WO2024165058A1

WO2024165058A1 - 通信方法及装置

Info

Publication number: WO2024165058A1
Application number: PCT/CN2024/076820
Authority: WO
Inventors: 刘文峰; 李�赫; 吴�荣; 郭燕飞
Original assignee: 华为技术有限公司
Priority date: 2023-02-12
Filing date: 2024-02-07
Publication date: 2024-08-15
Also published as: CN118488437A

Abstract

本申请提供一种通信方法及装置，能够在通信装置UE发起TNAP切换时，识别出攻击者仿冒的UE，避免攻击者仿冒的UE接入目标TNAP，从而提高通信安全，可应用于通信系统中。该方法包括：在UE通过源可信的非第三代合作伙伴计划3GPP接入点TNAP接入到可信的非第三代合作伙伴计划网关功能TNGF的流程中，UE获取UE认证标识，以及生成TNGF密钥。其中，TNGF密钥是TNGF和UE之间共享的密钥。在UE从源TNAP切换至目标TNAP的情况下，UE通过目标TNAP向TNGF发送第一消息。其中，第一消息包括UE认证标识和第一验证参数。第一验证参数由UE根据UE认证标识和TNGF密钥生成。

Description

通信方法及装置

本申请要求于2023年02月12日提交国家知识产权局、申请号为202310136707.4、申请名称为“通信方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，尤其涉及一种通信方法及装置。

背景技术

在UE从源可信的非第三代合作伙伴计划3GPP接入点(trusted non-3GPP access point，TNAP)切换至目标TNAP的过程中，可信非3GPP网关功能(trusted non-3GPP gateway function，TNGF)可以通过用户装置(user equipment，UE)认证标识识别UE的身份，以实现UE从源TNAP切换至目标TNAP的目的。在UE从源TNAP切换至目标TNAP之前，TNGF与目标TNAP之间并未建立安全连接，因此，UE认证标识在UE与目标TNAP之间传输时不能得到安全保护。这样，攻击者便可以仿冒UE发起TNAP切换流程，从而会导致通信安全性问题。

发明内容

本申请实施例提供一种通信方法及装置，能够避免攻击者仿冒UE发起TNAP切换，从而提高通信安全。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种通信方法。该通信方法包括：在用户装置UE通过源可信的非第三代合作伙伴计划3GPP接入点TNAP接入到可信的非第三代合作伙伴计划网关功能TNGF的流程中，UE获取UE认证标识，以及生成TNGF密钥。其中，TNGF密钥是TNGF和UE之间共享的密钥。在UE从源TNAP切换至目标TNAP的情况下，UE通过目标TNAP向TNGF发送第一消息。其中，第一消息包括UE认证标识和第一验证参数。第一验证参数由UE根据UE认证标识和TNGF密钥生成。

基于第一方面所提供的通信方法，在UE从源TNAP切换至目标TNAP的情况下，UE可以在向目标TNAP发送UE认证标识时，发送第一验证参数。其中，第一验证参数根据TNGF密钥和UE认证标识生成。如此，便使得TNGF可以根据接收到的UE认证标识和第一验证参数对UE认证标识的完整性认证进行认证，以及对UE的身份的认证，从而可以在攻击者仿冒UE发起TNAP切换时，识别出攻击者仿冒的UE，以避免攻击者仿冒的UE接入目标TNAP，从而提高通信安全性。

一种可能的设计方案中，UE获取UE认证标识，可以包括：UE通过源TNAP接收来自TNGF的UE认证标识。

一种可能的设计方案中，在UE获取UE认证标识之前，第一方面所提供的方法还可以包括：UE通过源TNAP接入到TNGF。

一种可能的设计方案中，第一消息为身份响应消息，在UE通过目标TNAP向TNGF发送第一消息之前，第一方面所提供的方法还可以包括：UE确定从源TNAP切换至目标TNAP。UE与目标TNAP之间建立层二连接。UE接收来自目标TNAP的身份请求消息，身份请求消息用于触发UE发送第一消息。

一种可能的设计方案中第一方面所提供的方法还可以包括：UE通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce和第二验证参数。第二验证参数由TNGF根据TNGF密钥和TNonce生成。UE根据TNGF密钥和TNonce生成第三验证参数。UE获取UE认证标识，可以包括：在第二验证参数与第三验证参数匹配的情况下，UE根据TNGF密钥、TNonce和UE的随机数UNonce生成UE认证标识。UNonce由UE生成。

可选地，第一方面所提供的方法还可以包括：在第二验证参数与第三验证参数匹配的情况下，UE通过源TNAP向TNGF发送通知响应消息。其中，通知响应消息中包括第四验证参数和UNonce。第四验证参数根据TNGF密钥和UNonce生成。

一种可能的设计方案中，第一方面所提供的方法还可以包括：UE通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce和第二验证参数。第二验证参数由TNGF根据中间密钥和TNonce生成。中间密钥由TNGF根据TNGF密钥生成。UE根据TNGF密钥生成所述中间密钥。UE根据中间密钥和TNonce生成第三验证参数。UE获取UE认证标识，可以包括：在第二验证参数与第三验证参数匹配的情况下，UE根据中间密钥、TNonce和UE的随机数UNonce生成UE认证标识。UNonce由UE生成。

可选地，第一方面所提供的方法还包括：在第二验证参数与第三验证参数匹配的情况下，UE通过源TNAP向TNGF发送通知响应消息。其中，通知响应消息中包括第四验证参数和UNonce。第四验证参数根据中间密钥和UNonce生成。

一种可能的设计方案中，第一方面所提供的方法还可以包括：UE通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的地址和第二验证参数。第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的地址生成。UE根据TNGF密钥、TNonce和TNGF的地址生成第三验证参数。UE获取UE认证标识，包括：在第二验证参数与第三验证参数匹配的情况下，UE根据TNGF密钥、TNonce和UE的随机数UNonce生成UE认证标识。

一种可能的设计方案中，第一方面所提供的方法还可以包括：UE通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的地址和第二验证参数。第二验证参数由TNGF根据中间密钥、TNGF的随机数TNonce和TNGF的地址生成。中间密钥由TNGF根据TNGF密钥生成。UE根据TNGF密钥生成中间密钥；UE根据中间密钥、TNonce和TNGF的地址生成第三验证参数。UE获取UE认证标识，包括：在第二验证参数与第三验证参数匹配的情况下，UE根据中间密钥、TNonce、UE的随机数UNonce和TNGF地址生成UE认证标识。UNonce由UE生成。

可选地，第一方面所提供的方法还可以包括：在第二验证参数与第三验证参数匹配的情况下，UE通过源TNAP向TNGF发送通知响应消息。其中，通知响应消息中包括第四验证参数和UNonce。第四验证参数根据中间密钥和UNonce生成。

一种可能的设计方案中，第一方面所提供的方法还可以包括：UE通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的标识和第二验证参数。第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的标识生成。UE根据TNGF密钥、TNonce和TNGF的标识生成第三验证参数。UE获取UE认证标识，可以包括：在第二验证参数与第三验证参数匹配的情况下，UE根据TNGF密钥、至少TNonce和UE的随机数UNonce生成UE认证标识。UNonce由UE生成。

一种可能的设计方案中，第一方面所提供的方法还可以包括：UE通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的标识和第二验证参数。其中，第二验证参数由TNGF根据中间密钥、TNonce和TNGF的标识生成。中间密钥由TNGF根据TNGF密钥生成。UE根据TNGF密钥生成中间密钥。UE根据中间密钥、TNonce和TNGF的标识生成第三验证参数。UE获取UE认证标识，可以包括：在第二验证参数与第三验证参数匹配的情况下，UE根据中间密钥、至少TNonce和UE的随机数UNonce生成UE认证标识。UNonce由UE生成。

一种可能的设计方案中，第一方面所提供的方法还可以包括：UE通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的地址、TNGF的标识和第二验证参数。第二验证参数由TNGF根据TNGF密钥、TNonce、TNGF的地址和TNGF的标识生成。 UE根据TNGF密钥、TNonce、TNGF的地址和TNGF的标识生成第三验证参数。UE获取UE认证标识，可以包括：在第二验证参数与第三验证参数匹配的情况下，UE根据TNGF密钥、至少TNonce和UE的随机数UNonce生成UE认证标识。UNonce由UE生成。

一种可能的设计方案中，第一方面所提供的方法还可以包括：UE通过源TNAP接收来自TNGF的通知请求消息。通知请求消息包括TNonce、TNGF的地址、TNGF的标识和第二验证参数。其中，第二验证参数由TNGF根据中间密钥、TNonce、TNGF的地址和TNGF的标识生成。中间密钥由TNGF根据TNGF密钥生成。UE根据TNGF密钥生成中间密钥。UE根据中间密钥、TNonce、TNGF的地址和TNGF的标识生成第三验证参数。UE获取UE认证标识，包括：在第二验证参数与第三验证参数匹配的情况下，UE根据中间密钥、至少TNonce和UE的随机数UNonce生成UE认证标识。UNonce由UE生成。

可选地，在UE获取UE认证标识之前，第一方面所提供的方法还可以包括：UE生成UNonce。

一种可能的设计方案中，在UE通过目标TNAP向TNGF发送第一消息之前，第一方面所提供的方法还可以包括：UE根据TNGF密钥和UE认证标识生成第一验证参数。

可选地，UE根据TNGF密钥和UE认证标识生成第一验证参数，可以包括：UE根据TNGF密钥、UE认证标识和预配置的函数计算第一消息验证码，得到第一验证参数。

或者，可选地，UE根据TNGF密钥和UE认证标识生成第一验证参数，可以包括：UE根据TNGF密钥生成中间密钥。UE根据中间密钥、UE认证标识和预配置的函数计算第一消息验证码，得到第一验证参数。

一种可能的设计方案中，TNGF密钥根据长期密钥生成。

第二方面，提供一种通信方法。该通信方法包括：在用户装置UE通过源可信的非第三代合作伙伴计划3GPP接入点TNAP接入到可信的非第三代合作伙伴计划网关功能TNGF的流程中，TNGF获取UE认证标识，以及获取TNGF密钥。其中，TNGF密钥是TNGF和UE之间共享的密钥。TNGF通过目标TNAP接收来自UE的第一消息。其中，第一消息包括UE认证标识和第一验证参数。第一验证参数由TNGF根据UE认证标识和TNGF密钥生成。在第一验证参数校验成功的情况下，TNGF根据TNGF密钥生成目标密钥。其中，目标密钥用于保护UE与目标TNAP之间的通信安全。

基于第二方面所提供的通信方法，在UE从源TNAP切换至目标TNAP的情况下，TNGF可以接收第一消息，其中第一消息中包括UE认证标识和第一验证参数。其中，第一验证参数根据TNGF密钥和至少UE认证标识生成。如此，TNGF可以根据接收到的UE认证标识和第一验证参数对UE认证标识的完整性认证进行认证，以及对UE的身份的认证，从而可以在攻击者仿冒UE发起TNAP切换时，识别出攻击者仿冒的UE，以避免攻击者仿冒的UE接入目标TNAP，从而提高通信安全性。

一种可能的设计方案中，TNGF获取UE认证标识，可以包括：TNGF生成UE认证标识。

可选地，第二方面所提供的方法还可以包括：TNGF通过源TNAP向UE发送所述UE认证标识。

一种可能的设计方案中，第二方面所提供的方法还可以包括：TNGF通过源TNAP向UE发送通知请求消息。通知请求消息包括TNGF的随机数TNonce和第二验证参数。其中，第二验证参数由TNGF根据TNGF密钥和TNonce生成。TNGF通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据TNGF密钥和UNonce生成。TNGF根据TNGF密钥和UNonce生成第五验证参数。

TNGF获取UE认证标识，可以包括：在四验证参数与第五验证参数匹配的情况下，TNGF根据TNGF密钥、TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，第二方面所提供的方法还可以包括：TNGF根据TNGF密钥生成中间密钥。TNGF通过源TNAP向UE发送通知请求消息。通知请求消息包括TNGF的随机数TNonce和第二验证参数。其中，第二验证参数由TNGF根据中间密钥和TNonce生成。TNGF通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据中间密钥和UNonce生成。TNGF根据中间密钥和UNonce生成第五验证参数。TNGF获取UE认证标识，可以包括：在四验证参数与第五验证参数匹配的情况下，TNGF根据中间密钥、TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，第二方面所提供的方法还可以包括：TNGF通过源TNAP向UE发送通知请求消息。通知请求消息包括TNGF的随机数TNonce、TNGF的地址和第二验证参数。其中，第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的地址生成。TNGF通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据TNGF密钥和UNonce生成。TNGF根据TNGF密钥和UNonce生成第五验证参数。TNGF获取UE认证标识，可以包括：在四验证参数与第五验证参数匹配的情况下，TNGF根据TNGF密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，第二方面所提供的方法还可以包括：TNGF根据TNGF密钥生成中间密钥。TNGF通过源TNAP向UE发送通知请求消息。通知请求消息包括TNGF的随机数TNonce、TNGF的地址和第二验证参数。其中，第二验证参数由TNGF根据中间密钥、TNonce和TNGF的地址生成。TNGF通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据中间密钥和UNonce生成。TNGF根据中间密钥和UNonce生成第五验证参数。TNGF获取UE认证标识，可以包括：在四验证参数与第五验证参数匹配的情况下，TNGF根据中间密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，第二方面所提供的方法还可以包括：TNGF通过源TNAP向UE发送通知请求消息。通知请求消息包括TNGF的随机数TNonce、TNGF的标识和第二验证参数。其中，第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的标识生成。TNGF通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据TNGF密钥和UNonce生成。TNGF根据TNGF密钥和UNonce生成第五验证参数。TNGF获取UE认证标识，可以包括：在四验证参数与第五验证参数匹配的情况下，TNGF根据TNGF密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，第二方面所提供的方法还可以包括：TNGF根据TNGF密钥生成中间密钥。TNGF通过源TNAP向UE发送通知请求消息。通知请求消息包括TNonce、TNGF的标识和第二验证参数。其中，第二验证参数由TNGF根据中间密钥、TNonce和TNGF的标识生成。TNGF通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据中间密钥和UNonce生成。TNGF根据中间密钥和UNonce生成第五验证参数。TNGF获取UE认证标识，可以包括：在四验证参数与第五验证参数匹配的情况下，TNGF根据中间密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，第二方面所提供的方法还可以包括：TNGF通过源TNAP向UE发送通知请求消息。通知请求消息包括TNGF的随机数TNonce、TNGF的地址、TNGF的标识和第二验证参数。其中，第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的地址、TNGF的标识生成。TNGF通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据TNGF密钥和UNonce生成。TNGF根据TNGF密钥和UNonce生成第五验证参数。TNGF获取UE认证标识，可以包括：在四验证参数与第五验证参数匹配的情况下，TNGF根据TNGF密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，第二方面所提供的方法还可以包括：TNGF根据TNGF密钥生成中间密钥。TNGF通过源TNAP向UE发送通知请求消息。通知请求消息包括TNGF的随机数TNonce、TNGF的地址、TNGF的标识和第二验证参数。其中，第二验证参数由TNGF根据中间密钥、TNonce、TNGF的地址和TNGF的标识生成。TNGF通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据中间密钥和UNonce生成。TNGF根据中间密钥和UNonce生成第五验证参数。TNGF获取UE认证标识，可以包括：在四验证参数与第五验证参数匹配的情况下，TNGF根据中间密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，在TNGF根据TNGF密钥生成目标密钥之前，第二方面所提供的方法还可以包括：TNGF根据UE认证标识和TNGF密钥生成第六验证参数。TNGF根据TNGF密钥生成目标密钥，包括：在第一验证参数与第六验证参数匹配的情况下，TNGF根据TNGF密钥生成目标密钥。

一种可能的设计方案中，TNGF密钥由AMF根据长期密钥生成。

第三方面，提供一种通信方法。该通信方法应用于用户装置UE首次接入可信的非第三代合作伙伴计划网关功能TNGF的流程中。该通信方法包括：UE通过源可信的非第三代合作伙伴计划3GPP接入点TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括第二验证参数和至少TNGF的随机数TNonce。第二验证参数根据TNGF密钥和至少TNonce生成。TNGF密钥为UE与TNGF之间的共享密钥。UE根据TNGF密钥和至少TNonce生成第三验证参数。UE在第二验证参数与第三验证参数匹配的情况下，通过源TNAP向TNGF发送通知响应消息。其中，通知响应消息包括UE的随机数UNonce和第四验证参数。第四验证参数由UE根据UNonce和TNGF密钥生成。

