CN118368616A - 消息传输方法、装置及设备 - Google Patents

Abstract

本申请公开了一种消息传输方法、装置及设备，属于通信技术领域，本申请实施例的消息传输方法包括：发送端在目标层对目标内容进行安全处理，所述目标层包括：PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；所述发送端发送目标消息，所述目标消息包括所述安全处理的内容。

Description

消息传输方法、装置及设备

技术领域

本申请属于通信技术领域，具体涉及一种消息传输方法、装置及设备。

背景技术

在一些通信系统中，发送端支持对数据和信令进行安全处理，具体为分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层对接收的高层的数据和信令进行加密和完整性保护，接收端的PDCP层进行相应的解密和完整性保护验证后递交高层。目前，由于只有PDCP层对接收的高层的数据和信令进行安全处理，导致通信的安全性比较差。

发明内容

本申请实施例提供一种消息传输方法、装置及设备，能够解决通信的安全性比较差的问题。

第一方面，提供了一种消息传输方法，包括：

发送端在目标层对目标内容进行安全处理，所述目标层包括：PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；

所述发送端发送目标消息，所述目标消息包括所述安全处理的内容。

第二方面，提供了一种消息传输方法，包括：

接收端接收目标消息；

在所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作；

其中，所述安全处理的内容包括：发送端在所述目标层对目标内容进行安全处理的内容；

所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层。

第三方面，提供了一种消息传输装置，包括：

处理模块，用于在目标层对目标内容进行安全处理，所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；

发送模块，用于发送目标消息，所述目标消息包括所述安全处理的内容。

第四方面，提供了一种消息传输装置，包括：

接收模块，用于接收目标消息；

验证模块，用于在所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作；

其中，所述安全处理的内容包括：发送端在所述目标层对目标内容进行安全处理的内容；

所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层。

第五方面，提供了一种通信设备，该终端包括处理器和存储器，所述存储器存储可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如本申请实施例提供的发送端侧的消息传输方法的步骤，所述程序或指令被所述处理器执行时实现如本申请实施例提供的接收端侧的消息传输方法的步骤。

第六方面，提供了一种通信设备，包括处理器及通信接口，其中，所述处理器用于在目标层对目标内容进行安全处理，所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；所述通信接口用于发送目标消息，所述目标消息包括所述安全处理的内容。或者，所述通信接口用于接收目标消息；所述处理器用于在所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作；其中，所述安全处理的内容包括：发送端在所述目标层对目标内容进行安全处理的内容；所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层。

第七方面，提供了一种消息传输系统，包括：发送端及接收端，所述发送端可用于执行如本申请实施例提供的发送端侧的消息传输方法的步骤，所述网络侧设备可用于执行如本申请实施例提供的接收端侧的消息传输方法的步骤。

第八方面，提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如本申请实施例提供的发送端侧的消息传输方法的步骤，或者实现如本申请实施例提供的接收端侧的消息传输方法的步骤。

第九方面，提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如本申请实施例提供的发送端侧的消息传输方法，或实现如本申请实施例提供的接收端侧的消息传输方法。

第十方面，提供了一种计算机程序/程序产品，所述计算机程序/程序产品被存储在存储介质中，所述计算机程序/程序产品被至少一个处理器执行以实现如本申请实施例提供的发送端侧的消息传输方法的步骤，所述计算机程序/程序产品被至少一个处理器执行以实现如本申请实施例提供的接收端侧的消息传输方法的步骤。

在本申请实施例中，发送端在目标层对目标内容进行安全处理，所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；所述发送端发送目标消息，所述目标消息包括所述安全处理的内容。这样可以实现PDCP层对PDCP层产生的数据和信令中的至少一项进行安全处理，也可以实现PDCP层以下的协议层对接收到的数据、接收到的信令和产生的信令中的至少一项进行安全处理，从而可以提高通信的安全性。

附图说明

图1是本申请实施例可应用的一种无线通信系统的框图；

图2是本申请实施例提供的一种消息传输方法的流程图；

图3是本申请实施例提供的一种协议栈的示意图；

图4是本申请实施例提供的另一种协议栈的示意图；

图5是本申请实施例提供的一种目标消息的示意图；

图6是本申请实施例提供的另一种目标消息的示意图；

图7是本申请实施例提供的另一种目标消息的示意图；

图8是本申请实施例提供的另一种消息传输方法的流程图；

图9是本申请实施例提供的一种消息传输装置的结构图；

图10是本申请实施例提供的另一种消息传输装置的结构图；

图11是本申请实施例提供的一种通信设备的结构图；

图12是本申请实施例提供的另一种通信设备的结构图；

图13是本申请实施例提供的另一种通信设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”所区别的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”一般表示前后关联对象是一种“或”的关系。

本申请的说明书和权利要求书中的术语“指示”既可以是一个明确的指示，也可以是一个隐含的指示。其中，明确的指示可以理解为，发送方在发送的指示中明确告知了接收方需要执行的操作或请求结果；隐含的指示可以理解为，接收方根据发送方发送的指示进行判断，根据判断结果确定需要执行的操作或请求结果。

值得指出的是，本申请实施例所描述的技术不限于长期演进型(Long TermEvolution，LTE)/LTE的演进(LTE-Advanced，LTE-A)系统，还可用于其他无线通信系统，诸如码分多址(Code Division Multiple Access，CDMA)、时分多址(Time DivisionMultiple Access，TDMA)、频分多址(Frequency Division Multiple Access，FDMA)、正交频分多址(Orthogonal Frequency Division Multiple Access，OFDMA)、单载波频分多址(Single-carrier Frequency Division Multiple Access，SC-FDMA)和其他系统。本申请实施例中的术语“系统”和“网络”常被可互换地使用，所描述的技术既可用于以上提及的系统和无线电技术，也可用于其他系统和无线电技术。以下描述出于示例目的描述了新空口(New Radio，NR)系统，并且在以下大部分描述中使用NR术语，但是这些技术也可应用于NR系统应用以外的应用，如第6代(6^th Generation，6G)通信系统。

图1示出本申请实施例可应用的一种无线通信系统的框图。无线通信系统包括终端11和网络侧设备12。其中，终端11可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)或称为笔记本电脑、个人数字助理(Personal DigitalAssistant，PDA)、掌上电脑、上网本、超级移动个人计算机(ultra-mobile personalcomputer，UMPC)、移动上网装置(Mobile Internet Device，MID)、增强现实(augmentedreality，AR)/虚拟现实(virtual reality，VR)设备、机器人、可穿戴式设备(WearableDevice)、车载设备(VUE)、行人终端(PUE)、智能家居(具有无线通信功能的家居设备，如冰箱、电视、洗衣机或者家具等)、游戏机、个人计算机(personal computer，PC)、柜员机或者自助机等终端侧设备，可穿戴式设备包括：智能手表、智能手环、智能耳机、智能眼镜、智能首饰(智能手镯、智能手链、智能戒指、智能项链、智能脚镯、智能脚链等)、智能腕带、智能服装等。需要说明的是，在本申请实施例并不限定终端11的具体类型。网络侧设备12可以包括接入网设备或核心网设备，其中，接入网设备也可以称为无线接入网设备、无线接入网(Radio Access Network,RAN)、无线接入网功能或无线接入网单元。接入网设备可以包括基站、WLAN接入点或WiFi节点等，基站可被称为节点B、演进节点B(eNB)、接入点、基收发机站(Base Transceiver Station，BTS)、无线电基站、无线电收发机、基本服务集(BasicService Set，BSS)、扩展服务集(Extended Service Set，ESS)、家用B节点、家用演进型B节点、发送接收点(Transmitting Receiving Point，TRP)或所述领域中其他某个合适的术语，只要达到相同的技术效果，所述基站不限于特定技术词汇，需要说明的是，在本申请实施例中仅以NR系统中的基站为例进行介绍，并不限定基站的具体类型。核心网设备可以包含但不限于如下至少一项：核心网节点、核心网功能、移动管理实体(Mobility ManagementEntity，MME)、接入移动管理功能(Access and Mobility Management Function，AMF)、会话管理功能(Session Management Function，SMF)、用户平面功能(User Plane Function，UPF)、策略控制功能(Policy Control Function，PCF)、策略与计费规则功能单元(Policyand Charging Rules Function，PCRF)、边缘应用服务发现功能(Edge ApplicationServer Discovery Function，EASDF)、统一数据管理(Unified Data Management，UDM)，统一数据仓储(Unified Data Repository，UDR)、归属用户服务器(Home SubscriberServer，HSS)、集中式网络配置(Centralized network configuration，CNC)、网络存储功能(Network Repository Function，NRF)，网络开放功能(Network Exposure Function，NEF)、本地NEF(Local NEF，或L-NEF)、绑定支持功能(Binding Support Function，BSF)、应用功能(Application Function，AF)等。需要说明的是，在本申请实施例中仅以NR系统中的核心网设备为例进行介绍，并不限定核心网设备的具体类型。

下面结合附图，通过一些实施例及其应用场景对本申请实施例提供的一种消息传输方法、装置及设备进行详细地说明。

请参见图2，图2是本申请实施例提供的一种消息传输方法的流程图，如图2所示，包括以下步骤：

步骤201、发送端在目标层对目标内容进行安全处理，所述目标层包括：PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令。

其中，上述PDCP层以下的协议层可以是，上述PDCP层以下一个或者多个协议层，例如：上述PDCP层以下的协议层可以包括媒体接入控制(Media Access Control，MAC)层和无线链路层控制(Radio Link Control，RLC)层中的至少一项。

