WO2019071472A1 - 一种业务策略创建方法及装置 - Google Patents

Abstract

一种业务策略创建方法及装置。其中方法包括：SMF网元从终端设备获取业务标识以及业务策略安装鉴权参数，并向业务策略鉴权网元发送所述业务标识以及所述业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；所述SMF网元向所述终端设备发送临时标签和密钥指示信息，所述临时标签用于标识所述业务标识对应的数据报文，所述密钥指示信息用于指示业务策略执行密钥，所述业务策略执行密钥用于校验所述临时标签；所述临时标签和所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述SMF网元生成或所述业务策略鉴权网元生成的。

Description

一种业务策略创建方法及装置 技术领域

本申请涉及无线通信技术领域，特别涉及一种业务策略创建方法及装置。

背景技术

在未来的5G网络架构中，终端设备中的应用程序(application，APP)可主动向网络发起业务策略创建流程。在业务策略创建流程完成后，由网络中数据面设备(如网关设备)根据业务策略对该APP的业务流执行相应的检测、计费和控制策略。

然而在终端设备发起业务策略安装流程的过程中，如果终端设备上的APP盗用其他APP的业务策略，则会导致业务策略被滥用。例如，终端设备中的应用程序A的第一业务对应业务策略A，应用程序B的第二业务对应业务策略B。如果应用程序B采用非法的方式获得应用程序A的第一业务的业务标识，并在进行策略创建的流程中，向网络侧提供第一业务的业务标识进行策略安装，那么网络侧会为应用程序B的第二业务创建与第一业务的业务标识对应业务策略A，并按照业务策略A对应的计费策略进行计费，从而导业务策略被滥用。

综上所述，如何在终端设备发起业务策略创建流程的过程中，防止业务策略被滥用，是亟待解决的问题。

发明内容

本申请实施方式的目的在于提供一种业务策略创建方法及装置，用以解决终端设备发起业务策略创建流程的过程中，业务策略被滥用的问题。

第一方面，本申请实施例提供一种业务策略创建方法，包括：

SMF网元从终端设备获取业务标识以及业务策略安装鉴权参数，并向业务策略鉴权网元发送所述业务标识以及所述业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

所述SMF网元向所述终端设备发送临时标签和密钥指示信息，所述临时标签用于标识所述业务标识对应的数据报文，所述密钥指示信息用于指示业务策略执行密钥，所述业务策略执行密钥用于校验所述临时标签；所述临时标签和所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述SMF网元生成或所述业务策略鉴权网元生成的。

根据本申请实施例提供的方法，终端设备在发送业务标识对应的数据报文之前，需要向SMF网元发送业务标识以及业务策略安装鉴权参数，在SMF网元确定终端设备发送的业务标识以及业务策略安装鉴权参数鉴权成功后，再向终端设备发送临时标签和密钥指示信息，终端设备从而可以根据临时标签和密钥指示信息发送数据报文。由于终端设备发起业务策略创建流程的过程中，需要进行鉴权，从而可以防止终端设备发送的业务标识对应的业务策略被其他终端设备盗用等情况发送，从而可以提供业务策略的安全性。

一种可选地实施方式中，所述方法还包括：

所述SMF网元接收所述业务策略鉴权网元发送的与所述业务标识对应的业务策略； 所述业务策略用于控制所述业务标识对应的数据报文。

一种可选地实施方式中，所述方法还包括：

所述SMF网元向UPF网元发送所述业务策略、所述临时标签和所述密钥指示信息。

上述方法中，SMF网元向UPF网元发送业务策略、所述临时标签和所述密钥指示信息等信息，UPF网元从而可以根据所述临时标签和所述密钥指示信息识别终端设备发送的数据报文，从而可以在识别出数据报文后，根据业务策略控制数据报文。

一种可选地实施方式中，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者

所述密钥指示信息为所述SMF网元为所述业务标识对应的业务分配的。

一种可选地实施方式中，所述密钥指示信息为生成所述业务策略执行密钥的密钥参数；或者，所述密钥指示信息为所述业务策略执行密钥。

一种可选地实施方式中，所述临时标签为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者，所述临时标签为所述SMF网元为所述业务标识对应的业务分配的。

一种可选地实施方式中，所述方法还包括：

所述SMF网元向所述终端设备发送校验变量指示信息，所述校验变量指示信息指示出用于校验所述临时标签的校验变量。

一种可选地实施方式中，所述校验变量指示信息为通过所述业务策略执行密钥加密后发送的。

第二方面，本申请实施例提供一种业务策略创建装置，所述业务策略创建装置包括存储器、通信接口和处理器，其中：存储器用于存储指令；处理器用于根据执行存储器存储的指令，并控制通信接口进行信号接收和信号发送，当处理器执行存储器存储的指令时，所述业务策略创建装置用于执行上述第一方面或第一方面中任一种可能的设计中的方法。

第三方面，本申请实施例提供一种业务策略创建装置，用于实现上述第一方面或第一方面中的任意一种方法，包括相应的功能模块，例如包括处理单元、接收单元、发送单元等，分别用于实现以上方法中的步骤。

第四方面，本申请实施例提供一种业务策略创建方法，包括：

终端设备向会话管理功能SMF网元发送业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

所述终端设备从所述SMF网元接收临时标签和密钥指示信息，所述密钥指示信息用于指示业务策略执行密钥；所述临时标签和密钥指示信息为业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述SMF网元生成或所述业务策略鉴权网元生成的；

所述终端设备发送所述业务标识对应的数据报文，所述数据报文中包括所述临时标签以及校验参数，所述校验参数为所述终端设备根据所述业务策略执行密钥对所述临时标签进行校验后生成的。

根据本申请实施例提供的方法，终端设备在发送业务标识对应的数据报文之前，需要向SMF网元发送业务标识以及业务策略安装鉴权参数，在SMF网元确定终端设备发送的业务标识以及业务策略安装鉴权参数鉴权成功后，终端设备可以接收SMF网元发送的临时标签和密钥指示信息，终端设备从而可以根据临时标签和密钥指示信息发送数据报文。 由于终端设备发起业务策略创建流程的过程中，需要进行鉴权，从而可以防止终端设备发送的业务标识对应的业务策略被其他终端设备盗用等情况发送，从而可以提供业务策略的安全性。

