切片服务验证方法及其装置与流程

本技术涉及通信领域，尤其涉及一种切片服务验证方法及其装置。

背景技术：

1、网络切片是一种按需组网的方式，可以让运营商在统一的基础设施上分离出多个虚拟的端到端网络。每个网络切片从无线接入网到承载网，再到核心网上进行逻辑隔离，以适配各类型的应用。

2、终端设备接入服务网络，并可以使用服务网络提供的网络切片的切片服务。而针对移动网络中的漫游场景，即该终端设备漫游至拜访网络时，可以接入拜访网络，进一步也可以使用拜访网络提供的网络切片的切片服务；如果终端设备使用了该拜访网络提供的切片服务，拜访网络可以向终端设备的归属网络索取提供该切片服务的服务费用。

3、但是，归属网络并无法确定该拜访网络是否为该终端提供了切片服务。因此，该拜访网络可以向归属网络谎报：该拜访网络为该终端设备提供了该切片服务；或者，该拜访网络可以向归属网络谎报：该拜访网络为该终端设备提供了具有更高性能的网络切片的切片服务，进而向归属网络索取更高的服务费用，导致网络安全性较差。

技术实现思路

1、本技术实施例提供了一种切片服务验证方法和装置，用于提升网络安全性。

2、本技术实施例第一方面提供一种切片服务验证方法，该方法包括：

3、切片服务验证功能实体接收终端设备发送的第一消息，该第一消息携带第一网络切片的标识和第一消息认证码，该第一消息认证码是根据该第一网络标识计算生成的；然后，该切片服务验证功能实体根据第二网络标识对第一消息认证码进行验证，当验证通过时，该切片服务验证功能实体向认证服务器发送该第二网络标识。

4、本实施例中，切片服务验证功能实体根据第二网络标识对终端设备发送的第一消息认证码进行验证，当验证通过时，切片服务验证功能实体可以确定是由该第二网络标识所对应的网络为该终端设备提供的第一网络切片的切片服务。因此，通过上述方案可以避免或防止由于终端设备当前所接入的拜访网络欺骗终端设备的归属网络的行为，提升网络安全性。例如，通过本技术实施例的切片服务验证方法可以增强归属网络对终端设备的接入和终端设备使用网络切片的控制，避免出现拜访网络在网络切片的切片认证过程中和/或网络切片的使用过程中欺骗归属网络的行为。

5、一种可能的实现方式中，该切片服务验证功能实体根据第二网络标识对该第一消息认证码进行验证包括：该切片服务验证功能实体获取第二完整性保护密钥knssaaf；然后，切片服务验证功能实体根据该第二完整性保护密钥knssaaf和该第二网络标识生成第二消息认证码，并将该第一消息认证码与该第二消息认证码进行匹配以获取验证结果。

6、在该实现方式中，由于第一消息认证码是对第一网络标识进行完整性保护之后得到的，切片服务验证功能实体利用第二完整性保护密钥knssaaf和第二网络标识生成第二消息认证码，并比对接收到的第一消息认证码和第二消息认证码以实现对第一消息认证码的验证，提供了一种具体的验证方式。

7、另一种可能的实现方式中，该切片服务验证功能实体根据该第二完整性保护密钥knssaaf和该第二网络标识生成第二消息认证码包括：该切片服务验证功能实体根据该第二完整性保护密钥knssaaf、该第一网络切片的标识和该第二网络标识获得该第二消息认证码。

8、在该实现方式中，在第一消息认证码的生成过程中，终端设备还进一步地将第一网络切片的标识作为生成第一消息认证码的参数，这样切片服务验证功能实体在生成第一消息认证码时，需将接收到的第一网络切片的标识作为生成第一消息认证码的参数，这样有益于针对该第二网络标识所对应的网络是否为该终端设备提供该第一网络切片的切片服务，对该第一消息认证码进行验证。

9、另一种可能的实现方式中，该切片服务验证功能实体为网络切片认证与授权功能(network slice-specific authentication and authorization function，nssaaf)实体；该切片服务验证功能实体获取第二完整性保护密钥knssaaf包括：切片服务验证功能实体接收认证服务器功能(authentication server function，ausf)实体发送的该第二完整性保护密钥knssaaf，该第二完整性保护密钥knssaaf为该ausf实体根据第一中间密钥kausf生成的。

