CN117294769A - 数据传输方法、装置及系统 - Google Patents

Abstract

本申请公开了一种数据传输方法、装置及系统，属于通信技术领域。终端设备根据第一业务对应的业务QoT级别和第一业务的目的地址获取目标连接标识。第一业务对应的业务QoT级别与终端设备的设备QoT级别相匹配。目标连接标识为终端设备与第一业务的目的地址之间建立的与第一业务对应的业务QoT级别相匹配的目标通信连接的连接标识。终端设备向第一业务的目的地址发送第一业务的业务报文。业务报文包括目标连接标识，目标连接标识用于指示基于目标通信连接传输业务报文。本申请中，网络侧能够结合终端设备的可信度和业务对数据传输的信任需求，为终端设备上的业务提供匹配的可信传输，提升了网络的服务质量和用户的服务体验。

Description

数据传输方法、装置及系统

技术领域

本申请涉及通信技术领域，特别涉及一种数据传输方法、装置及系统。

背景技术

随着人工智能、大数据、数字孪生等技术的发展，数据的价值日益凸显。数据被称为数字经济的“石油”。因此，如何保障数据有序、可信地流动，对于数字经济的发展至关重要。而网络作为数据流动与传输的底层承载者，如何实现数据在网络中安全可信地传输，是目前亟需解决的问题。

发明内容

本申请提供了一种数据传输方法、装置及系统，可以实现数据在网络中安全可信地传输。

第一方面，提供了一种数据传输方法。该方法包括：终端设备获取第一业务对应的业务信任质量(quality of trust，QoT)级别和第一业务的目的地址，第一业务对应的业务QoT级别与终端设备的设备QoT级别相匹配。终端设备根据第一业务对应的业务QoT级别和第一业务的目的地址获取目标连接标识，目标连接标识为终端设备与第一业务的目的地址之间建立的与第一业务对应的业务QoT级别相匹配的目标通信连接的连接标识。终端设备向第一业务的目的地址发送第一业务的业务报文，业务报文包括目标连接标识，目标连接标识用于指示基于目标通信连接传输业务报文。

本申请中，由于终端设备所传输的业务对应的业务QoT级别与终端设备的设备QoT级别相匹配，业务传输所基于的通信连接与该业务对应的业务QoT级别相匹配，因此网络侧能够结合终端设备的可信度和业务对数据传输的信任需求，为该终端设备上的该业务提供匹配的可信传输，提升了网络的服务质量和用户的服务体验。

可选地，终端设备中存储有连接标识集合。连接标识集合用于记录终端设备已建立的通信连接的连接标识。连接标识集合中的每个连接标识均对应设置有目的地址和业务QoT级别。终端设备根据第一业务对应的业务QoT级别和第一业务的目的地址获取目标连接标识的实现过程，包括：当连接标识集合中不存在与第一业务对应的业务QoT级别和第一业务的目的地址对应的连接标识时，终端设备向管理设备发送数据传输请求，数据传输请求包括第一业务的目的地址和终端设备的QoT证书，QoT证书包括终端设备的设备QoT级别。终端设备接收管理设备发送的数据传输响应，该数据传输响应包括目标连接标识。

本申请中，终端设备获取第一业务对应的业务QoT级别和第一业务的目的地址之后，首先查询连接标识集合是否存储有与第一业务的目的地址和第一业务对应的服务QoT级别对应的连接标识。如果连接标识集合存储有与第一业务的目的地址和第一业务对应的服务QoT级别对应的连接标识，则终端设备将该连接标识作为目标连接标识。

可选地，QoT证书还包括管理设备针对终端设备的QoT转发策略，QoT转发策略包括管理设备向终端设备提供的最高业务QoT级别和/或管理设备向终端设备提供的默认业务QoT级别。

本申请中，通过在QoT证书中携带管理设备针对终端设备的QoT转发策略，有助于应用侧的QoT转发策略的制定，使应用侧的QoT转发策略与网络侧的QoT转发策略尽量匹配，以提高业务运行效率。

可选地，在终端设备接收管理设备发送的数据传输响应之后，终端设备可以在连接标识集合中添加第一业务的目的地址、第一业务对应的业务QoT级别与目标连接标识的对应关系。

可选地，数据传输请求还包括业务QoT级别指示，业务QoT级别指示用于指示第一业务对应的业务QoT级别。

本申请中，如果第一业务对应的业务QoT级别为管理设备向终端设备提供的默认业务QoT级别，则数据传输请求也可以不包括业务QoT级别指示。相应地，管理设备会直接建立该默认业务QoT级别对应的通信连接。

可选地，终端设备向管理设备发送终端设备的QoT参数，QoT参数包括设备身份信息、硬件配置信息、软件配置信息或网络接入信息中的一种或多种。终端设备接收管理设备发送的基于QoT参数得到的QoT证书。

可选地，在终端设备向管理设备发送终端设备的QoT参数之前，终端设备向管理设备发送注册请求。终端设备接收管理设备发送的QoT认证请求，该QoT认证请求包括QoT参数指示，QoT参数指示用于指示终端设备所需提供的QoT参数。终端设备向管理设备发送终端设备的QoT参数的一种实现方式，包括：终端设备向管理设备发送QoT认证响应，该QoT认证响应包括QoT参数指示所指示的QoT参数。

或者，终端设备与管理设备之间也可以事先约定好签发QoT证书时终端设备所需提供的QoT参数，这样，终端设备想要获取QoT证书时，直接向管理设备发送终端设备的QoT参数即可。

可选地，当QoT证书满足证书更新条件时，终端设备向管理设备发送终端设备的最新的QoT参数。终端设备接收管理设备发送的基于最新的QoT参数得到的更新后的QoT证书。

可选地，证书更新条件包括以下一种或多种：QoT证书超出有效期；终端设备的QoT参数发生变更；终端设备和/或管理设备无法解析QoT证书。

可选地，业务报文还包括对第一业务对应的业务QoT级别的指示以及针对该指示的完整性验证标签。该完整性验证标识可以是消息认证码或数字签名。

本申请中，通过在业务报文中携带对业务QoT级别的指示以及针对该指示的完整性验证标签，使得接收到该业务报文的网络设备可以验证该业务报文实际使用的业务QoT级别与该业务真实匹配的业务QoT级别是否相同，另外还可以验证业务报文是否被篡改过，进而提高数据传输的可靠性和可信度。

可选地，终端设备获取第二业务对应的业务QoT级别，第二业务对应的业务QoT级别与终端设备的设备QoT级别不匹配。终端设备拒绝传输第二业务的业务报文。这样可以避免用户恶意使用与终端设备的可信度不匹配的可信数据传输服务，使得网络侧既能满足业务的信任需求，又能考虑到终端设备的可信度，进而实现数据的可信传输。

第二方面，提供了一种数据传输方法。该方法包括：管理设备接收终端设备发送的数据传输请求，该数据传输请求包括第一业务的目的地址和终端设备的QoT证书，QoT证书包括终端设备的设备QoT级别。管理设备基于QoT证书，建立终端设备与第一业务的目的地址之间的目标通信连接，目标通信连接对应的业务QoT级别与终端设备的设备QoT级别相匹配。管理设备向终端设备发送数据传输响应，该数据传输响应包括目标连接标识，目标连接标识为目标通信连接的连接标识。

本申请中，管理设备为终端设备上的业务建立与终端设备的设备QoT级别相匹配的通信连接，管理设备能够考虑终端设备的可信度，为该终端设备上的该业务提供匹配的可信传输，提升了网络的服务质量和用户的服务体验。

可选地，数据传输请求还包括业务QoT级别指示，业务QoT级别指示用于指示第一业务对应的业务QoT级别。管理设备基于QoT证书，建立终端设备与第一业务的目的地址之间的目标通信连接的实现方式，包括：当业务QoT级别指示所指示的业务QoT级别与终端设备的设备QoT级别相匹配时，管理设备建立业务QoT级别指示所指示的业务QoT级别对应的目标通信连接。

本申请中，管理设备为终端设备上的业务建立与终端设备的设备QoT级别以及业务对应的业务QoT级别相匹配的通信连接，管理设备能够结合终端设备的可信度和业务对数据传输的信任需求，为该终端设备上的该业务提供匹配的可信传输，提升了网络的服务质量和用户的服务体验。

可选地，QoT证书还包括管理设备针对终端设备的QoT转发策略，QoT转发策略包括管理设备向终端设备提供的最高业务QoT级别和/或管理设备向终端设备提供的默认业务QoT级别。

可选地，管理设备接收终端设备发送的终端设备的QoT参数，QoT参数包括设备身份信息、硬件配置信息、软件配置信息或网络接入信息中的一种或多种。管理设备基于QoT参数生成QoT证书。管理设备向终端设备发送QoT证书。

可选地，管理设备接收终端设备发送的注册请求。管理设备基于注册请求，向终端设备发送QoT认证请求，QoT认证请求包括QoT参数指示，QoT参数指示用于指示终端设备所需提供的QoT参数。管理设备接收终端设备发送的终端设备的QoT参数的一种实现方式，包括：管理设备接收终端设备发送的QoT认证响应，QoT认证响应包括QoT参数指示所指示的QoT参数。

可选地，管理设备接收网络设备的路径计算请求，路径计算请求包括目标连接标识。管理设备根据目标连接标识对应的业务QoT级别，确定目标通信连接所使用的目标传输路径，目标传输路径上的网络设备的设备QoT级别与目标连接标识对应的业务QoT级别相匹配。管理设备向网络设备发送路径计算响应，路径计算响应包括目标传输路径的路径信息。

第三方面，提供了一种数据传输方法。该方法包括：网络设备接收终端设备发送的第一业务的业务报文，业务报文包括目标连接标识。网络设备获取目标连接标识对应的目标传输路径，目标传输路径上的网络设备的设备QoT级别与目标连接标识对应的业务QoT级别相匹配。网络设备基于目标传输路径转发业务报文。

本申请中，网络设备传输业务报文所基于的传输路径与该业务报文对应的业务QoT级别相匹配，因此网络侧能够考虑业务对数据传输的信任需求，为该终端设备上的该业务提供匹配的可信传输，提升了网络的服务质量和用户的服务体验。

可选地，网络设备获取目标连接标识对应的目标传输路径的一种实现方式，包括：网络设备向管理设备发送路径计算请求，路径计算请求包括目标连接标识。网络设备接收管理设备发送的路径计算响应，路径计算响应包括目标传输路径的路径信息。

可选地，业务报文还包括对第一业务对应的业务QoT级别的指示以及针对该指示的完整性验证标签，网络设备基于目标传输路径转发业务报文的实现方式，包括：当业务报文中的指示所指示的业务QoT级别与目标连接标识对应的业务QoT级别相同，且网络设备对完整性验证标签验证通过时，网络设备基于目标传输路径转发业务报文。

本申请中，通过在业务报文中携带对业务QoT级别的指示以及针对该指示的完整性验证标签，使得接收到该业务报文的网络设备可以验证该业务报文实际使用的业务QoT级别与该业务真实匹配的业务QoT级别是否相同，另外还可以验证业务报文是否被篡改过，进而提高数据传输的可靠性和可信度。

第四方面，提供了一种终端设备。所述终端设备包括多个功能模块，所述多个功能模块相互作用，实现上述第一方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第五方面，提供了一种管理设备。所述管理设备包括多个功能模块，所述多个功能模块相互作用，实现上述第二方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第六方面，提供了一种网络设备。所述网络设备包括多个功能模块，所述多个功能模块相互作用，实现上述第三方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第七方面，提供了一种数据传输系统，包括：终端设备、管理设备和网络设备，所述终端设备用于执行上述第一方面及其各实施方式中的方法，所述管理设备用于执行上述第二方面及其各实施方式中的方法，所述网络设备用于执行上述第三方面及其各实施方式中的方法。

