WO2019062672A1 - 通信方法、装置和系统 - Google Patents
通信方法、装置和系统 Download PDFInfo
- Publication number
- WO2019062672A1 WO2019062672A1 PCT/CN2018/107030 CN2018107030W WO2019062672A1 WO 2019062672 A1 WO2019062672 A1 WO 2019062672A1 CN 2018107030 W CN2018107030 W CN 2018107030W WO 2019062672 A1 WO2019062672 A1 WO 2019062672A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- security policy
- qos flow
- security
- terminal
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/0268—Traffic management, e.g. flow control or congestion control using specific QoS parameters for wireless networks, e.g. QoS class identifier [QCI] or guaranteed bit rate [GBR]
Abstract
本申请涉及无线通信技术领域,特别涉及一种通信方法、系统及设备,用以实现基于服务质量(QoS)流的安全保护,以满足不同业务的安全需求,提升网络安全的灵活性。本申请的方法包括:会话管理设备接收请求,所述请求用于请求建立会话或修改会话;所述会话管理设备根据所述请求,获得服务质量QoS流的目标安全策略;所述会话管理设备向移动性管理设备发送指示信息,所述指示信息用于指示所述QoS流的目标安全策略
Description
本发明涉及通信系统,尤其涉及一种通信方法、装置和系统。
在移动通信系统中,为了保证业务数据传输的安全性,接入网节点对终端的下行业务数据进行安全保护,例如,加密保护,完整性保护,并将安全保护后的下行业务数据通过接入网节点与终端之间的空口发送给终端;相应地,终端对上行业务数据进行安全保护,并将安全保护后的上行业务数据通过空口发送给接入网节点。安全保护后的业务数据在空口传输的过程中处于安全保护状态,能够有效防止攻击者劫取。
但随着3GPP标准的演进,通信系统的安全需求在不断变化,因此,业务数据的安全保护有待进一步优化。
发明内容
本发明实施例提供一种通信方法、装置和系统,能够实现基于服务质量(quality of service,QoS)流的安全保护,以满足不同业务的安全需求,提升网络安全的灵活性。
第一方面,提供了一种通信方法,所述方法包括:会话管理设备接收请求,所述请求用于请求建立会话或修改会话;所述会话管理设备根据所述请求,获得服务质量QoS流的目标安全策略;所述会话管理设备向移动性管理设备发送指示信息,所述指示信息用于指示所述QoS流的目标安全策略,以使得移动性管理设备将所述指示信息发送给接入网节点,用于接入网节点设置空口的安全信息,例如,无线承载或QoS流的的安全信息,使得不同的QoS流可以采用不同的安全策略,避免了同一个终端或同一会话只能采用同一种安全策略的问题,使得安全策略更加灵活,进而满足不同业务的安全需求。其中,请求可以是会话建立请求消息会话修改请求消息,还可以是用于调用服务化实例;所述指示信息携带在所述请求的响应中。
结合第一方面,在第一方面的第一种实现方式中,所述指示信息用于向接入网节点指示所述QoS流的目标安全策略;或者,所述指示信息包括第一指示信息和第二指示信息,所述第一指示信息用于向接入网节点指示所述QoS流的目标安全策略,所述第二指示信息用于向终端指示所述QoS流的目标安全策略。上述指示信息包括第一指示信息和第二指示信息的方式,通过终端根据第二指示信息对接入网节点发送的该QoS流相关的安全策略配置信息进行比较,并在比较结果显示不一致的情况下通知核心网,以确保核心网,终端,接入网节点三者针对该QoS流的安全策略保持一致。
结合第一方面,在第一方面的第二种实现方式中,所述方法还包括:所述会话管理设备向所述移动性管理设备发送所述QoS流的相关参数。其中,所述QoS流的相关参数可以 包括QoS流标识QFI,QoS分类识别码QCI,5G QoS指示5QI和分配保持优先级ARP中至少一种。所述QoS流的相关参数可以用于终端或接入网节点存储其与QoS流的安全策略之间的对应关系,进而在接入网节点或终端接收到数据包时能够通过数据包中的QoS流的相关参数快速索引到其对应的安全策略。
结合第一方面或上述任一种实现方式,在第一方面的第三种实现方式中,所述方法还包括:所述会话管理设备向用户面功能UPF节点发送所述QoS流的相关参数以及所述目标安全策略。使得UPF节点可以在根据业务数据流(service data flow,SDF)模板将业务数据映射到对应的QoS流时,能够同时得到其对应的安全策略,进而将该安全策略携带在下行数据包中,例如,可以应用在一个QoS流对应多个安全策略的场景。
第二方面,提供了一种通信方法,所述方法包括:接入网AN节点接收来自移动性管理设备的指示信息,所述指示信息用于指示服务质量QoS流的安全策略;所述接入网节点根据所述指示信息,获得所述QoS流对应的无线承载的安全信息,所述安全信息用于指示所述无线承载的安全策略;所述接入网节点向终端发送所述无线承载的标识,以及所述无线承载的安全信息。该方法能够实现无线承载的安全策略能够基于QoS流的安全策略进行设置,使得不同的QoS流可以执行不同的安全策略,满足了不同业务的安全需求。
结合第二方面,在第二方面的第一种实现方式中,所述方法还包括:所述接入网节点向所述终端发送以下信息中的至少一种:所述指示信息和所述QoS流的相关参数。其中,该指示信息可以是第一方面中的第二指示信息。此外,所述QoS流的相关参数可以包括QoS流标识QFI,QoS分类识别码QCI,5G QoS指示5QI和分配保持优先级ARP中至少一种。
第三方面,提供了一种通信方法,所述方法包括:终端接收来自接入网AN节点的无线承载的标识,所述无线承载的安全信息以及指示信息,所述安全信息用于指示所述无线承载的安全策略,所述指示信息用于指示服务质量QoS流的安全策略;当所述无线承载的安全策略与所述QoS流的安全策略相同时,所述终端根据所述安全信息激活所述无线承载的安全保护;或者,当所述无线承载的安全策略与所述QoS流的安全策略不同时,所述终端向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同。由于无线承载的安全策略是基于QoS流的安全策略进行设置的,进而不同的QoS流可以执行不同的安全策略,实现了基于QoS流的安全保护,满足了不同业务的安全需求;此外,当无线承载的安全策略与QoS流的安全策略不同时,终端向会话管理设备指示两者不同,以保证核心网,接入网以及终端三者对同一个QoS流采用相同的安全策略。
结合第三方面,在第三方面的第一种实现方式中,所述终端向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同,包括:所述终端向会话管理设备发送异常指示信息,所述异常指示信息用于指示所述无线承载的安全策略与所述QoS流的安全策略不同。
结合第三方面或第三方面的第一种实现方式,在第三方面的第二种实现方式中,当所述无线承载的安全策略与所述QoS流的安全策略不同时,所述方法还包括:所述终端根据所述无线承载的安全信息,激活所述无线承载的安全保护。终端直接采用接入网节点发送的无线承载的安全信息激活所述无线承载的安全保护,避免再次协商安全策略导致时延较大的问题。
结合第三方面或上述任一种实现方式,在第三方面的第三种实现方式中,所述方法还 包括:所述终端向所述会话管理设备发送所述终端的安全偏好。该安全偏好可以用于会话管理设备确定QoS流的安全策略,使得QoS流的安全策略在满足业务需求的同时,还能够参考用户的需求。
第四方面,提供了一种通信方法,所述方法包括:策略控制功能PCF节点接收来自会话管理设备的安全策略参考信息,所述安全策略参考信息包括服务质量QoS流的相关参数和业务相关参数中的至少一种;所述PCF节点根据所述安全策略参考信息,向所述会话管理设备发送安全策略。该安全策略用于会话管理设备确定QoS流的安全策略,使得不同的QoS流可以执行不同的安全策略,进而实现了基于QoS流的安全保护,满足了不同业务的安全需求
结合第四方面,在第四方面的第一种实现方式中,所述PCF节点根据所述安全策略参考信息,向所述会话管理设备发送安全策略,包括:所述PCF节点根据所述QoS流的相关参数与安全策略之间的对应关系,获得所述安全策略;或者,所述PCF节点根据所述业务相关参数与安全策略之间的对应关系,获得所述安全策略;或者,所述PCF节点向应用设备发送所述安全策略参考信息,并接收来自所述应用设备的所述安全策略。该方法可以应用在PDU会话更新的过程中,PCF节点更新安全策略,从而更符合具体业务的安全需求。例如,根据更新后的QoS profile中的QoS流的相关参数更新安全策略,或者,根据从应用设备接收的最新的业务相关参数,更新安全策略。其中,所述业务相关参数可以包括业务类型和业务标识中的至少一种。例如,语音业务,数据业务等。
第五方面,提供了一种通信装置,包括用于执行以上第一方面或以上第一方面的任一实现方式中的方法中各个步骤的单元或者手段(means)。该通信装置可以是会话管理设备,例如,AMF节点,也可以是至少一个处理元件或芯片。
第六方面,提供了一种通信装置,包括用于执行以上第二方面或以上第二方面的任一实现方式中的方法中各个步骤的单元或者手段(means)。该通信装置可以是接入网节点,例如,gNB,也可以是至少一个处理元件或芯片。
第七方面,提供了一种通信装置,包括用于执行以上第三方面或以上第三方面的任一实现方式中的方法中各个步骤的单元或者手段(means)。该通信装置可以是终端,也可以是至少一个处理元件或芯片。
第八方面,提供了一种通信装置,包括用于执行以上第四方面或以上第四方面的任一实现方式中的方法中各个步骤的单元或者手段(means)。该通信装置可以是PCF节点,也可以是至少一个处理元件或芯片。
第九方面,提供了一种通信装置,包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第一方面或以上第一方面的任一实现方式中的方法。该通信装置可以是会话管理设备,例如,AMF节点,也可以是至少一个处理元件或芯片。
第十方面,提供了一种通信装置,包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第二方面或以上第二方面的任一实现方式中的方法。该通信装置可以是接入网节点,例如,gNB,也可以是至少一个处理元件或芯片。
第十一方面,提供了一种通信装置,包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第三方面或以上第三方面的任一实现方式中的方法。该通信装置可以是终端,也可以是至少一个处理元件或芯片。
第十二方面,提供了一种通信装置,包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上第四方面或以上第四方面的任一实现方式中的方法。该通信装置可以是PCF节点,也可以是至少一个处理元件或芯片。
第十三方面,提供了一种程序,该程序在被处理器执行时用于执行以上第一方面的任一方法。
第十四方面,提供了一种计算机可读存储介质,包括第十三方面的程序。
第十五方面,提供了一种程序,该程序在被处理器执行时用于执行以上第二方面的任一方法。
第十六方面,提供了一种计算机可读存储介质,包括第十五方面的程序。
第十七方面,提供了一种程序,该程序在被处理器执行时用于执行以上第三方面的任一方法。
第十八方面,提供了一种计算机可读存储介质,包括第十七方面的程序。
第十九方面,提供了一种程序,该程序在被处理器执行时用于执行以上第四方面的任一方法。
第二十方面,提供了一种计算机可读存储介质,包括第十九方面的程序。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图进行简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为一种网络结构图;
图2为本申请实施例提供的一种通信方法的流程图;
图3为本申请实施例提供的又一种通信方法的流程图;
图3a为本申请实施例提供的又一种通信方法的流程图;
图4为本申请实施例提供的又一种通信方法的流程图;
图5为本申请实施例提供的又一种通信方法的流程图;
图6为本申请实施例提供的又一种通信方法的流程图;
图7为本申请实施例提供的再一种通信方法的流程图;
图7a为本申请实施例提供的再一种通信方法的流程图;
图7b为本申请实施例提供的再一种通信方法的流程图;
图7c为本申请实施例提供的再一种通信方法的流程图;
图7d为本申请实施例提供的再一种通信方法的流程图;
图7e为本申请实施例提供的再一种通信方法的流程图;
图7f为本申请实施例提供的再一种通信方法的流程图;
图8为本申请实施例提供的另一种通信方法的流程图;
图9为本申请实施例提供的一种通信装置的硬件结构图;
图10为本申请实施例提供的又一种通信装置的硬件结构图;
图11为本申请实施例提供的又一种通信装置的硬件结构图;
图12为本申请实施例提供的再一种通信装置的硬件结构图;
图13为本申请实施例提供的一种通信装置的结构示意图;
图14为本申请实施例提供的又一种通信装置的结构示意图;
图15为本申请实施例提供的又一种通信装置的结构示意图;
图16为本申请实施例提供的再一种通信装置的结构示意图。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。图1提供了一种网络结构,该网络结构可以应用于下一代通信系统。下面对该网络结构中的各个组成部分进行简单介绍如下:
终端(terminal):可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的终端,移动台(mobile station,MS),用户设备(user equipment,UE),软终端等等,例如水表、电表、传感器等。
接入网节点:类似于传统网络里面的基站,为特定区域的授权用户提供入网功能,并能够根据用户的级别,业务的需求等使用不同质量的传输隧道。接入网节点能够管理无线资源,为终端设备提供接入服务,进而完成控制信号和用户数据在终端设备和核心网之间的转发。
接入和移动管理功能(access and mobility management function,AMF)节点:负责移动性管理和接入管理等,可以用于实现移动性管理实体(mobility management entity,MME)功能中除会话管理之外的其它功能。
会话管理功能(session management function,SMF)节点:为终端设备建立会话,分配会话标识(ID),以及管理或终止会话。
用户面功能(User plane function,UPF)节点:提供会话和承载管理,IP地址分配等功能。
策略控制功能(Policy Control Function,PCF)节点:为网络实体(例如,接入网节点或UPF节点)分配安全策略。
数据网络(data network,DN):提供外部数据网络服务。
应用功能(application function,AF)节点:提供应用层服务。
统一设备管理(unified device management,UDM)节点:存储用户的签约信息。
如图1所示,上述各个组成部分通过下一代(next generation,NG)路径通信,例如,接入网节点与UPF节点通过NG3路径通信。此外,SMF节点和AMF节点可以集成在一个物理设备中,也可以分布在不同的物理设备上,本申请对此不作具体限定。
需要指出的是,本申请中涉及的会话管理设备可以为图1中所示的SMF节点,也可以是其它具备相似或相同功能的设备;PCF节点可以为图1中所示的PCF节点,也可以是其它具备相似或相同功能的设备;移动性管理设备可以为图1中所示的AMF节点,也可以是其它具备相似或相同功能的设备;UDM节点可以为图1中所示的UDM节点,也可以是其它具备相似或相同功能的设备,不予限制。
