WO2016177143A1

WO2016177143A1 - 实现接入层安全的方法及用户设备和无线接入小节点

Info

Publication number: WO2016177143A1
Application number: PCT/CN2016/076741
Authority: WO
Inventors: 施小娟
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-07-20
Filing date: 2016-03-18
Publication date: 2016-11-10
Also published as: US10136325B2; US20180213403A1; CN106375989B; CN106375989A

Abstract

一种实现接入层安全的方法，包括：执行UE与网关节点之间的端到端用户面接入层安全；以及，当UE仅存在微通信路径时，执行UE与初始接入节点之间的端到端控制面接入层安全；或者，当UE存在微通信路径和宏通信路径时，执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全；其中，微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径；宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。上述方法很好地保证了用户面安全；在保证控制面安全的前提下减少了控制面安全操作的延时；同时，提高了UE的移动性能，保证了UE用户面数据传输的连续性。

Description

实现接入层安全的方法及用户设备和无线接入小节点

技术领域

本申请涉及但不限于移动通信技术，尤指一种实现接入层安全的方法及用户设备和无线接入小节点。

背景技术

蜂窝无线移动通信系统始于20世纪80年代，从一开始满足人类的语音通信需求发展到了后来在语音业务的基础上逐步满足人类的基础数据通信需求。传统蜂窝无线通信系统由无线网络运营商部署并运营，网络的建设经过运营商的缜密规划，图1为传统蜂窝无线接入网络的网络拓扑示意图，如图1所示，每个宏基站(MNB，Macro(e)NB)的选址由运营商规划确定，每个宏基站可以达到几百米甚至几千米的无线覆盖，从而可以实现运营商运营区域内的近乎连续无缝覆盖。

随着移动互联时代的到来，新的移动应用需求，尤其是那些要求高质量、高速率、低延时的移动应用需求出现了爆发式的增长。根据行业预测，一方面，在未来10年内，无线移动业务量将出现上千倍的增长，传统实现长距离宏覆盖的无线通信系统无法实现如此巨大的容量需求；另一方面，业界通过对用户通信行为和习惯的统计发现，大部分高数据流量的移动业务集中出现在室内环境和热点地区，比如商场、学校、用户家里、大型演出、集会场所等，而室内环境和热点地区具有区域分布广而散、单区域范围小、用户集中等特点，也就是说，传统蜂窝无线网络的广覆盖、均匀覆盖、固定覆盖特点使得其无法很好地适应这种小区域范围内业务集中出现的特性。此外，传统蜂窝无线网络由于各种各样的原因，比如建筑物的阻挡等会造成蜂窝无线信号在室内环境不如室外环境，这也使得传统蜂窝无线网络无法满足将来室内环境下的大数据容量需求。

为了解决上述问题，一种无线接入小节点(SRAN-node，Small Radio Access Network node，本文中可简称为小节点)应运而生。从概念上讲，SRAN-node是指发射功率比传统MNB的发射功率低、覆盖范围也比传统宏基站的覆盖范围小的无线接入网节点，因此，SRAN-node也可以称为低功率节点(LPN，Lower Power Node)，比如可以是微基站(Pico Node)、家庭基站(Femto/Home(e)NB)、无线中继接入设备(Relay)，以及其他可能出现的任何发射功率远低于传统宏基站的可以通过无线通信链路接入网络的接入网设备。

而为了满足未来无线通信系统的巨大容量提升需求，尤其是为了适应特定区域内的集中式大数据量需求，业界预测可以在特定区域内增加SRAN-node的部署密度以实现网络容量的增长，满足用户需求。业界将这种在特定区域内密集部署的网络称之为超密集网络(UDN，Ultra Dense Network)。图2为在传统蜂窝无线接入网络的特定区域内部署UDN的示意图，如图2所示，在大厦200内、在体育场210内、在热点230区域均部署了大量SRAN-node。

UDN可以提高网络容量，在提高网络容量的同时，未来的网络也不希望增加网络的资本支出(CAPEX，Capital Expenditure)和运营支出(OPEX，Operating Expense)，这就意味着UDN的部署需要减少人为的计划、优化和管理，可以根据网络拓扑、网络负荷、业务需求等在室内、室外的热点区域或者大业务量区域完成灵活快速部署，并实现自配置、自优化和自治愈。为了实现所有这些目标，业界普遍认为UDN中仅有部分或者少量SRAN-node可以通过有线连接(wired backhaul)(如光纤、电缆等)接入核心网设备；而其他SRAN-node则需要支持无线回程(wireless backhaul)，利用SRAN-node之间密集短距离部署的特性，通过SRAN-node之间的无线回程链路实现SRAN-node之间的互联互通，以及通过无线回程链路经过两个SRAN-node之间的无线连接(一跳)或者依次经过多个SRAN-node之间的无线连接(多跳)接入核心网设备。如此，在UDN网络中，用户设备(UE，User Equipment)的通信数据很有可能需要经过两段甚至两段以上的空口传输，两段空口包括UE与UE所接入的SRAN-node(设记为SRAN-node-x)之间的空口无线接入链路(RAL，Radio Access Link)，以及SRAN-node-x与有有线回程的SRAN-node(设记为SRAN-node-z)之间的空口无线回程链路。超过两段空口的情况，以三段空口为例，包括RAL、SRAN-node-x与某个中间节点(设记为SRAN-node-y)之间的空口无线回程链路，以及SRAN-node-y与SRAN-node-z之间的空口无线回程链路。

未来UDN中将密集部署大量SRAN-node，而其中只有少部分SRAN-node有有线回程，这使得UE的通信数据很有可能需要经过两段甚至两段以上的空口传输，如何保证这种移动通信系统中的安全性，以保证UE的通信数据在两段甚至两段以上空口传输时的安全性，是亟需解决的技术问题，目前没有具体的实现技术方案。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供一种实现接入层安全的方法及用户设备和无线接入小节点，能够保证UE的通信数据在两段甚至两段以上空口传输时的安全性，同时提高UE的移动性能，保证UE用户面数据传输的连续性。

本发明实施例提供了一种实现接入层安全的方法，包括：

执行UE与网关节点之间的端到端用户面接入层安全；以及，

当UE仅存在微通信路径时，执行UE与初始接入节点之间的端到端控制面接入层安全；或者，当UE存在微通信路径和宏通信路径时，执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全；

其中，微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径；宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。

可选地，

在所述微通信路径中，所述UE经过至少两段无线空中接口与所述核心网通信；

所述微通信路径至少包括UE、初始接入节点、网关节点；

当所述UE经过大于两段无线空中接口与所述核心网通信时，所述微通信路径中还包括至少一个中间路由节点。

可选地，

所述UE与初始接入节点之间采用无线接入空中接口Uu口；

所述初始接入节点与网关节点之间采用无线回程接口Ub口。

可选地，

所述中间路由节点和所述初始接入节点之间采用无线回程接口Ub口，所述中间路由节点和所述网关节点之间采用无线回程接口Ub口；

当所述中间路由节点为两个或两个以上时，所述中间路由节点之间采用无线回程接口Ub口。

可选地，

所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点；

所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点；

所述中间路由节点为实现所述初始接入节点和网关节点之间的通信，并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。

可选地，

所述执行UE与网关节点之间的端到端用户面接入层安全包括：执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护；

所述执行UE与初始接入节点或者宏基站之间的端到端控制面接入层安全包括：执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。

可选地，所述执行UE与网关节点之间的端到端用户面接入层安全包括：在所述UE的数据包汇聚协议安全(PDCP-s)层和所述网关节点的PDCP-s层之间执行所述端到端用户面接入层安全。

可选地，

所述UE和所述网关节点的无线回程接口Ub接口侧从下到上分别包括：物理层(L1)、媒体接入控制层(MAC)、无线链路控制层(RLC)、数据包汇聚协议瘦身层(PDCP-t)和数据包汇聚协议安全层(PDCP-s)；所述初始接入节点和所述中间路由节点从下到上分别包括L1、MAC和RLC，或者，分别包括L1、MAC、RLC和PDCP-t；

如果所述UE的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层；

如果所述网关节点的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层。

可选地，所述执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护包括：

所述UE的上层用户面数据发到空中接口之前，在所述UE的PDCP-s层执行加密和完整性保护，所述用户面数据发送到所述网关节点之后，由所述网关节点在PDCP-s层进行解密和完整性验证；

所述网关节点从核心网获取到需要发送给所述UE的用户面数据，在发到空中接口之前，在所述网关节点的PDCP-s层执行加密和完整性保护，数据发送到所述UE后，由所述UE在PDCP-s层进行解密和完整性验证。

可选地，所述PDCP-s层用于实现：头压缩和解压缩，以及安全操作；其中，安全操作包括：加密、解密、完整性保护和完整性验证。

可选地，所述执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面接入层安全包括：

在所述UE的数据包汇聚协议(PDCP)层和所述初始接入节点或者宏基站的PDCP层之间执行端到端控制面接入层安全。

可选地，

所述UE和所述初始接入节点的无线接入空中接口Uu接口侧从下到上分别包括：L1、MAC、RLC、PDCP层；

所述初始接入节点、所述中间路由节点和所述网关节点在Ub接口侧从下到上分别包括L1、MAC和RLC；或者，包括L1、MAC、RLC和PDCP-t层。

可选地，执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护包括：

所述UE的上行无线资源控制(RRC)层信令在发送到空中接口之前，在所述UE的PDCP层执行加密和完整性保护，所述初始接入节点或者宏基站接收到RRC信令后，执行解密和完整性验证；

所述初始接入节点或者宏基站发送给UE的下行RRC层信令在发送到空中接口之前，在其PDCP层执行加密和完整性保护，所述UE接收到RRC信令后，执行解密和完整性验证。

可选地，

该方法还包括：所述UE和所述网关节点之间生成执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint，

当所述UE仅存在微通信路径时，所述UE和所述网关节点之间生成执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint，包括：

所述UE和所述网关节点基于接入层安全根密钥K_eNB生成所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；

其中，所述UE的K_eNB为所述UE与所述核心网之间执行鉴权和密钥协商(AKA)过程和非接入层(NAS)安全过程后生成的；

所述网关节点的K_eNB为所述UE与所述核心网之间执行AKA过程和NAS安全过程后，由所述核心网发送给所述网关节点的；

当UE存在微通信路径和宏通信路径时，所述UE和所述网关节点之间生成执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint，包括：

所述UE和所述UE的宏通信路径中的宏基站基于K_eNB生成所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；所述宏基站将生成的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint发送给所述网关节点；或者，