第八方面，提供了一种数据传输装置，包括：处理器和存储器；

所述存储器，用于存储计算机程序，所述计算机程序包括程序指令；

所述处理器，用于调用所述计算机程序，实现上述第一方面至第三方面中的任一方面及其各实施方式中的方法。

第九方面，提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令被处理器执行时，实现上述第一方面至第三方面中的任一方面及其各实施方式中的方法。

第十方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时，实现上述第一方面至第三方面中的任一方面及其各实施方式中的方法。

第十一方面，提供了一种芯片，芯片包括可编程逻辑电路和/或程序指令，当芯片运行时，实现上述第一方面至第三方面中的任一方面及其各实施方式中的方法。

附图说明

图1是本申请实施例提供的数据传输方法涉及的一种应用场景示意图；

图2是本申请实施例提供的一种数据传输方法的实现流程示意图；

图3是本申请实施例提供的另一种数据传输方法的实现流程示意图；

图4是本申请实施例提供的一种实施场景示意图；

图5是本申请实施例提供的一种系统架构示意图；

图6是本申请实施例提供的DMM-FE和TLV-FE分离场景下的注册流程示意图；

图7是本申请实施例提供的DMM-FE和TLV-FE合并场景下的注册流程示意图；

图8是本申请实施例提供的一种数据传输流程示意图；

图9是本申请实施例提供的一种终端设备的结构示意图；

图10是本申请实施例提供的另一种终端设备的结构示意图；

图11是本申请实施例提供的一种管理设备的结构示意图；

图12是本申请实施例提供的一种网络设备的结构示意图；

图13是本申请实施例提供的一种终端设备的硬件结构示意图；

图14是本申请实施例提供的一种管理设备的硬件结构示意图；

图15是本申请实施例提供的一种网络设备的硬件结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

近年来，随着第五代移动通信(the fifth-generation mobile communication，5G)技术的迅速发展与大规模商用，全球学术界与业界已经开启了下一代网络技术的研究探索，众多研究者与研究机构围绕未来网络的愿景、架构和关键技术等展开了大量研究与探讨。其中，安全与可信成为众多机构与厂商重点关注的研究领域。

随着人工智能、大数据、数字孪生等技术的发展，数据的价值日益凸显。数据被称为数字经济的“石油”。因此，如何保障数据有序、可信地流动，对于数字经济的发展至关重要。而网络作为数据流动与传输的底层承载者，如何保障可信的组网与数据传输，是未来网络可信的关键使能技术之一。

目前，在可信组网与数据传输方面，国际电信联盟电信标准化部门(International Telecommunicatons Union Telecommunication StandardizationSector，ITU-T)已经进行了大量的研究工作，正在研究或者已经发布了若干技术标准。例如，ITU-T Y.3052给出了信任的定义以及信息与通信技术(information andcommunications technology，ICT)领域信任的基础框架。在网络数据传输场景下，数据发送者为信托方(trustor)，网络设备为受托方(trustee)，信任是指数据发送者对网络设备按照既定的行为帮助其完成数据传输的期望。又例如，ITU-TY.3053提出一种基于信任域的可信组网架构，并在此基础上提出一种可信数据传输的方法。在该架构中，网络被划分为多个信任域，单个信任域内的实体互相信任，可以无需安全防护直接进行数据传输。不同的信任域之间的实体在进行数据传输时，需要通过各自的访问与传输控制功能(access anddelivery control functions)来进行控制，实现可信数据传输。其中，信任域全称为以信任为中心的网络域(trust-centric network domain)。

但是，尽管在可信组网与数据传输领域已经进行了大量的研究工作，当前仍然存在许多问题亟待解决，其中之一就是应用侧与网络侧解耦，无法建立统一的信任管理框架以支撑端到端的可信数据传输。随着5G时代的到来，各种新型应用层出不穷，但是网络仍被视为应用的管道，无法感知到应用。根据ITU-T Y.3052对信任的定义，信任与上下文高度相关。而在网络数据传输的场景中，不同的应用代表不同的上下文。应用的种类繁多，涉及到的业务类型各有不同，不同业务类型的数据对网络、运行环境的信任需求也不同。

基于此，本申请提出了一种技术方案，通过建立应用侧与网络侧统一的信任管理框架，实现对应用侧与网络侧的统一信任管理，使得应用侧可以向网络侧表达数据传输的信任需求，网络侧也可以判断某一业务是否可以使用某个特定可信级别的数据传输服务，并针对不同信任需求的业务数据选择合适的处理策略，例如访问控制和路由控制等。其中，业务对网络侧数据传输的信任需求越高，则网络侧理应使用可信级别越高的数据传输服务。

ITU-T中定义了服务质量(quality of service，QoS)和体验质量(quality ofexperience，QoE)等指标。其中QoS用于以量化的方式反映服务质量所能够达到的程度。QoE用于以量化的方式反映用户对于服务体验好或不好的程度。基于QoS和QoE等指标，网络侧能够根据相关参数做出调整，区别对待不同的业务和用户，从而提升网络的服务质量和用户的服务体验。同理，不同业务对网络侧数据传输的信任需求不同，例如支付类业务对网络侧数据传输的信任需求要高于视频类业务对网络侧数据传输的信任需求。另外，网络侧也需要区别不同的终端用户，防止某些终端用户恶意使用与其不匹配的可信数据传输服务，浪费甚至破坏网络资源。因此为了实现数据可信传输，需要将业务对数据传输的信任需求进行量化，使得网络侧能够针对不同的信任需求实现定制化的数据传输服务。另外，还需要基于统一的信任量化方式，制定应用侧与网络侧统一的信任管理体系。基于此，本申请提出了QoT的概念。QoT用于以量化的方式来描述设备可信度和业务对网络侧数据传输的信任需求。具体地，可以采用分级或打分等方式来量化描述设备可信度和业务对网络侧数据传输的信任需求。其中，分级是指将QoT分为多个级别，不同QoT级别代表不同的设备可信度或者业务对网络侧数据传输的不同信任需求。本申请实施例中主要以将QoT分为5个级别进行示例说明。该5个级别分别包括QoT级别1-5，级别越高，代表设备越可信或业务对数据传输的信任需求越高。本申请实施例对QoT的分级方式不做限定。通过不同的QoT级别划分，可以在各种粒度上满足不同类型的业务对数据传输的信任需求。打分是指在预设的打分区间内根据设备的可信度为设备进行可信度打分或根据业务对网络侧数据传输的信任需求为业务进行信任需求打分，不同分值代表设备的可信度不同或者业务对网络侧数据传输的信任需求不同。例如该打分区间可以是0至1，或者也可以是0至100，本申请实施例对打分区间的范围设置不作限定。

本申请实施例中，可以设置QoT分数与QoT级别的映射关系。例如预设的打分区间为0至1，QoT级别为1-5。其中，QoT分数0～0.2对应QoT级别1，QoT分数0.2～0.4对应QoT级别2，QoT分数0.4～0.6对应QoT级别3，QoT分数0.6～0.8对应QoT级别4，QoT分数0.8～1对应QoT级别5。在具体实现时，可以先为设备进行可信度打分或为业务进行信任需求打分，再根据打分得到的QoT分数确定对应的QoT级别。例如，对某个设备的可信度打分为0.5，则该设备对应QoT级别3。本申请中以分级的方式来量化描述设备可信度和业务对网络侧数据传输的信任需求。如果以打分的方式来量化描述设备可信度和业务对网络侧数据传输的信任需求，则可以采用QoT分数来统一替代描述QoT级别。

为了便于读者对本申请方案的理解，首先对本申请涉及的QoT级别进行解释说明。本申请涉及设备QoT级别和业务QoT级别这两种概念。

业务QoT级别用于表示业务对数据传输的信任需求。业务QoT级别越高，代表业务对数据传输的信任需求越高。业务QoT级别与业务类型相关。每种业务类型对应的业务QoT级别可以是预先设置好的。例如可以将支付类业务对应的业务QoT级别设置为4，用户信息类业务对应的业务QoT级别设置为3，多媒体流业务对应的业务QoT级别设置为2，等等。网络侧和应用侧都可以预先存储业务类型与业务QoT级别的对应关系。

设备QoT级别用于表示设备的可信度。设备QoT级别越高，代表设备越可信。设备QoT级别与设备自身信息相关。对于终端设备而言，设备QoT级别越高，则终端设备能够运行的业务对应的业务QoT级别越高。对于网络设备而言，设备QoT级别越高，则网络设备能够转发的业务对应的业务QoT级别越高。本申请实施例中，设备的可信度也体现了设备的安全性，相应地，设备QoT级别也能用于表示设备的安全性。对于终端设备而言，设备QoT级别越高，代表该终端设备的运行环境和/或该终端设备所处的网络环境越安全。对于网络设备而言，设备QoT级别越高，代表该网络设备能够提供越安全的数据传输服务。

可选地，设备QoT级别与业务QoT级别可以是一一对应的，即设备QoT级别与业务QoT级别的划分粒度相同。这种情况下，对于网络设备而言，网络设备通常用于转发业务QoT级别与该网络设备的设备QoT级别相同的业务。例如，网络设备的设备QoT级别为3，则该网络设备能够转发业务QoT级别为3的业务。当然也不排除网络设备可以转发业务QoT级别低于或略高于该网络设备的设备QoT级别的业务的可能性。对于终端设备而言，终端设备通常支持运行业务QoT级别不高于该终端设备的设备QoT级别的业务。例如，终端设备的设备QoT级别为3，则该终端设备能够运行业务QoT级别为1-3的业务。当然也不排除终端设备可以运行业务QoT级别略高于该终端设备的设备QoT级别的业务的可能性。例如，终端设备的设备QoT级别为3，则终端设备能够运行业务QoT级别为1-4的业务。但终端设备在运行业务QoT级别4的业务时，受制于终端设备自身的设备QoT级别，可能存在一定的安全风险，此时终端设备可以进行告警提示。本申请实施例中，将终端设备支持运行的业务对应的业务QoT级别称为与终端设备的设备QoT级别相匹配的业务QoT级别。将网络设备支持转发的业务对应的业务QoT级别称为与网络设备的设备QoT级别相匹配的业务QoT级别。

或者，设备QoT级别与业务QoT级别也可以是一对多的关系，即设备QoT级别的划分粒度粗于业务QoT级别的划分粒度。例如，设备QoT级别划分为5个级别，业务QoT级别划分为10个QoT级别。对于网络设备而言，设备QoT级别1与业务QoT级别1-2相匹配，设备QoT级别2与业务QoT级别3-4相匹配，设备QoT级别3与业务QoT级别5-6相匹配，设备QoT级别4与业务QoT级别7-8相匹配，设备QoT级别5与业务QoT级别9-10相匹配。对于终端设备而言，设备QoT级别1与业务QoT级别1-2相匹配，设备QoT级别2与业务QoT级别1-4相匹配，设备QoT级别3与业务QoT级别1-6相匹配，设备QoT级别4与业务QoT级别1-8相匹配，设备QoT级别5与业务QoT级别1-10相匹配。

又或者，设备QoT级别与业务QoT级别也可以是多对一的关系，即设备QoT级别的划分粒度细于业务QoT级别的划分粒度。

本申请实施例对业务QoT级别和设备QoT级别的划分方式不做限定。另外，终端设备的设备QoT级别所匹配的业务QoT级别以及网络设备的设备QoT级别所匹配的业务QoT级别分别取决于网络侧的决策，本申请实施例对此也不做限定。

