述的码本。控制电路主要用于基带信号与射频信号的转换以及对射频信号的处理。控制电路和天线一起也可以叫做收发器，主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。

当通信装置开机后，处理器可以读取存储单元中的软件程序，解释并执行软件程序的指令，处理软件程序的数据。当需要通过无线发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。

本领域技术人员可以理解，为了便于说明，图10仅示出了一个存储器和处理器。在实际的终端设备中，可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等，本申请实施例对此不做限制。

作为一种可选的实现方式，处理器可以包括基带处理器和中央处理器，基带处理器主要用于对通信协议以及通信数据进行处理，中央处理器主要用于对整个终端设备进行控制，执行软件程序，处理软件程序的数据。图10中的处理器集成了基带处理器和中央处理器的功能，本领域技术人员可以理解，基带处理器和中央处理器也可以是各自独立的处理器，通过总线等技术互联。本领域技术人员可以理解，终端设备可以包括多个基带处理器以适应不同的网络制式，终端设备可以包括多个中央处理器以增强其处理能力，终端设备的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中，也可以以软件程序的形式存储在存储单元中，由处理器执行软件程序以实现基带处理功能。

如图10所示，终端设备40包括收发单元41和处理单元42。收发单元也可以称为收发器、收发机、收发装置等。可选的，可以将收发单元41中用于实现接收功能的器件视为接收单元，将收发单元41中用于实现发送功能的器件视为发送单元，即收发单元41包括接收单元和发送单元。示例性的，接收单元也可以称为接收机、接收器、接收电路等，发送单元可以称为发射机、发射器或者发射电路等。

图10所示的终端设备可以执行图4至图6所示的方法中终端设所执行的各动作，这里，为了避免赘述，省略其详细说明。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由第网络设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由网络设备执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由第一设备执行的方法，或由第二设备执行的方法。

本申请实施例还提供一种通信系统，该通信系统包括上文实施例中的网络设备。

上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

在本申请实施例中，网络设备可以包括硬件层、运行在硬件层之上的操作系统层，以及运行在操作系统层上的应用层。其中，硬件层可以包括中央处理器(central processing unit，CPU)、内存管理单元(memory management unit，MMU)和内存(也称为主存)等硬件。操作系统层的操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统，例如，Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。应用层可以包含浏览器、通讯录、文字处理软件、即时通信软件等应用。

本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定，只要能够通过运行记录有本申请实施例提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可。例如，本申请实施例提供的方法的执行主体可以是网络设备，或者，是网络设备中能够调用程序并执行程序的功能模块。

本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如，计算机可读介质可以包括但不限于：磁存储器件(例如，硬盘、软盘或磁带等)，光盘(例如，压缩盘(compact disc，CD)、数字通用盘(digital versatile disc，DVD)等)，智能卡和闪存器件(例如，可擦写可编程只读存储器(erasable programmable read-only memory，EPROM)、卡、棒或钥匙驱动器等)。

本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于：无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

应理解，本申请实施例中提及的处理器可以是中央处理单元(central processing unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM可以包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的保护范围。

所属领域的技术人员可以清楚地了解到，为描述方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。

另外，在本申请各个实施例中的各功能单元可以集成在一个单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，所述计算机可以是个人计算机，服务器，或者网络设备等。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，(SSD))等。例如，前述的可用介质可以包括但不限于：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求和说明书的保护范围为准。

Claims

一种网络验证的方法，其特征在于，包括：

切片统计网元(30)接收来自移动管理网元(20)的切片注册请求消息(410)，所述切片注册请求消息(410)包括终端设备(10)的标识和网络切片的标识；

响应于所述切片注册请求消息(410)，所述切片统计网元(30)判断所述终端设备(10)是否占用了所述网络切片的资源；

根据判断结果，所述切片统计网元(30)确定是否将所述终端设备(10)计入接入所述网络切片的终端统计。
根据权利要求1所述的方法，其特征在于，所述切片统计网元(30)判断所述终端设备(10)是否占用了所述网络切片的资源，包括：

所述切片统计网元(30)向存储网元(40)发送切片信息请求消息(428)，所述切片信息请求消息(428)包括所述终端设备(10)的标识，所述切片信息请求消息(428)用于请求获取所述终端设备(10)占用的网络切片的切片信息；

