WO2022027696A1 - 一种安全信息的配置方法和装置 - Google Patents

Abstract

本申请实施例提供一种安全信息的配置方法和装置，涉及通信技术领域，能够实现5G MBS架构下终端设备与网络侧的安全信息的配置，保证5G MBS架构下用户面数据的安全性。该方法应用于包括多播-广播服务MBS架构的系统，该系统包括第一网络功能网元和第二网络功能网元，该方法包括：第一网络功能网元接收多播组的标识，确定多播组的标识对应的安全信息，安全信息用于对多播组的用户面数据进行加密保护和/或完整性保护，安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法，第一网络功能网元向第二网络功能网元发送安全信息。本申请实施例用于多播业务或广播业务的安全下发。

Description

一种安全信息的配置方法和装置 技术领域

本申请涉及通信技术领域，尤其涉及一种安全信息的配置方法和装置。

背景技术

第五代(fifth generation，5G)网络针对用户面保护引入了用户面安全信息。该安全信息可以包括机密性保护和完整性保护两个特性。其实现方式可以为：会话管理功能(session management function，SMF)确定安全信息，并发送给无线接入网络(radio access network，RAN)。RAN根据安全信息可以确定机密性保护和完整性保护的保护需求。

第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)研究项目报告中提出第五代(fifth generation，5G)多播-广播服务(multicast-broadcast service，MBS)架构，虽然该架构下，RAN可以采用多播或者单播方式传输5G MBS下的数据，但是多播方式不能如单播方式一样可以在分组数据汇聚协议(packet data convergence protocol，PDCP)层进行数据保护，多播方式需要更高层的用户面数据防护，例如需要终端设备与应用功能(application function，AF)网元之间端到端(end-to-end，E2E)的保护，或者终端设备与5G核心网(5g core network，5GC)之间E2E的保护。

虽然现有的长期演进(long term evolution，LTE)网络的多媒体广播多播功能(multimedia broadcast multicast service，MBMS)中，UE与多媒体的广播多播服务(broadcast multicast service center，BM-SC)建立连接后，BM-SC可以通过超文本传输协议(hypertext transfer protocol，http)协议下发广播多播数据的密钥。但是LTE中密钥下发的流程不能完全适用于5G MBS架构。这是由于在5G MBS架构中，BM-SC的功能已经被拆分至5G的多个网络实体中，例如，会话管理功能(session management function，SMF)和策略控制功能(policy control function，PCF)等。因此，如何复用5GC的配置流程，完成5G MBS架构下终端设备与网络侧的安全信息的配置是一个亟待解决的问题。

发明内容

本申请实施例提供一种安全信息的配置方法和装置，能够实现5G MBS架构下终端设备与网络侧的安全信息的配置，保证5G MBS架构下用户面数据的安全性。

为达到上述目的，本申请实施例采用如下技术方案。

第一方面，提供一种安全信息的配置方法，该方法应用于包括多播-广播服务MBS架构的系统，该系统包括第一网络功能网元和第二网络功能网元，该方法包括：第一网络功能网元接收多播组的标识，确定多播组的标识对应的安全信息，安全信息用于对多播组的用户面数据进行加密保护和/或完整性保护，安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法；第一网络功能网元向第二网络功能网元发送安全信息，第二网络功能网元包括多播服务功能的用户面功能(例如MSF-U) 网元、多播服务功能的控制面功能(例如MSF-C)网元、网络开放功能(例如NEF)网元或会话管理功能(例如SMF)网元中的一个或多个；第一网络功能网元可以包括统一的数据存储库(例如UDR)网元、网络开放功能(例如NEF)、会话管理功能(例如SMF)或多播服务功能的控制面功能(例如MSF-C)网元中的一个或多个。

由此，在5G MBS架构中，可以通过5G系统中的网元完成安全信息的配置，保证5G MBS架构下用户面数据的安全性。例如UDR网元可以根据安全策略确定多播组的标识对应的安全信息。于是当，UE向网络侧请求获得安全信息时，可以从网络侧的UDR网元中获取安全信息，以根据安全信息对MBS的用户面数据进行解密。

在一种可能的设计中，安全信息还包括用户面数据的安全策略和/或保护方式；安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护。这样，接收到安全信息的网络侧网元可以根据安全信息对用户面数据进行保护，或者还可以根据安全策略或保护方式对用户面数据进行保护。

在一种可能的设计中，安全信息还包括保护方式；接收多播组的标识，确定多播组的标识对应的安全信息包括：接收来自网络开放功能网元或多播服务功能的控制面功能网元的多播组的标识和安全策略；根据安全策略确定保护方式；或者，接收来自网络开放功能网元或多播服务功能的控制面功能网元的多播组的标识和保护方式；根据保护方式生成安全信息。

也就是说，MBS中的网元可以根据接收到的安全策略生成安全信息，或者根据接收到的保护方式生成安全信息，以便在网络侧网元根据安全信息对MBS的用户面数据进行保护。例如，UDR网元接收来自NEF网元或MSF-C网元的多播组的标识和安全策略，UDR网元根据安全策略确定保护方式，再根据保护方式生成安全信息。或者，UDR网元接收来自NEF网元或MSF-C网元的多播组的标识和保护方式，UDR网元根据保护方式生成安全信息。

在一种可能的设计中，向第二网络功能网元发送安全信息包括:向网络开放功能网元或多播服务功能的控制面功能网元发送安全信息。也即，当网络侧的网元生成安全信息后，可以将安全信息发送给其他网元进行保存。例如，UDR网元将安全信息发送给NEF网元或MSF-C网元进行保存，这样，UE在请求安全信息时，网络侧网元可以从NEF网元或MSF-C网元获取多播组的标识对应的安全信息。

在一种可能的设计中，第一网络功能网元包括统一的数据存储库(例如UDR)网元；根据保护方式生成安全信息之后，该方法还包括：统一的数据存储库网元确定安全信息与多播组的标识的对应关系；接收多播组的标识，确定多播组的标识对应的安全信息还包括：统一的数据存储库网元接收来自会话管理功能网元的请求消息，请求消息包括多播组的标识；统一的数据存储库网元根据对应关系确定多播组的标识对应的安全信息；向第二网络功能网元发送安全信息包括：统一的数据存储库网元向会话管理功能网元发送安全信息。

可以理解为，统一的数据库网元中存储有多播组的标识和安全信息的对应关系。如果后续接收到来自UE的请求消息，请求获得多播组的标识对应的安全信息时，统一的数据库网元可以根据该对应关系并通过第二网络功能网元向UE响应该安全信息。 例如，UDR网元存储有该对应关系，当UDR网元接收到SMF网元发送的请求消息时，UDR网元向SMF网元发送该安全信息，以便SMF网元将该安全信息发送给UE。

其中，统一的数据库网元存储的对应关系可以是自己生成并保存的，也可能是从网络开放功能网元或多播服务功能的控制面功能网元等其他网元接收到的对应关系。

在一种可能的设计中，第一网络功能网元包括网络开放功能网元或多播服务功能的控制面功能网元，安全信息还包括保护方式；接收多播组的标识，确定多播组的标识对应的安全信息包括：网络开放功能网元或多播服务功能的控制面功能网元接收来自应用功能网元的多播组的标识和安全策略；网络开放功能网元或多播服务功能的控制面功能网元根据安全策略确定保护方式；网络开放功能网元或多播服务功能的控制面功能网元根据保护方式生成安全信息；向第二网络功能网元发送安全信息包括：网络开放功能网元或多播服务功能的控制面功能网元向统一的数据存储库网元发送安全信息。

也就是说，网络侧配置的安全信息可以是网络开放功能网元或多播服务功能的控制面功能网元生成的，并将生成的安全信息和多播组的标识发送给统一的数据存储库网元进行保存。示例性的，NEF网元或MSF-C网元接收AF网元发送的多播组的标识和安全策略，NEF网元或MSF-C网元根据安全策略确定安全信息，NEF网元或MSF-C网元将安全信息发送给UDR网元进行存储。这样，UE在请求安全信息时，网络侧网元可以从UDR网元获取多播组的标识对应的安全信息下发给UE。

在一种可能的设计中，根据保护方式生成安全信息包括：若保护方式指示对用户面数据执行加密保护，则生成加密密钥和加密算法；若保护方式指示对用户面数据执行完整性保护，则生成完整性保护密钥和完整性保护算法。如果保护方式指示不对用户面数据执行加密保护，以及不对用户面数据执行完整性保护，网络侧网元也可以生成加密密钥、加密算法、完整性保护密钥和完整性保护算法，但是加密算法和完整性保护算法均为空算法。

在一种可能的设计中，第一网络功能网元包括网络开放功能网元或多播服务功能的控制面功能网元；接收多播组的标识，确定多播组的标识对应的安全信息包括：网络开放功能网元或多播服务功能的控制面功能网元接收来自应用功能网元的多播组的标识和安全策略；网络开放功能网元或多播服务功能的控制面功能网元向统一的数据存储库网元发送安全策略和多播组的标识，统一的数据存储库网元可以根据接收到的安全策略生成安全信息，统一的数据存储库网元再将安全信息和多播组的标识发送给网络开放功能网元或多播服务功能的控制面功能网元；或者，网络开放功能网元或多播服务功能的控制面功能网元根据安全策略确定保护方式，向统一的数据存储库网元发送保护方式和多播组的标识；统一的数据存储库网元可以根据接收到的保护方式生成安全信息，统一的数据存储库网元再将安全信息和多播组的标识发送给网络开放功能网元或多播服务功能的控制面功能网元，即网络开放功能网元或多播服务功能的控制面功能网元接收来自统一的数据存储库网元的安全信息。

也就是说，网络开放功能网元或多播服务功能的控制面功能网元在接收到安全策略时，可以将安全策略发送给统一的数据存储库网元，使得统一的数据存储库网元根据安全策略生成安全信息后反馈给网络开放功能网元或多播服务功能的控制面功能网 元。或者，网络开放功能网元或多播服务功能的控制面功能网元也可以先自己根据安全策略生成保护方式，将保护方式发送给统一的数据存储库网元，使得统一的数据存储库网元根据保护方式生成安全信息后反馈给网络开放功能网元或多播服务功能的控制面功能网元。

例如，NEF网元或MSF-C网元在接收到多播组的标识和安全策略时，可以将多播组的标识和安全策略发送给UDR网元，UDR网元根据安全策略生成安全信息后反馈给NEF网元或MSF-C网元。或者，NEF网元或MSF-C网元也可以先自己根据安全策略生成保护方式，将保护方式发送给UDR网元，使得UDR网元根据保护方式生成安全信息后反馈给NEF网元或MSF-C网元。

在一种可能的设计中，向第二网络功能网元发送安全信息包括：向多播服务功能的用户面功能网元或会话管理功能网元发送安全信息。

可以理解为，NEF网元或MSF-C网元在接收到来自UDR网元的多播组的标识和安全信息时，NEF网元还可以向SMF网元发送该多播组的标识和安全信息，UE在获取安全信息时，可以从SMF网元获取安全信息；或者，MSF-C网元还可以向MSF-U网元发送安全信息，UE在获取安全信息时，可以从MSF-U网元获取安全信息。