本申请在应用侧和网络侧统一划分设备QoT级别和业务QoT级别的基础上，提出了一种技术方案。终端设备在获取业务对应的业务QoT级别之后，在该业务对应的业务QoT级别与该终端设备的设备QoT级别相匹配的情况下，获取该终端设备与该业务的目的地址之间建立的与该业务对应的业务QoT级别相匹配的通信连接的连接标识，然后在向该业务的目的地址发送的该业务的业务报文中携带该连接标识，以指示接收到该业务报文的网络设备基于该连接标识对应的通信连接传输该业务报文。由于终端设备所传输的业务对应的业务QoT级别与终端设备的设备QoT级别相匹配，业务传输所基于的通信连接与该业务对应的业务QoT级别相匹配，因此网络侧能够结合终端设备的可信度和业务对数据传输的信任需求，为该终端设备上的该业务提供匹配的可信传输，提升了网络的服务质量和用户的服务体验。

下面从应用场景、方法流程、功能模块、软件装置、硬件装置、系统等多个角度，对本技术方案进行详细介绍。

下面对本申请实施例涉及的应用场景举例说明。

例如，图1是本申请实施例提供的数据传输方法涉及的一种应用场景示意图。如图1所示，该应用场景包括：终端设备101、网络设备102和管理设备103。图1中各类设备的数量仅用作示例性说明，不作为对本申请实施例涉及的应用场景的限制。

可选地，本申请实施例提供的数据传输方法可以应用于移动蜂窝网络或互联网协议(Internet Protocol，IP)网络。IP网络例如包括数据中心网络(data center network，DCN)、城域网络、广域网络或园区网络等。

在移动蜂窝网络中，终端设备101可以是用户设备(user equipment，UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、用户代理或用户装置。或者，终端设备101还可以是蜂窝电话、无绳电话、会话启动协议(SessionInitiation Protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digita1 assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G系统(5G system，5GS)中的终端设备或者未来演进的公用陆地移动通信网络(pub1ic land mobi1e network，PLMN)中的终端设备等。网络设备102可以是接入网设备。接入网设备用于为终端设备101提供无线通信功能。终端设备101可以通过接入网设备与核心网设备之间建立通信关系。接入网设备可以是各种形式的宏基站，微基站，中继站，接入点等等。管理设备103可以是核心网设备。核心网设备的功能主要是提供用户连接、对用户的管理以及对业务完成承载，作为承载网络提供到外部网络的接口。例如，核心网设备可以包括接入和移动性管理功能(accessand mobility management function，AMF)实体、用户平面功能(user plane function，UPF)实体和会话管理功能(session management function，SMF)实体等设备。

在IP网络中，终端设备101可以是工作站，例如可以是计算机、服务器或虚拟机(virtual machine，VM)等。网络设备102可以是路由器、交换机或防火墙等。管理设备103可以是网络控制器，网络管理设备，网关或其它具有控制能力的设备。管理设备103与网络设备102之间通过有线网络或无线网络连接。管理设备103用于管理和控制网络设备102。

下面对本申请实施例的方法流程举例说明。

可选地，本申请技术方案主要分为两个实现阶段，分别为注册阶段和数据传输阶段。在注册阶段，网络侧对终端设备进行信任评估，并根据评估结果为终端设备签发QoT证书，以通过QoT证书对终端设备进行QoT授权管理。在数据传输阶段，终端设备使用QoT证书与网络侧建立通信连接，网络侧根据终端设备的QoT证书，决定是否允许建立通信连接，从而实现访问控制的功能。在移动蜂窝网络中，通信连接可以指会话(session)。在IP网络中，通信连接可以指隧道。本申请以下实施例分别对注册阶段和数据传输阶段的实现流程进行详细说明。

在本申请的一个实施例中，提供了注册阶段的实现流程。例如，图2是本申请实施例提供的一种数据传输方法200的实现流程示意图。该方法200仅示出了注册阶段的实现流程。如图2所示，方法200包括步骤201至步骤205。

步骤201、终端设备向管理设备发送注册请求。

注册请求用于终端设备向管理设备申请发起注册流程。可选地，注册请求包括终端设备的设备标识。终端设备的设备标识能够唯一标识该终端设备。例如，终端设备的设备标识可以是终端设备的设备序列号、终端设备的媒体访问控制(Media Access Control，MAC)地址、终端设备的IP地址或终端设备的国际移动设备识别码(international mobileequipment identity，IMEI)。可选地，注册请求还包括终端设备的用户标识。例如，用户标识可以是用户永久标识码(subscription permanent identifier，SUPI)。

步骤202、管理设备基于该注册请求，向终端设备发送QoT认证请求，该QoT认证请求包括QoT参数指示。

QoT参数指示用于指示终端设备所需提供的QoT参数。可选地，QoT参数包括设备身份信息、硬件配置信息、软件配置信息或网络接入信息中的一种或多种。设备身份信息包括设备标识。设备身份信息还可以包括用户标识和/或原始设备制造商(original equipmentmanufacturer，OEM)标识。硬件配置信息包括但不限于设备类型、硬件版本、可信执行环境(trusted execution environment，TEE)能力或安全或可信启动能力。软件配置信息包括但不限于操作系统(operating system，OS)版本(version)或补丁(patches)。网络接入信息包括但不限于无线接入技术(radio access technology，RAT)、安全级别(securitylevel)或接入点位置(location)。其中，无线接入技术包括但不限于长期演进(long termevolution，LTE)、5G或无线局域网(wireless local area network，WLAN)。

可选地，QoT参数指示可以采用位图(bitmap)格式。例如可以将必选参数对应的比特位设置为1，将可选参数对应的比特位设置为0。例如，管理设备需要终端设备提供8个QoT参数，其中前4个QoT参数为必选参数，后4个QoT参数为可选参数，则QoT参数指示可设置为11110000。

可选地，QoT认证请求还包括随机数。通过在QoT认证请求中携带随机数，有助于终端设备识别重放攻击。

可选地，QoT认证请求还包括终端设备的设备标识和/或终端设备的用户标识。

步骤203、终端设备向管理设备发送QoT认证响应，该QoT认证响应包括该QoT参数指示所指示的QoT参数。

可选地，终端设备接收到管理设备发送的QoT认证请求之后，解析QoT参数指示并收集相应的参数信息，并将这些参数信息打包到QoT参数列表中，然后基于该QoT认证请求，向管理设备发送携带有该QoT参数列表的QoT认证响应。

可选地，在终端设备向管理设备发送QoT认证响应之前，终端设备与管理设备之间可以先进行认证与密钥协商，约定好一对非对称密钥或一个对称密钥。本申请实施例以终端设备和管理设备双方共享一个对称密钥k为例进行说明。这样，终端设备可以采用对称密钥k对终端设备的QoT参数加密传输，以提高QoT参数的传输机密性和安全性。

可选地，若QoT认证请求包括随机数，则QoT认证响应也可以包括该随机数。

本申请实施例中，终端设备与管理设备之间也可以事先约定好签发QoT证书时终端设备所需提供的QoT参数，这样，终端设备想要获取QoT证书时，直接向管理设备发送终端设备的QoT参数即可。也即是，上述步骤201至步骤203可替代为：终端设备向管理设备发送终端设备的QoT参数。

步骤204、管理设备基于终端设备发送的QoT参数生成该终端设备的QoT证书。

终端设备的QoT证书包括该终端设备的设备QoT级别。管理设备根据终端设备的QoT参数对终端设备进行信任评估，并根据评估结果，使用自己的私钥为终端设备签发一个QoT证书。例如，管理设备对终端设备的信任评估标准可以如表1所示。

表1

表1中，“a>b”表示a对应的设备QoT级别高于b对应的设备QoT级别。OEM是否可信，可以由管理设备自行判断。

可选地，管理设备在确定终端设备的设备QoT级别之后，可以进一步确定该终端设备允许使用的业务QoT级别和默认使用的业务QoT级别。例如，管理设备针对不同设备QoT级别的终端设备分别设置的QoT转发策略可以如表2所示。

表2

参见表2，管理设备可以设置QoT分数与终端设备的设备QoT级别的映射关系。管理设备在对终端设备进行信任评估时，可以先根据终端设备的QoT参数对终端设备进行可信度打分，再将打分得到的QoT分数对应的设备QoT级别作为该终端设备的设备QoT级别。或者，管理设备也可以直接根据终端设备的QoT参数确定终端设备的设备QoT级别，也即表2中可以不设置QoT分数这一表项。

可选地，终端设备的QoT证书还包括管理设备针对该终端设备的QoT转发策略，该QoT转发策略包括管理设备向终端设备提供的最高业务QoT级别和/或管理设备向终端设备提供的默认业务QoT级别。例如，终端设备的QoT证书可基于X.509的证书格式，并使用扩展域(extension field)来扩展QoT能力。举例来说，终端设备的QoT证书内容可以表示如下：

“

1.终端设备的OS版本

2.终端设备的设备序列号

3.签名算法

4.签名哈希算法

5.颁发者：域名或域标识(domain name/domain ID)

6.有效期：xx/xx/xx-xx/xx/xx

7.使用者：用户标识

8.公钥

9.终端设备的QoT信息

9.1验证结果(设备QoT级别＝3)

9.2使用的QoT参数

9.3支持业务QoT级别：1-4

9.4默认业务QoT级别：2

10.数字签名

”

可选地，若QoT认证响应中的QoT参数采用对称密钥k加密，则管理设备接收到该QoT认证响应后，采用对称密钥k对该QoT认证响应中的QoT参数解密后得到终端设备的QoT参数。

可选地，若QoT认证响应中携带有随机数，管理设备接收到该QoT认证响应之后，先基于该QoT认证响应中的随机数来验证消息的新鲜性。在验证通过之后，管理设备再对终端设备进行信任评估。通过在QoT认证响应中携带随机数，一方面使得管理设备能够进行消息新鲜性验证，另一方面有助于管理设备识别重放攻击。

步骤205、管理设备向终端设备发送QoT证书。

终端设备接收到管理设备发送的QoT证书之后，存储该QoT证书。终端设备上的应用能够感知终端设备的QoT证书中的信息，并设置本地的QoT转发策略。例如，应用针对不同设备QoT级别的终端设备分别设置的QoT转发策略可以如表3所示。

表3

参见表3，处理策略“允许”表示应用能够运行对应的业务QoT级别的业务。处理策略“允许并警告”表示应用能够运行对应的业务QoT级别的业务但会向用户告警。处理策略“禁止”表示应用被禁止运行对应的业务QoT级别的业务。应用侧的QoT转发策略可由用户手动更改，例如用户可手动更改业务QoT级别对应的处理策略。

可选地，当终端设备的QoT证书满足证书更新条件时，终端设备向管理设备发送终端设备的最新的QoT参数。管理设备基于终端设备的最新的QoT参数生成更新后的QoT证书。然后，管理设备向终端设备发送更新后的QoT证书。终端设备接收到管理设备发送的更新后的QoT证书之后，存储更新后的QoT证书，并视原有的QoT证书失效。在终端设备的QoT证书发生变更之后，终端设备上的应用更新后的QoT证书调整QoT转发策略。

可选地，证书更新流程可以由终端设备触发，则证书更新的实现过程可参考上述步骤201至步骤205。或者，证书更新流程也可以由管理设备触发，则证书更新的实现过程可参考上述步骤202至步骤205。本申请实施例对此不再赘述。

可选地，QoT证书的证书更新条件包括以下一种或多种：QoT证书超出有效期；终端设备的QoT参数发生变更；终端设备和/或管理设备无法解析QoT证书。例如管理设备签发的QoT证书的有效期为24小时，则QoT证书到期后，可以由终端设备或管理设备触发证书更新流程。又例如在原QoT证书的有效期内，终端设备发生系统更新、重启、切换网络制式(例如由WLAN切换至5G)或基站切换等情况，则终端设备可以触发证书更新流程。如果是由于终端设备的QoT参数发生变更，或者是终端设备和/或管理设备无法解析终端设备原有的QoT证书而导致终端设备原有的QoT证书失效的，管理设备还需要吊销终端设备原有的QoT证书。

