CN113873453A - 通信方法、装置及*** - Google Patents

Abstract

本申请提供通信方法、装置及***。该方法包括：安全网关从策略控制网元接收请求消息，用于请求获取业务数据流描述信息对应的业务数据流识别信息；安全网关向策略控制网元发送业务数据流描述信息对应的业务数据流识别信息，业务数据流识别信息用于生成PCC规则，以及用于识别携带业务数据流识别信息的数据包。基于该方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得策略控制网元可以根据业务数据流识别信息生成PCC规则，从而核心网网元如用户面网元可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

Description

通信方法、装置及***

技术领域

本申请涉及通信技术领域，尤其涉及通信方法、装置及***。

背景技术

为提升通信安全，目前提出终端设备到核心网的加密需求。其中，一种无需更改现有网络架构的方案是：在用户面网元和数据网络之间部署安全网关，终端设备与安全网关之间的通信实现因特网协议(internet protocol，IP)层的端到端(end to end，E2E)加密。其中，加密秘钥来源于终端设备与安全网关之间基于因特网协议安全(Internet ProtocolSecurity，IPsec)协议的协商。

若终端设备与安全网关之间使用端到端的加密模式，则终端设备或安全网关会采用认证头(Authentication Header，AH)协议或封装安全载荷(Encapsulating SecurityPayload，ESP)协议对用户面数据流进行加密，核心网无法识别出端口号等信息，因而无法识别用户面数据流，进而无法执行服务质量(Quality of Service，QoS)控制。

发明内容

本申请提供通信方法、装置及***，用于实现对加密的用户面数据流执行QoS控制。

第一方面，本申请实施例提供一种通信方法，包括：安全网关从策略控制网元接收请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；所述安全网关向所述策略控制网元发送所述业务数据流描述信息对应的所述业务数据流识别信息，所述业务数据流识别信息用于生成策略控制计费PCC规则，以及用于识别携带所述业务数据流识别信息的数据包。

基于上述方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得策略控制网元可以根据业务数据流识别信息生成PCC规则，从而核心网网元如用户面网元可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

作为一种实现方法，所述安全网关向所述终端设备发送所述业务数据流识别信息与所述业务数据流描述信息之间的对应关系。

基于该方案，终端设备可以根据在与业务数据流描述信息对应的数据包中添加业务数据流识别信息，从而使得用户面网元可以基于业务数据流识别信息识别数据包。

作为一种实现方法，所述安全网关根据所述业务数据流描述信息，识别接收的业务数据流；所述安全网关将所述业务数据流识别信息添加至所述业务数据流的数据包；所述安全网关发送所述业务数据流的数据包。

基于该方案，安全网关可以根据在与业务数据流描述信息对应的数据包中添加业务数据流识别信息，从而使得用户面网元可以基于业务数据流识别信息识别数据包。

作为一种实现方法，所述安全网关向所述策略控制网元发送所述业务数据流描述信息对应的所述业务数据流识别信息，包括：所述安全网关向所述策略控制网元发送所述业务数据流描述信息对应的上行SPI和/或下行SPI；或者，所述安全网关向所述策略控制网元发送所述业务数据流描述信息对应的上行业务数据流索引和/或下行业务数据流索引。

第二方面，本申请实施例提供一种通信方法，包括：策略控制网元向安全网关发送请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；所述策略控制网元从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息；所述策略控制网元根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

基于上述方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得策略控制网元可以根据业务数据流识别信息生成PCC规则，从而核心网网元如用户面网元可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

作为一种实现方法，所述策略控制网元从应用功能网元接收授权请求，所述授权请求包含业务描述信息，所述业务描述信息包含所述业务数据流过滤器或所述应用标识；所述策略控制网元根据所述业务描述信息，生成所述业务数据流描述信息。

作为一种实现方法，所述策略控制网元从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息，包括：所述策略控制网元从所述安全网关接收所述业务数据流描述信息对应的上行SPI和/或下行SPI；或者，所述策略控制网元从所述安全网关接收所述业务数据流描述信息对应的上行业务数据流索引和/或下行业务数据流索引。

作为一种实现方法，所述策略控制网元确定所述业务数据流描述信息不能够与其他业务数据流描述信息合并至同一个PCC规则，则向安全网关发送所述请求消息；或者，所述策略控制网元确定所述业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数不同，则向安全网关发送所述请求消息。

第三方面，本申请实施例提供一种通信方法，包括：安全网关从策略控制网元接收请求消息，所述请求消息包含业务数据流描述信息和业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；所述安全网关向所述策略控制网元发送响应消息，所述响应消息用于指示已经建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系，所述业务数据流识别信息用于生成策略控制计费PCC规则，以及用于识别携带所述业务数据流识别信息的数据包。

基于上述方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得策略控制网元可以根据业务数据流识别信息生成PCC规则，从而核心网网元如用户面网元可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

作为一种实现方法，所述安全网关向所述终端设备发送所述业务数据流识别信息与所述业务数据流描述信息之间的对应关系。

基于该方案，终端设备可以根据在与业务数据流描述信息对应的数据包中添加业务数据流识别信息，从而使得用户面网元可以基于业务数据流识别信息识别数据包。

作为一种实现方法，所述安全网关根据所述业务数据流模板，识别接收的业务数据流；所述安全网关将所述业务数据流识别信息添加至所述业务数据流的数据包；所述安全网关发送所述业务数据流的数据包。

基于该方案，安全网关可以根据在与业务数据流描述信息对应的数据包中添加业务数据流识别信息，从而使得用户面网元可以基于业务数据流识别信息识别数据包。

作为一种实现方法，所述SPI包括上行SPI和/或下行SPI。

作为一种实现方法，所述业务数据流索引包括上行业务数据流索引和/或下行业务数据流索引。

第四方面，本申请实施例提供一种通信方法，包括：策略控制网元向安全网关发送请求消息，所述请求消息包含业务数据流描述信息和业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；所述策略控制网元从所述安全网关接收响应消息，所述响应消息用于指示已经建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；所述策略控制网元根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

基于上述方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得策略控制网元可以根据业务数据流识别信息生成PCC规则，从而核心网网元如用户面网元可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

作为一种实现方法，所述策略控制网元从应用功能网元接收授权请求，所述授权请求包含业务描述信息，所述业务描述信息包含所述业务数据流过滤器或所述应用标识；所述策略控制网元根据所述业务描述信息，生成所述业务数据流描述信息。

作为一种实现方法，所述SPI包括上行SPI和/或下行SPI。

作为一种实现方法，所述业务数据流索引包括上行业务数据流索引和/或下行业务数据流索引。

作为一种实现方法，所述策略控制网元确定所述业务数据流描述信息能够与其他业务数据流描述信息合并至同一个PCC规则，则确定建立所述业务数据流识别信息与所述业务数据流描述信息的对应关系；或者，所述策略控制网元确定所述业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数相同，则确定建立所述业务数据流识别信息与所述业务数据流描述信息的对应关系。

第五方面，本申请实施例提供一种通信方法，包括：安全网关从应用功能网元接收业务信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识；所述安全网关根据所述业务信息，确定业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；所述安全网关向策略控制网元发送所述业务数据流识别信息，所述业务数据流识别信息用于生成策略控制计费PCC规则，以及用于识别携带所述业务数据流识别信息的数据包。

基于上述方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得策略控制网元可以根据业务数据流识别信息生成PCC规则，从而核心网网元如用户面网元可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

作为一种实现方法，所述安全网关向所述终端设备发送所述业务数据流识别信息与所述业务描述信息之间的对应关系。

基于该方案，终端设备可以根据在与业务数据流描述信息对应的数据包中添加业务数据流识别信息，从而使得用户面网元可以基于业务数据流识别信息识别数据包。

作为一种实现方法，所述安全网关根据所述业务描述信息，识别接收的业务数据流；所述安全网关将所述业务数据流识别信息添加至所述业务数据流的数据包；所述安全网关发送所述业务数据流的数据包。

基于该方案，安全网关可以根据在与业务数据流描述信息对应的数据包中添加业务数据流识别信息，从而使得用户面网元可以基于业务数据流识别信息识别数据包。

作为一种实现方法，所述安全网关向策略控制网元发送所述业务数据流识别信息，包括：所述安全网关向所述策略控制网元发送上行SPI和/或下行SPI；或者，所述安全网关向所述策略控制网元发送上行业务数据流索引和/或下行业务数据流索引。

作为一种实现方法，所述业务信息至少包含所述业务需求信息；所述安全网关根据所述业务信息，确定业务数据流识别信息，包括：所述安全网关确定所述业务需求信息与其他业务需求信息相同、且所述其他业务需求信息对应所述业务数据流识别信息，则确定所述业务信息对应所述业务数据流识别信息。

作为一种实现方法，所述业务信息至少包含所述业务需求信息；所述安全网关根据所述业务信息，确定业务数据流识别信息，包括：所述安全网关确定所述业务需求信息与其他业务需求信息不同、或者所述其他业务需求信息没有对应的业务数据流识别信息，则为所述业务信息生成所述业务数据流识别信息。

作为一种实现方法，所述安全网关向所述策略控制网元发送所述业务数据流识别信息与所述业务需求信息的对应关系。

第六方面，本申请实施例提供一种通信方法，包括：策略控制网元从安全网关接收业务信息和所述业务信息对应的业务数据流识别信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；所述策略控制网元根据所述业务数据流识别信息生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

基于上述方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得策略控制网元可以根据业务数据流识别信息生成PCC规则，从而核心网网元如用户面网元可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

作为一种实现方法，所述策略控制网元从安全网关接收业务信息和所述业务信息对应的业务数据流识别信息，包括：所述策略控制网元从所述安全网关接收所述业务信息和所述业务信息对应的上行SPI和/或下行SPI；或者，所述策略控制网元从所述安全网关接收所述业务信息和所述业务信息对应的上行业务数据流索引和/或下行业务数据流索引。

第七方面，本申请实施例提供一种通信方法，包括：用户面网元从会话管理网元接收包检测规则PDR，所述PDR包含业务数据流识别信息和服务质量流标识QFI，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；所述用户面网元识别携带所述业务数据流识别信息的数据包；所述用户面网元根据所述业务数据流识别信息对应的所述QFI，执行服务质量QoS控制。

基于上述方案，用户面网元可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

第八方面，本申请实施例提供一种通信装置，该装置可以是安全网关，还可以是用于安全网关的芯片。该装置具有实现上述第一方面、第三方面、第五方面的各实现方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第九方面，本申请实施例提供一种通信装置，该装置可以是策略控制网元，还可以是用于策略控制网元的芯片。该装置具有实现上述第二方面、第四方面、第六方面的各实现方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第十方面，本申请实施例提供一种通信装置，该装置可以是用户面网元，还可以是用于用户面网元的芯片。该装置具有实现上述第七方面的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第十一方面，本申请实施例提供一种通信装置，包括处理器和存储器；该存储器用于存储计算机执行指令，当该装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该装置执行如上述第一方面至第七方面的各实现方法。

