一种通信系统、方法、装置、设备及介质

技术领域

本申请涉及网络安全技术领域，尤其涉及一种通信系统、方法、装置、设备及介质。

背景技术

为了实现在漫游场景，用户设备(User Equipment，UE)能获取访问公共陆地移动网络(Visit Public Land Mobile Network，VPLMN)网络切片的漫游导引(Steering ofRoaming，SoR)信息，在现有技术中，UE将当前位置(例如，当前服务网络ID)、UE能力和单个网络切片选择协助信息(Single Network Slice Selection Assistance Information，S-NSSAI)请求等信息通过VPLMN接入和移动性管理功能(Access and Mobility ManagementFunction，AMF)传输给统一数据管理(Unified Data Management，UDM)，接而转发给SoR应用功能(Application Function，AF)，以便SoR AF基于上述信息生成包含VPLMN的网络切片优先级及可用性相关信息的SoR信息发给UDM，UDM再将该SoR信息通过HPLMN AMF发送给UE。

但是，该过程中传输的UE的能力、UE位置、VPLMN的网络切片优先级及可用性相关信息等敏感信息对VPLMN AMF来说是透明的，恶意软件或设备可能在未经授权的情况下直接从VPLMN AMF中窃听或篡改该信息，导致数据传输的安全性差。

发明内容

本申请提供了一种通信系统、方法、装置、设备及介质，用以解决现有技术中数据传输的安全性低的问题。

第一方面，本申请实施例提供了一种通信系统，所述系统包括：

用户设备UE，用于根据本地保存的归属网络公钥，对携带有UE的能力信息、UE的位置信息和单个网络切片选择协助信息S-NSSAI的参数更新确认UPU ACK容器以及所述UE的用户永久标识SUPI进行加密；向接入和访问公共陆地移动网络移动性管理功能VPLMN AMF网元发送加密后的UPU ACK容器和SUPI；

所述VPLMN AMF网元，用于将所述加密后的UPU ACK容器和加密后的SUPI发送给统一数据管理UDM网元；

所述UDM网元，用于根据本地保存的所述归属网络公钥对应的私钥，对所述加密后的UPU ACK容器和SUPI进行解密；若确定所述SUPI存在，且确定所述S-NSSAI被所述SUPI订阅，则将所述UPU ACK容器中携带的UE的能力信息、UE的位置信息以及所述S-NSSAI发送给漫游导引应用功能SoR AF网元进行处理。

第二方面，本申请实施例提供了一种通信方法，应用于用户设备UE，所述方法包括：

根据本地保存的归属网络公钥，对携带有UE的能力信息、UE的位置信息和单个网络切片选择协助信息S-NSSAI的参数更新确认UPU ACK容器以及所述UE的用户永久标识SUPI进行加密；

向接入和访问公共陆地移动网络移动性管理功能VPLMN AMF网元发送加密后的UPU ACK容器和SUPI。

第三方面，本申请实施例提供了一种通信装置，应用于用户设备UE，所述装置包括：

加密模块，用于根据本地保存的归属网络公钥，对携带有UE的能力信息、UE的位置信息和单个网络切片选择协助信息S-NSSAI的参数更新确认UPU ACK容器以及所述UE的用户永久标识SUPI进行加密；

发送模块，用于向接入和访问公共陆地移动网络移动性管理功能VPLMN AMF网元发送加密后的UPU ACK容器和SUPI。

第四方面，本申请实施例提供了一种电子设备，所述电子设备包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现如上述任一所述通信方法的步骤。

第五方面，本申请实施例提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现如上述中任一所述通信方法的步骤。

