WO2021244342A1 - 一种确定用户面安全执行信息的方法、装置及系统 - Google Patents

Abstract

一种确定用户面安全执行信息的方法、装置及系统，用以保证远端设备传输数据的安全需求。本申请中会话管理网元可以接收第一请求，第一请求用于请求创建第一终端设备中继类型的会话，第一请求包括第一信息，第一信息用于指示会话的类型为中继类型；之后，会话管理网元根据第一信息确定会话的第一用户面安全执行信息；再向接入网设备发送会话的第一用户面安全执行信息，会话的第一用户面执行信息用于确定第一终端设备与接入网设备之间该会话的第一用户面安全激活状态。会话管理网元确定的第一用户面安全执行信息能够较好的满足远端设备的安全需求，保证远端设备的数据的安全性。

Description

一种确定用户面安全执行信息的方法、装置及系统

相关申请的交叉引用

本申请要求在2020年05月30日提交中国专利局、申请号为202010480965.0、申请名称为“一种确定用户面安全执行信息的方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种确定用户面安全执行信息的方法、装置及系统。

背景技术

目前，设备到设备(device to device，D2D)通信允许用户设备(user equipment，UE)之间直接进行通信。

当某一远端设备(remote UE)处于通信网络的覆盖范围之外，或者在与通信网络中的接入网设备之间的通信质量较差的情况下，可以基于D2D通信，通过中继设备(relay UE)与通信网络建立非直接通信，中继设备可以建立用于传输远端设备的协议数据单元(protocol data unit，PDU)会话，将从远端设备接收的数据通过该PDU会话传输至数据网络，或将通过PDU会话从数据网络获取的数据发送至远端设备。

在建立PDU会话的过程中，会话管理网元获取中继设备的标识，并使用中继设备的标识从统一数据管理网元或者本地获取会话的用户面安全策略，进一步的会话管理网元根据用户面安全策略来确定会话的用户面安全执行信息，该用户面安全执行信息用于接入网设备配置中继设备与接入网设备之间的安全激活状态。在PDU会话的用户面安全策略的确定过程中，会话管理网元根据中继设备的签约信息或预配置的信息确定建立的PDU会话的用户面安全执行信息，由于建立的PDU会话可以为传输远端设备和数据网络之间业务的PDU会话，仅使用中继设备的签约信息或预配置的信息确定用户面的安全保护方法会存在不能满足远端设备传输数据的安全需求的可能。

发明内容

本申请提供一种确定用户面安全执行信息的方法、装置及系统，用以保证远端设备传输数据的安全需求。

第一方面，本申请实施例提供了一种确定用户面安全执行信息的方法，方法包括：首先，会话管理网元可以从移动接入管理网元接收第一请求，第一请求用于请求创建第一终端设备中继类型的会话，第一请求包括第一信息，第一信息用于指示会话的类型为中继类型；之后，会话管理网元根据第一信息确定会话的第一用户面安全执行信息；再向接入网设备发送会话的第一用户面安全执行信息，会话的第一用户面执行信息用于确定第一终端设备与接入网设备之间该会话的第一用户面安全激活状态。

通过上述方法，会话管理网元通过第一信息可以获取中继类型的会话的用户面安全策 略，之后，确定的第一用户面安全执行信息能够较好的满足远端设备的安全需求，保证远端设备的数据的安全性。

在一种可能的设计中，第一请求可以包括N1 SM container，N1 SM container包括第一信息，这种情况下，第一请求可以为会话建立请求；第一请求也可以包括第一信息和N1 SM container，这种情况下，第一请求包括会话建立请求和第一信息。其中，N1 SM container来自第一终端设备。

通过上述方法，第一终端设备可以通过移动接入管理网元将包括第一信息的N1 SM container发送给会话管理网元，第一信息也可以由移动接入管理网元发送给会话管理网元，也即第一请求有多种组成形式，适用于不同的应用场景。

在一种可能的设计中，会话管理网元在根据第一信息确定会话的第一用户面安全执行信息时，会话管理网元可以先根据第一信息获取第一用户面安全策略；之后，可以直接将第一用户面安全策略作为会话的第一用户面安全执行信息，也可以结合其他的判断信息(如服务质量需求)进行进一步分析，根据第一用户面安全策略确定会话的第一用户面安全执行信息。

通过上述方法，会话管理网元获取第一用户面安全策略后，可以采用多种方式确定第一用户面安全执行信息。

在一种可能的设计中，会话管理网元在根据第一信息获取第一用户面安全策略包括，会话管理网元向统一数据管理网元发送第一签约信息获取请求，第一签约信息获取请求可以请求第一终端设备签约的用户面安全策略；第一终端设备签约的用户面安全策略指示第一终端设备中继类型的会话的用户面安全策略和非中继类型的会话的用户面安全策略；之后，会话管理网元从统一数据管理网元接收第一签约信息获取响应，第一签约信息获取响应包括第一终端设备签约的用户面安全策略；会话管理网元根据第一信息从第一终端设备签约的用户面安全策略确定第一用户面安全策略，将第一终端设备中继类型的会话的用户面安全策略确定为第一用户面安全策略。

通过上述方法，会话管理网元在从统一数据管理网元获取第一终端设备签约的用户面安全策略后，可以基于第一信息从该第一终端设备签约的用户面安全策略选择第一用户面安全策略，使得能够最终确定出适用于中继会话的用户面安全执行信息。

在一种可能的设计中，会话管理网元根据第一信息获取第一用户面安全策略时：

会话管理网元可以向统一数据管理网元发送第一签约信息获取请求；第一签约信息获取请求包括中继指示；中继指示用于请求所述第一终端设备中继类型的会话的用户面安全策略；该中继指示可以为第一信息(该种方式可以参见前述内容)，该中继指示也可以是根据第一信息确定的。之后，会话管理网元从统一数据管理网元接收第一签约信息获取响应，第一签约信息获取响应包括第一终端设备签约的用户面安全策略；第一终端设备签约的用户面安全策略包括所述第一用户面安全策略。

通过上述方法，会话管理网元在从统一数据管理网元获取第一终端设备签约的用户面安全策略后，可以基于中继指示。例如，当第一信息为第二终端设备的标识时，该中继指示可以采用显式的指示方式，这样便于统一数据管理网元无需再识别第二终端设备的标识，能够较快的确定出该第一终端设备签约的用户面安全策略。

在一种可能的设计中，当第一信息采用隐式的方式指示会话的类型为中继类型时，例如第一信息可以为第二终端设备的临时标识或匿名化标识，会话管理网元在根据第一请求 获取第一用户面安全策略时，可以先根据第二终端设备的临时标识或匿名化标识获取第二终端设备的SUPI，例如，会话管理网元可以从统一数据管理网元获取第二终端设备的SUPI。之后，会话管理网元可以向统一数据管理网元发送第一签约信息获取请求，第一签约信息获取请求包括第二终端设备的SUPI；之后，会话管理网元从统一数据管理网元接收第一签约信息获取响应，第一签约信息获取响应中携带的信息可以为如下任一种：

第一种、第一签约信息获取响应中包括第一用户面安全策略。

第二种、第一签约信息获取响应中包括第一终端设备中继类型的会话的用户面安全策略；之后，会话管理网元根据第一终端设备中继类型的会话的用户面安全策略确定第一用户面安全策略。

第三种、第一签约信息获取响应中包括第二终端设备签约的用户面安全策略，之后，会话管理网元根据第二终端设备签约的用户面安全策略确定第一用户面安全策略。

通过上述方法，会话管理网元可以通过多种不同的方式从统一数据管理网元获取第一用户面安全策略。

在一种可能的设计中，会话管理网元在根据第一请求获取第一用户面安全策略时，会话管理网元可以向统一数据管理网元发送第一签约信息获取请求，第一签约信息获取请求包括第一信息；会话管理网元从统一数据管理网元接收第一签约信息获取响应，第一签约信息获取响应包括第一用户面安全策略。

通过上述方法，会话管理网元可以直接从统一数据管理网元获取第一用户面安全策略，这种方式更加简单、高效。

在一种可能的设计中，第一信息指示会话的类型为中继类型的方式有许多种，例如第一信息采用显式的指示方式，如第一信息可以为预先约定的字段或字符。又例如，第一信息也可以采用隐式的指示方式，如第一信息为第二终端设备的标识，第二终端设备的标识包括下列的部分或全部：

第二终端设备的临时标识、第二终端设备的匿名化标识、或者第二终端设备的用户永久性标识SUPI。

通过上述方法，第一信息可以通过不同的方式灵活的指示会话的类型为中继类型。

在一种可能的设计中，第一用户面安全策略指示完整性保护为优选，会话管理网元在根据第一用户面安全策略确定会话的第一用户面安全执行信息时，还可以参考第一终端设备的完整性保护最大数据率。例如，会话管理网元若确定第一终端设备的完整性保护最大数据率小于会话要求的数据率后，可以确定会话的完整性保护为不需要，也即第一用户面安全执行信息中会话的完整性保护为不需要。

通过上述方法，会话管理网元确定的第一用户面安全执行信息除了能够保证第二终端设备的安全需求，还可以保证第一终端设备能够通过该会话有效的传输第二终端设备的数据。

在一种可能的设计中，若第一用户面安全策略指示完整性保护为必须，会话管理网元在确定第一终端设备的完整性保护最大数据率小于会话要求的数据率，可以向第一终端设备发送会话建立拒绝响应，用于指示拒绝建立会话。

通过上述方法，会话管理网元在确定第一终端设备无法在开启完整性保护的情况下支持第二终端设备的数据传输，可以拒绝建立该会话，这样可以保证第二终端设备的数据的安全性。

在一种可能的设计中，会话管理网元还可以接收第三请求，第三请求可以用于指示第三终端设备使用会话，第三请求包括第三终端设备的标识；该第三请求可以为会话修改请求，也可以为其他请求。会话管理网元根据第三终端设备的标识确定第三终端设备使用该会话，之后，可以确定该会话的第二用户面安全执行信息，并向接入网设备发送会话的第二用户面安全执行信息，会话的第二用户面安全执行信息用于确定第一终端设备与接入网设备之间该会话的第二用户面安全激活状态。

通过上述方法，会话管理网元可以更新该会话的用户面安全执行信息，以适用于第三终端设备的安全需求。

在一种可能的设计中，会话管理网元在根据第三终端设备的标识确定会话的第二用户面安全执行信息时，可以根据第三终端设备的标识确定第二用户面安全策略；之后，可以直接将第二用户面安全策略作为会话的第二用户面安全执行信息，也可以结合其他的判断信息(如服务质量需求)，根据第二用户面安全策略确定会话的第一用户面安全执行信息。

通过上述方法，会话管理网元获取第二用户面安全策略后，可以采用多种方式确定第二用户面安全执行信息。

在一种可能的设计中，第三终端设备的标识包括下列的部分或全部：

第三终端设备的临时标识、第三终端设备的匿名化标识、或者第三终端设备的SUPI。

通过上述方法，不同的标识指示第三终端设备，适用于多种场景。

在一种可能的设计中，会话管理网元在根据第二用户面安全策略确定会话的第二用户面安全执行信息时，可以采用如下任一方式：

方式一、会话管理网元根据第二用户面安全策略和会话的第一用户面安全执行信息确定会话的第二用户面安全执行信息。

方式二、会话管理网元根据第二用户面安全策略和第一用户面安全策略确定会话的第二用户面安全执行信息。

方式三、会话管理网元仅根据第二用户面安全策略确定会话的第二用户面安全执行信息。

通过上述方法，会话管理网元可以采用多种不同的方式确定第二用户面安全执行信息，适用于不同应用场景。

在一种可能的设计中，会话管理网元在根据第三终端设备的标识获取第二用户面安全策略时，与获取第一用户面安全策略类似。

例如，会话管理网元向统一数据管理网元发送第二签约信息获取请求，第二签约信息获取请求包括第三终端设备的标识；会话管理网元从统一数据管理网元接收第二签约信息获取响应，第二签约信息获取响应包括第二用户面安全策略。

又例如，会话管理网元也可以根据第三终端设备的标识从第一终端设备签约的用户面安全策略确定第二用户面安全策略。

又例如，会话管理网元向统一数据管理网元发送第二签约信息获取请求，第二签约信息获取请求包括第三终端设备的标识；会话管理网元从统一数据管理网元接收第二签约信息获取响应，第二签约信息获取响应包括第一终端设备中继类型的会话的用户面安全策略，会话管理网元根据第一终端设备中继类型的会话的用户面安全策略确定第二用户面安全策略。

又例如，会话管理网元向统一数据管理网元发送第二签约信息获取请求，第二签约信 息获取请求包括第三终端设备的标识；会话管理网元从统一数据管理网元接收第二签约信息获取响应，第二签约信息获取响应包括第三终端设备签约的用户面安全策略，会话管理网元根据第三终端设备签约的用户面安全策略确定第二用户面安全策略。

通过上述方法，会话管理网元可以较为灵活的获取第二用户面安全策略，有效的扩展了应用场景。

在一种可能的设计中，会话管理网元在确定会话的第一用户面安全执行信息与会话的第二用户面安全执行信息不同后，会话管理网元可以向接入网设备发送会话的第二用户面安全执行信息。会话管理网元在确定会话的第一用户面安全执行信息与会话的第二用户面安全执行信息相同，会话管理网元可以不向接入网设备发送会话的第二用户面安全执行信息。

通过上述方法，通过比较会话的第一用户面安全执行信息与会话的第二用户面安全执行信息，在确定是否发送会话的第二用户面安全执行信息，能够较好的减少会话管理网元与接入网设备之间的信息交互。

在一种可能的设计中，第二用户面安全策略指示会话的完整性保护为优选，会话管理网元根据第二用户面安全策略确定会话的第二用户面安全执行信息，也可以参考第一终端设备的完整性保护最大数据率。例如，会话管理网元在确定第一终端设备的完整性保护最大数据率小于会话要求的数据率后，确定关闭会话的完整性保护，也即第二用户面安全执行信息中会话的完整性保护为不需要。

通过上述方法，会话管理网元确定的第二用户面安全执行信息除了能够保证第三终端设备的安全需求，还可以保证第一终端设备能够通过该会话有效的传输第三终端设备的数据。

第二方面，本申请实施例提供了一种确定用户面安全执行信息的方法，方法包括：首先，第一终端设备可以向移动接入管理网元发送第二请求，第二请求用于请求创建中继类型的会话，第二请求包括第二信息，第二信息指示会话的类型为中继类型；之后，第一终端设备可以接收来自接入网设备的第一指示信息，第一指示信息用于指示第一终端设备与接入网设备之间会话的第一用户面安全激活状态。第一终端设备根据第一指示信息配置第一用户面安全激活状态。

通过上述方法，第一终端设备在发起会话创建流程时，可以同时指示该会话的会话类型，以便会话管理网元可以确定该会话的用户面安全执行信息。

在一种可能的设计中，第一终端设备可以接收第二终端设备发送的第一直接通信请求，第一直接通信请求用于建立与第一终端设备的通信，第一终端设备可以确定需要建立中继类型的会话发送第二请求。第一终端设备可以预先创建中继类型的会话，也即第一终端设备可以在接收到第二终端设备的第一直接通信请求之前，发送第二请求。

通过上述方法，第一终端设备可以在不同的场景下，确定需要创建中继类型的会话，发送第二请求。

在一种可能的设计中，第二请求可以包括N1 SM container，N1 SM container包括第二信息；这种情况下，第一请求可以为会话建立请求。第二请求也可以包括第二信息和N1 SM container。这种情况下，第二请求包括会话建立请求(也即N1 SM container)和第二信息。

通过上述方法，第二请求有多种组成形式，适用于不同的应用场景。

在一种可能的设计中，第二信息指示会话的类型为中继类型的方式有许多种，例如第 二信息采用显式的指示方式，如第二信息可以为预先约定的字段或字符。又例如，第二信息也可以采用隐式的指示方式，如第二信息为第二终端设备的标识，第二终端设备的标识为下列之一：第二终端设备的临时标识、第二终端设备的匿名化标识、第二终端设备的用户永久性标识SUPI。这种情况下，该会话用于传输第二终端设备的数据。

通过上述方法，第二信息可以通过不同的方式灵活的指示会话的类型为中继类型。

在一种可能的设计中，第一终端设备还可以接收第三终端设备发送的第二直接通信请求，第二直接通信请求用于建立与第一终端设备的通信；第一终端设备根据第二直接通信请求，确定第三终端设备使用会话；之后，发送第三请求，第三请求用于指示第三终端设备使用会话，第三请求包括第三终端设备的标识。该第三请求可以为会话修改请求，也可以为其他请求。

通过上述方法，在第三终端设备要重用该会话的情况下，第一终端设备可以通过发送第三请求的方式告知会话管理网元第三终端设备要重用该会话，以便会话管理网元重新确定用户面安全执行信息。