10、在该实现方式中，在终端设备的一级认证之后，终端设备和ausf实体分别生成该第一中间密钥kausf，而该第二完整性保护密钥knssaaf是ausf实体从该第一中间密钥kausf推演得到的，这样只有拥有第二完整性保护密钥knssaaf才能对该第一消息验证进行验证。在漫游场景下，该终端设备的归属网络中的相关网元实体才拥有该第二完整性保护密钥knssaaf，也就是说拜访网络无法验证且不可篡改的第一消息认证码，从而实现避免出现拜访网络在网络切片的切片认证过程中和/或网络切片的使用过程中欺骗归属网络的行为。

11、另一种可能的实现方式中，该切片服务验证功能实体根据第二网络标识对该第一消息认证码进行验证包括：该切片服务验证功能实体根据第一中间密钥kausf和该第二网络标识生成第二消息认证码；然后，切片服务验证功能实体将该第一消息认证码和该第二消息认证码进行匹配以获取验证结果。

12、在该实现方式中，在终端设备的一级认证之后，终端设备和ausf实体分别生成该第一中间密钥kausf，这样只有拥有第一中间密钥kausf才能对该第一消息验证进行验证。在漫游场景下，该终端设备的归属网络中的相关网元实体才拥有该第一中间密钥kausf，也就是说拜访网络无法验证且不可篡改的第一消息认证码，从而实现避免出现拜访网络在网络切片的切片认证过程中和/或网络切片的使用过程中欺骗归属网络的行为。

13、另一种可能的实现方式中，该第一消息还包括第一标识信息，该第二网络标识为该切片服务验证功能实体根据该第一标识信息确定的；其中，该第一标识信息包括第一网络的标识或该第一网络中的功能实体的标识，该第一网络为该终端设备当前所接入的网络。

14、在该实现方式中，提供了第一消息携带第一网络的标识信息的多种形式。

15、另一种可能的实现方式中，该第一网络的标识包括：

16、该第一网络的标识(serving network identity，sn-id)，或者该第一网络所对应的公共陆地移动网络(public land mobile network，plmn)标识，或者该第一网络的名称(serving network name，snn)，或者该第一网络的网络识别符(network identifier，nid)；

17、该第一网络中的功能实体的标识包括：

18、接入与移动性管理功能(access and mobility management function，amf)实体的标识，或者该amf实体的名称，或者该amf实体的全球唯一标识符，该amf实体为该第一网络中为该第一终端设备发起该第一网络切片的切片认证的功能实体。

19、在该实现方式中，提供了表征第一网络的多种形式的标识和用于表征第一网络中的功能实体的多种形式的标识。

20、本技术实施例第二方面提供一种切片服务验证方法，该方法包括：

21、终端设备根据第一网络标识生成第一消息认证码；然后，该终端设备向切片服务验证功能实体发送第一消息，该第一消息携带第一网络切片的标识和第一消息认证码。

22、本实施例中，终端设备根据第一网络标识生成第一消息认证码，并携带在第一消息中发送给切片服务验证功能实体，以便于切片服务验证功能实体对该第一消息认证码进行验证，从而可以避免或防止由于终端设备当前所接入的拜访网络欺骗终端设备的归属网络的行为，提升网络安全性。

23、一种可能的实现方式中，该终端设备根据该第一网络标识生成第一消息认证码之前，该方法还包括：该终端设备根据第一加解密密钥(cypher key，ck)以及第一完整性保护密钥(integrity key，ik)生成第一中间密钥kausf；然后，该终端设备根据该第一中间密钥kausf生成第二完整性保护密钥knssaaf；该终端设备根据第一网络标识生成第一消息认证码包括：

24、该终端设备根据该第一网络标识和该第二完整性保护密钥knssaaf生成第一消息认证码。

25、在该可能的实现方式中，提供了该终端设备生成第二完整性保护密钥knssaaf的生成方式，利用终端设备的一级认证之后生成的第一加解密密钥ck以及第一完整性保护密钥ik来生成该第二完整性保护密钥knssaaf。

26、另一种可能的实现方式中，该终端设备根据第一网络标识生成第一消息认证码之前，该方法还包括：该终端设备根据第一加解密密钥ck以及第一完整性保护密钥ik生成第二加解密密钥ck’和第三完整性保护密钥ik’；该终端设备根据该二加解密密钥ck’和该第三完整性保护密钥ik’生成第一中间密钥kausf；该终端设备根据该第一中间密钥kausf生成第二完整性保护密钥knssaaf；该终端设备根据第一网络标识生成第一消息认证码包括：该终端设备根据该第一网络标识和该第二完整性保护密钥knssaaf生成第一消息认证码。

27、在该可能的实现方式中，提供了该终端设备生成第二完整性保护密钥knssaaf的另一种生成方式。

28、另一种可能的实现方式中，该终端设备根据第一网络标识生成第一消息认证码之前，该方法还包括：该终端设备根据第一加解密密钥ck以及第一完整性保护密钥ik生成第一中间密钥kausf；该终端设备根据第一网络标识生成第一消息认证码包括：该终端设备根据该第一网络标识和该第一中间密钥kausf生成第一消息认证码。

