WO2017133021A1

WO2017133021A1 - 一种安全处理方法及相关设备

Info

Publication number: WO2017133021A1
Application number: PCT/CN2016/073731
Authority: WO
Inventors: 于映辉; 李晨琬; 应江威
Original assignee: 华为技术有限公司
Priority date: 2016-02-06
Filing date: 2016-02-06
Publication date: 2017-08-10
Also published as: US11140546B2; EP3402237A1; EP3402237A4; EP3402237B1; CN108605225A; US20180343566A1; CN108605225B

Abstract

本发明实施例公开了一种安全处理方法及相关设备，其中的方法可包括：基站接收用户设备UE发送的经过安全处理的目标数据；所述基站向核心网设备发送所述UE的安全请求信息；所述基站接收所述核心网设备返回的安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。采用本发明可在UE与基站之间进行数据传输时，不仅可以保证数据的安全性，同时又保证低功耗性。

Description

一种安全处理方法及相关设备

技术领域

本发明实施例涉及通信领域，并且更具体地，涉及一种安全处理方法及相关设备。

背景技术

随着无线通信技术的快速发展，人们早已不能满足于仅限于人与人之间的通信，因此，物联网(Internet of Things，IoT)技术应运而生，并且其市场需求增长迅猛。其中，IoT中的机器通信(Machine-to-Machine，M2M)，是指机器与机器之间通过无线网络互相传递信息和数据的简称，是IoT发展的重要方向。

M2M设备多是比较小巧、电池供电的系统，如智能抄表系统，需要对水、电煤气等使用情况进行周期性监测并上报，并且智能抄表型业务一般主要是小数据包上报业务，传输数据量小、业务周期特性明显、低功耗和终端数量大。针对此类业务现在主要有两种传输方案，一种是控制面(Control Plane，CP)传输方案，另外一种是用户面(User Plane，UP)传输方案。例如，在使用基于CP传输方案时，数据是在RRC Connection Setup Complete信令中的非接入层(Non-Access Stratum，NAS)数据包(如NAS PDU信元)上携带并进行发送的，而不需要额外利用空口建立承载来传输数据，因此也没有空口相关的安全处理过程，即不需要进行数据接入层(Access Stratum，AS)的安全操作。

然而，例如，现有的RRC信令中，在RRC连接建立完成后传输的信令和数据都是有接入层(Access Stratum，AS)安全保护的。但是，在CP传输方案中，由于没有进行AS的安全操作，尤其是测量上报之类的信令，对于用户来说会存在一定的安全风险，但是如果仅仅为了RRC信令的安全需求，在用户(User Equipment，UE)和演进型基站(evolved Node B，eNB)间进行AS安全协议，在空口增加安全信令，就会导致终端更耗电。因此，怎样保障UE在传输数据的过程中，不过多消耗空口信令的同时，又可以保证传输数据的安全性，是当前亟待解决的问题。

发明内容

本发明实施例所要解决的技术问题在于，提供一种安全处理方法及相关设备，解决了现有技术中，用户设备与基站之间传输数据时不能兼顾安全性和低功耗性的技术问题。

第一方面，本发明实施例提供一种安全处理方法，该方法可包括：

基站接收用户设备UE发送的经过安全处理的目标数据；

所述基站向核心网设备发送所述UE的安全请求信息；

所述基站接收所述核心网设备返回的安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

通过本实发明实施例，主要解决了如何安全的传输目标数据给基站的技术问题，即基站通过在接收到UE发送的经过安全处理的目标数据后，向核心网设备发起安全解目标数据的相关安全请求信息，再接收核心网设备返回相关安全参数信息，或者直接解出目标数据，在空口对目标数据进行了安全保护且没有增加空口信令的消耗。

结合第一方面，在第一方面的第一种可能的实现方式中，所述基站接收所述UE发送的经过安全处理的目标数据的同时，接收所述UE发送的安全相关信息；

当所述基站判断出所述安全相关信息与所述基站本地保存的安全相关信息不一致时，执行所述向核心网设备发送所述UE的安全请求信息的步骤。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，当所述安全响应信息包括所述UE的安全参数信息时，所述基站接收所述核心网设备返回的安全响应信息，包括：

所述基站接收所述核心网设备返回的更新的接入层AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。

结合第一方面，在第一方面的第三种可能的实现方式中，所述基站接收用户设备UE发送的经过安全处理的目标数据，包括：

所述基站接收所述UE通过上行NAS信令或者上行RRC信令或者上行MAC层信令发送的经过安全处理的目标数据。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述经过安全处理的目标数据包括经过非接入层NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

所述经过安全处理的目标数据包括经过接入层AS安全加密的目标数据，或经过AS完整性保护的目标数据，或经过AS加密和AS完整性保护的目标数据。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，所述基站向核心网设备发送所述UE的安全请求信息，包括：

所述基站通过上行S1消息向核心网设备发送所述UE的安全请求信息。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，在第一方面的第六种可能的实现方式中，所述基站向核心网设备发送所述UE的安全请求信息，包括：

所述基站向核心网设备发送所述UE的标识和/或所述经过NAS安全处理的目标数据；或者

所述基站向核心网设备发送所述UE的标识和/或所述经过AS安全处理的目标数据。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，在第一方面的第七种可能的实现方式中，当所述安全响应信息包括所述UE的安全参数信息时，所述基站接收所述核心网设备返回的安全响应信息之后，还包括：

所述基站根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，在第一方面的第八种可能的实现方式中，所述基站接收所述核心网设备返回的安全响应信息，包括：

所述基站接收所述核心网设备通过下行S1消息返回的安全响应信息。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，或者第一方面的第八种可能的实现方式，在第一方面的第九种可能的实现方式中，所述基站接收所述核心网设备返回的安全响应信息中的安全参数信息，包括：

所述基站接收所述核心网设备返回的所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

所述基站接收所述核心网设备返回的所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，或者第一方面的第八种可能的实现方式，或者第一方面的第九种可能的实现方式，在第一方面的第十种可能的实现方式中，所述基站接收所述核心网设备返回的安全响应信息中的安全解处理的目标数据，包括：

所述基站接收所述核心网设备返回的对所述经过NAS安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

所述基站接收所述核心网设备返回的对所述经过AS安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，或者第一方面的第八种可能的实现方式，或者第一方面的第九种可能的实现方式，或者第一方面的第十种可能的实现方式，在第一方面的第十一种可能的实现方式中，所述基站根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理，包括：

所述基站基于所述核心网设备返回的NAS安全参数信息对所述经过NAS安全处理的目标数据进行NAS安全解密，或NAS完整性校验，或NAS安全解密和NAS完整性校验；或者

所述基站基于所述核心网设备返回的AS安全参数信息对所述经过AS安全处理的目标数据进行AS安全解密，或AS完整性校验，或AS安全解密和AS完整性校验。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，或者第一方面的第八种可能的实现方式，或者第一方面的第九种可能的实现方式，或者第一方面的第十种可能的实现方式，或者第一方面的第十一种可能的实现方式，在第一方面的第十二种可能的实现方式中，所述基站接收用户设备UE发送的经过安全处理的目标数据之前，包括：

当所述UE与所述基站释放连接时，所述基站将所述AS安全参数信息发送给所述核心网设备进行存储；或者

所述基站将更新后的AS安全参数信息通过发送的安全请求信息，或者基站与核心网设备之间的接口信令发送给所述核心网设备进行存储。

结合第一方面的第十二种可能的实现方式，在第一方面的第十三种可能的实现方式中，基站接收用户设备UE发送的经过安全处理的目标数据之后，还包括：

接收所述UE发送的安全参数信息变更指示；或者

接收所述核心网发送的安全参数信息变更指示。

结合第一方面的第十三种可能的实现方式，在第一方面的第十四种可能的实现方式中，所述基站接收到所述安全参数信息变更指示之后，包括：所述基站发起所述UE的安全参数信息重获取过程。

结合第一方面的第十四种可能的实现方式，在第一方面的第十五种可能的实现方式中，所述基站发起所述UE的安全参数信息重获取过程，包括：

向所述UE重新发起安全协商并确定变更的AS安全参数信息；或者

所述基站从核心网设备获取更新的NAS安全参数信息；或者

所述基站从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。

第二方面，本发明实施例提供一种安全处理方法，该方法可包括：

基站接收用户设备UE发送的安全相关信息；

当所述基站判断出所述安全相关信息与本地保存的所述UE的安全相关信息不一致时，所述基站确定需要进行安全参数信息的变更。

结合第二方面，在第二方面的第一种可能的实现方式中，所述基站确定需要进行安全参数信息的变更之后，包括：所述基站发起所述UE的安全参数信息重获取过程。

结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述基站发起所述UE的安全参数信息重获取过程，包括：

向所述UE重新发起安全协商并确定变更的接入层AS安全参数信息，以便于所述UE存储和/或核心网设备利用变更后的AS安全参数信息进行安全处理；或者

所述基站从核心网设备获取更新的非接入层NAS安全参数信息；或者所述基站从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，和UE发起安全协商，以便于所述UE存储和/或核心网利用变更后的AS安全参数信息进行AS安全处理。

第三方面，本发明实施例提供一种安全处理方法，该方法包括：

核心网设备接收基站发送的用户设备UE的安全请求信息；

所述核心网设备向所述基站发送安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

结合第三方面，在第三方面的第一种可能的实现方式中，所述核心网设备接收基站发送的用户设备UE的安全请求信息，包括：

所述核心网设备接收基站发送的所述UE的标识和/或所述经过非接入层NAS安全处理的目标数据；或者

所述核心网设备接收基站发送的所述UE的标识和/或所述经过接入层AS安全处理的目标数据。

结合第三方面，或者第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，所述核心网设备向所述基站发送安全响应信息中的安全参数信息，包括：

所述核心网设备向所述基站发送所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

所述核心网设备向所述基站发送所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，在第三方面的第三种可能的实现方式中，所述核心网设备向所述基站发送安全响应信息中的安全解处理的目标数据，包括：

所述核心网设备向所述基站发送通过NAS安全参数信息对所述经过安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

所述核心网设备向所述基站发送通过AS安全参数信息对所述经过安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，在第三方面的第四种可能的实现方式中，所述核心网设备向所述基站发送安全响应信息之后，还包括：

所述核心网设备向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，在第三方面的第五种可能的实现方式中，所述核心网设备向所述基站发送安全响应信息之前，包括：

接收所述基站发送的所述UE的AS安全参数信息，所述AS安全参数信息为当所述UE与所述基站建立连接后，所述基站向所述UE发起安全协商并确定的AS安全参数信息；或者

接收所述基站通过所述安全请求信息，或者基站到核心网设备的接口信令发送的所述UE的存储的所述AS安全参数信息或变更后的AS安全参数信息并进行存储。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，或者第三方面的第五种可能的实现方式，在第三方面的第六种可能的实现方式中，所述方法还包括：

