CN115967942A - 通信授权方法、装置、网元和存储介质 - Google Patents
通信授权方法、装置、网元和存储介质 Download PDFInfo
- Publication number
- CN115967942A CN115967942A CN202111188003.9A CN202111188003A CN115967942A CN 115967942 A CN115967942 A CN 115967942A CN 202111188003 A CN202111188003 A CN 202111188003A CN 115967942 A CN115967942 A CN 115967942A
- Authority
- CN
- China
- Prior art keywords
- pin element
- pin
- communication
- data packet
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/10—Flow control between communication endpoints
Abstract
本申请提供一种通信授权方法、装置、网元和存储介质,属于通信技术领域,本申请实施例的通信授权方法包括:第一网元获取策略信息,所述策略信息包括:第一PIN元素的通信策略;所述第一网元根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
Description
技术领域
本申请属于通信技术领域,具体涉及一种通信授权方法、装置、网元和存储介质。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)当前引入了个人物联网(Personal IoT Network,PIN)的概念。PIN是一个由至少一个PIN元素(PINelement)构成的组,其中,一个PIN元素为一个终端或一个3GPP非设备。同一个PIN中的各PIN元素之间可以通过它们之间的直接连接进行通信,也可以通过通信网络进行间接通信。
发明内容
本申请实施例提供一种通信授权方法、装置、网元和存储介质,以保证设备间的通信的安全。
第一方面,本申请实施例提供一种通信授权方法,包括:
第一网元获取策略信息,所述策略信息包括:第一PIN元素的通信策略;
所述第一网元根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
这样根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
第二方面,本申请实施例提供一种通信授权方法,包括:
第二网元获取第一个人物联网PIN元素的第一通信策略;
所述第二网元向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
这样第二网元向第一网元发送策略信息,使得第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
第三方面,本申请实施例提供一种通信授权装置,包括:
获取模块,用于获取策略信息,所述策略信息包括:第一个人物联网PIN元素的通信策略;
控制模块,用于根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
这样根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
第四方面,本申请实施例提供一种通信授权装置,包括:
获取模块,用于获取第一个人物联网PIN元素的第一通信策略;
发送模块,用于向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
这样第二网元向第一网元发送策略信息,使得第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
第五方面,本申请实施例提供一种网元,所述网元为第一网元,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序或者指令,所述程序或者指令被所述处理器执行时实现本申请实施例提供的第一网元侧的通信授权方法中的步骤。
这样可以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
第六方面,本申请实施例提供一种网元,所述网元为第一网元,包括处理器及通信接口,其中,所述处理器或者通信接口用于:获取策略信息,所述策略信息包括:第一PIN元素的通信策略;根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
这样可以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
第七方面,本申请实施例提供一种网元,所述网元为第二网元,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序或者指令,所述程序或者指令被所述处理器执行时实现本申请实施例提供的第二网元侧的通信授权方法中的步骤。
这样可以实现向第一网元发送策略信息,使得第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
第八方面,本申请实施例提供一种网元,所述网元为第二网元,包括处理器及通信接口,其中,所述处理器或者通信接口用于:获取第一个人物联网PIN元素的第一通信策略;向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
这样可以实现向第一网元发送策略信息,使得第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
第九方面,本申请实施例提供一种可读存储介质,所述可读存储介质上存储有程序或指令,所述程序或指令被处理器执行时实现本申请实施例提供的第一网元侧的通信授权方法中的步骤,或者,所述程序或指令被处理器执行时实现本申请实施例提供的第二网元侧的通信授权方法中的步骤。
这样可以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。或者可以实现向第一网元发送策略信息,使得第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
第十方面,提供了一种计算机程序/程序产品,所述计算机程序/程序产品被存储在非瞬态的存储介质中,所述程序/程序产品被至少一个处理器执行以实现本申请实施例提供的第一网元侧的通信授权方法中的步骤,或者,所述程序/程序产品被至少一个处理器执行以实现本申请实施例提供的第二网元侧的通信授权方法中的步骤。
这样可以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。或者可以实现向第一网元发送策略信息,使得第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
附图说明
图1示出本申请实施例可应用的一种无线通信系统的框图;
图2是本申请实施例提供的一种通信授权方法的流程图;
图3是本申请实施例提供的一种通信授权方法的流程图;
图4是本申请实施例提供的一种通信授权的示意图;
图5是本申请实施例提供的另一种通信授权的示意图;
图6是本申请实施例提供的另一种通信授权的示意图;
图7是本申请实施例提供的另一种通信授权的示意图;
图8是本申请实施例提供的另一种通信授权的示意图;
图9是本申请实施例提供的一种通信授权装置的结构图;
图10是本申请实施例提供的另一种通信授权装置的结构图;
图11是本申请实施例提供的通信设备的结构图;
图12是本申请实施例提供的一种第一网元的结构图;
图13是本申请实施例提供的一种第二网元的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”所区别的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”一般表示前后关联对象是一种“或”的关系。
图1示出本申请实施例可应用的一种无线通信系统的框图。无线通信系统包括PIN,无线接入网(Radio Access Network,RAN)和核心网。
其中,PIN包括至少一个PIN元素(PIN element),一个PIN元素为一个终端或一个非3GPP设备。非3GPP设备指未使用3GPP定义的凭证的设备,不支持3GPP定义的非接入层(Non-Access-Stratum,NAS)协议的设备,或者不支持3GPP接入技术(如3G/4G/5G空口技术)而只支持非3GPP接入技术(如WiFi,固网,蓝牙等接入技术)的设备。
另外,一个PIN中可以有一个或多个具有网关能力的PIN元素(PIN element withgateway capability)。该PIN中的PIN元素互相之间可以通信,例如:PIN元素之间可以通过它们之间的直接连接进行通信,或者,可以通过通信网络进行间接通信。PIN中的PIN元素也可以和该PIN外的其他设备进行通信。此时,可以通过该具有网关能力的PIN元素进行转发PIN中的PIN元素和该PIN外的其他设备的通信数据。
其中,终端也可以称作终端设备或者用户终端(User Equipment,UE),终端可以是终端可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)或称为笔记本电脑、个人数字助理(Personal Digital Assistant,PDA)、掌上电脑、上网本、超级移动个人计算机(ultra-mobile personal computer,UMPC)、移动上网装置(Mobile Internet Device,MID)、增强现实(augmented reality,AR)/虚拟现实(virtualreality,VR)设备、机器人、可穿戴式设备(Wearable Device)、车载设备(VUE)、行人终端(PUE)、智能家居(具有无线通信功能的家居设备,如冰箱、电视、洗衣机或者家具等)等终端侧设备,可穿戴式设备包括:智能手表、智能手环、智能耳机、智能眼镜、智能首饰(智能手镯、智能手链、智能戒指、智能项链、智能脚镯、智能脚链等)、智能腕带、智能服装、游戏机等。需要说明的是,在本申请实施例并不限定终端的具体类型。
