WO2020177632A1

WO2020177632A1 - 一种安全保护方法及装置

Info

Publication number: WO2020177632A1
Application number: PCT/CN2020/077250
Authority: WO
Inventors: 吴�荣
Original assignee: 华为技术有限公司
Priority date: 2019-03-01
Filing date: 2020-02-28
Publication date: 2020-09-10
Also published as: CN111641582B; CN111641582A

Abstract

本申请实施例提供一种安全保护方法及装置，以解决不同会话的用户面安全策略不同所带来的问题。所述方法包括：第一无线接入设备确定是否更新第一会话的用户面安全，若确定更新第一会话的用户面安全策略，则向终端发送第一通知消息，通知终端更新第一会话和第二会话的用户面安全策略，终端接收第一通知消息，更新第一会话和第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略和更新后的第二会话的用户面安全策略相同，同时，第一无线接入设备或者终端向第二无线接入设备发送更新第二会话的用户面安全策略的消息，使第二无线接入设备将第二会话的用户面安全策略更新为与第一会话的用户面安全策略相同。

Description

一种安全保护方法及装置

本申请要求于2019年03月01日提交国家知识产权局、申请号为201910157638.9、申请名称为“一种安全保护方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种安全保护方法及装置。

背景技术

在现有的移动通信架构中，为了提高数据传输的可靠性，终端可以与网络侧建立两条或者两条以上的传输通道，并在建立的两条或两条以上传输通道上传输相同的数据，以保证数据传输的可靠性。例如，提高超高可靠低时延通信(ultra-reliable and low-latency communication，URLLC)数据的传输可靠性的一种方式为：对URLLC数据进行复制，将复制后的URLLC数据通过另一条传输通道传输，如此，在一定程度上保证一条传输通道传输失败的情况下，另一条传输通道正常传输，保证了URLLC数据传输的可靠性。

在对数据进行冗余传输的过程中，为了保证数据传输的安全性，终端与基站之间可以基于用户面安全策略对传输的数据进行保护(如：机密性保护和/或完整性保护)。例如，核心网设备可以确定用户面安全策略，并将该用户面安全策略下发给基站，基站接收到用户面安全策略后确定其与终端间空口传输时的保护方式，并将该保护方式告知终端，使二者按照相同的保护方式相互传输用户面数据。例如，针对发往网络的用户面数据，终端执行数据保护操作(如：机密性保护和/或完整性保护)，基站在接收到保护后的数据后，执行相应的安全操作(如：解密和/或完整性验证)。针对发往终端的用户面数据，基站执行数据保护操作(如：机密性保护和/或完整性保护)，终端在接收到保护后的数据后，执行相应的安全操作(如：解密和/或完整性验证)。

但是，现实应用中存在这样一种场景：终端和网络之间有两条或者两条以上的传输通道传输相同的数据，如果这些传输通道对应的用户面安全策略不同，则可能使得接收端(终端或网络)经判断后得到的数据结果不一致，从而影响数据传输的安全性和可靠性。

发明内容

本申请实施例提供一种安全保护方法及装置，以解决不同会话的用户面安全策略不同所带来的问题。

为达到上述目的，本申请实施例提供如下技术方案：

第一方面，本申请实施例提供一种安全保护方法，包括：终端接收第一无线接入设备发送的用于通知终端第一会话和第二会话的用户面安全策略发生更新的第一通知消息，根据第一通知消息，更新第一会话的用户面安全策略以及第二会话的用户面安全策略；其中，更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略相同。

其中，可替换的，第一通知消息还可以仅用于通知第一会话或者第二会话的用户面安全策略发生更新。此外，本申请各实施例中的会话可以替换为会话包括的承载或者数据无线承载(data radio bearier，DRB)，即本申请实施例中，可以以会话为粒度，对会话的用户面安全策略进行更新，以保证不同会话的用户面安全策略一致；也可以以DRB为粒度，对DRB的用户面安全策略进行更新，以保证不同DRB的用户面安全策略一致，不予限制。下面以及具体实施方式中，仅以会话为粒度对本申请实施例提供的安全保护方法进行描述，以承载为粒度进行安全保护的过程可参照本申请实施例提供的方法。

基于第一方面所述的方法，可以在一个会话的用户面安全策略发生更新的情况下，将会话的用户面安全策略发生更新的事件通知给终端，以便终端更新该会话的用户面安全策略，以及，更新与该会话具有相同用户面安全策略的其他会话(如：与该会话传输相同的其他会话等)的用户面安全策略，以使得多条会话的用户面安全策略始终保持一致。

在一种可能的设计中，结合第一方面，终端接收第一无线接入设备发送的第一通知消息，包括：终端接收第一无线接入设备发送的RRC连接重配置消息；其中，RRC连接重配置消息包括第一通知消息。基于该可能的设计，终端可以通过RRC连接重配置流程接收第一无线接入设备下发的第一通知消息，借助于现有流程实现会话的用户面安全策略的更新，降低了信令开销。

在一种可能的设计中，结合第一方面或第一方面的任一可能的设计，所述方法还包括：终端接收第一无线接入设备发送的会话释放请求；其中，会话释放请求用于请求终端释放第一会话和第二会话，终端根据会话释放请求，释放第一会话和第二会话。可替换的，会话释放请求还可以为请求终端释放第一会话或者第二会话，如此，可以在不需要对会话进行安全保护的情况下，通知终端释放与该会话具有相同用户面安全策略的多条会话。

第二方面，本申请提供一种通信装置，该通信装置可以为终端或者终端中的芯片或者片上系统，该通信装置可以实现上述各方面或者各可能的设计中终端所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该通信装置可以包括：接收单元，更新单元；

接收单元，用于接收第一无线接入设备发送的第一通知消息；其中，所述第一通知消息用于通知所述通信装置第一会话和第二会话的用户面安全策略发生更新；

更新单元，用于根据所述接收单元接收的第一通知消息，更新所述第一会话的用户面安全策略以及所述第二会话的用户面安全策略；其中，更新后的所述第一会话的用户面安全策略与更新后的所述第二会话的用户面安全策略相同。

其中，该通信装置的具体实现方式可以参考第一方面或第一方面的任一种可能的设计提供的安全保护方法中终端的行为功能，在此不再重复赘述。因此，该提供的通信装置可以达到与第一方面或者第一方面的任一种可能的设计相同的有益效果。

第三方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该通信装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该通信装置执行如上述第一方面或者第一方面的任一种可能的设计所述的安全保护方法。

第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质为非易失性可读存储介质。该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面或者上述方面的任一种可能的设计所述的安全保护方法。

第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面或者上述方面的任一种可能的设计所述的安全保护方法。

第六方面，提供了一种芯片系统，该芯片系统包括处理器、通信接口，用于支持该芯片系统实现上述方面中所涉及的功能，例如处理器通过通信接口接收第一无线接入设备发送的用于通知所述通信装置第一会话和第二会话的用户面安全策略发生更新的第一通知消息；根据第一通知消息，更新所述第一会话的用户面安全策略以及所述第二会话的用户面安全策略；其中，更新后的所述第一会话的用户面安全策略与更新后的所述第二会话的用户面安全策略相同。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第三方面至第六方面中任一种设计方式所带来的技术效果可参见上述第一方面或者第一方面的任一种可能的设计所带来的技术效果，不再赘述。

第七方面，本申请实施例提供一种安全保护方法，包括：第一无线接入设备确定是否需要更新第一会话的用户面安全策略，当第一无线接入设备确定需要更新第一会话的用户面安全策略时，第一无线接入设备向终端发送用于通知终端第一会话和第二会话的用户面安全策略发生更新的第一通知消息，以使得终端更新第一会话和第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略相同；同时，第一无线接入设备向第二无线接入设备发送用于通知第二无线接入设备更新第二会话的用户面安全策略，以使得第二无线接入设备更新第二会话的用户面安全策略，使更新后的第二会话的用户面安全策略与更新后的第一会话的用户面安全策略相同。

基于第七方面的方法，第一无线接入设备在确定需要更新第一会话的用户面安全策略之后，通知终端更新第一会话和第二会话的用户面安全策略，以及通知第二无线接入设备更新第二会话的用户面安全策略，使更新后得第一会话的用户面安全策略与更新后的第二会话的用户面安全策略相同。

在一种可能的设计中，结合第七方面，第一无线接入设备确定是否需要更新第一会话的用户面安全策略，包括：第一无线接入设备接收更新信息，当更新信息用于指示第一会话的用户面安全策略发生更新时，第一无线接入设备根据更新信息，确定需要更新第一会话的用户面安全策略。基于该可能的设计，第一无线接入设备可以在核心网网元的指示下，确定需要更新第一会话的用户面安全策略，无需第一无线接入设备自身决策，降低了第一无线接入设备的计算复杂度和功耗。

在一种可能的设计中，结合第七方面，第一无线接入设备确定是否需要更新第一会话的用户面安全策略，包括：第一无线接入设备根据第一无线接入设备的负载状态、第一无线接入设备的配置情况、第一无线接入设备当前支持的传输数据速率中的一种或者多种信息，确定是否需要更新第一会话的用户面安全策略。基于该可能的设计，第一无线接入设备可以根据自身情况确定是否需要更新第一会话的用户面安全策略，无需第一无线接入设备与核心网网元交互，在核心网网元的指示下确定是否需要更新第一会话的用户面安全策略，降低信令开销。

在又一种可能的设计中，结合第七方面或第七方面的任一可能的设计，第一无线接入设备向终端发送第一通知消息，包括：第一无线接入设备向终端发送RRC连接重配置消息；其中，RRC连接重配置消息包括第一通知消息。基于该可能的设计，第一无线接入设备可以借助现有RRC连接重配置流程向终端发送第一通知消息，无需新增交互信令，降低了信令开销。

在另一种可能的设计中，结合第七方面或第七方面的任一可能的设计，所述方法还包括：第一无线接入设备确定自身不支持对第一会话上传输的数据进行安全保护，上报用于指示第一无线接入设备不支持对第一会话上传输的数据进行安全保护的错误指示，以及，向终端发送会话释放请求；其中，会话释放请求用于请求终端释放第一会话和第二会话。基于该可能的设计，可以在第一无线接入设备不支持对会话进行安全保护的情况下，通知终端释放与该会话具有相同用户面安全策略的多条会话，以及向核心网网元上报错误指示，以便核心网网元根据该错误指示采取相应措施，保证数据正常传输。

第八方面，本申请提供一种通信装置，该通信装置可以为第一无线接入设备或者第一无线接入设备中的芯片或者片上系统，该通信装置可以实现上述各方面或者各可能的设计中第一无线接入设备所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该通信装置可以包括：确定单元，发送单元；

确定单元，用于确定是否需要更新第一会话的用户面安全策略；

发送单元，用于当所述确定单元确定需要更新所述第一会话的用户面安全策略时，向终端发送第一通知消息；其中，所述第一通知消息用于通知所述终端所述第一会话和第二会话的用户面安全策略发生更新；以及，向第二无线接入设备发送第二通知消息；其中，所述第二通知消息用于通知所述第二无线接入设备更新所述第二会话的用户面安全策略。

其中，通信装置的具体实现方式可以参考第七方面或第七方面的任一种可能的设计提供的安全保护方法中第一无线接入设备的行为功能，在此不再重复赘述。因此，该提供的通信装置可以达到与第七方面或者第七方面的任一种可能的设计相同的有益效果。

第九方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该通信装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该通信装置执行如上述第七方面或者第七方面的任一种可能的设计所述的安全保护方法。

第十方面，提供了一种计算机可读存储介质，该计算机可读存储介质可以为非易失性可读存储介质。该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第七方面或者上述方面的任一种可能的设计所述的安全保护方法。

第十一方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第七方面或者上述方面的任一种可能的设计所述的安全保护方法。

第十二方面，提供了一种芯片系统，该芯片系统包括处理器、通信接口，用于支持该芯片系统实现上述方面中所涉及的功能，例如处理器确定是否需要更新第一会话的用户面安全策略，当确定需要更新所述第一会话的用户面安全策略时，通过通信接口向终端发送用于通知所述终端所述第一会话和第二会话的用户面安全策略发生更新的第一通知消息，以及，向第二无线接入设备发送用于通知所述第二无线接入设备更新所述第二会话的用户面安全策略的第二通知消息。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第九方面至第十二方面中任一种设计方式所带来的技术效果可参见上述第七方面或者第七方面的任一种可能的设计所带来的技术效果，不再赘述。

第十三方面，本申请实施例提供一种安全保护方法，包括：第一网元确定是否需要更新第一会话的用户面安全策略；第一网元发送更新信息；其中，更新信息用于指示第一会话和/或第二会话的用户面安全策略发生更新。

其中，第一网元可以为移动性管理网元或者会话管理网元。

基于第十三方面，可以由核心网网元确定是否需要更新第一会话的用户面安全策略，并将更新信息下发下去，以便终端或者无线接入设备根据核心网网元下发的更新信息更新第一会话和第二会话的用户面安全策略。