基于第三方面提供的通信方法，UE可以接收来自TNGF的第二验证参数和至少TNonce，其中，第二验证参数根据TNGF密钥和至少TNonce生成。UE根据TNGF密钥和至少TNonce生成第三验证参数。如此，便可以第二验证参数进行校验，实现对至少TNonce的完整性保护。UE在第二验证参数与第三验证参数匹配的情况下，向TNGF发送UNonce和第四验证参数。如此，便可以使得TNGF可以对第三验证参数进行校验，从而实现UNonce的完整性保护，综上，便可以TNGF和UE之间的完整性保护，从而提高通信安全。

一种可能的设计方案中，UE根据TNGF密钥和至少TNonce生成第三验证参数，包括：UE根据TNGF密钥生成中间密钥。UE根据中间密钥和TNonce生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的地址。第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的地址生成。UE根据TNGF密钥和至少TNonce生成第三验证参数，包括：UE根据TNGF密钥、TNonce和TNGF的地址生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的地址。第二验证参数由TNGF根据中间密钥、TNonce和TNGF的地址生成。其中，中间密钥由TNGF根据TNGF密钥生成。UE根据TNGF密钥和至少TNonce生成第三验证参数，包括：UE根据中间密钥、TNonce和TNGF的地址生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的标识。第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的标识生成。UE根据TNGF密钥和至少TNonce生成第三验证参数，包括：UE根据TNGF密钥、TNonce和TNGF的标识生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的标识。第二验证参数由TNGF根据中间密钥、TNonce和TNGF的标识生成。其中，中间密钥由TNGF根据TNGF密钥生成。UE根据TNGF密钥和至少TNonce生成第三验证参数，包括：UE根据TNGF密钥生成中间密钥。UE根据中间密钥、TNonce和TNGF的标识生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的地址、TNGF的标识。第二验证参数由TNGF根据TNGF密钥、TNonce、TNGF的地址和TNGF的标识生成。UE根据TNGF密钥和至少TNonce生成第三验证参数，包括：UE根据TNGF密钥、TNonce、TNGF的地址和TNGF的标识生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的地址、TNGF的标识。第二验证参数由TNGF根据中间密钥、TNonce、TNGF的地址和TNGF的标识生成。其中，中间密钥由TNGF根据TNGF密钥生成。UE根据TNGF密钥和至少TNonce生成第三验证参数，包括：UE根据TNGF密钥生成中间密钥。UE根据中间密钥、TNonce、TNGF的地址和TNGF的标识生成第三验证参数。

一种可能的设计方案中，第三方面所提供的方法还包括：UE根据TNGF密钥，至少TNonce和UNonce生成UE认证标识。

第四方面，提供一种通信方法。该通信方法包括：在可信的非第三代合作伙伴计划网关功能TNGF接收到来自接入和移动性管理网元AMF的初始上下文建立请求的情况下，TNGF通过第一可信的非第三代合作伙伴计划3GPP接入点TNAP向用户装置UE发送通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce和第二验证参数。第二验证参数根据TNonce和TNGF密钥生成。TNGF密钥为UE与TNGF之间的共享密钥。TNGF根据TNGF密钥和UNonce生成第五验证参数。TNGF接收来自UE的通知响应消息。通知响应消息包括UE的随机数UNonce和第四验证参数。第四验证参数根据UNonce和针对TNGF的根密钥生成。在第四验证参数与第五验证参数匹配的情况下，TNGF向源TNAP发送源密钥。源密钥用于保护源TNAP与UE之间的通信安全。

基于第四方面提供的通信方法。TNGF向UE发送第二验证参数和至少TNonce，其中，第二验证参数根据TNGF密钥和至少TNonce生成，使得UE可以对第二验证参数进行校验，实现至少TNonce的完整性保护。TNGF接收来自UE和TNGF的UNonce和第四验证参数。并根据TNGF密钥和UNonce生成第五验证参数，并在第四验证参数与第五验证参数匹配的情况下，向TNAP发送源密钥。如此，便可以实现UNonce的完整性保护。综上，便可以TNGF和UE之间的完整性保护，从而提高通信安全。

示例性地，源密钥根据TNGF密钥生成。处理模块，具体用于

一种可能的设计方案中，TNGF根据TNGF密钥和UNonce生成第五验证参数，包括：TNGF根据TNGF密钥生成中间要。TNGF根据中间密钥和UNonce生成第五验证参数。

一种可能的设计方案中，第四方面所提供的方法还可以包括：TNGF根据TNonce、UNonce和TNGF密钥生成UE认证标识。

第五方面，提供一种通信装置。该通信装置用于执行第一方面至第四方面中任意一种实现方式所述的通信方法。

在本申请中，第五方面所述的通信装置可以为第一方面、或第三方面中任一方面所述的通信装置或第二方面、或第四方面中任一方面所述的TNGF，或者可设置于该通信装置或TNGF中的芯片(系统)或其他部件或组件，或者包含该通信装置或TNGF的装置。

应理解，第五方面所述的通信装置包括实现上述第一方面至第四方面中任一方面所述的通信方法相应的模块、单元、或手段(means)，该模块、单元、或手段可以通过硬件实现，软件实现，或者通过硬件执行相应的软件实现。该硬件或软件包括一个或多个用于执行上述通信方法所涉及的功能的模块或单元。

此外，第五方面所述的通信装置的技术效果可以参考第一方面至第四方面中任一方面所述的通信方法的技术效果，此处不再赘述。

第六方面，提供一种通信装置。该通信装置包括：处理器，该处理器用于执行第一方面至第四方面中任意一种可能的实现方式所述的通信方法。

在一种可能的设计方案中，第六方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第六方面所述的通信装置与其他通信装置通信。

在一种可能的设计方案中，第六方面所述的通信装置还可以包括存储器。该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储第一方面至第四方面中任一方面所述的通信方法所涉及的计算机程序和/或数据。

在本申请中，第六方面所述的通信装置可以为第一方面、或第三方面中任一方面所述的通信装置或第二方面、或第四方面中任一方面所述的TNGF，或者可设置于该通信装置或TNGF中的芯片(系统)或其他部件或组件，或者包含该通信装置或TNGF的装置。

第七方面，提供一种通信装置。该通信装置包括：处理器，该处理器与存储器耦合，该处理器用于执行存储器中存储的计算机程序，以使得该通信装置执行第一方面至第四方面中任意一种可能的实现方式所述的通信方法。

在一种可能的设计方案中，第七方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第七方面所述的通信装置与其他通信装置通信。

在本申请中，第七方面所述的通信装置可以为第一方面、或第三方面中任一方面所述的通信装置或第二方面、或第四方面中任一方面所述的TNGF，或者可设置于该通信装置或TNGF中的芯片(系统)或其他部件或组件，或者包含该通信装置或TNGF的装置。

第八方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机程序，当该处理器执行该计算机程序时，以使该通信装置执行第一方面至第四方面中的任意一种实现方式所述的通信方法。

在一种可能的设计方案中，第八方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第八方面所述的通信装置与其他通信装置通信。

在本申请中，第八方面所述的通信装置可以为第一方面、或第三方面中任一方面所述的通信装置或第二方面、或第四方面中任一方面所述的TNGF，或者可设置于该通信装置或TNGF中的芯片(系统)或其他部件或组件，或者包含该通信装置或TNGF的装置。

第九方面，提供了一种通信装置，包括：处理器；所述处理器用于与存储器耦合，并读取存储器中的计算机程序之后，根据该计算机程序执行如第一方面至第四方面中的任意一种实现方式所述的通信方法。

在一种可能的设计方案中，第九方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第九方面所述的通信装置与其他通信装置通信。

第十方面，提供一种处理器。其中，处理器用于执行第一方面至第四方面中任意一种可能的实现方式所述的通信方法。

第十一方面，提供一种通信系统。该通信系统包括一个或多个终端设备，以及一个或多个网络设备。

第十二方面，提供一种计算机可读存储介质，包括：计算机程序或指令；当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面至第四方面中任意一种可能的实现方式所述的通信方法。

第十三方面，提供一种计算机程序产品，包括计算机程序或指令，当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面至第四方面中任意一种可能的实现方式所述的通信方法。

此外，上述第五方面至第十三方面所述的通信装置的技术效果，可以参考上述第一方面至第四方面所述的通信方法的技术效果，此处不再赘述。

附图说明

图1为本申请实施例提供的核心网的架构示意图；

图2为可信非3GPP的注册、认证和PDU会话建立流程示意图；

图3为TNAP切换的流程示意图一；

图4为TNAP切换的流程示意图二；

图5为本申请实施例提供的通信系统的架构示意图；

图6为本申请实施例提供的通信方法的流程示意图一；

图7为本申请实施例提供的通信方法的流程示意图二；

图8为本申请实施例提供的通信装置的结构示意图一；

图9为本申请实施例提供的通信装置的结构示意图二。

具体实施方式

为便于理解，下面先介绍本申请实施例所涉及的技术术语。

1、第五代(5th generation，5G)移动通信系统(简称5G系统(5G system，5GS))：

图1为5GS的架构示意图。如图1所示，5GS包括：接入网(access network，AN)和核心网(core network，CN)，还可以包括：用户装置(user equipment，UE)。

其中，CN可以包括用户面功能(user plane function，UPF)网元(简称用户面网元)、接入和移动性管理功能(core access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元(简称为会话管理网元)、认证服务器功能(authentication server function，AUSF)网元、可信非3GPP接入点(trusted non-3GPP access point，TNAP)、可信非3GPP网关功能(trusted non-3GPP gateway function，TNGF)网元、网络数据分析功能(network data analytics function，NWDAF)网元(简称网络数据分析网元)、网络开放功能(network exposure function，NEF)网元、网络功能存储功能(network exposure function Repository Function，NRF)网元、策略控制功能(policy control function，PCF)网元(简称策略控制网元)、统一数据管理(unified data management，UDM)网元(简称数据管理网元)、应用功能(application function，AF)网元或者服务通信代理(service communication proxy，SCP) 网元等。

需要说明的是，图1仅是示例性给出了5G网络中网元或实体的一些举例，该5G网络还可以包括统一数据存储(unified data repository，UDR)网元、网络切片选择功能(network slice selection function，NSSF)网元、计费功能(charging function，CHF)网元等一些图1中未示意出的网元或实体，本申请实施例对此不做具体限定。

其中，如图1所示，用户装置通过AN设备接入5G网络，用户装置通过N1接口(简称N1)与AMF网元通信；RAN设备通过N2接口(简称N2)与AMF网元通信；用户装置通过Yt接口与TNAP通信，TNAP通过Ta接口与TNGF网元通信；TNGF网元通过N2接口与AMF网元通信；TNGF网元还通过N3接口与UPF网元通信；RAN设备通过N3接口(简称N3)与UPF网元通信；SMF网元通过N4接口(简称N4)与UPF网元通信，UPF网元通过N6接口(简称N6)接入数据网络(data network，DN)。此外，图1所示的AUSF网元、AMF网元、SMF网元、NEF网元、NRF网元、PCF网元、UDM网元、UDR网元、AF网元、NWDAF网元或者SCP网元等控制面功能采用服务化接口进行交互。比如，AUSF网元对外提供的服务化接口为Nausf；AMF网元对外提供的服务化接口为Namf；SMF网元对外提供的服务化接口为Nsmf；NEF网元对外提供的服务化接口为Nnef；NRF网元对外提供的服务化接口为Nnrf；PCF网元对外提供的服务化接口为Npcf；UDM网元对外提供的服务化接口为Nudm；AF网元对外提供的服务化接口为Naf。此外，UDR网元对外提供的服务化接口为Nudr；NSSF网元对外提供的服务化接口为Nnssf；CHF网元对外提供的服务化接口为Nchf；相关功能描述以及接口描述可以参考23501标准中的5G系统架构(5G system architecture)图，在此不予赘述。

下面对上述网络架构中涉及的各个部分或网元在5G网络中的功能示例性的分别进行说明。

(1)、终端可以为具有收发功能的终端，或为可设置于该终端的芯片或芯片系统。该终端也可以称为用户装置(uesr equipment，UE)、接入终端、用户单元(subscriber unit)、用户站、移动站(mobile station，MS)、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机(mobile phone)、蜂窝电话(cellular phone)、智能电话(smart phone)、平板电脑(Pad)、无线数据卡、个人数字助理电脑(personal digital assistant，PDA)、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machine type communication，MTC)终端、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的路边单元(road side unit，RSU)等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。

(2)、AN网元用于实现接入有关的功能，可以为特定区域的授权终端提供入网功能，并能够根据终端的级别，业务的需求等使用不同质量的传输隧道。AN在网元终端与CN之间转发控制信号和用户数据。本申请中的AN网元，可以为无线接入网(radio access network，RAN)网元。RAN网元能够管理无线资源，为用户装置提供接入服务，进而完成控制信号和终端数据在终端和核心网之间的转发，RAN网元也可以理解为传统网络中的基站。例如，可以负责空口侧的无线资源管理、服务质量(quality of service，QoS)管理、数据压缩和加密等功能。

RAN网元可以是无线网络中的设备。RAN网元也可以称为无线RAN网元或者网络设备或者无线网络节点。目前，一些RAN网元的举例为：5G系统中的下一代节点B(The Next Generation Node B，gNB)、传输接收点(transmission reception point，TRP)、长期演进(long term evolution，LTE)系统中的演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(base band unit，BBU)，或无线保真(wireless fidelity，Wifi)接入点(access point，AP)等。在一种网络结构中，网络设备可以包括集中单元(centralized unit，CU)节点、或分布单元(distributed unit，DU)节点、或包括CU节点和DU节点的RAN网元。RAN网元还可以是无线回传设备，车载设备，可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等。在第三代(3rd generation，3G)系统中，称为节点B(Node B)等。

(3)、移动管理网元，属于核心网网元，主要负责信令处理部分，例如：接入控制、移动性管理、附着与去附着以及网关选择等功能。移动管理网元为终端的会话提供服务的情况下，会为该会话提供控制面的存储资源，以存储会话标识、与会话标识关联的SMF网元标识等。在5G通信系统中，该移动管理网元可以是接入和移动性管理功能(access and mobility management function，AMF)网元。在未来通信系统中，移动管理网元仍可以是AMF网元，或者，还可以有其它的名称，本申请不做限定。

(4)、会话管理网元，用于移动网络中的会话管理，例如负责用户面网元选择，用户面网元重定向，因特网协议(internet protocol，IP)地址分配，承载的建立、修改和释放以及QoS控制。会话管理、终端的IP地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。在5G通信系统中，该会话管理网元可以是SMF网元。在未来通信系统中，会话管理网元仍可以是SMF网元，或者，还可以有其它的名称，本申请不做限定。

(5)、用户面网元用于分组路由和转发，用户面数据的服务质量(quality of service，QoS)处理等。在5G通信系统中，用户面网元所对应的网元或实体可以为5G网络架构中的用户平面功能(user plane function，UPF)网元，在未来通信系统中，用户面网元仍可以是UPF网元，或者用户面网元有其它名称，本申请实施例对此不作限定。

(6)、认证服务器功能网元，主要提供认证功能，支持第三代合作伙伴计划(3rd generation partnership project，3GPP)接入和Non-3GPP接入的认证，具体可参考3GPP TS 33.501。在5G通信系统中，认证服务器功能网元可以是认证服务器功能(authentication server function，AUSF)网元，在未来通信系统中，认证服务器功能网元仍可以是AUSF网元，或者认证服务器功能网元有其它名称，本申请实施例对此不作限定。

(7)、TNAP，用于提供UE接入功能。

(8)、TNGF网元，用于作为可信非3GPP接入网的网关。

(9)、数据管理网元，用于处理用户标识、接入鉴权、注册、或移动性管理等。在5G通信系统中，数据管理网元所对应的网元或者实体可以为5G网络架构中的统一数据管理(unified data management，UDM)网元，其中Nudm是UDM网元提供的基于服务的接口，UDM网元可以通过Nudm与其他的网络功能通信。在未来通信系统中，数据管理网元仍可以是UDM网元，或者数据管理网元有其它名称，本申请实施例对此不作限定。