值得指出的是,本申请实施例所描述的无线接入网不限于长期演进型(Long TermEvolution,LTE)/LTE的演进(LTE-Advanced,LTE-A)系统,还可用于其他无线通信系统,诸如码分多址(Code Division Multiple Access,CDMA)、时分多址(Time DivisionMultiple Access,TDMA)、频分多址(Frequency Division Multiple Access,FDMA)、正交频分多址(Orthogonal Frequency Division Multiple Access,OFDMA)、单载波频分多址(Single-carrier Frequency-Division Multiple Access,SC-FDMA)和其他系统。本申请实施例中的术语“系统”和“网络”常被可互换地使用,所描述的技术既可用于以上提及的系统和无线电技术,也可用于其他系统和无线电技术,如非3GPP接入系统(例如,WLAN,固定接入系统,蓝牙等)。以下描述出于示例目的描述了新空口(New Radio,NR)系统,并且在以下大部分描述中使用NR术语,这些技术也可应用于NR系统应用以外的应用,如第6代(6thGeneration,6G)通信系统。
上述核心网可以包括:会话管理功能(Session Management Function,SMF)、接入和移动管理功能(Access and Mobility Management Function,AMF)、用户面功能(UserPort Function,UPF)、策略控制功能(Policy Control Function,PCF)和统一数据管理(Unified Data Management,UDM)。在本申请实施例中,核心网还可以包括:访问策略功能(Access Right Function,ARF)。该ARF可以独立存在,也可以与其他核心网网元合设或这由其他核心网网元实现。例如,PCF或UDM支持本申请实施例中ARF的功能。
本申请实施例中,PIN元素也可以称作PIN设备。例如,用户的手机,家里的打印机,扫地机器人均为PIN元素,它们组成了一个PIN。手机可以与打印机联系,指定打印的文件。手机还可以与扫地机器人联系,制定并执行打扫计划。
现有的通信机制可能存在风险,即该PIN之外的其他设备或该PIN中的其他设备可能也向打印机发送打印命令,或者向扫地机器人发送打扫命令。如果使用应用程序来控制通信权限,则当应用程序被攻击时,通信权限可能被破坏,进而造成未经授权的UE访问PIN元素,从而打扰了该PIN中PIN元素之间的正常通信,例如,让打印机或扫地机器人执行了本不该执行的任务。因此,本申请实施例提出一种设备间通信的授权方法,保证设备间的通信在授权的状态下才能进行。
下面结合附图,通过一些实施例及其应用场景对本申请实施例提供的一种通信授权方法、装置、网元和存储介质进行详细地说明。
请参见图2,图2是本申请实施例提供的一种通信授权方法的流程图,如图2所示,包括以下步骤:
步骤201、第一网元获取策略信息,所述策略信息包括:第一PIN元素的通信策略。
本申请实施例中,第一网元可以包括如下一项:
UPF、所述第一PIN元素、目标PIN元素;
其中,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素。
上述第一网元获取策略信息可以是,第一网元从第二网元接收策略信息,例如:第一网元从接收AMF或者SMF等接收策略信息。
上述第一PIN元素可以为PIN中一个或者多个PIN元素。
上述第一PIN元素的通信策略可以包括第一PIN元素的双向通信策略,和单项通信策略中的至少一种。该双向通信策略包括可以互相通信的PIN元素的描述信息。
本申请实施例中PIN元素的描述信息可以包括以下至少一项:
PIN元素的IP地址;
PIN元素的MAC地址;
PIN元素的标识;
PIN元素发送的数据包所使用的虚拟局域网(Virtual Local Area Network,VLAN)标识;
PIN元素发送的数据包所使用的用户数据报协议(User Datagram Protocol,UDP)端口号。
其中,PIN元素的标识包括但不限于外部标识,例如:通用公共用户标识(GenericPublic Subscription Identifier,GPSI),完全合格域名(Fully Qualified DomainName,FQDN),国际移动用户识别码(International Mobile Subscriber IdentificationNumber,IMSI,),用户永久标识(Subscription Permanent Identifier,SUPI),用户隐藏标识(Subscription Concealed Identifier,SUCI),用户临时标识,或在PIN中的唯一标识;
单向通信策略表示第一PIN元素可以向哪些PIN元素发送数据包,或者,该单向通信策略表示第一PIN元素可以接收哪些PIN元素发送的数据包。具体的,单项通信策略可以包括这些PIN元素的描述信息。
需要说明的是,本申请实施例中第一PIN元素的通信策略也可以称作第一PIN元素的访问权限或访问策略,即该策略可以控制访问第一PIN元素的PIN元素或其他设备的通信行为。本申请实施例中PIN元素的描述信息也可以称为PIN元素的指示信息,或者PIN元素的标识信息。
步骤202、所述第一网元根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
上述第一PIN元素关联的数据包可以是目的地址指示为第一PIN元素的数据包。其中,目的地址指示为所述第一PIN元素的数据包可以为:数据包的目的IP地址为第一PIN元素的IP地址,数据包的目的MAC地址为第一PIN元素的MAC地址,或者数据包包头中包括第一PIN元素的标识,以指示本数据包的目的地为第一PIN元素。通过上述步骤可以实现对目的地址指示为第一PIN元素的数据包进行授权控制。上述对所述第一PIN元素关联的数据包进行授权控制可以是,根据第一PIN元素的通信策略发送、接收或者丢弃第一PIN元素关联的数据包。
在一些实施方式中,上述第一PIN元素关联的数据包还可以是源地址指示为第一PIN元素的数据包,其中,源地址指示为所述第一PIN元素的数据包可以为:数据包的源IP地址为第一PIN元素的IP地址,数据包的源MAC地址为第一PIN元素的MAC地址,或者数据包包头中包括第一PIN元素的标识,以指示本数据包的来源为第一PIN元素。通过上述步骤可以实现对源地址指示为第一PIN元素的数据包进行授权控制。上述对所述第一PIN元素关联的数据包进行授权控制可以是,判断第一PIN关联的数据包是否可以发送到数据包的目的地址所指示的设备。例如数据包的目的地址指示为第二PIN元素,如果通信策略允许第一PIN元素与第二PIN元素通信,或者允许第一PIN元素向第二PIN元素发送数据包,则转发该数据包,否则,丢弃该数据包。
上述对所述第一PIN元素关联的数据包进行授权控制可以是,根据第一PIN元素的通信策略发送、接收或者丢弃第一PIN元素关联的数据包,具体由上述通信策略决定。
本申请实施例通过上述步骤可以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全,防止PIN元素遭到其他无通信权限设备的攻击。
作为一种可能的实施方式,上述对所述第一PIN元素关联的数据包进行授权控制,包括如下至少一项:
向所述第一PIN元素发送所述第一PIN元素关联的第一数据包;
丢弃所述第一PIN元素关联的第二数据包;
接收所述第一PIN元素关联的第三数据包。
上述向所述第一PIN元素发送所述第一PIN元素关联的第一数据包可以是,向所述第一PIN元素转发所述第一PIN元素关联的第一数据包。例如:第一网元为UPF,向第一PIN元素转发第一PIN元素关联的第一数据包。其中,向第一PIN元素转发第一数据包,可以通过第一PIN元素的会话通道进行转发,或者,向第一PIN元素所属PIN进行转发,例如,向第一PIN元素所属PIN中具有网关能力的PIN元素进行转发。
上述丢弃所述第一PIN元素关联的第二数据包可以是,在接收到上述第二数据包时,丢弃第二数据包,或不向第一PIN元素转发该数据包。
上述接收所述第一PIN元素关联的第三数据包可以是,第一PIN元素接收上述通信策略接收第三数据包。
其中,在向所述第一PIN元素发送所述第一PIN元素关联的第一数据包的情况下,第一网元可以包括UPF或者上述目标PIN元素;
在丢弃所述第一PIN元素关联的第二数据包的情况下,第一网元可以包括UPF、所述第一PIN元素或者目标PIN元素;
在接收所述第一PIN元素关联的第三数据包的情况下,第一网元可以包括UPF、所述第一PIN元素或者目标PIN元素。
该实施方式中,通过上述发送、丢弃或者接收数据包可以提高PIN元素的安全性。
可选的,所述向所述第一PIN元素发送所述第一PIN元素关联的第一数据包,包括:
在所述第一PIN元素的通信策略包括允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略的情况下,向所述第一PIN元素发送所述第一PIN元素关联的第一数据包,其中,所述第一数据包为所述第二PIN元素向所述第一PIN元素发送的数据包。
上述第二PIN元素可以是一个或者多个元素,具体可以根据实际情况配置相应的通信策略。
该实施方式中,可以实现只向第一PIN元素发送通信策略允许发送的PIN元素的数据包。
可选的,所述丢弃所述第一PIN元素关联的第二数据包,包括:
在所述第一PIN元素的通信策略包括禁止所述第一PIN元素接收第三PIN元素发送的数据包的通信策略的情况下,丢弃所述第一PIN元素关联的第二数据包,其中,所述第二数据包为所述第三PIN元素向所述第一PIN元素发送的数据包;或者
在所述第一PIN元素的通信策略不包括允许所述第一PIN元素接收第三PIN元素发送的数据包的通信策略的情况下,丢弃所述第一PIN元素关联的第二数据包,其中,所述第二数据包为所述第三PIN元素向所述第一PIN元素发送的数据包。
上述第三PIN可以是一个或者多个PIN元素。
该实施方式中,可以实现禁止向第一PIN元素发送通信策略禁止第一PIN元素接收的PIN元素发送的数据包。
可选的,所述接收所述第一PIN元素关联的第三数据包,包括:
在所述第一PIN元素的通信策略包括允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略的情况下,接收所述第二PIN元素发送的所述第一PIN元素关联的第三数据包。
该实施方式中,可以实现第一PIN元素只接收通信策略允许第一PIN元素接收的PIN元素发送的数据包。