所述UE和所述网关节点基于K_eNB生成执行所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；其中，所述网关节点的K_eNB由所述宏基站发送给所述网关节点；

其中，所述UE的K_eNB为所述UE与所述核心网之间执行AKA过程和NAS安全过程后生成的；

其中，所述宏基站的K_eNB为所述UE与所述核心网之间执行AKA过程和NAS安全过程后，由所述核心网发送给所述宏基站的。

可选地，

该方法还包括：当所述UE仅存在微通信路径时，生成执行所述UE与所述初始接入节点之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，

其中，所述生成执行所述UE与所述初始接入节点之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，包括：

所述UE和所述网关节点基于接入层安全根密钥K_eNB生成所述控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint；所述网关节点将所述生成的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint发送给所述初始接入节点；或，所述UE和所述网关节点基于K_eNB、所述初始接入节点的小区的下行绝对载频号(EARFCN-DL)和物理小区标识(PCI)生成接入层控制面安全根密钥K_eNB*；所述网关节点将生成的K_eNB*发送给所述初始接入节点，所述UE和所述初始接入节点基于所述K_eNB*生成所述控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint；

或者，

该方法还包括：当所述UE存在微通信路径和宏通信路径时，生成执行所述UE与所述宏基站之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，

其中，所述生成执行所述UE与所述宏基站之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，包括：

所述UE和所述宏基站基于接入层安全根密钥K_eNB生成所述控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint；

其中，

所述UE的K_eNB为所述UE与所述核心网之间执行AKA过程和NAS安全过程后生成的；

所述网关节点或所述宏基站的K_eNB为所述UE与所述核心网之间执行AKA过程和NAS安全过程后，由所述核心网发送给所述网关节点或宏基站的。

可选地，所述用户面的密钥和控制面的密钥分别独立更新。

本发明实施例还提供了一种UE，至少包括第一处理模块、第一用户面处理模块以及第一控制面处理模块；其中，

第一处理模块，设置为：与核心网之间实现AKA过程和NAS安全过程；

第一用户面处理模块，设置为：执行与网关节点之间的端到端用户面接入层安全；

第一控制面处理模块，设置为：当UE仅存在微通信路径时，执行UE与初始接入节点之间的端到端控制面接入层安全；或者，当UE存在微通信路径和宏通信路径时，执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全；

可选地，

所述第一用户面处理模块是设置为：执行与所述网关节点之间的端到端用户面加密和用户面完整性保护；

所述第一控制面处理模块是设置为：执行与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。

可选地，

在所述UE的微通信路径中，所述UE经过至少两段无线空中接口与所述核心网通信；

所述微通信路径至少包括UE、初始接入节点、网关节点；

可选地，

所述第一用户面处理模块是设置为：在所述UE的PDCP-s层和所述网关节点的PDCP-s层之间执行所述UE与网关节点之间的端到端用户面接入层安全；

所述第一控制面处理模块是设置为：在所述UE的PDCP协议层和所述初始接入节点或者宏基站的PDCP协议层之间执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面接入层安全。

可选地，所述第一用户处理模块是设置为：

在所述UE的上层用户面数据发到空中接口之前，在所述UE的PDCP-s层执行加密和完整性保护，其中，所述用户面数据发送到所述网关节点之后，由所述网关节点在PDCP-s层进行解密和完整性验证；

在所述UE的PDCP-s层对通过空中接口接收到的来自所述网关节点的用户面数据进行解密和完整性验证。

可选地，所述第一控制面处理模块是设置为：

在所述UE的上行RRC层信令在发送到空中接口之前，在所述UE的PDCP层执行加密和完整性保护，其中，所述初始接入节点或者宏基站接收到RRC信令后，执行解密和完整性验证；

在所述UE接收到所述初始接入节点或者宏基站通过空中接口发送的下行RRC层信令后，执行解密和完整性验证。

本发明实施例又提供了一种无线接入小节点，该无线接入小节点为能够通过有线接口接入核心网的无线接入小节点；

该无线接入小节点至少包括第二用户面处理模块，设置为：执行与UE之间的端到端用户面接入层安全；其中，所述端到端用户面接入层安全包括端到端用户面加密和用户面完整性保护。

可选地，

当所述UE经过两段无线空中接口与所述核心网通信时，所述无线接入小节点与初始接入节点通过无线回程接口通信；

当所述UE经过大于两段无线空中接口与所述核心网通信时，所述无线接入小节点与中间路由节点通过无线回程接口通信，所述中间路由节点与初始接入节点通过无线回程接口通信，当所述中间路由节点为两个或两个以上时，所述中间路由节点之间通过无线回程接口通信；

其中，所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点；

所述中间路由节点为实现所述初始接入节点和所述无线接入小节点之间的通信，并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。

可选地，在所述无线接入小节点自身的PDCP-s层和所述UE的PDCP-s层之间执行所述端到端用户面接入层安全过程。

可选地，所述第二用户面处理模块是设置为：

在所述自身的PDCP-s层对通过空中接口接收到的来自所述UE的用户面数据进行解密和完整性验证；

从核心网获取到需要发送给所述UE的用户面数据，在发到空中接口之前，在所述自身的PDCP-s层执行加密和完整性保护。

可选地，所述无线接入小节点还包括用户面密钥生成模块，设置为：

在所述第二用户面处理模块执行与所述UE之间的端到端用户面加密和用户面完整性保护之前，生成执行所述端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint。

可选地，所述用户面密钥生成模块是设置为：

基于接入层安全根密钥K_eNB生成所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；或者，

接收来自所述宏基站的所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；

其中，所述K_eNB由所述核心网或者所述宏基站发送给所述无线接入小节点；

其中，所述宏基站为除所述初始接入节点之外，所述UE通过无线接入链路接入的另一个基站。

本发明实施例还提供了一种无线接入小节点，该无线接入小节点为UE通过无线接入链路接入的无线接入小节点；

该无线接入小节点至少包括第二控制面处理模块，设置为：执行与UE之间的端到端控制面接入层安全；其中，所述端到端控制面接入层安全包括端到端控制面加密和控制面完整性保护。

可选地，在所述无线接入小节点自身的PDCP层和所述UE的PDCP层之间执行所述端到端控制面接入层安全过程。

可选地，所述第二控制面处理模块是设置为：

接收到RRC信令后，执行解密和完整性验证；

在所述自身的PDCP层对发送给所述UE的下行RRC层信令执行加密和完整性保护后发送到空中接口。

可选地，所述无线接入小节点还包括控制面密钥生成模块，设置为：

在所述第二控制面处理模块执行与所述UE之间的端到端控制面加密和控制面完整性保护之前，生成执行所述端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint。

可选地，所述控制面密钥生成模块是设置为：

接收来自网关节点的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，或基于来自网关节点的接入层控制面安全根密钥K_eNB*生成所述控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint。

本发明实施例还提供了一种无线接入小节点，包括上述两种无线接入小节点的任意组合。

此外，本发明实施例还提供一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被执行时实现上述的实现接入层安全的方法。

本申请技术方案包括：执行UE与网关节点之间的端到端用户面接入层安全；以及，当UE仅存在微通信路径时，执行UE与初始接入节点之间的端到端控制面接入层安全；或者，当UE存在微通信路径和宏通信路径时，执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全；其中，微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径；宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。一方面，无论UE的通信路径中经过多少个中间路由节点，用户面安全只在UE和网关节点之间端到端执行，很好地保证了用户面安全，避免了因为经过多段空中接口也即经过多个中间路由节点导致的安全泄露隐患；而控制面安全只在UE和初始接入节点之间端到端执行，在保证控制面安全的前提下减少了控制面安全操作的延时；另一方面，用户面安全只在UE和网关节点之间端到端执行，使得UE在不同的SRAN-node节点之间移动时，只要UE的通信路径最后都是通过同一个节点连接到核心网，则用户面安全是不变的，从而提高了UE的移动性能。此外，用户面安全只在UE和网关节点之间端到端执行，还使得不管UE的通信路径中的中间节点如何改变，都不会导致用户面安全发生改变，从而保证了UE用户面数据传输的连续性。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为传统蜂窝无线接入网络的网络拓扑示意图；

图2为在传统蜂窝无线接入网络的特定区域内部署UDN的示意图；

图3为未来一定区域内的超密集网络部署示意图；

图4为相关技术中LTE系统的安全层级示意图；

图5为图4所示的安全层级示意图对应在LTE系统协议栈中的实现分布图；

图6为本发明实施例的实现接入层安全的方法的流程图；

图7为本发明实施例的实现接入层安全的一个应用场景的示意图；

图8为本发明实施例的实现接入层安全的另一个应用场景的示意图；

图9为本发明实施例基于图7所示应用场景的用户面接入层安全协议架构；

图10为本发明实施例基于图7所示应用场景的实现用户面接入层安全的密钥生成实施流程图；

图11为本发明实施例基于图7所示应用场景的控制面接入层安全协议架构；

图12为本发明实施例基于图7所示应用场景的实现控制面接入层安全的密钥生成第一实施流程图；

图13为本发明实施例基于图7所示应用场景的实现控制面接入层安全的密钥生成第二实施流程图；

图14为本发明实施例基于图8所示应用场景的用户面接入层安全协议架构；

图15为本发明实施例基于图8所示应用场景的控制面接入层安全协议架构；

图16为本发明实施例基于图8所示应用场景的实现用户面接入层安全和控制面接入层安全的密钥生成实施流程图；

图17为本发明实施例的实现逐级节点安全验证的流程图；

图18为本发明实施例的用户设备的组成结构示意图；

图19为本发明实施例的无线接入小节点的组成结构示意图。

本发明的实施方式

下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

为了满足未来10年上千倍业务量增长的预期，UDN将被广泛部署以承担大量业务流量。UDN可以被部署在室内、室外热点区域或者任何有大业务量需求的区域。图3为未来中一定区域内的超密集网络部署示意图，考虑到实际部署网络的基础设施限制，比如在所示区域内有线网络端口数目有限，以及为不增加部署和运营网络的CAPEX和OPEX，实现灵活快捷部署该网络，如图3所示的7个SRAN-node中，只有小节点303和小节点309所部署的位置有有线网络端口，即可以通过图3中的粗黑实线所示的有线回程连接到核心网设备、运营管理维护(OAM，Operation Administration and Maintenance)设备等，如小节点303可以连接到设备302，而小节点309可以连接到设备301。图3中，其他的5个小节点所部署的位置均没有有线网络端口，因此，这些小节点只能通过自身与周围其他小节点之间的无线回程链路(如图3中的虚线所示)，经过一跳无线回程链路或者多跳无线回程链路连接到小节点303或小节点309，最终通过小节点303或小节点309的有线端口连接到核心网设备、OAM设备等。相应地，在图3所示的网络部署中，必然导致很多UE的通信数据需要经过两段甚至两段以上的空口传输，比如：以图3中的UE 310为例，UE310与设备301之间的通信数据需要经过两段空口的传输，即经过与小节点306之间的无线接入链路(如图3中的闪电线所示)，以及小节点306与小节点309之间的无线回程链路来实现与设备301之间的通信。再如：图3中的UE 311与设备301之间的通信数据则需要经过三段空口传输，即经过与小节点307之间的无线接入链路，以及小节点307与小节点306之间的无线回程链路和小节点306与小节点309之间的无线回程链路来实现与设备301之间的通信。