所述切片统计网元(30)接收来自所述存储网元(40)的所述切片信息，所述切片信息包括以下任一项：所述终端设备(10)请求的网络切片、所述终端设备(10)被允许接入的网络切片、所述终端设备(10)的请求网络切片为空的指示信息、所述终端设备(10)被允许的网络切片为空的指示信息；

所述切片统计网元(30)根据所述切片信息，判断所述终端设备(10)是否占用了所述网络切片的资源。
根据权利要求2所述的方法，其特征在于，所述切片统计网元(20)根据所述切片信息，判断所述终端设备(10)是否占用了所述网络切片的资源，包括：

当所述切片信息包括所述终端设备(10)请求的网络切片时，所述切片统计网元(30)验证所述网络切片是否属于所述终端设备(10)请求的网络切片；在所述网络切片属于所述终端设备(10)请求的网络切片的情况下，所述切片统计网元(30)确定所述终端设备占用了所述网络切片的资源；或者，

当所述切片信息包括所述终端设备(10)被允许的网络切片时，所述切片统计网元(30)验证所述网络切片是否属于所述终端设备(10)被允许的网络切片；在所述网络切片属于所述终端设备(10)被允许的网络切片的情况下，所述切片统计网元(30)确定所述终端设备(10)占用了所述网络切片的资源；或者，

当所述切片信息包括所述终端设备(10)请求的网络切片为空的指示信息时，所述切片统计网元(30)验证所述网络切片是否属于所述终端设备(10)的默认网络切片；在所述网络切片属于所述终端设备(10)的默认网络切片的情况下，所述切片统计网元(30)确定所述终端设备占用了所述网络切片的资源；或者

当所述切片信息包括所述终端设备(10)被允许的网络切片为空的指示信息时，所述切片统计网元(30)确定所述终端设备(10)没有占用所述网络切片的资源。
根据权利要求1所述的方法，其特征在于，所述切片统计网元(30)根据所述切片信息，判断所述终端设备(10)是否占用了所述网络切片的资源，包括：

所述切片统计网元(30)向存储网元(40)发送切片验证请求消息(421)，所述切片验证请求消息(421)包括所述终端设备(10)的标识和所述网络切片的标识，所述切片验证请求消息(421)用于请求验证所述终端设备(10)是否占用了所述网络切片的资源；

所述切片统计网元(30)接收来自所述存储网元(40)的指示信息(426)；

所述切片统计网元(30)根据所述指示信息(426)确定所述终端设备(10)是否占用了所述网络切片的资源。
根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

所述切片统计网元(30)验证所述终端设备(10)是否接入了网络。
根据权利要求5所述的方法，其特征在于，所述切片统计网元(30)验证所述终端设备(10)是否接入了网络，包括：

所述切片统计网元(30)向存储网元(40)发送终端信息请求消息，所述终端信息请求消息包括所述终端设备(10)的标识；

所述切片统计网元(30)接收来自所述存储网元(40)的状态指示信息；

所述切片统计网元(30)根据所述状态指示信息确定所述终端设备(10)是否接入了网络。
根据权利要求5或6所述的方法，其特征在于，所述方法还包括：

在所述切片统计网元(30)确定终端设备(10)没有接入网络的情况下，所述切片统计网元(30)拒绝或忽略所述切片注册请求消息(410)。
根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

所述切片统计网元(30)验证所述终端设备(10)是否接入了所述移动管理网元(20)。
根据权利要求8所述的方法，其特征在于，所述切片统计网元(30)验证所述终端设备(10)是否接入了所述移动管理网元(20)，包括：

所述切片统计网元(30)向存储网元(40)发送切片验证请求消息(421)，所述切片验证请求消息(421)包括所述移动管理网元(20)的标识；

所述切片统计网元(30)接收来自所述存储网元(40)的指示信息；

所述切片统计网元(30)根据所述指示信息确定所述终端设备(10)是否接入了所述移动管理网元(20)。
根据权利要求8或9所述的方法，其特征在于，所述方法还包括：

在所述切片统计网元(30)确定终端设备(10)未接入所述移动管理网元(20)的情况下，所述切片统计网元(30)拒绝或忽略所述切片注册请求消息(410)。
根据权利要求1至10中任一项所述的方法，其特征在于，所述方法还包括：

所述切片统计网元(30)验证计入所述网络切片的终端统计的一个或多个终端设备是否占用了所述网络切片的资源。
根据权利要求1至11中任一项所述的方法，其特征在于，所述方法还包括：