在一种可能的设计中，结合第十三方面，第一网元确定是否需要更新第一会话的用户面安全策略，包括：第一网元根据下述任一种或者多种信息，确定是否更新第一会话的用户面安全策略：网络侧的负载、运营商配置、数据网络的速率要求、统一数据管理网元的速率要求、策略控制功能的速率要求、应用功能的触发、第一无线接入设备的负载状态、第一无线接入设备的配置情况。

基于该可能的设计，第一网元可以根据网络侧负载、速率要求、无线接入设备的情况等信息确定是否需要更新第一会话的用户面安全策略。

第十四方面，本申请提供一种通信装置，该通信装置可以为第一无线接入设备或者第一无线接入设备中的芯片或者片上系统，该通信装置可以实现上述各方面或者各可能的设计中第一无线接入设备所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该通信装置可以包括：确定单元，发送单元；

发送单元，用于发送更新信息；其中，所述更新信息用于指示所述第一会话和/或第二会话的用户面安全策略发生更新。

其中，通信装置的具体实现方式可以参考第十三方面或第十三方面的任一种可能的设计提供的安全保护方法中第一网元的行为功能，在此不再重复赘述。因此，该提供的通信装置可以达到与第十三方面或者第十三方面的任一种可能的设计相同的有益效果。

第十五方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该通信装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该通信装置执行如上述第十三方面或者第十三方面的任一种可能的设计所述的安全保护方法。

第十六方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第十三方面或者上述方面的任一种可能的设计所述的安全保护方法。

第十七方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第十三方面或者上述方面的任一种可能的设计所述的安全保护方法。

第十八方面，提供了一种芯片系统，该芯片系统包括处理器、通信接口，用于支持该芯片系统实现上述方面中所涉及的功能，例如处理器确定是否需要更新第一会话的用户面安全策略，发送更新信息；其中，所述更新信息用于指示所述第一会话和/或第二会话的用户面安全策略发生更新。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第十五方面至第十八方面中任一种设计方式所带来的技术效果可参见上述第十三方面或者第十三方面的任一种可能的设计所带来的技术效果，不再赘述。

第十九方面，本申请提供一种安全保护系统，包括：如第二方面至第六方面所述的终端、如第八方面至第十二方面所述的第一无线接入设备、如第十四方面至第十八方面所述的第一网元。

附图说明

图1为本申请实施例提供的通信系统框架示意图；

图2为本申请实施例提供的一种通信装置的组成示意图；

图3为本申请实施例提供的一种安全保护方法流程图；

图4为本申请实施例提供的又一种安全保护方法流程图；

图5为本申请实施例提供的再一种安全保护方法流程图；

图6为本申请实施例提供的再一种安全保护方法流程图；

图7为本申请实施例提供的再一种安全保护方法流程图；

图8为本申请实施例提供的再一种安全保护方法流程图；

图9为本申请实施例提供的再一种安全保护方法流程图；

图10为本申请实施例提供的一种通信装置100的组成示意图；

图11为本申请实施例提供的一种通信装置110的组成示意图；

图12为本申请实施例提供的一种通信装置120的组成示意图；

图13为本申请实施例提供的一种安全保护系统的组成示意图。

具体实施方式

首先，为了便于理解本申请实施例，对本申请实施例涉及的名词进行描述：

用户面安全策略(user plane security policy)：也可以称为用户面安全实施信息(user plane enforcement information)，是一种安全指示(security indication)，比如：可以为用户面安全保护提供指示。用户面安全策略主要用于规定传输通道上传输的数据是否需要加密和/或完整性保护，还可以用于规定加密的密钥长度(如：规定机密性保护时加密的密钥长度为256bits和/或完整性保护时保护密钥长度为256bits)，密钥更新时间等等。

本申请实施例中，可以存在下述三种用户面安全策略：需要(required)、倾向于(preferred)、不需要(not need)。其中，required表示需要对会话上传输的数据做保护，preferred表示倾向于对会话上传输的数据做保护，not need表示不需要对会话上传输的数据做保护。

其中，用户面安全策略可以与一个或者多个传输通道对应，用于表征一个或者多个传输通道上传输的数据是否需要保护，不同传输通道的用户面安全策略可以相同，也可以不同，不予限制。本申请实施例中，仅以系统要求多个不同传输通道的用户面安全策略需要保持一致为例进行描述。

传输通道：可以是指终端和服务网络之间的一种数据连接，如：可以指终端通过无线接入设备、用户面网元接入到数据网络(data network，DN)的传输链路。示例性的，传输通道可以指会话或者会话包括的数据无线承载(data radio bearier，DRB)或者一种终端和服务网络之间传输用户面数据的承载(bearer)。其中，在第五代(5th generation，5G)通信系统中，会话可以称为协议数据单元(protocol data unit，PDU)会话。在第四代(4th generation，4G)通信系统中，会话可以为演进分组系统承载(evolved packet system bearer，EPS bearer)或者可以为用于传输用户面数据的其他承载。需要说明的是，随着通信技术的发展，在未来的通信系统中，会话可能会有其他的名称，本申请实施例对此不作限制。

其中，一条会话可以包括一个或者多个DRB，同一会话包括的不同DRB的用户面安全策略可以相同或者不同，不同会话包括的DRB的用户面安全策略也可以相同或者不同，不予限制。本申请各实施例中，可以以会话为粒度，对会话的用户面安全策略进行更新，以保证不同会话的用户面安全策略一致；也可以以会话包括的DRB为粒度，对DRB的用户面安全策略进行更新，以保证不同DRB的用户面安全策略一致；也可以为bearer粒度，对bearer的用户面安全策略进行更新，以保证不同的Bearer的用户面安全策略一致，不予限制。下面仅以会话为粒度对本申请实施例提供的安全保护方法进行描述，以DRB和bearer为粒度进行安全保护的过程可参照本申请实施例提供的方法。

下面结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

本申请实施例提供的安全保护方法可以应用于第四代4G通信系统，如：长期演进(long term envolution，LTE)系统，还可以应用于5G通信系统，如：新无线(new radio，NR)系统或者其他系统，不予限制。下面仅以图1所示通信系统为例，对本申请实施例提供的安全保护方法进行描述。

如图1所示，该通信系统可以包括：终端、多个无线接入设备(如图1中的无线接入设备1、无线接入设备2、无线接入设备3等)、多个用户面网元(如图1中的用户面网元1、用户面网元2、用户面网元3等)、核心网以及数据网络(data network，DN)。核心网可以包括移动性管理网元、多个会话管理网元、统一数据管理网元以及策略控制网元等。

其中，图1中的终端可以称为用户设备(user equipment，UE)或者终端设备(terminal device)，终端可以包括但不限于蜂窝电话、无绳电话、会话发起协议(session initiation protocol，SIP)电话、智能电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、车载终端、手机(mobile phone)、平板电脑或带无线收发功能的电脑、智能加油站、智能信号灯等和/或其它能够与无线接入设备通信的设备。本申请实施例中，用于实现终端设备的功能的装置可以是终端设备，也可以是能够支持终端设备实现该功能的装置，例如芯片系统，不予限制。下面仅以用于实现终端设备的功能的装置是终端设备为例，描述本申请实施例提供的技术方案。

在图1所示系统中，终端可以接入一个或者多个无线接入设备，通过一个或者多个会话接入DN，不同会话可以传输相同数据，不同会话的用户面安全策略可以相同。本申请实施例中，会话可以指终端可以经过无线接入设备、用户面网元接入到DN的传输通道。例如，如图1所示，终端可以通过会话1(终端->无线接入设备1->用户面网元1)接入DN，通过会话2(终端->无线接入设备2->用户面网元2)接入DN，通过会话3(终端->无线接入设备3->用户面网元3)接入DN。

其中，图1中的无线接入设备主要用于实现物理层功能、资源调度和管理、终端的接入控制以及移动性管理等功能，无线接入设备可以与用户面网元间建立通信链路，通过该通信链路传递终端与服务网络间的数据。其中，不同无线接入设备可以与不同用户面网元连接，也可以与同一用户面网元连接，即将两个或者两个无线接入设备接入同一用户面网元，不予限制。示例性，无线接入设备可以为接入网(access network，AN)/无线接入网(radio access network，RAN)，由多个AN/RAN节点组成，AN/RAN节点可以为：接入节点(access point，AP)、基站(nodeB，NB)、演进型基站(evolved nodeB，eNB)/4G LTE基站、下一代基站(NR nodeB，gNB)或5G基站、增强型下一代基站(enhanced gNB，en-gNB)、下一代演进型基站(next generation evolved nodeB，ng-eNB)、收发点(transmission receive point，TRP)、传输点(transmission point，TP)或某种其它接入节点等。无线接入设备中的功能模块可以分离开来，如：无线接入设备可以包括一个中心(控制)单元(central unit，CU)和一个或者多个分布式单元(distributed unit，DU)。

本申请实施例中，用于实现无线接入设备的功能的装置可以是无线接入设备，也可以是无线接入设备中能够支持无线接入设备实现该功能的装置。例如：无线接入设备可以为基站中的CU，也可以为独立部署的基站，不予限制。当终端接入的多个无线接入设备独立部署在图1所示系统时，终端接入的多个无线接入设备可以包括主(master)无线接入设备和辅(secondary)无线接入设备，主无线接入设备与辅无线接入设备可以接入同一用户面网元，也可以接入不同的用户面网元，不予限制。其中，主无线接入设备可以指终端接入的无线接入设备中与核心网网元(如：移动性管理网元)直接交互的无线接入设备，辅无线接入设备可以指终端接入的无线接入设备中，通过主无线接入设备与核心网网元(如：移动性管理网元)交互的无线接入设备。例如，终端可以同时接入基站1和基站2，其中，若基站1与移动性管理网元直接交互，则基站1可以为主基站，基站2可以为辅基站。

其中，图1中的用户面网元可以为4G通信系统中的用户面网关(user plane gateway)、服务网关(serving gateway，SGW)或者分组网关(packet gateway,PGW)，还可以为5G通信系统中的用户面功能(user plane function，UPF)等。用户面网元可以作为用户面传输逻辑通道上的锚点，主要用于完成用户面数据的路由转发等功能，如：与终端间建立通道(即用户面传输逻辑通道)，在该通道上转发终端和DN之间的数据包以及负责对终端的数据报文过滤、数据传输/转发、速率控制、生成计费信息等。

其中，图1中的DN可包含网络设备(服务器或路由器等设备)，主要用于为终端提供多种数据业务服务。

其中，图1中的移动性管理网元可以为接入和移动性管理功能(access and mobility management function，AMF)，主要用于实现对终端的移动进行管理。示例性的，移动性管理网元可以通过服务化接口或者下一代(next generation)接口与会话管理网元相互通信。

其中，图1中的会话管理网元可以为会话管理功能(session management function，SMF)会话管理网元可以用于实现会话(session)的建立、释放和更改等功能。一个会话管理网元可以用于管理一个或者多个用户面网元，也可以对应管理一个用户面网元。例如，如图1所示，会话管理网元1可以用于管理用户面网元1和用户面网元2，用于实现会话1(终端->无线接入设备1->用户面网元1)和会话2(终端->无线接入设备2->用户面网元2)的建立、释放和更改等功能；会话管理网元2可以用于管理用户面网元3，用于实现会话3(终端->无线接入设备3->用户面网元3)的建立、释放和更改等功能。

其中，图1中的策略控制网元可以为策略控制功能(policy control function，PCF)。策略控制网元可以支持统一的策略框架来管理网络行为，又可以提供策略规则给控制面网元并使其使用，还可以获取与签约信息有关的策略信息和决策等。

其中，图1中的统一数据管理网元可以为统一数据管理(unified data management，UDM)，统一数据管理可以用于存储和管理终端、应用服务器以及其他网络设备的数据等。例如，对于终端用户的签约数据而言，统一数据管理网元中可以包括逻辑模块，该逻辑模块可以用于存储终端用户的签约数据，如：可以为5G通信系统中的统一数据存储(user data repository，UDR)模块。

在图1所示系统中，在系统要求多个不同会话的用户面安全策略相同的情况下，特别是多个不同会话进行冗余传输，即多个不同会话传输相同的用户面数据时，为了保证该不同会话的用户面安全策略相同，当确定某个会话的用户面安全策略发生更新时，无线接入设备可以通知终端该会话的用户面安全策略发生更新，以便终端根据接收到的通知消息，更新会话的用户面安全策略；同时，无线接入设备可以通知其他无线接入设备，使其他无线接入设备更新其建立的会话的用户面安全策略，如此，使得不同会话的用户面安全策略保持一致，符合系统要求。具体的，该过程可参照图3～图6所示方法对应的实施例中所述。

