WO2020034864A1

WO2020034864A1 - 一种用户面安全策略实现方法、装置及系统

Info

Publication number: WO2020034864A1
Application number: PCT/CN2019/099309
Authority: WO
Inventors: 孙海洋; 熊春山
Original assignee: 华为技术有限公司
Priority date: 2018-08-13
Filing date: 2019-08-05
Publication date: 2020-02-20
Also published as: EP3833150A1; CN110831243B; EP3833150A4; CN110831243A; US20210168151A1

Abstract

本申请公开了一种用户面安全策略实现方法、装置及系统。在一种方式中，终端装置可以根据网络设备发送的应用的用户面安全指示信息，关联或建立PDU会话；在另一种方式中，PCF将获取到的应用的用户面安全属性需求，携带在PCC规则中发送给SMF，以使SMF根据用户面安全属性需求进行QoS flow绑定。通过上述方法，可以满足应用的用户面安全属性需求。

Description

一种用户面安全策略实现方法、装置及系统

相关申请的交叉引用

本申请要求在2018年08月13日提交中国专利局、申请号为201810918762.8、申请名称为“一种用户面安全策略实现方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及无线通信技术领域，尤其涉及一种用户面安全策略实现方法、装置及系统。

背景技术

终端可以根据应用的传输需求，选择用于传输该应用数据包的分组数据单元(packet data unit，PDU)会话。若该终端已建立的PDU会话中没有符合该应用传输需要的PDU会话，则终端可以请求建立一个新的PDU会话，以满足该应用的传输需求。

不同的应用，可以有不同的用户面安全策略，例如，一个应用需要对数据包进行加密以及完整性保护，或者仅需要对数据包进行加密即可，或者仅需要对数据包进行完整性保护。

然而，终端在为应用选择PDU会话时，没有考虑应用的用户面安全策略。而网络设备在执行安全策略时，在建立PDU会话时，为一个PDU会话设置了相应的用户面安全策略，该用户面安全策略是根据该PDU会话所在的切片以及数据网络(data network，DN)确定的。在该PDU会话上传输的数据包均使用相同的用户面安全策略，也没有考虑到不同应用的需求。例如，应用A已经在应用层实现了加密，若网络设备再进行加密，则会增加无谓的负载和时延。又例如，应用B对时延要求较高，而对数据包进行完整性保护则会产生相对较大的时延，导致策略冲突。

发明内容

本申请提供一种用户面安全策略实现方法、装置及系统，用于实现满足应用的用户面需求。

第一方面，本申请实施例提供了一种用户面安全策略实现方法，包括：

终端装置接收网络设备发送的用户面安全指示信息，该用户面安全指示信息用于指示应用的用户面安全属性需求。

终端装置根据上述用户面安全需求关联或建立PDU会话。

在上述方法中，终端根据应用的用户面安全指示信息为应用选择关联PDU会话时，考虑了应用的用户面安全属性需求，使得关联的PDU会话与应用的用户面安全属性需求相符合，有助于避免不必要的安全性保护或安全性保护不符合应用的需求。

在一种可能的实现方式中，终端装置在根据用户面属性需求建立PDU会话时，当已建立的PDU会话中不存在满足上述应用的用户面安全属性需求的PDU会话时，所述终端装置发送PDU会话建立请求信息，用于请求建立满足所述应用的用户面安全属性需求的 PDU会话。终端装置根据用户面安全属性请求建立PDU会话，并将该应用于建立的PDU会话相关联，使得关联的PDU会话能够满足应用的用户面安全属性需求。

在一种可能的实现方式中，上述PDU会话建立请求信息中包括根据上述用户面安全指示信息确定出的用户面安全参数。

在一种可能的实现方式中，终端装置在根据用户面属性需求关联PDU会话时，当已建立的PDU会话中存在满足所述应用的用户面安全属性需求的第一PDU会话时，该终端装置在该第一PDU会话中传输所述应用的数据。

在一种可能的实现方式中，上述用户面安全指示信息携带在用户设备路由选择策略(UE route selection policy，URSP)中发送给所述终端装置。终端装置根据URSP选择PDU会话，将应用的用户面安全指示信息携带在URSP中，对现有协议改动较小、易于实现。

第二方面，本申请实施例提供了一种用户面安全策略实现方法，包括：

策略控制功能(policy control function，PCF)发送用户面安全指示信息，所述用户面安全指示信息用于终端装置关联或建立PDU会话。

在上述方法中，PCF发送的用户面安全指示信息可以经由其他网元发送给终端装置，以使终端装置根据该用户面安全指示信息关联PDU会话，使得关联的PDU会话与应用的用户面安全属性需求相符合。

在一种可能的实现方式中，上述方法还包括：PCF接收会话管理功能(session management function，SMF)发送的策略规则请求，所述请求中包括用户面安全参数信息，所述用户面安全参数信息为所述终端装置根据所述应用的用户面安全指示信息确定的。PCF根据所述用户面安全参数信息，确定用户面安全策略信息，并将确定出的用户面安全策略信息发送给所述SMF。PCF在接收到策略规则请求后，将用户面安全参数信息发送给SMF，以使SMF以及其他网元能够根据该用户面参数信息对PDU会话执行相应的安全策略，保证应用的用户面安全属性需求。

在一种可能的实现方式中，PCF根据所述终端装置的签约信息确定所述应用的用户面安全指示信息。

在一种可能的实现方式中，上述用户面安全指示信息携带在用户设备路由选择策略(UE route selection policy，URSP)中发送给所述终端装置。

第三方面，本申请实施例提供了一种用户面安全策略实现方法，包括：统一数据管理(unified data management，UDM)接收SMF发送的PDU会话注册信息，所述注册信息中包括来自终端装置的用户面安全参数。

