CN116939588A

CN116939588A - 通信方法及装置

Info

Publication number: CN116939588A
Application number: CN202210336337.4A
Authority: CN
Inventors: 吴义壮; 崔洋
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2022-03-31
Filing date: 2022-03-31
Publication date: 2023-10-24
Also published as: WO2023185558A1

Abstract

本申请提供一种通信方法及装置，用以降低用户面数据暴露的风险。该通信方法中，第一用户面网元与终端之间建立IPsec连接后，终端或第一用户面网元可以作为IPsec连接的端点设备。此时，当端点设备之间传输经IPsec保护的用户面数据时，位于端点设备之间的中间传输设备(如接入网设备)，也即IPsec连接上的接入网设备，可以直接透传该用户面数据，从而可以降低用户面数据暴露的风险。其中，IPsec连接可以为基于IPsec协议建立的安全连接，也即第一用户面网元与终端之间建立IPsec子安全关联SA。

Description

通信方法及装置

技术领域

本申请涉及通信领域，尤其涉及一种通信方法及装置。

背景技术

在新空口(new radio，NR)系统中，无线接入网(radio access network，RAN)设备可以开启RAN设备与终端之间的用户面安全保护。例如，RAN设备可以通过协议数据单元(protocol data unit，PDU)会话建立流程，从会话管理功能(session managementfunction，SMF)网元获取终端的用户面安全策略。用户面安全策略可以包括：强制开启(required)、推荐开启(prefered)以及不开启(not needed)。在用户面安全策略为强制开启或者推荐开启的情况下，RAN设备可以开启RAN设备与终端之间的用户面安全保护，以保证两者之间的用户面数据能够得到保护，确保通信安全。

但是，当RAN设备部署在物理不安全的区域时，攻击者的恶意行为仍可能导致用户面数据的暴露。

发明内容

本申请实施例提供一种通信方法及装置，用以降低用户面数据暴露的风险。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种通信方法。该通信方法包括：会话管理网元确定用户面安全规则，并向第一用户面网元发送用户面安全规则。其中，用户面安全规则用于建立第一用户面网元与终端的因特网协议安全IPsec连接。

基于第一方面所述的方法可知，第一用户面网元与终端之间建立IPsec连接后，终端或第一用户面网元可以作为IPsec连接的端点设备。此时，当端点设备之间传输经IPsec保护的用户面数据时，位于端点设备之间的中间传输设备(如接入网设备)，也即IPsec连接上的接入网设备，可以直接透传该用户面数据，从而可以降低用户面数据暴露的风险。

其中，IPsec连接可以为基于IPsec协议建立的安全连接，也即第一用户面网元与终端之间建立IPsec子安全关联SA。

一种可能的设计方案中，IPsec连接上的接入网设备不开启与终端的用户面安全保护。例如，会话管理网元向接入网设备发送用户面安全策略。该用户面安全策略用于指示接入网设备不开启终端的用户面加密和完整性保护。如此，可以降低接入网设备的负荷，增加可用资源。

一种可能的设计方案中，会话管理网元确定用户面安全规则，包括：会话管理网元根据终端的无线接入技术类型，确定用户面安全规则。也就是说，对于不同无线接入技术类型的终端，会话管理网元可以选择提供或不提供用户面安全规则，以实现差异化服务，匹配各终端各自的需求。

可选地，会话管理网元根据终端的无线接入技术类型，确定用户面安全规则包括：在无线接入技术类型为卫星接入类型的情况下，会话管理网元确定用户面安全规则。也就是说，针对接入网设备部署在卫星的场景，可以提供用户面安全规则，以建立第一用户面网元与终端的IPsec连接，从而降低卫星的负荷，提高使用寿命。

一种可能的设计方案中，会话管理网元确定用户面安全规则，包括：会话管理网元根据终端的无线接入技术类型和终端的用户面安全策略，确定用户面安全规则。也就是说，对于不同无线接入技术类型的终端，会话管理网元可以根据用户面安全策略选择提供或不提供用户面安全规则，以实现差异化服务，匹配各终端各自的需求。

可选地，会话管理网元根据终端的无线接入技术类型和终端的用户面安全策略，确定用户面安全规则,包括：在无线接入技术类型为卫星接入类型，且终端的用户面安全策略为确定开启用户面安全保护的情况下，会话管理网元确定用户面安全规则。也就是说，针对接入网设备部署在卫星的场景，在会话需要用户面安全保护时，可以提供用户面安全规则，以建立第一用户面网元与终端的IPsec连接，从而降低卫星的负荷，提高使用寿命。

一种可能的设计方案中，会话管理网元确定用户面安全规则，包括：会话管理网元根据安全指示信息，确定用户面安全规则。安全指示信息用于指示使用IPsec连接保护用户面数据。也就是说，会话管理网元可以根据指示信息的类型，选择提供或者不提供用户面安全规则。例如，会话管理网元可以根据安全指示信息，选择提供用户面安全规则，或者根据其他类型的指示信息，选择不提供用户面安全规则，以实现差异化服务，匹配各终端各自的需求。

一种可能的设计方案中，会话管理网元确定用户面安全规则，包括：会话管理网元根据安全指示信息和终端的用户面安全策略，确定用户面安全规则。也就是说，会话管理网元可以根据指示信息的类型，以及终端的用户面安全需求，选择提供或者不提供用户面安全规则，以实现差异化服务，匹配各终端各自的需求。

可选地，会话管理网元根据安全指示信息和终端的用户面安全策略，确定用户面安全规则，包括：在安全指示信息用于指示使用IPsec连接保护用户面数据，且终端的用户面安全策略为确定开启用户面安全保护的情况下，会话管理网元确定用户面安全规则，以实现按需提供用户面安全规则，避免资源浪费。

可选地，安全指示信息为端到端E2E的安全指示信息。

可选地，第一方面所述的方法还可以包括：会话管理网元从数据管理网元获取安全指示信息。例如，安全指示信息可以携带在终端的签约信息中。这样，会话管理网元可以通过复用获取终端的签约信息流程，获取安全指示信息，以提高通信效率。或者，安全指示信息预配置在会话管理网元中，会话管理功能可以从本地存储获取安全指示信息，如此无需网元之间交互，避免信令交互的开销。

一种可能的设计方案中，用户面安全规则包括标识信息。标识信息用于标识用户面安全规则，以避免因会话管理网元无法识别用户面安全规则而导致IPsec连接建立失败。

可选地，用户面安全规则承载在N4会话建立请求消息中，标识信息包括如下至少一项：N4会话标识、或用户面安全规则标识。N4会话标识可以用于标识该用户面安全规则为N4会话的用户面安全规则，以便第一用户网元能够配置该用户面安全规则。当然，规则标识中也可以不包括N4会话标识。这种情况下，可以通过用户面安全规则标识与N4会话建立请求消息中N4会话标识的信元层级关系，隐式指示该用户面安全规则为N4会话的用户面安全规则，以节约通信开销，提高通信效率。

可选地，用户面安全规则包括如下至少一项：安全协议、加密指示信息、或完整性保护指示信息；安全协议用于指示IPsec连接使用的安全协议，加密指示信息用于指示IPsec连接是否进行加密，完整性保护指示信息用于指示IPsec连接是否进行完整性保护。例如，安全协议包括如下至少一项：封装载荷安全ESP协议、或认证协议头AH协议。

可以看出，安全协议、加密指示信息以及完整性保护指示信息可具有相同的指示功能。例如，在加密指示信息指示IPsec连接进行加密，完整性保护指示信息指示IPsec连接进行完整性保护的情况下，这两个指示信息功能相当于安全协议指示ESP协议、或者ESP协议和AH协议。又例如，在加密指示信息指示IPsec连接不进行加密，完整性保护指示信息指示IPsec连接进行完整性保护的情况下，这两个指示信息功能相当于安全协议指示AH协议。因此，安全协议、加密指示信息以及完整性保护指示信息可以选择性地携带在用户面安全规则中，以节约通信开销，提高通信效率。

可选地，用户面安全规则包括封装模式。封装模式用于指示IPsec连接中数据包的封装模式，例如，封装模式包括如下任一项：隧道模式、或传输模式。如此，实现针对不同的传输场景，配置不同的封装模式，从而保障各种传输场景下的通信安全。例如，针对点到点的传输场景，可以配置传输模式。或者，针对跨网络或者跨域通信的传输场景，可以配置隧道模式。

一种可能的设计方案中，第一方面所述的方法还可以包括：会话管理网元向网络功能网元发送网络功能NF发现请求消息，并接收来自网络功能网元的NF发现响应消息。其中，NF发现请求消息用于指示网络功能网元提供候选的用户面网元，且候选的用户面网元支持与终端建立IPsec连接。NF发现响应消息包括候选的用户面网元的标识信息。如此，会话管理网元从候选的用户面网元中确定第一用户面网元。

可以看出，在这一场景下，网络功能网元提供的都是支持与终端建立IPsec连接的候选用户面网元，使得会话管理网元无需再判断候选用户面网元是否支持与终端建立IPsec连接，以节约会话管理网元的资源，提高运行效率。

一种可能的设计方案中，第一方面所述的方法还可以包括：会话管理网元向网络功能网元发送NF发现请求消息，并接收来自网络功能网元的NF发现响应消息。其中，NF发现请求消息用于指示网络功能网元提供候选的用户面网元。NF发现响应消息包括候选的用户面网元的标识信息，以及指示候选的用户面网元是否支持与终端建立IPsec连接的信息。如此，会话管理网元从候选的用户面网元中确定第一用户面网元。

可以看出，在这一场景下，网络功能网元只需要提供候选用户面网元的相关信息，而无需确定候选用户面网元是否支持与终端建立IPsec连接，如此可以节约网络功能网元的资源，提高运行效率。

一种可能的设计方案中，第一方面方法还可以包括：会话管理网元从本地保存的，且支持与终端建立IPsec连接的用户面网元中，确定第一用户面网元，如此无需网元之间交互，避免信令交互的开销。

一种可能的设计方案中，第一方面方法还可以包括：会话管理网元从数据管理网元获取IPsec连接端点信息。IPsec连接端点信息用于指示IPsec连接中的第一用户面网元。如此，会话管理网元可以根据该IPsec连接端点信息，选择复用第一用户面网元来建立IPsec连接或者复用第一用户面网元已有的IPsec连接，以降低复杂度和实现难度。

一种可能的设计方案中，第一方面方法还可以包括：会话管理网元向数据管理网元发送IPsec连接端点信息。IPsec连接端点信息用于指示IPsec连接中的第一用户面网元，以便后续可以复用第一用户面网元来建立IPsec连接，以降低复杂度和实现难度。

一种可能的设计方案中，第一方面方法还可以包括：会话管理网元向终端发送安全端点信息，安全端点信息用于指示安全端点为第一用户面网元，以避免因终端不知道需要与第一用户面网元建立IPsec连接而导致IPsec连接失败。

一种可能的设计方案中，第一方面所述的方法还可以包括：会话管理网元接收来自移动性管理网元的终端的安全能力信息。安全能力信息用于指示终端支持与核心网功能建立的IPsec连接。如此，会话管理网元可以仅为支持与核心网功能建立的IPsec连接的终端建立IPsec连接，以避免资源浪费。

第二方面，提供一种通信方法。该通信方法包括：第一用户面网元接收来自会话管理网元的用户面安全规则，并根据用户面安全规则，建立第一用户面网元与终端之间的IPsec连接。

一种可能的设计方案中，IPsec连接上的接入网设备不开启与终端的用户面安全保护。

一种可能的设计方案中，根据用户面安全规则，建立第一用户面网元与终端之间的IPsec连接包括：第一用户面网元根据用户面安全规则，向终端发送安全关联SA建立请求消息，并接收来自终端的SA建立响应消息。其中，SA建立请求消息可以包括第一用户面网元的SA参数，SA建立响应消息可以包括终端的SA参数。也就是说，第一用户面网元与终端可以交互各自的SA参数，以实现SA参数对齐，确保成功建立IPsec连接。

一种可能的设计方案中，用户面安全规则包括标识信息。标识信息用于标识用户面安全规则。

可选地，用户面安全规则承载在N4会话建立请求消息中。标识信息包括如下至少一项：N4会话标识、或用户面安全规则标识。

可选地，用户面安全规则包括如下至少一项：安全协议、加密指示信息、或完整性保护指示信息。其中，安全协议用于指示IPsec连接使用的安全协议，加密指示信息用于指示IPsec连接是否进行加密，完整性保护指示信息用于指示IPsec连接是否进行完整性保护。

进一步的，安全协议包括如下至少一项：ESP协议、或AH协议。

可选地，用户面安全规则包括封装模式。封装模式用于指示IPsec连接中数据包的封装模式。

进一步的，封装模式包括如下任一项：隧道模式、或传输模式。

此外，第二方面所述的通信方法的技术效果可以参考第一方面所述的通信方法的技术效果，此处不再赘述。

第三方面，提供一种通信方法。该通信方法包括：终端接收来自会话管理网元的安全端点信息，从而建立终端与安全端点信息指示的安全端点之间的IPsec连接。安全端点为第一用户面网元。

一种可能的设计方案中，终端与安全端点信息指示的安全端点，建立IPsec连接，包括：终端向安全端点发送SA建立请求消息，并接收来自安全端点的SA建立响应消息。其中，SA建立请求消息包括终端的SA参数；SA建立响应消息包括第一用户面网元的SA参数。

一种可能的设计方案中，第三方面所述的方法还可以包括：终端向移动性管理网元发送终端的安全能力信息。终端的安全能力信息用于指示终端支持与核心网功能建立的IPsec连接。

此外，第三方面所述的通信方法的技术效果可以参考第一方面所述的通信方法的技术效果，此处不再赘述。

第四方面，提供一种通信方法。该通信方法包括：会话管理网元确定用户面安全规则，并向安全网元发送用户面安全规则。其中，用户面安全规则用于建立安全网元与终端之间的IPsec连接。

基于第四方面所述的方法可知，安全网元与终端之间建立IPsec连接后，终端或安全网元与可以作为IPsec连接的端点设备。此时，当端点设备之间传输经IPsec保护的用户面数据时，位于端点设备之间的中间传输设备(如接入网设备)，也即IPsec连接上的接入网设备，可以直接透传该用户面数据，从而可以降低用户面数据暴露的风险。

可选地，用户面安全规则承载在N4会话建立请求消息中，标识信息包括如下至少一项：N4会话标识、或用户面安全规则标识。

可选地，用户面安全规则包括如下至少一项：安全协议、加密指示信息、或完整性保护指示信息。安全协议用于指示IPsec连接使用的安全协议，加密指示信息用于指示IPsec连接是否进行加密，完整性保护指示信息用于指示IPsec连接是否进行完整性保护。

进一步的，安全协议包括如下至少一项：封装载荷安全ESP协议、或认证协议头AH协议。

一种可能的设计方案中，第四方面所述的方法还可以包括：会话管理网元向用户面网元发送第一信息，第一信息用于指示如下至少一项：用户面网元向安全网元发送来自终端或数据网络的数据、或用户面网元向终端或数据网络发送来自安全网元的数据，以确保安全网元与终端之间能够正常进行用户面数据交互。

一种可能的设计方案中，第四方面所述的方法还可以包括：会话管理网元接收来自移动性管理网元的终端的安全能力信息。安全能力信息用于指示终端支持与核心网功能建立的IPsec连接。

此外，第四方面所述的通信装置的技术效果可以参考第一方面所述的通信方法的技术效果，此处不再赘述。

第五方面，提供一种通信方法。该通信方法包括：安全网元接收来自会话管理网元向发送用户面安全规则，从而根据用户面安全规则，建立安全网元与终端之间的IPsec连接。

一种可能的设计方案中，安全网元根据用户面安全规则，建立安全网元、用户面网元以及终端之间的IPsec连接，包括：安全网元根据用户面安全规则，通过用户面网元向终端发送安全关联SA建立请求消息，并通过用户面网元接收来自终端的SA建立响应消息。SA建立请求消息包括安全网元的SA参数，SA建立响应消息包括终端的SA参数。

