CN117376900A

CN117376900A - 一种通信方法及装置

Info

Publication number: CN117376900A
Application number: CN202210756613.2A
Authority: CN
Inventors: 王亚鑫; 李岩; 吴义壮
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2022-06-29
Filing date: 2022-06-29
Publication date: 2024-01-09
Also published as: WO2024001524A1

Abstract

本申请提供了一种通信方法及装置。在该方法中，移动通信系统的核心网控制面网元可以通过与目标安全网关的交互，实现UE的安全参数和目标安全网关的安全参数的传递，从而完成IPSec协商。由于IPSec协商过程是通过核心网控制面完成的，且核心网的安全性较高，因此，该方法可以避免用户面传输安全参数导致安全参数泄露的风险，保证IPSec协商过程的安全性，进而保证后续通过建立的SA传输用户数据或信令的安全性。

Description

一种通信方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

因特网协议安全(internet protocol security，IPSec)协议能够在通信系统的因特网协议(internet protocol，IP)层实现安全保护，为在不安全的网络环境中传输敏感数据提供安全保护。通过IPSec协议，通信双方可以在IP层执行加密、数据源认证等安全操作来确保网络传输时数据包的机密性、一致性、数据源认证，以及抗重放等。

IPSec协议是包含两个安全处理协议和一个密钥交换协议的协议体系。其中，安全处理协议包括：认证头(authentication header，AH)协议和封装载荷安全(encapsulatingsecurity payload，ESP)协议；密钥交换协议为网络密钥交换(internet key exchange，IKE)协议。

安全关联(security association，SA)是IPSec协议的基础。SA是两个通信实体经协商建立起来的一种协定，是以传输安全的目的创建的一个逻辑连接。所有经过同一SA的数据流会得到相同级别的安全保护，其能够决定安全保护的具体IPSec协议、密钥、密钥的有效时间等。在IPSec协议体系中，每种安全处理协议(即AH协议和ESP协议)均需要创建对应的SA(后续可以简称为AH SA、ESP SA)来实现；IKE协议也需要对应的SA(简称为IKE SA)来实现。需要说明的是，除了IKE SA是双向逻辑连接以外，AH SA和ESP SA均是单向逻辑连接。即通信双方均采用同一安全处理协议向对方发送数据的情况下，需要通信双方针对不同的数据传输方向分别建立该安全处理协议的SA。

在移动通信系统中，为了实现终端设备的用户面数据的安全传输，在用户面功能(UPF)网元和数据网络(data network，DN)之间部署了安全网关。终端设备与安全网关之间可以通过IPSec协议实现IP层的端到端的数据安全保护。

目前，终端设备与安全网关之间需要通过用户面操作进行IPSec协商过程以实现创建和维护IPSec SA，从而最终实现IPSec安全机制。然而，用户面操作可能会造成新的安全隐患，例如用于创建IPSec SA的安全参数泄露。

发明内容

本申请提供一种通信方法及装置，用于在移动通信系统通过IPSec协议实现安全保护的场景下保证IPSec协商过程的安全性。

第一方面，本申请实施例提供了一种通信方法，该方法可以应用于会话管理功能网元。

该方法包括以下步骤：

接收来自接入和移动性管理功能网元的第一消息；其中，所述第一消息中包含终端设备的第一安全参数，所述第一安全参数用于建立所述终端设备与安全网关之间的安全关联SA；向目标安全网关发送第二消息；其中，所述第二消息中包含所述第一安全参数，所述第二消息用于请求建立所述终端设备与所述目标安全网关之间的目标SA；接收来自所述目标安全网关的第三消息；其中，所述第三消息中包含所述目标安全网关的第二安全参数，所述第二安全参数用于建立所述目标SA，所述第三消息为所述第二消息的响应消息；向所述接入和移动性管理功能网元发送第四消息；其中，所述第四消息中包含所述第二安全参数。

通过该方法，移动通信系统的核心网控制面网元可以通过与目标安全网关的交互，实现UE的安全参数和目标安全网关的安全参数的传递，从而完成IPSec协商。由于IPSec协商过程是通过核心网控制面完成的，且核心网的安全性较高，因此，该方法可以避免用户面传输安全参数导致安全参数泄露的风险，保证IPSec协商过程的安全性，进而保证后续通过建立的SA传输用户数据或信令的安全性。

在一种可能的设计中，所述目标SA为网络密钥交换IKE SA。

在一种可能的设计中，所述第一消息为第一会话建立请求消息；所述第四消息为第一会话建立响应消息。

通过该设计，核心网控制面网元可以通过会话建立过程建立IKE SA。

在一种可能的设计中，所述第一消息中还包含第一指示信息，所述第一指示信息用于指示所述终端设备请求数据加密。

通过该设计，会话管理功能网元可以根据第一指示信息针对该终端设备执行IPSec协商过程。

在一种可能的设计中，所述会话管理功能网元在向目标安全网关发送第二消息之前，还可以为所述终端设备分配所述目标安全网关，以便建立该IKE SA。

在一种可能的设计中，所述会话管理功能网元可以通过以下步骤，为所述终端设备分配所述目标安全网关：

为所述终端设备分配用户面功能网元；在与所述用户面功能网元相关联的至少一个安全网关中选择所述目标安全网关。示例性的，所述会话管理功能网元可以根据所述至少一个安全网关的负载、物理位置等信息选择所述目标安全网关。

通过该设计，可以保证为终端设备分配的目标安全网关与终端设备的用户面功能网元相关联，进而保证后续目标安全网关与终端设备之间通过IPSec子SA传输的数据包在移动通信系统中可以复用终端设备的会话传输。

在一种可能的设计中，所述第二消息中还包含所述用户面功能网元的标识。

在一种可能的设计中，所述会话管理功能网元或所述用户面功能网元还可以为所述终端设备分给IP地址，基于此，所述第二消息中还可以包含所述终端设备的IP地址；所述第三消息中还可以包含所述目标安全网关的IP地址；所述第四消息中可以包含所述目标安全网关的IP地址。

在一种可能的设计中，所述会话管理功能网元在接收来自所述安全网关的第三消息之后，还可以向所述用户面功能网元发送第一转发规则配置信息；

其中，所述第一转发规则配置信息用于指示所述用户面功能网元将所述终端设备和所述目标安全网关之间通过所述IKE SA传输的数据包映射到所述终端设备的会话中的第一服务质量流上。可选的，所述第一服务质量流可以为所述终端设备的会话中默认的服务质量流。

通过该设计，在移动通信系统内可以复用终端设备的会话来传输终端设备与目标安全网关之间通过IKE SA传输的数据包。

在一种可能的设计中，所述第一安全参数包含以下至少一项：所述终端设备的安全参数索引SPI，所述终端设备的密钥材料，所述终端设备支持的IKE SA加密算法，或者用于生成IKE SA密钥的第一随机数；

所述第二安全参数包含以下至少一项：所述目标安全网关的SPI，所述目标安全网关的密钥材料，所述目标安全网关支持的IKE SA加密算法，或者用于生成IKE SA密钥的第二随机数。

在一种可能的设计中，所述目标SA为安全处理协议SA。

在一种可能的设计中，所述第一消息为第一会话修改请求消息；所述第四消息为第一会话修改响应消息；所述第一消息中还包含所述终端设备请求建立的第二服务质量流的信息。

通过该设计，核心网控制面网元可以通过会话修改过程，在创建QoS流的过程中，建立所述安全处理协议SA。

在一种可能的设计中，所述会话管理功能网元在接收来自接入和移动性管理功能网元的第一消息之前，还可以向所述接入和移动性管理功能网元发送第五消息，所述第五消息用于请求所述第一安全参数；

所述第一消息为所述第五消息的响应消息。

通过该设计，所述会话管理功能网元可以向所述接入和移动性管理功能网元请求所述第一安全参数。

在一种可能的设计中，所述会话管理功能网元可以通过以下步骤，触发向所述接入和移动性管理功能网元发送第五消息：

接收来自策略控制功能网元的策略修改通知消息，其中，所述策略修改通知消息中包含所述策略控制功能网元请求在所述终端设备的会话中建立的第二服务质量流的信息；或者

接收来自统一数据管理网元的签约修改通知消息，其中，所述签约修改通知消息中包含所述统一数据管理网元请求在所述终端设备的会话中建立的第二服务质量流的信息；或者

接收来自所述接入和移动性管理功能网元的第一会话修改请求消息，其中，所述第一会话修改请求消息中包含所述终端设备请求在所述终端设备的会话中建立的第二服务质量流的信息。

通过该设计，所述会话管理功能网元可以在接收到策略修改通知消息、签约修改通知消息或会话修改请求消息后，决定建立第二服务质量流，从而可以触发向接入和移动性管理功能网元请求第一安全参数。

在一种可能的设计中，所述会话管理功能网元在接收来自所述目标安全网关的第三消息之后，还可以根据所述第二服务质量流的信息，创建所述第二服务质量流；并向用户面功能网元发送第二转发规则配置信息；其中，所述第二转发规则配置信息用于指示所述用户面功能网元将通过所述第二QoS流接收的来自所述终端设备的数据包转发至所述目标安全网关。

通过该设计，用户面功能网元可以将所述终端设备通过第二QoS流传输的数据包映射到该安全处理协议SA上，从而使用户面功能网元可以将该数据包传输至所述目标安全网关，即实现所述安全处理协议SA与所述第二服务质量流的绑定。

在一种可能的设计中，所述第一安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述终端设备中的第一处理实体的标识，所述终端设备的鉴权信息，所述终端设备支持的第一安全处理协议SA加密算法，第一数据流选择规则，或者用于生成第一安全处理协议SA密钥的第三随机数；

所述第二安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述目标安全网关中第二处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的第一安全处理协议SA加密算法，第二数据流选择规则，或者用于生成第一安全处理协议SA密钥的第四随机数。

在一种可能的设计中，所述第一消息中还包含所述终端设备的会话的会话标识；所述第四消息中包含所述会话标识。

第二方面，本申请实施例提供了一种通信方法，该方法可以应用于接入和移动性管理功能网元。该方法可以包括以下步骤：

向会话管理功能网元发送第一消息；其中，所述第一消息中包含终端设备的第一安全参数，所述第一安全参数用于建立所述终端设备与安全网关之间的安全关联SA；

接收来自所述会话管理功能网元的第四消息；其中，所述第四消息中包含目标安全网关的第二安全参数，所述第二安全参数用于建立所述终端设备与所述目标安全网关之间的目标SA。

通过该方法，移动通信系统中的控制面网元可以通过交互，完成安全参数的传递，实现IPSec协商。

在一种可能的设计中，所述目标SA为网络密钥交换IKE SA。

在一种可能的设计中，所述第一消息为第一会话建立请求消息；所述第四消息为第一会话建立响应消息；所述接入和移动性管理功能网元在向会话管理功能网元发送第一消息之前，还可以接收来自所述终端设备的第二会话建立请求消息；所述接入和移动性管理功能网元在接收来自所述会话管理功能网元的第四消息之后，还可以向所述终端设备发送第二会话建立响应消息。

在一种可能的设计中，所述接入和移动性管理功能网元可以通过以下方式获取所述第一安全参数：

方式一：所述第二会话建立请求消息中包含所述第一安全参数；

方式二：所述第二会话建立请求中包含所述第一安全参数中的第一参数部分；在向会话管理功能网元发送第一消息之前，所述接入和移动性管理功能网元还可以根据所述终端设备的标识，从统一数据管理网元或认证服务功能网元获取所述第一安全参数中的第二参数部分；其中，所述第一参数部分和所述第二参数部分组成所述第一安全参数；

方式三：在向会话管理功能网元发送第一消息之前，所述接入和移动性管理功能网元还可以确定所述第一安全参数。

在一种可能的设计中，所述第二会话建立响应消息中包含所述第一安全参数中的部分或全部；和/或，所述第二会话建立响应消息中包含所述第二安全参数中的部分或全部。

在一种可能的设计中，所述第一消息中包含第一指示信息，所述第二会话建立请求消息中包含所述第一指示信息；所述第一指示信息用于指示所述终端设备请求数据加密。

在一种可能的设计中，所述第四消息中包含所述目标安全网关的因特网协议IP地址。

在一种可能的设计中，所述目标SA为安全处理协议SA。

在一种可能的设计中，所述第一消息为第一会话修改请求消息；所述第四消息为第一会话修改响应消息；在向会话管理功能网元发送第一消息之前，所述接入和移动性管理功能网元还可以接收来自所述终端设备的第二会话修改请求消息；在接收来自所述会话管理功能网元的第四消息之后，所述接入和移动性管理功能网元还可以向所述终端设备发送第二会话修改响应消息；其中，所述第一会话修改请求消息、所述第二会话修改请求中包含所述终端设备请求建立的第二服务质量流的信息。

通过该设计，核心网控制面网元可以通过会话修改过程，在创建服务质量流的过程中，建立所述安全处理协议SA。

方式一：所述第二会话修改请求消息中包含所述第一安全参数；

方式二：所述第二会话修改请求中包含所述第一安全参数中的第一参数部分；在向会话管理功能网元发送第一消息之前，所述接入和移动性管理功能网元还可以获取保存的所述第一安全参数中的第二参数部分；其中，所述第一参数部分和所述第二参数部分组成所述第一安全参数；

方式三：在向会话管理功能网元发送第一消息之前，所述接入和移动性管理功能网元还可以获取保存的所述第一安全参数。

在一种可能的设计中，所述接入和移动性管理功能网元还可以接收来自所述会话管理功能网元的第五消息，所述第五消息用于请求所述第一安全参数；所述第一消息为所述第五消息的响应消息；所述第四消息为第一会话修改响应消息；在接收来自所述会话管理功能网元的第四消息之后，所述接入和移动性管理功能网元还可以向所述终端设备发送第二会话修改响应消息。

通过该设计，所述接入和移动性管理功能网元可以在会话管理功能网元请求第一安全参数时，向所述会话管理功能网元发送所述第一安全参数。

在一种可能的设计中，所述第二会话修改响应消息中包含所述第一安全参数中的部分或全部；和/或，所述第二会话修改响应消息中包含所述第二安全参数中的部分或全部。

在一种可能的设计中，所述第一安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述终端设备中的第一处理实体的标识，所述终端设备的鉴权信息，所述终端设备支持的安全处理协议SA加密算法，第一数据流选择规则，或者用于生成安全处理协议SA密钥的第三随机数；

所述第二安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述目标安全网关中第二处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的安全处理协议SA加密算法，第二数据流选择规则，或者用于生成安全处理协议SA密钥的第四随机数。

在一种可能的设计中，在接收来自所述会话管理功能网元的第四消息之后，所述接入和移动性管理功能网元还可以根据所述第一安全参数、所述第二安全参数，生成SA密钥；并向所述终端设备发送所述SA密钥。

通过该设计，所述终端设备可以使用所述SA密钥对通过所述目标SA传输的数据包进行安全保护。

第三方面，本申请实施例还提供了一种通信方法，该方法可以应用于目标安全网关。该方法可以包括以下步骤：

接收来自会话管理功能网元的第二消息；其中，所述第二消息中包含终端设备的第一安全参数，所述第一安全参数用于建立所述终端设备与所述目标安全网关之间的目标安全关联SA，所述第二消息用于请求建立所述目标SA；向所述会话管理功能网元发送第三消息；其中，所述第三消息中包含所述目标安全网关的第二安全参数，所述第二安全参数用于建立所述目标SA，所述第三消息为所述第二消息的响应消息。

在一种可能的设计中，所述目标SA为网络密钥交换IKE SA。

在一种可能的设计中，在向所述会话管理功能网元发送第三消息之前，所述目标安全网关还可以针对所述目标SA，为所述目标安全网关分配因特网协议IP地址；所述第三消息中还包含所述目标安全网关的IP地址；所述第二消息中还包含所述终端设备的IP地址。

在一种可能的设计中，所述目标SA为安全处理协议SA。

在一种可能的设计中，在接收来自会话管理功能网元的第二消息之后，所述目标安全网关还可以根据所述第一安全参数、所述第二安全参数，生成SA密钥。

通过该设计，所述目标安全网关可以使用所述SA密钥对通过所述目标SA传输的数据包进行安全保护。

第四方面，本申请实施例提供了一种通信方法，该方法可以应用于会话管理功能网元。该方法可以包括以下步骤：

向目标安全网关发送第一消息；其中，所述第一消息用于请求建立终端设备与所述目标安全网关之间的安全处理协议安全关联SA；接收来自所述目标安全网关的第二消息；其中，所述第二消息中包含所述目标安全网关的第一安全参数，所述第一安全参数用于建立所述安全处理协议SA，所述第二消息为所述第一消息的响应消息；向接入和移动性管理功能网元发送第三消息；其中，所述第三消息中包含所述第一安全参数，所述第三消息用于请求建立所述安全处理协议SA；接收来自所述接入和移动性管理功能网元发送的第四消息；其中，所述第四消息中包含所述终端设备的第二安全参数，所述第二安全参数用于建立所述安全处理协议SA，所述第四消息为所述第三消息的响应消息；向所述目标安全网关发送第五消息；其中，所述第五消息中包含所述终端设备的第二安全参数，所述第五消息用于请求建立所述安全处理协议SA。

在一种可能的设计中，所述会话管理功能网元可以通过以下步骤，触发向目标安全网关发送第一消息：

接收来自策略控制功能网元的策略修改通知消息，其中，所述策略修改通知消息中包含所述策略控制功能网元请求在所述终端设备的会话中建立的第一服务质量流的信息；或者

接收来自统一数据管理网元的签约修改通知消息，其中，所述签约修改通知消息中包含所述统一数据管理网元请求在所述终端设备的会话中建立的第一服务质量流的信息；或者

接收来自所述接入和移动性管理功能网元的会话修改请求消息，其中，所述会话修改请求消息中包含所述终端设备请求在所述终端设备的会话中建立的第一服务质量流的信息。

所述会话管理功能网元可以在接收到策略修改通知消息、签约修改通知消息或会话修改请求消息后，决定建立第一服务质量流，从而可以触发向所述目标安全网关请求第一安全参数。

在一种可能的设计中，所述第三消息为第一会话修改命令消息，所述第三消息中还包含所述第一服务质量流的信息；所述第四消息为第一会话修改确认消息，所述第四消息中还包含所述第一服务质量流的信息。

在一种可能的设计中，所述会话管理功能网元还可以根据所述第一服务质量流的信息，创建所述第一服务质量流；向用户面功能网元发送第一转发规则配置信息；

其中，所述第一转发规则配置信息用于指示所述用户面功能网元将所述目标安全网关通过所述安全处理协议SA传输的数据包映射到所述第一服务质量流上。

通过该设计，移动通信系统可以实现将安全处理协议SA与会话中的服务质量流耦合在一起，保证安全处理协议SA中的数据流可以通过对应的服务质量流传输，进而保证的业务的QoS需求。

在一种可能的设计中，所述第一安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述目标安全网关中第一处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的安全处理协议SA加密算法，第一数据流选择规则，或者用于生成安全处理协议SA密钥的第一随机数；

所述第二安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述终端设备中的第二处理实体的标识，所述终端设备的鉴权信息，所述终端设备支持的安全处理协议SA加密算法，第二数据流选择规则，或者用于生成安全处理协议SA密钥的第二随机数。