所述切片统计网元(30)确定接入所述网络切片的终端统计的数量大于或等于阈值。
根据权利要求1至12中任一项所述的方法，其特征在于，所述根据判断结果，所述切片统计网元(30)确定是否将所述终端设备(10)计入接入所述网络切片的终端统计，包括：

当所述终端设备(10)占用了所述网络切片的资源时，所述切片统计网元(30)将所述终端设备计入接入所述网络切片的终端统计；

当所述终端设备(10)没有占用所述网络切片的资源时，所述切片统计网元(30)不将所述终端设备(10)计入接入所述网络切片的终端统计。
根据权利要求1至13中任一项所述的方法，其特征在于，所述切片注册请求消息(410)用于请求将终端设备(10)计入接入所述网络切片上的终端统计的数量。
一种网络验证的方法，其特征在于，包括：

存储网元(40)接收来自切片统计网元(30)的切片验证请求消息(421)，所述切片验证请求消息(421)包括终端设备(10)的标识和网络切片的标识；

响应于所述切片验证请求消息(421)，所述存储网元(40)获取所述终端设备(10)占用的网络切片的切片信息，所述切片信息包括以下任一项：所述终端设备(10)请求的网络切片、所述终端设备(10)被允许的网络切片、所述终端设备(10)请求的网络切片为空的指示信息、所述终端设备(10)被允许的网络切片为空的指示信息；

所述存储网元(40)根据所述终端设备(10)的切片信息，验证所述终端设备(10)是否占用了所述网络切片的资源。
根据权利要求15所述的方法，其特征在于，所述存储网元(40)根据所述终端设备(10)的切片信息，验证所述终端设备(10)是否占用了所述网络切片的资源，包括：

当所述切片信息包括所述终端设备(10)请求的网络切片时，所述存储网元(40)验证所述网络切片是否属于所述终端设备(10)请求的网络切片，在所述网络切片属于所述终端设备(10)请求的网络切片的情况下，所述存储网元(40)确定所述终端设备(10)占用了所述网络切片的资源；

当所述切片信息包括所述终端设备(10)被允许的网络切片时，所述存储网元(40)验证所述网络切片是否属于所述终端设备(10)被允许的网络切片，在所述网络切片属于所述终端设备(10)被允许的网络切片的情况下，所述存储网元(40)确定所述终端设备(10)占用了所述网络切片的资源；

当所述切片信息包括所述终端设备(10)的请求网络切片为空的指示信息时，所述存储网元(40)验证所述网络切片是否属于所述终端设备(10)的默认网络切片，在所述网络切片属于所述终端设备(10)的默认网络切片的情况下，所述存储网元(40)确定所述终端设备(10)占用了所述网络切片的资源；

当所述切片信息包括所述终端设备(10)被允许的网络切片为空的指示信息时，所述存储网元(40)确定所述终端设备(10)占用了所述网络切片的资源。
根据权利要求15或16所述的方法，其特征在于，所述存储网元(40)获取所述终端设备(10)占用的网络切片的切片信息，包括：

所述存储网元(40)根据所述终端设备(10)的标识，在本地获取所述切片信息。
根据权利要求17所述的方法，其特征在于，所述存储网元(40)获取所述终端设备(10)占用的网络切片的切片信息，包括：

在所述存储网元(40)本地没有所述切片信息时，所述存储网元(40)向所述终端设备(10)发送切片信息请求消息(423)，所述切片信息请求消息(423)用于请求获取所述切片信息；

所述存储网元(40)接收来自所述终端设备(10)的受到了完整性保护的切片信息响应消息(424)，所述切片信息响应消息(424)包括所述切片信息和完整性校验参数，所述完整性校验参数用于验证所述切片信息是否被篡改。
根据权利要求18所述的方法，其特征在于，所述方法还包括：

所述存储网元(40)向验证网元(50)发送验证请求消息，所述验证请求消息包括所述切片信息和所述完整性校验参数，所述验证请求消息用于请求验证所述切片信息是否被篡改；

所述存储网元(40)接收来自所述验证网元(50)的完整性验证指示信息；

所述存储网元(40)根据所述完整性验证指示信息确定所述切片信息是否被篡改。
根据权利要求15至19中任一项所述的方法，其特征在于，所述方法还包括：

所述存储网元(40)验证所述终端设备(10)是否接入了网络；

在所述终端设备(10)没有接入网络的情况下，所述存储网元(40)向切片管理网元(30)发送状态指示信息，所述状态指示信息用于指示终端设备(10)是否接入了网络，或者，所述存储网元(40)向所述切片管理网元(30)发送验证失败的指示信息。
根据权利要求20所述的方法，其特征在于，所述存储网元(40)验证所述终端设备(10)是否接入了网络，包括：