在本申请实施例中，通信系统包括UE、VPLMN AMF网元和UDM网元，其中，UE用于根据本地保存的归属网络公钥，对携带有UE的能力信息、UE的位置信息和S-NSSAI的UPU ACK容器以及该UE的SUPI进行加密；向VPLMN AMF网元发送加密后的UPU ACK容器和SUPI；该VPLMN AMF网元用于将该加密后的UPU ACK容器和加密后的SUPI发送给UDM网元；该UDM网元用于根据本地保存的该归属网络公钥对应的私钥，对该加密后的UPU ACK容器和SUPI进行解密；若确定该SUPI存在，且确定该S-NSSAI被该SUPI订阅，则将该UPU ACK容器中携带的UE的能力信息、UE的位置信息以及该S-NSSAI发送给SoR AF网元进行处理。在本申请实施例中，UE在进行UPU过程中，通过VPLMN AMF网元向UDM网元发UPU ACK容器时，采用归属网络公钥加密，UDM网元采用对应的私钥解密获得UE能力、UE的位置信息、S-NSSAI和SUPI，保障了UE的隐私信息的安全，防止恶意获取UE的敏感信息，并且UDM网元对接收到UE传输的UPUACK容器和SUPI解密后，对SUPI进行认证，若确定SUPI存在，且确定该UPU ACK容器中携带的S-NSSAI被该SUPI订阅，则控制SoR AF网元进行处理，以便UE在漫游场景更好的接入切片。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种通信系统结构示意图；

图2为现有技术提供的通信过程示意图；

图3为本申请实施例提供的通信系统示意图；

图4为本申请实施例提供的通信系统的具体结构示意图；

图5为本申请实施例提供的交互示意图；

图6为本申请实施例提供的应用于UE的通信流程示意图；

图7为本申请实施例提供的应用于UDM网元的通信流程示意图；

图8为本申请实施例提供的应用于UE的通信装置示意图；

图9为本申请实施例提供的应用于UDM网元的通信装置示意图；

图10为本申请实施例提供的一种电子设备结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

为了提高通信的安全性，本申请实施例提供了一种通信系统、方法、装置、设备及介质。

在本申请实施例中，通信系统包括UE、VPLMN AMF网元和UDM网元，其中，UE用于根据本地保存的归属网络公钥，对携带有UE的能力信息、UE的位置信息和S-NSSAI的UPU ACK容器以及该UE的SUPI进行加密；向VPLMN AMF网元发送加密后的UPU ACK容器和SUPI；该VPLMN AMF网元用于将该加密后的UPU ACK容器和加密后的SUPI发送给UDM网元；该UDM网元用于根据本地保存的该归属网络公钥对应的私钥，对该加密后的UPU ACK容器和SUPI进行解密；若确定该SUPI存在，且确定该S-NSSAI被该SUPI订阅，则将该UPU ACK容器中携带的UE的能力信息、UE的位置信息以及该S-NSSAI发送给SoR AF网元进行处理。

实施例1：

图1为本申请实施例提供的一种通信系统结构示意图，该过程包括：

用户设备UE101，用于根据本地保存的归属网络公钥，对携带有UE的能力信息、UE的位置信息和单个网络切片选择协助信息S-NSSAI的参数更新确认UPU ACK容器以及所述UE的用户永久标识SUPI进行加密；向接入和访问公共陆地移动网络移动性管理功能VPLMNAMF网元102发送加密后的UPU ACK容器和SUPI；

所述VPLMN AMF网元102，用于将所述加密后的UPU ACK容器和加密后的SUPI发送给统一数据管理UDM网元103；

所述UDM网元103，用于根据本地保存的所述归属网络公钥对应的私钥，对所述加密后的UPU ACK容器和SUPI进行解密；若确定所述SUPI存在，且确定所述S-NSSAI被所述SUPI订阅，则将所述UPU ACK容器中携带的UE的能力信息、UE的位置信息以及所述S-NSSAI发送给漫游导引应用功能SoR AF网元进行处理。

本申请实施例提供的一种通信系统，该通信系统至少包括UE、VPLMN AMF网元和UDM网元。

为了实现在漫游场景，UE能获取VPMN网络切片可用性信息。3GPP TR23.700-41标准中描述了一种通过扩展SoR将VPLMN的网络切片的可用性信息传递给UE的方法，解决了在漫游场景，HPLMN如何以及何时向UE提供关于VPLMN的每个网络切片可用性的信息。