此外,本申请各实施例中提及的方法或装置均可以应用于不同无线接入技术的通信系统,例如,4G,5G或后续演进的其它通信系统,不予限制。
需要说明的是,本申请中提及的示例性地不代表是最优的;本申请中提及的第一、第二等仅用于区分不同的信息、消息或其他对象,不代表顺序关系;此外,本申请中各实施例之间可以相互参考和借鉴,相同或相似的步骤或名词均不再一一赘述。
如图2所示,本申请实施例提供的一种通信方法,该方法具体如下所述。
201、会话管理设备接收请求。
其中,该请求可以用于请求建立会话或修改会话。具体地,该请求可以是一条消息,例如,会话建立请求,也可以是会话修改请求;该请求还可以是以服务化的形式发送的。
例如,移动性管理设备接收来自终端的第一分组数据单元(packet data unit,PDU)会话建立请求,并根据该请求向会话管理设备发送第一PDU会话建立请求。第一PDU会话建立请求与第二PDU会话建立请求两者可以相同,也可以不同,不予限定。
再例如,会话管理设备接收来自PCF节点的请求,该请求可以用于请求修改会话,例如,会话修改请求。
202、会话管理设备根据请求,获得服务质量(quality of service,QoS)流的目标安全策略。
其中,目标安全策略可以包括:开启用户面加密保护,开启用户面完整性保护;或者,开启用户面加密保护,不开启用户面完整性保护;或者,不开启用户面加密保护,开启用户面完整性保护;或者,不开启用户面加密保护,不开启用户面完整性保护。
此外,QoS流的目标安全策略可以指核心网配置或发送给接入网节点的该QoS流的安全策略,换言之,核心网期望的该QoS流的安全策略,以便于接入网节点配置空口的安全策略,例如,无线承载的安全策略,或空口QoS流的安全策略。
具体地,该目标安全策略可以采用标识符的表现形式,该标识符可以是预设的字符或字符串或数值,不同标识符的值可以表示不同的安全策略。例如,该标识符为两个比特位的数值,当标识符设置为00时,表明该目标安全策略为不开启用户面加密保护,不开启用户面完整性保护(可以称之为安全策略#0);当标识符设置为01时,表明该目标安全策略为不开启用户面加密保护,开启用户面完整性保护(可以称之为安全策略#1);当标识符设置为10时,表明该目标安全策略为开启用户面加密保护,不开启用户面完整性保护(可以称之为安全策略#2);当标识符设置为11时,表明该目标安全策略为开启用户面加密保护,开启用户面完整性保护(可以称之为安全策略#3)。
需要说明的是,QoS流的目标安全策略可以包括安全策略#0-3中的至少一种;例如,若目标安全策略包括一个安全策略,且该QoS流用于传输至少两个业务的数据,则可以表明该QoS流传输的所有业务的安全策略可以相同;或者,若目标安全策略包括一个安全策略,且该QoS流仅用于传输一个业务,则该QoS流的安全策略即为该业务的安全策略;若目标安全策略包括两个或两个以上安全策略,且该QoS流用于传输至少两个业务的数据,则表明该QoS流传输的业务中存在至少两个业务的安全策略不同;或者,若目标安全策略包括两个或两个以上安全策略,且该QoS流仅用于传输一个业务的数据,则表明该业务可以采用不同的安全策略,具体地,可以根据接入网的状态来确定采用不同安全策略的时机。
其中,步骤202中请求可以作为获得QoS流的目标安全策略的触发条件,也可以根据请求中携带的信息获得QoS流的目标安全策略,例如,可以采用如下几种方式:
方式一、会话管理设备根据QoS流的相关参数与安全策略之间的对应关系,获得目标安全策略。
其中,QoS流的相关参数可以包括QoS流标识(QoS flow identity,QFI),QoS分类识别码(QoS class identifier,QCI),5G QoS指示(5G QoS indicator,5QI)和分配保持优先级(allocation/retention priority,ARP)中至少一种,显然,也可以是其它用于识别QoS流的参数,不予限定。具体地,QFI可以是由会话管理设备分配的用于识别QoS profile的标识。
例如,QoS流的相关参数可以是缺省QoS模板(QoS profile)中的5QI,QCI或ARP,也可以是用于标识该缺省QoS profile的QFI;还可以是策略控制功能(policy control function,PCF)节点提供的QoS profile中的5QI,QCI或ARP,也可以是用于标识该PCF节点提供的QoS profile的QFI。
其中,缺省QoS profile可以从该终端的签约信息中获得,例如,上述请求中携带有终端的标识,根据该终端的标识从UDM节点保存的该终端的签约信息中获得该缺省QoS profile。终端的标识可以用于标识终端,属于现有技术,不再赘述。
其中,PCF节点提供的QoS profile可以根据该终端的业务相关参数来获得,具体地,该业务相关参数可以包括以下至少一种:业务的类型(例如,语音业务,故意数据业务),业务的标识(例如,业务的IP地址,业务的端口号,或应用标识),业务的特性(例如,小数据业务,或宽带业务),以及执行业务的空口设备(例如,3GPP接入设备,或非3GPP接入设备)。其中,业务的类型可以携带在上述请求中。
方式二、会话管理设备接收来自UDM节点的目标安全策略。
其中,QoS流的相关参数与安全策略之间的对应关系存储在UDM节点中,该对应关系可以预先配置到UDM节点,也可以由其它核心网设备动态地发送给UDM节点。
在一个示例中,UDM节点从会话管理设备获取该终端的标识,并根据终端的标识获得该终端的缺省QoS profile;然后,UDM节点根据缺省QoS profile中的QoS流的相关参数获得与该QoS流的相关参数对应的安全策略;最后,将该获得的安全策略作为目标安全策略发送给会话管理设备。其中,该QoS流的相关参数可以是5QI,QCI或ARP,不予限制。
在另一个示例中,UDM节点从会话管理设备获取该QoS流的相关参数,然后根据存储的QoS流的相关参数与安全策略之间的对应关系获得安全策略,并将获得的安全策略作为目标安全策略发送给会话管理设备。
方式三、会话管理设备根据QoS流的相关参数与安全策略之间的对应关系,获得第一安全策略,并根据第一安全策略获得目标安全策略。
其中,QoS流的相关参数与安全策略之间的对应关系存储在会话管理设备中,该对应关系可以预先配置到该会话管理设备,也可以由其它核心网设备动态地发送给该会话管理设备。
在一个示例中,首先,会话管理设备通过上述方式一中的方法获得QoS流的相关参数,并根据QoS流的相关参数与安全策略之间的对应关系,获得与该QoS流的相关参数对应的安全策略,该获得的安全策略可以称之为第一安全策略。然后,会话管理设备根据该第一安全策略和终端的安全偏好(security preference),获得目标安全策略,例如,第一安全策略为:开启用户面加密保护,不开启用户面完整性保护;安全偏好为:不开启用户面 加密保护,开启用户面完整性保护,则目标安全策略可以为:开启用户面加密保护,开启用户面完整性保护。
其中,安全偏好可以用于指示终端期望的安全策略,或者,终端要求的安全策略,具体可以参见本申请中关于安全偏好的相关描述。该安全偏好可以携带在请求中,不予限制。
方式四、会话管理设备接收来自UDM节点的与QoS流的相关参数对应的第一安全策略,并根据第一安全策略获得目标安全策略。
其中,QoS流的相关参数可以采用上述方式一中提供的方法获取;UDM节点可以采用上述方式三中提供的方法来获得第一安全策略,并将获得的第一安全策略发送给会话管理设备。
方式五、会话管理设备向PCF节点发送QoS流的相关参数,并从PCF节点接收目标安全策略。
在第一个示例中,PCF节点存储有QoS流的相关参数与安全策略之间的对应关系,PCF节点在接收到QoS流的相关参数后,根据QoS流的相关参数得到其对应的安全策略,并将该得到的安全策略作为该目标安全策略发送给会话管理设备。
在第二个示例中,PCF节点从其它设备(例如,AF节点或网络能力开放功能实体)接收到该终端的业务的需求(例如,丢包率要求、延迟要求,安全需求或误码率要求),PCF节点可以根据该业务的需求,确定用于上述QoS流的安全策略,并将上述QoS流的安全策略作为该目标安全策略发送给会话管理设备。其中,丢包率要求可以为丢包率不高于预设的丢包率阈值;延迟要求可以为延迟时间不高于预设的延迟阈值;安全需求可以为开启用户面加密保护或开启用户面完整性保护,或两者均开启;误码率要求可以为误码率不高于预设的误码率阈值。
显然,上述第一个示例和第二个示例可以结合,不再赘述。
方式六、上述请求携带终端的业务相关参数,会话管理设备向PCF节点发送所述业务相关参数,并从PCF节点接收所述目标安全策略。
其中,业务相关参数可以为业务的类型,或业务的标识(例如,业务的IP地址,或业务的端口号,应用标识(APP ID)),参见上述描述,不予限定。
具体地,PCF节点可以存储有业务相关参数与安全策略之间的对应关系。例如,语音业务,不开启用户面完整性保护,对应的安全策略为:开启用户面加密保护;直播的视频流,对应的安全策略为:不开启用户面完整性保护,不开启用户面加密保护;视频流,且不是直播状态,对应的安全策略为:开启用户面完整性保护,开启用户面加密保护;车联网业务,对应的安全策略为:开启用户面加密保护、不开启用户面完整性保护;再例如,假设业务修改参数为APP ID,当APP ID所指示的业务为微信时,开启用户面加密保护,不开启用户面完整性保护,,不予限制。
可选地,上述方式三以及方式四中提及的根据第一安全策略获得目标安全策略采用如下三种方式:
方式a、会话管理设备根据终端的安全偏好和第一安全策略,确定目标安全策略。
其中,上述安全偏好可以用于指示终端期望的安全策略,或者,指示终端要求的安全策略,不予限制。其中,安全策略可以包含上述安全策略#0,安全策略#1,安全策略#2,或安全策略#3,具体地,安全策略及其表现形式均可以参见目标安全策略的相关描述,不 再赘述。
此外,终端的安全偏好(security preference)可以由终端通过接入网节点和移动性管理设备发送给会话管理设备,例如,可以携带在上述请求中。
具体地,当安全偏好所指示的安全策略与第一安全策略不同时,可以根据预先配置的优先级(例如,运营商配置的优先级)来确定目标安全策略。例如,若核心网获得的安全策略的优先级高于终端的安全偏好,则目标安全策略为第一安全策略。
方式b、会话管理设备向PCF节点发送第一安全策略和QoS的相关参数,接收来自PCF节点的目标安全策略。
具体地,PCF节点可以根据接收到的QoS的相关参数,获得第二安全策略;再根据预先配置的优先级,第一安全策略和第二安全策略,确定目标安全策略,并将目标安全策略发送给会话管理设备。其中,根据接收到的QoS的相关参数,获得第二安全策略可以参见上述方式五中PCF节点获得目标安全策略的方法,不予赘述。
方式c、会话管理设备接收来自PCF节点的QoS流的相关参数对应的第二安全策略,根据第二安全策略和第一安全策略,确定目标安全策略。
具体地,会话管理设备可以向PCF节点发送QoS流的相关参数,PCF节点在接收到该QoS流的相关参数后,可以采用方式五提供的方法获得该QoS流的相关参数对应的第二安全策略,并将该第二安全策略发送给会话管理设备;会话管理设备接收到第二安全策略后,根据预先配置的优先级、第一安全策略和第二安全策略,确定目标安全策略。例如,预先配置的优先级指出PCF节点获得的安全策略的优先级最高,则将第二安全策略作为目标安全策略。
显然,上述方式a和方式c可以结合,例如,根据预先配置的优先级、终端的安全偏好、第一安全策略和第二安全策略,选择目标安全策略,不予限制。
需要指出的是,本申请设计的第一安全策略,第二安全策略,安全策略等均可以参见目标安全策略的相关描述,不再赘述。
此外,当采用上述方式一或方式三时,上述方法还可以包括:会话管理设备接收QoS流的相关参数与安全策略之间的对应关系。显然,QoS流的相关参数与安全策略之间的对应关系也可以预先设置在会话管理设备内,不予限制。
203、会话管理设备向移动性管理设备发送指示信息。
其中,指示信息可以用于指示QoS流的目标安全策略。该指示信息可以是目标安全策略,或安全算法,还可以是QoS流的相关参数与目标安全策略之间的对应关系,或,QoS流的相关参数与安全算法之间的对应关系,不予限制。
在一个示例中,指示信息为目标安全策略,可以参见步骤202中目标安全策略的表现形式的说明。具体地,目标安全策略采用两个比特位的表现形式,当该两个比特位的值为01时,表示不开启用户面加密保护,开启用户面完整性保护;当该两个比特位的值为10时,表示开启用户面加密保护,不开启用户面完整性保护;当该两个比特位的值为11时,表示开启用户面加密保护,开启用户面完整性保护。
在另一个示例中,指示信息可以为安全算法,该安全算法可以采用算法标识符的表现形式。例如,当算法标识符为128-NEA1,128-NEA2,128-NEA3中的一个或多个时,是指开启用户面加密保护;或者,当算法标识符为128-NIA1,128-NIA2,128-NIA3中的一个或多 个时,是指开启用户面完整性保护;或者,当算法标识符为NEA0,或不出现加密算法标识符时,是指不开启用户面加密保护;或者,当算法标识符为EIA0,或不出现完整性保护算法标识符时,是指不开启用户面完整性保护;或者,当算法标识符为特定的指示符(例如,全1)时,可以根据该特定的指示符出现的位置确定未开启哪种安全保护,例如,若算法标识符为“1111”和128-NEA1,则可以通过NEA1确定开启用户面加密保护,通过“1111”确定不开启开启用户面完整性保护,再例如,当算法标识符为“1111”和“1111”时,是指既不开启用户面加密保护,又不开启用户面完整性保护。
在再一个示例中,指示信息为QoS流的相关参数与目标安全策略之间的对应关系,例如,(QoS流的相关参数(例如QFI=2),安全策略#1)表示该QoS流的相关参数所指示的QoS流的目标安全策略为安全策略#1;再例如,(QoS流的相关参数(例如QFI=1),安全策略#1,安全策略#2)表示该QoS流的相关参数所指示的QoS流的目标安全策略为安全策略#1和安全策略#2。其中,安全策略#1和安全策略#2以及其表现形式均可以参考上述目标安全策略的相关描述,不再赘述。
具体地,指示信息可以用于向接入网节点指示QoS流的目标安全策略;或者,指示信息可以包括第一指示信息和第二指示信息;其中,第一指示信息可以用于向接入网节点指示QoS流的目标安全策略,第二指示信息可以用于向终端指示QoS流的目标安全策略。其中,第一指示信息和第二指示信息可以参考上述指示信息的相关描述,不再赘述。
相应地,移动性管理设备在接收到该指示信息后,将该指示信息发送给接入网节点。该指示信息可以携带在响应中,该响应可以用于响应上述请求。例如,移动性管理设备可以直接将该响应发送给接入网节点,也可以将指示信息发送给接入网节点封装在其它消息(例如,PDU会话资源修改消息,或PDU会话资源建立请求消息)中发送给接入网节点,不予限制。
其中,该响应可以为PDU会话建立-SM上下文响应消息,也可以是PDU会话修改响应消息,还可以通过服务化来实现。
示例性地,当响应为PDU会话建立-SM上下文响应时,移动性管理设备可以通过PDU会话资源建立请求消息发送该指示信息;或者,当响应为PDU会话修改响应消息时,移动性管理设备可以通过PDU会话资源修改消息发送该指示信息。
采用上述实施例提供的方法,会话管理设备接收请求,并根据所述请求获得QoS流的目标安全策略,向移动性管理设备发送用于指示该QoS流的目标安全策略的指示信息,该指示信息用于设置空口的安全信息,例如,无线承载或QoS流的安全信息,从而使得不同的QoS流可以采用不同的安全策略,避免了同一个终端或同一会话只能采用同一种安全策略的问题,进而满足不同业务的安全需求。
可选地,在上述实施例的一种实施场景下,上述方法还包括:会话管理设备向移动性管理设备发送QoS流的相关参数。
相应地,移动性管理设备可以将该QoS流的相关参数发送给接入网节点,进一步地,接入网节点还可以将该QoS流的相关参数发送给终端,进而使得终端或接入网节点可以根据该QoS流的相关参数索引到该QoS流对应的承载,或该QoS流对应的安全策略。
其中,该QoS流的相关参数可以与步骤203中的指示信息携带在同一条消息中发送, 也可以分别发送,不予限制。
可选地,在上述实施例的另一种实施场景下,上述方法还包括:会话管理设备向移动性管理设备发送终端的安全偏好。
相应地,移动性管理设备可以将该终端的安全偏好通过接入网节点发送给该终端,以便于该终端对安全偏好进行校验,进而保证网络侧接收到的安全偏好的正确性,避免安全偏好被篡改而导致的安全风险。