一种可选地实施方式中，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者

所述密钥指示信息为所述SMF网元为所述业务标识对应的业务分配的。

一种可选地实施方式中，所述终端设备向会话管理功能SMF网元发送业务标识以及业务策略安装鉴权参数之前，所述方法还包括：

所述终端设备从应用服务器获取所述业务标识以及所述业务标识对应的业务策略安装派生密钥；

所述终端设备根据所述业务标识以及所述业务策略安装派生密钥确定所述业务策略安装鉴权参数。

一种可选地实施方式中，所述方法还包括：

所述终端设备从所述SMF网元接收校验变量指示信息，所述校验变量指示信息指示出用于校验所述临时标签的校验变量。

第五方面，本申请实施例提供一种业务策略创建装置，所述业务策略创建装置包括存储器、收发机和处理器，其中：存储器用于存储指令；处理器用于根据执行存储器存储的指令，并控制收发机进行信号接收和信号发送，当处理器执行存储器存储的指令时，所述业务策略创建装置用于执行上述第四方面或第四方面中任一种可能的设计中的方法。

第六方面，本申请实施例提供一种业务策略创建装置，用于实现上述第四方面或第四方面中的任意一种方法，包括相应的功能模块，例如包括处理单元、接收单元、发送单元等，分别用于实现以上方法中的步骤。

第七方面，本申请实施例提供一种业务策略创建方法，包括：

业务策略鉴权网元接收会话管理功能SMF网元发送的业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；所述业务标识以及所述业务策略安装鉴权参数为所述终端发送给所述SMF网元的；

所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权，并在鉴权通过后，向所述SMF网元发送所述业务标识对应的业务策略向所述SMF网元发送所述业务标识对应的业务策略、临时标签和密钥指示信息中的至少一种；所述临时标签用于标识所述业务标识对应的数据报文，所述业务策略执行密钥用于校验所述临时标签；所述业务策略用于控制所述业务标识对应的数据报文。

根据本申请实施例提供的方法，终端设备在发送业务标识对应的数据报文之前，需要向SMF网元发送业务标识以及业务策略安装鉴权参数，在业务策略鉴权网元对终端设备发送的业务标识以及业务策略安装鉴权参数鉴权成功后，终端设备可以接收SMF网元发送的临时标签和密钥指示信息，终端设备从而可以根据临时标签和密钥指示信息发送数据报文。由于终端设备发起业务策略创建流程的过程中，需要进行鉴权，从而可以防止终端设备发送的业务标识对应的业务策略被其他终端设备盗用等情况发送，从而可以提供业务策略的安全性。

一种可选地实施方式中，所述业务策略鉴权网元根据所述业务标识对所述业务策略 安装鉴权参数进行鉴权，包括：

所述业务策略鉴权网元根据所述业务标识确定与所述业务标识对应的业务策略安装密钥；

所述业务策略鉴权网元根据所述业务策略安装密钥生成业务策略安装派生密钥，并根据所述业务策略安装派生密钥对所述业务策略安装派生密钥进行鉴权。

一种可选地实施方式中，所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权，包括：

所述业务策略鉴权网元通过AUSF网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权。

第八方面，本申请实施例提供一种业务策略创建装置，所述业务策略创建装置包括存储器、通信接口和处理器，其中：存储器用于存储指令；处理器用于根据执行存储器存储的指令，并控制通信接口进行信号接收和信号发送，当处理器执行存储器存储的指令时，所述业务策略创建装置用于执行上述第四方面或第四方面中任一种可能的设计中的方法。

第九方面，本申请实施例提供一种业务策略创建装置，用于实现上述第四方面或第四方面中的任意一种方法，包括相应的功能模块，例如包括处理单元、接收单元、发送单元等，分别用于实现以上方法中的步骤。

第十方面，本申请实施例提供一种计算机可读存储介质，所述计算机存储介质中存储有计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行上述任一方面或任一方面中任一种可能的设计中的方法。

第十一方面，本申请实施例提供一种计算机程序产品，当计算机读取并执行所述计算机程序产品时，使得计算机执行上述任一方面或任一方面中任一种可能的设计中的方法。

第十二方面，本申请实施例提供一种芯片，所述芯片与存储器相连，用于读取并执行所述存储器中存储的软件程序，以实现上述任一方面或任一方面中任一种可能的设计中的方法。

附图说明

图1为适用于本申请实施例的一种系统架构示意图；

图2为本申请实施例提供的密钥关系示意图；

图3为本申请实施例提供的一种业务策略创建方法流程示意图；

图4为本申请实施例提供的一种业务策略创建方法示意图；

图5为本申请实施例提供的一种业务策略创建装置结构示意图；

图6为本申请实施例提供的一种业务策略创建装置结构示意图；

图7为本申请实施例提供的一种业务策略创建装置结构示意图；

图8为本申请实施例提供的一种业务策略创建装置结构示意图；

图9为本申请实施例提供的一种业务策略创建装置结构示意图；

图10为本申请实施例提供的一种业务策略创建装置结构示意图。

具体实施方式

下面将结合附图对本申请实施例作进一步地详细描述。

图1示例性示出了适用于本申请实施例的一种系统架构示意图，如图1所示的系统架构中，终端设备101可以经接入网网元102与核心网进行通信，终端设备可以指用户设备(User Equipment，UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5G网络中的终端等。图1中为方便描述，只示例出1个终端，实际网络中，可能存在多个终端共存，在此不再赘述。

接入网(Access Network，AN)网元102，接入网网元也可以称之为无线接入网(Radio Access Network，RAN)网元，以下统称为接入网网元或AN，主要负责为终端设备101提供无线连接，保证终端设备101的上下行数据的可靠传输等。接入网网元102可为5G系统中的gNB(generation Node B)，可以是全球移动通讯(Global System of Mobile communication，GSM)系统或码分多址(Code Division Multiple Access，CDMA)中的基站(Base Transceiver Station，BTS)，也可以是宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统中的基站(NodeB，NB)，还可以是长期演进(Long Term Evolution，LTE)系统中的演进型基站(Evolutional Node B，eNB或eNodeB)等。

会话管理功能(Session Management Function，SMF)网元103，可以用于执行LTE系统中移动性管理实体(Mobility Management Entity，MME)的部分功能，主要负责为终端设备101建立会话、管理会话等。可以根据终端设备101的位置信息为终端设备101选择合适的用户面功能(User Plane Function，UPF)网元。

UPF网元104，是终端设备101用户面的功能网元，主要功能包括分组路由和转发，用户面数据的服务质量(Quality of Service，QoS)处理等。

接入和移动性管理(Access and Mobility Management Function,AMF)网元105，主要功能包括无线接入网络控制平面的终结点，非接入信令的终结点，移动性管理，合法监听，接入授权或鉴权等等。