上述目标层包括：PDCP层，和/或，PDCP层以下的协议层可以理解为如下一项，

目标层包括：PDCP层，或者，PDCP层以下的协议层；或者

目标层包括：PDCP层和PDCP层以下的协议层。

上述PDCP层产生的信令可以包括PDCP控制协议数据单元(Protocol Data Unit，PDU)。

上述目标层接收到的数据可以是，PDCP层以下的协议层接收到的数据，该数据可以是高层产生的数据；例如：从高层接收到的数据包括高层产生的信令，该数据作为PDCP层以下的协议层的承载数据(payload)。

上述目标层接收到的信令可以是，PDCP层以下的协议层接收到的信令，该数据可以是高层产生的信令。

上述目标层产生的信令可以是，PDCP层以下的协议层产生的信令，例如：RLC层产生的RLC控制PDU，或者MAC层产生的媒体接入控制控制单元(Media Access ControlControl Element，MAC CE)。

在一些实施方式中，PDCP层对PDCP层产生信令进行安全处理；

在一些实施方式中，MAC层对MAC层产生的信令进行安全处理，MAC层对接收到的数据进行安全处理；

在一些实施方式中，RLC层对RLC层产生的信令进行安全处理，RLC层对接收到的数据进行安全处理；

在一些实施方式中，PDCP层对PDCP层产生信令进行安全处理，MAC层对MAC层产生的信令进行安全处理，MAC层对接收到的数据进行安全处理，RLC层对RLC层产生的信令进行安全处理；

在一些实施方式中，PDCP层对PDCP层产生信令进行安全处理，MAC层对MAC层产生的信令进行安全处理，RLC层对RLC层产生的信令进行安全处理，RLC层对接收到的数据进行安全处理；

在一些实施方式中MAC层对MAC层产生的信令进行安全处理，MAC层对接收到的数据进行安全处理，RLC层对RLC层产生的信令进行安全处理；

在一些实施方式中MAC层对MAC层产生的信令进行安全处理，RLC层对RLC层产生的信令进行安全处理，RLC层对接收到的数据进行安全处理。

需要说明的是，本申请实施例中产生也可以称作生成。

上述发送端可以是终端或者网络侧设备，对应的接收端可以是网络侧设备或者终端。

在一些实施方式中，发送端和接收端之间的用户面协议栈可以如图3所示，发送端和接收端之间的控制协议栈可以如图4所示，需要说明的是，图3和图4是仅以5G通信系统进行的举例说明，本申请实施例中，对协议栈不作限定。

步骤202、所述发送端发送目标消息，所述目标消息包括所述安全处理的内容。

一些实施方式中，上述目标消息可以是，目标层的PDU，如MAC PDU、RLC PDU、PDCPPDU。

一些实施方式中，上述目标消息可以是，目标层传输块(Transport Block，TB)，如MAC TB。

一些实施方式中，上述目标消息可以是向接收端发送的消息，该消息包括目标层的PDU或TB。

上述安全处理的内容为步骤201中的安全处理得到的内容，或者经过安全处理的内容，或者安全处理后的内容，或者，安全处理后形成的内容。例如：包括如下至少一项：

加密后的密文；

为了验证完整性而生成的校验码；

被完整性保护的数据。

在本申请实施例中，通过上述步骤可以实现PDCP层对PDCP层产生的数据和信令中的至少一项进行安全处理，也可以实现PDCP层以下的协议层对接收到的数据、接收到的信令和产生的信令中的至少一项进行安全处理，从而可以提高通信的安全性。

作为一种可选的实施方式，所述安全处理包括如下至少一项：

加密、完整性保护。

该实施方式中，可以针对不同的数据或者信令采用相同的加密和完整性保护，或者，针对一些数据或者信令采用加密处理，针对另一个数据或者信令采用完整性保护处理，或者，针对多个数据或者信令进行串接，再对串接的内容进行加密和完整性保护中的至少一项处理。

需要说明的是，本申请实施例中，加密和完整性保护可以采用协议中定义的加密和完整性保护，对此不作限定。

该实施方式中，通过上述加密、完整性保护可以提高通信安全。

可选的，在所述目标内容包括多个内容的情况下，所述加密包括：

将所述多个内容进行串接，并对所述串接的内容进行加密；

和/或，在所述目标内容包括多个内容的情况下，所述完整性保护包括：

将所述多个内容进行串接，并对所述串接的内容进行完整性保护。

其中，多个内容可以是多个数据、多个信令，或者，至少一个数据和至少一个信令，如多个服务数据单元(Service Data Unit，SDU)、多个控制信令。需要说明的是，多个内容中的一个内容可以是数据或信令。另外，SDU可以是PDCP SDU、RLC SDU或MAC SDU。控制信令可以是PDCP控制PDU、RLC控制PDU，或者MAC CE。

该实施方式中，由于对多个内容进行串接再安全处理，这样可以降低计算开销，另外，多个内容进行串接再安全处理，这样使得安全处理的内容安全更高。

需要说明的是，本申请实施例中，针对多个内容也可以单独进行安全处理，对此不作限定。

作为一种可选的实施方式，所述目标消息还包括：

第一子PDU或者第一子头，所述第一子PDU或者所述第一子头用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

在一些实施方式中，上述第一子PDU可以是目标层子PDU，如MAC子PDU(MACsubPDU)、RLC子PDU(RLC subPDU)、PDCP子PDU(PDCP subPDU)；

上述第一子头可以是目标层子头，如MAC子头、RLC子头、PDCP子头。

上述目标层未进行安全处理的内容可以是，没有进行安全处理的内容，也可以是高层已经进行安全处理的内容。

需要说明的是，在上述第一子PDU或者第一子头指示上述目标消息中包括的所述安全处理的内容的情况下，接收端通过上述第一子PDU或者第一子头可以确定未指示的内容为上述目标层未进行安全处理的内容。在上述第一子PDU或者第一子头指示上述目标层未进行安全处理的内容的情况下，接收端通过上述第一子PDU或者第一子头可以确定未指示的内容为上述安全处理的内容。

该实施方式中，通过上述第一子PDU或者第一子头可以使得接收端能够准确地确定上述安全处理的内容和目标层未进行安全处理的内容，从而接收端的目标层只需要对上述安全处理的内容进行安全验证，以节约接收端的功耗或接收端的处理复杂度。

可选的，所述第一子PDU或者所述第一子头通过所述第一子PDU或者所述第一子头在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

上述第一子PDU或者第一子头在所述目标消息的中位置可以指示该位置的一侧为上述安全处理的内容，或者，指示该位置另一侧为目标层未进行安全处理的内容。

在一些实施方式中，在所述目标消息中位于所述第一子PDU或者所述第一子头的第一侧的内容包括所述安全处理的内容；

和/或，在所述目标消息中位于所述第一子PDU或者所述第一子头的第二侧的内容包括未进行安全处理的内容；

所述第一侧和所述第二侧为相对的两侧。

例如，上述第一侧为左侧或者上述目标消息位于上述第一子PDU或者第一子头之前，上述第二侧为右侧或者上述目标消息位于上述第一子PDU或者第一子头之后，上述第一侧为右侧或者上述目标消息位于上述第一子PDU或者第一子头之后，上述第二侧为左侧或者上述目标消息位于上述第一子PDU或者第一子头之前。

在一些实施方式中，还可以结合长度来指示上述至少一项，例如：指示上述第一侧的某一长度的内容为上述安全处理的内容，该长度为上述安全处理的内容对应的长度。

在一些实施方式中，还可以结合长度来指示上述至少一项，例如：指示上述第一侧的某一长度的内容为上述安全处理后的内容，该长度为上述安全处理后的内容对应的长度。

上述实施方式中，通过上述第一子PDU或者第一子头在目标消息的中位置指示上述至少一项，以指示接收端中目标层对目标消息的哪些内容/部分进行安全处理。

作为一种可选的实施方式，所述第一子PDU或者所述第一子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

所述安全处理的内容对应的长度；

其中，在所述第一子PDU或者所述第一子头指示所述安全处理的内容对应的长度的情况下，通过所述第一子PDU或者所述第一子头在所述目标消息中的位置，以及所述安全处理的内容对应的长度指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

在一些实施方式中，上述参数可以包括序列号(Serial Number，SN)；

在一些实施方式中，上述参数可以包括秘钥。

例如：上述加密可以是基于加密输入参数(序列号、秘钥等)，生成密码(比特)流；用密码(比特)流与目标内容进行运算，得到加密后数据流；接收端收到加密数据流后，进行相应的解密操作，得到解密后的数据流。

又例如：上述完整性保护可以是指基于输入参数(序列号，秘钥，待完整性保护的数据等)，得到一个预设长度(如32位)的比特流，该比特流可以称作消息验证码-完整性(Message Authentication Code–Integrity，MAC-I)。任何输入参数的变更，都可能导致输出的MAC-I发送变化。发送端将MAC-I(称为MAC-I-1)随被完整性保护的数据一起发送，接收端收到后，基于被完整性保护的数据计算，得到MAC-I(MAC-I-2)。接收端对比MAC-I-1和MAC-I-2，如果两者相同，则认为待完整性保护的数据是由预期的发送端发出且未被篡改过，即通过完整性校验。

在一些实施方式中，上述用于加密的参数和用于完整性保护的参数可以相同或者不同，例如：用于加密的序列号和用于完整性保护的序列号可以是一个序列号，即只携带一个序列号，用于加密和完整性保护两个目的。

上述安全处理的内容对应的长度可以是，目标内容安全处理前的长度，也可以是上述安全处理的内容的长度，即安全处理后的长度。如果是安全处理前的长度，接收端可以根据协议规定，确定处理后的长度。

需要说明的是，上述第一子PDU或者第一子头可以显式或者隐式指示上述用于加密的参数、用于完整性保护的参数、用于完整性保护的比特流和安全处理的内容对应的长度中的至少一项。

在一些实施方式中，所述第一子PDU或者所述第一子头用于显式指示：所述用于加密的参数和用于完整性保护的参数中的至少一项；或者

所述第一子PDU或者所述第一子头通过所述目标消息的传输资源隐式指示：所述用于加密的参数和用于完整性保护的参数中的至少一项。

上述第一子PDU或者第一子头通过所述目标消息的传输资源隐式指示上述参数可以是，第一子PDU或者第一子头中不包括上述参数，将目标消息传输所使用的无线资源的资源时间位置，或资源频率位置，或资源时频位置映射为上述参数，如将目标消息传输所使用的无线资源的资源时间位置，或资源频率位置，或资源时频位置映射作为序列号使用。具体映射规则可以协议约定或者网络侧配置。

该实施方式中，通过隐式指示上述参数可以节约目标消息的开销。

作为一种可选的实施方式，所述第一子PDU为第一MAC子PDU，所述第一MAC子PDU包括第一MAC CE，所述第一MAC CE为用于指示如下至少一项的MAC CE：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

其中，上述第一MAC CE可以是新定义的MAC CE，或者上述第一MAC CE为特定格式的MAC CE，该MAC CE的格式可以通过上述第一MAC子PDU中的MAC子头来指示，如通过MAC子头中的逻辑信道标识(logical Channel Identity，LCID)指示该格式。接收端通过该第一MAC子PDU中的MAC子头确定上述第一MAC CE是用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

需要说明的是，本申请实施例并不限定上述第一MAC CE的标识方式，例如：上述第一MAC CE或者上述第一MAC子PDU可以是协议约定的用于指示如下至少一项的MAC CE或者MAC子PDU：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

该实施方式中，由于通过新引入MAC subPDU进行指示，从而不需要修改目标消息其他部分的格式，以降低提高通信安全的复杂度。

可选的，其中，所述第一MAC CE还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

所述安全处理的内容对应的长度；

其中，在所述第一MAC CE指示所述安全处理的内容对应的长度的情况下，所述第一MAC CE通过所述安全处理的内容对应的长度和所述第一MAC子PDU在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

需要说明的是，上述参数、比特流和长度可以参见上述实施方式的相应描述，且具体指示方式也参见上述实施方式的相应描述，此处不作赘述。

该实施方式中，可以实现通过上述第一MAC CE指示上述至少一项。

一个实施例，如图5所示，其中，上述第一MAC子PDU为图5中的X MAC subPDU，上述第一MAC CE为图5中的X MAC CE。如图5所示，X MAC subPDU左侧为参与MAC层安全处理的部分，即上述安全处理的内容；X MAC subPDU右侧为不参与MAC层安全处理的部分，即MAC层未进行安全处理的内容。

另一个实施例，如图6所示，其中，上述第一MAC子PDU为图6中的Y MAC subPDU，上述第一MAC CE为图6中的Y MAC CE，Y MAC CE包括安全处理的内容对应的长度，长度表示为L。如图6所示，Y MAC subPDU右侧，且长度为L的内容为参与MAC层安全处理的部分，即上述安全处理的内容；Y MAC subPDU左侧以及右侧指定长度(L)之后的内容为不参与MAC层安全处理的部分，即MAC层未进行安全处理的内容。

需要说明的是，图5和图6仅作为示意，本申请实施例中，不对目标层PDU，以及MACCE的子头组成(例如是否包含R/F/L域)进行限制，且图5和图6仅是以目标层为MAC层进行举例说明。

作为一种可选的实施方式，所述第一子头为所述目标消息包括的第二MAC子PDU的MAC子头，所述第二MAC子PDU还包括所述安全处理的内容。

上述MAC子头可以是新定义的MAC子头，该MAC子头可以是特定格式或者承载的特定的信息，以表示该MAC子头用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

接收端通过上述MAC子头的格式或者承载的信息确定该MAC子头是用于指示上述至少一项位置。

该实施方式中，可以实现通过第二MAC子PDU的MAC子头进行指示，从而不需要修改目标消息的格式，以降低提高通信安全的复杂度。

可选的，所述MAC子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

长度域，所述长度域用于指示所述第二MAC子PDU的载荷部分的长度，所述载荷部分包括所述安全处理的内容。

需要说明的是，上述参数、比特流和长度可以参见上述实施方式的相应描述，且具体指示方式也参见上述实施方式的相应描述，此处不作赘述。

该实施方式中，可以实现通过上述MAC子头指示上述至少一项。

在一个实施例中，上述目标消息可以如图7所示，上述第二MAC子PDU为图6中的MAC超级子PDU(MAC Super subPDU)，上述MAC子头为MAC超级子头(MAC super header)，上述长度域可以指示MAC super subPDU载荷部分(payload)部分的长度，即MAC super subPDU除了子头之外的剩余部分的长度。这样接收端就可以根据长度域知道需要对收到的MAC PDU中的哪些部分进行安全处理。

需要说明的是，图7仅作为示意，本申请实施例中，不对目标层PDU，以及MAC CE的子头组成(例如是否包含R/F/L域)进行限制，且图7仅是以目标层为MAC层进行举例说明。

作为一种可选的实施方式，所述方法还包括：

所述发送端的所述目标层接收处理指示，所述处理指示用于指示如下至少一项：

对所述目标内容进行安全处理，或者，不对所述目标内容进行安全处理；

需要安全处理的内容；

不需要安全处理的内容。

上述处理指示可以是高层给目标层的处理指示。例如：高层在递交高层PDU给MAC层时，指示MAC层：待传PDU是否需要进行加密和/或完整性保护，即对于PDCP已经进行过加密和/或完整性保护的数据，高层无需指示底层再进行重复加密和/或完整性保护。

该实施方式中，上述步骤201可以包括如下至少一项：

在指示对所述目标内容进行安全处理的情况下，对目标内容进行安全处理；

在指示需要安全处理的内容包括上述目标内容的情况下，对目标内容进行安全处理；

在指示不需要安全处理的内容不包括上述目标内容的情况下，对目标内容进行安全处理。

例如：在上述目标层为MAC层的情况下，对一个MAC PDU/TB内，所有高层指示待完整性保护的数据，MAC层生成一个MAC-I(即不是每个高层待完保的PDU生成一个MAC-I，以降低协议开销)；发送端在MAC PDU/TB中携带上述第一子PDU或者第一子头，以通知接收端待完整性保护确认的数据，以便接收端进行完整性保护验证，或者，发送端指示在MAC PDU/TB中携带上述第一子PDU或者第一子头，以通知接收端待加密的数据，以便接收端进行解密。

上述实施方式中，由于接收到上述处理指示，这样可以实现基于上述处理指示对安全处理，这样可以只需要对指示的内容进行完全处理，进而节约计算开销，且还可以提高目标层安全处理的灵活性，即目标层进行安全处理的内容可以由上述处理指示灵活配置。

需要说明的是，上述目标内容也可以是协议或者网络侧预先配置的。

作为一种可选的实施方式，所述目标层包括：如下至少一项：MAC层、RLC层；

在所述目标层包括所述MAC层的情况下，所述目标消息包括MAC PDU或者MAC传输块TB；

在所述目标层包括所述RLC层的情况下，所述目标消息包括RLC PDU。

该实施方式中，可以实现在MAC层、RLC层中至少一项进行安全处理，例如：MAC层对接收到的数据、信令，以及MAC层产生的信令进行安全处理，又例如：RLC层对接收到的数据、信令，以及对RLC层产生的信令进行安全处理。

可选的，在所述目标层包括所述MAC层的情况下，所述目标内容包括如下至少一项：

MAC SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU；

其中，所述MAC SDU包括：所述MAC层接收到的数据和所述MAC接收到的信令中的至少一项；

所述第二MAC CE为所述MAC层产生的信令。

上述MAC SDU可以是一个或者多个MAC SDU，上述第二MAC CE可以是一个或者多个MAC CE。

上述目标内容包括上述至少一项可以理解为，目标内容的类型可以包括如下至少一项：

MAC SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU。

该实施方式中，MAC层可以存在如下行为：

将收到的MAC SDU X，生成对应的MAC subPDU；

将生成的第二MAC CE，生成对应的MAC subPDU；

将包含需要进行MAC层安全处理的MAC SDU X和第二MAC CE的MAC subPDU串接在一起，进行完整性保护(对所有MAC subPDU生成一个MAC-I)和/或加密；

生成上述第一MAC CE(如上述X MAC CE)对应的上述第一MAC subPDU。

该实施方式中，可以实现对MAC SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU中的至少一项进行安全处理，以提高通信安全性。

在一些实施方式中，上述目标消息可以包括如下内容：

上述目标内容、上述目标层未进行安全处理的内容，以及上述第一子PDU或者第一子头。

在本申请实施例中，发送端在目标层对目标内容进行安全处理，所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；所述发送端发送目标消息，所述目标消息包括所述安全处理的内容。这样可以实现PDCP层对PDCP层产生的数据和信令中的至少一项进行安全处理，也可以实现PDCP层以下的协议层对接收到的数据、接收到的信令和产生的信令中的至少一项进行安全处理，从而可以提高通信的安全性。

请参见图8，图8是本申请实施例提供的一种消息传输方法的流程图，如图8所示，包括以下步骤：

步骤801、接收端接收目标消息；

步骤802、在所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作；

其中，所述安全处理的内容包括：发送端在所述目标层对目标内容进行安全处理的内容；

所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层。

可选的，所述方法还包括如下至少一项：

在所述安全验证操作表示安全验证失败的情况下，所述接收端的所述目标层丢弃所述安全处理的内容；

所述接收端的所述目标层向高层递交所述安全验证操作得到的第一内容。

上述安全验证操作表示安全验证失败可以是完整性保护验证失败。

由于在所述安全验证操作表示安全验证失败的情况下，所述接收端的所述目标层丢弃所述安全处理的内容，这样可以避免目标层向高层递交目标层安全验证失败的内容，进一上提高通信安全性。

可选的，所述方法还包括如下至少一项：

在所述接收端丢弃所述目标消息中的携带的内容的情况下，所述接收端的所述目标层通知高层有内容未通过安全验证；

在所述接收端的所述目标层向高层递交所述安全验证操作得到的内容的情况下，所述接收端的所述目标层通知高层所述安全验证操作得到的内容已通过安全验证。

该实施方式中，通过上述通知可以提高接收端内各协议层之前的交互性能。例如：接收端MAC层根据TB中的第一子PDU或者第一子头，进行解密和/或完整性保护确认；并将通过完整性保护确认的处理后的数据，递交给高层，并通知高层该数据进行了解密和/或通过了完整性保护确认，而对于未通过完整性保护确认的数据包，MAC层通知高层，如：通知RLC，PDCP，RRC层中的一层或多层完整性保护验证失败。

可选的，所述方法还包括：

在所述目标层确定所述目标消息包括未进行安全处理的内容的情况下，所述接收端的所述目标层向高层递交所述目标层未进行安全验证的第二内容；

所述接收端的高层对于所述目标层递交的所述第二内容进行丢弃，所述第二内容为需要所述目标层进行安全验证的内容。

其中，上述第二内容可以是高层已知的需要目标层进行安全验证的内容，如高层通过协议或者网络侧配置确定需要所述目标层进行安全验证的内容。

该实施方式中，接收端的高层对于所述目标层递交的所述第二内容进行丢弃，这样可以进一步提高通信安全性。例如：发送端是恶意的，其发送篡改的PDCP控制PDU(封装成RLC PDU传给MAC)，但其MAC指示消息中指示接收端，该高层SDU无需底层安全，接收端MAC会假设该高层SDU已经进行了高层安全处理；不进行验证直接交给高层。接收端PDCP发现这个控制PDU没有PDCP层的安全保护，也没有进行底层安全验证，是有问题的(即完全没有通过安全认证)，就丢弃。

可选的，所述安全处理包括如下至少一项：

加密、完整性保护；

所述安全验证操作包括如下至少一项：

解密、完整性保护验证。

可选的，所述目标消息还包括：

第一子协议数据单元PDU或者第一子头，所述第一子PDU或者所述第一子头用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置；

所述在所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作，包括：

在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作。

可选的，所述第一子PDU或者所述第一子头通过所述第一子PDU或者所述第一子头在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，在所述目标消息中位于所述第一子PDU或者所述第一子头的第一侧的内容包括所述安全处理的内容；

和/或，在所述目标消息中位于所述第一子PDU或者所述第一子头的第二侧的内容包括未进行安全处理的内容；

所述第一侧和所述第二侧为相对的两侧。

可选的，所述第一子PDU或者所述第一子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

所述安全处理的内容对应的长度；

所述在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作，包括：

在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容，以及基于所述第一PDU或者所述第一子头确定所述安全处理的内容在所述目标消息的位置的情况下，所述接收端基于所述用于加密的参数、用于完整性保护的参数和用于完整性保护的比特流中的至少一项，在目标层对所述安全处理的内容进行安全验证操作；其中，在所述第一子PDU或者所述第一子头指示所述安全处理的内容对应的长度的情况下，所述接收端通过所述第一子PDU或者所述第一子头在所述目标消息中的位置，以及所述安全处理的内容对应的长度确定所述安全处理的内容在所述目标消息中的位置。

可选的，所述第一子PDU为第一媒体接入控制MAC子协议数据单元PDU，所述第一MAC子PDU包括第一MAC控制单元CE，所述第一MAC CE为用于指示如下至少一项的新MAC CE：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一MAC CE还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流

所述安全处理的内容对应的长度；

其中，在所述第一MAC CE指示所述安全处理的内容对应的长度的情况下，所述第一MAC CE通过所述安全处理的内容对应的长度和所述第一MAC子PDU在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一子头为所述目标消息包括的第二MAC子PDU的MAC子头，所述第二MAC子PDU还包括所述安全处理的内容。

可选的，所述MAC子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

长度域，所述长度域用于指示所述第二MAC子PDU的载荷部分的长度，所述载荷部分包括所述安全处理的内容。

可选的，所述目标层包括如下至少一项：MAC层、RLC层；

在所述目标层包括所述MAC层的情况下，所述目标消息包括MAC PDU或者MAC传输块TB；

在所述目标层包括所述RLC层的情况下，所述目标消息包括RLC PDU。

可选的，所述目标内容包括如下至少一项：MAC服务数据单元SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU；

其中，所述MAC SDU包括：所述发送端的MAC层接收到的数据和所述MAC接收到的信令中的至少一项；

所述第二MAC CE为所述发送端的MAC层产生的信令。

需要说明的是，本实施例作为与图2所示的实施例中对应的接收端的实施方式，其具体的实施方式可以参见图2所示的实施例的相关说明，以为避免重复说明，本实施例不再赘述。

下面通过多个实施例对本申请实施例提供的消息传输方法进行举例说明：

实施例一

该实施例中，高层指示MAC层需要进行安全处理的数据，具体如下：

发送端MAC层接收高层PDU，同时被指示该PDU是否需要进行安全处理，如：

高层指示需要进行安全处理的高层PDU，或指示不需要进行安全处理的高层PDU；

所述安全处理指加密和/或完整性保护；高层可以指示单独启用加密或完整性保护；

不需要进行安全处理的高层PDU包括：PDCP层已经进行了加密和/或完整性保护的数据对应的PDU，其中，对应的PDU指该PDU中包含：PDCP层已经进行了加密和/或完整性保护的数据；或需要进行安全处理的高层PDU包括：未经过PDCP层加密和/或完整性保护的数据对应的PDU，其中，对应的PDU指该PDU中包含的数据：未经过PDCP层处理或未经过PDCP加密和/或完整性保护。

实施例二

该实施例中，如图5所示，MAC层基于高层指示生成MAC-I(通过特定MAC CE分隔)，具体如下：

步骤1.对于发送端MAC层接收的每一个高层递交的MAC SDU X，高层指示：MAC SDUX是否需要参与MAC层安全处理；

步骤2.发送端MAC层生成MAC PDU，包括以下操作：

A.将收到的MAC SDU X，生成对应的MAC subPDU；

B.将生成的MAC CE，生成对应的MAC subPDU；

C.将包含需要进行MAC层安全处理的MAC SDU X和MAC CE的MAC subPDU串接在一起，进行完整性保护(对所有MAC subPDU生成一个MAC-I)和/或加密；

D.生成新定义的特定MAC CE(X MAC CE)对应的X MAC subPDU；

E.用X MAC subPDU将C中处理后的数据和其他未进行安全处理的MAC subPDU隔开。如图5所示，X MAC subPDU左侧为参与MAC层安全处理的部分；X MAC subPDU右侧为不参与MAC层安全处理的部分。

这样，接收端就可以通过识别出新定义的特定MAC CE而确定需要对收到的MACPDU中的哪些部分进行安全处理：即解密和/或完整性验证。

另外，X MAC CE中可以包含以下信息中的一种或多种：

显式携带的SN：用于加密和/或完整性保护的序列号；

用于完整性保护的MAC-I；

如果MAC PDU中不显式携带的SN，可以通过该MAC PDU传输所使用的无线资源的资源时间位置，或资源频率位置，或资源时频位置映射为SN(即隐式携带)。

实施例三

该实施例中，如图7所示，MAC层基于高层指示生成MAC-I(通过MAC supersubPDU)，具体如下：

步骤1.对于发送端MAC层接收的每一个高层递交的MAC SDU X，高层指示：MAC SDUX是否需要参与MAC层安全处理；

步骤2.发送端MAC层生成MAC PDU，包括以下操作：

A.将收到的MAC SDU X，生成对应的MAC subPDU；

B.将生成的MAC CE，生成对应的MAC subPDU；

C.将包含需要进行MAC层安全处理的MAC SDU X和MAC CE的MAC subPDU串接在一起，进行完整性保护(对所有MAC subPDU生成一个MAC-I)和/或加密；

D.生成MAC Super subPDU(如图7所示)，包含：

生成参与MAC层安全处理的部分(包括：高层MAC SDU以及MAC CE)公共的superheader；

其中，super header中包含以下信息中的一种或多种：

显式携带的SN：用于加密和/或完整性保护的序列号

用于完整性保护的MAC-I(仅完整性保护开启时携带)

长度域：MAC super subPDU payload(即MAC super subPDU除了子头之外的剩余部分)部分的长度。

这样，接收端就可以根据长度域知道需要对收到的MAC PDU中的哪些部分进行安全处理：即解密和/或完整性验证。

另外，如果MAC Super header中不显式携带的SN，可以通过该MAC PDU传输所使用的无线资源的资源时间位置，或资源频率位置，或资源时频位置映射为SN(即隐式携带)。

MAC Super subPDU可以位于MAC PDU的首部，也可以位于其他MAC subPDU之后，不做限制。

实施例四

该实施例中，如图6所示，MAC层基于高层指示生成MAC-I(通过MAC CE指示)，具体如下：

步骤1.对于发送端MAC层接收的每一个高层递交的MAC SDU X，高层指示：MAC SDUX是否需要参与MAC层安全处理；

步骤2.发送端MAC层生成MAC PDU，包括以下操作：

A.将收到的MAC SDU X，生成对应的MAC subPDU；

B.将生成的MAC CE，生成对应的MAC subPDU；

C.将包含需要进行MAC层安全处理的MAC SDU X和MAC CE的MAC subPDU串接在一起，进行完整性保护(对所有MAC subPDU生成一个MAC-I)和/或加密；

D.生成新定义的MAC CE(Y MAC CE)对应的Y MAC subPDU；

E.用Y MAC subPDU位于C中处理后的数据之前。如图6所示，Y MAC subPDU之后/右侧为MAC层提供安全服务的数据，长度为L(由Y MAC CE进行指示)；MAC PDU中的其他部分为不参与MAC层安全处理的部分。

这样，接收端就可以知道需要对收到的MAC PDU中的哪些部分进行安全处理：即解密和/或完整性验证。

另外，Y MAC CE中可以包含以下信息中的一种或多种：

显式携带的SN：用于加密和/或完整性保护的序列号

用于完整性保护的MAC-I

由MAC层提供安全服务的数据的长度。

如果MAC PDU中不显式携带的SN，可以通过该MAC PDU传输所使用的无线资源的资源时间位置，或资源频率位置，或资源时频位置映射为SN(即隐式携带)。

另外，Y MAC CE对应的MAC subPDU可以为MAC PDU的第一个MAC subPDU，也可以位于其他MAC subPDU之后，不做限制。

实施例五

该实施例主要描述接收端操作，具体如下：

步骤1.接收端MAC层根据高层配置和/或网络侧配置，启动完整性保护验证和/或解密；

步骤2.接收端收到一个MAC PDU，根据MAC PDU中的内容，识别出进行MAC安全保护的部分；包括：

(1)通过新MAC CE在MAC PDU中的位置(如实施例二所示)；或

(2)通过super MAC subPDU的payload部分(如实施例三所示)；或

(3)通过新MAC CE的位置以及其包含的指示信息，如长度域(如实施例四所示)；

步骤3.如果启动了解密，则接收端进行解密；

步骤4.如果启动了完整性保护验证，则接收端进行完整性保护验证；

步骤5.对于完成了解密和/或完整性校验的高层数据，递交高层，并通知高层：MAC层所完成的安全操作，如通知高层完成了该MAC SDU的解密，或通知高层完成了该MAC SDU的完整性保护确认，或通知高层完成了该MAC SDU的完整性保护确认和解密；

在步骤5中由于通知高层，可以避免以下问题：

假设发送端是一个攻击者，其给接收端发送了一个PDCP控制PDU；由于其没有完整性保护秘钥，其不启动底层的安全措施(如：完整性保护)；

这样，接收端MAC收到MAC PDU后，会认为该MAC PDU中对应的subPDU无需启动MAC完整性确认(即由高层验证完整性保护)；因此，MAC层将未验证完整性保护的数据包递交给高层；当该数据包经过处理到达PDCP后，PDCP如果以为该控制PDU已经在MAC层做过验证；将导致未被验证完整性保护的PDCP控制PDU被接收端应用，造成安全隐患。

步骤6.对于收到的MAC CE：如果MAC CE没有被保护，或不可识别，或完整性验证失败，则丢弃该MAC CE。

需要说明的是，上述多个实施例中仅是以目标层为MAC层进行举例说明，在本申请实施例中，目标层为RLC层时，RLC层的实现方式可以参见MAC的实现方式，此处不作赘述。

本申请实施例中，可以实现如下：

1.发送端：底层基于高层指示，对高层数据包启动底层安全(加密和/或完整性保护)；

2.发送端：底层标识进行了底层安全处理(加密和/或完整性保护)的数据块，以便接收端确定需要进行安全处理(解密和/或完整性保护确认)的数据块；

3.接收端：识别出接收的数据中，已进行了底层安全操作的部分；并进行对应的底层解安全操作；

4接收端：识别出接收的数据中，需要进行底层安全的部分，如果其未通过完整性保护确认的数据块，底层直接丢弃；可选的，通知高层有数据包未通过完整性保护验证；

5.接收端：对于通过完整性保护确认的数据块，底层处理后递交高层，并通知高层该数据块通过了完整性保护验证；

6.接收端：对于接收的数据中未进行了底层安全操作的部分，进行不含解安全操作的其他该协议层规定的处理后，递交高层，并通知高层该数据块未启用完整性保护验证；

7.接收端：高层在应用对应的底层递交的数据时，确定是否需要且通过了底层完整性保护验证，如果需要但未通过底层完整性保护验证，高层丢弃该数据包。

本申请实施例中，可以实现在底层(如MAC层、RLC层)提供安全功能，实现PDCP/RLC控制PDU，MAC CE的安全保护。

请参见图9，图9是本申请实施例提供的一种消息传输装置的结构图，如图9所示，消息传输装置900包括：

处理模块901，用于在目标层对目标内容进行安全处理，所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；

发送模块902，用于发送目标消息，所述目标消息包括所述安全处理的内容。

可选的，所述安全处理包括如下至少一项：

加密、完整性保护。

可选的，在所述目标内容包括多个内容的情况下，所述加密包括：

将所述多个内容进行串接，并对所述串接的内容进行加密；

和/或，在所述目标内容包括多个内容的情况下，所述完整性保护包括：

将所述多个内容进行串接，并对所述串接的内容进行完整性保护。

可选的，所述目标消息还包括：

第一子协议数据单元PDU或者第一子头，所述第一子PDU或者所述第一子头用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一子PDU或者所述第一子头通过所述第一子PDU或者所述第一子头在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，在所述目标消息中位于所述第一子PDU或者所述第一子头的第一侧的内容包括所述安全处理的内容；

和/或，在所述目标消息中位于所述第一子PDU或者所述第一子头的第二侧的内容包括未进行安全处理的内容；

所述第一侧和所述第二侧为相对的两侧。

可选的，所述第一子PDU或者所述第一子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

所述安全处理的内容对应的长度；

其中，在所述第一子PDU或者所述第一子头指示所述安全处理的内容对应的长度的情况下，通过所述第一子PDU或者所述第一子头在所述目标消息中的位置，以及所述安全处理的内容对应的长度指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一子PDU或者所述第一子头用于显式指示：所述用于加密的参数和用于完整性保护的参数中的至少一项；或者

所述第一子PDU或者所述第一子头通过所述目标消息的传输资源隐式指示：所述用于加密的参数和用于完整性保护的参数中的至少一项。

可选的，所述参数包括：序列号。

可选的，所述第一子PDU为第一媒体接入控制MAC子协议数据单元PDU，所述第一MAC子PDU包括第一MAC控制单元CE，所述第一MAC CE为用于指示如下至少一项的MAC CE：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一MAC CE还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流

所述安全处理的内容对应的长度；

其中，在所述第一MAC CE指示所述安全处理的内容对应的长度的情况下，所述第一MAC CE通过所述安全处理的内容对应的长度和所述第一MAC子PDU在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一子头为所述目标消息包括的第二MAC子PDU的MAC子头，所述第二MAC子PDU还包括所述安全处理的内容。

可选的，所述MAC子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

长度域，所述长度域用于指示所述第二MAC子PDU的载荷部分的长度，所述载荷部分包括所述安全处理的内容。

可选的，所述装置还包括：

接收模块，用于所述目标层接收处理指示，所述处理指示用于指示如下至少一项：

对所述目标内容进行安全处理，或者，不对所述目标内容进行安全处理；

需要安全处理的内容；

不需要安全处理的内容。

可选的，所述目标层包括如下至少一项：MAC层、RLC层；

在所述目标层包括所述MAC层的情况下，所述目标消息包括MAC PDU或者MAC传输块TB；

在所述目标层包括所述RLC层的情况下，所述目标消息包括RLC PDU。

可选的，在所述目标层包括所述MAC层的情况下，所述目标内容包括如下至少一项：

MAC服务数据单元SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU；

其中，所述MAC SDU包括：所述MAC层接收到的数据和所述MAC接收到的信令中的至少一项；

所述第二MAC CE为所述MAC层产生的信令。

上述消息传输装置可以提高通信的安全性。

本申请实施例中的资源指示装置可以是电子设备，例如具有操作系统的电子设备，也可以是电子设备中的部件，例如集成电路或芯片。例如：该电子设备可以是终端，也可以为除终端之外的其他设备。示例性的，终端可以包括但不限于本申请实施例所列举的终端的类型，其他设备可以为服务器、网络附属存储器(Network Attached Storage，NAS)等，本申请实施例不作具体限定。

本申请实施例提供的消息传输装置能够实现图2所示的方法实施例实现的各个过程，并达到相同的技术效果，为避免重复，这里不再赘述。

请参见图10，图10是本申请实施例提供的一种消息传输装置的结构图，如图10所示，消息传输装置1000包括：

接收模块1001，用于接收目标消息；

验证模块1002，用于在所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作；

其中，所述安全处理的内容包括：发送端在所述目标层对目标内容进行安全处理的内容；

所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层。

可选的，所述装置还包括如下至少一项：

第一丢弃模块，用于在所述安全验证操作表示安全验证失败的情况下，所述接收端的所述目标层丢弃所述安全处理的内容；

第一递交模块，用于所述接收端的所述目标层向高层递交所述安全验证操作得到的第一内容。

可选的，所述装置还包括如下至少一项：

第一通知模块，用于在所述接收端丢弃所述目标消息中的携带的内容的情况下，所述接收端的所述目标层通知高层有内容未通过安全验证；

第二通知模块，用于在所述接收端的所述目标层向高层递交所述安全验证操作得到的内容的情况下，所述接收端的所述目标层通知高层所述安全验证操作得到的内容已通过安全验证。

可选的，所述装置还包括：

第二递交模块，用于在所述目标层确定所述目标消息包括未进行安全处理的内容的情况下，所述接收端的所述目标层向高层递交所述目标层未进行安全验证的第二内容；

第二丢弃模块，用于所述接收端的高层对于所述目标层递交的所述第二内容进行丢弃，所述第二内容为需要所述目标层进行安全验证的内容。

可选的，所述安全处理包括如下至少一项：

加密、完整性保护；

所述安全验证操作包括如下至少一项：

解密、完整性保护验证。

可选的，所述目标消息还包括：

第一子协议数据单元PDU或者第一子头，所述第一子PDU或者所述第一子头用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置；

验证模块1002用于：在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作。

可选的，所述第一子PDU或者所述第一子头通过所述第一子PDU或者所述第一子头在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，在所述目标消息中位于所述第一子PDU或者所述第一子头的第一侧的内容包括所述安全处理的内容；

和/或，在所述目标消息中位于所述第一子PDU或者所述第一子头的第二侧的内容包括未进行安全处理的内容；

所述第一侧和所述第二侧为相对的两侧。

可选的，所述第一子PDU或者所述第一子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

所述安全处理的内容对应的长度；

验证模块1002用于：在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容，以及基于所述第一PDU或者所述第一子头确定所述安全处理的内容在所述目标消息的位置的情况下，所述接收端基于所述用于加密的参数、用于完整性保护的参数和用于完整性保护的比特流中的至少一项，在目标层对所述安全处理的内容进行安全验证操作；其中，在所述第一子PDU或者所述第一子头指示所述安全处理的内容对应的长度的情况下，所述接收端通过所述第一子PDU或者所述第一子头在所述目标消息中的位置，以及所述安全处理的内容对应的长度确定所述安全处理的内容在所述目标消息中的位置。

可选的，所述第一子PDU为第一媒体接入控制MAC子协议数据单元PDU，所述第一MAC子PDU包括第一MAC控制单元CE，所述第一MAC CE为用于指示如下至少一项的新MAC CE：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一MAC CE还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流

所述安全处理的内容对应的长度；

其中，在所述第一MAC CE指示所述安全处理的内容对应的长度的情况下，所述第一MAC CE通过所述安全处理的内容对应的长度和所述第一MAC子PDU在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一子头为所述目标消息包括的第二MAC子PDU的MAC子头，所述第二MAC子PDU还包括所述安全处理的内容。

可选的，所述MAC子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

长度域，所述长度域用于指示所述第二MAC子PDU的载荷部分的长度，所述载荷部分包括所述安全处理的内容。

可选的，所述目标层包括如下至少一项：MAC层、RLC层；

在所述目标层包括所述MAC层的情况下，所述目标消息包括MAC PDU或者MAC传输块TB；

在所述目标层包括所述RLC层的情况下，所述目标消息包括RLC PDU。

可选的，在所述目标层包括所述MAC层的情况下，所述目标内容包括如下至少一项：MAC服务数据单元SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU；

其中，所述MAC SDU包括：所述发送端的MAC层接收到的数据和所述MAC接收到的信令中的至少一项；

所述第二MAC CE为所述发送端的MAC层产生的信令。

上述消息传输装置可以提高通信的安全性。

本申请实施例中的消息传输装置可以是电子设备，例如具有操作系统的电子设备，也可以是电子设备中的部件，例如集成电路或芯片。该电子设备可以是终端或网络侧设备。

本申请实施例提供的消息传输装置能够实现图8所示的方法实施例实现的各个过程，并达到相同的技术效果，为避免重复，这里不再赘述。

可选的，如图11所示，本申请实施例还提供一种通信设备1100，包括处理器1101和存储器1102，存储器1102上存储有可在所述处理器1101上运行的程序或指令，例如，该通信设备1100为发送端时，该程序或指令被处理器1101执行时实现上述发送端侧的消息传输方法实施例的各个步骤，且能达到相同的技术效果。该通信设备1100为接收端时，该程序或指令被处理器1101执行时实现上述接收端的消息传输方法实施例的各个步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。

本申请实施例还提供一种通信设备，包括处理器及通信接口，其中，所述处理器用于在目标层对目标内容进行安全处理，所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；所述通信接口用于发送目标消息，所述目标消息包括所述安全处理的内容。或者，所述通信接口用于接收目标消息；所述处理器用于在所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作；其中，所述安全处理的内容包括：发送端在所述目标层对目标内容进行安全处理的内容；所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层。该通信设备实施例与上述测量信息反馈方法实施例对应，上述方法实施例的各个实施过程和实现方式均可适用于该通信设备实施例中，且能达到相同的技术效果。

具体地，图12为实现本申请实施例的一种通信设备的硬件结构示意图。

该通信设备1200包括但不限于：射频单元1201、网络模块1202、音频输出单元1203、输入单元1204、传感器1205、显示单元1206、用户输入单元1207、接口单元1208、存储器1209以及处理器1210等中的至少部分部件。

本领域技术人员可以理解，通信设备1200还可以包括给各个部件供电的电源(比如电池)，电源可以通过电源管理系统与处理器1210逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图12中示出的通信设备结构并不构成对通信设备的限定，通信设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，在此不再赘述。

应理解的是，本申请实施例中，输入单元1204可以包括图形处理单元(GraphicsProcessing Unit，GPU)12041和麦克风12042，图形处理单元12041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元1206可包括显示面板12061，可以采用液晶显示器、有机发光二极管等形式来配置显示面板12061。用户输入单元1207包括触控面板12071以及其他输入设备12072中的至少一种。触控面板12071，也称为触摸屏。触控面板12071可包括触摸检测装置和触摸控制器两个部分。其他输入设备12072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。

本申请实施例中，射频单元1201接收来自网络侧设备的下行数据后，可以传输给处理器1210进行处理；另外，射频单元1201可以向网络侧设备发送上行数据。通常，射频单元1201包括但不限于天线、放大器、收发信机、耦合器、低噪声放大器、双工器等。

存储器1209可用于存储软件程序或指令以及各种数据。存储器1209可主要包括存储程序或指令的第一存储区和存储数据的第二存储区，其中，第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外，存储器1209可以包括易失性存储器或非易失性存储器，或者，存储器1209可以包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(SynchronousDRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM，SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，DRRAM)。本申请实施例中的存储器1209包括但不限于这些和任意其它适合类型的存储器。

处理器1210可包括一个或多个处理单元；可选的，处理器1210集成应用处理器和调制解调处理器，其中，应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作，调制解调处理器主要处理无线通信信号，如基带处理器。可以理解的是，上述调制解调处理器也可以不集成到处理器1210中。

其中，处理器1210用于：在目标层对目标内容进行安全处理，所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；

射频单元1201，用于发送目标消息，所述目标消息包括所述安全处理的内容。

可选的，所述安全处理包括如下至少一项：

加密、完整性保护。

可选的，在所述目标内容包括多个内容的情况下，所述加密包括：

将所述多个内容进行串接，并对所述串接的内容进行加密；

和/或，在所述目标内容包括多个内容的情况下，所述完整性保护包括：

将所述多个内容进行串接，并对所述串接的内容进行完整性保护。

可选的，所述目标消息还包括：

第一子协议数据单元PDU或者第一子头，所述第一子PDU或者所述第一子头用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一子PDU或者所述第一子头通过所述第一子PDU或者所述第一子头在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，在所述目标消息中位于所述第一子PDU或者所述第一子头的第一侧的内容包括所述安全处理的内容；

和/或，在所述目标消息中位于所述第一子PDU或者所述第一子头的第二侧的内容包括未进行安全处理的内容；

所述第一侧和所述第二侧为相对的两侧。

可选的，所述第一子PDU或者所述第一子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

所述安全处理的内容对应的长度；

其中，在所述第一子PDU或者所述第一子头指示所述安全处理的内容对应的长度的情况下，通过所述第一子PDU或者所述第一子头在所述目标消息中的位置，以及所述安全处理的内容对应的长度指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一子PDU或者所述第一子头用于显式指示：所述用于加密的参数和用于完整性保护的参数中的至少一项；或者

所述第一子PDU或者所述第一子头通过所述目标消息的传输资源隐式指示：所述用于加密的参数和用于完整性保护的参数中的至少一项。

可选的，所述参数包括：序列号。

可选的，所述第一子PDU为第一媒体接入控制MAC子协议数据单元PDU，所述第一MAC子PDU包括第一MAC控制单元CE，所述第一MAC CE为用于指示如下至少一项的MAC CE：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一MAC CE还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流

所述安全处理的内容对应的长度；

其中，在所述第一MAC CE指示所述安全处理的内容对应的长度的情况下，所述第一MAC CE通过所述安全处理的内容对应的长度和所述第一MAC子PDU在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一子头为所述目标消息包括的第二MAC子PDU的MAC子头，所述第二MAC子PDU还包括所述安全处理的内容。

可选的，所述MAC子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

长度域，所述长度域用于指示所述第二MAC子PDU的载荷部分的长度，所述载荷部分包括所述安全处理的内容。

可选的，处理器1210还用于：

所述目标层接收处理指示，所述处理指示用于指示如下至少一项：

对所述目标内容进行安全处理，或者，不对所述目标内容进行安全处理；

需要安全处理的内容；

不需要安全处理的内容。

可选的，所述目标层包括如下至少一项：MAC层、RLC层；

在所述目标层包括所述MAC层的情况下，所述目标消息包括MAC PDU或者MAC传输块TB；

在所述目标层包括所述RLC层的情况下，所述目标消息包括RLC PDU。

可选的，在所述目标层包括所述MAC层的情况下，所述目标内容包括如下至少一项：

MAC服务数据单元SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU；

其中，所述MAC SDU包括：所述MAC层接收到的数据和所述MAC接收到的信令中的至少一项；

所述第二MAC CE为所述MAC层产生的信令。

需要说明的是，本实施例中以是发送端为终端进行举例说明。

上述通信设备可以提高通信的安全性。

具体地，本申请实施例还提供了一种通信设备。如图13所示，该通信设备1300包括：天线1301、射频装置1302、基带装置1303、处理器1304和存储器1305。天线1301与射频装置1302连接。在上行方向上，射频装置1302通过天线1301接收信息，将接收的信息发送给基带装置1303进行处理。在下行方向上，基带装置1303对要发送的信息进行处理，并发送给射频装置1302，射频装置1302对收到的信息进行处理后经过天线1301发送出去。

以上实施例中通信设备执行的方法可以在基带装置1303中实现，该基带装置1303包括基带处理器。

基带装置1303例如可以包括至少一个基带板，该基带板上设置有多个芯片，如图13所示，其中一个芯片例如为基带处理器，通过总线接口与存储器1305连接，以调用存储器1305中的程序，执行以上方法实施例中所示的网络设备操作。

该通信设备还可以包括网络接口1306，该接口例如为通用公共无线接口(commonpublic radio interface，CPRI)。

具体地，本发明实施例的通信设备1300还包括：存储在存储器1305上并可在处理器1304上运行的指令或程序，处理器1304调用存储器1305中的指令或程序执行图10所示各模块执行的方法，并达到相同的技术效果，为避免重复，故不在此赘述。

其中，射频装置1302，用于接收目标消息；

处理器1304，用于在所述目标消息包括安全处理的内容的情况下，在目标层对所述安全处理的内容进行安全验证操作；

其中，所述安全处理的内容包括：发送端在所述目标层对目标内容进行安全处理的内容；

所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层。

可选的，处理器1304还用于如下至少一项：

在所述安全验证操作表示安全验证失败的情况下，所述接收端的所述目标层丢弃所述安全处理的内容；

所述接收端的所述目标层向高层递交所述安全验证操作得到的第一内容。

可选的，处理器1304还用于如下至少一项：

在所述接收端丢弃所述目标消息中的携带的内容的情况下，所述接收端的所述目标层通知高层有内容未通过安全验证；

在所述接收端的所述目标层向高层递交所述安全验证操作得到的内容的情况下，所述接收端的所述目标层通知高层所述安全验证操作得到的内容已通过安全验证。

可选的，处理器1304还用于：

在所述目标层确定所述目标消息包括未进行安全处理的内容的情况下，所述接收端的所述目标层向高层递交所述目标层未进行安全验证的第二内容；

所述接收端的高层对于所述目标层递交的所述第二内容进行丢弃，所述第二内容为需要所述目标层进行安全验证的内容。

可选的，所述安全处理包括如下至少一项：

加密、完整性保护；

所述安全验证操作包括如下至少一项：

解密、完整性保护验证。

可选的，所述目标消息还包括：

第一子协议数据单元PDU或者第一子头，所述第一子PDU或者所述第一子头用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置；

所述在所述目标消息包括安全处理的内容的情况下，在目标层对所述安全处理的内容进行安全验证操作，包括：

在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容的情况下，在目标层对所述安全处理的内容进行安全验证操作。

可选的，所述第一子PDU或者所述第一子头通过所述第一子PDU或者所述第一子头在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，在所述目标消息中位于所述第一子PDU或者所述第一子头的第一侧的内容包括所述安全处理的内容；

和/或，在所述目标消息中位于所述第一子PDU或者所述第一子头的第二侧的内容包括未进行安全处理的内容；

所述第一侧和所述第二侧为相对的两侧。

可选的，所述第一子PDU或者所述第一子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

所述安全处理的内容对应的长度；

所述在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容的情况下，在目标层对所述安全处理的内容进行安全验证操作，包括：

在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容，以及基于所述第一PDU或者所述第一子头确定所述安全处理的内容在所述目标消息的位置的情况下，基于所述用于加密的参数、用于完整性保护的参数和用于完整性保护的比特流中的至少一项，在目标层对所述安全处理的内容进行安全验证操作；其中，在所述第一子PDU或者所述第一子头指示所述安全处理的内容对应的长度的情况下，所述接收端通过所述第一子PDU或者所述第一子头在所述目标消息中的位置，以及所述安全处理的内容对应的长度确定所述安全处理的内容在所述目标消息中的位置。

可选的，所述第一子PDU为第一媒体接入控制MAC子协议数据单元PDU，所述第一MAC子PDU包括第一MAC控制单元CE，所述第一MAC CE为用于指示如下至少一项的新MAC CE：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一MAC CE还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流

所述安全处理的内容对应的长度；

其中，在所述第一MAC CE指示所述安全处理的内容对应的长度的情况下，所述第一MAC CE通过所述安全处理的内容对应的长度和所述第一MAC子PDU在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

可选的，所述第一子头为所述目标消息包括的第二MAC子PDU的MAC子头，所述第二MAC子PDU还包括所述安全处理的内容。

可选的，所述MAC子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

长度域，所述长度域用于指示所述第二MAC子PDU的载荷部分的长度，所述载荷部分包括所述安全处理的内容。

可选的，所述目标层包括如下至少一项：MAC层、RLC层；

在所述目标层包括所述MAC层的情况下，所述目标消息包括MAC PDU或者MAC传输块TB；

在所述目标层包括所述RLC层的情况下，所述目标消息包括RLC PDU。

可选的，在所述目标层包括所述MAC层的情况下，所述目标内容包括如下至少一项：MAC服务数据单元SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU；

其中，所述MAC SDU包括：所述发送端的MAC层接收到的数据和所述MAC接收到的信令中的至少一项；

所述第二MAC CE为所述发送端的MAC层产生的信令。

需要说明的是，本实施例中以是接收端为网络侧设备进行举例说明。

上述通信设备可以提高通信的安全性。

本申请实施例还提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现本申请实施例提供的上述消息传输方法的步骤。

其中，所述处理器为上述实施例中所述的终端中的处理器。所述可读存储介质，包括计算机可读存储介质，如计算机只读存储器ROM、随机存取存储器RAM、磁碟或者光盘等。

本申请实施例另提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现上述消息传输方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片，系统芯片，芯片系统或片上系统芯片等。

本申请实施例另提供了一种计算机程序/程序产品，所述计算机程序/程序产品被存储在存储介质中，所述计算机程序/程序产品被至少一个处理器执行以实现上述消息传输方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本申请实施例还提供了一种消息传输系统，包括：发送端及接收端，所述发送端可用于执行如本申请实施例提供的发送端侧的消息传输方法的步骤，所述网络侧设备可用于执行如本申请实施例提供的接收端侧的消息传输方法的步骤。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims (35)

1.一种消息传输方法，其特征在于，包括：

发送端在目标层对目标内容进行安全处理，所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；

所述发送端发送目标消息，所述目标消息包括所述安全处理的内容。

2.如权利要求1所述的方法，其特征在于，所述安全处理包括如下至少一项：

加密、完整性保护。

3.如权利要求2所述的方法，其特征在于，在所述目标内容包括多个内容的情况下，所述加密包括：

将所述多个内容进行串接，并对所述串接的内容进行加密；

和/或，在所述目标内容包括多个内容的情况下，所述完整性保护包括：

将所述多个内容进行串接，并对所述串接的内容进行完整性保护。

4.如权利要求1至3中任一项所述的方法，其特征在于，所述目标消息还包括：

第一子协议数据单元PDU或者第一子头，所述第一子PDU或者所述第一子头用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

5.如权利要求4所述的方法，其特征在于，所述第一子PDU或者所述第一子头通过所述第一子PDU或者所述第一子头在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

6.如权利要求4或5所述的方法，其特征在于，在所述目标消息中位于所述第一子PDU或者所述第一子头的第一侧的内容包括所述安全处理的内容；

和/或，在所述目标消息中位于所述第一子PDU或者所述第一子头的第二侧的内容包括未进行安全处理的内容；

所述第一侧和所述第二侧为相对的两侧。

7.如权利要求4至6中任一项所述的方法，其特征在于，所述第一子PDU或者所述第一子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