作为一种可能的实施方式,所述第一网元为UPF,所述第一网元获取策略信息,包括:所述第一网元从SMF接收所述策略信息。
第一网元可以通过UPF与SMF之间的N4接口从SMF接收所述策略信息。该策略信息可以是N4规则,该N4规则为SMF在接收到第一PIN元素的第一通信策略后,根据第一PIN元素的第一通信策略所确定的。该N4规则可以指示UPF可以向第一PIN元素发送的数据包,和/或,该N4规则可以指示UPF不能向第一PIN元素发送的数据包。
该实施方式,可以实现UPF根据第一PIN元素的通信策略对第一PIN元素关联的数据包授权控制。
可选的,所述第一PIN元素的通信策略包括:
包检测规则(Packet Detection Rules,PDR)和转发行为规则(ForwardingAction Rules,FAR);
其中,示例性的,所述PDR包括如下至少一项:
允许所述第一PIN元素接收的数据包的第一检测信息;
禁止所述第一PIN元素接收的数据包的第二检测信息;
所述FAR用于指示如下至少一项:
在接收到符合所述第一检测信息的第一数据包的情况下,向所述第一PIN元素转发所述第一数据包;
在接收到符合所述第二检测信息的第二数据包的情况下,丢弃所述第二数据包。
在上述通信策略允许第一PIN元素接收第二PIN元素的数据包的情况下,上述第一检测信息可以包括第二PIN元素的描述信息;在上述通信策略禁止第一PIN元素接收第三PIN元素的数据包的情况下,上述第二检测信息可以包括第三PIN元素的描述信息。
上述接收到符合第一检测信息的第一数据包可以是,接收到符合第一检测信息对应的PIN元素发送的数据包,如接收到上述第二PIN元素的数据包。
上述接收到符合第二检测信息的第二数据包可以是,接收到符合第二检测信息对应的PIN元素发送的数据包,如接收到上述第三PIN元素的数据包。
例如:第一PIN元素的通信策略中描述了第一PIN元素能够接收来自第二PIN元素的数据包。N4规则中包括的PDR中包括第二PIN元素的数据包的检测信息。该检测信息可以包括第二PIN元素的描述信息。该PDR关联的FAR指示了UPF接收到符合第二PIN元素的数据包的检测信息的数据包时,向第一PIN元素的转发该数据包。例如,FAR的行为(action)指示为转发(forwarding),目标接口(destination interface)指示为接入端(access side)。
另外,PDR还可以包括描述除第二PIN元素的数据包之外的检测信息,如包括第三PIN元素的数据包的检测信息。该检测信息可以包括第三PIN元素的描述信息。该PDR关联的FAR指示了UPF接收到符合第三PIN元素的数据包的检测信息的数据包时,丢弃该数据包。
需要说明的是,在通信策略只包括上述PDR的情况下,第一网元可以根据上述第一检测信息发送第一检测信息对应的数据包,或者根据第二检测信息中丢弃第二检测信息对应的数据包。
在通信策略只包括上述FAR的情况下,该FAR中包括上述第一检测信息和第二检测信息中的至少一项,从而直接根据FAR发送或者丢弃对应的数据包。
该实施方式中,通过上述PDR和FAR可以实现UPF根据第一PIN元素的通信策略对第一PIN元素关联的数据包授权控制。当然,在一些实施方式中,UPF获取的第一PIN元素的通信策略并不限定包括上述PDR和FAR,例如:可以通过其他信息来表示第一PIN元素的通信策略,本申请实施例对此不作限定。
作为一种可能的实施方式,所述第一网元为所述第一PIN元素或者所述目标PIN元素,所述第一网元获取策略信息,包括:所述第一网元从AMF接收所述策略信息。
该实施方式,可以实现第一PIN元素或者目标PIN元素根据第一PIN元素的通信策略对第一PIN元素关联的数据包进行授权控制。
本申请实施例中,第一网元获取策略信息,所述策略信息包括:第一个人物联网PIN元素的通信策略;所述第一网元根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。这样根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
请参见图3,图3是本申请实施例提供的另一种通信授权方法的流程图,如图3所示,包括以下步骤:
步骤301、第二网元获取第一个人物联网PIN元素的第一通信策略;
步骤302、所述第二网元向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
其中,上述第一PIN元素的第二通信策略为图2所示的实施例中的第一PIN元素的通信策略。
上述第一PIN元素的第二通信策略可以与第一PIN元素的第一通信策略相同,或者第一PIN元素的第二通信策略为第二网元根据第一PIN元素的第一通信策略生成的通信规则或者与第一通信策略存在形式上和/或内容上区别的通信策略。
本实施例中,通过向第一网元发送策略信息,从而使得第一网元根据第一PIN元素的第二通信策略对第一PIN元素关联的数据包进行授权控制,以提高PIN元素的安全性。
可选的,所述第一PIN元素的第二通信策略包括如下至少一项:
允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略;
禁止所述第一PIN元素接收第三PIN元素发送的数据包的通信策略。
其中,上述第一PIN元素的第二通信策略请参见图2所示的实施例的相应说明,此处不作赘述。
可选的,所述第二网元获取第一PIN元素的第一通信策略,包括:
所述第二网元从PIN元素通信策略网元接收第一PIN元素的第一通信策略;或者
所述第二网元从PIN元素通信策略网元接收所述第一PIN元素所属的PIN的通信策略,所述PIN的通信策略包括第一PIN元素的第一通信策略。
上述PIN元素通信策略网元可以是UDM或者PCF。
上述PIN的通信策略可以包括一个或者多个PIN元素的第一通信策略,例如:包括该PIN内一个或多个或所有PIN元素的第一通信策略。
该实施方式中,上述从PIN元素通信策略网元接收通信策略可以是,从PIN元素通信策略网元接收PIN元素通信策略网元主动发送的通信策略,或者可以是,向PIN元素通信策略网元请求并获得通信策略。
可选的,所述方法还包括:
所述第二网元向所述PIN元素通信策略网元发送的通信策略请求,所述通信策略请求包括所述第一PIN元素的描述信息,或者,所述通信策略请求包括所述第一PIN元素所属的PIN的描述信息。
其中,上述通信策略请求可以为会话管理签约数据请求消息,或者(签约数据管理-获取请求服务(Nudm_SDM_Get请求服务)。上述PIN元素通信策略网元可以通过通信策略响应发送通信策略,该通信策略响应可以为会话管理签约数据响应消息或者Nudm_SDM_Get服务响应。
或者,上述通信策略请求可以为会话管理策略连接建立请求消息,或者Npcf_SMPolicyControl_Create(会话管理策略控制创建)服务请求;通信策略响应可以为会话管理策略连接建立响应消息,或者Npcf_SMPolicyControl_Create(会话管理策略控制创建)服务响应。
该实施方式中,通过上述通信策略请求向PIN元素通信策略网元请求通信策略。
可选的,所述第二网元包括如下一项:
服务于所述第一PIN元素的SMF、服务于所述第一PIN元素的AMF、所述第一PIN元素、目标PIN元素;
其中,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素。
该实施方式中,可以实现服务于所述第一PIN元素的SMF、服务于所述第一PIN元素的AMF、所述第一PIN元素、或者目标PIN元素向第一网元发送第一PIN元素的第二通信策略。
可选的,所述第二网元为服务于所述第一PIN元素的SMF,所述第二网元获取第一个PIN元素的第一通信策略包括:所述第二网元在所述第一PIN元素的会话建立过程中获取第一PIN元素的第一通信策略。
上述在所述第一PIN元素的会话建立过程中获取第一PIN元素的第一通信策略可以是,SMF在接收到第一PIN元素发起的PDU会话建立请求的情况下,从PIN元素通信策略网元获取第一PIN元素的第一通信策略。
可选的,所述第二网元为服务于所述第一PIN元素的AMF,所述第二网元获取第一个PIN元素的第一通信策略包括:所述第二网元在所述第一PIN元素的注册过程或者会话建立过程中获取第一PIN元素的第一通信策略。
上述在所述第一PIN元素的注册过程或者会话建立过程中获取第一PIN元素的第一通信策略可以是,AMF在接收到第一PIN元素发起的注册请求或者PDU会话建立请求的情况下,从PIN元素通信策略网元获取第一PIN元素的第一通信策略。可选的,AMF可以通过服务于所述第一PIN元素的SMF从PIN元素通信策略网元获取第一PIN元素的第一通信策略。
可选的,所述第二网元为服务于所述第一PIN元素的SMF,所述第二网元向第一网元发送策略信息,包括:所述第二网元向所述第一网元发送所述策略信息,所述第一网元包括UPF。
其中,上述SMF向UPF发送策略信息请参见图2所示的实施例的相应说明,此处不作赘述。
可选的,所述第一PIN元素的第二通信策略包括:
PDR和FAR;
其中,所述PDR包括如下至少一项:
允许所述第一PIN元素接收的数据包的第一检测信息;
禁止所述第一PIN元素接收的数据包的第二检测信息;
所述FAR用于指示如下至少一项:
在接收到符合所述第一检测信息的第一数据包的情况下,向所述第一PIN转发所述第一数据包;
在接收到符合所述第二检测信息的第二数据包的情况下,丢弃所述第二数据包。
其中,上述PDR和FAR请参见图2所示的实施例的相应说明,此处不作赘述。
可选的,所述第二网元为服务于所述第一PIN元素的SMF,所述第二网元向第一网元发送策略信息,包括:所述第二网元通过AMF向所述第一网元发送所述策略信息;
其中,所述第一网元包括目标PIN元素,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素;或者
所述第一网元包括所述第一PIN元素。
上述第二网元通过AMF向所述第一网元发送所述策略信息可以是,SMF向上述目标PIN元素AMF发送上述策略信息,由该AMF向第一网元发送上述策略信息。例如:SMF向AMF发送消息传输请求消息或者通信传输请求消息(Namf_Communication_N1N2MessageTransfer服务),以发送PIN元素的第二通信策略。可选的,消息传输请求消息或者通信传输请求消息(Namf_Communication_N1N2MessageTransfer服务)中包括会话管理容器(N1SMcontainer)包括第一PIN元素的第二通信策略。