需要说明的是，图1仅为示例性架构图，除图1中所示功能单元之外，该通信系统还可以包括管理网元、操作和管理(operation and management，O&M)网元以及其他网元等，本申请实施例对此不进行限定。此外，上述图1所示系统中网元的数量、各个网元的名字、各个参数的命名只是一个示例，本申请实施例不限定网元的数量、网元的名字以及各个参数的名字，网元的名字以及各个参数的名字还可以为其他名字。

具体实现中，图1中的终端、无线接入设备以及会话管理网元等以及移动性管理网元可以包括图2所示部件。图2为本申请实施例提供的一种通信装置200的组成示意图，该通信装置200用于实现本申请实施例提供的安全保护方法。如图2所示，该通信装置200包括至少一个处理器201，通信线路202，以及至少一个通信接口203；进一步的，还可以包括存储器204。其中，处理器201，存储器204以及通信接口203三者之间可以通过通信线路202连接。在本申请实施例中，至少一个可以是一个、两个、三个或者更多个，本申请实施例不做限制。

在本申请实施例中，处理器201可以是中央处理器(central processing unit，CPU)，通用处理器网络处理器(network processor，NP)、数字信号处理器(digital signal processing，DSP)、微处理器、微控制器、可编程逻辑器件(programmable logic device，PLD)或它们的任意组合。处理器还可以是其它任意具有处理功能的装置，例如电路、器件或软件模块。

在本申请实施例中，通信线路202可包括通路，用于在通信装置包括的部件之间传送信息。

在本申请实施例中，通信接口203用于与其他设备或通信网络通信(如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等)。通信接口203可以是模块、电路、收发器或者任何能够实现通信的装置。

在本申请实施例中，存储器204可以是只读存储器(read-only memory，ROM)或可存储静态信息和/或指令的其他类型的静态存储设备，也可以是随机存取存储器(random access memory，RAM)或者可存储信息和/或指令的其他类型的动态存储设备，还可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

一种可能的设计中，存储器204可以独立于处理器201存在，即存储器204可以为处理器201外部的存储器，此时，存储器204可以通过通信线路202与处理器201相连接，用于存储指令或者程序代码。处理器201调用并执行存储器204中存储的指令或程序代码时，能够实现本申请下述实施例提供的安全保护方法。又一种可能的设计中，存储器204也可以和处理器201集成在一起，即存储器204可以为处理器201的内部存储器，例如，该存储器204为高速缓存，可以用于暂存一些数据和/或指令信息等。

作为一种可实现方式，处理器201可以包括一个或多个CPU，例如图2中的CPU0和CPU1。作为另一种可实现方式，通信装置200可以包括多个处理器，例如图2中的处理器201和处理器207。作为再一种可实现方式，通信装置200还可以包括输出设备205和输入设备206。示例性地，输入设备206可以是键盘、鼠标、麦克风或操作杆等设备，输出设备205可以是显示屏、扬声器(speaker)等设备。

需要说明的是，上述的通信装置200可以是一个通用设备或者是一个专用设备。例如，通信装置200可以是台式机、便携式电脑、网络服务器、PDA、移动手机、平板电脑、无线终端、嵌入式设备、芯片系统或有图2中类似结构的设备。本申请实施例不限定通信装置200的类型。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。

下面结合图1所示系统，对本申请实施例提供的安全保护方法进行描述。其中，下述方法实施例中提及的各个设备均可以具有图2所示组成部分，不再赘述。此外，本申请下述实施例中各个网元间交互的消息的名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请实施例对此不作具体限定。此外，本申请实施例中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述对象的特定顺序，本申请实施例对“第一”和“第二”所表示的不同对象的属性不做限定。

在执行下述实施例之前，终端已建立有多条会话，如：终端已建立有两条以及两条以上会话，且系统要求这些会话的用户面安全策略必须是相同的，这些会话可以用于传输相同的数据(或者用户面数据)或者用于传输不同的数据，不予限制。每个会话可以由会话的标识(session identity，session ID)唯一标识，每个会话的ID与会话的用户面安全策略间存在对应关系，终端以及第一无线接入设备可以获取到该对应关系。下面以终端建立有两条会话，且系统要求这两条会话的用户面安全策略相同为例，对本申请实施例提供的安全保护方法进行描述，类似的，终端建立两条以上会话时，其处理过程可参照本申请实施例所述。

图3为本申请实施例提供的一种安全保护方法，如图3所示，该方法可以包括：

步骤301：第一无线接入设备确定是否需要更新第一会话的用户面安全策略，若第一无线接入设备确定需要更新第一会话的用户面安全策略，则执行步骤302～步骤305。

其中，第一无线接入设备可以为终端接入的无线接入设备中，与核心网网元(如：移动性管理网元)直接交互的设备，如：第一无线接入设备可以为图1中的无线接入设备1。或者，第一无线接入设备也可以为终端接入的无线接入设备中，未与移动性管理网元直接交互的设备，如：可以为通过其他无线接入设备与移动性管理网元交互的设备。例如，第一无线接入设备还可以为图1中的无线接入设备2或者无线接入设备3等，不予限制。

其中，第一会话可以为已建立的、终端与网络间的传输通道，该传输通道可以经过第一无线接入设备。例如，以第一无线接入设备为无线接入设备1为例，第一会话可以为已建立的、终端->接入网设备1->用户面网元1->DN的传输通道。

在本申请各实施例中，更新第一会话的用户面安全策略可以指：将第一会话的用户面安全策略从第一策略更新为第二策略，第一策略与第二策略不同，第一策略、第二策略可以为required、preferred、not need三种策略中的任一策略。

在一种示例中，第一无线接入设备确定是否更新第一会话的用户面安全策略可以包括：第一无线接入设备接收来自移动性管理网元的更新信息，其中，更新信息可以用于指示第一会话和/或第二会话的用户面安全策略是否发生更新，当更新信息用于指示第一会话和/或第二会话的用户面安全策略发生更新时，第一无线接入设备根据更新信息确定需要更新第一会话的用户面安全策略。

其中，当更新信息用于指示第一会话的用户面安全策略发生更新时，一种可能的设计中，更新信息可以包括第一会话的标识(session identity，session ID)，还可以包括新的第一会话的用户面安全策略、更新指示以及其他信息。该更新指示可以为一个标识符，该标识符可以用于标识第一会话的用户面安全策略是否需要更新。如：该标识符可以为二进制比特数0或1，其中，“0”表示第一会话不需要更新，“1”表示第一会话需要更新。例如，当第一无线接入设备接收到的更新信息包括会话1以及标识符“1”时，第一无线接入设备可以根据该更新信息确定会话1的用户面安全策略需要发生更新，并将旧的第一会话的用户面安全策略替换为该更新信息包括的用户面安全策略。在该可能的设计中，更新信息包括的其他信息可以用来判断第一会话的用户面安全策略，如：其他信息可以包括但不限于切片ID、终端对于完整性保护支持的最大支持数据传输速率、DN网络对于第一会话期望的数据速率等信息。

又一种可能的设计中，更新信息可以包括第一会话的标识(session identity，session ID)、更新指示以及其他信息。其中，更新指示如上所述，可以用于标识第一会话的用户面安全策略是否需要更新，更新信息包括的其他信息可以用来判断第一会话的用户面安全策略，如：其他信息可以包括但不限于切片ID、终端对于完整性保护支持的最大支持数据传输速率、DN网络对于第一会话期望的数据速率等信息。如果第一无线接入设备接收到的更新信息包括第一会话的ID以及更新指示，而未包括新的第一会话的用户面安全策略，且更新指示用于指示第一会话的用户面策略需要更新，则第一无线接入设备可以根据切片ID、终端对于完整性保护支持的最大支持数据传输速率、DN网络对于第一会话期望的数据速率、第一无线接入设备当前能支持的数据速率、本地配置、本地策略等判断新的第一会话的用户面安全策略。

在该示例中，移动性管理网元可以确定第一会话的用户面安全策略是否需要更新，并根据确定结果向第一无线接入设备发送更新信息；或者，会话管理网元确定第一会话的用户面安全策略是否需要更新，并根据确定结果向移动性管理网元发送更新信息，移动性管理网元接收到更新信息后，转发给第一无线接入设备；其中，该会话管理网元可以是为终端建立第一会话的网元。例如，如图1所示，会话管理网元1为终端建立会话1(终端->接入网设备1->用户面网元1->DN)，会话管理网元建立会话1后，可以确定第一会话的用户面安全策略是否需要更新，根据确定结果向移动性管理网元发送更新信息，移动性管理网元接收到该更新信息后，将接收到的更新信息转发给无线接入设备1。

在该示例中，移动性管理网元或者会话管理网元可以根据下述一种或多种信息确定第一会话的用户面安全策略是否需要更新：网络侧统计的数据流量情况、运营商配置或策略、DN期望或能接受的速率要求、统一数据管理网元的速率要求、策略控制功能的速率要求、应用功能的触发、第一无线接入设备的负载状态、第一无线接入设备的配置情况以及第一无线接入设备当前支持的传输数据速率、终端当前支持的用户面数据传输速率、终端支持的最大用户面数据传输速率、切片支持的速率要求。

需要说明的是，在该示例中，第一无线接入设备需要通过与会话管理网元交互确定是否需要更新第一会话的用户面安全策略，因此，在该示例中，第一无线接入设备必须为与移动性管理网元直接交互的设备，即为终端的主无线接入设备。例如，第一无线接入设备为图1中的无线接入设备1。此外，在该示例中，第一无线接入设备还可以根据更新信息确定更新后的第一会话的用户面安全策略，其中，若会话管理网元下发给第一无线接入设备的第一会话的用户面安全策略为preferred，则第一无线接入设备可以自身配置等信息自行判断是否需要开启数据保护，即自行决定第一会话的用户面安全策略为required或者not need或者激活(activated)或者去激活(deactivated)等，其中，若第一会话的用户面安全策略为activated，则表示可以对第一会话上传输的数据进行加密性和/或完整性保护，若第一会话的与用户面安全策略为deactivated，则表示不能对第一会话上传输的数据进行加密性和/或完整性保护。

在又一种示例中，第一无线接入设备确定是否需要更新第一会话的用户面安全策略可以包括：第一无线接入设备根据第一无线接入设备的当前负载状态、第一无线接入设备的配置情况、本地配置、自身策略、切片信息、第一无线接入设备当前支持的用户面数据传输速率中的一种或者多种信息，确定是否需要更新第一会话的用户面安全策略。

其中，第一无线接入设备的当前负载状态可以包括但不限于第一无线接入设备的无线资源使用情况是否已经无法满足终端接入、第一无线接入设备连接的终端的数量等达到的状态。第一无线接入设备的配置情况和本地配置可以指某个特定区域的用户面安全策略的特殊配置，比如都不开完保等。第一无线接入设备当前支持的用户面数据传输速率可以为支持第一无线接入设备到终端的下行用户面数据速率。自身策略可以为根据第一无线接入设备当前的状态，比如要进入省电状态而关掉完整性保护等做的决策。

需要说明的是，在又一种示例中，第一无线接入设备可以为其他接入设备，如可以为图1中的无线接入设备2或无线接入设备3等，不予限制。

例如，假设终端建立的会话1为：终端->无线接入设备1->用户面网元1->DN，会话1当前的用户面安全策略为required，后续，随着无线接入设备1下挂的终端的数量的增加，无线接入设备1的负载增加，可能会导致无线接入设备1无法对该会话1上传输的数据进行完整性保护，此时，无线接入设备1可以确定更新会话1的用户面安全策略，且更新后的会话1的用户面安全策略为not need。

步骤302：第一无线接入设备向终端发送第一通知消息。

其中，第一通知消息可以用于通知终端第一会话和第二会话的用户面安全策略发生更新；或者，第一通知消息可以用于通知终端第一会话的用户面安全策略发生更新，或者，第一通知消息可以用于通知终端第二会话的用户面安全策略发生更新。

以第一通知消息用于通知终端第一会话的用户面安全策略发生更新为例，第一通知消息可以包括第一会话的ID、更新后的第一会话的用户面安全策略、第一会话包括的DRB的ID、指示信息中的一种或者多种信息，该指示信息可以用于指示第一会话的用户面安全策略发生更新。例如，第一通知信息可以包括第一会话的ID以及更新后的第一会话的用户面安全策略，或者，第一通知消息可以包括第一会话的ID、指示信息以及更新后的第一会话的用户面安全策略；或者，第一通知消息可以包括第一会话包括的DRB的ID、以及更新后的第一会话的用户面安全策略；或者，第一通知消息可以包括第一会话包括的DRB的ID、指示信息以及更新后的第一会话的用户面安全策略，或者，第一通知消息可以包括第一会话的ID、第一会话包括的所有DRB的ID以及更新后的第一会话的用户面安全策略，或者，第一通知消息可以包括第一会话的ID、第一会话包括的所有DRB的ID、指示信息以及更新后的第一会话的用户面安全策略等等，不予限制。

