CN109698817B - 数据处理的方法和装置 - Google Patents

Abstract

本申请提供了一种数据处理的方法和装置，该方法包括：接入网设备确定多种安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识；该接入网设备根据该目标安全性防护粒度的标识，对该待处理下行数据进行接入层安全性防护。本申请能够减小数据处理的开销以及提高数据处理的可靠性。

Description

数据处理的方法和装置

技术领域

本申请涉及通信领域，更具体地，涉及一种数据处理的方法和装置。

背景技术

在长期演进(Long Term Evolution，LTE)系统中，数据的接入层安全性防护的实现需要涉及待处理数据、密钥、无线承载标识、传输方向以及序列号这些参数。也就是说，数据的接入层安全性防护的粒度都是基于无线承载(radio bearer，RB)的。但是由于不同数据的接入层安全性防护的需求可能不同，若接入层安全性防护的粒度都是基于无线承载，对于接入层安全性防护的需求较高的数据，会由于接入层安全性防护的粒度过大造成可靠性降低，对于接入层安全性防护的需求较低的数据，会由于接入层安全性防护的粒度过细造成资源浪费。

发明内容

本申请提供了一种数据处理的方法，该方法能够减小开销以及提高数据处理的可靠性。

第一方面，提供了一种数据处理的方法，该方法包括：接入网设备确定多种安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识；该接入网设备根据该目标安全性防护粒度的标识，对该待处理下行数据进行接入层安全性防护。

接入网设备对于接入层安全性防护的需求不同的待处理数据，能够以合适的安全性防护粒度进行接入层安全性防护，进而减小开销以及提高数据处理的可靠性。

在一些可能的实现方式中，该方法还包括：该接入网设备向终端设备发送该目标安全性防护粒度的标识，该目标安全性防护粒度的标识用于该终端设备对待处理上行数据进行该接入层安全性防护。

终端设备可以与该接入网设备使用一致的安全性防护粒度，从而能够提高终端设备与接入网设备的通信效率。

在一些可能的实现方式中，该方法还包括：该接入网设备在服务数据适配协议层SDAP层生成协议数据单元(protocol data unit,PDU)的序列号；其中，该接入网设备根据该目标安全性防护粒度的标识，对该待处理下行数据进行接入层安全性防护包括：该接入网设备在该SDAP层根据该目标安全性防护粒度的标识和该序列号，对该待处理下行数据进行接入层安全性防护。

对于接入层安全性防护需求较高的待处理数据，例如以QoS流为粒度的安全性防护,接入网设备可以避免在PDCP层看不到流的信息而无法进行数据处理，从而提高了数据处理的可靠性。

在一些可能的实现方式中，该方法还包括：该接入网设备在SDAP层生成SDAP控制PDU，该SDAP控制PDU包括该目标安全性防护粒度的标识；该接入网设备的该SDAP层向PDCP层发送该SDAP控制PDU；其中，该接入网设备根据该目标安全性防护粒度的标识，对该待处理下行数据进行接入层安全性防护包括：该接入网设备在该PDCP层根据该SDAP控制PDU中的该目标安全性防护粒度的标识，对该待处理下行数据进行接入网安全性防护。

接入网设备可以在PDCP层生成序列号。接入网设备在PDCP层解析SDAP控制PDU得到该目标安全性防护粒度，再根据目标安全性防护粒度、序列号、传输方向和密钥生成密钥流块，进而根据该密钥流块进行接入层安全性防护，这样接入网设备对原有数据处理的步骤改动较小，能够提高数据处理的装置的兼容性。

在一些可能的实现方式中，该方法还包括：该接入网设备在SDAP层生成PDU的序列号；其中，该接入网设备根据该目标安全性防护粒度的标识，进行接入层安全性防护包括：该接入网设备在该SDAP层根据该序列号、该目标安全性防护粒度的标识、传输方向和密钥生成密钥流块；该接入网设备的该SDAP层向PDCP层发送该密钥流块；该接入网设备在该PDCP层根据该密钥流块，对该待处理下行数据进行接入层安全性防护，该密钥流块包括该目标安全性防护粒度的标识。

接入网设备可以在SDAP层生成序列号。接入网设备在SDAP层根据目标安全性防护粒度、序列号、传输方向和密钥生成密钥流块，进而根据该密钥流块进行接入层安全性防护，这样接入网设备可以避免在PDCP层看不到流的信息而无法进行数据处理，从而提高了数据处理的可靠性。

在一些可能的实现方式中，该方法还包括：该接入网设备接收安全等级信息，该安全等级信息用于指示该待处理下行数据的安全等级需求；其中，该接入网设备确定多种安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识包括：该接入网设备根据该安全等级信息，确定该多种安全性防护粒度中该待处理下行数据的目标安全性防护粒度；该接入网设备根据该目标安全性防护粒度，确定该目标安全性防护粒度的标识。

该接入网设备接收策略功能单元发送的安全等级信息，对接入层安全性防护的需求不同的待处理数据，以合适的安全性防护粒度进行接入层安全性防护，进而减小开销以及提高数据处理的可靠性。

在一些可能的实现方式中，该方法还包括：该接入网设备接收安全性防护信息，该安全性防护信息用于指示该待处理下行数据的安全性防护粒度的需求；该接入网设备根据该安全性防护信息，确定该多种安全性防护粒度中该待处理下行数据的目标安全性防护粒度。

接入网设备可以接收终端设备对待处理下行数据的安全性防护粒度的需求，并根据该安全性防护粒度的需求为该待处理下行数据确定目标安全性防护粒度，从而提高了数据处理效率。

在一些可能的实现方式中，该安全性防护粒度包含以下参数中的任一项：服务质量QoS流、无线承载、分组数据单元会话和终端设备。

以合适的安全性防护粒度进行接入层安全性防护，能够减小开销以及提高数据处理的可靠性。

第二方面，提供了一种数据处理的方法，该方法包括：终端设备接收接入网设备发送的待处理上行数据的目标安全性防护粒度的标识，该目标安全性防护粒度是由该接入网设备在多种安全性防护粒度中确定的；该终端设备根据该目标安全性防护粒度的标识，对该待处理上行数据进行接入层安全性防护。

终端设备接收接入网设备从多种安全性防护粒度中确定的目标安全性防护粒度的标识，并根据该目标安全性防护粒度的标识对该待处理上行数据进行接入层安全性防护，这样终端设备可以与该接入网设备使用一致的安全性防护粒度，从而能够提高终端设备与接入网设备的通信效率。

在一些可能的实现方式中，该方法还包括：该终端设备在服务数据适配协议层SDAP层生成协议数据单元PDU的序列号；其中，该终端设备根据该目标安全性防护粒度的标识，对该待处理上行数据进行接入层安全性防护包括：该终端设备在该SDAP层根据该目标安全性防护粒度的标识和该序列号，对该待处理上行数据进行接入层安全性防护。

终端设备可以在SDAP层生成序列号。终端设备在SDAP层根据目标安全性防护粒度、序列号、传输方向和密钥生成密钥流块，进而根据该密钥流块进行接入层安全性防护，这样终端设备可以避免在PDCP层看不到流的信息而无法进行数据处理，从而提高了数据处理的可靠性。

在一些可能的实现方式中，该方法还包括：该终端设备在SDAP层生成SDAP控制PDU，该SDAP控制PDU包括该目标安全性防护粒度的标识；该终端设备的该SDAP层向PDCP层发送该SDAP控制PDU；其中，该终端设备根据该目标安全性防护粒度的标识，对该待处理上行数据进行接入层安全性防护包括：该终端设备在该PDCP层根据该SDAP控制PDU中的该目标安全性防护粒度的标识，对该待处理上行数据进行接入网安全性防护。

终端设备可以在PDCP层生成序列号。终端设备在PDCP层解析SDAP控制PDU得到该目标安全性防护粒度，再根据目标安全性防护粒度、序列号、传输方向和密钥生成密钥流块，进而根据该密钥流块进行接入层安全性防护，这样终端设备对原有数据处理的步骤改动较小，能够提高数据处理的装置的兼容性。

在一些可能的实现方式中，该方法还包括：该终端设备在SDAP层生成PDU的序列号；其中，该终端设备根据该目标安全性防护粒度的标识，对该待处理上行数据进行接入层安全性防护包括：该终端设备在该SDAP层根据序列号、该目标安全性防护粒度的标识、传输方向和密钥生成密钥流块；该终端设备的该SDAP层向PDCP层发送该密钥流块；该终端设备在该PDCP层根据该密钥流块，对该待处理上行数据进行接入层安全性防护。

接入网设备可以在SDAP层生成序列号。接入网设备在SDAP层根据目标安全性防护粒度、序列号、传输方向和密钥生成密钥流块，进而根据该密钥流块进行接入层安全性防护，这样接入网设备可以避免在PDCP层看不到流的信息而无法进行数据处理，从而提高了数据处理的可靠性。

在一些可能的实现方式中，该方法还包括：该终端设备向该接入网设备发送安全性防护信息，该安全性防护信息用于指示该待处理上行数据的安全性防护粒度的需求。

接入网设备可以接收终端设备对待处理上行数据的安全性防护粒度的需求，并根据该安全性防护粒度的需求为该待处理上行数据确定目标安全性防护粒度，从而提高了数据处理效率。

在一些可能的实现方式中，该安全性防护粒度包含以下参数中的任一项：服务质量QoS流、无线承载、分组数据单元会话和终端设备。

以合适的安全性防护粒度进行接入层安全性防护，能够减小开销以及提高数据处理的可靠性。

第三方面，提供了一种数据处理的方法，该方法包括：确定安全等级信息，该安全等级信息用于指示待处理上行数据的安全等级需求；发送该安全等级信息，该安全等级信息用于接入网设备确定该待处理上行数据的安全性防护粒度。

策略功能单元确定安全等级信息，并将该安全等级信息发送给接入网设备，接入网设备能够对接入层安全性防护的需求不同的待处理上行数据，以合适的安全性防护粒度进行接入层安全性防护，进而减小开销以及提高数据处理的可靠性。

在一些可能的实现方式中，该待处理上行数据可以是上行数据，也可以是下行数据。

在一些可能的实现方式中，该确定安全等级信息包括：接收QoS请求；根据该QoS请求，确定该安全等级信息。

策略功能单元可以根据QoS请求与安全等级信息的映射关系，确定具有不同QoS请求的不同数据各自的安全等级信息。也就是说，策略功能单元能够利用已有的QoS请求，进而减少系统开销。

在一些可能的实现方式中，该发送该安全等级信息包括：

发送响应该QoS请求的服务响应消息，该服务响应消息携带该安全等级信息。

策略功能单元通过服务响应消息携带该安全等级信息，从而能够更进一步减少系统开销。

在一些可能的实现方式中，该发送响应该QoS请求的服务响应消息包括：向控制平面功能网元发送该服务响应消息。

策略功能单元通过控制平面功能网元转发该服务响应消息，提高了发送服务响应消息的灵活性。

在一些可能的实现方式中，该安全性防护粒度为流、无线承载、会话和用户设备中的任一项。

以合适的安全性防护粒度进行接入层安全性防护，能够减小开销以及提高数据处理的可靠性。

第四方面，提供了一种数据处理的装置，该装置可以是接入网设备，也可以是接入网设备内的芯片。该装置具有实现上述第一方面的各实施例的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元。

在一种可能的设计中，当该装置为接入网设备时，接入网设备包括：处理单元和收发单元，所述处理单元例如可以是处理器，所述收发单元例如可以是收发器，所述收发器包括射频电路。可选地，所述接入网设备还包括存储单元，该存储单元例如可以是存储器。当接入网设备包括存储单元时，该存储单元用于存储计算机执行指令，该处理单元与该存储单元连接，该处理单元执行该存储单元存储的计算机执行指令，以使该接入网设备执行上述第一方面任意一项的数据处理的方法。

在另一种可能的设计中，当该装置为接入网设备内的芯片时，该芯片包括：处理单元和收发单元，所述处理单元例如可以是处理器，所述收发单元例如可以是该芯片上的输入/输出接口、管脚或电路等。该处理单元可执行存储单元存储的计算机执行指令，以使该终端内的芯片执行上述第一方面任意一项的数据处理的方法。可选地，所述存储单元为所述芯片内的存储单元，如寄存器、缓存等，所述存储单元还可以是所述接入网设备内的位于所述芯片外部的存储单元，如只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)等。

其中，上述任一处提到的处理器，可以是一个通用中央处理器(CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制上述第一方面数据处理的方法的程序执行的集成电路。

第五方面，本申请提供一种数据处理的装置，该装置可以是终端设备，也可以是终端设备内的芯片。该装置具有实现上述第二方面的各实施例的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元。

在一种可能的设计中，当该装置为终端设备时，终端设备包括：处理单元和收发单元，所述处理单元例如可以是处理器，所述收发单元例如可以是收发器，所述收发器包括射频电路，可选地，所述终端设备还包括存储单元，该存储单元例如可以是存储器。当终端设备包括存储单元时，该存储单元用于存储计算机执行指令，该处理单元与该存储单元连接，该处理单元执行该存储单元存储的计算机执行指令，以使该终端设备执行上述第二方面任意一项的数据处理的方法。

在另一种可能的设计中，当该装置为终端设备内的芯片时，该芯片包括：处理单元和收发单元，所述处理单元例如可以是处理器，所述收发单元例如可以是该芯片上的输入/输出接口、管脚或电路等。该处理单元可执行存储单元存储的计算机执行指令，以使该终端设备内的芯片执行上述第二方面任意一项的数据处理的方法。可选地，所述存储单元为所述芯片内的存储单元，如寄存器、缓存等，所述存储单元还可以是所述终端设备内的位于所述芯片外部的存储单元，如ROM或可存储静态信息和指令的其他类型的静态存储设备，RAM等。

其中，上述任一处提到的处理器，可以是一个CPU，微处理器，ASIC，或一个或多个用于控制上述第二方面数据处理的方法的程序执行的集成电路。

第六方面，提供了一种数据处理的装置，该装置可以是策略功能单元，也可以是策略功能单元内的芯片。该装置具有实现上述第三方面的各实施例的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元。

在一种可能的设计中，当该装置为策略功能单元时，策略功能单元包括：处理单元和收发单元，所述处理单元例如可以是处理器，所述收发单元例如可以是收发器，所述收发器包括射频电路，可选地，所述策略功能单元还包括存储单元，该存储单元例如可以是存储器。当策略功能单元包括存储单元时，该存储单元用于存储计算机执行指令，该处理单元与该存储单元连接，该处理单元执行该存储单元存储的计算机执行指令，以使该策略功能单元执行上述第三方面任意一项的数据处理的方法。

在另一种可能的设计中，当该装置为策略功能单元内的芯片时，该芯片包括：处理单元和收发单元，所述处理单元例如可以是处理器，所述收发单元例如可以是该芯片上的输入/输出接口、管脚或电路等。该处理单元可执行存储单元存储的计算机执行指令，以使该策略功能单元内的芯片执行上述第三方面任意一项的数据处理的方法。可选地，所述存储单元为所述芯片内的存储单元，如寄存器、缓存等，所述存储单元还可以是所述策略功能单元内的位于所述芯片外部的存储单元，如ROM或可存储静态信息和指令的其他类型的静态存储设备，RAM等。

其中，上述任一处提到的处理器，可以是一个CPU，微处理器，ASIC，或一个或多个用于控制上述第三方面数据处理的方法的程序执行的集成电路。

第七方面，提供了一种通信系统，该通信系统包括：上述第四方面的装置、上述第五方面的装置和上述第六方面的装置。

第八方面，提供了一种计算机存储介质，该计算机存储介质中存储有程序代码，该程序代码用于指示执行上述第一方面、第二方面和第三方面中的任一方面或其任意可能的实现方式中的方法的指令。

第九方面，提供了一种包含指令的计算机程序产品，其在计算机上运行时，使得计算机执行上述第一方面、第二方面和第三方面中的任一方面或其任意可能的实现方式中的方法。

基于上述方案，接入网设备确定多种安全性防护粒度中待处理数据的目标安全性防护粒度的标识；该接入网设备根据该目标安全性防护粒度的标识，对该待处理数据进行接入层安全性防护，这样对于接入层安全性防护的需求不同的待处理数据，能够以合适的安全性防护粒度进行接入层安全性防护，进而减小开销以及提高数据处理的可靠性。

附图说明

图1是传统LTE系统的终端设备和接入网设备之间的用户面协议栈的示意图；

图2是传统LTE系统的终端设备和接入网设备之间的控制面协议栈的示意图；

图3是LTE系统接入层安全性防护的示意性流程图；

图4是NR的用户面协议栈的示意图；

图5是本申请一个实施例的数据处理的方法的示意性流程图；

图6是本申请另一个实施例的数据处理的方法的示意性流程图；

图7是本申请又一个实施例的数据处理的方法的示意性流程图；

图8是本申请再一个实施例的数据处理的方法的示意性流程图；

图9是本申请再一个实施例的数据处理的方法的示意性流程图；

图10是本申请再一个实施例的数据处理的方法的示意性流程图；

图11是本申请再一个实施例的数据处理的方法的示意性流程图；

图12是本申请再一个实施例的数据处理的方法的示意性流程图；

图13是本申请再一个实施例的数据处理的方法的示意性流程图；

图14是本申请再一个实施例的数据处理的方法的示意性流程图；

图15是本申请再一个实施例的数据处理的方法的示意性流程图；

图16是本申请一个实施例的数据处理的装置的示意性框图；

图17是本申请另一个实施例的数据处理的装置的示意性结构图；

图18是本申请又一个实施例的数据处理的装置的示意性框图；

图19是本申请再一个实施例的数据处理的装置的示意性结构图；

图20是本申请实施例的数据处理的通信系统的示意性框图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：LTE系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、未来的第五代(5th generation，5G)系统或新无线(new radio，NR)等。

本申请实施例中的终端设备可以指用户设备(user equipment，UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备等，本申请实施例对此并不限定。

本申请实施例中的接入网设备可以是用于与终端设备通信的设备，该接入网设备可以是LTE系统中的演进型基站(evolved NodeB，eNB或eNodeB)，还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该接入网设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的接入网设备或者未来演进的PLMN网络中的接入网设备等，本申请实施例并不限定。

在LTE系统的下行传输过程中，分组数据网网关(packet data network gateway，PGW)对数据包进行分类生成多个业务数据流(service data flow，SDF)，之后通过业务流模板(traffic flow template，TFT)将一个或多个SDF过滤映射到一个分组系统(evolvedpacket system，EPS)承载，即在S5/S8承载，S1承载和无线承载都是以EPS承载的属性保证服务质量(quality of service，QoS)的需求。

图1示出了传统LTE系统的终端设备和接入网设备之间的用户面协议栈的示意图。如图1所示，终端设备和接入网设备都包括用户面协议栈，且用户面协议栈包括分组数据汇聚协议(packet data convergence protocol，PDCP)层、无线链路控制(radio linkcontrol，RLC)层、媒体访问控制(media access control，MAC)层和物理(physical，PHY)层。其中，PDCP层用于将接收到的网际协议(Internet Protocol，IP)数据包的IP头压缩和解压、加/解密和完整性验证；RLC层用于为用户和控制数据提供分段和重传业务，包括包分割、包排序、重复包检测和包重组等功能；MAC层主要负责数据的复用与解复用、控制与连接物理层的物理介质；PHY层用于为传输数据所需要的物理链路创建、维持、拆除，而提供具有机械的、电子的功能的和规范的特性。

图2示出了传统LTE系统的终端设备和接入网设备之间的控制面协议栈的示意图。如图2所示，终端设备和接入网设备都包括控制面协议栈。控制面协议栈包括PDCP层、RLC层、MAC层和PHY层，且在PDCP层之上还包括无线电资源控制(radio resource control，RRC)层。RRC层用于配置和调度PDCP层。

应理解，PDCP层可以包括多个PDCP实体，例如一个DRB/SRB会对应有一个PDCP实体对该DRB/SRB进行处理。

LTE的接入层安全性防护由PDCP实体执行，具体的接入层安全性防护包括数据加密和完整性保护。其中，接入层安全性防护的对象包括控制面的信令无线承载(signalingradio bearer，SRB)和用户面的数据无线承载(data radio bearer，DRB)。对于SRB，PDCP层做完整性保护和加/解密。对于DRB，PDCP层只做加/解密。

图3示出了LTE系统接入层安全性防护的示意性流程图。具体地，在发送端，PDCP实体获得上层(例如传输控制协议(transmission control protocol，TCP)/IP层)数据包之后，为每个无线承载上的TCP/IP包生成一个PDCP序列号，如果接入网设备配置了头压缩功能，那么PDCP会对PDCP服务数据单元(service data unit，SDU)即收到的TCP/IP包执行头压缩操作。PDCP实体还可以进一步对数据包执行完整性保护操作，即PDCP实体接收上层发送的无线承载标识、密钥、传输方向，并把为TCP/IP包生成的序列号关联到协议数据单元(protocol data unit，PDU)序列号，进而根据无线承载标识、密钥、传输方向和PDU的序列号生成密钥流块，并将密钥流块添加到PDCP PDU后面做校验位。值得注意的是，在LTE系统中，完整性保护只用于SRB，不用于DRB。

PDCP实体还可以对经过头压缩和/或完整性保护后的PDCP SDU进行加密处理，即对PDCP SDU和密钥流块进行异或运算，完成加密。加密处理完成后PDCP实体会对PDCP SDU添加一个PDCP头成为一个PDCP PDU，PDCP头中包含了PDCP PDU的一些指示信息，比如，序列号，数据/信令指示等。PDCP实体把PDCP PDU放在合适的无线承载上递交给下层处理，比如，RLC、MAC等。接收端与此类似，但执行上述操作的逆操作。

需要说明的是，多个业务流可以聚合到一个无线承载上。

在接入层安全性防护的对象为控制平面的数据时，先进行完整性保护然后进行加密。且被完整性保护的数据单元包括PDCP PDU的数据部分和PDCP头，被加密的数据单元为PDCP PDU的数据部分和完整性消息鉴权码(MAC-I)域。在接入层安全性防护的对象为用户平面的数据时，先进行IP头压缩然后进行加密，且被加密的数据单元为PDCP PDU的数据部分。

应理解，PDCP PDU的数据部分为未压缩的用户面或控制面的PDCP SDU或压缩的用户平面PDCP SDU。

需要说明的是，加密仅适用于控制面或用户面的数据PDCP PDU，对于PDCP层的控制信息(如PDCP控制PDU，PDCP控制PDU用于携带PDCP层相关操作的一些控制信息，比如，头压缩反馈，PDCP状态报告等)既不进行加密，也不进行完整性保护。

该PDCP实体所使用的加密算法和密钥(KEY)由高层协议配置。一旦激活安全功能，加密功能即被高层激活，该功能应用于高层指示的所有PDCP PDU。PDCP用于加密的参数包括以下4个：序列号(COUNT)、传输方向(DIRECTION)、无线承载标识(RB ID)和密钥(KEY)。其中，控制平面使用的密钥为K_RRCenc，用户平面使用的密钥为K_UPenc。

应理解，加密算法可以理解为包括上述四个参数的函数。

加密是通过对数据和密钥流块进行数学运算(如异或(XOR)运算)来实现的。其中，密钥流块是根据密钥、无线承载标识、传输方向以及序列号生成的。示例性地，发送端的PDCP层根据加密参数生成密钥流块，然后将待加密的数据和密钥流块进行异或运算，得到加密的数据。例如，发送端设备对不包括PDCP头的PDCP数据域进行加密以保护数据内容。相应地，接收端设备的PDCP层进行解密，以获取数据。