(10)、网络开放功能网元，主要提供的服务使得第三代合作伙伴计划(3rd generation partnership project，3GPP)网络能够安全地向第三方的业务提供者应用功能网元207提供网络业务能力。在5G通信系统中，网络开放功能网元可以是(network exposure function，NEF)网元，Nnef是NEF网元提供的基于服务的接口，NEF网元可以通过Nnef与其他的网络功能通信，在未来通信系统中，网络开放功能网元仍可以是NEF网元，或者有其它名称，本申请实施例对此不作限定。

(11)、策略控制网元，包含用户签约数据管理功能、策略控制功能、计费策略控制功能、QoS控制等，用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF网元等)提供策略规则信息等。在5G通信系统中，策略控制网元可以是PCF网元。在未来通信系统中，策略控制功能网元仍可以是PCF网元，或者有其它名称，本申请实施例对此不作限定。

(12)、应用功能网元，主要用于向3GPP网络提供应用层信息。在5G通信系统中，应用功能网元207可以是应用功能(application function，AF)网元，Naf是AF网元提供的基于服务的接口，AF网元可以通过Naf与其他的网络功能通信，在未来通信系统中，应用功能网元仍可以是AF网元，或者有其它名称，本申请实施例对此不作限定。示例性的，AF网元例如可以包括业务能力服务器(services capability server，SCS)或者应用服务器(application server，AS)。

(13)、数据网络，指的是为终端提供数据传输服务的网络，如IMS(IP Multi-media Service，IP多媒体业务)、Internet等。

终端通过建立终端到RAN网元到UPF网元到DN网元之间的PDD会话，来访问数据网络。

(14)、网络数据分析功能网元，用于提供基于大数据和人工智能等技术的网络数据采集和分析功能。在5G系统中，网络数据分析功能网元可以是NWDAF网元。在未来通信系统中，网络数据分析功能网元仍可以是NWDAF网元，或者，还可以有其它的名称，本申请不做限定。

(15)、切片选择功能网元，用于为终端选择网络切片等。在5G通信系统中，切片选择功能网元可以是NSSF网元。在未来通信系统中，网络切片选择功能网元仍可以是NSSF网元，或者有其它名称，本申请实施例对此不作限定。

(16)、统一数据存储网元，主要负责存储结构化数据，存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。在5G通信系统中，该统一数据存储网元可以是UDR网元。在未来通信系统中，统一数据存储网元仍可以是UDR网元，或者，还可以有其它的名称，本申请不做限定。

需要说明，下述实施例中，TNGF网元均简称为TNGF，AMF网元均简称为AMF，AUSF网元均简称为AUSF，UPF网元均简称为UPF，用户装置均称为UE，后续不再赘述。

UE可以通过第三代合作伙伴计划(the 3rd generation partner project，3GPP)接入网或者可信非3GPP接入网(trusted non-3GPP access network，TNAN)注册到核心网，并完成认证和协议数据单元(protocol，PDU)会话建立。其中，TNAN包括TNAP和TNGF。

为便于理解，以下结合图2说明UE通过TNAN注册到核心网，并完成认证和PDU会话建立的流程，以下简称为可信非3GPP的注册、认证和PDU会话建立流程。

图2为可信非3GPP的注册、认证和PDU会话建立流程示意图。如图2所示，可信非3GPP的注册、认证和PDU会话建立流程包括S200至S213。

S200，UE选择公共陆地移动网络(public land mobile network，PLMN)，并连接到所选择的PLMN。

示例性地，UE通过使用TS 23.501定义的可信非3GPP(trusted non-3GPP)接入网络选择程序，选择PLMN和TNAN，以连接到PLMN。可理解，UE选择的TNAN支持可信连接的PLMN。

关于S200的实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤0的相关介绍，此处不再赘述。

S201，UE与TNAP之间建立层二(layer1，L2)连接(connection)。

关于S201的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤1的相关介绍，此处不再赘述。

S202，TNAP向UE发送身份请求(EAP-Req/Identity)消息。相应地，UE接收来自TNAP的身份请求消息。

其中，身份请求消息可以是可扩展认证协议(extensible authentication protocol，EAP)身份请求消息。

示例性地，EAP身份请求消息可以封装在电气和电子工程师协会(institute of electrical and electronics engineers，IEEE)802.3/8802.1x协议格式的数据包中、或IEEE 802.11/8802.1x协议格式的数据包中、或点对点协议(point-to-point protocol，PPP)协议格式的数据包中。

关于S202的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤2的相关介绍，此处不再赘述。

S203，UE通过TNAP向TNGF发送身份响应消息。相应地，TNGF通过TNAP接收来自UE的身份响应消息。

S203可以包括TNAP：UE向TNAP发送身份响应消息。相应地，TNAP接收来自UE的身份响应消息。UE向TNAP发送的身份响应消息中包含NAI(network access identifier)格式的UE的身份信息，例如，UE的身份信息的格式为“username@realm”。其中，NAI格式的UE的身份信息用于触发TNAP向TNGF发送身份响应消息。

以及，在接收到来自TNAP的身份响应信息后，TNAP向TNGF发送身份响应消息。相应地，TNGF接收来自TNAP的身份响应消息。UE向TNAP发送的身份响应消息可以封装在L2消息中。TNAP向TNGF发送的身份响应消息可以封装在AAA消息中。

可理解，身份响应消息可以是EAP身份响应消息(EAP-Res/Identity)。

关于S203的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤3的相关介绍，此处不再赘述。

S204，TNGF通过TNAP向UE发送认证起始请求消息。相应地，UE通过TNAP接收来自TNGF 的认证起始请求消息。

示例性地，TNGF向TNAP发送认证起始请求消息，相应地，TNAP接收来自TNGF的认证起始请求。TNAP向UE发送认证起始请求，相应地，UE接收来自UE的认证起始请求。

其中，认证起始请求消息用于通知UE发起非接入层(non-access stratum，NAS)会话，即开始发送封装在数据包，如EAP-5G消息中的非接入层(non-access stratum，NAS)消息。

认证起始请求消息可以是认证起始请求(EAP-Req/5G-Start)消息。

关于S204的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤4的相关介绍，此处不再赘述。

S205，UE通过TNAP向TNGF发送认证起始响应消息。相应地，TNGF通过TNAP接收来自UE的认证起始响应消息。

示例性地，UE向TNAP发送认证起始响应消息，相应地，TNAP接收来自UE的认证起始响应消息。在接收到来自UE的认证起始响应消息后，TNAP向TNGF发送认证起始响应消息。相应地，TNGF接收来自TNAP的认证起始响应消息。认证起始响应消息可以是EAP-5G认证起始响应(EAP-Res/5G-Start)消息。

其中，认证起始响应消息包括接入网参数(access network parameter，AN-Parameter)和NAS-PDU参数。接入网参数包括单网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI)、5G全球唯一临时标识符(5G globally unique temporary identifier，5G-GUTI)。NAS-PDU参数包括注册请求(Regisitration Request)消息，也可以说，注册请求消息可以通过NAS协议封装。注册请求消息中包括UE的安全能力和用户隐藏标识符(subscription concealed identifier，SUCI)。

可理解，在S205中，如果UE已经通过3GPP接入5GC并且存在可用的安全上下文，则UE对注册请求消息进行完整性保护并在接入参数中携带5G-GUTI(也就是说，接入网参数中的5G-GUTI替换为SUCI)。如果UE已经通过3GPP接入注册到相同的AMF，并且如果这是UE第一次通过非3GPP接入连接到5GC，则用于完整性保护的上行NAS计数器(uplink NAS count，UL NAS COUNT)的值为0；否则，它可以使用已有的非3GPP特定UL NAS COUNT进行完整性保护。

可理解，以上接入网参数仅用于举例，在实际实施中，接入网参数还可以包括其他参数，此处不再赘述。

关于S205的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤5的相关介绍，此处不再赘述。

S206a，TNGF选择AMF。

示例性地，S206a可以包括，TNGF按照TS 23.501第6.5.3条的规定选择AMF。

关于S206a的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤6a的相关介绍，此处不再赘述。

S206b，TNGF向AMF发送注册请求消息。相应地，AMF接收来自TNGF的注册请求消息。

关于S206b的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤6b的相关介绍，此处不再赘述。

其中，注册请求消息可以携带在N2消息(N2 message，N2 Msg)中。

S207，AMF获取UE的身份信息。

示例性地，S207可以包括：AMF通过N2接口向TNGF发送身份请求消息，TNGF接收身份请求消息后将消息通过NAS请求消息封装后发送给TNAP，TNAP接收到NAS请求消息后，将NAS请求消息发送给UE。UE接收到NAS请求消息封装的身份请求消息后，向TNAP发送由NAS响应消息封装的身份响应消息。TNAP收到NAS响应消息后将消息转发给TNGF，TNGF收到NAS响应消息后将身份请求消息通过N2接口发送给AMF。

NAS请求消息可以是EAP-5G NAS请求消息。NAS响应消息可以是EAP-5G NAS响应消息。

关于S207的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤7a和步骤7b的相关介绍，此处不再赘述。

S208a，AMF向AUSF发送密钥请求(Key Request)消息。相应地，AUSF接收来自AMF的密钥请求消息。

其中，密钥请求消息中包括用户永久标识符(subscription permanent identifier，SUPI)和用户隐藏标识符(subscription concealed identifier，SUCI)。密钥请求消息可以封装在AAA消息中。

关于S208a的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤8a的相关介绍，此处不再赘述。

S208b，UE执行认证及密钥协商(Authentication and Key Agreement，AKA)流程。

认证及密钥协商流程也可以称为主认证流程。关于主认证流程的实现可以参考TS 33.501版本17.7.0章节6.1.3定义的主认证流程，上述主认证流程可以是EAP-AKA’主认证。

可理解，关于S208b的具体实现原理也可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤8b的相关介绍，此处不再赘述。

S208c，AUSF向AMF发送密钥响应消息。相应地，AMF接收来自AUSF的密钥响应消息。

其中，密钥响应消息包括安全锚点功能(security anchor function，SEAF)密钥(也可以称为锚密钥)和EAP成功消息。

关于S208c的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤8c的相关介绍，此处不再赘述。

S209a，AMF向TNGF发送安全模式命令请求(security mode command request，SMC Request)消息。相应地，TNGF接收来自AMF的SMC消息。

其中，SMC消息承载于N2消息中。

可理解，在执行EAP-AKA’认证流程的情况下，SMC消息中可以携带EAP成功消息。EAP成功消息由AMF从AUSF接收得到。

关于S209a的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤9a的相关介绍，此处不再赘述。

S209b，TNGF通过TNAP向UE发送SMC消息，相应地，UE通过TNAP接收来自TNGF的SMC消息。

其中，SMC消息可以封装在EAP-5G NAS请求消息中。SMC消息中可以携带TNGF地址(address)。此外，在执行EAP-AKA’认证流程的情况下，SMC消息中可以携带EAP成功消息。

关于S209b的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤9b的相关介绍，此处不再赘述。

S209c，UE通过TNAP向TNGF发送SMC完成消息。相应地，TNGF通过TNAP接收来自UE的SMC完成消息。

示例性地，UE向TNAP发送SMC完成消息。TNAP接收来自UE的SMC完成消息。TNAP接收到来自UE的SMC消息后，向TNGF发送SMC完成消息，相应地，TNGF接收来自TNGF的SMC完成消息。TNAP将SMC完成消息发送给TNGF。

其中，SMC完成消息被封装在EAP-5G NAS响应消息中。

关于S209c的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤9c的相关介绍，此处不再赘述。

S209d，TNGF收到SMC完成消息后，向AMF发送SMC完成消息。相应地，AMF接收来自TNGF的SMC完成消息。

关于S209d的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤9d的相关介绍，此处不再赘述。

S210a，AMF向TNGF发送初始上下文建立请求(Initial Ctx Setup Request)消息。相应地，TNGF接收来自AMF的初始上下文建立请求消息。

其中，初始上下文建立请求消息可以封装在N2消息中。初始上下文建立请求消息中可以包括TNGF密钥。

TNGF密钥可以用于推演TNAP密钥，该TNAP密钥用于保护UE与TNAP之间的通信安全。

关于S210a的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤10a的相关介绍，此处不再赘述。

S210b，TNGF通过TNAP向UE发送通知请求消息。相应地，UE通过TNAP接收来自TNGF的通知请求消息。

其中，通知请求消息中包括TNGF的地址，如IP地址。

示例性地，通知请求消息可以是EAP-5G通知请求(EAP-Req/5G-Notification)消息。

关于S210b的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤10b的相关介绍，此处不再赘述。

S210c，UE通过TNAP向TNGF发送通知响应消息。相应地，TNGF通过TNAP接收来自UE的通知响应消息。

示例性地，通知响应消息可以是EAP-5G通知响应(EAP-Res/5G-Notification)消息。

关于S210c的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤10c的相关介绍，此处不再赘述。

S210d，TNGF向TNAP发送TNAP密钥和EAP成功消息。相应地，TNAP接收来自TNGF的TNAP密钥和EAP成功消息。TNAP密钥用于保护TNAP与TNGF之间的通信安全。

关于S210d的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤10d的相关介绍，此处不再赘述。

S210e，TNAP向UE发送EAP成功消息。相应地，UE接收来自TNAP的EAP成功消息。

关于S210e的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤10e的相关介绍，此处不再赘述。

S211，UE与TNAP使用TNAP密钥建立安全连接。

示例性地，UE和TNAP可以将TNAP密钥作为成对主密钥(pairwise master key，PMK)，并基于该PMK进行四次握手，以建立安全连接。

关于S211的实现原理可以参考TS 33.501版本17.7.0中章节7.2A.1中的步骤11。

S212，UE接收来自TNGF的IP配置信息。

IP配置信息用于指示TNGF与UE通信的IP地址。

关于S212的实现原理可以参考TS 33.501版本17.7.0中章节7.2A.1中的步骤12。

S213，UE完成后续注册流程。

关于S213的实现原理可以参考TS 33.501版本17.7.0中章节7.2A.1中的步骤13a-19。

以上S200-S213为可信非3GPP的注册、认证和PDU会话建立流程。然而，在实际的通信过程中，UE和TNAP之间的相对位置可能会发生变化，如在UE移动的场景中，UE的位置会发生变化，或者，不同TNAP的信号质量变化等，从而会导致为UE提供网络服务的TNAP会发生变化，在此情况下，UE需要切换TNAP。在UE切换TNAP的场景中，为了简化交互流程，可以通过UE认证标识，如重认证标识(Re-authentication identity，Reauth ID)标识UE的身份。这样，TNGF可以通过UE认证标识识别UE是否为在TNGF下切换TNAP的UE。这样，在UE从TNGF下的源TNAP1切换至目标TNAP的情况下，可以执行切换TNAP场景下的重认证流程，以建立UE与目标TNAP之间的安全连接，从而避免执行图2所示的完整认证流程，提高服务连续性。其中，上述UE认证标识可以由TNGF分配，也可以通过随机数生成。

为便于理解，以下结合源TNAP、目标TNAP说明采用不同方式获取UE认证标识的切换流程。

图3为TNAP切换的流程示意图一。图3所示的方法包括S301至S311。

S301，UE与源TNAP建立安全连接，以及TNGF通过源TNAP向UE发送UE认证标识。

其中，UE认证标识包括公共陆地移动网络(public land mobile network，PLMN)ID、TNGF ID、临时(temporary，Temp)ID三个部分组成。

在S301的流程中，UE与源TNAP均可以生成源密钥，即针对原TNAP的TNAP密钥。源密钥可以用于保护UE与源TNAP之间的通信安全。

TNGF通过源TNAP向UE发送UE认证标识可以包括：在UE与源TNAP建立安全连接之后，TNGF通过源TNAP向UE发送UE认证标识。

关于S301中UE与源TNAP建立安全连接的具体实现原理可以参考协议版本TS 33.501版本17.7.0中的7A.2.1中定义的流程，或者参考上述S200至S213的相关介绍，此处不再赘述。

S302，UE确定从源TNAP切换至目标TNAP。

示例性地，在UE检测到源TNAP的信号强度小于或等于第一信号强度阈值，目标TNAP的信号强度大于或等于第二信号强度阈值的情况下，UE确定从源TNAP切换至目标TNAP。可理解，此处UE切换TNAP的场景仅用于举例，在实际实施中，可能存在其他切换TNAP的场景，此处不再赘述。