第二方面，提供一种安全信息的配置方法，该方法应用于终端设备，终端设备所在的网络包括会话管理功能网元，该方法包括：向会话管理功能网元发送多播组的标识，以请求加入多播组；接收来自会话管理功能网元的安全信息，安全信息用于对多播组的用户面数据进行加密保护和/或完整性保护，安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法，安全信息还包括用户面数据的安全策略和/或保护方式；安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护；根据安全信息进行对接收到的用户面数据进行解密。

其中，终端设备可以为UE。在5G MBS中配置有安全信息时，如果UE要加入该多播组，请求获取安全信息时，UE可以向会话管理功能(例如SMF)网元请求获取安全信息，会话管理功能网元如果保存有该多播组的标识对应的安全信息时，可以直接向UE下发安全信息；会话管理功能网元如果没有保存该多播组的标识对应的安全信息时，会话管理功能网元可以从其他网元，例如统一的数据存储库网元请求获取安全信息后下发给UE。这样，MBS架构中的网络侧网元可以根据安全信息对多播组的数据进行保护的情况下，UE还可以根据请求得到的安全信息对数据进行解密，保证了MBS架构下的用户面数据的安全性。

第三方面，提供一种安全信息的配置方法，该方法应用于包括多播-广播服务MBS架构的系统，该系统包括统一的数据存储库网元、网络开放功能网元、多播服务功能的控制面功能网元、会话管理功能网元和终端设备。

一种可能的设计中，统一的数据存储库网元接收来自网络开放功能网元或多播服务功能的控制面功能网元的多播组的标识和安全策略；统一的数据存储库网元根据安全策略确定保护方式；统一的数据存储库网元根据保护方式生成安全信息；

或者，网络开放功能网元或多播服务功能的控制面功能网元接收多播组的标识和安全策略，网络开放功能网元或多播服务功能的控制面功能网元根据安全策略确定保 护方式，网络开放功能网元或多播服务功能的控制面功能网元向统一的数据存储库网元发送多播组的标识和保护方式，统一的数据存储库网元根据保护方式生成安全信息。

进而，统一的数据存储库网元可以向络开放功能网元或多播服务功能的控制面功能网元发送该安全信息和多播组的标识。其中，安全信息还可以包括保护方式。

统一的数据存储库网元可以确定安全信息与多播组的标识的对应关系。当统一的数据存储库网元接收到来自会话管理功能网元的请求消息，请求消息包括多播组的标识；统一的数据存储库网元可以根据对应关系确定多播组的标识对应的安全信息，统一的数据存储库网元向会话管理功能网元发送安全信息。

另一种可能的设计中，网络开放功能网元或多播服务功能的控制面功能网元接收来自应用功能网元的多播组的标识和安全策略，网络开放功能网元或多播服务功能的控制面功能网元根据安全策略确定保护方式，网络开放功能网元或多播服务功能的控制面功能网元根据保护方式生成安全信息，网络开放功能网元或多播服务功能的控制面功能网元向统一的数据存储库网元发送安全信息；

或者，网络开放功能网元或多播服务功能的控制面功能网元接收来自应用功能网元的多播组的标识和安全策略，网络开放功能网元或多播服务功能的控制面功能网元向统一的数据存储库网元发送安全策略和多播组的标识，统一的数据存储库网元可以根据接收到的安全策略生成安全信息，统一的数据存储库网元再将安全信息和多播组的标识发送给网络开放功能网元或多播服务功能的控制面功能网元，网络开放功能网元还可以向会话管理功能网元发送安全信息，多播服务功能的控制面功能网元还可以向多播服务功能的用户面功能网元发送安全信息；

或者，网络开放功能网元或多播服务功能的控制面功能网元接收来自应用功能网元的多播组的标识和安全策略，网络开放功能网元或多播服务功能的控制面功能网元也可以先自己根据安全策略生成保护方式，将保护方式发送给统一的数据存储库网元，使得统一的数据存储库网元根据保护方式生成安全信息后反馈给网络开放功能网元或多播服务功能的控制面功能网元。网络开放功能网元还可以向会话管理功能网元发送安全信息，多播服务功能的控制面功能网元还可以向多播服务功能的用户面功能网元发送安全信息。

当终端设备确定加入多播组时，终端设备可以向会话管理功能网元发送多播组的标识，以请求加入多播组。会话管理功能网元保存有该多播组的标识对应的安全信息时，可以直接向终端设备下发安全信息；会话管理功能网元如果没有保存该多播组的标识对应的安全信息时，会话管理功能网元可以从其他网元，例如统一的数据存储库网元请求获取安全信息后下发给终端设备。

其中，安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护。这样，接收到安全信息的网络侧网元可以根据安全信息对用户面数据进行保护，或者还可以根据安全策略或保护方式对用户面数据进行保护。

第四方面，提供一种安全信息的配置方法，该方法应用于包括多播-广播服务MBS架构的系统，该系统包括统一的数据存储库网元、网络开放功能网元以及会话管理功能网元。

统一的数据存储库网元可以接收来自网络开放功能网元的多播组的标识和安全策略，统一的数据存储库网元根据安全策略确定保护方式，根据保护方式生成安全信息。统一的数据存储库网元向网络开放功能网元发送该安全信息。统一的数据存储库网元还可以确定安全信息与多播组的标识的对应关系，当统一的数据存储库网元接收来自会话管理功能网元的请求消息，请求消息包括多播组的标识时，统一的数据存储库网元可以根据对应关系确定多播组的标识对应的安全信息，统一的数据存储库网元向会话管理功能网元发送安全信息。

或者，网络开放功能网元接收来自应用功能网元的多播组的标识和安全策略，网络开放功能网元根据安全策略确定保护方式，网络开放功能网元根据保护方式生成安全信息。网络开放功能网元还可以向统一的数据存储库网元发送安全信息。网络开放功能网元还可以向会话管理功能网元发送安全信息。

或者，网络开放功能网元接收来自应用功能网元的多播组的标识和安全策略，网络开放功能网元根据安全策略确定保护方式，网络开放功能网元向统一的数据存储库网元发送保护方式和多播组的标识，统一的数据存储库网元可以根据接收到的保护方式生成安全信息，统一的数据存储库网元再将安全信息和多播组的标识发送给网络开放功能网元。网络开放功能网元还可以向会话管理功能网元发送安全信息。

在一种可能的设计中，安全信息还包括用户面数据的安全策略和/或保护方式；安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护。

第五方面，提供一种安全信息的配置方法，该方法应用于包括多播-广播服务MBS架构的系统，该系统包括多播服务功能的控制面功能网元和多播服务功能的用户面功能网元。

多播服务功能的控制面功能网元接收来自应用功能网元的多播组的标识和安全策略，多播服务功能的控制面功能网元可以向统一的数据存储库网元发送多播组的标识和安全策略，以便统一的数据存储库网元根据安全策略确定安全信息；或者，多播服务功能的控制面功能网元可以向统一的数据存储库网元发送多播组的标识和保护方式，以便统一的数据存储库网元根据保护方式确定安全信息。

或者，多播服务功能的控制面功能网元还可以根据安全策略确定保护方式，根据保护方式生成安全信息，并向多播服务功能的用户面功能网元发送多播组的标识和安全信息，以便多播服务功能的用户面功能网元根据安全信息对数据进行保护。

或者，多播服务功能的控制面功能网元还可以接收多播组的标识和安全信息。多播服务功能的控制面功能网元还可以向多播服务功能的用户面功能网元发送多播组的标识和安全信息，以便多播服务功能的用户面功能网元根据安全信息对数据进行保护。

在一种可能的设计中，安全信息还包括用户面数据的安全策略和/或保护方式；安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护。

第六方面，提供一种安全信息的配置方法，该方法应用于包括多播-广播服务MBS 架构的系统，该系统包括统一的数据存储库网元和会话管理功能网元。

统一的数据存储库网元在接收到多播组的标识和安全策略时，可以根据多播组的标识和安全策略确定安全信息后发送给会话管理功能网元。

或者，统一的数据存储库网元在接收到多播组的标识和保护方式时，可以根据多播组的标识和保护方式确定安全信息后发送给会话管理功能网元。

统一的数据存储库网元可以确定安全信息与多播组的标识的对应关系。当统一的数据存储库网元接收来自会话管理功能网元的请求消息，请求消息包括多播组的标识时，统一的数据存储库网元可以根据对应关系确定多播组的标识对应的安全信息，并向会话管理功能网元发送安全信息。

在一种可能的设计中，安全信息还包括用户面数据的安全策略和/或保护方式；安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护。

第七方面，提供一种网络功能网元，网络功能网元为第一网络功能网元，第一网络功能网元应用于多播-广播服务架构的系统，系统包括第一网络功能网元和第二网络功能网元，第一网络功能网元包括：收发器，用于接收多播组的标识；处理器，用于确定多播组的标识对应的安全信息，安全信息用于对多播组的用户面数据进行加密保护和/或完整性保护，安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法；收发器，还用于向第二网络功能网元发送安全信息，第二网络功能网元包括多播服务功能的用户面功能网元、多播服务功能的控制面功能网元、网络开放功能网元或会话管理功能网元中的一个或多个。

在一种可能的设计中，安全信息还包括用户面数据的安全策略和/或保护方式；安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护。

在一种可能的设计中，安全信息还包括保护方式；收发器，用于接收来自网络开放功能网元或多播服务功能的控制面功能网元的多播组的标识和安全策略，处理器，用于根据安全策略确定保护方式；或者，收发器，用于来自网络开放功能网元或多播服务功能的控制面功能网元的多播组的标识和保护方式；处理器，用于根据保护方式生成安全信息。

在一种可能的设计中，收发器，用于向网络开放功能网元或多播服务功能的控制面功能网元发送安全信息。

在一种可能的设计中，第一网络功能网元包括统一的数据存储库网元；处理器，还用于确定安全信息与多播组的标识的对应关系；收发器，还用于接收来自会话管理功能网元的请求消息，请求消息包括多播组的标识；处理器，还用于根据对应关系确定多播组的标识对应的安全信息；收发器，还用于向会话管理功能网元发送安全信息。

在一种可能的设计中，第一网络功能网元包括网络开放功能网元或多播服务功能的控制面功能网元，安全信息还包括保护方式；收发器，用于接收来自应用功能网元的多播组的标识和安全策略；处理器，用于根据安全策略确定保护方式；处理器，用 于根据保护方式生成安全信息；收发器，用于向统一的数据存储库网元发送安全信息。

在一种可能的设计中，处理器，用于：若保护方式指示对用户面数据执行加密保护，则生成加密密钥和加密算法；若保护方式指示对用户面数据执行完整性保护，则生成完整性保护密钥和完整性保护算法。

在一种可能的设计中，第一网络功能网元包括网络开放功能网元或多播服务功能的控制面功能网元；收发器，用于接收来自应用功能网元的多播组的标识和安全策略；收发器，用于向统一的数据存储库网元发送安全策略和多播组的标识；或者，处理器，用于根据安全策略确定保护方式，收发器，用于向统一的数据存储库网元发送保护方式和多播组的标识；收发器，用于接收来自统一的数据存储库网元的安全信息。