可选地,在上述实施例的又一种实施场景下,上述方法还包括:
会话管理设备向UPF节点发送QoS流的相关参数以及目标安全策略。
需要指出的是,QoS流的安全策略可以包括至少一种安全策略。具体地,UPF节点可以根据一个QoS流所传输的业务数据的差异,而指示接入网节点采用不同的安全策略。例如,当通过QoS流传输即时语音业务数据时,该QoS的安全策略可以为开启用户面完整性保护,不开启用户面加密保护,UPF节点可以在携带该即时语音业务数据的下行数据包的包头中携带该安全策略,进而实现了同一个QoS流所承载的不同业务可以采用不同的安全策略。
如图3所示,本申请实施例提供的另一种通信方法,该方法具体如下所述。
301、接入网节点接收来自移动性管理设备的指示信息。
其中,指示信息可以携带在请求中,该请求可以用于修改会话或建立会话。该请求可以是一个消息,例如,该请求可以为PDU会话资源修改消息,或PDU会话资源建立请求消息;该请求也可以为服务化形式发送的请求,即用于请求服务化。
其中,指示信息可以用于指示QoS流的安全策略;此外,该指示信息可以由移动性管理设备从会话管理设备获得的,具体可以参见图2所示实施中指示信息的相关描述,不予限制。
具体地,指示信息可以用于向接入网节点指示所述QoS流的目标安全策略;或者,
指示信息包括第一指示信息和第二指示信息,所述第一指示信息用于向接入网节点指示所述QoS流的目标安全策略,所述第二指示信息用于向终端指示所述QoS流的目标安全策略。
302、接入网节点根据指示信息,获得QoS流对应的无线承载的安全信息。
其中,安全信息可以用于指示无线承载的安全策略,该无线承载的安全策略可以包括一个或多个安全策略,例如,安全策略#1和安全策略#2,具体可以参见图2所示实施例中的提及的目标安全策略的相关描述,不再赘述。例如,该无线承载的安全策略可以包括:开启用户面加密保护,开启用户面完整性保护;或者,开启用户面加密保护,不开启用户面完整性保护;或者,不开启用户面加密保护,开启用户面完整性保护;或者,不开启用户面加密保护,不开启用户面完整性保护。
具体地,安全信息可以包括安全策略或安全算法。其中,安全策略可以采用字节或比特位来表示,换言之,可以通过对字节或比特位设置不同的值来表示不同的安全策略,例如,采用两个比特位,当该两个比特位的值为01时,表示不开启用户面加密保护,开启用户面完整性保护;当该两个比特位的值为10时,表示开启用户面加密保护,不开启用户面完整性保护;当该两个比特位的值为11时,表示开启用户面加密保护,开启用户面完整性保护。
其中,安全算法可以包括加密算法和完整性保护算法中的至少一种。例如,当安全算法仅包含加密算法时,该安全算法可以用于指示安全策略为:开启用户面加密保护,不开启用户面完整性保护;或者,当安全算法仅包含完整性保护算法时,该安全算法可以用于指示安全策略为:不开启用户面加密保护,开启用户面完整性保护;或者,当安全算法包含加密算法和完整性保护算法时,该安全算法可以用于指示安全策略为:开启用户面加密保护不开启用户面完整性保护。其中,加密算法可以是128-NEA1,128-NEA2,128-NEA3中的一个或多个。
具体地,接入网节点可以根据指示信息和该接入网节点的状态,获得该无线承载的安全信息。其中,该接入网节点的状态可以包括该接入网节点的负荷,或安全能力等,不予限制。
在一个示例中,当指示信息用于指示QoS流的安全策略为开启用户面加密保护且开启用户面完整性保护时,但该接入网节点的负荷超过预设的门限,则该无线承载的安全策略可以为:开启用户面加密保护,且不开启用户面完整性保护;或,不开启用户面加密保护,且开启用户面完整性保护;或,不开启用户面加密保护,也不开启用户面完整性保护。
在另一个示例中,当指示信息用于指示QoS流的安全策略包括安全策略#2和安全策略#3,接入节点的优选安全策略为安全策略#3时,该无线承载的安全策略可以为安全策略#3。
在又一个示例中,当指示信息用于指示QoS流的安全策略包括安全策略#2和安全策略#3,且安全策略#2用于在某种预设场景下(例如,预设时段,或预设网络状态等)执行时,则该无线承载的安全策略可以为:安全策略#2和安全策略#3。
其中,QoS流对应的无线承载可以指用于传输所述QoS流的无线承载。该无线承载可以是接入网节点为该QoS流新建立的无线承载;也可以是已经建立的无线承载,换言之,该QoS流可以重用旧的无线承载,具体可以参见本实施例的实施场景中的相关描述。
此外,该无线承载可以为数据无线承载(data radio bearer,DRB),相应地,该无线承载的标识为DRB identifier(ID)。
需要说明的是,本实施例中提及的安全策略可以参见图2所示实施例中的目标安全策略的相关描述,不再赘述。
303、接入网节点向终端发送无线承载的标识,以及无线承载的安全信息。
示例性地,接入网节点向终端发送RRC消息,该RRC消息携带无线承载的标识,以及无线承载的安全信息。
304、终端接收来自接入网节点的无线承载的标识,以及无线承载的安全信息,并根据安全信息,激活无线承载的安全保护。
其中,激活无线承载的安全保护可以包括根据无线承载的安全算法生成相关密钥,以便于对无线承载上传输的业务数据进行安全保护。
示例性地,当安全信息为安全算法时,可以根据该安全算法生成相关密钥;或者,当安全信息为安全策略时,可以根据安全策略获得安全算法,再根据该安全算法生成相关密钥。
采用上述实施例提供的方法,接入网节点根据用于指示QoS流的安全策略的指示信息,获得该QoS流对应的无线承载的安全信息,实现了无线承载的安全策略能够基于QoS流的安全策略进行设置,进而实现了基于QoS流的安全保护,使得不同的QoS流可以执行不同 的安全策略,满足了不同业务的安全需求,提升网络安全的灵活性。
如图3a所示,本申请实施例提供的另一种通信方法,该方法具体如下所述。
301a、接入网节点接收来自移动性管理设备的指示信息。
302a、接入网节点根据指示信息,获得QoS流对应的无线承载的安全信息。
其中,步骤301a和302a,可以分别参见图3所示实施例中的步骤301和步骤302,不再赘述。
此外,步骤301中的指示信息包括第二指示信息。
303a、接入网节点向终端发送所述无线承载的标识,所述无线承载的安全信息,以及第二指示信息。
304a、终端接收来自接入网节点的无线承载的标识,无线承载的安全信息,以及第二指示信息。
进一步地,在步骤304a之后还包括:步骤305a,或步骤306a。
305a、当无线承载的安全策略与QoS流的安全策略相同时,终端根据该安全信息激活该无线承载的安全保护。
其中,激活无线承载的安全保护可以包括根据无线承载的安全算法生成相关密钥,以便于对无线承载上传输的业务数据进行安全保护。
306a、当无线承载的安全策略与QoS流的安全策略不同时,终端向会话管理设备指示该无线承载的安全策略与该QoS流的安全策略不同。
在一个示例中,终端可以通过向会话管理设备发送异常指示信息,该异常指示信息用于指示该无线承载的安全策略与该QoS流的安全策略不同。
其中,异常指示信息可以包括该QoS流的相关参数,或者,该QoS流的相关参数以及该无线承载的安全策略,不予限制。
可选地,当无线承载的安全策略与QoS流的安全策略不同时,上述方法还包括:
终端根据该无线承载的安全信息,激活该无线承载的安全保护。
其中,激活无线承载的安全保护可以参见步骤305a的相关描述,不再赘述。
在一个示例中,当无线承载的安全策略为开启用户面加密保护,不开启用户面完整性保护时,终端激活无线承载的加密保护;或者,当无线承载的安全策略为开启用户面加密保护,开启用户面完整性保护时,终端激活无线承载的加密保护和完整性保护。
可选地,在步骤306a中,终端向会话管理设备指示该无线承载的安全策略与该QoS流的安全策略不同可以替换为终端断开与该基站的连接,不予限制。
采用上述实施例提供的方法,接入网节点根据用于指示QoS流的安全策略的指示信息,获得该QoS流对应的无线承载的安全信息,当无线承载的安全策略与QoS流的安全策略相同时,终端激活无线承载的安全保护,实现了无线承载的安全策略能够基于QoS流的安全策略进行设置,使得不同的QoS流可以执行不同的安全策略,进而实现了基于QoS流的安全保护,满足了不同业务的安全需求;此外,当无线承载的安全策略与QoS流的安全策略不同时,终端向会话管理设备指示两者不同,以保证核心网,接入网以及终端三者对同一个QoS流采用相同的安全策略。
可选地,在图3或图3a所示实施例的一种实现场景下,上述方法还包括:
310、终端向会话管理设备发送终端的安全偏好。
其中,安全偏好可以参见图2所示实施例中的相关描述,不再赘述。
需要说明的是,终端的安全偏好可以用于会话管理设备获得QoS流的安全策略,以使得QoS流的安全策略更加有效地满足用户的需求。
进一步可选地,上述方法还包括:
320、终端根据终端的安全偏好参考信息,获得所述终端的安全偏好。
其中,安全偏好参考信息可以包括以下至少一种:所述终端的接入点名称(access point name,APN),所述终端的业务相关信息,所述终端的服务质量需求,所述终端所处的网络状况,所述终端的签约信息,以及所述终端的状况。
具体地,终端的签约信息中可以包含终端的安全偏好,该终端可以从网络侧获取该的签约信息。
其中,APN可以用于标识终端接入的网络,该网络可以为该终端提供一种服务,例如,APN可以是IP地址或一个字符串,不予限制。
在一个示例中,终端可以针对不同的APN或业务类型,预先设置不同的安全偏好。例如,假设APN是IP多媒体子系统(IP Multimedia Subsystem,IMS)网络的IP地址,或接入IMS网络的网关的IP地址,或者IMS网络的名字,IMS网络可以为终端提供VoIP(Voice over IP)业务,此时,终端的安全偏好可以为:不开用户面启完整性保护,开启用户面加密保护;假设APN是Internet的IP地址或接入Internet的网关的IP地址,Internet网络可以为用户提供上网等业务,此时终端的安全偏好可以为:开启用户面完整性保护,开启用户面加密保护。
在另一个示例中,用户可以由通过人机交互接口设置终端的安全偏好,也可以由运营商提供几种安全偏好供用户在签约的时候选定一种。
具体地,终端所处的网络状况可以包括:网络异常,或网络共享。具体地,网络异常可以指的是网络过载,网络连接异常,或网络拥塞等;网络共享可以值得是多个运营商共享一个接入网节点。
在一个示例中,当网络发生拥塞的情况下,终端的安全偏好可以用于指示网络侧继续执行当前的用户面安全保护,也可以要求网络侧关闭当前的用户面安全保护。
在另一个示例中,假设终端接入的网络为共享网络,终端的安全偏好可以为:不开启用户面加密保护,不开启用户面完整性保护。
具体地,终端的状况可以包括:欠费,漫游,或所述终端作为中继设备。
在一个示例中,假设终端正在漫游,此时,终端的安全偏好可以为:不开启用户面加密保护,不开启用户面完整性保护。
具体地,业务相关信息可以包括:业务类型,业务端口号,或业务需求。具体地,业务需求可以指的是应用需求,例如,终端访问的应用开启应用层的安全保护,此时,会话管理设备就可以根据该应用需求,确定不开启QoS流的安全保护。
在一个示例中,假设终端的业务类型为VoIP业务,此时,终端的安全偏好可以为:不开启用户面加密保护,不开启用户面完整性保护;假设终端的业务类型为短消息业务(short message service,SMS),此时,终端的安全偏好可以为:开启用户面加密保护,开启用户 面完整性保护。
可选地,在图3或图3a所示实施例的另一种实现场景下,上述方法还包括:330和340,或者,步骤330和350。
330、终端接收来自接入网节点的所述终端的安全偏好。
340、当来自接入网节点的所述终端的安全偏好与所述终端自身存储的安全偏好不同时,终端断开与网络的连接。
具体地,终端可以在发送通知信息给接入网节点后,再断开与网络的连接。其中,该该通知信息用于告知终端的安全偏好被窜改。
350、当来自接入网节点的所述终端的安全偏好与所述终端自身存储的安全偏好相同时,终端设备继续执行后续操作。
具体地,该后续操作可以为对业务数据进行安全保护,或者,步骤304或305a中的终端根据该安全信息激活该无线承载的安全保护,不予限制。
可选地,在图3或图3a所示实施例的又一种实现场景下,上述方法还包括:
306、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数。
307、接入网节点根据QoS流的相关参数获得该QoS流对应的无线承载,并根据该无线承载的安全策略对下行数据包中的业务数据进行安全保护。
308、接入网节点通过该无线承载向终端发送安全保护后的业务数据。
309、终端接收来自接入网节点的安全保护后的业务数据,获得该无线承载的安全策略和该安全保护后的业务数据,获得业务数据。
可选地,在图3或图3a所示实施例的又一种实施例场景下,在步骤302或302a之前,上述方法还包括:
接入网节点接收来自移动性管理设备的QoS流的相关参数;并根据该QoS流的相关参数为该QoS流建立无线承载,或者,根据该QoS流的相关参数,为该QoS流分配已建立的无线承载。
其中,根据该QoS流的相关参数为该QoS流建立无线承载,属于现有技术,不再赘述。进一步地,可以将建立的无线承载的安全策略设置为该QoS流的安全策略。
其中,根据该QoS流的相关参数,为该QoS流分配已建立的无线承载,可以采用现有技术中的方法,即根据QoS流的QoS profile来确认该QoS流是否可以重用DRB;也可以同时根据QoS流的QoS profile和该QoS流的安全策略来确认该QoS流是否可以重用DRB。
在一个示例中,假设接入网节点接收到QoS流的相关参数为QFI=2,且该QoS流的安全策略为安全策略#3,接入网节点可以根据该QFI=2确定该QoS流是否可以重用某个已建立的DRB的物理资源。例如,若QFI=2和QFI=1(QFI=1对应的无线承载为DRB#1)只有优先级不同,而延迟、误码率等均相同,则QFI=2所指示的QoS流可以重用DRB#1,换言之,可以将DRB#1分配给QFI=2所指示的QoS流。此外,若QFI=1对应的安全策略与QFI=2对应的安全策略相同,则DRB#1的安全策略保持不变;若QFI=1对应的安全策略与QFI=2对应 的安全策略不同,则根据QFI=2对应的安全策略修改DRB#1的安全策略。
进一步地,假设网络侧或终端又发起了QFI=1对应的业务,DRB#1的安全策略可以再次被修改为QFI=1对应的安全策略,不予限制。
在另一个示例中,根据QoS流的相关参数和该QoS流的安全策略为该QoS流分配已建立的无线承载。例如,假设接入网节点接收到QoS流的相关参数为QFI=2,且该QoS流的安全策略为安全策略#3,接入网节点可以根据该QFI=2和安全策略#3,确定该QoS流是否可以重用某个DRB的物理资源。若QFI=2和QFI=1(QFI=1对应的无线承载为DRB#1)只有优先级不同,而延迟、误码率等均相同,且对应的安全策略相同,则QFI=2所指示的QoS流可以重用DRB#1,换言之,将DRB#1分配给QFI=2所指示的QoS流。
如图4所示,本申请实施例提供的又一种通信方法,如下所述。
401、PCF节点接收来自会话管理设备的安全策略参考信息。
其中,安全策略参考信息可以包括QoS流的相关参数和业务相关参数中的至少一种。
其中,QoS流的相关参数可以包括QFI,QCI,5QI和ARP中至少一种。
其中,业务相关参数可以包括业务类型和业务标识中的至少一种。具体地,业务类型可以为VoIP业务,SMS,或互联网(internet)业务等,不予限制;业务标识可以为APP ID,业务的目标IP地址,业务的端口号,可以标识业务的特殊标识等,不予限制。
402、PCF节点根据所述安全策略参考信息,向会话管理设备发送安全策略。
具体地,步骤402可以包括:
PCF节点根据QoS流的相关参数与安全策略之间的对应关系,获得上述安全策略;或者,
PCF节点根据业务相关参数与安全策略之间的对应关系,获得上述安全策略;或者,
PCF节点向应用设备发送安全策略参考信息,并接收来自应用设备的上述安全策略。
其中,业务相关参数与安全策略之间的对应关系,以及QoS流的相关参数与安全策略均可以参见图2所示实施例中的相关描述,不再赘述。
其中,应用设备可以是AF节点,或,网络能力开放功能实体,不予限制。
需要说明的是,该安全策略可以用于会话管理设备确定QoS流的安全策略,具体可以参见图2所示实施例中步骤202的相关描述,不再赘述。