可选的,所述第二网元为服务于所述第一PIN元素的AMF,所述第二网元向第一网元发送策略信息,包括:所述第二网元向所述第一网元发送所述策略信息;
其中,所述第一网元包括目标PIN元素,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素;或者
所述第一网元包括所述第一PIN元素。
上述第二网元向所述第一网元发送所述策略信息可以是,AMF从PIN元素通信策略网元或者SMF接收到第一PIN元素的第一通信策略后,向第一网元发送第一PIN元素的第二通信策略。
需要说明的是,本实施例作为与图2所示的实施例中对应的第二网元的实施方式,其具体的实施方式可以参见图2所示的实施例的相关说明,以为避免重复说明,本实施例不再赘述。
本实施例中,通过向第一网元发送策略信息,从而使得第一网元根据第一PIN元素的第二通信策略对第一PIN元素关联的数据包进行授权控制,以提高PIN元素的安全性。
下面以多个实施例对本申请实施例提供的方法进行举例说明:
实施例1:
该实施例以服务于PIN元素的UPF对PIN元素的数据包进行授权控制进行举例说明,如图4所示,以第一PIN元素的会话为PDU会话为例,该方法实施例包括以下步骤:
步骤1、PIN元素访问策略网元(例如可以是UDM或PCF)获取PIN元素的访问策略。
其中,PIN元素的访问策略可以包括以下至少一项:
双向通信策略,即可以互相通信的PIN元素/设备的描述信息;
单向通信策略,即特定PIN元素/设备可以向哪些PIN元素发送数据,或者特定PIN元素可以接收哪些PIN元素/设备发送的数据;
PIN元素/设备的描述信息可以包括以下至少一项:
该PIN元素/设备的IP地址;
该PIN元素/设备的MAC地址;
该PIN元素/设备的标识,包括但不限于外部标识,GPSI,FQDN,IMSI,SUCI或SUPI,临时标识,在PIN中的唯一标识;
该PIN元素/设备发送的数据包所使用的VLAN标识;
该PIN元素/设备发送的数据包所使用的UPD端口号。
步骤2、第一PIN元素向AMF发送NAS消息,其中包括PDU会话建立请求。
可选的,NAS消息中包括PDU会话建立参数,例如数据网络名称(Data NetworkName,DNN)和/或网络切片选择辅助信息(network slice selection assistanceinformation,NSSAI)。
步骤3、AMF接收到NAS消息,向SMF转发其中的PDU会话建立请求。
可选的,AMF可以根据其中的PDU会话建立参数选择SMF,AMF也可以根据配置信息选择SMF。
步骤4、SMF从PIN元素通信策略网元获取PIN元素的通信策略(例如:访问策略)。
SMF可以获取到PIN元素所属PIN的PIN元素通信策略,也可以获取该PIN元素通信策略中与第一PIN元素相关的通信策略。
一种可能的方式中,SMF是配置为该PIN元素或该PIN元素所属的PIN服务的SMF。PIN元素通信策略网元在步骤1获取PIN元素的通信策略后,即可以向SMF发送PIN元素的通信策略。
另一种可能的方式中,SMF向PIN元素通信策略网元发送PIN元素的通信策略请求消息,该请求消息可以包括第一PIN元素的标识,或第一PIN元素所属的PIN的标识。可选的,还可以包括PIN元素的通信策略请求指示。SMF从PIN元素通信策略网元接收PIN元素的通信策略响应消息,该响应消息包括PIN元素的通信策略。
示例性的,PIN元素的通信策略请求消息可以为会话管理签约数据请求消息,或者Nudm_SDM_Get请求服务;PIN元素的通信策略响应消息可以为会话管理签约数据响应消息或者Nudm_SDM_Get服务响应。
或者,示例性的,PIN元素的通信策略请求消息可以为会话管理策略连接建立请求消息,或者Npcf_SMPolicyControl_Create服务;PIN元素的通信策略响应消息可以为会话管理策略连接建立响应消息,或者Npcf_SMPolicyControl_Create服务响应。
步骤5、SMF向服务于该PDU会话的UPF发送N4规则,该N4规则指示UPF可以向第一PIN元素发送的数据包,或者,该N4规则指示UPF不能向第一PIN元素发送的数据包。
SMF根据PIN元素的通信策略确定N4规则。
例如,PIN元素的通信策略中描述了第一PIN元素能够接收来第二PIN元素的数据。N4规则中包括PDR和FAR。PDR中包括第二PIN元素的数据包的检测信息。该检测信息可以包括第二PIN元素的描述信息,第二PIN元素的描述信息可以参考步骤1中PIN元素的描述信息的描述。该PDR关联的FAR指示了UPF接收到符合第二PIN元素的数据包的检测信息的数据包时,向PIN element1转发该数据包。例如FAR的行为(action)指示为转发(forwarding),目标接口(destination interface)指示为接入端(access side)。
可选的,PDR还可以包括描述除第二PIN元素的数据包之外的检测信息。例如,该检测信息可以包括第三PIN元素的描述信息,第三PIN元素的描述信息可以参考步骤1中PIN元素的描述信息的描述。该PDR关联的FAR指示了UPF接收到符合该除第二PIN元素的数据包的检测信息的数据包时,丢弃该数据包。
步骤6a、UPF接收到第二PIN元素的数据包,UPF根据N4规则转发该数据包;
步骤6b、UPF接收到第三PIN元素或者其他UE或设备的数据包,UPF根据N4规则丢弃该数据包。
本实施例中,根据通信策略转发第二PIN元素向第一PIN元素发送的数据包,而丢弃第三PIN元素向第一PIN元素发送的数据,以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
实施例2:
该实施例以具备网关能力的PIN元素对PIN元素的数据包进行授权控制进行举例说明,如图5所示,以第一PIN元素的会话为PDU会话为例,该方法实施例包括以下步骤:
步骤1、PIN元素访问策略网元(例如可以是UDM或PCF)获取PIN元素的访问策略。
步骤2、第一PIN元素向AMF发送NAS消息,其中包括PDU会话建立请求。
步骤3、AMF接收到NAS消息,向SMF转发其中的PDU会话建立请求。
步骤4、SMF从PIN元素通信策略网元获取PIN元素的通信策略(例如:访问策略)。
其中,步骤1至4参考实施例一的描述,此处不作赘述。
步骤5、SMF向UPF下发N4规则,用于建立N4会话。
步骤1-5为可选步骤。
步骤6、SMF向服务与具备网关能力的PIN元素(PIN element with GW(gateway)capability)的AMF发送PIN元素的通信策略(例如:访问策略)。
示例性的,SMF向AMF发送消息传输请求消息或者Namf_Communication_N1N2MessageTransfer服务,其中包括PIN元素的访问策略。
可选的,消息传输请求消息或者Namf_Communication_N1N2MessageTransfer服务中包括N1 SM container,其中包括PIN元素的访问策略。
步骤7、AMF向具备网关能力的PIN元素发送步骤6中接收到的PIN元素的通信策略。
步骤8a、具备网关能力的PIN元素接收到第二PIN元素的数据包,根据PIN元素的访问策略转发该数据包;
步骤8b、具备网关能力的PIN元素接收到第三PIN元素或者其他UE或设备的数据包,根据PIN元素的访问策略丢弃该数据包。
PIN元素的通信策略的描述和举例可以参考实施例一中的说明。
本实施例中,根据通信策略转发第二PIN元素向第一PIN元素发送的数据包,而丢弃第三PIN元素向第一PIN元素发送的数据,以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
实施例3:
该实施例以第一PIN元素对PIN元素的数据包进行授权控制进行举例说明,如图6所示,以第一PIN元素的会话为PDU会话为例,该方法实施例包括以下步骤:
步骤1、PIN元素访问策略网元(例如可以是UDM或PCF)获取PIN元素的访问策略。
步骤2、第一PIN元素向AMF发送NAS消息,其中包括PDU会话建立请求。
步骤3、AMF接收到NAS消息,向SMF转发其中的PDU会话建立请求。
步骤4、SMF从PIN元素通信策略网元获取PIN元素的通信策略(例如:访问策略)。
步骤5、SMF向UPF下发N4规则,用于建立N4会话。
其中,步骤1至5参考实施例二的描述,此处不作赘述。步骤1-5为可选步骤。
步骤6、SMF向AMF发送PIN元素的通信策略(例如:访问策略)。该AMF为服务于第一PIN元素的AMF。
示例性的,SMF向AMF发送消息传输请求消息或者Namf_Communication_N1N2MessageTransfer服务,其中包括PIN元素的访问策略。
可选的,消息传输请求消息或者Namf_Communication_N1N2MessageTransfer服务中包括的N1 SM container包括PIN元素的访问策略。
步骤7、AMF向第一PIN元素发送步骤6中接收到的PIN元素的通信策略。
步骤8a、第一PIN元素接收到第二PIN元素的数据包,根据PIN元素的接收该数据包;
步骤8b、第一PIN元素接收到第三PIN元素或者其他UE或设备的数据包,根据PIN元素的通信策略丢弃该数据包。
PIN元素的通信策略的描述和举例可以参考实施例一中的说明。
本实施例中,根据通信策略接收第二PIN元素向第一PIN元素发送的数据包,而丢弃第三PIN元素向第一PIN元素发送的数据,以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
实施例4:
该实施例以具备网关能力的PIN元素对PIN元素的数据包进行授权控制进行举例说明,如图7所示,以第一PIN元素的会话为PDU会话为例,该方法实施例包括以下步骤:
步骤1、PIN元素访问策略网元(例如可以是UDM或PCF)获取PIN元素的访问策略。
步骤2、第一PIN元素向AMF发送NAS消息,其中包括PDU会话建立请求。
步骤3、AMF接收到NAS消息,向SMF转发其中的PDU会话建立请求。
其中,步骤1至3参考实施例二的描述,此处不作赘述。步骤1-3为可选步骤。
步骤4、AMF从PIN元素通信策略网元获取PIN元素的通信策略(例如:访问策略)。
该步骤可以参考实施例一步骤4的说明,其中把SMF替换成AMF。会话管理签约数据请求消息替换为签约数据请求消息。移动性管理策略请求消息或UE/PIN元素策略请求消息
示例性的,PIN元素的通信策略请求消息可以为签约数据请求消息,或者Nudm_SDM_Get请求服务;PIN元素的通信策略响应消息可以为签约数据响应消息或者Nudm_SDM_Get服务响应。