第六方面，提供一种通信装置。该通信装置包括用于执行第一方面所述的方法的模块。例如，处理模块和收发模块。

其中，处理模块，用于确定用户面安全规则。收发模块，用于向第一用户面网元发送用户面安全规则。其中，用户面安全规则用于建立第一用户面网元与终端的因特网协议安全IPsec连接。

一种可能的设计方案中，处理模块，还用于根据终端的无线接入技术类型，确定用户面安全规则。

可选地，处理模块，还用于在无线接入技术类型为卫星接入类型的情况下，确定用户面安全规则。

一种可能的设计方案中，处理模块，还用于根据终端的无线接入技术类型和终端的用户面安全策略，确定用户面安全规则。

可选地，处理模块，还用于在无线接入技术类型为卫星接入类型，且终端的用户面安全策略为确定开启用户面安全保护的情况下，确定用户面安全规则。

一种可能的设计方案中，处理模块，还用于根据安全指示信息，确定用户面安全规则。安全指示信息用于指示使用IPsec连接保护用户面数据。

一种可能的设计方案中，处理模块，还用于根据安全指示信息和终端的用户面安全策略，确定用户面安全规则。

可选地，处理模块，还用于在安全指示信息用于指示使用IPsec连接保护用户面数据，且终端的用户面安全策略为确定开启用户面安全保护的情况下，确定用户面安全规则。

可选地，安全指示信息为端到端E2E的安全指示信息。

可选地，收发模块，还用于从数据管理网元获取安全指示信息。例如，安全指示信息可以携带在终端的签约信息中。

可选地，用户面安全规则承载在N4会话建立请求消息中，标识信息包括如下至少一项：N4会话标识、或用户面安全规则标识。N4会话标识可以用于标识该用户面安全规则为N4会话的用户面安全规则。

可选地，用户面安全规则包括封装模式。封装模式用于指示IPsec连接中数据包的封装模式，例如，封装模式包括如下任一项：隧道模式、或传输模式。

一种可能的设计方案中，收发模块，还用于向网络功能网元发送网络功能NF发现请求消息，并接收来自网络功能网元的NF发现响应消息。其中，NF发现请求消息用于指示网络功能网元提供候选的用户面网元，且候选的用户面网元支持与终端建立IPsec连接。NF发现响应消息包括候选的用户面网元的标识信息。如此，处理模块，还用于从候选的用户面网元中确定第一用户面网元。

一种可能的设计方案中，收发模块，还用于向网络功能网元发送NF发现请求消息，并接收来自网络功能网元的NF发现响应消息。其中，NF发现请求消息用于指示网络功能网元提供候选的用户面网元。NF发现响应消息包括候选的用户面网元的标识信息，以及指示候选的用户面网元是否支持与终端建立IPsec连接的信息。如此，处理模块，还用于从候选的用户面网元中确定第一用户面网元。

一种可能的设计方案中，处理模块，还用于从本地保存的，且支持与终端建立IPsec连接的用户面网元中，确定第一用户面网元。

一种可能的设计方案中，收发模块，还用于从数据管理网元获取IPsec连接端点信息。IPsec连接端点信息用于指示IPsec连接中的端点设备为第一用户面网元。

一种可能的设计方案中，收发模块，还用于向数据管理网元发送IPsec连接端点信息。IPsec连接端点信息用于指示IPsec连接中的端点设备为第一用户面网元。

一种可能的设计方案中，收发模块，还用于向终端发送安全端点信息，安全端点信息用于指示安全端点为第一用户面网元。

一种可能的设计方案中，收发模块，还用于接收来自移动性管理网元的终端的安全能力信息。安全能力信息用于指示终端支持与核心网功能建立的IPsec连接。

可选地，收发模块可以包括接收模块和发送模块。其中，接收发模块用于实现第六方面所述的通信装置的接收功能。发送发模块用于实现第六方面所述的通信装置的发送功能。

可选地，第六方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得该通信装置可以执行第一方面所述的通信方法。

需要说明的是，第六方面所述的通信装置可以是网络设备，如会话管理网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第六方面所述的通信装置的技术效果可以参考第一方面所述的通信方法的技术效果，此处不再赘述。

第七方面，提供一种通信装置。该通信装置包括用于执行第二方面所述的方法的模块。例如，处理模块和收发模块。

其中，收发模块，用于接收来自会话管理网元的用户面安全规则；处理模块，用于根据用户面安全规则，建立第七方面所述的通信装置与终端之间的IPsec连接。

一种可能的设计方案中，处理模块，用于根据用户面安全规则，控制收发模块向终端发送安全关联SA建立请求消息，并接收来自终端的SA建立响应消息。其中，SA建立请求消息可以包括第七方面所述的通信装置的SA参数，SA建立响应消息可以包括终端的SA参数。

可选地，收发模块可以包括接收模块和发送模块。其中，接收发模块用于实现第七方面所述的通信装置的接收功能。发送发模块用于实现第七方面所述的通信装置的发送功能。

可选地，第七方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得该通信装置可以执行第二方面所述的通信方法。

需要说明的是，第七方面所述的通信装置可以是网络设备，如第一用户面网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第七方面所述的通信装置的技术效果可以参考第二方面所述的通信方法的技术效果，此处不再赘述。

第八方面，提供一种通信装置。该通信装置包括用于执行第三方面所述的方法的模块。例如，处理模块和收发模块。

其中，收发模块，用于接收来自会话管理网元的安全端点信息；处理模块，用于建立第八方面所述的通信装置与安全端点信息指示的安全端点之间的IPsec连接。安全端点为第一用户面网元。

一种可能的设计方案中，收发模块，还用于向安全端点发送SA建立请求消息，并接收来自安全端点的SA建立响应消息。其中，SA建立请求消息包括第八方面所述的通信装置的SA参数；SA建立响应消息包括第一用户面网元的SA参数。

一种可能的设计方案中，收发模块，还用于向移动性管理网元发送第八方面所述的通信装置的安全能力信息。安全能力信息用于指示第八方面所述的通信装置支持与核心网功能建立的IPsec连接。

可选地，收发模块可以包括接收模块和发送模块。其中，接收发模块用于实现第八方面所述的通信装置的接收功能。发送发模块用于实现第八方面所述的通信装置的发送功能。

可选地，第八方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得该通信装置可以执行第三方面所述的通信方法。

需要说明的是，第八方面所述的通信装置可以是终端，也可以是可设置于终端中的芯片(系统)或其他部件或组件，还可以是包含终端的装置，本申请对此不做限定。

此外，第八方面所述的通信装置的技术效果可以参考第三方面所述的通信方法的技术效果，此处不再赘述。

第九方面，提供一种通信装置。该通信装置包括用于执行第四方面所述的方法的模块。例如，处理模块和收发模块。

其中，处理模块，用于确定用户面安全规则；收发模块，用于向安全网元发送用户面安全规则。其中，用户面安全规则用于建立安全网元与终端之间的IPsec连接。

一种可能的设计方案中，收发模块，还用于向用户面网元发送第一信息，第一信息用于指示如下至少一项：用户面网元向安全网元发送来自终端或数据网络的数据、或用户面网元向终端或数据网络发送来自安全网元的数据。

可选地，收发模块可以包括接收模块和发送模块。其中，接收发模块用于实现第九方面所述的通信装置的接收功能。发送发模块用于实现第九方面所述的通信装置的发送功能。

可选地，第九方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得该通信装置可以执行第四方面所述的通信方法。

需要说明的是，第九方面所述的通信装置可以是网络设备，如会话管理网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第九方面所述的通信装置的技术效果可以参考第四方面所述的通信方法的技术效果，此处不再赘述。

第十方面，提供一种通信装置。该通信装置包括用于执行第五方面所述的方法的模块。例如，处理模块和收发模块。

其中，收发模块，用于接收来自会话管理网元向发送用户面安全规则，处理模块，用于根据用户面安全规则，建立第十方面所述的通信装置与终端之间的IPsec连接。

一种可能的设计方案中，Psec连接上的接入网设备不开启与终端的用户面安全保护。

一种可能的设计方案中，处理模块，还用于根据用户面安全规则，控制收发模块通过用户面网元向终端发送安全关联SA建立请求消息，并通过用户面网元接收来自终端的SA建立响应消息。SA建立请求消息包括第十方面所述的通信装置的SA参数，SA建立响应消息包括终端的SA参数。

可选地，收发模块可以包括接收模块和发送模块。其中，接收发模块用于实现第十方面所述的通信装置的接收功能。发送发模块用于实现第十方面所述的通信装置的发送功能。

可选地，第十方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得该通信装置可以执行第五方面所述的通信方法。

需要说明的是，第十方面所述的通信装置可以是网络设备，如安全网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第十方面所述的通信装置的技术效果可以参考第五方面所述的通信方法的技术效果，此处不再赘述。

第十一方面，提供一种通信装置。该通信装置包括：处理器，该处理器用于执行第一方面至第五方面中任一方面所述的通信方法。

在一种可能的设计方案中，第十一方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于该装置与其他通信装置通信。

在一种可能的设计方案中，第十一方面所述的通信装置还可以包括存储器。该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储第一方面所述的通信方法所涉及的计算机程序和/或数据。

在本申请中，第十一方面所述的通信装置可以为终端或网络设备，或者可设置于该终端或网络设备中的芯片(系统)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十一方面所述的通信装置的技术效果可以参考第一方面至第五方面中任一方面所述的通信方法的技术效果，此处不再赘述。

第十二方面，提供一种通信装置。该通信装置包括：处理器，该处理器与存储器耦合，该处理器用于执行存储器中存储的计算机程序，以使得该通信装置执行第一方面至第五方面中任一方面所述的通信方法。

在一种可能的设计方案中，第十二方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于该装置与其他通信装置通信。

在本申请中，第十二方面所述的通信装置可以为终端或网络设备，或者可设置于该终端或网络设备中的芯片(系统)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十二方面所述的通信装置的技术效果可以参考第一方面至第五方面中任一方面所述的通信方法的技术效果，此处不再赘述。

第十三方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机程序，当该处理器执行该计算机程序时，以使该通信装置执行第一方面至第五方面中任一方面所述的通信方法。

在一种可能的设计方案中，第十三方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于该装置与其他通信装置通信。

在本申请中，第十三方面所述的通信装置可以为终端或网络设备，或者可设置于该终端或网络设备中的芯片(系统)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十三方面所述的通信装置的技术效果可以参考第一方面至第五方面中任一方面所述的通信方法的技术效果，此处不再赘述。

第十四方面，提供了一种通信装置，包括：处理器。该处理器用于与存储器耦合，并读取存储器中的计算机程序之后，根据该计算机程序执行如第一方面至第五方面中任一方面所述的通信方法。

在一种可能的设计方案中，第十四方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于该装置与其他通信装置通信。

在本申请中，第十四方面所述的通信装置可以为终端或网络设备，或者可设置于该终端或网络设备中的芯片(系统)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十四方面所述的通信装置的技术效果可以参考第一方面至第五方面中任一方面所述的通信方法的技术效果，此处不再赘述。

第十五方面，提供一种通信系统，包括：上述第一方面至第五方面中任一方面所述的装置。

第十六方面，提供一种计算机可读存储介质，包括：计算机程序或指令；当该计算机程序或指令在计算机上运行时，使得该计算机执行如第一方面至第五方面中任一方面所述的通信方法。

第十七方面，提供一种计算机程序产品，包括：计算机程序或指令，当该计算机程序或指令在计算机上运行时，使得该计算机执行如第一方面至第五方面中任一方面所述的通信方法。

附图说明

图1为IPSec的架构示意图；

图2为传输模式的封装结构示意图；

图3为隧道模式的封装结构示意图；

图4为IKE SA和IPsec子SA的建立流程图；

图5为5G系统的架构示意图；

图6为5G系统中用户面的数据流示意图；

图7为PDU会话建立流程的示意图；

图8为本申请实施例提供的一种通信系统的架构示意图；

图9为本申请实施例提供的一种通信系统的协议栈示意图；

图10为本申请实施例提供的一种通信方法的流程示意图一；

图11为本申请实施例提供的一种通信方法的流程示意图二；

图12为本申请实施例提供的一种通信方法的流程示意图三；

图13为本申请实施例提供的一种通信方法的流程示意图四；

图14为本申请实施例提供的一种通信方法的流程示意图五；

图15为本申请实施例提供的一种通信装置的结构示意图一；

图16为本申请实施例提供的一种通信装置的结构示意图二。

具体实施方式

方便理解，下面先介绍本申请实施例所涉及的技术术语。

1、因特网协议安全(internet protocol security，IPSec)：

IPsec是应用于因特网协议(internet protocol，IP)层的一套网络安全方案，用于实现IP层的安全保护。例如，IPSec用于为IP数据包提供保护。基于IPSec，通信双方可以在IP层实现数据源认证、完整性保护、机密性保护、以及重放保护等功能。数据源认证主要用于对发送端身份进行认证，保证身份不可抵赖。完整性保护主要用于保证数据在传输过程中不被篡改。机密性保护主要用于对用户的数据进行加密保护。重放保护主要用于拒绝接收旧的或者重复的报文。

协议层面，图1为IPSec的架构示意图。如图1所示，IPSec包括：2个安全处理协议，例如封装载荷安全(encapsulating security payload，ESP)协议和认证协议头(authentication header，AH)协议，以及1个密钥交换协议，例如互联网密钥交换(internet key exchange，IKE)协议。ESP协议主要提供数据源认证、数据完整性校验、防重放攻击、数据加密等功能。AH协议主要提供数据源认证、数据完整性校验、防重放攻击等功能，但不支持数据加密功能。AH协议和ESP协议可以单独使用，也可以嵌套使用。例如，通信双方(例如两台主机、两台安全网关(防火墙和路由器)、或者主机与安全网关)之间可以只使用AH协议、或者只使用ESP协议、或者AH协议和ESP协议都使用。IKE协议主要负责密钥管理，用以定义通信双方之间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE可以将密钥协商的结果保留在安全关联(security association，SA)中，用以通信双方之间基于AH协议和/或ESP协议通信时使用。

逻辑层面，构成IPSec的基础是安全关联(security association，SA)。SA是指通信双方经过协商建立的一种协定(或者说安全服务)，是以安全为目的创建一个单向逻辑连接。经过同一SA的数据流会得到相同安全服务。SA可以包括因特网秘钥交换协议(internetkey exchange protocol，IKE)SA和IPsec SA。IKE SA用于保护协商流程消息和认证流程消息，比如协商IPSec协议(AH或者ESP)、封装模式(传输模式还是隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口等参数，这些参数也可以称为SA关联的参数(SA的上下文)，存储在安全关联数据库(security association database，SAD)中。IPsec SA用于保护实际传输的数据流量。IPsec SA是单向保护。IKE SA和IPsec SA都是通过IKE协议协商产生的。

SA可以被唯一标识，例如安全参数索引(security parameter indexs，SPI)、通信双方的IP目的地址以及安全协议的协议号，这三者构成三元组，用以唯一标识一个SA，以便根据三元组能够从SAD中获得该SA关联的参数。SA可以由通信双方的安全策略(securitypolicy，SP)决定。例如，通信双方是否要建立SA，如何建立SA。SP可以包括：被保护的数据流的标识、安全提议(例如封装模式、安全协议、加密认证算法)、密钥配置方式、安全隧道本端/对端的IP地址、IKE匹配等。此外，SP也可以决定数据包的处理方式，例如依据数据包的选择符(selectors)对数据包执行IPSec、不执行IPSec(旁路)、或者丢弃该数据包。选择符可以包括该数据包的IP地址和下一层头部等信息。SP可以存储在安全策略数据库(security policy database，SPD)中。通信双方可以从SPD中查询到数据包对应的SP，从而根据该SP对该数据包执行相应的处理。

