具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

为了便于理解，示例的给出了部分与本申请实施例相关概念的说明以供参考。

本申请实施例提供的方法可用于任一制式的通信系统，该通信系统可以为第三代合作伙伴计划(3rd generation partnership project，3GPP)通信系统，例如，长期演进(long term evolution，LTE)系统，又可以为5G移动通信系统或者新空口(new radio，NR)系统，也可以为非3GPP通信系统，不予限制。

图1示出的是可以应用本发明实施例的通信系统构架的简化示意图。如图1所示，该通信系统可以包括：(无线)接入网((radio)access netw ork，(R)AN)设备、终端、核心网、数据网络(data network，DN)等。

在图1示出的通信系统中，(R)AN接入网设备用于实现无线接入有关的功能，向其覆盖区域内提供接入网络。终端通过(R)AN接入网设备提供的接入网络可以接入核心网，进而访问DN，完成业务数据的交互。

其中，(R)AN设备可以是基站，宽带网络业务网关(broadband network gateway，BNG)，汇聚交换机，非3GPP接入设备等。基站可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，接入点等。本申请实施例对此不作具体限定。例如，接入网设备可以是第四代移动通信技术(4th generation，4G)网络中的演进型通用陆地无线接入网(evolved universal terrestrial radio access network，E-UTRAN)设备、5G网络中的下一代无线接入网(next generation radio access network，NG-RAN)设备、演进型基站(evolved Node B，eNodeB)、WIFI访问节点(access point，AP)、全球微波接入互操作性(world interoperability for microwave access，WIMAX)基站(base station，BS)等。

终端设备(terminal equipment)，可以称为用户设备(user equipment，UE)或者终端(terminal)设备。显然，图1所示每个区域的终端可以包括但不限于车载终端、手机(mobile phone)、平板电脑或带无线收发功能的电脑、智能加油站、智能信号灯等等。

目前，实行通信管控时，由政府专门机关通过通信管理局给运营商下达管控要求，并提供需要管控的区域、业务、管控用户以及保障用户等信息。运营商根据以上信息手动或自动实施通信管控。

结合图1所示的通信系统，当前的通信管控流程可以如图2所示。如图2所示，运营商网管平台接收管控命令，该管控命令要求在特定区域对特定用户的特定业务进行限制，网管平台通过命令或人工等方式将管控命令下发给该区域内的(R)AN设备，(R)AN设备通过注销(Deregistration)流程通知覆盖区域中的UE去注册后重新发起注册流程。UE去注册后，发起新的注册请求(Registration request)，(R)AN设备向核心网网元转发该注册请求(Registration request)，在(R)AN设备于核心网设备交互过程中，根据管控方案对用户进行精准管控。

其中，图2中示意的核心网网元可以包括接入和移动管理功能实体(access andmobility management function，AMF)、会话管理功能实体(ses sion managementfunction，SMF)、用户面功能网元(user plane function，UPF)

从图2示意的管控流程中不难发现，(R)AN设备通过Deregistration流程通知了所有类型的用户(A类型用户和B类型用户)，然后A类型用户和B类型用户均重新发起注册流程，即对所有类型进行了通信管控。但是，对无需进行管控的用户(比如A类型用户)进行管控，势必导致社会资源浪费，产生不良的社会影响，甚至导致安全问题。

为解决上述问题，本申请提供了一种通信管控方法及设备，通过在第一注销消息中携带管控类型，由终端设备根据该管控类型确定是否接受管控，在确定接受管控的情况下才注销网络重新发起注册，在确定不接受管控时可以拒绝管控。从而实现了由终端设备确认是否需要接受管控，从而避免了对无需进行管控的用户进行管控，提高了通信管控的有效性。

图3为本申请实施例提供的一种网络设备的组成示意图。如图3所示，该网络设备30可以包括至少一个处理器31，存储器32、通信接口33、通信总线34。

下面结合图3对网络设备30的各个构成部件进行具体的介绍：

处理器31是通信设备的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器31是一个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circu it，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signalprocessor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

