一种通信方法和装置与流程

本申请涉及通信技术领域，尤其涉及一种通信方法和装置。

背景技术：

在5g网络中，移动通信网络将不仅仅服务于个人消费者，更重要的是将服务于不同行业。比如医疗健康、智能家具和智能交通等多种行业可以将业务数据转移到5g网络平台即5g核心网中。用户设备(userexperiment，ue)想要访问业务数据时，可以接入核心网。比如，ue可以通过多种接入技术(accesstechnology，at)接入核心网，例如通过第三代合作伙伴计划(the3rdgenerationpartnershipproject，3gpp)接入技术接入核心网，还可以通过非3gpp接入技术接入核心网。不管是通过哪种at接入核心网，ue接入核心网之后，核心网侧的各个网络功能(networkfunction，nf)实体之间的交互信息中会直接携带ue的用户信息，一旦ue的用户信息泄露会导致用户隐私泄露。

技术实现要素：

本申请实施例提供一种通信方法和装置，有助于降低核心网侧各个nf实体之间进行信息交互过程中导致用户信息泄露的可能性。

第一方面，本申请实施例提供一种通信方法。该方法可以适用于通信装置，比如amf实体。该方法包括：amf接收ue发送的第一pdu会话创建请求；所述第一pdu会话创建请求用于请求创建pdu会话；所述amf对所述ue的用户信息进行加密，得到加密后的用户信息；所述amf向smf发送第二pdu会话创建请求，将所述第二pdu会话创建请求中携带有所述加密后的用户信息；其中，所述smf用于根据所述第二pdu会话创建请求调用upf，所述upf为所述ue创建pdu会话。

在本申请实施例中，amf实体对ue的用户信息加密，得到加密后的用户信息，在amf实体与其他nf实体(比如smf实体)的交互信息中不直接携带用户信息，而是携带加密后的用户信息。这种方式中，ue接入核心网后，各个nf实体(比如amf实体和smf实体)之间交互信息携带加密后的用户信息，有助于防止用户隐私的泄露。

在一种可能的设计中，所述amf接收udm发送的第一解密请求，所述第一解密请求中携带有所述加密后的用户信息；所述amf对所述加密后的用户信息解密，得到所述用户信息；所述amf将所述用户信息发送给所述udm。

在一种可能的设计中，所述amf接收pcf发送的第二解密请求，所述第二解密请求中携带有所述加密后的用户信息；所述amf对所述加密后的用户信息解密，得到所述用户信息；所述amf将所述用户信息发送给所述pcf。

在一种可能的设计中，所述amf接收chf发送的第三解密请求，所述第三解密请求中携带有所述加密后的用户信息；所述amf对所述加密后的用户信息进行解密，得到所述加密后的用户信息；所述amf将所述用户信息发送给所述chf。

第二方面，本申请实施例提供一种通信方法。该方法可以适用于通信装置，比如udm实体。所述方法包括：udm接收smf发送的用于获取ue的签约信息的请求，所述请求中携带ue的加密后的用户信息；所述udm对所述加密后的用户信息解密，得到所述用户信息；所述udm根据所述用户信息，确定所述ue的签约信息；所述udm将所述签约信息发送给所述smf。

在本申请实施例中，ue接入核心网时，核心网中的udm与smf的交互信息中不直接携带用户信息，而是携带加密后的用户信息。通常，smf被下移到边缘云的概率比较大，采用这种方式的话，smf可以不直接接触用户信息，有助于防止用户隐私的泄露。

在一种可能的设计中，所述udm对所述加密后的用户信息解密，得到所述用户信息，包括：所述udm向所述amf发送第一解密请求，所述第一解密请求用于请求对所述加密后的用户信息解密；所述udm接收所述amf发送的对所述加密后的用户信息解密得到的用户信息。

在一种可能的设计中，所述udm对所述加密后的用户信息解密，得到所述用户信息，包括：所述udm通过密钥对所述加密后的用户信息解密，得到所述用户信息。

在一种可能的设计中，所述udm接收pcf发送的第二解密请求；所述第二解密请求用于请求对所述加密后的用户信息进行解密；所述udm通过密钥对所述加密后的用户信息解密，得到所述用户信息；所述udm将所述用户信息发送给所述pcf。

在一种可能的设计中，所述udm接收chf发送的第三解密请求；所述第三解密请求用于请求对所述加密后的用户信息进行解密；所述udm通过密钥对所述加密后的用户信息解密，得到用户信息；所述udm将所述用户信息发送给所述chf。

第三方面，本申请实施例提供一种通信方法，该方法适用于通信装置，比如pcf实体。所述方法包括：pcf接收smf发送的请求信息，所述请求信息用于请求获取ue的会话管理策略，所述请求信息中携带有加密后的所述ue的用户信息；所述pcf对所述加密后的用户信息解密，得到用户信息；所述pcf根据所述用户信息，确定所述ue的会话管理策略；所述pcf将所述会话管理策略发送给所述smf。

在本申请实施例中，ue接入核心网时，核心网中的pcf与smf的交互信息中不直接携带用户信息，而是携带加密后的用户信息。通常，smf被下移到边缘云的概率比较大，采用这种方式的话，smf可以不直接接触用户信息，有助于防止用户隐私的泄露。

在一种可能的设计中，所述pcf对所述加密后的用户信息解密，得到用户信息，包括：所述pcf向所述amf发送解密请求，所述解密请求用于请求对所述加密后的用户信息进行解密；所述pcf接收所述amf发送的对所述加密后的用户信息解密得到的用户信息。

在一种可能的设计中，所述pcf对所述加密后的用户信息解密，得到用户信息，包括：所述pcf通过密钥对加密后的用户信息进行解密，得到所述用户信息。

在一种可能的设计中，所述pcf对所述加密后的用户信息解密，得到用户信息，包括：所述pcf向udm发送解密请求，所述解密请求用于请求对所述加密后的用户信息进行解密；所述pcf接收所述udm发送的用户信息，所述用户信息为所述udm根据密钥对所述加密后的用户信息进行解密得到的。

第四方面，本申请实施例提供一种通信方法，该方法适用于通信装置，比如chf实体。所述方法包括：chf接收smf发送的计费请求，所述计费请求用于请求为ue记录费用信息；所述计费请求中携带有ue的加密后的用户信息；所述chf对所述加密后的用户信息解密，得到用户信息；所述chf根据所述用户信息，为所述ue计费。

在本申请实施例中，ue接入核心网时，核心网中的chf与smf的交互信息中不直接携带用户信息，而是携带加密后的用户信息。通常，smf被下移到边缘云的概率比较大，采用这种方式的话，smf可以不直接接触用户信息，有助于防止用户隐私的泄露。

在一种可能的设计中，所述chf对所述加密后的用户信息解密，得到用户信息，包括：所述chf向所述amf发送解密请求，所述解密请求用于请求对所述加密后的用户信息进行解密；所述chf接收所述amf发送的对所述加密后的用户信息解密得到的用户信息。

在一种可能的设计中，所述chf对所述加密后的用户信息解密，得到用户信息，包括：所述chf通过密钥对所述加密后的用户信息进行解密，得到所述用户信息。

在一种可能的设计中，所述chf对所述加密后的用户信息解密，得到用户信息，包括：所述chf向udm发送解密请求，所述解密请求用于请求对所述加密后的用户信息进行解密；所述chf接收所述udm发送用户信息，所述用户信息为所述udm根据密钥对所述加密后的用户信息解密得到的。

在一种可能的设计中，用户信息包括：签约用户永久标识supi、国际移动用户识别码imsi、移动台综合业务数字网号码msisdn中的一种或者多种。

第五方面，提供一种通信装置。该通信装置具有实现上述方法设计中amf的功能。这些功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。

在一个可能的设计中，通信装置的结构可以包括接收器、处理器和发送器。接收器、处理器和发送器可执行上述第一方面或第一方面的任意一种可能的设计所提供的方法中的相应功能。

第六方面，提供一种通信装置。该通信装置具有实现上述方法设计中udm的功能。这些功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。

在一个可能的设计中，通信装置的结构可以包括接收器、处理器和发送器。接收器、处理器和发送器可执行上述第二方面或第二方面的任意一种可能的设计所提供的方法中的相应功能。

第七方面，提供一种通信装置。该通信装置具有实现上述方法设计中pcf的功能。这些功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。

在一个可能的设计中，通信装置的结构可以包括接收器、处理器和发送器。接收器、处理器和发送器可执行上述第三方面或第三方面的任意一种可能的设计所提供的方法中的相应功能。

第八方面，提供一种通信装置。该通信装置具有实现上述方法设计中chf的功能。这些功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。

在一个可能的设计中，通信装置的结构可以包括接收器和处理器。接收器和处理器可执行上述第四方面或第四方面的任意一种可能的设计所提供的方法中的相应功能。

第九方面，提供一种通信装置。该通信装置可以为amf，或者为设置在amf中的芯片等功能模块。该通信装置包括：存储器，用于存储计算机可执行程序代码；收发器，以及处理器，处理器与存储器、收发器耦合。其中存储器所存储的程序代码包括指令，当处理器执行所述指令时，所述指令使通信装置执行上述第一方面或第一方面的任意一种可能的设计中amf所执行的方法。

第十方面，提供一种通信装置。该通信装置可以为udm，或者为设置在udm中的芯片等功能模块。该通信装置包括：存储器，用于存储计算机可执行程序代码；收发器，以及处理器，处理器与存储器、收发器耦合。其中存储器所存储的程序代码包括指令，当处理器执行所述指令时，所述指令使通信装置执行上述第二方面或第二方面的任意一种可能的设计中udm所执行的方法。

第十一方面，提供一种通信装置。该通信装置可以为pcf，或者为设置在pcf中的芯片等功能模块。该通信装置包括：存储器，用于存储计算机可执行程序代码；收发器，以及处理器，处理器与存储器、收发器耦合。其中存储器所存储的程序代码包括指令，当处理器执行所述指令时，所述指令使通信装置执行上述第三方面或第三方面的任意一种可能的设计中pcf所执行的方法。

第十二方面，提供一种通信装置。该通信装置可以为chf，或者为设置在chf中的芯片等功能模块。该通信装置包括：存储器，用于存储计算机可执行程序代码；收发器，以及处理器，处理器与存储器、收发器耦合。其中存储器所存储的程序代码包括指令，当处理器执行所述指令时，所述指令使通信装置执行上述第四方面或第四方面的任意一种可能的设计中chf所执行的方法。

第十三方面，本申请实施例中还提供一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在amf上运行时，使得所述amf执行第一方面或上述第一方面的任意一种可能的设计的方法。

第十四方面，本申请实施例中还提供一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在udm上运行时，使得所述udm执行第二方面或上述第二方面的任意一种可能的设计的方法。

第十五方面，本申请实施例中还提供一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在pcf上运行时，使得所述pcf执行第三方面或上述第三方面的任意一种可能的设计的方法。

第十六方面，本申请实施例中还提供一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在chf上运行时，使得所述chf执行第四方面或上述第四方面的任意一种可能的设计的方法。

第十七方面，本申请实施例还提供一种包含计算机程序产品，当所述计算机程序产品在amf上运行时，使得所述amf执行第一方面或上述第一方面的任意一种可能的设计的方法。

第十八方面，本申请实施例还提供一种包含计算机程序产品，当所述计算机程序产品在udm上运行时，使得所述udm执行第二方面或上述第二方面的任意一种可能的设计的方法。

第十九方面，本申请实施例还提供一种包含计算机程序产品，当所述计算机程序产品在pcf上运行时，使得所述pcf执行第三方面或上述第三方面的任意一种可能的设计的方法。

第二十方面，本申请实施例还提供一种包含计算机程序产品，当所述计算机程序产品在chf上运行时，使得所述chf执行第四方面或上述第四方面的任意一种可能的设计的方法。

附图说明

图1为本申请实施例提供的一种应用场景的示意图；

图2为现有技术中核心网内部各个nf之间的信息交互示意图；

图3为本申请实施例提供的另一种应用场景的示意图；

图4为本申请实施例提供的又一种应用场景的示意图；

图5a为本申请实施例提供的一种pdu会话建立的应用场景的示意图；

图5b为本申请实施例提供的一种通信方法的流程示意图；

图6a为本申请实施例提供的一种pdu会话建立的应用场景的示意图；

图6b为本申请实施例提供的一种通信方法的流程示意图；

图7a为本申请实施例提供的一种pdu会话建立的应用场景的示意图；

图7b为本申请实施例提供的一种通信方法的流程示意图；

图8为本申请实施例提供的一种通信装置的结构示意图；

图9为本申请实施例提供的一种通信装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

以下，对本申请实施例中的部分用语进行解释说明，以便与本领域技术人员理解。

本申请实施例涉及的用户设备ue，可以是无线终端设备也可以是有线终端设备，无线终端设备可以是指向用户提供语音和/或其他业务数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端设备可以经无线接入网(radioaccessnetwork，ran)与一个或多个核心网进行通信，无线终端设备可以是移动终端，如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的、可穿戴的式的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personalcommunicationservice，pcs)电话、无绳电话、会话发起协议(sessioninitiationprotocol，sip)话机、无线本地环路(wirelesslocalloop，wll)站、个人数字助理(personaldigitalassistant，pda)等设备。无线终端设备也可以称为系统、订户单元(subscriberunit)、订户站(subscriberstation)，移动站(mobilestation)、移动台(mobile)、远程站(remotestation)、远程终端(remoteterminal)、接入终端(accessterminal)、用户终端(userterminal)、用户代理(useragent)、用户设备(userdeviceoruserequipment)。

本申请实施例涉及的无线接入网络ran，能够实现无线物理层功能、资源调度和无线资源管理、无线接入控制以及移动性管理功能的网络设备。以ran是指接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的基站为例。其中，基站可用于将收到的空中帧与ip分组进行相互转换，作为终端设备与接入网的其余部分之间的路由器，其中接入网的其余部分可包括ip网络。基站还可协调对空中接口的属性管理。例如，基站可以包括长期演进(longtermevolution，lte)系统或演进的lte系统(lte-advanced，lte-a)中的演进型基站(nodeb或enb或e-nodeb，evolutionalnodeb)，或者也可以包括5g系统中的下一代节点b(nextgenerationnodeb，gnb)，本发明实施例并不限定。

本申请实施例设计的核心网，包括多个nf实体，比如：接入控制和移动性管理功能(accesscontrolandmobilitymanagementfunction，amf)实体(下文简称amf实体)、会话管理功能(sessionmanagementfunction，smf)实体(下文简称smf实体)、策略控制功能(policycontrolfunction，pcf)实体(下文简称pcf实体)、用户面功能(userplanefunction，upf)实体(下文简称upf实体)、数据网络(datanetwork，dn)实体(下文简称dn实体)、认证服务器功能(authenticationserverfunction，ausf)实体(下文简称ausf实体)、用户数据管理(userdatamanagement，udm)实体(udm实体)。当然，核心网侧还包括其它nf实体，以上的几种只是列举，本申请实施例对此不作限定。

具体的，各个nf实体的功能如下：

amf实体：主要负责ue的注册、认证管理，ue的连接线管理以及移动性管理，网络切片选择，smf实体选择等功能。amf实体可以和ran建立控制面信令连接，用于实现无线接入承载控制等功能。

smf实体：与amf实体连接(比如，通过n11接口连接)，主要负责ue会话管理的所有控制面功能，包括upf实体选择，udm实体的选择；还负责从pcf实体获取ue的会话管理策略。

udm实体，与smf实体连接(比如，通过n10接口连接)，用于为ue注册pdu回话上下文，并存储ue的签约上下文。udm实体还与ausf实体连接(比如，通过n13接口连接)，当udm实体被ausf实体调用时，ausf实体将ue的用户鉴权集发送给ausf实体，由ausf实体对ue进行鉴权。

ausf实体，与amf实体连接(比如，通过n12接口连接)，用于获取安全认证向量，所述安全认证向量用于执行ue和网络之间安全认证。

pcf实体，与smf实体连接(比如，通过n7接口连接)，用于获取ue的会话管理策略，并将所述ue的会话管理策略提供给smf实体。

chf实体，与smf实体连接，负责ue的计费功能，支持用户的离线和在线计费功能等。

upf实体，与smf实体连接(比如，通过n4接口连接)，负责对ue的数据报文过滤、数据传输或转发、速率控制等。

dn实体，与upf实体连接(比如，通过n6接口连接)，用于存储业务数据，还用于接收ue发送的上行数据，并根据所述上行数据生成需要发送给ue的下行数据，并将所述下行数据发送给ue。

用户数据记录(userdatarecord，udr)实体，在5g网络架构下，udr实体可以用来存储udm实体、pcf实体的数据，比如，udr是可以用来存储签约信息和会话管理策略。udr实体可以与udm实体、pcf实体分别连接。其中，udm实体可以从udr中获取签约信息，pcf实体可以从udr中获取会话管理策略。其中，所述签约信息可以包括所述ue签订的业务信息等等，所述会话管理策略可以包括ue订购的套餐信息等等。

在本申请实施例中，签约信息或者会话管理信息还可以有其它名称，比如会话管理策略还可以称之为策略信息等，本申请实施例对比不作限定。

应理解的是，上述的图中所示的各个nf实体，在物理上可以是单个的设备，也可以是两个或两个以上的实体集成在同一个物理设备上，本发明实施例不作具体限定。应理解，本申请实施例对“实体”这一名称不作限定，还可以有其它名称，比如“网元”、“网元设备”、“网关”或“网关设备”等。

需要说明的是，本申请实施例涉及的一些英文简称为以lte系统以及当前5g网络系统为例对本发明实施例进行的描述，其可能随着网络的演进发生变化，具体演进可以参考相应标准中的描述。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

图1示出了本申请实施例提供的一种应用场景的示意图。如图1所示，以ue包括智能手机、便捷式电脑为例，ran以基站为例。以一家从事医疗健康的企业为例，该企业可以将业务数据存储在核心网中，当ue要访问该企业的业务数据时，通过基站进入核心网中，从核心网中获取所述业务数据。

如前述内容可知，核心网中包括多个nf实体，在5g网络架构下，ue接入核心网之后，核心网侧的各个nf实体之间的交互信息中都会携带ue的用户信息，这样容易造成用户信息的泄露。以ue建立pdu会话为例，请参见图2所示，为现有技术中，ue建立pdu会话的过程示意图。如图2所示，ue向ran发送pdu会话创建请求，该pdu会话创建请求中携带签约用户隐藏标识(subscriptionconcealedidentifier，suci)。需要说明的是，suci是ue通过密钥对ue的签约用户永久标识(subscriptionpermanentidentifier，supi)进行加密得到的，而supi可以用于指示ue的用户信息。

ran将所述pdu会话创建请求发送给amf实体。amf实体根据suci获得supi(比如，amf可以调用udm，通过udm将suci解析得到supi)。之后，amf实体向smf实体发送创建pdu会话上下文的请求信息，该请求信息中携带supi。然后，smf实体向udm实体发送注册pdu会话上下文的请求信息，该请求信息中携带supi。而且，smf实体向pcf实体发送获取会话管理策略的请求信息，该请求信息中也携带supi。由此可见，现有技术中，ue接入核心网之后，在核心网内部的各个nf实体(比如，前述的smf实体和udm实体、smf实体和pcf实体)之间的交互信息都是直接携带supi，由于supi用于指示ue的用户信息，所以，ue的用户信息容易泄露。

本申请实施例提供的通信方法，在该方法中，核心网中各个nf实体之间的交互信息中携带的是加密后的用户信息，以防止泄露用户隐私。该方法可以适用于图1所示的应用场景中，当然还可以适用于其它应用场景中，下文列举另外两种应用场景。

应用场景一：

在5g网络架构下，核心网中的每种nf实体的位置可能不同。因此，核心网有了边缘云和中心云的区分。部分nf实体部署于边缘云中，部分nf实体部署在中心云中。比如，为了可以缩短数据路由、降低传输成本以及降低业务时延等，smf实体和/或upf实体有可能被下移到靠近基站的边缘云中。请参见图3，为本申请实施例提供的另一种应用场景的实例示意图。在图3中，smf实体和upf实体被下移到靠近基站的边缘云中。仍然以一家医疗健康的企业为例，该企业可以将业务数据存储在核心网中的dn实体中，当用户的ue要访问该企业的业务数据时，通过基站进入核心网中，并通过边缘云和中心云中的各个nf实体，获取dn实体中的业务数据。

通常，部署在边缘云中的nf实体容易出现安全隐患问题，比如硬件资源受限和无人值守等问题，很容易受到黑客攻击和控制，所以如果核心网中各个nf实体(尤其是部署在边缘云中的nf实体)之间的信息交互仍然直接携带用户信息的话，比较容易泄漏用户隐私。

当然，图3只是以smf实体和upf实体被下移到靠近基站的边缘云中为例，在实际操作过程中，核心网中的其它nf实体也可能被下移到边缘云中，无论是哪一个nf实体被下移到边缘云，都可以采用本申请实施例提供的通信方法，以降低核心网中各个nf实体之间的信息交互过程中，泄露用户隐私的可能性。

需要说明的是，在图1所示的应用场景中，不关心核心网中各个nf实体的部署位置(比如nf实体都可以部署在中心云)，在图3所示的应用场景中，nf实体的部署位置有不同。无论是图1还是图3所示的应用场景，本申请实施例提供的通信方法都适用。当然，本申请实施例提供的通信方法还适用于其它的需要考虑核心网中各个nf实体之间的交互信息不直接携带用户信息的场景中，比如下述的应用场景二。

应用场景二：

图4示出了本申请实施例提供的另一种应用场景的示意图。在图4所示的应用场景中，核心网中包括两个网络切片(networkslice)，即slice#1和slice#2。每个网络切片具备不同的功能特点，面向不同的需求和服务。ue可以根据不同的需求接入不同的网络切片。每个网络切片由独立的nf实体构成。以smf实体和upf实体为例，每个网络切片有各自的smf实体和upf实体。比如，slice#1包括smf#11、smf#12和upf#1；slice#2包括smf#21、smf#22和upf#2。由于每个网络切片实现的功能不同，所以可能某个网络切片中的smf实体和upf实体可能不在运营商的安全信任范围内。比如，slice#1包括smf#11、smf#12和upf#1不在运营商的安全信任范围内。这样的话，若ue接入slice#1，那么在slice#1中的smf实体和upf实体之间的交互信息如果仍然直接携带用户信息，也会导致用户隐私的泄漏。因此，本申请实施例提供的通信方法，可以适用于所有的网络切片，也可以适用于nf实体不在运营商的安全信任范围的网络切片。当然，本申请实施例提供的通信方法，还可以网络切片中的部分nf实体。比如，本申请实施例提供的通信方法只适用于某个网络切片中，不在运营商的安全信任范围的nf实体(即该nf实体接收或者发送的交互信息中不直接携带用户信息，而是携带加密后的用户信息)。对于所述某个网络切片中的其它nf实体(除去不在运营商的安全信任范围的nf实体之外的其它nf实体)，可以采用现有技术的方式进行信息交互(即交互信息可以直接携带用户信息)。无论哪种情况，通过本申请实施例提供的通信方法，有助于降低核心网中各个nf实体之间的信息交互过程中，泄露用户隐私的可能性。

当然，本申请实施例提供的通信方法还可以适用于其它应用场景中，以上的几种只是举例，本申请实施例对此不作限定。

以图3所示的应用场景为例，且以ue建立pdu会话的场景为例。由于upf实体和smf实体被下移到边缘云中，为了尽可能的防止用户信息的泄露，所以upf实体和smf实体接收或者发送的信息中尽可能的不直接携带ue的用户信息，而是携带加密后的用户信息。请参见图5a，为本申请实施例提供的一种pdu会话建立的应用场景的示意图。如图5a所示，ue通过ran接入核心网后，amf实体可以对ue的用户信息进行加密，并在和smf实体的交互信息中携带加密后的用户信息。而且，smf实体和udm实体、pcf实体和chf实体之间的交互信息也携带加密后的用户信息，以防止各个nf实体之间的交互信息直接携带用户信息而导致用户信息泄露。以udm实体为例，由于amf实体可以对用户信息进行加密，所以udm实体需要用户信息的话，可以请求amf实体将用户信息发送给udm实体。对于pcf实体和chf实体，也是同样的方法。在这种方式中，smf实体和upf实体之间的交互信息中不直接携带用户信息，而是携带加密后的用户信息，有助于降低泄露用户隐私的可能性。

为了清楚的描述图5a所示的ue请求建立pdu会话的场景，请参见图5b所示，为本申请实施例提供的一种通信方法的流程示意图。图5b也可以理解为ue和核心网中的nf实体之间的信息交互过程示意图。如图5b所示，所述流程包括:

s501a-s501b：s501a：ue向ran发送第一pdu会话创建请求；所述第一pdu会话创建请求用于请求创建pdu会话；相应的，ran接收ue发送的第一pdu会话创建请求；s501b：ran将所述第一pdu会话创建请求发送给amf实体。

通常，ue接入核心网之前，需要完成注册过程(关于ue的注册过程，将在后文介绍)。ue完成注册之后，若所述ue请求建立pdu会话，则所述ue向amf实体发送第一pdu会话创建请求。amf实体接收到所述ue发送的第一pdu会话创建请求后，可以将该ue的用户信息加密，得到加密后的用户信息。需要说明的是，ue在注册过程中，amf实体可以知晓ue的用户信息(具体过程将在后文介绍)，所以ue注册完成后，amf实体接收到所述ue发送的第一pdu会话创建请求时，可以将ue的而用户信息加密，得到加密后的用户信息。

其中，ue的用户信息可以包括：supi、国际移动用户识别码(internationalmobilesubscriberidentity，imsi)、移动台综合业务数字网号码(mobilestationintegratedservicesdigitalnetworknumber，msisdn)中的一种或者多种。

s502：amf实体对用户信息进行加密，得到加密后的用户信息。

如前述内容可知，用户信息可以有多种，以supi和imsi为例。amf实体可以通过密钥对supi和imsi加密，得到加密后的用户信息。其中，所述密钥可以是运营商为amf实体分配的，也可以是amf实体通过其它方式获得，本申请实施例不作限定。

s503：amf实体向smf实体发送第二pdu会话创建请求，所述第二pdu会话创建请求用于请求创建pdu会话上下文，所述第二pdu会话创建请求中携带有加密后的用户信息(即s502中得到的加密后的用户信息)。

s504：smf实体选择udm实体。

在实际应用中，核心网中可以包括多个udm实体，所以，smf实体可以从多个udm实体中选择一个合适的udm实体。

一种可能的实现方式为，加密后的用户信息中可以携带有udm的路由信息，比如，udm的路由信息是加密后的用户信息中的一个字段，所以smf实体可以根据udm的路由信息从多个udm实体中选择一个合适的udm实体。或者，加密后的用户信息中可以不携带有udm的路由信息，而第二pdu会话创建请求中携带udm的路由信息，也即udm的路由信息不是加密后的用户信息中的一个字段，而是携带于第二pdu会话创建请求中的、独立于加密后的用户信息的其它字段。

当然，smf实体还可以通过其它方式选择udm实体，以上的只是举例，本申请实施例不作限定。

s505：smf实体调用udm实体(即s504中选择出的udm实体)获取ue的签约信息。

具体的，s505可以分为s505a-s505e四步进行。其中，s505a-1：smf实体向udm实体发送pdu会话上下文注册请求，该pdu会话上下文注册请求用于请求注册pdu会话上下文，所述pdu会话上下文注册请求中携带有加密后的用户信息。s505a-2：udm实体向smf实体发送用于指示pdu会话上下文注册成功的响应信息。s505a-3：smf实体向udm实体发送用于获取签约上下文的请求。s505a-4：udm实体向smf实体发送签约上下文。

由于udm实体接收到的pdu会话上下文注册请求中携带的是加密后的用户信息，而udm实体需要知道ue的用户信息，才能从udr中获取签约信息，所以udm实体可以请求amf实体对加密后的用户信息解密，得到用户信息。

如前述内容可知，在s502中，amf实体对用户信息进行加密。因此，amf实体知晓对用户信息进行加密时所采用的加密方式。因此，udm实体可以请求amf实体对加密后的用户信息进行解密。示例性的，amf实体对用户信息加密得到的用户加密信息中可以携带amf实体的路由信息，这样的话，udm实体接收到的pdu会话上下文注册请求后，可以根据加密后的用户信息中携带的amf实体的路由信息，确定对用户信息加密的amf实体是哪一个，确定出amf实体之后，向该amf实体发送的第一解密请求后，第一解密请求用于请求对加密后的用户信息解密(即s505b)。amf实体接收到第一解密请求后，对加密后的用户信息解密，得到用户信息(即s505c)。amf实体将所述用户信息发送给udm实体(即s505d)。udm实体得到ue的用户信息后，可以向udr发送用于请求获取ue的签约信息的请求，所述请求中携带有ue的用户信息(即s505e)。udr将ue的签约信息发送给udm实体(即s505f)。udm实体将ue的签约信息发送给smf实体(即s505g)。

s506：smf实体调用pcf实体获取ue的会话管理策略。

具体的，s506可以分为s506a-s506e五步进行。其中，s506a：smf实体向pcf实体发送用于获取ue的会话管理策略的请求，该请求中携带有加密后的用户信息。如前述内容可知，udr中存储有ue的会话管理策略，所以pcf实体需要知道ue的用户信息，才能从udr中获取ue的会话管理策略。类似于udm实体，pcf实体可以请求amf实体对加密后的用户信息解密，得到用户信息。即pcf实体向amf实体发送的第二解密请求后，第二解密请求用于请求对加密后的用户信息解密(即s506b)。amf实体接收到第二解密请求后，对加密后的用户信息解密，得到用户信息(即s506c)。amf实体将所述用户信息发送给pcf实体(即s506d)。pcf实体得到ue的用户信息后，可以向udr发送用于请求获取ue的会话管理策略的请求，所述请求中携带有ue的用户信息(即s506e)。udr将ue的会话管理策略发送给pcf实体(即s506f)。pcf实体将ue的会话管理策略发送给smf实体(即s506g)。

需要说明的是，由于在s505c中，amf实体已经对加密后的用户信息解密过一次，所以在s505c之后，amf实体可以存储用户信息，当amf实体接收到第二解密请求后，可以无需执行s506c，将存储的用户信息发送给pcf实体。

s507：smf实体调用chf实体为ue计费。

具体的，s507可以分为s507a-s507e五步进行。其中，s507a：smf实体向chf实体发送用于为ue的记录费用的请求，该请求中携带有加密后的用户信息。由于chf实体接收到的用于为ue的记录费用的请求中携带的是加密后的用户信息，所以，chf实体需要知道ue的用户信息时，类似于udm实体，chf实体可以请求amf实体对加密后的用户信息进行解密。即chf实体向该amf实体发送的第三解密请求后，第三解密请求用于请求对加密后的用户信息解密(即s507b)。amf实体接收到第三解密请求后，对加密后的用户信息解密，得到用户信息(即s507c)。amf实体将所述用户信息发送给chf实体(即s507d)。chf实体得到用户信息后，可以从udr实体中获取ue的会话管理策略。以会话管理策略是ue订购的套餐信息为例，chf实体可以基于所述套餐信息，为所述ue计费。s507e：pcf实体向smf实体发送用于指示计费成功的响应信息。

需要说明的是，由于在s505c中，amf实体已经对加密后的用户信息解密过一次，所以在s505c之后，amf实体可以存储用户信息，当amf实体接收到第三解密请求后，可以无需执行s507c，将存储的用户信息发送给chf实体。

s508：smf实体调用upf实体完成n4会话建立(upf实体通过n4接口与smf实体连接)。

具体的，s508可以分s508a-s508b两步实现。其中，s508a：smf实体向upf实体发送n4会话建立请求，该n4会话建立请求用于请求建立pdu会话。s508b，smf实体接收upf实体发送的n4会话建立响应，所述n4会话建立响应用于指示pdu会话建立成功。

由以上的描述可知，在图5a-5b所示的实施例中，amf实体可以对用户信息进行加密，当udm实体、pcf实体、chf实体中的某一个实体需要解密后的用户信息时，可以请求amf对加密后的用户信息进行解密，并将解密结果发送给所述某一个实体。在该实施例中，smf实体和upf实体接收或者发送的信息中都未直接携带用户信息，而是携带的加密后的用户信息。因此，对于被下移到边缘云中的upf实体和smf实体来说，有助于防止用户信息的泄露。下面介绍另一个实施例，在该实施例中，amf实体可以对用户信息进行加密，当udm实体、pcf实体、chf实体需要解密后的用户信息时，udm实体、pcf实体、chf实体可以自己对加密后的用户信息进行解密，得到用户信息。

继续以图3所示的应用场景为例，且以ue建立pdu会话的场景为例。图6a示出了本申请实施例提供的ue建立pdu会话的应用场景的示意图。在图6a中，运营商为amf实体、udm实体、pcf实体和chf实体分别分配密钥。ue通过ran接入核心网后，amf实体可以对用户信息进行加密，并在和smf实体的交互信息中携带加密后的用户信息。且smf实体和udm实体、pcf实体、chf实体之间的交互信息也携带加密后的用户信息，以防止各个nf实体之间的交互信息直接携带用户信息而导致用户信息泄露。由于udm实体、pcf实体和chf实体中存储有密钥，所以udm实体、pcf实体和chf实体需要用户信息的话，可以自己对加密后的用户信息解密，得到用户信息。在这种方式中，smf实体和upf实体之间的交互信息中不直接携带用户信息，而是携带加密后的用户信息，有助于降低泄露用户隐私的可能性。

请参见图6b所示，为本申请实施例提供的一种通信方法的流程示意图。在图6b中，以图6a所示的ue请求建立pdu会话的场景为例，描述ue和核心网中实体之间的信息交互过程。如图6b所示，所述流程包括:

s601：运营商为amf实体、udm实体、pcf实体和chf实体分别分配密钥。

在本申请实施例中，密钥可以有多种，比如对称密钥或非对称密钥。在图6b中，以非对称密钥为例，具体的，s601可以分s601a-s601d四步实现。s601a：运营商为amf实体分配私钥(privatekey)。s601b-s601d：运营商分别可以为udm实体、pcf实体和chf实体分配公钥(publickey)。即，amf实体根据私钥对用户信息加密，udm实体、pcf实体和chf实体各自根据公钥对加密后的用户信息解密，得到用户信息。需要说明的是，本申请实施例不限定s601a-s601d之间的执行顺序。

可选的，s601可以周期性的执行，也可以只执行一次(比如，运营商在amf实体、udm实体、pcf实体和chf实体初次被使用时，为它们分配密钥，在之后的使用过程中，使用该密钥即可)。如果s601是周期性执行的，那么s601a-s601d的执行周期可以相同或者不同。

可选的，在图6b所示的实施例中，只是以运营商为amf实体、udm实体、pcf实体和chf实体分别分配密钥为例，在实际应用中，还可以有其它的密钥分配方式(后续介绍另一种为nf实体分配密钥的方式)。

s602a-s602b：s602a：ue向ran发送第一pdu会话创建请求；相应的，ran接收ue发送的第一pdu会话创建请求；所述第一pdu会话创建请求中携带有用户信息。s602b：ran将所述第一pdu会话创建请求发送给amf实体。

s603：amf实体根据私钥对用户信息进行加密，得到加密后的用户信息。

s604：amf实体向smf实体发送第二pdu会话创建请求，所述第二pdu会话创建请求用于请求创建pdu会话上下文，所述第二pdu会话创建请求中携带有加密后的用户信息(即s603中得到的加密后的用户信息)。

s605：smf实体选择udm实体。

关于s602a-s606的过程，可参见前述的关乎图5b所示的实施例中关于s501a-s505的描述，为了说明书的简洁，在此不多赘述。

s606：smf实体调用udm实体(即s605中选择出的udm实体)获取ue的签约信息。

具体的，s606可以分为s606a-s606c三步进行。s606a-1：smf实体向udm实体发送pdu会话上下文注册请求，该pdu会话上下文注册请求用于请求注册pdu会话上下文，所述pdu会话上下文注册请求中携带有加密后的用户信息。s606a-2：udm实体向smf实体发送用于指示pdu会话上下文注册成功的响应信息。s606a-3：smf实体向udm实体发送用于获取签约上下文的请求。s606a-4：udm实体向smf实体发送签约上下文。

如前述内容可知，udm实体需要知道ue的用户信息，才能获取ue的签约信息，而运营商已经为udm实体分配了公钥，所以udm实体可以通过公钥对加密后的用户信息进行解密，得到用户信息(即s606b)。udm实体得到ue的用户信息后，可以向udr发送用于请求获取ue的签约信息的请求，所述请求中携带有ue的用户信息(即s606c)。udr将ue的签约信息发送给udm实体(即s606d)。udm实体将ue的签约信息发送给smf实体(即s606e)。

s607：smf实体调用pcf实体获取ue的会话管理策略。

具体的，s607可以分为s607a-s607c三步进行。其中，s607a：smf实体向pcf实体发送用于获取ue的会话管理策略的请求，该请求中携带有加密后的用户信息。由于，pcf实体需要知道ue的用户信息，才能确定ue的会话管理策略，而运营商已经为pcf实体分配了公钥，所以pcf实体可以通过所述公钥对加密后的用户信息进行解密，得到用户信息(即s607b)。pcf实体得到ue的用户信息后，可以向udr发送用于请求获取ue的会话管理策略的请求，所述请求中携带有ue的用户信息(即s607c)。udr将ue的会话管理策略发送给pcf实体(即s607d)。pcf实体将ue的会话管理策略发送给smf实体(即s607e)。s607c：pcf实体将所述ue的会话管理策略发送给smf实体。

s608：smf实体调用chf实体为ue计费。

具体的，s608可以分为s608a-s608c三步进行。其中，s608a：smf实体向chf实体发送用于为ue的记录费用的请求，该请求中携带有加密后的用户信息。chf实体需要知道ue的用户信息时，可以根据运营商为chf实体分配了公钥对加密后的用户信息进行解密，得到用户信息(即s608b)。s608c：chf实体向smf实体发送计费成功的响应信息。

s609：smf实体调用upf实体完成n4会话建立。

具体的，s609可以分s609a-s609b两步实现。其中，s609a：smf实体向upf实体发送n4会话建立请求，该n4会话建立请求用于请求建立pdu会话。s609b，smf实体接收upf实体发送的n4会话建立响应，所述n4会话建立响应用于指示pdu会话建立成功。

通过以上描述可知，在图6a-6b所示的实施例中，amf实体可以对用户信息进行加密，当udm实体、pcf实体、chf需实体要解密后的用户信息时，udm实体、pcf实体、chf实体可以自己对加密后的用户信息进行解密，得到用户信息。下面介绍另一个实施例，在该实施例中，amf实体可以对用户信息进行加密，而udm实体可以自己对加密后的用户信息进行解密，pcf实体、chf实体可以请求udm实体对加密后的用户信息进行解密，并将解密结果发送给pcf实体、chf实体。

继续以图3所示的应用场景为例，且以ue建立pdu会话的场景为例。图7a示出了本申请实施例提供的ue建立pdu会话的应用场景的示意图。ue通过ran接入核心网后，amf实体可以对用户信息进行加密，并在和smf实体的交互信息中携带加密后的用户信息。且smf实体和udm实体、pcf实体和chf实体之间的交互信息也携带加密后的用户信息，以防止各个nf实体之间的交互信息直接携带用户信息而导致用户信息泄露。由于udm实体中存储有密钥，所以udm实体可以自己对加密后的用户信息解密，得到用户信息。pcf实体、chf实体可以请求udm实体对加密后的用户信息进行解密，并将解密结果发送给pcf实体、chf实体。在这种方式中，smf实体和upf实体之间的交互信息中不直接携带用户信息，而是携带加密后的用户信息，有助于降低泄露用户隐私的可能性。

图7b示出了本申请实施例提供的一种通信方法的流程图。在图7b中，图7a所示的ue请求建立pdu会话的场景为例，描述ue和核心网中实体之间的信息交互过程。如图7b所示，所述流程包括：

s700：ue的注册过程。

需要说明的是，在ue与核心网建立数据传输之前，ue可以注册到核心网中。因此，ue在注册过程中，核心网需要对ue的合法性进行验证。若核心网验证ue是合法的，则ue注册成功。

具体的，s700可以分s700a-s700g六步实现。s700a：ue向ran发送注册请求(registrationrequest)，所述注册请求用于请求注册核心网，所述注册请求携带有suci。s700b：ran将所述注册请求发送给amf实体。s700c：amf实体向ausf实体发送鉴权请求，所述鉴权请求中携带有suci。s700d：ausf实体向udm实体发送用于请求用户鉴权集的请求，所述用户鉴权集中包括用于验证所述ue是否为合法用户的参数。比如，用户鉴权集可以是运营商分别为ue和udm分配的鉴权参数。s700e：udm实体将用户鉴权集发送给ausf实体。s700f：ausf实体通过用户鉴权集对ue进行鉴权，得到鉴权结果。s700g：ausf实体将鉴权结果发送给amf实体。需要说明的是，在这一过程中，当ausf得到的鉴权结果表征ue为合法用户时，ausf实体可以为amf分配密钥。当然，在这一过程中，ue也可以对核心网进行鉴权，ue对核心网的鉴权方式可按照现有技术的方式进行，为了说明书的简洁，在此不作赘述。

如前述内容可知，在该实施例中，udm实体可以对加密后的用户进行解密，所以udm实体知道密钥。示例性的，在s700中，即在ue注册过程中，ausf实体为amf实体分配了密钥，所以ausf也可以为udm实体分配密钥(图7b中未示出)，或者运营商为udm实体分配密钥(图7b中未示出)。或者，在s700中，ausf实体不为amf实体分配密钥，由运营商一起为amf实体和udm实体分配密钥。当然，还可以有其它的分配密钥的方式，本申请实施例不作限定。

s701a-s701b：s701a：ue向ran发送第一pdu会话创建请求；相应的，ran接收ue发送的第一pdu会话创建请求；所述第一pdu会话创建请求中携带有用户信息。s701b：ran将所述第一pdu会话创建请求发送给amf实体。

s702：amf实体对用户信息进行加密，得到加密后的用户信息。

需要说明的是，如前述内容可知，用户信息可以包括多种，假设用户信息只有supi，那么amf实体可以无需执行s702。因为，在注册过程中的s700a-s700c中，amf实体已经获得了ue的suci(suci是对supi加密后得到的)。所以如果用户信息只有supi的话，amf实体可以无需执行s702，直接执行s703，即suci就是加密后的用户信息，也即第二pdu会话创建请求中携带的是suci。

s703：amf实体向smf实体发送第二pdu会话创建请求，所述第二pdu会话创建请求用于请求创建pdu会话上下文，所述第二pdu会话创建请求中携带有加密后的用户信息(即s702中得到的加密后的用户信息)。

s704：smf实体选择udm实体。

s705：smf实体通过udm实体(即s704中选择出的udm实体)获取ue的签约信息。

具体的，s705可以分为s705a-s705b两步进行。s705a-1：smf实体向udm实体发送pdu会话上下文注册请求，该pdu会话上下文注册请求用于请求注册pdu会话上下文，所述pdu会话上下文注册请求中携带有加密后的用户信息。s705a-2：udm实体向smf实体发送用于指示pdu会话上下文注册成功的响应信息。s705a-3：smf实体向udm实体发送用于获取签约上下文的请求。s705a-4：udm实体向smf实体发送签约上下文。

由于udm实体接收到的pdu会话上下文注册请求中携带的是加密后的用户信息，所以udm实体需要用户信息时，可以对加密后的用户信息解密。如前述内容可知，udm实体中存储有密钥，所以udm实体可以自己对加密的用户信息解密，得到用户信息(即s705b)。udm实体得到ue的用户信息后，可以向udr发送用于请求获取ue的签约信息的请求，所述请求中携带有ue的用户信息(即s705c)。udr将ue的签约信息发送给udm实体(即s705d)。udm实体将ue的签约信息发送给smf实体(即s705e)。

s706：smf实体调用pcf实体获取ue的会话管理策略。

具体的，s706可以分为s706a-s706d四步进行。其中，s706a：smf实体向pcf实体发送用于获取ue的会话管理策略的请求，该请求中携带有加密后的用户信息。由于pcf实体接收到的用于获取ue的会话管理策略的请求中携带的是加密后的用户信息。因此，pcf实体需要获取用户信息时，可以请求udm实体对加密后的用户信息进行解密。即pcf实体向该udm实体发送的第一解密请求后，第一解密请求用于请求对加密后的用户信息解密(即s706b)。udm实体接收到第一解密请求后，将所述用户信息发送给pcf实体(即s706c)。pcf实体得到ue的用户信息后，可以向udr发送用于请求获取ue的会话管理策略的请求，所述请求中携带有ue的用户信息(即s706d)。udr将ue的会话管理策略发送给pcf实体(即s706e)。pcf实体将ue的会话管理策略发送给smf实体(即s706f)。

s707：smf实体调用chf实体为ue计费。

具体的，s707可以分为s707a-s707d四步进行。其中，s707a：smf实体向chf实体发送用于为ue的记录费用的请求，该请求中携带有加密后的用户信息。由于chf实体接收到的用于为ue的记录费用的请求中携带的是加密后的用户信息。因此，chf实体需要获取用户信息时，类似于pcf实体，chf实体也可以请求udm实体对加密后的用户信息进行解密。即chf实体向该udm实体发送的第二解密请求后，第二解密请求用于请求对加密后的用户信息解密(即s707b)。udm实体接收到第二解密请求后，将所述用户信息发送给chf实体(即s707c)。chf实体得到用户信息后，可以从udr实体中获取ue的会话管理策略，比如ue订购的套餐信息，chf实体基于所述套餐信息，为所述ue计费。s707d：pcf实体向smf实体发送计费成功的响应信息。

s708：smf实体调用upf实体完成n4会话建立。

具体的，s708可以分s708a-s708b两步实现。其中，s708a：smf实体向upf实体发送n4会话建立请求，该n4会话建立请求用于请求建立pdu会话。s708b，smf实体接收upf实体发送的n4会话建立响应，所述n4会话建立响应用于指示pdu会话建立成功。

通过以上描述可知，在图7a-7b所示的实施例中，amf实体可以对用户信息进行加密，而udm实体可以自己对加密后的用户信息进行解密，pcf实体、chf实体可以请求udm实体对加密后的用户信息进行解密，并将解密结果发送给pcf实体、chf实体。在另一些实施例中，amf实体可以对用户信息进行加密，pcf实体可以自己对加密后的用户信息进行解密，udm实体、chf实体可以请求pcf实体对加密后的用户信息进行解密，并将解密结果发送给udm实体、chf实体。这种实施例中，amf实体和pcf实体需要知道密钥，所以可以按照前述的分配密钥的方式为amf实体和pcf实体分配密钥，比如运营商可以为amf实体和pcf实体分配密钥。在另一些实施例中，amf实体可以对用户信息进行加密，chf实体可以自己对加密后的用户信息进行解密，udm实体、pcf实体可以请求chf实体对加密后的用户信息进行解密，并将解密结果发送给udm实体、pcf实体。这种实施例中，amf实体和chf实体需要知道密钥，所以可以按照前述的分配密钥的方式为amf实体和chf实体分配密钥。

需要说明的是，在图5a-7b所示的实施例中是以图3所示的场景为例进行说明的，也即时以upf实体和smf实体被下移到边缘云为例进行说明的。在实际应用中，可能是其它nf实体，比如udm实体或者pcf实体被下移到边缘云中。以pcf实体被下移到边缘云为例，为了尽可能的保证用户信息不被泄露，所以pcf实体自身尽可能的不接触用户信息(比如，pcf实体接收或发送的信息中不携带用户信息)，也可以采用基于图5b所示的通信方法相同的思路。因此，无论哪一个nf实体被下移到边缘云中，都可以采用基于图5b所示的通信方法相同的思路，尽可能的保证被下移到边缘云中的nf实体接收或者发送的信息中不直接携带用户信息，而是携带加密后的用户信息。

本申请的各个实施方式可以任意进行组合，以实现不同的技术效果。

举例来说，以图7b所示的实施例为例，虽然ausf实体为amf实体和udm实体分配了密钥，但是当pcf实体(或者chf实体)需要用户信息时，也可以不请求udm实体，而是请求amf实体对加密后的用户信息解密，并将解密结果发送给pcf实体(或者chf实体)。

上述本申请提供的实施例中，从核心网中的各个nf实体作为执行主体的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能，各个nf实体可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。

下面结合附图介绍本发明实施例提供的设备。

图8示出了一种通信装置800的结构示意图。该通信装置900可以实现上文中涉及的amf实体的功能。该通信装置800可以包括接收器801、处理器802和发送器803。其中，接收器801、处理器802和发送器803可以通过总线进行连接。当然，在实际运用中，接收器801、处理器802和发送器803可以不是总线结构，而可以是其它结构，例如星型结构，本申请不作具体限定。

其中，接收器801可以用于执行图5b所示的实施例中的s501b、s505c、s506b、s507b，和/或用于支持本文所描述的技术的其它过程；或者，接收器801可以用于执行图6b所示的实施例中的s601a、s602b，和/或用于支持本文所描述的技术的其它过程；或者，接收器801可以用于执行图7b所示的实施例中的s700b、s700g、s701b，和/或用于支持本文所描述的技术的其它过程。

处理器802可以用于执行图5b所示的实施例中的s502、s505c、s506c、s507c，和/或用于支持本文所描述的技术的其它过程；或者，处理器802可以用于执行图6b所示的实施例中的s603，和/或用于支持本文所描述的技术的其它过程；或者，处理器802可以用于执行图7b所示的实施例中的s702，和/或用于支持本文所描述的技术的其它过程。

发送器803可以用于执行图5b所示的实施例中的s503、s505d、s506d、s507d，和/或用于支持本文所描述的技术的其它过程；或者，发送器803可以用于执行图6b所示的实施例中的s604，和/或用于支持本文所描述的技术的其它过程；或者，发送器803可以用于执行图7b所示的实施例中的s700c、s703，和/或用于支持本文所描述的技术的其它过程。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

图9示出了一种通信装置900的结构示意图。该通信装置900可以实现上文中涉及的udm实体的功能。该通信装置900可以包括接收器901、处理器902和发送器903。其中，接收器901、处理器902和发送器903可以通过总线进行连接。当然，在实际运用中，接收器901、处理器902和发送器903可以不是总线结构，而可以是其它结构，例如星型结构，本申请不作具体限定。

其中，接收器901可以用于执行图5b所示的实施例中的s505a-1、s505a-3、s505d、s505f，和/或用于支持本文所描述的技术的其它过程；或者，接收器901可以用于执行图6b所示的实施例中的s601b、s606a-1、s606a-3、s606d，和/或用于支持本文所描述的技术的其它过程；或者，接收器901可以用于执行图7b所示的实施例中的s700d、s705a-1、s705a-3、s705d，和/或用于支持本文所描述的技术的其它过程。

处理器902可以用于执行图6b所示的实施例中的s606b，和/或用于支持本文所描述的技术的其它过程；或者，处理器902可以用于执行图7b所示的实施例中的s705b，和/或用于支持本文所描述的技术的其它过程。

发送器903可以用于执行图5b所示的实施例中的s505a-2、s505a-4、s505b、s505b、s505g，和/或用于支持本文所描述的技术的其它过程；或者，发送器903可以用于执行图6b所示的实施例中的s606a-2、s606a-4、s606c、s606e，和/或用于支持本文所描述的技术的其它过程；或者，发送器903可以用于执行图7b所示的实施例中的s700e、s705a-2、s705a-4、s705c、s705e，和/或用于支持本文所描述的技术的其它过程。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

可选的，图8或者图9所示的通信装置中的处理器具体可以是通用的中央处理器或特定应用集成电路(英文：applicationspecificintegratedcircuit，简称：asic)，可以是一个或多个用于控制程序执行的集成电路，可以是使用现场可编程门阵列(英文：fieldprogrammablegatearray，简称：fpga)开发的硬件电路，可以是基带处理器。

可选的，处理器可以包括至少一个处理核心。

可选的，发送器和接收器在物理上可以相互独立也可以集成在一起。

发送器和接收器可以为射频电路；或者发送器是发送端口，接收器是接收端口。

可选的，图8或者图9所示的通信装置中还可以包括存储器，存储器可以包括只读存储器(英文：readonlymemory，简称：rom)、随机存取存储器(英文：randomaccessmemory，简称：ram)和磁盘存储器中的一种或多种。存储器可以用于存储处理器运行时所需的数据和/或指令。存储器的数量可以为一个或多个。

本申请实施例还提供一种计算机存储介质，该存储介质可以包括存储器，该存储器可存储有程序，该程序执行时包括如前的图5b、图6b或图7b所示的方法实施例中记载的amf所执行的全部步骤。

本申请实施例还提供一种计算机存储介质，该存储介质可以包括存储器，该存储器可存储有程序，该程序执行时包括如前的图5b、图6b或图7b所示的方法实施例中记载的udm所执行的全部步骤。

本发明实施例还提供一种包含计算机程序产品，当所述计算机程序产品在amf上运行时，使得所述amf执行包括如前的图5b、图6b或图7b所示的方法实施例中记载的amf所执行的全部步骤。

本发明实施例还提供一种包含计算机程序产品，当所述计算机程序产品在udm上运行时，使得所述udm执行包括如前的图5b、图6b或图7b所示的方法实施例中记载的udm所执行的全部步骤。

本领域内的技术人员应明白，本发明实施例可提供为方法、系统、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。