IPSec协议可以提供2种封装模式，分别为传输模式和隧道模式。图2为传输模式的封装结构示意图。如图2所示，传输模式下，AH头或者ESP头被插入到原始的IP头之后，其他传输层协议之前。数据包不产生新的IP头，通常用于点(数据传输点)到点，例如主机与主机之间的IPSec场景。这种情况下，数据传输点即为加密点/解密点。图3为隧道模式的封装结构示意图。如图3所示，隧道模式下，AH头或者ESP头被插入到原始的IP头之前。数据包需要再生成一个新的IP头，将其插入到AH头或者ESP头之前，以方便转发。可以看出，隧道模式可以用于跨网络或者跨域通信，例如私网与私网之间通过公网进行通信的IPSec场景。此外，对于插入ESP头的数据包，该数据包的尾部还插入有ESP尾和ESP验证。ESP尾通常用于填充，以确保数据包的长度一致。ESP验证主要用于ESP的哈希(hash)验证。

2、IPSec的建立流程：

IPSec的建立流程主要包含IKE SA和IPsec子SA的建立流程。通信双方(发起者(initiator)和响应者(responder))先建立IKE SA，再基于IKE SA，建立IPsec子SA，以提高通信的安全性。图4为IKE SA和IPsec子SA的建立流程，如图4所示，该流程包括如下步骤。

S401，发起者向响应者发送IKE SA建立请求消息。相应的，响应者接收来自发起者的IKE SA建立请求消息。

其中，IKE SA建立请求消息可用于请求建立IKE SA。IKE SA建立请求消息中可以包括：IKE头(IKE header，HDR)。该IKE头中包括与发起者相关的IKE SA参数，例如SPI、IKE的协议号、封装模式(传输模式还是隧道模式)、消息标识(message identity，messageID)，用于标识该IKE SA建立请求消息。此外，IKE SA建立请求消息中还可以包括：第一算法标识(例如SAi1)、第一加密材料(例如KEi)，第一随机数(例如Ni)。第一算法标识主要用于表示发起者支持的加密算法。第一加密材料包括发起者的Diffie-Hellman值，主要用于发起者的加密使用。第一随机数主要用于发起者生成密钥和加密等。

S402，响应者向发起者发送IKE SA建立响应消息。相应的，发起者接收来自响应者的IKE SA建立响应消息。

其中，IKE SA建立响应消息可用于通知发起者可以建立IKE SA。IKE SA建立响应消息可以包括：IKE头。与上述IKE SA建立请求消息中的IKE头类似，IKE SA建立响应消息中的IKE头可以包括与响应者相关的IKE SA参数。此外，IKE SA建立响应消息中还可以包括：第二算法标识(例如SAr1)、第二加密材料(例如Ker)，第二随机数(例如Nr)。第二算法标识主要用于表示响应者支持的加密算法。第二加密材料包括响应者的Diffie-Hellman值，主要用于响应者的加密使用。第二随机数主要用于响应者生成密钥和加密等。

经过S401和S402，通信双方都已获得对方的相关参数，可以依据相同的参数建立IKE SA。这样，通信双方可以基于IKE SA生成种子密钥(keyseed)，以便生成后续的所有密钥。

S403，发起者向响应者发送IPsec子SA建立请求消息。相应的，响应者接收来自发起者的IPsec子SA建立请求消息。

其中，IPsec子SA建立请求消息可以是基于IKE SA加密的消息，可用于请求建立IPsec子SA。IPsec子SA建立请求消息中可以包括：IKE头，该IKE头中包括与发起者相关的IPsec子SA参数，例如SPI、IKE的协议号、封装模式、消息标识等。此外，IPsec子SA建立请求消息中还可以包括：第一身份标识符(Identification-Initiator，Idi)、第一认证(authentication，AUTH)信息、第三算法标识(例如SAi2)、该IPsec子SA的第一数据包过滤规则。其中，第一身份标识符可用于表示发起者的身份，第一认证信息用于身份认证，第三算法标识主要用于表示发起者支持的加密算法。第一数据包过滤规则可以包括IP地址或者IP地址段(例如TSi和TSr)。TSi或TSr为发起者发送的需要加密的数据包对应的IP地址或者IP地址段，表示若发起者向响应者发送的数据包的源地址在该TSi或TSr范围内，则需要用该子SA加密。或者TSi或TSr为发起者接收的需要解密的数据包对应的IP地址或者IP地址段，表示若发起者接收的来自响应者的数据包的目标地址在该TSi或TSr范围内，则需要用该子SA解密。

S404，响应者向发起者发送IPsec子SA建立响应消息。相应的，发起者接收来自响应者的IPsec子SA建立响应消息。

其中，IPsec子SA建立响应消息可用于通知发起者可建立IPsec子SA。IPsec子SA建立响应消息可以包括：IKE头。与上述IPsec子SA建立请求消息中的IKE头类似，IPsec子SA建立响应消息中的IKE头可以包括与响应者相关的IPsec子SA参数。此外，IPsec子SA建立响应消息中还可以包括：第二身份标识符(Idr)、第二认证信息、第四算法标识(例如SAr2)、该IPsec子SA的第二数据包过滤规则。其中，第二身份标识符可以用于表示响应者的身份。第一认证信息用于身份认证。第四算法标识主要用于表示响应者支持的加密算法。第二数据包过滤规则可以包括IP地址或者IP地址段(例如TSi和TSr)。TSi或TSr为响应者接收的需要解密的数据包对应的IP地址或者IP地址段，表示若响应者接收的来自发起者的数据包的目的地址在该TSi或TSr范围内，则需要用该子SA解密。或者TSi或TSr为响应者发送的需要加密的数据包对应的IP地址或者IP地址段，表示若响应者向发起者发送的数据包的源地址在该TSi或TSr范围内，则需要用该子SA加密。

经过S403和S404，通信双方都已获得对方的相关参数，从而可以依据相同的参数建立IPsec子SA。如此，通信双方可以基于IPsec子SA，对数据进行安全保护传输。需要指出的是，上述S403和S404可以多次发生，并且使用IKE SA进行安全保护，以建立多组IPSec子SA来进行数据传输。另外，子SA的建立发起方可以为IKE SA的发起方，即上述发送者，或者也可以为IKE SA的响应方，即上述响应者，本申请对此不做具体限定。

3、第五代(5th generation，5G)移动通信系统：

图5为5G系统的架构示意图，如图5所示，5G系统包括：接入网(access network，AN)和核心网(core network，CN)，还可以包括：终端。

上述终端可以为具有收发功能的终端，或为可设置于该终端的芯片或芯片系统。该终端也可以称为用户装置(uesr equipment，UE)、接入终端、用户单元(subscriberunit)、用户站、移动站(mobile station，MS)、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机(mobile phone)、蜂窝电话(cellular phone)、智能电话(smart phone)、平板电脑(Pad)、无线数据卡、个人数字助理电脑(personal digital assistant，PDA)、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machinetype communication，MTC)终端、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的路边单元(road side unit，RSU)等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。

上述AN用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括：接入网设备，也可以称为无线接入网设备(radio access network，RAN)设备。

RAN设备可以是为终端提供接入的设备。例如，RAN设备可以包括：下一代移动通信系统，例如6G的接入网设备，例如6G基站，或者在下一代移动通信系统中，该网络设备也可以有其他命名方式，其均涵盖在本申请实施例的保护范围以内，本申请对此不做任何限定。或者，RAN设备也可以包括5G，如新空口(new radio，NR)系统中的gNB，或，5G中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB、传输点(transmissionand reception point，TRP或者transmission point，TP)或传输测量功能(transmissionmeasurement function，TMF)的网络节点，如基带单元(building base band unit，BBU)，或，集中单元(centralized unit，CU)或分布单元(distributed unit，DU)、具有基站功能的RSU，或者有线接入网关，或者5G的核心网网元。或者，RAN设备还可以包括无线保真(wireless fidelity，WiFi)系统中的接入点(access point，AP)，无线中继节点、无线回传节点、各种形式的宏基站、微基站(也称为小站)、中继站、接入点、可穿戴设备、车载设备等等。

CN主要负责维护移动网络的签约数据，为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元：用户面功能(user plane function，UPF)网元、认证服务功能(authentication server function，AUSF)网元、接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(sessionmanagement function，SMF)网元、网络切片选择功能(network slice selectionfunction，NSSF)网元、网络开放功能(network exposure function，NEF)网元、网络功能仓储功能(NF repository function，NRF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、统一数据存储(unifieddata repository，UDR)、应用功能(application function，AF)网元、以及计费功能(charging function，CHF)网元。

其中，UPF网元主要负责用户数据处理(转发、接收、计费等)。例如，UPF网元可以接收来自数据网络(data network，DN)的用户数据，通过接入网设备向终端转发该用户数据。UPF网元也可以通过接入网设备接收来自终端的用户数据，并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议(internet protocol，IP)多媒体业务(IP multi-media srvice，IMS)、互联网(internet)等。DN可以为运营商外部网络，也可以为运营商控制的网络，用于向终端设备提供业务服务。

AUSF网元主要用于执行终端的安全认证。

AMF网元主要用于移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。

SMF网元主要用于移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议(internet protocol，IP)地址，选择提供报文转发功能的UPF等。

PCF网元主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略，例如服务质量(quality of service，QoS)策略、切片选择策略等。

NSSF网元主要用于为终端选择网络切片。

NEF网元主要用于支持能力和事件的开放。

UDM网元主要用于存储用户数据，例如签约数据、鉴权/授权数据等。

UDR网元主要用于存储结构化数据，存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。

AF网元主要支持与CN交互来提供服务，例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。

4、5G系统中的安全保护：

图6为5G系统中用户面的数据流示意图，如图6所示，UE的用户面数据可以依次经过RAN设备和UPF网元发往数据网络(data network，DN)。或者，DN的用户面数据可以依次经过RAN设备和UPF网元发往UE。在此架构下，5G系统可通过逐跳保护的方式来实现UE与DN之间的用户面安全保护。例如，RAN设备与UPF网元之间可以建立IPSec连接(如建立IPsec子SA)，用以保障UPF网元与RAN设备的通信安全，具体实现原理可以参考上述“1、IPSec”以及“2、IPSec的建立流程”中的相关介绍，不再赘述。RAN设备与UE之间可以建立用户面安全连接，用以保障UE与RAN设备的通信安全，下面具体介绍。

5G系统可以在建立协议数据单元(protocol data unit，PDU)会话的过程中，建立UE与RAN设备之间的用户面安全连接。例如，图7为PDU会话建立流程的示意图，如图7所示，PDU会话建立流程包括如下步骤：

S701，UE通过RAN设备向AMF网元发送PDU会话建立请求(PDU sessionestablishment request)消息。相应的，AMF网元通过RAN设备接收来自UE的PDU会话建立请求消息。

PDU会话建立请求消息用于请求建立对应的PDU会话。PDU会话建立请求消息可以包括：该PDU会话的标识(identity，ID)、请求的PDU会话类型(type)、请求的会话和服务连续性(session and service continuity，SSC)模式等信息。

S702，AMF网元选择SMF网元。

AMF网元可以选择适合建立当前会话的SMF网元。例如，负载比较低的SMF网元、距离比较近的SMF网元等等。

S703，AMF网元向SMF网元发送PDU会话创建会话管理上下文请求(Nsmf_PDUSession_CreateSMContext request)消息。相应的，SMF网元接收来自AMF网元的PDU会话创建会话管理上下文请求消息。

PDU会话创建会话管理上下文请求消息用于请求创建PDU会话。PDU会话创建会话管理上下文请求消息中可以包括：上述PDU会话建立请求消息、无线接入技术(radioaccess technology，RAT)类型、数据网络名称、切片信息等。RAT类型用于指示UE接入CN的无线技术类型，具体参见下述实施例。数据网络名称用于标识UE接入的数据网络，切片信息用于标识请求建立的PDU会话对应的切片。

S704，SMF网元从UDM网元获取UE的签约信息。

UE的签约信息包括：UE的用户面安全策略。用户面安全策略包括：用户面加密保护策略和用户面完整性保护策略。用户面加密保护策略包括：强制开启(required)、推荐开启(prefered)以及不开启(not needed)。同理，用户面完整性保护策略也包括：强制开启、推荐开启以及不开启。

例如，用户面加密保护策略为强制开启，用户面完整性保护策略为强制开启，则RAN设备开启用户面加密保护和用户面完整性保护，并采用用户面加密密钥、用户面完整性保护密钥以及用户面安全算法，对RAN设备与UE之间的用户面数据进行加密保护和完整性保护，以及进行解密和验证。

又例如，用户面加密保护策略为强制开启，用户面完整性保护策略为不开启，则RAN设备开启用户面加密保护，不开启用户面完整性保护，并采用用户面加密密钥以及用户面安全算法，对RAN设备与UE之间的用户面数据进行加密保护或解密。再例如，在用户面加密保护策略和/或用户面完整性保护策略是推荐开启的情况下，RAN设备可以根据自身的情况(如负载大小)，选择开启或不开启用户面加密保护和/或用户面完整性保护。

或者，可选地，UE的用户面安全策略也可以预先配置在SMF网元本地的配置信息中。SMF网元可以从本地的配置信息中获取该UE的用户面安全策略。

S705，SMF网元向AMF网元发送PDU会话创建会话管理上下文响应(Nsmf_PDUSession_CreateSMContext response)消息。相应的，AMF网元接收来自SMF网元的PDU会话创建会话管理上下文响应消息。

PDU会话创建会话管理上下文响应消息可以用于指示PDU会话创建结果，如PDU会话创建成功还是失败。若PDU会话创建成功，则PDU会话创建会话管理上下文响应消息还可以包括会话管理(session management，SM)上下文标识，该SM上下文标识用于标记PDU会话的上下文。可选地，PDU会话创建会话管理上下文响应消息还可以包括：PDU会话标识、以及切片标识等。PDU会话标识可以用于标识该PDU会话，切片标识可以用于标识该PDU会话对应的切片。

S706，SMF网元执行PDU会话的认证/授权的流程。

其中，S706为可选步骤。如果UE的签约信息指示要对PDU会话进行认证/授权，则SMF网元执行S706，否则，SMF网元不执行S706。如果PDU会话的认证/授权通过，则SMF网元继续执行PDU会话建立的后续流程，如执行S707，否则，SMF网元拒绝执行PDU会话建立的后续流程。

S707，SMF网元选择UPF网元。

SMF网元可以通过与NRF网元交互，选择适合当前会话的UPF网元。例如，该UPF网元可以满足如下条件：能够服务PDU会话对应的数据网络、能够服务PDU会话对应的切片、或负载较低等等。

S708，SMF网元向UPF网元发送N4会话建立请求(N4 session establishmentrequest)消息。相应的，UPF网元接收来自SMF网元的N4会话建立请求消息。

N4会话建立请求消息可以用于UPF网元配置N4会话。例如，N4会话建立请求消息可以包括：N4会话标识、包检测规则、以及QoS执行规则等。N4会话标识可以用于标识该N4会话。包检测规则可以用于UPF网元对数据包进行过滤，QoS执行规则可以用于UPF网元对数据包进行QoS控制。

S709，UPF网元向SMF网元发送N4会话建立响应(N4 session establishmentresponse)消息。相应的，SMF网元接收来自UPF网元的N4会话建立响应消息。

N4会话建立响应消息用于响应上述N4会话建立请求消息。N4会话建立响应消息可以包括N4会话的CN隧道信息，用以RAN设备向UPF网元发送数据包。

S710，SMF网元向AMF网元发送通信N1N2消息传输请求(Namf_communition_N1N2messageTransfer request)消息。相应的，AMF网元接收来自SMF网元的通信N1N2消息传输请求消息。

通信N1N2消息传输请求消息可以包括：PDU会话标识，N2 SM信息和N1 SM容器。其中，N2 SM信息可以包含PDU会话标识，用于RAN设备配置用户面安全的用户面安全策略，用于向UPF发送数据包的CN隧道信息等。N1 SM容器可以包含选择的PDU会话类型，数据网络名称等。