29、在该可能的实现方式中，在终端设备的一级认证之后，终端设备和ausf实体分别生成该第一中间密钥kausf，终端设备通过该第一中间密钥kausf生成第一消息认证码。在漫游场景下，该终端设备的归属网络中的相关网元实体才拥有该第一中间密钥kausf，也就是说拜访网络无法验证且不可篡改的第一消息认证码，从而实现避免出现拜访网络在网络切片的切片认证过程中和/或网络切片的使用过程中欺骗归属网络的行为。

30、另一种可能的实现方式中，该终端设备根据该第一网络标识和该第二完整性保护密钥knssaaf生成第一消息认证码包括：该终端设备根据该第二完整性保护密钥knssaaf、该第一网络切片的标识和该第一网络标识生成该第一消息认证码。

31、在该可能的实现方式中，终端设备在生成第一消息认证码，还可以进一步地结合该第一网络切片的标识生成该第一消息认证码，从而便于切片服务验证功能实体通过该第一消息认证码以实现验证该第一网络标识所对应的第一网络是否有为该终端设备提供该第一网络切片的切片服务。

32、另一种可能的实现方式中，该第一消息还包括第一标识信息，该第一网络标识与该第一标识信息对应；其中，该第一标识信息为第一网络的标识或该第一网络中的功能实体的标识，该第一网络为该终端设备当前所接入的网络。在该可能的实现方式中，提供了第一标识信息携带的标识信息。

33、另一种可能的实现方式中，该第一网络的标识包括：

34、该第一网络的标识sn-id，或者该第一网络所对应的plmn标识，或者该第一网络的名称snn，或者该第一网络的网络识别符nid；

35、该第一网络中的功能实体的标识包括：

36、amf实体的标识，或者该amf实体的名称，或者该amf实体的全球唯一标识符，该amf实体为该第一网络中为该第一终端设备发起该第一网络切片的切片认证的功能实体。

37、在该实现方式中，提供了表征第一网络的多种形式的标识和用于表征第一网络中的功能实体的多种形式的标识。

38、本技术实施例第三方面提供一种切片服务验证方法，该方法包括：

39、认证服务器接收终端设备发送的第二消息，该第二消息携带第一网络切片的标识和第一消息认证码，该第一消息认证码是根据该第二网络标识计算生成的；然后，该认证服务器根据第二网络标识对该第一消息认证码进行验证，当验证通过时，认证服务器确定是由该第二网络标识所对应的网络为该终端设备提供第一网络切片的切片服务。

40、在该可能的实现方式中，通过上述方案可以避免或防止由于终端设备当前所接入的拜访网络欺骗终端设备的归属网络的行为，提升网络安全性。例如，通过本技术实施例的切片服务验证方法可以增强归属网络对终端设备的接入和终端设备使用网络切片的控制，避免出现拜访网络在网络切片的切片认证过程中和/或网络切片的使用过程中欺骗归属网络的行为。

41、一种可能的实现方式中，该认证服务器根据第二网络标识对该第一消息认证码进行验证包括：该认证服务器根据第一信任状和第二网络标识对第一消息认证码进行验证，该第一信任状用于该终端设备和该认证服务器之间的针对第一网络切片的切片认证。

42、在该可能的实现方式中，提供了一种具体的认证服务器验证第一消息认证码的验证方式。由于终端设备侧通过该第一信任状生成该第一消息认证码，以提高第一消息认证码的安全性，避免在传输过程中被篡改；相应的，认证服务器根据第一信任状和第一消息认证码进行验证。

43、另一种可能的实现方式中，第一信任状为该终端设备的公钥和该终端设备的私钥；该认证服务器根据第一信任状和第二网络标识对第一消息认证码进行验证具体包括：该认证服务器根据该终端设备的公钥对该第一消息认证码进行解密，得到第一摘要；然后，认证服务器根据该第二网络标识按照第一预设密钥生成函数生成第二摘要，并将该第一摘要和该第二摘要进行匹配以获取验证结果。

44、在该可能的实现方式中，第一信任状为终端设备的公钥私钥对。相应的，认证服务器通过该终端设备的公钥私钥对对该第一消息认证码进行验证。

45、另一种可能的实现方式中，该第一信任状为第一口令；该认证服务根据第一信任状和第二网络标识对第一消息认证码进行验证具体包括：认证服务器根据该第一口令和第二网络标识生成第二消息认证码，并将该第一消息认证码和第二消息认证码进行匹配以获取验证结果。