示例性的，第一无线接入设备可以向终端发送无线资源控制(radio resource control，RRC)连接重配置(connection reconfiguration)消息(或者称为RRC重配置(RRC reconfiguration)消息)。其中，RRC连接重配置消息可以包括但不限于第一通知消息，还可以包括其他消息，不予限制。

步骤303：终端接收第一通知消息，根据第一通知消息，更新第一会话的用户面安全策略以及第二会话的用户面安全策略。

其中，更新后的第一会话的用户面安全策略和更新后的第二会话的用户面安全策略相同。

在一种示例中，第一通知消息可以包括第一会话的ID、更新后的第一会话的用户面安全策略，则终端根据第一通知消息更新第一会话的用户面安全策略和第二会话的用户面安全策略可以包括：终端根据第一会话的ID获取到更新前的第一会话的用户面安全策略，比较更新前第一会话的用户面安全策略与接收到的第一会话的用户面安全策略，若二者不同，则确定第一会话的用户面安全策略发生更新，将获取到的更新前的第一会话的用户面安全策略替换为接收到的第一会话的用户面安全策略，同时，找到要求与第一会话的用户面策略相同的第二会话，将第二会话的用户面安全策略更新为与第一会话的用户面安全策略相同。如：可以找到与第一会话进行冗余数据传输的第二会话，将与第一会话进行冗余数据传输的第二会话的用户面安全策略更新为与第一会话的用户面安全策略相同。

在又一种示例中，第一通知消息可以包括第一会话的ID、指示信息以及更新后的第一会话的用户面安全策略，终端根据第一通知消息更新第一会话的用户面安全策略和第二会话的用户面安全策略可以包括：终端根据第一会话的ID以及指示信息确定第一会话的用户面安全策略发生更新，获取到更新前的第一会话的用户面安全策略，将获取到的第一会话的用户面安全策略替换为第一通知消息包括的第一会话的用户面安全策略，并获取到更新前的第二会话的用户面安全策略，将获取到的第二会话的用户面安全策略更新为与第一会话的用户面安全策略相同。如：可以找到与第一会话进行冗余数据传输的第二会话，将与第一会话进行冗余数据传输的第二会话的用户面安全策略更新为与第一会话的用户面安全策略相同。

在又一种示例中，第一通知消息可以包括第一会话ID、第一会话包括的所有DRB的ID以及更新后的第一会话的用户面安全策略，终端根据第一通知消息更新第一会话的用户面安全策略和第二会话的用户面安全策略可以包括：终端根据第一会话的ID以及第一会话包括的所有DRB的ID获取更新前的第一会话的所有DRB的用户面安全策略，将获取到的第一会话的所有DRB的用户面安全策略替换为接收到的第一会话的用户面安全策略，并获取到更新前的第二会话的所有DRB的用户面安全策略，将获取到的第二会话的所有DRB的用户面安全策略更新为与第一会话的用户面安全策略相同。如：可以找到与第一会话进行冗余数据传输的第二会话，将与第一会话进行冗余数据传输的第二会话包括的所有DRB的用户面安全策略更新为与第一会话的用户面安全策略相同。

例如，假设终端获取当前会话1、会话2的用户面安全策略为required，若第一无线接入设备发送给终端的第一通知消息包括的用户面安全策略为preferred，则终端接收到第一通知消息后，可以将会话1、会话2的用户面安全策略更新为：preferred。

步骤304：第一无线接入设备向第二无线接入设备发送第二通知消息。

其中，第二无线接入设备可以为第二会话上的无线接入设备。

其中，第二通知消息可以用于通知第二无线接入设备更新第二会话的用户面安全策略，第二通知消息可以包括第二会话的ID、更新后的第二会话的用户面安全策略。

示例性的，第一无线接入设备中有第一会话的ID、与第一会话的用户面安全策略相同的会话的ID、与第一会话的用户面安全策略相同的会话的ID所对应的无线接入设备的信息的对应关系，以及，与第一会话的用户面安全策略相同的会话(如：与第一会话进行冗余数据传输的会话)的ID。当第一会话的用户面策略发生更新时，第一无线接入设备可以根据该对应关系，获取第二无线接入设备的信息，根据第二无线接入设备的信息并向第二无线接入设备发送第二通知消息。其中，第二无线接入设备的信息可以用于标识第二无线接入设备，如：第二无线接入设备的信息可以为第二无线接入设备的因特网协议(internet protocol，IP)地址或者第二无线接入设备的媒体接入控制(media access control，MAC)地址、小区ID、以及可以是其他能够查找到第二无线接入设备的标识(比如Xn口上的应用层协议ID(Application Protocol Identity，APID)等等，不予限制。其中，Xn口可以为第一无线接入设备和第二无线接入设备之间的接口。

例如，如图1所示，在系统要求会话1(终端->无线接入设备1->用户面网元1->DN)与会话2(终端->无线接入设备2->用户面网元2->DN)的用户面安全策略相同的情况下，若会话1的用户面安全策略发生更新，则无线接入设备1需要向无线接入设备2发送通知消息，通知无线接入设备2更新会话2的用户面安全策略，或者，通知无线接入设备1会话1的用户面安全策略发生更新。

步骤305：第二无线接入设备接收第二通知消息，根据第二通知消息，更新第二会话的用户面安全策略。

在一种示例中，第二通知消息用于通知第二无线接入设备更新第二会话的用户面安全策略，第二无线接入设备根据第二通知消息，更新第二会话的用户面安全策略可以包括：第二无线接入设备根据第二会话的ID，获取第二会话的用户面安全策略，将其获取的第二会话的用户面安全策略替换为第二通知消息中包括的用户面安全策略。

需要说明的是，在图3所示方法中，终端可以与第二无线接入设备建立RRC连接，也可以与第二无线接入设备间未建立RRC连接，不予限制。

一种可能的设计中，当终端与第二无线接入设备间建立有RRC连接时，上述步骤304和步骤305可以不执行，步骤304和步骤305可以替换为如下步骤：终端向第二无线接入设备发送通知消息，通知第二无线接入设备更新第二会话的用户面安全策略，第二无线接入设备接收到终端发送的通知消息后，根据接收到的通知消息更新第二会话的用户面安全策略。如此，可以不用通过第一无线接入设备通知第二无线接入设备更新第二会话的用户面安全策略，而是通过终端通知第二无线接入设备更新第二会话的用户面安全策略。

又一种可能的设计中，当终端与第二无线接入设备间建立有RRC连接时，步骤302中，第一无线接入设备可以向终端发送用于通知终端更新第一会话的用户面安全策略的第一通知消息，以使得终端仅根据第一无线接入设备发送的第一通知消息更新第一会话的用户面安全策略。第二无线接入设备执行完步骤305后，第二无线接入设备可以向终端发送用于通知终端更新第二会话的用户面安全策略的第三通知消息，以使得终端根据第二无线接入设备发送的第三通知消息更新第二会话的用户面安全策略。其中，第二无线接入设备也可以将第三通知消息携带在RRC连接重配置消息中发送给终端。

另一种可能的设计中，如果第二无线接入设备仅支持部分RRC信令，但未与终端建立完整的RRC连接时，步骤302中，第一无线接入设备可以向终端发送用于通知终端更新第一会话的用户面安全策略的第一通知消息，以使得终端仅根据第一无线接入设备发送的第一通知消息更新第一会话的用户面安全策略。第二无线接入设备执行完步骤305时，第二无线接入设备可以向第一无线接入设备发送用于通知终端更新第二会话的用户面安全策略的第三通知消息，第三通知消息可以为某条新无线(new radio，NR)RRC消息，第一无线接入设备接收第三通知消息，将第三通知消息转发给终端，以使得终端根据第二无线接入设备发送的第三通知消息更新第二会话的用户面安全策略；或者，上述步骤304和步骤305可以不执行，步骤304和步骤305可以替换为如下步骤：终端向第一无线接入设备发送用于通知第二无线接入设备更新第二会话的用户面安全策略的通知消息，第一无线接入设备接收到终端发送的通知消息，将接收到通知消息转发给第二无线接入设备，使第二无线接入设备根据第一无线接入设备转发的通知消息更新第二会话的用户面安全策略。如此，第二无线接入设备可以通过第一无线接入设备与终端相互通信，在第一无线接入设备的协助下更新第二会话的用户面安全策略。

需要说明的是，本申请实施例不限定第一通知消息和第二通知消息的发送顺序，可以按照图3所示过程先后发送第一通知消息和第二通知消息，也可以先执行步骤304～步骤305，再执行步骤302～步骤303，不予限制。其中，如果第二无线接入设备先确定或完成第二会话的用户面安全策略更新，则第二无线接入设备更新完第二会话的用户面安全策略后，第二无线接入设备可以向第一无线接入设备发送用于通知终端更新第二会话的用户面安全策略的NR RRC消息，第一无线接入设备接收到该NR RRC消息，将NR RRC消息转发给终端，以通知给终端更新第二会话的用户面安全策略。

基于图3所示方法，在第一无线接入设备确定需要更新第一会话的用户面安全策略的情况下，第一无线接入设备向终端发送通知消息，通知终端更新第一会话和第二会话的用户面安全策略，以及，通知第二无线接入设备更新第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略和更新后的第二会话的用户面安全策略相同，如此，可以保证不同会话的用户面安全策略相同，避免了不同会话的用户面安全策略不同所导致无法保证数据传输的安全性的问题。具体的，对于进行冗余数据传输的两条会话，更需要采用图3所示方法以保证该两条会话的用户面安全策略相同。

图3所示方法通过RRC连接重配置流程通知终端更新第一会话的用户面安全策略和第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略，在又一方案中，还可以通过终端与第一无线接入设备之间的RRC连接重建流程更新第一会话的用户面安全策略和第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略。下面结合图4，以终端已建立有第一会话(终端->第一无线接入设备->用户面网元->DN)和第二会话(终端->第一无线接入设备->用户面网元->DN)，且第一会话的用户面安全策略与第二会话的用户面安全策略相同为例，对该方案进行描述。

图4为本申请实施例提供的又一种安全保护方法的流程图，如图4所示，所述方法包括：

步骤401：终端确定是否需要更新第一会话的用户面安全策略；若终端确定需要更新第一会话的用户面安全策略，则执行步骤402～步骤406。

一种示例中，终端确定是否需要更新第一会话的用户面安全策略可以包括：第一无线接入设备确定是否需要更新第一会话的用户面安全策略，若第一无线接入设备确定需要更新第一会话的用户面安全策略，第一无线接入设备向终端发送第一通知消息，终端接收该通知消息，根据该通知消息确定更新第一会话的用户面安全策略。

其中，在该示例中，第一无线接入设备确定是否需要更新第一会话的用户面安全策略与步骤301相同，且第一通知消息的相关描述与步骤302中所述的第一通信相同，不再赘述。

又一种示例中，终端自身可以确定是否需要更新第一会话的用户面安全策略。如：终端可以支持的最大数据传输速率、终端当前可用的带宽、终端当前可用的数据速率、终端的配置、运营商的配置或策略等信息确定是否需要更新第一会话的用户面安全策略。

另一种示例性中，终端发起建立第二会话的会话建立流程，在建立第二会话的过程中，若终端发现其接收到的会话建立响应包括的第二会话的用户面安全策略与第一会话的用户面安全策略不同，则终端确定需要更新第一会话的用户面安全策略，使更新后的第一会话的用户面安全策略与第二会话的用户面安全策略相同。其中，会话建立流程的具体细节可参照现有技术，不再赘述。

步骤402：终端向第一无线接入设备发送RRC连接重建请求。

其中，RRC连接重建请求可以为RRC connection reestablishment request，也可以为RRC restablishment，还可以为其他名称的请求消息，如：还可以命名为第一请求等，不予限制。

其中，RRC连接重建请求可以用于请求第一无线接入设备为终端重新分配第一会话的用户面安全策略。RRC连接重建请求可以包括第一会话的ID、重建的原因以及终端的标识等，其中，重建的原因可以为RRC重配置失败等原因。

步骤403：第一无线接入设备接收终端发送的RRC连接重建请求，向终端发送RRC连接重建消息。

其中，RRC连接重建消息可以为RRC connection reestablishment，也可以为其他名称的消息，不予限制。

其中，RRC连接重建消息中可以包括第一无线接入设备重新为终端分配的第一会话用户面安全策略，还可以包括第一无线接入设备重新为终端分配的第二会话的用户面安全策略。重新分配的第一会话的用户面安全策略与重新分配的第二会话的用户面安全策略相同。

需要说明的是，因第一会话可以包括(或者对应)一个或者多个DRB，第二会话可以包括(或者对应)一个或是多个DRB，鉴于此，RRC连接重建消息中还可以包括第一无线接入设备重新为终端分配的第一会话包括的DRB的用户面安全策略，又可以包括第一无线接入设备重新为终端分配的第二会话包括的DRB的用户面安全策略；其中，第一会话包括的DRB的用户面安全策略与第二会话包括的DRB的用户面安全策略相同。

