CN114362984B

CN114362984B - 一种接口安全性保护方法及装置

Info

Publication number: CN114362984B
Application number: CN202011092391.6A
Authority: CN
Inventors: 杨文进
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2020-10-13
Filing date: 2020-10-13
Publication date: 2023-05-09
Anticipated expiration: 2040-10-13
Also published as: WO2022078252A1; CN114362984A; EP4213418A1; EP4213418A4

Abstract

本申请实施例提供了一种接口安全性保护方法及装置，用于解决现有技术中基于IPSec进行接口安全保护成本较高、灵活性差的问题。该方法包括：第一实体向网络存储功能实体发送第一消息，第一消息携带会话参数；第一实体接收网络存储功能实体发送的第二消息，第二消息携带满足会话参数的M个第二实体分别对应的配置信息，其中，M个第二实体中的m个第二实体支持接口安全保护，M为正整数，m为不大于M的正整数；第一实体在确定需要进行接口安全保护时，在m个第二实体中选择目标第二实体。通过本申请实施例提供的方法不再需要依赖专门的物理或者网络层安全协议来保证接口的安全，从而可以降低部署成本。

Description

一种接口安全性保护方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种接口安全性保护方法及装置。

背景技术

5G通信***架构中，核心网的网络功能(network function，NF)之间、核心网与接入网之间存在基于服务化架构(service based architecture，SBA)接口(例如Nnssf、Nnef等接口)和非SBA接口(N3、N4和N9等接口)。

其中，SBA接口支持使用超文本传输安全协议插层(hyper text transferprotocol over secure socket layer，HTTPS)保护传递信息安全，可以通过安全传输层协议(transport layer security，TLS)对传输数据进行加解密、完整性保护等。

而对于非SBA接口的保护，例如N3、N4和N9，则通常使用互联网安全协议(internetprotocol security，IPSec)等保护传递信息安全。但是，采用IPSec保护N3、N4和N9等接口安全性时，通常需要采用专用的IPSec硬件，同时提前规划建立IPSec隧道，这种要求对5GMEC场景的部署带来了较大限制。

发明内容

本申请实施例提供了一种接口安全性保护方法及装置，用于解决现有技术中基于IPSec进行接口安全保护成本较高、灵活性差的问题。

第一方面，本申请实施例提供的一种接口安全性保护方法，该方法包括：第一实体向网络存储功能实体发送第一消息，第一消息携带会话参数；第一实体接收网络存储功能实体发送的第二消息，第二消息携带满足会话参数的M个第二实体分别对应的配置信息，其中，M个第二实体中的m个第二实体支持接口安全保护，M为正整数，m为不大于M的正整数；第一实体在确定需要进行接口安全保护时，在m个第二实体中选择目标第二实体。

通过上述技术方案，本申请实施例中的第一实体在确定需要进行接口安全保护时，可以从m个第二实体中选择与该第一实体的接口安全保护能力相同的第二实体作为目标第二实体，从而使得进行通信的两个实体具有相同的接口安全保护能力，这两个实体在进行通信时则可以对传输的数据进行接口安全保护(如加解密、完整性保护等)。通过本申请实施例提供的方法不再需要依赖专门的物理或者网络层安全协议(例如IPSec)来保证接口的安全，从而可以降低MEC部署成本。

在一种可能的设计中，第一消息进一步包括：用于指示接口安全保护能力的第一参数；m等于M。上述设计中，第一实体可以在向网络存储功能实体请求发现第二实体时，指示网络存储功能实体查找具有该接口安全保护能力的第二实体，从而网络存储功能实体向第一实体反馈的第二实体均具有该接口安全保护能力。在该接口安全保护能力是该第一实体的接口安全保护能力的情况下，网络存储功能实体反馈的第二实体均与该第一实体具有相同的接口安全保护能力，所以该第一实体可以直接从m个第二实体中进行选择，而不需要该第一实体再针对接口安全保护能力进行判断。

在一种可能的设计中，m个第二实体分别对应的配置信息中还包括配置信息对应的第二实体的一个或多个网络切片中支持接口安全保护的网络切片；第一实体在m个第二实体中选择目标第二实体，包括：根据m个第二实体对应的配置信息确定X个第二实体，X个第二实体中的每个第二实体至少有一个网络切片支持接口安全保护，X为不大于m的正整数；从X个第二实体中选择至少一个第二实体作为目标第二实体。通过上述方式，第一实体可以优先选择有支持接口安全保护的网络切片的第二实体作为目标第二实体。

在一种可能的设计中，m个第二实体的配置信息中还包括支持接口安全保护的网络切片的安全保护参数。通过上述设计，可以提高通信安全性。

在一种可能的设计中，在第一实体在m个第二实体中选择目标第二实体之后，第一实体与目标第二实体中的第三实体进行第一协议层握手，第一协议层用于实现接口安全保护；第一实体与第三实体建立第二协议层连接，第二协议层用于实现数据包转发控制。上述设计中，具有接口安全保护能力的第一实体和第三实体通过进行第一协议层握手，使得在第一实体和第三实体在后续通信中可以将数据进行第一协议层处理，从而可以实现第一实体与第三实体之间的接口安全保护，提高通信安全性。

在一种可能的设计中，在第一实体在m个第二实体中选择目标第二实体之后，第一实体向目标第二实体中的第三实体发送第三消息，第三消息用于请求建立第二协议层连接，第二协议层用于实现数据包转发控制；第一实体从第三实体接收第三消息对应的拒绝消息；第一实体与第三实体进行第一协议层握手，第一协议层用于实现接口安全保护；第一实体向第三实体发送第四消息，第四消息用于请求建立第二协议层连接；第一实体从目标第二实体接收第四消息对应的响应消息。上述设计中，在建立第二协议层连接时，若第一实体未启用接口安全保护时，第三实体可以通过拒绝消息指示第一实体启动接口安全保护。

在一种可能的设计中，第三消息对应的拒绝消息中可以携带拒绝原因，该拒绝原因取值为用于指示第三消息未进行接口安全保护的原因值。

在一种可能的设计中，在第一实体在m个第二实体中选择目标第二实体之后，第一实体与目标第二实体中的第三实体建立第二协议层连接，第二协议层用于实现数据包转发控制；第一实体向第三实体发送第五消息，第五消息用于请求建立第二协议层会话；第一实体从第三实体接收第五消息对应的拒绝消息；第一实体与第三实体进行第一协议层握手，第一协议层用于实现接口安全保护；第一实体向第三实体发送第六消息，第六消息用于请求建立第二协议层会话；第一实体从第三实体接收第六消息对应的响应消息。上述设计中，在建立第二协议层会话时，若第一实体未启用接口安全保护时，第三实体可以通过拒绝消息指示第一实体启动接口安全保护。

在一种可能的设计中，第五消息对应的拒绝消息中可以携带拒绝原因，该拒绝原因取值为用于指示第五消息未进行接口安全保护的原因值。

在一种可能的设计中，第一实体确定需要进行接口安全保护，包括：第一实体基于如下属性中至少一项确定需要进行接口安全保护：第二实体的地理位置、网络中网络切片的属性、多接入边缘计算场景。通过上述设计，第一实体可以判断通信是否容易受到攻击，从而确定是否启用接口安全保护，例如，在多接入边缘计算场景中，第二实体在边缘容易受攻击，第一实体确定启用接口安全保护，可以提升通信的安全性。

在一种可能的设计中，在第一实体在m个第二实体中选择目标第二实体之后，第一实体向目标第二实体中的第三实体发送第七消息，第七消息指示第三实体增加第一协议层对应的头部，第一协议层用于实现接口安全保护。通过上述设计，第一实体可以指示第三实体启动接口安全保护。

在一种可能的设计中，第七消息携带外部头创建(Outer Header Creation)信元，Outer Header Creation信元用于指示第三实体增加第一协议层对应的头部。

在一种可能的设计中，在第一实体向目标第二实体中的第三实体发送第七消息之后，第一实体向第三实体发送第八消息，第八消息指示第三实体删除第一协议层对应的头部。通过上述设计，第一实体可以指示第三实体停止接口安全保护。

在一种可能的设计中，第八消息携带外部头删除(Outer Header Removal)信元，Outer Header Removal信元用于指示第三实体删除第一协议层对应的头部。

在一种可能的设计中，在第一实体在m个第二实体中选择目标第二实体之后，第一实体向接入网设备发送第二信息，第二信息指示启用接口安全保护。通过上述设计，第一实体可以指示接入网设备启用接口安全保护。

在一种可能的设计中，第二信息携带安全指示(Security Indication)信元，Security Indication用于指示启用接口安全保护。

在一种可能的设计中，第二信息还携带第三信息，第三信息用于确定安全保护参数。

在一种可能的设计中，第三信息可以但不限于包括需要进行接口安全保护的服务质量流标识(QoS flow identifier，QFI)、QFI对应的证书、需要进行接口安全保护的网络切片以及网络切片对应的证书等信息。通过上述设计，接入网设备根据第三信息确定安全保护参数时，可以根据第三信息对QFI对应Qos流(Qos Flow)进行加解密。其中，不同QFI或者网络切片可使用不同的证书进行加解密，通过上述方式可以满足切片隔离的要求以及安全差异化需求。

第二方面，本申请实施例提供的一种接口安全性保护方法，该方法包括：网络存储功能实体接收第一实体发送的第一消息，第一消息携带会话参数；网络存储功能实体基于会话参数选择满足会话参数的M个第二实体，M个第二实体中的m个第二实体支持接口安全保护，M为正整数，m为不大于M的正整数；网络存储功能实体向第一实体发送第二消息，第二消息携带满足会话参数的M个第二实体分别对应的配置信息。