在一种可能的设计中，所述第一消息中包含所述目标安全网关的第三安全参数；所述第一安全参数是基于所述第三安全参数确定的。

第五方面，本申请实施例还提供了一种通信方法，该方法可以应用于接入和移动性管理功能网元。该方法可以包括以下步骤：

接收来自会话管理功能网元的第三消息；其中，所述第三消息中包含目标安全网关的第一安全参数，所述第一安全参数用于建立终端设备与所述目标安全网关之间的安全处理协议安全关联SA，所述第三消息用于请求建立所述安全处理协议SA；向所述会话管理功能网元发送第四消息；其中，所述第四消息中包含所述终端设备的第二安全参数，所述第二安全参数用于建立所述安全处理协议SA，所述第四消息为所述第三消息的响应消息。

在一种可能的设计中，所述第三消息为第一会话修改命令消息，所述第三消息中还包含需要在所述终端设备的会话中建立的第一服务质量流的信息；所述第四消息为第一会话修改确认消息，所述第四消息中还包含所述第一服务质量流的信息。

在一种可能的设计中，在接收来自会话管理功能网元的第三消息之前，所述接入和移动性管理功能网元还可以向所述会话管理功能网元发送会话修改请求消息，其中，所述会话修改请求消息中包含所述终端设备请求在所述终端设备的会话中建立的所述第一服务质量流的信息。

在一种可能的设计中，在向所述会话管理功能网元发送第四消息之前，所述接入和移动性管理功能网元还可以向所述终端设备发送第二会话修改命令消息，其中，所述第二会话修改命令中包含所述第一服务质量流的信息；接收来自所述终端设备的第二会话修改确认消息，所述第二会话修改确认消息中包含所述第一服务质量流的信息。

在一种可能的设计中，所述第二会话修改命令消息中还包含所述第一安全参数的部分或全部；和/或，所述第二会话修改确认消息中还包含所述第二安全参数的部分或全部。

在一种可能的设计中，所述第二会话修改命令消息中还包含所述终端设备的第四安全参数；所述第二安全参数是基于所述第四安全参数确定的。

在一种可能的设计中，所述接入和移动性管理功能网元还可以根据所述第一安全参数、所述第二安全参数，生成安全处理协议SA密钥；并向所述终端设备发送所述安全处理协议SA密钥。

通过该设计，所述终端设备可以使用所述安全处理协议SA密钥对通过所述安全处理协议SA传输的数据包进行安全保护。

第六方面，本申请实施例提供了一种通信方法，该方法可以应用于目标安全网关。该方法可以包括以下步骤：

接收来自会话管理功能网元的第一消息；其中，所述第一消息用于请求建立终端设备与所述目标安全网关之间的安全处理协议SA；向所述会话管理功能网元发送第二消息；其中，所述第二消息中包含所述目标安全网关的第一安全参数，所述第一安全参数用于建立所述安全处理协议SA，所述第二消息为所述第一消息的响应消息；接收来自所述会话管理功能网元的第五消息；其中，所述第五消息中包含所述终端设备的第二安全参数，所述第二安全参数用于建立所述安全处理协议SA，所述第五消息用于请求建立所述安全处理协议SA。

在一种可能的设计中，所述第一消息中包含所述目标安全网关的第三安全参数；在向所述会话管理功能网元发送第二消息之前，所述目标安全网关还可以根据所述第三安全参数，确定所述第一安全参数。

在一种可能的设计中，所述第一安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述目标安全网关中第一处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的第一安全处理协议SA加密算法，第一数据流选择规则，或者用于生成第一安全处理协议SA密钥的第一随机数；

所述第二安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述终端设备中的第二处理实体的标识，所述终端设备的鉴权信息，所述终端设备支持的第一安全处理协议SA加密算法，第二数据流选择规则，或者用于生成第一安全处理协议SA密钥的第二随机数。

在一种可能的设计中，在接收来自所述会话管理功能网元的第五消息之后，所述目标安全网关还可以根据所述第一安全参数、所述第二安全参数，生成安全处理协议SA密钥。

通过该设计，所述目标安全网关可以使用所述安全处理协议SA密钥对通过所述安全处理协议SA传输的数据包进行安全保护。

第七方面，本申请实施例提供了一种通信方法，该方法可以应用于会话管理功能网元。该方法可以包括以下步骤：

接收第一消息，其中，所述第一消息包含需要在终端设备的会话中建立的第一服务质量流的信息；根据所述第一服务质量流的信息，创建所述第一服务质量流；获取所述终端设备与目标安全网关之间建立的安全处理协议SA的安全参数；向用户面功能网元发送第一转发规则配置信息；其中，所述第一转发规则配置信息用于指示所述用户面功能网元通过所述第一服务质量流接收的来自所述终端设备的数据包转发至所述目标安全网关，和/或，所述用户面功能网元将所述目标安全网关通过所述安全处理协议SA传输的数据包映射到所述第一服务质量流上。

通过该方法，在终端设备与目标安全网关之间建立安全处理协议SA之后，核心网控制面网元可以将该安全处理协议SA与终端设备的会话中的服务质量流绑定。这样，后续终端设备与所述目标安全网关可以通过所述安全处理协议SA在用户面第一QoS流中传输所述终端设备的业务数据包。

在一种可能的设计中，所述会话管理功能网元可以通过以下方式接收第一消息：

方式一：接收来自策略控制功能网元的策略修改通知消息，其中，所述策略修改通知消息中包含所述策略控制功能网元请求在所述终端设备的会话中建立的所述第一服务质量流的信息；

方式二：接收来自统一数据管理网元的签约修改通知消息，其中，所述签约修改通知消息中包含所述统一数据管理网元请求在所述终端设备的会话中建立的所述第一服务质量流的信息；

方式三：接收来自接入和移动性管理功能网元的会话修改请求消息，其中，所述会话修改请求消息中包含所述终端设备请求在所述终端设备的会话中建立的所述第一服务质量流的信息。

在一种可能的设计中，所述会话管理功能网元可以但不限于通过以下方式获取所述终端设备与目标安全网关之间建立的安全处理协议SA的安全参数：

方式一：获取所述第一消息中的所述安全参数；

方式二：从以下至少一项获取所述安全参数：所述终端设备、接入和移动性管理功能网元、所述目标安全网关。

第八方面，本申请实施例提供了一种通信装置，包括用于执行以上第一方面至第七方面中各个步骤的单元。

第九方面，本申请实施例提供了一种通信设备，包括至少一个处理元件和至少一个存储元件，其中该至少一个存储元件用于存储程序和数据，该至少一个处理元件用于执行本申请以上第一方面至第七方面中提供的方法。

第十方面，本申请实施例还提供了一种计算机程序，当计算机程序在计算机上运行时，使得计算机执行上述任一方面提供的方法。

第十一方面，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，当计算机程序被计算机执行时，使得计算机执行上述任一方面提供的方法。

第十二方面，本申请实施例还提供了一种芯片，芯片用于读取存储器中存储的计算机程序，执行上述任一方面提供的方法。可选的，所述芯片中可以包含处理器和存储器，所述处理器用于读取所述存储器中的存储的计算程序，实现以上实施例提供的方法。

第十三方面，本申请实施例还提供了一种芯片系统，该芯片系统包括处理器，用于支持计算机装置实现上述任一方面提供的方法。在一种可能的设计中，芯片系统还包括存储器，存储器用于保存该计算机装置必要的程序和数据。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

附图说明

图1为本申请实施例提供的一种通信系统的架构示意图；

图2为本申请实施例提供的另一种通信系统的架构示意图；

图3为目前IKE SA和IP子SA的建立流程示意图；

图4为本申请实施例提供的支持IPSec协议的通信系统中的协议栈示意图；

图5为本申请实施例提供的一种IPSec协议下的数据包的封装模式示意图；

图6为本申请实施例提供的一种通信方法的流程图；

图7为本申请实施例提供的一种通信方法的流程图；

图8为本申请实施例提供的一种通信方法的流程图；

图9为本申请实施例提供的一种通信方法的流程图；

图10为本申请实施例提供的一种通信方法的流程图；

图11为本申请实施例提供的一种通信方法的流程图；

图12为本申请实施例提供的一种通信方法的流程图；

图13为本申请实施例提供的一种通信方法的流程图；

图14为本申请实施例提供的一种通信装置的结构图；

图15为本申请实施例提供的一种通信设备的结构图。

具体实施方式

本申请提供一种通信方法及装置，用于在移动通信系统通过IPSec协议实现安全保护的场景下保证IPSec协商过程的安全性。其中，方法和装置是基于同一技术构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

以下对本申请中的部分用语进行解释说明，以便于本领域技术人员理解。

1)基站，是通信系统中将终端设备接入到无线网络的设备。基站作为无线接入网中的节点，又可以称为网络设备，还可以称为无线接入网(radio access network，RAN)节点(或设备)，接入网(access network，AN)节点(或设备)，或者称为接入点(access point，AP)。

目前，一些基站的举例为：新一代节点B(generation Node B，gNB)、传输接收点(transmission reception point，TRP)、演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、接入点(access point，AP)基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)，或基带单元(base bandunit，BBU)，企业LTE离散窄带聚合(Enterprise LTE Discrete Spectrum Aggregation，eLTE-DSA)基站等。

另外，在一种网络结构中，基站可以包括集中单元(centralized unit，CU)节点和分布单元(distributed unit，DU)节点。这种结构将基站的协议层拆分开，部分协议层的功能放在CU集中控制，剩下部分或全部协议层的功能分布在DU中，由CU集中控制DU。

2)终端设备，是一种向用户提供语音和/或数据连通性，能够通过Uu接口接入基站的设备。终端设备又可以称为用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)等。以下实施例中，以终端设备简称为UE进行描述。

例如，终端设备可以为具有无线连接功能的手持式设备、各种车载设备、路侧单元等。目前，一些终端设备的举例为：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、智能销售终端(point of sale，POS)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、各类智能仪表(智能水表、智能电表、智能燃气表)、车载电子控制单元(electronic control unit，ECU)等、车载电脑、车载巡航系统、远程信息处理器(telematics box，T-BOX)等。

3)终端设备的会话，为移动通信系统针对单个终端设备建立的该终端设备、基站、用户面功能(UPF)以及数据网络(data network，DN)之间的连接，用于在终端设备和DN之间传输用户面数据。示例性的，本申请涉及的会话可以为协议数据单元(protocol dataunit，PDU)会话。

其中，在终端设备的会话中包含终端设备和基站之间的无线承载、基站和UPF之间传输隧道，以及UPF和DN之间的传输隧道。总之，终端设备的会话是针对该终端设备的专用的通信连接。

应注意，一个终端设备可以与移动通信系统建立一个或多个会话，且任一个会话中可以建立一个或多个服务质量(quality of service，QoS)流(flow)。其中，每个QoS流对应一个或多个业务，用于传输具有同一QoS需求的业务的业务数据。其中，在终端设备和基站之间，一个会话中的至少一个QoS流与一个无线承载(radio bearer，RB)对应，通过该RB传输所述至少一个QoS流的业务数据。在移动通信系统中，终端设备与DN之间通过会话传输的数据包(业务流)均需要映射到QoS流中传输。

会话中的QoS流可以由QoS流标识(QoS flow identifier，QFI)来标识。应注意，同一QoS流可以设置一个或多个QFI。例如，针对上行方向某个QoS流可以通过第一QFI标识，针对下行方向该QoS流可以通过第二QFI标识。

需要说明的是，终端设备的会话中可以包含默认的QoS流，该默认的QoS流可以为创建会话时创建的。终端设备的会话中的默认的QoS流可以在该会话未针对具体的业务建立对应QoS流时传输该会话的数据包，或者在无法确定某个数据包对应的QoS流时传输该数据包。

4)策略和计费控制(policy and charging control，PCC)规则(rule)，又可以记为PCC rule，包含计费相关信息和终端设备的计费键值(charging key)，是创建QoS流的必要因素。需要说明的是，PCC rule可以是以会话中的QoS流为粒度分配的，还可以是以会话为粒度分配的(例如，针对会话分配的默认(default)PCC rule)。

5)设备(例如终端设备或安全网关)内的处理实体，为设备内用于实现某个功能的实例。示例性的，处理实体可以但不限于为：设备内的处理模块、软件实例、处理芯片、操作系统、应用(application，APP)，客户端等。

6)“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

需要说明的是，本申请中所涉及的多个，是指两个或两个以上。至少一个，是指一个或多个。

另外，需要理解的是，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。

下面结合附图，对本申请实施例进行详细描述。

本申请实施例提供的通信方法适用于通信系统，所述通信系统的架构如图1和图2所示。其中，图1为基于参考点的系统架构，图2为基于服务化接口的系统架构。

参阅图1和图2所示，所述通信系统包括三部分：终端设备、移动通信系统和DN。下面参考附图分别对每个部分的功能和实体进行详细介绍。

终端设备，简称为UE，为用户侧能够接收和发射无线信号的实体，需要通过移动通信系统接入DN，以实现UE的业务。所述UE可以为各种为用户提供语音和/或数据连通性的设备，本申请对此不作限定。

DN，也可以称为分组数据网络(packet data network，PDN)，是位于移动通信系统之外的网络。DN上可部署实现多种业务的服务器(sever)，可为UE提供数据和/或语音等服务。其中，移动通信系统可以接入至少一个DN，同一个DN也可以被至少一个移动通信系统接入。例如，所述DN可以为因特网(Internet)、IP多媒体业务(IP Multi-media Service，IMS)网络、某些应用专用的数据网络、以太网、IP本地网络等，本申请对此不作限定。

移动通信系统，由运营商部署和维护，为UE提供接入服务和端到端的连接服务，又可以称为移动通信网络。UE可以通过移动通信系统访问DN，实现具体业务。其中，所述移动通信系统又可以包括(无线)接入网((radio)access network，(R)AN)和核心网(corenetwork，CN)两部分。在UE请求访问DN时，移动通信系统可以在UE和DN之间建立UE的会话(例如PDU会话)，以使二者之间可以实现通信。

(R)AN主要负责UE的无线接入功能，(R)AN的功能具体可以通过基站来实现。基站是网络侧能够接收和发射无线信号的实体，负责为在其覆盖范围内的UE提供无线接入有关的服务，实现物理层功能、资源调度和无线资源管理、QoS管理、无线接入控制、用户面数据转发以及移动性管理功能。基站与UE通过Uu接口实现空口传输。

CN负责根据UE通过接入网发送的呼叫请求或业务请求将所述UE接续到不同的数据网络上，以及计费、移动性管理、会话管理等业务。按照具体的逻辑功能划分，CN可以划分为控制面(control plane，CP)和用户面(user plane，UP)。那么CN中负责控制面功能的网元可以统称为控制面网元，负责用户面功能的网元可以统称为用户面网元。下面分别对核心网中的主要网元的功能进行具体介绍。

用户面网元，即用户面功能(user plane function，UPF)网元，简称为UPF，主要负责UE的用户面数据的转发和接收。用户面网元可以从DN接收用户面数据，通过基站传输给UE；用户面网元还可以将通过基站从UE接收用户面数据，并将其转发到DN。其中，用户面网元中为UE提供服务的传输资源和调度功能是由控制面网元管理控制的。

控制面网元包括：接入和移动性管理功能(access and mobility managementfunction，AMF)网元、会话管理功能(session management function，SMF)网元、策略控制功能(policy control function，PCF)网元、认证服务功能(authentication serverfunction，AUSF)网元、网络开放功能(network exposure function，NEF)网元、统一数据库(unified data repository，UDR)网元，统一数据管理(unified data management，UDM)网元、计费功能(charging function，CHF)网元和应用功能(application function，AF)网元等。下面分别对各个控制面网元进行简单介绍。

AMF网元，可以简称为AMF，主要负责移动通信系统中的移动性管理，接入鉴权/授权，和信令处理部分，例如：接入控制、UE位置更新、UE注册与去注册、附着与去附着，以及选择SMF等功能。此外AMF还负责在UE和PCF之间传递用户策略。

SMF网元，可以简称为SMF，主要负责移动通信系统中的会话管理，例如会话建立、修改、释放等。具体的，SMF的功能包括：UPF的选择，UPF重定向，因特网协议(internetprotocol，IP)地址分配，承载的建立、修改和释放，以及QoS控制等。

PCF网元，可以简称为PCF，主要负责支持提供统一的策略框架来控制网络行为，提供策略规则给其他控制面网元，同时负责获取与策略相关的用户签约信息。

AUSF网元，可以简称为AUSF，主要负责提供认证功能，支持第三代合作伙伴计划(3rd generation partnership project，3GPP)接入和非3GPP(Non-3GPP)接入的认证。

NEF网元，可以简称为NEF，主要支持移动通信系统和第三方应用安全的交互，能够安全的向第三方开放网络能力和事件，用于加强或者改善应用服务质量。移动通信系统也可以通过NEF网元安全地从第三方获取相关数据，用以增强网络的智能决策。

UDR网元，可以简称为UDR，主要负责存储UE的签约数据、策略数据、应用数据等类型数据。

UDM网元，可以简称为UDM，主要负责存储和管理UE的签约数据、用户接入授权，生成认证信任状，用户标识处理(如存储和管理用户永久身份标识等)等功能。

CHF网元，可以简称为CHF，主要负责向SMF提供流量配额，以及为流量配额授权有效时间，处理计费信息，以及生成计费功能-呼叫详细记录(charging function-calldetail record，CHF-CDR)话单等功能。

AF网元，可以简称为AF，主要传输应用侧对网络侧的需求，支持与核心网中其他网元的交互来提供服务，例如影响数据路由决策，策略控制功能或者向网络侧提供第三方的一些服务。AF网元可以是第三方功能实体，也可以是运营商部署的应用服务。

NSSF网元，可以简称为NSSF，主要负责网络切片的选择。

与传统的通信系统不同的是，本申请提供的通信系统中，在UPF后还配置了安全网关，如图1和图2中所示。该安全网关支持动态控制UE对DN的访问，且具备用户面和控制面的功能。例如，在控制面，安全网关可以通过SMF的控制面接口进行相关配置，还可以为自身分配IP地址以传输UE的用户面数据。在用户面，安全网关与UPF之间保持用户面连接，为数据提供IPSec保护。应注意，安全网关与UPF可以耦合在一起部署，又或者独立部署。例如，安全网关可以作为UPF内的一个功能模块，还可以作为CN内的一个独立的网元，还可以为部署在CN以外的设备，本申请对此不作限定。可选的，所述安全网关还可以称为数据访问安全功能(data access security function，DASF)网元。

需要理解的是，CN中的以上各网元既可以是在专用硬件上实现的网络元件，也可以是在专用硬件上运行的软件实例，或者是在虚拟化平台(例如云平台)上虚拟化功能的实例。此外，本申请实施例并不限定通信系统中各个网元的分布形式。可选的，以上各个网元可以分别部署在不同的物理设备中，或者多个网元融合在同一物理设备中。