图2为现有技术提供的通信过程示意图，如该图2所示，目前，3GPP标准中，提出一种基于网络触发的通信方法，UDM网元与UE之间采用UPU容器进行敏感信息传输，即UDM网元从UE获取UE的能力、UE位置信息以及S-NSSAI(请求/订阅切片)，UDM网元返回VPLMN网络切片的优先级及可用性信息(UE SoR能力)给UE。产生UPU ACK容器的过程虽然进行了MAC运算，保障了消息的完整性，但并未保障消息的机密性。此过程传输的UE的能力、UE的位置信息以及S-NSSAI等敏感信息对VPLMN AMF网元来说是透明的，恶意设备仍然可能在未经授权的情况下窃听或篡改上述信息，造成恶意攻击。

基于此，在本申请实施例中，通信系统中包括UE，该UE中保存有归属网络公钥，该UE可以根据该归属网络公钥对携带有UE的能力信息、UE的位置信息和S-NSSAI的UPU ACK容器以及该UE的SUPI进行加密。该UE将加密后的UPU ACK容器和SUPI发送给VPLMN AMF网元。

VPLMN AMF网元接收到加密的UPU ACK容器和SUPI之后，该VPLMN AMF网元将该加密后的UPU ACK容器和SUPI发送给UDM网元，使得UDM网元进行后续处理。

具体的，在本申请实施例中，该UDM网元根据本地保存的该归属网络公钥对应的私钥，对该加密后的UPU ACK容器和SUPI进行解密。并且，该UDM网元还会判断该SUPI是否存在，即确定该UPU ACK容器是否为真实存在的UE发送的。若该UDM网元确定该SUPI存在，且确定该UPU ACK容器中携带的S-NSSAI确实被该SUPI订阅，则该UDM网元将该UPU ACK容器中携带的UE的能力信息、UE的位置信息以及该S-NSSAI发送给漫游导引应用功能SoR AF网元进行处理。

需要说明的是，在本申请实施例中，UE的USIM卡在开卡时被配置有归属网络公钥，SUPI也是预先配置在UE中的。

在本申请实施例中，UE在进行UPU过程中，通过VPLMN AMF网元向UDM网元发UPUACK容器时，采用归属网络公钥加密，UDM网元采用对应的私钥解密获得UE能力、UE的位置信息、S-NSSAI和SUPI，保障了UE的隐私信息的安全，防止恶意获取UE的敏感信息，并且UDM网元对接收到UE传输的UPU ACK容器和SUPI解密后，对SUPI进行认证，若确定SUPI存在，且确定该UPU ACK容器中携带的S-NSSAI被该SUPI订阅，则控制SoR AF网元进行处理，以便UE在漫游场景更好的接入切片。

实施例2：

为了提高通信的安全性，提高通信的效率，在上述实施例的基础上，在本申请实施例中，所述UDM网元，还用于向所述VPLMN AMF网元发送UPU请求；

所述VPLMN AMF网元，还用于将所述UPU请求发送给所述UE；

所述UE，还用于接收所述UPU请求，并根据所述UPU请求，生成所述UPU ACK容器，其中，所述UPU ACK容器携带有所述UE的能力信息、所述UE的位置信息和所述S-NSSAI。

在本申请实施例中，UDM网元中包括UPU触发模块和UPU扩展模块，其中，UE和HPLMN在执行常规注册之后，即UE在与HPLMN建立通信连接之后，该HPLMN的UDM网元中的UPU触发模块会触发UPU扩展模块，使得UDM网元可以向UE发送UPU请求消息。

具体的，在本申请实施例中，UDM网元识别到UE与该UDM网元所在的HPLMN建立通信连接之后，该UDM网元调度本地的UPU触发模块，并通过该UPU触发模块触发UPU扩展模块，由该UPU扩展模块想UE发送UPU请求消息。

其中，在本申请实施例中，UPU扩展模块将UE能力请求信息放入UPU请求容器中，并将该UPU请求容器作为UPU请求消息通过VPLMN AMF网元发送给UE。

具体的，在本申请实施例，UDM网元通过Nudm_SDM_Notify()接口向VPLMN AMF网元发送UPU请求消息，之后，VPLMN AMF网元通过DL NAS TANSPORT()接口将该UPU请求消息转发给UE。

在本申请实施例中，UE接收到UPU请求消息之后，该UE根据该UE的能力、UE的位置信息和S-NSSAI，生成UPU ACK容器，其中，该UPU ACK容器中携带有该UE的能力、UE的位置信息和S-NSSAI。

