CN114205814B - 一种数据传输方法、装置、***、电子设备及存储介质 - Google Patents

Abstract

本申请公开了一种数据传输方法、装置、***、电子设备及存储介质，涉及通信领域，用于解决现有技术中无线终端在与核心网之间进行报文传输时，报文数据安全性较低的问题，包括：用户终端通过基站向用户平面功能网元发送数据报文；用户平面功能网元确定数据报文的加密方式和目的IP地址；用户平面功能网元向目的IP地址发送数据报文。本申请用于无线终端在与核心网之间的加密报文传输。

Description

一种数据传输方法、装置、***、电子设备及存储介质

技术领域

本申请涉及通信领域，尤其涉及一种数据传输方法、装置、***、电子设备及存储介质。

背景技术

目前，无线终端通过基站建立与核心网之间的承载后，无线终端在该承载上进行数据报文传输时，收发的数据报文全部为明文传输。报文数据以明文方式在无线信道和承载网中传输，会导致报文数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题，只要通过网络的嗅探设备及一些技术手段，就可还原报文内容，十分不安全。

现有技术的解决方案为无线终端通过基站建立与核心网之间的承载，并在该承载上进行数据报文传输。某些具有安全性要求的应用会对数据报文的净荷部分进行加密，如超文本传输安全协议(hyper text transfer protocol over securesocket layer，HTTPS)报文。然而，包含目的IP地址、源IP地址的报头部分仍旧为明文传输，安全性的问题没有得到解决。

发明内容

本申请提供一种数据传输方法、装置、***、电子设备及存储介质，用以解决现有技术中无线终端在与核心网之间进行报文传输时，报文数据安全性较低的问题。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种数据传输方法，包括：用户平面功能网元接收来自用户终端UE的数据报文。用户平面功能网元根据报文加密方式标志位，用户平面功能网元确定数据报文的加密方式。用户平面功能网元根据数据报文的加密方式，确定数据报文的目的IP地址。用户平面功能网元向目的IP地址发送数据报文。

在一种可能的实现方式中，上述数据报文的加密方式包括：明文传输方式、全加密传输方式以及报文头混淆加密传输方式。

在一种可能的实现方式中，用户平面功能网元根据数据报文的加密方式，确定数据报文的目的IP地址，具体包括：若数据报文的加密方式为明文传输方式，则获取数据报文的字头，并根据数据报文的字头确定数据报文的目的IP地址。若数据报文的加密方式为全加密传输方式或报文头混淆加密传输方式，则用户平面功能网元对数据报文的字头进行解密，并根据解密后的数据报文的字头确定数据报文的目的IP地址。

基于上述技术方案，本申请能够带来以下有益效果：本申请通过在UE发送的数据报文中增加报文加密方式标志位，使得用户平面功能网元在接收到数据报文后，能够根据报文加密方式标志位来确定数据报文的加密方式，在加密方式是明文传输方式时直接获取报文数据的字头以确定目的IP地址；并在加密方式是全加密传输方式或报文头混淆加密传输方式时，对数据报文的字头进行解密以获取数据报文的目的IP地址。最后，用户平面功能网元向目的IP地址发送数据报文。由此，本申请能够同时支持UE采用常规方式和加密方式发送数据报文，能有效地提高无线信道和承载网中传输时的数据安全性和灵活性。

第二方面，本申请提供一种数据传输方法，包括：用户终端UE根据统一数据管理UDM签约数据，确定报文加密方式标志位。UE向用户平面功能网元发送数据报文。

在一种可能的实现方式中，上述方法还包括：UE通过基站，向用户平面功能网元发送数据报文；数据报文包括报文加密方式标志位，报文加密方式标志位用于指示数据报文的加密方式。

此外，第二方面的数据传输方法的技术效果可以参考上述第一方面的数据传输方法的技术效果，此处不再赘述。

第三方面，本申请提供一种数据传输装置，该数据传输装置包括：接收单元、处理单元和发送单元。接受单元，用于接收来自用户终端UE的数据报文；其中，数据报文包括报文加密方式标志位。处理单元，用于根据报文加密方式标志位，确定数据报文的加密方式。处理单元，还用于根据数据报文的加密方式，确定数据报文的目的IP地址。发送单元，用于向目的IP地址发送数据报文。