46、在该可能的实现方式中，该第一信任状为第一口令。相应的，认证服务器通过该第一口令对第一消息认证码进行验证。

47、另一种可能的实现方式中，认证服务器根据第二网络标识对该第一消息认证码进行验证包括：根据第一密钥kemsk和第二网络标识生成第二消息认证码，并将该第一消息认证码和第二消息认证码进行匹配以获取验证结果。该第一密钥kemsk为针对该终端设备的第一网络切片的可扩展的身份验证协议(extensible authentication protocol，eap)认证流程中生成的密钥。

48、在该可能的实现方式中，提供了另一种认证服务器验证第一消息认证码方式，通过第一网络切片的eap认证流程中生成的密钥进行验证。

49、另一种可能的实现方式中，该第二消息还携带第一标识信息，该第二网络标识为该认证服务器根据该第一标识信息确定的；其中，该第一标识信息包括第一网络的标识或该第一网络中的功能实体的标识，该第一网络为该终端设备当前所接入的网络。

50、在该实现方式中，提供了第一消息携带第一网络的标识信息的多种形式。

51、另一种可能的实现方式中，该第一网络的标识包括：

52、该第一网络的标识sn-id，或者该第一网络所对应的公共陆地移动网络plmn标识，或者该第一网络的名称snn，或者该第一网络的网络识别符nid；

53、该第一网络中的功能实体的标识包括：

54、amf实体的标识，或者该amf实体的名称，或者该amf实体的全球唯一标识符，该amf实体为该第一网络中为该第一终端设备发起该第一网络切片的切片认证的功能实体。

55、在该实现方式中，提供了表征第一网络的多种形式的标识和用于表征第一网络中的功能实体的多种形式的标识。

56、本技术实施例第四方面提供一种切片服务验证方法，该方法包括：

57、终端设备根据第一网络标识生成第一消息认证码；然后，该终端设备向认证服务器发送第二消息，该第二消息携带第一网络切片的标识和第一消息认证码。

58、本实施例中，终端设备根据第一网络标识生成第一消息认证码，并携带在第二消息中发送给认证服务器，以便于认证服务器对该第一消息认证码进行验证，从而可以避免或防止由于终端设备当前所接入的拜访网络欺骗终端设备的归属网络的行为，提升网络安全性。

59、一种可能的实现方式中，终端设备根据第一网络标识生成第一消息认证码包括：终端设备根据第一信任状和第一网络标识生成第一消息认证码，该第一信任状用于该终端设备和该认证服务器之间的针对第一网络切片的切片认证。

60、在该可能的实现方式中，终端设备采用用于该终端设备和该认证服务器之间的针对第一网络切片的切片认证的第一信任状生成该第一消息认证码，以实现对第一消息认证码的完整性保护，避免在传输过程中被篡改。

61、另一种可能的实现方式中，第一信任状为该终端设备的公钥和该终端设备的私钥；终端设备根据第一信任状和第一网络标识生成第一消息认证码包括：终端设备根据该第一网络标识按照第一预设密钥生成函数生成第一摘要；然后，终端设备根据该终端设备的私钥对该第一摘要进行加密，得到第一消息认证码。

62、在该可能的实现方式中，终端设备采用终端设备的私钥生成该第一消息认证码，以实现对第一消息认证码的完整性保护，避免在传输过程中被篡改。

63、另一种可能的实现方式中，该第一信任状为第一口令；终端设备根据第一信任状和第一网络标识生成第一消息认证码包括：终端设备根据该第一口令和第一网络标识生成第二消息认证码。

64、在该可能的实现方式中，终端设备采用eap认证流程中采用的第一口令生成第一消息认证码，以实现对第一消息认证码的完整性保护，避免在传输过程中被篡改。

65、另一种可能的实现方式中，终端设备根据该第一网络标识生成第一消息认证码包括：终端设备根据第一密钥kemsk和第一网络标识生成第一消息认证码，该第一密钥kemsk为针对该终端设备的第一网络切片的eap认证流程中生成的密钥。

66、在该可能的实现方式中，终端设备采用该终端设备的第一网络切片的eap认证流程中生成的密钥生成第一消息认证码，以实现对第一消息认证码的完整性保护，避免在传输过程中被篡改。

67、另一种可能的实现方式中，该第二消息还携带第一标识信息，该第一标识信息与第一网络标识对应；该第一标识信息包括第一网络的标识或该第一网络中的功能实体的标识，该第一网络为该终端设备当前所接入的网络。在该实现方式中，提供了第一消息携带第一网络的标识信息的多种形式。