所述存储网元(40)根据终端设备(10)的标识请求获取终端设备(10)的上下文；

在所述存储网元(40)获取到了所述终端设备(10)的上下文的情况下，所述存储网元(40)确定所述终端设备(10)接入了网络；

在所述存储网元(40)没有获取到所述终端设备(10)的上下文的情况下，所述存储网元(40)确定所述终端设备(10)没有接入网络。
根据权利要求20或21所述的方法，其特征在于，所述切片验证请求消息(421)还包括移动管理网元(20)的标识，所述方法还包括：

所述存储网元(40)验证所述终端设备(10)是否接入了所述移动管理网元(20)；

在所述终端设备(10)没有接入所述移动管理网元(20)的情况下，所述存储网元(40)向切片管理网元(30)发送指示信息，所述指示信息用于指示所述终端设备(10)没有接入所述移动管理网元(20)，或者，所述存储网元(40)向切片管理网元(30)发送验证失败的指示信息。
根据权利要求22所述的方法，其特征在于，所述存储网元(40)验证所述终端设备(10)是否接入了所述移动管理网元(20)，包括：

所述存储网元(40)根据终端设备(10)的标识获取终端设备(10)的上下文；

所述存储网元(40)根据所述终端设备(10)的上下文验证所述终端设备(10)是否接入了所述移动管理网元(20)。
根据权利要求15至23中任一项所述的方法，其特征在于，在所述存储网元(40)获取所述终端设备(10)的切片信息之前，所述方法还包括：

所述储存网元(40)确定所述网络切片的标识属于所述终端设备(10)的签约网络切片。
根据权利要求15至24中任一项所述的方法，其特征在于，所述切片验证请求消息(421)用于请求验证所述终端设备(10)是否占用了所述网络切片的资源。
一种网络验证的方法，其特征在于，包括：

在满足触发条件的情况下，终端设备(10)生成具有完整性保护的消息，所述消息包括所述终端设备(10)占用的网络切片的切片信息，所述切片信息包括以下任意一项：所述终端设备的请求网络切片、所述终端设备的允许网络切片、所述终端设备(10)请求的网络切片为空的指示信息、所述终端设备(10)被允许的网络切片为空的指示信息；

所述终端设备(10)将所述消息发送给存储网元(40)。
根据权利要求26所述的方法，其特征在于，所述触发条件包括以下任意一项或多项：

所述终端设备(10)接收到非接入层安全模式命令消息；

所述终端设备(10)接收到注册接受消息；

所述终端设备(10)接收到来自所述存储网元(40)的切片信息请求消息(423)，所述切片信息请求消息(423)用于请求获取所述切片信息。
根据权利要求26或27所述的方法，其特征在于，所述方法还包括：

所述终端设备(10)利用完整性密钥和所述切片信息生成完整性校验参数，所述消息中还包括所述完整性校验参数，所述完整性校验参数用于验证所述切片信息是否被篡改。
一种网络验证的方法，其特征在于，包括：

移动管理网元(20)向切片统计网元(30)发送切片注册请求消息(410)，所述切片注册请求消息(410)包括终端设备(10)的标识和网络切片的标识；

切片统计网元(30)接收来自移动管理网元(20)的切片注册请求消息(410)；

响应于所述切片注册请求消息(410)，所述切片统计网元(30)判断所述终端设备(10)是否占用了所述网络切片的资源；

根据判断结果，所述切片统计网元(30)确定是否将所述终端设备(10)计入接入所述网络切片的终端统计。
根据权利要求29所述的方法，其特征在于，所述切片统计网元(30)判断所述终端设备(10)是否占用了所述网络切片的资源，包括：

所述切片统计网元(30)向存储网元(40)发送切片信息请求消息(428)，所述切片信息请求消息(428)包括所述终端设备(10)的标识，所述切片信息请求消息(428)用于请求获取所述终端设备(10)占用的网络切片的切片信息；

