CN115348585A - 确定安全保护开启方式的方法、通信方法及通信装置 - Google Patents

确定安全保护开启方式的方法、通信方法及通信装置 Download PDF

Info

Publication number
CN115348585A
CN115348585A CN202110524279.3A CN202110524279A CN115348585A CN 115348585 A CN115348585 A CN 115348585A CN 202110524279 A CN202110524279 A CN 202110524279A CN 115348585 A CN115348585 A CN 115348585A
Authority
CN
China
Prior art keywords
security protection
network element
terminal device
policy
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110524279.3A
Other languages
English (en)
Inventor
雷骜
吴义壮
李�赫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202110524279.3A priority Critical patent/CN115348585A/zh
Priority to EP22806819.3A priority patent/EP4322583A4/en
Priority to PCT/CN2022/092338 priority patent/WO2022237857A1/zh
Priority to BR112023023630A priority patent/BR112023023630A2/pt
Priority to JP2023569905A priority patent/JP2024520916A/ja
Publication of CN115348585A publication Critical patent/CN115348585A/zh
Priority to US18/506,241 priority patent/US20240080345A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Technology Law (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了一种确定安全保护开启方式的方法、通信方法及通信装置。该方法可以包括:第一终端设备接收来自核心网网元的第一标识,该第一标识用于修改终端设备的安全保护策略;在该第一终端设备与第二终端设备为服务建立连接的过程中,该第一终端设备根据该第一标识确定是否开启该连接的安全保护;该第一终端设备向该第二终端设备发送第一信息,该第一信息用于指示是否开启该连接的安全保护。基于上述方法,可以使两个终端设备能够成功地建立连接。