S303，UE与目标TNAP之间建立层二连接。

关于S303的具体实现原理可以参考S201的相关介绍，此处不再赘述。

S304，目标TNAP向UE发送身份请求消息。相应地，UE接收来自目标TNAP的身份请求消息。

身份请求消息用于目标TNAP获取UE的身份信息。

身份请求消息可以是EAP身份请求消息。

关于S304中的身份请求消息的实现可以参考S202中身份请求消息的相关介绍，此处不再赘述。

关于S304的具体实现原理可以参考S202的相关介绍，此处不再赘述。

S305，UE向目标TNAP发送身份响应消息。相应地，目标TNAP接收来自UE的身份响应消息。

其中，身份响应消息中包括移动性切换指示(TNAP_Mobility_indication)和UE认证标识。移动性切换指示用于指示UE仍处于注册状态，不需要向AMF发送注册请求消息触发主认证流程，只需执行EAP-5G注册流程即可。

S306，目标TNAP向TNGF发送移动性切换指示和UE认证标识。

其中，移动性切换指示和UE认证标识可以携带于认证、授权和计费(authentication、authorization and accounting，AAA)消息中。

S307，TNGF确定目标密钥。

示例性地，TNGF根据UE认证标识识别UE并检索UE的上下文，从而确定TNGF密钥。

其中，UE的上下文包括TNGF密钥。

S308，TNGF向目标TNAP发送第一通知请求消息(EAP-Req/5G-notification)。相应地，目标TNAP接收来自TNGF的第一通知请求消息。

其中，第一EAP-5G通知请求消息包括如下一项或多项：目标密钥、第一随机数和消息认证码(message authentication code，MAC)#0。

其中，消息认证码#0用于保护随机数的完整性。

示例性地，目标密钥、第一随机数和消息认证码#0可以承载于AAA消息中。第一通知请求消息可以是EAP-5G通知请求消息。

S309，目标TNAP向UE发送第二通知请求消息，相应地，UE接收来自目标TNAP的第二通知请求消息。

其中，第二通知请求消息中包括如下一项或多项信息：开始安全模式(start security mode)消息、第一随机数和消息认证码#0。开始安全模式消息，用于指示UE使用随机数和TNGF密钥生成目标密钥。第二通知请求消息可以是EAP-5G通知请求消息。

S310，UE生成目标密钥。

示例性地，UE对消息认证码#0进行校验，在消息认证码#0校验成功的情况下，UE根据接收到的第一随机数生成目标密钥。

UE将TNGF密钥和第一随机数作为输入，计算出消息认证码#1，并将消息认证码#1与消息认证码#0进行比较，若消息认证码#1于与消息认证码#0匹配，则消息认证码#0校验成功。

S311，UE与目标TNAP使用目标密钥建立安全连接。

UE将目标密钥作为PMK，与目标TNAP进行四次握手，以建立UE与目标TNAP之间的安全连接。

关于S311的实现原理可以参考TS 33.501版本17.7.0中章节7.2A.1中的步骤11，或图2中所示的S211的相关介绍，此处不再赘述。

上述图3所示的流程中，在TNGF通过源TNAP发送UE认证标识的过程中，由于TNGF与源TNAP之间已经建立了安全连接，因此，UE认证标识在源TNAP与UE之间传输可以得到安全保护。然而，在UE从源TNAP切换至目标TNAP的过程中，由于TNGF与目标TNAP之间并未建立安全连接，因此，UE认证标识在UE与目标TNAP传输不能得到安全保护。这样，攻击者便可以仿冒UE发起TNAP切换流程，从而会导致通信安全性问题。

另外，在生成采用计数器的值生成TNAP密钥的情况下，攻击者每发起一次切换流程，TNGF的计数值便会增加，但是实际需要接入TNAP的UE的计数值不会发生变化，如此，便会导致TNGF和UE的计数器不一致，从而导致UE无法成功接入TNAP。

图4为TNAP切换的流程示意图二。图4所示的方法包括S400a至S422。

S400a，AMF向TNGF发送初始上下文建立请求消息。相应地，TNGF接收来自AMF的初始上下文建立请求消息。

关于S400a的具体实现原理可以参考协议版本TS 33.501版本17.7.0章节7.2A.2.1中步骤10a或上述S210a的相关介绍，此处不再赘述。

可理解，在S400a之前，该图4所提供的方法还可以包括如图2中的S200至S209d，具体原理可以参考图2中的相关介绍，此处不再赘述。

S400b，TNGF通过源TNAP向UE发送通知请求消息。相应地，UE通过源TNAP接收来自TNGF的通知请求消息。

其中，通知请求消息中包括TNGF地址、TNGF的标识(TNGF identifier，TNGF-ID)、TNGF的随机数(TNGF Nnonce，TNonce)。通知请求消息可以是EAP-5G通知请求消息。

S400c，UE通过源TNAP向TNGF发送通知响应消息。TNGF通过源TNAP接收来自UE的通知响应消息。

其中，通知响应消息中包括UE的随机数(UE nonce，UNonce)。示例性地，通知响应消息可以是EAP-5G通知响应消息。

S400d，TNGF向源TNAP发送源密钥和EAP成功消息。相应地，源TNAP接收来自TNGF的源密钥和EAP成功消息。

其中，源密钥是根据TNGF密钥生成的针对源TNAP的TNAP密钥，源密钥用于保护源TNAP与TNGF之间的通信安全。

S400e，源TNAP向UE发送EAP成功消息。相应地，UE接收来自源TNAP的EAP成功消息。

S401，UE与源TNAP使用源密钥建立安全连接。

示例性地，UE和源TNAP可以将源密钥作为PMK，并基于该PMK进行四次握手，以建立安全连接。

关于S401的实现原理可以参考TS 33.501版本17.7.0中章节7.2A.1中的步骤11或上述S211。

S402，UE接收来自TNGF的IP配置信息。

IP配置信息用于指示TNGF与UE通信的IP地址。

关于S402的实现原理可以参考TS 33.501版本17.7.0中章节7.2A.1中的步骤12或上述S212，此处不再赘述。

S403，UE完成后续注册流程。

关于S403的实现原理可以参考TS 33.501版本17.7.0中章节7.2A.1中的步骤13a-19，或上述S213，此处不再赘述。

S404，UE确定从源TNAP切换至目标TNAP。

关于S404的具体实现原理可以参考S302的相关介绍，此处不再赘述。

S405，UE与目标TNAP之间建立层二连接。

关于S405的实现原理可以参考上述S201或S303，此处不再赘述。

S406，目标TNAP向UE发送身份请求消息。相应地，UE接收来自目标TNAP的身份请求消息。

身份请求消息可以是EAP身份请求消息(EAP-Req/Identity)。

S407，UE向目标TNAP发送身份响应消息。相应地，目标TNAP接收来自UE的身份响应消息。

其中，EAP身份响应消息包括UE的身份信息。该UE的身份信息的格式可以是网络访问标识符(network access identifier，NAI)格式。

UE的身份信息包括：用户名和域名。其中，用户名可以是UE认证标识。域名可以是“nai.5gc.tngf<tngf-ID>.mnc<mnc>.mcc<mcc>.3gppnetwork.org”。

S408，目标TNAP选择TNGF。

示例性地，目标TNAP可以根据UE的身份信息选择TNGF。例如，目标TNAP可以根据UE的身份信息的域名中的<tngf-ID>字段选择TNGF。也就是说，域名中<tngf-ID>字段指示的TNGF即UE选择的TNGF。

S409，目标TNAP向TNGF发送身份响应消息。相应地，TNGF接收来自目标TNAP的身份响应消息。

身份响应消息中包括UE认证标识和NAI格式的UE的身份信息。

S410，TNGF根据身份响应消息中的UE认证标识确定UE的上下文。

S411，TNGF通过目标TNAP向UE发送挑战请求(EAP-Req/5G-challenge)消息。相应地，UE通过目标TNAP接收来自TNGF的挑战请求消息。

其中，挑战请求消息中可以包括TNonce和消息认证码#2。消息认证码#2由TNGF根据TNGF密钥和TNonce生成，可以用于验证TNonce是否被篡改。

挑战请求消息可以是EAP-5G挑战请求消息。

S412，UE对TNGF进行认证。

S412也可以说是UE对消息认证码#2进行校验。

示例性地，UE根据TNGF密钥、TNonce生成消息认证码#3，若消息认证码#3与消息认证码#2匹配，则TNGF认证成功。若消息认证码#3与消息认证码#2不匹配，则TNGF认证失败。

S413，在TNGF认证成功的情况下，UE生成消息认证码#4。

其中，息验证码#4根据TNGF密钥TNonce和UNonce生成，可以用于保护UNonce的完整性。

S414，UE通过目标TNAP向TNGF发送挑战响应(EAP-Res/5G-challenge)消息。相应地，TNGF通过目标TNAP接收来自UE的挑战响应消息。

其中，挑战响应消息中包括TNonce、UNonce和消息认证码#4。

示例性地，挑战响应消息可以是EAP-5G挑战响应消息。

S415，TNGF对UE进行认证。

也可以说，TNGF对消息认证码#4进行校验。

示例性地，TNGF根据TNGF密钥、TNonce和UNonce生成消息认证码#5，若消息认证码#5与消息认证码#4匹配，则UE认证成功。若消息认证码#5与消息认证码#4不匹配，则UE认证失败。

S416，在UE认证成功的情况下，TNGF生成目标密钥。

在UE认证成功的情况下，TNGF根据TNGF-ID、TNonce、UNonce和TNGF密钥生成UE的新UE认证标识，以及根据TNGF-ID、TNonce和UNonce、TNGF密钥生成目标密钥。

可理解，该新UE认证标识可以用于UE在从目标TNAP切换至TNGF连接的除目标TNAP之外的TNAP时，用于标识UE的身份，或者说，用于标识UE是否为首次接入TNGF。

S417，TNGF向目标TNAP发送EAP成功消息和目标密钥。相应地，目标TNAP接收来自TNGF的EAP成功消息和目标密钥。

S418，目标TNAP向UE发送EAP成功消息。相应地，UE接收来自目标TNAP的EAP成功消息。

S419，UE生成新的UE认证标识和目标密钥。

UE通过使用存储在UE中的TNGF密钥、TNGF-ID、TNonce和UNonce生成新的UE认证标识，以及通过TNGF-ID、TNonce和UNonce、TNGF密钥生成目标密钥。

如果UE和TNGF共享相同的TNGF密钥，则在UE中和TNGF中独立导出的新UE认证标识将是相同的，目标密钥也是相同的。

S420，UE与目标TNAP使用源密钥建立安全连接。

关于S420的实现原理可以参考上述S211，此处不再赘述。

S421，UE接收新的IP配置信息。

关于S421的实现原理可以参考上述S212，此处不再赘述。

S422，UE通过目标TNAP恢复与TNGF的通信。

在图4所示的方案中，用于生成UE认证标识的参数的传输流程是在UE首次连接到TNGF时，如UE通过TNGF进行初次注册时收到的，也就是在UE与源TNAP建立安全连接之前，如此，用于生成 UE认证标识的参数在传输过程中不存在安全保护，便会导致用于生成UE认证标识的参数被攻击者更改或者传输错误，从而导致无法在UE切换TNAP的情况下，正确识别UE是否为切换TNAP的UE。

本申请实施例的技术方案可以应用于各种通信系统，例如无线保真(wireless fidelity，WiFi)系统，车到任意物体(vehicle to everything，V2X)通信系统、设备间(device-todevie，D2D)通信系统、车联网通信系统、第4代(4th generation，4G)移动通信系统，如长期演进(long term evolution，LTE)系统、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)移动通信系统，如新空口(new radio，NR)系统，以及未来的通信系统，如第六代(6th generation，6G)移动通信系统等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例中，“信息(information)”，“信号(signal)”，“消息(message)”，“信道(channel)”、“信令(singaling)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。“的(of)”，“相应的(corresponding，relevant)”和“对应的(corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图5中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性地，图5为本申请实施例提供的通信方法所适用的一种通信系统的架构示意图。

如图5所示，该通信系统包括UE、3GPP接入网、可信非3GPP接入网(trusted non-3GPP access network，TNAN)和AMF。

UE可以通过3GPP接入网进行3GPP接入，UE可以通过TNAN进行non-3GPP接入。其中TNAN包括TNAP1、TNAP2和TNGF。示例性地，UE与TNAP1之间可以通过Yt接口通信连接，UE与TNGF之间可以通过NWt接口通信连接。UE还可以通过N1接口与AMF通信连接。UE与TNAP2之间可以通过Yt接口通信连接，UE与TNGF之间可以通过NWt接口通信连接。UE还可以通过N1接口与AMF通信连接。在此情况下，TNGF为TNAP1、TNAP2的管理网元。TNGF为TNAP的管理网元，是指TNGF与该TNAP建立有连接，并且TNGF生成用于该TNAP与UE之间建立安全通信的密钥，并发送给TNAP。

此外，图5所示的通信系统中还可以包括SMF、UPF、和数据网络。

其中，SMF与AMF之间可以通过N11接口通信，UPF与SMF之间可以通过N4接口通信连接，UPF与TNGF之间可以通过N3接口通信连接，数据网络和UPF之间可以通过N6接口通信连接。3GPP接入网可以通过N2接口与AMF通信连接。3GPP接入网可以包括RAN。

需要说明的是，本申请实施例提供的通信方法，可以适用于图5所示的UE、TNAP1、TNAP2和TNGF之间具体实现可以参考下述方法实施例，此处不再赘述。

应当指出的是，本申请实施例中的方案还可以应用于其他通信系统中，相应的名称也可以用其他通信系统中的对应功能的名称进行替代。

应理解，图5仅为便于理解而示例的简化示意图，该通信系统中还可以包括其他网元，如AMF、AUSF等，图5中未予以画出。

下面将结合图6-图7对本申请实施例提供的通信方法进行具体阐述。

在一些可能的实施例中，可以在UE从源TNAP切换至目标TNAP的过程中，传输UE认证标识。

示例性地，图6为本申请实施例提供的通信方法的流程示意图一。该通信方法可以适用于图5所示的UE、TNAP和TNGF之间的通信。

如图6所示，该通信方法包括如下步骤：

S601，在UE通过源TNAP接入到TNGF的流程中，TNGF获取UE认证标识，以及获取TNGF密钥。

其中，TNGF密钥是TNGF和UE之间共享的密钥。TNGF密钥可以是根据长期密钥生成。

UE认证标识可以是用于UE在TNAP切换时，TNGF识别UE。示例性地，UE认证标识可以是重认证标识(Re-authentication identity，Reauth ID)。

一种可能的设计方案中，UE与TNGF之间直接传输UE认证标识。在此情况下，UE通过源TNAP接入到TNGF的流程，可以包括：图2所示的S200至S213，以及后续UE与TNGF传输数据的流程。在此情况下，在TNGF获取UE认证标识之前，该通信方法还可以包括S200至S213中的一项或多项。

在此情况下，TNGF获取UE认证标识，可以是在S213之后UE与TNGF传输数据的流程中。

TNGF获取TNGF密钥，可以是在执行如图2所示S210a的过程中。例如，TNGF密钥可以携带在S210a中的初始上下文建立请求消息中。

另一种可能的设计方案中，UE与TNGF之间传输用于生成UE认证标识的至少部分参数。在此情况下，UE通过源TNAP接入到TNGF的流程，可以包括：图2所示的S200至S210e。在此情况下，在TNGF获取UE认证标识之前，该通信方法还可以包括S200至S209d中的一项或多项。

在此情况下，TNGF获取UE认证标识的步骤可以位于S210b与S210d之间，具体实现可以参考图7中S701至S703的相关介绍。

TNGF获取TNGF密钥，可以是通过图2中的S210a，或图7中的S700实现，也就是说，TNGF密钥携带在初始上下文建立请求消息中。

S602，在UE通过源TNAP接入TNGF的流程中，UE获取UE认证标识，以及生成TNGF密钥。

在UE与TNGF之间直接传输UE认证标识的情况下，UE获取UE认证标识，可以是在S213之后的UE与TNGF传输数据的流程中。S602中，UE获取UE认证标识，包括：UE通过源TNAP接收来自TNGF的UE认证标识。