或者,示例性的,PIN元素的通信策略请求消息可以为移动性管理策略连接建立请求消息,移动性管理策略连接修改请求消息,UE/PIN元素策略控制建立请求消息,UE/PIN元素策略控制修改请求消息,Npcf_AMPolicyControl_Create服务,Npcf_AMPolicyControl_Update服务,Npcf_UEPolicyControl_Create服务,或者Npcf_UEPolicyControl_Update服务;PIN元素的访问策略响应消息可以为移动性管理策略连接建立响应消息,移动性管理策略连接修改响应消息,UE/PIN元素策略控制建立响应消息,UE/PIN元素策略控制修改响应消息,Npcf_AMPolicyControl_Create服务响应,Npcf_AMPolicyControl_Update服务响应,Npcf_UEPolicyControl_Create服务响应,或者Npcf_UEPolicyControl_Update服务响应。
该步骤也可以在步骤6后执行,或者在第一PIN元素注册到AMF的时候执行。
步骤5、SMF向UPF下发N4规则,用于建立N4会话。
步骤6、SMF向AMF发送会话建立响应消息。
步骤7、AMF向具备网关能力的PIN元素发送步骤6中接收到的PIN元素的通信策略。
步骤8a、具备网关能力的PIN元素接收到第二PIN元素的数据包,根据PIN元素的访问策略转发该数据包;
步骤8b、具备网关能力的PIN元素接收到第三PIN元素或者其他UE或设备的数据包,根据PIN元素的访问策略丢弃该数据包。
其中,步骤7至8参考实施例二的描述,此处不作赘述。
PIN元素的通信策略的描述和举例可以参考实施例一中的说明。
本实施例中,根据通信策略转发第二PIN元素向第一PIN元素发送的数据包,而丢弃第三PIN元素向第一PIN元素发送的数据,以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
实施例5:
该实施例以第一PIN元素对PIN元素的数据包进行授权控制进行举例说明,如图8所示,以第一PIN元素的会话为PDU会话为例,该方法实施例包括以下步骤:
步骤1、PIN元素访问策略网元(例如可以是UDM或PCF)获取PIN元素的访问策略。
步骤2、第一PIN元素向AMF发送NAS消息,其中包括PDU会话建立请求。
步骤3、AMF接收到NAS消息,向SMF转发其中的PDU会话建立请求。
步骤4、AMF从PIN元素通信策略网元获取PIN元素的通信策略(例如:访问策略)。
步骤5、SMF向UPF下发N4规则,用于建立N4会话。
步骤6、SMF向AMF发送会话建立响应消息。
其中,步骤1至6参考实施例四的描述,此处不作赘述。
步骤7、AMF向第一PIN元素发送步骤6中接收到的PIN元素的通信策略。
步骤8a、第一PIN元素接收到第二PIN元素的数据包,根据PIN元素的接收该数据包;
步骤8b、第一PIN元素接收到第三PIN元素或者其他UE或设备的数据包,根据PIN元素的通信策略丢弃该数据包。
其中,步骤7至8参考实施例三的描述,此处不作赘述。
PIN元素的通信策略的描述和举例可以参考实施例一中的说明。
本实施例中,根据通信策略转发第二PIN元素向第一PIN元素发送的数据包,而丢弃第三PIN元素向第一PIN元素发送的数据,以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
需要说明的是,上述实施例1至5均是以数据包为目的地址指示第一PIN元素为例进行说明,本申请实施例中,对第一PIN元素关联的数据包还可以包括源地址指示第一PIN元素。例如:在第一PIN元素的通信策略包括允许第一PIN元素与第二PIN元素通信,禁止第一PIN元素与第三PIN元素通信的情况下:
示例性的,PIN元素访问策略中描述了第一PIN元素能够向第二PIN元素发送数据。可选的,PIN元素访问策略中描述了禁止第一PIN元素向第三PIN元素发送数据。在上述实施例1中,步骤6a和6b分别如下:
步骤6a、UPF接收到第一PIN元素发送的目的地址指示为第二PIN元素的数据包,UPF根据N4规则向第二PIN元素转发该数据包;
步骤6b、UPF接收到第一PIN元素发送的目的地址指示为第三PIN元素的数据包,UPF根据N4规则丢弃该数据包。
在上述实施例2中,步骤8a和8b分别如下:
步骤8a、具备网关能力的PIN元素接收到第一PIN元素发送的目的地址指示为第二PIN元素的数据包,根据PIN元素的通信策略向第二PIN元素转发该数据包;
步骤8b、具备网关能力的PIN元素接收到第一PIN元素发送的目的地址指示为第三PIN元素的数据包,根据PIN元素的访问策略丢弃该数据包。
在上述实施例3中,步骤8a和8b分别如下:
步骤8a、第一PIN元素需要发送目的地址指示为第二PIN元素的数据包时,根据PIN元素的通信策略向第二PIN元素发送数据包;
步骤8b、第一PIN元素需要发送目的地址指示为第三PIN元素的数据包时,根据PIN元素的通信策略丢弃该数据包,或者不发送目的地址指示为第三PIN元素的数据包。
在上述实施例4中,步骤8a和8b分别如下:
步骤8a、具备网关能力的PIN元素接收到第一PIN元素发送的目的地址指示为第二PIN元素的数据包,根据PIN元素的通信策略向第二PIN元素转发该数据包;
步骤8b、具备网关能力的PIN元素接收到第一PIN元素发送的目的地址指示为第三PIN元素的数据包,根据PIN元素的访问策略丢弃该数据包。
在上述实施例5中,步骤8a和8b分别如下:
步骤8a、第一PIN元素需要发送目的地址指示为第二PIN元素的数据包,根据PIN元素的通信策略向第二PIN元素发送数据包;
步骤8b、第一PIN元素需要发送目的地址指示为第三PIN元素的数据包,根据PIN元素的通信策略丢弃该数据包,或者不发送目的地址指示为第三PIN元素的数据包。
本实施例中,可以实现根据策略信息对源地址指示为第一PIN元素的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
请参见图9,图9是本申请实施例提供的一种通信授权装置的结构图,如图9所示,包括:
获取模块901,用于获取策略信息,所述策略信息包括:第一个人物联网PIN元素的通信策略;
控制模块902,用于根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
其中,上述通信授权装置包含在第一网元内,或者称作第一网元包括上述通信授权装置,第一网元参见上述方法实施例的相应描述,此处不作赘述。
可选的,所述对所述第一PIN元素关联的数据包进行授权控制,包括如下至少一项:
向所述第一PIN元素发送所述第一PIN元素关联的第一数据包;
丢弃所述第一PIN元素关联的第二数据包;
接收所述第一PIN元素关联的第三数据包。
可选的,所述向所述第一PIN元素发送所述第一PIN元素关联的第一数据包,包括:
在所述第一PIN元素的通信策略包括允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略的情况下,向所述第一PIN元素发送所述第一PIN元素关联的第一数据包,其中,所述第一数据包为所述第二PIN元素向所述第一PIN元素发送的数据包。
可选的,所述丢弃所述第一PIN元素关联的第二数据包,包括:
在所述第一PIN元素的通信策略包括禁止所述第一PIN元素接收第三PIN元素发送的数据包的通信策略的情况下,丢弃所述第一PIN元素关联的第二数据包,其中,所述第二数据包为所述第三PIN元素向所述第一PIN元素发送的数据包;或者
在所述第一PIN元素的通信策略不包括允许所述第一PIN元素接收第三PIN元素发送的数据包的通信策略的情况下,丢弃所述第一PIN元素关联的第二数据包,其中,所述第二数据包为所述第三PIN元素向所述第一PIN元素发送的数据包。
可选的,所述接收所述第一PIN元素关联的第三数据包,包括:
在所述第一PIN元素的通信策略包括允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略的情况下,接收所述第二PIN元素发送的所述第一PIN元素关联的第三数据包。
可选的,所述第一网元包括如下一项:
用户面功能UPF、所述第一PIN元素、目标PIN元素;
其中,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素。
可选的,所述第一网元为用户面功能UPF,所述第一网元获取策略信息,包括:所述第一网元从会话管理功能SMF接收所述策略信息。
可选的,所述第一网元为所述第一PIN元素或者所述目标PIN元素,所述第一网元获取策略信息,包括:所述第一网元从接入和移动管理功能AMF接收所述策略信息。
可选的,所述第一PIN元素的通信策略包括如下至少一项:
包检测规则PDR和转发行为规则FAR;
其中,所述PDR包括如下至少一项:
允许所述第一PIN元素接收的数据包的第一检测信息;
禁止所述第一PIN元素接收的数据包的第二检测信息;
所述FAR用于指示如下至少一项:
在接收到符合所述第一检测信息的第一数据包的情况下,向所述第一PIN元素转发所述第一数据包;
在接收到符合所述第二检测信息的第二数据包的情况下,丢弃所述第二数据包。
本申请实施例中的通信授权装置根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
本申请实施例中的通信授权装置可以是装置,具有操作系统的装置或电子设备,也可以是第一网元中的部件、集成电路、或芯片。
本申请实施例提供的通信授权装置能够实现图2的方法实施例实现的各个过程,并达到相同的技术效果,为避免重复,这里不再赘述。
请参见图10,图10是本申请实施例提供的一种通信授权装置的结构图,如图10所示,包括:
获取模块1001,用于获取第一个人物联网PIN元素的第一通信策略;
发送模块1002,用于向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
其中,上述通信授权装置包含在第二网元内,或者称作第二网元包括上述通信授权装置,第一网元参见上述方法实施例的相应描述,此处不作赘述。
可选的,所述第一PIN元素的第二通信策略包括如下至少一项:
允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略;
禁止所述第一PIN元素接收第三PIN元素发送的数据包的通信策略。
可选的,所述获取第一PIN元素的第一通信策略,包括:
从PIN元素通信策略网元接收第一PIN元素的第一通信策略;或者