S711，AMF网元向RAN设备发送N2 PDU会话请求(N2 PDU session request)消息。相应的，RAN设备接收来自AMF网元的N2 PDU会话请求消息。

N2 PDU会话请求消息可以包含N2 SM信息和非接入层(non-access stratum，NAS)消息。NAS消息可以包含PDU会话标识和N1 SM容器。

S712，RAN设备与UE之间建立用户面安全连接。

其中，用户面安安全连接的建立可通过激活用户面安全保护实现。用户面安全保护可以包括用户面加密保护和/或用户面完整性保护。

具体的，RAN设备可以根据接收到的用户面安全策略，激活用户面安全保护，并通过无线资源控制(radio resource control，RRC)重配置流程向UE指示是否开启用户面安全保护。例如，RAN设备可以向UE发送RRC连接重配置(RRC connection reconfiguration)消息，该RCC连接重配置消息可以包括：用户面激活指示信息。用户面激活指示信息可以是RAN设备根据上述UE的用户面安全策略确定的信息。用户面激活指示信息可以包括：用户面加密保护激活指示信息和/或用户面完整性保护激活指示信息。用户面加密保护激活指示信息用于指示是否开启用户面加密保护，用户面完整性保护激活指示信息用于指示是否开启用户面完整性保护。其中，若用户面激活指示信息包括的用户面完整性保护激活指示信息为开启(enable)，且不包括用户面加密保护激活指示信息，则UE可确定开启用户面加密保护，开启用户面完整性保护。若用户面激活指示信息包括的用户面加密保护激活指示信息为禁止(disable)，且不包括用户面完整性保护激活指示信息，则UE可确定不开启用户面加密保护，不开启用户面完整性保护。若用户面激活指示信息包括的用户面完整性保护激活指示信息为开启，用户面加密保护激活指示信息为禁止，则UE可确定不开启用户面加密保护，开启用户面完整性保护。若用户面激活指示信息不包括用户面完整性保护激活指示信息，也不包括用户面加密保护激活指示信息，则UE可确定不开启用户面完整性保护，也不开启用户面加密保护。

相应的，UE可以根据接收到的RCC连接重配置消息激活用户面安全保护，并向RAN设备发送该RCC连接重配置消息的确认消息，如RRC连接重配置确认(RRC connectionreconfiguration ack)消息。至此，UE与RAN设备的用户面安全保护都被激活，UE与RAN设备之间的用户面安全连接建立完成。

S713，RAN设备向AMF网元发送N2 PDU会话响应(N2 PDU session response)消息。相应的，AMF网元接收来自RAN设备的N2 PDU会话响应消息。

N2 PDU会话响应消息可用于响应上述N2 PDU会话请求消息。N2 PDU会话响应消息可以包括AN的隧道信息，用于UPF网元向RAN设备发送数据包。

S714，AMF网元向SMF网元发送会话管理上下文更新请求(Nsmf_PDUSession_Update SMcontext request)消息。相应的，SMF网元接收来自AMF网元的会话管理上下文更新请求消息。

会话管理上下文更新请求消息可以用于更新建立的PDU会话，如包括AN的隧道信息。AMF网元在接收到N2 PDU会话响应消息后，可将其中AN的隧道信息包含到SMF网元支持的服务化接口消息中，如会话管理上下文更新请求消息，然后向SMF网元发送该会话管理上下文更新请求消息，以便SMF网元配置UPF网元。

S715，SMF网元向UPF网元发送N4会话修改请求(N4 session update request)消息。相应的，UPF网元接收来自SMF网元的N4会话修改请求消息。

N4会话修改请求消息可以用于修改N4会话，如包括AN的隧道信息。SMF网元接收到上述会话管理上下文更新请求消息后，可将其中AN的隧道信息包含到UPF网元支持的服务化接口消息中，如N4会话修改请求消息，然后向UPF网元发送该N4会话修改请求消息，以便修改N4会话。如此，UPF网元可以根据AN的隧道信息向RAN设备发送数据包。

S716，UPF网元向SMF网元发送N4会话修改响应(N4 session update response)消息。相应的，SMF网元接收来自UPF网元的N4会话修改响应消息。

S717，SMF网元向AMF网元发送会话管理上下文更新响应(Nsmf_PDUSession_Update SMcontext response)消息。相应的，AMF网元接收来自SMF网元的会话管理上下文更新响应消息。

会话管理上下文更新响应消息可以用于指示PDU会话更新结果，例如PDU会话更新成功。至此，RAN设备和UPF网元各自都获得了对方的隧道信息，PDU会话建立完成。

根据上述流程可知，在逐条保护的场景下，UE可根据用户面安全保护，向RAN设备发送安全保护的用户面数据。RAN设备可根据用户面安全保护，对该安全保护的用户面数据进行解安全保护，得到明文的用户面数据。RAN设备可根据IPSec，对该明文的用户面数据进行安全保护，从而向UPF网元发送安全保护的用户面数据。此时，虽然UE与RAN设备，以及RAN设备与UPF网元之间传输的都是安全保护的用户面数据，但是在传输过程中，RAN设备会通过解安全保护的方式，得到明文的用户面数据，导致用户面数据暴露的风险增加。例如，当RAN设备部署在物理不安全的区域时，由于攻击者的恶意行为可能导致用户面数据的暴露。

综上，针对上述技术问题，本申请实施例提出了如下技术方案，用以降低用户面数据暴露的风险。下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如无线保真(wirelessfidelity，WiFi)系统，车到任意物体(vehicle to everything，V2X)通信系统、设备间(device-todevie，D2D)通信系统、车联网通信系统、第4代(4th generation，4G)移动通信系统，如长期演进(long term evolution，LTE)系统、全球互联微波接入(worldwideinteroperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)移动通信系统，如新空口(new radio，NR)系统，以及未来的通信系统，如第六代(6thgeneration，6G)移动通信系统等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例中，“信息(information)”，“信号(signal)”，“消息(message)”，“信道(channel)”、“信令(singaling)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是匹配的。“的(of)”，“相应的(corresponding，relevant)”和“对应的(corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是匹配的。此外，本申请提到的“/”可以用于表示“或”的关系。

本申请实施例中，有时候下标如W₁可能会笔误为非下标的形式如W1，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图8中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性地，图8为本申请实施例提供的通信方法所适用的一种通信系统的架构示意图。

如图8所示，该通信系统包括：终端、RAN设备、UPF网元、AMF网元、SMF网元、以及DN。其中，UPF网元可支持与终端建立IPsec连接，可称为安全终结点UPF网元，或者也可以替换为其他描述方式，例如安全UPF网元，对此不做具体限定。UPF网元可支持与终端建立IPsec连接也可以理解为UPF网元和终端之间基于IPsec协议建立安全连接，该安全连接可以为UPF网元和终端之间建立的IPsec SA。

例如，图8中的(a)所示，在该通信系统中，安全终结点UPF网元可以为PDU会话的锚点UPF网元(通过N6接口接入DN的UPF网元，又可以称为PDU会话锚点(PDU session anchor，PSA))，也即锚点UPF网元与终端之间建立IPsec连接。这种情况下，终端与安全终结点UPF网元之间的协议栈可以如图9中的(a)所示，终端与安全终结点UPF网元都支持PDU层(layer)、通用路由封装(generic routing encapsulation，GRE)层、内层(inner)IP层、以及IPsec层，以便双方建立PDU会话，并通过IPsec传输用户面数据。RAN设备支持面向终端的5G接入(access，AN)协议层(5G-AN protocal layer)，以及支持面向中间UPF网元(即位于终端与安全终结点UPF网元之间的UPF网元)的N3堆栈(stack)。中间UPF网元支持面向RAN设备的N3堆栈，以及支持面向安全终结点UPF网元的N9堆栈。

又例如，图8中的(b)所示，在该通信系统中，安全终结点UPF网元可以为PDU会话的中间UPF网元，也即中间UPF网元与终端之间建立IPsec连接。这种情况下，终端与安全终结点UPF网元之间的协议栈可以如图9中的(b)所示，终端与锚点UPF网元支持PDU层协议，以便双方建立PDU会话。终端与安全终结点UPF网元支持GRE、内层IP层、以及IPsec层，以便双方通过IPsec传输用户面数据。RAN设备可支持面向终端的5G接入协议层，以及支持面向安全终结点UPF网元的N3堆栈。安全终结点UPF网元还支持面向锚点UPF网元的N9堆栈。N3堆栈和N9堆栈具体包含的协议层参见3GPP TS23.501，不再赘述。

其中，终端与安全结点UPF网元之间建立IPsec连接后，终端或安全结点UPF网元可以作为IPsec连接的端点设备。此时，当端点设备之间传输经IPsec保护的用户面数据时，位于端点设备之间的中间传输设备(如RAN设备)可以直接透传该用户面数据，从而降低用户面数据暴露的风险。

此外，上述建立IPsec连接是以用于建立IPsec连接的功能(记为用户面安全功能)部署在UPF网元为例，不作为限定。例如，用户面安全功能也可以与UPF网元分离，部署在其他网元或独立部署。这种情况下，UPF网元，如中间UPF网元或者锚点UPF网元，可以向用户面安全功能转发来自DN的下行用户面数据。相应的，用户面安全功能可以根据IPsec，对该下行用户面数据进行安全保护，从而向UPF网元发送安全保护的下行用户面数据，以便UPF网元向终端转发该安全保护的下行用户面数据。或者，UPF网元可以向用户面安全功能转发来自终端的安全保护的上行用户面数据。相应的，用户面安全功能可以根据IPsec，对该安全保护的上行用户面数据进行解安全保护，从而向UPF网元发送未经安全保护的上行用户面数据，以便UPF网元向DN转发该未经安全保护的上行用户面数据。在这种情况下，由于UPF网元与终端之间交互的用户面数据仍是被IPsec保护的用户面数据，因此仍可以认为UPF网元是用于建立IPsec连接的端点设备。

可以理解，图8仅为便于理解而示例的简化示意图，该通信系统中还可以包括其他网络设备，和/或，其他终端设备，图8中未予以画出。

方便理解，下面将结合图10-图14对本申请实施例提供的通信方法进行具体阐述。

本申请实施例提供的通信方法可以适用于上述通信系统，并应用到上述各种场景，在不同切换场景下，可以该通信方法的流程不同，下面具体介绍。

场景1：

示例性的，图10为本申请实施例提供的通信方法的流程示意图一。在场景1下，SMF网元可以根据UE的RAT类型，选择支持建立IPsec连接的UPF网元，如UPF网元#1，从而触发UPF网元#1与UE建立IPsec连接，以降低用户面数据暴露的风险。

具体的，如图10所示，该通信方法的流程如下：

S1001，UE通过RAN设备向AMF网元发送NAS消息。相应的，AMF网元通过RAN设备接收来自UE的NAS消息。

其中，NAS消息可以包括PDU会话建立请求消息。该PDU会话建立请求消息的具体实现原理，可以参考上述S701中的相关介绍，不再赘述。

可选地，NAS消息可以包括UE的安全能力信息，和/或，PDU会话建立请求消息可以包括UE的安全能力信息。UE的安全能力信息可以用于指示UE支持与CN建立IPsec连接。UE的安全能力信息可以为PDU会话建立请求消息中的已有信元实现，或者定义新的信元实现，如定义预留字段为该UE的安全能力信息。当然，如果PDU会话建立请求消息不包括UE的安全能力信息，则默认UE支持与CN建立IPsec连接，或者默认UE不支持与CN建立IPsec连接，本申请对此不做具体限定。

可以理解，安全能力信息仅为一种示例性的命名，其可以替换为任何可能的命名，如用户面安全能力信息、IPsec能力信息等等，本申请对此不做具体限定。

S1002，AMF网元选择SMF网元。

其中，S1002的具体实现原理可以参考上述S702中的相关介绍，不再赘述。

S1003，AMF网元向SMF网元发送PDU会话创建会话管理上下文请求消息。相应的，SMF网元接收来自AMF网元的PDU会话创建会话管理上下文请求消息。消息中包含RAT type。

若安全能力信息包含在NAS消息中，则AMF根据NAS消息中的安全能力信息确定在PDU会话创建会话管理上下文请求消息中包括安全能力信息。可选地，SMF网元可以从PDU会话创建会话管理上下文请求消息或PDU会话建立请求消息中获得UE的安全能力信息。

此外，PDU会话创建会话管理上下文请求消息的具体实现原理，也可以参考上述S703中的相关介绍，不再赘述。

S1004，SMF网元从UDM网元获取UE的签约信息。

S1005，SMF网元向AMF网元发送PDU会话创建会话管理上下文响应消息。相应的，AMF网元接收来自SMF网元的PDU会话创建会话管理上下文请求消息。

S1006，SMF网元执行PDU会话的认证/授权的流程。

其中，S1004-S1006的具体实现原理可以参考上述S704-S706中的相关介绍，不再赘述。

S1007，SMF网元选择UPF网元#1。

其中，UPF网元#1为支持与UE建立IPsec连接的UPF网元，也即安全终结点UPF网元。

SMF网元可以根据来自AMF网元的UE的RAT类型(S1003)，确定用户面数据的保护机制，如使用UE与UPF网元之间建立IPsec连接的保护机制，还是UE与RAN设备之间建立的用户面安全连接的保护机制。例如，如果UE的RAT类型不为NR SAT，则SMF网元确定使用UE与RAN设备之间建立用户面安全连接的保护机制，执行如图7所示的已有流程，不再赘述。或者，如果UE的RAT类型为NR SAT，则SMF网元确定使用UE与UPF网元之间建立IPsec连接的保护机制。NR SAT具体可以包括：NR低地球轨道(low earth orbit，LEO)、NR中地球轨道(mediumEarth orbit，MEO)、NR地球静止轨道(geostationary earth orbit，GEO)、或者NR其他卫星接入类型(other SAT)，如高椭圆轨道等。此外，SMF网元也可以根据其他任何可能的RAT类型，确定使用UE与UPF网元之间建立IPsec连接的保护机制，或者默认使用UE与UPF网元之间建立IPsec连接的保护机制。

以及，SMF网元还可根据UE的签约信息中UE的用户面安全策略，如用户面加密保护策略和用户面完整性保护策略，确定UE与UPF网元之间是否有必要建立IPsec连接。例如，如果用户面加密保护策略和用户面完整性保护策略均为不开启，则SMF网元确定UE与UPF网元之间没有必要建立IPsec连接，则PDU会话建立流程继续执行，但流程不再包含指示UE和UPF网元之间建立IPsec连接的流程。或者，如果用户面加密保护策略和用户面完整性保护策略中有至少一个策略为开启，如强制开启或者推荐开启，则SMF网元确定UE与UPF网元之间有必要建立IPsec连接。可选地，SMF网元也可以在用户面加密保护策略和用户面完整性保护策略均为开启的情况下，才确定UE与UPF网元之间有必要建立IPsec连接。

在确定UE与UPF网元之间建立IPsec连接的保护机制，以及确定UE与UPF网元之间有必要建立IPsec连接(可选)的情况下，SMF网元可以选择支持与UE建立IPsec连接的UPF网元，如UPF网元#1，并确定IPsec连接对应的用户面安全规则(参见S1008)。

第一种可能的实现中，SMF网元可以根据本地预先保存的各UPF网元的信息，确定UPF网元#1，无需网元之间交互，避免信令交互的开销。

第二种可能的实现中，SMF网元可以向NRF网元(图10中未示出)发送网络功能(network function，NF)发现请求(Nnrf_NFDiscovery_request)消息。NF发现请求消息中包括：NF类型(NF type)，如NF类型为UPF网元、以及UE的安全能力信息，用以指示被发现的UPF网元需要支持与UE建立IPsec连接。NF发现请求消息中还可以包含其他用于发现UPF网元的信息，如数据网络名称(data network name，DNN)、单网络切片选择辅助信息(singlenetwork slice selection assistance information，S-NSSAI)、或者SMF区域标识等等。NRF网元可根据NF发现请求消息，确定支持与UE建立IPsec连接的至少一个候选UPF网元。如此，NRF网元可以向SMF网元发送NF发现响应(Nnrf_NFDiscovery_response)消息。该NF发现响应消息中可以包括：每个候选UPF网元的信息，如包括每个候选UPF网元的地址、负载、以及区域位置等等。其中，候选UPF网元的地址的可以是第四版互联网协议(internetprotocol version 4，IPv4)、第六版互联网协议(internet protocol version 6，IPv6)前缀、IPv6地址、或者全地址域名(fully qualified domain name，FQDN)等等。这样，SMF网元可以根据这些候选UPF网元的信息，从这些候选UPF网元中选择适合当前会话的UPF网元，即UPF网元#1，该UPF网元#1可以是负载比较低的UPF网元，或者距离比较近的UPF网元。