策略控制功能(Policy Control Funtion，PCF)网元106，主要负责用户面传输路径的建立、释放和更改等功能。

鉴权服务器功能(Authentication Server Function，AUSF)网元107，其主要功能包括用户鉴权等。

在本申请实施例中涉及多种密钥，下面结合附图描述每种密钥之间的关系。具体的，如图2所示。图2中，业务策略根密钥是由网络侧为终端设备配置的密钥，也可以称为鉴权密钥。

业务签约密钥是通过业务策略根密钥生成的，例如可以根据OTT标识以及业务策略根密钥进行哈希运算，获得业务签约密钥。业务签约参数是通过业务签约密钥生成的

业务策略安装密钥是通过业务策略根密钥生成的。

业务策略安装派生密钥是通过业务策略安装密钥生成的。

业务策略安装鉴权参数是通过业务策略安装派生密钥生成的。

业务策略执行密钥是通过业务策略安装密钥生成的，也可以通过其他方式生成。

上述各种密钥的具体生成方法，以及使用方法，将在后面描述，在此不再赘述。

在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

结合前面的描述，如图3所示，为本申请实施例提供的一种业务策略创建方法流程示意图。参见图3，该方法包括：

步骤301：终端设备向SMF网元发送业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新。

本申请实施例中，业务标识标识的数据报文的粒度，可以是业务粒度，例如标识一个APP所提供的某种业务的数据报文，该APP可以为微信程序或支付宝程序等。业务标识标识的数据报文的粒度，还可以是用户粒度，例如标识一个用户或一组用户访问某种业务的数据报文。

业务标识可以对应一个业务策略，网络侧可以根据数据报文中的业务标识，采用与业务标识对应的业务策略对数据报文执行相应的检测、计费和控制策略。当然，业务标识标识的数据报文的粒度为是用户粒度时，业务标识也可以在用户级别上标识一个用户或一组用户的数据报文，网络侧可以根据数据报文中的业务标识，采用与业务标识对应的业务策略对一个用户或一组用户的数据报文执行相应的检测、计费和控制策略。

步骤302：SMF网元从终端设备获取业务标识以及业务策略安装鉴权参数，并向业务策略鉴权网元发送所述业务标识以及所述业务策略安装鉴权参数。

本申请实施例中，业务策略鉴权网元的功能可以由PCF网元实现，也可以由AUSF网元实现，还可以由其它任何网元实现，本发明实施例不进行限定。。当业务策略鉴权网元的功能由PCF或AUSF实现时，业务策略鉴权网元为PCF或AUSF网元内部的一个逻辑功能。

步骤303：业务策略鉴权网元接收SMF网元发送的业务标识以及业务策略安装鉴权参数。

其中，所述业务标识以及所述业务策略安装鉴权参数为所述终端发送给所述SMF网元的。

步骤304：所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权，并在鉴权通过后，向所述SMF网元发送所述业务标识对应的业务策略、临时标签和密钥指示信息中的至少一种。

当业务策略鉴权网元未向SMF网元发送临时标签或密钥指示信息时，可以由SMF网元生成临时标签或密钥指示信息。

所述临时标签用于标识所述业务标识对应的数据报文，所述密钥指示信息指示的业务策略执行密钥用于校验所述临时标签；所述业务策略用于控制所述业务标识对应的数据报文。

步骤305：所述SMF网元向所述终端设备发送所述临时标签和所述密钥指示信息。

所述密钥指示信息用于指示业务策略执行密钥；所述临时标签用于标识所述业务标识对应的数据报文，所述业务策略执行密钥用于校验所述临时标签；所述临时标签和所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述SMF网元生成或所述业务策略鉴权网元生成的。

步骤306：所述终端设备从所述SMF网元接收临时标签和密钥指示信息，并发送所述业务标识对应的数据报文，所述数据报文中包括所述临时标签以及校验参数，所述校验参数为所述终端设备根据所述业务策略执行密钥对所述临时标签进行校验后生成的。

步骤301之前，终端设备还需要通过应用服务器(application server，AS)获取业务标识以及所述业务标识对应的业务策略安装派生密钥等，需要说明的是，该应用服务器为提供所述业务标识对应的业务的应用服务器。

下面描述应用服务器如何确定业务策略安装派生密钥：

具体的，应用服务器可以获得为终端设备提供服务的网络运营商分配的业务策略根密钥，该过程的具体内容可以参考现有技术中的描述，在此不再赘述。应用服务器获得业务策略根密钥之后，可以根据业务策略根密钥生成业务签约密钥，例如，应用服务器根据过顶(Over The Top，OTT)标识(OTT是指应用服务器通过互联网向用户提供的应用服务，一个OTT可以包括多个业务)、应用服务器生成的随机数以及业务策略根密钥，进行哈希(HASH)运算，并将哈希运算结果作为所述业务签约密钥，当然，应用服务器也可以通过其他算法生成业务签约密钥，本申请实施例对此并不限定。

应用服务器生成业务签约密钥之后，还可以根据业务签约密钥和OTT标识确定业务签约鉴权参数。例如，应用服务器对业务签约密钥和OTT标识进行哈希运算，并将哈希运算结果作为所述业务签约鉴权参数。

应用服务器获得上述参数之后，应用服务器可以向网络开放功能(Network Exposure Function，NEF)网元发起业务策略签约消息，业务策略签约消息中包含请求的业务策略、所述OTT标识、所述随机数等。可选的，业务策略签约消息中还可以包含业务标识、所述业务签约鉴权参数。如前所述，所述业务签约鉴权参数为根据业务签约密钥确定的，所述业务签约密钥是根据业务策略根密钥确定的。所述业务标识可以为业务策略鉴权网元在所述应用服务器中预先配置的。

NEF网元接收到应用服务器发送的业务策略签约消息之后，将业务策略签约消息转发至业务策略鉴权网元。业务策略鉴权网元接收到业务策略签约消息之后，可以根据业务策略根密钥生成业务策略安装密钥。例如，业务策略鉴权网元可以对业务策略根密钥、业务标识(在业务策略签约消息中包括业务标识的情况下)等进行哈希计算，获得业务策略安装密钥，当然，业务策略鉴权网元也可以根据其他方法生成业务策略安装密钥，在此不再逐一举例说明。进一步的，业务策略鉴权网元还可以存储业务策略安装密钥，并建立业务标识与业务策略安装密钥的对应关系。