在一种可能的设计中，收发器，用于：向多播服务功能的用户面功能网元或会话管理功能网元发送安全信息。

第八方面，提供一种终端设备，终端设备所在的网络包括会话管理功能网元，终端设备包括：收发器，用于向会话管理功能网元发送多播组的标识，以请求加入多播组；收发器，还用于接收来自会话管理功能网元的安全信息，安全信息用于对多播组的用户面数据进行加密保护和/或完整性保护，安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法，安全信息还包括用户面数据的安全策略和/或保护方式；安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护；处理器，用于根据安全信息进行对接收到的用户面数据进行解密。

第九方面，本申请实施例提供了一种计算机可读存储介质，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行上述第一方面及第一方面的任一项可能的实现方式中的安全信息的配置方法。

第十方面，本申请实施例提供了一种计算机可读存储介质，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行上述第二可能的实现方式中的安全信息的配置方法。

第十一方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在计算机上运行时，使得电子设备执行上述第一方面及第一方面的任一项可能的实现方式中的安全信息的配置方法。

第十二方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在计算机上运行时，使得电子设备执行上述第二方面可能的实现方式中的安全信息的配置方法。

附图说明

图1为本申请实施例提供的一种5G MBS的基本架构示意图；

图2为本申请实施例提供的一种5G MBS的基本架构示意图；

图3为本申请实施例提供的一种5G MBS的基本架构示意图；

图4为本申请实施例提供的一种用户面安全策略配置的主要流程示意图；

图5为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图6为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图7为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图8为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图9为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图10为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图11为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图12为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图13为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图14为本申请实施例提供的一种安全信息的配置方法的流程示意图；

图15为本申请实施例提供的一种网络功能网元的结构示意图；

图16为本申请实施例提供的一种网络功能网元的结构示意图。

具体实施方式

本申请实施例可以应用于5G MBS架构中，网络侧设备如何配置安全信息，以便加入多播广播服务的终端设备可以根据安全信息对用户面数据进行解密，提升5G MBS架构下用户面数据的安全。

首先介绍下3GPP提出的5G MBS的基本架构。

5G MBS的一种架构1可以如图1所示，是基于现有的5G网络架构，并对5G网络架构中的一些网络功能(network function，NF)网元进行功能增强得到的。该架构1可以包括：AF网元、网络开放功能(network exposure function，NEF)网元、策略控制功能(Policy Control Function，PCF)网元、会话管理功能(session management function，SMF)网元、用户平面功能(user plane function，UPF)网元、下一代无线接入网络(next generation-radio access network，NG-RAN)网元以及终端设备(例如可以是用户设备(user equipment，UE))等。其中：

AF网元，可以为多播和/或广播的数据来源，调用5G系统提供的MBS，通过5G向多个UE发送多播和/或组播数据。

NEF网元，可以实现5G开放功能；与AF网元进行通信。AF网元通过NEF网元可以访问5G网络中的部分功能网元。另外，NEF网元也可以与AF网元进行网元协商5G MBS，协商的内容包括服务质量(quality of service，QoS)和5G MBS服务域等。

PCF网元，可以支持5G MBS；提供MBS会话相关策略消息给SMF网元；直接地或间接地(通过NEF)从AF网元处接收MBS服务信息；

SMF网元，可以基于从PCF网元处接收的MBS策略控制MBS传输；在UPF网元上配置MBS流以及点到点或者点到多点传输；在RAN网元上配置MBS流和QoS信息；在UE上配置MBS流的会话管理。

UPF网元，支持对MBS流的包过滤，可以通过点对点或点对多点的方式向RAN网元传输MBS流；从SMF网元处接收MBS配置；检查互联网群组管理协议(internet group management protocol，IGMP)包，并向SMF网元通知IGMP包；接收AF的单播或者多播流等。

NG-RAN网元，可以接收UPF网元发送的MBS流，在多播和单播中切换传输MBS流等。

UE，可以支持MBS策略配置；支持MBS流的会话管理；支持加入MBS流；支 持接入层的MBS等。

与架构1对应的，如图2所示，还有一种在架构1的基础上增加有多播服务功能(multicast service function，MSF)网元的5G MBS架构2。该架构2中，AF网元可以通过MSF网元使用5G系统提供的MBS。MSF网元可以通过NEF网元或者PCF网元请求MBS。其中，MSF网元可以作为控制面信令和用户面数据的入口点。MSF网元可以包括MSF控制面功能(MSF control plane，MSF-C)网元和MSF网元用户面功能(MSF iser plane，MSF-U)网元。MSF-C网元用于信令处理和接收信令，该信令例如为用于组播服务配置和MBS承载激活等。MSF-U网元用于用户面数据传输和用户面数据编码等。

另一种5G MBS的架构3可以如图3所示。该架构3在现有的5G系统架构上，引入了新的NF，并对现有UE和NG-RAN网元等进行功能增强，以支持5G MBS。该架构3中可以包括：

对UE、NG-RAN和接入移动管理功能(access and mobility management function，AMF)进行增强后的AMF网元，可以称为M-AMF网元；

多播广播会话管理功能(multicast/broadcast session management function，MB-SMF)网元和多播广播用户面功能(multicast/broadcast user plane function，MB-UPF)网元。其中，MB-SMF可以用于MBS会话管理等，MB-UPF可以用于传输多播和广播数据；这里的MB-SMF网元相当于本申请提及的MSF-C网元。

多播和广播服务功能(multicast/broadcast service function，MBSF)网元，用于处理信令和向AF提供接口等；

多播和广播服务用户面功能(multicast/broadcast service user plane function，MBSU)网元，可以用于传输多播和广播数据等；MBSU网元相当于本申请提及的MSF-U网元。

目前，虽然5G网络针对用户面保护引入了用户面安全策略配置流程，但是该流程对以上架构1、架构2和架构3来说，均不支持5G MBS中安全信息的协商机制。

目前的用户面安全策略配置的主要流程如图4所示，包括：

41、在协议数据单元(protocol data unit，PDU)会话建立流程中，UE发送非接入层(non-access stratum，NAS)消息至AMF网元，消息中可以包括网络切片标识(single network slice selection assistance information，S-NSSAI)，数据网络名称(data network name，DNN)等参数；

42、AMF网元发送创建SMF网元上下文请求(creat SMF context request)或者更新SMF网元上下文请求(update SMF context request)至SMF网元，请求中可以携带订阅永久标识(subscription permanent identifier，SUPI)，S-NSSAI和DNN等。

43、SMF网元确定用户面安全策略，具体方式可以包括:SMF网元发送请求至统一的数据管理功能(unified data management，UDM)网元，请求中携带SUPI、DNN和/或S-NSSAI，以使UDM网元根据DNN和/或S-NSSAI确定签约的用户面安全策略，并发送签约的用户面安全策略至SMF网元。这里的SMF网元能否从UDM网元得到签约的用户面安全策略是可选的，这是由于SMF网元本地也可能存储有配置的用户面安全策略。如果SMF网元从UDM网元得到签约的用户面安全策略，就将签约的用户面安全策略作为最终的用户面安全策略；否则SMF网元将本地配置的DNN和/或 S-NSSAI对应的用户面安全策略作为最终的用户面安全策略。

这里用户面安全策略包括机密性保护和完整性保护的需求。其中：

机密性保护需求可以包括：

A.required，需要机密性保护。

B.preferred，希望使用机密性保护。

C.not needed，不需要机密性保护。

完整性保护需求可以包括：

A.required，需要完整性保护。

B.preferred，希望使用完整性保护。

C.not needed，不需要完整性保护。

44、SMF网元通过AMF网元发送用户面安全策略至基站。

45、基站根据本地能力(例如是否支持完整性保护速率等)，确实最终用户面的保护方法。

如果保护需求是required，则基站必须进行保护，若不能执行，则发送拒绝指示至SMF网元。

如果保护需求是preferred，则保护方式是可选的，由基站来决定是否进行保护。

如果保护需求是not needed，则基站不执行保护。

这里的保护包括机密性保护和完整性保护。

46、基站发送机密性保护指示和/或完整性保护指示，机密性保护指示用于指示是否需要机密性保护，完整性保护指示用于指示是否需要完整性保护。

47、UE根据机密性保护指示和/或完整性保护指示执行后续用户面数据的保护。

可以看出，现有的5G网络针对用户面保护引入的用户面安全策略配置流程，并未针对5G MBS，因此，如何在5G MBS中引入用户面安全策略配置是本申请要解决的技术问题。

为此，本申请实施例提供一种安全信息的配置方法，该方法可以应用于上述架构1或架构2或架构3。例如在架构1中，其用户面数据的下发流程可以为：UPF从AF网元接收到需要下发的用户面数据后，UPF网元将用户面数据发送给对应的RAN node(基站)；再由RAN node发送用户面数据至UE。例如在架构2或架构3中，引入了服务层(service layer)，该服务层包括MSF-C网元和MSF-U网元，MSF-C网元主要处理控制面数据；MSF-U网元主要处理用户面数据。其用户面数据的下发流程可以为：MSF-U网元从AF网元接收到用户面数据后，先发送至UPF网元，再由UPF网元发送用户面数据给对应的基站；之后基站广播用户面数据给对应的UE。

为了保证架构1、架构2和架构3下，5G MBS的用户面数据下发的安全，本申请提供了多种安全信息配置方法，例如，一种方法可以包括：作为架构1和架构2中可以用于存储数据的网元：统一的数据存储库(Unified Data Repository，UDR)网元，其可以保存多个网元的数据，例如保存NEF网元、PCF网元、SMF网元和AMF网元等网元的数据。因此，本申请中，UDR网元可以获取多播组的标识，确定多播组的标识对应的安全信息，并保存安全信息。安全信息用于对多播组的用户面数据进行加密保护和/或完整性保护，安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和 完整性保护算法。该UDR网元可以自身根据多播组的标识确定对应的安全信息，也可以接收其他网元，例如接收NEF网元或MSF-C网元根据多播组的标识确定的安全信息并保存。

再例如，另一种安全信息的配置方法可以包括：NEF网元或MSF-C网元接收AF网元发送的多播组的标识和安全策略，NEF网元或MSF-C网元根据安全策略确定安全信息，将安全信息再发送给UDR网元。或者，NEF网元或MSF-C网元接收AF网元发送的多播组的标识和安全策略，并向UDR发送多播组的标识和安全策略，或向UDR网元发送NEF网元或MSF-C网元根据安全策略确定的保护方式和多播组的标识，当UDR网元确定了安全信息后，NEF网元或MSF-C网元接收UDR网元发送的安全信息。

当UE加入该多播组时，可以向核心网网元，例如SMF网元请求安全信息，SMF网元可以从UDR网元中获取安全信息后发送给UE。当UE接收到下行发送的用户面数据时，可以根据安全信息对用户面数据进行解密。

本申请安全信息的配置流程并不局限于上述两种方法，具体的多种实现方式将在下面的实施例中说明。

本申请实施例提供一种安全信息的配置方法，该方法可以应用于包括MBS的系统，系统包括第一网络功能网元和第二网络功能网元，该方法可以包括：

第一网络功能网元接收多播组的标识，确定多播组的标识对应的安全信息，安全信息用于对多播组的用户面数据进行加密保护和/或完整性保护，安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法；其中，多播组的标识也可以替换为广播组的标识。即本申请可以适用于对多播业务的用户面数据执行保护，也可以适用于对广播业务的用户面数据执行保护。