其中，处理器31可以通过运行或执行存储在存储器32内的软件程序，以及调用存储在存储器32内的数据，执行通信设备作为网络控制器或者网络设备的各种功能。

在具体的实现中，作为一种实施例，处理器31可以包括一个或多个CPU，例如图3中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，通信设备可以包括多个处理器，这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

存储器32可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random acces s memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器32可以是独立存在，通过通信总线34与处理器31相连接。存储器32也可以和处理器31集成在一起。

其中，所述存储器32用于存储执行本申请方案的软件程序，并由处理器31来控制执行。

通信接口33，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local areanetworks，WLAN)等。通信接口33可以包括接收单元实现接收功能，以及发送单元实现发送功能。

通信总线34，可以是工业标准体系结构(industry standard architecture，ISA)总线、外部设备互连(peripheral component，PCI)总线或扩展工业标准体系结构(extended industry standard architecture，EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图3中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

图3中示出的设备结构并不构成对网络控制器的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

图4为本申请实施例提供的一种终端设备40的组成示意图，如图4所示，终端设备40可以包括至少一个处理器41、存储器42、显示器43、收发器44。

下面结合图4对终端设备40的各个构成部件进行具体的介绍：

处理器41是终端设备40的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器31是一个CPU，也可以是ASIC，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个DSP，或，一个或者多个FPGA。其中，处理器41可以通过运行或执行存储在存储器42内的软件程序，以及调用存储在存储器42内的数据，执行终端的各种功能。

在具体的实现中，作为一种实施例，处理器41可以包括一个或多个CPU，例如图4中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，移动终端可以包括多个处理器，这些处理器中的每一个可以是一个single-CPU处理器，也可以是一个multi-CPU处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

存储器42可以是ROM或可存储静态信息和指令的其他类型的静态存储设备，RAM或者可存储信息和指令的其他类型的动态存储设备，也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器42可以是独立存在，通过通信总线44与处理器41相连接。存储器42也可以和处理器41集成在一起。其中，所述存储器42用于存储执行本申请方案的软件程序，并由处理器41来控制执行。

显示器43可用于显示由用户输入的信息或提供给用户的信息以及终端设备40的各种菜单。显示器43可包括显示面板，可选的，可以采用液晶显示器(liquid crystaldisplay，LCD)、有机发光二极管(organic light-emitt ing diode，OLED)等形式来配置显示面板。

收发器44，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，RAN，WLAN等。收发器44可以包括接收单元实现接收功能，以及发送单元实现发送功能。

图4中示出的移动终端结构并不构成对移动终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。尽管未示出，移动终端还可以包括电池、摄像头、蓝牙模块、全球定位系统(global positioning system，GPS)模块等，在此不再赘述。

如图5所示，本申请实施例提供一种通信管控方法，该方法可以包括：

S501、启动网络管控后，网络设备向终端设备发送第一注销消息。

其中，网络设备可以为通信系统的接入网设备，或者核心网设备，本申请实施例对于本申请方案的执行主体不予限定。当执行本申请的网络设备为核心网设备时，应理解，核心网设备可以通过接入网设备与终端设备进行通信，本申请实施例对于该通过接入网设备与终端设备进行通信的过程不予赘述。

其中，第一注销消息用于指示执行注销的原因。第一注销消息可以包括用于指示管控对象的管控参数。本申请实施例对于管控参数的内容不予限定。

可选的，管控参数可以包括管控类型。

其中，管控类型用于指示本次网络管控的目标设备的类型。

可选的，管控参数可以包括管控类型和管控强度。

其中，管控强度用于指示本次网络管控的力度，管控强度可以指示全部终端设备都需要进行管控，或者，管控强度可以指示由终端设备根据管控类型自助判断是否接受本次网络管控。

示例性的，光控强度可以采用数字或者其他形式表示，本申请实施例对此不予限定。

例如，可以通过对“lev”字段赋不同的值，表示不同的管控强度。例如，lev＝0代表强制接受管控，lev＝1代表由终端设备确定是否接受管控。

具体的，第一注销消息是在确定需要进行网络安全管控而发出的。比如可以为图2中示意的Deregistration消息，管控类型具可以为移动设备、车载设备、物联网等设备，本发明实施例不作具体限定。