步骤404：终端接收第一无线接入设备发送的RRC连接重建消息，向第一无线接入设备发送RRC连接重建完成消息。

其中，RRC连接重建完成消息可以为RRC connection reestablishment complete，还可以为RRC restablishment complete，也可以为其他名称的消息，如：可以为RRC连接重建请求的响应等等，不予限制。

其中，RRC连接重建完成消息可以用于指示终端完成第一会话的用户面安全策略的更新和第二会话的用户面安全策略的更新，更新后的第一会话的用户面策略与第二会话的用户面安全策略相同。

步骤405：第一无线接入设备向第二无线接入设备发送重配置的第二会话的用户面安全策略。

步骤406：第二无线接入设备接收第一无线接入设备发送的重配置的第二会话的用户面安全策略，更新第二会话的用户面安全策略。

其中，更新后的第二会话的用户面安全策略与更新后的第一会话的用户面安全策略相同。示例性的，第二无线接入设备可以将第一无线接入设备发送的用户面安全策略作为第二会话的用户面安全策略。

需要说明的是，在图4所示方法中，终端可以与第二无线接入设备建立RRC连接，也可以与第二无线接入设备间未建立RRC连接，不予限制。当终端与第二无线接入设备间建立有RRC连接时，一种可能的设计中，步骤403中，第一无线接入设备仅向终端发送重新为终端分配的第一会话的用户面安全策略，同时，终端通过RRC连接重建流程向第二无线接入设备发送用于请求第二无线接入设备为终端重新分配第二会话的用户面安全策略的RRC连接重建请求，第二无线接入设备接收RRC连接重建请求，并在执行完步骤406后，向终端发送重新为终端分配的第二会话的用户面安全策略。

基于图4所示方法，在第一无线接入设备确定需要更新第一会话的用户面安全策略的情况下，第一无线接入设备向终端发送通知消息，通知终端第一会话的用户面安全策略发生更新，触发终端发起RRC连接重建流程，通过RRC重建流程获取无线接入设备重新为终端分配的第一会话的用户面安全策略和第二会话的用户面安全策略，同时，第一无线接入设备可以向第二无线接入设备发送重配置的第二会话的用户面安全策略，使第二无线接入设备更新第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略和更新后的第二会话的用户面安全策略相同，如此，可以保证不同会话的用户面安全策略相同，避免了不同会话的用户面安全策略不同所导致无法保证数据传输的安全性的问题。具体的，对于进行冗余数据传输的两条会话，更需要采用图4所示方法以保证该两条会话的用户面安全策略相同。

图4所示方法通过RRC连接重建流程通知终端更新第一会话的用户面安全策略和第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略，在又一方案中，还可以删除原有的会话，并通过会话重建流程建立新的多条会话，使新建立的会话的用户面安全策略相同。下面结合图5，以终端已建立两条会话：会话1和会话2，且系统要求会话1的用户面安全策略与会话2的用户面安全策略相同为例，对该方案进行描述。

图5为本申请实施例提供的又一种安全保护方法的流程图，如图5所示，所述方法包括：

步骤501：终端确定是否需要更新会话1的用户面安全策略；若终端确定需要更新会话1的用户面安全策略，则表示会话1的用户面安全策略会与会话2的用户面安全策略不一致，执行步骤502～步骤506。

其中，步骤501中终端确定是否需要更新会话1的用户面安全策略的方式可参照步骤401中终端确定是否需要更新第一会话的用户面安全策略的方式，不再赘述。

步骤502：终端释放会话1和会话2。

其中，终端可以获取系统要求与会话1具有相同的用户面安全策略的会话2(如：与会话1传输相同数据得会话)，并通过无线接入设备与核心网网元交互，释放会话1和会话2。具体的，该释放会话的过程可参照现有技术，不再赘述。

步骤503：终端向移动性管理网元发送PDU会话建立请求(PDU session establishment request)。

其中，PDU会话建立请求用于请求建立第一会话和/或第二会话。需要说明的是，PDU会话建立请求还可以由其他命名，不予限制。

步骤504：移动性管理网元接收PDU会话建立请求，向会话管理网元发送会话管理上下文请求。

其中，会话管理上下请求可以用于请求会话管理网元建立第一会话和/或第二会话。会话管理上下文请求可以为PDU session_creat SM context request，还可以有其他命名，不予限制。

步骤505：会话管理网元接收会话管理上下文请求，确定第一会话的用户面安全策略和/或第二会话的用户面安全策略。

其中，步骤505中，在会话管理网元确定第一会话的用户面安全策略和第二会话的用户面安全策略的过程中，若会话管理网元发现第一会话的用户面安全策略和第二会话的用户面安全策略不同，则可以将第一会话和第二会话的用户面安全策略修改为相同，即会话管理网元可以给第一会话和第二会话(具体的，如冗余传输的两条会话)下发相同的用户面安全策略。特别的，在第一会话和第二会话是分别独立建立的情况下，若会话管理网元在第二会话建立时发现第二会话的用户面安全策略与其需要保持用户面安全策略相同的第一会话的用户面安全策略不同(特别对于进行冗余传输的两条会话)，则会话管理网元可以主动将第二会话的用户面安全策略修改为与第一会话的用户面安全策略相同。同时，除确定第一会话和第二会话的用户面安全策略之外，会话管理网元还可以选择第一会话的用户面网元和第二会话的用户面网元以及执行其他动作，具体的，其细节部分可参照现有技术，不再赘述。

步骤506：会话管理网元向移动性管理网元发送N1N2消息。

其中，N1N2消息可以为会话管理网元和移动性管理网元之间的消息，本申请实施例不限定N1N2消息的命名，N1N2消息还可以命名为其他名称的消息，如N1N2消息还可以替换为Nsmf_PDUSession_CreateSMContext Response等，不予限制。

其中，N1N2消息中可以包括第一会话的用户面安全策略和/或第二无线接入设备发送第二会话的用户面安全策略。

步骤507：移动性管理网元接收N1N2消息，向第一无线接入设备发送N2PDU会话请求(session request)。

其中，N2PDU会话请求可以包括三会话的用户面安全策略和/或第二无线接入设备发送第二会话的用户面安全策略。需要说明的是，N2PDU会话请求还可以为NAS消息以及其他名称的消息，不予限制。

步骤508：第一无线接入设备接收N2PDU会话请求，保存第一会话和第二会话的用户面安全策略。

步骤509：第一无线接入设备向终端发送PDU会话建立响应。

其中，PDU会话建立响应可以用于指示终端第一会话、第二会话已建立成功，且要求第一会话和第二会话的用户面安全策略相同。示例性的，PDU会话建立响应可以包括三会话的用户面安全策略和/或第二无线接入设备发送第二会话的用户面安全策略。

步骤510：终端接收PDU会话建立响应，保存第一会话的用户面安全策略和/或第二会话的用户面安全策略。

步骤511：第一无线接入设备向第二无线接入设备发送信令消息。

其中，第一无线接入设备向第二无线接入设备发送的信令消息可以为辅基站增加/修改请求(SN Addition/Modification Request)消息。所述信令消息可以包括第二会话或者第一会话的用户面安全策略。

步骤512：第二无线接入设备接收信令消息，保存第二会话的用户面安全策略。

可替换的，图5所示方法中，可以不执行步骤511和步骤512，而是在终端与第二无线接入设备建立有RRC接口的情况下，由终端执行完步骤510，通过该RRC接口向第二无线接入设备发送第二会话的用户面安全策略。

可替换的，在图5所示方法中，可以不执行步骤505，即会话管理网元可以不确定第一会话的用户面安全策略和第二会话的用户面安全策略，而是在步骤508，第一无线接入设备接收到N2PDU会话请求后，由第一无线接入设备确定第一会话的用户面安全策略和第二会话的用户面安全策略。在第一无线接入设备确定第一会话的用户面安全策略和第二会话的用户面安全策略的过程中，若第一无线接入设备发现第一会话的用户面安全策略和第二会话的用户面安全策略不同，则可以将第一会话和第二会话的用户面安全策略修改为相同。特别的，在第一会话和第二会话是分别独立建立的情况下，若第一无线接入设备在第二会话建立时发现第二会话的用户面安全策略与其需要保持用户面安全策略相同的第一会话的用户面安全策略不同(特别对于进行冗余传输的两条会话)，则第一无线接入设备可以主动将第二会话的用户面安全策略修改为与第一会话的用户面安全策略相同。

基于图5所示方法，在终端确定需要更新第一会话的用户面安全策略的情况下，终端释放原有会话，请求核心网网元重新建立新的会话，并在会话建立过程中，使新的会话的用户面安全保持一致，如此，可以保证不同会话的用户面安全策略相同，避免了不同会话的用户面安全策略不同所导致无法保证数据传输的安全性的问题。具体的，对于进行冗余数据传输的两条会话，更需要采用图5所示方法以保证该两条会话的用户面安全策略相同。

图3所示方法通过RRC连接重配置流程、图4所示方法通过RRC连接重建流程通知终端更新第一会话的用户面安全策略和第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略相同，另一种方案中，还可以由会话管理网元触发会话修改流程来更新第一会话的用户面安全策略和第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略相同。下面结合图6，以终端已建立有第一会话(终端->第一无线接入设备->用户面网元->DN)和第二会话(终端->第一无线接入设备->用户面网元->DN)，第一会话的用户面安全策略与第二会话的用户面安全策略相同，且管理第一会话、第二会话的会话管理网元为同一会话管理网元为例，对该方案进行描述；其中，当管理第一会话、第二会话的会话管理网元为不同会话管理网元，其执行过程可参照图6所示。

图6为本申请实施例提供的另一种安全保护方法的流程图，如图6所示，所述方法包括：

步骤601：会话管理网元确定是否需要更新第一会话的用户面安全策略，若会话管理网元确定需要更新第一会话的用户面安全策略，则执行步骤602～步骤607。

其中，会话管理网元可以为图1中为终端建立第一会话以及第二会话的会话管理网元。

在一种示例中，会话管理网元可以采用步骤301中会话管理网元确定第一会话的用户面安全策略是否更新的方式确定是否需要更新第一会话的用户面安全策略，不再赘述。

在又一种示例中，会话管理网元接收第一无线接入设备发送的指示信息，该指示信息可以用于指示第一会话的用户面安全策略是否更新，若该指示信息用于指示第一会话的用户面安全策略更新，则会话管理网元确定需要更新第一会话的用户面安全策略。所述指示信息可以包括第一会话的ID、更新后的第一会话的用户面安全策略或者其他可以指示会话管理网元查找到对应的第一会话的标识等参数。比如，如果第一无线接入设备发现自身无法开启第一会话的用户面完整性保护，则第一无线接入设备需要通知会话管理网元更新第一会话的用户面安全策略，比如去激活第一会话的用户面完整性保护，设置第一会话的用户面完整性保护策略为“not needed”或者“deactivated”。

其中，第一无线接入设备可以采用步骤301所述的方式确定第一会话的用户面安全策略需要更新，并根据确定结果生成指示信息，向会话管理网元发送指示信息。

另一种示例中，会话管理网元在建立第二会话的过程中，若发现其正在建立的第二会话的用户面安全策略与已建立的第一会话的用户面安全策略不同，则会话管理网元确定需要更新第一会话的用户面安全策略，使更新后的第一会话的用户面安全策略与第二会话的用户面安全策略相同。其中，会话建立流程的具体细节可参照现有技术，不再赘述。

步骤602：会话管理网元向移动性管理网元发送第一消息。

其中，第一消息可以为会话管理网元与移动性管理网元之间交互的消息，如：可以为 N1N2消息或者Nsmf_PDUSession_CreateSMContext Response或者其他名称的消息等，不予限制。

第一消息可以用于通知第一会话和/或第二会话的用户面安全策略发生更新。以第一消息用于通知第一会话的用户面安全策略发生更新为例，第一消息可以包括第一会话的ID或其他可以指示移动性管理网元/第一无线接入设备查找到对应的第一会话的标识以及更新后的第一会话的用户面安全策略的信息，还可以包括其他信息，不予限制。

步骤603：移动性管理网元向第一无线接入设备转发第一消息。

步骤604：第一无线接入设备接收第一消息，更新第一会话的用户面安全策略，并向终端发送第一通知消息。

其中，第一通知消息可以为RRC connection reconfiguration消息或者RRC reconfiguration消息或者其他名称的消息，不予限制。具体的，第一通知消息的相关描述可以参照步骤302中所述，不再赘述。

步骤605：终端接收第一通知消息，根据第一通知消息，更新第一会话的用户面安全策略和第二会话的用户面安全策略。

其中，更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略相同。具体的，步骤605可参照步骤303所述，不再赘述。

