WO2020052414A1

WO2020052414A1 - 一种数据保护方法、设备及系统

Info

Publication number: WO2020052414A1
Application number: PCT/CN2019/101905
Authority: WO
Inventors: 张博; 何承东
Original assignee: 华为技术有限公司
Priority date: 2018-09-10
Filing date: 2019-08-22
Publication date: 2020-03-19
Also published as: CN110891269A; CN110891269B

Abstract

本申请实施例提供一种数据保护方法、设备及系统，以解决在终端和基站上执行数据保护时用户面数据传输的安全性降低的问题。该方法涉及由终端和用户面网元利用第一参数对用户面数据进行数据保护，即在终端和用户面网元上执行数据保护。第一参数为PDU session ID或QFI或DRB ID或RB ID等。以第一参数为PDU session ID为例，该方法包括：终端确定PDU session ID，利用PDU session ID对待发送的明文加密得到密文，通过接入网设备向用户面网元发送密文，用户面网元接收到密文后，确定PDU session ID，并利用PDU session ID对密文解密得到明文。

Description

一种数据保护方法、设备及系统

技术领域

本申请涉及通信技术领域，尤其涉及一种数据保护方法、设备及系统。

背景技术

在现有的移动通信安全架构中，终端与基站之间传输的用户面数据可以被安全的保护。例如，针对发往网络的用户面数据，终端执行数据保护操作(如：机密性保护和/或完整性保护)，基站在接收到保护后的数据后，执行相应的安全操作(如：解密和/或完整性验证)。针对发往终端的用户面数据，基站执行数据保护操作(如：机密性保护和/或完整性保护)，终端在接收到保护后的数据后，执行相应的安全操作(如：解密和/或完整性验证)。

目前，终端与基站在分组数据汇聚协议(packet data convergence protocol，PDCP)层执行数据保护操作，PDCP层的主要功能是完成数据保护，如：机密性保护和完整性保护。以机密性保护为例，所述机密性保护可以包括：发送端将加密密钥(key)、计数(count)、承载(bearer)(如：无线承载ID)、方向(direction)(上行数据或下行数据)、长度参数(密钥流长度length)等一系列输入至安全算法(如：NEA函数)得到密钥流分组(keystream block)；将明文(plantext block)与密钥流分组进行异或得到密文(ciphertext block)发送出去。接收端接收到密文后，根据上述一系列参数得到密钥流分组，将密钥流分组与密文进行异或得到明文。其中，发送端可以为终端，接收端可以为基站；或者，发送端为基站，接收端为终端。

由上可知，现有数据保护在终端和基站上执行，仅实现了终端与基站间的端对端保护，此时，若基站与网络侧交互的用户面数据遭受攻击，则会造成数据泄露，降低用户面数据传输的安全性。

发明内容

本申请实施例提供一种数据保护方法、设备及系统，以解决现有在终端和基站上执行数据保护时，降低用户面数据传输的安全性的问题。

为达到上述目的，本申请实施例提供如下技术方案：

第一方面，本申请实施例提供一种数据保护方法，可以包括：终端确定待发送的明文对应的第一参数，利用第一参数对明文进行加密，以得到密文，通过接入网设备向用户面网元发送密文。

其中，第一参数与终端和用户面网元间的用户面传输逻辑通道对应，即以终端和用户面网元间的用户面传输逻辑通道为粒度对用户面数据进行加密。

基于第一方面提供的方法，可以根据与终端和用户面网元间的用户面传输逻辑通道对应的第一参数对终端和用户面网元之间传输的数据进行机密性保护，实现了终端到用户面网元的端对端保护，避免由接入网设备对数据进行机密性保护时，接入网设备与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

在第一方面的第一种可能的中，结合第一方面，第一参数为协议数据单元(protocol data unit，PDU)会话(session)标识(identity，ID)或者服务质量流标识(QoS flow ID)(简称QFI)，终端确定待发送的明文对应的第一参数，包括：终端根据待发送的明文的内容信息确定第一参数。

其中，明文的内容信息可以包括因特网协议(internet protocol，IP)地址或媒体接入控制(media access control，MAC)地址等。

在第一方面的第二种可能的设计中，结合第一方面或第一方面的第一种可能的设计，第一参数为数据无线承载(data radio bearer，DRB)ID，终端确定待发送的明文对应的第一参数，包括：终端根据待发送的明文的内容信息确定明文对应的QFI，根据明文对应的QFI、QFI以及DRB ID间的对应关系确定明文对应的DRB ID。

其中，QFI以及DRB ID间的对应关系由接入网设备发送给终端。此外，还可以通过其他方式确定待发送的明文对应的第一参数，不予限制。

在第一方面的第三种可能的设计中，结合第一方面或第一方面的任一种可能的设计，所述方法还包括：终端向接入网设备发送第一参数；或者，终端向接入网设备发送指示，指示用于指示第一参数。

如此，可以通过接入网设备将终端加密用到的第一参数发送给用户面网元，以便用户面网元从接入网设备接收到密文的同时还接收到第一参数，根据第一参数进行解密。

在第一方面的第四种可能的设计中，结合第一方面或第一方面的任一种可能的设计，所述方法还包括：终端接收接入网设备发送的密文，确定接收到的密文对应的第一参数，利用第一参数对接收的密文进行解密，以得到明文。

如此，实现用户面网元向终端下发数据时的数据保护。

第二方面，本申请提供一种通信装置，该通信装置可以为终端或者终端中的芯片或者片上系统。该通信装置可以实现上述各方面或者各可能的设计中终端所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该通信装置可以包括：确定单元，加密/解密单元，发送单元；

确定单元，用于确定待发送的明文对应的第一参数；

加密/解密单元，用于利用第一参数对明文进行加密，以得到密文；

发送单元，用于通过接入网设备向用户面网元发送密文。

其中，所述第一参数与所述终端和用户面网元间的用户面传输逻辑通道对应，通信装置的具体实现方式可以参考第一方面或第一方面的任一种可能的设计提供的数据保护方法中终端的行为功能，在此不再重复赘述。因此，该提供的通信装置可以达到与第一方面或者第一方面的任一种可能的设计相同的有益效果。

第三方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该通信装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该通信装置执行如上述第一方面或者第一方面的任一种可能的设计所述的数据保护方法。

第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面或者上述方面的任一种可能的设计所述的数据保护方法。

第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面或者上述方面的任一种可能的设计所述的数据保护方法。

第六方面，提供了一种芯片系统，该芯片系统包括处理器、通信接口，用于支持通信装置实现上述方面中所涉及的功能，例如处理器确定待发送的明文对应的第一参数，利用第一参数对所述明文进行加密，以得到密文，通过接入网设备向所述用户面网元发送所述密文。

在一种可能的设计中，所述第一参数与所述终端和用户面网元间的用户面传输逻辑通道对应，所述芯片系统还包括存储器，所述存储器，用于保存通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第三方面至第六方面中任一种设计方式所带来的技术效果可参见上述第一方面或者第一方面的任一种可能的设计所带来的技术效果，不再赘述。

第七方面，本申请实施例提供一种数据保护方法，该方法可以包括：用户面网元接收接入网设备发送的密文，确定接收到的密文对应的第一参数，利用第一参数对密文进行解密，以得到明文。

其中，第一参数与终端和所述用户面网元间的用户面传输逻辑通道对应。

基于第七方面提供的方法，可以根据与终端和用户面网元间的用户面传输逻辑通道对应的第一参数对用户面网元接收到的密文进行解密，实现了终端到用户面网元的端对端保护，避免由接入网设备对数据进行机密性保护时，接入网设备与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

在第七方面的第一种可能的设计中，结合第七方面，第一参数为QFI，所述用户面网元确定所述密文对应的第一参数，包括：所述用户面网元根据所述密文的五元组信息确定所述密文对应的QFI。

在第七方面的第二种可能的设计中，结合第七方面，所述方法还包括：用户面网元从所述接入网设备接收所述第一参数。

如此，用户面网元接收密文的同时接收到第一参数，根据接收到的第一参数进行解密，不需要用户面网元确定密文对应的第一参数，降低了用户面网元获取第一参数的复杂性。

在第七方面的第三种可能的设计中，结合第七方面，第一参数为PDU session ID，用户面网元确定密文对应的PDU session ID，包括：用户面网元确定密文对应的QFI，根据密文对应的QFI、QFI与PDU session ID间的对应关系确定密文对应的PDU session ID。

其中，QFI与PDU session ID间的对应关系由会话管理网元发送给用户面网元。

在第七方面的第四种可能的设计中，结合第七方面，第一参数为PDU session ID，用户面网元接收密文，包括：用户面网元从N3链路接收密文；

用户面网元确定密文对应的PDU session ID，包括：用户面网元根据N3链路标识与PDU session ID的对应关系，将用于标识N3链路的N3链路标识所对应的PDU session ID确定密文对应的PDU session ID。

在第七方面的第五种可能的设计中，结合第七方面，第一参数为DRB ID，用户面网元确定密文对应的DRB ID，包括：用户面网元确定密文对应的QFI，根据密文对应的的QFI、QFI与DRB ID间的对应关系确定密文对应的DRB ID。

其中，QFI与DRB ID间的对应关系由接入网设备发送给用户面网元。

在第七方面的第五种可能的设计中，结合第二方面或第二方面的任一种可能的设计，所述方法还包括：用户面网元确定待发送给终端的明文对应的第一参数，根据第一参数对待发送的明文进行加密得到密文，通过接入网设备向终端发送密文。

如此，实现用户面网元向终端下发数据时的数据保护。

第八方面，本申请提供一种通信装置，该通信装置可以为用户面网元或者用户面网元中的芯片或者片上系统，该通信装置可以实现上述第七方面或者第七方面的各可能的设计中用户面网元所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该通信装置可以包括：接收单元，确定单元，解密/加密单元；

接收单元，用于接收接入网设备发送的密文；

确定单元，用于确定所述密文对应的第一参数；

解密/加密单元，用于利用第一参数对接收到的密文进行解密，以得到明文。

其中，；其中，所述第一参数与终端和用户面网元间的用户面传输逻辑通道对应。通信装置的具体实现方式可以参考第七方面或第七方面的任一种可能的设计提供的数据保护方法中用户面网元的行为功能，在此不再重复赘述。因此，该提供的通信装置可以达到与第七方面或者第七方面的任一种可能的设计相同的有益效果。

