首页 > 专利信息

安全策略处理方法以及通信设备与流程

安全策略处理方法以及通信设备
1.本技术是分案申请，原申请的申请号是202110027552.1，原申请日是2021年01月10日，原申请的全部内容通过引用结合在本技术中。
技术领域
2.本技术实施例涉及通信领域，尤其涉及一种安全策略处理方法和通信设备。

背景技术：

3.用户面安全按需保护机制是第五代移动通信技术(5th generation mobile communication technology，5g)网络中的一种安全机制，该用户面安全按需保护包含用户面加密保护和用户面完整性保护。该用户面安全按需保护机制要求接入网设备根据从核心网设备接收到的用户面安全策略判断是否开启与终端设备之间的用户面加密保护和/或用户面完整性保护。用户面安全按需保护机制能够为终端设备提供更加灵活的用户面安全保护。
4.然而，现有的第四代移动通信技术(the 4th generation mobile communication technology，4g)网络并不支持用户面安全按需保护机制。在4g网络中，接入网设备与终端设备的用户面安全是固定的，即用户面安全固定为用户面加密保护开启，用户面完整性保护不开启。
5.在4g网络短期内不会退网的情况下，如何将前述用户面安全按需保护机制应用于4g网络中已经成为业界研究的热点。用户面安全按需保护机制对于网络中的接入网设备以及相关的核心网设备(如4g网络中的移动性管理实体(mobility management entity，mme)以及5g网络中的接入和移动性管理功能(access and mobility management function，amf)实体等)的参与。
6.而4g网络中可能存在未升级的接入网设备和未升级的核心网设备，前述未升级的接入网设备和未升级的核心网设备不支持用户面安全按需保护，因此，从而导致无法实现用户面安全按需保护的目的。
7.如何在同时存在升级和未升级的接入网设备/核心网设备的4g网络中，实现用户面安全按需保护的机制，是当前标准中亟需解决的问题。

技术实现要素：

8.本技术实施例提供了一种安全策略处理方法和通信设备，用于在存在不支持用户面安全按需保护的核心网网元的网络中，实现尽力而为的用户面安全按需开启机制。
9.第一方面，本技术实施例提供了一种安全策略处理方法，包括：目标接入网设备接收来自核心网设备#30-1的消息#50-2；其中，所述消息#50-2包含来自源接入网设备的容器信息；所述目标接入网设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态，所述用户面安全激活状态表征用户面加密保护是否开启和/或用户面完整性保护是否开启。
10.一种可能的实现方式中，所述容器信息包括用户面安全策略#40-1；所述目标接入网设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态，包括：
11.所述目标接入网设备根据所述用户面安全策略#40-1，确定自身与终端设备之间的用户面安全激活状态。其中，容器信息是源接入网设备生成并通过核心网设备#30-1发送给目标接入网设备的，核心网设备#30-1不解析该容器信息，而是透传给目标接入网设备，因此，无论核心网设备#30-1是否升级，都可以保证目标接入网设备可以获得能够使用的用户面安全策略，进而保证目标接入网设备和终端设备之间可以实现用户面安全按需开启。
12.一种可能的实现方式中，所述消息#50-2还包括用户面安全策略#40-2，且所述容器信息包括用户面安全策略#40-1；其中，用户面安全策略#40-2可以是核心网设备#30-1确定的所述终端设备对应的用户面安全策略(例如，可以是核心网设备#30-1自身保存的用户面安全策略，也可以是从其他核心网设备获取的用户面安全策略，例如终端设备的签约的用户面安全策略)。
13.所述目标接入网设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态，包括：所述目标接入网设备根据所述用户面安全策略#40-2，确定自身与终端设备之间的用户面安全激活状态。
14.当目标接入网设备接收到多个用户面安全策略是，目标接入网设备可以优先使用优先级/安全等级高的用户面安全策略。本技术实施例中，目标接入网设备根据来自核心网设备#30-1的所述用户面安全策略#40-2，确定自身与终端设备之间的用户面安全激活状态。可以有效的避免潜在的降质攻击。
15.此外，在一种可能的实现方式中，在所述目标接入网设备使用所述用户面安全策略#40-2，确定自身与所述终端设备之间的用户面安全激活状态之前，所述方法还包括：
16.所述目标接入网设备判断所述用户面安全策略#40-2和所述用户面安全策略#40-1是否一致；在所述用户面安全策略#40-2和所述用户面安全策略#40-1一致的情况下，所述目标接入网设备使用所述用户面安全策略#40-2，确定自身与所述终端设备之间的用户面安全激活状态。
17.在所述用户面安全策略#40-2和所述用户面安全策略#40-1不一致的情况下，所述目标接入网设备使用所述用户面安全策略#40-2，确定自身与所述终端设备之间的用户面安全激活状态。还可以进一步的，生成告警信息，所述告警信息用于表征所述源接入网设备处于不安全的环境。可选的，所述目标接入网设备向所述核心网设备#30-1发送所述告警信息。后续目标接入网设备或者核心网设备#30-1执行相关操作时可以参考该告警信息。例如，在切换流程中，尽量避免切换到所述源接入网设备。
18.在一种可能的实现方式中，在所述消息#50-2中没有携带用户面安全策略且所述容器信息中也没有携带用户面安全策略的情况下，所述目标接入网设备根据预配置的用户面安全策略#40-3，确定自身与终端设备之间的用户面安全激活状态。
19.一种可能的实现方式中，所述消息#50-2为切换请求消息；所述切换请求消息用于请求所述目标接入网设备为所述终端设备准备切换资源。
20.一种可能的实现方式中，所述消息#50-2还包括指示信息；在所述目标接入网设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态之前，所述方法还包括：所述目标接入网设备根据所述指示信息确定所述终端设备支持用户面安全按需保护。
21.如果所述终端设备不支持用户面安全按需保护，则目标接入网设备可以不用确定自身与终端设备之间的用户面安全激活状态。
22.第二方面，本技术实施例提供了一种安全策略处理方法，包括：源接入网设备获取终端设备的用户面安全策略#40-1；所述源接入网设备向核心网设备#30-1发送消息#50-1；所述消息#50-1包括容器信息，所述容器信息包括所述用户面安全策略#40-1。其中，所述核心网设备#30-1不解析所述容器信息中的内容。