在一种可能的实现方式中，数据报文的加密方式包括：明文传输方式、全加密传输方式以及报文头混淆加密传输方式。

在一种可能的实现方式中，处理单元，还用于在数据报文的加密方式为明文传输方式时，获取数据报文的字头，并根据数据报文的字头确定数据报文的目的IP地址。处理单元，还用于在数据报文的加密方式为全加密传输方式或报文头混淆加密传输方式时，对数据报文的字头进行解密，并根据解密后的数据报文的字头确定数据报文的目的IP地址。

此外，第三方面的数据传输装置的技术效果可以参考上述第一方面的数据传输方法的技术效果，此处不再赘述。

第四方面，本申请提供一种数据传输装置，该数据传输装置包括：处理单元和发送单元。处理单元，用于根据统一数据管理UDM签约数据，确定报文加密方式标志位。发送单元，用于向用户平面功能网元发送数据报文。

在一种可能的实现方式中，发送单元，还用于通过基站，向用户平面功能网元发送数据报文；数据报文包括报文加密方式标志位，报文加密方式标志位用于指示数据报文的加密方式。

此外，第四方面的数据传输装置的技术效果可以参考上述第一方面的数据传输方法的技术效果，此处不再赘述。

第五方面，本申请提供一种数据传输***，包括：用户平面功能网元、用户终端UE。用户平面功能网元，用于接收来自UE的数据报文，并确定数据报文的加密方式以及数据报文的目的IP地址，并向目的IP地址发送数据报文。UE，用于根据统一数据管理UDM签约数据，确定报文加密方式标志位，并向用户平面功能网元发送数据报文；其中，数据报文包括报文加密方式标志位。

此外，第五方面所述的数据传输***的技术效果可以参考上述第一方面所述的数据传输方法的技术效果，此处不再赘述。

第六方面，本申请提供一种存储一个或多个程序的计算机可读存储介质，该一个或多个程序包括指令，上述指令当被本申请的电子设备执行时使电子设备执行如第一方面、第一方面的任一种可能的实现方式、第二方面和第二方面的任一种可能的实现方式中所描述的数据传输方法。

第七方面，本申请提供一种电子设备，包括：处理器以及存储器；其中，存储器用于存储一个或多个程序，一个或多个程序包括计算机执行指令，当电子设备运行时，处理器执行存储器存储的计算机执行指令，以使电子设备执行如第一方面、第一方面的任一种可能的实现方式、第二方面和第二方面的任一种可能的实现方式中所描述的数据传输方法。

第八方面，本申请提供一种包含指令的计算机程序产品，当该指令在计算机上运行时，使得本申请的电子设备执行如第一方面、第一方面的任一种可能的实现方式、第二方面和第二方面的任一种可能的实现方式中所描述的数据传输方法。

第九方面，本申请提供一种芯片***，该芯片***应用于数据传输装置；所述芯片***包括一个或多个接口电路，以及一个或多个处理器。所述接口电路和所述处理器通过线路互联；所述接口电路用于从所述数据传输装置的存储器接收信号，并向所述处理器发送所述信号，所述信号包括所述存储器中存储的计算机指令。当所述处理器执行所述计算机指令时，所述数据传输装置执行如第一方面、第一方面的任一种可能的实现方式、第二方面和第二方面的任一种可能的实现方式中所描述的数据传输方法。

附图说明

图1为本申请的实施例提供的一种数据报文的形式示意图；

图2为本申请的实施例提供的另一种数据报文的形式示意图；

图3为本申请的实施例提供的一种数据传输方法的网络架构示意图；

图4为本申请的实施例提供的一种数据传输***的架构示意图；

图5为本申请的实施例提供的一种数据传输方法的流程示意图；

图6为本申请的实施例提供的另一种数据传输方法的流程示意图；

图7为本申请的实施例提供的一种数据传输装置的结构示意图；

图8为本申请的实施例提供的一种数据传输装置的结构示意图；

图9为本申请的实施例提供的另一种数据传输装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

本文中字符“/”，一般表示前后关联对象是一种“或者”的关系。例如，A/B可以理解为A或者B。

本申请的说明书和权利要求书中的术语“第一”和“第二”是用于区别不同的对象，而不是用于描述对象的特定顺序。例如，第一边缘服务节点和第二边缘服务节点是用于区别不同的边缘服务节点，而不是用于描述边缘服务节点的特征顺序。

此外，本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

另外，在本申请实施例中，“示例性的”、或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”、或者“例如”等词旨在以具体方式呈现概念。

