WO2024012299A1

WO2024012299A1 - 一种通信方法、通信装置及通信系统

Info

Publication number: WO2024012299A1
Application number: PCT/CN2023/105370
Authority: WO
Inventors: 朱锦涛; 李飞; 丁辉
Original assignee: 华为技术有限公司
Priority date: 2022-07-13
Filing date: 2023-06-30
Publication date: 2024-01-18
Also published as: CN117440366A

Abstract

本申请提供了一种通信方法、通信装置及通信系统。其中，该方法包括：获取服务质量流标识(QoS flow identifier，QFI)对应的安全策略，所述安全策略包括完整性保护和/或机密性保护策略；根据所述安全策略对所述QFI对应的第一数据无线承载(dataradiobearer，DRB)执行安全保护。通过本申请提供的技术方案，可以实现用户面基于QoS流/DRB粒度的数据安全保护，以满足不同类型业务的安全需求，提高对数据安全保护的准确性。

Description

一种通信方法、通信装置及通信系统

本申请要求于2022年07月13日提交中国专利局、申请号为202210821767.5、申请名称为“一种通信方法、通信装置及通信系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及无线通信技术领域，尤其涉及一种通信方法、通信装置及通信系统。

背景技术

在移动通信系统中，为了保证业务数据传输的安全性，协议数据单元(protocol data unit，PDU)会话建立过程期间，会话管理功能(session management function，SMF)网元可以为PDU会话提供用户平面(userplane，UP)安全策略。其中，UP安全策略可以指示是否对属于该PDU会话的所有数据无线承载(data radio bearer，DRB)激活UP机密性保护和/或UP完整性保护。

第五代移动网络(5th Generation Mobile Networks，5G)网络具有低时延、高可靠、广覆盖等特性，结合人工智能、端到端网络切片等技术，在多领域有着广阔应用前景，例如工业领域，5G进入工业现场网络时，对于业务消息和功能安全消息共存的工业设备而言，由于不同的消息性能和重要性的差异，对于数据安全保护的要求较高。

发明内容

本申请实施例提供一种通信方法、通信装置及通信系统，可以实现用户面基于QoS流/DRB粒度的数据安全保护，以满足不同类型业务的安全需求，提高对数据安全保护的准确性。

第一方面，本申请公开一种通信方法，该通信方法可以应用于接入网设备，也可以应用于接入网设备中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分接入网设备功能的逻辑模块或软件。下面以执行主体是接入网设备为例进行描述。该通信方法可以包括：接入网设备获取服务质量流标识(qualityofserviceflow identifier，QFI)对应的安全策略，该安全策略包括完整性保护和/或机密性保护策略；根据上述安全策略对QFI对应的第一DRB执行安全保护。

本申请实施例，可以实现用户面会话的基于QoS流/DRB粒度的安全策略控制，将不同的安全策略关联到具体的QoS流上，实现QoS流与DRB的映射，使得不同的QoS流/DRB可以执行不同的安全策略，进而实现了基于QoS流/DRB的安全保护，以满足不同类型业务的安全需求，相较于PDU会话粒度的所有QoS流/DRB使用相同的安全策略，可以提高对业务数据安全保护的精确性。

一种可能的实现方式，获取QFI对应的安全策略包括：接收来自SMF网元的QFI对应的安全策略。

本申请实施例，接入网设备获取QFI对应的安全策略，一种可能的实现方式是，SMF网元向接入网设备发送QFI对应的安全策略，从而接入网设备可以获取到QFI对应的安全策略。

一种可能的实现方式，获取QFI对应的安全策略包括：获取QFI对应的QoS属性指示信息，QoS属性指示信息指示对数据流采用的服务质量保障；获取QoS属性指示信息对应的安全策略；根据QFI对应的QoS属性指示信息和QoS属性指示信息对应的安全策略确定QFI对应的安全策略。

本申请实施例，接入网设备获取QFI对应的安全策略，一种可能的实现方式是，接入网设备先获取QFI对应的QoS属性指示信息，再获取QoS属性指示信息对应的安全策略，从而接入网设备可以根据QFI对应的QoS属性指示信息和QoS属性指示信息对应的安全策略确定得到QFI对应的安全策略。

一种可能的实现方式，获取QFI对应的安全策略包括：接收来自SMF网元的QFI对应的QoS属性指示信息，QoS属性指示信息指示对数据流采用的服务质量；接收来自应用功能(application function，AF)网元的QoS属性指示信息对应的安全策略；根据QFI对应的QoS属性指示信息和QoS属性指示信息对应的安全策略确定QFI对应的安全策略。

本申请实施例，接入网设备可以从SMF网元获取QFI对应的QoS属性指示信息，从AF网元获取QoS属性指示信息对应的安全策略。本申请实施例仅以SMF网元和AF网元为例进行说明，接入网设备还可以从其它网元获取QFI对应的QoS属性指示信息和QoS属性指示信息对应的安全策略，本申请实施例对此不做限定。

一种可能的实现方式，该通信方法还可以包括：接入网设备根据上述安全策略向终端设备发送指示信息，该指示信息用于指示对第一DRB执行安全保护。

本申请实施例，接入网设备向终端设备发送指示信息，以使终端设备可以根据指示信息对第一DRB执行安全保护。可以理解为，接入网设备可以对第一DRB上所承载的数据包执行安全保护。也可以理解为，该DRB支持QFI对应的安全策略。其中，安全保护可以包括完整性和/或机密性保护。从而可以实现基于DRB粒度的数据安全保护，以满足不同类型业务的安全需求，提高对数据安全保护的准确性。

一种可能的实现方式，根据安全策略对QFI对应的第一DRB执行安全保护包括：接入网设备通过第一DRB接收来自终端设备的第一数据包；根据安全策略对第一数据包执行安全保护。

本申请实施例，终端设备需要向接入网设备发送上行数据包，例如第一数据包时，可以先确定第一数据包的QFI，再根据QFI与DRB的对应关系确定QFI对应的第一DRB。在第一DRB上向接入网设备发送第一数据包。接入网设备可以根据第一DRB确定对应的安全策略，再根据对应的安全策略对第一数据包执行安全保护。从而可以实现基于DRB粒度的数据安全保护，以满足不同类型业务的安全需求，提高对数据安全保护的准确性。

一种可能的实现方式，该通信方法还可以包括：根据第一数据包包括的QFI确定安全策略。

本申请实施例，终端设备确定第一数据包的QFI后，可选地，还可以将QFI的标签存储于数据包的包头中，以使接入网设备可以根据第一数据包包头中的QFI确定QFI对应的安全策略，并根据对应的安全策略对第一数据包执行安全保护。从而可以实现基于QoS流粒度的数据安全保护，以满足不同类型业务的安全需求，提高对数据安全保护的准确性。

一种可能的实现方式，该通信方法还可以包括：接入网设备通过与QFI对应的服务质量(qualityofservice，QoS)流(QoS Flow)向用户面功能(userplanefunction，UPF)网元发送所述第一数据包。

本申请实施例，接入网设备对第一数据包执行过安全保护后，可以向UPF网元发送第一数据包，实现用户面的上行数据传输。

一种可能的实现方式，根据安全策略对QFI对应的第一DRB执行安全保护包括：接入网设备可以通过与QFI对应的QoS流接收来自UPF网元的第二数据包；根据安全策略对第二数据包执行安全保护；通过第一DRB向终端设备发送第二数据包。

本申请实施例，UPF网元需要向接入网设备发送第二数据包时，可以确定第二数据包的QFI，并通过QFI对应的QoS流向接入网设备发送第二数据包。接入网设备接收到第二数据包，可以基于QFI对应的安全策略对第二数据包执行安全保护，接入网设备对第二数据包执行过安全保护后，可以向终端设备发送第二数据包，实现用户面的下行数据传输。从而可以实现基于QoS流粒度的数据安全保护，以满足不同类型业务的安全需求，提高对数据安全保护的准确性。

一种可能的实现方式，第一DRB能够支持所述安全策略。

一种可能的实现方式，该通信方法还可以包括：从已创建的DRB中确定第一DRB或者创建第一DRB。

本申请实施例，接入网设备通过第一DRB接收来自终端设备的第一数据包或者通过第一DRB向终端设备发送第二数据包之前，可以先确定第一DRB。一种可能的实现方式，从已创建的DRB确定能够支持QFI对应的安全策略的DRB。另一种可能的实现方式，创建新的支持QFI对应的安全策略的DRB。可选地，接入网设备可以将QFI、DRB与安全策略对应关联，从而可以实现用户面基于QoS流/DRB粒度的数据安全保护，以满足不同类型业务的安全需求，提高对数据安全保护的准确性。

第二方面，本申请公开一种通信方法，该通信方法可以应用于终端设备，也可以应用于终端设备中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分终端设备功能的逻辑模块或软件。下面以执行主体是终端设备为例进行描述。该通信方法可以包括：终端设备接收来自接入网设备的指示信息，该指示信息用于指示对第一DRB执行安全保护，该安全保护包括完整性和/或机密性保护；根据所述指示信息对第一DRB执行安全保护。

应理解，第二方面的执行主体可以为终端设备，第二方面的具体内容与第一方面的内容对应，第二方面相应特征以及达到的有益效果可以参考第一方面的描述，为避免重复，此处适当省略详细描述。

一种可能的实现方式，根据指示信息对第一DRB执行安全保护包括：终端设备根据指示信息对第一数据包执行安全保护；通过第一DRB向接入网设备发送经过安全保护后的第一数据包。

一种可能的实现方式，根据指示信息对第一DRB执行安全保护包括：终端设备通过第一DRB接收来自接入网设备的第二数据包；根据指示信息对第二数据包执行安全保护。

第三方面，本申请公开一种通信方法，该通信方法可以应用于SMF网元，也可以应用于SMF网元中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分SMF网元功能的逻辑模块或软件。下面以执行主体是SMF网元为例进行描述。该通信方法可以包括：SMF网元获取QoS流的QFI对应的安全策略；向接入网设备发送QoS流的QFI对应的安全策略。

应理解，第三方面的执行主体可以为SMF网元，第三方面的具体内容与第一方面的内容对应，第三方面相应特征以及达到的有益效果可以参考第一方面的描述，为避免重复，此处适当省略详细描述。

一种可能的实现方式，SMF网元获取QoS流的QFI对应的安全策略包括：SMF网元接收来自策略控制功能(policy control function，PCF)网元的策略与计费控制(policy andchargingcontrol，PCC)规则(PCC rule)，该PCC规则包括QoS属性指示信息和安全策略，该安全策略包括完整性保护和/或机密性保护策略；基于QoS属性指示信息和安全策略将PCC规则关联到QoS流；基于PCC规则和与PCC规则关联的QoS流获得QoS流的QFI对应的安全策略。

一种可能的实现方式，基于QoS属性指示信息和安全策略将PCC规则关联到QoS流包括：从已创建的QoS流中确定能够支持QoS属性指示信息和安全策略的QoS流或者创建支持QoS属性指示信息和安全策略的QoS流；将PCC规则关联到QoS流。

第四方面，本申请实施例提供一种通信装置。该通信装置可以应用于接入网设备，也可以应用于接入网设备中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分接入网设备功能的逻辑模块或软件。

所述通信装置具有实现上述第一方面的方法实例中行为的功能单元。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。有益效果可以参见第一方面的描述，此处不再赘述。

第五方面，本申请实施例提供一种通信装置。该通信装置可以应用于终端设备，也可以应用于终端设备中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分终端设备功能的逻辑模块或软件。

所述通信装置具有实现上述第二方面的方法实例中行为的功能单元。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。有益效果可以参见第二方面的描述，此处不再赘述。

第六方面，本申请实施例提供一种通信装置。该通信装置可以应用于SMF网元，也可以应用于SMF网元中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分SMF网元功能的逻辑模块或软件。

所述通信装置具有实现上述第五方面的方法实例中行为的功能单元。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。有益效果可以参见第三方面的描述，此处不再赘述。

第七方面，提供了一种通信装置，该通信装置可以为上述方法实施例中的接入网设备，或者为设置在接入网设备中的芯片或处理器。该通信装置可以包括处理器，处理器与存储器耦合，存储器用于存储程序或指令，当程序或指令被处理器执行时，使通信装置执行上述方法实施例中由接入网设备、或接入网设备中的芯片或处理器所执行的方法。

第八方面，提供了一种通信装置，该通信装置可以为上述方法实施例中的终端设备，或者为设置在终端设备中的芯片或处理器。该通信装置可以包括处理器，处理器与存储器耦合，存储器用于存储程序或指令，当程序或指令被处理器执行时，使通信装置执行上述方法实施例中由终端设备、或终端设备中的芯片或处理器所执行的方法。

第九方面，提供了一种通信装置，该通信装置可以为上述方法实施例中的SMF网元，或者为设置在 SMF网元中的芯片或处理器。该通信装置包括处理器，处理器与存储器耦合，存储器用于存储程序或指令，当程序或指令被处理器执行时，使通信装置执行上述方法实施例中由SMF网元、或SMF网元中的芯片或处理器所执行的方法。

第十方面，本申请提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，当该计算机程序或计算机指令运行时，使得上述各方法被执行。

第十一方面，本申请提供了一种包括可执行指令的计算机程序产品，当所述计算机程序产品在用户设备上运行时，使得上述各方法被执行。

第十二方面，本申请提供了一种通信系统，该系统包括终端设备、接入网设备、SMF网元、和/或UPF网元中一种或多种设备。

第十三方面，本申请提供了芯片系统，该芯片系统包括处理器，用于实现上述各方法中的功能。在一种可能的实现中，该芯片系统还可以包括存储器，用于保存程序指令和/或数据。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。

图1是本申请实施例提供的一种网络架构的示意图；

图2是本申请实施例公开的一种PDU会话、DRB和QoS流的示意图；

图3是本申请实施例提供的一种通信方法的流程示意图；

图4是本申请实施例提供的另一种通信方法的交互示意图；

图5是本申请实施例提供的又一种通信方法的交互示意图；

图6是本申请实施例提供的一种通信装置的结构示意图；

图7是本申请实施例提供的另一种通信装置的结构示意图；

图8是本申请实施例提供的又一种通信装置的结构示意图；

图9是本申请实施例提供的又一种通信装置的结构示意图；

图10是本申请实施例提供的一种终端设备的结构示意图。

具体实施方式

在本申请的描述中，除非另有说明，“/”表示“或”的意思，例如，A/B可以表示A或B。本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。此外，“至少一个”可以指一个或多个，“多个”可以指两个或两个以上。“第一”、“第二”等并不对数量和执行次序进行限定，并且“第一”、“第二”等也不限定一定不同。

需要说明的是，本申请中，“示例性地”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被理解为比其他实施例或设计方案更有选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

在本申请的描述中，“指示”可以包括直接指示和间接指示，也可以包括显示指示和隐式指示。将某一信息(如下文所述的指示信息)所指示的信息称为待指示信息，则具体实现过程中，对所述待指示信息进行指示的方式有很多种。例如，可以直接指示所述待指示信息，如指示所述待指示信息本身或者所述待指示信息的索引等。又例如，也可以通过指示其他信息来间接指示待指示信息，指示的其他信息与待指示信息之间存在关联关系。又例如，还可以仅仅指示待指示信息的一部分，而待指示信息的其他部分则是已知的或者提前约定的。另外，还可以借助预先约定(如协议规定)的各个信息的排列顺序来实现对特定信息的指示，从而在一定程度上降低指示开销。

为了更好地理解本申请提出的一种通信方法，下面先对本申请实施例应用的网络架构进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通信(global system for mobile communication，GSM)系统、码分多址(code division multiple access，CDMA)系统、宽带码多分址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(longtermevolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)系统、通用移动通信(universal mobile telecommunications system，UMTS)系统、增强型数据速率GSM演进(enhanced data rate for GSM evolution，EDGE)系统、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)系统。本申请实施例的技术方案还可以应用于其他通信系统，例如公共陆地移动网络(public land mobile network，PLMN)系统，高级的长期演进(LTE advanced，LTE-A)系统、5G系统、NR系统、机器与机器通信(machine to machine，M2M)系统、或者未来演进的其它通信系统等，本申请实施例对此不作限定。

下面结合图1示例性说明本申请实施例的一个应用场景。图1是本申请实施例提供的一种网络架构的示意图。如图1所示，该网络架构例如可以是非漫游(non-roaming)架构。该网络架构可以包括如下设备、网元和网络：

1、终端设备：可以称为用户设备(UE)、终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。UE还可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备或可穿戴设备，未来6G网络中的终端设备或者未来演进的公用陆地移动通信网络(publiclandmobilenetwork，PLMN)中的终端设备等，还可以是端设备、逻辑实体、智能设备，如手机，智能终端，例如虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端，或者服务器，网关，基站，控制器等通信设备，或者物联网(Internetofthings，IoT)设备，如传感器，电表，水表等。本申请实施例对此并不限定。在本申请实施例中，例如在工业领域，终端设备可以是客户端设备(customer premise equipment，CPE)，工业终端可以是具体执行工控操作的设备，比如一个温度传感器或者一个机械臂等，这类工业终端通常不具备5G接入能力，需要连接一个具备5G能力的CPE，这样工业终端可以通过CPE间接接入5G网络；或者，终端设备可以是将来演进可能出现的工业终端和CPE的集合体，具体可以理解为带5G能力的工业终端等，本申请对此不作限定。

2、(无线)接入网(radio access network，RAN)：为特定区域的授权终端提供入网功能，并能够根据终端的级别，业务的需求等使用不同质量的传输隧道。接入网络可以为采用不同接入技术的接入网络。目前的无线接入技术有两种类型：第三代合作伙伴计划(3^rd Generation Partnership Project，3GPP)接入技术(例如4G、5G系统中采用的无线接入技术)和非第三代合作伙伴计划(non-3GPP)接入技术。3GPP接入技术是指符合3GPP标准规范的接入技术，采用3GPP接入技术的接入网络称为RAN，5G系统中的接入网设备称为下一代基站节点(nextgeneration Node Base station，gNB)。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以wifi中的接入点(accesspoint，AP)为代表的空口技术。

基于无线通信技术实现接入网络功能的接入网可以称为RAN。RAN能够管理无线资源，为终端提供接入服务，进而完成控制信号和终端数据在终端和核心网之间的转发。

RAN例如可以是基站(NodeB)、演进型基站(evolvedNodeB，eNB或eNodeB)、5G移动通信系统中的基站(gNB)、未来移动通信系统中的基站或wifi系统中的AP等，还可以是云无线接入网络(cloudradioaccessnetwork，CRAN)场景下的无线控制器，或者该接入网设备可以为中继站、接入点、车载设备、可穿戴设备以及未来6G网络中的网络设备或者未来演进的PLMN网络中的网络设备等。本申请的实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。

3、接入和移动管理功能(access and mobility management function，AMF)实体：主要用于移动性管理和接入管理等，可以用于实现移动性管理实体(mobility management entity，MME)功能中除会话管理之外的其它功能，例如，合法监听、或接入授权/鉴权等功能。在本申请实施例中，可用于实现接入和移动管理网元的功能。

4、会话管理功能(session management function，SMF)实体：主要用于会话管理、终端设备的网络互连协议(internet protocol，IP)地址分配和管理、选择和管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。在本申请实施例中，可用于实现会话管理网元的功能。

5、用户面(user plane function，UPF)实体：即，数据面网关。可以用于分组路由和转发、或用户面数据的服务质量(quality of service，QoS)处理等。用户数据可通过该网元接入到数据网络(datanetwork， DN)。在本申请实施例中，可用于实现用户面网元的功能。

6、数据网络(data network，DN)：用于提供传输数据的网络。例如，运营商业务的网络、因特(Internet)网、第三方的业务网络等。

7、网络开放(network exposure function，NEF)实体：用于安全地向外部开放由3GPP网络功能提供的业务和能力等。

8、策略控制功能(policy control function，PCF)实体：用于负责针对会话、业务流级别进行计费、QoS带宽保障及移动性管理、终端设备策略决策等策略控制功能。该架构中，AMF与SMF所连接的PCF分别对应AM PCF(PCF for Access and Mobility Control)和AM PCF(PCFfor Session Management)，在实际部署场景中可能不是同一个PCF实体。

9、统一数据管理(unified data management，UDM)实体：用于处理终端设备标识，接入鉴权，注册以及移动性的签约管理等。

10、应用功能(application function，AF)实体：用于进行应用影响的数据路由，接入网络开放功能网元，与策略框架交互进行策略控制等。AF网元可以传递应用侧对网络侧的需求，例如，QoS需求或用户状态事件订阅等。AF网元作为应用功能实体，其与核心网进行交互时还可经由NEF进行授权处理，例如直接向NEF发送请求消息，NEF判断该AF是否被允许发送该请求消息，若验证通过，则将转发该请求消息至对应PCF或UDM。

11、统一数据存储(Unified Data Repository，UDR)实体：用于统一数据仓储功能。主要负责签约数据、策略数据、应用数据等类型数据的存取功能。

在该网络架构中，N1为AMF实体与UE之间的接口，用于向UE传递QoS规则等；N2为AMF实体与RAN之间的接口，用于传递核心网侧至RAN的无线承载控制信息等；N3为RAN和UPF实体之间的接口，用于传输用户面的数据等；N4为SMF实体与UPF实体之间的接口，用于控制面与用户面之间传递信息，包括控制面向用户面的转发规则、QoS规则、流量统计规则等的下发以及用户面的信息上报。N5为AF实体与PCF实体之间的接口，用于应用业务请求下发以及网络事件上报。N6为UPF实体与DN实体之间的接口，用于传输用户面的数据等；N7为PCF实体与SMF实体之间的接口，用于下发PDU会话粒度以及业务数据流粒度控制策略；N8为AMF实体与UDM实体之间的接口，用于AMF实体向UDM实体获取接入与移动性管理相关签约数据与鉴权数据，以及AMF实体向UDM实体注册UE当前移动性管理相关信息等；N10为SMF实体与UDM实体之间的接口，用于SMF实体向UDM实体获取会话管理相关签约数据，以及SMF实体向UDM实体注册UE当前会话相关信息等；N11为SMF实体与AMF实体之间的接口，用于传递RAN和UPF实体之间的PDU会话隧道信息、传递发送给UE的控制消息、传递发送给RAN的无线资源控制信息等；N15为PCF实体与AMF实体之间的接口，用于下发UE策略及接入控制相关策略；N35为UDM实体与UDR实体间的接口，用于UDM实体从UDR实体中获取用户签约数据信息；N36为PCF实体与UDR实体之间的接口，用于PCF实体从UDR实体中获取策略相关签约数据以及应用数据相关信息；N52为UDM实体和NEF实体之间的接口，用于NEF实体向第三方应用功能开放网络能力，如第三方应用功能通过NEF实体向UDM实体订阅特定群组中所有用户的可达性事件。可选地，NEF实体还与AMF实体、SMF实体均有直接接口，分别对应N29接口和N51接口(为简化图示，图1中并未展示)，用于开放运营商网络能力至第三方应用功能实体，前者可用于NEF实体直接向AMF实体订阅相应网络事件、更新用户配置信息，后者可用于更新SMF实体/UPF实体上的应用配置数据，如Application ID所对应的PFD(Packet Flow Description)分组流描述信息。

其中，用户注册流程，可以理解为，终端设备通过AN发送注册请求至AMF实体，AMF实体根据用户标识向特定UDM实体获取签约数据，UDM实体收到该请求后可向UDR实体获取实际签约数据。此外，AMF实体还可向PCF实体发起用户策略控制建立请求(UEPolicyControl_Create)及接入管理策略控制建立请求(AMPolicyControl_Create)，分别用于获取终端设备策略及接入控制策略。PCF实体在该过程中返回接入控制策略至AMF实体，并经由AMF实体向终端设备提供终端设备策略。会话建立流程，可以理解为，终端设备通过RAN发送会话建立请求到AMF实体，AMF实体为该会话选择SMF实体为其提供服务，保存SMF实体与PDU实体会话的对应关系，并将会话建立请求发送至SMF实体，SMF实体为终端设备选择相应UPF实体并建立用户面传输路径，并为其分配IP地址。在此过程中，SMF实体还将向PCF实体发起策略控制会话建立请求，用于在SMF实体和PCF实体间建立策略控制会话，在策略控制会话建立过程中，SMF实体将保存策略控制会话与PDU会话间的对应关系。此外，AF实体还可与PCF实体间建立AF会话，由PCF实体对AF会话与策略控制会话进行绑定。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从传统点到点的架构和服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

还应理解，图1中所示的AMF实体、SMF实体、UPF实体、DN实体、NEF实体、PCF实体、UDM实体、AF实体、UDR实体可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对此不做限定。

下文中，为便于说明，将用于实现AMF的实体记作接入和移动管理网元，将用于实现SMF的实体记作会话管理功能网元，将用于实现UPF的实体记作用户面网元，将用于实现DN的实体记作数据网络网元，将用于实现NEF的实体记作网络开放网元，将用于实现PCF的实体记作策略控制功能网元，将用于实现UDM的实体记作统一数据管理网元，将用于实现AF的实体记作应用功能网元，将用于实现UDR的实体记作统一数据存储网元。应理解，上述命名仅为用于区分不同的功能，而不应对本申请构成任何限定，本申请并不排除在6G以及未来可能的其它网络中采用其它命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。在此进行统一说明，以下不再赘述。

还应理解，图1中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

下面先给出本申请实施例可能出现的技术术语的定义。本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释，而非旨在限定本申请。

(1)QoS

为了对不同业务提供不同的服务质量，无线网络提供了QoS，QoS管理是无线网络满足不同业务质量要求的控制机制，它是一个端到端的过程，需要业务在发起者到响应者之间所经历的网络各节点共同协作，以保障服务质量。空口QoS管理特性针对各种业务和用户的不同需求，提供不同的端到端服务质量。NSA(Non-Standalone)组网和SA(Standalone)组网下均支持QoS管理。

目前，5G通信中的QoS保障机制包括支持保障流比特速率(guaranteed bit rate，GBR)的QoS流(flow)和非GBR(Non-GBR)的QoS流。

在一个PDU会话(session)中，QoS流是区别QoS的最小粒度。5G系统中，使用QFI标识QoS流，并且QFI在一个PDU会话内是唯一的，也就是说一个PDU会话可以有多条(最多64条)QoS流，但每条QoS流的QFI都是不同的。一个PDU会话中，具有相同QFI的用户面业务流使用相同的业务转发处理方式(如调度)。请参阅图2，图2是本申请实施例公开的一种PDU会话、DRB和QoS流的示意图。如图2所示，在配置粒度上，一个PDU会话可以对应多个DRB，同一个DRB上的业务也能使用不同的服务等级，即QoS流；一个DRB又可以对应一个或多个QoS流，而QoS的配置则是QoS流级别。

在5G系统(5G system，5GS)中，QoS流是被核心网的SMF网元控制的，可以是预配置或通过PDU会话建立和修改。一个QoS流的配置可以包括UPF网元的PDR和接入网设备的QoS配置文件(profile)。

UPF网元的PDR可以包括上行PDR和下行PDR，这些PDR由SMF网元通过N4接口提供。对于网络协议版本(internetprotocolversion，IPv)4 or IPv6 or IPv4v6 PDU会话，PDR可以包括CN隧道信息(tunnel info)、网络实例(network instance)、QFI、网络协议(internetprotocol，IP)包滤波集合(packet filter set)和应用标识(application identifier)。CN隧道信息可以为PDU会话对应的N3/N9隧道的核心网地址。网络实例为域的标识信息，在UPF网元用于流量检测和路由。IP包滤波集合可以包括一系列与IP包滤波相关参数。应用标识是UPF网元中配置的应用检测规则集合的索引。对于以太网PDU会话，PDR可以包括CN隧道信息、网络实例、QFI和以太网包滤波集合(ethernet packet filter set)。以太网包滤波集合可以包括一系列与以太网包滤波相关参数。

接入网设备的QoS配置文件可以是SMF网元通过AMF网元与接入网设备之间的N2接口提供的，也可以是预配置的。QoS配置文件包括的信息可以如表1所示。

表1 QoS配置文件包括的信息

QoS配置文件配置的一个QoS流是“GBR”还是“Non-GBR”取决于它的QoS配置文件。每条QoS流的QoS配置文件都会包括5QI和ARP。每条Non-GBR QoS流的QoS配置文件还可以包括RQA。每条GBR QoS流的QoS配置文件还可以包括GFBR和MFBR。每条GBR QoS流的QoS配置还可以包括指示控制和MPLR。

(2)安全策略

安全策略可以包括完整性保护和/或机密性保护策略。可以理解为，安全策略可以用于指示是否执行安全保护和/或执行什么安全保护。其中：

完整性保护：发送端根据完整性保护算法以及完整性保护密钥对明文或密文进行完整性保护。接收端可以根据相同的完整性保护算法和完整性保护密钥对进行了完整性保护的数据进行完整性验证。

机密性保护：也可以称为加密保护，发送端根据机密性保护算法以及机密性保护密钥对明文或密文进行机密性保护。接收端可以根据相同的机密性保护算法和机密性保护密钥对进行了机密性保护的数据进行解密。

应理解，上述各个技术术语的定义仅为举例。例如随着技术的不断发展，上述定义的范围也有可能发生变化，本申请各实施例不作限制。

结合上述的网络架构，下面对本申请实施例提供的一种通信方法进行描述。

请参阅图3，图3是本申请实施例提供的一种通信方法的流程示意图。图3是从接入网设备作为执行主体为例来示意该方法，图3中的接入网设备也可以是支持该接入网设备实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分接入网设备功能的逻辑模块或软件。如图3所示，该通信方法可以包括以下步骤。

S301：接入网设备获取QFI对应的安全策略。

QFI为QoS流的标识。安全策略，又可以称为安全保护指示信息等，其可以包括完整性保护和/或机密性保护策略。可选地，安全策略可以用于指示是否执行/开启/激活(actived)安全保护，例如，安全策略可以指示需要(required)、推荐(preferred)和不需要(not_needed)等安全保护，安全保护包括完整性保护和/或机密性保护。可选地，安全策略可以用于指示执行什么安全保护。例如，安全策略可以指示需要机密性保护以及不需要完整性保护，或者，安全策略可以指示推荐机密性保护以及不需要完整性保护，或者，安全策略可以指示不需要机密性保护以及需要完整性保护，等等。

可选地，安全策略可以采用标识符的表现形式，该标识符可以是预设的字符、字符串或数值等，不同标识符的值可以表示不同的安全策略。例如，该标识符为两个比特(bite)位的数值，当标识符设置为00时，可以表示安全策略为不需要机密性保护和不需要完整性保护；当标识符设置为01时，可以表示需要机密性保护和不需要完整性保护；当标识符设置为02时，不需要机密性保护和需要完整性保护；当标识符设置为03时，需要机密性保护和需要完整性保护。可以理解，上述安全策略的表现形式仅为示例性说明，本申请对安全策略的表现形式不做限定。

接入网设备获取QFI对应的安全策略可以是以下任一可能的实现方式：

第一种可能的实现方式：会话管理功能网元向接入网设备发送QFI对应的安全策略。相应地，接入网设备接收来自会话管理功能网元的QFI对应的安全策略。具体地，会话管理功能网元向接入网设备发送该QFI以及该安全策略，又可以称为向接入网设备发送该QFI和该安全策略的对应关系。本申请中，其他类似的发送方式不再赘述。

第二种可能的实现方式：接入网设备获取QFI对应的QoS属性指示信息，所述QoS属性指示信息指示对数据流采用的服务质量保障；以及获取QoS属性指示信息对应的安全策略，再根据QFI对应的QoS属性指示信息和QoS属性指示信息对应的安全策略确定QFI对应的安全策略。在一个实施例中，会话管理功能网元向接入网设备发送QFI对应的QoS属性指示信息，相应地，接入网设备接收来自会话管理功能网元的QFI对应的QoS属性指示信息；应用功能网元向接入网设备发送QoS属性指示信息对应的安全策略，相应地，接入网设备接收来自应用功能网元的QoS属性指示信息对应的安全策略。

S302：接入网设备根据安全策略对QFI对应的第一DRB执行安全保护。

接入网设备获取QFI对应的安全策略之后，可以根据安全策略对QFI对应的第一DRB执行安全保护。可以理解为，接入网设备可以对第一DRB上所承载的数据包执行安全保护。也可以理解为，该第一DRB支持QFI对应的安全策略。其中，安全保护可以包括完整性和/或机密性保护。

例如，安全策略指示需要安全保护，接入网设备可以确定QFI对应的第一DRB开启机密性保护和/或完整性保护，又例如，安全策略指示推荐安全保护，接入网设备可以确定QFI对应的第一DRB开启机密性保护和/或完整性保护或者确定QFI对应的第一DRB不开启机密性保护和/或完整性保护，又例如，安全策略指示不需要安全保护，接入网设备可以确定QFI对应的第一DRB不开启机密性保护和/或完整性保护。

例如，安全策略用于指示需要机密性保护以及不需要完整性保护，则接入网设备可以确定QFI对应的第一DRB开启机密性保护和不开启完整性保护。又例如，安全策略用于指示推荐机密性保护以及不需要完整性保护，则接入网设备可以确定QFI对应的第一DRB开启机密性保护和不开启完整性保护，或者接入网设备可以确定QFI对应的第一DRB不开启机密性保护和不开启完整性保护。又例如，安全策略用于指示不需要机密性保护以及需要完整性保护，则接入网设备可以确定QFI对应的第一DRB不开启机密性保护和开启完整性保护，等等。

本申请实施例，可以实现用户面会话的基于DRB粒度的安全策略控制，将不同的安全策略对应不同的DRB，进而实现基于DRB粒度的数据安全保护，以满足不同类型业务的安全需求，相较于PDU会话粒度的所有DRB使用相同的安全策略，可以提高对业务数据安全保护的精确性。

请参阅图4，图4是本申请实施例提供的一种通信方法的交互示意图。图4所示的通信方法是以图3为基础的细化实施例。应理解，本申请中不同实施例的术语解释可以互相参考。为避免描述冗余，不同实施例可能不会对同一术语赘述。本实施例可以应用于上述步骤S301中的接入网设备获取QFI对应的安全策略的第一种可能的实现方式。图4中以终端设备、接入网设备、UPF网元、SMF网元和PCF网元作为该交互示意的执行主体为例来示意该方法，但本申请并不限制该交互示意的执行主体。例如，图4中的终端设备也可以是支持该终端设备实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分终端设备功能的逻辑模块或软件；图4中的接入网设备也可以是支持该接入网设备实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分接入网设备功能的逻辑模块或软件；图4中的UPF网元也可以是支持该UPF网元实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分UPF网元功能的逻辑模块或软件；图4中的SMF网元也可以是支持该SMF网元实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分SMF网元功能的逻辑模块或软件；图4中的PCF网元也可以是支持该PCF网元实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分PCF网元功能的逻辑模块或软件。如图4所示，该通信方法可以包括以下步骤S401-S415，其中，步骤S412-S415是可选的步骤。

S401：PCF网元向SMF网元发送包括QoS属性指示信息和安全策略的PCC规则。相应地，SMF网元接收来自PCF网元的包括QoS属性指示信息和安全策略的PCC规则。

PCF网元向SMF网元发送包括QoS属性指示信息和安全策略的PCC规则之前，可以先确定PCC规则。具体地：PCF网元可以接收来自AF网元的策略授权请求，根据策略授权请求进一步生成PCC规则。

AF网元可以先根据终端设备的业务类型进行策略分组，再向PCF网元发送策略授权请求之前。具体地：AF网元根据终端设备的业务类型进行策略分组，例如，AF网元的工业现场使能服务(Industry Field Enable Service，IFES)可以获取操作技术(Operation Technology，OT)网络现场网的全拓扑关系，对工业终端设备支持的各类业务消息进行策略分组。其中，每组策略可以对应业务描述信息、安全策略和/或QoS属性指示信息等。

业务描述信息可以理解为业务的相关参数，业务相关参数可以包括以下至少一种：业务的类型(例如，语音业务，或视频业务等)，业务的标识(例如，业务的IP地址，业务的端口号，或应用标识等)、业务的特性(例如，小数据业务，或宽带业务等)，以及执行业务的终端设备的标识等。终端设备的标识例如可以包括但不限于：国际移动设备识别码(international mobile equipment identity，IMEI)、国际移动用户识别码(international mobile subscriber identification number，IMSI)、IP多媒体子系统私有用户标识(IMS(IP multimedia subsystem)private user identity，IMPI)、临时移动用户标识(temporary mobile subscriber identity，TMSI)、IP多媒体公共标识(IP multimedia public identity，IMPU)、媒体接入控制(media access control，MAC)地址、IP地址、手机号码、全球唯一UE标识(globally unique temporary UE identity，GUTI)(例如对于5G来说，具体可以是5G GUTI)、永久身份标识(subscription permanent identifier，SUPI)、隐藏的身份标识(subscriber concealed identifier，SUCI)或永久设备标识(permanent equipment identifier，PEI)。

QoS属性指示信息可以用于表征对数据流采用的服务质量保障。例如，QoS属性指示信息可以是5QI，即对于某些QoS特征，采用一个矢量值来表示，可以理解为，5QI可以索引一组QoS属性及其取值。例如5QI＝1，可以表示资源类型(Resource Type)为保障流比特速率(guaranteed bit rate，GBR)类型，优先级数值(Priority Level)为20，数据包延迟预算(Packet Delay Budget)参数为100ms，…，默认平均窗口(Default Averaging Window)为待定义。或者例如，QoS属性指示信息可以是直接下发的一个或多个QoS属性及其取值，又或者例如，QoS属性指示信息可以是5QI以及一个或多个QoS属性及其取值，在本申请中，5QI和/或一个或多个QoS属性及其取值可以统称为QoS属性指示信息，后续不再赘述。

在一个实施例中，A组可以包括功能安全业务，安全策略为需要完整性保护，QoS属性指示信息为5QI1；B组可以包括实时业务，安全策略为无(可以理解为不需要机密性保护和不需要完整性保护)，可以根据其可能存在的不同业务周期对应不同的QoS属性指示信息为5QI2/5QI3/5QI4；C组可以包括非实时业务，安全策略为需要机密性保护和需要完整性保护，QoS属性指示信息为5QI5；D组可以包括加密相关业务，安全策略为需要机密性保护，QoS属性指示信息为5QI6等。

AF网元根据终端设备的业务类型进行策略分组后，可以向PCF网元发送策略授权请求。一种可能的实现方式，AF网元可以预先向NEF网元批量发送多个终端设备的策略授权请求，该请求中可以包括终端设备的标识、业务流信息、各业务流的QoS属性指示信息和/或对应的安全策略，示例性的具体结构可以为：终端设备标识->业务数据流(servicedataflow，SDF)->QoS属性指示信息->安全策略。该策略授权请求可以由NEF网元保存至UDR网元中，当PCF网元接收到来自SMF网元策略关联建立请求消息时，可以基于终端设备标识从UDR网元中获取预先配置的该终端设备所对应的策略授权请求，并进一步生成PCC规则。另一种可能的实现方式，当接收到来自某一个终端设备的业务请求时，AF网元可以向PCF网元发送针对该终端设备的策略授权请求。又一种可能的实现方式，当接收到某一个业务请求时，AF网元可以向PCF网元发送针对该业务数据流的策略授权请求。

PCF网元可以接收来自AF网元的策略授权请求，该策略授权请求可以包括业务描述信息、QoS属性指示信息和安全策略，PCF接收策略授权请求后，可以确定PCC规则。PCC规则是用于检测SDF以及对业务数据流进行策略控制与计费控制的规则信息集合。例如，PCC规则可以用于包括检测IP包属于哪个业务数据流、标识业务数据流所属业务、为业务数据流提供可用的计费参数、为业务数据流提供策略控制等，其中策略控制可以包括QoS属性指示信息和安全策略。在一个实施例中，PCC规则可以包括多个参数，例如包滤波集合(Packet Filter Set)、QoS属性指示信息、优先级(precedence)、安全策略、上下行最大比特速率(UL and DL Maximum Flow Bit Rate)、上下行保证流比特速率(UL and DL Guaranteed Flow Bit Rate)、分配和保留优先级(allocation and retention priority，ARP)、QoS通知控制(QoS notification control，QNC)等。其中：

包滤波集合(Packet Filter Set)，用于说明该PCC规则所使用业务数据流范围，可以通过互联网协议(Internet Protocol，IP)五元组(源IP地址、目的IP地址、协议号、源端口和目的端口)或者应用标识进行匹配；

优先级，用于指示PCC规则的优先级，即数据流可以匹配到多个PCC规则时的优先级处理。

S402：SMF网元将PCC规则关联到QoS流。

SMF网元在向接入网设备发送QoS流的QFI和QFI对应的安全策略之前，可以先获取QoS流的QFI对应的安全策略，也即获得QFI和安全策略的对应关系。具体地：步骤S401中SMF网元接收来自PCF网元的包括QoS属性指示信息和安全策略的PCC规则之后，可以基于QoS属性指示信息和安全策略将PCC规则关联到QoS流，再基于PCC规则和与PCC规则关联的QoS流获得QoS流的QFI对应的安全策略。

其中，SMF网元将PCC规则关联到QoS流，又可以理解为，SMF网元基于PCC规则执行QoS流绑定(QoS Flow binding)。又可以理解为，SMF网元可以基于PCC规则中多个参数的部分或全部参数执行QoS流绑定。

具体地，SMF网元可以基于QoS属性指示信息和安全策略将PCC规则关联到QoS流。一种可能的实现方式，SMF网元可以从已创建的QoS流确定能够支持上述QoS属性指示信息和安全策略的QoS流，将该PCC规则关联到该QoS流。另一种可能的实现方式，SMF网元可以创建新的支持上述QoS属性指示信息和安全策略的QoS流，并将该PCC规则关联到创建的QoS流。

具体地，SMF网元可以基于PCC规则中的5QI、ARP和安全策略等信息确定是否存在已有QoS流可提供该PCC规则中所要求的5QI、ARP和安全策略，若存在，则SMF网元可将该PCC规则关联至该QoS流；若不存在，则SMF网元可以根据基于PCC规则中的5QI、ARP和安全策略等信息创建一个新的QoS流，并将该PCC规则关联至新的QoS流。

S403：SMF网元向接入网设备发送QoS流的QFI和QFI对应的安全策略。相应地，接入网设备接收来自SMF网元的QoS流的QFI和QFI对应的安全策略。

SMF网元将PCC规则关联到QoS流后，即完成QoS流绑定后，SMF网元可以向接入网设备发送QFI和QFI对应的安全策略，QFI为QoS流的标识。具体地，SMF网元可以向接入网设备发送QFI及该QFI所对应的QoS配置文件(QoS Profile)，QoS配置文件可以包括PCF网元所下发的PCC规则中多个参数的部分或全部参数，例如QoS属性指示信息(如5QI)和安全策略。示例性的具体结构可以为QFI<-QoS Profile(5QI，安全策略)。

S404：接入网设备根据安全策略对QFI对应的第一DRB执行安全保护。

接入网设备获取QFI对应的安全策略之后，即接入网设备接收来自SMF网元的QFI和QFI对应的安全策略后，可以根据安全策略确定QFI对应的第一DRB。一种可能的实现方式，从已创建的DRB确定能够支持QFI对应的安全策略的第一DRB。另一种可能的实现方式，创建新的支持QFI对应的安全策略的第一DRB。示例性的对应关系可以表示为QFI<-5QI<-DRB<-安全策略。可以理解，同一个DRB可以对应一个QoS流，也可以对应多个QoS流。

S405：接入网设备向终端设备发送QFI与第一DRB的对应关系。相应地，终端设备接收来自接入网设备的QFI与第一DRB的对应关系。

接入网设备确定QFI对应的第一DRB之后，可以向终端设备发送该QFI与第一DRB的对应关系。

S406：接入网设备根据安全策略向终端设备发送用于指示对第一DRB执行安全保护的指示信息。相应地，终端设备接收来自接入网设备的用于指示对第一DRB执行安全保护的指示信息。

接入网设备可以根据QFI对应的安全策略向终端设备发送指示信息，该指示信息用于指示对QFI对应的第一DRB执行安全保护。

可以理解，上述接入网设备向终端设备发送QFI与DRB的对应关系，以及向终端设备发送用于指示DRB的安全保护的指示信息，可以通过不同的消息发送，也可以通过同一个消息发送，也即是S405和S406可以是同一个步骤，或者不同的两个步骤，且执行的先后顺序本申请也不做限定。一种可能的实现方式，同一个消息可以是同一个RRC配置消息，不同的消息可以是两个RRC配置消息。

需要说明的是，步骤S401～S406为控制面接口传递的信息，可以为在安全策略下发或安全策略激活时的处理，通常发生在数据流传输之前。以下步骤S407～S415可以为用户面传输数据流的处理。其中，步骤S407～步骤S411为发送上行数据包的实现方式，具体描述如下：

S407：终端设备确定第一数据包的QFI对应的第一DRB。

终端设备需要向接入网设备发送第一数据包(上行数据包)时，可以先确定第一数据包的QFI。终端设备接收来自SMF网元的QFI和QFI对应的QoS规则，QoS规则用于终端设备将第一数据包关联至对应的QFI，QoS规则包括包滤波集合(Packet Filter Set)、匹配优先级信息(Precedence)。根据QFI和QFI对应的QoS规则确定第一数据包的QFI，具体地：终端设备可以根据第一数据包的业务流信息和包滤波集合匹配第一数据包对应的QoS规则，根据QFI与QoS规则的对应关系确定第一数据包的QFI，再根据QFI与第一DRB的对应关系确定第一数据包对应第一DRB。应理解，第一数据包和第一DRB的对应关系指的是第一数据包通过第一DRB传输。

S408：终端设备根据指示信息对第一DRB对应的第一数据包执行安全保护。

终端设备根据指示信息(具体可以参见步骤S405的指示信息)对第一DRB对应的第一数据包执行安全保护，安全保护例如可以是执行完整性保护，或者机密性保护，或者完整性保护和机密性保护。例如，机密性保护可以是对第一数据包进行加密处理。

S409：终端设备通过第一DRB向接入网设备发送第一数据包。相应地，接入网设备通过第一DRB接收来自终端设备的第一数据包。

终端设备可以将第一数据包的QoS流映射到第一DRB，根据指示信息对第一DRB对应的第一数据包执行安全保护后，可以通过第一DRB向接入网设备发送第一数据包。

S410：接入网设备根据安全策略对第一数据包执行安全保护。

接入网设备收到来自终端设备的第一数据包后，可以根据安全策略对第一数据包执行安全保护，可以有以下实现方式：

第一种实现方式：接入网设备通过第一DRB接收来自终端设备的第一数据包，可以根据第一DRB的标识确定第一DRB对应的安全策略，再根据安全策略对第一数据包执行安全保护。具体地：在步骤S403中，接入网设备接收来自SMF网元的QFI和QFI对应的安全策略，以及在步骤S405中，接入网设备确定QFI与第一DRB的对应关系后，可以通过QFI建立第一DRB和安全策略的关系，并存储第一DRB与安全策略的对应关系。接入网设备通过第一DRB接收第一数据包后，可以根据第一DRB的标识确定第一DRB对应的安全策略，从而可以实现根据安全策略对第一数据包执行安全保护。

第二种实现方式：可选地，第一数据包可以包括QFI，QFI为QoS流的标识。接入网设备通过第一DRB接收来自终端设备的第一数据包，第一数据包包括QFI，接入网设备可以根据第一数据包中的QFI确定QFI对应的安全策略，并根据对应的安全策略对第一数据包执行安全保护。

接入网设备对第一数据包执行安全保护与终端设备对第一数据包执行安全保护可以是相互对应的。可以理解为，例如，终端设备对第一数据包执行安全保护是对第一数据包进行加密和/或完整性保护，则接入网设备对第一数据包执行安全保护可以是对第一数据包进行解密和/或完整性校验。

S411：接入网设备通过与第一DRB对应的QoS流向UPF网元发送第一数据包。相应地，UPF网元通过与第一DRB对应的QoS流接收来自接入网设备的第一数据包。

接入网设备接收来自终端设备的第一数据包，对该第一数据包执行安全保护后，可以向UPF网元发送该第一数据包，实现用户面的上行数据传输。

步骤S412～步骤S415为发送下行数据包的实现方式，具体描述如下：

S412：UPF网元确定第二数据包的QFI。

当UPF网元接收到下行数据包，如第二数据包时，可以先确定第二数据包的QFI。具体地：UPF网元接收来自SMF网元的QFI和QFI对应的QoS规则，QoS规则用于UPF网元将第二数据包关联至对应的QFI，QoS规则包括包滤波集合(Packet Filter Set)、匹配优先级信息(Precedence)。根据QFI和QFI对应的QoS规则确定第二数据包的QFI，具体地，UPF网元可以根据第二数据包的业务流信息和包滤波集合匹配第二数据包对应的QoS规则，根据QFI与QoS规则的对应关系确定第二数据包的QFI。

S413：UPF网元通过与QFI对应的QoS流向接入网设备发送第二数据包。相应地，接入网设备通过与QFI对应的QoS流接收来自UPF网元的第二数据包。

UPF网元确定第二数据包的QFI后，可以通过与QFI对应的QoS流向接入网设备发送第二数据包。可选地，第二数据包可以包括QFI。

S414：接入网设备基于QFI对应的安全策略对第二数据包执行安全保护。

接入网设备基于QFI对应的安全策略对第二数据包执行安全保护，可以有以下实现方式：

第一种实现方式：接入网设备通过与QFI对应的QoS流接收来自UPF网元的第二数据包，在步骤S403中，接入网设备接收来自SMF网元的QFI和QFI对应的安全策略，因此接入网设备可以根据该QoS流的QFI确定对应的安全策略，再根据对应的安全策略对第二数据包执行安全保护。

第二种实现方式：接入网设备通过与QFI对应的QoS流接收来自UPF网元的第二数据包，第二数据包包括QFI，在步骤S403中，接入网设备接收来自SMF网元的QFI和QFI对应的安全策略，因此接入网设备可以根据第二数据包中的QFI确定QFI对应的安全策略，并根据对应的安全策略对第二数据包执行安全保护，安全保护例如可以是执行完整性保护，或者机密性保护，或者完整性保护和机密性保护。例如，机密性保护可以是对第一数据包进行加密处理。

S415：接入网设备通过QFI对应的第一DRB向终端设备发送第二数据包。相应地，终端设备通过QFI对应的第一DRB接收来自接入网设备的第二数据包。

接入网设备接收来自UPF网元的第二数据包，对该第二数据包执行安全保护后，可以向终端设备发送该第二数据包，实现用户面的下行数据传输。终端设备接收到第二数据包后，可以对第二数据包执行安全保护。终端设备对第二数据包执行安全保护与接入网设备对第二数据包执行安全保护可以是相互对应的。可以理解为，例如，接入网设备对第二数据包执行安全保护是对第二数据包进行加密和/或完整性保护，则终端设备对第二数据包执行安全保护可以是对第二数据包进行解密和/或完整性校验。

可以理解，本申请不限定上述实施例中的多个步骤的执行顺序。本申请实施例，可以实现用户面会话的基于QoS流/DRB粒度的安全策略控制，将不同的安全策略关联到具体的QoS流上，实现QoS流与DRB的映射，使得不同的QoS流/DRB可以执行不同的安全策略，进而实现了基于QoS流/DRB的安全保护，以满足不同类型业务的安全需求，相较于PDU会话粒度的所有QoS流/DRB使用相同的安全策略，可以提高对业务数据安全保护的精确性。

结合上述的网络架构，下面对本申请实施例提供的另一种通信方法进行描述。

请参阅图5，图5是本申请实施例提供的一种通信方法的交互示意图。图5所示的通信方法是以图3为基础的细化实施例。应理解，本申请中不同实施例的术语解释可以互相参考。为避免描述冗余，不同实施例可能不会对同一术语赘述。本实施例可以应用于上述步骤S301中的接入网设备获取QFI对应的安全策略的第二种可能的实现方式。图5中以终端设备、接入网设备、UPF网元、SMF网元和AF网元作为该交互示意的执行主体为例来示意该方法，但本申请并不限制该交互示意的执行主体。例如，图5中的终端设备也可以是支持该终端设备实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分终端设备功能的逻辑模块或软件；图5中的接入网设备也可以是支持该接入网设备实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分接入网设备功能的逻辑模块或软件；图5中的UPF网元也可以是支持该UPF网元实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分UPF网元功能的逻辑模块或软件；图5中的SMF网元也可以是支持该SMF网元实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分SMF网元功能的逻辑模块或软件；图5中的AF网元也可以是支持该AF网元实现该方法的芯片、芯片系统、或处理器，还可以是能实现全部或部分AF网元功能的逻辑模块或软件。如图5所示，该通信方法可以包括以下步骤S501～S515。其中，步骤S512～S515是可选的步骤。

S501：AF网元向接入网设备发送QoS属性指示信息对应的安全策略。相应地，接入网设备接收来自AF网元的QoS属性指示信息对应的安全策略。

AF网元可以先根据终端设备的业务类型进行策略分组，再向接入网设备发送QoS属性指示信息对应的安全策略。可以理解，AF网络根据终端设备的业务类型进行策略分组的具体描述可以参考上述步骤S401，为避免重复，在此不再赘述。

AF网络向接入网设备发送QoS属性指示信息对应的安全策略，示例性的具体结构可以为：5QI1->安全策略1；5QI2/5QI3/5QI4->安全策略2；5QI5->安全策略3；5QI6->安全策略4等。AF网元向接入网设备发送QoS属性指示信息对应的安全策略的实现方式可以如下：

一种可能的实现方式：AF网元可以通过5GC向接入网设备发送QoS属性指示信息对应的安全策略，例如AF网元可以通过NEF/PCF/SMF等网元向接入网设备发送QoS属性指示信息对应的安全策略。

另一种可能的实现方式：AF网元可以通过接入网设备(例如RAN)操作管理维护系统(Operation Administration and Maintenance，OAM)开放的API向接入网设备发送QoS属性指示信息对应的安全策略。例如AF网元基于能力开放架构获取终端设备当前所在的接入网设备(例如gNB/cell)，向接入网设备OAM发送QoS属性指示信息对应的安全策略。

可以理解，上述描述仅以AF网元为例进行说明，接入网设备接收的QoS属性指示信息对应的安全策略还可以来自于其它网元，本申请实施例对此不做限定。

S502：SMF网元向接入网设备发送QFI对应的QoS属性指示信息。相应地，接入网设备接收来自SMF网元的QFI对应的QoS属性指示信息。

SMF网元向接入网设备发送QFI对应的QoS属性指示信息之前，可以先执行QoS流绑定(QoS Flow binding)。可以理解为，SMF网元基于PCC规则执行QoS流绑定，或者SMF网元将PCC规则关联到QoS流。具体地，SMF网元可以接收来自PCF网元的授权后的PCC规则，在一个实施例中，PCC规则可以包括多个参数，例如包滤波集合(Packet Filter Set)、QoS属性指示信息、优先级(precedence)、安全策略、上下行最大比特速率(UL and DL Maximum Flow Bit Rate)、上下行保证流比特速率(UL and DL Guaranteed Flow Bit Rate)、ARP、QNC等。其中，SMF网元基于PCC规则执行QoS流绑定可以具体参考上述步骤S401的详细描述。

SMF网元完成QoS流绑定后，可以向接入网设备发送QFI对应的QoS属性指示信息，QFI为QoS流的标识。具体地，SMF网元可以向接入网设备发送QFI及该QFI所对应的QoS配置文件(QoS Profile)，QoS配置文件可以包括PCF网元所下发的PCC规则中多个参数的部分或全部参数，例如QoS属性指示信息(如5QI)。示例性的具体结构可以为QFI<-QoS Profile(5QI)。

可以理解，上述描述仅以SMF网元为例进行说明，接入网设备接收的QFI对应的QoS属性指示信息还可以来自于其它网元，本申请实施例对此不做限定。

S503：接入网设备根据QFI对应的QoS属性指示信息和QoS属性指示信息对应的安全策略确定QFI对应的安全策略。

接入网设备接收到QoS属性指示信息对应的安全策略，以及QFI对应的QoS属性指示信息，可以根据QFI对应的QoS属性指示信息和QoS属性指示信息对应的安全策略确定QFI对应的安全策略。示例性地，5QI1->安全策略1，QFI1->5QI1，则QFI1->5QI1->安全策略1。

S504：接入网设备根据安全策略对QFI对应的第一DRB执行安全保护。

接入网设备获取QFI对应的安全策略之后，即接入网设备根据QFI对应的QoS属性指示信息和QoS属性指示信息对应的安全策略确定QFI对应的安全策略之后，可以根据安全策略确定QFI对应的第一DRB。接入网设备根据安全策略确定QFI对应的第一DRB可以具体参考上述步骤S404的详细描述。

S505：接入网设备向终端设备发送QFI与第一DRB的对应关系。相应地，终端设备接收来自接入网设备的QFI与第一DRB的对应关系。

S506：接入网设备根据安全策略向终端设备发送用于指示对第一DRB执行安全保护的指示信息。相应地，终端设备接收来自接入网设备的用于指示对第一DRB执行安全保护的指示信息。

可以理解，具体步骤S506的描述可以参照上述步骤S406，为避免重复，在此不加赘述。

需要说明的是，步骤S501～S506为控制面接口传递的信息，可以为在安全策略下发或安全策略激活时的处理，通常发生在数据流传输之前。以下步骤S507～S515可以为用户面传输数据流的处理。其中，步骤S507～步骤S511为发送上行数据包的实现方式，具体描述如下：

S507：终端设备确定第一数据包的QFI对应的第一DRB。

S508：终端设备根据指示信息对第一DRB对应的第一数据包执行安全保护。

S509：终端设备通过第一DRB向接入网设备发送第一数据包。相应地，接入网设备通过第一DRB接收来自终端设备的第一数据包。

S510：接入网设备根据安全策略对第一数据包执行安全保护。

S511：接入网设备通过与第一DRB对应的QoS流向UPF网元发送第一数据包。相应地，UPF网元通过与第一DRB对应的QoS流接收来自接入网设备的第一数据包。

可以理解，具体步骤S507～步骤S511的描述可以参照上述步骤S407～步骤S411，为避免重复，在此不加赘述。步骤S512～步骤S515为发送下行数据包的实现方式，具体描述如下：

S512：UPF网元确定第二数据包的QFI。

S513：UPF网元通过与QFI对应的QoS流向接入网设备发送第二数据包。相应地，接入网设备通过与QFI对应的QoS流接收来自UPF网元的第二数据包。

S514：接入网设备基于QFI对应的安全策略对第二数据包执行安全保护。

S515：接入网设备通过QFI对应的第一DRB向终端设备发送第二数据包。相应地，终端设备通过QFI对应的第一DRB接收来自接入网设备的第二数据包。

可以理解，具体步骤S512～S515的描述可以参照上述步骤S412-S415，为避免重复，在此不加赘述。

上面描述了本申请实施例提供的方法实施例，下面对本申请实施例涉及的装置实施例进行描述。

请参阅图6，图6是本申请实施例提供的一种通信装置的结构示意图，该通信装置可以应用于接入网设备，也可以应用于接入网设备中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分接入网设备功能的逻辑模块或软件。示例性地，如图6所示，该通信装置600，可以包括：获取单元601和处理单元602；其中：

获取单元601，用于获取QFI对应的安全策略，所述安全策略包括完整性保护和/或机密性保护策略；

处理单元602，用于根据所述安全策略对所述QFI对应的第一DRB执行安全保护。

在一个实施例中，获取单元601，具体用于接收来自会话管理功能网元的所述QFI对应的所述安全策略。

在一个实施例中，获取单元601，具体用于：

获取所述QFI对应的QoS属性指示信息，所述QoS属性指示信息指示对数据流采用的服务质量保障；

获取所述QoS属性指示信息对应的所述安全策略；

根据所述QFI对应的QoS属性指示信息和所述QoS属性指示信息对应的所述安全策略确定所述QFI对应的所述安全策略。

在一个实施例中，通信装置600还可以包括：

收发单元603，用于根据所述安全策略向终端设备发送指示信息，所述指示信息用于指示对所述第一DRB执行安全保护。

在一个实施例中，处理单元602，具体用于：

通过所述第一DRB接收来自终端设备的第一数据包；

根据所述安全策略对所述第一数据包执行安全保护。

在一个实施例中，处理单元602，还用于根据所述第一数据包包括的所述QFI确定所述安全策略。

在一个实施例中，收发单元603，还用于通过与所述QFI对应的QoS流向用户面功能网元发送所述第一数据包。

在一个实施例中，处理单元602，具体用于：

通过与所述QFI对应的QoS流接收来自用户面功能网元的第二数据包；

根据所述安全策略对所述第二数据包执行安全保护；

通过所述第一DRB向终端设备发送所述第二数据包。

在一个实施例中，所述第一DRB能够支持所述安全策略。

在一个实施例中，处理单元602，还用于从已创建的DRB中确定所述第一DRB或者创建所述第一DRB。

有关上述获取单元601、处理单元602和收发单元603更详细的描述可以直接参考上述图3-图5所示的方法实施例中接入网设备的相关描述，这里不加赘述。

请参阅图7，图7是本申请实施例提供的另一种通信装置的结构示意图，该通信装置可以应用于终端设备，也可以应用于终端设备中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分终端设备功能的逻辑模块或软件。如图7所示，示例性地，该通信装置700，可以包括：收发单元701和处理单元702；其中：

收发单元701，用于接收来自接入网设备的指示信息，该指示信息用于指示对第一DRB执行安全保护，所述安全保护包括完整性和/或机密性保护；

处理单元702，用于根据所述指示信息对所述第一DRB执行安全保护。

在一个实施例中，处理单元702，具体用于：

根据所述指示信息对第一数据包执行安全保护；

通过所述第一DRB向所述接入网设备发送经过安全保护后的第一数据包。

在一个实施例中，处理单元702，具体用于：

通过所述第一DRB接收来自所述接入网设备的第二数据包；

根据所述指示信息对所述第二数据包执行安全保护。

有关上述收发单元701和处理单元702更详细的描述可以直接参考上述图3-图5所示的方法实施例中终端设备的相关描述，这里不加赘述。

请参阅图8，图8是本申请实施例提供的又一种通信装置的结构示意图，该通信装置可以应用于SMF网元，也可以应用于SMF网元中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分SMF网元功能的逻辑模块或软件。示例性地，如图8所示，该通信装置800，可以包括：收发单元801和处理单元802；其中：

收发单元801，用于接收来自策略控制功能网元的策略与计费控制规则，所述策略与计费控制规则包括服务质量QoS属性指示信息和安全策略，所述安全策略包括完整性保护和/或机密性保护策略；

处理单元802，用于基于所述QoS属性指示信息和所述安全策略将所述策略与计费控制规则关联到QoS流；

收发单元801，还用于向接入网设备发送所述QoS流的QFI对应的所述安全策略。

在一个实施例中，处理单元802，具体用于：

从已创建的QoS流中确定能够支持所述QoS属性指示信息和所述安全策略的所述QoS流或者，创建支持所述QoS属性指示信息和所述安全策略的所述QoS流；

将所述策略与计费控制规则关联到所述QoS流。

有关上述收发单元801和处理单元802更详细的描述可以直接参考上述图3-图5所示的方法实施例中SMF网元的相关描述，这里不加赘述。

请参阅图9，图9是本申请实施例提供的又一种通信装置的结构示意图。示例性地，如图9所示，该装置900可以包括一个或多个处理器901，处理器901也可以称为处理单元，可以实现一定的控制功能。处理器901可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置(如，基站、基带芯片，终端、终端芯片，DU或CU等)进行控制，执行软件程序，处理软件程序的数据。

在一种可选的设计中，处理器901也可以存有指令903，所述指令903可以被所述处理器运行，使得所述装置900执行上述方法实施例中描述的方法。

在另一种可选的设计中，处理器901中可以包括用于实现接收和发送功能的收发单元。例如该收发单元可以是收发电路，或者是接口，或者是接口电路，或者是通信接口。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在又一种可能的设计中，装置900可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。

可选的，所述装置900中可以包括一个或多个存储器902，其上可以存有指令904，所述指令可在所述处理器上被运行，使得所述装置900执行上述方法实施例中描述的方法。可选的，所述存储器中还可以存储有数据。可选的，处理器中也可以存储指令和/或数据。所述处理器和存储器可以单独设置，也可以集成在一起。例如，上述方法实施例中所描述的对应关系可以存储在存储器中，或者存储在处理器中。

可选的，所述装置900还可以包括收发器905和/或天线906。所述处理器901可以称为处理单元，对所述装置900进行控制。所述收发器905可以称为收发单元、收发机、收发电路、收发装置或收发模块等，用于实现收发功能。

可选的，本申请实施例中的装置900可以用于执行本申请实施例中图3-图5描述的方法。

在一个实施例中，该通信装置900可以应用于接入网设备，也可以应用于接入网设备中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分接入网设备功能的逻辑模块或软件。存储器902中存储的计算机程序指令被执行时，该处理器901用于控制获取单元601和处理单元602执行上述实施例中执行的操作，收发器905用于执行上述实施例中收发单元603执行的操作，收发器905还用于向该通信装置之外的其它通信装置发送信息。上述接入网设备或者接入网设备内的模块还可以用于执行上述图3-图5方法实施例中接入网设备执行的各种方法，不再赘述。

在一个实施例中，该通信装置900可以应用于终端设备，也可以应用于终端设备中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分终端设备功能的逻辑模块或软件。存储器902中存储的计算机程序指令被执行时，该处理器901用于控制处理单元702执行上述实施例中执行的操作，收发器905用于执行上述实施例中收发单元701执行的操作，收发器905还用于向该通信装置之外的其它通信装置发送信息。上述终端设备或者终端设备内的模块还可以用于执行上述图3-图5方法实施例中终端设备执行的各种方法，不再赘述。

在一个实施例中，该通信装置900可以应用于SMF网元，也可以应用于SMF网元中的模块(例如，芯片或处理器)，还可以应用于能实现全部或部分SMF网元功能的逻辑模块或软件。存储器902中存储的计算机程序指令被执行时，该处理器901用于控制处理单元802执行上述实施例中执行的操作，收发器905用于执行上述实施例中收发单元801执行的操作，收发器905还用于向该通信装置之外的其它通信装置发送信息。上述SMF网元或者SMF网元内的模块还可以用于执行上述图3-图5方法实施例中SMF网元执行的各种方法，不再赘述。

本申请中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路(radiofrequencyinterfacechip，RFIC)、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor,CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor,PMOS)、双极结型晶体管(Bipolar Junction Transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的装置可以是第一终端设备或者第二终端设备,但本申请中描述的装置的范围并不限于此,而且装置的结构可以不受图9的限制。装置可以是独立的设备或者可以是较大设备的一部分。例如所述装置可以是：

(1)独立的集成电路IC，或芯片，或芯片系统或子系统；

(2)具有一个或多个IC的集合，可选的，该IC集合也可以包括用于存储数据和/或指令的存储部件；

(3)ASIC，例如调制解调器(MSM)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端、智能终端、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备、机器设备、家居设备、医疗设备、工业设备等等；

(6)其他等等。

请参阅图10，图10是本申请实施例提供的一种终端设备的结构示意图。为了便于说明，图10仅示出了终端设备的主要部件。如图10所示，终端设备1000包括处理器、存储器、控制电路、天线、以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对整个终端进行控制，执行软件程序，处理软件程序的数据。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。

当终端开机后，处理器可以读取存储单元中的软件程序，解析并执行软件程序的指令，处理软件程序的数据。当需要通过无线发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行处理后得到射频信号并将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端时，射频电路通过天线接收到射频信号，该射频信号被进一步转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。

为了便于说明，图10仅示出了一个存储器和处理器。在实际的终端中，可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等，本申请实施例对此不做限制。

作为一种可选的实现方式，处理器可以包括基带处理器和中央处理器，基带处理器主要用于对通信协议以及通信数据进行处理，中央处理器主要用于对整个终端进行控制，执行软件程序，处理软件程序的数据。图10中的处理器集成了基带处理器和中央处理器的功能，本领域技术人员可以理解，基带处理器和中央处理器也可以是各自独立的处理器，通过总线等技术互联。本领域技术人员可以理解，终端可以包括多个基带处理器以适应不同的网络制式，终端可以包括多个中央处理器以增强其处理能力，终端的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中，也可以以软件程序的形式存储在存储单元中，由处理器执行软件程序以实现基带处理功能。

在一个例子中，可以将具有收发功能的天线和控制电路视为终端设备1000的收发单元1001，将具有处理功能的处理器视为终端设备1000的处理单元1002。如图10所示，终端设备1000包括收发单元1001和处理单元1002。收发单元也可以称为收发器、收发机、收发装置等。可选的，可以将收发单元1001中用于实现接收功能的器件视为接收单元，将收发单元1001中用于实现发送功能的器件视为发送单元，即收发单元1001包括接收单元和发送单元。示例性的，接收单元也可以称为接收机、接收器、接收电路等，发送单元可以称为发射机、发射器或者发射电路等。可选的，上述接收单元和发送单元可以是集成在一起的一个单元，也可以是各自独立的多个单元。上述接收单元和发送单元可以在一个地理位置，也可以分散在多个地理位置。

在一个实施例中，处理单元1002用于执行上述实施例中处理单元702执行的操作，收发单元1001用于执行上述实施例中收发单元701执行的操作。该终端设备1000还可以用于执行上述图3-图5方法实施例中终端设备执行的各种方法，不再赘述。

本申请实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时可以实现上述方法实施例提供的通信方法中与终端相关的流程。

本申请实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时可以实现上述方法实施例提供的通信方法中与网络设备相关的流程。

本申请实施例还提供了一种计算机程序产品，当其在计算机或处理器上运行时，使得计算机或处理器执行上述任一个通信方法中的一个或多个步骤。上述所涉及的设备的各组成模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在所述计算机可读取存储介质中。

本申请实施例还提供一种芯片系统，包括至少一个处理器和通信接口，所述通信接口和所述至少一个处理器通过线路互联，所述至少一个处理器用于运行计算机程序或指令，以执行包括上述图3-图5对应的方法实施例中记载的任意一种的部分或全部步骤。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

本申请实施例还公开一种通信系统，该系统包括终端设备、接入网设备、SMF网元、和/或UPF网元等一种或多种设备，具体描述可以参考图3-图5所示的通信方法。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是硬盘(hard disk drive，HDD)、固态硬盘(solid-state drive，SSD)、只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static rAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous dRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

还应理解，本申请实施例中提及的处理器可以是中央处理单元(central processing unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)集成在处理器中。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所提供的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本申请实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。

本申请实施例装置中的模块/单元可以根据实际需要进行合并、划分和删减。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims

一种通信方法，其特征在于，包括：

获取服务质量流标识QFI对应的安全策略，所述安全策略包括完整性保护和/或机密性保护策略；

根据所述安全策略对所述QFI对应的第一数据无线承载DRB执行安全保护。
根据权利要求1所述的方法，其特征在于，所述获取QFI对应的安全策略包括：

接收来自会话管理功能网元的所述QFI对应的所述安全策略。
根据权利要求1所述的方法，其特征在于，所述获取QFI对应的安全策略包括：

获取所述QFI对应的服务质量QoS属性指示信息，所述QoS属性指示信息指示对数据流采用的服务质量保障；

获取所述QoS属性指示信息对应的所述安全策略；

根据所述QFI对应的QoS属性指示信息和所述QoS属性指示信息对应的所述安全策略确定所述QFI对应的所述安全策略。
根据权利要求1-3任一所述的方法，其特征在于，所述方法还包括：

根据所述安全策略向终端设备发送指示信息，所述指示信息用于指示对所述第一DRB执行安全保护。
根据权利要求1-4任一所述的方法，其特征在于，所述根据所述安全策略对所述QFI对应的第一DRB执行安全保护包括：

通过所述第一DRB接收来自终端设备的第一数据包；

根据所述安全策略对所述第一数据包执行安全保护。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

根据所述第一数据包包括的所述QFI确定所述安全策略。
根据权利要求5或6所述的方法，其特征在于，所述方法还包括：

通过与所述QFI对应的QoS流向用户面功能网元发送所述第一数据包。
根据权利要求1-7任一项所述的方法，其特征在于，所述根据所述安全策略对所述QFI对应的第一DRB执行安全保护包括：

通过与所述QFI对应的QoS流接收来自用户面功能网元的第二数据包；

根据所述安全策略对所述第二数据包执行安全保护；

通过所述第一DRB向终端设备发送所述第二数据包。
根据权利要求1-8所述的方法，其特征在于，所述第一DRB能够支持所述安全策略。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

从已创建的DRB中确定所述第一DRB或者创建所述第一DRB。
一种通信方法，其特征在于，包括：

接收来自接入网设备的指示信息，所述指示信息用于指示对第一数据无线承载DRB执行安全保护，所述安全保护包括完整性和/或机密性保护；

根据所述指示信息对所述第一DRB执行安全保护。
根据权利要求11所述的方法，其特征在于，所述根据所述指示信息对所述第一DRB执行安全保护包括：

根据所述指示信息对第一数据包执行安全保护；

通过所述第一DRB向所述接入网设备发送经过安全保护后的第一数据包。
根据权利要求11或12所述的方法，其特征在于，所述根据所述指示信息对所述第一DRB执行安全保护包括：

通过所述第一DRB接收来自所述接入网设备的第二数据包；

根据所述指示信息对所述第二数据包执行安全保护。
一种通信方法，其特征在于，包括：

接收来自策略控制功能网元的策略与计费控制规则，所述策略与计费控制规则包括服务质量QoS属性指示信息和安全策略，所述安全策略包括完整性保护和/或机密性保护策略；

基于所述QoS属性指示信息和所述安全策略将所述策略与计费控制规则关联到QoS流；

向接入网设备发送所述QoS流的QFI对应的所述安全策略。
根据权利要求14所述的方法，其特征在于，所述基于所述QoS属性指示信息和所述安全策略将所述策略与计费控制规则关联到QoS流包括：

从已创建的QoS流中确定能够支持所述QoS属性指示信息和所述安全策略的所述QoS流或者，创建支持所述QoS属性指示信息和所述安全策略的所述QoS流；

将所述策略与计费控制规则关联到所述QoS流。
一种通信装置，其特征在于，包括一个或多个功能单元，用于执行如权利要求1-10任意一项所述的通信方法；或者

如权利要求11-13任意一项所述的通信方法；或者

如权利要求14-15任意一项所述的通信方法。
一种通信装置，其特征在于，包括处理器、存储器、输入接口和输出接口，所述输入接口用于接收来自所述通信装置之外的其它通信装置的信息，所述输出接口用于向所述通信装置之外的其它通信装置输出信息，当所述存储器中存储的存储计算机程序被所述处理器调用时，使得所述装置执行如权利要求1-10任意一项所述的通信方法；或者

如权利要求11-13任意一项所述的通信方法；或者

如权利要求14-15任意一项所述的通信方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序或计算机指令，当所述计算机程序或计算机指令被处理器执行时，实现如权利要求1-10任意一项所述的通信方法；或者

如权利要求11-13任意一项所述的通信方法；或者

如权利要求14-15任意一项所述的通信方法。
一种包含程序指令的计算机程序产品，当所述程序指令在计算机上运行时，实现如权利要求1-10任意一项所述的通信方法；或者

如权利要求11-13任意一项所述的通信方法；或者

如权利要求14-15任意一项所述的通信方法。
一种通信系统，其特征在于，包括终端设备、接入网设备、会话管理功能网元、和/或用户面功能网元中一种或多种设备。
一种芯片系统，其特征在于，包括至少一个处理器、存储器和接口电路，所述存储器、所述接口电路和所述至少一个处理器通过线路互联，所述至少一个存储器中存储有指令；所述指令被所述处理器执行时，实现如权利要求1-10任意一项所述的通信方法；或者

如权利要求11-13任意一项所述的通信方法；或者

如权利要求14-15任意一项所述的通信方法。