CN111565391A - 一种通信方法及装置 - Google Patents

Abstract

本申请实施例公开一种通信方法及装置，涉及通信技术领域，该方法应用于包括第一接入网设备和第二接入网设备的双连接通信系统中，第一接入网设备获取第一QoS流和PDU会话的第一安全结果，并承载第一QoS流，并根据第一安全结果对第一QoS流进行安全保护。这里的第一QoS流属于PDU会话，第一安全结果为第一接入网设备确定的，或者为第二接入网设备确定的；第一安全结果用于指示是否对PDU会话进行安全保护，安全保护包括完整性保护和加密保护中的至少一种，实现了在5G的双连接通信系统中空口用户面的安全保护。

Description

一种通信方法及装置

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

为了提高数据的安全性，第五代通信技术(the 5generation mobilecommunication technology，5G)系统引入了空口用户面的安全保护，其中，安全保护是指完整性保护(简称为完保)和/或加密保护。具体的，当为终端建立某一协议数据单元(protocol data unit，PDU)会话(session)时，核心网设备向基站发送请求消息，请求为该PDU session分配资源，同时，核心网设备发送用于指示必须、或无需、或建议对该PDUsession进行安全保护的安全指示；若安全指示用于指示建议对该PDU session进行安全保护，则基站可以自行确定是否对该PDU session进行安全保护，即基站可以自行确定安全结果。

但是，对于双连接(dual connectivity，DC)通信系统而言，如由gNB(5G系统中使用新空口(new radio，NR)的基站)与下一代基站(next generation eNB，ng-eNB)协同组网，目前还不存在空口用户面的安全保护方法。

发明内容

本申请实施例提供一种通信方法及装置，提供了在5G的双连接通信系统中空口用户面的安全保护方法。

为达到上述目的，本申请实施例采用如下技术方案：

第一方面，提供一种通信方法，该通信方法应用于包括第一接入网设备和第二接入网设备的双连接通信系统中，第一接入网设备获取第一服务质量(quality of service，QoS)QoS流和协议数据单元(protocol data unit，PDU)会话的第一安全结果，之后，该第一接入网设备承载第一QoS流，并根据第一安全结果对第一QoS流进行安全保护。这里的第一QoS流属于PDU会话，第一安全结果为第一接入网设备或者第二接入网设备确定的，第一安全结果用于指示是否对PDU会话进行安全保护，安全保护包括完整性保护和加密保护中的至少一种。

第一接入网设备为双连接通信系统的主站或辅站，该第一接入网设备根据自身/第二接入网设备确定的第一安全结果对第一QoS流进行安全保护，实现了对空口用户面的安全保护。

此外，若第一安全结果为第二接入网设备确定的，则本申请的第一接入网设备和第二接入网设备使用相同的安全结果对属于同一PDU会话的QoS流进行安全保护，保证了第一接入网设备和第二接入网设备对空口用户面的安全保护的一致性。

可选的，在本申请的一种可能的实现方式中，上述PDU会话包括第二QoS流，该第二QoS流承载于第二接入网设备。也就是说，在第一接入网设备承载第一QoS流之前，第二接入网设备承载有第二QoS流。

一种实现方式中，在第一接入网设备承载第一QoS流之前，PDU会话的所有QoS流可以均承载于第二接入网设备，这样的话，第一安全结果由第二接入网设备确定。

在另一种实现方式中，在第一接入网设备承载第一QoS流之前，第二接入网设备承载有第二QoS流，第一接入网设备承载有PDU会话的其他QoS流，这样的话，第一安全结果由双连接通信系统的主站确定。

可选的，在本申请的另一种可能的实现方式中，在第一接入网设备获取第一QoS流之前，PDU会话的所有QoS流承载于第二接入网设备；第一安全结果是由第二接入网设备确定的。

可选的，在本申请的另一种可能的实现方式中，第一接入网设备还承载PDU会话中的第三QoS流，这样，若第一接入网设备为双连接通信系统的主站，第一安全结果是由第一接入网设备确定的；若第二接入网设备为双连接通信系统的主站，第一安全结果是由第二接入网设备确定的。

可选的，在本申请的另一种可能的实现方式中，若第一安全结果为第二接入网设备确定出的，则在第二接入网设备确定第一安全结果之前，第一接入网设备承载PDU会话中的所有QoS流，并确定PDU会话的第二安全结果，该第二安全结果用于指示是否对PDU会话进行安全保护，该第二安全结果与上述第一安全结果相同或不同；后续，第一接入网设备释放PDU会话中的所有QoS流，并向第二接入网设备发送第一请求消息；若第一接入网设备为双连接通信系统的主站，第二接入网设备为通信系统的辅站，第一请求消息用于请求为PDU会话分配资源，并根据第一安全指示信息确定第一安全结果；若第一接入网设备为双连接通信系统的辅站，第二接入网设备为通信系统的主站，第一请求消息用于请求释放PDU会话中的所有QoS流。第一安全指示信息用于指示对第一接入网设备释放的QoS流进行安全保护，或者用于指示自行确定是否对第一接入网设备释放的QoS流进行安全保护。

在第一接入网设备释放PDU会话的所有QoS流后，第二接入网设备可以自行确定PDU会话的安全结果。

可选的，在本申请的另一种可能的实现方式中，若第一接入网设备为双连接通信系统的主站，第二接入网设备为通信系统的辅站，则在第二接入网设备确定出第一安全结果后，第一接入网设备还接收来自第二接入网设备的第一安全结果。若第一安全结果与第二安全结果不同，第一接入网设备还向核心网设备发送第一安全结果，用于该核心网设备确定PDU会话的安全结果发生改变。

容易理解的是，在第一接入网设备为主站，第二接入网设备为辅站的场景中，若PDU会话的安全结果从第二安全结果变更为第一安全结果，且该第一安全结果为第二接入网设备确定出的，则需要第一接入网设备与第二接入网设备通信，使得该第一接入网设备向核心网设备发送第一安全结果，以便于核心网设备根据该第一安全结果完成相应的配置。

可选的，在本申请的另一种可能的实现方式中，第一接入网设备在获取到第一安全结果后，还存储第一安全结果。相应的，上述“第一接入网设备获取PDU会话的第一安全结果”的方法为：第一接入网设备从本地获取第一安全结果。

若第一接入网设备自身确定出第一安全结果，则第一接入网设备可以从本地获取到该第一安全结果。若第一安全结果为第二接入网设备确定出，第一接入网设备从第二接入网设备获取到第一安全结果后，可以存储该第一安全结果，也可以不存储该第一安全结果。若第一接入网设备存储第一安全结果，则该第一接入网设备可以从本地获取到第一安全结果。

可选的，在本申请的另一种可能的实现方式中，若第一安全结果为第二接入网设备确定的，则在根据第一安全结果对第一QoS流进行安全保护后，第一接入网设备还释放第四QoS流，并向第二接入网设备发送第二请求消息，用于请求根据第一安全结果对第四QoS流进行安全保护，该第四QoS流属于PDU会话。

在第一接入网设备和第二接入网设备均承载有PDU会话的QoS流的场景中，若二者均根据第一安全结果对各自承载的QoS流进行安全保护，则第一接入网设备在释放自身承载的第四QoS流后，第二接入网设备可承载该第四QoS流，并根据第一安全结果对其进行安全保护。

第二方面，提供一种通信装置，该通信装置能够实现第一方面及其任意一种可能的实现方式中的功能。这些功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。