实施例3：

为了提高通信的安全性，提高通信的效率，在上述各实施例的基础上，在本申请实施例中，所述UE，还用于根据所述归属网络公钥对预设的目标对称密钥进行加密；将加密后的目标对称密钥发送给所述VPLMN AMF网元；

所述VPLMN AMF网元，还用于将所述加密后的目标对称密钥发送给所述UDM；

所述UDM，还用于根据本地保存的所述归属网络公钥对应的私钥，对所述加密后的目标对称密钥进行解密，并将所述目标对称密钥与所述UE对应保存。

在本申请实施例中，UE本地还会生成目标对称密钥，并将该目标对称密钥加密发送给UDM网元，使得后续使用该目标对称密钥与该UDM网元进行通信。

具体的，在本申请实施例中，UE根据本地保存的归属网络公钥对预设的目标对称密钥进行加密；将加密后的目标对称密钥与加密后的UPU ACK容器和SUPI一起发送给VPLMNAMF网元。该VPLMN AMF网元接收到该加密后的目标对称密钥之后，该VPLMN AMF网元将该加密后的目标对称密钥发送给UDM。

UDM根据本地保存的归属网络公钥对应的私钥，对该加密后的目标对称密钥进行解密，并将改目标对称密钥与该UE对应保存，使得后续使用该目标对称密钥与该UDM网元进行通信。

实施例4：

为了提高通信的安全性，提高通信的效率，在上述各实施例的基础上，在本申请实施例中，所述系统还包括：

SoR AF网元，用于接收所述UDM网元发送的所述UE的能力信息、UE的位置信息以及所述S-NSSAI；根据所述UE的能力信息、UE的位置信息以及所述S-NSSAI，确定所述UE对应的SoR信息；向所述UDM网元发送所述SoR信息；

所述UDM网元，还用于接收所述SoR信息；并根据所述目标对称密钥，对所述SoR信息进行加密；将加密后的SoR信息发送给所述VPLMN AMF网元；

所述VPLMN AMF网元，还用于将所述加密后的SoR信息发送给所述UE。

在本申请实施例中，通信系统还包括SoR AF网元，该接收UDM网元发送的UE的能力信息、UE的位置信息以及S-NSSAI；并根据UE的能力信息、UE的位置信息以及S-NSSAI，确定UE对应的SoR信息。

其中，该SoR信息中包含UE可用的且具有优先级顺序的VPLMN支持的订阅NSSAI信息。

SoR AF网元向UDM网元发送该SoR信息，使得UDM网元对该SoR信息进行加密，并将加密后的SoR信息发送给UE。

具体的，在本申请实施例中，UDM网元接收SoR AF网元发送的SoR信息，并根据保存的UE对应的目标对称密钥，对该SoR信息进行加密；将加密后的SoR信息发送给VPLMN AMF网元。该VPLMN AMF网元将该加密后的SoR信息发送给UE。

具体的，在本申请实施例中，UDM网元通过Nsoraf Get Requesr()接口向SoR AF网元发送解密后的UE的能力信息、UE的位置信息以及S-NSSAI；SoR AF网元通过Nsoraf GetRequesr()接口向UDM网元发送SoR信息；UDM网元通过Nudm_SDM_Notify()接口向VPLMNAMF网元发送加密后的SoR信息；VPLMN AMF网元通过DL NAS TANSPORT()接口向UE发送加密后的SoR信息。

图3为本申请实施例提供的通信系统示意图，如该图3所示，该通信系统包括HPLMN、VPLMN和UE，其中HPLMN包括UDM网元和SoR AF网元，VPLMN包括AMF网元，其中UE和HPLMN通过VPLMN进行通信时，会采用归属网络公钥(HPLMN公钥)和目标对称密钥(对称密钥)进行加密，提高通信的安全性。