可选的，业务策略鉴权网元生成业务策略安装密钥之前，还可以对接收到的业务签约鉴权参数进行校验，并在确认校验通过之后生成业务策略安装密钥。具体的校验过程可以如下：业务策略鉴权网元根据接收到的OTT标识、随机数以及业务策略根密钥，生成业务签约密钥。业务策略鉴权网元生成业务签约密钥的算法，与应用服务器生成业务签约密钥的算法相同，为与应用服务器预先约定的算法。

业务策略鉴权网元再采用与应用服务器预先约定的算法，根据所述业务签约密钥生成期望的(expected)业务签约鉴权参数，业务策略鉴权网元若确定所述期望的业务签约鉴权参数与接收到的业务签约鉴权参数相同，则确定业务签约鉴权参数校验通过；若确定所述期望的业务签约鉴权参数与接收到的业务签约鉴权参数不相同，则确定业务签约鉴权参数校验未通过。

需要说明的是，上述校验过程中，业务策略鉴权网元为PCF网元时，业务策略鉴权网元可以独立对业务签约鉴权参数进行校验，也可以将业务策略签约消息转发至AUSF网元，由AUSF网元对业务签约鉴权参数进行校验。业务策略鉴权网元通过AUSF网元对业务签约鉴权参数进行校验时，AUSF网元向业务策略鉴权网元返回校验结果，业务策略鉴权网元从而可以根据AUSF网元返回的校验结果，确定业务签约鉴权参数是否校验通过。AUSF网元在确定业务签约鉴权参数校验通过后，也可以生成业务策略安装密钥，并建立业务标识与业务策略安装密钥的对应关系。可选的，AUSF网元还可以将业务策略安装密钥发送给业务策略鉴权网元。

业务策略鉴权网元生成业务策略安装密钥之后，还可以对应用服务器请求的业务策略进行授权。可选的，业务策略签约消息中不包括业务标识时，业务策略鉴权网还可以为应用服务器请求的业务策略分配业务标识。

业务策略鉴权网元对应用服务器请求的业务策略进行授权之后，向应用服务器发送策略签约响应消息，策略签约响应消息指示出应用服务器请求的业务策略的授权结果等信息。可选的，策略签约响应消息中还可以包括业务标识。

应用服务器接收到策略签约响应消息之后，可以根据业务签约密钥、业务标识等，采用与业务策略鉴权网元相同的方法，生成业务策略安装密钥。

应用服务器生成业务策略安装密钥之后，可以在接收到终端设备发送的业务请求(例如业务注册请求)时，向终端设备发送所请求的业务的业务标识，以及所述业务标识对应的业务策略安装派生密钥。需要说明的是，终端设备在发送业务请求之前，需要附着到网络，并与应用服务器建立传输控制协议(Transmission Control Protocol，TCP)连接等流程，在此不再赘述。

终端设备从应用服务器获取业务标识以及所述业务标识对应的业务策略安装派生密钥之后，可以根据所述业务标识以及所述业务策略安装派生密钥确定所述业务策略安装鉴权参数。具体的，终端设备可以对业务标识以及业务策略安装派生密钥进行哈希计算，将哈希计算的结果作为业务策略安装鉴权参数，当然，终端设备也可以根据其他方法生成业务策略安装鉴权参数，在此不再逐一举例说明。

终端设备确定业务标识以及业务策略安装鉴权参数之后，可以通过业务策略请求消息向SMF网元发送业务标识以及业务策略安装鉴权参数。业务策略请求消息可以是业务策略创建请求消息，或者业务策略使能请求消息，或者业务策略更新请求消息等，本申请实施例对此并不限定。

需要说明的是，终端设备可以通过非接入层(Non-access stratum，NAS)消息承载所述业务策略请求消息，具体过程不再赘述。

相应的，步骤302中，SMF网元可以通过终端设备发送的业务策略请求消息，获取业务标识以及业务策略安装鉴权参数，并向业务策略鉴权网元发送所述业务标识以及所述业务策略安装鉴权参数。

步骤304中，业务策略鉴权网元接收到业务标识后，根据业务标识确定与所述业务标识对应的业务策略安装密钥，再根据业务策略安装密钥以及业务标识生成业务策略安装派生密钥，业务策略鉴权网元生成业务策略安装派生密钥的方式，与终端设备生成业务策略安装派生密钥的方式相同，在此不再赘述。

业务策略鉴权网元生成业务策略安装派生密钥之后，采用与终端设备相同的方法，根 据业务策略安装派生密钥生成期望的业务策略安装鉴权参数，若确定期望的业务策略安装鉴权参数，与从SMF网元接收到的业务策略安装鉴权参数相同，则可以确定业务策略安装鉴权参数鉴权通过，否则确定业务策略安装鉴权参数鉴权未通过。

需要说明的是，上述鉴权过程中，业务策略鉴权网元为PCF网元时，业务策略鉴权网元可以独立对业务策略安装鉴权参数进行鉴权，也可以将业务策略签约消息转发至AUSF网元，从而通过AUSF网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权。业务策略鉴权网元通过AUSF网元对业务策略安装鉴权参数进行鉴权时，AUSF网元向业务策略鉴权网元返回鉴权结果，业务策略鉴权网元从而可以根据AUSF网元返回的鉴权结果，确定业务策略安装鉴权参数是否鉴权通过。

业务策略鉴权网元确定业务策略安装鉴权参数鉴权通过之后，为所述业务标识对应的业务分配业务策略。可选的，业务策略鉴权网元还可以为所述业务标识对应的业务分配临时标签，从而通过所述临时标签标识所述业务标识对应的数据报文；业务策略鉴权网元还可以为所述业务标识对应的业务生成业务策略执行密钥，例如，业务策略鉴权网元可以对业务策略安装密钥以及密钥参数进行哈希计算，并将计算结果作为业务策略执行密钥。密钥参数的可以为随机数等，本申请实施例对此并不限定，可以根据实际情况进行约定。

需要说明的是，业务策略鉴权网元为PCF网元，且业务策略鉴权网元通过AUSF网元对业务策略安装鉴权参数进行鉴权时，业务策略执行密钥以及临时标签也可以是AUSF网元分配并发送给业务策略鉴权网元的。

业务策略鉴权网元分配业务策略之后，可以向SMF网元发送业务策略，还可以发送临时标签以及密钥指示信息中的至少一个。密钥指示信息可以为生成所述业务策略执行密钥的密钥参数，也可以为所述业务策略执行密钥。