在本申请的另一个实施例中，提供了数据传输阶段的实现流程。例如，图3是本申请实施例提供的一种数据传输方法300的实现流程示意图。该方法300示出了数据传输阶段的实现流程。如图3所示，方法300包括步骤301至步骤305。

步骤301、终端设备获取第一业务对应的业务QoT级别和第一业务的目的地址。

第一业务对应的业务QoT级别与终端设备的设备QoT级别相匹配。

用户在终端设备上启动应用并选择业务，应用根据本地预置的业务类型与业务QoT级别的对应关系，确定用户选择的业务对应的业务QoT级别。例如应用侧设置的QoT转发策略如表3所示，则存在以下三种可能情况。

第一种可能情况，用户选择的业务对应的业务QoT级别所对应的处理策略为允许。则应用直接产生业务消息(message)，并由终端设备发送。该业务消息包括对传输该业务消息所需的业务QoT级别的指示、目的地址(destination)和业务数据(data)。

第二种可能情况，用户选择的业务对应的业务QoT级别所对应的处理策略为允许并警告。则应用显性地向用户发送告警，提示用户当前选择的业务对应的业务QoT级别高于终端设备的设备QoT级别(例如终端设备的设备QoT级别为2，用户选择的业务对应的业务QoT级别为3)，并给出用户选项(例如包括继续或停止)，由用户选择是否继续运行该业务。如果用户选择继续，则应用产生业务消息，并由终端设备发送。如果用户选择停止，则应用停止运行该业务。可选地，应用显性地向用户发送告警，可以是在应用界面上显示告警信息和用户选项。

在上述第一种可能情况和第二种可能情况下，用户选择的业务对应的业务QoT级别均视为与终端设备的设备QoT级别相匹配。

第三种可能情况，用户选择的业务对应的业务QoT级别所对应的处理策略为禁止。则应用显性地告知用户拒绝服务。应用还可以显性地告知拒绝理由，该拒绝理由为用户当前选择的业务对应的业务QoT级别与终端设备的设备QoT级别不匹配。

步骤302、终端设备根据第一业务对应的业务QoT级别和第一业务的目的地址获取目标连接标识。

目标连接标识为终端设备与第一业务的目的地址之间建立的与第一业务对应的业务QoT级别相匹配的目标通信连接的连接标识。

可选地，终端设备中存储有连接标识集合，连接标识集合用于记录终端设备已建立的通信连接的连接标识，连接标识集合中的每个连接标识均对应设置有目的地址和业务QoT级别。终端设备获取第一业务对应的业务QoT级别和第一业务的目的地址之后，首先查询连接标识集合是否存储有与第一业务的目的地址和第一业务对应的服务QoT级别对应的连接标识。当连接标识集合中不存在与第一业务对应的业务QoT级别和第一业务的目的地址对应的连接标识时，执行以下步骤3021至步骤3023。

在步骤3021中，终端设备向管理设备发送数据传输请求，该数据传输请求包括第一业务的目的地址和终端设备的QoT证书。

管理设备接收到终端设备发送的数据传输请求之后，基于该数据传输请求中的QoT证书，建立终端设备与第一业务的目的地址之间的目标通信连接。可选地，管理设备接收到终端设备发送的数据传输请求之后，可以先验证该数据传输请求中的QoT证书是否有效，在QoT证书有效的情况下，再建立相应的通信连接。

可选地，数据传输请求还包括业务QoT级别指示，该业务QoT级别指示用于指示第一业务对应的业务QoT级别。或者，若第一业务对应的业务QoT级别为管理设备向终端设备提供的默认业务QoT级别，则该数据传输请求也可以不包括业务QoT级别指示。

在数据传输请求包括业务QoT级别指示的情况下，当该业务QoT级别指示所指示的业务QoT级别与终端设备的设备QoT级别相匹配时，管理设备建立该业务QoT级别指示所指示的业务QoT级别对应的通信连接。当该业务QoT级别指示所指示的业务QoT级别与终端设备的设备QoT级别不匹配时，管理设备拒绝建立该业务QoT级别指示所指示的业务QoT级别对应的通信连接。可选地，管理设备可以从终端设备的QoT证书中获取终端设备的设备QoT级别。

在数据传输请求不包括业务QoT级别指示的情况下，管理设备建立向终端设备提供的默认业务QoT级别对应的通信连接。可选地，管理设备可以从终端设备的QoT证书中获取管理设备向终端设备提供的默认业务QoT级别。

在步骤3022中，终端设备接收管理设备发送的数据传输响应，该数据传输响应包括目标连接标识。

可选地，数据传输响应还可以包括一些QoT策略，例如是否允许终端设备基于目标通信连接传输业务QoT级别低于该目标通信连接对应的业务QoT级别的业务，等等。

在步骤3023中，终端设备在连接标识集合中添加第一业务的目的地址、第一业务对应的业务QoT级别与目标连接标识的对应关系。

这样，终端设备后续需要传输目的地址与第一业务的目的地址相同、业务QoT级别与第一业务对应的业务QoT级别相同的业务时，直接可以从连接标识集合中获取到目标连接标识，表示终端设备已建立有可用的满足QoT需求的目标通信连接。

步骤303、终端设备向第一业务的目的地址发送第一业务的业务报文，该业务报文包括目标连接标识。

第一业务的业务报文中的目标连接标识用于指示基于目标通信连接传输该业务报文。

可选地，第一业务的业务报文还包括对第一业务对应的业务QoT级别的指示以及针对该指示的完整性验证标签。可选地，针对该指示的完整性验证标签可以是终端设备采用对称密钥k对该指示计算得到的消息认证码(message authentication code，MAC)，或者也可以是终端设备采用私钥对该指示的签名。完整性验证标签用于验证消息完整性以及是否被篡改。

可选地，通过在第一业务的业务报文的报文头中扩展一个QoT头(QoT header)，用于携带对第一业务对应的业务QoT级别的指示。对第一业务对应的业务QoT级别的指示，具体可以是第一业务对应的业务QoT级别，或者也可以是第一业务的业务类型，网络侧可以基于预先设置的业务类型与业务QoT级别的对应关系，根据第一业务的业务类型确定第一业务对应的业务QoT级别。

网络设备接收到第一业务的业务报文之后，执行以下步骤304至步骤305。可选地，在网络设备接收到的业务报文包括对第一业务对应的业务QoT级别的指示以及针对该指示的完整性验证标签的情况下，网络设备首先验证该完整性验证标签，在验证通过的前提下再执行以下步骤304至步骤305。否则网络设备直接丢弃该业务报文。

步骤304、网络设备获取目标连接标识对应的目标传输路径，目标传输路径上的网络设备的设备QoT级别与目标连接标识对应的业务QoT级别相匹配。

一种可能实现方式，步骤304的实现过程包括：网络设备向管理设备发送路径计算请求，该路径计算请求包括目标连接标识。网络设备接收管理设备发送的路径计算响应，该路径计算响应包括目标传输路径的路径信息。

相应地，对于管理设备而言，管理设备接收到网络设备的路径计算请求之后，根据目标连接标识对应的业务QoT级别，确定目标通信连接所使用的目标传输路径，该目标传输路径上的网络设备的设备QoT级别与目标连接标识对应的业务QoT级别相匹配。然后管理设备向网络设备发送路径计算响应。

可选地，管理设备负责网络设备全生命周期的QoT信息管理，包括设备QoT级别的初始化、修改、更新、存储、分发、删除等。管理设备可以根据网络设备的软件配置信息、硬件配置信息、运行时状态、生产厂家的可靠性以及历史转发表现等属性，确定各个网络设备的设备QoT级别。

另一种可能实现方式，管理设备在建立目标通信连接之后，确定该目标通信连接所使用的目标传输路径，然后管理设备在向终端设备发送的数据传输响应中携带该目标传输路径的路径信息。数据传输响应由网络设备转发给终端设备。这里的网络设备可以是终端设备接入网络的边缘设备。

一种情况下，网络设备接收到管理设备向终端设备发送的数据传输响应之后，解析该数据传输响应，获取并存储目标传输路径与目标连接标识的对应关系，这样网络设备接收到携带有目标连接标识的业务报文后，可以直接用于传输该业务报文的目标传输路径。

另一种情况下，终端设备接收到管理设备发送的数据传输响应之后，解析该数据传输响应，获取并存储目标传输路径与目标连接标识的对应关系。然后终端设备在发送的业务报文中携带目标传输路径的路径信息，例如在业务报文的报文头中添加标签列表以携带路径信息。这样接收到该业务报文的网络设备可以直接从业务报文中获取目标传输路径的路径信息。

步骤305、网络设备基于目标传输路径转发该业务报文。

可选地，当业务报文中携带的对业务QoT级别的指示所指示的业务QoT级别与目标连接标识对应的业务QoT级别相同，且网络设备对针对该指示的完整性验证标签验证通过时，网络设备基于目标传输路径转发该业务报文。可选地，业务报文经过的每个网络设备都可以执行该验证过程，或者，也可以仅由业务报文经过的每个域的边缘设备执行该验证过程，本申请实施例对此不做限定。

本申请实施例中，通过在业务报文中携带对业务QoT级别的指示以及针对该指示的完整性验证标签，使得网络设备可以验证该业务报文实际使用的业务QoT级别与该业务真实匹配的业务QoT级别是否相同，另外还可以验证业务报文是否被篡改过，进而提高数据传输的可靠性和可信度。

在一些实施方式中，终端设备获取第二业务对应的业务QoT级别，第二业务对应的业务QoT级别与终端设备的设备QoT级别不匹配。终端设备拒绝传输该第二业务的业务报文。

由于应用侧的QoT转发策略可由用户手动更改，因此可能会出现应用侧的QoT转发策略允许运行与终端设备的设备QoT级别不匹配的业务QoT级别的业务。例如终端设备的设备QoT级别为3，网络侧的QoT转发策略为设备QoT级别3与业务QoT级别1-4相匹配，应用侧的QoT转发策略为禁止运行业务QoT级别为5的业务。此时，若用户在终端设备上启动应用，并选择业务QoT级别为5的业务，应用会显性地告知用户拒绝服务。若用户手动更改应用侧的QoT转发策略，将业务QoT级别5对应的处理策略修改为允许，并重新启动应用和选择服务，则应用会产生业务消息，并准备由终端设备发送。但是在网络侧，该业务对应的业务QoT级别与终端设备的设备QoT级别是不匹配的，因此终端设备会拒绝传输该业务的业务报文，避免用户恶意使用与终端设备的可信度不匹配的可信数据传输服务，使得网络侧既能满足业务的信任需求，又能考虑到终端设备的可信度，进而实现数据的可信传输。

可选地，当终端设备接收到业务QoT级别与终端设备的设备QoT级别不匹配的业务消息时，终端设备可以自行决定拒绝传输。例如，在终端设备的QoT证书包括管理设备向终端设备提供的业务QoT级别的情况下，终端设备获取到业务消息之后，可以基于自身的QoT证书判断业务消息中携带的业务QoT级别是否属于管理设备向该终端设备提供的业务QoT级别，若不属于，则终端设备确定该业务QoT级别与终端设备的设备QoT级别不匹配，此时终端设备可以拒绝传输相应的业务报文。