为了便于理解本申请的技术方案，下面对一些技术术语进行介绍。

基站主要用于实现终端设备的资源调度、无线资源管理、无线接入控制等功能。基站可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，接入点等。具体可以为：是无线局域网(Wireless Local Area Network，WLAN)中的接入点(access point，AP)，全球移动通信***(Global System for Mobile Communications，GSM)或码分多址接入(Code Division Multiple Access，CDMA)中的基站(Base Transceiver Station，BTS)，也可以是宽带码分多址(Wideband Code Division Multiple Access，WCDMA)中的基站(NodeB，NB)，还可以是LTE中的演进型基站(Evolved Node B，eNB或eNodeB)，或者中继站或接入点，或者车载设备、可穿戴设备以及未来5G网络中的下一代节点B(The NextGeneration Node B，gNB)或者未来演进的公用陆地移动网(Public Land MobileNetwork，PLMN)网络中的基站等。

以上对本申请中的一些技术术语进行了介绍。

在现有技术中，无线终端通过基站建立与核心网之间的承载后，无线终端在该承载上进行数据报文传输时，收发的数据报文全部为明文传输。报文数据以明文方式在无线信道和承载网中传输，会导致报文数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题，只要通过网络的嗅探设备及一些技术手段，就可还原报文内容，十分不安全。

现阶段的解决方案为无线终端通过基站建立与核心网之间的承载，并在该承载上进行数据报文传输。某些具有安全性要求的应用会对数据报文的净荷部分进行加密，如HTTPS报文。然而，包含目的IP地址、源IP地址的报头部分仍旧为明文传输，安全性的问题没有得到解决。

例如，现有技术公开了一种方案1，A机传输数据至B机，上行数据报文处理的步骤为：

1、无线终端将全部未加密的数据报文通过无线链路传输至基站。

2、基站通过N3接口对数据报文进行GTP-U协议封装，将数据转发至用户平面功能(user port function，UPF)网元。

3、UPF对数据进行GTP-U报文解封装和报头字段解码，可以获得数据的源IP地址和目的IP地址。UPF进行数据报文的QoS、常规计费、PFCP节点管理，并将数据报文产生的信息通过N4接口上报给5GC核心网的会话管理功能(service management function，SMF)网元。

4、UPF根据数据报文的目的IP地址通过N6接口转发数据报文至外部网络。

其中，如图1所示，数据报文以数据链路层MAC帧形式表示，实线框部分为明文数据。

然而，在方案1中，报文数据以明文方式在无线信道和承载网中传输，不提供任何方式的数据加密。这会导致报文数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题，只要通过网络的嗅探设备及一些技术手段，就可还原报文内容，十分不安全。

再如，现有技术还公开了一种方案2，A机传输数据至B机的上行数据报文处理步骤与方案1大致相同，不同点是A机发送的报文数据净荷部分已加密。其中，如图2所示，数据报文以数据链路层MAC帧形式表示，实线框部分为明文数据，虚线框部分为加密数据。

然而，在方案2中，报文数据在无线信道和承载网中仅对净荷部分进行加密，能够确保用户数据在传输过程中处于加密状态，同时防止服务器被钓鱼网站假冒。但报头字段如IP地址等仍以明文传输，这可能存在IP地址修改、IP地址盗用等安全隐患。

图3示出了本申请提供的数据传输方法的网络架构示意图，该网络架构包括：用户设备、新空口、用户平面功能、数据网络、认证服务功能、接入和移动管理功能、会话管理功能、网络存储功能、统一数据管理、策略控制功能、应用功能、网络开放功能等网元。

其中，用户终端(user equipment，UE)是用户在进行移动通信时使用的终端设备。

新空口(new radio，NR)用于完成控制信号和用户数据在终端和核心网之间的转发。

用户平面功能(user port function，UPF)是处理用户数据面数据的网元，用于分组路由和转发、服务质量(quality of service，QoS)处理、包过滤控制协议(packetfilter control protocol，PFCP)节点管理等。

数据网络(data network，DN)是用于传输数据的网络。

认证服务功能(authentication server function，AUSF)用于终端鉴权认证、保护控制信息列表等。

接入和移动管理功能(authentication management function，AMF)，用于负责终端接入权限和切换等。

会话管理功能(service management function，SMF)，用于保障服务连续性，为用户提供不间断的服务体验，包括IP地址和锚点变化的情况。SMF还用于负责会话管理，例如与分离的数据面交互，创建、更新和删除协议数据单元(protocol data unit，PDU)会话，以及用户面功能的选择与控制等。