在一种可能的设计中，第一消息进一步包括：用于指示接口安全保护能力的第一参数；网络存储功能实体基于会话参数选择M个第二实体，包括：网络存储功能实体确定满足会话参数且支持该接口安全保护能力的M个第二实体，m等于M。上述设计中，第一实体可以在向网络存储功能实体请求发现第二实体时，指示网络存储功能实体查找具有该接口安全保护能力的第二实体，从而网络存储功能实体向第一实体反馈的第二实体均具有该接口安全保护能力。在该接口安全保护能力是该第一实体的接口安全保护能力的情况下，网络存储功能实体反馈的第二实体均与该第一实体具有相同的接口安全保护能力，所以该第一实体可以直接从m个第二实体中进行选择，而不需要该第一实体再针对接口安全保护能力进行判断。

在一种可能的设计中，m个第二实体分别对应的配置信息中还包括配置信息对应的第二实体的一个或多个网络切片中支持接口安全保护的网络切片。通过上述方式，第一实体可以优先选择有支持接口安全保护的网络切片的第二实体作为目标第二实体。

第三方面，本申请实施例提供的一种接口安全性保护方法，该方法包括：第三实体接收第一实体发送的第三消息，第三消息用于请求建立第二协议层连接，第二协议层用于实现数据包转发控制；若第二协议层连接需要安全保护，第三实体在确定第三消息不是基于接口安全保护进行发送时向第一实体发送第三消息对应的拒绝消息；第三实体与第一实体进行第一协议层握手，第一协议层用于实现接口安全保护；第三实体接收第一实体发送的第四消息，第四消息用于请求建立第二协议层连接；第三实体向第一实体发送第四消息对应的响应消息。

本申请实施例中在建立第二协议层会话时，在建立第二协议层连接时，若第一实体未启用接口安全保护时，第三实体可以通过拒绝消息指示第一实体启动接口安全保护。

在一种可能的设计中，第三实体确定第三消息不是基于接口安全保护进行发送，包括：第三实体确定第三消息未包括第一协议层对应的头部。

第四方面，本申请实施例提供的一种接口安全性保护方法，该方法包括：第三实体与第一实体建立第二协议层连接，第二协议层用于实现数据包转发控制；第三实体接收第一实体发送的第五消息，第五消息用于请求建立第二协议层会话；若第二协议层会话需要安全保护，第三实体在确定第五消息不是基于接口安全保护进行发送时向第一实体发送第五消息对应的拒绝消息；第三实体与第一实体进行第一协议层握手，第一协议层用于实现接口安全保护；第三实体接收第一实体发送的第六消息，第六消息用于请求建立第二协议层会话；第三实体向第一实体发送第六消息对应的响应消息。

本申请实施例中，在建立第二协议层会话时，若第一实体未启用接口安全保护时，第三实体可以通过拒绝消息指示第一实体启动接口安全保护。

在一种可能的设计中，第三实体确定第五消息不是基于接口安全保护进行发送，包括：第三实体确定第五消息未包括第一协议层对应的头部。

基于上述第三方面以及上述第四方面，可以有如下设计：

在一种可能的设计中，第三实体向网络存储功能实体发送第九消息，第九消息携带第三实体的配置信息，配置信息中包括用于指示第三实体是否支持接口安全保护的第一信息。上述设计，网络存储功能实体可以获取第三实体的接口安全保护能力。

在一种可能的设计中，若配置信息中包括的第一信息指示第三实体支持接口安全保护，第一信息还用于指示第三实体的一个或多个网络切片中支持接口安全保护的网络切片。上述设计，网络存储功能实体可以获取第三实体的网络切片的接口安全保护能力。

在一种可能的设计中，第一信息还包括支持接口安全保护的网络切片的安全保护参数。上述设计，网络存储功能实体可以获取第三实体的网络切片的安全保护参数。

在一种可能的设计中，第三实体接收第一实体发送的第七消息，第七消息指示第三实体增加第一协议层对应的头部，第一协议层用于实现接口安全保护；第三实体对下行数据执行安全和完整性保护。通过上述设计，第一实体可以指示第三实体启动接口安全保护。

在一种可能的设计中，第七消息携带Outer Header Creation信元，Outer HeaderCreation信元用于指示第三实体增加第一协议层对应的头部。

在一种可能的设计中，第三实体对下行数据执行安全和完整性保护，包括：第三实体将下行数据经过第一协议层处理。

在一种可能的设计中，在第三实体接收第一实体发送的第七消息之后，第三实体接收第一实体发送的第八消息，第八消息指示第三实体删除第一协议层对应的头部；第三实体接收上行数据包，上行数据包包括第一协议层对应的包头；第三实体删除上行数据包包括的第一协议层对应的包头。通过上述设计，第一实体可以指示第三实体停止接口安全保护。

在一种可能的设计中，第八消息携带Outer Header Removal信元，Outer HeaderRemoval信元用于指示第三实体删除第一协议层对应的头部。

第五方面，本申请实施例提供的一种接口安全性保护方法，该方法包括：接入网设备接收第一实体发送的第二信息，第二信息指示启用接口安全保护；接入网设备将上行数据进行加密处理，和/或，对下行数据进行解密处理；接入网设备将经过加密处理后的上行数据发送给第二实体，和/或，将解密处理后的下行数据发送给终端设备。通过上述设计，第一实体可以指示接入网设备启用接口安全保护。

在一种可能的设计中，第二信息携带Security Indication信元，SecurityIndication用于指示启用接口安全保护。

在一种可能的设计中，第二信息还携带第三信息，第三信息用于确定安全保护参数；方法还包括：接入网设备根据第三信息确定安全保护参数。

在一种可能的设计中，接入网设备将上行数据进行加密处理，和/或对下行数据进行解密处理，包括：接入网设备将上行数据和/或下行数据经过第一协议层处理，第一协议层用于实现接口安全保护。

第六方面，本申请提供一种接口安全性保护装置，该装置可以是通信设备，也可以是通信设备内的芯片或芯片组。该装置可以包括处理单元和收发单元。当该装置是通信设备时，该处理单元可以是处理器，该收发单元可以是收发器；该装置还可以包括存储模块，该存储模块可以是存储器；该存储模块用于存储指令，该处理单元执行该存储模块所存储的指令，以使通信设备执行上述第一方面、或第二方面、或第三方面、或第四方面、或第五方面中相应的功能。当该装置是通信设备内的芯片或芯片组时，该处理单元可以是处理器，该收发单元可以是输入/输出接口、管脚或电路等；该处理单元执行存储模块所存储的指令，以使通信设备执行上述第一方面、或第二方面、或第三方面、或第四方面、或第五方面中相应的功能，该存储模块可以是该芯片或芯片组内的存储模块(例如，寄存器、缓存等)，也可以是该通信设备内的位于该芯片或芯片组外部的存储模块(例如，只读存储器、随机存取存储器等)。

第七方面，提供了一种接口安全性保护装置，包括：处理器、通信接口和存储器。通信接口用于该装置与其他装置之间传输信息、和/或消息、和/或数据。该存储器用于存储计算机执行指令，当该装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该装置执行如上述第一方面或第一方面中任一设计、或者第二方面或第二方面中任一设计、或者第三方面或第三方面中任一设计、或者第四方面或第四方面中任一设计、或者第五方面或第五方面中任一设计所述的方法。

第八方面，本申请实施例提供的一种计算机存储介质，该计算机存储介质存储有程序指令，当程序指令在通信设备上运行时，使得通信设备执行本申请实施例第一方面及其任一可能的设计、或者第二方面或第二方面中任一设计、或者第三方面或第三方面中任一设计、或者第四方面或第四方面中任一设计、或者第五方面或第五方面中任一设计的方法。

第九方面，本申请实施例提供的一种计算机程序产品，当计算机程序产品在通信设备上运行时，使得通信设备本申请实施例第一方面及其任一可能的设计、或者第二方面或第二方面中任一设计、或者第三方面或第三方面中任一设计、或者第四方面或第四方面中任一设计、或者第五方面或第五方面中任一设计的方法。

第十方面，本申请实施例提供的一种芯片，所述芯片与存储器耦合，执行本申请实施例第一方面及其任一可能的设计、或者第二方面或第二方面中任一设计、或者第三方面或第三方面中任一设计、或者第四方面或第四方面中任一设计、或者第五方面或第五方面中任一设计的方法。

另外，第六方面至第十方面所带来的技术效果可参见上述第一方面的描述，此处不再赘述。

需要说明的是，本申请实施例中“耦合”是指两个部件彼此直接或间接地结合。

附图说明

图1为本申请实施例提供的一种非漫游场景下基于服务化接口的通信***的架构示意图；

图2为本申请实施例提供的一种非漫游场景下基于参考点的通信***的架构示意图；

图3为本申请实施例提供的一种Local breakout漫游场景下基于服务化接口的通信***的架构示意图；

图4为本申请实施例提供的一种Local breakout漫游场景下基于参考点的通信***的架构示意图；

图5为本申请实施例提供的一种Home routed漫游场景下基于参考点的通信***的架构示意图；

图6为本申请实施例提供的一种基于非SBA接口的应用场景示意图；

图7为本申请实施例提供的一种接口安全性保护方法的流程图；

图8为本申请实施例提供的一种网络切片示意图；

图9为本申请实施例提供的一种NF向NRF实体进行注册的示意图；

图10为本申请实施例提供的一种NF向NRF实体进行注册的流程示意图；

图11为本申请实施例提供的一种启用接口安全保护的示意图；

图12为本申请实施例提供的一种第一实体选择第二实体的流程示意图；

图13为本申请实施例提供的另一种第一实体选择第二实体的流程示意图；

图14为本申请实施例提供的一种会话建立过程的示意图；

图15为本申请实施例提供的一种第一实体与第三实体进行通信的示意图；

图16为本申请实施例提供的一种第一实体与第三实体进行通信的示意图；

图17为本申请实施例提供的一种第一实体与第三实体进行通信的示意图；

图18为本申请实施例提供的一种接口安全性保护装置的结构示意图；

图19为本申请实施例提供的一种接口安全性保护装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

本申请实施例提供一种接口安全性保护方法，该方法可以适用于5G(第五代移动通信***)***，如采用新型无线接入技术(new radio access technology，New RAT)的接入网；云无线接入网(cloud radio access network，CRAN)等通信***。其中，5G***可以为非漫游场景，也可以为漫游场景。5G***可以用于服务化的架构，也可以用于基于接口的架构，这里不做具体限定。应理解，本申请实施例也可以适用于在未来通信(例如6G或者其他的网络中)等。