在图3的基础上，本申请实施例的通信系统主要包括：在UDM网元增加了UPU触发模块、加密模块和解密模块，在UE内增加了解密模块、加密模块以及对称密钥K。

图4为本申请实施例提供的通信系统的具体结构示意图，如该图4所示，UE包括解密模块、加密模块以及对称密钥K，UDM网元包括UPU触发模块、加密模块和解密模块。其中UE的加密模块通过归属网络公钥(HPLMN公钥)对UE能力等相关信息进行加密并发送给UDM网元，UDM网元的解密模块对通过HPLMN公钥对应的私钥对UE能力等相关信息进行解密，并将SoR AF网元生成的SoR信息(UE订阅的VPMN切片可用性信息)通过对称密钥K加密并发送给UE，UE的解密模对加密的SoR信息进行解密。

在本申请实施例中，UE在接收到SoR信息之后，该UE还会通过VPLMN AMF网元向UDM网元发送该SoR信息已被接收的UPU ACK响应消息。

具体的，在本申请实施例中，UE通过UL NAS TANSPORT()接口向VPLMN AMF网元发送UPU ACK响应消息；VPLMN AMF网元接收到该UPU ACK响应消息之后，该VPLMN AMF网元通过Nudm_SDM_Info()接口向UDM网元发送UPU ACK响应。

实施例5：

为了提高通信的安全性，提高通信的效率，在上述各实施例的基础上，在本申请实施例中，所述UDM网元，具体用于查询所述SUPI是否存在；若确定所述SUPI存在，则获取保存的所述SUPI已订阅的NSSAI；若确定所述NSSAI中包含所述S-NSSAI，则确定所述S-NSSAI被所述SUPI订阅。

在本申请实施例中，UDM网元在向SoR AF网元发送UE的能力信息、UE的位置信息以及S-NSSAI之前，该UDM网元会查询SUPI是否存在。若UDM网元确定该SUPI存在，则UDM网元获取保存的该SUPI已订阅的NSSAI；若UDM网元确定该NSSAI中包含该S-NSSAI，则确定该S-NSSAI被所述SUPI订阅。

实施例6：

为了提高通信的安全性，提高通信的效率，在上述各实施例的基础上，在本申请实施例中，所述UDM网元，具体用于将所述UE的能力信息、UE的位置信息、所述S-NSSAI及所述NSSAI发送给所述SoR AF网元。

在本申请实施例中，UDM网元向SoRAF网元发送UE的能力信息、UE的位置信息、S-NSSAI及NSSAI，使得SoR AF网元更好地生成UE对应的SoR信息。

图5为本申请实施例提供的交互示意图，如该图5所示，该过程包括：

S501：UDM网元生成UPU请求消息。

S502：UDM网元通过Nudm_SDM_Notify()接口向VPLMN AMF网元发送UPU请求消息。

S503：VPLMN AMF网元通过DL NAS TANSPORT()接口向UE发送UPU请求消息。

S504：UE根据UPU请求消息，生成UPU ACK容器(包括有UE的能力信息、UE的位置信息和S-NSSAI等)。

S505：UE采用归属网络公钥对UPU ACK容器以及UE的SUPI、目标对称密钥加密。

S506：UE通过UL NAS TANSPORT()接口向VPLMN AMF网元发送加密后的UPU ACK容器、UE的SUPI以及目标对称密钥。

S507：VPLMN AMF网元通过Nudm_SDM_Info()接口向UDM网元发送加密后的UPU ACK容器、UE的SUPI以及目标对称密钥。

S508：UDM网元采用归属网络公钥对应的私钥对UPU ACK容器、UE的SUPI以及目标对称密钥解密。

S509：UDM网元判断SUPI是否存在，若存在，则检索该SUPI的NSSAI。

S510：UDM网元通过Nsoraf Get Requesr()接口向SoR AF网元发送解密后的UE的能力信息、UE的位置信息和NSSAI。

S511：SoR AF网元根据解密后的UE的能力信息、UE的位置信息和NSSAI，生成SoR信息。

S512：SoR AF网元通过Nsoraf Get Requesr()接口向UDM网元发送SoR信息。

S513：UDM网元采用目标对称密钥对SoR消息加密。

S514：UDM网元通过Nudm_SDM_Notify()接口向VPLMN AMF网元发送加密的SoR信息。

S515：VPLMN AMF网元通过DL NAS TANSPORT()接口向UE发送加密的SoR信息。

S516：UE采用目标对称密钥对加密SoR信息解密。

S517：UE通过UL NAS TANSPORT()接口向VPLMN AMF网元返回UPU ACK响应。

S518：VPLMN AMF网元通过Nudm_SDM_Info()接口向UDM网元发送UPU ACK响应。

S519：UE使用SoR消息进行相应的网络切片选择和注册。

实施例7：

在上述各实施例的基础上，图6为本申请实施例提供的应用于UE的通信流程示意图，如该图6所示，该过程包括：

S601：根据本地保存的归属网络公钥，对携带有UE的能力信息、UE的位置信息和单个网络切片选择协助信息S-NSSAI的参数更新确认UPU ACK容器以及所述UE的用户永久标识SUPI进行加密；