第十二方面，本申请实施例提供一种通信装置，包括用于执行上述第一方面至第七方面的各实现方法的各个步骤的单元或手段(means)。

第十三方面，本申请实施例提供一种通信装置，包括处理器和接口电路，所述处理器用于通过接口电路与其它装置通信，并执行上述第一方面至第七方面的各实现方法。该处理器包括一个或多个。

第十四方面，本申请实施例提供一种通信装置，包括处理器，用于与存储器相连，用于调用所述存储器中存储的程序，以执行上述第一方面至第七方面的各实现方法。该存储器可以位于该装置之内，也可以位于该装置之外。且该处理器包括一个或多个。

第十五方面，本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得处理器执行上述第一方面至第七方面的各实现方法。

第十六方面，本申请实施例还提供一种计算机程序产品，该计算机产品包括计算机程序，当计算机程序运行时，使得上述第一方面至第七方面的各实现方法被执行。

第十七方面，本申请实施例还提供一种芯片***，包括：处理器，用于执行上述第一方面至第七方面的各实现方法。

第十八方面，本申请实施例还提供一种通信***，包括安全网关和策略控制网元；所述策略控制网元，用于向所述安全网关发送请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息；根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包；所述安全网关，用于从所述策略控制网元接收所述请求消息；向所述策略控制网元发送所述业务数据流描述信息对应的所述业务数据流识别信息。

第十九方面，本申请实施例还提供一种通信方法，包括：策略控制网元向安全网关发送请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；安全网关从策略控制网元接收所述请求消息；安全网关向策略控制网元发送所述业务数据流描述信息对应的所述业务数据流识别信息；策略控制网元从安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息；策略控制网元根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

第二十方面，本申请实施例还提供一种通信***，包括安全网关和策略控制网元；所述策略控制网元，用于向所述安全网关发送请求消息，所述请求消息包含业务数据流描述信息和业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；从所述安全网关接收响应消息，所述响应消息用于指示已经建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包；所述安全网关，用于从所述策略控制网元接收所述请求消息；向所述策略控制网元发送所述响应消息。

第二十一方面，本申请实施例还提供一种通信方法，包括：策略控制网元向安全网关发送请求消息，所述请求消息包含业务数据流描述信息和业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；安全网关从策略控制网元接收所述请求消息；安全网关向策略控制网元发送响应消息，所述响应消息用于指示已经建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；策略控制网元从安全网关接收所述响应消息；策略控制网元根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

第二十二方面，本申请实施例还提供一种通信***，包括安全网关和策略控制网元；所述安全网关，用于从应用功能网元接收业务信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识；根据所述业务信息，确定业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；向策略控制网元发送所述业务数据流识别信息和所述业务信息；所述策略控制网元，用于从所述安全网关接收所述业务信息对应的业务数据流识别信息和所述业务信息；根据所述业务数据流识别信息生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

第二十三方面，本申请实施例还提供一种通信方法，包括：安全网关从应用功能网元接收业务信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识；安全网关根据所述业务信息，确定业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；安全网关向策略控制网元发送所述业务数据流识别信息和所述业务信息；策略控制网元从安全网关接收所述业务信息对应的业务数据流识别信息和所述业务信息；根据所述业务数据流识别信息生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

附图说明

图1为本申请实施例提供的一种通信***示意图；

图2(a)为基于服务化架构的5G网络架构示意图；

图2(b)为基于点对点接口的5G网络架构示意图；

图3为传输模式中的数据包格式示意图；

图4为隧道模式中的数据包格式示意图；

图5(a)为本申请实施例提供的一种通信方法示意图；

图5(b)为本申请实施例提供的又一种通信方法示意图；

图5(c)为本申请实施例提供的又一种通信方法示意图；

图6为本申请实施例提供的又一种通信方法示意图；

图7为本申请实施例提供的又一种通信方法示意图；

图8为本申请实施例提供的一种通信装置示意图；

图9为本申请实施例提供的又一种通信装置示意图；

图10为本申请实施例提供的又一种通信装置示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或***实施例中。其中，在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。

为解决背景技术中提到的问题，如图1所示，本申请提供一种通信***，该***包括安全网关和策略控制网元。可选的，该***还包括会话管理网元和/或用户面网元。

在第一个实施例中：

所述策略控制网元，用于向所述安全网关发送请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息；根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。所述安全网关，用于从所述策略控制网元接收所述请求消息；向所述策略控制网元发送所述业务数据流描述信息对应的所述业务数据流识别信息。

在一种可能的实现方法中，所述安全网关，还用于向所述终端设备发送所述业务数据流识别信息与所述业务数据流描述信息之间的对应关系。

在一种可能的实现方法中，所述安全网关，还用于根据所述业务数据流描述信息，识别接收的业务数据流；将所述业务数据流识别信息添加至所述业务数据流的数据包；发送所述业务数据流的数据包。

在一种可能的实现方法中，所述安全网关，用于向所述策略控制网元发送所述业务数据流描述信息对应的所述业务数据流识别信息，具体包括：用于向所述策略控制网元发送所述业务数据流描述信息对应的上行SPI和/或下行SPI；或者，用于向所述策略控制网元发送所述业务数据流描述信息对应的上行业务数据流索引和/或下行业务数据流索引。

在一种可能的实现方法中，所述策略控制网元，还用于从应用功能网元接收授权请求，所述授权请求包含业务描述信息，所述业务描述信息包含所述业务数据流过滤器或所述应用标识；根据所述业务描述信息，生成所述业务数据流描述信息。

在一种可能的实现方法中，所述策略控制网元，还用于确定所述业务数据流描述信息不能够与其他业务数据流描述信息合并至同一个PCC规则，则向安全网关发送所述请求消息；或者，确定所述业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数不同，则向安全网关发送所述请求消息。

在一种可能的实现方法中，所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；所述会话管理网元，用于根据所述PCC规则生成包检测规则PDR，所述PDR包含所述业务数据流识别信息和服务质量流标识QFI；向用户面网元发送所述PDR。

在一种可能的实现方法中，所述用户面网元，用于从所述会话管理网元接收所述PDR；识别携带所述业务数据流识别信息的数据包；根据所述业务数据流识别信息对应的所述QFI，执行服务质量QoS控制。

在一种可能的实现方法中，所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；所述会话管理网元，用于根据所述PCC规则生成包服务质量QoS规则，所述QoS规则包含所述业务数据流识别信息和QFI；向终端设备发送所述QoS规则。

在第二个实施例中：

所述策略控制网元，用于向所述安全网关发送请求消息，所述请求消息包含业务数据流描述信息和业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；从所述安全网关接收响应消息，所述响应消息用于指示已经建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。所述安全网关，用于从所述策略控制网元接收所述请求消息；向所述策略控制网元发送所述响应消息。

在一种可能的实现方法中，所述安全网关，还用于向所述终端设备发送所述业务数据流识别信息与所述业务数据流描述信息之间的对应关系。

在一种可能的实现方法中，所述安全网关，还用于根据所述业务数据流模板，识别接收的业务数据流；将所述业务数据流识别信息添加至所述业务数据流的数据包；发送所述业务数据流的数据包。

在一种可能的实现方法中，所述SPI包括上行SPI和/或下行SPI。

在一种可能的实现方法中，所述业务数据流索引包括上行业务数据流索引和/或下行业务数据流索引。

在一种可能的实现方法中，所述策略控制网元，还用于从应用功能网元接收授权请求，所述授权请求包含业务描述信息，所述业务描述信息包含所述业务数据流过滤器或所述应用标识；根据所述业务描述信息，生成所述业务数据流描述信息。

在一种可能的实现方法中，所述策略控制网元，还用于确定所述业务数据流描述信息能够与其他业务数据流描述信息合并至同一个PCC规则，则确定建立所述业务数据流识别信息与所述业务数据流描述信息的对应关系；或者，确定所述业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数相同，则确定建立所述业务数据流识别信息与所述业务数据流描述信息的对应关系。

在一种可能的实现方法中，所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；所述会话管理网元，用于根据所述PCC规则生成包检测规则PDR，所述PDR包含所述业务数据流识别信息和服务质量流标识QFI；向用户面网元发送所述PDR。

在一种可能的实现方法中，所述用户面网元，用于从所述会话管理网元接收所述PDR；识别携带所述业务数据流识别信息的数据包；根据所述业务数据流识别信息对应的所述QFI，执行服务质量QoS控制。

在一种可能的实现方法中，所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；所述会话管理网元，用于根据所述PCC规则生成包服务质量QoS规则，所述QoS规则包含所述业务数据流识别信息和QFI；向终端设备发送所述QoS规则。

在第三个实施例中：

所述安全网关，用于从应用功能网元接收业务信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识；根据所述业务信息，确定业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；向策略控制网元发送所述业务数据流识别信息和所述业务信息。所述策略控制网元，用于从所述安全网关接收所述业务信息和所述业务数据流识别信息；根据所述业务数据流识别信息生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

在一种可能的实现方法中，所述安全网关，还用于向所述终端设备发送所述业务数据流识别信息与所述业务描述信息之间的对应关系。

在一种可能的实现方法中，所述安全网关，还用于根据所述业务描述信息，识别接收的业务数据流；将所述业务数据流识别信息添加至所述业务数据流的数据包；发送所述业务数据流的数据包。

在一种可能的实现方法中，所述安全网关，用于向策略控制网元发送所述业务数据流识别信息，具体包括：用于向所述策略控制网元发送上行SPI和/或下行SPI；或者，用于向所述策略控制网元发送上行业务数据流索引和/或下行业务数据流索引。

在一种可能的实现方法中，所述业务信息至少包含所述业务需求信息；所述安全网关，用于根据所述业务信息，确定业务数据流识别信息，具体包括：用于确定所述业务需求信息与其他业务需求信息相同、且所述其他业务需求信息对应所述业务数据流识别信息，则确定所述业务信息对应所述业务数据流识别信息。

在一种可能的实现方法中，所述业务信息至少包含所述业务需求信息；所述安全网关，用于根据所述业务信息，确定业务数据流识别信息，具体包括：用于确定所述业务需求信息与其他业务需求信息不同、或者所述其他业务需求信息没有对应的业务数据流识别信息，则为所述业务信息生成所述业务数据流识别信息。

在一种可能的实现方法中，所述安全网关，还用于向所述策略控制网元发送所述业务数据流识别信息与所述业务需求信息的对应关系。

在一种可能的实现方法中，所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；所述会话管理网元，用于根据所述PCC规则生成包检测规则PDR，所述PDR包含所述业务数据流识别信息和服务质量流标识QFI；向用户面网元发送所述PDR。

在一种可能的实现方法中，所述用户面网元，用于从所述会话管理网元接收所述PDR；识别携带所述业务数据流识别信息的数据包；根据所述业务数据流识别信息对应的所述QFI，执行服务质量QoS控制。

在一种可能的实现方法中，所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；所述会话管理网元，用于根据所述PCC规则生成包服务质量QoS规则，所述QoS规则包含所述业务数据流识别信息和QFI；向终端设备发送所述QoS规则。

其中，上述方案的具体实现将在后续方法实施例部分详细阐述，在此不再赘述。

图1所示的***可以用在图2(a)或图2(b)所示的第五代(5th generation，5G)网络架构中，当然，也可以用在未来网络架构，比如第六代(6th generation，6G)网络架构等，本申请不做限定。