采用上述实施例提供的方法,PCF节点根据安全策略参考信息,向会话管理设备发送安全策略,该安全策略用于确定QoS流的安全策略,使得不同的QoS流可以执行不同的安全策略,进而实现了基于QoS流的安全保护,满足了不同业务的安全需求。
如图5所示,本申请实施例提供的又一种通信方法,以会话管理设备为SMF节点,移动性管理设备为AMF节点,接入网节点为基站,且以无线承载为DRB为例进行说明,如下所述。
501、终端向AMF节点发送消息#A。
其中,消息#A可以为PDU会话建立请求,该消息#A可以携带PDU会话ID,还可以携带终端的安全偏好,还可以携带终端的标识。
502、AMF节点根据消息#A,向SMF节点发送消息#B。
其中,消息#B可以为PDU会话创建-SM上下文建立;该消息#B可以携带PDU会话ID, 终端的安全偏好,或终端的标识。
503、SMF节点根据消息#B,从UDM节点获取QoS流的相关参数。
例如,SMF节点向UDM节点发送SM数据请求消息,该消息携带终端的标识,UDM节点根据该终端的标识,找到该终端的签约信息,签约信息中包含缺省QoS profile,UDM可以向SMF节点发送该终端的缺省QoS profile。
其中,缺省QoS profile可以包括QoS流的相关参数,例如,5QI,QCI或ARP等。
可选地,上述方法还包括:UDM节点向SMF节点发送QoS流的相关参数与安全策略之间的对应关系。
504、SMF节点根据QoS流的相关参数,获得该QoS流的目标安全策略。
在一个示例中,SMF节点存储有该QoS流的相关参数与安全策略之间的对应关系,SMF节点可以根据该对应关系,获得该QoS流的目标安全策略。
在另一个示例中,假设消息#A中携带有终端的安全偏好,且SMF节点存储有该QoS流的相关参数与安全策略之间的对应关系,则SMF节点可以根据该对应关系,获得该QoS流的第一安全策略。然后,SMF节点根据终端的安全偏好以及第一安全策略,获得该QoS流的目标安全策略,例如,安全偏好的优先级高于第一安全策略,则将安全偏好作为该QoS流的目标安全策略。
可选地,SMF节点可以存储该QoS流的相关参数与该QoS流的目标安全策略之间的对应关系。
505、SMF节点向AMF节点发送消息#C,消息#C携带指示信息。
其中,该指示信息用于指示该QoS流的目标安全策略,可以参见图2或3所示实施例中的相关描述,不再赘述。
具体地,假设消息#C可以携带有N1消息和N2消息,或者携带N1消息的相关参数和N2消息的相关参数,其中,N1消息是通过终端和AMF节点之间的N1接口传输的消息,N2消息是通过AMF节点和接入网节点之间的N2接口传输的消息。在一个示例中,N1消息可以携带有会话的标识和QoS流的QoS profile。N2消息可以携带有会话的标识,QoS流的QoS profile,以及指示信息。在另一个示例中,指示信息包括第一指示信息和第二指示信息,该消息#C携带有N1消息的相关参数和N2消息的相关参数。N1消息的相关参数可以包括会话的标识,QoS流的QoS profile和第二指示信息。N2消息的相关参数可以包括会话的标识,QoS流的QoS profile,以及第一指示信息。
其中,第一指示信息和第二指示信息可以参见图2所示实施例中的相关描述,不再赘述。
可选地,上述示例中的N1消息和N2消息还可以携带QoS流的相关参数。
可选地,消息#C是PDU会话建立-会话管理(session management,SM)上下文响应消息。
506、AMF节点根据消息#C,向基站发送消息#D,消息#D携带指示信息。
其中,消息#D可以是PDU资源建立请求,消息#D可以携带消息#C中包含的N1消息和N2消息。
507、基站根据消息#D分配DRB资源,并根据指示信息获得该DRB的安全信息。
具体地,基站可以根据消息#D中携带的QoS流的QoS profile分配DRB资源,该DRB 用于传输该QoS流,属于现有技术,不再赘述。
其中,基站根据指示信息获得该DRB的安全信息,可以参见图3所示实施例中的相关描述,不再赘述。
可选地,基站存储QoS流的相关参数,DRB的安全策略或安全算法,DRB ID之间的对应关系。
508、基站向终端发送消息#E,该消息#E携带DRB ID以及DRB的安全信息。
其中,消息#E还可以携带QoS流的相关参数;此外,当消息#D中携带有N1消息时,该消息#E还可以携带有该N1消息。
其中,该消息#E可以为RRC消息,例如,DRB建立请求消息或RRC重新建立消息,或RRC重配置请求消息。
509、终端根据消息#E,激活DRB的安全保护。
其中,激活DRB的安全保护可以参见图3所示实施例中的激活无线承载的安全保护,不再赘述。
在一个示例中,当消息#E携带有N1消息,且N1消息携带有第二指示信息时,步骤509可以包括:当安全信息所指示的DRB的安全策略与第二指示信息所指示的QoS流的目标安全策略相同时,终端根据该DRB的安全信息激活该DRB的安全保护。
需要指出的是,当安全信息所指示的DRB的安全策略与第二指示信息所指示的QoS流的目标安全策略不同时,终端可以向SMF节点指示DRB的安全策略与QoS流的目标安全策略不同,或者,终端可以断开与该基站的连接,不予限制。
在另一个示例中,基站直接根据消息#E中该DRB的安全信息,激活该DRB的安全保护。
可选地,终端存储安全信息,DRB ID,以及QoS流的相关参数之间的对应关系。
510、终端向基站发送消息#F。
其中,消息#F可以用于响应消息#E,具体地,消息#E可以为RRC消息,例如,DRB建立完成消息或RRC重新建立完成消息或RRC重配置完成消息。
可选地,消息#F携带N1消息,该N1消息携带QoS流的相关参数和DRB的安全策略。
511、基站接收消息#F,并根据消息#F向AMF节点发送消息#G。
其中,消息#G可以用于响应消息#D,消息#G可以为PDU会话资源建立响应。
可选地,当消息#F携带有N1消息,该消息#G携带有该N1消息。
可选地,当基站未执行SMF节点发送QoS流的目标安全策略,例如,步骤507中的DRB的安全策略与QoS流的目标安全策略不同时,消息#G还携带有N2消息,该N2消息携带原因值,该原因值用于指示基站未执行SMF节点发送QoS流的目标安全策略的原因,例如,拥塞,过载等。
512、AMF节点根据消息#G,向SMF节点发送消息#H。
其中,消息#H可以为SM消息。
采用上述实施例提供的方法,SMF节点通过AMF节点向基站发送QoS流的安全策略,基站根据该QoS流的安全策略设置无线承载的安全信息,并向终端发送该无线承载的安全策略,实现了无线承载的安全策略能够基于QoS流的安全策略进行设置,使得不同的QoS流可以执行不同的安全策略,进而实现了基于QoS流的安全保护,满足了不同业务的安全需求。
可选地,在上述实施例的一种实现场景下,当消息#H携带有N1消息,且N1消息携带有QoS流的相关参数和DRB的安全信息时,上述方法还包括步骤513和514。
513、SMF节点根据消息#H,比较所述QoS流的目标安全策略和所述DRB的安全信息所指示的安全策略。
例如,SMF节点可以通过消息e中N1消息携带的QoS流的相关参数,查找到SMF节点存储的该QoS流的目标安全策略。
再例如,消息#G和消息#H中可以携带该QoS流的目标安全策略。
514、当两者不同时,SMF节点中断该终端的会话。
其中,该会话可以是步骤501中提及的PDU会话。
进一步地,SMF节点还可以上报异常情况给网管系统,或AMF节点。
可选地,步骤514可以替换为:当两者不同时,若消息#H中携带原因值,则SMF节点可以根据该原因值,进行相应的处理,如下:
若原因值指示基站处于拥塞状态,且根据基站的配置要求无法满足QoS流的安全策略,则SMF节点不更新其存储的QoS流的相关参数与安全策略之间的对应关系,或者SMF节点通知其他设备更新该对应关系,例如PCF节点,安全策略网元,或UDM节点等;或者,
若原因值指示基站的配置规则发生改变,根据改变的配置规则要求基站只能执行某种安全策略,则SMF节点更新QoS流的相关参数与安全策略之间的对应关系,或者更新该基站的状态,或者SMF节点告知其他设备更新QoS流的相关参数与安全策略之间的对应关系,比如PCF节点、安全策略网元或UDM节点等。
通过上述实施场景提供的方法,SMF节点在发现QoS的目标安全策略和DRB的安全策略不同时,实现问题的闭环处理,避免由于DRB的安全策略与QoS流的安全策略不一致,例如,DRB的安全策略无法满足该QoS流所承载的业务的安全需求,造成用户的安全隐患。
可选地,在上述实施例的另一种实现场景下,在步骤503中还包括:UDM节点向SMF节点发送该QoS流的安全策略。
在一个示例中,UDM节点存储有5QI与安全策略之间的对应关系,UDM节点根据该对应关系获得该终端的缺省QoS profile中5QI所对应的安全策略,并将该获得的安全策略发送给SMF节点。
在上述实现场景下,可以不执行步骤504,也可以执行步骤504。
在不执行步骤504的情况下,UDM节点向SMF节点发送的该QoS流的安全策略即为该QoS流的目标安全策略。
在执行步骤504的情况下,SMF节点可以根据从UDM节点接收到该QoS流的安全策略,确定该QoS流的目标安全策略。例如,结合终端的安全偏好,不予限制。
需要指出的是,本申请各实施例中涉及网络侧设备之间(例如,AMF节点与SMF节点,UDM节点与SMF节点,以及AMF节点与基站之间)的消息均可以采用服务化的方式来替换,即消息的接收方通过服务化接口从消息的发明方获得消息中携带的信息,以替换传统的以消息传递信息的方式。
如图6所示,本申请实施例提供的又一种通信方法,以会话管理设备为SMF节点,移动性管理设备为AMF节点,接入网节点为基站,且以无线承载为DRB为例进行说明,如下所述。
601、PCF节点获取业务信息。
其中,业务信息可以用于标识一种业务,例如,包括APP ID,以太网地址,五元组或基于位置的业务信息。具体地,基于位置的业务信息可以指的是数据包的预设位置处的信息用于标识业务,例如,数据包的包头中的第2个字节的信息被置为二进制的10000000时,表明该业务为微信。
在一个示例中,上述业务信息可以是从SMF节点获取的,例如,通过服务化方式从SMF节点获取,还可以是SMF节点通过PDU会话修改请求消息发送给PCF节点。具体地,该业务信息可以由终端通过基站和AMF节点发送给SMF节点。
在另一个示例中,上述业务信息可以从应用服务器获取,与上述示例类似地,该业务信息可以采用服务化方式,也可以采用消息发送的方式来传递,不予限制。
602、PCF节点根据业务信息,获得QoS流的QoS profile。
例如,根据该业务相关的签约信息等,确定QoS流的QoS profile,属于现有技术,不再赘述。
603、SMF节点从PCF节点获取该QoS流的QoS profile。
可选地,步骤603还包括:SMF节点为该QoS profile分配QFI。
可选地,步骤603还包括:SMF节点从PCF节点获取QoS流的安全策略。
其中,步骤603中的获取可以采用消息传递的方式,也可以采用服务化的方式,不予限制。
604、SMF节点根据QoS流的相关参数,获得QoS流的安全策略。
其中,该QoS流的相关参数可以包含在步骤603的QoS profile中,例如,QCI,5QI或ARP;该QoS流的相关参数也可以是步骤603中分配的QFI,不予限制。
显然,当步骤603中还包括SMF节点从PCF节点获取QoS流的安全策略时,步骤604可以省略。
其中,QoS流的安全策略可以参见图2所示实施例中的目标安全策略,步骤604可以参考图2所示实施例中获得目标安全策略的实现方式,不再赘述。
605、AMF节点从SMF节点获取指示信息。
其中,该指示信息用于指示QoS流的安全策略。
606、基站从AMF节点获取该指示信息。
其中,步骤605和606中的获取可以采用消息传递的方式,也可以采用服务化的方式,不予限制。
607、基站根据该指示信息,获得DRB的安全信息。
其中,步骤607具体可以参见图3所示实施例中的相关描述,不再赘述。
其中,该DRB可以是已经建立的DRB,也可以是新建立的DRB,可以参见图3所示实施例中的关于分配已建立的无线承载的相关描述,不再赘述。
608、基站向终端发送该DRB的安全信息。
609、终端根据该DRB的安全信息,更新该DRB的安全信息。
可选地,步骤608中还包括:基站向终端发送该指示信息。
进一步地,步骤609可以替换为步骤609a。
609a、当DRB的安全信息所指示的安全策略与所述指示信息所指示的安全策略相同时,终端根据DRB的安全信息更新该DRB的安全信息。
610、终端根据更新后的DRB的安全信息,激活该DRB的安全保护。
需要指出的是,本实施例中涉及的名词,步骤等描述均可以参考图2或图3所示实施例中的相关描述,不再赘述。
通过上述实施场景提供的方法,SMF节点能够动态更新QoS流的安全策略,使得基站基于更新后的QoS流的安全策略动态调整DRB的安全策略,以动态调整QoS流的安全保护。
如图7所示,本申请实施例提供的又一种通信方法,如下所述。
701、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数。
702、当QoS流的相关参数出现异常时,接入网节点向终端发送缺省安全策略。
其中,QoS流的相关参数出现异常可以指该QoS流的相关参数不在3GPP标准定义的QoS流的相关参数的取值范围内。例如,3GPP标准定义了QFI的各种取值,假设该下行数据包携带的QFI不属于标准定义的QFI取值,则该下行数据包携带的QFI出现异常。
其中,缺省安全策略可以是预先存储在接入网节点内容的安全策略,也可以由核心网动态配置给接入网节点,不予限制。
相应地,终端接收该QoS流的缺省安全策略。
703、终端根据该缺省安全策略,激活该QoS流的安全保护或激活该QoS流对应的无线承载的安全保护。
可选地,上述方法还包括:
704、基站根据该缺省安全策略,对下行数据包中的业务数据进行安全保护,并向终端发送该安全保护后的业务数据。
705、终端接收安全保护后的业务数据,并根据该缺省安全策略获得业务数据。
采用上述实施提供的方法,当下行数据包中的QoS流的相关参数出现异常时,接入网节点采用缺省安全策略对该下行数据包中的业务数据进行安全保护,不但增强了网络的容错能力,还能够保证网络的安全。
如图7a所示,本申请实施例提供的又一种通信方法,如下所述。
701a、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数。
702a、当QoS流的相关参数未出现异常,且接入网节点未存储与该QoS流的相关参数对应的安全策略时,接入网节点根据该QoS流的相关参数为该QoS流分配已建立的无线承载,并向终端发送为该QoS流分配的无线承载的安全信息。
其中,QoS流的相关参数未出现异常可以指该相关参数属于3GPP标准定义的取值范围,与步骤702中异常的描述相似,不再赘述。
此外,分配已建立的无线承载可以参见图3所示实施例中的相关描述,不再赘述。
需要说明的是,一个会话可以用于承载多个QoS流,QoS流的相关参数可以是针对某一个会话的QoS流而言的。例如,若接入网节点在存储的该会话的QoS流的信息中未记录或未查找到与该QoS流的相关参数对应的安全策略,或接入网节点未接收到指示信息,且该指示信息用于指示该QoS流的安全策略,则可以表明接入网节点未存储与该QoS流的相关参数对应的安全策略,不予限制。
703a、终端根据该无线承载的安全信息,激活该无线承载的安全保护。
可选地,上述方法还包括:
704a、基站根据该无线承载的安全信息,对下行数据包中的业务数据进行安全保护,并向终端发送该安全保护后的业务数据。
705a、终端接收安全保护后的业务数据,并根据无线承载的安全信息获得业务数据。
采用上述实施提供的方法,当下行数据包中的QoS流的相关参数未出现异常,且接入网节点未存储与该QoS流的相关参数对应的安全策略时,接入网节点采用该QoS流重用的无线承载的安全策略对该下行数据包中的业务数据进行安全保护,不但能够保证网络的安全,还降低了复杂度。
如图7b所示,本申请实施例提供的又一种通信方法,如下所述。
701b、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数。
702b、当QoS流的相关参数未出现异常,且该接入网节点未存储与该QoS流的相关参数对应的安全策略时,接入网节点向移动性管理设备发送请求,该请求用于获取该QoS流的安全策略。