23.一种可能的实现方式中，在所述源接入网设备获取终端设备的用户面安全策略#40-1之前，所述方法还包括：所述源接入网设备确定所述终端设备支持用户面安全按需保护。
24.在终端设备不支持用户面安全按需保护，而源接入网设备支持用户面安全按需保护的情况下，源接入网设备可能会从核心网侧获得终端设备的用户面安全策略，并存储在终端设备的as上下文里。如果终端设备不支持用户面安全按需保护，则源接入网设备可以不用获取as上下文中的用户面安全策略，这样可以避免在网络中传递无用的信息，节约信令。
25.一种可能的实现方式中，所述方法还包括：所述源接入网设备确定所述终端设备需要切换到所述目标接入网设备。
26.上述各方面中，在切换场景下，所述消息#50-2可以为切换请求消息；所述切换请求消息用于请求所述目标接入网设备为所述终端设备准备切换资源。所述消息#50-1包括切换需求消息，所述切换需求消息用于目标接入网设备为所述终端设备准备切换资源。
27.一种可能的实现方式所述消息#50-2还包括指示信息；在所述目标接入网设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态之前，所述方法还包括：所述目标接入网设备根据所述指示信息确定所述终端设备支持用户面安全按需保护。所述指示信息由所述终端设备的安全能力的部分比特位表征，所述终端设备的安全能力用于指示所述终端设备支持使用的至少一个安全算法。其中，所述终端设备的安全能力为ue演进分组系统安全能力。
28.第三方面，本技术实施例提供了一种通信设备，该通信装置具有实现上述本技术实施例中各个网元用于实现相应的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
29.第四方面，提供了一种装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该装置执行如上述第一方面和第二方面中任一所述的安全策略处理方法。该装置具体可以是第一方面中任一所述的安全策略处理方法中涉及的网元或者网元中的芯片。
30.第五方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面和第二方面中任意一项所述的安全策略处理方法。
31.第六方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面中任意一项所述的安全策略处理方法。
32.其中，第三方面至第六方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果，此处不再赘述。
control function，pcf)实体+策略和计费规则功能(policy and charging rules function，pcrf)实体、共用的归属签约用户服务器(home subscriber server，hss)+统一数据管理(unified data management，udm)实体。这里“+”表示合设，upf为5g网络的用户面功能，pgw-u是与upf对应的4g网络的网关用户面功能，smf是5g网络的会话管理功能，pgw-c是与smf对应的4g网络中的网关控制面功能，pcf是5g网络的策略控制功能、pcrf是与pcf对应的4g网络的策略计费规则功能。这里的“合设”可以表示同一个设备同时具备两个实体的功能。本技术实施例中，为方便表述，将hss+udm实体称之为用户数据管理实体，将pgw-c实体+smf实体称之为控制面功能实体，在此进行统一说明，以下不再赘述。当然，上述合设后的网络设备也可以用其他名称，本技术实施例对此不作具体限定。
54.此外，如图1b所示，上述4g网络和5g网络互通架构中还可以包括mme和服务网关，以及5g网络中的接入和移动性管理功能(access and mobility management function，amf)实体。
55.mme的功能同4g网络中的mme功能，这里不再赘述。
56.amf实体：用于用户的接入和移动性管理，主要包含用户的注册管理、可达性管理移动性管理、寻呼管理、接入认证和授权非接入层信令的加密和完整性保护等。
57.smf实体：用于用户的会话管理，主要包含用户的会话建立、修改和释放，ip地址分配，会话策略管理等。
58.其中，终端设备通过演进型通用陆地无线接入网(evolved universal terrestrial radio access network，e-utran)设备接入4g网络，终端通过下一代无线接入网(next generation radio access network，ng-ran)设备接入5g网络。e-utran设备通过s1-mme接口与mme通信，e-utran设备通过s1-u接口与sgw通信，mme通过s11接口与sgw通信，mme通过s6a接口与用户数据管理实体通信，mme通过n26接口与amf实体通信，sgw通过s5-u接口与pgw-u实体+upf实体通信，sgw通过s5-c接口与pgw-c实体+smf实体通信，pgw-u实体+upf实体通过n3接口与ng-ran设备通信，pgw-u实体+upf实体通过n4接口与pgw-c实体+smf实体通信，pgw-c实体+smf实体通过n7接口与pcrf实体+pcf实体通信，hss+udm实体通过n10接口与pgw-c实体+smf实体通信，hss+udm实体通过n8接口与amf实体通信，pcrf实体+pcf实体通过n15接口与amf实体通信，pgw-c实体+smf实体通过n11接口与amf实体通信，amf实体通过n2接口与ng-ran设备通信，amf实体通过n1接口与终端通信。
59.需要说明的是，图1b中的各个网元之间的接口名字只是一个示例，具体实现中接口名字可能为其他名字，本技术实施例对此不作具体限定。
60.当然，4g网络和5g网络互通架构中还可以有其它的网元，比如，4g网络中还可以包括通用分组无线系统(general packet radio system，gprs)业务支撑节点(serving gprs support node，sgsn)等，5g网络中还可以包括鉴权服务功能(authentication server function，ausf)实体和网络切片选择功能(network slice selection function，nssf)实体等，本技术实施例对此不作具体限定。
61.需要说明的是，上面的4g网络和5g网络互通架构只是示意性的，实际网络中，可能会存在多个同类网元，例如，可能存在多个接入网设备以及多个mme等。其中，多个同类网元中，可能存在部分网元升级了，而部分网元未升级。例如，4g网络和5g网络互通架构中也可能同时存在升级的mme和未升级的mme。