步骤305中，业务策略鉴权网元未向所述SMF网元发送密钥指示信息时，密钥指示信息也可以由SMF网元为所述业务标识对应的业务分配的。

相应的，所述临时标签可以为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者，所述临时标签也可以为所述SMF网元为所述业务标识对应的业务分配的。

SMF网元还可以将业务策略、临时标签和密钥指示信息发送给UPF网元，UPF网元可以根据密钥指示信息指示的业务策略执行密钥，对终端设备发送的数据报文中的校验参数进行校验，还可以根据临时标签确定所述业务标识对应的数据报文，并根据业务策略控制所述业务业务标识对应的数据报文。

步骤306中，终端设备发送业务标识对应的数据报文之前，可以根据密钥指示信息确定业务策略执行密钥，例如，密钥指示信息为所述业务策略执行密钥时，终端设备可以直接将密钥指示信息作为业务策略执行密钥；密钥指示信息为密钥参数时，终端设备可以根据密钥参数生成业务策略执行密钥，生成业务策略执行密钥的方法可以为与SMF网元或业务策略鉴权网元预先约定的方法，在此不再赘述。

终端设备确定业务策略执行密钥之后，可以根据业务策略执行密钥、业务变量、临时标签生成校验参数。例如，终端设备可以对业务策略执行密钥、校验变量、临时标签进行哈希计算，将计算结果作为所述校验参数。其中校验变量可以为数据报文的五元组，也可以为所述五元组中的一部分。校验变量可以预先约定，也可以由SMF网元向终端设备发送的校验变量指示信息进行指示，例如校验变量指示信息可以指示校验变量为发送数据报 文的数据包的五元组中的源互联网协议地址(Internet Protocol Address，IP)地址，源端口号以及目的IP地址。进一步的，所述校验变量指示信息可以为SMF网元通过所述业务策略执行密钥加密后发送给所述终端设备的。

终端设备将校验参数以及临时标签封装在数据报文中，或数据报文的外层之后，通过数据报文发送至UPF网元。

UPF网元接收到数据报文之后，根据SMF网元发送的密钥指示信息指示的业务策略执行密钥对校验参数进行校验，具体的，UPF网元可以根据SMF网元发送的密钥指示信息指示的业务策略执行密钥、数据报文中的临时标签、校验变量，按照终端设备相同的方法，生成期望的校验参数，若确定期望的校验参数与数据报文中的校验参数相同，则可以确定校验成功，否则可以确定校验失败。

UPF网元对校验参数校验成功之后，根据业务策略对数据报文执行业务控制，并把数据报文中封装的临时标签和校验参数去除，把去除上述参数的数据报文发送给应用服务器。

下面通过一个具体的实施例描述前面的过程。

如图4所示，为本申请实施例提供的一种数据报文传输流程示意图。

步骤401：终端设备向应用服务器发送业务请求，所述业务请求用于请求业务注册。

步骤402：应用服务器接收到所述业务请求之后，向终端设备发送业务请求响应。

业务请求响应中包括终端设备所请求注册的业务的业务标识，以及所述业务标识对应的业务策略安装派生密钥。

步骤403：终端设备接收到业务请求响应之后，根据业务请求响应中的业务标识以及业务策略安装派生密钥确定所述业务策略安装鉴权参数。

步骤404：终端设备向SMF网元发送业务策略请求消息。

所述业务策略请求消息中包括业务标识以及业务策略安装鉴权参数，业务标识以及业务策略安装鉴权参数用于发起业务策略创建安装或业务策略更新。

步骤405：SMF网元接收到业务策略请求消息之后，把业务策略请求消息中的业务标识以及业务策略安装鉴权参数发送至业务策略鉴权网元。

步骤406：业务策略鉴权网元接收到业务标识以及业务策略安装鉴权参数之后，根据业务标识对业务策略安装鉴权参数进行鉴权，并在鉴权通过后为所述业务标识对应的业务分配业务策略。

相应的，业务策略鉴权网元确定业务策略安装鉴权参数鉴权未通过时，向SMF网元发送拒绝消息，所述拒绝消息用于拒绝所述终端设备的请求。SMF网元将接收到的拒绝消息转发至所述终端设备。

步骤407：业务策略鉴权网元向SMF网元发送所述业务策略。

可选的，业务策略鉴权网元还可以向SMF网元发送临时标签以及密钥指示信息中的至少一个。

步骤408：SMF网元接收到所述业务策略之后，向UPF网元发送所述业务策略、临时标签以及密钥指示信息。

其中，临时标签可以为所述业务策略鉴权网元发送给所述SMF网元的，也可以为所述SMF网元为所述业务标识对应的业务分配的；密钥指示信息可以为所述业务策略鉴权网元发送给所述SMF网元的，也可以为所述SMF网元为所述业务标识对应的业务分配的。

步骤409：SMF网元向终端设备发送临时标签以及密钥指示信息。

步骤410：终端设备根据业务策略执行密钥、业务变量、临时标签生成校验参数。

步骤411：终端设备将校验参数以及临时标签封装在数据报文中，或数据报文的外层之后，向UPF网元发送所述数据报文。

步骤412：UPF网元接收到数据报文之后，根据SMF网元发送的密钥指示信息指示的业务策略执行密钥对校验参数进行校验，并在对校验参数校验成功之后，根据业务策略对数据报文执行业务控制，并把数据报文中封装的临时标签和校验参数去除，把去除上述参数的数据报文发送给应用服务器。

如图5所示，为本申请实施例提供一种业务策略创建装置结构示意图，该业务策略创建装置可以用于执行上述各方法实施例中SMF网元的动作，该业务策略创建装置500包括：

接收单元501，用于从终端设备获取业务标识以及业务策略安装鉴权参数，并向业务策略鉴权网元发送所述业务标识以及所述业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

发送单元501，用于向所述终端设备发送临时标签和密钥指示信息，所述临时标签用于标识所述业务标识对应的数据报文，所述密钥指示信息用于指示业务策略执行密钥，所述业务策略执行密钥用于校验所述临时标签；所述临时标签和所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述装置生成或所述业务策略鉴权网元生成的。