其中,接入网节点未存储与该QoS流的相关参数对应的安全策略,以及异常等均可以参见图7或图7a中的相关描述,不再赘述。
具体地,接入网节点可以向移动性管理设备发送原因值,该原因值用于指示接入网节点未存储该QoS流的安全策略,或接入网节点无法获知该QoS流的安全策略,或该QoS流的相关参数为未配置给接入网节点的参数,不予限制。
示例性地,移动性管理设备在接收到接入网节点发送的请求#1之后,可以向会话管理设备发送请求#2,该请求#2用于获取该QoS流的安全策略。相应地,会话管理设备可以采用图2所示实施例提供的方法将该QoS流的安全策略通过移动性管理设备发送给接入网节点。
其中,请求#1和请求#2可以相同,也可以不同,两者均可以采用消息的形式实现,也可以采用服务化的形式实现,不予限制。
703b、接入网节点接收来自移动性管理设备的该QoS流的安全策略,并根据该QoS流的安全策略向终端发送该QoS流对应的无线承载的安全信息。
704b、终端根据无线承载的安全信息,激活该无线承载的安全保护。
可选地,上述方法还包括:步骤704a和步骤705a,不再赘述。
采用上述实施提供的方法,当下行数据包中的QoS流的相关参数未出现异常,且接入网节点未存储与该QoS流的相关参数对应的安全策略时,接入网节点向移动性管理设备请求该QoS流的安全策略,以实现基于QoS流的安全策略获得无线承载的安全信息,并根据 无线承载的安全信息对下行数据包中的业务数据进行安全保护,进而满足该业务的安全需求。
如图7c所示,本申请实施例提供的又一种通信方法,如下所述。
701c、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数。
702c、当QoS流的相关参数未出现异常,且该接入网节点未存储与该QoS流的相关参数对应的安全策略时,接入网节点向移动性管理设备发送请求,该请求用于获取该QoS流的安全策略。
其中,步骤702c可以参见步骤702b,不再赘述。
703c、接入网节点根据该QoS流的安全策略,向终端发送该QoS流的安全信息。
其中,该安全信息用于指示该QoS流的安全策略,该安全策略可以与接收的安全策略相同,也可以不同。例如,接入网节点可以根据接入网节点的状态以及接收的安全策略,确定该QoS流的安全信息。此外,该安全信息可以是安全策略,也可以是安全算法,不予限制。
704c、终端根据接收的QoS流的安全信息,激活该QoS流的安全保护。
其中,激活QoS流的安全保护可以表明同一个无线承载上的不同QoS流的安全策略可以不同,也可以相同,具体可以参见图8所示实施例中的相关描述,不再赘述。
可选地,上述方法还包括:
705c、基站根据该QoS流的安全信息,对下行数据包中的业务数据进行安全保护,并向终端发送该安全保护后的业务数据。
706c、终端接收安全保护后的业务数据,并根据该QoS流的安全信息获得业务数据。
采用上述实施提供的方法,当下行数据包中的QoS流的相关参数未出现异常,且接入网节点未存储与该QoS流的相关参数对应的安全策略时,接入网节点向移动性管理设备请求该QoS流的安全策略,以实现基于QoS流的安全策略对下行数据包中的业务数据进行安全保护,进而满足不同业务的安全需求。
如图7d所示,本申请实施例提供的又一种通信方法,如下所述。
701d、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数。
702d、接入网节点根据该QoS流的相关参数与安全策略之间的对应关系,获得该QoS流的安全策略。
其中,该QoS流的相关参数与安全策略之间的对应关系可以由核心网设备配置,也可以预先存储在接入网节点内部,例如,根据核心网设备的指示信息预先存储的,可以参见图3或图8所示实施例提供的方法,不予限制。
703d、接入网节点根据该QoS流的安全策略,向终端发送该QoS流的安全信息。
其中,当安全信息为安全算法时,可以根据QoS流的安全策略获得该QoS流安全信息,具体可以采用现有技术的方法,不再赘述。
704d、终端根据QoS流的安全信息,激活该QoS流的安全保护。
可选地,上述方法还包括:步骤705c和706c,参见图7c所示实施例,不再赘述。
采用上述实施提供的方法,接入网节点基于QoS流的安全策略对下行数据包中的业务数据进行安全保护,满足不同业务的安全需求。
如图7e所示,本申请实施例提供的又一种通信方法,如下所述。
701e、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数。
702e、接入网节点根据该QoS流的相关参数与安全策略之间的对应关系,获得该QoS流的安全策略。
703e、接入网节点根据该QoS流的安全策略,向终端发送该QoS流对应的无线承载的安全信息。
704e、终端根据无线承载的安全信息,激活该无线承载的安全保护。
可选地,上述方法还包括:步骤704a和步骤705a,不再赘述。
采用上述实施提供的方法,接入网节点基于QoS流的安全策略获得无线承载的安全信息,并根据无线承载的安全信息对下行数据包中的业务数据进行安全保护,进而满足该业务的安全需求。
如图7f所示,本申请实施例提供的又一种通信方法,如下所述。
701f、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数和安全策略。
其中,该安全策略用于指示接入网节点对下行数据包中的业务数据执行的安全策略。
需要说明的是,该安全策略可以为安全策略#0至安全策略#3中的一种。
702f、接入网节点根据安全策略,对下行数据包中的业务数据进行安全保护。
703f、接入网节点通过QoS流的相关参数对应的无线承载向终端发送安全保护后的业务数据,以及下行数据包中安全策略。
704f、终端接收来自接入网节点的安全策略,以及安全保护后的业务数据;根据该安全策略和安全保护后的业务数据,获得该业务数据。
采用上述实施提供的方法,接入网节点基于下行数据保护中的安全策略对下行数据包中的业务数据进行安全保护,不但满足不同业务的安全需求,而且节省了安全策略的配置过程。
如图8所示,本申请实施例提供的另一种通信方法,该方法可以在PDU会话建立过程中,或PDU会话修改过程中实现,该方法具体如下所述。
步骤801、接入网节点接收来自移动性管理设备的指示信息。
其中,该指示信息用于指示QoS流的安全策略,可以参见图2或3所示实施中指示信息的相关描述。此外,安全策略可以参见图2所示实施例中目标安全策略的相关描述,不再赘述。
具体地,指示信息可以用于向接入网节点指示所述QoS流的安全策略;或者,
指示信息包括第一指示信息和第二指示信息,所述第一指示信息用于向接入网节点指 示所述QoS流的安全策略,所述第二指示信息用于向终端指示所述QoS流的安全策略。
其中,QoS流的安全策略可以包括一个或多个安全策略,例如,安全策略#1和安全策略#2。
802、接入网节点根据指示信息,向终端发送QoS流的安全信息。
其中,安全信息可以用于指示QoS流的安全策略。该QoS流的安全策略可以参见图3所示实施例中的相关描述,不再赘述。
其中,安全信息可以包括安全策略或安全算法。
在一个示例中,假设安全信息包括安全策略,指示信息与安全信息可以相同。例如,当接入网节点将移动性管理设备下发的QoS流的安全策略作为该QoS流的待执行安全策略时,接入网节点可以将接收到的指示信息发送给终端。
在另一个示例中,假设安全信息包括安全策略,指示信息与安全信息也可以不同。具体地,接入网节点可以根据指示信息和该接入网节点的状态,更新该QoS流的安全策略,此时,该安全信息包括的安全策略为更新后的安全策略。其中,该接入网节点的状态可以包括该接入网节点的负荷,或安全能力等,不予限制。例如,当接入网节点的负荷超过预设的门限,且指示信息指示的安全策略为开启用户面加密保护,且开启用户面完整性保护时,步骤802中获得的QoS流的安全策略为:不开启用户面加密保护,且不开启用户面完整性保护。
具体地,基站还可以根据指示信息更新QoS流的安全策略。例如,基站根据指示信息以及存储的该QoS流的安全策略,确定该QoS流的安全策略是否发生改变,若发生改变,则将存储的该QoS流的安全策略替换为该指示信息所指示的安全策略,或者,将该指示信息所指示的安全策略增加到存储的该QoS流的安全策略中,假设指示信息所指示的安全策略为安全策略#1,存储的该QoS流的安全策略为安全策略#2,那么可以更新后的QoS流的安全策略为安全策略#1和安全策略#2。
在再一个示例中,假设安全信息包括安全算法,接入网节点根据指示信息所指示的安全策略,获得安全算法,并发送给终端;或者,接入网节点根据指示信息和该接入网节点的状态,更新该QoS流的安全策略,并根据更新后的安全策略获得安全算法。
其中,根据安全策略获得安全算法属于现有技术,不再赘述。
803、终端接收来自接入网节点的QoS流的安全信息,并根据安全信息,激活QoS流的安全保护。
其中,激活QoS流的安全保护可以包括根据QoS流的安全算法生成相关密钥,以便于对QoS流的数据进行安全保护。
示例性地,当安全信息为安全算法时,可以根据该安全算法生成相关密钥;或者,当安全信息为安全策略时,可以根据安全策略获得安全算法,再根据该安全算法生成相关密钥。
可选地,当接入网节点接收的指示信息包括第二指示信息;上述步骤803可以替换为步骤803a。进一步地,在步骤803a之后还包括:步骤804,或步骤805。
803a、终端接收来自接入网节点的QoS流的安全信息,以及第二指示信息。
804、当第二指示信息所指示的QoS流的安全策略与所述安全信息所指示的QoS流的安全策略相同时,终端根据所述安全信息激活QOS流的安全保护。
其中,激活QoS流的安全保护可以包括根据QoS流的安全算法生成相关密钥,以便于对通过该QoS流传输的业务数据进行安全保护。
805、当第二指示信息所指示的安全策略与所述安全信息所指示的QoS流的安全策略不同时,终端向会话管理设备指示两者不同。
在一个示例中,终端可以通过向会话管理设备发送异常指示信息,以实现向会话管理设备指示两者不同。
其中,异常指示信息可以包括所述QoS流的相关参数,或者,所述QoS流的相关参数以及所述安全信息所指示的安全策略,不予限制。
可选地,当第二指示信息所指示的安全策略与所述安全信息所指示的QoS流的安全策略不同时,上述方法还包括:
终端根据该QoS流的安全信息,激活该QoS流的安全保护。
其中,激活QoS流的安全保护可以参见步骤804的相关描述,不再赘述。
在一个示例中,当QoS流的安全策略为开启用户面加密保护,不开启用户面完整性保护时,终端激活该QoS流的加密保护;或者,当QoS流的安全策略为开启用户面加密保护,开启用户面完整性保护时,终端激活该QoS流的加密保护和完整性保护。
可替换地,步骤805中,终端向会话管理设备指示两者不同可以替换为终端断开与该基站的连接,不予限制。
可选地,上述方法还包括步骤810,进一步还可以包括步骤820。其中,步骤810可以参见步骤310,步骤820可以参见320的相关描述。
此外,进一步地,上述方法还可以包括步骤830和840,或者步骤830和850。其中,步骤830-850可以分别参见步骤330-350的相关描述,不再赘述。
采用上述实施例提供的方法,接入网节点根据用于指示QoS流的安全策略的指示信息,向终端发送该QoS流对应的安全信息,实现基于QoS流的安全保护,使得不同的QoS流可以执行不同的安全策略,满足了不同业务的安全需求。
可选地,在上述实施例的一种实施场景下,该实施场景应用于一个QoS流对应一个安全策略的情况下,上述方法还包括:
806、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数。
807、接入网节点根据QoS流的相关参数获得该QoS流的安全策略,并根据QoS流的安全策略对下行数据包中的业务数据进行安全保护。
其中,步骤807中的对下行数据包中的业务数据进行安全保护可以由接入网节点中的PDCP实体来执行。
需要指出的是,本申请各实施例中的安全策略不限制在PDCP实体执行,其它实体具备相同或相似功能的实体也适用,例如,SDAP实体。此外,实体可以是接入网节点的一个协议层或一个功能模块。
808、接入网节点通过QoS流的相关参数对应的无线承载向终端发送安全保护后的业务数据,以及QoS流的相关参数。
相应地,终端接收来自接入网节点的QoS流的相关参数,以及安全保护后的业务数据。
809、终端根据该QoS流的相关参数获得该QoS流的安全策略,并根据该QoS流的安全策略和安全保护后的业务数据,获得该业务数据。
需要指出的是,步骤808中的QoS流的相关参数对应的无线承载可以是由接入网节点为该QoS流新建立的;也可以是已经建立的无线承载,换言之,该QoS流可以重用旧的无线承载。其中,重用旧的无线承载可以指不同的QoS流可以共用一个无线承载。此外,共用一个无线承载的不同QoS流的安全策略可以相同,也可以不同;该不同的安全策略可以由同一个PDCP实体执行,也可以由不同的PDCP实体执行。
假设步骤808中的QoS流的相关参数为QFI=2,且该QFI=2所指示的QoS流与QFI=1所指示的QoS流可以共用DRB#1,但两个QoS流的安全策略不同。例如,QFI=1对应安全策略#1,QFI=2对应安全策略#2。
在一个示例中,由于两者安全策略不同,接入网节点可以为两个QoS流分配不同的PDCP实体来执行不同的安全策略,具体地,可以由PDCP#1实体来执行安全策略#1,由PDCP#2实体来执行安全策略#2。进一步地,接入网节点可以存储QFI=1,PDCP实体ID#1的ID,DRB#1的ID和安全策略#1四者之间的对应关系,和QFI=2,PDCP实体#2的ID,DRB#1的ID和安全策略#2四者之间的对应关系。接入网节点可以根据下行数据包中的QFI来识别由哪个PDCP实体对下行数据包中的业务数据执行安全保护。
在另一个示例中,两者安全策略不同,但可以分配同一个PDCP实体来执行不同的安全策略,PDCP实体可以根据下行数据包中的QFI来识别对下行数据包中的业务数据执行哪种安全策略对应的安全保护。
可选地,在步骤808之前,上述方法还包括:基站接收来自移动性管理设备的QoS流的相关参数;并根据该QoS流的相关参数为该QoS流建立无线承载,或者,根据该QoS流的相关参数,为该QoS流分配已建立的无线承载,具体可以参见图3所示实施例中的相关描述,不再赘述。
可选地,在上述实施例的又一种实施场景下,该实施场景可以应用于一个QoS流的安全策略包括至少两个安全策略的情况下,步骤802还包括:接入网节点向终端发送该QoS流的安全策略的参考信息。
其中,该参考信息可以用于标识该QoS流的不同安全策略,换言之,用于区分QoS流的安全策略中包括的不同安全策略。
示例性地,当一个QoS流的安全策略包括至少两个安全策略时,接入网节点可以为不同的安全策略分配不同的PDCP实体,即用不同的PDCP实体来执行不同的安全策略,该参考信息可以为PDCP实体的ID。例如,安全策略#1对应PDCP#1,安全策略#2对应PDCP#2实体。
显然,该安全策略的参考信息也可以是其它用于标识该业务数据所执行的安全策略的信息,不予限制。
进一步地,上述实施例中的激活QoS流的安全策略,还可以包括:终端根据QoS流的安全策略,以及该QoS流的安全策略的参考信息,为该QoS流的安全策略分配PDCP实体。
进一步地,上述方法还可以包括:
806a、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关 参数和安全策略。
807a、接入网节点安全策略,对下行数据包中的业务数据进行安全保护。
808a、接入网节点通过QoS流的相关参数对应的无线承载向终端发送安全保护后的业务数据,QoS流的相关参数,以及下行数据包中安全策略的参考信息。
其中,安全保护后的业务数据,QoS流的相关参数,以及下行数据包中安全策略的参考信息可以携带在一个数据包中,不予限制。
需要指出的是,步骤808a中的QoS流的相关参数对应的无线承载可以是由接入网节点为该QoS流新建立的;也可以是已经建立的无线承载,换言之,该QoS流可以重用旧的无线承载。其中,重用旧的无线承载是指不同的QoS流可以共用一个无线承载。此外,共用一个无线承载的不同QoS流的安全策略可以相同,也可以不同,不予限制。
