WO2022194262A1

WO2022194262A1 - 安全通信的方法和装置

Info

Publication number: WO2022194262A1
Application number: PCT/CN2022/081583
Authority: WO
Inventors: 韩文勇; 谢春生; 刁文波; 赵军
Original assignee: 华为技术有限公司
Priority date: 2021-03-19
Filing date: 2022-03-18
Publication date: 2022-09-22
Also published as: CN115175194A

Abstract

本申请提供了一种安全通信的方法和装置。该方法可以包括：第一网元接收第一通信设备发送给第二通信设备的业务数据的信息，第一通信设备和第二通信设备为同一个VN组内的设备；第一网元获取第一安全组与第二安全组之间的通信策略，第一安全组为第一通信设备对应的安全组，第二安全组为第二通信设备对应的安全组；根据第一安全组与第二安全组之间的通信策略，第一网元为业务数据制定转发规则；VN组中包括多个安全组，多个安全组包括第一安全组和第二安全组。通过本申请，可通过定义多个安全组，并分别配置安全组之间的通信策略，网络中的通信设备(如虚拟网络组内的通信设备)分别加入相应的安全组，从而可实现通信设备按组粒度进行访问控制。

Description

安全通信的方法和装置

本申请要求于2021年03月19日提交中国专利局、申请号为202110295551.5、申请名称为“安全通信的方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，并且更具体地，涉及一种安全通信的方法和装置。

背景技术

局域网(local area network，LAN)是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机，外部设备和数据库等互相联接起来组成的计算机通信网。

在当前LAN技术中，如第五代(5th Generation，5G)LAN技术中，通过虚拟网络(virtual network，VN)组(group)可以实现移动网络内通信设备的虚拟局域网互通。在设备互通安全方面，对于VN组内设备的互通权限没有做进一步的定义，缺少安全访问控制机制。

发明内容

本申请提供一种安全通信的方法和装置，可以实现虚拟网络组内设备的安全访问。

第一方面，提供了一种安全通信的方法，该方法可以由网络设备执行，或者，也可以由用于网络设备的芯片或电路执行，本申请对此不作限定，为了便于描述，下面以由第一网元设备执行为例进行说明。

该方法可以包括：第一网元接收第一通信设备发送给第二通信设备的业务数据的信息；第一网元获取第一安全组与第二安全组之间的通信策略，第一安全组为第一通信设备对应的安全组，第二安全组为第二通信设备对应的安全组；根据第一安全组与第二安全组之间的通信策略，第一网元为业务数据制定转发规则；其中，第一通信设备和第二通信设备为同一个虚拟网络VN组内的设备，VN组中包括多个安全组，多个安全组包括第一安全组和第二安全组。

上述方法可以由核心网网元(即第一网元)(如会话管理功能(session management function，SMF)网元或者用户面功能(user plane function，UPF)网元)执行，或者，也可以由用于核心网网元的芯片或电路执行。

基于上述技术方案，可以通过定义多个安全组，并分别配置安全组之间的通信策略(或者也可以说访问策略)，网络中的通信设备(如虚拟网络组内的通信设备)分别加入相应的安全组，从而可以实现通信设备按组粒度进行访问控制。具体地，例如，第一网元接收到来自终端设备的业务数据后，可以确定业务数据的源地址(即第一通信设备的地址)归属的安全组与目的地址(即第二通信设备的地址)归属的安全组之间的通信策略，根据该通信策略来制定业务数据的转发规则，不仅可以提高设备之间通信的安全性，还可以便于管理。

结合第一方面，在第一方面的某些实现方式中，第一安全组与第二安全组之间的通信策略包括：第一安全组与第二安全组之间允许通信，或者，第一安全组与第二安全组之间禁止通信。

基于上述技术方案，安全组之间的通信策略可以包括允许通信和禁止通信两种，这样不仅可以实现安全访问，还简单易行。

结合第一方面，在第一方面的某些实现方式中，第一网元为会话管理功能网元。

结合第一方面，在第一方面的某些实现方式中，方法还包括：第一安全组与第二安全组之间的通信策略为允许通信的情况下，转发规则用于指示业务数据的转发路径；或者；第一安全组与第二安全组之间的通信策略为禁止通信的情况下，转发规则用于指示丢弃业务数据。

结合第一方面，在第一方面的某些实现方式中，第一网元接收第一通信设备发送给第二通信设备的业务数据的信息，包括：第一网元接收来自第二网元的转发规则未知消息，转发规则未知消息包括业务数据的源地址信息和目的地址信息，源地址对应第一安全组，目的地址对应第二安全组；根据第一安全组与第二安全组之间的通信策略，第一网元为业务数据制定转发规则，包括：第一网元根据源地址对应的第一安全组和目的地址对应的第二安全组之间的通信策略，为业务数据制定转发规则；第一网元将转发规则发送给第二网元。

基于上述技术方案，第一网元接收到第二网元发送的转发规则未知消息后，基于该转发规则未知消息中的业务数据的相关信息，如源地址和目的地址，确定源地址和目的地址对应的安全组，进而可以根据源地址和目的地址对应的安全组之间的通信策略，为该业务数据制定转发规则，进而再向第二网元发送该转发规则，使得第二网元可以根据该转发规则处理业务数据。

结合第一方面，在第一方面的某些实现方式中，第一网元接收来自第二网元的转发规则未知消息之前，方法还包括：第一网元向第二网元发送第一指示信息，第一指示信息用于指示上报转发规则未知的信息。

示例地，转发规则未知，即表示不能根据源地址、目的地址匹配转发规则。

基于上述技术方案，第一网元可以向第二网元配置未知转发规则报文上报指示。这样，可以便于第二网元在接收到未知报文后，向第一网元上报业务数据的转发规则未知，从而第一网元可以为该业务数据制定转发规则。

结合第一方面，在第一方面的某些实现方式中，方法还包括：第一网元向第二网元发送第二指示信息，第二指示信息用于指示删除转发规则。

基于上述技术方案，可以及时更新安全组，从而不仅可以提高资源利用率，还可以保证数据传输性能。

结合第一方面，在第一方面的某些实现方式中，第一网元向第二网元发送第二指示信息，包括：确定第一通信设备的会话释放或者确定与转发规则相关的地址老化的情况下，第一网元向第二网元发送第二指示信息。

示例地，第一网元也可以周期性地向第二网元发送该第二指示信息。

结合第一方面，在第一方面的某些实现方式中，第二网元为用户面功能网元。

结合第一方面，在第一方面的某些实现方式中，第一网元为用户面功能网元。

结合第一方面，在第一方面的某些实现方式中，方法还包括：第一网元接收来自第二网元的多个安全组的信息，多个安全组的信息包括：多个安全组中任两个安全组之间的通信策略的信息。

基于上述技术方案，第一网元可以预先获取该多个安全组的相关信息。

结合第一方面，在第一方面的某些实现方式中，第一网元接收第一通信设备发送给第二通信设备的业务数据的信息，包括：第一网元接收第一通信设备发送给第二通信设备的业务数据；第一网元获取第一安全组与第二安全组之间的通信策略，包括：在第一网元判断第一通信设备属于VN组中第一安全组对应的通信设备，第二通信设备属于VN组中第二安全组对应的通信设备的情况下，第一网元从多个安全组的信息中获取第一安全组与第二安全组之间的通信策略。

结合第一方面，在第一方面的某些实现方式中，第一安全组与第二安全组之间的通信策略为允许通信的情况下，转发规则用于指示业务数据的转发路径，第一网元根据转发规则指示的业务数据的转发路径，转发业务数据；或者，第一安全组与第二安全组之间的通信策略为禁止通信的情况下，转发规则用于指示丢弃业务数据，第一网元根据转发规则丢弃业务数据。

结合第一方面，在第一方面的某些实现方式中，方法还包括：第一网元向第二网元发送第三指示信息，第三指示信息用于指示与转发规则相关的地址老化。

基于上述技术方案，当地址老化后，第一网元可以向第二网元指示地址老化，以便第一网元可以删除与该地址对应当转发规则，节省存储空间。

结合第一方面，在第一方面的某些实现方式中，方法还包括：第一网元接收来自第二网元的第四指示信息，第四指示信息用于指示删除转发规则。

结合第一方面，在第一方面的某些实现方式中，第二网元为会话管理功能网元。

结合第一方面，在第一方面的某些实现方式中，每个安全组包括以下一项或多项信息：安全组对应的数据网络、安全组所属的VN组的外部标识、安全组的标识、安全组的名称、安全组对应的通信设备、安全组与VN组中的多个安全组中的其他安全组之间的通信策略。

第二方面，提供了一种安全通信的方法，该方法可以由网络设备执行，或者，也可以由用于网络设备的芯片或电路执行，本申请对此不作限定，为了便于描述，下面以由第三网元执行为例进行说明。

该方法可以包括：第三网元接收来自第四网元的第一请求消息，第一请求消息用于请求为虚拟网络VN组创建安全组；第三网元基于第一请求消息，为VN组创建多个安全组；其中，VN组中包括多个安全组，每个安全组对应一个或多个通信设备，多个安全组包括第一安全组，第一安全组和多个安全组中的其它安全组之间具有通信策略，通信策略用于控制第一安全组对应的通信设备与其它安全组对应的通信设备之间的通信。

示例地，一个VN组中可以包括多个安全组。

示例地，第三网元例如可以为能力开放功能(network exposure function，NEF)，第四网元例如可以为应用功能(application function，AF)。

基于上述技术方案，在一个虚拟网络(virtual network，VN)组(group)中定义多个安全组，并且分别配置安全组之间的通信策略，网络中的通信设备(如VN组内的通信设备)分别加入相应的安全组，从而可以实现通信设备按组粒度进行访问控制。这样，不仅可以提高设备之间通信的安全性，还可以便于管理。

结合第二方面，在第二方面的某些实现方式中，通信策略为允许通信或禁止通信。

结合第二方面，在第二方面的某些实现方式中，第一请求消息中包括以下一项或多项信息：待创建的安全组所属的VN组的外部标识、待创建的安全组对应的数据网络、待创建的安全组的标识、待创建的安全组的名称、待创建的安全组之间的通信策略。

结合第二方面，在第二方面的某些实现方式中，第一请求消息中包括待创建的安全组之间的通信策略，方法还包括：根据待创建的安全组之间的通信策略，第三网元为待创建的安全组设置通信策略，通信策略为允许通信或禁止通信。

结合第二方面，在第二方面的某些实现方式中，方法还包括：第三网元接收来自第四网元的第二请求消息，第二请求消息用于请求为第一安全组添加一个或多个通信设备。

结合第二方面，在第二方面的某些实现方式中，第二请求消息中包括以下一项或多项信息：第一安全组对应的数据网络、第一安全组所属的VN组的外部标识、第一安全组的标识、第一安全组的名称、待添加的一个或多个通信设备的信息。

结合第二方面，在第二方面的某些实现方式中，每个安全组包括以下一项或多项信息：安全组对应的数据网络、安全组所属的VN组的外部标识、安全组的标识、安全组的名称、安全组对应的通信设备、安全组与VN组的多个安全组中的其他安全组之间的通信策略。

结合第二方面，在第二方面的某些实现方式中，第三网元为能力开放功能网元，第四网元为应用功能网元。

第三方面，提供了一种安全通信的方法，该方法可以由网络设备执行，或者，也可以由用于网络设备的芯片或电路执行，本申请对此不作限定，为了便于描述，下面以由第一网元执行为例进行说明。

该方法可以包括：第一网元接收来自第一通信设备的会话建立请求，会话建立请求包括虚拟网络VN组的标识；第一通信设备对应的安全组为第一安全组；第一网元根据第一安全组和其它安全组之间的通信策略，为第一通信设备制定转发规则；第一网元向第二网元发送转发规则；其中，VN组中包括多个安全组，每个安全组对应一个或多个通信设备，多个安全组包括第一安全组，第一安全组和多个安全组中的其它安全组之间具有通信策略，通信策略用于控制第一安全组对应的通信设备与其它安全组对应的通信设备之间的通信。

上述方法可以由核心网网元(即第一网元)(如SMF网元)执行，或者，也可以由用于核心网网元的芯片或电路执行。

示例地，第一网元为SMF网元，第二网元为UPF网元。

示例地，第一网元判断第一通信设备属于第一安全组对应的通信设备。

关于通信策略，可以参考第一方面或第二方面的描述。

基于上述技术方案，可以通过定义多个安全组，并分别配置安全组之间的通信策略，网络中的通信设备分别加入相应的安全组，从而可以实现通信设备按组粒度进行访问控制。此外，核心网网元(如SMF网元)收到通信设备的会话建立请求后，可以基于该通信设备所在的安全组与其他安全组之间的通信策略，为该通信设备制定转发规则，并发送给第二网元，从而可以使得第二网元基于该转发规则执行数据转发。

结合第三方面，在第三方面的某些实现方式中，方法还包括：第一网元向第六网元请求VN组会话签约信息；第一网元接收来自第六网元的VN组会话签约信息，该VN组会话签约信息中包括该多个安全组的信息，多个安全组的信息包括：多个安全组中任两个安全组之间的通信策略的信息。

示例地，第六网元为核心网网元，如统一数据管理(unified data management，UDM)网元或统一数据存储(unified data repository，UDR)网元。

结合第三方面，在第三方面的某些实现方式中，第一网元向第二网元发送第二指示信息，第二指示信息用于指示删除为第一通信设备制定的转发规则。

结合第三方面，在第三方面的某些实现方式中，第一网元向第二网元发送第二指示信息，包括：确定第一通信设备的会话释放或者确定与转发规则相关的地址老化的情况下，第一网元向第二网元发送第二指示信息。

结合第三方面，在第三方面的某些实现方式中，方法还包括：第一网元接收来自第二网元的地址老化消息，根据地址老化消息，解除与地址相关的关联关系。

示例地，解除地址与终端设备会话的关联关系，以及地址与UPF的关联关系。

示例地，解除地址与数据网络名称以及组会话的关联关系。

第四方面，提供了一种安全通信的方法，该方法可以由网络设备执行，或者，也可以由用于网络设备的芯片或电路执行，本申请对此不作限定，为了便于描述，下面以第二网元执行为例进行说明。

该方法可以包括：第二网元接收来自第一网元的第一通信设备对应的转发规则，第一通信设备对应的安全组为第一安全组，第一通信设备对应的转发规则是根据第一安全组和其它安全组之间的通信策略制定的；第二网元接收来自第一通信设备的业务数据；第二网元根据第一通信设备对应的转发规则，处理业务数据。

上述方法可以由核心网网元(即第二网元)(如UPF网元)执行，或者，也可以由用于核心网网元的芯片或电路执行。

示例地，第二网元为UPF网元，第一网元为SMF网元。

关于通信策略，可以参考第一方面或第二方面的描述。

基于上述技术方案，可以通过定义多个安全组，并分别配置安全组之间的通信策略，网络中的通信设备分别加入相应的安全组，从而可以实现通信设备按组粒度进行访问控制。此外，通过核心网网元(如UPF网元)执行安全组策略，完成通信设备报文互通控制，从而可以提高设备之间通信的安全性。

结合第四方面，在第四方面的某些实现方式中，多个安全组包括第二安全组，业务数据为第一通信设备发送给第二安全组对应的通信设备的数据；第二网元根据第一通信设备对应的转发规则，处理业务数据，包括：第一安全组与第二安全组之间的通信策略为允许通信的情况下，转发规则用于指示业务数据的转发路径，第二网元根据转发规则指示的业务数据的转发路径，转发业务数据；或者，第一安全组与第二安全组之间的通信策略为禁止通信的情况下，转发规则用于指示丢弃业务数据，第二网元根据转发规则丢弃业务数据。

结合第四方面，在第四方面的某些实现方式中，方法还包括：第二网元接收来自第一网元的第二指示信息，第二指示信息用于指示删除为第一通信设备制定的转发规则。

结合第四方面，在第四方面的某些实现方式中，方法还包括：确定第一通信设备对应地址老化；删除被老化的地址对应的全部转发规则，或者，删除被老化的地址对应的安全组信息。

第五方面，提供一种通信装置，该装置用于执行上述第一方面至第四方面提供的方法。具体地，该装置可以包括用于执行第一方面至第四方面提供的方法的单元和/或模块，如处理单元和/或通信单元。

在一种实现方式中，该装置为网络设备。当该装置为网络设备时，所述通信单元可以是收发器，或，输入/输出接口；所述处理单元可以是处理器。

在另一种实现方式中，该装置为用于网络设备中的芯片、芯片系统或电路。当该装置为用于通信设备中的芯片、芯片系统或电路时，所述通信单元可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等；所述处理单元可以是处理器、处理电路或逻辑电路等。

可选地，上述收发器可以为收发电路。可选地，上述输入/输出接口可以为输入/输出电路。

第六方面，提供一种通信装置，该装置包括：存储器，用于存储程序；处理器，用于执行存储器存储的程序，当存储器存储的程序被执行时，处理器用于执行上述第一方面至第四方面提供的方法。

在一种实现方式中，该装置为终端设备或网络设备。

在另一种实现方式中，该装置为用于终端设备或网络设备中的芯片、芯片系统或电路。

第七方面，本申请提供一种处理器，用于执行上述各方面提供的方法。在执行这些方法的过程中，上述方法中有关发送上述信息和获取/接收上述信息的过程，可以理解为由处理器输出上述信息的过程，以及处理器接收输入的上述信息的过程。在输出上述信息时，处理器将该上述信息输出给收发器，以便由收发器进行发射。该上述信息在由处理器输出之后，还可能需要进行其他的处理，然后才到达收发器。类似的，处理器接收输入的上述信息时，收发器获取/接收该上述信息，并将其输入处理器。更进一步的，在收发器收到该上述信息之后，该上述信息可能需要进行其他的处理，然后才输入处理器。

基于上述原理，举例来说，前述方法中提及的获取第一安全组与第二安全组之间的通信策略，可以理解为处理器接收输入的信息。

对于处理器所涉及的发射、发送和获取/接收等操作，如果没有特殊说明，或者，如果未与其在相关描述中的实际作用或者内在逻辑相抵触，则均可以更加一般性的理解为处理器输出和接收、输入等操作，而不是直接由射频电路和天线所进行的发射、发送和接收操作。

在实现过程中，上述处理器可以是专门用于执行这些方法的处理器，也可以是执行存储器中的计算机指令来执行这些方法的处理器，例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(Read Only Memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

第八方面，提供一种计算机可读存储介质，该计算机可读介质存储用于设备执行的程序代码，该程序代码包括用于执行上述第一方面至第四方面提供的方法。

第九方面，提供一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述第一方面至第四方面提供的方法。

第十方面，提供一种芯片，所述芯片包括处理器与通信接口，所述处理器通过所述通信接口读取存储器上存储的指令，执行上述第一方面至第四方面提供的方法。

可选地，作为一种实现方式，所述芯片还可以包括存储器，所述存储器中存储有指令，所述处理器用于执行所述存储器上存储的指令，当所述指令被执行时，所述处理器用于执行上述第一方面至第四方面提供的方法。