Description

确定安全保护开启方式的方法、通信方法及通信装置
技术领域
本申请涉及通信领域,并且更具体地,涉及一种确定安全保护开启方式的方法、通信方法及通信装置。
背景技术
对于第五代(5th generation,5G)邻近业务(proximity-based services,ProSe),策略控制功能(policy control function,PCF)会给终端设备发送ProSe服务在不同地理位置上的安全保护策略。在ProSe流程中,发现流程只用作发现对端终端设备,发现流程之后还需要执行PC5单播连接建立流程。
但在发现流程之后的PC5单播连接建立流程中,若两个终端设备处于不同的地理位置,则两个终端设备使用的安全保护策略可能会不匹配。在两个终端设备的安全保护策略不匹配的情况下,接收端终端设备会拒绝建立单播连接,从而使得单播连接建立失败。
发明内容
本申请提供一种确定安全保护开启方式的方法,以使得两个终端设备能够成功地建立连接。
第一方面,提供了一种确定安全保护开启方式的方法,该方法包括:第一终端设备接收来自核心网网元的第一标识,该第一标识用于修改终端设备的安全保护策略;在该第一终端设备与第二终端设备为服务建立连接的过程中,该第一终端设备根据该第一标识确定是否开启该连接的安全保护;该第一终端设备向该第二终端设备发送第一信息,该第一信息用于指示是否开启该连接的安全保护。
基于上述技术方案,在第一终端设备与第二终端设备建立服务的连接的过程中,第一终端设备可以根据第一标识确定是否开启该服务的连接的安全保护,而不是根据两个终端设备的安全保护策略确定是否开启该连接的安全保护,从而可以避免在两个终端设备的安全保护策略不匹配的情况下无法成功确定是否开启该连接的安全保护,进而避免连接建立失败引起的信令浪费。
示例性地,核心网网元是策略控制功能网元、直连通信发现名称管理功能网元等。
示例性地,第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、第一指示信息,该第一指示信息用于指示允许终端设备的安全保护策略被强制修改。
一种可能的实现方式中,该第一标识为该第一指示信息,该第一终端设备根据该第一标识确定是否开启该连接的安全保护,包括:该第一终端设备根据该第一指示信息、第一安全保护策略和第二安全保护策略中安全级别较高的安全保护策略,确定是否开启该连接的安全保护,该第一安全保护策略是该第一终端设备在该服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略。
其中,第二安全保护策略是第二终端设备向第一终端设备发送的。例如,在建立连接的过程中,第二终端设备向第一终端设备发送直连通信请求消息,直连通信请求消息包括第二安全保护策略。又例如,在建立该连接的过程中,第二终端设备向第一终端设备发送直连安全模式命令完成消息,直连安全模式命令完成消息包括第二安全保护策略。
另一种可能的实现方式中,该第一标识为该第一指示信息,该第一终端设备根据该第一标识确定是否开启该连接的安全保护,包括:该第一终端设备根据该第一指示信息和第一安全保护策略,确定是否开启该连接的安全保护,该第一安全保护策略是该第一终端设备在该服务中使用的安全保护策略。
基于上述技术方案,第一终端设备根据第一指示信息和第一安全保护策略,确定是否开启该连接的安全保护,使得第一终端设备的处理逻辑更简单,可以提高第一终端设备的处理效率。
另一种可能的实现方式中,该第一标识为该新的安全保护策略,该第一终端设备根据该第一标识确定是否开启该连接的安全保护,包括:该第一终端设备根据该新的安全保护策略,确定是否开启该连接的安全保护。
基于上述技术方案,第一终端设备根据第一指示信息和新的安全保护策略,确定是否开启该连接的安全保护,使得第一终端设备的处理逻辑更简单,可以提高第一终端设备的处理效率。
另一种可能的实现方式中,该第一标识为该新的安全保护开启方式,该第一终端设备根据该第一标识确定是否开启该连接的安全保护,包括:该第一终端设备根据该新的安全保护开启方式确定是否开启该连接的安全保护。
基于上述技术方案,第一终端设备根据第一指示信息和新的安全保护开启方式,确定是否开启该连接的安全保护,使得第一终端设备的处理逻辑更简单,可以提高第一终端设备的处理效率。
结合第一方面,在第一方面的某些实现方式中,该第一终端设备根据该第一标识确定是否开启该连接的安全保护,包括:在第一安全保护策略与第二安全保护策略不匹配的情况下,该第一终端设备根据该第一标识确定是否开启该连接的安全保护,该第一安全保护策略是该第一终端设备在该服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略。
结合第一方面,在第一方面的某些实现方式中,该第一终端设备根据该第一标识确定是否开启该连接的安全保护,包括:在确定该第二终端设备支持强制修改安全保护策略的情况下,该第一终端设备根据该第一标识确定是否开启该连接的安全保护。
基于上述技术方案,在确定第二终端设备支持强制修改安全保护策略的情况下,第一终端设备根据第一标识确定是否开启该连接的安全保护,从而可以避免由于第二终端设备不支持强制修改安全保护策略导致的连接建立失败。
一种可能的实现方式中,确定第二终端设备支持强制修改安全保护策略的方法包括:在该服务的发现流程中,该第一终端设备接收来自该第二终端设备的服务发现代码,该服务发现代码与该第一标识对应;该第一终端设备根据该服务发现代码确定该第二终端设备支持强制修改安全保护策略。
另一种可能的实现方式中,确定第二终端设备支持强制修改安全保护策略的方法包括:在建立该连接的过程中,该第一终端设备接收来自该第二终端设备的第一消息,该第一消息包括该第一标识;该第一终端设备根据该第一标识确定该第二终端设备支持强制修改安全保护策略。
结合第一方面,在第一方面的某些实现方式中,该核心网网元是第一直连通信发现名称管理功能网元,该第一标识与服务发现代码对应,该方法还包括:该第一终端设备接收来自该第一直连通信发现名称管理功能网元的该服务发现代码。
其中,该第一直连通信发现名称管理功能网元为该第一终端设备提供服务。
基于上述技术方案,第一终端设备获取到的第一标识与服务发现代码对应,从而有助于第一终端设备根据服务发现代码,确定第二终端设备是否支持强制修改安全保护策略。
第二方面,提供了一种确定安全保护开启方式的方法,该方法包括:第二终端设备接收来自核心网网元的第一标识,该第一标识用于修改终端设备的安全保护策略;在该第二终端设备与第一终端设备为服务建立连接的过程中,该第二终端设备向该第一终端设备发送该第一标识;该第二终端设备接收来自该第一终端设备的第一信息,该第一信息用于指示是否开启该连接的安全保护,该第一信息是第一终端设备根据第一标识确定的;该第二终端设备根据该第一信息确定是否开启该连接的安全保护。
基于上述技术方案,第二终端设备将第一标识发送给第一终端设备,有助于第一终端设备根据第一标识确定第二终端设备支持强制修改安全保护策略,进而使得第一终端设备可以根据第一标识确定是否开启该连接的安全保护。
第三方面,提供了一种确定安全保护开启方式的方法,该方法包括:第二终端设备接收来自核心网网元的第一标识,该第一标识用于修改终端设备的安全保护策略,该第一标识与服务发现代码对应;在服务的发现流程中,该第二终端设备向第一终端设备发送该服务发现代码;在该第二终端设备与该第一终端设备为该服务建立连接的过程中,该第二终端设备接收来自该第一终端设备的第一信息,该第一信息用于指示是否开启该连接的安全保护,该第一信息是第一终端设备根据第一标识确定的;该第二终端设备根据该第一信息确定是否开启该连接的安全保护。
基于上述技术方案,第二终端设备将与第一标识对应的服务发现代码发送给第一终端设备,有助于第一终端设备根据该服务发现代码确定第二终端设备支持强制修改安全保护策略,进而使得第一终端设备可以根据第一标识确定是否开启该连接的安全保护。
示例性地,核心网网元是策略控制功能网元、直连通信发现名称管理功能网元等。
示例性地,第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、第一指示信息,该第一指示信息用于指示允许终端设备的安全保护策略被强制修改。
结合第二方面或第三方面,在第二方面或第三方面的某些实现方式中,第二终端设备不检查该连接的安全保护开启方式是否与第二安全保护策略匹配,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略。
基于上述技术方案,第二终端设备可以不检查连接的安全保护开启方式是否与本端的安全保护策略匹配,从而可以节省第二终端设备的处理资源。
结合第二方面或第三方面,在第二方面或第三方面的某些实现方式中,该第一信息还包括该第一标识。
基于上述技术方案,第二终端设备根据该第一信息包括的第一标识,可以确定该连接的安全保护开启方式是根据第一标识确定的。
第四方面,提供了一种通信方法,该方法包括:第一核心网网元根据第一服务的安全保护策略配置和第二指示信息确定第一标识,该第二指示信息用于指示该第一服务的安全保护策略可在连接建立中被强制修改,该第一标识用于修改终端设备的安全保护策略;该第一核心网网元向终端设备发送该第一标识。
基于上述技术方案,核心网网元根据第一服务的安全保护策略配置和第二指示信息确定出第一标识之后,将第一标识发送给终端设备,有助于终端设备根据第一标识修改安全保护策略,从而避免两端终端设备的安全保护策略不匹配导致第一服务的连接建立失败。
示例性地,第一核心网网元是策略控制功能网元、直连通信发现名称管理功能网元等。
结合第四方面,在第四方面的某些实现方式中,该第一核心网网元根据第一服务的安全保护策略配置和第二指示信息确定第一标识,包括:在确定该安全保护策略配置包括的多个安全保护策略取值不同时,该第一核心网网元根据该安全保护策略配置和该第二指示信息确定该第一标识,该多个安全保护策略包括该第一服务在不同地理位置的安全保护策略。
基于上述技术方案,在确定该安全保护策略配置包括的多个安全保护策略取值不同时,第一核心网网元确定第一标识,从而可以节省第一核心网网元的处理资源。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第一核心网网元接收来自第二核心网网元的该第二指示信息。
示例性地,该第一核心网网元是策略控制功能网元,该第二核心网网元是应用功能网元;或者,该第一核心网网元是直连通信发现名称管理功能网元,该第二核心网网元是策略控制功能网元。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第一核心网网元向该第二核心网网元发送第一请求消息,该第一请求消息用于请求该第二指示信息。
结合第四方面,在第四方面的某些实现方式中,该第一核心网网元向该第二核心网网元发送第一请求消息,包括:在确定该安全保护策略配置包括的多个安全保护策略取值不同时,该第一核心网网元向该第二核心网网元发送该第一请求消息,该多个安全保护策略包括该第一服务在不同地理位置的安全保护策略。
结合第四方面,在第四方面的某些实现方式中,该第一核心网网元是第二直连通信发现名称管理功能网元,该终端设备是第二终端设备,该第一核心网网元向终端设备发送该第一标识,包括:在确定第一安全保护策略与第二安全保护策略不匹配的情况下,该第二直连通信发现名称管理功能网元向该第二终端设备发送该第一标识,该第一安全保护策略是第一终端设备在该第一服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该第一服务中使用的安全保护策略,该第一终端设备是与该第二终端设备为该第一服务建立连接的终端设备。
其中,第二直连通信发现名称管理功能网元为第二终端设备提供服务。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第二直连通信发现名称管理网元接收来自第一直连通信发现名称管理网元的该第一安全保护策略;该第二直连通信发现名称管理网元确定该第一安全保护策略与该第二安全保护策略不匹配。
其中,第一直连通信发现名称管理功能网元为第一终端设备提供服务。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第二直连通信发现名称管理网元向第一直连通信发现名称管理网元发送该第二安全保护策略;该第二直连通信发现名称管理网元接收来自该第一直连通信发现名称管理网元的第三指示信息,该第三指示信息用于指示该第一安全保护策略与该第二安全保护策略不匹配。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第二直连通信发现名称管理功能网元根据该第二终端设备的位置信息,确定该第二安全保护策略。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第二直连通信发现名称管理功能网元接收来自该第二终端设备的该位置信息。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第二直连通信发现名称管理功能网元触发网关移动定位中心,使用定位业务获取该位置信息。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第二直连通信发现名称管理功能网元向为第二终端设备服务的接入和移动管理功能网元请求第二终端设备的位置信息。
结合第四方面,在第四方面的某些实现方式中,该第一核心网网元是第一直连通信发现名称管理功能网元,该终端设备是第一终端设备,该第一核心网网元向终端设备发送该第一标识,包括:在确定第一安全保护策略与第二安全保护策略不匹配的情况下,该第一直连通信发现名称管理功能网元向该第一终端设备发送该第一标识,该第一安全保护策略是该第一终端设备在该第一服务中使用的安全保护策略,该第二安全保护策略是第二终端设备在该第一服务中使用的安全保护策略,该第二终端设备是与该第一终端设备为该第一服务建立连接的终端设备。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理网元接收来自第二直连通信发现名称管理网元的该第二安全保护策略;该第一直连通信发现名称管理网元确定该第一安全保护策略与该第二安全保护策略不匹配。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理网元向第二直连通信发现名称管理网元发送该第一安全保护策略;该第一直连通信发现名称管理网元接收来自该第二直连通信发现名称管理网元的第三指示信息,该第三指示信息用于指示该第一安全保护策略与该第二安全保护策略不匹配。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理功能网元根据该第一终端设备的位置信息,确定该第一安全保护策略。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理功能网元接收来自该第一终端设备的该位置信息。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理功能网元触发网关移动定位中心,使用定位业务获取该位置信息。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理功能网元向为第一终端设备服务的接入和移动管理功能网元请求第一终端设备的位置信息。
结合第四方面,在第四方面的某些实现方式中,该第一核心网网元是直连通信发现名称管理网元,该第一标识携带在直连通信发现消息中。
第五方面,提供了一种通信方法,该方法包括:应用功能网元确定第一服务的安全保护策略配置包括的多个安全保护策略取值不同,该多个安全保护策略包括该第一服务在不同地理位置的安全保护策略;该应用功能网元向策略控制功能网元发送第二指示信息,该第二指示信息用于指示该第一服务的安全保护策略可在连接建立中被强制修改。
基于上述技术方案,应用功能网元将第二指示信息发送给策略控制功能网元,有助于策略控制功能网元根据第二指示信息确定第一标识。
结合第五方面,在第五方面的某些实现方式中,该方法还包括:该应用功能网元接收来自该策略控制功能网元的第一请求消息,该第一请求消息用于请求该第二指示信息;该应用功能网元向策略控制功能网元发送第二指示信息,包括:该应用功能网元根据该第一请求消息向该策略控制功能网元发送该第二指示信息。
第六方面,提供了一种通信方法,该方法包括:第二直连通信发现名称管理网元向第一直连通信发现名称管理网元发送第二请求消息,该第二请求消息用于请求获取第一标识,该第一标识用于修改终端设备的安全保护策略;该第二直连通信发现名称管理网元接收来自该第一直连通信发现名称管理网元的第二消息,该第二消息包括该第一标识;该第二直连通信发现名称管理网元向第二终端设备发送该第一标识。
其中,第二直连通信发现名称管理功能网元为第二终端设备提供服务。其中,第一直连通信发现名称管理功能网元为第一终端设备提供服务。第一终端设备是与第二终端设备建立连接的终端设备。
基于上述技术方案,第二直连通信发现名称管理功能网元获取到第一标识之后,将第一标识发送给第二终端设备,有助于终端设备根据第一标识修改安全保护策略,从而避免两端终端设备的安全保护策略不匹配导致第一服务的连接建立失败。
示例性地,该第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、第一指示信息,该第一指示信息用于指示允许终端设备的安全保护策略被强制修改。
结合第六方面,在第六方面的某些实现方式中,该第二请求消息包括第二安全保护策略,该第二消息还包括服务发现代码和/或第三指示信息,该第三指示信息用于指示第一安全保护策略与该第二安全保护策略不匹配,该服务发现代码与该第一标识对应,该第一安全保护策略是第一终端设备在服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略,该第一终端设备是与该第二终端设备为该服务建立连接的终端设备。
结合第六方面,在第六方面的某些实现方式中,该第二直连通信发现名称管理功能网元向第二终端设备发送该第一标识,包括:在确定第一安全保护策略与第二安全保护策略不匹配的情况下,该第二直连通信发现名称管理功能网元向该第二终端设备发送该第一标识,该第一安全保护策略是第一终端设备在服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略,该第一终端设备是与该第二终端设备为该服务建立连接的终端设备。
结合第六方面,在第六方面的某些实现方式中,该方法还包括:该第二直连通信发现名称管理网元接收来自该第一直连通信发现名称管理网元的该第一安全保护策略;该第二直连通信发现名称管理网元确定该第一安全保护策略与该第二安全保护策略不匹配。
结合第六方面,在第六方面的某些实现方式中,该方法还包括:该第二直连通信发现名称管理网元向该第一直连通信发现名称管理网元发送该第二安全保护策略;该第二直连通信发现名称管理网元接收来自该第一直连通信发现名称管理网元的第三指示信息,该第三指示信息用于指示该第一安全保护策略与该第二安全保护策略不匹配。
结合第六方面,在第六方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理功能网元根据该第一终端设备的位置信息,确定该第一安全保护策略。
结合第六方面,在第六方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理功能网元接收来自该第一终端设备的该位置信息。
结合第六方面,在第六方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理功能网元触发网关移动定位中心,使用定位业务获取该位置信息。
结合第六方面,在第六方面的某些实现方式中,该方法还包括:该第一直连通信发现名称管理功能网元向为第一终端设备服务的接入和移动管理功能网元请求第一终端设备的位置信息。
结合第六方面,在第六方面的某些实现方式中,该第一标识携带在直连通信发现消息中。
第七方面,提供了一种通信装置,该通信装置包括收发单元和处理单元,该收发单元用于接收来自核心网网元的第一标识,该第一标识用于修改终端设备的安全保护策略;在该通信装置与第二终端设备为服务建立连接的过程中,该处理单元用于根据该第一标识确定是否开启该连接的安全保护;该收发单元还用于向该第二终端设备发送第一信息,该第一信息用于指示是否开启该连接的安全保护。
示例性地,核心网网元是策略控制功能网元、直连通信发现名称管理功能网元等。
示例性地,第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、第一指示信息,该第一指示信息用于指示允许终端设备的安全保护策略被强制修改。
一种可能的实现方式中,该第一标识为该第一指示信息,该处理单元具体用于根据给第一指示信息、第一安全保护策略和第二安全保护策略中安全级别较高的安全保护策略,确定是否开启该连接的安全保护,该第一安全保护策略是该通信装置在该服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略。
另一种可能的实现方式中,该第一标识为该第一指示信息,该处理单元具体用于根据该第一指示信息和第一安全保护策略,确定是否开启该连接的安全保护,该第一安全保护策略是该通信装置在该服务中使用的安全保护策略。
另一种可能的实现方式中,该第一标识为该新的安全保护策略,该处理单元具体用于根据该新的安全保护策略,确定是否开启该连接的安全保护。
另一种可能的实现方式中,该第一标识为该新的安全保护开启方式,该处理单元具体用于根据该新的安全保护开启方式确定是否开启该连接的安全保护。
结合第七方面,在第七方面的某些实现方式中,该处理单元具体用于在第一安全保护策略与第二安全保护策略不匹配的情况下,根据该第一标识确定是否开启该连接的安全保护,该第一安全保护策略是该通信装置在该服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略。
结合第七方面,在第七方面的某些实现方式中,该处理单元具体用于在确定该第二终端设备支持强制修改安全保护策略的情况下,根据该第一标识确定是否开启该连接的安全保护。
一种可能的实现方式中,该收发单元还用于在该服务的发现流程中,该第一终端设备接收来自该第二终端设备的服务发现代码,该服务发现代码与该第一标识对应;该处理单元还用于根据该服务发现代码确定该第二终端设备支持强制修改安全保护策略。
另一种可能的实现方式中,该收发单元还用于在建立该连接的过程中,接收来自该第二终端设备的第一消息,该第一消息包括该第一标识;该处理单元还用于根据该第一标识确定该第二终端设备支持强制修改安全保护策略。
结合第七方面,在第七方面的某些实现方式中,该核心网网元是第一直连通信发现名称管理功能网元,该第一标识与服务发现代码对应,该收发单元还用于接收来自该第一直连通信发现名称管理功能网元的该服务发现代码。
第八方面,提供了一种通信装置,该通信装置包收发单元和处理单元,该收发单元用于接收来自核心网网元的第一标识,该第一标识用于修改终端设备的安全保护策略;在该通信装置与第一终端设备为服务建立连接的过程中,该收发单元还用于向该第一终端设备发送该第一标识;该收发单元还用于接收来自该第一终端设备的第一信息,该第一信息用于指示是否开启该连接的安全保护,该第一信息是第一终端设备根据第一标识确定的;该处理单元用于根据该第一信息确定是否开启该连接的安全保护。
第九方面,提供了一种通信装置,该通信装置包括收发单元和处理单元,该收发单元用于接收来自核心网网元的第一标识,该第一标识用于修改终端设备的安全保护策略,该第一标识与服务发现代码对应;在服务的发现流程中,该收发单元还用于向第一终端设备发送该服务发现代码;在该通信装置与该第一终端设备为该服务建立连接的过程中,该收发单元还用于接收来自该第一终端设备的第一信息,该第一信息用于指示是否开启该连接的安全保护,该第一信息是第一终端设备根据第一标识确定的;该处理单元用于根据该第一信息确定是否开启该连接的安全保护。
示例性地,核心网网元是策略控制功能网元、直连通信发现名称管理功能网元等。
示例性地,第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、第一指示信息,该第一指示信息用于指示允许终端设备的安全保护策略被强制修改。
结合第八方面或第九方面,在第八方面或第九方面的某些实现方式中,该通信装置不检查该连接的安全保护开启方式是否与第二安全保护策略匹配,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略。
结合第八方面或第九方面,在第八方面或第九方面的某些实现方式中,该第一信息还包括该第一标识。
第十方面,提供了一种通信装置,该通信装置包括收发单元和处理单元,该处理单元用于根据第一服务的安全保护策略配置和第二指示信息确定第一标识,该第二指示信息用于指示该第一服务的安全保护策略可在连接建立中被强制修改,该第一标识用于修改终端设备的安全保护策略;该收发单元用于向终端设备发送该第一标识。
示例性地,该通信装置是策略控制功能网元、直连通信发现名称管理功能网元等。
结合第十方面,在第十方面的某些实现方式中,该处理单元具体用于在确定该安全保护策略配置包括的多个安全保护策略取值不同时,根据该安全保护策略配置和该第二指示信息确定该第一标识,该多个安全保护策略包括该第一服务在不同地理位置的安全保护策略。
结合第十方面,在第十方面的某些实现方式中,该收发单元还用于接收来自第二核心网网元的该第二指示信息。
示例性地,该通信装置是策略控制功能网元,该第二核心网网元是应用功能网元;或者,该通信装置是直连通信发现名称管理功能网元,该第二核心网网元是策略控制功能网元。
结合第十方面,在第十方面的某些实现方式中,该收发单元还用于向该第二核心网网元发送第一请求消息,该第一请求消息用于请求该第二指示信息。
结合第十方面,在第十方面的某些实现方式中,该收发单元具体用于在确定该安全保护策略配置包括的多个安全保护策略取值不同时,向该第二核心网网元发送该第一请求消息,该多个安全保护策略包括该第一服务在不同地理位置的安全保护策略。
结合第十方面,在第十方面的某些实现方式中,该通信装置是第二直连通信发现名称管理功能网元,该终端设备是第二终端设备,该收发单元具体用于在确定第一安全保护策略与第二安全保护策略不匹配的情况下,向该第二终端设备发送该第一标识,该第一安全保护策略是第一终端设备在该第一服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该第一服务中使用的安全保护策略,该第一终端设备是与该第二终端设备为该第一服务建立连接的终端设备。
结合第十方面,在第十方面的某些实现方式中,该收发单元还用于接收来自第一直连通信发现名称管理网元的该第一安全保护策略;该处理单元还用于确定该第一安全保护策略与该第二安全保护策略不匹配。
结合第十方面,在第十方面的某些实现方式中,该收发单元还用于向第一直连通信发现名称管理网元发送该第二安全保护策略;该收发单元还用于接收来自该第一直连通信发现名称管理网元的第三指示信息,该第三指示信息用于指示该第一安全保护策略与该第二安全保护策略不匹配。
结合第十方面,在第十方面的某些实现方式中,该处理单元还用于根据该第二终端设备的位置信息,确定该第二安全保护策略。
结合第十方面,在第十方面的某些实现方式中,该收发单元还用于接收来自该第二终端设备的该位置信息。
结合第十方面,在第十方面的某些实现方式中,该处理单元还用于触发网关移动定位中心,使用定位业务获取该位置信息。
结合第十方面,在第十方面的某些实现方式中,该处理单元还用于向为该第二终端设备服务的接入和移动管理功能网元请求该第二终端设备的位置信息。
结合第十方面,在第十方面的某些实现方式中,该通信装置是第一直连通信发现名称管理功能网元,该终端设备是第一终端设备,该收发单元具体用于在确定第一安全保护策略与第二安全保护策略不匹配的情况下,向该第一终端设备发送该第一标识,该第一安全保护策略是该第一终端设备在该第一服务中使用的安全保护策略,该第二安全保护策略是第二终端设备在该第一服务中使用的安全保护策略,该第二终端设备是与该第一终端设备为该第一服务建立连接的终端设备。
结合第十方面,在第十方面的某些实现方式中,该收发单元还用于接收来自第二直连通信发现名称管理网元的该第二安全保护策略;该处理单元还用于确定该第一安全保护策略与该第二安全保护策略不匹配。
结合第十方面,在第十方面的某些实现方式中,该收发单元还用于向第二直连通信发现名称管理网元发送该第一安全保护策略;该收发单元还用于接收来自该第二直连通信发现名称管理网元的第三指示信息,该第三指示信息用于指示该第一安全保护策略与该第二安全保护策略不匹配。
结合第十方面,在第十方面的某些实现方式中,该处理单元还用于根据该第一终端设备的位置信息,确定该第一安全保护策略。
结合第十方面,在第十方面的某些实现方式中,该收发单元还用于接收来自该第一终端设备的该位置信息。
结合第十方面,在第十方面的某些实现方式中,该处理单元还用于触发网关移动定位中心,使用定位业务获取该位置信息。
结合第十方面,在第十方面的某些实现方式中,该处理单元还用于向为该第一终端设备服务的接入和移动管理功能网元请求该第一终端设备的位置信息。
结合第十方面,在第十方面的某些实现方式中,该通信装置是直连通信发现名称管理网元,该第一标识携带在直连通信发现消息中。
第十一方面,提供了一种通信装置,该通信装置包括收发单元和处理单元,该处理单元用于确定第一服务的安全保护策略配置包括的多个安全保护策略取值不同,该多个安全保护策略包括该第一服务在不同地理位置的安全保护策略;该收发单元用于向策略控制功能网元发送第二指示信息,该第二指示信息用于指示该第一服务的安全保护策略可在连接建立中被强制修改。
结合第十一方面,在第十一方面的某些实现方式中,该收发单元还用于接收来自该策略控制功能网元的第一请求消息,该第一请求消息用于请求该第二指示信息;该收发单元具体用于根据该第一请求消息向该策略控制功能网元发送该第二指示信息。
第十二方面,提供了一种通信装置,该通信装置包括收发单元,该收发单元用于向第一直连通信发现名称管理网元发送第二请求消息,该第二请求消息用于请求获取第一标识,该第一标识用于修改终端设备的安全保护策略;该收发单元还用于接收来自该第一直连通信发现名称管理网元的第二消息,该第二消息包括该第一标识;该收发单元还用于向第二终端设备发送该第一标识。
示例性地,该第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、第一指示信息,该第一指示信息用于指示允许终端设备的安全保护策略被强制修改。
结合第十二方面,在第十二方面的某些实现方式中,该第二请求消息包括第二安全保护策略,该第二消息还包括服务发现代码和/或第三指示信息,该第三指示信息用于指示第一安全保护策略与该第二安全保护策略不匹配,该服务发现代码与该第一标识对应,该第一安全保护策略是第一终端设备在服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略,该第一终端设备是与该第二终端设备为该服务建立连接的终端设备。
结合第十二方面,在第十二方面的某些实现方式中,该收发单元具体用于在确定第一安全保护策略与第二安全保护策略不匹配的情况下,向该第二终端设备发送该第一标识,该第一安全保护策略是第一终端设备在服务中使用的安全保护策略,该第二安全保护策略是该第二终端设备在该服务中使用的安全保护策略,该第一终端设备是与该第二终端设备为该服务建立连接的终端设备。
结合第十二方面,在第十二方面的某些实现方式中,该收发单元还用于接收来自该第一直连通信发现名称管理网元的该第一安全保护策略;该通信装置还包括处理单元,该处理单元用于确定该第一安全保护策略与该第二安全保护策略不匹配。
结合第十二方面,在第十二方面的某些实现方式中,该收发单元还用于向该第一直连通信发现名称管理网元发送该第二安全保护策略;该收发单元还用于接收来自该第一直连通信发现名称管理网元的第三指示信息,该第三指示信息用于指示该第一安全保护策略与该第二安全保护策略不匹配。