在一种可能的设计中，第三终端设备的标识包括下列的部分或全部：第三终端设备的临时标识、第三终端设备的匿名化标识、或者第三终端设备的SUPI。

通过上述方法，第三终端设备的标识可以为不同类型的标识，适用于不同的应用场景。

在一种可能的设计中，第一终端设备在接收来自接入网设备指示第一用户面安全激活状态的第一指示信息之后，可以根据第一用户面安全激活状态确定第一终端设备与第二终端设备的安全激活状态。

通过上述方法，第一终端设备可以配置PC5口(第一终端设备与第二终端设备之间的通信接口)的安全激活状态，以保证第二终端设备的数据安全性。

在一种可能的设计中，若第一用户面安全激活状态中完整性保护为必须，第一终端设备在根据第一用户面安全激活状态配置第一终端设备与第二终端设备的安全激活状态时，还可以参考第二终端设备的完整性保护最大数据率或QoS控制信息，也即根据第二终端设备的完整性保护最大数据率或QoS控制信息确定是否开启第一终端设备与第二终端设备之间的完整性保护。

通过上述方法，第一终端设备与第二终端设备的用户面安全激活状态除了能够保证第二终端设备的数据安全性，也可以保证第二终端设备可以有效的将数据传输至第一终端设备。

在一种可能的设计中，若第一用户面安全激活状态中完整性保护为不需要，第一终端设备在确定第二终端设备的用户面安全策略指示完整性保护为必须(该信息可以携带在第一直接通信请求中)的情况下，向第二终端设备发送直连通信拒绝消息。

通过上述方法，第一终端设备在确定第二终端设备无法在开启完整性保护的情况下支持数据传输，可以拒绝建立直接通信，这样可以保证第二终端设备的数据的安全性。

在一种可能的设计中，第一终端设备还可以接收来自接入网设备的第二指示信息，第二指示信息用于指示第一终端设备与接入网设备之间该会话的第二用户面安全激活状态；之后，根据第二指示信息更新第一用户面安全激活状态。也即根据所述第二指示信息将第一用户面安全激活状态更新为第二用户面安全激活状态。

通过上述方法，第一终端设备可以更新第一终端设备与接入网设备之间的用户面安全激活状态，以保证第三终端设备的数据安全性。

在一种可能的设计中，第一终端设备接收接入网设备发送第二指示信息之后，还可以根据第二用户面安全激活状态是否更新第一终端设备与第二终端设备的用户面安全激活状态。

通过上述方法，第一终端设备可以更新PC5口(第一终端设备与第三终端设备之间的通信接口)的安全激活状态，以保证第三终端设备的数据安全性。

在一种可能的设计中，第二用户面安全激活状态中完整性保护为必须，第一终端设备在根据第二用户面安全激活状态更新第一终端设备与第二终端设备的安全激活状态时，该可以考虑第三终端设备的完整性保护最大数据率或QoS控制信息，根据第三终端设备的完整性保护最大数据率或服务质量QoS控制信息确定是否开启第一终端设备与第二终端设备之间的完整性保护。

通过上述方法，第一终端设备与第三终端设备的用户面安全激活状态除了能够保证第三终端设备的数据安全性，也可以保证第三终端设备可以有效的将数据传输至第一终端设备。

第三方面，本申请实施例提供了一种确定用户面安全执行信息的方法，方法包括：首先，移动接入管理网元接收第一终端设备发送第二请求，第二请求包括第二信息，第二请求用于请求创建第一终端设备中继类型的会话，第二信息用于指示会话的类型为中继类型；之后，移动接入管理网元根据第二请求向会话管理网元发送第一请求，第一请求包括第一信息，第一信息用于指示会话的类型为中继类型，第一请求用于请求创建第一终端设备中继类型的会话。

通过上述方法，移动接入管理网元在接收到包括第二信息的第二请求后，及时的向会话管理网元发送包括第一信息的第一请求，以便会话管理网元可以根据第一信息确定该会话的用户面安全执行信息。

在一种可能的设计中，第二信息与第一信息相同，第一请求和第二请求包括N1 SM container，N1 SM container包括第二信息，这种情况下，第一请求和第二请求可以为会话建立请求。也即第一请求和第二请求相同，移动接入管理网元可以将第一请求直接传输给会话管理网元。

在一种可能的设计中，第二请求包括第二信息和N1 SM container；第一请求包括第一信息和N1 SM container。

通过上述方法，由于第二信息位于N1 SM container之外，移动接入管理网元可以识别该第二信息，进一步确定需要携带在第一请求中的第一信息。

在一种可能的设计中，移动接入管理网元在根据第二信息向会话管理网元发送第一请求时，可以先根据第二信息确定第一终端设备是否授权建立会话，若确定第一终端设备授权建立会话，则向会话管理网元发送第一请求，否则，可以直接拒绝建立该会话。

通过上述方法，移动接入管理网元可以预先根据第二信息对第一终端设备进行授权检查，以保证后续可以较为高效的建立该会话。

在一种可能的设计中，第二信息为第二终端设备的临时标识或匿名化标识，移动接入管理网元可以根据第二信息确定第二终端设备的SUPI，第二终端设备的SUPI可以作为第一信息。

通过上述方法，移动接入管理网元可以确定该第二终端设备的SUPI，第一终端设备无需之间传输该第二终端设备的SUPI，保证了第二终端设备的SUPI的安全性。

在一种可能的设计中，第二信息指示会话的类型为中继类型的方式有许多种，例如第二信息采用显式的指示方式，如第二信息可以为预先约定的字段或字符。又例如，第二信息也可以采用隐式的指示方式，如第二信息为第二终端设备的标识，第二终端设备的标识为下列之一：第二终端设备的临时标识、第二终端设备的匿名化标识、第二终端设备的用户永久性标识SUPI。

通过上述方法，第二信息可以通过不同的方式灵活的指示会话的类型为中继类型。

在一种可能的设计中，第一信息指示会话的类型为中继类型的方式有许多种，例如第一信息采用显式的指示方式，如第一信息可以为预先约定的字段或字符。又例如，第一信息也可以采用隐式的指示方式，如第一信息为第二终端设备的标识，第二终端设备的标识包括下列的部分或全部：

第二终端设备的临时标识、第二终端设备的匿名化标识、或者第二终端设备的用户永久性标识SUPI。

通过上述方法，第一信息可以通过不同的方式灵活的指示会话的类型为中继类型。

在一种可能的设计中，移动接入管理网元在根据第二请求向会话管理网元发送第一请求之前，还可以根据第二信息确定第一终端设备授权为第二终端设备建立会话。

通过上述方法，移动接入管理网元可以预先根据第二信息对第二终端设备进行授权检查，以保证第一终端设备能够传输该第二终端设备的数据。

第四方面，本申请实施例提供了一种确定用户面安全执行信息的方法，方法包括：统一数据管理网元可以向会话管理网元提供第一用户面安全策略，下面提供两种方式：

方式一、统一数据管理网元可以从会话管理网元接收第一签约信息获取请求，第一签约信息获取请求包括第一信息，第一信息用于指示会话的类型为中继类型；统一数据管理网元根据第一信息确定第一用户面安全策略；之后，统一数据管理网元向会话管理网元发送第一签约信息获取响应，第一签约信息获取响应包括第一用户面安全策略。

在上述方式中，统一数据管理网元可以直接确定第一用户面安全策略，并反馈给会话管理网元。

方式二、统一数据管理网元从会话管理网元接收第一签约信息获取请求，第一签约信息获取请求用于请求第一终端设备签约的用户面安全策略，第一终端设备签约的用户面安全策略指示第一终端设备中继类型的会话的用户面安全策略和非中继类型的会话的用户面安全策略；统一数据管理网元向会话管理网元发送第一签约信息获取响应，第一签约信息获取响应包括第一终端设备签约的用户面安全策略，第一终端设备签约的用户面安全策略包括第一用户面安全策略。

在上述方式中，统一数据管理网元可以只需将第一终端设备签约的用户面安全策略反馈给会话管理网元，之后会话管理网元可以自行确定第一用户面安全策略。

在一种可能的设计中，统一数据管理网元根据第一信息确定第一用户面安全策略时，统一数据管理网元可以根据第一信息和第一终端设备签约的用户面安全策略确定第一用户面安全策略，第一终端设备签约的用户面安全策略指示第一终端设备中继类型和非中继类型的会话的用户面安全策略；

通过上述方法，统一数据管理网元可以根据第一信息确定该会话的中继类型的会话，进而可以确定第一用户面安全策略。

在一种可能的设计中，第一信息为第二终端设备的标识，统一数据管理网元根据第一 信息确定第一用户面安全策略时，统一数据管理网元根据第二终端设备的标识从第二终端设备签约的用户面安全策略确定第一用户面安全策略。

通过上述方法，根据第二终端设备签约的用户面安全策略确定的第一用户面安全策略能够保证第二终端设备的安全需求。

在一种可能的设计中，统一数据管理网元从会话管理网元接收第二签约信息获取请求，第二签约信息获取请求包括第三终端设备的标识；之后，统一数据管理网元根据第三终端设备的标识确定第二用户面安全策略；之后，向会话管理网元发送第二签约信息获取响应，第二签约信息获取响应包括第二用户面安全策略。

通过上述方法，统一数据管理网元可以根据第二信息确定该会话的中继类型的会话，进而可以确定第二用户面安全策略。

第五方面，本申请实施例还提供了一种通信装置，所述通信装置应用于会话管理网元，有益效果可以参见第一方面的描述此处不再赘述。该装置具有实现上述第一方面的方法实例中行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述装置的结构中包括接收单元、处理单元和发送单元，这些单元可以执行上述第一方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不做赘述。

第六方面，本申请实施例还提供了一种通信装置，所述通信装置应用于第一终端设备，有益效果可以参见第二方面的描述此处不再赘述。该装置具有实现上述第二方面的方法实例中行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述装置的结构中包括接收单元和发送单元、可选的，还包括处理单元，这些单元可以执行上述第二方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不做赘述。

第七方面，本申请实施例还提供了一种通信装置，所述通信装置应用于移动接入管理网元，有益效果可以参见第三方面的描述此处不再赘述。该装置具有实现上述第三方面的方法实例中行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述装置的结构中包括接收单元和发送单元、可选的，还包括处理单元，这些单元可以执行上述第三方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不做赘述。

第八方面，本申请实施例还提供了一种通信装置，所述通信装置应用于统一数据管理网元，有益效果可以参见第四方面的描述此处不再赘述。该装置具有实现上述第四方面的方法实例中行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述装置的结构中包括接收单元和发送单元、可选的，还包括处理单元，这些单元可以执行上述第四方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不做赘述。

第九方面，本申请实施例还提供了一种通信装置，所述通信装置应用于会话管理网元，有益效果可以参见第一方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器，所述处理器被配置为支持所述会话管理网元执行上述第一方面方法中相应的功能。所述存储器与所述处理器耦合，其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括通信接口，用于与其他设备进行通信。

第十方面，本申请实施例还提供了一种通信装置，所述通信装置应用于第一终端设备， 有益效果可以参见第二方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器，所述处理器被配置为支持所述第一终端设备执行上述第二方面方法中相应的功能。所述存储器与所述处理器耦合，其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括收发器，用于与其他设备进行通信。

第十一方面，本申请实施例还提供了一种通信装置，所述通信装置应用于移动接入管理网元，有益效果可以参见第三方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器，所述处理器被配置为支持所述移动接入管理网元执行上述第三方面方法中相应的功能。所述存储器与所述处理器耦合，其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括通信接口，用于与其他设备进行通信。

第十二方面，本申请实施例还提供了一种通信装置，所述通信装置应用于统一数据管理网元，有益效果可以参见第四方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器，所述处理器被配置为支持所述统一数据管理网元执行上述第四方面方法中相应的功能。所述存储器与所述处理器耦合，其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括通信接口，用于与其他设备进行通信。

第十三方面，本申请实施例还提供了一种通信系统，有益效果可以参见上个各个方面的描述此处不再赘述，所述通信系统包括会话管理网元和统一数据管理网元；

会话管理网元，用于向统一数据管理网元发送第一签约信息获取请求，所述第一签约信息获取请求包括中继指示，所述中继指示用于请求所述第一终端设备中继类型的会话的用户面安全策略；

统一数据管理网元，用于接收第一签约信息获取请求，根据第一信息从第一终端设备签约的用户面安全策略中确定第一用户面安全策略，第一终端设备签约的用户面安全策略包括第一终端设备中继类型与非中继类型的会话的用户面安全策略；以及向会话管理网元发送第一签约信息获取响应，第一签约信息获取响应包括第一用户面安全策略；

会话管理网元，还用于接收第一签约信息获取响应。

在一种可能的设计中，该系统还包括移动管理网元：

移动接入管理网元，用于向会话管理网元发送第一请求，所述第一请求用于请求为第一终端设备建立中继类型的会话，所述第一请求包括第一信息，该第一信息用于指示会话的类型为中继类型；

会话管理网元，用于接收第一请求，所述中继指示为第一信息或根据所述第一信息确定的。

在一种可能的设计中，会话用于传输第二终端设备的数据，第一信息为第二终端设备的标识，第二终端设备的标识包括下列的部分或全部：

第二终端设备的临时标识、第二终端设备的匿名化标识、或者第二终端设备的SUPI。

在一种可能的设计中，系统还包括接入网设备。

会话管理网元，还用于根据第一用户面安全策略确定会话的第一用户面安全执行信息后，向接入网设备发送会话的第一用户面安全执行信息。

接入网设备，用于接收会话的第一用户面安全执行信息，根据会话的第一用户面安全执行信息激活第一终端设备与接入网设备之间该会话的第一用户面安全激活状态。

在一种可能的设计中，系统还包括第一终端设备；

接入网设备，还用于向第一终端设备发送第一指示消息，第一指示消息用于指示会话 中第一终端设备与接入网设备之间该会话的第一用户面安全激活状态。

第一终端设备，用于接收第一指示消息，根据第一指示信息激活与接入网设备的第一用户面安全激活状态；以及根据第一用户面安全激活状态配置第一终端设备与第二终端设备的安全激活状态。

在一种可能的设计中，第一终端设备，还用于在确定第三终端设备使用会话后，向会话管理网元发送第二请求，第二请求用于请求修改会话，第二请求包括第三终端设备的标识；

会话管理网元，还用于根据第三终端设备的标识获取第二用户面安全策略；以及根据第二用户面安全策略确定会话的第二用户面安全执行信息后，向接入网设备发送会话的第二用户面安全执行信息。

接入网设备，还用于接收会话的第二用户面安全执行信息，根据会话的第二用户面安全执行信息更新第一用户面安全激活状态，将第一用户面安全激活状态更新为第二用户面安全激活状态。

在一种可能的设计中，第三终端设备的标识包括下列的部分或全部：

第三终端设备的临时标识、第三终端设备的匿名化标识、或者第三终端设备的SUPI。

在一种可能的设计中，接入网设备，还用于向第一终端设备发送第二指示消息，第二指示消息用于指示第一终端设备与接入网设备之间该会话的第二用户面安全激活状态。

第一终端设备，用于接收第二指示消息，根据第二指示信息更新第一用户面安全激活状态，将第一用户面安全激活状态更新为第二用户面安全激活状态；以及根据第二用户面安全激活状态更新第一终端设备与第二终端设备的安全激活状态。

在一种可能的设计中，第一用户面安全策略指示完整性保护为优选，会话管理网元在根据第一用户面安全策略确定会话的第一用户面安全执行信息，具体用于：

在确定第一终端设备的完整性保护最大数据率小于会话要求的数据率后，确定关闭会话的完整性保护。

一种可能的设计中，若第一用户面安全策略指示完整性保护为必须，会话管理网元，还用于在确定第一终端设备的完整性保护最大数据率低于会话要求的数据率后，向第一终端设备发送会话建立拒绝响应，用于指示拒绝建立会话。

在一种可能的设计中，会话管理网元在根据第二用户面安全策略确定会话的第二用户面安全执行信息，具体用于：

根据第二用户面安全策略和会话的第一用户面安全执行信息确定会话的第二用户面安全执行信息；或

根据第二用户面安全策略和第一用户面安全策略确定会话的第二用户面安全执行信息。

在一种可能的设计中，会话管理网元根据第三终端设备的标识获取第二用户面安全策略，具体用于：

向统一数据管理网元发送第二签约信息获取请求，第二签约信息获取请求包括第三终端设备的标识；

统一数据管理网元，用于接收第二签约信息获取请求，根据第三终端设备的标识确定第二用户面安全策略；向会话管理网元发送第二用户面安全策略；

会话管理网元，还从统一数据管理网元接收第二用户面安全策略。

在一种可能的设计中，会话管理网元向接入网设备发送会话的第二用户面安全执行信息之前，还用于：

确定会话的第一用户面安全执行信息与会话的第二用户面安全执行信息不同。

在一种可能的设计中，第二用户面安全策略指示会话的完整性保护为优选，会话管理网元在根据第二用户面安全策略确定会话的第二用户面安全执行信息，具体用于：

在确定第一终端设备的完整性保护最大数据率小于会话要求的数据率后，确定关闭会话的完整性保护。

第十四方面，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第十五方面，本申请还提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第十六方面，本申请还提供一种计算机芯片，所述芯片与存储器相连，所述芯片用于读取并执行所述存储器中存储的软件程序，执行上述各方面所述的方法。