完整性保护是将密钥流块添加到数据后面做校验位。例如，发送端设备根据包括PDCP头的PDCP报文生成校验位MAC-I加在报文尾部。相应地，接收端设备根据接收到的报文计算校验位X-MAC，并根据X-MAC与MAC-I是否相同判断数据是否完整。

需要说明的是，密钥通常为128bit，传输方向包括上行传输和下行传输，序列号通常为超帧号(hyper frame number，HFN)+序列号(sequence number，SN)，且为32位。

应理解，可以通过一个比特位的取值“0”和“1”分别表示上行传输和下行传输。

在5G系统中，引入了QoS流的概念，数据可以基于QoS流的方式在核心网(corenetwork，CN)设备之间，或者在CN设备和接入网(access network，AN)设备之间的接口传输，或者是不同AN设备之间的接口传输，还可以是AN设备和终端设备之间的空口传输。一个或多个QoS流可以映射到一个无线承载。在5G网络的QoS架构中存在两层映射。以下行传输过程为例，在下行TCP/IP数据包到达CN的用户面功能(user plane function，UPF)时，CNUPF先把数据包映射到QoS流，然后把QoS流通过接入网设备与核心网设备之间的接口(如NG3)发送到接入网设备，再由接入网设备把QoS流映射到无线承载并发送到终端设备。5G系统的接入网设备和终端设备的协议栈架构引入了一个新的协议层服务数据适配协议层(service data adaptation protocol，SDAP)，其主要功能是对QoS流进行处理，比如，确定QoS流到无线承载之间的映射方式，并根据该映射方式实现映射。对于接入网设备的SDAP层而言，下行传输时把从核心网接收到的QoS流映射到合适的无线承载发送给终端设备，相应的上行传输时把从终端设备接收的无线承载映射到QoS流。对于终端设备的SDAP层而言，下行传输时把从接入网设备接收到的无线承载映射到QoS流，相应的上行传输时把从应用层接收到的QoS流映射到无线承载发送给接入网设备。

图4示出了NR的用户面协议栈的示意图。如图4所示，终端设备和接入网设备都包括服务数据适配协议(service data adaptation protocol，SDAP)层、PDCP层、RLC层、MAC层和PHY层。其中，SDAP层处于接入层中PDCP层之上，PDCP层位于SDAP层与RLC层之间。NR的终端设备和接入网设备的控制面协议栈相对用户面协议栈还可以包括无线电资源控制(radio resource control，RRC)层，且该RRC层位于SDAP层之上。

目前，LTE系统中，数据的接入层安全性防护的粒度都是基于无线承载的。其中，无线承载可以是DRB或SRB。但是由于不同数据的接入层安全性防护的需求可能不同，若接入层安全性防护的粒度都是基于无线承载，对于接入层安全性防护的需求较高的数据，会由于接入层安全性防护的粒度过大造成可靠性降低，而对于接入层安全性防护的需求较低的数据，会由于接入层安全性防护的粒度过细造成资源浪费。

图5为本申请实施例的数据处理的方法的示意性流程图。

501，接入网设备确定多种安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识。

具体地，若待处理下行数据的目标安全性防护粒度是无线承载，则目标安全性防护粒度的标识为无线承载标识。

在一种示例中，接入网设备确定了待处理下行数据的目标安全性防护粒度为无线承载，则接入网设备进一步确定该待处理下行数据所对应的无线承载的无线承载标识，以使用该无线承载标识对该待处理下行数据进行安全性防护。

在另一种示例中，接入网设备确定了待处理下行数据的目标安全性防护粒度为QoS流，则接入网设备进一步确定该待处理下行数据所对应的QoS流的QoS流标识，以使用该QoS流标识对该待处理下行数据进行安全性防护。

可选地，本申请实施例的待处理下行数据可以是用户面数据，也可以是控制面数据，本申请对此不进行限定。

可选地，该多种安全性防护粒度包括：QoS流、无线承载、分组数据单元(packetdata unit，PDU)会话(session)和终端设备中的至少两项。

具体地，一个终端设备可以发起一个或多个分组数据单元会话，一个分组数据单元会话可以包含一个或多个无线承载，一个无线承载包含一个或多个QoS流。一个QoS流可以包含多个数据包，一个数据包包含多个比特。

应理解，本申请实施例中的无线承载可以是DRB或SRB。

502，接入网设备根据该目标安全性防护粒度的标识，对待处理下行数据进行接入层安全性防护。

具体地，接入网设备可以获知处理参数，该处理参数包括待处理下行数据的序列号、传输方向和密钥。接入网设备根据该目标安全性防护粒度的标识、待处理下行数据的序列号、传输方向和密钥对该待处理下行数据进行接入层安全性防护。

应理解，密钥可以是128位长度，且密钥的长度可以决定安全保障的强度，即密钥的长度越长，安全性保障的强度越强。序列号通常为HFN+SN，可以是32位长度。

可选地，该处理参数可以与LTE中的处理参数相同。

因此，本申请实施例的数据处理的方法，接入网设备确定多种不同安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识，并根据目标安全性防护粒度的标识进行接入层安全性防护，这样对于接入层安全性防护的需求不同的待处理下行数据，能够以合适的安全性防护粒度进行接入层安全性防护，进而减小开销以及提高数据处理的可靠性。

图6示出了本申请的另一个实施例的数据处理的方法的示意性流程图。

601，接入网设备可以在SDAP层生成SDAP PDU的序列号。

具体地，接入网设备可以根据SDAP PDU的序列号实现按序发送。

602，该接入网设备在SDAP层根据该目标安全性防护粒度的标识和该序列号，进行接入层安全性防护。

接入网设备在SDAP层可以获知目标安全性防护粒度、传输方向和密钥。这样接入网设备在SDAP层根据SDAP PDU的序列号、目标安全性防护粒度、传输方向和密钥在SDAP层生成密钥流块。接入网设备可以根据该密钥流块和将待加密的下行数据的数学运算以完成加密。此外，接入网设备还可以将密钥流块添加到下行数据后面做校验位，完成完整性保护。

可选地，传输方向和密钥可以是接入网设备从上层获取的。

因此，对于接入层安全性防护需求较高的待处理下行数据，例如以QoS流为粒度的安全性防护，接入网设备可以避免在PDCP层无法识别QoS流的信息而无法进行下行数据处理，从而提高了数据处理的可靠性。

图7示出了本申请又一个实施例的数据处理的方法的示意性流程图。

701，接入网设备在SDAP层生成SDAP控制PDU，该SDAP控制PDU包括目标安全性防护粒度的标识。SDAP控制PDU用于携带SDAP层相关操作的一些控制信息，具体地，在本实施例中，SDAP控制PDU用于携带目标安全性防护粒度的标识信息。

702，该接入网设备的SDAP层向PDCP层发送该SDAP控制PDU。相应地，接入网设备的PDCP层接收SDAP层发送的SDAP控制PDU。

703，该接入网设备在PDCP层根据该SDAP控制PDU中的目标安全性防护粒度、序列号、传输方向和密钥进行接入层安全性防护。

具体地，接入网设备在PDCP层生成序列号。接入网设备在PDCP层解析SDAP控制PDU得到该目标安全性防护粒度，再根据目标安全性防护粒度、序列号、传输方向和密钥生成密钥流块，进而根据该密钥流块进行接入层安全性防护。

可选地，传输方向和密钥可以是接入网设备从上层获取的。

图8示出了本申请又一个实施例的数据处理的方法的示意性流程图。

801，接入网设备在SDAP层生成PDU的序列号。

具体地，接入网设备可以根据PDU的序列号实现按序发送。

802，该接入网设备在SDAP层根据序列号、该目标安全性防护粒度、传输方向和密钥生成密钥流块。

可选地，传输方向和密钥可以是接入网设备从上层获取的。

803，该接入网设备的SDAP层向PDCP层发送该密钥流块。相应地，该接入网设备的PDCP层接收SDAP层发送的密钥流块。

804，该接入网设备在PDCP层根据该密钥流块进行接入层安全性防护。

图9示出了本申请又一个实施例的数据处理的方法的示意性流程图。

901，终端设备接入网络。

具体地，终端设备接入网络，能够与网络中的各个网元建立会话。终端设备在与网络中的各个网元建立会话的过程中，可以获得用于和外部网络进行通信的标识，例如IP地址。通常，网络中设置一个用于和外部网络进行交互的数据网关，例如，LTE系统中的分组数据网络网关、或NR系统中的UPF。

902，终端设备向接入网设备发送QoS请求。QoS请求可以指示数据对QoS的需求。即该方案由终端设备触发的情况下，由终端设备发送该QoS请求。

可选地，该QoS请求可以携带在业务请求中，该业务请求还可以携带业务类型。

903，接入网设备向CN控制平面功能单元(control plane function，CPF)转发该QoS请求。

在该步骤之后，进行步骤905。

904，CN UPF向CN CPF发送该QoS请求。

在步骤901之后，可以直接进行步骤904，即该方案由CN UPF触发的情况下，由CNUPF发送该QoS请求。也就是说，步骤904、以及步骤902和步骤903为并列方案。

905，CN CPF向策略功能网元(policy function，PF)发送QoS请求。相应地，PF接收该QoS请求。

应理解，该PF可以是5G中的策略控制功能(policy control function，PCF)，也可以是传统方案的归属用户服务器(Home Subscriber Server，HSS)，本申请对“策略功能网元”的名称不进行限定。

906，策略功能网元根据该QoS请求确定安全等级信息，该安全等级信息用于指示待处理数据的安全等级需求。

具体地，PF中可以存储用户签约的服务质量模板(QoS profile)和QoS规则，即将待处理数据对QoS的需求划分为多个安全等级，QoS的需求与安全等级具有映射关系，这样PF根据QoS请求可以确定待处理数据对安全等级的需求。

例如，安全等级可以分为普通、较高和高这三个等级。默认为普通。用户在签约时根据常用业务的类型选择不同的安全需求，比如，“->”表示对应关系，网页浏览->普通，语音通话->较高，邮件->高，除了应用层的安全差异化处理之外，接入网设备按照安全性防护粒度进行进一步安全区分处理，并和用户的安全需求做相应的匹配，普通->会话，较高->l承载，高->QoS流。

需要说明的是，安全等级越高意味着数据需要越强的安全保障。例如，强的安全保障可以是更精细的数据加密和完整性保护粒度，比如，对于多个QoS流映射到一个无线承载的场景，基于QoS流的数据加密和完整性保护安全机制，相对于基于无线承载的数据加密和完整性保护安全机制更加安全，因为即使无线承载中一个QoS流加密方法被破解，并不会影响该无线承载内的其他QoS流。强的安全保障还可以是更复杂的加密算法，比如，健壮性更好的加密方法，更合适的密钥长度等。

应理解，本申请实施例中，待处理数据可以是待处理上行数据，也可以是待处理下行数据。

可选地，若携带QoS请求的业务请求是由终端设备发送的，该业务请求还可以携带该终端设备的接入层安全性防护信息，这样策略功能网元在确定待处理数据的安全等级需求时还可以结合该终端设备的接入层安全性防护信息，从而确定出满足该终端设备需求的安全等级信息。

例如，该终端设备的接入层安全性防护信息可以包括终端设备是否需要对待处理数据进行接入层安全性防护，若需要对待处理数据进行接入层安全性防护，该接入层安全性防护信息还可以包括终端设备支持的接入层安全性防护的粒度等。

应理解，本申请实施例中的接入层安全性防护包括加密和完整性保护。加密是通过对待处理数据和密钥流块做异或运算来实现的。完整性保护是将密钥流块添加到待处理数据后面做校验位。其中，密钥流块是根据密钥、目标安全性防护粒度的标识、传输方向以及序列号生成的。

907，策略功能网元向CN CPF发送安全等级信息。

908，CN CPF向接入网设备转发该安全等级信息。

可选地，策略功能网元向接入网设备发送安全等级信息。相应地，接入网设备接收该安全等级信息，并根据该安全等级信息确定多种安全性防护粒度中待处理数据的目标安全性防护粒度。

具体地，安全等级信息可以与安全性防护粒度具有映射关系，这样在接入网设备接收到待处理数据的安全等级信息后，就可以根据映射关系确定出对应的安全性防护粒度，并将该安全性防护粒度确定为待处理数据的目标安全性防护粒度。这样接入网设备能够根据待处理数据的安全等级信息为待处理数据选择合适的目标安全性防护粒度，从而减少开销，且提高数据处理的可靠性。

可选地，接入网设备和CN UPF发送的QoS请求也可以通过CN CPF转发。

909，接入网设备根据该安全等级信息，确定多种安全性防护粒度中该待处理数据的目标安全性防护粒度，该安全等级信息用于指示待处理数据的安全等级需求。

910，接入网设备向终端设备发送该待处理数据的目标安全性防护粒度。

可选地，接入网设备根据该待处理数据的目标安全性防护粒度的标识，进行接入层的安全性防护。相应地，终端设备根据该目标安全性防护粒度的标识，解析该下行数据。

终端设备还可以根据该目标安全性防护粒度对上行数据进行安全性防护，这样终端设备与该接入网设备使用一致的安全性防护粒度，例如，终端设备对上行数据进行加密，以及对下行数据进行解密可以使用一致的安全性防护粒度，从而能够提高终端设备与接入网设备的通信效率。

图10示出了本申请又一个实施例的数据处理的方法的示意性流程图。

1001，终端设备接入网络。

1002，终端设备向接入网设备发送QoS请求。QoS请求可以指示待处理数据对QoS的需求。

应理解，本申请实施例中，待处理数据可以是待处理上行数据，也可以是待处理下行数据。

1003，接入网设备向CN CPF转发该QoS请求。

在该步骤之后，进行步骤1005。

1004，CN UPF向CN CPF发送该QoS请求。

在步骤1001之后，可以直接进行步骤1004。即步骤1004、以及步骤1002和步骤1003为并列方案。

1005，CN CPF向PF发送QoS请求。相应地，PF接收该QoS请求。

1006，策略功能网元根据该QoS请求确定安全等级信息，该安全等级信息用于指示待处理数据的安全等级需求。

1007，策略功能网元根据该安全等级信息，确定多种安全性防护粒度中该待处理数据的目标安全性防护粒度。

1008，策略功能网元向CN CPF发送目标安全性防护粒度。

1009，CN CPF向接入网设备转发该目标安全性防护粒度。

1010，接入网设备向终端设备发送该待处理数据的目标安全性防护粒度。

图11示出了本申请另一个实施例的数据处理的方法的示意性流程图。

1101，终端设备接入网络。

1102，终端设备向接入网设备发送QoS请求。QoS请求可以指示待处理数据对QoS的需求。

应理解，本申请实施例中，待处理数据可以是待处理上行数据，也可以是待处理下行数据。

1103，接入网设备根据该QoS请求确定安全等级信息，该安全等级信息用于指示待处理数据的安全等级需求。

具体地，该接入网设备可以存储Qos请求与安全等级信息的映射关系。

1104，接入网设备根据该安全等级信息，确定多种安全性防护粒度中该待处理数据的目标安全性防护粒度。

可选地，终端设备也可以向接入网设备发送待处理数据的安全性防护信息，该安全性防护信息用于指示该待处理数据的安全性防护粒度的需求，这样使得接入网设备根据该安全性防护粒度的需求确定目标安全性防护粒度，从而能够更进一步提高数据处理效率。

也就是说，步骤1102中发送待处理数据的安全性防护信息，并根据该安全性防护粒度的需求确定目标安全性防护粒度，之后直接执行步骤1105。

1105，接入网设备向终端设备发送该待处理数据的目标安全性防护粒度。

图12为本申请另一个实施例的数据处理的方法的示意性流程图。

1201，终端设备接收接入网设备发送的待处理上行数据的目标安全性防护粒度的标识，该目标安全性防护粒度是由该接入网设备在多种安全性防护粒度中确定的。

可选地，本申请实施例的待处理上行数据可以是用户面数据，也可以是控制面数据，本申请对此不进行限定。

可选地，该多种安全性防护粒度包括：QoS流、无线承载、分组数据单元(packetdata unit，PDU)会话(session)和终端设备中的至少两项。

具体地，一个终端设备可以发起一个或多个分组数据单元会话，一个分组数据单元会话可以包含一个或多个无线承载，一个无线承载包含一个或多个QoS流。一个QoS流可以包含多个数据包，一个数据包包含多个比特。

应理解，本申请实施例中的无线承载可以是DRB或SRB。

1202，终端设备根据该目标安全性防护粒度的标识，对该待处理上行数据进行接入层安全性防护。

具体地，终端设备可以获知处理参数，该处理参数包括待处理上行数据的序列号、传输方向和密钥。终端设备根据该目标安全性防护粒度的标识、待处理上行数据的序列号、传输方向和密钥对该待处理上行数据进行接入层安全性防护。

应理解，密钥通可以是128位长度，且密钥的长度可以决定安全保障的强度，即密钥的长度越长，安全性保障的强度越强。序列号通常为HFN+SN，可以是32位长度。

可选地，该处理参数可以与LTE中的处理参数相同。

在本实施例中，在一种示例中，接入网设备确定多种安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识，并将该目标安全性防护粒度的标识发送给终端设备，终端设备根据该目标安全性防护粒度的标识对待处理上行数据进行接入层安全性防护。在另一种示例中，接入网设备确定多种安全性防护粒度中待处理上行数据的目标安全性防护粒度的标识，并将该目标安全性防护粒度的标识发送给终端设备，终端设备根据该目标安全性防护粒度的标识对待处理上行数据进行接入层安全性防护。

因此，本申请实施例的数据处理的方法，终端设备接收接入网设备发送的待处理上行数据的目标安全性防护粒度的标识，并根据目标安全性防护粒度的标识对该待处理上行数据进行接入层安全性防护，这样对于接入层安全性防护的需求不同的待处理上行数据，能够以合适的安全性防护粒度进行接入层安全性防护，进而减小开销以及提高数据处理的可靠性。

图13示出了本申请另一个实施例的数据处理的方法的示意性流程图。

1301，终端设备可以在SDAP层生成SDAP PDU的序列号。

具体地，终端设备可以根据SDAP PDU的序列号实现按序发送。

1302，该终端设备在SDAP层根据该目标安全性防护粒度的标识和该序列号，进行接入层安全性防护。

终端设备在SDAP层可以获知目标安全性防护粒度、传输方向和密钥。这样终端设备的SDAP层根据SDAP PDU的序列号、目标安全性防护粒度、传输方向和密钥在SDAP层生成密钥流块。终端设备可以根据该密钥流块和将待加密的上行数据的数学运算以完成加密。此外，终端设备还可以将密钥流块添加到上行数据后面做校验位，完成完整性保护。

可选地，传输方向和密钥可以是终端设备从上层获取的。

因此，对于接入层安全性防护需求较高的待处理上行数据，例如以QoS流为粒度的安全性防护，终端设备可以避免在PDCP层无法识别QoS流的信息而无法进行上行数据处理，从而提高了数据处理的可靠性。

图14示出了本申请另一个实施例的数据处理的方法的示意性流程图。

1401，终端设备在SDAP层生成SDAP控制PDU，该SDAP控制PDU包括目标安全性防护粒度的标识。

1402，该终端设备的SDAP层向PDCP层发送该SDAP控制PDU。相应地，终端设备的PDCP层接收SDAP层发送的SDAP控制PDU。

1403，该终端设备在PDCP层根据该SDAP控制PDU中的目标安全性防护粒度、序列号、传输方向和密钥，对待处理上行数据进行接入层安全性防护。

具体地，终端设备在PDCP层生成序列号。终端设备在PDCP层解析SDAP控制PDU得到该目标安全性防护粒度，再根据目标安全性防护粒度、序列号、传输方向和密钥生成密钥流块，进而根据该密钥流块进行接入层安全性防护。

可选地，传输方向和密钥可以是终端设备从上层获取的。

图15示出了本申请另一个实施例的数据处理的方法的示意性流程图。

1501，终端设备在SDAP层生成PDU的序列号。

具体地，终端设备可以根据PDU的序列号实现按序发送。

1502，该终端设备在SDAP层根据序列号、该目标安全性防护粒度、传输方向和密钥生成密钥流块。

可选地，传输方向和密钥可以是终端设备从上层获取的。

1503，该终端设备的SDAP层向PDCP层发送该密钥流块。相应地，该终端设备的PDCP层接收SDAP层发送的密钥流块。

1504，该终端设备在PDCP层根据该密钥流块，对待处理上行数据进行接入层安全性防护。应理解，本申请实施例中的具体的例子只是为了帮助本领域技术人员更好地理解本申请实施例，而非限制本申请实施例的范围。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

上文中详细描述了根据本申请实施例的数据处理的方法，下面将描述本申请实施例的数据处理的装置。

图16是本申请实施例的数据处理的装置1600。该装置1600可以为接入网设备。

应理解，该装置1600可以对应于各方法实施例中的接入网设备，可以具有方法中的接入网设备的任意功能。

处理模块1610，用于确定多种安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识；

该处理模块1610，还用于根据该目标安全性防护粒度的标识，对该待处理下行数据进行接入层安全性防护。

可选地，该装置1600还包括：收发模块1620，用于向终端设备发送该目标安全性防护粒度的标识，该目标安全性防护粒度的标识用于该终端设备对待处理上行数据进行该接入层安全性防护。

可选地，该处理模块1610，还用于在服务数据适配协议层SDAP层生成协议数据单元PDU的序列号；

该处理模块1610具体用于：

在该SDAP层根据该目标安全性防护粒度的标识和该序列号，对该待处理下行数据进行接入层安全性防护。

可选地，该处理模块1610，还用于在SDAP层生成SDAP控制PDU，该SDAP控制PDU包括该目标安全性防护粒度的标识；

该装置1600还包括：

收发模块1620，用于向分组数据汇聚协议PDCP层发送该SDAP控制PDU；

该处理模块1610具体用于：

在该PDCP层根据该SDAP控制PDU中的该目标安全性防护粒度的标识，对该待处理下行数据进行接入网安全性防护。

可选地，该处理模块1610，还用于在SDAP层生成PDU的序列号；

该处理模块1610具体用于：

在该SDAP层根据该序列号、该目标安全性防护粒度的标识、传输方向和密钥生成密钥流块；

向PDCP层发送该密钥流块；

在该PDCP层根据该密钥流块，对该待处理下行数据进行接入层安全性防护。

可选地，该装置1600还包括：

收发模块1620，用于接收安全等级信息，该安全等级信息用于指示该待处理下行数据的安全等级需求；

该处理模块1610具体用于：

根据该安全等级信息，确定该多种安全性防护粒度中该待处理下行数据的目标安全性防护粒度；

根据该目标安全性防护粒度，确定该目标安全性防护粒度的标识。

可选地，该装置1600还包括：

收发模块1620，用于接收安全性防护信息，该安全性防护信息用于指示该待处理下行数据的安全性防护粒度的需求；

该处理模块1610，还用于根据该安全性防护信息，确定该多种安全性防护粒度中该待处理下行数据的目标安全性防护粒度。

可选地，该安全性防护粒度包含以下参数中的任一项：服务质量QoS流、无线承载、分组数据单元会话和终端设备。

因此，本申请实施例的数据处理的装置，通过确定多种不同安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识，并根据目标安全性防护粒度的标识进行接入层安全性防护，这样对于接入层安全性防护的需求不同的待处理下行数据，能够以合适的安全性防护粒度进行接入层安全性防护，进而减小开销以及提高数据处理的可靠性。

可选地，本申请实施例的数据处理的装置1600可以是接入网设备，也可以是接入网设备内的芯片。

应理解，根据本申请实施例的数据处理的装置1600可对应于图5至图12的实施例的数据处理的方法中的接入网设备，并且数据处理的装置1600中的各个模块的上述和其它管理操作和/或功能分别为了实现前述各个方法的相应步骤，为了简洁，在此不再赘述。

可选地，若该数据处理的装置1600为接入网设备，则本申请实施例中的收发模块1620可以由收发器1710实现，处理模块1610可以由处理器1720实现。如图17所示，数据处理的装置1700可以包括收发器1710，处理器1720和存储器1730。其中，存储器1730可以用于存储指示信息，还可以用于存储处理器1720执行的代码、指令等。所述收发器1710可以包括射频电路，可选地，所述接入网设备还包括存储单元。

该存储单元例如可以是存储器。当接入网设备包括存储单元时，该存储单元用于存储计算机执行指令，该处理单元与该存储单元连接，该处理单元执行该存储单元存储的计算机执行指令，以使该接入网设备执行上述数据处理的方法。

可选地，若该数据处理的装置1600为接入网设备内的芯片，则该芯片包括处理模块1610和收发模块1620。收发模块1620可以由收发器1710实现，处理模块1610可以由处理器1720实现。所述收发模块例如可以是输入/输出接口、管脚或电路等。该处理模块可执行存储单元存储的计算机执行指令。所述存储单元为所述芯片内的存储单元，如寄存器、缓存等，所述存储单元还可以是所述终端内的位于所述芯片外部的存储单元，如只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)等。

图18是本申请另一个实施例的数据处理的装置1800的示意性框图。如图18所示，该装置1800可以为终端设备。

应理解，该装置1800可以对应于各方法实施例中的终端设备，可以具有方法中的终端设备的任意功能。

收发模块1810，用于接收接入网设备发送的待处理上行数据的目标安全性防护粒度的标识，该目标安全性防护粒度是由该接入网设备在多种安全性防护粒度中确定的；

处理模块1820，用于根据该目标安全性防护粒度的标识，对该待处理上行数据进行接入层安全性防护。

可选地，该处理模块1820，还用于在服务数据适配协议层SDAP层生成协议数据单元PDU的序列号；

该处理模块1820具体用于：

在该SDAP层根据该目标安全性防护粒度的标识和该序列号，对该待处理上行数据进行接入层安全性防护。

可选地，该处理模块1820，还用于在SDAP层生成SDAP控制PDU，该SDAP控制PDU包括该目标安全性防护粒度的标识；

该收发模块1810，还用于向PDCP层发送该SDAP控制PDU；

该处理模块1820具体用于：

在该PDCP层根据该SDAP控制PDU中的该目标安全性防护粒度的标识，对该待处理上行数据进行接入网安全性防护。

可选地，该处理模块1820，还用于在SDAP层生成PDU的序列号；

该处理模块1820具体用于：

在该SDAP层根据序列号、该目标安全性防护粒度的标识、传输方向和密钥生成密钥流块；

PDCP层发送该密钥流块；

在该PDCP层根据该密钥流块，对该待处理上行数据进行接入层安全性防护，该密钥流块包括该目标安全性防护粒度的标识。

可选地，该收发模块1810，还用于向该接入网设备发送安全性防护信息，该安全性防护信息用于指示该待处理上行数据的安全性防护粒度的需求。

可选地，该安全性防护粒度包含以下参数中的任一项：服务质量QoS流、无线承载、分组数据单元会话和终端设备。

因此，本申请实施例的数据处理的装置，通过接收接入网设备从多种安全性防护粒度中确定的目标安全性防护粒度的标识，并根据该目标安全性防护粒度的标识对该待处理上行数据进行接入层安全性防护，这样终端设备可以与该接入网设备使用一致的安全性防护粒度，从而能够提高终端设备与接入网设备的通信效率。

可选地，本申请实施例的数据处理的装置1800可以是终端设备，也可以是终端设备内的芯片。

应理解，根据本申请实施例的数据处理的装置1800可对应于图9至图15的实施例的数据处理的方法中的终端设备，并且数据处理的装置1800中的各个模块的上述和其它管理操作和/或功能分别为了实现前述各个方法的相应步骤，为了简洁，在此不再赘述。

可选地，若该数据处理的装置1800为终端设备，则本申请实施例中的收发模块1810可以由收发器1910实现，处理模块1820可以由处理器1920实现。如图19所示，装置1750可以包括收发器1910，处理器1920和存储器1930。其中，存储器1930可以用于存储指示信息，还可以用于存储处理器1920执行的代码、指令等。所述收发器可以包括射频电路，可选地，所述终端设备还包括存储单元。

该存储单元例如可以是存储器。当终端设备包括存储单元时，该存储单元用于存储计算机执行指令，该处理模块与该存储单元连接，该处理模块执行该存储单元存储的计算机执行指令，以使该终端设备执行上述数据处理的方法。

可选地，若该数据处理的装置1800为终端设备内的芯片，则该芯片包括处理模块1820和收发模块1810。收发模块1810例如可以是芯片上的输入/输出接口、管脚或电路等。处理模块1820可执行存储单元存储的计算机执行指令。

可选地，所述存储单元为所述芯片内的存储单元，如寄存器、缓存等，所述存储单元还可以是所述终端内的位于所述芯片外部的存储单元，如只读存储器(read-onlymemory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)等。所述存储单元为所述芯片内的存储单元，如寄存器、缓存等，所述存储单元还可以是所述终端内的位于所述芯片外部的存储单元，如只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)等。

应理解，处理器1720或处理器1920可以是集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器1730或存储器1930可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electricallyEPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhancedSDRAM，ESDRAM)、同步连接动态随机存取存储器(synchronous link DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

图20示出了本申请实施例的通信系统2000，该通信系统2000包括：

如图16所示的实施例中的数据处理的装置1600和如图18所示的实施例中的数据处理的装置1800。

本申请实施例还提供一种计算机存储介质，该计算机存储介质可以存储用于指示上述任一种方法的程序指令。

可选地，该存储介质具体可以为存储器1730或1930。

本申请实施例还提供了一种芯片系统，该芯片系统包括处理器，用于支持分布式单元、集中式单元以及终端设备以实现上述实施例中所涉及的功能，例如，例如生成或处理上述方法中所涉及的数据和/或信息。

在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存分布式单元、集中式单元以及终端设备必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (18)

1.一种数据处理的方法，其特征在于，包括：

接入网设备确定多种安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识；

所述接入网设备根据所述目标安全性防护粒度的标识，对所述待处理下行数据进行接入层安全性防护；

所述方法还包括：

所述接入网设备在服务数据适配协议层SDAP层生成协议数据单元PDU的序列号；

其中，所述接入网设备根据所述目标安全性防护粒度的标识，对所述待处理下行数据进行接入层安全性防护包括：

所述接入网设备在所述SDAP层根据所述目标安全性防护粒度的标识和所述序列号，对所述待处理下行数据进行接入层安全性防护；或

所述方法还包括：

所述接入网设备在SDAP层生成SDAP控制PDU，所述SDAP控制PDU包括所述目标安全性防护粒度的标识；

所述接入网设备的所述SDAP层向分组数据汇聚协议PDCP层发送所述SDAP控制PDU；

其中，所述接入网设备根据所述目标安全性防护粒度的标识，对所述待处理下行数据进行接入层安全性防护包括：

所述接入网设备在所述PDCP层根据所述SDAP控制PDU中的所述目标安全性防护粒度的标识，对所述待处理下行数据进行接入网安全性防护；或

所述方法还包括：

所述接入网设备在SDAP层生成PDU的序列号；

其中，所述接入网设备根据所述目标安全性防护粒度的标识，进行接入层安全性防护包括：

所述接入网设备在所述SDAP层根据所述序列号、所述目标安全性防护粒度的标识、传输方向和密钥生成密钥流块；

所述接入网设备的所述SDAP层向PDCP层发送所述密钥流块；

所述接入网设备在所述PDCP层根据所述密钥流块，对所述待处理下行数据进行接入层安全性防护。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述接入网设备向终端设备发送所述目标安全性防护粒度的标识，所述目标安全性防护粒度的标识用于所述终端设备对待处理上行数据进行所述接入层安全性防护。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述接入网设备接收安全等级信息，所述安全等级信息用于指示所述待处理下行数据的安全等级需求；

其中，所述接入网设备确定多种安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识包括：

所述接入网设备根据所述安全等级信息，确定所述多种安全性防护粒度中所述待处理下行数据的目标安全性防护粒度；

所述接入网设备根据所述目标安全性防护粒度，确定所述目标安全性防护粒度的标识。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述接入网设备接收安全性防护信息，所述安全性防护信息用于指示所述待处理下行数据的安全性防护粒度的需求；

所述接入网设备根据所述安全性防护信息，确定所述多种安全性防护粒度中所述待处理下行数据的目标安全性防护粒度。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述安全性防护粒度包含以下参数中的任一项：服务质量QoS流、无线承载、分组数据单元会话和终端设备。

6.一种数据处理的方法，其特征在于，包括：

终端设备接收接入网设备发送的待处理上行数据的目标安全性防护粒度的标识，所述目标安全性防护粒度是由所述接入网设备在多种安全性防护粒度中确定的；

所述终端设备根据所述目标安全性防护粒度的标识，对所述待处理上行数据进行接入层安全性防护；

所述方法还包括：

所述终端设备在服务数据适配协议层SDAP层生成协议数据单元PDU的序列号；

其中，所述终端设备根据所述目标安全性防护粒度的标识，对所述待处理上行数据进行接入层安全性防护包括：

所述终端设备在所述SDAP层根据所述目标安全性防护粒度的标识和所述序列号，对所述待处理上行数据进行接入层安全性防护；或

所述方法还包括：

所述终端设备在SDAP层生成SDAP控制PDU，所述SDAP控制PDU包括所述目标安全性防护粒度的标识；

所述终端设备的所述SDAP层向PDCP层发送所述SDAP控制PDU；

其中，所述终端设备根据所述目标安全性防护粒度的标识，对所述待处理上行数据进行接入层安全性防护包括：

所述终端设备在所述PDCP层根据所述SDAP控制PDU中的所述目标安全性防护粒度的标识，对所述待处理上行数据进行接入网安全性防护；或

所述方法还包括：

所述终端设备在SDAP层生成PDU的序列号；

其中，所述终端设备根据所述目标安全性防护粒度的标识，对所述待处理上行数据进行接入层安全性防护包括：

所述终端设备在所述SDAP层根据序列号、所述目标安全性防护粒度的标识、传输方向和密钥生成密钥流块；

所述终端设备的所述SDAP层向PDCP层发送所述密钥流块；

所述终端设备在所述PDCP层根据所述密钥流块，对所述待处理上行数据进行接入层安全性防护。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

所述终端设备向所述接入网设备发送安全性防护信息，所述安全性防护信息用于指示所述待处理上行数据的安全性防护粒度的需求。

8.根据权利要求6或7所述的方法，其特征在于，所述安全性防护粒度包含以下参数中的任一项：服务质量QoS流、无线承载、分组数据单元会话和终端设备。

9.一种数据处理的装置，其特征在于，包括：

处理模块，用于确定多种安全性防护粒度中待处理下行数据的目标安全性防护粒度的标识；

所述处理模块，还用于根据所述目标安全性防护粒度的标识，对所述待处理下行数据进行接入层安全性防护；

所述处理模块，还用于在服务数据适配协议层SDAP层生成协议数据单元PDU的序列号；

所述处理模块具体用于：

在所述SDAP层根据所述目标安全性防护粒度的标识和所述序列号，对所述待处理下行数据进行接入层安全性防护；或

所述处理模块，还用于在SDAP层生成SDAP控制PDU，所述SDAP控制PDU包括所述目标安全性防护粒度的标识；

所述装置还包括：

收发模块，用于向分组数据汇聚协议PDCP层发送所述SDAP控制PDU；

所述处理模块具体用于：

在所述PDCP层根据所述SDAP控制PDU中的所述目标安全性防护粒度的标识，对所述待处理下行数据进行接入网安全性防护；或

所述处理模块，还用于在SDAP层生成PDU的序列号；

所述处理模块具体用于：

在所述SDAP层根据所述序列号、所述目标安全性防护粒度的标识、传输方向和密钥生成密钥流块；

向PDCP层发送所述密钥流块；

在所述PDCP层根据所述密钥流块，对所述待处理下行数据进行接入层安全性防护。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括：

收发模块，用于向终端设备发送所述目标安全性防护粒度的标识，所述目标安全性防护粒度的标识用于所述终端设备对待处理上行数据进行所述接入层安全性防护。

11.根据权利要求9所述的装置，其特征在于，所述装置还包括：

收发模块，用于接收安全等级信息，所述安全等级信息用于指示所述待处理下行数据的安全等级需求；

所述处理模块具体用于：

根据所述安全等级信息，确定所述多种安全性防护粒度中所述待处理下行数据的目标安全性防护粒度；

根据所述目标安全性防护粒度，确定所述目标安全性防护粒度的标识。

12.根据权利要求9所述的装置，其特征在于，所述装置还包括：

收发模块，用于接收安全性防护信息，所述安全性防护信息用于指示所述待处理下行数据的安全性防护粒度的需求；

所述处理模块，还用于根据所述安全性防护信息，确定所述多种安全性防护粒度中所述待处理下行数据的目标安全性防护粒度。

13.根据权利要求9至12中任一项所述的装置，其特征在于，所述安全性防护粒度包含以下参数中的任一项：服务质量QoS流、无线承载、分组数据单元会话和终端设备。

14.一种数据处理的装置，其特征在于，包括：

收发模块，用于接收接入网设备发送的待处理上行数据的目标安全性防护粒度的标识，所述目标安全性防护粒度是由所述接入网设备在多种安全性防护粒度中确定的；

处理模块，用于根据所述目标安全性防护粒度的标识，对所述待处理上行数据进行接入层安全性防护；

所述处理模块，还用于在服务数据适配协议层SDAP层生成协议数据单元PDU的序列号；

所述处理模块具体用于：

在所述SDAP层根据所述目标安全性防护粒度的标识和所述序列号，对所述待处理上行数据进行接入层安全性防护；或

所述处理模块，还用于在SDAP层生成SDAP控制PDU，所述SDAP控制PDU包括所述目标安全性防护粒度的标识；

所述收发模块，还用于向PDCP层发送所述SDAP控制PDU；

所述处理模块具体用于：

在所述PDCP层根据所述SDAP控制PDU中的所述目标安全性防护粒度的标识，对所述待处理上行数据进行接入网安全性防护；或

所述处理模块，还用于在SDAP层生成PDU的序列号；

所述处理模块具体用于：

在所述SDAP层根据序列号、所述目标安全性防护粒度的标识、传输方向和密钥生成密钥流块；

向PDCP层发送所述密钥流块；

在所述PDCP层根据所述密钥流块，对所述待处理上行数据进行接入层安全性防护。

15.根据权利要求14所述的装置，其特征在于，所述收发模块，还用于向所述接入网设备发送安全性防护信息，所述安全性防护信息用于指示所述待处理上行数据的安全性防护粒度的需求。

16.根据权利要求14或15所述的装置，其特征在于，所述安全性防护粒度包含以下参数中的任一项：服务质量QoS流、无线承载、分组数据单元会话和终端设备。

17.一种计算机可读存储介质，其特征在于，包括指令，当所述指令在通信设备上运行时，使得所述通信设备执行如权利要求1至8中任一项所述的方法。

18.一种通信芯片，其特征在于，所述通信芯片存储有指令，当所述通信芯片在通信装置上运行时，使得所述通信芯片执行如权利要求1至8中任一项所述的方法。

Images