需要说明的是，在网络设备向终端设备发送第一注销消息之前，还可以包括：通信管理局首先下达通信管控要求至运营商网管平台，该通信管控要求中包含管控区域、管控业务、管控类型以及保障用户等信息，然后运营商网管平台根据通信管控要求中的管控类型，触发网络设备执行S501，使得该区域的网络设备将第一注销消息发送给其覆盖区域范围内的终端设备。

S502、终端设备接收网络设备发送的第一注销消息。

需要说明的是，若第一注销消息指示由终端设备确定是否接受管控，S502后执行S503。例如，第一注销消息中不包括管控强度，或者第一注销消息中包括管控强度指示由终端设备确定是否接受管控，则S502后执行S503。

若第一注销消息指示强制接受管控，则S502后执行S504后结束流程。例如，第一注销消息中包括管控强度，该管控强度指示强制接受管控，则S502后执行S504后结束流程。

S503、终端设备根据管控参数以及终端设备的特征信息，确定终端设备是否接受管控。

其中，特征信息用于指示该终端设备的设备类型或使用该终端设备的用户类别。

示例性的，终端设备可以通过获取设备唯一标识(unique device identi fier，UDID)确定设备类型。终端设备的设备类型具体可以为移动设备、车辆网设备、物联网设备等，本申请实施例不作具体限定。

示例性的，终端设备可以通过获取使用该设备的用户的客户识别模块(subscriber identity module，SIM)确定用户类型，或者，查询用户的签约数据等方式，确定用户类型。终端设备的用户类型可以为普通用户、车辆网用户、物联网用户等，本申请实施例不作具体限定。

在一个可选的实施例中，根据管控参数以及终端设备的特征信息，确定终端设备是否接受管控，包括：若终端设备的特征信息指示管控类型，确定终端设备接受管控；若终端设备的特征信息不指示管控类型，确定终端设备不接受管控。

应理解，特征信息指示管控类型，可以为特征信息为管控类型，或者，特征信息是管控类型。

例如，管控类型为可通话手机，则终端设备在收到第一注销消息后，若终端设备为可通话手机，则确定终端设备接受管控；若终端设备是车辆网设备、物联网设备，则确定终端设备不接受管控。

在另一个可选的实施例中，根据管控参数以及终端设备的特征信息，确定终端设备是否接受管控，包括：若终端设备的特征信息指示管控类型，且管控白名单中包括终端设备的用户标识，确定终端设备不接受管控；若终端设备的特征信息指示管控类型，且管控白名单中不包括终端设备的用户标识，确定终端设备接受管控。其中，管控白名单中包括不参与管控的用户标识。

其中，用户标识可以用于唯一标识用户的身份，该用户标识具体可以为手机号码、车牌号码、车辆发动机号等，本发明实施例不作具体限定。

例如，管控类型为车联网设备，则终端设备在收到第一注销消息后，确定终端设备的设备类型是否为车联网设备，若终端设备为车联网设备，且终端设备的车牌号是管控白名单中的车牌号，则确定终端设备不接受管控；若终端设备为车联网设备，且终端设备的车牌号不是管控白名单中的车牌号，确定终端设备接受管控。

在又一个可选的实施例中，根据管控参数以及终端设备的特征信息，确定终端设备是否接受管控，包括：若终端设备的特征信息不指示管控类型，且管控黑名单中包括终端设备的用户标识，确定终端设备接受管控；若终端设备的特征信息不指示管控类型，且管控黑名单中不包括终端设备的用户标识，确定终端设备不接受管控。其中，管控黑名单中包括强制管控的用户标识。