可以看出，在第二种可能的实现中，NRF网元提供的都是支持与UE建立IPsec连接的候选UPF网元，使得SMF网元无需再判断候选UPF网元是否支持与UE建立IPsec连接，以节约SMF网元的资源，提高SMF网元运行效率。

第三种可能的实现中，SMF网元可以向NRF网元发送NF发现请求消息。NF发现请求消息可以包括与上述第二种可能的实现中类似的信息，但不包括UE的安全能力信息，例如SMF网元未获得UE的安全能力信息，或者NF发现请求消息默认不携带UE的安全能力信息。NRF网元可根据NF发现请求消息，确定至少一个候选UPF网元。其中，每个候选UPF网元可可以是支持与UE建立IPsec连接的UPF网元，或者不支持与UE建立IPsec连接的UPF网元。该NF发现响应消息可以包括上述第二种可能的实现中所述的信息，以及还包括每个候选UPF网元是否支持与UE建立IPsec连接。这样，SMF网元可以根据候选UPF网元的信息，从候选UPF网元中选择适合当前会话且支持IPsec的UPF网元#1。

可以看出，在第三种可能的实现中，NRF网元只需要提供候选UPF网元的相关信息，而无需确定候选UPF网元是否支持与UE建立IPsec连接，如此可以节约NRF网元的资源，提高NRF网元运行效率。

S1008，SMF网元向UPF网元#1发送N4会话建立请求消息#1。相应的，UPF网元#1接收来自SMF网元的N4会话建立请求消息#1。

N4会话建立请求消息#1中可以包括：N4会话标识、包检测规则、以及用户面安全规则。

其中，N4会话标识可以用于标识该N4会话。包检测规则可以用于指示UPF网元#1对符合包检测规则的数据包执行相应的处理，例如QoS控制、旁路等等，包检测规则包含包检测信息，规则优先级，以及包处理规则信息，其中包处理规则信息可以包含规则的标识，如QoS执行规则标识、用户面安全规则标识。用户面安全规则可以由SMF网元生成，用于建立UE与UPF网元#1之间的IPsec连接。

其中，用户面安全规则可以包括标识信息。可选地，用户面安全规则还可以包括如下至少一项：安全协议、加密指示信息、或完整性保护指示信息、或封装模式。这些信元可以使用同一个信元指示，或者使用不同的信元指示，对此不做具体限定。

标识信息可用于标识用户面安全规则。标识信息可以包括如下至少一项：用户面安全规则标识、或N4会话标识。N4会话标识可以用于标识该用户面安全规则为N4会话的用户面安全规则，以便UPF网元#1能够配置该用户面安全规则。当然，规则标识中也可以不包括N4会话标识。这种情况下，可以通过用户面安全规则标识与N4会话建立请求消息#1中N4会话标识的信元层级关系，隐式指示该用户面安全规则为N4会话的用户面安全规则，以节约通信开销，提高通信效率。

安全协议可用于指示IPsec连接使用的安全协议。安全协议可以包括如下至少一项：ESP协议、或AH协议，用以指示IPsec连接(如IPsec子SA)，可使用ESP协议和/或AH协议。可选地，SMF网元可以根据UE的签约信息(参见S1004)中UE的用户面安全策略，确定安全协议。例如，如果UE的用户面加密保护策略为开启，UE的用户面完整性保护策略为不开启，即只开启加密保护，则SMF网元可设置安全协议为ESP协议。或者，如果UE的用户面加密保护策略为不开启，UE的用户面完整性保护策略为开启，即只开启完整性保护，则SMF网元可设置安全协议为AH协议。或者，如果UE的用户面加密保护策略和用户面完整性保护策略均为开启，即加密和完整性保护都开启，则SMF网元可以设置安全协议为ESP协议，或为ESP协议和AH协议的组合，具体的实现，本实施例不限制。此外，ESP协议和AH协议的具体实现原理，可以参考上述“1、IPSec”中的相关介绍，不再赘述。

加密指示信息可以用于IPsec连接是否进行加密。完整性保护指示信息可以用于指示IPsec连接是否进行完整性保护。可以看出，安全协议、加密指示信息以及完整性保护指示信息可具有相同的指示功能。例如，在加密指示信息指示IPsec连接进行加密，完整性保护指示信息指示IPsec连接进行完整性保护的情况下，这两个指示信息功能相当于安全协议指示为ESP协议。又例如，在加密指示信息指示IPsec连接不进行加密，完整性保护指示信息指示IPsec连接进行完整性保护的情况下，这两个指示信息功能相当于安全协议指示为AH协议。因此，安全协议、加密指示信息以及完整性保护指示信息可以选择性地携带在用户面安全规则中，或者也可以都携带用户面安全规则中。

封装模式用于指示IPsec连接中数据包的封装模式，例如，封装模式可以包括如下任一项：隧道模式、或传输模式。如此，实现针对不同的传输场景，配置不同的封装模式，从而保障各种传输场景下的通信安全。例如，针对点到点的传输场景，可以配置传输模式。或者，针对跨网络或者跨域通信的传输场景，可以配置隧道模式。此外，隧道模式和传输模式的具体实现原理，可以参考上述1、IPSec协议中的相关介绍，不再赘述。

可选地，用户面安全规则中还可以包括如下至少一项：加密算法指示信息、完整性保护算法指示信息、或哈希(hash)算法指示信息。加密算法指示信息可用于指示IPsec连接(如IPsec子SA)对应的加密算法，如(advanced encryption standard，AES)算法。完整性保护算法指示信息可用于指示IPsec连接(如IPsec子SA)对应的完整性保护算法，如SHA-256、SHA-512算法。哈希算法可用于指示IPsec连接(如IPsec子SA)对应的哈希算法，如安全散列算法(secure hash algorithm，SHA)。

可以理解，用户面安全规则也可以不包括上述信息，如安全协议、加密指示信息以及完整性保护指示信息、封装模式、加密算法指示信息、完整性保护算法指示信息、或哈希算法指示信息中的一项或多项，由UE与UPF网元#1在建立IPsec连接的过程中自行协商，以节约通信开销，提高通信效率。

还可以理解，用户面安全规则仅为一种示例性的命名，其也可以替换为任何可能的命名，例如用户面安全连接规则、用户面IPsec规则等等，本申请对此不做具体限定。

S1009，UPF网元#1向SMF网元发送N4会话建立响应消息#1。相应的，SMF网元接收来自UPF网元#1的N4会话建立响应消息#1。

UPF网元#1根据N4会话建立请求消息#1完成配置，如完成用户面安全规则的配置后，可以向SMF网元发送N4会话建立响应消息#1，用以响应上述N4会话建立请求消息#1。N4会话建立响应消息#1中可以包括：N4会话的CN隧道信息，用于RAN设备向UPF网元#1发送用户面数据包。

S1010，SMF网元向UPF网元#2发送N4会话建立请求消息#2。相应的，UPF网元#2接收来自SMF网元的N4会话建立请求消息#2。

S1011，UPF网元#2向SMF网元发送N4会话建立响应消息#2。相应的，SMF网元接收来自UPF网元#2的N4会话建立响应消息#2。

其中，S1010-S1011的具体实现原理可以参考上述S708-S709中的相关介绍，不再赘述。

需要指出的是，S1010-S1011为可选步骤，适用于PDU会话由多个UPF网元服务场景。这种情况下，若UPF网元#1为中间UPF网元，UPF网元#2为锚点UPF网元，则先执行S1008-S1009，再执行S1010-S1011。若UPF网元#1为锚点UPF网元，UPF网元#2为中间UPF网元，则先执行S1010-S1011，再执行S1008-S1009。

S1012，SMF网元向AMF网元发送通信N1N2消息传输请求消息。相应的，AMF网元接收来自SMF网元的通信N1N2消息传输请求消息。

通信N1N2消息传输请求消息可以包括N2 SM信息和N1 SM容器。

N2 SM信息中携带有N4会话的CN隧道信息，以及UE的用户面安全策略。其中，N4会话的CN隧道信息。UE的用户面安全策略可以为用户面加密保护策略和用户面完整性保护策略均不开启。例如，SMF网元可以从UDM网元或本地获取用户面加密保护策略和用户面完整性保护策略。此时，如果用户面加密保护策略和用户面完整性保护策略中的至少一个为需要开启或推荐开启，则在确定使用UE与UPF网元之间建立IPsec连接的保护机制时，SMF网元确定发送给RAN设备的用户面加密保护策略和用户面完整性保护策略均不开启。也就是说，在UE和UPF网元#1之间建立IPsec连接的情况下，可以指示RAN设备不开启用户面的加密和完整性保护，以节约资源，提高设备使用寿命。

N1 SM容器携带有安全端点信息。例如，安全端点信息可以携带在N1 SM容器的协议配置选项(protocol configuration option，PCO)信元中。安全端点信息可以用于指示与UE建立IPsec连接的端点设备为UPF网元#1，或者说指示UE需要与UPF网元#1建立IPsec连接。安全端点信息可以包括UPF网元#1的地址。

可选地，安全端点信息还可以包括如下至少一项：安全协议、加密指示信息以及完整性保护指示信息、封装模式、加密算法指示信息、完整性保护算法指示信息、或哈希算法指示信息中的一项或多项，具体实现原理可以参考上述S1008中的相关介绍，不再赘述。此外，安全端点信息中的安全协议也可以替换为S1004中UE的用户面安全策略，或者该用户面安全策略的指示信息，以便UE根据用户面安全策略或者指示信息，自行确定安全协议。例如，如果UE的用户面加密保护策略为开启，UE的用户面完整性保护策略为不开启，即只开启加密保护，则UE可确定安全协议为ESP协议。或者，如果UE的用户面加密保护策略为不开启，UE的用户面完整性保护策略为开启，即只开启完整性保护，则UE可确定安全协议为AH协议。或者，如果UE的用户面加密保护策略和用户面完整性保护策略均为开启，即加密和完整性保护都开启，则UE可确定安全协议为ESP协议，或为ESP协议和AH协议的组合，具体的实现，本实施例不限制。

可选地，如果要认证UPF网元#1，以确保通讯安全，则安全端点信息还可以包括用于认证UPF网元#1的凭证，如验证UPF网元#1的证书的根证书或公钥信息。

可以理解，安全端点信息也可以不包括上述信息，如安全协议、加密指示信息以及完整性保护指示信息、封装模式、加密算法指示信息、完整性保护算法指示信息、或哈希算法指示信息中的一项或多项，由UE与UPF网元#1在建立IPsec连接的过程中自行协商，以节约通信开销，提高通信效率。

还可以理解，安全端点信息仅为一种示例性的命名，其可以替换为任何可能的命名，如用户面安全端点信息、用户面IPsec端点信息等等，本申请对此不做具体限定。此外，安全端点信息可以为可选信息，例如UE默认与UPF网元#1建立IPsec连接，这种情况下，N1SM容器可以不包含安全端点信息。

S1013，AMF网元向RAN设备发送N2 PDU会话建立请求消息。相应的，RAN设备接收来自AMF网元的N2 PDU会话建立请求消息。

N2 PDU会话建立请求消息中可以包括：N2 SM信息和非接入层(non-accessstratum，NAS)消息，该NAS消息中可以包括：上述N1 SM容器。也就是说，AMF网元接收到服务化接口消息，如通信N1N2消息传输请求消息后，可从其中获得该N2 SM信息和N1 SM容器。AMF网元可以将N1 SM容器封装到NAS消息中，再将NAS消息和N2 SM信息封装到RAN设备支持的消息，如N2 PDU会话建立请求消息中，从而向RAN设备发送该N2 PDU会话建立请求消息。

S1014，RAN设备与UE之间建立空口资源。

其中，RAN设备可以向UE发送RCC连接重配置消息。RCC连接重配置消息可用于配置RAN设备与终端之间的空口资源，用以RAN设备与UE使用这些空口资源进行通信。

可以理解，由于UE可以从NAS消息中获得安全端点信息，UPF网元#1可以从N4会话建立请求消息#1获得用户面安全规则，使得双方便可以依据这些信息建立彼此之间的IPsec连接。例如，UE作为发起者，UPF网元#1作为响应者，或者UPF网元#1作为发起者，UE作为响应者，双方建立新的PDU会话对应的IPsec子SA，如先建立IKE SA，并据此建立IPsec子SA，具体实现原理可以参考上述“2、IPSec的建立流程”中的相关介绍，不再赘述。

可选地，若需要认证UPF网元#1，则UE可以根据安全端点信息中的凭证，验证UPF网元#1。如果认证UPF网元#1通过，则建立IPsec连接，否则，流程结束。

S1015，RAN设备向AMF网元发送N2 PDU会话建立响应消息。相应的，AMF网元接收来自RAN设备的N2 PDU会话建立响应消息。

S1016，AMF网元向SMF网元发送会话管理上下文更新请求消息。相应的，SMF网元接收来自AMF网元的会话管理上下文更新请求消息。

S1017，SMF网元向UPF网元发送N4会话修改请求消息。相应的，UPF网元接收来自SMF网元的N4会话修改请求消息。

S1018，UPF网元向SMF网元发送N4会话修改响应消息。相应的，SMF网元接收来自UPF网元的N4会话修改响应消息。

S1019，SMF网元向AMF网元发送会话管理上下文更新响应消息。相应的，AMF网元接收来自SMF网元的会话管理上下文更新响应消息。

其中，S1015-S1019的具体实现原理可以参考上述S713-S717中的相关介绍，不再赘述。

S1020，SMF网元向UDM网元注册IPsec连接端点信息。

其中，该IPsec连接端点信息用于指示IPsec连接的UPF网元#1，如包括UPF网元#1的地址，用以后续复用该UPF网元#1来继续建立IPsec连接。如此，UDM网元可以将该IPsec连接端点信息保存到UE的签约信息中。可以理解，S1020为可选步骤，例如，SMF网元也可以不向UDM网元注册IPsec连接端点信息，或者SMF网元在本地保存IPsec连接端点信息。IPsec连接端点信息仅为一种示例性的命名，其可以替换为任何可能命名，如IPsec端点信息、IPsec连接信息等等，对此不做具体限定。

此外，S1012-S1019与S1020之间的执行顺序不限定。

场景2：

示例性的，图11为本申请实施例提供的通信方法的流程示意图二。在场景2下，SMF网元可以根据UE的RAT类型，复用已建立的IPsec连接的UPF网元，如UPF网元#1，与UE建立IPsec连接，以降低用户面数据暴露的风险，降低RAN设备的开销，提高使用寿命。

具体的，如图11所示，该通信方法的流程如下：

S1101，UE通过RAN设备向AMF网元发送PDU会话建立请求消息。相应的，AMF网元通过RAN设备接收来自UE的PDU会话建立请求消息。

S1102，AMF网元选择SMF网元。

S1103，AMF网元向SMF网元发送PDU会话创建会话管理上下文请求消息。相应的，SMF网元接收来自AMF网元的PDU会话创建会话管理上下文请求消息。

其中，S1101的具体实现原理可以参考上述S1001中的相关介绍，S1102-S1103的具体实现原理可以参考上述S702-S703中的相关介绍，不再赘述。

S1104，SMF网元从UDM网元获取UE的签约信息。

UE的签约信息可以包括UE的用户面安全策略，具体实现原理可以参考上述S704中的相关介绍，不再赘述。可选地，UE的签约信息还可以包括IPsec连接端点信息。该IPsec连接端点信息可以由SMF网元在先前建立IPsec连接时注册到UDM网元中。该IPsec连接端点信息可以用于指示先前与UE建立IPsec连接的端点设备为UPF网元#1，该UPF网元#1也可以被称为旧的安全端点。