第九方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该通信装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该通信装置执行如上述第七方面或者第七方面的任一种可能的设计所述的数据保护方法。

第十方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第七方面或者上述方面的任一种可能的设计所述的数据保护方法。

第十一方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第七方面或者上述方面的任一种可能的设计所述的数据保护方法。

第十二方面，提供了一种芯片系统，该芯片系统包括处理器、通信接口，用于支持通信装置实现上述方面中所涉及的功能，例如处理器通过通信接口从接入网设备接收密文，确定所述密文对应的第一参数，利用第一参数对密文进行解密，以得到明文。

在一种可能的设计中，所述第一参数与终端和用户面网元间的用户面传输逻辑通道对应，所述芯片系统还包括存储器，所述存储器，用于保存通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第九方面至第十二方面中任一种设计方式所带来的技术效果可参见上述第七方面或者第七方面的任一种可能的设计所带来的技术效果，不再赘述。

第十三方面，本申请提供一种发送数据保护系统，包括：如第二方面至第六方面所述的通信装置、接入网设备、如第八方面至第十二方面所述的通信装置。

附图说明

图1为本申请实施例提供的系统框架示意图；

图2a为本申请实施例提供的一种机密性保护示意图；

图2b为本申请实施例提供的一种完整性保护示意图；

图3为本申请实施例提供的一种通信装置的组成示意图；

图4为本申请实施例提供的一种数据保护方法流程示意图；

图5为本申请实施例提供的又一种数据保护方法流程示意图；

图6为本申请实施例提供的又一种数据保护方法流程示意图；

图7为本申请实施例提供的又一种数据保护方法流程示意图；

图8为本申请实施例提供的又一种数据保护方法流程示意图；

图9为本申请实施例提供的又一种数据保护方法流程示意图；

图10为本申请实施例提供的又一种数据保护方法流程示意图；

图11为本申请实施例提供的一种通信装置11的组成示意图；

图12为本申请实施例提供的一种通信装置12的组成示意图；

图13为本申请实施例提供的一种数据保护系统13的组成示意图。

具体实施方式

下面结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

本申请实施例提供的数据保护方法可以应用于图1所示网络系统，该网络系统可以为长期演进(long term envolution，LTE)，还可以为第五代(5th generation，5G)系统，也可以为新无线(new radio，NR)系统或者其他系统。如图1所示，该网络系统可以包括：终端、接入网设备、移动性管理网元、会话管理网元、用户面网元、数据网络(Data Network，DN)，各个网元之间可以通过协议规定的通信连接起来。需要说明的是，图1仅为示例性架构图，除图1中所示功能单元之外，该网络架构还可以包括策略控制网元以及其他网元，本申请实施例对此不进行限定。

图1中的终端可以用于通过无线空口连接到运营商部署的接入网设备，通过接入网设备与用户面网元间建立用户面传输逻辑通道，通过该用户面传输逻辑通道网元接入DN。终端可以为用户设备(user equipment，UE)，如：手机、电脑，还可以为蜂窝电话、无绳电话、会话发起协议(session initiation protocol，SIP)电话、智能电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、电脑、膝上型计算机、手持式通信设备、手持式计算设备、卫星无线设备、无线调制解调器卡、电视机顶盒(set top box，STB)、用户驻地设备(customer premise equipment，CPE)和/或用于在无线系统上进行通信的其它设备。另外，终端也可以为支持有线接入的设备。

接入网设备主要用于实现无线物理层功能、资源调度和无线资源管理、无线接入控制以及移动性管理等功能。接入网设备可以为接入网(access network，AN)/无线接入网(radio access network，RAN)，由多个5G-AN/5G-RAN节点组成，5G-AN/5G-RAN节点可以为：接入节点(access point，AP)、下一代基站(NR nodeB，gNB)、收发点(transmission receive point，TRP)、传输点(transmission point，TP)或某种其它接入节点。另外，接入网设备也可以为支持有线接入的设备。

移动性管理网元可以为接入和移动性管理功能(access and mobility management function AMF)，主要用于对终端的移动进行管理。

会话管理网元可以会话管理功能(session management function，SMF)，主要用于实现用户面传输逻辑通道(如：协议数据单元(protocol data unit，PDU)会话(session))的建立、释放和更改等会话管理功能。会话管理网元可以管理一个或者多个用户面网元。

用户面网元可以用户面功能(user plane function，UPF)，用户面网元可以作为用户面传输逻辑通道上的锚点，主要用于完成用户面数据的路由转发等功能，如：与终端间建立通道(即用户面传输逻辑通道)，在该通道上转发终端和DN之间的数据包，以及负责对终端的数据报文过滤、数据传输/转发、速率控制、生成计费信息等。

DN可包含网络设备(服务器或路由器等设备)，主要用于为终端提供多种数据业务服务。

在图1所示系统中，为了保证接入网设备与网络侧设备进行用户面数据交互的安全性，实行用户面网元和终端间的端到端的数据保护。例如，终端可以将待发送的数据(本申请实施例中命名为明文)进行数据保护后，通过接入网设备发送给用户面网元；用户面网元接收到加密后的数据后，可以对加密后的数据进行解密得到明文。同理，当用户面网元向终端发送数据时，用户面网元可以将待发送的明文进行数据保护后通过接入网设备发送给终端，终端接收到加密后的数据后，可以对加密后的数据进行解密得到明文。

本申请实施例中所述数据保护可以包括下述三种方式：1)机密性保护；2)完整性保护；3)机密性保护和完整性保护。其中，机密性保护可以指：加密一些数据，达到隐藏数据的效果，可以通过解密恢复出原来的数据。完整性保护可以指：对数据执行一些完整性保护的操作，可以根据消息认证码(message authentication code，MAC)来校验数据是否被篡改。其中，完整性保护与机密性保护的主要不同点为，完整性保护不需要异或等操作，并且将明文直接作为NIA函数的输入。

本申请实施例提供的机密性保护如图2a所示，可以包括：发送端将第一参数、加密密钥(key)、计数(count)、方向(direction)(上行数据或下行数据)、长度参数(密钥流长度length)输入至安全算法(如：NEA函数)中，得到密钥流分组(keystream block)，将明文与密钥流分组进行异或得到密文(ciphertext block)发送出去；接收端接收到密文后，将第一参数、key、count、direction(上行数据或下行数据)、length输入至安全算法(如：NEA函数)中，得到密钥流分组，将密文与密钥流分组进行异或得到明文。即以第一参数为粒度对终端与用户面网元之间传输的数据进行机密性保护。其中，将明文与密钥流分组进行异或得到密文可以包括：将明文分为多组，将每组明文(可称为明文分组)与密钥流分组进行异或得到多组密文(简称密文分组)，将密文分组合并在一起得到密文。相对应的，将密文与密钥流分组进行异或得到明文可以包括：将密文对应的密文分组与密钥流分组进行异或得到明文分组，将明文分组合并在一起得到明文。

本申请实施例提供的完整性保护如图2b所示，可以包括：发送端将key、count、第一参数、direction、明文等一系列参数输入至NIA函数，得到消MAC发送出去；接收端接收到明文和消息认证码之后，根据上述一系列参数再次计算得到消息认证码，对比接收到的MAC与自己计算的MAC是否相同。若相同，则校验成功。即以第一参数为粒度对终端与用户面网元之间传输的数据进行完整性保护。

其中，上述发送端可以为终端，接收端可以为用户面网元；或者，发送端为用户面网元，接收端可以为终端，不予限制。

其中，在对终端与用户面网元间传输的数据进行数据保护时，第一参数为必选参数，除第一参数之外，还可以根据其他参数进行数据保护，不予限制。第一参数可以与终端和用户面网元间的用户面传输逻辑通道对应。示例性的，该用户面传输逻辑通道可以为激活的用户面逻辑通道，此时，终端与用户面网元间保持链接；也可以为未被激活的用户面逻辑通道，此时，终端与用户网间断开连接。示例性的，第一参数可以为PDU session标识(identity，ID)或服务质量流标识(QoS flow ID，QFI)或者数据无线承载标识(data radio bearer identity，DRB ID)或者切片ID或者其他隧道ID参数等，不予限制。其中，PDU session ID可以用于标识PDU session，QFI可以用于标识QoS flow，DRB ID可以用于标识终端与接入网设备之间的DRB，DRB也可称为RB。一个PDU session对应一个PDU session ID，一个QoS flow对应一个QFI，一个DRB对应一个DRB ID。具体的，本申请实施例提供的数据保护方法可以参照图4～图9所示方法。其他可能性，第一参数还可以为无线承载标识(radio bearer identity，RB ID)，RB ID用于标识无线承载。

需要说明的是，上述图1架构中的网元、各个网元之间的名字、各个参数的命名只是一个示例，具体实现中网元、网元之间的名字以及各个参数可能为其他名字，本申请实施例对此不作具体限定。另外，加密方式可以包括多种，例如：可以为通过计算出密钥流之后与明文进行异或进而得到密文的加密方式。也可以为直接输入明文得到密钥的加密方式。本申请实施例对于此类加密方式不做限制。

其中，图1中的终端、用户面网元可称为通信装置或者包括用于实现本申请实施例提供的数据保护方法的通信装置(如：芯片或片上系统等)，为了实现本申请实施例提供的数据保护方法，这些通信装置可以包括图3所示部件。图3为本申请实施例提供的一种通信装置300的组成示意图。如图3所示，该通信装置300包括至少一个处理器301，通信线路302，以及至少一个通信接口303；进一步的，还可以包括存储器304。其中，处理器301，存储器304以及通信接口303三者之间可以通过通信线路302连接。在本申请实施例中，至少一个可以是一个、两个、三个或者更多个，本申请实施例不做限制。

在本申请实施例中，处理器301可以是中央处理器(central processing unit，CPU)，通用处理器网络处理器(network processor，NP)、数字信号处理器(digital signal processing，DSP)、微处理器、微控制器、可编程逻辑器件(programmable logic device，PLD)或它们的任意组合。处理器还可以是其它任意具有处理功能的装置，例如电路、器件或软件模块。。

在本申请实施例中，通信线路302可包括通路，用于在通信装置包括的部件之间传送信息。

在本申请实施例中，通信接口303用于与其他设备或通信网络通信(如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等)。通信接口303可以是模块、电路、收发器或者任何能够实现通信的装置。