示例性的，假设图1所示的通信***应用于5G网络架构，如图2(a)所示，为基于服务化架构的5G网络架构示意图。图1中的策略控制网元所对应的网元或者实体可以为图2(a)所示的5G网络架构中的策略控制功能(Policy Control Function，PCF)网元，图1中的用户面网元所对应的网元或者实体可以为图2(a)所示的5G网络架构中的用户面功能(userplane function，UPF)网元。图1中的会话管理网元所对应的网元或者实体可以为图2(a)所示的5G网络架构中的会话管理功能(session management function，SMF)网元。

图2(a)所示的5G网络架构中可包括三部分，分别是终端设备部分、数据网络(datanetwork，DN)和运营商网络部分。下面对其中的部分网元的功能进行简单介绍说明。

其中，运营商网络可包括以下网元中的一个或多个：鉴权服务器功能(Authentication Server Function，AUSF)网元、网络开放功能(network exposurefunction，NEF)网元、PCF网元、统一数据管理(unified data management，UDM)网元、统一数据库(Unified Data Repository，UDR)、网络存储功能(Network Repository Function，NRF)网元、应用功能(Application Function，AF)网元、接入与移动性管理功能(Accessand Mobility Management Function，AMF)网元、SMF网元、RAN以及UPF网元等。上述运营商网络中，除无线接入网部分之外的部分可以称为核心网络部分。

在具体实现中，本申请实施例中的终端设备，可以是用于实现无线通信功能的设备。其中，终端设备可以是5G网络或者未来演进的公共陆地移动网络(public land mobilenetwork，PLMN)中的用户设备(user equipment，UE)、接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。接入终端可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备或可穿戴设备，虚拟现实(virtual reality，VR)终端设备、增强现实(augmentedreality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端等。终端可以是移动的，也可以是固定的。

上述终端设备可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接，使用运营商网络提供的数据和/或语音等服务。终端设备还可通过运营商网络访问DN，使用DN上部署的运营商业务，和/或第三方提供的业务。其中，上述第三方可为运营商网络和终端设备之外的服务方，可为终端设备提供其他数据和/或语音等服务。其中，上述第三方的具体表现形式，具体可根据实际应用场景确定，在此不做限制。

RAN是运营商网络的子网络，是运营商网络中业务节点与终端设备之间的实施***。终端设备要接入运营商网络，首先是经过RAN，进而可通过RAN与运营商网络的业务节点连接。本申请中的RAN设备，是一种为终端设备提供无线通信功能的设备，RAN设备也称为接入网设备。本申请中的RAN设备包括但不限于：5G中的下一代基站(g nodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(basetransceiver station，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(baseBand unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等。

AMF网元，主要进行移动性管理、接入鉴权/授权等功能。此外，还负责在UE与PCF间传递用户策略。

SMF网元，主要进行会话管理、PCF下发的控制策略的执行、UPF的选择、UE IP地址分配等功能。

UPF网元，作为和数据网络的接口UPF，完成用户面数据转发、基于会话/流级的计费统计，带宽限制等功能。

UDM网元，主要负责管理签约数据、用户接入授权等功能。

UDR，主要负责签约数据、策略数据、应用数据等类型数据的存取功能。

NEF网元，主要用于支持能力和事件的开放。

AF网元，主要传递应用侧对网络侧的需求，例如，QoS需求或用户状态事件订阅等。AF可以是第三方功能实体，也可以是运营商部署的应用服务，如IP多媒体子***(IPMultimedia Subsystem，IMS)语音呼叫业务。

PCF网元，主要负责针对会话、业务流级别进行计费、QoS带宽保障及移动性管理、UE策略决策等策略控制功能。

NRF网元，可用于提供网元发现功能，基于其他网元的请求，提供网元类型对应的网元信息。NRF还提供网元管理服务，如网元注册、更新、去注册以及网元状态订阅和推送等。

AUSF网元：主要负责对用户进行鉴权，以确定是否允许用户或设备接入网络。

DN，是位于运营商网络之外的网络，运营商网络可以接入多个DN，DN上可部署多种业务，可为终端设备提供数据和/或语音等服务。例如，DN是某智能工厂的私有网络，智能工厂安装在车间的传感器可为终端设备，DN中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，根据指令将采集的传感器数据传送给控制服务器等。又例如，DN是某公司的内部办公网络，该公司员工的手机或者电脑可为终端设备，员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。

图2(a)中Nausf、Nnef、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4，以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义，在此不做限制。

示例性的，假设图1所示的通信***应用于5G网络架构，如图2(b)所示，为基于点对点接口的5G网络架构示意图。图1中的策略控制网元所对应的网元或者实体可以为图2(b)所示的5G网络架构中的PCF网元，图1中的用户面网元所对应的网元或者实体可以为图2(b)所示的5G网络架构中的UPF网元。图1中的会话管理网元所对应的网元或者实体可以为图2(b)所示的5G网络架构中的SMF网元。

图2(b)中的网元的功能的介绍可以参考图2(a)中对应的网元的功能的介绍，不再赘述。图2(b)与图2(a)的主要区别在于：图2(b)中的各个网元之间的接口是点对点的接口，而不是服务化的接口。

在图2(b)所示的架构中，各个网元之间的接口名称及功能如下：

1)、N7：PCF与SMF之间的接口，用于下发协议数据单元(protocol data unit，PDU)会话粒度以及业务数据流粒度控制策略。

2)、N15：PCF与AMF之间的接口，用于下发UE策略及接入控制相关策略。

3)、N5：AF与PCF之间的接口，用于应用业务请求下发以及网络事件上报。

4)、N4：SMF与UPF之间的接口，用于控制面与用户面之间传递信息，包括控制面向用户面的转发规则、QoS控制规则、流量统计规则等的下发以及用户面的信息上报。

5)、N11：SMF与AMF之间的接口，用于传递RAN和UPF之间的PDU会话隧道信息、传递发送给UE的控制消息、传递发送给RAN的无线资源控制信息等。

6)、N2：AMF与RAN之间的接口，用于传递核心网侧至RAN的无线承载控制信息等。

7)、N1：AMF与UE之间的接口，接入无关，用于向UE传递QoS控制规则等。

8)、N8：AMF与UDM间的接口，用于AMF向UDM获取接入与移动性管理相关签约数据与鉴权数据，以及AMF向UDM注册UE当前移动性管理相关信息等。

9)、N10：SMF与UDM间的接口，用于SMF向UDM获取会话管理相关签约数据，以及SMF向UDM注册UE当前会话相关信息等。

10)、N35：UDM与UDR间的接口，用于UDM从UDR中获取用户签约数据信息。

11)、N36：PCF与UDR间的接口，用于PCF从UDR中获取策略相关签约数据以及应用数据相关信息。

12)、N12：AMF和AUSF间的接口，用于AMF向AUSF发起鉴权流程，其中可携带SUCI作为签约标识；

13)、N13：UDM与AUSF间的接口，用于AUSF向UDM获取用户鉴权向量，以执行鉴权流程。

可以理解的是，上述网元或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。可选的，上述网元或者功能可以由一个设备实现，也可以由多个设备共同实现，还可以是一个设备内的一个功能模块，本申请实施例对此不作具体限定。

本申请中的会话管理网元、策略控制网元、用户面网元、接入网设备、应用功能网元分别可以是图2(a)或图2(b)中的SMF、PCF、UPF、RAN、AF，也可以是未来通信如第六代(6thgeneration，6G)网络中具有上述SMF、PCF、UPF、RAN、AF的功能的网元，本申请对此不限定。为方便说明，本申请以会话管理网元、策略控制网元、用户面网元、接入网设备、应用功能网元分别为上述SMF、PCF、UPF、RAN、AF为例进行说明。

在目前基于信令的QoS流(QoS flow)架构中，SMF根据本地策略或者PCF发送的策略计费控制(Policy and Charging Control，PCC)规则确定建立QoS flow，PCC规则中包含业务数据流模板(Service data flow template,SDF template)。其中，PCC规则与SDF模板是一一对应的关系。

其中，PCC规则是能够检测SDF并为策略控制和/或计费控制和/或其他控制或支持信息提供参数的一组信息(A set of information enabling the detection of aservice data flow and providing parameters for policy control and/or chargingcontrol and/or other control or support information)。

SDF是UPF上承载的匹配到一个SDF模板报文流的集合(An aggregate set ofpacket flows carried through the UPF that matches a service data flowtemplate)。

SDF模板包含PCC规则中的一组SDF过滤器(Service data flow filter，SDFfilter)或者应用标识(Application ID)，应用标识可以索引到SMF或UPF中的一个应用检测过滤器。SDF模板是用来定义一个SDF的(The set of service data flow filters in aPCC Rule or an application identifier in a PCC rule referring to anapplication detection filter in the SMF or in the UPF,required for defining aservice data flow)。

其中，SDF过滤器是数据包流头参数值/范围的集合，用于标识UPF中的一个或多个数据包流(A set of packet flow header parameter values/ranges used to identifyone or more of the packet flows in the UPF)。SDF过滤器中包含但不限于以下信息中的一个或多个：

1)源IP地址或源IP地址前缀(source IP address or IPv6 prefix)；

2)目的IP地址或目的IP地址前缀(destination IP address or IPv6 prefix)；

3)源端口号(source port number)；

4)目的端口号(destination port number)；

5)IP层的上层协议号(Protocol ID of the protocol above IP)；

6)下一个头类型(Next header type)；

7)流标签(Flow Label)(IPv6)；

8)分组数据流方向(Packet Flow Direction)。

应用标识是一个索引到特定应用检测过滤器的标识。若SDF模板中包含应用标识，则可以根据该应用标识索引到上述SDF过滤器所包含的信息中的一个或多个信息。

数据包流描述(Packet Flow Description，PFD)也可以称为PFD信息。PFD能够检测第三方服务提供商提供的应用程序流量的一组信息。PFD可以用于生成应用检测过滤器。

PFD包含以下信息：

1)PFD标识；

2)三元组、要匹配的统一资源定位符(Uniform Resource Locator，URL)的有效部分、域名匹配标准、有关应用协议的信息中的一项或多项。

其中，三元组包括协议、服务器端因特网协议(Internet Protocol，IP)地址和端口号，要匹配的URL的有效部分例如可以是主机名。

SMF向UPF发送SDF信息，SDF信息包含QoS控制信息，通过AMF向RAN发送QoS flow的QoS配置文件，以及通过AMF、RAN向终端设备发送QoS规则，QoS规则包含QoS控制信息。然后，终端设备、RAN和UPF之间建立QoS flow，RAN根据QoS配置文件建立空口的数据无线承载(Data Radio Bearer，DRB)，并存储QoS flow与DRB的绑定关系。

在下行方向，当UPF接收到下行数据包，则根据SMF发送的SDF信息执行QoS控制，比如在下行数据包的包头中携带QoS流标识(QoS flow identity，QFI)，然后UPF向RAN发送下行数据包。RAN接收到下行数据包后，根据下行数据包的包头中的QFI以及QoS flow与DRB的绑定关系，将下行数据包放在对应的DRB上传输至终端设备。