在一个示例中,假设步骤808a中的QoS流的相关参数为QFI=2,且该QFI=2所指示的QoS流与QFI=1所指示的QoS流可以共用DRB#1,但两个QoS流的安全策略不同。例如,QFI=1对应安全策略#1,QFI=2对应安全策略#2和安全策略#1,QFI=2的安全策略#1以及QFI=1的安全策略可以由一个PDCP实体来执行,QFI=2的安全策略#2由另一个PDCF实体来执行,具体地,可以由PDCP#1实体来执行安全策略#1,由PDCP#2实体来执行安全策略#2。进一步地,接入网节点可以存储QFI=1,PDCP实体ID#1的ID,DRB#1的ID和安全策略#1四者之间的对应关系,QFI=2,PDCP实体#2的ID,DRB#1的ID和安全策略#1四者之间的对应关系,以及QFI=2,PDCP实体#2的ID,DRB#1的ID和安全策略#2四者之间的对应关系。
在另一个示例中,假设步骤808a中的QoS流的相关参数为QFI=2,且QFI=2对应安全策略#1和安全策略#2,接入网节点为QFI=2所指示的QoS流建立DRB#2,并分配两个不同的PDCP实体分别执行安全策略#1和安全策略#2。
可选地,在步骤808a之前,上述方法还包括:基站接收来自移动性管理设备的QoS流的相关参数;并根据该QoS流的相关参数为该QoS流建立无线承载,或者,根据该QoS流的相关参数,为该QoS流分配已建立的无线承载,具体可以参见图3所示实施例中的相关描述,不再赘述。
809a、终端接收来自接入网节点的QoS流的相关参数,参考信息,以及安全保护后的业务数据;根据QoS流的相关参数以及安全策略的参考信息,获得下行数据包的安全策略,并根据获得的安全策略和安全保护后的业务数据,获得该业务数据。
例如,假设步骤807a中的安全保护为加密保护,下行数据包中QoS流的相关参数为QFI=1,QFI=1对应的安全策略为安全策略#1,该安全策略#1对应PDCP#1,终端根据接收的QFI=1和PDCP#1的ID可以获知该安全保护后的业务数据的安全策略,进而根据获知的安全策略对安全保护后的业务数据进行解保护(例如,解密),获得该业务数据。
可选地,在上述实施例的又一种实施场景下,该实施场景可以应用于一个QoS流的安全策略包括至少两个安全策略的情况下,上述方法还包括:
806b、接入网节点接收来自UPF节点的下行数据包,该下行数据包携带QoS流的相关参数和安全策略。
其中,该安全策略用于指示接入网节点对该下行数据包中业务数据执行的安全策略。
807b、接入网节点根据安全策略,对下行数据包中的业务数据进行安全保护。
808b、接入网节点通过QoS流的相关参数对应的无线承载向终端发送安全保护后的业务数据,以及安全策略的参考信息。
其中,安全策略的参考信息可以用于指示下行数据包中安全策略,例如,PDCP ID,或者,为下行数据包中安全策略。
安全策略的参考信息可以与安全保护后的业务数据携带在同一个数据包中,不予限制。
809b、终端接收来自接入网节点的安全策略,以及安全保护后的业务数据;根据该安全策略和安全保护后的业务数据,获得该业务数据。
如图9所示,本申请实施例提供的一种通信装置,该通信装置用于执行上述方法实施例中会话管理设备或SMF节点的步骤,本实施例中涉及的方法,步骤以及术语均可以参见相关的方法实施例,不再赘述。
具体地,该通信装置可以是会话管理设备,例如,SMF节点,还可以是片上系统或芯片。该通信装置包括:通信接口901和处理器902。该处理器902可以包括一个或多个处理器,不予限制。
处理器902,用于通过通信接口901接收请求,所述请求用于请求建立会话或修改会话。
处理器902,还用于根据所述请求,获得QoS流的目标安全策略;并通过通信接口901向移动性管理设备发送指示信息,所述指示信息用于指示所述QoS流的目标安全策略。
其中,假设通信装置为会话管理设备,通信接口901可以是有线接口,例如,该接口通过光纤与移动性管理设备或UDM节点或PCF节点连接;也可以是无线接口,例如,通过wifi通信。假设通信装置为片上系统或芯片,通信接口901可以是芯片的I/O接口。
可选地,所述指示信息携带在所述请求的响应中。
可选地,所述指示信息用于向接入网节点指示所述QoS流的目标安全策略;或者,所述指示信息包括第一指示信息和第二指示信息,所述第一指示信息用于向接入网节点指示所述QoS流的目标安全策略,所述第二指示信息用于向终端指示所述QoS流的目标安全策略。
可选地,处理器902还用于:通过通信接口901向所述移动性管理设备发送所述QoS流的相关参数。
其中,所述QoS流的相关参数可以包括QFI,QCI,5QI和ARP中至少一种。
具体地,所述获得QoS流的目标安全策略,可以包括:
根据所述QoS流的相关参数与安全策略之间的对应关系,获得所述目标安全策略;或者,
接收来自统一设备管理UDM节点的所述目标安全策略;或者,
根据所述QoS流的相关参数与安全策略之间的对应关系,获得第一安全策略,并根据所述第一安全策略获得所述目标安全策略;或者,
接收来自UDM节点的与所述QoS流的相关参数对应的第一安全策略,并根据所述第一安全策略获得所述目标安全策略;或者,
向PCF节点发送所述QoS流的相关参数,并从所述PCF节点接收所述目标安全策略;或者,
所述请求携带所述终端的业务相关参数,向PCF节点发送所述业务相关参数,并从所 述PCF节点接收所述目标安全策略。
进一步地,所述根据所述第一安全策略获得所述目标安全策略,可以包括:
根据所述终端的安全偏好和所述第一安全策略,确定所述目标安全策略;或者,
向PCF节点发送所述第一安全策略和所述QoS流的相关参数,接收来自所述PCF节点的所述目标安全策略;或者,
接收来自PCF节点的所述QoS流的相关参数对应的第二安全策略,并根据所述第二安全策略和所述第一安全策略确定所述目标安全策略。
可选地,处理器902还用于:
向UPF节点发送所述QoS流的相关参数以及所述目标安全策略。
采用上述实施例提供的通信装置,通过根据接收的请求获得QoS流的目标安全策略,向移动性管理设备发送用于指示该QoS流的目标安全策略的指示信息,该指示信息用于设置空口的安全信息,从而使得不同的QoS流可以采用不同的安全策略,避免了同一个终端或同一会话只能采用同一种安全策略的问题,进而满足不同业务的安全需求。
如图10所示,本申请实施例提供的另一种通信装置,该通信装置用于执行上述方法实施例中接入网节点或基站的步骤,本实施例中涉及的方法,步骤以及术语均可以参见相关的方法实施例,不再赘述。
具体地,该通信装置可以是接入网节点,还可以是片上系统或芯片。该通信装置包括:第一通信接口1001,第二通信接口1002和处理器1003。该处理器1003可以包括一个或多个处理器,不予限制。
处理器1003,用于通过第一通信接口1001接收来自移动性管理设备的指示信息,所述指示信息用于指示QoS流的安全策略。
处理器1003,还用于根据所述指示信息,获得所述QoS流对应的无线承载的安全信息,所述安全信息用于指示所述无线承载的安全策略。
处理器1003,还用于通过第二通信接口1002向终端发送所述无线承载的标识,以及所述无线承载的安全信息。
其中,第一通信接口1001与第二通信接口1002可以为同一个接口,也可以不同。
其中,假设通信装置为基站,第一通信接口1001可以是有线接口,例如,该接口通过光纤与移动性管理设备连接;也可以是无线接口,例如,通过wifi与移动性管理设备通信;第二通信接口1002可以是收发器,通过射频信号与终端进行通信。假设通信装置为片上系统或芯片,第一通信接口1001可以是芯片的I/O接口,第二通信接口1002也可以是芯片的I/O接口。
可选地,处理器1003还用于:通过第二通信接口1002向所述终端发送以下信息中的至少一种:所述指示信息和所述QoS流的相关参数。
其中,所述QoS流的相关参数包括QFI,QCI,5QI和ARP中至少一种。
采用上述实施例提供的通信装置,通过根据用于指示QoS流的安全策略的指示信息,获得该QoS流对应的无线承载的安全信息,实现了无线承载的安全策略能够基于QoS流的安全策略进行设置,进而实现了基于QoS流的安全保护,使得不同的QoS流可以执行不同的安全策略,满足了不同业务的安全需求,提升网络安全的灵活性。
如图11所示,本申请实施例提供的另一种通信装置,该通信装置用于执行上述方法实施例中终端的步骤,本实施例中涉及的方法,步骤以及术语均可以参见相关的方法实施例,不再赘述。
具体地,该通信装置可以是终端,还可以是片上系统或芯片。该通信装置包括:处理器1101和通信接口1102。
处理器1101,用于通过通信接口1102接收来自AN节点的无线承载的标识,所述无线承载的安全信息以及指示信息,所述安全信息用于指示所述无线承载的安全策略,所述指示信息用于指示QoS流的安全策略;
处理器1101还用于:当所述无线承载的安全策略与所述QoS流的安全策略相同时,根据所述安全信息激活所述无线承载的安全保护;或者,当所述无线承载的安全策略与所述QoS流的安全策略不同时,通过通信接口1102向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同。
其中,假设通信装置为终端,通信接口1102可以是收发器,该收发器可以包括射频功能;假设通信装置为片上系统或芯片,通信接口1102可以是芯片的I/O接口。
可选地,所述向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同,包括:
向会话管理设备发送异常指示信息,所述异常指示信息用于指示所述无线承载的安全策略与所述QoS流的安全策略不同。
可选地,当所述无线承载的安全策略与所述QoS流的安全策略不同时,处理器1101还用于:根据所述无线承载的安全信息,激活所述无线承载的安全保护。
可选地,处理器1101还用于:获得终端的安全偏好;通过通信接口1102向所述会话管理设备发送所述终端的安全偏好。
可选此,处理器1101还用于:根据所述终端的安全偏好参考信息,获得所述终端的安全偏好。
其中,所述安全偏好参考信息包括以下至少一种:所述终端的APN,所述终端的业务相关信息,所述终端的服务质量需求,所述终端所处的网络状况,所述终端的签约信息,以及所述终端的状况。
采用上述实施例提供的通信装置,通过对接收的无线承载的安全策略以及QoS流的安全策略进行比较,当无线承载的安全策略与QoS流的安全策略相同时,终端激活无线承载的安全保护,由于无线承载的安全策略是基于QoS流的安全策略进行设置的,进而不同的QoS流可以执行不同的安全策略,实现了基于QoS流的安全保护,满足了不同业务的安全需求;此外,当无线承载的安全策略与QoS流的安全策略不同时,终端向会话管理设备指示两者不同,以保证核心网,接入网以及终端三者对同一个QoS流采用相同的安全策略。
如图12所示,本申请实施例提供的另一种通信装置,该通信装置用于执行上述方法实施例中PCF节点的步骤,本实施例中涉及的方法,步骤以及术语均可以参见相关的方法实施例,不再赘述。
具体地,该通信装置可以是PCF节点,还可以是片上系统或芯片。该通信装置包括: 处理器1201和通信接口1202。
处理器1201,用于通过通信接口1202接收来自会话管理设备的安全策略参考信息,所述安全策略参考信息包括QoS流的相关参数和业务相关参数中的至少一种。
处理器1202,还用于根据所述安全策略参考信息,通过向所述会话管理设备发送安全策略。
其中,假设通信装置为PCF节点,通信接口1202可以是有线接口,例如,该接口通过光纤与会话管理设备或UDM节点连接;也可以是无线接口,例如,通过wifi通信。假设通信装置为片上系统或芯片,通信接口1202可以是芯片的I/O接口。
可选地,根据所述安全策略参考信息,向所述会话管理设备发送安全策略,包括:
根据所述QoS流的相关参数与安全策略之间的对应关系,获得所述安全策略;或者,
根据所述业务相关参数与安全策略之间的对应关系,获得所述安全策略;或者,
向应用设备发送所述安全策略参考信息,并接收来自所述应用设备的所述安全策略。
其中,所述QoS流的相关参数包括QFI,QCI,5QI和ARP中至少一种;或者,
所述业务相关参数包括业务类型和业务标识中的至少一种。
采用上述实施例提供的通信装置,通过根据安全策略参考信息,向会话管理设备发送安全策略,该安全策略用于确定QoS流的安全策略,使得不同的QoS流可以执行不同的安全策略,进而实现了基于QoS流的安全保护,满足了不同业务的安全需求。
如图13所示,本申请实施例提供的另一种通信装置,该通信装置用于执行上述方法实施例中会话管理设备或SMF节点的步骤,本实施例中涉及的方法,步骤以及术语均可以参见相关的方法实施例,不再赘述。
具体地,该通信装置可以是会话管理设备,例如,SMF节点,还可以是片上系统或芯片。该通信装置包括:接收单元1301,处理单元1302和发送单元1303。
接收单元1301,用于接收请求,所述请求用于请求建立会话或修改会话。
处理单元1302,用于根据所述请求,获得QoS流的目标安全策略。
发送单元1303,用于向移动性管理设备发送指示信息,所述指示信息用于指示所述QoS流的目标安全策略。
可选地,所述指示信息携带在所述请求的响应中。
可选地,所述指示信息用于向接入网节点指示所述QoS流的目标安全策略;或者,
所述指示信息包括第一指示信息和第二指示信息,所述第一指示信息用于向接入网节点指示所述QoS流的目标安全策略,所述第二指示信息用于向终端指示所述QoS流的目标安全策略。
可选地,发送单元1303还用于:向所述移动性管理设备发送所述QoS流的相关参数。
其中,所述QoS流的相关参数可以包括QFI,QCI,5QI和ARP中至少一种。
可选地,所述获得QoS流的目标安全策略,包括:
根据所述QoS流的相关参数与安全策略之间的对应关系,获得所述目标安全策略;或者,
接收来自统一设备管理UDM节点的所述目标安全策略;或者,
根据所述QoS流的相关参数与安全策略之间的对应关系,获得第一安全策略,并根据 所述第一安全策略获得所述目标安全策略;或者,
接收来自UDM节点的与所述QoS流的相关参数对应的第一安全策略,并根据所述第一安全策略获得所述目标安全策略;或者,
向PCF节点发送所述QoS流的相关参数,并从所述PCF节点接收所述目标安全策略;或者,
所述请求携带所述终端的业务相关参数,向PCF节点发送所述业务相关参数,并从所述PCF节点接收所述目标安全策略。
可选地,所述根据所述第一安全策略获得所述目标安全策略,包括:
根据所述终端的安全偏好和所述第一安全策略,确定所述目标安全策略;或者,
向PCF节点发送所述第一安全策略和所述QoS流的相关参数,接收来自所述PCF节点的所述目标安全策略;或者,
接收来自PCF节点的所述QoS流的相关参数对应的第二安全策略,根据所述第二安全策略和所述第一安全策略,确定所述目标安全策略。
可选地,发送单元1303还用于:向UPF节点发送所述QoS流的相关参数以及所述目标安全策略。
采用上述实施例提供的通信装置,通过根据接收的请求获得QoS流的目标安全策略,向移动性管理设备发送用于指示该QoS流的目标安全策略的指示信息,该指示信息用于设置空口的安全信息,从而使得不同的QoS流可以采用不同的安全策略,避免了同一个终端或同一会话只能采用同一种安全策略的问题,进而满足不同业务的安全需求。
如图14所示,本申请实施例提供的一种通信装置,该通信装置用于执行上述方法实施例中接入网节点或基站的步骤,本实施例中涉及的方法,步骤以及术语均可以参见相关的方法实施例,不再赘述。
具体地,该通信装置可以是接入网节点,还可以是片上系统或芯片。该通信装置包括:接收单元1401,处理单元1402和发送单元1403。
接收单元1401,用于接收来自移动性管理设备的指示信息,所述指示信息用于指示服务质量QoS流的安全策略。
处理单元1402,用于根据所述指示信息,获得所述QoS流对应的无线承载的安全信息,所述安全信息用于指示所述无线承载的安全策略。
发送单元1403,用于向终端发送所述无线承载的标识,以及所述无线承载的安全信息。
可选地,发送单元1403还用于:向所述终端发送以下信息中的至少一种:所述指示信息和所述QoS流的相关参数。
其中,所述QoS流的相关参数可以包括QFI,QCI,5QI和ARP中至少一种。
采用上述实施例提供的通信装置,通过根据用于指示QoS流的安全策略的指示信息,获得该QoS流对应的无线承载的安全信息,实现了无线承载的安全策略能够基于QoS流的安全策略进行设置,进而实现了基于QoS流的安全保护,使得不同的QoS流可以执行不同的安全策略,满足了不同业务的安全需求,提升网络安全的灵活性。
如图15所示,本申请实施例提供的一种通信装置,该通信装置用于执行上述方法实施 例中终端的步骤,本实施例中涉及的方法,步骤以及术语均可以参见相关的方法实施例,不再赘述。
具体地,该通信装置可以是终端,还可以是片上系统或芯片。该通信装置包括:接收单元1501和处理单元1502。