所述切片统计网元(30)接收来自所述存储网元(40)的所述切片信息，所述切片信息包括以下任一项：所述终端设备(10)请求的网络切片、所述终端设备(10)被允许接入的网络切片、所述终端设备(10)的请求网络切片为空的指示信息、所述终端设备(10)被允许的网络切片为空的指示信息；

所述切片统计网元(30)根据所述切片信息，判断所述终端设备(10)是否占用了所述网络切片的资源。
根据权利要求30所述的方法，其特征在于，所述切片统计网元(20)根据所述切片信息，判断所述终端设备(10)是否占用了所述网络切片的资源，包括：

当所述切片信息包括所述终端设备(10)请求的网络切片时，所述切片统计网元(30)验证所述网络切片是否属于所述终端设备(10)请求的网络切片；在所述网络切片属于所述终端设备(10)请求的网络切片的情况下，所述切片统计网元(30)确定所述终端设备占用了所述网络切片的资源；或者，

当所述切片信息包括所述终端设备(10)被允许的网络切片时，所述切片统计网元(30)验证所述网络切片是否属于所述终端设备(10)被允许的网络切片；在所述网络切片属于所述终端设备(10)被允许的网络切片的情况下，所述切片统计网元(30)确定所述终端设备(10)占用了所述网络切片的资源；或者，

当所述切片信息包括所述终端设备(10)请求的网络切片为空的指示信息时，所述切片统计网元(30)验证所述网络切片是否属于所述终端设备(10)的默认网络切片；在所述网络切片属于所述终端设备(10)的默认网络切片的情况下，所述切片统计网元(30)确定所述终端设备占用了所述网络切片的资源；或者

当所述切片信息包括所述终端设备(10)被允许的网络切片为空的指示信息时，所述切片统计网元(30)确定所述终端设备(10)没有占用所述网络切片的资源。
根据权利要求29所述的方法，其特征在于，所述切片统计网元(30)根据所述切片信息，判断所述终端设备(10)是否占用了所述网络切片的资源，包括：

所述切片统计网元(30)向存储网元(40)发送切片验证请求消息(421)，所述切片验证请求消息(421)包括所述终端设备(10)的标识和所述网络切片的标识，所述切片验证请求消息(421)用于请求验证所述终端设备(10)是否占用了所述网络切片的资源；

所述切片统计网元(30)接收来自所述存储网元(40)的指示信息(426)；

所述切片统计网元(30)根据所述指示信息(426)确定所述终端设备(10)是否占用了所述网络切片的资源。
一种网络验证的方法，其特征在于，包括：

切片统计网元(30)接收来自移动管理网元(20)的切片注册请求消息(410)，所述切片注册请求消息(410)包括终端设备(10)的标识和网络切片的标识；

响应于所述切片注册请求消息(410)，所述切片统计网元(30)向存储网元(40)发送切片验证请求消息(421)，所述切片验证请求消息(421)包括终端设备(10)的标识和网络切片的标识；

存储网元(40)接收来自切片统计网元(30)的所述切片验证请求消息(421)；

响应于所述切片验证请求消息(421)，所述存储网元(40)获取所述终端设备(10)占用的网络切片的切片信息，所述切片信息包括以下任一项：所述终端设备(10)请求的网络切片、所述终端设备(10)被允许的网络切片、所述终端设备(10)请求的网络切片为空的指示信息、所述终端设备(10)被允许的网络切片为空的指示信息；

所述存储网元(40)根据所述终端设备(10)的切片信息，验证所述终端设备(10)是否占用了所述网络切片的资源。
根据权利要求33所述的方法，其特征在于，所述存储网元(40)根据所述终端设备(10)的切片信息，验证所述终端设备(10)是否占用了所述网络切片的资源，包括：

当所述切片信息包括所述终端设备(10)请求的网络切片时，所述存储网元(40)验证所述网络切片是否属于所述终端设备(10)请求的网络切片，在所述网络切片属于所述终端设备(10)请求的网络切片的情况下，所述存储网元(40)确定所述终端设备(10)占用了所述网络切片的资源；

当所述切片信息包括所述终端设备(10)被允许的网络切片时，所述存储网元(40)验证所述网络切片是否属于所述终端设备(10)被允许的网络切片，在所述网络切片属于所述终端设备(10)被允许的网络切片的情况下，所述存储网元(40)确定所述终端设备(10)占用了所述网络切片的资源；