在本申请实施例中，存储器304可以是只读存储器(read-only memory，ROM)或可存储静态信息和/或指令的其他类型的静态存储设备，也可以是随机存取存储器(random access memory，RAM)或者可存储信息和/或指令的其他类型的动态存储设备，还可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

一种可能的设计中，存储器304可以独立于处理器301存在，即存储器304可以为处理器301外部的存储器，此时，存储器304可以通过通信线路302与处理器301相连接，用于存储指令或者程序代码。处理器301调用并执行存储器304中存储的指令或程序代码时，能够实现本申请下述实施例提供的数据保护方法。又一种可能的设计中，存储器304也可以和处理器301集成在一起，即存储器304可以为处理器301的内部存储器，例如，该存储器304为高速缓存，可以用于暂存一些数据和/或指令信息等。

作为一种可实现方式，处理器301可以包括一个或多个CPU，例如图3中的CPU0和CPU1。作为另一种可实现方式，通信装置300可以包括多个处理器，例如图3中的处理器301和处理器307。作为再一种可实现方式，通信装置300还可以包括输出设备305和输入设备306。示例性地，输入设备306可以是键盘、鼠标、麦克风或操作杆等设备，输出设备305可以是显示屏、扬声器(speaker)等设备。

需要说明的是，上述的通信装置300可以是一个通用设备或者是一个专用设备。例如，通信装置300可以是台式机、便携式电脑、网络服务器、PDA、移动手机、平板电脑、无线终端、嵌入式设备、芯片系统或有图3中类似结构的设备。本申请实施例不限定通信装置300的类型。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。

下面结合图1，以用户面网元为UPF，接入网设备为RAN，会话管理网元为SMF，移动性管理网元为AMF，终端与UPF间的用户面传输逻辑通道为PDU session，终端与UPF间采用机密性保护为例，对本申请实施例提供的数据保护方法进行具体阐述。需要说明的是，当终端与UPF间采用完整性保护，或者机密性保护和完整性保护对终端和UPF间传输的数据进行保护时，第一参数的相关描述以及终端和UPF确定第一参数的方式可参照下述实施例中所述。此外，本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请实施例对此不作具体限定。

图4为本申请实施例提供的一种数据保护方法，该方法可以基于PDU session ID对终端与UPF间传输的数据进行保护。如图4所示，该方法可以包括：

步骤401：终端与UPF间建立PDU session。

其中，终端与UPF间建立PDU session可以包括如下过程：

终端向AMF发送会话建立请求；其中，该会话建立请求可以用于请求建立PDU session，以便后续终端通过该PDU session访问数据网络(data network，DN)中的某些业务应用，会话建立请求中可以包括PDU session ID，PDU session ID可以用于标识PDU session。

AMF接收会话建立请求，向SMF发送建立会话管理(session managerment，SM)上下文请求，该建立SM上下文请求中包括PDU session ID。

SMF接收建立SM上下文请求，向AMF发送建立SM上下文响应以及向UPF发送会话管理建立(或修改)请求；其中，会话管理建立(或修改)请求中可以包括PDU session ID以及该PDU session上可以承载的一个或多个QoS flow的QFI。

UPF接收SMF发送的会话管理建立(或者修改)请求，从会话管理或建立请求中获取PDU session ID以及QFI，保存PDU session ID和QFI间的对应关系。其中会话管理建立(或修改)中的PDU session ID为可选。

UPF向SMF发送会话管理建立(或修改)响应，其中，会话管理建立(或修改)响应中可以包括N3链路标识(或者UPF的地址)。其中，N3链路标识可以用于标识RAN与UPF间的逻辑信道，本申请各实施例针对RAN与UPF之间逻辑链路名称不做限制，下面以RAN与UPF之间的逻辑链路为N3链路为例进行描述。N3链路标识可以由SMF确定并发送给UPF。其中，针对本申请所有实施例，N3链路标识还可以描述为N3隧道标识或者N3接口协议隧道标识或者其他名称，不限制。

SMF接收会话管理建立(或修改)响应，向AMF发送N1N2消息，其中，N1N2消息中包括PDU会话请求，PDU会话请求中可以包括PDU session ID、QFI以及N3链路标识。

AMF向RAN发送PDU会话请求，RAN接收PDU会话请求，保存PDU session ID、QFI与N3链路标识间的对应关系，并为QFI配置DRB，保存PDU session ID、QFI与DRB ID间的对应关系。例如，PDU session ID、QFI与N3链路标识间的对应关系为：PDU session ID1、QFI1、N3链路1，为QFI配置的DRB为DRB1，则PDU session ID、QFI与DRB ID间的对应关系为：PDU session ID1、QFI1、DRB ID1。

RAN向终端发送PDU session ID、QFI以及DRB ID间的对应关系，终端接收并保存PDU session ID、QFI以及DRB ID间的对应关系。或者，RAN发送PDU session ID与DRB ID的对应关系给终端。

至此，终端与UPF间完成PDU session建立，在该PDU session处于激活(或工作)的情况下，终端可以通过该PDU session访问DN中的某些应用。在该PDU session处于未激活(即终端与UPF间无连接)的情况下，终端可以根据路由信息(如：RAN的标识、UPF的标识等)，通过RAN、UPF访问DN中的某些应用。

需要说明的是，针对本申请所有实施例，在建立PDU session的过程中，终端在会话建立请求中还可以不包括PDU session ID，而是由AMF或者SMF生成PDU session ID，并发送给终端或者UPF。

步骤402：终端确定待发送的明文对应的PDU session ID，利用PDU session ID对明文进行数据保护，以得到密文。

其中，终端可以根据待发送的明文的内容信息确定明文的PDU session ID。明文的内容信息可以包括明文的五元组信息(如：协议类型、源因特网协议(internet protocol，IP)地址、目标IP地址、源端口号、目标端口号等)以及其他用于表征该明文属于(或承载在)哪个PDU session的信息。需要说明的是，针对本申请所有实施例，终端确定明文对应的PDU session ID的方式包括多种，不做限制，终端还可以为基于明文的IP地址、媒体接入控制(media access control，MAC)地址、数据包的端口号信息、IP地址的前缀等其他信息中的至少一项确定PDU session ID。

可选的，终端利用PDU session ID对明文进行数据保护，以得到密文包括：

终端将PDU session ID、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。

其中，在本申请各实施例中，密钥流分组也可以描述为密钥流或者其他名称，不予限制。加密密钥、安全算法以及其他部分参数(如计数、长度参数等)由终端和UPF共享。终端可以和AMF或者SMF协商确定加密密钥、安全算法以及其他部分参数，并由AMF或者SMF将协议好的加密密钥、安全算法以及其他部分参数发送给UPF；或者，加密密钥、安全算法以及其他部分参数预先配置在终端和UPF上。

需要说明的是，本申请各实施例对机密性保护时安全算法的名称不做限制，该安全算法可以包括NEA，EEA等。本申请各实施例以NEA为例进行了描述。

步骤403：终端向RAN发送密文。

可选的，终端通过终端与RAN之间的DRB向RAN发送密文。如：终端可以根据其保存的PDU session ID与DRB ID间的对应关系，确定PDU session ID对应的DRB，通过确定出的DRB向RAN发送密文。或者，终端确定明文对应的QFI，通过QFI对应的DRB向RAN发送密文。本申请实施例对确定明文对应的QFI的方法不予限制。

需要说明的是，针对本申请所有实施例，终端在发送密文给RAN的同时，可以同时发送第一发送指示，该第一发送指示可以用于指示RAN此密文是发往UPF的，以便RAN接收到密文后，根据该第一发送指示通过N3链路向UPF发送此密文。

步骤404：RAN接收密文，向UPF发送密文。

可选的，RAN通过DRB接收终端发送的密文的同时，RAN还接收到第一发送指示，RAN根据第一发送指示获知该密文是发往UPF的密文，并通过N3链路向UPF发送密文。

或者，终端向RAN发送密文时，不发送第一发送指示，而是在PDU session建立的过程中，RAN在分配DRB ID时，规定此DRB ID对应的DRB上发送的密文需要发送至对应UPF。后续，当RAN从DRB上接收到终端发送的密文时，根据该DRB对应的DRB ID获知该密文是发往UPF的密文，并通过N3链路向UPF发送密文。

其中，RAN通过N3链路向UPF发送密文可以包括：RAN可以根据其保存的PDU session ID与DRB ID间的对应关系，确定从DRB接收到的密文对应的PDU session ID，再根据PDU session ID与N3链路标识间的对应关系，确定PDU session ID对应的N3链路标识，根据N3链路标识向UPF发送密文。或者终端发送密文的同时，也发送了QFI，RAN根据QFI与N3链路标识对应关系，确定N3链路标识，通过N3链路标识所标识的N3链路发送密文至对应UPF。

步骤405：UPF接收密文，确定密文对应的PDU session ID，利用确定的PDU session ID对密文进行解密，以得到明文。

其中，UPF可以从N3链路接收密文，UPF接收到密文后，可以通过下述方式一或者方式二确定密文对应的PDU session ID：

方式一：UPF通过步骤401的PDU session会话建立过程，保存PDU session ID与QFI间的对应关系。当UPF接收到密文后，UPF确定密文对应的QFI，根据PDU session ID与QFI间的对应关系，确定PDU session ID。

其中，UPF可以根据密文的五元组信息或者发送密文的N3链路的N3链路标识等确定密文对应的QFI。例如，UPF可以通过过滤模板对接收到的密文的五元组信息进行过滤，若接收到的密文满足该过滤模板，则确定密文属于该过滤模板对应的QoS flow。其中，过滤模板可以在PDU session会话建立过程中，由SMF发送给UPF。

方式二：步骤404中，RAN在发送密文的同时还可以向UPF发送PDU session ID，UPF可以从RAN获取密文对应的PDU session ID。

其中，方式二中，RAN保存有PDU session ID与DRB ID间的对应关系，当RAN接收终端通过DRB发送的密文后，可以根据PDU session ID与DRB ID间的对应关系，确定密文对应的PDU session ID，并向UPF发送PDU session ID。

或者，RAN保存有PDU session ID与QFI间的对应关系，RAN从终端接收到密文后，可以将密文发送至RAN的业务数据适配协议(service data adaptation protocol，SDAP)层进行处理得到该密文对应的QFI，再根据PDU session ID与QFI间的对应关系，确定密文对应的PDU session ID。

或者，终端发送密文的同时，也发送了QFI，RAN根据QFI与N3链路标识的对应关系，确定N3链路标识，并发送密文至对应UPF。

需要说明的是，方式二中，UPF可以不保存PDU session ID与QFI间的对应关系，或者在步骤401的PDU session建立的过程中，SMF不向UPF发送PDU session ID。

可选的，UPF利用确定的PDU session ID对密文进行解密处理，以得到明文包括：

UPF将PDU session ID、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。

上述步骤402～步骤405为终端向UPF发送数据的加密过程，作为终端向UPF发送数据的逆过程，UPF向终端发送数据时，也可以进行机密性保护。具体的，如图4所示，所述方法还可以包括：

步骤406：UPF确定待发送的明文对应的PDU session ID，利用PDU session ID对明文进行加密，以得到密文。

可选的，UPF将PDU session ID、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。其中，UPF可以根据明文的五元组信息确定密文对应的QFI，根据UPF保存的QFI与PDU session ID间的对应关系，确定明文对应的PDU session ID。需要说明的是，针对本申请所有实施例，UPF确定明文对应的PDU session ID的方式可以包括多种，不做限制。如：UPF还可以基于明文的IP地址、MAC地址、数据包的端口号信息、IP地址的前缀等信息中的至少一项确定明文对应的PDU session ID。

步骤407：UPF向RAN发送密文。

可选的，UPF可以通过N3链路向RAN发送密文。

需要说明的是，针对本申请所有实施例，UPF在发送密文给RAN的同时，可以同时发送第二发送指示，该第二发送指示可以用于指示RAN此密文是发往终端的，以便RAN接收到密文后，根据该第二发送指示通过DRB向终端发送密文。

步骤408：RAN接收密文，向终端发送密文。

可选的，RAN通过N3链路接收UPF发送的密文的同时，RAN还接收到第二发送指示，RAN根据第二发送指示获知该密文是发往终端的密文，并通过DRB向UPF发送密文。

或者，终端向RAN发送密文时，不发送第二发送指示，而是在PDU session建立的过程中，RAN接收到N3链路标识后，规定此N3链路标识对应的N3链路上发送的密文需要发送至对应终端。后续，当RAN从N3链路上接收到UFP发送的密文时，根据该N3链路对应的N3链路标识获知该密文是发往终端的密文，并通过DRB向终端发送密文。

步骤409：终端接收密文，确定密文对应的PDU session ID，利用PDU session ID对密文进行解密，以得到明文。

可选的，终端将PDU session ID、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。

其中，终端可以根据密文对应的五元组信息确定密文对应的QFI，根据终端保存的PDU session ID与QFI间的对应关系，确定密文对应的PDU session ID。或者终端根据保存的PDU session ID与DRB间的对应关系，确定密文对应的PDU session ID。

基于图4所示方法，可以根据PDU session ID对终端和UPF之间传输的数据进行机密性保护，实现了终端到UPF的端对端保护，避免由RAN对数据进行机密性保护时，RAN与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

除PDU session ID之外，本申请实施例还可以基于QFI对数据进行保护，具体的，该方式可参照图5所示。图5为本申请实施例提供的一种数据保护方法，该方法可以基于QFI对终端与UPF间传输的数据进行保护。如图5所示，该方法可以包括：

步骤501：终端与UPF间建立PDU session。

其中，步骤501与步骤401相同，不再赘述。

步骤502：终端确定待发送的明文对应的QFI，利用QFI对明文进行加密，以得到密文。

其中，终端确定QFI的方式不做限制，例如终端可以根据明文的IP五元组信息确定明文对应的QFI。例如，终端可以通过过滤模板对明文的IP五元组信息进行过滤，若明文满足该过滤模板，则确定明文属于该过滤模板对应的QoS flow。其中，过滤模板可以在PDU session会话建立过程中，由SMF通过AMF、RAN发送给终端。

可选的，终端利用QFI对明文进行加密，以得到密文包括：终端将QFI、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。

步骤503：终端向RAN发送密文。

其中，步骤503可参照步骤403所述，不再赘述。

步骤504：RAN接收密文，向UPF发送密文。

其中，步骤504可参照步骤404所述，不再赘述。

步骤505：UPF接收密文，确定密文对应的QFI，利用确定的QFI对密文进行解密，以得到明文。

其中，UPF可以根据密文的五元组信息或者发送密文的N3链路标识等确定密文对应的QFI。例如，UPF可以通过过滤模板对接收到的密文的五元组信息进行过滤，若接收到的密文满足该过滤模板，则确定密文属于该过滤模板对应的QoS flow。其中，过滤模板可以在PDU session会话建立过程中，由SMF发送给UPF。

或者，RAN在步骤504发送密文的同时还可以向UPF发送密文对应的QFI，UPF可以从RAN获取密文对应的QFI。

其中，RAN可以通过下述1)或者2)确定密文对应的QFI：

1)RAN保存有QFI与DRB ID间的对应关系，当RAN接收终端通过DRB发送的密文后，可以根据QFI与DRB ID间的对应关系，确定密文对应的QFI，并向UPF发送QFI。

其中，RAN可以在步骤501建立PDU session的过程中保存QFI与DRB ID间的对应关系。如：RAN接收到SMF发送的PDU会话请求中还包括指示信息，该指示信息可以用于指示由UPF进行数据保护，或者指示采用QFI进行数据保护，或者指示为不同QFI分配不同的DRB等至少一项，RAN根据该指示信息为QFI分配不同的DRB ID。

需要说明的是，在方法1)中，RAN保存的QFI与DRB ID间的对应关系中一个QFI对应一个DRB ID，即为每个QoS flow仅分配唯一的DRB。

2)终端在步骤503向RAN发送密文的同时还可以向RAN发送QFI指示，RAN根据QFI指示确定密文对应的QFI。

其中，QFI指示可以用于指示QFI，QFI指示可以为QFI或者用于标识QFI的其他标识符，用于标识QFI的其他标识符与QFI间存在映射关系，该映射关系可以在步骤501中由SMF发送给RAN和终端，RAN和终端保存用于标识QFI的其他标识符与QFI间的映射关系。当QFI指示为QFI时，RAN可以直接将QFI指示确定为密文对应的QFI，当QFI指示为用于标识QFI的其他标识符时，RAN可以根据标识符与QFI间的映射关系确定密文对应的QFI。

例如，若终端加密时采用的QFI为QFI1，则该QFI指示可以为QFI1，还可以为能够用于指示QFI1的其他标识符，如：字符A。其中，字符A与QFI1间具有映射关系，当RAN接收到字符A时，RAN可以根据字符A以及字符A与QFI1间的映射关系，确定字符A所标识的QFI为QFI1。

可选的，UPF利用确定的QFI对密文进行解密处理，以得到明文包括：UPF将QFI、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。

上述步骤502～步骤505为终端向UPF发送数据的加密过程，作为终端向UPF发送数据的逆过程，UPF向终端发送数据时，也可以进行机密性保护。具体的，如图5所示，所述方法还可以包括：

步骤506：UPF确定待发送的明文对应的QFI，利用QFI对明文进行加密，以得到密文。

其中，UPF确定待发送的明文对应的QFI的过程如上所述，如：UPF可以根据明文的IP五元组信息确定密文对应的QFI。

可选的，UPF将QFI、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。

步骤507：UPF向RAN发送密文。

其中，步骤507可参照步骤407所述，不再赘述。

步骤508：RAN向终端发送密文。

其中，步骤508可参照步骤408所述，不再赘述。

步骤509：终端接收密文，确定密文对应的QFI，利用QFI对密文进行解密，以得到明文。

其中，终端可以根据密文对应的五元组信息确定密文对应的QFI；或者，终端从RAN获取密文对应的QFI，如：UPF通过N3链路向RAN发送密文，RAN接收到密文后，根据N3链路对应的N3链路标识确定密文对应的QFI，向终端发送QFI；或者终端根据DRB ID确定QFI。

可选的，终端将QFI、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。

基于图5所示方法，可以根据QFI对终端和UPF之间传输的数据进行机密性保护，实现了终端到UPF的端对端保护，避免由RAN对数据进行机密性保护时，RAN与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

除PDU session ID或QFI之外，本申请实施例还可以基于DRB ID对数据进行保护，具体的，该方式可参照图6所示。图6为本申请实施例提供的一种数据保护方法，该方法可以基于DRB ID对终端与UPF间传输的数据进行保护。如图6所示，该方法可以包括：

步骤601：终端与UPF间建立PDU session。

其中，步骤601与步骤401相同，不再赘述。

步骤602：终端确定待发送的明文对应的DRB ID，利用DRB ID对明文进行加密，以得到密文。

其中，终端可以先根据明文的五元组信息确定明文对应的QFI，再根据QFI与DRB ID间的对应关系，确定明文对应的DRB ID。其中，终端确定明文对应的QFI的过程可参照步骤502中所述，不再赘述。

可选的，终端利用DRB ID对明文进行加密，以得到密文包括：终端将DRB ID、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。

步骤603：终端向RAN发送密文。

其中，步骤603可参照步骤403所述，不再赘述。

步骤604：RAN接收密文，向UPF发送密文。

其中，步骤604可参照步骤404所述，不再赘述。

步骤605：UPF接收密文，确定密文对应的DRB ID，利用确定的DRB ID对密文进行解密，以得到明文。

一种可能的设计中，UPF可以根据密文的五元组信息或者发送密文的N3链路标识等确定密文对应的QFI，再根据UPF保存的DRB ID与QFI的对应关系，确定密文对应的DRB ID。

其中，UPF确定密文对应的QFI的过程可参照步骤505中所述，不再赘述。

其中，DRB ID与QFI的对应关系可以在步骤601建立PDU session的过程中，由RAN 发送给UPF，UPF接收到该对应关系后保存在UPF上，如：RAN接收到SMF发送的指示信息，根据该指示信息为QFI分配不同的DRB ID，并将为QFI分配的DRB ID发送给UPF，由UPF保存起来。该指示信息的相关描述可参照步骤505中所述，不再赘述。

又一种可能的设计中，RAN在步骤604向UPF发送密文的同时还可以向UPF发送DRB ID，UPF将接收到的DRB ID确定为密文对应的DRB ID。

又一种可能的设计中，终端在步骤603向RAN发送密文的同时还可以向RAN发送DRB ID指示，RAN根据DRB ID指示确定密文对应的DRB ID。

其中，DRB ID指示可以用于指示DRB ID，DRB ID指示可以为DRB ID或者用于标识DRB ID的其他标识符，用于标识DRB ID的其他标识符与DRB ID间存在映射关系，该映射关系可以在步骤501中由SMF发送给RAN和终端，RAN和终端保存用于标识DRB ID的其他标识符与DRB ID间的映射关系。当DRB ID指示为DRB ID时，RAN可以直接将DRB ID指示确定为密文对应的DRB ID，当DRB ID指示为用于标识DRB ID的其他标识符时，RAN可以根据标识符与DRB ID间的映射关系确定密文对应的DRB ID。

例如，若终端加密时采用的DRB ID为DRB ID1，则该DRB ID指示可以为DRB ID1，还可以为能够用于指示DRB ID1的其他标识符，如：字符B。其中，字符B与DRB ID1间具有映射关系，当RBN接收到字符B时，RBN可以根据字符B以及字符B与DRB ID1间的映射关系，确定字符B所标识的DRB ID为DRB ID1。

可选的，UPF利用确定的DRB ID对密文进行解密处理，以得到明文包括：UPF将DRB ID、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。

需要说明的是，在又一种可能的设计中，当UPF从RAN接收到DRB ID时，UPF可以保存接收到的DRB ID与密文对应的QFI或者PDU session ID间的对应关系，后续，UPF可以根据保存的DRB ID与QFI或者PDU session ID间的对应关系确定其发送或接收到的数据对应的DRB ID，根据确定的DRB ID对数据进行机密性保护。

上述步骤602～步骤605为终端向UPF发送数据的加密过程，作为终端向UPF发送数据的逆过程，UPF向终端发送数据时，也可以进行机密性保护。具体的，如图6所示，所述方法还可以包括：

步骤606：UPF确定待发送的明文对应的DRB ID，利用DRB ID对明文进行加密，以得到密文。

其中，UPF确定待发送的明文对应的QFI，根据QFI与DRB ID间的对应关系，确定明文对应的DRB ID。UPF确定待发送的明文对应的QFI可参照步骤605中所述，不再赘述。

其中，UPF确定待发送的明文对应的PDU session ID，根据PDU session ID与DRB ID间的对应关系，确定明文对应的DRB ID。UPF确定待发送的明文对应的PDU session ID可参照之前步骤所述，不再赘述。

可选的，UPF将DRB ID、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。

步骤607：UPF向RAN发送密文。

其中，步骤607可参照步骤407所述，不再赘述。

步骤608：RAN向终端发送密文。

其中，步骤608可参照步骤408所述，不再赘述。

步骤609：终端接收密文，确定密文对应的DRB ID，利用DRB ID对密文进行解密，以得到明文。

其中，终端可以从DRB接收RAN发送的密文，将该DRB对应的DRB ID作为密文对应的DRB ID。

可选的，终端将DRB ID、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。

基于图6所示方法，可以根据DRB ID对终端和UPF之间传输的数据进行机密性保护，实现了终端到UPF的端对端保护，避免由RAN对数据进行机密性保护时，RAN与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

图4～图6适用于终端与UPF间建立PDU session的情况，对于终端与UPF间未连接的情况，其数据保护过程图7～图9所示。其中，本申请实施例中，终端与UPF间未连接可以指终端与RAN之间、RAN与UPF之间没有建立逻辑通道，终端与UPF之间没有建立用户面传输逻辑通道，或者，终端与UPF之间建立的用户面传输逻辑通道(如：PDU session)未被激活(或已断开)。

下面结合图7～图9所示，以终端与UPF之间建立的用户面传输逻辑通道(如：PDU session)未被激活(或已断开)为例对数据保护过程进行描述。其中，终端与UPF之间断开PDU session之前，可以通过步骤401所述的方法建立PDU session，在建立PDU session过程中，与步骤401不同的是，UPF向SMF发送的会话管理建立(或修改)响应中还可以包括UPF的地址，SMF接收到会话管理建立(或修改)响应后，将UPF的地址和PDU session ID一起发送给RAN，RAN保存PDU session与UPF的地址间的映射关系，并向终端返回UPF的地址，还可以向终端发送RAN的地址。

图7为本申请实施例提供的又一种数据保护方法，该方法可以在终端与UPF间未建立PDU session的情况，基于PDU session ID对终端与UPF间传输的数据进行保护。如图7所示，该方法可以包括：

步骤701：终端确定待发送的明文对应的PDU session ID，利用PDU session ID对明文进行加密，以得到密文。

其中，步骤701可参照步骤402所述，不再赘述。

步骤702：终端向RAN发送密文。

步骤703：RAN接收密文，确定密文对应的PDU session ID，向UPF发送密文以及PDU session ID。

其中，RAN可以根据PDU session ID与UPF的地址间的对应关系，获取UPF的地址，根据UPF的地址向UPF发送密文以及PDU session ID。

一种可能的设计中，步骤702中终端向RAN发送密文的同时还向RAN发送密文对应的PDU session ID，即RAN可以从终端获取密文对应的PDU session ID。

又一种可能的设计中，步骤702中终端向RAN发送密文的同时还向RAN发送终端的标识，RAN接收到终端的标识后，根据终端的标识与PDU session ID的对应关系，确定密文对应的PDU session ID。

其中，终端的标识与PDU session ID的对应关系可以在终端与UPF间建立PDU session时，预先保存在RAN上，如：终端发送的会话建立请求中还可以包括终端的标识，后续，SMF向UPF发送的会话管理建立(或修改)消息中还可以包括终端的标识，SMF接收到会话管理建立(或修改)响应后，将终端的标识和PDU session ID一起发送给RAN，RAN保存终端的标识与PDU session ID间的映射关系。终端的标识可以用于标识终端，可以为终端的临时标识或者永久性标识。其中终端发送给SMF的终端的标识，与SMF发给RAN的终端的标识可以相同也可以不同，例如SMF可以自己生成终端的标识再发送给RAN，可选的SMF将自己生成的终端的标识再发送给终端。

再一种可能的设计中，步骤702中终端向RAN发送密文的同时还向RAN发送UPF的地址，RAN接收到UPF的地址后，根据UPF的地址，向UPF发送所述密文。

再一种可能的设计中，步骤702中终端向RAN发送密文的同时还向RAN发送PDU session ID以及UPF的地址，RAN根据UPF的地址向UPF发送密文以及PDU session ID。

可选的，RAN接收到终端发送的密文以及PDU session ID后，保存PDU session ID与终端的标识的对应关系，并且PDU session ID与终端的标识的对应关系对应一定时器(或时间窗)，该定时器用于限定PDU session ID与终端的标识的对应关系的有限时长，定时器超时，表示PDU session ID与终端的标识的对应关系失效，RAN可以删除该对应关系。

步骤704：UPF接收密文以及PDU session ID，利用PDU session ID对密文进行解密，以得到明文。

进一步可选的，UPF接收到RAN发送的密文以及PDU session ID后，保存PDU session ID与RAN的地址的对应关系，并且PDU session ID与RAN的地址的对应关系对应一定时器(或时间窗)，该定时器用于限定PDU session ID与RAN的地址的对应关系的有限时长，定时器超时，表示PDU session ID与RAN的地址的对应关系失效，UPF可以删除该对应关系。

其中，RAN的地址可以用于标识RAN，RAN的地址可以在RAN向UPF发送密文以及PDU session ID时发送给UPF。

需要说明的是，步骤703中，RAN可以不发送PDU session ID给UPF，仅发送终端的标识和密文给UPF。UPF保存有终端的标识与PDU session ID的对应关系，当UPF接收到终端的标识和密文后，可以根据该对应关系确定密文对应的PDU session ID。其中，终端的标识与PDU session ID的对应关系可以在PDU session会话建立过程中，由SMF发送给UPF。

上述步骤702～步骤704为终端向UPF发送数据的加密过程，作为终端向UPF发送数据的逆过程，UPF向终端发送数据时，也可以进行机密性保护。具体的，如图7所示，所述方法还可以包括：

步骤705：UPF确定待发送的明文对应的PDU session ID，利用PDU session ID对明文进行加密，以得到密文。

其中，UPF可以根据明文的五元组信息确定密文对应的QFI，根据UPF保存的QFI与 PDU session ID间的对应关系，确定明文对应的PDU session ID；或者UPF根据明文的业务类型，例如IP地址等，直接确定PDU session ID。然后，将PDU session ID、key以及其他参数(如：count、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。

其中，QFI与PDU session ID间的对应关系可以在终端与UPF间建立PDU session时预先保存在UPF中。

步骤706：UPF向RAN发送密文。

其中，UPF可以根据其确定的PDU session ID以及PDU session ID与RAN的地址间的对应关系，获取RAN的地址，根据RAN的地址向RAN发送密文。

可选的，UPF还发送PDU session ID至RAN。

步骤707：RAN向终端发送密文以及PDU session ID。

可选的，RAN可以根据其接收到的PDU session ID以及保存的PDU session ID与终端的标识间的对应关系，获取终端的标识，根据终端的标识向终端发送密文以及PDU session ID。

可选的，RAN根据保存的PDU session ID与DRB ID的对应关系，或者UPF的地址与DRB ID的对应关系，确定DRB ID，再根据此DRB ID所标识的DRB向终端发送密文。

步骤708：终端接收密文以及PDU session ID，利用PDU session ID对密文进行解密，以得到明文。

可选的，终端将PDU session ID、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。其中，终端可以根据密文对应的五元组信息确定密文对应的QFI，根据终端保存的保存PDU session ID与QFI间的对应关系，确定密文对应的QFI。

需要说明的是，步骤707中，RAN可以不发送PDU session ID给终端，仅通过DRB向终端发送密文。当步骤708中，终端通过DRB接收到密文后，可以根据DRB ID与PDU session ID间的对应关系，确定PDU session ID。

基于图7所示方法，可以在终端与UPF间未建立连接的情况下，根据PDU session ID对终端和UPF之间传输的数据进行机密性保护，实现了终端到UPF的端对端保护，避免由RAN对数据进行机密性保护时，RAN与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

在终端与UPF间未建立连接的情况下，除PDU session ID之外，还可以基于QFI对数据进行保护，具体的，该方式可参照图8所示。图8为本申请实施例提供的又一种数据保护方法，该方法可以在终端与UPF间未建立QFI的情况，基于QFI对终端与UPF间传输的数据进行保护。如图8所示，该方法可以包括：

步骤801：终端确定待发送的明文对应的QFI，利用QFI对明文进行加密，以得到密文。

其中，步骤801可参照步骤502所述，不再赘述。

步骤802：终端向RAN发送密文。

其中，RAN可以为默认RAN，或者，终端根据PDU session建立过程中接收到的RAN 的地址向RAN发送密文。

步骤803：RAN接收密文，确定密文对应的QFI，向UPF发送密文以及QFI。

一种可能的设计中，步骤802中终端向RAN发送密文的同时还向RAN发送密文对应的QFI，即RAN可以从终端获取密文对应的QFI。

又一种可能的设计中，步骤802中终端向RAN发送密文的同时还向RAN发送终端的标识，RAN接收到终端的标识后，根据终端的标识与QFI的对应关系，确定密文对应的QFI。

其中，终端的标识与QFI的对应关系可以在终端与UPF间建立QFI时，预先保存在RAN上，如：终端发送的会话建立请求中还可以包括终端的标识，后续，UPF向SMF发送的会话管理建立(或修改)响应中还可以包括终端的标识，SMF接收到会话管理建立(或修改)响应后，将终端的标识发送给RAN，RAN为DRB分配QFI之后，保存终端的标识与QFI间的映射关系。终端的标识可以用于标识终端，可以为终端的临时标识或者永久性标识。

在上述两种可能的方式中，RAN可以根据密文对应的QFI以及QFI与UPF的地址间的对应关系，获取UPF的地址，根据UPF的地址向UPF发送密文以及QFI。

再一种可能的设计中，步骤802中终端向RAN发送密文的同时还向RAN发送UPF的地址，RAN接收到UPF的地址后，根据UPF的地址与QFI的对应关系，确定密文对应的QFI，根据UPF的地址向UPF发送密文以及QFI。

再一种可能的设计中，步骤802中终端向RAN发送密文的同时还向RAN发送QFI以及UPF的地址，RAN根据UPF的地址向UPF发送密文以及QFI。

可选的，RAN接收到终端发送的密文以及QFI后，保存QFI与终端的标识的对应关系，并且QFI与终端的标识的对应关系对应一定时器(或时间窗)，该定时器用于限定QFI与终端的标识的对应关系的有限时长，定时器超时，表示QFI与终端的标识的对应关系失效，RAN可以删除该对应关系。

步骤804：UPF接收密文以及QFI，利用QFI对密文进行解密，以得到明文。

可选的，UPF接收到RAN发送的密文以及QFI后，保存QFI与RAN的地址的对应关系，并且QFI与RAN的地址的对应关系对应一定时器(或时间窗)，该定时器用于限定QFI与RAN的地址的对应关系的有限时长，定时器超时，表示QFI与RAN的地址的对应关系失效，UPF可以删除该对应关系。

其中，RAN的地址可以用于标识RAN，RAN的地址可以在RAN向UPF发送密文以及QFI时发送给UPF。

上述步骤802～步骤804为终端向UPF发送数据的加密过程，作为终端向UPF发送数据的逆过程，UPF向终端发送数据时，也可以进行机密性保护。具体的，如图8所示，所述方法还可以包括：

步骤805：UPF确定待发送的明文对应的QFI，利用QFI对明文进行加密，以得到密文。

其中，UPF可以根据明文的五元组信息确定密文对应的QFI，将QFI、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。

步骤806：UPF向RAN发送密文。

其中，UPF可以根据其确定的QFI以及QFI与RAN的地址间的对应关系，获取RAN的地址，根据RAN的地址向RAN发送密文。

可选的，UPF还向RAN发送QFI。

步骤807：RAN向终端发送密文以及QFI。

可选的，RAN可以根据其接收到的QFI以及保存的QFI与终端的标识间的对应关系，获取终端的标识，根据终端的标识向终端发送密文以及QFI。

可选的，RAN根据之前保存的QFI对应的DRB的信息，确定DRB ID，根据此DRB ID对应的DRB向终端发送密文。

步骤808：终端接收密文以及QFI，利用QFI对密文进行解密，以得到明文。

可选的，终端将QFI、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。其中，终端可以根据密文对应的五元组信息确定密文对应的QFI。

基于图8所示方法，可以在终端与UPF间未建立连接的情况下，根据QFI对终端和UPF之间传输的数据进行机密性保护，实现了终端到UPF的端对端保护，避免由RAN对数据进行机密性保护时，RAN与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

在终端与UPF间未建立连接的情况下，除PDU session ID或者QFI之外，还可以基于DRB ID对数据进行保护，具体的，该方式可参照图9所示。图9为本申请实施例提供的又一种数据保护方法，该方法可以在终端与UPF间未建立DRB ID的情况，基于DRB ID对终端与UPF间传输的数据进行保护。如图9所示，该方法可以包括：

步骤901：终端确定待发送的明文对应的DRB ID，利用DRB ID对明文进行加密，以得到密文。

其中，步骤901可参照步骤602所述，不再赘述。

步骤902：终端向RAN发送密文。

可选的，RAN可以为默认RAN，或者，终端根据PDU session建立过程中接收到的RAN的地址向RAN发送密文。

步骤903：RAN接收密文，确定密文对应的DRB ID，向UPF发送密文以及DRB ID。

一种可能的设计中，步骤902中终端向RAN发送密文的同时还向RAN发送密文对应的DRB ID，RAN可以从终端获取密文对应的DRB ID，并根据密文对应的DRB ID以及DRB ID与UPF的地址间的对应关系，获取UPF的地址，根据UPF的地址向UPF发送密文以及DRB ID。

其中，UPF的地址与DRB ID的对应关系可以在终端与UPF间建立PDU session时，预先保存在RAN上，如：PDU session建立中，SMF发送UPF的地址给RAN。RAN为终端分配DRB ID之后，保存UPF的地址与DRB ID间的映射关系。UPF的地址可以用于标识UPF，可以为UPF的IP地址或者MAC地址等。

又一种可能的设计中，步骤902中终端向RAN发送密文的同时还向RAN发送终端的标识，RAN接收到终端的标识后，根据终端的标识与UPF的地址的对应关系，确定密文对应的UPF的地址。

其中，如：会话管理建立中，SMF发送终端的标识和UPF的地址给RAN。RAN根据接收到的终端的标识确定UPF的地址。终端的标识可以用于标识终端，可以为终端的临时标识或者永久性标识。

再一种可能的设计中，步骤902中终端向RAN发送密文的同时还向RAN发送UPF的地址，RAN接收到UPF的地址后，根据UPF的地址与DRB ID的对应关系，确定密文对应的DRB ID，根据UPF的地址向UPF发送密文以及DRB ID。

再一种可能的设计中，步骤902中终端向RAN发送密文的同时还向RAN发送DRB ID以及UPF的地址，RAN根据UPF的地址向UPF发送密文以及DRB ID。

可选的，RAN接收到终端发送的密文以及DRB ID后，保存DRB ID与终端的标识的对应关系，并且DRB ID与终端的标识的对应关系对应一定时器(或时间窗)，该定时器用于限定DRB ID与终端的标识的对应关系的有限时长，定时器超时，表示DRB ID与终端的标识的对应关系失效，RAN可以删除该对应关系。

步骤904：UPF接收密文以及DRB ID，利用DRB ID对密文进行解密，以得到明文。

可选的，UPF接收到RAN发送的密文以及DRB ID后，保存DRB ID与RAN的地址的对应关系，并且DRB ID与RAN的地址的对应关系对应一定时器(或时间窗)，该定时器用于限定DRB ID与RAN的地址的对应关系的有限时长，定时器超时，表示DRB ID与RAN的地址的对应关系失效，UPF可以删除该对应关系。

其中，RAN的地址可以用于标识RAN，RAN的地址可以在RAN向UPF发送密文以及DRB ID时发送给UPF。

上述步骤902～步骤904为终端向UPF发送数据的加密过程，作为终端向UPF发送数据的逆过程，UPF向终端发送数据时，也可以进行机密性保护。具体的，如图9所示，所述方法还可以包括：

步骤905：UPF确定待发送的明文对应的DRB ID，利用DRB ID对明文进行加密，以得到密文。

可选的，UPF可以根据明文的五元组信息确定密文对应的DRB ID，将DRB ID、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。

可选的，UPF首先确定PDU session ID，根据DRB ID与PDU session ID的对应关系，确定DRB ID。确定PDU session ID的方式可参考之前实施例描述，不予赘述。

步骤906：UPF向RAN发送密文。

其中，UPF可以根据其确定的DRB ID以及DRB ID与RAN的地址间的对应关系，获取RAN的地址，根据RAN的地址向RAN发送密文。

可选的，UPF向RAN还发送DRB ID。

可选的，UPF向RAN还发送终端的标识。

步骤907：RAN基于DRB ID对应的DRB，向终端发送密文。

可选的，RAN可以根据其接收到的DRB ID，采用其对应的DRB，向终端发送密文。

可选的，RAN保存有DRB ID与终端的标识的映射；RAN从UPF接收终端的标识和密文，根据终端的标识确定DRB ID，进而采用DRB ID对应的DRB，向终端发送密文。

步骤908：终端接收密文以及识别出DRB ID，利用DRB ID对密文进行解密，以得到明文。

可选的，终端将DRB ID、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。

可选的，其中，终端可以根据密文对应的五元组信息确定密文对应的DRB ID。

基于图9所示方法，可以在终端与UPF间未建立连接的情况下，根据DRB ID对终端和UPF之间传输的数据进行机密性保护，实现了终端到UPF的端对端保护，避免由RAN对数据进行机密性保护时，RAN与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

上述图4～图9以PDU session ID或者QFI或者DRB ID为粒度对数据进行保护，可替换的，本申请实施例还可以以UPF所在网络切片的切片ID或者终端的标识或者UPF的地址或者N3链路标识，或者隧道标识，或者承载标识，或者其他参数为粒度对数据进行保护，不予限制。如：终端可以将UPF所在网络切片的切片ID(或者终端的标识或者UPF的地址)、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和明文进行异或得到密文。UPF接收到密文后，将UPF所在网络切片的切片ID(或者终端的标识或者UPF的地址)、加密密钥(key)以及其他参数(如：计数(count)、方向、长度参数等)输入安全算法中生成密钥流分组，将密钥流分组和密文进行异或得到明文。