当所述核心网设备检测出所述AS安全参数信息变更时，向所述基站发送安全参数信息变更指示。

第四方面，本发明实施例提供一种安全处理方法，该方法包括：

UE向基站发送经过非接入层NAS安全处理的目标数据，所述经过NAS安全处理的目标数据包括经过NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

UE向基站发送经过接入层AS安全处理的目标数据，所述经过AS安全处理的目标数据包括经过AS安全加密的目标数据，或AS完整性保护的目标数据，或AS加密和AS完整性保护的目标数据。

结合第四方面，在第四方面的第一种可能的实现方式中，所述UE向基站发送经过NAS安全处理的目标数据，包括：

所述UE通过上行NAS信令或者上行RRC信令或者上行MAC层信令向基站发送经过NAS安全处理的目标数据。

结合第四方面，在第四方面的第二种可能的实现方式中，所述UE向基站发送经过AS安全处理的目标数据，包括：

所述UE通过上行RRC信令或者上行MAC层信令向基站发送经过AS安全处理的目标数据。

结合第四方面，或者第四方面的第一种可能的实现方式，在第四方面的第三种可能的实现方式中，所述UE向基站发送经过NAS安全处理的目标数据之前，包括：

所述UE利用NAS安全参数信息对目标数据进行NAS安全处理，所述NAS安全参数信息为所述UE与所述核心网设备已经进行安全协商并确定的NAS安全参数信息，所述NAS安全参数信息包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法。

结合第四方面，或者第四方面的第二种可能的实现方式，在第四方面的第四种可能的实现方式中，所述UE向基站发送经过AS安全处理的接入层目标数据之前，包括：

所述UE利用AS安全参数信息对目标数据进行AS安全处理，所述AS安全参数信息为所述UE与所述基站已经进行安全协商并确定的AS安全参数信息或者已经存储于所述UE中的AS安全参数信息，所述AS安全参数信息包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

结合第四方面，或者第四方面的第一种可能的实现方式，或者第四方面的第三种可能的实现方式，在第四方面的第五种可能的实现方式中，所述方法还包括：

所述UE向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。

结合第四方面，或者第四方面的第二种可能的实现方式，或者第四方面的第四种可能的实现方式，在第四方面的第六种可能的实现方式中，所述方法还包括：

所述UE向所述基站发送AS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的AS安全参数信息。

第五方面，本发明实施例提供一种基站，该基站可包括：输入单元、输出单元、存储单元和处理单元；

其中，所述存储单元用于存储程序代码，所述处理单元用于调用所述存储单元存储的程序代码执行如下步骤：

通过所述输入单元基站接收用户设备UE发送的经过安全处理的目标数据；

通过所述输出单元向核心网设备发送所述UE的安全请求信息；

通过所述输入单元接收所述核心网设备返回的安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

结合第五方面，在第五方面的第一种可能的实现方式中，所述处理单元用于通过所述输入单元接收所述UE发送的经过安全处理的目标数据的同时，通过所述输入单元接收所述UE发送的安全相关信息；

当所述基站判断出所述安全相关信息与所述基站本地保存的安全相关信息不一致时，执行所述通过所述输出单元向核心网设备发送所述UE的安全请求信息的步骤。

结合第五方面的第一种可能的实现方式，在第五方面的第二种可能的实现方式中，所述处理单元用于当所述安全响应信息包括所述UE的安全参数信息时，通过所述输入单元接收所述核心网设备返回的安全响应信息，具体为：

通过所述输入单元接收所述核心网设备返回的更新的接入层AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。

结合第五方面，在第五方面的第三种可能的实现方式中，所述处理单元通过所述输入单元接收用户设备UE发送的经过安全处理的目标数据，包括：

通过所述输入单元接收所述UE通过上行NAS信令或者上行RRC信令或者上行MAC层信令发送的经过安全处理的目标数据。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，在第五方面的第四种可能的实现方式中，所述经过安全处理的目标数据包括经过非接入层NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，或者第五方面的第四种可能的实现方式，在第五方面的第五种可能的实现方式中，所述处理单元通过所述输出单元向核心网设备发送所述UE的安全请求信息，包括：

通过所述输出单元通过上行S1消息向核心网设备发送所述UE的安全请求信息。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，或者第五方面的第四种可能的实现方式，或者第五方面的第五种可能的实现方式，在第五方面的第六种可能的实现方式中，所述处理单元通过所述输出单元向核心网设备发送所述UE的安全请求信息，包括：

通过所述输出单元向核心网设备发送所述UE的标识和/或所述经过NAS 安全处理的目标数据；或者

通过所述输出单元向核心网设备发送所述UE的标识和/或所述经过AS安全处理的目标数据。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，或者第五方面的第四种可能的实现方式，或者第五方面的第五种可能的实现方式，或者第五方面的第六种可能的实现方式，在第五方面的第七种可能的实现方式中，当所述安全响应信息包括所述UE的安全参数信息时，所述处理单元，还用于：

通过所述输入单元接收所述核心网设备返回的安全响应信息之后，根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，或者第五方面的第四种可能的实现方式，或者第五方面的第五种可能的实现方式，或者第五方面的第六种可能的实现方式，或者第五方面的第七种可能的实现方式，在第五方面的第八种可能的实现方式中，所述处理单元通过所述输入单元接收所述核心网设备返回的安全响应信息，包括：

通过所述输出单元接收所述核心网设备通过下行S1消息返回的安全响应信息。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，或者第五方面的第四种可能的实现方式，或者第五方面的第五种可能的实现方式，或者第五方面的第六种可能的实现方式，或者第五方面的第七种可能的实现方式，或者第五方面的第八种可能的实现方式，在第五方面的第九种可能的实现方式中，所述处理单元通过所述输入单元接收所述核心网设备返回的安全响应信息中的安全参数信息，包括：

通过所述输入单元接收所述核心网设备返回的所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

通过所述输入单元接收所述核心网设备返回的所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，或者第五方面的第四种可能的实现方式，或者第五方面的第五种可能的实现方式，或者第五方面的第六种可能的实现方式，或者第五方面的第七种可能的实现方式，或者第五方面的第八种可能的实现方式，或者第五方面的第九种可能的实现方式，在第五方面的第十种可能的实现方式中，所述处理单元通过所述输入单元接收所述核心网设备返回的安全响应信息中的安全解处理的目标数据，包括：

通过所述输入单元接收所述核心网设备返回的对所述经过NAS安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

通过所述输入单元接收所述核心网设备返回的对所述经过AS安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，或者第五方面的第四种可能的实现方式，或者第五方面的第五种可能的实现方式，或者第五方面的第六种可能的实现方式，或者第五方面的第七种可能的实现方式，或者第五方面的第八种可能的实现方式，或者第五方面的第九种可能的实现方式，或者第五方面的第十种可能的实现方式，在第五方面的第十一种可能的实现方式中，所述基站根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理，包括：

基于所述核心网设备返回的NAS安全参数信息对所述经过NAS安全处理的目标数据进行NAS安全解密，或NAS完整性校验，或NAS安全解密和NAS完整性校验；或者

基于所述核心网设备返回的AS安全参数信息对所述经过AS安全处理的目标数据进行AS安全解密，或AS完整性校验，或AS安全解密和AS完整性校验。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，或者第五方面的第四种可能的实现方式，或者第五方面的第五种可能的实现方式，或者第五方面的第六种可能的实现方式，或者第五方面的第七种可能的实现方式，或者第五方面的第八种可能的实现方式，或者第五方面的第九种可能的实现方式，或者第五方面的第十种可能的实现方式，或者第五方面的第十一种可能的实现方式，在第五方面的第十二种可能的实现方式中，所述处理单元，还用于：通过所述输入单元接收用户设备UE发送的经过安全处理的目标数据之前，当所述UE与所述基站释放连接时，将所述AS安全参数信息通过所述输出单元发送给所述核心网设备进行存储；或者

将更新后的AS安全参数信息通过所述输出单元发送的安全请求信息，或者基站与核心网设备之间的接口信令发送给所述核心网设备进行存储。

结合第五方面的第十二种可能的实现方式，在第五方面的第十三种可能的实现方式中，所述处理单元，还用于：通过所述输入单元接收用户设备UE发送的经过安全处理的目标数据之后，通过所述输入单元接收所述UE发送的安全参数信息变更指示；或者

通过所述输入单元接收所述核心网发送的安全参数信息变更指示。

结合第五方面的第十三种可能的实现方式，在第五方面的第十四种可能的实现方式中，所述处理单元，还用于：通过所述输入单元接收到所述安全参数信息变更指示之后，通过所述输出单元发起所述UE的安全参数信息重获取过程。

结合第五方面的第十四种可能的实现方式，在第五方面的第十五种可能的实现方式中，所述处理单元用于通过所述输出单元发起所述UE的安全参数信息重获取过程，具体为：

通过所述输出单元向所述UE重新发起安全协商并确定变更的AS安全参数信息；或者

通过所述输入单元从核心网设备获取更新的NAS安全参数信息；或者

通过所述输入单元从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。

第六方面，本发明实施例提供一种基站，该基站包括：输入单元、输出单元、存储单元和处理单元；

通过所述输入单元接收用户设备UE发送的安全相关信息；

当判断出所述安全相关信息与本地保存的所述UE的安全相关信息不一致时，所述基站确定需要进行安全参数信息的变更。

结合第六方面，在第六方面的第一种可能的实现方式中，所述处理单元，还用于确定需要进行安全参数信息的变更之后，通过所述输出单元发起所述UE的安全参数信息重获取过程。

结合第六方面的第一种可能的实现方式，在第六方面的第二种可能的实现方式中，所述处理单元用于通过所述输出单元发起所述UE的安全参数信息重获取过程，具体为：

通过所述输出单元向所述UE重新发起安全协商并确定变更的接入层AS安全参数信息，以便于所述UE存储和/或核心网设备利用变更后的AS安全参数信息进行安全处理；或者

通过所述输入单元从核心网设备获取更新的非接入层NAS安全参数信息；或者

通过所述输入单元从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，和UE发起安全协商，以便于所述UE存储和/或核心网利用变更后的AS安全参数信息进行AS安全处理。