在上行方向，终端设备确定发送上行数据包，根据QoS规则确定QoS flow，并在上行数据包的包头中携带该QoS flow的QFI，然后根据QoS flow和DRB的绑定关系，将上行数据包放在对应的DRB上传输至RAN。RAN接收到上行数据包，获取到上行数据包的包头中的QFI，然后将该QFI添加到RAN与UPF之间的数据包的包头中。UPF接收到RAN发送的上行数据包后，验证该上行数据包是否使用正确的QoS flow传输。

为提升通信安全，目前提出终端设备到核心网的加密需求。其中，一种无需更改现有网络架构的方案是：在UPF和DN之间部署安全网关，终端设备与安全网关之间的通信实现IP层的端到端(E2E)加密。其中，加密秘钥来源于终端设备与安全网关之间基于IPsec协议的协商。

下面对IPsec协议进行介绍说明。

IPSec在IP层实现安全保护，提供在不安全的网络环境中传输敏感数据的保护。通信双方在IP层执行加密及数据源认证来确保网络传输时数据包的机密性、数据一致性、数据源认证及抗重放。也即，IPSec可以提供以下安全服务：

1)数据源认证：对端身份认证，不可抵赖；

2)完整性保护：保证数据在传输过程中不被篡改；

3)机密性：对传输的用户敏感数据进行加密保护；

4)重放保护：拒绝接收旧的或者重复的报文。

IPSec协议体系包括两个安全处理协议和一个密钥交换(Internet KeyExchange，IKE)协议。其中，安全处理协议包括AH协议和ESP协议。

AH协议提供数据源认证、数据完整性校验、防重放攻击等功能，但不支持数据加密。ESP协议提供数据源认证、数据完整性校验、防重放攻击、数据加密等功能。AH和ESP可以单独使用，也可以嵌套使用。通过这些组合方式，可以在两台主机、两台安全网关(如防火墙和路由器)，或者主机与安全网关之间使用。IKE协议负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE协议将密钥协商的结果进行保留，供AH协议和ESP协议以后使用。

通信双方使用IKE协议协商建立安全关联(Security Association，SA)。IPsec SA是要建立IPSec隧道的通信双方对隧道参数的约定，包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。

其中，SA是两个通信实体经协商建立起来的一种协定，为安全目的创建一个单向逻辑连接，所有经过同一SA的数据流会得到相同安全服务，其决定了用来保护数据包安全的IPSec协议、密钥以及密钥的有效存在时间等。SA是构成IPSec的基础。SA是单向的(inbound和outbound)，且“与协议相关”，一个SA对应一个AH，或对应一个ESP。

SA是单向的逻辑连接，因此两个IPSec对等通信实体之间的双向通信，最少需要建立两个SA来分别对两个方向的数据流进行安全保护。

一个SA可以由三元组来唯一标识，这个三元组包括安全参数索引(SecurityParameter Index，SPI)、目的IP地址和安全协议号(AH协议或ESP协议)。其中，SPI是为唯一标识SA而生成的一个32位比特的数值，它在AH或ESP头中传输。不同的SA对应的SPI不同。

目前，基于IPSec协议通信时，对数据包的IPSec封装模式主要包括：

1)传输模式：不产生新的IP包头，AH或ESP头被***到原始数据包的IP头之后但在所有传输层协议之前，通常用于主机与主机之间(数据传输点等于加密点)的IPSec场景。

如图3所示，以IP上层协议为TCP为例，为传输模式中的数据包格式示意图。

可以看出，原始的IP数据包包括原始IP头(包含目的IP地址、源IP地址)、传输控制协议(Transmission Control Protocol，TCP)(包含端口号)和数据。

基于AH协议的IP数据包是在原始IP数据包的原始IP头之后，TCP之前增加AH。并且TCP和数据是加密的，对外不可见。

基于ESP协议的IP数据包是在原始IP数据包的原始IP头之后，TCP之前增加ESP头,以及在数据之后增加ESP尾和ESP验证。并且TCP、数据和ESP尾是加密的，对外不可见。

2)隧道模式：AH或ESP头插在原始IP头之前，另外生成一个新的IP头放到AH或ESP头之前，通常用于私网与私网之间通过公网进行通信的场景。

如图4所示，以IP上层协议为TCP为例，为隧道模式中的数据包格式示意图。

可以看出，原始的IP数据包包括原始IP头(包含目的IP地址、源IP地址)、TCP(包含端口号)和数据。

基于AH协议的IP数据包是在原始IP数据包的原始IP头之前增加AH和新的IP头。并且原始IP头、TCP和数据是加密的，对外不可见。

基于ESP协议的IP数据包是在原始IP数据包的原始IP头之前增加ESP头和新的IP头,以及在数据之后增加ESP尾和ESP验证。并且原始IP头、TCP、数据和ESP尾是加密的，对外不可见。

基于上述描述，可以看出，若终端设备与安全网关之间使用端到端的加密模式，则终端设备或安全网关会采用AH协议或ESP协议对用户面的数据流进行加密，核心网无法识别出端口号等信息，因而无法识别用户面的数据流，进而无法执行QoS控制。

比如，当采用图3所示的传输模式，由于TCP和数据被加密，则核心网无法获取识别TCP中的端口号等信息，而只能获取到原始IP头中的源IP地址和目的IP地址。

再比如，当采用图4所示的隧道模式，由于原始IP头、TCP和数据被加密，则核心网无法获取原始IP头中的源IP地址、目的IP地址、TCP中的端口号等信息。

因此，当终端设备与安全网关之间使用端到端的加密模式，如何使得核心网能够识别用户面的数据流，进而执行QoS控制，是目前需要解决的。

为解决上述问题，本申请实施例提供多种不同的方法。需要说明的是，以下任意实施例中，业务数据流识别信息可以是安全参数索引(SPI)或业务数据流索引(SDF index)。其中，SPI的定义参考前述描述。一个业务数据流索引用于标识一个SDF模板、或用于标识一个业务描述信息。

业务数据流识别信息与业务数据流描述信息(比如可以是SDF模板)存在对应关系，也即通过业务数据流识别信息可以确定相应的业务数据流描述信息(比如可以是SDF模板)。

当业务数据流识别信息是SPI，则终端设备与安全网关之间建立基于IPsec的安全关联之后，终端设备和安全网关均可以在数据包中***SPI。例如为数据包加上IPsec协议头(如AH或ESP头)，从而核心网网元(如UPF等)可以识别数据包中的SPI，根据该SPI确定相应的QoS流(以QFI标识)，进而可以根据该QoS流对该数据包执行QoS控制。(注：同一PDU会话中的具有相同QFI的数据包会得到同样的数据流转发处理，比如调度，准入门限)需要说明的是，SPI与SA是一一对应的，即一个SA只有一个SPI。

当业务数据流识别信息是业务数据流索引，则终端设备与安全网关之间建立基于IPsec的安全关联之后，终端设备和安全网关均可以在数据包中***业务数据流索引，例如***到IPsec协议头中(如AH中的保留位或ESP头中的填充位)，从而核心网网元(如UPF等)可以识别数据包中的业务数据流索引，根据该业务数据流索引对应的业务数据流描述信息(或SDF模板)，确定相应的QoS流，进而根据该QoS流对该数据包执行QoS控制。需要说明的是，业务数据流索引与SA不一定是一一对应的，比如一个SA可以有多个业务数据流索引,不同的SA也可以共用一个业务数据流索引。业务流索引不具有方向性。

下面对本申请实施例的方案进行具体说明。

基于图2(a)或图2(b)所示的网络架构，如图5(a)所示，本申请提供一种通信方法。该方法包括以下步骤：

步骤501a，AF向PCF发送授权请求。相应的，PCF可以接收到该授权请求。

该授权请求包含业务描述信息，业务描述信息包含业务数据流过滤器或应用标识。

步骤502a，PCF根据业务描述信息，生成业务数据流描述信息。

业务数据流描述信息包含业务数据流过滤器或应用标识。

该业务数据流描述信息比如可以是SDF模板，SDF模板包含业务数据流过滤器或应用标识。

上述步骤501a至步骤502a为可选步骤。

步骤503a，PCF向安全网关发送请求消息。相应的，安全网关可以接收到该请求消息。

该请求消息包含业务数据流描述信息，该请求消息用于请求获取业务数据流描述信息对应的业务数据流识别信息，业务数据流识别信息为SPI或业务数据流索引。

也即，该请求消息用于请求安全网关根据业务数据流描述信息，生成一个业务数据流识别信息，该业务数据流识别信息可以是SPI或业务数据流索引。

作为一种实现方法，PCF确定业务数据流描述信息不能够与其他业务数据流描述信息合并至同一个PCC规则，或者确定业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数(比如可以是3GPP标准协议23.503第6.1.3.2.4章节定义的绑定参数)不同，则向安全网关发送上述请求消息。也即当PCF确定不能使用其他业务数据流描述信息对应的业务数据流识别信息时，则向安全网关发送上述请求消息，以请求一个新的业务数据流识别信息。

步骤504a，安全网关根据业务数据流描述信息，生成业务数据流识别信息。

步骤505a，安全网关向PCF发送业务数据流识别信息。相应的，PCF可以接收到该业务数据流识别信息。

需要说明的是，若上述步骤503a的请求消息用于请求业务数据流描述信息对应的上行SPI，则上述步骤505a的业务数据流识别信息为上行SPI。若上述步骤503a的请求消息用于请求业务数据流描述信息对应的下行SPI，则上述步骤505a的业务数据流识别信息为下行SPI。若上述步骤503a的请求消息用于请求业务数据流描述信息对应的上行SPI和下行SPI，则上述步骤505a的业务数据流识别信息为上行SPI和下行SPI。

若上述步骤503a的请求消息用于请求业务数据流描述信息对应的上行业务数据流索引，则上述步骤505a的业务数据流识别信息为上行业务数据流索引。若上述步骤503a的请求消息用于请求业务数据流描述信息对应的下行业务数据流索引，则上述步骤505a的业务数据流识别信息为下行业务数据流索引。若上述步骤503a的请求消息用于请求业务数据流描述信息对应的上行业务数据流索引和下行业务数据流索引，则上述步骤505a的业务数据流识别信息为上行业务数据流索引和下行业务数据流索引。

步骤506a，PCF根据业务数据流识别信息，生成PCC规则。

也即，PCF生成的PCC规则携带该业务数据流识别信息，该业务数据流识别信息用于识别携带业务数据流识别信息的数据包。

比如，PCF可以向SMF发送上述PCC规则，SMF根据该PCC规则生成PDR，该PDR包含业务数据流识别信息和QFI,然后SMF将PDR发送给UPF。

在现有技术中，UPF是根据三元组(源IP地址、目的IP地址、端口号)识别业务数据流的数据包，但根据上述分析可知，在增加了安全网关之后，由于对业务数据流进行了加密，因此UPF无法根据获取到三元组中的部分或全部信息，因而无法基于三元组识别业务数据流，进而无法执行QoS控制。而本申请实施例中，UPF可以通过业务数据流识别信息识别业务数据流的数据包，也即识别携带业务数据流识别信息的数据包，然后基于PDR中的业务数据流识别信息与QFI的对应关系，确定数据包中的业务数据流识别信息对应的QFI，从而根据该QFI所指示的QoS流，对该数据流执行QoS控制。也即，本申请实施例是，UPF不再通过三元组识别业务数据流，而是通过业务数据流识别信息识别业务数据流，并根据配置的业务数据流识别信息与QFI的对应关系，确定执行QoS控制的QFI，进而可执行QoS控制。