图4为相关技术中长期演进(LTE，Long Term Evolution)系统的安全层级示意图，图5为图4所示的安全层级示意图对应在LTE系统协议栈中的实现分布图，图5中，斜线阴影部分表示控制面，灰阴影部分表示用户面。如图5所示，同时示出了用户面协议栈和控制面协议栈，对核心网设备如移动管理实体/服务网关/数据网关(MME/S-GW/P-GW)而言，这些设备在物理上可以位于同一个物理设备，但逻辑上实现不同的逻辑功能，如图5中最右侧的核心网设备协议栈架构中，控制面协议栈非接入层(NAS)和网络间协议/流控制传输协议(IP/SCTP)在MME上实现，而用户面协议栈应用层协议(APP)和网络间协议/用户数据报协议/用户面隧道协议(IP/UDP/GTP-U)在S-GW/P-GW上实现。根据图4所示，为了保证LTE系统的通信安全，LTE系统会执行三个安全操作，即鉴权和密钥协商(AKA，Authentication and Key Agreement)、非接入层安全密钥协商(NAS SMC，Non-Access Stratum Security Mode Command)、接入层安全密钥协商(AS SMC，Access Stratum Security Mode Command)。

如图4所示，位于UE侧的UE的全球用户身份模块(USIM，Universal Subscriber Identity Module)上会保存有一个安全根密钥K，位于网络侧的鉴权中心(AuC，Authentication Center)设备中也会保存有这个相同的安全根密钥K，这样，在AKA过程中，首先，UE和网络侧的用户归属服务器(HSS，Home Subscriber server)会分别根据上述保存的安全根密钥K，计算出加密密钥(CK，Cipher Key)和完整性密钥(IK，Integrity Key)；然后，UE和HSS再分别根据所生成的CK、IK计算得到安全管理密钥K_ASME，安全管理密钥K_ASME是后续NAS层安全和AS层安全的根密钥。在AKA过程中，除了上述生成安全管理密钥K_ASME，UE和HSS之间还完成相互之间的身份认证，以确保对方设备的合法性。

完成了AKA过程后，UE和位于网络侧的移动管理实体(MME，Mobility Management Entity)之间就可以执行NAS SMC过程。具体包括：UE和MME根据AKA过程中生成的安全管理密钥K_ASME派生出NAS层完整性密钥K_NAS _int和NAS层安全密钥K_NAS enc。对应于图5的LTE系统协议栈，NAS层安全在UE侧的NAS协议层和MME侧的NAS协议层之间端到端实现，UE和MME的NAS层信令在传给对端之前，会用NAS层完整性密钥K_NAS int、NAS层安全密钥K_NAS enc进行完整性保护和加密，以保证NAS信令的安全性。

在NAS SMC过程中，MME还基于安全管理密钥K_ASME和NAS层的上行NAS计数值(uplink NAS COUNT)，计算生成AS层的根密钥K_eNB，并将AS层的根密钥K_eNB通知给UE所接入的基站(eNB)，此后在eNB和UE之间可以执行AS SMC过程，以保证UE和eNB之间的无线接入空中接口(Uu口)的安全性。具体包括：UE和eNB根据K_eNB派生出Uu口控制面的完整性密钥K_RRC int和Uu口控制面的安全密钥K_RRC enc，派生出Uu口用户面的安全密钥K_UP enc，对于通信双方为中继设备(relay)和eNB的情况(为了方便区分，相关技术中将relay和eNB之间的接口称为Un接口)，还可以派生出空中接口Un口的用户面完整性密钥K_UP int。对应于图5的LTE系统协议栈，AS层安全在图5所示的UE侧的数据包汇聚协议(PDCP，Packet Data Convergence Protocol)层和eNB侧的PDCP协议层之间端到端实现。UE和eNB的无线资源控制(RRC，Radio Resource Control)层信令在传输给对端之前，会在PDCP层用Uu口控制面的完整性密钥K_RRC int、Uu口控制面的安全密钥K_RRC enc进行完整性保护和加密；UE的上层数据和上层NAS层信令等在传输给eNB之前，以及eNB在将来自S1接口的数据和信令等传输给UE之前，会在PDCP层用Uu口用户面的安全密钥K_UP enc进行加密，对于Un口传输的情况，这些数据和信令还会在PDCP层用Un口的用户面完整性密钥K_UP int进行完整性保护。通过AS层安全，保证了信息在无线空口传输的安全性。

图6为本发明实施例的实现接入层安全的方法的流程图，如图6所示，所述方法包括以下步骤：

步骤600：UE与核心网之间实现AKA过程和NAS层安全过程。本步骤的具体实现属于本领域技术人员的公知技术，具体实现并不用于限定本申请的保护范围，这里不再赘述。

步骤601：执行UE与网关节点之间的端到端用户面接入层安全；以及，当UE仅存在微通信路径时，执行UE与初始接入节点之间的端到端控制面接入层安全；或者，当UE存在微通信路径和宏通信路径时，执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全；

本步骤中，

执行UE与网关节点之间的端到端用户面接入层安全过程包括：执行UE与网关节点之间的端到端用户面加密和用户面完整性保护；

执行UE与初始接入节点或者宏基站之间的端到端控制面接入层安全过程包括：执行UE与初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。

可选地，

在微通信路径中，UE经过至少两段无线空中接口与所述核心网通信；

微通信路径至少包括UE、初始接入节点、网关节点；

当UE经过大于两段无线空中接口与核心网通信时，微通信路径中还包括至少一个中间路由节点。

其中，

初始接入节点为UE通过无线接入链路接入的无线接入小节点；

网关节点为能够通过有线接口接入核心网的无线接入小节点；

中间路由节点为实现初始接入节点和网关节点之间的通信，并最终实现接入初始接入节点的UE与核心网之间的通信提供中继传输的无线接入小节点。

图7为本发明实施例的实现接入层安全的一个应用场景的示意图。基于图3所示，在未来的网络中，UE与核心网之间的通信数据需要经过两段甚至两段以上的空口传输。如图7所示，假设一个UE经过三段空中接口与核心网通信，UE通过无线接入链路接入无线接入小节点1(SRAN-node1)，将SRAN-node1称为初始接入节点，UE和SRAN-node1之间的接口即为无线接入空中接口即Uu接口。图7中，SRAN-node1无法通过有线接口(或者没有有线接口)直接接入核心网，SRAN-node1通过无线回程链路与无线接入小节点2(SRAN-node2)通信，将SRAN-node2称为中间路由节点，SRAN-node1和SRAN-node2之间的接口称为无线回程接口即Ub接口。SRAN-node2也无法通过有线接口直接接入核心网，SRAN-node2通过无线回程链路与无线接入小节点3(SRAN-node3)通信，而SRAN-node3可以通过有线接口直接接入核心网，将SRAN-node3称为网关节点，SRAN-node2和SRAN-node3之间的接口同样称为Ub接口。SRAN-node3与核心网(EPC，Evolved Packet Core)之间通过有线接口直接连接，承载在该有线接口上的SRAN-node3和EPC之间的逻辑接口为LTE相关技术中的S1接口。中间路由节点为实现初始接入节点和网关节点之间的通信从而最终实现接入初始接入节点的UE与核心网设备之间的通信提供中继传输。

图7中仅以UE经过三段空中接口(一段Uu接口和两段Ub接口)与核心网通信为例进行说明，在未来网络中，UE也可能经过两段空中接口(一段Uu接口和一段Ub接口)与核心网通信，或者UE可能经过超过三段空中接口(一段Uu接口和n段Ub接口(n>2))与核心网通信。也就是说，UE经过至少两段无线空中接口与核心网通信，UE经过至少两段无线空中接口与核心网通信的通信路径中，至少包括UE、初始接入节点、网关节点；其中，两段无线空中接口包括：UE和初始接入节点之间的无线接入空中接口(Uu口)和初始接入节点与网关节点之间的无线回程接口(Ub口)。当UE经过大于两段无线空中接口与核心网通信时，通信路径中还包括至少一个中间路由节点，此时，大于两段无线空中接口包括：UE和初始接入节点之间的Uu口、初始接入节点和中间路由节点之间的Ub口、中间路由节点和网关节点之间的Ub口；可选地，如果有超过两个中间路由节点时，还包括中间路由节点之间的Ub口。

对于图7所示的本发明实施例的实现接入层安全的一个应用场景，步骤601中执行的端到端控制面接入层安全是在UE与初始接入节点之间执行。

图8为本发明实施例的实现接入层安全的另一个应用场景的示意图。在实际应用中，基于图2，未来的超密集网络还有一种场景是部署在有传统蜂窝覆盖的区域内。如8图所示，SRAN-node1、SRAN-node3等小节点密集部署在宏基站(MNB)的覆盖范围内(为了图示清晰，图8中只示意出两个小节点)，其中，SRAN-node3可以通过有线回程链路连接到核心网(CN)设备，而SRAN-node1只能通过无线回程链路连接到SRAN-node3并通过SRAN-node3连接到CN设备。在图8中，一方面，UE通过与MNB之间的无线接入链路接入MNB，另一方面，UE通过与SRAN-node1之间的无线接入链路接入SRAN-node1。通过UE与MNB和SRAN-node1之间的双连接，可以根据需要实现业务在两者之间的合理分配，比如：大流量业务在UE和SRAN-node1之间传输，而小流量业务在UE和MNB之间传输；再如：高可靠性业务在UE和MNB之间传输，而对可靠性要求不太严格的业务在UE和SRAN-node1之间传输等；还可以通过UE与MNB和SRAN-node1之间的双连接，实现控制面信令和用户面数据的分离，比如控制面管理信令在UE和MNB之间传输，而用户面数据在UE和SRAN-node1之间传输。

