阅读说明：本技术 一种用户面安全的授权方法及装置 (Authorization method and device for user plane security ) 是由 孙海洋 黄正磊 熊春山 于 2018-08-21 设计创作，主要内容包括：本申请公开一种用户面安全的授权方法及装置,该方法包括：在分组数据单元PDU会话建立过程中,策略控制功能PCF实体接收会话管理功能SMF实体发送的安全参数信息；其中,所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；PCF至少根据所述安全参数信息做策略决策。在本申请方法解决现有技术中PCF在生成策略规则时,不知道RAN在执行用户面安全时还能否满足业务的QoS需求,从而导致制定出的策略规则RAN无法切实执行的问题。(The application discloses a method and a device for authorizing user plane security, wherein the method comprises the following steps: in the process of establishing a Packet Data Unit (PDU) session, a Policy Control Function (PCF) entity receives security parameter information sent by a Session Management Function (SMF) entity; wherein the security parameter information is used for indicating at least one of security capability information of a Radio Access Network (RAN) and security capability information of User Equipment (UE); and the PCF makes policy decision at least according to the security parameter information. The method solves the problem that the PCF in the prior art cannot know whether the RAN can meet the QoS requirement of the service when the RAN executes the user plane security when generating the policy rule, so that the formulated policy rule RAN cannot be executed practically.)

一种用户面安全的授权方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种用户面安全的授权方法及装置。

背景技术

随着移动通信的发展，通信网络中安全问题也日益严重。一般情况下，网络通信主要面临截断、中断、篡改、伪造等安全威胁，针对这些威胁，在移动通信中将相应的提供保密性、完整性、认证性三类保护机制。为了实现完整性保护，在5G(5th-Generation，第五代移动通信技术)系统中，对于3GPP(3rd Generation Partnership Project，第三代合作伙伴计划)接入，NG-RAN(Next Generation Radio Access Networks，下一代无线接入网)对于用户面安全做PDU(Packet Data Unit，分组数据单元)会话粒度的控制。在PDU会话建立过程中，SMF(Session management Function，会话管理功能)从UDM(Unified Data Manager，统一数据管理)取得该PDU会话所对应的DNN(Data Network Name，数据网络名称)和切片签约的用户面安全策略(User Plane Security Policy)，签约的User Plane securitypolicy优先级比运营商预配置的优先级要高。之后SMF与PCF(Policy Control Function，策略控制功能)实体建立SM Policy Association时，PCF可能下发User Plane securitypolicy。之后SMF产生User Plane Security Enforcement information在N2SMInformation中发送给NG-RAN。NG-RAN再根据User Plane Security Enforcementinformation执行对应的User Plane security policy。

但是RAN(Radio Access Network，无线接入网)或UE侧执行完整性保护/加密速度有限，由于执行完整性保护可能会对某些业务的传输速率造成很大的影响(比如时延要求为5ms的URLLC(Ultra Reliable&Low Latency Communication，超可靠和低延迟通信)业务)。如果RAN所选择的用户面安全策略不能够同时满足用户面安全需求和QoS(Quality ofService，服务质量)需求，和/或QoS需求超过UE完整性保护/加密最大速率，则会导致RAN或UE的完整性保护或QoS中有一项不能实现。

发明内容

本申请实施例提供一种用户面安全的授权方法及装置，用以解决现有技术中用户面安全策略无法切实执行的问题。

第一方面，本申请实施例提供一种用户面安全的授权方法，包括：

在分组数据单元PDU会话建立过程中，策略控制功能PCF实体接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；

PCF至少根据所述安全参数信息做策略决策。

该申请实施例中所提供的方法是基于PCF实体侧实现的用户面安全授权，在该申请实施例中，PCF将可以体现RAN和UE安全保护能力的安全参数信息中的至少一种作为输入进行策略决策，从而得到符合RAN和/或UE情况的用户面安全策略，所以PCF可以依据RAN和/或UE的安全参数信息来判断是否RAN可以同时满足用户面安全和QoS需求并产生策略规则或者UE的QoS需求是否超过UE完整性保护/加密最大速率；从而制定出能够满足RAN和UE需求的用户面安全策略。

在一种可选的实现方式中，所述PCF至少根据所述安全参数信息做策略决策包括：

所述PCF至少根据所述安全参数信息所指示的RAN的安全能力信息，生成策略规则信息，所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

如果PCF是基于RAN的安全参数信息生成策略规则信息的，则执行与该策略规则信息对应的用户面安全策略的执行体可以是RAN也可以是UPF，在本申请实施例中将指示执行体的指示信息添加到策略规则信息中，可以保证NRF选择到符合条件的执行体来执行得到的用户面安全策略。

其中，该指示信息可以包括：所述执行体需要满足的用户面安全的信息和QoS需求信息。

在一种可选的实现方式中，还包括：

PCF实体向所述SMF实体发送策略控制请求触发信息，所述策略控制请求触发信息用于指示所述SMF实体在所述安全参数信息发生改变时向所述PCF实体上报改变后的安全参数信息。

在该申请实施例中，PCF向所述SMF实体发送策略控制请求触发信息，使得SMF只要确定安全参数有更新，则会及时上报PCF，从而使得PCF动态生成的User Plane SecurityPolicy能够符合RAN或UE的实时需求，适应RAN中QoS需求的不断变化，以及UE完整性保护的速率变化。

在一种可选的实现方式中，所述PCF实体将所述策略控制请求触发信息包含在策略信息中发送到所述SMF实体。

在一种可选的实现方式中，该方法还包括：

所述PCF实体接收所述SMF实体发送的原因值信息；其中，所述原因值信息用于指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)所述QoS需求超过UE完整性保护/加密最大速率中的至少一种；

则所述PCF至少根据所述安全参数信息做策略决策包括：

所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。

在该申请实施例中，如果RAN由于执行安全策略不能满足QoS需求和/或QoS需求超过UE完整性保护/加密最大速率则会及时的上报原因值到PCF，从而使得PCF基于该原因值动态的形成符合RAN和/或UE情况的用户面安全策略(User Plane Security Policy)，进一步及时的解决AN由于执行安全策略不能满足QoS需求和/或QoS需求超过UE完整性保护/加密最大速率的问题。