结合第十二方面,在第十二方面的某些实现方式中,该处理单元还用于根据该第一终端设备的位置信息,确定该第一安全保护策略。
结合第十二方面,在第十二方面的某些实现方式中,该收发单元还用于接收来自该第一终端设备的该位置信息。
结合第十二方面,在第十二方面的某些实现方式中,该处理单元还用于触发网关移动定位中心,使用定位业务获取该位置信息。
结合第十二方面,在第十二方面的某些实现方式中,该处理单元还用于向为该第一终端设备服务的接入和移动管理功能网元请求该第一终端设备的位置信息。
结合第十二方面,在第十二方面的某些实现方式中,该第一标识携带在直连通信发现消息中。
第十三方面,本申请提供了一种通信设备,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第一方面或第一方面中任一种可能实现方式中的方法。其中,该通信设备还包括存储器。其中,该通信设备还包括通信接口,处理器与通信接口耦合。
在一种实现方式中,该通信设备为第一终端设备。当该通信设备为第一终端设备时,所述通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该通信设备为配置于第一终端设备中的芯片或芯片系统。当该通信设备为配置于第一终端设备中的芯片或芯片系统时,该通信接口可以是输入/输出接口。
其中,该收发器可以为收发电路。其中,该输入/输出接口可以为输入/输出电路。
第十四方面,本申请提供了一种通信设备,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第二方面或第二方面中任一种可能实现方式中的方法,或者实现上述第三方面或第三方面中任一种可能实现方式中的方法。其中,该通信设备还包括存储器。其中,该通信设备还包括通信接口,处理器与通信接口耦合。
在一种实现方式中,该通信设备为第二终端设备。当该通信设备为第二终端设备时,所述通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该通信设备为配置于第二终端设备中的芯片或芯片系统。当该通信设备为配置于第二终端设备中的芯片或芯片系统时,该通信接口可以是输入/输出接口。
其中,该收发器可以为收发电路。其中,该输入/输出接口可以为输入/输出电路。
第十五方面,本申请提供了一种通信设备,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第四方面或第四方面中任一种可能实现方式中的方法。其中,该通信设备还包括存储器。其中,该通信设备还包括通信接口,处理器与通信接口耦合。
在一种实现方式中,该通信设备为核心网网元。当该通信设备为核心网网元时,所述通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该通信设备为配置于核心网网元中的芯片或芯片系统。当该通信设备为配置于核心网网元中的芯片或芯片系统时,该通信接口可以是输入/输出接口。
其中,该收发器可以为收发电路。其中,该输入/输出接口可以为输入/输出电路。
第十六方面,本申请提供了一种通信设备,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第五方面或第五方面中任一种可能实现方式中的方法。其中,该通信设备还包括存储器。其中,该通信设备还包括通信接口,处理器与通信接口耦合。
在一种实现方式中,该通信设备为应用功能网元。当该通信设备为应用功能网元时,所述通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该通信设备为配置于应用功能网元中的芯片或芯片系统。当该通信设备为配置于应用功能网元中的芯片或芯片系统时,该通信接口可以是输入/输出接口。
其中,该收发器可以为收发电路。其中,该输入/输出接口可以为输入/输出电路。
第十七方面,本申请提供了一种通信设备,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第六方面或第六方面中任一种可能实现方式中的方法。其中,该通信设备还包括存储器。其中,该通信设备还包括通信接口,处理器与通信接口耦合。
在一种实现方式中,该通信设备为直连通信发现名称管理功能网元。当该通信设备为直连通信发现名称管理功能网元时,所述通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该通信设备为配置于直连通信发现名称管理功能网元中的芯片或芯片系统。当该通信设备为配置于直连通信发现名称管理功能网元中的芯片或芯片系统时,该通信接口可以是输入/输出接口。
其中,该收发器可以为收发电路。其中,该输入/输出接口可以为输入/输出电路。
第十八方面,本申请提供了一种处理器,包括:输入电路、输出电路和处理电路。所述处理电路用于通过所述输入电路接收信号,并通过所述输出电路发射信号,使得所述处理器执行上述各个方面中的方法。
在具体实现过程中,上述处理器可以为芯片,输入电路可以为输入管脚,输出电路可以为输出管脚,处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的,输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的,且输入电路和输出电路可以是同一电路,该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。
第十九方面,本申请提供了一种处理装置,包括通信接口和处理器。所述通信接口与所述处理器耦合。所述通信接口用于输入和/或输出信息。所述信息包括指令或数据中的至少一项。所述处理器用于执行计算机程序,以使得所述处理装置执行上述各个方面中的方法。
第二十方面,本申请提供了一种处理装置,包括处理器和存储器。该处理器用于读取存储器中存储的指令,并可通过接收器接收信号,通过发射器发射信号,以使得所述处理装置执行上述各个方面中的方法。
可选地,上述处理器为一个或多个。如果有存储器,存储器也可以为一个或多个。
可选地,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
在具体实现过程中,存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
应理解,相关的信息交互过程,例如发送指示信息可以为从处理器输出指示信息的过程,接收指示信息可以为向处理器输入接收到的指示信息的过程。具体地,处理输出的信息可以输出给发射器,处理器接收的输入信息可以来自接收器。其中,发射器和接收器可以统称为收发器。
上述第十九方面和第二十方面中的装置可以是芯片,该处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于该处理器之外,独立存在。
第二十一方面,本申请提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码,或指令),当所述计算机程序被运行时,使得计算机执行上述各个方面中的方法。
第二十二方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序(也可以称为代码,或指令)当其在计算机上运行时,使得计算机执行上述各个方面中的方法。
第二十三方面,本申请提供了一种通信系统,包括前述的第一终端设备和第二终端设备,或者包括前述的第一终端设备和/或第二终端设备、核心网网元、应用功能网元。
附图说明
图1是适用于本申请实施例的一种网络架构的示意图。
图2是两个终端设备建立单播连接的示意性流程图。
图3是本申请实施例提供的通信方法的示意性流程图。
图4是本申请另一实施例提供的通信方法的示意性流程图。
图5是本申请另一实施例提供的通信方法的示意性流程图。
图6是本申请另一实施例提供的通信方法的示意性流程图。
图7是本申请另一实施例提供的通信方法的示意性流程图。
图8是本申请实施例提供的通信装置的示意性框图。
图9是本申请实施例提供的通信设备的示意性框图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如:长期演进(long termevolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)系统、通用移动通信系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信系统、5G系统或新无线(new radio,NR)、第六代(6thgeneration,6G)系统或未来的通信系统等。本申请中所述的5G移动通信系统包括非独立组网(non-standalone,NSA)的5G移动通信系统或独立组网(standalone,SA)的5G移动通信系统。通信系统还可以是陆地公用移动通信网(public land mobile network,PLMN)网络、设备到设备(device-to-device,D2D)通信系统、机器到机器(machine to machine,M2M)通信系统、物联网(internet of Things,IoT)通信系统或者其他通信系统。
为了方便理解本申请实施例的技术方案,首先对本申请中涉及的几个基本概念做简要介绍。
第一,发现类型(discovery type):
本申请实施例中,发现类型包括开放发现(open discovery)或者限制发现(restricted discovery)。open discovery与restricted discovery的相关描述可参考第三代合作伙伴计划(3rd generation partnership project,3GPP)技术标准(technicalstandards,TS)23.303,v16.1.0,在此不予赘述。举个例子,比如一个终端设备自己打游戏,没有明确的游戏伙伴,则该终端设备可以发起一个开放发现,“随机”找到一个游戏伙伴。而若该终端设备打游戏时有明确的伙伴,则该终端设备可以通过限制发现来“指定”一个伙伴,只有该终端设备指定的伙伴才能接入游戏,其他的则不能接入游戏。
第二,发现模型(discovery mode):
在第四代(4th generation,4G)ProSe标准(3GPP技术规范(technicalspecification,TS)23.303,v16.0.0)中,定义了两种发现模型:模型A(model A)和模型B(model B)。Model A和Model B的区别在于发起发现(discovery)的方式不同。
Model A的含义是“我在这”,在model A发现流程中,两端用户设备(userequipment,UE)分别为播报方UE(announcing UE)和监听方UE(monitoring UE)。announcing UE广播“我在这”,monitoring UE接收到announcing UE广播的消息后根据是否符合自己业务需求确定是否与announcing UE建立临近业务的连接。具体来说,播报方UE拿到ProSe参数后会主动广播自己感兴趣的临近业务。监听方UE在拿到ProSe参数后,该ProSe参数用于监听感兴趣的临近业务。也就是说,在model A发现流程中,首条消息由播报方UE发起,而监听方UE接收到播报方UE的消息后,根据是否符合自己的业务需求确定是否继续发起单播建立流程。
Model B的含义是“谁在那?/你在哪?”,在model B发现流程中,两端UE分别为被发现者UE(discoveree UE)和发现者UE(discoverer UE)。在model B发现流程中,首条消息由发现者UE发起以请求某项临近业务。而被发现者UE在收到请求后,根据自己是否可以提供该临近业务服务确定是否回复该请求消息。进一步地,发现者UE收到回复消息之后发起单播建立流程。
第三,安全保护策略与安全保护策略匹配:
安全保护策略是用于描述是否开启安全保护的策略,可用于确定安全保护方法。本申请实施例中用于不同场景的安全保护策略包括以下至少一种保护策略:
PC5连接中的控制面机密性保护策略;
PC5连接中的控制面完整性保护策略;
PC5连接中的用户面机密性保护策略;
或者,PC5连接中的用户面完整性保护策略。
其中,控制面机密性保护即保护信令在传输过程中的机密性;控制面完整性保护即保护信令在传输过程中的完整性;用户面机密性保护即保护用户面数据在传输过程中的机密性;用户面完整性保护即保护用户面数据在传输过程中的完整。本申请实施例中,完整性是指获取到的信令或数据与原始的信令或数据一致,没有被修改,因此,完整性保护是为了使得攻击者“攻击不成”。机密性是指无法被直接看出真实内容,因此机密性保护是为了使得攻击者“读不懂”。此外,本申请实施例中的机密性保护也可以称为加密保护,在此统一说明,以下不再赘述。
本申请实施例中,控制面机密性保护策略与控制面完整性保护策略属于控制面安全保护策略;用户面机密性保护策略与用户面完整性保护策略属于用户面安全保护策略,在此统一说明,以下不再赘述。
本申请实施例中,安全保护策略存在三种可能的取值:需要(REQUIRED),不需要(NOT NEEDED)和推荐(PREFERRED)三种。REQUIRED为必须开启安全,NOT NEEDED为不需要开启安全,PREFERRED表示偏好开启安全,即可以开启安全但也可以不开启安全,在此统一说明,以下不再赘述。
需要说明的是,直连应用服务器或应用功能网元根据应用需求确定的安全保护策略的具体取值名称,可不为上述三种(REQUIRED,NOT NEEDED和PREFERRED)。但直连服务器或应用功能网元根据应用需求确定的安全保护策略也会分为需要开启安全、不需要开启安全和偏好开启安全,具体名称此处不做限定。也就是说,直连应用服务器或应用功能网元确定的安全保护策略中,表示必须开启安全的取值可能不是REQUIRED,和/或,表示偏好开启安全的取值可能不是PREFERRED,和/或,表示不需要开启安全的取值可能不能NOT NEEDED。核心网网元会将直连应用服务器或应用功能网元根据应用需求确定的安全保护策略,映射为网络中使用的上述三种取值,即REQUIRED,NOT NEEDED和PREFERRED。下文实施例中,为了便于区分,将直连应用服务器或应用功能网元根据应用需求确定的安全保护策略配置记为安全保护策略配置#1。
示例性的,以PC5连接中的控制面机密性保护策略为例,则PC5连接中的控制面机密性保护策略包括:PC5连接中的控制面机密性保护开启(REQUIRED)、PC5连接中的控制面机密性保护不开启(NOT NEEDED)、或者PC5连接中的控制面机密性保护可选(PREFERRED)。PC5连接中的控制面完整性保护策略、PC5连接中的用户面机密性保护策略、或者PC5连接中的用户面完整性保护策略的示例可参考PC5连接中的控制面机密性保护策略的示例,在此不再赘述。
需要说明的是,本申请实施例中,安全保护策略在被发送时,一般情况下只会选择三种(REQUIRED、NOT NEEDED和PREFERRED)中的一种发送,在某些特殊的场景下可能会选择至少2种发送,并且其中一个是PREFERRED。比如,在发送NOT NEEDED和PREFERRED时,代表倾向不开启安全保护;在发送REQUIRED和PREFERRED时,则代表倾向开启安全保护。
本申请实施例中,对于安全保护策略中的某种保护策略,假设一个终端设备的保护策略为保护开启(REQUIRED),另一个终端设备的保护策略为保护不开启(NOT NEEDED),则可以认为这两个终端设备的这种保护策略不匹配,否则可以认为这两个终端设备的这种保护策略匹配。
示例性的,以PC5连接中的用户面机密性保护为例,假设第一终端设备在PC5连接中的用户面机密性保护策略为不开启(NOT NEEDED),第二终端设备在PC5连接中的用户面机密性保护策略为开启(REQUIRED);或者,假设第一终端设备在PC5连接中的用户面机密性保护策略为开启(REQUIRED),第二终端设备在PC5连接中的用户面机密性保护策略为不开启(NOT NEEDED),则可以确定第一终端设备与第二终端设备在PC5连接中的用户面机密性保护策略不匹配。第一终端设备和第二终端设备在PC5连接中的用户面机密性保护策略为其他取值的情况,可以视为第一终端设备与第二终端设备在PC5连接中的用户面机密性保护策略匹配。
一种可能的实现方式中,本申请实施例中,当安全保护策略包括一种保护策略时,安全保护策略匹配是指该保护策略匹配。比如,假设安全保护策略仅包括PC5连接中的用户面机密性保护策略,则只要PC5连接中的用户面机密性保护策略匹配,则可以认为安全保护策略匹配。
另一种可能的实现方式中,本申请实施例中,当安全保护策略包括多种保护策略时,安全保护策略匹配是指这多种保护策略中的每种保护策略均匹配。比如,假设安全保护策略包括PC5连接中的用户面机密性保护策略和完整性保护策略,则当PC5连接中的用户面机密性保护策略匹配,并且PC5连接中的用户面完整性保护策略匹配时,可以认为安全保护策略匹配;否则认为安全保护策略不匹配。
需要说明的是,本申请实施例中,PC5连接中的控制面机密性保护策略、PC5连接中的控制面完整性保护策略、PC5连接中的用户面机密性保护策略、或者PC5连接中的用户面完整性保护策略中的多种保护策略可以相同也可以不同,本申请实施例对此不做具体限定。
第四,安全保护方法:
本申请实施例中的安全保护方法分为以下两类:
1、PC5连接的控制面使用的安全保护方法,用于保护PC5连接的控制面信令。
2、PC5连接的用户面使用的安全保护方法,用于保护PC5连接的用户面数据。
本申请实施例中,安全保护方法包括机密性保护和/或完整性保护是否开启,在此统一说明,以下不再赘述。
示例性的,PC5连接的控制面使用的安全保护方法可以包括PC5连接的控制面的机密性保护和/或完整性保护是否开启;或者,PC5连接的用户面使用的安全保护方法可以包括PC5连接的用户面的机密性保护和/或完整性保护是否开启。需要说明的是,本申请实施例中,PC5连接的控制面使用的安全保护方法与PC5连接的用户面使用的安全保护方法属于PC5连接的安全保护方法,在此统一说明,以下不再赘述。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请的描述中,除非另有说明,“/”表示前后关联的对象是一种“或”的关系,例如,A/B可以表示A或B;本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。并且,在本申请的描述中,除非另有说明,“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。同时,在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,便于理解。
此外,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
为便于理解本申请实施例,首先结合图1详细说明本申请实施例的一个应用场景。
图1是适用于本申请实施例提供的方法的网络架构的示意图。如图所示,该网络架构具体可以包括下列网元:
1、用户设备(user equipment,UE):可以称为终端设备、终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字处理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、无人机、可穿戴设备,5G网络中的终端设备或演进的公用陆地移动通信网络(public land mobile network,PLMN)中的终端设备等,本申请实施例对此并不限定。UE可以通过Uu接口与下一代无线接入网(nextgeneration radio access network,NG-RAN)设备相连,例如图1所示的UE#A和UE#D通过Uu接口与NG-RAN相连。两个具有邻近业务应用(proximity-based services application)功能的UE之间也可以通过PC5接口相连,例如图1所示的UE#A与UE#B通过PC5接口相连,UE#B与UE#C通过PC5接口相连,UE#A与UE#D通过PC5接口相连。
2、接入网(access network,AN):为特定区域的授权用户提供入网功能,并能够根据用户的级别,业务的需求等使用不同质量的传输隧道。接入网络可以为采用不同接入技术的接入网络。目前的接入网络技术包括:第三代(3rd generation,3G)系统中采用的无线接入网技术、4G系统中采用的无线接入网技术、或图1所示的NG-RAN技术(如5G系统中采用的无线接入技术)等。
基于无线通信技术实现接入网络功能的接入网可以称为无线接入网络(radioaccess network,RAN)。无线接入网能够管理无线资源,为终端提供接入服务,进而完成控制信号和用户数据在终端和核心网之间的转发。
无线接入网设备例如可以是基站(NodeB)、演进型基站(evolved NodeB,eNB或eNodeB)、5G移动通信系统中的下一代基站节点(next generation Node Base station,gNB)、为例移动通信系统中的基站或无线保真(wireless fidelity,WiFi)系统中的接入点(access point,AP)等,还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,或者该无线接入网设备可以为中继站、接入点、车载设备、无人机、可穿戴设备以及5G网络中的网络设备或者演进的PLMN中的网络设备等。本申请实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。
3、接入管理网元:主要用于移动性管理和接入管理、负责在用户设备与策略控制功能(policy control function,PCF)网元间传递用户策略等,可以用于实现移动性管理实体(mobility management entity,MME)功能中除会话管理之外的其他功能。例如,合法监听、或接入授权(或鉴权)的功能。
在5G通信系统中,接入管理网元可以是接入和移动管理功能(access andmobility management function,AMF)网元。在未来通信系统中,接入管理网元仍可以是AMF网元,或者,还可以有其他的名称,本申请不做限定。
4、会话管理网元:主要用于会话管理、用户设备的网络互连协议(internetprotocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
在5G通信系统中,会话管理网元可以会话管理功能(session managementfunction,SMF)网元。在未来通信系统中,会话管理网元仍可以是SMF网元,或者,还可以有其他的名称,本申请不做限定。
5、用户面网元:用于分组路由和转发、用户面数据的服务质量(quality ofservices,QoS)处理、完成用户面数据转发、基于会话/流级的计费统计,带宽限制等功能等。
在5G通信系统中,用户面网元可以是用户面功能(user plane function,UPF)网元。在未来通信系统中,用户面网元仍可以是UPF网元,或者,还可以有其他名称,本申请不做限定。
6、数据网络网元:用于提供传输数据的网络。
在5G通信系统中,数据网络网元可以是数据网络(data network,DN)网元。在未来通信系统中,数据网络网元仍可以是DN网元,或者,还可以有其他名称,本申请不做限定。
7、策略控制网元:用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF网元等)提供策略规则信息等。
在4G通信系统中,该策略控制网元可以是策略和计费规则功能(policy andcharging rules function,PCRF)网元。在5G通信系统中,该策略控制网元可以是策略控制功能(policy control function,PCF)网元。在未来通信系统中,该策略控制网元仍可以是PCF网元,或者,还可以有其他名称,本申请不做限定。
8、数据管理网元:用于处理用户设备标识,接入鉴权,注册以及移动性管理等。
在5G通信系统中,该数据管理网元可以是统一数据管理(unified datamanagement,UDM)网元;在4G通信系统中,该数据管理网元可以是归属用户服务器(homesubscriber serve,HSS)网元。在未来通信系统中,数据管理网元仍可以是UDM网元,或者,还可以有其他的名称,本申请不做限定。
9、数据仓库网元:用于负责签约数据、策略数据、应用数据等类型数据的存取功能。
在5G通信系统中,该数据仓库网元可以是统一数据仓库(unified datarepository,UDR)网元。在未来通信系统中,数据仓库网元仍可以是UDR网元,或者,还可以有其他的名称,本申请不做限定。
10、网络开放功能(network exposure function,NEF)实体:用于安全地向外部开放由3GPP网络功能提供的业务和能力等。
11、ProSe应用服务器(application server):可以是DN的应用功能(applicationfunction,AF)。具有ProSe应用服务器功能的AF具有23.501R-15版本中定义的AF的所有功能,以及具有用于ProSe业务的相关功能。也就是说,在用户面架构中,ProSe应用服务器与UE是通过UE-RAN-UPF-AF的路径进行用户面通信。ProSe应用服务器还可以在控制面架构中,通过NEF与5G核心网(5G core network,5GC)中的其他网络功能(network function,NF)进行通信。比如通过NEF与PCF通信。如果ProSe应用服务器是DN的AF,且该AF为5GC的运营商布置,则ProSe应用服务器还可在控制面架构中,不通过NEF与5GC中的其他NF进行直接通信,比如直接与PCF通信。
12、5G直连通信发现名称管理功能(direct discovery name managementfunction,DDNMF):具有为开放邻近业务发现(open ProSe discovery)分配和处理邻近业务应用标识(ProSe application identifier)和邻近业务应用代码(ProSe applicationcode)之间映射关系的作用。在受限邻近业务发现(restricted ProSe direct discovery)中,5G DDNMF可以通过PC2接口与邻近业务应用服务器通信,用于处理发现请求(discoveryrequest)的授权,也具有未分配和处理应用标识(application identifier)和受限临近业务中使用的代码之间映射关系的作用,其中受限临近业务中使用的代码包括受限临近业务代码(ProSe restricted code)、临近业务请求代码(ProSe query code)和临近业务回复代码(ProSe response code)。
目前标准定义中,5G DDNMF是PLMN粒度的,即一个PLMN只有一个5G DDNMF。通过移动国家码(mobile country code,MCC)和移动网络码(mobile network code,MNC)可以唯一确定一个5G DDNMF。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。上述网元或者功能可以由一个设备实现,也可以由多个设备共同实现,还可以是一个设备内的一个功能模块,本申请实施例对此不作具体限定。
还应理解,上述图1所示的适用于本申请实施例的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
例如,在某些网络架构中,AMF、SMF网元、PCF网元以及UDM网元等网络功能网元实体都称为网络功能(network function,NF)网元;或者,在另一些网络架构中,AMF,SMF网元,PCF网元,UDM网元等网元的集合都可以称为控制面功能网元。
对于ProSe,两端UE在建立单播通信之前需要先执行ProSe发现流程,以确定通信的对端UE。
下面结合图2以UE#1与UE#2建立单播连接为例说明两个UE之间建立单播连接的过程。其中,在发现流程中,UE#1和UE#2可以分别对应model A中的监听方UE和播报方UE,或者,UE#1和UE#2可以分别对应model B中的发现者UE和被发现者UE。
S210,UE#1向UE#2发送直连通信请求(direct communication request,DCR)消息以发起建立PC5单播通信建立。
直连通信请求消息可以包括UE#1的安全能力(security capabilities)和UE#1的控制面安全保护策略(signaling security policy)。其中UE的安全能力为该UE支持使用的安全保护算法,安全保护算法包括机密性保护算法和/或完整性保护算法。
S220,UE#1与UE#2之间进行直连认证和密钥建立流程。
S230,UE#2向UE#1发送直连安全模式(direct security mode,DSM)命令(command)消息。
UE#2收到来自UE#1的直连通信请求消息之后,会先确定UE#1的控制面安全保护策略与本端的控制面安全保护策略是否匹配。
若UE#1的控制面安全保护策略与本端的控制面安全保护策略不匹配,则UE#2会拒绝连接建立。若UE#1的控制面安全保护策略与本端的控制面安全保护策略匹配,则UE#2会根据两个UE的控制面安全保护策略确定控制面安全保护开启方式。进一步地,UE#2向UE#1发送直连安全模式命令消息,直连安全模式命令消息包括选定的安全保护算法,安全保护算法包括机密性保护算法和完整性保护算法。需要说明的是,直连安全模式命令消息中包括的安全保护算法是根据UE#2确定的控制面安全保护开启方式、UE#1的安全能力和UE#2的安全能力确定的。
通过直连安全模式命令消息中携带的安全保护算法,可以将UE#2选定的控制面机密性保护和完整性保护开启方式指示给UE#1。例如,空算法(Null)表示对应的安全保护不开启,非空算法(non-Null)表示对应的安全保护开启。
S240,UE#1向UE#2发送直连安全模式完成(complete)消息。
UE#1收到来自UE#2的直连安全模式命令消息之后,会检测其中携带的选定的安全算法隐式指示的安全保护开启方式是否符合本端的控制面安全保护策略。如果不符合,则UE#1会拒绝连接建立;如果符合,则UE#1向UE#2发送直连安全模式完成消息。直连安全模式完成消息包括UE#1的用户面安全保护策略(user plane security policy)。
S250,UE#2向UE#1发送直连通信接受(direct communication accept,DCA)消息。
UE#2接收到来自UE#1的直连安全模式完成消息之后,会先确定UE#1的用户面安全保护策略与本端的用户面安全保护策略是否匹配。
若UE#1的用户面安全保护策略与本端的用户面安全保护策略不匹配,则UE#2会拒绝连接建立。若UE#1的用户面安全保护策略与本端的用户面安全保护策略匹配,则UE#2会根据两个UE的用户面安全保护策略确定用户面安全保护开启方式。进一步地,UE#2向UE#1发送直连通信接受消息,直连通信接受消息包括用户面安全配置(user plane securityconfiguration)信息,用于向UE#1通知选定的用户面安全保护开启方式。
如上所述,在单播连接建立流程中,两个UE可能会因为两端的安全保护策略不匹配而导致单播连接建立失败,进一步导致单播连接建立流程之前的发现流程浪费信令,影响网络资源效率和直连服务的互通性。
有鉴于此,本申请提供一种确定安全保护开启方式的方法,以使得两个UE能成功建立连接。