一种可选地实施方式中，所述接收单元501还用于：

接收所述业务策略鉴权网元发送的与所述业务标识对应的业务策略；所述业务策略用于控制所述业务标识对应的数据报文。

一种可选地实施方式中，所述发送单元502还用于：

向UPF网元发送所述业务策略、所述临时标签和所述密钥指示信息。

一种可选地实施方式中，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述装置的；或者

所述密钥指示信息为所述装置为所述业务标识对应的业务分配的。

一种可选地实施方式中，所述密钥指示信息为生成所述业务策略执行密钥的密钥参数；或者，所述密钥指示信息为所述业务策略执行密钥。

一种可选地实施方式中，所述临时标签为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述装置的；或者，所述临时标签为所述装置为所述业务标识对应的业务分配的。

一种可选地实施方式中，所述发送单元502还用于：

向所述终端设备发送校验变量指示信息，所述校验变量指示信息指示出用于校验所述临时标签的校验变量。

一种可选地实施方式中，所述校验变量指示信息为通过所述业务策略执行密钥加密后发送的。

如图6所示，为本申请实施例提供一种业务策略创建装置结构示意图，该业务策略创建装置可以用于执行上述各方法实施例中终端设备的动作，该业务策略创建装置600包括：

收发单元601，用于向会话管理功能SMF网元发送业务标识以及业务策略安装鉴权参 数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

所述收发单元601，用于从所述SMF网元接收临时标签和密钥指示信息，所述密钥指示信息用于指示业务策略执行密钥；所述临时标签和密钥指示信息为业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述SMF网元生成或所述业务策略鉴权网元生成的；

处理单元602，用于根据所述业务策略执行密钥对所述临时标签进行校验后生成校验参数；

所述收发单元601，用于发送所述业务标识对应的数据报文，所述数据报文中包括所述临时标签以及所述校验参数。

一种可选地实施方式中，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者

所述密钥指示信息为所述SMF网元为所述业务标识对应的业务分配的。

一种可选地实施方式中，所述向会话管理功能SMF网元发送业务标识以及业务策略安装鉴权参数之前，所述收发单元601还用于：

从应用服务器获取所述业务标识以及所述业务标识对应的业务策略安装派生密钥；

所述处理单元602，用于根据所述业务标识以及所述业务策略安装派生密钥确定所述业务策略安装鉴权参数。

一种可选地实施方式中，所述收发单元601还用于：

从所述SMF网元接收校验变量指示信息，所述校验变量指示信息指示出用于校验所述临时标签的校验变量。

如图7所示，为本申请实施例提供一种业务策略创建装置结构示意图，该业务策略创建装置可以用于执行上述各方法实施例中业务策略鉴权网元的动作，该业务策略创建装置700包括：

收发单元701，用于接收会话管理功能SMF网元发送的业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；所述业务标识以及所述业务策略安装鉴权参数为所述终端发送给所述SMF网元的；

处理单元702，用于根据所述业务标识对所述业务策略安装鉴权参数进行鉴权；

所述收发单元701，用于在鉴权通过后，向所述SMF网元发送所述业务标识对应的业务策略向所述SMF网元发送所述业务标识对应的业务策略、临时标签和密钥指示信息中的至少一种；所述临时标签用于标识所述业务标识对应的数据报文，所述业务策略执行密钥用于校验所述临时标签；所述业务策略用于控制所述业务标识对应的数据报文。

一种可选地实施方式中，所述处理单元702具体用于：

根据所述业务标识确定与所述业务标识对应的业务策略安装密钥；

根据所述业务策略安装密钥生成业务策略安装派生密钥，并根据所述业务策略安装派生密钥对所述业务策略安装派生密钥进行鉴权。

一种可选地实施方式中，所述处理单元702具体用于：

通过AUSF网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权。

如图8所示，为本申请实施例提供一种业务策略创建装置结构示意图，该业务策略创建装置可以用于执行上述各方法实施例中SMF网元的动作。

该业务策略创建装置800包括：处理器801、通信接口802、存储器803；其中，处理器801、通信接口802、存储器803通过总线804相互连接。

处理器801可以是中央处理器(central processing unit，CPU)，网络处理器(network processor，NP)或者CPU和NP的组合。处理器801还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。

存储器803可以包括易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；存储器也可以包括非易失性存储器(non-volatile memory)，例如快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；存储器803还可以包括上述种类的存储器的组合。

通信接口802可以为有线通信接入口，无线通信接口或其组合，其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为无线局域网络(Wireless Local Area Networks，WLAN)接口。

总线804可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器803可以用于存储程序指令，处理器801调用该存储器803中存储的程序指令，可以执行以下步骤：

通过通信接口802从终端设备获取业务标识以及业务策略安装鉴权参数，并向业务策略鉴权网元发送所述业务标识以及所述业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

通过通信接口802向所述终端设备发送临时标签和密钥指示信息，所述临时标签用于标识所述业务标识对应的数据报文，所述密钥指示信息用于指示业务策略执行密钥，所述业务策略执行密钥用于校验所述临时标签；所述临时标签和所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述装置生成或所述业务策略鉴权网元生成的。

一种可选地实施方式中，所述处理器801还用于：

通过通信接口802接收所述业务策略鉴权网元发送的与所述业务标识对应的业务策略；所述业务策略用于控制所述业务标识对应的数据报文。

一种可选地实施方式中，所述处理器801还用于：

通过通信接口802向UPF网元发送所述业务策略、所述临时标签和所述密钥指示信息。

一种可选地实施方式中，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述装置的；或者

所述密钥指示信息为所述装置为所述业务标识对应的业务分配的。

一种可选地实施方式中，所述密钥指示信息为生成所述业务策略执行密钥的密钥参数；或者，所述密钥指示信息为所述业务策略执行密钥。

一种可选地实施方式中，所述临时标签为所述业务策略鉴权网元根据所述业务标识对 所述业务策略安装鉴权参数鉴权成功后，发送给所述装置的；或者，所述临时标签为所述装置为所述业务标识对应的业务分配的。

一种可选地实施方式中，所述处理器801还用于：

通过通信接口802向所述终端设备发送校验变量指示信息，所述校验变量指示信息指示出用于校验所述临时标签的校验变量。

一种可选地实施方式中，所述校验变量指示信息为通过所述业务策略执行密钥加密后发送的。

如图9所示，为本申请实施例提供一种业务策略创建装置结构示意图，该业务策略创建装置可以用于执行上述各方法实施例中终端设备的动作。

该业务策略创建装置900包括：处理器901、收发机902、存储器903；其中，处理器901、收发机902、存储器903通过总线904相互连接，上述模块的具体内容可以参考图8中相关模块的描述，在此不再赘述。