另外，图1中还展示了移动通信系统中各个网络功能实体之间的交互关系以及对应的接口。图2还展示了移动通信系统中部分网络功能实体之间采用的服务化接口。应注意，在本申请提供的通信系统中，安全网关可以与UPF共用N4接口与SMF实现通信，如图1或图2中的N4′接口所示。

需要说明的是，图1或图2所示的移动通信系统并不构成本申请实施例能够适用的移动通信系统的限定。因此本申请实施例提供的通信方法还可以适用于各种制式的通信系统，例如：长期演进(long term evolution，LTE)通信系统、第五代(The 5th Generation，5G)通信系统、第六代(The 6th Generation，6G)通信系统以及未来通信系统。此外，图1或图2也不对移动通信系统的通信场景进行限定，除图1和图2所示的非漫游场景以外，本申请还可以适用于各种漫游场景。

最后，还需要说明的是，本申请实施例也不对移动通信系统中各网元的名称进行限定，例如，在不同制式的移动通信系统中，各网元可以有其他名称；又例如，当多个网元融合在同一物理设备中时，该物理设备也可以有其他名称。

在上述图1或图2所述的移动通信系统中，UE和基站之间的Uu接口，包括控制面协议栈和用户面协议栈。其中，用户面协议栈中均至少包含以下协议层：物理(physical，PHY)层、媒体访问控制(medium access control，MAC)层、无线链路控制(radio link control，RLC)层和分组数据汇聚协议(packet data convergence protocol，PDCP)层、服务数据适配协议(service data adaptation protocol，SDAP)层；控制面协议栈中至少包含以下协议层：PHY层、MAC层、RLC层、PDCP层、无线资源控制(radio resource control，RRC)层。

下面先对IPSec协议进行简单介绍：

IPSec协议能够在通信系统的IP层实现安全保护，为在不安全的网络环境中传输敏感数据提供安全保护。IPSec协议可以提供如下安全服务：

数据源认证：对通信对端进行身份认证。

完整性保护：保证数据在传输过程中不被篡改。

机密性：对传输的用户的敏感数据进行加密保护。

重放保护：拒绝接收旧的或者重复发送的数据包，防重放攻击。

在IPSec协议体系中，包含两种安全处理协议和一种密钥交换协议。其中，安全处理协议包括：AH协议和ESP协议。应注意，AH协议和ESP协议可以单独使用，也可以嵌套使用。IPSec协议中的密钥交换协议为IKE协议。

AH协议，能够提供数据源认证、数据完整性校验、防重放攻击等功能，不支持数据加密。

ESP协议，能够提供数据源认证、数据完整性校验、防重放功能机，以及数据加密等功能。

IKE协议定义了通信双方之间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE协议可以将密钥协商结果保留到SA中，以供AH协议和ESP协议使用。

需要说明的是，IPSec协议需要通过通信双方之间建立SA来实现。SA是IPSec协议的基础。SA是两个通信实体经协商建立起来的一种协定，是以传输安全的目的创建的一个逻辑连接。所有经过同一SA的数据流会得到相同级别的安全保护，其能够决定安全保护的具体IPSec协议、密钥、密钥的有效时间等。

在IPSec协议体系中，每种安全处理协议(即AH协议和ESP协议)均需要创建对应的SA(后续可以简称为AH SA、ESP SA)来实现；IKE协议也需要对应的SA(简称为IKE SA)来实现。需要说明的是，除了IKE SA是双向逻辑连接以外，AH SA和ESP SA均是单向逻辑连接。即通信双方均可以采用同一安全处理协议互相发送数据的情况下，需要通信双方针对不同的数据传输方向分别建立该安全处理协议的SA。

通过以上对IPSec协议体系的描述可知，AH协议和ESP协议需要使用IKE协议的密钥协商结果，且AH SA和ESP SA的建立需要通过IKE SA来传输信令，因此，AH SA和ESP SA不仅可以统称为安全处理协议SA，还可以称为IPSec子SA。

下面以通信双方为通信设备a和通信设备b为例，参阅图3对目前IKE SA和IP子SA的建立流程(即IPSec协商过程)进行简单说明。应注意，在图3中的各个消息中，消息后的小括号()表示其中的内容为消息中包含的信息，中括号[]表示其中的内容为可选项，大括号{}表示其中的内容是通过IKE SA加密保护的。

S301-S302为IKE SA建立流程。在该流程中，假设通信设备a为建立IKE SA的发起者(initiator)，那么通信设备b为建立IKE SA的响应者(responder)。

S301：通信设备a向通信设备b发送IKE SA建立请求。所述IKE SA请求中包含通信设备a用于建立IKE SA的各种安全参数。

如图3中所示，IKE SA建立请求中可以包含IKE头(IKE header，记为HDR)1，通信设备a支持的IKE SA加密算法(记为SA1_a)，通信设备a的密钥材料(例如，包含通信设备a的迪菲-赫尔曼(Diffie-Hellman)值，记为KE_a)，通信设备a用于生成IKE SA密钥的随机数(记为N1_a)。

其中，HDR1中可以包含通信设备a的安全参数索引(security parameterindexes，SPI)(用于在IPSec协议中标识通信设备a，记为SPI_a)，IKE协议版本号，封装模式(传输模式(transport mode)或隧道模式(tunnel mode))，消息标识(Message ID)等信息。

S302：通信设备b根据所述IKE SA建立请求，向通信设备a发送IKE SA建立响应。所述IKE SA请求中包含通信设备b用于建立IKE SA的各种安全参数。

如图3中所示，所述IKE SA建立响应中可以包含HDR2，通信设备b支持的IKE SA加密算法(记为SA1_b)，通信设备b的密钥材料(记为KE_b)，通信设备b用于生成IKE SA密钥的随机数(记为N1_b)。可选的，所述IKE SA建立响应中还包含通信设备b的身份验证请求(可以记为CERTREQ)。

需要说明的是，HDR2中包含的内容可以参考S301中的HDR1，相同之处可以相互参考，此处不再赘述。与HDR1不同的是，HDR2不仅包含通信设备b的SPI(记为SPI_b)，还包含SPI_a。

通过S301-S302，通信双方可以获取对方用于建立IKE SA的各种安全参数，这样，通信双方可以根据自身用于建立IKE SA的安全参数，以及对方用于建立IKE SA的安全参数，建立IKE SA，以便后续可以通过该IKE SA传输建立IPSec子SA的相关信令。另外，此时通信双方均已获得对方的密钥材料KE和用于生成IKE SA密钥的随机数(即KE_a，KE_b，N1_a，N1_b)，因此，通信设备a和通信设备b可以生成相同的密钥种子(SKEYSEED)，以便后续可以生成IKE SA密钥。

S303-S304为IPSec子SA建立流程。在该流程中，继续假设通信设备a为IPSec子SA的发起者，通信设备b为IPSec子SA的响应者。

S303：通信设备a向通信设备b发送IPSec子SA建立请求。所述IPSec子SA建立请求中包含通信设备a用于建立IPSec子SA的各种安全参数。

如图3所示，所述IPSec子SA建立请求中可以包含HDR3，以及通过IKE SA加密和鉴权内容(encrypted and authenticated，记为SK)。其中，该SK中包含通信设备a中用于实现该IPSec子SA的处理实体的标识(记为ID_a)，通信设备a的鉴权信息(Authentication)(记为AUTH_a)，通信设备a支持的IPSec子SA加密算法(记为SA2_a)，通信设备a确定的第一数据流选择规则(包括通信设备a侧的数据流选择规则(记为TS1_a)，通信设备b侧的数据流选择规则(记为TS1_b))。HDR3中包含的内容可以参考HDR2，包含SPI_b和SPI_a，此处不再赘述。

可选的，如图3所示，所述IPSec子SA建立请求中还可以包含通信设备a指定通信设备b实现该IPSec子SA的处理实体的标识(记为ID_b)，以及响应于S302接收的所述IKE SA建立响应中的身份验证请求发送的通信设备a的证书(certificate)(记为CERT_a)，以及通信设备a的身份验证请求。

其中，ID_a和AUTH_a用于鉴权验证和完整性保护，TS1_a和TS1_b为应用于该子SA加密的数据包过滤规则。TS1_a用于规定从通信设备a发往通信设备b的需要加密的数据包(通常为IP地址或IP地址段，若从通信设备a发送的数据包的源地址在该TS1_a范围内，则需要用该子SA加密)，或者规定从通信设备b发往通信设备a的需要解密的数据包(通常为IP地址或IP地址段，若从通信设备b发送的数据包的目的地址在该TS1_a范围内，则需要用该子SA解密)。TS1_b用于规定从通信设备a发往通信设备b的需要加密的数据包(通常为IP地址或IP地址段，若从通信设备a发送的数据包的目的地址在该TS1_b范围内，需要用该子SA加密)，或者规定从通信设备b发往通信设备a的需要解密的数据包(通常为IP地址或IP地址段，若从通信设备b发送的数据包的源地址在该TS1_b范围内，需要用该子SA解密)。

S304：通信设备b根据所述IPSec子SA建立请求，向通信设备a发送IPSec子SA建立响应。所述IPSec子SA建立请求中包含通信设备b用于建立IPSec子SA的各种安全参数。

如图3所示，所述IPSec子SA建立响应中可以包含HDR4，以及通过IKE SA加密和鉴权内容(encrypted and authenticated，记为SK)。其中，该SK中包含通信设备b中用于实现该IPSec子SA的处理实体的标识(记为ID_b)，通信设备b的鉴权信息(记为AUTH_b)，通信设备b支持的IPSec子SA加密算法(记为SA2_b)，通信设备b确定的第二数据流选择规则(包括通信设备a侧的数据流选择规则(记为TS2_a)，通信设备b侧的数据流选择规则(记为TS2_b))。

需要说明的是，通信设备b可以根据IPSec子SA建立请求中的内容，以及本地配置，确定IPSec子SA响应中的各项内容，包括以下至少一项：ID_b、SA2_b、TS2_a、TS2_b等。

可选的，如图3所示，响应于S303接收的所述IPSec子SA建立响应中的身份验证请求，所述IPSec子SA建立响应中还可以包含通信设备b的证书(记为CERT_b)。

其中，ID_b和AUTH_b用于鉴权验证和完整性保护，TS2_a、TS2_b为通信设备b认证通过的应用于该子SA加密的数据包过滤规则。TS2_a为从通信设备a发往通信设备b的需要解密的数据包(通常为IP地址或IP地址段，若从通信设备a发送的数据包的源地址在该TS2_a范围内，需要用该子SA解密)，或者从通信设备b发往通信设备a的需要加密的数据包(通常为IP地址或IP地址段，若从通信设备b发送的数据包的目的地址在该TS2_a范围内，需要用该子SA加密)。TS2_a为从通信设备a发往通信设备b的需要解密的数据包(通常为IP地址或IP地址段，若从通信设备a发送的数据包的目的地址在该TS2_b范围内，需要用该子SA解密)，或者从通信设备b发往通信设备a的需要加密的数据包(通常为IP地址或IP地址段，若从通信设备b发送的数据包的源地址在该TS2_b范围内，需要用该子SA加密)。

其中，第二数据流选择规则可以为通信设备b基于第一数据流选择规则确定的。例如，通信设备b根据TS1_a确定TS2_a，以及根据TS1_b确定TS2_b。

通过S303-S304，通信双方可以获取对方用于建立IPSec子SA的各种安全参数，这样，通信双方可以根据自身用于建立IPSec子SA的安全参数，以及对方用于建立IPSec子SA的安全参数，建立IPSec子SA，以便后续可以通过该IPSec子SA传输数据包。

另外，由于通过S303-S304，通信双方可以获得对方用于生成IPSec子SA的随机数，因此，通信双方可以根据双方的密钥材料KE以及用于生成IPSec子SA的随机数(即KE_a，KE_b，N2_a，N2_b)，生成该IPSec子SA的密钥，以便对通过该IPSec子SA传输的数据包进行加密保护。

应注意的是，上述S303和S304可以多次发生，且每次都可以使用相同的IKE SA进行加密保护，用于建立多组IPSec子SA进行数据传输。由于IPSec子SA是单向连接，因此，通信设备b也可以作为发起方执行IPSec子SA建立流程，即IPSec子SA的发起方可以为IKE SA的发起方，也可以为IKE SA的回应方。

为了保证移动通信系统中用户数据的传输安全，目前，已有在UE到CN之间进行数据保护的方案，即在现有的移动通信系统的架构的基础上，在UPF和DN之间部署安全网关，以通过IPSec协议在IP层实现端到端(end to end，E2E)的数据安全保护。UE与安全网关之间基于IPSec协议进行密钥协商、加密策略管理等。然而，UE与安全网关需要通过用户面操作创建和维护IPSec SA，然而创建IPSec SA的安全参数在用户面传输和配置，可以会导致安全参数泄露的风险，造成新的安全隐患，反而无法保证用户的数据安全。

在移动通信系统中通过IPSec协议进行数据包加密的协议栈如图4所示，在UE侧支持IPSec协议的安全层(security layer)位于SDAP层之上，PDU层之下；在UPF层安全层位于通用分组无线服务技术(general packet radio service，GPRS)隧道协议-用户面(GPRStunnel protocol-User plane，GTP-U)层之上，PDU层之下。

另外，基于图4所示的协议栈，IPSec协议下数据包的封装模式包括：传输模式、隧道模式。以UE侧封装IP数据包为例，在传输模式下，UE不产生新的IP头，而是将IPSec头插入到原始IP数据包的IP头之后所有传输层协议之前，如图5中的a所示；在隧道模式下，UE将IPSec头插到原始IP数据包的IP头之前，并另外生成一个新的IP头放在IPSec头之前，如图5中的b所示。其中，IPSec头中包含目的设备的SPI以及通信双方IPSec协商的安全处理协议信息(例如，ESP或AH等)。可选的，IPSec头中还可以包含源设备的SPI。

在通信系统中，UE的SDAP层在对IP数据包进行QoS流映射时，使用的是IP数据包中的IP五元组(即源IP地址、目的IP地址、源端口、目的端口，以及传输层协议)。然而，当通信系统通过IPSec协议对IP数据包进行保护时，SDAP层无法检测到待传输的IP数据包的五元组，因此，无法确定该IP数据包应该映射到哪个QoS流中，最终可能只能通过默认的QoS流传输该IP数据包。同理，UPF侧的GTP-U也是同样的问题，无法将IP数据包映射到对应的QoS流中，只能通过默认的QoS流传输。

例如，如图5中的a所示，在传输模式下，UE的安全层仅保留了原始IP数据包的IP头，后面的传输层协议头都被安全保护(隐去)，UE的SDAP层无法获知传输层协议，也无法获知源端口、目的端口，因此SDAP层无法针对该IP数据包进行QoS流映射。

又例如，如图5中的b所示，在隧道模式下，原始IP数据包的IP头，以及后面的传输层协议头均被安全保护(隐去)，UE的SDAP层无法获取原始IP数据包的五元组，无法针对该IP数据包进行QoS流映射。

显然，通过IPSec协议对UE的业务数据进行安全保护时，移动通信系统只能对UE的所有业务数据执行无差别传输，导致UE的某些业务数据传输可能无法达到该业务的QoS需求，影响用户的业务体验。

为了在移动通信系统通过IPSec协议对用户的业务数据进行安全保护的场景下保证IPSec协商过程的安全性，本申请实施例提供了一种通信方法。该方法可以适用于如图1或图2所示的通信系统中。下面参阅图6所示的流程图，对该方法进行说明。

S601：AMF向SMF发送第一消息。所述SMF接收来自所述AMF的所述第一消息。其中，所述第一消息中包含UE的第一安全参数，所述第一安全参数用于建立所述UE与安全网关之间的SA。

需要说明的是，所述AMF、所述SMF为核心网中为所述UE提供服务的网元。

可选的，所述第一安全参数可以用于建立所述UE与安全网关之间的IKE SA，或者建立所述UE与安全网关之间的安全处理协议SA(即IPSec子SA)，本申请对此不作限定。

S602：所述SMF向目标安全网关发送第二消息。所述目标安全网关接收来自所述SMF的第二消息。其中，所述第二消息中包含所述第一安全参数，所述第二消息用于请求建立所述UE与所述目标安全网关之间的目标SA。所述目标安全网关为所述SMF为所述UE分配的。

S603：所述目标安全网关向所述SMF发送第三消息。所述SMF接收来自所述目标安全网关的所述第三消息。其中，所述第三消息中包含所述目标安全网关的第二安全参数，所述第二安全参数用于建立所述目标SA，所述第三消息为所述第二消息的响应消息。

可选的，所述第二消息可以为SA请求消息，所述第三消息可以为SA响应消息。

S604：所述SMF向所述AMF发送第四消息。所述AMF接收来自所述SMF的所述第四消息。其中，所述第四消息中包含所述第二安全参数。

如图6中所示，所述AMF在接收到第二安全参数后，可以根据所述第一安全参数和所述第二安全参数，对UE进行配置，以建立所述UE和所述目标安全网关之间的所述目标SA。可选的，所述AMF可以将所述第一安全参数中的部分或全部参数，和/或，所述第二安全参数中的部分或全部参数发送给所述UE。可选的，所述AMF还可以根据所述第一安全参数、所述第二安全参数，生成SA密钥；然后向所述UE发送所述SA密钥。这样，所述UE可以使用所述SA密钥对通过所述目标SA传输的数据包进行安全保护。

所述目标安全网关也可以根据自身的第二安全参数以及通过S602接收的第一安全参数，对自身进行配置，以建立所述目标SA。可选的，所述目标安全网关也可以根据所述第一安全参数、所述第二安全出参数，生成SA密钥。这样，所述目标安全网关可以使用所述SA密钥对通过所述目标SA传输的数据包进行安全保护。由于所述AMF和所述目标安全网关使用相同的安全参数生成SA密钥，因此，二者生成的SA密钥相同，进而可以保证通过该目标SA传输的数据包能够成功实现安全保护。

通过以上步骤，移动通信系统的核心网控制面网元可以通过与目标安全网关的交互，实现UE的安全参数和目标安全网关的安全参数的传递，从而完成IPSec协商。由于IPSec协商过程是通过核心网控制面完成的，且核心网的安全性较高，因此，该方法可以避免用户面传输安全参数导致安全参数泄露的风险，保证IPSec协商过程的安全性，进而保证后续通过建立的SA传输用户数据或信令的安全性。

通过以上对IPSec协议的描述，以及图3所示的IPSec协商过程的描述可知，为了在UE和目标安全网关之间实现IPSec安全机制，需要先建立IKE SA，然后再建立安全处理协议SA。因此，针对建立该两种SA，本申请实施例提供了以下两种实施方式。

实施方式一：建立IKE SA。即图6所示的实施例中的目标SA为IKE SA。

在本申请实施例中，核心网控制面网元可以通过会话建立过程，建立所述IKE SA。可选的，所述第一消息可以为所述AMF向所述SMF发送的第一会话建立请求消息；所述第四消息可以作为所述第一消息的响应消息，为所述SMF向所述AMF发送的第一会话建立响应消息。

可选的，在所述AMF向所述SMF发送所述第一消息之前，所述AMF还可以接收来自所述UE的第二会话建立请求消息；当所述AMF接收来自所述SMF的所述第四消息之后，所述AMF还可以向所述UE发送第二会话建立响应消息。