第二方面，提供一种用户面安全的授权方法，包括：

在分组数据单元PDU会话建立过程中，会话管理功能SMF实体发送安全参数信息给策略控制功能PCF实体，所述安全参数信息指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

一种可选的实现方式中，该方法还包括：

所述SMF实体接收所述PCF实体反馈的基于所述安全参数信息生成的策略规则信息；其中，所述安全参数信息指示RAN的安全能力信息，并且所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

一种可选的实现方式中，所述指示信息包括：

所述执行体需要满足的用户面安全的信息和QoS需求信息。

一种可选的实现方式中，当所述执行体为UPF，方法还包括：

所述SMF实体向NRF发送UPF实例请求信息；其中，所述请求信息中携带所述用户面安全的信息和QoS需求信息，所述UPR实例请求信息用于指示所述NRF上报满足所述用户面安全的信息和QoS需求信息的UPF实例给所述SMF。

一种可选的实现方式中，所述方法还包括：

所述SMF实体获取所述PCF实体发送的策略控制请求触发信息；

所述SMF实体根据所述策略控制请求触发信息在确定所述安全参数信息发生改变时向所述PCF实体上报新的安全参数信息。

一种可选的实现方式中，还包括：

所述SMF实体发送原因值信息到所述PCF实体，所述原因值信息用于所述PCF根据所述安全参数信息和所述原因值信息做策略决；其中，所述原因值信息指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)QoS需求超过UE完整性保护/加密最大速率中的至少一种。

第三方面，提供一种用户面安全的授权方法，包括：

在分组数据单元PDU会话建立过程中，接入和移动性管理功能AMF实体通过会话管理功能SMF实体将安全参数信息发送到策略控制功能PCF实体；所述安全参数信息指示RAN的安全能力信息，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

一种可选的实现方式中，该方法还包括：

所述AMF实体从NG RAN节点发送的NG建立请求中获取所述安全参数信息。

一种可选的实现方式中，该方法还包括：

所述AMF实体接收所述SMF实体发送的安全参数信息改变请求，则在接收到所述RAN上报的新的安全参数信息后上报所述SMF实体。

一种可选的实现方式中，该方法还包括：

所述AMF实体从所述RAN发送的N2消息获取原因值信息；其中，所述原因值信息指示RAN由于执行安全策略不能满足QoS需求；

通过所述SMF实体将所述原因值信息发送到所述PCF实体；所述原因值信息用于所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。

第四方面，提供一种策略控制功能PCF实体，包括：

接收单元，用于在分组数据单元PDU会话建立过程中，接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；

决策单元，用于至少根据所述安全参数信息做策略决策。

一种可选的实现方式中，所述决策单元具体用于至少根据所述安全参数信息所指示的RAN的安全能力信息，生成策略规则信息，所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

一种可选的实现方式中，所述指示信息包括：

所述执行体需要满足的用户面安全的信息和QoS需求信息。

一种可选的实现方式中，该PCF实体还包括：

发送单元，用于向所述SMF实体发送策略控制请求触发信息，所述策略控制请求触发信息用于指示所述SMF实体在所述安全参数信息发生改变时向所述PCF实体上报改变后的安全参数信息。

一种可选的实现方式中，所述发送单元用于将所述策略控制请求触发信息包含在策略信息中发送到所述SMF实体。

一种可选的实现方式中，包括：

所述接收单元还用于接收所述SMF实体发送的原因值信息；其中，所述原因值信息用于指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)QoS需求超过UE完整性保护/加密最大速率中的至少一种；

所述决策单元还用于根据所述安全参数信息和所述原因值信息做策略决策。

第五方面，提供一种会话管理功能SMF实体，包括发送单元和接收单元：

所述发送单元，用于在分组数据单元PDU会话建立过程中，发送安全参数信息给策略控制功能PCF实体，所述安全参数信息指示RAN的安全能力信息和UE的安全能力信息的至少一种，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

一种可选的实现方式中，包括：

所述接收单元，用于接收所述PCF实体反馈的基于所述安全参数信息生成的策略规则信息；其中，所述安全参数信息指示RAN的安全能力信息，并且所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

一种可选的实现方式中，所述指示信息包括：

所述执行体需要满足的用户面安全的信息和QoS需求信息。

一种可选的实现方式中，当所述执行体为UPF，包括：

所述发送单元还用于向NRF发送UPF实例请求信息；其中，所述请求信息中携带所述用户面安全的信息和QoS需求信息，所述UPR实例请求信息用于指示所述NRF上报满足所述用户面安全的信息和QoS需求信息的UPF实例给所述SMF。

一种可选的实现方式中，包括：

所述接收单元还用于接收所述PCF实体发送的策略控制请求触发信息；

所述发送单元还用于根据所述策略控制请求触发信息在确定所述安全参数信息发生改变时向所述PCF实体上报新的安全参数信息。

一种可选的实现方式中，还包括：

所述发送单元还用于发送原因值信息到所述PCF实体，所述原因值信息用于所述PCF根据所述安全参数信息和所述原因值信息做策略决；其中，所述原因值信息指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)QoS需求超过UE完整性保护/加密最大速率中的至少一种。

第六方面，提供一种接入和移动性管理功能AMF实体，包括发送单元和接收单元：

所述发送单元，用于在分组数据单元PDU会话建立过程中，通过会话管理功能SMF实体将安全参数信息发送到策略控制功能PCF实体；所述安全参数信息指示RAN的安全能力信息，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

一种可选的实现方式中，还包括：

所述接收单元用于接收从NG RAN节点发送的NG建立请求，并获取所述安全参数信息。

一种可选的实现方式中，所述接收单元还用于接收所述SMF实体发送的安全参数信息改变请求，并接收所述RAN上报的新的安全参数信息；

所述发送单元还用于向所述SMF实体上报所述新的安全参数信息。

一种可选的实现方式中，包括：

所述接收单元用于接收从所述RAN发送的N2消息，并获取原因值信息；其中，所述原因值信息指示RAN由于执行安全策略不能满足QoS需求；

所述发送单元还用于通过所述SMF实体将所述原因值信息发送到所述PCF实体；所述原因值信息用于所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。