62.本技术各个实施例涉及的接入网设备：是终端设备和核心网设备之间的桥梁，用于无线资源管理等。终端设备可以通过接入网设备接入网络。本技术中的接入网设备可以是4g无线接入网络设备，也可以是4g接入网中在空中接口上通过一个或多个小区与无线终端设备通信的设备。例如，前述接入网设备可以为长期演进lte系统或演进的lte系统(long term evolution advanced，lte-a)中的演进型(evolutional node b，nodeb或enb或e-nodeb)。也可以是5g无线接入网络设备，例如，可以包括ng-ran，下一代演进型网络(next generation e-utran nodeb,ng-enb)或者5g(gnodeb,gnb)。应当注意的是，本技术中涉及的接入网设备可以是升级的接入网设备(例如，支持用户面安全按需保护的接入网设备)或未升级的接入网设备(例如，不支持用户面安全按需保护的接入网设备)。另外，根据为终端设备提供服务的先后顺序的不同，源接入网设备可以理解为切换流程之前为该终端设备提供服务的接入网设备，例如，可以是终端设备初始接入时为该终端设备提供服务的接入网设备；目标接入网设备可以理解为切换流程之后为该终端设备提供服务的接入网设备。一般地前述源接入网设备与目标接入网设备之间会有关于终端设备的上下文的传输。应当理解的是，本技术实施例中的接入网设备可以是上述任意一种设备或上述设备中的芯片，具体此处不做限定。无论作为设备还是作为芯片，该接入网设备都可以作为独立的产品进行制造、销售或者使用。在本实施例以及后续实施例中，以接入网设备为例进行介绍。
63.此外，本技术各个实施例涉及的终端设备：包括向用户提供语音和/或数据连通性的设备。例如，可以包括具有无线连接功能的手持式设备或连接到无线调制解调器的处理设备。该终端设备可以经无线接入网ran(例如，前述源接入网设备或前述目标接入网设备)与核心网进行通信，可以与ran交换语音和/或数据。该终端设备可以包括用户设备ue、无线终端设备、移动终端设备、用户单元(subscriber unit)、用户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point，ap)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、或用户装备(user device)等。此外，该终端设备也可以为车载终端，例如，集成在车辆中的车载盒子(telematics box，t-box)、域控制器(domain controller，dc)、多域控制器(multi domain controller，mdc)或车载单元(on board unit，obu)。该终端设备还可以为穿戴设备，例如，眼镜、手套、手表、服饰及鞋，或者其他的可以直接穿在身上或是整合到用户的衣服或配件的一种便携式设备，具体本技术不做限定。应当理解的是，本技术实施例中的终端设备可以是上述任意一种设备或芯片，具体此处不做限定。无论作为设备还是作为芯片，该终端设备都可以作为独立的产品进行制造、销售或者使用。在本实施例以及后续实施例中，仅以终端设备为例进行介绍。
64.由于网络中可能存在不支持用户面安全按需保护的核心网网元，所以在需要有核心网网元参与的用户面安全按需保护流程中，接入网设备可能无法获得用于实现用户面安全按需开启所必须的参数(如用户面安全策略等)，从而无法实现自身与终端设备之间的用户面安全按需开启功能。
65.下面将对本技术各实施例涉及的名称或术语进行介绍：
66.用户面安全策略，包括用户面加密保护策略和用户面完整性保护策略。其中，用户面加密保护策略用于指示是否开启用户面加密保护，用户面完整性保护策略用于指示是否
ran。
75.需要说明的是，在本技术实施例中该步骤为可选的。
76.s202、源接入网设备#10-1向核心网设备#30-1发送消息#50-1；相应的，核心网设备#30-1接收来自源接入网设备#10-1的消息#50-1。
77.其中，消息#50-1包括终端设备的标识以及容器信息。终端设备的标识用于标识终端设备，以使得核心网设备#30-1根据该终端设备的标识获得终端设备的接入层(access stratum，as)上下文。容器信息由源接入网设备生成#10-1，并最终传递到目标接入网设备#20-1，容器信息中的内容不被中间网元(如核心网设备#2)解析。例如，容器信息可以是源enb到目标enb透明容器(source enb to target enb transparent container)。容器信息可以包含终端设备的用户面安全策略#40-1。
78.消息#50-1例如可以是切换需求消息，用于请求目标接入网设备#20-1为所述终端准备切换资源。
79.一种可能的实现方式中，源接入网设备#10-1可以根据终端设备是否支持用户面安全按需保护，来确定是否在容器信息中携带用户面安全策略#40-1。例如，只有在终端设备支持用户面安全按需保护的情况下，源接入网设备#10-1才会在容器信息中携带用户面安全策略#40-1。具体的，源接入网设备#10-1根据终端设备的as上下文确定终端设备是否支持用户面安全按需保护。例如，终端设备的as上下文中包括的终端设备是否支持用户面安全按需保护的指示信息/能力信息；也可以包括自身与终端设备当前的用户面安全激活状态信息。源接入网设备#10-1可以根据终端设备as上下文中包括的信息，确定终端设备是否支持用户面安全按需保护。
80.可选的，用户面安全策略#40-1可以是源接入网设备#10-1与所述终端设备当前使用的用户面安全策略。例如，用户面安全策略#40-1可以是源接入网设备#10-1上所述终端设备上下文中的用户面安全策略。一种可能的实现方式中，当终端设备通过源接入网设备#10-1接入到网络#1中时，源接入网设备#10-1可以从网络侧获取该用户面安全策略#40-1，并将该用户面安全策略#40-1存储在所述终端设备的as上下文中。该用户面安全策略#40-1例如可以是所述终端设备签约的用户面安全策略(subscribed up security policy)。
81.当源接入网设备确定发起切换时，可以从终端设备的as上下文中获取存储的用户面安全策略#40-1。
82.s203、核心网设备#30-1获取所述终端设备的用户面安全策略#40-2；
83.其中，核心网设备#30-1根据消息#50-1中的终端设备的标识，从所述终端设备的非接入层(non-access stratum，nas)上下文中获取用户面安全策略#40-2。
84.需要说明的，s203是可选的。在一种可能的实现方式中，如果核心网设备#30-1是传统的网元，即不支持用户面安全按需机制，则该步骤可能无法执行。
85.s204、核心网设备#30-1向目标接入网设备#20-1发送消息#50-2；相应的，目标接入网设备#20-1接收来自核心网设备#30-1的消息#50-2
86.其中，所述消息#50-2包括所述容器信息。可选的，在s203被执行的情况下，所述消息#50-2中还包括所述用户面安全策略#40-2。
