WO2011035733A1

WO2011035733A1 - 数据传输方法、装置及系统

Info

Publication number: WO2011035733A1
Application number: PCT/CN2010/077342
Authority: WO
Inventors: 陈璟; 王可; 马慧; 蔺波; 张爱琴; 张冬梅; 毕晓宇
Original assignee: 华为技术有限公司
Priority date: 2009-09-28
Filing date: 2010-09-27
Publication date: 2011-03-31
Also published as: PT2900033T; EP2485561A4; ES2612564T3; EP2900033A1; CN103188681B; EP2485561B1; CN102036256B; US9232404B2; US20120182929A1; CN102036256A; CN103188681A; EP2485561A1; EP2900033B1

Description

数据传输方法、装置及系统本申请要求于 2009 年 9 月 28 日提交中国专利局、申请号为 200910093753.0、发明名称为"数据传输方法、装置及系统"的中国专利申请和于 2010年 2月 3 日提交中国专利局、申请号为 201010105867.5、发明名称为"数据传输方法、装置及系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明涉及通信技术领域，特别涉及一种数据传输方法、装置及系统。背景技术随着通讯技术的不断发展，中继（Relay )技术被作为一种提高小区容量和扩展覆盖范围的关键技术提出。通过在网络中部署中继站（ Relay Node；以下简称： RN )，对基站和终端之间的无线通信信号进行增强，可以有效的解决现有蜂窝系统所面临的问题。同时，由于中继站具有软件成本、硬件成本以及部署成本相对较低和部署灵活等特性，从而被越来越多的运营商和设备厂商所关注和研究。

简而言之，中继站是中转基站和终端之间的数据的站点，使得无线信号可以经过多次传输（多跳）到达目的地。在接入了中继站之后，常规基站可以被称为施主基站（Donor evolved NodeB; 以下简称： DeNB )。在第三代合作伙伴计划（ Third Generation Partnership Project; 以下简称： 3GPP ) 标准中，中继站与施主基站之间的无线接口为 Un接口，用户设备与中继站之间的无线接口为 Uu接口。

在现有技术提供的中继站实现方案中，中继站采用与用户设备类似的方式接入网络；中继站与网络建立信令承载和用户数据承载；所有与驻留在中继站上的用户设备相关的信令和数据都通过中继站和网络之间的用户数据承载进行传送。但是用户数据承载只能提供加密保护，因此与驻留在中继站上的用户设备相关的控制面信令在中继站和施主基站之间传输时，将只能获得加密保护。

与驻留在中继站上的用户设备相关的控制面信令包括用户设备与网络侧交互的接入层（ Access Stratum;以下简称： AS )信令、非接入层（ Non Access Stratum; 以下简称： NAS )信令；此外还包括为了能够向用户设备提供业务，在网络侧内部交互的信令，如长期演进（Long Term Evolution; 以下简称： LTE ) 系统中定义的 SI接口信令等。其中， S1接口信令包括包含敏感信息的信令，如传送用于保护 Uu接口通信的密钥 Kenb的信令。由于这些信令只能在中继站的用户数据承载上传输，因此根据现有的中继站实现方案这些信令只能获得加密保护；在具有加密保护的前提下，攻击者仍然可以通过篡改信令的方式来操纵中继站获得的密钥 Kenb，从而可能导致拒绝服务等攻击。发明内容

本发明实施例提供一种数据传输方法、装置及系统，以实现在中继站与施主基站之间传输与驻留在该中继站上的用户设备相关的控制面信令时，为该控制面信令提供更加完善的保护。

本发明实施例提供一种数据传输方法，包括：

确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令；通过在所述中继站与施主基站之间建立的第一用户数据承载传输所述待传输数据，所述第一用户数据承载为所述待传输数据提供完整性保护。

本发明实施例还提供一种中继站，能够与施主基站进行通信，包括：承载建立模块，用于在所述中继站与所述施主基站之间建立第一用户数据承载；

第一类型识别模块，用于确定待传输上行数据的数据类型；

第一传输模块，用于当所述第一类型识别模块确定所述待传输上行数据的数据类型为与驻留在所述中继站上的用户设备相关的控制面信令时，通过所述承载建立模块建立的第一用户数据承载将所述待传输上行数据传输至所述施主基站，所述第一用户数据承载为所述待传输上行数据提供完整性保护。

本发明实施例还提供一种演进分组核心网节点，能够通过施主基站与中继站进行通信，包括：

第二类型识别模块，用于确定待传输下行数据的数据类型；

第三传输模块，用于当所述第二类型识别模块确定所述待传输下行数据的数据类型为与驻留在所述中继站上的用户设备相关的控制面信令时，通过所述施主基站与所述演进分组核心网节点之间的第一传输承载将所述待传输下行数据发送至所述施主基站，以便所述施主基站通过所述施主基站与所述中继站之间与所述第一传输承载对应的第一用户数据承载，将所述待传输下行数据发送至所述中继站，所述第一用户数据承载为所述待传输下行数据提供完整性保护。

本发明实施例还提供一种数据传输系统，包括：施主基站、上述中继站和上述演进分组核心网节点。

本发明实施例还提供一种施主基站，能够与中继站进行通信，包括：第三类型识别模块，用于确定待传输下行数据的数据类型；

第五传输模块，用于当所述第三类型识别模块确定所述待传输下行数据的数据类型为与驻留在所述中继站上的用户设备相关的控制面信令时，通过所述中继站与所述施主基站之间的第一用户数据承载将所述待传输下行数据传输至所述中继站，所述第一用户数据承载为所述待传输下行数据提供完整性保护。

本发明实施例还提供一种数据传输系统，其特征在于，包括：上述中继站和上述施主基站。

本发明实施例还提供一种数据传输方法，包括：

确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令；通过中继站与网络侧设备之间的因特网协议安全关联对所述待传输数据进行完整性保护；性保护之后的待传输数据。

本发明实施例还提供一种数据传输装置，包括：

第四类型识别模块，用于确定待传输数据的数据类型；

保护模块，用于当所述第四类型确定模块确定所述待传输数据的数据类型为与驻留在中继站上的用户设备相关的控制面信令时，通过中继站与网络侧设备之间的因特网协议安全关联对所述待传输数据进行完整性保护；据承载传输所述保护模块进行完整性保护之后的待传输数据。

本发明实施例通过中继站与施主基站之间的第一用户数据承载传输与驻留在中继站上的用户设备相关的控制面信令，该第一用户数据承载在中继站与施主基站之间为该控制面信令提供完整性保护；从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间传输时，能够获得完整性保护。附图说明图 1为本发明数据传输方法一个实施例的流程图；

图 2为本发明数据传输方法另一个实施例的流程图；

图 3 ( a )为本发明信令面协议栈一个实施例的示意图；

图 3 ( b )为本发明用户面协议栈一个实施例的示意图；

图 4为本发明数据传输方法再一个实施例的流程图；

图 5为本发明数据传输方法又一个实施例的流程图；

图 6 ( a )为本发明信令面协议栈另一个实施例的示意图；

图 6 ( b )为本发明用户面协议栈另一个实施例的示意图；

图 7为本发明数据传输方法又再一个实施例的流程图；

图 8为本发明数据传输方法再又一个实施例的流程图；

图 9为本发明中继站一个实施例的结构示意图；

图 10为本发明演进分组核心网节点一个实施例的结构示意图;

图 11为本发明施主基站一个实施例的结构示意图；

图 12为本发明数据传输系统一个实施例的结构示意图；

图 13为本发明数据传输系统另一个实施例的结构示意图；

图 14为本发明数据传输装置一个实施例的结构示意图。

具体实施方式图 1为本发明数据传输方法一个实施例的流程图，如图 1所示，该实施例包括：

步骤 101，确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令。

具体地，可以解析待传输数据的数据包头中的标识位，根据该标识位的值确定待传输数据是与驻留在中继站上的用户设备相关的控制面信令；上述标识位可以包括：协议（ Protocol ) /下一数据包头（ next header )字段、源因特网协议（Internet Protocol; 以下简称： IP )地址、目的 IP地址、隧道端点标识（Tunnel Endpoint Identifier; 以下简称： TEID )和分组数据汇聚协议 ( Packet Data Convergence Protocol; 以下简称： PDCP ) 头控制面 / 用户面（ Control plane or User plane; 以下简称： C/U )指示之一或组合；其中， C/U指示用于指示 PDCP包中传输的是信令还是用户数据。

步骤 102，通过在中继站与施主基站之间建立的第一用户数据承载传输上述待传输数据，其中，第一用户数据承载为该待传输数据提供完整性保护。

上述提供完整性保护的方法包括：中继站在接入施主基站的过程中，中继站与施主基站协商完整性算法和完整性密钥等安全上下文信息；中继站和施主基站可以通过这些安全上下文信息为第一用户数据承载上传输的数据提供完整性保护，从而使得第一用户数据承载具备提供完整性保护的能力。

在本实施例的一种实现方式中，可以使用专用的数据无线承载（Data Radio Bearer; 以下简称： DRB )来承载信令并进行完整性保护，其中，该专用的 DRB 只承载信令，不承载数据。本实施例在中继链路采用专用的 DRB承载上层信令，该中继链路的专用的 DRB是第一用户数据承载的一部分。

在这种实现方式中，确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令之后，中继链路的发送端设备获取为第一用户数据承载设置的控制指示，并根据该控制指示执行通过在中继站与施主基站之间建立的第一用户数据承载传输待传输数据的步骤；具体地，根据该控制指示执行通过在中继站与施主基站之间建立的第一用户数据承载传输待传输数据的步骤可以为：才艮据该控制指示将 PDCP对等层的属性配置为启用完整性保护或该待传输数据为与驻留在中继站上的用户设备相关的控制面信令；并根据配置的 PDCP对等层的属性，执行通过在中继站与施主基站之间建立的第一用户数据承载传输该待传输数据的步骤。其中，当中继链路的发送端设备为施主基站时，中继链路的接收端设备为中继站；或者，当中继链路的发送端设备为中继站时，中继链路的接收端设备为施主基站。

具体地，在建立第一用户数据承载时，中继站的分组数据网关为第一用户数据承载设置控制指示，该控制指示用于指示中继链路的发送端设备的 PDCP 实体对待传输数据提供完整性保护；或者，该控制指示用于指示中继链路的接收端设备的 PDCP 实体对接收到的数据进行完整性检测。中继站的分组数据网关可以通过 S5消息将该控制指示发送至中继站的服务网关，中继站的服务网关可以通过 Sl l 消息将该控制指示发送至中继站的移动性管理实体，中继站的移动性管理实体可以通过 S1 应用协议（S1

Application Protocol; 以下简称： S 1 AP )消息将该控制指示发送至施主基站，施主基站可以通过无线资源控制（ Radio Resource Control; 以下简称： RRC ) 消息将该控制指示发送至中继站，从而施主基站和中继站可以获取为第一用户数据承载设置的控制指示。

然后，施主基站和中继站各自根据该控制指示，配置中继链路的专用的 DRB的 PDCP对等层的属性，该中继链路的专用的 DRB的 PDCP对等层的属性可以包括：启用完整性保护或待传输数据为与驻留在中继站上的用户设备相关的控制面信令。

当该 PDCP对等层的属性被配置为启用完整性保护时，中继链路的发送端设备的 PDCP 实体在处理待传输数据时，为该待传输数据提供完整性保护；当该 PDCP对等层的属性被配置为待传输数据为与驻留在中继站上的用户设备相关的控制面信令时，中继链路的发送端设备的 PDCP 实体在处理待传输数据时，为该待传输数据提供完整性保护。

以上仅是控制指示的一种设置方式，本发明实施例并不仅限于此，中继站的分组数据网关还可以设置控制指示用于指示中继链路的发送端设备的 PDCP 实体是否对待传输数据提供完整性保护；或者，该控制指示用于指示中继链路的接收端设备的 PDCP 实体是否对接收到的数据进行完整性检测。相应地，中继链路的专用的 DRB的 PDCP对等层的属性可以包括：启用完整性保护、不启用完整性保护、待传输数据为与驻留在中继站上的用户设备相关的控制面信令或者待传输数据为与驻留在中继站上的用户设备相关的用户面数据。当该 PDCP对等层的属性被配置为启用完整性保护时，中继链路的发送端设备的 PDCP 实体在处理待传输数据时，为该待传输数据提供完整性保护；反之当该 PDCP对等层被配置为不启用完整性保护时，则发送端设备的 PDCP 实体不为待传输数据提供完整性保护；对于接收端设备的 PDCP 实体，相应的动作是对待传输数据进行完整性检测，在此不再赘述。

当该 PDCP对等层的属性被配置为待传输数据为与驻留在中继站上的用户设备相关的控制面信令时，中继链路的发送端设备的 PDCP 实体在处理待传输数据时，为该待传输数据提供完整性保护。反之当该 PDCP对等层被配置为待传输数据为与驻留在中继站上的用户设备相关的用户面数据时，则发送端设备的 PDCP 实体不为待传输数据提供完整性保护；对于接收端设备的 PDCP 实体，相应的动作是对待传输数据进行完整性检测，在此不再赘述。

在本实施例的另一种实现方式中，可以使用共用的 DRB来承载信令并进行完整性保护，其中，该共用的 DRB既承载信令，又承载数据，从而不需要扩展中继链路的 DRB 的数量。本实施例在中继链路采用共用的 DRB 承载上层信令，该中继链路的共用的 DRB是第一用户数据承载的一部分。

中继链路的发送端设备的 PDCP 实体在处理待传输数据时，可以对待传输数据的数据类型进行检测，当根据检测结果确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令时，该中继链路的发送端设备的 PDCP实体为该待传输数据提供完整性保护，并在待传输数据中携带控制指示，该控制指示用于指示待传输数据进行了完整性保护，以便接收到该待传输数据的设备可以根据该控制指示对接收到的待传输数据进行完整性检测。具体地，该控制指示可以携带在 PDCP协议数据单元（ Protocol Data Unit; 以下简称： PDU ) 中，并将该控制指示设置为打开，用于指示中继链路的发送端设备的 PDCP 实体对该待传输数据进行了完整性保护；中继链路的接收端设备的 PDCP实体在处理 PDCP PDU时，可以根据 PDCP PDU中的控制指示进行完整性检测，即当控制指示为打开时，接收端设备的 PDCP 实体进行完整性检测。当然本发明实施例并不仅限于此，以上只是设置控制指示的一种示例，该控制指示还可以其他方式设置，只要可以指示出中继链路的发送端设备的 PDCP 实体是否执行了完整性保护即可，本发明实施例对控制指示的设置方式不作限定。

为了实现对待传输数据的数据类型进行检测， PDCP实体需增加数据包类型检测功能，用于检测出待传输数据是与驻留在中继站上的用户设备相关的控制面信令还是与驻留在中继站上的用户设备相关的用户面数据。检测待传输数据的数据类型的方法，是一种预设的规则，发送端设备或接收端设备的 PDCP 实体可以应用这个规则，区分出待传输数据是与驻留在中继站上的用户设备相关的控制面信令还是与驻留在中继站上的用户设备相关的用户面数据。具体地，检测待传输数据的数据类型的方法可以包括： IP 数据头服务类型标识法或 IP数据头上层协议标识法。

( 1 ) IP数据头服务类型标识法：

在 IP数据头的服务类型（Type of Service; 以下简称： TOS )字段中的可靠性（Reliability ) 字段和 /或延迟（delay ) 字段设置：可靠性字段和 /或延迟字段的值等于 1 表示待传输数据是与驻留在中继站上的用户设备相关的控制面信令，可靠性字段和 /或延迟字段的值等于 0表示待传输数据是与驻留在中继站上的用户设备相关的用户面数据；当然本发明实施例并不仅限于此，还可采用其他设置方式表示待传输数据是与驻留在中继站上的用户设备相关的控制面信令还是与驻留在中继站上的用户设备相关的用户面数据，本发明实施例对此不作限定。

本实施例中，信令的发出者发送信令时，将 IP数据头的服务类型字段的可靠性字段和 /或延迟字段设置为 1，该信令的发出者可以是用户设备的移动性管理实体、中继站的分组数据网关、施主基站或中继站；数据的发出者发送数据时，将 IP数据头的服务类型字段的可靠性字段和 /或延迟字段设置为 0。

中继链路的发送端设备的 PDCP 实体，收到待传输数据之后，可以根据该待传输数据的 IP数据头的服务类型字段的可靠性字段和 /或延迟字段的值，确定该待传输数据是与驻留在中继站上的用户设备相关的控制面信令还是与驻留在中继站上的用户设备相关的用户面数据。

( 2 ) IP数据头上层协议标识法：

由于在中继系统中，信令先采用流控制传输协议（ Stream Control Transmission Protocol; 以下简称： SCTP ) 7|载，进而采用 IP 载；数据先采用用户数据报协议 ( User Datagram Protocol; 以下简称： UDP )承载，进而采用 IP承载。利用 IP数据头的上层协议标识，可以标识出上层协议是 SCTP还是 UDP，进而可以确定更上层是信令还是数据。所以中继链路的发送端设备的 PDCP实体，收到待传输数据之后，可以检测 IP数据头的上层协议标识，如果标识上层协议为 SCTP，则可以确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令；如果标识上层协议为 UDP，则可以确定待传输数据为与驻留在中继站上的用户设备相关的用户面数据。

当然本发明实施例并不仅限于此，还可以采用其他方法检测待传输数据的数据类型，只要可以检测出待传输数据的数据类型，且发送端设备和接收端设备采用一致的检测方法即可，本发明实施例对此不作限定。

进一步地，中继链路的 PDCP实体一旦检测出待传输数据的数据类型，还可以进一步利用检测结果，进行优先级调度处理，例如：可以优先调度与驻留在中继站上的用户设备相关的控制面信令，从而实现一个 DRB上的不同优先级处理。

本实施例还可以包括，当确定待传输数据为与驻留在中继站上的用户设备相关的用户面数据时，通过在该中继站与施主基站之间建立的第二用户数据承载传输上述待传输数据，第二用户数据承载为该待传输数据提供加密保护。具体地，确定待传输数据为与驻留在中继站上的用户设备相关的用户面数据的方法可以参照步骤 101 中确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令的方法，在此不再赘述。

本实施例中，中继站在接入网络的过程中，与施主基站通过信息交互，在中继站接入该施主基站的过程中，或者，在中继站上有用户设备驻留之后，在该中继站与该施主基站之间的无线接口上建立第一用户数据承载，第一用户数据承载可以在中继站与施主基站之间为待传输数据提供完整性保护，还可以提供加密保护。

在中继站接入该施主基站的过程中，或者，在中继站上有用户设备驻留之后，在该中继站与该施主基站之间的无线接口上建立第二用户数据承载，第二用户数据承载可以在中继站与施主基站之间为待传输数据提供加密保护。

本实施例对确定待传输数据的数据类型与建立用户数据承载的先后顺序不作限定，只需要保证数据传输时有用户数据承载可用于传输数据即可。例如：可以先建立第一用户数据承载和第二用户数据承载，然后在需要传输数据时，确定待传输数据的数据类型，再根据该数据类型，通过第一用户数据承载或第二用户数据承载传输该待传输数据；也可以先确定待传输数据的数据类型，再根据该数据类型建立第一用户数据承载或第二用户数据承载，然后通过第一用户数据承载或第二用户数据承载传输该待传输数据。

本发明实施例中，与驻留在中继站上的用户设备相关的控制面信令通过第一用户数据承载传输，因此也可将第一用户数据承载称为一种信令承载，与现有的信令承载的主要区别在于，此处的信令承载上传输的是与驻留在中继站上的用户设备相关的控制面信令，下同。

本发明实施例中，第一用户数据承载和第二用户数据承载表示两类用户数据承载， "第一" 和 "第二" 仅为描述方便，不代表数量的多少和优先级的高低，下同。

本发明实施例中的加密保护包括用户设备与网络侧选择空加密算法进行加密保护这种情形，空加密算法也是一种可能的加密算法，当用户设备和网络侧选择空加密算法进行加密保护时，用户设备和网络侧之间的通信实际上并没有得到加密保护。

上述实施例中，当确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令时，通过第一用户数据承载传输该待传输数据，第一用户数据承载在中继站与施主基站之间为待传输数据提供加密和完整性保护；从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间传输时，能够获得完整性保护，可以避免受到拒绝服务等攻击。

图 2为本发明数据传输方法另一个实施例的流程图，本实施例中，第一用户数据承载为提供加密和完整性保护的承载（ Bearer cipher and integrity; 以下简称： Bci )，第二用户数据承载为只提供加密保护的承载 ( Bearer cipher only; 以下简称： Bco ); 本实施例以待传输数据为中继站上待传输的上行数据为例进行说明；本实施例采用的信令面协议栈如图 3 ( a ) 所示，图 3 ( a )为本发明信令面协议栈一个实施例的示意图；本实施例采用的用户面协议栈如图 3 ( b )所示，图 3 ( b )为本发明用户面协议栈一个实施例的示意图。

如图 2所示，本实施例可以包括：

步骤 201，中继站确定上行数据的数据类型，该数据类型包括控制面信令和用户面数据。

具体地，中继站可以解析上行数据的数据包头中的标识位，根据该标识位的值确定上行数据是与驻留在中继站上的用户设备相关的控制面信令，还是用户面数据；上述标识位可以包括： Protocol/next header字段、源 IP地址、目的 IP地址、 TEID和 PDCP头 C/U指示之一或组合。

以标识位为 Protocol/next header字段为例，中继站可以通过解析上行数据的数据包头中的 Protocol/next header字段，若该字段的值为 132，则可以确定该上行数据为与驻留在中继站上的用户设备相关的控制面信令；若该字段的值为 17，则可以确定该上行数据为与驻留在中继站上的用户设备相关的用户面数据。

以上只是识别上行数据的数据类型的一种示例，本实施例并不局限于此，除了 Protocol/next header字段之外，还可以通过其他方式对上行数据的数据类型进行识别，如 IP地址；因为移动性管理实体（ Mobile Management Entity; 以下简称： MME )与用户设备的 PGW/SGW的 IP地址不同，中继站可以通过目的 IP地址来识别上行数据是发往用户设备的 PGW/SGW的用户面数据，还是发往 MME的控制面信令。任何可以识别上行数据的数据类型的方法均应落入本发明实施例的保护范围。

步骤 202，当确定上行数据为与驻留在中继站上的用户设备相关的控制面信令时，中继站通过 Bci将上述上行数据发送至施主基站；当确定上行数据为与驻留在中继站上的用户设备相关的用户面数据时，中继站通过 Bco 将上述上行数据发送至施主基站。

本实施例中，中继站在接入网络的过程中，与施主基站通过信息交互，在中继站与施主基站之间建立 Bci和 Bco， Bci可以在中继站与施主基站之间为上行数据提供加密和完整性保护， Bco可以在中继站与施主基站之间为上行数据提供加密保护。具体地，中继站在接入施主基站的过程中，中继站与施主基站协商加密算法、完整性算法、加密密钥和完整性密钥等安全上下文信息。中继站和施主基站通过这些安全上下文信息为 Bci上传输的数据提供加密和完整性保护，从而使得 Bci具备提供完整性保护的能力。中继站和施主基站通过协商的加密算法和加密密钥等安全上下文信息为 Bco上传输的数据提供加密保护，从而使得 Bco仅具备提供加密保护的能力。

中继站在与施主基站建立 Bci时，在该施主基站与该中继站的演进分组核心网节点之间建立与 Bci对应的第一传输承载；中继站在与施主基站建立 Bco 时，在该施主基站与该中继站的演进分组核心网节点之间建立与 Bco 对应的第二传输承载。

其中，第一传输承载和第二传输承载可以为通用无线分组业务隧道协议 ( General Packet Radio Service Tunneling Protocol; 以下简称： GTP ) PH 其中，中继站的演进分组核心网节点为中继站的分组数据网关（ Packet Data Network Gateway; 以下简称： PGW ) /服务网关（ Service Gateway; 以下简称： SGW )。

Bci和第一传输承载对应中继站与中继站的 PGW/SGW之间的第一演进的分组系统（Evolved Packet System; 以下简称： EPS )承载； Bco和第二传输承载对应中继站与中继站的 PGW/SGW之间的第二 EPS承载；在实际实现时，中继站与中继站的 PGW/SGW建立两个不同的演进的分组系统 ( Evolved Packet System; 以下简称： EPS )承载，分别为第一 EPS承载和第二 EPS ^f 载；在中继站与施主基站之间的第一 EPS 7|载为 Bci，在施主基站与中继站的 PGW/SGW之间的第一 EPS承载为第一传输承载；同理，在中继站与施主基站之间的第二 EPS承载为 BC0，在施主基站与中继站的

PGW/SGW之间的第二 EPS承载为第二传输承载。

建立第一 EPS承载与第二 EPS承载的过程具体可以为：中继站与施主基站之间通过无线承载建立消息建立 Bci 和 Bco，施主基站与中继站的 PGW/SGW之间通过 GTP隧道或代理移动因特网协议（ Proxy Mobile Internet Protocol; 以下简称： PMIP )隧道建立流程建立第一传输承载和第二传输承载。 Bci和第一传输承载组合为第一 EPS承载， Bco和第二传输承载组合为第二 EPS承载。

其中，可以在中继站接入网络的过程中，或者，在中继站上有用户设备驻留之后，在中继站与该中继站的 PGW/SGW之间建立第一 EPS承载和第二 EPS承载；也可以在中继站接入网络的过程中，在中继站与该中继站的 PGW/SGW之间建立第一 EPS承载，在中继站上有用户设备驻留之后，在该中继站与该中继站的 PGW/SGW之间建立第二 EPS承载；还可以在中继站接入网络的过程中，在中继站与该中继站的 PGW/SGW之间建立第二 EPS 承载，在该中继站上有用户设备驻留之后，在该中继站与该中继站的 PGW/SGW之间建立第一 EPS承载。

步骤 203，接收到通过 Bci发送的上行数据之后，施主基站通过第一传输承载将上行数据发送至中继站的 PGW/SGW; 接收到通过 Bco发送的上行数据之后，施主基站通过第二传输承载将上行数据发送至中继站的 PGW/SGW。

本实施例中，施主基站接收到通过 Bci发送的上行数据之后，根据该施主基站保存的 Bci的承载标识和第一传输承载的承载标识的映射关系，将该上行数据映射到第一传输承载，通过第一传输承载将该上行数据发送至中继站的 PGW/SGW;

施主基站接收到通过 Bco发送的上行数据之后，施主基站根据保存的 Bco的承载标识和第二传输承载的承载标识的映射关系，将上行数据映射到第二传输承载，通过第二传输承载将该上行数据发送至中继站的 PGW/SGW。

本实施例中，第一传输承载的承载标识可以为第一传输承载的 TEID; 同样，第二传输承载的承载标识可以为第二传输承载的 TEID。

上述实施例中，当确定上行数据为与驻留在中继站上的用户设备相关的控制面信令时，中继站通过 Bci将上行数据发送至施主基站，再由施主基站通过与 Bci对应的第一传输承载将上行数据发送至中继站的 PGW/SGW， Bci在中继站与施主基站之间为上行数据提供加密和完整性保护，从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间能够获得完整性保护，可以避免受到拒绝服务等攻击。

图 4为本发明数据传输方法再一个实施例的流程图，本实施例中，第一用户数据承载为 Bci，第二用户数据承载为 Bco; 本实施例以待传输数据为中继站的演进分组核心网节点上待传输的下行数据为例进行说明；本实施例采用的信令面协议栈如图 3 ( a )所示，本实施例采用的用户面协议栈如图 3 ( b )所示。

如图 4所示，本实施例可以包括：

步骤 401，中继站的演进分组核心网节点确定下行数据的数据类型，该数据类型包括控制面信令和用户面数据。

本实施例中，中继站的演进分组核心网节点为中继站的 PGW/SGW。具体地，中继站的 PGW/SGW可以解析下行数据的数据包头中的标识位，根据该标识位的值确定下行数据是与驻留在中继站上的用户设备相关的控制面信令，还是用户面数据；上述标识位可以包括： Protocol/next header字段、源 IP地址、目的 IP地址、 TEID和 PDCP头 C/U指示之一或组合。

以标识位为 Protocol/next header字段为例，中继站的 PGW/SGW可以通过解析下行数据的数据包头中的 Protocol/next header字段，若该字段的值为 132，则可以确定该下行数据为与驻留在中继站上的用户设备相关的控制面信令；若该字段的值为 17，则可以确定该下行数据为与驻留在中继站上的用户设备相关的用户面数据。

以上只是识别下行数据的数据类型的一种示例，本实施例并不局限于此，除了 Protocol/next header字段之外，还可以通过其他方式对上行数据的数据类型进行识别，如 IP地址；因为 MME与用户设备的 PGW/SGW的 IP 地址不同，中继站的 PGW/SGW可以通过源 IP地址来识别下行数据是来自用户设备的 PGW/SGW的用户面数据，还是来自 MME的控制面信令。任何可以识别下行数据的数据类型的方法均应落入本发明实施例的保护范围。

步骤 402，当确定下行数据为与驻留在中继站上的用户设备相关的控制面信令时，中继站的 PGW/SGW通过第一传输承载将上述下行数据发送至施主基站；当确定下行数据为与驻留在中继站上的用户设备相关的用户面数据时，中继站的 PGW/SGW通过第二传输承载将上述下行数据发送至施主基站。

本实施例中，建立 Bci、 Bco、第一传输承载和第二传输承载的方法与步骤 202提供的方法相同，在此不再赘述。其中， Bci在中继站与施主基站之间为下行数据提供加密和完整性保护； Bco在中继站与施主基站之间为下行数据提供加密保护。

步骤 403，接收到通过第一传输承载发送的下行数据之后，施主基站通过 Bci将下行数据发送至中继站；接收到通过第二传输承载发送的下行数据之后，施主基站通过 Bco将下行数据发送至中继站。

本实施例中，施主基站接收到通过第一传输承载发送的下行数据之后，根据该施主基站保存的 Bci 的承载标识和第一传输承载的承载标识的映射关系，将该下行数据映射到 Bci，通过 Bci将该下行数据发送至中继站；施主基站接收到通过第二传输承载发送的下行数据之后，施主基站根据保存的 Bco的承载标识和第二传输承载的承载标识的映射关系，将该下行数据映射到 Bco，通过 Bco将该下行数据发送至中继站。

本实施例中，步骤 402和步骤 403相当于，当确定下行数据为与驻留在中继站上的用户设备相关的控制面信令时，中继站的 PGW/SGW通过第一传输承载将上述下行数据发送至施主基站，并进一步通过 Bci将上述下行数据发送至中继站；当确定下行数据为与驻留在中继站上的用户设备相关的用户面数据时，中继站的 PGW/SGW通过第二传输承载将上述下行数据发送至施主基站，并进一步通过 Bco将上述下行数据发送至中继站。

上述实施例中，当确定下行数据为与驻留在中继站上的用户设备相关的控制面信令时，中继站的 PGW/SGW通过第一传输承载将下行数据发送至施主基站，再由施主基站通过与第一传输承载对应的 Bci将下行数据发送至中继站， Bci在中继站与施主基站之间为下行数据提供加密和完整性保护，从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间能够获得完整性保护，可以避免受到拒绝服务等攻击。

图 5 为本发明数据传输方法又一个实施例的流程图，本实施例中，第一用户数据承载为 Bci，第二用户数据承载为 Bco; 本实施例以待传输数据为中继站上待传输的上行数据为例进行说明；本实施例采用的信令面协议栈如图 6 ( a )所示，图 6 ( a ) 为本发明信令面协议栈另一个实施例的示意图；本实施例采用的用户面协议栈如图 6 ( b )所示，图 6 ( b )为本发明用户面协议栈另一个实施例的示意图。

如图 5所示，本实施例可以包括：

步骤 501，中继站确定上行数据的数据类型，该数据类型包括控制面信令和用户面数据。

具体地，中继站可以采用步骤 201 中提供的方法确定上行数据的数据类型，在此不再赘述。

步骤 502，当确定上行数据为与驻留在中继站上的用户设备相关的控制面信令时，中继站通过 Bci将上述上行数据发送至施主基站；当确定上行数据为与驻留在中继站上的用户设备相关的用户面数据时，中继站通过 Bco 将上述上行数据发送至施主基站。

本实施例中，建立 Bci和 Bco的方法与步骤 202提供的方法相同，在此不再赘述。可以在中继站接入施主基站的过程中，或者，在中继站上有用户设备驻留之后，在中继站与施主基站之间的 Un接口上建立 Bci和 Bco; 也可以在中继站接入施主基站的过程中，在中继站与施主基站之间的 Un接口上建立 Bci，在中继站上有用户设备驻留之后，在中继站与施主基站之间的 Un接口上建立 Bco；还可以在中继站接入施主基站的过程中，在中继站与施主基站之间的 Un接口上建立 Bco，在中继站上有用户设备驻留之后，在中继站与施主基站之间的 Un接口上建立 Bci。

本实施例中， Bco 代表中继站和施主基站之间的一类用户数据承载， GTP隧道代表了用户传输的业务流，实际上对应每个用户可以有多个 GTP 隧道， GTP隧道中传输的数据通过 GTP包头中 TEID来标识。中继站与施主基站保存每个用户设备对应的 GTP隧道的 TEID和 Bco的载标识的映射关系。当中继站识别出上行数据为与驻留在中继站上的用户设备相关的用户面数据时，中继站还要进一步解析上行数据的 GTP包头中的 TEID字段，然后根据保存的 TEID与 Bco的承载标识的映射关系，将该上行数据映射到对应的 Bco上，然后通过该 Bco将上述上行数据发送至施主基站。

上述实施例中，当确定上行数据为与驻留在中继站上的用户设备相关的控制面信令时，中继站通过 Bci将上行数据发送至施主基站， Bci在中继站与施主基站之间为该上行数据提供加密和完整性保护；从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间传输时，能够获得完整性保护，可以避免受到拒绝服务等攻击。

图 7为本发明数据传输方法又再一个实施例的流程图，本实施例中，第一用户数据承载为 Bci，第二用户数据承载为 Bco; 本实施例以待传输数据为施主基站上待传输的下行数据为例进行说明；本实施例采用的信令面协议栈如图 6 ( a )所示，本实施例采用的用户面协议栈如图 6 ( b )所示。

如图 7所示，本实施例可以包括：

步骤 701，施主基站确定下行数据的数据类型，该数据类型包括控制面信令和用户面数据。

具体地，施主基站可以参照步骤 401 提供的方法确定下行数据的数据类型。

步骤 702，当确定下行数据为与驻留在中继站上的用户设备相关的控制面信令时，施主基站通过 Bci将上述下行数据发送至中继站；当确定下行数据为与驻留在中继站上的用户设备相关的用户面数据时，施主基站通过 Bco 将上述下行数据发送至中继站。

本实施例中，建立 Bci与 Bco的方法与步骤 202中提供的方法相同，在此不再赘述。

本实施例中， Bco 代表中继站和施主基站之间的一类用户数据承载， GTP隧道代表了用户传输的业务流，实际上对应每个用户可以有多个 GTP 隧道， GTP隧道中传输的数据通过 GTP包头中 TEID来标识。中继站与施主基站保存每个用户设备对应的 GTP隧道的 TEID和 Bco的载标识的映射关系。当施主基站识别出下行数据为与驻留在中继站上的用户设备相关的用户面数据时，施主基站还要进一步解析下行数据的 GTP包头中的 TEID 字段，然后根据保存的 TEID与 Bco的承载标识的映射关系，将该下行数据映射到对应的 Bco上，然后通过该 Bco将上述下行数据发送至中继站。

上述实施例中，当确定下行数据为与驻留在中继站上的用户设备相关的控制面信令时，施主基站通过 Bci将下行数据发送至施主基站， Bci在中继站与施主基站之间为该下行数据提供加密和完整性保护；从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间传输时，能够获得完整性保护，可以避免受到拒绝服务等攻击。

图 8为本发明数据传输方法再又一个实施例的流程图，如图 8所示，该实施例可以包括：

步骤 801，确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令。

具体地，当待传输数据为上行数据时，可以参照步骤 201 提供的方法确定上行数据为与驻留在中继站上的用户设备相关的控制面信令；当待传输数据为下行数据时，可以参照步骤 401 提供的方法确定下行数据为与驻留在中继站上的用户设备相关的控制面信令。

步骤 802，通过中继站与网络侧设备之间的因特网协议安全（Internet Protocol security; 以下简称： IPsec ) 关联对待传输数据进行完整性保护。

本实施例中，中继站接入网络之后，中继站与网络侧设备建立用户数据承载和 IPsec关联， IPsec关联可以为待传输数据提供完整性保护。该 IPsec 关联可以建立在中继站与施主基站之间，也可以建立在中继站与中继站的演进分组核心网节点之间，该中继站的演进分组核心网节点可以为 MME 或中继站的 PGW/SGW。

当待传输数据为下行数据时，网络侧设备对下行数据的数据类型进行识别，当确定下行数据为与驻留在中继站上的用户设备相关的控制面信令时，网络侧设备通过 IPsec关联对下行数据进行完整性保护；本实施例中，网络侧设备可以为施主基站或中继站的 PGW/SGW。

当待传输数据为上行数据时，中继站对上行数据的数据类型进行识别，当确定上行数据为与驻留在中继站上的用户设备相关的控制面信令时，中继站通过 IPsec关联对上行数据进行完整性保护。

步骤 803，通过中继站与网络侧设备之间的用户数据承载传输进行完整性保护之后的待传输数据。

本实施例中，当待传输数据为与驻留在中继站上的用户设备相关的控制面信令时，在对该待传输数据进行完整性保护之后，通过中继站与网络侧设备之间的用户数据承载传输进行完整性保护之后的待传输数据。

当待传输数据为与驻留在中继站上的用户设备相关的用户面数据时，可以直接通过中继站与网络侧设备之间的用户数据承载传输该待传输数据。

上述实施例中，当确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令时，中继站或网络侧设备先通过 IPsec关联对该待传输数据输进行完整性保护之后的待传输数据；从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间传输时，能够获得完整性保护，可以避免受到拒绝服务等攻击。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

图 9为本发明中继站一个实施例的结构示意图，本实施例中的中继站可以实现本发明图 2或图 5所示实施例的流程，如图 9所示，该中继站可以包括：承载建立模块 91、第一类型识别模块 92和第一传输模块 93。

其中，承载建立模块 91，用于在中继站与施主基站之间建立第一用户数据承载；

第一类型识别模块 92，用于确定待传输上行数据的数据类型；第一传输模块 93，用于当第一类型识别模块 92确定待传输上行数据的数据类型为与驻留在中继站上的用户设备相关的控制面信令时，通过承载建立模块 91 建立的第一用户数据承载将该待传输上行数据传输至施主基站，第一用户数据承载为待传输上行数据提供完整性保护；第一用户数据承载还可以为待传输上行数据提供加密保护。

本实施例中，承载建立模块 91还用于在中继站与施主基站之间建立第二用户数据承载；

该中继站还可以进一步包括：第二传输模块 94，用于当第一类型识别模块 92确定待传输上行数据的数据类型为与驻留在中继站上的用户设备相关的用户面数据时，通过承载建立模块 91建立的第二用户数据承载将该待传输上行数据传输至施主基站，第二用户数据承载为待传输上行数据提供加密保护。

本实施例中，第一类型识别模块 92具体可以解析待传输上行数据的数据包头中的标识位，根据该标识位的值确定待传输上行数据的数据类型；上述标识位可以包括： Protocol/next header字段、源 IP地址、目的 IP地址、 TEID和 PDCP头 C/U指示之一或组合。

承载建立模块 91具体可以在中继站接入施主基站的过程中，或者，在中继站上有用户设备驻留之后，在该中继站与该施主基站之间的无线接口上建立第一用户数据承载；

承载建立模块 91具体可以在中继站接入施主基站的过程中，或者，在中继站上有用户设备驻留之后，在该中继站与该施主基站之间的无线接口上建立第二用户数据承载。

在本实施例的一种实现方式中，第一类型识别模块 92确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令之后，中继站可以先获取为第一用户数据承载设置的控制指示，然后第一传输模块 93根据该控制指示，通过在中继站与施主基站之间建立的第一用户数据承载将上述待传输上行数据传输至施主基站；具体地，第一传输模块 93可以根据该控制指示将中继站 PDCP对等层的属性配置为启用完整性保护或待传输上行数据为与驻留在中继站上的用户设备相关的控制面信令；并根据配置的 PDCP 对等层的属性，通过在中继站与施主基站之间建立的第一用户数据承载将待传输上行数据传输至施主基站。

在本实施例的另一种实现方式中，第一传输模块 93通过在中继站与施主基站之间建立的第一用户数据将待传输上行数据传输至施主基站之前，中继站可以在待传输上行数据中携带控制指示，该控制指示用于指示待传输上行数据进行了完整性保护，以便施主基站可以根据该控制指示对接收到的上行数据进行完整性检测。

上述实施例中，当第一类型识别模块 92确定待传输上行数据的数据类型为与驻留在中继站上的用户设备相关的控制面信令时，第一传输模块 93 通过承载建立模块 91建立的第一用户数据承载将待传输上行数据发送至施主基站，第一用户数据承载为待传输上行数据提供完整性保护；从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间传输时，能够获得完整性保护，可以避免受到拒绝服务等攻击。

图 10为本发明演进分组核心网节点一个实施例的结构示意图，本实施例的演进分组核心网节点可以实现本发明图 4所示实施例的流程，如图 10 所示，该演进分组核心网节点可以包括：第二类型识别模块 1001和第三传输模块 1002。

其中，第二类型识别模块 1001，用于确定待传输下行数据的数据类型；第三传输模块 1002，用于当第二类型识别模块 1001确定待传输下行数据的数据类型为与驻留在中继站上的用户设备相关的控制面信令时，通过施主基站与该演进分组核心网节点之间的第一传输承载将该待传输下行数据发送至施主基站，以便该施主基站通过该施主基站与中继站之间与第一传输承载对应的第一用户数据承载，将待传输下行数据发送至中继站，第一用户数据承载为待传输下行数据提供完整性保护；第一用户数据承载还可以为待传输下行数据提供加密保护。

本实施例中的演进分组核心网节点还可以进一步包括：

第四传输模块 1003，用于当第二类型识别模块 1001确定待传输下行数据的数据类型为与驻留在中继站上的用户设备相关的用户面数据时，通过施主基站与演进分组核心网节点之间的第二传输承载将待传输下行数据发送至施主基站，以便该施主基站通过该施主基站与中继站之间与第二传输承载对应的第二用户数据承载，将该待传输下行数据发送至中继站，第二用户数据承载为待传输下行数据提供加密保护。

本实施例中，第二类型识别模块 1001具体可以解析待传输下行数据的数据包头中的标识位，根据该标识位的值确定待传输下行数据的数据类型；上述标识位可以包括： Protocol/next header字段、源 IP地址、目的 IP地址、 TEID和 PDCP头 C/U指示之一或组合。

本实施例中的演进分组核心网节点可以为中继站的 PGW/SGW。

上述实施例中，当第二类型识别模块 1001确定待传输下行数据的数据类型为与驻留在中继站上的用户设备相关的控制面信令时，第三传输模块 1002通过第一传输承载将下行数据发送至施主基站，再由施主基站通过与第一传输承载对应的第一用户数据传输承载将待传输下行数据发送至中继站，第一用户数据传输在中继站与施主基站之间为待传输下行数据提供完整性保护，从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间，以及在施主基站与该中继站的演进分组核心网节点之间传输时，能够获得完整性保护，可以避免受到拒绝服务等攻击。

图 11为本发明施主基站一个实施例的结构示意图，本实施例的施主基站可以实现本发明图 7所示实施例的流程，如图 11所示，该施主基站可以包括：第三类型识别模块 1101和第五传输模块 1102。

其中，第三类型识别模块 1101，用于确定待传输下行数据的数据类型；第五传输模块 1102，用于当第三类型识别模块 1101确定待传输下行数据的数据类型为与驻留在中继站上的用户设备相关的控制面信令时，通过中继站与该施主基站之间的第一用户数据承载将待传输下行数据传输至中继站，第一用户数据承载为待传输下行数据提供完整性保护；第一用户数据承载还可以为待传输下行数据提供加密保护。

本实施例中，施主基站还可以进一步包括：第六传输模块 1103，用于当第三类型识别模块 1101确定待传输下行数据的数据类型为与驻留在中继站上的用户设备相关的用户面数据时，通过中继站与施主基站之间的第二用户数据承载将待传输下行数据传输至中继站，第二用户数据承载为待传输下行数据提供加密保护。

本实施例中，第三类型识别模块 1101具体可以解析待传输下行数据的数据包头中的标识位，根据该标识位的值确定待传输下行数据的数据类型；上述标识位可以包括： Protocol/next header字段、源 IP地址、目的 IP地址、 TEID和 PDCP头 C/U指示之一或组合。

在本实施例的一种实现方式中，第三类型识别模块 1101确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令之后，施主基站可以先获取为第一用户数据承载设置的控制指示，然后第五传输模块 1102可以根据该控制指示，通过在中继站与施主基站之间建立的第一用户数据承载将上述待传输下行数据传输至中继站；具体地，第五传输模块 1102可以根据该控制指示将施主基站 PDCP对等层的属性配置为启用完整性保护或待传输下行数据为与驻留在中继站上的用户设备相关的控制面信令；并根据配置的 PDCP对等层的属性，通过在中继站与施主基站之间建立的第一用户数据承载将待传输下行数据传输至中继站。

在本实施例的另一种实现方式中，第五传输模块 1102通过在中继站与施主基站之间建立的第一用户数据将待传输下行数据传输至中继站之前，施主基站可以在待传输下行数据中携带控制指示，该控制指示用于指示待传输下行数据进行了完整性保护，以便中继站可以根据该控制指示对接收到的下行数据进行完整性检测。

上述实施例中，当第三类型识别模块 1101确定待传输下行数据的数据类型为与驻留在中继站上的用户设备相关的控制面信令时，第五传输模块 1102通过第一用户数据承载将下行数据发送至施主基站，第一用户数据承载在中继站与施主基站之间为该待传输下行数据提供完整性保护；从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间传输时，能够获得完整性保护，可以避免受到拒绝服务等攻击。

图 12为本发明数据传输系统一个实施例的结构示意图，如图 12所示，本实施例的数据传输系统可以包括：中继站 1201、施主基站 1202和中继站的演进分组核心网节点 1203。在该数据传输系统中，上行数据的传输过程如本发明图 2所示实施例所述；下行数据的传输过程如本发明图 4所示实施例所述；在此不再赘述。

具体地，中继站 1201可以通过本发明图 9所示实施例的中继站实现；施主基站 1202 可以采用现有的施主基站；中继站的演进分组核心网节点 1203可以通过本发明图 10所示实施例的演进分组核心网节点实现。

上述数据传输系统实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间传输时，能够获得完整性保护，可以避免受到拒绝服务等攻击。

图 13为本发明数据传输系统另一个实施例的结构示意图，如图 13所示，本实施例的数据传输系统可以包括：中继站 1301和施主基站 1302。在该数据传输系统中，上行数据的传输过程如本发明图 5 所示实施例所述；下行数据的传输过程如本发明图 7所示实施例所述；在此不再赘述。

具体地，中继站 1301可以通过本发明 9所示实施例的中继站实现；施主基站 1302可以通过本发明图 11所示实施例的施主基站实现。

图 14为本发明数据传输装置一个实施例的结构示意图，本实施例的数据传输装置可以为：中继站或网络侧设备，实现本发明图 8所示实施例的流程；其中，网络侧设备包括施主基站或中继站的演进分组核心网节点，该中继站的演进分组核心网节点可以为中继站的 PGW/SGW。

如图 14所示，该数据传输装置可以包括：第四类型识别模块 1401、保护模块 1402和第七传输模块 1403。

其中，第四类型识别模块 1401，用于确定待传输数据的数据类型；保护模块 1402，用于当第四类型识别模块 1401确定待传输数据的数据类型为与驻留在中继站上的用户设备相关的控制面信令时，通过中继站与网络侧设备之间的 IPsec关联对待传输数据进行完整性保护；载传输保护模块 1402进行完整性保护之后的待传输数据。

本实施例中，第四类型识别模块 1401具体可以解析待传输数据的数据包头中的标识位，根据该标识位的值确定待传输数据的数据类型；上述标识位可以包括： Protocol/next header字段、源 IP地址、目的 IP地址、 TEID 和 PDCP头 C/U指示之一或组合。上述实施例中，当第四类型识别模块 1401确定待传输数据的数据类型为与驻留在中继站上的用户设备相关的控制面信令时，保护模块 1402先对该待传输数据进行完整性保护，然后再由第七传输模块 1403通过中继站与网络侧设备之间的用户数据承载传输保护模块 1402进行完整性保护之后的待传输数据；从而实现了与驻留在中继站上的用户设备相关的控制面信令在中继站与施主基站之间传输时，能够获得完整性保护，可以避免受到拒绝服务等攻击。

本领域技术人员可以理解附图只是实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。

Claims

权利要求

1、一种数据传输方法，其特征在于，包括：

2、根据权利要求 1所述的数据传输方法，其特征在于，还包括：确定待传输数据为与驻留在中继站上的用户设备相关的用户面数据；通过在所述中继站与施主基站之间建立的第二用户数据承载传输所述待传输数据，所述第二用户数据承载为所述待传输数据提供加密保护。

3、根据权利要求 1或 2所述的方法，其特征在于，在所述通过在所述中继站与施主基站之间建立的第一用户数据承载传输所述待传输数据之前，还包括：

在所述中继站接入所述施主基站的过程中，或者，在所述中继站上有用户设备驻留之后，在所述中继站与所述施主基站之间的无线接口上建立所述第一用户数据承载。

4、根据权利要求 1或 2所述的方法，其特征在于，所述待传输数据为所述中继站上待传输的上行数据，所述确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令包括：

所述中继站确定所述上行数据为与驻留在中继站上的用户设备相关的控制面信令；

所述通过在所述中继站与施主基站之间建立的第一用户数据承载传输所述待传输数据包括：

所述中继站通过所述第一用户数据承载将所述上行数据发送至所述施主基站，以便所述施主基站通过第一传输承载将所述上行数据发送至所述中继站的演进分组核心网节点，其中，所述第一传输承载为建立在所述施主基站与所述中继站的演进分组核心网节点之间的与所述第一用户数据承载对应的传输承载。

5、根据权利要求 2所述的方法，其特征在于，所述待传输数据为所述中继站上待传输的上行数据，所述确定待传输数据为与驻留在中继站上的用户设备相关的用户面数据包括：

所述中继站确定所述上行数据为与驻留在中继站上的用户设备相关的用户面数据；

所述通过在所述中继站与施主基站之间建立的第二用户数据承载传输所述待传输数据包括：

所述中继站通过所述第二用户数据承载将所述上行数据发送至所述施主基站，以便所述施主基站通过第二传输承载将所述上行数据发送至所述中继站的演进分组核心网节点，其中，所述第二传输承载为建立在所述施主基站与所述中继站的演进分组核心网节点之间的与所述第二用户数据承载对应的传输承载。

6、根据权利要求 1或 2所述的方法，其特征在于，所述待传输数据为所述中继站的演进分组核心网节点上待传输的下行数据，所述确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令包括：

所述中继站的演进分组核心网节点确定所述下行数据为与驻留在中继站上的用户设备相关的控制面信令；

所述通过在所述中继站与施主基站之间建立的第一用户数据承载传输所述待传输数据之前，还包括：

所述中继站的演进分组核心网节点通过建立在所述施主基站与所述中继站的演进分组核心网节点之间的与所述第一用户数据承载对应的第一传输承载，将所述下行数据发送至所述施主基站；

所述通过在所述中继站与施主基站之间建立的第一用户数据承载传输所述待传输数据，包括：

所述中继站的演进分组核心网节点进一步通过在所述中继站与施主基站之间建立的第一用户数据承载将所述下行数据发送至所述中继站。

7、根据权利要求 2所述的方法，其特征在于，所述待传输数据为所述中继站的演进分组核心网节点上待传输的下行数据，所述确定待传输数据为与驻留在中继站上的用户设备相关的用户面数据包括：

所述中继站的演进分组核心网节点确定所述下行数据为与驻留在中继站上的用户设备相关的用户面数据；

所述通过在所述中继站与施主基站之间建立的第二用户数据承载传输所述待传输数据之前，还包括：

所述中继站的演进分组核心网节点通过建立在所述施主基站与所述中继站的演进分组核心网节点之间的与所述第二用户数据承载对应的第二传输承载，将所述下行数据发送至所述施主基站；

所述通过在所述中继站与施主基站之间建立的第二用户数据承载传输所述待传输数据，包括：

所述中继站的演进分组核心网节点进一步通过在所述中继站与施主基站之间建立的第二用户数据承载将所述下行数据发送至所述中继站。

8、根据权利要求 1所述的方法，其特征在于，所述待传输数据为所述中继站上待传输的上行数据，所述确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令包括：

所述中继站通过所述第一用户数据承载将所述上行数据发送至所述施主基站。

9、根据权利要求 2所述的方法，其特征在于，所述待传输数据为所述中继站上待传输的上行数据，所述确定待传输数据为与驻留在中继站上的用户设备相关的用户面数据包括：所述中继站确定所述上行数据为与驻留在中继站上的用户设备相关的用户面数据；

所述中继站通过所述第二用户数据承载将所述上行数据发送至所述施主基站。

10、根据权利要求 1 所述的方法，其特征在于，所述待传输数据为所述施主基站上待传输的下行数据，所述确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令包括：

所述施主基站确定所述下行数据为与驻留在中继站上的用户设备相关的控制面信令；

所述施主基站通过所述第一用户数据承载将所述下行数据发送至所述中继站。

11、根据权利要求 2所述的方法，其特征在于，所述待传输数据为所述施主基站上待传输的下行数据，所述确定待传输数据为与驻留在中继站上的用户设备相关的用户面数据包括：

所述施主基站确定所述下行数据为与驻留在中继站上的用户设备相关的用户面数据；

所述施主基站通过所述第二用户数据承载将所述下行数据发送至所述中继站。

12、根据权利要求 1 所述的方法，其特征在于，所述确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令之后，还包括：

获取为所述第一用户数据承载设置的控制指示，并根据所述控制指示执行所述通过在所述中继站与施主基站之间建立的第一用户数据承载传输所述待传输数据的步骤。

13、根据权利要求 12所述的方法，其特征在于，所述根据所述控制指示执行所述通过在所述中继站与施主基站之间建立的第一用户数据承载传输所述待传输数据的步骤包括：

根据所述控制指示将分组数据汇聚协议 PDCP对等层的属性配置为：启用完整性保护，或者配置为：所述待传输数据为与驻留在中继站上的用户设备相关的控制面信令；

根据配置的 PDCP对等层的属性，执行所述通过在所述中继站与施主基站之间建立的第一用户数据承载传输所述待传输数据的步骤。

14、根据权利要求 1 所述的方法，其特征在于，所述确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令包括：

解析所述待传输数据的数据包头中的标识位，根据所述标识位的值确定所述待传输数据为与驻留在中继站上的用户设备相关的控制面信令；所述标识位包括：协议 /下一数据包头字段、源因特网协议 IP地址、目的 IP 地址、隧道端点标识和 PDCP头控制面 /用户面指示之一或组合。

15、根据权利要求 1 所述的方法，其特征在于，所述通过在所述中继站与施主基站之间建立的第一用户数据承载传输所述待传输数据之前，还包括：

在所述待传输数据中携带控制指示，所述控制指示用于指示所述待传输数据进行了完整性保护，以便接收到所述待传输数据的设备根据所述控制指示对接收到的所述待传输数据进行完整性检测。

16、一种中继站，能够与施主基站进行通信，其特征在于，包括：承载建立模块，用于在所述中继站与所述施主基站之间建立第一用户数据承载；

第一类型识别模块，用于确定待传输上行数据的数据类型；

17、根据权利要求 16所述的中继站，其特征在于，所述承载建立模块还用于在所述中继站与所述施主基站之间建立第二用户数据承载；

所述中继站还包括：

第二传输模块，用于当所述第一类型识别模块确定所述待传输上行数据的数据类型为与驻留在所述中继站上的用户设备相关的用户面数据时，通过所述承载建立模块建立的第二用户数据承载将所述待传输上行数据传输至所述施主基站，所述第二用户数据承载为所述待传输上行数据提供加密保护。

18、根据权利要求 16所述的中继站，其特征在于，所述承载建立模块具体用于在所述中继站接入所述施主基站的过程中，或者，在所述中继站上有用户设备驻留之后，在所述中继站与所述施主基站之间的无线接口上建立所述第一用户数据承载。

19、根据权利要求 16所述的中继站，其特征在于，所述第一类型识别模块具体用于解析所述待传输上行数据的数据包头中的标识位，根据所述标识位的值确定所述待传输上行数据的数据类型；所述标识位包括：协议 / 下一数据包头字段、源因特网协议 IP地址、目的 IP地址、隧道端点标识和 PDCP头控制面 /用户面指示之一或组合。

20、一种演进分组核心网节点，能够通过施主基站与中继站进行通信，其特征在于，包括：

第二类型识别模块，用于确定待传输下行数据的数据类型；

21、根据权利要求 20所述的演进分组核心网节点，其特征在于，还包括：

第四传输模块，用于当所述第二类型识别模块确定所述待传输下行数据的数据类型为与驻留在所述中继站上的用户设备相关的用户面数据时，通过所述施主基站与所述演进分组核心网节点之间的第二传输承载将所述待传输下行数据发送至所述施主基站，以便所述施主基站通过所述施主基站与所述中继站之间与所述第二传输承载对应的第二用户数据承载，将所述待传输下行数据发送至所述中继站，所述第二用户数据承载为所述待传输下行数据提供加密保护。

22、根据权利要求 20所述的演进分组核心网节点，其特征在于，所述第二类型识别模块具体用于解析所述待传输下行数据的数据包头中的标识位，根据所述标识位的值确定所述待传输下行数据的数据类型；所述标识位包括：协议 /下一数据包头字段、源因特网协议 IP地址、目的 IP地址、隧道端点标识和 PDCP头控制面 /用户面指示之一或组合。

23、一种数据传输系统，其特征在于，包括：施主基站、根据权利要求 16-19任意一项所述的中继站和根据权利要求 20-22任意一项所述的演进分组核心网节点。

24、一种施主基站，能够与中继站进行通信，其特征在于，包括：第三类型识别模块，用于确定待传输下行数据的数据类型；

25、根据权利要求 24所述的施主基站，其特征在于，还包括：第六传输模块，用于当所述第三类型识别模块确定所述待传输下行数据的数据类型为与驻留在所述中继站上的用户设备相关的用户面数据时，通过所述中继站与所述施主基站之间的第二用户数据承载将所述待传输下行数据传输至所述中继站，所述第二用户数据承载为所述待传输下行数据提供加密保护。

26、根据权利要求 24所述的施主基站，其特征在于，所述第三类型识别模块具体用于解析所述待传输下行数据的数据包头中的标识位，根据所述标识位的值确定所述待传输下行数据的数据类型；所述标识位包括：协议 /下一数据包头字段、源因特网协议 IP地址、目的 IP地址、隧道端点标识和 PDCP头控制面 /用户面指示之一或组合。

27、一种数据传输系统，其特征在于，包括：根据权利要求 16-19任意一项所述的中继站和根据权利要求 24-26任意一项所述的施主基站。

28、一种数据传输方法，其特征在于，包括：

29、根据权利要求 28所述的方法，其特征在于，还包括：

所述中继站接入网络之后，与所述网络侧设备建立所述用户数据承载和所述因特网协议安全关联。

30、根据权利要求 28所述的方法，其特征在于，所述确定待传输数据为与驻留在中继站上的用户设备相关的控制面信令包括：

解析所述待传输数据的数据包头中的标识位，根据所述标识位的值确定所述待传输数据为与驻留在所述中继站上的用户设备相关的控制面信令；所述标识位包括：协议 /下一数据包头字段、源因特网协议 IP地址、目的 IP地址、隧道端点标识和 PDCP头控制面 /用户面指示之一或组合。

31、一种数据传输装置，其特征在于，包括：

第四类型识别模块，用于确定待传输数据的数据类型；

32、根据权利要求 31所述的数据传输装置，其特征在于，所述第四类型识别模块具体用于解析所述待传输数据的数据包头中的标识位，根据所述标识位的值确定所述待传输数据的数据类型；所述标识位包括：协议 /下一数据包头字段、源因特网协议 IP地址、目的 IP地址、隧道端点标识和 PDCP头控制面 /用户面指示之一或组合。

33、根据权利要求 31或 32所述的数据传输装置，其特征在于，所述数据传输装置包括：中继站、施主基站或中继站的演进分组核心网节点。