第七方面，本申请实施例提供一种策略控制功能PCF实体，包括：存储器以及与所述存储器耦合的处理器、收发器；其中：所述处理器读取所述存储器中存储的指令，用于执行以下步骤：

在分组数据单元PDU会话建立过程中，所述处理器利用所述收发器接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；并至少根据所述安全参数信息做策略决策。

其中，该安全参数信息包括RAN执行完整性保护和/或加密的速率或时延；所述UE的安全能力信息包括UE完整性保护/加密最大速率。

在一种可选的实施方式中，所述处理器还用于至少根据所述安全参数信息所指示的RAN的安全能力信息，生成策略规则信息，所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

在一种可选的实施方式中，指示信息包括：

所述执行体需要满足的用户面安全的信息和QoS需求信息。

在一种可选的实施方式中，所述收发器还用于向所述SMF实体发送策略控制请求触发信息，所述策略控制请求触发信息用于指示所述SMF实体在所述安全参数信息发生改变时向所述PCF实体上报改变后的安全参数信息。

在一种可选的实施方式中，所述收发器具体用于将所述策略控制请求触发信息包含在策略信息中发送到所述SMF实体。

在一种可选的实施方式中，所述收发器还用于接收所述SMF实体发送的原因值信息；其中，所述原因值信息用于指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)所述QoS需求超过UE完整性保护/加密最大速率中的至少一种；

则所述处理器还用于根据所述安全参数信息和所述原因值信息做策略决策。

第八方面，提供一种会话管理功能SMF实体，包括：存储器以及与所述存储器耦合的处理器、收发器，其中：所述处理器读取所述存储器中存储的指令，用于执行以下步骤：

在分组数据单元PDU会话建立过程中，处理器利用所述收发器发送安全参数信息给策略控制功能PCF实体，所述安全参数信息指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

在一种可选的实施方式中，所述收发器接收所述PCF实体反馈的基于所述安全参数信息生成的策略规则信息；其中，所述安全参数信息指示RAN的安全能力信息，并且所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

在一种可选的实施方式中，所述指示信息包括：

所述执行体需要满足的用户面安全的信息和QoS需求信息。

在一种可选的实施方式中，所当所述执行体为UPF，所述收发器还用于向NRF发送UPF实例请求信息；其中，所述请求信息中携带所述用户面安全的信息和QoS需求信息，所述UPR实例请求信息用于指示所述NRF上报满足所述用户面安全的信息和QoS需求信息的UPF实例给所述SMF。

在一种可选的实施方式中，所述处理器利用所述收发器获取所述PCF实体发送的策略控制请求触发信息；并根据所述策略控制请求触发信息在确定所述安全参数信息发生改变时向所述PCF实体上报新的安全参数信息。

在一种可选的实施方式中，所述处理器利用所述收发器发送将原因值信息到所述PCF实体，所述原因值信息用于所述PCF根据所述安全参数信息和所述原因值信息做策略决；其中，所述原因值信息指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)QoS需求超过UE完整性保护/加密最大速率中的至少一种。

第九方面，提供一种接入和移动性管理功能AMF实体，包括：存储器以及与所述存储器耦合的处理器、收发器，其中：所述处理器读取所述存储器中存储的指令，用于执行以下步骤：

在分组数据单元PDU会话建立过程中，所述处理器利用所述收发器将指示RAN的安全能力信息安全参数发送到会话管理功能SMF实体，SMF实体将该安全参数信息发送到策略控制功能PCF实体后，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

在一种可选的方式中，所述处理器还利用所述收发器从NG RAN节点发送的NG建立请求中获取所述安全参数信息。

在一种可选的方式中，所述收发器接收所述SMF实体发送的安全参数信息改变请求，并基于所述安全参数改变请求在接收到所述RAN上报的新的安全参数信息后上报所述SMF实体。

在一种可选的方式中，所述处理器利用所述收发器从所述RAN发送的N2消息获取原因值信息；其中，所述原因值信息指示RAN由于执行安全策略不能满足QoS需求；并通过所述SMF实体将所述原因值信息发送到所述PCF实体；所述原因值信息用于所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。

第十方面，提供一种计算机存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在计算机上运行时，使得所述计算机执行第一方面至第三方面任意一种实施方式所述的方法。

第十一方面，提供一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使得所述计算机执行第一方面至第三方面任意一种实施方式所述的方法。

附图说明

图1为现有技术中非漫游5G系统场景的装置连接示意图；

图2为现有技术中PDU会话建立流程的示意图；

图3为本申请实施例提供的一种用户面安全的授权方法的流程示意图；

图4为本申请实施例提供的通过NG Setup流程上报RAN的安全参数信息方法流程示意图；

图5为本申请实施例提供的选择执行体的方法流程示意图；

图6为本申请实施例提供的PCF在SMF上设置“安全参数信息改变”触发器的方法流程示意图；

图7为本申请实施例提供的RAN向AMF上报新的安全参数信息的方法流程示意图；

图8为本申请实施例提供的另外一种用户面安全的授权方法的流程示意图；

图9为本申请实施例提供的一种策略控制功能PCF实体的结构示意图；

图10为本申请实施例提供的一种会话管理功能SMF实体的结构示意图；

图11为本申请实施例提供的一种接入和移动性管理功能AMF实体的结构示意图。

具体实施方式

为了解决现有技术中PCF在生成策略规则时，不知道RAN在执行用户面安全时还能否满足业务的QoS需求，和/或QoS需求超过UE完整性保护/加密最大速率，从而导致制定出的策略规则RAN和UE无法切实执行的问题，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

本申请实施例所提供的方法可以应用于5GS系统，具体可适用的场景包含非漫游场景和漫游场景。在5GS系统中，既用于服务化的架构又可以用于基于接口的架构。以下结合非漫游5G系统场景，首先对本申请实施例所涉及的设备进行简要的举例说明，并且在非漫游5G系统场景本申请实施例方案所涉及到设备连接关系如图1所示，其中本申请实施例方案所涉及的设备可以包括：

