WO2016033716A1

WO2016033716A1 - 一种通信方法、移动网络设备、终端、应用服务器及系统

Info

Publication number: WO2016033716A1
Application number: PCT/CN2014/085654
Authority: WO
Inventors: 王涛; 龙水平; 高林毅
Original assignee: 华为技术有限公司
Priority date: 2014-09-01
Filing date: 2014-09-01
Publication date: 2016-03-10
Also published as: CN106797565B; CN106797565A

Abstract

本发明实施例公开了一种通信方法，包括：MNO设备获取第一应用服务器的数据包过滤规则，所述数据包过滤规则中携带所述第一应用服务器的IP地址；所述MNO设备接收终端发送的数据包，所述数据包中携带目的IP地址；所述MNO设备判断所述目的IP地址是否与所述数据包过滤规则中所述第一应用服务器的IP地址相同；若所述目的IP地址与所述数据包过滤规则中所述第一应用服务器的IP地址相同，则所述MNO将所述数据包转发至所述第一应用服务器。本发明实施例还公开了一种移动网络设备、终端及系统。采用本发明，可解决eUICC与应用服务器之间的专用通路受干扰，应用服务器处理压力大的问题。

Description

一种通信方法、移动网络设备、终端、应用服务器及系统技术领域本发明涉及通信技术领域，尤其涉及一种通信方法、移动网络设备、终端、应用服务器及系统。

通用集成电路卡（ Universal Integrated Circuit Card, 简称 UICC )研究与开发移动通信系统多使用智能卡来存储用户身份、用户认证参数 (密钥等)和算法、用户的电话簿和短信数据、运营商的定制参数等信息，以方便实现用户身份和用户数据的可携带性以及运营商间的差异化定制。在很多应用中终端需要更加小巧、 UICC也须相应减小尺寸，部分物联网应用还对 UICC提出了更高要求，诸如：使用环境更为恶劣，故对 UICC 的物理电气特性 (如环境温度、湿度等)能力要求有大幅提高；读写操作更加频繁，故要求 UICC有更长的使用寿命和更高的可靠性；可能在大幅颠簸的场景中使用，故需要 UICC的物理连接触点更加可靠和更耐磨损；某些应用场景有远程配置、远程激活、空中更换用户身份等需求，故需要 UICC能灵活升级。

面对持续增长、日益庞大的物联网市场，为了能更有效地管理物联网订购、更灵活有效地进行物联网终端配置、特别是为了满足一些应用场景和使用环境下对终端尺寸、价格和物理 /电气特性等所提出的特殊要求，嵌入式 UICC(embedded UICC, 简称 eUICC)应运而生。其中， eUICC能配置多个属性参数集 (Profile), 每个 Profile 即为 eUICC 与某个移动网络运营商（Mobile Network Operator，简称 MNO )相关的一系列文件、数据的统称，为了实现对 eUICC与某个 MNO相关的 Profile的灵活管理， eUICC需要与应用服务器如远程签约管理单元-安全路由（Subscription Manager-Securely Routing, 简称 SM-SR )或 SM等建立数据连接，用于 Profile的下载、安装，以及管理等命令或数据的传输等。在现有技术中，终端利用配置文件（Provisioning Profile, 简称 PP ) 实现 eUICC与应用服务器之间的连接和通信，但是实际的信息交互时，使用 PP建立的连接可能还被用于传输与 PP不相关的业务数据或命令，导致应用服务器接收的上行数据中可能存在其他的业务数据或命令，对 eUICC 与应用服务器之间的专用通路造成了干扰，占用了 eUICC与应用服务器之间的通路资源，增大了应用服务器的处理压力。发明内容

本发明实施例提供了一种通信方法、移动网络设备、终端、应用服务器及系统，以解决 eUICC与应用服务器之间的专用通路受干扰，应用服务器处理压力大的问题。本发明实施例第一方面提供了一种通信方法，可包括：

移动网络设备获取与第一应用服务器相关的数据包过滤规则，所述数据包过滤规则中携带所述第一应用服务器的 IP地址；

所述移动网络设备接收终端发送的数据包，所述数据包中携带目的 IP地址；

所述移动网络设备判断所述目的 IP地址是否与所述数据包过滤规则中所述第一应用服务器的 IP地址相同；

若所述目的 IP地址与所述数据包过滤规则中所述第一应用服务器的 IP地址相同，则所述移动网络设备将所述数据包转发至所述第一应用服务器。

在第一方面的第一种可能的实现方式中，所述移动网络设备获取第一应用服务器的数据包过滤规则，包括：

所述移动网络设备接收终端发送的附着请求；

在所述移动网络设备中的移动管理单元通过位置更新流程从所述移动网络设备中的归属服务器获取签约标识、接入点名称和数据包过滤规则之后，所所述移动管理单元发出的创建会话请求消息；所述分组数据网关从所述创建会话请求消息中获取所述签约标识、接入点名称和数据包过滤规则。

在第一方面的第二种可能的实现方式中，所述移动网络设备获取第一应用服务器的数据包过滤规则，包括：

所述移动网络设备接收终端发送的域名解析请求消息，所述域名解析请求消息中携带所述第一应用服务器的域名；

所述移动网络设备转发所述域名解析请求消息至域名服务器，并接收所述域名服务器发送的域名解析结果，所述域名解析结果中携带所述第一应用服务器的至少一个 IP地址；

所述移动网络设备使用所述域名解析结果中携带的 IP地址，作为与所述第一应用服务器相关的数据包过滤规则。

在第一方面的第三种可能的实现方式中，所述移动网络设备获取第一应用服务器的数据包过滤规则，包括：

所述移动网络设备接收终端发送的附着请求；

所述移动网络设备中的移动管理单元与所述移动网络设备中的归属签约服务器完成位置更新流程后，再发送创建会话请求消息至所述移动网络设备中的服务网关，以便所述服务网关转发所述创建会话请求消息至所述移动网络设备中的分组数据网关，完成创建会话流程；

所述移动网络设备中的策略与计费规则功能单元与所述分组数据网关之间发起 IP连接访问网络的会话建立和修改流程，发送所述数据包过滤规则至所述分组数据网关以便所述分组数据网关在接收到终端发送的数据包时，判断所述数据包的目的 IP地址是否与所述 IP连接访问网络的会话建立和修改消息携带的数据包过滤规则中所述第一应用服务器的 IP地址相同。

结合第一方面的第一种可能的实现方式，在第四种可能的实现方式中，当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述移动网络设备中的归属签约服务器通过策略与计费规则功能单元接收所述第一应用服务器发送的签约数据更新请求消息，并通过所述策略与计费规则功能单元返回签约数据更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述签约数据更新请求消息中携带更新后的数据包过滤规则以及所述第二应用服务器所属专用网络的接入点。

结合第一方面的第三种可能的实现方式，在第五种可能的实现方式中，当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述移动网络设备中的策略与计费规则功能单元接收所述第一应用服务器发送的策略规则更新请求消息，并返回策略规则更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述策略规则更新请求消息中携带更新后的数据包过滤规则。

结合第一方面或结合第一方面的第一或第二或第三或第四或第五种可能的实现方式，在第六种可能的实现方式中，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识以及源 IP 地址。