在本申请的一种可能的方式中，该通信装置可以包括处理单元，该处理单元可以执行上述第一方面及其任意一种可能的实现方式的通信方法中的相应功能。例如：处理单元，用于获取第一服务质量QoS流，该第一QoS流属于PDU会话；以及用于获取PDU会话的第一安全结果，该第一安全结果为第一接入网设备确定的，或者为第二接入网设备确定的，这里的PDU会话的安全结果用于指示是否对PDU会话进行安全保护，安全保护包括完整性保护和加密保护中的至少一种；以及用于承载第一QoS流，并根据第一安全结果对第一QoS流进行安全保护。

第三方面，提供一种通信装置，该通信装置包括处理器，所述处理器用于与存储器耦合，读取并执行所述存储器中的指令，以实现上述第一方面及其任意一种可能的实现方式所述的通信方法。

可选的，该通信装置还可以包括存储器，该存储器用于保存该通信装置的程序指令和数据。进一步可选的，该通信装置还可以包括收发器，该收发器用于在所述通信装置的处理器的控制下，执行上述第一方面及其任意一种可能的实现方式所述的通信方法中收发数据、信令或信息的步骤，例如，接收第一请求消息、发送第二请求消息。

可选的，该通信装置可以是第一接入网设备，也可以是第一接入网设备中的一部分装置，例如第一接入网设备中的芯片系统。该芯片系统用于支持第一接入网设备实现第一方面及其任意一种可能的实现方式中所涉及的功能，例如，接收，发送或处理上述通信方法中所涉及的数据和/或信息。该芯片系统包括芯片，也可以包括其他分立器件或电路结构。

第四方面，还提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令；当其在通信装置上运行时，使得通信装置执行如上述第一方面及其各种可能的实现方式所述的通信方法。

第五方面，还提供一种包括指令的计算机程序产品，当其在通信装置上运行时，使得通信装置执行如上述第一方面及其各种可能的实现方式所述的通信方法。

需要说明的是，上述指令可以全部或者部分存储在第一计算机存储介质上，其中，第一计算机存储介质可以与处理器封装在一起的，也可以与处理器单独封装，本申请对此不作具体限定。

本申请中第二方面、第三方面、第四方面、第五方面及其各种实现方式的具体描述，可以参考第一方面及其各种实现方式中的详细描述；并且，第二方面、第三方面、第四方面、第五方面及其各种实现方式的有益效果，可以参考第一方面及其各种实现方式中的有益效果分析，此处不再赘述。

第六方面，提供一种通信方法，第一接入网设备从核心网设备获取用于指示根据第一安全结果对预设的QoS流或预设的演进分组系统(evolved packet system，EPS)承载进行安全保护(完整性保护和加密保护中的至少一种)的指示信息；然后，该第一接入网设备确定目标DRB，并根据第一安全结果对目标DRB进行安全保护，这里的目标DRB承载有所述预设的QoS流，或者，目标DRB与所述预设的EPS承载对应。

一般的，4G系统的QoS控制的基本粒度为EPS承载(bearer)，同一EPS承载的数据流得到相同的QoS保障，DRB与EPS承载一一映射。5G系统中PDU会话的多个QoS流映射到一个或多个DRB中。若核心网设备指示根据第一安全结果对指定的QoS流或指定的EPS承载进行安全保护，则第一接入网设备根据该指示对目标DRB进行安全保护，与现有技术相比较，实现了对更小粒度的安全保护，能够有效地降低终端的功耗，提高数据的收发速率。

可选的，在本申请的一种可能的实现方式中，第一接入网设备在根据第一安全结果对目标DRB进行安全保护后，还可以释放预设的QoS流或预设的EPS承载，并向第二接入网设备发送安全请求消息，用于请求根据第一安全结果对已释放的对象(预设的QoS流或预设的EPS承载)进行安全保护。

即使在后续过程中，第一接入网设备将预设的QoS流或所述预设的EPS承载转移到第二接入网设备，也需要指示该第二接入网设备根据第一安全结果对其进行安全保护。

第七方面，提供一种通信装置，该通信装置能够实现第一方面及其任意一种可能的实现方式中的功能。这些功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。

在本申请的一种可能的方式中，该通信装置可以包括处理单元，该处理单元可以执行上述第一方面及其任意一种可能的实现方式的通信方法中的相应功能。例如：处理单元，用于从核心网设备获取指示信息，该指示信息用于指示根据第一安全结果对预设的QoS流或预设的EPS承载进行安全保护，安全保护包括完整性保护和加密保护中的至少一种；以及用于确定目标DRB，该目标DRB承载有预设的QoS流，或者，目标DRB与预设的EPS承载对应；以及用于根据第一安全结果对目标DRB进行安全保护。

第八方面，提供一种通信装置，该通信装置包括处理器，所述处理器用于与存储器耦合，读取并执行所述存储器中的指令，以实现上述第六方面及其任意一种可能的实现方式所述的通信方法。

可选的，该通信装置还可以包括存储器，该存储器用于保存通信装置的程序指令和数据。进一步地，可选的，该通信装置还可以包括收发器，该收发器用于在所述通信装置的处理器的控制下，执行上述第六方面及其任意一种可能的实现方式所述的通信方法中收发数据、信令或信息的步骤，例如，发送安全请求消息。

可选的，该通信装置可以是第一接入网设备，也可以是第一接入网设备中的一部分装置，例如第一接入网设备中的芯片系统。该芯片系统用于支持第一接入网设备实现第六方面及其任意一种可能的实现方式中所涉及的功能，例如，接收，发送或处理上述通信方法中所涉及的数据和/或信息。该芯片系统包括芯片，也可以包括其他分立器件或电路结构。

第九方面，还提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令；当其在通信装置上运行时，使得通信装置执行如上述第六方面及其各种可能的实现方式所述的通信方法。

第十方面，还提供一种包括指令的计算机程序产品，当其在通信装置上运行时，使得通信装置执行如上述第六方面及其各种可能的实现方式所述的通信方法。

需要说明的是，上述指令可以全部或者部分存储在第一计算机存储介质上，其中，第一计算机存储介质可以与处理器封装在一起的，也可以与处理器单独封装，本申请对此不作具体限定。

本申请中第七方面、第八方面、第九方面、第十方面及其各种实现方式的具体描述，可以参考第六方面及其各种实现方式中的详细描述；并且，第七方面、第八方面、第九方面、第十方面及其各种实现方式的有益效果，可以参考第六方面及其各种实现方式中的有益效果分析，此处不再赘述。

第十一方面，提供一种通信系统，该通信系统包括如第二方面至第五方面任一方面所述的通信装置，以及第二接入网设备，所述通信装置和所述第二接入网设备进行双连接；或者，该通信系统包括如第七方面至第十方面中任一方面所述的通信装置，以及核心网设备，可选的，该通信系统还包括第二接入网设备，该第二接入网设备与所述通信装置进行双连接。

在本申请中，上述通信装置的名字对设备或功能模块本身不构成限定，在实际实现中，这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本申请类似，属于本申请权利要求及其等同技术的范围之内。

本申请的这些方面或其他方面在以下的描述中会更加简明易懂。

附图说明

图1为4G系统与5G系统共存的网络结构示意图；

图2为ENDC场景的通信系统结构示意图；

图3为NEDC场景的通信系统结构示意图；

图4为NG-ENDC场景的通信系统结构示意图；

图5为本申请实施例提供的通信装置的硬件结构示意图；

图6为本申请实施例提供的通信方法的流程示意图一；

图7为本申请实施例提供的通信方法的流程示意图二；

图8为本申请实施例提供的通信方法的流程示意图三；

图9为本申请实施例提供的通信方法的流程示意图四；

图10为本申请实施例提供的通信方法的流程示意五；

图11为本申请实施例提供的通信方法的流程示意图六；

图12为本申请实施例提供的通信方法的流程示意图七；

图13为本申请实施例提供的通信方法的流程示意图八；

图14为本申请实施例提供的通信装置的结构示意图一；

图15为本申请实施例提供的通信装置的结构示意图二。

具体实施方式

在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本申请实施例将第四代通信技术(the 4generation mobile communicationtechnology，4G)系统中的演进式基站(evolved node base station，eNB)称为4G eNB，将4G系统中的用户设备(user equipment，UE)称为4G UE，将5G系统中的UE称为5G UE。

在4G系统中，演进的UMTS陆地无线接入网(evolved umts terrestrial radioaccess network，E-UTRAN)设备是接入网设备，可以是为4G UE提供接入无线网络接口的4GeNB。具体的，4G UE通过E-UTRAN设备接入网络，E-UTRAN设备与4G系统中的移动性管理实体(mobility management entity，MME)连接。除MME之外，4G系统的核心网设备还包括服务网关(serving gateway，SGW)和公用数据网网关(public data network gateway，PGW)。PGW与外部数据网络(data network，DN)连接。

一般的，4G系统中，4G UE为了与对端实体进行通信，会与对端实体建立一个端到端的服务(end-to-end service)。分组核心演进(the evolved packet core，EPC)网通过外部承载(external bearer)与因特网建立连接，并通过EPS承载(bearer)与4G UE建立连接。也就是说，EPC与4G UE之间的数据通信是承载在EPS bearer上的。一个数据无线承载(data radio bearer，DRB)在4G UE与4G eNB之间(Uu接口)传输一个EPS bearer的数据。如果存在一个DRB，在该DRB与EPS bearer存在一一映射关系。

4G系统的QoS控制的基本粒度为EPS bearer，同一EPS bearer的数据流得到相同的QoS保障。

在5G系统中，无线连接网络(radio access network，RAN)设备是5G网络的接入网设备，可以是为5G UE提供接入无线网络接口的基站。具体的，5G UE通过RAN设备接入网络，RAN设备与5G系统中的接入管理功能(access management function，AMF)实体连接。除AMF实体之外，5G系统的核心网设备还包括会话管理功能(session management function，SMF)实体和用户面功能实体(user plane function，UPF)，UPF与外部DN连接。

5G系统引入了PDU会话(session)的概念，每个PDU会话包含一个或多个QoS流(flow)。若RAN设备接受某一个PDU会话的建立，则该RAN设备可以将该PDU会话中的多个QoS流映射到一个或多个DRB中，也就是说，一个或多个DRB关联到同一个PDU会话。

5G系统中QoS控制的基本粒度为PDU会话，同一PDU会话中的QoS流得到相同的QoS保障。

QoS保障也称为安全保护，可以包括完整性保护(integrity protection，IP)和加密保护(confidentiality protection，CP)中的至少一种。完整性保护也可简称为完保。后续涉及到的安全保护均包括完整性保护和加密保护中的至少一种。

目前，可以通过执行下述步骤实现对5G系统中的某一PDU会话的安全保护：

步骤1：当需要为5G UE建立一个新的PDU会话时，核心网设备通过核心网设备与RAN设备之间的接口(例如NG接口)向RAN设备发送请求消息，用于请求RAN设备为5G UE的PDU会话分配资源，同时，核心网设备发送安全指示(security indication)信息，该安全指示信息用于指示是否对该PDU会话进行安全保护。

其中，安全指示信息包含完整性保护指示(integrity protection indication)信息和/或加密保护指示(confidentiality protection indication)信息。

可选的，完整性保护指示信息和加密保护指示信息均有三种取值，分别为必须(required)、建议(preferred)、无需(not needed)。

示例性的，若完整性保护指示信息的取值为必须，则该完整性保护指示信息用于指示必须对该PDU会话进行完整性保护；若完整性保护指示信息的取值为建议，则该完整性保护指示信息用于指示自行确定是否对该PDU会话进行完整性保护；若完整性保护指示信息的取值为无需，则该完整性保护指示信息用于指示无需对该PDU会话进行完整性保护。

步骤2：若RAN设备接受(admit)该PDU会话，则该RAN设备根据安全指示信息，确定PDU会话的安全结果。

这里的安全结果用于指示是否对PDU会话进行安全保护。具体的，安全结果包含完整性保护结果和/或加密保护结果。

若安全指示信息的取值为必须，则RAN设备对PDU会话进行安全保护；若安全指示信息的取值为无需，则RAN设备不对PDU会话进行安全保护；若安全指示信息的取值为建议，则RAN设备自行确定是否对该PDU会话进行安全保护，并向核心网设备发送确定出的安全结果。

可以看出，RAN设备确定出的安全结果可以为：必须(required)进行安全保护、无需(not needed)进行安全保护。

相应的，完整性保护结果和加密保护结果均可以为：必须(required)、无需(notneeded)。

示例性的，若RAN设备确定对PDU会话进行完整性保护，即完整性保护结果为必须进行完整性保护，则RAN设备向核心网设备发送用于表示对PDU会话进行完整性保护的信息。

步骤3：RAN设备为该PDU会话分配用于空口传输的一个或多个DRB，并向5G UE发送所述DRB的安全结果。

5G系统中的一个或多个DRB关联到同一个PDU会话，因此，RAN设备在确定出PDU会话的安全结果，即可确定出关联到该PDU会话的DRB的安全结果。后续，RAN设备向5G UE发送所述DRB的安全结果，以便于5G UE后续根据该安全结果对下行数据执行完整性校验和/或解密，并根据该安全结果对上行数据进行完整性保护/加密保护。

在实际应用中，4G系统向5G系统演进的过程中，会存在4G系统和5G系统共存的场景。图1示出了4G系统和5G系统共存的通信系统的结构。图1示出的各个设备可以参考上述描述，这里不再进行详细赘述。图1中的N2、S1、S11、N11和N4均为接口，可以参考现有标准协议中的定义描述，这里不再进行详细赘述。

具体的，在4G系统和5G系统共存的场景中，会存在多个无线接入技术的双连接(multiple RATs dual connectivity，MR-DC)通信系统。

可选的，MR-DC通信系统包括ENDC(E-UTRA NR DC)、NEDC(NR E-UTRA DC)以及NG-ENDC(next generation E-UTRA NR DC)。

在这三种通信系统中，长期演进(long term evolution，LTE)系统中的演进式基站(evolved node base station，eNB)(或下一代基站(next generation eNB，ng-eNB))与gNB(通过新空口(new radio，NR)技术为终端提供无线传输资源)进行双连接。

其中，ng-eNB可以为终端提供第五代核心网(the 5th generation corenetwork，5GCN)的服务，也可以为终端提供EPC的服务。在实际部署中，ng-eNB可以仅仅与5GCN/EPC连接，也可以同时与5GCN和EPC连接。5GCN也可以称为5GC。

上述ENDC也称为Option 3/3A/3X。ENDC通信系统中，LTE eNB为主站(masternode，MN)，gNB为辅站(secondary node，SN)，MN与EPC连接，MN和SN均为UE与EPC之间的数据提供空口传输资源。

如图2所示，图2中的(a)为Option 3通信系统的结构示意图，图2中的(b)为Option3A通信系统的结构示意图。Option 3通信系统中，LTE eNB通过S1接口(包括S1-C接口和S1-U接口)与EPC连接，LTE eNB与gNB通过X2接口连接。与Option 3通信系统不同的是，Option3A通信系统中，gNB还通过S1-U接口与EPC连接。为了便于区分，图2中用虚线表示控制面的连接。

NEDC也称为Option 4/4A。在NEDC通信系统中，gNB为MN，ng-eNB为SN，并且MN与5GC连接，MN与SN为终端与5GC之间的数据提供空口传输资源。

如图3所示，图3中的(a)为Option 4通信系统的结构示意图，图3中的(b)为Option4A通信系统的结构示意图。Option 4通信系统中，gNB通过NG接口(包括NG-C接口和NG-U接口)与5GC连接，ng-eNB与gNB通过Xn接口连接。与Option 4通信系统不同的是，Option 4A通信系统中，ng-eNB还通过NG-U接口与5GC连接。为了便于区分，图3中用虚线表示控制面的连接。

NG-ENDC也称为Option 7/7A/7X。在NG-ENDC通信系统中，ng-eNB为MN，gNB为SN，并且MN与5GC连接。与上述ENDC通信系统不同的是，NG-ENDC通信系统中，MN与SN为终端与5GC之间的数据提供空口传输资源。

如图4所示，图4中的(a)为Option 7通信系统的结构示意图，图4中的(b)为Option7A通信系统的结构示意图。Option 7通信系统中，ng-eNB通过NG接口(包括NG-C接口和NG-U接口)与5GC连接，ng-eNB与gNB通过Xn接口连接。与Option 7通信系统不同的是，Option 7A通信系统中，gNB还通过NG-U接口与5GC连接。为了便于区分，图4中用虚线表示控制面的连接。

当然，双连接通信系统还可以包括gNB与gNB进行双连接的场景。

但是，对于上述双连接通信系统，目前还不存在空口用户面的安全保护方法。

针对这一问题，本申请实施例提供一种通信方法及装置，在包括第一接入网设备和第二接入网设备的双连接通信系统中，第一接入网设备(双连接通信系统中的主站/辅站)在获取到属于PDU会话的第一QoS流和PDU会话的第一安全结果(双连接通信系统的主站确定/辅站确定)后，承载第一QoS流，并根据第一安全结果对第一QoS流进行安全保护(完整性保护和加密保护中的至少一种)，实现了该通信系统中空口用户面的安全保护。其中，第一安全结果用于指示是否对PDU会话进行安全保护。

本申请实施例提供的通信方法适用于图1～图4所示的通信系统。图1～图4中的各个设备均属于通信装置。在具体实现时，通信装置具有图5所示部件。图5为本申请实施例提供的一种通信装置的组成示意图，如图5所示，该通信装置可以包括至少一个处理器51，存储器52、收发器53、总线54。下面结合图5对通信装置的各个构成部件进行具体的介绍：

处理器51是通信装置的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器51是一个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个数字信号处理器(digital signalprocessor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

其中，处理器51可以通过运行或执行存储在存储器52内的软件程序，以及调用存储在存储器52内的数据，执行通信装置的各种功能。

在具体的实现中，作为一种实施例，处理器51可以包括一个或多个CPU，例如图5中所示的CPU 0和CPU 1。

在具体实现中，作为一种实施例，通信装置可以包括多个处理器，例如图5中所示的处理器51和处理器55。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

存储器52可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器52可以是独立存在，通过总线54与处理器51相连接。存储器52也可以和处理器51集成在一起。

其中，存储器52用于存储执行本申请方案的软件程序，并由处理器51来控制执行。

收发器53，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local areanetworks，WLAN)等。收发器53可以包括接收单元实现接收功能，以及发送单元实现发送功能。

总线54，可以是工业标准体系结构(industry standard architecture，ISA)总线、外部设备互连(peripheral component，PCI)总线或扩展工业标准体系结构(extendedindustry standard architecture，EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

需要指出的是，图5中示出的设备结构并不构成对该通信装置的限定，除图5所示部件之外，该通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图1～图4所示的通信系统，图5所示的通信装置对本申请实施例提供的通信方法进行描述。其中，下述方法实施例中提及的各个设备均可以具有图5所示组成部分，不再赘述。

图6为本申请实施例提供的一种通信方法的流程示意图。参见图6，该通信方法包括如下步骤。

S601、第一接入网设备获取属于PDU会话的第一QoS流。

第一接入网设备为双连接通信系统中的主站或辅站。

若第一接入网设备获取第一QoS流时，第二接入网设备已经接纳(admit)该PDU会话，则称为第二接入网设备承载了该PDU会话。若第一接入网设备获取第一QoS流时，第二接入网设备未接纳(admit)该PDU会话，则称为第二接入网设备没有承载该PDU会话。

上述“接纳PDU会话”是指成功为PDU会话分配资源，并利用分配的资源为该PDU会话进行数据传输。后续涉及到的“接纳PDU会话”均可以参考该描述。

第一接入网设备获取到的第一QoS流可以为核心网设备新分配的。此外，若第二接入网设备承载了PDU会话，则第一接入网设备获取到的第一QoS流也可以为第二接入网设备释放出的。

当然，若第一接入网设备为双连接通信系统的主站，则第一QoS流具体可以为主站从辅站请求获取到的或者为辅站自行确定释放出的。

若第一QoS流为核心网设备新分配的，且第一接入网设备为主站，则第一接入网设备从核心网设备获取第一QoS流。若第一QoS流为核心网设备新分配的，且第一接入网设备为辅站时，第一接入网设备从第二接入网设备(此时为主站)获取第一QoS流。

本申请实施例中涉及到的“获取第一QoS流”指获取建立该QoS流的指示信息。

S602、第一接入网设备获取PDU会话的第一安全结果。

第一安全结果用于指示是否对PDU会话进行安全保护，安全保护包括完整性保护和加密保护中的至少一种。

本申请实施例中的第一安全结果由第一接入网设备或第二接入网设备确定。

具体的，若第二接入网设备没有承载PDU会话，则第一安全结果由第一接入网设备确定，相应的，第一接入网设备直接从本地获取第一安全结果。

若在第一接入网设备获取第一QoS流时，第二接入网设备也承载了PDU会话，且PDU会话中除第一QoS流之外的剩余QoS流均承载于第二接入网设备(即在第一接入网设备获取第一QoS流之前，第二接入网设备承载PDU会话的所有QoS流)，第一安全结果可以由第二接入网设备确定。相应的，第一接入网设备可以接收来自第二接入网设备发送的第一安全结果，以获取第一安全结果。

可选的，第二接入网设备接纳PDU会话，确定第一安全结果并向第一接入网设备发送该第一安全结果后，第一接入网设备可以存储该第一安全结果，后续，第一接入网设备获取到第一QoS流后，从本地获取第一安全结果。这一过程可以参考下述图7、图8或图9的描述。

若在初始过程中，第一接入网设备还承载有属于PDU会话的第三QoS流，第二接入网设备也承载了PDU会话的部分QoS流(例如第二QoS流)，则该会话的第一安全结果由双连接通信系统的主站确定。若第一接入网设备为双连接通信系统的主站，则该第一接入网设备在获取到第一QoS流后，从本地获取第一安全结果。若第二接入网设备为双连接通信系统的主站，则第一接入网设备与第二接入网设备通信，以获取第一安全结果。

S603、第一接入网设备承载第一QoS流，并根据第一安全结果对第一QoS流进行安全保护。

一般的，安全处理过程由分组数据汇聚协议(packet data convergenceprotocol，PDCP)实体完成。因此，“第一接入网设备根据第一安全结果对第一QoS流进行安全保护”具体为“第一接入网设备的PDCP实体根据第一安全结果对第一QoS流进行安全保护”。相应的，“QoS流承载于第一接入网设备”是指QoS流对应的PDCP实体部署于第一接入网设备。

同理，后续“QoS流承载于第二接入网设备”是指QoS流对应的PDCP实体部署于第二接入网设备。

第一接入网设备为双连接通信系统中的主站或辅站，通过执行上述S601～S603实现了对第一QoS流的安全保护。

容易理解的是，若第一安全结果由第一接入网设备确定，则第一接入网设备只需执行上述S601～S603即可实现对空口用户面的安全保护，这里对此不作具体描述。

若第一安全结果由第二接入网设备确定，第二接入网设备承载有PDU会话中的第二QoS流，则第一接入网设备需要与第二接入网设备通信，才可获取到第一安全结果。

本申请实施例下述内容主要对第一安全结果由第二接入网设备确定的场景进行描述。

现在对第一接入网设备为主站，第二接入网设备为辅站的情况进行描述。

若第一接入网设备为主站，第二接入网设备为辅站，且第二接入网设备确定第一安全结果，则在第一接入网设备获取第一QoS流之前，第二接入网设备可以承载PDU会话中除第一QoS流之外的剩余QoS流，并确定第一安全结果，以及向第一接入网设备发送第一安全结果。

结合上述图6，如图7所示，在S601之前，本申请实施例提供的通信方法还包括：

S700、第二接入网设备承载PDU会话中的所有QoS流，并确定第一安全结果。

在第一种可选的实现方式中，在初始建立PDU会话时，第一接入网设备并未承载该PDU会话中的QoS流，第二接入网设备通过第一接入网设备获取该PDU会话中的所有QoS流，并承载获取到的QoS流，以及确定第一安全结果。可选的，第二接入网设备接收来自第一接入网设备的第一安全指示信息，确定第一安全结果。所述第一安全指示信息为第一接入网设备从核心网获取的。

在第二种可选的实现方式中，第一接入网设备承载有PDU会话的所有QoS流，后续，在某一条件下(如第一接入网设备释放PDU会话中的所有QoS流或第一接入网设备从核心网设备获取到新的属于PDU会话的QoS流)，第一接入网设备向第二接入网设备发送用于请求接纳该PDU会话的第一请求消息，具体的用于请求为PDU会话分配资源，并根据第一安全指示信息确定第一安全结果。相应的，第二接入网设备接纳PDU会话，承载PDU会话中的所有QoS流，并确定第一安全结果。该实现方式的具体过程可以参见下述图8或图9的描述。

S701、第二接入网设备向第一接入网设备发送第一安全结果。

S702(可选的)、第一接入网设备向核心网设备发送第一安全结果。

可选的，第一接入网设备在获取到第一安全结果后，可以存储该第一安全结果。

对于S700中的第一种可选的实现方式而言，在S701之后，第一接入网设备还向核心网设备发送第一安全结果，以便于核心网设备获知该PDU会话的最新的安全结果，根据该第一安全结果完成相应配置。

对于S700中的第二种可选的实现方式而言，在S701之后，第一接入网设备可以向核心网设备发送第一安全结果。此外，对于S700中的第二种可选的实现方式而言，在S701之后，第一接入网设备也可以不向核心网设备发送第一安全结果。

由于S702为可选步骤，因此图7采用虚线表示。

现在对S700中的第二种可选的实现方式进行描述。具体的，结合上述图7，如图8所示，在S700之前，本申请实施例提供的通信方法还包括：

S800、第一接入网设备承载有PDU会话的所有QoS流。

本申请实施例将这一时刻第一接入网设备承载的所有QoS流称为第一QoS流集合。

S801、第一接入网设备确定第二安全结果。

这里的第二安全结果与第一安全结果相同或不同。

容易理解的是，在S800和S801后，第一接入网设备向核心网设备发送第二安全结果，以便于核心网设备根据第二安全结果完成相应配置。

S802、第一接入网设备向第二接入网设备发送用于请求接纳该PDU会话的第一请求消息。

可选的，在第一接入网设备释放PDU会话中的所有QoS流，即释放第一QoS流集合后，第一接入网设备向第二接入网设备发送第一请求消息；或者，在第一接入网设备从核心网获取到新的属于PDU会话的QoS流(例如QoS流1)后，第一接入网设备释放其承载的PDU会话的QoS流，并向第二接入网设备发送第一请求消息。

该第一请求消息包括第一标识和第一安全指示信息。第一标识用于表示第一QoS流集合，或者用于表示第一QoS流集合和QoS流1。第一安全指示信息用于指示对第一标识表示的QoS流进行安全保护，或者用于指示自行确定是否对第一标识表示的QoS流进行安全保护。

本申请实施例中“第一接入网设备释放PDU会话中的所有QoS流”也可描述为“第一接入网设备向第二接入网设备转移PDU会话中的所有QoS流”。

在图8示出的场景中，在S701之后，若第一安全结果与第二安全结果不同，则第一接入网设备会向核心网设备发送第一安全结果，以便于核心网设备重新完成相关配置，此外，第一接入网设备还可能存储该第一安全结果，即执行S803。

S803(可选的)、若第一安全结果与第二安全结果不同，第一接入网设备存储第一安全结果。

容易理解的是，若第一安全结果与第二安全结果相同，核心网设备无需重新配置相关信息，因此，第一接入网设备无需向核心网设备发送第一安全结果。

具体的，若第一接入网设备执行S803，则上述S602具体为第一接入网设备从本地获取第一安全结果；若第一接入网设备不执行S803，则上述S602具体为第一接入网设备与第二接入网设备通信，以获取第一安全结果。也就是说，在第一接入网设备执行S803的场景中，上述S602可以替换为S602a；在第一接入网设备不执行S803的场景中，上述S602可以替换为S602b。

S602a、第一接入网设备从本地获取第一安全结果。

S602b、第一接入网设备与第二接入网设备通信，以获取第一安全结果。

进一步地，在图8示出的场景中，在S603之后，第一接入网设备还可以释放其承载的PDU会话中的全部/部分QoS流(例如第四QoS流)，后续，第二接入网设备承载第一接入网设备释放出的QoS流。

结合上述图8，如图9所示，在S603之后，本申请实施例提供的通信方法包括：

S900、第一接入网设备释放属于PDU会话的第四QoS流。

该第四QoS流可以为第一接入网设备承载的PDU会话中的所有QoS流，也可以为第一接入网设备承载的PDU会话中的部分QoS流，这里对此不作具体限定。

可选的，第一接入网设备可以自行确定释放第四QoS流，也可以在从核心网设备获取到新的属于该PDU会话的QoS流后，释放第四QoS流，本申请实施例对此不作具体限定。

S901、第一接入网设备向第二接入网设备发送第二请求消息。

该第二请求消息用于指示根据第一安全结果对第四QoS流进行安全保护。

容易理解的是，图8示出的方法流程中，在S603这一时刻，第一接入网设备和第二接入网设备同时承载有PDU会话的QoS流，二者均根据第一安全结果对各自承载的QoS流进行安全保护，且第一安全结果由第二无线接入网设备确定，因此，在第一接入网设备释放第四QoS流后，该第四QoS流也需要采用第一安全结果对其进行安全保护。

S902、第二接入网设备根据第一安全结果对第四QoS流进行安全保护。

同理，在S603之后，第二接入网设备也可以释放其承载的PDU会话中的部分QoS流，后续，第一接入网设备承载第二接入网设备释放出的QoS流，并根据第一安全结果对该QoS流进行安全保护。这一流程与上述S900～S902类似，这里不再进行详细赘述。

综上所述，若主站确定出PDU会话的第二安全结果，则在主站释放该PDU会话的所有QoS流后，辅站可以变更该PDU会话的安全结果为第一安全结果。若在辅站确定出PDU会话的第一安全结果后，主站获取属于PDU会话的部分QoS流(如第一QoS流)，则主站需要使用第一安全结果对第一QoS流进行安全保护，即主站无法变更PDU会话的安全结果。

在第一接入网设备为主站，第二接入网设备为辅站的情况下，第一接入网设备和第二接入网设备均可以对PDU会话中的QoS流进行安全保护，实现了对空口用户面的安全保护。而且，当第一接入网设备和第二接入网设备均承载有PDU会话的QoS流时，第一接入网设备和第二接入网设备采用相同的安全结果对属于同一PDU会话中的QoS流进行安全保护，实现了第一接入网设备和第二接入网设备的安全保护的一致性。

由上面描述可知，第一接入网设备还可以为辅站，第二接入网设备为主站。下面对第一接入网设备为辅站，第二接入网设备为主站的情况进行描述。

若第一接入网设备为辅站，第二接入网设备为主站，且第二接入网设备确定第一安全结果，则在第一接入网设备接纳PDU会话之前，第二接入网设备可以承载PDU会话中除第一QoS流之外的剩余QoS流，并确定第一安全结果。

结合上述图6，如图10所示，在S601之前，本申请实施例提供的通信方法还包括：

S1000、第二接入网设备承载PDU会话中的所有QoS流，并确定第一安全结果。

在可选实现方式A中，在初始建立PDU会话时，第一接入网设备并未承载该PDU会话中的QoS流，第二接入网设备承载有PDU会话中的所有QoS流，并确定第一安全结果。

在可选实现方式B中，第一接入网设备承载有PDU会话的所有QoS流，后续，在某一条件下(如第一接入网设备释放PDU会话中的所有QoS流)，第一接入网设备向第二接入网设备发送包括用于表示PDU会话中的所有第二QoS流的第二标识的请求消息，相应的，第二接入网设备接纳PDU会话，承载PDU会话中的所有QoS流，并确定第一安全结果。该实现方式的具体过程可以参见下述图11或图12的描述。

可选的，第二接入网设备在确定出第一安全结果后，向核心网设备发送该第一安全结果，以便于核心网设备根据该第一安全结果完成相关配置。

S1001、第二接入网设备根据第一安全结果，对PDU会话中的所有QoS流进行安全保护。

第二接入网设备在执行S1001后，可能自行确定释放第一QoS流，也可能在从核心网设备获取到新的属于PDU会话的QoS流后，确定释放第一QoS流。后续，第二接入网设备向第一接入网设备发送第一QoS流和第一安全结果。相应的，第一接入网设备获取该第一QoS流和第一安全结果。

也就是说，在图10示出的场景中，S601和S602可以替换为下述S601a和S601b。

S601a、第一接入网设备释放第一QoS流。

S601b、第二接入网设备向第二接入网设备发送第一QoS流和第一安全结果。

从上面描述可知，S1000的可选实现方式B中，第二接入网设备承载PDU会话中的所有QoS流之前，第一接入网设备承载PDU会话中的所有QoS流。

现在对S1000的可选实现方式B进行详细描述。具体的，结合上述图10，如图11所示，在S1000之前，本申请实施例提供的通信方法还包括：

S1100、第一接入网设备承载有PDU会话的所有QoS流。

本申请实施例将这一时刻第一接入网设备承载的所有QoS流称为第一QoS流集合。

S1101、第一接入网设备确定第二安全结果，并根据第二安全结果对第一QoS流集合中的QoS流进行安全保护。

第二安全结果用于指示是否对PDU会话进行安全保护。其中，第二安全结果与第一安全结果相同或不同。

S1102、第一接入网设备向第二接入网设备发送第二安全结果。

S1103、第二接入网设备向核心网设备发送第二安全结果。

核心网设备在接收到第二安全结果后，根据该第二安全结果完成相应配置。

可选的，第二接入网设备在接收到第一接入网设备发送的第二安全结果后，可以存储该第二安全结果。即在S1102后，第二接入网设备可以执行S1104。

S1104(可选的)、第二接入网设备存储第二安全结果。

由于S1104为可选步骤，因此图11中采用虚线框表示。

S1105、第一接入网设备释放PDU会话中的全部QoS流，并向第二接入网设备发送第一请求消息。

其中，第一请求消息包括第二标识，该第二标识用于表示PDU会话中的所有QoS流，即第二标识用于表示第一QoS流集合。

可选的，第一请求消息还可以包括第二安全结果和第二安全指示信息中的至少一个，第二安全指示信息用于指示对第二标识表示的QoS流进行安全保护，或者用于指示自行确定是否对第二标识表示的QoS流进行安全保护。

容易理解的是，若第二接入网设备未执行S1104，则第二请求消息包括第二安全结果，这样，后续第二接入网设备可根据第一安全结果和第二安全结果确定是否与核心网设备通信。

在图11示出的流程中，若第一安全结果与第二安全结果不同，且第二接入网设备存储了第二安全结果，则第二接入网设备在确定出第一安全结果后，还向核心网设备发送第一安全结果，即在S1000后，还执行S1106。

S1106、若第一安全结果与第二安全结果不同，第二接入网设备向核心网设备发送第一安全结果。

进一步地，在图11示出的场景中，在S603之后，第一接入网设备还可以释放其承载的PDU会话中的全部/部分QoS流(例如第四QoS流)，后续，第二接入网设备承载第一接入网设备释放出的QoS流。

结合上述图11，如图12所示，在S603之后，本申请实施例提供的通信方法包括：

S1200、第一接入网设备释放属于PDU会话的第四QoS流。

该第四QoS流可以为第一接入网设备承载的PDU会话中的所有QoS流，也可以为第一接入网设备承载的PDU会话中的部分QoS流，这里对此不作具体限定。

可选的，第一接入网设备可以自行确定释放第四QoS流，也可以在接收到第二接入网设备发送的请求后，释放第四QoS流，本申请实施例对此不作具体限定。

S1201、第一接入网设备向第二接入网设备发送第二请求消息。

该第二请求消息用于指示根据第一安全结果对第四QoS流进行安全保护。相应的，第二接入网设备在接收到第二请求消息后，根据第一安全结果对第四QoS流进行安全保护。

容易理解的是，图11示出的方法流程中，在S603这一时刻，第一接入网设备和第二接入网设备同时承载有PDU会话的QoS流，二者均根据第一安全结果对各自承载的QoS流进行安全保护，且第一安全结果由第二无线接入网设备确定，因此，在第一接入网设备释放第四QoS流后，该第四QoS流也需要采用第一安全结果对其进行安全保护。

S1202、第二接入网设备根据第一安全结果对第四QoS流进行安全保护。

同理，在S603之后，第二接入网设备也可以释放其承载的PDU会话中的部分QoS流，后续，第一接入网设备承载第二接入网设备释放出的QoS流，并根据第一安全结果对该QoS流进行安全保护。这一流程与上述S1200～S1202类似，这里不再进行详细赘述。

综上所述，若辅站确定出PDU会话的第二安全结果，则在辅站释放该PDU会话的所有QoS流后，主站可以变更该PDU会话的安全结果为第一安全结果。若在主站确定出PDU会话的第一安全结果后，辅站获取属于PDU会话的部分QoS流(如第一QoS流)，则辅站需要使用第一安全结果对第一QoS流进行安全保护，即辅站无法变更PDU会话的安全结果。

在第一接入网设备为辅站，第二接入网设备为主站的情况下，第一接入网设备和第二接入网设备均可以对PDU会话中的QoS流进行安全保护，实现了对空口用户面的安全保护。而且，当第一接入网设备和第二接入网设备均承载有PDU会话的QoS流时，第一接入网设备和第二接入网设备采用相同的安全结果对属于同一PDU会话中的QoS流进行安全保护，实现了第一接入网设备和第二接入网设备的安全保护的一致性。

在实际应用中，当某一UE与对端通信时，可能只需要对部分数据进行安全保护。对于该场景，本申请实施例中的核心网设备可以向与该核心网设备连接的接入网设备(如第一接入网设备)发送指示信息，以便接入网设备对与指示信息对应的DRB进行安全保护。

为了便于描述，以第一接入网设备为主站为例进行说明。具体的，如图13所示，本申请实施例提供的通信方法包括：

S1300、核心网设备向第一接入网设备发送指示信息，该指示信息用于指示根据第一安全结果对预设的QoS流或预设的EPS承载进行安全保护。

这里第一安全结果为必须，即指示信息用于指示必须对预设的QoS流或EPS承载进行安全保护。

可选的，预设的QoS流为核心网设备指定进行安全保护的QoS流，预设的EPS承载可以为默认承载或者为核心网设备指定进行安全保护的EPS承载。

S1301、第一接入网设备确定目标DRB，并根据第一安全结果对目标DRB进行安全保护。

可选的，目标DRB是承载有预设的QoS流的DRB，该预设的QoS流为核心网设备指定进行安全保护的QoS流；或者，目标DRB与预设的EPS承载对应。

S1302、第一接入网设备释放预设的QoS流/预设的EPS承载，并向第二接入网设备发送安全请求消息。

具体的，在第一接入网设备向第二接入网设备转移预设的QoS流/预设的EPS承载时，第一接入网设备向第二接入网设备发送安全请求消息。该安全请求消息包括标识信息(用于标识预设的QoS流/用于标识预设的EPS承载)、第一安全结果和安全指示信息，该安全指示信息用于指示根据第一安全结果对标识信息所标识的对象(预设的QoS流/预设的EPS承载)进行安全保护。

S1303、第二接入网设备确定与标识信息所标识的对象对应的DRB，并根据第一安全结果对确定出的DRB进行安全保护。

需要说明的是，步骤S1300～S1301可以在单连接场景或双连接场景下单独使用，此时省略步骤S1302～S1303。

本申请实施例提供一种通信装置14，该通信装置14可以为第一接入网设备，也可以为第一接入网设备中的部分装置，例如第一接入网设备中的芯片系统。可选的，该芯片系统，用于支持第一接入网设备实现上述图6～图12所示方法实施例中所涉及的功能，例如，接收，发送，或处理上述方法中所涉及的数据和/或信息。该芯片系统包括芯片，也可以包括其他分立器件或电路结构。

该通信装置14用于执行以上图6～图12所示方法中的第一接入网设备所执行的步骤。本申请实施例提供的通信装置14可以包括相应步骤所对应的模块。

本申请实施例可以根据上述方法示例对通信装置14进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图14示出了本实施例中通信装置14的一种可能的结构示意图。如图14所示，通信装置14包括处理单元141。

处理单元141用于支持该通信装置14执行上述图6～图12中所示的获取、承载、安全保护、确定等操作，例如：S601、S602、S603、S800、S801、S900、S1000、S1001、S1105、S1200等，和/或用于本文所描述的技术的其它过程。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

当然，本申请实施例提供的通信装置14包括但不限于上述模块，例如通信装置14还可以包括发送单元142、接收单元143和存储单元144。

发送单元142用于支持该通信装置14执行上述图6～图12中所示的发送操作，例如：S802、S702、S901、S1105、S1201等，和/或用于本文所描述的技术的其它过程。

接收单元143用于支持该通信装置14执行上述图6～图12中所示的接收操作，例如：S601b、S602b、S701等，和/或用于本文所描述的技术的其它过程。

存储单元144可以用于存储该通信装置14的程序代码，还可以用于存储第一安全结果。

本申请提供的通信装置14的实体框图可以参考上述图5。上述处理单元141可以是图5中的处理器51，发送单元142和接收单元143可以是图5中的收发器53，存储单元144可以是图5中的存储器52。

本申请另一实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当指令在通信装置14上运行时，该通信装置14执行如图6～图12所示的实施例的通信方法中第一接入网设备的步骤。

在本申请的另一实施例中，还提供一种计算机程序产品，该计算机程序产品包括计算机执行指令，该计算机执行指令存储在计算机可读存储介质中；通信装置14的处理器可以从计算机可读存储介质读取该计算机执行指令，处理器执行该计算机执行指令使得通信装置14执行如图6～图12所示的实施例的通信方法中第一接入网设备的步骤。

本申请实施例提供一种通信装置15，该通信装置15可以为第一接入网设备，也可以为第一接入网设备中的部分装置，例如第一接入网设备中的芯片系统。可选的，该芯片系统，用于支持第一接入网设备实现上述图13所示方法实施例中所涉及的功能，例如，接收，发送，或处理上述方法中所涉及的数据和/或信息。该芯片系统包括芯片，也可以包括其他分立器件或电路结构。

该通信装置15用于执行图13所示方法中的第一接入网设备所执行的步骤。本申请实施例提供的通信装置15可以包括相应步骤所对应的模块。

本申请实施例可以根据上述方法示例对通信装置15进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图15示出通信装置15的一种可能的结构示意图。如图15所示，通信装置15包括通信装置15包括处理单元151。

处理单元151用于支持该通信装置15执行上述图13中所示的确定、进行安全保护等操作，例如：S1301、S1302等，和/或用于本文所描述的技术的其它过程。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

当然，本申请实施例提供的通信装置15包括但不限于上述模块，例如通信装置15还可以包括发送单元152、接收单元153和存储单元154。

发送单元152用于支持该通信装置15执行上述图13中所示的发送操作，例如：S1302、等，和/或用于本文所描述的技术的其它过程。

接收单元153用于支持该通信装置15执行上述图13中所示的接收操作，例如：S1300等，和/或用于本文所描述的技术的其它过程。

存储单元154可以用于存储该通信装置15的程序代码，还可以用于存储第一安全结果。

当通信装置15为第一接入网设备时，上述处理单元152可以是图4中的处理器41，发送单元153和接收单元151可以是图4中的收发器43，存储单元154可以是图4中的存储器42。

本申请另一实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当指令在通信装置15上运行时，该通信装置15执行如图13所示的实施例的通信方法中第一接入网设备的步骤。

在本申请的另一实施例中，还提供一种计算机程序产品，该计算机程序产品包括计算机执行指令，该计算机执行指令存储在计算机可读存储介质中；通信装置15的处理器可以从计算机可读存储介质读取该计算机执行指令，处理器执行该计算机执行指令使得通信装置15执行如图13所示的实施例的通信方法中第一接入网设备的步骤。

在上述实施例中，可以全部或部分的通过软件，硬件，固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式出现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据第一接入网设备。该可用介质可以是磁性介质，(例如，软盘，硬盘、磁带)、或者半导体介质(例如固态硬盘solid state disk(SSD))等。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (21)

1.一种通信方法，其特征在于，应用于包括第一接入网设备和第二接入网设备的双连接通信系统中，包括：

所述第一接入网设备获取第一服务质量QoS流，所述第一QoS流属于协议数据单元PDU会话；

所述第一接入网设备获取所述PDU会话的第一安全结果，所述第一安全结果为所述第一接入网设备确定的，或者为所述第二接入网设备确定的，其中，所述第一安全结果用于指示是否对所述PDU会话进行安全保护，所述安全保护包括完整性保护和加密保护中的至少一种；

所述第一接入网设备承载所述第一QoS流，并根据所述第一安全结果对所述第一QoS流进行安全保护。

2.根据权利要求1所述的通信方法，其特征在于，所述PDU会话还包括第二QoS流，所述第二QoS流承载于所述第二接入网设备。

3.根据权利要求2所述的通信方法，其特征在于，在所述第一接入网设备获取所述第一QoS流之前，所述PDU会话中所有QoS流承载于所述第二接入网设备，所述第一安全结果是由所述第二接入网设备确定的。