本申请实施例提供的接口安全性保护方法所适用通信***的架构中可以包括网络开放功能网元、策略控制功能网元、数据管理网元、应用功能网元、核心网接入和移动性管理功能网元、会话管理功能网元、终端设备、接入网设备、用户面功能网元和数据网络。核心网接入和移动性管理功能网元与终端设备之间可以通过N1接口相连，核心网接入和移动性管理功能网元与接入网设备之间可以通过N2接口相连，接入网设备与用户面功能网元之间可以通过N3接口相连，会话管理功能网元与用户面功能网元之间可以通过N4接口相连，用户面功能网元与数据网络之间可以通过N6接口相连，用户面功能网元与用户面功能网元之间可以通过N9接口相连。接口名称只是一个示例说明，本申请实施例对此不作具体限定。其中，通信***中的网元可以但不限于是5G架构中的网元。下面以5G架构中的网元为例对所述通信***中的各个网元的功能进行描述：

所述终端设备，又可以称之为用户设备(user equipment，UE)、移动台(mobilestation，MS)、移动终端(mobile terminal，MT)等，是一种向用户提供语音和/或数据连通性的设备。例如，所述终端设备可以包括具有无线连接功能的手持式设备、车载设备等。目前，所述终端设备可以是：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端，或智慧家庭(smart home)中的无线终端等。

所述接入网设备可以为接入网(access network，AN)，向所述终端设备提供无线接入服务。所述接入网设备是所述通信***中将所述终端设备接入到无线网络的设备。所述接入网设备为无线接入网中的节点，又可以称为基站，还可以称为无线接入网(radioaccess network，RAN)节点(或设备)。目前，一些接入网设备的举例为：gNB、传输接收点(transmission reception point，TRP)、演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base stationcontroller，BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如，homeevolved NodeB，或home Node B，HNB)、基带单元(base band unit，BBU)，或无线保真(wireless fidelity，Wifi)接入点(access point，AP)等。

所述数据网络，例如数据网络(data network，DN)，可以是因特网(Internet)、IP多媒体业务(IP Multi-media Service，IMS)网络、区域网络(即本地网络，例如移动边缘计算(mobile edge computing，MEC)网络)等。所述数据网络中包括应用服务器，所述应用服务器通过与所述终端设备进行数据传输，为所述终端设备提供业务服务。

所述核心网接入和移动性管理功能网元，可用于对所述终端设备的接入控制和移动性进行管理，在实际应用中，其包括了长期演进(long term evolution，LTE)中网络框架中移动管理实体(mobility management entity，MME)里的移动性管理功能，并加入了接入管理功能，具体可以负责所述终端设备的注册、移动性管理、跟踪区更新流程、可达性检测、会话管理功能网元的选择、移动状态转换管理等。例如，在5G中，所述核心网接入和移动性管理功能网元可以是核心网接入和移动性管理功能(access and mobility managementfunction，AMF)网元。在未来通信，如6G中，所述核心网接入和移动性管理功能网元仍可以是AMF网元，或有其它的名称，本申请不做限定。当所述核心网接入和移动性管理功能网元是AMF网元时，所述AMF可以提供Namf服务。

所述会话管理功能网元，可用于负责所述终端设备的会话管理(包括会话的建立、修改和释放)，用户面功能网元的选择和重选、所述终端设备的互联网协议(internetprotocol，IP)地址分配、服务质量(quality of service，QoS)控制等。例如，在5G中，所述会话管理功能网元可以是会话管理功能(session management function，SMF)网元，在未来通信，如6G中，所述会话管理功能网元仍可以是SMF网元，或有其它的名称，本申请不做限定。当会话管理功能网元时SMF网元时，所述SMF可以提供Nsmf服务。

所述策略控制功能网元，可用于负责策略控制决策、提供基于业务数据流和应用检测、门控、QoS和基于流的计费控制等功能等。例如，在5G中，所述策略控制功能网元可以是策略控制功能(policy control function，PCF)网元，在未来通信，如6G中，所述策略控制功能网元仍可以是PCF网元，或有其它的名称，本申请不做限定。当所述策略控制功能网元是PCF网元，所述PCF网元可以提供Npcf服务。

所述应用功能网元，主要功能是与第三代合作伙伴计划(the 3rd generationpartnership project，3GPP)核心网交互来提供服务，来影响业务流路由、接入网能力开放、策略控制等。例如，在5G中，所述应用功能网元可以是应用功能(applicationfunction，AF)网元，在未来通信，如6G中，所述应用功能网元仍可以是AF网元，或有其它的名称，本申请不做限定。当所述应用功能网元是AF网元时，所述AF网元可以提供Naf服务。

所述数据管理网元，可用于管理所述终端设备的签约数据、与所述终端设备相关的注册信息等。例如，在5G中，所述数据管理网元可以是统一数据管理网元(unified datamanagement，UDM)，在未来通信，如6G中，所述数据管理网元仍可以是UDM网元，或有其它的名称，本申请不做限定。当所述数据管理网元是UDM网元时，所述UDM网元可以提供Nudm服务。

所述网络开放功能网元，可用于使3GPP能够安全地向第三方的AF(例如，业务能力服务器(Services Capability Server，SCS)、应用服务器(Application Server，AS)等)提供网络业务能力等。例如，在5G中，所述网络开放功能网元可以是网络开放功能(networkexposure function，NEF)，在未来通信，如6G中，所述网络开放功能网元仍可以是NEF网元，或有其它的名称，本申请不做限定。当所述网络开放功能网元是NEF时，所述NEF可以向其他网络功能网元提供Nnef服务。

另外***架构还可以包括其他网元，如网络切片选择功能网元(network sliceselection function，NSSF)、网络功能存储功能网元(NF repository function，NRF)、认证服务器功能网元(authentication server function，AUSF)、业务控制点(servicecontrol point，SCP)等等，这里不再一一列举。

以上各个网元也可以称为功能实体，既可以是在专用硬件上实现的网络元件，也可以是在专用硬件上运行的软件实例，或者是在适当平台上虚拟化功能的实例，例如，上述虚拟化平台可以为云平台。

此外，本申请实施例中的，应用程序需关联至少两个会话，其中关联可以为通过该至少两个会话传输该应用程序的数据。

图1示例性示出了通信***的一种可能的架构示意图。其中，Namf为AMF展现的基于服务的接口。Nsmf为SMF展现的基于服务的接口。Nnef为NEF展现的基于服务的接口。Npcf为PCF展现的基于服务的接口。Nudm为UDM展现的基于服务的接口。Naf为AF展现的基于服务的接口。Nnrf为NRF展现的基于服务的接口。Nausf为AUSF展现的基于服务的接口。N1为AMF与UE之间的接口，N2为AMF和接入网设备之间的接口，N3为接入网设备与UPF之间的接口，N4为SMF与UPF之间的接口，N6为UPF与DN之间的接口，N9为UPF与UPF之间的接口。

图2示例性示出了通信***的另一种可能的架构示意图。其中，N5为PCF和AF之间的接口。N7为SMF和PCF之间的接口。N8为UDM和AMF之间的接口。N9为2个核心UPF之间的接口。N10为UDM和SMF之间的接口。N11为AMF和SMF之间的接口。N12为AMF和AUSF之间的接口。N14为2个AMF之间的接口。N15为PCF和AMF之间的接口。N22为NSSF和AMF之间的接口。

图3示例性示出了通信***的一种可能的架构示意图。其中，安全边缘保护代理(security edge protection proxy，SEPP)可用于拓扑隐藏、公共陆地移动网络(publicland mobile network，PLMN)内控制面接口的信令过滤和策略制定等等。V-SEPP为漫游域SEPP，H-SEPP为本地域SEPP，N32为V-SEPP和H-SEPP之间的接口。Namf、Nsmf、Nnef、Npcf、Nudm、Naf、Nnrf、Nausf、N1、N2、N3、N4、N6、N9可以参阅图1所示，这里不再重复赘述。

图4示例性示出了通信***的一种可能的架构示意图。其中，V-PCF为漫游域PCF，H-PCF为本地域PCF，N24为V-PCF和H-PCF之间的参考点。N5、N7、N8、N9、N10、N11、N12、N14、N15、N22可以参阅图2所示，这里不再重复赘述。

图5示例性示出了通信***的一种可能的架构示意图。其中，V-PCF为漫游域PCF，H-PCF为本地域PCF，N24为V-PCF和H-PCF之间的参考点。N5、N7、N8、N9、N10、N11、N12、N14、N15、N22可以参阅图2所示，这里不再重复赘述。