或者，当终端设备接收到来自应用的业务消息时，可以向管理设备发送数据传输请求，该数据传输请求包括终端设备的QoT证书、业务QoT级别指示和目的地址。管理设备确定该业务QoT级别指示所指示的业务QoT级别不属于终端设备的设备QoT级别所匹配的业务QoT级别，即确定该业务QoT级别指示所指示的业务QoT级别与终端设备的设备QoT级别不匹配，此时管理设备可以向终端设备发送拒绝传输响应。终端设备基于该拒绝传输响应，拒绝传输相应的业务报文。

例如，图4是本申请实施例提供的一种实施场景示意图。如图4所示，该实施场景中包括终端设备401、网络设备402A-402F以及服务器403A-403C。假设终端设备401被授权可使用业务QoT级别为1-4的数据传输服务。终端设备401与服务器403A之间建立有业务QoT级别为4的通信连接1，通信连接1使用的传输路径包括网络设备402A和网络设备402B。终端设备401与服务器403B之间建立有业务QoT级别为3的通信连接2，通信连接2使用的传输路径包括网络设备402C和网络设备402D。终端设备401与服务器403C之间建立有业务QoT级别为2的通信连接3，通信连接3使用的传输路径包括网络设备402E和网络设备402F。假设多媒体流业务对应的业务QoT级别为2，用户信息类业务对应的业务QoT级别为3，支付类业务对应的业务QoT级别为4。

参见图4，终端设备401可以通过通信连接1向服务器403A发送支付类业务的业务报文。终端设备401可以通过通信连接2向服务器403B发送用户信息类业务的业务报文。终端设备401可以通过通信连接3向服务器403C发送多媒体流业务的业务报文。但是当终端设备401上的应用需要传输业务QoT级别为5的业务报文时，由于网络侧未授权终端设备使用业务QoT级别为5的数据传输服务，因此终端设备401会拒绝传输该业务报文。

综上所述，在本申请实施例提供的数据传输方法中，终端设备在获取业务对应的业务QoT级别之后，在该业务对应的业务QoT级别与该终端设备的设备QoT级别相匹配的情况下，获取该终端设备与该业务的目的地址之间建立的与该业务对应的业务QoT级别相匹配的通信连接的连接标识，然后在向该业务的目的地址发送的该业务的业务报文中携带该连接标识，以指示接收到该业务报文的网络设备基于该连接标识对应的通信连接传输该业务报文。由于终端设备所传输的业务对应的业务QoT级别与终端设备的设备QoT级别相匹配，业务传输所基于的通信连接与该业务对应的业务QoT级别相匹配，因此网络侧能够结合终端设备的可信度和业务对数据传输的信任需求，为该终端设备上的该业务提供匹配的可信传输，提升了网络的服务质量和用户的服务体验。

本申请实施例以上述数据传输方法应用于移动蜂窝网络为例进行示例性说明。例如，上述数据传输方法涉及的系统架构可以基于Y.3053中的功能架构扩展实现。图5是本申请实施例提供的一种系统架构示意图。如图5所示，该系统架构的主体为信任域。每个信任域包括三个主要的功能集合，分别为接入与分发控制功能集合(access and deliverycontrol functions)、域管理功能集合(domain administration functions)和信任管理功能集合(trust management functions)。信任域通过参考点可与外部信任域以及应用/服务(application and services)连接。应用/服务之间也可通过参考点连接，从而形成端到端的参考架构。

请继续参见图5，应用/服务之间通过参考点Tx连接。参考点Tx是一个逻辑参考点，使端到端的请求/响应信息能够在应用/服务之间可靠安全地交换，以便建立可信赖的网络。信任域与外部信任域之间通过参考点Tp和参考点Td连接。参考点Tp是控制面接口，使请求/响应信息能够在信任域之间可靠和安全地交换。参考点Td是数据面接口，提供可靠安全地跨域数据传输。信任域与应用/服务之间通过参考点Ts连接。参考点Ts使请求/响应信息能够在信任域与应用/服务之间可靠和安全地交换。参考点的定义和功能具体可参考Y.3053，本申请实施例在此不做赘述。

请继续参见图5，接入与分发控制功能集合包括基于信任的路由支持功能实体(trust based routing support functional entity，TRS-FE)、数据传输和处理功能实体(data transport and processing functional entity，DPT-FE)、访问/对等控制支持功能实体(accessing/peering control support functional entity，APCS-FE)、基于信任的隧道支持功能实体(trust based tunneling support functional entity，TTS-FE)和基于ID的路由支持功能实体(ID-based routing support functional entity，IRS-FE)。域管理功能集合包括ID定位映射支持功能实体(ID-locator mapping supportfunctional entity，ILMS-FE)、域成员管理功能实体(domain membership managementfunctional entity，DMM-FE)、域策略管理功能实体(domain policy managementfunctional entity，DPM-FE)和域应用和服务管理功能实体(domain application andservice management functional entity，DASM-FE)。信任管理功能集合包括信任验证支持功能实体(trust verification support functional entity，TVS-FE)、信任级别验证功能实体(trust level validation functional entity，TLV-FE)和信任信息生命周期管理功能实体(trust information lifecycle management functional entity，TILM-FE)。相较于Y.3053功能架构，DASM-FE、TRS-FE和TTS-FE是新增功能实体。另外，本系统架构对TVS-FE、TLV-FE和TILM-FE这三个功能实体进行了增强。

TVS-FE：在Y.3053中，TVS-FE负责收集信任域内网络元素的信息，用于评估网络元素的信任级别。本申请在该功能实体原有功能的基础上，增强了QoT信息收集能力，即该功能实体可以确定并收集网络元素用于QoT评估的信息。这里将网络设备和终端设备统称为网络元素。

TLV-FE：在Y.3053中，TLV-FE负责评估网络元素的信任级别。本申请在该功能实体原有功能的基础上，增强QoT级别评估能力。该能力可通过两种方式实现：1)直接根据QoT评估模型，评估网络元素的设备QoT级别；2)先根据Y.3053的定义，评估网络元素的信任级别，再将其映射为设备QoT级别。

TILM-FE：在Y.3053中，TILM-FE负责信任域内信任信息的生命周期管理，例如信任值的创建、分发、修改、和删除。本申请在原有功能的基础上，增强QoT信息生命周期管理的能力，包括网络元素的设备QoT级别的创建、分发、修改和删除等。

DASM-FE：负责管理业务的QoT分级，并根据业务QoT级别和终端设备的QoT证书进行会话管理。

TRS-FE：根据业务报文携带的QoT信息，以及会话的QoT策略，实现基于QoT的路由规划与控制，例如路径计算等。

TTS-FE：根据会话的QoT策略与业务报文携带的QoT信息等，实现基于QoT的端到端隧道管理，包括建立、维护、修改和释放等。

图5示出的信任域中其它功能实体的作用可参考Y.3053，本申请实施例在此不做赘述。

请继续参见图5，应用/服务内置有QoT模块，用于为应用提供QoT处理能力。例如获取终端设备的QoT证书，设置或修改应用侧的QoT转发策略等。

在基于图5示出的系统架构下，管理设备由一个或多个功能实体实现。本申请以下实施例对上述方法200和方法300的具体实现流程进行示例说明。

例如，图6是本申请实施例提供的DMM-FE和TLV-FE分离场景下的注册流程示意图。如图6所示，该注册流程包括以下步骤601至步骤610。

步骤601、终端设备向DMM-FE发送注册请求。

注册请求包括终端设备的设备标识。可选地，注册请求还包括终端设备的用户标识。此步骤601的解释可参考上述步骤201，本申请实施例在此不再赘述。

步骤602、DMM-FE向TLV-FE发送QoT评估请求信令。

QoT评估请求信令包括终端设备的设备标识。可选地，QoT评估请求信令还包括终端设备的用户标识。

步骤603、TLV-FE向终端设备发送QoT认证请求，该QoT认证请求包括QoT参数指示。

此步骤603的解释可参考上述步骤202，本申请实施例在此不再赘述。

步骤604、终端设备向TLV-FE发送QoT认证响应，该QoT认证响应包括该QoT参数指示所指示的QoT参数。

此步骤604的解释可参考上述步骤203，本申请实施例在此不再赘述。

步骤605、TLV-FE基于终端设备发送的QoT参数对终端设备进行QoT评估，得到QoT评估结果，该QoT评估结果包括终端设备的设备QoT级别。

步骤606、TLV-FE向DMM-FE发送该QoT评估结果。

步骤607、DMM-FE使用私钥为终端设备签发QoT证书，该QoT证书包括该QoT评估结果。

上述步骤605至步骤607的解释可参考上述步骤204，本申请实施例在此不再赘述。

步骤608、DMM-FE向终端设备发送QoT证书。

此步骤608的解释可参考上述步骤205，本申请实施例在此不再赘述。

步骤609、DMM-FE向DASM-FE发送QoT证书更新消息，QoT证书更新消息包括终端设备的设备标识和终端设备的QoT证书。

步骤610、DASM-FE根据QoT证书更新消息，生成终端设备在网络侧的QoT转发策略。

可选地，终端设备在网络侧的QoT转发策略包括终端设备允许使用的最高业务QoT级别和/或终端设备默认使用的业务QoT级别。

又例如，图7是本申请实施例提供的DMM-FE和TLV-FE合并场景下的注册流程示意图。图7中将合并的DMM-FE和TLV-FE简称为DMM-FE/TLV-FE。如图7所示，该注册流程包括以下步骤701至步骤708。

步骤701、终端设备向DMM-FE/TLV-FE发送注册请求。

注册请求包括终端设备的设备标识。可选地，注册请求还包括终端设备的用户标识。此步骤701的解释可参考上述步骤201，本申请实施例在此不再赘述。

步骤702、DMM-FE/TLV-FE向终端设备发送QoT认证请求，该QoT认证请求包括QoT参数指示。

此步骤702的解释可参考上述步骤202，本申请实施例在此不再赘述。

步骤703、终端设备向DMM-FE/TLV-FE发送QoT认证响应，该QoT认证响应包括该QoT参数指示所指示的QoT参数。

此步骤703的解释可参考上述步骤203，本申请实施例在此不再赘述。

步骤704、DMM-FE/TLV-FE基于终端设备发送的QoT参数对终端设备进行QoT评估，得到QoT评估结果，该QoT评估结果包括终端设备的设备QoT级别。

步骤705、DMM-FE/TLV-FE使用私钥为终端设备签发QoT证书，该QoT证书包括该QoT评估结果。

上述步骤704至步骤705的解释可参考上述步骤204，本申请实施例在此不再赘述。

步骤706、DMM-FE/TLV-FE向终端设备发送QoT证书。

此步骤706的解释可参考上述步骤205，本申请实施例在此不再赘述。

步骤707、DMM-FE/TLV-FE向DASM-FE发送QoT证书更新消息，QoT证书更新消息包括终端设备的设备标识和终端设备的QoT证书。

步骤708、DASM-FE根据QoT证书更新消息，生成终端设备在网络侧的QoT转发策略。

可选地，终端设备在网络侧的QoT转发策略包括终端设备允许使用的最高业务QoT级别和/或终端设备默认使用的业务QoT级别。

值得说明的是，终端设备的QoT证书的更新流程可参考上述图6或图7示出的注册流程，本申请实施例在此不再赘述。

又例如，图8是本申请实施例提供的一种数据传输流程示意图。如图8所示，该数据传输流程包括以下步骤801至步骤813。

步骤801、终端设备获取业务对应的业务QoT级别和业务的目的地址。

此步骤801的解释可参考上述步骤301，本申请实施例在此不再赘述。

步骤802、终端设备向DASM-FE发送会话建立请求，会话建立请求中包括业务的目的地址、业务对应的业务QoT级别和终端设备的QoT证书。

会话建立请求用于向网络侧请求建立会话。

步骤803、DASM-FE验证会话建立请求中的终端设备的QoT证书是否有效，并基于该终端设备在网络侧的QoT转发策略判断业务对应的业务QoT级别与该终端设备的设备QoT级别是否匹配。