第一网络功能网元向第二网络功能网元发送安全信息，第二网络功能网元包括多播服务功能的用户面功能网元、多播服务功能的控制面功能网元、网络开放功能网元或会话管理功能网元中的一个或多个。第一网络功能网元可以包括统一的数据存储库网元、网络开放功能网元和多播服务功能的控制面功能网元中的一个或多个。

这些第一网络功能网元和第二网络功能网元均为5G MBS架构下的网元，因此，本申请实施例提供的安全信息的配置方法可以适用于对5G MBS架构下的用户面数据的保护。

在一些实施例中，安全信息还可以包括用户面数据的安全策略和/或保护方式；

安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；

保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护。

在一些实施例中，安全信息还包括保护方式；上述接收多播组的标识，确定多播组的标识对应的安全信息可以包括：接收来自网络开放功能网元或多播服务功能的控制面功能网元的多播组的标识和安全策略，根据安全策略确定保护方式；或者，接收来自网络开放功能网元或多播服务功能的控制面功能网元的多播组的标识和保护方式。根据保护方式生成安全信息。

示例性的，统一的数据存储库网元可以接收来自网络开放功能网元或多播服务功 能的控制面功能网元的多播组的标识和安全策略，统一的数据存储库网元根据安全策略确定保护方式；或者，统一的数据存储库网元直接接收来自网络开放功能网元或多播服务功能的控制面功能网元的多播组的标识和保护方式。进而，统一的数据存储库网元根据保护方式生成安全信息。

在一些实施例中，向第二网络功能网元发送安全信息包括:向网络开放功能网元或多播服务功能的控制面功能网元发送安全信息。

示例性的，统一的数据存储库网元在得到安全信息后，可以将安全信息发送给网络开放功能网元或多播服务功能的控制面功能网元，由网络开放功能网元或多播服务功能的控制面功能网元保存安全信息。后续如果终端设备请求安全信息时，可以从网络开放功能网元或多播服务功能的控制面功能网元得到该安全信息。

在一些实施例中，第一网络功能网元包括统一的数据存储库网元；根据保护方式生成安全信息之后，该方法还包括：统一的数据存储库网元确定安全信息与多播组的标识的对应关系。也就是说，由统一的数据存储库网元保存该对应关系。

基于此，上述接收多播组的标识，确定多播组的标识对应的安全信息还可以包括：

统一的数据存储库网元接收来自会话管理功能网元的请求消息，请求消息包括多播组的标识；统一的数据存储库网元根据对应关系确定多播组的标识对应的安全信息。由此，上述向第二网络功能网元发送安全信息可以包括：统一的数据存储库网元向会话管理功能网元发送安全信息。

这样，当终端设备向会话管理功能网元请求得到该安全信息时，会话管理功能网元可以从统一的数据存储库网元中获取该安全信息后下发给终端设备。

需要说明的是，统一的数据存储库网元中存储的对应关系还可以通过其他方式得到，例如下述实施例中说明的实施方式。

在一些实施例中，第一网络功能网元包括网络开放功能网元或多播服务功能的控制面功能网元，安全信息还包括保护方式。上述接收多播组的标识，确定多播组的标识对应的安全信息可以包括：网络开放功能网元或多播服务功能的控制面功能网元接收来自应用功能网元的多播组的标识和安全策略；网络开放功能网元或多播服务功能的控制面功能网元根据安全策略确定保护方式；网络开放功能网元或多播服务功能的控制面功能网元根据保护方式生成安全信息。由此，上述向第二网络功能网元发送安全信息可以包括：网络开放功能网元或多播服务功能的控制面功能网元向统一的数据存储库网元发送安全信息。

在一些实施例中，上述根据保护方式生成安全信息可以包括：若保护方式指示对用户面数据执行加密保护，则生成加密密钥和加密算法；若保护方式指示对用户面数据执行完整性保护，则生成完整性保护密钥和完整性保护算法。

在一些实施例中，第一网络功能网元包括网络开放功能网元或多播服务功能的控制面功能网元。上述接收多播组的标识，确定多播组的标识对应的安全信息包括：网络开放功能网元或多播服务功能的控制面功能网元接收来自应用功能网元的多播组的标识和安全策略。网络开放功能网元或多播服务功能的控制面功能网元向统一的数据存储库网元发送安全策略和多播组的标识，统一的数据存储库网元根据安全策略生成安全信息；或者，网络开放功能网元或多播服务功能的控制面功能网元根据安全策略 确定保护方式，向统一的数据存储库网元发送保护方式和多播组的标识，统一的数据存储库网元根据保护方式生成安全策略。

这样，网络开放功能网元或多播服务功能的控制面功能网元可以接收来自统一的数据存储库网元的安全信息。

在一些实施例中，向第二网络功能网元发送安全信息包括：向多播服务功能的用户面功能网元或会话管理功能网元发送安全信息。

示例性的，网络开放功能网元可以向会话管理功能网元发送安全信息，由会话管理功能网元保存该安全信息和多播组的标识的对应关系。或者，多播服务功能的控制面功能网元可以向多播服务功能的用户面功能网元发送安全信息，由多播服务功能的用户面功能网元保存安全信息与多播组的标识的对应关系。

在对MBS架构完整安全信息的配置流程之后，终端设备在加入多播组的标识对应的多播业务时，可以从网络侧的网络功能网元中获取安全信息，以便根据安全信息对从网络侧接收到的用户面数据进行解密。

因此，本申请实施例还提供一种安全信息的配置方法，该方法应用于终端设备，终端设备所在的网络包括会话管理功能网元，该方法可以包括：向会话管理功能网元发送多播组的标识，以请求加入多播组；接收来自会话管理功能网元的安全信息，安全信息用于对多播组的用户面数据进行加密保护和/或完整性保护，安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法，安全信息还包括用户面数据的安全策略和/或保护方式；安全策略指示用户面数据的保护需求，保护需求包括加密保护需求，和/或，完整性保护需求；保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护；根据安全信息进行对接收到的用户面数据进行解密。

这样，在MBS中的网络功能网元对用户面数据根据安全信息执行保护后，终端设备可以根据请求得到的安全信息对网络侧下发的密文进行解密，得到解密后的用户面数据。

下面的实施例将以统一的数据存储库网元为UDR网元，网络开放功能网元为NEF网元，多播服务功能的用户面功能网元为MSF-U网元，多播服务功能的控制面功能网元为MSF-C网元，会话管理功能网元为SMF网元为例进行说明。

实施例一

如图5所示，本申请实施例提供一种安全信息的配置方法，该方法包括：

501、AF网元向NEF网元发送多播组的标识。

其中，多播组的标识可以为multicast group ID(identity)，或者多播组的标识还可替换为多播上下文标识(multicast context ID)。其中，多播组的标识可以用于标识多播业务，也可称之为多播标识或者多播服务标识等。以下实施例均以多播组的标识为例进行说明。另外，广播业务与多播业务类似，例如这里的多播组的标识也可以替换为广播组的标识。即以下对多播组的标识的操作，同样适用广播组的标识，即对于多播业务的保护和协商流程同样适用于广播业务。这里多播组的标识可能包括IP多播地址，多播组的标识还可能包括用来标识应用或服务的信息，例如应用或服务的标识，或者，应用或服务所在网络的标识，或者接入点标识，或者接入网络标识，或者AF 所在数据网络的标识等。本申请实施例中，多播组标识可能包括临时移动组标识(temporary mobile group identity，TMGI)。

在一些实施例中，AF网元还可以向NEF网元发送安全策略。安全策略指示多播组的用户面数据的保护需求，或者说，安全策略用于标识多播组的标识对应的保护需求。该保护需求可以包括加密保护需求，和/或，完整性保护需求。加密保护需求例如可以包括上文提及的required、preferred或者not needed。完整性保护需求例如也可以包括上文提及的required、preferred或者not needed。

加密保护可以理解为对数据通过加密算法和加密密钥进行加密，得到加密后的密文。接收到数据的设备可以采用解密密钥和解密算法对密文进行解密得到数据。完整性保护可以理解为通过完整性保护算法和完整性保护密钥，对数据进行完整性保护，并输出完整性保护校验参数。接收到数据和完整性保护校验参数的设备可以通过完整性保护验证密钥和完整性保护算法对数据和完整性保护校验参数进行校验，以校验数据的完整性，例如数据被进行过删除或增加等，数据将校验不通过。

在一些实施例中，AF网元可以通过多播会话请求(multicast session request)消息向NEF网元发送该多播组的标识和安全策略。

502、NEF网元根据多播组的标识确定安全信息。

在一些实施例中，NEF网元根据多播组的标识和安全策略确定保护方式。

在一些实施例中，当NEF网元接收到多播组的标识和安全策略之后，可以先确定是否授权为该多播组的标识提供服务。

例如，1)NEF网元可以根据NEF网元的本地策略，确定是否为多播组的标识提供服务；

2)NEF网元可以向其他网元(例如UDM网元，UDR网元，PCF网元或MSF-C网元等)发送多播组的标识，以从其他网元获取多播组的标识对应的签约数据，NEF网元再根据签约数据确定是否授权为多播组的标识提供服务。可选的，该签约数据还可以包括多播组标识对应的安全策略。

3)NEF网元可以向其他网元(例如UDM网元，UDR网元，PCF网元或MSF-C网元等)发送多播组的标识，其他网元根据多播组的标识以及本地策略确定是否为多播组的标识提供服务后，向NEF网元发送指示，以指示是否授权为多播组的标识提供服务。

如果NEF网元确定为多播组的标识提供服务，那么NEF网元可以继续根据多播组的标识对应的安全策略确定保护方式。该保护方式指示是否对用户面数据执行加密保护，和/或，是否对用户面数据执行完整性保护。

可选的，这里安全策略也可以从AF网元得到，也可以从上述从其他网元请求获得，或者根据多播组的标识以及本地策略判定安全策略。

示例性的，如果安全策略的加密保护需求为required，那么NEF网元确定保护方式指示对用户面数据执行加密保护。但是如果NEF网元的能力不支持执行加密保护，则NEF网元向AF网元发送通知，以通知AF网元不能执行加密保护，并拒绝AF网元的多播会话建立请求。

如果安全策略的加密保护需求为preferred，那么NEF网元可以根据本地策略确定 开启对用户面数据执行加密保护，或关闭对用户面数据执行加密保护。如果NEF网元确定开启对用户面数据执行加密保护，则确定保护方式指示对用户面数据执行加密保护；如果NEF网元确定关闭对用户面数据执行加密保护，则确定保护方式指示不对用户面数据执行加密保护。可选的，NEF网元并向AF网元发送通知，以通知AF是否开启了加密保护。

如果安全策略的加密保护需求为not needed，那么NEF网元确定保护方式指示不对用户面数据执行加密保护。

另外，针对安全策略的完整性保护需求与加密保护需求的处理类似，不再一一赘述。

进一步的，NEF网元可以继续根据保护方式生成安全信息。

在一些实施例中，安全信息用于对多播组的用户面数据进行加密保护和/或完整性保护，安全信息包括加密密钥k1和加密算法a1，和/或，完整性保护密钥k2和完整性保护算法a2。