应理解，本申请实施例并不限于图1至图5所示通信***，图1至图5中所示的网元的名称在这里仅作为一种示例说明，并不作为对本申请的方法适用的通信***架构中包括的网元的限定。此外，图1至图5中的装置可以是硬件，也可以是从功能上划分的软件或者以上二者结合后的结构。

需要说明的是，本申请中涉及的多个，是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

同时，应当理解，尽管在本申请实施例中可能采用术语第一、第二、第三等来描述各种消息、请求、网元，但这些消息、请求、设备以及核心网设备不应限于这些术语。这些术语仅用来将消息、请求、网元彼此区分开。

5G通信***架构中，核心网的NF之间、核心网与接入网之间存在基于SBA的接口(例如Nnssf、Nnef等接口)和非SBA的接口(例如N3、N4和N9等接口)。

其中，SBA接口支持使用HTTPS保护传递信息安全，可以通过TLS对传输数据进行加解密、完整性保护等。

而对于非SBA接口的保护，例如N3、N4和N9，则通常使用IPSec等保护传递信息安全。但是，采用IPSec保护N3、N4和N9等接口安全性时，通常需要采用专用的IPSec硬件，同时提前规划建立IPSec隧道，这种要求对5G MEC场景的部署带来了较大限制。

首先，5G通信***采用SBA架构后，SMF和UPF之间的归属关系不确定，SMF和UPF可通过NRF相互发现，全连接(Full Mesh)场景时UPF甚至可以为任意一个SMF提供服务，提前规划配置IPSec隧道比较困难。

其次，随着5G多接入边缘计算(multi-access edge computing，MEC)场景的推广，SMF/UPF随着业务越来越向边缘迁移，UPF部署方式及位置存在不确定性，同时边缘迁移使得UPF的部署需要考虑更多的制约因素，例如降低成本和更大的安全风险等，采用专用的IPSec硬件成本较高，如何降低成本并保证信息安全是需要解决的技术问题。

基于此，本申请提供一种接口安全性保护方法及装置，用以解决现有技术中存在的基于IPSec进行接口安全保护成本较高、灵活性差的问题。其中，方法和装置是基于同一发明构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

本申请实施例提供的接口安全性保护方法及装置可以应用于非SBA接口中，例如N3、N4、N9接口等，也可以应用于SBA接口中。

以非SBA接口为例，基于N3接口进行通信的接入网设备和UPF可以包括用于实现接口安全保护的第一协议层，其中，第一协议层可以用于对数据进行加解密处理、完整性保护等。可选的，第一协议层可以为用户数据报协议(user datagram protocol，UDP)的上层协议层，接入网设备与UPF实体进行通信时可以将数据经过第一协议层进行加解密处理和完整性保护，从而可以不再需要依赖专门的物理或者网络层安全协议(例如IPSec)来保证N3接口的通信安全。示例性的，第一协议层可以称为数据包传输层安全性协议(datagramtransport layer security，DTLS)层，应理解，这里仅是一种示例性命名，并不对第一协议层的命名进行具体限定。

基于N4接口进行通信的SMF和UPF也可以包括上述第一协议层。可选的，第一协议层可以为UDP的上层协议层，SMF实体和UPF实体进行通信时可以将数据经过第一协议层进行加解密处理和完整性保护，从而可以不再需要依赖专门的物理或者网络层安全协议(例如IPSec)来保证N4接口的通信安全。

基于N9接口进行通信的UPF也可以包括上述第一协议层。可选的，第一协议层可以为UDP的上层协议层，两个UPF实体进行通信时可以将数据经过第一协议层进行加解密处理和完整性保护，从而可以不再需要依赖专门的物理或者网络层安全协议(例如IPSec)来保证N9接口的通信安全。

示例性的，图6示出一种基于非SBA接口的应用场景。

下面结合附图对本申请提供的接口安全性保护方法进行具体说明。

参见图7，为本申请提供的一种接口安全性保护方法的流程图。本申请实施例中的各个实体(例如第一实体、第二实体、NRF实体等)可以为网元、或者网元中的芯片、或者网元上的芯片组等等。在本申请实施例中，消息、信息等元素的名称仅是一种示例性说明，并不对消息、信息等元素的命名进行限制。该方法包括：

S701，第一实体向NRF实体发送第一消息，第一消息携带会话参数。相应的，NRF实体接收来自第一实体的第一消息。

其中，第一消息可以用于发现第二实体。示例性的，第一实体可以为SMF实体，第二实体为UPF实体，即SMF实体可以通过第一消息发现UPF实体。示例性的，第一消息可以为Discover UPF实例请求。

或者，第一实体可以为UPF实体，第二实体为SMF实体，即UPF实体可以通过第一消息发现SMF实体。

或者，第一实体和第二实体也可以均为UPF实体，即UPF实体可以通过第一消息发现其他的UPF实体。

或者，第一实体为SCP实体，第二实体为UPF实体。例如，在间接通信(indirectcommunication)服务架构下，SCP可以通过本申请实施例提供的方法选择UPF实体。

示例性的，会话参数可以但不限于包括如下参数中的至少一种：网络切片参数、DN参数、会话服务连续性(session service continuity，SSC)参数。其中，网络切片参数可以为网络切片类型或者网络切片名称。DN参数可以为数据网络名称(data network name，DNN)、或者DN类型或者接入点名称。SSC参数可以为SSC模式。

S702，NRF实体向第一实体发送第二消息，其中，第二消息携带满足会话参数的M个第二实体分别对应的配置信息，其中，M个第二实体中的m个第二实体支持接口安全保护，M为正整数，m为不大于M的正整数。相应的，第一实体接收NRF实体发送的第二消息。

示例性的，该m个第二实体分别对应的配置信息中可以包括指示支持接口安全保护的指示信息。可选的，m个第二实体以外的其他第二实体的配置信息也可以包括不支持接口安全保护的指示信息。

在一种可能的实施方式中，若第二实体均支持接口安全保护，第二实体的配置信息中可以不包括指示是否支持安全保护的指示信息。可选的，第二实体的配置信息中可以包括支持接口安全保护的网络切片的安全保护参数。

一个示例中，第一实体发送的第一消息中还可以包括用于指示接口安全保护能力的第一参数。NRF实体发送的第二消息可以携带满足会话参数且支持该接口安全保护能力的第二实体的配置信息，即m等于M，该M个第二实体均支持接口安全保护。

一种示例性说明中，若第二实体包括第一协议层，可以理解为第二实体支持接口安全保护，若第二实体不包括第一协议层，可以理解为第二实体不支持接口安全保护。

在一些实施例中，指示是否支持接口安全保护的指示信息可以以整个NF粒度进行指示的。

例如，如表1所示。SMF#1、UPF#3和UPF#4支持接口安全保护能力，而SMF#2、UPF#1和UPF#2则不支持接口安全保护能力。

表1

MEC应用场景时，由于资源受限等原因，UPF同时支持多个切片，每个切片在安全上同样存在隔离和差异性需求，或者，UPF同时支持多个DNN，每个DNN在安全上同样存在隔离和差异性需求，等等。例如，如图8所示，网络切片1和网络切片2可以采用不同的密钥和加解密方法。

为了支持5G切片安全的隔离型和差异性，m个第二实体分别对应的配置信息中还包括配置信息对应的第二实体的一个或多个网络切片中支持接口安全保护的网络切片。

进一步的，m个第二实体的配置信息中还包括支持接口安全保护的网络切片的安全保护参数。安全保护参数可以包括密钥、密钥集合等。从而，第一实体与第二实体进行通信时可以基于目标第二实体的网络切片的安全保护参数进行通信，从而可以保证N4的通信安全。可选的，不同网络切片可以配置不同的安全保护参数。

例如，如表2所示。SMF#1、UPF#3和UPF#4支持接口安全保护能力。其中，SMF#1支持sNssai#6和sNssai#7两种切片，其中，sNssai#6支持接口安全保护能力，而sNssai#7则不支持接口安全保护能力，且sNssai#6的安全保护参数为paraVal#1。UPF#3支持sNssai#1和sNssai#2两种切片，其中，sNssai#1支持接口安全保护能力，而sNssai#2则不支持接口安全保护能力，且sNssai#1的安全保护参数为paraVal#2。UPF#4支持sNssai#3、sNssai#4和sNssai#5三种切片，其中，sNssai#3、sNssai#4和sNssai#5均支持接口安全保护能力，sNssai#3的安全保护参数为paraVal#3，sNssai#4的安全保护参数为paraVal#4，sNssai#5的安全保护参数为paraVal#5。而SMF#2、UPF#1和UPF#2则不支持接口安全保护能力。

表2

一种实现方式中，第一实体、第二实体可以在步骤S701之前，向NRF实体发送NF配置信息(NF Profile)，其中，该NF Profile可以包括接口安全保护信息，例如，指示是否支持安全保护的指示信息、支持接口安全保护的网络切片、支持接口安全保护的网络切片的安全保护参数等。例如，如图9所示，SMF#1、UPF#3、UPF#4、SMF#2、UPF#1和UPF#2分别向NRF发送NF Profile。

举例说明，以表1和表2为例，SMF#1、UPF#4、SMF#2、UPF#1向NRF实体进行注册的过程可以如图10所示。需要说明的是，各个实体向NRF实体进行注册的过程是相互独立的，没有先后之分。

S703，第一实体在确定需要进行接口安全保护时，在m个第二实体选择目标第二实体。

一个示例中，第一实体可以针对N4接口在m个第二实体选择至少一个第二实体作为目标第二实体。上述方式中，通过选择支持接口安全保护的第二实体，可以保证N4接口的通信安全。

