WO2018076742A1

WO2018076742A1 - 一种数据传输方法、相关设备及系统

Info

Publication number: WO2018076742A1
Application number: PCT/CN2017/090317
Authority: WO
Inventors: 张博; 甘露; 吴�荣
Original assignee: 华为技术有限公司
Priority date: 2016-10-31
Filing date: 2017-06-27
Publication date: 2018-05-03
Also published as: US11228908B2; EP3512291A1; JP2019533956A; US20190261167A1; EP3512291B1; CN108377495B; CN108377495A; EP3512291A4

Abstract

本发明实施例公开了一种数据传输方法、相关设备及系统，该系统包括接入网设备AN和用户设备UE，其中：该AN用于接收核心网中管理密钥的设备发送的基础密钥，该基础密钥为该UE与该核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该AN和该UE均用于按照预设规则处理该基础密钥以生成空口保护密钥；该UE还用于通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN；该AN用于通过该空口保护密钥解析该上行协议数据单元中的该目标字段。采用本发明实施例，能够防止会话被攻击。

Description

一种数据传输方法、相关设备及系统

技术领域

本发明涉及计算机技术领域，尤其涉及一种数据传输方法、相关设备及系统。

背景技术

无线通信技术已经深入了人们的生活，我们在享受通信便利的同时也会面临安全和隐私的威胁。空口传输是无线通信的重点特征，为了避免空口传输的内容被窃听就需要制定相应的保护机制来对传输内容加密。在长期演进(英文：Long Term Evolution，简称：LTE)中，从用户设备(英文：User Equipment，简称：UE)到Internet的安全保护机制为hop-by-hop机制，即采用分段加密的形式完成对会话中的所有信息进行保护，然而这些信息所经过的中间节点可以获得这些信息的明文，因此不能够抗击中间节点窃听。为了抗击中间节点窃听，本领域的技术人员提出了采用端到端地保护机制，例如，UE与核心网(英文：core network，简称：CN)之间端到端地保护、UE与Internet服务器之间端到端地保护等等。

UE与CN之间端到端地保护具体是指UE与CN中的网元(例如，CN中的控制网元、CN中的运营商服务器、CN中的用户面网关等)之间传输会话数据时，直接由该UE对上行协议数据单元(英文：Protocol data unit，简称：PDU)加密并由该CN中的网元对该上行协议数据单元解密，直接由该CN中的网元对下行数据进行加密并由该UE对该下行协议数据单元进行解密，该上行协议数据单元和该下行协议数据单元在传输过程中不需要经过该UE与该CN之间的中间节点(例如，接入网(英文：Access Network，简称：AN))加密和解密，从而避免了该中间节点的监听。请参见图1，图1是现有技术中的一种端到端地保护机制的场景示意图，图1中包括UE、AN、控制面认证单元(英文：Control Plane-Authentication Unit，简称：CP-AU)、用户面网关(英文：User Plane-Gateway，简称：UP-GW)和Internet服务器，该UE进行在网络中通信的流程如下：

步骤S101：UE采用空口技术向AN发送接入请求，UE与AN间属于空口段；

步骤S102：AN接收该接入请求并将该接入请求发送给CN中的CP-AU；

步骤S103：UE与该CP-AU双向认证；

步骤S104：UE与该CP-AU双向认证成功后建立UE与CN之间的会话；

步骤S105：UE与该CN中的UP-GW基于该会话进行协议数据单元传输且采用端到端地保护机制来保护协议数据单元传输，即由UE对上行协议数据单元进行加密并由UP-GW对该上行协议数据单元进行解密，由UP-GW对下行协议数据单元进行加密并由该UE对该下行协议数据单元进行解密，该UE与该UP-GW之间的中间节点AN则负责对该上行协议数据单元和该下行协议数据单元进行中转，但不进行加密和解密操作；从而避免了该AN窃听该UE与该UP-GW之间的内容。

然而，端到端地保护机制所保护的对象通常为协议数据单元中的payload部分而非协议数据单元的header部分，因为中间节点需要读取协议数据单元的header中用于标识会话的信息(例如，session ID、IMSI、承载标识等)，从而根据该信息确定如何转发该协议数据单元。由于用于标识会话的信息未被加密，因此攻击者可以轻易在空口传输阶段获取该信息并根据该信息追踪到该会话，从而对该会话的安全带来威胁。

发明内容

本发明实施例公开了一种数据传输方法、相关设备及系统，能够防止UE与目标节点之间的会话被攻击。

第一方面，本发明实施例提供了一种通信系统，该通信系统包括接入网设备AN和用户设备UE，其中：该AN用于接收核心网中管理密钥的设备发送的基础密钥，该基础密钥为该UE与该核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该AN和该UE均用于按照预设规则处理该基础密钥以生成空口保护密钥；该UE还用于通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，并将保护了该目标字段的该上行协议数据单元发送给该AN，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN；该AN用于接收该上行协议数据单元，并通过该空口保护密钥解析该上行协议数据单元中的该目标字段。

通过运行上述系统，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

结合第一方面，在第一方面的第一种可能的实现方式中，该AN用于通过该空口保护密钥保护下行协议数据单元中的目标字段，并将保护了该目标字段的该下行协议数据单元发送给该UE；该UE用于接收该下行协议数据单元，并通过该空口保护密钥解析该下行协议数据单元中的该目标字段。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，该通过该空口保护密钥保护该下行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥保护下行协议数据单元中的目标字段，该空口策略定义了密钥的使用规则；该通过该空口保护密钥解析该下行协议数据单元中的该目标字段，具体为：按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的该目标字段。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，该通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥保护上行协议数据单元中的目标字段，该空口策略定义了密钥的使用规则；该通过该空口保护密钥解析该上行协议数据单元中的该目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥解析该上行协议数据单元中的该目标字段。

结合第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，该AN用于接收来自核心网的初始安全策略，该初始安全策略定义了目标会话中用到的密钥的生成规则，该目标会话为该目标节点与该UE之间的会话；该AN用于根据该初始安全策略生成空口策略；该AN用于向该UE发送该空口策略；该UE用于接收该空口策略。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，该UE还用于判断该上行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护；若否，则该UE用于通过该空口保护密钥保护该上行协议数据单元；若是，则该UE用于执行该通过该空口保护密钥保护上行协议数据单元中的目标字段的操作。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，在第一方面的第六种可能的实现方式中，该AN还用于判断该下行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护；若否，则该AN用于通过该空口保护密钥保护该下行协议数据单元；若是，该AN用于执行该通过该空口保护密钥保护该下行协议数据单元中的目标字段的操作。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，在第一方面的第七种可能的实现方式中，该空口保护密钥包括加密密钥和完整性保护密钥中至少一项。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，在第一方面的第八种可能的实现方式中，该目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，或者第一方面的第八种可能的实现方式，在第一方面的第九种可能的实现方式中，该用于标识该UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，或者第一方面的第八种可能的实现方式，或者第一方面的第九种可能的实现方式，在第一方面的第十种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第二方面，本发明实施例提供一种通信系统，该系统包括用户设备UE和接入网设备AN，其中：该AN用于生成与目标会话对应的目标标识，该目标会话为该UE与目标节点之间的会话，该目标会话的数据在传输时需要经过该AN；该AN用于向该UE发送对应关系信息，该对应关系信息指示了该目标会话与该目标标识的对应关系；该UE用于接收该对应关系信息并根据该对应关系信息确定该目标会话对应该目标标识；该UE用于在该目标会话的上行协议数据单元PDU中封装该目标标识并将封装了该目标标识的上行协议数据单元发送给该AN；该AN用于接收该上行协议数据单元；该AN用于将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送给该目标节点，该参考标识用于该目标节点确认该上行协议数据单元属于该目标会话。

通过运行该系统，在UE与AN的空口传输段设置会话保护机制，即在UE于UP-GW之间建立了目标会话后，该AN与该UE双方约定好用来标识该目标会话的目标标识，后续的报文在空口段传输时在该报文中通过该目标标识来表明该报文来自该目标会话，在与核心网之间通信时则将该目标标识替换为参考标识(通过该参考标识确定目标会话是该AN和UE以外的设备也可以做到的)，这样以来，即便除该AN和该UE之外的设备截取到了该目标标识，也无法推导出该报文属于该目标会话，从而避免了会话被攻击。

结合第二方面，在第二方面的第一种可能的实现方式中，该AN用于接收该目标节点发送的下行协议数据单元，该下行协议数据单元包含该参考标识以表明该下行协议数据单元属于该目标会话；该AN用于将该下行协议数据单元中的参考标识替换为该目标标识并将替换后的该下行协议数据单元发送给该UE；该UE用于接收该下行协议数据单元并根据该目标标识确定该下行协议数据单元属于该目标会话。

结合第二方面，或者第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，该参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。

结合第二方面，或者第二方面的第一种可能的实现方式，或者第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，该参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第二方面，或者第二方面的第一种可能的实现方式，或者第二方面的第二种可能的实现方式，或者第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第三方面，本发明实施例提供一种用户设备UE，该用户设备包括：生成单元，用于按照预设规则处理基础密钥以生成空口保护密钥，该基础密钥为该UE与核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该核心网中管理密钥的设备用于将该基础密钥发送给接入网设备AN，以使该AN按照该预设规则处理该基础密钥生成该空口保护密钥；保护单元，用于通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN；发送单元，用于将保护了该目标字段的该上行协议数据单元发送给该AN，以使该AN通过该空口保护密钥解析该上行协议数据单元中的该目标字段。

通过运行上述单元，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

结合第三方面，在第三方面的第一种可能的实现方式中，该用户设备还包括：第一接收单元，用于该UE接收该AN发送的下行协议数据单元，并通过该空口保护密钥解析该下行协议数据单元中的目标字段，该下行协议数据单元中的该目标字段经过了该空口保护密钥加密。

结合第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，该第一接收单元通过该空口保护密钥解析该下行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的目标字段，该下行协议数据单元中的该目标字段由该AN按照预先获取的该空口策略定义的规则使用该空口保护密钥保护过，该空口策略定义了密钥的使用规则。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，在第三方面的第三种可能的实现方式中，该保护单元具体用于按照预先获取的空口策略定义的规则使用该空口保护密钥保护上行协议数据单元中的目标字段，该AN用于按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该目标字段，该空口策略定义了密钥的使用规则。

结合第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，在第三方面的第四种可能的实现方式中，该用户设备还包括：第二接收单元，用于接收该AN发送的该空口策略，该空口策略由该AN根据初始安全策略生成，该初始安全策略定义了目标会话中用到的密钥的生成规则，该目标会话为该目标节点与该UE之间的会话。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，或者第三方面的第四种可能的实现方式，在第三方面的第五种可能的实现方式中，还包括：判断单元，用于判断该上行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护，若否，则触发该保护单元通过该空口保护密钥保护该上行协议数据单元；若是则触发该保护单元执行该UE通过该空口保护密钥保护上行协议数据单元PDU中的目标字段的操作。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，或者第三方面的第四种可能的实现方式，或者第三方面的第五种可能的实现方式，在第三方面的第六种可能的实现方式中，该空口保护密钥包括加密密钥和完整性保护密钥中至少一项。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，或者第三方面的第四种可能的实现方式，或者第三方面的第五种可能的实现方式，或者第三方面的第六种可能的实现方式，在第三方面的第七种可能的实现方式中，该目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，或者第三方面的第四种可能的实现方式，或者第三方面的第五种可能的实现方式，或者第三方面的第六种可能的实现方式，或者第三方面的第七种可能的实现方式，在第三方面的第八种可能的实现方式中，该用于标识该UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，或者第三方面的第四种可能的实现方式，或者第三方面的第五种可能的实现方式，或者第三方面的第六种可能的实现方式，或者第三方面的第七种可能的实现方式，或者第三方面的第八种可能的实现方式，在第三方面的第九种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第四方面，本发明实施例提供一种接入网设备AN，该接入网设备包括：第一接收单元，用于接收核心网中管理密钥的设备发送的基础密钥，该基础密钥为用户设备UE与该核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该UE用于按照预设规则处理该基础密钥以生成空口保护密钥；生成单元，用于按照该预设规则处理该基础密钥以生成空口保护密钥；第二接收单元，用于接收该UE发送的上行协议数据单元，并通过该空口保护密钥解析该上行协议数据单元中的目标字段，该上行协议数据单元中的该目标字段由该UE通过该空口保护密钥保护过，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN。

结合第四方面，在第四方面的第一种可能的实现方式中，该AN还包括：保护单元，用于通过该空口保护密钥保护下行协议数据单元中的目标字段，并将保护了该目标字段的该下行协议数据单元发送给该UE；以使该UE通过该空口保护密钥解析该下行协议数据单元中的该目标字段。

结合第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中，该AN还包括：判断单元，用于判断该下行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护，若否，则触发该保护单元通过该空口保护密钥保护该下行协议数据单元；若是，触发该保护单元执行该通过该空口保护密钥保护下行协议数据单元中的目标字段的操作。

结合第四方面的第一种可能的实现方式，或者第四方面的第二种可能的实现方式，在第四方面的第三种可能的实现方式中，该保护单元通过该空口保护密钥保护下行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥保护下行协议数据单元中的目标字段，该UE用于按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的该目标字段，该空口策略定义了密钥的使用规则。

结合第四方面，或者第四方面的第一种可能的实现方式，或者第四方面的第二种可能的实现方式，或者第四方面的第三种可能的实现方式，在第四方面的第四种可能的实现方式中，该第二接收单元通过该空口保护密钥解析该上行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥解析该上行协议数据单元中的目标字段，该上行协议数据单元中的该目标字段为该UE按照预先获取的该空口策略定义的规则使用该空口保护密钥保护过，该空口策略定义了密钥的使用规则。

结合第四方面的第三种可能的实现方式，或者第四方面的第四种可能的实现方式，在第四方面的第五种可能的实现方式中，该AN还包括：第三接收单元，用于接收来自核心网的初始安全策略，该初始安全策略定义了目标会话中用到的密钥的生成规则，该目标会话为该目标节点与该UE之间的会话；发送单元，用于根据该初始安全策略生成空口策略，并向该UE发送该空口策略。

结合第四方面，或者第四方面的第一种可能的实现方式，或者第四方面的第二种可能的实现方式，或者第四方面的第三种可能的实现方式，或者第四方面的第四种可能的实现方式，或者第四方面的第五种可能的实现方式，在第四方面的第六种可能的实现方式中，该空口保护密钥包括加密密钥和完整性保护密钥中至少一项。