例如，管控类型为移动设备，则终端设备在收到第一注销消息后，确定终端设备的设备类型是否为移动设备，若终端设备的设备类型不是移动设备，且管控黑名单中包括终端设备的手机号码，确定终端设备接受管控；若终端设备的设备类型不是管控类型，且管控黑名单中不包括终端设备的移动设备，确定终端设备不接受管控。

需要说明的是，上述管控白名单、管控黑名单，可以为预先配置，可以由通信管理局配置并下发，或者由运营商配置并下发，或者其他方式配置，本申请实施例对此不予限定。

可选的，在S503中若确定终端设备接受管理，则执行S504，若确定终端设备不接受管控，则执行S505。

S504、终端设备注销网络，重新向网络设备发起注册。

需要说明的是，终端设备可以按照其所使用的通信制式的通信协议，执行S504，本申请实施例对于该过程不予赘述。

S505、终端设备向网络设备发送拒绝消息。

其中，所述拒绝消息用于指示终端设备不接受本次管控。

S506、网络设备接收终端设备发送的拒绝消息。

具体的，网络设备在接收到拒绝消息后，则可以结束该终端设备的管控流程。

本实施例提供的一种通信管控方法，通过在第一注销消息中携带管控类型，由终端设备根据该管控类型确定是否接受管控，在确定接受管控的情况下才注销网络重新发起注册，在确定不接受管控时可以拒绝网络管控，与目前网络设备通知其覆盖下的所有用户注销网络相比，本申请的方案由终端设备自主确定是否接受管控，从而避免了对无需进行管控的用户进行管控，提高了通信管控的有效性。

在实际应用中，可能存在终端设备的用户恶意逃避管控，因此，进一步可选的，拒绝消息可以包括原因信息，原因信息用于指示终端设备不接受管控的原因。网络设备在接收到拒绝消息后，根据携带的原因信息，进一步确定该终端设备是否接受管控。

具体的，原因信息可以为管控类型不同、终端设备的管控类型、终端设备对应的用户为管控白名单用户等，本实施例不作具体限定。

可选的，如图6所示，在网络设备在接收到终端设备发送的拒绝消息后，本申请实施例提供的方法还可以包括S507至S509。

S507、网络设备根据原因信息，确定是否允许发送拒绝消息的终端设备不接受管控。

具体的，网络设备在接收到终端设备发送的拒绝消息之后，首先获取拒绝消息中的原因信息，若该原因信息为管控类型不同，则网络设备需要获取终端设备的特征信息，然后将终端设备的特征信息与管控类型进行比对，以确定是否允许发送拒绝消息的终端设备不接受管控，即由网络设备再次确认发送拒绝消息的终端设备是否可以不接受管控，避免了终端设备的用户出现逃避通信管控的行为。

一种可能的实现方式中，拒绝消息中可以携带终端设备的特征信息，网络设备可以从拒绝消息中获取终端设备的特征信息。

一种可能的实现方式中，网络设备可以从记录用户上下文信息的网元中，获取终端设备的特征信息。例如，该记录用户上下文信息的网元可以为5G中的统一数据管理功能(unified data management，UDM)网元或者统一数据仓库功能(unified datarepository，UDR)网元。

在一个可选的实施例中，若原因信息为管控类型不同，根据原因信息，确定是否允许终端设备不接受管控，包括：若终端设备的特征信息指示管控类型，确定不允许终端设备不接受管控；若终端设备的特征信息不指示管控类型，确定允许终端设备不接受管控。

在另一个可选的实施例中，若原因信息为管控类型不同，根据原因信息，确定是否允许终端设备不接受管控，包括：若终端设备的特征信息不指示管控类型，且管控黑名单中包括终端设备的用户标识，确定不允许该终端设备不接受管控；若终端设备的特征信息不指示管控类型，且管控黑名单中不包括终端设备的用户标识，确定允许该终端设备不接受管控。其中，管控黑名单中包括强制管控的用户标识。