示例性的，如果保护方式指示对用户面数据执行加密保护，则NEF网元确定k1和a1；如果保护方式指示不对用户面数据执行加密保护，则NEF网元不需要确定k1和a1；

如果保护方式指示对用户面数据执行完整性保护，则NEF网元确定k2和a2；如果保护方式指示不对用户面数据执行完整性保护，则NEF网元不需要确定k2和a2。

在一些实施例中，NEF网元根据保护方式生成k1和k2的方式可以有多种。例如，NEF网元可以根据保护方式直接生成k1和k2，或者NEF网元还可以请求其他网元根据保护方式生成k1和k2后返回给NEF网元，本申请不进行限制。

在一些实施例中，NEF网元根据保护方式生成a1和a2的方式也可以有多种。例如，NEF网元可以根据保护方式直接生成a1和a2，或者NEF网元还可以请求其他网元根据保护方式生成a1和a2后返回给NEF网元，本申请不进行限制。在一些实施例中，如果保护方式指示不对用户面数据执行加密保护，那么a1可以为空算法，如果保护方式指示不对用户面数据执行完整性保护，那么a2可以为空算法。

在一些实施例中，如果保护方式指示不对用户面数据执行加密保护，以及不对用户面数据执行完整性保护，NEF网元也可以生成a1、a2、k1和k2，但是a1和a2均为空算法。

在一些实施例中，NEF网元还可以选择SMF，SMF的选择方式不限制。可选的，这里SMF可以为专门为多播或者广播服务的SMF功能网元。

503、NEF网元向UDR网元发送多播组的标识和安全信息。

在一些实施例中，如果步骤502中确定的保护方式指示对用户面数据进行加密保护和完整性保护，那么步骤503中发送的安全信息包括上述a1、a2、k1和k2；

如果步骤502中确定的保护方式指示对用户面数据进行加密保护，且指示不对用户面数据进行完整性保护，那么步骤503中发送的安全信息可以包括上述k1和a1，但是不包括k2和/或a2，即使包括k2或a2，k2和a2也为空；

如果步骤502中确定的保护方式指示不对用户面数据进行加密保护，且指示对用户面数据进行完整性保护，那么步骤503中发送的安全信息可以包括上述k2和a2， 但是不包括k1和/或a1，即使包括k1或a2，k1和a1也为空。

在一些实施例中，安全信息还可以包括保护方式。

在一些实施例中，安全信息还可以包括安全策略。

在一些实施例中，安全信息还可以包括SMF ID，SMF ID为NEF网元选择的SMF的ID。

在一些实施例中，NEF网元可以通过multicast session request消息向UDR网元或其他NF网元发送多播组的标识和安全信息。以下步骤以UDR网元接收到multicast session request消息为例进行描述。

504、UDR网元确定并保存安全信息与多播组的标识的对应关系。

在一些实施例中，UDR网元接收到的安全信息还包括SMF的ID时，UDR网元还可以保存SMF的ID。UDR网元还可以向NEF网元发送多播会话响应(multicast session response)消息，以指示接收到安全信息和多播组的标识。

505、NEF网元向SMF网元发送多播组的标识和安全信息。

在一些实施例中，NEF网元可以通过multicast distribution request(多播分配请求)消息发送多播组的标识和安全信息。

在一些实施例中，NEF网元还可以向PCF网元发送策略授权请求，PCF网元向NEF网元发送策略授权响应。

506、SMF网元确定并保存安全信息与多播组的标识的对应关系。

在一些实施例中，SMF网元接收到对应关系时，可以向NEF网元发送多播配置会话响应(multicast distribution session response)消息，该消息还可以携带UPF网元的入口地址(ingress address)。

在一些实施例中，NEF网元还可以向AF网元发送multicast session response消息，该消息中可以携带NEF网元的ingress address，还可以携带保护方式。

AF网元可以保存该保护方式。如果AF网元确定需要更新保护方式时，还可以根据保护方式调整安全策略，根据调整后的安全策略重新发起本实施例的方法流程。

在一些实施例中，SMF网元还可以向PCF网元发送MBS策略协商请求(policy association request)消息，PCF网元再向SMF网元发送MBS策略协商响应(MBS policy association response)消息。

507、SMF网元向UPF网元发送安全信息和多播组的标识的对应关系。

在一些实施例中，SMF网元可以通过会话请求(session request)消息向UPF网元发送该对应关系，相应地，UPF网元可以向SMF网元反馈会话响应(session response)消息，以指示接收到该对应关系。这里的会话响应可以包括UPF网元的入口地址。

508、UPF网元根据安全信息执行对多播组的标识对应的用户面数据的保护。

由于后续AF网元发送下行的用户面数据时，AF网元是将用户面数据直接发送给UPF网元的，因此，当UPF网元保存有该安全信息时，UPF网元可以根据安全信息确定如何对用户面数据进行加密保护和完整性保护。而后，UPF网元可以将通过加密保护和完整性保护的用户面数据通过RAN网元发送UE。

在一些实施例中，若安全信息包括k1和a1，或者保护方式指示需要对用户面数据进行加密保护；则UPF网元根据k1和a1对接收到的用户面数据执行加密保护；

若安全信息包括k2和a2，或者保护方式指示需要对用户面数据进行完整性保护；则UPF网元根据k2和a2对接收到的用户面数据执行完整性保护；

若安全信息不包括k1和a1，或者保护方式指示不需要对用户面数据进行加密保护；则UPF网元不对接收到的用户面数据执行加密保护；

若安全信息不包括k2和a2法，或者保护方式指示不需要对用户面数据进行完整性保护；则UPF网元不对用户面数据执行完整性保护；

换句话说，若安全信息包括k1，且k1不是空算法，那么UPF网元根据k1对用户面数据执行加密保护；若安全信息包括k2，且k2不是空算法，那么UPF网元根据k2对用户面数据执行完整性保护；

若安全信息包括k1，且k1是空算法，那么UPF网元不对用户面数据执行加密保护；若安全信息包括k2，且k2是空算法，那么UPF网元不对用户面数据执行完整性保护。

在一些实施例中，如果保护方式指示需要执行加密保护或者完整性保护，而UPF网元当前不支持开启加密保护，则UPF网元发送拒绝消息至SMF网元。在一些实施例中，SMF网元可以拒绝建立多播会话，发送拒绝消息至NEF网元，NEF网元可以发送拒绝消息至AF网元，拒绝消息指示拒绝建立多播会话。或者，SMF网元可以重新选择UPF网元，并再次从步骤507开始执行。

在一些实施例中，后续如果新加入到多播组的UE想要获得安全信息时，UE可以通过RAN网元以及AMF网元向SMF网元请求该安全信息，或者，UE可以通过RAN网元以及UPF网元向SMF网元请求该安全信息，SMF网元如果保存有上述对应关系，可以向UE发送安全信息，SMF网元如果未保存有上述对应关系，SMF网元可以向UDR网元或PCF网元请求安全信息后下发给UE，以便UE根据安全信息对接收到的用户面数据进行解密。

需要说明的是，上述步骤502中，还包括其他可能性：NEF网元不确定保护方式，NEF网元从其他网元确定算法和密钥之后，发送算法和密钥至UDR网元。之后，NEF网元还可以发送安全策略至SMF网元，SMF网元可以根据安全策略确定保护方式，或者SMF网元发送安全策略至UPF网元，由UPF网元确定保护方式后发送给SMF网元。SMF网元还可以发送保护方式至NEF网元，之后NEF网元将保护方式保存在UDR网元。上述方式的好处在于，由最终执行加密保护和完整性保护的UPF网元来判断是否开启加密保护或者完整性保护。

在一些实施例中，上述安全信息的配置流程不需要安全策略和保护方式的处理动作，仅包括NEF网元确定加密密钥和加密算法、完整性保护密钥和完整性保护算法以及后续加密密钥和加密算法的保存和传递动作。

由此，本申请实施例提供的方法流程可以适用于5G MBS服务下的安全信息的配置流程。上述实施例主要阐述了通过NEF网元确定安全信息后存储在UDR网元中。

实施例二

如图6所示，本申请实施例还提供一种安全信息的配置方法，该方法包括：

601、AF网元向NEF网元发送多播组的标识。

在一些实施例中，AF网元还可以向NEF网元发送多播组的标识对应的安全策略。

步骤601的实现方式可以参考上述步骤501的实现方式。

602、NEF网元向UDR网元发送多播组的标识。

在一些实施例中，NEF网元还可以向UDR网元发送安全策略。

603、UDR网元根据安全策略确定多播组的标识对应的保护方式，根据保护方式生成多播组的标识对应的安全信息。

步骤603中的安全策略可以是UDR网元从其他网元(例如NEF网元)接收到的，也可以是UDR网元根据多播组的标识在本地确定的。

在一些实施例中，UDR网元也可以发送安全策略至其他网元，由其他网元根据安全策略生成了安全信息之后，再将安全信息发送给UDR网元。

其中，UDR根据多播组的标识和安全策略确定保护方式的实现方式可以参见上述步骤602中NEF网元的实现方式。

604、UDR网元向NEF网元发送多播组的标识和安全信息。

605、NEF网元向SMF网元发送多播组的标识和安全信息。

606、SMF网元向UPF网元发送多播组的标识和安全信息。

607、UPF网元根据安全信息执行对多播组的标识对应的用户面数据的保护。

UPF网元可以根据安全信息对多播组的用户面数据进行加密保护和/或完整性保护。具体可以参见步骤508的实现方式。

与实施例一类似的，新加入多播组的UE可以向SMF网元请求安全信息，SMF网元如果保存有上述对应关系，可以向UE发送安全信息，SMF网元如果未保存有上述对应关系，SMF网元可以向UDR网元或PCF网元请求安全信息后下发给UE，以便UE根据安全信息对接收到的用户面数据进行解密。

实施例三

如图7所示，本申请实施例还提供一种安全信息的配置方法，该方法包括：

701、AF网元向NEF网元发送多播组的标识。

在一些实施例中，AF网元还可以向NEF网元发送多播组的标识对应的安全策略。

步骤701的实现方式可以参考上述步骤501的实现方式。

702、NEF网元根据多播组的标识确定多播组的标识对应的保护方式。

步骤702中的安全策略可以是NEF网元从其他网元(例如AF网元)接收到的，也可以是NEF网元根据多播组的标识在本地确定的。

步骤702的实现方式可以参考上述步骤502的实现方式。

703、NEF网元向UDR网元发送多播组的标识和保护方式。

704、UDR网元根据保护方式生成多播组的标识对应的安全信息。

UDR根据多播组的标识和安全策略确定保护方式的实现方式可以参见上述步骤602中NEF网元的实现方式。

705、UDR网元向NEF网元发送多播组的标识和安全信息。

706、NEF网元向SMF网元发送多播组的标识和安全信息。

707、SMF网元向UPF网元发送多播组的标识和安全信息。

708、UPF网元根据安全信息执行对多播组的标识对应的用户面数据的保护。

步骤708的实现方式可以参见上述步骤508的实现方式。

可以理解，本实施例中由NEF网元确定保护方式，UDR网元根据保护方式生成安全信息发送给其他NF网元执行MBS的用户面数据的保护，以保证5G MBS的用户面数据的安全。