SMF：主要功能包含：会话管理(如会话建立、修改和释放，包含UPF(User PlaneFunction，用户面功能)和AN(Access Network，接入网络)之间的隧道维护)、UPF的选择和控制、SSC(Service and Session Continuity，业务和会话连续性)模式选择、漫游等会话相关的功能。

AMF(Access and Mobility Management Function，接入和移动管理功能)，主要功能包含：连接管理、移动性管理、注册管理、接入认证和授权、可达性管理、安全上下文管理等接入和移动性相关的功能。

PCF，主要功能包含：统一策略制定、策略控制的提供和从UDR(Unified DataRepository,统一数据库)中获取策略决策相关的签约信息等策略相关的功能。

UE：用户设备；

(R)AN：(无线)接入网；

基于图1所示的系统结构，现有技术中，为了实现NG-RAN对用户面安全做PDU会话粒度的控制，会在PDU会话建立流程中生成实现用户面安全控制的用户面安全策略，具体实现如图2所示，包括步骤：

步骤201，UE向AMF发送PDU会话建立请求；

步骤202，AMF进行SMF的选择；

步骤203，AMF向选择的SMF发送所述PDU会话建立请求。

步骤204，SMF在UDM中进行注册，并从UDM中获取签约信息。签约信息中包含UserPlane Security Policy。

步骤205，SMF向AMF发送PDU会话建立请求应答。SMF判断是否能建立PDU会话，如果不可以，则会在拒绝该PDU会话的建立，并携带原因值信息。

步骤206，PDU会话的鉴权/授权。

步骤207，SMF进行PCF的选择，并向选择的PCF请求策略规则。SMF可能会从PCF得到PDU会话的动态的User Plane Security Policy。

步骤208，SMF进行UPF的选择。

步骤209，SMF向PCF上报会话相关的信息(如UE的IP地址/前缀，上报触发器情况等)。

步骤210，SMF向UPF发送隧道信息，规则信息等。

步骤211，SMF向AMF发送PDU Session ID、N2SM Information和N1SM container。N2SM Information是发送给RAN的，AMF只是转发；N2SM Information。N1SM container是发送给UE的，对RAN和AMF都是透传。N2SM Information中包含User Plane PolicyEnforcement。

基于上述现有技术公开的内容可知：PCF在生成策略规则时，不能确定RAN在执行用户面安全时还能否满足业务的QoS需求，所以制定出的策略规则RAN可能无法切实执行。基于该问题，本申请实施例提供的一种用户面安全的授权方法的流程如图3所示(本申请实施例所提供的方法应用在PDU会话建立流程中时，除图3所示的实现步骤外其他步骤与图2的步骤完全相同，此处不再赘述)：

步骤301，AMF向SMF发送PDU会话建立请求；

步骤302，SMF进行PCF的选择，向选择的PCF请求策略规则。SMF将安全参数信息发送给PCF；其中，该安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；

在具体实现方式中，该安全参数可以是无线接入网RAN的安全能力信息和用户设备UE的安全能力信息中的一种；也可以是无线接入网RAN的安全能力信息和用户设备UE的安全能力信息两者都存在。

基于该安全参数信息的不同属性，SMF获取该安全参数信息的方式也不尽相同，具体实现方式可以是：

(1)当该实施例中的安全参数信息是用于指示RAN的安全能力信息，则AMF在向SMF发送PDU会话建立请求时，还将RAN的安全参数信息(或称为RAN的安全能力)发送到SMF；其中，RAN的安全参数信息包括RAN执行完整性保护和/或加密的速率或时延。

在该实施例中，RAN的安全参数信息可以静态配置在AMF中。也可以通过NG Setup流程上报给AMF。其中NG Setup流程：用于配置NG-RAN与AMF间的控制面接口。通过NG Setup流程上报RAN的安全参数信息给AMF的具体实现可以是(如图4所示)：

步骤401，NG RAN节点向AMF发送NG建立请求，该NG建立请求中携带RAN的安全参数信息。安全参数信息表明RAN执行完整性保护和/或加密的速率或时延。

步骤402，AMF在接收到NG建立请求后，从该NG建立请求中获取所述安全参数信息，并向NG RAN节点发送回应。

(2)当该安全参数信息用于指示UE的安全能力信息，则SMF通过UE的上报获得该安全参数信息。其中，该UE的安全参数信息可以包括UE完整性保护最大速率(UE IntegrityProtection Maximum Data Rate)或UE加密最大速率；也可以是指该UE某一个PDU会话的完整性保护最大速率或加密最大速率。

步骤303，PCF至少根据所述安全参数信息做策略决策；

PCF至少根据SMF发送的安全参数信息做策略决策，策略决策得到的用户面安全策略(User Plane Security Policy)是符合该安全参数信息需求的。其中，得到的用户面策略为PDU会话对应的动态的User Plane Security Policy；另外，基于UE的安全参数信息进行策略决策还可以得到PCC(Policy Control and Charging，策略控制和计费)规则；当然该PCC规则也是满足UE安全参数信息需求的。

步骤304，所述PCF至少根据所述安全参数信息所指示的RAN的安全能力信息，生成策略规则信息，反馈给SMF；其中，所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

其中，该策略规则信息可以包括PCC规则信息和PDU session relatedinformation(策略规则信息还可以包括用于指示执行用户面安全策略的执行体的指示信息)。

本申请实施例所提供的方法中PCF根据可以体现RAN和/或UE安全保护能力的安全参数信息做策略决策，生成策略规则信息，从而得到符合RAN和/或UE情况的用户面安全策略(User Plane Security Policy)，所以PCF可以依据RAN和/或UE的安全参数信息来判断是否RAN可以同时满足用户面安全和QoS需求并产生策略规则或者UE的QoS需求是否超过UE完整性保护/加密最大速率；从而制定出能够满足RAN和UE需求的用户面安全策略。

在该实施例中，因为RAN中QoS需求会不断的变化，以及UE完整性保护的速率也随时根据UE所需处理业务的情况发生变化，以及RAN可能会因为UE的移动性发生切换，所以为了进一步的确定PCF动态生成的User Plane Security Policy是否能够符合RAN或UE的实时需求，则可以进一步的通过RAN或UE的实时反馈来确认是否需要进一步对User PlaneSecurity Policy进行调整，具体实现可以是：