在又一个可选的实施例中，若原因信息为非管控用户或白名单用户，根据原因信息，确定是否允许终端设备不接受管控，包括：若管控白名单中包括终端设备的用户标识，确定允许该终端设备不接受管控；若管控白名单中不包括终端设备的用户标识，确定不允许该终端设备不接受管控。其中，管控白名单中包括不接受管控的用户标识。

需要说明的是，管控白名单和管控黑名单可以根据通信管理局下发的通信管控要求确定，即根据通信管控要求中的保障用户信息确定管控白名单，根据通信管控要求中的管控用户信息确定管控黑名单；管控白名单和管控黑名单中的用户标识也可以是人工录入的(即管控黑名单和管控白名单中的用户标识是预先已确认的)，本实施例不作具体限定。

需要说明的是，S507中描述的管控白名单、管控黑名单，可以为预先配置，可以由通信管理局配置并下发，或者由运营商配置并下发，或者其他方式配置，本申请实施例对此不予限定。

还需要说明的是，S507中描述的管控白名单、管控黑名单，可以与S503中描述的管控白名单、管控黑名单相同，也可以不同，本申请实施例对此不予限定。

可选的，在S507中若确定不允许发送拒绝消息的终端设备不接受管理，则执行S508、S509和S510，S507中若确定允许发送拒绝消息的终端设备不接受管控，结束该终端设备的管控流程。

S508、网络设备向终端设备发送第二注销消息。

其中，第二注销消息用于指示强制接受网络安全管控。

S509、终端设备接收网络设备发送的第二注销消息。

终端设备在接收到第二注销消息后，执行S504注销网络重新向网络设备发起注册。

需要说明的是，若上述网络设备为接入网设备，S507至S509可以由该接入网设备执行，也可以由接入网设备转发至核心网设备执行，本申请实施例对此不予限定。

通过网络设备在收到终端设备发送的拒绝消息之后，根据拒绝消息中的原因信息，确定终端设备是否接受管控，即由网络设备再次确认终端设备是否需要接受管控，避免了终端设备的用户出现逃避通信管控的行为。

示例性的，图7为本实施例提供的一个通信管控流程的具体实现方式。假设终端用户A为使用移动终端的用户，终端用户B为使用车联网设备的用户。运营商收到通信管控命令，要求对使用移动终端的用户进行管控。(R)AN设备在收到通信管控命令后，向其覆盖下的所有用户发送注销消息(De registration消息)，该Deregistration消息中包含管控参数(管控类型GZ＝1，指示管控类型为移动终端的用户；管控强度lev＝1，代表由终端确定是否接受管控)。

终端用户A在收到Deregistration后，由于其设备类型与管控类型相同，则终端用户A正常下线，并再次发起注册申请(Registration request)尝试注册，(R)AN设备向AMF网元转发注册申请(Registration request)，并根据最新的管控要求对A进行管控。

终端用户B在收到Deregistration后，由于其设备类型与管控类型不同，则向网络设备发送拒绝消息(Error消息)并携带车联网用户标识。网络设备根据Error消息及终端用户B的终端类型同意终端的终端用户B的拒绝管控，结束终端用户B的管控流程。

或者，终端用户B在收到Deregistration后，为了逃避管控，向网络设备发送拒绝消息(Error消息)并携带管控类型不同的原因信息。网络设备根据Error消息及终端用户B的终端类型，确定终端用户B需接受管控，则向终端用户B重新发送注销消息(Deregistration消息)，该Deregistration消息中包含管控参数(管控类型GZ＝1，指示管控类型为移动终端的用户；管控强度lev＝0，代表强制接受管控)。终端用户B在收到Deregistration后，根据lev＝0的指示，去注册后并再次发起注册申请(Registrationrequest)尝试注册，(R)AN设备向AMF网元转发注册申请(Registration request)，并根据最新的管控要求对B进行管控。