在此情况下，UE获取UE认证标识之前，图6所示的通信方法还可以包括：UE通过源TNAP接入到TNGF。具体实现原理可以参考S200至S213，此处不再赘述。

UE获取TNGF密钥，可以是UE根据长期密钥生成TNGF密钥，此处不再赘述。

另一种可能的设计方案中，UE与TNGF之间传输用于生成UE认证标识的至少部分参数。在此情况下，UE获取UE认证标识的原理可以参考下述图7中S700至S706的相关介绍，此处不再赘述。

S603，UE确定从源TNAP切换至目标TNAP。

UE从源TNAP切换至目标TNAP的情况，可以是UE检测到源TNAP的信号质量低于第一信号质量阈值，目标TNAP的信号质量低于第二信号质量阈值。

关于S603的实现原理可以参考上述S302的实现原理，此处不再赘述。

S604，UE与目标TNAP之间建立层二连接。

关于S604的实现原理可以参考上述S303的实现原理，此处不再赘述。

S605，目标TNAP向UE发送身份请求消息。相应地，UE接收来自目标TNAP的身份请求消息。

关于S605的实现原理可以参考S304的实现原理，此处不再赘述。

S606，UE通过目标TNAP向TNGF发送第一消息。相应地，TNGF通过目标TNAP接收来自UE的第一消息。

可理解，S606可以在UE从源TNAP切换至目标TNAP的情况下执行。

其中，第一消息包括UE认证标识和第一验证参数。第一验证参数由UE根据TNGF密钥和至少UE认证标识生成。

可选地，第一消息还可以包括移动性切换指示。其中，移动性切换指示可以用于指示UE从源TNAP切换至目标TNAP，也就是说，UE在接入目标TNAP之前已经接入到与目标TNAP位于同一TNGF下的其他TNAP。在S606之前，图6所提供的方法还可以包括步骤a1。

步骤a1，UE根据TNGF密钥和至少UE认证标识生成第一验证参数。

以下结合第一验证参数的生成方式，说明步骤a1。

示例性地，在第一消息包括UE认证标识的情况下，第一验证参数可以根据TNGF密钥和UE认证标识生成。以下结合生成方式1.1或生成方式1.2说明。

生成方式1.1，直接根据UE认证标识以及TNGF密钥生成第一验证参数。

在此情况下，步骤a1可以包括：UE根据TNGF密钥、UE认证标识和预配置的函数计算第一消息验证码，便得到第一验证参数。示例性地，UE将UE认证标识作为输入参数，将TNGF密钥作为输入密钥，输入预配置的函数，从而计算得到第一消息验证码，即第一验证参数。

其中，预配置的函数可以通过如下一项或多项实现：信息摘要算法(message-digest algorithm，MD5)、安全哈希算法-1(secure hash algorithm-1，SHA-1)、SHA-256，后面不再赘述。

在一些可能的设计方案中，预配置的函数也可以称为消息验证码生成函数。

生成方式1.2，先根据TNGF密钥生成中间密钥，再生成第一验证参数。

在此情况下，步骤a1可以包括步骤a1.1和步骤a1.2。

步骤a1.1，UE根据TNGF密钥生成中间密钥。

一种可能的设计方案中，UE根据TNGF密钥和第一类型识别码(usage type distinguisher)生成中间密钥。UE可以将TNGF密钥和第一类型识别码输入密钥生成函数(key derivation function，KDF)，如此便可以得到中间密钥。其中，第一类型识别码用于标识生成密钥的类型为中间密钥。示例性地，第一类型识别码可以是0x03。

可理解，密钥生成函数的输入参数还可以包括固定码，如0x84。

另一种可能的设计方案中，UE可以根据TNGF密钥、第一新鲜性参数和第二新鲜性参数成中间密钥。

其中，第一新鲜性参数是UE生成的随机数、或者计数器值，第二新鲜性参数是UE生成的随机数、或者计数器值，本实施例不做具体限定。

步骤a1.2，UE根据中间密钥、UE认证标识和预配置的函数计算第一消息验证码，便得到所述第一验证参数。

示例性地，UE将UE认证标识作为输入参数，将中间密钥作为输入密钥，输入消息验证码生成函数，从而计算得到第一消息验证码，即第一验证参数。

关于预配置的函数可以参考生成方式1.1的相关介绍，此处不再赘述。

在第一消息包括UE认证标识的情况下，第一验证参数也可以基于如下生成方式1.3或生成方式1.4生成。

生成方式1.3，直接根据移动性切换指示、UE认证标识，以及TNGF密钥生成第一验证参数。

在此情况下，步骤a1可以包括：UE根据TNGF密钥、UE认证标识、移动性切换指示和预配置的函数计算第一消息验证码，便得到所述第一验证参数。

关于预配置函数的生成原理可以参考生成方式1.1中的相关介绍。第一验证参数的生成原理可以参考生成方式1.1的相关介绍，其区别在于，输入预配置函数的输入参数包括UE认证标识和移动性切换指示。

生成方式1.4，先根据TNGF密钥生成中间密钥，再生成第一验证参数。

在此情况下，步骤a1可以包括步骤a1.3和步骤a1.4。

步骤a1.3，UE根据TNGF密钥生成中间密钥。

关于步骤a1.3的实现原理可以参考生成方式1.2中步骤a1.1的相关介绍，此处不再赘述。

步骤a1.4，UE根据中间密钥、UE认证标识、移动性切换指示和预配置的函数计算第一消息验证码，便得到所述第一验证参数。

关于生成方式1.4的实现原理可以参考生成方式1.2的相关介绍，其区别在于，输入预配置的函数输入参数包括UE认证标识和移动性切换指示。

可选地，若在S606之前，UE接收到了来自目标TNAP的EAP身份请求消息，如身份请求消息，则第一消息可以是身份响应消息，如EAP身份响应消息。

S607，TNGF根据TNGF密钥对第一验证参数进行校验。

为便于理解，以下结合第一验证参数的生成方式分情况进一步说明S607。

情况1.1，在第一验证参数通过生成方式1.1生成的情况下，S607可以包括步骤b1和步骤b2。

步骤b1，TNGF根据UE认证标识和TNGF密钥，生成第六验证参数。

步骤b2，TNGF确定第一验证参数与第六验证参数是否匹配。

情况1.2，第一验证参数通过生成方式1.2生成的情况下，S607可以包括步骤b3至步骤b5。

步骤b3，TNGF根据TNGF密钥生成中间密钥。

关于步骤b3的实现原理可以参考上述步骤a1.1，其区别在于，步骤b3的中间密钥由TNGF生成。

步骤b4，TNGF根据中间密钥和UE认证标识生成第六验证参数。

关于第六验证参数的生成原理可以参考上述生成方式1.2中第一验证参数的生成原理，此处不再赘述。

步骤b5，TNGF确定第一验证参数与第六验证参数是否匹配。

情况1.3，第一验证参数通过生成方式1.3生成的情况下，S607可以包括步骤b6和步骤b7。

步骤b6，TNGF根据TNGF密钥、UE认证标识和移动性切换指示生成第六验证参数。

步骤b7，TNGF确定第一验证参数与第六验证参数是否匹配。

情况1.4，第一验证参数通过生成方式1.4生成的情况下，S607可以包括步骤b8至步骤b10。

步骤b8，TNGF根据TNGF密钥生成中间密钥。

关于步骤b8的实现原理可以参考上述步骤a1.1，其区别在于，步骤b8的中间密钥由TNGF生成。

步骤b9，TNGF根据中间密钥、UE认证标识和移动性切换指示生成第六验证参数。

关于第六验证参数的生成原理可以参考上述生成方式1.4中第一验证参数的生成原理，此处不再赘述。

步骤b10，TNGF确定第一验证参数与第六验证参数是否匹配。

可理解，第一验证参数与第六验证参数匹配，即第一验证参数校验成功。第一验证参数与第六验证参数不匹配，即第一验证参数校验失败。示例性地，第一验证参数与第六验证参数匹配，可以指第一验证参数与第六验证参数相同。

对于同一UE而言，该UE中存储的TNGF密钥和TNGF中存储的与该UE对应的TNGF密钥相同，由于生成第一验证参数和第二验证参数的密钥都是TNGF密钥和TNonce，因此，TNGF通过执行S608，便可以实现对UE的认证，以及对UE认证标识的完整性校验。第一验证参数与第六验证参数匹配，可以表示UE认证成功，也就是说UE是实际进行TNAP切换的UE，且UE认证标识未被篡改。第一验证参数与第六验证参数不匹配，可以表示UE认证失败，也就是说UE不是实际进行TNAP切换的UE，或者UE认证标识被篡改。

S608，在第一验证参数校验成功的情况下，TNGF生成目标密钥。

或者说，在第一验证参数与第六验证参数匹配的情况下，TNGF生成目标密钥。

一种可能的设计方案中，S608中，TNGF可以根据TNGF密钥直接生成目标密钥。示例性地：TNGF根据TNGF密钥和计数参数生成目标密钥。

TNGF根据TNGF密钥、第二类型识别码和计数参数确定目标密钥。其中，计数参数可以是计数器的计数值，该计数值可以根据UE切换TNAP的次数确定，如计数值为UE切换TNAP的次数。计数参数也可以是随机数，该随机数在每次切换时，由TNGF生成。

示例性地，TNGF可以将TNGF密钥、第二类型识别码和计数参数输入密钥生成函数，如此便可以得到目标密钥。

例如，第二类型识别码可以为0x02。

可理解，S608中的密钥生成函数沿用TS33.501 A22中定义的密钥生成函数，此处不再赘述。

另一种可能的设计方案中，S608可以包括：TNGF根据TNGF密钥和第一新鲜性参数、第二新鲜性参数成目标密钥。

再一种可能的设计方案中，可以根据TNGF密钥获取中间密钥，进而根据中间密钥生成目标密钥。在此情况下，S608可以包括步骤c1和步骤c2。

步骤c1，TNGF根据TNGF密钥生成中间密钥。

关于步骤c1的实现原理可以参考上述步骤b3或上述步骤b8的相关介绍，此处不再赘述。

可理解，步骤c1、步骤b3可以是同一个步骤，也可以是不同的步骤。或者步骤c1和步骤b8可以是同一个步骤，也可以是不同的步骤。

步骤c2，TNGF根据中间密钥生成目标密钥。

示例性地，TNGF根据中间密钥和第三类型识别码，如0x02确定目标密钥。

例如，TNGF可以将中间密钥和第三类型识别码输入密钥生成函数，如此便可以得到目标密钥。

S609，TNGF向目标TNAP发送通知请求消息。相应地，目标TNAP接收来自TNGF的通知请求消息。

其中，通知请求消息包括目标密钥、第一随机数和第七验证参数。目标密钥用于保护UE与目标TNAP之间的通信安全。第七验证参数根据TNGF密钥和第一随机数生成。

关于第七验证参数的生成原理可以参考上述生成方式1.1或生成方式1.2，此处不再赘述。

关于S609的实现原理可以参考上述S308的相关介绍，此处不再赘述。

一种可能的设计方案中，第一随机数和TNGF密钥一起可以用于生成目标密钥。

此外，图6所提供的方法还可以包括S610和S613。

S610，目标TNAP向UE发送通知请求消息。相应地，UE接收来自目标TNAP的通知请求消息。

其中，通知请求消息包括如下信元：开始安全模式(start security mode)消息、第一随机数、第七验证参数。

S611，UE对第七验证参数进行校验。

示例性地，S611可以包括：UE可以根据接收到的第一随机数和TNGF密钥，生成第八验证参数。UE确定第七验证参数与第八验证参数是否一致。

其中，第七验证参数与第八验证参数匹配，即第七验证参数校验成功。第七验证参数与第八验证参数不匹配，即第七验证参数校验失败。

关于第八验证参数的生成原理可以参考上述生成方式1.1或生成方式1.2，此处不再赘述。

S612，在第七验证参数与第八验证参数匹配的情况下，UE通过目标TNAP向TNGF发送通知响应消息。

其中，通知响应消息中包括移动性切换状态(mobility switch complete)消息。移动性切换状态消息用于指示UE成功生成目标密钥。

通知响应消息可以是EAP-5G通知响应消息。

需要说明，第一验证参数与第六验证参数的生成原理相同。第七验证参数与第八验证参数的生成原理相同。生成第一验证参数、第六验证参数的中间密钥与生成第七验证参数、第八验证参数的中间密钥可以相同，也可以不同。

S613，UE与目标TNAP使用目标密钥建立安全连接。

关于S613的实现原理可以参考上述S311的相关介绍，此处不再赘述。

需要说明的是，图6所示的步骤的执行顺序仅用于举例，在实际实施中，不同步骤之间的顺序在符合逻辑的情况下。

基于上述图6所提供的通信方法，在UE从源TNAP切换至目标TNAP的情况下，UE可以在向目标TNAP发送UE认证标识时，发送第一验证参数。其中，第一验证参数根据针对TNGF的TNGF密钥和UE认证标识生成。而TNGF存储有针对UE的TNGF密钥，如此，TNGF便可以根据接收到的UE认证标识和TNGF密钥实现对UE认证标识的完整性认证，以及对UE的身份的认证，从而可以在攻击者仿冒UE发起TNAP切换时，识别出攻击者仿冒的UE，以避免攻击者仿冒的UE接入目标TNAP，从而提高通信安全性。

此外，在目标密钥基于计数器的数参数生成的情况下，可以识别出攻击者仿冒的接入目标密钥，从而避免改变TNGF中计数器的计数参数，以使UE中的计数参数与TNGF中的计数参数一致，以提高UE接入成功率。

在另一些实施例中，可以在UE首次接入TNGF的流程中，传输用于生成UE认证标识的参数。在此情况下，可以对UE首次接入TNGF的流程中传输的用于生成UE认证标识的参数进行完整性保护。

图7为本申请实施例提供的通信方法的流程示意图二。如图7所示，该通信方法包括S701至S711。

S700，TNGF接收来自AMF的初始上下文建立请求消息。

TNGF接收到来自AMF的初始上下文建立请求消息，可以确定UE是首次接入TNGF。

初始上下文建立请求消息中可以包括TNGF密钥。

S701，TNGF通过源TNAP向UE发送通知请求消息。相应地，UE通过源TNAP接收来自TNGF的通知请求消息。

可理解，S701在TNGF接收到来自AMF的初始上下文建立请求消息的情况下执行。也可以说是在UE首次接入TNGF的过程中执行。

其中，通知请求消息包括TNonce和第二验证参数。TNonce用于作为生成UE认证标识一部分输入参数。第二验证参数根据TNGF密钥和至少TNonce生成。

一些可能的设计方案中，通知请求消息中还可以包括如下一项或多项：TNGF地址、或TNGF标识(TNGF identifier，TNGF ID)。

也就是说，通知请求消息可以包括TNonce，或者，通知请求消息可以包括TNonce和TNGF标识，或者，通知请求消息可以包括TNonce和TNGF地址，或者，通知求消息可以包括TNonce、TNGF地址和TNGF标识。