附图说明

图1为本申请实施例提供的一种系统的架构图；

图2为本申请实施例提供的一种确定用户面安全执行信息的方法示意图；

图3为本申请实施例提供的一种确定用户面安全执行信息的方法示意图；

图4为本申请实施例提供的一种确定用户面安全执行信息的方法示意图；

图5为本申请实施例提供的一种确定用户面安全执行信息的方法示意图；

图6为本申请实施例提供的一种确定用户面安全执行信息的方法示意图；

图7～图13为本申请实施例提供的一种通信装置的结构示意图。

具体实施方式

参阅图1所示，一种本申请适用的具体的网络架构示意图。该网络架构为5G系统的网络架构。该5G架构中的网元包括终端设备(user equipment，UE)。网络架构还包括无线接入网(radio access network，RAN)、接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、用户面功能(user plane function，UPF)网元、统一数据管理(unified data management，UDM)网元、应用功能(application function，AF)网元、数据网络(data network，DN)等。

终端设备是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。在本申请实施例中终端设备可以分为两种，分别为远端UE(如 第二终端设备、第三终端设备和中继UE(如第一终端设备)，远端UE是指需要借助中继UE与数据网络进行通信的UE，中继UE为可以与数据网络直接进行通信的UE。

在本申请实施例中，远端UE可以向中继UE发送直接通信请求(如第一直接通信请求和第二直接通信请求)，用于与中继UE建立PC5口的通信连接，而中继UE可以向SMF网元发起会话建立流程，用于建立用于传输远端UE与DN之间的数据传输的会话(该会话实质上为中继UE通过接入网与网络建立的会话，用于需要传输远端UE和数据网络之间交互的数据，也可以称为中继会话)。中继UE发起会话建立流程时，可以直接将远端UE的标识、或指示建立的会话为中继会话的指示信息发送给SMF网元。中继UE发起会话建立流程时，也可以通过AMF网元将远端UE的标识或指示信息发送SMF网元。

RAN的主要功能是控制终端设备通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲，它驻留某个设备之间(如移动电话、一台计算机，或任何远程控制机)，并提供与其核心网的连接。

AMF网元负责终端的接入管理和移动性管理，在实际应用中，其包括了LTE中网络框架中MME里的移动性管理功能，并加入了接入管理功能。

SMF网元负责会话管理，如用户的会话建立、修改或者删除等，在本申请实施例中SMF网元可以根据远端UE的标识或指示信息确定该中继UE所创建的会话为中继会话，从UDM网元获取中继会话的用户面安全策略，并基于该中继会话的用户面安全策略确定RAN所需的会话的用户面安全执行信息。

UPF网元是用户面的功能网元，主要负责连接外部网络，其包括了LTE的服务网关(serving gateway，SGW)和公用数据网网关(public data network gateway，PDN-GW)的相关功能。

DN负责为终端提供服务的网络，如一些DN为终端提供上网功能，另一些DN为终端提供短信功能等等。

UDM网元可存储用户的签约信息，实现类似于4G中的HSS，在本申请实施例中，UDM能够根据远端UE的匿名化标识或临时标识确定终端设备的用户永久性标识(subscription permanent identifier，SUPI)，UDM网元还存储有中继UE的签约用户面安全策略，该中继UE的签约用户面安全策略包括中继会话的用户面安全策略，UDM网元接收到该SMF网元的签约信息获取请求后，向SMF网元反馈中继会话的用户面安全策略。

AF网元可以是第三方的应用服务器，也可以是运营商自己部署的设备，如代理呼叫会话控制功能(proxy-call session control function，P-CSCF)，AF网元可以为多个应用服务器提供服务。

尽管未示出，核心网网元还包括统一数据仓储(unified data repository，UDR)网元、用户标识去隐藏功能网元(subscription identifier de-concealing function，SIDF)。UDR网元主要用来存储用户相关的签约数据、策略数据(如UE签约的用户面安全策略)、用于开放的结构化数据、应用数据。SIDF网元，在本申请实施例中，SIDF网元能够解析UE的匿名化标识(SUCI)，获取SUPI。SIDF网元可以独立部署，也可以与其他网元共部署，如SIDF网元可以与UDM网元共部署。

在本申请实施例中，中继UE在确定需要创建中继会话时，可以向会话管理网元发起会话建立流程，用于建立中继类型的会话，并在会话建立流程中将指示会话的类型为中继类型的第一信息发送给会话管理网元，由会话管理网元根据第一信息确定该第一用户面安 全策略，并基于该第一用户面安全策略确定该会话的第一用户面安全执行信息，将该会话的第一用户面安全执行信息发送到接入网设备，接入网设备可以利用该会话的第一用户面安全执行信息确定第一用户面安全激活状态，第一用户面安全激活状态用于指示中继UE与接入网设备之间的用户面的完整性保护开启或关闭、加密保护开启或关闭。在本申请实施例中，通过接收第一信息，会话管理网元能够获取中继类型会话的用户面安全策略，从而确定该会话的用户面的安全执行信息，使得接入网根据会话的用户面安全执行信息确定的安全激活状态能够满足远端UE的安全需求。

下面结合附图，对本申请实施例提供的确定用户面安全策略的方法进行说明，在本申请实施例中确定用户面安全激活状态的方法由两种方式，一种为不需移动接入管理网元参与，由会话管理网元基于第二终端设备的标识或指示信息确定会话的用户面安全的方式，另一种为移动接入管理网元参与，移动接入管理网元需要根据第一终端设备发送的信息做进一步处理后，然后确定或获取或生成指示信息发送给会话管理网元，再由会话管理网元基于该信息确定会话的用户面安全策略的方式。下面对这两种方式分别进行说明：

方式一、参见图2，为本申请实施例提供的一种确定用户面安全执行信息的方法，该方法包括：

步骤201：第二终端设备向第一终端设备发送第一直接通信请求，用于请求与第一终端设备建立通信连接。第一直接通信请求中可以包括第二终端设备的标识。

第二终端设备的标识包括但不限于：第二终端设备的临时标识、匿名化标识以及用户永久性标识(subscription permanent identifier，SUPI)。

其中，临时标识是预先为第二终端设备分配的标识，匿名化标识可以为一种隐藏了终端设备的永久性标识，只有特定网元可以通过匿名化标识获取该匿名化标识中隐藏的终端设备的永久性标识，例如，匿名化标识可以为用户隐藏标识(subscription concealed identifier，SUCI)，SUCI为包含SUPI的隐私保护标识。

步骤202：第一终端设备接收到第一直接通信请求后，确定需要创建用于传输第二终端设备数据的会话，也即需要创建第一终端设备中继类型的会话，向会话管理网元发送会话建立请求，会话建立请求用于请求创建第一终端设备中继类型的会话。会话建立请求可以包括会话标识，在本申请实施例中所创建的会话可以为PDU会话。

需要说明的是，在本申请实施例中中继类型的会话也可以称为中继会话。其中，中继会话即第一终端设备作为中继UE建立的用于支持远端UE与数据网络之间数据传输的会话。相应的，除了第一终端设备中继类型的会话，还有第一终端设备非中继类型的会话，在本申请实施例中非中继类型的会话也可以称为非中继会话，非中继会话即第一终端设备为自己建立的用于支持第一终端设备与数据网络之间数据传输的会话。

为了告知会话管理网元第一终端设备所请求创建的会话为中继会话，第一终端设备可以在该会话建立请求中携带第一信息，该第一信息指示该会话的类型为中继类型。

本申请实施例并不限定第一信息指示该会话的类型为中继类型的方式，例如，第一信息可以采用显式的指示方式，第一信息可以是预先约定的字段或字符。又例如，第一信息可以采用隐式的指示方式，第一信息可以是第二终端设备的标识。

第一终端设备在向会话管理网元发送会话建立请求时，可以先将会话建立请求发送至移动接入管理网元，移动接入管理网元在接收到会话建立请求后，将会话建立请求转发给 会话管理网元。

进一步的，第一终端设备通过将会话建立请求包含在NAS消息中发送给移动接入管理网元，NAS消息还包括数据网络名称(data network name，DNN)和/或单网络切片选择辅助信息(single-network slice selection assistance information，S-NSSAI)。也就是说，会话建立请求包含在N1 SM container中。

步骤203：会话管理网元接收到会话建立请求后，根据该第一信息确定该第一用户面安全策略。

步骤204：会话管理网元在获取该第一用户面安全策略后，可以根据第一用户面安全策略确定该中继会话的第一用户面安全执行信息，其中，中继会话的第一用户面安全执行信息能够用于确定第一终端设备与接入网设备之间该会话的第一用户面安全激活状态。

需要说明的是，第一终端设备与接入网设备之间该会话的第一用户面安全激活状态实质上是第一终端设备与接入网设备之间的通信接口的第一用户面安全激活状态，为方便说明，将第一终端设备与接入网设备之间的通信接口称为第一接口。

步骤205：会话管理网元在确定了中继会话的第一用户面安全执行信息后，可以向接入网设备发送中继会话的第一用户面安全执行信息。

本申请实施例并不限定会话管理网元根据该第一信息确定该第一用户面安全策略的方式，下面列举其中四种方式：

(1)、会话管理网元获取第一终端设备的签约的信息，第一终端设备的签约信息包括中继标识信息和第一终端设备签约的用户面安全策略，中继标识信息用于指示第一终端设备授权建立中继类型的会话，也即是否允许作为中继设备。

第一终端设备签约的用户面安全策略包括第一终端设备允许作为中继设备时的用户面安全策略。第一终端设备允许作为中继设备时的用户面安全策略包括第一终端设备中继会话的用户面安全策略。可选的，第一终端设备允许作为中继设备时的用户面安全策略还包括第一终端设备允许作为中继设备时非中继会话的用户面安全策略，也即第一终端设备非中继会话的用户面安全策略。

可选的，第一终端设备签约的用户面安全策略还可以包括第一终端设备不作为中继设备时的用户面安全策略。

第一终端设备允许作为中继设备时非中继会话的用户面安全策略和第一终端设备不作为中继设备时的用户面安全策略均属于第一终端设备非中继会话的用户面安全策略，区别在于，第一终端设备是否允许作为中继设备。

第一终端设备签约的用户面安全策略标识第一终端设备允许作为中继设备时的用户面安全策略和第一终端设备不允许作为中继设备时的用户面安全策略的方式有很多种，例如，可以用中继标识信息显式的标识，也可以利用中继会话和非中继会话标识用户面安全策略。在利用中继会话和非中继会话标识用户面安全策略的方式中由于区分了中继会话和非中继会话，也就说明第一终端设备是允许作为中继设备的。

下面列举几种第一终端设备签约的用户面安全策略，参见表1和表2。

表1

其中，用户面安全策略1为利用中继标识信息标识的用户面安全策略，是第一终端设备作为中继设备时的用户面安全策略。用户面安全策略2为第一终端设备不作为中继设备时的用户面安全策略。用户面安全策略1可以作为第一终端设备中继会话的用户面安全策略，用户面安全策略2可以作为第一终端设备非中继会话的用户面安全策略。这里需要说明的是，由于用户面安全策略1并未区分中继会话或非中继会话，也就是说，当第一终端设备非中继会话的数据网络为数据网络1时，也可以选择用户面安全策略1作为用户面安全策略。

表2

其中，用户面安全策略1和用户面安全策略2为利用中继标识信息标识的用户面安全策略，用户面安全策略5为第一终端设备不作为中继设备时的用户面安全策略。用户面安全策3和用户面安全策略4虽然没有带有中继标识信息，但已区分了中继会话和非中继会话，也就是说第一终端设备可以作为中继设备，是采用一种隐式的方式指示该第一终端设备允许作为中继UE，其实质为第一终端设备作为中继设备时的用户面安全策略。

用户面安全策略1和用户面安全策略3为第一终端设备中继会话的用户面安全策略，用户面安全策略2、用户面安全策略4和用户面安全策略5为第一终端设备非中继会话的用户面安全策略。

需要说明的是，第一终端设备签约的用户面安全策略中也可以区分第一终端设备允许作为中继设备时的用户面安全策略和第一终端设备不作为中继设备时的用户面安全策略，只是在签约信息中增加中继标识信息，用于指示第一终端设备授权建立中继类型的会话，也即可以作为中继设备。会话管理网元可根据会话对应的DNN和/或S-NSSAI选择对应的用户面安全策略。

(2)、会话管理网元获取第一终端设备的签约信息(其中包括第一终端设备签约的用户面安全策略)，会话管理网元根据第一信息和第一终端设备签约的用户面安全策略确定该第一用户面安全策略。

第一终端设备签约的用户面安全策略为运营商网络为第一终端设备预配置的签约用户面安全策略，第一终端设备签约的用户面安全策略可以包括第一终端设备中继类型的会话的用户面安全策略，还可以包括非中继类型的会话的用户面安全策略。

在本申请实施例中，第一终端设备签约的用户面安全策略中包括第一用户面安全策略和/或第二用户面安全策略，还可以包括非中继会话的用户面安全策略。

举例来说，第一终端设备签约的用户面安全策略所包括的信息如表3所示：

表3

可选的，该第一终端设备签约的用户面安全策略中还可以包括第二终端设备的标识。第二终端设备的标识用于指示该中继会话所需传输的数据所属的终端设备。

从表1中可以看出，第一终端设备签约的用户面安全策略包括与一个或多个数据网络建立的会话为中继会话以及非中继会话时、会话的用户面安全策略。数据网络可以用数据网络的DNN指示。可选的，第一终端设备签约的用户面安全策略还可以包括单网络切片选择辅助信息(single-network slice selection assistance information，S-NSSAI)，用于标识或指示网络切片。

这里对用户面安全策略包括的信息进行说明，用户面安全策略指示是否开启加密保护以及完整性保护。具体的，用户面安全策略包括用户面加密保护策略(指示是否开启加密保护)和用户面完整性保护策略(指示是否开启完整性保护)。用户面加密保护策略存在三种可能的值，分别为不需要(not needed)、优选(preferred)和必须(required)，用户面完整性保护策略存在三种可能的值，分别为not needed、preferred和required。其中，not needed表示不需要开启，preferred表示可以开启也可以不开启，required表示必须开启。上述三种可能的值可以采用2比特(bit)来指示，例如00指示不需要开启，01指示可以开启可以不开启，11指示必须开启。用户面加密保护策略和用户面完整性保护策略具体采用何种方式对三种可能的值进行指示，在本申请实施例中不作限定。

用户面加密保护即保护数据在传输过程中的机密性(因此又可以被称作用户面机密性保护)，机密性是指被传输的数据无法被直接看出真实内容。用户面完整性保护即保护数据在用户面传输过程中的完整性，完整性是指数据是原始的没有被窜改的。

在本申请实施例中，第一终端设备签约的用户面安全策略可以是会话管理网元本地保存的，也可以是会话管理网元从统一数据管理网元获取的，例如，会话管理网元可以在接收到会话建立请求后，从统一数据管理网元获取第一终端设备签约的用户面安全策略。

示例性的，会话管理网元可以向统一数据管理网元发送第一签约信息获取请求。该第一签约信息获取请求中可以携带中继指示，中继指示用于请求该第一终端设备中继类型的会话的用户面安全策略；该中继指示可以是第一信息，也可以是根据第一信息确定的。

例如，当第一信息为第二终端设备的标识时，中继指示可以采用显式的指示方式指示会话的类型为中继类型，以此来请求第一终端设备中继类型的会话的用户面安全策略，统一数据管理网元在接收到该第一签约信息获取请求后，根据中继指示可以直接确定需要反馈第一终端设备中继类型的会话的用户面安全策略。

之后，统一数据管理网元向会话管理网元发送第一签约信息获取响应，第一签约信息获取响应包括第一终端设备签约的用户面安全策略。会话管理网元从统一数据管理网元接收第一签约信息获取响应。

会话管理网元根据会话建立请求中携带的第一信息从第一终端设备签约的用户面安全策略选择对应的用户面安全策略作为第一用户面安全策略。即选择中继类型的会话的用户面安全策略作为第一用户面安全策略。

会话管理网元从统一数据管理网元获取的第一终端设备签约的用户面安全策略时，也可以只获取第一终端设备签约的用户面安全策略中的部分用户面安全策略，例如只获取第一终端设备中继会话的用户面安全策略。

仍以会话管理网元可以向统一数据管理网元发送第一签约信息获取请求为例，会话管理网元向统一数据管理网元发送第一签约信息获取请求，该第一签约信息获取请求用于请求第一终端设备签约的用户面安全策略，其中，该第一签约信息获取请求中包括该第一信息(也可以是中继指示)。

