[发明专利]一种确定用户面安全执行信息的方法、装置及系统

说明书

一种确定用户面安全执行信息的方法、装置及系统，用以保证远端设备传输数据的安全需求。本申请中会话管理网元可以接收第一请求，第一请求用于请求创建第一终端设备中继类型的会话，第一请求包括第一信息，第一信息用于指示会话的类型为中继类型；之后，会话管理网元根据第一信息确定会话的第一用户面安全执行信息；再向接入网设备发送会话的第一用户面安全执行信息，会话的第一用户面执行信息用于确定第一终端设备与接入网设备之间该会话的第一用户面安全激活状态。会话管理网元确定的第一用户面安全执行信息能够较好的满足远端设备的安全需求，保证远端设备的数据的安全性。

技术领域

本申请涉及通信技术领域，尤其涉及一种确定用户面安全执行信息的方法、装置及系统。

背景技术

目前，设备到设备(device to device，D2D)通信允许用户设备(user equipment，UE)之间直接进行通信。

当某一远端设备(remote UE)处于通信网络的覆盖范围之外，或者在与通信网络中的接入网设备之间的通信质量较差的情况下，可以基于D2D通信，通过中继设备(relayUE)与通信网络建立非直接通信，中继设备可以建立用于传输远端设备的协议数据单元(protocol data unit，PDU)会话，将从远端设备接收的数据通过该PDU会话传输至数据网络，或将通过PDU会话从数据网络获取的数据发送至远端设备。

在建立PDU会话的过程中，会话管理网元获取中继设备的标识，并使用中继设备的标识从统一数据管理网元或者本地获取会话的用户面安全策略，进一步的会话管理网元根据用户面安全策略来确定会话的用户面安全执行信息，该用户面安全执行信息用于接入网设备配置中继设备与接入网设备之间的安全激活状态。在PDU会话的用户面安全策略的确定过程中，会话管理网元根据中继设备的签约信息或预配置的信息确定建立的PDU会话的用户面安全执行信息，由于建立的PDU会话可以为传输远端设备和数据网络之间业务的PDU会话，仅使用中继设备的签约信息或预配置的信息确定用户面的安全保护方法会存在不能满足远端设备传输数据的安全需求的可能。

发明内容

本申请提供一种确定用户面安全执行信息的方法、装置及系统，用以保证远端设备传输数据的安全需求。

第一方面，本申请实施例提供了一种确定用户面安全执行信息的方法，方法包括：首先，会话管理网元可以从移动接入管理网元接收第一请求，第一请求用于请求创建第一终端设备中继类型的会话，第一请求包括第一信息，第一信息用于指示会话的类型为中继类型；之后，会话管理网元根据第一信息确定会话的第一用户面安全执行信息；再向接入网设备发送会话的第一用户面安全执行信息，会话的第一用户面执行信息用于确定第一终端设备与接入网设备之间该会话的第一用户面安全激活状态。

通过上述方法，会话管理网元通过第一信息可以获取中继类型的会话的用户面安全策略，之后，确定的第一用户面安全执行信息能够较好的满足远端设备的安全需求，保证远端设备的数据的安全性。

在一种可能的设计中，第一请求可以包括N1 SM container，N1 SM container包括第一信息，这种情况下，第一请求可以为会话建立请求；第一请求也可以包括第一信息和N1 SM container，这种情况下，第一请求包括会话建立请求和第一信息。其中，N1 SMcontainer来自第一终端设备。

通过上述方法，第一终端设备可以通过移动接入管理网元将包括第一信息的N1SMcontainer发送给会话管理网元，第一信息也可以由移动接入管理网元发送给会话管理网元，也即第一请求有多种组成形式，适用于不同的应用场景。

在一种可能的设计中，会话管理网元在根据第一信息确定会话的第一用户面安全执行信息时，会话管理网元可以先根据第一信息获取第一用户面安全策略；之后，可以直接将第一用户面安全策略作为会话的第一用户面安全执行信息，也可以结合其他的判断信息(如服务质量需求)进行进一步分析，根据第一用户面安全策略确定会话的第一用户面安全执行信息。