另一个示例中，第一实体可以针对N9接口在m个第二实体选择至少一个第二实体作为目标第二实体。上述方式中，通过选择支持接口安全保护的第二实体，可以保证N9接口的通信安全。

再一个示例中，第一实体可以针对N3接口在m个第二实体选择至少一个第二实体作为目标第二实体。上述方式中，通过选择支持接口安全保护的第二实体，可以保证N3接口的通信安全。

一种可能的实施方式中，第一实体在选择目标第二实体时可以针对不同的接口选择不同的第二实体作为目标第二实体。

在一些实施例中，若m个第二实体分别对应的配置信息中还包括配置信息对应的第二实体的一个或多个网络切片中支持接口安全保护的网络切片，第一实体在m个第二实体中选择目标第二实体时，可以根据m个第二实体对应的配置信息确定X个第二实体，X个第二实体中的每个第二实体至少有一个网络切片支持接口安全保护，X为不大于m的正整数，然后可以从X个第二实体中选择至少一个第二实体作为目标第二实体。通过上述方式，第一实体可以优先选择有支持接口安全保护的网络切片的第二实体作为目标第二实体。

一种实现方式中，第一实体可以基于如下属性中至少一项确定需要进行接口安全保护：第二实体的地理位置、网络中网络切片的属性、多接入边缘计算场景。

为了提高用户面的传输效率和减少时延，第一实体在进行第二实体选择和重选时，需要重点考虑第二实体的部署场景，例如第二实体集中部署、分布式部署以及靠近接入网(例如MEC)等。而网元的部署位置和安全环境息息相关，例如，MEC场景下，第二实体在边缘容易受攻击，可以启用接口安全保护。随着用户的不断移动和第二实体重选，业务所处的安全环境还在不断地变化，第一实体要根据安全环境的变化和第二实体具备的能力来选择合适的第二实体。如图11所示。

以第二实体的地理位置以及网络中网络切片的属性为例，两个实体之间是否需要进行接口安全保护可以如表3所示。

表3

Locality	Locality	Slice	TransportProtect
				Loc#1	Loc#1	Default	No
Loc#1	Loc#3	sNssai#1	Yes
				Loc#1	Loc#3	sNssai#2	No
Loc#1	Loc#4	All	Yes

根据表3所示，当用户发起sNssai#1切片业务时，Loc#1和Loc#3的网元之间要启用接口安全保护。

以MEC应用场景为例，两个实体之间是否需要进行接口安全保护可以如表4所示。

表4

其中，DNAI为当应用程序被访问时用户层接入DN的连接的标识。

根据表4所示，Loc#3位置的dnai#1启用接口安全保护，Loc#4位置的所有dnai都启用接口安全保护。

为了更好的理解本申请实施例提供的方法，下面以第一实体为SMF实体，第二实体为UPF实体为例对第一实体选择第二实体的过程进行说明。

示例一：如图12所示，SMF实体选择UPF实体的过程可以包括：

S1201，SMF实体向NRF实体发送第一消息，第一消息用于发现UPF实体。

示例性的，第一消息可以为Discover UPF实例请求，第一消息可以携带DNN和S-NSSAI等会话参数。

S1202，NRF实体根据各个UPF实体各自注册的NF Profile，确定满足会话参数的UPF实体。

其中，各个UPF实体向NRF进行注册的过程可以参阅图11所示，这里不再重复赘述。

S1203，NRF实体向SMF实体发送第二消息，第二消息携带满足会话参数的UPF实体的信息。

例如，第二消息可以携带满足会话参数的UPF实体的NF Profile。

示例性的，NRF实体可以确定UPF#1、UPF#2和UPF#3满足会话参数，其中，UPF#2和UPF#3支持接口安全保护，UPF#1不支持接口安全保护。

可选的，UPF#2注册的NF Profile可以包括指示UPF#2支持接口安全保护的指示信息。UPF#3注册的NF Profile可以包括指示UPF#3支持接口安全保护的指示信息。

UPF#1注册的NF Profile也可以包括指示UPF#1不支持接口安全保护的指示信息。

S1204，SMF实体在确定需要进行接口安全保护时，在NRF反馈的UPF实体中选择支持接口安全保护的全部或部分UPF实体作为目标UPF实体。

示例二：如图13所示，SMF实体选择UPF实体的过程可以包括：

S1301，SMF实体向NRF实体发送第一消息，第一消息用于发现UPF实体。

示例性的，第一消息可以为Discover UPF实例请求，第一消息可以携带DNN和S-NSSAI等会话参数，且第一消息携带用于指示接口安全保护能力的参数。

S1302，NRF根据各个UPF实体各自注册的NF Profile，确定满足会话参数且支持该接口安全保护能力的UPF实体。

S1303，NRF实体向SMF实体发送第二消息，第二消息携带满足会话参数且支持接口安全保护的UPF实体的信息。

例如，第二消息可以携带满足会话参数且支持接口安全保护的UPF实体的NFProfile。

示例性的，NRF实体可以确定UPF#2和UPF#3满足会话参数且支持接口安全保护。

S1304，SMF实体在确定需要进行接口安全保护时，在NRF反馈的UPF实体中选择全部或部分UPF实体作为目标UPF实体。

一种可能的实施方式中，第一实体在确定目标第二实体后可以指示目标第二实体中的第三实体启动接口安全保护，例如，第一实体可以向第三实体发送第七消息，第七消息指示第三实体增加第一协议层对应的头部。

相应的，第三实体在接收到第七消息后，可以对下行数据执行安全和完整性保护。例如，第三实体可以将下行数据经过第一协议层处理。

其中，第三实体可以是目标第二实体中的任一第二实体。应理解，第一实体还可以向目标第二实体中的其他第二实体发送第三消息，这里仅以第三实体为例进行说明。

示例性的，第七消息可以携带外部头创建(Outer Header Creation)信元，OuterHeader Creation信元用于指示第三实体增加第一协议层对应的头部。

一种实现方式中，以第二协议层为PFCP为例，可以对PFCP的Outer HeaderCreation信元进行扩展，例如，可以在Outer Header Creation Description中包括指示创建第一协议层对应的头部的状态值，例如GTP-U/DTLS/UDP/IPv4、GTP-U/DTLS/UDP/IPv6，通过使用该状态值可以指示第三实体创建第一协议层对应的头部。

示例性的，第七消息可以为N4会话建立请求(N4 Session EstablishmentRequest)消息，该N4 Session Establishment Request消息携带Outer Header Creation信元，该信元可以为GTP-U/DTLS/UDP/IPv4或者GTP-U/DTLS/UDP/IPv6。

此外，第一实体还可以指示第三实体停止接口安全保护，例如，第一实体可以向第三实体发送第八消息，第八消息指示第三实体删除第一协议层对应的头部。

相应的，第三实体在接收到第八消息后，在接收上行数据包后，删除上行数据包包括的第一协议层对应的包头。

示例性的，第八消息携带外部头删除(Outer Header Removal)信元，OuterHeader Removal信元用于指示第三实体删除第一协议层对应的头部。

一种实现方式中，以第二协议层为PFCP为例，可以对PFCP的Outer HeaderRemoval信元进行扩展，例如，可以在Outer Header Removal Description中包括指示删除第一协议层对应的头部的状态值，例如GTP-U/DTLS/UDP/IPv4、GTP-U/DTLS/UDP/IPv6，通过使用该状态值可以指示第三实体创建第一协议层对应的头部。

示例性的，第八消息可以为N4会话建立请求(N4 Session EstablishmentRequest)消息，该N4 Session Establishment Request消息携带Outer Header Removal信元，该信元可以为GTP-U/DTLS/UDP/IPv4或者GTP-U/DTLS/UDP/IPv6。

一种可能的实施方式中，第一实体还可以指示接入网设备启动接口安全保护，例如，第一实体向接入网设备发送第二信息，第二信息指示启用接口安全保护。

一种实现方式中，第一实体可以通过AMF实体向接入网设备发送第二信息。

相应的，接入网设备在接收到第二信息后，将上行数据进行加密处理后发送给第三实体，和/或，对下行数据进行解密处理，将解密处理后的下行数据发送给终端设备。例如，接入网设备可以将上行数据和/或下行数据经过第一协议层处理。

示例性的，第二信息携带安全指示(Security Indication)信元，SecurityIndication用于指示启用接口安全保护。

一种实现方式中，可以对Security Indication信元进行扩展，例如，可以在Security Indication中包括指示启用接口安全保护的字段，例如NG-U UPConfidentiality Protection Indication字段，通过使用该字段可以指示接入网设备启用接口安全保护。

可选的，第二信息还可以携带第三信息，第三信息用于确定安全保护参数。接入网设备可以根据第三信息确定安全保护参数。

示例性的，第三信息可以但不限于包括需要进行接口安全保护的服务质量流标识(QoS flow identifier，QFI)、QFI对应的证书、需要进行接口安全保护的网络切片以及网络切片对应的证书等信息。接入网设备根据第三信息确定安全保护参数时，可以根据第三信息对QFI对应Qos Flow进行加解密。其中，不同QFI或者网络切片可使用不同的证书进行加解密，通过上述方式可以满足切片隔离的要求以及安全差异化需求。

示例性的，第二信息可以为N2 SM信息(N2 SM information)，该N2 SMinformation携带Security Indication信元，该信元包括NG-U UP ConfidentialityProtection Indication字段。

为了更好的理解本申请提供的方案，下面以第一实体为SMF，第二实体为UPF为例，结合会话建立过程对第一实体指示第二实体、接入网设备启动/停止接口安全保护的过程进行描述。如图14所示，会话建立过程包括：