统一数据管理网元接收到第一签约信息获取请求后，可以根据该第一信息从第一终端设备签约的用户面安全策略中确定第一终端设备中继会话的用户面安全策略。

统一数据管理网元向会话管理网元发送第一签约信息获取响应，该第一签约信息获取响应包括第一终端设备中继会话的用户面安全策略。

会话管理网元根据会话建立请求中携带的第一信息确定该会话是否为中继会话，若该会话是中继会话，可以从第一终端设备中继会话的用户面安全策略选择用户面安全策略作为第一用户面安全策略。

可选的，会话管理网元也可以根据会话建立请求中携带的第一信息确定该会话是否为中继会话，若该会话是中继会话，可以直接向统一数据管理网元请求第一用户面安全策略。也就是说，会话管理网元可以向统一数据管理网元发送用于请求会话类型为中继类型的会话的用户面安全策略的请求消息，统一数据管理网在接收到该请求消息后，从中继会话的用户面安全策略中确定第一用户面安全策略，向会话管理网元反馈该第一用户面安全策略。

在上述说明的是，会话管理网元从统一数据管理网元获取第一终端设备签约的用户面安全策略为例，事实上，会话管理网元也可以通过第一信息从统一数据管理网元获取第二终端设备签约的用户面安全策略。也即统一数据管理网元在接收到包括第一信息的第一签约获取请求后，若该第一信息为第二终端设备的标识，统一数据管理网元根据该第一信息确定第二终端设备签约的用户面安全策略，将该第二终端设备签约的用户面安全策略携带在第一签约信息获取请求。会话管理网元根据第二终端设备签约的用户面安全策略确定第一用户面安全策略。

作为一种可能的实现方式，会话管理网元可以本地存储DNN和/或S-NSSAI粒度的用户面安全策略信息，所述DNN和/或S-NSSAI粒度的用户面安全策略包括DNN和/或S-NSSAI对应的中继会话的用户面安全策略和/或非中继会话的用户面安全策略，会话管理网元可以根据该会话对应的DNN和/或S-NSSAI选择对应的用户面安全策略。

(3)、第一信息为第二终端设备的匿名化标识或临时标识，会话管理网元先确定第二终端设备的用户永久性标识，之后从统一数据管理网元获取第一终端设备中继类型的会话的用户面安全策略，再根据第一信息确定第一用户面安全策略。

会话管理网元可以根据该第一信息先从统一数据管理网元获取第二终端设备的用户永久性标识。

示例性的，会话管理网元可以向统一数据管理网元发送携带有第一信息的请求消息，用于请求获取该第二终端设备的用户永久性标识。统一数据管理网元接收到该请求消息后，可以根据该第一消息获取该第二终端设备的用户永久性标识，之后向会话管理网元反馈携带第二终端设备的用户永久性标识的响应消息。其中该请求消息可以是新增的消息，也可以是现有的交互流程中，会话管理网元需要向统一数据管理网元发送的消息。

本申请实施例并不限定统一数据管理网元根据该第一消息获取该第二终端设备的用户永久性标识的方式，例如，统一数据管理网元可以存储有第二终端设备的临时标识与用户永久性标识的对应关系、或第二终端设备的匿名化标识与用户永久性标识的对应关系，统一管理网元在获取第一信息后，可以基于存储的对应关系，根据第一信息确定第二终端设备的用户永久性标识。又例如，统一数据管理网元也可以具备标识解析能力，能够将第二终端设备的匿名化标识解析为第二终端设备的用户永久标识。又例如，统一数据管理网元也可以通过与标识解析网元(如SIDF网元)交互获取第二终端设备的用户永久性标识，例如，统一数据管理网元将第二终端设备的匿名化标识发送给标识解析网元，从标识解析网元获取第二终端设备的用户永久性标识。

会话管理网元在获取了该第二终端设备的用户永久性标识后，可以根据该第二终端设备的用户永久性标识从统一数据管理网元获取第一终端设备中继类型的会话的用户面安全策略。

例如，会话管理网元可以向统一数据管理网元发送携带有第二终端设备的用户永久性标识的第一签约信息获取请求，用于请求获取该第一终端设备中继类型的会话的用户面安全策略，可选的，第一签约信息获取请求还可以包括DNN和/或S-NSSAI。统一数据管理网元接收到第一签约信息获取请求后，根据该第二终端设备的用户永久性标识确定该会话为中继会话，之后，再从第一终端设备签约的用户面安全策略确定第一终端设备中继类型的会话的用户面安全策略。统一数据管理网元之后向会话管理网元反馈携带第一终端设备中继类型的会话的用户面安全策略的第一签约信息获取响应。会话管理网元从统一数据管理网元接收该第一终端设备中继类型的会话的用户面安全策略。

作为一种可能的实施方式，统一数据管理网元接收到携带有第二终端设备的用户永久性标识第一签约信息获取请求后，也可以根据第二终端设备的用户永久性标识确定第二终端设备签约的用户面安全策略，将第二终端设备签约的用户面安全策略作为第一用户面安全策略。若第二终端设备签约的用户面安全策略中包括多个用户面安全策略，统一数据管理网元可以选择其中一个用户面安全策略作为第一用户面安全策略。示例性的，统一数据管理网元可以根据DNN和/或S-NSSAI从多个用户面安全策略中确定第一用户面安全策略， 之后将该第一用户面安全策略反馈给会话管理网元。其中，第二终端设备签约的用户面安全策略为运营商网络为第二终端设备预配置的签约用户面安全策略。

需要说明的是，第二终端设备签约的用户面安全策略指示的信息可以与第一终端设备签约的用户面安全策略指示的信息类似，也就是说，第二终端设备签约的用户面安全策略可以指示第二终端设备作为远端UE通过中继UE接入网络时中继会话的用户面安全策略，还可以指示第二终端设备直接创建会话时非中继会话的用户面安全策略。统一数据管理网元在确定第一用户面安全策略时，可以根据第二终端设备作为远端UE通过中继UE接入网络时中继会话的用户面安全策略确定第一用户面安全策略。

(4)、会话管理网元直接从统一数据管理网元获取该第一用户面安全策略。

会话管理网元可以直接向统一数据管理网元发送携带有第一信息的第一签约信息获取请求，用于请求获取该第一用户面安全策略，可选的，第一签约信息获取请求还可以包括DNN和/或S-NSSAI，用于统一数据管理网元获取DNN和/或S-NSSAI对应的签约信息，签约信息中包含对应的用户面安全策略。

这里以第一签约信息获取请求中携带第一信息为例，在实际应用中，会话管理网元也可以根据第一信息确定中继指示信息，该中继指示信息可以指示该会话的类型为中继类型，也就是说，会话管理网元根据第一信息，生成中继指示，将该中继指示携带在第一签约信息获取请求中。第一信息与该中继指示可以采用不同的方式指示该会话的类型为中继类型。作为一种可能的实施方式，该中继指示也可以与第一信息相同，也即会话管理网元将第一信息携带在第一签约信息获取请求中。

统一数据管理网元接收到第一签约信息获取请求后，统一数据管理网元可以根据第一信息确定需要获取中继类型会话的签约信息，即确定第一用户面安全策略。

统一数据管理网元在确定第一用户面安全策略时，可以从第一终端设备签约的用户面安全策略获取第一用户面安全策略。

若第一信息为第二终端设备的标识，统一数据管理网元也可以将第二终端设备签约的用户面安全策略提供给会话管理网元，会话管理网元将第二终端设备签约的用户面安全策略作为第一用户面安全策略。进一步的，若第二终端设备签约信息中可以包括第二终端设备作为远端UE通过中继UE接入网络时中继会话的用户面安全策略，统一数据网元可以将该用户面安全策略作为第一用户面安全策略提供给会话管理网元。

示例性的，第一信息为第二终端设备的临时标识或匿名化标识，统一数据管理网元可以根据第二终端设备的临时标识或匿名化标识确定第二终端设备的用户永久性标识，之后，统一数据管理网元根据第二终端设备的用户永久性标识获取第二终端设备签约的用户面安全策略并提供给会话管理网元，会话管理网元将第二终端设备签约的用户面安全策略作为第一用户面安全策略。

统一数据管理网元确定第一用户面安全策略之后，向会话管理网元反馈携带第一用户面安全策略的第一签约信息获取响应。会话管理网元从统一数据管理网元接收该第一用户面安全策略。

需要说明的是，在上述几种可能的实施方式中，将会话管理网元与统一数据管理网元交互的信息统一命名为第一签约信息获取请求和第一签约信息获取响应，但在不同的实施方式中，第一签约信息获取请求和第一签约信息获取响应中携带的信息可能不同。

在步骤204中确定的该中继会话的第一用户面安全执行信息与第一用户面安全策略类 似，可以指示在该中继会话中第一终端设备与接入网设备之间是否开启加密保护以及完整性保护，其中，加密保护以及完整性保护的取值与前述说明中用户面加密保护策略和用户面完整性保护策略的取值类似，具体可参见前述内容，此处不再赘述。在执行步骤204时，会话管理网元可以直接将第一用户面安全策略作为该中继会话的第一用户面安全执行信息。例如，第一用户面安全策略指示用户面加密保护策略为必须，用户面完整性保护策略为不需要，则该中继会话的第一用户面安全执行信息指示第一接口的加密保护为必须，完整性保护为不需要。会话管理网元也可以对第一终端设备的信息进行分析，第一终端设备的信息包括但不限于第一终端设备的完整性保护最大数据率、第一终端设备的服务质量(quality of service，QoS)控制信息(如第一终端设备的中继会话要求的数据率)，在对第一终端设备的信息分析后，确定将第一用户面安全策略作为中继会话的第一用户面安全执行信息。会话管理网元还可以对第一终端设备的信息分析后，对第一用户面安全策略进行修改，确定该中继会话的第一用户面安全执行信息。

例如，第一用户面安全策略指示用户面加密保护策略为优选，会话管理网元需要进一步确定第一接口的加密保护是否开启，之后，再确定该中继会话的第一用户面安全执行信息。

又例如，第一用户面安全策略指示用户面加密保护策略和用户面完整性保护策略均为优选，会话管理网元需要进一步确定是否开启第一接口的加密保护和完整性保护。

会话管理网元进一步确定中继会话的第一用户面安全执行信息的方式有许多种，本申请实施例并不限定。示例性的，会话管理网元可以根据第一终端设备的完整性保护最大数据率确定中继会话的第一用户面安全执行信息。

第一终端设备的完整性保护最大数据率用于指示在开启完整性保护后第一终端设备所支持的数据传输速率。若第一用户面安全策略指示用户面完整性保护策略为preferred，会话管理网元确定在开启完整性保护之后的第一终端设备所支持的数据传输速率是否能满足该中继会话要求的数据率，该中继会话要求的数据率是会话管理网元根据会话的DNN和/或S-NSSAI和/或其他的用于确定数据率的参数确定的，中继会话要求的数据率可以是会话管理网元从统一数据管理网元或策略控制网元(如PCF网元)获取，也可以是根据本地配置获取。

若在开启完整性保护之后第一终端设备所支持的数据传输速率小于中继会话要求的数据率，会话管理网元可以确定用户面安全执行信息中的完整性保护为不需要，也即关闭第一接口的完整性保护。

若在开启完整性保护之后的第一终端设备所支持的数据传输速率不小于中继会话要求的数据率，会话管理网元可以确定用户面安全执行信息中的完整性保护为必须，也即开启第一接口的完整性保护。

会话管理网元在确定中继会话的第一用户面安全执行信息后，可以创建该中继会话，执行步骤205。

需要说明的是，会话管理网元也可以根据第一终端设备的完整性保护最大数据率拒绝建立该中继会话。例如，第一用户面安全策略指示用户面完整性保护策略为开启，若第一终端设备的完整性保护最大数据率小于中继会话要求的数据率，也就是说，在开启完整性保护后，第一终端设备并不能按照中继会话要求的数据率传输数据。会话管理网元可以拒绝建立该中继会话，向第一终端设备发送会话拒绝建立响应。

接入网设备在接收到中继会话的第一用户面安全执行信息后，可以配置第一接口的第一用户面安全激活状态，该第一用户面安全激活状态指示该中继会话中第一终端设备与接入网设备之间是否开启加密保护以及完整性保护，并向第一终端设备发送指示第一接口的第一用户面安全激活状态的指示信息，告知第一终端设备第一接口的是否开启加密保护以及完整性保护。

值得注意的是，该第一用户面安全激活状态中加密保护只有两种状态，一种为开启，一种为关闭；该第一用户面安全激活状态中完整性保护也只有两种状态，一种为开启，一种为关闭。该第一用户面安全激活状态是最终确定的第一接口的用户面安全激活状态。

第一终端设备在接收到指示第一接口的第一用户面安全激活状态的指示信息后，可以根据第一接口的第一用户面安全激活状态确定第一终端设备与第二终端设备的安全激活状态。第一终端设备与第二终端设备的安全激活状态用于指示第一终端设备与第二终端设备进行数据传输时的是否开启加密保护以及完整性保护。

需要说明的是，第一终端设备与第二终端设备的安全激活状态实质上是第一终端设备与第二终端设备之间的通信接口的安全激活状态，该安全激活状态中加密保护只有两种状态，一种为开启，一种为关闭；该安全激活状态中完整性保护也只有两种状态，一种为开启，一种为关闭。该安全激活状态是最终确定的第一终端设备与第二终端设备之间的通信接口的安全激活状态。为方便说明，将第一终端设备与第二终端设备之间的通信接口称为第二接口。

例如，第一终端设备可以设置第二接口的安全激活状态与第一接口的第一用户面安全激活状态一致。

又例如，第一终端设备可以对第一接口的第一用户面安全激活状态进行分析后，确定第二接口的安全激活状态。如第一接口的第一用户面安全激活状态指示第一接口的完整性保护为开启，第一终端设备可以进一步确定第二接口的是否开启完整性保护。

第一终端设备确定第二接口的安全激活状态方式有很多种，本申请实施例并不限定。

示例性的，第一终端设备可以根据第二终端设备的完整性保护最大数据率或服务质量(quality of service，QoS)控制信息确定第二接口的安全激活状态。第二终端设备的完整性保护最大数据率或QoS控制信息可以是携带在第一直接通信请求中的。

第一终端设备可以根据第二终端设备的完整性保护最大数据率确定第二接口的安全激活状态的方式与会话管理网元根据第一终端设备的完整性保护最大数据率确定会话的第一用户面安全执行信息的方式相同，此处不再赘述。

第二终端设备的QoS控制信息用于指示第二终端设备在进行数据传输时的要求，如所需的带宽、数据传输速率、时延、丢包率等。

第一终端设备可以根据第二终端设备的QoS控制信息确定第二终端设备是否能够支持开启完整性保护。

例如，第二终端设备的QoS控制信息指示第二终端设备进行必须传输数据，但第二终端设备进行必须传输数据要求的带宽为100兆，开启完整性保护之后所能支持的带宽为50兆，第一终端设备可以确定不开启完整性保护。

通过步骤201～205，第一终端设备的所创建的中继会话的用户面安全策略是基于第一信息确定的第一终端设备可以通过中继会话传输第二终端设备的数据，保证所传输的数据 的安全性。

在实际应用中，第一终端设备还可以与其他终端设备建立通信，其他终端设备可以通过第一终端设备的会话与数据网络进行数据交互。也就是说，第一终端设备还可以利用已建立的中继会话传输其他终端设备的数据，这种情况下，该中继会话被其他终端设备重用，可能需要再次确定该中继会话的用户面安全策略。下面以其他设备为第三终端设备为例，对重新确定中继会话的用户面安全策略的方式进行说明。

第三终端设备可以向第一终端设备发送第二直接通信请求，第二直接通信请求用于请求与第一终端设备建立通信。第二直接通信请求中可以包括第三终端设备的标识。

第三终端设备的标识包括但不限于：第三终端设备的临时标识、匿名化标识以及SUPI。

第一终端设备接收到第二直接通信请求后，确定已建立的会话还需要传输第三终端设备的数据，也即该第三终端设备需使用该中继会话。第一终端设备向会话管理网元发送会话修改请求，会话修改请求用于请求修改该中继会话。所述会话修改请求也可以为其他的会话管理消息或新定义的会话管理消息。

会话修改请求可以包括第三终端设备的标识，还可以携带该中继会话的标识，用于指示所需修改的中继会话。

会话管理网元接收到会话修改请求后，可以根据第三终端设备的标识确定第三终端设备使用该中继会话，会话管理网元可以确定第二用户面安全策略，会话管理网元确定第二用户面安全策略的方式与步骤203类似，具体可以参见前述内容此处不再赘述。进一步的，会话管理网络根据第二用户面安全策略确定是否更新中继会话的用户面安全执行信息。

会话管理网元确定第二用户面安全策略后，可以根据第二用户面安全策略确定中继会话的第二用户面安全执行信息。中继会话的第二用户面安全执行信息能够用于确定第一终端设备与接入网设备之间该会话的第二用户面安全激活状态。