在此情况下，第二验证参数还可以根据TNGF密钥、TNonce和如下一项或多项生成：TNGF地址、或TNGF-ID。

在S701之前，图7所提供的方法还可以包括步骤d1。

步骤d1，TNGF根据TNGF密钥和至少TNonce生成第二验证参数。

为便于理解，以下结合通知请求消息中包括的信息分别说明第二验证参数的生成原理。

在通知请求消息包括TNonce的情况下，第二验证参数可以根据如下生成方式2.1和生成方式2.2生成。

生成方式2.1，TNGF直接基于TNGF密钥生成第二验证参数。

在此情况下，步骤d1可以包括：TNGF根据TNGF密钥、TNonce和预配置的函数计算第二消息验证码，便得到所述第二验证参数。

示例性地，TNGF将TNonce作为输入参数，将TNGF密钥作为输入密钥，输入预配置的函数，从而计算得到第二消息验证码，即第二验证参数。

生成方式2.2，TNGF先根据TNGF密钥生成中间密钥，进而采用中间密钥生成第二验证参数。

在此情况下，步骤d1可以包括步骤d1.1至步骤d1.2。

步骤d1.1，TNGF根据TNGF密钥生成中间密钥。

关于d1.1的实现原理可以参考步骤a1.1中生成中间密钥的原理。

步骤d1.2，TNGF根据中间密钥、TNonce和预配置的函数计算第二消息验证码，便得到所述第二验证参数。

生成方式2.2的实现原理与生成方式2.1中类似，其区别在于，输入密钥为中间密钥。

在通知请求消息包括TNonce、TNGF-ID的情况下，第二验证参数可以根据如下生成方式2.3和生成方式2.4生成。

生成方式2.3，TNGF直接采用TNGF密钥直接生成第二验证参数。

生成方式2.3的实现原理与生成方式2.1中类似，其区别在于，输入参数包括TNonce和TNGF-ID。

生成方式2.4，TNGF先根据TNGF密钥生成中间密钥，进而采用中间密钥生成第二验证参数。

生成方式2.4的实现原理与生成方式2.2中类似，其区别在于，输入参数为TNonce和TNGF-ID。

在通知请求消息包括TNonce、TNGF地址的情况下，第二验证参数可以根据如下生成方式2.5和生成方式2.6生成。

生成方式2.5，TNGF直接采用TNGF密钥直接生成第二验证参数。

生成方式2.5的实现原理与生成方式2.1中类似，其区别在于，输入参数包括TNonce和TNGF地址。

生成方式2.6，TNGF先根据TNGF密钥生成中间密钥，进而采用中间密钥生成第二验证参数。

生成方式2.6的实现原理与生成方式2.2中类似，其区别在于，输入参数为TNonce和TNGF地址。

在通知请求消息包括TNonce、TNGF-ID和TNGF地址的情况下，第二验证参数可以根据如下生成方式2.7和生成方式2.8生成。

生成方式2.7，TNGF直接采用TNGF密钥直接生成第二验证参数。

生成方式2.7的实现原理与生成方式2.1中类似，其区别在于，输入参数包括TNonce、TNGF-ID和TNGF地址。

生成方式2.8，TNGF先根据TNGF密钥生成中间密钥，进而采用中间密钥生成第二验证参数。

生成方式2.8的实现原理与生成方式2.2中类似，其区别在于，输入参数为TNonce、TNGF-ID和TNGF地址。

通知请求消息可以是EAP-5G通知请求消息。

S702，UE根据TNGF密钥对第二验证参数进行校验。

为便于理解，以下结合第二验证参数的生成方式分情况说明UE对TNGF进行认的流程。

情况2.1，第二验证参数通过生成方式2.1生成。在此情况下，S702可以包括步骤e1和步骤e2。

步骤e1，UE根据TNGF密钥和TNonce生成第三验证参数。

生成第三验证参数的原理与生成方式2.1中类似，此处不再赘述。

步骤e2，若第二验证参数与第三验证参数匹配，则第二验证参数校验成功。

情况2.2，第二验证参数通过生成方式2.2生成。在此情况下，S702可以包括步骤e3至步骤e5。

步骤e3，UE根据TNGF密钥生成中间密钥。

步骤e4，UE根据中间密钥和TNonce生成第三验证参数。

生成第三验证参数的原理与生成方式2.2中类似，此处不再赘述。

步骤e5，若第二验证参数与第三验证参数匹配，则第二验证参数校验成功。

情况2.3，第二验证参数通过生成方式2.3生成。在此情况下，S702可以包括步骤e6和步骤e7。

步骤e6，UE根据TNGF密钥、TNonce和TNGF-ID针对生成第三验证参数。

生成第三验证参数的原理与生成方式2.3中类似，此处不再赘述。

步骤e7，若第二验证参数与第三验证参数匹配，则第二验证参数校验成功。

情况2.4，第二验证参数通过生成方式2.4生成。在此情况下，S702可以包括步骤e8至步骤e10。

步骤e8，UE根据TNGF密钥生成中间密钥。

步骤e9，UE根据中间密钥TNonce和TNGF-ID生成第三验证参数。

生成第三验证参数的原理与生成方式2.4中类似，此处不再赘述。

步骤e10，若第二验证参数与第三验证参数匹配，则第二验证参数校验成功。

情况2.5，第二验证参数通过生成方式2.5生成。在此情况下，S702可以包括步骤e11和步骤e12。

步骤e11，UE根据TNGF密钥、TNonce和TNGF地址生成第三验证参数。

生成第二验证参数的原理与生成方式2.5中类似，此处不再赘述。

步骤e12，若第二验证参数与第三验证参数匹配，则第二验证参数校验成功。

情况2.6，第二验证参数通过生成方式2.6生成。在此情况下，S702可以包括步骤e13至步骤e15。

步骤e13，UE根据TNGF密钥生成中间密钥。

步骤e14，UE根据中间密钥、TNGF地址和TNonce生成第三验证参数。

生成第三验证参数的原理与生成方式2.6中类似，此处不再赘述。

步骤e15，若第二验证参数与第三验证参数匹配，则第二验证参数校验成功。

情况2.7，第二验证参数通过生成方式2.7生成。在此情况下，S702可以包括步骤e16和步骤e17。

步骤e16，UE根据TNGF密钥、TNGF地址、TNGF-ID和TNonce生成第三验证参数。

步骤e17，若第二验证参数与第三验证参数匹配，则第二验证参数校验成功。步骤e17生成第三验证参数的原理与生成方式2.7中类似，此处不再赘述。

情况2.8，第二验证参数通过生成方式2.8生成。在此情况下，S702可以包括步骤e18至步骤e20。

步骤e18，UE根据TNGF密钥生成中间密钥。

步骤e19，UE根据中间密钥、TNGF地址、TNGF-ID和TNonce生成第三验证参数。

生成第三验证参数的原理与生成方式2.8中类似，此处不再赘述。

步骤e20，若第二验证参数与第三验证参数匹配，则第二验证参数校验成功。

上述情况2.1至上述情况2.8中，生成中间密钥的原理可以参考图6所提供方法中，生成中间密钥的相关介绍，此处不再赘述。

S702可以实现对TNGF的认证，若第二验证参数校验成功，则TNGF认证成功。若第二验证参数校验失败，则TNGF认证失败。第二验证参数与第三验证参数匹配可以是指第二验证参数与第三验证参数相同。第二验证参数与第三验证参数匹配的情况下，表示生成第二验证参数的输入参数未被篡改。第二验证参数与第三验证参数不匹配的情况下，表示生成第二验证参数的输入参数中，存在被篡改的参数。

可理解，在S702之前，图7所提供的方法还可以包括如图4中S400a至S409，或者包括图2的S200至S209d，此处不再赘述。

在第二验证参数校验成功的情况下，执行下述S703和S704。

S703，UE根据TNGF密钥、至少UNonce和TNonce生成UE认证标识。

S704，UE通过源TNAP向TNGF发送通知响应消息。相应地，TNGF通过源TNAP接收来自UE的通知响应消息。

其中，通知响应消息包括UNonce和第四验证参数。

示例性地，通知响应消息可以是EAP-5G通知响应消息。

其中，第四验证参数根据TNGF密钥和UNonce和生成。

S705，TNGF根据TNGF密钥对第四验证参数进行校验。

一种可能的设计方案中，S705可以包括步骤f1和步骤f2。

步骤f1，TNGF根据TNGF密钥和UNonce生成第五验证参数。

步骤f2，TNGF确定第四验证参数与第五验证参数是否匹配。

另一种可能的设计方案中，在S705可以包括步骤f3至步骤f5。

步骤f3，TNGF根据TNGF密钥生成中间密钥。

步骤f4，TNGF根据中间密钥和UNonce生成第五验证参数。

步骤f5，TNGF确定第四验证参数与第五验证参数是否匹配。

若第五验证参数与第四验证参数匹配，则第四验证参数校验成功，在此情况下，可以表明UNonce未被篡改。若第五验证参数与第四验证参数不匹配，则第四验证参数校验失败，在此情况下，可以表明UNonce被篡改。

需要说明，第二验证参数与第三验证参数的生成原理相同。第四验证参数与第五验证参数的生成原理相同。生成第二验证参数、第三验证参数的中间密钥与生成第四验证参数、第五验证参数的中间密钥可以相同，也可以不同。

在第四验证参数校验成功的情况下，执行下述S706和S707。

S706，TNGF根据TNGF密钥、至少UNonce和TNonce生成UE认证标识。

S707，TNGF向源TNAP发送针对源TNAP的源密钥和EAP成功消息。

其中，源密钥用于保护UE与源TNAP之间的通信安全。源密钥根据TNGF密钥生成。关于源密钥的生成方式，此处不再赘述。

关于源密钥的生成方法，可以参考S400d，此处不再赘述。

关于S707的实现原理可以参考上述S210d或上述S400d，此处不再赘述。

S708，源TNAP向UE发送EAP成功消息。相应地，UE接收来自源TNAP的EAP成功消息。

关于S708的实现原理可以参考上述S210e或上述S400e的相关介绍，此处不再赘述。

S709，UE与源TNAP之间建立安全连接。

关于S709的实现原理可以参考上述S211或上述S401的相关介绍，此处不再赘述。

可理解，在S710之前，图7所提供的方法还可以包括如图2中所示的S212和S213。

S710，UE确定从源TNAP切换至目标TNAP。

关于S710的实现原理可以参考上述S404的相关介绍，此处不再赘述。

S711，UE执行不完整的认证流程，以与目标TNAP之间建立安全连接。

关于S711的实现原理可以参考所述S405至上述S420的相关介绍，此处不再赘述。

上述图7所提供的通信方法，TNGF向UE发送TNonce时，可以携带用于完整性保护的第二验证参数。UE可以生成第三验证参数，并在第二验证参数与第三验证参数匹配的情况下向TNGF发送UNonce和第四验证参数。其中，第二验证参数由TNGF根据TNGF密钥和至少TNonce生成，第四验证参数由UE根据针对UE的TNGF密钥和指示UNonce生成。TNGF再根据UNonce和TNGF密钥生成第五验证参数。如此，通过第二验证参数和第三验证参数的比对，便可以实现TNonce的完整性保护，通过第四验证参数和第五验证参数的比对，便可以实现TNonce的完整性保护，从而提高通信安全性。

需要说明，本申请实施例中，在UE和TNAP，如源TNAP或目标TNAP之间时，可以通过层二对消息进行封装。TNAP与TNGF之间，可以通过AAA对消息进行封装。另外，上述图6和上述图7中，不同步骤中的身份请求消息位于不同的数据包中，不同步骤中的身份响应消息不同的数据包中。不同步骤中的通知请求消息不同的数据包中，不同步骤中的通知请求消息不同的数据包中。

以上结合图6-图7详细说明了本申请实施例提供的通信方法。以下结合图8-图9详细说明用于执行本申请实施例提供的通信方法的通信装置。

示例性地，图8是本申请实施例提供的通信装置800的结构示意图一。如图8所示，通信装置800包括：处理模块801和收发模块802。为了便于说明，图8仅示出了该通信装置800的主要部件。

一些实施例中，通信装置800可适用于图5中所示出的通信系统中，执行图6中UE的功能。

处理模块801，用于在通信装置800通过源TNAP接入到TNGF的流程中，获取UE认证标识，以及生成TNGF密钥。其中，TNGF密钥是TNGF和通信装置800之间共享的密钥。收发模块802，用于在通信装置800从源TNAP切换至目标TNAP的情况下，通过目标TNAP向TNGF发送第一消息。其中，第一消息包括UE认证标识和第一验证参数。第一验证参数由通信装置800根据UE认证标识和TNGF密钥生成。

一种可能的设计方案中，处理模块801，具体用于通过源TNAP接收来自TNGF的UE认证标识。

一种可能的设计方案中，处理模块801，还用于通过源TNAP接入到TNGF。

一种可能的设计方案中，第一消息为身份响应消息，处理模块801，还用于确定从源TNAP切换至目标TNAP，并与目标TNAP之间建立层二连接。以及通过收发模块802接收来自目标TNAP的身份请求消息，身份请求消息用于触发通信装置800发送第一消息。

一种可能的设计方案中，收发模块802，还可以用于通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce和第二验证参数。第二验证参数由TNGF根据TNGF密钥和TNonce生成。处理模块801，还用于根据TNGF密钥和TNonce生成第三验证参数。处理模块801，还用于在第二验证参数与第三验证参数匹配的情况下，根据TNGF密钥、TNonce和通信装置800的随机数UNonce生成UE认证标识。UNonce由通信装置800生成。

可选地，发送模块，还用于在第二验证参数与第三验证参数匹配的情况下，通过源TNAP向TNGF发送通知响应消息。其中，通知响应消息中包括第四验证参数和UNonce。第四验证参数根据TNGF密钥和UNonce生成。

一种可能的设计方案中，收发模块802，还用于通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce和第二验证参数。第二验证参数由TNGF根据中间密钥和TNonce生成。中间密钥由TNGF根据TNGF密钥生成。处理模块801，具体用于根据TNGF密钥生成中间密钥，以及根据中间密钥和TNonce生成第三验证参数。处理模块801，具体用于在第二验证参数与第三验证参数匹配的情况下，根据中间密钥、TNonce和通信装置800的随机数UNonce生成UE认证标识。UNonce由通信装置800生成。

可选地，收发模块802，还用于在第二验证参数与第三验证参数匹配的情况下，通过源TNAP向TNGF发送通知响应消息。其中，通知响应消息中包括第四验证参数和UNonce。第四验证参数根据中间密钥和UNonce生成。

一种可能的设计方案中，收发模块802，还用于通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的地址和第二验证参数。第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的地址生成。处理模块801，还用于根据TNGF密钥、TNonce和TNGF的地址生成第三验证参数。收发模块802，具体用于在第二验证参数与第三验证参数匹配的情况下，根据TNGF密钥、TNonce和通信装置800的随机数UNonce生成UE认证标识。

可选地，收发模块802，还用于在第二验证参数与第三验证参数匹配的情况下，通过源TNAP向TNGF发送通知响应消息。其中，通知响应消息中包括第四验证参数和UNonce。第四验证参数根据TNGF密钥和UNonce生成。

一种可能的设计方案中，收发模块802，还用于通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的地址和第二验证参数。第二验证参数由TNGF根据中间密钥、TNGF的随机数TNonce和TNGF的地址生成。中间密钥由TNGF根据TNGF密钥生成。处理模块801，还用于根据TNGF密钥生成中间密钥，以及根据中间密钥、TNonce和TNGF的地址生成第三验证参数。处理模块801，还用于在第二验证参数与第三验证参数匹配的情况下，根据中间密钥、TNonce、通信装置800的随机数UNonce和TNGF密钥生成UE认证标识。UNonce由通信装置800生成。

一种可能的设计方案中，收发模块802，还用于通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的标识和第二验证参数。第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的标识生成。处理模块801，还用于根据TNGF、TNonce和TNGF的标识生成第三验证参数。处理模块801，具体用于在第二验证参数与第三验证参数匹配的情况下，根据TNGF密钥、至少TNonce和通信装置800的随机数UNonce生成UE认证标识。UNonce由通信装置800生成。

一种可能的设计方案中，收发模块802，还用于通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的标识和第二验证参数。其中，第二验证参数由TNGF根据中间密钥、TNonce和TNGF的标识生成。中间密钥由TNGF根据TNGF密钥生成。处理模块801，还用于根据TNGF密钥生成中间密钥，以及根据中间密钥、TNonce和TNGF的标识生成第三验证参数。处理模块801，具体用于在第二验证参数与第三验证参数匹配的情况下，根据中间密钥、至少TNonce和通信装置800的随机数UNonce生成UE认证标识。UNonce由通信装置800生成。

一种可能的设计方案中，收发模块802，还用于通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括TNGF的随机数TNonce、TNGF的地址、TNGF的标识和第二验证参数。第二验证参数由TNGF根据TNGF密钥、TNonce、TNGF的地址和TNGF的标识生成。处理模块801，还用于根据TNGF密钥、TNonce、TNGF的地址和TNGF的标识生成第三验证参数。处理模块801，具体用于在第二验证参数与第三验证参数匹配的情况下，根据TNGF密钥、至少TNonce和通信装置800的随机数UNonce生成UE认证标识。UNonce由通信装置800生成。

一种可能的设计方案中，收发模块802，还用于通过源TNAP接收来自TNGF的通知请求消息。通知请求消息包括TNonce、TNGF的地址、TNGF的标识和第二验证参数。其中，第二验证参数由TNGF根据中间密钥、TNonce、TNGF的地址和TNGF的标识生成。中间密钥由TNGF根据TNGF密钥生成。处理模块801，还用于根据TNGF密钥生成中间密钥，以及根据中间密钥、TNonce、TNGF的地址和TNGF的标识生成第三验证参数。处理模块801，具体用于在第二验证参数与第三验证参数匹配的情况下，根据中间密钥、至少TNonce和通信装置800的随机数UNonce生成UE认证标识。UNonce由通信装置800生成。