S1401，UE通过接入网设备向AMF实体发送会话建立请求消息。

示例性的，会话建立请求消息可以为PDU Session Establishment Request消息。

S1402，AMF实体向SMF实体发送会话的上下文建立消息。

示例性的，会话的上下文建立消息可以为Nsmf_PDUSession_CreateSMContext消息。

S1403，SMF实体向AMF实体发送会话的上下文建立消息的响应消息。

S1404，SMF实体发现UPF实体。

S1405，SMF实体向UPF实体发送会话建立请求消息，其中，会话建立请求消息携带Outer Header Creation/Removal信元。

示例性的，会话建立请求消息可以为N4 Session Establishment Request消息。

S1406，UPF实体向SMF实体发送会话建立响应消息。

示例性的，会话建立响应消息可以为N4 Session Establishment Response消息。

S1407，SMF实体向AMF实体发送第二信息，其中，第二信息包括指示启用接口安全保护的字段。

S1408，AMF实体向接入网设备发送会话请求消息，其中，会话请求消息携带第二信息。

示例性的，会话请求消息可以为N2 PDU Session Request消息。

S1409，接入网设备向UE发送接入网特殊信号(AN specific signalling)。

S1410，接入网设备向AMF实体发送会话响应消息。

示例性的，会话响应消息可以为N2 PDU Session Response消息。

S1411，AMF实体向SMF实体发送会话的上下文更新请求消息。

示例性的，会话的上下文更新请求消息可以为Nsmf_PDUSession_UpdateSMContext Request消息。

S1412，SMF实体向UPF实体发送会话建立请求消息，其中，会话建立请求消息携带Outer Header Creation/Removal信元。

S1413，UPF实体向SMF实体发送会话建立响应消息。

可选的，第一实体在选择目标第二实体后，可以与目标第二实体中的第三实体进行通信。

在一些实施例中，第一实体与第三实体进行通信，包括：第一实体与目标第二实体中的第三实体进行第一协议层握手，第一协议层用于实现接口安全保护，例如，第一协议层可以实现对数据进行加解密处理、完整性保护等功能。第一实体与第三实体建立第二协议层连接，第二协议层用于实现数据包转发控制，例如，第二协议层可以为数据包转发(packet forwarding control protocol，PFCP)层。

例如，以第一实体为SMF实体，第三实体为UPF实体为例对第一实体与第三实体进行通信的过程进行说明。如图15所示，SMF实体与目标UPF实体进行通信的过程可以包括：

S1501，SMF实体与目标UPF实体进行第一协议层握手。

S1502，SMF实体向目标UPF实体发送用于请求建立第二协议层连接的消息1，例如，PFCP连接请求(PFCP association Request)消息。

S1503，目标UPF实体向SMF实体发送消息1的响应消息，例如，PFCP连接响应(PFCPassociation Response)消息。

S1504，SMF实体向目标UPF实体发送用于请求建立第二协议层会话的消息2，例如，PFCP会话建立请求(PFCP Session Establishment Request)消息。

S1505，目标UPF实体向SMF实体发送消息2的响应消息，例如，PFCP会话建立响应(PFCP Session Establishment Response)消息。

在另一些实施例中，第一实体与第三实体进行通信，包括：第一实体向第三实体发送第三消息，第三消息用于请求建立第二协议层连接。若第二协议层连接需要安全保护，第三实体在确定第三消息不是基于接口安全保护进行发送时，向第一实体发送第三消息对应的拒绝消息。第一实体与第三实体进行第一协议层握手。第一实体向第三实体发送第四消息，第四消息用于请求建立第二协议层连接。第三实体向第一实体发送第四消息对应的响应消息。

可选的，第三消息对应的拒绝消息中可以携带拒绝原因，该拒绝原因取值为用于指示第三消息未进行接口安全保护的原因值，例如，该拒绝原因可以为“Unauthorized，Request must send to第一协议层”。

一种实现方式中，第三实体可以通过第三消息是否包括第一协议层对应的头部来确定第三消息不是基于接口安全保护进行发送，若第三消息包括第一协议层对应的头部，则第三消息是基于接口安全保护进行发送的，反之，则不是基于接口安全保护进行发送的。

例如，以第一实体为SMF实体，第三实体为UPF实体为例对第一实体与第三实体进行通信的过程进行说明。如图16所示，SMF实体与目标UPF实体进行通信的过程可以包括：

S1601，SMF实体向目标UPF实体发送第三消息。

例如，第二协议层可以为PFCP层，第三消息可以为PFCP association SetupRequest消息。

S1602，目标UPF实体在第二协议层连接需要安全保护，且第三消息不是基于接口安全保护进行发送时，向SMF实体发送第三消息的拒绝消息。

S1603，SMF实体与目标UPF实体进行第一协议层握手。

S1604，SMF实体向目标UPF实体发送第四消息，第四消息用于请求建立第二协议层连接。

其中，第四消息可以包括第一协议层对应的头部。

示例性的，第四消息可以为PFCP association Setup Request消息。

S1605，目标UPF实体向SMF实体发送第四消息对应的响应消息。

在又一些实施例中，第一实体与第三实体进行通信，包括：第一实体与目标第二实体中的第三实体建立第二协议层连接；第一实体向第三实体发送第五消息，第五消息用于请求建立第二协议层会话。若第二协议层会话需要安全保护，第三实体在确定第五消息不是基于接口安全保护进行发送时向第一实体发送第五消息对应的拒绝消息。第一实体与第三实体进行第一协议层握手。第一实体向第三实体发送第六消息，第六消息用于请求建立第二协议层会话。第三实体向第一实体发送第六消息对应的响应消息。

可选的，第五消息对应的拒绝消息中可以携带拒绝原因，该拒绝原因取值为用于指示第五消息未进行接口安全保护的原因值，例如，该拒绝原因可以为“Unauthorized，Request must send to第一协议层”。

一种实现方式中，第三实体可以通过第五消息是否包括第一协议层对应的头部来确定第五消息不是基于接口安全保护进行发送，若第五消息包括第一协议层对应的头部，则第五消息是基于接口安全保护进行发送的，反之，则不是基于接口安全保护进行发送的。

例如，以第一实体为SMF实体，第三实体为UPF实体为例对第一实体与第三实体进行通信的过程进行说明。如图17所示，SMF实体与目标UPF实体进行通信的过程可以包括：

S1701，SMF实体与目标UPF实体建立第二协议层连接。

S1702，SMF实体向目标UPF实体发送第五消息。

例如，第二协议层可以为PFCP层，第五消息可以为PFCP Session EstablishmentRequest消息。

S1703，目标UPF实体在第二协议层会话需要安全保护，且第五消息不是基于接口安全保护进行发送时，向SMF实体发送第五消息的拒绝消息。

S1704，SMF实体与目标UPF实体进行第一协议层握手。

S1705，SMF实体向目标UPF实体发送第六消息，第六消息用于请求建立第二协议层会话。

其中，第六消息可以包括第一协议层对应的头部。

示例性的，第六消息可以为PFCP Session Establishment Request消息。

S1706，目标UPF实体向SMF实体发送第六消息对应的响应消息。

基于与方法实施例的同一发明构思，本申请实施例提供一种接口安全性保护装置。该接口安全性保护装置的结构可以如图18所示，包括处理单元1801以及收发单元1802。

一种实现方式中，接口安全性保护装置具体可以用于实现图7至图19的实施例中第一实体执行的方法，该装置可以是第一实体本身，也可以是第一实体中的芯片或芯片组或芯片中用于执行相关方法功能的一部分。其中，收发单元1802，用于向网络存储功能实体发送第一消息，第一消息携带会话参数；以及，接收网络存储功能实体发送的第二消息，第二消息携带满足会话参数的M个第二实体分别对应的配置信息，其中，M个第二实体中的m个第二实体支持接口安全保护，M为正整数，m为不大于M的正整数；处理单元1801，用于在确定需要进行接口安全保护时，在m个第二实体中选择目标第二实体。

示例性的，第一消息进一步包括：用于指示接口安全保护能力的第一参数；m等于M。

可选的，m个第二实体分别对应的配置信息中还包括配置信息对应的第二实体的一个或多个网络切片中支持接口安全保护的网络切片。

处理单元1801，在m个第二实体中选择目标第二实体时，可以具体用于：根据m个第二实体对应的配置信息确定X个第二实体，X个第二实体中的每个第二实体至少有一个网络切片支持接口安全保护，X为不大于m的正整数；从X个第二实体中选择至少一个第二实体作为目标第二实体。

示例性的，m个第二实体的配置信息中还包括支持接口安全保护的网络切片的安全保护参数。

一个示例中，处理单元1801，还用于：在m个第二实体中选择目标第二实体之后，通过收发单元1802与目标第二实体中的第三实体进行第一协议层握手，第一协议层用于实现接口安全保护；通过收发单元1802与第三实体建立第二协议层连接，第二协议层用于实现数据包转发控制。

另一个示例中，处理单元1801，还用于：在第一实体在m个第二实体中选择目标第二实体之后，通过收发单元1802向目标第二实体中的第三实体发送第三消息，第三消息用于请求建立第二协议层连接，第二协议层用于实现数据包转发控制；通过收发单元1802从第三实体接收第三消息对应的拒绝消息；通过收发单元1802与第三实体进行第一协议层握手，第一协议层用于实现接口安全保护；通过收发单元1802向第三实体发送第四消息，第四消息用于请求建立第二协议层连接；通过收发单元1802从目标第二实体接收第四消息对应的响应消息。