步骤804、当终端设备的QoT证书有效，并且业务对应的业务QoT级别与该终端设备的设备QoT级别相匹配时，DASM-FE基于会话建立请求建立会话连接。

步骤805、DASM-FE向终端设备发送会话建立响应，会话建立响应包括会话标识。

在移动蜂窝网络中，上述步骤302中的数据传输请求相当于步骤802中的会话建立请求。上述步骤302中的数据传输响应相当于步骤805中的会话建立响应。上述步骤302中的连接标识相当于步骤805中的会话标识。

上述步骤802至步骤805的解释可参考上述步骤302，本申请实施例在此不再赘述。

步骤806、终端设备发送业务报文，该业务报文包括该会话标识、对该业务对应的业务QoT级别的指示以及针对该指示的完整性验证标签。

此步骤806的解释可参考上述步骤303，本申请实施例在此不再赘述。

步骤807、网络设备接收到业务报文后，验证该完整性验证标签。

步骤808、网络设备对该完整性验证标签验证通过后，向TRS-FE发送路径计算请求，该路径计算请求包括会话标识和业务的目的地址。

步骤809、TRS-FE向DASM-FE查询会话标识对应的业务QoT级别。

步骤810、DASM-FE向TRS-FE回复会话标识对应的业务QoT级别。

步骤811、TRS-FE根据会话标识对应的业务QoT级别确定传输路径，该传输路径上的网络设备的设备QoT级别与该会话标识对应的业务QoT级别相匹配。

步骤812、TRS-FE向网络设备发送路径计算响应，该路径计算响应包括传输路径的路径信息。

上述步骤807至步骤812的解释可参考上述步骤304，本申请实施例在此不再赘述。

步骤813、网络设备基于该传输路径转发业务报文。

此步骤813的解释可参考上述步骤305，本申请实施例在此不再赘述。

下面对本申请实施例涉及的虚拟装置进行举例说明。

例如，图9是本申请实施例提供的一种终端设备的结构示意图。如图9所示，终端设备900包括：

处理模块901，用于获取第一业务对应的业务QoT级别和第一业务的目的地址，第一业务对应的业务QoT级别与终端设备的设备QoT级别相匹配。

处理模块901，还用于根据第一业务对应的业务QoT级别和第一业务的目的地址获取目标连接标识，目标连接标识为终端设备与第一业务的目的地址之间建立的与第一业务对应的业务QoT级别相匹配的目标通信连接的连接标识。

发送模块902，用于向第一业务的目的地址发送第一业务的业务报文，业务报文包括目标连接标识，目标连接标识用于指示基于目标通信连接传输业务报文。

可选地，终端设备中存储有连接标识集合，连接标识集合用于记录终端设备已建立的通信连接的连接标识，连接标识集合中的每个连接标识均对应设置有目的地址和业务QoT级别。如图10所示，终端设备还包括接收模块903。处理模块901，用于当连接标识集合中不存在与第一业务对应的业务QoT级别和第一业务的目的地址对应的连接标识时，通过发送模块901向管理设备发送数据传输请求，并通过接收模块902接收管理设备发送的数据传输响应，数据传输请求包括第一业务的目的地址和终端设备的QoT证书，QoT证书包括终端设备的设备QoT级别，数据传输响应包括目标连接标识。

可选地，QoT证书还包括管理设备针对终端设备的QoT转发策略，QoT转发策略包括管理设备向终端设备提供的最高业务QoT级别和/或管理设备向终端设备提供的默认业务QoT级别。

可选地，处理模块901，还用于在终端设备接收管理设备发送的数据传输响应之后，在连接标识集合中添加第一业务的目的地址、第一业务对应的业务QoT级别与目标连接标识的对应关系。

可选地，数据传输请求还包括业务QoT级别指示，业务QoT级别指示用于指示第一业务对应的业务QoT级别。

可选地，发送模块902，用于向管理设备发送终端设备的QoT参数，QoT参数包括设备身份信息、硬件配置信息、软件配置信息或网络接入信息中的一种或多种。接收模块903，用于接收管理设备发送的基于QoT参数得到的QoT证书。

可选地，发送模块902，还用于在向管理设备发送终端设备的QoT参数之前，向管理设备发送注册请求。接收模块903，还用于接收管理设备发送的QoT认证请求，QoT认证请求包括QoT参数指示，QoT参数指示用于指示终端设备所需提供的QoT参数。发送模块902，用于向管理设备发送QoT认证响应，QoT认证响应包括QoT参数指示所指示的QoT参数。

可选地，发送模块902，还用于当QoT证书满足证书更新条件时，向管理设备发送终端设备的最新的QoT参数。接收模块903，还用于接收管理设备发送的基于最新的QoT参数得到的更新后的QoT证书。

可选地，证书更新条件包括以下一种或多种：QoT证书超出有效期；终端设备的QoT参数发生变更；终端设备和/或管理设备无法解析QoT证书。

可选地，业务报文还包括对第一业务对应的业务QoT级别的指示以及针对该指示的完整性验证标签。

可选地，处理模块901，还用于获取第二业务对应的业务QoT级别，第二业务对应的业务QoT级别与终端设备的设备QoT级别不匹配。处理模块901，还用于拒绝传输第二业务的业务报文。

例如，图11是本申请实施例提供的一种管理设备的结构示意图。如图11所示，管理设备1100包括：

接收模块1101，用于接收终端设备发送的数据传输请求，数据传输请求包括第一业务的目的地址和终端设备的QoT证书，QoT证书包括终端设备的设备QoT级别。

处理模块1102，用于基于QoT证书，建立终端设备与第一业务的目的地址之间的目标通信连接，目标通信连接对应的业务QoT级别与终端设备的设备QoT级别相匹配。

发送模块1103，用于向终端设备发送数据传输响应，数据传输响应包括目标连接标识，目标连接标识为目标通信连接的连接标识。

可选地，数据传输请求还包括业务QoT级别指示，业务QoT级别指示用于指示第一业务对应的业务QoT级别。处理模块1102，用于：当业务QoT级别指示所指示的业务QoT级别与终端设备的设备QoT级别相匹配时，建立业务QoT级别指示所指示的业务QoT级别对应的目标通信连接。

可选地，QoT证书还包括管理设备针对终端设备的QoT转发策略，QoT转发策略包括管理设备向终端设备提供的最高业务QoT级别和/或管理设备向终端设备提供的默认业务QoT级别。

可选地，接收模块1101，还用于接收终端设备发送的终端设备的QoT参数，QoT参数包括设备身份信息、硬件配置信息、软件配置信息或网络接入信息中的一种或多种。处理模块1102，还用于基于QoT参数生成QoT证书。发送模块1103，还用于向终端设备发送QoT证书。

可选地，接收模块1101，还用于接收终端设备发送的注册请求。发送模块1103，还用于基于注册请求，向终端设备发送QoT认证请求，QoT认证请求包括QoT参数指示，QoT参数指示用于指示终端设备所需提供的QoT参数。接收模块1101，用于接收终端设备发送的QoT认证响应，QoT认证响应包括QoT参数指示所指示的QoT参数。

可选地，接收模块1101，还用于接收网络设备的路径计算请求，路径计算请求包括目标连接标识。处理模块1102，还用于根据目标连接标识对应的业务QoT级别，确定目标通信连接所使用的目标传输路径，目标传输路径上的网络设备的设备QoT级别与目标连接标识对应的业务QoT级别相匹配。发送模块1103，还用于向网络设备发送路径计算响应，路径计算响应包括目标传输路径的路径信息。

例如，图12是本申请实施例提供的一种网络设备的结构示意图。如图12所示，网络设备1200包括：

接收模块1201，用于接收终端设备发送的第一业务的业务报文，业务报文包括目标连接标识。

处理模块1202，用于获取目标连接标识对应的目标传输路径，目标传输路径上的网络设备的设备信任质量QoT级别与目标连接标识对应的业务QoT级别相匹配。

发送模块1203，用于基于目标传输路径转发业务报文。

可选地，处理模块1202，用于：通过发送模块1203向管理设备发送路径计算请求，路径计算请求包括目标连接标识。通过接收模块1201接收管理设备发送的路径计算响应，路径计算响应包括目标传输路径的路径信息。

可选地，业务报文还包括对第一业务对应的业务QoT级别的指示以及针对该指示的完整性验证标签。发送模块1203，用于：当指示所指示的业务QoT级别与目标连接标识对应的业务QoT级别相同，且网络设备对完整性验证标签验证通过时，基于目标传输路径转发业务报文。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

下面对本申请实施例涉及的硬件结构进行举例说明。

例如，图13是本申请实施例提供的一种终端设备的硬件结构示意图。如图13所示，终端设备1300包括处理器1301和存储器1302，存储器1301与存储器1302通过总线1303连接。图13以处理器1301和存储器1302相互独立说明。可选地，处理器1301和存储器1302集成在一起。

其中，存储器1302用于存储计算机程序，计算机程序包括操作系统和程序代码。存储器1302是各种类型的存储介质，例如只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、电可擦可编程只读存储器(electrically erasableprogrammable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)、闪存、光存储器、寄存器、光盘存储、光碟存储、磁盘或者其它磁存储设备。

其中，处理器1301是通用处理器或专用处理器。处理器1301可能是单核处理器或多核处理器。处理器1301包括至少一个电路，以执行本申请实施例提供的上述方法实施例中终端设备执行的动作。

可选地，终端设备1300还包括网络接口1304，网络接口1304通过总线1303与处理器1301和存储器1302连接。网络接口1304能够实现终端设备1300与网络侧通信。处理器1301能够通过网络接口1304与网络侧交互来注册QoT证书和进行数据传输等。

可选地，终端设备1300还包括输入/输出(input/output，I/O)接口1305，I/O接口1305通过总线1303与处理器1301和存储器1302连接。处理器1301能够通过I/O接口1305接收输入的命令或数据等。I/O接口1305用于终端设备1300连接输入设备，这些输入设备例如是键盘、鼠标等。可选地，在一些可能的场景中，上述网络接口1304和I/O接口1305被统称为通信接口。

可选地，终端设备1300还包括显示器1306，显示器1306通过总线1303与处理器1301和存储器1302连接。显示器1306能够用于显示处理器1301执行上述方法产生的中间结果和/或最终结果等，例如显示告警提示。在一种可能的实现方式中，显示器1306是触控显示屏，以提供人机交互接口。

其中，总线1303是任何类型的，用于实现终端设备1300的内部器件互连的通信总线。例如系统总线。本申请实施例以终端设备1300内部的上述器件通过总线1303互连为例说明，可选地，终端设备1300内部的上述器件采用除了总线1303之外的其他连接方式彼此通信连接，例如终端设备1300内部的上述器件通过终端设备1300内部的逻辑接口互连。

上述器件可以分别设置在彼此独立的芯片上，也可以至少部分的或者全部的设置在同一块芯片上。将各个器件独立设置在不同的芯片上，还是整合设置在一个或者多个芯片上，往往取决于产品设计的需要。本申请实施例对上述器件的具体实现形式不做限定。

图13所示的终端设备1300仅仅是示例性的，在实现过程中，终端设备1300包括其他组件，本文不再一一列举。图13所示的终端设备1300可以通过执行上述实施例提供的方法的全部或部分步骤来实现数据传输。

例如，图14是本申请实施例提供的一种管理设备的硬件结构示意图。如图14所示，管理设备1400包括处理器1401和存储器1402，存储器1401与存储器1402通过总线1403连接。图14以处理器1401和存储器1402相互独立说明。可选地，处理器1401和存储器1402集成在一起。