第七方面，本发明实施例提供一种核心网设备，该核心网设备包括：输入单元、输出单元、存储单元和处理单元；

通过所述输入单元接收基站发送的用户设备UE的安全请求信息；

通过所述输出单元向所述基站发送安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

结合第七方面，在第七方面的第一种可能的实现方式中，所述处理单元用于通过所述输入单元接收基站发送的用户设备UE的安全请求信息，包括：

通过所述输入单元接收基站发送的所述UE的标识和/或所述经过非接入层NAS安全处理的目标数据；或者

通过所述输入单元接收基站发送的所述UE的标识和/或所述经过接入层AS安全处理的目标数据。

结合第七方面，或者第七方面的第一种可能的实现方式，在第七方面的第二种可能的实现方式中，所述处理单元用于通过所述输出单元所述核心网设备向所述基站发送安全响应信息中的安全参数信息，包括：

通过所述输出单元向所述基站发送所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

通过所述输出单元向所述基站发送所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，在第七方面的第三种可能的实现方式中，所述处理单元用于通过所述输出单元所述核心网设备向所述基站发送安全响应信息中的安全解处理的目标数据，包括：

通过所述输出单元向所述基站发送通过NAS安全参数信息对所述经过安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

通过所述输出单元向所述基站发送通过AS安全参数信息对所述经过安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，在第七方面的第四种可能的实现方式中，所述处理单元，还用于：

通过所述输出单元向所述基站发送安全响应信息之后，还通过所述输出单元向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，在第七方面的第五种可能的实现方式中，所述处理单元，还用于：

通过所述输入单元接收所述基站发送的所述UE的AS安全参数信息，所述AS安全参数信息为当所述UE与所述基站建立连接后，所述基站向所述UE发起安全协商并确定的AS安全参数信息；或者

通过所述输入单元接收所述基站通过所述安全请求信息，或者基站到核心网设备的接口信令发送的所述UE的存储的所述AS安全参数信息或变更后的AS安全参数信息并进行存储。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，或者第七方面的第五种可能的实现方式，在第七方面的第六种可能的实现方式中，所述处理单元，还用于：

当所述核心网设备检测出所述AS安全参数信息变更时，通过所述输出单元向所述基站发送安全参数信息变更指示。

第八方面，本发明实施例提供一种用户设备UE，该UE包括：输入单元、输出单元、存储单元和处理单元；

通过所述输出单元向基站发送经过非接入层NAS安全处理的目标数据，所述经过NAS安全处理的目标数据包括经过NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

通过所述输出单元向基站发送经过接入层AS安全处理的目标数据，所述经过AS安全处理的目标数据包括经过AS安全加密的目标数据，或AS完整性保护的目标数据，或AS加密和AS完整性保护的目标数据。

结合第八方面，在第八方面的第一种可能的实现方式中，所述处理单元用于通过所述输出单元向基站发送经过NAS安全处理的目标数据，具体为：

通过所述输出单元通过上行NAS信令或者上行RRC信令或者上行MAC层信令向基站发送经过NAS安全处理的目标数据。

结合第八方面，在第八方面的第二种可能的实现方式中，所述处理单元用于通过所述输出单元向基站发送经过AS安全处理的目标数据，包括：

结合第八方面，或者第八方面的第一种可能的实现方式，在第八方面的第三种可能的实现方式中，所述处理单元，还用于：

通过所述输出单元向基站发送经过NAS安全处理的目标数据之前，利用NAS安全参数信息对目标数据进行NAS安全处理，所述NAS安全参数信息为所述UE与所述核心网设备已经进行安全协商并确定的NAS安全参数信息，所述NAS安全参数信息包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法。

结合第八方面，或者第八方面的第二种可能的实现方式，在第八方面的第四种可能的实现方式中，所述处理单元，还用于：

通过所述输出单元向基站发送经过AS安全处理的接入层目标数据之前，利用AS安全参数信息对目标数据进行AS安全处理，所述AS安全参数信息为所述UE与所述基站已经进行安全协商并确定的AS安全参数信息或者已经存储于所述UE中的AS安全参数信息，所述AS安全参数信息包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

结合第八方面，或者第八方面的第一种可能的实现方式，或者第八方面的第三种可能的实现方式，在第八方面的第五种可能的实现方式中，所述处理单元，还用于：

通过所述输出单元向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。

结合第八方面，或者第八方面的第二种可能的实现方式，或者第八方面的第四种可能的实现方式，在第八方面的第六种可能的实现方式中，所述处理单元，还用于：

通过所述输出单元向所述基站发送AS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的AS安全参数信息。

通过本实发明实施例，主要解决了如何在安全传输目标数据给基站的同时，又可以减少空口信令的开销或功耗的技术问题。本发明中，当进行NAS传输时，即基站通过在接收到UE发送的经过NAS安全处理的目标数据后，向核心网设备发起安全解目标数据的相关安全请求信息，再接收核心网设备返回相关安全参数信息，或者直接解出目标数据，在空口对目标数据进行了安全保护。当进行AS传输时，即通过初始接入时，UE和基站建立连接后，进行现有技术中的AS安全保护，当释放连接时，基站将本次使用的AS安全相关安全参数信息发送给核心网设备进行保存，当再次建立连接且UE有目标数据需要发送时，基站向核心网设备发起此前已经存储过的安全解目标数据的相关安全请求信息，再接收核心网设备返回相关安全参数信息，或者直接解出目标数据，可以避免基站与UE通过AS SMC协商安全参数信息流程，不仅实现了AS的安全保护，而且节省了功耗。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的安全处理方法的网络架构示意图；

图2是本发明提供的一种安全处理方法的流程示意图；

图3是本发明提供的另一种安全处理方法的流程示意图；

图4是本发明提供的基站的结构示意图；

图5是本发明提供的基站的另一实施例的结构示意图；

图6是本发明提供的核心网设备的结构示意图；

图7是本发明提供的用户设备UE的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解的是，本发明实施例的技术方案可以应用于各种通信系统，例如：全球移动通讯(Global System of Mobile communication，GSM)系统、码分多址(Code Division Multiple Access，CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统、通用分组无线业务(General Packet Radio Service，GPRS)、演进(Long Term Evolution，LTE)系统、LTE频分双工(Frequency Division Duplex，FDD)系统、LTE时分双工(Time Division Duplex，TDD)、通用移动通信系统(Universal Mobile Telecommunication System，UMTS)等。

还应当理解的是，本发明实施例中，基站可以是GSM或CDMA中的基站(Base Transceiver Station，BTS)，也可以是WCDMA中的基站(NodeB)，还可以是LTE中的演进型基站(Evolutional Node B，eNB或eNodeB)，或者是未来5G网络中的基站设备等，本发明对此并不限定。

还应当理解的是，在本发明实施例中，UE可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网(Core Network)进行通信，UE可为支持机器通信M2M、增强型机器类通信EMTC或窄带物联网NB IoT等的通信类型的接入终端、终端设备、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。具体地，UE可以为蜂窝电话、无绳电话、智能手机、智能抄表终端、会话启动协议(Session Initiation Protocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、智能手环、智能穿戴设备、MP3播放器(Moving Picture Experts Group Audio Layer III，动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV，动态影像专家压缩标准音频层面3)播放器、个人数字处理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备以及未来5G网络中的终端设备等。

为了便于理解本发明实施例，下面先对本发明实施例所基于的安全处理方法的网络构架进行描述。请参阅图1，该网络架构中包含了UE、基站以及核心网设备，UE与基站之间通过空口即无线通信完成数据的传输；而各个基站与核心网设备之间则通过光纤进行插电连接，以完成数据或业务的连接、管理和承载等。可以理解的是，以上图1中的网络架构只是本发明实施例中较优的一种实施方式，本发明实施例中的网络架构包括但不仅限于以上网络架构。

本发明实施例中的核心网设备将主要以移动性管理实体(Mobility Management Entity，MME)为例进行说明，MME是核心网中负责处理信令的网元，可完成对NAS信令的解析和处理、NAS信令的安全性、与其它网络的核心网交互，以及UE的移动性控制、漫游的处理、鉴权管理和承载管理等功能。本发明中的核心网设备包括但不仅限于MME，任何可以完成本发明实施例中的核心网设备的相应功能的实体，都属于本发明所保护涵盖的范围。

参见图2，图2是本发明实施例中的一种安全处理方法的流程示意图。下面将结合附图2从UE、基站以及核心网设备的交互侧，且从UE与基站之间进行的NAS传输层面进行详细描述。如图2所示，该方法可以包括以下步骤S201-步骤S206。

步骤S201：UE向基站发送经过NAS安全处理的目标数据。

具体地，UE通过上行NAS信令，或者上行RRC信令，或者上行MAC 层信令向基站发送发送经过安全处理的非接入层目标数据。其中，经过安全处理的目标数据可以为，经过非接入层NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据。

在一种可能的实现方式中，UE向基站发送经过非接入层NAS安全处理的目标数据之前，UE与所述核心网设备(如MME)进行安全协商(NAS Security Mode Command(SMC))，之后UE对目标数据进行NAS安全处理，其中，进行NAS安全协商后，UE和MME产生了NAS安全参数信息。进一步地，该NAS安全参数信息包括NAS加密密钥或产生密钥的相关参数，以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数，以及NAS完整性保护算法。例如，NAS信令的密钥中，KNASenc是用于NAS信令加密的密钥，是由UE和MME各自根据双方协商的加密算法计算得到的，KNASint是用于NAS信令完整性保护的密钥。

在一种可能的实现方式中，UE还向基站发送NAS安全参数信息变更指示，其中，变更指示可以为该UE和/或核心网设备(如MME)检测出当前UE使用的NAS安全参数信息变更时，即UE和MME需要重新进行密钥协商后确定变更后的NAS安全参数信息，并将该NAS安全参数信息携带在变更指示中发送给基站，以确保后续在UE和基站之间传输数据时使用的安全参数信息都是更新后的且有效的，以减少因为安全参数信息的失效导致的额外的空口信令的开销。

在一种可能的实现方式中，基站接收UE发送的经过安全处理的目标数据的同时，还可以接收所述UE发送的安全相关信息；当基站判断出安全相关信息与基站本地保存的安全相关信息不一致时，执行向核心网设备发送所述UE的安全请求信息的步骤，以便于从核心网设备处获取更新后的安全参数信息。

当所述安全响应信息包括所述UE的安全参数信息时，所述基站接收所述核心网设备返回的安全响应信息包括：所述基站接收所述核心网设备返回的更新的非接入层NAS安全参数信息；或者基站接收所述核心网设备返回的更新的接入层AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。

在具体的通信应用场景中，例如，UE发送Random Access Request给基站 (eNB)后作为回应，基站发送Random Access Response给UE，然后，UE发送RRCConnection Request给eNB,eNB收到后，向UE发送RRC Connection Setup。UE接收到eNB发送的RRC Connection Setup消息后，发送RRC Connection Setup Complete给基站,并将需要上报给基站的目标数据(如测量报告或定位信息等)使用NAS安全进行安全处理。例如，将测量报告通过NAS PDU进行携带并加密，或者将测量报告通过RRC信令携带，并加密，本发明对目标数据的具体加密方式不作限定。本发明对目标数据的具体加密方式不作限定。