从PIN元素通信策略网元接收所述第一PIN元素所属的PIN的通信策略,所述PIN的通信策略包括第一PIN元素的第一通信策略。
可选的,所述装置还包括:
请求模块,用于向所述PIN元素通信策略网元发送的通信策略请求,所述通信策略请求包括所述第一PIN元素的描述信息,或者,所述通信策略请求包括所述第一PIN元素所属的PIN的描述信息。
可选的,所述第二网元包括如下一项:
服务于所述第一PIN元素的会话管理功能SMF、服务于所述第一PIN元素的接入和移动管理功能AMF、所述第一PIN元素、目标PIN元素;
其中,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素。
可选的,所述第二网元为服务于所述第一PIN元素的SMF,所述获取第一个PIN元素的第一通信策略包括:在所述第一PIN元素的会话建立过程中获取第一PIN元素的第一通信策略;或者
所述第二网元为服务于所述第一PIN元素的AMF,所述获取第一个PIN元素的第一通信策略包括:在所述第一PIN元素的注册过程或者会话建立过程中获取第一PIN元素的第一通信策略。
可选的,所述第二网元为服务于所述第一PIN元素的SMF,所述向第一网元发送策略信息,包括:向所述第一网元发送所述策略信息,所述第一网元包括用户面功能UPF。
可选的,所述第一PIN元素的第二通信策略包括如下至少一项:
包检测规则PDR和转发行为规则FAR;
其中,所述PDR包括如下至少一项:
允许所述第一PIN元素接收的数据包的第一检测信息;
禁止所述第一PIN元素接收的数据包的第二检测信息;
所述FAR用于指示如下至少一项:
在接收到符合所述第一检测信息的第一数据包的情况下,向所述第一PIN转发所述第一数据包;
在接收到符合所述第二检测信息的第二数据包的情况下,丢弃所述第二数据包。
可选的,所述第二网元为服务于所述第一PIN元素的SMF,所述向第一网元发送策略信息,包括:通过AMF向所述第一网元发送所述策略信息;
其中,所述第一网元包括目标PIN元素,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素;或者
所述第一网元包括所述第一PIN元素。
可选的,所述第二网元为服务于所述第一PIN元素的AMF,所述向第一网元发送策略信息,包括:向所述第一网元发送所述策略信息;
其中,所述第一网元包括目标PIN元素,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素;或者
所述第一网元包括所述第一PIN元素。
本申请实施例中的通信授权装置向第一网元发送策略信息,使得第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
本申请实施例中的通信授权装置可以是装置,具有操作系统的装置或电子设备,也可以是第二网元中的部件、集成电路、或芯片。
本申请实施例提供的通信授权装置能够实现图3的方法实施例实现的各个过程,并达到相同的技术效果,为避免重复,这里不再赘述。
可选的,如图11所示,本申请实施例还提供一种通信设备1100,包括处理器1101,存储器1102,存储在存储器1102上并可在所述处理器1101上运行的程序或指令,例如,该通信设备1100为第一网元时,该程序或指令被处理器1101执行时实现上述第一网元侧的通信授权方法实施例的各个过程,且能达到相同的技术效果。该通信设备1100为第二网元时,该程序或指令被处理器1101执行时实现上述第二网元侧的通信授权方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。该通信设备为终端或者网络侧设备。
本申请实施例还提供一种通信设备,包括处理器和通信接口,其中,所述处理器或者通信接口用于:获取策略信息,所述策略信息包括:第一PIN元素的通信策略;根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
或者,所述通信接口用于:获取第一PIN元素的第一通信策略;向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
本实施例中,这样可以实现根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。或者可以实现向第一网元发送策略信息,使得第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
该通信设备实施例是与上述图2和图3所示的方法实施例对应的,上述方法实施例的各个实施过程和实现方式均可适用于该通信设备实施例中,且能达到相同的技术效果。
具体地,图12为实现本申请实施例的一种第一网元的硬件结构示意图。需要说明的是,本实施例中,以第一网元为PIN元素,PIN元素为终端进行举例说明:
该第一网元1200包括但不限于:射频单元1201、网络模块1202、音频输出单元1203、输入单元1204、传感器1205、显示单元1206、用户输入单元1207、接口单元1208、存储器1209、以及处理器1210等中的至少部分部件。
本领域技术人员可以理解,第一网元1200还可以包括给各个部件供电的电源(比如电池),电源可以通过电源管理系统与处理器1210逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图12中示出的第一网元结构并不构成对通信设备的限定,第一网元可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置,在此不再赘述。
应理解的是,本申请实施例中,输入单元1204可以包括图形处理器(GraphicsProcessing Unit,GPU)12041和麦克风12042,图形处理器12041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元1206可包括显示面板12061,可以采用液晶显示器、有机发光二极管等形式来配置显示面板12061。用户输入单元1207包括触控面板12071以及其他输入设备12072。触控面板12071,也称为触摸屏。触控面板12071可包括触摸检测装置和触摸控制器两个部分。其他输入设备12072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
本申请实施例中,射频单元1201将来自网络侧设备的下行数据接收后,给处理器1210处理;另外,将上行的数据发送给网络侧设备。通常,射频单元1201包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。
存储器1209可用于存储软件程序或指令以及各种数据。存储器1209可主要包括存储程序或指令区和存储数据区,其中,存储程序或指令区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外,存储器1209可以包括高速随机存取存储器,还可以包括非易失性存储器,其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。
处理器1210可包括一个或多个处理单元;可选的,处理器1210可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序或指令等,调制解调处理器主要处理无线通信,如基带处理器。可以理解的是,上述调制解调处理器也可以不集成到处理器1210中。
其中,射频单元1201或者处理器1210,用于获取策略信息,所述策略信息包括:第一个人物联网PIN元素的通信策略;根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
可选的,所述对所述第一PIN元素关联的数据包进行授权控制,包括如下至少一项:
向所述第一PIN元素发送所述第一PIN元素关联的第一数据包;
丢弃所述第一PIN元素关联的第二数据包;
接收所述第一PIN元素关联的第三数据包。
可选的,所述向所述第一PIN元素发送所述第一PIN元素关联的第一数据包,包括:
在所述第一PIN元素的通信策略包括允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略的情况下,向所述第一PIN元素发送所述第一PIN元素关联的第一数据包,其中,所述第一数据包为所述第二PIN元素向所述第一PIN元素发送的数据包。
可选的,所述丢弃所述第一PIN元素关联的第二数据包,包括:
在所述第一PIN元素的通信策略包括禁止所述第一PIN元素接收第三PIN元素发送的数据包的通信策略的情况下,丢弃所述第一PIN元素关联的第二数据包,其中,所述第二数据包为所述第三PIN元素向所述第一PIN元素发送的数据包;或者
在所述第一PIN元素的通信策略不包括允许所述第一PIN元素接收第三PIN元素发送的数据包的通信策略的情况下,丢弃所述第一PIN元素关联的第二数据包,其中,所述第二数据包为所述第三PIN元素向所述第一PIN元素发送的数据包。
可选的,所述接收所述第一PIN元素关联的第三数据包,包括:
在所述第一PIN元素的通信策略包括允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略的情况下,接收所述第二PIN元素发送的所述第一PIN元素关联的第三数据包。
可选的,所述第一网元包括如下一项:
用户面功能UPF、所述第一PIN元素、目标PIN元素;
其中,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素。
可选的,所述第一网元为用户面功能UPF,所述获取策略信息,包括:从会话管理功能SMF接收所述策略信息。
可选的,所述第一网元为所述第一PIN元素或者所述目标PIN元素,所述获取策略信息,包括:从接入和移动管理功能AMF接收所述策略信息。
可选的,所述第一PIN元素的通信策略包括如下至少一项:
包检测规则PDR和转发行为规则FAR;
其中,所述PDR包括如下至少一项:
允许所述第一PIN元素接收的数据包的第一检测信息;
禁止所述第一PIN元素接收的数据包的第二检测信息;
所述FAR用于指示如下至少一项:
在接收到符合所述第一检测信息的第一数据包的情况下,向所述第一PIN元素转发所述第一数据包;
在接收到符合所述第二检测信息的第二数据包的情况下,丢弃所述第二数据包。
上述第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
