WO2019062996A1

WO2019062996A1 - 一种安全保护的方法、装置和系统

Info

Publication number: WO2019062996A1
Application number: PCT/CN2018/108904
Authority: WO
Inventors: 李�赫; 陈璟
Original assignee: 华为技术有限公司
Priority date: 2017-09-30
Filing date: 2018-09-29
Publication date: 2019-04-04
Also published as: KR20200060477A; AU2018339744B2; AU2018339744A1; KR102347524B1; US20210266799A1; US11589274B2; JP7074847B2; BR112020006242A2; CN109362108B; EP4221082A3; CN109600803A; JP2020536424A; EP3684024B1; US10952106B2; EP3684024A1; CN109362108A; EP4221082A2; US20230284103A1; CN109600803B; EP3684024A4

Abstract

本申请涉及无线通信技术领域。本申请的实施例提供一种安全保护的方法、装置和系统，用以解决终端切换服务基站的效率低的问题。本申请的方法包括：第一接入网设备接收来自第二接入网设备的用户面信息和安全策略的对应关系；第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法，第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。本申请适用于终端切换服务基站的流程中。

Description

一种安全保护的方法、装置和系统

本申请要求于2017年9月30日提交中国专利局、申请号为201710945254.4、发明名称为“一种安全保护的方法、装置和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及无线通信技术领域，尤其涉及一种安全保护的方法、装置和系统。

背景技术

在通信系统中，如果终端快速移出为自身服务的基站的服务范围时，为了保证终端的会话连续性(例如保证终端正在进行的业务不中断)，原基站会发起终端的切换流程，将终端的服务基站由原基站切换至目标基站，由目标基站继续支持终端正在进行的业务。

在终端的切换流程中，原基站向目标基站发送的切换请求包括终端的安全能力和终端切换过程中基站的密钥(kye in evloved NodeB，KeNB*)。目标基站可根据接收到的终端的安全能力和KeNB*，确定信令面加密算法、信令面完整性保护算法和用户面加密算法，并且目标基站分别生成信令面加密密钥、信令面完整性保护密钥和用户面加密密钥。然后目标基站通过原基站向终端发送切换命令消息，切换命令消息中携带目标基站确定的信令面加密算法、信令面完整性保护算法和用户面加密算法。接着终端根据切换命令消息中携带的算法分别生成信令面加密算法、信令面完整性保护算法以及用户面加密算法，进而终端使用信令面加密算法和信令面完整性保护算法对切换确认消息进行加密，并将加密后的切换确认消息发送给目标基站。

在终端的切换流程中，无论是否需要进行信令面安全保护和用户面安全保护，目标基站都会确定信令面加密算法，信令面完整性保护算法以及用户面加密算法，会增大目标基站的开销，并且会增加目标基站为终端切换作准备的时间，从而降低终端的切换效率。

发明内容

本申请的实施例提供一种安全保护的方法、装置和系统，可以解决终端切换服务基站的效率低的问题。

为了达到上述目的，本申请的实施例采用如下技术方案：

第一方面，本申请的实施例提供一种安全保护的方法，该方法包括：第一接入网设备接收来自第二接入网设备的用户面信息和安全策略的对应关系，然后第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法，第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。本申请实施例的方案中，第一接入网设备可以只确定用户面保护算法，无需开启信令面保护，节省了网络开销。进一步的，若应用于终端切换的场景中，能够减少第一接入网设备为终端切换作准备的时间，从而提高了终端的切换效率。

其中，用户面信息可包括PDU会话标识，QoS参数和切片参数中的任意一项或多项。

用户面信息和安全策略的对应关系的表现形式可以为具有一个对应关系的用户面信息和安全策略的组合。多种用户面信息可以通过一个对应关系对应多种安全策略，例如一组用户面信息和安全策略的对应关系中的用户面信息包括PDU会话标识和QoS参数，安全策略包括安全策略1和安全策略2。或者，一种用户面信息通过一个对应关系对应一种安全策略，例如一组用户面信息和安全策略的对应关系为一个QoS参数和一种安全策略的组合。

作为一个例子，用户面信息和安全策略的对应关系可以为{PDU session ID＝1，NIA＝1，NEA＝2}，表示PDU会话标识为1的会话，使用1号用户面完整性保护算法进行用户面完整性保护，使用2号用户面加密算法进行用户面加密保护。

可选地，本申请实施例的方案可以应用于终端切换服务基站的过程中，第一接入网设备可以为TgNB，第二接入网设备可以为SgNB,在终端切换服务基站的过程中，第一接入网设备可以只确定用户面保护算法，无需开启信令面保护，节省了网络开销，减少了第一接入网为终端切换作准备的时间，从而提高了终端的切换效率。

在一种可能的设计中，第一接入网设备确定第一用户面保护算法为信令面保护算法。

在另一种可能的设计中，第一接入网设备确定信令面保护算法，信令面保护算法包括信令面加密算法和信令面完整性保护算法之一或全部。

在一种可能的设计中，第一接入网设备通过第二接入网设备向终端发送第一指示信息，第一指示信息用于指示第一用户面保护算法与信令面保护算法相同；或者，第一指示信息用于指示第一接入网设备确定的信令面保护算法标识。

通过本申请实施例的方案，第一接入网设备在确定信令面保护算法之后，通知终端可用的信令面保护算法，以便终端及时开启信令面安全保护，对信令面消息进行安全保护，保证了信令面消息的安全性。

在一种可能的设计中，安全策略用于指示开启的安全保护类型，安全保护类型包括用户面加密保护和用户面完整性保护之一或全部；第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法的方法为：第一接入网设备确定安全策略指示开启的安全保护类型对应的第一用户面保护算法。

其中，每个安全保护类型对应一个算法集合。其中一种实现方式为：第一接入网设备中存储了用户面加密算法集合，用户面完整性保护算法集合，第一接入网设备不区分用户面加密算法和信令面加密算法，也不区分用户面完整性保护算法和信令面完整性保护算法，即用户面加密算法集合也可作为信令面加密算法集合，用户面完整性保护算法集合也可作为信令面完整性保护算法集合。另一种实现方式为：第一接入网设备区分用户面加密算法和信令面加密算法，区分用户面完整性保护算法和信令面完整性保护算法，第一接入网设备存储了用户面加密算法集合，用户面完整性保护算法集合，信令面加密算法集合和信令面完整性保护算法集合。上述算法集合均可以以优先级列表的形式存在，优先级列表中的算法按照优先级从高到低的顺序排列。

在另一种可能的设计中，安全策略中包括用户面保护算法标识；所述第一接入网设备根据所述用户面信息和安全策略的对应关系确定用户面保护算法的方法具体为：第一接入网设备确定用户面保护算法标识对应的第二用户面保护算法；若第一接入网设备和终端均支持第二用户面保护算法，则第一接入网设备确定第二用户面保护算法为第一用户面保护算法；或者，若第一接入网设备和终端中的任意一个不支持第二用户面保护算法，则第一接入网设备从第二用户面保护算法所属的安全保护类型对应的安全算法集合中，选择第一接入网设备和终端均支持的第一用户面保护算法。

可选地，安全保护类型对应的安全算法集合可以以优先级列表的形式存在，优先级列表中的算法按照优先级从高到低的顺序排列。

可选地，第一接入网设备还可以接收来自第二接入网设备的终端的安全能力，终端的安全能力中包括终端支持的用户面保护算法，第一接入网设备可从第二用户面保护算法所属的安全保护类型对应的安全算法集合中，选择终端支持的优先级最高的用户面保护算法。

在一种可能的设计中，第一接入网设备根据第一用户面保护算法生成用户面保护密钥，用户面保护密钥包括用户面加密密钥和用户面完整性保护密钥之一或全部。

在一种可能的设计中，第一接入网设备根据所述信令面保护算法生成信令面保护密钥，信令面保护密钥包括信令面加密密钥和信令面完整性保护密钥之一或全部。

在一种可能的设计中，第一接入网设备通过所述第二接入网设备向终端发送经过用户面完整性保护密钥或信令面完整性保护密钥保护的第一消息，第一消息中包括所述第一用户面保护算法。

可选地，若第一接入网设备已经确定了信令面保护算法，第一消息中还可携带信令面保护算法。

在一种可能的设计中，第一接入网设备接收来自终端的经过用户面保护密钥保护的或经过信令面保护密钥保护的第二消息，第二消息为第一消息的响应消息。

在一种可能的设计中，该方法还包括：第一接入网设备向接入和移动性管理功能AMF节点发送用户面信息和安全策略的对应关系，然后第一接入网设备接收来自AMF节点的第二指示信息和安全策略之一或全部，第二指示信息用于指示是否可以使用来自第二接入网设备的安全策略，若第一接入网设备接收到来自AMF节点的安全策略，且来自AMF节点的安全策略与来自第二接入网设备的安全策略不同，则根据来自AMF节点的安全策略重新确定第一用户面保护算法和用户面保护密钥；若第一接入网设备接收到来自AMF节点的第二指示信息，未接收到来自AMF节点的安全策略，且第二指示信息指示第一接入网设备不能使用来自第二接入网设备的安全策略，则第一接入网设备根据默认安全策略重新确定第一用户面保护算法和用户面保护密钥。