当所述用户面参数是允许为所述终端装置的PDU会话配置的参数，所述UDM向所述SMF发送允许建立PDU的指示信息。

当所述用户面参数不是允许为所述终端装置的PDU会话配置的参数，所述UDM向所述SMF发送拒绝建立PDU会话的指示信息。

在上述方法中，SMF发送的PDU会话注册信息中包括用户面安全参数，以使建立的PDU会话能够满足应用的用户面安全属性需求，而UDM可以对该用户面安全参数进行鉴权，在该参数为允许为终端装置PDU会话配置的参数，则允许建立PDU会话，以保证建立的PDU会话与该终端装置的签约信息一致。

第四方面，本申请实施例提供了一种用户面安全策略实现方法，包括：PCF接收应用功能(application function，AF)发送的应用的用户面安全属性需求信息，所述用户面安全属性需求信息用于指示所述应用的用户面安全属性需求；PCF向SMF发送业务数据流(service data flow，SDF)的用户面安全参数信息，所述SDF的用户面安全参数信息是根据所述应用的用户面安全属性需求确定的。

在上述方法中，PCF可以从AF获取应用的用户面安全属性需求信息，并发送给SMF，以使SMF能够根据应用的用户面安全属性需求进行QoS flow的绑定，从而满足应用的用户面安全属性需求。

第五方面，本申请实施例提供了一种用户面安全策略实现方法，包括：SMF接收PCF发送的SDF的用户面安全参数，所述SDF的用户面安全参数信息包含于策略与计费控制(policy and charging control，PCC)规则中，所述SDF的用户面安全参数信息根据应用的用户面安全属性需求所确定，所述用户面安全参数信息用于指示用户面安全参数；SMF至少根据所述SDF的用户面安全参数绑定PCC和服务质量流(QoS flow)。

在一种可能实现方式中，当已建立的QoS flow中存在符合所述用户面安全参数的第一QoS flow，所述SMF将所述应用的SDF与所述第一Q进行服务质量流QoS flow绑定oS flow进行绑定；和/或，当已建立的QoS flow中不存在符合所述用户面安全参数的第一QoS flow，所述SMF请求建立第二QoS flow，所述第二QoS flow符合所述用户面安全参数。

在上述方法中，SMF接收到的PCC规则中包括用户面安全参数信息，使得SMF能够根据应用的用户面安全指示信息进行QoS flow的绑定，即，将应用的SDF与能够满足其用户面安全属性需求的QoS flow进行绑定，从而满足应用的用户面安全属性需求。

第六方面，本申请实施例提供了一种终端装置，包括处理器、存储器和通信接口，用于实现如第一方面中任一项所述方法。

第七方面，本申请实施例提供了一种PCF，包括处理器、存储器和通信接口，用于实现如第二方面中任一项所述方法。

第八方面，本申请实施例提供了一种UDM，包括处理器、存储器和通信接口，用于实现如第三方面中任一项所述方法。

第九方面，本申请实施例提供了一种PCF，包括处理器、存储器和通信接口，用于实现如第四方面中任一项所述方法。

第十方面，本申请实施例提供了一种SMF，包括处理器、存储器和通信接口，用于实现如第五方面中任一项所述方法。

第十一方面，本申请实施例提供了一种通信系统，包括如第六方面任一项所述的终端装置、如第七方面任一项所述的PCF以及如第八方面任一项所述的UDM。

第十二方法，本申请实施例提供了一种通信系统，包括如第九方面任一项所述的PCF以及如第十方面任一项所述的SMF。

第十三方面，本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机指令，当所述指令在计算机上运行时，使得计算机执行如第一方面至第五方面中任一项所述方法。

附图说明

图1为本申请实施例提供的QoS架构；

图2为现有技术中的PDU会话建立过程；

图3(a)-图3(f)为可适用于本申请实施例的网络架构示意图；

图4为本申请实施例提供的用户面安全策略实现方法的流程示意图；

图5和图6为本申请实施例提供的一个具体实施例流程示意图；

图7为本申请实施例提供的另一种用户面安全策略实现方法的流程示意图；

图8为本申请实施例提供的另一个具体实施例流程示意图；

图9为本申请实施例提供的一种终端装置的结构示意图；

图10为本申请实施例提供的另一种终端装置的结构示意图；

图11为本申请实施例提供的一种PCF的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。

在第5代移动通信(the 5th generation，5G)新空口(new radio，NR)中，为了保证端到端的服务质量(quality of service，QoS)，提出了基于服务质量流(QoS flow)的QoS架构，可以如图1所示。其中，一个终端装置，可以与5G核心网建立一个或者多个分组数据单元(packet data unit，PDU)会话，无线接入网(radio access network，RAN)为每一个PDU会话建立一个或者多个数据无线承载(data radio bearer，DRB)，一个DRB中包含有一个或多个QoS flow，每个QoS flow由一个QoS流标识(QoS flow identifier，QFI)识别，QFI在一个PDU会话中唯一标识一个QoS flow。使用同一个QoS flow传输的数据包采用相同的传输处理，如调度、准入门限等。

在5G中，无线接入网(radio access network，RAN)对于用户面安全做PDU会话粒度的控制。PDU会话建立过程可以如图2所示，包括以下步骤：

步骤201、终端向AMF发送PDU会话建立请求。

步骤202、AMF选择SMF。

步骤203、AMF向选择出的SMF发送PDU会话建立请求。

步骤204、SMF在UDM中进行注册，并从UDM中获取请求建立的PDU会话所在的DN、网络切片的签约信息。签约信息中包括用户面安全策略(user plane security policy)。