可选地，处理模块801，还用于通信装置800生成UNonce。

一种可能的设计方案中，处理模块801，还用于根据TNGF密钥和通信装置800的认证标识生成第一验证参数。

可选地，处理模块801，具体用于根据TNGF密钥、通信装置800的认证标识和预配置的函数计算第一消息验证码，得到第一验证参数。

或者，可选地，处理模块801，具体用于根据TNGF密钥生成中间密钥。以及根据中间密钥、通信装置800的认证标识和预配置的函数计算第一消息验证码，得到第一验证参数。

一种可能的设计方案中，TNGF密钥根据长期密钥生成。

可选地，收发模块802可以包括接收模块和发送模块(图8中未示出)。其中，收发模块802用于实现通信装置800的发送功能和接收功能。

可选地，通信装置800还可以包括存储模块(图8中未示出)，该存储模块存储有程序或指令。当处理模块801执行该程序或指令时，使得通信装置800可以执行图6所示出的通信方法中UE的功能。

应理解，通信装置800中涉及的处理模块801可以由处理器或处理器相关电路组件实现，可以为处理器或处理单元；收发模块802可以由收发器或收发器相关电路组件实现，可以为收发器或收发单元。

需要说明的是，通信装置800可以是终端设备，也可以是可设置于终端设备中的芯片(系统)或其他部件或组件，还可以是包含终端设备的装置，本申请对此不做限定。

另一些实施例中，通信装置800可适用于图5中所示出的通信系统中，执行图6所示出的通信方法中TNGF的功能。

其中，处理模块801，用于在UE通过源TNAP接入到通信装置800的流程中，通信装置800获取UE认证标识，以及获取TNGF密钥。其中，TNGF密钥是通信装置800和UE之间共享的密钥。收发模块802，用于通过目标TNAP接收来自UE的第一消息。其中，第一消息包括UE认证标识和第一验证参数。第一验证参数由通信装置800根据UE认证标识和TNGF密钥生成。处理模块801，还用于在第一验证参数校验成功的情况下，根据TNGF密钥生成目标密钥。其中，目标密钥用于保护UE与目标TNAP之间的通信安全。

一种可能的设计方案中，处理模块801，具体用于生成UE认证标识。

可选地，收发模块802，还用于通过源TNAP向UE发送所述UE认证标识。

一种可能的设计方案中，收发模块802，还用于通过源TNAP向UE发送通知请求消息。通知请求消息包括TNonce和第二验证参数。其中，第二验证参数由通信装置800根据TNGF密钥和TNonce生成。收发模块802，还用于通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据TNGF密钥和UNonce生成。处理模块801，还用于根据TNGF密钥和UNonce生成第五验证参数。

处理模块801，具体用于在四验证参数与第五验证参数匹配的情况下，根据TNGF密钥、TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，收发模块802，还用于根据TNGF密钥生成中间密钥，以及通过源TNAP向UE发送通知请求消息。通知请求消息包括TNonce和第二验证参数。其中，第二验证参数由通信装置800根据中间密钥和TNonce生成。收发模块802，还用于通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据中间密钥和UNonce生成。处理模块801，还用于根据中间密钥和UNonce生成第五验证参数。处理模块801，具体用于在四验证参数与第五验证参数匹配的情况下，根据中间密钥、TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，收发模块802，还用于通过源TNAP向UE发送通知请求消息。通知请求消息包括TNonce、通信装置800的地址和第二验证参数。其中，第二验证参数由通信装置800根据TNGF密钥、TNonce和通信装置800的地址生成。收发模块802，还用于通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据TNGF密钥和UNonce生成。处理模块801，还用于根据TNGF密钥和UNonce生成第五验证参数。处理模块801，具体用于在四验证参数与第五验证参数匹配的情况下，根据TNGF密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，收发模块802，还用于根据TNGF密钥生成中间密钥，以及通过源TNAP 向UE发送通知请求消息。通知请求消息包括TNonce、通信装置800的地址和第二验证参数。其中，第二验证参数由通信装置800根据中间密钥、TNonce和通信装置800的地址生成。收发模块802，还用于通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据中间密钥和UNonce生成。处理模块801，还用于根据中间密钥和UNonce生成第五验证参数。处理模块801，具体用于在四验证参数与第五验证参数匹配的情况下，根据中间密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，收发模块802，还用于通过源TNAP向UE发送通知请求消息。通知请求消息包括TNonce、通信装置800的标识和第二验证参数。其中，第二验证参数由通信装置800根据TNGF密钥、TNonce和通信装置800的标识生成。收发模块802，还用于通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据TNGF密钥和UNonce生成。处理模块801，还用于根据TNGF密钥和UNonce生成第五验证参数。处理模块801，具体用于在四验证参数与第五验证参数匹配的情况下，根据TNGF密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，收发模块802，还用于根据TNGF密钥生成中间密钥，以及通过源TNAP向UE发送通知请求消息。通知请求消息包括TNonce、通信装置800的标识和第二验证参数。其中，第二验证参数由通信装置800根据中间密钥、TNonce和通信装置800的标识生成。收发模块802，还用于通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据中间密钥和UNonce生成。处理模块801，还用于根据中间密钥和UNonce生成第五验证参数。处理模块801，具体用于在四验证参数与第五验证参数匹配的情况下，根据中间密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，收发模块802，还用于通过源TNAP向UE发送通知请求消息。通知请求消息包括TNonce、通信装置800的地址、通信装置800的标识和第二验证参数。其中，第二验证参数由通信装置800根据TNGF密钥、TNonce、通信装置800的地址和通信装置800的标识生成。收发模块802，还用于通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据TNGF密钥和UNonce生成。处理模块801，还用于根据TNGF密钥和UNonce生成第五验证参数。处理模块801，具体用于在四验证参数与第五验证参数匹配的情况下，根据TNGF密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，收发模块802，还用于根据TNGF密钥生成中间密钥，以及通过源TNAP向UE发送通知请求消息。通知请求消息包括TNonce、通信装置800的地址、通信装置800的标识和第二验证参数。其中，第二验证参数由通信装置800根据中间密钥、TNonce和通信装置800的地址、通信装置800的标识生成。收发模块802，还用于通过源TNAP接收来自UE的通知响应消息。通知响应消息包括第四验证参数和UE的随机数UNonce。其中，第四验证参数由UE根据中间密钥和UNonce生成。处理模块801，还用于根据中间密钥和UNonce生成第五验证参数。处理模块801，具体用于在四验证参数与第五验证参数匹配的情况下，根据中间密钥、至少TNonce和UNonce生成UE认证标识。

一种可能的设计方案中，处理模块801，还用于根据UE认证标识和TNGF密钥生成第六验证参数。处理模块801，具体用于在第一验证参数与第六验证参数匹配的情况下，根据TNGF密钥生成目标密钥。

一种可能的设计方案中，TNGF密钥由AMF根据长期密钥生成。

可选地，通信装置800还可以包括存储模块(图8中未示出)，该存储模块存储有程序或指令。当处理模块801执行该程序或指令时，使得通信装置800可以执行图6所示出的通信方法中TNGF的功能。

需要说明的是，通信装置800可以是网络设备，如TNGF，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

另一些实施例中，通信装置800可适用于图5中所示出的通信系统中，执行图7所示出的通信方法中UE的功能。

该通信方法应用于UE首次接入TNGF的流程中。

其中，收发模块802，用于通过源TNAP接收来自TNGF的通知请求消息。其中，通知请求消息包括第二验证参数和至少TNGF的随机数TNonce。第二验证参数根据TNGF密钥和至少TNonce生成。TNGF密钥为通信装置800与TNGF之间的共享密钥。处理模块801，用于根据TNGF密钥和至少TNonce生成第三验证参数。收发模块802，还用于在第二验证参数与第三验证参数匹配的情况下，通过源TNAP向TNGF发送通知响应消息。其中，通知响应消息包括通信装置800的随机数UNonce和第四验证参数。第四验证参数由通信装置800根据UNonce和TNGF密钥生成。

一种可能的设计方案中，处理模块801，具体用于根据TNGF密钥生成中间密钥。通信装置800根据中间密钥和TNonce生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的地址。第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的地址生成。处理模块801，具体用于根据TNGF密钥、TNonce和TNGF的地址生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的地址。第二验证参数由TNGF根据中间密钥、TNonce和TNGF的地址生成。其中，中间密钥由通信装置800根据TNGF密钥生成。处理模块801，具体用于根据中间密钥、TNonce和TNGF的地址生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的标识。第二验证参数由TNGF根据TNGF密钥、TNonce和TNGF的标识生成。处理模块801，具体用于根据TNGF密钥、TNonce和TNGF的标识生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的标识。第二验证参数由TNGF根据中间密钥、TNonce和TNGF的标识生成。其中，中间密钥由通信装置800根据TNGF密钥生成。处理模块801，具体用于根据中间密钥、TNonce和TNGF的标识生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的地址和TNGF的标识。第二验证参数由TNGF根据TNGF密钥、TNonce、TNGF的地址和TNGF的标识生成。处理模块801，具体用于根据TNGF密钥、TNonce、TNGF的地址和TNGF的标识生成第三验证参数。

一种可能的设计方案中，通知请求消息还包括TNGF的地址和TNGF的标识。第二验证参数由TNGF根据中间密钥、TNonce、TNGF的地址和TNGF的标识生成。其中，中间密钥由通信装置800根据TNGF密钥生成。处理模块801，具体用于根据中间密钥、TNonce、TNGF的地址和TNGF的标识生成第三验证参数。

一种可能的设计方案中，处理模块801，还用于根据TNGF密钥，至少TNonce和UNonce生成UE认证标识。

可选地，通信装置800还可以包括存储模块(图8中未示出)，该存储模块存储有程序或指令。当处理模块801执行该程序或指令时，使得通信装置800可以执行图7所示出的通信方法中UE的功能。

另一些实施例中，通信装置800可适用于图5中所示出的通信系统中，执行图7所示出的通信方法中TNGF的功能。

收发模块802，用于在通信装置800接收到来自AMF的初始上下文建立请求的情况下，通过源TNAP向UE发送通知请求消息。其中，通知请求消息包括通信装置800的随机数TNonce和第二验证参数。第二验证参数根据TNonce和TNGF密钥生成。TNGF密钥为UE与通信装置800之间的共享密钥。处理模块801，用于根据TNGF密钥和UNonce生成第五验证参数。收发模块802，还用于接收来自UE的通知响应消息。通知响应消息包括UE的随机数UNonce和第四验证参数。第四验证参数根据 UNonce和针对通信装置800的根密钥生成。收发模块802，还用于在第四验证参数与第五验证参数匹配的情况下，向源TNAP发送源密钥。源密钥用于保护源TNAP与UE之间的通信安全。

一种可能的设计方案中，处理模块801，具体用于根据TNGF密钥生成中间要。通信装置800根据中间密钥和UNonce生成第五验证参数。

一种可能的设计方案中，处理模块801，还用于根据TNonce、UNonce和TNGF密钥生成UE认证标识。

可选地，通信装置800还可以包括存储模块(图8中未示出)，该存储模块存储有程序或指令。当处理模块801执行该程序或指令时，使得通信装置800可以执行图7所示出的通信方法中TNGF的功能。

示例性地，图9为本申请实施例提供的通信装置的结构示意图二。该通信装置可以是终端设备或网络设备，也可以是可设置于终端设备或网络设备的芯片(系统)或其他部件或组件。如图9所示，通信装置900可以包括处理器901。可选地，通信装置900还可以包括存储器902和/或收发器903。其中，处理器901与存储器902和收发器903耦合，如可以通过通信总线连接。

下面结合图9对通信装置900的各个构成部件进行具体的介绍：

其中，处理器901是通信装置900的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器901是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个数字信号处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

可选地，处理器901可以通过运行或执行存储在存储器902内的软件程序，以及调用存储在存储器902内的数据，执行通信装置900的各种功能。

在具体的实现中，作为一种实施例，处理器901可以包括一个或多个CPU，例如图9中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，通信装置900也可以包括多个处理器，例如图9中所示的处理器901和处理器904。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，所述存储器902用于存储执行本申请方案的软件程序，并由处理器901来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器902可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器902可以和处理器901集成在一起，也可以独立存在，并通过通信装置900的接口电路(图9中未示出)与处理器901耦合，本申请实施例对此不作具体限定。

收发器903，用于与其他通信装置之间的通信。例如，通信装置900为终端设备，收发器903可以用于与网络设备通信，或者与另一个终端设备通信。又例如，通信装置900为网络设备，收发器903可以用于与终端设备通信，或者与另一个网络设备通信。

可选地，收发器903可以包括接收器和发送器(图9中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器903可以和处理器901集成在一起，也可以独立存在，并通过通信装置900的接口电路(图9中未示出)与处理器901耦合，本申请实施例对此不作具体限定。

需要说明的是，图9中示出的通信装置900的结构并不构成对该通信装置的限定，实际的通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，通信装置900的技术效果可以参考上述方法实施例所述的通信方法的技术效果，此处不再赘述。

应理解，在本申请实施例中的处理器可以是中央处理单元(central processing unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random access memory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种通信方法，其特征在于，所述方法包括：

在用户装置UE通过源可信的非第三代合作伙伴计划接入点TNAP接入到可信的非第三代合作伙伴计划网关功能TNGF的流程中，所述UE获取UE认证标识，以及生成TNGF密钥；其中，所述TNGF密钥是所述TNGF和UE之间共享的密钥；

在所述UE从所述源TNAP切换至目标TNAP的情况下，所述UE通过所述目标TNAP向所述TNGF发送第一消息；其中，所述第一消息包括所述UE认证标识和第一验证参数；所述第一验证参数由所述UE根据所述UE认证标识和所述TNGF密钥生成。
根据权利要求1所述的方法，其特征在于，所述UE获取UE认证标识，包括：

所述UE通过所述源TNAP接收来自所述TNGF的所述UE认证标识。
根据权利要求1或2所述的方法，其特征在于，在所述UE获取UE认证标识之前，所述方法还包括：

所述UE通过所述源TNAP接入到所述TNGF。
根据权利要求3所述的方法，其特征在于，所述第一消息为身份响应消息，在所述UE通过所述目标TNAP向所述TNGF发送第一消息之前，所述方法还包括：

所述UE确定从所述源TNAP切换至所述目标TNAP；

所述UE与所述目标TNAP之间建立层二连接；

所述UE接收来自所述目标TNAP的身份请求消息，所述身份请求消息用于触发所述UE发送所述第一消息。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UE通过所述源TNAP接收来自所述TNGF的通知请求消息；其中，所述通知请求消息包括所述TNGF的随机数TNonce和第二验证参数；所述第二验证参数由所述TNGF根据所述TNGF密钥和所述TNonce生成；

所述UE根据所述TNGF密钥和所述TNonce生成第三验证参数；

所述UE获取UE认证标识，包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE根据所述TNGF密钥、所述TNonce和所述UE的随机数UNonce生成所述UE认证标识；所述UNonce由所述UE生成。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE通过所述源TNAP向所述TNGF发送通知响应消息；其中，所述通知响应消息中包括第四验证参数和所述UNonce；所述第四验证参数根据所述TNGF密钥和所述UNonce生成。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UE通过所述源TNAP接收来自所述TNGF的通知请求消息；其中，所述通知请求消息包括所述TNGF的随机数TNonce和第二验证参数；所述第二验证参数由所述TNGF根据中间密钥和所述TNonce生成；所述中间密钥由所述TNGF根据所述TNGF密钥生成；

所述UE根据所述TNGF密钥生成所述中间密钥；

所述UE根据所述中间密钥和所述TNonce生成第三验证参数；

所述UE获取UE认证标识，包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE根据所述中间密钥、所述TNonce和所述UE的随机数UNonce生成所述UE认证标识；所述UNonce由所述UE生成。
根据权利要求7所述的方法，其特征在于，所述方法还包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE通过所述源TNAP向所述TNGF发送通知响应消息；其中，所述通知响应消息中包括第四验证参数和所述UNonce；所述第四验证参数根据所述中间密钥和所述UNonce生成。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UE通过所述源TNAP接收来自所述TNGF的通知请求消息；其中，所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的地址和第二验证参数；所述第二验证参数由所述TNGF根据所述TNGF密钥、所述TNonce和所述TNGF的地址生成；