结合第一方面的第六种可能的实现方式，在第七种可能的实现方式中，所述数据包过滤规则或所述更新后的数据包过滤规则还包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定或数据包的源 IP地址限定。

结合第一方面或结合第一方面的第一或第二或第三或第四或第五或第六或第七种可能的实现方式，在第八种可能的实现方式中，若所述目的 IP地址与所述数据包过滤规则中所述第一应用服务器的 IP地址不相同，则发送拒绝消息至所述终端并丟弃所述数据包。

结合第一方面或结合第一方面的第一或第二或第三或第四或第五或第六或第七或第八种可能的实现方式，在第九种可能的实现方式中，所述第一应用服务器或所述第二应用服务器为签约管理单元-安全路由 SM-SR或签约管理单元 SM。本发明实施例第二方面提供了一种通信方法，包括：

终端发送附着请求至移动网络设备，完成附着；

所述终端向域名服务器发送 IP地址获取请求以获取第一应用服务器的 IP 地址；

所述终端发送携带所述第一应用服务器的 IP地址的数据包至所述移动网络设备，以使所述移动网络设备在判定所述数据包中携带的目的 IP地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的 IP地址相同时转发所述数据包至所述第一应用服务器；

若所述移动网络设备判定所述数据包中携带的目的 IP地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的 IP地址不同，则所述终端接收所述移动网络设备返回的拒绝消息。

在第二方面的第一种可能的实施方式中，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识和源 IP 地址；

所述数据包过滤规则还包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定和数据包的源 IP 地址限定。本发明实施例第三方面提供了一种通信方法，可包括：若需要将终端连接的第一应用服务器切换为第二应用服务器，所述第一应用服务器接收切换请求消息；

发送签约数据更新请求消息或策略规则更新请求消息至移动网络设备；若发送的消息为签约数据更新请求消息，则接收所述移动网络设备返回的签约数据更新响应消息，若发送的消息为策略规则更新请求消息则接收所述移动网络设备返回的策略规则更新响应消息；

发送嵌入式通用集成电路卡信息集至所述第二应用服务器以使所述第二应用服务器与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集；

其中，所述第一应用服务器接收终端的数据包时基于数据包过滤规则进行，所述签约数据更新请求消息中携带更新后的数据包过滤规则以及所述第二应用服务器所属专用网络的接入点，所述策略规则更新请求消息中携带更新后的数据包过滤规则。

在第三方面的第一种可能的实现方式中，所述发送签约数据更新请求消息至移动网络设备；接收所述移动网络设备返回的签约数据更新响应消息；包括：所述第一应用服务器发送签约数据更新请求消息至所述移动网络设备中的策略与计费规则功能单元以便所述策略与计费规则功能单元将所述签约数据更新请求消息转发给所述移动网络设备中的归属签约服务器；

当所述归属服务器发送签约数据更新响应消息给所述策略与计费规则功能单元后，所述第一应用服务器接收所述策略与计费规则功能单元后转发的签约数据更新响应消息。

在第三方面的第二种可能的实现方式中，所述发送策略规则更新请求消息至移动网络设备；接收所述移动网络设备返回的策略规则更新响应消息，包括：所述第一应用服务器发送策略规则更新请求消息至所述移动网络设备中的策略与计费规则功能单元；

接收所述策略与计费规则功能单元返回的策略规则更新响应消息。本发明实施例第四方面提供了一种移动网络设备，可包括：

获取单元，用于获取第一应用服务器的数据包过滤规则，所述数据包过滤规则中携带所述第一应用服务器的 IP地址，所述获取单元为归属签约服务器或者为策略与计费规则功能单元或者为分组数据网关；

基站，用于接收终端发送的数据包并输出，所述数据包中携带目的 IP地址；

所述分组数据网关，用于判断所述目的 IP地址是否与所述数据包过滤规则中所述第一应用服务器的 IP地址相同，若所述目的 IP地址与所述数据包过滤规则中所述第一应用服务器的 IP地址相同，则将所述数据包转发至所述第一应用服务器。

在第四方面的第一种可能的实现方式中，所述移动网络设备还包括移动管理单元和服务网关；

所述基站还用于接收终端发送的附着请求，并将所述附着请求转发至所述移动网络设备中的移动管理单元；

所述移动管理单元，用于发送位置更新请求消息至所述移动网络设备中的归属签约服务器；

所述归属签约服务器用于返回位置更新响应消息至所述移动管理单元，并在所述位置更新响应消息中携带数据包过滤规则；

所述移动管理单元还用于发送携带所述数据包过滤规则的创建会话请求消息至所述移动网络设备中的服务网关；

所述服务网关用于转发所述创建会话请求消息至所述移动网络设备中的分组数据网关，以便所述分组数据网关在接收到终端发送的数据包时，判断所述数据包的目的 IP地址是否与所述创建会话请求消息携带的数据包过滤规则中所述第一应用服务器的 IP地址相同。

在第四方面的第二种可能的实现方式中，所述分数数据网关具体用于：接收终端发送的域名解析请求消息，所述域名解析请求消息中携带所述第一应用服务器的域名；

转发所述域名解析请求消息至域名服务器，并接收所述域名服务器发送的域名解析结果，所述域名解析结果中携带所述第一应用服务器的至少一个 IP 地址；

使用所述域名解析结果中携带的 IP地址，作为与所述第一应用服务器相关的数据包过滤规则。

在第四方面的第三种可能的实现方式中，所述移动网络设备还包括移动管理单元、服务网关和策略与计费规则功能单元；

所述移动管理单元用于与所述移动网络设备中的归属签约服务器完成位置更新流程后，再发送创建会话请求消息至所述移动网络设备中的服务网关，以便所述服务网关转发所述创建会话请求消息至所述移动网络设备中的分组数据网关，完成创建会话流程；

所述策略与计费规则功能单元用于与所述分组数据网关之间发起 IP连接访问网络的会话建立和修改流程，发送所述数据包过滤规则给所述分组数据网关以便所述分组数据网关在接收到终端发送的数据包时，判断所述数据包的目的 IP地址是否与所述 IP连接访问网络的会话建立和修改消息携带的数据包过滤规则中所述第一应用服务器的 IP地址相同。

结合第四方面的第一种可能的实现方式，在第四种可能的实现方式中，当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述归属签约服务器还用于通过策略与计费规则功能单元接收所述第一应用服务器发送的签约数据更新请求消息，并通过所述策略与计费规则功能单元返回签约数据更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述签约数据更新请求消息中携带更新后的数据包过滤规则以及所述第二应用服务器所属专用网络的接入点。

结合第四方面的第三种可能的实现方式，在第五种可能的实现方式中，当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述策略与计费规则功能单元还用于接收所述第一应用服务器发送的策略规则更新请求消息，并返回策略规则更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述策略规则更新请求消息中携带更新后的数据包过滤规则。

结合第四方面或结合第四方面的第一或第二或第三或第四或第五种可能的实现方式，在第六种可能的实现方式中，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识以及源 IP 地址。

结合第四方面的第六种可能的实现方式，在第七种可能的实现方式中，所述数据包过滤规则还包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定或数据包的源 IP地址限定。

结合第四方面或结合第四方面的第一或第二或第三或第四或第五或第六或第七种可能的实现方式，在第八种可能的实现方式中，若所述目的 IP地址与所述数据包过滤规则中所述第一应用服务器的 IP地址不相同，则所述分组数据网关还用于发送拒绝消息至所述终端并丟弃所述数据包。