实施例四

如图8所示，本申请实施例还提供一种安全信息的配置方法，该方法包括：

801、AF网元向NEF网元发送多播组的标识。

在一些实施例中，AF网元还可以向NEF网元发送多播组的标识对应的安全策略。

步骤801的实现方式可以参考上述步骤501的实现方式。

802、NEF网元向SMF网元发送多播组的标识。

在一些实施例中，NEF网元还可以向SMF网元发送多播组的标识对应的安全策略。

803、SMF网元根据安全策略确定多播组的标识对应的安全信息。

步骤803中的安全策略可以是SMF网元从NEF网元接收到的，或者SMF网元根据多播组的标识在本地生成的。

SMF网元根据安全策略确定安全信息的实现方式可以参见上述步骤502中NEF网元的实现方式。

或者，SMF网元可以根据安全策略生成保护方式，将保护方式和多播组的标识发送给NEF网元，NEF网元根据保护方式生成安全信息后反馈给SMF网元。

804、SMF网元向UDR网元发送多播组的标识和安全信息。

在一些实施例中，SMF网元还可以向PCF网元发送该多播组的标识和安全信息。

805、SMF网元向UPF网元发送多播组的标识和安全信息。

806、UPF网元根据安全信息执行对多播组的标识对应的用户面数据的保护。

步骤806的实现方式可以参见上述步骤508的实现方式。

可以理解，本实施例中可以由SMF网元生成安全信息发送给其他NF网元执行MBS的用户面数据的保护，以保证5G MBS的用户面数据的安全。

实施例五

如图9所示，本申请实施例还提供一种安全信息的配置方法，该方法包括：

901、AF网元向NEF网元发送多播组的标识。

在一些实施例中，AF网元还可以向NEF网元发送多播组的标识对应的安全策略。

步骤801的实现方式可以参考上述步骤501的实现方式。

902、NEF网元根据安全策略确定多播组的标识对应的保护方式。

步骤902中的安全策略可以是NEF网元从AF网元接收到的，或者NEF网元根据多播组的标识在本地生成的。

NEF网元根据安全策略确定保护方式的实现方式可以参见上述步骤502中NEF网元的实现方式。

903、NEF网元向SMF网元发送多播组的标识和保护方式。

904、SMF网元根据保护方式生成多播组的标识对应的安全信息。

SMF网元根据保护方式生成安全信息的实现方式可以参见上述步骤502中NEF网元的实现方式。

905、SMF网元向UDR网元发送多播组的标识和安全信息。

在一些实施例中，SMF网元还可以向PCF网元发送该多播组的标识和安全信息。

906、SMF网元向UPF网元发送多播组的标识和安全信息。

907、UPF网元根据安全信息执行对多播组的标识对应的用户面数据的保护。

步骤907的实现方式可以参见上述步骤508的实现方式。

可以理解，本实施例中可以由NEF网元确定保护方式，SMF网元根据保护方式生成安全信息发送给其他NF网元执行MBS的用户面数据的保护，以保证5G MBS的用户面数据的安全。

实施例一至实施例五的实现方式可以适用于上述架构1。

实施例六

如图10所示，本申请实施例还提供一种安全信息的配置方法，该方法包括：

101、AF网元向MSF-C网元发送多播组的标识。

在一些实施例中，AF网元还可以向MSF-C网元发送多播组的标识对应的安全策略。

步骤101的实现方式可以参见上述步骤501中AF网元向NEF网元发送多播组的标识和安全策略的实现方式。

102、MSF-C网元向UDR网元发送多播组的标识。

在一些实施例中，MSF-C网元还可以向UDR网元发送多播组的标识对应的安全策略。

103、UDR网元根据安全策略确定多播组的标识对应的安全信息。

在一些实施例中，步骤103中的安全策略可以是UDR网元从MSF-C网元接收到的，或者UDR网元根据多播组的标识在本地生成的。

步骤103的实现方式可以参见上述步骤502中NEF确定安全信息的实现方式。

104、UDR网元向MSF-C网元发送多播组的标识和安全信息。

105、MSF-C网元向MSF-U网元发送多播组的标识和安全信息。

106、MSF-U网元根据安全信息执行对多播组的标识对应的用户面数据的保护。

步骤106的实现方式可以参见上述步骤508中UPF网元的实现方式。例如，当MSF-U网元接收到AF网元发送的多播组的用户面数据时，可以对用户面数据执行保护后发送给UPF2网元，UPF2网元通过RAN网元向UE下发用户面数据，UE可以根据从UDR网元请求得到的安全信息对用户面数据进行解密。

在一些实施例中，MSF-C网元还可以向AF网元发送保护方式。

可以理解，本实施例中可以由UDR网元根据从MSF-C网元接收到的安全策略生成安全信息，并发送给其他NF网元执行MBS的用户面数据的保护，以保证5G MBS的用户面数据的安全。

实施例七

如图11所示，本申请实施例还提供一种安全信息的配置方法，该方法包括：

111、AF网元向MSF-C网元发送多播组的标识。

在一些实施例中，AF网元还可以向MSF-C网元发送多播组的标识对应的安全策略。

步骤101的实现方式可以参见上述步骤501中AF网元向NEF网元发送多播组的 标识和安全策略的实现方式。

112、MSF-C网元确定多播组的标识对应的保护方式。

在一些实施例中，步骤112中的安全策略可以是MSF-C网元从AF网元接收到的，或者MSF-C网元根据多播组的标识在本地生成的。

步骤112的实现方式可以参见上述步骤502中NEF网元确定保护方式的实现方式。

113、MSF-C网元向UDR网元发送多播组的标识和保护方式。

114、UDR网元根据保护方式确定多播组的标识对应的安全信息。

步骤114的实现方式可以参见上述步骤502中NEF网元确定安全信息的实现方式。

115、UDR网元向MSF-C网元发送多播组的标识和安全信息。

116、MSF-C网元向MSF-U网元发送多播组的标识和安全信息。

117、MSF-U网元根据安全信息执行对多播组的标识对应的用户面数据的保护。

可以理解，本实施例中可以由MSF-C网元确定多播组的标识对应的保护方式，由UDR网元根据从MSF-C网元接收到的保护方式生成安全信息，并发送给其他NF网元执行MBS的用户面数据的保护，以保证5G MBS的用户面数据的安全。

实施例八

如图12所示，本申请实施例还提供一种安全信息的配置方法，该方法包括：

121、AF网元向MSF-C网元发送多播组的标识。

在一些实施例中，AF网元还可以向MSF-C网元发送多播组的标识对应的安全策略。

步骤101的实现方式可以参见上述步骤501中AF网元向NEF网元发送多播组的标识和安全策略的实现方式。

122、MSF-C网元根据安全策略确定多播组的标识对应的安全信息。

在一些实施例中，步骤122中的安全策略可以是MSF-C网元从AF网元接收到的，或者MSF-C网元根据多播组的标识在本地生成的。

步骤122的实现方式可以参见上述步骤502中NEF网元确定安全信息的实现方式。

123、MSF-C网元向UDR网元发送多播组的标识和安全信息。

124、MSF-C网元向MSF-U网元发送多播组的标识和安全信息。

125、MSF-U网元根据安全信息执行对多播组的标识对应的用户面数据的保护。

需要说明的是，上述MSF-U网元为可选的，如果MSF-C网元确定不执行保护，那么MSF-C网元也可以不选择MSF-U。

可以理解，本实施例中可以由MSF-C网元确定多播组的标识对应的安全信息，并发送给其他NF网元执行MBS的用户面数据的保护，以保证5G MBS的用户面数据的安全。

实施例六至实施例八中，MSF-C网元也可以发送多播组的标识和安全信息至SMF网元或PCF网元，由SMF网元或PCF网元存储安全信息，后续UE请求得到安全信息时，可以向SMF网元或PCF网元请求安全信息。当然，也可以向UDR网元请求安全信息。

实施例九

实施例九将阐述UE加入多播组的标识对应的业务流程时，获取安全信息的多种 可能性实现方式。

如图13所示，本申请实施例还提供一种安全信息的配置方法，该方法包括：

131、AF网元执行多播组的安全配置流程。

该安全配置流程例如可以参考上述实施例一至实施例八中的任一实施例的配置流程。

在一些实施例中，该步骤131为可选的，即网络侧已经完成了安全配置流程，例如UDR网元中保存了多播组的标识和安全信息的对应关系；或者，网络的还未完成安全配置流程，即未执行上述实施例的配置流程。

其中，AF网元也可以替换为上下文提供者(content provider，CP)网元。

132、UE完成向网络的注册流程。

在一些实施例中，UE可以完成与网络的会话建立流程。

133、网络侧完成多播业务公告，以使得UE感知到多播业务。

步骤133为可选的。

134、UE通过用户面的方式或控制面的方式接入多播组的标识对应业务。

步骤134的目的在于，SMF1网元会确定UE希望接入的多播组的标识，具体可以根据用户面的方式中UE发送的多播组信息，例如网际组管理协议(internet group management protocol，IGMP)报文，或者多播地址，或者多播业务或应用所在的网络标识，或者多播服务/应用标识，或者多播组标识等确定，或者是根据控制面的方式中UE发送的多播组信息，例如多播地址，或者多播业务或应用所在的网络标识，或者多播服务/应用标识，或者多播组标识等确定。

这里SMF1确定多播组信息，例如多播组标识的方式不做限制。假设SMF1网元确定了UE希望接入的多播组的标识，那么该方法还包括：

135、SMF1网元请求获取多播组的标识对应的安全信息。

在一些实施例中，SMF1可以向UDR网元发送multicast request消息，消息中携带多播组的标识，以请求获取多播组的标识对应的安全信息。UDR网元存储有该安全信息时，可以通过multicast response消息向SMF1网元发送安全信息。

在一些实施例中，如果安全信息保存在PCF网元中，SMF1网元也可以向PCF网元请求获取安全信息。

在一些实施例中，这里SMF网元可以确定多播组的地址等信息，并发送多播组的地址信息至UDR网元，由UDR网元根据地址信息确定是否有对应的安全信息。

可选的，这里UE发送的多播组信息，可以为多播组的标识或者地址等，以及SMF确定的多播组信息，可以为多播组的标识或者地址等，与实施例1中AF发送的多播组的标识可以不同，但是它们具有关联性。例如多播组信息中多播的地址或者网络标识等可以与AF发送的多播组标识或者多播组标识中的网络标识一致。这里关联的方式不做限制。UDR可以根据SMF发送的多播组的信息确定之前从NEF接收到的多播组标识是否匹配。

136、SMF1网元向AMF网元发送多播组的标识和安全信息。

示例性的，SMF1网元可以通过Namf_Communication_N1N2Message Transfer消息向AMF网元发送多播组的标识和安全信息。

在一些实施例中，SMF1可以只发送安全信息至AMF。

137、AMF网元向RAN网元发送多播组的标识和安全信息。

示例性的，AMF网元可以通过N2 session request消息向RAN网元发送多播组的标识和安全信息。

在一些实施例中，AMF网元可以只发送安全信息至RAN网元。

138、RAN网元向UE发送多播组的标识和安全信息。

在一些实施例中，RAN网元可以通过PDU会话修改/接受(PDU session modification/accept)消息向UE发送多播组的标识和安全信息。

在一些实施例中，RAN网元可以只发送安全信息至UE。

在一些实施例中，PDU session modification/accept消息也可以是SMF1网元通过AMF网元和RAN网元发送给UE的消息，该消息被封装在了Namf_Communication_N1N2Message Transfer_N2 session request和RRC消息中发送给了UE。