步骤606：第一无线接入设备向第二无线接入设备发送第二通知消息。

其中，第二通知消息可以为辅基站增加/修改请求(SN Addition/Modification Request)消息或者第一无线接入设备与第二无线接入设备间传输的其他信令消息，不予限制。具体的，第二通知消息的相关描述可步骤304中所述，如：第二通知消息可以包括第二会话的用户面安全策略，第二通知消息可以用于通知第二无线接入设备更新第二会话的用户面安全策略。

步骤607：第二无线接入设备接收第二通知消息，更新第二会话的用户面安全策略，使更新后的第二会话的用户面安全策略与更新后的第一会话的用户面安全策略相同。

可替换的，图6所示方法中，可以不执行步骤606和步骤607，而是在终端与第二无线接入设备建立有RRC接口的情况下，由终端执行完步骤605，通过该RRC接口向第二无线接入设备发送更新后的第二会话的用户面安全策略，指示第二无线接入设备将第二会话的用户面安全策略更新为与第一会话的用户面安全相同。

可替换的，在图6所示方法中，在第二无线接入设备与会话管理网元存在通信连接的情况下，可以不执行步骤606和步骤607，而是由会话管理网元通过移动性管理网元将更新后的第二会话的用户面策略通知给第二无线接入设备，指示第二无线接入设备将第二会话的用户面安全策略更新为与第一会话的用户面安全相同。具体的，该过程可以包括：

会话管理网元向移动性管理网元发送第二消息，其中，第二消息可以用于通知第二会话的用户面安全策略发生更新。第二消息可以包括第二会话的ID和更新后的第二会话的用户面安全策略；移动性管理网元接收第二消息，向第二无线接入设备转发第二消息，第二无线接入设备接收第二消息，更新第二会话的用户面安全策略，使更新后的第二会话的用户面安全策略与更新后的第一会话的用户面安全策略相同。

需要说明的是，图6所示方法仅以会话管理网元管理第一会话和第二会话为例进行说明，可理解的是，当管理第二会话的会话管理网元为会话管理网元之外的其他网元时，上述会话管理网元向移动性管理网元发送第二消息可以包括：会话管理网元向其他会话管理网元发送第二消息，由其他会话管理网元向移动性管理网元转发第二消息。

基于图6所示方法，在会话管理网元确定需要更新第一会话的用户面安全策略的情况下，会话管理网元发起会话修改流程，修改第一会话的用户面安全策略和第二会话的用户面安全策略，使修改后的第一会话的用户面安全策略和修改后的第二会话的用户面安全策略相同，如此，可以保证不同会话的用户面安全策略相同，避免了不同会话的用户面安全策略不同所导致无法保证数据传输的安全性的问题。尤其是，对于进行冗余数据传输的两条会话，更需要采用图6所示方法以保证该两条会话的用户面安全策略相同。

上述图6仅以会话管理网元触发会话修改流程修改会话的用户面安全策略为例，对本申请实施例提供的安全保护方法进行描述，在另一种可行方案中，还可以由终端触发会话修改流程修改会话的用户面安全策略。下面结合图7，以终端已建立有第一会话(终端->第一无线接入设备->用户面网元->DN)和第二会话(终端->第一无线接入设备->用户面网元->DN)，第一会话的用户面安全策略与第二会话的用户面安全策略相同，且管理第一会话、第二会话的会话管理网元为同一会话管理网元为例，对该方案进行描述。

图7为本申请实施例提供的又一种安全保护方法的流程图，如图7所示，所述方法包括：

步骤701：终端确定是否需要更新第一会话的用户面安全策略；若终端确定需要更新第一会话的用户面安全策略，则表示第一会话的用户面安全与第二会话的用户面安全不一致，执行步骤:702～步骤710。

其中，步骤701可参照步骤401所述，不再赘述。

步骤702：终端发送第一会话修改请求以及第二会话修改请求。

其中，第一会话修改请求可以为第一PDU Session modification request，第一会话修改请求可以用于请求会话管理网元修改第一会话的用户面安全策略。第二会话修改请求可以为第二PDU Session modification request，第二会话修改请求可以用于请求会话管理网元修改第二会话的用户面安全策略。

示例性，终端可以通过第一无线接入设备向移动性管理网元发送第一会话修改请求以及第二会话修改请求。

步骤703：移动性管理网元接收第一会话修改请求以及第二会话修改请求，向会话管理网元发送第一会话上下文更新请求以及第二会话上下文更新请求。

其中，第一会话上下文更新请求可以为Nsmf_PDU Session_UpdateSMContext，第一会话上下文更新请求可以用于请求会话管理网元修改第一会话的用户面安全策略。第二会话上下文更新请求可以为第二Nsmf_PDU Session_UpdateSMContext，第二会话上下文更新请求可以用于请求会话管理网元修改第二会话的用户面安全策略。

步骤704：会话管理网元接收第一会话上下文更新请求以及第二会话上下文更新请求，根据第一会话上下文更新请求以及第二会话上下文更新请求修改第一会话的用户面安全策略以及第二会话的用户面安全策略，使修改后的第一会话的用户面安全策略与修改后的第二会话的用户面安全策略相同；同时，会话管理网元向移动性管理网元发送第一会话上下文修改响应以及第二会话上下文修改响应。

其中，第一会话上下文修改响应可以包括修改后的第一会话的用户面安全策略，第一会话上下文修改响应可以为第一Response of Nsmf_PDUSession_UpdateSMContext。第二会话修改响应可以为第二Response of Nsmf_PDUSession_UpdateSMContext，第二会话修改响应可以包括修改后的第二会话的用户面安全策略。

步骤705：移动性管理网元向第一无线接入设备发送第一N2消息。

其中，第一N2消息可以为第一N2Session Request，第一N2消息可以包括修改后的第一会话的用户面安全策略。

步骤706：第一无线接入设备接收第一N2消息，更新第一会话的用户面安全策略，并向终端发送第一会话修改响应。

其中，第一会话修改响应可以为第一PDU Session Modification Command/Ack，第一会话修改响应可以包括修改后的第一会话的用户面安全策略。

步骤707：终端接收第一会话修改响应，更新第一会话的用户面安全策略。

步骤708：移动性管理网元向第二无线接入设备发送第二N2消息。

其中，第二N2消息可以为第二N2Session Request，第二N2消息可以包括修改后的第二会话的用户面安全策略。

步骤709：第二无线接入设备接收第二N2消息，更新第二会话的用户面安全策略，并向终端发送第二会话修改响应。

其中，第二会话修改响应可以为第二PDU Session Modification Command/Ack，第二会话修改响应可以包括修改后的第二会话的用户面安全策略。

步骤710：终端接收第二会话修改响应，更新第二会话的用户面安全策略。

需要说明的是，图7所示方法仅以会话管理网元管理第一会话和第二会话为例进行说明，可理解的是，当管理第二会话的会话管理网元为会话管理网元之外的其他网元时，如：为第二会话管理网元时，上述第二会话修改请求可以用于请求第二会话管理网元修改第二会话的用户面安全策略。终端可以通过第二无线接入设备移动性管理网元发送第二会话修改请求，移动性管理网元可以将第二会话修改请求转发给第二会话管理网元，第二会话管理网元修改第二会话的用户面安全策略，向移动性管理网元发送第二会话修改响应。

基于图7所示方法，在终端确定需要更新第一会话的用户面安全策略的情况下，触发会话修改流程，请求会话管理网元修改第一会话的用户面安全策略和第二会话的用户面安全策略，使修改后的第一会话的用户面安全策略和更新后的第二会话的用户面安全策略相同，如此，可以保证不同会话的用户面安全策略相同，避免了不同会话的用户面安全策略不同所导致无法保证数据传输的安全性的问题。尤其是，对于进行冗余数据传输的两条会话，更需要采用图7所示方法以保证该两条会话的用户面安全策略相同。

图7以会话管理网元分别通知第一无线接入设备和第二无线接入设备更新会话的用户面安全策略为例，对本申请实施例提供的方法进行描述，可替换的，在一种方案中，终端可以仅请求修改一条会话，如：修改第一会话或者第二会话，当第一无线接入设备接收到会话管理网元的会话修改响应后，更新其中一条会话的用户面安全策略，并由第一无线接入设备通知其他无线接入设备更新另一条会话的用户面安全策略，使更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略相同。下面结合图8，以终端已建立有第一会话(终端->第一无线接入设备->用户面网元->DN)和第二会话(终端->第一无线接入设备->用户面网元->DN)，第一会话的用户面安全策略与第二会话的用户面安全策略相同，且管理第一会话、第二会话的会话管理网元为同一会话管理网元，终端请求修改第一会话为例，对该方案进行描述。

图8为本申请实施例提供的又一种安全保护方法的流程图，如图8所示，所述方法包括：

步骤801：终端确定是否需要更新第一会话的用户面安全策略；若终端确定需要更新第一会话的用户面安全策略，则表示第一会话的用户面安全策略与第二会话的用户面安全策略不一致，执行步骤802～步骤809。

其中，步骤801可参照步骤401所述，不再赘述。

步骤802：终端发送第一会话修改请求。

其中，第一会话修改请求可以为第一PDU Session modification request，第一会话修改请求可以用于请求会话管理网元修改第一会话的用户面安全策略。

示例性，终端可以通过第一无线接入设备向移动性管理网元发送第一会话修改请求。

步骤803：移动性管理网元接收第一会话修改请求，向会话管理网元发送第一会话上下文更新请求。

其中，第一会话上下文更新请求可以为Nsmf_PDU Session_UpdateSMContext，第一会话上下文更新请求可以用于请求会话管理网元修改第一会话的用户面安全策略。

步骤804：会话管理网元接收第一会话上下文更新请求，根据第一会话上下文更新请求修改第一会话的用户面安全策略，并向移动性管理网元发送第一会话上下文修改响应。

其中，第一会话上下文修改响应可以包括修改后的第一会话的用户面安全策略，第一会话上下文修改响应可以为第一Response of Nsmf_PDUSession_UpdateSMContext。

步骤805：移动性管理网元向第一无线接入设备发送第一N2消息。

步骤806：第一无线接入设备接收第一N2消息，更新第一会话的用户面安全策略，并向终端发送第一通知消息。

其中，第一通知消息可以为RRC connection reconfiguration消息或者RRC reconfiguration消息或者其他名称的消息，如：可以为第一会话修改响应等，不予限制。具体的，第一通知消息的相关描述可以参照步骤302中所述，不再赘述。

步骤807：终端接收第一通知消息，更新第一会话和第二会话的用户面安全策略，使更新后的第一会话和第二会话的用户面安全策略相同。

其中，步骤807可参照步骤303所述，不再赘述。

步骤808：第一无线接入设备向第二无线接入设备发送第二通知消息。

步骤809：第二无线接入设备接收第二通知消息，根据第二通知消息，更新第二会话的用户面安全策略。

其中，步骤809可参照步骤305所述，不再赘述。

需要说明的是，步骤806～步骤809的具体实现过程以及可替换过程可参照图3中所述，不再详细赘述。此外，与图8所示方法类似，终端还可以仅请求修改第二会话的用户面安全策略，当会话管理网元修改完第二会话的用户面安全策略，并将修改后的第二会话的用户面安全策略通知给第一无线接入设备，第一无线接入设备可以更新第一会话的用户面安全策略，并通知终端更新第一会话和第二会话的用户面安全策略，以及通知第二无线接入设备更新第二会话的用户面安全策略，不予限制。

基于图8所示方法，在终端确定需要更新第一会话的用户面安全策略的情况下，触发会话修改流程，请求会话管理网元修改第一会话的用户面安全策略，并将修改后的第一会话的用户面安全策略发送给第一无线接入设备，第一无线接入设备获知第一会话的用户面安全策略更新后，通知第二无线接入设备更新第二会话的用户面安全策略，使更新后的第二会话的用户面安全策略和更新后的第一会话的用户面安全策略相同，如此，可以保证不同会话的用户面安全策略相同，避免了不同会话的用户面安全策略不同所导致无法保证数据传输的安全性的问题。尤其是，对于进行冗余数据传输的两条会话，更需要采用图8所示方法以保证该两条会话的用户面安全策略相同。

一些实施例中，在第一会话的用户面安全策略、第二会话的用户面安全策略为preferred情况下，第一无线接入设备、第二无线接入设备可以自行判断第一会话、第二会话是否需要开启数据保护，即是否激活第一会话的完整性保护和/或加密保护，这种情况下，很容易出现两个无线接入设备最终决策的用户面安全策略不同的问题，为了解决该问题，可以在第一无线接入设备自行判断是否需要开启数据保护后，将确定结果通知给第二无线接入设备，以便第二无线接入设备根据第一无线接入设备的确定结果，更新第二会话的用户面安全策略，使更新后的第二会话的用户面安全策略与更新后的第一会话的用户面安全策略相同。下面结合图9，以终端已建立有第一会话(终端->第一无线接入设备->用户面网元->DN)和第二会话(终端->第一无线接入设备->用户面网元->DN)，第一会话的用户面安全策略与第二会话的用户面安全策略相同，如为preferred为例，对该方案进行描述。