步骤205、SMF向AMF发送PDU会话建立请求应答，该应答用于指示是否允许建立PDU会话。若拒绝建立PDU会话，该应答中可以携带拒绝建立的原因。

步骤206、PDU会话的鉴权/授权。

步骤207、SMF选择PCF。SMF向选择出的PCF请求获取该PDU会话的PCC规则。SMF可能会从PCF得到PDU会话的动态的用户面安全策略。

步骤208、SMF选择UPF。

步骤209、SMF向PCF上报会话相关的信息，如终端的IP地址、IP前缀、触发器的情况等信息。

步骤210、SMF向UPF发送隧道信息、PCC规则信息等。

步骤211、SMF向AMF发送PDU会话标识(PDU session ID)、N2接口上的会话管理信息(N2 SM information)以及N1接口上的会话管理容器(N1SM container)。

其中，N2 SM information的目标接收方为RAN，由AMF转发给RAN；N2 SM information的目标接收方为终端，由AMF和RAN透传给终端。N2 SM information中包括用户面策略实施(user plane policy enforcement)。

步骤212、AMF向RAN发送PDU会话请求，该请求中包括N2 SM information和非接入层(non-access stratum，NAS)消息。N2 SM Information中包括user plane policy enforcement。

步骤213-220，为PDU会话建立过程中的其他步骤，与本申请实施例无关，此次不再详细说明，具体可参见相关通信协议。

在上述PDU会话建立过程中，由于UDM和PCF中没有与该PDU会话绑定的应用的信息，因此，RAN所执行的安全策略仅考虑到DN、网络切片的签约信息，而没有考虑应用的用户面安全属性需求。然而，有些应用可能已经实现了应用层的加密，若网络设备再进行加密则会增加无谓的负载和时延；或者，有些应用对时延要求较高，若网络设备对该应用的数据包进行完整性保护(该过程耗时较长)，则该数据包将会产生较大时延。

为了解决上述问题，本申请实施例提供了一种用户面安全策略实现方法及装置，用于实现满足应用的用户面需求。

本申请实施例提供的用户面安全策略实现方法可以应用于如图3(a)和图3(b)所示的非漫游网络架构中，也可以应用于如图3(c)和图3(d)所示的本地疏导(local breakout)漫游场景中，还可以应用于如图3(e)和图3(f)所示的归属地路由(home routed)漫游场景中。

其中，(R)AN：主要用于控制终端通过无线接入到移动通信网络中来。

UPF：主要用于数据包路由和传输、包检测、业务用量上报、QoS处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。

AMF：主要用于连接管理、移动性管理、注册管理、接入认证和授权、可达性管理、安全上下文管理等接入和移动性相关的功能。

SMF：主要用于会话管理(如会话建立、修改和释放，包含UPF和AN之间的隧道维护等)、UPF的选择和控制、业务和会话连续性(service and session continuity，SSC)模式选择、漫游等会话相关的功能。

PCF：主要用于统一策略制定、策略控制的提供和从统一数据库(unified data repository，UDR)中获取策略决策相关的签约信息等策略相关的功能。

网络切片选择功能(network slice selection function，NSSF)：主要用于为终端选择一组网络切片实例、确定允许的网络切片选择辅助信息(network slice selection assistance information，NSSAI)和确定可以服务终端的AMF集等。

网络存储功能(NF repository function，NRF)：主要用于服务发现功能，维护可用的网络功能(NF，network function)实例的NF文本以及他们支持的服务。

应用功能(application function，AF)：与3GPP核心网交互提供业务或者服务，包括与网络开放功能(network exposure function，NEF)交互，策略架构交互等。

NEF：主要用于安全的开放3GPP网络功能提供的业务和能力，包括内部开放和开放给第三方等。转化或翻译与AF交互的信息和内部网络功能交互的信息，如AF服务标识和5G核心网信息，如数据网络名称(data network name，DNN)，单元网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI)等。

UDM：主要用于支持3GPP认证和秘钥协商机制中的认证信任状处理，用户身份处理，接入授权，注册和移动性管理，签约管理，短消息管理等。

认证服务器功能(authentication server function，AUSF)：主要用于与UDM交互获取用户信息，并执行认证相关的功能，如生成中间秘钥等。

应当理解，图3(a)至图3(f)所示的网络架构仅为举例，并不构成对本申请实施例的限制，本申请实施例可以应用的网络架构可以包括比图中所示更多或更少的网元。

参见图4，为本申请实施例提供的用户面安全策略实现方法的流程示意图，如图所示，该方法可以包括以下步骤：

步骤401、PCF发送应用的用户面安全指示信息，该用户面安全指示信息用于指示应用的用户面安全属性需求，以使终端装置根据应用的用户面安全属性需求关联或建立PDU会话。

在本申请实施例中，PCF可以预先获取已签约的应用的用户面安全属性需求，例如，应用A和应用B均与运营商进行了签约，PCF获取到的应用A的用户面安全属性需求为：需要对应用A的数据包进行完整性保护和加密，获取到的应用B的用户面安全属性需求为：需要对应用B的数据包进行加密。

可选地，PCF发送的应用的用户面安全指示信息，是根据终端装置的签约信息确定的。具体地，PCF可以预先获取终端装置的签约信息，在获取到的终端装置的签约信息中，可以添加有应用的用户面安全属性需求。PCF根据获取的用户面安全属性需求确定用户面安全指示信息。