上述实施例描述了加密情况下终端与UPF的保护方法。针对完整性保护，同样需要第一参数的参与。并且完整性保护的基本流程与上述实施例类似，如：终端或UPF首先确定明文对应的第一参数，之后基于此第一参数和其他参数(如：key、密钥流长度)和明文执行NIA算法，输出消息验证码。同时，另一方在接收到明文和消息验证码之后，首先确定第一参数，之后再基于第一参数，其他参数(如：key、密钥流长度)以及明文，验证接收到的消息验证码的正确性。需要说明的是，本申请实施例针对完整性保护时安全算法的名称不做限制，完整性保护时的安全算法可以包括NIA，EIA等。上述实施例以NIA为例进行了描述。

除基于PDU session ID或者QFI或者DRB ID或者其他参数对数据进行保护之外，又一种可行方案中，还可以基于IPsec协议对终端与UPF间传输的数据进行保护，具体的，该方案如图10所示。

图10为本申请实施例提供的再一种数据保护方法，该方法可以基于IPsec协议对终端与UPF间传输的数据进行保护，如图10所示，该方法可以包括：

步骤1001：SMF确定由UPF进行数据保护。

其中，SMF确定由UPF进行数据保护的过程可参照现有技术，不再赘述。

步骤1002：SMF根据用户面安全策略确定IPsec的安全模式。

其中，用户面安全策略用于规定是否对数据进行机密性保护和/或完整性保护，用户面安全策略可以预先存储在SMF中，或者从其他网元处获得，用户面安全策略与PDU session 间具有映射关系，一个PDU session对应一个用户面安全策略。

示例性的，SMF根据用户面安全策略确定IPsec的安全模式可以包括：

若用户面安全策略规定对数据进行机密性保护，则IPsec的安全模式为IPSec ESP模式；

若用户面安全策略规定对数据进行完整性保护，则IPsec的安全模式为IPSec AH模式或者IPSec ESP的完整性保护模式；

若用户面安全策略规定对数据进行机密性保护和完整性保护，则IPsec的安全模式为IPSec ESP的机密性保护和完整性保护模式，或者IPsec ESP+AH的模式；

步骤1003：确定UPF和终端之间的IPsec安全联盟(security association，SA)。

可选的，确定UPF和终端之间的IPsec SA包括：

方式一：SMF根据用户面安全策略生成UPF的加密密钥，并将生成的加密密钥发送给UPF；SMF发送会话建立响应给终端，触发终端生成终端的加密密钥，之后SMF触发终端与UPF执行IPsec SA的协商流程，协商流程完成之后，终端与UPF均确定好IPsec SA。

方式二：SMF根据用户面安全策略生成UPF的加密密钥，并将生成的加密密钥发送给UPF；SMF发送会话建立响应给终端，触发终端生成终端的加密密钥；之后终端与SMF执行IPsec SA的协商流程，该协商流程完成之后，SMF将确定的IPsec SA发送至UPF。

方式三：SMF向AMF发送用户面安全策略，AMF根据用户面安全策略生成UPF的加密密钥，并将生成的加密密钥发送给UPF；AMF发送会话建立响应给终端，触发终端生成终端的加密密钥；之后终端与AMF执行IPsec SA的协商流程，该协商流程完成之后，AMF将确定的IPsec SA发送至UPF。

其中，方式一～方式三中，加密密钥还可以称为根密钥或者保护密钥，SMF根据用户面安全策略生成UPF的加密密钥的过程、终端生成终端的加密密钥的过程、IPsec SA的协商流程可参照现有技术，不再赘述。

方式四、SMF根据用户面安全策略、终端的安全能力以及UPF支持的算法列表(或者UPF支持的算法优先级列表)，确定IPsec SA内的hash类型的算法以及加密算法，将hash类型的算法、加密算法和IPsec安全模式组成一个完整的IPsec SA；

SMF生成UPF的加密密钥，向UPF发送IPsec SA和加密密钥，向终端发送IPsec SA，以使终端生成终端的加密密钥，之后终端和UPF可以基于加密密钥、IPsec SA执行数据保护。

其中，SMF可以预置UPF支持的算法列表或者从UPF获取UPF支持的算法列表。

方式五、SMF向AMF发送用户面安全策略，AMF根据用户面安全策略、终端的安全能力以及UPF支持的算法列表(或者UPF支持的算法优先级列表)，确定IPsec SA内的hash类型的算法以及加密算法，将hash类型的算法、加密算法和IPsec安全模式组成一个完整的IPsec SA；

AMF将IPsec SA通过RAN发送给终端，触发终端生成终端的加密密钥，同时，通过SMF将IPsec SA发送给UPF，AMF可以生成UPF的加密密钥，通过SMF将UPF的加密密钥发送给UPF；或者，SMF生成UPF的加密密钥，将UPF的加密密钥发送给UPF；或者，UPF收到IPsec SA，生成用户面加密密钥。

其中，AMF中可以预置UPF支持的算法列表，还可以从SMF获取UPF支持的算法列表，也可以从UPF获取UPF支持的算法列表。

方式六：SMF向UPF发送用户面安全策略，UPF根据用户面安全策略、终端的安全能力以及UPF支持的算法列表(或者UPF支持的算法优先级列表)，确定IPsec SA内的hash类型的算法以及加密算法，将hash类型的算法、加密算法和IPsec安全模式组成一个完整的IPsec SA，同时，UPF生成用户面加密密钥；

UPF将IPsec SA通过RAN发送给终端，触发终端生成终端的加密密钥。

需要说明的是，在方法四～方法六中，SMF或者AMF或者UPF还可以根据终端的安全能力以及UPF支持的算法列表(或者UPF支持的算法优先级列表)，确定IPsec SA内的hash类型的算法以及加密算法，将hash类型的算法、加密算法和IPsec安全模式组成一个完整的IPsec SA。

步骤1004：终端和UPF根据IPsec SA以及各自的保护密钥进行数据保护。

如：终端根据IPsec SA以及终端的保护密钥对待发送的明文进行加密，以得到密文，并将密文发送给UPF，UPF接收到密文后，根据IPsec SA以及UPF的保护密钥对密文进行解密，以得到明文。

其中，在图10所示方法中，终端的保护密钥以及UPF的保护密钥是相同的。

基于图10所示方法，可以基于IPsec协议对终端和UPF之间传输的数据进行机密性保护，实现了终端到UPF的端对端保护，避免由RAN对数据进行机密性保护时，RAN与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

可替换的，终端与UPF之间还可以基于传输层安全(transport layer security，TLS)进行数据保护，其中，基于TLS进行终端与UPF间的数据保护的流程与上述采用IPsec进行数据保护的流程类似，可以包括：

SMF确定终端与UPF之间是否需要进行机密性保护和/或完整性保护；

当确定终端与UPF之间需要进行机密性保护和/或完整性保护时，协商确定终端与UPF之间进行数据保护时所用的TLS密码套件(如cipher_suite)，触发终端和UPF基于确定的TLS密码套件进行数据保护。

其中，TLS密码套件用于指示终端与UPF间进行数据保护时需要的一些信息，如：采用哪个密钥交换算法，采用哪个加密算法(以及密钥长度)，采用哪个完整性保护算法，和采用哪个随机数生成算法的至少一项。具体的，TLS密码套件可以包括：密码交换算法、加密算法(以及密钥长度)，完整性保护算法和随机数生成算法。

可选的，SMF根据用户面安全策略确定终端与UPF之间是否需要进行机密性保护和/或完整性保护。可替换的，还可以由终端或者UPF根据用户面安全策略确定终端与UPF之间是否需要进行机密性保护和/或完整性保护。其中，用户面安全策略的相关描述以及根据用户面安全策略确定终端与UPF之间是否需要进行机密性保护和/或完整性保护的方式如图10所示方法中所述，不再赘述。

可选的，终端可以与SMF或者AMF协商确定TLS密码套件，此时，SMF或者AMF可以将协商确定的TLS密码套件发送至UPF，以使终端与UPF之间基于确定的TLS密码套件进行数据保护；或者，终端可以与UPF之间协商确定TLS密码套件，并基于确定的 TLS密码套件进行数据保护。其中，协商确定TLS密码套件的过程可参照现有技术，不再赘述。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，上述终端和用户面网元为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对终端和用户面网元进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图11示出了的一种通信装置11的组成示意图，该通信装置11可以为终端或者终端中的芯片或者片上系统，该通信装置11可以用于执行上述实施例中涉及的终端的功能。作为一种可实现方式，图11所示通信装置11包括：确定单元110，加密/解密单元111，发送单元112；

确定单元110，用于确定待发送的明文对应的第一参数。例如，确定单元110可以用于支持通信装置11执行步骤402、步骤502、步骤602、步骤701、步骤801、步骤901中确定第一参数的动作。

加密/解密单元111，用于利用第一参数对所述明文进行加密，以得到密文。例如，加密/解密单元111可以用于支持通信装置11执行步骤402、步骤502、步骤602、步骤701、步骤801、步骤901中的加密动作。

发送单元112，用于通过接入网设备向用户面网元发送密文。例如，发送单元112可以用于支持通信装置11执行步骤403、步骤503、步骤603、步骤702、步骤802、步骤902。

进一步的，如图11所示，通信装置11还可以包括：

接收单元113：用于接收接入网设备发送的密文；例如，接收单元113可以用于支持通信装置11执行步骤409、步骤509、步骤609、步骤708、步骤808、步骤908中接收密文的动作。

确定单元110，还可以用于确定接收到的密文对应的第一参数；例如，确定单元110可以用于支持通信装置11执行步骤409、步骤509、步骤609中确定第一参数的动作。

加密/解密单元111，还可以用于利用第一参数对接收的密文进行解密，以得到明文。例如，加密/解密单元111可以用于支持通信装置11执行步骤409、步骤509、步骤609、步骤708、步骤808、步骤908中的解密动作。