本申请实施例可以根据上述方法示例对网络设备和终端设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图8示出了终端设备的一种可能的组成示意图。如图8所示，该终端设备80包括：接收单元801、确定单元802、处理单元803以及发送单元804。

接收单元801，用于接收网络设备发送的第一注销消息，该第一注销消息用于指示执行注销的原因，第一注销消息包括用于指示管控对象的管控参数，该管控参数可以包括管控类型，或者，该管控参数可以包括管控类型和管控强度。

确定单元802，用于根据管控参数以及终端设备的特征信息，确定终端设备是否接受管控。其中，特征信息用于指示设备类型或用户类别。

处理单元803，用于若确定单元802确定终端设备接受管控，注销网络后再重新向网络设备发起注。

发送单元804，用于若确定单元802确定终端设备不接受管控，向网络设备发送拒绝消息。

在一个可选的实施例中，确定单元802，具体用于：若终端设备的特征信息指示管控类型，确定终端设备接受管控；若终端设备的特征信息不指示管控类型，确定终端设备不接受管控。

在另一个可选的实施例中，确定单元802，具体用于：若终端设备的特征信息指示管控类型，且管控白名单中包括终端设备的用户标识，确定终端设备不接受管控；管控白名单中包括不接受管控的用户标识；若终端设备的特征信息指示管控类型，且管控白名单中不包括终端设备的用户标识，确定终端设备接受管控。

在另一个可选的实施例中，确定单元802，具体用于：若终端设备的特征信息不指示管控类型，且管控黑名单中包括终端设备的用户标识，确定终端设备接受管控；管控黑名单中包括强制管控的用户标识；若终端设备的特征信息不指示管控类型，且管控黑名单中不包括终端设备的用户标识，确定终端设备不接受管控。

进一步的，接收单元801，还可以用于接收网络设备发送的第二注销消息，该第二注销消息用于指示强制接受网络安全管控；

处理单元803还用于，在接收单元801接收到第二注销消息后，注销网络并重新向网络设备发起注册。

在采用集成的单元的情况下，图9示出了上述实施例中所涉及的终端设备90的一种可能的结构示意图。该终端设备90可以为上述方法实施例中描述的终端设备。终端设备90可以包括：处理模块901、通信模块902。处理模块901用于对终端设备90的动作进行控制管理，通信模块902用于与其他设备通信。例如，处理模块901用于执行图5中的过程S503、S504中任一过程。处理模块901可以通过通信模块902执行图5中的过程S502、S505中任一过程。终端设备90还可以包括存储模块903，用于存储终端设备90的程序代码和数据。

其中，处理模块901可以为图4所示的实体结构中的处理器41，可以是处理器或控制器。例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理模块901也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块902可以为图4所示的实体结构中的收发器43，通信模块902可以是收发器、收发电路或通信接口等。或者，上述通信接口可以通过上述具有收发功能的元件，实现与其他设备的通信。上述具有收发功能的元件可以由天线和/或射频装置实现。存储模块903可以是图4所示的实体结构中的存储器42。

当处理模块901为处理器，通信模块902为收发器，存储模块903为存储器时，本申请实施例图9所涉及的终端设备90可以为图3所示的终端设备40。

如前述，本申请实施例提供的终端设备80或终端设备90可以用于实施上述本申请各实施例实现的方法中相应的功能，为了便于说明，仅示出了与本申请实施例相关的部分，具体技术细节未揭示的，请参照本申请各实施例。

在采用对应各个功能划分各个功能模块的情况下，图10示出了网络设备的一种可能的组成示意图，如图10所示，该网络设备100包括：发送单元1001、接收单元1002。

发送单元1001，用于在启动网络管控后，向终端设备发送第一注销消息，该第一注销消息用于指示执行注销的原因，第一注销消息包括用于指示管控对象的管控参数，该管控参数可以包括管控类型，或者，该管控参数可以包括管控类型和管控强度。