68、另一种可能的实现方式中，该第一网络的标识包括：

69、该第一网络的标识sn-id，或者该第一网络所对应的plmn标识，或者该第一网络的名称snn，或者该第一网络的网络识别符nid；

70、该第一网络中的功能实体的标识包括：

71、amf实体的标识，或者该amf实体的名称，或者该amf实体的全球唯一标识符，该amf实体为该第一网络中为该第一终端设备发起该第一网络切片的切片认证的功能实体。

72、在该实现方式中，提供了表征第一网络的多种形式的标识和用于表征第一网络中的功能实体的多种形式的标识。

73、本技术实施例第五方面提供一种切片服务验证方法，该方法包括：

74、amf实体根据第一网络切片的标识更新第二密钥kamf，得到更新后的第二密钥kamf，该第一网络切片为终端设备的已切片认证成功的网络切片，该更新后的第二密钥kamf用于终端设备与第一网络进行传输(包括切片数据传输或信令传输)，第一网络为终端设备当前所接入的网络。

75、本实施例中，在漫游场景中，终端设备的归属网络可以通过该更新后的第一密钥kamf确定是由第一网络为该终端设备提供该第一网络切片的切片服务，该第一网络切片的切片服务包括切片数据传输或信令传输。因此，通过上述方案可以避免或防止由于终端设备当前所接入的拜访网络欺骗终端设备的归属网络的行为，提升网络安全性。

76、一种可能的实现方式中，该方法还包括：该amf实体向终端设备发送第二指示信息，该第二指示信息根据指示针对第一网络切片更新第二密钥kamf。在该可能的实现方式，amf实体通过第二指示信息指示该终端设备更新该第二密钥kamf。

77、另一种可能的实现方式中，amf实体根据第一网络切片的标识更新第二密钥kamf包括：amf实体根据该第一网络切片的标识和第三密钥更新该第二密钥kamf，该第三密钥为终端设备的第一网络切片的eap认证流程中所生成的密钥，或终端设备的第一网络切片的eap认证流程中所使用的信任状。

78、另一种可能的实现方式中，该方法还包括：amf实体接收终端设备发送的完成通知消息，该完成通知消息用于通知该amf实体：该终端设备更新第二密钥kamf完成。

79、本技术实施例第六方面提供一种切片服务验证方法，该方法包括：

80、终端设备接收amf实体发送的第二指示信息；然后，终端设备根据该第二指示信息更新该第二密钥kamf，该更新后的第二密钥kamf用于终端设备与第一网络进行传输(包括切片数据传输或信令传输)，第一网络为终端设备当前所接入的网络。

81、一种可能的实现方式中，该终端设备根据该第二指示信息更新该第二密钥kamf包括：终端设备根据该第二指示信息确定针对第一网络切片更新第二密钥kamf；然后，终端设备根据该第一网络切片的标识更新该第二密钥kamf。

82、另一种可能的实现方式中，该终端设备根据该第一网络切片的标识更新该第二密钥kamf包括：终端设备根据该第一网络切片的标识和第三密钥更新该第二密钥kamf，该第三密钥为终端设备的第一网络切片的eap认证流程中所生成的密钥，或终端设备的第一网络切片的eap认证流程中所使用的信任状。

83、另一种可能的实现方式中，该方法还包括：终端设备向amf实体发送完成通知消息，该完成通知消息用于通知该amf实体：该终端设备更新第二密钥kamf完成。

84、本技术实施例第七方面提供一种切片服务验证功能实体，该切片服务验证功能实体包括：

85、收发模块，用于接收终端设备发送的第一消息，该第一消息携带第一网络切片的标识和第一消息认证码，该第一消息认证码是根据该第一网络标识计算生成的；

86、处理模块，用于根据第二网络标识对第一消息认证码进行验证；

87、该收发模块，用于当验证通过时，该切片服务验证功能实体向认证服务器发送该第二网络标识。

88、一种可能的实现方式中，该处理模块具体用于：

89、获取第二完整性保护密钥knssaaf；

90、根据该第二完整性保护密钥knssaaf和该第二网络标识生成第二消息认证码；

91、将该第一消息认证码与该第二消息认证码进行匹配以获取验证结果。

92、另一种可能的实现方式中，该处理模块具体用于：

93、根据该第二完整性保护密钥knssaaf、该第一网络切片的标识和该第二网络标识获得该第二消息认证码。

94、另一种可能的实现方式中，该切片服务验证功能实体为nssaaf实体；该处理模块具体用于：

95、接收ausf实体发送的该第二完整性保护密钥knssaaf，该第二完整性保护密钥knssaaf为该ausf实体根据第一中间密钥kausf生成的。

96、另一种可能的实现方式中，该处理模块具体用于：

97、根据第一中间密钥kausf和该第二网络标识生成第二消息认证码；

98、将该第一消息认证码和该第二消息认证码进行匹配以获取验证结果。

99、另一种可能的实现方式中，该第一消息还包括第一标识信息，该第二网络标识为该切片服务验证功能实体根据该第一标识信息确定的；其中，该第一标识信息包括第一网络的标识或该第一网络中的功能实体的标识，该第一网络为该终端设备当前所接入的网络。