会话管理网元根据第二用户面安全策略确定中继会话的第二用户面安全执行信息的方式有许多种，下面列举其中三种：

第一种、会话管理网元仅是基于第二用户面安全策略确定中继会话的第二用户面安全执行信息。该方式与步骤204类似，具体可以参见前述内容此处不再赘述。

会话管理网元可以比较中继会话的第二用户面安全执行信息与中继会话的第一用户面安全执行信息，若中继会话的第二用户面安全执行信息与中继会话的第一用户面安全执行信息一致，说明第一接口的第一用户面安全激活状态可以维持不变，会话管理网元可以不再通知接入网设备第二用户面安全执行信息。若不一致，会话管理网元可以需要通知接入网设备第二用户面安全执行信息，以便接入网设备可以配置第一接口的第二用户面安全激活状态，并向第一终端设备发送指示第一接口的第二用户面安全激活状态的指示信息，告知第一终端设备第一接口的是否开启加密保护以及完整性保护。

第一终端设备在接收到指示第一接口的第二用户面安全激活状态的指示信息后，可以根据第一接口的第二用户面安全激活状态更新第二接口的安全激活状态，第一终端设备根据第一接口的第二用户面安全激活状态更新第二接口的安全激活状态的方式与第一终端设备根据第一接口的第一用户面安全激活状态确定第二接口的安全激活状态的方式类似，具体可以参见前述说明，此处不再赘述。

第二种、会话管理网元根据第二用户面安全策略和第一用户面安全策略确定中继会话 的第二用户面安全执行信息。

会话管理网元根据第二用户面安全策略和第一用户面安全策略确定第一接口是否开启加密保护以及完整性保护。

例如，第一用户面安全策略指示用户面加密保护策略为优选、用户面完整性保护策略为不需要，第二用户面安全策略指示用户面加密保护策略为必须、用户面完整性保护策略为必须，则会话管理网元可以确定第一接口的加密保护为必须、用户面完整性保护为必须。又例如，第一用户面安全策略指示用户面加密保护策略为必须、用户面完整性保护策略为不需要，第二用户面安全策略指示用户面加密保护策略为必须、用户面完整性保护为必须，则会话管理网元可以确定第一接口的加密保护为必须、完整性保护为必须。

会话管理网元可以保留第二用户面安全策略和第一用户面安全策略中一致的用户面加密保护策略或用户面完整性保护策略，将保留的用户面加密保护策略或用户面完整性保护策略作为第一接口的第二用户面安全执行信息中对应的加密保护或完整性保护。

对于不一致的用户面完整性保护策略或用户面加密保护策略，会话管理网元可以优先选择能够提升安全性的用户面完整性保护策略或用户面加密保护策略，如选择用户面完整性保护策略为必须，用户面加密保护策略为必须，将优先选择的用户面完整性保护策略或用户面加密保护策略作为第一接口的第二用户面安全执行信息中对应的完整性保护或加密保护。

会话管理网元在确定了第一接口的第二用户面安全执行信息后，可以比较中继会话的第二用户面安全执行信息与中继会话的第一用户面安全执行信息，会话管理网元比较后执行的操作以及第一终端设备执行的操作可以参见第一种方式中的说明，此处不再赘述。

第三种、会话管理网元根据第二用户面安全策略和中继会话的第一用户面安全执行信息确定中继会话的第二用户面安全执行信息。

会话管理网元根据第二用户面安全策略和中继会话的第一用户面安全执行信息确定中继会话的第二用户面安全执行信息的方式与第二种方式类似，会话管理网元可以保留第二用户面安全策略和继会话的第一用户面安全执行信息中一致的加密保护或完整性保护，将保留的加密保护或完整性保护作为第一接口的第二用户面安全执行信息中对应的加密保护或完整性保护。

对于不一致的完整性保护或加密保护，会话管理网元可以优先选择能够提升安全性的完整性保护或加密保护，如选择加密保护为开启，完整性保护为开启。

会话管理网元在确定了第一接口的第二用户面安全执行信息后，可以比较中继会话的第二用户面安全执行信息与中继会话的第一用户面安全执行信息，会话管理网元比较后执行的操作以及第一终端设备执行的操作可以参见第一种方式中的说明。

需要说明的是，会话管理网元在根据第二用户面安全策略确定中继会话的第二用户面安全执行信息时，还可以考虑第一终端设备的QoS控制信息和/或完整性保护最大数据率，会话管理网元结合第一终端设备的QoS控制信息和/或完整性保护最大数据率确定中继会话的第二用户面安全执行信息的方式，与会话管理网元结合第一终端设备的QoS控制信息和/或完整性保护最大数据率确定中继会话的第一用户面安全执行信息的方式类似，具体可以参见前述内容，此处不再赘述。

方式二、参见图3，为本申请实施例提供的另一种确定用户面安全执行信息的方法， 该方法包括：

步骤301：步骤201相同，具体可参见步骤201的相关描述，此处不再赘述。

步骤302：第一终端设备接收到第一直接通信请求后，确定需要创建用于传输第二终端设备的会话，也即需要创建中继会话，向移动接入管理网元发送会话建立请求和第二信息，会话建立请求用于请求创建第一终端设备中继类型的会话，第二信息用于指示该会话的类型为中继类型。第二信息指示该会话的类型为中继类型的方式与第一信息指示该会话的类型为中继类型的方式类似，具体可以参见前述说明，此处不再赘述。

第一终端设备可以向移动接入管理网元发送N1消息，其中N1消息包括第二信息以及会话建立请求。会话建立请求包含在N1 SM container中，可选的，该会话建立请求中还可以携带第一终端设备的完整性保护最大数据率。

步骤303：移动接入管理网元根据第二信息确定第一信息。

对于不同的第二信息，移动接入管理网元根据第二信息确定的第一信息也不同，下面分别进行说明：

1、第二信息为第二终端设备匿名化标识或临时标识，第一信息为第二终端设备的用户永久性标识或者采用显式的方式指示会话的类型为中继类型。

移动接入管理网元根据第二终端设备匿名化标识或临时标识确定第二终端设备的用户永久性标识的方式与如图2所示的实施例中会话管理网元根据第二终端设备匿名化标识或临时标识确定第二终端设备的用户永久性标识的方式类似，移动接入管理网元可以根据第二终端设备匿名化标识或临时标识从统一数据管理网元获取第二终端设备的用户永久性标识，具体可参见前述内容此处不再赘述。

可选的，第二信息还可以为第二终端设备的用户永久标识，第一信息也为第二终端设备的用户永久标识或者采用显式的方式指示会话的类型为中继类型。

移动接入管理网元可以根据第二信息确定建立的会话为中继会话，对第一终端设备进行授权检查，确定第一终端设备是否具备创建中继会话的权限。移动接入管理网元可以从统一数据管理网元或者其他网元(支持存储签约信息的网元)获取第一终端设备的签约信息，根据签约信息确定第一终端设备是否授权建立中继会话。签约信息用于指示第一终端设备是否允许作为中继设备和/或是否授权建立请求的DNN和/或S-NSSAI对应的中继会话(如前述内容，可以通过中继标识信息显式的指示第一终端设备允许作为中继设备，也可以利用中继会话和非中继会话区分用户面安全策略隐式的指示第一终端设备允许作为中继设备。指示是否授权建立请求的DNN和/或S-NSSAI对应的中继会话可以通过DNN和/或S-NSSAI对应的用户面安全策略是否带有中继标识信息或是否用中继会话或非中继会话区分来确定)。移动接入管理网元可以检查第一终端设备是否能建立特定类型的中继会话。如特定DNN和/或S-NSSAI对应的中继会话。

可选的，移动接入管理网元可以根据第二信息确定向其他网元发起授权检查流程，以使得授权检查网元确定第一终端设备是否授权创建中继会话和/或确定第一终端是否能够作为第二终端的中继设备。移动接入管理网元根据授权检查网元发送的结果确定第一终端是否授权建立中继会话和/或确定第一终端是否能够作为第二终端的中继设备。

可选的，移动管理网元还可以根据第二信息确定第一终端是否能够作为第二终端的中继设备。

可选的，移动接入管理网元还可以根据第二信息对第二终端设备进行授权检查，确定 第二终端设备是否可以通过中继UE进行数据传输。移动接入管理网元可以从统一数据管理网元或者其他网元获取第二终端设备的签约信息，根据签约信息确定第二终端设备是否授权使用中继会话。签约信息用于指示第二终端设备是否可以通过中继UE进行数据传输。

若移动接入管理网元对第一终端设备授权检查通过后，可以向会话管理网元发送第一信息。否则，移动接入管理网元可以拒绝第一终端设备的会话建立请求。

2、第一信息采用显式方式指示该会话的类型为中继类型。

移动接入管理网元在接收到第二信息后，可以确定第一终端设备需要创建的会话为中继会话，也即该会话后续需要传输第二终端设备的数据。

移动接入管理网元可以根据第二信息对第一终端设备进行授权检查，确定第一终端设备是否具备创建中继会话的权限。移动接入管理网元可以从统一数据管理网元或者其他网元(支持存储签约信息的网元)获取第一终端设备的签约信息，根据签约信息确定第一终端设备是否授权建立中继会话。签约信息用于指示第一终端设备是否授权作为中继UE和/或是否授权建立请求的DNN和/或S-NSSAI对应的中继会话。移动接入管理网元可以检查第一终端设备是否能建立特定类型的中继会话。如特定DNN和/或S-NSSAI对应的中继会话。

可选的，移动接入管理网元可以根据第二信息确定向其他网元发起授权检查流程，以使得授权检查网元确定第一终端设备是否授权创建中继会话。

可选的，移动接入管理网元也可以根据第二信息对第二终端设备进行授权检查，确定第二终端设备是否可以通过中继UE进行数据传输。移动接入管理网元可以从统一数据管理网元或者其他网元获取第二终端设备的签约信息，根据签约信息确定第二终端设备是否授权使用中继会话。签约信息用于指示第二终端设备是否可以通过中继UE进行数据传输。

若移动接入管理网元对第一终端设备授权检查通过后，可以向会话管理网元发送第一信息。否则，移动接入管理网元可以拒绝第一终端设备的会话建立请求。

3、第一信息与第二信息相同。

与前一种情况类似，移动接入管理网元可以根据第二信息对第一终端设备进行授权检查，若移动接入管理网元对第一终端设备授权检查通过后，可以向会话管理网元发送该第一信息，也即移动接入管理网元向会话管理网元发送的第一信息与第一终端设备向移动接入管理网元发送的第二信息相同。否则，移动接入管理网元可以拒绝第一终端设备的会话建立请求。

步骤304：移动接入管理网元向会话管理网元发送会话建立请求和第一信息。

步骤305：与步骤203相同，具体可参见步骤203的相关描与述，此处不再赘述。

步骤306：与步骤204相同，具体可参见步骤204的相关描与述，此处不再赘述。

步骤307：与步骤205相同，具体可参见步骤205的相关描与述，此处不再赘述。

通过步骤301～307，第一终端设备的所创建的中继会话的用户面安全策略是基于第一信息确定的，第一终端设备可以通过中继会话传输第二终端设备的数据，保证所传输的数据的安全性。

在实际应用中，第一终端设备还可以与其他终端设备建立通信，其他终端设备可以通过第一终端设备的会话与数据网络进行数据交互。也就是说，第一终端设备还可以利用已建立的中继会话传输其他终端设备的数据，这种情况下，该中继会话被其他终端设备重用，可能需要再次确定该中继会话的用户面安全策略。第三终端设备重用该中继会话，重新确 定中继会话的用户面安全策略的方式可参见图2中的相关说明，此处不再赘述。

需要说明的是，在第三终端设备重用该中继会话时，第一终端设备也可以采用与图3所示的方式向移动接入管理网元发送第三终端设备的临时标识或匿名化标识，移动接入管理网元也可以采用类似的方式确定第三终端设备的用户永久性标识，再向会话管理网元发送会话修改请求(该会话修改请求中不携带第三终端设备的标识)和第三终端设备的用户永久性标识。

值得注意的是，在如图2～3所示的实施例中均是以第二终端设备发起第一直接通信请求之后，第一终端设备请求创建中继会话为例。在实际应用中，第一终端设备也可以在第二终端设备发起第一直接通信请求之前，预先建立中继会话，也即向会话管理网元发送会话建立请求，在这种情况下，第一信息可以采用显式的指示方式，直接指示该会话的类型为中继类型。

下面基于如图1所示的网络架构，以统一数据管理网元为UDM网元、会话管理网元为SMF网元、移动接入管理网元为AMF网元、第一终端设备为中继UE，第二终端设备为远端UE为例，对如图2所示的确定用户面安全执行信息的方法进行进一步介绍。如图4所示，为本申请实施例提供的一种确定用户面安全执行信息的方法，该方法包括：

步骤401：UDM网元上配置中继UE签约的用户面安全策略，其中包括中继会话的用户面安全策略。中继UE签约的用户面安全策略可以如表1～表3所示。表格仅是一种数据的呈现方式，本申请实施例并不限定中继UE的签约用户面安全策略的呈现方式，例如还可以采用数据映射的方式呈现该中继UE的签约用户面安全策略。

步骤402：中继UE向SMF网元发送会话建立请求，用于请求创建中继UE中继类型的会话，所述会话建立请求中包含第一信息，该第一信息用于指示所述会话的类型为中继类型。

步骤403：SMF网元向UDM网元发送第一签约信息获取请求，该第一签约信息获取请求中包含第一信息。第一签约信息获取请求用于请求获取第一终端设备的签约信息，该签约信息包括中继UE签约的用户面安全策略。

步骤404：UDM网元接收到第一签约信息获取请求后，确定中继UE签约的用户面安全策略。

步骤405：UDM网元向SMF网元发送第一签约信息获取响应，第一签约信息获取响应中包括中继UE签约的用户面安全策略。

需要说明的是，SMF网元向UDM网元发送的第一签约信息获取请求可以用于请求第一终端设备所有的签约信息，其中包括第一终端设备中继会话的用户面安全策略(该中继会话的用户面安全策略包括第一用户面安全策略和中继会话的其他用户面安全策略)以及非中继会话的用户面安全策略。UDM网元向SMF网元发送的第一签约信息获取响应中包括该第一终端设备的所有的签约信息。SMF网元可以从第一终端设备的所有的签约信息中确定第一用户面安全策略。进一步的，SMF网元向UDM网元发送的第一签约信息获取请求可以用于请求第一终端设备中继会话的DNN/S-NSSAI对应的所有的签约信息。进一步的，SMF网元从该所有的签约信息中确定第一用户面安全策略。

作为另一种可能的实施方式，SMF网元向UDM网元发送的第一签约信息获取请求也可以用于请求第一终端设备的部分签约信息，例如第一终端设备作为中继UE的签约信息，第一终端设备作为中继UE的签约信息包括第一终端设备中继会话的用户面安全策略(该 中继会话的用户面安全策略包括第一用户面安全策略和中继会话的其他用户面安全策略)。UDM网元向SMF网元发送的第一签约信息获取响应可以包括该第一终端设备作为中继UE所有签约信息，如第一用户面安全策略和中继会话的其他用户面安全策略；也可以只包括该第一终端设备作为中继UE部分签约信息，如只包括第一终端设备中继会话的用户面安全策略。SMF网元在接收到第一终端设备中继会话的用户面安全策略，从第一终端设备中继会话的用户面安全策略中确定第一用户面安全策略。

步骤406：SMF网元根据第一用户面安全策略确定中继会话的第一用户面安全执行信息。第一用户面安全执行信息指示第一接口的第一用户面安全激活状态，第一接口也可以称为UU口。

步骤407：SMF网元向RAN发送中继会话的第一用户面安全执行信息，RAN根据中继会话的第一用户面安全执行信息配置第一接口的第一用户面安全激活状态，激活中继会话的用户面安全激活状态。

步骤408：RAN向中继UE发送第一指示信息，该第一指示信息用于指示第一接口的第一用户面安全激活状态。

步骤409：远端UE向中继UE发送第一直接通信请求，该第一直接通信请求中包括远端UE的标识。可选的，还可以包远端UE的完整性保护最大数据率。

步骤410：中继UE接收到第一直接通信请求后，确定需已创建中继会话需要传输第二终端设备的数据，根据第一接口的第一用户面安全激活状态确定PC5空口的安全激活状态信息。PC5空口为中继UE与远端UE的通信接口。

例如，中继UE可以将第一接口的第一用户面安全激活状态设置为PC5口的安全激活状态，示例性的，若第一接口的加密保护为必须，完整性保护为不需要，则PC5口的加密保护也为开启，完整性保护为关闭。

又例如，若第一接口的完整性保护为开启，中继UE可以根据远程UE的UE完整性保护最大数据率和/或QoS控制信息，确定是否激活完整性保护。

步骤411：中继UE向远程UE发送第一直接安全模式命令，第一直接安全模式命令中包括加密保护指示和完整性保护指示，分别指示数据加密是否开启和完整性保护是否开启。

步骤412：远端UE在接收到第一直接安全模式命令后，根据第一直接安全模式命令配置PC5口的加密保护和完整性保护，向中继UE发送第一直接安全模式完成消息。

步骤413：中继UE向远端UE发送第一直接通信响应。

需要说明的是，在上述说明中是以中继会话创建流程(步骤402～步骤408)在第二终端设备发起直接通信流程(步骤409)开始之前进行的，在实际应用中，中继会话创建流程也可以在步骤409之后执行。也就是说，中继UE接收到远端UE的第一直接通信请求之后，在未建立中继会话或建立的中继会话不可重用的情况下，中继UE可以发起创建新的中继会话的流程，这种情况下，会话建立请求中可以将远端UE的标识作为第一信息。