也就是说，对于图8所示的双连接场景，一方面，UE通过无线接入链路与宏基站(MNB)连接(将UE通过无线接入链路接入MNB最终接入核心网的通信路径称为宏通信路径)，另一方面，UE通过无线接入链路与SRAN-node连接(将UE通过无线接入链路接入SRAN-node最终接入核心网的通信路径称为微通信路径)；其中，UE的微通信路径中，UE经过至少两段无线空中接口与核心网通信。同样，在微通信路径中至少包括UE、初始接入节点、网关节点，两段无线空中接口包括UE和初始接入节点之间的无线接入空中接口(Uu口)和初始接入节点与网关节点之间的无线回程接口(Ub口)。当UE经过大于两段无线空中接口与核心网通信时，微通信路径中还包括至少一个中间路由节点，大于两段无线空中接口包括UE和初始接入节点之间的Uu口、初始接入节点和中间路由节点之间的Ub口、中间路由节点和网关节点之间的Ub口；可选地，如果有超过两个中间路由节点时，还包括中间路由节点之间的Ub口。

对于图8所示的本发明实施例的实现接入层安全的另一个应用场景，步骤601中执行的端到端控制面接入层安全是在UE与宏基站之间执行。

下面针对本发明实施例的不同应用场景，详细描述本发明实施例的方法的具体实现。

图9为本发明实施例基于图7所示应用场景的用户面接入层安全协议架构，在UE和网关节点(如SRAN-node3)之间执行端到端的用户面接入层安全(E2E UP security，End-to-End UP security)过程，即在UE的PDCP安全(PDCP-s，PDCP security)协议层和SRAN-node3的PDCP-s协议层之间执行端到端用户面接入层安全过程。

如图9所示，UE和SRAN-node3在E2E UP security两端，从下到上分别包括：物理层(L1)、媒体接入控制层(MAC，Media Access Control)、无线链路控制层(RLC，Radio Link Control)、数据包汇聚协议瘦身层(PDCP-t，Packet Data Convergence Protocol thined)、数据包汇聚协议安全层(PDCP-s，Packet Data Convergence Protocol security)。

其中，

PDCP-s层完成以下功能：头压缩和解压缩、安全操作；其中，安全操作，包括加密、解密、完整性保护和完整性验证；

PDCP-t层完成相关LTE技术中PDCP子层除PDCP-s层功能之外的其他功能，比如：数据传输；PDCP包序列号维护；RLC层重建时向上层按序传递数据包；RLC层重建时，对RLC确认模式数据包的重复包检测和丢弃；基于时间的包丢弃；重复包丢弃等。

需要说明的是，PDCP-s和PDCP-t层也可以合并成一个协议层实现，合并在一起即为相关LTE技术中的PDCP子层。

本发明实施例中，在执行UE和网关节点(如SRAN-node3)之间的端到端用户面接入层安全过程时，UE通信路径中的其他接入网节点，包括初始接入节点和中间路由节点并不参与接入层安全操作，因此，如图9所示，在UE通信路径的其他接入网节点上，也就是说，在初始接入节点如 SRAN-node1，在中间路由节点如SRAN-node2上，不需要实现PDCP-s协议层。为了实现UE通信路径中每段无线空中接口上通信双方的通信，SRAN-node1和SRAN-node2在其通信的每个无线空中接口上从下到上分别包括L1、MAC、RLC等协议层，可选地，还可以包括PDCP-t协议层。具体来讲：

SRAN-node1为实现与UE的Uu口通信，在Uu接口侧从下到上分别包括L1、MAC、RLC等协议层，可选地，还可以包括PDCP-t协议层；

SRAN-node1为实现与中间路由节点SRAN-node2的Ub1口通信，在Ub1接口侧从下到上分别包括L1、MAC、RLC等协议层，可选地，还可以包括PDCP-t协议层；

SRAN-node2为实现与初始接入节点SRAN-node1的Ub1口通信，在该Ub1接口侧从下到上分别包括L1、MAC、RLC等协议层，可选地，还可以包括PDCP-t协议层；

SRAN-node2为实现与网关节点SRAN-node3的Ub2口通信，在该Ub2接口侧从下到上分别包括L1、MAC、RLC等协议层，可选地，还可以包括PDCP-t协议层。

以图7所示的应用场景为例，执行UE和网关节点(如SRAN-node3)之间的端到端用户面接入层安全过程包括：执行UE和SRAN-node3之间的端到端的用户面加密和用户面完整性保护。结合图9，UE的上层用户面数据，具体UE的上层用户面数据是指来自UE的PDCP-s层以上的协议层的数据，比如图9中UE的应用层(APP)数据，再如UE的NAS层信令等在发到空中接口(Uu口)之前，需要在PDCP-s层执行加密和完整性保护，数据发送到SRAN-node3之后，由SRAN-node3在PDCP-s层进行解密和完整性验证；同样，网关节点(如SRAN-node3)从核心网的S-GW/P-GW获取到需要发送给UE的用户面数据，SRAN-node3在发到空中接口(Ub口)之前，需要在PDCP-s层执行加密和完整性保护，数据发送到UE后，由UE在PDCP-s层进行解密和完整性验证。也就是说，所有用户面数据在第一次进入空中接口传输之前，执行端到端用户面加密和用户面完整性保护，从而确保了用户面数据在包括两段甚至两段以上空中接口的通信路径中传输时的安全性。

图10为本发明实施例的基于图7所示应用场景的实现用户面接入层安全的密钥生成实施流程图，通过图10所示的安全密钥生成方法，可以生成本发明实施例中执行UE和网关节点之间端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint。如图10所示，上述过程包括：

步骤1000：UE和核心网之间执行AKA过程，执行完AKA过程后，在UE和核心网设备(如HSS)分别计算得到安全管理密钥K_ASME。

本步骤UE和核心网之间执行AKA过程的具体实现属于本领域技术人员的公知技术，并不用于限定本申请的保护范围，这里不再赘述。

步骤1001：UE和核心网设备(如MME)之间执行NAS层安全过程(NAS SMC)，在执行NAS层安全过程后，在UE和MME分别生成NAS层的安全密钥即NAS层完整性密钥K_NAS int和NAS层安全密钥K_NAS enc。

在NAS层安全过程中，MME除了生成NAS层的安全密钥之外，还基于AKA所生成的K_ASME和NAS SMC中所生成的uplink NAS COUNT，计算生成AS层的根密钥K_eNB。

本步骤UE和MME之间执行NAS层安全过程的具体实现属于本领域技术人员的公知技术，并不用于限定本申请的保护范围，这里不再赘述。

步骤1002：MME将UE的安全信息发送给UE通信路径中的网关节点，如图7中的SRAN-node3。

本步骤中，MME发送给SRAN-node3的UE的安全信息包括AS层的根密钥K_eNB和UE的安全能力(UE security capability)；其中，UE security capability包括UE所支持的完整性保护算法和UE所支持的加密算法。

步骤1003：SRAN-node3选择安全算法，生成端到端用户面安全密钥即用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc。

本步骤中，SRAN-node3从UE security capability中选择UE和自身都支持的完整性保护算法和加密算法，由AS层的根密钥K_eNB派生出用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc。具体密钥派生算法与LTE相关技术中的方法完全一致，属于本领域技术人员的公知技术，并不用于限定本申请的保护范围，这里不再赘述。

步骤1104：SRAN-node3向UE发起E2E接入层安全模式命令，在E2E接入层安全模式命令中携带有SRAN-node3本地派生出用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc时用到的接入层用户面完整性保护算法和接入层用户面加密算法。

本步骤中，SRAN-node3发给UE的E2E接入层安全模式命令是经过SRAN-node2和SRAN-node1发送给UE的。

步骤1005：UE生成端到端用户面安全密钥即用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc。

本步骤中，UE利用由AKA过程生成的安全管理密钥K_ASME，以及NAS层安全过程产生的uplink NAS COUNT生成AS层的根密钥K_eNB，根据来自SRAN-node3的E2E接入层安全模式命令中携带的接入层用户面完整性保护算法和接入层用户面加密算法，派生出用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc。

步骤1006：UE经由SRAN-node1和SRAN-node2，向SRAN-node3发送E2E接入层安全模式完成消息。

自此，UE和网关节点之间生成了端到端用户面接入层安全的密钥即用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc，UE和网关节点之间可以执行端到端用户面接入层安全操作。

图11为本发明实施例基于图7所示应用场景的控制面接入层安全协议架构，在UE和初始接入节点(如SRAN-node1)之间执行端到端的控制面接入层安全(E2E CP security)过程，即在UE的PDCP协议层和SRAN-node1的PDCP协议层之间执行端到端控制面接入层安全过程。

如图11所示，UE和SRAN-node1在E2E CP security两端，从下到上分别包括L1、MAC、RLC、PDCP等协议层。

本发明实施例中，在执行UE和初始接入节点(如SRAN-node1)之间的端到端控制面接入层安全过程时，UE通信路径中的其他接入网节点，包括中间路由节点和网关节点并不参与接入层控制面安全操作，因此，如图11 所示，在UE通信路径的其他接入网节点上，也就是说，在中间路由节点如SRAN-node2，在网关节点如SRAN-node3上，不需要实现PDCP协议层中的安全功能。但是，为了实现UE通信路径中每段无线空中接口上通信双方的用户面通信，SRAN-node1、SRAN-node2、SRAN-node3在其通信的每个无线回程链路接口上从下到上分别包括L1、MAC、RLC等协议层，可选地，还可以包括PDCP-t协议层。具体来讲：

为了实现SRAN-node1与SRAN-node2之间的Ub1口通信，SRAN-node1和SRAN-node2在该Ub1接口侧从下到上分别包括L1、MAC、RLC等协议层，可选地，还可以包括PDCP-t协议层；

为了实现SRAN-node2与SRAN-node3之间的Ub2口通信，SRAN-node2和SRAN-node3在该Ub2接口侧从下到上分别包括L1、MAC、RLC等协议层，可选地，还可以包括PDCP-t协议层。