网络存储功能(network repository function，NRF)用于进行网络功能登记、管理、状态检测，实现所有网络功能的自动化管理。

统一数据管理(unified data management，UDM)用于存储签约信息，并支持鉴权证书存储和处理。

策略控制功能(policy control function，PCF)用于为控制面功能提供策略信息、存储并提供用户策略相关的签约信息。

应用功能(application function，AF)用于与核心网交互并提供服务。

网络开放功能(network exposure fuction，NEF)用于负责对外开放网络数据。

在该网络架构中，N1接口是终端和AMF之间的参考点；N2接口是NR和AMF的参考点，用于非接入层消息的发送等；N3接口为NR和UPF之间的参考点，使用GTP-U协议传输用户面数据等；N4接口是SMF和UPF之间的参考点，使用PFCP控制面协议栈封装信令、传输数据缓存指示信息等；N6接口是UPF和DN之间的参考点，用于传输用户面数据等。

在本申请提供的数据传输方法中，执行主体可以是一种电子设备(例如电脑终端、服务器)，还可以是电子设备中的处理器，还可以是电子设备中用于数据传输的控制模块，还可以是电子设备中用于数据传输的客户端。

图4为本申请实施例提供的一种数据传输***400的架构示意图。如图4所示，该数据传输***400包括：用户终端401和用户平面功能网元402。其中，用户平面功能网元402接收来自用户终端401的数据报文，并确定数据报文的加密方式和目的IP地址，向目的IP地址发送该数据报文。其中，该方案的具体实现将在后续方法实施例中详细描述，在此不再赘述。

可选的，假设图4所示的数据传输***应用于如图3所示的网络架构，则上述用户平面功能网元402所对应的网元或者实体可以为图3所示的网络架构中的UPF网元。

为了解决现有技术中无线终端在与核心网之间进行报文传输时，报文数据安全性较低的问题，本申请提供一种数据传输方法。如图5所示，以用户平面功能网元402所对应的网元或者实体为UPF网元为例，对本申请实施例的技术方案进行说明。本申请提供的数据传输方法包括以下步骤：

S501、UE向基站发送数据报文。相应的，基站接收数据报文。

其中，报文加密方式标志位根据UE的UDM签约数据确定。该报文加密方式标志位用于指示数据报文的加密方式。可以理解，UE通过无线链路向基站发送数据报文。

可选的，数据报文的加密方式包括明文传输方式、全加密传输方式、报文头混淆加密传输方式。

S502、基站对数据报文进行协议封装。

可选的，基站通过N3接口对数据报文进行协议封装。示例性的，基站在对数据报文进行协议封装时采用的协议为GTP-U协议。具体根据GTP-U协议对数据报文进行协议封装的流程为现有技术，本申请在此不再赘述。

S503、基站向UPF发送封装后的数据报文。相应的，UPF接收封装后的数据报文。

S504、UPF确定数据报文的加密方式。

可选的，UPF在接收到来自基站的数据报文后，根据包检测优先级确定数据报文对应的包检测规则(packet detection rules，PDR)。

示例性的，包检测优先级预设报文加密方式标志位为第一优先级，则UPF最先获取识别报文加密方式标志位。在此之后，UPF根据识别出的报文加密方式标志位，确定数据报文对应的PDR。在此之后，UPF根据数据报文对应的PDR，确定数据报文的加密方式。

S505、UPF确定数据报文对应的源IP地址和目的IP地址。

可选的，UPF对数据报文的字头进行解密。可以理解的是，若此时报文加密方式标志位指示的传输方式为明文传输方式，则无需对数据报文的字头进行解密。UPF可直接根据数据报文的字头，获取到数据报文对应的源IP地址和目的IP地址。

示例性的，在数据报文的加密方式为明文传输方式的情况下，UPF获取数据报文的字头，并根据数据报文的字头确定数据报文的目的IP地址。

示例性的，在数据报文的加密方式为全加密传输方式或报文头混淆加密传输方式的情况下，UPF对数据报文的字头进行解密，并根据解密后的数据报文的字头确定数据报文的目的IP地址。

S506、PDF向目的IP地址发送数据报文。

需要说明的是，PDF在确定数据报文的加密方式，并对数据报文的字头进行解码后，对数据报文进行转发的方式与现有技术中的方式相同，本申请在此不再赘述。

基于上述技术方案，本申请通过在UE发送的数据报文中增加报文加密方式标志位，使得用户平面功能网元在接收到数据报文后，能够根据报文加密方式标志位来确定数据报文的加密方式，在加密方式是明文传输方式时直接获取报文数据的字头以确定目的IP地址；并在加密方式是全加密传输方式或报文头混淆加密传输方式时，对数据报文的字头进行解密以获取数据报文的目的IP地址。最后，用户平面功能网元向目的IP地址发送数据报文。由此，本申请能够同时支持UE采用常规方式和加密方式发送数据报文，能有效地提高无线信道和承载网中传输时的数据安全性和灵活性。

结合图5，如图6所示，本申请提供的数据传输方法，在S501之前，还包括UE发起PDU会话创建的流程，具体下步骤：

S601、UE请求PDU会话建立。

S602、AMF根据请求选择SMF。

S603、AMF请求创建PDU会话SM上下文服务。为了建立AMF与SMF关于此UE Session的联系；传输有关此SMF选择的签约数据UDM、触发整个5GC会话建立流程。

其中，在UDM中新增报文加密方式标志位flag-1，用于包检测第一优先级标识。示例性的，报文加密方式标志位flag-1的取值包括三种参数，参数的内容及其代表的加密方式分别为：0-常规传输方式(也即明文传输方式)、1-全加密传输方式、2-报文头混淆加密传输方式。

S604、SMF向UDM获取签约数据，或者更新签约数据。

S605、SMF返回创建PDU会话SM上下文服务响应。

S606、SMF选择合适的PCF。

S607、SMF与PCF进行会话策略建立。

S608、SMF选择为UE服务的UPF，并为UE会话分配一个IP地址。

S609、SMF向UPF发送N4会话建立请求，提供要在该PDU会话的UPF上安装的包检测规则(PDR)，转发行为规则(FAR)等。

其中，PDR规则中新增密文传输标识位flag-2，该位由UDM中不同报文加密方式标识符flag-1确定。对应于S603中对报文加密方式标志位flag-1的取值，当flag-2参数为0时表示UPF将会使用常规传输方式；当flag-2参数为1将命中该PDU会话的报文作为密文处理；当flag-2参数为2时，作为混淆报文头的密文处理。对于密文，先解密然后再对PDR规则中的元组匹配规则进行匹配。

S610、UPF向SMF返回N4会话建立响应，携带PDU会话上下文信息，例如：QoS流列表等。

S611、SMF向AMF发送N1/N2消息传输请求

S612、AMF向基站发送N2接口PDU会话请求。

S613、基站向UE发送无线资源建立请求，根据AMF提供的PDU会话信息，为UE建立合适的无线承载。

S614、基站向AMF返回N2接口PDU会话接收信息，其中携带基站分配的N3接口资源，上行数据链路建立。

S615、AMF向SMF发送更新的SM会话上下文请求。

S616、SMF向UPF发送N4会话更新。下行链路建立。

S617、SMF向AMF返回更新SM会话上下文请求响应。整个5GS的会话建立过程至此结束。

S618、AMF向UE返回会话建立的请求响应PDU session establishment accept，该响应中携带MSG-1内容。

S619、UE处理该PDU session establishment accept消息，将MSG-1中的内容解析更新到UE的加解密模块中的LIST-1、LIST-2中，其中LIST-2中的LIST-2-node-action-src-ip初始为0。

以上对本申请提供的数据传输方法中UE发起PDU会话创建的流程进行了介绍。

下面对本申请实施例中数据报文的加密方式的实现方法进行说明。

(1)若报文加密方式标志位的参数为1，则表示此时数据报文的加密方式为全加密传输方式，具体的实现方法为：upf接收到数据报文，在teid命中pdr之后根据flag-2的参数(此时flag-2的参数为1)判断数据报文为全加密报文，则转到解密模块进行解密处理，然后再进行正常的明文相同的转发流程；upf处理下行数据时，根据目的ip地址命中该ue对应的pdr，根据pdr中的标识位，判断是否需要加密，如需要加密，则转到加解密模块进行加密处理之后再通过N3和基站发送到对应的UE。UE中默认对所有的上下行报文进行加解密处理。

(2)若报文加密方式标志位的参数为2，则表示此时数据报文的加密方式为报文头混淆加密传输方式，具体的实现方法为：

根据净荷加密及报文头(IP头)混淆的方式，实现报文头混淆加密传输，并可以根据业务需要针对部分报文进行混淆。净荷加密部分与现有技术相同，本申请在此不再赘述。报文头的混淆机制的实现步骤具体如下：

S1、UE注册到网络建立pdu会话，通过pdu会话分配ip地址时，会分配一个真实ip地址和一组特殊ip地址，如10.x.x.1/8或者ip地址列表LIST-1。

S2、UE的协议栈增加混淆处理模块，混淆模块中维护一张N元组规则表LIST-2，该规则表通过5GC配置下达，规则表的规则为N元组LIST-2-node-rule，动作中包含源ip混淆地址(LIST-2-node-action-src-ip)和目的地址混淆密钥LIST-2-node-action-dst-ip-key、净荷部分的混淆/加密类型LIST-2-node-action-payload-type，密钥LIST-2-node-action-payload-key。

S3、UE中的APP发送报文时，从APP经过协议栈到网络报文发出之前到达混淆模块，混淆模块会根据N元组规则表与报文匹配，命中后则表示需要对ip报文头混淆。

S4、混淆方式---源IP地址：源IP地址根据LIST-2中的LIST-2-node-action-src-ip确定，当LIST-2-node-action-src-ip为0时，在LIST-1中随机选择一个ip地址；当LIST-2-node-action-src-ip不为0时，源IP地址直接替换为LIST-2-node-action-src-ip。根据配置，可以设置老化时间LIST-2-node-action-src-ip-aging，超时后LIST-2-node-action-src-ip清0，下一条报文时重新随机选择地址。

S5、混淆方式---目的IP地址：目的IP根据LIST-2-node-action-dst-ip-key对真实目的IP进行混淆计算，例如：真实目的IP为A.B.C.D，LIST-2-node-action-dst-ip-key为k(k的取值范围为1～254)，混淆方式为{[(A-k)+255]％256}.{[(B+k)+255]％256}、{[(C-k)+255]％256}、{[(D+k)+255]％256}。

S6、混淆方式---净荷：采用正常的加密或者混淆算法即可，类型和密钥为：LIST-2-node-action-payload-type和LIST-2-node-action-payload-key。

S7、发送报文信息：按照UE的常规报文发送方式，将混淆/加密后的报文发送到基站。

S8、基站接收到信息后通过N3转发到UPF。

S9、UPF收到上行报文后，首先根据teid命中pdr之后根据flag-2判断为2时表示为方式2的这种加密报文，则进一步判断源IP地址，如果源IP地址在LIST-1中，则认为该报文属于混淆/加密的报文，转到UPF中专门处理加解密的单元进行反混淆和解密处理，得到明文报文；如果源IP地址不在LIST-1中，则按照正常普通报文处理。

S10、UPF对明文报文进行正常的路由转发。

S11、下行报文与上述上行过程类似，区别是由UPF根据报文目的IP和N元组判断是否需要混淆和加密，如果需要，则转到加解密模块进行加密处理，之后通过N3和基站发送到UE。

S12、UE收到报文后，根据目的IP地址判断是否需要做解密，如需要，则解密后再通过协议栈传入到APP。

需要说明的是，UE中的规则会在PDU session establishment accept消息中下发，如下表1所示，在PDU session establishment accept消息中新增用于传输该加密规则的内容MSG-1：

表1加密规则的内容MSG-1

以上对本申请提供的数据传输方法中数据报文的加密方式的实现方法进行了介绍。

本申请实施例可以根据上述方法示例对数据传输装置进行功能模块或者功能单元的划分，例如，可以对应各个功能划分各个功能模块或者功能单元，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块或者功能单元的形式实现。其中，本申请实施例中对模块或者单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

示例性的，如图7所述，为本申请实施例所涉及的一种数据传输装置的一种可能的结构示意图。该数据传输装置700包括：接收单元701、处理单元702和发送单元703。

其中，接收单元701，用于接收来自用户终端UE的数据报文。

处理单元702，用于确定数据报文的加密方式。

处理单元702，还用于根据数据报文的加密方式，确定数据报文的目的IP地址。

发送单元703，用于向目的IP地址发送数据报文。

可选的，处理单元702，还用于根据报文加密方式标志位，确定数据报文的加密方式。

可选的，处理单元702，还用于在数据报文的加密方式为明文传输方式，获取数据报文的字头，并根据数据报文的字头确定数据报文的目的IP地址。

可选的，处理单元702，还用于在数据报文的加密方式为全加密传输方式或报文头混淆加密传输方式时，对数据报文的字头进行解密，并根据解密后的数据报文的字头确定数据报文的目的IP地址。

可选的，数据传输装置700还可以包括存储单元(图7中以虚线框示出)，该存储单元存储有程序或指令，当处理单元702执行该程序或指令时，使得数据传输装置可以执行上述方法实施例所述的数据传输方法。

此外，图7所述的数据传输装置的技术效果可以参考上述实施例所述的数据传输方法的技术效果，此处不再赘述。

示例性的，如图8所述，为本申请实施例所涉及的另一种数据传输装置的一种可能的结构示意图。该数据传输装置800包括：处理单元801和发送单元802。

其中，处理单元801，用于根据统一数据管理UDM签约数据，确定报文加密方式标志位。

发送单元802，用于向用户平面功能网元发送数据报文。

可选的，发送单元802，还用于通过基站，向用户平面功能网元发送数据报文。

可选的，数据传输装置800还可以包括存储单元(图8中以虚线框示出)，该存储单元存储有程序或指令，当处理单元801执行该程序或指令时，使得数据传输装置可以执行上述方法实施例所述的数据传输方法。

此外，图8所述的数据传输装置的技术效果可以参考上述实施例所述的数据传输方法的技术效果，此处不再赘述。

示例性地，图9为上述实施例中所涉及的数据传输装置的又一种可能的结构示意图。如图9所示，数据传输装置900包括：处理器902。

其中，处理器902，用于对该数据传输装置的动作进行控制管理，例如，执行上述接收单元701、处理单元702、发送单元703、处理单元801以及发送单元802执行的步骤，和/或用于执行本文所描述的技术方案的其它过程。

上述处理器902可以是实现或执行结合本申请内容所描述的各种示例性的逻辑方框，模块和电路。该处理器可以是中央处理器，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

可选地，数据传输装置900还可以包括通信接口903、存储器901和总线904。其中，通信接口903用于支持数据传输装置900与其他网络实体的通信。存储器901用于存储该数据传输装置的程序代码和数据。

其中，存储器901可以是数据传输装置中的存储器，该存储器可以包括易失性存储器，例如随机存取存储器；该存储器也可以包括非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘；该存储器还可以包括上述种类的存储器的组合。

总线909可以是扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。总线909可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的***，装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请实施例提供一种包含指令的计算机程序产品，当所述计算机程序产品在本申请的电子设备上运行时，使得所述计算机执行上述方法实施例所述的数据传输方法。

本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该本申请的电子设备执行上述方法实施例所示的方法流程中数据传输装置执行的各个步骤。

其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit，ASIC)中。在本申请实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims (7)

1.一种数据传输方法，其特征在于，应用于用户平面功能网元，所述方法包括：

接收来自用户终端UE的数据报文；其中，所述数据报文包括报文加密方式标志位；

根据所述报文加密方式标志位，确定所述数据报文的加密方式；

根据所述数据报文的加密方式，确定所述数据报文的目的IP地址；

向所述目的IP地址发送所述数据报文；

所述数据报文的加密方式包括：明文传输方式、全加密传输方式以及报文头混淆加密传输方式；

所述根据所述报文加密方式标志位，确定所述数据报文的加密方式，包括：

包检测优先级预设报文加密方式标志位为第一优先级，使得所述用户平面功能网元最先获取识别报文加密方式标志位；根据识别出的报文加密方式标志位，确定所述数据报文对应的包检测规则PDR，根据所述数据报文对应的PDR，确定所述数据报文的加密方式；

所述根据所述数据报文的加密方式，确定所述数据报文的目的IP地址，具体包括：

若所述数据报文的加密方式标志位指示的传输方式为所述明文传输方式，则获取所述数据报文的字头，并根据所述数据报文的字头确定所述数据报文的目的IP地址；

若所述数据报文的加密方式标志位指示的传输方式为所述全加密传输方式或所述报文头混淆加密传输方式，则对所述数据报文的字头进行解密，并根据解密后的所述数据报文的字头确定所述数据报文的目的IP地址。

2.一种数据传输方法，其特征在于，应用于用户终端UE，所述方法包括：

根据统一数据管理UDM签约数据，确定报文加密方式标志位；

向用户平面功能网元发送数据报文；

所述UE通过基站，向所述用户平面功能网元发送所述数据报文；所述数据报文包括报文加密方式标志位；包检测优先级预设报文加密方式标志位为第一优先级；所述报文加密方式标志位用于指示所述数据报文对应的包检测规则PDR，所述数据报文对应的PDR，用于指示所述数据报文的加密方式；所述数据报文的加密方式包括：明文传输方式、全加密传输方式以及报文头混淆加密传输方式；

若所述数据报文的加密方式标志位指示的传输方式为所述明文传输方式，则获取所述数据报文的字头，并根据所述数据报文的字头确定所述数据报文的目的IP地址；

若所述数据报文的加密方式标志位指示的传输方式为所述全加密传输方式或所述报文头混淆加密传输方式，则对所述数据报文的字头进行解密，并根据解密后的所述数据报文的字头确定所述数据报文的目的IP地址。

3.一种数据传输装置，其特征在于，所述数据传输装置包括：接收单元、处理单元和发送单元；

所述接收单元，用于接收来自用户终端UE的数据报文；其中，所述数据报文包括报文加密方式标志位；

所述处理单元，用于根据所述报文加密方式标志位，确定所述数据报文的加密方式；所述数据报文的加密方式包括：明文传输方式、全加密传输方式以及报文头混淆加密传输方式；

所述处理单元，还用于包检测优先级预设报文加密方式标志位为第一优先级，使得所述接收单元最先获取识别报文加密方式标志位；根据识别出的报文加密方式标志位，确定所述数据报文对应的包检测规则PDR，根据所述数据报文对应的PDR，确定所述数据报文的加密方式；

所述处理单元，还用于根据所述数据报文的加密方式，确定所述数据报文的目的IP地址；

所述发送单元，用于向所述目的IP地址发送所述数据报文；

所述处理单元，还用于在所述数据报文的加密方式标志位指示的传输方式为所述明文传输方式时，获取所述数据报文的字头，并根据所述数据报文的字头确定所述数据报文的目的IP地址；

所述处理单元，还用于在所述数据报文的加密方式标志位指示的传输方式为所述全加密传输方式或所述报文头混淆加密传输方式时，对所述数据报文的字头进行解密，并根据解密后的所述数据报文的字头确定所述数据报文的目的IP地址。

4.一种数据传输装置，其特征在于，所述数据传输装置包括：处理单元和发送单元；

所述处理单元，用于根据统一数据管理UDM签约数据，确定报文加密方式标志位；

所述发送单元，用于向用户平面功能网元发送数据报文；

所述发送单元，还用于通过基站，向所述用户平面功能网元发送所述数据报文；所述数据报文包括报文加密方式标志位；包检测优先级预设报文加密方式标志位为第一优先级；所述报文加密方式标志位用于指示所述数据报文对应的包检测规则PDR，所述数据报文对应的PDR，用于指示所述数据报文的加密方式；所述数据报文的加密方式包括：明文传输方式、全加密传输方式以及报文头混淆加密传输方式；

所述处理单元，还用于在所述数据报文的加密方式标志位指示的传输方式为所述明文传输方式时，获取所述数据报文的字头，并根据所述数据报文的字头确定所述数据报文的目的IP地址；

所述处理单元，还用于在所述数据报文的加密方式标志位指示的传输方式为所述全加密传输方式或所述报文头混淆加密传输方式时，对所述数据报文的字头进行解密，并根据解密后的所述数据报文的字头确定所述数据报文的目的IP地址。

5.一种通信***，其特征在于，所述通信***包括用户平面功能网元、用户终端UE；

所述用户平面功能网元，用于接收来自所述UE的数据报文，并确定所述数据报文的加密方式以及所述数据报文的目的IP地址，并向所述目的IP地址发送所述数据报文；所述数据报文的加密方式包括：明文传输方式、全加密传输方式以及报文头混淆加密传输方式；所述用户平面功能网元在接收到来自基站的数据报文后，包检测优先级预设报文加密方式标志位为第一优先级，使得所述用户平面功能网元最先获取识别报文加密方式标志位；根据识别出的报文加密方式标志位，确定所述数据报文对应的包检测规则PDR，根据所述数据报文对应的PDR，确定所述数据报文的加密方式；

所述UE，用于根据统一数据管理UDM签约数据，确定报文加密方式标志位，并向所述用户平面功能网元发送所述数据报文；其中，所述数据报文包括所述报文加密方式标志位；

所述用户平面功能网元，还用于在所述数据报文的加密方式标志位指示的传输方式为所述明文传输方式时，获取所述数据报文的字头，并根据所述数据报文的字头确定所述数据报文的目的IP地址；在所述数据报文的加密方式标志位指示的传输方式为所述全加密传输方式或所述报文头混淆加密传输方式时，对所述数据报文的字头进行解密，并根据解密后的所述数据报文的字头确定所述数据报文的目的IP地址。

6.一种电子设备，其特征在于，包括：处理器以及存储器；其中，所述存储器用于存储计算机执行指令，当所述电子设备运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述电子设备执行权利要求1或2所述的数据传输方法。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括指令，当所述计算机可读存储介质中的指令由电子设备执行时，使得所述电子设备能够执行如权利要求1或2所述的数据传输方法。