S1105，SMF网元向AMF网元发送PDU会话创建会话管理上下文响应消息。相应的，AMF网元接收来自SMF网元的PDU会话创建会话管理上下文请求消息。

S1106，SMF网元执行PDU会话的认证/授权的流程。

其中，S1105-S1106的具体实现原理可以参考上述S705-S706中的相关介绍，不再赘述。

S1107，SMF网元确定复用UPF网元#1或者选择UPF网元#3。

其中，UPF网元#3为支持与UE建立IPsec连接的UPF网元。

具体的，SMF网元确定UE与UPF网元之间可以且有必要建立IPsec连接，具体实现原理可以参考上述S1007中的相关介绍，不再赘述。在此基础上，SMF网元可以判断本地是否预先保存有IPsec连接端点信息。如果本地保存有IPsec连接端点信息，则SMF网元可以根据IPsec连接端点信息，确定是否重用旧的安全端点，即是否复用UPF网元#1。其中，SMF网元本地保存有IPsec连接端点信息，说明SMF网元与先前建立IPsec连接的SMF网元可能是同一个网元。如果本地没有保存IPsec连接端点信息，则SMF网元判断UE的签约信息中是否有IPsec连接端点信息。SMF网元本地没有保存IPsec连接端点信息，说明SMF网元与先前建立IPsec连接的SMF网元可能是不同的网元。如果UE的签约信息中有IPsec连接端点信息，则SMF网元根据IPsec连接端点信息，确定是否重用旧的安全端点，即是否复用UPF网元#1。如果UE的签约信息中没有IPsec连接端点信息，则SMF网元还可以与NRF网元交互，以选择新的安全端点，如UPF网元#3，具体实现原理可以参考上述S1007中的相关介绍，不再赘述。

其中，SMF网元是否复用UPF网元#1可以取决于UPF网元#1的状态。如果UPF网元#1的状态适合当前用于与UE建立的IPsec连接，如UPF网元#1的负载比较低或者距离比较近，则SMF网元复用UPF网元#1，执行S1108。如果UPF网元#1的状态不适合当前用于与UE建立的IPsec连接，如UPF网元#1的负载比较高或者距离比较远，则SMF网元可以与NRF网元交互，以选择新的安全端点，具体实现原理可以参考上述S1007中的相关介绍，不再赘述。或者，SMF网元也可以根据本地配置，默认复用或者不复用UPF网元#1。

S1108，SMF网元向UPF网元#1/UPF网元#3发送N4会话建立请求消息#1。相应的，UPF网元#1/UPF网元#3接收来自SMF网元的N4会话建立请求消息#1。

其中，N4会话建立请求消息#1中可以包括N4会话标识、包检测规则、以及用户面安全规则，具体实现可以参考上述S1008中的相关介绍，不再赘述。需要指出的是，如果重用旧的安全端点，则S1108可用于更新UPF网元#1本地的用户面安全规则。例如，用户面安全规则中包含新的PDU会话对应的UE的地址，用于指示为新的PDU会话创建新的IPsec子SA，或者更新已有的IPsec子SA，如将该UE的地址加入到已有的IPsec子SA的地址段中。如果选择新的安全端点，则S1108可用于为UPF网元#3配置用户面安全规则。

S1109，UPF网元#1/UPF网元#3向SMF网元发送N4会话建立响应消息#1。相应的，SMF网元接收来自UPF网元#1/UPF网元#3的N4会话建立响应消息#1。

S1110，SMF网元向UPF网元#2发送N4会话建立请求消息#2。相应的，UPF网元#2接收来自SMF网元的N4会话建立请求消息#2。

S1111，UPF网元#2向SMF网元发送N4会话建立响应消息#2。相应的，SMF网元接收来自UPF网元#2的N4会话建立响应消息#2。

其中，S1110-S1111的具体实现原理可以参考上述S708-S709中的相关介绍，不再赘述。

需要指出的是，S1110-S1111为可选步骤，适用于PDU会话由多个UPF网元服务场景。这种情况下，若UPF网元#1/UPF网元#3为中间UPF网元，UPF网元#2为锚点UPF网元，则先执行S1108-S1109，再执行S1110-S1111。若UPF网元#1/UPF网元#3为锚点UPF网元，UPF网元#2为中间UPF网元，则先执行S1110-S1111，再执行S1108-S1109。

S1112，SMF网元向AMF网元发送通信N1N2消息传输请求消息。相应的，AMF网元接收来自SMF网元的通信N1N2消息传输请求消息。

S1113，AMF网元向RAN设备发送N2 PDU会话建立请求消息。相应的，RAN设备接收来自AMF网元的N2 PDU会话建立请求消息。

其中，S1112-S1113的具体实现原理可以参考上述S1012-S1013中的相关介绍，不再赘述。

S1114，RAN设备与UE之间建立特定资源。

其中，RAN设备可以向UE发送RCC连接重配置消息和NAS消息。RCC连接重配置消息可用于配置RAN设备与终端之间的特定资源，例如对应的空口资源，具体实现原理可以参考上述S712中的相关介绍，不再赘述。

可以理解，由于UE可以从NAS消息中获得安全端点信息，UPF网元#1/UPF网元#3可以从N4会话建立请求消息#1获得用户面安全规则，使得双方便可以依据这些信息建立彼此之间的IPsec连接。例如，UE作为发起者，UPF网元#1作为响应者，或者UPF网元#1作为发起者，UE作为响应者，双方建立新的PDU会话对应的IPsec子SA，如先建立IKE SA，并据此建立IPsec子SA，具体实现原理可以参考上述2、IPSec的建立流程中的相关介绍，不再赘述；或者，双方更新已建立的IPsec子SA，如将该新的PDU会话对应的UE的IP地址，加入到已有的IPsec子SA的地址段中。又例如，UE作为发起者，UPF网元#3作为响应者，或者UPF网元#3作为发起者，UE作为响应者，双方建立新的PDU会话对应的IPsec子SA，如先建立IKE SA，并据此建立IPsec子SA，具体实现原理也可以参考上述2、IPSec的建立流程中的相关介绍，不再赘述。

可选地，若需要认证UPF网元#1/UPF网元#3，则UE可以根据安全端点信息中的凭证验证UPF网元#1/UPF网元#3。如果认证UPF网元#1/UPF网元#3通过，则建立IPsec连接，否则，流程结束。

S1115，RAN设备向AMF网元发送N2 PDU会话建立响应消息。相应的，AMF网元接收来自RAN设备的N2 PDU会话建立响应消息。

S1116，AMF网元向SMF网元发送会话管理上下文更新请求消息。相应的，SMF网元接收来自AMF网元的会话管理上下文更新请求消息。

S1117，SMF网元向UPF网元发送N4会话修改请求消息。相应的，UPF网元接收来自SMF网元的N4会话修改请求消息。

S1118，UPF网元向SMF网元发送N4会话修改响应消息。相应的，SMF网元接收来自UPF网元的N4会话修改响应消息。

S1119，SMF网元向AMF网元发送会话管理上下文更新响应消息。相应的，AMF网元接收来自SMF网元的会话管理上下文更新响应消息。

其中，S1115-S1119的具体实现原理可以参考上述S713-S717中的相关介绍，不再赘述。

S1120，SMF网元向UDM网元注册IPsec连接端点信息。

其中，如果建立UE与UPF网元#3的IPsec连接，则SMF网元还可以UDM网元注册IPsec连接端点信息。该IPsec连接端点信息与上述S1104中的IPsec连接端点信息不同，可认为是新的IPsec连接端点信息，用于指示IPsec连接中的端点设备为UPF网元#3，如包括UPF网元#3的地址，用以后续复用该UPF网元#3来继续建立IPsec连接。如此，UDM网元可以根据该新的IPsec连接端点信息，更新UE的签约信息中的IPsec连接端点信息。

可以理解，S1120为可选步骤，例如，SMF网元也可以不向UDM网元注册该新的IPsec连接端点信息。

场景3：

示例性的，图12为本申请实施例提供的通信方法的流程示意图三。在场景3下，SMF网元可以根据安全指示信息，选择支持IPsec连接的UPF网元，如UPF网元#1，从而触发UPF网元#1与UE建立IPsec连接，以降低用户面数据暴露的风险。

具体的，如图12所示，该通信方法的流程如下：

S1201，UE通过RAN设备向AMF网元发送PDU会话建立请求消息。相应的，AMF网元通过RAN设备接收来自UE的PDU会话建立请求消息。

S1202，AMF网元选择SMF网元。

S1203，AMF网元向SMF网元发送PDU会话创建会话管理上下文请求消息。相应的，SMF网元接收来自AMF网元的PDU会话创建会话管理上下文请求消息。

其中，S1201的具体实现原理可以参考上述S1001中的相关介绍，S1202-S1203的具体实现原理可以参考上述S702-S703中的相关介绍，不再赘述。

S1204，SMF网元从UDM网元获取UE的签约信息。

UE的签约信息中可以包括UE的用户面安全策略，具体实现原理可以参考上述S704中的相关介绍，不再赘述。UE的签约信息还可以包括安全指示信息。安全指示信息可用于指示使用UE与UPF网元之间的用户面安全来连接保护用户面数据，或者说指示UE与UPF网元之间可以建立IPsec连接。安全指示信息可以为端到端(end to end，E2E)安全指示信息，或者其他任何可能的指示信息，对此不做具体限定。

S1205，SMF网元向AMF网元发送PDU会话创建会话管理上下文响应消息。相应的，AMF网元接收来自SMF网元的PDU会话创建会话管理上下文请求消息。

S1206，SMF网元执行PDU会话的认证/授权的流程。

其中，S1205-S1206的具体实现原理可以参考上述S705-S706中的相关介绍，不再赘述。

S1207，SMF网元选择UPF网元#1。

其中，UPF网元#1为支持与UE建立IPsec连接的UPF网元。

具体的，SMF网元可以根据安全指示信息，确定开启UE与UPF网元之间的用户面安全保护，或者说UE与UPF网元之间可以建立IPsec连接。以及SMF网元还可以确定UE与UPF网元之间有必要建立IPsec连接，具体实现原理可以参考上述S1007的相关介绍，不再赘述。在确定开启UE与UPF网元之间的用户面安全保护，以及确定UE与UPF网元之间有必要建立IPsec连接(可选)的情况下，SMF网元可以选择支持与UE建立IPsec连接的UPF网元，如UPF网元#1，并确定IPsec连接对应的用户面安全规则(参见S1008)。

S1208，SMF网元向UPF网元#1发送N4会话建立请求消息#1。相应的，UPF网元#1接收来自SMF网元的N4会话建立请求消息#1。

S1209，UPF网元#1向SMF网元发送N4会话建立响应消息#1。相应的，SMF网元接收来自UPF网元#1的N4会话建立响应消息#1。

S1210，SMF网元向UPF网元#2发送N4会话建立请求消息#2。相应的，UPF网元#2接收来自SMF网元的N4会话建立请求消息#2。

S1211，UPF网元#2向SMF网元发送N4会话建立响应消息#2。相应的，SMF网元接收来自UPF网元#2的N4会话建立响应消息#2。

S1212，SMF网元向AMF网元发送通信N1N2消息传输请求消息。相应的，AMF网元接收来自SMF网元的通信N1N2消息传输请求消息。

S1213，AMF网元向RAN设备发送N2 PDU会话建立请求消息。相应的，RAN设备接收来自AMF网元的N2 PDU会话建立请求消息。

S1214，RAN设备与UE之间建立特定资源。

其中，S1210-S1211的具体实现原理可以参考上述S1008-S1009中的相关介绍，S1210-S1211的具体实现原理可以参考上述S708-S709，以及S1010-S1011中的相关介绍，S1212-S1214的具体实现原理可以参考上述S1012-S1014中的相关介绍，不再赘述。

S1215，RAN设备向AMF网元发送N2 PDU会话建立响应消息。相应的，AMF网元接收来自RAN设备的N2 PDU会话建立响应消息。

S1216，AMF网元向SMF网元发送会话管理上下文更新请求消息。相应的，SMF网元接收来自AMF网元的会话管理上下文更新请求消息。

S1217，SMF网元向UPF网元发送N4会话修改请求消息。相应的，UPF网元接收来自SMF网元的N4会话修改请求消息。

S1218，UPF网元向SMF网元发送N4会话修改响应消息。相应的，SMF网元接收来自UPF网元的N4会话修改响应消息。

S1219，SMF网元向AMF网元发送会话管理上下文更新响应消息。相应的，AMF网元接收来自SMF网元的会话管理上下文更新响应消息。

其中，S1215-S1219的具体实现原理可以参考上述S713-S717中的相关介绍，不再赘述。

S1220，SMF网元向UDM网元注册IPsec连接端点信息。

其中，S1220的具体实现原理可以参考上述S1020中的相关介绍，不再赘述。

场景4：

示例性的，图13为本申请实施例提供的通信方法的流程示意图四。在场景4下，SMF网元可以根据安全指示信息，复用已建立过IPsec连接的UPF网元，如UPF网元#1，与UE建立IPsec连接，以降低用户面数据暴露的风险。

具体的，如图13所示，该通信方法的流程如下：

S1301，UE通过RAN设备向AMF网元发送PDU会话建立请求消息。相应的，AMF网元通过RAN设备接收来自UE的PDU会话建立请求消息。

S1302，AMF网元选择SMF网元。

S1303，AMF网元向SMF网元发送PDU会话创建会话管理上下文请求消息。相应的，SMF网元接收来自AMF网元的PDU会话创建会话管理上下文请求消息。

其中，S1301的具体实现原理可以参考上述S1001中的相关介绍，S1302-S1303的具体实现原理可以参考上述S702-S703中的相关介绍，不再赘述。

S1304，SMF网元从UDM网元获取UE的签约信息。

UE的签约信息中可以包括：UE的用户面安全策略、安全指示信息、以及IPsec连接端点信息。UE的用户面安全策的具体实现原理可参考上述S704中的相关介绍，安全指示信息的具体实现原理可以参考上述S1204中的相关介绍，IPsec连接端点信息的具体实现原理可以参考上述S1104中的相关介绍，不再赘述。

S1305，SMF网元向AMF网元发送PDU会话创建会话管理上下文响应消息。相应的，AMF网元接收来自SMF网元的PDU会话创建会话管理上下文请求消息。

S1306，SMF网元执行PDU会话的认证/授权的流程。

其中，S1305-S1306的具体实现原理可以参考上述S705-S706中的相关介绍，不再赘述。

S1307，SMF网元确定复用UPF网元#1或者选择UPF网元#3。

其中，UPF网元#3为支持与UE建立IPsec连接的UPF网元。

具体的，SMF网元确定UE与UPF网元之间可以且有必要建立IPsec连接，具体实现原理可以参考上述S1207中的相关介绍，不再赘述。在此基础上，SMF网元根据IPsec连接端点信息，确定是否重用旧的安全端点，即是否复用UPF网元#1，或者选择新的安全端点，如UPF网元#3，具体实现原理可以参考上述S1107中的相关介绍，不再赘述。

S1308，SMF网元向UPF网元#1/UPF网元#3发送N4会话建立请求消息#1。相应的，UPF网元#1/UPF网元#3接收来自SMF网元的N4会话建立请求消息#1。

S1309，UPF网元#1/UPF网元#3向SMF网元发送N4会话建立响应消息#1。相应的，SMF网元接收来自UPF网元#1/UPF网元#3的N4会话建立响应消息#1。