图9为本申请实施例提供的再一种安全保护方法，如图9所述，所述方法可以包括：

步骤901：第一无线接入设备向第二无线接入设备发送辅基站增加/修改请求。

其中，辅基站增加/修改请求可以为SN Addition/Modification Request，辅基站增加/修改请求可以包括会话管理网元配置的第二会话的用户面安全策略，如：可以第二会话的用户面安全策略可以为preferred；也可以包括第一无线接入设备最终决策的第一会话的用户面安全策略，不予限制。

示例性的，第一无线接入设备确定第一会话的用户面安全策略可以包括：若会话管理网元下发给第一无线接入设备的第一会话的用户面安全策略为preferred，则第一无线接入设备可以自身配置等信息自行判断是否需要开启数据保护，即自行决定第一会话的用户面安全策略为required或者not need或者激活(activated)或者去激活(deactivated)等。

其中，可以在会话管理网元为终端建立第一会话的过程中，将第一会话的用户面安全策略“preferred”下发给第一无线接入设备。

步骤902：第二无线接入设备接收辅基站增加/修改请求，根据辅基站增加/修改请求确定第二会话的用户面安全策略。

示例性的，第二无线接入设备可以根据会话管理网元配置的第二会话的用户面安全策略自行决定第二会话的用户面安全策略，也可以在辅基站增加/修改请求包括第一无线接入设备最终决策的第一会话的用户面安全策略的情况下，直接将第二会话的用户面安全策略确定为与第一会话的用户面安全策略相同。

步骤903：第二无线接入设备向第一无线接入设备发送辅基站增加/修改响应。

其中，辅基站增加/修改响应可以包括第二无线接入设备确定的第二会话的用户面安全策略，辅基站增加/修改响应可以为SN Addition/Modification Request Acknowledge。

步骤904：第一无线接入设备接收辅基站增加/修改响应，若辅基站增加/修改响应包括的第二会话的用户面安全策略与第一无线接入设备最终决策的第一会话的用户面安全策略不同，则第一无线接入设备将第一会话、第二会话的用户面安全策略更新为相同，并执行步骤905～步骤908。

其中，第一无线接入设备将第一会话、第二会话的用户面安全策略更新为相同可以包括：第一无线接入设备将其决策的第一会话的用户面安全策略更新为与辅基站增加/修改响应包括的第二会话的用户面安全策略，或者，将辅基站增加/修改响应包括的第二会话的用户面安全策略更新为与第一无线接入设备最终决策的第一会话的用户面安全策略相同，不予限制。

例如，若第一无线接入设备决策开启/激活第一会话的完整性保护，但第二无线接入设备的决策是关闭或去激活第二会话的完整性保护，则第一无线接入设备可以关闭或去激活第一会话的用户面安全策略；或者，若第一无线接入设备决策关闭第一会话的完整性保护，但第二无线接入设备的决策是开启/激活第二会话的完整性保护，则第一无线接入设备可以开启/激活第一会话的用户面安全策略。

步骤905：第一无线接入设备向终端发送RRC连接重配置消息。

其中，RRC连接配置消息可以包括更新后的第一会话和/或的用户面安全策略，RRC连接重配置消息可以为：RRC Connection Reconfiguration(SN Counter,Selected algorithms)。

步骤906：终端接收RRC连接重配置消息，根据RRC连接重配置消息，重配置第一会话和第二会话的用户面安全策略，并向第一无线接入设备发送RRC连接重配置完成消息。

其中，RRC连接重配置完成消息可以为RRC Connection Reconfiguration Complete，RRC连接重配置完成消息可以用于指示第一会话和第二会话的用户面安全策略已配置完成。

步骤907：第一无线接入设备向第二无线接入设备发送辅基站配置消息。

其中，辅基站配置消息可以包括更新后的第二会话的用户面安全策略，辅基站配置消息可以为SN Reconfiguration。

步骤908：第二无线接入设备接收辅基站配置消息，更新其决策的第二会话的用户面安全策略，使更新后的第二会话的用户面安全策略与第一会话的用户面安全策略相同。

进一步的，若第二无线接入设备重配第二会话的用户面安全策略失败，则向第一无线接入设备返回失败通知，通知其重配第二会话的用户面安全策略失败。其中，失败通知可以为SN Reconfiguration Complete。

基于图9所示方法，可以在会话的用户面安全策略为preferred情况下，保证最终决策的不同会话的用户面安全策略相同，避免了不同会话的用户面安全策略不同所导致无法保证数据传输的安全性的问题。尤其是，对于进行冗余数据传输的两条会话，更需要采用图9所示方法以保证该两条会话的用户面安全策略相同。

一些实施例中，在图3～图9所示的任一方法执行完成后，若第一会话的用户面安全策略为required，但第一无线接入设备确定自身不支持对第一会话上传输的数据进行安全保护，则第一无线接入设备可以向移动性管理网元上报错误指示；其中，错误指示可以用于指示第一无线接入设备不支持对第一会话上传输的数据进行安全保护；具体的，如果由于可用数据速率的影响，可能第一无线接入设备无法开启完整性保护和/或加密保护，则需要发送拒绝为第一会话分配用户面资源的原因给会话管理网元，第一无线接入设备拒绝为第一会话建立用户面资源。移动性管理网元接收到错误指示后，向建立第一会话的会话管理网元转发该错误指示，会话管理网元接收到错误指示后，释放第一会话，如：会话管理网元可以删除为第一会话分配的网络资源，以及断开第一会话上无线接入设备与用户面网元间的连接等；比如，通过PDU会话释放请求(PDU session release request)消息来体现，其中，PDU释放请求可以由终端触发，也可以由会话管理网元触发，不予限制。

同时，第一无线接入设备向终端发送会话相关的资源释放通知，该会话释放请求可以包括会话释放请求，如PDU session release command；其中，该会话释放请求用于请求终端释放第一会话和/或者第二会话，终端接收到第一无线接入设备发送的会话释放请求，根据会话释放请求释放第一会话和第二会话。如：终端可以删除其为第一会话和第二会话分配的承载资源等等。

其中，第一无线接入设备可以根据自身负载情况、自身当前的数据传输速率等确定自身不支持对第一会话上传输的数据进行安全保护。

需要说明的是，若建立第一会话的会话管理网元也建立有第二会话，则会话管理网元释放第一会话时，会话管理网元还可以释放第二会话，如：删除为第二会话分配的网络资源，以及断开第二会话上无线接入设备与用户面网元间的连接等。且，在会话管理网元释放第一会话和第二会话之后，会话管理网元还可以为终端建立新的会话，以便终端在新的会话上传输数据。

一些实施例中，在图3～图9所示的任一方法中，还可能存在下述一种情况：第一无线接入设备由于自身需求等原因需要将第一会话的用户面安全策略更改为与第二会话的用户面安全策略不同或者无法将第一会话的用户面安全策略更新为与第二会话的用户面安全策略相同，使第一会话和第二会话的用户面安全策略无法保持一致。在该情况下，为了保证数据传输的安全性和可靠性，第一无线接入设备可以回复更新失败消息给第二无线接入设备，以指示第一会话的用户面安全策略以及第二会话的用户面安全策略不同。进一步可选的，第一无线接入设备还可以通知会话管理网元第一会话的用户面安全策略更新失败，第一会话和第二会话的用户面安全策略不同，以便会话管理网元采取相应的补救措施，如：修改第一会话和第二会话，或者，释放第一会话和第二会话，建立新的会话等等。

例如，在图9所示方法中，若第一无线接入设备决策开启/激活第一会话的完整性保护，第二无线接入设备的决策是第二会话的完整性保护关闭或去激活，但第一无线接入设备考虑到由于关闭/去激活第一会话的完整性保护会使得安全等级降低等原因，判断不进行关闭或去激活第一会话的用户面安全策略，从而会导致最终决策的第一会话和第二会话的用户面安全策略不同，第一会话和第二会话的用户面安全策略无法保持一致，此时，第一无线接入设备可以回复更新失败消息给第二无线接入设备以及通知会话管理网元第一会话的用户面安全策略更新失败，第一会话和第二会话的用户面安全策略不同等。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，上述终端和用户面网元为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对终端和用户面网元进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图10示出了的一种通信装置100的结构图，该通信装置100可以为终端或者终端中的芯片或者片上系统，该通信装置100可以用于执行上述实施例中涉及的终端的功能。作为一种可实现方式，图10所示通信装置100包括：接收单元1001，更新单元1002；

接收单元1001，用于接收第一无线接入设备发送的第一通知消息；其中，第一通知消息用于通知通信装置100第一会话和第二会话的用户面安全策略发生更新；例如，接收单元1001可以支持通信装置100执行步骤303。

更新单元1002，用于根据接收单元1001接收的第一通知消息，更新第一会话的用户面安全策略以及第二会话的用户面安全策略；其中，更新后的第一会话的用户面安全策略与更新后的第二会话的用户面安全策略相同。例如，更新单元1002可以用于支持通信装置100执行步骤303。

进一步的，如图10所示，所述通信装置100还可以包括释放单元1003；

接收单元1001，还用于接收第一无线接入设备发送的会话释放请求；其中，会话释放请求用于请求通信装置100释放第一会话和第二会话；

释放单元1003，用于根据会话释放请求，释放第一会话和第二会话。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。本申请实施例提供的通信装置100，用于执行上述安全保护方法中通信装置100的功能，因此可以达到与上述安全保护方法相同的效果。

作为又一种可实现方式，图10所示通信装置100可以包括：处理模块和通信模块。更新单元1002和释放单元1003可以集成在处理模块中，接收单元1001可以集成的通信模块中。处理模块用于对通信装置100的动作进行控制管理，例如，处理模块用于支持该通信装置100执行步骤303、释放第一会话和第二会话的动作以及执行本文所描述的技术的其它过程。通信模块用于支持通信装置100执行步骤303中接收第一通知消息的动作以及与其他网络实体的通信，例如与图1示出的功能模块或网络实体之间的通信。进一步的，该通信装置100还可以包括存储模块，用于存储通信装置100的程序代码和数据。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块可以是收发电路或通信接口等。存储模块可以是存储器。当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，图10所示通信装置100可以为图2所示通信装置200。

图11示出了的一种通信装置110的结构图，该通信装置110可以为第一无线接入设备或者第一无线接入设备中的芯片或者片上系统。该通信装置110可以用于执行上述实施例中涉及的终端的功能。作为一种可实现方式，图11所示通信装置110包括：确定单元1101、发送单元1102。

确定单元1101，用于确定是否需要更新第一会话的用户面安全策略；例如，确定单元1101可以用于支持通信装置110执行步骤301。

发送单元1102，用于当确定单元1101确定需要更新第一会话的用户面安全策略时，向终端发送第一通知消息；其中，第一通知消息用于通知终端第一会话和第二会话的用户面安全策略发生更新；以及，向第二无线接入设备发送第二通知消息；其中，第二通知消息用于通知第二无线接入设备更新第二会话的用户面安全策略。例如，发送单元1102可以用于支持通信装置110执行步骤302。

进一步的，如图11所示，该通信装置110还可以包括：接收单元1103；

接收单元1103，用于接收更新信息；

确定单元1101，具体用于当更新信息用于指示第一会话的用户面安全策略发生更新时，根据更新信息，确定需要更新第一会话的用户面安全策略。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。本申请实施例提供的通信装置110，用于执行上述安全保护方法中通信装置110的功能，因此可以达到与上述安全保护方法相同的效果。

作为又一种可实现方式，图11所示通信装置110可以包括：处理模块和通信模块。处理模块集成有确定单元1101；通信模块集成有接收单元1103、发送单元1102。处理模块用于对通信装置110的动作进行控制管理，例如，处理模块用于支持该通信装置110执行步骤301以及执行本文所描述的技术的其它过程。通信模块用于支持通信装置110执行步骤302以及与其他网络实体的通信，例如与图1示出的功能模块或网络实体之间的通信。进一步的，该通信装置110还可以包括存储模块，用于存储通信装置110的程序代码和数据。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块可以是收发电路或通信接口等。存储模块可以是存储器。当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，图11所示通信装置110可以为图2所示通信装置200。

图12示出了的一种通信装置120的结构图，该通信装置120可以为会话管理网元/移动性管理网元，或者，会话管理网元/移动性管理网元中的芯片或者片上系统，该通信装置120可以用于执行上述实施例中涉及的会话管理网元/移动性管理网元的功能。作为一种可实现方式，图12所示通信装置120包括：确定单元1201、发送单元1202。

确定单元1201，用于确定是否需要更新第一会话的用户面安全策略；

发送单元1202，用于发送更新信息；其中，更新信息用于指示第一会话和/或第二会话的用户面安全策略发生更新。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。本申请实施例提供的通信装置120，用于执行上述安全保护方法中通信装置120的功能，因此可以达到与上述安全保护方法相同的效果。