在一些实施例中，PCF可以将应用的用户面安全属性需求携带在URSP中发送给终端装置。终端装置根据URSP确定检测到的应用是否可以与已建立的PDU会话相关联，是否可以在PDU会话之外将其卸载到非3GPP访问，或者是否可以触发新的PDU会话的建立。

URSP中可以包括一条或多条URSP规则，如表1所示。

表1

其中，用户面安全指示为本申请实施例增加的，用于指示应用的用户面安全属性需求。应当理解，表1中示出的URSP中包含的信息仅为举例，在实际应用时，URSP可以包括比表1更多的信息或更少的信息。例如，虽然表1中的用户面安全指示信息仅用于指示是否需要完整性保护或加密保护，实际使用时，该用户面安全指示信息也可以用于指示需要完整性保护和以及加密保护，或者还可以指示需求其他安全性保护。

将用户面安全指示信息携带在URSP中发送给终端装置，对现有协议的改动较小，当然，也可以将用户面安全指示信息携带在其他消息中发送给终端。

在一种可能的设计中，该URSP中可以包括已签约的全部或部分应用的用户面安全指示信息，不论终端装置是否安装有USRP中用户面安全指示信息所对应的应用，以备终端装置下载并安装这些应用后，可以根据相应的用户面安全指示信息关联或建立PDU会话。在另外一种可能的实现方式中，PCF也可以预先获取终端安装有哪些已签约的应用，并这些应用的用户面安全指示信息携带在URSP中发送。

步骤402、AMF在接收到PCF发送的用户面安全指示信息后，可以将该用户面安全指示信息发送给终端。

步骤403、终端装置根据用户面安全属性需求管理建立PDU会话。

在一些实施例中，若已建立的PDU会话中不存在满足上述应用的用户面安全属性需求的PDU会话，终端装置发送PDU会话建立请求，用于请求建立满足该应用的用户面安全属性需求的PDU会话。

具体地，终端装置发送的PDU会话建立请求中包括：根据上述用户面安全指示信息确定出的用户面安全参数。一般来说，终端装置生成的用户面安全参数所表示的含义与PCF指示的应用的用户面安全属性需求的含义一致，例如，若PCF指示的应用的用户面安全指示信息表示需要完整性保护，那么终端装置根据该用户面安全指示信息确定出的用户面安全参数也表示需要完整性保护，但由于信令不同表示需要完整性保护的字段以及该字段的取值可能略有不同。当然，终端装置也可以根据该用户面安全指示信息以及其他信息生成用户面安全参数，例如，若终端装置自身还有一些安全属性需求，那么终端装置根据自身安全属性需求以及应用的用户面安全需求生成的用户面安全参数，也可能与PCF发送的用户面安全指示信息的含义有所不同。

进一步地，PDU会话建立过程中，AMF在接收到包含有用户面安全参数的PDU会话建立请求后，选择SMF，并向选择出的SMF发送PDU会话建立请求，该请求中携带有上述用户面安全参数。然后SMF可以向UDM发送PDU会话注册信息，该注册信息中包括上述用户面安全参数。UDM判断PDU会话注册信息中包含的用户面安全参数是否为允许该终端装置配置的PDU会话配置参数，当PDU会话注册信息中包含的用户面安全参数是允许的PDU会话配置参数，UDM可以向SMF发送允许建立PDU会话的指示信息；当PDU会话注册信息中包含的用户面安全参数部署允许该终端装置配置的PDU会话配置参数是，UDM可以向SMF发送拒绝建立PDU会话的指示信息。

此外，在PDU会话建立过程中，SMF可以向PCF发生策略规则请求，用于请求PCF发送请求创建的PDU会话的PCC规则，该请求中也包括上述用户面安全参数。PCF根据用户面安全参数确定该PDU会话的用户面安全策略信息，并将确定出的用户面安全策略信息发送给SMF。

在另外一些实施例中，若已建立的PDU会话中存在满足该应用的用户面安全属性需求的第一PDU会话，那么终端装置可以将该第一PDU会话与该应用进行关联，即，在第一PDU会话中传输该应用的数据。

在本申请上述实施例中，终端根据PCF发送的应用的用户面安全指示信息为应用选择关联PDU会话时，考虑了应用的用户面安全属性需求，使得关联的PDU会话与应用的用户面安全属性需求相符合，而被关联到同一PDU会话的应用，具有相同的用户面安全属性需求，避免了PDU会话的用户面安全属性与应用不相符的情况发生。

为了更清楚说明本申请上述实施例，下面结合图5和图6进行详细说明。

图5示例性的给出了一种URSP的下发过程示意图，如图所示，该过程可以包括以下步骤：

步骤501、PCF将URSP发送给AMF。URSP中包含PCF根据签约信息确定的应用A的用户面安全指示信息(user plane security indication)。

步骤502、AMF将URSP透传给终端装置。URSP中包含上述user plane security indication。

步骤503、终端装置向AMF发送响应，表示成功接收URSP。

步骤504、AMF将终端成功接收URSP事件上报给PCF。

进一步地，PCF可以向AMF返回事件上报响应。

终端装置在使用应用A时，根据获取到的应用A的用户面安全指示信息，确定已建立的PDU会话中不存在满足应用A的用户面安全属性需求，则发起PDU会话建立过程。图 6实例性的给出了一种PDU会话建立流程示意图，如图所示，该流程可以包括以下步骤：