其中，上述第一参数与终端和用户面网元间的用户面传输逻辑通道对应，可以为PDU session ID或者QFI或者DRB ID或者RB ID等。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。本申请实施例提供的通信装置11，用于执行上述数据保护方法中终端的功能，因此可以达到与上述数据保护方法相同的效果。

作为又一种可实现方式，图11所示通信装置11可以包括：处理模块和通信模块。确定单元110，加密/解密单元111集成在处理模块中，发送单元112和接收单元113集成的通信模块中。处理模块用于对通信装置11的动作进行控制管理，例如，处理模块用于支持该通信装置11执行步骤402、步骤502、步骤602、步骤701、步骤801、步骤901以及执行本文所描述的技术的其它过程。通信模块用于支持通信装置11执行步骤403、步骤503、步骤603、步骤702、步骤802、步骤902以及与其他网络实体的通信，例如通过DRB与图1示出的接入网设备或其他网络实体之间相互通信。进一步的，该通信装置11还可以包括存储模块，用于存储通信装置11的程序代码和数据。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块可以是收发电路或通信接口等。存储模块可以是存储器。当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，图11所示通信装置11可以为图3所示通信装置。

图12示出了的一种通信装置12的组成示意图，该通信装置12可以为用户面网元或者用户面网元中的芯片或者片上系统。该通信装置12可以用于执行上述实施例中涉及的用户面网元的功能。作为一种可实现方式，图12所示通信装置12包括：接收单元120，确定单元121，解密/加密单元122；

接收单元120，用于从接入网设备接收密文；例如，接收单元120可以用于支持通信装置12执行步骤405、步骤505、步骤605、步骤704、步骤804、步骤904中接收第一密文的动作。

确定单元121，用于确定所述密文对应的第一参数；例如，确定单元121可以用于支持通信装置12执行步骤405、步骤505、步骤605中确定第一参数的动作。

解密/加密单元122，用于利用第一参数对密文进行解密，以得到明文。例如，解密/加密单元122可以用于支持通信装置12执行步骤405、步骤505、步骤605、步骤704、步骤804、步骤904中解密的动作。

进一步的，确定单元121，还可以用于确定待发送给终端的明文对应的第一参数。例如，确定单元121可以用于支持通信装置12执行步骤406、步骤506、步骤606、步骤705、步骤805、步骤805中确定第一参数的动作。

解密/加密单元122，还可以用于根据第一参数对待发送的明文进行加密得到密文。例如，解密/加密单元122可以用于支持通信装置12执行步骤406、步骤506、步骤606、步骤705、步骤805、步骤805中加密的动作。

如图12所示，通信装置12还可以包括：

发送单元123，用于通过接入网设备向终端发送密文。例如，发送单元123可以用于支持通信装置12执行步骤407、步骤507、步骤607、步骤706、步骤806、步骤906。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。本申请实施例提供的通信装置12，用于执行上述数据保护方法中用户面网元的功能，因此可以达到与上述数据保护方法相同的效果。

作为又一种可实现方式，图12所示通信装置12可以包括：处理模块和通信模块。确定单元121，解密/加密单元122可以集成在通信模块中，接收单元120、发送单元123可以集成在通信模块中。处理模块用于对通信装置12的动作进行控制管理。通信模块用于支持通信装置12执行步骤403、步骤503、步骤406、步骤508以及与其他网络实体的通信，例如与图1示出的远端设备或无线接入网设备或其他网络实体之间相互通信。进一步的，该通信装置12还可以包括存储模块，用于存储通信装置12的程序代码和数据。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块可以是收发电路或通信接口等。存储模块可以是存储器。当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，图12所示通信装置12可以为图3所示通信装置。

图13示出了的一种数据保护系统13的组成示意图，如图13所示，该数据保护系统中可以包括终端130、接入网设备131、用户面网元132。终端130与接入网设备131之间可以建立有DRB，接入网设备131与用户面网元132之间可以建立有PDU session。

其中，终端130具有上述通信装置11的功能，可以用于确定待发送的明文对应的第一参数，利用第一参数对所述明文进行加密，以得到密文，向接入网设备131发送密文。

接入网设备131，可以用于接收终端130发送的密文，向用户面网元132发送密文。

用户面网元132具有上述通信装置12的功能，可以用于从接入网设备131接收密文，确定所述密文对应的第一参数，利用第一参数对所述密文进行解密，以得到明文；其中，所述第一参数与终端130和用户面网元132间的用户面传输逻辑通道对应。

作为终端130向用户面网元132发送数据的逆过程，当用户面网元132向终端130下发数据时，各网元还具备下述功能：

用户面网元132，还可以用于确定待发送给终端130的明文对应的第一参数，根据第一参数对待发送的明文进行加密得到密文，向接入网设备131发送密文。

接入网设备131，可以用于接收用户面网元132发送的密文，向终端130发送密文。

终端130，还可以用于接收接入网设备131发送的密文，确定接收到的密文对应的第一参数，根据第一参数对接收的密文进行解密，以得到明文。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到该数据保护系统对应网元的功能描述，在此不再赘述。

基于该数据保护系统，终端130和用户面网元132之间可以根据与终端130和用户面网元132间的用户面传输逻辑通道对应的第一参数进行机密性保护，实现了终端130到用户面网元132的端对端保护，避免由接入网设备131对数据进行机密性保护时，接入网设备131与网络侧交互的用户面数据遭受攻击时，数据泄露，用户面数据传输的安全性降低的问题，提高了数据传输的安全性。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种数据保护方法，其特征在于，所述方法包括：

终端确定待发送的明文对应的第一参数；

所述终端利用第一参数对所述明文进行加密，以得到密文；

所述终端通过接入网设备向所述用户面网元发送所述密文。
根据权利要求1所述的方法，其特征在于，所述第一参数为协议数据单元会话标识PDU session ID或者服务质量流标识QFI；所述终端确定待发送的明文对应的第一参数，包括：

所述终端根据所述待发送的明文的内容信息确定所述第一参数。
根据权利要求1所述的方法，其特征在于，所述第一参数为数据无线承载标识DRB ID；所述终端确定待发送的明文对应的第一参数，包括：

所述终端根据所述待发送的明文的内容信息确定所述明文对应的QFI，根据所述明文对应的QFI、QFI以及DRB ID间的对应关系确定所述明文对应的DRB ID。
根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

所述终端向所述接入网设备发送所述第一参数；或者，

所述终端向所述接入网设备发送指示，所述指示用于指示所述第一参数。
一种数据保护方法，其特征在于，所述方法包括：

用户面网元接收接入网设备发送的密文；

所述用户面网元确定所述密文对应的第一参数；

所述用户面网元利用所述第一参数对所述密文进行解密，以得到明文。
根据权利要求5所述的方法，其特征在于，所述第一参数为服务质量流标识QFI；所述用户面网元确定所述密文对应的第一参数，包括：

所述用户面网元根据所述密文的五元组信息确定所述密文对应的QFI。
根据权利要求5所述的方法，其特征在于，所述第一参数为协议数据单元会话标识PDU session ID，所述用户面网元确定所述密文对应的第一参数，包括：

所述用户面网元确定所述密文对应的QFI，根据所述密文对应的QFI、QFI与PDU session ID间的对应关系确定所述密文对应的PDU session ID。
根据权利要求5所述的方法，其特征在于，所述第一参数为PDU session ID，所述用户面网元接收接入网设备发送的密文，包括：

所述用户面网元接收所述接入网设备通过N3链路发送的密文；

所述用户面网元确定所述密文对应的第一参数，包括：

所述用户面网元根据N3链路标识与PDU session ID的对应关系，将用于标识所述N3链路的N3链路标识所对应的PDU session ID确定所述密文对应的PDU session ID。
根据权利要求5所述的方法，其特征在于，所述第一参数为数据无线承载标识DRB ID，所述用户面网元确定所述密文对应的第一参数，包括：

所述用户面网元确定所述密文对应的QFI，根据所述密文对应的的QFI、QFI与DRB ID间的对应关系确定所述密文对应的DRB ID。
一种通信装置，其特征在于，所述通信装置包括：

确定单元，用于确定待发送的明文对应的第一参数；

加密/解密单元，用于利用第一参数对所述明文进行加密，以得到密文；

发送单元，用于通过接入网设备向所述用户面网元发送所述密文。
根据权利要求10所述的通信装置，其特征在于，所述第一参数为协议数据单元会话标识PDU session ID或者服务质量流标识QFI，所述确定单元，具体用于：

根据所述待发送的明文的内容信息确定所述第一参数。
根据权利要求10所述的通信装置，其特征在于，所述第一参数为数据无线承载标识DRB ID，所述确定单元，具体用于：

根据所述待发送的明文的内容信息确定所述明文对应的QFI，根据所述明文对应的QFI、QFI以及DRB ID间的对应关系确定所述明文对应的DRB ID。
根据权利要求10-12任一项所述的通信装置，其特征在于，

所述发送单元，还用于向所述接入网设备发送所述第一参数；或者，向所述接入网设备发送指示，所述指示用于指示所述第一参数。
一种通信装置，其特征在于，所述通信装置包括：

接收单元，用于从接入网设备接收密文；

确定单元，用于确定所述密文对应的第一参数；

解密/加密单元，用于利用所述第一参数对所述密文进行解密，以得到明文。
根据权利要求14所述的通信装置，其特征在于，所述第一参数为服务质量流标识QFI；所述确定单元，具体用于：

根据所述密文的五元组信息确定所述密文对应的QFI。
根据权利要求14所述的通信装置，其特征在于，所述第一参数为协议数据单元会话标识PDU session ID，所述确定单元，具体用于：

确定所述密文对应的QFI，根据所述密文对应的QFI、QFI与PDU session ID间的对应关系确定所述密文对应的PDU session ID。
根据权利要求14所述的通信装置，其特征在于，所述第一参数为PDU session ID，

所述接收单元，具体用于接收接入网设备通过N3链路发送的密文；

所述确定单元，具体用于根据N3链路标识与PDU session ID的对应关系，将用于标识所述N3链路的N3链路标识所对应的PDU session ID确定所述密文对应的PDU session ID。
根据权利要求14所述的通信装置，其特征在于，所述第一参数为数据无线承载标识DRB ID，所述确定单元，具体用于：

确定所述密文对应的QFI，根据所述密文对应的的QFI、QFI与DRB ID间的对应关系确定所述密文对应的DRB ID。