收发机902可以为有线通信接入口，无线通信接口或其组合，其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为无线局域网络(Wireless Local Area Networks，WLAN)接口、射频(Radio Frequency，RF)接口等，RF接口可以通过与网络设备通信。RF接口可以使用任一通信标准或协议，包括但不限于全球移动通讯(Global System of Mobile communication，GSM)系统、通用分组无线服务(General Packet Radio Service，GPRS)系统、码分多址(Code Division Multiple Access，CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)系统、长期演进(Long Term Evolution,LTE)系统、新无线(New Radio，NR)系统等。

收发机902，用于向会话管理功能SMF网元发送业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

所述收发机902，用于从所述SMF网元接收临时标签和密钥指示信息，所述密钥指示信息用于指示业务策略执行密钥；所述临时标签和密钥指示信息为业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述SMF网元生成或所述业务策略鉴权网元生成的；

处理器901，用于根据所述业务策略执行密钥对所述临时标签进行校验后生成校验参数；

所述收发机902，用于发送所述业务标识对应的数据报文，所述数据报文中包括所述临时标签以及所述校验参数。

一种可选地实施方式中，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者

所述密钥指示信息为所述SMF网元为所述业务标识对应的业务分配的。

一种可选地实施方式中，所述向会话管理功能SMF网元发送业务标识以及业务策略安装鉴权参数之前，所述收发机902还用于：

从应用服务器获取所述业务标识以及所述业务标识对应的业务策略安装派生密钥；

所述处理器901，用于根据所述业务标识以及所述业务策略安装派生密钥确定所述业务策略安装鉴权参数。

一种可选地实施方式中，所述收发机902还用于：

从所述SMF网元接收校验变量指示信息，所述校验变量指示信息指示出用于校验所 述临时标签的校验变量。

如图10所示，为本申请实施例提供一种业务策略创建装置结构示意图，该业务策略创建装置可以用于执行上述各方法实施例中业务策略鉴权网元的动作。

该业务策略创建装置1000包括：处理器1001、通信接口1002、存储器1003；其中，处理器1001、通信接口1002、存储器1003通过总线1004相互连接，上述模块的具体内容可以参考图8中相关模块的描述，在此不再赘述。

通信接口1002，用于接收会话管理功能SMF网元发送的业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；所述业务标识以及所述业务策略安装鉴权参数为所述终端发送给所述SMF网元的；

处理器1001，用于根据所述业务标识对所述业务策略安装鉴权参数进行鉴权；

所述通信接口1002，用于在鉴权通过后，向所述SMF网元发送所述业务标识对应的业务策略向所述SMF网元发送所述业务标识对应的业务策略、临时标签和密钥指示信息中的至少一种；所述临时标签用于标识所述业务标识对应的数据报文，所述业务策略执行密钥用于校验所述临时标签；所述业务策略用于控制所述业务标识对应的数据报文。

一种可选地实施方式中，所述处理器1001具体用于：

根据所述业务标识确定与所述业务标识对应的业务策略安装密钥；

根据所述业务策略安装密钥生成业务策略安装派生密钥，并根据所述业务策略安装派生密钥对所述业务策略安装派生密钥进行鉴权。

一种可选地实施方式中，所述处理器1001具体用于：

通过AUSF网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权。

本申请实施例还提供了一种计算机可读存储介质，用于存储上述处理器801执行的计算机软件指令，其包含上述处理器801执行的程序。

本申请实施例还提供了一种计算机可读存储介质，用于存储上述处理器901执行的计算机软件指令，其包含上述处理器901执行的程序。

本申请实施例还提供了一种计算机可读存储介质，用于存储上述处理器1001执行的计算机软件指令，其包含上述处理器1001执行的程序。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他 可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (30)

1. 一种业务策略创建方法，其特征在于，包括：

   会话管理功能SMF网元从终端设备获取业务标识以及业务策略安装鉴权参数，并向业务策略鉴权网元发送所述业务标识以及所述业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

   所述SMF网元向所述终端设备发送临时标签和密钥指示信息，所述临时标签用于标识所述业务标识对应的数据报文，所述密钥指示信息用于指示业务策略执行密钥，所述业务策略执行密钥用于校验所述临时标签；所述临时标签和所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述SMF网元生成或所述业务策略鉴权网元生成的。
2. 根据权利要求1所述的方法，其特征在于，所述方法还包括：

   所述SMF网元接收所述业务策略鉴权网元发送的与所述业务标识对应的业务策略；所述业务策略用于控制所述业务标识对应的数据报文。
3. 根据权利要求1或2所述的方法，其特征在于，所述SMF网元确定临时标签和密钥指示信息之后，所述方法还包括：

   所述SMF网元向用户面功能UPF网元发送所述业务策略、所述临时标签和所述密钥指示信息。
4. 根据权利要求1至3任一所述的方法，其特征在于，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者

   所述密钥指示信息为所述SMF网元为所述业务标识对应的业务分配的。
5. 根据权利要求1至4任一所述的方法，其特征在于，所述密钥指示信息为生成所述业务策略执行密钥的密钥参数；或者，所述密钥指示信息为所述业务策略执行密钥。
6. 根据权利要求1至5任一所述的方法，其特征在于，所述临时标签为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者，所述临时标签为所述SMF网元为所述业务标识对应的业务分配的。
7. 根据权利要求1至6任一所述的方法，其特征在于，所述方法还包括：

   所述SMF网元向所述终端设备发送校验变量指示信息，所述校验变量指示信息指示出用于校验所述临时标签的校验变量。
8. 根据权利要求7所述的方法，其特征在于，所述校验变量指示信息为通过所述业务策略执行密钥加密后发送的。
9. 一种业务策略创建方法，其特征在于，包括：

   终端设备向会话管理功能SMF网元发送业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

   所述终端设备从所述SMF网元接收临时标签和密钥指示信息，所述密钥指示信息用于指示业务策略执行密钥；所述临时标签和密钥指示信息为业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述SMF网元生成或所述业务策略鉴权网元生成的；

   所述终端设备发送所述业务标识对应的数据报文，所述数据报文中包括所述临时标签 以及校验参数，所述校验参数为所述终端设备根据所述业务策略执行密钥对所述临时标签进行校验后生成的。
10. 根据权利要求9所述的方法，其特征在于，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者

    所述密钥指示信息为所述SMF网元为所述业务标识对应的业务分配的。
11. 根据权利要求9或10所述的方法，其特征在于，所述终端设备通过SMF网元向PCF网元发送业务标识以及业务策略安装鉴权参数之前，所述方法还包括：