作为一种实现方法，在上述步骤504a之后，还可以包括以下步骤507a。

步骤507a，安全网关向终端设备发送业务数据流识别信息与业务数据流描述信息之间的对应关系。

基于该对应关系，终端设备可以将业务数据流识别信息添加至与业务数据流描述信息对应的业务数据流的上行数据包，并发送该上行数据包，以便于核心网网元(如UPF等)可以通过上行数据包中的业务数据流识别信息来识别上行数据包。

作为一种实现方法，安全网关可以根据业务数据流描述信息识别接收的业务数据流，然后基于上述对应关系，将与业务数据流描述信息对应的业务数据流识别信息添加至业务数据流的下行数据包，并发送该下行数据包，以便于核心网网元(如UPF等)可以通过下行数据包中的业务数据流识别信息来识别下行数据包。

基于上述方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得PCF可以根据业务数据流识别信息生成PCC规则，从而核心网网元如UPF可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

基于图2(a)或图2(b)所示的网络架构，如图5(b)所示，本申请提供又一种通信方法。该方法包括以下步骤：

步骤501b，AF向PCF发送授权请求。相应的，PCF可以接收到该授权请求。

该授权请求包含业务描述信息，业务描述信息包含业务数据流过滤器或应用标识。

步骤502b，PCF根据业务描述信息，生成业务数据流描述信息。

业务数据流描述信息包含业务数据流过滤器或应用标识。

该业务数据流描述信息比如可以是SDF模板，SDF模板包含业务数据流过滤器或应用标识。

上述步骤501b至步骤502b为可选步骤。

步骤503b，PCF向安全网关发送请求消息。相应的，安全网关可以接收到该请求消息。

该请求消息包含业务数据流描述信息和业务数据流识别信息，该请求消息用于请求建立业务数据流描述信息与业务数据流识别信息的对应关系，业务数据流识别信息为SPI或业务数据流索引。

作为一种实现方法，PCF确定业务数据流描述信息能够与其他业务数据流描述信息合并至同一个PCC规则，或者确定业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数(比如可以是3GPP标准协议23.503第6.1.3.2.4章节定义的绑定参数)相同，则向安全网关发送上述请求消息。也即当PCF确定能够使用其他业务数据流描述信息对应的业务数据流识别信息时，则向安全网关发送上述请求消息，以请求使用已有的业务数据流识别信息。

步骤504b，安全网关保存业务数据流描述信息与业务数据流识别信息的对应关系。

步骤505b，安全网关向PCF发送响应消息。相应的，PCF可以接收到该响应消息。

该响应消息用于指示已经建立业务数据流描述信息与业务数据流识别信息的对应关系。

需要说明的是，上述步骤503b的请求消息可以包含上行SPI，或者包含下行SPI，或者包含上行SPI和下行SPI。或者，上述步骤503b的请求消息可以包含上行业务数据流索引I，或者包含下行业务数据流索引，或者包含上行业务数据流索引和下行业务数据流索引。

步骤506b，PCF根据业务数据流识别信息，生成PCC规则。

也即，PCF生成的PCC规则携带该业务数据流识别信息，该业务数据流识别信息用于识别携带业务数据流识别信息的数据包。

比如，PCF可以向SMF发送上述PCC规则，SMF根据该PCC规则生成PDR，该PDR包含业务数据流识别信息和QFI,然后SMF将PDR发送给UPF。

在现有技术中，UPF是根据三元组(源IP地址、目的IP地址、端口号)识别业务数据流的数据包，但根据上述分析可知，在增加了安全网关之后，由于对业务数据流进行了加密，因此UPF无法根据获取到三元组中的部分或全部信息，因而无法基于三元组识别业务数据流，进而无法执行QoS控制。而本申请实施例中，UPF可以通过业务数据流识别信息识别业务数据流的数据包，也即识别携带业务数据流识别信息的数据包，然后基于PDR中的业务数据流识别信息与QFI的对应关系，确定数据包中的业务数据流识别信息对应的QFI，从而根据该QFI所指示的QoS流，对该数据流执行QoS控制。也即，本申请实施例是，UPF不再通过三元组识别业务数据流，而是通过业务数据流识别信息识别业务数据流，并根据配置的业务数据流识别信息与QFI的对应关系，确定执行QoS控制的QFI，进而可执行QoS控制。

作为一种实现方法，在上述步骤504b之后，还可以包括以下步骤507b。

步骤507b，安全网关向终端设备发送业务数据流识别信息与业务数据流描述信息之间的对应关系。

基于该对应关系，终端设备可以将业务数据流识别信息添加至与业务数据流描述信息对应的业务数据流的上行数据包，并发送该上行数据包，以便于核心网网元(如UPF等)可以通过上行数据包中的业务数据流识别信息来识别上行数据包。

作为一种实现方法，安全网关可以根据业务数据流描述信息识别接收的业务数据流，然后基于上述对应关系，将与业务数据流描述信息对应的业务数据流识别信息添加至业务数据流的下行数据包，并发送该下行数据包，以便于核心网网元(如UPF等)可以通过下行数据包中的业务数据流识别信息来识别下行数据包。

基于上述方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得PCF可以根据业务数据流识别信息生成PCC规则，从而核心网网元如UPF可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

基于图2(a)或图2(b)所示的网络架构，如图5(c)所示，本申请提供又一种通信方法。该方法包括以下步骤：

步骤501c，AF向安全网关发送业务信息。相应的，安全网关可以接收到该业务信息。

该业务信息包含业务描述信息和/或业务需求信息，业务描述信息包含业务数据流过滤器或应用标识，业务需求信息包含带宽、时延等。

步骤502c，安全网关根据业务信息，确定业务数据流识别信息，该业务数据流识别信息可以是SPI或业务数据流索引。

作为一种实现方法，PCF确定接收到的业务需求信息与接收到的其他业务需求信息相同、且其他业务需求信息已经对应有业务数据流识别信息，则安全网关将该其他业务需求信息对应的业务数据流识别信息确定为该业务信息对应的业务数据流识别信息。例如，上述步骤501c的业务信息携带业务需求信息1，而安全网关在上述步骤501c之前，从AF接收到业务需求信息2，且为业务需求信息2生成了业务数据流识别信息1，则该步骤502c中，安全网关确定业务数据流识别信息1作为该业务信息对应的业务数据流识别信息，也即业务需求信息1和业务需求信息2对应相同的业务数据流识别信息。

作为另一种实现方法，PCF确定接收到的业务需求信息与接收到的其他业务需求信息不相同，或者接收到的业务需求信息与接收到的其他业务需求信息相同但该其他业务需求信息没有对应的业务数据流识别信息，则安全网关为该业务需求信息重新生成一个业务数据流识别信息。

步骤503c，安全网关向PCF发送业务数据流识别信息。相应的，PCF可以接收到该业务数据流识别信息。

需要说明的是，该步骤502c的业务数据流识别信息可以是上行SPI，或者可以是下行SPI，或者还可以是上行SPI和下行SPI。或者，该步骤502c的业务数据流识别信息可以是上行业务数据流索引，或者可以是下行业务数据流索引，或者还可以是上行业务数据流索引和下行业务数据流索引。

可选的，安全网关还向PCF发送业务数据流识别信息与业务需求信息的对应关系。

步骤504c，PCF根据业务数据流识别信息，生成PCC规则。

也即，PCF生成的PCC规则携带该业务数据流识别信息，该业务数据流识别信息用于识别携带业务数据流识别信息的数据包。

比如，PCF可以向SMF发送上述PCC规则，SMF根据该PCC规则生成PDR，该PDR包含业务数据流识别信息和QFI,然后SMF将PDR发送给UPF。

在现有技术中，UPF是根据三元组(源IP地址、目的IP地址、端口号)识别业务数据流的数据包，但根据上述分析可知，在增加了安全网关之后，由于对业务数据流进行了加密，因此UPF无法根据获取到三元组中的部分或全部信息，因而无法基于三元组识别业务数据流，进而无法执行QoS控制。而本申请实施例中，UPF可以通过业务数据流识别信息识别业务数据流的数据包，也即识别携带业务数据流识别信息的数据包，然后基于PDR中的业务数据流识别信息与QFI的对应关系，确定数据包中的业务数据流识别信息对应的QFI，从而根据该QFI所指示的QoS流，对该数据流执行QoS控制。也即，本申请实施例是，UPF不再通过三元组识别业务数据流，而是通过业务数据流识别信息识别业务数据流，并根据配置的业务数据流识别信息与QFI的对应关系，确定执行QoS控制的QFI，进而可执行QoS控制。

作为一种实现方法，在上述步骤502c之后，还可以包括以下步骤505c。

步骤505c，安全网关向终端设备发送业务数据流识别信息与业务数据流描述信息之间的对应关系。

基于该对应关系，终端设备可以将业务数据流识别信息添加至与业务数据流描述信息对应的业务数据流的上行数据包，并发送该上行数据包，以便于核心网网元(如UPF等)可以通过上行数据包中的业务数据流识别信息来识别上行数据包。

作为一种实现方法，安全网关可以根据业务数据流描述信息识别接收的业务数据流，然后基于上述对应关系，将与业务数据流描述信息对应的业务数据流识别信息添加至业务数据流的下行数据包，并发送该下行数据包，以便于核心网网元(如UPF等)可以通过下行数据包中的业务数据流识别信息来识别下行数据包。

基于上述方案，通过建立业务数据流识别信息与业务数据流描述信息之间的对应关系，使得PCF可以根据业务数据流识别信息生成PCC规则，从而核心网网元如UPF可以根据业务数据流识别信息识别出与业务数据流描述信息对应的数据包，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

下面结合图6或图7所示的具体实施例，对上述图5(a)至图5(c)所示的实施例进行介绍说明。需要说明的是，以下实施例中，均以业务数据流描述信息为SDF模板为例进行说明。