可选的，所述AMF可以但不限于通过以下方式，获取所述第一安全参数：

方式一：所述第二会话建立请求消息中包含所述第一安全参数。所述AMF可以从所述第二会话建立请求消息中获取所述第一安全参数，并将所述第一安全参数通过S601发送给所述SMF。

方式二：所述第二会话建立请求消息中包含所述第一安全参数中的第一参数部分。所述AMF在通过S601向所述SMF发送第一消息之前，还可以根据所述UE的标识(例如UE的订阅永久标识(subscription permanent identifier，SUPI))，从UDM或AUSF获取所述第一安全参数中的第二参数部分；其中，所述第一参数部分和所述第二参数部分组成所述第一安全参数。

可选的，所述第一安全参数中的第二参数部分可以包含在所述UE的签约数据中。因此，所述AMF可以从所述UDM或所述AUSF中获取所述UE的签约数据，并从所述UE的签约数据中获取所述第二参数部分。

通过方式二，移动通信系统可以将UE的第一安全参数中的敏感数据(例如UE的密钥材料等)设置于UE的签约数据中。这样可以避免UE通过空口传输这些敏感数据，造成这些敏感数据有泄露的风险。

方式三：第二会话建立请求消息中不包含所述第一安全参数。所述AMF在通过S601向所述SMF发送第一消息之前，还可以确定所述第一安全参数。

示例性的，所述AMF本地可以保存或维护所述UE的第一安全参数。这样，所述AMF可以直接获取本地保存的所述第一安全参数。

又例如，所述AMF本地可以保存或维护所述第一安全参数中的第一参数部分，那么，所述AMF还可以通过方式二，从UDM或AUSF获取所述第一安全参数中的第二参数部分，具体过程可以参考方式二中的描述。

再例如，所述AMF可以直接从所述UDM或AUSF获取所述第一安全参数。

通过方式三，所述AMF无需从所述UE获取所述第一安全参数，所述UE无需要通过空口传输第一安全参数，这样可以避免UE通过空口传输第一安全参数，造成所述第一安全参数有泄露的风险。

在一种可能的设计中，所述AMF向所述UE发送的第二会话建立响应中可以包含：所述第一安全参数的部分或全部，和/或，所述第二安全参数的部分或全部。本申请对此不作限定。可选的，所述AMF还可以通过其他消息将第一安全参数中的部分或全部，第二安全参数中的部分或全部通知给所述UE，本申请对此不作限定。

在一种可能的设计中，所述第一消息中包含第一指示信息。可选的，所述第二会话建立请求中也包含所述第一指示信息。其中，所述第一指示信息用于指示所述UE请求数据加密。示例性的，所述第一指示信息可以为UE发起的E2E加密请求。所述AMF根据所述第一指示信息即可确定需要针对所述UE发起IPSec协商过程。

在一种可能的设计中，所述SMF在执行S602之前，还包括：为所述UE分配所述目标安全网关。通过图1或图2所示的通信系统可知，每个UPF可以关联(连接或耦合)至少一个安全网关。基于此，所述SMF可以通过以下步骤为所述UE分配所述目标安全网关：

a1：所述SMF为所述UE分配UPF；

a2：所述SMF在与所述UPF相关联的至少一个安全网关中选择所述目标安全网关。示例性的，所述SMF可以根据所述至少一个安全网关的负载、物理位置等信息选择所述目标安全网关；或者所述SMF可以在所述至少一个安全网关中随机选择一个安全网关作为所述目标安全网关，本申请对此不作限定。

可选的，当所述SMF为所述UE分配UPF后，所述SMF和/或所述UPF可以为所述UE分配IP地址。基于此，所述SMF向所述目标安全网关发送的第二消息中还可以包含所述UPF的标识或所述UE的IP地址。可选的，所述目标安全网关还可以通过其他方式获取所述UPF的标识，例如通过与所述目标安全网关相关联的UPF确定所述UPF的标识，以便可以识别所述UPF。

所述目标安全网关在接收到所述第二消息之后，还可以针对所述目标SA，为自身分配IP地址，以便后续所述UE与所述目标安全网关，可以基于所述UE的IP地址、所述目标安全网关的IP地址进行通信交互。可选的，所述第三消息中还可以包含所述目标安全网关的IP地址，所述第四消息中也可以包含所述目标安全网关的IP地址。

在一种可能的设计中，当核心网建立所述UE的会话后，还可以向UPF配置转发规则，以便将所述UE和所述目标安全网关之间通过所述IKE SA传输的数据包映射到所述会话的某个QoS流上，如图6中的S605a所示。

S605a：在S603之后，所述SMF可以向所述UPF发送第一转发规则配置信息。可选的，所述SMF可以根据所述第一安全参数、所述第二安全参数，以及指示第一QoS流的第一QFI，向所述UPF发送第一转发规则配置信息。

其中，所述第一转发规则配置信息用于指示所述UPF将所述UE和所述目标安全网关之间通过所述IKE SA传输的数据包映射到所述第一QFI对应的第一QoS流上，实现IKE SA与所述第一QoS流的耦合/绑定。

换而言之，该第一转发规则配置信息用于指示所述UPF生成第一转发规则。所述第一转发规则用于将所述UE和所述目标安全网关之间通过所述IKE SA传输的数据包映射到所述第一QFI对应的第一QoS流上。可选的，所述第一QoS流可以为所述UE的会话中默认的QoS流。可选的，由于所述第一QoS流(例如默认的QoS流)可以传输所述IKE SA加密的数据包，因此，在本申请实施例中，所述第一QoS流还可以称为IKE QoS流。

这样，后续所述UE和所述目标安全网关可以通过所述IKE SA传输建立安全处理协议SA涉及的信令。所述UPF可以将这些信令在IKE SA与第一QoS流之间相互映射，以便在通信系统的用户面通过IKE SA实现安全处理协议的IPSec协商。例如，UPF可以将通过第一QoS流接收来自UE的数据包映射到IKE SA，从而将该数据包传输给目标安全网关；UPF还可以将来自该目标安全网关的数据包映射到第一QoS流上，从而将该数据包传输给UE。

在一种可能的设计中，所述第一安全参数包含以下至少一项：所述UE的SPI，所述UE的密钥材料，所述UE支持的IKE SA加密算法，或者用于生成IKE SA密钥的第一随机数。所述第二安全参数包含以下至少一项：所述目标安全网关的SPI，所述目标安全网关的密钥材料，所述目标安全网关支持的IKE SA加密算法，或者用于生成IKE SA密钥的第二随机数。

可选的，所述第一转发规则配置信息中可以包含所述UE的SPI，所述目标安全网关的SPI，以及所述第一QFI。可选的，所述第一转发规则配置信息中还可以包含所述目标安全网关的端口。这样，当所述UPF接收到来自目标安全网关的、包含所述UE的SPI和所述目标安全网关的SPI的数据包时，可以将该数据包直接映射到该第一QoS流上传输。当所述UPF通过所述第一QoS流接收到来自UE的数据包时，可以将该数据包通过目标安全网关的端口传输至目标安全网关。

实施方式二：建立安全处理协议SA。即图6所示的实施例中的目标SA为安全处理协议SA。

在本申请实施例中，核心网控制面网元可以通过会话修改过程，在创建QoS流的过程中，建立所述安全处理协议SA。可选的，所述会话修改过程可以为所述UE发起的，也可以为所述SMF根据PCF发送的策略修改通知消息或UDM发送的签约修改通知消息触发的。其中，所述安全处理协议SA可以为从所述UE到所述目标安全网关的上行方向的安全处理协议SA，即上行IPSec子SA。

在一种可能的设计中，所述第一消息可以为所述AMF向所述SMF发送的第一会话修改请求消息；所述第四消息可以作为所述第一消息的响应消息，为所述SMF向所述AMF发送的第一会话修改响应消息。可选的，在所述第一消息中还可以包含所述UE请求建立的第二QoS流的信息。所述第二QoS流的信息可以但不限于包含QoS需求(QoS参数)，第二QoS流的标识——第二QFI，第二QoS流的过滤器检测规则等。

可选的，在所述AMF向所述SMF发送所述第一消息之前，所述AMF还可以接收来自所述UE的第二会话修改请求消息；当所述AMF接收来自所述SMF的所述第四消息之后，所述AMF还可以向所述UE发送第二会话修改响应消息。其中，所述第二会话修改请求消息中还包含所述UE请求在所述UE的会话中建立的第二QoS流的信息。

方式一：所述第二会话修改请求消息中包含所述第一安全参数。所述AMF可以从所述第二会话修改请求消息中获取所述第一安全参数，并将所述第一安全参数通过S601发送给所述SMF。

方式二：所述第二会话修改请求中包含所述第一安全参数中的第一参数部分。所述AMF在通过S601向所述SMF发送第一消息之前，还可以获取本地保存的所述第一安全参数中的第二参数部分；其中，所述第一参数部分和所述第二参数部分组成所述第一安全参数。

方式三：所述第二会话修改请求中不包含所述第一安全参数。所述AMF在通过S601向所述SMF发送第一消息之前，还可以获取保存的所述第一安全参数。

在一种可能的设计中，所述SMF在决定在所述UE的会话中建立第二QoS流后，可以向所述AMF发送第五消息。所述第五消息用于请求所述第一安全参数，所述AMF在接收到所述第五消息之后，可以向所述SMF发送所述第一消息。因此，在本设计中，所述第一消息为所述第五消息的响应消息。

可选的，在所述SMF向所述AMF发送所述第五消息之前，所述SMF可以但不限于通过以下方式，决定建立所述第二QoS流：

方式一：所述SMF接收来自PCF的策略修改通知消息，其中，所述策略修改通知消息中包含所述PCF请求在所述UE的会话中建立的第二QoS流的信息。

方式二：所述SMF接收来自UDM的签约修改通知消息，其中，所述签约修改通知消息中包含所述UDM请求在所述UE的会话中建立的第二QoS流的信息。

方式三：所述SMF接收来自所述AMF的第一会话修改请求消息，其中，所述第一会话修改请求消息中包含所述UE请求在所述UE的会话中建立的第二QoS流的信息。在方式三中，在所述AMF向所述SMF发送第一会话修改请求消息之前，所述AMF还可以接收来自所述UE的第二会话修改请求消息。其中，所述第二会话修改请求消息中还包含所述第二QoS流的信息。

在本设计中，所述第四消息可以为第一会话修改响应消息。当所述AMF接收到来自所述SMF的第四消息之后，所述AMF还可以向所述UE发送第二会话修改响应消息。

另外，所述AMF在接收到所述第五消息之后获取所述第一安全参数的过程可以参考前一种设计中的描述，此处不再赘述。

在一种可能的设计中，以上设计中的所述AMF向所述UE发送第二会话修改响应消息中可以包括：所述第一安全参数中的部分或全部；和/或，所述第二安全参数中的部分或全部。本申请对此不作限定。可选的，所述AMF还可以通过其他消息将第一安全参数中的部分或全部，第二安全参数中的部分或全部通知给所述UE，本申请对此不作限定。

在一种可能的设计中，当所述SMF根据所述第二QoS流的信息，创建所述第二QoS流后，如图6中的S605b所示，所述SMF还可以向为所述UE服务的UPF配置转发规则，以便UPF将所述UE通过第二QoS流传输的数据包映射到该安全处理协议SA上，从而使UPF可以将该数据包传输至所述目标安全网关，即实现所述安全处理协议SA与所述第二QoS流的绑定。

S605b：所述SMF向为所述UE服务的UPF发送第二转发规则配置信息。

其中，所述第二转发规则配置信息用于指示所述UPF通过所述第二QoS流接收的来自所述UE的数据包映射到所述安全处理协议SA上，即将该数据包转发至所述目标安全网关。换而言之，该第二转发规则配置信息用于指示所述UPF生成第二转发规则。所述第二转发规则用于所述UPF将通过所述第二QoS流接收的来自所述UE的数据包转发至所述目标安全网关。

这样，后续所述UE所述目标安全网关可以通过所述安全处理协议SA传输所述UE的上行数据包。

通过该步骤，移动通信系统可以实现将安全处理协议SA与会话中的QoS流耦合在一起，保证安全处理协议SA中的数据流可以通过对应的QoS流传输，进而保证的业务的QoS需求。

还需要说明是，在本申请实施例中交互的消息中，还可以携带UE的会话的会话标识。

在一种可能的设计中，所述第一安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述UE中使用该安全处理协议SA的第一处理实体的标识，所述UE的鉴权信息，所述UE支持的安全处理协议SA加密算法，第一数据流选择规则，或者用于生成安全处理协议SA密钥的第三随机数。所述第二安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述目标安全网关中使用该安全处理协议SA的第二处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的安全处理协议SA加密算法，第二数据流选择规则，或者用于生成安全处理协议SA密钥的第四随机数。

其中，第一处理实体为所述UE用于实现该安全处理协议SA的处理实体，第二处理实体为目标安全网关中用于实现该安全处理协议SA的处理实体。

另外，第一数据流选择规则包含：所述UE侧的第一数据流选择规则，所述目标安全网关侧的第一数据流选择规则；相应的，第二数据流选择规则也包含：所述UE侧的第二数据流选择规则，所述目标安全网关侧的第二数据流选择规则。其中，第二数据流选择规则可以为所述目标安全网关基于所述第一数据流选择规则确定的。例如，目标安全网关根据UE侧的第一数据流选择规则，确定UE侧的第二数据流选择规则；根据目标安全网关侧的第一数据流选择规则，确定目标安全网关侧的第二数据流选择规则。

示例性的，在UE与目标安全网关之间采用隧道模式传输数据包的场景中，上行数据包传输过程如下：

UE生成包含业务数据的原始IP数据包后，可以基于第一安全参数、第二安全参数在安全保护的IP数据包前增加IPSec头，并且再生成新的IP头放在IPSec头之前，如图5中的b所示。其中，新的IP头中包含源IP地址(UE的IP地址)和目的IP地址(目标安全网关的IP地址)。IPSec头中可以包含目标安全网关的SPI、安全处理协议信息。

由于当核心网创建第二QoS流，且AMF在S604之后对UE进行配置后，UE可以维护安全处理协议SA与第二QoS流(或第二QFI)之间的映射关系，其中，该映射关系的实现形式可以为：通过目标安全网关的SPI，目标安全网关的IP地址、安全处理协议信息识别该安全处理协议SA，进而确定该安全处理协议SA对应的第二QoS流(即该映射关系中可以包含目标安全网关的SPI、目标安全网关的IP地址、安全处理协议信息，以及第二QFI等信息)。基于该映射关系UE可以将通过该安全处理协议SA传输的数据包映射到第二QoS流上。因此，UE在对原始IP数据包进行安全处理后，可以根据安全处理后的IP数据包中IPsec头中的信息(目标安全网关的SPI和安全处理协议信息)，新的IP头中的目的IP地址(目标安全网关的IP地址)，以及该映射关系，将该安全处理后的IP数据包映射到第二QFI指示的第二QoS流上传输。

UPF通过第二QoS流接收到该安全处理后的IP数据包后，可以根据该安全处理后的IP数据包中的新的IP头中的目的IP地址(目标安全网关的IP地址)，IPSec头中的目标安全网关的SPI，安全处理协议信息(如ESP，AH等)，将该安全处理后的IP数据包传输到目标安全网关。

目标安全网关在接收到该安全处理后的IP数据包后，可以对该安全处理后的IP数据包进行安全验证，恢复出原始IP数据包，并基于原始IP数据包中原始IP头中的目的IP地址以及设定的路由规则继续将该原始IP数据包传输至下一节点。

基于以上对隧道模式下的数据包传输过程的描述可知，由于UPF可以根据接收的安全处理后的IP数据包中新的IP头，将该安全处理后的IP数据包传输到目标安全网关。因此，在隧道模式下，SMF可以无需执行S605b，即无需向UPF发送第二转发规则配置信息。

又例如，在UE与目标安全网关之间采用传输模式传输数据包的场景中，上行数据包传输过程如下：

UE生成包含业务数据的原始IP数据包后，对该原始IP数据包中的IP有效载荷进行安全保护，并将基于第一安全参数、第二安全参数生成的IPSec头插入安全保护的IP有效载荷和原始IP头之间，如图5中的a所示。其中，该原始IP头中包含源IP地址(UE的IP地址)和目的IP地址(业务节点(非目标安全网关)的IP地址)。IPSec头中可以包含目标安全网关的SPI、安全处理协议信息。

与上述隧道模式中UE的类似的，当核心网创建第二QoS流，且AMF在S604之后对UE进行配置后，UE可以维护安全处理协议SA与第二QoS流之间的映射关系，其中，该映射关系的实现形式可以为：通过目标安全网关的SPI和安全处理协议信息识别该安全处理协议SA，进而确定该安全处理协议SA对应的第二QoS流(即该映射关系中可以包含目标安全网关的SPI、安全处理协议信息，以及第二QFI等信息)。基于该映射关系UE可以将通过该安全处理协议SA传输的数据包映射到第二QoS流上。因此，UE在对原始IP数据包进行安全处理后，可以根据安全处理后的IP数据包中IPSec头中的信息(目标安全网关的SPI和安全处理协议信息)以及该映射关系，将该安全处理后的IP数据包映射到第二QFI指示的第二QoS流上传输。

由于安全处理后的IP数据包中的IP头为原始IP头，因此，UPF根据该原始IP头无法将该安全处理后的IP数据包传输到目标安全网关。为了使UPF可以将来自UE的安全处理后的IP数据包传输到该目标安全网关，SMF可以对UPF进行转发规则的配置，即执行S605b。可选的，SMF在通过S601-S604实现安全参数传递完成IPSec协商之后，SMF可以建立第一安全参数、第二安全传输与第二QFI之间的关联关系；当核心网创建第二QoS流之后，SMF执行S605b，向UPF发送第二转发规则配置信息。可选的，所述第二转发规则配置信息中可以包含所述第二QFI和目标安全网关的IP地址。

UPF根据第二转发规则配置信息，可以建立转发规则(第二QFI，目标安全网关的IP地址)，这样，当UPF从第二QFI指示的第二QoS流接收到来自UE的安全处理后的IP数据包后，可以根据该转发规则将该安全处理后的IP数据包转发给目标安全网关。

目标安全网关在接收到该安全处理后的IP数据包后，可以对该安全处理后的IP数据包进行安全验证，恢复出原始IP数据包；并基于原始IP数据包中原始IP头中的目的IP地址以及设定的路由规则，继续将该原始IP数据包传输至下一节点。

应注意，在本申请实施例中，建立UE的会话的流程，以及建立UE的会话中的QoS流的流程，均可以参考现有的流程，此处不再赘述。

综上所述，本申请实施例提供了一种通信方法。在该方法中，移动通信系统的核心网控制面网元可以通过与目标安全网关的交互，实现UE的安全参数和目标安全网关的安全参数的传递，从而完成IPSec协商。由于IPSec协商过程是通过核心网控制面完成的，且核心网的安全性较高，因此，该方法可以避免用户面传输安全参数导致安全参数泄露的风险，保证IPSec协商过程的安全性，进而保证后续通过建立的SA传输用户数据或信令的安全性。