本申请实施例提供方案，第一接入网设备可对当前使用的安全策略进行验证，以获取适应第一接入网设备的资源情况的安全策略，如果第二接入网设备被攻击者攻破，并且发送了一个降低安全等级的安全策略给第一接入网设备，使得第一接入网设备根据该安全策略确定的的用户面保护算法的安全能级等级较低，使得使用该用户面保护算法保护的信息可以被轻易破解。因此第一接入网设备使用AMF节点下发的安全策略，可以避免这个漏洞，可以进一步提高安全性。

第二方面，本申请的实施例提供一种安全保护的方法，该方法包括：第二接入网设备获取用户面信息和安全策略的对应关系，第二接入网设备向第一接入网设备发送用户面信息和安全策略的对应关系。

第三方面，本申请的实施例提供一种安全保护的方法，该方法包括：接入和移动性管理功能AMF节点接收来自第二接入网设备的用户面信息，然后AMF节点向会话管理功能SMF节点发送用户面信息，AMF节点接收来自SMF节点的用户面信息对应的安全策略，AMF节点向第一接入网设备发送用户面信息对应的安全策略。

通过本申请实施例的方案，在第二接入网设备与第一接入网设备之间不存在通信接口的情况下，可由第二接入网设备触发AMF节点和SMF节点为第二接入网设备提供用户面信息和安全策略的对应关系，使得终端可以切换至第二接入网设备。

第四方面，本申请的实施例提供一种安全保护的方法，该方法包括：会话管理功能SMF节点接收来自接入和移动性管理功能AMF节点的用户面信息，SMF节点确定所述用户面信息对应的安全策略，SMF节点通过所述AMF节点向第一接入网设备发送所述用户面信息对应的安全策略。

本申请实施例提供方案，SMF节点可通过AMF节点为第一接入网设备的资源情况的安全策略，如果第二接入网设备被攻击者攻破，并且发送了一个降低安全等级的安全策略给第一接入网设备，使得第一接入网设备根据该安全策略确定的的用户面保护算法的安全能级等级较低，使得使用该用户面保护算法保护的信息可以被轻易破解。因此第一接入网设备使用AMF节点下发的安全策略，可以避免这个漏洞，可以进一步提高安全性。

第五方面，本申请实施例提供一种装置，该装置具有实现上述方法设计中第一接入网设备行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如，该装置可以为第一接入网设备，或者可以为第一接入网设备中的芯片。

在一个可能的设计中，该装置为第一接入网设备，第一接入网设备包括处理器，所述处理器被配置为支持第一接入网设备执行上述方法中相应的功能。进一步的，第一接入网设备还可以包括通信接口，所述通信接口用于支持第一接入网设备与第二接入网设备或AMF节点的通信。进一步的，第一接入网设备还可以包括收发器，该收发器用于支持第一接入网设备与终端的通信。进一步的，第一接入网设备还可以包括存储器，所述存储器用于与处理器耦合，其保存第一接入网设备必要的程序指令和数据。

第五方面，本申请实施例提供一种装置，该装置具有实现上述方法设计中第二接入网设备行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如，该装置可以为第二接入网设备，或者可以为第二接入网设备中的芯片。

在一个可能的设计中，该装置为第二接入网设备，第二接入网设备包括处理器，所述处理器被配置为支持第二接入网设备执行上述方法中相应的功能。进一步的，第二接入网设备还可以包括通信接口、发射器和接收器，所述通信接口用于支持第二接入网设备与第一接入网或AMF节点的通信，所述发射器和接收器用于支持第二接入网设备与终端之间的通信。进一步的，第二接入网设备还可以包括收发器，该收发器用于支持该第二接入网设备与终端的通信。进一步的，第二接入网设备还可以包括存储器，所述存储器用于与处理器耦合，其保存第二接入网设备必要的程序指令和数据。

第六方面，本申请实施例提供一种装置，该装置具有实现上述方法设计中AMF节点行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如，该装置可以为AMF节点，或者可以为AMF节点中的芯片。

在一个可能的设计中，该装置为AMF节点，AMF节点包括处理器，所述处理器被配置为支持AMF节点执行上述方法中相应的功能。进一步的，AMF节点还可以包括通信接口，所述通信接口用于支持AMF节点与第一接入网设备、第二接入网设备或SMF节点之间的通信。进一步的，AMF节点还可以包括存储器，所述存储器用于与处理器耦合，其保存AMF节点必要的程序指令和数据。

第七方面，本申请实施例提供一种装置，该装置具有实现上述方法设计中SMF节点行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如，该装置可以为SMF节点，或者可以为SMF节点中的芯片。

在一个可能的设计中，该装置为SMF节点，SMF节点包括处理器，所述处理器被配置为支持SMF节点执行上述方法中相应的功能。进一步的，SMF节点还可以包括通信接口，所述通信接口用于支持SMF节点与AMF节点之间的通信。进一步的，SMF节点还可以包括存储器，所述存储器用于与处理器耦合，其保存SMF节点必要的程序指令和数据。

第八方面，本申请实施例提供一种装置，该装置具有实现上述方法设计中终端行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如，该装置可以为终端，或者可以为终端中的芯片。

在一个可能的设计中，该装置为终端，终端包括处理器，所述处理器被配置为支持终端执行上述方法中相应的功能。进一步地，终端还可以包括发射器和接收器，所述发射器和接收器用于支持终端与接入网设备之间的通信。进一步的，终端还可以包括存储器，所述存储器用于与处理器耦合，其保存终端必要的程序指令和数据。

第九方面，本申请实施例提供一种通信系统，该系统包括上述方面所述的第一接入网设备和第二接入网设备；或者，该系统包括上述方面所述的第一接入网设备、第二接入网设备和AMF节点；或者，该系统包括上述方面所述的第一接入网设备、第二接入网设备、AMF节点以及SMF节点；或者，该系统包括上述方面所述的第一接入网设备、第二接入网设备、AMF节点、SMF节点和终端。

第十方面，本申请实施例提供一种计算机存储介质，用于储存为上述用于第一接入网设备所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

第十一方面，本申请实施例提供一种计算机存储介质，用于储存为上述用于第二接入网设备所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

第十二方面，本申请实施例提供一种计算机存储介质，用于储存为上述用于AMF节点所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

第十三方面，本申请实施例提供一种计算机存储介质，用于储存为上述用于SMF节点所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

第十四方面，本申请实施例提供一种计算机存储介质，用于储存为上述用于终端所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

第十五方面，本申请的实施例提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述第一方面所述的方法。

第十六方面，本申请的实施例提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述第二方面所述的方法。

第十七方面，本申请的实施例提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述第三方面所述的方法。

第十八方面，本申请的实施例提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述第四方面所述的方法。

第十九方面，本申请的实施例提供一种芯片系统，应用于第一接入网设备中，所述芯片系统包括至少一个处理器，存储器和接口电路，所述存储器、所述收发器和所述至少一个处理器通过线路互联，所述至少一个存储器中存储有指令；所述指令被所述处理器执行，以执行上述第一方面所述的方法中所述第一接入网设备的操作。

第二十方面，本申请的实施例提供一种芯片系统，应用于第二接入网设备中，所述芯片系统包括至少一个处理器，存储器和接口电路，所述存储器、所述收发器和所述至少一个处理器通过线路互联，所述至少一个存储器中存储有指令；所述指令被所述处理器执行，以执行上述第二方面所述的方法中所述第二接入网设备的操作。

第二十一方面，本申请的实施例提供一种芯片系统，应用于AMF节点中，所述芯片系统包括至少一个处理器，存储器和接口电路，所述存储器、所述收发器和所述至少一个处理器通过线路互联，所述至少一个存储器中存储有指令；所述指令被所述处理器执行，以执行上述第三方面所述的方法中所述AMF节点的操作。

第二十二方面，本申请的实施例提供一种芯片系统，应用于SMF节点中，所述芯片系统包括至少一个处理器，存储器和接口电路，所述存储器、所述收发器和所述至少一个处理器通过线路互联，所述至少一个存储器中存储有指令；所述指令被所述处理器执行，以执行上述第三方面所述的方法中所述SMF节点的操作。

相比于现有技术，本申请实施例的方案中，在终端切换的过程中，第一接入网设备可以只确定用户面保护算法，无需开启信令面保护，节省了网络开销，减少了第一接入网设备为终端切换作准备的时间，从而提高了终端的切换效率。

