WO2022068669A1

WO2022068669A1 - 会话建立方法、装置、接入网设备及存储介质

Info

Publication number: WO2022068669A1
Application number: PCT/CN2021/119919
Authority: WO
Inventors: 乾春燕; 谢辉; 赵路
Original assignee: 中兴通讯股份有限公司
Priority date: 2020-09-30
Filing date: 2021-09-23
Publication date: 2022-04-07
Also published as: CN113572801B; EP4224748A4; EP4224748A1; CN113572801A; US20230370292A1

Abstract

本申请实施例涉及网络通信技术领域，提出了一种会话建立方法，应用于接入网设备，包括：接收用户端的会话请求，将会话请求发送给核心网设备；接收核心网设备返回的请求响应消息；其中，请求响应消息中携带会话资源；向用户端发起接入层的安全激活；确认安全激活成功后，将会话资源发送给用户端，供用户端基于会话资源建立会话。

Description

会话建立方法、装置、接入网设备及存储介质

相关申请的交叉引用

本申请基于申请号为“202011062979.7”、申请日为2020年09月30日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此以引入方式并入本申请。

技术领域

本申请的实施例涉及网络通信技术领域，特别涉及一种会话建立方法、装置、接入网设备及存储介质。

背景技术

在第五代移动通信技术(5th Generation Mobile Communication Technology，简称：5G)新空口(New Radio，简称：NR)协议栈中，对用户端与网络核心网设备建立会话过程进行了详细的描述，其中包括对用户终端如何建立会话以及安全激活的过程描述。

在会话建立过程中，需要用户端向接入网设备如基站发送会话请求，由接入网设备将从核心网设备接收的会话资源，分配给用户端，并与用户端进行安全激活后，成功建立会话，使得用户端与网络核心网设备之间可以进行数据交互、业务处理。

然而，会话建立技术存在以下问题：若接入网设备先将会话资源分配给用户端，再与用户端进行安全激活，用户端在接收会话资源后，发起下一次会话请求，会导致用户端发送的下一次会话请求与安全激活冲突，导致安全激活失败，进而导致会话建立失败。

发明内容

本申请的实施例提供了一种会话建立方法，应用于接入网设备，包括：接收用户端的会话请求，将会话请求发送给核心网设备；接收核心网设备返回的请求响应消息；其中，请求响应消息中携带会话资源；向用户端发起接入层的安全激活；确认安全激活成功后，将会话资源发送给用户端，供用户端基于会话资源建立会话。

本申请的实施例还提供了一种会话建立装置，包括：请求接收模块，用于接收用户端的会话请求；转发模块，用于将会话请求发送给核心网设备；响应接收模块，用于接收核心网设备返回的请求响应消息；其中，请求响应消息中携带会话资源；安全激活模块，用于向用户端发起接入层的安全激活；发送模块，在确认安全激活成功后，将会话资源发送给用户端，供用户端基于会话资源建立会话。

本申请的实施例还提供了一种接入网设备，包括：至少一个处理器；与至少一个处理器通信连接的存储器；存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行上述的会话建立方法。

本申请的实施例还提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时实现上述的会话建立方法。

附图说明

图1是根据本申请第一实施例提供的会话建立方法流程图；

图2是根据本申请第一实施例提供的会话建立方法的交互流程图；

图3是根据本申请第二实施例提供的会话建立方法流程图；

图4是根据本申请第二实施例提供的会话建立方法的交互流程图；

图5是根据本申请第三实施例提供的会话建立装置结构示意图；

图6是根据本申请第四实施例提供的接入网设备示意图。

具体实施方式

本申请的实施例的主要目的在于提出一种会话建立方法、装置、接入网设备及存储介质，能够提高会话建立的成功率。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的各实施例进行详细的阐述。然而，本领域的普通技术人员可以理解，在本申请各实施例中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施例的种种变化和修改，也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便，不应对本申请的具体实现方式构成任何限定，各个实施例在不矛盾的前提下可以相互结合相互引用。

本申请的第一实施例涉及一种会话建立方法，应用于接入网设备，具体包括：接收用户端的会话请求，将会话请求发送给核心网设备；接收核心网设备返回的请求响应消息；其中，请求响应消息中携带会话资源；向用户端发起接入层的安全激活；确认安全激活成功后，将会话资源发送给用户端，供用户端基于会话资源建立会话。

本实施例的会话建立方法，用于使用移动设备的用户上网时，在用户端与核心网设备之间建立会话，从而进行数据交互，以实现对用户端进行业务处理，本实施例的会话建立方法可以由接入网设备，如公用移动通信基站实现。其中，用户端与核心网设备所处的网络场景可以是单NR小区和单核心网或多核心网等网络场景。接入网设备在无线通信中是接入网(Access Network，简称“AN”)的网元结构，可以由gNB基站或ng-eNB基站组成无线接入网(NG-RAN)。当用户端(User Equipment，简称“UE”)处于连接管理空闲CM-IDLE态时，可以向核心网设备发起会话请求。当接收到UE发送的会话请求，基站将会话请求发送给为用户端提供网络服务的核心网设备，例如为运营商实现接入和移动性管理功能(Access and Mobility Management Function，简称“AMF”)的功能实体，当接收到AMF发送的会话资源，基站先与用户端进行安全激活，安全激活成功后，向用户端分配会话资源，完成用户端与核心网设备之间的会话建立，实现用户端与核心网设备之间的会话连接业务，此时，UE进入连接管理连接CM-CONNECTED态。随着5G协议的演进，UE在CM-CONNECTED态时，并且当前没有NAS过程的情况下，也可以发起会话请求，以向AMF请求恢复会话的用户面资源。其中，NAS过程是在UE和移动管理实体(Mobility Management Entity，简称“MME”)间进行移动性管理与会话管理的过程。若基站先与用户端进行安全激活，安全激活成功后，向用户端分配会话资源，可以避免UE发起会话请求的NAS过程与安全激活过程的冲突导致的会话恢复失败、及退CM-IDLE态的Service Request流程触发接入层(Access Stratum，简称“AS”)的安全激活导致与CM-CONNECTED态的Service Request流程冲突造成的安全失败，从而保证了会话的建立。

下面对本实施例的会话建立方法的实现细节进行具体的说明，以下内容仅为方便理解提供的实现细节，并非实施本方案的必须，具体如图1所示：

在步骤101中，由基站接收用户端发送的会话请求，会话请求可以是会话建立请求、会话恢复请求等。用户端可以消息的形式向基站发送会话请求，基站将会话请求封装后发送给核心网设备，例如为AMF。具体地，会话可以是协议数据单元(Protocol Data Unit，简称“PDU”)会话，PDU会话建立请求用于向AMF等核心网设备请求发起一个PDU会话，从而在用户端与核心网设备之间建立连接进行通讯；会话恢复请求用于向核心网设备请求恢复一个先前已建立但未使用的会话。基站将PDU会话请求封装在初始用户消息Initial UE Message中，通过N2接口发送给核心网设备。其中，一个用户端可以建立多个PDU会话，一个PDU会话的信息可以包括：用户号码、移动用户识别码IMSI、国际移动设备识别码IMEI、用户位置信息、PDU会话ID等相关信息。PDU会话ID于用标识申请建立的PDU会话的ID，ID对于每个用户端来说是唯一的，ID编号的使用范围仅限于此用户端。若用户端发送的是会话恢复请求，则在基站接收用户端发送的会话请求前，基站、用户端、核心网设备需要执行初始接入流程以建立PDU会话。

在步骤102中，基站通过N2接口接收核心网设备返回的请求响应消息，请求响应消息包括核心网设备对用户端的会话请求进行响应处理后的处理结果。具体地，处理结果可以是接受请求，也可以是拒绝请求。若核心网设备接受请求，则为发起会话请求的用户端选择对会话进行策略控制的会话管理功能实体(Session Management Function，简称“SMF”)、为用户端分配IP地址等处理，并将这些处理结果作为会话资源携带在初始上下文建立请求INITIAL CONTEXT SETUP REQUEST消息中，作为请求响应消息返回给基站。基站接收核心网设备返回的请求响应消息，从中获取会话资源。

在步骤103中，基站在接收的请求响应消息中检测是否有安全密钥字段，从而确认请求响应消息中是否携带有安全密钥。若基站检测到请求响应消息中携带有安全密钥，则向用户端发起AS安全激活，从而对接入层的数据传输进行加密及完整性保护，即执行步骤104；若请求响应消息中未携带有安全密钥，则不对接入层的数据传输进行加密及完整性保护，基站直接将会话资源发送给用户端，即不执行步骤104的AS安全激活，直接执行步骤105。

若基站检测到请求响应消息中携带有安全密钥，则将请求响应消息中提取出的会话资源储存在缓存区域中，当接入层的安全激活完成后，将缓存区域中存储的会话资源发送给用户端。

在步骤104中，基站向用户端发起接入层的AS安全激活是为了确保基站与用户端之间控制面无线资源控制(Radio Resource Control，简称“RRC”)消息和用户面数据包的传输安全，即，AS安全包括RRC信令的完整性保护以及RRC信息和用户数据的加密。AS安全激活时，基站与用户端之间先建立信令连接，再与用户端进行激活和配置加密算法和完整性保护。

具体地，进行AS安全激活可以由基站对用户端发送安全激活命令，其中，安全激活命令包括AS安全模式命令(Security Mode Command，简称“SMC”)消息。基站将AS SMC消息发送到用户端，若用户端确认进行AS安全激活，基站会接收到用户端回复的AS SMC完成消息。其中，AS SMC消息应包含基站为用户端所选的RRC和UP加密和完整性算法。AS SMC完成消息应使用AS SMC消息中指示的所选RRC算法进行完整性保护。在发送AS SMC消息之后，基站可以进行RRC下行链路加密，在接收并成功验证到AS SMC完成消息之后，基站可以进行RRC上行链路解密；在发送AS SMC完成消息之后，用户端可以进行RRC上行链路加密，即，AS层的安全激活成功。

在一个例子中，基站向用户端发起的AS安全激活包括为会话配置数据无线承载(Data Radio Bearer，简称“DRB”)和进行AS层安全参数的协商。具体地，在AS安全激活中，基站和用户端协商选取AS完整性保护和加密算法、向用户端发送RRC连接配置消息用于为DRB进行UP完整性保护和UP加密的激活，从而使得基站与用户端之间的数据传输得到加密和完整性保护。由于为DRB进行了UP完整性保护和UP加密的激活，因此基站与用户端之间的DRB数据流量可以被完整地加密和保护。

在一个例子中，基站在确认安全激活成功后，还对缓存区域中是否存在会话资源进行判断，若缓存区域中存在会话资源，则向用户端发送会话资源，若缓存区域中不存在会话资源，则直接向核心网设备返回请求响应确认消息。

在步骤105中，当基站收到用户端发送AS SMC完成消息的回复，确认AS安全激活成功后，基站将从请求响应消息中获取的并缓存中缓存区中的会话资源进行加密后发送给用户端，用户端利用接收的会话资源与核心网设备进行连接；或者，当基站检测到在请求响应消息中未携带有安全密钥后，直接将请求响应消息中携带的会话资源发送给用户端，从而用户端可以基于接收到的会话资源，在用户端与核心网设备间成功建立PDU会话。

在一个例子中，基站将会话资源分配给用户端后，向核心网设备返回请求响应确认消息，以提示核心网其为用户端分配的会话资源已发出，在此会话结束前，此会话资源不能再分配给其他会话。

在一个例子中，用户端UE初始接入网络，建立一个PDU会话，不进行业务数据传输，接入网节点设备NG-RAN node通知UE进入CM-IDLE态，当UE有需要上传的业务，则向NG-RAN node发起会话请求Service Request，NG-RAN node在初始UE信息中将Service Request带给核心网设备AMF，若AMF判断需要恢复PDU会话，将会话资源携带在请求响应消息中发送给NG-RAN node，NG-RAN node向UE发起安全激活，当确认安全激活成功后，将请求响应消息中携带的会话资源发送给UE。由于此PDU会话的安全已经被激活，下一个PDU会话的service Request和此安全激活的AS安全模式SMC命令不会发生冲突。

在一个例子中，用户端UE初始接入网络，建立多个PDU会话，不进行业务数据传输，NG-RAN node通知UE进入CM-IDLE态，当UE在其中一个PDU会话上进行业务处理，发起退IDLE态的Service Request，NG-RAN node在初始UE信息中将Service Request带给核心网设备AMF，若AMF判断需要恢复PDU会话，将会话资源携带在请求响应消息中发送给NG-RAN node，NG-RAN node向UE发起安全激活，当确认安全激活成功后，将请求响应消息中携带的会话资源发送给UE。此时若UE在另一个PDU会话上进行业务处理，则UE再发起连接态的service Request，由于前一个PDU会话的安全已经被激活，连接态的service Request和安全激活的AS安全模式SMC命令消息不会发生冲突。

在一个例子中，会话建立流程如图2所示，本实施例中，对一个用户端UE初始接入时建立的一个PDU会话进行恢复。由UE向入网设备NG-RAN node发送会话请求Service Request，NG-RAN node接收Service Request后，将其封装在初始用户消息Initial UE Message中发送给核心网设备AMF。AMF接收Initial UE Message后，向NG-RAN node从N2接口发送请求响应消息N2 Request，根据接收的N2 Request从中获取会话资源NAS-PDU，并储存在缓存区域中，NG-RAN node还对N2 Request进行判断，若N2 Request中携带安全密钥 Security Key，则根据Security Key向UE发送AS安全模式命令Security Mode Command。UE接收AS Security Mode Command并向NG-RAN node回复AS安全模式完成消息Security Mode Complete，NG-RAN node接收AS Security Mode Complete，AS层安全激活完成；若N2 Request中未携带Security Key，则跳过AS层安全激活过程。NG-RAN node在判断缓存区域中是否存在NAS-PDU，若存在，则将NAS-PDU发送给UE，并再次对缓存区域进行判断若不存在，则向AMF通过N2接口返回请求响应确认消息N2 Request Ack。

本实施例中，通过接收用户的会话请求，将会话请求发送给核心网设备，接收核心网设备返回的请求响应消息，向用户端发起安全激活，确认安全激活成功后，向用户端分配请求响应消息中携带的会话资源，由于在向用户端分配会话资源前先进行安全激活，再进行会话资源的分配，即在安全激活的过程中，用户端此次会话建立流程未结束，不会发起下一次会话请求，避免了安全激活与下一次会话请求冲突的情况，从而导致的会话无法成功建立，因此，本申请的会话建立方法可以提高用户端与核心网设备之间会话建立的成功率。

上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。

本申请的第二实施例涉及一种会话建立方法。第二实施例与第一实施例大致相同，主要区别之处在于：在本申请第二实施例中，请求响应消息中携带安全密钥。

本实施例具体流程如图3所示。

步骤301，接收用户端的会话请求，将会话请求发送给核心网设备；

步骤302，接收核心网设备返回的请求响应消息；其中，请求响应消息中携带会话资源、安全密钥；

步骤303，从请求响应消息中提取出会话资源，并将提取的会话资源储存在缓存区域中；

步骤304，向用户端发起接入层的安全激活；

步骤305，确认安全激活成功后，将缓存区域中存储的会话资源发送给用户端，供用户端基于会话资源建立会话。

其中，步骤301、步骤304与第一实施例中的步骤101、步骤104大致相同，不再赘述。

在步骤302中，请求响应消息中携带安全密钥，其中，核心网设备在上下文建立请求信息中将安全密钥带给基站。具体地，基站可以根据安全密钥，为用户端选取RRC和UP加密及完整性保护算法，并在AS安全模式命令中指示为用户端所选的RRC和UP加密和完整性算法，以进行安全激活。

在步骤303中，基站将从请求响应消息中提取的会话资源储存在缓存区域中，其中，缓存区域可以是基站内部一个专用于储存会话资源的储存区域，也可以是一个能储存其他通信资源的储存区域。

在步骤305中，基站在确认安全激活成功后，AS层间的数据传输得到加密及完整性保护，基站可以将缓存区域中存储的会话资源进行加密后发送给用户端，建立AS层安全通信会话。

在一个例子中，用户端发送的会话请求中还携带用于标识会话请求的请求标识值，基站向用户发送的安全激活命令中也携带相同的请求标识值，以供用户端确认基站发送的安全激活命令是针对此请求标识对应的会话请求的安全激活命令。具体地，此请求标识值可以是一个NAS uplink COUNTS值，核心网设备发送的请求响应消息中携带的安全密钥中也使用NAS uplink COUNTS值。当用户端接收到基站发送的安全激活命令，会验证安全激活命令中携带的NAS uplink COUNTS值与自己请求的会话的NAS uplink COUNTS值是否一致，若一致，则进行安全激活，若不一致，则安全激活失败。

在一个例子中，会话建立流程如图4所示，用户端UE向入网设备NG-RAN node发送会话请求Service Request，NG-RAN node接收Service Request后，将其封装在Initial UE Message中发送给核心网设备AMF。AMF接收Initial UE Message后，向NG-RAN node从N2接口发送请求响应消息N2 Request，N2 Request中携带安全密钥Security Key。NG-RAN node根据接收的N2 Request从中获取Security Key和会话资源NAS-PDU，并将NAS-PDU储存在缓存区域中。NG-RAN node根据Security Key向UE发送AS安全模式命令Security Mode Command，UE接收AS Security Mode Command并向NG-RAN node回复AS安全模式完成消息Security Mode Complete，NG-RAN node接收AS Security Mode Complete，AS层安全激活完成。NG-RAN node判断缓存区域中是否存在NAS-PDU，若存在，则将NAS-PDU发送给UE，并向AMF通过N2接口返回请求响应确认消息N2 Request Ack。

本实施例中，通过先将会话资源储存在缓存区域中，在安全激活成功后，再将会话资源发送给用户端，实现了先与用户端进行的安全激活，再向用户端分配会话资源，避免安全激活与下一次会话请求冲突的情况，提高用户端与核心网设备之间的会话建立成功率。

本申请的第三实施例涉及一种会话建立装置，具体结构如图5所示。

请求接收模块501，用于接收用户端的会话请求；

转发模块502，用于将会话请求发送给核心网设备；

响应接收模块503，用于接收核心网设备返回的请求响应消息；其中，请求响应消息中携带会话资源；

安全激活模块504，用于向用户端发起接入层的安全激活；

发送模块505，在确认安全激活成功后，将会话资源发送给用户端，供用户端基于会话资源建立会话。

进一步地，响应接收模块503还用于在响应接收模块503接收核心网设备返回的请求响应消息后，在安全激活模块504向用户端发起接入层的安全激活前，检测请求响应消息中是否携带有安全密钥。若响应接收模块503检测到请求响应消息中携带有安全密钥，则通知安全激活模块504发起安全激活，若响应接收模块503检测到请求响应消息中未携带有安全密钥，则通知发送模块505直接执行将会话资源发送给用户端。

进一步地，会话建立装置还有缓存模块506，用于存储从请求响应消息中提取出的会话资源。

进一步地，响应接收模块503还用于在检测到请求响应消息中携带有安全密钥时，在安全激活模块504向用户端发起接入层的安全激活前，从请求响应消息中提取出会话资源，并将提取的会话资源储存在缓存模块506中，发送模块505还用于将缓存模块506中存储的会话资源发送给用户端。

进一步地，请求响应消息中携带安全密钥，响应接收模块503还用于从请求响应消息中提取出会话资源，并将提取的会话资源储存在缓存模块506中。

进一步地，安全激活模块504还用于基于安全密钥向用户端发送安全激活命令。

进一步地，会话请求携带用于标识会话请求的请求标识值，安全激活模块504还用于发送携带请求标识值的安全激活命令，供用户端确认安全激活命令为针对会话请求的命令。

进一步地，响应接收模块503还用于向核心网设备返回请求响应确认消息。

不难发现，本实施例为与上述方法实施例相对应的装置实施例，本实施例可与上述各实施例互相配合实施。上述各实施例中提到的相关技术细节在本实施例中依然有效，为了减少重复，这里不再赘述。相应地，本实施例中提到的相关技术细节也可应用在上述各实施例中。

值得一提的是，本实施例中所涉及到的各模块均为逻辑模块，在实际应用中，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现。此外，为了突出本申请的创新部分，本实施例中并没有将与解决本申请所提出的技术问题关系不太密切的单元引入，但这并不表明本实施例中不存在其它的单元。

本申请第四实施例涉及一种接入网设备，如图6所示，包括：至少一个处理器601；与至少一个处理器通信连接的存储器602；其中，存储器602存储有可被至少一个处理器601执行的指令，指令被至少一个处理器601执行上述的会话建立方法。

其中，存储器602和处理器601采用总线方式连接，总线可以包括任意数量的互联的总线和桥，总线将一个或多个处理器601和存储器602的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器601处理的信息通过天线在无线介质上进行传输，进一步，天线还接收信息并将信息传送给处理器601。

处理器601负责管理总线和通常的处理，还可以提供各种功能，包括定时，外围接口，电压调节、电源管理以及其他控制功能。而存储器602可以被用于存储处理器在执行操作时所使用的信息。

本申请第五实施例涉及一种计算机可读存储介质，存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。

即，本领域技术人员可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域的普通技术人员可以理解，上述各实施例是实现本申请的具体实施例，而在实际应用中，可以在形式上和细节上对其作各种改变，而不偏离本申请的精神和范围。

Claims

一种会话建立方法，应用于接入网设备，包括：

接收用户端的会话请求，将所述会话请求发送给核心网设备；

接收所述核心网设备返回的请求响应消息；其中，所述请求响应消息中携带会话资源；

向所述用户端发起接入层的安全激活；

确认所述安全激活成功后，将所述会话资源发送给所述用户端，供所述用户端基于所述会话资源建立会话。
根据权利要求1所述的会话建立方法，其中，在所述接收所述核心网设备返回的请求响应消息后，在所述向所述用户端发起接入层的安全激活前，还包括：

检测所述请求响应消息中是否携带有安全密钥；

若所述请求响应消息中携带有所述安全密钥，则再执行所述向所述用户端发起接入层的安全激活；若所述请求响应消息中未携带有所述安全密钥，则直接执行所述将所述会话资源发送给所述用户端。
根据权利要求2所述的会话建立方法，其中，还包括：

若所述请求响应消息中携带有所述安全密钥，则在向所述用户端发起接入层的安全激活前，从所述请求响应消息中提取出所述会话资源，并将提取的所述会话资源储存在缓存区域中；

所述将所述会话资源发送给所述用户端，包括：

将所述缓存区域中存储的所述会话资源发送给所述用户端。
根据权利要求1所述的会话建立方法，其中，所述请求响应消息中携带安全密钥；

在向所述用户端发起接入层的安全激活前，还包括：

从所述请求响应消息中提取出所述会话资源，并将提取的所述会话资源储存在缓存区域中；

所述将所述会话资源发送给所述用户端，包括：

将所述缓存区域中存储的所述会话资源发送给所述用户端。
根据权利要求2至4中任一项所述的会话建立方法，其中，所述向所述用户端发起接入层的安全激活，包括：

基于所述安全密钥向所述用户端发送安全激活命令。
根据权利要求5所述的会话建立方法，其中，所述会话请求携带用于标识所述会话请求的请求标识值；

所述安全激活命令中携带所述请求标识值，供所述用户端确认所述安全激活命令为针对所述会话请求的命令。
根据权利要求1至6中任一项所述的会话建立方法，其中，在所述将所述会话资源发送给所述用户端后，还包括：

向所述核心网设备返回请求响应确认消息。
一种会话建立装置，包括：

请求接收模块，用于接收用户端的会话请求；

转发模块，用于将所述会话请求发送给核心网设备；

响应接收模块，用于接收所述核心网设备返回的请求响应消息；其中，所述请求响应消息中携带会话资源；

安全激活模块，用于向所述用户端发起接入层的安全激活；

发送模块，在确认所述安全激活成功后，将所述会话资源发送给所述用户端，供所述用户端基于所述会话资源建立会话。
一种接入网设备，包括：

至少一个处理器；

与所述至少一个处理器通信连接的存储器；

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1至7中任一所述的会话建立方法。
一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1至7中任一所述的会话建立方法。