结合第四方面，或者第四方面的第一种可能的实现方式，或者第四方面的第二种可能的实现方式，或者第四方面的第三种可能的实现方式，或者第四方面的第四种可能的实现方式，或者第四方面的第五种可能的实现方式，或者第四方面的第六种可能的实现方式，在第四方面的第七种可能的实现方式中，该目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。

结合第四方面，或者第四方面的第一种可能的实现方式，或者第四方面的第二种可能的实现方式，或者第四方面的第三种可能的实现方式，或者第四方面的第四种可能的实现方式，或者第四方面的第五种可能的实现方式，或者第四方面的第六种可能的实现方式，或者第四方面的第七种可能的实现方式，在第四方面的第八种可能的实现方式中，该用于标识该UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第四方面，或者第四方面的第一种可能的实现方式，或者第四方面的第二种可能的实现方式，或者第四方面的第三种可能的实现方式，或者第四方面的第四种可能的实现方式，或者第四方面的第五种可能的实现方式，或者第四方面的第六种可能的实现方式，或者第四方面的第七种可能的实现方式，或者第四方面的第八种可能的实现方式，在第四方面的第九种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第五方面，本发明实施例提供一种用户设备UE，该UE包括：第一接收单元，用于接收接入网设备AN发送的对应关系信息并根据该对应关系信息确定目标会话对应目标标识，该目标标识由该AN生成，该目标会话为该UE与目标节点之间的会话，该目标会话的数据在传输时需要经过该AN；封装单元，用于在该目标会话的上行协议数据单元PDU中封装该目标标识并将封装了该目标标识的上行协议数据单元发送给该AN；该AN用于将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送给该目标节点，该参考标识用于该目标节点确认该上行协议数据单元属于该目标会话。

通过运行上述单元，在UE与AN的空口传输段设置会话保护机制，即在UE于UP-GW之间建立了目标会话后，该AN与该UE双方约定好用来标识该目标会话的目标标识，后续的报文在空口段传输时在该报文中通过该目标标识来表明该报文来自该目标会话，在与核心网之间通信时则将该目标标识替换为参考标识(通过该参考标识确定目标会话是该AN和UE以外的设备也可以做到的)，这样以来，即便除该AN和该UE之外的设备截取到了该目标标识，也无法推导出该报文属于该目标会话，从而避免了会话被攻击。

结合第五方面，在第五方面的第一种可能的实现方式中，该UE还包括：第二接收单元，用于接收该AN发送的下行协议数据单元并根据该目标标识确定该下行协议数据单元属于该目标会话，该AN用于在接收到该目标节点发送的下行协议数据单元时将该下行协议数据单元中的参考标识替换为该目标标识，并将替换得到的该下行协议数据单元发送给该UE，该目标节点发送的该下行协议数据单元包含该参考标识以表明该下行协议数据单元属于该目标会话。

结合第五方面，或者第五方面的第一种可能的实现方式，在第五方面的第二种可能的实现方式中，该参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，在第五方面的第三种可能的实现方式中，该参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，在第五方面的第四种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第六方面，本发明实施例提供一种接入网设备AN，该AN包括：生成单元，用于生成与目标会话对应的目标标识，该目标会话为用户设备UE与目标节点之间的会话，该目标会话的数据在传输时需要经过该AN；第一发送单元，用于向该UE发送对应关系信息，以使该UE在该目标会话的上行协议数据单元PDU中封装该目标标识，该对应关系信息指示了该目标会话与该目标标识的对应关系；第一接收单元，用于接收该UE发送的封装该目标标识的该上行协议数据单元；替换单元，用于将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送给该目标节点，该参考标识用于该目标节点确认该上行协议数据单元属于该目标会话。

结合第六方面，在第六方面的第一种可能的实现方式中，该AN还包括：第二接收单元，用于接收该目标节点发送的下行协议数据单元，该下行协议数据单元包含该参考标识以表明该下行协议数据单元属于该目标会话；第二发送单元，用于将该下行协议数据单元中的参考标识替换为该目标标识并将替换后的该下行协议数据单元发送给该UE，以使该UE根据该目标标识确定该下行协议数据单元属于该目标会话。

结合第六方面，或者第六方面的第一种可能的实现方式，在第六方面的第二种可能的实现方式中，该参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。

结合第六方面，或者第六方面的第一种可能的实现方式，或者第六方面的第二种可能的实现方式，在第六方面的第三种可能的实现方式中，该参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第六方面，或者第六方面的第一种可能的实现方式，或者第六方面的第二种可能的实现方式，或者第六方面的第三种可能的实现方式，在第六方面的第四种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第七方面，本发明实施例提供一种数据传输方法，该方法包括：用户设备UE按照预设规则处理基础密钥以生成空口保护密钥，该基础密钥为该UE与核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该核心网中管理密钥的设备用于将该基础密钥发送给接入网设备AN，以使该AN按照该预设规则处理该基础密钥生成该空口保护密钥；该UE通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN；该UE将保护了该目标字段的该上行协议数据单元发送给该AN，以使该AN通过该空口保护密钥解析该上行协议数据单元中的该目标字段。

通过执行上述步骤，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

结合第七方面，在第七方面的第一种可能的实现方式中，该用户设备UE按照预设规则处理基础密钥以生成空口保护密钥之后，该方法还包括：该UE接收该AN发送的下行协议数据单元，并通过该空口保护密钥解析该下行协议数据单元中的目标字段，该下行协议数据单元中的该目标字段经过了该空口保护密钥加密。

结合第七方面的第一种可能的实现方式，在第七方面的第二种可能的实现方式中，该通过该空口保护密钥解析该下行协议数据单元中的目标字段，包括：按照预先获取的空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的目标字段，该下行协议数据单元中的该目标字段由该AN按照预先获取的该空口策略定义的规则使用该空口保护密钥保护过，该空口策略定义了密钥的使用规则。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，在第七方面的第三种可能的实现方式中，该UE通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，包括：按照预先获取的空口策略定义的规则使用该空口保护密钥保护上行协议数据单元中的目标字段，该AN用于按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该目标字段，该空口策略定义了密钥的使用规则。

结合第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，在第七方面的第四种可能的实现方式中，该方法还包括：该UE接收该AN发送的该空口策略，该空口策略由该AN根据初始安全策略生成，该初始安全策略定义了目标会话中用到的密钥的生成规则，该目标会话为该目标节点与该UE之间的会话。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，或者第七方面的第四种可能的实现方式，在第七方面的第五种可能的实现方式中，该UE通过该空口保护密钥保护上行协议数据单元PDU中的目标字段之前，还包括：该UE判断该上行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护；若否，则该UE通过该空口保护密钥保护该上行协议数据单元；若是，则该UE执行该UE通过该空口保护密钥保护上行协议数据单元PDU中的目标字段的操作。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，或者第七方面的第四种可能的实现方式，或者第七方面的第五种可能的实现方式，在第七方面的第六种可能的实现方式中，该空口保护密钥包括加密密钥和完整性保护密钥中至少一项。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，或者第七方面的第四种可能的实现方式，或者第七方面的第五种可能的实现方式，或者第七方面的第六种可能的实现方式，在第七方面的第七种可能的实现方式中，该目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，或者第七方面的第四种可能的实现方式，或者第七方面的第五种可能的实现方式，或者第七方面的第六种可能的实现方式，或者第七方面的第七种可能的实现方式，在第七方面的第八种可能的实现方式中，该用于标识该UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，或者第七方面的第四种可能的实现方式，或者第七方面的第五种可能的实现方式，或者第七方面的第六种可能的实现方式，或者第七方面的第七种可能的实现方式，或者第七方面的第八种可能的实现方式，在第七方面的第九种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第八方面，本发明实施例提供一种数据传输方法，该方法包括：接入网设备AN接收核心网中管理密钥的设备发送的基础密钥，该基础密钥为用户设备UE与该核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该UE用于按照预设规则处理该基础密钥以生成空口保护密钥；该AN按照该预设规则处理该基础密钥以生成空口保护密钥；该AN接收该UE发送的上行协议数据单元，并通过该空口保护密钥解析该上行协议数据单元中的目标字段，该上行协议数据单元中的该目标字段由该UE通过该空口保护密钥保护过，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN。

结合第八方面，在第八方面的第一种可能的实现方式中，该AN按照该预设规则处理该基础密钥以生成空口保护密钥之后，该方法还包括：该AN通过该空口保护密钥保护下行协议数据单元中的目标字段，并将保护了该目标字段的该下行协议数据单元发送给该UE；以使该UE通过该空口保护密钥解析该下行协议数据单元中的该目标字段。

结合第八方面的第一种可能的实现方式，在第八方面的第二种可能的实现方式中，该AN通过该空口保护密钥保护下行协议数据单元中的目标字段之前，该方法还包括：该AN判断该下行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护；若否，则该AN通过该空口保护密钥保护该下行协议数据单元；若是，该AN执行该通过该空口保护密钥保护下行协议数据单元中的目标字段的步骤。

结合第八方面的第一种可能的实现方式，或者第八方面的第二种可能的实现方式，在第八方面的第三种可能的实现方式中，该AN通过该空口保护密钥保护下行协议数据单元中的目标字段，包括：按照预先获取的空口策略定义的规则使用该空口保护密钥保护下行协议数据单元中的目标字段，该UE用于按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的该目标字段，该空口策略定义了密钥的使用规则。

结合第八方面，或者第八方面的第一种可能的实现方式，或者第八方面的第二种可能的实现方式，或者第八方面的第三种可能的实现方式，在第八方面的第四种可能的实现方式中，该通过该空口保护密钥解析该上行协议数据单元中的目标字段，包括：按照预先获取的空口策略定义的规则使用该空口保护密钥解析该上行协议数据单元中的目标字段，该上行协议数据单元中的该目标字段为该UE按照预先获取的该空口策略定义的规则使用该空口保护密钥保护过，该空口策略定义了密钥的使用规则。

结合第八方面的第三种可能的实现方式，或者第八方面的第四种可能的实现方式，在第八方面的第五种可能的实现方式中，该方法还包括：该AN接收来自核心网的初始安全策略，该初始安全策略定义了目标会话中用到的密钥的生成规则，该目标会话为该目标节点与该UE之间的会话；该AN根据该初始安全策略生成空口策略，并向该UE发送该空口策略。

结合第八方面，或者第八方面的第一种可能的实现方式，或者第八方面的第二种可能的实现方式，或者第八方面的第三种可能的实现方式，或者第八方面的第四种可能的实现方式，或者第八方面的第五种可能的实现方式，在第八方面的第六种可能的实现方式中，该空口保护密钥包括加密密钥和完整性保护密钥中至少一项。

结合第八方面，或者第八方面的第一种可能的实现方式，或者第八方面的第二种可能的实现方式，或者第八方面的第三种可能的实现方式，或者第八方面的第四种可能的实现方式，或者第八方面的第五种可能的实现方式，或者第八方面的第六种可能的实现方式，在第八方面的第七种可能的实现方式中，该目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。

结合第八方面，或者第八方面的第一种可能的实现方式，或者第八方面的第二种可能的实现方式，或者第八方面的第三种可能的实现方式，或者第八方面的第四种可能的实现方式，或者第八方面的第五种可能的实现方式，或者第八方面的第六种可能的实现方式，或者第八方面的第七种可能的实现方式，在第八方面的第八种可能的实现方式中，该用于标识该UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第八方面，或者第八方面的第一种可能的实现方式，或者第八方面的第二种可能的实现方式，或者第八方面的第三种可能的实现方式，或者第八方面的第四种可能的实现方式，或者第八方面的第五种可能的实现方式，或者第八方面的第六种可能的实现方式，或者第八方面的第七种可能的实现方式，或者第八方面的第八种可能的实现方式，在第八方面的第九种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第九方面，本发明实施例提供一种数据传输方法，该方法包括：用户设备UE接收接入网设备AN发送的对应关系信息并根据该对应关系信息确定目标会话对应目标标识，该目标标识由该AN生成，该目标会话为该UE与目标节点之间的会话，该目标会话的数据在传输时需要经过该AN；该UE在该目标会话的上行协议数据单元PDU中封装该目标标识并将封装了该目标标识的上行协议数据单元发送给该AN；该AN用于将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送给该目标节点，该参考标识用于该目标节点确认该上行协议数据单元属于该目标会话。

通过执行上述步骤，在UE与AN的空口传输段设置会话保护机制，即在UE于UP-GW之间建立了目标会话后，该AN与该UE双方约定好用来标识该目标会话的目标标识，后续的报文在空口段传输时在该报文中通过该目标标识来表明该报文来自该目标会话，在与核心网之间通信时则将该目标标识替换为参考标识(通过该参考标识确定目标会话是该AN和UE以外的设备也可以做到的)，这样以来，即便除该AN和该UE之外的设备截取到了该目标标识，也无法推导出该报文属于该目标会话，从而避免了会话被攻击。

结合第九方面，在第九方面的第一种可能的实现方式中，用户设备UE接收接入网设备AN发送的对应关系信息并根据该对应关系信息确定目标会话对应目标标识之后，该方法还包括：该UE接收该AN发送的下行协议数据单元并根据该目标标识确定该下行协议数据单元属于该目标会话，该AN用于在接收到该目标节点发送的下行协议数据单元时将该下行协议数据单元中的参考标识替换为该目标标识，并将替换得到的该下行协议数据单元发送给该UE，该目标节点发送的该下行协议数据单元包含该参考标识以表明该下行协议数据单元属于该目标会话。

结合第九方面，或者第九方面的第一种可能的实现方式，在第九方面的第二种可能的实现方式中，该参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。

结合第九方面，或者第九方面的第一种可能的实现方式，或者第九方面的第二种可能的实现方式，在第九方面的第三种可能的实现方式中，该参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第九方面，或者第九方面的第一种可能的实现方式，或者第九方面的第二种可能的实现方式，或者第九方面的第三种可能的实现方式，在第九方面的第四种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第十方面，本发明实施例提供一种数据传输方法，该方法包括：接入网设备AN生成与目标会话对应的目标标识，该目标会话为用户设备UE与目标节点之间的会话，该目标会话的数据在传输时需要经过该AN；该AN向该UE发送对应关系信息，以使该UE在该目标会话的上行协议数据单元PDU中封装该目标标识，该对应关系信息指示了该目标会话与该目标标识的对应关系；该AN接收该UE发送的封装该目标标识的该上行协议数据单元；该AN将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送给该目标节点，该参考标识用于该目标节点确认该上行协议数据单元属于该目标会话。