附图说明

图1为本申请的实施例提供的一种可能的网络架构的示意图；

图2为本申请的实施例提供的一种安全保护的方法的流程图；

图3为本申请的实施例提供的另一种安全保护的方法的流程图；

图4为本申请的实施例提供的另一种安全保护的方法的流程图；

图5为本申请的实施例提供的另一种安全保护的方法的流程图；

图6为本申请的实施例提供的另一种安全保护的方法的流程图；

图7为本申请的实施例提供的另一种安全保护的方法的流程图；

图8为本申请的实施例提供的另一种安全保护的方法的流程图；

图9为本申请的实施例提供的另一种安全保护的方法的流程图；

图10为本申请的实施例提供的一种装置的示意性框图；

图11为本申请的实施例提供的另一种装置的示意性框图；

图12为本申请的实施例提供的一种接入网设备的结构示意图；

图13为本申请的实施例提供的另一种装置的示意性框图；

图14为本申请的实施例提供的一种AMF节点的结构示意图；

图15为本申请的实施例提供的另一种装置的示意性框图；

图16为本申请的实施例提供的一种SMF节点的结构示意图；

图17为本申请的实施例提供的另一种装置的示意性框图；

图18为本申请的实施例提供的一种终端的结构示意图。

具体实施方式

下面下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中，在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本申请描述的系统架构及业务场景是为了更加清楚的说明本申请的技术方案，并不构成对于本申请提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本申请提供的技术方案对于类似的技术问题，同样适用。

需要说明的是，本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本申请的实施例可以应用于下一代无线通信系统中，例如5G通信系统，如图1所示，图1示出了本申请的一种可能的网络架构示意图，该网络架构中包括：

接入和移动性管理(access and mobility management function，AMF)节点：为负责移动性管理的网元，可以用于实现移动性管理实体(mobility management entity，MME)功能中除会话管理之外的其它功能，例如合法监听，接入授权等功能。

会话管理功能(session management function，SMF)节点：用于为用户面分配会话资源。

鉴权服务功能(authentication server function，AUSF)节点：当AUSF对终端进行鉴权的时候，负责验证传递待认证参数和认证终端的真实性。主要功能包括：接收安全锚点功能(security anchor function，SEAF)节点发送的鉴权请求；选择鉴权方法。

SEAF节点：SEAF节点在现阶段属于AMF节点的一部分，主要负责向AUSF发起鉴权请求，在EPS-AKA*鉴权过程完成网络侧对终端的认证。

用户面功能(user plane function，UPF)节点：为用户面数据的出口，用于连接外部网络。

数据网络(Data Network，DN)：用于提供外部数据的网络，例如因特网(Internet)等。

(无线)接入网((radio)access network，(R)AN)节点：(R)RAN可以采用不同的接入技术。目前的无线接入技术有2种类型：第三代合作伙伴计划(3rd generation partnership project，3GPP)接入技术(例如3G、4G或5G系统中采用的无线接入技术)和非第三代合作伙伴计划(none 3rd generation partnership project，non-3GPP)接入技术。3GPP接入技术是指符合3GPP标准规范的接入技术，采用3GPP接入技术的接入网称为无线接入网(RAN)，其中，5G系统中的接入网设备称为下一代基站节点(next generation node basestation，gNB)。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以wifi接入点(access point，AP)为代表的空口技术。

终端：本申请所称的终端，是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。该终端可以包括各种类型的用户设备(user equipment，UE)、手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、无线数据卡、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、机器类型通信(machine type communication,MTC)的终端设备，工业控制(industrial control)中的终端设备、无人驾驶(self driving)中的终端设备、远程医疗(remote medical)中的终端设备、智能电网(smart grid)中的终端设备、运输安全(transportation safety)中的终端设备、智慧城市(smart city)中的终端设备，以及可穿戴设备(如智能手表，智能手环，计步器等)等等。在采用不同的无线接入技术的系统中，具备相类似无线通信功能的终端的名称可能会有所不同，仅为描述方便，本申请实施例中，上述具有无线收发通信功能的装置统称为终端。

具体地，本申请中的终端中存储有长期密钥和相关函数，终端在与核心网节点(如AMF节点、AUSF节点等)进行双向鉴权时，可使用长期密钥和相关函数对验证网络的真实性。

接入网设备：本申请实施例所涉及到的接入网设备是一种部署在无线接入网中用以为终端提供无线通信功能的装置。例如，接入网设备可以是基站(Base Station，BS)，所述基站可以包括各种形式的宏基站，微基站，中继站，接入点等等。在采用不同的无线接入技术的系统中，具备基站功能的设备的名称可能会有所不同，例如在5G系统中，称为下一代基站节点，在长期演进(Long Term Evolution，LTE)系统中，称为演进的节点B(evolved NodeB，eNB或eNodeB)，在第三代(3rd Generation，3G)通信系统中，称为节点B(Node B)等等。为方便描述，本发明实施例中，上述为终端提供无线通信功能的装置统称为接入网设备。

网络能力开放功能(network exposure function，NEF)节点：主要用于与第三方交互，使第三方可以间接与某些3GPP网络内部的网元进行交互。

网络功能存储(network function repository function，NRF)节点：用于网元间发现，维护网络功能(network function，NF)。

策略控制功能(policy control function，PCF)节点：PCF节点中存储有最新的服务质量(quality of service，QoS)规则，基站可根据SMF节点提供的QoS规则，为用户面传输通道分配合适的资源。

统一的数据管理(unified data management，UDM)节点：用于存储用户的签约信息。

应用功能(application function，AF)节点：AF节点可以位于DN内部，属于部署在第三方的功能网元，此网元主要作用是告知PCF节点最新的第三方企业对于某个应用的业务要求。PCF节点可根据业务要求生成相应的QoS规则，确保网络提供的服务满足第三方所提出的要求。

在现有的流程中，终端在由原基站切换至目标基站的过程中，目标基站会确定信令面加密算法，信令面完整性保护以及用户面加密算法，即目标基站会同时开启用户面安全保护和信令面安全保护。即在终端切换服务基站的流程中，无论是否需要进行信令面安全保护，目标基站都会开启信令面安全保护，确定信令面加密算法以及信令面完整性保护算法，会增大网络开销，并且增加目标基站为终端切换作准备的时间，导致终端的切换效率较低。

为了解决上述问题，在本申请的实施例中，可以实现用户面安全保护的开启过程与信令面安全保护的开启过程之间的解耦，即可以先开启用户面安全保护算法，当需要进行信令面保护的时候再开启信令面安全保护，从而在终端的切换过程中省去了开启信令面安全保护的网络开销，从而能够提高终端的切换效率。

首先，对本申请实施例中涉及到的相关术语进行解释说明。

第一接入网设备，可以为RAN节点，例如可以为5G系统中的下一代基站节点。当本申请的实施例应用于终端切换服务基站的流程中时，第一接入网设备可以为目标下一代基站节点(target next generation node basestation，TgNB)。

第二接入网设备，可以为RAN节点，例如可以为5G系统中的下一代基站节点，当本申请的实施例应用于终端切换服务基站的流程中时，第二接入网设备可以为原下一代基站节点(source next generation node basestation，SgNB)。

以下对本申请提出的技术方案进行详细描述。

如图2所示，本申请的实施例提供一种安全保护的方法，该方法包括：步骤201-203。

步骤201、第二接入网设备获取用户面信息和安全策略的对应关系。

其中，用户面信息可以包括数据包单元(packet data unit，PDU)会话标识，服务质量(quality of service，QoS)参数(比如服务质量数据流标识符(quality of service flow identifier，QFI)),数据无线承载(data radio bearer，DRB)标识和切片参数(比如切片标识)中的任意一项或多项。

安全策略用于指示开启的用户面安全保护类型或者用于指示建议开启的用户面保护算法标识，安全保护类型包括用户面加密保护和用户面完整性保护之一或全部，用户面算法标识可以为用户面加密算法标识和用户面完整性保护算法标识之一或全部，具体地，安全策略中可以携带一个或多个用户面算法标识，例如可以携带至少一种用户面加密算法标识，或者携带至少一种完整性保护算法标识，或者携带至少一种用户面加密算法标识和至少一种用户面完整性保护算法标识。

具体地，用户面信息和安全策略的对应关系的表现形式可以为具有一个对应关系的用户面信息和安全策略的组合，可以将这样的一个组合称为一组用户面信息和安全策略的对应关系。可选地，用户面信息可以通过一个对应关系对应多种安全策略，例如一组用户面信息和安全策略的对应关系中的用户面信息包括PDU会话标识，安全策略包括安全策略1和安全策略2，可以理解为一个PDU会话标识同时对应两个安全策略。再例如，一组用户面信息和安全策略的对应关系中的用户面信息包括DRB标识，安全策略包括安全策略1和安全策略2。或者，一种用户面信息通过一个对应关系对应一种安全策略，例如一组用户面信息和安全策略的对应关系为一个PDU会话标识和一种安全策略的组合。再例如一组用户面信息和安全策略的对应关系为一个DRB标识和一种安全策略的组合。

多组用户面信息和安全策略的对应关系即为多组对应关系，例如，其中一组为PDU会话标识和QoS参数和安全策略1和安全策略2的组合，另一组为QoS参数和安全策略3的组合。