基于图6所示的实施例提供的方法，本申请实施例还提供了以下几种示例性实施例，下面参阅图7-图9分别对这几种实施例进行说明。

实施例A：参阅图7所示，核心网控制面网元通过会话建立过程建立UE和目标安全网关(以下简称为目标网关(gateway，GW))之间的IKE SA。

S701：UE发起会话建立流程，向AMF发送会话建立请求消息。其中，该会话建立请求消息中可以包含：UE请求建立的会话的会话标识(后续简称为会话标识)。

可选的，该会话建立请求消息中还可以包含E2E加密请求，用于指示UE请求对该UE与安全网关之间传输的数据进行加密。本实施例中的E2E加密请求相当于图6所示实施例中的第一指示信息。

可选的，该会话建立请求消息中还可以携带用于建立IKE SA的UE的第一安全参数中的部分参数(例如非敏感性、不担心泄露风险的数据)。例如，如图7所示，该会话建立请求中还可能携带以下至少一项：用于在IPSec SA中标识该UE的SPI_UE，以及用于生成IKE SA密钥的第一随机值N1_UE，UE支持的IKE SA加密算法SA1_UE。

S702：AMF接收到UE的会话建立请求消息后，(可以根据E2E加密请求)向UDM/AUSF发送携带该UE的SUPI的KE查询请求消息，以在该UE的签约数据中查询UE的密钥材料KE_UE。

需要说明的是，当UE发送的会话建立消息中不包含SPI_UE、N1_UE、SA1_UE中的至少一项时，AMF可以从本地维护的该UE的相关信息中获取这些信息；又或者采用获取KE_UE相同的方式，从UDM/AUSF获取这些信息，具体过程本实施例不再赘述。

S703：UDM/AUSF向AMF发送KE查询响应消息。其中，KE查询响应消息中包含KE_UE。

由于KE_UE为生成密钥的关键信息较为敏感，如果在UE侧维护，那么在会话建立过程中，UE需要通过空口传输到核心网，此过程会存在泄露风险，会降低IPSec协商过程的安全性。因此，在本实施例中，将KE_UE作为UE的签约数据维护在核心网中，可以避免该信息的泄露，保证IPSec协商过程的安全性。

S704：AMF向SMF发送会话建立请求消息。该会话建立请求消息中包含：会话标识，以及UE的第一安全参数(SPI_UE，KE_UE，N1_UE，SA1_UE)。可选的，所述会话建立请求消息中还可以包含E2E加密请求。所述E2E加密请求用于指示UE请求对该UE与安全网关之间传输的数据进行加密，也即指示SMF发起IPSec协商过程，建立IKE SA。

S705：SMF为UE分配UPF，并与UPF之间进行N4配置，完成会话的用户面配置。另外，在该过程中，SMF或UPF还可以针对该UE的会话为UE分配IP地址。

S706：SMF在与UPF相关联的至少一个安全网关中选择目标GW。可选的，所述SMF可以根据该至少一个安全网关的负载、物理位置等信息，选择该目标GW。

S707：SMF向目标GW发送IKE SA建立请求消息。该IKE SA建立请求消息中包含UE的IP地址，UE的第一安全参数(SPI_UE，KE_UE，N1_UE，SA1_UE)。可选的，该IKE SA家里请求消息中还可能包含会话标识，UPF ID等信息，其中，所述会话标识用于目标GW将该IKE SA建立请求消息中的第一安全参数与UE的会话进行绑定，所述UPF ID用于目标GW识别该UPF。

S708：目标GW向SMF发送IKE SA建立响应消息。该IKE SA建立响应消息中包含该目标GW的IP地址，用于建立IKE SA的目标GW的第二安全参数(即用于在IPSec SA中标识该目标GW的SPI_GW，目标GW的密钥材料KE_GW，用于生成IKE SA密钥的第二随机值N1_GW，目标GW支持的IKE SA加密算法SA1_GW。

其中，目标GW的IP地址为目标GW针对该IKE SA为自身分配的。

S709：SMF向UPF配置转发规则，以使UPF将该会话中通过IKE SA传输的数据包(可以简称为IKE数据包)映射到该会话的第一QoS流上，实现IKE SA与第一QoS流的耦合。其中，第一QoS流可以为该会话中的默认的QoS流。如图7中S709所示，所述SMF可以向UPF发送配置信息，该配置信息中可以包含SPI_UE、SPI_GW，标识第一QoS流的第一QFI，以及目标GW的端口IKE端口_GW。这样，在下行方向，UPF可以根据该配置信息生成相应的转发规则，将接收到来自目标安全网关的、包含SPI_UE、SPI_GW的数据包映射到第一QoS流上，以传输给UE。在上行方向，当UPF通过第一QoS流接收到来自UE的数据包时，可以通过该IKE端口_GW，将该数据包传输至目标安全网关。

S710：SMF向AMF发送会话建立响应消息。其中，该会话建立响应消息中包含会话标识，目标GW的第二安全参数(SPI_GW，KE_GW，N1_GW，SA1_GW)信息。可选的，该会话建立响应消息中还可能包含目标GW的IP地址。

S711：AMF向UE发送会话建立响应消息。其中，该会话建立响应消息中包含会话标识。可选的，该会话建立响应中还可以包含：第二安全参数(SPI_GW，KE_GW，N1_GW,SA1_GW)，目标GW的IP地址，或者第一安全参数(SPI_UE，KE_UE，N1_UE，SA1_UE)。

可选的，所述AMF在S710之后，可以根据KE_UE，N1_UE，KE_GW，N1_GW，生成IKE SA密钥，并将所述IKE SA密钥配置给UE，以便UE可以根据该IKE SA密钥对通过IKE SA传输的数据包进行安全保护。在S707之后，目标GW也可以根据KE_UE，N1_UE，KE_GW，N1_GW，生成IKESA密钥，以便后续可以根据该IKE SA密钥对通过IKE SA传输的数据包进行安全保护。

如图7所示中所示，UE和目标GW之间可以根据IKE SA密钥对通过该IKE SA的上行数据包和下行数据包进行安全保护。基于此，在UE或目标GW需要建立IPSec子SA时，UE和目标GW之间可以基于IKE SA在用户面传输建立该IPSec子SA的相关信令数据包，具体过程可以参考如图3中的S303-S304中的描述，此处不再赘述。

还需要说明的是，根据S701中会话建立请求消息和S711中会话建立响应消息中包含的内容，本实施例可以分别支持IKE SA由AMF全权代理，IKE SA由AMF代理并同步到UE，AMF仅代理UE密钥生成的场景。

例1，S701中的会话建立请求消息中不包含第一安全参数，S711中的会话建立响应消息中也不携带第一安全参数和第二安全参数，此场景可以视为IKE SA由AMF全权代理。UE侧不存储任何安全参数。

例2，S701中的会话建立请求消息中不包含第一安全参数，S711中的会话建立响应消息中包含第二安全参数、第一安全参数，此场景可以视为IKE SA由AMF代理并同步到UE。

例3，S701中的会话建立请求消息中包含第一安全参数，S711中的会话建立响应消息中可以无需携带第一安全参数，而是携带第二安全参数，此场景可以视为AMF仅进行密钥材料的查询和密钥生成。

关于通信系统建立会话的流程可以参考传统的会话建立流程，此处不再赘述。

在实施例A中，通过会话建立流程，核心网控制面网元可以实现UE的第一安全参数和目标GW的第二安全参数的传递，从而完成IPSec协商，并为该会话配置UE到目标GW之间的IKE SA。该实施例提供的方法可以在会话建立流程中耦合IKE SA的建立流程，不仅可以减低移动通信系统的信令开销，还可以通过核心网控制面建立IKE SA，避免用户面传输安全参数导致安全参数泄露的风险，保证IPSec协商过程的安全性。

实施例B：参阅图8所示，在UE与目标GW建立IKE SA(例如通过实施例A提供的方法建立IKE SA)之后，UE发起上行IPSec子SA建立流程。核心网控制面通过会话修改过程建立上行IPSec子SA。该上行IPSec子SA即从UE到目标GW的IPSec子SA。

S801：UE发起会话修改流程，向AMF发送会话修改请求消息，请求在UE的会话中建立第二QoS流。其中，该会话修改请求消息中包含UE的会话的会话标识(后续简称为会话标识)，以及UE请求建立的第二QoS流的信息。

可选的，该会话修改请求消息中还可以包含SPI_UE，SPI_GW；还可以包含UE中实现该IPSec子SA的第一处理实体的标识ID1_UE，UE的鉴权信息AUTH_UE，UE支持的IPSec子SA的加密算法SA2_UE，用于生成IPSec子SA的第三随机数N2_UE，UE侧的第一数据流选择规则TS1_UE，目标GW侧的第一数据量选择规则TS1_GW。

在本实施例中，SPI_UE，SPI_GW，ID1_UE，Auth_UE，SA2_UE，N2_UE，TS1_UE，TS1_GW，可以统称为用于建立IPSec子SA的UE的第三安全参数。即，该会话修改请求消息中可以包含第三安全参数中的部分或全部信息。

其中，第二QoS流的信息可以但不限于包含QoS需求(QoS参数)，第二QoS流的标识——第二QFI，第二QoS流的过滤器检测规则等。

S802：AMF向SMF发送会话修改请求消息。该会话修改请求消息中包含：会话标识，第二QoS流的信息，以及第三安全参数(SPI_UE，SPI_GW，ID1_UE，AUTH_UE，SA2_UE，N2_UE，TS1_UE，TS1_GW)。

可选的，当S801中的会话修改请求消息中不包含第三安全参数或者包含第三安全参数中的部分参数时，AMF在执行S802之前，还可以从本地维护的UE的相关信息中获取第三安全参数，或者获取第三安全参数中的另一部分参数。

S803：SMF根据接收到的会话修改请求消息，决定在UE的会话中建立第二QoS流，SMF根据第二QoS流的信息，从PCF获取第二QoS流的PCC规则。

这样，所述SMF可以根据该PCC规则创建第二QoS流，具体过程可以参考现有的QoS流建立流程，此处不再赘述。

S804：SMF向目标GW发送IPSec子SA建立请求消息。IPSec子SA建立请求消息中包含第三安全参数(SPI_UE，SPI_GW，ID1_UE，AUTH_UE，SA2_UE，N2_UE，TS1_UE，TS1_GW)。

S805：目标GW向SMF发送IPSec子SA建立响应消息。其中，IPSec子SA建立响应消息中包含用于建立IPSec子SA的目标GW的第四安全参数。该第四安全参数中包含SPI_UE，SPI_GW，目标GW中实现该IPSec子SA的第二处理实体的标识ID1_GW，目标GW的鉴权信息AUTH_GW，目标GW支持的IPSec子SA的加密算法SA2_GW，用于生成IPSec子SA的第四随机数N2_GW，UE侧的第二数据流选择规则TS2_UE，目标GW侧的第二数据量选择规则TS2_GW。

可选的，TS2_UE可以为目标GW根据TS1_UE确定的，TS2_GW可以为目标GW根据TS1_GW确定的。

S806：可选的，SMF向UPF配置转发规则，以使UPF将会话中通过该IPSec子SA传输的数据包映射到该会话的第二QoS流上。

在一种实施方式中，基于图6所示的实施例中对隧道模式传输上行数据包的过程描述可知，在UE与目标GW之间采用隧道模式的场景中，UPF可以根据接收的安全处理后的IP数据包中新的IP头中的目的IP地址(目标GW的IP地址)将该数据包传输至目标GW，因此，SMF无需执行S806。

在另一种实施方式中，基于图6所示的实施例中对传输模式传输上行数据包的过程描述可知，在UE与目标GW之间采用传输模式时，SMF可以向UPF发送包含用于指示第二QoS流的第二QFI和目标GW的IP地址的转发规则配置信息。这样，UPF可以将来自第二QoS流的数据包转发到目标GW。通过该步骤，UPF可以将通过所述第二QoS流接收的来自所述UE的数据包转发至所述目标GW，实现上行IPSec子SA与第二QoS流的绑定。

S807：SMF向AMF发送会话修改响应消息。该会话修改响应消息中可以包含第四安全参数(SPI_UE，SPI_GW，ID1_GW，AUTH_GW，SA2_GW，N2_GW，TS2_UE，TS2_GW)。可选的，该会话修改响应消息中还可以包含会话标识和第二QFI。

S808：AMF向UE发送会话修改响应消息。该会话修改响应消息中包含会话标识，第二QFI，还可以包含SPI_UE，SPI_GW。可选的，该会话修改响应消息中还可以包含第四安全参数中的部分或全部，例如ID1_GW，AUTH_GW，SA2_GW，N2_GW，TS2_UE，TS2_GW中的至少一项。可选的，该会话修改响应消息中还可以包含第三安全参数中的部分或全部，例如ID1_UE，AUTH_UE，SA2_UE，N2_UE中的至少一项。

可选的，AMF在S807之后，可以根据KE_UE，N2_UE，KE_GW，N2_GW，生成IPSec子SA密钥，并将所述IPSec子SA密钥配置给UE，以便UE可以根据该IPSec子SA密钥对通过IPSec子SA传输的数据包进行安全保护。在S804之后，目标GW也可以根据KE_UE，N2_UE，KE_GW，N2_GW，生成IPSec子SA密钥，以便后续可以根据该IPSec子SA密钥对通过IPSec子SA传输的数据包进行安全保护。

如图8所示中所示，UE和目标GW之间可以根据IPSec子SA密钥对通过该IPSec子SA的上行数据包进行安全保护。

还需要说明的是，根据S801中会话修改请求消息中是否包含第三安全参数，本实施例可以分为AMF为UE代理IPSec子SA的维护，以及UE自行决定IPSec子SA建立的场景。

例1，当S801中的会话修改请求消息中不包含第三安全参数，此场景可以视为AMF为UE代理IPSec子SA的维护的场景。

例2，当S801中的会话修改请求消息中包含第三安全参数，此场景可以视为UE自行决定IPSec子SA建立的场景。

在实施例B中，通过会话修改流程，核心网控制面网元可以实现UE的第三安全参数和目标GW的第四安全参数的传递，从而完成IPSec协商。该实施例提供的方法可以将上行IPSec子SA建立流程耦合到会话修改流程中，并将该上行IPSec子SA与会话修改过程建立的第二QoS流绑定，以使UPF可以将通过第二QoS流传输的数据包映射到该上行IPSec子SA上，从而将该数据包转发至目标GW。由于该方法可以在会话修改流程中耦合上行IPSec子SA的建立流程，不仅可以降低移动通信的信令开销，还可以通过核心网控制面建立上行IPSec子SA，避免用户面传输安全参数导致安全参数泄露的风险，保证IPSec协商过程的安全性。

实施例C：参阅图9所示，在UE与目标GW建立IKE SA(例如通过实施例A提供的方法建立IKE SA)之后，SMF可以发起上行IPSec子SA建立流程。核心网控制面通过会话修改过程建立上行IPSec子SA。该上行IPSec子SA即从UE到目标GW的IPSec子SA。

需要说明的是，本实施例中涉及的第二QoS流的信息、第三安全参数、第四安全参数均可以参考实施例B中的描述，此处不再展开描述。

SMF可以但不限于通过以下三种方式决定建立第二QoS流，每种方式分别对应S900a-S900c中的一个步骤。

S900a：UE发起会话修改流程，通过AMF向SMF发送会话修改请求消息，请求在UE的会话中建立第二QoS流。其中，该会话修改请求消息中包含UE的会话的会话标识(后续简称为会话标识)，以及UE请求建立的第二QoS流的信息。

S900b：PCF在UE的策略信息发生变化时，向SMF发送策略修改通知消息。其中，所述策略修改通知消息中包含所述PCF请求在UE的会话中建立的第二QoS流的信息。

S900c：UDM在UE对签约信息发生变化时，向SMF发送签约修改通知消息。其中该签约修改通知消息中包含该UDM请求在UE的会话中建立的第二QoS流的信息。

S901：SMF在接收到会话修改请求消息、策略修改通知消息，或签约修改通知消息后，决定在UE的会话中建立第二QoS流。SMF向AMF发送IPSec子SA建立请求消息。其中，IPSec子SA建立请求消息中包含会话标识、第二QoS流的信息。可选的，IPSec子SA建立请求消息中还可以包含SPI_UE，SPI_GW。

S902：可选的，AMF可以将接收的IPSec子SA建立请求消息转发给UE。

S903：可选的，UE向AMF发送IPSec子SA建立响应消息。该IPSec子SA建立响应消息中包含会话标识、第二QoS流的信息。可选的，IPSec子SA建立响应消息中可以包含第三安全参数中的部分或全部。例如S903中所示，IPSec子SA建立响应消息中包含SPI_UE，SPI_GW，ID1_UE，AUTH_UE，SA2_UE，N2_UE，TS1_UE，TS1_GW。

S904：AMF向SMF发送IPSec子SA建立响应消息。该IPSec子SA建立响应消息。中包含会话标识、第二QoS流的信息，以及第三安全参数。

可选的，AMF通过S903接收的IPSec子SA建立响应消息中接收第三安全参数中的部分参数时，AMF在执行S904之前，还可以从本地维护的UE的相关信息中获取第三安全参数中的另一部分参数。

S905-S910同实施例B中的S803-S808，具体过程可以相互参考，此处不再赘述。

在实施例C中，通过会话修改流程，核心网控制面网元可以实现UE的第三安全参数和目标GW的第四安全参数的传递，从而完成IPSec协商。该实施例提供的方法可以将上行IPSec子SA建立流程耦合到会话修改流程中，并将该上行IPSec子SA与会话修改过程建立的第二QoS流绑定，以使UPF可以将通过第二QoS流传输的数据包映射到该上行IPSec子SA上，从而将该数据包转发至目标GW。由于该方法可以在会话修改流程中耦合上行IPSec子SA的建立流程，不仅可以降低移动通信的信令开销，还可以通过核心网控制面建立上行IPSec子SA，避免用户面传输安全参数导致安全参数泄露的风险，保证IPSec协商过程的安全性。

为了在移动通信系统通过IPSec协议对用户的业务数据进行安全保护的场景下保证IPSec协商过程的安全性，本申请实施例提供了另一种通信方法。该方法可以适用于如图1或图2所示的通信系统中。下面参阅图10所示的流程图，对该方法进行说明。

需要说明的，本实施例用于通过核心网控制面网元的交互，建立安全处理协议SA。因此，UE与目标安全网关之间已建立IKE SA，其中，IKE SA的建立过程可以参考现有技术中的用户面IPSec协商过程，又或者可以通过如图6或图7所示的实施例中提供的IPSec协商过程，此处不再赘述。总之，SMF已获知UE与目标安全网关之间已建立IKE SA。

在本实施例中，SMF、AMF、目标安全网关、UPF均是为UE提供服务的网元，后续不再展开描述。

S1001：SMF向目标安全网关发送第一消息。所述目标安全网关接收来自所述SMF的所述第一消息。其中，所述第一消息用于请求建立UE与所述目标安全网关之间的安全处理协议SA。

S1002：所述目标安全网关向所述SMF发送第二消息。所述目标安全网关接收来自所述SMF的第二消息。其中，所述第二消息中包含所述目标安全网关的第一安全参数，所述第一安全参数用于建立所述安全处理协议SA，所述第二消息为所述第一消息的响应消息。