    所述终端设备从应用服务器获取所述业务标识以及所述业务标识对应的业务策略安装派生密钥；

    所述终端设备根据所述业务标识以及所述业务策略安装派生密钥确定所述业务策略安装鉴权参数。
12. 根据权利要求9至11任一所述的方法，其特征在于，所述方法还包括：

    所述终端设备从所述SMF网元接收校验变量指示信息，所述校验变量指示信息指示出用于校验所述临时标签的校验变量；

    所述校验参数为所述终端设备根据所述业务策略执行密钥、所述校验变量对所述临时标签进行校验后生成的。
13. 一种业务策略创建方法，其特征在于，包括：

    业务策略鉴权网元接收会话管理功能SMF网元发送的业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；所述业务标识以及所述业务策略安装鉴权参数为所述终端发送给所述SMF网元的；

    所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权，并在鉴权通过后，向所述SMF网元发送所述业务标识对应的业务策略向所述SMF网元发送所述业务标识对应的业务策略、临时标签和密钥指示信息中的至少一种；所述临时标签用于标识所述业务标识对应的数据报文，所述业务策略执行密钥用于校验所述临时标签；所述业务策略用于控制所述业务标识对应的数据报文。
14. 根据权利要求13所述的方法，其特征在于，所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权，包括：

    所述业务策略鉴权网元根据所述业务标识确定与所述业务标识对应的业务策略安装密钥；

    所述业务策略鉴权网元根据所述业务策略安装密钥生成业务策略安装派生密钥，并根据所述业务策略安装派生密钥对所述业务策略安装派生密钥进行鉴权。
15. 根据权利要求13所述的方法，其特征在于，所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权，包括：

    所述业务策略鉴权网元通过AUSF网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权。
16. 一种业务策略创建装置，其特征在于，包括：

    接收单元，用于从终端设备获取业务标识以及业务策略安装鉴权参数，并向业务策略鉴权网元发送所述业务标识以及所述业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

    发送单元，用于向所述终端设备发送临时标签和密钥指示信息，所述临时标签用于标识所述业务标识对应的数据报文，所述密钥指示信息用于指示业务策略执行密钥，所述业务策略执行密钥用于校验所述临时标签；所述临时标签和所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述装置生成或所述业务策略鉴权网元生成的。
17. 根据权利要求16所述的装置，其特征在于，所述接收单元还用于：

    接收所述业务策略鉴权网元发送的与所述业务标识对应的业务策略；所述业务策略用于控制所述业务标识对应的数据报文。
18. 根据权利要求16或17所述的装置，其特征在于，所述发送单元还用于：

    向用户面功能UPF网元发送所述业务策略、所述临时标签和所述密钥指示信息。
19. 根据权利要求16至18任一所述的装置，其特征在于，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述装置的；或者

    所述密钥指示信息为所述装置为所述业务标识对应的业务分配的。
20. 根据权利要求16至19任一所述的装置，其特征在于，所述密钥指示信息为生成所述业务策略执行密钥的密钥参数；或者，所述密钥指示信息为所述业务策略执行密钥。
21. 根据权利要求16至20任一所述的装置，其特征在于，所述临时标签为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述装置的；或者，所述临时标签为所述装置为所述业务标识对应的业务分配的。
22. 根据权利要求16至21任一所述的装置，其特征在于，所述发送单元还用于：

    向所述终端设备发送校验变量指示信息，所述校验变量指示信息指示出用于校验所述临时标签的校验变量。
23. 根据权利要求22所述的装置，其特征在于，所述校验变量指示信息为通过所述业务策略执行密钥加密后发送的。
24. 一种业务策略创建装置，其特征在于，包括：

    收发单元，用于向会话管理功能SMF网元发送业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；

    所述收发单元，用于从所述SMF网元接收临时标签和密钥指示信息，所述密钥指示信息用于指示业务策略执行密钥；所述临时标签和密钥指示信息为业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，由所述SMF网元生成或所述业务策略鉴权网元生成的；

    处理单元，用于根据所述业务策略执行密钥对所述临时标签进行校验后生成校验参数；

    所述收发单元，用于发送所述业务标识对应的数据报文，所述数据报文中包括所述临时标签以及所述校验参数。
25. 根据权利要求24所述的装置，其特征在于，所述密钥指示信息为所述业务策略鉴权网元根据所述业务标识对所述业务策略安装鉴权参数鉴权成功后，发送给所述SMF网元的；或者

    所述密钥指示信息为所述SMF网元为所述业务标识对应的业务分配的。
26. 根据权利要求24或25所述的装置，其特征在于，所述向会话管理功能SMF网 元发送业务标识以及业务策略安装鉴权参数之前，所述收发单元还用于：

    从应用服务器获取所述业务标识以及所述业务标识对应的业务策略安装派生密钥；

    所述处理单元，用于根据所述业务标识以及所述业务策略安装派生密钥确定所述业务策略安装鉴权参数。
27. 根据权利要求24至26任一所述的装置，其特征在于，所述收发单元还用于：

    从所述SMF网元接收校验变量指示信息，所述校验变量指示信息指示出用于校验所述临时标签的校验变量。
28. 一种业务策略创建装置，其特征在于，包括：

    收发单元，用于接收会话管理功能SMF网元发送的业务标识以及业务策略安装鉴权参数；所述业务标识以及所述业务策略安装鉴权参数用于发起业务策略创建或业务策略更新；所述业务标识以及所述业务策略安装鉴权参数为所述终端发送给所述SMF网元的；

    处理单元，用于根据所述业务标识对所述业务策略安装鉴权参数进行鉴权；

    所述收发单元，用于在鉴权通过后，向所述SMF网元发送所述业务标识对应的业务策略向所述SMF网元发送所述业务标识对应的业务策略、临时标签和密钥指示信息中的至少一种；所述临时标签用于标识所述业务标识对应的数据报文，所述业务策略执行密钥用于校验所述临时标签；所述业务策略用于控制所述业务标识对应的数据报文。
29. 根据权利要求28所述的装置，其特征在于，所述处理单元具体用于：

    根据所述业务标识确定与所述业务标识对应的业务策略安装密钥；

    根据所述业务策略安装密钥生成业务策略安装派生密钥，并根据所述业务策略安装派生密钥对所述业务策略安装派生密钥进行鉴权。
30. 根据权利要求28所述的装置，其特征在于，所述处理单元具体用于：

    通过AUSF网元根据所述业务标识对所述业务策略安装鉴权参数进行鉴权。

Images