步骤601、终端装置向AMF发送PDU会话建立请求。

具体地，终端装置根据应用A的用户面安全指示信息生成用户面安全参数，并将该参数携带在PDU回家建立请求中，以请求建立满足应用A的用户面安全属性需求的PDU会话。

步骤602、AMF选择SMF。

步骤603、AMF向选择出的SMF发送PDU会话建立请求。该请求中包括上述用户面安全参数。

步骤604、SMF向UDM发送PDU会话注册信息，该注册信息中包括上述用户面安全参数。

步骤605、UDM若确定该注册信息中包括的用户面安全参数是允许终端装置配置的PDU会话配置参数，则向SMF返回注册响应，指示允许建立PDU会话。

否则，UDM向SMF发送拒绝建立该PDU会话的指示信息。进一步地，该指示信息中还可以包括拒绝的原因，即，用户面安全参数不被允许。

步骤606、SMF向AMF发送PDU会话建立请求应答。

若步骤605中UDM指示拒绝建立PDU会话，则该应答则指示AMF拒绝建立该PDU会话。该应答中也可以进一步包括拒绝的原因。

步骤607、PDU会话的鉴权/授权。

步骤608、SMF选择PCF，SMF向选择出的PCF请求获取该PDU会话的PCC规则，该请求中包括上述用户面安全参数。

步骤609、PCF根据用户面安全参数确定授权该PDU会话的用户面安全策略，并发送给SMF。

后面的步骤与图2中步骤208～步骤220类似，此处不再赘述。

为了解决同一技术问题，本申请实施例还提供了一种用户面安全策略实现方法，用于实现满足应用的用户面需求。该方法的流程示意图可以如图7所示，包括以下步骤：

步骤701、PCF接收AF发送的应用的用户面安全属性需求信息，该用户面安全属性需求信息用于指示该应用的用户面安全属性需求。

在该实施例中，AF在向PCF提供应用信息(application information)或服务信息(service information)时，可以在应用信息或服务信息中添加应用的用户面安全属性需求，以使PCF根据应用的用户面安全属性需求生成PCC规则。

步骤702、PCF向SMF发送该应用的用户面安全参数信息，或者向SMF发送该应用的SDF的用户面安全参数信息。其中，用户面安全参数信息用于指示用户面安全参数，该用户面安全参数信息是根据该应用的用户面安全属性需求确定的，携带在PCC规则中发送给SMF。

步骤703、SMF在接收到PCF发送的用户面安全参数信息后，根据该用户面安全参数信息绑定PCC和QoS flow。

绑定机制是将SDF(通过PCC规则中的SDF模板定义)与QoS进行关联。具体包括会话绑定、PCC规则鉴权以及QoS flow绑定。其中，QoS flow绑定是将PCC规则和QoS Flow做对应，由SMF来执行。

具体地，SMF若确定已建立的QoS flow中存在符合上述用户面安全参数的第一QoS flow，则SMF将应用的SDF与该第一QoS flow间绑定；和/或，若确定已建立的QoS flow中不存在符合用户面安全参数的第一QoS flow，则SMF请求建立第二QoS flow，请求建立的第二QoS flow，并间建立的上述PCC和第二QoS flow绑定，即，第二QoS flow符合上述用户面安全参数。

在上述实施例中，执行的用户面安全控制策略，是QoS flow粒度的，即，被绑定到同一QoS flow上的SDF的用户面安全参数相同，而同样PDU会话中的不同QoS flow可以对应不同的用户面安全参数。

为了清楚说明本申请上述实施例，下面结合图8进行详细说明。

图8示例性的给出了一种用户面安全策略实现方法的流程示意图，如图所示，可以包括以下步骤：

步骤801a、AF向PCF提供应用的用户面安全属性需求。

步骤801b、CHF向PCF发送开销限制报告(spending limit report)。

步骤801c、UDR向PCF发送通知(notify)。

步骤801d、内部事件发生。

步骤802、开销限制报告恢复(spending limit report retrieval)。

上述步骤801～步骤802均为可能触发PCF作策略决策的步骤，其中，步骤801为与本申请实施例密切相关的步骤。

步骤803、PCF根据用户面安全属性需求进行策略决策。

步骤804、PCF向SMF发送PCC规则，该PCC规则中包括根据上述用户面安全需求确定的用户面安全参数(user plane security parameter)，表明一个SDF或一个应用的数据流的用户面安全倾向。

步骤805、SMF向PCF发送PCC规则响应。

步骤806、SMF根据上述用户面安全参数为该应用的SDF进行QoS Flow绑定，即，用于传输该应用数据包的QoS flow为满足上述用户面安全参数的QoS flow。

基于相同的技术构思，本申请实施例还提供了一种终端装置，用于实现上述方法实施例中终端装置的功能。如图9所示，该终端装置可以包括接收单元901、处理单元902，进一步还可以包括发送单元903。

接收单元901用于接收网络设备发送的用户面安全指示信息，所述用户面安全指示信息用于指示应用的用户面安全属性需求。

处理单元902根据所述用户面安全属性需求关联或建立分组数据单元PDU会话。

在一种可能的实现方式中，处理单元902具体用于：当已建立的PDU会话中不存在满足所述应用的用户面安全属性需求的PDU会话时，控制所述发送单元903发送PDU会话建立请求信息，用于请求建立满足所述应用的用户面安全属性需求的PDU会话。

在一种可能的实现方式中，所述PDU会话建立请求信息中包括根据所述用户面安全指示信息确定出的用户面安全参数。

在一种可能的实现方式中，处理单元902具体用于：当已建立的PDU会话中存在满足所述应用的用户面安全属性需求的第一PDU会话，控制所述发送单元903和接收单元901在所述第一PDU会话中传输所述应用的数据。