接收单元1501,用于接收来自AN节点的无线承载的标识,所述无线承载的安全信息以及指示信息,所述安全信息用于指示所述无线承载的安全策略,所述指示信息用于指示服务质量QoS流的安全策略。
处理单元1502,用于当所述无线承载的安全策略与所述QoS流的安全策略相同时,所述终端根据所述安全信息激活所述无线承载的安全保护;或者,当所述无线承载的安全策略与所述QoS流的安全策略不同时,所述终端向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同。
可选地,所述向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同,包括:向会话管理设备发送异常指示信息,所述异常指示信息用于指示所述无线承载的安全策略与所述QoS流的安全策略不同。
可选地,当所述无线承载的安全策略与所述QoS流的安全策略不同时,处理单元1502还用于:根据所述无线承载的安全信息,激活所述无线承载的安全保护。
可选地,上述装置还包括发送单元1503。
发送单元1503,用于向所述会话管理设备发送所述终端的安全偏好。
可选地,处理单元1502还用于:根据终端的安全偏好参考信息,获得所述终端的安全偏好。
其中,所述安全偏好参考信息可以包括以下至少一种:所述终端的APN,所述终端的业务相关信息,所述终端的服务质量需求,所述终端所处的网络状况,所述终端的签约信息,以及所述终端的状况。
采用上述实施例提供的通信装置,通过对接收的无线承载的安全策略以及QoS流的安全策略进行比较,当无线承载的安全策略与QoS流的安全策略相同时,终端激活无线承载的安全保护,由于无线承载的安全策略是基于QoS流的安全策略进行设置的,进而不同的QoS流可以执行不同的安全策略,实现了基于QoS流的安全保护,满足了不同业务的安全需求;此外,当无线承载的安全策略与QoS流的安全策略不同时,终端向会话管理设备指示两者不同,以保证核心网,接入网以及终端三者对同一个QoS流采用相同的安全策略。
如图16所示,本申请实施例提供的另一种通信装置,该通信装置用于执行上述方法实施例中PCF节点的步骤,本实施例中涉及的方法,步骤以及术语均可以参见相关的方法实施例,不再赘述。
具体地,该通信装置可以是PCF节点,还可以是片上系统或芯片。该通信装置包括:接收单元1601和处理单元1602。
接收单元1601,用于接收来自会话管理设备的安全策略参考信息,所述安全策略参考信息包括服务质量QoS流的相关参数和业务相关参数中的至少一种。
处理单元1602,用于根据所述安全策略参考信息,向所述会话管理设备发送安全策略。
可选地,所述根据所述安全策略参考信息,向所述会话管理设备发送安全策略,包括:
根据所述QoS流的相关参数与安全策略之间的对应关系,获得所述安全策略;或者,
根据所述业务相关参数与安全策略之间的对应关系,获得所述安全策略;或者,
向应用设备发送所述安全策略参考信息,并接收来自所述应用设备的所述安全策略。
其中,所述QoS流的相关参数可以包括QFI,QCI,5QI和ARP中至少一种;或者,
所述业务相关参数包括业务类型和业务标识中的至少一种。
采用上述实施例提供的通信装置,通过根据安全策略参考信息,向会话管理设备发送安全策略,该安全策略用于确定QoS流的安全策略,使得不同的QoS流可以执行不同的安全策略,进而实现了基于QoS流的安全保护,满足了不同业务的安全需求。
本申请实施例提供了一种通信装置,包括处理器和存储器,存储器用于存储程序,处理器调用存储器存储的程序,以执行以上述各方法实施例中终端或会话管理设备或PCF节点或接入网节点的方法。
此外,该通信装置可以是片上系统或芯片或其它具备该功能的元器件。
此外,当执行终端的方法时,该通信装置可以是终端;当执行会话管理设备的方法时,该通信装置可以是会话管理设备;或者,当执行接入网节点的方法时,该通信装置可以是接入网节点。
本申请实施例提供了一种程序,该程序在被处理器执行时用于执行上述各方法实施例中终端或会话管理设备或PCF节点或接入网节点的方法。
本申请实施例提供了一种计算机可读存储介质,包括上述程序。
本申请实施例提供一种系统,包括:会话管理设备和接入网节点;其中,会话管理设备用于执行图2所示方法实施例中会话管理设备的方法,接入网节点可以用于执行图3或图3a所示实施例中接入网节点的方法。
进一步地,上述系统还可以包括终端,相应地,该终端可以用于执行图3或图3a所示实施例中终端的方法。
此外,上述系统还可以包括移动性管理设备,该移动性管理设备用于接入网节点和会话管理设备之间的通信。
进一步地,上述系统还可以包括:PCF节点;其中,PCF节点可以用于执行图4所示实施例中PCF节点的方法。
本发明实施例提供另一种系统,包括:接入网节点,接入网节点可以用于执行图7-7f,以及图8中任一所示实施例中接入网节点的方法。
可选地,上述系统还包括:UPF节点,UPF节点可以用于执行图7-7f以及图8所示实施例中与上述接入网节点相对应的UPF节点的方法。
可选地,上述系统还包括:终端。相应地,该终端可以用于执行图7-7f以及图8所示实施例中接入网节点相对应的终端的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算 机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
Claims (40)
- 一种通信方法,其特征在于,所述方法包括:会话管理设备接收请求,所述请求用于请求建立会话或修改会话;所述会话管理设备根据所述请求,获得服务质量QoS流的目标安全策略;所述会话管理设备向移动性管理设备发送指示信息,所述指示信息用于指示所述QoS流的目标安全策略。
- 根据权利要求1所述的方法,所述指示信息携带在所述请求的响应中。
- 根据权利要求1或2所述的方法,所述指示信息用于向接入网节点指示所述QoS流的目标安全策略;或者,所述指示信息包括第一指示信息和第二指示信息,所述第一指示信息用于向接入网节点指示所述QoS流的目标安全策略,所述第二指示信息用于向终端指示所述QoS流的目标安全策略。
- 根据权利要求1-3任一项所述的方法,所述方法还包括:所述会话管理设备向所述移动性管理设备发送所述QoS流的相关参数。
- 根据权利要求4所述的方法,所述QoS流的相关参数包括QoS流标识QFI,QoS分类识别码QCI,5G QoS指示5QI和分配保持优先级ARP中至少一种。
- 根据权利要求1-5任一项所述的方法,所述获得QoS流的目标安全策略,包括:所述会话管理设备根据所述QoS流的相关参数与安全策略之间的对应关系,获得所述目标安全策略;或者,所述会话管理设备接收来自统一设备管理UDM节点的所述目标安全策略;或者,所述会话管理设备根据所述QoS流的相关参数与安全策略之间的对应关系,获得第一安全策略,并根据所述第一安全策略获得所述目标安全策略;或者,所述会话管理设备接收来自UDM节点的与所述QoS流的相关参数对应的第一安全策略,并根据所述第一安全策略获得所述目标安全策略;或者,所述会话管理设备向策略控制功能PCF节点发送所述QoS流的相关参数,并从所述PCF节点接收所述目标安全策略;或者,所述请求携带所述终端的业务相关参数,所述会话管理设备向PCF节点发送所述业务相关参数,并从所述PCF节点接收所述目标安全策略。
- 根据权利要求6所述的方法,所述根据所述第一安全策略获得所述目标安全策略,包括:所述会话管理设备根据所述终端的安全偏好和所述第一安全策略,确定所述目标安全策略;或者,所述会话管理设备向PCF节点发送所述第一安全策略和所述QoS流的相关参数,接收来自所述PCF节点的所述目标安全策略;或者,所述会话管理设备接收来自PCF节点的所述QoS流的相关参数对应的第二安全策略,根据所述第二安全策略和所述第一安全策略,确定所述目标安全策略。
- 根据权利要求1-7中任一项所述的方法,所述方法还包括:所述会话管理设备向用户面功能UPF节点发送所述QoS流的相关参数以及所述目标安全策略。
- 一种通信方法,其特征在于,所述方法包括:接入网AN节点接收来自移动性管理设备的指示信息,所述指示信息用于指示服务质量QoS流的安全策略;所述接入网节点根据所述指示信息,获得所述QoS流对应的无线承载的安全信息,所述安全信息用于指示所述无线承载的安全策略;所述接入网节点向终端发送所述无线承载的标识,以及所述无线承载的安全信息。
- 根据权利要求9所述的方法,所述方法还包括:所述接入网节点向所述终端发送以下信息中的至少一种:所述指示信息和所述QoS流的相关参数。
- 根据权利要求10所述的方法,所述QoS流的相关参数包括QoS流标识QFI,QoS分类识别码QCI,5G QoS指示5QI和分配保持优先级ARP中至少一种。
- 一种通信方法,其特征在于,所述方法包括:终端接收来自接入网AN节点的无线承载的标识,所述无线承载的安全信息以及指示信息,所述安全信息用于指示所述无线承载的安全策略,所述指示信息用于指示服务质量QoS流的安全策略;当所述无线承载的安全策略与所述QoS流的安全策略相同时,所述终端根据所述安全信息激活所述无线承载的安全保护;或者,当所述无线承载的安全策略与所述QoS流的安全策略不同时,所述终端向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同。
- 根据权利要求12所述的方法,所述终端向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同,包括:所述终端向会话管理设备发送异常指示信息,所述异常指示信息用于指示所述无线承载的安全策略与所述QoS流的安全策略不同。
- 根据权利要求12或13所述的方法,当所述无线承载的安全策略与所述QoS流的安全策略不同时,所述方法还包括:所述终端根据所述无线承载的安全信息,激活所述无线承载的安全保护。
- 根据权利要求12-14中任一项所述的方法,所述方法还包括:所述终端向所述会话管理设备发送所述终端的安全偏好。
- 根据权利要求15所述的方法,所述方法还包括:所述终端根据所述终端的安全偏好参考信息,获得所述终端的安全偏好。
- 根据权利要求16所述的方法,所述安全偏好参考信息包括以下至少一种:所述终端的接入点名称APN,所述终端的业务相关信息,所述终端的服务质量需求,所述终端所处的网络状况,所述终端的签约信息,以及所述终端的状况。
- 一种通信方法,其特征在于,所述方法包括:策略控制功能PCF节点接收来自会话管理设备的安全策略参考信息,所述安全策略参考信息包括服务质量QoS流的相关参数和业务相关参数中的至少一种;所述PCF节点根据所述安全策略参考信息,向所述会话管理设备发送安全策略。
- 根据权利要求18所述的方法,所述PCF节点根据所述安全策略参考信息,向所述会话管理设备发送安全策略,包括:所述PCF节点根据所述QoS流的相关参数与安全策略之间的对应关系,获得所述安全策略;或者,所述PCF节点根据所述业务相关参数与安全策略之间的对应关系,获得所述安全策略;或者,所述PCF节点向应用设备发送所述安全策略参考信息,并接收来自所述应用设备的所述安全策略。
- 根据权利要求18或19所述的方法,所述QoS流的相关参数包括QoS流标识QFI,QoS分类识别码QCI,5G QoS指示5QI和分配保持优先级ARP中至少一种;或者,所述业务相关参数包括业务类型和业务标识中的至少一种。
- 一种通信装置,其特征在于,包括:通信接口和处理器;所述处理器,用于通过所述通信接口接收请求,所述请求用于请求建立会话或修改会话;所述处理器,还用于根据所述请求,获得服务质量QoS流的目标安全策略;并通过所述通信接口向移动性管理设备发送指示信息,所述指示信息用于指示所述QoS流的目标安全策略。
- 根据权利要求21所述的通信装置,所述指示信息携带在所述请求的响应中。
- 根据权利要求21或22所述的通信装置,所述指示信息用于向接入网节点指示所述QoS流的目标安全策略;或者,所述指示信息包括第一指示信息和第二指示信息,所述第一指示信息用于向接入网节点指示所述QoS流的目标安全策略,所述第二指示信息用于向终端指示所述QoS流的目标安全策略。
- 根据权利要求21-23任一项所述的通信装置,所述处理器还用于:通过所述通信接口向所述移动性管理设备发送所述QoS流的相关参数。
- 根据权利要求24所述的通信装置,所述QoS流的相关参数包括QoS流标识QFI,QoS分类识别码QCI,5G QoS指示5QI和分配保持优先级ARP中至少一种。
- 根据权利要求21-25任一项所述的通信装置,所述获得QoS流的目标安全策略,包括:根据所述QoS流的相关参数与安全策略之间的对应关系,获得所述目标安全策略;或者,接收来自统一设备管理UDM节点的所述目标安全策略;或者,根据所述QoS流的相关参数与安全策略之间的对应关系,获得第一安全策略,并根据所述第一安全策略获得所述目标安全策略;或者,接收来自UDM节点的与所述QoS流的相关参数对应的第一安全策略,并根据所述第一安全策略获得所述目标安全策略;或者,向策略控制功能PCF节点发送所述QoS流的相关参数,并从所述PCF节点接收所述目标安全策略;或者,所述请求携带所述终端的业务相关参数,向PCF节点发送所述业务相关参数,并从所述PCF节点接收所述目标安全策略。
- 根据权利要求26所述的通信装置,所述根据所述第一安全策略获得所述目标安全策 略,包括:根据所述终端的安全偏好和所述第一安全策略,确定所述目标安全策略;或者,向PCF节点发送所述第一安全策略和所述QoS流的相关参数,接收来自所述PCF节点的所述目标安全策略;或者,接收来自PCF节点的所述QoS流的相关参数对应的第二安全策略,并根据所述第二安全策略和所述第一安全策略确定所述目标安全策略。
- 根据权利要求21-27中任一项所述的通信装置,所述处理器还用于:向用户面功能UPF节点发送所述QoS流的相关参数以及所述目标安全策略。
- 一种通信装置,其特征在于,包括:第一通信接口,第二通信接口和处理器;所述处理器,用于通过所述第一通信接口接收来自移动性管理设备的指示信息,所述指示信息用于指示服务质量QoS流的安全策略;所述处理器,还用于根据所述指示信息,获得所述QoS流对应的无线承载的安全信息,所述安全信息用于指示所述无线承载的安全策略;所述处理器,还用于通过所述第二通信接口向终端发送所述无线承载的标识,以及所述无线承载的安全信息。
- 根据权利要求29所述的通信装置,所述处理器还用于:通过所述第二通信接口向所述终端发送以下信息中的至少一种:所述指示信息和所述QoS流的相关参数。
- 根据权利要求30所述的通信装置,所述QoS流的相关参数包括QoS流标识QFI,QoS分类识别码QCI,5G QoS指示5QI和分配保持优先级ARP中至少一种。
- 一种通信装置,其特征在于,包括:处理器和通信接口;所述处理器,用于通过所述通信接口接收来自接入网AN节点的无线承载的标识,所述无线承载的安全信息以及指示信息,所述安全信息用于指示所述无线承载的安全策略,所述指示信息用于指示服务质量QoS流的安全策略;所述处理器还用于:当所述无线承载的安全策略与所述QoS流的安全策略相同时,根据所述安全信息激活所述无线承载的安全保护;或者,当所述无线承载的安全策略与所述QoS流的安全策略不同时,通过所述通信接口向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同。
- 根据权利要求32所述的通信装置,所述向会话管理设备指示所述无线承载的安全策略与所述QoS流的安全策略不同,包括:向会话管理设备发送异常指示信息,所述异常指示信息用于指示所述无线承载的安全策略与所述QoS流的安全策略不同。
- 根据权利要求32或33所述的通信装置,当所述无线承载的安全策略与所述QoS流的安全策略不同时,所述处理器还用于:根据所述无线承载的安全信息,激活所述无线承载的安全保护。
- 根据权利要求32-34中任一项所述的通信装置,所述处理器还用于:获得终端的安全偏好;通过所述通信接口向所述会话管理设备发送所述终端的安全偏好。
- 根据权利要求35所述的通信装置,所述处理器还用于:根据所述终端的安全偏好参考信息,获得所述终端的安全偏好。
- 根据权利要求36所述的通信装置,所述安全偏好参考信息包括以下至少一种:所述终端的接入点名称APN,所述终端的业务相关信息,所述终端的服务质量需求,所述终端所处的网络状况,所述终端的签约信息,以及所述终端的状况。