具体地，第二接入网设备根据网络侧的配置信息确定获取一组还是获取多组用户面信息和安全策略的对应关系。比如，以用户面信息和安全策略的对应关系为PDU会话标识和安全策略的组合为例进行说明。若网络侧配置信息为只传输需要切换的会话的PDU会话标识，且当只有一个需要切换的会话时，第二接入网设备只获取一组PDU会话标识和安全策略的组合；当需要切换的会话有多个的时候，则第二接入网设备需要获取每个需要切换的PDU会话标识和安全策略的组合；或者，第二接入网设备根据网络侧配置信息，获取自身保存的所有的PDU会话标识和安全策略的组合。

可选地，第二接入网设备可以只获取一个安全策略，该安全策略适用于所有用户面信息。

可选地，可以用两个比特位信息来代表安全策略指示开启的安全保护类型，例如安全策略为“XY”，X＝0代表不开启用户面加密保护，X＝1代表开启用户面加密保护，Y＝0代表不开启用户面完整性保护，Y＝1代表开启用户面完整性保护。

比如，{PDU session ID＝1，11}表示PDU会话标识为1，该PDU会话标识对应的安全策略为用户面加密保护开启，用户面完整性保护开启。或者，{QFI＝1,11}表示QoS流标识为1的QoS流，该QoS流对应的安全策略为用户面加密保护开启，用户面完整性保护开启。或者，{DRB ID＝1，11}表示DRB标识为1，DRB标识为1的DRB对应的安全策略为用户面加密保护开启，用户面完整性保护开启。

再比如，{PDU session ID＝1，10，DRB ID＝1}表示PDU会话标识为1的会话，正在使用DRB标识为1的DRB，对应的安全策略为开启用户面加密保护，不开启用户面完整性保护。或者，{QFI＝1,10，DRB ID＝1}表示QoS流标识为1的QoS流，正在使用DRB标识为1的DRB，对应的安全策略为开启用户面加密保护，不开启用户面完整性保护。

再比如，{PDU session ID＝2,QFI＝1,01，DRB ID＝2}表示PDU会话标识为2的会话中QFI为1的QoS流，正在使用DRB标识为2的DRB，对应的安全策略为不开启用户面加密保护，开启用户面完整性保护。

再比如，{DRB ID＝1，DRB ID＝2,01}表示DRB标识为1的DRB和DRB标识为2的DRB对应的安全策略为不开启用户面加密保护，开启用户面完整性保护。

可选地，第二接入网设备可确定多组用户面安全信息和用户策略的对应关系，若在终端切换服务基站的流程中，第二接入网设备需获取每个需要切换的PDU会话的PDU会话标识与用户策略的对应关系。例如，多组用户面安全信息和用户策略的对应关系可以为{{PDU session ID＝1，10，DRB ID＝1}，{PDU session ID＝2,QFI＝1,01，DRB ID＝2}}。

可选地，还可以用推荐的算法标识代表安全策略指示开启的用户面保护算法标识。示例性地，用户面信息和安全策略的对应关系可以为{PDU session ID＝1，NIA＝1，NEA＝2}，表示PDU会话标识为1的会话，使用1号用户面完整性保护算法进行用户面完整性保护，使用2号用户面加密算法进行用户面加密保护。可选地，若NIA＝0，则代表不开启用户面完整性保护，若NEA＝0，代表不开启用户面加密保护。在另一个示例中，{PDU session ID＝1，NIA＝1，NIA＝2，NEA＝2，NEA＝1}，表示PDU会话标识为1的会话，优先推荐使用1号用户面完整性保护算法进行用户面完整性保护，其次推荐使用2号用户面完整性保护算法进行用户面完整性保护，优先推荐使用2号用户面加密算法进行用户面加密保护，其次推荐使用1号用户面加密算法进行用户面加密保护。再例如，用户面信息和安全策略的对应关系可以为{DRB ID＝1，NIA＝1，NEA＝2}，表示DRB标识为1的会话，使用1号用户面完整性保护算法进行用户面完整性保护，使用2号用户面加密算法进行用户面加密保护。

可选地，用户面信息和安全策略的对应关系还可以为{PDU session ID＝1，“1111”，NEA＝2}，表示PDU会话标识为1的会话，不开启用户面完整性保护，使用2号用户面加密算法对用户面数据进行加密保护。

再例如，用户面信息和安全策略的对应关系为{PDU session ID＝1，NIA＝1，“1111”}，表示PDU会话标识为1的会话，使用1号用户面完整性保护算法进行用户面完整性保护，不开启用户面加密保护。

其中，“1111”为一种指示信息，用于指示不开启某种保护，若用户面信息和安全策略的对应关系中，应携带用户面加密算法标识的位置为“1111”，则代表不开启用户面加密算法，若应携带用户面完整性保护算法标识的位置为“1111”，则代表不开启用户面完整性保护算法。注意，本发明使用“1111”为示例性，其他类似功能的指示信息均在本发明保护范围内。

步骤202、第二接入网设备向第一接入网设备发送用户面信息和安全策略的对应关系。相应地，第一接入网设备接收来自第二接入网设备的用户面信息和安全策略的对应关系。

其中，第二接入网设备可将步骤201中获取的用户面信息和安全策略的对应关系发送给第一接入网设备。

可选地，第二接入网设备可将一组或多组用户面信息和安全策略的对应关系发送给第一接入网设备。具体地，第二接入网设备发送的用户面信息和安全策略的对应关系的组数和第二接入网设备在步骤201中获取的用户面信息和安全策略的对应关系的组数相同。

在一种可能的方式中，第二接入网设备可以只向第一接入网设备发送安全策略，该安全策略适用于与终端相关的所有用户面信息。

步骤203、第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法。

其中，第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。

可选地，若第一接入网设备接收到的用户面信息和安全策略的对应关系中的安全策略用于指示开启的安全保护类型，则第一接入网设备确定安全策略指示开启的各安全保护类型对应的第一用户面保护算法。

具体地，每个安全保护类型对应一个算法集合。其中一种实现方式为：第一接入网设备中存储了用户面加密算法集合，用户面完整性保护算法集合，第一接入网设备不区分用户面加密算法和信令面加密算法，也不区分用户面完整性保护算法和信令面完整性保护算法，即用户面加密算法集合也可作为信令面加密算法集合，用户面完整性保护算法集合也可作为信令面完整性保护算法集合。另一种实现方式为：第一接入网设备区分用户面加密算法和信令面加密算法，区分用户面完整性保护算法和信令面完整性保护算法，第一接入网设备存储了用户面加密算法集合，用户面完整性保护算法集合，信令面加密算法集合和信令面完整性保护算法集合。

需要说明的是，上述描述的每个算法集合均可以以优先级列表的形式存在，以用户面加密算法集合为例，用户面加密算法集合可以为一个优先级列表，该优先级列表中的用户面加密算法按照优先级从高到低的顺序排列。

若安全策略指示开启的安全保护类型为用户面加密保护，则第一接入网设备从用户面加密算法集合中选择一个加密算法，可选地，可以从用户面加密算法集合中选择终端支持的优先级最高的用户面加密算法，例如，终端支持用户面加密算法1和用户面加密算法3，在用户面加密算法集合中用户面加密算法1的优先级高于用户面加密算法3，则第一接入网设备选择用户面加密算法1。

若安全策略指示开启的安全保护类型为用户面完整性保护，则第一接入网设备从用户面完整性保护算法集合中选择一个用户面完整性保护算法，可选地，可以从用户面完整性算法集合中选择终端支持的优先级最高的用户面完整性保护算法，例如，终端支持用户面完整性保护算法1和用户面完整性保护算法3，在用户面完整性保护算法集合中用户面完整性保护算法1的优先级高于用户面完整性保护算法3，则第一接入网设备选择用户面完整性保护算法1。

若安全策略指示开启的安全保护类型为用户面加密保护和用户面完整性保护，则第一接入网设备从用户面加密算法集合中选择一个用户面加密算法，从用户面完整性保护集合中选择一个用户面完整性保护算法。

示例性地，若第一接入网设备接收到的用户面信息和安全策略的对应关系为{PDU session ID＝1，11}，则第一接入网设备确定需为PDU会话标识为1的会话开启用户面加密保护和用户面完整性保护，进而第一接入网设备从用户面加密算法集合中选择终端支持的优先级最高的用户面加密算法，从用户面完整性保护算法集合中选择终端支持的优先级最高的用户面完整性保护算法。

可选地，若第一接入网设备接收到的用户面信息和安全策略的对应关系中的安全策略包括推荐的用户面保护算法标识，则步骤203具体可以实现为：

第一接入网设备确定用户面保护算法标识对应的第二用户面保护算法；

若第一接入网设备和终端均支持第二用户面保护算法，则第一接入网设备确定第二用户面保护算法为第一用户面保护算法；或者，

若第一接入网设备和终端中的任意一个不支持第二用户面保护算法，则第一接入网设备从第二用户面保护算法所属的安全保护类型对应的安全算法集合中，选择终端支持的优先级最高的第一用户面保护算法。