基于相同的技术构思，本申请实施例还提供了一种PCF，用于实现上述方法实施例中PCF的功能。该PCF可以包括发送单元，进一步还可以包括处理单元和接收单元，其结构与图9所示结构类似。

发送单元用于发送应用的用户面安全指示信息，所述用户面安全指示信息用于终端装置关联或建立PDU会话。

在一种可能的实现方式中，接收单元用于接收会话管理功能SMF发送的策略规则请求，所述请求中包括用户面安全参数信息，所述用户面安全参数信息为所述终端装置根据所述应用的户面安全指示信息所确定。

处理单元用于根据所述用户面安全参数信息，确定用户面安全策略信息；

发送单元用于将所述确定出的用户面安全策略信息发送给所述SMF。

在一种可能的实现方式中，所述应用的用户面安全指示信息，是所述PCF根据终端装置的签约信息确定的。

基于相同的技术构思，本申请实施例还提供了一种UDM，用于实现上述方法实施例中UDM的功能。该UDM可以包括接收单元、处理单元和发送单元，其结构与图9所示结构类似。

接收单元，用于接收SMF发送的PDU会话注册信息，所述注册信息中包括来自终端装置的用户面安全参数。

处理单元，用于当所述用户面安全参数是允许为所述终端装置的PDU会话配置的参数，控制发送单元向所述SMF发送信息允许建立PDU会话的指示信息；当所述用户面安全参数不是允许为所述终端装置的PDU会话配置的参数，控制向所述SMF发送拒绝建立PDU会话的指示信息。

基于相同的技术构思，本申请实施例还提供了一种终端装置，包括：处理器1001、存储器1002和通信接口1003，进一步还可以包括通信总线1004，如图10所示。

所述存储器1002用于存储程序。

所述处理器1001调用所述存储器1002存储的程序执行：

通过所述通信接口1003接收网络设备发送的用户面安全指示信息，所述用户面安全指示信息用于指示应用的用户面安全属性需求；

根据所述用户面安全属性需求关联或建立分组数据单元PDU会话。

在一种可能的实现方式中，所述处理器1001具体用于：

当已建立的PDU会话中不存在满足所述应用的用户面安全属性需求的PDU会话时，通过所述通信接口1003发送PDU会话建立请求信息，用于请求建立满足所述应用的用户面安全属性需求的PDU会话。

在一种可能的实现方式中，所述处理器1001具体用于：

当已建立的PDU会话中存在满足所述应用的用户面安全属性需求的第一PDU会话，通过所述通信接口1003在所述第一PDU会话中传输所述应用的数据。

基于相同的技术构思，本申请实施例提供了PCF，包括：处理器、存储器和通信接口；其结构与图10所示类似。

所述存储器用于存储程序；

所述处理器调用所述存储器存储的程序执行：

通过所述通信接口发送应用的用户面安全指示信息，所述用户面安全指示信息用于终端装置关联或建立PDU会话。

在一种可能的实现方式中，所述处理器还用于：

通过所述通信接口接收会话管理功能SMF发送的策略规则请求，所述请求中包括用户面安全参数信息，所述用户面安全参数信息为所述终端装置根据所述应用的户面安全指示信息所确定；

根据所述用户面安全参数信息，确定用户面安全策略信息；

通过所述通信接口将所述确定出的用户面安全策略信息发送给所述SMF。

基于相同的技术构思，本申请实施例提供了UDM，包括：处理器、存储器和通信接口；

所述存储器用于存储程序；

所述处理器调用所述存储器存储的程序执行：

通过所述通信接口接收会话管理功能SMF发送的分组数据单元PDU会话注册信息，所述注册信息中包括来自终端装置的用户面安全参数；

当所述用户面安全参数是允许为所述终端装置的PDU会话配置的参数，通过所述通信接口向所述SMF发送信息允许建立PDU会话的指示信息；

当所述用户面安全参数不是允许为所述终端装置的PDU会话配置的参数，通过所述通信接口向所述SMF发送拒绝建立PDU会话的指示信息。

本申请实施例还提供了一种通信系统，包括上述任一项终端装置、任一项PCF以及UDM。

基于相同的技术构思，本申请实施例还提供了一种PCF，用于实现上述方法实施例中PCF的功能。该PCF可以包括接收单元1101和发送单元1102，其结构如图11所示。

接收单元1101用于接收应用功能AF发送的应用的用户面安全属性需求信息，上述用户面安全属性需求信息用于指示所述应用的用户面安全属性需求。

发送单元1102用于向会话管理功能SMF发送SDF的用户面安全参数信息，所述SDF的用户面安全参数信息根据所述应用的用户面安全属性需求所确定。

基于相同的技术构思，本申请实施例还提供了一种SMF，用于实现上述方法实施例中SMF的功能。该PCF可以包括接收单元和处理单元，进一步可以包括发送单元，其结构与图9所示结构类似。

接收单元用于接收策略控制功能PCF发送的SDF的用户面安全参数信息，所述SDF的用户面安全参数信息包含于PCC中，所述SDF的用户面安全参数信息根据应用的用户面安全属性需求所确定，所述用户面安全参数信息用于指示用户面安全参数。

