一种无线通信方法和装置与流程

1.本技术涉及通信领域，并且更具体地，涉及一种无线通信方法和装置。


背景技术：

2.随着第五代(5generation；5g)工业互联网技术的发展，特别是信息化工业化深度融 合的快速发展，工业控制系统产品越来越多的采用通用协议、通用硬件、通用软件，以各 种方式与互联网等公共网络连接，特别是5g局域网可以为工业自动化控制系统(industrialautomatic control system；iacs)中的工业设备提供无线数据接入，以及符合工业标准的高 质量信息传输服务。例如，工业现场网中的工业终端设备通过客户端设备(customerpremise equipment；cpe)实现无线网络接入。
3.工业现场网业务对于信息传输的实时性及网络信息安全有极高的要求，而基于5g无 线通信系统的工业现场网，应用环境复杂，不仅网络通信方式众多，而且设备分布设置， 存在敌手攻击的可能性，开放的网络环境、安全机制受限的工业终端和消息传输使得工业 现场网面临众多信息安全风险。
4.如何保障工业现场网中工业终端设备业务报文的安全传输，成为业界亟需解决的问 题。


技术实现要素：

5.本技术提供一种无线通信方法和装置，能够保障工业现场网中工业终端业务报文的安 全传输。
6.第一方面，提供了一种无线通信方法，其特征在于，包括：第一设备获取第一信息， 该第一信息包括第一客户端设备与至少一个第一终端设备的对应关系、该第一终端设备与 至少一个第二终端设备的对应关系；该第一设备在第二设备上配置该第一信息，该第一信 息用于该第二设备验证接收到的业务报文是该第一终端设备通过该第一客户端设备向该 第二终端设备发送的业务报文。
7.根据本技术提供的无线通信方法，第一设备获取第一客户端设备与至少一个第一终端 设备的对应关系、该第一终端设备与至少一个第二终端设备的对应关系，并配置给第二设 备，由第二设备验证接收的业务报文源地址对应的终端设备为第一客户端设备对应的终端 设备，源地址和目的地址对应的终端设备分别对应控制端终端设备和执行端终端设备，进 而授权转发该业务报文，保证工业终端设备的业务报文传输的准确性，在一定程度上可避 免工业终端或客户端设备被攻击，降低了因设备被攻击导致的损失，提高工业现场网中工 业终端设备信息安全性。
8.结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一设备根据该第 一信息生成该第一客户端设备的令牌，并对该令牌进行签名；该第一设备向该第二设备发 送该令牌。
9.根据该技术方案，第一设备以令牌形式向第二设备配置第一信息，并对令牌签名，
至少一个第二终端设备的对应关系；该第二设备根据该第一信息验证接收到的业务报文是 该第一终端设备通过该第一客户端设备向该第二终端设备发送的业务报文；该第二设备向 该第二客户端设备发送该业务报文。
23.根据本技术提供的无线通信方法，第二设备获取第一客户端设备与至少一个第一终端 设备的对应关系、该第一终端设备与至少一个第二终端设备的对应关系，由第二设备验证 接收的业务报文源地址对应的终端设备为第一客户端设备对应的终端设备，源地址和目的 地址对应的终端设备分别对应控制端终端设备和执行端终端设备，进而授权转发该业务报 文，保证工业终端设备的业务报文传输的准确性，在一定程度上可避免工业终端或客户端 设备被攻击，降低了因设备被攻击导致的损失，提高工业现场网中工业终端设备信息安全 性。
24.结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第二设备接收令牌， 并结合该令牌的签名确认该令牌为该第一客户端设备对应的令牌，该令牌是该第一设备根 据该第一信息为该第一客户端设备生成的。
25.根据该技术方案，第二设备能够确认该令牌的合法性，进而保证后续使用该令牌校验 业务报文的安全性。
26.结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第二设备接收配置 消息，该配置消息是该第一设备根据该第一信息为该第一客户端设备生成的。
27.根据该技术方案，该第二设备可以直接根据配置消息校验业务报文，应理解，该情况 下，第一设备和第二设备处于同一安全域，第一设备和第二设备之间建立安全通道，因此 可直接使用配置消息校验报文，无需验证真实性和安全性，节省信令，提高效率。
28.结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第二设备根据该第 一信息中的第一客户端设备与至少一个第一终端设备的对应关系验证该业务报文的源地 址对应的控制端设备为该第一客户端设备对应的第一终端设备中的一个；该第二设备根据 该第一信息中的该第一终端设备与至少一个第二终端设备的对应关系验证该业务报文的 源地址和目的地址对应的控制端设备和执行端设备分别为该第一终端设备中的一个和该 第二终端设备中的一个。
29.根据该技术方案，第二设备根据第一信息可以验证业务报文中的发送端设备与第一客 户端设备对应，业务报文中的发送端和接收端分别对应第一终端设备和第二终端设备，从 而验证业务报文的发送端设备为第一客户端设备下挂终端设备，并且通讯路径为预先设定 的合法路径，确保第一终端设备身份合法性，通讯路径合法性，从而保证为业务报文的安 全传输。
30.结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第二设备根据预配 置的第一客户端设备公钥验证该第一客户端设备的标识签名。
31.根据该技术方案，第二设备可以验证第一客户端设备的身份，即，确保第一客户端设 备本身的安全性，避免第一客户端设备被攻击。
32.结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第一信息还包括该 第一终端设备的安全证书，该方法还包括：该第二设备根据预配置的第一终端设备公钥验 证该第一终端设备的标识签名。
33.根据该技术方案，第一终端设备自身具有安全能力，根据第一终端设备的安全证
书中 包含的第一终端设备公钥验证第一终端设备的标识签名，确保该第一终端设备的合法性， 避免第一终端设备被攻击，从而保障第一终端设备传输的业务报文的安全性。
34.结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第二设备通过用户 面承载获取该第一信息，或者该第二设备通过控制面承载获取该第一信息。
35.结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第一信息还包括该 第一终端设备为控制端设备和/或该第二终端设备为执行端设备。
36.根据该技术方案，第一信息中包括终端设备的角色信息，有利于第二设备在校验业务 报文时进一步确认第一终端设备和第二终端设备的角色是否匹配，确保报文信息的合法确 性。
37.结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第一设备为af， 该第二设备为该upf、该第一客户端设备或者第二客户端设备中的一个，该第二客户端设 备是与该至少一个第二终端设备对应的客户端设备。
38.第三方面，提供了一种无线通信装置，该无线通信装置执行该第一方面或其各种实施 方式中的方法的单元。
39.基于上述技术方案，该报文处理装置通过执行第一方面或其各种实施方式中的方法， 保证工业终端设备的业务报文传输的准确性，在一定程度上可避免工业终端或客户端设备 被攻击，降低了因设备被攻击导致的损失，提高工业现场网中工业终端设备和工业现场网 络的信息安全性。
40.第四方面，提供了一种无线通信装置，该无线通信装置执行该第二方面或其各种实施 方式中的方法的单元。
41.基于上述技术方案，该无线通信装置通过执行第二方面或其各种实施方式中的方法， 保证工业终端设备的业务报文传输的准确性，在一定程度上可避免工业终端或客户端设备 被攻击，降低了因设备被攻击导致的损失，提高工业现场网中工业终端设备和工业现场网 络的信息安全性。
42.第五方面，提供一种无线通信装置，包括，存储器，处理器，该存储器用于存储计算 机指令，该处理器用于执行存储器中存储的计算机指令，使得该无线通信装置执行第一或 第二方面及其各种可能实现方式中的无线通信方法。
43.基于上述技术方案，该无线通信装置通过执行上述实施方式中的方法，保证工业终端 设备的业务报文传输的准确性，在一定程度上可避免工业终端或客户端设备被攻击，降低 了因设备被攻击导致的损失，提高工业现场网中工业终端设备和工业现场网络的信息安全 性。
44.可选地，所述处理器为一个或多个，所述存储器为一个或多个。
45.可选地，所述存储器可以与所述处理器集成在一起，或者所述存储器与处理器分离设 置。
46.第六方面，提供了一种无线通信装置，包括上述第一设备、第二设备之一。
47.第七方面，提供了一种计算机可读介质，所述计算机可读介质存储有计算机程序(也 可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述第一方面、第二方 面中任一种可能实现方式中的方法。
48.第八方面，提供了一种芯片系统，包括：处理器和存储器，使得安装有所述芯片系
统 的通信装置执行上述第一方面、第二方面中任一种可能实现方式中的方法。
附图说明
49.图1示出了适用于本技术实施例的无线通信系统结构示意图。
50.图2示出了适用于本技术实施例的无线通信系统的一种网络架构示意图。
51.图3示出了适用于本技术实施例提供的无线通信方法的一种示意性框图。
52.图4示出了适用于本技术实施例提供的无线通信方法的一种示意性交互图。
53.图5示出了适用于本技术实施例提供的无线通信方法的另一种示意性交互图。
54.图6示出了适用于本技术实施例提供的无线通信方法的另一种示意性交互图。
55.图7示出了适用于本技术实施例提供的通过5gc配置第一信息的一种示意性交互图。
56.图8示出了适用于本技术实施例提供的通过5gc配置第一信息的另一种示意性交互 图。
57.图9示出了一种适用于本技术实施例提供的无线通信装置的一种示意性框图。
58.图10示出了一种适用于本技术实施例提供的无线通信装置的一种示意性架构图。
59.具体实施方式
60.下面将结合附图，对本技术中的技术方案进行描述。
61.本技术实施例提及的无线通信系统包括但不限于：长期演进(long term evolution， lte)系统、lte频分双工(frequency division duplex，fdd)系统、lte时分双工(timedivision duplex，tdd)、通用移动通信系统(universal mobile telecommunication system， umts)、全球互联微波接入(worldwide interoperability for microwave access，wimax) 通信系统、第五代(5th generation，5g)系统、未来的第六代(6th generation，6g)或新无 线(new radio，nr)等。
62.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地 描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术 中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例，都属于本技术保护的范围。
63.为便于理解本技术实施例，首先结合图1简要说明本技术实施例无线通信系统100的 架构示意图。
64.图1所示的通信系统100可以应用于工业场景，该工业场景广泛指工业制造、石油化 工、水利电力、市政建设等行业，尤其指涉及到离散制造或者流程制造的场景，例如，涉 及到码头、矿山等场景的行业。
65.如图1所示，通信系统100可以包括工业终端设备，例如图1所示的工业终端111， 该工业终端设备指的是工业现场网中的对生产过程及其机电设备、工艺设备等进行检测与 控制的设备总称，常见的工业终端设备包括，工业控制端终端设备和工业执行端终端设备， 例如，可编程逻辑控制器(programmable logic controller，plc)，工业输入输出设备， 传感器，等。该通信系统100还可以包括一个客户端设备，例如图1所示的客户端设备 121。该
客户端设备(customer premise equipment，cpe)可以理解为与接入网设备通过 无线电磁波连接的微基站，为工业终端设备提供无线网络接入路径。一般地，在一个工业 现场网中，一个cpe可以下挂多个工业终端，为多个工业终端提供网络通信服务，即， 工业终端111通过客户端设备121与网络进行连接。该通信系统100还可以包括接入网设 备，例如，图1所示的接入网设备131，接入网设备131通过用户面网元upf将客户端设 备121的数据报文转发到数据网络。下行数据报文传输时，接入网设备131将数据博阿文 转发给客户端设备121，进而发送给工业终端111。
66.应理解，在本技术实施例中，工业终端111具体可以包括多个工业控制器和工业设备， 其中，工业控制器和工业设备之间通过客户端设备及网络设备实现实时业务通信，并且， 各工业控制器和各工业设备之间的通信路径关系在组态时已完成配置。
67.其中，当用户设备111处于网络覆盖之外或者与接入网设备121之间通信信号不好时， 可以通过与用户设备112进行通信，用户设备112与接入网设备121进行通信，进而可以 实现用户设备111与接入网设备121的通信，接入网设备121通过upf将数据报文转发 到数据网络。
68.图2示出了本技术通信系统的一种网络架构200示意图。
69.如图2所示，该通信系统的网络架构包括但不限于以下网元：
70.1、用户设备(ue)：本技术实施例中的用户设备也可以称为：用户设备(user equipment， ue)、移动台(mobile station，ms)、移动终端(mobile terminal，mt)、接入终端、 用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、 无线通信设备、用户代理或用户装置等。