如图6所示，为本申请实施例提供的另一种通信方法。该方法包括以下步骤：

步骤601，终端设备发起PDU会话建立流程，SMF和PCF之间建立策略关联。

步骤602，AF向PCF发送授权请求。相应地，PCF可以接收到该授权请求。

该授权请求包含业务信息，该业务信息包含业务描述信息(如SDF过滤器或应用标识)。可选的，该业务信息还包含业务需求信息(如带宽、时延等)。

其中，SDF过滤器和应用标识的定义可以参考前述描述。

步骤603，PCF向安全网关发送请求消息。相应地，安全网关可以接收到该请求消息。

作为一种实现方法，若PCF决定将SDF模板与已经分配的业务数据流识别信息绑定，则请求消息包含SDF模板和业务数据流识别信息，该请求消息用于请求建立该SDF模板与该业务数据流识别信息的对应关系。比如，当多个SDF模板(或者称SDF模板对应的业务)可以合并到同一个PCC规则，即这些SDF模板对应的PCC规则相同时，或者PCF判断只需做PCC规则的更新，而不用产生新的PCC规则时，则PCF在为第一个SDF模板向安全网关请求分配业务数据流识别信息之后，则后续其他SDF模板可以重用该业务数据流识别信息，也即这些SDF模板都绑定到同一个业务数据流识别信息。再比如，当多个SDF模板将要生成的PCC规则中的第一参数相同，则这些SDF模板也可以重用相同的业务数据流识别信息，这里的第一参数可以是5G QoS标识(5G QoS Identifier，5QI)、分配与抢占优先级(Allocation andRetention Priority，ARP)、服务质量通知控制(QoS Notification Control，QNC)中的一个或多个。第一参数还可以是用于QoS Flow绑定的参数或参数集合，比如可以是3GPP标准协议23.503第6.1.3.2.4章节定义的绑定参数。

作为另一种实现方法，该请求消息包含SDF模板，该请求消息用于请求获取该SDF模板对应的业务数据流识别信息。该SDF模板包含上述SDF过滤器或应用标识。比如，PCF确定上述SDF模板不能够与其他SDF模板合并至同一个PCC规则，或者上述SDF模板对应的PCC规则的绑定参数与其他SDF模板对应的PCC规则的绑定参数不同，则需要向安全网关请求分配新的业务流识别信息。

步骤604，安全网关向PCF发送响应消息。相应地，PCF可以接收到该响应消息。

若上述请求包含SDF模板，则安全网关为该SDF模板分配一个业务数据流识别信息，响应消息包含该业务数据流识别信息。

若上述请求消息包含SDF模板和业务数据流识别信息，则安全网关在本地保存该SDF模板与业务数据流识别信息的对应关系，且响应消息用于指示已经成功建立或保存SDF模板与业务数据流识别信息的对应关系。

可选的，该响应消息还包含该业务数据流识别信息的方向，如上行方向或下行方向。

步骤605，安全网关使用业务数据流识别信息为对应的业务流建立或修改安全网关与终端设备之间的安全关联(SA)。

该过程中，安全网关将业务数据流识别信息与SDF模板的对应关系发送至终端设备。

SDF模板的内容请见前文。需要说明的是，安全网关发送给终端设备的SDF模板在标准上也可以有其他名称，比如可以称为包过滤集合(Packet Filter Set)或其他名称。

具体的，当SDF模板具有上行方向时，安全网关要建立或修改上行方向的SA；当SDF模板具有下行方向时，安全网关要建立或修改下行方向的SA；当SDF模板同时具有上行方向和下行方向时，安全网关要建立或修改上行方向和下行方向的SA。

在安全网关与终端设备之间建立了安全关联之后，安全网关在检测到对应业务数据流的下行数据包时，可以在下行数据包上加入业务数据流识别信息。终端设备在检测到对应业务数据流的上行数据包时，可以在上行数据包上加入业务数据流识别信息。

比如，当SDF模板包含应用标识时，安全网关在下行数据包中加入业务数据流识别信息的过程如下：

首先，安全网关可以通过NEF(或数据包流描述功能(Packet Flow DescriptionFunction，PFDF)网元)获取相应的PFD。比如，安全网关向NEF(或PFDF网元)发送应用标识，NEF(或PFDF网元)向安全网关反馈应用标识对应的PFD。(注：NEF(或PFDF网元)可能从本地获取应用标识对应的PFD，也可以是向UDR获取应用标识对应的PFD)。

其次，安全网关可以根据PFD识别业务数据流的数据包。当然，安全网关也可以基于预配置信息识别应用标识对应的业务数据流。

然后，安全网关可以在识别出的业务数据流的数据包中加入该SDF模板对应的业务数据流识别信息。

可选的，安全网关也可以将上述PFD发送给终端设备，用作数据包的识别。

步骤606，PCF向SMF发送PCC规则。相应地，SMF可以接收到PCC规则。

该PCC规则包含业务数据流识别信息，该业务数据流识别信息用于UPF等网元识别数据包。可选的，PCC规则还可以包含SDF模板。

SMF接收到PCC规则后，根据PCC规则生成PDR和QoS规则。

其中，PDR包含业务数据流识别信息和QFI，因此通过PDR建立了业务数据流识别信息与QFI之间的对应关系，该QFI所指示的QoS流包含该PCC规则对应的SDF，或者理解为该PCC规则对应的SDF归属于该QFI所指示的QoS流。

步骤607，SMF向UPF发送PDR。相应地，UPF可以接收到PDR。

UPF接收到PDR之后，可以根据PDR执行QoS控制。比如，当UPF接收到数据包之后，获取到该数据包中的业务数据流识别信息，然后根据业务数据流识别信息与QFI之间的对应关系，确定QFI，进而网络可以使用该QFI指示的QoS流对该数据包执行QoS控制。

步骤608，SMF向终端设备发送QoS规则。相应地，终端设备可以接收到QoS规则。

当终端设备需要发送上行数据包时，可以先确定该上行数据包对应的SDF模板，然后根据上述步骤605中获取到的SDF模板与业务数据流标识信息的对应关系，在上行数据包中添加业务数据流标识信息。以及，终端设备还根据QoS规则中的业务数据流标识信息与QFI的对应关系，在上行数据包中携带该QFI。然后根据QoS flow和DRB的绑定关系，将上行数据包放在对应的DRB上传输至RAN。也即，终端设备可以执行QoS控制。

基于上述方案，通过建立业务数据流识别信息与SDF模板之间的对应关系，使得PCF可以根据业务数据流识别信息生成PCC规则，从而核心网网元如UPF可以根据先识别出数据包中的业务数据流识别信息，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

如图7所示，为本申请实施例提供的另一种通信方法。该方法包括以下步骤：

步骤701，终端设备发起PDU会话建立流程，SMF和PCF之间建立策略关联。

步骤702，AF向安全网关发送业务信息，相应的，安全网关可以接收到业务信息。

该业务信息包含业务描述信息(如SDF过滤器或应用标识)和/或业务需求信息(如带宽、时延等)。

比如，安全网关可以基于接收到的业务描述信息判断是分配新的业务数据流识别信息还是重用现有的业务数据流识别信息。比如，如果一种业务描述信息已经有对应的业务数据流识别信息，则当接收到相同的业务描述信息时，可以重用该业务数据流识别信息。再比如，如果一种业务描述信息没有对应的业务数据流识别信息，则当接收到该业务描述信息时，分配新的业务数据流识别信息。再比如，安全网关还可以根据业务需求信息判断是分配新的业务数据流识别信息还是重用现有的业务数据流识别信息。比如多个业务的业务需求信息相同，即使业务描述信息不同也可以使用相同的业务数据流识别信息。即安全网关在当接收到具有和已分配业务数据流识别信息的业务相同的业务需求信息的请求时，可以重用原来已分配的业务数据流识别信息。

可选的，安全网关可以为一个业务分配两个业务数据流识别信息，分别为上行业务数据流识别信息和下行业务数据流识别信息。

步骤703，安全网关使用业务数据流识别信息为对应的业务流建立或修改安全网关与终端设备之间的安全关联(SA)。

该过程中，安全网关将业务数据流识别信息与业务描述信息的对应关系发送至终端设备。

具体的，当业务描述信息具有上行方向时，安全网关要建立或修改上行方向的SA；当业务描述信息具有下行方向时，安全网关要建立或修改下行方向的SA；当业务描述信息同时具有上行方向和下行方向时，安全网关要建立或修改上行方向和下行方向的SA。

在安全网关与终端设备之间建立了安全关联之后，安全网关在检测到对应业务数据流的下行数据包时，可以在下行数据包上加入业务数据流识别信息。终端设备在检测到对应业务数据流的上行数据包时，可以在上行数据包上加入业务数据流识别信息。

比如，当SDF模板包含应用标识时，安全网关在下行数据包中加入业务数据流识别信息的过程如下：

首先，安全网关可以通过NEF(或PFDF网元)获取相应的PFD。比如，安全网关向NEF(或PFDF网元)发送应用标识，NEF(或PFDF网元)向安全网关反馈应用标识对应的PFD。(注：NEF(或PFDF网元)可能从本地获取应用标识对应的PFD，也可以是向UDR获取应用标识对应的PFD)。

其次，安全网关可以根据PFD识别业务数据流的数据包。当然，安全网关也可以基于预配置信息识别应用标识对应的业务数据流。

然后，安全网关可以在识别出的业务数据流的数据包中加入该SDF模板对应的业务数据流识别信息。

步骤704，安全网关向PCF发送授权请求。相应地，PCF可以接收到该授权请求。

该授权请求包含业务数据流识别信息以及业务需求信息(如带宽、时延等)。

可选的，该授权请求还可以包括业务描述信息(如SDF过滤器或应用标识)。

可选的，该授权请求还包含该业务数据流识别信息的方向，如上行方向或下行方向。

需要说明的是，上述步骤703与步骤704之间的执行顺序不限。

步骤705至步骤707，同图6实施例中的步骤606至步骤608。

基于上述方案，通过建立业务数据流识别信息与SDF模板之间的对应关系，使得PCF可以根据业务数据流识别信息生成PCC规则，从而核心网网元如UPF可以根据先识别出数据包中的业务数据流识别信息，然后根据该业务数据流识别信息对应的QFI所指示的QoS流，执行QoS流控制。

上述主要从各个网元之间交互的角度对本申请提供的方案进行了介绍。可以理解的是，上述实现各网元为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

可以理解的是，上述各个方法实施例中，对应由策略控制网元实现的步骤或者操作，也可以由配置于策略控制网元的部件(例如芯片或者电路)实现，对应由安全网关实现的步骤或者操作，也可以由配置于安全网关的部件(例如芯片或者电路)实现。

参考图8，为本申请实施例提供的一种通信装置的示意图。该装置用于实现上述图5(a)至图5(c)，以及图6至图7实施例中对应安全网关所执行的各个步骤，如图8所示，该装置800包括发送单元810、接收单元820和处理单元830。

在第一个实施例中：

接收单元820，用于从策略控制网元接收请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；发送单元810，用于向所述策略控制网元发送所述业务数据流描述信息对应的所述业务数据流识别信息，所述业务数据流识别信息用于生成策略控制计费PCC规则，以及用于识别携带所述业务数据流识别信息的数据包。

在一种可能的实现方法中，所述发送单元810，还用于向所述终端设备发送所述业务数据流识别信息与所述业务数据流描述信息之间的对应关系。

在一种可能的实现方法中，处理单元830，用于根据所述业务数据流描述信息，识别接收的业务数据流；将所述业务数据流识别信息添加至所述业务数据流的数据包；所述发送单元810，还用于发送所述业务数据流的数据包。

在一种可能的实现方法中，所述发送单元810，用于向所述策略控制网元发送所述业务数据流描述信息对应的所述业务数据流识别信息，具体包括：用于向所述策略控制网元发送所述业务数据流描述信息对应的上行SPI和/或下行SPI；或者，用于向所述策略控制网元发送所述业务数据流描述信息对应的上行业务数据流索引和/或下行业务数据流索引。