步骤S202：基站接收用户设备UE发送的经过NAS安全处理的目标数据。

具体地，基站接收步骤S201中的UE通过上行NAS信令、上行RRC信令或者上行MAC层信令发送的经过安全处理的目标数据。

步骤S203：所述基站向核心网设备发送所述UE的标识和/或所述经过NAS安全处理的目标数据。

具体地，基站可以通过Initial UE Message，或者其他的上行信令，比如UL NAS传输消息，或者UE测量报告传输等上行S1-AP信令或其他上行信令，向核心网设备发送UE的标识和/或经过NAS安全处理的目标数据，由于基站(eNB)接收到目标数据如测量报告后，并不能解出测量报告，因为经过NAS安全处理的目标数据对于基站来说是无法解析的，原因在于用于NAS安全解处理目标数据的安全参数信息是UE和核心网设备MME之间进行协商从而确定的，因而此时基站想要获得NAS安全解处理的目标数据，必须向核心网设备MME进行安全请求信息，可以理解的是，安全请求信息的内容可以是用于识别UE的标识，该标识可以让MME对应的查找出与该标识匹配的安全参数信息，而还可以理解的是，也可以直接将需要读取的NAS安全处理的目标数据直接发送给MME，让MME进行安全解处理，之后再将安全解处理的目标数据返还给基站，亦或是将该两者都返回给基站，总之，只要最终能让基站顺利读取出经过NAS安全处理的目标数据即可。

步骤S204：所述核心网设备接收基站发送的所述UE的标识和/或所述经过NAS安全处理的目标数据。

具体地，核心网设备MME可通过S1接口接收步骤S203中基站发送的UE的标识和/或所述经过NAS安全处理的目标数据。

在一种可能的实现方式中，在核心网设备MME接收基站发送的用户设备UE的安全请求信息之前，MME向UE发起安全模式命令并确定NAS安全参数信息，且由于MME在协商确定后一直保存有该UE确定后的安全参数信息(包括安全参数变更的情况)，因此，MME利用相关的NAS安全参数信息对目标数据进行NAS解安全处理，得到解安全处理的数据。

步骤S205：所述核心网设备向所述基站发送安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

具体地，所述核心网设备MME可以向基站发送安全响应信息，比如可以是某条S1-AP下行信令也中携带，如Downlink NAS Transport、Initial Context Setup Request中携带。其中安全响应信息对应地包括该UE的安全参数信息和/或安全解处理的目标数据。其中UE的标识信息可能是S-TMSI、eNB UE S1AP ID、MME UE S1AP IP、IMSI等标识信息。

例如，当安全请求信息中只包含UE的标识，则MME返回的安全响应信息中只可能包含与该UE的标识匹配的安全参数信息；当安全请求信息中包含经过NAS安全处理的目标数据，则MME返回的安全响应信息中包含通过该安全参数信息将该经过NAS安全处理的目标数据进行安全解处理的目标数据，同时也可以包含与该UE的标识匹配的安全参数信息；当安全请求信息中不仅包含了UE的标识且包含经过NAS安全处理的目标数据，则MME返回的安全响应信息中必定可包含通过该安全参数信息将该经过NAS安全处理的目标数据进行安全解处理的目标,也可包含与该UE的标识匹配的安全参数信息。当安全请求信息中仅包含了UE的标识，则MME返回的安全响应信息中包含与该UE的标识匹配的安全参数信息。

在一种可能的实现方式中，核心网设备向基站发送UE的安全参数信息时，该安全参数信息可包括NAS安全参数，其中，NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法。

在一种可能的实现方式中，核心网设备向基站发送UE的安全解处理的目标数据，该安全解处理的目标数据即为安全解处理的目标数据，其中，具体可包括通过NAS安全参数信息对该经过安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据。

在一种可能的实现方式中，核心网设备向所述基站发送安全响应信息之后，该核心网设备还可以向基站发送NAS安全参数信息变更指示，其中该变更指示的具体内容可以包括变更后的NAS安全参数信息，而变更后的NAS安全参数信息可以是当UE和/或核心网设备检测出当前UE与MME之间使用的NAS安全参数信息变更时，MME向UE重新发起并进行密钥协商，从而确定的变更后的NAS安全参数信息。

进一步地，基站接收到核心网设备发送的安全参数信息之后，还可以将该安全参数信息，用于后续空口信令的加密和完整性保护以及数据的加密等。例如，可作为与UE或MME产生相关密钥的流程推演出密钥，或者用于其它接入层AS的安全流程等。例如，基站利用核心发送的NAS安全参数信息，使用相关算法推演出AS密钥，UE进行同样操作，并使用UE与基站都知道的算法进行AS安全操作。

步骤S206：所述基站接收所述核心网设备返回的安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

具体地，基站接收步骤S205中核心网设备返回的安全响应信息后，则可以通过接收到的UE的安全参数信息对经过NAS安全处理的目标数据进行安全解处理，从而成功读取了UE上报的目标数据；也可以是基站直接接收了核心网设备返回的已经经过NAS安全解处理的目标输数据；亦或者是两者都接收，可以灵活设置，本发明对此不作具体限定。

在一种可能的实现方式中，基站接收核心网设备通过下行S1消息返回的安全响应信息。其中下行S1消息可以为，初始上下文建立请求如initial context setup request，下行NAS传输如DL NAS Transport等。

在一种可能的实现方式中，基站接收所述核心网设备返回的安全响应信息之后，基站接收UE和/或核心网设备发送的NAS安全参数信息变更通知，以便于基站能获得最新且有效的安全参数信息。

在一种可能的实现方式中，所述基站接收所述UE发送的经过安全处理的目标数据的同时，接收所述UE发送的安全相关信息；当所述基站判断出所述安全相关信息与所述基站本地保存的安全相关信息不一致时，执行所述向核心网设备发送所述UE的安全请求信息的步骤。其中安全相关信息为可用于基站进行比对自身存储的安全参数信息是否需要变更的判断依据信息，具体内容本发明不做具体限定。进一步地，当所述安全响应信息包括所述UE的安全参数信息时，所述基站接收所述核心网设备返回的安全响应信息，包括：所述基站接收所述核心网设备返回的更新的非接入层NAS安全参数信息；或者所述基站接收所述核心网设备返回的更新的接入层AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。

更进一步地，本发明还在密钥的变更问题上提供了一种解决方案，即：基站可以接收用户设备UE发送的安全相关信息；当基站判断出安全相关信息与本地保存的UE的安全相关信息不一致时，基站确定需要进行安全参数信息的变更。基站确定需要进行安全参数信息的变更之后，发起UE的安全参数信息重获取过程。向UE重新发起安全协商并确定变更的接入层AS安全参数信息，以便于UE存储和/或核心网设备利用变更后的AS安全参数信息进行安全处理；或者基站从核心网设备获取更新的非接入层NAS安全参数信息；或者基站从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，和UE发起安全协商，以便于UE存储和/或核心网利用变更后的AS安全参数信息进行AS安全处理。即基站除了在接收经过安全处理的目标数据后可以发起安全请求信息，也可以在未接收到目标数据时，就可以提前为数据的安全传输做准备，即仅接收UE发送的相关安全信息，从而触发进行后续的安全参数信息的重获取的过程，以保证安全参数信息的有效性。

通过本实发明实施例，主要解决了如何安全的传输目标数据给基站的技术问题，即基站通过在接收到UE发送的经过NAS安全处理的目标数据后，向核心网设备发起安全解目标数据的相关安全请求信息，再接收核心网设备返回相关安全参数信息，或者直接解出目标数据，在空口对目标数据进行了安全保护。

参见图3图3是本发明实施例中的另一种安全处理方法的流程示意图，。下面将结合附图3从UE、基站以及核心网设备的交互侧进行详细描述。如图3所示，该方法可以包括以下步骤S301-步骤S306。

步骤S301：UE向基站发送经过AS安全处理的目标数据。

具体地，UE通过上行RRC信令或者上行MAC层信令向基站发送经过安全处理的目标数据。其中，经过安全处理的目标数据可以为，经过接入层AS安全加密的目标数据，或经过AS完整性保护的目标数据，或经过AS加密和AS完整性保护的目标数据。

在一种可能的实现方式中，UE向基站发送经过AS安全处理的目标数据之前，UE利用AS安全参数信息对目标数据进行AS安全处理，其中，AS安全参数信息为UE与基站已经进行密钥协商并确定的AS安全参数信息或者已经存储于该UE中的AS安全参数信息，进一步地，AS安全参数信息包括可AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

在一种可能实现的方式中，UE与基站保存UE与基站在之前连接中协商并确定的AS安全参数，当所述基站接收到经过AS安全处理的目标数据后，对其进行解安全处理操作，进而获得目标数据。

进一步地，当UE与基站再次进行连接时，UE向基站通过如RRC Connection Rusume等上行信令中发送UE保存的AS安全参数信息，基站接收后，通过将其与自身保存的AS安全信息进行对比，判断是否发生变化，如果发生变化。则向MME发送安全请求信息，并获得MME发送给基站的安全响应信息。进一步的可以通过获得响应信息中的相关安全参数，触发AS的SMC流程，即安全协商流程。

可选的，当UE与基站再次进行连接时，UE向基站发送已经进行安全处理的数据，如果基站不能利用已经保存的安全信息进行解处理，则说明安全信息发生变化，则向MME发送安全请求信息，并获得MME发送给基站的安全响应信息。进一步的可以通过获得响应信息中的相关安全参数，并开始执行AS的SMC流程，即安全协商流程。

在一种可能的实现方式中，UE还向所述基站发送AS安全参数信息变更通知，变更通知可以为UE和/或核心网设备发现当前使用的AS安全参数信息变更时，重新进行密钥协商后确定的变更后的AS安全参数信息。AS安全参数信息发生变化，UE或者MME会发送一个AS安全参数信息变化指示给基站。可选的当UE向基站发送变更指示时，基站MME发送安全请求信息，并获得MME发送给基站的安全响应信息。进一步的可以通过获得响应信息中的相关安全参数，触发AS的SMC流程，即安全协商流程。可选的当MME向基站发送变更指示时，其指示消息可以为AS相关安全参数，基站利用相关消息执行AS的SMC流程，即安全协商流程。基站重新发起AS SMC流程，重新协商AS安全参数信息。上述方法对UE和基站保存AS安全参数，以及UE和MME保存AS安全参数都适用。