下面基于如图1所示的网络架构，以统一数据管理网元为UDM网元、会话管理网元为SMF网元、移动接入管理网元为AMF网元、第一终端设备为中继UE，第二终端设备为远端UE为例，对如图3所示的确定用户面安全执行信息的方法进行进一步介绍。如图5所示，为本申请实施例提供的一种确定用户面安全策略的方法，该方法包括：

步骤501：同步骤409，具体可参见步骤409的相关说明此处不再赘述。

步骤502：中继UE在接收到第一直接通信请求后，确定需要建立中继会话，中继UE 向AMF网元发送第一N1消息，该第一N1消息包括远端UE的标识以及第一N1 SM container，第一N1 SM container包含会话建立请求，该第一N1 SM container中包含中继UE的完整性保护最大数据率。

步骤503：AMF网元接收第一N1消息后，AMF网元可以根据远端UE的标识确定中继UE需要创建的会话为中继会话，AMF网元对中继UE进行授权检查，确定中继UE具备创建中继会话的权限。

可选的，若远程UE的标识为临时标识或者匿名化标识，AMF网元可以根据远程UE标识从UDM网元获取远程UE的SUPI。AMF网元根据远端UE的SUPI对远端UE进行授权检查，确定远端UE可通过中继UE传输数据。

步骤504：AMF网元在对中继UE授权检查通过后，向SMF网元发送第一Nsmf服务消息，第一Nsmf服务消息包括远程UE的SUPI和第一N1 SM container。

步骤505：SMF网元接收到第一NSMF网元服务消息后，向UDM网元发送携带远程UE的SUPI的第一签约信息获取请求，第一签约信息获取请求还包括中继会话的DNN和S-NSSAI。

步骤506：UDM网元根据远程UE的SUPI和从中继UE签约的用户面安全策略确定第一用户面安全策略，之后向SMF网元发送第一签约信息获取响应，第一签约信息获取响应包括第一用户面安全策略。

步骤507：同步骤406，具体可参见步骤406的相关说明此处不再赘述。

步骤508：同步骤407，具体可参见步骤407的相关说明此处不再赘述。

步骤509：同步骤408，具体可参见步骤406的相关说明此处不再赘述。

步骤510：同步骤410，具体可参见步骤410的相关说明此处不再赘述。

步骤511：同步骤411，具体可参见步骤411的相关说明此处不再赘述。

步骤512：同步骤412，具体可参见步骤412的相关说明此处不再赘述。

步骤513：同步骤413，具体可参见步骤413的相关说明此处不再赘述。

下面基于如图1所示的网络架构，以统一数据管理网元为UDM网元、会话管理网元为SMF网元、移动接入管理网元为AMF网元以及第一终端设备为中继UE，第二终端设备为远端UE1、第三终端设备为远端UE2为例，对如图2和图3所示的确定用户面安全策略的方法第三终端设备重用中继会话，更新中继会话的用户面安全策略的方式进行进一步介绍。如图6所示，为本申请实施例提供的一种确定用户面安全执行信息的方法，该方法包括：

步骤601：中继UE通过中继会话传输远端UE1的数据，其中，中继会话的建立方式可以参见如图2～5所示的实施例。

步骤602：远端UE2向中继UE发送第二直接通信请求，第二直接通信请求中携带远程UE2的完整性保护最大数据率。

步骤603：中继UE接收到第二直接通信请求后，确定远端UE2重用已建立的中继会话。

步骤604：中继UE向AMF网元发送第二N1消息，该第二N1消息包括远端UE2的标识以及第二N1 SM container。第二N1 SM container包含会话修改请求。

需要说明的是，若中继会话的加密保护为加密、完整性保护为开启，也可以不发起会话修改流程，也即不需要执行步骤604以及后续步骤。

步骤605：AMF网元接收第二N1消息后，可以向SMF网元发送第二Nsmf服务消息，第二Nsmf服务消息包括远端UE2的标识和第二N1 SM container。

步骤606：SMF网元接收第二NSMF网元服务消息后，若远端UE2的标识为临时标识或者匿名化标识，SMF网元可以先根据远端UE2的标识从UDM网元获取远程UE2的SUPI。

步骤607：SMF网元向UDM网元发送携带远程UE2的SUPI的第二签约信息获取请求，第二签约信息获取请求还包括中继会话的DNN和S-NSSAI。

步骤608：UDM网元向SMF网元发送第二签约信息获取响应，第二签约信息获取响应包括第二用户面安全策略。

步骤609：SMF网元根据第二用户面安全策略确定中继会话的第二用户面安全执行信息。

例如，SMF网元根据第一用户面安全策略和第二用户面安全策略确定中继会话的第二用户面安全执行信息。之后SMF网元对中继会话的第一用户面安全执行信息与中继会话的第二用户面安全执行信息进行比较，若不同则执行步骤609。

其中，若第二用户面安全策略以及第一用户面安全策略指示中继会话的完整性保护为开启或优选开启，SMF网元可以根据中继UE的完整性保护最大数据率确定中继会话的第二用户面安全执行信息。

又例如，SMF网元根据第二用户面安全策略和第一用户面安全执行信息确定中继会话的第二用户面安全执行信息，之后SMF网元对中继会话的第一用户面安全执行信息与中继会话的第二用户面安全执行信息进行比较，若不同则执行步骤609。

其中，若第二用户面安全策略以及第一用户面安全执行信息指示完整性保护为开启或优选开启，,SMF网元可以根据中继UE的完整性保护最大数据率确定中继会话的第二用户面安全执行信息。

又例如，SMF网元根据第二用户面安全策略确定中继会话的第二用户面安全执行信息。之后SMF网元对中继会话的第一用户面安全执行信息与中继会话的第二用户面安全执行信息进行比较，若不同则执行步骤609。

步骤610：SMF网元向RAN发送中继会话的第二用户面安全执行信息，RAN根据中继会话的第二用户面安全执行信息配置第一接口的第二用户面安全激活状态，激活中继会话的用户面安全激活状态。

步骤611：RAN向中继UE发送第二指示信息，该第二指示信息用于指示第一接口的第二用户面安全激活状态。

步骤612：中继UE根据第一接口的第二用户面安全激活状态更新PC5空口的安全激活状态。

步骤613：中继UE向远程UE2发送第二直接安全模式命令，第二直接安全模式命令中包括加密保护指示和完整性保护指示，分别指示加密保护是否开启和完整性保护是否开启。

步骤614：远端UE在接收到第二直接安全模式命令后，根据第二直接安全模式命令配置PC5口的加密保护和完整性保护，向中继UE发送第二直接安全模式完成消息。

步骤615：中继UE向远端UE发送第二直接通信响应。

基于与方法实施例同一发明构思，本申请实施例还提供了一种通信装置，用于执行上 述方法实施例中会话管理网元或SMF网元执行的方法，相关特征可参见上述方法实施例，此处不再赘述，如图7所示，该装置包括接收单元701、处理单元702以及发送单元703：

接收单元701，用于接收第一请求，第一请求用于请求创建第一终端设备中继类型的会话，第一请求包括第一信息，第一信息用于指示会话的类型为中继类型；

处理单元702，用于根据第一信息确定会话的第一用户面安全执行信息；

发送单元703，用于向接入网设备发送会话的第一用户面安全执行信息，会话的第一用户面执行信息用于确定第一终端设备与接入网设备的会话的第一用户面安全激活状态。

在一种可能的实施方式中，第一请求包括N1 SM container，N1 SM container包括第一信息；第一请求包括第一信息和N1 SM container。

在一种可能的实施方式中，处理单元702在根据第一信息确定会话的第一用户面安全执行信息时，可以根据第一信息获取第一用户面安全策略；之后，可以直接将第一用户面安全策略作为会话的第一用户面安全执行信息，也可以对第一用户面安全策略进行分析，根据第一用户面安全策略确定会话的第一用户面安全执行信息。

在一种可能的实施方式中，处理单元702在根据第一信息获取第一用户面安全策略时，发送单元703可以向统一数据管理网元发送第一签约信息获取请求；第一终端设备签约的用户面安全策略指示第一终端设备中继类型的会话的用户面安全策略和非中继类型的会话的用户面安全策略；之后，接收单元701接收来自统一数据管理网元的第一签约信息获取响应，第一签约信息获取响应包括第一终端设备签约的用户面安全策略；处理单元702再根据第一信息，将所述第一终端设备中继类型的会话的用户面安全策略确定为所述第一用户面安全策略。

在一种可能的实施方式中，处理单元702在根据第一信息获取第一用户面安全策略时，发送单元703可以向统一数据管理网元发送第一签约信息获取请求，第一签约信息获取请求包括中继指示；中继指示用于请求第一终端设备中继类型的会话的用户面安全策略；之后，接收单元701接收来自统一数据管理网元的第一签约信息获取响应，第一签约信息获取响应包括第一终端设备签约的用户面安全策略(其中，包括第一用户面安全策略)；处理单元702再根据第一信息根据第一终端设备签约的用户面安全策略确定第一用户面安全策略。

在一种可能的实施方式中，第一信息为第二终端设备的临时标识或匿名化标识，处理单元702在根据第一信息获取第一用户面安全策略时，处理单元702可以根据第二终端设备的临时标识或匿名化标识获取第二终端设备的SUPI；之后，发送单元703可以向统一数据管理网元发送第一签约信息获取请求，第一签约信息获取请求包括第二终端设备的SUPI；接收单元701可以接收来自统一数据管理网元的第一签约信息获取响应，第一签约信息获取响应中携带的信息可以为如下任一种：

第一种、第一签约信息获取响应中包括第一用户面安全策略。

第二种、第一签约信息获取响应中包括第一终端设备中继类型的会话的用户面安全策略；之后，处理单元702根据第一终端设备中继类型的会话的用户面安全策略确定第一用户面安全策略。

第三种、第一签约信息获取响应中包括第二终端设备签约的用户面安全策略，之后处理单元702根据第二终端设备签约的用户面安全策略确定第一用户面安全策略。

在一种可能的实施方式中，处理单元702在根据第一信息获取第一用户面安全策略时， 发送单元703可以向统一数据管理网元发送第一签约信息获取请求，第一签约信息获取请求包括第一信息；之后，接收单元701从统一数据管理网元接收第一签约信息获取响应，第一签约信息获取响应包括第一用户面安全策略。

在一种可能的实施方式中，第一信息为第二终端设备的标识，第二终端设备的标识包括下列的一个或多个：

第二终端设备的临时标识、第二终端设备的匿名化标识、或者第二终端设备的用户永久性标识SUPI。

在一种可能的实施方式中，第一用户面安全策略指示完整性保护为优选，处理单元702在根据第一用户面安全策略确定会话的第一用户面安全执行信息时，可以在确定第一终端设备的完整性保护最大数据率小于会话要求的数据率后，确定会话的完整性保护为不需要。

在一种可能的实施方式中，若第一用户面安全策略指示完整性保护为必须，处理单元702可以确定第一终端设备的完整性保护最大数据率是否小于会话要求的数据率，发送单元703在处理单元702确定第一终端设备的完整性保护最大数据率小于会话要求的数据率后，向第一终端设备发送会话建立拒绝响应，用于指示拒绝建立会话。

在一种可能的实施方式中，接收单元701还可以接收第三请求，第三请求用于指示第三终端设备使用会话，第三请求包括第三终端设备的标识；处理单元702可以根据第三终端设备的标识确定会话的第二用户面安全执行信息；发送单元703可以向接入网设备发送会话的第二用户面安全执行信息，会话的第二用户面安全执行信息用于确定第一终端设备与接入网设备之间该会话的第二用户面安全激活状态。

在一种可能的实施方式中，处理单元702在根据第三终端设备的标识确定会话的第二用户面安全执行信息时，可以根据第三终端设备的标识确定第二用户面安全策略；之后，根据第二用户面安全策略根据会话的第二用户面安全执行信息。

在一种可能的实施方式中，第三终端设备的标识包括下列的一个或多个：

第三终端设备的临时标识、第三终端设备的匿名化标识、或者第三终端设备的用户永久性标识SUPI。

在一种可能的实施方式中，处理单元702在根据第二用户面安全策略确定会话的第二用户面安全执行信息时，可以根据第二用户面安全策略和会话的第一用户面安全执行信息确定会话的第二用户面安全执行信息；也可以根据第二用户面安全策略和第一用户面安全策略确定会话的第二用户面安全执行信息，还可以仅根据第二用户面安全策略确定会话的第二用户面安全执行信息。

在一种可能的实施方式中，处理单元702在根据第三终端设备的标识获取第二用户面安全策略时，发送单元703可以向统一数据管理网元发送第二签约信息获取请求，第二签约信息获取请求包括第三终端设备的标识；接收单元701可以从统一数据管理网元接收第二签约信息获取响应，第二签约信息获取响应包括第二用户面安全策略。

在一种可能的实施方式中，处理单元702在根据第三终端设备的标识获取第二用户面安全策略时，处理单元702可以根据第三终端设备的标识和第一终端设备签约的用户面安全策略确定第二用户面安全策略。

在一种可能的实施方式中，处理单元702在根据第三终端设备的标识获取第二用户面安全策略时，发送单元703向统一数据管理网元发送第二签约信息获取请求，第二签约信息获取请求包括第三终端设备的标识；接收单元701从统一数据管理网元接收第二签约信 息获取响应，第二签约信息获取响应包括第一终端设备中继类型的会话的用户面安全策略，处理单元702根据第一终端设备中继类型的会话的用户面安全策略确定第二用户面安全策略。

在一种可能的实施方式中，处理单元702在根据第三终端设备的标识获取第二用户面安全策略时，发送单元703向统一数据管理网元发送第二签约信息获取请求，第二签约信息获取请求包括第三终端设备的标识；接收单元701从统一数据管理网元接收第二签约信息获取响应，第二签约信息获取响应包括第三终端设备签约的用户面安全策略，处理单元702根据第三终端设备签约的用户面安全策略确定第二用户面安全策略。

在一种可能的实施方式中，发送单元703在向接入网设备发送会话的第二用户面安全执行信息之前，处理单元702可以确定会话的第一用户面安全执行信息与会话的第二用户面安全执行信息不同。

在一种可能的实施方式中，第二用户面安全策略指示会话的完整性保护为优选，处理单元702根据第二用户面安全策略确定会话的第二用户面安全执行信息时，在确定第一终端设备的完整性保护最大数据率小于会话要求的数据率后，确定关闭会话的完整性保护。

基于与方法实施例同一发明构思，本申请实施例还提供了一种通信装置，用于执行上述方法实施例中第一终端设备或中继UE执行的方法，相关特征可参见上述方法实施例，此处不再赘述，如图8所示，该装置包括发送单元801、接收单元802：

发送单元801，用于向移动接入管理网元发送第二请求，第二请求用于请求创建中继类型的会话，第二请求包括第二信息，第二信息指示会话的类型为中继类型；

接收单元802，用于接收接入网设备发送第一指示信息，第一指示信息用于指示第一终端设备与接入网设备的会话的第一用户面安全激活状态。

在一种可能的实施方式中，发送单元801在发送第二请求之前，接收单元802可以接收第二终端设备发送的第一直接通信请求，第一直接通信请求用于建立与第一终端设备的通信。

在一种可能的实施方式中，第二请求包括N1 SM container，N1 SM container包括第二信息；或第二请求包括第二信息和N1 SM container。

在一种可能的实施方式中，会话用于传输第二终端设备的数据，第二信息包括下列的一个或多个：

第二终端设备的临时标识、第二终端设备的匿名化标识、或者第二终端设备的SUPI。

在一种可能的实施方式中，该装置还包括处理单元803：

接收单元802可以接收第三终端设备发送的第二直接通信请求，第二直接通信请求用于建立与第一终端设备的通信；之后，处理单元803可以根据第二直接通信请求，确定第三终端设备使用会话；发送单元801可以向移动接入管理网元发送第三请求，第三请求用于指示第三终端设备使用会话，第三请求包括第三终端设备的标识。

在一种可能的实施方式中，第三终端设备的标识包括下列的一个或多个：

第三终端设备的临时标识、第三终端设备的匿名化标识、或者第三终端设备的SUPI。

在一种可能的实施方式中，处理单元803在接收单元802接收来自接入网设备的指示第一用户面安全激活状态的第一指示信息之后，可以根据与接入网设备的第一用户面安全激活状态确定第一终端设备与第二终端设备的安全激活状态。