在第二个实施例中：

接收单元820，用于从策略控制网元接收请求消息，所述请求消息包含业务数据流描述信息和业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；发送单元810，用于向所述策略控制网元发送响应消息，所述响应消息用于指示已经建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系，所述业务数据流识别信息用于生成策略控制计费PCC规则，以及用于识别携带所述业务数据流识别信息的数据包。

在一种可能的实现方法中，所述发送单元810，还用于向所述终端设备发送所述业务数据流识别信息与所述业务数据流描述信息之间的对应关系。

在一种可能的实现方法中，处理单元830，用于根据所述业务数据流模板，识别接收的业务数据流；将所述业务数据流识别信息添加至所述业务数据流的数据包；所述发送单元810，还用于发送所述业务数据流的数据包。

在一种可能的实现方法中，所述SPI包括上行SPI和/或下行SPI。

在一种可能的实现方法中，所述业务数据流索引包括上行业务数据流索引和/或下行业务数据流索引。

在第三个实施例中：

接收单元820，用于从应用功能网元接收业务信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识；处理单元830，用于根据所述业务信息，确定业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；发送单元810，用于向策略控制网元发送所述业务数据流识别信息，所述业务数据流识别信息用于生成策略控制计费PCC规则，以及用于识别携带所述业务数据流识别信息的数据包。

在一种可能的实现方法中，所述发送单元810，还用于向所述终端设备发送所述业务数据流识别信息与所述业务描述信息之间的对应关系。

在一种可能的实现方法中，所述处理单元830，还用于根据所述业务描述信息，识别接收的业务数据流；将所述业务数据流识别信息添加至所述业务数据流的数据包；所述发送单元810，还用于发送所述业务数据流的数据包。

在一种可能的实现方法中，所述发送单元810，用于向策略控制网元发送所述业务数据流识别信息，具体包括：用于向所述策略控制网元发送上行SPI和/或下行SPI；或者，用于向所述策略控制网元发送上行业务数据流索引和/或下行业务数据流索引。

在一种可能的实现方法中，所述业务信息至少包含所述业务需求信息；所述处理单元830，用于根据所述业务信息，确定业务数据流识别信息，具体包括：用于确定所述业务需求信息与其他业务需求信息相同、且所述其他业务需求信息对应所述业务数据流识别信息，则确定所述业务信息对应所述业务数据流识别信息。

在一种可能的实现方法中，所述业务信息至少包含所述业务需求信息；所述处理单元830，用于根据所述业务信息，确定业务数据流识别信息，具体包括：用于确定所述业务需求信息与其他业务需求信息不同、或者所述其他业务需求信息没有对应的业务数据流识别信息，则为所述业务信息生成所述业务数据流识别信息。

在一种可能的实现方法中，所述发送单元810，还用于向所述策略控制网元发送所述业务数据流识别信息与所述业务需求信息的对应关系。

可选的，上述通信装置800还可以包括存储单元，该存储单元用于存储数据或者指令(也可以称为代码或者程序)，上述各个单元可以和存储单元交互或者耦合，以实现对应的方法或者功能。例如，处理单元830可以读取存储单元中的数据或者指令，使得通信装置实现上述实施例中的方法。

应理解以上装置中单元的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且装置中的单元可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分单元以软件通过处理元件调用的形式实现，部分单元以硬件的形式实现。例如，各个单元可以为单独设立的处理元件，也可以集成在装置的某一个芯片中实现，此外，也可以以程序的形式存储于存储器中，由装置的某一个处理元件调用并执行该单元的功能。此外这些单元全部或部分可以集成在一起，也可以独立实现。这里所述的处理元件又可以成为处理器，可以是一种具有信号的处理能力的集成电路。在实现过程中，上述方法的各步骤或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路实现或者以软件通过处理元件调用的形式实现。

在一个例子中，以上任一装置中的单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific IntegratedCircuit，ASIC)，或，一个或多个微处理器(digital singnal processor，DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，FPGA)，或这些集成电路形式中至少两种的组合。再如，当装置中的单元可以通过处理元件调度程序的形式实现时，该处理元件可以是通用处理器，例如中央处理器(Central Processing Unit，CPU)或其它可以调用程序的处理器。再如，这些单元可以集成在一起，以片上***(system-on-a-chip，SOC)的形式实现。

以上发送单元810是一种该装置的接口电路，用于向其它装置发送信号。例如，当该装置以芯片的方式实现时，该发送单元810是该芯片中的用于向其它芯片发送信号的接口电路。以上接收单元820是一种该装置的接口电路，用于从其它装置接收信号。例如，当该装置以芯片的方式实现时，该接收单元820是该芯片中的用于从其它芯片接收信号的接口电路。

参考图9，为本申请实施例提供的又一种通信装置的示意图。该装置用于实现上述图5(a)至图5(c)，以及图6至图7实施例中对应策略控制网元(或PCF)所执行的各个步骤，如图9所示，该装置900包括发送单元910、接收单元920和处理单元930。

在第一个实施例中：

发送单元910，用于向安全网关发送请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；接收单元920，用于从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息；处理单元930，用于根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

在一种可能的实现方法中，所述接收单元920，还用于从应用功能网元接收授权请求，所述授权请求包含业务描述信息，所述业务描述信息包含所述业务数据流过滤器或所述应用标识；所述处理单元930，还用于根据所述业务描述信息，生成所述业务数据流描述信息。

在一种可能的实现方法中，所述接收单元920，用于从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息，具体包括：用于从所述安全网关接收所述业务数据流描述信息对应的上行SPI和/或下行SPI；或者，用于从所述安全网关接收所述业务数据流描述信息对应的上行业务数据流索引和/或下行业务数据流索引。

在一种可能的实现方法中，所述处理单元930，还用于确定所述业务数据流描述信息不能够与其他业务数据流描述信息合并至同一个PCC规则，则向安全网关发送所述请求消息；或者，确定所述业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数不同，则向安全网关发送所述请求消息。

在第二个实施例中：

发送单元910，用于向安全网关发送请求消息，所述请求消息包含业务数据流描述信息和业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；接收单元920，用于从所述安全网关接收响应消息，所述响应消息用于指示已经建立所述业务数据流描述信息与所述业务数据流识别信息的对应关系；处理单元930，用于根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

在一种可能的实现方法中，所述接收单元920，还用于从应用功能网元接收授权请求，所述授权请求包含业务描述信息，所述业务描述信息包含所述业务数据流过滤器或所述应用标识；所述处理单元930，还用于根据所述业务描述信息，生成所述业务数据流描述信息。

在一种可能的实现方法中，所述SPI包括上行SPI和/或下行SPI。

在一种可能的实现方法中，业务数据流索引包括上行业务数据流索引和/或下行业务数据流索引。

在一种可能的实现方法中，所述处理单元930，还用于确定所述业务数据流描述信息能够与其他业务数据流描述信息合并至同一个PCC规则，则确定建立所述业务数据流识别信息与所述业务数据流描述信息的对应关系；或者，确定所述业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数相同，则确定建立所述业务数据流识别信息与所述业务数据流描述信息的对应关系。

在第三个实施例中：

接收单元920，用于从安全网关接收业务信息和所述业务信息对应的业务数据流识别信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；处理单元930，用于根据所述业务数据流识别信息生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

在一种可能的实现方法中，所述接收单元920，用于从安全网关接收业务信息和所述业务信息对应的业务数据流识别信息，具体包括：用于从所述安全网关接收所述业务信息和所述业务信息对应的上行SPI和/或下行SPI；或者，用于从所述安全网关接收所述业务信息和所述业务信息对应的上行业务数据流索引和/或下行业务数据流索引。

可选的，上述通信装置900还可以包括存储单元，该存储单元用于存储数据或者指令(也可以称为代码或者程序)，上述各个单元可以和存储单元交互或者耦合，以实现对应的方法或者功能。

应理解以上装置中单元的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且装置中的单元可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分单元以软件通过处理元件调用的形式实现，部分单元以硬件的形式实现。例如，各个单元可以为单独设立的处理元件，也可以集成在装置的某一个芯片中实现，此外，也可以以程序的形式存储于存储器中，由装置的某一个处理元件调用并执行该单元的功能。此外这些单元全部或部分可以集成在一起，也可以独立实现。这里所述的处理元件又可以成为处理器，可以是一种具有信号的处理能力的集成电路。在实现过程中，上述方法的各步骤或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路实现或者以软件通过处理元件调用的形式实现。

在一个例子中，以上任一装置中的单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(ASIC)，或，一个或多个微处理器(DSP)，或，一个或者多个现场可编程门阵列(FPGA)，或这些集成电路形式中至少两种的组合。再如，当装置中的单元可以通过处理元件调度程序的形式实现时，该处理元件可以是通用处理器，例如中央处理器(CPU)或其它可以调用程序的处理器。再如，这些单元可以集成在一起，以片上***(SOC)的形式实现。

以上发送单元910是一种该装置的接口电路，用于向其它装置发送信号。例如，当该装置以芯片的方式实现时，该发送单元910是该芯片中的用于向其它芯片发送信号的接口电路。以上接收单元920是一种该装置的接口电路，用于从其它装置接收信号。例如，当该装置以芯片的方式实现时，该接收单元920是该芯片中的用于从其它芯片接收信号的接口电路。

参考图10，为本申请实施例提供的又一种通信装置示意图，用于实现以上实施例中安全网关、或策略控制网元的操作。如图10所示，该通信装置包括：处理器1010和接口1030，可选的，该通信装置还包括存储器1020。接口1030用于实现与其他设备进行通信。

以上实施例中第一网元、或会话管理网元执行的方法可以通过处理器1010调用存储器(可以是安全网关、或策略控制网元中的存储器1020，也可以是外部存储器)中存储的程序来实现。即，用于安全网关、或策略控制网元的装置可以包括处理器1010，该处理器1010通过调用存储器中的程序，以执行以上方法实施例中的安全网关、或策略控制网元执行的方法。这里的处理器可以是一种具有信号的处理能力的集成电路，例如CPU。用于第一网元、或会话管理网元的装置可以通过配置成实施以上方法的一个或多个集成电路来实现。例如：一个或多个ASIC，或，一个或多个微处理器DSP，或，一个或者多个FPGA等，或这些集成电路形式中至少两种的组合。或者，可以结合以上实现方式。

具体的，图8中的发送单元810、接收单元820和处理单元830的功能/实现过程可以通过图10所示的通信装置1000中的处理器1010调用存储器1020中存储的计算机可执行指令来实现。或者，图8中的处理单元830的功能/实现过程可以通过图10所示的通信装置1000中的处理器1010调用存储器1020中存储的计算机执行指令来实现，图8中的发送单元810和接收单元820的功能/实现过程可以通过图10中所示的通信装置1000中的接口1030来实现。