在一种可能实现的方式中，UE和MME在之前的连接中保存了AS安全参数信息，在AS安全参数信息发生变化的情况下，UE使用更新的AS安全参数信息进行加密或者完整性保护。MME指示基站AS安全参数信息已经变化，同时通知更新的安全参数信息给基站。以便于基站使用变更后的AS安全参数信息直接解密和/或完整性校验和/或AS安全操作后的其他的RRC信令等。例如，当基站和UE使用的AS安全相关算法不变，产生AS密钥的相关参数变化。因此基站可以利用MME发送的安全参数信息获得新的密钥，或者直接从MME发送的安全信息中获得密钥。如果UE和MME变更后的AS安全参数信息，在UE接入的基站不支持时，或者eNB使用从MME获取的AS安全参数信息进行安全操作失败时，基站则向MME获取重新进行AS安全协商的相关安全参数或者利用已经保存的相关安全信息，向UE重新发起AS安全协商过程。

在一种可能的实现方式中，UE向基站发送经过安全处理的接入层AS目标数据之前，当所述UE与所述基站建立连接后，基站通过指示消息知道所述UE和核心网设备中均未保存AS安全参数信息时，此时基站向UE发起密钥协商并确定需要使用的AS安全参数信息，以便于UE对该AS安全参数信息进行存储，并利用该AS安全参数信息对需要向基站发送的目标数据进行安全处理。进一步地，当UE与基站释放连接时，基站将所述AS安全参数信息发送给所述核心网设备进行存储，以便于下一次基站需要再使用相关AS安全参数信息进行数据的安全流程时，可以直接向核心网设备进行获取，因此不必浪费空口资源，从而减少UE(一般为非插电)的空口功耗。基站向核心网设备发送的安全参数信息可以通过上行S1-AP信令来携带，如UE Context Release Complete,S1-AP UE Deactivate Context Ack,DL NAS Transport等信令。

在一种可能的实现方式中，基站将AS安全参数信息发送给核心网设备进行存储之后，基站接收到AS安全参数信息变更指示时，向UE重新发起密钥协商并确定变更的AS安全参数信息，以便于UE存储并利用变更后的AS安全参数信息进行安全处理，其中，安全参数信息变更指示为当所述UE和/或所述核心网设备发现出所述AS安全参数信息变更时，向所述基站发送的变更指示。进一步地，将协商更新后的AS安全参数信息发送给所述核心网设备进行存储。再一步地，将变更后的AS安全参数信息通过发送的安全请求信息发送给核心网设备进行存储，如UE Context Release Complete,S1-AP UE Deactivate Context Ack,DL NAS Transport等信令。

在一种可能实现的方式中，例如，目标数据为测量报告，UE将测量报告或者定位信息封装在NAS PDU中通过上行RRC信令进行携带，具体信令如RRC Connection Setup Complete,UE Location Information,Measurement Report等，并使用NAS安全进行安全处理，基站接收后，将包含测量报告或者定位信息的NAS PDU通过S1-AP信令转发给核心网，具体信令如Initial UE Message，UL NAS Transport等。核心网接收后，对其进行解安全处理并获得测量报告或者定位信息，并通过下行S1信令将其传输给基站，具体信令如initial context setup request，下DL NAS Transport等。上述提及信令不限。

在一种可能的实现方式中，当有多个数据包需要进行传输时可以使用piggyback的方式进行携带。如AS安全参数信息可以在S1口的DL NAS transfer中piggyback携带。在空口，如果需要协商AS安全的话，则可以通过AS SMC信令在DL直传消息中piggyback携带，其中的响应消息，可以在UL直传消息中确认，无需专用信令，节约功耗。

步骤S302：基站接收用户设备UE发送的经过AS安全处理的目标数据。

具体地，基站接收步骤S301中UE通过上行RRC信令或者上行MAC层信令发送的经过安全处理的目标数据。

步骤S303：所述基站向核心网设备发送所述UE的标识和/或所述经过AS安全处理的目标数据。

具体地，基站可以通过S1接口并通过Initial UE Message，或者其他S1接口的上行信令，比如UL传输消息，向核心网设备发送UE的标识和/或经过 AS安全处理的目标数据。由于在现有技术中，基站(eNB)接收到目标数据如测量报告后是可以直接解出测量报告的，因为用于AS安全解处理目标数据的安全参数信息是UE和基站之间进行协商从而确定的，因而此时基站可以直接通过自身与UE协商后得到的安全参数信息进行解出，但是本方法实施例的区别点就就在于，通过将UE和基站之间协商后确定的安全参数信息，在UE和MME中保存(包括安全参数信息变更后的存储)，因此，UE需要再次和基站之间进行数据传输时，则不需要进行重新协商得到安全参数信息的流程，而只需基站向MME中获取已经存储好的有效安全参数信息，以及UE自身已经保存的有效安全参数信息，即可以完成UE和基站之间的安全传输，节省了UE和基站之间的空口功耗。

可以理解的是，安全请求信息的内容可以是用于识别UE的标识，该标识可以让MME对应的查找出与该标识匹配的安全参数信息，而还可以理解的是，也可以直接将需要读取的AS安全处理的目标数据直接发送给MME，让MME进行安全解处理，之后再将安全解处理的目标数据返还给基站，亦或是将该两者都返回给基站，总之，只要最终能让基站顺利读取出经过AS安全处理的目标数据即可。其中UE的标识信息可能是S-TMSI、eNB UE S1AP ID、MME UE S1AP IP、IMSI等标识信息。总之，只要最终能让基站顺利读取出经过安全处理的目标数据即可。

一种可能的实现方式中，UE和MME保存的了AS的安全参数信息，当UE与基站再次进行连接时，UE通过RRC ConnectionComplete将经过AS安全处理的目标数据发送给基站，基站收到数据后，向MME发送initial UE Message,MME收到消息后，通过一条下行S1信令，将AS安全信息发送给基站，基站接收到此消息后，利用所收到的安全信息对收到的经过AS安全处理的数据进行解安全处理，并获得目标数据。其中上述所提及的信令只是举例，并不限制。可选的，同样在UE和MME保存的了AS的安全参数信息的情况下，若在发送安全处理数据之前，基站从MME通过下行信令获取到AS安全参数信息，则保存，当有上行加密数据到达时，可以利用其进行解安全处理，当有下行数据到达时，可以进行AS安全处理。

在一中可能的实现方式中，UE将目标数据(如测量报告，定位信息等) 通过上行信令中的MAC CE中携带，发送给基站，基站收到后可以获取该目标数据。可选的，也可用并RRC信令中消息ID对目标数据进行加密等相关操作。

在一种可能的实现方式中，核心网设备向基站发送安全响应信息之前，接收基站发送的所述UE的AS安全参数信息，其中，该AS安全参数信息为当UE与基站建立连接后，基站检测出UE和核心网设备中均未保存AS安全参数信息时，基站向所述UE发起密钥协商并确定AS安全参数信息。即在首次协商时，UE和MME还暂未存储AS安全参数信息，因此首次安全协商完之后，即可将有效的AS安全参数信息发送给MME进行存储。

步骤S304：所述核心网设备接收基站发送的所述UE的标识和/或所述经过AS安全处理的目标数据。

具体地，核心网设备MME可通过S1接口接收步骤S303中基站发送的UE的标识和/或所述经过AS安全处理的目标数据。

步骤S305：所述核心网设备向所述基站发送安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

在一种可能的实现方式中，核心网设备向基站发送的安全响应信息包含AS安全参数时，具体可以是AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

在一种可能的实现方式中核心网设备向基站发送的安全响应信息包含通过AS安全参数信息对经过AS安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。

在一种可能的实现方式中，核心网设备接收基站通过所述安全请求信息中携带的该UE的AS安全参数信息或变更后的AS安全参数信息并进行存储。其中，基站可以是通过RRC Connection Setup Complete携带，或者其他上行的RRC信令向核心网设备发送该AS安全参数信息或变更后的AS安全参数信息

在一种可能的实现方式中，当核心网设备检测出AS安全参数信息变更时，向所述基站发送的变更指示，以便于基站重新向UE发起安全协商过程，从而产生变更后的有效安全参数信息。

在一种可能的实现方式中，基站接收核心网设备返回的UE的AS安全参数，其中，AS安全参数可以包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

在一种可能的实现方式中，由于在现有技术中，产生AS相关安全参数时，必然会产生NAS相关安全参数，因此本方法步骤中利用产生NAS安全参数通过一定算法可以推演出AS安全参数信息，并在UE和MME侧进行保存，而基站与UE进行空口安全的加密算法和保护算法可以是NAS算法，也可以是新设置的某个针对CIOT的算法，如果使用NAS算法，初始建立连接时也不必进行AS SMC流程，如果是其他算法可以通过NAS SMC流程进行协商，也可以通过AS SMC进行协商。本方法步骤的有益效果为：本实施例不必分别产生两个密钥，可以通过产生的NAS安全参数信息推演出AS安全参数信息节约信令和功耗。

步骤S306：所述基站接收所述核心网设备返回的安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

具体地，基站接收步骤S305中核心网设备返回的安全响应信息后，则可以通过接收到的UE的安全参数信息对经过安全处理的目标数据进行安全解处理，从而成功读取了UE上报的目标数据；也可以是基站直接接收了核心网设备返回的已经经过安全解处理的AS目标输数据；亦或者是两者都接收，可以灵活设置，本发明对此不作具体限定。

在一种可能的实现方式中，基站接收核心网设备通过下行S1消息返回的安全响应信息。

在一种可能的实现方式中，基站接收用户设备UE发送的经过安全处理的目标数据之后，还可以接收UE发送的安全参数信息变更指示；或者接收核心网发送的安全参数信息变更指示。基站接收到安全参数信息变更指示之后，基站发起UE的安全参数信息重获取过程。具体可为向UE重新发起安全协商并确定变更的AS安全参数信息；或者基站从核心网设备获取更新的NAS安全参数信息；或者基站从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。本方法步骤的执行书要可以用户基站除了可以主动的请求安全参数信息时，也可以被动的接收UE或核心网主动发送的安全参数信息变更指示，从而保证UE在与基站进行数据传输的过程中，能保证安全参数信息的有效性。

通过本实发明实施例，主要解决了如何在安全传输目标数据给基站的同时，又可以减少空口信令的开销或功耗的技术问题，即通过初始接入时，UE和基站建立连接后，进行现有技术中的AS安全保护，当释放连接时，基站将本次使用的AS安全相关安全参数信息发送给核心网设备进行保存，当再次建立连接且UE有目标数据需要发送时，基站向核心网设备发起此前已经存储过的安全解目标数据的相关安全请求信息，再接收核心网设备返回相关安全参数信息，或者直接解出目标数据，可以避免基站与UE通过AS SMC协商安全参数信息流程，不仅实现了AS的安全保护，而且节省了功耗。