结合第十方面，在第十方面的第一种可能的实现方式中，该AN向该UE发送对应关系信息之后，该方法还包括：该AN接收该目标节点发送的下行协议数据单元，该下行协议数据单元包含该参考标识以表明该下行协议数据单元属于该目标会话；该AN将该下行协议数据单元中的参考标识替换为该目标标识并将替换后的该下行协议数据单元发送给该UE，以使该UE根据该目标标识确定该下行协议数据单元属于该目标会话。

结合第十方面，或者第十方面的第一种可能的实现方式，在第十方面的第二种可能的实现方式中，该参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。

结合第十方面，或者第十方面的第一种可能的实现方式，或者第十方面的第二种可能的实现方式，在第十方面的第三种可能的实现方式中，该参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

结合第十方面，或者第十方面的第一种可能的实现方式，或者第十方面的第二种可能的实现方式，或者第十方面的第三种可能的实现方式，在第十方面的第四种可能的实现方式中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

第十一方面，本发明实施例提供一种用户设备，该用户设备包括处理器和存储器，该存储器用于存储程序和数据，该处理器调用该存储器中的程序，用于执行第七方面或者第七方面的任意可能实现方式所描述的数据传输方法。

第十二方面，本发明实施例提供一种接入网设备，该接入网设备包括处理器和存储器，该存储器用于存储程序和数据，该处理器调用该存储器中的程序，用于执行第八方面或者第八方面的任意可能实现方式所描述的数据传输方法。

第十三方面，本发明实施例提供一种用户设备，该用户设备包括处理器和存储器，该存储器用于存储程序和数据，该处理器调用该存储器中的程序，用于执行第九方面或者第九方面的任意可能实现方式所描述的数据传输方法。

第十四方面，本发明实施例提供一种接入网设备，该接入网设备包括处理器和存储器，该存储器用于存储程序和数据，该处理器调用该存储器中的程序，用于执行第十方面或者第十方面的任意可能实现方式所描述的数据传输方法。

第十五方面，本发明实施例提供一种存储介质，该存储介质用于存储指令，该指令在处理器上执行是使得第七方面，或者第七方面的任意可能实现方式，或者第八方面，或者第八方面的任意可能实现方式，或者第九方面，或者第九方面的任意可能实现方式，或者第十方面，或者第十方面的任意可能实现方式所描述的方法得以实现。

通过实施本发明实施例，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

附图说明

下面将对背景技术或者实施例所需要使用的附图作简单地介绍。

图1是现有技术中的端到端地保护机制的流程示意图；

图2是本发明实施例提供的一种通信系统的结构示意图；

图3是本发明实施例提供的一种数据传输方法的流程示意图；

图4是本发明实施例提供的一种分类传输模式下的数据格式的示意图；

图5是本发明实施例提供的又一种分类传输模式下的数据格式的示意图；

图6是本发明实施例提供的又一种分类传输模式下的数据格式的示意图；

图7是本发明实施例提供的又一种分类传输模式下的数据格式的示意图；

图8是本发明实施例提供的又一种数据传输方法的流程示意图；

图9是本发明实施例提供的又一种数据传输方法的流程示意图；

图10是本发明实施例提供的又一种数据传输方法的流程示意图；

图11是本发明实施例提供的又一种数据传输方法的流程示意图；

图12是本发明实施例提供的一种用户设备的结构示意图；

图13是本发明实施例提供的一种接入网设备的结构示意图；

图14是本发明实施例提供的又一种用户设备的结构示意图；

图15是本发明实施例提供的又一种接入网设备的结构示意图；

图16是本发明实施例提供的又一种用户设备的结构示意图；

图17是本发明实施例提供的又一种接入网设备的结构示意图；

图18是本发明实施例提供的又一种用户设备的结构示意图；

图19是本发明实施例提供的又一种接入网设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图对本发明实施例中的技术方案进行描述。

在端到端地保护机制通常有该UE与核心网中的设备(例如，用户面网关)之间的端到端保护，UE与Internet服务器之间的端到端保护，还有UE与网络中的其他设备之间的端到端保护，与UE之间按照端到端地保护机制进行数据保护进行保护的节点可以称为目标节点，也即是说，该目标节点可以为核心网中的用户面网关、核心网中的业务服务器(service server或者application server)、互联网中与该核心网中的设备建立了通信连接的服务器(通常被称作Internet服务器，包括，互联网中的网关控制器)等等，本发明实施例重点以UE与核心网中的用户面网关之间的端到端保护机制为例来进行介绍，若该UE与该用户面网关之间执行端到端地保护，那么，该UE与该用户面网关会协商好通过什么方案来保护业务数据(例如，有些场景中该业务数据封装在协议数据单元载荷(PDU payload)中)的传输，该UE与该用户面网关之间的节点则无法获知该UE与该用户面网关之间如何保护该业务数据，然而，在传输该业务数据的过程中还涉及一些其他信息的传输，这些信息往往不方便由该UE和该用户面网进行端到端地保护，例如，协议数据单元头(PDU header)；本发明实施例将重点讲述如何保护端到端地保护业务数据时未被保护的其他信息。

请参见图2，图2是本发明实施例提供的一种通信系统20的架构示意图，该架构图中包含用户设备(UE)201、接入网设备(AN)202和核心网(CN)中的设备，在实际应用中该通信系统20还可以包含其他设备。

该UE可以为手机、智能手表等智能终端，还可以为服务器、网关、基站、控制器等通信设备，还可以为传感器、电表、水表等物联网(英文：Internet of thing，简称：IoT)设备，还可以为其他能够接入到蜂窝网或者有线网的设备。

接入网设备202可以是通过无线方式与用户设备201进行通信的设备，例如：基站(英文：NodeB，简称：NB)、eNB、无线保真(英文：Wireless Fidelity，简称：WiFi)中的无线接入点、未来5G网络中的无线接入网设备等等；同时，接入网设备202也可以是通过有线方式与用户设备201进行通信的设备，例如：网关，服务器，控制网关等等。有线的传输方式包括但不限于：基于因特网协议(英文：Internet Protocol，简称：IP)、基于内容的网络、基于身份的网络等等。以下实施例以UE采用无线方式接入网络为例来描述，UE与 AN的无线传输阶段为空口段，本发明实施例将重点讲述如何保护空口段的数据的安全传输。

CN中可能存在的设备(或称“网元”)有很多，例如，移动性管理(英文：Mobility Management，简称：MM)网元、会话管理(英文：Session Management，简称：SM)网元、密钥管理中心(英文：Key Management System，简称：KMS)网元、控制面认证单元(英文：Control Plane-Authentication Unit，简称：CP-AU)网元、用户面网关(英文：User Plane-Gateway，UP-GW)等等。其中，MM网元可以称作移动性管理设备或者MM。SM网元可以称作会话管理设备或者SM，用于执行会话、切片、流flow或者承载bearer的建立和管理。KMS网元可以称作密钥管理设备或者KMS，负责密钥的生成、管理和协商，支持合法监听。KMS可以作为一个独立的逻辑功能实体单独部署，也可以集合在MM、SM、移动管理实体(英文：Mobility Management Entity，简称：MME)、认证服务器功能实体(英文：Authentication Server Function简称：AUSF)、安全锚点函数网元(英文：Security Anchor Function简称：SEAF)、安全上行文管理网元(英文：Security Context Management Function简称：SCMF)、引导服务器功能网元(英文：Bootstrapping Server Function简称：BSF)、呼叫会话控制功能实体(英文：Call Session Control Function简称：CSCF)等网元中，通常情况下，该KMS为网络中的认证单元(英文：Control Plane-Authentication Unit，简称：CP-AU)。UP-GW用于连接运营商网络和数据网络(英文：Data Network，DN)，UE通过该UP-GW接入到互联网。

请参见图3，图3是本发明实施例提供的一种数据传输方法的流程示意图，该方法可基于图2所示的通信系统20来实现，具体流程包括但不限于如下步骤。

步骤S301：UE与CN中管理密钥的设备进行双向认证。

具体地，CN中管理密钥的设备通常为CP-AU，当然也不排除该管理密钥的功能集成到了其他网元，UE与管理密钥的设备双向认证成功后会生成共享密钥。

步骤S302：CN中管理密钥的设备向AN发送基础密钥。

具体地，该基础密钥可以存在如下两种情况：情况一，该基础密钥为该UE与管理密钥的设备双向认证生成的密钥；情况二，该基础密钥为基于该双向认证生成的密钥经过一次推衍或者多次推衍得到的密钥，推衍的规则在通信协议中可以预先定义好，该UE与该管理密钥的设备均可以基于该通信协议中定义的规则推衍出该基础密钥。

步骤S303：AN接收该基础密钥。

步骤S304：AN按照预设规则处理该基础密钥以生成空口保护密钥。

具体地，该预设规则定义了生成密钥的规则，在一种可选的方案中，该预设规则可以定义密钥算法、密钥长度、密钥更新周期等信息，例如，常用的密钥算法有null、Snow 3G、ZUC、AES等，常用密钥长度为64bit、128bit、256bit等，常用的密钥更新时间有6小时、12小时、1天、2天等。该预设规则可以是预先配置在协议中的，也可以是根据实时的信息计算得到。在又一种可选的方案中，该预定规则可以参照第四代移动通信技术(英文：the 4th Generation mobile communication，简称：4G)中空口传输中用到的密钥的生成方式，AN根据基站的安全算法优先级列表和UE支持的安全算法列表，确定AN的空口加密的算法，以及完整性保护算法；AN根据空口加密的算法的标识和基础密钥来生成空口加密保护密钥；AN在根据完整性保护算法的标识和基础密钥生成空口完整性保护密钥，该空口加密保护密钥和该空口完整性保护密钥均属于此处的空口保护密钥，该空口加密的算法，以及完整保护算法的协商可以包含多种方式，例如，可以与4G的算法协商方式相同，或者根据建立会话时生成的策略确定保护算法。在又一种可选的方案中，AN根据基础密钥推衍出空口保护密钥，推衍中还可能用到其他参数，例如，AN的设备标识，小区无线网络临时标识(英文：Cell Radio Network Temporary Identifier，简称：C-RNTI)，序列号(英文：sequence number，简称：SN)，UE的身份标识等等。

步骤S305：UE按照预设规则处理该基础密钥以生成空口保护密钥。

具体地，该UE采用与该AN相同的方式生成该空口保护密钥。

步骤S306：UE通过该空口保护密钥保护上行协议数据单元中的目标字段。

具体地，本发明实施例采用基于对称密钥的密码技术来保护协议数据单元，保护的方式包括加密保护和完整性保护中至少一项，基于对称密钥的密码技术要求通信的双方之间提前共享用来进行保护的共享密钥K，下面以通信双方为USER1(用户1)与USER2(用户2)为例讲述加密保护和完整性保护的原理。

加密保护：USER1与USER2之间共享密钥K，User1使用共享密钥K对消息m进行加密，可表示为ciphtext＝En_K_(m)；然后发送给USER2。USER2可以利用共享密钥K和ciphertext恢复出m，可表示为m＝decrypt(K,ciphtext)。加密保护可选用的算法有高级加密标准(英语：Advanced Encryption Standard，缩写：AES)，三重数据加密算法(英文：Triple Data Encryption Algorithm，简称：TDEA，也称3DES)，Blowfish，Serpent，Snow 3G，ZUC，HC-256，Grain等。

完整性保护：USER1与USER2之间共享密钥K，USER1利用共享密钥K计算消息m的消息认证码(英文：message Authentication code，简称：MAC)，可表示为MAC1＝MAC_K_(m)，即使用共享密钥K计算出消息m对应的消息认证码MAC1。然后USER1将该消息认证码MAC1和消息m发送给该USER2，USER2接收该MAC1和消息吗，然后利用共享密钥K和消息m验证此MAC1的正确性，验证正确后说明此消息未被篡改。完整性保护用到的算法可以有哈希运算消息认证码(英文：Hash-based Message Authentication Code，简称：HMAC)算法(如HMAC-sha256)，一密消息验证码(英文：one-key MAC,简称：OMAC)，分组加密链的消息验证码(英文：cipher block chaining message authentication code，简称：CBC-MAC)，可平行的消息验证码(英文：Parallelizable MAC,简称：PMAC)，通用哈希的消息验证码(英文：message authentication code based on universal hashing,简称：UMAC)等。如果保护的方式包括加密保护则后续解析的方式包括解密，如果保护的方式包括完整性保护则后续解析的方式保护验证完整性。

本发明实施例中的UE与AN的关系相当于USER1与USER2的关系，该空口保护密钥即相当于上述“共享密钥K”。

该目标字段包含用于标识该UE与该核心网中的用户面网关之间的会话的参考标识，该参考标识通常在外部IP头(outer IP header)字段、封装头(encapsulation header)字段和协议数据单元头(PDU header)字段等字段中，该参考标识通常为承载标识(bearer ID)，流标识(flow ID)，硬件的媒体接入控制(英文：Media Access Control，简称：MAC)标识，会话标识、该UE的互联网协议(英文：Internet Protocol，简称：IP)地址、该接入网设备的IP地址、该接入网的接入网标识、端到端通信另一方的标识、端到端通信另一方的IP地址、服务质量(英文：Quality of Service，简称：QoS)标识、国际移动用户标识(英文：International Mobile Subscriber Identity，简称：IMSI)、国际移动设备标识(英文：International Mobile Equipment Identity，简称：IMEI)、互联网协议(英文：Internet Protocol，简称：IP)多媒体私有标识(英文：IP Multimedia Private Identity，简称：IMPI)、IP多媒体公有标识(英文：IP Multimedia Public Identity，简称：IMPU)、临时移动用户标识(英文：Temporary Mobile Subscriber Identity，简称：TMSI)、手机号码、全球唯一临时UE标识(英文：Globally Unique Temporary UE Identity，简称：GUTI)等。在不同的会话数据传输模式下，用于标识该UE与该核心网中的用户面网关之间的会话的信息所在的字段可能不同，以下例举几种会话数据传输模式。模式一：如图4，会话基于服务质量类(QoS class)进行的分类传输，协议数据单元(英文：Protocol data unit，简称：PDU)包括L1/L2头(L1/L2header)字段、外部IP头(Outer IP header)字段、封装头(Encapsulation header)字段、协议数据单元头(PDU header)字段和协议数据单元载荷(PDU payload)字段，协议数据单元属于哪个会话由Outer IP header字段和Encapsulation header字段共同表明，即该参考标识在Outer IP header字段和Encapsulation header字段中。模式二：如图5，会话基于协议数据单元会话(PDU session)进行的分类传输，协议数据单元包括L1/L2header字段、Outer IP header字段、Encapsulation header字段、PDU header字段和PDU payload字段，协议数据单元属于哪个会话由Encapsulation header字段来表示，即该参考标识在Encapsulation header字段中。模式三：如图6，会话基于独立节点层的会话(Per Node-level tunnel)进行分类传输，协议数据单元包括L1/L2header字段、Outer IP header字段、Encapsulation header字段、PDU header字段和PDU payload字段，协议数据单元属于哪个会话由PDU header字段来区分，即该参考标识在PDU header中。模式四：如图7，会话基于软件定义网络的方法(SDN-based Approach)进行分类传输，协议数据单元包括L1/L2header字段、PDU header字段和PDU payload字段，协议数据单元属于哪个会话由PDU header字段来区分，即该参考标识在PDU header中。

该目标字段可以包括outer IP header字段、encapsulation header字段和PDUheader字段中至少一项，例如，若基于字段Encapsulation header中的信息可以区分不同会话，则通过该空口保护密钥对字段Encapsulation header进行保护。若基于字段PDU header中的信息可以区分不同会话，则通过空口保护密钥对字段PDU header进行保护。若基于字段Encapsulation header和字段PDU header中的信息才可以区分不同会话，则通过空口保护密钥对字段Encapsulation header和字段PDU header进行保护。通常情况下，标准中会预先定义好保护哪部分字段。

步骤S307：UE将该目标字段被保护的该上行协议数据单元发送给该AN。

步骤S308：AN接收该目标字段被保护的该上行协议数据单元并通过该空口保护密钥解析该上行协议数据单元中的目标信息。

具体地，若上述UE的保护上行协议数据单元的过程包括加密保护，那么此处的解析相应包含解密的操作；若上述UE的保护上行协议数据单元的过包括完整性保护，那么此处的解析相应包含验证消息认证码的正确性的操作；不管是解密的操作还是验证消息认证码的正确性的操作均可以参照上面对加密保护技术和完整性保护技术的相关介绍，该AN解析出该上行报文的目标字段中的信息后，对该上行协议数据单元重新组包并发送到核心网。

步骤S309：AN通过该空口保护密钥保护该下行协议数据单元中的目标信息。

具体地，步骤S309的原理可以参照步骤S306的相关描述。

步骤S310：AN将该目标字段被保护的该下行协议数据单元发送给该UE。

步骤S311：UE接收目标字段被保护的该下行协议数据单元并通过该空口保护密钥解析下行协议数据单元中的目标字段。

具体地，步骤S311的原理可以参照步骤S308的相关描述。

需要说明的是，步骤S301～S311基本可以按照描述的顺序来执行，但是某些步骤的位置调整之后并不影响方案的执行，例如，步骤S309～S311可以同步移到步骤S305之后和步骤S306之前，总而言之，若部分步骤的顺序调整后方案不存在逻辑问题，则步骤调整后形成的方案同样属于本发明实施例的方案。

本领域的技术人员比较倾向于在在建立会话的时候建立初始会话安全策略与该会话对应，下面在步骤S301～S311所描述的实施例框架下，结合该初始安全策略描述几个更具体的实施例，包括图8、图9和图10所示的实施例。

请参见图8，图8是本发明实施例提供的一种数据传输方法的流程示意图，该UE不管该上行协议数据单元中的payload字段是否已被保护，直接通过该空口保护密钥保护上行协议数据单元中的目标字段。相应地，该AN不管下行协议数据单元中的payload字段是否已被保护，直接通过该空口保护密钥保护下行协议数据单元中的目标字段。以图8为例，该方法包括但不限于如下步骤。

步骤S801：UE与CP-AU进行双向认证，该CP-AU会将双向认证得到的密钥K0发送给该KMS由该KMS对该K0进行管理，也可能该KMS的功能集成在该CP-AU中，这时CP-AU就不需要将K0发送给KMS。K0也可以为认证成功后直接得到的密钥，也可以为根据该直接得到的密钥经过一次推衍或多次推衍得到的密钥。

步骤S802：KMS将基础密钥K_AN发送给该AN，也可能该KMS预先将该基础K_AN发送给了MM，该MM后续将该基础密钥K_AN发送给AN，该K_AN可能为该K0，也可能为基于该K0一次推衍或者多次推衍得到的密钥。

步骤S803：AN根据预设规则对该K_AN进行推衍得到空口保护密钥(例如，加密密钥K_Anec、完整性保护密钥K_ANint)。

步骤S804：UE同样根据预设规则对该K_AN进行推衍得到空口保护密钥，当该K_AN为基于该K0推衍得到的密钥时，该UE推衍K_AN的方式与该KMS推衍K_AN的方式相同。

步骤S805：UE向发送会话建立请求，相应地，该核心网中的网元会进行一系列的协商，协商的过程中会产生该会话的会话标识(session ID)、与该会话关联的初始安全策略、按照该初始安全策略定义的规则生成的会话密钥(K_session)，该初始安全策略定义了该会话中用到的一些密钥的生成规则。该核心网中的UP-GW会获得该会话标识、初始安全策略和会话密钥等信息。

步骤S806：AN接收该核心网中的SM发送的该会话标识和初始安全策略。

步骤S807：AN向该UE发送该会话标识和该初始安全策略。

步骤S808：UE接收该会话标识和该初始安全策略，该UE与该UP-GW之间的会话建立成功，该UE与该UP-GW之间建立的会话可以称为目标会话。

步骤S805-S808中除建立目标会话外，其他的信息和操作均为可选。

步骤S809：UE生成该目标会话的上行协议数据单元，生成该上行协议数据单元的过程中会通过该空口保护密钥对目标字段进行保护，该目标字段包括outer IP header字段、encapsulation header字段和PDU header字段中至少一项，保护包括加密保护和完整性保护中至少一种。

步骤S810：UE通过空口传输技术将保护了目标字段的上行协议数据单元发送给AN。

步骤S811：AN通过该空口保护密钥解析出该上行协议数据单元中的目标字段的信息。例如，AN利用加密密钥解密被加密保护的目标字段；再如，AN先利用完整性保护密钥验证被加密的目标字段的完整性，再通过空口加密解密被加密的目标字段；再如，AN先解密被加密的目标字段，再通过完整性保护密钥验证并得到该目标字段。该AN可以将解析出的信息与其他字段的信息组成完整的协议数据单元，并发送到核心网。

可选的，该AN可以预先为该UE分配对应空口标识并将该空口标识发送给该UE，如果后续有设备向该AN发送上行协议数据单元时也发送了该UE对应的空口标识则表明发送该上行协议数据单元的设备为该UE。该AN可能生成了多个分别与不同设备对应的空口保护密钥，该UE对应的空口保护密钥用于对该UE发送来的上行协议数据单元中的数据进行保护，其他设备(或称其他UE)对应的空口保护密钥用于对于其他设备发送的上行协议数据单元中的数据进行保护。该AN从在接收到上行协议数据单元时若同时获取了该UE对应的空口标识即可从多个设备对应的空口保护密钥中确定该UE对应的空口保护密钥来对与该UE上行协议数据单元进行保护。该空口标识可以为小区无线网络临时标识(英文：Cell Radio Network Temporary Identifier，简称：C-RNTI)，载频频点(例如4G的载频频点表示为，英文：E-UTRA Absolute Radio Frequency Channel Number，简称：EARFCN)等。

可选的，该AN可以为该UE分配对应的空口传输方式，并向该UE发送指示信息以告知该UE对应什么样的空口传输方式，该AN也可能为其他设备分配了空口传输方式，如果该AN接收到的上行协议数据单元的空口传输方式为该UE对应的空口传输方式，则认为该上行协议数据单元由该UE发送，因此从预先生成的多个空口保护密钥(该多个空口保护密钥分别对应一个设备)中选择该UE对应的空口保护密钥对该上行协议数据单元进行保护，该空口传输方式包括码分多址(英文：Code Division Multiple Access，简称：CDMA)技术中每个用户设备对应的码字，或者UE在空口发送数据的调制方式等等。

步骤S812：AN生成目标会话的下行协议数据单元，生成该下行协议数据单元的过程中会通过该空口保护密钥对该目标字段进行保护，该目标字段包括outer IP header字段、encapsulation header字段和PDU header字段中至少一项，保护包括加密保护和完整性保护中至少一种。

步骤S813：AN将保护了目标字段的下行协议数据单元发送给UE。

步骤S814：UE通过空口保护密钥解析出该下行协议数据单元中的目标字段的信息。

可选的，空口保护密钥的生成可以在会话建立之后再执行，可选的，采用4G中的空口保护算法的协商机制来确定保护算法和该空口保护密钥。

请参见图9，图9是本发明实施例提供的一种数据传输方法的流程示意图，该UE会预先判断该上行协议数据单元中的payload字段是否已被保护；若否，则该UE通过该空口保护密钥保护该上行协议数据单元；若是，该UE才执行该通过该空口保护密钥保护上行协议数据单元中的目标字段的操作。相应地，该接入网设备也会预先判断该下行协议数据单元中的payload字段是否已被保护；若否，则该接入网设备用于通过该空口保护密钥保护该下行协议数据单元；若是，该接入网设备执行该通过该空口保护密钥保护该下行协议数据单元中的目标信息的操作。以图9为例，该方法包括但不限于如下步骤。

步骤S901：UE与CP-AU进行双向认证，该CP-AU会将双向认证得到的密钥K0发送给该KMS由该KMS对该K0进行管理，也可能该KMS的功能集成在该CP-AU中，这时CP-AU就不需要将K0发送给KMS。K0也可以为认证成功后直接得到的密钥，也可以为根据该直接得到的密钥经过一次推衍或多次推衍得到的密钥。

步骤S902：KMS将基础密钥K_AN发送给该AN，也可能该KMS预先将该基础K_AN发送给了MM，该MM后续将该基础密钥K_AN发送给AN，该K_AN可能为该K0，也可能为基于该K0一次推衍或者多次推衍得到的密钥。

步骤S903：AN根据预设规则对该K_AN进行推衍得到空口保护密钥(例如，加密密钥K_Anec、完整性保护密钥K_ANint)。

步骤S904：UE同样根据预设规则对该K_AN进行推衍得到空口保护密钥，当该K_AN为基于该K0推衍得到的密钥时，该UE推衍K_AN的方式与该KMS推衍K_AN的方式相同。

步骤S905：UE向发送会话建立请求，相应地，该核心网中的网元会进行一系列的协商，协商的过程中会产生该会话的会话标识(session ID)、与该会话关联的初始安全策略、按照该初始安全策略定义的规则生成的会话密钥(K_session)，该初始安全策略定义了该会话中用到的一些密钥的生成规则。该核心网中的UP-GW会获得该会话标识、初始安全策略和会话密钥等信息。

步骤S906：AN接收该核心网中的SM发送的该会话标识和初始安全策略。

步骤S907：AN向该UE发送该会话标识和该初始安全策略。

步骤S908：UE接收该会话标识和该初始安全策略，该UE与该UP-GW之间的会话建立成功，该UE与该UP-GW之间建立的会话可以称为目标会话。

步骤S905-S908中除建立目标会话外，其他的信息和操作均为可选。

步骤S909：UE生成该目标会话的上行协议数据单元，生成该上行协议数据单元的过程中会判断该上行协议数据单元中的payload字段是否已被保护，一种方案中，UE根据目标会话确定该目标会话对应的初始安全策略；然后根据该初始安全策略即可确定该payload字段是否经过了按照该初始安全策略定义的规则进行了保护。又一种方案中，UE可以直接根据该上行协议数据单元的数据格式确定该payload字段是否被加密过，payload字段被密钥保护过和未保护过这两种情况下的上行协议数据单元格式不同。

若未被保护，则该UE通过该空口保护密钥保护该完整的上行协议数据单元；然后将该完整的上行协议数据单元发送给AN，相应地，该AN通过该空口保护密钥解析被加密的上行协议数据单元以得到该上行协议数据单元中的信息。

若已被保护，则UE通过该空口保护密钥对目标字段进行保护并执行后续的步骤S910～S911，目标字段包括outer IP header字段、encapsulation header字段和PDUheader字段中至少一项，保护包括加密保护和完整性保护中至少一种。

步骤S910：UE通过空口传输技术将保护了目标字段的上行协议数据单元发送给AN。

步骤S911：AN通过该空口保护密钥解析出该上行协议数据单元中的目标字段的信息。例如，AN利用加密密钥解密被加密保护的目标字段；再如，AN先利用完整性保护密钥验证被加密的目标字段的完整性，再通过空口加密密钥解密被加密的目标字段；再如，AN先解密被加密的目标字段，再通过完整性保护密钥验证并得到该目标字段。该AN可以将解析出的信息与其他字段的信息组成完整的协议数据单元，并发送到核心网。

可选的，该AN可以为该UE分配对应的空口传输方式，并向该UE发送指示信息以告知该UE对应什么样的空口传输方式，该AN也可能为其他设备分配了空口传输方式，如果该AN接收到的上行协议数据单元的空口传输方式为该UE对应的空口传输方式，则认为该上行协议数据单元由该UE发送，因此从预先生成的多个空口保护密钥(该多个空口保护密钥分别对应一个设备)中选择该UE对应的空口保护密钥对该上行协议数据单元进行保护，该空口传输方式包括CDMA技术中每个用户设备对应的码字，或者UE在空口发送数据的调制方式等等。

步骤S912：AN生成目标会话的下行协议数据单元，生成该下行协议数据单元的过程中会判断该下行协议数据单元中的payload字段是否已被保护，一种方案中，AN根据目标会话确定该目标会话对应的初始安全策略；然后根据该初始安全策略即可验证该payload字段是否经过了按照该初始安全策略定义的规则生成的密钥保护。又一种方案中，AN可以直接根据该下行协议数据单元的数据格式确定该payload字段是否被加密过，payload字段被密钥保护过和未保护过这两种情况下的下行协议数据单元格式不同。

若未被保护，则AN通过该空口保护密钥保护该下行协议数据单元；然后将该完整的上行协议数据单元发送给UE，相应地，该UE通过该空口保护密钥解析被加密的上行协议数据单元以得到该下行协议数据单元中的信息。

若已被保护，则AN通过该空口保护密钥对该目标字段进行保护以及执行后续的步骤S913和S914，该目标字段包括outer IP header字段、encapsulation header字段和PDUheader字段中至少一项，包括保护包括加密保护和完整性保护中至少一种。

步骤S913：AN将保护了目标字段的下行协议数据单元发送给UE。

步骤S914：UE通过空口保护密钥解析出下行协议数据单元中的目标字段的信息。

请参见图10，图10是本发明实施例提供的一种数据传输方法的流程示意图，该UE和该AN在通过空口保护密钥保护协议数据单元和解析协议数据单元时需要遵循相应的规则，该规则可以称为空口策略。可以理解的是，当按照空口策略定义的规则保护协议数据单元时，在解析该被保护的协议数据单元时需要参照该空口策略进行反向的操作才能解析成功。也即是说，该AN通过该空口保护密钥保护该下行协议数据单元中的目标信息，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥保护下行协议数据单元中的目标字段，该空口策略定义了数据保护的规则。该UE通过该空口保护密钥解析下行协议数据单元中的目标字段，具体为：按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的目标字段。该UE通过该空口保护密钥保护上行协议数据单元中的目标字段，具体为：按照该空口策略定义的规则使用该空口保护密钥保护上行协议数据单元中的目标字段。该AN通过该空口保护密钥解析该上行协议数据单元中的目标信息，具体为：按照该空口策略定义的规则使用该空口保护密钥解析该上行协议数据单元中的目标信息。

在第一种情况中，该AN用于接收来自核心网的初始安全策略，该AN根据该初始安全策略生成空口策略；该AN向该UE发送该空口策略；该UE接收该空口策略，从而确保该AN和该UE均具有该空口策略。在第二种情况中，该UE用于接收来自核心网的初始安全策略，该UE根据该初始安全策略生成空口策略；该UE向该AN发送该空口策略；该AN接收该空口策略，从而确保该AN和该UE均具有该空口策略。在第三种情况中，该AN接收来自核心网的初始安全策略并向该UE转发该初始安全策略，然后该UE和该AN各自根据该初始安全策略生成该空口策略，从而确保该UE和该AN都具有该空口策略。

需要说明的是，每个网元都可能具有自身的安全需求，该安全需求表征了该网元可以接受的密钥算法有哪些、可以接受的密钥长度有哪些，可以接受的密钥更新周期是哪些等等，该初始安全策略即为核心网根据相关网元的安全需求得到的能够满足该相关网元中各个网元所要求的密钥算法、密钥长度、密钥更新周期的方案，该相关网元(例如，密钥管理网元、移动性管理网元等)具体指该UE在网络中传输数据时所涉及到的至少一个网元。该初始安全策略定义了目标会话中用到的密钥的生成规则，以及目标会话的保护方式，该目标会话为该UE双向认证成功后与该用户面网关之间的会话。该空口策略为根据参照初始安全策略生成的，参照的方式可以为沿用该初始安全策略中的某个参数(例如，密钥算法)，也可以为对该初始安全策略中的某个参数进行调整得到该空口策略中的参数，还可以为其他方式，总而言之，得到该空口策略用到了该初始安全策略中的信息。以图10为例，该方法包括但不限于如下步骤。

步骤S1001：UE与CP-AU进行双向认证，该CP-AU会将双向认证得到的密钥K0发送给该KMS由该KMS对该K0进行管理，也可能该KMS的功能集成在该CP-AU中，这时CP-AU就不需要将K0发送给KMS。K0也可以为认证成功后直接得到的密钥，也可以为根据该直接得到的密钥经过一次推衍或多次推衍得到的密钥。

步骤S1002：KMS将基础密钥K_AN发送给该AN，也可能该KMS预先将该基础K_AN发送给了MM，该MM后续将该基础密钥K_AN发送给AN，该K_AN可能为该K0，也可能为基于该K0一次推衍或多次推衍得到的密钥。

步骤S1003：AN根据预设规则对该K_AN进行推衍得到空口保护密钥(例如，加密密钥K_Anec、完整性保护密钥K_ANint)。

步骤S1004：UE同样根据预设规则对该K_AN进行推衍得到空口保护密钥，当该K_AN为基于该K0推衍得到的密钥时，该UE推衍K_AN的方式与该KMS推衍K_AN的方式相同。

步骤S1005：UE向发送会话建立请求，相应地，该核心网中的网元会进行一系列的协商，协商的过程中会产生该会话的会话标识(session ID)、与该会话关联的初始安全策略、按照该初始安全策略定义的规则生成的会话密钥(K_session)，该初始安全策略定义了该会话中用到的一些密钥的生成规则。该核心网中的UP-GW会获得该会话标识、初始安全策略和会话密钥等信息。

步骤S1006：AN接收该核心网中的SM发送的该会话标识和初始安全策略；然后根据该初始安全策略生成空口策略。

步骤S1007：AN向该UE发送该会话标识、该初始安全策略和该空口策略。

步骤S1008：UE接收该会话标识、空口策略和该初始安全策略，该UE与该UP-GW之间的会话建立成功，该UE与该UP-GW之间建立的会话可以称为目标会话。

步骤S1009：UE生成该目标会话的上行协议数据单元，生成该上行协议数据单元的过程中会参照该空口策略定义的规则使用该空口保护密钥对目标字段进行保护，该目标字段包括outer IP header字段、encapsulation header字段和PDU header字段中至少一项，保护包括加密保护和完整性保护中至少一种。

步骤S1010：UE通过空口传输技术将保护了目标字段的上行协议数据单元发送给AN。

步骤S1011：AN参照该空口策略定义的规则使用该空口保护密钥解析出该上行协议数据单元中的目标字段的信息。例如，AN利用加密密钥解密被加密保护的目标字段；再如，AN先利用完整性保护密钥验证被加密的目标字段的完整性，再通过空口加密解密被加密的目标字段；再如，AN先解密被加密的目标字段，再通过完整性保护密钥验证并得到该目标字段。该AN可以将解析出的信息与其他字段的信息组成完整的协议数据单元，并发送到核心网。

步骤S1012：AN生成目标会话的下行协议数据单元，生成该下行协议数据单元的过程中会参照该空口策略定义的规则使用该空口保护密钥对该目标字段进行保护，该目标字段包括outer IP header字段、encapsulation header字段和PDU header字段中至少一项，保护包括加密保护和完整性保护中至少一种。

步骤S1013：AN将保护了目标字段的下行协议数据单元发送给UE。

步骤S1014：UE参照该空口策略定义的规则使用空口保护密钥解析出下行协议数据单元中的目标字段的信息。

需要说明的是，该空口策略还可能定义了协议数据单元(包括上行协议数据单元和下行协议数据单元)中哪部分的内容需要保护，定义的方案可能为：

第一种：判断payload字段是否已被保护，若Payload未被保护则对整个协议数据单元进行保护；若Payload字段已被保护，执行保护上述目标字段的操作；

第二种：不管Payload字段是否已被保护，均执行保护上述目标字段的操作。

在一种可选的方案中，空口保护密钥的生成可以在会话建立之后再执行。可选的，采用4G中的空口保护算法的协商机制来确定保护算法和该空口保护密钥，或者基于初始安全策略确定空口策略，再根据空口策略中定义的安全算法标识生成空口保护密钥；或者基于初始安全策略确定空口策略，基于基础密钥生成空口保护密钥。

在图3所描述的方法中，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

请参见图11，图11是本发明实施例提供的又一种数据传输方法的流程示意图，该方法可以基于图3该的通信系统30来实现，包含的流程如下。

步骤S1101：UE与CN中管理密钥的设备进行双向认证，双向认证成功后该UE与核 CN中的用户面网关UP-GW建立会话，可以称该会话为目标会话。建立该目标会话的过程中，该核心网中的网元会进行一系列的协商，协商的过程中会产生该目标会话的会话标识(session ID)、与该会话关联的初始安全策略(可选)、按照该初始安全策略定义的规则生成的会话密钥(K_session)，当然，如果不存在该初始安全策略则该会话密钥可以通过其他规则来生成，该初始安全策略定义了该会话中用到的一些密钥的生成规则。该核心网中的UP-GW会获得该会话标识、初始安全策略(可选)和会话密钥等信息。该CN中的网元还会将该目标会话的会话标识(session ID)发送给该UE，CN中的网元向该UE发送该会话标识的过程中该会话标识会经过AN，该AN会根据该会话标识确定该目标会话。

步骤S1102：该AN生成与目标会话对应的目标标识。

具体地，生成该目标标识的规则此处不作限定，能够用于该AN与该UE二者唯一对应到该目标会话即可，该目标标识不要求体现该UE和该UP-GW的地址(如，IP地址、MAC地址等)等信息，也即是说，除该AN和该UE之外的其他设备在没有与该AN(或该UE)协商的前提下，如果截取了该目标标识也不会知道该目标标识与该目标会话有对应关系，因此，不可能通过该目标标识确定该目标会话。该目标标识可以为随机生成的随机数，也可以采用一些已有标识，例如，C-RNTI，或者载频频点(例如4G的载频频点表示为，英文：E-UTRA Absolute Radio Frequency Channel Number，简称：EARFCN)等标识。

步骤S1103：该AN向该UE发送对应关系信息，AN可以通过CN向UE发送会话标识的信令中或者此信令之后，将目标标识发送至UE；在也可能AN发送目标标识和会话标识一起至UE，以使UE确定对应关系。

具体地，该对应关系信息指示了该目标会话与该目标标识的对应关系。

步骤S1104：该UE接收该对应关系信息并根据该对应关系信息确定该目标会话对应该目标标识。

步骤S1105：该UE在该目标会话的上行协议数据单元中封装该目标标识并将封装了该目标标识的上行协议数据单元发送给该AN。可选的，将协议数据单元中用于区分会话的参考标识替换为目标标识。

现有技术中，UE在传输上行协议数据单元时会在该上行协议数据单元中封装参考标识以表明该上行协议数据单元属于该目标会话，尤其向UP-GW表明该上行协议数据单元属于该目标会话。但是，通过参考标识确定该上行协议数据单元属于该目标会话不仅是该UE和AN可以做到，除该UE和该AN外的其他设备也可以做到，也即是说，该UE和该AN外的其他设备只要截取到了该上行报文中的参考标识就可以确定该上行报文属于该目标会话；该参考标识通常在outer IP header字段、encapsulation header字段和PDU header字段等字段中，该参考标识通常为承载标识(bearer ID)，流标识(flow ID)，硬件的媒体接入控制(英文：Media Access Control，简称：MAC)标识，会话标识、该UE的IP地址、该接入网设备的IP地址、该接入网的接入网标识、端到端通信另一方的标识、端到端通信另一方的IP地址、QoS标识、国际移动用户标识(英文：International Mobile Subscriber Identity，简称：IMSI)、国际移动设备标识(英文：International Mobile Equipment Identity，简称：IMEI)、互联网协议(英文：Internet Protocol，简称：IP)多媒体私有标识(英文：IP Multimedia Private Identity，简称：IMPI)、IP多媒体公有标识(英文：IP Multimedia Public Identity，简称：IMPU)、临时移动用户标识(英文：Temporary Mobile Subscriber Identity，简称：TMSI)、手机号码、全球唯一临时UE标识(英文：Globally Unique Temporary UE Identity，简称：GUTI)等，相比而言，目标标识就不会包含这些能够明显表明报文的来源和去向等信息。另外，跟现有技术一样，该上行报文中还存在payload字段来封装业务数据，对业务数据的处理方式本发明实施例可以不做修改。

步骤S1106：该AN接收该上行协议数据单元；

步骤S1107：该AN将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送到核心网。

具体地，该AN接收到该上行协议数据单元后解析该上行协议数据单元，例如，解析该协议数据单元的包头header字段的信息，以获取该上行协议数据单元中的目标标识，然后根据预存的该目标会话与该目标标识的对应关系可以确定该上行报文属于目标会话。因此，该AN将该上行报文中的目标标识替换为参考标识，以便UP-GW能够根据该参考标识确定该上行协议数据单元属于该目标会话。

步骤S1108：该AN接收该用户面网关发送的下行协议数据单元。

具体地，按目前的通信协议中定义的规则，任何设备都可以通过参考标识来表明下行报文属于该目标会话，因此，该UP-GW通过通用的规则在该下行协议数据单元中封装该参考标识以表明该下行报文属于该目标会话。

步骤S1109：该AN将该下行协议数据单元中的参考标识替换为该目标标识并将替换后的该下行协议数据单元发送给该UE。

具体地，该AN接收到该下行协议数据单元后解析该下行协议数据单元，当解析出该参考标识时即可确定该下行协议数据单元属于该目标会话，将于该目标会话对应的目标标识替换该参考标识，并将替换后的下行协议数据单元发送给该UE。

步骤S1110：该UE接收包含该下行协议数据单元并根据该目标标识确定该下行协议数据单元属于上述目标会话。

具体地，该UE接收到该下行协议数据单元后解析该下行协议数据单元，当从该下行协议数据单元中解析出来该目标标识时，即可确定该下行报文属于该目标标识对应的目标会话的报文，该下行协议数据单元中通常还有payload字段，该字段中封装了业务数据，用户可以进一步解析出该业务数据，以便根据该业务数据执行相关操作。

在图11所描述的方法中，在UE与AN的空口传输段设置会话保护机制，即在UE于UP-GW之间建立了目标会话后，该AN与该UE双方约定好用来标识该目标会话的目标标识，后续的报文在空口段传输时在该报文中通过该目标标识来表明该报文来自该目标会话，在与核心网之间通信时则将该目标标识替换为参考标识(通过该参考标识确定目标会话是该AN和UE以外的设备也可以做到的)，这样以来，即便除该AN和该UE之外的设备截取到了该目标标识，也无法推导出该报文属于该目标会话，从而避免了会话被攻击。

上述都是针对session会话传输方式为例的描述；UE与目标节点之间采用端到端地保护机制时，UE与AN之间这一段传输的部分信息进行额外保护的思想也可以应用于基于承载的传输方式，基于flow的传输方式等。

上述详细阐述了本发明实施例的方法，为了便于更好地实施本发明实施例的上述方案，相应地，下面提供了本发明实施例的装置。

请参见图12，图12是本发明实施例提供的一种用户设备120的结构示意图，该用户设备120可以包括生成单元1201、保护单元1202和发送单元1203，其中，各个单元的详细描述如下。

生成单元1201用于按照预设规则处理基础密钥以生成空口保护密钥，该基础密钥为该UE与核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该核心网中管理密钥的设备用于将该基础密钥发送给接入网设备AN，以使该AN按照该预设规则处理该基础密钥生成该空口保护密钥；

保护单元1202用于通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN；

发送单元1203用于将保护了该目标字段的该上行协议数据单元发送给该AN，以使该AN通过该空口保护密钥解析该上行协议数据单元中的该目标字段。

在一种可选的方案中，该用户设备还包括第一接收单元，该第一接收单元用于该UE接收该AN发送的下行协议数据单元，并通过该空口保护密钥解析该下行协议数据单元中的目标字段，该下行协议数据单元中的该目标字段经过了该空口保护密钥加密。

在又一种可选的方案中，该第一接收单元通过该空口保护密钥解析该下行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的目标字段，该下行协议数据单元中的该目标字段由该AN按照预先获取的该空口策略定义的规则使用该空口保护密钥保护过，该空口策略定义了密钥的使用规则。

在又一种可选的方案中，该保护单元具体用于按照预先获取的空口策略定义的规则使用该空口保护密钥保护上行协议数据单元中的目标字段，该AN用于按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该目标字段，该空口策略定义了密钥的使用规则。

在又一种可选的方案中，该用户设备还包括第二接收单元，第二接收单元用于接收该AN发送的该空口策略，该空口策略由该AN根据初始安全策略生成，该初始安全策略定义了目标会话中用到的密钥的生成规则，该目标会话为该目标节点与该UE之间的会话。

在又一种可选的方案中，该用户设备还包括判断单元，该判断单元用于判断该上行协议数据单元中的payload字段是否已被保护，若否，则触发该保护单元通过该空口保护密钥保护该上行协议数据单元；若是则触发该保护单元执行该UE通过该空口保护密钥保护上行协议数据单元PDU中的目标字段的操作。

在又一种可选的方案中，该空口保护密钥包括加密密钥和完整性保护密钥中至少一项。

在又一种可选的方案中，该目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。

在又一种可选的方案中，该用于标识该UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

在又一种可选的方案中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

需要说明的是，各个单元的具体实现还可以对应参照图3、图8、图9、图10所示的方法实施例的相应描述。

在图12所描述的用户设备中，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

请参见图13，图13是本发明实施例提供的一种接入网设备130的结构示意图，该接入网设备130可以包括第一接收单元1301、生成单元1302和第二接收单元1303，各个单元的详细描述如下。

第一接收单元1301用于接收核心网中管理密钥的设备发送的基础密钥，该基础密钥为用户设备UE与该核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该UE用于按照预设规则处理该基础密钥以生成空口保护密钥；

生成单元1302用于按照该预设规则处理该基础密钥以生成空口保护密钥；

第二接收单元1303用于接收该UE发送的上行协议数据单元，并通过该空口保护密钥解析该上行协议数据单元中的目标字段，该上行协议数据单元中的该目标字段由该UE通过该空口保护密钥保护过，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN。

在一种可选方案中，该接入网设备还包括保护单元，保护单元用于通过该空口保护密钥保护下行协议数据单元中的目标字段，并将保护了该目标字段的该下行协议数据单元发送给该UE；以使该UE通过该空口保护密钥解析该下行协议数据单元中的该目标字段。

在又一种可选方案中，该接入网设备还包括判断单元，该判断单元用于判断该下行协议数据单元中的payload字段是否已被保护，若否，则触发该保护单元通过该空口保护密钥保护该下行协议数据单元；若是，触发该保护单元执行该通过该空口保护密钥保护下行协议数据单元中的目标字段的操作。

在又一种可选的方案中国，该保护单元通过该空口保护密钥保护下行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥保护下行协议数据单元中的目标字段，该UE用于按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的该目标字段，该空口策略定义了密钥的使用规则。

在又一种可选的方案中，该第二接收单元通过该空口保护密钥解析该上行协议数据单元中的目标字段，具体为：

按照预先获取的空口策略定义的规则使用该空口保护密钥解析该上行协议数据单元中的目标字段，该上行协议数据单元中的该目标字段为该UE按照预先获取的该空口策略定义的规则使用该空口保护密钥保护过，该空口策略定义了密钥的使用规则。

在又一种可选的方案中，该接入网设备还包括：

第三接收单元，用于接收来自核心网的初始安全策略，该初始安全策略定义了目标会话中用到的密钥的生成规则，该目标会话为该目标节点与该UE之间的会话；

发送单元，用于根据该初始安全策略生成空口策略，并向该UE发送该空口策略。

在图13所描述的接入网设备中，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

请参见图14，图14是本发明实施例提供的又一种用户设备140的结构示意图，该用户设备140可以包括第一接收单元1401和封装单元1402，其中，各个单元的详细描述如下。

第一接收单元1401用于接收接入网设备AN发送的对应关系信息并根据该对应关系信息确定目标会话对应目标标识，该目标标识由该AN生成，该目标会话为该UE与目标节点之间的会话，该目标会话的数据在传输时需要经过该AN；

封装单元1402用于在该目标会话的上行协议数据单元PDU中封装该目标标识并将封装了该目标标识的上行协议数据单元发送给该AN；该AN用于将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送给该目标节点，该参考标识用于该目标节点确认该上行协议数据单元属于该目标会话。

在一种可选的方案中，该用户设备还包括第二接收单元，第二接收单元用于接收该AN发送的下行协议数据单元并根据该目标标识确定该下行协议数据单元属于该目标会话，该AN用于在接收到该目标节点发送的下行协议数据单元时将该下行协议数据单元中的参考标识替换为该目标标识，并将替换得到的该下行协议数据单元发送给该UE，该目标节点发送的该下行协议数据单元包含该参考标识以表明该下行协议数据单元属于该目标会话。

在又一种可选的方案中，该参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。

在又一种可选的方案中，该参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、该UE的互联网协议地址、该接入网设备的IP地址、该接入网设备接入的接入网的接入网标识、该UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、该UE的手机号码和该UE的全球唯一临时用户设备标识中至少一项。

需要说明的是，各个单元的具体实现还可以对应参照图11所示的方法实施例的相应描述。

在图14所描述的用户设备中，在UE与AN的空口传输段设置会话保护机制，即在UE于UP-GW之间建立了目标会话后，该AN与该UE双方约定好用来标识该目标会话的目标标识，后续的报文在空口段传输时在该报文中通过该目标标识来表明该报文来自该目标会话，在与核心网之间通信时则将该目标标识替换为参考标识(通过该参考标识确定目标会话是该AN和UE以外的设备也可以做到的)，这样以来，即便除该AN和该UE之外的设备截取到了该目标标识，也无法推导出该报文属于该目标会话，从而避免了会话被攻击。

请参见图15，图15是本发明实施例提供的又一种接入网设备150的结构示意图，该接入网设备150可以包括生成单元1501、第一发送单元1502、第一接收单元1503和替换单元1504，其中，各个单元的详细描述如下。

生成单元1501用于生成与目标会话对应的目标标识，该目标会话为用户设备UE与目标节点之间的会话，该目标会话的数据在传输时需要经过该AN；

第一发送单元1502用于向该UE发送对应关系信息，以使该UE在该目标会话的上行协议数据单元PDU中封装该目标标识，该对应关系信息指示了该目标会话与该目标标识的对应关系；

第一接收单元1503用于接收该UE发送的封装该目标标识的该上行协议数据单元；

替换单元1504用于将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送给该目标节点，该参考标识用于该目标节点确认该上行协议数据单元属于该目标会话。

在一种可选的方案中，该接入网设备还包括：

第二接收单元，用于接收该目标节点发送的下行协议数据单元，该下行协议数据单元包含该参考标识以表明该下行协议数据单元属于该目标会话；

第二发送单元，用于将该下行协议数据单元中的参考标识替换为该目标标识并将替换后的该下行协议数据单元发送给该UE，以使该UE根据该目标标识确定该下行协议数据单元属于该目标会话。

需要说明的是，各个单元的具体实现还可以对应参照图12所示的方法实施例的相应描述。

在图15所描述的接入网设备中，在UE与AN的空口传输段设置会话保护机制，即在UE于UP-GW之间建立了目标会话后，该AN与该UE双方约定好用来标识该目标会话的目标标识，后续的报文在空口段传输时在该报文中通过该目标标识来表明该报文来自该目标会话，在与核心网之间通信时则将该目标标识替换为参考标识(通过该参考标识确定目标会话是该AN和UE以外的设备也可以做到的)，这样以来，即便除该AN和该UE之外的设备截取到了该目标标识，也无法推导出该报文属于该目标会话，从而避免了会话被攻击。

请参见图16，图16是本发明实施例提供的一种用户设备160，该用户设备160包括处理器1601、存储器1602和收发器1603，该处理器1601、存储器1602和收发器1603通过总线相互连接。

存储器1602包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM)，该存储器1602用于相关指令及数据。

该收发器1603可以包括一个接收器和一个发送器，例如，无线射频模块，以下描述的处理器1601接收或者发送某个协议数据单元，具体可以理解为该处理器1601通过该收发器来接收或者发送。

处理器1601可以是一个或多个中央处理器(英文：Central Processing Unit，简称：CPU)，在处理器1601是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该用户设备160中的处理器1601用于读取该存储器1602中存储的程序代码，执行以下操作：

按照预设规则处理基础密钥以生成空口保护密钥，该基础密钥为该UE与核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该核心网中管理密钥的设备用于将该基础密钥发送给接入网设备AN，以使该AN按照该预设规则处理该基础密钥生成该空口保护密钥；

通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN；

将保护了该目标字段的该上行协议数据单元发送给该AN，以使该AN通过该空口保护密钥解析该上行协议数据单元中的该目标字段。

通过执行上述操作，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

在一种可选的方案中，该处理器1601按照预设规则处理基础密钥以生成空口保护密钥之后，还用于接收该AN发送的下行协议数据单元，并通过该空口保护密钥解析该下行协议数据单元中的目标字段，该下行协议数据单元中的该目标字段经过了该空口保护密钥加密。

在又一种可选的方案中，该处理器1601通过该空口保护密钥解析该下行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的目标字段，该下行协议数据单元中的该目标字段由该AN按照预先获取的该空口策略定义的规则使用该空口保护密钥保护过，该空口策略定义了密钥的使用规则。

在又一种可选的方案中，该处理器1601通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，具体为：

按照预先获取的空口策略定义的规则使用该空口保护密钥保护上行协议数据单元中的目标字段，该AN用于按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该目标字段，该空口策略定义了密钥的使用规则。

在又一种可选的方案中，该处理器1601还用于接收该AN发送的该空口策略，该空口策略由该AN根据初始安全策略生成，该初始安全策略定义了目标会话中用到的密钥的生成规则，该目标会话为该目标节点与该UE之间的会话。

在又一种可选的方案中，处理器1601通过该空口保护密钥保护上行协议数据单元PDU中的目标字段之前，还用于判断该上行协议数据单元中的payload字段是否已被保护；若否，则通过该空口保护密钥保护该上行协议数据单元；若是，则执行该UE通过该空口保护密钥保护上行协议数据单元PDU中的目标字段的操作。

需要说明的是，各个操作的具体实现还可以对应参照图3、图8、图9、图10所示的方法实施例的相应描述。

在图16所描述的用户设备中，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

请参见图17，图17是本发明实施例提供的一种接入网设备170，该接入网设备170包括处理器1701、存储器1702和收发器1703，该处理器1701、存储器1702和收发器1703通过总线相互连接。

存储器1702包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM)，该存储器1702用于相关指令及数据。

该收发器1703可以包括一个接收器和一个发送器，例如，无线射频模块，以下描述的处理器1701接收或者发送某个协议数据单元，具体可以理解为该处理器1701通过该收发器来接收或者发送。

处理器1701可以是一个或多个中央处理器(英文：Central Processing Unit，简称：CPU)，在处理器1701是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该接入网设备170中的处理器1701用于读取该存储器1702中存储的程序代码，执行以下操作：

接收核心网中管理密钥的设备发送的基础密钥，该基础密钥为用户设备UE与该核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该UE用于按照预设规则处理该基础密钥以生成空口保护密钥；

按照该预设规则处理该基础密钥以生成空口保护密钥；

接收该UE发送的上行协议数据单元，并通过该空口保护密钥解析该上行协议数据单元中的目标字段，该上行协议数据单元中的该目标字段由该UE通过该空口保护密钥保护过，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN。

在一种可选的方案中，该处理器1701按照该预设规则处理该基础密钥以生成空口保护密钥之后，还用于通过该空口保护密钥保护下行协议数据单元中的目标字段，并将保护了该目标字段的该下行协议数据单元发送给该UE；以使该UE通过该空口保护密钥解析该下行协议数据单元中的该目标字段。

在又一种可选的方案中，该处理器通过该空口保护密钥保护下行协议数据单元中的目标字段之前，还用于判断该下行协议数据单元中的payload字段是否已被保护；若否，则通过该空口保护密钥保护该下行协议数据单元；若是，则执行该通过该空口保护密钥保护下行协议数据单元中的目标字段的操作。

在又一种可选的方案中，该处理器1701通过该空口保护密钥保护下行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥保护下行协议数据单元中的目标字段，该UE用于按照预先获取的该空口策略定义的规则使用该空口保护密钥解析该下行协议数据单元中的该目标字段，该空口策略定义了密钥的使用规则。

在又一种可选的方案中，该处理器通过该空口保护密钥解析该上行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用该空口保护密钥解析该上行协议数据单元中的目标字段，该上行协议数据单元中的该目标字段为该UE按照预先获取的该空口策略定义的规则使用该空口保护密钥保护过，该空口策略定义了密钥的使用规则。

在又一种可选的方案中，该处理器还用于接收来自核心网的初始安全策略，该初始安全策略定义了目标会话中用到的密钥的生成规则，该目标会话为该目标节点与该UE之间的会话；根据该初始安全策略生成空口策略，并向该UE发送该空口策略。

在图17所描述的接入网设备中，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

请参见图18，图18是本发明实施例提供的一种用户设备180，该用户设备180包括处理器1801、存储器1802和收发器1803，该处理器1801、存储器1802和收发器1803通过总线相互连接。

存储器1802包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM)，该存储器1802用于相关指令及数据。

该收发器1803可以包括一个接收器和一个发送器，例如，无线射频模块，以下描述的处理器1801接收或者发送某个协议数据单元，具体可以理解为该处理器1801通过该收发器来接收或者发送。

处理器1801可以是一个或多个中央处理器(英文：Central Processing Unit，简称：CPU)，在处理器1801是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该用户设备180中的处理器1801用于读取该存储器1802中存储的程序代码，执行以下操作：

接收接入网设备AN发送的对应关系信息并根据该对应关系信息确定目标会话对应目标标识，该目标标识由该AN生成，该目标会话为该UE与目标节点之间的会话，该目标会话的数据在传输时需要经过该AN；

在该目标会话的上行协议数据单元PDU中封装该目标标识并将封装了该目标标识的上行协议数据单元发送给该AN；该AN用于将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送给该目标节点，该参考标识用于该目标节点确认该上行协议数据单元属于该目标会话。

通过执行上述操作，在UE与AN的空口传输段设置会话保护机制，即在UE于UP-GW之间建立了目标会话后，该AN与该UE双方约定好用来标识该目标会话的目标标识，后续的报文在空口段传输时在该报文中通过该目标标识来表明该报文来自该目标会话，在与核心网之间通信时则将该目标标识替换为参考标识(通过该参考标识确定目标会话是该AN和UE以外的设备也可以做到的)，这样以来，即便除该AN和该UE之外的设备截取到了该目标标识，也无法推导出该报文属于该目标会话，从而避免了会话被攻击。

在一种可选的方案中，处理器1801接收接入网设备AN发送的对应关系信息并根据该对应关系信息确定目标会话对应目标标识之后，还用于接收该AN发送的下行协议数据单元并根据该目标标识确定该下行协议数据单元属于该目标会话，该AN用于在接收到该目标节点发送的下行协议数据单元时将该下行协议数据单元中的参考标识替换为该目标标识，并将替换得到的该下行协议数据单元发送给该UE，该目标节点发送的该下行协议数据单元包含该参考标识以表明该下行协议数据单元属于该目标会话。

在又一种可选方案中，该目标节点包括该核心网中的用户面网关，或者该核心网中的业务服务器，或者互联网中与该核心网中的网元建立了通信连接的服务器。

需要说明的是，各个操作的具体实现还可以对应参照图11所示的方法实施例的相应描述。

在图18所描述的用户设备中，在UE与AN的空口传输段设置会话保护机制，即在UE于UP-GW之间建立了目标会话后，该AN与该UE双方约定好用来标识该目标会话的目标标识，后续的报文在空口段传输时在该报文中通过该目标标识来表明该报文来自该目标会话，在与核心网之间通信时则将该目标标识替换为参考标识(通过该参考标识确定目标会话是该AN和UE以外的设备也可以做到的)，这样以来，即便除该AN和该UE之外的设备截取到了该目标标识，也无法推导出该报文属于该目标会话，从而避免了会话被攻击。

请参见图19，图19是本发明实施例提供的一种接入网设备190，该接入网设备190包括处理器1901、存储器1902和收发器1903，该处理器1901、存储器1902和收发器1903 通过总线相互连接。

存储器1902包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM)，该存储器1902用于相关指令及数据。

该收发器1903可以包括一个接收器和一个发送器，例如，无线射频模块，以下描述的处理器1901接收或者发送某个协议数据单元，具体可以理解为该处理器1901通过该收发器来接收或者发送。

处理器1901可以是一个或多个中央处理器(英文：Central Processing Unit，简称：CPU)，在处理器1901是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该接入网设备190中的处理器1901用于读取该存储器1902中存储的程序代码，执行以下操作：

生成与目标会话对应的目标标识，该目标会话为用户设备UE与目标节点之间的会话，该目标会话的数据在传输时需要经过该AN；

向该UE发送对应关系信息，以使该UE在该目标会话的上行协议数据单元PDU中封装该目标标识，该对应关系信息指示了该目标会话与该目标标识的对应关系；

接收该UE发送的封装该目标标识的该上行协议数据单元；

将该上行协议数据单元中的目标标识替换为参考标识并将替换后的该上行协议数据单元发送给该目标节点，该参考标识用于该目标节点确认该上行协议数据单元属于该目标会话。

在一种可选的方案中，该处理器1901向该UE发送对应关系信息之后，还用于：

接收该目标节点发送的下行协议数据单元，该下行协议数据单元包含该参考标识以表明该下行协议数据单元属于该目标会话；

该AN将该下行协议数据单元中的参考标识替换为该目标标识并将替换后的该下行协议数据单元发送给该UE，以使该UE根据该目标标识确定该下行协议数据单元属于该目标会话。

在又一种可选的方案中，该目标节点包括核心网中的用户面网关，或核心网中的业务服务器，或互联网中与该核心网中的网元建立了通信连接的服务器。

在图19所描述的接入网设备中，在UE与AN的空口传输段设置会话保护机制，即在UE于UP-GW之间建立了目标会话后，该AN与该UE双方约定好用来标识该目标会话的目标标识，后续的报文在空口段传输时在该报文中通过该目标标识来表明该报文来自该目标会话，在与核心网之间通信时则将该目标标识替换为参考标识(通过该参考标识确定目标会话是该AN和UE以外的设备也可以做到的)，这样以来，即便除该AN和该UE之外的设备截取到了该目标标识，也无法推导出该报文属于该目标会话，从而避免了会话被攻击。

综上所述，通过实施本发明实施例，UE与AN之间预先协商出空口保护密钥，然后双方通过该空口保护密钥来保护协议数据单元中包含用于标识该UE与该核心网中的用户面网关之间的会话的信息的字段，使得攻击者无法轻易从空口段获取到用于标识该UE与该核心网中的用户面网关之间的会话的信息，使得攻击者无法基于该信息确定该会话，从而避免了该会话被攻击。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可通过计算机程序来指令相关的硬件来完成，该的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可存储程序代码的介质。

Claims

一种通信系统，其特征在于，所述通信系统包括接入网设备AN和用户设备UE，其中：

所述AN用于接收核心网中管理密钥的设备发送的基础密钥，所述基础密钥为所述UE与所述核心网双向认证生成的密钥或者基于所述双向认证生成的密钥推衍出的密钥；

所述AN和所述UE均用于按照预设规则处理所述基础密钥以生成空口保护密钥；

所述UE还用于通过所述空口保护密钥保护上行协议数据单元PDU中的目标字段，并将保护了所述目标字段的所述上行协议数据单元发送给所述AN，所述目标字段包含用于标识所述UE与目标节点之间的会话的信息，所述目标节点与所述UE之间的会话的数据在传输时需要经过所述AN；

所述AN用于接收所述上行协议数据单元，并通过所述空口保护密钥解析所述上行协议数据单元中的所述目标字段。
根据权利要求1所述的系统，其特征在于：

所述AN用于通过所述空口保护密钥保护下行协议数据单元中的目标字段，并将保护了所述目标字段的所述下行协议数据单元发送给所述UE；

所述UE用于接收所述下行协议数据单元，并通过所述空口保护密钥解析所述下行协议数据单元中的所述目标字段。
根据权利要求2所述的系统，其特征在于：

所述通过所述空口保护密钥保护所述下行协议数据单元中的目标字段，具体为：按照预先获取的空口策略定义的规则使用所述空口保护密钥保护下行协议数据单元中的目标字段，所述空口策略定义了密钥的使用规则；

所述通过所述空口保护密钥解析所述下行协议数据单元中的所述目标字段，具体为：按照预先获取的所述空口策略定义的规则使用所述空口保护密钥解析所述下行协议数据单元中的所述目标字段。
根据权利要求1～3任一项所述的系统，其特征在于：

所述通过所述空口保护密钥保护上行协议数据单元PDU中的目标字段，具体为：按照预先获取的空口策略定义的规则使用所述空口保护密钥保护上行协议数据单元中的目标字段，所述空口策略定义了密钥的使用规则；

所述通过所述空口保护密钥解析所述上行协议数据单元中的所述目标字段，具体为：按照预先获取的空口策略定义的规则使用所述空口保护密钥解析所述上行协议数据单元中的所述目标字段。
根据权利要求3或4所述的系统，其特征在于：

所述AN用于接收来自核心网的初始安全策略，所述初始安全策略定义了目标会话中用到的密钥的生成规则，所述目标会话为所述目标节点与所述UE之间的会话；

所述AN用于根据所述初始安全策略生成空口策略；

所述AN用于向所述UE发送所述空口策略；

所述UE用于接收所述空口策略。
根据权利要求1～5任一项所述的系统，其特征在于：

所述UE还用于判断所述上行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护；

若否，则所述UE用于通过所述空口保护密钥保护所述上行协议数据单元；

若是，则所述UE用于执行所述通过所述空口保护密钥保护上行协议数据单元中的目标字段的操作。
根据权利要求1～5任一项所述的系统，其特征在于：

所述AN还用于判断所述下行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护；

若否，则所述AN用于通过所述空口保护密钥保护所述下行协议数据单元；

若是，所述AN用于执行所述通过所述空口保护密钥保护所述下行协议数据单元中的目标字段的操作。
根据权利要求1～7任一项所述的系统，其特征在于，所述空口保护密钥包括加密密钥和完整性保护密钥中至少一项。
根据权利要求1～8任一项所述的系统，其特征在于，所述目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。
根据权利要求1～9任一项所述的系统，其特征在于，所述用于标识所述UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求1～10任一项所述的系统，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种通信系统，其特征在于，所述系统包括用户设备UE和接入网设备AN，其中：

所述AN用于生成与目标会话对应的目标标识，所述目标会话为所述UE与目标节点之间的会话，所述目标会话的数据在传输时需要经过所述AN；

所述AN用于向所述UE发送对应关系信息，所述对应关系信息指示了所述目标会话与所述目标标识的对应关系；

所述UE用于接收所述对应关系信息并根据所述对应关系信息确定所述目标会话对应所述目标标识；

所述UE用于在所述目标会话的上行协议数据单元PDU中封装所述目标标识并将封装了所述目标标识的上行协议数据单元发送给所述AN；

所述AN用于接收所述上行协议数据单元；

所述AN用于将所述上行协议数据单元中的目标标识替换为参考标识并将替换后的所述上行协议数据单元发送给所述目标节点，所述参考标识用于所述目标节点确认所述上行协议数据单元属于所述目标会话。
根据权利要求12所述的系统，其特征在于：

所述AN用于接收所述目标节点发送的下行协议数据单元，所述下行协议数据单元包含所述参考标识以表明所述下行协议数据单元属于所述目标会话；

所述AN用于将所述下行协议数据单元中的参考标识替换为所述目标标识并将替换后的所述下行协议数据单元发送给所述UE；

所述UE用于接收所述下行协议数据单元并根据所述目标标识确定所述下行协议数据单元属于所述目标会话。
根据权利要求12或13所述的系统，其特征在于，所述参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。
根据权利要求12～14任一项所述的系统，其特征在于，所述参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求12～15任一项所述的系统，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种用户设备UE，其特征在于，包括：

生成单元，用于按照预设规则处理基础密钥以生成空口保护密钥，所述基础密钥为所述UE与核心网双向认证生成的密钥或者基于所述双向认证生成的密钥推衍出的密钥；所述核心网中管理密钥的设备用于将所述基础密钥发送给接入网设备AN，以使所述AN按照所述预设规则处理所述基础密钥生成所述空口保护密钥；

保护单元，用于通过所述空口保护密钥保护上行协议数据单元PDU中的目标字段，所述目标字段包含用于标识所述UE与目标节点之间的会话的信息，所述目标节点与所述UE之间的会话的数据在传输时需要经过所述AN；

发送单元，用于将保护了所述目标字段的所述上行协议数据单元发送给所述AN，以使所述AN通过所述空口保护密钥解析所述上行协议数据单元中的所述目标字段。
根据权利要求17所述的用户设备，其特征在于，还包括：

第一接收单元，用于所述UE接收所述AN发送的下行协议数据单元，并通过所述空口保护密钥解析所述下行协议数据单元中的目标字段，所述下行协议数据单元中的所述目标字段经过了所述空口保护密钥加密。
根据权利要求18所述的用户设备，其特征在于，所述第一接收单元通过所述空口保护密钥解析所述下行协议数据单元中的目标字段，具体为：

按照预先获取的空口策略定义的规则使用所述空口保护密钥解析所述下行协议数据单元中的目标字段，所述下行协议数据单元中的所述目标字段由所述AN按照预先获取的所述空口策略定义的规则使用所述空口保护密钥保护过，所述空口策略定义了密钥的使用规则。
根据权利要求17～19任一项所述的用户设备，其特征在于，所述保护单元具体用于按照预先获取的空口策略定义的规则使用所述空口保护密钥保护上行协议数据单元中的目标字段，所述AN用于按照预先获取的所述空口策略定义的规则使用所述空口保护密钥解析所述目标字段，所述空口策略定义了密钥的使用规则。
根据权利要求19或20所述的用户设备，其特征在于，还包括：

第二接收单元，用于接收所述AN发送的所述空口策略，所述空口策略由所述AN根据初始安全策略生成，所述初始安全策略定义了目标会话中用到的密钥的生成规则，所述目标会话为所述目标节点与所述UE之间的会话。
根据权利要求17～21任一项所述的用户设备，其特征在于，还包括：

判断单元，用于判断所述上行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护，若否，则触发所述保护单元通过所述空口保护密钥保护所述上行协议数据单元；若是则触发所述保护单元执行所述UE通过所述空口保护密钥保护上行协议数据单元PDU中的目标字段的操作。
根据权利要求17～22任一项所述的用户设备，其特征在于，所述空口保护密钥包括加密密钥和完整性保护密钥中至少一项。
根据权利要求17～23任一项所述的用户设备，其特征在于，所述目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。
根据权利要求17～24任一项所述的用户设备，其特征在于，所述用于标识所述UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求17～25任一项所述的用户设备，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种接入网设备AN，其特征在于，包括：

第一接收单元，用于接收核心网中管理密钥的设备发送的基础密钥，所述基础密钥为用户设备UE与所述核心网双向认证生成的密钥或者基于所述双向认证生成的密钥推衍出的密钥；所述UE用于按照预设规则处理所述基础密钥以生成空口保护密钥；

生成单元，用于按照所述预设规则处理所述基础密钥以生成空口保护密钥；

第二接收单元，用于接收所述UE发送的上行协议数据单元，并通过所述空口保护密钥解析所述上行协议数据单元中的目标字段，所述上行协议数据单元中的所述目标字段由所述UE通过所述空口保护密钥保护过，所述目标字段包含用于标识所述UE与目标节点之间的会话的信息，所述目标节点与所述UE之间的会话的数据在传输时需要经过所述AN。
根据权利要求27所述的接入网设备，其特征在于，还包括：

保护单元，用于通过所述空口保护密钥保护下行协议数据单元中的目标字段，并将保护了所述目标字段的所述下行协议数据单元发送给所述UE；以使所述UE通过所述空口保护密钥解析所述下行协议数据单元中的所述目标字段。
根据权利要求28所述的接入网设备，其特征在于，还包括：

判断单元，用于判断所述下行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护，若否，则触发所述保护单元通过所述空口保护密钥保护所述下行协议数据单元；若是，触发所述保护单元执行所述通过所述空口保护密钥保护下行协议数据单元中的目标字段的操作。
根据权利要求28或29所述的接入网设备，其特征在于，所述保护单元通过所述空口保护密钥保护下行协议数据单元中的目标字段，具体为：

按照预先获取的空口策略定义的规则使用所述空口保护密钥保护下行协议数据单元中的目标字段，所述UE用于按照预先获取的所述空口策略定义的规则使用所述空口保护密钥解析所述下行协议数据单元中的所述目标字段，所述空口策略定义了密钥的使用规则。
根据权利要求27～30任一项所述的接入网设备，其特征在于，所述第二接收单元通过所述空口保护密钥解析所述上行协议数据单元中的目标字段，具体为：

按照预先获取的空口策略定义的规则使用所述空口保护密钥解析所述上行协议数据单元中的目标字段，所述上行协议数据单元中的所述目标字段为所述UE按照预先获取的所述空口策略定义的规则使用所述空口保护密钥保护过，所述空口策略定义了密钥的使用规则。
根据权利要求30或31所述的接入网设备，其特征在于，还包括：

第三接收单元，用于接收来自核心网的初始安全策略，所述初始安全策略定义了目标会话中用到的密钥的生成规则，所述目标会话为所述目标节点与所述UE之间的会话；

发送单元，用于根据所述初始安全策略生成空口策略，并向所述UE发送所述空口策略。
根据权利要求27～32任一项所述的接入网设备，其特征在于，所述空口保护密钥包括加密密钥和完整性保护密钥中至少一项。
根据权利要求27～33任一项所述的接入网设备，其特征在于，所述目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。
根据权利要求27～34任一项所述的接入网设备，其特征在于，所述用于标识所述UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求27～35任一项所述的接入网设备，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种用户设备UE，其特征在于，包括：

第一接收单元，用于接收接入网设备AN发送的对应关系信息并根据所述对应关系信息确定目标会话对应目标标识，所述目标标识由所述AN生成，所述目标会话为所述UE与目标节点之间的会话，所述目标会话的数据在传输时需要经过所述AN；

封装单元，用于在所述目标会话的上行协议数据单元PDU中封装所述目标标识并将封装了所述目标标识的上行协议数据单元发送给所述AN；所述AN用于将所述上行协议数据单元中的目标标识替换为参考标识并将替换后的所述上行协议数据单元发送给所述目标节点，所述参考标识用于所述目标节点确认所述上行协议数据单元属于所述目标会话。
根据权利要求37所述的用户设备，其特征在于，还包括：

第二接收单元，用于接收所述AN发送的下行协议数据单元并根据所述目标标识确定所述下行协议数据单元属于所述目标会话，所述AN用于在接收到所述目标节点发送的下行协议数据单元时将所述下行协议数据单元中的参考标识替换为所述目标标识，并将替换得到的所述下行协议数据单元发送给所述UE，所述目标节点发送的所述下行协议数据单元包含所述参考标识以表明所述下行协议数据单元属于所述目标会话。
根据权利要求37或38所述的用户设备，其特征在于，所述参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。
根据权利要求37～39任一项所述的用户设备，其特征在于，所述参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求37～40任一项所述的用户设备，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种接入网设备AN，其特征在于，包括：

生成单元，用于生成与目标会话对应的目标标识，所述目标会话为用户设备UE与目标节点之间的会话，所述目标会话的数据在传输时需要经过所述AN；

第一发送单元，用于向所述UE发送对应关系信息，以使所述UE在所述目标会话的上行协议数据单元PDU中封装所述目标标识，所述对应关系信息指示了所述目标会话与所述目标标识的对应关系；

第一接收单元，用于接收所述UE发送的封装所述目标标识的所述上行协议数据单元；

替换单元，用于将所述上行协议数据单元中的目标标识替换为参考标识并将替换后的所述上行协议数据单元发送给所述目标节点，所述参考标识用于所述目标节点确认所述上行协议数据单元属于所述目标会话。
根据权利要求42所述的接入网设备，其特征在于，还包括：

第二接收单元，用于接收所述目标节点发送的下行协议数据单元，所述下行协议数据单元包含所述参考标识以表明所述下行协议数据单元属于所述目标会话；

第二发送单元，用于将所述下行协议数据单元中的参考标识替换为所述目标标识并将替换后的所述下行协议数据单元发送给所述UE，以使所述UE根据所述目标标识确定所述下行协议数据单元属于所述目标会话。
根据权利要求42或43所述的接入网设备，其特征在于，所述参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。
根据权利要求42～44任一项所述的接入网设备，其特征在于，所述参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求42～45任一项所述的接入网设备，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种数据传输方法，其特征在于，包括：

用户设备UE按照预设规则处理基础密钥以生成空口保护密钥，所述基础密钥为所述UE与核心网双向认证生成的密钥或者基于所述双向认证生成的密钥推衍出的密钥；所述核心网中管理密钥的设备用于将所述基础密钥发送给接入网设备AN，以使所述AN按照所述预设规则处理所述基础密钥生成所述空口保护密钥；

所述UE通过所述空口保护密钥保护上行协议数据单元PDU中的目标字段，所述目标字段包含用于标识所述UE与目标节点之间的会话的信息，所述目标节点与所述UE之间的会话的数据在传输时需要经过所述AN；

所述UE将保护了所述目标字段的所述上行协议数据单元发送给所述AN，以使所述AN通过所述空口保护密钥解析所述上行协议数据单元中的所述目标字段。
根据权利要求47所述的方法，其特征在于，所述用户设备UE按照预设规则处理基础密钥以生成空口保护密钥之后，所述方法还包括：

所述UE接收所述AN发送的下行协议数据单元，并通过所述空口保护密钥解析所述下行协议数据单元中的目标字段，所述下行协议数据单元中的所述目标字段经过了所述空口保护密钥加密。
根据权利要求48所述的方法，其特征在于，所述通过所述空口保护密钥解析所述下行协议数据单元中的目标字段，包括：

按照预先获取的空口策略定义的规则使用所述空口保护密钥解析所述下行协议数据单元中的目标字段，所述下行协议数据单元中的所述目标字段由所述AN按照预先获取的所述空口策略定义的规则使用所述空口保护密钥保护过，所述空口策略定义了密钥的使用规则。
根据权利要求47～49任一项所述的方法，其特征在于，所述UE通过所述空口保护密钥保护上行协议数据单元PDU中的目标字段，包括：

按照预先获取的空口策略定义的规则使用所述空口保护密钥保护上行协议数据单元中的目标字段，所述AN用于按照预先获取的所述空口策略定义的规则使用所述空口保护密钥解析所述目标字段，所述空口策略定义了密钥的使用规则。
根据权利要求49或50所述的方法，其特征在于，所述方法还包括：

所述UE接收所述AN发送的所述空口策略，所述空口策略由所述AN根据初始安全策略生成，所述初始安全策略定义了目标会话中用到的密钥的生成规则，所述目标会话为所述目标节点与所述UE之间的会话。
根据权利要求47～51任一项所述的方法，其特征在于，所述UE通过所述空口保护密钥保护上行协议数据单元PDU中的目标字段之前，还包括：

所述UE判断所述上行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护；

若否，则所述UE通过所述空口保护密钥保护所述上行协议数据单元；

若是，则所述UE执行所述UE通过所述空口保护密钥保护上行协议数据单元PDU中的目标字段的操作。
根据权利要求47～52任一项所述的方法，其特征在于，所述空口保护密钥包括加密密钥和完整性保护密钥中至少一项。
根据权利要求47～53任一项所述的方法，其特征在于，所述目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。
根据权利要求47～54任一项所述的方法，其特征在于，所述用于标识所述UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求47～55任一项所述的方法，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种数据传输方法，其特征在于，包括：

接入网设备AN接收核心网中管理密钥的设备发送的基础密钥，所述基础密钥为用户设备UE与所述核心网双向认证生成的密钥或者基于所述双向认证生成的密钥推衍出的密钥；所述UE用于按照预设规则处理所述基础密钥以生成空口保护密钥；

所述AN按照所述预设规则处理所述基础密钥以生成空口保护密钥；

所述AN接收所述UE发送的上行协议数据单元，并通过所述空口保护密钥解析所述上行协议数据单元中的目标字段，所述上行协议数据单元中的所述目标字段由所述UE通过所述空口保护密钥保护过，所述目标字段包含用于标识所述UE与目标节点之间的会话的信息，所述目标节点与所述UE之间的会话的数据在传输时需要经过所述AN。
根据权利要求57所述的方法，其特征在于，所述AN按照所述预设规则处理所述基础密钥以生成空口保护密钥之后，所述方法还包括：

所述AN通过所述空口保护密钥保护下行协议数据单元中的目标字段，并将保护了所述目标字段的所述下行协议数据单元发送给所述UE；以使所述UE通过所述空口保护密钥解析所述下行协议数据单元中的所述目标字段。
根据权利要求58所述的方法，其特征在于，所述AN通过所述空口保护密钥保护下行协议数据单元中的目标字段之前，所述方法还包括：

所述AN判断所述下行协议数据单元中的协议数据单元载荷PDU payload字段是否已被保护；

若否，则所述AN通过所述空口保护密钥保护所述下行协议数据单元；

若是，所述AN执行所述通过所述空口保护密钥保护下行协议数据单元中的目标字段的步骤。
根据权利要求58或59所述的方法，其特征在于，所述AN通过所述空口保护密钥保护下行协议数据单元中的目标字段，包括：

按照预先获取的空口策略定义的规则使用所述空口保护密钥保护下行协议数据单元中的目标字段，所述UE用于按照预先获取的所述空口策略定义的规则使用所述空口保护密钥解析所述下行协议数据单元中的所述目标字段，所述空口策略定义了密钥的使用规则。
根据权利要求57～60任一项所述的方法，其特征在于，所述通过所述空口保护密钥解析所述上行协议数据单元中的目标字段，包括：

按照预先获取的空口策略定义的规则使用所述空口保护密钥解析所述上行协议数据单元中的目标字段，所述上行协议数据单元中的所述目标字段为所述UE按照预先获取的所述空口策略定义的规则使用所述空口保护密钥保护过，所述空口策略定义了密钥的使用规则。
根据权利要求60或61所述的方法，其特征在于，所述方法还包括：

所述AN接收来自核心网的初始安全策略，所述初始安全策略定义了目标会话中用到的密钥的生成规则，所述目标会话为所述目标节点与所述UE之间的会话；

所述AN根据所述初始安全策略生成空口策略，并向所述UE发送所述空口策略。
根据权利要求57～62任一项所述的方法，其特征在于，所述空口保护密钥包括加密密钥和完整性保护密钥中至少一项。
根据权利要求57～63任一项所述的方法，其特征在于，所述目标字段包括外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中至少一项。
根据权利要求57～64任一项所述的方法，其特征在于，所述用于标识所述UE与目标节点之间的会话的信息包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求57～65任一项所述的方法，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种数据传输方法，其特征在于，包括：

用户设备UE接收接入网设备AN发送的对应关系信息并根据所述对应关系信息确定目标会话对应目标标识，所述目标标识由所述AN生成，所述目标会话为所述UE与目标节点之间的会话，所述目标会话的数据在传输时需要经过所述AN；

所述UE在所述目标会话的上行协议数据单元PDU中封装所述目标标识并将封装了所述目标标识的上行协议数据单元发送给所述AN；所述AN用于将所述上行协议数据单元中的目标标识替换为参考标识并将替换后的所述上行协议数据单元发送给所述目标节点，所述参考标识用于所述目标节点确认所述上行协议数据单元属于所述目标会话。
根据权利要求67所述的方法，其特征在于，用户设备UE接收接入网设备AN发送的对应关系信息并根据所述对应关系信息确定目标会话对应目标标识之后，所述方法还包括：

所述UE接收所述AN发送的下行协议数据单元并根据所述目标标识确定所述下行协议数据单元属于所述目标会话，所述AN用于在接收到所述目标节点发送的下行协议数据单元时将所述下行协议数据单元中的参考标识替换为所述目标标识，并将替换得到的所述下行协议数据单元发送给所述UE，所述目标节点发送的所述下行协议数据单元包含所述参考标识以表明所述下行协议数据单元属于所述目标会话。
根据权利要求67或68所述的方法，其特征在于，所述参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。
根据权利要求67～69任一项所述的方法，其特征在于，所述参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求67～70任一项所述的方法，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种数据传输方法，其特征在于，包括：

接入网设备AN生成与目标会话对应的目标标识，所述目标会话为用户设备UE与目标节点之间的会话，所述目标会话的数据在传输时需要经过所述AN；

所述AN向所述UE发送对应关系信息，以使所述UE在所述目标会话的上行协议数据单元PDU中封装所述目标标识，所述对应关系信息指示了所述目标会话与所述目标标识的对应关系；

所述AN接收所述UE发送的封装所述目标标识的所述上行协议数据单元；

所述AN将所述上行协议数据单元中的目标标识替换为参考标识并将替换后的所述上行协议数据单元发送给所述目标节点，所述参考标识用于所述目标节点确认所述上行协议数据单元属于所述目标会话。
根据权利要求72所述的方法，其特征在于，所述AN向所述UE发送对应关系信息之后，所述方法还包括：

所述AN接收所述目标节点发送的下行协议数据单元，所述下行协议数据单元包含所述参考标识以表明所述下行协议数据单元属于所述目标会话；

所述AN将所述下行协议数据单元中的参考标识替换为所述目标标识并将替换后的所述下行协议数据单元发送给所述UE，以使所述UE根据所述目标标识确定所述下行协议数据单元属于所述目标会话。
根据权利要求72或73所述的方法，其特征在于，所述参考标识封装于外部IP头outer IP header字段、封装头encapsulation header字段和协议数据单元头PDU header字段中的至少一个字段中。
根据权利要求72～74任一项所述的方法，其特征在于，所述参考标识包括承载标识、流标识、硬件的媒体接入控制标识、会话标识、所述UE的互联网协议地址、所述接入网设备的IP地址、所述接入网设备接入的接入网的接入网标识、所述UE的IP地址、服务质量标识、国际移动用户标识、国际移动设备标识、互联网协议多媒体私有标识、IP多媒体公有标识、临时移动用户标识、所述UE的手机号码和所述UE的全球唯一临时用户设备标识中至少一项。
根据权利要求72～75任一项所述的方法，其特征在于，所述目标节点包括所述核心网中的用户面网关，或者所述核心网中的业务服务器，或者互联网中与所述核心网中的网元建立了通信连接的服务器。
一种存储介质，其特征在于，所述存储介质用于存储指令，所述指令在处理器上运行时使得权利要求47-76任一项所述的方法得以实现。