在一种可能的实施方式中，若第一用户面安全激活状态中完整性保护为必须，处理单元803根据第一用户面安全激活状态配置第一终端设备与第二终端设备的安全激活状态时，可以根据第二终端设备的完整性保护最大数据率或QoS控制信息确定是否开启第一终端设备与第二终端设备之间的完整性保护。

在一种可能的实施方式中，若第一用户面安全激活状态中完整性保护为不需要，发送单元801在第二终端设备的用户面安全策略指示完整性保护为必须的情况下,可以向第二终端设备发送直连通信拒绝消息。

在一种可能的实施方式中，接收单元802还可以接收接入网设备发送第二指示信息，第二指示信息用于第一终端设备与接入网设备之间该会话的第二用户面安全激活状态；

处理单元803可以根据第二指示信息将第一用户面安全激活状态更新为第二用户面安全激活状态。

在一种可能的实施方式中，处理单元803在接收单元802接收来自接入网设备的第二指示信息之后，可以根据第二用户面安全激活状态更新第一终端设备与第二终端设备的安全激活状态。

在一种可能的实施方式中，第二用户面安全激活状态中完整性保护为必须，处理单元803在根据第二用户面安全激活状态更新第一终端设备与第二终端设备的安全激活状态时，可以根据第三终端设备的完整性保护最大数据率或QoS控制信息确定是否开启第一终端设备与第二终端设备之间的完整性保护。

基于与方法实施例同一发明构思，本申请实施例还提供了一种通信装置，用于执行上述方法实施例中移动接入管理网元或AMF网元执行的方法，相关特征可参见上述方法实施例，此处不再赘述，如图9所示，该装置包括接收单元901和发送单元902：

接收单元901，用于接收第一终端设备发送第二请求，第二请求包括第二信息，第二请求用于请求创建第一终端设备中继类型的会话，第二信息用于指示会话的类型为中继类型；

发送单元902，用于根据第二请求向会话管理网元发送第一请求，第一请求包括第一信息，第一信息用于指示会话的类型为中继类型，第一请求用于请求创建第一终端设备中继类型的会话。

在一种可能的实施方式中，第二信息与第一信息相同，第一请求和第二请求包括N1SM container，N1 SM container包括第二信息。

在一种可能的实施方式中，第二请求包括第二信息和N1 SM container；第一请求包括第一信息和N1 SM container。

在一种可能的实施方式中，该装置包括处理单元903，处理单元903可以根据第二信息确定第一终端设备授权建立会话。发送单元902在处理单元903根据第二信息确定第一终端设备授权建立会话后，向会话管理网元发送第一请求。

在一种可能的实施方式中，第二信息为第二终端设备的临时标识或匿名化标识，第一信息为第二终端设备的SUPI。

在一种可能的实施方式中，第二信息包括下列的一个或多个：

第二终端设备的临时标识、第二终端设备的匿名化标识、第二终端设备的SUPI。

在一种可能的实施方式中，发送单元902在根据第二请求向会话管理网元发送第一请求之前，处理单元903可以根据第二信息确定第一终端设备授权为第二终端设备建立会话。

基于与方法实施例同一发明构思，本申请实施例还提供了一种通信装置，用于执行上述方法实施例中统一数据管理网元或UDM网元执行的方法，相关特征可参见上述方法实施例，此处不再赘述，如图10所示，该装置包括接收单元1001、处理单元1002以及发送单元1003：

接收单元1001，用于从会话管理网元接收第一签约信息获取请求，第一签约信息获取请求用于请求第一终端设备签约的用户面安全策略，第一签约信息获取请求包括第一信息，第一信息用于指示会话的类型为中继类型；

处理单元1002，用于根据第一信息确定第一用户面安全策略；

发送单元1003，用于向会话管理网元发送第一签约信息获取响应，第一签约信息获取响应包括第一用户面安全策略。

在一种可能的实施方式中，处理单元1002根据第一信息确定第一用户面安全策略时，可以根据第一信息和第一终端设备签约的用户面安全策略确定第一用户面安全策略，第一终端设备签约的用户面安全策略指示第一终端设备中继类型和非中继类型的会话的用户面安全策略；

在一种可能的实施方式中，第一信息为第二终端设备的标识，处理单元1002根据第一信息确定第一用户面安全策略时，处理单元1002根据第二终端设备的标识从第二终端设备签约的用户面安全策略确定第一用户面安全策略。

在一种可能的实施方式中，接收单元1001可以从会话管理网元接收第二签约信息获取请求，第二签约信息获取请求包括第三终端设备的标识。

处理单元1002可以根据第三终端设备的标识确定第二用户面安全策略。

发送单元1003可以向会话管理网元发送第二签约信息获取响应，第二签约信息获取响应包括第二用户面安全策略。

在一种可能的实施方式中，第三终端设备的标识包括下列的一个或多个：

第三终端设备的临时标识、第三终端设备的匿名化标识、或者第三终端设备的用户永久性标识SUPI。

基于与方法实施例同一发明构思，本申请实施例还提供了一种通信装置，用于执行上述方法实施例中统一数据管理网元或UDM网元执行的方法，相关特征可参见上述方法实施例，此处不再赘述，如图11所示，该装置包括接收单元1101或发送单元1102：

接收单元1101，用于从会话管理网元接收第一签约信息获取请求，第一签约信息获取请求用于请求第一终端设备签约的用户面安全策略，第一终端设备签约的用户面安全策略指示第一终端设备中继类型的会话的用户面安全策略和非中继类型的会话的用户面安全策略；

发送单元1102，用于向会话管理网元发送第一签约信息获取响应，第一签约信息获取响应包括第一终端设备签约的用户面安全策略。

在一种可能的实施方式中，装置还包括处理单元1103：

接收单元1101可以从会话管理网元接收第二签约信息获取请求，第二签约信息获取请求包括第三终端设备的标识，处理单元1103可以根据第三终端设备的标识确定第二用户面安全策略；

发送单元1102可以向会话管理网元发送第二签约信息获取响应，第二签约信息获取响应包括第二用户面安全策略。

本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能单元可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端设备(可以是个人计算机，手机，或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

在本申请实施例中，所述统一数据管理网元、所述会话管理网元以及移动接入管理网元以及第一终端设备均可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。

在一个简单的实施例中，本领域的技术人员可以想到所述统一数据管理网元、所述会话管理网元以及移动接入管理网元均可采用图12所示的形式。

如图12所示的通信装置1200，包括至少一个处理器1201、存储器1202，可选的，还可以包括通信接口1203。

存储器1202可以是易失性存储器，例如随机存取存储器；存储器也可以是非易失性存储器，例如只读存储器，快闪存储器，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)、或者存储器1202是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1202可以是上述存储器的组合。

本申请实施例中不限定上述处理器1201以及存储器1202之间的具体连接介质。本申请实施例在图中以存储器1202和处理器1201之间通过总线1204连接，总线1204在图中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。该总线1204可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器1201可以具有数据收发功能，能够与其他设备进行通信，在如图12装置中，也可以设置独立的数据收发模块，例如通信接口1203，用于收发数据；处理器1201在与其他设备进行通信时，可以通过通信接口1203进行数据传输。

当所述会话管理网元采用图12所示的形式时，图12中的处理器1201可以通过调用存储器1202中存储的计算机执行指令，使得所述会话管理网元可以执行上述任一方法实施例中的所述会话管理网元或SMF网元执行的方法。

具体的，图7中的发送单元、接收单元和处理单元的功能/实现过程均可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现。或者，图7中的处理单元的功能/实现过程可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现，图7中的发送单元和接收单元的功能/实现过程可以通过图12中的通信接 口1203来实现。

当所述移动接入管理网元采用图12所示的形式时，图12中的处理器1201可以通过调用存储器1202中存储的计算机执行指令，使得所述移动接入管理网元可以执行上述任一方法实施例中的移动接入管理网元或AMF网元执行的方法。

具体的，图9中的接收单元、发送单元和处理单元的功能/实现过程均可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现。或者，图9中的处理单元的功能/实现过程可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现，图9中的接收单元、发送单元的功能/实现过程可以通过图12中的通信接口1203来实现。

当所述统一数据管理网元采用图12所示的形式时，图12中的处理器1201可以通过调用存储器1202中存储的计算机执行指令，使得所述统一数据管理网元可以执行上述任一方法实施例中的所述统一数据管理网元或UDM网元执行的方法。

具体的，图10或11中的发送单元、接收单元和处理单元的功能/实现过程均可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现。或者，图10或11中的处理单元的功能/实现过程可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现，图10或11中的发送单元和接收单元的功能/实现过程可以通过图12中的通信接口1203来实现。

在一个简单的实施例中，本领域的技术人员可以想到所述第一终端设备均可采用图13所示的形式。

如图13所示的通信装置1300，包括至少一个处理器1301、存储器1302，可选的，还可以包括收发器1303。

处理器1301和存储器1302与处理器1201和存储器1202类似，具体可以参见前述内容，此处不再赘述。

本申请实施例中不限定上述处理器1301以及存储器1302之间的具体连接介质。本申请实施例在图中以存储器1302和处理器1301之间通过总线1304连接，总线1304在图中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。该总线1304可以分为地址总线、数据总线、控制总线等。为便于表示，图13中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器1301可以具有数据收发功能，能够与其他设备进行通信，在如图13装置中，也可以设置独立的数据收发模块，例如收发器1303，用于收发数据；处理器1301在与其他设备进行通信时，可以通过收发器1303进行数据传输。

当第一终端设备采用图13所示的形式时，图13中的处理器1301可以通过调用存储器1302中存储的计算机执行指令，使得所述第一终端设备可以执行上述任一方法实施例中的所述第一终端设备或中继UE执行的方法。

具体的，图8中的发送单元、接收单元和处理单元的功能/实现过程均可以通过图13中的处理器1301调用存储器1302中存储的计算机执行指令来实现。或者，图8中的处理单元的功能/实现过程可以通过图13中的处理器1301调用存储器1302中存储的计算机执行指令来实现，图8中的发送单元和接收单元的功能/实现过程可以通过图13中的收发器1303来实现。

在该方法中：本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或 计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (68)

1. 一种确定用户面安全执行信息的方法，其特征在于，所述方法包括：

   会话管理网元接收第一请求，所述第一请求用于请求创建第一终端设备中继类型的会话，所述第一请求包括第一信息，所述第一信息用于指示所述会话的类型为中继类型；

   所述会话管理网元根据所述第一信息确定所述会话的第一用户面安全执行信息；

   所述会话管理网元向接入网设备发送所述会话的第一用户面安全执行信息，所述会话的第一用户面执行信息用于确定所述第一终端设备与所述接入网设备之间所述会话的第一用户面安全激活状态。
2. 如权利要求1所述的方法，其特征在于，所述第一请求包括N1 SM容器container，所述N1 SM container包括所述第一信息；或

   所述第一请求包括第一信息和N1 SM container。
3. 如权利要求1或2所述的方法，其特征在于，所述会话管理网元根据所述第一信息确定所述会话的第一用户面安全执行信息，包括：

   所述会话管理网元根据所述第一信息获取第一用户面安全策略；

   所述会话管理网元根据所述第一用户面安全策略确定所述会话的第一用户面安全执行信息。
4. 如权利要求3所述的方法，其特征在于，所述会话管理网元根据所述第一信息获取第一用户面安全策略，包括：

   所述会话管理网元向统一数据管理网元发送第一签约信息获取请求；

   所述会话管理网元从所述统一数据管理网元接收第一签约信息获取响应，所述第一签约信息获取响应包括所述第一终端设备签约的用户面安全策略；所述第一终端设备签约的用户面安全策略包括：所述第一终端设备中继类型的会话的用户面安全策略和非中继类型的会话的用户面安全策略；

   所述会话管理网元根据所述第一信息，将所述第一终端设备中继类型的会话的用户面安全策略确定为所述第一用户面安全策略。
5. 如权利要求3所述的方法，其特征在于，所述会话管理网元根据所述第一信息获取第一用户面安全策略，包括：

   所述会话管理网元向统一数据管理网元发送第一签约信息获取请求；所述第一签约信息获取请求包括中继指示；所述中继指示用于请求所述第一终端设备中继类型的会话的用户面安全策略；

   所述会话管理网元从所述统一数据管理网元接收第一签约信息获取响应，所述第一签约信息获取响应包括所述第一终端设备签约的用户面安全策略；所述第一终端设备签约的用户面安全策略包括所述第一用户面安全策略。
6. 如权利要求4或5所述的方法，其特征在于，所述第一信息可以为第二终端设备的临时标识或匿名化标识，所述第一签约信息获取响应中包括下列任一：

   所述第一用户面安全策略、所述第一终端设备中继类型的会话的用户面安全策略、所述第二终端设备签约的用户面安全策略。
7. 如权利要求3所述的方法，其特征在于，所述会话管理网元根据所述第一信息确定所述会话的第一用户面安全执行信息，包括：

   所述会话管理网元向统一数据管理网元发送第一签约信息获取请求，所述第一签约信息获取请求包括所述第一信息；

   所述会话管理网元从所述统一数据管理网元接收第一签约信息获取响应，所述第一签约信息获取响应包括第一用户面安全策略。
8. 如权利要求1～7任一所述的方法，其特征在于，所述第一信息为所述第二终端设备的标识，所述第二终端设备的标识包括下面一个或者多个：

   所述第二终端设备的临时标识、所述第二终端设备的匿名化标识或者所述第二终端设备的用户永久性标识SUPI。
9. 如权利要求3～8任一所述的方法，其特征在于，所述第一用户面安全策略指示完整性保护为优选，所述会话管理网元根据所述第一用户面安全策略确定所述会话的第一用户面安全执行信息，包括：

   所述会话管理网元在确定所述第一终端设备的完整性保护最大数据率小于会话要求的数据率后，确定所述第一用户面安全执行信息中会话的完整性保护为不需要。
10. 如权利要求3～8任一所述的方法，其特征在于，所述第一用户面安全策略指示完整性保护为必须，所述会话管理网元根据所述第一用户面安全策略确定所述会话的第一用户面安全执行信息，包括：

    所述会话管理网元在确定所述第一终端设备的完整性保护最大数据率小于会话要求的数据率，向所述第一终端设备发送会话建立拒绝响应，所述会话建立拒绝响应用于指示拒绝建立会话。
11. 如权利要求1～10任一所述的方法，其特征在于，所述方法还包括：

    所述会话管理网元接收第三请求，所述第三请求用于指示第三终端设备使用所述会话，所述第三请求包括所述第三终端设备的标识；

    所述会话管理网元根据所述第三终端设备的标识确定所述会话的第二用户面安全执行信息；

    所述会话管理网元向所述接入网设备发送所述会话的第二用户面安全执行信息，所述会话的第二用户面安全执行信息用于确定所述第一终端设备与所述接入网设备之间所述会话的第二用户面安全激活状态。
12. 如权利要求11所述的方法，其特征在于，所述会话管理网元根据所述第三终端设备的标识确定所述会话的第二用户面安全执行信息，包括：

    所述会话管理网元所述根据所述第三终端设备的标识确定第二用户面安全策略；

    所述会话管理网元根据所述第二用户面安全策略确定所述会话的第二用户面安全执行信息。
13. 如权利要求11或12所述的方法，其特征在于，所述会话管理网元向接入网设备发送所述会话的第二用户面安全执行信息之前，还包括：

    所述会话管理网元确定所述会话的第一用户面安全执行信息与所述会话的第二用户面安全执行信息不同。
14. 如权利要求11～13任一所述的方法，其特征在于，所述第三终端设备的标识包括下列的部分或全部：

    所述第三终端设备的临时标识、所述第三终端设备的匿名化标识、或者所述第三终端设备的SUPI。
15. 如权利要求12～14任一所述的方法，其特征在于，所述会话管理网元根据所述第二用户面安全策略确定所述会话的第二用户面安全执行信息，包括：

    所述会话管理网元根据所述第二用户面安全策略和所述会话的第一用户面安全执行信息确定所述会话的第二用户面安全执行信息；或

    所述会话管理网元根据所述第二用户面安全策略和所述第一用户面安全策略确定所述会话的第二用户面安全执行信息；或

    所述会话管理网元根据所述第二用户面安全策略确定所述会话的第二用户面安全执行信息。
16. 如权利要求12～15任一所述的方法，其特征在于，所述会话管理网元所述根据所述第三终端设备的标识确定第二用户面安全策略，包括：

    所述会话管理网元向统一数据管理网元发送第二签约信息获取请求，所述第二签约信息获取请求包括所述第三终端设备的标识；

    所述会话管理网元从所述统一数据管理网元接收第二签约信息获取响应，所述第二签约信息获取响应包括所述第二用户面安全策略；或

    所述会话管理网元根据所述第三终端设备的标识从所述第一终端设备签约的用户面安全策略确定所述第二用户面安全策略。
17. 如权利要求12～15任一所述的方法，其特征在于，所述会话管理网元所述根据所述第三终端设备的标识确定第二用户面安全策略，包括：