在一些实施例中，RAN网元在还可以根据多播组的标识和安全信息完成接入网络资源的修改。

于是，UE可以根据多播组的标识和安全信息，在接收到多播组的标识对应业务的用户面数据时，可以根据安全信息对接收到的用户面数据进行解密。

下面选择执行步骤139或步骤143。

139、RAN网元向AMF网元发送N2 session response消息，该消息用于指示采用多播的方式向UE发送用户面数据。而后，可以继续执行步骤140或步骤142。

140、AMF网元向SMF1网元发送N11 session response消息，该消息用于指示采用多播的方式发送用户面数据。

在一些实施例中，如果RAN网元选择多播的方式发送用户面数据给UE，那么SMF1网元在接收到N11 session response消息时，该方法还包括：

141、SMF1网元向SMF2网元发送多播组的标识和安全信息，SMF2网元向UPF2网元发送多播组的标识和安全信息，由UPF2网元执行对该多播组的用户面数据的保护；或者，SMF1网元向SMF2网元发送多播组的标识和安全信息，SMF2网元向MSF-U网元发送多播组的标识和安全信息，由MSF-U网元执行对该多播组的用户面数据的保护(图13中未示出)。

142、AMF网元向SMF2网元发送多播组的标识和安全信息，SMF2网元向UPF2或MSF-U网元发送多播组的标识和安全信息，由UPF2网元或MSF-U网元执行对该多播组的用户面数据的保护；或者，AMF网元向MSF-C网元发送多播组的标识和安全信息，MSF-C网元再向MSF-U网元发送多播组的标识和安全信息，由MSF-U网元执行对该多播组的用户面数据的保护(图13中未示出)。

143、RAN网元向AMF网元发送N2 session response消息，该消息用于指示采用单播的方式向UE发送用户面数据。

144、AMF网元向SMF1网元发送N11 session response消息，该消息用于指示采用单播的方式发送用户面数据。

145、SMF1网元向SMF2网元发送多播组的标识和安全信息，SMF2网元向UPF2 网元或MSF-U网元发送多播组的标识和安全信息，由UPF2网元或MSF-U网元执行对该单播的用户面数据的保护；或者，SMF1网元向MSF-C网元发送多播组的标识和安全信息，MSF-C网元向MSF-U网元发送多播组的标识和安全信息，由MSF-U网元执行对该单播的用户面数据的保护。

需要说明的是，上述步骤135可以是在UDR网元保存有安全信息时，SMF1网元向UDR网元请求获得的安全信息，也就是说，步骤135是在步骤131执行了网络侧的安全配置流程之后的操作。但是，如果未执行步骤131，即未完成安全配置流程时，步骤135的实现方式可以替换为(步骤135的替换步骤在图13中未示出)：

135a、SMF1网元确定多播组的标识对应的安全信息，向UDR网元发送安全信息，由UDR保存多播组的标识与安全信息的对应关系。

后续如果UE通过SMF1网元接入多播组时，SMF1网元仍然可以从UDR网元中获取安全信息发送给UE。

或者替换为：

135b、SMF1网元向UDR网元发送多播组的标识，以请求获取安全信息。UDR网元确定安全信息后，将安全信息发送给SMF1网元。

也有可能是，UDR网元中未存储有多播组的标识对应的安全信息时，UDR网元向SMF1网元反馈未存储安全信息的指示，这时SMF1网元需要自己确定多播组的标识对应的安全信息。

或者替换为：

135c、SMF1网元向SMF2网元发送多播组的标识，以请求获取安全信息。SMF2网元确定安全信息后，将安全信息发送给UPF2网元，由UPF2网元执行对用户面数据的保护。并且，SMF2网元向SMF1网元发送安全信息。

或者替换为：

135d、SMF1网元向MSF-C网元发送多播组的标识，以请求获取安全信息。MSF-C网元确定安全信息后，将安全信息发送给MSF-U网元，由MSF-U网元执行对用户面数据的保护。并且，MSF-C网元向SMF1网元发送安全信息。

由此，本申请通过在UE注册到包括5G MBS的网络流程中添加安全信息的配置流程，可以使得5G MBS中用户面数据下发的安全性。

实施例十

实施例十将阐述UE加入多播组的标识对应的业务流程时，从网络侧只获得多播组的安全策略的一种实现方式，可以实现未与网络侧签约的UE获取签约的UE的安全策略，保证未签约的UE的数据安全。

如图14所示，本申请实施例提供一种安全策略的配置方法，该方法包括:

151、AF网元向NEF网元发送多播会话请求，请求中携带多播组的标识和安全策略。

在一些实施例中，多播会话请求为multicast session request，multicast session request中携带多播组的标识、服务质量(quality of service，QoS)请求和安全策略。

152、NEF网元确定授权为该多播组的标识提供服务时，选择SMF2网元。

153、NEF网元向UDR网元发送多播会话请求消息，请求消息中携带多播组的标 识、SMF 2ID以及安全策略。

154、UDR网元确定并保存多播组的标识和安全策略的对应关系。

155、UDR网元向NEF网元发送多播会话响应消息。

156、NEF网元向SMF2网元发送多播配置会话请求(multicast distribution session request)消息，消息中携带多播组的标识。

157、SMF2网元向PCF网元发送MBS策略协商请求(policy association request)消息，消息中携带多播组的标识。

158、PCF网元向SMF2网元发送MBS策略协商响应(policy association response)消息。

159、SMF2网元向UPF2网元发送会话请求消息。

160、UPF2网元向SMF2网元发送会话响应消息，消息中携带UPF2的ingress address。

161、SMF2网元向NEF网元发送多播配置会话响应消息，消息中携带SMF2的ingress address。

162、NEF网元向AF网元发送多播会话响应消息，消息中携带NEF网元的ingress address。

本实施例的重点为步骤151、步骤152、步骤154和步骤155。其他步骤可以为可选的。

之后，如果UE向SMF1网元请求加入多播组时，SMF2网元可以根据确定的多播组标识，向UDR网元发送该多播组标识，请求该安全策略。UDR网元根据多播组标识确定保存的安全策略之后，向SMF2网元发送安全策略，SMF2网元可以将该安全策略发送给RAN网元，以使RAN网元根据安全策略确定其与UE之间的空口保护方式，并且将空口保护方式发送给UE。通过这种方式，RAN网元基于AF网元发送给网络的安全策略，完成UE多播数据保护的定制，保证UE的数据安全。

需要说明的是，针对本申请的实施例，还可以包括去除安全策略和保护方式的协商和发送等动作，此时本申请的方案可以仅包括确定安全信息中的密钥(加密密钥和完整性保护密钥)和保护算法(加密算法和完整性保护算法)的动作。去除安全策略和保护方式等动作后，本申请的实施例可聚焦实现密钥和保护算法的共享。另外，本申请的方案也可以支持根据默认策略仅执行加密保护，或仅执行完整性保护，或者同时执行加密保护和完整性保护的机制。

针对本申请的实施例，对于密钥和/或保护算法生成的部分，可以由NEF网元/UDR网元/SMF网元等独立完成，也可以通过调用其他NF网元来完成，本申请不做限制。例如NEF网元发送保护方式至某个密钥管理网元，请求该密钥管理网元根据保护方式生成对应加密密钥和/或完整性保护密钥。之后，该密钥管理网元返回加密密钥和/或完整性保护密钥至NEF网元。另外，保护算法的选择与密钥类似，也可以由其他NF网元完成。另外，也可以密钥和算法都由其他实体完成后反馈给NEF网元。此类处理方式，可以更好的基于调用完成安全信息的确定，简化NEF网元/UDR网元/SMF网元等实体的功能。

针对本申请的实施例，UDR网元的动作也可以UDM网元等来执行，本申请实施 例不做限制。

可以理解的是，为了实现上述功能，本申请提供的网络功能网元包含了执行各个功能相应的硬件和/或软件模块。结合本文中所公开的实施例描述的各示例的算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以结合实施例对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本实施例可以根据上述方法示例对网络功能网元进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。该网络功能网元可以为统一的数据存储库(例如UDR)网元、网络开放功能(例如NEF)网元、会话管理功能(例如SMF)网元和多播服务功能的控制面功能(MSF-C)网元等。上述集成的模块可以采用硬件的形式实现。需要说明的是，本实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图15示出了上述实施例中涉及的网络功能网元150的一种可能的组成示意图，如图15所示，该网络功能网元150可以包括：接收单元1501、确定单元1502和发送单元1503。

以下说明以UDR网元为例进行说明。

其中，接收单元1501可以用于支持网络功能网元150执行上述步骤503、步骤602、步骤703、步骤804、步骤905、步骤113、步骤123、步骤135a、步骤135b、步骤153等，和/或用于本文所描述的技术的其他过程。

确定单元1502可以用于支持网络功能网元150执行上述步骤504、步骤603、步骤704、步骤103、步骤114、步骤154等，和/或用于本文所描述的技术的其他过程。

发送单元1503可以用于支持网络功能网元150执行上述步骤604、步骤705、步骤104、步骤115、步骤155等，和/或用于本文所描述的技术的其他过程。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

本实施例提供的网络功能网元150，用于执行上述安全信息的配置方法，因此可以达到与上述实现方法相同的效果。

在采用集成的单元的情况下，网络功能网元150可以包括处理模块、存储模块和通信模块。其中，处理模块可以用于对网络功能网元150的动作进行控制管理，例如，可以用于支持网络功能网元150执行上述确定单元1502执行的步骤。存储模块可以用于支持网络功能网元150存储程序代码和数据等。通信模块，可以用于支持网络功能网元150与其他设备的通信，例如与其他网络功能网元的通信，可以支持网络功能网元150执行上述接收单元1501和发送单元1503执行的步骤。

其中，处理模块可以是处理器或控制器。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理(digital signal processing，DSP)和微处理器的组合等等。存储模块可以是存储器。通信模块具体可以为射频电路、蓝 牙芯片、Wi-Fi芯片等与其他网络功能网元交互的设备。

在一个实施例中，当处理模块为处理器，存储模块为存储器，通信模块为收发器时，本实施例所涉及的网络功能网元可以为具有图16所示结构的网络功能网元160。

本申请实施例还提供一种网络功能网元，包括一个或多个处理器以及一个或多个存储器。该一个或多个存储器与一个或多个处理器耦合，一个或多个存储器用于存储计算机程序代码，计算机程序代码包括计算机指令，当一个或多个处理器执行计算机指令时，使得电子设备执行上述相关方法步骤实现上述实施例中的安全信息的配置方法。

本申请的实施例还提供一种计算机可读存储介质，该计算机存储介质中存储有计算机指令，当该计算机指令在网络功能网元上运行时，使得网络功能网元执行上述相关方法步骤实现上述实施例中的安全信息的配置方法。

本申请的实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关步骤，以实现上述实施例中网络功能网元执行的安全信息的配置方法。

另外，本申请的实施例还提供一种装置，这个装置具体可以是芯片，组件或模块，该装置可包括相连的处理器和存储器；其中，存储器用于存储计算机执行指令，当装置运行时，处理器可执行存储器存储的计算机执行指令，以使芯片执行上述各方法实施例中网络功能网元执行的安全信息的配置方法。

其中，本实施例提供的网络功能网元、计算机存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

本申请另一实施例提供了一种系统，该系统可以包括统一的数据存储库(例如UDR)网元、网络开放功能(例如NEF)网元、会话管理功能(例如SMF)网元和多播服务功能的控制面功能(MSF-C)网元中的至少一个网元，可以用于实现上述安全信息的配置方法。

通过以上实施方式的描述，所属领域的技术人员可以了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上内容，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (23)

1. 一种安全信息的配置方法，其特征在于，所述方法应用于包括多播-广播服务架构的系统，所述系统包括第一网络功能网元和第二网络功能网元，所述方法包括：

   所述第一网络功能网元接收多播组的标识，确定所述多播组的标识对应的安全信息，所述安全信息用于对所述多播组的用户面数据进行加密保护和/或完整性保护，所述安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法；

   所述第一网络功能网元向所述第二网络功能网元发送所述安全信息，所述第二网络功能网元包括多播服务功能的用户面功能网元、多播服务功能的控制面功能网元、网络开放功能网元或会话管理功能网元中的一个或多个。
2. 根据权利要求1所述的方法，其特征在于，所述安全信息还包括所述用户面数据的安全策略和/或保护方式；

   所述安全策略指示所述用户面数据的保护需求，所述保护需求包括加密保护需求，和/或，完整性保护需求；

   所述保护方式指示是否对所述用户面数据执行加密保护，和/或，是否对所述用户面数据执行完整性保护。
3. 根据权利要求2所述的方法，其特征在于，所述安全信息还包括所述保护方式；

   所述接收多播组的标识，确定所述多播组的标识对应的安全信息包括：

   接收来自网络开放功能网元或多播服务功能的控制面功能网元的所述多播组的标识和所述安全策略；根据所述安全策略确定所述保护方式；或者，接收来自网络开放功能网元或多播服务功能的控制面功能网元的所述多播组的标识和所述保护方式；

   根据所述保护方式生成所述安全信息。
4. 根据权利要求3所述的方法，其特征在于，所述向所述第二网络功能网元发送所述安全信息包括:

   向所述网络开放功能网元或所述多播服务功能的控制面功能网元发送所述安全信息。
5. 根据权利要求3或4所述的方法，其特征在于，所述第一网络功能网元包括统一的数据存储库网元；

   根据所述保护方式生成所述安全信息之后，所述方法还包括：所述统一的数据存储库网元确定所述安全信息与所述多播组的标识的对应关系；

   所述接收多播组的标识，确定所述多播组的标识对应的安全信息还包括：

   所述统一的数据存储库网元接收来自会话管理功能网元的请求消息，所述请求消息包括所述多播组的标识；

   所述统一的数据存储库网元根据所述对应关系确定所述多播组的标识对应的安全信息；

   所述向所述第二网络功能网元发送所述安全信息包括：

   所述统一的数据存储库网元向所述会话管理功能网元发送所述安全信息。
6. 根据权利要求2所述的方法，其特征在于，所述第一网络功能网元包括所述网络开放功能网元或所述多播服务功能的控制面功能网元，所述安全信息还包括所述保护方式；

   所述接收多播组的标识，确定所述多播组的标识对应的安全信息包括：

   所述网络开放功能网元或所述多播服务功能的控制面功能网元接收来自应用功能网元的所述多播组的标识和所述安全策略；

   所述网络开放功能网元或所述多播服务功能的控制面功能网元根据所述安全策略确定所述保护方式；

   所述网络开放功能网元或所述多播服务功能的控制面功能网元根据所述保护方式生成所述安全信息；

   所述向所述第二网络功能网元发送所述安全信息包括：所述网络开放功能网元或所述多播服务功能的控制面功能网元向统一的数据存储库网元发送所述安全信息。
7. 根据权利要求3或6所述的方法，其特征在于，所述根据所述保护方式生成所述安全信息包括：

   若所述保护方式指示对所述用户面数据执行加密保护，则生成所述加密密钥和所述加密算法；

   若所述保护方式指示对所述用户面数据执行完整性保护，则生成所述完整性保护密钥和所述完整性保护算法。
8. 根据权利要求2所述的方法，其特征在于，所述第一网络功能网元包括所述网络开放功能网元或所述多播服务功能的控制面功能网元；

   所述接收多播组的标识，确定所述多播组的标识对应的安全信息包括：

   所述网络开放功能网元或所述多播服务功能的控制面功能网元接收来自应用功能网元的所述多播组的标识和所述安全策略；

   所述网络开放功能网元或所述多播服务功能的控制面功能网元向统一的数据存储库网元发送所述安全策略和所述多播组的标识；或者，所述网络开放功能网元或所述多播服务功能的控制面功能网元根据所述安全策略确定所述保护方式，向统一的数据存储库网元发送所述保护方式和所述多播组的标识；

   所述网络开放功能网元或所述多播服务功能的控制面功能网元接收来自所述统一的数据存储库网元的所述安全信息。
9. 根据权利要求7或8所述的方法，其特征在于，所述向所述第二网络功能网元发送所述安全信息包括：

   向多播服务功能的用户面功能网元或会话管理功能网元发送所述安全信息。
10. 一种安全信息的配置方法，其特征在于，所述方法应用于终端设备，所述终端设备所在的网络包括会话管理功能网元，所述方法包括：

    向所述会话管理功能网元发送多播组的标识，以请求加入所述多播组；

    接收来自所述会话管理功能网元的安全信息，所述安全信息用于对所述多播组的用户面数据进行加密保护和/或完整性保护，所述安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法，所述安全信息还包括所述用户面数据的安全策略和/或保护方式；所述安全策略指示所述用户面数据的保护需求，所述保护需求包括加密保护需求，和/或，完整性保护需求；所述保护方式指示是否对所述用户面数据执行加密保护，和/或，是否对所述用户面数据执行完整性保护；

    根据所述安全信息进行对接收到的所述用户面数据进行解密。
11. 一种网络功能网元，其特征在于，所述网络功能网元为第一网络功能网元，所述第一网络功能网元应用于多播-广播服务架构的系统，所述系统包括所述第一网络功能网元和第二网络功能网元，所述第一网络功能网元包括：

    收发器，用于接收多播组的标识；

    处理器，用于确定所述多播组的标识对应的安全信息，所述安全信息用于对所述多播组的用户面数据进行加密保护和/或完整性保护，所述安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法；

    所述收发器，还用于向所述第二网络功能网元发送所述安全信息，所述第二网络功能网元包括多播服务功能的用户面功能网元、多播服务功能的控制面功能网元、网络开放功能网元或会话管理功能网元中的一个或多个。
12. 根据权利要求11所述的网络功能网元，其特征在于，所述安全信息还包括所述用户面数据的安全策略和/或保护方式；

    所述安全策略指示所述用户面数据的保护需求，所述保护需求包括加密保护需求，和/或，完整性保护需求；

    所述保护方式指示是否对所述用户面数据执行加密保护，和/或，是否对所述用户面数据执行完整性保护。
13. 根据权利要求12所述的网络功能网元，其特征在于，所述安全信息还包括所述保护方式；

    所述收发器，用于接收来自网络开放功能网元或多播服务功能的控制面功能网元的所述多播组的标识和所述安全策略，所述处理器，用于根据所述安全策略确定所述保护方式；或者，所述收发器，用于来自网络开放功能网元或多播服务功能的控制面功能网元的所述多播组的标识和所述保护方式；

    所述处理器，用于根据所述保护方式生成所述安全信息。
14. 根据权利要求13所述的网络功能网元，其特征在于，所述收发器，用于:

    向所述网络开放功能网元或所述多播服务功能的控制面功能网元发送所述安全信息。
15. 根据权利要求13或14所述的网络功能网元，其特征在于，所述第一网络功能网元包括统一的数据存储库网元；

    所述处理器，还用于确定所述安全信息与所述多播组的标识的对应关系；

    所述收发器，还用于接收来自会话管理功能网元的请求消息，所述请求消息包括所述多播组的标识；

    所述处理器，还用于根据所述对应关系确定所述多播组的标识对应的安全信息；

    所述收发器，还用于向所述会话管理功能网元发送所述安全信息。
16. 根据权利要求12所述的网络功能网元，其特征在于，所述第一网络功能网元包括所述网络开放功能网元或所述多播服务功能的控制面功能网元，所述安全信息还包括所述保护方式；

    所述收发器，用于接收来自应用功能网元的所述多播组的标识和所述安全策略；

    所述处理器，用于根据所述安全策略确定所述保护方式；

    所述处理器，用于根据所述保护方式生成所述安全信息；

    所述收发器，用于向统一的数据存储库网元发送所述安全信息。
17. 根据权利要求13或16所述的网络功能网元，其特征在于，所述处理器，用于：

    若所述保护方式指示对所述用户面数据执行加密保护，则生成所述加密密钥和所述加密算法；

    若所述保护方式指示对所述用户面数据执行完整性保护，则生成所述完整性保护密钥和所述完整性保护算法。
18. 根据权利要求12所述的网络功能网元，其特征在于，所述第一网络功能网元包括所述网络开放功能网元或所述多播服务功能的控制面功能网元；

    所述收发器，用于接收来自应用功能网元的所述多播组的标识和所述安全策略；

    所述收发器，用于向统一的数据存储库网元发送所述安全策略和所述多播组的标识；或者，所述处理器，用于根据所述安全策略确定所述保护方式，所述收发器，用于向统一的数据存储库网元发送所述保护方式和所述多播组的标识；

    所述收发器，用于接收来自所述统一的数据存储库网元的所述安全信息。
19. 根据权利要求17或18所述的网络功能网元，其特征在于，所述收发器，用于：

    向多播服务功能的用户面功能网元或会话管理功能网元发送所述安全信息。
20. 一种终端设备，其特征在于，所述终端设备所在的网络包括会话管理功能网元，所述终端设备包括：

    收发器，用于向所述会话管理功能网元发送多播组的标识，以请求加入所述多播组；

    所述收发器，还用于接收来自所述会话管理功能网元的安全信息，所述安全信息用于对所述多播组的用户面数据进行加密保护和/或完整性保护，所述安全信息包括加密密钥和加密算法，和/或，完整性保护密钥和完整性保护算法，所述安全信息还包括所述用户面数据的安全策略和/或保护方式；所述安全策略指示所述用户面数据的保护需求，所述保护需求包括加密保护需求，和/或，完整性保护需求；所述保护方式指示是否对所述用户面数据执行加密保护，和/或，是否对所述用户面数据执行完整性保护；

    处理器，用于根据所述安全信息进行对接收到的所述用户面数据进行解密。
21. 根据权利要求10所述的方法或20所述的终端设备，其特征在于，所述安全信息还包括所述用户面数据的安全策略和/或保护方式；

    所述安全策略指示所述用户面数据的保护需求，所述保护需求包括加密保护需求，和/或，完整性保护需求；

    所述保护方式指示是否对所述用户面数据执行加密保护，和/或，是否对所述用户面数据执行完整性保护。
22. 一种计算机可读存储介质，其特征在于，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行上述权利要求1-9中的任一项所述的方法。
23. 一种计算机可读存储介质，其特征在于，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行上述权利要求10或21所述的方法。

Images