87.可选的，消息#50-2还包括指示信息，该指示信息用于指示所述终端设备是否指示用户面安全按需保护。可选的，该指示信息可以由该终端设备的安全能力的部分比特位表
征，该终端设备的安全能力用于指示该终端设备支持使用的至少一个安全算法。示例性的，前述终端设备的安全能力为ue演进分组系统安全能力(ue eps security capabilities)，该指示信息可以用终端设备的安全能力中一个预留的比特位来指示，例如eea7或者eia7。其中，eea7代表ue演进分组系统安全能力中为第八个加密算法预留的比特位，eia7代表ue演进分组系统安全能力中为第八个完整性算法预留的比特位，而本实施例将该比特位用于携带终端设备是否支持用户面安全按需保护的指示。
88.所述消息#50-2可以为切换请求消息；所述切换请求消息用于请求所述目标接入网设备为所述终端设备准备切换资源。
89.s205、目标接入网设备#20-1根据消息#50-2激活用户面安全保护。
90.具体的，当消息#50-2不包括用户面安全策略#40-2，但是所述容器信息包括用户面安全策略#40-1时，目标接入网设备#20-1根据容器信息中的用户面安全策略#40-1，确定自身与终端设备之间的用户面安全激活状态。
91.当消息#50-2包括用户面安全策略#40-2时，目标接入网设备#20-1根据用户面安全策略#40-2，确定自身与终端设备之间的用户面安全激活状态；
92.可选的，当消息#50-2包括用户面安全策略#40-2，且所述容器信息包括用户面安全策略#40-1时，目标接入网设备#20-1忽略用户面安全策略#40-1，并根据用户面安全策略#40-2，确定自身与终端设备之间的用户面安全激活状态。
93.可选的，当消息#50-2包括用户面安全策略#40-2，且所述容器信息包括用户面安全策略#40-1时，目标接入网设备#20-1比较用户面安全策略#40-2和用户面安全策略#40-1是否一致，如果户面安全策略#40-2和用户面安全策略#40-1一致，则采用用户面安全策略#40-2，确定自身与终端设备之间的用户面安全激活状态，如果用户面安全策略#40-2和用户面安全策略#40-1不一致，可以采取如下任一操作：
94.1.取消切换流程，具体的，目标接入网设备#20-1发送切换失败(handover failure)消息到核心网设备#30-1，以指示核心网设备#30-1准备切换资源失败。可选的，可以在切换失败(handover failure)消息中携带原因值。该原因值可以用于指示切换失败的原因，例如，用户面安全策略错误或者存在安全风险等。
95.2.依旧以用户面安全策略#40-2，确定自身与终端设备之间的用户面安全激活状态，并生成一个警告信息。可选的，目标接入网设备#20-1可以将该告警信息通知给核心网设备#30-1。所述告警信息用于表征源接入网设备#10-1的信任等级。可以理解的是，该告警信息可以表示源接入网设备#10-1处于不安全的环境。后续目标接入网设备#20-1或者核心网设备#30-1执行相关操作时可以参考该告警信息。例如，在切换流程中，尽量避免切换到所述源接入网设备#10-1。
96.3.选择用户面安全策略#40-1和用户面安全策略#40-2中安全级别更高的用户面安全策略，并确定自身与终端设备之间的用户面安全激活状态。其中认为“required”的安全级别最高，其次为“preferred”，“not needed”安全级别最低。
97.4.选择用户面安全策略#40-1和用户面安全策略#40-2中对性能影响最低的用户面安全策略，并确定自身与终端设备之间的用户面安全激活状态。其中认为“not needed”的性能影响最低，其次为“preferred”，“preferred”的性能影响最大。
98.5.选择用户面安全策略#40-1和用户面安全策略#40-2中最平衡的用户面安全策
略，并确定自身与终端设备之间的用户面安全激活状态。其中认为“preferred”最平衡。
99.在另外一种可能的实现方式中，消息#50-2中可能不包括用户面安全策略#40-2，容器信息中不包括用户面安全策略#40-1，此时，目标接入网设备#20-1可以根据预配置的用户面安全策略#40-3，确定自身与终端设备之间的用户面安全激活状态。
100.在另外一种可能的实现方式中，所述目标接入网设备#20-1还从核心网设备30-1接收到所述指示信息。只有在所述指示信息指示所述终端设备支持用户面安全按需保护的情况下，目标接入网设备#20-1才会进一步采用上述方法(1)-(5)所述的方式确定自身与所述终端设备之间的用户面安全激活状态。
101.其中，所述用户面安全激活状态用于指示用户面加密保护和/或用户面完整性保护是否开启的状态。
102.需要说明的是，本技术实施例中的核心网设备#30-1是一个概括性的概念，其可以指代核心网中的一个或者多个网元。例如，核心网设备#30-1可以包括4g网络中的一个mme，或者是包括4g网络中的两个mme，也可以包括一个4g网络中的mme与一个5g网络中的amf，本技术各个实施例中对核心网设备#30-1的表现形式不做限定。
103.在本技术实施例中，只要终端设备和目标接入网设备#20-1支持用户面安全按需保护机制，无论核心网设备#30-1是否升级(支持用户面安全按需保护机制)，目标接入网设备#20-1总是可以获取相应的用户面安全策略，用以确定自身与终端设备之间的用户面安全激活状态。特别地，采用本技术实施例的方案，还可以有效的避免降质攻击的问题。例如，源接入网设备#10-1可能被攻击，不向核心网设备#30-1发送用户面安全策略#40-1，或者向核心网设备#30-1发送安全等级较低的用户面安全策略(如指示用户面加密保护和完整性保护都不开启的用户面安全策略)，此时，目标接入网设备#20-1可以通过优先使用来自核心网设备#30-1的用户面安全策略#40-2，避免相应的攻击。
104.如图3所示，基于图1a所述的架构，提出的一种安全策略处理方法，用以在切换场景下，实现尽力而为的用户面安全按需开启机制。
105.下面以如图3所示的s1切换流程为例进行进一步介绍。其中，4g网络中的接入网设备(为便于描述，本技术实施例以目标enb为例)为前述目标接入网设备#20-1的一种实现方式，4g网络中的另一个接入网设备(为便于描述，本技术实施例以源enb为例)为前述源接入网设备#10-1的一种实现方式、目标mme和源mme为前述核心网设备#30-1的一种实现方式。并且，假设目标enb为升级的enb(即支持用户面安全按需保护的enb)。前述各个设备将执行如下步骤：
106.s301、终端设备通过源enb接入4g网络；以及源enb确定发起基于s1接口的切换，以便于将终端设备切换到目标enb；
107.源enb在终端设备接入4g网络的过程中，会从核心网侧获取终端设备的用户面安全策略，并使用用户面安全策略激活自身与终端设备之间的用户面安全。源enb还将获取的用户面安全策略存储在终端设备的接入层(access stratum，as)上下文中。
108.示例性的，终端设备会通过初始enb向初始mme发送附着请求(attach request)消息。然后，初始mme通过位置更新请求(update location request)消息将终端设备的标识发送至hss，该hss向初始mme发送位置更新响应(update location request acknowledge)消息，其中，该位置更新响应消息携带该终端设备的签约数据，该签约数据中包含终端设备
的签约的用户面安全策略。初始mme将该签约的用户面安全策略保存在终端设备的非接入层(non-access stratum，nas)上下文中。初始mme在初始上下文建立请求(initial context setup request)消息中将该签约的用户面安全策略发送给初始enb，初始enb将该签约的用户面安全策略保存在终端设备的as上下文中。
109.在终端设备接入4g网络之后，没有更换接入网设备的情况下，这里的初始enb就是源enb；在更换接入网设备的情况下，这里的初始enb和源enb是不同的接入网设备。此时，源enb可以从初始enb获取终端设备的as上下文。
110.在终端设备接入4g网络之后，没有更换mme的情况下，这里的初始mme就是源mme；在更换mme的情况下，这里的初始mme和源mme是不同的mme。此时，源mme可以从初始mme获取终端设备的nas上下文。
111.从上述流程可知，在没有出现攻击或者上下文传递(接入网设备之间的as上下文或者mme之间的nas上下文)异常的情况下，源enb上的用户面安全策略(即用户面安全策略#40-1)和源mme上的用户面安全策略(用户面安全策略#40-2)应该是一致的。导致异常的原因可能包括接入网设备或者mme没有升级。
112.其中，当源enb确定需要将终端设备切换至目标enb时，s1切换可以是基于如下条件触发：
113.(1)源enb和目标enb之间没有x2接口；
114.(2)源enb执行到目标enb的x2切换失败，且源enb接收来自目标enb的错误指示；
115.(3)源enb动态学习的信息，或者源enb上的配置信息等。
116.s302、源enb向源mme发送切换需求(handover required)消息。
117.其中，该切换需求消息携带终端设备的标识以及容器信息(source enb to target enb transparent container)。终端设备的标识用于获得终端设备的上下文，例如，enb ue s1ap id和mme ue s1ap id。
118.容器信息由源enb生成，并最终传递到目标enb，不被中间网元(如源mme和目标mme)解析。
119.其中，容器信息可选的包含源enb保存的终端设备的用户面安全策略(即用户面安全策略#40-1)。
120.具体情况，可以参考s202中的相关描述，这里不予赘述。
121.s303、源mme获取所述终端设备的用户面安全策略#40-2；
122.同s203，这里不再赘述。
123.s304、源mme向目标mme发送转发重定位请求(forward relocation request)消息。
124.其中，该转发重定位请求消息携带所述容器信息。特别的，源mme不解析容器信息，直接转发该容器信息。
125.该转发重定位请求消息还可以携带源mme保存的终端设备的用户面安全策略(即用户面安全策略#40-2)。示例性的，源mme根据终端设备的标识获得终端设备的nas上下文，从终端设备的nas上下文中获得用户面安全策略#40-2。
126.可选的，该转发重定位请求消息还包含指示信息，该指示信息用于指示所述终端设备是否指示用户面安全按需保护。可选的，如果源mme是传统的mme，则源mme本地可能不
reconfiguration)，该rrc重配置由目标enb构造。
142.可选的，rrc重配置中携带配置信息，所述配置信息用于指示终端设备是否开启用户面加密保护和/或用户面完整性保护。可选的，配置信息由s306中用户面安全激活状态确定。
143.具体的，若配置信息中封装了禁用加密(ciphering disabled)字段，则终端设备不开启加密保护；若配置信息中未封装禁用加密(ciphering disabled)字段，则终端设备开启加密保护。若配置信息中封装了完整性保护(integrity protection)字段，则终端设备开启完整性保护；若配置信息中未封装完整性保护(integrity protection)字段，则终端设备不开启完整性保护。
144.应理解，目标enb将用户面安全激活状态通过所述配置信息的方式封装于rrc重配置中，通过切换请求响应发送至源enb，再由源enb将封装了用户面安全激活状态的rrc重配置转发至终端设备。
145.s308、目标mme向源mme发送转发重定位回复(forward relocation response)消息。
146.该转发重定位回复消息包含上述rrc重配置，该rrc重配置携带所述配置信息。
147.s309、源mme向源enb发送切换命令(handover command)消息。
148.该切换命令消息包含上述rrc重配置，该rrc重配置携带所述配置信息。
149.s310、源enb向终端设备发送rrc重配置。
150.也就是说，该源enb将从目标enb中收到的rrc重配置转发至终端设备。
151.具体的，终端设备根据rrc重配置中的携带的所述配置信息确定是否开启自身与所述目标enb之间的用户面安全加密保护/用户面完整性保护。
152.示例性的，当终端设备确定该配置信息未封装禁用加密(ciphering disabled)字段且未封装完整性保护(integrity protection)字段。于是，该终端设备便开启加密保护，但不开启完整性保护。当终端设备确定配置信息封装禁用加密(ciphering disabled)字段但未封装完整性保护(integrity protection)字段。于是，该终端设备便不开启该drb的加密保护，也不开启该drb的完整性保护。当终端设备确定该配置信息未封装禁用加密(ciphering disabled)字段但封装完整性保护(integrity protection)字段。于是，该终端设备便开启加密保护，也开启完整性保护。当终端设备确定该配置信息封装了禁用密码(ciphering disabled)字段也封装完整性保护(integrity protection)字段。于是，该终端设备便不开启加密保护，但开启完整性保护。
153.s311、终端设备向目标enb发送rrc重配置完成消息。
154.其中，该rrc重配置完成(rrc connection reconfiguration complete)消息用于指示目标enb该终端设备已完成rrc重配置流程，该终端设备成功从源enb切换至目标enb。此后，该终端设备可以与直接目标enb进行通信。
155.本技术实施例中，不管源enb或源mme或目标mme是否升级，目标enb都能够获得可使用的用户面安全策略，并根据获得的用户面安全策略确定与终端设备之间的用户面安全保护状态。避免了在4g网络中由于源enb或源mme或目标mme中部分网元未升级导致的用户面安全策略丢失，导致无法实现用户面安全按需机制的问题。此外，本技术实施例还可以尽最大可能使目标enb可以获得一个优先级更高的安全策略，以尽最大努力保障在切换过程
中的以最优选的用户面安全策略为终端设备开启或不开启用户面安全保护，避免了潜在的降质攻击。
156.如图4所示，基于图1b所述的架构，提出的一种安全策略处理方法，用以在5gs到eps切换场景下，实现尽力而为的用户面安全按需开启机制。
157.其中，4g网络中的接入网设备(为便于描述，本技术实施例以目标enb为例，本实施例中下文简称enb)为前述目标接入网设备的一种实现方式，5g网络中的接入网设备(为便于描述，本技术实施例以源ng-ran为例,本实施例中下文简称ng-ran)为前述源接入网设备的一种实现方式，5g网络中的核心网设备(为便于描述，本技术实施例以源amf为例，本实施例中下文简称源amf)和4g网络中的核心网设备(为便于描述，本技术实施例以目标mme为例，本实施例中下文简称mme)为前述核心网设备#30-1的一种实现方式。并且，假设enb为升级的enb(即支持用户面安全按需保护的enb)。前述各个设备将执行如下步骤：
158.s401、终端设备通过ng-ran接入5g网络；以及ng-ran确定发起5gs到eps切换，以便于将终端设备切换到4g网络中的enb；
159.ng-ran在终端设备接入5g网络的过程中，会从核心网侧获取终端设备的用户面安全策略，并使用用户面安全策略激活自身与终端设备之间的用户面安全。ng-ran还将获取的用户面安全策略存储在终端设备的接入层(access stratum，as)上下文中。
160.示例性的，终端设备向ng-ran发送协议数据单元(protocol data unit，pdu)会话建立请求消息。ng-ran通过amf向pwg-c+smf发送pdu会话建立请求。pwg-c+smf可以从hss+udm中获得终端设备签约的用户面安全策略，也可以从pwg-c+smf的本地配置信息中获得用户面安全策略。其中，pwg-c+smf获取的用户面安全策略为终端设备的用户面安全策略，具体可以为针对该pdu会话的用户面安全策略。pwg-c+smf可以将从hss+udm获取的签约的用户面安全策略保存在终端设备的上下文中。pwg-c+smf将获取的用户面安全策略通过amf发送给ng-ran。ng-ran将该签约的用户面安全策略保存在终端设备的as上下文中。
161.因此，正常情况下，ng-ran中保存的用户面安全策略应该与pwg-c+smf中保存的用户面安全策略一致。
162.其中，当源ng-ran确定需要将终端设备切换至目标enb时，5gs到eps切换可以是基于如下条件触发：
163.(1)当前无线网络状态较差；
164.(2)负载均衡；
165.(3)语音服务要求。
166.s402、ng-ran向amf发送切换需求(handover required)消息。
167.其中，该切换需求消息携带终端设备的标识以及容器信息。终端设备的标识用于获得终端设备的上下文，例如，ran ue ngap id、amf ue ngap id。
168.容器信息由ng-ran生成，并最终传递到enb，不被中间网元解析，中间网元包含amf以及mme。相关描述可以参考s202和s302中的相关描述，这里不予赘述。
169.s403、amf向pgw-c+smf发送pdu会话上下文请求消息。
170.pdu会话上下文请求消息可以包含终端设备的上下文标识，终端设备的上下文标识可以是根据终端设备的标识获得的，例如，会话管理上下文标识(session management context id)。
171.s404、pgw-c+smf获取终端设备的用户面安全策略#40-3；
172.具体的，pgw-c+smf根据终端设备的上下文标识获得终端设备的用户面安全策略#40-3。用户面安全策略#40-3可以是终端设备上下文中存储的用户面安全策略，也可以是根据终端设备上下文中存储的用户面安全策略映射得到的用户面安全策略。
173.应理解，若pgw-c+smf是未升级的核心网设备，则pgw-c+smf可能不会执行s404。
174.s405、pgw-c+smf向amf发送pdu会话上下文回复消息。
175.pdu会话上下文回复消息包含终端设备的用户面安全策略#40-3。
176.应理解，若pgw-c+smf是未升级的核心网设备，则pdu会话上下文回复消息可能不会携带用户面安全策略#40-3。
177.s406、amf向mme发送转发重定位请求(forward relocation request)消息。
178.s407、mme向enb发送切换请求(handover request)消息。
179.s408、enb确定用户面安全激活状态。
180.s409、enb向mme发送切换请求响应(handover request acknowledge)消息。
181.s410、mme向amf发送转发重定位回复(forward relocation response)消息。
182.s411、amf向enb发送切换命令(handover command)消息。
183.s412、ng-ran向终端设备发送rrc重配置。
184.s413、终端设备向enb发送rrc重配置完成消息。
185.上述s406-s413的相关描述同s304-s311，请参考上述描述，这里不再赘述。
186.本技术实施例中，不管pgw-c+smf和mme是否升级，enb都能够获得可使用的用户面安全策略，并根据获得的用户面安全策略确定与终端设备之间的用户面安全保护状态。避免了在4g网络中由于源enb或源mme或目标mme中部分网元未升级导致的用户面安全策略丢失，导致无法实现用户面安全按需机制的问题。此外，本技术实施例还可以尽最大可能使目标enb可以获得一个优先级更高的安全策略，以尽最大努力保障在切换过程中的以最优选的用户面安全策略为终端设备开启或不开启用户面安全保护，避免了潜在的降质攻击。
187.图5所示为本技术实施例提供的通信设备的硬件结构示意图。该通信设备500包括至少一个处理器501，通信线路502，存储器503以及至少一个通信接口504。
188.处理器501可以是一个通用中央处理器(central processing unit，cpu)，微处理器，特定应用集成电路(application-specific integrated circuit，asic)，或一个或多个用于控制本技术方案程序执行的集成电路。
189.通信线路502可包括一通路，在上述组件之间传送信息。
190.通信接口504，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，ran)，无线局域网(wireless local area networks，wlan)等。
191.存储器503可以是只读存储器(read-only memory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、只读光盘(compact disc read-only memory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指
令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路502与处理器相连接。存储器也可以和处理器集成在一起。
192.其中，存储器503用于存储执行本技术方案的计算机执行指令，并由处理器501来控制执行。处理器501用于执行存储器503中存储的计算机执行指令，从而实现本技术上述实施例提供的安全策略处理方法。
193.可选的，本技术实施例中的计算机执行指令也可以称之为应用程序代码，本技术实施例对此不作具体限定。
194.在具体实现中，作为一种实施例，处理器501可以包括一个或多个cpu，例如图5中的cpu0和cpu1。
195.在具体实现中，作为一种实施例，通信设备500可以包括多个处理器，例如图5中的处理器501和处理器508。这些处理器中的每一个可以是一个单核(single-cpu)处理器，也可以是一个多核(multi-cpu)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
196.在具体实现中，作为一种实施例，通信设备500还可以包括输出设备505和输入设备506。输出设备505和处理器501通信，可以以多种方式来显示信息。例如，输出设备505可以是液晶显示器(liquid crystal display，lcd)，发光二级管(light emitting diode，led)显示设备，阴极射线管(cathode ray tube，crt)显示设备，或投影仪(projector)等。输入设备506和处理器501通信，可以以多种方式接收用户的输入。例如，输入设备506可以是鼠标、键盘、触摸屏设备或传感设备等。
197.上述的通信设备500可以是一个通用设备或者是一个专用设备。在具体实现中，通信设备500可以是上述图2-图4实施例中的任一网元，如源接入网设备、目标接入网设备、amf、mme、pgw-c+smf等。本技术实施例不限定通信设备500的类型。
198.上述图2-图4主要以方法的角度对本技术实施例提供的方案进行了介绍。可以理解的是，通信装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，本技术能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
199.本技术实施例可以根据上述方法示例对通信装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
200.下面对本技术中的通信装置进行详细描述，请参阅图6，图6为本技术实施例中通信装置的一种实施例示意图。通信装置可以是图2-图4实施例中的任一网元，如源接入网设备、目标接入网设备、amf、mme、pgw-c+smf等。该通信装置包括：通信模块601和处理模块602。其中，所述通信模块601用于实现消息的接收和发送功能，所述处理模块602用于执行
相关的处理功能。
201.当所述通信装置为源接入网设备时：
202.所述通信模块601，用于执行上述图2-图4中s202、s302、s402、s309、s310、s411和s412相关内容。
203.特别地，所述处理模块602，用于获取所述终端设备的用户面安全策略#40-1；
204.可选的，所述处理模块602，还用于根据终端设备是否支持用户面安全按需保护，来确定是否在容器信息中携带用户面安全策略#40-1。
205.当所述通信装置为目标接入网设备时：
206.所述通信模块601，用于接收来自核心网设备#30-1的消息#50-2；其中，所述消息#50-2包含来自源接入网设备的容器信息；
207.所述处理模块602，用于设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态，所述用户面安全激活状态表征用户面加密保护是否开启和/或用户面完整性保护是否开启。
208.一种可能的实现方式中，所述容器信息包括用户面安全策略#40-1；所述处理模块602，具体用于根据所述用户面安全策略#40-1，确定自身与终端设备之间的用户面安全激活状态。
209.一种可能的实现方式中，所述消息#50-2还包括用户面安全策略#40-2，且所述容器信息包括用户面安全策略#40-1；所述处理模块602，具体用于根据所述用户面安全策略#40-2，确定自身与终端设备之间的用户面安全激活状态。具体的，所述处理模块602，用于忽略所述用户面安全策略#40-1，直接使用所述用户面安全策略#40-2，确定自身与所述终端设备之间的用户面安全激活状态。
210.一种可能的实现方式中，所述处理模块602，还用于判断所述用户面安全策略#40-2和所述用户面安全策略#40-1是否一致。
211.一种可能的实现方式中，所述处理模块602，还用于生成告警信息，所述告警信息用于表征源接入网设备#10-1处于不安全的环境。可选的，所述通信模块601，还用于向所述核心网设备#30-1发送所述告警信息。
212.一种可能的实现方式中，所述处理模块602，还用于在所述消息#50-2中没有携带用户面安全策略且所述容器信息中也没有携带用户面安全策略的情况下，根据预配置的用户面安全策略，确定自身与终端设备之间的用户面安全激活状态。
213.一种可能的实现方式中，所述消息#50-2还包括指示信息，所述处理模块602，还用于根据所述指示信息确定所述终端设备支持用户面安全按需保护。
214.本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本技术各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。
215.在一个例子中，以上任一通信装置中的单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，asic)，或，一个或多个微处理器(digital singnal processor，dsp)，或，一个或者多个现场可编程门阵列(field programmable gate array，fpga)，或这些集成电路形式