所述PCF实体获取所述SMF实体发送的原因值信息；其中，该原因值信息指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)QoS需求超过UE完整性保护/加密最大速率中的至少一种；

则所述PCF至少根据所述安全参数信息做策略决策包括：

所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。

其中，如果原因值信息指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)QoS需求超过UE完整性保护/加密最大速率中的至少一种，则PCF进行策略决策后还可以进一步的对User Plane Security Policy进行调整，即PCF实体将所述安全参数信息和所述原因值信息作为策略决策的输入可以生成策略规则信息。

在该实施例中，PCF将所述安全参数信息作为输入进行策略决策可以得到策略规则信息，如果PCF是基于RAN的安全参数信息生成策略规则信息的，则执行与该策略规则信息对应的用户面安全策略的执行体可以是RAN也可以是UPF，所以为了保证选择到符合条件的执行体来执行得到的用户面安全策略，则PCF在生成的策略规则信息中可以包含执行体的指示信息(该指示信息可以让NRF在选择合适的执行体时，能够根据该确认信息的指示选择合适的执行体)。在具体的使用场景中，执行体可以包括RAN和UPF两种，RAN只有一个，UPF可以有多个；因为UPF上资源更加丰富，用来执行用户面安全策略时延较小，所以一般情况下会选择UPF作为执行体，鉴于UPF包括多个的具体情况，若执行体为UPF则需要进一步给出具体的条件从多个UPF中选择一个确定的UPF；则该指示信息可以通过两种方式实现：

A，指示信息中包括所述执行体需要满足的用户面安全的信息和QoS需求信息；

B，指示信息中包括指示所述执行所述用户面安全策略的执行体的主体信息(即该主体信息用于指示所选择的执行体是RAN或UPF，但选择的执行体时UPF，则可以进一步的限定所需要的UPF的相关信息)，以及选择信息；如果主体信息指示执行主体为RAN，则对应的该选择信息为空；如果主体信息指示执行主体为UPF，则该选择信息为所述执行体需要满足的用户面安全的信息和QoS需求信息；

该实例中所提供的指示信息只是一种具体的举例并不限定本申请实施例中的指示信息只可以包括用户面安全的信息和QoS需求信息。下面以执行体为UPF为例，对该实施例中SMF在接收到User Plane Security Policy后，根据User Plane Security Policy中携带的指示信息选择执行体的实现方式进行具体说明(如图5所示)：

步骤501，SMF向NRF(Network Repository Function，网络存储功能)发送UPF实例请求信息；其中，该实例请求信息中携带指示信息中所指示的用户面安全的信息和QoS需求信息；用于指示所述UPR实例请求信息用于指示所述NRF上报满足所述用户面安全的信息和QoS需求信息的UPF实例给所述SMF。

步骤502，NRF授权该请求信息。

步骤503，NRF向SMF返回满足请求中所指示的用户面安全需求和QoS需求的UPF实例；该实例中反馈的UPF实例可以同时满足用户面安全需求和QoS需求也可以只是满足其中一个条件。

为了使PCF能够获取到RAN和/或UE最新的安全参数信息，从而制定出与实时安全参数信息相对应的安全策略，在本申请实施例中PCF可以向所述SMF实体发送策略控制请求触发信息(具体实现可以是在SMF上设置“安全参数信息改变”的触发器)。发送策略控制请求处罚信息之后，每次安全参数信息发生改变，SMF则向PCF上报新的RAN的安全参数信息，从而使得PCF能够实时得到最新的安全参数信息。在本申请实施例中PCF在SMF上设置“安全参数信息改变”的触发器具体实现可以是(如图6所示)：

步骤601，PCF向SMF下发PDU会话的策略信息，将策略控制请求处罚信息(即PolicyControl Request Trigger)包含在该策略信息中发送到所述SMF实体，该Policy ControlRequest Trigger用于如果所述RAN的安全参数信息发生改变则触发SMF向所述PCF实体上报新的安全参数信息，即每次安全参数信息发生改变，SMF则向PCF上报新的安全参数信息。

在该实施例中的策略信息可以是：

1、在PCF触发的SM策略关联修改时，PCF根据AF，CHF，UDR等的输入做策略决策后得到的策略信息；

2、在SM策略关联建立时，SMF向PCF请求建立策略关联，然后PCF根据SMF，UDR，CHF的输入做策略决策后得到的策略信息；

3、PCF触发的SM策略关联修改时，SMF向PCF请求更新策略关联，然后PCF根据SMF，CHF的输入做策略决策后得到的策略信息。

在该实施中，若该安全参数信息用于指示UE的安全能力信息，则SMF通过UE的上报获得安全参数信息。则在SMF设置触发器之后，只要该触发器被满足则将UE上报的安全参数信息上报给PCF；另外，如果安全参数信息是用于指示RAN的安全能力信息，SMF则需向AMF获取该安全参数信息；对应的该实施例还可以包括以下步骤：

步骤602，设置触发器之后，SMF向AMF发送安全参数信息改变请求(即SMF向AMF订阅“安全参数信息改变”的事件)。

步骤603，RAN在安全参数信息改变后向AMF上报新的安全参数信息，或者RAN节点发生了改变(如发生了节点切换等情况)后向AMF上报新的安全参数信息。

在该实施例中，RAN向AMF上报新的安全参数信息可以通过用于更新NG-RAN与AMF之间的接口配置的RAN Configuration update流程实现，具体实现步骤包括(如图7所示)：

步骤701，NG-RAN节点向AMF发送RAN配置更新；该配置更新中携带新的安全参数信息。

步骤702，AMF收到配置更新后，向RAN反馈响应。

步骤604，AMF将新的安全参数信息上报给SMF。

在本申请实施例中，基于PCF下发的Policy Control Request Trigger，SMF收到新的安全参数信息后向PCF上报的具体实现可以是，SMF向PCF请求更新策略关联，SMF将新的安全参数信息上报PCF。

其中，触发SMF上报新的安全参数信息的方式可以是：SMF确定RAN的安全参数信息发生了变化(RAN security parameter change发生时)；或者是，Policy Control RequestTrigger满足了预设的触发条件时。