若推荐的用户面保护算法标识不止一个，则重复上述步骤，分别根据每个推荐的用户面保护算法标识确定出第一用户面保护算法。

可以理解的是，由于安全策略中包括用户面保护算法标识，所以也隐含指示了开启的安全保护类型。

示例性地，第一接入网设备接收到的用户面信息和安全策略的对应关系为{PDU session ID＝1，NIA＝1，NEA＝2}，则第一接入网设备确定需要为PDU会话标识为1的会话开启用户面完整性保护和用户面加密保护。

然后第一接入网设备判断1号用户面完整性保护算法是否满足以下条件：

条件1：1号用户面完整性保护算法为第一接入网设备和终端均支持的的用户面完整性保护算法。

条件2：1号用户面完整性保护算法为第一接入网设备和终端均支持的用户面完整性保护算法，且1号用户面完整性保护算法为第一接入网设备的用户面完整性保护算法集合中，终端支持的优先级最高的用户面完整性保护算法。示例性地，若终端支持1号和3号用户面完整性保护算法,这两个算法均处于用户面完整性保护算法集合中，且在用户面完整性保护算法集合中1号用户面完整性保护算法的优先级高于3号用户面完整性保护算法的优先级，则认为1号用户面完整性保护算法满足条件2。

若1号用户面完整性保护算法满足条件1或满足条件2，则使用1号用户面完整性保护算法，若1号用户面完整性保护算法不满足条件1或不满足条件2，则第一接入网设备从用户面完整性保护算法集合中选择终端支持的优先级最高的用户面完整性算法。

第一接入网设备还可以判断2号用户面加密算法是否满足以下条件：

条件3：2号用户面加密算法为第一接入网设备和终端均支持的用户面加密算法。

条件4：2号用户面加密算法为第一接入网设备和终端均支持的用户面加密算法，且2号用户面加密算法为第一接入网设备的用户面加密算法集合中，终端支持的优先级最高的用户面加密算法。示例性地，若终端支持2号和3号用户面加密算法,这两个算法均处于用户面加密算法集合中，且在用户面加密算法集合中2号用户面加密算法的优先级高于3号用户面加密算法的优先级，则认为2号用户面加密算法满足条件2。

若2号用户面加密算法满足条件3或条件4，则使用2号用户面加密算法，若2号用户面加密算法不满足条件3或不满足条件4，则第一接入网设备从用户面加密算法集合中选择终端支持的优先级最高的用户面加密算法。

再例如，若第一接入网设备接收到的用户面信息和安全策略的对应关系为{PDU session ID＝1，“1111”，NEA＝2}，则第一接入网设备确定需要为PDU会话标识为1的会话开启用户面加密保护，无需开启用户面完整性保护。则第一接入网设备仅需按照上述方法确定用户面加密算法，无需确定用户面完整性保护算法。

可选地，作为本申请的实施例的一种可能的实现方式，第一接入网设备可以忽略接收到的安全策略的具体内容，第一接入网设备可根据预配置的安全策略确定开启的安全保护类型。

示例性地，若第一接入网设备接收到的安全策略指示既不开启用户面加密保护，又不开启用户面完整性保护，预配置的安全策略指示开启用户面加密保护，不开启用户面完整性保护，则第一接入网设备根据预配置的安全策略开启用户面加密保护，从用户面加密算法集合中选择第一接入网设备和终端均支持的优先级最高的用户面加密算法。

需要说明的是，若第一接入网设备接收到多组用户面信息与安全策略的对应关系，则第一接入网设备需分别确定每组用户面信息对应的第一用户面保护算法。

本申请的实施例提供的安全保护的方法，第一接入网设备可以只确定用户面保护算法，无需开启信令面保护，节省了网络开销，从而提高了终端的切换效率。

在本申请实施例的一种可能的实现方式中，在上述步骤203中，第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法，即在步骤203中，第一接入网设备只确定用户面的保护算法，不确定信令面的保护算法。

在本申请实施例的另一种可能的实现方式中，在上述步骤203中，第一接入网设备可根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法，并确定第一用户面保护算法为信令面保护算法。即在步骤203中，第一接入网设备确定一套安全保护算法，既作为用户面保护算法又作为信令面保护算法。可选的，若第一用户面算法为用户面加密算法和用户面完整性保护算法之一，则将确定出的第一用户面算法作为信令面算法，并且进一步的确定出另一种信令面保护算法。比如，若第一用户面算法为用户面加密算法，则用户面加密算法作为信令面加密算法，还需要进一步确定出信令面完整性保护算法。确定方法为第一接入网设备根据终端的安全能力(即终端支持的信令面完整性保护算法)和第二接入网设备预配置的信令面完整性保护算法集合(具有优先级排序的用户面完整性保护算法列表)，确定出信令面完整性保护算法。

作为一种可能的实现方式，第一接入网设备可以在确定第一用户面保护算法之前确定信令面保护算法，即第一接入网设备可以先确定信令面保护算法，确定信令面保护算法之后再确定是否可以将信令面保护算法作为第一用户面保护算法。

在本申请实施例的另一种可能的实现方式中，第一接入网设备在发送信令面消息之前，可以确定信令面保护算法，如图3所示，图3以在确定第一用户面保护算法之后确定信令面保护算法为例进行说明，该方法包括：步骤301-309。

步骤301至步骤303可参考上述步骤201至步骤203中的相关描述，当然本申请不限于此。

可选地，在第一接入网设备确定第一用户面保护算法之后，为了对用户面数据进安全保护，还需生成用户面保护密钥，即需执行步骤304。

步骤304、第一接入网设备根据第一用户面保护算法生成用户面保护密钥。

其中，用户面保护密钥包括用户面加密密钥和用户面完整性保护密钥之一或全部。

若步骤303中，第一接入网设备只确定了用户面加密算法，则用户面保护密钥只包括用户面加密密钥；若第一接入网设备只确定了用户面完整性保护算法，则用户面保护密钥只包括用户面完整性保护密钥；若第一接入网设备既确定了用户面加密算法，又确定了用户面完整性保护算法，则用户面保护密钥既包括用户面加密密钥，又包括用户面完整性保护密钥。

需要说明的是，本申请的实施例不限制步骤304一定在步骤305之前执行，在步骤303第一接入网设备确定第一用户面保护算法之后，可以在需要发送用户面数据时执行步骤304，生成用户面保护密钥，以对用户面数据进行安全保护。

步骤305、第一接入网设备确定信令面保护算法。

其中，信令面保护算法包括信令面加密算法和信令面完整性保护算法之一或全部。

可选地，步骤305的触发时机包括以下几种：

第一种、在第一接入网设备需要发送信令面消息时触发，例如在第一接入网设备需要发送配置消息给终端设备时触发。

第二种、若图2所示的方法应用于终端切换服务基站的过程中，则步骤304可在第一接入网设备发送完用户面数据后触发。

第三种、在第一接入网设备回到暂停(suspend)状态之前触发。

其中，suspend状态是指：在这种状态下，终端和基站保持部分AS上下文，比如生成的密钥和确定的算法。

第四种、在第一接入网设备接收到终端发送的上行信令面数据后触发，例如在终端发起PDU会话请求后触发。

步骤306、第一接入网设备根据信令面保护算法生成信令面保护密钥。

其中，信令面保护密钥包括信令面加密算法和信令面完整性保护算法之一或全部。

若步骤305中，可选地，第一接入网设备只确定了信令面加密算法，则信令面保护密钥只包括信令面加密密钥；可选地，若第一接入网设备只确定了信令面完整性保护算法，则信令面保护密钥只包括信令面完整性保护密钥；可选地，若第一接入网设备既确定了信令面加密算法，又确定了信令面完整性保护算法，则信令面保护密钥既包括信令面加密密钥，又包括信令面完整性保护密钥。

步骤307、第一接入网设备通过第二接入网设备向终端发送经过用户面完整性保护密钥保护的或经过信令面完整性保护密钥保护的第一消息。

其中，第一消息中包括第一用户面保护算法。可选地，第一消息还包括信令面保护算法。

需要说明的是，若第一消息使用用户面完整性保护密钥保护，则步骤307可在步骤305之前执行，本申请对步骤305、306与步骤307之间的执行顺序不作限制。

可选地，第一接入网设备可使用用户面完整性保护密钥对第一消息进行完整性保护；或者第一接入网设备可使用用户面完整性保护密钥对第一消息进行完整性保护；或者，若第一接入网设备既生成了用户面完整性保护密钥，又生成了信令面完整性保护密钥，第一接入网设备可优先使用信令面完整性保护密钥对第一消息进行完整性保护。

如果第一接入网设备未生成信令面完整性保护密钥，且第一接入网设备接收到的安全策略指示不开启用户面完整性保护，则可选地，不对第一消息进行用户面完整性保护，可选地，第一接入网设备可生成一个随机数，使用用户面加密密钥对这个随机数进行加密，并将加密后的随机数携带在第一消息中发送给终端，同时将未加密的随机数发送给终端。可选地，若生成了信令面完整性保护密钥，且第一接入网设备接收到的安全策略指示不开启用户面完整性保护的情况下，则使用信令面完整性保护密钥对第一消息进行完整性保护。

