WO2018137255A1

WO2018137255A1 - 数据的保护方法、装置和系统

Info

Publication number: WO2018137255A1
Application number: PCT/CN2017/072782
Authority: WO
Inventors: 潘凯; 李�赫; 陈璟; 胡力
Original assignee: 华为技术有限公司
Priority date: 2017-01-26
Filing date: 2017-01-26
Publication date: 2018-08-02
Also published as: EP3567802A1; CN110024331B; CN110024331A; EP3567802A4; US11140545B2; US20190349406A1

Abstract

本发明公开了一种通信系统中数据的保护方法、装置和系统。该方法包括：核心网节点获取终端设备的业务相关联的信息；所述核心网节点根据所述业务相关联的信息，确定对所述业务的数据执行安全保护的网络节点。该方法能够实现针对不同的业务能够灵活选择不同的网络节点来执行安全保护，满足运营商或业务的安全需求，提高系统的安全性。

Description

数据的保护方法、装置和系统

技术领域

本发明涉及通信系统，尤其涉及一种数据的保护方法、装置和系统。

背景技术

在长期演进(Long Term Evolution，简称LTE)系统中，为了保证数据传输的安全性，基站(evolved node-B，eNB)对终端设备的业务的下行数据执行安全保护，例如，加密保护，完整性保护，并将执行安全保护后的下行数据通过基站与终端设备之间的空口发送给终端设备；相应地，终端设备对业务的上行数据执行安全保护，并将执行安全保护后的上行数据通过空口发送给基站。经安全保护的数据在空口传输的过程中处于安全保护状态，能够有效防止攻击者劫取。

但随着3GPP标准的演进，通信系统的网络结构以及安全需求在不断变化，因此，数据的安全保护有待进一步优化。

发明内容

本发明实施例提供一种通信系统中数据的保护方法、装置和系统，能够实现灵活选择网络节点执行安全保护，满足运营商或业务的安全需求，提高网络的安全性。

第一方面，提供了一种通信系统中数据的保护方法，包括：核心网节点获取终端设备的业务相关联的信息；所述核心网节点根据所述业务相关联的信息，确定对所述业务的数据执行安全保护的网络节点。该方法实现了针对不同的业务能够灵活选择不同的网络节点来执行安全保护，进而可以满足运营商或业务的安全需求。

结合第一方面，在第一方面的第一种实施方式中，所述核心网节点根据所述业务相关联的信息，确定对所述业务的数据执行安全保护的网络节点，包括：所述核心网节点根据所述核心网节点所连接的用户面功能UPF节点的安全能力，以及所述业务相关联的信息，确定所述网络节点；或者，所述核心网节点根据所述业务相关联的信息与执行安全保护的网络节点之间的对应关系，确定所述网络节点。

结合第一方面或第一方面的第一种实现方式，在第一方面的第二种实施方式中，所述核心网节点获取终端设备的业务相关联的信息，包括：所述核心网节点从所述终端设备接收请求消息，所述请求消息用于请求为所述业务建立会话，所述请求消息包含所述业务相关联的信息；或者，所述核心网节点根据所述核心网节点相关联的切片信息，获取所述业务相关联的信息。

结合第一方面或第一方面的任一种实现，在第一方面的第三种实施方式中，所述网络节点为UPF节点，所述方法还包括：所述核心网节点发送安全相关的参数给所述UPF节点。

结合第一方面的第三种实现，在第一方面的第四种实施方式中，所述安全相关的参数包括：用户面根密钥K_up，所述终端设备的安全能力和所述UPF节点的安全策略。

结合第一方面的第三种实现或第一方面的第四种实现，在第一方面的第五种实施方式中，所述核心网节点向所述UPF节点指示所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种；或者，所述核心网节点向所述UPF节点指示所述网络节点是UPF节点。

结合第一方面或第一方面的任一种实现，在第一方面的第六种实施方式中，所述终端设备的安全能力仅包括所述终端设备的加密能力；或者，所述终端设备的安全能力仅包括所述终端设备的完整性保护能力；或者，所述终端设备的安全能力包括所述终端设备的加密能力和所述终端设备的完整性保护能力。

结合第一方面或第一方面的任一种实现，在第一方面的第七种实施方式中，所述核心网节点为会话管理功能SMF节点，所述SMF节点从所述UPF节点接收UP安全算法。

结合第一方面或第一方面的第一种实现或第一方面的第二种实现的任一种实现，在第一方面的第八种实施方式中，所述网络节点为UPF节点，且所述核心网节点为SMF节点，所述SMF节点根据所述终端设备的安全能力和所述UPF节点的安全能力，确定UP安全算法；所述SMF节点根据所述UP安全算法，K_up和所述UPF的安全策略，获得安全密钥；所述SMF节点发送所述UP安全算法，所述安全密钥和所述业务关联的标识给所述UPF节点。

结合第一方面的第七种实现或第一方面的第八种实现，在第一方面的第九种实施方式中，所述SMF节点发送所述UP安全算法给所述终端设备。

结合第一方面的第九种实现，在第一方面的第十种实施方式中，所述SMF节点向所述UPF节点指示对所述业务的数据执行安全保护。

结合第一方面的第九种或第一方面的第十种实现，在第一方面的第十一种实施方式中，所述SMF节点向所述终端设备指示所述业务的数据的UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。

结合第一方面或第一方面的任一种实现，在第一方面的第十二种实施方式中，所述核心网节点发送接入网节点的安全策略和所述业务关联的标识给所述接入网节点。

结合第一方面的第十二种实现，在第一方面的第十三种实施方式中，所述核心网节点向所述接入网节点指示所述网络节点不是接入网节点；或者，所述核心网节点向所述接入网节点指示所述网络节点是UPF节点；或者，所述核心网节点向所述接入网节点指示所述业务的数据的UP安全保护方式。

结合第一方面或第一方面的第一种实现或第一方面的第二种实现的任一种实现，在第一方面的第十四种实施方式中，所述网络节点为接入网节点，所述核心网节点发送所述接入网节点的安全策略和所述业务关联的标识给所述接入网节点；所述核心网节点向所述接入网节点指示所述网络节点是接入网节点，或者，所述核心网节点向所述接入网节点指示所述网络节点不是UPF节点。

结合第一方面的第十四种实现，在第一方面的第十五种实施方式中，所述核心网节点向所述终端设备的服务UPF节点指示对所述业务的数据不执行安全保护，或者，所述核心网节点向所述终端设备的服务UPF节点指示所述网络节点不是UPF节点；或者，所述核心网节点向所述终端设备的服务UPF节点指示所述网络节点是接入网节点。

第二方面，提供了一种通信系统中数据的保护方法，包括：UFP节点从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息；所述UFP节点根据所述网络节点的信息或所述安全保护方式信息，确定是否对所述业务的数据执行安全保护。该方法使得UPF节点能够灵活地根据网络节点的指示对终端设备的业务执行安全保护，以满足运营商或业务的安全需求

结合第二方面，在第二方面的第一种实施方式中，所述网络节点的信息包括：对所述业务的数据执行安全保护的网络节点是接入网节点；或者，对所述业务的数据执行安全保护的网络节点不是接入网节点；或者，对所述业务的数据执行安全保护的网络节点不是UPF节点；或者，对所述业务的数据执行安全保护的网络节点是UPF节点。

结合第二方面，在第二方面的第二种实施方式中，所述安全保护方式信息包括：所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。

结合第二方面或第二方面的任一种实现，在第二方面的第三种实施方式中，当确定对所述终端设备的业务的数据执行安全保护时，所述方法还包括：所述UPF节点获取所述终端设备的安全能力，用户面根密钥K_up和所述UPF节点的安全策略；所述UPF节点根据所述终端设备的安全能力和所述UPF节点的安全能力，确定UP安全算法；所述UPF节点根据所述UP安全算法，所述K_up和所述UPF节点的安全策略，获得安全密钥。

结合第二方面的第三种实现，在第二方面的第四种实施方式中，所述UPF节点根据所述终端设备的安全能力和所述UPF节点的安全能力，确定用户面UP安全算法，包括：当所述终端设备的安全能力仅包含所述终端设备的加密能力时，所述UPF节点根据所述终端设备的加密能力和所述UPF节点的加密能力,确定加密算法；或者，当所述终端设备的安全能力仅包含所述终端设备的完整性保护能力时，所述UPF节点根据所述终端设备的完整性保护能力和所述UPF节点的完整性保护能力,确定完整性保护算法；或者，当所述终端设备的安全能力包含所述终端设备的加密能力和所述终端设备的完整性保护能力时，所述UPF节点根据所述终端设备的安全能力和所述UPF节点的安全能力,确定加密算法和完整性保护算法。

结合第二方面的第三种实现，在第二方面的第五种实施方式中，所述安全保护方式信息包括所述UP安全保护方式，所述UPF节点根据所述终端设备的安全能力和所述UPF节点的安全能力，确定UP安全算法，包括：所述UFP节点根据所述UP安全保护方式，所述终端设备的安全能力和所述UPF节点的安全能力，确定所述UP安全算法。

结合第二方面的第五种实现，在第二方面的第六种实施方式中，所述UFP节点根据所述UP安全保护方式，所述终端设备的安全能力和所述UPF节点的安全能力，确定所述UP安全算法，包括：当所述UP安全保护方式为加密保护时，所述UPF节点根据所述终端设备的加密能力和所述UPF节点的加密能力，确定加密算法；或者，当所述UP安全保护方式为完整性保护时，所述UPF节点根据所述终端设备的完整性保护能力和所述UPF节点的完整性保护能力，确定完整性保护算法；或者，当所述UP安全保护方式为加密保护和完整性保护时，所述UPF节点根据所述终端设备的安全能力和所述UPF节点的安全能力，确定加密算法和完整性保护算法。

结合第二方面或第二方面的任一种实现，在第二方面的第七种实施方式中，所述UPF节点将所述UP安全算法发送给所述终端设备。

结合第二方面或第二方面的任一种实现，在第二方面的第八种实施方式中，所述核心网节点为会话管理功能SMF节点，所述方法还包括：所述UPF节点根据所述安全密钥，所述UP安全算法和所述业务关联的标识，对所述业务的数据执行安全保护。

第三方面，提供了一种通信系统中数据的保护方法，其特征在于，所述方法包括：接入网节点获取终端设备的业务相关联的信息；所述接入网节点根据所述业务相关联的信息，确定是否对所述业务的数据执行安全保护。该方法实现了接入网节点独立地确定自身是否执行安全保护，从而实现了接入网节点的安全保护与UPF节点的安全保护之间的解耦，提高了网络的安全性能。

结合第三方面，在第三方面的第一种实施方式中，所述接入网节点根据所述业务相关联的信息，确定是否对所述业务的数据的执行安全保护，包括：所述接入网节点根据所述业务相关联的信息和核心网节点所指示的信息，确定是否对所述业务的数据的执行安全保护；

其中，所述指示的信息包括：对所述业务的数据执行安全保护的网络节点是接入网节点；或者，对所述业务的数据执行安全保护的网络节点不是接入网节点；或者，对所述业务的数据执行安全保护的网络节点不是用户面功能UPF节点；或者，对所述业务的数据执行安全保护的网络节点是UPF节点；或者，所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。

结合第三方面或第三方面的第一种实现，在第三方面的第二种实施方式中，当确定对所述业务的数据执行安全保护时，所述方法还包括：所述接入网节点向所述终端设备指示所述接入网节点对所述业务的数据执行安全保护；或者，所述接入网节点向所述终端设备指示所述业务的数据的接入层AS安全保护方式，所述AS安全保护方式包括加密保护和完整性保护中的至少一种。

结合第三方面的第二种实施方式，在第三方面的第三种实施方式中，所述接入网节点获取所述终端设备的安全能力，所述接入网节点的安全策略和所述业务关联的标识；所述接入网节点根据所述终端设备的安全能力和所述接入网节点的安全能力，确定AS安全算法；所述接入网节点根据所述接入网节点的安全策略，所述AS安全算法和接入网密钥K_an，获得安全密钥；所述接入网节点发送所述AS安全算法和所述业务关联的标识给所述终端设备。

结合第三方面的第三种实施方式，在第三方面的第四种实施方式中，所述接入网节点根据所述AS安全算法，所述安全密钥和所述业务关联的标识，对所述业务的数据执行安全保护。

结合第三方面或第三方面的第一种实现，在第三方面的第五种实施方式中，当确定对所述业务的数据不执行安全保护时，所述方法还包括：所述接入网节点向所述终端设备指示所述接入网节点对所述业务的数据不执行安全保护。

第四方面，提供了一种通信系统中数据的保护方法，其特征在于，所述方法包括：终端设备从接入网节点接收接入层AS安全算法和所述终端设备的业务关联的标识；所述终端设备根据所述AS安全算法，接入网密钥K_an和所述接入网节点指示的所述业务的数据的AS安全保护方式，获得第一安全密钥，所述AS安全保护方式包括加密保护和完整性保护中的至少一种；所述终端设备根据所述第一安全密钥，所述AS安全算法和所述业务关联的标识，对所述业务的数据执行安全保护。该方法能够保证实现UPF节点的安全保护与接入网节点的安全保护之间成功解耦，提升安全性能。

第五方面，提供了一种通信系统中数据的保护方法，其特征在于，所述方法包括：终端设备从接入网节点接收接入层AS安全算法和所述终端设备的业务关联的标识；当所述接入网节点指示所述接入网节点对所述业务的数据执行安全保护时，所述终端设备根据所述AS安全算法和接入网密钥K_an，获得第一安全密钥；所述终端设备根据所述第一安全密钥，所述AS安全算法和所述业务关联的标识，对所述业务的数据执行安全保护。该方法能够实现 UPF节点的安全保护与接入网节点的安全保护之间成功解耦，提升安全性能。

结合第四方面或者第五方面，在一种可能的实现中，所述终端设备从核心网节点接收用户面UP安全算法；所述终端设备根据所述UP安全算法和用户面根密钥K_up，获得第二安全密钥。

结合第四方面或者第五方面的任一种实现，在另一种可能的实现中，所述终端设备根据所述UP安全算法和K_up，获得第二安全密钥，包括：所述终端设备根据所述UP安全算法，所述K_up和所述核心网节点指示的所述业务的数据的UP安全保护方式，获得所述第二安全密钥；

其中，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。

第六方面，提供了一种核心网节点，包括用于执行以上第一方面的任一方法各个步骤的单元或者手段(means)。

第七方面，提供了一种核心网节点，包括处理器和存储器，存储器用于存储程序，处理器调用存储器存储的程序，以执行以上第一方面的任一方法。

第八方面，提供了一种核心网节点，包括用于执行以上第一方面的任一方法的至少一个处理元件或芯片。

第九方面，提供了一种程序，该程序在被处理器执行时用于执行以上第一方面的任一方法。

第十方面，提供了一种计算机可读存储介质，包括第九方面的程序。

第十一方面，提供了一种用户面功能UFP节点，包括用于执行以上第二方面的任一方法各个步骤的单元或者手段(means)。

第十二方面，提供了一种UFP节点，包括处理器和存储器，存储器用于存储程序，处理器调用存储器存储的程序，以执行以上第二方面的任一方法。

第十三方面，提供了一种UFP节点，包括用于执行以上第二方面的任一方法的至少一个处理元件或芯片。

第十四方面，提供了一种程序，该程序在被处理器执行时用于执行以上第二方面的任一方法。

第十五方面，提供了一种计算机可读存储介质，包括第十四方面的程序。

第十六方面，提供了一种接入网节点，包括用于执行以上第三方面的任一方法各个步骤的单元或者手段(means)。

第十七方面，提供了一种接入网节点，包括处理器和存储器，存储器用于存储程序，处理器调用存储器存储的程序，以执行以上第三方面的任一方法。

第十八方面，提供了一种接入网节点，包括用于执行以上第三方面的任一方法的至少一个处理元件或芯片。

第十九方面，提供了一种程序，该程序在被处理器执行时用于执行以上第三方面的任一方法。

第二十方面，提供了一种计算机可读存储介质，包括第十九方面的程序。

第二十一方面，提供了一种终端设备，包括用于执行以上第四方面或者第五方面的任一方法各个步骤的单元或者手段(means)。

第二十二方面，提供了一种终端设备，包括处理器和存储器，存储器用于存储程序，处理器调用存储器存储的程序，以执行以上第四方面或者第五方面的任一方法。

第二十三方面，提供了一种终端设备，包括用于执行以上第四方面或者第五方面的任一方法的至少一个处理元件或芯片。

第二十四方面，提供了一种程序，该程序在被处理器执行时用于执行以上第四方面或者第五方面的任一方法。

第二十五方面，提供了一种计算机可读存储介质，包括第二十四方面的程序。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图进行简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为一种网络结构图；

图2为本发明实施例提供的一种数据的保护方法的流程图；

图3为本发明实施例提供的又一种数据的保护方法的流程图；

图4为本发明实施例提供的另一种数据的保护方法的流程图；

图4a为本发明实施例提供的另一种数据的保护方法的流程图；

图4b为本发明实施例提供的另一种数据的保护方法的流程图；

图5为本发明实施例提供的再一种数据的保护方法的流程图；

图5a为本发明实施例提供的再一种数据的保护方法的流程图；

图5b为本发明实施例提供的再一种数据的保护方法的流程图；

图6为本发明实施例提供的一种数据的保护方法的示意图；

图7为本发明实施例提供的另一种数据的保护方法的示意图；

图8为本发明实施例提供的再一种数据的保护方法的示意图；

图9为本发明实施例提供的再一种数据的保护方法的示意图；

图10为本发明实施例提供的一种核心网节点的结构示意图；

图11为本发明实施例提供的一种UPF节点的结构示意图；

图12为本发明实施例提供的一种接入网节点的结构示意图；

图13为本发明实施例提供的一种终端设备的结构示意图；

图14为本发明实施例提供的一种核心网节点的硬件结构图；

图15为本发明实施例提供的一种UPF节点的硬件结构图；

图16为本发明实施例提供的一种接入网节点的硬件结构图；

图17为本发明实施例提供的一种终端设备的硬件结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。图1提供了一种网络结构，该网络结构可以应用于下一代通信系统。下面对该网络结构中的各个组成部分进行简单介绍如下：

终端设备：可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备，以及各种形式的终端，移动台(mobile station，MS)，终端(terminal)，用户设备(user equipment，UE)，软终端等等，例如水表、电表、传感器等。

接入网节点：类似于传统网络里面的基站，为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等使用不同质量的传输隧道。接入网节点能够管理无线资源，为终端设备提供接入服务，进而完成控制信号和用户数据在终端设备和核心网之间的转发。

接入和移动管理功能(access and mobility management function，AMF)节点：负责移动性管理和接入管理等，可以用于实现移动性管理实体(mobility management entity，MME)功能中除会话管理之外的其它功能。

会话管理功能(session management function，SMF)节点：为终端设备建立会话，分配会话标识(ID)，以及管理或终止会话。

用户面功能(User plane function，UPF)节点：提供会话和承载管理，IP地址分配等功能。

策略控制功能(Policy Control Function，PCF)节点：为网络实体，例如，接入网节点或UPF节点，分配安全策略。

数据网络(data network，DN)：提供外部数据网络服务。

应用功能(application function，AF)实体：提供应用层服务。

如图1所示，上述各个组成部分通过下一代(next generation，NG)路径通信，例如，接入网节点与UPF节点通过NG3路径通信。此外，SMF节点和AMF节点可以集成在一个实体设备中，也可以分布在不同的实体设备上，本申请对此不作具体限定。

如图2所示，本发明实施例提供的一种数据的保护方法，该方法由核心网节点来执行，该核心网节点可以为SMF节点或AMF节点，该方法具体如下所述。

201、核心网节点获取终端设备的业务相关联的信息。

其中，终端设备的业务可以是物联网(internet of things，IOT)业务，语音业务或车联网业务，不予限制。

进一步的，业务相关联的信息可以包括业务类型信息，切片类型(slice type)信息，接入点名称(access point name，APN)信息，DN名称信息或其他可以表征终端设备业务的信息。

例如，核心网节点可以通过如下方式获取终端设备的业务相关联的信息：

方式一、核心网节点接收终端设备发送的请求消息，所述请求消息用于请求为所述业务建立会话，所述请求消息包含所述业务相关联的信息。其中，请求消息可以是会话建立请求消息。

方式二、核心网节点根据所述核心网节点的切片信息，获取所述业务相关联的信息。

本发明实施例中，切片可以是基于云计算、虚拟化、软件定义网络、分布式云架构等几大技术群，通过上层统一的编排让网络具备管理、协同的能力，从而实现基于一个通用的物理网络基础架构平台，能够同时支持多个逻辑网络的功能。对于每个切片而言其具有如下特点，例如，提供相同的业务类型，或，共同一个租户(tenant)使用；核心网节点的切片信息可以包括切片类型，切片类型可以是核心网节点所属切片提供的业务类型；其中，核心网节点的切片信息也可以包括tenant信息。

202、核心网节点根据业务相关联的信息，确定对所述业务的数据执行安全保护的网络节点。

其中，上述网络节点可以是特定的网络节点，例如，终端设备的服务接入网节点，或终端设备的服务UPF节点。上述网络节点也可以是一种类型的网络节点，例如，当存在多个UPF节点时，上述网络节点为UPF节点不是指某一个UPF节点，而是指安全保护是在UPF节点这个位置来执行。

例如，步骤202可以采用如下方式实现：

方式一、核心网节点根据该核心网节点所连接的UPF节点的安全能力，以及上述业务相关联的信息，确定上述网络节点。

其中，UPF节点的安全能力可以包括加密能力和完整性保护能力中的至少一种。

进一步地，加密能力可以包括UPF节点支持的加密算法，以及加密算法的优先级等。完整性保护能力包括UPF节点支持的完整性保护算法，以及完整性保护算法的优先级等。

例如，核心网节点可以根据所述业务相关联的信息与安全能力需求之间的对应关系，获得与上述业务相关联的信息对应的安全能力需求，该安全能力需求可以是安全能力的优先级。在核心网所连接的UPF节点中选择一个安全能力的优先级满足该安全能力需求的UPF节点作为上述网络节点，例如，选择一个安全能力的优先级高于或等于该安全能力需求的UPF节点作为上述网络节点。

一个示例中，假设上述业务相关联的信息对应的安全能力需求为128比特(bit)的加密算法，且加密算法的优先级为5级，在核心网节点所连接的UPF中选择一个支持128bit加密算法，且该加密算法的优先级为5级的UPF节点。显然，也可以选择安全能力的优先级高于上述安全能力需求的UPF节点，此处不予限制。

在本发明实施例中，当核心网节点所连接的UPF节点中存在至少两个UPF节点满足上述安全能力需求时，可以根据该至少两个UPF节点的状态参数和安全能力的优先级中的至少一种来选择一个UPF节点作为上述网络节点，也可以随机选择一个UPF节点作为上述网络节点。其中，上述状态参数可以包括负荷，运算能力等。

例如，在至少两个UPF节点中选择一个安全能力的优先级最高的UPF节点作为上述网络节点，或者，在至少两个UPF节点中随机选择一个UFP节点作为上述网络节点。

方式二、核心网节点根据所述业务相关联的信息与执行安全保护的节点之间的对应关系，确定上述网络节点。

一个示例中，假设上述业务相关联的信息可以为业务类型信息或切片类型信息，例如，语音业务，且上述对应关系为语音业务对应UPF节点，则上述网络节点为UPF节点。

其中，上述方式二中的对应关系可以从第三方应用或第三方服务器接收，也可以是运营商通过通信接口配置到核心网节点中，不予限制。

在本发明实施例中，当核心网节点所连接的UPF节点存在至少两个时，可以根据该至少两个UPF节点的状态参数和安全能力的优先级中的至少一种来选择一个UPF节点作为上述网络节点，也可以随机选择一个UPF节点作为上述网络节点，详细描述可以参见上述方式一，不再赘述。

此外，可以采用上述方式一和方式二可以结合使用，以确定上述网络节点，不再赘述。

采用上述实施例提供的方法，核心网节点获取终端设备的业务相关联的信息，并根据业务相关联的信息确定对所述业务的数据执行安全保护的网络节点，实现了针对不同的业务能够灵活选择不同的网络节点来执行安全保护，进而可以满足运营商或业务的安全需求。例如，对于银行业务的数据可以在UPF节点执行安全保护，大大提高了安全性。

可选地，在上述实施例的第一种实施场景下，上述网络节点为UPF节点，上述方法还包括步骤203和步骤204中的至少一个。

203、核心网节点发送安全相关的参数给UPF节点。

其中，安全相关的参数可以包括以下至少一种：用户面根密钥K_up，终端设备的安全能力和UPF节点的安全策略。UPF节点的安全策略可以用于指示UPF节点使用的安全密钥的长度，例如，128bit或256bit。

在本发明实施例中，上述UPF节点的安全策略可以与上述业务相关联的信息对应，即不同的业务相关联的信息可以对应不同的UPF节点的安全策略，例如，上述业务为车联网业务时，UPF节点可以采用128bit的安全密钥。此外，UPF节点的安全策略可以存储在核心网节点上，也可以从PCF节点获取，此处不予限制。

其中，终端设备的安全能力可以仅包括加密能力；或者，终端设备的安全能力仅包括完整性保护能力；或者，终端设备的安全能力包括加密能力和完整性保护能力。

204、核心网节点向上述UPF节点指示上述业务的数据的UP安全保护方式；或者，核心网节点向上述UPF节点指示上述网络节点是UPF节点。

其中，上述UP安全保护方式可以包括加密保护和完整性保护中的至少一种。

一个示例中，上述UP安全保护方式可以由核心网节点根据上述业务相关的信息与安全保护方式之间的对应关系确定，例如，语音业务对应加密保护，车联网业务对应完整性保护。

此外，UP安全保护方式可以在步骤202中确定，即上述网络节点的确定也可以根据网络节点支持的安全保护方式。

例如，UP安全保护方式可以采用2个bit位来表示，例如，01表示加密保护，10表示完整性保护，11表示加密保护和完整性保护。

其中，核心网节点向上述UPF节点指示上述网络节点是UPF节点，即核心网节点向上述UPF节点指示开启或启动或使能或激活UPF节点的安全保护，该安全保护是针对上述业务的数据的。

一个示例中，核心网节点向上述UPF节点指示上述网络节点是UPF节点可以采用发送指示信息的方式，例如，采用一个bit位，当该bit位的值为1时，表明对上述业务的数据执行安全保护的网络节点是UPF节点；当该bit位的值为0时，表明上述网络节点不是UPF节点，或者表明上述网络节点是接入网节点。

在本发明实施例中，当上述方法包括步骤203和204时，两个步骤可以分别实现，也通过一个动作实现，例如，步骤204采用指示信息的方式，即指示信息用于指示UP安全保护方式或指示上述网络节点是UPF节点，此时，可以将步骤203中的安全相关的参数和该指示信息携带在同一个消息中发送给上述UPF节点，该消息可以为会话建立消息。

可选地，当核心网节点为SMF节点时，上述方法还包括：

205、SMF节点从上述UPF节点接收UP安全算法。

其中，UP安全算法可以携带在会话建立响应消息中。

进一步地，上述方法还可以包括：

SMF节点发送UP安全算法给终端设备。

其中，UP安全算法可以携带在安全模式命令(security mode command，SMC)中，也可以携带在非接入层(non-access stratum，NAS)消息中。

可选地，在上述实施例的第二种实施场景下，上述网络节点为UPF节点，且核心网节点为SMF节点，上述方法还包括：

203a、SMF节点根据终端设备的安全能力和上述UPF节点的安全能力，确定UP安全算法。

其中，UP安全算法可以包括加密算法和完整性保护算法中的至少一种，用于UPF节点对上述业务的数据执行安全保护。

例如,SMF节点可以在上述UPF节点支持的安全算法中选择终端设备支持的安全算法，作为UP安全算法。再例如，当上述UPF节点支持的安全算中存在至少两个终端设备支持的安全算法时，可以选择优先级最高的一个安全算法作为UP安全算法。

204a、SMF节点根据上述UP安全算法，K_up和上述UPF的安全策略，获得安全密钥。

其中，上述安全密钥用于上述UPF节点对上述业务的数据进行安全保护，可以包括加密密钥和完整性保护密钥中的至少一种，例如，完整性密钥K_upfint和/或加密密钥K_upfenc。

例如，SMF节点可以根据UP安全算法和K_up推导出256bit的安全密钥；SMF节点根据UPF的安全策略对推导出的安全密钥进行截短处理。

一个示例中，假设UPF节点的安全策略指示UPF节点采用128bit的安全密钥，SMF节点将推导出的安全密钥中前128bit作为上述步骤204’中的安全密钥，即该UFP节点的安全密钥。

205a、SMF节点发送UP安全算法，上述安全密钥和上述业务关联的标识给UPF节点。

其中，上述业务关联的标识可以指示用于在终端设备和UPF节点之间传输上述业务的数据的路径，例如，会话的标识，或者，承载的标识。

可选地，上述方法还可以包括：

SMF节点发送UP安全算法给终端设备。

进一步地，上述方法还可以包括：

SMF节点向UPF节点指示对业务的数据执行安全保护。

进一步地，上述方法还可以包括：

SMF节点向终端设备指示上述业务的数据的UP安全保护方式。

其中，UP安全保护方式可以参见步骤204中的相关描述，不再赘述。

可选地，结合上述第一种实施场景或上述第二种实施场景，上述方法还包括步骤206和207中至少一个步骤。

206、核心网节点发送上述接入网节点的安全策略和上述业务关联的标识给上述接入网节点。

其中，上述接入网节点的安全策略可以用于指示上述接入网节点的安全密钥长度，该接入网节点的安全策略也可以存储在核心网节点上，或从PCF节点获取。

此外，该接入网节点的安全策略与UPF节点的安全策略类似，可以与上述业务相关联的信息存在对应关系。

207、核心网节点向上述接入网节点指示上述网络节点不是接入网节点；或者，核心网节点向接入网节点指示上述网络节点是UPF节点；或者，核心网节点向上述接入网节点指示上述业务的数据的UP安全保护方式。

其中，核心网节点向上述接入网节点指示上述网络节点不是接入网节点，或，指示上述网络节点是UPF节点，均可以采用发送指示信息的方式。例如，采用一个bit位，当该bit位的值为1时，表明对上述网络节点是UPF节点，或表明上述网络节点不是接入网节点；或者，当该bit位的值为0时，表明上述网络节点不是UPF节点，或者表明上述网络节点是接入网节点。

此外，步骤207中核心网节点向上述接入网节点指示上述业务的数据的UP安全保护方式可以采用步骤204中的实现方式，例如，UP安全保护方式采用2个bit位来表示，例如，01表示加密保护，10表示完整性保护，11表示加密保护和完整性保护，核心网节点将该2个bit位发送给接入网节点，以指示上述业务的数据的UP安全保护方式。

在本发明实施例中，当上述方法包括步骤206和207时，两个步骤可以分别实现，也通过一个动作实现。例如，步骤207采用指示信息的方式，即指示信息用于指示UP安全保护方式或指示上述网络节点是UPF节点或指示上述网络节点不是接入网节点，此时，可以将步骤206中的上述接入网节点的安全策略和上述业务关联的标识，以及该指示信息携带在同一个消息中发送给上述接入网节点。

在上述实施例的第三种实施场景下，上述网络节点为接入网节点，上述方法还包括步骤204b和205b中的至少一个。

204b、核心网节点发送上述接入网节点的安全策略和上述业务关联的标识给上述接入网节点。

205b、核心网节点向上述接入网节点指示上述网络节点是上述接入网节点，或者，上述接入网节点向上述接入网节点指示上述网络节点不是UPF节点。

其中，步骤205b可以采用步骤204提供的方式来实现，例如，UP安全保护方式可以采用2个bit位来表示，不再赘述。

在本发明实施例中，当上述方法包括步骤204b和205b时，两个步骤可以分别实现，也通过一个动作实现。例如，步骤205b采用发送指示信息的方式，该指示信息用于指示上述网络节点是上述接入网节点或者不是UPF节点，此时，可以将步骤204b中的接入网节点的安全策略和上述业务关联的标识，以及步骤205b中的指示信息携带在同一个消息中发送给接入网节点。

进一步地，上述方法还可以包括：

核心网节点向终端设备的服务UPF节点指示对上述业务的数据不执行安全保护；或者，

核心网节点向终端设备的服务UPF节点指示上述网络节点不是UPF节点；或者，

核心网节点向终端设备的服务UPF节点指示上述网络节点是接入网节点。

其中，服务UPF节点指的是为上述业务提供服务的UPF节点。

如图3所示，本发明实施例提供的又一种数据的保护方法，该方法由UPF节点执行，具体如下所述。

301、UFP节点从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息。

其中，网络节点的信息可以包括：

对上述业务的数据执行安全保护的网络节点是接入网节点；或者，

对上述业务的数据执行安全保护的网络节点不是接入网节点；或者，

对上述业务的数据执行安全保护的网络节点不是UPF节点；或者，

对上述业务的数据执行安全保护的网络节点是UPF节点。

其中，安全保护方式信息可以包括：上述业务的数据的UP安全保护方式，该UP安全保护方式包括加密保护和完整性保护中的至少一种，具体可以采用图2所示实施例中的步骤207中的相关描述，不再赘述。

其中，网络节点的信息以及UP安全保护方式可以采用步骤204提供的方式来实现，例如，UP安全保护方式可以采用2个bit位来表示，不再赘述。

302、UFP节点根据上述网络节点的信息或上述安全保护方式信息，确定是否对所述业务的数据执行安全保护。

其中，安全保护的详细描述可以参见图2所示实施例，不再赘述。

例如，当步骤301中接收的是上述网络节点的信息时，UPF节点根据该信息来确定是否对上述业务的数据执行安全保护，可以包括：

当该信息用于指示上述网络节点是接入网节点或不是UPF节点时，UPF节点对上述业务的数据不执行安全保护；或者，

当该信息用于指示上述网络节点不是接入网节点或是UPF节点时，UPF节点对上述业务的数据执行安全保护。

例如，当步骤301中接收的是上述UP安全保护方式时，UPF节点根据该信息来确定是否对上述业务的数据执行安全保护，可以包括：

UPF节点根据UP安全保护方式指示的安全保护方式对上述业务的数据执行安全保护。

一个实例中，UP安全保护方式指示加密保护，UPF节点对上述业务的数据执行加密保护。

采用本实施例提供的方法，UPF节点从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息，并根据上述网络节点的信息或上述安全保护方式信息确定是否对所述业务的数据执行安全保护，使得UPF节点能够灵活地根据网络节点的指示对终端设备的业务执行安全保护，以满足运营商或业务的安全需求。

可选地，在一种实施场景下，当确定对所述终端设备的业务的数据执行安全保护时，或者，在UPF节点对上述业务的数据执行安全保护之前，上述方法还可以执行步骤303-305，如下：

303、UPF节点获取终端设备的安全能力，K_up和上述UPF节点的安全策略。

其中，终端设备的安全能力可以从核心网节点获取，例如，接收SMF节点或AMF节点发送的终端设备的安全能力，也可以从其它网络侧的节点获取，可以存储在UPF节点上，不予限制；安全能力的相关描述可以参见图2所示实施例，不再赘述。

类似地，K_up和上述UPF节点的安全策略同样可以采用上面的方式获取，此外，UPF的安全策略可以参见图2所示实施例中的相关描述，不再赘述。

304、UPF节点根据终端设备的安全能力和UPF节点的安全能力，确定UP安全算法。

305、UPF节点根据UP安全算法，K_up和UPF节点的安全策略，获得安全密钥。

步骤304和305均可以分别参考图2所示实施例中的步骤203a和204a，不再赘述。

可选地，步骤304包括：

当终端设备的安全能力仅包含终端设备的加密能力时，UPF节点根据终端设备的加密能力和UPF节点的加密能力,确定加密算法；或者，

当终端设备的安全能力仅包含终端设备的完整性保护能力时，UPF节点根据终端设备的完整性保护能力和UPF节点的完整性保护能力,确定完整性保护算法；或者，

当终端设备的安全能力包含终端设备的加密能力和终端设备的完整性保护能力时，UPF节点根据终端设备的安全能力和UPF节点的安全能力,确定加密算法和完整性保护算法。

可选地，安全保护方式信息包括上述UP安全保护方式，步骤304包括：

UFP节点根据上述UP安全保护方式，端设备的安全能力和UPF节点的安全能力，确定UP安全算法。

例如，当UP安全保护方式为加密保护时，UPF节点根据终端设备的加密能力和UPF节点的加密能力，确定加密算法；或者，当UP安全保护方式为完整性保护时，UPF节点根据终端设备的完整性保护能力和UPF节点的完整性保护能力，确定完整性保护算法；或者，当UP安全保护方式为加密保护和完整性保护时，UPF节点根据终端设备的安全能力和UPF节点的安全能力，确定加密算法和完整性保护算法。

进一步地，在步骤305之后，上述方法还包括：

306、UPF节点将UP安全算法发送给终端设备。

例如，UPF节点可以将UP安全算法发送给SMF节点，SMF节点将该UP安全算法携带在SMC或NAS消息中发送给终端设备。

进一步地，上述方法还可以包括：

307、UPF节点根据安全密钥和UP安全算法，对上述业务的数据执行安全保护。

例如，将上述业务的数据和安全密钥作为安全算法的输入，安全算法的输出为密文，实现了数据的安全保护。

其中，UPF节点可以通过所述业务关联的标识或终端设备的标识来识别上述业务的数据；上述业务关联的标识或终端设备的标识可以在步骤301中从核心网节点接收。UPF节点可以根据安全密钥，UP安全算法和上述业务关联的标识，对上述业务的数据执行安全保护。

在本发明实施例中，当核心网节点为SMF节点，业务关联的标识可以为会话ID。

在本发明实施例中，步骤306和307的执行先后顺序可以调整，此外，步骤307之前还可以包括：UPF节点接收SMF节点指示的对上述业务的数据执行安全保护。

如图4所示，本发明实施例还提供一种数据的保护方法，该方法由接入网节点执行，该方法包括：

401、接入网节点获取参考信息。

402、接入网节点根据获取的参考信息，确定是否对终端的业务的数据执行安全保护。

其中，上述参考信息包括以下信息中至少一种：终端设备的业务相关联的信息，本地策略，运营商策略，以及从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息。

其中，业务相关联的信息，安全保护均可以参见图2所示实施例中的相关描述，不再赘述。

其中，本地策略可以用于指示接入网节点在确定是否对上述业务的数据执行安全保护时是否依据上述网络节点的信息或安全保护方式信息；本地策略还可以是上述业务相关联的信息与安全保护方式之间的对应关系。一个示例中，语音业务与加密保护对应，车联网业务与完整性保护对应。本地策略又可以是上述业务相关的信息与是否执行安全保护之间的对应关系。在另一个示例中，语音业务执行安全保护，车联网业务不执行安全保护。

其中，运营商策略可以是运营商是否允许接入网节点执行安全保护，或者，运营商允许接入网节点执行的安全保护方式，或者，运营商不允许接入网节点执行的安全保护方式。例如，运营商不允许接入网节点执行加密保护。核心网节点可以为SMF节点或AMF节点。

其中，网络节点的信息可以包括：

对上述业务的数据执行安全保护的网络节点是UPF节点。

其中，安全保护方式信息可以包括：上述业务的数据的UP安全保护方式，该UP安全保护方式包括加密保护和完整性保护中的至少一种，具体可以参见图2所示实施例中的步骤207中的相关描述，不再赘述。

其中，网络节点的信息以及UP安全保护方式可以采用步骤204或207中提供的方式来实现，例如，UP安全保护方式可以采用2个bit位来表示，不再赘述。

采用本实施例提供的方法，接入网节点获取参考信息，并根据获取的参考信息确定是否对终端的业务的数据执行安全保护，实现了接入网节点独立地确定自身是否执行安全保护，从而实现了接入网节点的安全保护与UPF节点的安全保护之间的解耦，提高了网络的安全性。

下面以参考信息为终端设备的业务相关联的信息为例进行说明，参见图4a。

图4a所示，本发明实施例提供的又一种数据的保护方法，该方法由接入网节点执行，具体如下。

401a、接入网节点获取终端设备的业务相关联的信息。

其中，接入网节点可以从终端设备获取上述业务相关联的信息，例如，接收终端设备发送的携带有上述业务相关联的信息的消息。

402a、接入网节点根据上述业务相关联的信息，确定是否对上述业务的数据执行安全保护。

在步骤402a中，接入网节点具体可以根据本地策略或运营商的策略或核心网节点所指示的信息，以及上述业务相关联的信息确定是否对上述业务的数据执行安全保护。

一个示例中，假设本地策略为上述业务相关联的信息与安全保护方式之间的对应关系，接入网节点根据上述业务相关联的信息和本地策略，执行与上述业务相关联的信息相对应的安全保护方式所指示的安全保护，例如，若上述业务的业务类型为语音业务，且语音业务对应的安全保护方式为加密保护，则对上述业务的数据执行加密保护。

其中，接入网节点根据上述业务相关联的信息和核心网节点所指示的信息，确定是否对上述业务的数据的执行安全保护。

其中，上述指示的信息可以包括：

对上述业务的数据执行安全保护的网络节点是UPF节点；或者，

上述业务的数据的UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。

在本发明实施例中，上述指示的信息可以采用步骤204或207中提供的方式来实现，不予赘述。

采用本实施例提供的方法，接入网节点获取终端设备的业务相关联的信息，并根据业务相关联的信息确定是否对终端的业务的数据执行安全保护，实现了接入网节点独立地确定自身是否执行安全保护，将接入网节点的安全保护与UPF节点的安全保护解耦；此外，根据业务相关联的信息来确实是否执行安全保护，能够满足不同业务的安全需求。

下面以参考信息为从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息，参见图4b。

401b、接入网节点从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息。

402b、接入网节点根据网络节点的信息或安全保护方式信息，确定是否对上述业务的数据执行安全保护。

例如，当步骤401b中接收的是上述网络节点的信息时，接入网节点根据该网络节点的信息来确定是否对上述业务的数据执行安全保护，可以包括：

当该网络节点的信息用于指示上述网络节点是接入网节点或不是UPF节点时，接入网节点对上述业务的数据执行安全保护；或者，

当该网络节点的信息用于指示上述网络节点不是接入网节点或是UPF节点时，接入网节点对上述业务的数据执行安全保护。

其中，业务相关联的信息可以参见图2所示实施例中的相关描述。

例如，当步骤401b中接收的是上述UP安全保护方式时，接入网节点根据该信息来确定是否对上述业务的数据执行安全保护，可以包括：

接入网节点根据UP安全保护方式指示的安全保护方式，确定是否对上述业务的数据执行安全保护。

一个示例中，UP安全保护方式指示加密保护，接入网节点可以对上述业务的数据执行完整性保护。

上述步骤402b可以根据上述业务相关联的信息或本地策略或运营商策略，以及该网络节点的信息，确定是否执行安全保护或执行的安全保护方式。例如，若接入网节点根据该网络节点的信息用于指示上述网络节点是接入网节点，且上述业务的业务类型为语音业务，则确定对上述业务的数据执行安全保护；或者，若接入网节点根据该网络节点的信息用于指示上述网络节点是接入网节点，且上述业务的业务类型为车联网业务，则确定对上述业务的数据不执行安全保护。

采用本实施例提供的方法，接入网节点根据核心网节点发送的对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息，确定是否对终端的业务的数据执行安全保护，实现了接入网节点能够独立地确定自身是否执行安全保护，从而将接入网节点的安全保护与UPF节点的安全保护解耦，以提高网络的安全性；此外，接入网节点参考UPF节点对上述业务的安全保护情况来确定自身是否执行安全保护，可以弥补UPF节点对上述业务的安全保护的不足，提升网络的安全性。

在上述图4或图4a或图4b所示实施例的一种实施场景下，当确定对上述业务的数据执行安全保护时，或在对上述业务的数据执行安全保护之前，还包括：

接入网节点向终端设备指示接入网节点对上述业务的数据执行安全保护；或者，

接入网节点向终端设备指示上述业务的数据的接入层(access stratum，AS)安全保护方式，该AS安全保护方式包括加密保护和完整性保护中的至少一种。

可选地，上述方法还包括：

接入网节点获取终端设备的安全能力，接入网节点的安全策略和上述业务关联的标识；

接入网节点根据终端设备的安全能力和所述接入网节点的安全能力，确定AS安全算法；

接入网节点根据接入网节点的安全策略，AS安全算法和接入网密钥K_an，获得安全密钥；

接入网节点发送AS安全算法和上述业务关联的标识给终端设备。

其中，终端设备的安全能力可以从终端设备获取，也可以是核心网节点发送给接入网节点。接入网节点的安全策略可以用于指示接入网节点使用的安全密钥的长度，该接入网节点的安全策略可以与上述业务对应的，即不同的业务对应不同的接入网节点的安全策略。该安全策略可以从核心网节点获取，也可以存储在接入网节点上。

此外，上述业务关联的标识可以参见图2所示实施例中的相关描述，不再赘述。

其中，AS安全算法和上述安全密钥用于接入网节点对上述业务的数据进行安全保护；上述安全密钥可以包括加密密钥和完整性密钥中的至少一种，例如，完整性密钥K_anint和/或加密密钥K_anenc；上述AS安全算法可以包括加密算法和完整性保护算法中的至少一种

此外，AS安全算法的确定方式可以参见步骤203a，安全密钥的获取方式可以参见步骤204a，此处不再赘述。

进一步地，上述方法还可以包括：

接入网节点根据AS安全算法，安全密钥和业务关联的标识，对上述业务的数据执行安全保护。

在上述图4或图4a或图4b所示实施例的另一种实施场景下，当确定对上述业务的数据不执行安全保护时，上述方法还包括：

接入网节点向终端设备指示接入网节点对上述业务的数据不执行安全保护。

如图5所示，本发明实施例提供了另一种数据的保护方法，该方法由终端设备执行，如下所述。

501、终端设备从接入网节点接收AS安全算法和终端设备的业务关联的标识。

502、终端设备根据AS安全算法，K_an和接入网节点指示的上述业务的数据的AS安全保护方式，获得第一安全密钥。

503、终端设备根据第一安全密钥，AS安全算法和上述业务关联的标识，对上述业务的数据执行安全保护。

其中，步骤503中的安全保护是AS安全保护，即接入网节点与终端设备之间的安全保护，该安全保护用于保护用户面数据，可以包括加密保护和完整性保护中的至少一种。

此外，步骤502中的AS安全保护方式指的是AS安全保护的方式，例如，加密保护。AS安全算法指的是AS安全保护的安全算法，第一安全密钥指的是AS安全保护的密钥，也不再赘述。

采用上述实施例提供的方法，终端设备根据接入网节点指示的AS安全保护方式对终端设备的业务的数据执行安全保护，即根据接入网节点的指示执行AS安全保护，能够保证实现UPF节点的安全保护与接入网节点的安全保护之间成功解耦，提升通信系统的安全性。

如图5a所示，本发明实施例提供了另一种数据的保护方法，该方法由终端设备执行，如下所述。

501a、终端设备从接入网节点接收AS安全算法和终端设备的业务关联的标识。

502a、当接入网节点指示接入网节点对上述业务的数据执行安全保护时，终端设备根据所述AS安全算法和接入网密钥K_an，获得第一安全密钥。

503a、终端设备根据所述第一安全密钥，AS安全算法和上述业务关联的标识，对上述业务的数据执行安全保护。

其中，安全保护是AS安全保护，AS安全算法，第一安全密钥等可以参见图5中的相关描述，不再赘述。

采用上述实施例提供的方法，终端设备根据接入网节点的指示对终端设备的业务的数据执行AS安全保护，能够实现UPF节点的安全保护与接入网节点的安全保护之间成功解耦，提升通信系统的安全性。

可选地，在图5或5a所示实施例的一种实施场景上，上述方法还包括：

504、终端设备从核心网节点接收UP安全算法。

505、终端设备根据UP安全算法和用户面根密钥K_up，获得第二安全密钥。

其中，第二安全密钥是UP安全保护的密钥；UP安全保护是UPF节点与终端设备之间的安全保护，用来保护用户面数据，UP安全保护可以包括加密保护和完整性保护中的至少一种。步骤504中的UP安全算法指的是UP安全保护的安全算法。

可选地，步骤505具体包括：

终端设备根据UP安全算法和核心网节点指示的上述业务的数据的UP安全保护方式，获得第二安全密钥。

其中，UP安全保护方式是UP安全保护的方式，可以包括加密保护和完整性保护中的至少一种。

此外，核心网节点指示的上述业务的数据的UP安全保护方式可以采用发送指示信息的方式来实现，具体可以参见步骤204，UP安全算法和该指示信息可以携带在同一个消息中，例如，SMC。

可选地，步骤505之前还包括终端设备接收核心网节点指示的对上述业务的数据执行安全保护的网络节点是UPF节点。

在上述实施场景下，终端设备可以同时执行UP安全保护和AS安全保护，大大提高了网络的安全性。

如图5b所示，本发明实施例提供了另一种数据的保护方法，该方法由终端设备执行，如下所述。

501b、终端设备从核心网节点接收UP安全算法。

其中，该UP安全算法用于对终端设备的业务的数据进行安全保护，可以包括加密算法和完整性保护算法中的至少一种。

其中，UP安全算法可以携带在SMC或NAS消息中。

502b、终端设备根据UP安全算法和K_up，获得第一安全密钥。

503b、终端设备根据第一安全密钥和UP安全算法，对终端设备的业务的数据执行安全保护。

其中，步骤503b中的安全保护是UP安全保护，即UPF节点与终端设备之间的安全保护，该安全保护是用来保护用户面数据的，可以包括加密保护和完整性保护中的至少一种。

此外，步骤502b中的UP安全算法指的是UP安全保护的安全算法，第一安全密钥指的是UP安全保护的密钥，也不再赘述。

可选地，上述方法还包括：终端设备接收核心网节点指示的上述业务的数据的UP安全保护方式。步骤502b中，终端设备具体可以根据UP安全算法，K_up和UP安全保护方式，获得第一安全密钥。

其中，UP安全保护方式指的是UP安全保护的方式，例如，加密保护。

在本发明实施例中，核心网节点指示的上述业务的数据的UP安全保护方式可以采用发送指示信息的方式来实现，具体可以参见步骤204，UP安全算法和该指示信息可以携带在同一个消息中，例如，SMC。

可选地，步骤502之前还包括终端设备接收核心网节点指示的对上述业务的数据执行安全保护的网络节点是UPF节点。

采用上述实施例提供的方法，终端设备根据根据核心网节点的指示执行UP安全保护，对终端设备的业务的数据执行安全保护，能够实现UPF节点的安全保护与接入网节点的安全保护之间成功解耦。

可选地，在一种实施场景下，上述方法还包括：

504b、终端设备从接入网节点接收AS安全算法和终端设备的业务关联的标识。

其中，上述业务关联的标识可以用来指示传输上述业务的数据的路径。

505b、终端设备根据AS安全算法，K_an和接入网节点指示的上述业务的数据的AS安全保护方式，获得第二安全密钥。

506b、终端设备根据第二安全密钥，AS安全算法和上述业务关联的标识，对上述业务的数据执行安全保护。

其中，步骤506b中的安全保护是AS安全保护，即接入网节点与终端设备之间的安全保护，该安全保护用于保护用户面数据，可以包括加密保护和完整性保护中的至少一种。

此外，步骤505b中的AS安全保护方式指的是AS安全保护的方式，例如，加密保护。AS安全算法指的是AS安全保护的安全算法，第二安全密钥指的是AS安全保护的密钥，也不再赘述。

可选地，在另一种实施场景下，上述方法还包括：

504b’、终端设备从接入网节点接收AS安全算法和终端设备的业务关联的标识。

505b’、当接入网节点指示接入网节点对上述业务的数据执行安全保护时，终端设备根据AS安全算法和K_an，获得第一安全密钥。

506b’、终端设备根据第一安全密钥，AS安全算法和上述业务关联的标识，对上述业务的数据执行安全保护。

在本发明实施例中，图5,5a或5b所涉及的核心网节点均可以是SMF节点或AMF节点。

如图6所示，本发明实施例提供了另一种数据的保护方法，以核心网节点为SMF节点为例，如下所述。

601、终端设备向SMF节点发送6a消息。

其中，该6a消息可以用于请求为终端设备建立会话，具体可以为会话建立请求，该6a消息包含终端设备的标识，还可以包含终端设备的业务相关联的信息。

其中，业务相关联的信息可以参见图2所示实施例中的相关描述，不再赘述。

602、SMF节点接收6a消息，获取终端设备的业务相关联的信息。

其中，获取终端设备的业务相关联的信息具体可以参见图2所示实施例中的相关描述，不再赘述。

603、SMF节点根据业务相关的信息，确定对上述业务的数据执行安全保护的网络节点。

其中，步骤603的实现方式可以参见步骤202，此处不再赘述。

当确定UPF节点对上述业务的数据执行安全保护时，执行步骤604-618；或者，当确定接入网节点对上述业务的数据执行安全保护时，执行步骤604a-605a，以及步骤612-618。步骤604a-605a与612-618执行先后顺序可以调整，例如，可以同步执行，不予限定。

604a、SMF节点向UPF节点发送6b消息。

其中，该UPF节点为终端设备的服务节点，该6b消息可以用于指示对上述业务的数据执行安全保护的网络节点不是UPF节点，或者，用于指示对上述业务的数据执行安全保护的网络节点是接入网节点，或者，用于指示对上述业务的数据不执行安全保护。

其中，该6b消息可以为会话建立。

605a、UPF节点接收6b消息，向SMF节点发送6c消息。

其中，6c消息可以用于对6b消息进行响应。

604、SMF节点向UPF节点发送6b消息。

其中，该6b消息可以包含安全相关的参数，安全相关的参数可以包括终端设备的安全能力，UPF节点的安全策略和K_up中的至少一种。

此外，该6b消息还可以包含上述业务关联的标识，使得UPF节点能够识别上述业务的数据，例如，会话的ID。例如，该会话的ID可以由SMF节点在接收到6a消息后，为上述业务分配的。

其中，该6b消息具体可以是会话建立。

可选地，该6b消息可以用于显示或隐式地指示上述网络节点是UPF节点。

当采用显示的方式时，该6b消息还包含第一指示信息，该第一指示信息用于指示上述网络节点是UPF节点。例如，采用1bit来表示，1表明上述网络节点是UPF节点，0表明上述网络节点不是UPF节点。

当采用隐式的方式时，UPF节点可以根据6b消息中是否携带有安全相关的参数来判断，若是，则表明上述网络节点是UPF节点，反之，上述网络节点不是UPF节点。

可选地，该6b消息可以用于显示或隐式地指示上述业务的数据的UP安全保护方式，即指示UPF节点对上述业务的数据采用的安全保护方式，例如，加密保护，完整性保护。

当采用显示的方式时，该6b消息还包含第二指示信息，该第二指示信息用于指示上述业务的数据的UP安全保护方式。例如，采用2bit指示，01表示加密保护，10表示完整性保护，11表示加密保护和完整性保护。

当采用隐式的方式时，UPF节点可以根据安全相关的参数中的终端设备的安全能力来判断。例如，当终端设备的安全能力仅包含加密能力时，表明UPF节点对上述业务的数据仅执行加密保护；或者，当终端设备的安全能力包含加密能力和完整性保护能力时，表明UPF节点对上述业务的数据执行加密保护和完整性保护。

605、UPF节点根据6b消息确定UP安全算法，并根据UP安全算法和K_up，获得安全密钥。

其中，SMF节点根据终端设备的安全能力和UPF节点的安全能力，确定UP安全算法。

其中，步骤605可以参见图3所示实施例提供的方式来实现，不再赘述。

此外，UP安全算法可以包括加密算法和完整性保护算法中的至少一种，安全密钥可以包括加密密钥和完整性密钥中的至少一种。

进一步地，步骤605中的安全密钥可以是根据UPF节点的安全策略，对由UP安全算法和K_up推导出的安全密钥进行截短后的安全密钥。

606、UPF节点向SMF节点发送6c消息，该6c消息包含UP安全算法。

其中，6c消息可以是对6b消息的响应。

607、SMF节点接收6c消息，并发送6d消息给终端设备，6d消息包含UP安全算法。

其中，该6d消息可以是SMC，也可以是NAS消息；此外，该6d消息还可以包含第三指示信息。该第三指示信息可以用于指示上述网络节点是UPF节点，或者，该第三指示信息可以用于指示上述业务的数据的UP安全保护方式。

608、终端设备接收6d消息，并根据6d消息获得安全密钥。

其中，步骤608中的安全密钥用于终端设备对上述业务的数据执行安全保护。

例如，根据6d消息获得安全密钥可以包括：终端设备根据UP安全算法和K_up获得安全密钥，具体可以采用如下方式。

方式一，当6d消息包含第三指示信息，且第三指示信息用于指示上述网络节点是UPF节点时，执行上述终端设备根据UP安全算法和K_up获得安全密钥。

方式二，当6d消息包含第三指示信息，且第三指示信息用于上述业务的数据的UP安全保护方式时，根据6d消息获得安全密钥可以包括：终端设备根据UP安全保护方式，UP安全算法和K_up获得安全密钥。例如，若UP安全保护方式为加密保护，则终端设备根据UP安全算法中的加密算法和K_up获得加密密钥。

609、终端设备向SMF节点发送6e消息。

其中，该6e消息可以为安全模式命令完成(Security Mode Command Complete，SMP)。

610、SMF节点接收6e消息，向UPF节点发送6f消息。

其中，6f消息可以用于指示UPF节点对上述业务的数据执行安全保护，换言之，指示 UPF节点上述业务的数据立即执行安全保护，或者，指示UPF节点上述业务的数据开始执行安全保护，或者，指示UPF节点使能对上述业务的数据的安全保护。

611、UPF节点向SMF节点发送6g消息。

其中，该6g消息可以是对6f消息的响应。

612、SMF节点发送6h消息给AMF节点。

其中，6h消息可以包含上述业务关联的标识，例如，会话的ID。6h消息还可以包括接入网节点的安全策略。

此外，6h消息还可以包含第四指示信息。

例如，若步骤603中确定接入网节点对上述业务的数据执行安全保护时，则该第四指示信息可以用于指示上述网络节点是上述接入网节点，或者，上述网络节点不是UPF节点。

再例如，若步骤603中确定UPF节点对上述业务的数据执行安全保护时，则该第四指示信息可以用于指示上述网络节点不是接入网节点；或者，上述网络节点是UPF节点；或者，上述业务的数据的UP安全保护方式。

613、AMF节点接收6h消息，并发送6i消息给接入网节点。

其中，6i消息包含的内容可以与6h消息包含的内容相同，不再赘述。

614、接入网节点接收6i消息，并根据6i消息确定是否对上述业务的数据执行安全保护。

其中，6i消息可以触发接入网节点执行确定是否对上述业务的数据执行安全保护。接入网节点也可以根据6i消息中的内容确定是否对上述业务的数据执行安全保护，具体可以参见图4或4a或4b所示实施例中的相关描述，不再赘述。

若步骤614中确定对上述业务的数据执行安全保护，则执行步骤615-617；否则，执行步骤618。

615、接入网节点确定AS安全算法，并根据AS安全算法和K_an获得安全密钥。

具体可以参见图4或4a或4b所示实施例中的相关描述。

616、接入网节点向终端设备发送6j消息，6j消息包含AS安全算法。

其中，该6j消息可以用于指示接入网节点对上述业务的数据执行安全保护，或者，上述业务的数据的AS安全保护方式。

例如，6j消息可以包含第五指示信息，该第五指示信息用于指示接入网节点对上述业务的数据执行安全保护，或者，上述业务的数据的AS安全保护方式。

其中，该6j消息可以是无线资源控制(radio resource control，RRC)消息。

617、终端设备接收6j消息，并根据6j消息获得安全密钥。

具体可以参见图5或5a或5b所示实施例中的相关描述，不再赘述。

618、接入网节点向终端设备发送6j消息。

其中，该6j消息用于指示接入网节点上述业务的数据不执行安全保护。

在本发明实施例中，上述实施例中用于对接收消息进行响应的消息可以不执行；步骤612-618与步骤604-611之间的执行顺序可以调换，不予限定。

采用上述实施例提供的方法，核心网节点获取终端设备的业务相关联的信息，并根据业务相关联的信息确定对所述业务的数据执行安全保护的网络节点，实现了针对不同的业务能够灵活选择不同的网络节点来执行安全保护，进而可以满足运营商或业务的安全需求；此外，接入网节点独立地确定自身是否执行安全保护，实现了接入网节点的安全保护与UPF节点的安全保护之间的解耦，提高网络的安全性。

可选地，在一种实施场景下，在步骤605之后，还包括：

UPF节点根据自身存储的K_up和第一随机数，获得第一消息认证码(message authentication code，MAC)。

此时，上述6c消息和6d消息均包含上述第一随机数和第一MAC，步骤608中还包括：

终端设备根据上述第一随机数和自身存储的K_up，验证第一MAC；

若第一MAC验证通过，则终端设备根据第二随机数和自身存储的K_up，获得第二MAC。

上述6e消息和6f消息携带有上述第二随机数和第二MAC。

在步骤611之前，还包括：UPF节点根据第二随机数和自身存储的K_up验证第二MAC；

若第二MAC验证通过，UPF节点执行对上述业务的数据执行安全保护。

其中，MAC的验证方法属于现有技术，不再赘述。

上述实施场景用于验证终端设备和UPF节点使用的用户面根密钥是否相同，只有在相同的情况下才执行对业务的数据的安全保护。

在本发明实施例中，该实施场景均可以应用于其它实施例，例如图7-9所示的实施例，后续不再重复描述。

在一个示例中，上步骤616可以替换为接入网节点分别发送上述第五指示信息和AS安全算法给终端设备。例如，第五指示信息可以携带在RRC消息中发送终端设备，AS安全算法可以携带在AS SMC中发送给终端。

如图7所示，本发明实施例提供了另一种数据的保护方法，以核心网节点为SMF节点为例，如下所述。

在该方法中，步骤701-703与步骤601-603相同，仅消息名称进行相应地调整。

当步骤703确定UPF节点对上述业务的数据执行安全保护时，执行步骤704。

704、SMF节点确定UP安全算法，并根据UP安全算法和K_up获得安全密钥。

其中，步骤704可以采用步骤204a-205a来实现，不再赘述。

705、SMF节点向终端设备发送7b消息，该7b消息包含UP安全算法。

可选地，7b消息可以携带上述步骤607中的第三指示信息，不再赘述。

706、终端设备接收第二消息，并根据第二消息获得安全密钥。

其中，根据7b消息获得安全密钥可以采用步骤608中的两种方式，不再赘述。

此外，该7b消息可以为SMC或NAS消息。

707、终端设备向SMF节点发送7c消息。

其中，该7c消息可以是SMP。

708、SMF节点接收7c消息，向UPF节点发送7d消息。

其中，该7d消息可以包含UP安全算法，上述安全密钥和上述业务关联的标识；还可以包含步骤604中的第一指示信息或第二指示信息，不再赘述。

此外，7d消息可以用于指示UPF节点对上述业务的数据执行安全保护。

709、UPF节点接收7d消息，向SMF节点发送7e消息。

其中，7e消息可以是对7d消息的响应。

上述方法还包括步骤710-716。其中，步骤710-716与图6所示实施例中的步骤612-618相同，仅消息名称进行相应地调整。

此外，步骤710-716与步骤704-709之间的执行先后顺序可以调整，不予限定。

如图8所示，本发明实施例提供了另一种数据的保护方法，以核心网节点为SMF节点为例，如下所述。

在该方法中，步骤801-803与步骤601-603相同，仅消息名称进行相应地调整。

当步骤803确定UPF节点对上述业务的数据执行安全保护时，执行步骤804。

此外，步骤804-806与步骤604-606相同，仅消息名称进行相应地调整。

807、SMF节点接收8c消息，并发送8d消息给AMF节点。

其中，8d消息包含UP安全算法，例如，该UP安全算法可以携带在NAS容器中，该NAS容器携带在8d消息中。

一个示例中，该NAS容器中还可以携带图6所示实施例中的第三指示信息，不再赘述。

此外，该8d消息还可以包含步骤612中的第四指示信息，还可以包含上述业务关联的标识，例如，会话ID，还可以包括接入网节点的安全策略。

808、AMF节点接收8d消息，向接入网节点发送8e消息。

其中，8e消息包含的内容可以与8d消息包含的内容相同，不再赘述。

809、接入网节点接收8e消息，并根据8e消息确定是否对上述业务的数据执行安全保护。

步骤809与步骤614相同，不再赘述。

若步骤809中确定对上述业务的数据执行安全保护，则执行步骤810；否则，直接执行步骤811。

810、接入网节点确定AS安全算法，并根据AS安全算法和K_an获得安全密钥。

具体可以参见图4或4a或4b所示实施例中的相关描述。

811、接入网节点向终端设备发送8f消息，该8f消息包含UP安全算法。

其中，该8f消息可以包含上述NAS容器。

可选地，当步骤809中确定对上述业务的数据执行安全保护时，8f消息还包含AS安全算法，且还可以包含步骤616中的第五指示信息。

可选地，当步骤809中确定对上述业务的数据不执行安全保护时，8f消息还可以包含用于指示接入网节点对上述业务的数据不执行安全保护的信息。

812、终端设备根据8f消息，获得安全密钥。

具体可以参见图5或5a或5b所示实施例中的相关描述。

其中，终端设备根据UP安全算法和K_up,获得第一安全密钥。

可选地，步骤812还包括：终端设备根据AS安全算法和K_an,获得第二安全密钥。

如图9所示，本发明实施例提供了另一种数据的保护方法，以核心网节点为AMF节点为例，如下所述。

901、终端设备向AMF节点发送9a消息，该9a消息包含终端设备的标识。

其中，终端的标识可以用于唯一指示一个终端设备，属于现有技术。

其中，该9a消息可以用于请求为终端设备建立会话，具体可以为会话建立请求，该9a消息包含终端设备的标识，还可以包含终端设备的业务相关联的信息。

902、AMF节点接收9a消息，获取终端设备的业务相关联的信息。

903、AMF节点根据业务相关的信息，确定对上述业务的数据执行安全保护的网络节点。

其中，步骤903的实现方式可以参见步骤202，此处不再赘述。

当确定UPF节点对上述业务的数据执行安全保护时，执行步骤904-917；或者，当确定接入网节点对上述业务的数据执行安全保护时，执行步骤904a-905a，以及步骤911-917。

904a、AMF节点向SMF节点发送9b消息。

其中，该9b消息包含上述终端设备的标识，该9b消息可以用于指示对上述业务的数据执行安全保护的网络节点不是UPF节点，或者，该9b消息用于指示对上述业务的数据执行安全保护的网络节点是接入网节点，或者，该9b消息用于指示对上述业务的数据不执行安全保护。

一个示例中，9b消息的上述指示功能可以通过指示信息来实现，不再赘述。

此外，该9b消息可以是会话建立消息。

905a、SMF节点接收9b消息，向UPF节点发送9c消息。

其中，该9c消息可以包含上述业务关联的标识，例如，会话ID。此外，该9c消息具备904a中9b消息的指示功能。一个示例中，9c消息可以包含步骤904a中的指示信息。

其中，该9c消息可以是会话建立消息。

其中，该UPF节点为终端设备的服务节点。

在本发明实施例中，SMF节点在接收到9b消息后，可以为终端设备的业务分配路径，该路径用于传输该业务的数据，例如，可以为该业务分配会话ID。

904、AMF节点向SMF节点发送9b消息。

其中，该9b消息可以包含上述终端设备的标识，还可以包含图6所示实施例中的第一指示信息或第二指示信息。该9b消息还可以包含安全相关的参数。其中，安全相关的参数可以包括终端设备的安全能力，UPF节点的安全策略和K_up中的至少一种。

905、SMF节点接收9b消息，向UPF节点发送9c消息。

其中，该9c消息可以包含上述业务关联的标识，例如，会话ID。

一个示例中，当步骤904中包含第一指示信息时，9c消息还包含步骤904中的第一指示信息。

另一个示例中，当步骤904中包含第二指示信息时，9c消息还包含步骤904中的第二指示信息。

906、UPF节点根据9c消息确定UP安全算法，并根据UP安全算法和K_up，获得安全密钥。

具体可以参见图3所示实施例提供的方式来实现，不再赘述

907、UPF节点向SMF节点发送9d消息，该9d消息包含UP安全算法。

908、SMF节点接收9d消息，并发送9e消息给终端设备，9e消息包含UP安全算法。

其中，该9e消息可以是SMC。该9e消息还可以包含上述904步骤中的第一指示信息或第二指示信息。

909、终端设备根据9e消息获得安全密钥。

步骤909可以参见步骤608中的相关描述，不再赘述。

910、终端设备向SMF节点发送9f消息。

其中，该9f消息可以为SMP。

911、SMF节点向AMF节点发送9g消息。

912、AMF节点接收9g消息，向接入网节点发送9h消息。

其中，该9h消息可以包含上述业务关联的标识，还可以包含步骤612中的第四指示信息，还可以包含接入网节点的安全策略。

913、接入网节点根据9h消息确定是否对上述业务的数据执行安全保护。

其中，步骤913可以参考步骤614中的描述，不再赘述。

若步骤913中确定对上述业务的数据执行安全保护，则执行步骤914-916；否则，执行步骤917。

914、接入网节点确定AS安全算法，并根据AS安全算法和K_an获得安全密钥。

具体可以参见图4或4a或4b所示实施例中的相关描述。

915、接入网节点向终端设备发送9i消息，9i消息包含AS安全算法。

其中，该9i消息可以用于指示接入网节点对上述业务的数据执行安全保护，或者，上述业务的数据的AS安全保护方式。例如，9i消息可以包含图6所示实施例中的第五指示信息。

其中，该9i消息可以是RRC消息。

916、终端设备接收9i消息，并根据9i消息获得安全密钥。

917、接入网节点向终端设备发送9i消息。

其中，该9i消息用于指示接入网节点上述业务的数据不执行安全保护。

如图10所示，本发明实施例提供了一种核心网节点，该核心网节点可以为AMF节点或SMF节点，可以用于执行图2所示实施例中核心网节点的动作或步骤，还可以用于执行图6-8 所示实施例中SMF节点的动作或步骤，还可以用于执行图9所示实施例中AMF节点的动作或步骤。该核心网节点可以包括：获取单元1001和确定单元1002。

获取单元1001，用于获取终端设备的业务相关联的信息。

确定单元1002，用于根据获取单元1001获取的所述业务相关联的信息，确定对所述业务的数据执行安全保护的网络节点。

可选地，确定单元1002还用于：

根据所述核心网节点所连接的UPF节点的安全能力，以及所述业务相关联的信息，确定所述网络节点；或者，

根据所述业务相关联的信息与执行安全保护的网络节点之间的对应关系，确定所述网络节点。

可选地，获取单元1001还用于：

从所述终端设备接收请求消息，所述请求消息用于请求为所述业务建立会话，所述请求消息包含所述业务相关联的信息；或者，

根据所述核心网节点相关联的切片信息，获取所述业务相关联的信息。

可选地，在一种实施场景下，所述网络节点为UPF节点，核心网节点还包括：

发送单元1003，用于发送安全相关的参数给所述UPF节点。

其中，所述安全相关的参数可以包括：用户面根密钥K_up，所述终端设备的安全能力和所述UPF节点的安全策略。

进一步地，发送单元1003还可以用于：

向所述UPF节点指示所述业务的数据的UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种；或者，

向所述UPF节点指示所述网络节点是UPF节点。

其中，所述终端设备的安全能力可以仅包括所述终端设备的加密能力；或者，

所述终端设备的安全能力可以仅包括所述终端设备的完整性保护能力；或者，

所述终端设备的安全能力可以包括所述终端设备的加密能力和所述终端设备的完整性保护能力。

进一步地，所述核心网节点为SMF节点，所述核心网节点还可以包括：

接收单元1004，用于从所述UPF节点接收UP安全算法。

可选地，在另一种实施场景下，所述网络节点为UPF节点，且所述核心网节点为SMF节点，所述核心网节点还包括发送单元；

确定单元1002用于：根据所述终端设备的安全能力和所述UPF节点的安全能力，确定UP安全算法；根据所述UP安全算法，K_up和所述UPF的安全策略，获得安全密钥；

发送单元1003，用于发送所述UP安全算法，所述安全密钥和所述业务关联的标识给所述UPF节点。

进一步地，发送单元1003还可以用于：发送所述UP安全算法给所述终端设备。

进一步地，发送单元1003还可以用于：向所述UPF节点指示对所述业务的数据执行安全保护。

进一步地，发送单元1003还可以用于：向所述终端设备指示所述业务的数据的UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。

可选地，发送单元1003还用于：发送接入网节点的安全策略和所述业务关联的标识给所述接入网节点。

进一步地，发送单元1003还可以用于：

向所述接入网节点指示所述网络节点不是接入网节点；或者，

向所述接入网节点指示所述网络节点是UPF节点；或者，

向所述接入网节点指示所述业务的数据的UP安全保护方式。

可选地，在另一种实施场景下，所述网络节点为接入网节点，所述核心网节点还包括：

发送单元1003，用于发送所述接入网节点的安全策略和所述业务关联的标识给所述接入网节点；以及向所述接入网节点指示所述网络节点是接入网节点，或者，所述核心网节点向所述接入网节点指示所述网络节点不是UPF节点。

进一步地，发送单元1003还可以用于：

向所述终端设备的服务UPF节点指示对所述业务的数据不执行安全保护，或者，

向所述终端设备的服务UPF节点指示所述网络节点不是UPF节点；或者，

向所述终端设备的服务UPF节点指示所述网络节点是接入网节点。

上述实施例提供的核心网节点，用于获取终端设备的业务相关联的信息，并根据业务相关联的信息确定对所述业务的数据执行安全保护的网络节点，实现了针对不同的业务能够灵活选择不同的网络节点来执行安全保护，进而可以满足运营商或业务的安全需求，例如，对于银行业务的数据可以在UPF节点执行安全保护，大大提高了安全性；此外，在使用UPF节点作为固定执行安全保护的网络节点的情况下，该方法还解决了漫游用户的数据发送到归属网络的UPF节点进行安全保护而造成的资源浪费问题。

如图11所示，本发明实施例提供了一种UFP节点，该UPF节点可以用于执行图3所示实施例中UPF节点的动作或步骤，还可以用于执行图6-9所示实施例中UPF节点的动作或步骤,该UPF节点可以包括：接收单元1101和确定单元1102。

接收单元1101，用于从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息。

确定单元1102，用于根据接收单元1101接收的所述网络节点的信息或所述安全保护方式信息，确定是否对所述业务的数据执行安全保护。

其中，所述网络节点的信息可以包括：

对所述业务的数据执行安全保护的网络节点是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是UPF节点；或者，

对所述业务的数据执行安全保护的网络节点是UPF节点。

其中，所述安全保护方式信息包括：所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。

可选地，当确定对所述终端设备的业务的数据执行安全保护时，确定单元1102还用于：

获取所述终端设备的安全能力，用户面根密钥K_up和所述UPF节点的安全策略；

根据所述终端设备的安全能力和所述UPF节点的安全能力，确定UP安全算法；

根据所述UP安全算法，所述K_up和所述UPF节点的安全策略，获得安全密钥。

进一步地，确定单元1102还可以用于：

当所述终端设备的安全能力仅包含所述终端设备的加密能力时，根据所述终端设备的加密能力和所述UPF节点的加密能力,确定加密算法；或者，

当所述终端设备的安全能力仅包含所述终端设备的完整性保护能力时，根据所述终端设备的完整性保护能力和所述UPF节点的完整性保护能力,确定完整性保护算法；或者，

当所述终端设备的安全能力包含所述终端设备的加密能力和所述终端设备的完整性保护能力时，根据所述终端设备的安全能力和所述UPF节点的安全能力,确定加密算法和完整性保护算法。

可选地，当所述安全保护方式信息包括所述UP安全保护方式时，确定单元1102还用于：

根据所述UP安全保护方式，所述终端设备的安全能力和所述UPF节点的安全能力，确定所述UP安全算法。

进一步地，确定单元1102还可以用于：

当所述UP安全保护方式为加密保护时，根据所述终端设备的加密能力和所述UPF节点的加密能力，确定加密算法；或者，

当所述UP安全保护方式为完整性保护时，根据所述终端设备的完整性保护能力和所述UPF节点的完整性保护能力，确定完整性保护算法；或者，

当所述UP安全保护方式为加密保护和完整性保护时，根据所述终端设备的安全能力和所述UPF节点的安全能力，确定加密算法和完整性保护算法。

可选地，UFP节点还包括：

发送单元1103，用于将所述UP安全算法发送给所述终端设备。

可选地，所述核心网节点为会话管理功能SMF节点，所述UFP节点还包括：

执行单元1104，用于根据所述安全密钥，所述UP安全算法和所述业务关联的标识，对所述业务的数据执行安全保护。

本实施例提供的UPF节点，用于从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息，并根据上述网络节点的信息或上述安全保护方式信息确定是否对所述业务的数据执行安全保护，实现了UPF节点能够灵活地根据网络节点的指示对终端设备的业务执行安全保护，以满足运营商或业务的安全需求。

如图12所示，本发明实施例提供了一种接入网节点，该接入网节点可以用于执行图4a所示实施例中接入网节点的动作或步骤，还可以用于执行图6-9所示实施例中接入网节点的动作或步骤。该接入网节点包括：获取单元1201和确定单元1202。

获取单元1201，用于获取终端设备的业务相关联的信息。

确定单元1202，用于根据获取单元1201获取的所述业务相关联的信息，确定是否对所述业务的数据执行安全保护。

可替换地，获取单元1201用于执行图4中的步骤401，确定单元1202用于执行步骤402；或者，获取单元1201用于执行图4b中的步骤401b，确定单元1202用于执行步骤402b。

可选地，确定单元1202还用于：

根据所述业务相关联的信息和核心网节点所指示的信息，确定是否对所述业务的数据的执行安全保护。

其中，所述指示的信息可以包括：

对所述业务的数据执行安全保护的网络节点不是用户面功能UPF节点；或者，

对所述业务的数据执行安全保护的网络节点是UPF节点；或者，

所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。

可选地，在一种实施场景下，当确定对所述业务的数据执行安全保护时，所述接入网节点还包括：

发送单元1203，用于向所述终端设备指示所述接入网节点对所述业务的数据执行安全保护；或者，向所述终端设备指示所述业务的数据的接入层AS安全保护方式，所述AS安全保护方式包括加密保护和完整性保护中的至少一种。

进一步可选地，确定单元1202还用于：获取所述终端设备的安全能力，所述接入网节点的安全策略和所述业务关联的标识；根据所述终端设备的安全能力和所述接入网节点的安全能力，确定AS安全算法；以及根据所述接入网节点的安全策略，所述AS安全算法和接入网密钥K_an，获得安全密钥；

发送单元1203，还用于发送确定单元1202确定的所述AS安全算法和所述业务关联的标识给所述终端设备。

进一步地，所述接入网节点还可以包括：

执行单元1204，用于根据所述AS安全算法，所述安全密钥和所述业务关联的标识，对所述业务的数据执行安全保护。

可选地，在另一种实施场景下，当确定对所述业务的数据不执行安全保护时，所述接入网节点还包括：

发送单元1203，用于向所述终端设备指示所述接入网节点对所述业务的数据不执行安全保护。

本发明实施例提供了一种终端设备，该终端设备可以用于执行图5所示实施例中的终端设备的动作或步骤，还可以用于执行图6-9所示实施例中的终端设备的动作或步骤。如图13所示，该终端设备包括：接收单元1301，处理单元1302和执行单元1303。

接收单元1301，用于从接入网节点接收接入层AS安全算法和所述终端设备的业务关联的标识；

处理单元1302，用于根据接收单元1301接收的所述AS安全算法，接入网密钥K_an和所述接入网节点指示的所述业务的数据的AS安全保护方式，获得第一安全密钥，所述AS安全保护方式包括加密保护和完整性保护中的至少一种；

执行单元1303，用于根据处理单元1302获得的所述第一安全密钥，所述AS安全算法和所述业务关联的标识，对所述业务的数据执行安全保护。

可选地，接收单元1301还用于执行步骤504，处理单元1302还用于执行步骤505。

上述实施例提供的终端设备，用于根据接入网节点指示的AS安全保护方式对终端设备的业务的数据执行安全保护，即根据接入网节点的指示执行AS安全保护，能够保证实现UPF节点的安全保护与接入网节点的安全保护之间成功解耦，提升安全性。

本发明实施例提供了另一种终端设备，该终端设备可以用于执行图5a所示实施例中的终端设备的动作或步骤，还可以用于执行图6-9所示实施例中的终端设备的动作或步骤，如图13所示，该终端设备包括接收单元1301，处理单元1302和执行单元1303。

处理单元1302，用于当所述接入网节点指示所述接入网节点对所述业务的数据执行安全保护时，根据接收单元1301接收的所述AS安全算法和接入网密钥K_an，获得第一安全密钥；

可选地，结合上述两个实施例中的终端设备，接收单元1301，还用于从核心网节点接收用户面UP安全算法；处理单元1302，还用于根据所述UP安全算法和用户面根密钥K_up，获得第二安全密钥。

进一步地，处理单元1302还用于：根据所述UP安全算法，所述KUP和所述核心网节点指示的所述业务的数据的UP安全保护方式，获得所述第二安全密钥；其中，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。

上述实施例提供的终端设备，用于根据接入网节点的指示对终端设备的业务的数据执行AS安全保护，能够实现UPF节点的安全保护与接入网节点的安全保护之间成功解耦，提升安全性。

本发明实施例提供了再一种终端设备，该终端设备的结构可以参看图13，可以用于执行图5b所示实施例中的终端设备的动作或步骤，还可以用于执行图6-9所示实施例中的终端设备的动作或步骤。其中，接收单元1301用于执行步骤501b，处理单元1302用于执行步骤502b，执行单元1303用于执行503b。

可选地，接收单元1301还用于执行步骤504b，处理单元1302还用于执行步骤505b，执行单元1303还用于执行506b。

如图14所示，本发明实施例提供了一种核心网节点，该核心网节点可以为AMF节点或SMF节点，可以用于执行图2所示实施例中核心网节点的动作或步骤，还可以用于执行图6-8所示实施例中SMF节点的动作或步骤，还可以用于执行图9所示实施例中AMF节点的动作或步骤。具体包括：处理器1401，存储器1402和通信接口1403。

存储器1402，用于存储程序；

处理器1401，用于执行存储器1402中存储的程序，以实现图2所示实施例中核心网节点的动作，或图6-8所示实施例中SMF节点的动作，或图9所示实施例中AMF节点的动作，不再赘述。

如图15所示，本发明实施例提供了一种UPF节点，该UPF节点可以用于执行图3所示实施例中UPF节点的动作或步骤，还可以用于执行图6-9所示实施例中UPF节点的动作或步骤。具体包括：处理器1501，存储器1502和通信接口1503。

存储器1502，用于存储程序；

处理器1501，用于执行存储器1502中存储的程序，以实现图3所示实施例中UPF节点的动作，或图6-9所示实施例中UPF节点的动作，不再赘述。

如图16所示，本发明实施例提供了一种接入网节点，该接入网节点可以用于执行图4，或4a或4b所示实施例中接入网节点的动作或步骤，还可以用于执行图6-9所示实施例中接入网节点的动作或步骤。具体包括：处理器1601，存储器1602和通信接口1603。

存储器1602，用于存储程序；

处理器1601，用于执行存储器1602中存储的程序，以实现图4，或4a或4b所示实施例中接入网节点的动作，或图6-9所示实施例中接入网节点的动作，不再赘述。

如图17所示，本发明实施例提供了一种终端设备，该终端设备可以用于执行图5，或5a或5b所示实施例中终端设备的动作或步骤，还可以用于执行图6-9所示实施例中终端设备的动作或步骤。具体包括：处理器1701，存储器1702和通信接口1703。

存储器1702，用于存储程序；

处理器1701，用于执行存储器1702中存储的程序，以实现图5，或5a或5b所示实施例中终端设备的动作，或图6-9所示实施例中终端设备的动作，不再赘述。

通信接口1703具体可以是收发器。

在本发明实施例中，上述各实施例之间可以相互参考和借鉴，相同或相似的步骤以及名词均不再一一赘述。

本发明实施例提供一种系统，包括：核心网网节点和UPF节点，核心网节点具体如图10或14所示，UPF节点如图11或15所示。可选地，还包括：如图12或16所示的接入网节点。进一步地，上述系统还可以包括如图13或17所示的终端设备。