其中，存储器1402用于存储计算机程序，计算机程序包括操作系统和程序代码。存储器1402是各种类型的存储介质，例如ROM、RAM、EEPROM、CD-ROM、闪存、光存储器、寄存器、光盘存储、光碟存储、磁盘或者其它磁存储设备。

其中，处理器1401是通用处理器或专用处理器。处理器1401可能是单核处理器或多核处理器。处理器1401包括至少一个电路，以执行本申请实施例提供的上述方法实施例中管理设备执行的动作。

可选地，管理设备1400还包括网络接口1404，网络接口1404通过总线1403与处理器1401和存储器1402连接。网络接口1404能够实现管理设备1400与应用侧通信。处理器1401能够通过网络接口1404与应用侧交互来向终端设备签发QoT证书和进行通信连接等。

可选地，管理设备1400还包括I/O接口1405，I/O接口1405通过总线1403与处理器1401和存储器1402连接。处理器1401能够通过I/O接口1405接收输入的命令或数据等。I/O接口1405用于管理设备1400连接输入设备，这些输入设备例如是键盘、鼠标等。可选地，在一些可能的场景中，上述网络接口1404和I/O接口1405被统称为通信接口。

可选地，管理设备1400还包括显示器1406，显示器1406通过总线1403与处理器1401和存储器1402连接。显示器1406能够用于显示处理器1401执行上述方法产生的中间结果和/或最终结果等，例如显示告警提示。在一种可能的实现方式中，显示器1406是触控显示屏，以提供人机交互接口。

其中，总线1403是任何类型的，用于实现管理设备1400的内部器件互连的通信总线。例如系统总线。本申请实施例以管理设备1400内部的上述器件通过总线1403互连为例说明，可选地，管理设备1400内部的上述器件采用除了总线1403之外的其他连接方式彼此通信连接，例如管理设备1400内部的上述器件通过管理设备1400内部的逻辑接口互连。

上述器件可以分别设置在彼此独立的芯片上，也可以至少部分的或者全部的设置在同一块芯片上。将各个器件独立设置在不同的芯片上，还是整合设置在一个或者多个芯片上，往往取决于产品设计的需要。本申请实施例对上述器件的具体实现形式不做限定。

图14所示的管理设备1400仅仅是示例性的，在实现过程中，管理设备1400包括其他组件，本文不再一一列举。图14所示的管理设备1400可以通过执行上述实施例提供的方法的全部或部分步骤来实现数据传输。

例如，图15是本申请实施例提供的一种网络设备的硬件结构示意图。如图15所示，网络设备1500包括处理器1501和存储器1502，存储器1501与存储器1502通过总线1503连接。图15以处理器1501和存储器1502相互独立说明。可选地，处理器1501和存储器1502集成在一起。

其中，存储器1502用于存储计算机程序，计算机程序包括操作系统和程序代码。存储器1502是各种类型的存储介质，例如ROM、RAM、EEPROM、CD-ROM、闪存、光存储器、寄存器、光盘存储、光碟存储、磁盘或者其它磁存储设备。

其中，处理器1501是通用处理器或专用处理器。处理器1501可能是单核处理器或多核处理器。处理器1501包括至少一个电路，以执行本申请实施例提供的上述方法实施例中网络设备执行的动作。

可选地，网络设备1500还包括网络接口1504，网络接口1504通过总线1503与处理器1501和存储器1502连接。网络接口1504能够实现网络设备1500与应用侧和管理设备通信。处理器1501能够通过网络接口1504接收来自应用侧的业务报文以及转发业务报文等。

可选地，网络设备1500还包括I/O接口1505，I/O接口1505通过总线1503与处理器1501和存储器1502连接。处理器1501能够通过I/O接口1505接收输入的命令或数据等。I/O接口1505用于网络设备1500连接输入设备，这些输入设备例如是键盘、鼠标等。可选地，在一些可能的场景中，上述网络接口1504和I/O接口1505被统称为通信接口。

可选地，网络设备1500还包括显示器1506，显示器1506通过总线1503与处理器1501和存储器1502连接。显示器1506能够用于显示处理器1501执行上述方法产生的中间结果和/或最终结果等，例如显示告警提示。在一种可能的实现方式中，显示器1506是触控显示屏，以提供人机交互接口。

其中，总线1503是任何类型的，用于实现网络设备1500的内部器件互连的通信总线。例如系统总线。本申请实施例以网络设备1500内部的上述器件通过总线1503互连为例说明，可选地，网络设备1500内部的上述器件采用除了总线1503之外的其他连接方式彼此通信连接，例如网络设备1500内部的上述器件通过网络设备1500内部的逻辑接口互连。

上述器件可以分别设置在彼此独立的芯片上，也可以至少部分的或者全部的设置在同一块芯片上。将各个器件独立设置在不同的芯片上，还是整合设置在一个或者多个芯片上，往往取决于产品设计的需要。本申请实施例对上述器件的具体实现形式不做限定。

图15所示的网络设备1500仅仅是示例性的，在实现过程中，网络设备1500包括其他组件，本文不再一一列举。图15所示的网络设备1500可以通过执行上述实施例提供的方法的全部或部分步骤来实现数据传输。

本申请实施例还提供了一种数据传输系统，包括：终端设备、管理设备和网络设备。终端设备用于执行上述方法实施例中终端设备执行的动作。管理设备用于执行上述方法实施例中管理设备执行的动作，网络设备用于执行上述方法实施例中网络设备执行的动作。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令被处理器执行时，实现上述方法实施例中终端设备、管理设备或网络设备执行的动作。

本申请实施例还提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时，实现上述方法实施例中终端设备、管理设备或网络设备执行的动作。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

在本申请实施例中，术语“第一”、“第二”和“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

需要说明的是，本申请所涉及的信息(包括但不限于用户设备信息、用户个人信息等)、数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)以及信号，均为经用户授权或者经过各方充分授权的，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。例如，本申请中涉及到的设备身份信息、设备标识、用户标识、QoT参数等都是在充分授权的情况下获取的。

以上所述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的构思和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (44)

1.一种数据传输方法，其特征在于，所述方法包括：

终端设备获取第一业务对应的业务信任质量QoT级别和所述第一业务的目的地址，所述第一业务对应的业务QoT级别与所述终端设备的设备QoT级别相匹配；

所述终端设备根据所述第一业务对应的业务QoT级别和所述第一业务的目的地址获取目标连接标识，所述目标连接标识为所述终端设备与所述第一业务的目的地址之间建立的与所述第一业务对应的业务QoT级别相匹配的目标通信连接的连接标识；

所述终端设备向所述第一业务的目的地址发送所述第一业务的业务报文，所述业务报文包括所述目标连接标识，所述目标连接标识用于指示基于所述目标通信连接传输所述业务报文。

2.根据权利要求1所述的方法，其特征在于，所述终端设备中存储有连接标识集合，所述连接标识集合用于记录所述终端设备已建立的通信连接的连接标识，所述连接标识集合中的每个连接标识均对应设置有目的地址和业务QoT级别，所述终端设备根据所述第一业务对应的业务QoT级别和所述第一业务的目的地址获取目标连接标识，包括：

当所述连接标识集合中不存在与所述第一业务对应的业务QoT级别和所述第一业务的目的地址对应的连接标识时，所述终端设备向管理设备发送数据传输请求，所述数据传输请求包括所述第一业务的目的地址和所述终端设备的QoT证书，所述QoT证书包括所述终端设备的设备QoT级别；

所述终端设备接收所述管理设备发送的数据传输响应，所述数据传输响应包括所述目标连接标识。

3.根据权利要求2所述的方法，其特征在于，所述QoT证书还包括所述管理设备针对所述终端设备的QoT转发策略，所述QoT转发策略包括所述管理设备向所述终端设备提供的最高业务QoT级别和/或所述管理设备向所述终端设备提供的默认业务QoT级别。

4.根据权利要求2或3所述的方法，其特征在于，在所述终端设备接收所述管理设备发送的数据传输响应之后，所述方法还包括：

所述终端设备在所述连接标识集合中添加所述第一业务的目的地址、所述第一业务对应的业务QoT级别与所述目标连接标识的对应关系。

5.根据权利要求2至4任一所述的方法，其特征在于，所述数据传输请求还包括业务QoT级别指示，所述业务QoT级别指示用于指示所述第一业务对应的业务QoT级别。

6.根据权利要求2至5任一所述的方法，其特征在于，所述方法还包括：

所述终端设备向所述管理设备发送所述终端设备的QoT参数，所述QoT参数包括设备身份信息、硬件配置信息、软件配置信息或网络接入信息中的一种或多种；

所述终端设备接收所述管理设备发送的基于所述QoT参数得到的所述QoT证书。

7.根据权利要求6所述的方法，其特征在于，在所述终端设备向所述管理设备发送所述终端设备的QoT参数之前，所述方法还包括：

所述终端设备向所述管理设备发送注册请求；

所述终端设备接收所述管理设备发送的QoT认证请求，所述QoT认证请求包括QoT参数指示，所述QoT参数指示用于指示所述终端设备所需提供的QoT参数；

所述终端设备向所述管理设备发送所述终端设备的QoT参数，包括：

所述终端设备向所述管理设备发送QoT认证响应，所述QoT认证响应包括所述QoT参数指示所指示的QoT参数。

8.根据权利要求6或7所述的方法，其特征在于，所述方法还包括：

当所述QoT证书满足证书更新条件时，所述终端设备向所述管理设备发送所述终端设备的最新的QoT参数；

所述终端设备接收所述管理设备发送的基于所述最新的QoT参数得到的更新后的QoT证书。

9.根据权利要求8所述的方法，其特征在于，所述证书更新条件包括以下一种或多种：

所述QoT证书超出有效期；

所述终端设备的QoT参数发生变更；

所述终端设备和/或所述管理设备无法解析所述QoT证书。

10.根据权利要求1至9任一所述的方法，其特征在于，所述业务报文还包括对所述第一业务对应的业务QoT级别的指示以及针对所述指示的完整性验证标签。

11.根据权利要求1至10任一所述的方法，其特征在于，所述方法还包括：

所述终端设备获取第二业务对应的业务QoT级别，所述第二业务对应的业务QoT级别与所述终端设备的设备QoT级别不匹配；

所述终端设备拒绝传输所述第二业务的业务报文。

12.一种数据传输方法，其特征在于，所述方法包括：

管理设备接收终端设备发送的数据传输请求，所述数据传输请求包括第一业务的目的地址和所述终端设备的信任质量QoT证书，所述QoT证书包括所述终端设备的设备QoT级别；

所述管理设备基于所述QoT证书，建立所述终端设备与所述第一业务的目的地址之间的目标通信连接，所述目标通信连接对应的业务QoT级别与所述终端设备的设备QoT级别相匹配；

所述管理设备向所述终端设备发送数据传输响应，所述数据传输响应包括目标连接标识，所述目标连接标识为所述目标通信连接的连接标识。

13.根据权利要求12所述的方法，其特征在于，所述数据传输请求还包括业务QoT级别指示，所述业务QoT级别指示用于指示所述第一业务对应的业务QoT级别，所述管理设备基于所述QoT证书，建立所述终端设备与所述第一业务的目的地址之间的目标通信连接，包括：

当所述业务QoT级别指示所指示的业务QoT级别与所述终端设备的设备QoT级别相匹配时，所述管理设备建立所述业务QoT级别指示所指示的业务QoT级别对应的所述目标通信连接。

14.根据权利要求12或13所述的方法，其特征在于，所述QoT证书还包括所述管理设备针对所述终端设备的QoT转发策略，所述QoT转发策略包括所述管理设备向所述终端设备提供的最高业务QoT级别和/或所述管理设备向所述终端设备提供的默认业务QoT级别。