100、另一种可能的实现方式中，该第一网络的标识包括：

101、该第一网络的标识sn-id，或者该第一网络所对应的plmn标识，或者该第一网络的名称snn，或者该第一网络的网络识别符nid；

102、该第一网络中的功能实体的标识包括：

103、amf实体的标识，或者该amf实体的名称，或者该amf实体的全球唯一标识符，该amf实体为该第一网络中为该第一终端设备发起该第一网络切片的切片认证的功能实体。

104、本技术实施例第八方面提供一种终端设备，该方法包括：

105、处理模块，用于根据第一网络标识生成第一消息认证码；

106、收发模块，用于向切片服务验证功能实体发送第一消息，该第一消息携带第一网络切片的标识和第一消息认证码。

107、一种可能的实现方式中，该处理模块还用于：

108、根据第一加解密密钥ck以及第一完整性保护密钥ik生成第一中间密钥kausf；

109、根据该第一中间密钥kausf生成第二完整性保护密钥knssaaf；

110、该处理模块具体用于：

111、根据该第一网络标识和该第二完整性保护密钥knssaaf生成第一消息认证码。

112、另一种可能的实现方式中，该处理模块还用于：

113、根据第一加解密密钥ck以及第一完整性保护密钥ik生成第二加解密密钥ck’和第三完整性保护密钥ik’；

114、根据该二加解密密钥ck’和该第三完整性保护密钥ik’生成第一中间密钥kausf；

115、根据该第一中间密钥kausf生成第二完整性保护密钥knssaaf；

116、该处理模块具体用于：

117、根据该第一网络标识和该第二完整性保护密钥knssaaf生成第一消息认证码。

118、另一种可能的实现方式中，该处理模块还用于：

119、根据第一加解密密钥ck以及第一完整性保护密钥ik生成第一中间密钥kausf；

120、该处理模块具体用于：

121、根据该第一网络标识和该第一中间密钥kausf生成第一消息认证码。

122、另一种可能的实现方式中，该处理模块具体用于：

123、根据该第二完整性保护密钥knssaaf、该第一网络切片的标识和该第一网络标识生成该第一消息认证码。

124、另一种可能的实现方式中，该第一消息还包括第一标识信息，该第一网络标识与该第一标识信息对应；其中，该第一标识信息为第一网络的标识或该第一网络中的功能实体的标识，该第一网络为该终端设备当前所接入的网络。

125、另一种可能的实现方式中，该第一网络的标识包括：

126、该第一网络的标识sn-id，或者该第一网络所对应的plmn标识，或者该第一网络的名称snn，或者该第一网络的网络识别符nid；

127、该第一网络中的功能实体的标识包括：

128、amf实体的标识，或者该amf实体的名称，或者该amf实体的全球唯一标识符，该amf实体为该第一网络中为该第一终端设备发起该第一网络切片的切片认证的功能实体。

129、本技术实施例第九方面提供一种认证服务器，该认证服务器包括：

130、收发模块，用于接收终端设备发送的第二消息，该第二消息携带第一网络切片的标识和第一消息认证码，该第一消息认证码是根据该第二网络标识计算生成的；

131、处理模块，用于根据第二网络标识对该第一消息认证码进行验证；

132、该收发模块，用于当验证通过时，确定是由该第二网络标识所对应的网络为该终端设备提供第一网络切片的切片服务。

133、一种可能的实现方式中，该处理模块具体用于：

134、根据第一信任状和第二网络标识对第一消息认证码进行验证，该第一信任状用于该终端设备和该认证服务器之间的针对第一网络切片的切片认证。

135、另一种可能的实现方式中，第一信任状为该终端设备的公钥和该终端设备的私钥；该处理模块具体用于：

136、根据该终端设备的公钥对该第一消息认证码进行解密，得到第一摘要；

137、根据该第二网络标识按照第一预设密钥生成函数生成第二摘要；

138、将该第一摘要和该第二摘要进行匹配以获取验证结果。

139、另一种可能的实现方式中，该第一信任状为第一口令；该处理模块具体用于：

140、根据该第一口令和第二网络标识生成第二消息认证码；

141、将该第一消息认证码和第二消息认证码进行匹配以获取验证结果。

142、另一种可能的实现方式中，该处理模块具体用于：

143、根据第一密钥kemsk和第二网络标识生成第二消息认证码；

144、将该第一消息认证码和第二消息认证码进行匹配以获取验证结果。

145、另一种可能的实现方式中，该第二消息还携带第一标识信息，该第二网络标识为该认证服务器根据该第一标识信息确定的；其中，该第一标识信息包括第一网络的标识或该第一网络中的功能实体的标识，该第一网络为该终端设备当前所接入的网络。