S1003：所述SMF向AMF发送第三消息。所述AMF接收来自所述SMF的所述第三消息。其中，所述第三消息中包含所述第一安全参数，所述第三消息用于请求建立所述安全处理协议SA。

S1004：所述AMF向所述SMF发送第四消息。所述SMF接收来自所述AMF的所述第四消息。其中，所述第四消息中包含所述UE的第二安全参数，所述第二安全参数用于建立所述安全处理协议SA，所述第四消息为所述第三消息的响应消息。

S1005：所述SMF向所述目标安全网关发送第五消息。所述目标安全网关接收来自所述SMF的所述第五消息。其中，所述第五消息中包含所述第二安全参数。所述第五消息用于请求建立所述安全处理协议SA。

可选的，如图10中所示，所述AMF在S1004接收到第二安全参数后，可以根据所述第一安全参数和所述第二安全参数，对UE进行配置，以建立所述UE和所述目标安全网关之间的所述安全处理协议SA。可选的，所述AMF可以将所述第一安全参数中的部分或全部参数，和/或，所述第二安全参数中的部分或全部参数发送给所述UE。可选的，所述AMF还可以根据所述第一安全参数、所述第二安全参数，生成安全处理协议SA密钥；然后向所述UE发送所述安全处理协议SA密钥。这样，所述UE可以使用所述SA密钥对通过所述安全处理协议SA传输的数据包进行安全保护。

所述目标安全网关也可以根据自身的第一安全参数以及通过S1005接收的第二安全参数，对自身进行配置，以建立所述目标安全处理协议SA。可选的，所述目标安全网关也可以根据所述第一安全参数、所述第二安全出参数，生成安全处理协议SA密钥。这样，所述目标安全网关可以使用所述安全处理协议SA密钥对通过所述目标安全处理协议SA传输的数据包进行安全保护。由于所述AMF和所述目标安全网关使用相同的安全参数生成安全处理协议SA密钥，因此，二者生成的安全处理协议SA密钥相同。

在一种实施方式中，本申请实施例中的控制面网元可以通过会话修改流程进行上述IPSec协商过程。

在一种可能的设计中，所述SMF可以但不限于通过以下方式，决定在所述UE的会话中建立第一QoS流，从而触发执行S1001：

方式一：所述SMF接收来自PCF的策略修改通知消息，其中，所述策略修改通知消息中包含所述PCF请求在所述UE的会话中建立的第一QoS流的信息。

方式二：所述SMF接收来自UDM的签约修改通知消息，其中，所述签约修改通知消息中包含所述UDM请求在所述UE的会话中建立的第一QoS流的信息。

方式三：所述SMF接收来自所述AMF的会话修改请求消息，其中，所述会话修改请求消息中包含所述UE请求在所述UE的会话中建立的第一QoS流的信息。

在一种可能的设计中，所述第三消息可以为第一会话修改命令消息，所述第三消息中还包含第一QoS流的信息。所述第四消息可以为第一会话修改确认消息，所述第四消息中还可以包含第一QoS流的信息。

可选的，所述AMF在通过S1003接收到第三消息之后，在通过S1004向所述SMF发送第四消息之前，所述AMF还可以向所述UE发送第二会话修改命令消息，并在接收到来自UE的第二会话修改确认消息。其中，所述第二会话修改命令消息，以及所述第二会话修改确认消息中包含所述第一QoS流的信息。

其中，所述第二会话修改命令消息中可以包含第一安全参数的部分或全部；所述第二会话修改确认消息中还包含所述第二安全参数的部分或全部。而当第二会话修改确认消息中包含第二安全参数中的部分参数时，所述AMF可以在本地保存的所述UE的相关信息中获取第二安全参数中的另一部分参数。

在一种可能的设计中，第一消息中可以包含SMF确定的所述目标安全网关的第三安全参数(例如SMF针对该安全管理协议SA为所述目标安全网关确定的数据流选择规则等)。这样，目标安全网关在接收到第一消息后，可以基于所述第三安全参数确定所述第一安全参数。

在一种可能的设计中，第二会话修改命令消息还可以包含AMF确定的所述UE的第四安全参数(例如所述AMF针对该安全管理协议SA为所述UE确定的数据流选择规则等)。这样，UE在接收到第二会话修改命令消息后，可以根据所述第四安全参数，确定所述第二安全参数，并通过所述第二会话修改确认消息反馈给所述AMF。

在一种可能的设计中，所述第一安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述目标安全网关中第一处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的安全处理协议SA加密算法，第一数据流选择规则，或者用于生成安全处理协议SA密钥的第一随机数。所述第二安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述UE中的第二处理实体的标识，所述UE的鉴权信息，所述UE支持的安全处理协议SA加密算法，第二数据流选择规则，或者用于生成安全处理协议SA密钥的第二随机数。

在一种可能的设计中，当所述SMF根据所述第一QoS流的信息，创建所述第一QoS流后，还可以向为所述UE服务的UPF配置转发规则，以便将所述UE和所述目标安全网关之间通过所述安全处理协议SA传输的数据包映射到所述第一QoS流，如图10中的S1006所示，即实现所述安全处理协议SA与所述第一QoS流的绑定。

S1006：所述SMF向为所述UE服务的UPF发送第一转发规则配置信息。

其中，所述第一转发规则配置信息用于指示所述UPF将所述目标安全网关通过所述安全处理协议SA传输的数据包映射到所述第一QoS流上。换而言之，该第一转发规则配置信息用于指示所述UPF生成第一转发规则。所述第一转发规则用于将所述目标安全网关通过所述安全处理协议SA向所述UE传输的数据包映射到所述第一QoS流上。

这样，后续所述UE所述目标安全网关可以通过所述安全处理协议SA传输所述UE的下行数据包。所述UPF可以将这些数据包映射到所述UE的会话中的该第一QoS流中传输给所述UE。

示例性的，在UE与目标安全网关之间采用隧道模式传输数据包的场景中，下行数据包传输过程如下：

目标安全网关接收到包含业务数据的原始IP数据包后，可以基于第一安全参数、第二安全参数在安全保护的IP数据包前增加IPSec头，并且再生成新的IP头放在IPSec头之前，如图5中的b所示。其中，新的IP头中包含源IP地址(目标安全网关的IP地址)和目的IP地址(UE的IP地址)。IPSec头中可以包含UE的SPI、安全处理协议信息。

目标安全网关可以根据新的IP头中的目的IP地址，以及设定的路由规则，将安全处理后的IP数据包发送给UPF。

当核心网创建第二QoS流，且SMF可以通过1006向UPF发送第一转发规则配置信息(其中可以包含例如UE的SPI，UE的IP地址，安全处理协议信息，以及第一QFI)。这样，UPF可以基于该第一转发规则配置信息，生成转发规则(例如UE的SPI，安全处理协议信息，UE的IP地址，以及第一QFI)。该转发规则用于实现安全处理协议SA与第一QoS流之间的映射，即UPF可以根据UE的SPI、安全处理协议SA，以及UE的IP地址识别该安全处理协议SA，继而确定该安全处理协议SA对应的第一QoS流。因此，当UPF接收到来自目标安全网关的安全处理后的IP数据包后，可以根据安全处理后的IP数据包中IPsec头中的信息(UE的SPI和安全处理协议信息)，新的IP头中的目的IP地址(UE的IP地址)，以及该转发规则，将该安全处理后的IP数据包映射到第一QFI指示的第一QoS流上传输。

UE在接收到该安全处理后的IP数据包后，可以对该安全处理后的IP数据包进行安全验证，恢复出原始IP数据包。

又例如，在UE与目标安全网关之间采用传输模式传输数据包的场景中，下行数据包传输过程如下：

目标安全网关接收到包含业务数据的原始IP数据包后，对该原始IP数据包中的IP有效载荷进行安全保护，并将基于第一安全参数、第二安全参数生成的IPSec头插入安全保护的IP有效载荷和原始IP头之间，如图5中的a所示。其中，该原始IP头中包含源IP地址(业务节点(非目标安全网关)的IP地址)和目的IP地址(UE的IP地址)。IPSec头中可以包含UE的SPI、安全处理协议信息。

目标安全网关可以根据原始IP头中的目的IP地址，以及设定的路由规则，将安全处理后的IP数据包发送给UPF。

当核心网创建第二QoS流，且SMF可以通过1006向UPF发送第一转发规则配置信息(其中可以包含例如UE的SPI，安全处理协议信息，UE的IP地址，以及第一QFI)，这样，UPF可以基于该第一转发规则配置信息，生成转发规则，基于该转发规则UPF可以将IPSec头中包含UE的SPI和安全处理协议信息，且IP头中的目的地址为UE的IP地址的数据包映射到第一QFI指示的第一QoS流上，实现安全处理协议SA与第一QoS流之间的映射。因此，当UPF接收到来自目标安全网关的安全处理后的IP数据包后，可以根据安全处理后的IP数据包中IPsec头中的信息(UE的SPI和安全处理协议SA)，新的IP头中的目的IP地址(UE的IP地址)，以及该转发规则，将该安全处理后的IP数据包映射到第一QFI指示的第一QoS流上传输。

应注意，在本申请实施例中，建立UE的会话中的QoS流的流程可以参考现有的流程，此处不再赘述。

基于图10所示的实施例提供的方法，本申请实施例还提供了一种示例性实施例，下面参阅图11对该实施例进行说明。

实施例D：参阅图11所示，在UE与目标GW建立IKE SA(例如通过实施例A提供的方法建立IKE SA)之后，SMF可以发起下行IPSec子SA建立流程。核心网控制面通过会话修改过程建立下行IPSec子SA。该下行IPSec子SA即从目标GW到UE的IPSec子SA。

还需要说明的是，从UE到目标GW的上行IPSec子SA的建立过程可以参考以上图6、图8或图9所示的实施例中的描述，此处不再赘述。

SMF可以但不限于通过以下三种方式决定建立第一QoS流，每种方式分别对应S1100a-S1100c中的一个步骤。

S1100a：UE发起会话修改流程，通过AMF向SMF发送会话修改请求消息，请求在UE的会话中建立第一QoS流。其中，该会话修改请求消息中包含UE的会话的会话标识(后续简称为会话标识)，以及UE请求建立的第一QoS流的信息。

S1100b：PCF在UE的策略信息发生变化时，向SMF发送策略修改通知消息。其中，所述策略修改通知消息中包含所述PCF请求在UE的会话中建立的第一QoS流的信息。

S1100c：UDM在UE对签约信息发生变化时，向SMF发送签约修改通知消息。其中该签约修改通知消息中包含该UDM请求在UE的会话中建立的第一QoS流的信息。

S1101：SMF在接收到会话修改请求消息、策略修改通知消息，或签约修改通知消息后，决定在UE的会话中建立第一QoS流。SMF根据第一QoS流的信息，从PCF获取第一QoS流的PCC规则。

这样，SMF可以根据该PCC规则创建第一QoS流，具体过程可以参考现有的QoS流建立流程，此处不再赘述。

S1102：SMF发起为第一QoS流配置下行IPSec子SA的流程。SMF向目标GW发起IPSec子SA建立请求消息。其中，IPSec子SA建立请求消息中包含SPI_UE，SPI_GW，用于标识该下行IPSec子SA。

可选的，IPSec子SA建立请求消息中还可以SMF针对该下行IPSec子SA确定目标GW的一些安全参数。如图11中所示，IPSec子SA建立请求消息中可以包含SMF确定的UE侧的数据流选择规则TS1′_UE，以及目标GW侧的数据流选择规则TS1′_GW。这样，目标GW可以基于IPSec子SA建立请求消息中包含的目标GW的安全参数，确定用于建立IPSec子SA的目标GW的第一安全参数。

S1103：目标GW向SMF发送IPSec子SA建立响应消息。其中，该IPSec子SA建立响应消息中包含目标GW确定的第一安全参数，包括SPI_UE，SPI_GW，目标GW中实现该IPSec子SA的处理实体的标识ID1_GW，目标GW的鉴权信息AUTH_GW，目标GW支持的IPSec子SA的加密算法SA_GW，用于生成IPSec子SA的第一随机数N_GW，UE侧的第一数据流选择规则TS1_UE，目标GW侧的第一数据流选择规则TS1_GW。

可选的，TS1_UE可以是目标GW根据TS1′_UE确定的，TS1_GW可以为目标GW根据TS1′_GW确定的。

S1104：SMF向AMF发送会话修改命令消息。该会话修改命令消息中包含会话标识，用于标识第一QoS流的第一QFI，以及目标GW的第一安全参数(SPI_UE，SPI_GW，ID1_GW，AUTH_GW，SA_GW，N_GW，TS1_UE，TS1_GW)。

S1105：AMF向UE发送会话修改命令消息。该会话修改命令消息中包含会话标识，第一QFI，以及第一安全参数中的部分或全部(例如ID1_GW，AUTH_GW，SA_GW，N_GW，TS1_UE，TS1_GW)。

可选的，该会话修改命令消息中还可以包含SPI_UE，SPI_GW。

可选的，该会话修改命令消息中还可以包含AMF针对该下行IPSec子SA确定的UE的一些安全参数。如图11中所示，会话修改命令消息中可以包含以下至少一项：UE中实现该IPSec子SA的第一处理实体的标识ID_UE，UE的鉴权信息AUTH_UE，UE支持的IPSec子SA的加密算法SA_UE，用于生成IPSec子SA的第二随机数N_UE。这样，UE可以基于会话修改命令消息中包含的UE的安全参数，确定用于建立IPSec子SA的第二安全参数。

S1106：UE向AMF发送会话修改确认消息。其中，该会话修改确认消息中可以包含会话标识，第一QFI。可选的，该会话修改确认消息中还可以包含第二安全参数中的部分或全部。例如，该会话修改确认消息中可以包含SPI_UE，SPI_GW；和/或，包含以下至少一项：UE侧的第二数据流选择规则TS2_UE，目标GW的第二数据流选择规则TS2_GW，ID_UE，AUTH_UE，SA_UE，N_UE。

S1107：AMF向SMF发送会话修改确认消息。其中，该会话修改确认消息中包含会话标识，第一QFI，以及UE的第二安全参数(SPI_UE，SPI_GW，ID_UE，AUTH_UE，SA_UE，N_UE，TS2_UE，TS2_GW)。

S1108：SMF向目标GW发送IPSec子SA建立请求消息。该IPSec子SA建立请求消息中包含UE的第二安全参数(SPI_UE，SPI_GW，ID_UE，AUTH_UE，SA_UE，N_UE，TS2_UE，TS2_GW)。

S1109：可选的，目标GW还可以向SMF发送IPSec子SA建立响应消息。

S1110：SMF向UPF配置转发规则，以使UPF将目标GW通过该IPSec子SA传输的数据包映射到该会话的第一QoS流上从而传输给所述UE。

基于图10所示的实施例中对隧道模式和传输模式传输下行数据包的过程描述可知，在UE与目标GW之间采用隧道模式或传输模式的场景中，SMF均需要向UPF发送转发规则的配置信息，该配置信息中可以包含SPI_UE、UE的IP地址、安全处理协议信息，以及指示该第一QoS流的第一QFI。这样，UPF可以根据该配置信息生成相应的转发规则，将从目标GW接收的、包含的IPSec头中包含SPI_UE和该安全处理协议信息，且包含的IP头中目的地址为UE的IP地址的数据包映射到第一QoS流上传输给UE。

可选的，AMF在S1107之后，可以根据KE_UE，N_UE，KE_GW，N_GW，生成IPSec子SA密钥，并将所述IPSec子SA密钥配置给UE，以便UE可以根据该IPSec子SA密钥对通过IPSec子SA传输的数据包进行安全保护。在S1108之后，目标GW也可以根据KE_UE，N_UE，KE_GW，N_GW，生成IPSec子SA密钥，以便后续可以根据该IPSec子SA密钥对通过IPSec子SA传输的数据包进行安全保护。其中，KE_UE和KE_GW为在UE与目标GW建立IKE SA的过程中得到的。

如图11所示，UE和目标GW之间可以根据IPSec子SA密钥对通过该下行IPSec子SA的下行数据包进行安全保护。

还需要说明的是，根据S1105和S1106中是否包含安全参数，本实施例还可以分为AMF为UE代理IPSec子SA建立，以及UE自行处理IPSec子SA的场景。

例如，当S1105中的会话修改命令消息中不包含AMF为UE配置的安全参数，且S1106中也不包含UE的第二安全出参数时，该场景可以视为AMF为UE代理IPSec子SA建立的场景。

又例如，当S1105中的会话修改命令消息中可以包含AMF为UE配置的安全参数，且S1106中包含UE的第二安全出参数时，该场景可以视为UE自行处理IPSec子SA的场景。

在实施例D中，通过会话修改流程，核心网控制面网元可以实现UE的第一安全参数和目标GW的第二安全参数的传递，从而完成IPSec协商。该实施例提供的方法可以将下行IPSec子SA建立流程耦合到会话修改流程中，并将该下行IPSec子SA与会话修改过程建立的第一QoS流绑定，以使目标GW通过该下行IPSec子SA传输的数据包均可以映射到该第一QoS流上从而传输至UE。由于该方法可以在会话修改流程中耦合下行IPSec子SA的建立流程，不仅可以降低移动通信的信令开销，还可以通过核心网控制面建立下行IPSec子SA，避免用户面传输安全参数导致安全参数泄露的风险，保证IPSec协商过程的安全性。

在通过IPSec协议对UE的业务数据进行安全保护的场景中，为了保证UE的业务数据的QoS需求，本申请实施例还提供了一种通信方法。该方法可以适用于如图1或图2所示的通信系统中。下面参阅图12所示的流程图，对该方法进行说明。

应注意，本实施例提供的方法是在UE与目标安全网关之间已建立IKE SA，以及安全管理协议SA时执行的。可选的，建立IKE SA的流程可以参考现有技术中的流程，或者图6或图7所示的实施例中的描述。可选的，在UE或目标安全网关需要建立安全管理协议SA时，UE和目标GW之间可以基于已建立的IKE SA传输建立该安全管理协议SA的相关信令数据包，具体过程可以参考如图3中的S303-S304中的描述，此处不再赘述。

还应说明，本实施例中，SMF、UPF均是为UE提供服务的网元，后续不再展开描述。

S1201：SMF接收第一消息。其中，所述第一消息包含需要在UE的会话中建立的第一QoS流的信息。

可选的，所述第一QoS流的信息可以但不限于包含QoS需求(QoS参数)，第一QoS流的标识——第一QFI，第一QoS流的过滤器检测规则等。

可选的，所述SMF可以但不限于通过以下方式执行S1201：

方式一：所述SMF接收来自PCF的策略修改通知消息(即第一消息)，其中，所述策略修改通知消息中包含所述PCF请求在所述UE的会话中建立的所述第一QoS流的信息。

方式二：所述SMF接收来自UDM的签约修改通知消息(即第一消息)，其中，所述签约修改通知消息中包含所述UDM请求在所述UE的会话中建立的所述第一QoS流的信息。

方式三：所述SMF接收来自AMF的会话修改请求消息(即第一消息)，其中，所述会话修改请求消息中包含所述UE请求在所述UE的会话中建立的所述第一QoS流的信息。

S1202：所述SMF根据所述第一QoS流的信息，创建所述第一QoS流。

可选的，所述SMF根据第一QoS流的信息，从PCF获取第一QoS流的PCC规则。这样，所述SMF可以根据该PCC规则创建第一QoS流，具体过程可以参考现有的QoS流建立流程，此处不再赘述。