或者，若第一接入网设备既生成了用户面完整性保护密钥，又生成了用户面加密密钥，则第一接入网设备可使用用户面完整性保护密钥对第一消息进行完整性保护，可选地，还可以生成随机数，将经过用户面加密密钥加密的随机数携带在第一消息中发送给终端，同时将未加密的随机数发送给终端。

可选地，第一消息中可携带第一指示信息，第一指示信息用于指示第一用户面保护算法与信令面保护算法相同，具体用于指示重用信令面保护算法为第一用户面保护算法；进一步地，第一接入网设备在收到用户面信息和安全策略的对应关系后，首先确定信令面加密算法和信令面完整性保护算法，再根据安全策略，决定重用哪种信令面保护算法为用户面保护算法。或者，

第一指示信息用于指示第一接入网设备确定的信令面保护算法标识。

可选地，第一指示信息可以不携带在第一消息中，第一接入网设备可通过第二接入网设备向终端发送一条专用消息，专用消息中携带第一指示信息。

可以理解的是，采用上述实施例中描述的任意一种确定信令面保护密钥的方法，第一接入网设备都需要向终端发送第一指示信息，以告知终端第一接入网设备使用的信令面保护算法，使得终端能够对经过信令面保护的消息进行解密。

步骤308、终端接收第一消息。

终端接收到第一消息后，可读取第一消息中的第一用户面保护算法，若第一用户面保护算法中包括用户面完整性保护算法，则终端根据用户面完整性保护算法生成用户面完整性保护密钥，使用用户面完整性保护密钥对第一消息进行用户面完整性验证，若验证不通过，则不再继续执行切换流程，或者执行步骤309。

若第一用户面保护算法中不包括用户面完整性保护算法，包括用户面加密保护算法，则终端可根据用户面加密算法生成用户面加密密钥，可选地，使用用户面加密密钥对第一消息中的随机数进行解密，将解密后的随机数与接收到的未加密的随机数进行对比，若对比结果为两个随机数不同，则不再继续执行切换流程，或者执行步骤309。

若第一消息携带了信令面保护算法，并且使用信令面完整性保护密钥进行完整性保护，则终端根据信令面完整性保护算法生产信令面完整性保护密钥，并使用信令面完整性保护密钥对第一消息进行信令面完整性验证。若验证不通过，则可选地，回复消息给第二接入网设备，指示信令面完整性验证失败，或不再继续执行切换流程。

步骤309、终端向第一接入网设备发送经过用户面保护密钥保护的或经过信令面保护密钥保护的第二消息。相应地，第一接入网设备接收第二消息。

其中，第二消息为第一消息的响应消息。

若步骤308中，终端对第一消息验证成功，则第二消息为第一消息的确认消息，可选地，终端使用第一消息同样的保护方法对第二消息进行保护。即，终端可以使用用户面完整性保护密钥对第二消息进行完整性保护，或者使用信令面完整性保护密钥对第二消息进行信令面完整性保护，或者再生成一个随机数，使用用户面加密密钥对 2个随机数进行加密，并将加密后的2个随机数和未加密的2个随机数放到第二消息中。若终端对第一消息验证失败，则第二消息为错误提示消息。采用本申请实施例提供的方法，第一接入网设备可以再终端的切换流程中只开启用户面保护，当需要发送信令面消息时，才确定信令面保护算法，既提高了终端的切换效率，又保证了信令面消息的安全。

可选地，在图3所示的流程之后，第一接入网设备还需对接收到的来自第二接入网设备的安全策略进行验证，如图4所示，该方法包括：步骤401-404。

步骤401、第一接入网设备向AMF节点发送用户面信息和安全策略的对应关系。相应地，AMF节点接收用户面信息和安全策略的对应关系。

步骤402、AMF节点向第一接入网设备发送第二指示信息和安全策略之一或全部。相应地，第一接入网设备接收第二指示信息和安全策略之一或全部。

第二指示信息用于指示第一接入网设备是否可以继续使用来自第二接入网设备的安全策略。

具体地，AMF节点接收到来自第一接入网设备的用户面信息和安全策略的对应关系后，可选的，首先判断自身是否存储了各用户面信息和安全策略的对应关系，若是，则判断接收到的用户面信息对应的安全策略，是否与自身存储的所述用户面信息对应的安全策略相同，若相同，则代表第一接入网设备可以继续使用来自第二接入网设备的安全策略，则AMF节点可向第一接入网设备发送第二指示信息，第二指示信息用于指示第一接入网设备可以使用来自第二接入网设备的安全策略，或者AMF节点向第一接入网设备发送安全策略，该安全策略和第一接入网设备向AMF节点发送的安全策略相同。

或者，若AMF节点接收到的用户面信息对应的安全策略与自身存储的所述用户面信息对应的安全策略不同，则代表第一接入网设备不可以继续使用来自第二接入网设备的安全策略，则AMF节点向第一接入网设备发送第二指示信息，第二指示信息用于指示第一接入网设备不可以使用来自第二接入网设备的安全策略，或者AMF节点向第一接入网设备发送安全策略，该安全策略为AMF节点中存储的所述用户面信息对应的安全策略。

可选地，若AMF节点未存储各用户面信息和安全策略的对应关系，则AMF节点可将接收到的来自第一接入网设备的用户面信息和安全策略的对应关系转发给SMF节点，由SMF节点判断第一接入网设备是否可以继续使用来自第二接入网设备的用户面信息和安全策略的对应关系，具体的判断方法与AMF节点的判断方法相同，然后AMF节点根据SMF节点的判断结果向第一接入网设备发送第二指示信息和安全策略之一或全部。

步骤403、若第一接入网设备接收到来自所述AMF节点的安全策略，且来自AMF节点的安全策略与来自第二接入网设备的安全策略不同，则根据来自AMF节点的安全策略重新确定第一用户面保护算法和用户面保护密钥。

可选地，若来自AMF节点的安全策略与来自第二接入网设备的安全策略相同，则AMF节点可继续使用来自第二接入网设备的安全策略，无需重新确定第一用户面保护算法和用户面保护密钥。

步骤404、若第一接入网设备接收到来自AMF节点的第二指示信息，未接收到来自AMF节点的安全策略，且第二指示信息指示第一接入网设备不能使用来自第二接入网设备的安全策略，则第一接入网设备根据默认安全策略重新确定第一用户面保护算法和用户面保护密钥。

可选地，若第二指示信息指示第一接入网设备可以使用来自第二接入网设备的安全策略，则第一接入网设备可继续使用来自第二接入网设备的安全策略，无需重新确定第一用户面保护算法和用户面保护密钥。

本申请实施例提供的安全保护的方法，在完成随机接入过程之后，TgNB可对当前使用的安全策略进行验证，以获取适应TgNB的资源情况的安全策略，如果SgNB被攻击者攻破，并且发送了一个降低安全等级的安全策略给TgNB，使得TgNB根据该安全策略确定的的用户面保护算法的安全能级等级较低，使得使用该用户面保护算法保护的信息可以被轻易破解。因此TgNB使用AMF节点下发的安全策略，可以避免这个漏洞，可以进一步提高安全性。

可选地，在第二接入网设备无法直接与第一接入网设备通信的情况下，第二接入网设备可通过AMF节点来确定第一接入网设备，例如，若在终端切换服务基站的流程中，若SgNB与TgNB之间没有直接的通信接口，则SgNB可通过AMF节点来确定TgNB。如图5所示，该方法包括：步骤501-504。

步骤501、第二接入网设备向AMF节点发送用户面信息。相应地，AMF节点接收用户面信息。

步骤502、AMF节点向SMF节点发送所述用户面信息。相应地，SMF节点接收所述用户面信息。

步骤503、SMF节点确定所述用户面信息对应的安全策略。

可选地，SMF节点中存储了或者可以获取到各用户面信息与安全策略的对应关系，SMF接收到所述用户面策略后，可从各用户面信息与安全策略的对应关系中查找所述用户面信息对应的安全策略。

步骤504、SMF节点通过AMF节点向第一接入网设备发送用户面信息对应的安全策略。相应地，第一接入网设备接收用户面信息对应的安全策略。

需要说明的是，第一接入网设备接收到用户面信息对应的安全策略之后的处理流程可参考图2和图3对应的实施例中的处理流程，当然本申请不限于此。

需要说明的是，上述图2至图5对应的实施例描述的方法流程均可应用于终端切换服务基站的过程中，其中，第一接入网设备可以为TgNB，第二接入网设备可以为SgNB，如图6所示，图6以终端切换服务基站的场景对本申请的安全保护方法进行说明，该方法具体包括：步骤601-612。

步骤601、终端向SgNB发送测量报告。相应地，SgNB接收测量报告。

步骤602、SgNB根据测量报告确定需要为终端切换服务基站时，生成下一代基站的密钥(kye in next generation Node Basestation，KgNB*)。

步骤603、SgNB向TgNB发送切换请求(HO request)消息。相应地，TgNB接收切换请求消息。

其中，切换请求消息中包括用户面信息和安全策略的对应关系，还可以包括用户面安全相关参数。

用户面信息包括PDU会话标识、QFI、DRB ID、切片参数中的任意一项或多项。可选地，用户面信息中包括当前需要切换的会话的PDU会话标识，需要切换的会话的QFI，和需要切换的PDU会话中的任意一项或多项对应的DRB ID。或者用于面信息包括终端所有会话的PDU会话标识，并指示需要切换的会话的PDU会话标识。

示例性地，以用户面信息为PDU会话标识为例，每个PDU会话表示对应一个安全策略，安全策略用于指示自身对应的会话是否需要开启用户面加密保护和是否需要开启用户面完整性保护，可选地，安全策略中还可以包括用户面加密保护算法标识和用户面完整性保护算法标识之一或全部。

可选地，切换请求消息中可携带终端的所有PDU会话标识对应的安全策略，也可以只携带需要切换的PDU会话标识对应的安全策略。

示例性地，切换消息中携带的用户面信息和安全策略的对应关系为{{PDU session ID＝1，10，DRB ID＝1}，{PDU session ID＝2,QFI＝1,01，DRB ID＝2}}，表示有两个需要切换的会话，分别为会话1和会话2，会话1使用DRB ID为1的DRB，会话1开启用户面加密保护，不开启用户面完整性保护；会话2中QFI为1的QoS flow使用DRB ID为2的DRB，该QoS flow不开启用户面加密保护，开启用户面完整性保护。

再例如，切换消息中携带的用户面信息和安全策略的对应关系为{PDU session ID＝1，NIA＝1，NEA＝2}表示会话1需要进行切换，会话1使用1号用户面完整性保护算法进行用户面完整性保护，使用2号用户面加密算法进行用户面加密保护。

再例如，终端一共有3个用户面信息与安全策略的对应关系，切换消息中携带这3个用户面信息和安全策略的对应关系，并用1个比特位指示需要切换的用户面信息和安全策略的对应关系，activation bit＝0代表会话不需要切换，activation bit＝1代表会话需要切换，例如，{{PDU session ID＝1，10，DRB ID＝1,activation bit＝0}，{PDU session ID＝2,11,DRB ID＝1，activation bit＝1}，{PDU session ID＝3，01，DRB ID＝2,activation bit＝1}}，代表终端有会话1，会话2和会话3，其中会话2和会话3是需要切换的会话。

为了考虑终端的切换效率，切换请求消息中可以只携带需要切换的用户面信息对应的安全策略，在下文中，均以切换请求消息中只携带需要切换的用户面信息对应的安全策略为例进行说明。

用户面安全相关参数包括终端的安全能力和KgNB*，可选地，还可以包括用于生成密钥的新鲜性参数(例如，序列号，计数器值等)，用于标识当前使用的密钥的密钥标识符等信息。

其中，终端的安全能力包括终端支持的用户面保护算法标识，示例性地，终端的安全能力为终端支持1号用户面加密算法，2号用户面加密算法，3号用户面完整性保护算法，5号用户面完整性保护算法。

步骤604、TgNB确定第一用户面保护算法。

具体地，TgNB可根据用户面信息与安全策略的对应关系、终端的安全能力以及TgNB预配置的安全能力优先级列表确定第一用户面保护算法。

安全能力优先级列表为预配置的列表，信令面和用户面可以共用相同的安全能力优先级列表，也可以分别使用不同的安全能力优先级列表。TgNB中至少包括两个安全能力列表，以用户面和信令面共用安全能力优先级列表为例，TgNB中包括一个加密算法的优先级列表和一个完整性保护算法的优先级列表。示例性地，加密算法的优先级列表为表1，完整性保护的优先级列表为表2，表格中的算法按照优先级从高到低的顺序排列。

表1

加密算法1
加密算法2
加密算法3
加密算法4
加密算法5

表2

完整性保护算法1
完整性保护算法2
完整性保护算法3
完整性保护算法4
完整性保护算法5

若安全策略用于指示开启的安全保护类型，则确定第一用户面保护算法的方法为：

示例性地，用户面信息和安全策略的对应关系为{{PDU session ID＝1，10，DRB ID＝1}，{PDU session ID＝2,QFI＝1,01，DRB ID＝2}}，终端的安全能力为终端支持用户面加密算法1，用户面加密算法2，用户面完整性保护算法3，用户面完整性保护算法5。

首先，TgNB确定会话1需开启用户面加密算法，不开启用户面完整性保护算法，然后根据终端的安全能力确定终端支持的用户面加密算法为用户面加密算法1和用户面加密算法2，进而根据表1确定，用户面加密算法1的优先级比用户面加密算法2的优先级高，即用户面加密算法1为终端和TgNB均支持的优先级最高的用户面加密算法，即TgNB为会话1确定的第一用户面保护算法为用户面加密算法1。

TgNB确定会话2不开启用户面加密算法，开启用户面完整性保护算法，然后根据终端的安全能力确定终端支持的用户面完整性保护算法为用户面完整性保护算法3和用户面完整性保护算法5，进而根据表2确定用户面完整性保护算法3为终端和TgNB均支持的优先级最高的用户面完整性保护算法，即TgNB为会话2确定的第一用户面保护算法为用户面完整性保护算法3。

若安全策略包括用户面保护算法标识，则确定第一用户面保护算法的方法为：

示例性地，用户面信息和安全策略的对应关系为{PDU session ID＝1，NIA＝1，NEA＝2}，

首先，TgNB根据安全策略确定会话1既需要开启用户面加密保护，又需要开启用户面完整性保护，安全策略指示开启的用户面加密算法为用户面加密算法2，安全策略指示开启的用户面完整性保护算法为用户面完整性保护算法1。然后根据终端的安全能力确定终端支持的用户面加密算法为用户面加密算法1和2，终端支持的用户面完整性保护算法为用户面完整性保护算法3和5。可见终端和TgNB均支持安全策略指示的用户面加密算法2，但是终端不支持安全策略指示的用户面完整性保护算法1，所以TgNB需根据终端的安全能力和表2重新选择用户面完整性保护算法，根据表2可确定用户面完整性保护算法3为终端和TgNB均支持的优先级最高的用户面完整性保护算法。即TgNB为会话1确定的第一用户面保护算法为用户面加密算法2和用户面完整性保护算法3。

可选地，若安全策略指示既不开启用户面加密保护，也不开启用户面完整性保护，则可选的，TgNB可根据默认策略确定开启用户面加密保护或开启用户面完整性保护，或者既开启用户面加密保护又开启用户面完整性保护，并确定相应的用户面保护算法。

可选地，TgNB还可以直接忽略接收到的安全策略，根据默认策略确定用户面保护算法。

作为一种可能的实现方式，TgNB可确定一套算法，将这套算法既作为用户面安全算法，又作为控制面安全算法。即在步骤604中，TgNB确定的第一用户面保护算法也可作为信令面保护算法，或者TgNB确定的信令面保护算法也可作为第一用户面保护算法。

步骤605、TgNB根据第一用户面保护算法生成用户面保护密钥。

TgNB可为步骤604中确定的每个用户面保护算法生成用户面保护密钥，示例性地，若TgNB为会话1确定的第一用户面保护算法为用户面加密算法1，为会话2确定的第一用户面保护算法为用户面完整性保护算法3。则TgNB为会话1生成用户面加密算法1对应的用户面加密密钥，为会话2生成户面完整性保护算法3对应的用户面完整性保护密钥。

其中，TgNB可根据密钥衍生函数(key derive function，KDF)、算法ID和KgNB*生成密钥。密钥的生成方法为：密钥＝KDF(算法ID，KgNB*)，或者密钥＝KDF(算法ID，密钥1，其他参数)，或者密钥＝伪随机函数(算法ID，其他参数)，其中，其他参数可以为1个参数，也可以为多个参数，比如其他参数可以为密钥参数，或者其他参数为密钥参数，隔离参数(如会话ID，DRB ID，QFI)，新鲜性参数中的任意一项或多项。此密钥生产方法，不仅适用于终端的切换场景，还适用于任何基站生产密钥的场景。

可选地，若步骤604中TgNB确定了信令面保护算法，则TgNB可根据信令面保护算法生成信令面保护密钥。

步骤606、TgNB向SgNB发送切换请求确认(HO request Ack)消息，相应地，SgNB接收切换请求确认消息。

其中，切换请求确认消息中包括切换命令(HO command)消息，可选的，切换命令消息中包括RRC连接重配置(RRC connection reconfiguration)消息。RRC连接重配置消息用于通知终端目标基站的基本参数，比如目标基站的物理小区ID、目标基站的频率、会话资源等信息。在本申请的实施例中，RRC连接重配置消息用于传递TgNB确定的第一用户面保护算法。可选的，还用于传递信令面算法。且若步骤604中确定的第一用户面保护算法中包括用户面完整性保护算法，则需使用步骤605中生成用户面完整性保护密钥为RRC连接重配置消息进行完整性保护。若步骤604中还确定了信令面完整性保护算法，则无论是否已经确定用户面完整性保护算法，均使用步骤605中生成的信令面完整性密钥为RRC连接重配置消息进行完整性保护。