15.根据权利要求12至14任一所述的方法，其特征在于，所述方法还包括：

所述管理设备接收所述终端设备发送的所述终端设备的QoT参数，所述QoT参数包括设备身份信息、硬件配置信息、软件配置信息或网络接入信息中的一种或多种；

所述管理设备基于所述QoT参数生成所述QoT证书；

所述管理设备向所述终端设备发送所述QoT证书。

16.根据权利要求15所述的方法，其特征在于，所述方法还包括：

所述管理设备接收所述终端设备发送的注册请求；

所述管理设备基于所述注册请求，向所述终端设备发送QoT认证请求，所述QoT认证请求包括QoT参数指示，所述QoT参数指示用于指示所述终端设备所需提供的QoT参数；

所述管理设备接收所述终端设备发送的所述终端设备的QoT参数，包括：

所述管理设备接收所述终端设备发送的QoT认证响应，所述QoT认证响应包括所述QoT参数指示所指示的QoT参数。

17.根据权利要求12至16任一所述的方法，其特征在于，所述方法还包括：

所述管理设备接收网络设备的路径计算请求，所述路径计算请求包括所述目标连接标识；

所述管理设备根据所述目标连接标识对应的业务QoT级别，确定所述目标通信连接所使用的目标传输路径，所述目标传输路径上的网络设备的设备QoT级别与所述目标连接标识对应的业务QoT级别相匹配；

所述管理设备向所述网络设备发送路径计算响应，所述路径计算响应包括所述目标传输路径的路径信息。

18.一种数据传输方法，其特征在于，所述方法包括：

网络设备接收终端设备发送的第一业务的业务报文和所述第一业务的目的地址，所述业务报文包括目标连接标识；

所述网络设备获取所述目标连接标识对应的目标传输路径，所述目标传输路径上的网络设备的设备信任质量QoT级别与所述目标连接标识对应的业务QoT级别相匹配；

所述网络设备基于所述目标传输路径转发所述业务报文。

19.根据权利要求18所述的方法，其特征在于，所述网络设备获取所述目标连接标识对应的目标传输路径，包括：

所述网络设备向管理设备发送路径计算请求，所述路径计算请求包括所述目标连接标识；

所述网络设备接收所述管理设备发送的路径计算响应，所述路径计算响应包括所述目标传输路径的路径信息。

20.根据权利要求18或19所述的方法，其特征在于，所述业务报文还包括对所述第一业务对应的业务QoT级别的指示以及针对所述指示的完整性验证标签，所述网络设备基于所述目标传输路径转发所述业务报文，包括：

当所述指示所指示的业务QoT级别与所述目标连接标识对应的业务QoT级别相同，且所述网络设备对所述完整性验证标签验证通过时，所述网络设备基于所述目标传输路径转发所述业务报文。

21.一种终端设备，其特征在于，所述终端设备包括：

处理模块，用于获取第一业务对应的业务信任质量QoT级别，所述第一业务对应的业务QoT级别与所述终端设备的设备QoT级别相匹配；

所述处理模块，还用于根据所述第一业务对应的业务QoT级别和所述第一业务的目的地址获取目标连接标识，所述目标连接标识为所述终端设备与所述第一业务的目的地址之间建立的与所述第一业务对应的业务QoT级别相匹配的目标通信连接的连接标识；

发送模块，用于向所述第一业务的目的地址发送所述第一业务的业务报文，所述业务报文包括所述目标连接标识，所述目标连接标识用于指示基于所述目标通信连接传输所述业务报文。

22.根据权利要求21所述的终端设备，其特征在于，所述终端设备中存储有连接标识集合，所述连接标识集合用于记录所述终端设备已建立的通信连接的连接标识，所述连接标识集合中的每个连接标识均对应设置有目的地址和业务QoT级别，所述终端设备还包括接收模块；

所述处理模块，用于当所述连接标识集合中不存在与所述第一业务对应的业务QoT级别和所述第一业务的目的地址对应的连接标识时，通过所述发送模块向管理设备发送数据传输请求，并通过所述接收模块接收所述管理设备发送的数据传输响应，所述数据传输请求包括所述第一业务的目的地址和所述终端设备的QoT证书，所述QoT证书包括所述终端设备的设备QoT级别，所述数据传输响应包括所述目标连接标识。

23.根据权利要求22所述的终端设备，其特征在于，所述QoT证书还包括所述管理设备针对所述终端设备的QoT转发策略，所述QoT转发策略包括所述管理设备向所述终端设备提供的最高业务QoT级别和/或所述管理设备向所述终端设备提供的默认业务QoT级别。

24.根据权利要求22或23所述的终端设备，其特征在于，

所述处理模块，还用于在所述终端设备接收所述管理设备发送的数据传输响应之后，在所述连接标识集合中添加所述第一业务的目的地址、所述第一业务对应的业务QoT级别与所述目标连接标识的对应关系。

25.根据权利要求22至24任一所述的终端设备，其特征在于，所述数据传输请求还包括业务QoT级别指示，所述业务QoT级别指示用于指示所述第一业务对应的业务QoT级别。

26.根据权利要求22至25任一所述的终端设备，其特征在于，

所述发送模块，用于向所述管理设备发送所述终端设备的QoT参数，所述QoT参数包括设备身份信息、硬件配置信息、软件配置信息或网络接入信息中的一种或多种；

所述接收模块，用于接收所述管理设备发送的基于所述QoT参数得到的所述QoT证书。

27.根据权利要求26所述的终端设备，其特征在于，

所述发送模块，还用于在向所述管理设备发送所述终端设备的QoT参数之前，向所述管理设备发送注册请求；

所述接收模块，还用于接收所述管理设备发送的QoT认证请求，所述QoT认证请求包括QoT参数指示，所述QoT参数指示用于指示所述终端设备所需提供的QoT参数；

所述发送模块，用于向所述管理设备发送QoT认证响应，所述QoT认证响应包括所述QoT参数指示所指示的QoT参数。

28.根据权利要求26或27所述的终端设备，其特征在于，

所述发送模块，还用于当所述QoT证书满足证书更新条件时，向所述管理设备发送所述终端设备的最新的QoT参数；

所述接收模块，还用于接收所述管理设备发送的基于所述最新的QoT参数得到的更新后的QoT证书。

29.根据权利要求28所述的终端设备，其特征在于，所述证书更新条件包括以下一种或多种：

所述QoT证书超出有效期；

所述终端设备的QoT参数发生变更；

所述终端设备和/或所述管理设备无法解析所述QoT证书。

30.根据权利要求21至29任一所述的终端设备，其特征在于，所述业务报文还包括对所述第一业务对应的业务QoT级别的指示以及对所述指示计算得到的完整性验证标签。

31.根据权利要求21至30任一所述的终端设备，其特征在于，

所述处理模块，还用于获取第二业务对应的业务QoT级别，所述第二业务对应的业务QoT级别与所述终端设备的设备QoT级别不匹配；

所述处理模块，还用于拒绝传输所述第二业务的业务报文。

32.一种管理设备，其特征在于，所述管理设备包括：

接收模块，用于接收终端设备发送的数据传输请求，所述数据传输请求包括第一业务的目的地址和所述终端设备的信任质量QoT证书，所述QoT证书包括所述终端设备的设备QoT级别；

处理模块，用于基于所述QoT证书，建立所述终端设备与所述第一业务的目的地址之间的目标通信连接，所述目标通信连接对应的业务QoT级别与所述终端设备的设备QoT级别相匹配；

发送模块，用于向所述终端设备发送数据传输响应，所述数据传输响应包括目标连接标识，所述目标连接标识为所述目标通信连接的连接标识。

33.根据权利要求32所述的管理设备，其特征在于，所述数据传输请求还包括业务QoT级别指示，所述业务QoT级别指示用于指示所述第一业务对应的业务QoT级别，所述处理模块，用于：

当所述业务QoT级别指示所指示的业务QoT级别与所述终端设备的设备QoT级别相匹配时，建立所述业务QoT级别指示所指示的业务QoT级别对应的所述目标通信连接。

34.根据权利要求32或33所述的管理设备，其特征在于，所述QoT证书还包括所述管理设备针对所述终端设备的QoT转发策略，所述QoT转发策略包括所述管理设备向所述终端设备提供的最高业务QoT级别和/或所述管理设备向所述终端设备提供的默认业务QoT级别。

35.根据权利要求32至34任一所述的管理设备，其特征在于，

所述接收模块，还用于接收所述终端设备发送的所述终端设备的QoT参数，所述QoT参数包括设备身份信息、硬件配置信息、软件配置信息或网络接入信息中的一种或多种；

所述处理模块，还用于基于所述QoT参数生成所述QoT证书；

所述发送模块，还用于向所述终端设备发送所述QoT证书。

36.根据权利要求35所述的管理设备，其特征在于，

所述接收模块，还用于接收所述终端设备发送的注册请求；

所述发送模块，还用于基于所述注册请求，向所述终端设备发送QoT认证请求，所述QoT认证请求包括QoT参数指示，所述QoT参数指示用于指示所述终端设备所需提供的QoT参数；

所述接收模块，用于接收所述终端设备发送的QoT认证响应，所述QoT认证响应包括所述QoT参数指示所指示的QoT参数。

37.根据权利要求32至36任一所述的管理设备，其特征在于，

所述接收模块，还用于接收网络设备的路径计算请求，所述路径计算请求包括所述目标连接标识；

所述处理模块，还用于根据所述目标连接标识对应的业务QoT级别，确定所述目标通信连接所使用的目标传输路径，所述目标传输路径上的网络设备的设备QoT级别与所述目标连接标识对应的业务QoT级别相匹配；

所述发送模块，还用于向所述网络设备发送路径计算响应，所述路径计算响应包括所述目标传输路径的路径信息。

38.一种网络设备，其特征在于，所述网络设备包括：

接收模块，用于接收终端设备发送的第一业务的业务报文，所述业务报文包括目标连接标识；

处理模块，用于获取所述目标连接标识对应的目标传输路径，所述目标传输路径上的网络设备的设备信任质量QoT级别与所述目标连接标识对应的业务QoT级别相匹配；

发送模块，用于基于所述目标传输路径转发所述业务报文。

39.根据权利要求38所述的网络设备，其特征在于，所述处理模块，用于：

通过所述发送模块向管理设备发送路径计算请求，所述路径计算请求包括所述目标连接标识；

通过所述接收模块接收所述管理设备发送的路径计算响应，所述路径计算响应包括所述目标传输路径的路径信息。

40.根据权利要求38或39所述的网络设备，其特征在于，所述业务报文还包括对所述第一业务对应的业务QoT级别的指示以及对所述指示计算得到的完整性验证标签，所述发送模块，用于：

当所述指示所指示的业务QoT级别与所述目标连接标识对应的业务QoT级别相同，且所述网络设备对所述完整性验证标签验证通过时，基于所述目标传输路径转发所述业务报文。

41.一种数据传输系统，其特征在于，包括：终端设备、管理设备和网络设备，所述终端设备用于执行如权利要求1至11任一所述的方法，所述管理设备用于执行如权利要求12至17任一所述的方法，所述网络设备用于执行如权利要求18至20任一所述的方法。

42.一种数据传输装置，其特征在于，包括：处理器和存储器；

所述存储器，用于存储计算机程序，所述计算机程序包括程序指令；

所述处理器，用于调用所述计算机程序，实现如权利要求1至20任一所述的方法。

43.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有指令，当所述指令被处理器执行时，实现如权利要求1至20任一所述的方法。

44.一种计算机程序产品，其特征在于，包括计算机程序，所述计算机程序被处理器执行时，实现如权利要求1至20任一所述的方法。