为了便于更好地实施本发明实施例的上述方法实施例，本发明还提供了用于配合实施上述方法实施例的相关基站和用户设备。下面结合图4、图5、图6及图7所示的本发明提供的相关基站、核心网设备及用户设备的示意图，进行详细说明：

请参见图4，图4是本发明实施例提供的一种基站10，所述基站10包括输入单元101、输出单元102、存储单元103和处理单元104，在本发明的一些实施例中，输入单元101、存储单元103和处理单元104可通过总线或者其它方式连接，其中，图4中以通过总线连接为例。所述处理单元104调用所述存储单元103中的程序代码，用于执行如下操作：

通过所述输入单元101基站接收用户设备UE发送的经过安全处理的目标数据；

通过所述输出单元102向核心网设备发送所述UE的安全请求信息；

通过所述输入单元101接收所述核心网设备返回的安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

可选的，所述处理单元104用于通过所述输入单元101接收所述UE发送的经过安全处理的目标数据的同时，通过所述输入单元101接收所述UE发送的安全相关信息；

当所述基站判断出所述安全相关信息与所述基站本地保存的安全相关信息不一致时，执行所述通过所述输出单元102向核心网设备发送所述UE的安全请求信息的步骤。

可选的，所述处理单元104用于当所述安全响应信息包括所述UE的安全参数信息时，通过所述输入单元101接收所述核心网设备返回的安全响应信息，具体为：

通过所述输入单元101接收所述核心网设备返回的更新的接入层AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。

可选的，所述处理单元104通过所述输入单元101接收用户设备UE发送的经过安全处理的目标数据，包括：

通过所述输入单元101接收所述UE通过上行NAS信令或者上行RRC信令或者上行MAC层信令发送的经过安全处理的目标数据。

可选的，所述经过安全处理的目标数据包括经过非接入层NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

可选的，所述处理单元104通过所述输出单元102向核心网设备发送所述UE的安全请求信息，包括：

通过所述输出单元102通过上行S1消息向核心网设备发送所述UE的安全请求信息。

通过所述输出单元102向核心网设备发送所述UE的标识和/或所述经过NAS安全处理的目标数据；或者

通过所述输出单元102向核心网设备发送所述UE的标识和/或所述经过AS安全处理的目标数据。

可选的，当所述安全响应信息包括所述UE的安全参数信息时，所述处理单元104，还用于：

通过所述输入单元101接收所述核心网设备返回的安全响应信息之后，根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理。

可选的，所述处理单元104通过所述输入单元101接收所述核心网设备返回的安全响应信息，包括：

通过所述输出单元102接收所述核心网设备通过下行S1消息返回的安全响应信息。

可选的，所述处理单元104通过所述输入单元101接收所述核心网设备返回的安全响应信息中的安全参数信息，包括：

通过所述输入单元101接收所述核心网设备返回的所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

通过所述输入单元101接收所述核心网设备返回的所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

可选的，所述处理单元104通过所述输入单元101接收所述核心网设备返回的安全响应信息中的安全解处理的目标数据，包括：

通过所述输入单元101接收所述核心网设备返回的对所述经过NAS安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

通过所述输入单元101接收所述核心网设备返回的对所述经过AS安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。

可选的，所述基站根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理，包括：

可选的，所述处理单元104，还用于：通过所述输入单元101接收用户设备UE发送的经过安全处理的目标数据之前，当所述UE与所述基站释放连接时，将所述AS安全参数信息通过所述输出单元102发送给所述核心网设备进行存储；或者

将更新后的AS安全参数信息通过所述输出单元102发送的安全请求信息，或者基站与核心网设备之间的接口信令发送给所述核心网设备进行存储。

可选的，所述处理单元104，还用于：通过所述输入单元101接收用户设备UE发送的经过安全处理的目标数据之后，通过所述输入单元101接收所述UE发送的安全参数信息变更指示；或者

通过所述输入单元101接收所述核心网发送的安全参数信息变更指示。

可选的，所述处理单元104，还用于：通过所述输入单元101接收到所述安全参数信息变更指示之后，通过所述输出单元102发起所述UE的安全参数信息重获取过程。

可选的，所述处理单元104用于通过所述输出单元102发起所述UE的安全参数信息重获取过程，具体为：

通过所述输出单元102向所述UE重新发起安全协商并确定变更的AS安全参数信息；或者

通过所述输入单元101从核心网设备获取更新的NAS安全参数信息；或者

通过所述输入单元101从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。

可理解的是，基站10中各单元的功能可对应参考上述图2和图3中方法实施例中的具体实现方式，这里不再赘述。

图5是本发明实施例提供的一种基站20的结构示意图；该基站20可以包括输入单元201、输出单元202、存储单元203和处理单元204(处理单元204可以为一个或多个，图5中以一个处理单元为例)，输入单元201、输出单元202、存储单元203和处理单元204分别连接总线205，其中，存储单元203中存储一组安全处理的程序代码，且处理单元204用于调用存储单元203中存储的安全处理的程序代码来执行以下操作：

通过所述输入单元201接收用户设备UE发送的安全相关信息；

可选的，所述处理单元204，还用于确定需要进行安全参数信息的变更之后，通过所述输出单元202发起所述UE的安全参数信息重获取过程。

可选的，所述处理单元204用于通过所述输出单元202发起所述UE的安全参数信息重获取过程，具体为：

通过所述输出单元202向所述UE重新发起安全协商并确定变更的接入层AS安全参数信息，以便于所述UE存储和/或核心网设备利用变更后的AS安全参数信息进行安全处理；或者

通过所述输入单元201从核心网设备获取更新的非接入层NAS安全参数信息；或者

通过所述输入单元201从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，和UE发起安全协商，以便于所述UE存储和/或核心网利用变更后的AS安全参数信息进行AS安全处理。

可理解的是，基站20中各单元的功能可对应参考上述图2和图3中方法实施例中的具体实现方式，这里不再赘述。

请参见图6，图6是本发明实施例提供的一种核心网设备30，核心网设备30包括输入单元301、输出单元302、存储单元303和处理单元304，在本发明的一些实施例中，输入单元301、存储单元303和处理单元304可通过总线或者其它方式连接，其中，图6中以通过总线连接为例。所述处理单元304 调用所述存储单元303中的程序代码，用于执行如下操作：

通过所述输入单元301接收基站发送的用户设备UE的安全请求信息；

通过所述输出单元302向所述基站发送安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。

可选的，所述处理单元304用于通过所述输入单元301接收基站发送的用户设备UE的安全请求信息，包括：

通过所述输入单元301接收基站发送的所述UE的标识和/或所述经过非接入层NAS安全处理的目标数据；或者

通过所述输入单元301接收基站发送的所述UE的标识和/或所述经过接入层AS安全处理的目标数据。

可选的，所述处理单元304用于通过所述输出单元302所述核心网设备向所述基站发送安全响应信息中的安全参数信息，包括：

通过所述输出单元302向所述基站发送所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

通过所述输出单元302向所述基站发送所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

可选的，所述处理单元304用于通过所述输出单元302所述核心网设备向所述基站发送安全响应信息中的安全解处理的目标数据，包括：

通过所述输出单元302向所述基站发送通过NAS安全参数信息对所述经过安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

通过所述输出单元302向所述基站发送通过AS安全参数信息对所述经过安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。

可选的，所述处理单元304，还用于：

通过所述输出单元302向所述基站发送安全响应信息之后，还通过所述输出单元302向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。

可选的，所述处理单元304，还用于：

通过所述输入单元301接收所述基站发送的所述UE的AS安全参数信息，所述AS安全参数信息为当所述UE与所述基站建立连接后，所述基站向所述UE发起安全协商并确定的AS安全参数信息；或者

通过所述输入单元301接收所述基站通过所述安全请求信息，或者基站到核心网设备的接口信令发送的所述UE的存储的所述AS安全参数信息或变更后的AS安全参数信息并进行存储。

可选的，所述处理单元304，还用于：

当所述核心网设备检测出所述AS安全参数信息变更时，通过所述输出单元302向所述基站发送安全参数信息变更指示。

可理解的是，核心网设备30中各单元的功能可对应参考上述图2和图3中方法实施例中的具体实现方式，这里不再赘述。

请参见图7，图7是本发明实施例提供的一种用户设备UE40，UE 40可以包括：输入单元401、输出单元402、存储单元403和处理单元404，在本发明的一些实施例中。其中，总线用于实现这些组件之间的通信连接；输入单元401具体可为终端的触控面板，包括触摸屏和触控屏，用于检测终端触控面板上的操作指令；输出单元402可以包括终端的显示屏(Display)；存储单元403可以是高速RAM显示器，也可以是非不稳定的显示器(non-volatile memory)，例如至少一个磁盘显示器，存储单元403可选的还可以是至少一个位于远离前述处理单元404的显示装置。如图7所示，作为一种计算机显示介质的存储单元403中可以包括操作系统、网络通信模块、用户接口模块以及数据处理程序。

图7中的UE的所述处理单元404调用所述存储单元403中的程序代码，用于执行如下操作：

通过所述输出单元402向基站发送经过非接入层NAS安全处理的目标数据，所述经过NAS安全处理的目标数据包括经过NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

通过所述输出单元402向基站发送经过接入层AS安全处理的目标数据，所述经过AS安全处理的目标数据包括经过AS安全加密的目标数据，或AS完整性保护的目标数据，或AS加密和AS完整性保护的目标数据。

可选的，所述处理单元404用于通过所述输出单元402向基站发送经过NAS安全处理的目标数据，具体为：

通过所述输出单元402通过上行NAS信令或者上行RRC信令或者上行MAC层信令向基站发送经过NAS安全处理的目标数据。

可选的，所述处理单元404用于通过所述输出单元402向基站发送经过AS安全处理的目标数据，包括：

可选的，所述处理单元404，还用于：

通过所述输出单元402向基站发送经过NAS安全处理的目标数据之前，利用NAS安全参数信息对目标数据进行NAS安全处理，所述NAS安全参数信息为所述UE与所述核心网设备已经进行安全协商并确定的NAS安全参数信息，所述NAS安全参数信息包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法。

可选的，所述处理单元404，还用于：

通过所述输出单元402向基站发送经过AS安全处理的接入层目标数据之前，利用AS安全参数信息对目标数据进行AS安全处理，所述AS安全参数信息为所述UE与所述基站已经进行安全协商并确定的AS安全参数信息或者已经存储于所述UE中的AS安全参数信息，所述AS安全参数信息包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。

可选的，所述处理单元404，还用于：

通过所述输出单元402向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。

可选的，所述处理单元404，还用于：

通过所述输出单元402向所述基站发送AS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的AS安全参数信息。

可理解的是，用户设备UE 40中各单元的功能可对应参考上述图2和图3中方法实施例中的具体实现方式，这里不再赘述。

应注意，本发明上述方法实施例可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑示意图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本发明实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

一种安全处理方法，其特征在于，包括：

基站接收用户设备UE发送的经过安全处理的目标数据；

所述基站向核心网设备发送所述UE的安全请求信息；

所述基站接收所述核心网设备返回的安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。
如权利要求1所述的方法，其特征在于，所述基站接收所述UE发送的经过安全处理的目标数据的同时，接收所述UE发送的安全相关信息；

当所述基站判断出所述安全相关信息与所述基站本地保存的安全相关信息不一致时，执行所述向核心网设备发送所述UE的安全请求信息的步骤。
如权利要求2所述的方法，其特征在于，当所述安全响应信息包括所述UE的安全参数信息时，所述基站接收所述核心网设备返回的安全响应信息，包括：

所述基站接收所述核心网设备返回的更新的接入层AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。
如权利要求1所述的方法，其特征在于，所述基站接收用户设备UE发送的经过安全处理的目标数据，包括：

所述基站接收所述UE通过上行NAS信令或者上行RRC信令或者上行MAC层信令发送的经过安全处理的目标数据。
如权利要求1-4所述的方法，其特征在于，所述经过安全处理的目标数据包括经过非接入层NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

所述经过安全处理的目标数据包括经过接入层AS安全加密的目标数据，或经过AS完整性保护的目标数据，或经过AS加密和AS完整性保护的目标数据。
如权利要求1-5任意一项所述的方法，其特征在于，所述基站向核心网设备发送所述UE的安全请求信息，包括：

所述基站通过上行S1消息向核心网设备发送所述UE的安全请求信息。
如权利要求1-6任意一项所述的方法，其特征在于，所述基站向核心网设备发送所述UE的安全请求信息，包括：

所述基站向核心网设备发送所述UE的标识和/或所述经过NAS安全处理的目标数据；或者

所述基站向核心网设备发送所述UE的标识和/或所述经过AS安全处理的目标数据。
如权利要求1-7所述的方法，其特征在于，当所述安全响应信息包括所述UE的安全参数信息时，所述基站接收所述核心网设备返回的安全响应信息之后，还包括：

所述基站根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理。
如权利要求1-8任意一项所述的方法，其特征在于，所述基站接收所述核心网设备返回的安全响应信息，包括：

所述基站接收所述核心网设备通过下行S1消息返回的安全响应信息。
如权利要求1-9任意一项所述的方法，所述基站接收所述核心网设备返回的安全响应信息中的安全参数信息，包括：

所述基站接收所述核心网设备返回的所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

所述基站接收所述核心网设备返回的所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。
如权利要求1-10任意一项所述的方法，其特征在于，所述基站接收所述核心网设备返回的安全响应信息中的安全解处理的目标数据，包括：

所述基站接收所述核心网设备返回的对所述经过NAS安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

所述基站接收所述核心网设备返回的对所述经过AS安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。
如权利要求1-11所述的方法，其特征在于，所述基站根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理，包括：

所述基站基于所述核心网设备返回的NAS安全参数信息对所述经过NAS安全处理的目标数据进行NAS安全解密，或NAS完整性校验，或NAS安全解密和NAS完整性校验；或者

所述基站基于所述核心网设备返回的AS安全参数信息对所述经过AS安全处理的目标数据进行AS安全解密，或AS完整性校验，或AS安全解密和AS完整性校验。
如权利要求1-12所述的方法，其特征在于，所述基站接收用户设备UE发送的经过安全处理的目标数据之前，包括：

当所述UE与所述基站释放连接时，所述基站将所述AS安全参数信息发送给所述核心网设备进行存储；或者

所述基站将更新后的AS安全参数信息通过发送的安全请求信息，或者基站与核心网设备之间的接口信令发送给所述核心网设备进行存储。
如权利要求13所述的方法，其特征在于，基站接收用户设备UE发送的经过安全处理的目标数据之后，还包括：

接收所述UE发送的安全参数信息变更指示；或者

接收所述核心网发送的安全参数信息变更指示。
如权利要求14所述的方法，其特征在于，所述基站接收到所述安全参数信息变更指示之后，包括：所述基站发起所述UE的安全参数信息重获取过程。
如权利要求15所述的方法，其特征在于，所述基站发起所述UE的安全参数信息重获取过程，包括：

向所述UE重新发起安全协商并确定变更的AS安全参数信息；或者

所述基站从核心网设备获取更新的NAS安全参数信息；或者

所述基站从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。
一种安全处理方法，其特征在于，包括：

基站接收用户设备UE发送的安全相关信息；

当所述基站判断出所述安全相关信息与本地保存的所述UE的安全相关信息不一致时，所述基站确定需要进行安全参数信息的变更。
如权利要求17所述的方法，其特征在于，所述基站确定需要进行安全参数信息的变更之后，包括：所述基站发起所述UE的安全参数信息重获取过程。
如权利要求18所述的方法，其特征在于，所述基站发起所述UE的安全参数信息重获取过程，包括：

向所述UE重新发起安全协商并确定变更的接入层AS安全参数信息，以便于所述UE存储和/或核心网设备利用变更后的AS安全参数信息进行安全处理；或者

所述基站从核心网设备获取更新的非接入层NAS安全参数信息；或者

所述基站从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，和UE发起安全协商，以便于所述UE存储和/或核心网利用变更后的AS安全参数信息进行AS安全处理。
一种安全处理方法，其特征在于，包括：

核心网设备接收基站发送的用户设备UE的安全请求信息；

所述核心网设备向所述基站发送安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。
如权利要求20所述的方法，其特征在于，所述核心网设备接收基站发送的用户设备UE的安全请求信息，包括：

所述核心网设备接收基站发送的所述UE的标识和/或所述经过非接入层NAS安全处理的目标数据；或者

所述核心网设备接收基站发送的所述UE的标识和/或所述经过接入层AS安全处理的目标数据。
如权利要求20-21任意一项所述的方法，所述核心网设备向所述基站发送安全响应信息中的安全参数信息，包括：

所述核心网设备向所述基站发送所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

所述核心网设备向所述基站发送所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。
如权利要求20-22任意一项所述的方法，其特征在于，所述核心网设备向所述基站发送安全响应信息中的安全解处理的目标数据，包括：

所述核心网设备向所述基站发送通过NAS安全参数信息对所述经过安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

所述核心网设备向所述基站发送通过AS安全参数信息对所述经过安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。
如权利要求20-23任意一项所述的方法，其特征在于，所述核心网设备向所述基站发送安全响应信息之后，还包括：

所述核心网设备向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。
如权利要求20-23所述的方法，其特征在于，所述核心网设备向所述基站发送安全响应信息之前，包括：

接收所述基站发送的所述UE的AS安全参数信息，所述AS安全参数信息为当所述UE与所述基站建立连接后，所述基站向所述UE发起安全协商并确定的AS安全参数信息；或者

接收所述基站通过所述安全请求信息，或者基站到核心网设备的接口信令发送的所述UE的存储的所述AS安全参数信息或变更后的AS安全参数信息并进行存储。
如权利要求20-23或25任意一项所述的方法，其特征在于，所述方法还包括：

当所述核心网设备检测出所述AS安全参数信息变更时，向所述基站发送安全参数信息变更指示。
一种安全处理方法，其特征在于，包括：

UE向基站发送经过非接入层NAS安全处理的目标数据，所述经过NAS安全处理的目标数据包括经过NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

UE向基站发送经过接入层AS安全处理的目标数据，所述经过AS安全处理的目标数据包括经过AS安全加密的目标数据，或AS完整性保护的目标数据，或AS加密和AS完整性保护的目标数据。
如权利要求27所述的方法，其特征在于，所述UE向基站发送经过NAS安全处理的目标数据，包括：

所述UE通过上行NAS信令或者上行RRC信令或者上行MAC层信令向基站发送经过NAS安全处理的目标数据。
如权利要求27所述的方法，其特征在于，所述UE向基站发送经过AS安全处理的目标数据，包括：

所述UE通过上行RRC信令或者上行MAC层信令向基站发送经过AS安全处理的目标数据。
如权利要求27或28所述的方法，其特征在于，所述UE向基站发送经过NAS安全处理的目标数据之前，包括：

所述UE利用NAS安全参数信息对目标数据进行NAS安全处理，所述NAS安全参数信息为所述UE与所述核心网设备已经进行安全协商并确定的NAS安全参数信息，所述NAS安全参数信息包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法。
如权利要求27或29所述的方法，其特征在于，所述UE向基站发送经过AS安全处理的接入层目标数据之前，包括：

所述UE利用AS安全参数信息对目标数据进行AS安全处理，所述AS安全参数信息为所述UE与所述基站已经进行安全协商并确定的AS安全参数信息或者已经存储于所述UE中的AS安全参数信息，所述AS安全参数信息包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。
如权利要求27或28或30所述的方法，其特征在于，所述方法，还包括：

所述UE向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。
如权利要求27或29或31所述的方法，其特征在于，所述方法，还包括：

所述UE向所述基站发送AS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的AS安全参数信息。
一种基站，其特征在于，包括：输入单元、输出单元、存储单元和处理单元；

其中，所述存储单元用于存储程序代码，所述处理单元用于调用所述存储单元存储的程序代码执行如下步骤：

通过所述输入单元基站接收用户设备UE发送的经过安全处理的目标数据；

通过所述输出单元向核心网设备发送所述UE的安全请求信息；

通过所述输入单元接收所述核心网设备返回的安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。
如权利要求34所述的基站，其特征在于，所述处理单元用于通过所述输入单元接收所述UE发送的经过安全处理的目标数据的同时，通过所述输入单元接收所述UE发送的安全相关信息；

当所述基站判断出所述安全相关信息与所述基站本地保存的安全相关信息不一致时，执行所述通过所述输出单元向核心网设备发送所述UE的安全请求信息的步骤。
如权利要求35所述的基站，其特征在于，所述处理单元用于当所述安全响应信息包括所述UE的安全参数信息时，通过所述输入单元接收所述核心网设备返回的安全响应信息，具体为：

通过所述输入单元接收所述核心网设备返回的更新的接入层AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。
如权利要求34所述的基站，其特征在于，所述处理单元通过所述输入单元接收用户设备UE发送的经过安全处理的目标数据，包括：

通过所述输入单元接收所述UE通过上行NAS信令或者上行RRC信令或者上行MAC层信令发送的经过安全处理的目标数据。
如权利要求34-37所述的基站，其特征在于，所述经过安全处理的目标数据包括经过非接入层NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

所述经过安全处理的目标数据包括经过接入层AS安全加密的目标数据，或经过AS完整性保护的目标数据，或经过AS加密和AS完整性保护的目标数据。
如权利要求34-38任意一项所述的基站，其特征在于，所述处理单元通过所述输出单元向核心网设备发送所述UE的安全请求信息，包括：

通过所述输出单元通过上行S1消息向核心网设备发送所述UE的安全请求信息。
如权利要求34-39任意一项所述的基站，其特征在于，所述处理单元通过所述输出单元向核心网设备发送所述UE的安全请求信息，包括：

通过所述输出单元向核心网设备发送所述UE的标识和/或所述经过NAS 安全处理的目标数据；或者

通过所述输出单元向核心网设备发送所述UE的标识和/或所述经过AS安全处理的目标数据。
如权利要求34-40所述的基站，其特征在于，当所述安全响应信息包括所述UE的安全参数信息时，所述处理单元，还用于：

通过所述输入单元接收所述核心网设备返回的安全响应信息之后，根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理。
如权利要求34-41任意一项所述的基站，其特征在于，所述处理单元通过所述输入单元接收所述核心网设备返回的安全响应信息，包括：

通过所述输出单元接收所述核心网设备通过下行S1消息返回的安全响应信息。
如权利要求34-42任意一项所述的基站，所述处理单元通过所述输入单元接收所述核心网设备返回的安全响应信息中的安全参数信息，包括：

通过所述输入单元接收所述核心网设备返回的所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

通过所述输入单元接收所述核心网设备返回的所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。
如权利要求34-43任意一项所述的基站，其特征在于，所述处理单元通过所述输入单元接收所述核心网设备返回的安全响应信息中的安全解处理的目标数据，包括：

通过所述输入单元接收所述核心网设备返回的对所述经过NAS安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

通过所述输入单元接收所述核心网设备返回的对所述经过AS安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。
如权利要求34-44所述的基站，其特征在于，所述基站根据所述安全响应信息中的所述安全参数信息，对所述经过安全处理的目标数据进行安全解处理，包括：

基于所述核心网设备返回的NAS安全参数信息对所述经过NAS安全处理的目标数据进行NAS安全解密，或NAS完整性校验，或NAS安全解密和NAS完整性校验；或者

基于所述核心网设备返回的AS安全参数信息对所述经过AS安全处理的目标数据进行AS安全解密，或AS完整性校验，或AS安全解密和AS完整性校验。
如权利要求34-45所述的基站，其特征在于，所述处理单元，还用于：通过所述输入单元接收用户设备UE发送的经过安全处理的目标数据之前，当所述UE与所述基站释放连接时，将所述AS安全参数信息通过所述输出单元发送给所述核心网设备进行存储；或者

将更新后的AS安全参数信息通过所述输出单元发送的安全请求信息，或者基站与核心网设备之间的接口信令发送给所述核心网设备进行存储。
如权利要求46所述的基站，其特征在于，所述处理单元，还用于：通过所述输入单元接收用户设备UE发送的经过安全处理的目标数据之后，通过所述输入单元接收所述UE发送的安全参数信息变更指示；或者

通过所述输入单元接收所述核心网发送的安全参数信息变更指示。
如权利要求47所述的基站，其特征在于，所述处理单元，还用于：通过所述输入单元接收到所述安全参数信息变更指示之后，通过所述输出单元发起所述UE的安全参数信息重获取过程。
如权利要求48所述的基站，其特征在于，所述处理单元用于通过所述输出单元发起所述UE的安全参数信息重获取过程，具体为：

通过所述输出单元向所述UE重新发起安全协商并确定变更的AS安全参数信息；或者

通过所述输入单元从核心网设备获取更新的NAS安全参数信息；或者

通过所述输入单元从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，向所述UE发起安全协商。
一种基站，其特征在于，包括：输入单元、输出单元、存储单元和处理单元；

其中，所述存储单元用于存储程序代码，所述处理单元用于调用所述存储单元存储的程序代码执行如下步骤：

通过所述输入单元接收用户设备UE发送的安全相关信息；

当判断出所述安全相关信息与本地保存的所述UE的安全相关信息不一致时，所述基站确定需要进行安全参数信息的变更。
如权利要求50所述的基站，其特征在于，所述处理单元，还用于确定需要进行安全参数信息的变更之后，通过所述输出单元发起所述UE的安全参数信息重获取过程。
如权利要求51所述的基站，其特征在于，所述处理单元用于通过所述输出单元发起所述UE的安全参数信息重获取过程，具体为：

通过所述输出单元向所述UE重新发起安全协商并确定变更的接入层AS安全参数信息，以便于所述UE存储和/或核心网设备利用变更后的AS安全参数信息进行安全处理；或者

通过所述输入单元从核心网设备获取更新的非接入层NAS安全参数信息；或者

通过所述输入单元从核心网设备获取更新的AS安全参数信息，并基于更新的AS安全参数信息，和UE发起安全协商，以便于所述UE存储和/或核心网利用变更后的AS安全参数信息进行AS安全处理。
一种核心网设备，其特征在于，包括：输入单元、输出单元、存储单元和处理单元；

其中，所述存储单元用于存储程序代码，所述处理单元用于调用所述存储单元存储的程序代码执行如下步骤：

通过所述输入单元接收基站发送的用户设备UE的安全请求信息；

通过所述输出单元向所述基站发送安全响应信息，所述安全响应信息包括所述UE的安全参数信息和/或安全解处理的目标数据。
如权利要求53所述的核心网设备，其特征在于，所述处理单元用于通过所述输入单元接收基站发送的用户设备UE的安全请求信息，包括：

通过所述输入单元接收基站发送的所述UE的标识和/或所述经过非接入层NAS安全处理的目标数据；或者

通过所述输入单元接收基站发送的所述UE的标识和/或所述经过接入层AS安全处理的目标数据。
如权利要求53-54任意一项所述的核心网设备，所述处理单元用于通过所述输出单元所述核心网设备向所述基站发送安全响应信息中的安全参数信息，包括：

通过所述输出单元向所述基站发送所述UE的NAS安全参数，所述NAS安全参数包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法；或者

通过所述输出单元向所述基站发送所述UE的AS安全参数，所述AS安全参数包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS 完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。
如权利要求53-55任意一项所述的核心网设备，其特征在于，所述处理单元用于通过所述输出单元所述核心网设备向所述基站发送安全响应信息中的安全解处理的目标数据，包括：

通过所述输出单元向所述基站发送通过NAS安全参数信息对所述经过安全处理的目标数据进行了NAS安全解密的目标数据，或NAS完整性校验的目标数据，或NAS安全解密和NAS完整性校验的目标数据；或者

通过所述输出单元向所述基站发送通过AS安全参数信息对所述经过安全处理的目标数据进行了AS安全解密的目标数据，或AS完整性校验的目标数据，或AS安全解密和AS完整性校验的目标数据。
如权利要求53-56任意一项所述的核心网设备，其特征在于，所述处理单元，还用于：

通过所述输出单元向所述基站发送安全响应信息之后，还通过所述输出单元向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。
如权利要求53-56所述的核心网设备，其特征在于，所述处理单元，还用于：

通过所述输入单元接收所述基站发送的所述UE的AS安全参数信息，所述AS安全参数信息为当所述UE与所述基站建立连接后，所述基站向所述UE发起安全协商并确定的AS安全参数信息；或者

通过所述输入单元接收所述基站通过所述安全请求信息，或者基站到核心网设备的接口信令发送的所述UE的存储的所述AS安全参数信息或变更后的AS安全参数信息并进行存储。
如权利要求53-56或58任意一项所述的核心网设备，其特征在于，所述处理单元，还用于：

当所述核心网设备检测出所述AS安全参数信息变更时，通过所述输出单元向所述基站发送安全参数信息变更指示。
(UE)一种用户设备UE，其特征在于，包括：输入单元、输出单元、存储单元和处理单元；

其中，所述存储单元用于存储程序代码，所述处理单元用于调用所述存储单元存储的程序代码执行如下步骤：

通过所述输出单元向基站发送经过非接入层NAS安全处理的目标数据，所述经过NAS安全处理的目标数据包括经过NAS安全加密的目标数据，或NAS完整性保护的目标数据，或NAS加密和NAS完整性保护的目标数据；或者

通过所述输出单元向基站发送经过接入层AS安全处理的目标数据，所述经过AS安全处理的目标数据包括经过AS安全加密的目标数据，或AS完整性保护的目标数据，或AS加密和AS完整性保护的目标数据。
如权利要求60所述的UE，其特征在于，所述处理单元用于通过所述输出单元向基站发送经过NAS安全处理的目标数据，具体为：

通过所述输出单元通过上行NAS信令或者上行RRC信令或者上行MAC层信令向基站发送经过NAS安全处理的目标数据。
如权利要求60所述的UE，其特征在于，所述处理单元用于通过所述输出单元向基站发送经过AS安全处理的目标数据，包括：

所述UE通过上行RRC信令或者上行MAC层信令向基站发送经过AS安全处理的目标数据。
如权利要求60或61所述的UE，其特征在于，所述处理单元，还用于：

通过所述输出单元向基站发送经过NAS安全处理的目标数据之前，利用NAS安全参数信息对目标数据进行NAS安全处理，所述NAS安全参数信息为所述UE与所述核心网设备已经进行安全协商并确定的NAS安全参数信息，所述NAS安全参数信息包括NAS加密密钥或产生密钥的相关参数以及NAS加密算法，和/或NAS完整性保护密钥或产生密钥的相关参数以及NAS完整性保护算法。
如权利要求60或62所述的UE，其特征在于，所述处理单元，还用于：

通过所述输出单元向基站发送经过AS安全处理的接入层目标数据之前，利用AS安全参数信息对目标数据进行AS安全处理，所述AS安全参数信息为所述UE与所述基站已经进行安全协商并确定的AS安全参数信息或者已经存储于所述UE中的AS安全参数信息，所述AS安全参数信息包括AS加密密钥或产生密钥的相关参数以及AS加密算法，和/或AS完整性保护密钥或产生密钥的相关参数以及AS完整性保护算法。
如权利要求60或61或63所述的UE，其特征在于，所述处理单元，还用于：

通过所述输出单元向所述基站发送NAS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的NAS安全参数信息。
如权利要求60或62或64所述的UE，其特征在于，所述处理单元，还用于：

通过所述输出单元向所述基站发送AS安全参数信息变更指示，所述变更指示为所述UE和/或所述核心网设备重新进行安全协商后确定的变更后的AS安全参数信息。