具体的，图9中的发送单元910、接收单元920和处理单元930的功能/实现过程可以通过图10所示的通信装置1000中的处理器1010调用存储器1020中存储的计算机可执行指令来实现。或者，图9中的处理单元930的功能/实现过程可以通过图10所示的通信装置1000中的处理器1010调用存储器1020中存储的计算机执行指令来实现，图9中的发送单元910和接收单元920的功能/实现过程可以通过图10中所示的通信装置1000中的接口1030来实现。

本领域普通技术人员可以理解：本申请中涉及的第一、第二、第三等各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围，也表示先后顺序。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“至少一个”是指一个或者多个。至少两个是指两个或者多个。“至少一个”、“任意一个”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个、种)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。“多个”是指两个或两个以上，其它量词与之类似。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器，数字信号处理器，专用集成电路(ASIC)，现场可编程门阵列(FPGA)或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于随机存取存储器(Random AccessMemory，RAM)、闪存、只读存储器(Read-Only Memory，ROM)、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个或多个示例性的设计中，本申请所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现，这些功能可以存储与电脑可读的媒介上，或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如，这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置，或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外，任何连接都可以被适当地定义为电脑可读媒介，例如，如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电脑、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、数字通用光盘(英文：Digital Versatile Disc，简称：DVD)、软盘和蓝光光盘，磁盘通常以磁性复制数据，而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本申请的保护范围之内。本申请说明书的上述描述可以使得本领域技术任何可以利用或实现本申请的内容，任何基于所公开内容的修改都应该被认为是本领域显而易见的，本申请所描述的基本原则可以应用到其它变形中而不偏离本申请的发明本质和范围。因此，本申请所公开的内容不仅仅局限于所描述的实施例和设计，还可以扩展到与本申请原则和所公开的新特征一致的最大范围。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包括这些改动和变型在内。

Claims (30)

1.一种通信方法，其特征在于，包括：

策略控制网元向安全网关发送请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；

所述策略控制网元从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息；

所述策略控制网元根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

2.如权利要求1所述的通信方法，其特征在于，还包括：

所述策略控制网元从应用功能网元接收授权请求，所述授权请求包含业务描述信息，所述业务描述信息包含所述业务数据流过滤器或所述应用标识；

所述策略控制网元根据所述业务描述信息，生成所述业务数据流描述信息。

3.如权利要求1或2所述的通信方法，其特征在于，所述策略控制网元从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息，包括：

所述策略控制网元从所述安全网关接收所述业务数据流描述信息对应的上行SPI和/或下行SPI；或者，

所述策略控制网元从所述安全网关接收所述业务数据流描述信息对应的上行业务数据流索引和/或下行业务数据流索引。

4.如权利要求1-3任一所述的通信方法，其特征在于，还包括：

所述策略控制网元确定所述业务数据流描述信息不能够与其他业务数据流描述信息合并至同一个PCC规则，则向安全网关发送所述请求消息；或者，

所述策略控制网元确定所述业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数不同，则向安全网关发送所述请求消息。

5.一种通信方法，其特征在于，包括：

安全网关从应用功能网元接收业务信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识；

所述安全网关根据所述业务信息，确定业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；

所述安全网关向策略控制网元发送所述业务数据流识别信息，所述业务数据流识别信息用于生成策略控制计费PCC规则，以及用于识别携带所述业务数据流识别信息的数据包。

6.如权利要求5所述的通信方法，其特征在于，还包括：

所述安全网关向所述终端设备发送所述业务数据流识别信息与所述业务描述信息之间的对应关系。

7.如权利要求5或6所述的通信方法，其特征在于，还包括：

所述安全网关根据所述业务描述信息，识别接收的业务数据流；

所述安全网关将所述业务数据流识别信息添加至所述业务数据流的数据包；

所述安全网关发送所述业务数据流的数据包。

8.如权利要求5-7任一所述的通信方法，其特征在于，所述安全网关向策略控制网元发送所述业务数据流识别信息，包括：

所述安全网关向所述策略控制网元发送上行SPI和/或下行SPI；或者，

所述安全网关向所述策略控制网元发送上行业务数据流索引和/或下行业务数据流索引。

9.如权利要求5-8任一所述的通信方法，其特征在于，所述业务信息至少包含所述业务需求信息；

所述安全网关根据所述业务信息，确定业务数据流识别信息，包括：

所述安全网关确定所述业务需求信息与其他业务需求信息相同、且所述其他业务需求信息对应所述业务数据流识别信息，则确定所述业务信息对应所述业务数据流识别信息。

10.如权利要求5-9任一所述的通信方法，其特征在于，所述业务信息至少包含所述业务需求信息；

所述安全网关根据所述业务信息，确定业务数据流识别信息，包括：

所述安全网关确定所述业务需求信息与其他业务需求信息不同、或者所述其他业务需求信息没有对应的业务数据流识别信息，则为所述业务信息生成所述业务数据流识别信息。

11.如权利要求5-10任一所述的通信方法，其特征在于，还包括：

所述安全网关向所述策略控制网元发送所述业务数据流识别信息与所述业务需求信息的对应关系。

12.一种通信装置，其特征在于，包括：

发送单元，用于向安全网关发送请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；

接收单元，用于从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息；

处理单元，用于根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

13.如权利要求12所述的通信装置，其特征在于，所述接收单元，还用于从应用功能网元接收授权请求，所述授权请求包含业务描述信息，所述业务描述信息包含所述业务数据流过滤器或所述应用标识；

所述处理单元，还用于根据所述业务描述信息，生成所述业务数据流描述信息。

14.如权利要求12或13所述的通信装置，其特征在于，所述接收单元，用于从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息，具体包括：

用于从所述安全网关接收所述业务数据流描述信息对应的上行SPI和/或下行SPI；或者，

用于从所述安全网关接收所述业务数据流描述信息对应的上行业务数据流索引和/或下行业务数据流索引。

15.如权利要求12-14任一所述的通信装置，其特征在于，所述处理单元，还用于确定所述业务数据流描述信息不能够与其他业务数据流描述信息合并至同一个PCC规则，则向安全网关发送所述请求消息；或者，确定所述业务数据流描述信息对应的PCC规则的绑定参数与其他业务数据流描述信息对应的PCC规则的绑定参数不同，则向安全网关发送所述请求消息。

16.一种通信装置，其特征在于，包括：

接收单元，用于从应用功能网元接收业务信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识；

处理单元，用于根据所述业务信息，确定业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；

发送单元，用于向策略控制网元发送所述业务数据流识别信息，所述业务数据流识别信息用于生成策略控制计费PCC规则，以及用于识别携带所述业务数据流识别信息的数据包。

17.如权利要求16所述的通信装置，其特征在于，所述发送单元，还用于向所述终端设备发送所述业务数据流识别信息与所述业务描述信息之间的对应关系。

18.如权利要求16或17所述的通信装置，其特征在于，所述处理单元，还用于根据所述业务描述信息，识别接收的业务数据流；将所述业务数据流识别信息添加至所述业务数据流的数据包；

所述发送单元，还用于发送所述业务数据流的数据包。

19.如权利要求16-18任一所述的通信装置，其特征在于，所述发送单元，用于向策略控制网元发送所述业务数据流识别信息，具体包括：

用于向所述策略控制网元发送上行SPI和/或下行SPI；或者，

用于向所述策略控制网元发送上行业务数据流索引和/或下行业务数据流索引。

20.如权利要求16-19任一所述的通信装置，其特征在于，所述业务信息至少包含所述业务需求信息；

所述处理单元，用于根据所述业务信息，确定业务数据流识别信息，具体包括：

用于确定所述业务需求信息与其他业务需求信息相同、且所述其他业务需求信息对应所述业务数据流识别信息，则确定所述业务信息对应所述业务数据流识别信息。

21.如权利要求16-19任一所述的通信装置，其特征在于，所述业务信息至少包含所述业务需求信息；

所述处理单元，用于根据所述业务信息，确定业务数据流识别信息，具体包括：

用于确定所述业务需求信息与其他业务需求信息不同、或者所述其他业务需求信息没有对应的业务数据流识别信息，则为所述业务信息生成所述业务数据流识别信息。

22.如权利要求16-21任一所述的通信装置，其特征在于，所述发送单元，还用于向所述策略控制网元发送所述业务数据流识别信息与所述业务需求信息的对应关系。

23.一种通信***，其特征在于，包括安全网关和策略控制网元；

所述策略控制网元，用于向所述安全网关发送请求消息，所述请求消息包含业务数据流描述信息，所述业务数据流描述信息包含业务数据流过滤器或应用标识，所述请求消息用于请求获取所述业务数据流描述信息对应的业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；从所述安全网关接收所述业务数据流描述信息对应的所述业务数据流识别信息；根据所述业务数据流识别信息，生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包；

所述安全网关，用于从所述策略控制网元接收所述请求消息；向所述策略控制网元发送所述业务数据流描述信息对应的所述业务数据流识别信息。

24.如权利要求23所述的通信***，其特征在于，所述***还包括会话管理网元；

所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；

所述会话管理网元，用于根据所述PCC规则生成包检测规则PDR，所述PDR包含所述业务数据流识别信息和服务质量流标识QFI；向用户面网元发送所述PDR。

25.如权利要求24所述的通信***，其特征在于，所述***还包括所述用户面网元，用于从所述会话管理网元接收所述PDR；识别携带所述业务数据流识别信息的数据包；根据所述业务数据流识别信息对应的所述QFI，执行服务质量QoS控制。

26.如权利要求23所述的通信***，其特征在于，所述***还包括会话管理网元；

所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；

所述会话管理网元，用于根据所述PCC规则生成包服务质量QoS规则，所述QoS规则包含所述业务数据流识别信息和QFI；向终端设备发送所述QoS规则。

27.一种通信***，其特征在于，包括安全网关和策略控制网元；

所述安全网关，用于从应用功能网元接收业务信息，所述业务信息包含业务描述信息和/或业务需求信息，所述业务描述信息包含业务数据流过滤器或应用标识；根据所述业务信息，确定业务数据流识别信息，所述业务数据流识别信息为安全参数索引SPI或业务数据流索引；向策略控制网元发送所述业务数据流识别信息和所述业务信息；

所述策略控制网元，用于从所述安全网关接收所述业务信息和所述业务数据流识别信息；根据所述业务数据流识别信息生成策略控制计费PCC规则，所述业务数据流识别信息用于识别携带所述业务数据流识别信息的数据包。

28.如权利要求27所述的通信***，其特征在于，所述***还包括会话管理网元；

所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；

所述会话管理网元，用于根据所述PCC规则生成包检测规则PDR，所述PDR包含所述业务数据流识别信息和服务质量流标识QFI；向用户面网元发送所述PDR。

29.如权利要求28所述的通信***，其特征在于，所述***还包括所述用户面网元，用于从所述会话管理网元接收所述PDR；识别携带所述业务数据流识别信息的数据包；根据所述业务数据流识别信息对应的所述QFI，执行服务质量QoS控制。

30.如权利要求27所述的通信***，其特征在于，所述***还包括会话管理网元；

所述策略控制网元，还用于向所述会话管理网元发送所述PCC规则；

所述会话管理网元，用于根据所述PCC规则生成包服务质量QoS规则，所述QoS规则包含所述业务数据流识别信息和QFI；向终端设备发送所述QoS规则。

Images