S1203：所述SMF获取所述UE与目标安全网关之间建立的安全处理协议SA的安全参数。

可选的，所述SMF可以但不限于通过以下方式获取所述安全参数：

方式一：所述SMF获取所述第一消息中的所述安全参数。例如，当所述第一消息为UE通过AMF向SMF发送的会话修改请求消息时，该会话修改请求消息中可以携带所述安全参数。

方式二：所述SMF可以从以下至少一项获取所述安全参数：所述UE、AMF、所述目标安全网关。示例性的，所述SMF可以向所述UE、所述AMF或所述目标安全网关发送请求消息，以请求所述安全参数；然后接收来自所述UE、所述AMF或所述目标安全网关的所述安全参数。

可选的，该安全参数中可以但不限于包括以下至少一项：SPI_UE，SPI_GW，UE中实现该安全处理协议SA的处理实体标识ID_UE，目标安全网关中实现该安全处理协议的处理实体的标识ID_UE，UE侧的数据流选择规则TS_UE，目标GW侧的数据流选择规则TS_GW等。所述安全参数中包含的内容可以参考以上实施例中的描述，此处不再赘述。

S1204：所述SMF向UPF发送第一转发规则配置信息。

其中，所述第一转发规则配置信息用于指示所述UPF通过所述第一QoS流接收的来自所述UE的数据包转发至所述目标安全网关，和/或，所述UPF将所述目标安全网关通过所述安全处理协议SA传输的数据包映射到所述第一QoS流上。换而言之，该第一转发规则配置信息用于指示所述UPF生成第一转发规则。所述第一转发规则用于所述UPF通过所述第一QoS流接收的来自所述UE的数据包转发至所述目标安全网关，和/或，所述UPF将所述目标安全网关之间通过所述安全处理协议SA传输的数据包映射到所述第一QoS流上。

这样，后续所述UE与所述目标安全网关可以通过所述安全处理协议SA在用户面第一QoS流中传输所述UE的业务数据包。

可选的，在本申请实施例中，当UE与目标安全网关之间建立的安全管理协议SA为上行IPSec子SA时，所述第一转发规则配置信息的描述可以参考图6所示的实施例中S605b中的描述，或图8所示的实施例中S806的描述；当UE与目标安全网关之间建立的安全管理协议SA为下行IPSec子SA时，所述第一转发规则配置信息的描述可以参考图10所示的实施例中S1006中的描述，或图11所示的实施例中S1110中的描述，此处不再赘述。

通过该方法，移动通信系统可以实现将安全处理协议SA与会话中的QoS流耦合在一起，保证安全处理协议SA中的数据流可以通过对应的QoS流传输，进而保证的业务的QoS需求。

基于图12所示的实施例提供的方法，本申请实施例还提供了一种示例性的实施例，下面参阅图13对该实施例进行说明。

实施例E：本实施例是在UE与目标GW已建立IKE SA(例如通过实施例A提供的方法建立IKE SA)之后执行的。因此在本实施例中，UE与目标GW可以通过已建立的IKE SA在用户面传输进行IPSec协商，传输用于建立IPSec子SA的安全参数。

可选的，UE与目标GW可以通过S1301a-S1301b传输建立上行IPSec子SA的安全参数，以建立上行IPSec子SA：

S1301a：UE通过IKE SA在用户面向目标GW发送UE的第一安全参数。其中，第一安全参数用于建立上行IPSec子SA。

S1301b：目标GW通过IKE SA在用户面向UE发送目标GW的第二安全参数。其中，第二安全参数用于建立上行IPSec子SA。

可选的，UE与目标GW也可以通过S1302a-S1302b传输建立下行IPSec子SA的安全参数，以建立下行IPSec子SA：

S1302a：目标GW通过IKE SA在用户面向UE发送目标GW的第三安全参数。其中，第三安全参数用于建立下行IPSec子SA。

S1302b：UE通过IKE SA在用户面向目标GW发送UE的第四安全参数。其中，第四安全参数用于建立下行IPSec子SA。

S1303：当UE与目标GW建立IPSec子SA(上行IPSec子SA或下行IPSec子SA)之后，UE可以通过AMF向SMF发起会话修改请求消息。该会话修改请求消息中包含UE的会话的会话标识，UE请求建立的第一QoS流的信息，还包含该IPSec子SA的安全参数。

例如，该安全参数可以但不限于包括以下至少一项：SPI_UE，SPI_GW，UE中实现该IPSec子SA的处理实体标识ID_UE，目标GW中实现该IPSec子SA的处理实体的标识ID_UE，UE侧的数据流选择规则TS_UE，目标GW侧的数据流选择规则TS_GW。

S1304：SMF根据该会话修改请求消息中的第一QoS流的信息，从PCF获取第一QoS流的PCC规则。这样，SMF可以根据该PCC规则创建第一QoS流，具体过程可以参考现有的QoS流建立流程，此处不再赘述。

S1305：SMF向UPF配置转发规则，以使UPF将UE的会话中通过该IPSec子SA传输的数据包映射到该会话的第一QoS流上。

其中，所述SMF在执行S1305过程中，向UPF发送的转发规则配置信息可以参考图12所示的实施例中S1204中的描述，此处不再赘述。

这样，UPF可以根据该配置信息生成相应的转发规则，从而使UPF可以将通过所述第一QoS流接收的来自所述UE的数据包映射到上行IPSec子SA上以转发至所述目标GW，和/或，所述UPF将所述目标GW之间通过下行IPSec子SA传输的数据包映射到所述第一QoS流上以转发至UE。

S1306：SMF通过AMF向UE发送会话修改响应消息。

通过该实施例E，在UE和目标GW协商IPSec子SA之后，核心网控制面网元可以该IPSec子SA与建立的第一QoS流绑定，以使所述UE与所述目标安全网关可以通过该IPSec子SA在用户面第一QoS流中传输所述UE的业务数据包。

通过以上各个实施例中的描述可知，由于IPSec子SA是单向的，因此，针对UE的会话中的同一个QoS流，可以建立上行IPSec子SA和下行IPSec子SA。并且，针对该QoS流中的不同方向的IPSec子SA，SMF可以向UPF配置相应的转发规则，以便将不同的方向的IPSec子SA传输数据包均可以映射到该QoS流上。另外，基于以上对隧道模式和传输模式传输数据包的场景的描述可以得出：

在隧道模式场景中，SMF不针对QoS流的上行IPSec子SA向UPF配置转发规则；但是SMF需要针对该QoS流的下行IPSec子SA向UPF配置转发规则，该转发规则的配置信息中可以包含UE的SPI、UE的IP地址、安全处理协议信息，以及该QoS流的QFI。

在传输模式场景中，SMF需要针对QoS流的上行IPSec子SA向UPF配置第一转发规则，该第一转发规则的配置信息中包含该QoS流的QFI，以及目标安全网关的IP地址；SMF还需要针对QoS流的下行IPSec子SA向UPF配置第二转发规则，该第二转发规则的配置信息中可以包含UE的SPI、UE的IP地址、安全处理协议信息，以及该QoS流的QFI(与上述隧道模式场景中SMF针对QoS流的下行IPSec子SA向UPF配置的转发规则相同)。

需要说明的是，以上图6-图13提供的实施例可以单独实现，也可以相互结合实现，本申请对此不作限定。应注意，在通信系统中，针对同一QoS流，在上行方向标识该QoS流的QFI与在下行方向标识该QoS流的QFI可以相同，也可以不同。因此，当针对同一QoS流建立上行IPSec子SA和下行IPSec子SA时，在不同方向上标识该QoS流的QFI可以相同也可以不同。

例如，当通信系统采用图8或图9所示的实施例提供的方法针对QoS流的上行方向建立上行IPSec子SA，并采用图11所示的实施例提供的方法针对QoS流的下行方向建立下行IPSec子SA时，在上行方向上标识该QoS流的QFI与在下行方向上标识该QoS流的QFI可以相同，也可以不同。

需要说明的是，以上各个实施例中涉及的每个步骤可以为相应的设备执行，也可以是该设备内的芯片、处理器或芯片系统等部件执行，本申请实施例并不对其构成限定。以上各实施例仅以由相应设备执行为例进行说明。此外，在以上各个实施例中，第一消息、第二消息、第三消息等各个消息可以为一个或多个消息，本申请对此也不作限定。

另外，以上各个实施例中的各个安全参数与传统的IPSec协商中的安全参数相同，因此，本申请中各个安全参数的作用或功能可以参考对应的传统的安全参数，本申请不再详细赘述。

需要说明的是，在以上各个实施例中，可以增加一些步骤进行实施，或者可以选择部分步骤进行实施，还可以调整图示中步骤的顺序进行实施，本申请对此不做限定。应理解，增加步骤、执行图示中的部分步骤、调整步骤的顺序或相互结合进行具体实施，均落在本申请的保护范围内。

可以理解的是，为了实现上述实施例中功能，上述实施例中涉及的各个设备包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本申请中所公开的实施例描述的各示例的单元及方法步骤，本申请能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用场景和设计约束条件。

可以理解的是，本申请实施例描述的上述网络架构以及应用场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

应注意：本申请实施例中的“步骤”仅是个示意，是为了更好的理解实施例所采用的一种表现方法，不对本申请的方案的执行构成实质性限定，例如：该“步骤”还可以理解成“特征”。此外，该步骤不对本申请方案的执行顺序构成任何限定，任何在此基础上做出的不影响整体方案实现的步骤顺序改变或步骤合并或步骤拆分等操作，所形成的新的技术方案也在本申请公开的范围之内。并且，本申请中出现的所有“步骤”都适用于该约定，在此做统一说明，当再次出现时，不再对其进行赘述。

基于相同的技术构思，本申请还提供了一种通信装置，所述通信装置应用于如图1或图2所示的通信系统中。所述通信装置用于实现以上实施例提供的通信方法。参阅图14所示，通信装置1400中包含通信单元1401和处理单元1402。

所述通信单元1401，用于接收和发送数据。可选的，所述通信单元1401中可以包含通信接口，这样所述通信装置1400可以使用通信接口与通信系统中的其他网络设备进行通信。

在一种实施方式中，所述通信装置1400可以应用于如图6-9所示的实施例中的SMF。所述处理单元1402，用于通过所述通信单元1401执行以下步骤：

接收来自AMF的第一消息；其中，所述第一消息中包含UE的第一安全参数，所述第一安全参数用于建立所述UE与安全网关之间的安全关联SA；

向目标安全网关发送第二消息；其中，所述第二消息中包含所述第一安全参数，所述第二消息用于请求建立所述UE与所述目标安全网关之间的目标SA；

接收来自所述目标安全网关的第三消息；其中，所述第三消息中包含所述目标安全网关的第二安全参数，所述第二安全参数用于建立所述目标SA，所述第三消息为所述第二消息的响应消息；

向所述AMF发送第四消息；其中，所述第四消息中包含所述第二安全参数。

可选的，所述目标SA为网络密钥交换IKE SA。

可选的，所述第一消息为第一会话建立请求消息；所述第四消息为第一会话建立响应消息。

可选的，所述第一消息中还包含第一指示信息，所述第一指示信息用于指示所述UE请求数据加密。

可选的，所述处理单元1402还用于：在通过所述通信单元1401向目标安全网关发送第二消息之前，为所述UE分配所述目标安全网关。

可选的，所述处理单元1402在为所述UE分配所述目标安全网关时，具体用于：

为所述UE分配UPF；

在与所述UPF相关联的至少一个安全网关中选择所述目标安全网关。

可选的，所述第二消息中还包含所述UPF的标识。

可选的，所述第二消息中还包含所述UE的因特网协议IP地址；所述第三消息中还包含所述目标安全网关的IP地址；

所述第四消息中包含所述目标安全网关的IP地址。

可选的，所述处理单元1402还用于：

在通过所述通信单元1401接收来自所述安全网关的第三消息之后，通过所述通信单元1401向所述UPF发送第一转发规则配置信息；

其中，所述第一转发规则配置信息用于指示所述UPF将所述UE和所述目标安全网关之间通过所述IKE SA传输的数据包映射到所述UE的会话中的第一服务质量流上。可选的，所述第一服务质量流可以为所述UE的会话中默认的服务质量流。

可选的，所述第一安全参数包含以下至少一项：所述UE的安全参数索引SPI，所述UE的密钥材料，所述UE支持的IKE SA加密算法，或者用于生成IKE SA密钥的第一随机数；

可选的，所述目标SA为安全处理协议SA。

可选的，所述第一消息为第一会话修改请求消息；所述第四消息为第一会话修改响应消息；所述第一消息中还包含所述UE请求建立的第二服务质量流的信息。

可选的，所述处理单元1402，还用于：

在通过所述通信单元1401接收来自AMF的第一消息之前，通过所述通信单元1401向所述AMF发送第五消息，所述第五消息用于请求所述第一安全参数；

所述第一消息为所述第五消息的响应消息。

可选的，所述处理单元1402，还用于：在通过所述通信单元1401向所述AMF发送第五消息之前，可以通过所述通信单元1401执行以下步骤：

接收来自PCF的策略修改通知消息，其中，所述策略修改通知消息中包含所述PCF请求在所述UE的会话中建立的第二服务质量流的信息；或者

接收来自UDM的签约修改通知消息，其中，所述签约修改通知消息中包含所述UDM请求在所述UE的会话中建立的第二服务质量流的信息；或者

接收来自所述AMF的第一会话修改请求消息，其中，所述第一会话修改请求消息中包含所述UE请求在所述UE的会话中建立的第二服务质量流的信息。

可选的，所述处理单元1402，还用于：

在通过所述通信单元1401接收来自所述目标安全网关的第三消息之后，根据所述第二服务质量流的信息，创建所述第二服务质量流；

通过所述通信单元1401向UPF发送第二转发规则配置信息；

其中，所述第二转发规则配置信息用于指示所述UPF将通过所述第二QoS流接收的来自所述UE的数据包转发至所述目标安全网关。

可选的，所述第一安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述UE中的第一处理实体的标识，所述UE的鉴权信息，所述UE支持的第一安全处理协议SA加密算法，第一数据流选择规则，或者用于生成第一安全处理协议SA密钥的第三随机数；

所述第二安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述目标安全网关中第二处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的第一安全处理协议SA加密算法，第二数据流选择规则，或者用于生成第一安全处理协议SA密钥的第四随机数。

可选的，所述第一消息中还包含所述UE的会话的会话标识；所述第四消息中包含所述会话标识。

在一种实施方式中，所述通信装置1400可以应用于如图6-9所示的实施例中的AMF。所述处理单元1402，用于通过所述通信单元1401执行以下步骤：

向SMF发送第一消息；其中，所述第一消息中包含UE的第一安全参数，所述第一安全参数用于建立所述UE与安全网关之间的安全关联SA；

接收来自所述SMF的第四消息；其中，所述第四消息中包含目标安全网关的第二安全参数，所述第二安全参数用于建立所述UE与所述目标安全网关之间的目标SA。

可选的，所述目标SA为网络密钥交换IKE SA。

可选的，所述第一消息为第一会话建立请求消息；所述第四消息为第一会话建立响应消息；

所述处理单元1402还用于：

在通过所述通信单元1401向SMF发送第一消息之前，通过所述通信单元1401接收来自所述UE的第二会话建立请求消息；

在通过所述通信单元1401接收来自所述SMF的第四消息之后，通过所述通信单元1401向所述UE发送第二会话建立响应消息。

可选的，所述第二会话建立请求消息中包含所述第一安全参数；或者

所述第二会话建立请求中包含所述第一安全参数中的第一参数部分；所述处理单元1402还用于：在通过所述通信单元1401向SMF发送第一消息之前，根据所述UE的标识，从统一数据管理网元或认证服务功能网元获取所述第一安全参数中的第二参数部分；其中，所述第一参数部分和所述第二参数部分组成所述第一安全参数；或者

所述处理单元1402还用于：在通过所述通信单元1401向SMF发送第一消息之前，确定所述第一安全参数。

可选的，所述第二会话建立响应消息中包含：所述第一安全参数中的部分或全部；和/或，所述第二会话建立响应消息中包含所述第二安全参数中的部分或全部。

可选的，所述第一消息中包含第一指示信息，所述第二会话建立请求消息中包含所述第一指示信息；所述第一指示信息用于指示所述UE请求数据加密。

可选的，所述第四消息中包含所述目标安全网关的因特网协议IP地址。

可选的，所述目标SA为安全处理协议SA。

可选的，所述第一消息为第一会话修改请求消息；所述第四消息为第一会话修改响应消息；

所述处理单元1402，还用于：

在通过所述通信单元1401向SMF发送第一消息之前，通过所述通信单元1401接收来自所述UE的第二会话修改请求消息；

在通过所述通信单元1401接收来自所述SMF的第四消息之后，通过所述通信单元1401向所述UE发送第二会话修改响应消息；

其中，所述第一会话修改请求消息、所述第二会话修改请求中包含所述UE请求建立的第二服务质量流的信息。

可选的，所述第二会话修改请求消息中包含所述第一安全参数；或者

所述第二会话修改请求中包含所述第一安全参数中的第一参数部分；所述处理单元1402还用于：在通过所述通信单元1401向SMF发送第一消息之前，获取保存的所述第一安全参数中的第二参数部分；其中，所述第一参数部分和所述第二参数部分组成所述第一安全参数；或者

所述处理单元1402，还用于：在通过所述通信单元1401向SMF发送第一消息之前，获取保存的所述第一安全参数。

可选的，所述处理单元1402，还用于：

通过所述通信单元1401接收来自所述SMF的第五消息，所述第五消息用于请求所述第一安全参数；

所述第一消息为所述第五消息的响应消息；

所述第四消息为第一会话修改响应消息；

所述处理单元1402，还用于：

在通过所述通信单元1401接收来自所述SMF的第四消息之后，通过所述通信单元1401向所述UE发送第二会话修改响应消息。

可选的，所述第二会话修改响应消息中包含所述第一安全参数中的部分或全部；和/或，

所述第二会话修改响应消息中包含所述第二安全参数中的部分或全部。

可选的，所述第一安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述UE中的第一处理实体的标识，所述UE的鉴权信息，所述UE支持的安全处理协议SA加密算法，第一数据流选择规则，或者用于生成安全处理协议SA密钥的第三随机数；

所述第二安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述目标安全网关中第二处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的安全处理协议SA加密算法，第二数据流选择规则，或者用于生成安全处理协议SA密钥的第四随机数。

可选的，所述处理单元1402，还用于：

在通过所述通信单元1401接收来自所述SMF的第四消息之后，根据所述第一安全参数、所述第二安全参数，生成SA密钥；

通过所述通信单元1401向所述UE发送所述SA密钥。

在一种实施方式中，所述通信装置1400可以应用于如图6-9所示的实施例中的目标安全网关。所述处理单元1402，用于通过所述通信单元1401执行以下步骤：

接收来自SMF的第二消息；其中，所述第二消息中包含UE的第一安全参数，所述第一安全参数用于建立所述UE与所述目标安全网关之间的目标安全关联SA，所述第二消息用于请求建立所述目标SA；