第十一方面，提供一种通信系统，包括上文所述的网络设备，如第一网元和第二网元(如SMF和UPF)；又如，第三网元和第四网元(如NEF和AF)。

附图说明

图1示出了适用于本申请实施例提供的方法的网络架构的示意图。

图2示出了适用于本申请实施例的PDU连接的一示意图。

图3示出了适用于本申请实施例的数据包转发的一示意图。

图4和图5示出了适用于本申请实施例的5G LAN group中终端设备数据交互的用户面架构示意图。

图6和图7示出了适用于本申请实施例的5G LAN场景UPF转发的示意图。

图8示出了AF配置管理5G VN group的示意图。

图9示出了本申请实施例提供的一种安全通信的方法900的示意性交互图。

图10示出了本申请实施例提供的一种安全通信的方法1000的示意性交互图。

图11示出了适用于本申请实施例的安全通信的一示意性流程图。

图12示出了适用于本申请实施例的安全通信的另一示意性流程图。

图13中的(1)和(2)示出了适用于本申请一实施例的安全组策略执行的一示意性流程图。

图14中的(1)和(2)示出了适用于本申请一实施例的安全组策略执行的另一示意性流程图。

图15示出了适用于本申请另一实施例的安全组策略执行的一示意性流程图。

图16示出了适用于本申请另一实施例的安全组策略执行的另一示意性流程图。

图17示出了适用于本申请实施例的安全组更新的一示意性流程图。

图18示出了适用于本申请实施例的安全组更新的另一示意性流程图。

图19是根据本申请实施例提供的安全通信的装置的示意性框图。

图20是根据本申请实施例提供的安全通信的装置的另一示意性框图。

图21是本申请实施例提供的一种网络设备的结构示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请提供的技术方案可以应用于各种通信系统，例如：第五代(5th Generation，5G) 移动通信系统或新无线接入技术(new radio access technology，NR)。其中，5G移动通信系统可以包括非独立组网(non-standalone，NSA)和/或独立组网(standalone，SA)。本申请提供的技术方案还可以应用于未来的通信系统，如第六代移动通信系统。本申请实施例的技术方案还可以应用于机器类通信(machine type communication，MTC)、机器间通信长期演进技术(Long Term Evolution-machine，LTE-M)、设备到设备(device-to device，D2D)网络、机器到机器(machine to machine，M2M)网络、物联网(internet of things，IoT)网络或者其他网络。其中，IoT网络例如可以包括车联网。其中，车联网系统中的通信方式统称为车到其他设备(vehicle to X，V2X，X可以代表任何事物)，例如，该V2X可以包括：车辆到车辆(vehicle to vehicle，V2V)通信，车辆与基础设施(vehicle to infrastructure，V2I)通信、车辆与行人之间的通信(vehicle to pedestrian，V2P)或车辆与网络(vehicle to network，V2N)通信等。

为便于理解本申请实施例，首先结合图1详细说明适用于本申请实施例的网络架构。

图1是适用于本申请实施例提供的方法的网络架构的示意图。如图1所示，该网络架构例如是第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)定义的5G组网架构。该网络架构例如可以包括但不限于以下：用户设备(user equipment，UE)、接入网(access network，AN)、接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、用户面功能(user plane function，UPF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、统一数据存储(unified data repository，UDR)、应用功能(application function，AF)或能力开放功能(network exposure function，NEF)、数据网络(data network，DN)等。

下面对图1中示出的各网元做简单介绍。

1、终端设备：可以称为用户设备(user equipment，UE)、接入终端、用户单元、用户站、移动站、移动台(mobile station，MS)、移动终端(mobile terminal，MT)、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备可以是一种向用户提供语音/数据连通性的设备，例如，具有无线连接功能的手持式设备、车载设备等。目前，一些终端的举例可以为：手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑(如笔记本电脑、掌上电脑等)、移动互联网设备(mobile internet device，MID)、虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，5G网络中的终端设备(如5G局域网中的终端设备)或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备等。

此外，终端设备还可以是IoT系统中的终端设备。IoT是未来信息技术发展的重要组成部分，其主要技术特点是将物品通过通信技术与网络连接，从而实现人机互连，物物互连的智能化网络。IoT技术可以通过例如窄带(narrow band，NB)技术，做到海量连接，深度覆盖，终端省电。

此外，终端设备还可以包括智能打印机、火车探测器、加油站等传感器，主要功能包括收集数据(部分终端设备)、接收网络设备的控制信息与下行数据，并发送电磁波，向网络设备传输上行数据。

应理解，终端设备可以是任何可以接入网络的设备。终端设备与接入网设备之间可以采用某种空口技术相互通信。

可选地，终端设备可以用于充当基站。例如，终端设备可以充当调度实体，其在V2X或D2D等中的终端设备之间提供侧行链路信号。比如，蜂窝电话和汽车利用侧行链路信号彼此通信。蜂窝电话和智能家居设备之间通信，而无需通过基站中继通信信号。

2、接入网(access network，AN)：接入网可以为特定区域的授权用户提供入网功能，包含无线接入网(radio access network，RAN)设备和AN设备。RAN设备主要是3GPP网络无线网络设备，AN设备可以是非3GPP(non-3GPP)定义的接入网设备。

接入网络可以为采用不同接入技术的接入网络。目前的无线接入技术有两种类型：3GPP接入技术(例如3G、4G或5G系统中采用的无线接入技术)和非3GPP(non-3GPP)接入技术。3GPP接入技术是指符合3GPP标准规范的接入技术，例如，5G系统中的接入网设备称为下一代基站节点(next generation Node Base station，gNB)或者RAN。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以无线保真(wireless fidelity，WiFi)中的接入点(access point，AP)为代表的空口技术、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)、码分多址(code division multiple access，CDMA)网络等。接入网设备(AN设备)可以允许终端设备和3GPP核心网之间采用非3GPP技术互连互通。

基于无线通信技术实现接入网络功能的接入网可以称为RAN。无线接入网能够负责空口侧的无线资源管理、服务质量(quality of service，QoS)管理、数据压缩和加密等功能。无线接入网为终端设备提供接入服务，进而完成控制信号和用户数据在终端和核心网之间的转发。

无线接入网例如可以包括但不限于：宏基站、微基站(也称为小站)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(baseband unit，BBU)，WiFi系统中的AP、无线中继节点、无线回传节点、传输点(transmission point，TP)或者发送接收点(transmission and reception point，TRP)等，还可以为5G(如，NR)系统中的gNB或传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)，或者下一代通信6G系统中的基站等。本申请实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。

接入网可以为小区提供服务。终端设备可以通过接入网设备分配的传输资源(例如，频域资源，或者说，频谱资源)与小区通信。

3、AMF网元：主要负责对UE进行移动性管理、接入鉴权/授权等功能。此外，还可以负责在UE与PCF间传递用户策略。

4、SMF网元：主要负责对UE进行协议数据单元(protocol data unit，PDU)会话管理、PCF下发控制策略的执行、UPF的选择、PDU类型(PDU Type)为网际协议(Internet Protocol，IP)类型时UE IP地址分配等功能。

5、UPF网元：作为和数据网络的接口，UPF可用于完成用户面数据转发、基于会话/流级的计费统计，带宽限制等功能。

6、PCF网元：主要负责针对会话、业务流级别进行计费、QoS带宽保障及移动性管理、UE策略决策等策略控制功能。

7、AF网元：主要传递应用侧对网络侧的需求，例如，QoS需求或用户状态事件订阅等。AF网元可以是第三方功能实体，也可以是运营商部署的应用服务，如IP多媒体服务业务(IP multi-media service，IMS)语音呼叫业务。对于第三方应用的应用功能实体，其与核心网进行交互时还可经由NEF进行授权处理，例如第三方应用功能直接向NEF发送请求消息，NEF判断该AF是否被允许发送该请求消息，若验证通过，则将转发该请求消息至对应PCF或UDM。

8、UDM网元：主要负责管理签约数据、用户接入授权等功能。

9、UDR网元：主要负责签约数据、策略数据、应用数据等类型数据的存取功能。

10、数据网络(DN)：用于为用户提供数据服务的服务网络。例如，因特网(Internet)、第三方的业务网络、IMS网络等。数据网络可以以数据网络名称(data network name，DNN)为标识。

应理解，图1中所示的各个网元或者功能，如AMF、SMF、UPF、PCF、UDM等，可以理解为用于实现不同功能的网络元件，例如可以按需组合成网络切片。这些网络元件可以各自独立的设备，也可以集成于同一设备中实现不同的功能，或者可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能，本申请对于上述网元的具体形态不作限定。

还应理解，上述命名仅为便于区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。

作为示例，其中，各接口功能描述如下。

N1：AMF与UE之间的信令面接口，接入无关，可用于核心网与UE之间交换信令消息，如UE注册入网、UE建立PDU会话、网络侧配置UE策略等。

N2：AMF与RAN之间的接口，可用于传递核心网至RAN的无线承载控制信息等。

N3:(R)AN与UPF之间的接口，可用于在RAN和UPF之间传递UE业务数据。

N4：SMF与UPF之间的接口，可用于控制面与用户面之间传递信息，包括控制面向用户面的转发规则、QoS控制规则、流量统计规则等的下发以及用户面的信息上报。

N5：AF与PCF之间的接口，可用于应用业务请求下发以及网络事件上报。

N6：UPF与DN之间的接口，可用于在UPF和DN之间传递UE业务数据。

N7：PCF与SMF之间的接口，可用于下发PDU会话粒度以及业务数据流粒度控制策略。

N8：AMF与UDM间的接口，可用于AMF向UDM获取接入与移动性管理相关签约数据与鉴权数据，以及AMF向UDM注册UE当前移动性管理相关信息等。

N9：UPF与UPF间的接口，如拜访地策略控制功能(visited-policy control function，V-PCF)与归属地策略控制功能(home-policy control function，H-PCF)间的接口，或是与DN相连的UPF与RAN相连的UPF间的接口，用于在UPF间传递用户面数据。

N10：SMF与UDM间的接口，可用于SMF向UDM获取会话管理相关签约数据，以及SMF向UDM注册UE当前会话相关信息等。

N11：SMF与AMF之间的接口，可用于传递RAN和UPF之间的PDU会话隧道信息、传递发送给UE的控制消息、传递发送给RAN的无线资源控制信息等。

N15：PCF与AMF之间的接口，可用于下发UE策略及接入控制相关策略。

N35：UDM与UDR间的接口，可用于UDM从UDR中获取用户签约数据信息。

N36：PCF与UDR间的接口，可用于PCF从UDR中获取策略相关签约数据以及应用数据相关信息。

其他接口与各网元之间的关系如图1中所示，为了简洁，这里不一一详述。

应理解，图1中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

还应理解，上述应用于本申请实施例的网络架构仅是示例性说明，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

为便于理解本申请实施例，首先对本申请中涉及到的术语做简单说明。

1、PDU连接，会话管理。

网络(如5G网络)为UE和DN网络提供数据交换服务，该服务例如可称为PDU连接服务。UE通过向移动网络发起PDU会话建立请求获得PDU连接服务。网络侧通过为UE维护PDU会话以提供PDU连接服务。

作为示例性说明，图2示出了适用于本申请实施例的PDU连接的一示意图。如图2所示，PDU连接中所涉及的网络例如可以包括网元：基于网络切片特定认证与授权功能(network slice specific authentication and authorization function，NSSAAF)、网络切片选择功能(network slice selection function，NSSF)、鉴权服务功能(authentication server function，AUSF)、UDM、AMF、SMF、PCF、AF、UE、(R)AN、UPF、DN。具体描述，可以参考标准中的介绍或者也可以参考图1中的描述，此处不再赘述。

如图2所示，数据面路径表示UE和DN网络之间的业务数据交换路径，该路径为UE在移动网络中的数据业务路径。为实现UE与DN网络之间的数据交换，UE需要使用移动网络提供的PDU连接服务，建立基于DNN的PDU会话，即信令面流程。PDU会话的建立一般包括两个过程：UE向移动网络注册入网流程、UE向网络请求建立PDU会话流程，这两个过程属于UE与移动网络的信令面交互流程，即图2所示的信令面路径。

作为示例性说明，以终端设备为UE为例，简单介绍通用的终端设备注册入网流程。UE通过(R)AN发送注册请求至AMF，AMF根据UE标识向UDM获取签约数据。网络侧经过一系列鉴权、授权操作，最终确认允许UE接入网络。AMF响应UE注册请求，并向 UE下发相关策略信息，UE完成网络注册驻留。网络侧AMF维护UE的注册入网信息，对UE进行移动性管理。应理解，上述仅是示例性说明，关于UE注册入网的具体流程，本申请实施例不作限定。

UE完成注册入网后，可发起PDU会话建立请求，获取网络的PDU连接服务。作为示例性说明，以终端设备为UE为例，简单介绍通用的PDU会话建立流程。UE通过RAN发送PDU会话建立请求到AMF。基于UE的PDU会话建立请求，AMF选择SMF为UE提供会话服务，保存SMF与PDU会话的对应关系，并将PDU会话建立请求发送至SMF。SMF为UE选择相应UPF建立用户面传输路径，并为其分配IP地址。应理解，上述仅是示例性说明，关于UE获取网络的PDU连接服务的具体流程，本申请实施例不作限定。

在对UE进行PDU会话管理过程中，SMF通过N4接口与UPF交互，控制UPF创建、修改、删除相应的UE N4会话(session)(N4 session或报文转发控制协议(packet forwarding control protocol，PFCP)session)，实现对UPF处理数据报文的控制。SMF对UPF内的UE N4会话下发各类数据包处理规则，完成对UPF处理数据包的控制。UPF收到外部数据报文后，根据SMF下发的匹配规则(如包检测规则(packet detection rule，PDR))进行报文匹配，根据转发规则(如转发动作规则(forwarding action rule，FAR))转发报文。关于匹配、转发规则，下文详细描述。

为便于理解，下面对PDR、FAR进行简单介绍。

PDR可以由SMF进行PDU会话管理过程中下发给UPF，UPF根据SMF下发的PDR执行对应的数据包匹配规则，并由此获得对应的FAR完成数据包转发。一个PDR内可以包含一个包探测信息(packet detection information，PDI)参数，PDI参数包含一个或若干个匹配字段，用于与UPF收到的数据报文进行匹配，识别报文，完成数据报文与N4会话的关联。SMF向UPF提供的PDI信息主要包括数据报文入口(即源端口(source interface))和对入口报文进行匹配的一系列参数。其中，对入口报文进行匹配的一系列参数，例如可以包括但不限于：隧道端点(如本地全称隧道端点标识(fully qualified tunnel endpoint identifier，F-TEID)(Local F-TEID))，网络实例(network instance)，UE IP地址，业务数据流(service data flow，SDF)过滤器(SDF Filter(s))或应用ID(application ID)等。

UPF收到一个数据报文后，将数据报文头各字段与PDR内PDI定义的参数项进行匹配，找到报文归属的N4会话以及N4会话内与数据报文具有最高优先级匹配关系的PDR规则，完成报文匹配。完成PDR匹配后，PDR规则包含相应的FAR指示，UPF将根据FAR指示完成数据报文转发。

FAR主要通过如下信息指示UPF进行数据报文处理：应用动作参数(apply action parameter)和转发、缓存、复制参数。其中，应用动作参数主要用于指示UPF是否需要对报文进行转发、复制、丢弃，或以通知或不通知控制面(如SMF)的方式缓存下行报文，或指示UPF是否允许UE加入IP组播组。当应用动作指示UPF对数据包进行转发、缓存或复制时，UPF需要使用转发、缓存、复制参数。

2、用户面管理，匹配、转发规则。

SMF可通过N4接口向UPF下发各类数据包处理规则，控制UPF对数据包的处理。其中，PDR用于对数据包进行匹配，FAR用于指示报文转发方式。关于UPF对数据包处理的流程，可以参考协议中的定义(如可参考标准3GPP 29.244)。外部数据报文进入UPF， UPF根据PDR匹配条件匹配N4会话信息(N4 session/PFCP session)，然后再在N4会话中匹配优先级最高的PDR，根据其对应的FAR完成数据包转发。

作为示例性说明，图3示出了适用于本申请实施例的数据包转发的一示意图。

如图3所示，上下行数据进入UPF接口，UPF根据规则匹配完成数据包转发流程，具体如下。

(1)上行流(uplink traffic)：UE上行报文通过RAN到达N3接口，通过匹配数据报文源端口、隧道标识(如F-TEID)获得源UE N4会话，根据业务数据流过滤器(SDF)进行PDR匹配，相应的FAR转发规则指示如何转发报文。图3所示为将UE上行报文通过N6接口转发到DN网络侧。

(2)下行流(downlink traffic)：DN下行报文通过N6接口进入UPF，通过匹配数据报文源端口、网络实例、目的IP地址匹配目的UE N4会话及PDR规则，相应的FAR转发规则报文指示如何转发报文。图3所示为将DN下行报文通过N3接口转发到UE。

应理解，上述仅是示例性说明，关于数据包的具体转发流程，本申请实施例不作限定。

3、5G局域网(5G local area network，5G LAN)数据面架构。

作为示例而非限定，本申请提供的技术方案可以应用于5G LAN中的通信。局域网(local area network，LAN)是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机，外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个大范围的信息处理系统。

随着新兴企业办公模式及智能居家模式的出现，有线局域网和无线局域网(wireless local access network，WLAN)显现了其在部署复杂、灵活性、移动性、覆盖范围等方面的不足，这促使局域网技术再发展以适应未来应用对LAN的需求。利用移动网络其本身的广覆盖特点，来直接提供LAN服务，可称之为5G LAN。5G LAN可以在更广泛的移动网络覆盖范围内使用，即无论终端设备是否在同一地域，只要加入同一5G LAN，即可实现基于LAN的数据交换和通信。利用已经广覆盖的移动网络，5G LAN服务的创建及其伸缩迁移调整均可由移动网络自动完成，不需要人工干预。此外，5G LAN可按需定制，不同5G LAN间互相安全隔离。

移动网络通过5G LAN服务为终端设备构建一个虚拟移动专网。终端设备通过建立传统的PDU连接，可以解决终端设备与DN之间的数据交换问题。5G LAN在传统PDU连接的基础上，增加了组(group)的概念，如记为5G LAN group。归属于同一个5G LAN group的终端设备既能与该5G LAN group对应的DN完成数据交换，又能通过UPF直接同该5G LAN group内的其他终端设备完成数据交换，两个5G LAN group之间的终端设备相互隔离。通过5G LAN可实现虚拟专网通信。移动网络内可同时支持多个5G LAN group,同一个5G LAN group下的终端设备可相互通信，不同5G LAN group下的终端设备之间可相互隔离。

作为示例性说明，图4和图5示出了适用于本申请实施例的5G LAN group中终端设备数据交互的用户面架构示意图。

如图4所示，图4为同一个5G LAN group下的多个UE注册在同一个PDU会话锚点(PDU session anchor，PSA)UPF的用户面架构。一般地，根据UE访问的DN不同，网络可以根据网络策略选择接入DN的UPF作为锚点(anchor)，如记为PSA。以UE1和UE2归属于同一个5G LAN group为例，在图4所示架构下，PSA UPF除为UE1、UE2完成与DN的数据交换之外，由于UE1、UE2归属于同一个5G LAN group，PSA UPF还可作为5G LAN group的本地交换(local switch)完成UE1与UE2之间的数据交换。

如图5所示，图5为同一个5G LAN group下的多个UE注册在多个PSA UPF的用户面架构。以UE1和UE2归属于同一个5G LAN group为例，在图5所示架构下，PSA UPF之间增加了N19接口，归属于同一个5G LAN group的UE1、UE2在进行数据交换时，可将由其对应的PSA UPF通过N19通道完成数据的传输。

应理解，上述图4和图5仅是两种示例，对此不作限定。

4、5G LAN数据面匹配、转发规则。

5G LAN场景下，网络侧在UPF内部可采用两次匹配、转发模型。作为示例性说明，图6和图7示出了适用于本申请实施例的5G LAN场景UPF转发的示意图。

图6示出了5G LAN场景UPF转发模型，如图6所示，5G LAN场景UPF转发模型可以包括如下特点。

(1)UPF内部增加5G虚拟网络(5G virtual network，5G VN)内部(internal)接口(如记为5G VN Internal)，在PDU会话基础上增加了组N4会话(group-level N4 session)，UPF之间增加N19接口。

(2)根据UPF收到的用户业务数据包目的地址的不同，报文可能在UPF进行本地交互发到同UPF内的目的UE，可能经过N6接口发送到DN网络侧设备，也可能经过N19发送到其他UPF上。

图7示出了5G LAN场景UPF转发过程，如图7所示，5G LAN同组内数据报文匹配转发过程如下。5G LAN服务中，将使用专有通信的一组终端设备集合记为5G VN组(5G VN group)。

一可能场景，多个UE属于同一个5G VN group，且该多个UE均在同一个PSA UPF下。

在该场景下，UPF采用本地交换完成组内UE之间的数据交换。具体过程例如为：UPF通过N3接口收到源UE发往目的UE的数据报文，经过第一次PDR匹配后(基于报文通用分组无线业务(general packet radio service，GPRS)用户面隧道协议(GPRS tunnelling protocol user plane，GTP-U)报文头完成匹配)获得源UE N4会话。对应的FAR指示将报文转发到5G VN Internal进入第二次PDR匹配(基于报文目的IP完成匹配)获得目的UE N4会话，对应的FAR指示将报文通过N3口转发到目的UE。如图7所示，假设源UE为UE1，目标UE为UE2，UPF通过N3接口收到UE1发往UE2的数据报文，经过第一次PDR匹配后获得UE1N4会话。对应的FAR指示将报文转发到5G VN Internal进入第二次PDR匹配获得UE2N4会话，对应的FAR指示将报文通过N3口转发到UE2。

又一可能场景，同一个5G VN group内的两个相互通信的UE不在同一个PSA UPF下。

在该场景下，可以通过N19接口完成数据接口。具体过程例如为：SMF在涉及到的PSA UPF上为该5G LAN group创建对应的组级别的N4会话，以启用N9转发和N6转发能力。当报文经过第一次匹配转发到UPF 5G VN Internal后，经过PDR规则匹配(基于目的IP或条件为匹配所有(match-all)的默认规则等)最终可能匹配到组N4会话，对应的FAR指示报文通过N6发送到DN网络侧设备或通过N19发送到目的UE所在UPF上。如图7所示，假设源UE为UE1，目标UE为UE4，SMF在涉及到的PSA UPF上为该5G LAN group创建对应的组级别的N4会话，以启用N9转发和N6转发能力。当报文经过第一次匹配转发到UPF 5G VN Internal后，经过PDR规则匹配最终可能匹配到组N4会话(N4session for group)，对应的FAR指示报文通过N19发送到UE4所在UPF上。

上述结合两种场景进行了示例性说明，对此不作限定。

5G网络存在多个5G VN group的场景下，对于5G VN Internal报文，N4会话内的匹配、转发规则属性字段网络实例被赋值为5G VN group唯一标识符(如使用内部组标识(internal group ID))，用于指示该报文归属于指定的5G VN group。例如，对于目的接口被设置为5G VN Internal的FAR，其网络实例也相应的被设置为指定的5G VN group。又如，对于源接口被设置为5G VN group的PDR，其网络实例也相应的被设置为指定的5G VN group。

5、5G VN group管理。

5G系统支持通过操作维护管理(operation administration and maintenance，OAM)管理5G VN group，也支持通过AF与NEF交互完成5G VN group管理。5G VN group的管理主要包括创建、修改、删除5G VN group等。一个5G VN group可以包括但不限于以下一项或多项：5G VN group标识符、5G VN group成员关系、5G VN group数据。

(1)5G VN group标识符。5G VN group的标识包括外部组标识(external group ID)和internal group ID。其中，external group ID可由AF侧定义，唯一标识一个5G VN group。internal group ID可由移动网络侧UDM网元定义，在网络内部唯一标识一个5G VN group。external group ID到internal group ID的映射关系可在AF创建5G VN group时，由UDM自动生成internal group ID，并完成internal group ID与external group ID的映射。

(2)5G VN group成员关系。归属于同一个5G VN group的UE成员列表。每个成员通过其通用公共订阅标识(generic public subscription identifier，GPSI)唯一标识。

(3)5G VN group数据。5G VN group数据包含若干属性字段，用于定义一个5G VN group各个方面的参数，如：PDU会话类型、数据网络信息(如DNN)、切片信息(如网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI))，应用描述符(application descriptor)等。此外，5G VN group数据还可包含二次鉴权/授权相关的信息，如使能认证、授权、计费(authentication，authorization,and accounting，AAA)服务器(server)(如记为DN-AAA)进行IP地址分配等。

为了支持动态管理5G VN group，能力开放网元NEF对外开放了一系列接口(如：创建、修改、删除等)用于完成5G VN group、5G VN group成员以及5G VN group数据的管理。

6、能力开放。

为实现应用功能实体与运营商网络的协同处理，运营商网络通过NEF向应用功能实体开放部分网络能力，以支撑应用功能实体对用户实现更灵活的控制。当前支持开放的能力包括：允许AF通过NEF向网络侧订阅用户位置、终端可达性事件、连接状态、漫游状态、区域内终端数量等事件信息，以及通过NEF经由UDM或UDR或PCF向网络侧配置下发参数配置请求、应用路由请求、业务授权请求等消息。此处结合5G LAN组管理场景，简单介绍AF通过网络能力开放进行5G VN group管理流程。

作为示例性说明，图8示出了AF配置管理5G VN group的示意图。

如图8所示，针对5G VN group管理场景，其过程如下。

(1)AF调用NEF开放的接口，实现对5G VN group的管理。

示例地，AF调用NEF开放的Nnef_ParameterProvision_Create/Update/Delete，实现对5G VN group的管理。其中，Nnef接口为NEF对外提供的服务化接口。

例如，AF可以向NEF发送Nnef接口参数准备创建(Nnef_ParameterProvision_Create)消息，以创建5G VN group。对于创建5G VN group的请求，AF可以携带external group ID用于唯一标识一个5G VN group。

又如，AF可以向NEF发送Nnef接口参数准备更新(Nnef_ParameterProvision_Update)消息，以更新或者说修改5G VN group。对于更新5G VN group请求，AF携带的信息可包含如下信息：external group ID和5G VN Group数据(即5G VN配置参数)(如表1所示)，或者，可以包含5G VN group成员管理参数(如表2所示)。

又如，AF可以向NEF发送Nnef接口参数准备删除(Nnef_ParameterProvision_Delete)消息，以要求NEF删除5G VN group。

表1. AF提供给NEF的5G VN group数据信息

表2. 5G VN group成员管理参数

应理解，表1和表2仅是为便于理解做的示例性说明，对此不作限定。例如，关于5G VN group数据信息和5G VN group成员管理参数可以参考标准中的定义，或者在未来当对5G VN group数据信息或者5G VN group成员管理参数进行了调整，调整后的5G VN group数据信息和5G VN group成员管理参数也适用于本申请实施例。

(2)NEF根据AF的请求，请求UDM创建、更新、存储或删除对应的签约数据。

NEF收到已授权的AF请求后，NEF通过UDM提供的Nudm_ParameterProvision_Create/Update/Delete接口，请求UDM创建、更新、存储或删除对应的签约数据。其中，Nudm接口为UDM对外提供的服务化接口。

对于未授权的AF请求，NEF可直接通过第(6)步向AF返回响应，并告知失败原因。

(3)UDM发起数据查询。

UDM可通过UDR提供的Uudr_DM_Query接口发起数据查询，以完成对AF相应更新请求的相关检验与授权。

(4)UDM根据请求，进行处理。

例如，对于创建5G VN group请求，UDM为该请求分配一个internal group ID用于在移动网络内部唯一标识该5G VN group。UDM还可以通过UDR提供的Nudr_DM_Create接口将internal group ID发送给UDR。

又如，对于更新5G VN group请求，如5G VN group成员变更、5G VN group数据变动，UDM可根据AF请求，调用UDR提供的接口完成相应的信息变更。

对向UDM订阅了签约信息变更通知的网元，当对应的签约数据发生变更时，UDM将通知响应的网元。

(5)UDM向NEF发送响应。

即UDM响应NEF发送的Nudm_ParameterProvision_Create/Update/Delete请求。如果流程有错，则返回错误原因。

(6)NEF向AF发送响应。

即NEF响应AF发送的Nnef_ParameterProvision_Create/Update/Delete请求。如果流程有错，则返回错误原因。

应理解，上述仅是示例性说明，关于5G VN group的管理，本申请实施例不作限定。

上文为便于理解，简单介绍了本申请中涉及的术语，应理解，关于各个术语具体的含义，本申请实施例不作限定。例如，可以参考现有技术。

如前所述，在当前5G LAN技术中，通过5G VN group可以实现移动网络内通信设备的虚拟局域网互通。在设备互通安全方面，仅定义了以太网(Ethernet)场景下客户接入设备(customer provided equipment，CPE)或UE允许接入的设备媒体接入控制(medium access control，MAC)地址白名单。对于5G VN group内设备的互通权限没有做进一步的定义，缺少安全访问控制机制。

有鉴于此，本申请提供一种方法，即基于安全组的网络访问控制方法，如在5G LAN网络内基于安全组的网络访问控制。具体地，例如可以通过定义多个安全组，并分别配置安全组之间的通信策略(或者也可以说访问策略)，网络中的通信设备(如5G VN group 内的通信设备)分别加入相应的安全组，从而可以实现通信设备按组粒度进行访问控制。

下面将结合附图详细说明本申请提供的各个实施例。

图9是本申请实施例提供的一种安全通信的方法900的示意性交互图。方法900可以包括如下步骤。

910，接收第一通信设备发送给第二通信设备的业务数据的信息。

920，获取第一安全组与第二安全组之间的通信策略，第一安全组为第一通信设备对应的安全组，第二安全组为第二通信设备对应的安全组。

930，根据第一安全组与第二安全组之间的通信策略，为业务数据制定转发规则。

其中，第一通信设备和第二通信设备为同一个VN组内的设备，VN组中包括多个安全组，多个安全组包括第一安全组和第二安全组。

在本申请实施例中，为VN组创建多个安全组，任两个安全组之间具有通信策略，通信策略用于控制两个安全组对应的通信设备之间的安全通信。

第一安全组为第一通信设备对应的安全组，也可以理解为，第一安全组为源地址对应的安全组，或者说第一安全组为源地址所属的安全组。第二安全组为第二通信设备对应的安全组，也可以理解为，第二安全组为目的地址对应的安全组，或者说第二安全组为目的地址所属的安全组。地址，例如可以是MAC地址或者IP地址等等，对此不作限定。

在本申请实施例中，确定第一通信设备对应的安全组和第二通信设备对应的安全组之间的通信策略，或者说，确定业务数据的源地址归属的安全组与目的地址归属的安全组之间的通信策略，根据该通信策略来制定业务数据的转发规则，不仅可以提高设备之间通信的安全性，还可以便于管理。

在本申请实施例中，多次提及通信策略，通信策略，即表示通信的策略。在本申请实施例中，通信策略可以表示两个安全组之间通信的策略，或者也可以表示属于两个安全组内的设备或者地址之间通信的策略。

一种可能的设计，通信策略例如可以包括：允许通信(或者说允许访问)和禁止通信(或者说禁止访问)两种。当两个安全组之间的通信策略为允许通信(或者说允许访问)时，表示两个安全组之间可以相互通信或者说相互传输数据；当两个安全组之间的通信策略为禁止通信(或者说禁止访问)时，表示两个安全组之间可以禁止传输数据。

应理解，允许通信(或者说允许访问)和禁止通信(或者说禁止访问)仅是两种简单的通信策略，对此不作限定。只要定义了两个安全组之间相同通信的策略，都落入本申请实施例保护的范围。

还应理解，通信策略，例如也可以称为安全组策略，或者可以称为访问策略，或者可以称为访问权限，或者可以称为传输策略，等等，其命名不对本申请实施例的保护范围造成限定。

在本申请实施例中，多次提及制定转发规则，本领域技术人员应理解其含义。转发规则可以指示数据或报文的转发路径，或者在有些情况下，转发规则还可以指示丢弃数据或报文。

以第一安全组和第二安全组为例，假设第一安全组对应的通信设备向第二安全组对应的通信设备发送业务数据。作为示例，第一安全组和第二安全组之间的通信策略为允许通信的情况下，为该业务数据制定的转发规则可以用于指示该业务数据的转发路径；第一安全组和第二安全组之间的通信策略为禁止通信的情况下，为该业务数据制定的转发规则可以用于指示丢弃该业务数据。

以第一网元执行方法900为例，结合第一网元的不同形式，下面介绍适用于本申请实施例的两种可能的方案。

方案1，第一网元为SMF，即由SMF执行安全组策略。

基于该方案1，SMF获取第一安全组与第二安全组之间的通信策略，并根据第一安全组与第二安全组之间的通信策略，为业务数据制定转发规则。

可选地，在该方案下，SMF向第二网元(如UPF)发送该业务数据的转发规则。第二网元(如UPF)接收到该业务数据的转发规则后，根据该业务数据的转发规则处理业务数据。

为便于理解，以允许通信和禁止通信为例。

一示例，第一安全组与第二安全组之间的通信策略为允许通信的情况下，SMF制定的业务数据的转发规则用于指示业务数据的转发路径，或者用于指示转发该业务数据。UPF接收到该业务数据的转发规则后，根据该转发规则，将业务数据发送给第二通信设备。

又一示例，第一安全组与第二安全组之间的通信策略为禁止通信的情况下，SMF制定的业务数据的转发规则用于指示丢弃该业务数据。UPF接收到该业务数据的转发规则后，根据该转发规则，丢弃或者忽略该业务数据。

可选地，SMF可以与UDM或DN-AAA交互，获取第一安全组与第二安全组之间的通信策略。

可选地，在该方案下，SMF还可以向第二网元(如UPF)发送指示信息，为区分，记为指示信息#1，该指示信息#1用于指示上报转发规则未知消息。这样，在第二网元(如UPF)收到转发规则未知的报文后，可以向SMF发送转发规则未知消息，以便SMF为该报文制定转发规则。

下文结合图13至图14所示的实施例，详细说明方案1。

方案2，第一网元为UPF，即由UPF执行安全组策略。

基于该方案2，UPF获取第一安全组与第二安全组之间的通信策略，并根据第一安全组与第二安全组之间的通信策略，确定该业务数据的转发规则。

可选地，在该方案下，UPF根据第一安全组与第二安全组之间的通信策略，确定该业务数据的转发规则，并根据该业务数据的转发规则处理业务数据。

为便于理解，以允许通信和禁止通信为例。

一示例，第一安全组与第二安全组之间的通信策略为允许通信的情况下，UPF将业务数据发送给第二通信设备。

又一示例，第一安全组与第二安全组之间的通信策略为禁止通信的情况下，UPF丢弃或者忽略该业务数据。

可选地，UPF可以本地读取第一安全组与第二安全组之间的通信策略，或者，UPF也可以从SMF处获取第一安全组与第二安全组之间的通信策略。

下文结合图15至图16所示的实施例，详细说明方案2。

上文简单介绍了两种可能的方案，下文结合图13至图16详细介绍。

可选地，第一网元可以判断是否存在第一安全组和第二安全组。

一可能的情况，第一网元判断存在第一安全组和第二安全组。在该情况下，第一网元可以根据第一安全组与第二安全组之间的通信策略，制定该业务数据的转发规则。

又一可能的情况，第一网元判断不存在第一安全组和/或第二安全组。在该情况下，第一网元可以根据业务数据的源地址和/或目的地址，制定该业务数据的转发规则。例如，业务数据的目的地址所属网段在DN侧，且不存在第二安全组，那么，当存在第一安全组的情况下，UPF向业务数据的目的地址转发业务数据，或，SMF向UPF发送业务数据的转发规则，业务数据的转发规则用于指示转发该业务数据；或者，当不存在第一安全组的情况下，UPF丢弃业务数据，或，SMF向UPF发送业务数据的转发规则，业务数据的转发规则用于指示丢弃业务数据。具体地，下文结合图15至图16所示实施例中的不同情况进行介绍。

可选地，在本申请实施例中，还提出了可以及时更新安全组，从而不仅可以提高资源利用率，还可以保证数据传输性能。

触发更新安全组的条件可以根据实际通信情况进行设置，对此不作限定。

一可能的触发条件，终端设备会话释放。

例如，终端设备会话释放，可以触发SMF向UPF发送指示，指示删除终端设备对应的全部转发规则。又如，终端设备会话释放，可以触发SMF向UPF发送指示，指示删除终端设备对应的安全组信息。

又一可能的触发条件，UPF学习到的地址老化。

例如，UPF学习到的地址老化，可以触发UPF删除该地址对应的全部转发规则。又如，UPF学习到的地址老化，可以触发UPF删除该地址所属的安全组信息。

又一可能的触发条件，SMF主动删除。

例如，SMF可以周期性地向UPF发送指示，指示删除指定地址的全部转发规则，或者指示删除指定地址所属的安全组信息。

上述几种可能的触发条件，仅是示例性说明，对此不作限定。

下文结合图17至图18所示实施例中详细介绍上述几种可能的触发条件。

图10是本申请实施例提供的一种安全通信的方法1000的示意性交互图。方法1000可以包括如下步骤。

1010，第三网元接收来自第四网元的第一请求消息，该第一请求消息用于请求为VN组创建安全组。

1020，第三网元基于第一请求消息，为VN组创建多个安全组。

其中，VN组中包括多个安全组，每个安全组对应一个或多个通信设备，多个安全组包括第一安全组，第一安全组和多个安全组中的其它安全组之间具有通信策略，通信策略用于控制第一安全组对应的通信设备与其它安全组对应的通信设备之间的通信。以多个安全组中的第二安全组为例。第一安全组和第二安全组之间具有通信策略，通信策略用于控制第一安全组对应的通信设备与第二安全组对应的通信设备之间的安全通信。

基于本申请实施例，在VN组中定义多个安全组，并且分别配置安全组之间的通信策略，网络中的通信设备(如VN组内的通信设备)分别加入相应的安全组，从而可以实现通信设备按组粒度进行访问控制。这样，不仅可以提高设备之间通信的安全性，还可以便于管理。

作为示例，第三网元例如可以为NEF，第四网元例如可以为AF。示例地，第三网元还可以向第五网元发送请求，以请求更新VN组签约数据。例如，第五网元为UDM/UDR，第三网元向UDM/UDR发送请求，以请求更新VN组签约数据。

应理解，关于第三网元、第四网元的具体形式，本申请实施例不作限定。

第一请求消息用于请求创建安全组。该第一请求消息中可以包括与待创建的安全组相关的信息。作为示例而非限定，第一请求消息中还可以包括以下一项或多项信息：待创建的安全组所属的VN组的外部标识、待创建的安全组对应的数据网络、待创建的安全组的标识、待创建的安全组的名称、待创建的安全组之间的通信策略。

示例1，第一请求消息中包括：待创建的安全组所属的VN组的外部标识。

在该示例下，第三网元可以根据该待创建的安全组所属的VN组的外部标识，确定需要为该VN组创建安全组，或者说确定创建的安全组所属的VN组。

在该示例下，关于如何获取安全组的具体信息不作限定。

例如，安全组的数量、安全组的名称等，可以是根据默认规则确定的。如默认在一个VN组中创建P个安全组(P为大于1的整数)，该P个安全组可以是按顺序编号，如安全组1，安全组2，安全组3，等等。

又如，安全组之间的通信策略可以是默认的。作为示例而非限定，可以预先约定或默认不同安全组之间不允许通信，同一安全组之间可以通信。

又如，第一请求消息中可以包括待创建的安全组的具体信息。如待创建的安全组对应的数据网络、待创建的安全组的标识、待创建的安全组的名称、待创建的安全组之间的通信策略。

示例2，第一请求消息中包括：待创建的安全组对应的数据网络。

在该示例下，第三网元根据该待创建的安全组对应的数据网络，可以确定待创建的安全组所属的归属的数据网络。

在该示例下，关于获取安全组的具体信息，可以参考示例1中的描述。

在该示例下，关于VN组的信息，可以是通过数据网络的信息查找，或者也可以是预先约定的，如预先约定为某个或某些特定VN组创建安全组。或者，也可以是第一请求消息中携带该VN组的信息。

在该示例下，关于安全组的具体信息，如安全组的数量、安全组的名称等，可以参考示例1中的描述。

示例3，第一请求消息中包括：待创建的安全组的标识或名称。

在该示例下，第三网元根据该待创建的安全组的标识或名称，可以确定创建哪些安全组。

在该示例下，关于获取安全组的其他信息，如安全组之间的通信策略，可以参考示例1中的描述。

在该示例下，关于VN组的信息，可以参考示例2中的描述。

示例4，第一请求消息中包括：待创建的安全组之间的通信策略。

在该示例下，第三网元根据该待创建的安全组之间的通信策略，可以确定创建哪些安全组，以及安全组之间的通信策略。

在该示例下，关于VN组的信息，可以参考示例2中的描述。

应理解，上述几种示例仅是示例性说明，对此不作限定，任何可以使得第三网元获取到与待创建的安全组相关的信息的方式，都适用于本申请实施例。

可选地，第三网元还可以接收来自第四网元的第二请求消息，第二请求消息用于请求为安全组添加一个或多个通信设备。

可以理解，该第二请求消息用于请求为安全组添加设备成员。该第二请求消息中可以包括与待添加设备的安全组相关的信息。作为示例而非限定，第二请求消息中包括以下一项或多项信息：待添加设备的安全组对应的数据网络、待添加设备的安全组所属的VN组的外部标识、待添加设备的安全组的标识、待添加设备的安全组的名称、待添加的通信设备的信息。

示例1，第二请求消息中包括：待添加设备的安全组所属的VN组的外部标识。

在该示例下，第三网元可以根据该待添加设备的安全组所属的VN组的外部标识，确定需要为该VN组中的安全组添加设备成员(即通信设备)，或者说确定要添加设备成员的安全组所属的VN组。

在该示例下，关于如何获取待添加的通信设备的具体信息不作限定。

例如，待添加的通信设备的数量等，可以是根据默认规则确定的。如默认在每个安全组中添加L个通信设备(L为大于1或等于1的整数)。

又如，第二请求消息中可以包括待添加的通信设备的相关信息。

示例2，第二请求消息中包括：待添加设备的安全组的标识或名称。

在该示例下，第三网元根据该待创建的安全组的标识或名称，可以确定在哪些安全组中添加通信设备。

在该示例下，关于获取待添加的通信设备的具体信息，可以参考示例1中的描述。

示例3，第二请求消息中包括：待添加的通信设备的信息。

在该示例下，第三网元根据待添加的通信设备，可以确定添加哪些通信设备。

在该示例下，关于在哪些安全组中添加通信设备不作限定。

例如，可以默认在某些安全组中添加通信设备。如默认在安全组标识最小的安全组中添加第二请求消息中的通信设备。或者，默认按照安全组标识顺序，依次在多个安全组中添加相同数量的通信设备，等等。

应理解，上述几种示例仅是示例性说明，对此不作限定，任何可以使得第三网元获取到与待添加的通信设备的相关的信息的方式，都适用于本申请实施例。

下面将结合图11和图12，详细说明可适用于方法1000的具体流程。

为便于理解，以通信策略记为安全组策略，且安全组策略包括允许访问和禁止访问，为例，结合图11至图18介绍可能的具体流程进行示例性说明。应理解，下文中的VN组(VN group)可以是用于5G中的VN组，如下文中的VN组均可以替换为5G VN组。

首先，结合图11至图12介绍适用于本申请实施例的方法1000的可能的流程。

图11是适用于本申请实施例的安全通信的一示意性流程图。

如图11所示，方法1100主要以AF、NEF、UDM或UDR之间的交互为例进行示例性说明。在方法1100中，第三网元例如可以为NEF，第四网元例如可以为AF。作为示例而非限定，图11所示的方法1100可以用于创建安全组的流程。图11所示的方法1100可以包括如下步骤。

1110，AF向NEF请求创建安全组。

AF可以调用NEF接口，通过NEF提供的能力开放接口向网络侧配置VN组安全组。例如，AF可以通过NEF向移动运营商网络提供安全组信息，以便创建VN组安全组。

示例地，AF可以向NEF提供以下一项或多项信息，以便创建安全组：DNN、external group ID、安全组列表、安全组策略列表。表3示例地列出了各项信息。

表3. AF提供给NEF的安全组信息

其中，安全组列表每个表项可以包括如表4所示的参数，即安全组列表中可以包括但不限于：安全组标识(VN组内安全组唯一标识)和/或安全组名称。

安全组策略列表每个表项可以包括如表5所示的参数，即安全组策略列表中可以包括但不限于：安全组标识，和/或，安全组之间的访问权限(指示两个安全组之间是否可用互访)。

应理解，表5中的第一安全组和第二安全组，仅是为区分不同安全组做的命名，其名称不对本申请实施例的保护范围造成限定。还应理解，表5中以两个安全组为例进行了示例性说明，关于安全组的数量，本申请实施例不作限定。还应理解，表5以安全组标识来指示安全组，对此不作限定，例如可以是通过安全组名称来指示安全组。

表4.安全组列表

安全组列表	description
security group ID	安全组标识
security group name	安全组名称

表5.安全组策略列表

安全组策略列表	description
first security group ID	第一安全组标识
second security group ID	第二安全组标识
permission	权限，允许访问或禁止访问

1120，NEF向UDM/UDR请求添加安全组信息。

NEF接收到来自AF的安全组信息后，可以向UDM/UDR发送请求，将安全组信息配置保存到VN组签约数据中。UDM/UDR接收到安全组信息后，可以修改VN组签约数据，为VN组添加安全组信息。

基于上述方案，AF可以通过NEF提供的能力开放接口向网络侧配置VN组的安全组。

图12是适用于本申请实施例的安全通信的另一示意性流程图。

如图12所示，方法1200主要以AF、NEF、UDM或UDR之间的交互为例进行示例性说明。在方法1200中，第三网元例如可以为NEF，第四网元例如可以为AF。作为示例而非限定，图12所示的方法1200可以用于安全组添加设备成员的流程。图12所示的方法1200可以包括如下步骤。

1210，AF向NEF请求为安全组添加设备成员。

AF可以调用NEF接口，为指定安全组添加设备成员。例如，AF通过NEF向移动运营商网络提供安全组成员信息，以便为指定安全组添加设备成员。

示例地，AF可以向NEF提供以下一项或多项信息，以便添加设备成员：DNN、external group ID、安全组ID、设备成员列表。表6示例地列出了各项信息。

表6. AF提供给NEF的安全组成员信息

其中，设备成员列表每个表项可以包括如表7所示的参数，即设备成员列表中可以包括但不限于以下一项或多项：GPSI、MAC地址(MAC address)、IP地址(IP address)。一般地，MAC address和IP address可以选择一个。

表7.设备成员列表

设备成员列表	description
GPSI	指示设备成员归属的终端设备
MAC address	指示设备成员的MAC地址
IP address	指示设备成员的IP地址

应理解，表7仅是一种示例性说明，对此不作限定，任何属于表7的变形，都落入本申请实施例的保护范围。例如，任何可以指示设备成员归属的终端设备的方式都适用于本申请实施例。

1220，NEF向UDM/UDR请求安全组添加成员列表。

NEF接收到来自AF的安全组成员信息后，可以向UDM/UDR发送请求，将安全组设备成员信息配置保存到VN组签约数据中。UDM/UDR接收到安全组成员信息后，可以修改VN组签约数据，添加成员列表。

下面以MAC地址为例，列举一具体应用。

表8.安全组应用举例

如表8示例所示，通过安全组管理及成员管理定义了安全组、安全组策略以及安全组内成员信息。MAC1、MAC4归属于安全组1，MAC2归属于安全组2，MAC3归属于安全组3；安全组1与安全组2之间允许通信，安全组1与安全组3禁止通通信，安全组2与安全组3允许通信，同一安全组内的成员默认允许通信。当MAC1向MAC2发送通信报文时通信被允许，MAC1向MAC3发送报文时通信被禁止，MAC1向MAC4发送报文时通信被允许。

基于上述方案，安全组成员管理定义VN组下通信设备MAC/IP归属的安全组。通信设备的安全组归属信息可保存在DN-AAA上，或者可以通过AF调用NEF配置到网络侧。当通信设备的安全组归属信息保存在DN-AAA上时，安全组成员管理可以由DN侧维护，在通信设备发起通信时，网络侧与DN-AAA交互获取设备归属的安全组信息，完成设备的通信权限控制。

下面，结合图13至图16介绍适用于本申请实施例的方法900的可能的流程。

图13是适用于本申请一实施例的安全组策略执行的一示意性流程图。

如图13所示，方法1300主要以设备、CPE/UE、RAN、AMF、SMF、UDM、DN-AAA、UPF、DN之间的交互为例进行示例性说明。在方法1300中，第一网元例如为SMF，第二网元例如为UPF。作为示例而非限定，图13所示的方法1300可以用于PDU会话类型为IP场景，通过SMF执行VN组的安全组策略，即SMF基于安全组策略制定转发规则，完成通信设备报文互通控制的流程。图13所示的方法1300可以包括如下步骤。

1310，SMF创建VN组会话。

关于触发SMF创建VN组会话的条件，本申请实施例不作限定。例如，对于5G LAN场景，完成5G LAN网络侧配置后，5G LAN终端(如CPE/UE)入网触发SMF创建5G VN组会话。作为示例而非限定，创建5G VN组会话的方式如步骤1311至1313。

1311，SMF向UDM请求5G VN组会话签约信息。

1312，UDM向SMF返回5G VN组会话签约信息。

其中，5G VN组会话签约信息中可以包括为5G VN组配置的安全组信息。配置的安全组信息，例如可以包括：配置的安全组(如安全组标识/名称等)、以及安全组策略。

1313，完成5G VN组会话创建。

SMF完成5G VN组会话创建，并在5G VN组会话中保存对应的安全组信息，如安全组列表(如安全组标识/名称等)和安全组策略信息。

应理解，上述仅是示例性说明，关于创建VN组会话的具体方式，本申请实施例不作限定。例如可以参考现有方式，或者未来任何可以实现创建VN组会话的方式都适用于本申请实施例。

1320，创建VN下的UE会话。

如前所述，VN下的UE可以建立一个或多个PDU会话，进而UE可以通过UE到DN之间建立的PDU会话，来访问DN。例如，UE可以通过UE到DN之间建立的PDU会话，通过UPF与DN之间交换业务数据报文。

应理解，上述步骤1310和步骤1320，并没有严格的先后顺序。例如，步骤1310和步骤1320可以同步进行。

示例地，UE发起PDU会话建立请求，SMF为会话选择UPF，即SMF选择择为该UE提供报文转发功能的UPF。

当该UPF还未建立VN组会话时，SMF可以先为该UPF建立VN组会话，当完成VN组会话创建后，SMF可以继续为UE创建PDU会话。或者当该UPF已建立VN组会话时，SMF为UE创建PDU会话。可以理解，SMF可以为每个UPF创建一个VN组会话。

应理解，上述仅是示例性说明，关于创建VN组会话的方式，以及创建UE会话的方式，可以参考现有流程，或者未来任何可以实现创建VN组会话、以及创建UE会话的方式都适用于本申请实施例。

1330，UPF收到业务数据报文，对源地址、目的地址进行规则匹配。

例如，UPF收到的业务数据报文可能是CPE/UE或者设备发送的上行数据包，或者也可能是DN侧网络发送的下行数据包，对此不作限定。UPF收到业务数据报文，可以通过对业务数据报文的源地址和目的地址进行规则匹配，以确定如何处理该业务数据报文。

UPF对业务数据报文的源地址和目的地址进行规则匹配，如果匹配失败，则执行图13(1)中的步骤1330a；如果匹配成功，则执行图13(2)中的步骤1330b，即根据匹配的转发规则对业务数据报文进行转发或丢弃。

步骤1330b：匹配成功的情况。UPF进行VN组会话匹配过程中，对业务数据报文的源地址和目的地址进行规则匹配，且匹配成功，那么可以根据匹配的转发规则对该业务数据报文进行转发或丢弃。关于具体的匹配以及转发，例如可以参考前面术语解释的内容，此处不再赘述。

下面结合图13(1)详细介绍步骤1330a。

步骤1330a：匹配失败的情况。如图13(1)所示，UPF收到业务数据报文，对业务数据报文的源地址和目的地址进行规则匹配失败的情况下，方法1300可以包括步骤1330a1和步骤1330a2。

1330a1，UPF向SMF上报报文转发规则未知消息。

该报文转发规则未知消息中例如可以包括但不限于以下一项或多项信息：DNN、VN组、源IP地址、目的IP地址、源IP地址所属的安全组。其中，DNN表示该消息归属的DNN。VN组表示该消息所属的VN组。源IP地址表示业务数据报文的源地址。目的IP 地址表示业务数据报文的目的地址。可选地，如果运营策略配置了DN侧下行隧道报文中携带源IP地址所属的安全组信息，则该报文未知转发规则消息中携带源IP地址所属的安全组的信息。

SMF根据接收到的上述信息，确定报文转发规则，即该业务数据报文的转发规则，并且向UPF下发该业务数据报文的转发规则。

1330a2，SMF向UPF下发报文转发规则。

也就是说，SMF向UPF下发该业务数据报文的转发规则，UPF根据该转发规则处理该业务数据报文。例如，报文转发规则包括转发该业务数据报文，那么UPF根据该报文转发规则，将该业务数据报文转发至目的地址。又如，报文转发规则包括丢弃该业务数据报文，那么UPF根据该报文转发规则，将该业务数据报文丢弃或者忽略。

下面结合不同情况详细介绍步骤1330a1和步骤1330a2。

情况1，在步骤1330a1中，UPF上报的报文转发规则未知消息中包括目的IP地址，且该目的IP地址为DN侧IP地址。

在该情况1下，SMF与UDM或DN-AAA交互，获取源IP地址所属的安全组信息。可选地，SMF还可以获取目的IP地址所属的安全组信息。

可选地，SMF可以判断是否存在源IP地址所属的安全组信息和目的IP地址所属的安全组信息，并且根据是否存在源IP地址所属的安全组信息和目的IP地址所属的安全组信息，确定是否执行安全组策略，即是否根据安全组策略来制定转发规则。

例如，如果SMF获取源IP地址所属的安全组和目的IP地址所属的安全组信息，那么SMF执行安全组策略检查。又如，如果SMF获取到目的IP地址所属的安全组信息，获取不到源IP地址所属的安全组，那么SMF缺少源IP地址归属的安全组信息，不对源IP地址和目的IP地址执行安全组策略检查。又如，如果SMF获取到源IP地址所属的安全组信息，获取不到目的IP地址所属的安全组，那么SMF缺少目的IP地址归属的安全组信息，不对源IP地址和目的IP地址执行安全组策略检查。

一可能的实现方式，安全组信息由移动运营商网络维护，SMF可以从UDM处获取源IP地址所属的安全组信息，即如果存在源IP地址所属的安全组，那么SMF与UDM交互可以获取到源IP地址所属的安全组信息。对于目的IP地址为DN侧地址的报文，UDM没有目的IP地址所属的安全组信息。因此，在该方式下，SMF不执行安全组策略。

又一可能的实现方式，安全组信息由DN-AAA维护，SMF可以从DN-AAA处获取源IP地址所属的安全组信息，即如果存在源IP地址所属的安全组，那么SMF与DN-AAA交互可以获取源IP地址所属的安全组信息。SMF是否通过DN-AAA获取目的IP地址所属的安全组信息，可以由运营商策略决定。

上述两种实现方式仅是示例性说明，对此不作限定。只要SMF可以获取到源IP地址所属的安全组信息或目的IP地址所属的安全组信息的方式，都适用于本申请实施例。

在该情况1下，结合两种场景说明步骤1330a2。

场景1，SMF对源IP地址和目的IP地址执行安全组策略检查。

如果SMF对源IP地址和目的IP地址执行安全组策略检查(如根据运营商策略，SMF对源IP地址和目的IP地址执行安全组策略检查)，则SMF根据获取到的源IP地址所属的安全组信息、目的IP地址所属的安全组信息，执行安全组策略，向UPF下发报文转发规则，允许或禁止报文发出。

可选地，如果报文允许发出，隧道报文可以携带源IP地址所属的安全组信息。通过携带该源IP地址所属的安全组信息，可以供DN网络应用安全策略。示例地，是否携带源IP地址所属的安全组信息可以由运营策略而定。

以表7为例进行示例性说明。例如，假设源IP地址所属的安全组为安全组1，目的IP地址所属的安全组为安全组2，那么SMF可以向UPF下发报文转发规则，允许该业务数据报文从UPF N6口发出。又如，假设源IP地址所属的安全组为安全组1，目的IP地址所属的安全组为安全组3，那么SMF可以向UPF下发报文转发规则，禁止该业务数据报文从UPF N6口发出。

场景2，SMF不对源IP地址和目的IP地址执行安全组策略检查。

如果SMF不对源IP地址和目的IP地址执行安全组策略检查(如根据运营商策略，SMF不对源IP地址和目的IP地址执行安全组策略检查)，那么一种可能的实现方式，SMF还可以根据源IP地址是否为合法地址，向UPF下发报文转发规则，允许或禁止报文发出。

示例地，SMF可以根据是否存在源IP地址的安全组信息，确定源IP地址是否为合法地址。

例如，当SMF获取到源IP地址的安全组信息的情况下，SMF可以确定源IP地址为合法地址。此时，SMF可以向UPF下发报文转发规则，允许报文发出，如允许报文从UPF N6口发出。

又如，当SMF查询不到源IP地址的安全组信息的情况下，SMF可以确定源IP地址不是合法地址。此时，SMF可以向UPF下发报文转发规则，禁止报文发出，如禁止报文从UPF N6口发出。

应理解，在上述场景2下，SMF判断源IP地址是否为合法地址仅是一种可能的实现方式，对此不作限定。例如，如果SMF不对源IP地址和目的IP地址执行安全组策略检查，那么也可以向UPF下发报文转发规则，禁止报文发出。

还应理解，情况1以UPF上报的报文转发规则未知消息中包括目的IP地址为例进行示例性说明，其并不限定该报文转发规则未知消息中只能包括目的IP地址，该报文转发规则未知消息中还可以包括其他信息，对此不作限定。

情况2，在步骤1330a1中，UPF上报的报文转发规则未知消息中包括源IP地址，且该源IP地址为DN侧IP地址。

在该情况2下，SMF与UDM或DN-AAA交互，获取目的IP地址所属的安全组信息。可选地，SMF还可以获取源IP地址所属的安全组信息。

可选地，SMF可以判断是否存在源IP地址所属的安全组信息和目的IP地址所属的安全组信息，并且根据是否存在源IP地址所属的安全组信息和目的IP地址所属的安全组信息，确定是否执行安全组策略。例如，如果SMF获取源IP地址所属的安全组和目的IP地址所属的安全组信息，那么SMF执行安全组策略检查。又如，如果SMF获取到目的IP地址所属的安全组信息，获取不到源IP地址所属的安全组，那么SMF缺少源IP地址归属的安全组信息，不对源IP地址和目的IP地址执行安全组策略检查。又如，如果SMF获取到源IP地址所属的安全组信息，获取不到目的IP地址所属的安全组，那么SMF缺少目的IP地址归属的安全组信息，不对源IP地址和目的IP地址执行安全组策略检查。

一可能的实现方式，安全组信息由移动运营商网络维护，SMF可以从UDM处获取目的IP地址所属的安全组信息，即如果存在目的IP地址所属的安全组，那么SMF与UDM交互可以获取到目的IP地址所属的安全组信息。对于源IP地址为DN侧地址的报文，UDM没有源IP地址所属的安全组信息，如果运营策略中配置DN侧下行报文携带源IP地址所属的安全组信息，则UPF上报的报文转发规则未知消息中可能携带源IP地址所属的安全组信息。

又一可能的实现方式，安全组信息由DN-AAA维护，SMF可以从DN-AAA处获取目的IP地址所属的安全组信息，即如果存在目的IP地址所属的安全组，那么SMF与DN-AAA交互可以获取目的IP地址所属的安全组信息。如果运营策略中配置SMF通过DN-AAA获取源IP地址所属的安全组信息，那么SMF可以从DN-AAA处获取源IP地址所属的安全组信息。或者，如果UPF上报的报文转发规则未知消息中携带源IP地址所属的安全组信息，如运营策略中配置DN侧下行报文携带源IP地址所属的安全组信息，则UPF上报的报文转发规则未知消息中携带源IP地址所属的安全组信息，那么SMF可以从该报文转发规则未知消息中获取到源IP地址所属的安全组信息。

在该情况2下，结合两种场景说明步骤1330a2。

场景1，SMF对源IP地址和目的IP地址执行安全组策略检查。

以表7为例进行示例性说明。例如，假设源IP地址所属的安全组为安全组2，目的IP地址所属的安全组为安全组3，那么SMF可以向UPF下发报文转发规则，允许该业务数据报文从从UPF N6口发出。又如，假设源IP地址所属的安全组为安全组1，目的IP地址所属的安全组为安全组2，那么SMF可以向UPF下发报文转发规则，禁止该业务数据报文从从UPF N6口发出。

场景2，SMF不对源IP地址和目的IP地址执行安全组策略检查。

如果SMF不对源IP地址和目的IP地址执行安全组策略检查(如根据运营商策略，SMF不对源IP地址和目的IP地址执行安全组策略检查)，那么一种可能的实现方式，SMF还可以根据目的IP地址是否为合法地址，向UPF下发报文转发规则，允许或禁止报文发出。

示例地，SMF可以根据是否存在目的IP地址的安全组信息，确定目的IP地址是否为合法地址。

例如，当SMF获取到目的IP地址的安全组信息的情况下，SMF可以确定目的IP地址为合法地址。此时，SMF可以向UPF下发报文转发规则，允许报文发出，如允许报文从UPF N6口发出。

又如，当SMF查询不到目的IP地址的安全组信息的情况下，SMF可以确定目的IP地址不是合法地址。此时，SMF可以向UPF下发报文转发规则，禁止报文发出，如禁止报文从UPF N6口发出。

应理解，在上述场景2下，SMF判断目的IP地址是否为合法地址仅是一种可能的实现方式，对此不作限定。例如，如果SMF不对源IP地址和目的IP地址执行安全组策略检查，那么也可以向UPF下发报文转发规则，禁止报文发出。

还应理解，情况2以UPF上报的报文转发规则未知消息中包括源IP地址为例进行示例性说明，其并不限定该报文转发规则未知消息中只能包括源IP地址，该报文转发规则未知消息中还可以包括其他信息，对此不作限定。

情况3，在步骤1330a1中，UPF上报的报文转发规则未知消息中包括源IP地址和目的IP地址，且该源IP地址和目的IP地址均为网络侧设备地址。

在该情况3下，SMF与UDM或DN-AAA交互，获取源IP地址所属的安全组信息以及目的IP地址所属的安全组信息。

可选地，SMF可以判断是否存在源IP地址所属的安全组信息和目的IP地址所属的安全组信息，并且根据是否存在源IP地址所属的安全组信息和目的IP地址所属的安全组信息，确定报文转发规则。

一可能的实现方式，安全组成员信息由移动运营商网络维护，SMF与UDM交互获取源IP地址所属的安全组信息以及目的IP地址所属的安全组信息。

又一可能的实现方式，安全组成员信息由DN-AAA维护，SMF与DN-AAA交互获取获取源IP地址所属的安全组信息以及目的IP地址所属的安全组信息。

上述两种实现方式仅是示例性说明，对此不作限定。只要SMF可以获取到源IP地址所属的安全组信息和目的IP地址所属的安全组信息的方式，都适用于本申请实施例。

在该情况3下，结合两种场景说明步骤1330a2。

场景1，源IP地址没有关联的安全组信息。

如果源IP地址没有关联的安全组信息，那么一种可能的实现方式，SMF向UPF下发报文转发规则，丢弃以源IP地址为源地址或目的地址的报文。

场景2，目的IP地址没有关联的安全组信息。

如果目的IP地址没有关联的安全组信息，那么一种可能的实现方式，SMF向UPF下发报文转发规则，丢弃以目的IP地址为源地址或目的地址的报文。

应理解，情况3以UPF上报的报文转发规则未知消息中包括源IP地址和目的IP地址为例进行示例性说明，其并不限定该报文转发规则未知消息中只能包括源IP地址和目的IP地址，该报文转发规则未知消息中还可以包括其他信息，对此不作限定。

还应理解，上述仅是示例性说明，对此不作限定。只要可以实现SMF可以执行本申请实施例的安全组策略的方案，都适用于本申请实施例。还应理解，在实际通信中，可以根据不同的通信环境或场景，灵活调整。

还应理解，在图13所示的场景中，源地址的形式可以为IP地址，上文源地址和源IP地址有时交替使用，应理解，其表示相同的含义，均用于表示发报文的地址或者说报文的源地址。在图13所示的场景中，目的地址的形式可以为IP地址，上文目的地址和目的IP 地址有时交替使用，应理解，其表示相同的含义，均用于表示报文的目的地址。

上文结合图13所示的步骤1310-1330示例地介绍了SMF执行安全组策略时的一可能流程，如PDU会话类型为IP的场景。应理解，上述各个步骤仅是示例性说明，对此不作严格限定。此外，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

基于上述方案，对于PDU会话类型为IP场景，通过SMF执行VN组安全组策略，即由SMF根据安全组策略制定转发规则，完成通信设备报文互通控制，从而可以提高设备之间通信的安全性。

图14是适用于本申请一实施例的安全组策略执行的另一示意性流程图。

如图14所示，方法1400主要以设备、CPE/UE、RAN、AMF、SMF、UDM、DN-AAA、UPF、DN之间的交互为例进行示例性说明。在方法1400中，第一网元例如为SMF，第二网元例如为UPF。作为示例而非限定，图14所示的方法1400可以用于PDU会话类型为以太网(Ethernet)场景，通过SMF执行VN组安全组策略，即SMF基于安全组策略制定转发规则，完成通信设备报文互通控制的流程。图14所示的方法1400可以包括如下步骤。

1410，SMF创建VN组会话。

对于步骤1410，例如可以参考上述步骤1310的描述，此处不再介绍。

1420，创建VN下的UE会话。

对于步骤1420，例如可以参考上述步骤1320的描述，此处不再介绍。

UPF可能会从不同接口接收到报文，且接收到的报文类型可能不同。下面结合不同情况进行说明。

情况A，UPF N3接口收到上行报文，且该上行报文的源MAC地址未知。

也就是说，UPF从N3接口接收到来自UE的上行报文，且该上行报文的源MAC地址未知。在该情况下，方法1400还可以包括步骤1431和1432。

1431，UPF向SMF上报MAC地址学习消息。

例如，该MAC地址学习消息中可以包括以下一项或多项参数：DNN、VN组、UE SUPI、源MAC地址、N3接口。其中，DNN，表示MAC地址归属的DNN。VN组，表示MAC地址归属的VN组。UE SUPI，表示MAC地址所属CPE/UE。N3接口，指示MAC地址学习，地址来源接口。

SMF收到UPF上报的N3接口MAC地址学习消息后，可以将该MAC地址关联到对应的UE会话及对应的UPF。

1432，SMF将MAC地址关联到对应的UE会话及对应的UPF。

如果SMF的MAC地址学习列表中已学习到UPF上报的MAC地址，且和当前收到的UPF上报信息不一致，那么说明该MAC地址对应的设备可能发生了变动(如移动到其他UPF上，或移动到其他CPE/UE下等)。在该情况下，可以触发SMF主动老化UPF内该MAC地址的转发规则，并刷新SMF内对该MAC地址的学习。

情况B，UPF N6接口收到下行报文，且该下行报文的源MAC地址未知。

在该情况下，方法1400还可以包括步骤1441和1442。

1441，UPF向SMF上报MAC地址学习消息。

例如，该MAC地址学习消息中可以包括以下一项或多项参数：DNN、VN组、源MAC地址、N6接口。其中，DNN，表示MAC地址归属的DNN。VN组，表示MAC地址归属的VN组。N6接口，指示MAC地址学习，地址来源接口。

SMF收到UPF上报的N6接口MAC地址学习消息后，可以将该MAC地址关联到对应的DNN及VN组会话。

1442，SMF将MAC地址关联到对应的DNN及VN组会话。

如果SMF的MAC地址学习列表中已学习到UPF上报的MAC地址，且和当前收到的UPF上报信息不一致，那么说明该MAC地址对应的设备可能发生了变动(如从网络侧移动到DN网络侧)。在该情况下，可以触发SMF主动老化UPF内该MAC地址的转发规则，并刷新SMF内对该MAC地址的学习。

情况C，UPF收到业务数据报文，对源地址、目的地址进行规则匹配。

UPF对业务数据报文的源地址和目的地址进行规则匹配，如果匹配失败，则执行图14(1)中的步骤1450a；如果匹配成功，则执行图14(2)中的步骤1450b，即根据匹配的转发规则对业务数据报文进行转发或丢弃。

步骤1450b：匹配成功的情况。UPF进行VN组会话匹配过程中，对业务数据报文的源地址和目的地址进行规则匹配，且匹配成功，那么可以根据匹配的转发规则对该业务数据报文进行转发或丢弃。关于具体的匹配以及转发，例如可以参考前面术语解释的内容，此处不再赘述。

下面结合图14(1)详细介绍步骤1450a。

步骤1450a：匹配失败的情况。如图14(1)所示，UPF收到业务数据报文，对业务数据报文的源地址和目的地址进行规则匹配失败的情况下，方法1400可以包括步骤1450a1和步骤1450a2。

1450a1，UPF向SMF上报报文转发规则未知消息。

该报文转发规则未知消息中例如可以包括但不限于以下一项或多项信息：DNN、VN组、源MAC地址、目的MAC地址、源MAC归属的安全组信息。其中，DNN表示该消息归属的DNN。VN组表示该消息所属的VN组。源MAC地址表示业务数据报文的源地址。目的MAC地址表示业务数据报文的目的地址。

1450a2，SMF向UPF下发报文转发规则。

下面结合不同情况详细介绍步骤1450a1和步骤1450a2。

情况1，在步骤1450a1中，UPF上报的报文转发规则未知消息中包括目的MAC地址，且该目的MAC地址为组播、广播地址。

可选地，SMF可以获取源MAC地址所属的安全组信息。

一可能的实现方式，源MAC地址为移动运营商网络侧地址，SMF与UDM或DN-AAA交互获取源MAC地址所属的安全组信息。例如，如果安全组成员信息由移动运营商网络维护，SMF与UDM交互获取源MAC地址所属的安全组信息。又如，如果安全组成员信息由DN-AAA维护，SMF与DN-AAA交互获取源MAC地址所属的安全组信息。

又一可能的实现方式，源MAC地址为DN侧地址，且安全组信息由移动运营商网络维护，则UDM缺少源MAC地址所属的安全组信息。该情况下，若运营商配置DN下行数据包隧道报文携带源MAC地址所属的安全组信息，那么UPF上报的报文转发规则未知消息中可能携带源MAC地址所属的安全组信息，SMF检查源MAC地址的合法性，否则SMF不检查源MAC地址的合法性。

又一可能的情况，源MAC地址为DN侧地址，且安全组信息由DN-AAA维护，则SMF与DNAAA交互获取源MAC地址归属的安全组信息，确定MAC地址的合法性。

应理解，上述实现方式仅是示例性说明，对此不作限定。

在该情况1下，SMF可以根据步骤1450a1检查源MAC地址合法性，根据运营配置的组播、广播转发策略，向UPF下发报文转发规则，允许或禁止报文发出。

应理解，情况1以UPF上报的报文转发规则未知消息中包括目的MAC地址为例进行示例性说明，其并不限定该报文转发规则未知消息中只能包括目的MAC地址，该报文转发规则未知消息中还可以包括其他信息，对此不作限定。

情况2，在步骤1450a1中，UPF上报的报文转发规则未知消息中包括目的MAC地址，且该目的MAC地址为DN侧地址。

在该情况2下，SMF与UDM或DN-AAA交互，获取源MAC地址所属的安全组信息。可选地，SMF还可以获取目的MAC地址所属的安全组信息。

可选地，SMF可以判断是否存在源MAC地址所属的安全组信息和目的MAC地址所属的安全组信息，并且根据是否存在源MAC地址所属的安全组信息和目的MAC地址所属的安全组信息，确定是否执行安全组策略，即是否根据安全组策略制定转发规则。例如，如果SMF获取源MAC地址所属的安全组和目的MAC地址所属的安全组信息，那么SMF执行安全组策略检查。又如，如果SMF获取到目的MAC地址所属的安全组信息，获取不到源MAC地址所属的安全组，那么SMF缺少源MAC地址归属的安全组信息，不对源MAC地址和目的MAC地址执行安全组策略检查。又如，如果SMF获取到源MAC地址所属的安全组信息，获取不到目的MAC地址所属的安全组，那么SMF缺少目的MAC地址归属的安全组信息，不对源MAC地址和目的MAC地址执行安全组策略检查。

一可能的实现方式，安全组信息由移动运营商网络维护，SMF可以从UDM处获取源MAC地址所属的安全组信息，即如果存在源MAC地址所属的安全组，那么SMF与UDM交互可以获取到源MAC地址所属的安全组信息。对于目的MAC地址为DN侧地址的报文，UDM没有目的MAC地址所属的安全组信息。因此，在该方式下，SMF不执行安全组策略。

又一可能的实现方式，安全组信息由DN-AAA维护，SMF可以从DN-AAA处获取源MAC地址所属的安全组信息，即如果存在源MAC地址所属的安全组，那么SMF与 DN-AAA交互可以获取源MAC地址所属的安全组信息。SMF是否通过DN-AAA获取目的MAC地址所属的安全组信息，可以由运营商策略决定。

上述两种实现方式仅是示例性说明，对此不作限定。只要SMF可以获取到源MAC地址所属的安全组信息或目的MAC地址所属的安全组信息的方式，都适用于本申请实施例。

在该情况2下，结合两种场景说明步骤1450a2。

场景1，SMF对源MAC地址和目的MAC地址执行安全组策略检查。

如果SMF对源MAC地址和目的MAC地址执行安全组策略检查(如根据运营商策略，SMF对源MAC地址和目的MAC地址执行安全组策略检查)，则SMF根据获取到的源MAC地址所属的安全组信息、目的MAC地址所属的安全组信息，执行安全组策略，向UPF下发报文转发规则，允许或禁止报文发出。

可选地，如果报文允许发出，隧道报文可以携带源MAC地址所属的安全组信息。通过携带该源MAC地址所属的安全组信息，可以供DN网络应用安全策略。示例地，是否携带源MAC地址所属的安全组信息可以由运营策略而定。

以表7为例进行示例性说明。例如，假设源MAC地址为MAC1，该MAC1所属的安全组为安全组1，目的MAC地址为MAC2，该MAC2所属的安全组为安全组2，那么SMF可以向UPF下发报文转发规则，允许该业务数据报文从UPF N6口发出。又如，假设源MAC地址为MAC1，该MAC1所属的安全组为安全组1，目的MAC地址为MAC3，该MAC3所属的安全组为安全组3，那么SMF可以向UPF下发报文转发规则，禁止该业务数据报文从UPF N6口发出。

场景2，SMF不对源MAC地址和目的MAC地址执行安全组策略检查。

如果SMF不对源MAC地址和目的MAC地址执行安全组策略检查(如根据运营商策略，SMF不对源MAC地址和目的MAC地址执行安全组策略检查)，那么一种可能的实现方式，SMF还可以根据源MAC地址是否为合法地址，向UPF下发报文转发规则，允许或禁止报文发出。

示例地，SMF可以根据是否存在源MAC地址的安全组信息，确定源MAC地址是否为合法地址。

例如，当SMF获取到源MAC地址的安全组信息的情况下，SMF可以确定源MAC地址为合法地址。此时，SMF可以向UPF下发报文转发规则，允许报文发出，如允许报文从UPF N6口发出。

又如，当SMF查询不到源MAC地址的安全组信息的情况下，SMF可以确定源MAC地址不是合法地址。此时，SMF可以向UPF下发报文转发规则，禁止报文发出，如禁止报文从UPF N6口发出。

应理解，在上述场景2下，SMF判断源MAC地址是否为合法地址仅是一种可能的实现方式，对此不作限定。例如，如果SMF不对源MAC地址和目的MAC地址执行安全组策略检查，那么也可以向UPF下发报文转发规则，禁止报文发出。

还应理解，情况2以UPF上报的报文转发规则未知消息中包括目的MAC地址为例进行示例性说明，其并不限定该报文转发规则未知消息中只能包括目的MAC地址，该报文转发规则未知消息中还可以包括其他信息，对此不作限定。

情况3，在步骤1450a1中，UPF上报的报文转发规则未知消息中包括源MAC地址，且该源MAC地址为DN侧地址。

在该情况3下，SMF与UDM或DN-AAA交互，获取目的MAC地址所属的安全组信息。可选地，SMF还可以获取源MAC地址所属的安全组信息。

可选地，SMF可以判断是否存在源MAC地址所属的安全组信息和目的MAC地址所属的安全组信息，并且根据是否存在源MAC地址所属的安全组信息和目的MAC地址所属的安全组信息，确定是否执行安全组策略。例如，如果SMF获取源MAC地址所属的安全组和目的MAC地址所属的安全组信息，那么SMF执行安全组策略检查。又如，如果SMF获取到目的MAC地址所属的安全组信息，获取不到源MAC地址所属的安全组，那么SMF缺少源MAC地址归属的安全组信息，不对源MAC地址和目的MAC地址执行安全组策略检查又如，如果SMF获取到源MAC地址所属的安全组信息，获取不到目的MAC地址所属的安全组，那么SMF缺少目的MAC地址归属的安全组信息，不对源MAC地址和目的MAC地址执行安全组策略检查。

一可能的实现方式，安全组信息由移动运营商网络维护，SMF可以从UDM处获取目的MAC地址所属的安全组信息，即如果存在目的MAC地址所属的安全组，那么SMF与UDM交互可以获取到目的MAC地址所属的安全组信息。对于源MAC地址为DN侧地址的报文，UDM没有源MAC地址所属的安全组信息，如果运营策略中配置DN侧下行报文携带源MAC地址所属的安全组信息，则UPF上报的报文转发规则未知消息中可能携带源MAC地址所属的安全组信息。

又一可能的实现方式，安全组信息由DN-AAA维护，SMF可以从DN-AAA处获取目的MAC地址所属的安全组信息，即如果存在目的MAC地址所属的安全组，那么SMF与DN-AAA交互可以获取目的MAC地址所属的安全组信息。如果运营策略中配置SMF通过DN-AAA获取源MAC地址所属的安全组信息，那么SMF可以从DN-AAA处获取源MAC地址所属的安全组信息。或者，如果UPF上报的报文转发规则未知消息中携带源MAC地址所属的安全组信息，如运营策略中配置DN侧下行报文携带源MAC地址所属的安全组信息，则UPF上报的报文转发规则未知消息中携带源MAC地址所属的安全组信息，那么SMF可以从该报文转发规则未知消息中获取到源MAC地址所属的安全组信息。

在该情况3下，结合两种场景说明步骤1450a2。

场景1，SMF对源MAC地址和目的MAC地址执行安全组策略检查。

以表7为例进行示例性说明。例如，假设源MAC地址为MAC2，该MAC2所属的安全组为安全组2，目的MAC地址为MAC3，该MAC3所属的安全组为安全组3，那么SMF可以向UPF下发报文转发规则，允许该业务数据报文从从UPF N6口发出。又如，假设源MAC地址为MAC1，该MAC1所属的安全组为安全组1，目的MAC地址为MAC2，该MAC2所属的安全组为安全组2，那么SMF可以向UPF下发报文转发规则，禁止该业务数据报文从从UPF N6口发出。

场景2，SMF不对源MAC地址和目的MAC地址执行安全组策略检查。

如果SMF不对源MAC地址和目的MAC地址执行安全组策略检查(如根据运营商策略，SMF不对源MAC地址和目的MAC地址执行安全组策略检查)，那么一种可能的实现方式，SMF还可以根据目的MAC地址是否为合法地址，向UPF下发报文转发规则，允许或禁止报文发出。

示例地，SMF可以根据是否存在目的MAC地址的安全组信息，确定目的MAC地址是否为合法地址。

例如，当SMF获取到目的MAC地址的安全组信息的情况下，SMF可以确定目的MAC地址为合法地址。此时，SMF可以向UPF下发报文转发规则，允许报文发出，如允许报文从UPF N6口发出。

又如，当SMF查询不到目的MAC地址的安全组信息的情况下，SMF可以确定目的MAC地址不是合法地址。此时，SMF可以向UPF下发报文转发规则，禁止报文发出，如禁止报文从UPF N6口发出。

应理解，在上述场景2下，SMF判断目的MAC地址是否为合法地址仅是一种可能的实现方式，对此不作限定。例如，如果SMF不对源MAC地址和目的MAC地址执行安全组策略检查，那么也可以向UPF下发报文转发规则，禁止报文发出。

还应理解，情况3以UPF上报的报文转发规则未知消息中包括源MAC地址为例进行示例性说明，其并不限定该报文转发规则未知消息中只能包括源MAC地址，该报文转发规则未知消息中还可以包括其他信息，对此不作限定。

情况4，在步骤1450a1中，UPF上报的报文转发规则未知消息中包括源MAC地址和目的MAC地址，目的MAC地址为单播地址，且该源MAC地址和目的MAC地址为网络侧设备地址。

在该情况4下，SMF与UDM或DN-AAA交互，获取源MAC地址所属的安全组信息以及目的MAC地址所属的安全组信息。

可选地，SMF可以判断是否存在源MAC地址所属的安全组信息和目的MAC地址所属的安全组信息，并且根据是否存在源MAC地址所属的安全组信息和目的MAC地址所属的安全组信息，确定报文转发规则。

一可能的实现方式，安全组成员信息由移动运营商网络维护，SMF与UDM交互获取源MAC地址所属的安全组信息以及目的MAC地址所属的安全组信息。

又一可能的实现方式，安全组成员信息由DN-AAA维护，SMF与DN-AAA交互获取获取源MAC地址所属的安全组信息以及目的MAC地址所属的安全组信息。

上述两种实现方式仅是示例性说明，对此不作限定。只要SMF可以获取到源MAC地址所属的安全组信息和目的MAC地址所属的安全组信息的方式，都适用于本申请实施例。

在该情况4下，结合两种场景说明步骤1450a2。

场景1，源MAC地址没有关联的安全组信息。

如果源MAC地址没有关联的安全组信息，那么一种可能的实现方式，SMF向UPF下发报文转发规则，丢弃以源MAC地址为源地址或目的地址的报文。

场景2，目的MAC地址没有关联的安全组信息。

如果目的MAC地址没有关联的安全组信息，那么一种可能的实现方式，SMF向UPF下发报文转发规则，丢弃以目的MAC地址为源地址或目的地址的报文。

应理解，情况4以UPF上报的报文转发规则未知消息中包括源MAC地址和目的MAC地址为例进行示例性说明，其并不限定该报文转发规则未知消息中只能包括源MAC地址和目的MAC地址，该报文转发规则未知消息中还可以包括其他信息，对此不作限定。

还应理解，在图14所示的场景中，源地址的形式可以为MAC地址，上文源地址和源MAC地址有时交替使用，应理解，其表示相同的含义，均用于表示发报文的地址或者说报文的源地址。在图14所示的场景中，目的地址的形式可以为MAC地址，上文目的地址和目的MAC地址有时交替使用，应理解，其表示相同的含义，均用于表示报文的目的地址。

上文结合图14所示的步骤1410-1450示例地介绍了SMF执行安全组策略时的一可能流程，如PDU会话类型为Ethernet的场景。应理解，上述各个步骤仅是示例性说明，对此不作严格限定。此外，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，上述步骤1431和1432，可以与步骤1450可以同时存在，或者也可以单独存在。

基于上述方案，对于PDU会话类型为Ethernet场景，通过SMF执行VN组安全组策略，即由SMF根据安全组策略制定转发规则，完成通信设备报文互通控制，从而可以提高设备之间通信的安全性。

图15是适用于本申请另一实施例的安全组策略执行的一示意性流程图。

如图15所示，方法1500主要以设备、CPE/UE、RAN、AMF、SMF、UDM、DN-AAA、UPF、DN之间的交互为例进行示例性说明。在方法1500中，第一网元例如为UPF，第二网元例如为SMF。作为示例而非限定，图15所示的方法1500可以用于PDU会话类型为IP场景，通过UPF执行VN组安全组策略，即UPF基于安全组策略确定转发规则，完成通信设备报文互通控制的流程。图15所示的方法1500可以包括如下步骤。

1510，SMF创建VN组会话。

关于触发SMF创建VN组会话的条件，本申请实施例不作限定。例如，对于5G LAN场景，完成5G LAN网络侧配置后，5G LAN终端(如CPE/UE)入网触发SMF创建5G VN组会话。作为示例而非限定，创建5G VN组会话的方式如步骤1511至1513。

1511，SMF向UDM请求5G VN组会话签约信息。

1512，UDM向SMF返回5G VN组会话签约信息。

1513，完成5G VN组会话创建。

SMF完成5G VN组会话创建，并在5G VN组会话中保存对应的安全组信息(如安全组(如安全组标识/名称等)以及安全组策略)。

此外，SMF可以向UPF下发5G VN安全组信息，如安全组(如安全组标识/名称等)以及安全组策略。

1520，创建VN下的UE会话。

对于PDU会话类型为Ethernet类型的UE会话，SMF与UDM/DN-AAA交互获取UE IP地址对应的安全组信息。例如，如果安全组信息由移动运营商网络维护，SMF可以与UDM交互可以获取到UE IP地址所属的安全组信息。又如，如果安全组信息由DN-AAA维护，SMF可以与DN-AAA交互可以获取到UE IP地址所属的安全组信息。

在创建VN下的UE会话过程中，SMF可以向VN组下的全部UPF下发与该UE所属的安全组相关的信息，例如，可以包括但不限于以下一项或多项信息：UE SUPI、UE IP地址、安全组、UPF ID、UPF N19IP地址。其中，UE IP地址，指示为UE分配的IP地址。安全组，指示UE归属的安全组信息。UPF ID，指示UE当前接入的UPF。UPF N19IP地址，指示UE接入的UPF，其N19接口地址。

创建VN下的UE会话完成后，UE可以通过UE到DN之间建立的PDU会话，通过UPF与DN之间交换业务数据报文。

UPF接收到业务数据报文后，可以根据转发规则进行处理。下面结合不同情况进行说明。

情况1，UPF收到的业务数据报文的源地址和目的地址均为网络侧设备地址。

在该情况1下，方法1500还可以包括步骤1531。

1531，UPF根据源地址所属的安全组和目的地址所属的安全组之间的安全组策略，处理业务数据报文。

一种可能的实现方式，UPF可以根据源地址获取该源地址所属的安全组信息，根据目的地址获取该目的地址所属的安全组信息，并根据源地址所属的安全组和目的地址所属的安全组之间的安全组策略，处理业务数据报文。

以表7为例进行示例性说明。例如，假设源地址所属的安全组为安全组1，目的地址所属的安全组为安全组2，那么UPF根据安全组1与安全组2之间的安全组策略，转发该业务数据报文，即向目的地址转发该业务数据报文。又如，假设源地址所属的安全组为安全组1，目的地址所属的安全组为安全组3，那么UPF根据安全组1与安全组3之间的安全组策略，丢弃或忽略该业务数据报文，即不向目的地址转发该业务数据报文。

示例地，当查询不到源地址所属的安全组信息和目的地址所属的安全组信息中的任何一个的情况下，UPF可以直接丢弃该业务数据报文。应理解，对此不作限定。例如，当查询不到源地址所属的安全组信息和查询不到目的地址所属的安全组信息的情况下，可以根据实际情况有不同的处理方式。

情况2，UPF收到的业务数据报文的目的地址所属网段在DN侧。

在该情况2下，方法1500还可以包括步骤1532。

1532，UPF将报文通过N6接口转发到DN网络。

UPF可以根据源地址索引该源地址所属的安全组信息。UPF通过N6接口发往DN侧的隧道报文可以携带源地址所属的安全组信息，从而可供DN网络应用安全策略。示例地，UPF发往DN侧的隧道报文是否携带源地址所属的安全组信息，可以由运营策略而定，对此不作限定。

情况3，UPF收到的业务数据报文的源地址所属网段在DN侧。

在该情况3下，方法1500还可以包括步骤1533。

1533，UPF根据源地址所属的安全组和目的地址所属的安全组之间的安全组策略，或者根据运营商策略，处理业务数据报文。

一种可能的实现方式，UPF根据源地址所属的安全组和目的地址所属的安全组之间的安全组策略，处理业务数据报文。如果下行隧道报文携带了源地址对应的安全组信息，UPF可以根据目的地址索引该目的地址所属的安全组信息，并根据源地址所属的安全组和目的地址所属的安全组之间的安全组策略，处理业务数据报文，如丢弃报文或转发报文。

或者，一种可能的实现方式，UPF根据运营商策略处理业务数据报文。如果运营商策略是对下行报文不做安全组策略控制，那么UPF可以直接转发报文。

应理解，上述仅是示例性说明，对此不作限定。只要可以实现UPF可以执行本申请实施例的安全组策略的方案，都适用于本申请实施例。还应理解，在实际通信中，可以根据不同的通信环境或场景，灵活调整。

还应理解，在图15所示的场景中，源地址的形式可以为IP地址，上文源地址和源IP地址有时交替使用，应理解，其表示相同的含义，均用于表示发报文的地址或者说报文的源地址。在图15所示的场景中，目的地址的形式可以为IP地址，上文目的地址和目的IP地址有时交替使用，应理解，其表示相同的含义，均用于表示报文的目的地址。

上文结合图15所示的步骤1510-1533示例地介绍了UPF执行安全组策略时的一可能流程，如PDU会话类型为IP的场景。应理解，上述各个步骤仅是示例性说明，对此不作严格限定。此外，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

基于上述方案，对于PDU会话类型为IP场景，通过UPF执行VN组安全组策略，即由UPF根据安全组策略确定转发规则，完成通信设备报文互通控制，从而可以提高设备之间通信的安全性。此外，通过UPF来执行安全组策略，还可以节省UPF向SMF询问转发规则带来的信令开销，提高数据传输性能。

图16是适用于本申请另一实施例的安全组策略执行的另一示意性流程图。

如图16所示，方法1600主要以设备、CPE/UE、RAN、AMF、SMF、UDM、DN-AAA、UPF、DN之间的交互为例进行示例性说明。在方法16500中，第一网元例如为UPF，第二网元例如为SMF。作为示例而非限定，图16所示的方法1600可以用于PDU会话类型为Ethernet场景，通过UPF执行VN组安全组策略，即UPF基于安全组策略确定转发规则，完成通信设备报文互通控制的流程。图16所示的方法1600可以包括如下步骤。

1610，SMF创建5VN组会话。

对于步骤1610，例如可以参考上述步骤1510的描述，此处不再介绍。

1620，创建VN下的UE会话。

对于步骤1620，例如可以参考上述步骤1520的描述，此处不再介绍。

情况1，UPF N3接口收到上行报文，且该上行报文的源MAC地址未知。

在该情况1下，对于PDU类型为Ethernet的VN组，UPF从N3接口接收到来自UE的上行报文，且该上行报文的源MAC地址未知。在该情况下，方法1600还可以包括步骤1631至1633。

1631，UPF向SMF上报MAC地址未知消息。

例如，该MAC地址未知消息中可以包括以下一项或多项参数：DNN、VN组、UE SUPI、源MAC地址。其中，DNN，表示MAC地址归属的DNN。VN组，表示MAC地址归属的VN组。UE SUPI，表示MAC地址所属CPE/UE。

1632，SMF获取MAC地址所属的安全组信息。

SMF收到UPF上报的N3接口收到MAC地址未知消息后，SMF获取MAC地址所属的安全组信息。

例如，如果安全组信息由移动运营商网络维护，那么SMF与UDM交互，获取MAC地址所属的安全组信息。又如，如果安全组信息由DN-AAA维护，那么SMF与DN-AAA交互，获取MAC地址所属的安全组信息。

SMF查询到MAC地址所属的安全组信息后，可以向UPF下发MAC地址所属的安全组信息。

1633，SMF向UPF下发MAC地址所属的安全组信息。

示例地，SMF可以将查询到的与MAC地址所属的安全组相关的信息，下发到VN组下的全部的UPF上，例如，可以包括但不限于以下一项或多项信息：DNN、VN组、MAC地址、安全组ID、UPF ID、N19 address。其中，DNN，指示MAC地址归属的DNN。VN组，指示MAC地址归属的VN组。安全组ID，指示MAC地址归属的安全组。UPF ID，指示当前MAC归属的UPF。N19 address，指示UPF N19接口地址。

情况2，UPF收到的报文的目的地址为广播地址或组播地址。

在该情况2下，如果是上行报文，方法1600还可以包括步骤1641。

1641，UPF根据源地址所属的安全组信息，处理报文。

如果是上行报文，则UPF获取源MAC地址所属的安全组信息，并根据运营商配置的策略决定转发或丢弃报文。如果UPF获取源MAC地址所属的安全组信息失败，那么示例地，UPF可以丢弃报文。

在该情况2下，如果是下行报文，方法1600还可以包括步骤1642。

1642，UPF根据源地址所属的安全组信息或者运营商策略，处理报文。

如果是下行报文，如果运营商配置了下行隧道报文中携带源MAC地址所属的安全组信息，则UPF检查安全组信息合法性，并根据运营商配置的策略决定转发或丢弃报文。否则UPF不检查下行报文源MAC地址合法性，根据运营商配置的策略决定转发或丢弃报文。

情况3，UPF收到的报文的源地址和目的地址均为网络侧设备地址。

在该情况3下，方法1600还可以包括步骤1651。

1651，UPF根据源地址所属的安全组和目的地址所属的安全组之间的安全组策略，处理报文。

UPF可以查找源地址所属的安全组和目的地址所属的安全组，并根据源地址所属的安全组和目的地址所属的安全组之间的安全组策略，处理报文，如转发或丢弃报文。

情况4，UPF收到下行报文，且目的地址为单播地址，且未知。

在该情况4下，方法1600还可以包括步骤1661。

1661，UPF丢弃报文。

情况5，UPF收到上行报文，且目的地址为单播地址，且未知。

在该情况5下，方法1600还可以包括步骤1671。

1671，UPF将报文发送到DN。

示例地，报文通过N6接口发送到DN网络，隧道报文可以携带源地址所属的安全组信息，以便DN网络应用安全策略。其中，隧道报文是否携带源地址所属的安全组信息，例如可以由运营策略而定，对此不作限定。

情况6，UPF收到的报文的源地址为DN侧地址。

在该情况6下，方法1600还可以包括步骤1681。

1681，UPF根据源地址所属的安全组和目的地址所属的安全组之间的安全组策略，或者，根据运营商策略，处理报文将报文发送到DN。

示例地，如果下行隧道报文携带了源MAC地址所属的安全组信息(如根据运营商策略，下行隧道报文携带源地址对应的安全组信息)，那么UPF可以查找目的MAC地址所属的安全组信息，并根据源MAC地址所属的安全组和目的MAC地址所属的安全组之间的安全组策略，处理报文，如决定转发或丢弃报文。

或者，如果运营商策略是对下行报文不做安全组策略控制，则也可以直接转发报文。

应理解，上述仅是示例性说明，对此不作限定。只要可以实现UPE可以执行本申请实施例的安全组策略的方案，都适用于本申请实施例。还应理解，在实际通信中，可以根据不同的通信环境或场景，灵活调整。

还应理解，在图16所示的场景中，源地址的形式可以为MAC地址，上文源地址和源MAC地址有时交替使用，应理解，其表示相同的含义，均用于表示发报文的地址或者说报文的源地址。在图16所示的场景中，目的地址的形式可以为MAC地址，上文目的地址和目的MAC地址有时交替使用，应理解，其表示相同的含义，均用于表示报文的目的地址。

上文结合图16所示的步骤1610-1681示例地介绍了UPF执行安全组策略时的一可能流程，如PDU会话类型为Ethernet的场景。应理解，上述各个步骤仅是示例性说明，对此不作严格限定。此外，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

上文结合图13至图16介绍了适用于本申请实施例的安全组策略执行的可能流程。下面结合图17和图18介绍用于本申请实施例的关于安全组更新的示意性流程。

图17是适用于本申请实施例的安全组更新的一示意性流程图。

如图17所示，方法1700主要以设备、CPE/UE、RAN、AMF、SMF、UDM、UPF之间的交互为例进行示例性说明。作为示例而非限定，图17所示的方法1700可以用于UPF安全组策略对应的转发规则老化的流程。

下面结合触发删除转发规则(如安全组策略对应的转发规则)的可能的条件，介绍UPF转发规则老化的流程。

条件1，CPE/UE会话释放，触发删除CPE/UE对应的全部转发规则。

基于该条件1，方法1700可以包括步骤1711-1713。

1711，CPE/UE向SMF请求释放CPE/UE会话。

1712，SMF向UPF下发转发规则删除指示，指示UPF删除CPE/UE对应的转发规则。

示例地，SMF可以向VN组下全部UPF下发转发规则删除指示，指示UPF删除CPE/UE下全部MAC/IP地址对应的全部转发规则。例如，SMF向UPF下发的转发规则删除指示，可以用于指示UPF删除CPE/UE下全部MAC/IP地址对应的安全组。UPF收到该指示后，可以删除CPE/UE下全部MAC/IP地址对应的全部转发规则。

1713，完成CPE/UE会话释放。

应理解，上述仅是示例性说明，关于CPE/UE会话释放的具体方式，本申请实施例不作限定。例如可以参考现有方式，或者未来任何可以实现CPE/UE会话释放的方式都适用于本申请实施例。

条件2，UPF学习到的MAC地址老化，触发删除MAC地址对应的全部转发规则。

对于PDU会话类型为Ethernet的场景，UPF学习到的MAC地址到达老化时间，可以触发MAC地址老化。基于该条件2，方法1700可以包括步骤1721-1723。

1721，MAC地址老化时间超时触发UPF老化学习到的MAC地址。

关于MAC地址的老化时间，本申请实施例不作严格限定。例如，可以由运营商配置MAC地址的老化时间。又如，不同MAC地址对应的老化时间可以相同也可以不同，对此不作限定。

1722，UPF删除被老化的MAC地址对应的全部转发规则。

1723，UPF向SMF上报MAC地址老化消息。

下面结合两种情况来说，

情况1，被老化的MAC地址来源于UPF N3接口。

在该情况下，UPF向SMF上报的MAC地址老化消息可以包括以下一项或多项信息：DNN、VN组、被老化的MAC地址、N3接口。其中，DNN，指示被老化的MAC地址归属的DNN。VN组，指示被老化的MAC地址所属的VN组。N3接口，指示被MAC地址来源于N3接口。

在该情况1下，方法1700还可以包括步骤17231。

17231，SMF解除MAC地址与CPE/UE会话以及MAC地址与UPF的关联关系。

SMF收到UPF上报的MAC地址老化消息后，SMF可以根据MAC地址索引其关联的CPE/UE会话，SMF可以解除该MAC地址与CPE/UE会话以及MAC地址与UPF的关联关系。

情况2，被老化的MAC地址来源于UPF N6接口。

在该情况下，UPF向SMF上报的MAC地址老化消息可以包括以下一项或多项信息：DNN、VN组、被老化的MAC地址、N6接口。其中，DNN，指示被老化的MAC地址归属的DNN。VN组，指示被老化的MAC地址所属的VN组。N6接口，指示被MAC地址来源于N6接口。

在该情况2下，方法1700还可以包括步骤17232。

17232，SMF解除MAC地址与DNN及组会话的关联关系。

SMF收到UPF上报的MAC地址老化消息后，SMF可以根据MAC地址索引其关联的VN组会话，SMF解除该MAC地址与DNN及组会话的关联关系。

条件3，SMF主动删除转发规则。

关于SMF删除转发规则的触发条件不作限定。例如，可以是周期性地主动删除转发规则。

基于该条件3，方法1700可以包括步骤1731。

1731，SMF向UPF下发MAC/IP地址转发规则删除指示，指示UPF删除指定MAC/IP地址的全部转发规则。

例如，SMF可以向VN组内全部UPF下发指定的MAC/IP地址转发规则删除指示，指示UPF删除指定MAC/IP地址的全部转发规则。例如可以通过携带MAC/IP的标识以指示将删除转发规则的MAC/IP地址。

应理解，上述仅是示例性说明，对此不作限定。

作为示例而非限定，上述方法1700可以用于SMF执行安全组策略的场景。例如，方法1700可以与方法1300(或方法1400)结合使用，如SMF可以根据如方法1300(或方法1400)所述的方案执行安全组策略，SMF或者UPF可以根据如方法1700所述的方案及时删除老化的转发规则(如SMF基于安全组策略对应的转发规则)。

应理解，上述各个步骤仅是示例性说明，对此不作严格限定。此外，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

基于上述方案，转发规则老化后(如安全组策略对应的转发规则老化)，可以及时删除老化的转发规则，不仅可以节省存储空间，提高资源利用率，还可以及时更新转化规则(如及时更新安全组策略)，提高通信性能。

图18是适用于本申请实施例的安全组更新的另一示意性流程图。

如图18所示，方法1800主要以设备、CPE/UE、RAN、AMF、SMF、UDM、UPF之间的交互为例进行示例性说明。作为示例而非限定，图18所示的方法1800可以用于UPF老化设备所属的安全组的流程。

下面结合触发删除安全组的可能的条件，介绍UPF老化设备所属的安全组的流程。

条件1，CPE/UE会话释放，触发删除CPE/UE对应的安全组信息。

基于该条件1，方法1800可以包括步骤1811-1813。

1811，CPE/UE向SMF请求释放CPE/UE会话。

1812，SMF向UPF下发安全组信息删除指示，指示UPF删除CPE/UE对应的安全组信息。

示例地，SMF可以向VN组下全部UPF下发安全组信息删除指示，指示UPF删除CPE/UE下全部MAC/IP地址对应的安全组信息。

1813，完成CPE/UE会话释放。

条件2，UPF学习到的MAC地址老化，触发删除MAC地址所属的安全组信息。

对于PDU会话类型为Ethernet的场景，UPF学习到的MAC地址到达老化时间，可以触发MAC地址老化。基于该条件2，方法1800可以包括步骤1821-1824。

1821，MAC地址老化时间超时触发UPF老化学习到的MAC地址。

一种可能的实现方式，UPF老化学习到的MAC地址，例如可以理解为UPF删除与该MAC地址关联的信息，如删除与该MAC地址对应的转发规则。

1822，UPF向SMF上报MAC地址老化消息。

UPF向SMF上报的MAC地址老化消息可以包括以下一项或多项信息：DNN、VN组、被老化的MAC地址、UE SUPI。其中，DNN，指示被老化的MAC地址所属的DNN。VN组，指示被老化的MAC地址所属的VN组。UE SUPI，指示被老化的MAC地址所属的UE会话。

1823，SMF向UPF下发指示删除MAC地址所属的安全组信息。

UPF收到该指示后，可以根据指示删除MAC地址所属的安全组信息。

示例地，SMF收到UPF上报的MAC地址老化消息后，可以向VN组下的全部UPF下发指示删除MAC地址所属的安全组信息的信息，该信息用于指示UPF删除指定MAC地址所属的安全组信息。

应理解，上述仅是示例性说明，对此不作限定。

作为示例而非限定，上述方法1800可以用于UPF执行安全组策略的场景。例如，方法1800可以与方法1500(或方法1600)结合使用，如UPF可以根据如方法1500(或方法1600)所述的方案执行安全组策略，SMF或者UPF可以根据如方法1800所述的方案及时老化的安全组信息。

基于上述方案，安全组信息老化后(如MAC地址或IP地址对应的安全组信息老化)，可以及时删除老化的安全组信息，不仅可以节省存储空间，提高资源利用率，还可以及时更新安全组信息，提高通信性能。

应理解，在上述一些实施例中，涉及到一些消息名称，如报文转发规则未知消息等等，应理解，其命名不对本申请实施例的保护范围造成限定。

还应理解，在上述一些实施例中，主要以通信策略包括允许访问和禁止访问为例进行了示例性说明，应理解，其他形式的通信策略，都适用于本申请实施例。

还应理解，在上述一些实施例中，多次提及执行安全组策略，其表示根据安全组之间的通信策略来确定转发规则，或者说在制定转发规则时考虑安全组策略。

还应理解，在上述一些实施例中，主要以为5G VN组定义安全组为例进行了示例性说明，应理解，其他VN组，如6G架构下的VN组，也可以使用本申请实施提供的基于安全组进行安全通信。

还应理解，在上述一些实施例中，主要以SMF或UPF在收到业务数据后，根据安全组之间都通信策略制定转发规则为例进行的说明，对此不作限定，任何通过安全组之间的通信策略执行转发规则的方案，都适用于本申请实施例。

一可能的实现方式，SMF获取到安全组的信息后，可以为UE制定转发规则，即UE与其他群组成员之间的数据是如何转发(或丢弃)的，或者UE与其他安全组对应的UE之间的数据的如何转发(或丢弃)。例如，SMF获取到安全组的信息后，根据UE所在的安全组与其他安全组之间的通信策略生成转发规则(如PDR和FAR)，并将制定的转发规则(如PDR和FAR)发送给UPF，从而UPF可以根据该转发规则(如PDR和FAR)执行数据的转发。下面，以UE、SMF和UPF为例，简单列举一具体示例。

SMF接收到来自UE1的会话建立请求，会话建立请求中包括VN组的标识。假设UE1为VN组中第一安全组中的设备。SMF根据该第一安全组和VN组中的其它安全组之间的通信策略，为UE1制定转发规则，并且向UPF发送为该UE1制定的转发规则。

一可能的情况，第一安全组与第二安全组之间的通信策略为允许通信。在该情况下，转发规则用于指示第一数据的转发路径。该第一数据为UE1和UE2之间交互的数据，其中，UE1归属于第一安全组，UE2为归属于第二安全组的任何一个VN群组成员。

又一可能的情况，第一安全组与第二安全组之间的通信策略为禁止通信。在该情况下，转发规则用于指示丢弃第一数据。该第一数据为UE1和UE2之间交互的数据，其中，UE1归属于第一安全组，UE2为归属于第二安全组的任意一个成员，且UE2与UE1均属于同一个VN组。

UPF在收到UE1发送的数据后，可以根据UE1对应的转发规则，执行数据的转发。

一可能的情况，第一安全组与第二安全组之间的通信策略为允许通信。在该情况下，UPF可以根据该转发规则指示的转发路径，转发该数据。

又一可能的情况，第一安全组与第二安全组之间的通信策略为禁止通信。在该情况下，UPF可以根据该转发规则，丢弃或忽略UE1发送给UE2的数据。

应理解，上述仅为示例性说明，具体地，如SMF如何根据安全组之间的通信策略制定转发规则，等等，可以参考上文的描述。

还应理解，上述方案可以与图9至图18中的任一方案单独使用，或者也可以结合使用。

一示例，以上述方案与图13所示的方案结合使用为例。SMF可以为UE制定转发规则，并且将该转发规则发送给UPF。UPF收到UE发送的数据后，可以基于数据报文的源地址和目的地址进行规则匹配，当匹配失败的情况下，可以执行方法1300中的步骤1330a的方案；当匹配成功的情况下，可以执行方法1300中的步骤1330b的方案，即基于转发规则处理数据。

又一示例，以上述方案与图15所示的方案结合使用为例。SMF可以为UE制定转发规则，并且将该转发规则发送给UPF。UPF收到UE发送的数据后，可以基于数据报文的源地址和目的地址进行规则匹配，当匹配失败的情况下，可以基于方法1500的方案，基于该数据的源地址和目的地址对应的安全组之间的通信策略，确定如何处理数据。

又一示例，以上述方案与图17或图18所示的方案结合使用为例。SMF可以为UE制定转发规则，并且将该转发规则发送给UPF。UPF收到UE发送的数据后，可以基于数据报文的源地址和目的地址进行规则匹配。并且也可以基于如方法1700或方法1800所示的方案，及时更新安全组。

本文中描述的各个实施例可以为独立的方案，也可以根据内在逻辑进行组合，这些方案都落入本申请的保护范围中。

可以理解的是，上述各个方法实施例中，由终端设备实现的方法和操作，也可以由可用于终端设备的部件(例如芯片或者电路)实现，由网络设备(如核心网网元)实现的方法和操作，也可以由可用于网络设备的部件(例如芯片或者电路)实现。

以上，结合图9至图18详细说明了本申请实施例提供的方法。以下，结合图19至图21详细说明本申请实施例提供的安全通信的装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

图19是本申请实施例提供的安全通信的装置的示意性框图。该装置1900包括收发单元1910和处理单元1920。收发单元1910可以实现相应的通信功能，处理单元1920用于进行数据处理。收发单元1910还可以称为通信接口或通信单元。

可选地，该装置1900还可以包括存储单元，该存储单元可以用于存储指令和/或数据，处理单元1920可以读取存储单元中的指令和/或数据，以使得装置实现前述方法实施例。

该装置1900可以用于执行上文方法实施例中网络设备所执行的动作，这时，该装置1900可以为网络设备或者可配置于网络设备的部件，收发单元1910用于执行上文方法实施例中网络设备侧的收发相关的操作，处理单元1920用于执行上文方法实施例中网络设备侧的处理相关的操作。

一种可能的实现方式，收发单元1910，用于接收第一通信设备发送给第二通信设备的业务数据的信息；收发单元1910，还用于获取第一安全组与第二安全组之间的通信策略，第一安全组为第一通信设备对应的安全组，第二安全组为第二通信设备对应的安全组；处理单元1920，用于根据第一安全组与第二安全组之间的通信策略，为业务数据制定转发规则；其中，其中，第一通信设备和第二通信设备为同一个虚拟网络VN组内的设备，VN组中包括多个安全组，多个安全组包括第一安全组和第二安全组。

一示例，第一安全组与第二安全组之间的通信策略为允许通信，或者，第一安全组与第二安全组之间的通信策略为禁止通信。

又一示例，第一网元为会话管理功能网元。

又一示例，第一安全组与第二安全组之间的通信策略为允许通信的情况下，转发规则用于指示业务数据的转发路径；或者；第一安全组与第二安全组之间的通信策略为禁止通信的情况下，转发规则用于指示丢弃业务数据。

又一示例，收发单元1910，具体用于元接收来自第二网元的转发规则未知消息，转发规则未知消息包括业务数据的源地址信息和目的地址信息，源地址对应第一安全组，目的地址对应第二安全组；处理单元1920，具体用于根据源地址对应的第一安全组和目的地址对应的第二安全组之间的通信策略，为业务数据制定转发规则；收发单元1910，还用于将转发规则发送给第二网元。

又一示例，收发单元1910，还用于：向第二网元发送第一指示信息，第一指示信息用于指示上报转发规则未知的信息。

又一示例，收发单元1910，还用于：向第二网元发送第二指示信息，第二指示信息用于指示删除转发规则。

又一示例，收发单元1910，具体用于：确定第一通信设备的会话释放或者确定与转发规则相关的地址老化的情况下，向第二网元发送第二指示信息。

又一示例，第二网元为用户面功能网元。

又一示例，第一网元为用户面功能网元。

又一示例，收发单元1910，还用于：接收来自第二网元的多个安全组的信息，多个安全组的信息包括：多个安全组中任两个安全组之间的通信策略的信息。

又一示例，收发单元1910，具体用于：接收第一通信设备发送给第二通信设备的业务数据；判断第一通信设备属于VN组中第一安全组对应的通信设备，第二通信设备属于VN组中第二安全组对应的通信设备的情况下，从多个安全组的信息中获取第一安全组与第二安全组之间的通信策略。

又一示例，第一安全组与第二安全组之间的通信策略为允许通信的情况下，转发规则用于指示业务数据的转发路径，收发单元1910，还用于：根据转发规则指示的业务数据的转发路径，转发业务数据；或者，第一安全组与第二安全组之间的通信策略为禁止通信的情况下，转发规则用于指示丢弃业务数据，处理单元1920，用于根据转发规则丢弃业务数据。

又一示例，收发单元1910，还用于：向第二网元发送第三指示信息，第三指示信息用于指示与转发规则相关的地址老化。

又一示例，收发单元1910，还用于：接收来自第二网元的第四指示信息，第四指示信息用于指示删除转发规则。

又一示例，第二网元为会话管理功能网元。

又一示例，每个安全组包括以下一项或多项信息：安全组对应的数据网络、安全组所属的VN组的外部标识、安全组的标识、安全组的名称、安全组对应的通信设备、安全组与VN组中的多个安全组中的其他安全组之间的通信策略。

该装置1900可实现对应于根据本申请实施例的方法实施例中的网络设备(如核心网网元SMF或UPF)执行的步骤或者流程，该装置1900可以包括用于执行图9、图13至图18中的网络设备(如核心网网元SMF或UPF)执行的方法的单元。并且，该装置1900中的各单元和上述其他操作和/或功能分别为了实现图9、图13至图18中的网络设备(如核心网网元SMF或UPF)的方法实施例的相应流程。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

又一种可能的实现方式，收发单元1910，用于接收来自第四网元的第一请求消息，第一请求消息用于请求为虚拟网络VN组创建安全组；处理单元1920，用于基于第一请求消息，为VN组创建多个安全组；其中，VN组中包括多个安全组，每个安全组对应一个或多个通信设备，多个安全组包括第一安全组，第一安全组和多个安全组中的其它安全组之间具有通信策略，通信策略用于控制第一安全组对应的通信设备与其它安全组对应的通信设备之间的通信。

又一示例，第一请求消息中包括以下一项或多项信息：待创建的安全组所属的VN组的外部标识、待创建的安全组对应的数据网络、待创建的安全组的标识、待创建的安全组的名称、待创建的安全组之间的通信策略。

又一示例，第一请求消息中包括待创建的安全组之间的通信策略，处理单元1920，具体用于根据待创建的安全组之间的通信策略，为待创建的安全组设置通信策略，通信策略为允许通信或禁止通信。

又一示例，收发单元1910，还用于接收来自第四网元的第二请求消息，第二请求消息用于请求为第一安全组添加一个或多个通信设备。

又一示例，第二请求消息中包括以下一项或多项信息：第一安全组对应的数据网络、第一安全组所属的VN组的外部标识、第一安全组的标识、第一安全组的名称、待添加的一个或多个通信设备的信息。

又一示例，每个安全组包括以下一项或多项信息：安全组对应的数据网络、安全组所属的VN组的外部标识、安全组的标识、安全组的名称、安全组对应的通信设备、安全组与VN组的多个安全组中的其他安全组之间的通信策略。

又一示例，装置1900为能力开放功能网元，第四网元为应用功能网元。

该装置1900可实现对应于根据本申请实施例的方法实施例中的网络设备(如第三网元)执行的步骤或者流程，该装置1900可以包括用于执行图10、图11、图12中的网络设备(如第三网元)执行的方法的单元。并且，该装置1900中的各单元和上述其他操作和/或功能分别为了实现图10、图11、图12中的网络设备的方法实施例的相应流程。

上文实施例中的处理单元1920可以由至少一个处理器或处理器相关电路实现。收发单元1910可以由收发器或收发器相关电路实现。存储单元可以通过至少一个存储器实现。

如图20所示，本申请实施例还提供一种安全通信的装置2000。该装置2000包括处理器2010，处理器2010与存储器2020耦合，存储器2020用于存储计算机程序或指令和/或数据，处理器2010用于执行存储器2020存储的计算机程序或指令和/或数据，使得上文方法实施例中的方法被执行。

可选地，该装置2000包括的处理器2010为一个或多个。

可选地，如图20所示，该装置2000还可以包括存储器2020。

可选地，该装置2000包括的存储器2020可以为一个或多个。

可选地，该存储器2020可以与该处理器2010集成在一起，或者分离设置。

可选地，如图20所示，该装置2000还可以包括收发器2030，收发器2030用于信号的接收和/或发送。例如，处理器2010用于控制收发器2030进行信号的接收和/或发送。

作为一种方案，该装置2000用于实现上文方法实施例中由网络设备执行的操作。

例如，处理器2010用于实现上文方法实施例中由SMF执行的处理相关的操作，收发器2030用于实现上文方法实施例中由SMF执行的收发相关的操作。

又如，处理器2010用于实现上文方法实施例中由UPF执行的处理相关的操作，收发器2030用于实现上文方法实施例中由UPF执行的收发相关的操作。

又如，处理器2010用于实现上文方法实施例中由AF执行的处理相关的操作，收发器2030用于实现上文方法实施例中由AF执行的收发相关的操作。

又如，处理器2010用于实现上文方法实施例中由NEF执行的处理相关的操作，收发器2030用于实现上文方法实施例中由NEF执行的收发相关的操作。

本申请实施例还提供一种通信装置2100，该通信装置2100可以是网络设备也可以是芯片。该通信装置2100可以用于执行上述方法实施例中由网络设备所执行的操作。

当该通信装置2100为网络设备时，图21示出了一种简化的网络设备结构示意图。网络设备包括2110部分以及2120部分。2110部分主要用于射频信号的收发以及射频信号与基带信号的转换；2120部分主要用于基带处理，对网络设备进行控制等。2110部分通常可以称为收发单元、收发机、收发电路、或者收发器等。2120部分通常是网络设备的控制中心，通常可以称为处理单元，用于控制网络设备执行上述方法实施例中的处理操作。

2110部分的收发单元，也可以称为收发机或收发器等，其包括天线和射频电路，其中射频电路主要用于进行射频处理。可选地，可以将2110部分中用于实现接收功能的器件视为接收单元，将用于实现发送功能的器件视为发送单元，即2110部分包括接收单元和发送单元。接收单元也可以称为接收机、接收器、或接收电路等，发送单元可以称为发射机、发射器或者发射电路等。

2120部分可以包括一个或多个单板，每个单板可以包括一个或多个处理器和一个或多个存储器。处理器用于读取和执行存储器中的程序以实现基带处理功能以及对基站的控制。若存在多个单板，各个单板之间可以互联以增强处理能力。作为一种可选的实施方式，也可以是多个单板共用一个或多个处理器，或者是多个单板共用一个或多个存储器，或者是多个单板同时共用一个或多个处理器。

应理解，图21仅为示例而非限定，上述包括收发单元和处理单元的网络设备可以不依赖于图21所示的结构。

当该装置2100为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路、通信接口；处理单元为该芯片上集成的处理器或者微处理器或者集成电路。当然装置2100还可以为一个芯片系统或处理系统，使得安装该装置2100的设备可以实现本申请实施例的方法和功能。例如，处理单元2120可以为芯片系统或处理系统中的处理电路，实现对安装了该芯片系统或处理系统的设备的控制，还可以耦合链接存储单元，调用存储单元中的指令，使得设备可以实现本申请实施例的方法和功能，收发单元2110，可以为芯片系统或处理系统中的输入输出电路，将芯片系统处理好的信息输出，或将待处理的数据或信令信息输入芯片系统进行处理。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由网络设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由网络设备执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由网络设备执行的方法。

本申请实施例还提供一种通信系统，该通信系统包括上文实施例中的网络设备，第一网元和第二网元，或者，第三网元和第四网元。

示例地，该通信系统包括上文实施例中的SMF和UPF，或者，AF和NEF。

上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

应理解，本申请实施例中提及的处理器可以是中央处理单元(central processing unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器和/或非易失性存储器。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM可以包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的保护范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。

另外，在本申请各个实施例中的各功能单元可以集成在一个单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，所述计算机可以是个人计算机，服务器，或者网络设备等。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD)等。例如，前述的可用介质可以包括但不限于：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种安全通信的方法，其特征在于，包括：

第一网元接收第一通信设备发送给第二通信设备的业务数据的信息；

所述第一网元获取第一安全组与第二安全组之间的通信策略，所述第一安全组为所述第一通信设备对应的安全组，所述第二安全组为所述第二通信设备对应的安全组；

根据所述第一安全组与第二安全组之间的通信策略，所述第一网元为所述业务数据制定转发规则；

其中，所述第一通信设备和所述第二通信设备为同一个虚拟网络VN组内的设备，所述VN组中包括多个安全组，所述多个安全组包括所述第一安全组和所述第二安全组。
根据权利要求1所述的方法，其特征在于，

所述第一安全组与第二安全组之间的通信策略为允许通信，或者，

所述第一安全组与第二安全组之间的通信策略为禁止通信。
根据权利要求1或2所述的方法，其特征在于，所述第一网元为会话管理功能网元。
根据权利要求3所述的方法，其特征在于，

所述第一安全组与所述第二安全组之间的通信策略为允许通信的情况下，所述转发规则用于指示所述业务数据的转发路径；或者，

所述第一安全组与所述第二安全组之间的通信策略为禁止通信的情况下，所述转发规则用于指示丢弃所述业务数据。
根据权利要求3或4所述的方法，其特征在于，所述第一网元接收第一通信设备发送给第二通信设备的业务数据的信息，包括：

所述第一网元接收来自第二网元的转发规则未知消息，所述转发规则未知消息包括所述业务数据的源地址信息和目的地址信息，所述源地址对应所述第一安全组，所述目的地址对应所述第二安全组；

所述根据所述第一安全组与第二安全组之间的通信策略，所述第一网元为所述业务数据制定转发规则，包括：

所述第一网元根据所述源地址对应的所述第一安全组和所述目的地址对应的所述第二安全组之间的通信策略，为所述业务数据制定转发规则；

所述第一网元将所述转发规则发送给所述第二网元。
根据权利要求5所述的方法，其特征在于，所述第一网元接收来自第二网元的转发规则未知消息之前，所述方法还包括：

所述第一网元向所述第二网元发送第一指示信息，所述第一指示信息用于指示上报转发规则未知的信息。
根据权利要求5或6所述的方法，其特征在于，所述方法还包括：

所述第一网元向所述第二网元发送第二指示信息，所述第二指示信息用于指示删除所述转发规则。
根据权利要求7所述的方法，其特征在于，所述第一网元向所述第二网元发送第二指示信息，包括：

确定所述第一通信设备的会话释放或者确定与所述转发规则相关的地址老化的情况下，所述第一网元向所述第二网元发送所述第二指示信息。
根据权利要求5至8中任一项所述的方法，其特征在于，所述第二网元为用户面功能网元。
根据权利要求1或2所述的方法，其特征在于，所述第一网元为用户面功能网元。
根据权利要求10所述的方法，其特征在于，所述方法还包括：

所述第一网元接收来自第二网元的所述多个安全组的信息，所述多个安全组的信息包括：所述多个安全组中任两个安全组之间的通信策略的信息。
根据权利要求11所述的方法，其特征在于，

所述第一网元接收第一通信设备发送给第二通信设备的业务数据的信息，包括：

所述第一网元接收所述第一通信设备发送给所述第二通信设备的所述业务数据；

所述第一网元获取第一安全组与第二安全组之间的通信策略，包括：

在所述第一网元判断所述第一通信设备属于所述VN组中所述第一安全组对应的通信设备，所述第二通信设备属于所述VN组中第二安全组对应的通信设备的情况下，所述第一网元从所述多个安全组的信息中获取所述第一安全组与所述第二安全组之间的通信策略。
根据权利要求12所述的方法，其特征在于，

所述第一安全组与所述第二安全组之间的通信策略为允许通信的情况下，所述转发规则用于指示所述业务数据的转发路径，所述第一网元根据所述转发规则指示的所述业务数据的转发路径，转发所述业务数据；或者，

所述第一安全组与所述第二安全组之间的通信策略为禁止通信的情况下，所述转发规则用于指示丢弃所述业务数据，所述第一网元根据所述转发规则丢弃所述业务数据。
根据权利要求12或13所述的方法，其特征在于，所述方法还包括：

所述第一网元向第二网元发送第三指示信息，所述第三指示信息用于指示与所述转发规则相关的地址老化。
根据权利要求14所述的方法，其特征在于，所述方法还包括：

所述第一网元接收来自所述第二网元的第四指示信息，所述第四指示信息用于指示删除所述转发规则。
根据权利要求14或15所述的方法，其特征在于，所述第二网元为会话管理功能网元。
根据权利要求1至16中任一项所述的方法，其特征在于，每个安全组包括以下一项或多项信息：

所述安全组对应的数据网络、所述安全组所属的所述VN组的外部标识、所述安全组的标识、所述安全组的名称、所述安全组对应的通信设备、所述安全组与所述VN组中的所述多个安全组中的其他安全组之间的通信策略。
一种安全通信的方法，其特征在于，包括：

第三网元接收来自第四网元的第一请求消息，所述第一请求消息用于请求为虚拟网络VN组创建安全组；

所述第三网元基于所述第一请求消息，为所述VN组创建多个安全组；

其中，所述VN组中包括多个安全组，每个安全组对应一个或多个通信设备，所述多个安全组包括第一安全组，所述第一安全组和所述多个安全组中的其它安全组之间具有通信策略，所述通信策略用于控制所述第一安全组对应的通信设备与所述其它安全组对应的通信设备之间的通信。
根据权利要求18所述的方法，其特征在于，所述第一请求消息中包括以下一项或多项信息：

待创建的安全组所属的所述VN组的外部标识、待创建的安全组对应的数据网络、待创建的安全组的标识、待创建的安全组的名称、待创建的安全组之间的通信策略。
根据权利要求19所述的方法，其特征在于，所述第一请求消息中包括所述待创建的安全组之间的通信策略，所述方法还包括：

根据所述待创建的安全组之间的通信策略，所述第三网元为所述待创建的安全组设置通信策略，所述通信策略为允许通信或禁止通信。
根据权利要求18至20中任一项所述的方法，其特征在于，所述方法还包括：

所述第三网元接收来自所述第四网元的第二请求消息，所述第二请求消息用于请求为所述第一安全组添加一个或多个通信设备。
根据权利要求21所述的方法，其特征在于，所述第二请求消息中包括以下一项或多项信息：

所述第一安全组对应的数据网络、所述第一安全组所属的所述VN组的外部标识、所述第一安全组的标识、所述第一安全组的名称、待添加的所述一个或多个通信设备的信息。
根据权利要求18至22中任一项所述的方法，其特征在于，每个安全组包括以下一项或多项信息：

所述安全组对应的数据网络、所述安全组所属的所述VN组的外部标识、所述安全组的标识、所述安全组的名称、所述安全组对应的通信设备、所述安全组与所述VN组的多个安全组中的其他安全组之间的通信策略。
根据权利要求18至23中任一项所述的方法，其特征在于，

所述第三网元为能力开放功能网元，所述第四网元为应用功能网元。
一种安全通信的装置，其特征在于，包括：收发单元和处理单元，

所述收发单元，用于接收第一通信设备发送给第二通信设备的业务数据的信息；

所述收发单元，还用于获取第一安全组与第二安全组之间的通信策略，所述第一安全组为所述第一通信设备对应的安全组，所述第二安全组为所述第二通信设备对应的安全组；

所述处理单元，用于根据所述第一安全组与第二安全组之间的通信策略，为所述业务数据制定转发规则；

其中，所述第一通信设备和所述第二通信设备为同一个虚拟网络VN组内的设备，所述VN组中包括多个安全组，所述多个安全组包括所述第一安全组和所述第二安全组。
根据权利要求25所述的装置，其特征在于，

所述第一安全组与第二安全组之间的通信策略为允许通信，或者，

所述第一安全组与第二安全组之间的通信策略为禁止通信。
根据权利要求25或26所述的装置，其特征在于，所述装置为会话管理功能网元。
根据权利要求27所述的装置，其特征在于，

所述第一安全组与所述第二安全组之间的通信策略为允许通信的情况下，所述转发规则用于指示所述业务数据的转发路径；或者，

所述第一安全组与所述第二安全组之间的通信策略为禁止通信的情况下，所述转发规则用于指示丢弃所述业务数据。
根据权利要求27或28所述的装置，其特征在于，所述收发单元，具体用于接收来自第二网元的转发规则未知消息，所述转发规则未知消息包括所述业务数据的源地址信息和目的地址信息，所述源地址对应所述第一安全组，所述目的地址对应所述第二安全组；

所述处理单元，具体用于根据所述源地址对应的所述第一安全组和所述目的地址对应的所述第二安全组之间的通信策略，为所述业务数据制定转发规则；

所述收发单元，还用于将所述转发规则发送给所述第二网元。
根据权利要求29所述的装置，其特征在于，

所述收发单元，还用于向所述第二网元发送第一指示信息，所述第一指示信息用于指示上报转发规则未知的信息。
根据权利要求29或30所述的装置，其特征在于，

所述收发单元，还用于向所述第二网元发送第二指示信息，所述第二指示信息用于指示删除所述转发规则。
根据权利要求31所述的装置，其特征在于，所述收发单元，具体用于确定所述第一通信设备的会话释放或者确定与所述转发规则相关的地址老化的情况下，向所述第二网元发送所述第二指示信息。
根据权利要求29至32中任一项所述的装置，其特征在于，所述第二网元为用户面功能网元。
根据权利要求25或26所述的装置，其特征在于，所述装置为用户面功能网元。
根据权利要求34所述的装置，其特征在于，

所述收发单元，还用于接收来自第二网元的所述多个安全组的信息，所述多个安全组的信息包括：所述多个安全组中任两个安全组之间的通信策略的信息。
根据权利要求35所述的装置，其特征在于，

所述收发单元，具体用于接收所述第一通信设备发送给所述第二通信设备的所述业务数据；在判断所述第一通信设备属于所述VN组中所述第一安全组对应的通信设备，所述第二通信设备属于所述VN组中第二安全组对应的通信设备的情况下，从所述多个安全组的信息中获取所述第一安全组与所述第二安全组之间的通信策略。
根据权利要求36所述的装置，其特征在于，

所述第一安全组与所述第二安全组之间的通信策略为允许通信的情况下，所述转发规则用于指示所述业务数据的转发路径，所述处理单元，具体用于根据所述转发规则指示的所述业务数据的转发路径，转发所述业务数据；或者，

所述第一安全组与所述第二安全组之间的通信策略为禁止通信的情况下，所述转发规则用于指示丢弃所述业务数据，所述处理单元，具体用于根据所述转发规则丢弃所述业务数据。
根据权利要求36或37所述的装置，其特征在于，

所述收发单元，还用于向第二网元发送第三指示信息，所述第三指示信息用于指示与所述转发规则相关的地址老化。
根据权利要求38所述的装置，其特征在于，

所述收发单元，还用于接收来自所述第二网元的第四指示信息，所述第四指示信息用于指示删除所述转发规则。
根据权利要求38或39所述的装置，其特征在于，所述第二网元为会话管理功能网元。
根据权利要求25至40中任一项所述的装置，其特征在于，每个安全组包括以下一项或多项信息：

所述安全组对应的数据网络、所述安全组所属的所述VN组的外部标识、所述安全组的标识、所述安全组的名称、所述安全组对应的通信设备、所述安全组与所述VN组中的所述多个安全组中的其他安全组之间的通信策略。
一种安全通信的装置，其特征在于，包括：收发单元和处理单元，

所述收发单元，用于接收来自第四网元的第一请求消息，所述第一请求消息用于请求为虚拟网络VN组创建安全组；

所述处理单元，用于基于所述第一请求消息，为所述VN组创建多个安全组；

其中，所述VN组中包括多个安全组，每个安全组对应一个或多个通信设备，所述多个安全组包括第一安全组，所述第一安全组和所述多个安全组中的其它安全组之间具有通信策略，所述通信策略用于控制所述第一安全组对应的通信设备与所述其它安全组对应的通信设备之间的通信。
根据权利要求42所述的装置，其特征在于，所述第一请求消息中包括以下一项或多项信息：

待创建的安全组所属的所述VN组的外部标识、待创建的安全组对应的数据网络、待创建的安全组的标识、待创建的安全组的名称、待创建的安全组之间的通信策略。
根据权利要求43所述的装置，其特征在于，所述第一请求消息中包括所述待创建的安全组之间的通信策略，

所述处理单元，还用于根据所述待创建的安全组之间的通信策略，为所述待创建的安全组设置通信策略，所述通信策略为允许通信或禁止通信。
根据权利要求42至44中任一项所述的装置，其特征在于，

所述收发单元，还用于接收来自所述第四网元的第二请求消息，所述第二请求消息用于请求为所述第一安全组添加一个或多个通信设备。
根据权利要求45所述的装置，其特征在于，所述第二请求消息中包括以下一项或多项信息：

所述第一安全组对应的数据网络、所述第一安全组所属的所述VN组的外部标识、所述第一安全组的标识、所述第一安全组的名称、待添加的所述一个或多个通信设备的信息。
根据权利要求45或46所述的装置，其特征在于，每个安全组包括以下一项或多项信息：

所述安全组对应的数据网络、所述安全组所属的所述VN组的外部标识、所述安全组的标识、所述安全组的名称、所述安全组对应的通信设备、所述安全组与所述VN组的多个安全组中的其他安全组之间的通信策略。
根据权利要求45至47中任一项所述的装置，其特征在于，

所述装置为能力开放功能网元，所述第四网元为应用功能网元。
一种安全通信的装置，其特征在于，包括：

处理器，用于执行存储器中存储的计算机指令，以使得所述装置执行：如权利要求1至24中任一项所述的方法。
根据权利要求49所述的装置，其特征在于，所述装置还包括所述存储器。
根据权利要求49或50所述的装置，其特征在于，所述装置还包括通信接口，所述通信接口与所述处理器耦合，

所述通信接口，用于输入和/或输出信息。
根据权利要求49至51中任一项所述的装置，其特征在于，所述装置为芯片。
一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被计算机执行时，以使得实现如权利要求1至24中任一项所述的方法。
一种计算机程序产品，所述计算机程序产品包括计算机程序，当所述计算机程序在计算机上运行时，使得计算机执行如权利要求1至24中任一项所述的方法。