结合第四方面或结合第四方面的第一或第二或第三或第四或第五或第六或第七或第八种可能的实现方式，在第九种可能的实现方式中，所述第一应用服务器或所述第二应用服务器为签约管理单元-安全路由 SM-SR或签约管理单元 SM。本发明实施例第五方面提供了一种终端，包括：

附着请求发送单元，用于发送附着请求至移动网络设备，完成附着； IP地址获取单元，用于向域名服务器发送 IP地址获取请求以获取第一应用服务器的 IP地址；

数据发送单元，用于发送携带所述第一应用服务器的 IP地址的数据包至所述移动网络设备，以使所述移动网络设备在判定所述数据包中携带的目的 IP 地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的 IP地址相同时转发所述数据包至所述第一应用服务器；

接收单元，若所述移动网络设备判定所述数据包中携带的目的 IP地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的 IP地址不同，则接收所述移动网络设备返回的拒绝消息。

在第五方面的第一种可能的实现方式中，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识和源 IP 地址；

所述数据包过滤规则还包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定和数据包的源 IP 地址限定。本发明实施例第六方面提供了一种终端，包括：

输入装置、输出装置、存储器、处理器以及总线，所述输入装置、输出装置、存储器以及处理器与所述总线连接，其中：

所述存储器用于存储程序，所述处理器用于调用所述程序进行以下步骤：发送附着请求至移动网络设备，完成附着；

向域名服务器发送 IP地址获取请求以获取第一应用服务器的 IP地址；发送携带所述第一应用服务器的 IP地址的数据包至所述移动网络设备，以使所述移动网络设备在判定所述数据包中携带的目的 IP地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的 IP地址相同时转发所述数据包至所述第一应用服务器；

若所述移动网络设备判定所述数据包中携带的目的 IP地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的 IP地址不同，则接收所述移动网络设备返回的拒绝消息。

在第六方面的第一种可能的实现方式中，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识和源 IP 地址；

所述数据包过滤规则还包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定和数据包的源 IP 地址限定。

本发明实施例第七方面提供了一种应用服务器统，包括：

第一接收单元，用于若需要将终端连接的第一应用服务器切换为第二应用服务器，接收切换请求消息；

第一发送单元，用于发送签约数据更新请求消息或策略规则更新请求消息至移动网络设备；

第二接收单元，用于若发送的消息为签约数据更新请求消息，则接收所述移动网络设备返回的签约数据更新响应消息，若发送的消息为策略规则更新请求消息则接收所述移动网络设备返回的策略规则更新响应消息；

第二发送单元，用于发送嵌入式通用集成电路卡信息集至所述第二应用服务器以使所述第二应用服务器与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集；

在第七方面的第一种可能的实现方式中，所述第一发送单元具体用于发送签约数据更新请求消息至所述移动网络设备中的策略与计费规则功能单元以便所述策略与计费规则功能单元将所述签约数据更新请求消息转发给所述移动网络设备中的归属签约服务器；

所述第二接收单元具体用于当所述归属服务器发送签约数据更新响应消息给所述策略与计费规则功能单元后，接收所述策略与计费规则功能单元后转发的签约数据更新响应消息。

在第七方面的第二种可能的实现方式中，所述第一发送单元具体用于发送策略规则更新请求消息至所述移动网络设备中的策略与计费规则功能单元；所述第二接收单元具体用于接收所述策略与计费规则功能单元返回的策略规则更新响应消息。本发明实施例第八方面提供了一种应用服务器，包括：

所述存储器用于存储程序，所述处理器用于调用所述程序进行以下步骤：若需要将终端连接的第一应用服务器切换为第二应用服务器，所述处理器接收切换请求消息；

在第八方面的第一种可能的实现方式中，所述发送签约数据更新请求消息至移动网络设备；接收所述移动网络设备返回的签约数据更新响应消息时，所述处理器具体用于：

发送签约数据更新请求消息至所述移动网络设备中的策略与计费规则功能单元以便所述策略与计费规则功能单元将所述签约数据更新请求消息转发给所述移动网络设备中的归属签约服务器；

当所述归属服务器发送签约数据更新响应消息给所述策略与计费规则功能单元后，接收所述策略与计费规则功能单元后转发的签约数据更新响应消息。

在第八方面的第二种可能的实现方式中，所述第一发送单元具体用于发送策略规则更新请求消息至所述移动网络设备中的策略与计费规则功能单元；所述第二接收单元具体用于接收所述策略与计费规则功能单元返回的策略规则更新响应消息。本发明实施例第九方面提供了一种通信系统，包括：

如本发明实施例第四方面或第四方面任一实施方式所述的移动网络设备; 如本发明实施例第五方面或第五方面任一实施方式所述的终端；以及，至少一个如本发明实施例第七方面或第七方面任一实施方式所述的应用服务器，用于管理所述终端的签约信息，与所述终端进行属性参数集相关的数据通信。

实施本发明实施例，具有如下有益效果：

通过获取携带应用服务器的 IP地址的数据包过滤规则，然后在接收到终端发送的携带目的 IP地址的数据包时，可以对目的 IP地址进行判断和匹配，只有在目的 IP地址和数据包过滤规则中的 IP地址相同时，才会将数据包转发给应用服务器，从而可实现对数据包的过滤，避免了其他与配置文件不相关的业务数据或命令占用 eUICC与应用服务器之间的专用通路，减少了 eUICC与应用服务器之间的专用通路的通信干扰以及应用服务器的处理压力。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1 为本发明通信方法的第一实施例的流程示意图；

图 2为本发明通信方法的第二实施例的流程示意图；图 3为本发明通信方法的第三实施例的流程示意图；图 4为在图 2通信方法中进行 SM-SR切换的流程示意图；图 5为在图 3通信方法中进行 SM-SR切换的流程示意图；图 6为本发明通信方法的第四实施例的流程示意图；

图 7为本发明通信方法的第五实施例的流程示意图；图 8为本发明移动网络设备的第一实施例的组成示意图；

图 9为本发明移动网络设备的第二实施例的组成示意图；图 10为本发明终端的第一实施例的组成示意图；图 11为本发明终端的第二实施例的组成示意图；图 12为本发明应用服务器的第一实施例的组成示意图；图 13为本发明应用服务器的第二实施例的组成示意图；图 14为本发明实施例通信系统的组成示意图。

具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请所述的通信方法可使用于单个 SM-SR工作的场景，当然也可使用于两个以上的 SM-SR同时工作，可能需要切换的场景，尤其适用于在两个以上的 SM-SR同时工作，当终端接入的 SM-SR发生切换的场景。因为在切换时，对于终端发送的数据包的过滤处理，避免其他与配置文件不相关的业务数据或命令占用 eUICC与应用服务器之间的专用通路非常重要，具体过程可参见下述实施例的详细描述。请参照图 1，为本发明通信方法的第一实施例的流程示意图；在本实施例中，所述方法包括： S101 , 移动网络设备获取与第一应用服务器相关的数据包过滤规则。其中，所述数据包过滤规则中携带所述第一应用服务器的 IP地址。元 SM。也可以是其他的应用服务器。可用于管理终端的签约信息，与终端进行属性参数集相关的数据通信。还可以管理终端与外部通信的通道，完成路由工作等。