146、另一种可能的实现方式中，该第一网络的标识包括：

147、该第一网络的标识sn-id，或者该第一网络所对应的plmn标识，或者该第一网络的名称snn，或者该第一网络的网络识别符nid；

148、该第一网络中的功能实体的标识包括：

149、amf实体的标识，或者该amf实体的名称，或者该amf实体的全球唯一标识符，该amf实体为该第一网络中为该第一终端设备发起该第一网络切片的切片认证的功能实体。

150、本技术实施例第十方面提供一种终端设备，该终端设备包括：

151、处理模块，用于根据第一网络标识生成第一消息认证码；

152、收发模块，用于向认证服务器发送第二消息，该第二消息携带第一网络切片的标识和第一消息认证码。

153、一种可能的实现方式中，该处理模块具体用于：

154、根据第一信任状和第一网络标识生成第一消息认证码，该第一信任状用于该终端设备和该认证服务器之间的针对第一网络切片的切片认证。

155、另一种可能的实现方式中，第一信任状为该终端设备的公钥和该终端设备的私钥；该处理模块具体用于：

156、根据该第一网络标识按照第一预设密钥生成函数生成第一摘要；

157、根据该终端设备的私钥对该第一摘要进行加密，得到第一消息认证码。

158、另一种可能的实现方式中，该第一信任状为第一口令；该处理模块具体用于：

159、根据该第一口令和第一网络标识生成第二消息认证码。

160、另一种可能的实现方式中，该处理模块具体用于：

161、根据第一密钥kemsk和第一网络标识生成第一消息认证码，该第一密钥kemsk为针对该终端设备的第一网络切片的eap认证流程中生成的密钥。

162、另一种可能的实现方式中，该第二消息还携带第一标识信息，该第一标识信息与第一网络标识对应；该第一标识信息包括第一网络的标识或该第一网络中的功能实体的标识，该第一网络为该终端设备当前所接入的网络。

163、另一种可能的实现方式中，该第一网络的标识包括：

164、该第一网络的标识sn-id，或者该第一网络所对应的plmn标识，或者该第一网络的名称snn，或者该第一网络的网络识别符nid；

165、该第一网络中的功能实体的标识包括：

166、amf实体的标识，或者该amf实体的名称，或者该amf实体的全球唯一标识符，该amf实体为该第一网络中为该第一终端设备发起该第一网络切片的切片认证的功能实体。

167、本技术实施例第十一方面提供一种amf实体，该amf实体包括：

168、处理模块，用于根据第一网络切片的标识更新第二密钥kamf，得到更新后的第二密钥kamf，该第一网络切片为终端设备的已切片认证成功的网络切片，该更新后的第二密钥kamf用于终端设备与第一网络进行传输，第一网络为终端设备当前所接入的网络。

169、一种可能的实现方式中，该amf实体还包括收发模块；

170、该收发模块，用于向终端设备发送第二指示信息，该第二指示信息根据指示针对第一网络切片更新第二密钥kamf。

171、另一种可能的实现方式中，该处理模块具体用于：

172、根据该第一网络切片的标识和第三密钥更新该第二密钥kamf，该第三密钥为终端设备的第一网络切片的eap认证流程中所生成的密钥，或终端设备的第一网络切片的eap认证流程中所使用的信任状。

173、另一种可能的实现方式中，该收发模块还用于：

174、接收终端设备发送的完成通知消息，该完成通知消息用于通知该amf实体：该终端设备更新第二密钥kamf完成。

175、本技术实施例第十二方面提供一种终端设备，该终端设备包括：

176、收发模块，用于接收amf实体发送的第二指示信息；

177、处理模块，用于根据该第二指示信息更新该第二密钥kamf，该更新后的第二密钥kamf用于终端设备与第一网络进行传输，第一网络为终端设备当前所接入的网络。

178、一种可能的实现方式中，该处理模块具体用于：

179、根据该第二指示信息确定针对第一网络切片更新第二密钥kamf；

180、根据该第一网络切片的标识更新该第二密钥kamf。

181、另一种可能的实现方式中，该处理模块具体用于：

182、根据该第一网络切片的标识和第三密钥更新该第二密钥kamf，该第三密钥为终端设备的第一网络切片的eap认证流程中所生成的密钥，或终端设备的第一网络切片的eap认证流程中所使用的信任状。