具体地,本发明实施例的终端还包括:存储在存储器1209上并可在处理器1210上运行的指令或程序,处理器1210调用存储器1209中的指令或程序执行图9所示各模块执行的方法,并达到相同的技术效果,为避免重复,故不在此赘述。
具体地,本申请实施例还提供了一种第二网元。该实施例中,以第二网元为核心网网元进行举例说明:如图13所示,该第二网元1300包括:收发装置1301。
收发装置1301,用于获取第一PIN元素的第一通信策略;向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
可选的,所述第一PIN元素的第二通信策略包括如下至少一项:
允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略;
禁止所述第一PIN元素接收第三PIN元素发送的数据包的通信策略。
可选的,所述获取第一PIN元素的第一通信策略,包括:
从PIN元素通信策略网元接收第一PIN元素的第一通信策略;或者
从PIN元素通信策略网元接收所述第一PIN元素所属的PIN的通信策略,所述PIN的通信策略包括第一PIN元素的第一通信策略。
可选的,收发装置1301还用于:
向所述PIN元素通信策略网元发送的通信策略请求,所述通信策略请求包括所述第一PIN元素的描述信息,或者,所述通信策略请求包括所述第一PIN元素所属的PIN的描述信息。
可选的,所述第二网元包括如下一项:
服务于所述第一PIN元素的会话管理功能SMF、服务于所述第一PIN元素的接入和移动管理功能AMF、所述第一PIN元素、目标PIN元素;
其中,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素。
可选的,所述第二网元为服务于所述第一PIN元素的SMF,所述获取第一个PIN元素的第一通信策略包括:在所述第一PIN元素的会话建立过程中获取第一PIN元素的第一通信策略;或者
所述第二网元为服务于所述第一PIN元素的AMF,所述获取第一个PIN元素的第一通信策略包括:在所述第一PIN元素的注册过程或者会话建立过程中获取第一PIN元素的第一通信策略。
可选的,所述第二网元为服务于所述第一PIN元素的SMF,所述向第一网元发送策略信息,包括:向所述第一网元发送所述策略信息,所述第一网元包括用户面功能UPF。
可选的,所述第一PIN元素的第二通信策略包括如下至少一项:
包检测规则PDR和转发行为规则FAR;
其中,所述PDR包括如下至少一项:
允许所述第一PIN元素接收的数据包的第一检测信息;
禁止所述第一PIN元素接收的数据包的第二检测信息;
所述FAR用于指示如下至少一项:
在接收到符合所述第一检测信息的第一数据包的情况下,向所述第一PIN转发所述第一数据包;
在接收到符合所述第二检测信息的第二数据包的情况下,丢弃所述第二数据包。
可选的,所述第二网元为服务于所述第一PIN元素的SMF,所述向第一网元发送策略信息,包括:通过AMF向所述第一网元发送所述策略信息;
其中,所述第一网元包括目标PIN元素,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素;或者
所述第一网元包括所述第一PIN元素。
可选的,所述第二网元为服务于所述第一PIN元素的AMF,所述向第一网元发送策略信息,包括:向所述第一网元发送所述策略信息;
其中,所述第一网元包括目标PIN元素,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素;或者
所述第一网元包括所述第一PIN元素。
上述第二网元向第一网元发送策略信息,使得第一网元根据策略信息对PIN元素关联的数据包进行授权控制,从而避免了无通信权限的设备之间的通信,保证了设备间的通信安全。
具体地,本发明实施例的第二网元还包括:存储在存储器1302上并可在处理器1303上运行的指令或程序,处理器1303调用存储器1302中的指令或程序执行图10所示各模块执行的方法,并达到相同的技术效果,为避免重复,故不在此赘述。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有程序或指令,所述程序或指令被处理器执行时实现本申请实施例提供的第一网元侧的通信授权方法中的步骤,或者,所述程序或指令被处理器执行时实现本申请实施例提供的第二网元侧的通信授权方法中的步骤。
其中,所述处理器为上述实施例中所述的第一网元或者第二网元中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
本申请实施例还提供了一种系统,该系统包括第一网元和第二网元,其中,第一网元用于:获取策略信息,所述策略信息包括:第一个人物联网PIN元素的通信策略;以及根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制;
第二网元,用于获取第一个人物联网PIN元素的第一通信策略;以及向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
本申请实施例还提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现上述通信授权方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片,系统芯片,芯片系统或片上系统芯片等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (26)
1.一种通信授权方法,其特征在于,包括:
第一网元获取策略信息,所述策略信息包括:第一个人物联网PIN元素的通信策略;
所述第一网元根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
2.如权利要求1所述的方法,其特征在于,所述对所述第一PIN元素关联的数据包进行授权控制,包括如下至少一项:
向所述第一PIN元素发送所述第一PIN元素关联的第一数据包;
丢弃所述第一PIN元素关联的第二数据包;
接收所述第一PIN元素关联的第三数据包。
3.如权利要求2所述的方法,其特征在于,所述向所述第一PIN元素发送所述第一PIN元素关联的第一数据包,包括:
在所述第一PIN元素的通信策略包括允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略的情况下,向所述第一PIN元素发送所述第一PIN元素关联的第一数据包,其中,所述第一数据包为所述第二PIN元素向所述第一PIN元素发送的数据包。
4.如权利要求2所述的方法,其特征在于,所述丢弃所述第一PIN元素关联的第二数据包,包括:
在所述第一PIN元素的通信策略包括禁止所述第一PIN元素接收第三PIN元素发送的数据包的通信策略的情况下,丢弃所述第一PIN元素关联的第二数据包,其中,所述第二数据包为所述第三PIN元素向所述第一PIN元素发送的数据包;或者
在所述第一PIN元素的通信策略不包括允许所述第一PIN元素接收第三PIN元素发送的数据包的通信策略的情况下,丢弃所述第一PIN元素关联的第二数据包,其中,所述第二数据包为所述第三PIN元素向所述第一PIN元素发送的数据包。
5.如权利要求2所述的方法,其特征在于,所述接收所述第一PIN元素关联的第三数据包,包括:
在所述第一PIN元素的通信策略包括允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略的情况下,接收所述第二PIN元素发送的所述第一PIN元素关联的第三数据包。
6.如权利要求1所述的方法,其特征在于,所述第一网元包括如下一项:
用户面功能UPF、所述第一PIN元素、目标PIN元素;
其中,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素。
7.如权利要求6所述的方法,其特征在于,所述第一网元为用户面功能UPF,所述第一网元获取策略信息,包括:所述第一网元从会话管理功能SMF接收所述策略信息。
8.如权利要求6所述的方法,其特征在于,所述第一网元为所述第一PIN元素或者所述目标PIN元素,所述第一网元获取策略信息,包括:所述第一网元从接入和移动管理功能AMF接收所述策略信息。
9.如权利要求7所述的方法,其特征在于,所述第一PIN元素的通信策略包括如下至少一项:
包检测规则PDR和转发行为规则FAR;
其中,所述PDR包括如下至少一项:
允许所述第一PIN元素接收的数据包的第一检测信息;
禁止所述第一PIN元素接收的数据包的第二检测信息;
所述FAR用于指示如下至少一项:
在接收到符合所述第一检测信息的第一数据包的情况下,向所述第一PIN元素转发所述第一数据包;
在接收到符合所述第二检测信息的第二数据包的情况下,丢弃所述第二数据包。
10.一种通信授权方法,其特征在于,包括:
第二网元获取第一个人物联网PIN元素的第一通信策略;
所述第二网元向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
11.如权利要求10所述的方法,其特征在于,所述第一PIN元素的第二通信策略包括如下至少一项:
允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略;
禁止所述第一PIN元素接收第三PIN元素发送的数据包的通信策略。
12.如权利要求10或11所述的方法,其特征在于,所述第二网元获取第一PIN元素的第一通信策略,包括:
所述第二网元从PIN元素通信策略网元接收第一PIN元素的第一通信策略;或者
所述第二网元从PIN元素通信策略网元接收所述第一PIN元素所属的PIN的通信策略,所述PIN的通信策略包括第一PIN元素的第一通信策略。
13.如权利要求12所述的方法,其特征在于,所述方法还包括:
所述第二网元向所述PIN元素通信策略网元发送的通信策略请求,所述通信策略请求包括所述第一PIN元素的描述信息,或者,所述通信策略请求包括所述第一PIN元素所属的PIN的描述信息。
14.如权利要求10或11所述的方法,其特征在于,所述第二网元包括如下一项:
服务于所述第一PIN元素的会话管理功能SMF、服务于所述第一PIN元素的接入和移动管理功能AMF、所述第一PIN元素、目标PIN元素;
其中,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素。
15.如权利要求14所述的方法,其特征在于,所述第二网元为服务于所述第一PIN元素的SMF,所述第二网元获取第一个PIN元素的第一通信策略包括:所述第二网元在所述第一PIN元素的会话建立过程中获取第一PIN元素的第一通信策略;或者