S1310，SMF网元向UPF网元#2发送N4会话建立请求消息#2。相应的，UPF网元#2接收来自SMF网元的N4会话建立请求消息#2。

S1311，UPF网元#2向SMF网元发送N4会话建立响应消息#2。相应的，SMF网元接收来自UPF网元#2的N4会话建立响应消息#2。

S1312，SMF网元向AMF网元发送通信N1N2消息传输请求消息。相应的，AMF网元接收来自SMF网元的通信N1N2消息传输请求消息。

S1313，AMF网元向RAN设备发送N2 PDU会话建立请求消息。相应的，RAN设备接收来自AMF网元的N2 PDU会话建立请求消息。

S1314，RAN设备与UE之间建立特定资源。

S1315，RAN设备向AMF网元发送N2 PDU会话建立响应消息。相应的，AMF网元接收来自RAN设备的N2 PDU会话建立响应消息。

S1316，AMF网元向SMF网元发送会话管理上下文更新请求消息。相应的，SMF网元接收来自AMF网元的会话管理上下文更新请求消息。

S1317，SMF网元向UPF网元发送N4会话修改请求消息。相应的，UPF网元接收来自SMF网元的N4会话修改请求消息。

S1318，UPF网元向SMF网元发送N4会话修改响应消息。相应的，SMF网元接收来自UPF网元的N4会话修改响应消息。

S1319，SMF网元向AMF网元发送会话管理上下文更新响应消息。相应的，AMF网元接收来自SMF网元的会话管理上下文更新响应消息。

S1320，SMF网元向UDM网元注册IPsec连接端点信息。

其中，S1308的具体实现原理可以参考上述S1108中的相关介绍，S1310-S1311的具体实现原理可以参考上述S708-S709，以及S1110-S1111中的相关介绍，S1312-S1313的具体实现原理可以参考上述S1012-S1013中的相关介绍，S1314的具体实现原理可以参考上述S1114中的相关介绍，S1315-S1319的具体实现原理可以参考上述S713-S717中的相关介绍，S1320的具体实现原理可以参考上述S1020中的相关介绍，不再赘述。

场景5：

示例性的，在场景5下，SMF网元可以触发用户面安全功能与UE建立IPsec连接，以降低用户面数据暴露的风险，降低RAN设备的开销，提高使用寿命。用户面安全功能可以部署除UPF网元以外的网元，如SGW或者安全网元，或者其他任何可能的网元上，对此不做具体限定。

具体的，场景5可以与上述场景1-场景4结合。但不同的是，S1007、S1107、S1207以及S1307可以替换为：SMF网元选择支持IPsec连接的用户面安全功能，即支持IPsec的用户面安全功能。例如，SMF网元可以根据本地配置信息、通过与NRF网元交互或UDM网元网元，确定支持IPsec连接的用户面安全功能。SMF网元选择UPF网元可以采用已有方式，如S707所示，不再赘述。此外，还与场景1-场景4不同的是：上述IPsec连接端点信息中的UPF网元的地址，可以替换为用户面安全功能的地址，即SMF网元向UE发送用户面安全功能的地址。SMF网元还可以向用户面安全功能发送配置信息，如包括UE的PDU会话的地址，以及UPF网元的IP地址或FQDN。可选地，SMF网元还可以向用户面安全功能发送用户面安全规则。如此，用户面安全功能可以通过UPF网元与UE建立IPsec连接，也即建立IPsec子SA。

此外，SMF网元还可以向UPF网元发送指示信息，如报文检测规则(packetdetection rule，PDR)和转发动作规则(forwarding action rule，FAR)，用以指示UPF网元向UE转发来自用户面安全功能的加密的下行用户面数据，或者向DN转发来自用户面安全功能的未加密的上行用户面数据，或者向用户面安全功能转发来自UE的加密的上行用户面数据，或者向用户面安全功能转发来自DN的未加密的下行用户面数据。

以上结合图10-图13详细说明了本申请实施例提供的通信方法在各种场景下的流程。以下结合图14介绍该通信方法的整体流程。

示例性的，图14为本申请实施例提供的通信方法的流程示意图五。该通信方法适用于上述通信系统，用以实现会话管理网元、第一用户面网元、以及终端之间的通信。其中，会话管理网元可以是上述SMF网元，第一用户面网元可以是上述UPF网元#1，终端可以是上述UE。如图14所示，该通信方法的流程如下：

S1401，会话管理网元确定用户面安全规则。

用户面安全规则用于建立第一用户面网元与终端的IPsec连接。IPsec连接可以为基于IPsec协议建立的安全连接，也即第一用户面网元与终端之间建立IPsec子安全关联SA。

其中，用户面安全规则可以包括标识信息。标识信息用于标识用户面安全规则，以避免因会话管理网元无法识别用户面安全规则而导致IPsec连接建立失败。可选地，用户面安全规则可以承载在N4会话建立请求消息(参见S1402)中，标识信息包括如下至少一项：N4会话标识、或用户面安全规则标识。

可选地，用户面安全规则还可以包括如下至少一项：安全协议、加密指示信息、或完整性保护指示信息；安全协议用于指示IPsec连接使用的安全协议，加密指示信息用于指示IPsec连接是否进行加密，完整性保护指示信息用于指示IPsec连接是否进行完整性保护。例如，安全协议包括如下至少一项：封装载荷安全ESP协议、或认证协议头AH协议。

可选地，用户面安全规则还可以包括封装模式。封装模式用于指示IPsec连接中数据包的封装模式，例如，封装模式包括如下任一项：隧道模式、或传输模式。

一种可能的设计方案中，会话管理网元可以从移动性管理网元获取终端的无线接入技术类型(如参见S1003)。会话管理网元可以根据终端的无线接入技术类型，确定用户面安全规则。也就是说，对于不同无线接入技术类型的终端，会话管理网元可以选择提供或不提供用户面安全规则，以实现差异化服务，匹配各终端各自的需求。例如，在无线接入技术类型为新空口卫星接入类型的情况下，会话管理网元确定用户面安全规则。也就是说，针对接入网设备部署在卫星的场景，可以提供用户面安全规则，以建立第一用户面网元与终端的IPsec连接，从而降低卫星的负荷，提高使用寿命。

或者，会话管理网元也可以根据终端的无线接入技术类型和终端的用户面安全策略，确定用户面安全规则。也就是说，对于不同无线接入技术类型的终端，会话管理网元可以根据用户面安全策略选择提供或不提供用户面安全规则，以实现差异化服务，匹配各终端各自的需求。例如，在无线接入技术类型为卫星接入类型，且终端的用户面安全策略为确定开启用户面安全保护的情况下，会话管理网元确定用户面安全规则。也就是说，针对接入网设备部署在卫星的场景，在会话需要用户面安全保护时，可以提供用户面安全规则，以建立第一用户面网元与终端的IPsec连接，从而降低卫星的负荷，提高使用寿命。

另一种可能的设计方案中，会话管理网元也可以根据安全指示信息，确定用户面安全规则。安全指示信息用于指示使用IPsec连接保护用户面数据。也就是说，会话管理网元可以根据指示信息的类型，选择提供或者不提供用户面安全规则。例如，会话管理网元可以根据安全指示信息，选择提供用户面安全规则，或者根据其他类型的指示信息，选择不提供用户面安全规则，以实现差异化服务，匹配各终端各自的需求。

或者，会话管理网元也可以根据安全指示信息和终端的用户面安全策略，确定用户面安全规则。也就是说，会话管理网元可以根据指示信息的类型，以及终端的用户面安全需求，选择提供或者不提供用户面安全规则，以实现差异化服务，匹配各终端各自的需求。例如，在安全指示信息用于指示使用IPsec连接保护用户面数据，且终端的用户面安全策略为确定开启用户面安全保护的情况下，会话管理网元确定用户面安全规则，以实现按需提供用户面安全规则，避免资源浪费。

其中，可选地，安全指示信息为端到端E2E的安全指示信息，即复用已有信息，以降低实现难度。可选地，会话管理网元可以从数据管理网元(如UDM网元)获取安全指示信息。例如，安全指示信息可以携带在终端的签约信息中。这样，会话管理网元可以通过复用获取终端的签约信息流程，获取安全指示信息，以提高通信效率。或者，安全指示信息预配置在会话管理网元中，会话管理功能可以从本地存储获取安全指示信息，如此无需网元之间交互，避免信令交互的开销。

本申请实施例中，第一用户面网元为支持与终端建立IPsec连接的用户面网元。

其中，会话管理网元可以向网络功能网元(如NRF网元)发送网络功能NF发现请求消息，并接收来自网络功能网元的NF发现响应消息。其中，NF发现请求消息用于指示网络功能网元提供候选的用户面网元，且候选的用户面网元支持与终端建立IPsec连接。NF发现响应消息包括候选的用户面网元的标识信息。如此，会话管理网元从候选的用户面网元中确定第一用户面网元。

或者，会话管理网元也可以向网络功能网元发送NF发现请求消息，并接收来自网络功能网元的NF发现响应消息。NF发现请求消息用于指示网络功能网元提供候选的用户面网元。NF发现响应消息包括候选的用户面网元的标识信息，以及指示候选的用户面网元是否支持与终端建立IPsec连接的信息。如此，会话管理网元从候选的用户面网元中确定第一用户面网元。

或者，会话管理网元还可以从本地保存的，且支持与终端建立IPsec连接的用户面网元中，确定第一用户面网元。

或者，会话管理网元还可以从数据管理网元(UDM网元)获取IPsec连接端点信息。IPsec连接端点信息用于指示IPsec连接中的端点设备为第一用户面网元。如此，会话管理网元可以根据该IPsec连接端点信息，选择复用第一用户面网元来建立IPsec连接，以降低复杂度和实现难度。

此外，S1401的具体实现原理也可以参考上述S1001-S1008，S1101-S1108，S1201-S1208中的相关介绍，不再赘述。

S1402，会话管理网元向第一用户面网元发送用户面安全规则。相应的，第一用户面网元接收来自会话管理网元的用户面安全规则。

其中，用户面安全规则可以承载在N4会话建立请求消息中。S1402的具体实现原理也可以参考上述S1008-S1011，S1108-S1111，1208-S1211中的相关介绍中的相关介绍，不再赘述。

S1403，第一用户面网元根据用户面安全规则，建立第一用户面网元与终端之间的IPsec连接。

其中，第一用户面网元可以根据用户面安全规则，向终端发送安全关联SA建立请求消息，并接收来自终端的SA建立响应消息。其中，SA建立请求消息可以包括第一用户面网元的SA参数，SA建立响应消息可以包括终端的SA参数。也就是说，第一用户面网元与终端可以交互各自的SA参数，以实现SA参数对齐，确保成功建立IPsec连接。此外，S1403的具体实现原理也可以参考上述S1012-S1014，S1112-S1114，S1212-S1214中的相关介绍，不再赘述。

综上，基于图10-图14所示的方法可知，第一用户面网元与终端之间建立IPsec连接后，终端或第一用户面网元与可以作为IPsec连接的端点设备。此时，当端点设备之间传输经IPsec保护的用户面数据时，位于端点设备之间的中间传输设备(如接入网设备)，也即IPsec连接上的接入网设备，可以直接透传该用户面数据，从而可以降低用户面数据暴露的风险。

可选地，一种可能的设计方案中，在本申请实施例的通信方法中，IPsec连接上的接入网设备不开启与终端的用户面安全保护。例如，会话管理网元向接入网设备发送用户面安全策略。该用户面安全策略用于指示接入网设备不开启终端的用户面加密和完整性保护。如此，可以降低接入网设备的负荷，增加可用资源。此外，该设计方案的具体实现原理也可以参考上述S1012，S1112，S1212中的相关介绍，不再赘述。

可选地，一种可能的设计方案中，在本申请实施例的通信方法中，会话管理网元可以向终端发送安全端点信息，安全端点信息用于指示安全端点为第一用户面网元，以避免因终端不知道需要与第一用户面网元建立IPsec连接而导致IPsec连接失败。在此基础上，终端接收来自会话管理网元的安全端点信息后，也可以主动建立终端与安全端点之间的IPsec连接。例如，终端向安全端点发送SA建立请求消息，并接收来自安全端点的SA建立响应消息。其中，SA建立请求消息包括终端的SA参数；SA建立响应消息包括第一用户面网元的SA参数。此外，该设计方案的具体实现原理也可以参考上述S1012-S1014，S1112-S1114，S1212-S1214中的相关介绍，不再赘述。

可选地，一种可能的设计方案中，在本申请实施例的通信方法中，终端可以向移动性管理网元发送终端的安全能力信息。这样，会话管理网元可以接收来自移动性管理网元的该终端的安全能力信息。安全能力信息用于指示终端支持与核心网功能建立的IPsec连接。如此，会话管理网元可以仅为支持与核心网功能建立的IPsec连接的终端建立IPsec连接，以避免资源浪费。此外，该设计方案的具体实现原理也可以参考上述S1001-S1003，S1101-S1103，S1201-S1203中的相关介绍，不再赘述。

可选地，一种可能的设计方案中，在本申请实施例的通信方法中，会话管理网元还可以向数据管理网元发送IPsec连接端点信息。IPsec连接端点信息用于指示IPsec连接中的端点设备为第一用户面网元，以便后续可以复用第一用户面网元来建立IPsec连接，以降低复杂度和实现难度。此外，该设计方案的具体实现原理也可以参考上述S1020，S1120，S1220，以及S1320中的相关介绍，不再赘述。

本申请实施例中，与终端建立IPsec连接的核心网功能也可以是安全网元(参考场景5)。也就是说，会话管理网元确定用户面安全规则，并向安全网元发送用户面安全规则。其中，用户面安全规则用于建立安全网元与终端之间的IPsec连接。相应的，安全网元接收来自会话管理网元向发送用户面安全规则，从而根据用户面安全规则，建立安全网元与终端之间的IPsec连接。例如，安全网元根据用户面安全规则，通过用户面网元向终端发送安全关联SA建立请求消息，从而通过用户面网元接收来自终端的SA建立响应消息。SA建立请求消息包括安全网元的SA参数；SA建立响应消息包括终端的SA参数。

这种情况下，会话管理网元向还可以用户面网元发送第一信息，第一信息用于指示如下至少一项：用户面网元向安全网元发送来自终端或数据网络的数据、或用户面网元向终端或数据网络发送来自安全网元的数据，以确保安全网元与终端之间能够正常进行用户面数据交互。

可以理解，当安全网元与终端之间建立IPsec连接后，终端或安全网元与可以作为IPsec连接的端点设备。此时，当端点设备之间传输经IPsec保护的用户面数据时，位于端点设备之间的中间传输设备(如接入网设备)，也即IPsec连接上的接入网设备，仍可以直接透传该用户面数据，从而可以降低用户面数据暴露的风险。

以上结合图10-图14详细说明了本申请实施例提供的通信方法。以下结合图15-图16详细说明用于执行本申请实施例提供的通信方法的通信装置。

示例性地，图15是本申请实施例提供的通信装置的结构示意图一。如图15所示，通信装置1500包括：处理模块1501和收发模块1502。为了便于说明，图15仅示出了该通信装置的主要部件。

一些实施例中，通信装置1500可适用于图8中所示出的通信系统，执行图10-图13中所示出的通信方法中SMF网元的功能，或者适用于图8中所示出的通信系统，执行图14中所示出的通信方法中会话管理网的功能。

其中，处理模块1501，用于确定用户面安全规则。收发模块1502，用于向第一用户面网元发送用户面安全规则。其中，用户面安全规则用于建立第一用户面网元与终端的因特网协议安全IPsec连接。