可选地，所述数据包过滤规则可以包含在签约数据中，和第一应用服务器所属专用网络的接入点 ( Access Point Name,简称 APN M言息一起保存和发送。所述接入点信息用于指示终端接入的节点、网关或传输通路。

S102, 所述移动网络设备接收终端发送的数据包，所述数据包中携带目的 IP地址。可选地，所述数据包中还可以携带嵌入式通用集成电路卡的标识（EID Embedded Identity, 简称 EID )、所述嵌入式通用集成电路卡上属性参数集的标识（ Integrated Circuit Card Identity, 简称 ICCID ) 以及源 IP地址。这样，接收到数据包的网关就可以知道数据包的来源和标识信息，从而可形成新的过滤条件。

例如，所述数据包过滤规则除了携带第一应用服务器的 IP地址之外，还可以包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定或数据包的源 IP地址限定，

当数据包容量大于某一个值时则可以不转发给第一应用服务器，也可以在数据包容量小于某一个值时则不转发给第一应用服务器；或当数据包携带的标识与数据包过滤规则中携带的标识或标识集相同时，则可以不转发给第一应用服务器，此时过滤规则中的标识为黑名单，也可以在数据包携带的标识与数据包过滤规则中携带的标识不同时，不转发给第一应用服务器，此时过滤规则中的标识为白名单；或还可以当数据包的源 IP地址与数据包过滤规则中携带的源 IP地址相同时，则不转发，也可以在数据包的源 IP地址与数据包过滤规则中携带的源 IP地址不同时，进行转发，当然，数据包过滤规则中携带的标识或源 IP地址可以是 1个，也可以是多个标识或源 IP地址构成的标识集或源 IP 地址集。多个限定条件可以单一考虑，也可以多个限定条件同时考虑，此处不作任何限定。

S 103，所述移动网络设备判断所述目的 IP地址是否与所述数据包过滤规则中所述第一应用服务器的 IP地址相同。若相同则执行步骤 S104，否则执行步骤 S 105。

S 104, 所述移动网络设备将所述数据包转发至所述第一应用服务器。 S 105，发送拒绝消息至所述终端并丟弃所述数据包。通过获取携带应用服务器的 IP地址的数据包过滤规则，然后在接收到终端发送的携带目的 IP地址的数据包时，可以对目的 IP地址进行判断和匹配，只有在目的 IP地址和数据包过滤规则中的 IP地址相同时，才会将数据包转发给应用服务器，从而可实现对数据包的过滤，避免了其他与配置文件不相关的业务数据或命令占用 eUICC与应用服务器之间的专用通路，减少了 eUICC与应用服务器之间的专用通路的通信干扰以及应用服务器的处理压力。

请参照图 2，为本发明通信方法的第二实施例的流程示意图；在本实施例中， eUICC嵌入在终端内，应用服务器为 SM-SR，移动网络设备包括多个实体，如基站（ eNB )、移动管理单元（ Mobile Management Entity，简称 MME )、月良务网关（ Serving Gateway,简称 S-GW )、分组数据网关（ Packet Data Network Gateway, 简称 P-GW )、归属签约服务器（ Home Subscription Server, 简称 HSS )，这些实体之间可进行各种信息交互以建立连接和数据通信。

所述移动网络设备可接收终端发送的附着请求；

在所述移动网络设备中的移动管理单元通过位置更新流程从所述移动网络设备中的归属服务器获取签约标识、接入点名称和数据包过滤规则之后，所

所述分组数据网关从所述创建会话请求消息中获取所述签约标识、接入点名称和数据包过滤规则。

具体地，所述方法的实现流程可包括：

1. UE向 eNodeB发送附着请求；

2. eNodeB将附着请求转发给 MME;

3. MME向 HSS发送位置更新请求（ Update Location Request ) 消息；

4. HSS向 MME返回位置更新响应（Update Location Response ) 消息，携带签约数据，这里的签约数据包括 SM-SR1数据包过滤规则等；可选地还可以包括 SM-SR1所属专用网络的 APN。

5. MME向 S-GW发送创建会话请求（ Create Session Request ) 消息，携带数据包过滤规则等；

6. S-GW向 P-GW发送创建会话请求（ Create Session Request ) 消息，携带数据包过滤规则 packet filter criteria等；

7. P-GW向 S-GW返回创建会话响应（ Create Session Response ) 消息；

8. S-GW向 MME返回创建会话响应（ Create Session Response ) 消息； 9. MME向 eNodeB发送初始上下文设置请求 /附着接收（Initial Context

Setup Request I Attach Request ) 消息；

10. eNodeB 向 UE发送无线资源控制协议连接重构（ RRC Connection Reconfiguration ) 消息；

11. UE向 eNodeB返回无线资源控制协议连接重构完成（ RRC Connection Reconfiguration Complete ) 消息；

12. eNodeB 向 MME返回初始上下文设置响应（Initial Context Setup Response ) 消息；

13. UE向 eNodeB发送直传（ Direct Transfer ) 消息；

14. eNodeB向 MME发送附着完成（ Attach Complete ) 消息；

15. UE向 eNodeB发送 NAS层信令：服务请求（ Service Request ) 消息；

16. eNodeB向 MME发送 NAS层信令：服务请求（Service Request ) 消息；

17. MME向 eNodeB发送 Sl-AP层信令：初始上下文设置请求（Initial Context Setup Request ) 消息；

18. eNodeB与 UE之间建立无线承载；

19. eNodeB向 MME发送 S1-AP层信令：初始上下文设置完成（Initial

Context Setup Complete ) 消息；

20. UE向域名服务器（ DNS Server )获取 SM-SR1的 IP地址；

21. UE通过 eNodeB、 S-GW转发，向 P-GW发送上行数据包，携带目的 IP地址；可选地，还可以携带 EID、 ICCID、源 IP地址等

22. P-GW根据在步骤 6中得到的数据包过滤规则，对上行数据包进行过滤；如果上行数据包的目的 IP地址与数据包过滤规则中的 SM-SR1的 IP地址不同，则执行步骤 23，相同则执行步骤 24。

23. 拒绝该上行数据的转发，并向依次通过 S-GW、 eNodeB发送拒绝消息至 UE;

24. 如果上行数据的目的 IP地址与数据包过滤规则中的 SM-SR1的 IP地址相同，那么 P-GW将该上行数据转发至 SM-SR1。

在本实施例中，通过在 HSS向 MME返回的位置更新响应消息中携带数据包过滤规则，并经过 MME、 S-GW告知 P-GW，从而使得 P-GW可以在接收到 UE发送的数据包时，根据数据包过滤规则对数据包进行过滤。其中， HSS 中的数据包过滤规则可以由用户设定或者由 HSS与 SM-SR1之间的信息交互获取，数据包过滤规则可以固定不变，也可以根据业务需要进行适应性更新，此处不作任何限定。

请参照图 3，为本发明通信方法的第三实施例的流程示意图；在本实施例中，所述移动网络设备还包括策略与计费规则功能单元（Policy and Charging Rules Function, 简称 PCRF)。

所述方法的步骤 1-步骤 3与图 2所示实施例的步骤 1-3相同。 1. UE向 eNodeB发送附着请求；

2. eNodeB将附着请求转发给 MME;