所述第二网元为服务于所述第一PIN元素的AMF,所述第二网元获取第一个PIN元素的第一通信策略包括:所述第二网元在所述第一PIN元素的注册过程或者会话建立过程中获取第一PIN元素的第一通信策略。
16.如权利要求14所述的方法,其特征在于,所述第二网元为服务于所述第一PIN元素的SMF,所述第二网元向第一网元发送策略信息,包括:所述第二网元向所述第一网元发送所述策略信息,所述第一网元包括用户面功能UPF。
17.如权利要求16所述的方法,其特征在于,所述第一PIN元素的第二通信策略包括如下至少一项:
包检测规则PDR和转发行为规则FAR;
其中,所述PDR包括如下至少一项:
允许所述第一PIN元素接收的数据包的第一检测信息;
禁止所述第一PIN元素接收的数据包的第二检测信息;
所述FAR用于指示如下至少一项:
在接收到符合所述第一检测信息的第一数据包的情况下,向所述第一PIN转发所述第一数据包;
在接收到符合所述第二检测信息的第二数据包的情况下,丢弃所述第二数据包。
18.如权利要求14所述的方法,其特征在于,所述第二网元为服务于所述第一PIN元素的SMF,所述第二网元向第一网元发送策略信息,包括:所述第二网元通过AMF向所述第一网元发送所述策略信息;
其中,所述第一网元包括目标PIN元素,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素;或者
所述第一网元包括所述第一PIN元素。
19.如权利要求15所述的方法,其特征在于,所述第二网元为服务于所述第一PIN元素的AMF,所述第二网元向第一网元发送策略信息,包括:所述第二网元向所述第一网元发送所述策略信息;
其中,所述第一网元包括目标PIN元素,所述目标PIN元素为所述第一PIN元素所属的PIN中具有网关能力的PIN元素;或者
所述第一网元包括所述第一PIN元素。
20.一种通信授权装置,其特征在于,包括:
获取模块,用于获取策略信息,所述策略信息包括:第一个人物联网PIN元素的通信策略;
控制模块,用于根据所述策略信息,对所述第一PIN元素关联的数据包进行授权控制。
21.如权利要求20所述的装置,其特征在于,所述对所述第一PIN元素关联的数据包进行授权控制,包括如下至少一项:
向所述第一PIN元素发送所述第一PIN元素关联的第一数据包;
丢弃所述第一PIN元素关联的第二数据包;
接收所述第一PIN元素关联的第三数据包。
22.一种通信授权装置,其特征在于,包括:
获取模块,用于获取第一个人物联网PIN元素的第一通信策略;
发送模块,用于向第一网元发送策略信息,所述策略信息包括:所述第一PIN元素的第二通信策略,其中,所述第一PIN元素的第二通信策略是根据所述第一PIN元素的第一通信策略确定的。
23.如权利要求22所述的装置,其特征在于,所述第一PIN元素的第二通信策略包括如下至少一项:
允许所述第一PIN元素接收第二PIN元素发送的数据包的通信策略;
禁止所述第一PIN元素接收第三PIN元素发送的数据包的通信策略。
24.一种网元,所述网元为第一网元,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序或者指令,所述程序或者指令被所述处理器执行时实现如权利要求1至9中任一项所述的通信授权方法中的步骤。
25.一种网元,所述网元为第二网元,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序或者指令,所述程序或者指令被所述处理器执行时实现如权利要求10至19中任一项所述的通信授权方法中的步骤。
26.一种可读存储介质,其特征在于,所述可读存储介质上存储有程序或指令,所述程序或指令被处理器执行时实现如权利要求1至9中任一项所述的通信授权方法中的步骤,或者,所述程序或指令被处理器执行时实现如权利要求10至19中任一项所述的通信授权方法中的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111188003.9A CN115967942A (zh) | 2021-10-12 | 2021-10-12 | 通信授权方法、装置、网元和存储介质 |
| PCT/CN2022/124026 WO2023061275A1 (zh) | 2021-10-12 | 2022-10-09 | 通信授权方法、装置、网元和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111188003.9A CN115967942A (zh) | 2021-10-12 | 2021-10-12 | 通信授权方法、装置、网元和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115967942A true CN115967942A (zh) | 2023-04-14 |
Family
ID=85898165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111188003.9A Pending CN115967942A (zh) | 2021-10-12 | 2021-10-12 | 通信授权方法、装置、网元和存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN115967942A (zh) |
| WO (1) | WO2023061275A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108882305A (zh) * | 2017-05-09 | 2018-11-23 | 中国移动通信有限公司研究院 | 一种数据包的分流方法及装置 |
| CN109756430B (zh) * | 2017-11-07 | 2021-08-03 | 华为技术有限公司 | 一种规则的处理方法及装置 |
| CN112311691B (zh) * | 2019-07-26 | 2024-04-16 | 华为技术有限公司 | 策略控制方法、设备及系统 |
| CN112839078A (zh) * | 2020-12-30 | 2021-05-25 | 奇点新源国际技术开发(北京)有限公司 | 一种用于5g专网环境的数据转发方法、装置及电子设备 |
-
2021
- 2021-10-12 CN CN202111188003.9A patent/CN115967942A/zh active Pending
-
2022
- 2022-10-09 WO PCT/CN2022/124026 patent/WO2023061275A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023061275A1 (zh) | 2023-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20130227647A1 (en) | Shared network access via a peer-to-peer link | |
| US20230337002A1 (en) | Security context generation method and apparatus, and computer-readable storage medium | |
| WO2022095850A1 (zh) | 策略关联的建立方法及装置、终端及网络侧设备 | |
| CN115967942A (zh) | 通信授权方法、装置、网元和存储介质 | |
| US20230189132A1 (en) | Communication related to network slice | |
| KR20230017311A (ko) | 사용자 평면 보안 시행 정보 결정 방법, 장치 및 시스템 | |
| WO2023143423A1 (zh) | 信息获取与存储、上报方法、装置、终端及网络功能 | |
| WO2022206662A1 (zh) | 中继pdu会话建立的确定方法及装置、终端 | |
| WO2023020465A1 (zh) | 地址转换控制方法、装置、终端及网元 | |
| WO2023143411A1 (zh) | 设备鉴权方法、装置及通信设备 | |
| WO2022257877A1 (zh) | 信息处理方法、密钥材料的获取方法及设备 | |
| EP4354922A1 (en) | Key material sending method, key material obtaining method, and information transmission method and device | |
| EP4322498A1 (en) | Information processing method and apparatus, and communication device | |
| WO2023143412A1 (zh) | Ip地址分配方法、设备及可读存储介质 | |
| WO2024061091A1 (zh) | 一种网络通信的方法、装置、网络侧设备、终端及介质 | |
| WO2023020466A1 (zh) | 数据处理方法、装置、终端、接入网设备及核心网设备 | |
| WO2022257876A1 (zh) | 密钥材料的处理方法、获取方法、信息传输方法及设备 | |
| WO2023179595A1 (zh) | 非3gpp设备的会话通道建立方法、装置及设备 | |
| WO2022214064A1 (zh) | 接入网络的方法、网络侧设备及终端 | |
| WO2023143414A1 (zh) | 数据传输、配置方法、装置、终端及网络侧设备 | |
| CN116567591A (zh) | 直连空口配置方法、终端及网络侧设备 | |
| CN117858083A (zh) | 个人物联网中设备认证方法、装置及通信设备 | |
| CN115589584A (zh) | 多路径通信方法和设备 | |
| JP2023537134A (ja) | ネットワーク移行方法、装置及び機器 | |
| CN117177229A (zh) | 数据传输方法、装置、通信设备及网元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |