WO2018176187A1 - 数据传输方法、用户设备和控制面节点 - Google Patents

Abstract

本发明实施例涉及一种数据传输方法、用户设备和控制面节点。通过用户设备UE确定UE的会话的安全属性。当UE的会话的安全属性不满足应用的安全需求时，UE向控制面节点发送会话建立请求消息，该会话建立请求消息用于请求建立对应于该应用的安全需求的会话。也就是说，UE根据应用的安全需求，确定UE的会话是否对应于应用的安全需求。当UE的安全属性不满足应用的安全需求时，触发会话建立流程，为该应用建立对应于安全需求的会话，以减少数据传输过程中新建会话引起的不必要的信令交互，满足不同业务的需求。

Description

数据传输方法、用户设备和控制面节点 技术领域

本申请实施例涉及通信领域，尤其涉及一种数据传输方法、用户设备和控制面节点。

背景技术

端到端(end to end，E2E)安全保护可以在用户数据传输过程中实现安全保护。在终端设备(如用户设备)与网络设备(如基站)之间，由于基站处于低安全区域，容易被攻击，导致用户隐私泄露，将E2E保护链路部署在终端设备与基站的网关处，可以提高用户数据的安全性。并且，E2E的安全保护能够满足不同应用差异化的安全需求，实现不同切片或业务之间的安全隔离。

然而，E2E安全保护会出现如下现象，不同的业务可能对应不同的安全需求。例如，终端设备具有多个会话，当UE发起新的业务时，UE无法确定是重用UE的现有会话，还是发起新的会话建立流程。另外，不同的安全需求可能对应不同的用户面协议栈，而现有技术没有解决UE如何选择合适的用户面协议栈来进行数据传输。

发明内容

本发明实施例提供了一种数据传输方法、用户设备和控制面节点，可以减少数据传输过程中新建会话引起的不必要的信令交互，以满足不同业务的需求。

第一方面，提供了一种数据传输方法，该方法可以包括：用户设备UE确定UE的会话的安全属性。当UE的会话的安全属性不满足应用的安全需求时，UE向控制面节点发送会话建立请求消息，会话建立请求消息用于请求建立对应于应用的安全需求的会话。UE根据应用的安全需求，确定UE的会话是否对应于应用的安全需求。当UE的安全属性不满足应用的安全需求时，触发会话建立流程，为该应用建立对应于安全需求的会话，以满足不同业务的需求。

在一个可选的实现中，安全属性可以包括安全算法(如数据加密标准的加密算法、高级加密标准的加密算法等)、密钥长度(如256比特、128比特等)和加密位置(如因特网协议字段、传输控制协议字段等)中的至少一种安全参数。应用的安全需求也可以包括安全算法、密钥长度和加密位置中的至少一种安全参数。

在一个可选的实现中，在UE向控制面节点发送会话建立请求消息之后，该方法还包括：UE从控制面节点接收会话建立响应消息，会话建立响应消息可以包括对应于应用的安全需求的会话的安全属性。UE根据对应于应用的安全需求的会话的安全属性，发送应用的数据。

在一个可选的实现中，对应于应用的安全需求的会话的安全属性包括加密位置，UE根据对应于应用的安全需求的会话的安全属性，发送应用的数据，包括：UE根据加密位置，确定应用的数据的封装格式。UE根据应用数据的封装格式以及应用的数据，生成数据包， 并发送数据包。

在一个可选的实现中，对应于应用的安全需求的会话的安全属性可以为对应于应用的安全需求的会话对应的切片的安全属性。

在一个可选的实现中，会话建立响应消息还可以包括用户面协议栈指示信息，用户面协议栈指示信息用于指示应用的数据的封装格式。

在一个可选的实现中，会话的安全属性可以为会话对应的切片的安全属性。

在一个可选的实现中，在UE确定UE的会话的安全属性之前，该方法还可以包括：UE向控制面节点发送注册请求消息。UE从控制面节点接收注册响应消息，注册响应消息可以包括UE可接入的切片的安全属性，UE可接入的切片的安全属性可以包含会话对应的切片的安全属性。

在一个可选的实现中，该方法还可以包括：当会话中存在至少一个会话的安全属性对应于应用的安全需求时，UE可以通过至少一个会话中一个会话发送应用的数据。

第二方面，提供了另一种数据传输方法，该方法可以包括：控制面节点接收用户设备UE发送的会话建立请求消息，会话建立请求消息用于请求建立对应于UE的应用的安全需求的会话。控制面节点根据会话建立请求消息，向UE发送会话建立响应消息，会话建立响应消息可以包括对应于应用的安全需求的会话的安全属性。该方法可以使UE根据应用的安全需求，确定UE的会话是否对应于应用的安全需求。当UE的安全属性不满足应用的安全需求时，触发会话建立流程，为该应用建立对应于安全需求的会话，以满足不同业务的需求。

在一个可选的实现中，安全属性可以包括安全算法、密钥长度和加密位置中的至少一种安全参数。应用的安全需求也可以包括安全算法、密钥长度和加密位置中的至少一种安全参数。

在一个可选的实现中，对应于应用的安全需求的会话的安全属性可以为对应于应用的安全需求的会话对应的切片的安全属性。

在一个可选的实现中，会话建立请求消息可以包括会话管理切片选择辅助信息。该方法还可以包括：控制面节点可以根据会话管理切片选择辅助信息，确定对应于应用的安全需求的会话的安全属性。

在一个可选的实现中，会话建立请求消息可以包括应用的安全需求。该方法还可以包括：控制面节点可以根据应用的安全需求，确定对应于应用的安全需求的会话的安全属性。

在一个可选的实现中，会话建立请求消息还可以包括UE的安全能力。控制面节点可以根据应用的安全需求，确定对应于应用的安全需求的会话的安全属性，包括：控制面节点可以根据应用的安全需求和UE的安全能力，确定对应于应用的安全需求的会话的安全属性。

在一个可选的实现中，该方法还可以包括：控制面节点可以根据本地配置策略，确定对应于应用的安全需求的会话的安全属性。或，控制面节点可以从签约服务器接收对应于应用的安全需求的会话的安全属性。或，控制面节点可以从策略决策节点接收索引，并根据索引，确定对应于应用的安全需求的会话的安全属性。

在一个可选的实现中，会话建立响应消息还可以包括用户面协议栈指示信息，用户面 协议栈指示信息可以用于指示对应于应用的安全需求的会话采用的用户面协议栈。该用户面协议栈可以决定应用的数据的封装格式。

在一个可选的实现中，在控制面节点接收UE发送的会话建立请求消息之前，该方法还可以包括：控制面节点可以从UE接收注册请求消息，注册请求消息可以包括配置的切片选择辅助信息。控制面节点可以根据配置的切片选择辅助信息，确定UE可接入的切片的安全属性。控制面节点向UE发送注册响应消息，注册响应消息可以包括UE可接入的切片的安全属性。

第三方面，提供了一种用户设备，该用户设备具有实现上述方法实际中用户设备行为的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第四方面，提供了一种控制面节点，该控制面节点具有实现上述方法实际中控制面节点行为的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第五方面，提供了另一种用户设备。该用户设备可以包括：处理器和发送器。其中，处理器用于确定用户设备UE的会话的安全属性。处理器还用于当UE的会话的安全属性不满足应用的安全需求时，通过发送器向控制面节点发送会话建立请求消息，会话建立请求消息用于请求建立对应于应用的安全需求的会话。

该用户设备还可以包括储存器，该存储器用于与处理器耦合连接，保存该用户设备必要的程序指令和数据。处理器用于执行存储器中的程序，以执行上述方面UE所涉及的动作。

第六方面，提供了一种计算机存储介质，用于储存为上述用户设备所用的计算机软件指令，其包含用于执行上述方面UE所涉及的动作的程序。

第七方面，提供了一种控制面节点。该控制面节点可以包括：接收器、发送器和接收器。其中，处理器，用于通过接收器接收UE发送的会话建立请求消息，会话建立请求消息用于请求建立对应于UE的应用的安全需求的会话。处理器还用于根据会话建立请求消息，通过发送器向UE发送会话建立响应消息，会话建立响应消息包括对应于应用的安全需求的会话的安全属性。该控制面节点还可以包括储存器，该存储器用于与处理器耦合连接，保存该控制面节点必要的程序指令和数据。处理器用于执行存储器中的程序，以执行上述方面控制面节点所涉及的动作。

再一方面，提供了一种计算机存储介质，用于储存为上述控制面节点所用的计算机软件指令，其包含用于执行上述方面控制面节点所涉及的动作的程序。

附图说明

图1为提供的保护链路的结构示意图；

图2为本发明实施例提供的一种数据传输方法的信令交互图；

图3A为本发明实施例提供的一种数据的封装格式的结构示意图；

图3B为本发明实施例提供的另一种数据的封装格式的结构示意图

图3C为本发明实施例提供的再一种数据的封装格式的结构示意图

图4为本发明实施例提供的另一种数据传输方法的信令交互图；

图5为本发明实施例提供的再一种数据传输方法的信令交互图；

图6为本发明实施例提供的再一种数据传输方法的信令交互图；

图7为本发明实施例提供的一种用户设备的结构示意图；

图8为本发明实施例提供的一种控制面节点的结构示意图；

图9为本发明实施例提供的另一种用户设备的结构示意图

图10为本发明实施例提供的另一种控制面节点的结构示意图。

具体实施方式

下面通过附图和实施例，对本申请的技术方案做进一步的详细描述。

本申请提供的数据传输方法应用于无线通信场景的端到端安全保护链路中。如图1所示，该保护链路结构可以包括用户面节点和控制面节点。用户面节点可以包括终端设备、接入网设备(access network，AN)、转发面节点(user plane，UP)和数据网络(data network，DN)。控制面节点可以包括接入和移动性管理节点(access and mobility management function，AMF)实体和会话管理节点(session management function，SMF)实体。

其中，本申请所涉及到的终端设备可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备(英文：wearable device)、计算设备,以及各种形式的用户设备(user equipment,UE)等。本申请所涉及到的接入网设备包括但不限于演进的节点B(evolved NodeB,eNB或者eNodeB)、无线保真接入点(wireless fidelity access point，WiFi AP)、全球微波互操作性接入(worldwide interoperability for microwave access，WiMAX)和基站(base station，BS)等。为方便描述，本申请中上述的终端设备可以统称为UE。

UP实体用于报文处理与转发。UP实体可以是具有分组数据网络网关(packet data network gateway，PDN GW)的转发面功能、服务网关(serving gateway,S-GW)的转发面功能、路由器或交换机等物理或虚拟的转发设备。

DN节点用于报文处理与转发，为用户提供数据传输服务。DN可以是分组数据网络(packet data network，PDN)，如Internet、IP多媒体业务(IP multi-media service，IMS)等。

AMF实体用于移动网络中的移动性管理、转发路径管理，如向UP下发报文转发策略，指示UP根据报文转发策略进行报文处理和转发。

SMF实体用于移动网络中的会话管理，如会话建立、修改和释放。如UE IP地址分配，用户面节点的选择或重选等。

需要说明的是，本发明中涉及的各个实体，如UP实体、AMF实体、SMF实体等，除了以物理机的形式存在，还可以以虚拟机的形式存在，本申请在此不做限定。

图2为本发明实施例提供的一种数据传输方法的信令交互图。如图2所示，该方法可 以包括：

步骤210、UE确定该UE的会话(established session)的安全属性。

其中，该会话可以处于空闲态，也可以处于激活态。

可选地，安全属性可以包括安全算法、密钥长度和加密位置中的至少一种安全参数。其中，安全算法可以包括数据加密标准(data encryption standard，DES)的加密算法、高级加密标准(Advanced Encryption Standard，AES)的加密算法、祖冲之(ZUC)加密算法，(Ron Rivest,Adi Shamir and Leonard Adleman，RSA)加密算法或无加密算法。

密钥长度可以是256比特(bit)、128bit、64bit或0bit(即无密钥字段)。

加密位置(或称加密字段)可以是因特网协议(internet protocol，IP)字段或传输控制协议(Transmission Control Protocol，TCP)字段(或用户数据包协议(User Datagram Protocol，UDP))。例如，加密位置的安全参数可以体现为IP字段加密或IP字段不加密，TCP字段加密或TCP字段字段不加密，以及相应IP字段的加密情况和TCP字段的加密情况的组合。

密钥长度的安全算法可以包括AES加密算法结合128bit的密钥长度、AES加密算法结合256bit的密钥长度或RSA加密算法结合512bit的密钥长度。

可选地，UE确定该UE的会话的安全属性可以通过该UE获取该UE的会话的安全属性来实现，例如，可以是UE通过会话建立流程或注册流程获取该UE的会话的安全属性，也可以是从UE的存储器中获取UE的会话的安全属性，不予限制。。

可选地，会话的安全属性也可以是会话对应的切片的安全属性。也就是说，会话的安全属性可以为会话对应的切片的安全属性，换言之，会话的安全属性可以是为会话提供服务的切片的安全属性。

可选地，在UE确定该UE的会话的安全属性之前，会话对应的切片的安全属性可以通过注册过程获取。注册过程指的是UE注册到运营商网络以获取运营商服务的过程。

在一个示例中，UE向控制面节点发送注册请求消息，该注册请求消息包括配置的切片选择辅助信息(Configured Network sl ice selection assistance information，Configured NSSAI)，以使控制面节点根据切片选择辅助信息，确定UE可接入的切片的安全属性，从而向UE发送注册响应消息，该注册响应消息可以包括UE可接入的切片的安全属性。其中，UE可接入的切片的安全属性对应至少一个会话的安全属性。

UE启动一个应用(application，APP)，当会话中存在至少一个会话的安全属性对应于该应用的安全需求时，UE通过至少一个会话中一个会话发送应用的数据。

步骤220、当该UE的会话的安全属性不满足应用的安全需求时，该UE向控制面节点发送会话建立请求消息。

其中，该会话建立请求消息可以用于请求建立对应于应用的安全需求的会话。

相应地，控制面节点接收UE发送的会话建立请求消息。

其中，该应用可以为用户通过UE开启的应用，如百度网页、新浪微博等。该应用的安全需求可以由运营商配置在UE上或由UE的生产商配置在UE上。

可选地，应用的安全需求可以包括安全算法、密钥长度和加密位置中的至少一种安全参数。

其中，应用的安全需求包含的安全参数与会话的安全属性包含的安全参数可以相同 也可以不同。

在一个示例中，当上述应用的安全需求包括的安全参数与会话的安全属性包含的安全参数相同或低于会话的安全属性时，UE确定会话的安全属性对应于UE的应用的安全需求，此时该应用的数据可以通过会话进行传输，即UE对该会话进行重用。

在另一个示例中，当上述应用的安全需求包含的安全参数与会话的安全属性包含的安全参数不相同时，UE确定会话的安全属性不满足UE的应用的安全需求。也就是说，上述应用的数据不能在该会话上传输，执行步骤220。

例如，若会话的安全属性中的安全算法为DES加密算法，应用的安全需求中的安全算法为AES加密算法。由于两种加密算法不同，导致UE刚发起的应用不能在该会话上运行。

若会话的安全属性中的密钥长度为64bit，应用的安全需求中的密钥长度为256bit。由于64bit远小于256bit，导致UE刚发起的应用不能在该会话上运行。

若会话的安全属性中的密钥长度为256bit，应用的安全需求中的密钥长度为64bit。由于64bit远小于256bit，因此UE刚发起的应用可以在该会话上运行。

若会话的安全属性中密钥长度和安全算法分别为AES加密算法和128bit的密钥长度，应用的安全需求中密钥长度和安全算法分别为AES加密算法和512bit的密钥长度。可见二者的加密算法相同，但该会话的安全属性中密钥长度小于应用的安全需求中密钥长度，导致UE刚发起的应用不能在该会话上运行。

可选地，会话的安全属性可以为会话对应的切片的安全属性。对应于应用的安全需求的会话的安全属性可以为对应于应用的安全需求的会话对应的切片的安全属性。

其中，控制面节点可以是AMF实体，或SMF实体，或AMF实体和SMF实体。该会话建立请求消息用于请求建立对应于应用的安全需求的会话，以进行数据传输。

步骤230、控制面节点根据会话建立请求消息，向UE发送会话建立响应消息。

其中，该会话建立响应消息包括对应于应用的安全需求的会话的安全属性。

可选地，该会话建立响应消息包括指示信息，而不包括对应于应用的安全需求的会话的安全属性。该指示信息用于指示UE根据应用的安全需求，发送该应用的数据。比如，当会话对应的安全属性与应用的安全需求相同时，该会话建立响应消息可以只包含指示信息。

在一种实施场景下，会话建立请求消息包括上述应用的安全需求。

可选地，步骤230包括：控制面节点根据应用的安全需求，确定对应于应用的安全需求的会话的安全属性。

其中，控制面节点根据应用的安全需求可以通过以下方式确定对应于应用的安全需求的会话的安全属性，具体可以采用以下方式：

方式(1)、控制面节点根据本地配置策略，确定对应于应用的安全需求的会话的安全属性。

运营商对控制面节点进行初始化配置，配置出应用的安全需求与会话的安全属性的对应表，如表1。

表1

应用的安全需求	会话的安全属性
A	X
B	Y

表1中，当控制面节点接收到应用的安全需求为A时，控制面节点在本地配置策略表中查询出应用的安全需求A对应的会话的安全属性为X，则控制面节点确定会话的安全属性X为对应于应用的安全需求A的会话的安全属性。当控制面节点接收到应用的安全需求为B时，控制面节点在本地配置策略表中查询出应用的安全需求B对应的会话的安全属性为Y，则控制面节点确定会话的安全属性Y为对应于应用的安全需求B的会话的安全属性。

方式(2)、控制面节点从签约服务器接收对应于应用的安全需求的会话的安全属性。

运营商对签约服务器进行初始化配置，配置出应用的安全需求与会话的安全属性的对应表，如表1。

控制面节点向签约服务器发送安全属性获取请求消息，该获取请求消息可以包括应用的安全需求，签约服务器将接收到的应用的安全需求，在对应表中进行查询，获取对应于该应用的安全需求对应的会话的安全属性。

签约服务器向控制面节点发送获取请求响应消息，该响应消息可以包括会话的安全属性，从而使控制面节点接收对应于应用的安全需求的会话的安全属性。

方式(3)、控制面节点从策略决策节点接收索引，并根据索引确定对应于应用的安全需求的会话的安全属性。

控制面节点存储索引与会话的安全属性的对应表，如表2。

表2

索引	会话的安全属性
1	X
2	Y

运营商对策略决策节点进行初始化配置，配置出应用的安全需求与控制面节点中索引的对应表3。

表3

应用的安全需求	索引
A	1
B	2

控制面节点向策略决策节点发送安全属性获取请求消息，该获取请求消息可以包括应用的安全需求A。策略决策节点根据应用的安全需求A，查找表3确定对应于该应用的安全需求A的索引值为1，策略决策节点向控制面节点发送获取请求响应消息，该获取响应消息可以包括该索引值1，控制面节点根据该索引值1查询表2，确定对应于应用的安全需求A的会话的安全属性X。

可选地，会话建立请求消息还包括UE的安全能力。

其中，UE的安全能力可以是UE自身的配置策略。例如，在加密位置方面，该配置策略可以包括UE只支持IP层加密，不支持传输层加密；在密钥长度方面，该配置策略可以只支持256bit，或128bit，或64bit；在安全算法方面，该配置策略可以只支持DES加密算法，或者DES加密算法、AES加密算法、ZUC加密算法和RSA加密算法中的一种或多种。

结合上述三种方式，控制面节点根据应用的安全需求和UE的安全能力，确定对应于应用的安全需求的会话的安全属性。

示例性的，控制面节点根据UE的安全能力，识别该UE是否能够支持该应用的安全需求。若控制面节点识别出该UE能够支持该应用的安全需求，如UE的安全能力为支持IP层加密，密钥长度为256bit，应用的安全需求包含的安全参数为IP层加密，密钥长度为64bit。此时控制面节点可以通过上述三种方式，确定对应于应用的安全需求的会话的安全属性。

在另一种实施场景下，当会话的安全属性为会话对应的切片的安全属性时，会话建立请求消息可以包括会话管理切片选择辅助信息(session management-network slice selection assistance information，SM-NSSAI)。

可选地，步骤230包括：控制面节点根据会话管理切片选择辅助信息，确定对应于应用的安全需求的会话的安全属性。

例如，控制面节点可以通过本地配置策略的方式、从签约服务器获取的方式和从策略决策节点获取索引的方式，确定对应于应用的安全需求的切片的安全属性，从而确定对应于应用的安全需求的会话的安全属性。

需要说明的是，控制面节点还可以通过其他方式确定对应于应用的安全需求的会话的安全属性，本发明实施例在此不作限定。

可选地，会话建立响应消息还可以包括用户面协议栈指示信息，用户面协议栈指示信息用于指示对应于应用的安全需求的会话采用的用户面协议栈，该用户面协议栈决定应用的数据的封装格式。

可选地，上述方法还包括步骤240。

步骤240、UE根据对应于应用的安全需求的会话的安全属性，发送该应用的数据。

在一个示例中，UE可以根据会话的安全属性中的加密位置，确定应用的数据的封装格式。举例说明如下：

若会话的安全属性中的加密位置为IP字段，即IP字段需要加密，则UE在对应用的数据进行封装时，对IP层加密，其封装方式可以如图3A所示，应用的数据从应用层经IP层、加密安全层、传输层、数据链路层向物理层传输。

若会话的安全属性中的加密位置为TCP字段，即TCP字段需要加密(其中，传输层可以采用TCP协议等)，则UE在对应用的数据进行封装时，需要对传输层加密，其封装方式可以如图3B所示，应用的数据从应用层经IP层、传输层、加密安全层、数据链路层向物理层传输。

若会话的安全属性中不含加密位置，则UE在对应用的数据进行封装时，不对任何层加密，其封装方式可以如图3C所示，应用的数据从应用层经IP层、传输层、数据链路层向物理层传输。

可见，UE可以按照应用数据的封装格式对应用的数据进行封装，生成相应数据包，并发送数据包。

再一种实施场景下，当会话的安全属性为会话对应的切片的安全属性时，会话建立请求消息可以包括SM-NSSAI和应用的安全需求。可选地，步骤230包括：控制面节点根据SM-NSSAI和应用的安全需求，确定对应于应用的安全需求的会话的安全属性。

控制面节点向UE发送会话建立响应消息。该会话建立响应消息包括对应于应用的安全需求的会话的安全属性。可选地，该会话建立响应消息包括指示信息，而不包括对应于应用的安全需求的会话的安全属性。其中，该指示信息用于指示UE根据应用的安全需求，发送该应用的数据。比如，当会话对应的安全属性与应用的安全需求相同时，该会话建立响应消息可以只包含指示信息，而不包括对应于应用的安全需求的会话的安全属性。

由此可知，UE根据应用的安全需求，确定UE的会话是否对应于应用的安全需求。当会话的安全属性对应于应用的安全需求时，使用该会话进行该应用的业务数据传输，即实现会话的重新使用，提高已建会话的利用率。当UE的会话的安全属性不满足应用的安全需求时，触发会话建立流程，为该应用建立对应于安全需求的会话，以满足不同业务的需求。

在会话的安全属性不满足应用的安全需求时，下面对UE对应用的业务数据的传输方法。

图4为本发明实施例提供的一种数据传输方法的信令交互图。该实施例中以控制面节点为SMF实体为例进行说明，具体如下。

步骤410、UE向SMF实体发送会话建立请求消息。

可选地，UE可以通过AN节点、AMF实体向SMF实体发送会话建立请求，该会话建立请求消息用于请求建立对应于应用的安全需求的会话，以进行数据传输。

步骤420、SMF实体根据会话建立请求消息，确定对应于应用的安全需求的会话的安全属性。

其中，会话建立请求消息可以包括应用的安全需求。

此时，控制面节点可以根据应用的安全需求，确定对应于应用的安全需求的会话的安全属性，例如，控制面节点可以通过本地配置策略的方式、从签约服务器获取的方式或从策略决策节点获取索引的方式，确定对应于应用的安全需求的会话的安全属性。

可选地，在切片场景中，会话建立请求消息还可以包括会话管理切片选择辅助信息(session management-network slice selection assistance information，SM-NSSAI)，以用于指示一个切片，从而选择对应于应用安全需求的切片。

步骤430、SMF实体根据对应于应用的安全需求的会话的安全属性，选择该会话采用的用户面协议栈和UP实体。

步骤440、SMF实体向UP实体发送用户面路径建立请求消息。

其中，用户面路径建立请求消息可以用于触发AN节点与UP实体之间的用户面路径建立。

其中，用户面路径建立请求消息可以包括对应于应用的安全需求的会话的安全属性，以用于指示UP实体采用合适的用户面协议栈。

可选地，用户面路径建立请求消息还可以包括用户面协议栈指示信息，该用户面协议栈指示信息可以用于指示UP实体采用合适的用户面协议栈。

步骤450、UP实体向SMF实体发送用户面路径建立应答消息。

可选地，用户面路径建立应答消息可以包括UP实体的标识信息，如UP实体的IP。

步骤460、SMF实体向UE发送会话建立响应消息。

其中，该会话建立响应消息可以包括对应于应用的安全需求的会话的安全属性。

可选地，会话建立响应消息还可以包括用户面协议栈指示信息，用户面协议栈指示信息用于指示对应于应用的安全需求的会话采用的用户面协议栈，该用户面协议栈决定应用的数据的封装格式，如图3A、图3B和图3C所示。

例如，UE可以按照应用数据的封装格式对应用的数据进行封装，生成相应数据包，并进行该应用的业务数据的传输。

可选地，当对应于应用的安全需求的会话的安全属性为对应于应用的安全需求的会话对应的切片的安全属性时，UE可以在注册过程中获取会话对应的切片的安全属性。

图5为本发明实施例提供的再一种数据传输方法的信令交互图。该实施例中以控制面节点为AMF实体为例进行说明，具体如下。

步骤510、UE向AMF实体发送注册请求消息。

UE可以通过AN节点向AMF实体发送注册请求消息，该注册请求消息可以包括配置的切片选择辅助信息(configured network slice selection assistance information，Configured NSSAI)。

步骤520、AMF实体根据配置的切片选择辅助信息，确定UE可接入的切片的安全属性。

在执行步骤520之前，AMF实体发起对UE的鉴权、授权过程，以完成相应的鉴权、授权过程。

在一个示例中，AMF实体可以根据配置的切片选择辅助信息，获取可接入的切片选择辅助信息(accepted NSSAI)以及可接入的切片的安全属性。可接入的切片选择辅助信息可以包括至少一个会话管理切片选择辅助信息。

可选地，AMF实体还可以通过以下获取方法，获取可接入的切片选择辅助信息以及可接入的切片的安全属性。可接入的切片的安全属性可以包括至少一个切片的安全属性。

方法一，AMF实体根据配置的切片选择辅助信息，确定可接入的切片选择辅助信息后，向SMF实体发送安全属性获取请求消息，安全属性获取请求消息可以包括可接入的切片选择辅助信息。

例如，SMF实体根据可接入的切片选择辅助信息，获取可接入的切片选择辅助信息对应的可接入的切片以及相应切片的安全属性。SMF实体向AMF实体发送安全属性获取响应消息，该响应消息可以包括可接入的切片选择辅助信息和可接入切片的安全属性，以使AMF实体获取可接入切片的安全属性。

方法二，AMF实体根据配置的切片选择辅助信息，确定可接入的切片选择辅助信息后，AMF实体向策略决策节点发送安全属性获取请求消息，安全属性获取请求消息包括可接入的切片选择辅助信息。

例如，策略决策节点可以根据可接入的切片选择辅助信息，获取可接入的切片选择辅助信息对应的可接入的切片以及相应切片的安全属性。

策略决策节点向AMF实体发送安全属性获取响应消息，该响应消息可以包括可接入的切片选择辅助信息和可接入切片的安全属性，以使AMF实体获取可接入切片的安全属性。

方法三，基于方法一的实施过程，AMF实体还可以通过SMF实体向策略节点发送安全属性获取请求消息，以通过SMF实体从策略节点获取可接入的切片选择辅助信息和可接入切片的安全属性。

可选地，注册请求消息还包括UE的安全能力。

结合上述三种方式，AMF实体根据配置的切片选择辅助信息和UE的安全能力，确定对应于应用的安全需求的会话的安全属性。具体方法描述可以参考步骤230，本发明实施例此处不再赘述。

步骤530、AMF实体向UE发送注册响应消息。

其中，该注册响应消息可以包括可接入切片的安全属性。

可选地，UE完成注册过程，即UE获取可接入的切片选择辅助信息和可接入切片的安全属性，UE根据可接入的切片选择辅助信息中的至少一个会话管理切片选择辅助信息SM-NSSAI和至少一个会话管理切片选择辅助信息与业务的关系，配置应用业务与切片的安全属性的对应表。如表4所示，

表4

业务	SM-NSSAI	切片的安全属性
APP1	SM-NSSAI1	安全属性1
APP2	SM-NSSAI1	安全属性1
APP3	SM-NSSAI2	安全属性2

表4中，UE根据APP1对应的SM-NSSAI1，获取APP1对应的切片的安全属性1；UE根据APP2对应的SM-NSSAI1，获取APP2对应的切片的安全属性1，也就是说，APP1与APP2的安全需求相同；UE根据APP3对应的SM-NSSAI2，获取APP3对应的切片的安全属性2。

可选地，UE还可以通过运营商配置的预置策略，获取会话对应的切片的安全属性。如表5所示，

表5

默认策略	业务	SM-NSSAI	切片的安全属性
策略1	APP1	SM-NSSAI1	安全属性1
策略2	APP2	SM-NSSAI1	安全属性1
策略3	APP3	SM-NSSAI2	安全属性2

表5中，默认策略中策略1、策略2和策略3分别为UE存储的运营商配置的三种策略。

在第一示例中，当UE开启APP1时，UE根据APP1与SM-NSSAI1的对应关系，以及SM-NSSAI1与切片的安全属性的对应关系，确定APP1对应的切片的安全属性为安全属性1。

在第二个示例中，当UE开启APP2时，UE根据APP2与SM-NSSAI1的对应关系，以及 SM-NSSAI1与切片的安全属性的对应关系，确定APP2对应的切片的安全属性为安全属性1，可以理解的是，由于APP1对应的切片的安全属性为安全属性1，APP2对应的切片的安全属性也为安全属性1，故APP1与APP2的安全需求相同。

在第三个示例中，当UE开启APP3时，UE根据APP3与SM-NSSAI2的对应关系，以及SM-NSSAI2与切片的安全属性的对应关系，确定APP3对应的切片的安全属性为安全属性2。

可见，当UE启动应用，UE根据应用与SM-NSSAI的对应关系，以及SM-NSSAI与切片的安全属性的对应关系，确定应用的安全需求，即应用对应的切片的安全属性。然后UE判断该应用对应的切片中是否存在会话，如果存在，表明该会话对应的安全属性对应于应用的安全需求，则UE通过的会话中的一个会话来传输应用的数据；否则，UE拒绝该应用。也就是说，UE启动应用，当会话中存在至少一个会话的安全属性对应于该应用的安全需求时，UE通过至少一个会话中的一个会话发送应用的数据。此处会话的安全属性指的是会话对应的切片的安全属性。

需要说明的是，表4和表5的示例中，切片的安全属性可以作为SM-NSSAI的一部分，如以字段形式体现在SM-NSSAI中，即SM-NSSAI的某一些字段用于标识切片的安全属性。

图6为本发明实施例提供的再一种数据传输方法的信令交互图。如图6所示，该方法可以包括：

步骤610、UE向SMF实体发送会话建立请求消息。

其中，该会话建立请求消息可以用于请求建立对应于应用的安全需求的会话。

可选地，UE可以通过AN节点、AMF实体向SMF实体发送会话建立请求。

步骤620、SMF实体根据会话建立请求消息，确定对应于应用的安全需求的会话对应的切片的安全属性。

其中，该会话建立请求消息可以包括SM-NSSAI。进而，SMF实体可以根据SM-NSSAI，确定与SM-NSSAI对应切片的安全属性。

可选地，该会话建立请求消息还包括UE的安全能力。进而，SMF实体可以根据SM-NSSAI以及UE的安全能力，确定与SM-NSSAI对应切片的安全属性。具体实现方法可以参照步骤230的描述，本发明实施例在此不做赘述。

可选地，SMF实体根据SM-NSSAI，确定对应于应用的安全需求的会话对应切片的安全属性的方法可以参照步骤520中的获取方法来实现，本发明实施例在此不做赘述。

步骤630、SMF实体根据对应于应用的安全需求的会话对应的切片的安全属性，选择用户面协议栈和UP实体。

该步骤的实施过程与步骤430的实施过程相似，在此不再赘述。

步骤640、SMF实体向UP实体发送用户面路径建立请求消息。

其中，该用户面路径建立请求消息用于触发AN节点与UP实体之间的用户面路径建立。

可选地，用户面路径建立请求消息可以包括切片的安全属性，以指示UP实体当前会话的安全属性，以及指示UP实体根据会话的安全属性，使用合适的用户面协议栈。

可选地，用户面路径建立请求还可以包括用户面协议栈指示信息，以用于指示目标UP采用合适的用户面协议栈。

步骤650、UP实体向SMF实体发送用户面路径建立应答消息。

其中，该用户面路径建立应答消息用于建立AN节点与UP实体之间的用户面路径。

可选地，用户面路径建立应答消息可以包括UP实体的标识信息，如UP实体的IP。

步骤660、SMF实体向UE发送会话建立响应消息。

其中，该会话建立响应消息可以包括SM-NSSAI对应的切片的安全属性。

可选地，该会话建立响应消息包括指示信息，而不包括SM-NSSAI对应的切片的安全属性。该指示信息可以用于指示UE根据应用的安全需求，发送该应用的数据。比如，当SMF实体确定的SM-NSSAI对应切片的安全属与应用的安全需求相同时，该会话建立响应消息可以只包含指示信息。

可选地，该会话建立响应消息还可以包括用户面协议栈指示信息，用户面协议栈指示信息用于指示对应于应用的安全需求的会话采用的用户面协议栈，该用户面协议栈可以用于决定应用的数据的封装格式。

例如，UE可以按照应用数据的封装格式对应用的数据进行封装，生成相应数据包，并进行该应用的业务数据的传输。

UE启动应用后，UE根据应用的安全需求，选择SM-NSSAI，再根据SM-NSSAI与切片的安全属性的对应关系，确定对应于应用的安全需求的切片的安全属性，从而建立新会话，进行数据传输，以减少新会话引起的不必要的信令交互。

与上述方法对应的，本发明实施例提供的一种UE，如图7所示，该用户设备可以包括：

处理单元710，用于确定UE的会话的安全属性。

发送单元720，用于当UE的会话的安全属性不满足应用的安全需求时，向控制面节点发送会话建立请求消息，会话建立请求消息用于请求建立对应于应用的安全需求的会话。

其中，确定用户设备UE的会话的安全属性的实现方式可以参见步骤210的相关描述，不再赘述。此外，控制面节点可以是AMF实体或SMF实体，或该控制面节点包括：AMF实体和SMF实体。

可选地，安全属性包括安全算法、密钥长度和加密位置中的至少一种安全参数。应用的安全需求包括安全算法、密钥长度和加密位置中的至少一种安全参数。

可选地，该设备还包括接收单元730，接收单元730，用于从控制面节点接收会话建立响应消息，会话建立响应消息包括对应于应用的安全需求的会话的安全属性。

发送单元720，还用于根据对应于应用的安全需求的会话的安全属性，发送应用的数据。

可选地，处理单元710，还用于根据加密位置，确定应用的数据的封装格式，并根据应用数据的封装格式以及应用的数据，生成数据包。

发送单元720，还用于发送数据包。

可选地，对应于应用的安全需求的会话的安全属性为对应于应用的安全需求的会话对应的切片的安全属性。

可选地，会话建立响应消息还包括用户面协议栈指示信息，用户面协议栈指示信息用 于指示应用的数据的封装格式。

可选地，会话的安全属性为会话对应的切片的安全属性。

可选地，发送单元720，还用于向控制面节点发送注册请求消息。

接收单元730，还用于从控制面节点接收注册响应消息，注册响应消息包括UE可接入的切片的安全属性，UE可接入的切片的安全属性包含所述会话对应的切片的安全属性。

可选地，发送单元720，还用于当会话中存在至少一个会话的安全属性对应于应用的安全需求时，通过至少一个会话中一个会话发送应用的数据。

该用户设备的各功能单元的功能，可以通过上述方法中UE的各步骤来实现，因此，本发明上述实施例提供的用户设备的具体工作过程，在此不复赘述。

与上述方法对应的，本发明实施例提供的一种控制面节点，该控制面节点可以是AMF实体或SMF实体，或该控制面节点包括AMF实体和SMF实体。如图8所示，该控制面节点可以包括：接收单元810和发送单元820。

接收单元810，用于接收UE发送的会话建立请求消息，会话建立请求消息用于请求建立对应于UE的应用的安全需求的会话。

发送单元820，用于根据会话建立请求消息，向UE发送会话建立响应消息，会话建立响应消息包括对应于应用的安全需求的会话的安全属性。

可选地，安全属性包括安全算法、密钥长度和加密位置中的至少一种安全参数。应用的安全需求包括安全算法、密钥长度和加密位置中的至少一种安全参数。

可选地，对应于应用的安全需求的会话的安全属性为对应于所述应用的安全需求的会话对应的切片的安全属性。

可选地，控制面节点还包括处理单元830，会话建立请求消息包括会话管理切片选择辅助信息。

处理单元830，用于根据会话管理切片选择辅助信息，确定对应于应用的安全需求的会话的安全属性。

可选地，会话建立请求消息包括所述应用的安全需求；

处理单元830，还用于根据应用的安全需求，确定对应于应用的安全需求的会话的安全属性。

可选地，会话建立请求消息还包括所述UE的安全能力；处理单元830，还用于根据应用的安全需求和UE的安全能力，确定对应于应用的安全需求的会话的安全属性。

可选地，处理单元830，还用于根据本地配置策略，确定对应于应用的安全需求的会话的安全属性；或，

接收单元810，还用于从签约服务单元接收对应于应用的安全需求的会话的安全属性；或，

接收单元810，还用于从策略决策节点接收索引，并根据索引，确定对应于应用的安全需求的会话的安全属性。

可选地，会话建立响应消息还包括用户面协议栈指示信息，用户面协议栈指示信息用于指示对应于应用的安全需求的会话采用的用户面协议栈。

可选地，接收单元810，还用于从UE接收注册请求消息，注册请求消息包括配置的 切片选择辅助信息。

处理单元830，还用于根据切片选择辅助信息，确定UE可接入的切片的安全属性。

发送单元820，还用于向UE发送注册响应消息，注册响应消息包括UE可接入的切片的安全属性。

该控制面节点的各功能单元的功能，可以通过上述方法中控制面节点的各步骤来实现，因此，本发明上述实施例提供的控制面节点的具体工作过程，在此不复赘述。

图9为本发明实施例提供的另一种用户设备的结构示意图。

该用户设备至少包括处理器910、发送器920和接收器930。

可选地，用户设备还可以包括储存器930。其中，发送器920和接收器930可以是天线。

处理器910可以是中央处理器(central processing unit，CPU)，或者CPU和硬件芯片的组合。上述硬件芯片可以是专用集成电路(pplication-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。处理器910用于控制整个网络设备以及信号处理。

存储器930可以包括易失性存储器，例如随机存取存储器(RAM)；存储器930也可以包括非易失性存储器，例如只读存储器(ROM)，快闪存储器(flash memory)，硬盘或固态硬盘。存储器930还可以包括上述种类的存储器的组合。存储器930用于存储各种应用，操作系统和数据。存储器930可以将存储的数据传输给处理器910。

可以理解的是，存储器930可以集成在处理器910中，也可以独立存在。

存储器930，用于存储程序；

处理器910，用于执行存储器930中的程序，以执行上述各方法实施例中UE的步骤。

在一个示例中，处理器910，用于确定UE的会话的安全属性。处理器910，还用于当UE的会话的安全属性不满足应用的安全需求时，通过发送器920向控制面节点发送会话建立请求消息，会话建立请求消息用于请求建立对应于应用的安全需求的会话。

由于上述实施例中用户设备的各器件解决问题的实施方式以及有益效果可以参见上述方法实施方式以及有益效果，故在此不复赘述。

图10为本发明实施例提供的另一种控制面节点的结构示意图。该控制面节点可以是AMF实体或SMF实体，或该控制面节点包括AMF实体和SMF实体。

该控制面节点至少包括处理器1010、发送器1020和接收器1030。

可选地，该控制面节点还可以包括储存器1030。其中，发送器1020和接收器1030可以是天线，即无线通信接口，也可以是有线通信接口，不予限制。当发送器1020和接收器1030为有线通信接口时，两者可以为同一个通信接口，也可以为不同的通信接口。

处理器1010可以是CPU，或者CPU和硬件芯片的组合。上述硬件芯片可以是ASIC，PLD或其组合。上述PLD可以是CPLD，FPGA，GAL或其任意组合。处理器1010用于控制整个网络设备以及信号处理。

存储器1030可以包括易失性存储器，例如随机存取存储器(RAM)；存储器1030也可以包括非易失性存储器，例如只读存储器(ROM)，快闪存储器(flash memory)，硬盘或固态硬盘。存储器1030还可以包括上述种类的存储器的组合。存储器1030用于存储各种应用，操作系统和数据。存储器1030可以将存储的数据传输给处理器1010。

可以理解的是，存储器1030可以集成在处理器1010中，也可以独立存在。

存储器1030，用于存储程序；

处理器1010，用于执行存储器1030中的程序，以执行上述各方法实施例中控制面节点的步骤。

在一个示例中，处理器1010用于通过接收器1030接收UE发送的会话建立请求消息，会话建立请求消息用于请求建立对应于所述UE的应用的安全需求的会话。处理器1010，还用于根据会话建立请求消息，通过发送器1020向UE发送会话建立响应消息，会话建立响应消息包括对应于应用的安全需求的会话的安全属性。

由于上述实施例中控制面节点的各器件解决问题的实施方式以及有益效果可以参见上述方法实施方式以及有益效果，故在此不复赘述。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令处理器完成，所述的程序可以存储于计算机可读存储介质中，所述存储介质是非短暂性(non-transitory)介质，例如随机存取存储器，只读存储器，快闪存储器，硬盘，固态硬盘，磁带(magnetic tape)，软盘(floppy disk)，光盘(optical disc)及其任意组合。

以上所述，仅为本申请较佳的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims (36)

1. 一种数据传输方法，其特征在于，所述方法包括：

   用户设备UE确定所述UE的会话的安全属性；

   当所述UE的会话的安全属性不满足应用的安全需求时，所述UE向控制面节点发送会话建立请求消息，所述会话建立请求消息用于请求建立对应于所述应用的安全需求的会话。
2. 根据权利要求1所述的方法，其特征在于，所述安全属性包括安全算法、密钥长度和加密位置中的至少一种安全参数；所述应用的安全需求包括安全算法、密钥长度和加密位置中的至少一种安全参数。
3. 根据权利要求1或2所述的方法，其特征在于，在所述UE向控制面节点发送会话建立请求消息之后，所述方法还包括：

   所述UE从所述控制面节点接收会话建立响应消息，所述会话建立响应消息包括所述对应于所述应用的安全需求的会话的安全属性；

   所述UE根据所述对应于所述应用的安全需求的会话的安全属性，发送所述应用的数据。
4. 根据权利要求3所述的方法，其特征在于，所述对应于所述应用的安全需求的会话的安全属性包括加密位置，所述UE根据所述对应于所述应用的安全需求的会话的安全属性，发送所述应用的数据，包括：

   所述UE根据所述加密位置，确定所述应用的数据的封装格式；

   所述UE根据所述应用数据的封装格式以及所述应用的数据，生成数据包，并发送所述数据包。
5. 根据权利要求3或4所述的方法，其特征在于，所述对应于所述应用的安全需求的会话的安全属性为所述对应于所述应用的安全需求的会话对应的切片的安全属性。
6. 根据权利要求3-5任一项所述的方法，其特征在于，所述会话建立响应消息还包括用户面协议栈指示信息，所述用户面协议栈指示信息用于指示所述应用的数据的封装格式。
7. 根据权利要求1-6任一项所述的方法，其特征在于，所述会话的安全属性为所述会话对应的切片的安全属性。
8. 根据权利要求7所述的方法，其特征在于，在所述UE确定所述UE的会话的安全属性之前，所述方法还包括：

   所述UE向所述控制面节点发送注册请求消息；

   所述UE从所述控制面节点接收注册响应消息，所述注册响应消息包括所述UE可接入的切片的安全属性，所述UE可接入的切片的安全属性包含所述会话对应的切片的安全属性。
9. 根据权利要求1-8任一项所述的方法，其特征在于，所述方法还包括：

   当所述会话中存在至少一个会话的安全属性对应于所述应用的安全需求时，所述UE通过所述至少一个会话中一个会话发送所述应用的数据。
10. 一种数据传输方法，其特征在于，所述方法包括：

    控制面节点接收用户设备UE发送的会话建立请求消息，所述会话建立请求消息用于请求建立对应于所述UE的应用的安全需求的会话；

    所述控制面节点根据所述会话建立请求消息，向所述UE发送会话建立响应消息，所述会话建立响应消息包括对应于所述应用的安全需求的会话的安全属性。
11. 根据权利要求10所述的方法，其特征在于，所述安全属性包括安全算法、密钥长度和加密位置中的至少一种安全参数；所述应用的安全需求包括安全算法、密钥长度和加密位置中的至少一种安全参数。
12. 根据权利要求10或11所述的方法，其特征在于，所述对应于所述应用的安全需求的会话的安全属性为所述对应于所述应用的安全需求的会话对应的切片的安全属性。
13. 根据权利要求10-12任一项所述的方法，其特征在于，所述会话建立请求消息包括会话管理切片选择辅助信息；所述方法还包括：

    所述控制面节点根据所述会话管理切片选择辅助信息，确定对应于所述应用的安全需求的会话的安全属性。
14. 根据权利要求10-12任一项所述的方法，其特征在于，所述会话建立请求消息包括所述应用的安全需求；所述方法还包括：

    所述控制面节点根据所述应用的安全需求，确定对应于所述应用的安全需求的会话的安全属性。
15. 根据权利要求14所述的方法，其特征在于，所述会话建立请求消息还包括所述UE的安全能力；

    所述控制面节点根据所述应用的安全需求，确定对应于所述应用的安全需求的会话的安全属性，包括：

    所述控制面节点根据所述应用的安全需求和所述UE的安全能力，确定对应于所述应用的安全需求的会话的安全属性。
16. 根据权利要求10-12任一项所述的方法，其特征在于，所述方法还包括：

    所述控制面节点根据本地配置策略，确定对应于所述应用的安全需求的会话的安全属性；或，

    所述控制面节点从签约服务器接收对应于所述应用的安全需求的会话的安全属性；或，

    所述控制面节点从策略决策节点接收索引；

    所述控制面节点根据所述索引，确定对应于所述应用的安全需求的会话的安全属性。
17. 根据权利要求10-15任一项所述的方法，其特征在于，所述会话建立响应消息还包括用户面协议栈指示信息，所述用户面协议栈指示信息用于指示所述对应于所述应用的安全需求的会话采用的用户面协议栈。
18. 根据权利要求10-16任一项所述的方法，其特征在于，在所述控制面节点接收UE发送的会话建立请求消息之前，所述方法还包括：

    所述控制面节点从所述UE接收注册请求消息，所述注册请求消息包括配置的切片选择辅助信息；

    所述控制面节点根据所述配置的切片选择辅助信息，确定所述UE可接入的切片的安 全属性；

    所述控制面节点向所述UE发送注册响应消息，所述注册响应消息包括所述UE可接入的切片的安全属性。
19. 一种用户设备，其特征在于，所述设备包括：处理器和接收器；

    所述处理器，用于确定用户设备UE的会话的安全属性；

    所述处理器，还用于当所述UE的会话的安全属性不满足应用的安全需求时，通过所述发送器向控制面节点发送会话建立请求消息，所述会话建立请求消息用于请求建立对应于所述应用的安全需求的会话。
20. 根据权利要求19所述的设备，其特征在于，所述安全属性包括安全算法、密钥长度和加密位置中的至少一种安全参数；所述应用的安全需求包括安全算法、密钥长度和加密位置中的至少一种安全参数。
21. 根据权利要求19或20所述的设备，其特征在于，所述设备还包括接收器，

    接收器，用于从所述控制面节点接收会话建立响应消息，所述会话建立响应消息包括所述对应于所述应用的安全需求的会话的安全属性；

    所述处理器，还用于根据所述对应于所述应用的安全需求的会话的安全属性，通过所述发送器发送所述应用的数据。
22. 根据权利要求21所述的设备，其特征在于，所述对应于所述应用的安全需求的会话的安全属性包括加密位置，

    所述处理器，还用于根据所述加密位置，确定所述应用的数据的封装格式，并根据所述应用数据的封装格式以及所述应用的数据，生成数据包；

    所述发送器，还用于并发送所述数据包。
23. 根据权利要求21或22所述的设备，其特征在于，所述对应于所述应用的安全需求的会话的安全属性为所述对应于所述应用的安全需求的会话对应的切片的安全属性。
24. 根据权利要求21-23任一项所述的设备，其特征在于，所述会话建立响应消息还包括用户面协议栈指示信息，所述用户面协议栈指示信息用于指示所述应用的数据的封装格式。
25. 根据权利要求19-24任一项所述的设备，其特征在于，所述会话的安全属性为所述会话对应的切片的安全属性。
26. 根据权利要求25所述的设备，其特征在于，

    所述发送器，还用于向所述控制面节点发送注册请求消息；

    所述接收器，还用于从所述控制面节点接收注册响应消息，所述注册响应消息包括所述UE可接入的切片的安全属性，所述UE可接入的切片的安全属性包含所述会话对应的切片的安全属性。
27. 根据权利要求19-26任一项所述的设备，其特征在于，所述发送器，还用于当所述会话中存在至少一个会话的安全属性对应于所述应用的安全需求时，通过所述至少一个会话中一个会话发送所述应用的数据。
28. 一种控制面节点，其特征在于，所述控制面节点包括：处理器，接收器和发送器；

    所述处理器，用于通过所述接收器接收用户设备UE发送的会话建立请求消息，所述会话建立请求消息用于请求建立对应于所述UE的应用的安全需求的会话；

    所述处理器，还用于根据所述会话建立请求消息，通过所述发送器向所述UE发送会话建立响应消息，所述会话建立响应消息包括对应于所述应用的安全需求的会话的安全属性。
29. 根据权利要求28所述的控制面节点，其特征在于，所述安全属性包括安全算法、密钥长度和加密位置中的至少一种安全参数；所述应用的安全需求包括安全算法、密钥长度和加密位置中的至少一种安全参数。
30. 根据权利要求28或29所述的控制面节点，其特征在于，所述对应于所述应用的安全需求的会话的安全属性为所述对应于所述应用的安全需求的会话对应的切片的安全属性。
31. 根据权利要求28-30任一项所述的控制面节点，其特征在于，所述会话建立请求消息包括会话管理切片选择辅助信息；

    所述处理器，还用于根据所述会话管理切片选择辅助信息，确定对应于所述应用的安全需求的会话的安全属性。
32. 根据权利要求28-30任一项所述的控制面节点，其特征在于，所述会话建立请求消息包括所述应用的安全需求；

    所述处理器，还用于根据所述应用的安全需求，确定对应于所述应用的安全需求的会话的安全属性。
33. 根据权利要求32所述的控制面节点，其特征在于，所述会话建立请求消息还包括所述UE的安全能力；

    所述处理器，还用于根据所述应用的安全需求和所述UE的安全能力，确定对应于所述应用的安全需求的会话的安全属性。
34. 根据权利要求28-30任一项所述的控制面节点，其特征在于，

    所述处理器，还用于根据本地配置策略，确定对应于所述应用的安全需求的会话的安全属性；或，

    所述接收器，还用于从签约服务器接收对应于所述应用的安全需求的会话的安全属性；或，

    所述处理器，还用于从策略决策节点接收索引，并根据所述索引，确定对应于所述应用的安全需求的会话的安全属性。
35. 根据权利要求28-32任一项所述的控制面节点，其特征在于，所述会话建立响应消息还包括用户面协议栈指示信息，所述用户面协议栈指示信息用于指示所述对应于所述应用的安全需求的会话采用的用户面协议栈。
36. 根据权利要求28-34任一项所述的控制面节点，其特征在于，

    所述接收器，还用于从所述UE接收注册请求消息，所述注册请求消息包括配置的切片选择辅助信息；

    所述处理器，还用于根据所述配置的切片选择辅助信息，确定所述UE可接入的切片的安全属性；

    所述发送器，还用于向所述UE发送注册响应消息，所述注册响应消息包括所述UE 可接入的切片的安全属性。

Images