- 一种通信装置,其特征在于,所述通信装置包括:通信接口和处理器;所述处理器,用于通过所述通信接口接收来自会话管理设备的安全策略参考信息,所述安全策略参考信息包括服务质量QoS流的相关参数和业务相关参数中的至少一种;所述处理器,还用于根据所述安全策略参考信息,向所述会话管理设备发送安全策略。
- 根据权利要求38所述的通信装置,根据所述安全策略参考信息,向所述会话管理设备发送安全策略,包括:根据所述QoS流的相关参数与安全策略之间的对应关系,获得所述安全策略;或者,根据所述业务相关参数与安全策略之间的对应关系,获得所述安全策略;或者,向应用设备发送所述安全策略参考信息,并接收来自所述应用设备的所述安全策略。
- 根据权利要求38或39所述的通信装置,所述QoS流的相关参数包括QoS流标识QFI,QoS分类识别码QCI,5G QoS指示5QI和分配保持优先级ARP中至少一种;或者,所述业务相关参数包括业务类型和业务标识中的至少一种。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18861935.7A EP3678412A4 (en) | 2017-09-30 | 2018-09-21 | COMMUNICATION METHOD, DEVICE AND SYSTEM |
| US16/834,858 US11546771B2 (en) | 2017-09-30 | 2020-03-30 | Communication method, communications apparatus, and system |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710916582.1A CN109600339B (zh) | 2017-09-30 | 2017-09-30 | 通信方法、装置和系统 |
| CN201710916582.1 | 2017-09-30 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| US16/834,858 Continuation US11546771B2 (en) | 2017-09-30 | 2020-03-30 | Communication method, communications apparatus, and system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2019062672A1 true WO2019062672A1 (zh) | 2019-04-04 |
Family
ID=65900550
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2018/107030 WO2019062672A1 (zh) | 2017-09-30 | 2018-09-21 | 通信方法、装置和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11546771B2 (zh) |
| EP (1) | EP3678412A4 (zh) |
| CN (2) | CN114500008A (zh) |
| WO (1) | WO2019062672A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113452555A (zh) * | 2021-06-22 | 2021-09-28 | 新华三大数据技术有限公司 | 一种服务质量保障方法及装置 |
| CN113676907A (zh) * | 2020-04-30 | 2021-11-19 | 华为技术有限公司 | 一种确定服务质量流的方法及设备 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019174015A1 (zh) | 2018-03-15 | 2019-09-19 | Oppo广东移动通信有限公司 | 处理数据的方法、接入网设备和核心网设备 |
| CN111183663A (zh) * | 2017-11-08 | 2020-05-19 | Oppo广东移动通信有限公司 | 完整性保护的控制方法、网络设备及计算机存储介质 |
| CN110536484B (zh) * | 2019-05-13 | 2024-03-26 | 中兴通讯股份有限公司 | 多连接系统中的数据无线承载控制方法、装置和系统 |
| CN114615154A (zh) * | 2019-08-26 | 2022-06-10 | 阿里巴巴集团控股有限公司 | 服务质量管理的方法及装置、通信系统 |
| CN111314347A (zh) * | 2020-02-19 | 2020-06-19 | 联想(北京)有限公司 | 一种非法流量的处理方法、装置、系统和存储介质 |
| CN113630738B (zh) * | 2020-04-21 | 2023-11-10 | 华为技术有限公司 | 一种侧行链路通信方法及装置 |
| EP4068824A1 (en) * | 2021-04-02 | 2022-10-05 | Nokia Technologies Oy | Security enforcement and assurance utilizing policy control framework and security enhancement of analytics function in communication network |
| CN115277035A (zh) * | 2021-04-29 | 2022-11-01 | 华为技术有限公司 | 切换场景下的安全配置方法和通信装置 |
| US11240544B1 (en) * | 2021-05-02 | 2022-02-01 | Allot Ltd. | System, device, and method of differentiating between streaming live-video flows and streaming non-live-video flows |
| KR20230020870A (ko) * | 2021-08-04 | 2023-02-13 | 삼성전자주식회사 | 무선 통신 시스템에서 pdu 세션에 대해 사용자 보안 평면 정책을 적용하는 방법 및 장치 |
| CN114286339A (zh) * | 2021-12-21 | 2022-04-05 | 中国电信股份有限公司 | 安全策略的确定方法及系统 |
| CN117440366A (zh) * | 2022-07-13 | 2024-01-23 | 华为技术有限公司 | 一种通信方法、通信装置及通信系统 |
| WO2024030574A1 (en) * | 2022-08-05 | 2024-02-08 | Intel Corporation | Enhanced quality of service-level security for wireless communications |
| CN116209006B (zh) * | 2023-04-25 | 2023-09-22 | 阿里巴巴达摩院(杭州)科技有限公司 | 通信网络的管理系统、方法、网络设备和存储介质 |
| CN116528227B (zh) * | 2023-06-30 | 2023-09-29 | 中国电信股份有限公司 | 用户面安全配置方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101232442A (zh) * | 2008-01-09 | 2008-07-30 | 中兴通讯股份有限公司 | 一种策略控制的方法 |
| CN101488847A (zh) * | 2008-01-18 | 2009-07-22 | 华为技术有限公司 | 一种数据加密的方法、装置和系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599977B (zh) * | 2009-07-17 | 2012-04-18 | 杭州华三通信技术有限公司 | 网络业务的管理方法和系统 |
| CN102098676B (zh) * | 2010-01-04 | 2015-08-12 | 电信科学技术研究院 | 一种实现完整性保护的方法、装置和系统 |
| US9215588B2 (en) * | 2010-04-30 | 2015-12-15 | Cisco Technology, Inc. | System and method for providing selective bearer security in a network environment |
| US9497169B2 (en) * | 2012-06-08 | 2016-11-15 | Samsung Electronics Co., Ltd. | Method and system for selective protection of data exchanged between user equipment and network |
| WO2017031763A1 (zh) * | 2015-08-27 | 2017-03-02 | 华为技术有限公司 | 一种语音业务建立方法、装置及设备 |
| KR102355678B1 (ko) * | 2017-05-08 | 2022-01-26 | 삼성전자 주식회사 | 이동 통신 시스템에서의 QoS(Quality Of Service) Flow의 설정 방법 및 장치 |
-
2017
- 2017-09-30 CN CN202210021410.9A patent/CN114500008A/zh active Pending
- 2017-09-30 CN CN201710916582.1A patent/CN109600339B/zh active Active
-
2018
- 2018-09-21 WO PCT/CN2018/107030 patent/WO2019062672A1/zh unknown
- 2018-09-21 EP EP18861935.7A patent/EP3678412A4/en active Pending
-
2020
- 2020-03-30 US US16/834,858 patent/US11546771B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101232442A (zh) * | 2008-01-09 | 2008-07-30 | 中兴通讯股份有限公司 | 一种策略控制的方法 |
| CN101488847A (zh) * | 2008-01-18 | 2009-07-22 | 华为技术有限公司 | 一种数据加密的方法、装置和系统 |
Non-Patent Citations (2)
| Title |
|---|
| ETRI: "TS 23.502: Updating PDU Session Modification for UE Requested QoS Control", SA WG2 MEETING #122-BIS, S2-176005, 15 August 2017 (2017-08-15), XP051335442 * |
| See also references of EP3678412A4 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676907A (zh) * | 2020-04-30 | 2021-11-19 | 华为技术有限公司 | 一种确定服务质量流的方法及设备 |
| CN113676907B (zh) * | 2020-04-30 | 2023-08-04 | 华为技术有限公司 | 一种确定服务质量流的方法,装置,设备及计算机可读存储介质 |
| CN113452555A (zh) * | 2021-06-22 | 2021-09-28 | 新华三大数据技术有限公司 | 一种服务质量保障方法及装置 |
| CN113452555B (zh) * | 2021-06-22 | 2023-12-26 | 新华三大数据技术有限公司 | 一种服务质量保障方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3678412A4 (en) | 2020-10-14 |
| EP3678412A1 (en) | 2020-07-08 |
| CN114500008A (zh) | 2022-05-13 |
| US20200228975A1 (en) | 2020-07-16 |
| CN109600339A (zh) | 2019-04-09 |
| CN109600339B (zh) | 2022-01-11 |
| US11546771B2 (en) | 2023-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600339B (zh) | 通信方法、装置和系统 | |
| JP7263234B2 (ja) | 通信のための方法、装置、システム、端末、およびアクセス・ネットワーク・デバイス | |
| CN109618335B (zh) | 一种通信方法及相关装置 | |
| US11134410B2 (en) | Quality of service (QoS) control in mobile edge computing (MEC) | |
| US11770467B2 (en) | Techniques to manage integrity protection | |
| US11223988B2 (en) | Quality of service rule management in 5G | |
| WO2020001572A1 (zh) | 通信方法及装置 | |
| US11564084B2 (en) | Information transmission method, device, and computer readable storage medium | |
| CN109392024B (zh) | 一种业务质量流的控制方法及相关设备 | |
| US20220322135A1 (en) | Method for managing qos, relay terminal, pcf network element, smf network element, and remote terminal | |
| KR20200004397A (ko) | QoS 제어 방법 및 장치 | |
| EP3259889B1 (en) | Improved priority handling for data flow transport in communication systems | |
| CN111200565B (zh) | 一种信息传输方法、终端及网络设备 | |
| WO2017177753A1 (zh) | 一种基于流的承载管理方法、数据传输方法及装置 | |
| WO2018120183A1 (zh) | 数据传输的方法及装置 | |
| WO2018170707A1 (zh) | 控制面连接管理方法和装置 | |
| KR102318746B1 (ko) | 가상 id를 이용하여 복수의 pdu 세션들을 처리하는 방법 및 상기 방법을 수행하는 smf | |
| WO2022116193A1 (zh) | Qos信息的发送方法、接收方法、装置、设备及介质 | |
| WO2021003617A1 (zh) | 数据传输方法、装置和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 18861935 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| ENP | Entry into the national phase |
Ref document number: 2018861935 Country of ref document: EP Effective date: 20200402 |