应理解,下文示出的实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够运行记录有本申请实施例提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是终端设备或核心网设备,或者,是终端设备或核心网设备中能够调用程序并执行程序的功能模块。
还需要说明的是,本申请实施例中记载的安全保护策略包括控制面安全保护策略和/或用户面安全保护策略,进一步地,控制面安全保护策略包括控制面机密性保护策略和/或控制面完整性保护策略,用户面安全保护策略包括用户面机密性保护策略和/或用户面完整性保护策略。本申请实施例中记载的安全保护开启方式包括控制面安全保护开启方式和/或用户面安全保护开启方式,进一步地,控制面安全保护开启方式包括控制面机密性保护开启方式和/或控制面完整性包括开启方式,用户面安全保护开启方式包括用户面机密性保护开启方式和/或用户面完整性保护开启方式。
以下,不失一般性,以终端设备或核心网设备之间的交互为例详细说明本申请实施例提供的确定安全保护开启方式的方法。
图3示出了本申请实施例提供的确定安全保护开启方式的方法的示意性流程图。如图3所示,方法300可以包括S310至S340,下面详细描述各个步骤。
S310,第一终端设备和第二终端设备分别接收来自核心网网元的第一标识。
其中,对于第一终端设备,核心网网元可以是为第一终端设备提供服务的第一策略控制功能网元、第一直连通信发现名称管理功能网元等,本申请对此不作限定。对于第二终端设备,核心网网元可以是为第二终端设备提供服务的第二策略控制功能网元、第二直连通信发现名称管理功能网元等。其中,第一终端设备和第二终端设备可从同一核心网网元获取第一标识,也可以从不同的核心网网元获取第一标识。下文会结合图4说明终端设备如何从策略控制功能网元获取第一标识,为了简洁,此处暂不详述。以及下文会结合图5说明终端设备如何从直连通信发现名称管理功能网元获取第一标识,为了简洁,此处暂不详述。
第一标识用于修改终端设备的安全保护策略。具体地,第一标识用于修改终端设备在第一服务中使用的安全保护策略,终端设备在第一服务中使用的安全保护策略是策略控制功能网元为终端设备配置的。
示例性地,第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、指示信息#1(第一指示信息的一例)。
其中,新的安全保护策略指的是,核心网网元根据第一服务的安全保护策略配置确定的安全保护策略。新的安全保护策略可以与该安全保护策略配置包括的安全保护策略相同,也可以与该安全保护策略配置包括的安全保护策略不相同,本申请实施例对此不作限定。由于第一标识用于修改终端设备的安全保护策略,因此新的安全保护策略可以认为是修改终端设备的安全保护策略时使用的安全保护策略。
新的安全保护开启方式指的是,核心网网元根据第一服务的安全保护策略配置确定的安全保护开启方式。新的安全保护开启方式可以与该安全保护策略配置包括的安全保护策略匹配,也可以与该安全保护策略配置包括的安全保护策略不匹配,本申请实施例对此不作限定。安全保护开启方式与安全保护策略匹配可以是:安全保护开启方式是开启安全保护,安全保护策略的取值不是NOT NEEDED;或者,安全保护开启方式是不开启安全保护,安全保护策略的取值不是REQUIRED。安全保护开启方式与安全保护策略不匹配可以是:安全保护开启方式是开启安全保护,安全保护策略的取值是NOT NEEDED;或者,安全保护开启方式是不开启安全保护,安全保护策略的取值是REQUIRED。由于第一标识用于修改终端设备的安全保护策略,因此新的安全保护开启方式可以认为是修改终端设备的安全保护策略时使用的安全保护开启方式。
指示信息#1用于指示允许终端设备的安全保护策略被强制修改。具体地,指示信息#1用于指示在建立第一服务的连接的过程中允许终端设备的安全保护策略被强制修改。或者,指示信息#1用于指示终端设备在第一服务中使用的安全保护策略允许被强制修改。
示例性地,第一标识可以被命名为安全保护策略强制修改标识。例如,第一标识可以被记为“overrule标识”或者“overwrite标识”。
可选的,第一标识还可以用于指示终端设备使用的安全保护开启方式,而不用于修改终端设备的安全保护策略。具体地,第一标识用于指示终端设备在第一服务中使用的安全保护开启方式。
S320,第一终端设备根据第一标识确定是否开启连接的安全保护。
具体地,在第一终端设备与第二终端设备建立第一服务的连接的过程中,第一终端设备根据第一标识确定是否开启该连接的安全保护。示例性地,该第一服务是直连服务,该第一服务的连接是单播连接。
需要说明的是,第一终端设备可根据从核心网网元获取的第一标识确定是否开启该连接的安全保护,也可以根据从第二终端设备获取的第一标识确定是否开启该连接的安全保护。如果第一终端设备根据从核心网网元获取的第一标识确定是否开启该连接的安全保护,可理解为第一终端设备默认可根据第一标识确定是否开启第一服务的连接的安全保护,省去额外的处理逻辑,提高第一终端设备的处理效率。如果第一终端设备根据从第二终端设备获取的第一标识确定是否开启该连接的安全保护,则第一终端设备可以自主选择是否根据第一标识来确定是否开启第一服务的连接的安全保护,具有更好的灵活性。
其中,第一终端设备和第二终端设备分别为发现模式A下的播报方UE和监听方UE,或者,第一终端设备和第二终端设备分别为发现模式B下的被发现者UE和发现者UE。在发现流程之后的连接建立流程中,第二终端设备为连接建立流程中的发起端UE,第一终端设备为连接建立流程中的接收端UE。
是否开启该连接的安全保护包括是否开启该连接的控制面安全保护和/或该连接的用户面安全保护。是否开启该连接的控制面安全保护包括是否开启该连接的控制面机密性保护和/或该连接的控制面完整性保护。是否开启该连接的用户面安全保护包括是否开启该连接的用户面机密性保护和/或该连接的用户面完整性保护。
可以理解,是否开启连接的安全保护可以等同于连接的安全保护开启方式,因此S320可以被替换为:第一终端设备根据第一标识确定该连接的安全保护开启方式。该连接的安全保护开启方式包括控制面安全保护开启方式和/或用户面安全保护开启方式。控制面安全保护开启方式包括控制面机密性保护开启方式和/或控制面完整性保护开启方式。用户面安全保护开启方式包括用户面机密性保护开启方式和/或用户面完整性保护开启方式。安全保护开启方式包括开启安全保护或不开启安全保护。
如S310所述,第一标识可以是不同的形式。进一步地,对于不同的第一标识,第一终端设备根据第一标识确定是否开启该连接的安全保护的方法也不同,具体如下所述。
在一种可能的实现方式中,第一标识为指示信息#1。
作为一个示例,第一终端设备根据指示信息#1和安全保护策略#1(第一安全保护策略的一例)确定是否开启该连接的安全保护。安全保护策略#1为第一终端设备在第一服务中使用的安全保护策略,因此可以说,第一终端设备根据指示信息#1确定该连接的安全保护是否开启时,直接根据本端的安全保护策略确定。第一终端设备根据指示信息#1和安全保护策略#1确定是否开启该连接的安全保护能够使得第一终端设备的处理逻辑更简单,提高第一终端设备的处理效率。
例如,第一终端设备获取了指示信息#1,且安全保护策略#1包括的控制面安全保护策略#1和/或用户面安全保护策略#1为需要开启,则第一终端设备确定开启该连接的控制面安全保护和/或用户面安全保护。其中,确定开启该连接的控制面安全保护包括确定开启该连接的控制面机密性保护和/或控制面完整性保护,确定开启该连接的用户面安全保护包括确定开启该连接的用户面机密性保护和/或用户面完整性保护。
具体地,在第一终端设备获取了指示信息#1的情况下:若控制面安全保护策略#1包括的控制面机密性保护策略的取值为REQUIRED,则第一终端设备确定开启该连接的控制面机密性保护;若控制面安全保护策略#1包括的控制面完整性保护策略的取值为REQUIRED,则第一终端设备确定开启该连接的控制面完整性保护;若用户面安全保护策略#1包括的用户面机密性保护策略的取值为REQUIRED,则第一终端设备确定开启该连接的用户面机密性保护;若用户面安全保护策略#1包括的用户面完整性保护策略的取值为REQUIRED,则第一终端设备确定开启该连接的用户面完整性保护。
又例如,第一终端设备获取了指示信息#1,且安全保护策略#1包括的控制面安全保护策略#1和/或用户面安全保护策略#1为不需要开启安全保护,则第一终端设备确定不开启该连接的控制面安全保护和/或用户面安全保护。其中,不开启该连接的控制面安全保护包括不开启该连接的控制面机密性保护和/或控制面完整性保护,不开启该连接的用户面安全保护包括不开启该连接的用户面机密性保护和/或用户面完整性保护。
具体地,在第一终端设备获取了指示信息#1的情况下:若控制面安全保护策略#1包括的控制面机密性保护策略的取值为NOT NEEDED,则第一终端设备确定不开启该连接的控制面机密性保护;若控制面安全保护策略#1包括的控制面完整性保护策略的取值为NOTNEEDED,则第一终端设备确定不开启该连接的控制面完整性保护;若用户面安全保护策略#1包括的用户面机密性保护策略的取值为NOT NEEDED,则第一终端设备确定不开启该连接的用户面机密性保护;若用户面安全保护策略#1包括的用户面完整性保护策略的取值为NOT NEEDED,则第一终端设备确定不开启该连接的用户面完整性保护。
可选地,在第一终端设备根据指示信息#1和安全保护策略#1确定是否开启该连接的完整性保护时,还可以考虑第一终端设备可支持的完整性保护速率。
作为另一个示例,第一终端设备根据指示信息#1、安全保护策略#1和第一终端设备可支持的完整性保护速率,确定是否开启该连接的完整性保护,可使得第一终端设备根据自己设备实时处理能力确定是否开启完整性保护,更适合第一终端设备的实时需求。
例如,第一终端设备获取了指示信息#1,安全保护策略#1包括的控制面完整性保护策略#1和/或用户面完整性保护策略#1为需要开启,且第一终端设备可支持的完整性保护速率可支持控制面完整性保护和/或用户面完整性保护开启。则第一终端设备确定开启该连接的控制面完整性保护和/或用户面完整性保护。
具体地,在第一终端设备获取了指示信息#1的情况下:若控制面安全保护策略#1包括的控制面完整性保护策略的取值为REQUIRED,且第一终端设备可支持的完整性保护速率可支持控制面完整性保护开启,则第一终端设备确定开启该连接的控制面完整性保护;若用户面安全保护策略#1包括的用户面完整性保护策略的取值为REQUIRED,且第一终端设备可支持的完整性保护速率可支持用户面完整性保护开启,则第一终端设备确定开启该连接的用户面完整性保护。
再例如,第一终端设备获取了指示信息#1,安全保护策略#1包括的控制面完整性保护策略#1和/或用户面完整性保护策略#1为需要开启,且第一终端设备可支持的完整性保护速率不支持控制面完整性保护和/或用户面完整性保护开启。则第一终端设备确定不开启该连接的控制面完整性保护和/或用户面完整性保护。
具体地,在第一终端设备获取了指示信息#1的情况下:若控制面安全保护策略#1包括的控制面完整性保护策略的取值为REQUIRED,且第一终端设备可支持的完整性保护速率不支持控制面完整性保护开启,则第一终端设备确定不开启该连接的控制面完整性保护;若用户面安全保护策略#1包括的用户面完整性保护策略的取值为REQUIRED,且第一终端设备可支持的完整性保护速率不支持用户面完整性保护开启,则第一终端设备确定不开启该连接的用户面完整性保护。
作为再一个示例,第一终端设备根据指示信息#1、安全保护策略#1和安全保护策略#2(第二安全保护策略的一例)确定是否开启该连接的安全保护。
其中,安全保护策略#2是第二终端设备在第一服务中使用的安全保护策略,安全保护策略#2是第二终端设备向第一终端设备发送的。例如,在建立该连接的过程中,第二终端设备向第一终端设备发送DCR消息,DCR消息包括安全保护策略#2。具体地,DCR消息包括控制面安全保护策略#2和/或用户面安全保护策略#2。又例如,在建立该连接的过程中,第二终端设备向第一终端设备发送DSM完成消息,DSM完成消息包括安全保护策略#2。具体地,DSM完成消息包括控制面安全保护策略#2和/或用户面安全保护策略#2。
例如,在第一终端设备获取了指示信息#1的情况下,第一终端设备根据安全保护策略#1和安全保护策略#2中安全级别较高的安全保护策略,确定是否开启该连接的安全保护。其中,安全保护策略的安全级别从高到低依次为:安全保护策略为需要开启安全保护、安全保护策略为可开启可不开启安全保护、安全保护策略为不需要开启安全保护。
例如,在第一终端设备获取了指示信息#1的情况下:若安全保护策略#1包括的控制面安全保护策略#1和/或用户面安全保护策略#1为不需要开启安全保护,而安全保护策略#2包括的控制面安全保护策略#2和/或用户面安全保护策略#2为需要开启安全保护,则第一终端设备确定安全保护策略#2的安全级别更高,第一终端设备根据安全保护策略#2确定开启该连接的控制面安全保护和/或用户面安全保护。又例如,若安全保护策略#1包括的控制面安全保护策略#1和/或用户面安全保护策略#1为需要开启安全保护,而安全保护策略#2包括的控制面安全保护策略#2和/或用户面安全保护策略#2为不需要开启安全保护,则第一终端设备确定安全保护策略#1的安全级别更高,第一终端设备根据安全保护策略#1,确定开启该连接的控制面安全保护和/或用户面安全保护。再例如,若安全保护策略#1包括的控制面安全保护策略#1和/或用户面安全保护策略#1为需要开启安全保护,而安全保护策略#2包括的控制面安全保护策略#2和/或用户面安全保护策略#2为可开启可不开启安全保护,则第一终端设备确定安全保护策略#1的安全级别更高,第一终端设备根据安全保护策略#1,确定开启该连接的控制面安全保护和/或用户面安全保护。
在另一种可能的实现方式中,第一标识为新的安全保护策略。相应地,第一终端设备根据新的安全保护策略确定是否开启该连接的安全保护。第一终端设备根据新的安全保护策略确定是否开启该连接的安全保护能够使得第一终端设备的处理逻辑更简单,提高第一终端设备的处理效率。
例如,第一终端设备获取第一标识,第一标识为新的安全保护策略,新的安全保护策略为需要开启安全保护,则第一终端设备确定开启该连接的安全保护。
具体地,第一终端设备获取第一标识,第一标识为新的安全保护策略,新的安全保护策略包括的控制面安全保护策略为需要开启安全保护,则第一终端设备确定开启该连接的控制面安全保护;新的安全保护策略包括的用户面安全保护策略为需要开启安全保护,则第一终端设备确定开启该连接的用户面安全保护。
更具体地,第一终端设备获取第一标识,第一标识为新的安全保护策略:若新的安全保护策略包括的控制面机密性保护策略的取值为REQUIRED,则第一终端设备确定开启该连接的控制面机密性保护;若新的安全保护策略包括的控制面完整性保护策略的取值为REQUIRED,则第一终端设备确定开启该连接的控制面完整性保护;若新的安全保护策略包括的用户面机密性保护策略的取值为REQUIRED,则第一终端设备确定开启该连接的用户面机密性保护;若新的安全保护策略包括的用户面完整性保护策略的取值为REQUIRED,则第一终端设备确定开启该连接的用户面完整性保护。
又例如,第一终端设备获取第一标识,第一标识为新的安全保护策略,新的安全保护策略为不需要开启安全保护,则第一终端设备确定不开启该连接的安全保护。
具体地,第一终端设备获取第一标识,第一标识为新的安全保护策略,新的安全保护策略包括的控制面安全保护策略为不需要开启安全保护,则第一终端设备确定不开启该连接的控制面安全保护;新的安全保护策略包括的用户面安全保护策略为不需要开启安全保护,则第一终端设备确定不开启该连接的用户面安全保护。
更具体地,第一终端设备获取第一标识,第一标识为新的安全保护策略:若新的安全保护策略包括的控制面机密性保护策略的取值为NOT NEEDED,则第一终端设备确定不开启该连接的控制面机密性保护;若新的安全保护策略包括的控制面完整性保护策略的取值为NOT NEEDED,则第一终端设备确定不开启该连接的控制面完整性保护;若新的安全保护策略包括的用户面机密性保护策略的取值为NOT NEEDED,则第一终端设备确定不开启该连接的用户面机密性保护;若新的安全保护策略包括的用户面完整性保护策略的取值为NOTNEEDED,则第一终端设备确定不开启该连接的用户面完整性保护。
再例如,第一终端设备获取第一标识,第一标识为新的安全保护策略,新的安全保护策略为可开启可不开启安全保护,则第一终端设备可以确定开启该连接的安全保护,或者确定不开启该连接的安全保护。例如,第一终端设备根据本端的安全保护需求确定是否开启该连接的安全保护。若第一终端设备的安全保护需求为开启安全保护,则第一终端设备确定开启该连接的安全保护;若第一终端设备的安全保护需求为不开启安全保护,则第一终端设备确定不开启该连接的安全保护。
具体地,第一终端设备获取第一标识,第一标识为新的安全保护策略,新的安全保护策略包括的控制面安全保护策略为可开启可不开启安全保护,则第一终端设备可以确定开启该连接的控制面安全保护,也可以确定不开启该连接的控制面安全保护;新的安全保护策略包括的用户面安全保护策略为可开启可不开启安全保护,则第一终端设备可以确定开启该连接的用户面安全保护,也可以确定不开启该连接的用户面安全保护。
更具体地,第一终端设备获取第一标识,第一标识为新的安全保护策略:若新的安全保护策略包括的控制面机密性保护策略的取值为PREFERRED,则第一终端设备可以确定开启该连接的控制面机密性保护,也可以确定不开启该连接的控制面机密性保护;若新的安全保护策略包括的控制面完整性保护策略的取值为PREFERRED,则第一终端设备可以确定开启该连接的控制面完整性保护,也可以确定不开启该连接的控制面完整性保护;若新的安全保护策略包括的用户面机密性保护策略的取值为PREFERRED,则第一终端设备可以确定开启该连接的用户面机密性保护,也可以确定不开启该连接的用户面机密性保护;若新的安全保护策略包括的用户面完整性保护策略的取值为PREFERRED,则第一终端设备可以确定开启该连接的用户面完整性保护,也可以确定不开启该连接的用户面完整性保护。
应理解,本申请实施例并不限定新的安全保护策略包括的控制面安全保护策略和用户面安全保护策略的取值是否相同,更不限定控制面机密性保护策略和控制面完整性保护策略的取值是否相同,同样不限定用户面机密性保护策略和用户面完整性保护策略的取值是否相同。
在又一种可能的实现方式中,第一标识为新的安全保护开启方式。相应地,第一终端设备根据新的安全保护开启方式,确定是否开启该连接的安全保护。第一终端设备根据新的安全保护开启方式,确定是否开启该连接的安全保护能够使得第一终端设备的处理逻辑更简单,提高第一终端设备的处理效率。
例如,第一终端设备获取第一标识,第一标识为新的安全保护开启方式,新的安全保护开启方式为开启安全保护,则第一终端设备确定开启该单连接的安全保护。
具体地,第一终端设备获取第一标识,第一标识为新的安全保护开启方式,新的安全保护开启方式包括的控制面安全保护开启方式为开启安全保护,则第一终端设备确定开启该连接的控制面安全保护;新的安全保护开启方式包括的用户面安全保护开启方式为开启安全保护,则第一终端设备确定开启该连接的用户面安全保护。
更具体地,第一终端设备获取第一标识,第一标识为新的安全保护开启方式:若新的安全保护开启方式包括的控制面机密性保护开启方式为开启机密性保护,则第一终端设备确定开启该连接的控制面机密性保护;若新的安全保护开启方式包括的控制面完整性保护开启方式为开启完整性保护,则第一终端设备确定开启该连接的控制面完整性保护;若新的安全保护开启方式包括的用户面机密性保护开启方式为开启机密性保护,则第一终端设备确定开启该连接的用户面机密性保护;若新的安全保护开启方式包括的用户面完整性保护开启方式为开启完整性保护,则第一终端设备确定开启该连接的用户面完整性保护。
又例如,第一终端设备获取第一标识,第一标识为新的安全保护开启方式,新的安全保护开启方式为不开启安全保护,则第一终端设备确定不开启该连接的安全保护。
具体地,第一终端设备获取第一标识,第一标识为新的安全保护开启方式,新的安全保护开启方式包括的控制面安全保护开启方式为不开启安全保护,则第一终端设备确定不开启该连接的控制面安全保护;新的安全保护开启方式包括的用户面安全保护开启方式为不开启安全保护,则第一终端设备确定不开启该连接的用户面安全保护。
更具体地,第一终端设备获取第一标识,第一标识为新的安全保护开启方式:若新的安全保护开启方式包括的控制面机密性保护开启方式为不开启机密性保护,则第一终端设备确定不开启该连接的控制面机密性保护;若新的安全保护开启方式包括的控制面完整性保护开启方式为不开启完整性保护,则第一终端设备确定不开启该连接的控制面完整性保护;若新的安全保护开启方式包括的用户面机密性保护开启方式为不开启机密性保护,则第一终端设备确定不开启该连接的用户面机密性保护;若新的安全保护开启方式包括的用户面完整性保护开启方式为不开启完整性保护,则第一终端设备确定不开启该连接的用户面完整性保护。
应理解,本申请实施例并不限定新的安全保护开启方式包括的控制面安全保护开启方式和用户面安全保护开启方式是否相同,更不限定控制面机密性保护开启方式和控制面完整性保护开启方式是否相同,同样不限定用户面机密性保护开启方式和用户面完整性保护开启方式是否相同。
在又一种可能的实现方式中,第一标识为新的安全保护开启方式和新的安全保护策略。相应地,第一终端设备根据新的安全保护开启方式或新的安全保护策略,确定是否开启该连接的安全保护。
在又一种可能的实现方式中,第一标识为指示信息#1和新的安全保护策略。相应地,第一终端设备根据指示信息#1和/或新的安全保护策略,确定是否开启该连接的安全保护。
在又一种可能的实现方式中,第一标识为指示信息#1和新的安全保护开启方式。相应地,第一终端设备根据指示信息#1和/或新的安全保护开启方式,确定是否开启该连接的安全保护。
在又一种可能的实现方式中,第一标识为指示信息#1、新的安全保护策略和新的安全保护开启方式。相应地,第一终端设备根据指示信息#1、新的安全保护策略或新的安全保护开启方式,确定是否开启该连接的安全保护。
在又一种可能的实现方式中,第一标识用于指示终端设备使用的安全保护开启方式,则第一终端设备根据第一标识确定是否开启该连接的安全保护。具体地,可以参考第一终端设备根据新的安全保护开启方式确定是否开启该连接的安全保护的方法。第一终端设备根据第一标识确定是否开启该连接的安全保护能够使得第一终端设备的处理逻辑更简单,提高第一终端设备的处理效率。
如上所述,在第一终端设备根据第一标识确定是否开启该连接的安全保护时,第一终端设备可以不考虑安全保护策略#1和/或安全保护策略#2。因此,第一终端设备确定的该连接的安全保护开启方式可能与安全保护策略#1和/或安全保护策略#2不匹配。因此,第一标识用于修改终端设备的安全保护策略可以理解为,可以不按照策略控制功能网元为终端设备配置的安全保护策略确定安全保护开启方式,而是根据第一标识确定安全保护开启方式。
可选地,在S320之前,方法300还包括:第一终端设备确定安全保护策略#1与安全保护策略#1是否匹配。
安全保护策略#1与安全保护策略#2匹配可以是:安全保护策略#1的取值是REQUIRED,且安全保护策略#2的取值不是NOT NEEDED;或者,安全保护策略#1的取值是NOTNEEDED,且安全保护策略#2的取值不是REQUIRED;或者,安全保护策略#1和安全保护策略#2的取值都是PREFERRED;或者,安全保护策略#2的取值是REQUIRED,且安全保护策略#1的取值不是NOT NEEDED;或者,安全保护策略#2的取值是NOT NEEDED,且安全保护策略#1的取值不是REQUIRED。
安全保护策略#1与安全保护策略#2不匹配可以是:安全保护策略#1的取值为NOTNEEDED,且安全保护策略#2的取值为REQUIRED;或者,安全保护策略#1的取值为REQUIRED,且安全保护策略#2的取值为NOT NEEDED。进一步地,第一终端设备在确定安全保护策略#1与安全保护策略#2不匹配的情况下,根据第一标识确定是否开启该连接的安全保护。
如S320所述,在第一终端设备根据第一标识确定是否开启该连接的安全保护的情况下,可防止在第一终端设备和第二终端设备因为安全保护策略不匹配的情况下导致连接建立失败,进一步导致连接建立流程之前的发现流程浪费信令,影响网络资源效率和服务的互通性。
可选地,在S320之前,方法300还包括:第一终端设备确定第二终端设备是否支持强制修改安全保护策略。
在一种可能的实现方式中,第一终端设备确定第二终端设备是否支持强制修改安全保护策略包括:在第一服务的发现流程中,第一终端设备接收来自第二终端设备的服务发现参数;第一终端设备根据该服务发现参数确定第二终端设备是否支持强制修改安全保护策略。具体地,若该服务发现参数与第一标识对应,则第一终端设备确定第二终端设备支持强制修改安全保护策略;若该服务发现参数与第一标识不对应,则第一终端设备确定第二终端设备不支持强制修改安全保护策略。
可以理解,在该实现方式中,第一终端设备和第二终端设备可以预先获取到该服务发现参数和第一标识,且该服务发现参数与第一标识有对应关系。该服务发现参数与第一标识的对应关系的形式可以是,第一标识携带在该服务发现参数中,或者可以是[服务发现参数,第一标识]的映射关系。下文会结合方法500说明终端设备如何获取该服务发现参数和第一标识。
对于第二终端设备,若第二终端设备预先获取到与第一标识对应的服务发现参数,且第二终端设备支持强制修改安全保护策略,则在第一服务的发现流程中,第二终端设备发送与第一标识有对应关系的服务发现参数。若第二终端设备不支持强制修改安全保护策略,则在第一服务的发现流程中,第二终端设备发送与第一标识没有对应关系的服务发现参数。
示例性地,上述服务发现参数是服务发现代码(code)。
在另一种可能的实现方式中,第一终端设备确定第二终端设备是否支持强制修改安全保护策略包括:在建立该连接的过程中,第一终端设备接收来自第二终端设备的第一消息;第一终端设备根据该第一消息确定第二终端设备是否支持强制修改安全保护策略。具体地,若第一消息包括第一标识,则第一终端设备确定第二终端设备支持强制修改安全保护策略;若第一消息不包括第一标识,则第一终端设备确定第二终端设备不支持强制修改安全保护策略。
对于第二终端设备,若第二终端设备支持强制修改安全保护策略,则第二终端设备在第一消息中携带第一标识;若第二终端设备不支持强制修改安全保护策略,则第二终端设备在第一消息中不携带第一标识。
示例性地,第一消息是DCR消息,或者,第一消息是DSM完成消息。
进一步地,第一终端设备在确定第二终端设备支持强制修改安全保护策略的情况下,根据第一标识确定是否开启该连接的安全保护。S330,第一终端设备发送第一信息。相应地,在S330中,第二终端设备接收第一信息。第一信息用于指示是否开启该连接的安全保护。
示例性地,第一信息包括安全保护算法,若安全保护算法是空算法,则指示不开启该连接的安全保护;若安全保护算法是非空算法,则指示开启该连接的安全保护。
可选地,第一信息还包括第一标识,用于表明该连接的安全保护开启方式是根据第一标识确定的。
示例性地,第一信息是DSM命令消息,或者,第一信息是DCA消息。例如,第一终端设备接收到来自第二终端设备的DCR消息之后,根据第一标识确定是否开启该连接的控制面安全保护,并向第二终端设备发送DSM命令消息,DSM命令消息用于指示是否开启该连接的控制面安全保护。进一步地,第一终端设备接收到来自第二终端设备的DSM完成消息之后,根据第一标识确定是否开启该连接的用户面安全保护,并向第二终端设备发送DCA消息,DCA消息用于指示是否开启该连接的用户面安全保护。
S340,第二终端设备根据第一信息确定是否开启连接的安全保护。
具体地,第一信息指示开启该连接的安全保护,则第二终端设备开启该连接的安全保护;若第一信息指示不开启该连接的安全保护,则第二终端设备不开启该连接的安全保护。
可选地,若第二终端设备预先获取到第一标识,即代表第二终端设备支持强制修改安全保护策略,则第二终端设备不进行安全保护策略匹配检查。即第二终端设备不检查根据第一信息确定的该连接的安全保护开启方式是否符合安全保护策略#2。
可选地,若第二终端设备预先获取到第一标识,且在建立该连接的过程中,第二终端设备在第一消息中携带了第一标识,即代表第二终端设备支持强制修改安全保护策略,则第二终端设备不进行安全保护策略匹配检查。即第二终端设备不检查根据第一信息确定的该连接的安全保护开启方式是否符合安全保护策略#2。示例性地,第一消息是DCR消息,或者,第一消息是DSM完成消息。
可选地,若第一信息包括第一标识,则第二终端设备根据第一标识确定该连接的安全保护开启方式是根据第一标识确定的。进一步地,若第二终端设备支持强制修改安全保护策略,则根据第一信息确定是否开启该连接的安全保护。
在本申请实施例中,在第一终端设备与第二终端设备建立第一服务的连接的过程中,第一终端设备可以根据第一标识确定是否开启该连接的安全保护,而不是根据两个终端设备的安全保护策略确定是否开启该连接的安全保护,从而可以避免在两个终端设备的安全保护策略不匹配的情况下无法成功确定是否开启该连接的安全保护,进而避免连接建立失败引起的信令浪费。
此外,在第一终端设备根据第一标识确定是否开启连接的安全保护的情况下,第一终端设备可以不检查连接的安全保护开启方式是否与本端的安全保护策略匹配,第一终端设备也可以不检查第二终端设备的安全保护策略是否与本端的安全保护策略匹配,从而可以节省终端设备的处理资源;在第二终端设备根据第一标识确定是否开启连接的安全保护的情况下,第二终端设备可以不检查连接的安全保护开启方式是否与本端的安全保护策略匹配,从而可以节省终端设备的处理资源。
下面结合具体实施例图4至图7,对上述图3中的方法进行详细的说明。其中,结合图4和图5对终端设备从核心网网元接收第一标识的方法进行说明。结合图6和图7,以第一服务是ProSe服务为例,以及以第一服务的连接是PC5单播连接为例,对上述图3中的方法进行详细的说明。
图4示出了本申请实施例提供的通信方法的示意性流程图。如图4所示,方法400可以包括S410至S450,下面详细描述各个步骤。应理解,图4中以核心网网元是策略控制功能网元为例,说明终端设备从核心网网元接收第一标识的方法。
S410,应用功能网元确定第一服务的安全保护策略配置#1包括的多个安全保护策略取值不同,该多个安全保护策略包括该第一服务的连接在不同地理位置的安全保护策略。
具体地,应用功能网元根据应用需求确定第一服务的安全保护策略配置#1,第一服务的安全保护策略配置#1包括多个安全保护策略,该多个安全保护策略对应第一服务的连接在不同地理位置的控制面安全保护策略和/或用户面安全保护策略。需要说明的是,安全保护策略包括机密性保护策略和/或完整性保护策略。例如,控制面安全保护策略包括控制面机密性保护策略和/或控制面完整性保护策略,用户面安全保护策略包括用户面机密性保护策略和/或用户面完整性保护策略。示例性地,第一服务的安全保护策略配置#1如表1所示。假设第一服务的安全保护策略配置#1包括三个安全保护策略,该三个安全保护策略分别对应三个地理位置。在地理位置#A,第一服务的连接的安全保护策略是安全保护策略#A;在地理位置#B,第一服务的连接的安全保护策略是安全保护策略#B;在地理位置#C,第一服务的连接的安全保护策略是安全保护策略#C。
表1
地理位置 安全保护策略
地理位置#A 安全保护策略#A
地理位置#B 安全保护策略#B
地理位置#C 安全保护策略#C
又示例性地,第一服务的安全保护策略配置#1如表2所示。假设第一服务的安全保护策略配置#1包括两个安全保护策略,该两个安全保护策略对应三个地理位置。在地理位置#A,第一服务的连接的安全保护策略是安全保护策略#A;在地理位置#B和地理位置#C,第一服务的连接的安全保护策略是安全保护策略#B。
表2
Figure BDA0003065220220000301
进一步地,应用功能网元确定多个安全保护策略的取值是否相同。若该多个安全保护策略的取值不同,则应用功能网元生成指示信息#2(第二指示信息的一例)。指示信息#2用于指示第一服务的安全保护策略可在连接建立中被强制修改。或者,指示信息#2用于指示第一服务的安全保护策略可在连接建立中被强制修改,且第一服务的安全保护策略在连接建立中被强制修改时,使用第一服务的终端设备均使用相同的安全保护策略。或者,指示信息#2用于指示第一服务的安全保护策略可在连接建立中被强制修改,且第一服务的安全保护策略在连接建立中被强制修改时,使用第一服务的终端设备均使用相同的安全保护开启方式。示例性地,指示信息#2可以被命名为安全保护策略强制修改指示。例如,第一标识可以被记为“overrule指示”或者“overwrite指示”。
如上所述,第一服务的安全保护策略配置#1包括的多个安全保护策略对应不同的地理位置,若多个安全保护策略的取值不同,则表示第一服务在不同地理位置的连接的安全保护策略不同。对于处于不同地理位置的终端设备,则可能在第一服务的连接中使用不同的安全保护策略。以第一服务的安全保护策略配置#1如表1所示为例,若安全保护策略#A与安全保护策略#B的取值不同,则处于地理位置#A的终端设备#A与处于地理位置#B的终端设备#B,可能在第一服务的连接中使用不同的安全保护策略。
该多个安全保护策略的取值不同包括:该多个安全保护策略中任意两个安全保护策略的取值不同,或者,该多个安全保护策略中至少两个安全保护策略的取值不同。
如上所述,安全保护策略包括控制面安全保护策略和/或用户面安全保护策略。两个安全保护策略的取值不同包括:两个安全保护策略分别包括的控制面安全保护策略和/或用户面安全保护策略不同。例如,两个安全保护策略的取值不同包括:两个安全保护策略包括的控制面安全保护策略的取值不同,或者,两个安全保护策略包括的用户面安全保护策略的取值不同,或者,两个安全保护策略包括的控制面安全保护策略的取值不同,且两个安全保护策略包括的用户面安全保护的策略的取值不同。
进一步地,两个控制面安全保护策略不同包括:两个控制面安全保护策略分别包括的控制面机密性保护策略和/或控制面完整性保护策略不同。例如,两个控制面安全保护策略的取值不同包括:两个控制面安全保护策略包括的控制面机密性保护策略的取值不同,或者,两个控制面安全保护策略包括的控制面完整性保护策略的取值不同,或者,两个控制面安全保护策略包括的控制面完整性保护策略的取值不同,且两个控制面安全保护策略包括的控制面完整性保护的策略的取值不同。
两个用户面安全保护策略不同包括:两个用户面安全保护策略分别包括的用户面机密性保护策略和/或用户面完整性保护策略不同。例如,两个用户面安全保护策略的取值不同包括:两个用户面安全保护策略包括的用户面机密性保护策略的取值不同,或者,两个用户面安全保护策略包括的用户面完整性保护策略的取值不同,或者,两个用户面安全保护策略包括的用户面完整性保护策略的取值不同,且两个用户面安全保护策略包括的用户面完整性保护的策略的取值不同。
可选的,应用功能网元可以默认生成指示信息#2。也就是说,不论该第一服务的安全保护策略配置#1包括的多个安全保护策略的取值是否相同,应用功能网元都会生成指示信息#2。并且,应用功能网元在生成指示信息#2之前,可以不判断该多个安全保护策略的取值是否相同。
可选地,在S410之前,方法400还包括S430:应用功能网元接收请求消息#1(第一请求消息的一例)。该请求消息#1用于请求指示信息#2。应用功能网元在接收到请求消息#1之后,根据请求消息#1生成指示信息#2。示例性地,该请求消息#1是策略控制功能网元通过网络开放功能网元向应用功能网元发送的。又示例性地,该请求消息#1是策略控制功能网元直接发送给应用功能网元的。
S420,应用功能网元发送指示信息#2。相应地,在S420中,策略控制功能网元(第一核心网网元的一例)接收指示信息#2。
其中,该策略控制功能网元为方法300中的第一终端设备和/或第二终端设备提供服务。
示例性地,应用功能网元将指示信息#2发送给网络开放功能网元,网络开放功能网元再将指示信息#2发送给统一数据仓库网元,统一数据仓库网元再将指示信息#2发送给策略控制功能网元。
又示例性地,应用功能网元直接将指示信息#2发送给策略控制功能网元。
可选地,在S420之前,方法400还包括S430:策略控制功能网元向应用功能网元发送请求消息#1,请求消息#1用于请求获取指示信息#2。相应地,应用功能网元接收到请求消息#1之后,向策略控制功能网元发送指示信息#2。
可选地,在确定第一服务的安全保护策略配置包括的多个安全保护策略的取值不同时,策略控制功能网元向应用功能网元发送请求消息#1。安全保护策略配置包括的多个安全保护策略的取值不同的含义,可以参考S410中的描述。
其中,第一服务的安全保护策略配置是根据从应用功能网元获取的第一服务的安全保护策略配置#1确定的。需要说明的是,根据从应用功能网元获取的第一服务的安全保护策略配置#1确定第一服务的安全保护策略配置可以由网络开放功能网元执行,也可由其他核心网网元执行,例如策略功能控制网元。应理解,安全保护策略配置#1包括的多个安全保护策略与安全保护策略配置包括的多个安全保护策略的安全保护需求是相同,其区别在于,安全保护策略的取值名称可能不同,也可能相同。例如,安全保护策略配置#1包括的安全保护策略#A与安全保护策略配置包括的安全保护策略#A都为需要开启安全,安全保护策略配置包括的安全保护策略#A的取值是REQUIRED,而安全保护策略配置#1包括的安全保护策略#A的取值可能不是REQUIRED。
S440,策略控制功能网元根据第一服务的安全保护策略配置和指示信息#2确定第一标识。
其中,第一服务的安全保护策略配置是根据从应用功能网元获取的第一服务的安全保护策略配置#1确定的。需要说明的是,根据从应用功能网元获取的第一服务的安全保护策略配置#1确定第一服务的安全保护策略配置可以由网络开放功能网元执行,也可由其他核心网网元执行,例如策略功能控制网元。
第一标识用于修改终端设备的安全保护策略,具体地,第一标识用于修改终端设备在第一服务中使用的安全保护策略,终端设备在第一服务中使用的安全保护策略是策略控制功能网元为终端设备配置的。
示例性地,第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、指示信息#1。
其中,新的安全保护策略指的是,策略控制功能网元根据第一服务的安全保护策略配置和指示信息#2确定的安全保护策略。新的安全保护策略可以该安全保护策略配置包括的安全保护策略相同,也可以与该安全保护策略配置包括的安全保护策略不相同,本申请实施例对此不作限定。由于第一标识用于修改终端设备的安全保护策略,因此新的安全保护策略可以认为是修改终端设备的安全保护策略时使用的安全保护策略。
新的安全保护开启方式指的是,策略控制功能网元根据第一服务的安全保护策略配置和指示信息#2确定的安全保护开启方式。新的安全保护开启方式可以与该安全保护策略配置包括的安全保护策略匹配,也可以与该安全保护策略配置包括的安全保护策略不匹配,本申请实施例对此不作限定。安全保护开启方式与安全保护策略匹配可以是:安全保护开启方式是开启安全保护,安全保护策略的取值不是NOT NEEDED;或者,安全保护开启方式是不开启安全保护,安全保护策略的取值不是REQUIRED。安全保护开启方式与安全保护策略不匹配可以是:安全保护开启方式是开启安全保护,安全保护策略的取值是NOT NEEDED;或者,安全保护开启方式是不开启安全保护,安全保护策略的取值是REQUIRED。由于第一标识用于修改终端设备的安全保护策略,因此新的安全保护开启方式可以认为是修改终端设备的安全保护策略时使用的安全保护开启方式。
指示信息#1用于指示允许终端设备的安全保护策略被强制修改。具体地,指示信息#1用于指示在建立第一服务的连接的过程中允许终端设备的安全保护策略被强制修改。或者,指示信息#1用于指示终端设备在第一服务中使用的安全保护策略允许被强制修改。
可选的,第一标识还可以用于指示终端设备使用的安全保护开启方式,而不用于修改终端设备的安全保护策略。具体地,第一标识用于指示终端设备在第一服务中使用的安全保护开启方式。
在一种可能的实现方式中,策略控制功能网元一旦接收到指示信息#2,就根据第一服务的安全保护策略配置和指示信息#2确定第一标识。
在另一种可能的实现方式中,策略控制功能网元在确定第一服务的安全保护策略配置包括的多个安全保护策略取值不同时,根据该安全保护策略配置和指示信息#2确定第一标识。具体地,多个安全保护策略的含义以及多个安全保护策略取值不同的含义,可以参考S410中的描述。
下面详细描述策略控制功能网元确定第一标识的方式。
示例性地,策略控制功能网元根据该安全保护策略配置和指示信息#2确定第一标识的方式包括以下几种:
方式一:
若指示信息#2还用于指示在连接建立中强制修改第一服务的安全保护策略时,需要开启安全保护,则策略控制功能网元根据指示信息#2确定第一标识为新的安全保护策略,且新的安全保护策略的取值为REQUIRED。
具体地,若指示信息#2还用于指示需要开启控制面安全保护,则新的安全保护策略包括的控制面安全保护策略的取值为REQUIRED;若指示信息#2还用于指示需要开启用户面安全保护,则新的安全保护策略包括的用户面安全保护策略的取值为REQUIRED。
更具体地,若指示信息#2还用于指示需要开启控制面机密性保护,则新的安全保护策略包括的控制面机密性保护策略的取值为REQUIRED;若指示信息#2还用于指示需要开启控制面完整性保护,则新的安全保护策略包括的控制面完整性保护策略的取值为REQUIRED;若指示信息#2还用于指示需要开启用户面机密性保护,则新的安全保护策略包括的用户面机密性保护策略的取值为REQUIRED;若指示信息#2还用于指示需要开启用户面完整性保护,则新的安全保护策略包括的用户面完整性保护策略的取值为REQUIRED。
若指示信息#2还用于指示在连接建立中强制修改第一服务的安全保护策略时,不需要开启安全保护,则策略控制功能网元根据指示信息#2确定的第一标识为新的安全保护策略,且新的安全保护策略的取值为NOT NEEDED。
具体地,若指示信息#2还用于指示不需要开启控制面安全保护,则新的安全保护策略包括的控制面安全保护策略的取值为NOT NEEDED;若指示信息#2还用于指示不需要开启用户面安全保护,则新的安全保护策略包括的用户面安全保护策略的取值为NOTNEEDED。
更具体地,若指示信息#2还用于指示不需要开启控制面机密性保护,则新的安全保护策略包括的控制面机密性保护策略的取值为NOT NEEDED;若指示信息#2还用于指示不需要开启控制面完整性保护,则新的安全保护策略包括的控制面完整性保护策略的取值为NOT NEEDED;若指示信息#2还用于指示不需要开启用户面机密性保护,则新的安全保护策略包括的用户面机密性保护策略的取值为NOT NEEDED;若指示信息#2还用于指示不需要开启用户面完整性保护,则新的安全保护策略包括的用户面完整性保护策略的取值为NOTNEEDED。
方式二:
若指示信息#2还用于指示在连接建立中强制修改第一服务的安全保护策略时,需要开启安全保护,则策略控制网元根据指示信息#2确定第一标识为新的安全保护开启方式,且新的安全保护开启方式为开启安全保护。
具体地,若指示信息#2还用于指示需要开启控制面安全保护,则新的安全保护开启方式包括的控制面安全保护开启方式为开启安全保护;若指示信息#2还用于指示需要开启用户面安全保护,则新的安全保护开启方式包括的用户面安全保护开启方式为开启安全保护。
更具体地,若指示信息#2还用于指示需要开启控制面机密性保护,则新的安全保护开启方式包括的控制面机密性保护开启方式的为开启机密性保护;若指示信息#2还用于指示需要开启控制面完整性保护,则新的安全保护开启方式包括的控制面完整性保护开启方式为开启完整性保护;若指示信息#2还用于指示需要开启用户面机密性保护,则新的安全保护开启方式包括的用户面机密性保护开启方式为开启机密性保护;若指示信息#2还用于指示需要开启用户面完整性保护,则新的安全保护开启方式包括的用户面完整性保护开启方式为开启完整性保护。
若指示信息#2还用于指示在连接建立中强制修改第一服务的安全保护策略时,不需要开启安全保护,则策略控制功能网元根据指示信息#2确定的第一标识为新的安全保护开启方式,且新的安全保护开启方式为不开启安全保护。
具体地,若指示信息#2还用于指示不需要开启控制面安全保护,则新的安全保护开启方式包括的控制面安全保护开启方式为不开启安全保护;若指示信息#2还用于指示不需要开启用户面安全保护,则新的安全保护开启方式包括的用户面安全保护开启方式为不开启安全保护。
更具体地,若指示信息#2还用于指示不需要开启控制面机密性保护,则新的安全保护开启方式包括的控制面机密性保护开启方式为不开启机密性保护;若指示信息#2还用于指示不需要开启控制面完整性保护,则新的安全保护开启方式包括的控制面完整性保护开启方式为不开启完整性保护;若指示信息#2还用于指示不需要开启用户面机密性保护,则新的安全保护开启方式包括的用户面机密性保护开启方式为不开启机密性保护;若指示信息#2还用于指示不需要开启用户面完整性保护,则新的安全保护开启方式包括的用户面完整性保护开启方式为不开启完整性保护。
可选地,在方式二中,策略控制功能网元确定的第一标识用于指示终端设备使用的安全保护开启方式,而不用修改终端设备的安全保护策略。具体的,第一标识指示的终端设备使用的安全保护开启方式与上述新的安全保护开启方式相同,此处不再赘述。
方式三:
若指示信息#2用于指示第一服务的安全保护策略可在连接建立中被强制修改,或者,指示信息#2用于指示使用第一服务的终端设备均使用相同的安全保护策略,则策略控制功能网元确定的第一标识为指示信息#1。
方式四:
若指示信息#2用于指示第一服务的安全保护策略可在连接建立中被强制修改,或者,指示信息#2用于指示指示第一服务的安全保护策略可在连接建立中被强制修改,且第一服务的安全保护策略在连接建立中被强制修改时,使用第一服务的终端设备均使用相同的安全保护策略,则策略控制功能网元根据第一服务的安全保护策略配置确定第一标识,第一标识为新的安全保护策略。
示例性地,若第一服务的安全保护策略配置包括的多个安全保护策略中至少一个安全保护策略的取值是REQUIRED,则新的安全保护策略的取值为REQUIRED。
具体地,若该多个安全保护策略中至少一个安全保护策略包括的控制面安全保护策略的取值是REQUIRED,则新的安全保护策略包括的控制面安全保护策略的取值为REQUIRED;若该多个安全保护策略中至少一个安全保护策略包括的用户面安全保护策略的取值是REQUIRED,则新的安全保护策略包括的用户面安全保护策略的取值为REQUIRED。
更具体地,若该多个安全保护策略中至少一个安全保护策略包括的控制面机密性保护策略的取值是REQUIRED,则新的安全保护策略包括的控制面机密性保护策略的取值为REQUIRED;若该多个安全保护策略中至少一个安全保护策略包括的控制面完整性保护策略的取值是REQUIRED,则新的安全保护策略包括的控制面完整性保护策略的取值为REQUIRED;若该多个安全保护策略中至少一个安全保护策略包括的用户面机密性保护策略的取值是REQUIRED,则新的安全保护策略包括的用户面机密性保护策略的取值为REQUIRED;该多个安全保护策略中至少一个安全保护策略包括的用户面完整性保护策略的取值是REQUIRED,则新的安全保护策略包括的用户面完整性保护策略的取值为REQUIRED。
示例性地,若该多个安全保护策略中任意一个安全保护策略的取值都不是REQUIRED,则新的安全保护策略的取值为NOT NEEDED。
具体地,若该多个安全保护策略中任意一个安全保护策略包括的控制面安全保护策略的取值都不是REQUIRED,则新的安全保护策略包括的控制面安全保护策略的取值为NOT NEEDED;若该多个安全保护策略中任意一个安全保护策略包括的用户面安全保护策略的取值都不是REQUIRED,则新的安全保护策略包括的用户面安全保护策略的取值为NOTNEEDED。
更具体地,若该多个安全保护策略中任意一个安全保护策略包括的控制面机密性保护策略的取值都不是REQUIRED,则新的安全保护策略包括的控制面机密性保护策略的取值为NOT NEEDED;若该多个安全保护策略中任意一个安全保护策略包括的控制面完整性保护策略的取值都不是REQUIRED,则新的安全保护策略包括的控制面完整性保护策略的取值为NOT NEEDED;若该多个安全保护策略中任意一个安全保护策略包括的用户面机密性保护策略的取值都不是REQUIRED,则新的安全保护策略包括的用户面机密性保护策略的取值为NOT NEEDED;该多个安全保护策略中任意一个安全保护策略包括的用户面完整性保护策略的取值都不是REQUIRED,则新的安全保护策略包括的用户面完整性保护策略的取值为NOTNEEDED。
方式五:
若指示信息#2用于指示第一服务的安全保护策略可在连接建立中被强制修改,或者,指示信息#2用于指示指示第一服务的安全保护策略可在连接建立中被强制修改,且第一服务的安全保护策略在连接建立中被强制修改时,使用第一服务的终端设备均使用相同的安全保护策略,则策略控制功能网元根据第一服务的安全保护策略配置确定第一标识,第一标识为新的安全保护开启方式。
示例性地,若第一服务的安全保护策略配置包括的多个安全保护策略中至少一个安全保护策略的取值是REQUIRED,则新的安全保护开启方式为开启安全保护。
具体地,若该多个安全保护策略中至少一个安全保护策略包括的控制面安全保护策略的取值是REQUIRED,则新的安全保护开启方式包括的控制面安全保护开启方式为开启安全保护;若该多个安全保护策略中至少一个安全保护策略包括的用户面安全保护策略的取值是REQUIRED,则新的安全保护开启方式包括的用户面安全保护开启方式为开启安全保护。
更具体地,若该多个安全保护策略中至少一个安全保护策略包括的控制面机密性保护策略的取值是REQUIRED,则新的安全保护开启方式包括的控制面机密性保护开启方式为开启机密性保护;若该多个安全保护策略中至少一个安全保护策略包括的控制面完整性保护策略的取值是REQUIRED,则新的安全保护开启方式包括的控制面完整性保护开启方式为开启完整性保护;若该多个安全保护策略中至少一个安全保护策略包括的用户面机密性保护策略的取值是REQUIRED,则新的安全保护开启方式包括的用户面机密性保护开启方式为开启机密性保护;该多个安全保护策略中至少一个安全保护策略包括的用户面完整性保护策略的取值是REQUIRED,则新的安全保护开启方式包括的用户面完整性保护开启方式为开启完整性保护。
示例性地,若该多个安全保护策略中任意一个安全保护策略的取值都不是REQUIRED,则新的安全保护开启方式为不开启安全保护。
具体地,若该多个安全保护策略中任意一个安全保护策略包括的控制面安全保护策略的取值都不是REQUIRED,则新的安全保护开启方式包括的控制面安全保护开启方式为不开启安全保护;若该多个安全保护策略中任意一个安全保护策略包括的用户面安全保护策略的取值都不是REQUIRED,则新的安全保护开启方式包括的用户面安全保护开启方式为不开启安全保护。
更具体地,若该多个安全保护策略中任意一个安全保护策略包括的控制面机密性保护策略的取值都不是REQUIRED,则新的安全保护开启方式包括的控制面机密性保护开启方式为开启机密性保护;若该多个安全保护策略中任意一个安全保护策略包括的控制面完整性保护策略的取值都不是REQUIRED,则新的安全保护开启方式包括的控制面完整性保护开启方式为不开启完整性保护;若该多个安全保护策略中任意一个安全保护策略包括的用户面机密性保护策略的取值都不是REQUIRED,则新的安全保护开启方式包括的用户面机密性保护开启方式为不开启机密性保护;该多个安全保护策略中任意一个安全保护策略包括的用户面完整性保护策略的取值都不是REQUIRED,则新的安全保护开启方式包括的用户面完整性保护开启方式为不开启完整性保护。
可选地,在方式五中,策略控制功能网元确定的第一标识用于指示终端设备使用的安全保护开启方式,而不用修改终端设备的安全保护策略。具体的,第一标识指示的终端设备使用的安全保护开启方式与上述新的安全保护开启方式相同,此处不再赘述。
可选地,策略控制功能网元可以根据第一服务的安全保护策略配置确定第一标识。也就是说,即使策略控制功能网元没有接收到指示信息#2,也可以根据第一服务的安全保护策略配置确定第一标识。具体地,策略控制功能网元在确定第一服务的安全保护策略包括的多个安全保护策略取值不同时,根据第一服务的安全保护策略配置确定第一标识。策略控制功能网元根据第一服务的安全保护策略配置确定第一标识的方式可以参考上文方式四至方式五,为了简洁,此处不再详述。
可选地,策略控制功能网元还可以从网络开发功能网元或统一数据仓库网元接收第一标识。也就是说,网络开放功能网元或统一数据仓库网元确定第一标识,再将第一标识发送给策略控制功能网元。具体地,网络开放功能网元或统一数据仓库网元确定第一标识的方式,与策略控制功能网元确定第一标识的方式相同,为了简洁,此处不再详述。
S450,策略控制功能网元发送第一标识。相应地,在S450中,终端设备接收第一标识。
示例性地,在策略控制功能网元可在向终端设备发送第一服务的安全保护策略配置时,将第一标识发送给终端设备。也就是说,策略控制功能网元可以将第一服务的安全保护策略配置和第一标识携带在同一条信令中发送给终端设备。
在本申请实施例中,策略控制功能网元根据第一服务的安全保护策略配置和指示信息#2确定出第一标识之后,将第一标识发送给终端设备,有助于终端设备根据第一标识修改安全保护策略,从而避免两端终端设备的安全保护策略不匹配导致第一服务的连接建立失败。
图5示出了本申请实施例提供的通信方法的示意性流程图。如图5所示,方法500可以包括S510和S520,下面详细描述各个步骤。应理解,图4中以核心网网元是直连通信发现名称管理功能网元为例,说明终端设备从核心网网元接收第一标识的方法。
S510,直连通信发现名称管理功能网元#A(第一核心网网元的一例)获取第一标识。
其中,该直连通信发现名称管理功能网元#A为终端设备#A提供服务,终端设备#A为方法300中的第一终端设备或第二终端设备。关于第一标识的描述可以参考上文S440,为了简洁,此处不再详述。
示例性地,直连通信发现名称管理功能网元#A获取第一标识的方式包括以下几种:
方式一:
直连通信发现名称管理功能网元#A接收来自策略控制功能网元#A的第一标识。策略控制功能网元#A为终端设备#A提供服务。
示例性地,策略控制功能网元#A默认将第一标识发送给直连通信发现名称管理功能网元#A。例如,策略控制功能网元#A向直连通信发现名称管理功能网元#A发送第一服务的安全保护策略配置时,默认将第一标识发送给直连通信发现名称管理功能网元#A。
其中,第一标识是策略控制功能网元#A确定的,或者,第一标识是策略控制功能网元#A从网络开放功能网元接收的,或者第一标识是策略控制功能网元#A从统一数据仓库网元接收的。具体地,策略控制功能网元#A确定第一标识的方法可以参考上文S440,为了简洁,此处不再详述。
可选地,方法500还包括:直连通信发现名称管理功能网元#A向策略控制功能网元#A发送请求消息#2,请求消息#2用于请求获取第一标识。相应地,策略控制功能网元#A接收到请求消息#2之后,向直连通信发现名称管理功能网元#A发送第一标识。
可选地,策略控制功能网元#A接收到请求消息#2之后,再根据第一服务的安全保护策略配置和指示信息#2确定第一标识,然后将第一标识发送给直连通信发现名称管理功能网元#A。关于指示信息#2的描述可以参考上文S420,为了简洁,此处不再详述。
可选地,策略控制功能网元#A接收到请求消息#2之后,向应用功能网元发送请求消息#1,请求消息#1用于请求获取指示信息#2。进一步地,策略控制功能网元#A接收到来自应用功能网元的指示信息#2之后,根据第一服务的安全保护策略配置和指示信息#2确定第一标识,然后将第一标识发送给直连通信发现名称管理功能网元#A。
可选地,直连通信发现名称管理功能网元#A在确定第一服务的安全保护策略配置包括的多个安全保护策略取值不同时,向策略控制功能网元#A发送请求消息#2,以请求获取第一标识。第一服务的安全保护策略配置是直连通信发现名称管理功能网元#A从策略控制功能网元#A获取的。具体地,多个安全保护策略的含义以及多个安全保护策略取值不同的含义,可以参考上文S410中的描述,为了简洁,此处不再详述。
方式二、
直连通信发现名称管理功能网元#A根据第一服务的安全保护策略配置和指示信息#2确定第一标识。
其中,第一服务的安全保护策略配置和指示信息#2是直连通信发现名称管理功能网元#A从策略控制功能网元#A获取的。
示例性地,策略控制功能网元#A默认将指示信息#2发送给直连通信发现名称管理功能网元#A。例如,策略控制功能网元#A向直连通信发现名称管理功能网元#A发送第一服务的安全保护策略配置时,默认将指示信息#2发送给直连通信发现名称管理功能网元#A。
可选地,方法500还包括:直连通信发现名称管理功能网元#A向策略控制功能网元#A发送请求消息#1,请求消息#1用于请求获取指示信息#2。相应地,策略控制功能网元#A接收到请求消息#1之后,向直连通信发现名称管理功能网元#A发送指示信息#2。
可选地,策略控制功能网元#A接收到请求消息#1之后,向应用功能网元发送请求消息#1,请求消息#1用于请求获取指示信息#2。进一步地,策略控制功能网元#A接收到来自应用功能网元的指示信息#2之后,将指示信息#2发送给直连通信发现名称管理功能网元#A。
可选地,直连通信发现名称管理功能网元#A在确定第一服务的安全保护策略配置包括的多个安全保护策略取值不同时,向策略控制功能网元#A发送请求消息#1,以请求获取指示信息#2。第一服务的安全保护策略配置是直连通信发现名称管理功能网元#A从策略控制功能网元#A获取的。具体地,多个安全保护策略的含义以及多个安全保护策略取值不同的含义,可以参考上文S410中的描述,为了简洁,此处不再详述。
在获取到指示信息#2之后,直连通信发现名称管理功能网元#A根据第一服务的安全保护策略配置和指示信息#2确定第一标识。具体地,直连通信发现名称管理功能网元#A确定第一标识的方式可以参考上文S440中的方式一至方式五,为了简洁,此处不再详述。
方式三、
直连通信发现名称管理功能网元#A从直连通信发现名称管理功能网元#B获取第一标识。直连通信发现名称管理功能网元#B为终端设备#B提供服务。终端设备#B是上文方法300中的第一终端设备或第二终端设备,且终端设备#B不同于终端设备#A。例如,终端设备#A是上文方法300中的第一终端设备,终端设备#B是上文方法300中的第二终端设备。又例如,终端设备#A是上文方法300中的第二终端设备,终端设备#B是上文方法300中的第一终端设备。
具体地,若直连通信发现名称管理功能网元#A和直连通信发现名称管理功能网元#B不在同一个PLMN,则直连通信发现名称管理功能网元#A可以从直连通信发现名称管理功能网元#B获取第一标识。
示例性地,直连通信发现名称管理功能网元#A在从直连通信发现名称管理功能网元#B获取第一服务的服务发现参数时,从直连通信发现名称管理网元网元获取第一标识。具体地,直连通信发现名称管理功能网元#A向直连通信发现名称管理功能网元发送请求消息#3(第二请求消息的一例),请求消息#3用于请求获取第一服务的服务发现参数,或者,请求消息#3用于请求获取第一服务的服务发现参数和第一标识。进一步地,直连通信发现名称管理功能网元#B在收到请求消息#3之后,向直连通信发现名称管理功能网元#A发送第二消息,第二消息包括第一服务的服务发现参数和第一标识。
示例性地,上述服务发现参数是服务发现代码。
可选地,直连通信发现名称管理功能网元#B发送的服务发现参数和第一标识具有对应关系。该服务发现参数与第一标识的对应关系的形式可以是,第一标识携带在该服务发现参数中,或者可以是[服务发现参数,第一标识]的映射关系。服务发现参数与第一标识有对应关系表示,根据第一标识可以索引到服务发现参数,根据服务发现参数也可以索引到第一标识。
可选地,直连通信发现名称管理功能网元#A发送的请求消息#3包括安全保护策略#A,安全保护策略#A是终端设备#A在第一服务中使用的安全保护策略。相应地,直连服务发现名称管理功能网元#B接收到请求消息#3之后,判断安全保护策略#A与安全保护策略#B是否匹配,安全保护策略#B是终端设备#B在第一服务中使用的安全保护策略。
安全保护策略#A与安全保护策略#B匹配可以是:安全保护策略#A的取值是REQUIRED,且安全保护策略#B的取值不是NOT NEEDED;或者,安全保护策略#A的取值是NOTNEEDED,且安全保护策略#B的取值不会REQUIRED;或者,安全保护策略#A和安全保护策略#B的取值都是PREFERRED;或者,安全保护策略#B的取值是REQUIRED,且安全保护策略#A的取值不是NOT NEEDED;或者,安全保护策略#B的取值是NOT NEEDED,且安全保护策略#A的取值不会REQUIRED。
安全保护策略#A与安全保护策略#B不匹配可以是:安全保护策略#A的取值为NOTNEEDED,且安全保护策略#B的取值为REQUIRED;或者,安全保护策略#A的取值为REQUIRED,且安全保护策略#B的取值为NOT NEEDED。
若安全保护策略#A与安全保护策略#B匹配,则直连通信发现名称管理功能网元#B不向直连通信发现名称管理网元#A发送第一标识,或者,直连通信发现名称管理功能网元#B向直连通信发现名称管理功能网元#A发送的第二消息包括第一标识和指示信息#3(第三指示信息的一例),或者,第二消息包括第一标识、服务发现参数和指示信息#3。指示信息#3用于指示安全保护策略#A与安全保护策略#B匹配。
若安全保护策略#A与安全保护策略#B不匹配,则直连通信发现名称管理功能网元#B向直连通信发现名称管理网元#A发送的第二消息包括第一标识,或者,第二消息包括第一标识和服务发现参数,或者,第二消息包括第一标识和指示信息#3,或者,第二消息包括第一标识、服务发现参数和指示信息#3。指示信息#3用于指示安全保护策略#A与安全保护策略#B不匹配。
其中,安全保护策略#A是直连通信发现名称管理功能网元#A根据终端设备#A的位置信息确定的。即,根据终端设备#A的位置信息,直连通信发现名称管理功能网元#A可以从第一服务的安全保护策略配置中确定安全保护策略#A。示例性地,终端设备#A的位置信息是终端设备#A发送给直连通信发现名称管理功能网元#A的。例如,终端设备#A将位置信息携带在发现请求(discovery request)消息中发送给直连通信发现名称管理功能网元#A,发现请求消息用于请求获取服务发现参数。或者,终端设备#A的位置信息是直连通信发现名称管理功能网元#A触发网关移动定位中心(gateway mobile location center,GMLC)使用定位业务(location services,LCS)获取的。或者,终端设备#A的位置信息是由直连通信发现名称管理功能网元#A从接入和移动管理功能网元#A获取的,其中接入和移动管理功能网元#A是为终端设备#A服务的网元。
类似地,直连通信发现名称管理功能网元#B可以从终端设备#B获取终端设备#B的位置信息。或者,直连通信发现名称管理功能网元#B触发GMLC使用LCS获取终端设备#B的位置信息。或者,终端设备#B的位置信息是由直连通信发现名称管理功能网元#B从接入和移动管理功能网元#B获取的,其中接入和移动管理功能网元#B是为终端设备#B服务的网元。进一步地,根据终端设备#B的位置信息,直连通信发现名称管理功能网元#B可以从第一服务的安全保护策略配置中确定安全保护策略#B。
可选地,在S510之前,方法500还包括:直连通信发现名称管理功能网元#A确定安全保护策略#A与安全保护策略#B是否匹配。若安全保护策略#A与安全保护策略#B不匹配,则直连通信发现名称管理功能网元#A采用S510中的方式一至方式三获取第一标识。若安全保护策略#A与安全保护策略#B匹配,则直连通信发现名称管理功能网元#A不获取第一标识。
示例性地,直连通信发现名称管理功能网元#A确定安全保护策略#A与安全保护策略#B是否匹配的方式有以下两种:
方式一:
直连通信发现名称管理功能网元#A向直连通信发现名称管理功能网元#B发送安全保护策略#A;直连通信发现名称管理功能网元#A接收来自直连通信发现名称管理功能网元#B发送的指示信息#3,指示信息#3用于指示安全保护策略#A与安全保护策略#B是否匹配。进一步地,直连通信发现名称管理功能网元#A根据指示信息#3,确定安全保护策略#A与安全保护策略#B是否匹配。若指示信息#3指示安全保护策略#A与安全保护策略#B匹配,则直连通信发现名称管理功能网元#A确定安全保护策略#A与安全保护策略#B匹配;若指示信息#3指示安全保护策略#A与安全保护策略#B不匹配,则直连通信发现名称管理功能网元#A确定安全保护策略#A与安全保护策略#B不匹配。
或者,直连通信发现名称管理功能网元#B在确定安全保护策略#A与安全保护策略#B匹配的情况下,不向直连通信发现名称管理功能网元#A发送指示信息#3;直连通信发现名称管理功能网元#B在确定安全保护策略#A与安全保护策略#B不匹配的情况下,向直连通信发现名称管理功能网元#A发送指示信息#3,指示信息#3用于指示安全保护策略#A与安全保护策略#B不匹配。进一步地,直连通信发现名称管理功能网元#B在收到指示信息#3之后,确定安全保护策略#A与安全保护策略#B不匹配。
方式二:
直连通信发现名称管理功能网元#A接收来自直连通信发现名称管理功能网元#B的安全保护策略#B;直连通信发现名称管理功能网元#A确定安全保护策略#A与安全保护策略#B是否匹配。
S520,直连通信发现名称管理功能网元#A发送第一标识。相应地,在S520中,终端设备#A接收第一标识。
示例性地,直连通信发现名称管理功能网元#A将第一标识携带在直连通信发现消息中发送给终端设备#A。
可选地,直连通信发现名称管理功能网元#A获取到第一标识之后,将第一标识与第一服务的服务发现参数关联起来,并将第一标识和该服务发现参数发送给终端设备#A。可以理解,直连通信发现名称管理功能网元#A将第一标识与服务发现参数关联起来之后,第一标识与服务发现参数具有对应关系。
可选地,直连通信发现名称管理功能网元#A可以将第一标识与全部的服务发现参数关联前,也可以将第一标识与部分服务发现参数关联起来,本申请实施例对此不作限定。
可选地,在S520之前,方法500还包括:直连通信发现名称管理功能网元#A确定安全保护策略#A与安全保护策略#B是否匹配。若安全保护策略#A与安全保护策略#B不匹配,则直连通信发现名称管理功能网元#A向终端设备#A发送第一标识。若安全保护策略#A与安全保护策略#B匹配,则直连通信发现名称管理功能网元#A不向终端设备#A发送第一标识。
在本申请实施例中,直连通信发现名称管理功能网元获取到第一标识之后,将第一标识发送给终端设备,有助于终端设备根据第一标识修改安全保护策略,从而避免两端终端设备的安全保护策略不匹配导致第一服务的连接建立失败。
下面结合图6和图7说明本申请实施例提供的确定安全保护开启方式的方法。
需要说明的是,下文实施例中以第一终端设备是A-UE为例,以第二终端设备是M-UE为例,以第一服务是ProSe服务为例,以及以第一服务的连接是PC5单播连接为例。以及下文实施例中的A-PCF和A-5G DDNMF为A-UE提供服务,M-PCF和M-5G DDNMF为M-UE提供服务。
图6示出了本申请实施例提供的确定安全保护开启方式的方法的示意性流程图。如图6所示,方法600可以包括S601至S609,下面详细描述各个步骤。
S601,AF确定ProSe服务的安全保护策略配置#1包含的多个PC5单播安全保护策略取值不同。
具体地,AF根据应用需求确定ProSe服务的安全保护策略配置#1,ProSe服务的安全保护策略配置#1包含多个PC5单播安全保护策略。该多个PC5单播安全保护策略包括ProSe服务的PC5单播连接在不同地理位置的控制面安全保护策略和/或用户面安全保护策略。需要说明的是,安全保护策略包括机密性保护策略和/或完整性保护策略。例如,控制面安全保护策略包括控制面机密性保护策略和/或控制面完整性保护策略,用户面安全保护策略包括用户面机密性保护策略和/或用户面完整性保护策略。
更多关于ProSe服务的安全保护策略配置#1的描述,可以参考上文S410中关于第一服务的安全保护策略配置#1的描述。更多关于多个PC5单播安全保护策略取值不同的含义,可以参考上文S410中关于多个安全保护策略取值不同的含义的描述。
进一步地,若AF确定ProSe服务的安全保护策略配置#1包含的多个PC5单播安全保护策略的取值不同,则AF生成指示信息#2。指示信息#2用于指示ProSe服务的安全保护策略可在PC5单播连接建立中被强制修改。或者,指示信息#2用于指示使用ProSe服务的终端设备均使用相同的安全保护策略。
可选的,AF可以默认生成指示信息#2。也就是说,不论该多个PC5单播安全保护策略的取值是否相同,AF都会生成指示信息#2。并且,AF在生成指示信息#2之前,可以不判断该多个PC5单播安全保护策略的取值是否相同。
可选地,AF接收到来自A-PCF/M-PCF的请求消息#1之后,根据请求消息#1生成指示信息#2。该请求消息#1用于请求指示信息#2。示例性地,该请求消息#1是A-PCF/M-PCF通过NEF向AF发送的。又示例性地,该请求消息#1是A-PCF/M-PCF直接发送给AF的。
S602a,AF向A-PCF发送ProSe服务的安全保护策略配置#1。
A-PCF根据从AF获取的ProSe服务的安全保护策略配置#1确定ProSe服务的安全保护策略配置,ProSe服务的安全保护策略配置包含多个PC5单播安全保护策略的取值。
S602b,AF向M-PCF发送ProSe服务的安全保护策略配置#1。
M-PCF根据从AF获取的ProSe服务的安全保护策略配置#1确定ProSe服务的安全保护策略配置,ProSe服务的安全保护策略配置包含多个PC5单播安全保护策略的取值。
可选地,AF向A-PCF/M-PCF发送ProSe服务的安全保护策略配置#1时,向A-PCF/M-PCF发送指示信息#2。也就是说,AF将ProSe服务的安全保护策略配置#1和指示信息#2携带在同一条信令中,发送给A-PCF/M-PCF。
可选地,AF在收到请求消息#1之后,向A-PCF/M-PCF发送指示信息#2。
可选地,A-PCF/M-PCF在确定多个PC5单播安全保护策略的取值不同时,向AF发送请求消息#1。
S603,A-PCF/M-PCF确定第一标识。
具体地,A-PCF/M-PCF确定第一标识的方式,可以参考上文S440中的描述,为了简洁,此处不再详述。
S604a,A-PCF将多个PC5单播安全保护策略和第一标识发送给A-UE。
具体地,A-PCF可以指示AMF触发UE配置更新流程(UE configuration updateprocedure)将多个PC5单播安全保护策略和第一标识发送给A-UE。即A-PCF将多个PC5单播安全保护策略和第一标识发送给AMF,AMF再将多个PC5单播安全保护策略和第一标识发送给A-UE。
S604b,M-PCF将多个PC5单播安全保护策略和第一标识发送给M-UE。
具体地,M-PCF可以指示AMF触发UE配置更新流程将多个PC5单播安全保护策略和第一标识发送给M-UE。即M-PCF将多个PC5单播安全保护策略和第一标识发送给AMF,AMF再将多个PC5单播安全保护策略和第一标识发送给M-UE。
S605,A-UE与M-UE执行ProSe服务的发现流程。
具体地,A-UE与M-UE可以执行model A发现流程,也可以执行model B发现流程。本申请实施例对此不做限定。
可选地,A-UE在model A发现流程的消息中携带第一标识。
可选地,A-UE和/或M-UE在model B发现流程的消息中携带第一标识。
S606,M-UE向A-UE发送DCR/DSM完成消息。
DCR/DSM完成消息包括安全保护策略#2,安全保护策略#2是M-UE在ProSe服务的PC5单播连接中使用的安全保护策略,安全保护策略#2是M-UE根据所处的地理位置,从多个PC5单播安全保护策略中确定的。安全保护策略#2包括控制面安全保护策略#2和/或用户面安全保护策略#2。控制面安全保护策略#2包括控制面机密性保护策略和/或控制面完整性保护策略。用户面安全保护策略#2包括用户面机密性保护策略和/或用户面完整性保护策略。
示例性地,M-UE向A-UE发送DCR消息,DCR消息包括控制面安全保护策略#2。
示例性地,M-UE向A-UE发送DCR消息,DCR消息包括控制面安全保护策略#2和用户面安全保护策略#2。
示例性地,M-UE向A-UE发送DSM完成消息,DSM完成消息包括用户面安全保护策略#2。
示例性地,M-UE向A-UE发送DSM完成消息,DSM完成消息包括控制面安全保护策略#2和用户面安全保护策略#2。
可选地,M-UE在DCR/DSM完成消息中携带第一标识。
S607,A-UE根据第一标识确定PC5单播连接的安全保护开启方式。
具体地,A-UE确定PC5单播连接的安全保护开启方式的方法可以参考上文S320。
可选地,在DCR/DSM完成消息携带第一标识的情况下,A-UE根据第一标识确定PC5单播连接的安全保护开启方式。
可选地,在DCR/DSM完成消息携带第一标识的情况下,A-UE可以不检查安全保护策略#2是否与本端的安全保护策略匹配,从而可以节省终端设备的处理资源。
S608,A-UE向M-UE发送DSM命令/DCA消息。DSM命令/DCA消息包括PC5单播连接的安全保护开启方式。
PC5单播连接的安全保护开启方式包括控制面安全保护开启方式和/或用户面安全保护开启方式。控制面安全保护开启方式包括控制面机密性保护开启方式和/或控制面完整性保护开启方式。用户面安全保护开启方式包括用户面机密性保护开启方式和/或用户面完整性保护开启方式。
示例性地,若在S606中,A-UE接收到DCR消息,且DCR消息包括控制面安全保护策略#2,则在S607中,A-UE确定PC5单播连接的控制面安全保护开启方式。进一步地,在S608中,A-UE向M-UE发送DSM命令消息,DSM命令消息包括控制面安全保护开启方式。
示例性地,若在S606中,M-UE向A-UE发送DCR消息,DCR消息包括控制面安全保护策略#2和用户面安全保护策略#2,则在S607中,A-UE确定PC5单播连接的控制面安全保护开启方式和用户面安全保护开启方式。进一步地,在S608中,A-UE向M-UE发送DSM命令消息,DSM命令消息包括控制面安全保护开启方式和用户面安全保护开启方式。
示例性地,若在S606中,M-UE向A-UE发送DSM完成消息,DSM完成消息包括用户面安全保护策略#2,则在S607中,A-UE确定PC5单播连接的用户面安全保护开启方式。进一步地,在S608中,A-UE向M-UE发送DCA消息,DCA消息包括用户面安全保护开启方式。
示例性地,若在S606中,M-UE向A-UE发送DSM完成消息,DSM完成消息包括控制面安全保护策略#2和用户面安全保护策略#2,则在S607中,A-UE确定PC5单播连接的控制面安全保护开启方式和用户面安全保护开启方式。进一步地,在S608中,A-UE向M-UE发送DCA消息,DCA消息包括控制面安全保护开启方式和用户面安全保护开启方式。
可选地,A-UE在DSM命令/DCA消息中携带第一标识。
S609,M-UE开启/不开启安全保护。
示例性地,若M-UE接收到DSM命令/DCA消息,DSM命令/DCA消息包括PC5单播连接的安全保护开启方式,则M-UE根据PC5单播连接的安全保护开启方式,确定开启/不开启PC5单播连接的安全保护。若PC5单播连接的安全保护开启方式为开启安全保护,则M-UE确定开启PC5单播连接的安全保护;若PC5单播连接的安全保护开启方式为不开启安全保护,则M-UE确定不开启PC5单播连接的安全保护。
可选地,M-UE不检查该安全保护开启方式是否和安全保护策略#2匹配。
可选地,在DSM命令/DCA消息携带第一标识的情况下,M-UE不检查该安全保护开启方式是否和安全保护策略#2匹配。
图7示出了本申请实施例提供的确定安全保护开启方式的方法的示意性流程图。如图7所示,方法700可以包括S701至S711,下面详细描述各个步骤。
S701,AF确定ProSe服务的安全保护策略配置#1包含的多个PC5单播安全保护策略取值不同。
与图6中的S601相同,为了简洁,此处不再详述。
S702a,AF向A-PCF发送ProSe服务的安全保护策略配置#1。
A-PCF根据从AF获取的ProSe服务的安全保护策略配置#1确定ProSe服务的安全保护策略配置,ProSe服务的安全保护策略配置包含多个PC5单播安全保护策略的取值。
S702b,AF向M-PCF发送ProSe服务的安全保护策略配置#1。
M-PCF根据从AF获取的ProSe服务的安全保护策略配置#1确定ProSe服务的安全保护策略配置,ProSe服务的安全保护策略配置包含多个PC5单播安全保护策略的取值。
可选地,AF向A-PCF/M-PCF发送ProSe服务的安全保护策略配置#1时,向A-PCF/M-PCF发送指示信息#2。也就是说,AF将ProSe服务的安全保护策略配置#1和指示信息#2携带在同一条信令中,发送给A-PCF/M-PCF。
可选地,AF在收到请求消息#1之后,向A-PCF/M-PCF发送指示信息#2。
可选地,A-PCF/M-PCF在确定多个PC5单播安全保护策略的取值不同时,向AF发送请求消息#1。
可选地,A-PCF在接收到来自A-5G DDNMF的请求消息#1之后,向AF发送请求消息#1。
S703a,A-PCF向A-UE发送多个PC5单播安全保护策略。
可选地,在A-PCF向A-UE发送多个PC5单播安全保护策略之前,A-PCF可以确定第一标识。若A-PCF确定了第一标识,则A-PCF将多个PC5单播安全保护策略和第一标识发送给A-UE。
具体地,A-PCF确定第一标识的方式,可以参考上文S440中的描述,为了简洁,此处不再详述。
S703b,M-PCF向M-UE发送多个PC5单播安全保护策略。
可选地,在M-PCF向M-UE发送多个PC5单播安全保护策略之前,M-PCF可以确定第一标识。若M-PCF确定了第一标识,则M-PCF将多个PC5单播安全保护策略和第一标识发送给M-UE。
具体地,M-PCF确定第一标识的方式,可以参考上文S440中的描述,为了简洁,此处不再详述。
S704a,A-UE向A-5G DDNMF发送发现请求消息。
发现请求消息用于请求获取ProSe服务的服务发现参数。发现请求消息包括ProSe服务的应用标识,以标识ProSe服务。
可选地,发现请求消息包括A-UE的位置信息。
S704b,M-UE向M-5G DDNMF发送发现请求消息。
发现请求消息用于请求获取ProSe服务的服务发现参数。发现请求消息包括ProSe服务的应用标识,以标识ProSe服务。
可选地,发现请求消息包括M-UE的位置信息。
S705,A-5G DDNMF/M-5G DDNMF获取第一标识。
具体地,A-5G DDNMF/M-5G DDNMF确定第一标识的方式,可以参考上文S510中的描述,为了简洁,此处不再详述。
可以理解在,在S705中,A-5G DDNMF/M-5G DDNMF还确定服务发现参数,服务发现参数包括ProSe code,ProSe code包括以下一项或多项:ProSe应用代码(ProSeapplication code)、ProSe发现代码(ProSe discovery code)、ProSe查询代码(ProSequery code)或ProSe响应代码(ProSe response code)。
可选地,在A-5G DDNMF/M-5G DDNMF获取到第一标识之后,A-5G DDNMF/M-5GDDNMF可以将第一标识和ProSe code关联起来。可以理解,A-5G DDNMF/M-5G DDNMF将第一标识和ProSe code关联之后,第一标识和ProSe code具有对应关系。
需要说明的是,如果A-5G DDNMF与M-5G DDNMF不在同一个PLMN,则M-5G DDNMF向A-5G DDNMF请求获取ProSe code。可选地,M-5G DDNMF还可以向A-5G DDNMF请求获取第一标识。
如果A-5G DDNMF与M-5G DDNMF在同一个PLMN,则M-5G DDNMF和A-5G DDNMF是同一个网元,M-5G DDNMF可以在本地获取ProSe code。
可选地,M-5G DDNMF可以在确定安全保护策略#1与安全保护策略#2不匹配的情况下,获取第一标识。安全保护策略#1是A-UE在ProSe服务的PC5单播连接中使用的安全保护策略。安全保护策略#1是A-5G DDNMF根据A-UE的位置信息确定的。A-UE的位置信息可以是A-5G DDNMF从A-UE接收的;或者,A-UE的位置信息是A-5G DDNMF触发GMLC使用LCS获取的;或者,A-UE的位置信息是由A-5G DDNMF从A-AMF获取的,其中A-AMF是为A-UE服务的网元,A-5G DDNMF可从A-AMF直接获取A-UE的位置信息,也可由A-PCF从A-AMF获取到A-UE的位置信息后发给A-5G DDNMF。安全保护策略#2是M-UE在ProSe服务的PC5单播连接中使用的安全保护策略。安全保护策略#2是M-5G DDNMF根据M-UE的位置信息确定的。M-UE的位置信息可以是M-5G DDNMF从M-UE接收的;或者,M-UE的位置信息是M-5G DDNMF触发GMLC使用LCS获取的;或者,M-UE的位置信息是由M-5G DDNMF从M-AMF获取的,其中M-AMF是为A-UE服务的网元,M-5G DDNMF可从M-AMF直接获取M-UE的位置信息,也可由M-PCF从M-AMF获取到A-UE的位置信息后发给M-5G DDNMF。
M-5G DDNMF可以在确定安全保护策略#1与安全保护策略#2不匹配的方式包括以下几种:
方式一:
M-5G DDNMF向A-5G DDNMF发送请求消息#3,请求消息#3用于请求ProSe服务的服务发现参数,请求消息#3包括安全保护策略#2;A-5G DDNMF确定安全保护策略#1与安全保护策略#2不匹配之后,向M-5G DDNMF发送服务发现参数和第一标识;或者A-5G DDNMF向M-5G DDNMF发送服务发现参数、第一标识和指示信息#3,指示信息#3用于指示安全保护策略#1与安全保护策略#2不匹配。
可选地,服务发现参数中的ProSe code与第一标识具有对应关系。
方式二:
M-5G DDNMF向A-5G DDNMF发送请求消息#2,请求消息#2用于请求第一标识,请求消息#3包括安全保护策略#2;A-5G DDNMF确定安全保护策略#1与安全保护策略#2不匹配之后,向M-5G DDNMF发送第一标识;或者A-5G DDNMF向M-5G DDNMF发送第一标识和指示信息#3,指示信息#3用于指示安全保护策略#1与安全保护策略#2不匹配。
方式三:
M-5G DDNMG向A-5G DDNMF发送安全保护策略#1;A-5G DDNMF确定安全保护策略#1与安全保护策略#2不匹配之后,向M-5GDDNMG发送指示信息#3,指示信息#3用于指示安全保护策略#1与安全保护策略#2不匹配。
M-5G DDNMF在收到指示信息#3之后,则采用S510中的方式一和方式二获取第一标识。
方式四:
A-5G DDNMG向M-5G DDNMF发送安全保护策略#1;M-5G DDNMF确定安全保护策略#1与安全保护策略#2不匹配之后,则采用S510中方式一至方式三获取第一标识。
S706a,A-5G DDNMF向A-UE发送发现响应(discovery response)消息。
发现响应消息包括服务发现参数和第一标识。可选地,服务发现参数中的ProSecode与第一标识具有对应关系。
S706b,M-5G DDNMF向M-UE发送发现响应消息。
发现响应消息包括服务发现参数。若M-5G DDNMG获取到第一标识,则发现响应消息还包括第一标识。可选地,服务发现参数中的ProSe code与第一标识具有对应关系。
S707,A-UE与M-UE执行ProSe服务的发现流程。
具体地,A-UE与M-UE可以执行model A发现流程,也可以执行model B发现流程。本申请实施例对此不做限定。
可选地,若A-UE从A-5G DDNMF接收到与第一标识对应的ProSe code,且A-UE允许强制修改安全保护策略,则A-UE在发现流程中发现消息中携带与第一标识对应的ProSecode。相应地,若M-UE接收到与第一标识对应的ProSe code,则M-UE确定A-UE允许强制修改安全保护策略。
可选地,若M-UE从M-5G DDNMF接收到与第一标识对应的ProSe code,且M-UE允许强制修改安全保护策略,则M-UE在发现流程中发现消息中携带与第一标识对应的ProSecode。相应地,若A-UE接收到与第一标识对应的ProSe code,则A-UE确定M-UE允许强制修改安全保护策略。
S708,M-UE向A-UE发送DCR/DSM完成消息。
与图6中的S606相同,为了简洁,此处不再详述。
S709,A-UE根据第一标识确定PC5单播连接的安全保护开启方式。
具体地,A-UE确定PC5单播连接的安全保护开启方式的方法可以参考上文S320。
可选地,在DCR/DSM完成消息携带第一标识的情况下,A-UE根据第一标识确定PC5单播连接的安全保护开启方式。
可选地,若在发现流程中,A-UE接收到与第一标识对应的ProSe code,则A-UE根据第一标识确定PC5单播连接的安全保护开启方式。
可选地,在DCR/DSM完成消息携带第一标识的情况下,A-UE可以不检查安全保护策略#2是否与本端的安全保护策略匹配,从而可以节省终端设备的处理资源。
S710,A-UE向M-UE发送DSM命令/DCA消息。DSM命令/DCA消息包括PC5单播连接的安全保护开启方式。
与图6中的S608相同,为了简洁,此处不再详述。
S711,M-UE开启/不开启安全保护。
示例性地,若M-UE接收到DSM命令/DCA消息,DSM命令/DCA消息包括PC5单播连接的安全保护开启方式,则M-UE根据PC5单播连接的安全保护开启方式,确定开启/不开启PC5单播连接的安全保护。若PC5单播连接的安全保护开启方式为开启安全保护,则M-UE确定开启PC5单播连接的安全保护;若PC5单播连接的安全保护开启方式为不开启安全保护,则M-UE确定不开启PC5单播连接的安全保护。
可选地,M-UE不检查该安全保护开启方式是否和安全保护策略#2匹配。
可选地,在DSM命令/DCA消息携带第一标识的情况下,M-UE不检查该安全保护开启方式是否和安全保护策略#2匹配,从而可以节省终端设备的处理资源。。
可选地,在发现流程中,若M-UE接收到与第一标识对应的ProSe code,则M-UE不检查该安全保护开启方式是否和安全保护策略#2匹配,从而可以节省终端设备的处理资源。
以上,结合图3至图7详细说明了本申请实施例提供的方法。以下,结合图8至图9详细说明本申请实施例提供的通信装置。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。
本申请实施例可以根据上述方法示例对发射端设备或者接收端设备进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。下面以采用对应各个功能划分各个功能模块为例进行说明
图8是本申请实施例提供的通信装置800的示意性框图。如图所示,该通信装置800可以包括:收发单元810和处理单元820。
在一种可能的设计中,该通信装置800可以是上文方法实施例中的第一终端设备,也可以是用于实现上文方法实施例中第一终端设备的功能的芯片。
应理解,该通信装置800可对应于根据本申请实施例的方法300至方法700中的第一终端设备,该通信装置800可以包括用于执行图3中的方法300、图4中的方法200、图5中的方法500、图6中的方法600和图7中的方法700中的第一终端设备执行的方法的单元。并且,该通信装置800中的各单元和上述其他操作和/或功能分别为了实现图3中的方法300、图4中的方法200、图5中的方法500、图6中的方法600和图7中的方法700的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置800可以是上文方法实施例中的第二终端设备,也可以是用于实现上文方法实施例中第二终端设备的功能的芯片。
应理解,该通信装置800可对应于根据本申请实施例的方法300至方法700中的第二终端设备,该通信装置800可以包括用于执行图3中的方法300、图4中的方法200、图5中的方法500、图6中的方法600和图7中的方法700中的第二终端设备执行的方法的单元。并且,该通信装置800中的各单元和上述其他操作和/或功能分别为了实现图3中的方法300、图4中的方法200、图5中的方法500、图6中的方法600和图7中的方法700的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置800可以是上文方法实施例中的策略控制功能网元,也可以是用于实现上文方法实施例中策略控制功能网元的功能的芯片。
应理解,该通信装置800可对应于根据本申请实施例的方法400、方法600和方法700中的策略控制功能网元,该通信装置800可以包括用于图4中的方法400、图6中的方法600和图7中的方法700中的策略控制功能网元执行的方法的单元。并且,该通信装置800中的各单元和上述其他操作和/或功能分别为了实现图4中的方法400、图6中的方法600和图7中的方法700的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置800可以是上文方法实施例中的直连通信发现名称管理功能网元,也可以是用于实现上文方法实施例中直连通信发现名称管理功能网元的功能的芯片。
应理解,该通信装置800可对应于根据本申请实施例的方法500至方法700中的直连通信发现名称管理功能网元,该通信装置800可以包括用于图5中的方法500、图6中的方法600和图7中的方法700中的直连通信发现名称管理功能网元执行的方法的单元。并且,该通信装置800中的各单元和上述其他操作和/或功能分别为了实现图5中的方法500、图6中的方法600和图7中的方法700的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置800可以是上文方法实施例中的应用功能网元,也可以是用于实现上文方法实施例中应用功能网元的功能的芯片。
应理解,该通信装置800可对应于根据本申请实施例的方法400、方法600和方法700中的应用功能网元,该通信装置800可以包括用于图4中的方法400、图6中的方法600和图7中的方法700中的应用功能网元执行的方法的单元。并且,该通信装置800中的各单元和上述其他操作和/或功能分别为了实现图4中的方法400、图6中的方法600和图7中的方法700的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
还应理解,该通信装置800中的收发单元810可对应于图9中示出的通信设备900中的收发器920,该通信装置800中的处理单元820可对应于图9中示出的通信设备900中的处理器910。
还应理解,当该通信装置800为芯片时,该芯片包括收发单元和处理单元。其中,收发单元可以是输入输出电路或通信接口;处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。
收发单元810用于实现通信装置800的信号的收发操作,处理单元820用于实现通信装置800的信号的处理操作。
可选地,该通信装置800还包括存储单元830,该存储单元830用于存储指令。
图9是本申请实施例提供的通信设备900的示意性框图。如图所示,该通信设备900包括:至少一个处理器910和收发器920。该处理器910与存储器耦合,用于执行存储器中存储的指令,以控制收发器920发送信号和/或接收信号。可选地,该通信设备900还包括存储器930,用于存储指令。
应理解,上述处理器910和存储器930可以合成一个处理装置,处理器910用于执行存储器930中存储的程序代码来实现上述功能。具体实现时,该存储器930也可以集成在处理器910中,或者独立于处理器910。
还应理解,收发器920可以包括接收器(或者称,接收机)和发射器(或者称,发射机)。收发器920还可以进一步包括天线,天线的数量可以为一个或多个。收发器920有可以是通信接口或者接口电路。
当该通信设备900为芯片时,该芯片包括收发单元和处理单元。其中,收发单元可以是输入输出电路或通信接口;处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。本申请实施例还提供了一种处理装置,包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。
应理解,上述处理装置可以是一个芯片。例如,该处理装置可以是现场可编程门阵列(field programmable gate array,FPGA),可以是专用集成芯片(applicationspecific integrated circuit,ASIC),还可以是系统芯片(system on chip,SoC),还可以是中央处理器(central processor unit,CPU),还可以是网络处理器(networkprocessor,NP),还可以是数字信号处理电路(digital signal processor,DSP),还可以是微控制器(micro controller unit,MCU),还可以是可编程控制器(programmable logicdevice,PLD)或其他集成芯片。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
应注意,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
根据本申请实施例提供的方法,本申请还提供一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当该计算机程序代码在计算机上运行时,使得该计算机执行图3至图7所示实施例中任意一个实施例的方法。
根据本申请实施例提供的方法,本申请还提供一种计算机可读介质,该计算机可读介质存储有程序代码,当该程序代码在计算机上运行时,使得该计算机执行图3至图7所示实施例中任意一个实施例的方法。
根据本申请实施例提供的方法,本申请还提供一种系统,其包括前述的第一终端设备、第二终端设备。
根据本申请实施例提供的方法,本申请还提供一种系统,其包括前述的第一终端设备、第二终端设备、策略控制功能网元、直连通信发现名称管理功能网元和应用功能网元。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(digital video disc,DVD))、或者半导体介质(例如,固态硬盘(solid state disc,SSD))等。
上述各个装置实施例中网络侧设备与终端设备和方法实施例中的网络侧设备或终端设备对应,由相应的模块或单元执行相应的步骤,例如通信单元(收发器)执行方法实施例中接收或发送的步骤,除发送、接收外的其它步骤可以由处理单元(处理器)执行。具体单元的功能可以参考相应的方法实施例。其中,处理器可以为一个或多个。
在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如,部件可以是但不限于,在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示,在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中,部件可位于一个计算机上和/或分布在两个或更多个计算机之间。此外,这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据,例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (33)

1.一种确定安全保护开启方式的方法,其特征在于,包括:
第一终端设备接收来自核心网网元的第一标识,所述第一标识用于修改终端设备的安全保护策略;
在所述第一终端设备与第二终端设备为服务建立连接的过程中,所述第一终端设备根据所述第一标识确定是否开启所述连接的安全保护;
所述第一终端设备向所述第二终端设备发送第一信息,所述第一信息用于指示是否开启所述连接的安全保护。
2.根据权利要求1所述的方法,其特征在于,所述第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、第一指示信息,所述第一指示信息用于指示允许终端设备的安全保护策略被强制修改。
3.根据权利要求1或2所述的方法,其特征在于,所述第一标识为所述第一指示信息,所述第一终端设备根据所述第一标识确定是否开启所述连接的安全保护,包括:
所述第一终端设备根据所述第一指示信息、第一安全保护策略和第二安全保护策略中安全级别较高的安全保护策略,确定是否开启所述连接的安全保护,所述第一安全保护策略是所述第一终端设备在所述服务中使用的安全保护策略,所述第二安全保护策略是所述第二终端设备在所述服务中使用的安全保护策略。
4.根据权利要求1或2所述的方法,其特征在于,所述第一标识为所述第一指示信息,所述第一终端设备根据所述第一标识确定是否开启所述连接的安全保护,包括:
所述第一终端设备根据所述第一指示信息和第一安全保护策略,确定是否开启所述连接的安全保护,所述第一安全保护策略是所述第一终端设备在所述服务中使用的安全保护策略。
5.根据权利要求1或2所述的方法,其特征在于,所述第一标识为所述新的安全保护策略,所述第一终端设备根据所述第一标识确定是否开启所述连接的安全保护,包括:
所述第一终端设备根据所述新的安全保护策略,确定是否开启所述连接的安全保护。
6.根据权利要求1或2所述的方法,其特征在于,所述第一标识为所述新的安全保护开启方式,所述第一终端设备根据所述第一标识确定是否开启所述连接的安全保护,包括:
所述第一终端设备根据所述新的安全保护开启方式确定是否开启所述连接的安全保护。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述第一终端设备根据所述第一标识确定是否开启所述连接的安全保护,包括:
在第一安全保护策略与第二安全保护策略不匹配的情况下,所述第一终端设备根据所述第一标识确定是否开启所述连接的安全保护,所述第一安全保护策略是所述第一终端设备在所述服务中使用的安全保护策略,所述第二安全保护策略是所述第二终端设备在所述服务中使用的安全保护策略。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述第一终端设备根据所述第一标识确定是否开启所述连接的安全保护,包括:
在确定所述第二终端设备支持强制修改安全保护策略的情况下,所述第一终端设备根据所述第一标识确定是否开启所述连接的安全保护。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在所述服务的发现流程中,所述第一终端设备接收来自所述第二终端设备的服务发现代码,所述服务发现代码与所述第一标识对应;
所述第一终端设备根据所述服务发现代码确定所述第二终端设备支持强制修改安全保护策略。
10.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在建立所述连接的过程中,所述第一终端设备接收来自所述第二终端设备的第一消息,所述第一消息包括所述第一标识;
所述第一终端设备根据所述第一标识确定所述第二终端设备支持强制修改安全保护策略。
11.根据权利要求1至10中任一项所述的方法,其特征在于,所述核心网网元是第一直连通信发现名称管理功能网元,所述第一标识与服务发现代码对应,所述方法还包括:
所述第一终端设备接收来自所述第一直连通信发现名称管理功能网元的所述服务发现代码。
12.一种确定安全保护开启方式的方法,其特征在于,包括:
第二终端设备接收来自核心网网元的第一标识,所述第一标识用于修改终端设备的安全保护策略;
在所述第二终端设备与第一终端设备为服务建立连接的过程中,所述第二终端设备向所述第一终端设备发送所述第一标识;
所述第二终端设备接收来自所述第一终端设备的第一信息,所述第一信息用于指示是否开启所述连接的安全保护,所述第一信息是所述第一终端设备根据所述第一标识确定的;
所述第二终端设备根据所述第一信息确定是否开启所述连接的安全保护。
13.一种确定安全保护开启方式的方法,其特征在于,包括:
第二终端设备接收来自核心网网元的第一标识,所述第一标识用于修改终端设备的安全保护策略,所述第一标识与服务发现代码对应;
在服务的发现流程中,所述第二终端设备向第一终端设备发送所述服务发现代码;
在所述第二终端设备与所述第一终端设备为所述服务建立连接的过程中,所述第二终端设备接收来自所述第一终端设备的第一信息,所述第一信息用于指示是否开启所述连接的安全保护,所述第一信息是所述第一终端设备根据所述第一标识确定的;
所述第二终端设备根据所述第一信息确定是否开启所述连接的安全保护。
14.根据权利要求12或13所述的方法,其特征在于,所述第一标识为以下一项或多项:新的安全保护策略、新的安全保护开启方式、第一指示信息,所述第一指示信息用于指示允许终端设备的安全保护策略被强制修改。
15.根据权利要求12至14中任一项所述的方法,其特征在于,所述第一信息还包括所述第一标识。
16.一种通信方法,其特征在于,包括:
第一核心网网元根据第一服务的安全保护策略配置和第二指示信息确定第一标识,所述第二指示信息用于指示所述第一服务的安全保护策略可在连接建立中被强制修改,所述第一标识用于修改终端设备的安全保护策略;
所述第一核心网网元向终端设备发送所述第一标识。
17.根据权利要求16所述的方法,其特征在于,所述第一核心网网元根据第一服务的安全保护策略配置和第二指示信息确定第一标识,包括:
在确定所述安全保护策略配置包括的多个安全保护策略取值不同时,所述第一核心网网元根据所述安全保护策略配置和所述第二指示信息确定所述第一标识,所述多个安全保护策略包括所述第一服务在不同地理位置的安全保护策略。
18.根据权利要求16或17所述的方法,其特征在于,所述方法还包括:
所述第一核心网网元接收来自第二核心网网元的所述第二指示信息。
19.根据权利要求18所述的方法,其特征在于,所述方法还包括:
所述第一核心网网元向所述第二核心网网元发送第一请求消息,所述第一请求消息用于请求所述第二指示信息。
20.根据权利要求19所述的方法,其特征在于,所述第一核心网网元向所述第二核心网网元发送第一请求消息,包括:
在确定所述安全保护策略配置包括的多个安全保护策略取值不同时,所述第一核心网网元向所述第二核心网网元发送所述第一请求消息,所述多个安全保护策略包括所述第一服务在不同地理位置的安全保护策略。
21.根据权利要求18至20中任一项所述的方法,其特征在于,
所述第一核心网网元是策略控制功能网元,所述第二核心网网元是应用功能网元;或者,
所述第一核心网网元是直连通信发现名称管理功能网元,所述第二核心网网元是策略控制功能网元。
22.根据权利要求16至21中任一项所述的方法,其特征在于,所述第一核心网网元是第二直连通信发现名称管理功能网元,所述终端设备是第二终端设备,所述第一核心网网元向终端设备发送所述第一标识,包括:
在确定第一安全保护策略与第二安全保护策略不匹配的情况下,所述第二直连通信发现名称管理功能网元向所述第二终端设备发送所述第一标识,所述第一安全保护策略是第一终端设备在所述第一服务中使用的安全保护策略,所述第二安全保护策略是所述第二终端设备在所述第一服务中使用的安全保护策略,所述第一终端设备是与所述第二终端设备为所述第一服务建立连接的终端设备。
23.根据权利要求22所述的方法,其特征在于,所述方法还包括:
所述第二直连通信发现名称管理网元接收来自第一直连通信发现名称管理网元的所述第一安全保护策略;
所述第二直连通信发现名称管理网元确定所述第一安全保护策略与所述第二安全保护策略不匹配。
24.根据权利要求22所述的方法,其特征在于,所述方法还包括:
所述第二直连通信发现名称管理网元向第一直连通信发现名称管理网元发送所述第二安全保护策略;
所述第二直连通信发现名称管理网元接收来自所述第一直连通信发现名称管理网元的第三指示信息,所述第三指示信息用于指示所述第一安全保护策略与所述第二安全保护策略不匹配。
25.根据权利要求22至24中任一项所述的方法,其特征在于,所述方法还包括:
所述第二直连通信发现名称管理功能网元根据所述第二终端设备的位置信息,确定所述第二安全保护策略。
26.根据权利要求25所述的方法,其特征在于,所述方法还包括:
所述第二直连通信发现名称管理功能网元接收来自所述第二终端设备的所述位置信息。
27.根据权利要求25所述的方法,其特征在于,所述方法还包括:
所述第二直连通信发现名称管理功能网元触发网关移动定位中心,使用定位业务获取所述位置信息。
28.根据权利要求16至27中任一项所述的方法,其特征在于,所述第一核心网网元是直连通信发现名称管理功能网元,所述第一标识携带在直连通信发现消息中。
29.一种通信方法,其特征在于,包括:
应用功能网元确定第一服务的安全保护策略配置包括的多个安全保护策略取值不同,所述多个安全保护策略包括所述第一服务在不同地理位置的安全保护策略;
所述应用功能网元向策略控制功能网元发送第二指示信息,所述第二指示信息用于指示所述第一服务的安全保护策略可在连接建立中被强制修改。
30.根据权利要求29所述的方法,其特征在于,所述方法还包括:
所述应用功能网元接收来自所述策略控制功能网元的第一请求消息,所述第一请求消息用于请求所述第二指示信息;
所述应用功能网元向策略控制功能网元发送第二指示信息,包括:
所述应用功能网元根据所述第一请求消息向所述策略控制功能网元发送所述第二指示信息。
31.一种通信装置,其特征在于,用于实现如权利要求1至30中任意一项所述的方法。
32.一种通信设备,其特征在于,包括:
存储器,所述存储器用于存储计算机程序;
收发器,所述收发器用于执行收发步骤;
处理器,所述处理器用于从所述存储器中调用并运行所述计算机程序,使得所述通信设备执行权利要求1至30中任一项所述的方法。
33.一种计算机可读存储介质,其特征在于,包括:所述计算机可读介质存储有计算机程序;所述计算机程序在计算机上运行时,使得所述计算机执行权利要求1至30中任一项所述的方法。
CN202110524279.3A 2021-05-13 2021-05-13 确定安全保护开启方式的方法、通信方法及通信装置 Pending CN115348585A (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN202110524279.3A CN115348585A (zh) 2021-05-13 2021-05-13 确定安全保护开启方式的方法、通信方法及通信装置
EP22806819.3A EP4322583A4 (en) 2021-05-13 2022-05-12 METHOD FOR DETERMINING SECURITY PROTECTION ACTIVATION MODE, COMMUNICATION METHOD AND COMMUNICATION APPARATUS
PCT/CN2022/092338 WO2022237857A1 (zh) 2021-05-13 2022-05-12 确定安全保护开启方式的方法、通信方法及通信装置
BR112023023630A BR112023023630A2 (pt) 2021-05-13 2022-05-12 Método para determinar uma maneira de habilitação de proteção de segurança, aparelho, método, dispositivo e sistema de comunicação, sistema de chip, processador e meio de armazenamento legível por computador
JP2023569905A JP2024520916A (ja) 2021-05-13 2022-05-12 セキュリティ保護有効化方式を決定するための方法、通信方法、および通信装置
US18/506,241 US20240080345A1 (en) 2021-05-13 2023-11-10 Method for determining security protection enabling manner, communication method, and communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110524279.3A CN115348585A (zh) 2021-05-13 2021-05-13 确定安全保护开启方式的方法、通信方法及通信装置