向所述SMF发送第三消息；其中，所述第三消息中包含所述目标安全网关的第二安全参数，所述第二安全参数用于建立所述目标SA，所述第三消息为所述第二消息的响应消息。

可选的，所述目标SA为网络密钥交换IKE SA。

可选的，所述处理单元1402，还用于：在通过所述通信单元1401向所述SMF发送第三消息之前，针对所述目标SA，为所述目标安全网关分配因特网协议IP地址；

所述第三消息中还包含所述目标安全网关的IP地址；

所述第二消息中还包含所述UE的IP地址。

可选的，所述目标SA为安全处理协议SA。

可选的，所述处理单元1402，还用于：

在通过所述通信单元1401接收来自SMF的第二消息之后，根据所述第一安全参数、所述第二安全参数，生成SA密钥。

在一种实施方式中，所述通信装置1400可以应用于如图10或11所示的实施例中的SMF。所述处理单元1402，用于通过所述通信单元1401执行以下步骤：

向目标安全网关发送第一消息；其中，所述第一消息用于请求建立UE与所述目标安全网关之间的安全处理协议安全关联SA；

接收来自所述目标安全网关的第二消息；其中，所述第二消息中包含所述目标安全网关的第一安全参数，所述第一安全参数用于建立所述安全处理协议SA，所述第二消息为所述第一消息的响应消息；

向AMF发送第三消息；其中，所述第三消息中包含所述第一安全参数，所述第三消息用于请求建立所述安全处理协议SA；

接收来自所述AMF发送的第四消息；其中，所述第四消息中包含所述UE的第二安全参数，所述第二安全参数用于建立所述安全处理协议SA，所述第四消息为所述第三消息的响应消息；

向所述目标安全网关发送第五消息；其中，所述第五消息中包含所述UE的第二安全参数，所述第五消息用于请求建立所述安全处理协议SA。

可选的，所述处理单元1402还用于：

在通过所述通信单元1401向目标安全网关发送第一消息之前，还可以通过所述通信单元1401执行以下步骤：

接收来自策略控制功能网元的策略修改通知消息，其中，所述策略修改通知消息中包含所述策略控制功能网元请求在所述UE的会话中建立的第一服务质量流的信息；或者

接收来自统一数据管理网元的签约修改通知消息，其中，所述签约修改通知消息中包含所述统一数据管理网元请求在所述UE的会话中建立的第一服务质量流的信息；或者

接收来自所述AMF的会话修改请求消息，其中，所述会话修改请求消息中包含所述UE请求在所述UE的会话中建立的第一服务质量流的信息。

可选的，所述第三消息为第一会话修改命令消息，所述第三消息中还包含所述第一服务质量流的信息；

所述第四消息为第一会话修改确认消息，所述第四消息中还包含所述第一服务质量流的信息。

可选的，所述处理单元1402还用于：

根据所述第一服务质量流的信息，创建所述第一服务质量流；

通过所述通信单元1401向UPF发送第一转发规则配置信息；

其中，所述第一转发规则配置信息用于指示所述UPF将所述目标安全网关通过所述安全处理协议SA传输的数据包映射到所述第一服务质量流上。

可选的，所述第一安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述目标安全网关中第一处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的安全处理协议SA加密算法，第一数据流选择规则，或者用于生成安全处理协议SA密钥的第一随机数；

所述第二安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述UE中的第二处理实体的标识，所述UE的鉴权信息，所述UE支持的安全处理协议SA加密算法，第二数据流选择规则，或者用于生成安全处理协议SA密钥的第二随机数。

可选的，所述第一消息中包含所述目标安全网关的第三安全参数；所述第一安全参数是基于所述第三安全参数确定的。

在一种实施方式中，所述通信装置1400可以应用于如图10或11所示的实施例中的AMF。所述处理单元1402，用于通过所述通信单元1401执行以下步骤：

接收来自SMF的第三消息；其中，所述第三消息中包含目标安全网关的第一安全参数，所述第一安全参数用于建立UE与所述目标安全网关之间的安全处理协议安全关联SA，所述第三消息用于请求建立所述安全处理协议SA；

向所述SMF发送第四消息；其中，所述第四消息中包含所述UE的第二安全参数，所述第二安全参数用于建立所述安全处理协议SA，所述第四消息为所述第三消息的响应消息。

可选的，所述第三消息为第一会话修改命令消息，所述第三消息中还包含需要在所述UE的会话中建立的第一服务质量流的信息；

可选的，所述处理单元1402，还用于：

在通过所述通信单元1401接收来自SMF的第三消息之前，通过所述通信单元1401向所述SMF发送会话修改请求消息，其中，所述会话修改请求消息中包含所述UE请求在所述UE的会话中建立的所述第一服务质量流的信息。

可选的，所述处理单元1402，还用于：

在通过所述通信单元1401向所述SMF发送第四消息之前，通过所述通信单元1401向所述UE发送第二会话修改命令消息；所述第二会话修改命令中包含所述第一服务质量流的信息；

通过所述通信单元1401接收来自所述UE的第二会话修改确认消息，所述第二会话修改确认消息中包含所述第一服务质量流的信息。

可选的，所述第二会话修改命令消息中还包含所述第一安全参数的部分或全部；

所述第二会话修改确认消息中还包含所述第二安全参数的部分或全部。

可选的，所述第二会话修改命令消息中还包含所述UE的第四安全参数；所述第二安全参数是基于所述第四安全参数确定的。

可选的，所述处理单元1402，还用于：

根据所述第一安全参数、所述第二安全参数，生成安全处理协议SA密钥；

通过所述通信单元1401向所述UE发送所述安全处理协议SA密钥。

在一种实施方式中，所述通信装置1400可以应用于如图10或11所示的实施例中的目标安全网关。所述处理单元1402，用于通过所述通信单元1401执行以下步骤：

接收来自SMF的第一消息；其中，所述第一消息用于请求建立UE与所述目标安全网关之间的安全处理协议SA；

向所述SMF发送第二消息；其中，所述第二消息中包含所述目标安全网关的第一安全参数，所述第一安全参数用于建立所述安全处理协议SA，所述第二消息为所述第一消息的响应消息；

接收来自所述SMF的第五消息；其中，所述第五消息中包含所述UE的第二安全参数，所述第二安全参数用于建立所述安全处理协议SA，所述第五消息用于请求建立所述安全处理协议SA。

可选的，所述第一消息中包含所述目标安全网关的第三安全参数；所述处理单元1402，还用于：

在通过所述通信单元1401向所述SMF发送第二消息之前，根据所述第三安全参数，确定所述第一安全参数。

可选的，所述第一安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述目标安全网关中第一处理实体的标识，所述目标安全网关的鉴权信息，所述目标安全网关支持的第一安全处理协议SA加密算法，第一数据流选择规则，或者用于生成第一安全处理协议SA密钥的第一随机数；

所述第二安全参数包含以下至少一项：所述UE的SPI，所述目标安全网关的SPI，所述UE中的第二处理实体的标识，所述UE的鉴权信息，所述UE支持的第一安全处理协议SA加密算法，第二数据流选择规则，或者用于生成第一安全处理协议SA密钥的第二随机数。

可选的，所述处理单元1402，还用于：

在通过所述通信单元1401接收来自所述SMF的第五消息之后，根据所述第一安全参数、所述第二安全参数，生成安全处理协议SA密钥。

在一种实施方式中，所述通信装置1400可以应用于如图12或13所示的实施例中的SMF。所述处理单元1402，用于通过所述通信单元1401执行以下步骤：

接收第一消息，其中，所述第一消息包含需要在UE的会话中建立的第一服务质量流的信息；

获取所述UE与目标安全网关之间建立的安全处理协议SA的安全参数；

向UPF发送第一转发规则配置信息；其中，所述第一转发规则配置信息用于指示所述UPF通过所述第一服务质量流接收的来自所述UE的数据包转发至所述目标安全网关，和/或，所述UPF将所述目标安全网关通过所述安全处理协议SA传输的数据包映射到所述第一服务质量流上。

可选的，所述处理单元1402，在通过所述通信单元1401接收第一消息时，具体用于：

接收来自策略控制功能网元的策略修改通知消息，其中，所述策略修改通知消息中包含所述策略控制功能网元请求在所述UE的会话中建立的所述第一服务质量流的信息；或者

接收来自统一数据管理网元的签约修改通知消息，其中，所述签约修改通知消息中包含所述统一数据管理网元请求在所述UE的会话中建立的所述第一服务质量流的信息；或者

接收来自AMF的会话修改请求消息，其中，所述会话修改请求消息中包含所述UE请求在所述UE的会话中建立的所述第一服务质量流的信息。

可选的，所述处理单元1402，在获取所述UE与目标安全网关之间建立的安全处理协议SA的安全参数时，具体用于：

获取所述第一消息中的所述安全参数；或者

从以下至少一项获取所述安全参数：所述UE、AMF、所述目标安全网关。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-onlymemory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

基于以上实施例，本申请实施例还提供了一种通信设备，所述通信设备应用于如图1或图2所示的通信系统中。所述通信设备用于实现以上实施例提供的通信方法，具有以上实施例提供的通信装置1400的功能。参阅图15所示，所述通信设备1500包括：通信接口1501、处理器1502。可选的，所述通信设备1500还包括存储器1503。其中，所述通信接口1501、所述处理器1502以及所述存储器1503之间相互连接。

可选的，所述通信接口1501、所述处理器1502以及所述存储器1503之间通过总线1504相互连接。所述总线1504可以是外设部件互连标准(peripheral componentinterconnect，PCI)总线或扩展工业标准结构(extended industry standardarchitecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图15中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

所述通信接口1501，用于接收和发送数据，实现与通信系统中的其他设备之间的通信。

所述处理器1502的功能可以参照以上实施例中的描述，此处不再赘述。其中，处理器1502可以是中央处理器(central processing unit，CPU)，网络处理器(networkprocessor，NP)或者CPU和NP的组合等等。处理器1502还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic，GAL)或其任意组合。处理器1502在实现上述功能时，可以通过硬件实现，当然也可以通过硬件执行相应的软件实现。

所述存储器1503，用于存放程序指令等。具体地，程序指令可以包括程序代码，该程序代码包括计算机操作指令。存储器1503可能包含随机存取存储器(random accessmemory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。处理器1502执行存储器1503所存放的程序指令，实现上述功能，从而实现上述实施例提供的方法。

基于以上实施例，本申请实施例还提供了一种计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行以上实施例提供的方法。

基于以上实施例，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行以上实施例提供的方法。

其中，存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。

基于以上实施例，本申请实施例还提供了一种芯片，所述芯片用于读取存储器中存储的计算机程序，实现以上实施例提供的方法。可选的，所述芯片中可以包含处理器和存储器，所述处理器用于读取所述存储器中的存储的计算程序，实现以上实施例提供的方法。

基于以上实施例，本申请实施例提供了一种芯片系统，该芯片系统包括处理器，用于支持计算机装置实现以上实施例中终端设备所涉及的功能。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器用于保存该计算机装置必要的程序和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

综上所述，本申请实施例提供了一种通信方法及装置。在该方法中，移动通信系统的核心网控制面网元可以通过与目标安全网关的交互，实现UE的安全参数和目标安全网关的安全参数的传递，从而完成IPSec协商。由于IPSec协商过程是通过核心网控制面完成的，且核心网的安全性较高，因此，该方法可以避免用户面传输安全参数导致安全参数泄露的风险，保证IPSec协商过程的安全性，进而保证后续通过建立的SA传输用户数据或信令的安全性。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种通信方法，应用于会话管理功能网元，其特征在于，包括：

接收来自接入和移动性管理功能网元的第一消息；其中，所述第一消息中包含终端设备的第一安全参数，所述第一安全参数用于建立所述终端设备与安全网关之间的安全关联SA；

向目标安全网关发送第二消息；其中，所述第二消息中包含所述第一安全参数，所述第二消息用于请求建立所述终端设备与所述目标安全网关之间的目标SA；

向所述接入和移动性管理功能网元发送第四消息；其中，所述第四消息中包含所述第二安全参数。

2.如权利要求1所述的方法，其特征在于，所述目标SA为网络密钥交换IKE SA。

3.如权利要求2所述的方法，其特征在于，所述第一消息为第一会话建立请求消息；所述第四消息为第一会话建立响应消息。

4.如权利要求2或3所述的方法，其特征在于，所述第一消息中还包含第一指示信息，所述第一指示信息用于指示所述终端设备请求数据加密。

5.如权利要求2-4任一项所述的方法，其特征在于，在向目标安全网关发送第二消息之前，所述方法还包括：

为所述终端设备分配所述目标安全网关。

6.如权利要求2-5任一项所述的方法，其特征在于，所述第二消息中还包含所述终端设备的因特网协议IP地址；所述第三消息中还包含所述目标安全网关的IP地址；

所述第四消息中包含所述目标安全网关的IP地址。

7.如权利要求2-6任一项所述的方法，其特征在于，在接收来自所述安全网关的第三消息之后，所述方法还包括：

向用户面功能网元发送第一转发规则配置信息；

其中，所述第一转发规则配置信息用于指示所述用户面功能网元将所述终端设备和所述目标安全网关之间通过所述IKE SA传输的数据包映射到所述终端设备的会话中的第一服务质量流上。

8.如权利要求2-7任一项所述的方法，其特征在于，所述第一安全参数包含以下至少一项：所述终端设备的安全参数索引SPI，所述终端设备的密钥材料，所述终端设备支持的IKESA加密算法，或者用于生成IKE SA密钥的第一随机数；

9.如权利要求1所述的方法，其特征在于，所述目标SA为安全处理协议SA。

10.如权利要求9所述的方法，其特征在于，所述第一消息为第一会话修改请求消息；所述第四消息为第一会话修改响应消息；所述第一消息中还包含所述终端设备请求建立的第二服务质量流的信息。

11.如权利要求9所述的方法，其特征在于，在接收来自接入和移动性管理功能网元的第一消息之前，所述方法还包括：

向所述接入和移动性管理功能网元发送第五消息，所述第五消息用于请求所述第一安全参数；

所述第一消息为所述第五消息的响应消息。

12.如权利要求11所述的方法，其特征在于，在向所述接入和移动性管理功能网元发送第五消息之前，所述方法还包括：

13.如权利要求10或12所述的方法，其特征在于，在接收来自所述目标安全网关的第三消息之后，所述方法还包括：

根据所述第二服务质量流的信息，创建所述第二服务质量流；

向用户面功能网元发送第二转发规则配置信息；

其中，所述第二转发规则配置信息用于指示所述用户面功能网元将通过所述第二服务质量流接收的来自所述终端设备的数据包转发至所述目标安全网关。

14.如权利要求9-13任一项所述的方法，其特征在于，所述第一安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述终端设备中的第一处理实体的标识，所述终端设备的鉴权信息，所述终端设备支持的第一安全处理协议SA加密算法，第一数据流选择规则，或者用于生成第一安全处理协议SA密钥的第三随机数；

15.一种通信方法，应用于接入和移动性管理功能网元，其特征在于，包括：

16.如权利要求15所述的方法，其特征在于，所述目标SA为网络密钥交换IKE SA。

17.如权利要求16所述的方法，其特征在于，所述第一消息为第一会话建立请求消息；所述第四消息为第一会话建立响应消息；

在向会话管理功能网元发送第一消息之前，所述方法还包括：

接收来自所述终端设备的第二会话建立请求消息；

在接收来自所述会话管理功能网元的第四消息之后，所述方法还包括：

向所述终端设备发送第二会话建立响应消息。

18.如权利要求17所述的方法，其特征在于，所述第二会话建立请求消息中包含所述第一安全参数；或者

所述第二会话建立请求中包含所述第一安全参数中的第一参数部分；在向会话管理功能网元发送第一消息之前，所述方法还包括：根据所述终端设备的标识，从统一数据管理网元或认证服务功能网元获取所述第一安全参数中的第二参数部分；其中，所述第一参数部分和所述第二参数部分组成所述第一安全参数；或者

在向会话管理功能网元发送第一消息之前，所述方法还包括：确定所述第一安全参数。

19.如权利要求17或18所述的方法，其特征在于，所述第二会话建立响应消息中包含：所述第一安全参数中的部分或全部；和/或，

所述第二会话建立响应消息中包含所述第二安全参数中的部分或全部。

20.如权利要求17-19任一项所述的方法，其特征在于，所述第一消息中包含第一指示信息，所述第二会话建立请求消息中包含所述第一指示信息；所述第一指示信息用于指示所述终端设备请求数据加密。

21.如权利要求16-20任一项所述的方法，其特征在于，所述第四消息中包含所述目标安全网关的因特网协议IP地址。

22.如权利要求16-21任一项所述的方法，其特征在于，所述第一安全参数包含以下至少一项：所述终端设备的安全参数索引SPI，所述终端设备的密钥材料，所述终端设备支持的IKE SA加密算法，或者用于生成IKE SA密钥的第一随机数；

23.如权利要求15所述的方法，其特征在于，所述目标SA为安全处理协议SA。

24.如权利要求23所述的方法，其特征在于，所述第一消息为第一会话修改请求消息；所述第四消息为第一会话修改响应消息；

接收来自所述终端设备的第二会话修改请求消息；

向所述终端设备发送第二会话修改响应消息；

其中，所述第一会话修改请求消息、所述第二会话修改请求中包含所述终端设备请求建立的第二服务质量流的信息。

25.如权利要求24所述的方法，其特征在于，所述第二会话修改请求消息中包含所述第一安全参数；或者

所述第二会话修改请求中包含所述第一安全参数中的第一参数部分；在向会话管理功能网元发送第一消息之前，所述方法还包括：获取保存的所述第一安全参数中的第二参数部分；其中，所述第一参数部分和所述第二参数部分组成所述第一安全参数；或者

在向会话管理功能网元发送第一消息之前，所述方法还包括：获取保存的所述第一安全参数。

26.如权利要求23所述的方法，其特征在于，所述方法还包括：

接收来自所述会话管理功能网元的第五消息，所述第五消息用于请求所述第一安全参数；

所述第一消息为所述第五消息的响应消息；

所述第四消息为第一会话修改响应消息；

向所述终端设备发送第二会话修改响应消息。

27.如权利要求24-26任一项所述的方法，其特征在于，所述第二会话修改响应消息中包含所述第一安全参数中的部分或全部；和/或，

28.如权利要求23-27任一项所述的方法，其特征在于，所述第一安全参数包含以下至少一项：所述终端设备的SPI，所述目标安全网关的SPI，所述终端设备中的第一处理实体的标识，所述终端设备的鉴权信息，所述终端设备支持的安全处理协议SA加密算法，第一数据流选择规则，或者用于生成安全处理协议SA密钥的第三随机数；

29.一种通信装置，其特征在于，包括：

通信单元，用于接收和发送数据；

处理单元，用于通过所述通信单元，执行如权利要求1-28任一项所述的方法。

30.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行权利要求1-28任一项所述的方法。