又一个示例中，处理单元1801，还用于：在第一实体在m个第二实体中选择目标第二实体之后，通过收发单元1802与目标第二实体中的第三实体建立第二协议层连接，第二协议层用于实现数据包转发控制；通过收发单元1802向第三实体发送第五消息，第五消息用于请求建立第二协议层会话；通过收发单元1802从第三实体接收第五消息对应的拒绝消息；通过收发单元1802与第三实体进行第一协议层握手，第一协议层用于实现接口安全保护；通过收发单元1802向第三实体发送第六消息，第六消息用于请求建立第二协议层会话；通过收发单元1802从第三实体接收第六消息对应的响应消息。

可选的，处理单元1801，在确定需要进行接口安全保护时，可以具体用于：基于如下属性中至少一项确定需要进行接口安全保护：第二实体的地理位置、网络中网络切片的属性、多接入边缘计算场景。

收发单元1802，还可以用于：在处理单元1801在m个第二实体中选择目标第二实体之后，向目标第二实体中的第三实体发送第七消息，第七消息指示第三实体增加第一协议层对应的头部，第一协议层用于实现接口安全保护。

示例性的，第七消息携带Outer Header Creation信元，Outer Header Creation信元用于指示第三实体增加第一协议层对应的头部。

收发单元1802，还可以用于：在向目标第二实体中的第三实体发送第七消息之后，向第三实体发送第八消息，第八消息指示第三实体删除第一协议层对应的头部。

示例性的，第八消息携带Outer Header Removal信元，Outer Header Removal信元用于指示第三实体删除第一协议层对应的头部。

收发单元1802，还可以用于：在处理单元1801在m个第二实体中选择目标第二实体之后，向接入网设备发送第二信息，第二信息指示启用接口安全保护。

示例性的，第二信息携带安全指示Security Indication信元，SecurityIndication用于指示启用接口安全保护。

可选的，第二信息还携带第三信息，第三信息用于确定安全保护参数。

另一种实现方式中，接口安全性保护装置具体可以用于实现图7至图19的实施例中网络存储功能实体执行的方法，该装置可以是网络存储功能实体本身，也可以是网络存储功能实体中的芯片或芯片组或芯片中用于执行相关方法功能的一部分。其中，收发单元1802，用于接收第一实体发送的第一消息，第一消息携带会话参数；处理单元1801，用于基于会话参数选择M个第二实体，M为正整数；收发单元1802，还用于向第一实体发送第二消息，第二消息携带满足会话参数的M个第二实体分别对应的配置信息，其中，M个第二实体中的m个第二实体支持接口安全保护，M为正整数，m为不大于M的正整数。

示例性的，第一消息进一步包括：用于指示接口安全保护能力的第一参数；处理单元1801，在基于会话参数选择M个第二实体时，具体用于：确定满足会话参数且支持该接口安全保护能力的M个第二实体，m等于M。

可选的，m个第二实体的配置信息中还包括支持接口安全保护的网络切片的安全保护参数。

又一种实现方式中，接口安全性保护装置具体可以用于实现图7至图19的实施例中第三实体执行的方法，该装置可以是第三实体本身，也可以是第三实体中的芯片或芯片组或芯片中用于执行相关方法功能的一部分。其中，收发单元1802，用于与第一实体进行通信；处理单元1801，用于：通过收发单元1802接收第一实体发送的第三消息，第三消息用于请求建立第二协议层连接，第二协议层用于实现数据包转发控制；若第二协议层连接需要安全保护，在确定第三消息不是基于接口安全保护进行发送时通过收发单元1802向第一实体发送第三消息对应的拒绝消息；通过收发单元1802与第一实体进行第一协议层握手，第一协议层用于实现接口安全保护；通过收发单元1802接收第一实体发送的第四消息，第四消息用于请求建立第二协议层连接；通过收发单元1802向第一实体发送第四消息对应的响应消息。

可选的，处理单元1801，在确定第三消息不是基于接口安全保护进行发送时，具体用于：确定第三消息未包括第一协议层对应的头部。

示例性的，收发单元1802，还用于：向网络存储功能实体发送第九消息，第九消息携带第三实体的配置信息，配置信息中包括用于指示第三实体是否支持接口安全保护的第一信息。

可选的，若配置信息中包括的第一信息指示第三实体支持接口安全保护，第一信息还用于指示第三实体的一个或多个网络切片中支持接口安全保护的网络切片。

示例性的，第一信息还包括支持接口安全保护的网络切片的安全保护参数。

处理单元1801，还可以用于：通过收发单元1802接收第一实体发送的第七消息，第七消息指示第三实体增加第一协议层对应的头部，第一协议层用于实现接口安全保护；对下行数据执行安全和完整性保护。

可选的，处理单元1801，在对下行数据执行安全和完整性保护时，具体用于：将下行数据经过第一协议层处理。

处理单元1801，还用于：在通过收发单元1802接收第一实体发送的第七消息之后，通过收发单元1802接收第一实体发送的第八消息，第八消息指示第三实体删除第一协议层对应的头部；通过收发单元1802接收上行数据包，上行数据包包括第一协议层对应的包头；删除上行数据包包括的第一协议层对应的包头。

再一种实现方式中，接口安全性保护装置具体可以用于实现图7至图19的实施例中第三实体执行的方法，该装置可以是第三实体本身，也可以是第三实体中的芯片或芯片组或芯片中用于执行相关方法功能的一部分。其中，收发单元1802，用于与第一实体进行通信；处理单元1801，用于：通过收发单元1802与第一实体建立第二协议层连接，第二协议层用于实现数据包转发控制；通过收发单元1802接收第一实体发送的第五消息，第五消息用于请求建立第二协议层会话；若第二协议层会话需要安全保护，在确定第五消息不是基于接口安全保护进行发送时通过收发单元1802向第一实体发送第五消息对应的拒绝消息；通过收发单元1802与第一实体进行第一协议层握手，第一协议层用于实现接口安全保护；通过收发单元1802接收第一实体发送的第六消息，第六消息用于请求建立第二协议层会话；通过收发单元1802向第一实体发送第六消息对应的响应消息。

可选的，处理单元1801，在确定第五消息不是基于接口安全保护进行发送时，具体用于：确定第五消息未包括第一协议层对应的头部。

再一种实现方式中，接口安全性保护装置具体可以用于实现图7至图19的实施例中接入网设备执行的方法，该装置可以是接入网设备本身，也可以是接入网设备中的芯片或芯片组或芯片中用于执行相关方法功能的一部分。其中，收发单元1802，用于接收第一实体发送的第二信息，第二信息指示启用接口安全保护；处理单元1801，用于将上行数据进行加密处理，和/或，对下行数据进行解密处理；收发单元1802，还用于将经过加密处理后的上行数据发送给第二实体，和/或，将解密处理后的下行数据发送给终端设备。

示例性的，第二信息携带Security Indication信元，Security Indication用于指示启用接口安全保护。

处理单元1801，还可以用于：根据第三信息确定安全保护参数。

可选的，处理单元1801，在将上行数据进行加密处理，和/或对下行数据进行解密处理时，具体用于：将上行数据和/或下行数据经过第一协议层处理，第一协议层用于实现接口安全保护。

本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。可以理解的是，本申请实施例中各个模块的功能或者实现可以进一步参考方法实施例的相关描述。

一种可能的方式中，接口安全性保护装置可以如图19所示，该装置可以是通信设备或者通信设备中的芯片。该装置可以包括处理器1901，通信接口1902，存储器1903。其中，处理单元1801可以为处理器1901。收发单元1802可以为通信接口1902。

处理器1901，可以是一个中央处理单元(central processing unit，CPU)，或者为数字处理单元等等。通信接口1902可以是收发器、也可以为接口电路如收发电路等、也可以为收发芯片等等。该装置还包括：存储器1903，用于存储处理器1901执行的程序。存储器1903可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-statedrive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)。存储器1903是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

处理器1901用于执行存储器1903存储的程序代码，具体用于执行上述处理单元1801的动作，本申请在此不再赘述。通信接口1902具体用于执行上述收发单元1802的动作，本申请在此不再赘述。

本申请实施例中不限定上述通信接口1902、处理器1901以及存储器1903之间的具体连接介质。本申请实施例在图19中以存储器1903、处理器1901以及通信接口1902之间通过总线1904连接，总线在图19中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图19中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本申请实施例还提供了一种计算机可读存储介质，用于存储为执行上述处理器所需执行的计算机软件指令，其包含用于执行上述处理器所需执行的程序。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种接口安全性保护方法，其特征在于，包括：

第一实体向网络存储功能实体发送第一消息，所述第一消息携带会话参数；

所述第一实体接收所述网络存储功能实体发送的第二消息，所述第二消息携带满足所述会话参数的M个第二实体分别对应的配置信息，其中，所述M个第二实体中的m个第二实体支持接口安全保护，所述M为正整数，所述m为不大于M的正整数；