    所述会话管理网元向所述统一数据管理网元发送第二签约信息获取请求，所述第二签约信息获取请求包括所述第三终端设备的标识；

    所述会话管理网元从所述统一数据管理网元接收第二签约信息获取响应，所述第二签约信息获取响应包括所述第一终端设备中继类型的会话的用户面安全策略；

    所述会话管理网元根据所述第一终端设备中继类型的会话的用户面安全策略确定所述第二用户面安全策略。
18. 如权利要求12～15任一所述的方法，其特征在于，所述会话管理网元所述根据所述第三终端设备的标识确定第二用户面安全策略，包括：

    所述会话管理网元向所述统一数据管理网元发送第二签约信息获取请求，所述第二签约信息获取请求包括所述第三终端设备的标识；

    所述会话管理网元从所述统一数据管理网元接收所述第二签约信息获取响应，所述第二签约信息获取响应包括第三终端设备签约的用户面安全策略；

    所述会话管理网元根据所述第三终端设备签约的用户面安全策略确定所述第二用户面安全策略。
19. 如权利要求12～18任一所述的方法，其特征在于，所述第二用户面安全策略指示会话的完整性保护为优选，所述会话管理网元根据所述第二用户面安全策略确定所述会话的第二用户面安全执行信息，包括；

    所述会话管理网元在确定所述第一终端设备的完整性保护最大数据率小于会话要求的数据率后，确定所述第二用户面安全执行信息中会话的完整性保护为不需要。
20. 一种确定用户面安全执行信息的方法，其特征在于，所述方法包括：

    向移动接入管理网元发送第二请求，所述第二请求用于请求创建中继类型的会话，所述第二请求包括第二信息，所述第二信息指示所述会话的类型为中继类型；

    接收来自接入网设备的第一指示信息，所述第一指示信息用于指示第一终端设备与所述接入网设备之间所述会话的第一用户面安全激活状态。
21. 如权利要求20所述的方法，其特征在于，所述向移动接入管理网元发送第二请求之前，还包括：

    接收第二终端设备发送的第一直接通信请求，所述第一直接通信请求用于建立与第一终端设备的通信。
22. 如权利要求20或21所述的方法，其特征在于，所述第二请求包括N1 SM container，所述N1 SM container包括所述第二信息；或所述第二请求包括第二信息和N1 SM container。
23. 如权利要求20～22任一所述的方法，其特征在于，所述会话用于传输第二终端设备的数据，所述第二信息包括下列一个或者多个：

    所述第二终端设备的临时标识、所述第二终端设备的匿名化标识或者所述第二终端设备的用户永久性标识SUPI。
24. 如权利要求20～23任一所述的方法，其特征在于，所述方法包括：

    接收第三终端设备发送的第二直接通信请求，所述第二直接通信请求用于建立与所述第一终端设备的通信；

    根据所述第二直接通信请求，确定所述第三终端设备使用所述会话；

    向所述移动接入管理网元发送第三请求，所述第三请求用于指示所述第三终端设备使用所述会话，所述第三请求包括所述第三终端设备的标识。
25. 如权利要求24所述的方法，其特征在于，所述第三终端设备的标识包括下列一个或者多个：

    所述第三终端设备的临时标识、所述第三终端设备的匿名化标识或者所述第三终端设备的用户永久性标识SUPI。
26. 如权利要求20～25任一所述的方法，其特征在于，所述接收来自接入网设备的第一用指示信息之后，还包括：

    根据所述第一用户面安全激活状态确定所述第一终端设备与所述第二终端设备的安全激活状态。
27. 如权利要求26所述的方法，其特征在于，所述第一用户面安全激活状态中完整性保护为必须，所述根据所述第一用户面安全激活状态确定所述第一终端设备与所述第二终端设备的安全激活状态，包括：

    根据所述第二终端设备的完整性保护最大数据率或QoS控制信息确定是否开启所述第一终端设备与第二终端设备之间的完整性保护。
28. 如权利要求20～27任一所述的方法，其特征在于，所述第一用户面安全激活状态中完整性保护为不需要，所述方法还包括：

    在确定所述第二终端设备的用户面安全策略指示完整性保护为必须的情况下，向所述第二终端设备发送直连通信拒绝消息。
29. 如权利要求20～28任一所述的方法，其特征在于，所述方法还包括：

    接收接入网设备发送第二指示信息，所述第二指示信息用于指示所述第一终端设备与所述接入网设备之间所述会话的第二用户面安全激活状态；

    根据所述第二指示信息将所述第一用户面安全激活状态更新为第二用户面安全激活状态。
30. 如权利要求29所述的方法，其特征在于，所述接收接入网设备发送第二指示信息之后，还包括：

    根据所述第二用户面安全激活状态更新所述第一终端设备与所述第二终端设备的用户面安全激活状态。
31. 如权利要求29或30所述的方法，其特征在于，所述第二用户面安全激活状态中完整性保护为必须，所述根据所述第一用户面安全激活状态确定所述第一终端设备与所述第二终端设备的安全激活状态，包括：

    根据第三终端设备的完整性保护最大数据率或服务质量QoS控制信息确定是否开启所述第一终端设备与所述第二终端设备之间的完整性保护。
32. 一种确定用户面安全执行信息的方法，其特征在于，所述方法包括：

    移动接入管理网元接收第一终端设备发送第二请求，所述第二请求包括第二信息，所述第二请求用于请求创建所述第一终端设备中继类型的会话，所述第二信息用于指示所述会话的类型为中继类型；

    所述移动接入管理网元根据所述第二请求向所述会话管理网元发送第一请求，所述第一请求包括所述第一信息，所述第一信息用于指示所述会话的类型为中继类型，所述第一请求用于请求创建所述第一终端设备中继类型的会话。
33. 如权利要求32所述的方法，其特征在于，所述第二信息与所述第一信息相同，所述第一请求和所述第二请求包括N1 SM container，所述N1 SM container包括所述第二信息。
34. 如权利要求32所述的方法，其特征在于，所述第二请求包括所述第二信息和N1 SM container；所述第一请求包括所述第一信息和所述N1 SM container。
35. 如权利要求32～34任一所述的方法，其特征在于，所述移动接入管理网元在根据所述第二信息向所述会话管理网元发送第一请求，包括：

    所述移动接入管理网元在根据所述第二信息确定所述第一终端设备授权建立所述会话后，向所述会话管理网元发送所述第一请求。
36. 如权利要求32～35任一所述的方法，其特征在于，所述第二信息包括下列一个或多个：

    所述第二终端设备的临时标识、所述第二终端设备的匿名化标识和所述第二终端设备的用户永久性标识SUPI。
37. 如权利要求32～36任一所述的方法，其特征在于，所述移动接入管理网元根据所述第二请求向所述会话管理网元发送第一请求之前，还包括：

    所述移动接入管理网元根据所述第二信息确定所述第一终端设备授权为所述第二终端设备建立会话。
38. 一种确定用户面安全执行信息的方法，其特征在于，所述方法包括：

    统一数据管理网元向会话管理网元提供第一用户面安全策略。
39. 如权利要求38所述的方法，其特征在于，所述统一数据管理网元向会话管理网元提供第一用户面安全策略，包括：

    所述统一数据管理网元从所述会话管理网元接收第一签约信息获取请求，所述第一签约信息获取请求包括第一信息，所述第一信息用于指示会话的类型为中继类型；

    所述统一数据管理网元根据所述第一信息确定所述第一用户面安全策略；

    所述统一数据管理网元向所述会话管理网元发送第一签约信息获取响应，所述第一签约信息获取响应包括第一用户面安全策略。
40. 如权利要求38所述的方法，其特征在于，所述统一数据管理网元向会话管理网元提供第一用户面安全策略，包括：

    所述统一数据管理网元从所述会话管理网元接收第一签约信息获取请求，所述第一签约信息获取请求用于请求所述第一终端设备签约的用户面安全策略，所述第一终端设备签约的用户面安全策略指示所述第一终端设备中继类型的会话的用户面安全策略和非中继类型的会话的用户面安全策略；

    所述统一数据管理网元向所述会话管理网元发送第一签约信息获取响应，所述第一签约信息获取响应包括所述第一终端设备签约的用户面安全策略，所述第一终端设备签约的用户面安全策略包括第一用户面安全策略。
41. 如权利要求39所述的方法，其特征在于，所述统一数据管理网元根据所述第一信息确定所述第一用户面安全策略，包括：

    所述统一数据管理网元根据所述第一信息和所述第一终端设备签约的用户面安全策略确定所述第一用户面安全策略，所述第一终端设备签约的用户面安全策略指示所述第一终端设备中继类型和非中继类型的会话的用户面安全策略。
42. 如权利要求39或41所述的方法，其特征在于，所述第一信息为第二终端设备的标识，所述统一数据管理网元根据所述第一信息确定所述第一用户面安全策略，包括：

    所述统一数据管理网元根据所述第二终端设备的标识从所述第二终端设备签约的用户面安全策略确定所述第一用户面安全策略。
43. 如权利要求38～42任一所述的方法，其特征在于，所述方法还包括：

    所述统一数据管理网元从所述会话管理网元接收第二签约信息获取请求，所述第二签约信息获取请求包括第三终端设备的标识；

    所述统一数据管理网元根据所述第三终端设备的标识确定第二用户面安全策略；向所述会话管理网元发送第二签约信息获取响应，所述第二签约信息获取响应包括所述第二用户面安全策略。
44. 一种通信系统，其特征在于，所述通信系统包括会话管理网元和统一数据管理网元；

    所述会话管理网元，用于向所述统一数据管理网元发送第一签约信息获取请求；所述第一签约信息获取请求包括中继指示，所述中继指示用于请求所述第一终端设备中继类型的会话的用户面安全策略；

    所述统一数据管理网元，用于接收所述第一签约信息获取请求，根据所述第一信息从第一终端设备签约的用户面安全策略中确定所述第一用户面安全策略，所述第一终端设备签约的用户面安全策略包括第一终端设备中继类型与非中继类型的会话的用户面安全策略；以及向所述会话管理网元发送第一签约信息获取响应，所述第一签约信息获取响应包括所述第一用户面安全策略；

    所述会话管理网元，还用于接收所述第一签约信息获取响应。
45. 如权利要求44所述的系统，其特征在于，所述系统还包括移动管理网元：

    所述移动接入管理网元，用于向所述会话管理网元发送第一请求，所述第一请求用于请求为第一终端设备建立中继类型的会话，所述第一请求包括第一信息，该第一信息用于指示会话的类型为中继类型；

    所述会话管理网元，用于接收所述第一请求，所述中继指示为第一信息或根据所述第一信息确定的。
46. 如权利要求44所述的系统，其特征在于，所述会话用于传输所述第二终端设备的数据，所述第一信息为所述第二终端设备的标识，所述第二终端设备的标识包括下面一个或者多个：

    所述第二终端设备的临时标识、所述第二终端设备的匿名化标识或者所述第二终端设备的用户永久性标识SUPI。
47. 如权利要求44～46任一所述的系统，其特征在于，所述系统还包括接入网设备，

    所述会话管理网元，还用于根据所述第一用户面安全策略确定所述会话的第一用户面安全执行信息后，向所述接入网设备发送所述会话的第一用户面安全执行信息；

    所述接入网设备，用于接收所述会话的第一用户面安全执行信息，根据所述会话的第一用户面安全执行信息激活所述第一终端设备与所述接入网设备之间所述会话的第一用户面安全激活状态。
48. 如权利要求47所述的系统，其特征在于，所述系统还包括第一终端设备；

    所述接入网设备，还用于向所述第一终端设备发送第一指示消息，所述第一指示消息用于指示所述会话中所述第一终端设备与所述接入网设备之间所述会话的第一用户面安全激活状态；

    所述第一终端设备，用于接收所述第一指示消息，根据所述第一指示信息配置所述第一用户面安全激活状态；以及根据所述第一用户面安全激活状态配置所述第一终端设备与所述第二终端设备的安全激活状态。
49. 如权利要求44～48任一所述的系统，其特征在于，

    所述第一终端设备，还用于在确定第三终端设备使用所述会话后，向所述会话管理网元发送第二请求，所述第二请求指示所述第三终端设备使用所述会话，所述第二请求包括所述第三终端设备的标识；

    所述会话管理网元，还用于根据所述第三终端设备的标识获取所述第二用户面安全策略；以及根据所述第二用户面安全策略确定所述会话的第二用户面安全执行信息后，向所述接入网设备发送所述会话的第二用户面安全执行信息；

    所述接入网设备，还用于接收所述会话的第二用户面安全执行信息，根据所述会话的第二用户面安全执行信息将所述第一用户面安全激活状态更新为第二用户面安全激活状态。
50. 如权利要求49所述的系统，其特征在于，所述第三终端设备的标识包括下列的部分或全部：

    所述第三终端设备的临时标识、所述第三终端设备的匿名化标识、或者所述第三终端设备的SUPI。
51. 如权利要求49或50所述的系统，其特征在于，

    所述接入网设备，还用于向所述第一终端设备发送第二指示消息，所述第二指示消息用于指示所述会话中所述第一终端设备与所述接入网设备之间所述会话的第二用户面安全激活状态；

    所述第一终端设备，用于接收所述第二指示消息，根据所述第二指示信息更新与所述接入网设备的第一用户面安全激活状态；以及根据所述第二用户面安全激活状态更新所述 第一终端设备与所述第二终端设备的安全激活状态。
52. 如权利要求44～51任一所述的系统，其特征在于，所述第一用户面安全策略指示完整性保护为优选，所述会话管理网元在根据所述第一用户面安全策略确定所述会话的第一用户面安全执行信息时，具体用于：

    在确定所述第一终端设备的完整性保护最大数据率小于会话要求的数据率后，确定关闭所述会话的完整性保护。
53. 如权利要求44～52任一所述的系统，其特征在于，若所述第一用户面安全策略指示完整性保护为必须，所述会话管理网元，还用于：

    在确定所述第一终端设备的完整性保护最大数据率低于会话要求的数据率后，向所述第一终端设备发送会话建立拒绝响应，所述会话建立拒绝响应用于指示拒绝建立会话。
54. 如权利要求47～53任一所述的系统，其特征在于，所述会话管理网元在根据所述第二用户面安全策略确定所述会话的第二用户面安全执行信息，具体用于：

    根据所述第二用户面安全策略和所述会话的第一用户面安全执行信息确定所述会话的第二用户面安全执行信息；或

    根据所述第二用户面安全策略和所述第一用户面安全策略确定所述会话的第二用户面安全执行信息。
55. 如权利要求47～53任一所述的系统，其特征在于，所述会话管理网元根据所述第三终端设备的标识获取第二用户面安全策略，具体用于：

    向所述统一数据管理网元发送第二签约信息获取请求，所述第二签约信息获取请求包括所述第三终端设备的标识；

    所述统一数据管理网元，用于接收所述第二签约信息获取请求，根据所述第三终端设备的标识确定所述第二用户面安全策略；向所述会话管理网元发送第二用户面安全策略；

    所述会话管理网元，还用于：从所述统一数据管理网元接收所述第二用户面安全策略。
56. 如权利要求47～54所述的系统，其特征在于，所述会话管理网元向接入网设备发送所述会话的第二用户面安全执行信息之前，还用于：

    确定所述会话的第一用户面安全执行信息与所述会话的第二用户面安全执行信息不同。
57. 如权利要求47～56所述的系统，其特征在于，所述第二用户面安全策略指示会话的完整性保护为优选，所述会话管理网元在根据所述第二用户面安全策略确定所述会话的第二用户面安全执行信息，具体用于：

    在确定所述第一终端设备的完整性保护最大数据率小于会话要求的数据率后，确定关闭所述会话的完整性保护。
58. 一种通信装置，其特征在于，用于实现如权利要求1至19任一项所述的方法。
59. 一种通信装置，其特征在于，用于实现如权利要求20至31任一项所述的方法。
60. 一种通信装置，其特征在于，用于实现如权利要求32至37任一项所述的方法。
61. 一种通信装置，其特征在于，用于实现如权利要求38至43任一项所述的方法。
62. 一种通信装置，其特征在于，包括处理器和存储器，所述存储器中存储有指令，所述处理器执行所述指令时，使得所述装置执行权利要求1至19任一项所述的方法。
63. 一种通信装置，其特征在于，包括处理器和存储器，所述存储器中存储有指令，所述处理器执行所述指令时，使得所述装置执行权利要求20至31任一项所述的方法。
64. 一种通信装置，其特征在于，包括处理器和存储器，所述存储器中存储有指令，所述处理器执行所述指令时，使得所述装置执行权利要求32至37任一项所述的方法。
65. 一种通信装置，其特征在于，包括处理器和存储器，所述存储器中存储有指令，所述处理器执行所述指令时，使得所述装置执行权利要求38至43任一项所述的方法。
66. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行如权利要求1～43任一项所述的方法。
67. 一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如权利要求1～43任一项所述的方法。
68. 一种计算机芯片，其特征在于，所述芯片与存储器相连，所述芯片用于读取并执行所述存储器中存储的软件程序，执行如权利要求1～43任一项所述的方法。

Images