183、另一种可能的实现方式中，该收发模块还用于：

184、向amf实体发送完成通知消息，该完成通知消息用于通知该amf实体：该终端设备更新第二密钥kamf完成。

185、本技术实施例第十三方面提供一种切片服务验证功能实体，该切片服务验证功能实体包括：处理器、存储器、输入输出设备以及总线；该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，用于实现如第一方面任意一种实现方式。

186、在第十三方面的一种可能的实现方式中，该处理器、存储器、输入输出设备分别与该总线相连。

187、本技术实施例第十四方面提供一种终端设备，该终端设备包括：处理器、存储器、输入输出设备以及总线；该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，用于实现如第二方面任意一种实现方式。

188、在第十四方面的一种可能的实现方式中，该处理器、存储器、输入输出设备分别与该总线相连。

189、本技术实施例第十五方面提供一种认证服务器，该认证服务器包括：处理器、存储器、输入输出设备以及总线；该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，用于实现如第三方面任意一种实现方式。

190、在第十五方面的一种可能的实现方式中，该处理器、存储器、输入输出设备分别与该总线相连。

191、本技术实施例第十六方面提供一种终端设备，该终端设备包括：处理器、存储器、输入输出设备以及总线；该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，用于实现如第四方面任意一种实现方式。

192、在第十六方面的一种可能的实现方式中，该处理器、存储器、输入输出设备分别与该总线相连。

193、本技术实施例第十七方面提供一种amf实体，该amf实体包括：处理器、存储器、输入输出设备以及总线；该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，用于实现如第五方面任意一种实现方式。

194、在第十七方面的一种可能的实现方式中，该处理器、存储器、输入输出设备分别与该总线相连。

195、本技术实施例第十八方面提供一种终端设备，该终端设备包括：处理器、存储器、输入输出设备以及总线；该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，该存储器中存储有计算机指令；该处理器在执行该存储器中的计算机指令时，用于实现如第六方面任意一种实现方式。

196、在第十八方面的一种可能的实现方式中，该处理器、存储器、输入输出设备分别与该总线相连。

197、本技术实施例第十九方面提供一种包括指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得该计算机执行如第一方面、第二方面、第三方面、第四方面、第五方面和第六方面中任一种的实现方式。

198、本技术实施例第二十方面提供一种计算机可读存储介质，其特征在于，包括指令，当该指令在计算机上运行时，使得计算机执行如第一方面、第二方面、第三方面、第四方面、第五方面和第六方面的任一方面中的任一种实现方式。

199、本技术实施例第二十一方面提供一种芯片，包括存储器和处理器，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行计算机程序，使得该处理器执行上述第一方面、第二方面、第三方面、第四方面、第五方面和第六方面中的任一方面中的任一种实现方式。

200、本技术实施例第二十二方面提供一种通信系统，该通信系统包括如第一方面的切片服务验证功能实体和如第二方面的终端设备。

201、本技术实施例第二十三方面提供一种通信系统，该通信系统包括如第三方面的认证服务器和如第四方面的终端设备。

202、本技术实施例第二十四方面提供一种通信系统，该通信系统包括第五方面的amf实体和第六方面的终端设备。

203、本技术实施例第二十五方面提供一种芯片，包括存储器和处理器，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行计算机程序，使得该处理器执行上述第一方面、第二方面、第三方面、第四方面、第五方面和第六方面中的任一方面中的任一种实现方式。

204、从以上技术方案可以看出，本技术实施例具有以下优点：

205、经由上述技术方案可知，切片服务验证功能实体接收终端设备发送的第一消息，该第一消息携带第一消息认证码，该第一消息认证码是根据第一网络标识计算生成的；然后，该切片服务验证功能实体根据第二网络标识对该第一消息认证码进行验证，当验证通过时，该切片服务验证功能实体向认证服务器发送该第二网络标识。由此可知，切片服务验证功能实体根据第二网络标识对终端设备发送的第一消息认证码进行验证，当验证通过时，切片服务验证功能实体可以确定是由该第二网络标识所对应的网络为该终端设备提供的第一网络切片的切片服务。因此，通过上述方案可以避免或防止由于终端设备当前所接入的拜访网络欺骗终端设备的归属网络的行为，提升网络安全性。