3. MME向 HSS发送位置更新请求（ Update Location Request ) 消息；

4. HSS向 MME返回位置更新响应（Update Location Response ) 消息，携带签约数据，这里的签约数据包括 SM-SR1所属专用网络的 APN等；（与图

2所示实施例相比，缺少了数据包过滤规则 )

步骤 5-步骤 6与图 2所示实施例相同。

7. P-GW与 PCRF之间发起策略及计费执行功能（Policy and Charging Enforcement Function, 简称 PCEF )发起的 IP连接访问网络的会话建立 /修改

( PCEF initiated IP-CAN Session Establishment/Modification )流程，进而 P-GW 从 PCRF获取数据包过滤规则；

后续的步骤 8-25与图 2所示实施例的步骤 7-24相同。

8. P-GW向 S-GW返回创建会话响应（ Create Session Response ) 消息；

9. S-GW向 MME返回创建会话响应（ Create Session Response ) 消息；

10. MME向 eNodeB发送初始上下文设置请求 /附着接收（ Initial Context Setup Request / Attach Request ) 消息；

11. eNodeB 向 UE发送无线资源控制协议连接重构（ RRC Connection Reconfiguration ) 消息；

12. UE向 eNodeB返回无线资源控制协议连接重构完成（ RRC Connection Reconfiguration Complete ) 消息；

13. eNodeB 向 MME返回初始上下文设置响应（Initial Context Setup

Response ) 消息； 14. UE向 eNodeB发送直传（ Direct Transfer ) 消息；

15. eNodeB向 MME发送附着完成（ Attach Complete ) 消息；

16. UE向 eNodeB发送 NAS层信令：服务请求（ Service Request ) 消息；

17. eNodeB向 MME发送 NAS层信令：服务请求（ Service Request ) 消息；

18. MME向 eNodeB发送 S1-AP层信令：初始上下文设置请求（Initial Context Setup Request ) 消息；

19. eNodeB与 UE之间建立无线承载；

20. eNodeB向 MME发送 S1-AP层信令：初始上下文设置完成（Initial Context Setup Complete ) 消息；

21. UE向域名服务器（ DNS Server )获取 SM-SR1的 IP地址；

22. UE通过 eNodeB、 S-GW转发，向 P-GW发送上行数据包，携带目的 IP地址；可选地，还可以携带 EID、 ICCID、源 IP地址等

23. P-GW根据在步骤 6中得到的数据包过滤规则，对上行数据包进行过滤；如果上行数据包的目的 IP地址与数据包过滤规则中的 SM-SR1的 IP地址不同，则执行步骤 23，相同则执行步骤 24。

24. 拒绝该上行数据的转发，并向依次通过 S-GW、 eNodeB发送拒绝消息至 UE;

25. 如果上行数据的目的 IP地址与数据包过滤规则中的 SM-SR1的 IP地址相同，那么 P-GW将该上行数据转发至 SM-SR1。

在本实施例中，由 P-GW从 PCRF处获取数据包过滤规则。从而使得 P-GW 可以在接收到 UE发送的数据包时，根据数据包过滤规则对数据包进行过滤。其中， PCRF中的数据包过滤规则可以由用户设定或者由 PCRF与 SM-SR1之间的信息交互获取，数据包过滤规则可以固定不变，也可以根据业务需要进行适应性更新，此处不作任何限定。

当然，除了上述两种获取签约规则的方式之外，还可以通过移动网络设备与域名服务器的信息交互来实现，其具体实现流程可以为：

1. 所述移动网络设备接收终端发送的域名解析请求消息，所述域名解析请求消息中携带所述第一应用服务器的域名；

其中，所述域名解析请求消息为专用于域名签约管理的应用服务器的应用。

2. 所述移动网络设备转发所述域名解析请求消息至域名服务器，并接收所述域名服务器发送的域名解析结果，所述域名解析结果中携带所述第一应用服务器的至少一个 IP地址；

3. 所述移动网络设备使用所述域名解析结果中携带的 IP地址，作为与所述第一应用服务器相关的数据包过滤规则。

通过此种方式获取的 IP地址即为所述第一应用服务器相关的数据包过滤规则中的 IP地址，两者相同，从而为后续的数据包过滤提供参考条件。

请参照图 4，为在图 2通信方法中进行 SM-SR切换的流程示意图；在本实施例中，所述方法包括：

1. SM-SR 2收到 SM-SR切换请求；

2. SM-SR 2回复确认消息；

3. SM-SR 1收到 SM-SR切换请求；

4. SM-SR 1通过 PCRF向 HSS发送签约数据更新请求（ Subscription Data Update ) 消息，携带数据包过滤规则和签约的 APN;

5. HSS通过 PCRF向 SM-SR 1返回确认消息；

6. SM-SR 1向 SM-SR 2发送 eUICC信息集（ EIS )信息；

7. SM-SR 2与 UE内的 eUICC进行密钥生成和连接建立；

8. SM-SR 2指示 UE内的 eUICC删除与 SM-SR 1的密钥集；

9. SM-SR 2向 SM-SR 1发送切换完成确认消息；

10. SM-SR 2向发起方（ Initiator )如业务提供商发送切换完成确认消息；

11. SM-SR 1删除与目标 UE内的 eUICC对应的 EIS信息。通过发送签约数据更新消息至 HSS 进行签约数据的更新，从而实现 SM-SR的切换。在本实施例中仅以 SM-SR的切换进行说明，当 SM切换或其他应用服务器切换时，方法相同，此处不再赘述。

请参照图 5，为在图 3通信方法中进行 SM-SR切换的流程示意图；在本实施例中，所述方法的步骤 1-3与图 4所示实施例的步骤 1-3相同。

1. SM-SR 2收到 SM-SR切换请求；

2. SM-SR 2回复确认消息；

3. SM-SR 1收到 SM-SR切换请求；

4. SM-SR 1向 PCRF发送策略规则更新请求（ Policy Rules Update )消息，携带数据包过滤规则；

5. PCRF向 SM-SR 1返回确认消息；

所述方法的步骤 6-11与图 4所示实施例的步骤 6-11相同。

6. SM-SR 1向 SM-SR 2发送 eUICC信息集（ EIS )信息；

7. SM-SR 2与 UE内的 eUICC进行密钥生成和连接建立；

8. SM-SR 2指示 UE内的 eUICC删除与 SM-SR 1的密钥集；

9. SM-SR 2向 SM-SR 1发送切换完成确认消息；

10. SM-SR 2向发起方（Initiator )如业务提供商发送切换完成确认消息；

11. SM-SR 1删除与目标 UE内的 eUICC对应的 EIS信息。

通过发送签约数据更新消息至 PCRF 进行签约数据的更新，从而实现 SM-SR的切换。

请参照图 6，为本发明通信方法的第四实施例的流程示意图；在本实施例中，所述方法包括：

5601 , 终端发送附着请求至移动网络设备，完成附着。

5602, 所述终端向域名服务器发送 IP地址获取请求以获取第一应用服务器的 IP地址。 S603, 所述终端发送携带所述第一应用服务器的 IP地址的数据包至所述移动网络设备，以使所述移动网络设备在判定所述数据包中携带的目的 IP地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的

IP地址相同时转发所述数据包至所述第一应用服务器。 S604, 若所述移动网络设备判定所述数据包中携带的目的 IP地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的 IP地址不同，则所述终端接收所述移动网络设备返回的拒绝消息。

请参照图 7，为本发明通信方法的第五实施例的流程示意图；在本实施例中，所述方法包括： S701 ,若需要将终端连接的第一应用服务器切换为第二应用服务器，所述第一应用服务器接收切换请求消息

5702,发送签约数据更新请求消息或策略规则更新请求消息至移动网络设备；

5703,若发送的消息为签约数据更新请求消息，则接收所述移动网络设备返回的签约数据更新响应消息，若发送的消息为策略规则更新请求消息则接收所述移动网络设备返回的策略规则更新响应消息；

S704，发送嵌入式通用集成电路卡信息集至所述第二应用服务器以使所述第二应用服务器与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集；

可选地，所述发送签约数据更新请求消息至移动网络设备；接收所述移动网络设备返回的签约数据更新响应消息；包括：所述第一应用服务器发送签约数据更新请求消息至所述移动网络设备中的策略与计费规则功能单元以便所述策略与计费规则功能单元将所述签约数据更新请求消息转发给所述移动网络设备中的归属签约服务器；

具体可参照图 4所示的流程，此处不再赘述。可选地，所述发送策略规则更新请求消息至移动网络设备；接收所述移动网络设备返回的策略规则更新响应消息，包括：

所述第一应用服务器发送策略规则更新请求消息至所述移动网络设备中的策略与计费规则功能单元；

接收所述策略与计费规则功能单元返回的策略规则更新响应消息。

具体可参照图 5所示的流程，此处不再赘述。请参照图 8，为本发明移动网络设备的第一实施例的组成示意图；在本实施例中，所述移动网络设备包括：获取单元 100，用于获取第一应用服务器的数据包过滤规则，所述数据包过滤规则中携带所述第一应用服务器的 IP地址，所述获取单元 100为归属签约服务器或者为策略与计费规则功能单元或者为分组数据网关 300;

基站 200，用于接收终端发送的数据包并输出，所述数据包中携带目的 IP 地址；

所述分组数据网关 300，用于判断所述目的 IP地址是否与所述数据包过滤规则中所述第一应用服务器的 IP地址相同，若所述目的 IP地址与所述数据包过滤规则中所述第一应用服务器的 IP地址相同，则将所述数据包转发至所述第一应用服务器。

其中，所述数据包过滤规则中携带所述第一应用服务器的 IP地址。所述第一应用服务器可以为签约管理单元-安全路由 SM-SR或签约管理单元 SM。也可以是其他的应用服务器。可用于管理终端的签约信息，与终端进行属性参数集相关的数据通信。还可以管理终端与外部通信的通道，完成路由工作等。

可选地，所述数据包过滤规则可以包含在签约数据中，和第一应用服务器所属专用网络的接入点 ( Access Point Name,简称 APN M言息一起保存和发送。所述接入点信息用于指示终端接入的节点、网关或传输通路。可选地，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识以及源 IP地址。

可选地，所述数据包过滤规则还包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定或数据包的源 IP地址限定。

例如，所述数据包过滤规则除了携带第一应用服务器的 IP地址之外，还可以包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定或数据包的源 IP地址限定，当数据包容量大于某一个值时则可以不转发给第一应用服务器，也可以在数据包容量小于某一个值时则不转发给第一应用服务器；或当数据包携带的标识与数据包过滤规则中携带的标识或标识集相同时，则可以不转发给第一应用服务器，此时过滤规则中的标识为黑名单，也可以在数据包携带的标识与数据包过滤规则中携带的标识不同时，不转发给第一应用服务器，此时过滤规则中的标识为白名单；或还可以当数据包的源 IP地址与数据包过滤规则中携带的源 IP地址相同时，则不转发，也可以在数据包的源 IP地址与数据包过滤规则中携带的源 IP地址不同时，进行转发，当然，数据包过滤规则中携带的标识或源 IP地址可以是 1个，也可以是多个标识或源 IP地址构成的标识集或源 IP地址集。多个限定条件可以单一考虑，也可以多个限定条件同时考虑，此处不作任何限定。

若所述目的 IP地址与所述数据包过滤规则中所述第一应用服务器的 IP地址不相同，则所述分组数据网关 300还用于发送拒绝消息至所述终端并丟弃所述数据包。

请参照图 9，为本发明移动网络设备的第二实施例的组成示意图；在本实施例中，所述移动网络设备包括：获取单元，用于获取第一应用服务器的数据包过滤规则，所述数据包过滤规则中携带所述第一应用服务器的 IP地址，所述获取单元为归属签约服务器 100;

分组数据网关 300，用于判断所述目的 IP地址是否与所述数据包过滤规则中所述第一应用服务器的 IP地址相同，若所述目的 IP地址与所述数据包过滤规则中所述第一应用服务器的 IP地址相同，则将所述数据包转发至所述第一应用服务器。

所述移动网络设备还包括移动管理单元 400、服务网关 500和策略与计费规则功能单元 600;

所述基站 200还用于接收终端发送的附着请求，并将所述附着请求转发至所述移动网络设备中的移动管理单元 400;

所述移动管理单元 400，用于发送位置更新请求消息至所述移动网络设备中的归属签约服务器 300;

所述归属签约服务器 300用于返回位置更新响应消息至所述移动管理单元 400，并在所述位置更新响应消息中携带数据包过滤规则；

所述移动管理单元 400还用于发送携带所述数据包过滤规则的创建会话请求消息至所述移动网络设备中的服务网关 500;

所述服务网关 500 用于转发所述创建会话请求消息至所述移动网络设备中的分组数据网关 300，以便所述分组数据网关 300在接收到终端发送的数据包时，判断所述数据包的目的 IP地址是否与所述创建会话请求消息携带的数据包过滤规则中所述第一应用服务器的 IP地址相同。可选地，当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述归属签约服务器 500还用于通过策略与计费规则功能单元 600接收所述第一应用服务器发送的签约数据更新请求消息，并通过所述策略与计费规则功能单元 600返回签约数据更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述签约数据更新请求消息中携带更新后的数据包过滤规则以及所述第二应用服务器所属专用网络的接入点。

通过在 HSS向 MME返回的位置更新响应消息中携带数据包过滤规则，并经过 MME、 S-GW告知 P-GW，从而使得 P-GW可以在接收到 UE发送的数据包时，根据数据包过滤规则对数据包进行过滤。其中， HSS中的数据包过滤规则可以由用户设定或者由 HSS与 SM-SR1之间的信息交互获取，数据包过滤规则可以固定不变，也可以根据业务需要进行适应性更新，此处不作任何限定。

或者所述获取单元为策略与计费规则功能单元 600;

则所述基站 200还用于接收终端发送的附着请求，并将所述附着请求转发至所述移动网络设备中的移动管理单元 400;

所述移动管理单元 400用于与所述移动网络设备中的归属签约服务器 100 完成位置更新流程后，再发送创建会话请求消息至所述移动网络设备中的服务网关 500，以便所述服务网关 500转发所述创建会话请求消息至所述移动网络设备中的分组数据网关 300，完成创建会话流程；

IP连接访问网络的会话建立和修改流程，发送所述数据包过滤规则给所述分组数据网关 300以便所述分组数据网关 300在接收到终端发送的数据包时，判断所述数据包的目的 IP地址是否与所述 IP连接访问网络的会话建立和修改消息携带的数据包过滤规则中所述第一应用服务器的 IP地址相同。

当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述策略与计费规则功能单元 600还用于接收所述第一应用服务器发送的策略规则更新请求消息，并返回策略规则更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述策略规则更新请求消息中携带更新后的数据包过滤规则。

由 P-GW从 PCRF处获取数据包过滤规则。从而使得 P-GW可以在接收到

UE发送的数据包时，根据数据包过滤规则对数据包进行过滤。其中， PCRF 中的数据包过滤规则可以由用户设定或者由 PCRF与 SM-SR1之间的信息交互获取，数据包过滤规则可以固定不变，也可以根据业务需要进行适应性更新，此处不作任何限定。

或者所述获取单元为分组数据网关 300，所述分组数据网关 300具体用于：接收终端发送的域名解析请求消息，所述域名解析请求消息中携带所述第一应用服务器的域名；

请参照图 10，为本发明终端的第一实施例的组成示意图；在本实施例中，所述终端包括：附着请求发送单元 110，用于发送附着请求至移动网络设备，完成附着；

IP地址获取单元 120，用于向域名服务器发送 IP地址获取请求以获取第一应用服务器的 IP地址；

数据发送单元 130，用于发送携带所述第一应用服务器的 IP地址的数据包至所述移动网络设备，以使所述移动网络设备在判定所述数据包中携带的目的 IP地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的 IP地址相同时转发所述数据包至所述第一应用服务器；

接收单元 140，若所述移动网络设备判定所述数据包中携带的目的 IP地址与所述移动网络设备预先获取的数据包过滤规则中所述第一应用服务器的 IP地址不同，则接收所述移动网络设备返回的拒绝消息。

所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识和源 IP地址；

例如，所述数据包过滤规则除了携带第一应用服务器的 IP地址之外，还可以包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定或数据包的源 IP地址限定，当数据包容量大于某一个值时则可以不转发给第一应用服务器，也可以在数据包容量小于某一个值时则不转发给第一应用服务器；或当数据包携带的标识与数据包过滤规则中携带的标识或标识集相同时，则可以不转发给第一应用服务器，此时过滤规则中的标识为黑名单，也可以在数据包携带的标识与数据包过滤规则中携带的标识不同时，不转发给第一应用服务器，此时过滤规则中的标识为白名单；或还可以当数据包的源 IP地址与数据包过滤规则中携带的源 IP地址相同时，则不转发，也可以在数据包的源 IP地址与数据包过滤规则中携带的源 IP地址不同时，进行转发，当然，数据包过滤规则中携带的标识或源 IP地址可以是 1个，也可以是多个标识或源 IP地址构成的标识集或源 IP地址集。多个限定条件可以单一考虑，也可以多个限定条件同时考虑，此处不作任何限定。请参照图 11，为本发明终端的第二实施例的组成示意图；在本实施例中，所述终端包括：输入装置 210、输出装置 220、存储器 230、处理器 240以及总线，所述输入装置 210、输出装置 220、存储器 230以及处理器 240与所述总线连接，其中：

所述存储器 230用于存储程序，所述处理器 240用于调用所述程序进行以下步骤：

发送附着请求至移动网络设备，完成附着；

可选地，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识和源 IP地址；

请参照图 12，为本发明应用服务器的第一实施例的组成示意图；在本实施例中，所述应用服务器包括：第一接收单元 310，用于若需要将终端连接的第一应用服务器切换为第二应用服务器，接收切换请求消息；

第一发送单元 320，用于发送签约数据更新请求消息或策略规则更新请求消息至移动网络设备；

第二接收单元 330，用于若发送的消息为签约数据更新请求消息，则接收所述移动网络设备返回的签约数据更新响应消息，若发送的消息为策略规则更新请求消息则接收所述移动网络设备返回的策略规则更新响应消息；

第二发送单元 340，用于发送嵌入式通用集成电路卡信息集至所述第二应用服务器以使所述第二应用服务器与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集；

可选地，所述第一发送单元 310具体用于发送签约数据更新请求消息至所述移动网络设备中的策略与计费规则功能单元以便所述策略与计费规则功能单元将所述签约数据更新请求消息转发给所述移动网络设备中的归属签约服务器；

所述第二接收单元 330 具体用于当所述归属服务器发送签约数据更新响应消息给所述策略与计费规则功能单元后，接收所述策略与计费规则功能单元后转发的签约数据更新响应消息。

或者，所述第一发送单元 310具体用于发送策略规则更新请求消息至所述移动网络设备中的策略与计费规则功能单元；

所述第二接收单元 330 具体用于接收所述策略与计费规则功能单元返回的策略规则更新响应消息。

请参照图 13，为本发明应用服务器的第二实施例的组成示意图；在本实施例中，所述应用服务器包括：输入装置 410、输出装置 420、存储器 430、处理器 440以及总线，所述输入装置 410、输出装置 420、存储器 430以及处理器 440与所述总线连接，其中：

所述存储器 430用于存储程序，所述处理器 440用于调用所述程序进行以下步骤：

若需要将终端连接的第一应用服务器切换为第二应用服务器，所述处理器

440接收切换请求消息；

所述发送签约数据更新请求消息至移动网络设备；接收所述移动网络设备返回的签约数据更新响应消息时，所述处理器 440具体用于：

所述发送策略规则更新请求消息至移动网络设备；接收所述移动网络设备返回的策略规则更新响应消息时，所述处理器 440 具体用于：

发送策略规则更新请求消息至所述移动网络设备中的策略与计费规则功能单元；

请参照图 14，为本发明实施例通信系统的组成示意图。在本实施例中，所述通信系统包括：如本发明移动网络设备的第一或第二任一实施例所述的移动网络设备；如本发明终端的第一或第二任一实施例所述的终端；

以及，至少一个如本发明应用服务器的第一或第二任一实施例所述的应用服务器，用于管理所述终端的签约信息，与所述终端进行属性参数集相关的数据通信。

本说明书中的各个实施例均釆用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

通过上述实施例的描述，本发明具有以下优点：通过获取携带应用服务器的 IP地址的数据包过滤规则，然后在接收到终端发送的携带目的 IP地址的数据包时，可以对目的 IP地址进行判断和匹配，只有在目的 IP地址和数据包过滤规则中的 IP地址相同时，才会将数据包转发给应用服务器，从而可实现对数据包的过滤，避免了其他与配置文件不相关的业务数据或命令占用 eUICC与应用服务器之间的专用通路，减少了 eUICC与应用服务器之间的专用通路的通信干扰以及 SM-SR的处理压力。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

以上对本发明实施例所提供的一种通信方法、移动网络设备、终端、应用服务器及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种通信方法，其特征在于，包括：

2、如权利要求 1所述的方法，其特征在于，所述移动网络设备获取第一应用服务器的数据包过滤规则，包括：

所述移动网络设备接收终端发送的附着请求；

在所述移动网络设备中的移动管理单元通过位置更新流程从所述移动网络设备中的归属服务器获取签约标识、接入点名称和数据包过滤规则之后，所所述移动管理单元发出的创建会话请求消息；