所述第一实体在确定需要进行接口安全保护时，在所述m个第二实体中选择目标第二实体，所述目标第二实体的接口安全保护能力与第一实体的接口安全保护能力相同。

2.如权利要求1所述的方法，其特征在于，所述第一消息进一步包括：用于指示接口安全保护能力的第一参数；

所述m等于M。

3.如权利要求1所述的方法，其特征在于，所述m个第二实体分别对应的配置信息中还包括所述配置信息对应的第二实体的一个或多个网络切片中支持接口安全保护的网络切片；

所述第一实体在所述m个第二实体中选择目标第二实体，包括：

根据所述m个第二实体对应的配置信息确定X个第二实体，所述X个第二实体中的每个第二实体至少有一个网络切片支持接口安全保护，所述X为不大于m的正整数；

从所述X个第二实体中选择至少一个第二实体作为所述目标第二实体。

4.如权利要求3所述的方法，其特征在于，所述m个第二实体的配置信息中还包括所述支持接口安全保护的网络切片的安全保护参数。

5.如权利要求1所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：

所述第一实体与所述目标第二实体中的第三实体进行第一协议层握手，所述第一协议层用于实现接口安全保护；

所述第一实体与所述第三实体建立第二协议层连接，所述第二协议层用于实现数据包转发控制。

6.如权利要求1所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：

所述第一实体向所述目标第二实体中的第三实体发送第三消息，所述第三消息用于请求建立第二协议层连接，所述第二协议层用于实现数据包转发控制；

所述第一实体从所述第三实体接收所述第三消息对应的拒绝消息；

所述第一实体与所述第三实体进行第一协议层握手，所述第一协议层用于实现接口安全保护；

所述第一实体向所述第三实体发送第四消息，所述第四消息用于请求建立所述第二协议层连接；

所述第一实体从所述目标第二实体接收所述第四消息对应的响应消息。

7.如权利要求1所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：

所述第一实体与所述目标第二实体中的第三实体建立第二协议层连接，所述第二协议层用于实现数据包转发控制；

所述第一实体向所述第三实体发送第五消息，所述第五消息用于请求建立所述第二协议层会话；

所述第一实体从所述第三实体接收所述第五消息对应的拒绝消息；

所述第一实体向所述第三实体发送第六消息，所述第六消息用于请求建立所述第二协议层会话；

所述第一实体从所述第三实体接收所述第六消息对应的响应消息。

8.如权利要求1所述的方法，其特征在于，所述第一实体确定需要进行接口安全保护，包括：

所述第一实体基于如下属性中至少一项确定需要进行接口安全保护：所述第二实体的地理位置、网络中网络切片的属性、多接入边缘计算场景。

9.如权利要求1所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：

所述第一实体向所述目标第二实体中的第三实体发送第七消息，所述第七消息指示所述第三实体增加第一协议层对应的头部，所述第一协议层用于实现接口安全保护。

10.如权利要求9所述的方法，其特征在于，所述第七消息携带外部头创建OuterHeader Creation信元，所述Outer Header Creation信元用于指示所述第三实体增加第一协议层对应的头部。

11.如权利要求9所述的方法，其特征在于，在所述第一实体向所述目标第二实体中的第三实体发送第七消息之后，所述方法还包括：

所述第一实体向所述第三实体发送第八消息，所述第八消息指示所述第三实体删除所述第一协议层对应的头部。

12.如权利要求11所述的方法，其特征在于，所述第八消息携带外部头删除OuterHeader Removal信元，所述Outer Header Removal信元用于指示所述第三实体删除第一协议层对应的头部。

13.如权利要求1-12任一项所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：

所述第一实体向接入网设备发送第二信息，所述第二信息指示启用接口安全保护。

14.如权利要求13所述的方法，其特征在于，所述第二信息携带安全指示SecurityIndication信元，所述Security Indication用于指示启用接口安全保护。

15.如权利要求13所述的方法，其特征在于，所述第二信息还携带第三信息，所述第三信息用于确定安全保护参数。

16.一种接口安全性保护方法，其特征在于，包括：

网络存储功能实体接收第一实体发送的第一消息，所述第一消息携带会话参数；

所述网络存储功能实体基于所述会话参数选择满足所述会话参数的M个第二实体，所述M个第二实体中的m个第二实体支持接口安全保护，所述M为正整数，所述m为不大于M的正整数；

所述网络存储功能实体向所述第一实体发送第二消息，所述第二消息携带所述M个第二实体分别对应的配置信息，所述第二消息用于在所述第一实体确定需要进行接口安全保护时，在所述m个第二实体中选择目标第二实体，所述目标第二实体的接口安全保护能力与第一实体的接口安全保护能力相同。

17.如权利要求16所述的方法，其特征在于，所述第一消息进一步包括：用于指示接口安全保护能力的第一参数；

所述网络存储功能实体基于所述会话参数选择M个第二实体，包括：

所述网络存储功能实体确定满足所述会话参数且支持所述接口安全保护能力的M个第二实体，所述m等于M。

18.如权利要求16或17所述的方法，其特征在于，所述m个第二实体分别对应的配置信息中还包括所述配置信息对应的第二实体的一个或多个网络切片中支持接口安全保护的网络切片。

19.如权利要求18所述的方法，其特征在于，所述m个第二实体的配置信息中还包括所述支持接口安全保护的网络切片的安全保护参数。

20.一种接口安全性保护方法，其特征在于，包括：

第三实体接收第一实体发送的第三消息，所述第三消息用于请求建立第二协议层连接，所述第二协议层用于实现数据包转发控制；

若所述第二协议层连接需要安全保护，所述第三实体在确定所述第三消息不是基于接口安全保护进行发送时，向所述第一实体发送所述第三消息对应的拒绝消息；

所述第三实体与所述第一实体进行第一协议层握手，所述第一协议层用于实现接口安全保护；

所述第三实体接收所述第一实体发送的第四消息，所述第四消息用于请求建立所述第二协议层连接；

所述第三实体向所述第一实体发送所述第四消息对应的响应消息。

21.如权利要求20所述的方法，其特征在于，所述第三实体确定所述第三消息不是基于接口安全保护进行发送，包括：

所述第三实体确定所述第三消息未包括所述第一协议层对应的头部。

22.一种接口安全性保护方法，其特征在于，包括：

第三实体与第一实体建立第二协议层连接，所述第二协议层用于实现数据包转发控制；

所述第三实体接收所述第一实体发送的第五消息，所述第五消息用于请求建立所述第二协议层会话；

若所述第二协议层会话需要安全保护，所述第三实体在确定所述第五消息不是基于接口安全保护进行发送时，向所述第一实体发送所述第五消息对应的拒绝消息；

所述第三实体接收所述第一实体发送的第六消息，所述第六消息用于请求建立所述第二协议层会话；

所述第三实体向所述第一实体发送所述第六消息对应的响应消息。

23.如权利要求22所述的方法，其特征在于，所述第三实体确定所述第五消息不是基于接口安全保护进行发送，包括：

所述第三实体确定所述第五消息未包括所述第一协议层对应的头部。

24.如权利要求20-23任一项所述的方法，其特征在于，所述方法还包括：

所述第三实体向网络存储功能实体发送第九消息，所述第九消息携带所述第三实体的配置信息，所述配置信息中包括用于指示所述第三实体是否支持接口安全保护的第一信息。

25.如权利要求24所述的方法，其特征在于，若配置信息中包括的所述第一信息指示所述第三实体支持接口安全保护，所述第一信息还用于指示所述第三实体的一个或多个网络切片中支持接口安全保护的网络切片。

26.如权利要求25所述的方法，其特征在于，所述第一信息还包括所述支持接口安全保护的网络切片的安全保护参数。

27.如权利要求20-23任一项所述的方法，其特征在于，所述方法还包括：

所述第三实体接收所述第一实体发送的第七消息，所述第七消息指示所述第三实体增加第一协议层对应的头部，所述第一协议层用于实现接口安全保护；

所述第三实体对下行数据执行安全和完整性保护。

28.如权利要求27所述的方法，其特征在于，所述第七消息携带外部头创建OuterHeader Creation信元，所述Outer Header Creation信元用于指示所述第三实体增加第一协议层对应的头部。

29.如权利要求27所述的方法，其特征在于，所述第三实体对下行数据执行安全和完整性保护，包括：

所述第三实体将所述下行数据经过所述第一协议层处理。

30.如权利要求27所述的方法，其特征在于，在所述第三实体接收所述第一实体发送的第七消息之后，所述方法还包括：

所述第三实体接收所述第一实体发送的第八消息，所述第八消息指示所述第三实体删除所述第一协议层对应的头部；

所述第三实体接收上行数据包，所述上行数据包包括所述第一协议层对应的包头；

所述第三实体删除所述上行数据包包括的所述第一协议层对应的包头。

31.如权利要求30所述的方法，其特征在于，所述第八消息携带外部头删除OuterHeader Removal信元，所述Outer Header Removal信元用于指示所述第三实体删除第一协议层对应的头部。

32.一种接口安全性保护方法，其特征在于，包括：

接入网设备接收第一实体发送的第二信息，所述第二信息指示启用接口安全保护；

所述接入网设备将上行数据进行加密处理，和/或，对下行数据进行解密处理；

所述接入网设备将经过所述加密处理后的上行数据发送给第二实体，和/或，将解密处理后的下行数据发送给终端设备，所述第二实体的接口安全保护能力与第一实体的接口安全保护能力相同。

33.如权利要求32所述的方法，其特征在于，所述第二信息携带安全指示SecurityIndication信元，所述Security Indication用于指示启用接口安全保护。

34.如权利要求32所述的方法，其特征在于，所述第二信息还携带第三信息，所述第三信息用于确定安全保护参数；

所述方法还包括：

所述接入网设备根据所述第三信息确定安全保护参数。

35.如权利要求32-34任一项所述的方法，其特征在于，所述接入网设备将上行数据进行加密处理，和/或，对下行数据进行解密处理，包括：

所述接入网设备将所述上行数据和/或下行数据经过第一协议层处理，所述第一协议层用于实现接口安全保护。

36.一种接口安全性保护装置，其特征在于，所述装置包括用于实现如权利要求1-15任一项所述的方法的模块；或者，所述装置包括用于实现如权利要求16-19任一项所述的方法的模块；或者，所述装置包括用于实现如权利要求20-31任一项所述的方法的模块；或者，所述装置包括用于实现如权利要求32-35任一项所述的方法的模块。

37.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储程序或指令，所述程序或所述指令在被一个或多个处理器读取并执行时可实现权利要求1至35任一项所述的方法。