4.根据权利要求2所述的通信方法，其特征在于，所述第一接入网设备还承载所述PDU会话中的第三QoS流；

若所述第一接入网设备为所述双连接通信系统的主站，所述第一安全结果是由所述第一接入网设备确定的；

若所述第二接入网设备为所述双连接通信系统的主站，所述第一安全结果是由所述第二接入网设备确定的。

5.根据权利要求3所述的通信方法，其特征在于，所述通信方法还包括：

在所述第二接入网设备确定所述第一安全结果之前，所述第一接入网设备承载所述PDU会话中的所有QoS流；

所述第一接入网设备确定所述PDU会话的第二安全结果，所述第二安全结果用于指示是否对所述PDU会话进行安全保护，所述第二安全结果与所述第一安全结果相同或不同；

所述第一接入网设备释放所述PDU会话中的所有QoS流，并向所述第二接入网设备发送第一请求消息，若所述第一接入网设备为所述双连接通信系统的主站，所述第二接入网设备为所述通信系统的辅站，所述第一请求消息用于请求为所述PDU会话分配资源，并根据第一安全指示信息确定所述第一安全结果；若所述第一接入网设备为所述双连接通信系统的辅站，所述第二接入网设备为所述通信系统的主站，所述第一请求消息用于请求释放所述PDU会话中的所有QoS流；

其中，所述第一安全指示信息用于指示对所述第一接入网设备释放的QoS流进行安全保护，或者用于指示自行确定是否对所述第一接入网设备释放的QoS流进行安全保护。

6.根据权利要求5所述的通信方法，其特征在于，若所述第一接入网设备为所述双连接通信系统的主站，所述第二接入网设备为所述通信系统的辅站，所述通信方法还包括：

所述第一接入网设备接收来自所述第二接入网设备的所述第一安全结果；

若所述第一安全结果与所述第二安全结果不同，所述第一接入网设备向核心网设备发送所述第一安全结果。

7.根据权利要求1-6中任意一项所述的通信方法，其特征在于，所述通信方法还包括：

所述第一接入网设备存储所述第一安全结果；

所述第一接入网设备获取所述PDU会话的第一安全结果，包括：

所述第一接入网设备从本地获取所述第一安全结果。

8.根据权利要求1-7中任意一项所述的通信方法，其特征在于，所述第一安全结果为所述第二接入网设备确定的，所述通信方法还包括：

在根据所述第一安全结果对所述第一QoS流进行安全保护后，所述第一接入网设备释放第四QoS流，所述第四QoS流属于所述PDU会话；

所述第一接入网设备向所述第二接入网设备发送第二请求消息，所述第二请求消息用于请求根据所述第一安全结果对所述第四QoS流进行安全保护。

9.一种通信方法，其特征在于，包括：

第一接入网设备从核心网设备获取指示信息，所述指示信息用于指示根据第一安全结果对预设的服务质量QoS流或预设的演进分组系统EPS承载进行安全保护，所述安全保护包括完整性保护和加密保护中的至少一种；

所述第一接入网设备确定目标DRB，所述目标DRB承载有所述预设的QoS流，或者，所述目标DRB与所述预设的EPS承载对应；

所述第一接入网设备根据所述第一安全结果对所述目标DRB进行安全保护。

10.根据权利要求9所述的通信方法，其特征在于，所述通信方法还包括：

所述第一接入网设备释放所述预设的QoS流或所述预设的EPS承载；

所述第一接入网设备向第二接入网设备发送安全请求消息，所述安全请求消息用于请求根据所述第一安全结果对已释放的对象进行安全保护。

11.一种通信装置，其特征在于，应用于包括第一接入网设备和第二接入网设备的双连接通信系统中，所述通信装置为第一接入网设备，所述通信装置包括处理器，所述处理器用于与存储器耦合，读取并执行所述存储器中的指令，以实现：

获取第一服务质量QoS流，所述第一QoS流属于协议数据单元PDU会话；

获取所述PDU会话的第一安全结果，所述第一安全结果为所述第一接入网设备确定的，或者为所述第二接入网设备确定的；所述第一安全结果用于指示是否对所述PDU会话进行安全保护，所述安全保护包括完整性保护和加密保护中的至少一种；

承载所述第一QoS流，并根据所述第一安全结果对所述第一QoS流进行安全保护。

12.根据权利要求11所述的通信装置，其特征在于，所述PDU会话包括第二QoS流，所述第二QoS流承载于所述第二接入网设备。

13.根据权利要求12所述的通信装置，其特征在于，在所述处理器获取所述第一QoS流之前，所述PDU会话中所有QoS流承载于所述第二接入网设备；所述第一安全结果是由所述第二接入网设备确定的。

14.根据权利要求12所述的通信装置，其特征在于，所述处理器还承载所述PDU会话中的第三QoS流；

若所述通信装置为所述双连接通信系统的主站，所述第一安全结果是由所述处理器确定的；

若所述第二接入网设备为所述双连接通信系统的主站，所述第一安全结果是由所述第二接入网设备确定的。

15.根据权利要求13所述的通信装置，其特征在于，所述处理器还用于：

在所述第二接入网设备确定所述第一安全结果之前，承载所述PDU会话中的所有QoS流；

确定所述PDU会话的第二安全结果，所述第二安全结果用于指示是否对所述PDU会话进行安全保护，所述第二安全结果与所述第一安全结果相同或不同；

释放所述PDU会话中的所有QoS流，并向所述第二接入网设备发送第一请求消息；若所述通信装置为所述双连接通信系统的主站，所述第二接入网设备为所述通信系统的辅站，所述第一请求消息用于请求为所述PDU会话分配资源，并根据第一安全指示信息确定所述第一安全结果；若所述通信装置为所述双连接通信系统的辅站，所述第二接入网设备为所述通信系统的主站，所述第一请求消息用于请求释放所述PDU会话中的所有QoS流；

其中，所述第一安全指示信息用于指示对所述处理器释放的QoS流进行安全保护，或者用于指示自行确定是否对所述处理器释放的QoS流进行安全保护。

16.根据权利要求15所述的通信装置，其特征在于，若所述通信装置为所述双连接通信系统的主站，所述第二接入网设备为所述通信系统的辅站，所述处理器还用于：

接收来自所述第二接入网设备的所述第一安全结果；

若所述第一安全结果与所述第二安全结果不同，向核心网设备发送所述第一安全结果。

17.根据权利要求11-16中任意一项所述的通信装置，其特征在于，

所述存储器，还用于存储所述第一安全结果；

所述处理器，具体用于从所述存储器中获取所述第一安全结果。

18.根据权利要求11-17中任意一项所述的通信装置，其特征在于，所述第一安全结果为所述第二接入网设备确定的，所述处理器还用于：

在根据所述第一安全结果对所述第一QoS流进行安全保护后，释放第四QoS流，所述第四QoS流属于所述PDU会话；

向所述第二接入网设备发送第二请求消息，所述第二请求消息用于请求根据所述第一安全结果对所述第四QoS流进行安全保护。

19.一种通信装置，其特征在于，所述通信装置为第一接入网设备，所述通信装置包括处理器，所述处理器用于与存储器耦合，读取并执行所述存储器中的指令，以实现：

从核心网设备获取指示信息，所述指示信息用于指示根据第一安全结果对预设的服务质量QoS流或预设的演进分组系统EPS承载进行安全保护，所述安全保护包括完整性保护和加密保护中的至少一种；

确定目标DRB，所述目标DRB承载有所述预设的QoS流，或者，所述目标DRB与所述预设的EPS承载对应；

根据所述第一安全结果对所述目标DRB进行安全保护。

20.根据权利要求19所述的通信装置，其特征在于，所述处理器还用于：

释放所述预设的QoS流或所述预设的EPS承载；

向第二接入网设备发送安全请求消息，所述安全请求消息用于请求根据所述第一安全结果对已释放的对象进行安全保护。

21.一种计算机可读存储介质，该计算机可读存储介质中存储有指令，其特征在于，当所述指令在通信装置上运行时，使得所述通信装置执行如权利要求1-8中任意一项所述的通信方法，或者执行如权利要求9-10中任意一项所述的通信方法。

Images