71.在本技术实施例中，用户设备尤指工业场景中的工业终端设备，例如，工业控制器和 工业设备，例如，可编程逻辑控制器(programmable logic controller，plc)，分布式控 制系统(distributed control system，dcs)，监控和数据采集系统(supervisory control anddate acquisition，scada)，其可以是任意一种可以在生产过程中对机电设备、工艺设备 等进行检测与控制的设备，本技术实施例对此不作限定。
72.此外，在本技术实施例中，用户设备还可以是物联网(internet of things，iot)系统 中的用户设备。iot是未来信息技术发展的重要组成部分，其主要技术特点是将物品通过 通信技术与网络连接，从而实现人机互连，物物互连的智能化网络。
73.在本技术实施例中，iot技术可以通过例如窄带(narrow band)nb技术，做到海量 连接，深度覆盖，终端省电。例如，nb可以包括一个资源块(resource block，rb)，即， nb的带宽只有180kb。要做到海量接入，必须要求终端在接入上是离散的，根据本技术 实施例的通信方法，能够有效解决iot技术海量终端在通过nb接入网络时的拥塞问题。
74.另外，本技术实施例中的接入设备可以是用于与用户设备通信的设备，该接入设备也 可以称为接入网设备或无线接入网设备，例如，接入设备可以是lte系统中的演进型基 站(evolved nodeb，enb或enodeb)，还可以是云无线接入网络(cloud radio access network， cran)场景下的无线控制器，或者该接入设备可以为中继站、接入点、车载设备、可穿 戴设备以及未来5g网络中的接入设备或者未来演进的plmn网络中的接入设备等，可以 是wlan中的接入点(access point，ap),可以是新型无线系统(new radio，nr)系统 中的gnb本技术实施例并不限定。
功能、策略控制、或收费功能接口的终结点以及下行数据通知等。在本技术实施例中，可 用于实现会话管理网元的功能。
82.5、策略控制(policy control function，pcf)网元：用于指导网络行为的统一策略框 架，为控制平面功能网元(例如amf，smf网元等)提供策略规则信息以及基于流量的 计费控制功能等。
83.6、统一数据管理(unified data management，udm)网元：主要负责ue的签约数据 的处理，包括用户标识的存储和管理、用户签约数据、鉴权数据等。
84.7、用户面功能(user plane function，upf)网元：可用于分组路由和转发、或用户 面数据的服务质量(quality of service，qos)处理等。用户数据可通过该网元接入到数据 网络(data network，dn)，还可以从数据网络接收用户数据，通过接入网设备传输给用 户设备。upf网元中为用户设备提供服务的传输资源和调度功能由smf网元管理控制的。 在本技术实施例中，可用于实现用户面网元的功能。
85.8、网络能力开放功能(network exposure function，nef)网元：用于安全地向外部 开放由3gpp网络功能提供的业务和能力等，主要支持3gpp网络和第三方应用安全的交 互。
86.9、应用功能(application function，af)网元：用于进行应用影响的数据路由，接 入网络开放功能网元，或，与策略框架交互进行策略控制等，例如影响数据路由决策，策 略控制功能或者向网络侧提供第三方的一些服务。
87.10、网络切片选择功能(network slice selection function，nssf)网元：主要负责网 络切片选择，根据ue的切片选择辅助信息、签约信息等确定ue允许接入的网络切片实 例。
88.11、认证服务器功能(authentication server function，ausf)网元：支持3gpp和非 3gpp的接入认证。
89.12、网络存储功能(network repository function,nrf)网元：支持网络功能的注册 和发现。
90.13、统一数据存储功能(unified data repository,udr)网元：存储和获取udm和 pcf使用的签约数据。
91.在该网络架构中，n2接口为ran和amf实体的参考点，用于nas(non-accessstratum，非接入层)消息的发送等；n3接口为ran和upf网元之间的参考点，用于传 输用户面的数据等；n4接口为smf网元和upf网元之间的参考点，用于传输例如n3连 接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息。
92.应理解，图2中的ue、(r)an、upf和dn一般被称为数据面网络功能和实体，用 户的数据流量可以通过ue和dn之间建立的pdu会话进行传输，传输会经过(r)an和 upf这两个网络功能实体；而其他的部分则被称为控制面网络功能和实体，主要负责认证 和鉴权、注册管理、会话管理、移动性管理以及策略控制等功能，从而实现用户层流量可 靠稳定的传输。
93.应理解，上述应用于本技术实施例的网络架构仅是举例说明的从传统点到点的架构和 服务化架构的角度描述的网络架构，适用本技术实施例的网络架构并不局限于此，任何能 够实现上述各个网元的功能的网络架构都适用于本技术实施例。
94.应理解，图2中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称
可 能为其他的名称，本技术对此不作具体限定。此外，上述各个网元之间的所传输的消息(或 信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。
95.需要说明的是，上述“网元”也可以称为实体、设备、装置或模块等，本技术并未特 别限定。并且，在本技术中，为了便于理解和说明，在对部分描述中省略“网元”这一描 述，例如，将smf网元简称smf，此情况下，该“smf”应理解为smf网元或smf实 体，以下，省略对相同或相似情况的说明。
96.可以理解的是，上述实体或者功能既可以是硬件设备中的网络元件，也可以是在专用 硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。
97.下面以具体的实施例对本技术的技术方案进行详细说明。下面这几个具体的实施例可 以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。
98.图3是本技术实施例提供的无线通信方法的一种示意性框图，方法300可以包括如下 步骤：
99.s301，第一设备获取工业现场网第一信息。
100.具体的，第一设备获取工业现场网的第一信息，该第一信息可以为组态信息，该组态 信息包括第一客户端设备cpe1与至少一个第一终端设备的绑定关系、第一终端设备与至 少一个第二终端设备间的通信关系。其中，该绑定关系可以理解为，一个cpe可以定向 服务至少一个工业终端设备，例如，cpe1下挂工业终端设备a和工业终端设备b，该工 业终端设备a和工业终端设备b均可以通过cpe1与接入网设备连接；该通信关系指的是 工业终端设备间的通讯路径方向，例如，工业终端设备c发送的数据由工业终端设备d 接收。其中，该绑定关系和该通信关系也可以称为关联关系，对应关系，相关关系等类似 表述，本技术实施例对此不作限定。
101.可选的，该组态信息还可以包括工业终端设备的合法角色，即，该工业终端设备的预 设功能角色，例如，该工业终端设备是控制器(发送端设备)还是工业设备(接收端设备)。
102.应理解，该第一设备可以是af设备，例如，工业现场使能服务(industrial field enableservice，ifes)设备，也可以是其他具备配置组态信息功能的设备，本技术实施例对此不 作限定。
103.在一种可能的实施方式中，第一设备还可以在第二设备上配置第一设备的公钥证书。 该第一设备的公钥证书用于第二设备验证第一设备配置给第二设备的第一信息的安全性， 具体见s302步骤描述。
104.s302，第一设备在第二设备上配置第一信息。
105.具体的，第一设备根据上述保存的第一信息生成校验信息并发送给第二设备。
106.该校验信息可以分为两种情况：
107.情况一：
108.在本技术实施例中，该校验信息可以被配置为cpe1的令牌形式，该令牌可以理解为 上述cpe1用来证明身份和获取权限的令牌(token)。其中，该token具体包括：cpe1 的标识，如，imsi、gpsi、imei等；cpe1及其下挂工业终端设备的绑定关系，例如， cpe1-c；cpe1及其下挂工业终端设备的通信关系，例如，c-d；可选的，还可以包括下 挂工业终端设备的角色类型信息，如，c为控制器。
109.第一设备还可以使用自己的私钥对于该token进行数字签名，用于保障该token的完 整性和真实性，具体可以理解为，第二设备可以通过预配置的ifes证书验证该签名合法 性，例如，该token内容没有被攻击者篡改，从而确保该token的真实性。
110.在该情况下，第一设备将token配置到cpe1。该cpe1可以使用该token来证实自己 的身份和权限。
111.该第二设备可以是cpe1，也可以是cpe2，cpe2可以理解为与接收端终端工业设备 绑定的客户端设备。
112.情况二：
113.在本技术实施例中，该校验信息也可以是配置消息。第一设备根据上述组态信息获取 cpe1对应的组态信息并直接组织配置消息，该配置消息包括cpe1证书，cpe1及其下挂 工业终端设备的绑定关系，例如，cpe1-c；cpe1及其下挂工业终端设备的通信关系，例 如，c-d；可选的，还可以包括下挂工业终端设备的角色类型信息，如，c为控制器。
114.在该情况下，第一设备可以直接将校验报文信息发送给第二设备用于后续报文校验。 应理解，该配置消息以报文形式发送，并非以token形式发送。
115.应理解，校验信息与第一信息的内容相同，只是第一信息的两种具体不同形式。该校 验信息也可以称为验证信息，检验信息等类似表述，本技术实施例对此不作限定。
116.该第二设备可以是upf。
117.在一种可能的实施方式中，第一设备可以通过用户面承载该第一信息，进而发送给第 二设备。
118.在一种可能的实施方式中，第一设备也可以通过控制面承载该第一信息，进而发送给 第二设备。
119.s303，第二设备从第一终端设备获取业务报文，并根据第一信息校验业务报文。
120.具体的，第一终端设备发送业务报文给第二设备，由第二设备根据具体校验信息执行 校验操作。
121.在本技术实施例中，第二设备可以是cpe，也可以是upf。
122.当第二设备是upf时，第二设备通过cpe1获取业务报文。upf校验报文的方式根 据校验信息的不同分为两种：
123.方式一：
124.校验信息被配置为token，具体的，cpe1从第一终端设备接收到业务报文后，将业务 报文信息、cpe1的标识信息及预先配置的token发送给upf，由upf根据收到的cpe1 标识和token进行校验，验证接收到的业务报文是第一终端设备通过cpe1发送给第二终 端设备的业务报文。具体校验分为以下步骤：
125.a，upf根据cpe1公钥验证cpe1标识签名合法性，从而确定cpe1的身份合法性， 该合法性指的是，cpe1在该工业现场网中的预设客户端设备。应理解，在验证cpe1标 识之前，要根据该标识在upf查找预配置的cpe1证书，从而可以确定该cpe1是upf 已知的网络设备，该cpe1证书包含cpe1的公钥；
126.b，upf根据cpe1的标识验证token合法性，具体指的是，该token里包含sub字段， 与cpe1的标识对应，upf可以根据token中的sub字段与cpe1标识对应，从而确定该token是该cpe1对应的令牌，应理解，在验证token合法性之前，upf首先根据配置的ifes 证书验证
token签名合法性，确保该token内容完整和正确，应理解，该token合法性指的 是该token本身完整并准确，同时该token是cpe1对应的token。
127.c，upf根据token中绑定关系验证业务报文中源地址对应的工业终端设备，用于确 定报文中的源地址对应的工业终端设备是该cpe1下挂的设备。具体的，upf根据所述 token中的第一客户端设备与至少一个第一终端设备的对应关系验证所述业务报文的源地 址对应的发送端设备为所述第一客户端设备对应的第一终端设备中的一个；
128.d，upf根据token中通信关系验证业务报文中目的地址对应的工业终端设备，用于 确定报文中的目的地址对应的工业终端设备与c步骤中的工业终端设备具有通信关系。具 体的，upf根据token中的第一终端设备与至少一个第二终端设备的对应关系验证所述业 务报文的源地址和目的地址对应的发送端设备和接收端设备分别为所述第一终端设备中 的一个和所述第二终端设备中的一个，从而确定该报文中的通信关系是经过授权的。
129.f，可选的，还可以根据token中的工业终端设备的合法角色来验证第一终端设备和第 二终端设备的角色是否匹配，该匹配指的是，第一终端设备为控制器，第二终端设备为工 业设备。
130.方式二：
131.校验信息被配置为校验报文，并直接发送给upf。具体的，cpe1从第一终端设备接 收到业务报文后，将业务报文信息和cpe1的标识信息发送给upf，由upf根据收到的 cpe1标识和校验报文进行校验。应理解，校验报文和上述配置给cpe1的token内容基本 一致，具体校验步骤相似，在此不做赘述。
132.当第二设备是cpe时，在一种可能的实施方式中，cpe1可以根据cpe1的标识以及 上述token对接收到的业务报文进行校验。
133.优选的，cpe1也可以将从第一终端设备接收的业务报文、该cpe1的标识以及上述 token一起发送给cpe2，由cpe2根据收到的cpe1标识和token进行校验。具体校验步 骤与上述类似，在此不做赘述。
134.需要说明的是，我们需要校验的仍然是cpe1与第一终端设备的绑定关系，而在复杂 的工业互联网中，该cpe1本身有可能被攻击，因此cpe2需要根据接收到的token判断 该cpe1本身是合法的，才能进一步验证绑定关系和通信关系。
135.s304，第二设备向第二终端设备发送校验通过的业务报文。
136.具体的，upf将验证通过的业务报文转发给cpe2，并由cpe2进一步转发给第二终 端设备。
137.在一种可能的实施方式中，由cpe2进行校验，将校验通过的业务报文直接转发给第 二终端设备。
138.在本技术实施例中，第一终端设备可以是工业终端设备中的控制器，第二终端设备可 以是工业终端设备中的工业设备。
139.图4是本技术实施例提供的一种无线通信方法的一种示意性交互图。图4的方法400 是对应于图3的方法300的具体实施步骤。图4所示的方法可以包括步骤s401-s410，下 面分别对步骤s401-s410进行详细描述。
140.s401，ifes在工业现场网获取组态信息，该组态信息指的是，工业现场网中预配置 或设置的信息。
对应的token。
164.e.upf根据token中的cpe1与第一终端设备的第一对应关系验证业务报文中源地址 对应的终端设备，确认该终端设备是第一终端设备，即与cpe1有第一对应关系。
165.f.upf根据token中的第一终端设备与第二终端设备的第二对应关系验证业务报文中 的源地址和目标地址对应的终端设备，确认源地址对应的终端设备为第一终端设备，目的 地址对应的终端设备为第二终端设备，即，验证了该业务报文中的通信关系符合token中 授权的通信路径。
166.g.可选的，upf根据token中的工业终端设备的合法角色来验证第一终端设备为发 送端设备(控制器)，或者，验证第二终端设备为接收端设备(工业设备)。
167.s409，upf向cpe2发送校验通过的业务报文。
168.s410，cpe2向第二终端设备转发校验通过的业务报文。
169.通过本技术实施例提供的无线通信方法，ifes根据获取的第一客户端设备和发送端 终端设备的对应关系、发送端终端设备和接收端终端设备的对应关系为第一客户端设备生 成token形式的校验信息，并将token授权配置给第一客户端设备，当upf接收到业务报 文时根据第一客户端设备标识和该token校验该业务报文，确保该第一客户端的合法身份， token的合法身份，以及业务报文中源地址对应的终端设备为第一客户端设备对应的终端 设备，源地址和目的地址对应的终端设备分别对应发送端终端设备和接收端终端设备，进 而授权转发该业务报文，保证工业终端设备的业务报文传输的准确性，在一定程度上可避 免工业终端或客户端设备被攻击，降低了因设备被攻击导致的损失，提高工业现场网中工 业终端设备信息安全性。
170.图5是本技术实施例提供的无线通信方法的另一种示意性交互图，图5的方法500是 对应于图3的方法300的具体实施步骤。图5所示的方法可以包括步骤s501-s510，下面 分别对步骤s501-s510进行详细描述。
171.其中，步骤s501-s506与方法400的步骤s401-s406类似，本技术在此不做重复说明。
172.s507，cpe1根据token验证业务报文。
173.具体的，cpe1接收到业务报文后，可以根据保存的token校验该业务报文的内容， 根据token中的第一对应关系验证业务报文中的源地址对应的终端设备为第一客户端设备 对应的终端设备；根据token中的第二对应关系验证业务报文中的源地址和目的地址对应 的终端设备分别为第一终端设备和第二终端设备。
174.可选的，cpe1也可以根据token验证第一终端设备为发送端设备(控制器)，或者， 验证第二终端设备为接收端设备(工业设备)。
175.应理解，本步骤为可选的步骤，cpe1执行该步骤后，如果校验业务报文内容不满足， 则无需进行后续步骤。cpe1如果不执行该步骤，后续的业务报文检验也可以完全由cpe2 来执行。也可以由cpe1和cpe2同时校验，提高校验准确度。
176.s508，cpe1向cpe2发送业务报文，cpe1的标识，上述token。
177.s509，cpe2根据cpe1标识和token验证业务报文。
178.具体的校验步骤如下：
179.a.cpe2根据该cpe1标识在cpe2查找预配置的cpe1证书，从而可以确定该cpe1 是
cpe2已知的网络设备；
180.b.cpe2根据cpe1公钥验证cpe1标识签名，从而确定cpe1身份合法性，即，cpe1 为工业现场网预设的第一客户端设备；
181.c.cpe2根据预配置的ifes证书验证token的签名，从而确定token本身的正确性和 完整性；
182.d.cpe2根据token中的cpe1标识验证a步骤中的标识，从而确定该token为该cpe1 对应的token。
183.e.cpe2根据token中的cpe1与第一终端设备的第一对应关系验证业务报文中源地 址对应的终端设备，确认该终端设备是第一终端设备，即与cpe1有第一对应关系。
184.f.cpe2根据token中的第一终端设备与第二终端设备的第二对应关系验证业务报文 中的源地址和目标地址对应的终端设备，确认源地址对应的终端设备为第一终端设备，目 的地址对应的终端设备为第二终端设备，即，验证了该业务报文中的通信关系符合token 中授权的通信路径。
185.g.可选的，cpe2根据token中的工业终端设备的合法角色来验证第一终端设备为发 送端设备(控制器)，或者，验证第二终端设备为接收端设备(工业设备)。
186.需要说明的是，cpe2根据接收到的token判断该cpe1本身是合法的，排除cpe1被 攻击，才能进一步验证业务报文内容。
187.s510，cpe2向第二终端设备发送业务报文。
188.基于本技术实施例，ifes根据获取的第一客户端设备和发送端终端设备的对应关系、 发送端终端设备和接收端终端设备的对应关系为第一客户端设备生成token形式的校验信 息，并将token授权配置给第一客户端设备，由第一客户端设备向第二客户端设备转发 token，第一客户端设备标识和业务报文，第二客户端设备根据第一客户端设备标识和该 token校验该业务报文，确保该第一客户端的合法身份，token的合法身份，以及业务报文 中源地址对应的终端设备为第一客户端设备对应的终端设备，源地址和目的地址对应的终 端设备分别对应发送端终端设备和接收端终端设备，进而授权转发该业务报文，保证工业 终端设备的业务报文传输的准确性，在一定程度上可避免工业终端或客户端设备被攻击， 降低了因设备被攻击导致的损失，提高工业现场网中工业终端设备信息安全性。
189.图6是本技术实施例提供的一种无线通信方法的另一种示意性交互图。图6的方法 600是对应于图3的方法300的具体实施步骤。图6所示的方法可以包括步骤s601-s611， 下面分别对步骤s601-s611进行详细描述。
190.s601与方法400的步骤s401基本相同，为避免赘述，不进行重复说明。
191.s602，ifes根据组态信息生成配置消息。
192.具体的，ifes根据保存的组态信息为cpe1生成配置消息形式的组态信息。即，ifes 可以将组态信息配置为cpe1的配置消息。
193.该配置消息具体包括：cpe1与第一终端设备的第一对应关系，第一终端设备与第二 终端设备的第二对应关系，cpe1的标识，如，imsi、gpsi等。其中，第一对应关系可以 理解为，第一终端设备通过cpe1与网络设备通信；第二对应关系可以理解为，第一终端 设备与第二终端设备之间具有合法通信路径。可选的，该token还可以包括工业终端设备 的角色类型信息，例如，第一终端设备为控制器，和/或，第二终端设备为工业设备。
194.应理解，该配置消息的具体内容和token的具体内容相同，仅是不同信息形式。
195.s603，ifes向upf授权配置该token。
196.具体的，ifes可以通过5g用户面承载该配置消息，进而将配置消息发送给cpe1。
197.在一种可能的实施方式中，ifes也可以通过5gc控制面承载该配置消息，具体方法 见下图7所述。
198.s604，upf向ifes发送配置响应消息。
199.s605，cpe1接收业务报文。
200.具体的，该业务报文包括，发送端地址和接收端地址信息。
201.s606，cpe1向upf发送业务报文，cpe1的标识，配置消息。
202.s607，upf根据上述cpe1标识和配置消息对业务报文进行校验。
203.具体的校验步骤与方法400中的步骤s408相似，仅不需要验证token身份，其余步 骤相同，在此不做赘述。
204.s608，upf向cpe2发送校验通过的业务报文。
205.s609，cpe2向第二终端设备转发校验通过的业务报文。
206.通过本技术实施例提供的无线通信方法，ifes根据获取的第一客户端设备和发送端 终端设备的对应关系、发送端终端设备和接收端终端设备的对应关系为第一客户端设备生 成配置消息形式的校验信息，并将配置消息授权配置给upf，当upf接收到业务报文时 根据第一客户端设备标识和该配置消息校验该业务报文，确保该第一客户端的合法身份， 以及业务报文中源地址对应的终端设备为第一客户端设备对应的终端设备，源地址和目的 地址对应的终端设备分别对应发送端终端设备和接收端终端设备，进而授权转发该业务报 文，该方案采用配置消息形式，避免token验证的繁琐过程，过程更加灵活简化，保证工 业终端设备的业务报文传输的准确性，在一定程度上可避免工业终端或客户端设备被攻 击，降低了因设备被攻击导致的损失，提高工业现场网中工业终端设备信息安全性。
207.图7是本技术实施例提供的通过5gc配置第一信息的一种示意性交互图。图7所示 的方法可以包括步骤s701-s706，下面分别对步骤s701-s706进行详细描述。
208.该第一信息被配置为token形式。
209.s701，ifes将token发送给nef。
210.s702，nef根据cpe地址获取cpe用户永久标识supi。
211.s703，nef向udm发送配置请求信息，该配置请求信息包括token和cpe supi。
212.s704，udm向cpe发送配置请求信息。
213.s705，cpe通过udm和nef向ifes发送配置响应。
214.图8是本技术实施例提供的通过5gc配置第一信息的另一种示意性交互图。图8所 示的方法可以包括步骤s801-s805，下面分别对步骤s801-s805进行详细描述。
215.该第一信息被配置为配置消息。
216.s801，ifes直接或间接(经过nef)向pcf发送策略授权请求消息，该策略授权请 求消息包括第一终端设备地址信息，第一终端设备和第二终端设备的业务流及其对应的流 控信息，即，通信路径信息；用于pcf指示smf或者upf对该业务流进行放行。可选的， 还包括终端设备的功能角色信息。
217.s802，pcf根据策略授权请求消息生成并向smf发送pcc策略，其中，业务流信息 和
门控信息用于生成数据包检测规则(packet detection rule，pdr)和qos执行规则(qosenforcement rule，qer)，smf还可以根据角色信息与业务流特征间的映射关系确定附 加流描述信息，例如，终端设备c作为控制器，其发送的报文具有如下特征：a-c；smf 基于该信息可对pdr进行扩展描述。
218.s803，smf向upf发送pcc策略。
219.s804，upf基于上述pdr/qer执行报文监测及门控控制。可选地，pdr中还可能包 含控制器c所对应的角色信息的流特征，upf同样需基于该特征信息执行流匹配。
220.应理解，在具体实施方式中，cpe1的身份验证仍需按照方法400中的方法执行。仅 对业务报文的内容校验由upf根据pdr和qer对相关业务流执行相应门控策略，其余 步骤基本相同。
221.s805，upf通过udm和nef向ifes发送配置响应。
222.在本技术实施例中，本方案考虑工业终端设备演进后本身具备安全能力，也就是说， 工业终端设备自身可以支持证书签名，使用自己的私钥对自己的标识签名，进而表明自己 的合法身份。
223.以方法600为例，若该第一终端设备具备安全能力，upf可以根据第一终端设备的安 全能力确定第一终端设备的合法身份。
224.具体的，在s601，ifes获取组态信息，该组态信息还包括第一终端设备的安全证书， 在s603，ifes将配置信息配置在upf上，即，upf上被配置了第一终端设备的安全证书。
225.在s607，upf从第一终端设备接收业务报文和第一终端设备的标识签名后，upf根 据接收到的标识查找upf上配置的对应的安全证书，根据第一终端设备的安全证书中包 含的公钥验证第一终端设备标识的合法性，进而判断该第一终端设备本身的真实性。后续 验证步骤与步骤s607相同，在此不进行赘述。
226.通过本技术实施例提供的无线通信方法，ife可以在校验主体上配置第一客户端设备 和发送端终端设备的第一对应关系、发送端终端设备和接收端终端设备的第二对应关系， 校验主体可以根据预配置的cpe证书或工业终端证书用自己的公钥签名标识验证cpe或 工业终端自身的安全性，进一步根据第一对应关系和第二对应关系验证业务报文的安全 性。保证工业终端设备的业务报文传输的准确性，在一定程度上可避免工业终端或客户端 设备被攻击，降低了因设备被攻击导致的损失，提高工业现场网中工业终端设备信息安全 性。
227.本文中描述的各个实施例可以为独立的方案，也可以根据内在逻辑进行组合，这些方 案都落入本技术的保护范围中。
228.应理解，上述各个实施例中各个步骤仅是一种可能的实现方式，本技术实施例并不做 限定。
229.可以理解的是，上述各个方法实施例中，由用户设备实现的方法和操作，也可以由可 用于用户设备的部件(例如芯片或者电路)实现，由接入网设备(如ran节点)实现的 方法和操作，也可以由可用于接入网设备的部件(例如芯片或者电路)实现。
230.上述主要从各个交互的角度对本技术实施例提供的方案进行了介绍。可以理解的是， 各个网元，例如发射端设备或者接收端设备，为了实现上述功能，其包含了执行各个功能 相应的硬件结构和/或软件模块。本领域技术人员应该可以意识到，结合本文中所公开
的 实施例描述的各示例的单元及算法步骤，本技术能够以硬件或硬件和计算机软件的结合形 式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案 的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现 所描述的功能，但是这种实现不应认为超出本技术的范围。
231.本技术实施例可以根据上述方法示例对发送端设备或者接收端设备进行功能模块的 划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成 在一个处理模块中。上述集成的模块既可以使用硬件的形式实现，也可以使用软件功能模 块的形式实现。需要说明的是，本技术实施例中对模块的划分是示意性的，仅仅为一种逻 辑功能划分，实际实现时可以有另外的划分方式。下面以使用对应各个功能划分各个功能 模块为例进行说明。
232.以上，结合图3至图8详细说明了本技术实施例提供的方法。以下，结合图6至图7 详细说明本技术实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互 对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。
233.图9是本技术实施例提供的无线通信装置的示意性框图。该无线通信装置900包括收 发单元910和处理单元920。收发单元910可以实现相应的通信功能，处理单元920用于 进行数据处理，以使得无线通信装置实现前述方法实施例。收发单元910还可以称为通信 接口或通信单元。
234.可选的，该无线通信装置900还可以包括存储单元930，该存储单元可以用于存储指 令和/或数据，处理单元920可以读取存储单元中的指令和/或数据，以使得通信装置实现 前述方法实施例。
235.该无线通信装置900可以用于执行上文方法实施例中第一设备所执行的动作，这时， 该无线通信装置900可以为第一设备或者可配置于第一设备的部件，收发单元910用于执 行上文方法实施例中第一设备侧的收发相关的操作，存储单元930用于执行上文方法实施 例中第一设备侧的数据或指令存储相关的操作，处理单元920用于执行上文方法实施例中 第一设备侧的处理相关的操作。该第一设备可以是af网元。
236.或者，该无线通信装置900可以用于执行上文方法实施例中第二设备所执行的动作， 这时，该无线通信装置900可以为第二设备或者可配置于第二设备的部件，收发单元910 用于执行上文方法实施例中第二设备侧的收发相关的操作，存储单元930用于执行上文方 法实施例中第二设备侧的数据或指令存储相关的操作，处理单元920用于执行上文方法实 施例中第二设备侧的处理相关的操作。该第二设备可以是upf网元或是客户端设备。
237.作为一种设计，无线通信装置900用于执行上文图4所示实施例中第一设备所执行的 动作，收发单元910用于获取第一信息，所述第一信息包括第一客户端设备与至少一个第 一终端设备的对应关系、所述第一终端设备与至少一个第二终端设备的对应关系。处理单 元920用于在第二设备上配置所述第一信息，所述第一信息用于所述第二设备验证接收到 的业务报文是所述第一终端设备通过所述第一客户端设备发送至所述第二终端设备的业 务报文。
238.该无线通信装置900可实现对应于根据本技术实施例的方法400-方法600中的第一设 备(ifes)执行的步骤或者流程，该无线通信装置900可以包括用于执行图4中的方法 400-图6中方法600中的第一设备执行的方法的单元。并且，该无线通信装置900中的各 单
元和上述其他操作和/或功能分别为了实现图4中的方法400-图6中方法600的相应流 程。
239.其中，当该通信装置900用于执行图4中的方法400时，收发单元910可用于执行方 法400中的步骤401，步骤403和步骤405，处理单元920可用于执行方法400中的步骤 402。
240.方法500和方法600与方法400类似，在此不进行赘述。
241.应理解，各单元执行相应步骤的具体过程在上述方法实施例中已经详细说明，为了简 洁，在此不再赘述。
242.作为另一种设计，无线通信装置900用于执行上文图4所示实施例中第二设备所执行 的动作，收发单元910用于获取第一信息，所述第一信息包括第一客户端设备与至少一个 第一终端设备的对应关系、所述第一终端设备与至少一个第二终端设备的对应关系；所述 处理单元920用于根据所述第一信息验证接收到的业务报文确是所述第一终端设备通过 所述第一客户端设备发送至所述第二终端设备的业务报文；所述收发单元910还用于向所 述第二客户端设备发送所述业务报文。
243.该无线通信装置900可实现对应于根据本技术实施例的方法400-方法600中的第二设 备执行的步骤或者流程，该无线通信装置900可以包括用于执行图4中的方法400和图6 中方法600中的第二设备执行的方法的单元。并且，该无线通信装置900中的各单元和上 述其他操作和/或功能分别为了实现图4中的方法400-图6中方法600的相应流程。
244.其中，当该无线通信装置900用于执行图4中的方法400时，收发单元910可用于执 行方法400中的步骤407和步骤409，处理单元920可用于执行方法400中的步骤408。
245.当该无线通信装置900用于执行图5中的方法500时，收发单元910可用于执行方法 500中的步骤508和步骤510，处理单元920可用于执行方法500中的步骤509。
246.当该无线通信装置900用于执行图6中的方法600时，收发单元910可用于执行方法 600中的步骤603，步骤604，步骤606和步骤608，处理单元920可用于执行方法600中 的步骤607。
247.上文实施例中的处理单元920可以由至少一个处理器或处理器相关电路实现。收发单 元910可以由收发器或收发器相关电路实现。收发单元910还可称为通信单元或通信接口。 存储单元可以通过至少一个存储器实现。
248.如图10所示，本技术实施例还提供一种无线通信装置1000。该无线通信装置1000 包括处理器1010，处理器1010与存储器1020耦合，存储器1020用于存储计算机程序或 指令和/或数据，处理器1010用于执行存储器1020存储的计算机程序或指令和/或数据。
249.可选地，该无线通信装置1000包括的处理器1010为一个或多个。
250.可选地，如图10所示，该通信装置1000还可以包括存储器1020。
251.可选地，该无线通信装置1000包括的存储器1020可以为一个或多个。
252.可选地，该存储器1020可以与该处理器1010集成在一起，或者分离设置。
253.作为一种方案，该无线通信装置1000用于实现上文方法实施例中由第一设备执行的 操作。
254.例如，处理器1010用于实现上文方法实施例中由第一设备执行的处理相关的操作。
255.作为另一种方案，该无线通信装置1000用于实现上文方法实施例中由第二设备执行 的操作。
256.例如，处理器1010用于实现上文方法实施例中由第二设备执行的处理相关的操作。
257.应注意，本技术上述方法实施例可以应用于处理器中，或者由处理器实现。处理器可 能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤 可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是 通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(applicationspecific integrated circuit，asic)、现成可编程门阵列(field programmable gate array， fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实 现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理 器或者该处理器也可以是任何常规的处理器等。结合本技术实施例所公开的方法的步骤可 以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行 完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦 写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读 取存储器中的信息，结合其硬件完成上述方法的步骤。
258.可以理解，本技术实施例中的存储器可以是易失性存储器或非易失性存储器，或可包 括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-onlymemory，rom)、可编程只读存储器(programmable rom，prom)、可擦除可编程只 读存储器(erasable prom，eprom)、电可擦除可编程只读存储器(electrically eprom， eeprom)或闪存。易失性存储器可以是随机存取存储器(random access memory，ram)， 其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态 随机存取存储器(static ram，sram)、动态随机存取存储器(dynamic ram，dram)、 同步动态随机存取存储器(synchronous dram，sdram)、双倍数据速率同步动态随机 存取存储器(double data rate sdram，ddr sdram)、增强型同步动态随机存取存储 器(enhanced sdram，esdram)、同步连接动态随机存取存储器(synchlink dram， sldram)和直接内存总线随机存取存储器(direct rambus ram，dr ram)。应注意， 本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
259.应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三 种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三 种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
260.应理解，在本技术的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的 先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程 构成任何限定。
261.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及 算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以 硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可 以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本 申请的范围。
262.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装 置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
263.在本技术所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通 过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的 划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组 件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显 示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间 接耦合或通信连接，可以是电性，机械或其它的形式。
264.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的 部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络 单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
265.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各 个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
266.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储 在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现 有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机 软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计 算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而 前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随 机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代 码的介质。
267.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟 悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖 在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。