当所述切片信息包括所述终端设备(10)的请求网络切片为空的指示信息时，所述存储网元(40)验证所述网络切片是否属于所述终端设备(10)的默认网络切片，在所述网络切片属于所述终端设备(10)的默认网络切片的情况下，所述存储网元(40)确定所述终端设备(10)占用了所述网络切片的资源；

当所述切片信息包括所述终端设备(10)被允许的网络切片为空的指示信息时，所述存储网元(40)确定所述终端设备(10)占用了所述网络切片的资源。
根据权利要求33或34所述的方法，其特征在于，所述存储网元(40)获取所述终端设备(10)占用的网络切片的切片信息，包括：

所述存储网元(40)根据所述终端设备(10)的标识，在本地获取所述切片信息。
一种网络验证的装置，其特征在于，包括：

收发模块(11)，用于接收来自移动管理网元(30)的切片注册请求消息(410)，所述切片注册请求消息(101)包括终端设备(10)的标识和网络切片的标识；

处理模块(12)，用于响应于所述切片注册请求消息，判断所述终端设备(10)是否占用了所述网络切片的资源；

所述处理模块(12)，还用于根据判断结果，确定是否将所述终端设备(10)计入接入所述网络切片的终端统计。
根据权利要求36所述的装置，其特征在于，

所述收发模块(11)具体用于：向存储网元(40)发送切片信息请求消息(428)，所述切片信息请求消息(428)包括所述终端设备(10)的标识，所述切片信息请求消息(428)用于请求获取所述终端设备(10)占用的网络切片的切片信息；

接收来自所述存储网元(40)的所述切片信息，所述切片信息包括以下任一项：所述终端设备(10)请求的网络切片、所述终端设备(10)被允许接入的网络切片、所述终端设备(10)的请求网络切片为空的指示信息、所述终端设备(10)被允许的网络切片为空的指示信息；

所述处理模块(12)具体用于：根据所述切片信息，判断所述终端设备(10)是否占用了所述网络切片的资源。
根据权利要求37所述的装置，其特征在于，

所述处理模块(12)具体用于：当所述切片信息包括所述终端设备(10)请求的网络切片时，验证所述网络切片是否属于所述终端设备(10)请求的网络切片；在所述网络切片属于所述终端设备(10)请求的网络切片的情况下，确定所述终端设备占用了所述网络切片的资源；或者，

所述处理模块(12)具体用于：当所述切片信息包括所述终端设备(10)被允许的网络切片时，验证所述网络切片是否属于所述终端设备(10)被允许的网络切片；在所述网络切片属于所述终端设备(10)被允许的网络切片的情况下，确定所述终端设备(10)占用了所述网络切片的资源；或者，

所述处理模块(12)具体用于：当所述切片信息包括所述终端设备(10)请求的网络切片为空的指示信息时，验证所述网络切片是否属于所述终端设备(10)的默认网络切片；在所述网络切片属于所述终端设备(10)的默认网络切片的情况下，确定所述终端设备占用了所述网络切片的资源；或者

所述处理模块(12)具体用于：当所述切片信息包括所述终端设备(10)被允许的网络切片为空的指示信息时，确定所述终端设备(10)没有占用所述网络切片的资源。
根据权利要求36所述的装置，其特征在于，

所述收发模块(11)具体用于：所向存储网元(40)发送切片验证请求消息(421)，所述切片验证请求消息(421)包括所述终端设备(10)的标识和所述网络切片的标识，所述切片验证请求消息(421)用于请求验证所述终端设备(10)是否占用了所述网络切片的资源；

接收来自所述存储网元(40)的指示信息(426)；

所述处理模块(12)具体用于：根据所述指示信息(426)确定所述终端设备(10)是否占用了所述网络切片的资源。
根据权利要求36至39中任一项所述的装置，其特征在于，所述处理模块(12)，还用于：验证所述终端设备(10)是否接入了网络。
根据权利要求40所述的装置，其特征在于，

所述收发模块(11)具体用于：向存储网元(40)发送终端信息请求消息，所述终端信息请求消息包括所述终端设备(10)的标识；以及接收来自所述存储网元(40)的状态指示信息；

所述处理模块(12)具体用于：所述切片统计网元(30)根据所述状态指示信息确定所述终端设备(10)是否接入了网络。
根据权利要求40或41所述的装置，其特征在于，所述处理模块(12)，还用于：在所述切片统计网元(30)确定终端设备(10)没有接入网络的情况下，拒绝或忽略所述切片注册请求消息(410)。
根据权利要求40至42中任一项所述的装置，其特征在于，所述处理模块(12)，还用于：验证所述终端设备(10)是否接入了所述移动管理网元(20)。
根据权利要求43所述的装置，其特征在于，