通过上述实施例所提供的安全参数信息获取方式，PCF可以实时的获取RAN安全参数信息更新后的结果，并根据最新的安全参数信息来判断RAN是否可以同时满足用户面安全和QoS需求并产生可执行的策略规则。

实施例二

如图8所示，本申请实施例所提供的方法中PCF还可以根据RAN和/或UE的回应做授权，具体本申请实施例提供的一种用户面安全的授权方法，可以包括：

步骤801，当(R)AN检测到QoS Flow的QoS目标不能被满足时，且该QoS Flow的QoS目标不能满足的原因是执行了用户面安全策略；(R)AN向AMF发送N2消息，消息中包含PDU会话ID，和N2SM信息。

在该实施例中，N2SM信息中包含QFI(QoS Flow Identifier服务质量流标识)，该QFI用于指示该QoS Flow的QoS目标不能被满足，并且包含一个原因值信息，该原因值信息表明由于RAN执行安全策略不能满足QoS需求。

在该实施例中，如果某PDU会话开启了用户面完整性保护后，某个QoS Flow的GFBR不能被满足，则确定QoS Flow的QoS目标不能满足的原因是执行了用户面安全策略。

该实施例中，N2消息的内容可以是(PDU Session ID，(QFI，fulfillnotification，cause[user plane security enforcement]))。

步骤802，AMF向SMF发送Nsmf_PDUSessionUpdateSMContext消息,该消息中包含QFI和notification,以及从RAN收到的原因值信息；其中，该notification指示该QFI的QoS需求不能满足。

步骤803，SMF接收到Nsmf_PDUSessionUpdateSMContext消息后，当动态PCC(Policy Control and Charging，策略控制和计费)用于该会话且PCF订阅了GBR QoS Flow不能满足时指示PCF该事件时，SMF执行会话管理策略修改流程上报该事件，并上报原因值信息。

在该实施例中，为了使得PCF得到的安全策略也能满足UE的实时需求，则SMF在向PCF上报原因值信息之前，还可以获取UE进行完整性保护的情况，若UE侧的QoS需求超过UE完整性保护/加密最大速率，则也会向SMF上报原因值信息，从而使得SMF向PCF上报的原因值信息还可以指示所述UE完整性保护的速率超过UE加密最大速率。

步骤804，PCF至少根据所述安全参数信息做策略决策。

在该实施例中，PCF根据所述安全参数信息做策略决策生成策略规则信，进一步可以根据该策略规则信息得到用户面安全策略后由SMF将执行信息发送给RAN，RAN执行用户面安全策略后发现不能满足时延需求，通过Notification Control的机制进行上报，在上报时携带PDU Session ID，以及执行安全策略不能满足QoS需求的原因值信息。SMF将该原因值信息上报给PCF，PCF将该原因值信息作位做策略决策的输入。PCF在收到原因值信息指示QoS Flow的QoS目标不能满足的原因是执行了用户面安全策略，则可以做决策更改；例如将用户面安全策略进行降级。

另外，该实施例中所提供的方法还可以用于RAN节点切换之后，新RAN节点判断用户面安全能力符合PDU会话的要求，QoS Flow的5QI也可以满足，故而接受了QoS Flow的切换，但是在执行时发现QoS Flow的QoS目标不能被满，则对应的执行上述图8的流程步骤将QoS目标不能被满足的原因值信息上报给PCF，使得PCF根据该原因值信息得到新的能够满足QoS目标的安全策略。

上述图8所示的方法可以与实施例一所提供方法结合，可以是在实施例一方法实施之前或者是PCF得到安全策略并发送到RAN执行之后，执行上述步骤801～804；另外还可以是上述图8所示的方法与实施一所示的方法结合，基于图8步骤801～803得到原因值信息，然后结合实施例一方法步骤301和302得到安全参数信息，然后PCF得到安全策略时，则PCF将SMF送的原因值信息以及SMF发送的安全参数信息作为策略决策的输入可以得到用户面安全策略。当然图8所示的方法步骤也可以独立实现，即PCF将原因值信息作为输入进行策略决策，例如生成用户面安全策略或PCC规则。

本申请实施例所提供的方法中，PCF可以根据RAN上报的不能满足用户面安全需求的原因值信息做策略决策，使得用户面安全策略和QoS相关的策略(如PCC规则)都可以被正确执行，避免了安全策略不能被执行所造成的时延问题。

上述实施例的描述只是基于具体的举例说明，并不限定本申请实施例的方案智能应用到上述场景，例如上述实施例的方案至少还可以用于RAN将IP头压缩的用时/速率上报给PCF，使得PCF基于该IP头压缩的用时/速率执行策略决策，该策略决策内容可以指示RAN是否执行IP头压缩。

当然，基于本申请实施例所提供的方法，PCF基于以上实施例所描述的方式还可以基于RAN上报的其他影响数据包传输数据的能力参数得到RAN能够执行的用户面安全策略，在此不再赘述。

为了便于实施本申请实施例，本申请提供了一种策略控制功能PCF实体，用于本申请实施例提供的用户面安全的授权方法。

参见图9，PCF实体900可包括：处理器902、收发器(可以是发射器904、接收器906集成在一起的完整模块，也可以是发射器904、接收器906分别独立实现发射功能和接收功能)、耦合器908和存储器910。在本申请的一些实施例中，这些部件可通过总线或者其它方式连接，其中，图9中以通过总线连接为例。

耦合器908用于将通信号分成多路，分配给多个的接收器906。

发射器904用于对处理器902生成的通信信号进行发射处理，接收器906用于对通信信号进行接收处理。具体实现中，发射器904或接收器906的数量可以是一个或多个。

存储器910用于存储程序代码，具体实现中，存储器910可以采用只读存储器(ReadOnly Memory，ROM)，可用于存储程序代码。

处理器902，用于进行无线信道管理。本申请实施例中，处理器902还用于调用存储于存储器910中程序代码执行如下步骤：

在分组数据单元PDU会话建立过程中，处理器902利用所述收发器接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；并至少根据所述安全参数信息做策略决策。