作为又一种可实现方式，图12所示通信装置120可以包括：处理模块和通信模块。处理模块集成有确定单元1201；通信模块集成有发送单元1202。处理模块用于对通信装置120的动作进行控制管理，例如，处理模块用于支持该通信装置120确定是否需要更新第一会话的用户面安全策略以及执行本文所描述的技术的其它过程。通信模块用于支持通信装置120执行发送更新信息的过程以及与其他网络实体的通信，例如与图1示出的功能模块或网络实体之间的通信。进一步的，该通信装置120还可以包括存储模块，用于存储通信装置120的程序代码和数据。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块可以是收发电路或通信接口等。存储模块可以是存储器。当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，图12所示通信装置120可以为图2所示通信装置200。

图13示出了的一种安全保护系统13的组成示意图，如图13所示，该安全保护系统中可以包括终端130、无线接入设备131、无线接入设备132、会话管理网元133、移动性管理网元134，还可以包括用户面网元以及DN；其中，终端130-无线接入设备131-用户面网元之间可以建立有第一会话，终端130-无线接入设备132-用户面网元之间可以建立有第二会话。需要说明的是，图13仅为示例性附图，本申请实施例不限定图13所示系统包括的网元以及网元的个数。

其中，无线接入设备131、具有上述图11所示通信装置110的功能，可以用于确定是否更新第一会话的用户面安全策略，若确定更新第一会话的用户面安全策略，则向终端130发送第一通知消息，通知终端130更新第一会话和第二会话的用户面安全策略，以及，向无线接入设备132发送第二通知消息，通知第二无线接入设备更新第二会话的用户面安全策略。

终端130具有上述图10所示通信装置100的功能，可以用于接收第一通知消息，更新第一会话和第二会话的用户面安全策略，使更新后的第一会话的用户面安全策略和更新后的第二会话的用户面安全策略相同。

无线接入设备132，可以用于接收第二通知消息，根据第二通知消息更新第二会话的用户面安全策略。

示例性的，无线接入设备131确定是否更新第一会话的用户面安全策略可以包括：会话管理网元133或者移动性管理网元134确定是否更新第一会话的用户面安全策略，若确定更新，则向无线接入设备131发送更新信息，以便无线接入设备131根据更新信息确定是否更新第一会话的用户面安全策略。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到该安全保护系统对应网元的功能描述，在此不再赘述。

基于图13所示的安全保护系统，在无线接入设备131确定需要更新第一会话的用户面安全策略的情况下，无线接入设备131向终端130发送通知消息，通知终端130更新第一会话和第二会话的用户面安全策略，以及，使更新后的第一会话的用户面安全策略和更新后的第二会话的用户面安全策略相同，如此，可以保证不同会话的用户面安全策略相同，避免了不同会话的用户面安全策略不同所导致无法保证数据传输的安全性的问题。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。在权利要求以及说明书中，“A和/或B”可以表示三种情况：A，或者B，或者，A和B，不予限制。此外，单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种安全保护方法，其特征在于，所述方法包括：

终端接收第一无线接入设备发送的第一通知消息；其中，所述第一通知消息用于通知所述终端第一会话和第二会话的用户面安全策略发生更新；

所述终端根据所述第一通知消息，更新所述第一会话的用户面安全策略以及所述第二会话的用户面安全策略；其中，更新后的所述第一会话的用户面安全策略与更新后的所述第二会话的用户面安全策略相同。
根据权利要求1所述的方法，其特征在于，所述终端接收第一无线接入设备发送的第一通知消息，包括：

所述终端接收所述第一无线接入设备发送的无线资源控制RRC连接重配置消息；其中，所述RRC连接重配置消息包括所述第一通知消息。
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述终端接收所述第一无线接入设备发送的会话释放请求；其中，所述会话释放请求用于请求所述终端释放所述第一会话和所述第二会话；

所述终端根据所述会话释放请求，释放所述第一会话和所述第二会话。
一种安全保护方法，其特征在于，所述方法包括：

第一无线接入设备确定是否需要更新第一会话的用户面安全策略；

当所述第一无线接入设备确定需要更新所述第一会话的用户面安全策略时，所述第一无线接入设备向终端发送第一通知消息；其中，所述第一通知消息用于通知所述终端所述第一会话和第二会话的用户面安全策略发生更新；以及，

所述第一无线接入设备向第二无线接入设备发送第二通知消息；其中，所述第二通知消息用于通知所述第二无线接入设备更新所述第二会话的用户面安全策略。
根据权利要求4所述的方法，其特征在于，所述第一无线接入设备确定是否需要更新第一会话的用户面安全策略，包括：

所述第一无线接入设备接收更新信息；

当所述更新信息用于指示所述第一会话的用户面安全策略发生更新时，所述第一无线接入设备根据所述更新信息，确定需要更新第一会话的用户面安全策略。
根据权利要求4所述的方法，其特征在于，所述第一无线接入设备确定是否需要更新第一会话的用户面安全策略，包括：

所述第一无线接入设备根据所述第一无线接入设备的负载状态、所述第一无线接入设备的配置情况、所述第一无线接入设备当前支持的传输数据速率中的一种或者多种信息，确定是否需要更新第一会话的用户面安全策略。
根据权利要求4-6任一项所述的方法，其特征在于，所述第一无线接入设备向终端发送第一通知消息，包括：

所述第一无线接入设备向所述终端发送无线资源控制RRC连接重配置消息；其中，所述RRC连接重配置消息包括所述第一通知消息。
根据权利要求4-7任一项所述的方法，其特征在于，所述方法还包括：

所述第一无线接入设备确定自身不支持对所述第一会话上传输的数据进行安全保护；

所述第一无线接入设备上报错误指示；其中，所述错误指示用于指示所述第一无线接入设备不支持对所述第一会话上传输的数据进行安全保护；以及，

所述第一无线接入设备向所述终端发送会话释放请求；其中，所述会话释放请求用于请求所述终端释放所述第一会话和所述第二会话。
一种安全保护方法，其特征在于，所述方法包括：

第一网元确定是否需要更新第一会话的用户面安全策略；

所述第一网元发送更新信息；其中，所述更新信息用于指示所述第一会话和/或第二会话的用户面安全策略发生更新。
根据权利要求9所述的方法，其特征在于，所述第一网元确定是否需要更新第一会话的用户面安全策略，包括：

所述第一网元根据下述任一种或者多种信息，确定是否更新第一会话的用户面安全策略：网络侧的负载、运营商配置、数据网络的速率要求、统一数据管理网元的速率要求、策略控制功能的速率要求、应用功能的触发、第一无线接入设备的负载状态、所述第一无线接入设备的配置情况。
一种通信装置，其特征在于，所述通信装置包括：

接收单元，用于接收第一无线接入设备发送的第一通知消息；其中，所述第一通知消息用于通知所述通信装置第一会话和第二会话的用户面安全策略发生更新；

更新单元，用于根据所述接收单元接收的第一通知消息，更新所述第一会话的用户面安全策略以及所述第二会话的用户面安全策略；其中，更新后的所述第一会话的用户面安全策略与更新后的所述第二会话的用户面安全策略相同。
根据权利要求11所述的通信装置，其特征在于，所述接收单元，具体用于：

接收所述第一无线接入设备发送的无线资源控制RRC连接重配置消息；其中，所述RRC连接重配置消息包括所述第一通知消息。
根据权利要求11或12所述的通信装置，其特征在于，

所述接收单元，还用于接收所述第一无线接入设备发送的会话释放请求；其中，所述会话释放请求用于请求所述通信装置释放所述第一会话和所述第二会话；

所述通信装置还包括：

释放单元，用于根据所述会话释放请求，释放所述第一会话和所述第二会话。
一种通信装置，其特征在于，所述通信装置包括：

确定单元，用于确定是否需要更新第一会话的用户面安全策略；

发送单元，用于当所述确定单元确定需要更新所述第一会话的用户面安全策略时，向终端发送第一通知消息；其中，所述第一通知消息用于通知所述终端所述第一会话和第二会话的用户面安全策略发生更新；以及，

向第二无线接入设备发送第二通知消息；其中，所述第二通知消息用于通知所述第二无线接入设备更新所述第二会话的用户面安全策略。
根据权利要求14所述的通信装置，其特征在于，所述通信装置还包括：

接收单元，用于接收更新信息；

所述确定单元，具体用于当所述更新信息用于指示所述第一会话的用户面安全策略发生更新时，根据所述更新信息，确定需要更新第一会话的用户面安全策略。
根据权利要求14所述的通信装置，其特征在于，所述确定单元，具体用于：

根据所述通信装置的负载状态、所述通信装置的配置情况、所述通信装置当前支持的传输数据速率中的一种或者多种信息，确定是否需要更新第一会话的用户面安全策略。
根据权利要求14-16任一项所述的通信装置，其特征在于，所述发送单元，具体用于：向所述终端发送无线资源控制RRC连接重配置消息；其中，所述RRC连接重配置消息包括所述第一通知消息。
根据权利要求14-17任一项所述的通信装置，其特征在于，

所述确定单元，还用于确定自身不支持对所述第一会话上传输的数据进行安全保护；

所述发送单元，还用于上报错误指示；其中，所述错误指示用于指示所述通信装置不支持对所述第一会话上传输的数据进行安全保护；以及，

向所述终端发送会话释放请求；其中，所述会话释放请求用于请求所述终端释放所述第一会话和所述第二会话。
一种通信装置，其特征在于，所述通信装置包括：

确定单元，用于确定是否需要更新第一会话的用户面安全策略；

发送单元，用于发送更新信息；其中，所述更新信息用于指示所述第一会话和/或第二会话的用户面安全策略发生更新。
根据权利要求19所述的通信装置，其特征在于，所述确定单元，具体用于：

根据下述任一种或者多种信息，确定是否更新第一会话的用户面安全策略：网络侧的负载、运营商配置、数据网络的速率要求、统一数据管理的速率要求、策略控制功能的速率要求、应用功能的触发、第一无线接入设备的负载状态、所述第一无线接入设备的配置情况。
一种通信系统，其特征在于，所述通信系统包括：

第一无线接入网设备，用于确定是否需要更新第一会话的用户面安全策略，当确定需要更新所述第一会话的用户面安全策略时，向终端发送第一通知消息以及向第二无线接入设备发送第二通知消息；其中，所述第一通知消息用于通知所述终端所述第一会话和第二会话的用户面安全策略发生更新，所述第二通知消息用于通知所述第二无线接入设备更新所述第二会话的用户面安全策略；

所述终端，用于接收第一无线接入设备发送的第一通知消息，根据所述第一通知消息，更新所述第一会话的用户面安全策略以及所述第二会话的用户面安全策略；其中，更新后的所述第一会话的用户面安全策略与更新后的所述第二会话的用户面安全策略相同。
根据权利要求21所述的通信系统，其特征在于，所述通信系统还包括：

第一网元，用于确定是否需要更新第一会话的用户面安全策略，发送更新信息；其中，所述更新信息用于指示所述第一会话和/或第二会话的用户面安全策略发生更新。
一种通信装置，其特征在于，所述通信装置包括：处理器、通信接口；所述处理器、所述通信接口用于支持所述通信装置执行如权利要求1-3任一项所述的安全保护方法。
一种计算机可读存储介质，其上存储有计算机程序或指令，其特征在于，所述计算机程序或指令被计算机执行时使得所述计算机执行如权利要求1-3任一项所述的安全保护方法。
一种计算机程序产品，所述计算机程序产品中包括计算机程序代码，其特征在于，当所述计算机程序代码在计算机上运行时，使得计算机执行如权利要求1-3任一项所述的安全保护方法。
一种通信装置，其特征在于，所述通信装置包括：处理器、通信接口；所述处理器、所述通信接口用于支持所述通信装置执行如权利要求4-8任一项所述的安全保护方法。
一种计算机可读存储介质，其上存储有计算机程序或指令，其特征在于，所述计算机程序或指令被计算机执行时使得所述计算机执行如权利要求4-8任一项所述的安全保护方法。
一种计算机程序产品，所述计算机程序产品中包括计算机程序代码，其特征在于，当所述计算机程序代码在计算机上运行时，使得计算机执行如权利要求4-8任一项所述的安全保护方法。
一种通信装置，其特征在于，所述通信装置包括：处理器、通信接口；所述处理器、所述通信接口用于支持所述通信装置执行如权利要求9-10任一项所述的安全保护方法。
一种计算机可读存储介质，其上存储有计算机程序或指令，其特征在于，所述计算机程序或指令被计算机执行时使得所述计算机执行如权利要求9-10任一项所述的安全保护方法。
一种计算机程序产品，所述计算机程序产品中包括计算机程序代码，其特征在于，当所述计算机程序代码在计算机上运行时，使得计算机执行如权利要求9-10任一项所述的安全保护方法。