S602：向接入和访问公共陆地移动网络移动性管理功能VPLMN AMF网元发送加密后的UPU ACK容器和SUPI。

在一种可能的实施方式中，所述根据本地保存的归属网络公钥，对携带有UE的能力信息、UE的位置信息和单个网络切片选择协助信息S-NSSAI的参数更新确认UPU ACK容器以及所述UE的用户永久标识SUPI进行加密之前，所述方法还包括：

接收UPU请求；

根据所述UPU请求，生成所述UPU ACK容器，其中，所述UPU ACK容器携带有所述UE的能力信息、所述UE的位置信息和所述S-NSSAI。

在一种可能的实施方式中，所述向接入和访问公共陆地移动网络移动性管理功能VPLMN AMF网元发送加密后的UPU ACK容器和SUPI之前，所述方法还包括：

根据所述归属网络公钥对预设的目标对称密钥进行加密；将加密后的目标对称密钥发送给所述VPLMN AMF网元。

在上述各实施例的基础上，图7为本申请实施例提供的应用于UDM网元的通信流程示意图，如该图7所示，该过程包括：

S701：接收VPLMN AMF网元发送的加密后的UPU ACK容器和SUPI；

S702：根据本地保存的归属网络公钥对应的私钥，对所述加密后的UPU ACK容器和SUPI进行解密；

S703：若确定所述SUPI存在，且确定所述UPU ACK容器中携带的S-NSSAI被所述SUPI订阅，则将所述UPU ACK容器中携带的UE的能力信息、UE的位置信息以及所述S-NSSAI发送给漫游导引应用功能SoR AF网元进行处理。

在一种可能的实施方式中，所述接收VPLMN AMF网元发送的加密后的UPU ACK容器和SUPI之前，所述方法还包括：

向所述VPLMN AMF网元发送UPU请求。

在一种可能的实施方式中，所述接收VPLMN AMF网元发送的加密后的UPU ACK容器和SUPI之后，所述方法还包括：

接收加密后的目标对称密钥；

根据本地保存的归属网络公钥对应的私钥，对所述加密后的目标对称密钥进行解密，并将所述目标对称密钥与所述UE对应保存。

在一种可能的实施方式中，所述方法还包括：

接收所述SoR信息；

并根据所述目标对称密钥，对所述SoR信息进行加密；

将加密后的SoR信息发送给所述VPLMN AMF网元。

在一种可能的实施方式中，所述确定所述SUPI存在，且确定所述UPU ACK容器中携带的S-NSSAI被所述SUPI订阅包括：

查询所述SUPI是否存在；

若确定所述SUPI存在，则获取保存的所述SUPI已订阅的NSSAI；

若确定所述NSSAI中包含所述S-NSSAI，则确定所述S-NSSAI被所述SUPI订阅。

在一种可能的实施方式中，所述将所述UPU ACK容器中携带的UE的能力信息、UE的位置信息以及所述S-NSSAI发送给漫游导引应用功能SoR AF网元进行处理包括：

将所述UE的能力信息、UE的位置信息、所述S-NSSAI及所述NSSAI发送给所述SoRAF网元。

实施例8：

在上述各实施例的基础上，图8为本申请实施例提供的应用于UE的通信装置示意图，如该图8所示，该装置包括：

加密模块801，用于根据本地保存的归属网络公钥，对携带有UE的能力信息、UE的位置信息和单个网络切片选择协助信息S-NSSAI的参数更新确认UPU ACK容器以及所述UE的用户永久标识SUPI进行加密；