Publications (1)

Publication Number Publication Date
CN115348585A true CN115348585A (zh) 2022-11-15

Family

ID=83977931

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110524279.3A Pending CN115348585A (zh) 2021-05-13 2021-05-13 确定安全保护开启方式的方法、通信方法及通信装置

Country Status (6)

Country Link
US (1) US20240080345A1 (zh)
EP (1) EP4322583A4 (zh)
JP (1) JP2024520916A (zh)
CN (1) CN115348585A (zh)
BR (1) BR112023023630A2 (zh)
WO (1) WO2022237857A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4380294A4 (en) * 2021-07-28 2024-08-21 Beijing Xiaomi Mobile Software Co Ltd DIRECT COMMUNICATIONS METHOD AND DEVICE, USER DEVICE AND STORAGE MEDIUM

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9648653B2 (en) * 2011-12-20 2017-05-09 Lg Electronics Inc. User equipment-initiated control method and apparatus for providing proximity service
WO2013163634A1 (en) * 2012-04-27 2013-10-31 Interdigital Patent Holdings, Inc. Systems and methods for personalizing and/or tailoring a service interface
US10212597B2 (en) * 2013-10-30 2019-02-19 Nec Corporation Apparatus, system and method for secure direct communication in proximity based services
EP3281427A1 (en) * 2015-04-06 2018-02-14 Interdigital Patent Holdings, Inc. METHODS, APPARATUSES AND SYSTEMS DIRECTED TO PROXIMITY SERVICES (ProSe) DIRECT DISCOVERY
CN110912854B (zh) * 2018-09-15 2021-03-23 华为技术有限公司 一种安全保护方法、设备及系统

Also Published As

Publication number Publication date
JP2024520916A (ja) 2024-05-27
BR112023023630A2 (pt) 2024-02-06
EP4322583A1 (en) 2024-02-14
WO2022237857A1 (zh) 2022-11-17
US20240080345A1 (en) 2024-03-07
EP4322583A4 (en) 2024-10-09

Similar Documents

Publication Publication Date Title
US20220369215A1 (en) Relay selection in cellular sliced networks
US20220330361A1 (en) Method for establishing connection and obtaining relay service code and communications apparatus
KR102072107B1 (ko) 소형 셀들을 통한 비제한적 셀룰러 네트워크 연결성
CN112566149B (zh) 配置业务的方法、通信装置和通信系统
US20230156513A1 (en) Proximity service communication method, management network element, terminal device, and communication system
CN116210253A (zh) 一种通信方法、设备及系统
US20240080345A1 (en) Method for determining security protection enabling manner, communication method, and communication apparatus
CN116390203A (zh) 选择网络的方法和装置
US12075349B2 (en) Method and device for communication
US11356931B2 (en) WLAN assisted cellular network discovery and selection
CN111988782B (zh) 安全会话方法和装置
WO2023051430A1 (zh) 通信的方法和装置
CN114698145A (zh) 用于传输数据的方法和装置
WO2023160390A1 (zh) 通信方法与装置
WO2023103575A1 (zh) 组播/广播通信的方法与相关装置
WO2023143212A1 (zh) 一种通信方法及装置
WO2023160394A1 (zh) 通信的方法和装置
WO2023164849A9 (zh) 无线通信方法、装置、设备、存储介质及程序产品
WO2023051427A1 (zh) 通信的方法和装置
US20220394566A1 (en) Registration with accessibility and mobility management function re-allocation
WO2023159363A1 (zh) Ai业务数据的传输方法、装置、设备及存储介质
CN116647832A (zh) 一种通信方法及装置
CN115835199A (zh) 确定密钥获取方式的方法、通信方法及通信装置
CN117098129A (zh) 通信方法和装置
CN116866893A (zh) 通信的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination