一种报文传输系统、方法及装置与流程

1.本公开涉及报文传输技术领域，特别是涉及一种报文传输系统、方法及装置。


背景技术：

2.5g(5th generation mobile communication technology，第五代移动通信技术)核心网用于管理5g网络的数据传输，包括upf(user plane function，用户面功能网元)、smf(session management function、管理功能网元)等。5g核心网中的用户面功能网元可以独立于管理功能网元等其他网元独立部署。例如，为了提高通信效率、降低网络延迟，可以将多个用户面功能网元下沉部署到更靠近用户终端的位置，例如，公共场所，专网用户园区等。
3.在用户终端通过任一用户面功能网元实现会话的过程中，该用户面功能网元需要与会话管理功能网元进行报文的传输。然而由于该用户面功能网元与管理功能网元分离部署，导致该用户面功能网元与会话管理功能网元之间报文的数据，存在信息泄露及被篡改的风险。因此，如何提高多个下沉部署的用户面功能网元与会话管理功能网元之间通信安全性是亟需解决的技术问题。


技术实现要素：

4.本公开实施例的目的在于提供一种报文传输系统、方法及装置，以提高多个下沉部署的用户面功能网元与会话管理功能网元之间通信安全性。具体技术方案如下：
5.第一方面，本公开实施例提供了一种报文传输系统，包括：会话管理功能网元和多个用户面功能网元，其中：
6.每一用户面功能网元，用于在该用户面功能网元达到预设的第一报文生成需求时，生成针对所述第一报文生成需求的第一报文；利用该用户面功能网元关联的加密方式，对所述第一报文进行加密，得到第一加密报文；向所述会话管理功能网元发送所述第一加密报文；其中，每一用户面功能网元关联的加密方式为：该用户面功能网元预先与所述会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；每一用户面功能网元对应的虚拟地址信息为：该用户面功能网元与所述会话管理功能网元预先约定的地址信息；
7.所述会话管理功能网元，用于在接收到所述第一加密报文后，确定所述第一加密报文所携带的虚拟地址信息；基于预设的虚拟地址信息与解密方式的关联关系，确定与所述第一加密报文所携带的虚拟地址信息关联的解密方式，以及按照所述解密方式，对所述第一加密报文进行解密，得到所述第一报文；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式。
8.可选地，每一用户面功能网元关联的加密方式为：利用该用户面功能网元关联的密钥，对所述第一报文进行加密，并利用该用户面功能网元对应的虚拟地址信息和加密所得的加密数据，生成报文，作为第一加密报文；其中，每一用户面功能网元关联的密钥为：该
用户面功能网元与所述会话管理功能网元预先约定的密钥；
9.每一虚拟地址信息关联的解密方式为：利用该虚拟地址信息对应的用户面功能网元关联的密钥，对携带有该虚拟地址信息的加密报文中的加密数据进行解密。
10.可选地，所述会话管理功能网元，还用于在任一用户面功能网元满足预设更新条件时，向满足所述预设更新条件的用户面功能网元发送指示更新密钥的第一数据；
11.所述满足所述预设更新条件的用户面功能网元，还用于接收所述第一数据，基于所述第一数据更新该用户面功能网元关联的密钥；基于所述第一数据，生成指示生成所述更新后的密钥的第二数据，并向所述会话管理功能网元发送所述第二数据；
12.所述会话管理功能网元，还用于：
13.接收所述第二数据，并基于所述第二数据，更新所述满足所述预设更新条件的用户面功能网元对应的虚拟地址信息所对应的密钥。
14.可选地，所述预设更新条件包括以下条件中的至少一种：
15.用户面功能网元关联的密钥使用时长大于预设时长阈值；
16.用户面功能网元关联的密钥使用次数大于预设数量阈值；
17.用户面功能网元关联的密钥所对应的报文数据量大于预设数据量阈值；其中，每一密钥所对应的报文数据量为：利用该密钥进行加密的报文的总数据量，或利用该密钥加密所得到的加密报文的总数据量。
18.可选地，所述会话管理功能网元，还用于从所述会话管理功能网元可采用的至少一种加密方式中，选取至少一备选加密方式；向待约定加密方式的用户面功能网元发送所述至少一备选加密方式；
19.所述待约定加密方式的用户面功能网元，用于接收所述至少一备选加密方式；从所述至少一备选加密方式中，选取一备选加密方式，作为目标备选加密方式；向所述会话管理功能网元发送所述目标备选加密方式；
20.所述会话管理功能网元，还用于接收所述目标备选加密方式；确定与所述目标备选加密方式相匹配的解密方式；向所述待约定加密方式的用户面功能网元发送加密确认消息；
21.所述待约定加密方式的用户面功能网元，还用于在接收到所述加密确认消息后，将所述目标备选加密方式作为该用户面功能网元关联的加密方式。
22.可选地，所述会话管理功能网元，还用于在向待约定加密方式的用户面功能网元发送所述至少一备选加密方式之前，向所述待约定加密方式的用户面功能网元发送第一身份标识；
23.所述待约定加密方式的用户面功能网元，用于接收所述第一身份标识，并验证所述第一身份标识是否正确；若是，则向所述会话管理功能网元发送所述待约定加密方式的用户面功能网元的第二身份标识；
24.所述会话管理功能网元，还用于接收所述第二身份标识，并验证所述第二身份标识是否正确；若是，则向待约定加密方式的用户面功能网元发送所述至少一备选加密方式。
25.可选地，所述会话管理功能网元，还用于在达到针对任一用户面功能网元的预设的第二报文生成需求时，生成针对所述第二报文生成需求的第二报文；利用与该用户面功能网元关联的加密方式，对所述第二报文进行加密，得到第二加密报文；向该用户面功能网
元发送所述第二加密报文；
26.每一用户面功能网元，还用于在接收到所述第二加密报文后，利用与该用户面功能网元关联的解密方式，对所述第二加密报文进行解密，得到所述第二报文；其中，每一用户面功能网元关联的解密方式为：与该用户面功能网元关联的加密方式匹配的解密方式。
27.可选地，任一用户面功能网元包括：处理模块，和加解密模块，其中：
28.所述处理模块，用于在该用户面功能网元达到预设的第一报文生成需求时，生成所述第一报文，并向所述加解密模块发送所述第一报文；
29.所述加解密模块，用于接收所述第一报文，利用该用户面功能网元关联的加密方式，对所述第一报文进行加密，得到所述第一加密报文，向所述会话管理功能网元发送所述第一加密报文，并接收所述第二加密报文，在接收到所述第二加密报文后，利用该用户面功能网元关联的解密方式，对所述第二加密报文进行解密，得到所述第二报文，将所述第二报文发送至所述处理模块。
30.第二方面，本公开实施例提供了一种报文传输方法，应用于报文传输系统中的会话管理功能网元，所述报文传输系统还包括多个用户面功能网元，所述方法包括：
31.当接收到任一用户面功能网元发送的第一加密报文时，确定所述第一加密报文所携带的虚拟地址信息；其中，所述第一加密报文为利用该用户面功能网元关联的加密方式，对第一报文进行加密得到的；所述第一报文为该用户面功能网元达到预设的第一报文生成需求时，生成的针对所述第一报文生成需求的报文；每一用户面功能网元关联的加密方式为：该用户面功能网元预先与所述会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；每一用户面功能网元对应的虚拟地址信息为：该用户面功能网元与所述会话管理功能网元预先约定的地址信息；
32.基于预设的虚拟地址信息与解密方式的关联关系，确定与所确定的虚拟地址信息关联的解密方式；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式；
33.按照所确定的解密方式，对所述第一加密报文进行解密，得到所述第一报文。
34.可选地，所述方法还包括：
35.在达到针对任一用户面功能网元的预设的第二报文生成需求时，生成针对所述第二报文生成需求的第二报文；
36.利用该用户面功能网元关联的加密方式，对所述第二报文进行加密，得到第二加密报文；
37.向该用户面功能网元发送所述第二加密报文，以使该用户面功能网元在接收到所述第二加密报文后，利用该用户面功能网元关联的解密方式，对所述第二加密报文进行解密，得到所述第二报文；其中，每一用户面功能网元关联的解密方式为：与该用户面功能网元关联的加密方式匹配的解密方式。
38.第三方面，本公开实施例提供了一种报文传输方法，应用于报文传输系统中的用户面功能网元，所述报文传输系统还包括会话管理功能网元，所述方法包括：
39.在所述用户面功能网元达到预设的第一报文生成需求时，生成针对所述第一报文生成需求的第一报文；
40.利用所述用户面功能网元关联的加密方式，对所述第一报文进行加密，得到第一
加密报文；其中，所述用户面功能网元关联的加密方式为：所述用户面功能网元预先与所述会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；所述用户面功能网元对应的虚拟地址信息为：所述用户面功能网元与所述会话管理功能网元预先约定的地址信息；
41.向所述会话管理功能网元发送所述第一加密报文；以使所述会话管理功能网元，在接收到所述第一加密报文后，确定所述第一加密报文所携带的虚拟地址信息，基于预设的虚拟地址信息与解密方式的关联关系，确定与所述第一加密报文所携带的虚拟地址信息关联的解密方式，以及按照所确定的解密方式，对所述第一加密报文进行解密，得到所述第一报文；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式。
42.可选地，所述方法还包括：
43.当接收到会话管理功能网元发送的第二加密报文时，利用与所述用户面功能网元关联的解密方式，对所述第二加密报文进行解密，得到所述第二报文；其中，所述第二加密报文为利用该用户面功能网元关联的加密方式，对所述第二报文进行加密得到的；所述第二报文为所述会话管理功能网元在达到针对所述用户面功能网元的预设的第二报文生成需求时生成的；所述用户面功能网元关联的解密方式为：与所述用户面功能网元关联的加密方式匹配的解密方式。
44.第四方面，本公开实施例提供了一种报文传输装置，应用于报文传输系统中的会话管理功能网元，所述报文传输系统还包括多个用户面功能网元，所述装置包括：
45.第一确定模块，用于当接收到任一用户面功能网元发送的第一加密报文时，确定所述第一加密报文所携带的虚拟地址信息；其中，所述第一加密报文为利用该用户面功能网元关联的加密方式，对第一报文进行加密得到的；所述第一报文为该用户面功能网元达到预设的第一报文生成需求时，生成的针对所述第一报文生成需求的报文；每一用户面功能网元关联的加密方式为：该用户面功能网元预先与所述会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；每一用户面功能网元对应的虚拟地址信息为：该用户面功能网元与所述会话管理功能网元预先约定的地址信息；
46.第二确定模块，用于基于预设的虚拟地址信息与解密方式的关联关系，确定与所确定的虚拟地址信息关联的解密方式；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式；
47.解密模块，用于按照所确定的的解密方式，对所述第一加密报文进行解密，得到所述第一报文。
48.第五方面，本公开实施例提供了一种报文传输装置，应用于报文传输系统中的用户面功能网元，所述报文传输系统还包括会话管理功能网元，所述装置包括：
49.生成模块，用于在所述用户面功能网元达到预设的第一报文生成需求时，生成针对所述第一报文生成需求的第一报文；
50.加密模块，用于利用所述用户面功能网元关联的加密方式，对所述第一报文进行加密，得到第一加密报文；其中，所述用户面功能网元关联的加密方式为：所述用户面功能网元预先与所述会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地
址信息的加密报文的加密方式；所述用户面功能网元对应的虚拟地址信息为：所述用户面功能网元与所述会话管理功能网元预先约定的地址信息；
51.发送模块，用于向所述会话管理功能网元发送所述第一加密报文；以使所述会话管理功能网元，在接收到所述第一加密报文后，确定所述第一加密报文所携带的虚拟地址信息，基于预设的虚拟地址信息与解密方式的关联关系，确定与所述第一加密报文所携带的虚拟地址信息关联的解密方式，以及按照所述解密方式，对所述第一加密报文进行解密，得到所述第一报文；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式。
52.第六方面，本公开实施例提供了一种电子设备，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；
53.存储器，用于存放计算机程序；
54.处理器，用于执行存储器上所存放的程序时，实现上述数据传输方法的步骤。
55.第七方面，本公开实施例提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述数据传输方法的步骤。
56.本公开实施例有益效果：
57.本公开实施例提供的一种报文传输系统，包括：会话管理功能网元和多个用户面功能网元，其中：每一用户面功能网元，在该用户面功能网元生成第一报文后；利用该用户面功能网元关联的加密方式，对第一报文进行加密，得到第一加密报文；再向会话管理功能网元发送该第一加密报文；会话管理功能网元，在接收到该第一加密报文后，确定该第一加密报文所携带的虚拟地址信息，并基于预设的虚拟地址信息与解密方式的对应关系，确定与所确定的虚拟地址信息关联的解密方式，以及按照该解密方式，对该第一加密报文进行解密，得到第一报文。本方案中，利用预设的虚拟地址信息所对应的加密方式，实现了对多个用户面功能网元和会话管理功能网元之间传输信息的加密，以及根据虚拟地址信息对应的解密方式，实现了对传输信息的解密，多个用户面功能网元和会话管理功能网元之间的报文在传输过程中是处于加密状态的，因此，通过本方案，提高了用户面功能网元和会话管理功能网元之间通信的安全性。
58.当然，实施本公开的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
59.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的实施例。
60.图1为下沉部署的用户面功能网元场景的场景图；
61.图2为会话管理功能网元与用户面功能网元之间交互的示意图；
62.图3为本公开实施例所提供的报文传输系统的结构示意图；
63.图4为本公开实施例所提供的会话管理功能网元与用户面功能网元之间交互的示
response(会话建立答复)。在这个过程中，会话管理功能网元与用户面功能网元之间传输的数据，仍然使用真实地址进行封装，且该过程中还会携带有用户终端的用户信息，例如，imsi(international mobile subscriber identity，国际移动用户识别码)号、手机号、数据网络名称等。由于用户面功能网元与管理功能网元分离部署，且使用pfcp的明文进行报文传输，存在n4接口的真实地址和用户信息的泄露，以及传输的数据被篡改的风险。
74.可见，如何提高多个下沉部署的用户面功能网元与会话管理功能网元之间通信安全性是亟需解决的技术问题。
75.为了提高多个下沉部署的用户面功能网元与会话管理功能网元之间通信安全性，本公开实施例提供了一种报文传输系统、方法及装置。
76.上述报文传输系统可以包括：会话管理功能网元和多个用户面功能网元，其中：
77.每一用户面功能网元，用于在该用户面功能网元达到预设的第一报文生成需求时，生成针对第一报文生成需求的第一报文；利用该用户面功能网元关联的加密方式，对第一报文进行加密，得到第一加密报文；向会话管理功能网元发送第一加密报文；其中，每一用户面功能网元关联的加密报文生成为：该用户面功能网元预先与会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；每一用户面功能网元对应的虚拟地址信息为：该用户面功能网元与会话管理功能网元预先约定的地址信息；
78.会话管理功能网元，用于在接收到第一加密报文后，确定第一加密报文所携带的虚拟地址信息；基于预设的虚拟地址信息与解密方式的关联关系，确定与第一加密报文所携带的虚拟地址信息关联的解密方式，以及按照所述解密方式，对第一加密报文进行解密，得到第一报文；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式。
79.本方案中，利用预设的虚拟地址信息所关联的加密方式，实现了对多个用户面功能网元和会话管理功能网元之间传输信息的加密，以及根据虚拟地址信息对应的解密方式，实现了对传输报文的解密，多个用户面功能网元和会话管理功能网元之间的报文在传输过程中是处于加密状态的，因此，通过本方案，提高了下沉场景下的用户面功能网元和会话管理功能网元之间通信的安全性。
80.下面结合附图，对本公开实施例所提供的报文传输系统进行示例性介绍，如图3，该系统包括：会话管理功能网元310和多个用户面功能网元320，其中：
81.每一用户面功能网元320，用于在该用户面功能网元320达到预设的第一报文生成需求时，生成针对第一报文生成需求的第一报文；利用该用户面功能网元320关联的加密方式，对第一报文进行加密，得到第一加密报文；向会话管理功能网元310发送第一加密报文；其中，每一用户面功能网元320对应的加密报文生成为：该用户面功能网元320预先与会话管理功能网元310约定的、用于生成包含该用户面功能网元320对应的虚拟地址信息的加密报文的加密方式；每一用户面功能网元320对应的虚拟地址信息为：该用户面功能网元320与会话管理功能网元310预先约定的地址信息；
82.本实施例中，预设的第一报文生成需求可以是用户面功能网元320针对会话管理功能网元310生成报文的任意需求，例如，用户面功能网元320接收到会话管理功能网元310发送的会话建立请求后生成会话建立答复的需求，接收到会话管理功能网元310发送的会
话修改请求后生成会话修改答复的需求等。生成的第一报文可以为用户面功能网元320需要向会话管理功能网元310发送的所有类型的报文，例如会话建立答复、会话修改答复等。
83.本实施例中，可以预先为会话管理功能网元310和每一用户面功能网元320预先设置虚拟地址信息，同时，为每一用户面功能网元320预先设置与会话管理功能网元310之间进行通信的加密方式，每一用户面功能网元320存在一个虚拟地址信息，且与会话管理功能网元310之间，存在一种加密方式，因此加密方式可以与用户面功能网元320的虚拟地址信息相对应。
84.上述关联的加密方式为：用于生成包含该用户面功能网元320对应的虚拟地址信息的加密报文的加密方式，具体而言，是在对第一报文进行加密时，在第一报文中添加用户面功能网元320对应的虚拟地址信息。该虚拟地址信息包括：该用户面功能网元320的虚拟地址，和会话管理功能网元310的虚拟地址。添加用户面功能网元320对应的虚拟地址信息后，再对第一报文中的数据信息以及该用户面功能网元320和会话管理功能网元310的真实地址进行加密，从而实现对第一报文中数据信息的加密，以及该用户面功能网元320和会话管理功能网元310真实地址的隐藏。
85.一般而言，报文的头部是源地址信息以及目的地址信息，因此，针对第一报文，可以将虚拟源地址信息添加在第一报文的报头，使得第一报文的源地址信息变为该用户面功能网元320的虚拟地址，目的地址变为会话管理功能网元310的虚拟地址。加密方式具体可以用于指示：密钥以及预定的加密算法，加密的过程则为密钥以及预定的加密算法对第一报文的真实地址和数据信息进行加密。密钥为在将明文转换为密文或将密文转换为明文的算法中输入的参数。加密算法可以为des(data encryption standard，数据加密标准)算法、3des(triple data encryption algorithm，是三重数据加密)算法等。
86.在加密方式指示密钥以及预定的加密算法的情况下，每一用户面功能网元320关联的加密方式为利用该用户面功能网元320关联的密钥，对第一报文进行加密，得到加密数据，进而利用该用户面功能网元320对应的虚拟地址信息和所得到的加密数据，生成报文，作为第一加密报文。
87.上述每一用户面功能网元320关联的密钥为：该用户面功能网元320与会话管理功能网元310预先约定的密钥；
88.本实施例中，可以先利用该用户面功能网元320关联的密钥对第一报文的真实地址信息和数据信息进行加密，得到加密数据，再为该加密数据添加虚拟源地址作为报头，得到第一加密报文。
89.会话管理功能网元310，用于在接收到第一加密报文后，确定第一加密报文所携带的虚拟地址信息；基于预设的虚拟地址信息与解密方式的关联关系，确定与第一加密报文所携带的虚拟地址信息关联的解密方式，以及按照该解密方式，对第一加密报文进行解密，得到第一报文；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元320所关联的加密方式匹配的解密方式。
90.在加密方式指示密钥以及预定的加密算法的情况下，每一虚拟地址信息关联的解密方式为：利用该虚拟地址信息对应的用户面功能网元关联的密钥，对携带有该虚拟地址信息的加密报文中的加密数据进行解密。
91.其中，解密方式具体可以用于指示：密钥以及预定的解密算法，解密过程所利用的
密钥可以与加密过程中所使用的密钥相同，解密算法则为上述加密算法的逆运算。
92.本实施例中，由于每一用户面功能网元320存在一个虚拟地址信息，因此可以预先设置各用户面功能网元320的虚拟地址信息与解密方式的关联关系，这样，在接收到第一加密报文后，会话管理功能网元310就可以根据第一加密报文携带的虚拟地址信息，查找与该虚拟地址信息相匹配的解密方式，再按照该解密方式，对第一加密报文进行解密，得到加密前的第一报文，从而获取第一报文中真实的地址信息和数据信息，以进行后续的报文处理。
93.对应于上述用户面功能网元320向会话管理功能网元310发送第一加密报文的过程，会话管理功能网元310，还用于在达到针对任一用户面功能网元320的预设的第二报文生成需求时，生成针对第二报文生成需求的第二报文；利用与该用户面功能网元320关联的加密方式，对第二报文进行加密，得到第二加密报文；向该用户面功能网元320发送第二加密报文；
94.预设的第二报文生成需求可以是会话管理功能网元310针对任一用户面功能网元320生成报文的任意需求，例如，向用户面功能网元320发起会话建立请求的需求，向用户面功能网元320发起会话建立请求的需求等。生成的第二报文可以为会话管理功能网元310向用户面功能网元320发送的所有类型的报文，例如，会话建立请求、会话修改请求等。
95.类似地，可以预先设置各用户面功能网元320的虚拟地址信息与加密方式的关联关系，这样在生成针对任一用户面功能网元320的第二报文后，可以根据该用户面功能网元320的虚拟地址信息，查找到关联的加密方式，按照该加密方式对第二报文进行加密，得到第二加密报文，再向该用户面功能网元320发送第二加密报文。
96.其中，第二报文对应的加密方式可以与上述第一报文对应的加密方式相同。
97.每一用户面功能网元320，还用于在接收到第二加密报文后，利用与该用户面功能网元320关联的解密方式，对第二加密报文进行解密，得到第二报文。
98.同样地，可以为每一用户面功能网元320预先设置与会话管理功能网元310之间进行通信的解密方式，在接收到第二加密报文后，利用该解密方式对第二加密报文进行解密，得到加密前的第二报文中的真实地址信息和数据信息，从而进行后续的数据处理。
99.本方案中，利用预设的虚拟地址信息所对应的加密方式，实现了对多个用户面功能网元和会话管理功能网元之间传输信息的加密，以及根据虚拟地址信息对应的解密方式，实现了对传输信息的解密，多个用户面功能网元和会话管理功能网元之间的信息在传输过程中是处于加密状态的，因此，通过本方案，提高了下沉场景下的用户面功能网元和会话管理功能网元之间通信的安全性。
100.为了进一步提高安全性，可以对密钥进行更新，可选地，在一实施例中，会话管理功能网元310，可以在任一用户面功能网元320满足预设更新条件时，向该满足预设更新条件的用户面功能网元320发送指示更新密钥的第一数据；
101.考虑到长时间使用同一密钥，存在密钥被破解的风险，因此，为了进一步提高下沉场景下的用户面功能网元320和会话管理功能网元310之间通信的安全性，可以在满足针对任一用户面功能网元320的预设更新条件时，由会话管理功能网元310向该满足预设更新条件的用户面功能网元320发送指示更新密钥的第一数据。该指示更新密钥的第一数据由任一用户面功能网元320向会话管理功能网元310发送，也是可以的，本实施例中以会话管理功能网元310作为发送方为例。
102.上述预设更新条件可以包括以下条件中的至少一种：
103.用户面功能网元320关联的密钥使用时长大于预设时长阈值；
104.用户面功能网元320关联的密钥使用次数大于预设数量阈值；
105.用户面功能网元320关联的密钥所对应的报文数据量大于预设数据量阈值；其中，每一密钥所对应的报文数据量为：利用该密钥进行加密的报文的总数据量，或利用该密钥加密所得到的加密报文的总数据量。
106.其中，上述用户面功能网元320关联的密钥使用时长大于预设时长阈值，可以为用户面功能网元320关联的密钥使用次数，可以为利用该密钥进行加密的报文的个数。每一密钥所对应的报文数据量，可以是利用该密钥进行加密的报文的在加密前的数据量之和，也可以是利用该密钥进行加密后得到的加密报文的数据量之和。
107.本实施例中，上述预设更新条件可以为上述三种条件中的任一种，例如，上述预设更新条件为用户面功能网元320关联的密钥使用时长大于预设时长阈值，此时，当用户面功能网元320满足该一种条件时，即说明用户面功能网元320满足预设更新条件，从而可以更新用户面功能网元320关联的密钥。
108.上述预设更新条件还可以为上述三个条件中的任两种条件或全部的三种条件，此时，只有当用户面功能网元320同时满足任两种条件或全部的三种条件，才意味着用户面功能网元320满足预设更新条件，从而可以更新用户面功能网元320关联的密钥。
109.本方案中，在用户面功能网元满足预设更新条件时，可以对用户面功能网元所关联的密钥进行更新，使得用户面功能网元所关联的密钥可以不断更新，避免使用单一密钥导致密钥被破解而造成的数据泄露和数据被篡改的情况发生，进一步提高了安全性。
110.上述满足预设更新条件的用户面功能网元320，还用于接收第一数据，基于第一数据更新该用户面功能网元320关联的密钥；基于第一数据，生成指示生成更新后的密钥的第二数据，并向会话管理功能网元310发送第二数据；
111.在满足针对任一用户面功能网元320的预设更新条件时，会话管理功能网元310生成第一数据，将第一数据发送至该用户面功能网元320，该用户面功能网元320基于第一数据生成第二数据。
112.本实施例中，可以利用diffie-hellman(diffie和hellman提出的一种密钥交换协议)算法对密钥进行更新。上述第一数据的生成过程可以为：
113.会话管理功能网元310生成一个素数a，随机数xa，以及a的一个原根q，计算ya＝a^xa mod q，得到ya，得到第一数据a、q、ya。
114.上述满足预设更新条件的用户面功能网元320接收到a、q、ya后，生成一个小于q的随机数xb，并计算yb＝a^xb mod q，得到第二数据yb。
115.会话管理功能网元310，还用于：
116.接收第二数据，并基于第二数据，更新满足预设更新条件的用户面功能网元320对应的虚拟地址信息所对应的密钥。
117.会话管理功能网元310接收到yb后，计算(yb)^xa mod q的值，得到新的密钥。同时，该满足预设更新条件的用户面功能网元320可以计算(ya)^xb mod q的值，得到相同的密钥。该满足预设更新条件的用户面功能网元320可以利用新的密钥，替换当前存储的密钥；会话管理功能网元310可以利用新的密钥，替换当前存储的该满足预设更新条件的用户
面功能网元320对应的虚拟地址信息所对应的密钥，从而完成密钥的更新。
118.本实施例中，在会话管理功能网元310满足针对任一用户面功能网元320的预设更新条件时，向该满足预设更新条件的用户面功能网元320发送指示更新密钥的第一数据；满足预设更新条件的用户面功能网元320接收第一数据，基于第一数据更新该用户面功能网元320关联的密钥；基于第一数据，生成指示生成更新后的密钥的第二数据，并向会话管理功能网元310发送第二数据；会话管理功能网元310接收第二数据，并基于第二数据，更新该满足预设更新条件的用户面功能网元320对应的虚拟地址信息所对应的密钥，完成对密钥的更新。通过本方案，可以防止因密钥被破解而导致的数据泄露和数据被篡改的情况发生，因此，可以进一步提高下沉场景下的用户面功能网元320和会话管理功能网元310之间通信的安全性。
119.可选地，在本公开的一实施例中，为了确定加密方式和解密方式，会话管理功能网元310，还用于从会话管理功能网元310可采用的至少一种加密方式中，选取至少一备选加密方式；向待约定加密方式的用户面功能网元320发送该至少一备选加密方式；
120.本实施例中，会话管理功能网元310可采用的至少一种加密方式可以有多种，例如可以在会话管理功能网元310和每一用户面功能网元320中预先配置多种用于报文加密的配置数据，例如，用于使用ipsec协议的配置数据。以ipsec协议进行加密为例，加密方式中可以具体包括：多种工作模式、多种保护协议、多种认证方式、多种加密算法、多种密钥生成方式等。因此，在会话管理功能网元310和每一用户面功能网元320中预先配置多种用于报文加密的配置数据后，会话管理功能网元310和每一用户面功能网元320中会存在多种能够使用的加密方式。
121.从会话管理功能网元310可采用的至少一种加密方式中，选取至少一种备选加密方式，并向待约定加密方式的用户面功能网元320发送该备选加密方式。
122.待约定加密方式的用户面功能网元320，用于接收至少一备选加密方式；从至少一备选加密方式中，选取一备选加密方式，作为目标备选加密方式；向会话管理功能网元310发送目标备选加密方式；
123.待约定加密方式的用户面功能网元320接收到至少一种备选加密方式后，可以从至少一种备选加密方式中，选取一种该待约定加密方式的用户面功能网元320能够使用的备选加密方式，作为目标备选加密方式，再向会话管理功能网元310发送目标备选加密方式。
124.会话管理功能网元310，还用于接收目标备选加密方式；确定与目标备选加密方式相匹配的解密方式；向待约定加密方式的用户面功能网元320发送加密确认消息；
125.当会话管理功能网元310接收到该目标备选加密方式后，可以将该目标备选加密方式确定为针对该待约定加密方式的用户面功能网元320的加密方式，并确定相匹配的解密方式，将加密方式与解密方式建立与该该待约定加密方式的用户面功能网元320的虚拟地址信息建立关联关系，存储在本地，再向待约定加密方式的用户面功能网元320发送加密确认消息，通知待约定加密方式的用户面功能网元320，该用户面功能网元关联的加密方式。
126.待约定加密方式的用户面功能网元320，还用于在接收到加密确认消息后，将目标备选加密方式作为该用户面功能网元关联的加密方式。
127.可以理解的，上述待约定加密方式的用户面功能网元320与会话管理功能网元310针对该待约定加密方式的用户面功能网元320的加密方式是相同的，加密方式中的包含的解密算法为加密方式中的加密算法的逆运算，待约定加密方式的用户面功能网元320与会话管理功能网元310针对该待约定加密方式的用户面功能网元320的解密方式也是相同的。
128.本实施例中，提供了会话管理功能网元310与待约定加密方式的用户面功能网元320之间约定加密方式的过程，从而为后续会话管理功能网元310与用户面功能网元320之间的报文的加密传输过程提供基础。
129.上述约定加密方式的过程中，还需要包含身份认证的过程，以使会话管理功能网元310与该约定加密方式的用户面功能网元320彼此确定对方是否为约定加密方式的正确对象。因此，在本公开的一实施例中，上述会话管理功能网元310，还用于在向待约定加密方式的用户面功能网元320发送至少一备选加密方式之前，向待约定加密方式的用户面功能网元320发送第一身份标识；
130.上述第一身份标识可以为预先配置的共享密钥，或者数字证书等。在向待约定加密方式的用户面功能网元320发送至少一备选加密方式之前，先与该待约定加密方式的用户面功能网元320彼此确认身份标识，彼此都确认正确后，再进行后续的约定加密方式的过程。
131.待约定加密方式的用户面功能网元320，用于接收第一身份标识，并验证第一身份标识是否正确；若是，则向会话管理功能网元310发送待约定加密方式的用户面功能网元320的第二身份标识；
132.上述第二身份标识也可以为预先配置的共享密钥，或者数字证书等。第一身份标识和第二身份标识可以预先在存储在会话管理功能网元310和该待约定加密方式的用户面功能网元320中。当待约定加密方式的用户面功能网元320接收到第一身份标识后，可以根据所存储的关于会话管理功能网元310的第一身份标识，来验证所接收到的第一身份标识是否正确，若正确，再向会话管理功能网元310发送第二身份标识。
133.会话管理功能网元310，还用于接收第二身份标识，并验证第二身份标识是否正确；若是，则向待约定加密方式的用户面功能网元320发送至少一备选加密方式。