其中，该RAN的安全参数信息包括RAN执行完整性保护和/或加密的速率或时延；所述UE的安全能力信息包括UE完整性保护/加密最大速率。

本申请实施例中，因为PCF将所述安全参数信息作为输入进行策略决策可以生成策略规则信息，进而得到用户面安全策略，如果PCF是基于RAN的安全参数信息生成策略规则信息的，则执行该用户面安全策略的执行体可以是RAN也可以是UPF，所以为了保证选择到符合条件的执行体来执行得到的安全策略，则PCF在授权的用户面安全策略中可以包含执行体的确认信息，对应的所述处理器902还用于至少根据所述安全参数信息所指示的RAN的安全能力信息，生成策略规则信息，所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

本申请实施例中，因为执行体的不相同，所以确认信息的形式也对应的可以存在多种形式，则该指示信息包括：所述执行体需要满足的用户面安全的信息和QoS需求信息。

在该实施例中，因为在可选的执行体中RAN只有一个，并不需要通过具体的参数进行选择，但是UPF则可以是多个；所以如果确定信息只包括用户面安全的信息和QoS需求信息，则可以直接的确定执行体为UPF；另外，为了达到RAN以及UPF都可选择的目的，还可以指示信息还可以使用第二种方式表达，可以通过主体信息确定选择的执行体是RAN，还是UPF；如果是UPF，则为了更明确的指示具体选哪一个UPF，则可以进一步利用选择信息确定需要满足的用户面安全的信息和QoS需求信息来确定具体的UPF。

本申请实施例中，为了触发SMF实时向PCF发送最新的安全参数信息，则PCF可以向SMF发送触发器，在触发器满足时SMF则触发上报安全参数信息，具体可以是所述处理器902还用于向所述SMF实体发送策略控制请求触发信息(该信息可以通过触发器实现)，所述策略控制请求触发信息用于指示所述SMF实体在所述安全参数信息发生改变时向所述PCF实体上报改变后的安全参数信息。

在该实施例中，所述处理器902还利用所述收发器将所述策略控制请求触发信息包含在策略信息中发送到所述SMF实体。

本申请实施例中，因为RAN中QoS需求会不断的变化，以及UE完整性保护的速率也随时根据UE所需处理业务的情况发生变化，以及RAN可能会因为UE的移动性发生切换，所以为了进一步的确定PCF动态生成的User Plane Security Policy是否能够符合RAN或UE的实时需求，则可以进一步的通过RAN或UE的实时反馈来确认是否需要进一步对User PlaneSecurity Policy进行调整，所以：

所述收发器还用于接收所述SMF实体发送的原因值信息；其中，所述原因值信息用于指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)所述QoS需求超过UE完整性保护/加密最大速率中的至少一种；

则所述处理器902还用于根据所述安全参数信息和所述原因值信息做策略决策。

为了便于实施本申请实施例，本申请提供了一种会话管理功能SMF实体，用于本申请实施例提供的用户面安全的授权方法。

参见图10，SMF实体1000可包括：处理器1002、收发器(可以是发射器1004、接收器1006集成在一起的完整模块，也可以是发射器1004、接收器1006分别独立实现发射功能和接收功能)、耦合器1008和存储器1010。在本申请的一些实施例中，这些部件可通过总线或者其它方式连接，其中，图10中以通过总线连接为例。

耦合器1008用于将移动通信号分成多路，分配给多个的接收器1006。

发射器1004用于对处理器1002生成的通信信号进行发射处理，接收器1006用于对通信信号进行接收处理。具体实现中，发射器1004或接收器1006的数量可以是一个或多个。

存储器1010用于存储程序代码，具体实现中，存储器1010可以采用只读存储器(Read Only Memory，ROM)，可用于存储程序代码。

处理器1002，用于进行无线信道管理。本申请实施例中，处理器1002还用于调用存储于存储器1010中程序代码执行如下步骤：

在分组数据单元PDU会话建立过程中，所述处理器1002利用所述收发器发送安全参数信息给策略控制功能PCF实体，所述安全参数信息指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

其中，该RAN的安全参数信息包括RAN执行完整性保护和/或加密的速率或时延；所述UE的安全能力信息包括UE完整性保护/加密最大速率。

可选的，所述收发器接收所述PCF实体反馈的基于所述安全参数信息生成的策略规则信息；其中，所述安全参数信息指示RAN的安全能力信息，并且所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

其中，该所述指示信息包括：所述执行体需要满足的用户面安全的信息和QoS需求信息。

在本申请实施例中，当所述执行体为UPF，所述收发器还用于向NRF发送UPF实例请求信息；其中，所述请求信息中携带所述用户面安全的信息和QoS需求信息，所述UPR实例请求信息用于指示所述NRF上报满足所述用户面安全的信息和QoS需求信息的UPF实例给所述SMF。

在本申请实施例中，在将接入和移动性管理功能AMF实体发送来的安全参数信息发送到策略控制功能PCF实体之前，所述处理器1002还利用所述收发器获取所述PCF实体发送的策略控制请求触发信息；并根据所述策略控制请求触发信息在确定所述安全参数信息发生改变时向所述PCF实体上报新的安全参数信息。

其中，该处理器1002从所述PCF实体发送的策略信息中获取所述策略控制请求触发信息(可以是Policy Control Request Trigger)。

在本申请实施例中，该处理器1002还利用所述收发器发送将原因值信息到所述PCF实体，所述原因值信息用于所述PCF根据所述安全参数信息和所述原因值信息做策略决；其中，所述原因值信息指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)QoS需求超过UE完整性保护/加密最大速率中的至少一种。

为了便于实施本申请实施例，本申请提供了一种接入和移动性管理功能AMF实体，用于本申请实施例提供的用户面安全的授权方法。

参见图11，AMF实体1100可包括：处理器1102、收发器(可以是发射器1104、接收器1106集成在一起的完整模块，也可以是发射器1104、接收器1106分别独立实现发射功能和接收功能)、耦合器1108和存储器1110。在本申请的一些实施例中，这些部件可通过总线或者其它方式连接，其中，图11中以通过总线连接为例。

耦合器1108用于将移动通信号分成多路，分配给多个的接收器1106。

发射器1104用于对处理器1102生成的通信信号进行发射处理，接收器1106用于对通信信号进行接收处理。具体实现中，发射器1104或接收器1106的数量可以是一个或多个。