所述收发模块(11)具体用于：向存储网元(40)发送切片验证请求消息(421)，所述切片验证请求消息(421)包括所述移动管理网元(20)的标识；以及，接收来自所述存储网元(40)的指示信息；

所述处理模块(12)具体用于：根据所述指示信息确定所述终端设备(10)是否接入了所述移动管理网元(20)。
根据权利要求43或44所述的装置，其特征在于，所述处理模块(12)，还用于：

在确定所述终端设备(10)未接入所述移动管理网元(20)的情况下，拒绝或忽略所述切片注册请求消息(410)。
根据权利要求36至45中任一项所述的装置，其特征在于，所述处理模块(12)还用于：

验证计入所述网络切片的终端统计的一个或多个终端设备是否占用了所述网络切片的资源。
根据权利要求36至46中任一项所述的装置，其特征在于，所述处理模块(12)还用于：

确定接入所述网络切片的终端统计的数量大于或等于阈值。
根据权利要求36至47中任一项所述的装置，其特征在于，

当所述终端设备(10)占用了所述网络切片的资源时，所述处理模块(12)具体用于将所述终端设备计入接入所述网络切片的终端统计；

当所述终端设备(10)没有占用所述网络切片的资源时，所述处理模块(12)具体用于不将所述终端设备(10)计入接入所述网络切片的终端统计。
根据权利要求36至48中任一项所述的装置，其特征在于，所述切片注册请求消息用于请求将该终端设备计入接入所述网络切片上的终端统计。
一种网络验证的装置，其特征在于，包括：

收发模块(11)，用于接收来自切片统计网元(30)的切片验证请求消息(421)，所述切片验证请求消息(421)包括终端设备(10)的标识和网络切片的标识；

处理模块(12)，用于响应于所述切片验证请求消息(421)，获取所述终端设备(10)占用的网络切片的切片信息，所述切片信息包括以下任一项：所述终端设备(10)请求的网络切片、所述终端设备(10)被允许的网络切片、所述终端设备(10)请求的网络切片为空的指示信息、所述终端设备(10)被允许的网络切片为空的指示信息；

所述处理模块(12)，还用于根据所述终端设备(10)的切片信息，验证所述终端设备(10)是否占用了所述网络切片的资源。
根据权利要求50所述的装置，其特征在于，

当所述切片信息包括所述终端设备(10)请求的网络切片时，所述处理模块(12)具体用于验证所述网络切片是否属于所述终端设备(10)请求的网络切片，在所述网络切片属于所述终端设备(10)请求的网络切片的情况下，所述存储网元(40)确定所述终端设备(10)占用了所述网络切片的资源；

当所述切片信息包括所述终端设备(10)被允许的网络切片时，所述处理模块(12)具体用于验证所述网络切片是否属于所述终端设备(10)被允许的网络切片，在所述网络切片属于所述终端设备(10)被允许的网络切片的情况下，所述处理模块(12)具体用于确定所述终端设备(10)占用了所述网络切片的资源；

当所述切片信息包括所述终端设备(10)的请求网络切片为空的指示信息时，所述处理模块(12)具体用于验证所述网络切片是否属于所述终端设备(10)的默认网络切片，在所述网络切片属于所述终端设备(10)的默认网络切片的情况下，所述处理模块(12)具体用于确定所述终端设备(10)占用了所述网络切片的资源；

当所述切片信息包括所述终端设备(10)被允许的网络切片为空的指示信息时，所述处理模块(12)具体用于确定所述终端设备(10)占用了所述网络切片的资源。
根据权利要求50或51所述的装置，其特征在于，

所述处理模块(12)具体用于根据所述终端设备(10)的标识，在本地获取所述切片信息。
根据权利要求52所述的装置，其特征在于，

在所述处理模块(12)没有从本地获取到所述切片信息时，所述收发模块(11)具体用于向所述终端设备(10)发送切片信息请求消息(423)，所述切片信息请求消息(423)用于请求获取所述切片信息；