本发明实施例提供另一种系统，包括：如图12或16所示的接入网节点和如图13或17所示的终端设备。可选地，还包括：如图10或14所示的核心网节点，以及如图11或15所示的UPF节点。

在本发明实施例中，在本申请的上述各实施例中，网络节点均可以为UPF节点或接入网节点；安全保护可以是完整性保护和加密保护中的至少一种，安全密钥可以是完整性密钥和加密密钥中的至少一种；对业务的数据执行安全保护也可以是对业务的数据执行安全保护操作，或安全保护流程，不予限定。

在本发明实施例中，核心网节点向UPF节点或接入网节点指示对业务的数据执行安全保护的网络节点是UPF节点，以及核心网节点向UPF节点或接入网节点指示对业务的数据执行安全保护的网络节点不是接入网节点，具体均可以是核心网节点向UPF节点或接入网节点指示UPF节点启动或开启或激活或执行安全保护，该安全保护针对业务的数据的方式。

核心网节点向UPF节点或接入网节点指示对业务的数据执行安全保护的网络节点不是UPF节点，以及核心网节点向UPF节点或接入网节点指示对业务的数据执行安全保护的网络节点是接入网节点，具体均可以是核心网节点向UPF节点或接入网节点指示接入网节点启动或开启或激活或执行安全保护，该安全保护针对业务的数据。

此外，在上述对业务的数据执行安全保护的网络节点不是UPF节点中，以及在上述对业务的数据执行安全保护的网络节点是UPF节点中，UPF节点可以指的是特定的UPF节点，例如，终端设备的服务UPF节点。

在上述对业务的数据执行安全保护的网络节点是接入网节点中，以及在上述对业务的数据执行安全保护的网络节点不是接入网节点中，接入网节点可以指的是终端设备的服务接入网节点。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

Claims

一种通信系统中数据的保护方法，其特征在于，所述方法包括：

核心网节点获取终端设备的业务相关联的信息；

所述核心网节点根据所述业务相关联的信息，确定对所述业务的数据执行安全保护的网络节点。
根据权利要求1所述的方法，所述核心网节点根据所述业务相关联的信息，确定对所述业务的数据执行安全保护的网络节点，包括：

所述核心网节点根据所述核心网节点所连接的用户面功能UPF节点的安全能力，以及所述业务相关联的信息，确定所述网络节点；或者，

所述核心网节点根据所述业务相关联的信息与执行安全保护的网络节点之间的对应关系，确定所述网络节点。
根据权利要求1或2所述的方法，所述核心网节点获取终端设备的业务相关联的信息，包括：

所述核心网节点从所述终端设备接收请求消息，所述请求消息用于请求为所述业务建立会话，所述请求消息包含所述业务相关联的信息；或者，

所述核心网节点根据所述核心网节点相关联的切片信息，获取所述业务相关联的信息。
根据权利要求1-3任一项所述的方法，所述网络节点为UPF节点，所述方法还包括：

所述核心网节点发送安全相关的参数给所述UPF节点。
根据权利要求4所述的方法，所述安全相关的参数包括：用户面根密钥K_up，所述终端设备的安全能力和所述UPF节点的安全策略。
根据权利要求4或5所述的方法，所述方法还包括：

所述核心网节点向所述UPF节点指示所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种；或者，

所述核心网节点向所述UPF节点指示所述网络节点是UPF节点。
根据权利要求1-3任一项所述的方法，所述网络节点为UPF节点，且所述核心网节点为SMF节点，所述方法还包括：

所述SMF节点根据所述终端设备的安全能力和所述UPF节点的安全能力，确定UP安全算法；

所述SMF节点根据所述UP安全算法，K_up和所述UPF的安全策略，获得安全密钥；

所述SMF节点发送所述UP安全算法，所述安全密钥和所述业务关联的标识给所述UPF节点。
根据权利要求4-7任一项所述的方法，所述方法还包括：

所述核心网节点发送接入网节点的安全策略和所述业务关联的标识给所述接入网节点。
根据权利要求4-8任一项所述的方法，所述方法还包括：

所述核心网节点向所述接入网节点指示所述网络节点不是接入网节点；或者，

所述核心网节点向所述接入网节点指示所述网络节点是UPF节点；或者，

所述核心网节点向所述接入网节点指示所述业务的数据的UP安全保护方式。
根据权利要求1-3任一项所述的方法，所述网络节点为接入网节点，所述方法还包括：

所述核心网节点发送所述接入网节点的安全策略和所述业务关联的标识给所述接入网节点；

所述核心网节点向所述接入网节点指示所述网络节点是接入网节点，或者，所述核心网节点向所述接入网节点指示所述网络节点不是UPF节点。
根据权利要求10所述的方法，所述方法还包括：

所述核心网节点向所述终端设备的服务UPF节点指示对所述业务的数据不执行安全保护，或者，

所述核心网节点向所述终端设备的服务UPF节点指示所述网络节点不是UPF节点；或者，

所述核心网节点向所述终端设备的服务UPF节点指示所述网络节点是接入网节点。
一种通信系统中数据的保护方法，其特征在于，所述方法包括：

用户面功能UFP节点从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息；

所述UFP节点根据所述网络节点的信息或所述安全保护方式信息，确定是否对所述业务的数据执行安全保护。
根据权利要求12所述的方法，所述网络节点的信息包括：

对所述业务的数据执行安全保护的网络节点是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是UPF节点；或者，

对所述业务的数据执行安全保护的网络节点是UPF节点。
根据权利要求12所述的方法，所述安全保护方式信息包括：所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。
根据权利要求14所述的方法，所述UPF节点根据所述终端设备的安全能力和所述UPF节点的安全能力，确定UP安全算法，包括：

所述UFP节点根据所述UP安全保护方式，所述终端设备的安全能力和所述UPF节点的安全能力，确定所述UP安全算法。
一种通信系统中数据的保护方法，其特征在于，所述方法包括：

接入网节点获取终端设备的业务相关联的信息；

所述接入网节点根据所述业务相关联的信息，确定是否对所述业务的数据执行安全保护。
根据权利要求16所述的方法，所述接入网节点根据所述业务相关联的信息，确定是否对所述业务的数据的执行安全保护，包括：

所述接入网节点根据所述业务相关联的信息和核心网节点所指示的信息，确定是否对所述业务的数据的执行安全保护；

其中，所述指示的信息包括：

对所述业务的数据执行安全保护的网络节点是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是用户面功能UPF节点；或者，

对所述业务的数据执行安全保护的网络节点是UPF节点；或者，

所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。
根据权利要求16或17所述的方法，当确定对所述业务的数据执行安全保护时，所述方法还包括：

所述接入网节点向所述终端设备指示所述接入网节点对所述业务的数据执行安全保护；或者，

所述接入网节点向所述终端设备指示所述业务的数据的接入层AS安全保护方式，所述AS安全保护方式包括加密保护和完整性保护中的至少一种。
根据权利要求16或17所述的方法，当确定对所述业务的数据不执行安全保护时，所述方法还包括：

所述接入网节点向所述终端设备指示所述接入网节点对所述业务的数据不执行安全保护。
一种核心网节点，其特征在于，包括：

获取单元，用于获取终端设备的业务相关联的信息；

确定单元，用于根据所述获取单元获取的所述业务相关联的信息，确定对所述业务的数据执行安全保护的网络节点。
根据权利要求20所述的核心网节点，所述确定单元还用于：

根据所述核心网节点所连接的用户面功能UPF节点的安全能力，以及所述业务相关联的信息，确定所述网络节点；或者，

根据所述业务相关联的信息与执行安全保护的网络节点之间的对应关系，确定所述网络节点。
根据权利要求20或21所述的核心网节点，所述获取单元还用于：

从所述终端设备接收请求消息，所述请求消息用于请求为所述业务建立会话，所述请求消息包含所述业务相关联的信息；或者，

根据所述核心网节点相关联的切片信息，获取所述业务相关联的信息。
根据权利要求20-22任一项所述的核心网节点，所述网络节点为UPF节点，所述核心网节点还包括：

发送单元，用于发送安全相关的参数给所述UPF节点。
根据权利要求23所述的核心网节点，所述安全相关的参数包括：用户面根密钥K_up，所述终端设备的安全能力和所述UPF节点的安全策略。
根据权利要求23或24所述的核心网节点，所述发送单元还用于：

向所述UPF节点指示所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种；或者，

向所述UPF节点指示所述网络节点是UPF节点。
根据权利要求20-22任一项所述的核心网节点，所述网络节点为UPF节点，且所述核心网节点为SMF节点，所述核心网节点还包括发送单元；

所述确定单元用于：根据所述终端设备的安全能力和所述UPF节点的安全能力，确定UP安全算法；根据所述UP安全算法，K_up和所述UPF的安全策略，获得安全密钥；

所述发送单元，用于发送所述UP安全算法，所述安全密钥和所述业务关联的标识给所述UPF节点。
根据权利要求23-26任一项所述的核心网节点，所述发送单元还用于：

发送接入网节点的安全策略和所述业务关联的标识给所述接入网节点。
根据权利要求23-27任一项所述的核心网节点，所述发送单元还用于：

向所述接入网节点指示所述网络节点不是接入网节点；或者，

向所述接入网节点指示所述网络节点是UPF节点；或者，

向所述接入网节点指示所述业务的数据的UP安全保护方式。
根据权利要求20-22任一项所述的核心网节点，所述网络节点为接入网节点，所述核心网节点还包括：

发送单元，用于发送所述接入网节点的安全策略和所述业务关联的标识给所述接入网节点；以及向所述接入网节点指示所述网络节点是接入网节点，或者，所述核心网节点向所述接入网节点指示所述网络节点不是UPF节点。
根据权利要求29所述的核心网节点，所述发送单元还用于：

向所述终端设备的服务UPF节点指示对所述业务的数据不执行安全保护，或者，

向所述终端设备的服务UPF节点指示所述网络节点不是UPF节点；或者，

向所述终端设备的服务UPF节点指示所述网络节点是接入网节点。
一种用户面功能UFP节点，其特征在于，包括：

接收单元，用于从核心网节点接收对终端设备的业务的数据执行安全保护的网络节点的信息或安全保护方式信息；

确定单元，用于根据所述接收单元接收的所述网络节点的信息或所述安全保护方式信息，确定是否对所述业务的数据执行安全保护。
根据权利要求31所述的UFP节点，所述网络节点的信息包括：

对所述业务的数据执行安全保护的网络节点是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是UPF节点；或者，

对所述业务的数据执行安全保护的网络节点是UPF节点。
根据权利要求31所述的UFP节点，所述安全保护方式信息包括：所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。
根据权利要求33所述的UFP节点，所述确定单元还用于：

根据所述UP安全保护方式，所述终端设备的安全能力和所述UPF节点的安全能力，确定所述UP安全算法。
一种接入网节点，其特征在于，包括：

获取单元，用于获取终端设备的业务相关联的信息；

确定单元，用于根据所述获取单元获取的所述业务相关联的信息，确定是否对所述业务的数据执行安全保护。
根据权利要求35所述的接入网节点，所述确定单元还用于：

根据所述业务相关联的信息和核心网节点所指示的信息，确定是否对所述业务的数据的执行安全保护；

其中，所述指示的信息包括：

对所述业务的数据执行安全保护的网络节点是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是接入网节点；或者，

对所述业务的数据执行安全保护的网络节点不是用户面功能UPF节点；或者，

对所述业务的数据执行安全保护的网络节点是UPF节点；或者，

所述业务的数据的用户面UP安全保护方式，所述UP安全保护方式包括加密保护和完整性保护中的至少一种。
根据权利要求35或36所述的接入网节点，当确定对所述业务的数据执行安全保护时，所述接入网节点还包括：

发送单元，用于向所述终端设备指示所述接入网节点对所述业务的数据执行安全保护；或者，向所述终端设备指示所述业务的数据的接入层AS安全保护方式，所述AS安全保护方式包括加密保护和完整性保护中的至少一种。
根据权利要求35或36所述的接入网节点，当确定对所述业务的数据不执行安全保护时，所述接入网节点还包括：

发送单元，用于向所述终端设备指示所述接入网节点对所述业务的数据不执行安全保护。