发送模块802，用于向接入和访问公共陆地移动网络移动性管理功能VPLMN AMF网元发送加密后的UPU ACK容器和SUPI。

在一种可能的实施方式中，所述装置还包括：

接收模块803，用于接收UPU请求；根据所述UPU请求，生成所述UPU ACK容器，其中，所述UPU ACK容器携带有所述UE的能力信息、所述UE的位置信息和所述S-NSSAI。

在一种可能的实施方式中，所述加密模块801，具体用于根据所述归属网络公钥对预设的目标对称密钥进行加密；

所述发送模块802，具体用于将加密后的目标对称密钥发送给所述VPLMN AMF网元。

在上述各实施例的基础上，图9为本申请实施例提供的应用于UDM网元的通信装置示意图，如该图9所示，该装置包括：

接收模块901，用于接收VPLMN AMF网元发送的加密后的UPU ACK容器和SUPI；

解密模块902，用于根据本地保存的归属网络公钥对应的私钥，对所述加密后的UPU ACK容器和SUPI进行解密；

处理模块903，用于若确定所述SUPI存在，且确定所述UPU ACK容器中携带的S-NSSAI被所述SUPI订阅，则将所述UPU ACK容器中携带的UE的能力信息、UE的位置信息以及所述S-NSSAI发送给漫游导引应用功能SoR AF网元进行处理。

在一种可能的实施方式中，所述装置还包括：

发送模块904，用于向所述VPLMN AMF网元发送UPU请求。

在一种可能的实施方式中，所述接收模块901，还用于接收加密后的目标对称密钥；根据本地保存的归属网络公钥对应的私钥，对所述加密后的目标对称密钥进行解密，并将所述目标对称密钥与所述UE对应保存。

在一种可能的实施方式中，所述接收模块901，还用于接收所述SoR信息；

所述装置，还包括：

加密模块905，用于根据所述目标对称密钥，对所述SoR信息进行加密；

所述发送模块904，还用于将加密后的SoR信息发送给所述VPLMN AMF网元。

在一种可能的实施方式中，所述确定所述SUPI存在，且确定所述UPU ACK容器中携带的S-NSSAI被所述SUPI订阅包括：

查询所述SUPI是否存在；

若确定所述SUPI存在，则获取保存的所述SUPI已订阅的NSSAI；

若确定所述NSSAI中包含所述S-NSSAI，则确定所述S-NSSAI被所述SUPI订阅。

在一种可能的实施方式中，所述处理模块903，具体用于将所述UE的能力信息、UE的位置信息、所述S-NSSAI及所述NSSAI发送给所述SoR AF网元。

实施例9：

在上述实施例的基础上，本申请实施例还提供了一种电子设备，图10为本申请实施例提供的一种电子设备结构示意图，如图10所示，包括：处理器1001、通信接口1002、存储器1003和通信总线1004，其中，处理器1001，通信接口1002，存储器1003通过通信总线1004完成相互间的通信；

存储器1003中存储有计算机程序，当程序被处理器1001执行时，使得处理器1001执行如上述实施例所述的应用于UE的通信方法或应用于UDM网元的通信方法的步骤。

由于上述电子设备解决问题的原理与应用于UE的通信方法或应用于UDM网元的通信方法相似，因此上述电子设备的实施可以参见方法的实施例，重复之处不再赘述。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信接口1002用于上述电子设备与其他设备之间通信。存储器可以包括随机存取存储器(RandomAccess Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选地，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器，包括中央处理器、网络处理器(NetworkProcessor，NP)等；还可以是数字指令处理器(Digital Signal Processing，DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。由于上述电子设备解决问题的原理与动作识别方法相似，因此上述电子设备的实施可以参见方法的实施例，重复之处不再赘述。

实施例10：

在上述各实施例的基础上，本发明实施例还提供了一种计算机可读存储介质，计算机可读存储介质内存储有可由处理器执行的计算机程序，当程序在处理器上运行时，使得处理器执行如上述实施例所述的应用于UE的通信方法或应用于UDM网元的通信方法的步骤。

由于上述计算机可读存储介质解决问题的原理与应用于UE的通信方法或应用于UDM网元的通信方法相似，因此上述计算机可读存储介质的实施可以参见方法的实施例，重复之处不再赘述。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。