所述UE根据所述TNGF密钥、所述TNonce和所述TNGF的地址生成第三验证参数；

所述UE获取UE认证标识，包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE根据所述TNGF密钥、至少所述TNonce和所述UE的随机数UNonce生成所述UE认证标识。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE通过所述源TNAP向所述TNGF发送通知响应消息；其中，所述通知响应消息中包括第四验证参数和所述UNonce；所述第四验证参数根据所述TNGF密钥和所述UNonce生成。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UE通过所述源TNAP接收来自所述TNGF的通知请求消息；其中，所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的地址和第二验证参数；所述第二验证参数由所述TNGF根据中间密钥、所述TNGF的随机数TNonce和所述TNGF的地址生成；所述中间密钥由所述TNGF根据所述TNGF密钥生成；

所述UE根据所述TNGF密钥生成所述中间密钥；

所述UE根据所述中间密钥、所述TNonce和所述TNGF的地址生成第三验证参数；

所述UE获取UE认证标识，包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE根据所述中间密钥、至少所述TNonce和所述UE的随机数UNonce生成所述UE认证标识；所述UNonce由所述UE生成。
根据权利要求11所述的方法，其特征在于，所述方法还包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE通过所述源TNAP向所述TNGF发送通知响应消息；其中，所述通知响应消息中包括第四验证参数和所述UNonce；所述第四验证参数根据所述中间密钥和所述UNonce生成。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UE通过所述源TNAP接收来自所述TNGF的通知请求消息；其中，所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的标识和第二验证参数；所述第二验证参数由所述TNGF根据所述TNGF密钥、所述TNonce和所述TNGF的标识生成；

所述UE根据所述TNGF密钥、所述TNonce和所述TNGF的标识生成第三验证参数；

所述UE获取UE认证标识，包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE根据TNGF密钥、至少所述TNonce和所述UE的随机数UNonce生成所述UE认证标识；所述UNonce由所述UE生成。
根据权利要求13所述的方法，其特征在于，所述方法还包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE通过所述源TNAP向所述TNGF发送通知响应消息；其中，所述通知响应消息中包括第四验证参数和所述UNonce；所述第四验证参数根据所述TNGF密钥和所述UNonce生成。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UE通过所述源TNAP接收来自所述TNGF的通知请求消息；其中，所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的标识和第二验证参数；其中，所述第二验证参数由所述TNGF根据中间密钥、所述TNonce和所述TNGF的标识生成；所述中间密钥由所述TNGF根据所述TNGF密钥生成；

所述UE根据所述TNGF密钥生成所述中间密钥；

所述UE根据所述中间密钥、所述TNonce和所述TNGF的标识生成第三验证参数；

所述UE获取UE认证标识，包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE根据所述中间密钥、至少TNonce和所述UE的随机数UNonce生成所述UE认证标识；所述UNonce由所述UE生成。
根据权利要求15所述的方法，其特征在于，所述方法还包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE通过所述源TNAP向所述TNGF 发送通知响应消息；其中，所述通知响应消息中包括第四验证参数和所述UNonce；所述第四验证参数根据所述中间密钥和所述UNonce生成。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UE通过所述源TNAP接收来自所述TNGF的通知请求消息；其中，所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的地址、所述TNGF的标识和第二验证参数；所述第二验证参数由所述TNGF根据所述TNGF密钥、所述TNonce、所述TNGF的地址和所述TNGF的标识生成；

所述UE根据所述TNGF密钥、所述TNonce、所述TNGF的地址和所述TNGF的标识生成第三验证参数；

所述UE获取UE认证标识，包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE根据所述TNGF密钥、至少所述TNonce和所述UE的随机数UNonce生成所述UE认证标识；所述UNonce由所述UE生成。
根据权利要求17所述的方法，其特征在于，所述方法还包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE通过所述源TNAP向所述TNGF发送通知响应消息；其中，所述通知响应消息中包括第四验证参数和所述UNonce；所述第四验证参数根据所述TNGF密钥和所述UNonce生成。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UE通过所述源TNAP接收来自所述TNGF的通知请求消息；所述通知请求消息包括TNonce、所述TNGF的地址、所述TNGF的标识和第二验证参数；其中，所述第二验证参数由所述TNGF根据中间密钥、所述TNonce、所述TNGF的地址和所述TNGF的标识生成；所述中间密钥由所述TNGF根据所述TNGF密钥生成；

所述UE根据所述TNGF密钥生成所述中间密钥；

所述UE根据所述中间密钥、所述TNonce、所述TNGF的地址和所述TNGF的标识生成第三验证参数；

所述UE获取UE认证标识，包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE根据所述中间密钥、至少所述TNonce和所述UE的随机数UNonce生成所述UE认证标识；所述UNonce由所述UE生成。
根据权利要求19所述的方法，其特征在于，所述方法还包括：

在所述第二验证参数与所述第三验证参数匹配的情况下，所述UE通过所述源TNAP向所述TNGF发送通知响应消息；其中，所述通知响应消息中包括第四验证参数和所述UNonce；所述第四验证参数根据所述中间密钥和所述UNonce生成。
根据权利要求5-20中任一项所述的方法，其特征在于，在所述UE获取UE认证标识之前，所述方法还包括：

所述UE生成UNonce。
根据权利要求1-21中任一项所述的方法，其特征在于，在所述UE通过所述目标TNAP向所述TNGF发送第一消息之前，所述方法还包括：

所述UE根据所述TNGF密钥和所述UE认证标识生成所述第一验证参数。
根据权利要求22所述的方法，其特征在于，所述UE根据所述TNGF密钥和所述UE认证标识生成所述第一验证参数，包括：

所述UE根据所述TNGF密钥、所述UE认证标识和预配置的函数计算第一消息验证码，得到所述第一验证参数。
根据权利要求22所述的方法，其特征在于，所述UE根据所述TNGF密钥和所述UE认证标识生成所述第一验证参数，包括：

所述UE根据所述TNGF密钥生成中间密钥；

所述UE根据所述中间密钥、所述UE认证标识和预配置的函数计算第一消息验证码，得到所述第一验证参数。
根据权利要求1-24中任一项所述的方法，其特征在于，所述TNGF密钥根据长期密钥生成。
一种通信方法，其特征在于，所述方法包括：

在用户装置UE通过源可信的非第三代合作伙伴计划接入点TNAP接入到可信的非第三代合作伙伴计划网关功能TNGF的流程中，所述UE获取UE认证标识，生成TNGF密钥，所述TNGF密钥是所述TNGF和UE之间共享的密钥；

在所述UE从所述源TNAP切换至目标TNAP的情况下，所述UE向所述目标TNAP发送所述UE认证标识和第一验证参数；

其中，所述第一验证参数是根据中间密钥生成的，所述中间密钥是根据所述TNGF密钥和第一类型识别码生成的。
根据权利要求26所述的方法，其特征在于，所述第一类型识别码为0x03。
一种通信方法，其特征在于，所述方法包括：

在用户装置UE通过源可信的非第三代合作伙伴计划3GPP接入点TNAP接入到可信的非第三代合作伙伴计划网关功能TNGF的流程中，TNGF获取UE认证标识，以及获取TNGF密钥；其中，TNGF密钥是TNGF和UE之间共享的密钥；

所述TNGF通过目标TNAP接收来自所述UE的第一消息；其中，所述第一消息包括所述UE认证标识和第一验证参数；所述第一验证参数由所述TNGF根据所述UE认证标识和所述TNGF密钥生成；

在所述第一验证参数校验成功的情况下，所述TNGF根据所述TNGF密钥生成目标密钥；其中，所述目标密钥用于保护所述UE与所述目标TNAP之间的通信安全。
根据权利要求28所述的方法，其特征在于，所述TNGF获取UE认证标识，包括：

所述TNGF生成所述UE认证标识。
根据权利要求28所述的方法，其特征在于，所述方法还包括：

所述TNGF通过所述源TNAP向所述UE发送通知请求消息；所述通知请求消息包括所述TNGF的随机数TNonce和第二验证参数；其中，所述第二验证参数由所述TNGF根据所述TNGF密钥和所述TNonce生成；

所述TNGF通过所述源TNAP接收来自所述UE的通知响应消息；所述通知响应消息包括第四验证参数和所述UE的随机数UNonce；其中，所述第四验证参数由所述UE根据所述TNGF密钥和所述UNonce生成；

所述TNGF根据所述TNGF密钥和所述UNonce生成第五验证参数；

所述TNGF获取UE认证标识，包括：

在所述四验证参数与所述第五验证参数匹配的情况下，所述TNGF根据所述TNGF密钥、所述TNonce和所述UNonce生成所述UE认证标识。
根据权利要求28所述的方法，其特征在于，所述方法还包括：

所述TNGF根据所述TNGF密钥生成中间密钥；

所述TNGF通过所述源TNAP向所述UE发送通知请求消息；所述通知请求消息包括所述TNGF的随机数TNonce和第二验证参数；其中，所述第二验证参数由所述TNGF根据所述中间密钥和所述TNonce生成；

所述TNGF通过所述源TNAP接收来自所述UE的通知响应消息；所述通知响应消息包括第四验证参数和所述UE的随机数UNonce；其中，所述第四验证参数由所述UE根据所述中间密钥和所述UNonce生成；

所述TNGF根据所述中间密钥和所述UNonce生成第五验证参数；

所述TNGF获取UE认证标识，包括：

在所述四验证参数与所述第五验证参数匹配的情况下，所述TNGF根据所述中间密钥、所述TNonce和所述UNonce生成所述UE认证标识。
根据权利要求28所述的方法，其特征在于，所述方法还包括：

所述TNGF通过所述源TNAP向所述UE发送通知请求消息；所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的地址和第二验证参数；其中，所述第二验证参数由所述TNGF根据所述TNGF密钥、所述TNonce和所述TNGF的地址生成；

所述TNGF通过所述源TNAP接收来自所述UE的通知响应消息；所述通知响应消息包括第四验证参数和所述UE的随机数UNonce；其中，所述第四验证参数由所述UE根据所述TNGF密钥和所述 UNonce生成；

所述TNGF根据所述TNGF密钥和所述UNonce生成第五验证参数；

所述TNGF获取UE认证标识，包括：

在所述四验证参数与所述第五验证参数匹配的情况下，所述TNGF根据所述TNGF密钥、至少所述TNonce和所述UNonce生成所述UE认证标识。
根据权利要求28所述的方法，其特征在于，所述方法还包括：

所述TNGF根据所述TNGF密钥生成中间密钥；

所述TNGF通过所述源TNAP向所述UE发送通知请求消息；所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的地址和第二验证参数；其中，所述第二验证参数由所述TNGF根据所述中间密钥、所述TNonce和所述TNGF的地址生成；

所述TNGF通过所述源TNAP接收来自所述UE的通知响应消息；所述通知响应消息包括第四验证参数和所述UE的随机数UNonce；其中，所述第四验证参数由所述UE根据所述中间密钥和所述UNonce生成；

所述TNGF根据所述中间密钥和所述UNonce生成第五验证参数；

所述TNGF获取UE认证标识，包括：

在所述四验证参数与所述第五验证参数匹配的情况下，所述TNGF根据所述中间密钥、至少所述TNonce和所述UNonce生成所述UE认证标识。
根据权利要求28所述的方法，其特征在于，所述方法还包括：

所述TNGF通过所述源TNAP向所述UE发送通知请求消息；所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的标识和第二验证参数；其中，所述第二验证参数由所述TNGF根据所述TNGF密钥、所述TNonce和所述TNGF的标识生成；

所述TNGF通过所述源TNAP接收来自所述UE的通知响应消息；所述通知响应消息包括第四验证参数和所述UE的随机数UNonce；其中，所述第四验证参数由所述UE根据所述TNGF密钥和所述UNonce生成；

所述TNGF根据所述TNGF密钥和所述UNonce生成第五验证参数；

所述TNGF获取UE认证标识，包括：

在所述四验证参数与所述第五验证参数匹配的情况下，所述TNGF根据所述TNGF密钥、至少所述TNonce和所述UNonce生成所述UE认证标识。
根据权利要求28所述的方法，其特征在于，所述方法还包括：

所述TNGF根据所述TNGF密钥生成中间密钥；

所述TNGF通过所述源TNAP向所述UE发送通知请求消息；所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的标识和第二验证参数；其中，所述第二验证参数由所述TNGF根据所述中间密钥、所述TNonce和所述TNGF的标识生成；

所述TNGF通过所述源TNAP接收来自所述UE的通知响应消息；所述通知响应消息包括第四验证参数和所述UE的随机数UNonce；其中，所述第四验证参数由所述UE根据所述中间密钥和所述UNonce生成；

所述TNGF根据所述中间密钥和所述UNonce生成第五验证参数；

所述TNGF获取UE认证标识，包括：

在所述四验证参数与所述第五验证参数匹配的情况下，所述TNGF根据所述中间密钥、至少所述TNonce和所述UNonce生成所述UE认证标识。
根据权利要求28所述的方法，其特征在于，所述方法还包括：

所述TNGF通过所述源TNAP向所述UE发送通知请求消息；所述通知请求消息包括所述TNGF的随机数TNonce、所述TNGF的地址、所述TNGF的标识和第二验证参数；其中，所述第二验证参数由所述TNGF根据所述TNGF密钥、所述TNonce、所述TNGF的地址和所述TNGF的标识生成；

所述TNGF通过所述源TNAP接收来自所述UE的通知响应消息；所述通知响应消息包括第四验证参数和所述UE的随机数UNonce；其中，所述第四验证参数由所述UE根据所述TNGF密钥和所述UNonce生成；

所述TNGF根据所述TNGF密钥和所述UNonce生成第五验证参数；

所述TNGF获取UE认证标识，包括：

在所述四验证参数与所述第五验证参数匹配的情况下，所述TNGF根据所述TNGF密钥、至少所述TNonce和所述UNonce生成所述UE认证标识。
根据权利要求28所述的方法，其特征在于，所述方法还包括：

所述TNGF根据所述TNGF密钥生成中间密钥；

所述TNGF通过所述源TNAP向所述UE发送通知请求消息；所述通知请求消息包括TNGF的随机数TNonce、所述TNGF的地址、所述TNGF的标识和第二验证参数；其中，所述第二验证参数由所述TNGF根据所述中间密钥、所述TNonce、所述TNGF的地址和所述TNGF的标识生成；

所述TNGF通过所述源TNAP接收来自所述UE的通知响应消息；所述通知响应消息包括第四验证参数和所述UE的随机数UNonce；其中，所述第四验证参数由所述UE根据所述中间密钥和所述UNonce生成；

所述TNGF根据所述中间密钥和所述UNonce生成第五验证参数；

所述TNGF获取UE认证标识，包括：

在所述四验证参数与所述第五验证参数匹配的情况下，所述TNGF根据所述中间密钥、至少所述TNonce和所述UNonce生成所述UE认证标识。
根据权利要求28-37中任一项所述的方法，其特征在于，在所述TNGF根据所述TNGF密钥生成目标密钥之前，所述方法还包括：

所述TNGF根据所述UE认证标识和所述TNGF密钥生成第六验证参数；

所述TNGF根据所述TNGF密钥生成目标密钥，包括：

在所述第一验证参数与所述第六验证参数匹配的情况下，所述TNGF根据所述TNGF密钥生成所述目标密钥。
根据权利要求28-38中任一项所述的方法，其特征在于，所述TNGF密钥根据长期密钥生成。
一种通信装置，其特征在于，所述通信装置用于执行如权利要求1-27中任一项所述的通信方法。
一种通信装置，其特征在于，所述通信装置用于执行如权利要求28-39中任一项所述的通信方法。
一种通信装置，其特征在于，所述通信装置包括：处理器；其中，

所述处理器，用于执行如权利要求1-39中任一项所述的通信方法。
一种通信装置，其特征在于，包括：处理器和存储器；所述存储器用于存储计算机指令，当所述处理器执行该指令时，以使所述通信装置执行如权利要求1-39中任一项所述的通信方法。
一种通信装置，其特征在于，所述通信装置包括处理器和收发器，所述收发器用于所述通信装置和其他通信装置之间进行信息交互，所述处理器执行程序指令，用以执行如权利要求1-39中任一项所述的通信方法。
一种处理器，其特征在于，包括：所述处理器用于执行如权利要求1-39中任一项所述的通信方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-39中任一项所述的通信方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括：计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-39中任一项所述的通信方法。