中至少两种的组合。再如，当通信装置中的单元可以通过处理元件调度程序的形式实现时，该处理元件可以是通用处理器，例如中央处理器(central processing unit，cpu)或其它可以调用程序的处理器。再如，这些单元可以集成在一起，以片上系统(system-on-a-chip，soc)的形式实现。
216.本技术还提供一种通信系统，其包括网络设备或终端设备中的至少一种或多种。
217.本技术实施例还提供的一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机控制网络设备或终端设备执行如前述方法实施例所示任一项实现方式。
218.本技术实施例还提供的一种计算机程序产品，计算机程序产品包括计算机程序代码，当计算机程序代码在计算机上运行时，使得计算机执行如前述方法实施例所示任一项实现方式。
219.本技术实施例还提供一种芯片系统，包括存储器和处理器，存储器用于存储计算机程序，处理器用于从存储器中调用并运行计算机程序，使得芯片执行如前述方法实施例所示任一项实现方式。
220.本技术实施例还提供一种芯片系统，包括处理器，处理器用于调用并运行计算机程序，使得芯片执行如前述方法实施例所示任一项实现方式。
221.本技术实施例提供的技术方案可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、ai节点、接入网设备、终端设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，dvd))、或者半导体介质等。
222.在本技术实施例中，在无逻辑矛盾的前提下，各实施例之间可以相互引用，例如方法实施例之间的方法和/或术语可以相互引用，例如装置实施例之间的功能和/或术语可以相互引用，例如装置实施例和方法实施例之间的功能和/或术语可以相互引用。
223.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：

1.一种安全策略处理方法，其特征在于，包括：目标接入网设备接收来自核心网设备#30-1的消息#50-2；其中，所述消息#50-2包含来自源接入网设备的容器信息；所述目标接入网设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态，所述用户面安全激活状态表征用户面加密保护是否开启和/或用户面完整性保护是否开启；其中，所述目标接入网设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态，包括：在所述容器信息包括用户面安全策略#40-1，且所述消息#50-2还包括用户面安全策略#40-2时，所述目标接入网设备使用所述用户面安全策略#40-2，确定自身与终端设备之间的用户面安全激活状态；或者，在所述容器信息包括所述用户面安全策略#40-1，且所述消息#50-2中不包括所述用户面安全策略#40-2时，所述目标接入网设备根据所述用户面安全策略#40-1，确定自身与终端设备之间的用户面安全激活状态；或者在所述消息#50-2中没有携带所述用户面安全策略#40-2且所述容器信息中也没有携带所述用户面安全策略#40-1的情况下，所述目标接入网设备根据预配置的用户面安全策略#40-3，确定自身与终端设备之间的用户面安全激活状态；其中，所述用户面安全策略#40-1为来自所述源接入网设备的用户面安全策略；所述用户面安全策略#40-2为来自所述核心网设备#30-1的用户面安全策略。2.根据权利要求1所述的方法，其特征在于，所述目标接入网设备使用所述用户面安全策略#40-2，确定自身与终端设备之间的用户面安全激活状态，包括：所述目标接入网设备忽略所述用户面安全策略#40-1，直接使用所述用户面安全策略#40-2，确定自身与所述终端设备之间的用户面安全激活状态。3.根据权利要求1或2所述的方法，其特征在于，所述容器信息为源enb到目标enb透明容器(source enb to target enb transparent container)。4.根据权利要求1-3任一所述的方法，其特征在于，所述消息#50-2为切换请求消息；所述切换请求消息用于请求所述目标接入网设备为所述终端设备准备切换资源。5.根据权利要求1-4任一所述的方法，其特征在于，所述消息#50-2还包括指示信息；在所述目标接入网设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态之前，所述方法还包括：所述目标接入网设备根据所述指示信息确定所述终端设备支持用户面安全按需保护。6.根据所述权利要求5所述的方法，其特征在于，所述指示信息由所述终端设备的安全能力的部分比特位表征，所述终端设备的安全能力用于指示所述终端设备支持使用的至少一个安全算法。7.根据所述权利要求6所述的方法，其特征在于，所述终端设备的安全能力为用户设备演进分组系统安全能力。8.一种安全策略处理方法，其特征在于，包括：源接入网设备获取终端设备的用户面安全策略#40-1；所述源接入网设备向核心网设备#30-1发送消息#50-1；所述消息#50-1包括容器信息，
所述容器信息包括所述用户面安全策略#40-1。9.根据权利要求8所述的方法，其特征在于，在所述源接入网设备获取终端设备的用户面安全策略#40-1之前，所述方法还包括：所述源接入网设备确定所述终端设备支持用户面安全按需保护。10.根据权利要求8或9所述的方法，其特征在于，所述消息#50-1包括切换需求消息，所述切换需求消息用于目标接入网设备为所述终端设备准备切换资源。11.根据权利要求10所述的方法，其特征在于，所述方法还包括：所述源接入网设备确定所述终端设备需要切换到所述目标接入网设备。12.一种接入网设备，其特征在于，包括用于实现上述权利要求1-11任一所述方法的模块。13.一种接入网设备，其特征在于，包括：存储器，存储有可执行的程序指令；和处理器，所述处理器用于与所述存储器耦合，读取并执行所述存储器中的指令，以使所述装置实现如权利要求1-11任一所述的方法。14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当所述指令在计算机上运行时，以使得计算机执行如权利要求1至11中任意一项所述的方法。15.一种包含指令的计算机程序产品，其特征在于，当所述指令在计算机上运行时，使得所述计算机执行如权利要求1至11中任意一项所述的方法。

技术总结

本申请实施例公开了一种安全策略处理方法，用于在存在不支持用户面安全按需保护的核心网网元的网络中，实现尽力而为的用户面安全按需开启机制。本申请实施例中的安全策略处理方法包括：目标接入网设备接收来自核心网设备#30-1的消息#50-2；其中，所述消息#50-2包含来自源接入网设备的容器信息；所述目标接入网设备根据所述消息#50-2，确定自身与终端设备之间的用户面安全激活状态，所述用户面安全激活状态表征用户面加密保护是否开启和/或用户面完整性保护是否开启。面完整性保护是否开启。面完整性保护是否开启。