所述收发模块(11)具体用于接收来自所述终端设备(10)的受到了完整性保护的切片信息响应消息，所述切片信息响应消息包括所述切片信息和完整性校验参数，所述完整性校验参数用于验证所述切片信息是否被篡改。
根据权利要求53所述的装置，其特征在于，所述收发模块(11)还用于向验证网元(50)发送验证请求消息，所述验证请求消息包括所述切片信息和所述完整性校验参数，所述验证请求消息用于请求验证所述切片信息是否被篡改；

接收来自所述验证网元(50)的完整性验证指示信息；

所述处理模块(12)还用于根据所述完整性验证指示信息确定所述切片信息是否被篡改。
根据权利要求50至54中任一项所述的装置，其特征在于，所述方法还包括：

所述存储网元(40)验证所述终端设备(10)是否接入了网络；

在所述终端设备(10)没有接入网络的情况下，所述存储网元(40)向切片管理网元(30)发送状态指示信息，所述状态指示信息用于指示终端设备(10)是否接入了网络，或者，所述存储网元(40)向所述切片管理网元(30)发送验证失败的指示信息。
根据权利要求55所述的装置，其特征在于，所述存储网元(40)验证所述终端设备(10)是否接入了网络，包括：

所述存储网元(40)根据终端设备(10)的标识请求获取终端设备(10)的上下文；

在所述存储网元(40)获取到了所述终端设备(10)的上下文的情况下，所述存储网元(40)确定所述终端设备(10)接入了网络；

在所述存储网元(40)没有获取到所述终端设备(10)的上下文的情况下，所述存储网元(40)确定所述终端设备(10)没有接入网络。
根据权利要求55或56所述的装置，其特征在于，所述切片验证请求消息(421)还包括移动管理网元(20)的标识，所述方法还包括：

所述存储网元(40)验证所述终端设备(10)是否接入了所述移动管理网元(20)；

在所述终端设备(10)没有接入所述移动管理网元(20)的情况下，所述存储网元(40)向切片管理网元(30)发送指示信息，所述指示信息用于指示所述终端设备(10)没有接入所述移动管理网元(20)，或者，所述存储网元(40)向切片管理网元(30)发送验证失败的指示信息。
根据权利要求57所述的装置，其特征在于，所述存储网元(40)验证所述终端设备(10)是否接入了所述移动管理网元(20)，包括：

所述存储网元(40)根据终端设备(10)的标识获取终端设备(10)的上下文；

所述存储网元(40)根据所述终端设备(10)的上下文验证所述终端设备(10)是否接入了所述移动管理网元(20)。
根据权利要求50至58中任一项所述的装置，其特征在于，

所述处理模块(12)还用于确定所述网络切片的标识属于所述终端设备(10)的签约网络切片。
根据权利要求50至59中任一项所述的装置，其特征在于，所述切片验证请求消息(424)用于请求验证所述终端设备(10)是否占用了所述网络切片的资源。
一种网络验证的装置，其特征在于，包括：

处理模块(12)，用于在满足触发条件的情况下，生成具有完整性保护的消息，所述消息包括所述终端设备(10)占用的网络切片的切片信息，所述切片信息包括以下任意一项：所述终端设备的请求网络切片、所述终端设备的允许网络切片、所述终端设备(10)请求的网络切片为空的指示信息、所述终端设备(10)被允许的网络切片为空的指示信息；

收发模块(11)，用于将所述消息发送给存储网元(40)。
根据权利要求61所述的装置，其特征在于，所述触发条件包括以下任意一项或多项：

所述收发模块(11)接收到非接入层安全模式命令消息；

所述收发模块(11)接收到注册接受消息；

所述收发模块(11)接收到来自所述存储网元(40)的切片信息请求消息(423)，所述切片信息请求消息(423)用于请求获取所述切片信息。
根据权利要求41或42所述的装置，其特征在于，

所述处理模块(12)还用于利用完整性密钥和所述切片信息生成完整性校验参数，所述消息中还包括所述完整性校验参数，所述完整性校验参数用于验证所述切片信息是否被篡改。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，当所述计算机程序在计算机上运行时，使得计算机执行如权利要求1至28中任一项所述的方法。
一种计算机程序产品，其特征在于，包括计算机程序指令，所述计算机程序指令在计算机上运行时，使得计算机执行如权利要求1至28中任一项所述的方法。
一种通信装置，其特征在于，包括至少一个处理器，所述至少一个处理器用于执行存储在存储器中的计算机程序或指令，以执行如权利要求1至28中任一项所述的方法。