存储器1110用于存储程序代码，具体实现中，存储器1110可以采用只读存储器(Read Only Memory，ROM)，可用于存储程序代码。

处理器1102，用于进行无线信道管理。本申请实施例中，处理器1102还用于调用存储于存储器1110中程序代码执行如下步骤：

在分组数据单元PDU会话建立过程中，所述处理器1102利用所述收发器指示RAN的安全能力信息安全参数发送到会话管理功能SMF实体，SMF实体将该安全参数信息发送到策略控制功能PCF实体后，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

在本申请实施例中，该处理器1102还利用所述收发器从NG RAN节点发送的NG建立请求中获取所述安全参数信息。

在本申请实施例中，所述收发器用于接收所述SMF实体发送的安全参数信息改变请求，并基于所述安全参数改变请求在接收到所述RAN上报的新的安全参数信息后上报所述SMF实体。

在本申请实施例中，该处理器1102从所述RAN发送的N2消息获取原因值信息；其中，所述原因值信息指示RAN由于执行安全策略不能满足QoS需求；

所述收发器将所述原因值信息发送到所述SMF实体；在所述SMF实体将所述原因值信息发送到所述PCF实体后，所述原因值信息用于所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。

为了实现上述方法本申请实施例还提供一种策略控制功能PCF实体，该PCF实体可以包括：

接收单元，用于在分组数据单元PDU会话建立过程中，接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；

决策单元，用于至少根据所述安全参数信息做策略决策。

可选的，该决策单元具体用于至少根据所述安全参数信息所指示的RAN的安全能力信息，生成策略规则信息，所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

其中，该指示信息包括：所述执行体需要满足的用户面安全的信息和QoS需求信息。

为了获取最新的安全参数信息，该实施例中PCF还指示SMF实时上报最新的安全参数信息，则该PCF实体还包括：

发送单元，用于向所述SMF实体发送策略控制请求触发信息，所述策略控制请求触发信息用于指示所述SMF实体在所述安全参数信息发生改变时向所述PCF实体上报改变后的安全参数信息。

可选的，该发送单元具体用于将所述策略控制请求触发信息包含在策略信息中发送到所述SMF实体。

另外，因为适合RAN和UE的策略规则信息是随时变化的，所以为了保证最新生成的策略规则信息能够满足RAN和UE的实时需求，则PCF还需要根据RAN或UE反馈的信息进行策略规则信息的调整，具体实现可以是：

则该接收单元还用于接收所述SMF实体发送的原因值信息；其中，所述原因值信息用于指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)所述QoS需求超过UE完整性保护/加密最大速率中的至少一种；

则该决策单元还用于根据所述安全参数信息和所述原因值信息做策略决策。

为了实现上述方法本申请实施例还提供一种会话管理功能SMF实体，该SMF实体可以包括发送单元和接收单元：

该发送单元，用于在分组数据单元PDU会话建立过程中，发送安全参数信息给策略控制功能PCF实体，所述安全参数信息指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

可选的，该接收单元，用于接收所述PCF实体反馈的基于所述安全参数信息生成的策略规则信息；其中，所述安全参数信息指示RAN的安全能力信息，并且所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。

可选的，该指示信息可以包括：所述执行体需要满足的用户面安全的信息和QoS需求信息。

可选的，当所述执行体为UPF，包括：

所述发送单元还用于向NRF发送UPF实例请求信息；其中，所述请求信息中携带所述用户面安全的信息和QoS需求信息，所述UPR实例请求信息用于指示所述NRF上报满足所述用户面安全的信息和QoS需求信息的UPF实例给所述SMF。

可选的，该接收单元还用于接收所述PCF实体发送的策略控制请求触发信息；

则对应的发送单元还用于根据所述策略控制请求触发信息在确定所述安全参数信息发生改变时向所述PCF实体上报新的安全参数信息。

可选的，该发送单元还用于发送原因值信息到所述PCF实体，所述原因值信息用于所述PCF根据所述安全参数信息和所述原因值信息做策略决；其中，所述原因值信息指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)QoS需求超过UE完整性保护/加密最大速率中的至少一种。

为了便于实施本申请实施例，本申请实施例提供了一种接入和移动性管理功能AMF实体，包括发送单元和接收单元：

该发送单元，用于在分组数据单元PDU会话建立过程中，通过会话管理功能SMF实体将安全参数信息发送到策略控制功能PCF实体；所述安全参数信息指示RAN的安全能力信息，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。

可选的，该接收单元用于接收从NG RAN节点发送的NG建立请求，并获取所述安全参数信息。

可选的，该接收单元还用于接收所述SMF实体发送的安全参数信息改变请求，并接收所述RAN上报的新的安全参数信息；

所述发送单元还用于向所述SMF实体上报所述新的安全参数信息。

可选的，该接收单元用于接收从所述RAN发送的N2消息，并获取原因值信息；其中，所述原因值信息指示RAN由于执行安全策略不能满足QoS需求；

所述发送单元还用于通过所述SMF实体将所述原因值信息发送到所述PCF实体；所述原因值信息用于所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。

基于上述方法，本申请实施例还提供一种计算机存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在计算机上运行时，使得所述计算机执行如图3至图8任一所述的方法。

基于上述方法，本申请实施例还提供一种包含指令的计算机程序产品，其特征在于，当所述指令在计算机上运行时，使得所述计算机执行如图3至图8任一项所述的方法。

本申请实施例所提供的方法中PCF基于可以体现RAN和/或UE安全保护能力的安全参数信息做策略决策，从而得到符合RAN和/或UE情况的用户面安全策略，所以PCF可以依据RAN和/或UE的安全参数信息来判断是否RAN可以同时满足用户面安全和QoS需求并产生策略规则或者UE的QoS需求是否超过UE完整性保护/加密最大速率；从而制定出能够满足RAN和UE需求的用户面安全策略。

本申请的各个实施方式可以任意进行组合，以实现不同的技术效果。

上述本申请提供的实施例中，从PCF实体、AMF实体以及SMF实体作为执行主体的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能，PCF实体、AMF实体以及SMF实体可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。