3、如权利要求 1所述的方法，其特征在于，所述移动网络设备获取第一应用服务器的数据包过滤规则，包括：

4、如权利要求 1所述的方法，其特征在于，所述移动网络设备获取第一应用服务器的数据包过滤规则，包括：

所述移动网络设备接收终端发送的附着请求；

5、如权利要求 2所述的方法，其特征在于，当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述移动网络设备中的归属签约服务器通过策略与计费规则功能单元接收所述第一应用服务器发送的签约数据更新请求消息，并通过所述策略与计费规则功能单元返回签约数据更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述签约数据更新请求消息中携带更新后的数据包过滤规则以及所述第二应用服务器所属专用网络的接入点。

6、如权利要求 4所述的方法，其特征在于，当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述移动网络设备中的策略与计费规则功能单元接收所述第一应用服务器发送的策略规则更新请求消息，并返回策略规则更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述策略规则更新请求消息中携带更新后的数据包过滤规则。

7、如权利要求 1-6任一项所述的方法，其特征在于，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识以及源 IP地址。

8、如权利要求 7所述的方法，其特征在于，所述数据包过滤规则或所述更新后的数据包过滤规则还包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定或数据包的源 IP 地址限定。

9、如权利要求 1-8任一项所述的方法，其特征在于，若所述目的 IP地址与所述数据包过滤规则中所述第一应用服务器的 IP地址不相同，则发送拒绝消息至所述终端并丟弃所述数据包。

10、如权利要求 1-9任一项所述的方法，其特征在于，所述第一应用服务器或所述第二应用服务器为签约管理单元-安全路由 SM-SR或签约管理单元 SM。

11、一种通信方法，其特征在于，包括：

终端发送附着请求至移动网络设备，完成附着；

12、如权利要求 10所述的方法，其特征在于，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识和源 IP地址；

13、一种通信方法，其特征在于，包括：

若需要将终端连接的第一应用服务器切换为第二应用服务器，所述第一应用服务器接收切换请求消息；

14、如权利要求 13所述的通信方法，其特征在于，所述发送签约数据更新请求消息至移动网络设备；接收所述移动网络设备返回的签约数据更新响应消息；包括：

所述第一应用服务器发送签约数据更新请求消息至所述移动网络设备中的策略与计费规则功能单元以便所述策略与计费规则功能单元将所述签约数据更新请求消息转发给所述移动网络设备中的归属签约服务器；

15、如权利要求 14所述的通信方法，其特征在于，所述发送策略规则更新请求消息至移动网络设备；接收所述移动网络设备返回的策略规则更新响应消息，包括：所述第一应用服务器发送策略规则更新请求消息至所述移动网络设备中的策略与计费规则功能单元；

16、一种移动网络设备，其特征在于，包括：

获取单元，用于获取第一应用服务器相关的数据包过滤规则，所述数据包过滤规则中携带所述第一应用服务器的 IP地址，所述获取单元为归属签约服务器或者为策略与计费规则功能单元或者为分组数据网关；

17、如权利要求 16所述的移动网络设备，其特征在于，所述移动网络设备还包括移动管理单元和服务网关；

18、如权利要求 16所述的移动网络设备，其特征在于，所述分数数据网关具体用于：

接收终端发送的域名解析请求消息，所述域名解析请求消息中携带所述第一应用服务器的域名；

19、如权利要求 16所述的移动网络设备，其特征在于，所述移动网络设备还包括移动管理单元、服务网关和策略与计费规则功能单元；

20、如权利要求 16所述的移动网络设备，其特征在于，当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述归属签约服务器还用于通过策略与计费规则功能单元接收所述第一应用服务器发送的签约数据更新请求消息，并通过所述策略与计费规则功能单元返回签约数据更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述签约数据更新请求消息中携带更新后的数据包过滤规则以及所述第二应用服务器所属专用网络的接入点。

21、如权利要求 18所述的移动网络设备，其特征在于，当所述第一应用服务器接收到切换请求消息，需要将终端连接的第一应用服务器切换为第二应用服务器时，所述策略与计费规则功能单元还用于接收所述第一应用服务器发送的策略规则更新请求消息，并返回策略规则更新响应消息至所述第一应用服务器，以使所述第二应用服务器在接收到所述第一应用服务器发送的嵌入式通用集成电路卡信息集后，与所述嵌入式通用集成电路卡进行密钥生成和连接建立并指示所述嵌入式通用集成电路卡删除与所述第一应用服务器的密钥集，其中，所述策略规则更新请求消息中携带更新后的数据包过滤规则。

22、如权利要求 16-20任一项所述的移动网络设备，其特征在于，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识以及源 IP地址。

23、如权利要 21所述的移动网络设备，其特征在于，所述数据包过滤规则还包括数据包的容量限定、嵌入式通用集成电路卡的标识限定、嵌入式通用集成电路卡上属性参数集的标识限定或数据包的源 IP地址限定。

24、如权利要求 16-22任一项所述的移动网络设备，其特征在于，若所述目的 IP地址与所述数据包过滤规则中所述第一应用服务器的 IP地址不相同，则所述分组数据网关还用于发送拒绝消息至所述终端并丟弃所述数据包。

25、如权利要求 16-23任一项所述的移动网络设备，其特征在于，所述第一应用服务器或所述第二应用服务器为签约管理单元-安全路由 SM-SR或签约管理单元 SM。

26、一种终端，其特征在于，包括：

27、如权利要求 26所述的终端，其特征在于，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识和源 IP地址；

28、一种终端，其特征在于，包括：

29、如权利要求 28所述的终端，其特征在于，所述数据包中还携带嵌入式通用集成电路卡的标识、所述嵌入式通用集成电路卡上属性参数集的标识和源 IP地址；

30、一种应用服务器，其特征在于，包括：

31、如权利要求 30所述的应用服务器，其特征在于，所述第一发送单元具体用于发送签约数据更新请求消息至所述移动网络设备中的策略与计费规则功能单元以便所述策略与计费规则功能单元将所述签约数据更新请求消息转发给所述移动网络设备中的归属签约服务器；

32、如权利要求 30所述的应用服务器，其特征在于，所述第一发送单元具体用于发送策略规则更新请求消息至所述移动网络设备中的策略与计费规则功能单元；

所述第二接收单元具体用于接收所述策略与计费规则功能单元返回的策略规则更新响应消息。

33、一种应用服务器，其特征在于，包括：

34、如权利要求 32所述的应用服务器，其特征在于，所述发送签约数据更新请求消息至移动网络设备；接收所述移动网络设备返回的签约数据更新响应消息时，所述处理器具体用于：发送签约数据更新请求消息至所述移动网络设备中的策略与计费规则功能单元以便所述策略与计费规则功能单元将所述签约数据更新请求消息转发给所述移动网络设备中的归属签约服务器；

35、如权利要求 32所述的应用服务器，其特征在于，所述发送策略规则更新请求消息至移动网络设备；接收所述移动网络设备返回的策略规则更新响应消息时，所述处理器具体用于：

36、一种通信系统，其特征在于，包括：

如权利要求 16-25任一项所述的移动网络设备；

如权利要求 26或 27所述的终端；

以及，至少一个如权利要求 30-32任一项所述的应用服务器，用于管理所述终端的签约信息，与所述终端进行属性参数集相关的数据通信。