以图7所示的应用场景为例，执行UE和初始接入节点(如SRAN-node1)之间的端到端控制面接入层安全过程包括：执行UE和SRAN-node1之间的端到端控制面加密和控制面完整性保护。结合图11所示，UE的上行RRC层信令在发送到空中接口(Uu口)之前，需要在PDCP层执行加密和完整性保护，SRAN-node1接收到RRC信令后，执行解密和完整性验证；同样，SRAN-node1作为UE的初始接入节点，其发送给UE的下行RRC层信令在发送到Uu口之前，需要在PDCP层执行加密和完整性保护，UE接收到RRC信令后，执行解密和完整性验证，从这样，保证了RRC控制信令在空口传输的安全性。

图12为本发明实施例基于图7所示应用场景的实现控制面接入层安全的密钥生成第一实施流程图，图12给出了一种本发明实施例的UE和初始接入节点之间端到端控制面接入层安全密钥的生成方法，通过图12所示的安全密钥生成方法，可以生成本发明实施例中执行UE和初始接入节点之间端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint。如图12所示，上述过程包括：

步骤1200：UE和核心网之间执行AKA过程，执行完AKA过程后，在UE和核心网设备(如HSS)分别计算得到安全管理密钥K_ASME。

步骤1201：UE和核心网设备(如MME)之间执行NAS层安全过程(NAS SMC)，在执行NAS层安全过程后，在UE和MME分别生成NAS层的安全密钥即NAS层完整性密钥K_NAS int和NAS层安全密钥K_NAS enc。

步骤1202：MME将UE的安全信息发送给UE通信路径中的网关节点如图7中的SRAN-node3。UE的安全信息包括AS层的根密钥K_eNB和UE的安全能力。本步骤具体实现与图10中的步骤1002完全一致，这里不再赘述。

可选地，如果MME获得了UE的初始接入接入节点(如SRAN-node1)的安全能力信息，则MME还可以将SRAN-node1的安全能力信息发送给网关节点。SRAN-node的安全能力信息包括SRAN-node1所支持的接入层控制面完整性保护算法和接入层控制面加密算法。

步骤1203：SRAN-node3向UE所接入的初始接入节点(如图7中的SRAN-node1)索要SRAN-node1所支持的安全能力信息，包括接入层控制面完整性保护算法和接入层控制面加密算法。

这里，SRAN-node3向SRAN-node1索要控制面安全算法的消息，以及SRAN-node1向SRAN-node3发送控制面安全算法的消息均经由SRAN-node2发送给对方。消息的具体实现可以使采用现有消息，也可以采用新消息，具体实现对于本领域技术人员来讲是容易实现的，这里并不对其进行限定，也不用于限定本申请的保护范围，这里不再赘述。

如果步骤1202中SRAN-node3已经从MME处获得了SRAN-node1的安全能力信息，则本步骤可以省略。

步骤1204：SRAN-node3生成控制面安全密钥即控制面的安全密钥 K_RRCenc和控制面的完整性密钥K_RRCint。

本步骤中，SRAN-node3从UE security capability和SRAN-node1 security capability中选择双方共同支持的接入面控制层安全算法，即选择双方共同支持的控制面完整性保护算法和控制面加密算法，再由AS层的根密钥K_eNB派生出控制面的安全密钥K_RRCenc和控制面的完整性密钥K_RRCint。

步骤1205：SRAN-node3通知SRAN-node1控制面安全密钥，通知的内容包括：控制面的安全密钥K_RRCenc、控制面的完整性密钥K_RRCint、接入层控制面完整性保护算法和接入层控制面加密算法。其中，通知消息经由SRAN-node2发送给SRAN-node1。

步骤1206：SRAN-node1向UE发送接入层安全模式命令，在接入层安全模式命令中携带SRAN-node1所接收到的SRAN-node3派生控制面密钥所使用的接入层控制面完整性保护算法和接入层控制面加密算法。

步骤1207：UE生成控制面安全密钥即控制面的安全密钥K_RRCenc、控制面的完整性密钥K_RRCint。

本步骤中，UE利用AKA过程生成的安全管理密钥K_ASME，以及NAS层安全过程产生的uplink NAS COUNT生成的AS层的根密钥K_eNB，以及收到的接入层控制面安全算法(即接入层控制面完整性保护算法和接入层控制面加密算法)派生出控制面的安全密钥K_RRCenc、控制面的完整性密钥K_RRCint。

步骤1208：UE向SRAN-node1发送接入层安全模式完成消息。

自此，UE和初始接入节点之间生成了端到端控制面接入层安全的密钥即控制面的安全密钥K_RRCenc、控制面的完整性密钥K_RRCint，UE和初始接入节点之间可以执行端到端控制面接入层安全操作。

图13为本发明实施例基于图7所示应用场景的实现控制面接入层安全的密钥生成第二实施流程图，通过图13所示的安全密钥生成方法，可以生成本发明实施例中执行UE和初始接入节点之间端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint。如图13所示，上述过程包括：

步骤1300～步骤1302与图12中的步骤1200～步骤1202完全一致，这里不再赘述。

步骤1303：SRAN-node3接收到UE的安全信息后，由UE所接入的SRAN-node1小区的下行绝对载频号(EARFCN-DL，E-UTRA Absolute Radio Frequency Channel Number)、物理小区标识(PCI，Phisical Cell Identity)和所收到的AS层的根密钥K_eNB，派生出接入层控制面根密钥K_eNB*。

步骤1304：SRAN-node3将所派生出的控制面安全根密钥K_eNB*发送给SRAN-node1。

可选地，如果SRAN-node1没有UE的UE security capability，步骤1302中，SRAN-node3还将UE security capability发送给SRAN-node1。

步骤1305：SRAN-node1选择接入层控制面完整性保护算法、接入层控制面加密算法，并由K_eNB*派生出控制面安全密钥即控制面的安全密钥K_RRCenc和控制面的完整性密钥K_RRCint。

本步骤的相关密钥派生算法与LTE相关技术中的控制面密钥派生算法一致，并不用于限定本申请的保护范围，这里不再赘述。

步骤1306：SRAN-node1向UE发送接入层安全模式命令，在接入层安全模式命令中携带SRAN-node1派生接入层控制面密钥时所选择使用的接入层控制面完整性保护算法和接入层控制面加密算法。

步骤1307：UE生成控制面安全密钥即控制面的安全密钥K_RRCenc、控制面的完整性密钥K_RRCint。

本步骤中，首先，UE利用AKA过程生成的安全管理密钥K_ASME和NAS层安全过程产生的uplink NAS COUNT生成的AS层的根密钥K_eNB；然后，UE再利用AS层的根密钥K_eNB，UE所接入的SRAN-node1小区的EARFCN-DL、PCI，派生出接入层控制面根密钥K_eNB*；最后，UE利用K_eNB*，使用步骤1306中所接收到的接入层控制面完整性保护算法、接入层控制面加密算法，派生出控制面安全密钥即控制面的安全密钥K_RRCenc、控制面的完整性密钥K_RRCint。

步骤1308：UE向SRAN-node1发送接入层安全模式完成消息。

自此，UE和初始接入节点之间生成了端到端控制面接入层安全的密钥即控制面的安全密钥K_RRCenc、控制面的完整性密钥K_RRCint，UE和初始接入节点之间可以执行端到端可控制面接入层安全操作。

由图10、图12、图13的密钥生成实施流程及相应描述可见，对于图7所示的场景中，本发明实施例的密钥生成流程中，在AKA和NAS层安全过程之后，生成用户面端到端接入层安全密钥和生成控制面端到端接入层安全密钥的过程可以独立执行，因此，本发明实施例中，当用户面端到端接入层安全密钥和控制面端到端接入层安全密钥需要更新时，可以分别独立更新。比如，当用户面的某个无线承载(RB，Radio Bear)上的PDCP计数值(PDCP COUNT)发生计数翻转需要重新开始计数时，网关节点(如SRAN-node3)可以发起独立的用户面端到端接入层安全密钥更新过程，而保持UE与初始接入节点之间的端到端控制面接入层安全密钥不变。具体而言，网关节点(如SRAN-node3)发起用户面端到端接入层安全密钥更新的行为可以是，网关节点(如SRAN-node3)基于K_eNB和网关节点上的小区的EARFCN-DL、PCI生成一个新的K_eNB**，之后，网关节点(如SRAN-node3)基于该K_eNB**，采取如图10中步骤1003到步骤1006的方法生成新的用户面接入层安全密钥，这里，在步骤1004中，网关节点(如SRAN-node3)除将所选择的接入层完整性保护算法和接入层加密算法通知给UE之外，还将生成的新的K_eNB**通知给UE，UE基于所接收到的K_eNB**、接入层完整性保护算法和接入层加密算法生成新的用户面接入层安全密钥。

从上述结合图7所示的场景的描述可见，本发明实施例中，用户面执行UE与UE的所述通信路径中的网关节点之间的端到端接入层安全，控制面执行UE与UE的所述通信路径中UE所接入的初始接入节点之间的端到端接入层安全。通过本发明实施例基于图7所示的应用场景的实现接入层安全的方法，一方面，无论UE的通信路径中经过多少段空中接口，也即无论UE的通信路径中经过多少个中间路由节点，用户面安全只在UE和网关节点之间端到端执行，很好地保证了用户面安全，避免了因为经过多段空中接口也即经过多个中间路由节点导致的安全泄露隐患；而控制面安全只在UE和初始接入节点之间端到端执行，在保证控制面安全的前提下减少了控制面安全操作的延时；另一方面，用户面安全只在UE和网关节点之间端到端执行，使得 UE在不同的SRAN-node节点之间移动时，只要UE的通信路径最后都是通过同一个网关节点连接到核心网，则用户面安全是不变的，从而提高了UE的移动性能。此外，用户面安全只在UE和网关节点之间端到端执行，还使得不管UE的通信路径中的中间节点如何改变，都不会导致用户面安全发生改变，从而保证了UE用户面数据传输的连续性。

图14为本发明实施例基于图8所示另一应用场景的用户面接入层安全协议架构。如图14所示，用户面执行UE与UE的微通信路径中的网关节点之间的端到端接入层安全，即在UE的PDCP-s协议层和网关节点(如图8所示的SRAN-node3)的PDCP-s协议层之间执行端到端用户面接入层安全过程。UE和SRAN-node3在E2E UP security两端，从下到上分别包括L1、MAC、RLC、PDCP-t、PDCP-s。UE的微通信路径中的其他接入网节点，包括初始接入节点和中间路由节点均不参与接入层安全操作。安全操作包括执行UE和网关节点SRAN-node3之间的端到端用户面加密和用户面完整性保护。