处理单元用于至少根据所述SDF的用户面安全参数绑定PCC和服务质量流QoS flow。

在一种可能的实现方式或者，处理单元具体用于：

当已建立的QoS flow的中存在符合所述用户面安全参数的第一QoS flow，将所述应用的SDF与所述第一QoS flow进行绑定；和/或，当已建立的QoS flow的中不存在符合所述用户面安全参数的第一QoS flow，通过所述发送单元请求建立第二QoS flow，所述第二QoS flow符合所述用户面安全参数。

基于相同的技术构思，本申请实施例还提供了一种PCF，包括：处理器、存储器和通信接口，用于实现上述方法实施例PCF的功能，其结构与图10所示类似。

所述存储器用于存储程序；

所述处理器调用所述存储器存储的程序执行：

通过所述通信接口接收应用功能AF发送的应用的用户面安全属性需求信息，上述用户面安全属性需求信息用于指示所述应用的用户面安全属性需求；

通过所述通信接口向会话管理功能SMF发送SDF的用户面安全参数信息，所述SDF的用户面安全参数信息根据所述应用的用户面安全属性需求所确定。

基于相同的技术构思，本申请实施例还提供了一种SMF，包括：处理器、存储器和通信接口，用于实现上述方法实施例SMF的功能，其结构与图10所示类似。

所述存储器用于存储程序；

所述处理器调用所述存储器存储的程序执行：

通过所述通信接口接收策略控制功能PCF发送的SDF的用户面安全参数信息，所述SDF的用户面安全参数信息包含于PCC中，所述SDF的用户面安全参数信息根据应用的用户面安全属性需求所确定，所述用户面安全参数信息用于指示用户面安全参数；

至少根据所述SDF的用户面安全参数绑定PCC和服务质量流QoS flow。

在一种可能的实现方式中，所述处理器具体用于：

当已建立的QoS flow的中存在符合所述用户面安全参数的第一QoS flow，将所述应用的SDF与所述第一QoS flow进行绑定；和/或，当已建立的QoS flow的中不存在符合所述用户面安全参数的第一QoS flow，通过所述通信接口请求建立第二QoS flow，所述第二QoS flow符合所述用户面安全参数。

本申请实施例还提供了一种通信系统，包括上述PCF以及任一项SMF。

本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机指令，当所述指令在计算机上运行时，使得计算机执行如上述方法实施例中终端装置、PCF、UDM或SMF的功能。

本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述方法实施例中终端装置、PCF、UDM或SMF的功能。

本申请提供一种芯片，所述芯片与存储器相连，用于读取并执行所述存储器中存储的软件程序，以实现上述方法实施例中终端装置、PCF、UDM或SMF的功能。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/ 或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种用户面安全策略实现方法，其特征在于，包括：

终端装置接收网络设备发送的用户面安全指示信息，所述用户面安全指示信息用于指示应用的用户面安全属性需求；

所述终端装置根据所述用户面安全属性需求关联或建立分组数据单元PDU会话。
如权利要求1所述的方法，其特征在于，所述终端装置根据所述用户面属性需求建立分组数据单元PDU会话，包括：

当已建立的PDU会话中不存在满足所述应用的用户面安全属性需求的PDU会话时，所述终端装置发送PDU会话建立请求信息，用于请求建立满足所述应用的用户面安全属性需求的PDU会话。
如权利要求2所述的方法，其特征在于，所述PDU会话建立请求信息中包括根据所述用户面安全指示信息确定出的用户面安全参数。
如权利要求1所述的方法，其特征在于，所述终端装置根据所述用户面属性需求选择分组数据单元PDU会话，包括：

当已建立的PDU会话中存在满足所述应用的用户面安全属性需求的第一PDU会话，所述终端装置在所述第一PDU会话中传输所述应用的数据。
一种用户面安全策略实现方法，其特征在于，包括：

策略控制功能PCF发送应用的用户面安全指示信息，所述用户面安全指示信息用于终端装置关联或建立PDU会话。
如权利要求5所述的方法，其特征在于，还包括：

所述PCF接收会话管理功能SMF发送的策略规则请求，所述请求中包括用户面安全参数信息，所述用户面安全参数信息为所述终端装置根据所述应用的户面安全指示信息所确定；

所述PCF根据所述用户面安全参数信息，确定用户面安全策略信息；

所述PCF将所述确定出的用户面安全策略信息发送给所述SMF。
如权利要求5所述的方法，其特征在于，所述应用的用户面安全指示信息，是所述PCF根据终端装置的签约信息确定的。
一种用户面安全策略实现方法，其特征在于，包括：

统一数据管理UDM接收会话管理功能SMF发送的分组数据单元PDU会话注册信息，所述注册信息中包括来自终端装置的用户面安全参数；

当所述用户面安全参数是允许为所述终端装置的PDU会话配置的参数，所述UDM向所述SMF发送信息允许建立PDU会话的指示信息；

当所述用户面安全参数不是允许为所述终端装置的PDU会话配置的参数，所述UDM向所述SMF发送拒绝建立PDU会话的指示信息。
一种用户面安全策略实现方法，其特征在于，包括：

策略控制功能PCF接收应用功能AF发送的应用的用户面安全属性需求信息，上述用户面安全属性需求信息用于指示所述应用的用户面安全属性需求；

所述PCF向会话管理功能SMF发送SDF的用户面安全参数信息，所述SDF的用户面安全参数信息根据所述应用的用户面安全属性需求所确定。
一种用户面安全策略实现方法，其特征在于，包括：

会话管理功能SMF接收策略控制功能PCF发送的SDF的用户面安全参数信息，所述SDF的用户面安全参数信息包含于PCC中，所述SDF的用户面安全参数信息根据应用的用户面安全属性需求所确定，所述用户面安全参数信息用于指示用户面安全参数；