一种可能的设计方案中，处理模块1501，还用于根据终端的无线接入技术类型，确定用户面安全规则。

可选地，处理模块1501，还用于在无线接入技术类型为卫星接入类型的情况下，确定用户面安全规则。

一种可能的设计方案中，处理模块1501，还用于根据终端的无线接入技术类型和终端的用户面安全策略，确定用户面安全规则。

可选地，处理模块1501，还用于在无线接入技术类型为卫星接入类型，且终端的用户面安全策略为确定开启用户面安全保护的情况下，确定用户面安全规则。

一种可能的设计方案中，处理模块1501，还用于根据安全指示信息，确定用户面安全规则。安全指示信息用于指示使用IPsec连接保护用户面数据。

一种可能的设计方案中，处理模块1501，还用于根据安全指示信息和终端的用户面安全策略，确定用户面安全规则。

可选地，处理模块1501，还用于在安全指示信息用于指示使用IPsec连接保护用户面数据，且终端的用户面安全策略为确定开启用户面安全保护的情况下，确定用户面安全规则。

可选地，安全指示信息为端到端E2E的安全指示信息。

可选地，收发模块1502，还用于从网络功能网元获取安全指示信息。例如，安全指示信息可以携带在终端的签约信息中。

一种可能的设计方案中，收发模块1502，还用于向网络功能网元发送网络功能NF发现请求消息，并接收来自网络功能网元的NF发现响应消息。其中，NF发现请求消息用于指示网络功能网元提供候选的用户面网元，且候选的用户面网元支持与终端建立IPsec连接。NF发现响应消息包括候选的用户面网元的标识信息。如此，处理模块1501，还用于从候选的用户面网元中确定第一用户面网元。

一种可能的设计方案中，收发模块1502，还用于向网络功能网元发送NF发现请求消息，并接收来自网络功能网元的NF发现响应消息。其中，NF发现请求消息用于指示网络功能网元提供候选的用户面网元。NF发现响应消息包括候选的用户面网元的标识信息，以及指示候选的用户面网元是否支持与终端建立IPsec连接的信息。如此，处理模块1501，还用于从候选的用户面网元中确定第一用户面网元。

一种可能的设计方案中，处理模块1501，还用于从本地保存的，且支持与终端建立IPsec连接的用户面网元中，确定第一用户面网元。

一种可能的设计方案中，收发模块1502，还用于从数据管理网元获取IPsec连接端点信息。IPsec连接端点信息用于指示IPsec连接中的端点设备为第一用户面网元。

一种可能的设计方案中，收发模块1502，还用于向数据管理网元发送IPsec连接端点信息。IPsec连接端点信息用于指示IPsec连接中的端点设备为第一用户面网元。

一种可能的设计方案中，收发模块1502，还用于向终端发送安全端点信息，安全端点信息用于指示安全端点为第一用户面网元。

一种可能的设计方案中，收发模块1502，还用于接收来自移动性管理网元的终端的安全能力信息。安全能力信息用于指示终端支持与核心网功能建立的IPsec连接。

可选地，收发模块1502可以包括接收模块和发送模块(图15中未示出)。其中，发送模块用于实现通信装置1500的发送功能，接收模块用于实现通信装置1500的接收功能。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块1501执行该程序或指令时，使得通信装置1500可以执行图10-图13中任一项所示出的通信方法中SMF网元的功能，或者，执行图14中任一项所示出的通信方法中会话管理网元的功能。

应理解，通信装置1500中涉及的处理模块1501可以由处理器或处理器相关电路组件实现，可以为处理器或处理单元；收发模块1502可以由收发器或收发器相关电路组件实现，可以为收发器或收发单元。

需要说明的是，通信装置1500可以是网络设备，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，通信装置1500的技术效果可以参考图10-图14中任一项所示出的通信方法的技术效果，此处不再赘述。

另一些实施例中，通信装置1500可适用于图8中所示出的通信系统，执行图10或图12中所示出的通信方法中UPF网元#1，或者适用于图8中所示出的通信系统，执行图11或图13中所示出的通信方法中UPF网元#1/UPF网元#3的功能，或者适用于图8中所示出的通信系统，执行图14中所示出的通信方法中第一用户面网元的功能。

其中，收发模块1502，用于接收来自会话管理网元的用户面安全规则；处理模块1501，用于根据用户面安全规则，建立通信装置1500与终端之间的IPsec连接。

一种可能的设计方案中，处理模块1501于根据用户面安全规则，控制收发模块1502向终端发送安全关联SA建立请求消息，并接收来自终端的SA建立响应消息。其中，SA建立请求消息可以包括通信装置1500的SA参数，SA建立响应消息可以包括终端的SA参数。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块1501执行该程序或指令时，使得通信装置1500可以执行图10或图12中所示出的通信方法中UPF网元#1，图11或图13中所示出的通信方法中UPF网元#1/UPF网元#3的功能，或者图14中所示出的通信方法中第一用户面网元的功能。

又一些实施例中，通信装置1500可适用于图8中所示出的通信系统，执行图10-图13中所示出的通信方法中UE的功能，或者适用于图8中所示出的通信系统，执行图14中所示出的通信方法中终端的功能。

其中，收发模块1502，用于接收来自会话管理网元的安全端点信息；处理模块1501，用于建立通信装置1500与安全端点信息指示的安全端点之间的IPsec连接。安全端点为第一用户面网元。

一种可能的设计方案中，收发模块1502，还用于向安全端点发送SA建立请求消息，并接收来自安全端点的SA建立响应消息。其中，SA建立请求消息包括通信装置1500的SA参数；SA建立响应消息包括第一用户面网元的SA参数。

一种可能的设计方案中，收发模块1502，还用于向移动性管理网元发送通信装置1500的安全能力信息。安全能力信息用于指示通信装置1500支持与核心网功能建立的IPsec连接。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块1501执行该程序或指令时，使得通信装置1500可以执行图10-图13中所示出的通信方法中UE的功能，或者执行图14中所示出的通信方法中终端的功能。

需要说明的是，通信装置1500可以是终端，也可以是可设置于终端中的芯片(系统)或其他部件或组件，还可以是包含终端的装置，本申请对此不做限定。

再一些实施例中，通信装置1500可适用于图8中所示出的通信系统，执行上述场景5中SMF网元/会话管理网元的功能。

其中，处理模块1501，用于确定用户面安全规则；收发模块1501，用于向安全网元发送用户面安全规则。其中，用户面安全规则用于建立安全网元与终端之间的IPsec连接。

一种可能的设计方案中，收发模块1501，还用于向用户面网元发送第一信息，第一信息用于指示如下至少一项：用户面网元向安全网元发送来自终端或数据网络的数据、或用户面网元向终端或数据网络发送来自安全网元的数据。

一种可能的设计方案中，收发模块1501，还用于接收来自移动性管理网元的终端的安全能力信息。安全能力信息用于指示终端支持与核心网功能建立的IPsec连接。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块1501执行该程序或指令时，使得通信装置1500可以执行上述场景5中SMF网元/会话管理网元的功能。

还一些实施例中，通信装置1500可适用于图8中所示出的通信系统，执行上述场景5中SGW/安全网元的功能。

其中，收发模块1502，用于接收来自会话管理网元向发送用户面安全规则，处理模块1501，用于根据用户面安全规则，建立通信装置1500与终端之间的IPsec连接。

一种可能的设计方案中，处理模块1501，还用于根据用户面安全规则，控制收发模块1502通过用户面网元向终端发送安全关联SA建立请求消息，并通过用户面网元接收来自终端的SA建立响应消息。SA建立请求消息包括通信装置1500的SA参数，SA建立响应消息包括终端的SA参数。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块1501执行该程序或指令时，使得通信装置1500可以执行上述场景5中SGW/安全网元的功能。

示例性地，图16为本申请实施例提供的通信装置的结构示意图二。该通信装置可以是终端或网络设备，也可以是可设置于终端或网络设备的芯片(系统)或其他部件或组件。如图16所示，通信装置1600可以包括处理器1601。可选地，通信装置1600还可以包括存储器1602和/或收发器1603。其中，处理器1601与存储器1602和收发器1603耦合，如可以通过通信总线连接。

下面结合图16对通信装置1600的各个构成部件进行具体的介绍：

其中，处理器1601是通信装置1600的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器1601是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(fieldprogrammable gate array，FPGA)。

可选地，处理器1601可以通过运行或执行存储在存储器1602内的软件程序，以及调用存储在存储器1602内的数据，执行上述通信方法的各种功能。

在具体的实现中，作为一种实施例，处理器1601可以包括一个或多个CPU，例如图16中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，通信装置1600也可以包括多个处理器，例如图2中所示的处理器1601和处理器1604。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，所述存储器1602用于存储执行本申请方案的软件程序，并由处理器1601来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器1602可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1602可以和处理器1601集成在一起，也可以独立存在，并通过通信装置1600的接口电路(图16中未示出)与处理器1601耦合，本申请实施例对此不作具体限定。

收发器1603，用于与其他通信装置之间的通信。例如，通信装置1600为终端设备，收发器1603可以用于与网络设备通信，或者与另一个终端设备通信。又例如，通信装置1600为网络设备，收发器1603可以用于与终端设备通信，或者与另一个网络设备通信。

可选地，收发器1603可以包括接收器和发送器(图16中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器1603可以和处理器1601集成在一起，也可以独立存在，并通过通信装置1600的接口电路(图16中未示出)与处理器1601耦合，本申请实施例对此不作具体限定。

需要说明的是，图16中示出的通信装置1600的结构并不构成对该通信装置的限定，实际的通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，通信装置1600的技术效果可以参考上述方法实施例所述的通信方法的技术效果，此处不再赘述。

本申请实施例提供一种通信系统。该通信系统包括上述一个或多个终端，以及一个或多个网络设备。

应理解，在本申请实施例中的处理器可以是中央处理单元(central processingunit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random accessmemory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种通信方法，其特征在于，所述方法包括：

会话管理网元确定用户面安全规则；所述用户面安全规则用于建立第一用户面网元与终端的因特网协议安全IPsec连接；

所述会话管理网元向所述第一用户面网元发送所述用户面安全规则。

2.根据权利要求1所述的方法，其特征在于，所述IPsec连接上的接入网设备不开启与所述终端的用户面安全保护。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述会话管理网元向接入网设备发送用户面安全策略；所述用户面安全策略用于指示所述接入网设备不开启所述终端的用户面加密和完整性保护。

4.根据权利要求1-3中任一项所述的方法，其特征在于，所述会话管理网元确定用户面安全规则，包括：

所述会话管理网元根据终端的无线接入技术类型，确定所述用户面安全规则。

5.根据权利要求4所述的方法，其特征在于，所述会话管理网元根据终端的无线接入技术类型，确定所述用户面安全规则包括：

在所述无线接入技术类型为新空口卫星接入类型的情况下，所述会话管理网元确定所述用户面安全规则。

6.根据权利要求1所述的方法，其特征在于，所述会话管理网元确定用户面安全规则，包括：

所述会话管理网元根据安全指示信息，确定所述用户面安全规则，所述安全指示信息用于指示使用所述IPsec连接保护用户面数据。

7.根据权利要求1-6中任一项所述的方法，其特征在于，所述用户面安全规则包括：标识信息；所述标识信息用于标识所述用户面安全规则。

8.根据权利要求7所述的方法，其特征在于，所述用户面安全规则包括如下至少一项：安全协议、加密指示信息、或完整性保护指示信息；所述安全协议用于指示所述IPsec连接使用的安全协议，所述加密指示信息用于指示所述IPsec连接是否进行加密，所述完整性保护指示信息用于指示所述IPsec连接是否进行完整性保护。

9.根据权利要求7或8所述的方法，其特征在于，所述用户面安全规则包括：封装模式；所述封装模式用于指示所述IPsec连接中数据包的封装模式。

10.根据权利要求1-9中任一项所述的方法，其特征在于，所述方法还包括：

所述会话管理网元向网络功能网元发送网络功能NF发现请求消息；所述NF发现请求消息用于指示所述网络功能网元提供候选的用户面网元，且所述候选的用户面网元支持与所述终端建立IPsec连接；

所述会话管理网元接收来自所述网络功能网元的NF发现响应消息，所述NF发现响应消息包括所述候选的用户面网元的标识信息；

所述会话管理网元从所述候选的用户面网元中确定所述第一用户面网元。

11.根据权利要求1-9中任一项所述的方法，其特征在于，所述方法还包括：

所述会话管理网元向网络功能网元发送NF发现请求消息；所述NF发现请求消息用于指示所述网络功能网元提供候选的用户面网元；

所述会话管理网元接收来自所述网络功能网元的NF发现响应消息；所述NF发现响应消息包括所述候选的用户面网元的标识信息，以及指示所述候选的用户面网元是否支持与所述终端建立IPsec连接的信息；

12.根据权利要求1-9中任一项所述的方法，其特征在于，所述方法还包括：

所述会话管理网元从本地保存的，且支持与所述终端建立IPsec连接的用户面网元中，确定所述第一用户面网元。

13.根据权利要求1-12中任一项所述的方法，其特征在于，所述方法还包括：

所述会话管理网元向所述终端发送安全端点信息，所述安全端点信息指示安全端点为所述第一用户面网元。

14.根据权利要求1-13中任一项所述的方法，其特征在于，所述方法还包括：

所述会话管理网元接收来自所述移动性管理网元的终端的安全能力信息。所述安全能力信息用于指示所述终端支持与核心网功能建立的IPsec连接。

15.一种通信方法，其特征在于，所述方法包括：

第一用户面网元接收来自会话管理网元的用户面安全规则；

所述第一用户面网元根据所述用户面安全规则，建立所述第一用户面网元与终端之间的IPsec连接。

16.根据权利要求15所述的方法，其特征在于，所述IPsec连接上的接入网设备不开启与所述终端的用户面安全保护。

17.根据权利要求15或16所述的方法，其特征在于，所述第一用户面网元根据所述用户面安全规则，建立所述第一用户面网元建立与所述终端之间的IPsec连接，包括：

所述第一用户面网元根据所述用户面安全规则，向所述终端发送安全关联SA建立请求消息，所述SA建立请求消息包括：所述第一用户面网元的SA参数；

所述第一用户面网元接收来自所述终端的SA建立响应消息，所述SA建立响应消息包括：所述终端的SA参数。

18.根据权利要求15-17中任一项所述的方法，其特征在于，所述用户面安全规则包括：标识信息；所述标识信息用于标识所述用户面安全规则。

19.根据权利要求18所述的方法，其特征在于，所述用户面安全规则包括如下至少一项：安全协议、加密指示信息、或完整性保护指示信息；所述安全协议用于指示所述IPsec连接使用的安全协议，所述加密指示信息用于指示所述IPsec连接是否进行加密，所述完整性保护指示信息用于指示所述IPsec连接是否进行完整性保护。

20.根据权利要求18或19所述的方法，其特征在于，所述用户面安全规则包括：封装模式；所述封装模式用于指示所述IPsec连接中数据包的封装模式。

21.一种通信方法，其特征在于，所述方法包括：

终端接收来自会话管理网元的安全端点信息；

所述终端建立所述终端与所述安全端点信息指示的安全端点之间的IPsec连接；所述安全端点为第一用户面网元。

22.根据权利要求21所述的方法，其特征在于，所述终端与所述安全端点信息指示的安全端点，建立IPsec连接，包括：

所述终端向所述安全端点发送SA建立请求消息，所述SA建立请求消息包括：所述终端的SA参数；

所述终端接收来自所述安全端点的SA建立响应消息，所述SA建立响应消息包括：所述第一用户面网元的SA参数。

23.根据权利要求21或22所述的方法，其特征在于，所述方法还包括：

所述终端向移动性管理网元发送所述终端的信息，所述终端的信息用于指示所述终端支持与核心网功能建立的所述IPsec连接。

24.一种通信装置，其特征在于，所述通信装置包括用于执行如权利要求1-14中任一项所述的方法的模块。

25.一种通信装置，其特征在于，所述通信装置包括用于执行如权利要求15-20中任一项所述的方法的模块。

26.一种通信装置，其特征在于，所述通信装置包括用于执行如权利要求21-23中任一项所述的方法的模块。

27.一种通信装置，其特征在于，包括：处理器和存储器；所述存储器用于存储计算机指令，当所述处理器执行该指令时，以使所述通信装置执行如权利要求1-23中任一项所述的通信方法。

28.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-23中任一项所述的通信方法。