图15为本发明实施例基于图8所示另一应用场景的控制面接入层安全协议架构。如图15所示，控制面执行UE与UE的宏通信路径中的宏基站之间的端到端接入层安全，即在UE的PDCP协议层和宏基站的PDCP协议层之间执行端到端控制面接入层安全。UE和MNB在E2E CP security两端，从下到上分别包括L1、MAC、RLC、PDCP等协议层。安全操作包括执行UE和宏基站之间的端到端控制面加密和控制面完整性保护。

图16为本发明实施例基于图8所示另一应用场景的实现用户面接入层安全和控制面接入层安全的密钥生成实施流程图。如图16所示，给出了图8所示的双连接场景下，执行控制面和用户面分离的接入层安全的安全密钥生成的方法。通过图16所示的安全密钥生成方法，可以生成执行本发明实施例中UE与UE的微通信路径中的网关节点之间的端到端接入层安全所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint，以及生成执行本发明实施例中UE与UE的宏通信路径中的宏基站之间的端到端接入层安全所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint。如图16所示，上述过程包括：

步骤1600～步骤1601与步骤1000～步骤1001完全一致，这里不再赘述。

步骤1602：MME将UE的安全信息发送给MNB。

在步骤1601的NAS层安全过程中，MME除了生成NAS层的安全密钥之外，还基于AKA所生成的K_ASME和NAS SMC中所生成的uplink NAS COUNT，计算生成AS层的根密钥K_eNB。

本步骤中，MME发送给MNB的UE的安全信息包括AS层的根密钥K_eNB和UE的安全能力(UE security capability)；其中UE security capability包括UE所支持的完整性保护算法和UE所支持的加密算法。

步骤1603：MNB选择安全算法，由AS层的根密钥K_eNB派生出控制面安全密钥即控制面的安全密钥K_RRCenc和控制面的完整性密钥K_RRCint；或者，MNB选择安全算法，由AS层的根密钥K_eNB派生出控制面和用户面安全密钥即控制面的安全密钥K_RRCenc和控制面的完整性密钥K_RRCint，以及用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc。

本步骤中，MNB从UE security capability中选择UE和MNB都支持的完整性保护算法和加密算法，由AS层的根密钥K_eNB派生上述接入层密钥。具体密钥派生算法与LTE相关技术中的方法完全一致，具体实现并不用于限定本申请的保护范围，这里不再赘述。

步骤1604：MNB将用户面安全密钥通知给网关节点如图8中的SRAN-node3。

如果步骤1603中MNB派生出用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc，那么，本步骤中，MNB将派生出的用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc发送给SRAN-node3。

如果步骤1603中MNB未派生出用户面安全密钥，那么，本步骤中，MNB将AS层的根密钥K_eNB，以及步骤1603中所选择出的安全算法(包括接入层完整性保护算法和接入层加密算法)发送给SRAN-node3。此时，本发明实施例还包括步骤1604-1，在步骤1604-1中，SRAN-node3利用接收到AS层的根密钥K_eNB和接入层安全算法，派生出用户面安全密钥即用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc。

步骤1605：MNB向UE发起接入层安全模式命令，在接入层安全模式命令中携带有步骤1603中MNB所选择出的接入层完整性保护算法和接入层加密算法。

步骤1606：UE生成端到端用户面安全密钥即用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc，以及端到端控制面安全密钥即控制面的安全密钥K_RRCenc和控制面的完整性密钥K_RRCint。

本步骤中，UE利用AKA过程生成的安全管理密钥K_ASME和NAS层安全过程产生的uplink NAS COUNT生成的AS层的根密钥K_eNB，以及收到的安全算法派生出上述安全密钥即端到端用户面安全密钥即用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc，以及端到端控制面安全密钥即控制面的安全密钥K_RRCenc和控制面的完整性密钥K_RRCint。

步骤1607：UE向MNB发送接入层安全模式完成消息。

自此，UE和网关节点之间生成了端到端用户面接入层安全的密钥即用户面完整性密钥K_UPint和用户面的安全密钥K_UPenc，UE和MNB之间生成了端到端控制面接入层安全的安全密钥即控制面的安全密钥K_RRCenc和控制面的完整性密钥K_RRCint，UE和网关节点之间，UE和MNB之间可以分别执行端到端用户面接入层安全操作和端到端控制面接入层安全操作。

对于图8所示的双连接场景中，用户面执行UE与UE的微通信路径中的网关节点之间的端到端接入层安全，控制面执行UE与UE的宏通信路径中的宏基站之间的端到端接入层安全，实现用户面和控制面相互独立的灵活的密钥更新过程，比如，当微通信路径中用户面的某个无线承载(RB，Radio Bear)上的PDCP计数值(PDCP COUNT)发生计数翻转需要重新开始计数时，实现用户面密钥的更新而保持控制面密钥不变，结合图16，在步骤1601的NAS层安全过程中，MME生成两个AS层个根密钥，分别为用户面安全根密钥K_eNB-U和控制面安全根密钥K_eNB-C，并在步骤1602中将生成的用户面安全根密钥K_eNB-U和控制面安全根密钥K_eNB-C发送给MNB，此后，图16的步骤1603、1604-1和步骤1606中，MNB、SRAN-node3和UE会分别基于K_eNB-U生成用户面安全密钥K_UPint，用户面完整性密钥K_UPenc，基于K_eNB-C生成控制面安全密钥K_RRCint，控制面完整性密钥K_RRCenc。基于此，当网关节点(如SRAN-node3)需要发起独立的用户面接入层安全密钥更新时，对于图 16的方法中有步骤1604-1的实现，具体更新过程可以是，网关节点(如SRAN-node3)基于K_eNB-U和网关节点上的小区的EARFCN-DL、PCI生成一个新的K_eNB-U**，之后，网关节点(如SRAN-node3)基于该K_eNB-U**，采取如图16中步骤1604-1的方法生成新的用户面接入层安全密钥。与此同时，网关节点在生成K_eNB-U**之后，将该K_eNB-U**通知给MNB，MNB收到后，在步骤1605中将该K_eNB-U**通知给UE，UE在步骤1606中基于该K_eNB-U**生成新的用户面接入层安全密钥。

从上述结合图8所示的场景的描述可见，双连接场景下UE同时具有宏通信路径和微通信路径两个连接，用户面执行UE与UE的微通信路径中的网关节点之间的端到端接入层安全，控制面执行UE与UE的宏通信路径中的宏基站之间的端到端接入层安全。通过本发明实施例基于图8所示的应用场景的实现接入层安全的方法，一方面，无论UE的微通信路径中经过多少段空中接口，也即无论UE的微通信路径中经过多少个中间路由节点，用户面安全只在UE和网关节点之间端到端执行，很好地保证了用户面安全，避免了因为经过多段空中接口也即经过多个中间路由节点导致的安全泄露隐患；而控制面安全只在UE和宏基站之间端到端执行，在保证控制面安全的前提下减少了控制面安全操作的延时；另一方面，用户面安全只在UE和网关节点之间端到端执行，使得UE在不同的SRAN-node节点之间移动时，只要UE的通信路径最后都是通过同一个网关节点连接到核心网，则用户面安全是不变的，从而提高了UE的移动性能。此外，用户面安全只在UE和网关节点之间端到端执行，还使得不管UE的微通信路径中的中间节点如何改变，都不会导致用户面安全发生改变，从而保证了UE用户面数据传输的连续性。

可选地，以图3所示的未来超密集网络中，只有少部分小节点能通过有线网络端口连接到核心网，而更多的小节点则只能通过一跳甚至多跳无线回程链路连接到这些有有线网络端口的小节点之后才能接入核心网，如何保证这些小节点的合法性以及这些小节点接入网络的安全性，也是未来超密集网络中需要考虑的问题。

本发明实施例中的每个小节点均具有自己的通用集成电路卡(UICC，Universal Integrated Circuit Card)，且小节点与其UICC卡之间建立了节点与 UICC接口的安全通道，通过这个安全通道，小节点与网络之间执行双向认证，保证了小节点的合法性。为了保证小节点接入网络的安全性，图17示意了逐级节点安全验证过程，仍以图7所示UE的通信路径中的小节点为例，中间路由节点如SRAN-node2连接至网关节点如SRAN-node3，而初始接入节点如SRAN-node1连接至SRAN-node2，逐级节点安全验证是指，网络逐级对网关节点、中间路由节点和初始接入节点进行安全验证。图17为本发明实施例的实现逐级安全验证的实施例的流程图。如图17所示，上述过程包括：

步骤1700：网关节点如SRAN-node3的安全验证。

由于网关节点与核心网之间存在有线连接，因此对网关节点的安全认证，可以通过有线接口采用IP安全等方式进行验证。具体实现属于本领域技术人员熟知的，并不用于限定本申请的保护范围，这里不再赘述。

步骤1701：中间路由节点如SRAN-node2的安全验证。

类似UE，在如图7所示的通信路径中，对中间路由节点如SRAN-node2而言，网关节点如SRAN-node3相当于SRAN-node2所接入的基站(eNB)，而对于网关节点如SRAN-ndoe3而言，中间路由节点如SRAN-node2相当于接入其下的一个UE。因此，对中间路由节点的安全验证，采用图4所示的相关LTE技术中的UE安全验证方法，执行包括步骤1701-1的AKA过程、1701-2的NAS SMC、1701-3的AS SMC等三个操作即可，具体而言，

中间路由节点作为小节点，有其UICC卡，UICC卡的USIM上会保存一个安全根密钥K，而同时，网络侧的HSS中会相应的保存有这个相同的安全根密钥K，利用这个根密钥，采取图4所示的方法，可以实现MME与SRAN-node2之间的安全认证，然后在MME和SRAN-node2之间执行NAS SMC过程，以及在SRAN-node2和网关节点如SRAN-node3之间执行AS SMC过程。

经过步骤1701的以上操作，在SRAN-node2和SRAN-node3之间的Ub2接口上，可以生成用于保护这两个节点之间在Ub2接口上信息传输安全性的Ub口接入层控制面的安全密钥(即K-Ub2_RRC int、K-Ub2_RRC enc)和用户面安全密钥(即K-Ub2_UP int、K-Ub2_UP enc)。

步骤1702：初始接入节点的安全验证。

与步骤1701一样，类似于UE，在如图7所示的通信路径中，对初始接入节点如SRAN-node1而言，中间路由节点如SRAN-node2相当于SRAN-node1所接入的基站(eNB)，而对于中间路由节点如SRAN-node2而言，初始接入节点SRAN-node1相当于接入其下的一个UE。因此，对初始接入节点的安全验证，同样采用图4所示的相关LTE技术中的UE安全验证方法，执行包括步骤1702-1的AKA过程、1702-2的NAS SMC、1702-3的AS SMC等三个操作即可，具体而言，

初始接入节点作为小节点，有其UICC卡，UICC卡的USIM上会保存一个安全根密钥K，而同时，网络侧的HSS中会相应的保存有这个相同的安全根密钥K，利用这个根密钥，采取图4所示的方法，可以实现MME与SRAN-node1之间的安全认证，然后在MME和SRAN-node1之间执行NAS SMC过程，以及在SRAN-node1和中间路由节点如SRAN-node2之间执行AS SMC过程。

经过步骤1702的以上操作，在SRAN-node1和SRAN-node2之间的Ub1接口上，可以生成用于保护这两个节点之间在Ub1接口上信息传输安全性的Ub口接入层控制面的安全密钥(即K-Ub1_RRC int、K-Ub1_RRC enc)和用户面安全密钥(即K-Ub1_UP int、K-Ub1_UP enc)。

在图17所示的逐级节点安全验证的基础上，为进一步提高本发明实施例的UE的接入层控制面和接入层用户面的安全性，本发明实施例如图10中所示的步骤1004的E2E接入层安全模式命令和步骤1006的E2E接入层安全模式完成，如图12所示的步骤1203的消息、步骤1205的消息，以及如图13所示的步骤1304的消息等这些接入层安全相关消息，在经由SRAN-node2或SRAN-node1发送时，可以分别使用Ub2口和Ub1口的Ub口接入层控制面的安全密钥进行加密和完整性保护。

图18为本发明实施例的UE的组成结构示意图，如图18所示，至少包括第一处理模块、第一用户面处理模块以及第一控制面处理模块；其中，

第一处理模块，设置为：与核心网之间实现AKA过程和NAS层安全过程；

第一用户面处理模块，设置为：执行与网关节点之间的端到端用户面接入层安全过程；

其中，

第一用户面处理模块是设置为：执行与网关节点之间的端到端用户面加密和用户面完整性保护；

第一控制面处理模块是设置为：执行与初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。

其中，

在UE的微通信路径中，UE经过至少两段无线空中接口与核心网通信；其中，微通信路径至少包括UE、初始接入节点、网关节点；

当UE经过大于两段无线空中接口与所述核心网通信时，微通信路径中还包括至少一个中间路由节点。

其中，

其中，第一用户面处理模块是设置为：在UE的PDCP-s层和网关节点的PDCP-s层之间执行与网关节点之间的端到端用户面接入层安全过程。

具体而言，UE的上层用户面数据发到空中接口之前，在UE的PDCP-s层执行加密和完整性保护，用户面数据发送到网关节点之后，由网关节点在PDCP-s层进行解密和完整性验证；网关节点从核心网获取到需要发送给UE的用户面数据，在发到空中接口之前，在网关节点的PDCP-s层执行加密和完整性保护，数据发送到UE后，由UE在PDCP-s层进行解密和完整性验证。

其中，第一控制面处理模块是设置为：在UE的PDCP协议层和所述初始接入节点或宏基站的PDCP协议层之间执行与初始接入节点或者宏基站之间的端到端控制面接入层安全过程。

具体而言，UE的上行RRC层信令在发送到空中接口之前，在UE的PDCP层执行加密和完整性保护，初始接入节点或者宏基站接收到RRC信令后，执行解密和完整性验证；初始接入节点或者宏基站发送给UE的下行RRC层信令在发送到空中接口之前，在其PDCP层执行加密和完整性保护，UE接收到RRC信令后，执行解密和完整性验证。

图19为本发明实施例的无线接入小节点的组成结构示意图。该无线接入小节点为能够通过有线接口接入核心网的无线接入小节点；如图19所示，

该无线接入小节点至少包括第二用户面处理模块，设置为：执行与UE之间的端到端用户面接入层安全过程；其中，所述端到端用户面接入层安全过程包括端到端用户面加密和用户面完整性保护。

当UE经过两段无线空中接口与所述核心网通信时，无线接入小节点与初始接入节点通过无线回程接口通信；

当UE经过大于两段无线空中接口与核心网通信时，无线接入小节点与中间路由节点通过无线回程接口通信，中间路由节点与初始接入节点通过无线回程接口通信，当中间路由节点为两个或两个以上时，中间路由节点之间通过无线回程接口通信；

其中，

中间路由节点为实现初始接入节点和无线接入小节点之间的通信，并最终实现接入初始接入节点的UE与核心网之间的通信提供中继传输的无线接入小节点。

其中，在无线接入小节点自身的PDCP-s层和UE的PDCP-s之间执行端到端用户面接入层安全过程。

其中，第二用户面处理模块是设置为：

在自身的PDCP-s层对通过空中接口接收到的来自UE的用户面数据进行解密和完整性验证；

从核心网获取到需要发送给UE的用户面数据，在发到空中接口之前，在自身的PDCP-s层执行加密和完整性保护。

该无线接入小节点还包括用户面密钥生成模块，设置为：

在第二用户面处理模块执行与UE之间的端到端用户面加密和用户面完整性保护之前，生成执行端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint。

其中，用户面密钥生成模块是设置为：

基于接入层安全根密钥K_eNB生成用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；或者，

接收来自宏基站的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；

其中，K_eNB由所述核心网或者宏基站发送给所述无线接入小节点；

其中，宏基站为除所述初始接入节点之外，所述UE通过无线接入链路接入的另一个基站。

和/或，

该无线接入小节点为UE通过无无线接入链路接入的无线接入小节点；如图19所示，

该无线接入小节点至少包括第二控制面处理模块，设置为：执行与UE之间的端到端控制面接入层安全过程；其中，端到端控制面接入层安全过程包括端到端控制面加密和控制面完整性保护。

其中，在无线接入小节点自身的PDCP层和UE的PDCP层之间执行端到端控制面接入层安全过程。

其中，第二控制面处理模块是设置为：接收到RRC信令后，执行解密和完整性验证；在自身的PDCP层对发送给所述UE的下行RRC层信令执行加密和完整性保护后发送到空中接口。

该无线接入小节点还包括控制面密钥生成模块，设置为：

在第二控制面处理模块执行与UE之间的端到端控制面加密和控制面完整性保护之前，生成执行端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint。

其中，控制面密钥生成模块是设置为：

接收来自网关节点的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，或基于来自网关节点的接入层控制面安全根密钥K_eNB*生成控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint。

如图19所示，本发明实施例的无线接入小节点还包括第二处理模块，设置为：执行逐级节点安全验证；其中，逐级节点安全验证包括：网络对无线接入小节点进行安全验证。

可选地，第二处理模块还设置为：对接入层安全相关消息进行加密和完整性保护。

此外，本发明实施例还提供一种UE，包括处理器和存储器，存储器中存储有处理器可执行的指令，当指令被处理器执行时，执行图18所示模块的功能。

此外，本发明实施例还提供一种无线接入小节点，包括处理器和存储器，存储器中存储有处理器可执行的指令，当指令被处理器执行时，执行图19所示模块的功能。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，例如通过集成电路来实现其相应功能，也可以采用软件功能模块的形式实现，例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本申请不限制于任何特定形式的硬件和软件的结合。

以上所述，仅为本申请的较佳实例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

工业实用性

本发明实施例提供一种实现接入层安全的方法、用户设备及无线接入小节点，很好地保证了用户面安全，避免了因为经过多段空中接口也即经过多个中间路由节点导致的安全泄露隐患；在保证控制面安全的前提下减少了控制面安全操作的延时；提高了UE的移动性能；保证了UE用户面数据传输的连续性。

Claims

一种实现接入层安全的方法，包括：

执行用户设备UE与网关节点之间的端到端用户面接入层安全；以及，

当UE仅存在微通信路径时，执行UE与初始接入节点之间的端到端控制面接入层安全；或者，当UE存在微通信路径和宏通信路径时，执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全；

其中，微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径；宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。
根据权利要求1所述的方法，其中，

在所述微通信路径中，所述UE经过至少两段无线空中接口与所述核心网通信；

所述微通信路径至少包括UE、初始接入节点、网关节点；

当所述UE经过大于两段无线空中接口与所述核心网通信时，所述微通信路径中还包括至少一个中间路由节点。
根据权利要求2所述的方法，其中，

所述UE与初始接入节点之间采用无线接入空中接口Uu口；

所述初始接入节点与网关节点之间采用无线回程接口Ub口。
根据权利要求2所述的方法，其中，

所述中间路由节点和所述初始接入节点之间采用无线回程接口Ub口，所述中间路由节点和所述网关节点之间采用无线回程接口Ub口；

当所述中间路由节点为两个或两个以上时，所述中间路由节点之间采用无线回程接口Ub口。
根据权利要求2所述的方法，其中，

所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点；

所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点；

所述中间路由节点为实现所述初始接入节点和网关节点之间的通信，并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。
根据权利要求1或2所述的方法，其中，

所述执行UE与网关节点之间的端到端用户面接入层安全包括：执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护；

所述执行UE与初始接入节点或者宏基站之间的端到端控制面接入层安全包括：执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。
根据权利要求6所述的方法，其中，所述执行UE与网关节点之间的端到端用户面接入层安全包括：

在所述UE的数据包汇聚协议安全PDCP-s层和所述网关节点的PDCP-s层之间执行所述端到端用户面接入层安全。
根据权利要求7所述的方法，其中，

所述UE和所述网关节点的无线回程接口Ub接口侧从下到上分别包括：物理层L1、媒体接入控制层MAC、无线链路控制层RLC、数据包汇聚协议瘦身层PDCP-t和数据包汇聚协议安全层PDCP-s；所述初始接入节点和所述中间路由节点从下到上分别包括L1、MAC和RLC，或者，分别包括L1、MAC、RLC和PDCP-t；

如果所述UE的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层；

如果所述网关节点的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层。
根据权利要求7所述的方法，其中，所述执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护包括：

所述UE的上层用户面数据发到空中接口之前，在所述UE的PDCP-s层执行加密和完整性保护，所述用户面数据发送到所述网关节点之后，由所述网关节点在PDCP-s层进行解密和完整性验证；

所述网关节点从核心网获取到需要发送给所述UE的用户面数据，在发到空中接口之前，在所述网关节点的PDCP-s层执行加密和完整性保护，数据发送到所述UE后，由所述UE在PDCP-s层进行解密和完整性验证。
根据权利要求7所述的方法，其中，所述PDCP-s层用于实现：头压缩和解压缩，以及安全操作；其中，安全操作包括：加密、解密、完整性保护和完整性验证。
根据权利要求6所述的方法，其中，所述执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面接入层安全包括：

在所述UE的数据包汇聚协议PDCP层和所述初始接入节点或者宏基站的PDCP层之间执行端到端控制面接入层安全。
根据权利要求11所述的方法，其中，

所述UE和所述初始接入节点的无线接入空中接口Uu接口侧从下到上分别包括：物理层L1、媒体接入控制层MAC、无线链路控制层RLC、数据包汇聚协议PDCP层；

所述初始接入节点、所述中间路由节点和所述网关节点在Ub接口侧从下到上分别包括L1、MAC和RLC，或者，包括L1、MAC、RLC和数据包汇聚协议瘦身PDCP-t层。
根据权利要求11所述的方法，其中，所述执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护包括：

所述UE的上行无线资源控制RRC层信令在发送到空中接口之前，在所述UE的PDCP层执行加密和完整性保护，所述初始接入节点或者宏基站接收到RRC信令后，执行解密和完整性验证；

所述初始接入节点或者宏基站发送给UE的下行RRC层信令在发送到空中接口之前，在其PDCP层执行加密和完整性保护，所述UE接收到RRC信令后，执行解密和完整性验证。
根据权利要求6所述的方法，该方法还包括：所述UE和所述网关节点之间生成执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint，

当所述UE仅存在微通信路径时，所述UE和所述网关节点之间生成执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint，包括：

所述UE和所述网关节点基于接入层安全根密钥K_eNB生成所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；

其中，所述UE的K_eNB为所述UE与所述核心网之间执行鉴权和密钥协商AKA过程和非接入层NAS安全过程后生成的；所述网关节点的K_eNB为所述UE与所述核心网之间执行AKA过程和NAS安全过程后，由所述核心网发送给所述网关节点的；

当UE存在微通信路径和宏通信路径时，所述UE和所述网关节点之间生成执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint，包括：

所述UE和所述UE的宏通信路径中的宏基站基于K_eNB生成所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；所述宏基站将生成的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint发送给所述网关节点；或者，

所述UE和所述网关节点基于K_eNB生成执行所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；其中，所述网关节点的K_eNB由所述宏基站发送给所述网关节点；

其中，所述UE的K_eNB为所述UE与所述核心网之间执行鉴权和密钥协商AKA过程和非接入层NAS安全过程后生成的；所述宏基站的K_eNB为所述UE与所述核心网之间执行AKA过程和NAS安全过程后，由所述核心网发送给所述宏基站的。
根据权利要求6所述的方法，该方法还包括：当所述UE仅存在微通信路径时，生成执行所述UE与所述初始接入节点之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，

其中，所述生成执行所述UE与所述初始接入节点之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，包括：

所述UE和所述网关节点基于接入层安全根密钥K_eNB生成所述控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint；所述网关节点将所述生成的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint发送给所述初始接入节点；或，所述UE和所述网关节点基于K_eNB、所述初始接入节点的小区的下行绝对载频号EARFCN-DL和物理小区标识PCI生成接入层控制面安全根密钥K_eNB*；所述网关节点将生成的K_eNB*发送给所述初始接入节点，所述UE和所述初始接入节点基于所述K_eNB*生成所述控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint；

或者，

该方法还包括：当所述UE存在微通信路径和宏通信路径时，生成执行所述UE与所述宏基站之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，

其中，所述生成执行所述UE与所述宏基站之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，包括：

所述UE和所述宏基站基于接入层安全根密钥K_eNB生成所述控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint；

其中，所述UE的K_eNB为所述UE与所述核心网之间执行鉴权和密钥协商AKA过程和非接入层NAS安全过程后生成的；所述网关节点或所述宏基站的K_eNB为所述UE与所述核心网之间执行AKA过程和NAS安全过程后，由所述核心网发送给所述网关节点或宏基站的。
根据权利要求6、14或15所述的方法，其中，所述用户面的密钥和控制面的密钥分别独立更新。
一种用户设备UE，包括第一处理模块、第一用户面处理模块以及第一控制面处理模块；其中，

第一处理模块，设置为：与核心网之间实现鉴权和密钥协商AKA过程和非接入层NAS安全过程；

第一用户面处理模块，设置为：执行与网关节点之间的端到端用户面接入层安全；

第一控制面处理模块，设置为：当UE仅存在微通信路径时，执行UE与初始接入节点之间的端到端控制面接入层安全；或者，当UE存在微通信路径和宏通信路径时，执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全；

其中，微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径；宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。
根据权利要求17所述的UE，其中，

所述第一用户面处理模块是设置为：执行与所述网关节点之间的端到端用户面加密和用户面完整性保护；

所述第一控制面处理模块是设置为：执行与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。
根据权利要求17所述的UE，其中，

在所述UE的微通信路径中，所述UE经过至少两段无线空中接口与所述核心网通信；

所述微通信路径至少包括UE、初始接入节点、网关节点；

当所述UE经过大于两段无线空中接口与所述核心网通信时，所述微通信路径中还包括至少一个中间路由节点。
根据权利要求19所述的UE，其中，

所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点；

所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点；

所述中间路由节点为实现所述初始接入节点和网关节点之间的通信，并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。
根据权利要求18所述的UE，其中，

所述第一用户面处理模块是设置为：在所述UE的数据包汇聚协议安全PDCP-s层和所述网关节点的PDCP-s层之间执行所述UE与网关节点之间的端到端用户面接入层安全；

所述第一控制面处理模块是设置为：在所述UE的数据包汇聚协议PDCP层和所述初始接入节点或者宏基站的PDCP层之间执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面接入层安全。
根据权利要求18所述的UE，其中，所述第一用户处理模块是设置为：

在所述UE的上层用户面数据发到空中接口之前，在所述UE的数据包汇聚协议安全PDCP-s层执行加密和完整性保护，其中，所述用户面数据发送到所述网关节点之后，由所述网关节点在PDCP-s层进行解密和完整性验证；

在所述UE的PDCP-s层对通过空中接口接收到的来自所述网关节点的用户面数据进行解密和完整性验证。
根据权利要求18所述的UE，其中，所述第一控制面处理模块是设置为：

所述UE的上行无线资源控制RRC层信令在发送到空中接口之前，在所述UE的数据包协议汇聚协议PDCP层执行加密和完整性保护，其中，所述初始接入节点或者宏基站接收到RRC信令后，执行解密和完整性验证；

在所述UE接收到所述初始接入节点或者宏基站通过空中接口发送的下行RRC层信令后，执行解密和完整性验证。
一种无线接入小节点，该无线接入小节点为能够通过有线接口接入核心网的无线接入小节点；

该无线接入小节点至少包括第二用户面处理模块，设置为：执行与UE之间的端到端用户面接入层安全；其中，所述端到端用户面接入层安全包括端到端用户面加密和用户面完整性保护。
根据权利要求24所述的无线接入小节点，其中，

当所述UE经过两段无线空中接口与所述核心网通信时，所述无线接入小节点与初始接入节点通过无线回程接口通信；

当所述UE经过大于两段无线空中接口与所述核心网通信时，所述无线接入小节点与中间路由节点通过无线回程接口通信，所述中间路由节点与初始接入节点通过无线回程接口通信，当所述中间路由节点为两个或两个以上时，所述中间路由节点之间通过无线回程接口通信；

其中，

所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点；

所述中间路由节点为实现所述初始接入节点和所述无线接入小节点之间的通信，并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。
根据权利要求24所述的无线接入小节点，其中，在所述无线接入小节点自身的数据包汇聚协议安全PDCP-s层和所述UE的PDCP-s层之间执行所述端到端用户面接入层安全过程。
根据权利要求26所述的无线接入小节点，其中，所述第二用户面处理模块是设置为：

在所述自身的PDCP-s层对通过空中接口接收到的来自所述UE的用户面数据进行解密和完整性验证；

从核心网获取到需要发送给所述UE的用户面数据，在发到空中接口之前，在所述自身的PDCP-s层执行加密和完整性保护。
根据权利要求24或25所述的无线接入小节点，所述无线接入小节点还包括用户面密钥生成模块，设置为：

在所述第二用户面处理模块执行与所述UE之间的端到端用户面加密和用户面完整性保护之前，生成执行所述端到端用户面加密和用户面完整性保护所需要的用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint。
根据权利要求28所述的无线接入小节点，其中，所述用户面密钥生成模块是设置为：

基于接入层安全根密钥K_eNB生成所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；或者，

接收来自所述宏基站的所述用户面加密密钥K_UPenc和用户面完整性保护密钥K_UPint；

其中，所述K_eNB由所述核心网或者所述宏基站发送给所述无线接入小节点；

其中，所述宏基站为除所述初始接入节点之外，所述UE通过无线接入链路接入的另一个基站。
一种无线接入小节点，该无线接入小节点为用户设备UE通过无线接入链路接入的无线接入小节点；

该无线接入小节点至少包括第二控制面处理模块，设置为：执行与UE之间的端到端控制面接入层安全；其中，所述端到端控制面接入层安全包括端到端控制面加密和控制面完整性保护。
根据权利要求30所述的无线接入小节点，其中，在所述无线接入小节点自身的数据包汇聚协议PDCP层和所述UE的PDCP层之间执行所述端到端控制面接入层安全过程。
根据权利要求31所述的无线接入小节点，其中，所述第二控制面处理模块是设置为：

接收到无线资源控制RRC信令后，执行解密和完整性验证；

在所述自身的PDCP层对发送给所述UE的下行RRC层信令执行加密和完整性保护后发送到空中接口。
根据权利要求30所述的无线接入小节点，所述无线接入小节点还包括控制面密钥生成模块，设置为：

在所述第二控制面处理模块执行与所述UE之间的端到端控制面加密和控制面完整性保护之前，生成执行所述端到端控制面加密和控制面完整性保护所需要的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint。
根据权利要求33所述的无线接入小节点，其中，所述控制面密钥生成模块是设置为：

接收来自网关节点的控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint，或基于来自网关节点的接入层控制面安全根密钥K_eNB*生成所述控制面加密密钥K_RRCenc和控制面完整性保护密钥K_RRCint。
一种无线接入小节点，包括权利要求24～权利要求29任意组合，和权利要求30～权利要求34任意组合的无线接入小节点。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被执行时实现权利要求1至16任一项所述的方法。