所述SMF至少根据所述SDF的用户面安全参数绑定PCC和服务质量流QoS flow。
如权利要求10所述的方法，其特征在于，所述SMF根据所述用户面安全参数的进行QoS flow绑定，包括：

当已建立的QoS flow的中存在符合所述用户面安全参数的第一QoS flow，所述SMF将所述应用的SDF与所述第一QoS flow进行绑定；和/或

当已建立的QoS flow的中不存在符合所述用户面安全参数的第一QoS flow，所述SMF请求建立第二QoS flow，所述第二QoS flow符合所述用户面安全参数。
一种终端装置，其特征在于，包括：处理器、存储器和通信接口；

所述存储器用于存储程序；

所述处理器调用所述存储器存储的程序执行：

通过所述通信接口接收网络设备发送的用户面安全指示信息，所述用户面安全指示信息用于指示应用的用户面安全属性需求；

根据所述用户面安全属性需求关联或建立分组数据单元PDU会话。
如权利要求12所述的终端装置，其特征在于，所述处理器具体用于：

当已建立的PDU会话中不存在满足所述应用的用户面安全属性需求的PDU会话时，通过所述通信接口发送PDU会话建立请求信息，用于请求建立满足所述应用的用户面安全属性需求的PDU会话。
如权利要求13所述的终端装置，其特征在于，所述PDU会话建立请求信息中包括根据所述用户面安全指示信息确定出的用户面安全参数。
如权利要求12所述的终端装置，其特征在于，所述处理器具体用于：

当已建立的PDU会话中存在满足所述应用的用户面安全属性需求的第一PDU会话，通过所述通信接口在所述第一PDU会话中传输所述应用的数据。
一种策略控制功能PCF，其特征在于，包括：处理器、存储器和通信接口；

所述存储器用于存储程序；

所述处理器调用所述存储器存储的程序执行：

通过所述通信接口发送应用的用户面安全指示信息，所述用户面安全指示信息用于终端装置关联或建立PDU会话。
如权利要求16所述的PCF，其特征在于，所述处理器还用于：

通过所述通信接口接收会话管理功能SMF发送的策略规则请求，所述请求中包括用户面安全参数信息，所述用户面安全参数信息为所述终端装置根据所述应用的户面安全指示信息所确定；

根据所述用户面安全参数信息，确定用户面安全策略信息；

通过所述通信接口将所述确定出的用户面安全策略信息发送给所述SMF。
如权利要求16所述的PCF，其特征在于，所述应用的用户面安全指示信息，是所述PCF根据终端装置的签约信息确定的。
一种统一数据管理UDM，其特征在于，包括：处理器、存储器和通信接口；

所述存储器用于存储程序；

所述处理器调用所述存储器存储的程序执行：

通过所述通信接口接收会话管理功能SMF发送的分组数据单元PDU会话注册信息，所述注册信息中包括来自终端装置的用户面安全参数；

当所述用户面安全参数是允许为所述终端装置的PDU会话配置的参数，通过所述通信接口向所述SMF发送信息允许建立PDU会话的指示信息；

当所述用户面安全参数不是允许为所述终端装置的PDU会话配置的参数，通过所述通信接口向所述SMF发送拒绝建立PDU会话的指示信息。
一种策略控制功能PCF，其特征在于，包括：处理器、存储器和通信接口；

所述存储器用于存储程序；

所述处理器调用所述存储器存储的程序执行：

通过所述通信接口接收应用功能AF发送的应用的用户面安全属性需求信息，上述用户面安全属性需求信息用于指示所述应用的用户面安全属性需求；

通过所述通信接口向会话管理功能SMF发送SDF的用户面安全参数信息，所述SDF的用户面安全参数信息根据所述应用的用户面安全属性需求所确定。
一种会话管理功能SMF，其特征在于，处理器、存储器和通信接口；

所述存储器用于存储程序；

所述处理器调用所述存储器存储的程序执行：

通过所述通信接口接收策略控制功能PCF发送的SDF的用户面安全参数信息，所述SDF的用户面安全参数信息包含于PCC中，所述SDF的用户面安全参数信息根据应用的用户面安全属性需求所确定，所述用户面安全参数信息用于指示用户面安全参数；

至少根据所述SDF的用户面安全参数绑定PCC和服务质量流QoS flow。
如权利要求21所述的SMF，其特征在于，所述处理器具体用于：

当已建立的QoS flow的中存在符合所述用户面安全参数的第一QoS flow，将所述应用的SDF与所述第一QoS flow进行绑定；和/或

当已建立的QoS flow的中不存在符合所述用户面安全参数的第一QoS flow，通过所述通信接口请求建立第二QoS flow，所述第二QoS flow符合所述用户面安全参数。
一种通信系统，其特征在于，包括如权利要求12-15中任一项所述终端装置、如权利要求16-18任一项所述的策略控制功能PCF以及如权利要求19所述的统一数据管理UDM。
一种通信系统，其特征在于，包括如权利要求20所述的策略控制功能PCF以及如权利要求21或22所述的会话管理功能SMF。
一种终端装置，其特征在于，所述终端装置用于执行权利要求1至4任一所述的方法。
一种网络装置，其特征在于，所述网络装置用于执行权利要求5-7任一所述的方法。
一种网络装置，其特征在于，所述网络装置用于执行权利要求8所述的方法。
一种网络装置，其特征在于，所述网络装置用于执行权利要求9所述的方法。
一种网络装置，其特征在于，所述网络装置用于执行权利要求10或11任一所述的方法。