所述安全处理的内容对应的长度；

其中，在所述第一子PDU或者所述第一子头指示所述安全处理的内容对应的长度的情况下，通过所述第一子PDU或者所述第一子头在所述目标消息中的位置，以及所述安全处理的内容对应的长度指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

8.如权利要求7所述的方法，其特征在于，所述第一子PDU或者所述第一子头用于显式指示：所述用于加密的参数和用于完整性保护的参数中的至少一项；或者

所述第一子PDU或者所述第一子头通过所述目标消息的传输资源隐式指示：所述用于加密的参数和用于完整性保护的参数中的至少一项。

9.如权利要求7所述的方法，其特征在于，所述参数包括：序列号。

10.如权利要求4至9中任一项所述的方法，其特征在于，所述第一子PDU为第一媒体接入控制MAC子协议数据单元PDU，所述第一MAC子PDU包括第一MAC控制单元CE，所述第一MACCE为用于指示如下至少一项的MAC CE：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

11.如权利要求10所述的方法，其特征在于，所述第一MAC CE还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流

所述安全处理的内容对应的长度；

其中，在所述第一MAC CE指示所述安全处理的内容对应的长度的情况下，所述第一MACCE通过所述安全处理的内容对应的长度和所述第一MAC子PDU在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

12.如权利要求4至9中任一项所述的方法，其特征在于，所述第一子头为所述目标消息包括的第二MAC子PDU的MAC子头，所述第二MAC子PDU还包括所述安全处理的内容。

13.如权利要求12所述的方法，其特征在于，所述MAC子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

长度域，所述长度域用于指示所述第二MAC子PDU的载荷部分的长度，所述载荷部分包括所述安全处理的内容。

14.如权利要求1至13中任一项所述的方法，其特征在于，所述方法还包括：

所述发送端的所述目标层接收处理指示，所述处理指示用于指示如下至少一项：

对所述目标内容进行安全处理，或者，不对所述目标内容进行安全处理；

需要安全处理的内容；

不需要安全处理的内容。

15.如权利要求1至14中任一项所述的方法，其特征在于，所述目标层包括如下至少一项：MAC层、RLC层；

在所述目标层包括所述MAC层的情况下，所述目标消息包括MAC PDU或者MAC传输块TB；

在所述目标层包括所述RLC层的情况下，所述目标消息包括RLC PDU。

16.如权利要求15所述的方法，其特征在于，在所述目标层包括所述MAC层的情况下，所述目标内容包括如下至少一项：

MAC服务数据单元SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU；

其中，所述MAC SDU包括：所述MAC层接收到的数据和所述MAC接收到的信令中的至少一项；

所述第二MAC CE为所述MAC层产生的信令。

17.一种消息传输方法，其特征在于，包括：

接收端接收目标消息；

在所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作；

其中，所述安全处理的内容包括：发送端在所述目标层对目标内容进行安全处理的内容；

所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层。

18.如权利要求17所述的方法，其特征在于，所述方法还包括如下至少一项：

在所述安全验证操作表示安全验证失败的情况下，所述接收端的所述目标层丢弃所述安全处理的内容；

所述接收端的所述目标层向高层递交所述安全验证操作得到的第一内容。

19.如权利要求18所述的方法，其特征在于，所述方法还包括如下至少一项：

在所述接收端丢弃所述目标消息中的携带的内容的情况下，所述接收端的所述目标层通知高层有内容未通过安全验证；

在所述接收端的所述目标层向高层递交所述安全验证操作得到的内容的情况下，所述接收端的所述目标层通知高层所述安全验证操作得到的内容已通过安全验证。

20.如权利要求17至19中任一项所述的方法，其特征在于，所述方法还包括：

在所述目标层确定所述目标消息包括未进行安全处理的内容的情况下，所述接收端的所述目标层向高层递交所述目标层未进行安全验证的第二内容；

所述接收端的高层对于所述目标层递交的所述第二内容进行丢弃，所述第二内容为需要所述目标层进行安全验证的内容。

21.如权利要求17至20中任一项所述的方法，其特征在于，所述安全处理包括如下至少一项：

加密、完整性保护；

所述安全验证操作包括如下至少一项：

解密、完整性保护验证。

22.如权利要求17至21中任一项所述的方法，其特征在于，所述目标消息还包括：

第一子协议数据单元PDU或者第一子头，所述第一子PDU或者所述第一子头用于指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置；

所述在所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作，包括：

在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作。

23.如权利要求22所述的方法，其特征在于，所述第一子PDU或者所述第一子头通过所述第一子PDU或者所述第一子头在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

24.如权利要求23所述的方法，其特征在于，在所述目标消息中位于所述第一子PDU或者所述第一子头的第一侧的内容包括所述安全处理的内容；

和/或，在所述目标消息中位于所述第一子PDU或者所述第一子头的第二侧的内容包括未进行安全处理的内容；

所述第一侧和所述第二侧为相对的两侧。

25.如权利要求22至24中任一项所述的方法，其特征在于，所述第一子PDU或者所述第一子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

所述安全处理的内容对应的长度；

所述在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容的情况下，所述接收端在目标层对所述安全处理的内容进行安全验证操作，包括：

在所述接收端基于所述第一PDU或者所述第一子头确定所述目标消息包括安全处理的内容，以及基于所述第一PDU或者所述第一子头确定所述安全处理的内容在所述目标消息的位置的情况下，所述接收端基于所述用于加密的参数、用于完整性保护的参数和用于完整性保护的比特流中的至少一项，在目标层对所述安全处理的内容进行安全验证操作；其中，在所述第一子PDU或者所述第一子头指示所述安全处理的内容对应的长度的情况下，所述接收端通过所述第一子PDU或者所述第一子头在所述目标消息中的位置，以及所述安全处理的内容对应的长度确定所述安全处理的内容在所述目标消息中的位置。

26.如权利要求22至25中任一项所述的方法，其特征在于，所述第一子PDU为第一媒体接入控制MAC子协议数据单元PDU，所述第一MAC子PDU包括第一MAC控制单元CE，所述第一MAC CE为用于指示如下至少一项的新MAC CE：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

27.如权利要求26所述的方法，其特征在于，所述第一MAC CE还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流

所述安全处理的内容对应的长度；

其中，在所述第一MAC CE指示所述安全处理的内容对应的长度的情况下，所述第一MACCE通过所述安全处理的内容对应的长度和所述第一MAC子PDU在所述目标消息中的位置指示如下至少一项：

所述安全处理的内容在所述目标消息中的位置；

所述目标层未进行安全处理的内容在所述目标消息中的位置。

28.如权利要求22至27中任一项所述的方法，其特征在于，所述第一子头为所述目标消息包括的第二MAC子PDU的MAC子头，所述第二MAC子PDU还包括所述安全处理的内容。

29.如权利要求28所述的方法，其特征在于，所述MAC子头还用于指示如下至少一项：

用于加密的参数；

用于完整性保护的参数；

用于完整性保护的比特流；

长度域，所述长度域用于指示所述第二MAC子PDU的载荷部分的长度，所述载荷部分包括所述安全处理的内容。

30.如权利要求17至29中任一项所述的方法，其特征在于，所述目标层包括如下至少一项：MAC层、RLC层；

在所述目标层包括所述MAC层的情况下，所述目标消息包括MAC PDU或者MAC传输块TB；

在所述目标层包括所述RLC层的情况下，所述目标消息包括RLC PDU。

31.如权利要求30所述的方法，其特征在于，在所述目标层包括所述MAC层的情况下，所述目标内容包括如下至少一项：MAC服务数据单元SDU对应的MAC子PDU、第二MAC CE对应的MAC子PDU；

其中，所述MAC SDU包括：所述发送端的MAC层接收到的数据和所述MAC接收到的信令中的至少一项；

所述第二MAC CE为所述发送端的MAC层产生的信令。

32.一种消息传输装置，其特征在于，包括：

处理模块，用于在目标层对目标内容进行安全处理，所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层；其中，在所述目标层包括所述PDCP层的情况下，所述目标内容包括所述PDCP层产生的数据和信令中的至少一项；在所述目标层包括所述PDCP层以下的协议层的情况下，所述目标内容包括如下至少一项：所述目标层接收到的上层或高层数据、所述目标层接收到的上层或高层信令、所述目标层产生的信令；

发送模块，用于发送目标消息，所述目标消息包括所述安全处理的内容。

33.一种消息传输装置，其特征在于，包括：

接收模块，用于接收目标消息；

验证模块，用于在所述目标消息包括安全处理的内容的情况下，在目标层对所述安全处理的内容进行安全验证操作；

其中，所述安全处理的内容包括：发送端在所述目标层对目标内容进行安全处理的内容；

所述目标层包括：分组数据汇聚协议PDCP层，和/或，PDCP层以下的协议层。

34.一种通信设备，其特征在于，包括处理器和存储器，所述存储器存储可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如权利要求1至16任一项所述的消息传输方法的步骤，或者，所述程序或指令被所述处理器执行时实现如权利要求17至31任一项所述的消息传输方法的步骤。

35.一种可读存储介质，其特征在于，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如权利要求1至16任一项所述的消息传输方法的步骤，或者，所述程序或指令被处理器执行时实现如权利要求17至31任一项所述的消息传输方法的步骤。