接收单元1002，用于接收接受管控的终端设备注销网络后发起的注册；或者，接收不接受管控的终端设备发送的拒绝消息。

进一步的，如图11所示，所述网络设备100还可以包括：确定单元1003。

确定单元1003，用于根据所述原因信息，确定是否允许发送拒绝消息的终端设备不接受管控。

相应的，发送单元1001，还用于若不允许终端设备不接受管控，向终端设备发送第二注销消息，该第二注销消息用于指示强制接受网络安全管控。

在一个可选的实施例中，若原因信息为管控类型不同，确定单元1003，具体用于：若终端设备的特征信息指示管控类型，确定不允许终端设备不接受管控；若终端设备的特征信息不指示管控类型，确定允许终端设备不接受管控。

在另一个可选的实施例中，若原因信息为管控类型不同，确定单元1003，具体用于：若终端设备的特征信息不指示管控类型，且管控黑名单中包括终端设备的用户标识，确定不允许终端设备不接受管控；管控黑名单中包括强制管控的用户标识；若终端设备的特征信息不指示管控类型，且管控黑名单中不包括终端设备的用户标识，确定允许终端设备不接受管控。

在又一个可选的实施例中，若原因信息为非管控用户或白名单用户，确定单元1003，具体用于：若管控白名单中包括终端设备的用户标识，确定允许该终端设备不接受管控；管控白名单中包括不接受管控的用户标识；若管控白名单中不包括终端设备的用户标识，确定不允许该终端设备不接受管控。

在采用集成的单元的情况下，图12示出了上述实施例中所涉及的网络设备120的一种可能的结构示意图。该网络设备120可以为上述方法实施例中描述的网络设备。网络设备120可以包括：处理模块1201、通信模块1202。处理模块1201用于对网络设备120的动作进行控制管理，通信模块1202用于与其他设备通信。例如，处理模块1201可以通过通信模块1202执行图5中的过程S501、S506中任一过程，或者图6中的S508。处理模块1201可以执行图6中的过程S507。网络设备120还可以包括存储模块1203，用于存储网络设备120的程序代码和数据。

其中，处理模块1201可以为图3所示的实体结构中的处理器31，可以是处理器或控制器。例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理模块1201也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块1202可以为图3所示的实体结构中的通信接口33，通信模块1202可以是收发器、收发电路或通信接口等。或者，上述通信接口可以通过上述具有收发功能的元件，实现与其他设备的通信。上述具有收发功能的元件可以由天线和/或射频装置实现。存储模块1203可以是图3所示的实体结构中的存储器32。

当处理模块1201为处理器，通信模块1202为通信接口，存储模块1203为存储器时，本申请实施例图12所涉及的网络设备120可以为图3所示的网络设备30。

如前述，本申请实施例提供的网络设备100或网络设备120可以用于实施上述本申请各实施例实现的方法中相应的功能，为了便于说明，仅示出了与本申请实施例相关的部分，具体技术细节未揭示的，请参照本申请各实施例。

作为本实施例的另一种形式，提供一种计算机可读存储介质，其上存储有指令，该指令被执行时执行上述方法实施例中的通信管控方法。

作为本实施例的另一种形式，提供一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得该计算机执行时执行上述方法实施例中的通信管控方法。

本申请实施例再提供一种芯片系统，该芯片系统包括处理器，用于实现本发明实施例的技术方法。在一种可能的设计中，该芯片系统还包括存储器，用于保存本发明实施例必要的程序指令和/或数据。在一种可能的设计中，该芯片系统还包括存储器，用于处理器调用存储器中存储的应用程序代码。该芯片系统，可以由一个或多个芯片构成，也可以包含芯片和其他分立器件，本申请实施例对此不作具体限定。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个设备，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。