134.上述会话管理功能网元310中，可以预先存储关于各个用户面功能网元320的身份标识，当接收到第二身份标识后，验证该第二身份标识是否为该待约定加密方式的用户面功能网元320的身份标识，若是，则执行向待约定加密方式的用户面功能网元320发送至少一备选加密方式的步骤，进行后续的加密方式的约定。
135.以ipsec协议为例，上述验证身份以及约定加密方式的过程可以包括两个阶段：
136.第一阶段，先建立ike sa(internet key exchange security association，网络密钥交换安全关联)，该阶段用于安全地进行身份认证，以及保护后续的加密方式的约定过程。在该阶段中，先约定会话管理功能网元310和待约定加密方式的用户面功能网元320的预加密方式，以及密钥，用该密钥及预加密方式进行身份验证过程，和约定加密方式的过程中传输的报文的加密，从而保护后续身份验证和约定加密方式的过程。
137.第二阶段，在ike sa的保护下进行加密方式的约定，从而建立会话管理功能网元310和待约定加密方式的用户面功能网元320之间的ipsec sa(网络安全协议的安全关联)之后利用第二阶段确定的加密方式，对会话管理功能网元310和待约定加密方式的用户面
功能网元320之间传输的报文进行加密。
138.ipsec协议中包含eps(encapsulating security payload，封装安全载荷)保护协议和ah(authentication header，身份验证标头)保护协议，其中，ah保护协议可以防止传输的数据被篡改，不提供数据的加密，而eps保护协议则能够提供数据的加密。在本实施例中，为了防止报文中的信息泄露，可以采用ipsec协议的eps(encapsulating security payload，封装安全载荷)保护协议，实现对会话管理功能网元310和各个用户面功能网元320之间传输的报文的加密。
139.可选地，在本公开的一实施例中，任一用户面功能网元320可以包括：处理模块，和加解密模块，其中：
140.处理模块，用于在该用户面功能网元320达到预设的第一报文生成需求时，生成第一报文，并向加解密模块发送第一报文；
141.其中，处理模块相当于相关技术中，未改进的用户面功能网元320。处理模块还可以用于，在接收到第二报文后，进行第二报文的处理。
142.加解密模块，用于接收第一报文，利用该用户面功能网元320关联的加密方式，对第一报文进行加密，得到第一加密报文，向会话管理功能网元310发送第一加密报文，并接收第二加密报文，在接收到第二加密报文后，利用该用户面功能网元320关联的解密方式，对第二加密报文进行解密，得到第二报文，将第二报文发送至处理模块。
143.加解密模块还可以用于上述的约定加密方式的过程，如图4所示，图4展示了一种加解密模块、处理模块，以及会话管理功能网元310之间的交互过程。首先，会话管理功能网元310与加解密模块间建立ike sa，并在建立ike sa的基础上，会话管理功能网元310与加解密模块间再建立ipsec sa，确定使用的保护协议为esp，之后，会话管理功能网元310与加解密模块间传递使用esp协议保护的报文。以pfcp协议的session establishment request和session establishment response为例，首先，会话管理功能网元310生成pfcp协议的session establishment request，作为第二报文，并利用关联的加密方式进行加密，生成第二加密报文，向加解密模块发送第二加密报文；加解密模块利用关联的解密方式对第二加密报文进行解密，得到加密前的第二报文，并向处理模块发送第二报文；处理模块收到第二报文后，生成pfcp协议的session establishment response，作为第一报文，向加解密模块发送第一报文；加解密模块再利用关联的加密方式，对第一报文进行加密，生成第一加密报文，并将第一加密报文发送至会话管理功能网元310。
144.结合本公开实施例所提供的数据传输系统，下沉部署的用户面功能网元320场景如图5所示，
145.专网用户终端建立会话后，通过用户面功能网元320与专网服务器连接，实现对专网数据网络的访问。大网用户终端也仍然通过用户面功能网元320与数据网络建立会话。区别在于，用户面功能网元320与会话管理功能网元310之间建立了ipsec隧道，用户面功能网元320与会话管理功能网元310之间利用ipsec隧道的虚拟地址进行通信；用户面功能网元320中包括用于报文的加密解密的加解密模块，和用于报文的生成和报文的处理的处理模块。
146.本实施例中，处理模块用于第一报文的生成，加解密模块用于第一报文的加密和第二报文的解密，通过将用户面功能网元分为处理模块和加解密模块，以方便用户面功能
网元功能的管理和维护。
147.本公开实施例还提供一种数据传输方法，应用于报文传输系统中的会话管理功能网元，报文传输系统还包括多个用户面功能网元，如图6所示，该方法包括步骤s601-s603：
148.s601，当接收到任一用户面功能网元发送的第一加密报文时，确定第一加密报文所携带的虚拟地址信息；其中，第一加密报文为利用该用户面功能网元关联的加密方式，对第一报文进行加密得到的；第一报文为该用户面功能网元达到预设的第一报文生成需求时，生成的针对第一报文生成需求的报文；每一用户面功能网元关联的加密方式为：该用户面功能网元预先与会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；每一用户面功能网元对应的虚拟地址信息为：该用户面功能网元与会话管理功能网元预先约定的地址信息；
149.一种实现方式中，每一用户面功能网元关联的加密方式为：利用该用户面功能网元关联的密钥，对第一报文进行加密，并利用该用户面功能网元对应的虚拟地址信息和加密所得的加密数据，生成报文，作为第一加密报文；其中，每一用户面功能网元关联的密钥为：该用户面功能网元与会话管理功能网元预先约定的密钥；
150.每一虚拟地址信息关联的解密方式为：利用该虚拟地址信息对应的用户面功能网元关联的密钥，对携带有该虚拟地址信息的加密报文中的加密数据进行解密。
151.s602，基于预设的虚拟地址信息与解密方式的关联关系，确定与所确定的虚拟地址信息关联的解密方式；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式；
152.s603，按照所确定的解密方式，对第一加密报文进行解密，得到第一报文。
153.本方案中，利用预设的虚拟地址信息所对应的加密方式，实现了对多个用户面功能网元和会话管理功能网元之间传输信息的加密，以及根据虚拟地址信息对应的解密方式，实现了对传输信息的解密，多个用户面功能网元和会话管理功能网元之间的报文在传输过程中是处于加密状态的，因此，通过本方案，提高了用户面功能网元和会话管理功能网元之间通信的安全性。
154.一种实现方式中，上述数据传输方法还包括：
155.在任一用户面功能网元满足预设更新条件时，向满足预设更新条件的用户面功能网元发送指示更新密钥的第一数据；以使满足预设更新条件的用户面功能网元，基于第一数据更新该用户面功能网元关联的密钥；基于第一数据，生成指示生成更新后的密钥的第二数据，并向会话管理功能网元发送第二数据；
156.接收第二数据，并基于第二数据，更新满足预设更新条件的用户面功能网元对应的虚拟地址信息所对应的密钥。
157.一种实现方式中，上述预设更新条件包括以下条件中的至少一种：
158.用户面功能网元关联的密钥使用时长大于预设时长阈值；
159.用户面功能网元关联的密钥使用次数大于预设数量阈值；
160.用户面功能网元关联的密钥所对应的报文数据量大于预设数据量阈值；其中，每一密钥所对应的报文数据量为：利用该密钥进行加密的报文的总数据量，或利用该密钥加密所得到的加密报文的总数量。
161.一种实现方式中，上述用户面功能网元关联的加密方式的确定方式包括：
162.从会话管理功能网元可采用的至少一种加密方式中，选取至少一备选加密方式；向待约定加密方式的用户面功能网元发送至少一备选加密方式；以使待约定加密方式的用户面功能网元，从至少一备选加密方式中，选取一备选加密方式，作为目标备选加密方式；向会话管理功能网元发送目标备选加密方式；
163.接收目标备选加密方式；确定与目标备选加密方式相匹配的解密方式；向待约定加密方式的用户面功能网元发送加密确认消息；以使待约定加密方式的用户面功能网元，在接收到加密确认消息后，将目标备选加密方式作为该用户面功能网元关联的加密方式。
164.一种实现方式中，在向待约定加密方式的用户面功能网元发送至少一备选加密方式之前，该数据传输方法还包括：
165.向待约定加密方式的用户面功能网元发送第一身份标识；以使待约定加密方式的用户面功能网元，用于接收第一身份标识，并验证第一身份标识是否正确；若是，则向会话管理功能网元发送待约定加密方式的用户面功能网元的第二身份标识；
166.接收第二身份标识，并验证第二身份标识是否正确；若是，则向待约定加密方式的用户面功能网元发送至少一备选加密方式。
167.上述为会话管理功能网元接收用户面功能网元发送的第一报文的过程，相应的，本公开实施例的数据传输方法，还提供了会话管理功能网元接收用户面功能网元发送的第二报文的过程：
168.在达到针对任一用户面功能网元的预设的第二报文生成需求时，生成针对第二报文生成需求的第二报文；
169.利用该用户面功能网元关联的加密方式，对第二报文进行加密，得到第二加密报文；
170.向该用户面功能网元发送第二加密报文，以使该用户面功能网元在接收到第二加密报文后，利用该用户面功能网元关联的解密方式，对第二加密报文进行解密，得到第二报文；其中，每一用户面功能网元关联的解密方式为：与该用户面功能网元关联的加密方式匹配的解密方式。
171.本公开实施例提供的数据传输方法也可以应用于报文传输系统中的用户面功能网元中，报文传输系统还包括会话管理功能网元，如图7所示，该方法可以包括步骤s701-s703：
172.s701，在用户面功能网元达到预设的第一报文生成需求时，生成针对第一报文生成需求的第一报文；
173.s702，利用用户面功能网元关联的加密方式，对第一报文进行加密，得到第一加密报文；其中，用户面功能网元关联的加密方式为：用户面功能网元预先与会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；用户面功能网元对应的虚拟地址信息为：用户面功能网元与会话管理功能网元预先约定的地址信息；
174.一种实现方式中，每一用户面功能网元关联的加密方式为：利用该用户面功能网元关联的密钥，对第一报文进行加密，并利用该用户面功能网元对应的虚拟地址信息和加密所得的加密数据，生成报文，作为第一加密报文；其中，每一用户面功能网元关联的密钥为：该用户面功能网元与会话管理功能网元预先约定的密钥；
175.每一虚拟地址信息关联的解密方式为：利用该虚拟地址信息对应的用户面功能网元关联的密钥，对携带有该虚拟地址信息的加密报文中的加密数据进行解密。
176.s703，向会话管理功能网元发送第一加密报文；以使会话管理功能网元，在接收到第一加密报文后，确定第一加密报文所携带的虚拟地址信息，基于预设的虚拟地址信息与解密方式的关联关系，确定与第一加密报文所携带的虚拟地址信息关联的解密方式，以及按照该解密方式，对第一加密报文进行解密，得到第一报文；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式。
177.一种实现方式中，上述数据传输方法还包括：
178.接收会话管理功能网元在任一用户面功能网元满足预设更新条件时发送的第一数据；基于第一数据更新该用户面功能网元关联的密钥；基于第一数据，生成指示生成更新后的密钥的第二数据，并向会话管理功能网元发送第二数据，以使会话管理功能网元基于第二数据，更新满足预设更新条件的用户面功能网元对应的虚拟地址信息所对应的密钥。
179.一种实现方式中，上述预设更新条件包括以下条件中的至少一种：
180.用户面功能网元关联的密钥使用时长大于预设时长阈值；
181.用户面功能网元关联的密钥使用次数大于预设数量阈值；
182.用户面功能网元关联的密钥所对应的报文数据量大于预设数据量阈值；其中，每一密钥所对应的报文数据量为：利用该密钥进行加密的报文的总数据量，或利用该密钥加密所得到的加密报文的总数量。
183.一种实现方式中，上述用户面功能网元关联的加密方式的确定方式包括：
184.接收会话管理功能网元发送的至少一备选加密方式；其中，备选加密方式为会话管理功能网元可采用的至少一种加密方式；
185.从至少一备选加密方式中，选取一备选加密方式，作为目标备选加密方式；向会话管理功能网元发送目标备选加密方式，以使会话管理功能网元，接收目标备选加密方式；确定与目标备选加密方式相匹配的解密方式；向待约定加密方式的用户面功能网元发送加密确认消息；
186.接收加密确认消息后，将目标备选加密方式作为该用户面功能网元关联的加密方式。
187.一种实现方式中，在接收会话管理功能网元发送的至少一备选加密方式之前，上述数据传输方法还包括：
188.接收会话管理功能网元发送的第一身份标识，并验证第一身份标识是否正确；若是，则向会话管理功能网元发送待约定加密方式的用户面功能网元的第二身份标识；以使会话管理功能网元，验证第二身份标识是否正确；若是，则向待约定加密方式的用户面功能网元发送至少一备选加密方式。
189.同样的，该方法还可以包括：
190.当接收到会话管理功能网元发送的第二加密报文时，利用与用户面功能网元关联的解密方式，对第二加密报文进行解密，得到第二报文；其中，第二加密报文为利用该用户面功能网元关联的加密方式，对第二报文进行加密得到的；第二报文为会话管理功能网元在达到针对用户面功能网元的预设的第二报文生成需求时生成的；用户面功能网元关联的
解密方式为：与用户面功能网元关联的加密方式匹配的解密方式。
191.本方案中，利用预设的虚拟地址信息所对应的加密方式，实现了对多个用户面功能网元和会话管理功能网元之间传输信息的加密，以及根据虚拟地址信息对应的解密方式，实现了对传输信息的解密，多个用户面功能网元和会话管理功能网元之间的报文在传输过程中是处于加密状态的，因此，通过本方案，提高了用户面功能网元和会话管理功能网元之间通信的安全性。
192.本公开实施例还提供了一种报文传输装置，应用于报文传输系统中的会话管理功能网元，所述报文传输系统还包括多个用户面功能网元，如图8所示，该装置包括：
193.第一确定模块810，用于当接收到任一用户面功能网元发送的第一加密报文时，确定所述第一加密报文所携带的虚拟地址信息；其中，所述第一加密报文为利用该用户面功能网元关联的加密方式，对第一报文进行加密得到的；所述第一报文为该用户面功能网元达到预设的第一报文生成需求时，生成的针对所述第一报文生成需求的报文；每一用户面功能网元关联的加密方式为：该用户面功能网元预先与所述会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；每一用户面功能网元对应的虚拟地址信息为：该用户面功能网元与所述会话管理功能网元预先约定的地址信息；
194.第二确定模块820，用于基于预设的虚拟地址信息与解密方式的关联关系，确定与所确定的虚拟地址信息关联的解密方式；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式；
195.解密模块830，用于按照所确定的的解密方式，对所述第一加密报文进行解密，得到所述第一报文。
196.可选地，该装置还可以包括：
197.第二报文生成模块，用于在达到针对任一用户面功能网元的预设的第二报文生成需求时，生成针对所述第二报文生成需求的第二报文；
198.第二报文加密模块，用于利用该用户面功能网元关联的加密方式，对所述第二报文进行加密，得到第二加密报文；
199.第二加密报文发送模块，用于向该用户面功能网元发送所述第二加密报文，以使该用户面功能网元在接收到所述第二加密报文后，利用该用户面功能网元关联的解密方式，对所述第二加密报文进行解密，得到所述第二报文；其中，每一用户面功能网元关联的解密方式为：与该用户面功能网元关联的加密方式匹配的解密方式。
200.本公开实施例还提供了一种报文传输装置，应用于报文传输系统中多个用户面功能网元中的任一个，所述报文传输系统还包括会话管理功能网元，如图9所示，该装置可以包括：
201.生成模块910，用于在所述用户面功能网元达到预设的第一报文生成需求时，生成针对所述第一报文生成需求的第一报文；
202.加密模块920，用于利用所述用户面功能网元关联的加密方式，对所述第一报文进行加密，得到第一加密报文；其中，所述用户面功能网元关联的加密方式为：所述用户面功能网元预先与所述会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；所述用户面功能网元对应的虚拟地址信息为：所述用户
面功能网元与所述会话管理功能网元预先约定的地址信息；
203.发送模块930，用于向所述会话管理功能网元发送所述第一加密报文；以使所述会话管理功能网元，在接收到所述第一加密报文后，确定所述第一加密报文所携带的虚拟地址信息，基于预设的虚拟地址信息与解密方式的关联关系，确定与所述第一加密报文所携带的虚拟地址信息关联的解密方式，以及按照所述解密方式，对所述第一加密报文进行解密，得到所述第一报文；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式。
204.可选地，该装置还可以包括：
205.解密模块，用于当接收到会话管理功能网元发送的第二加密报文时，利用与所述用户面功能网元关联的解密方式，对所述第二加密报文进行解密，得到所述第二报文；其中，所述第二加密报文为利用该用户面功能网元关联的加密方式，对所述第二报文进行加密得到的；所述第二报文为所述会话管理功能网元在达到针对所述用户面功能网元的预设的第二报文生成需求时生成的；所述用户面功能网元关联的解密方式为：与所述用户面功能网元关联的加密方式匹配的解密方式。
206.本公开实施例还提供了一种电子设备，如图10所示，包括处理器1001、通信接口1002、存储器1003和通信总线1004，其中，处理器1001，通信接口1002，存储器1003通过通信总线1004完成相互间的通信，
207.存储器1003，用于存放计算机程序；
208.处理器1001，用于执行存储器1003上所存放的程序时，实现上述数据传输方法的步骤。
209.上述电子设备提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
210.通信接口用于上述电子设备与其他设备之间的通信。
211.存储器可以包括随机存取存储器(random access memory，ram)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
212.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
213.在本公开提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述数据传输方法的步骤。
214.在本公开提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述数据传输方法的步骤。
215.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实
现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solid state disk(ssd))等。
216.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
217.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于方法实施例而言，由于其基本相似于系统实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
218.以上所述仅为本公开的较佳实施例，并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本公开的保护范围内。