可选地，一个RRC连接重配置消息中，可包含TgNB接收到的每组用户面信息与安全策略的对应关系，例如，TgNB接收到的用户面信息和安全策略的对应关系为{{PDU session ID＝1，10，DRB ID＝1}，{PDU session ID＝2,QFI＝1,01，DRB ID＝2}}，则TgNB的RRC连接重配置消息中包括会话1和会话2的用户面信息和安全策略的对应关系。

会话1的RRC连接重配置消息中包括TgNB为会话1确定的第一用户面保护算法，以及为会话1分配的会话资源。会话资源可以为DRB ID，若用户面信息和安全策略对应关系中的DRB ID为1的DRB没有被使用，则会话1仍可以使用该DRB，若已经被使用，则TgNB重新为会话1创建一个DRB，并将创建的DRB的DRB标识发送给终端。可选地，若用户信息和安全策略的对应关系中未携带DRB ID，则TgNB重新为会话创建一个DRB。结合步骤604中确定的第一用户面安全算法，会话1的RRC连接重配置消息中包括用户面加密算法1，DRB ID和用于生成KgNB*的信息。同理，会话2的RRC连接重配置消息中包括用户面完整性保护算法3，DRB ID和用于生成KgNB*的信息。

其中，由于会话1对应的安全策略指示不开启用户面完整性保护，则不对会话1的RRC重配置消息进行完整性保护。会话2对应的安全策略指示开启用户面加密保护，所以会话2的RRC连接重配置消息可通过用户面完整性保护算法3对应的用户面完整性保护密钥进行加密。

可选地，TgNB可生成一个随机数Nounce-TgNB，并使用用户面加密算法1对

Nounce-TgNB进行加密，会话1的RRC重配置消息中还包括加密后的Nounce-TgNB和未加密的Nounce-TgNB。

可选地，若步骤604中TgNB确定了信令面保护算法，则TgNB可采用信令面完整性保护密钥对RRC连接重配置消息进行完整性保护，或使用信令面加密密钥对

Nounce-TgNB进行加密。

可选地，RRC连接重配置消息中还包括指示信息，用于指示信令面保护算法与第一用户面保护算法相同，或者用于指示信令面保护算法标识。

步骤607、SgNB向终端发送切换命令消息。相应地，终端接收切换命令消息。

可以理解的是，SgNB接收到切换请求确认消息后，将切换请求确认消息中的切换命令消息转发给终端。

可选地，SgNB接收到切换请求确认消息后，可以向TgNB发送序列号状态信息和待发送给终端的数据，以便于TgNB在建立与终端的通信链路之后向终端转发待发送给终端的数据。

步骤608、终端生成用户面保护密钥。

其中，终端接收到切换命令消息后，从切换命令消息中获取RRC连接重配置消息,若RRC连接重配置消息中包括用户面完整性保护算法，则根据用户面完整性保护算法生成用户面完整性保护密钥，然后使用用户面完整性保护密钥对RRC连接重配置消息进行完整性校验，若校验不通过，则断开与TgNB之间的通信连接或执行步骤609；若校验通过，则生成RRC连接重配置消息中的用户面保护算法对应的用户面保护密钥。

若RRC连接重配置消息中包括加密后的Nounce-TgNB和用户面加密算法，则终端根据用户面加密算法生成用户面加密密钥，使用用户面加密算法对加密后的Nounce-TgNB进行解密，并将解密得到的Nounce-TgNB与切换命令消息中的Nounce-TgNB进行对比，若相同，则终端生成RRC连接重配置消息中的用户面保护算法对应的用户面保护密钥；若不同，则断开与TgNB之间的通信连接，或执行步骤609。

可选地，若RRC连接重配置消息中包括信令面保护算法，则终端根据信令面保护算法生成信令面保护密钥。

步骤609、终端接入TgNB。

其中，终端接入TgNB的过程包括终端向TgNB发送同步请求，TgNB为终端分配时间窗，具体的实现方式可参考现有流程，此处不再赘述。

需要说明的是，若步骤608中终端校验未通过，则不执行步骤609。

步骤610、终端向TgNB发送切换确认(HO confirm)消息。

其中，切换确认消息中包括RRC连接重配置完成(RRC connection reconfiguration complete)消息，该消息用于告知TgNB终端切换成功。

可选地，若步骤608中终端对RRC连接重配置消息校验失败，RRC连接重配置完成消息用于告知TgNB终端切换失败，以及切换失败的原因。

需要说明的是，可选的，若终端在步骤608中生成了用户面加密密钥，则使用用户面加密密钥对RRC连接重配置完成消息进行加密，若生成了用户面完整性保护密钥，则使用用户面完整性保护密钥对RRC连接重配置完成消息进行完整性保护，若终端既生成了用户面加密密钥又生成了用户面完整性保护密钥，则终端可以对RRC连接重配置消息进行其中任意一种保护，或者既使用用户面加密密钥对RRC连接重配置完成消息进行加密，又使用用户面完整性保护密钥对RRC连接重配置完成消息进行完整性保护。

若终端生成了信令面完整性保护密钥，则使用信令面完整性保护密钥对RRC连接重配置完成消息进行完整性保护，若生成了信令面加密密钥，则使用信令面加密密钥对RRC连接重配置完成消息进行加密。若终端既生成了信令面加密密钥又生成了信令面完整性保护密钥，则终端可以对RRC连接重配置消息进行其中任意一种保护，或者既使用信令面完整性保护密钥对RRC连接重配置完成消息进行完整性保护，又使用信令面加密密钥对RRC连接重配置完成消息进行加密。

可选地，终端也可以生成一个随机数Nounce-UE，使用用户面加密密钥对Nounce-UE||Nounce-TgNB进行加密，将加密后的Nounce-UE||Nounce-TgNB和未加密的Nounce-UE携带在RRC连接重配置完成消息中发送给TgNB。

可选地，若终端生成了用户面保护密钥，也可使用用户面保护密钥对RRC连接重配置完成消息进行保护。

步骤611、TgNB接收切换确认消息。

可以理解的是，TgNB接收到切换确认消息后，若切换确认消息中的RRC连接重配置完成消息为密文，则使用用户面加密密钥对RRC连接重配置完成消息进行解密，若RRC连接重配置完成消息为经过用户面完整性保护算法保护的消息，则TgNB使用用户面完整性保护密钥对RRC连接重配置完成消息进行完整性校验。

可选地，若RRC连接重配置完成消息中携带了加密后的Nounce-UE||Nounce-TgNB，则TgNB使用用户面加密密钥对加密后的Nounce-UE||Nounce-TgNB进行解密，从中获取Nounce-UE，并将其与RRC连接重配置完成消息中携带的明文Nounce-UE进行对比，若相同则校验成功。

可选地，若TgNB已经告知了终端信令面保护算法，则TgNB使用信令面保护密钥对RRC连接重配置完成消息进行解密或者完整性校验。

若TgNB对RRC连接重配置完成消息校验成功，且RRC连接重配置完成消息用于告知TgNB终端切换成功，则执行步骤612。

若TgNB对RRC连接重配置完成消息校验失败，或者TgNB对RRC连接重配置完成消息校验成功，但RRC连接重配置完成消息用于告知TgNB终端切换失败，则TgNB断开与终端之间的通信连接，并删除保存的待转发给终端的下行数据。

步骤612、TgNB向终端发送下行数据。

可选地，在上述步骤604中，若TgNB没有将第一用户面保护算法确定为信令面保护算法，或者TgNB没有确定信令面保护算法，则当TgNB需要发送信令面消息时，需确定信令面保护算法，如图7所示，该方法包括：步骤701-717。

步骤701至步骤712可参考步骤601至步骤612中的相关描述，需要说明的是步骤701至步骤712中TgNB未将第一用户面保护算法确定为信令面保护算法，也未生成信令面保护密钥。

713、TgNB确定信令面保护算法。

步骤713的触发时机已在上述步骤305中说明，此处不再赘述。

714、TgNB根据信令面保护算法生成信令面保护密钥。

信令面保护密钥包括信令面加密密钥和信令面完整性保护密钥之一或全部。

可以理解的是，当TgNB发送信令面消息时，可以使用信令面保护密钥对信令面消息进行保护，进而发送使用信令面保护密钥保护的信令面消息。

715、TgNB向终端发送接入层安全模式命令(access stratum security mode command，AS SMC)消息。相应地，终端接收AS SMC消息。

其中，AS SMC消息中携带步骤713中TgNB确定的信令面保护算法标识。

若步骤714中TgNB生成了信令面完整性保护密钥，则TgNB向终端发送的AS SMC消息为经过信令面完整性保护的消息。

716、终端根据AS SMC消息中携带的信令面算法标识生成信令面保护密钥。

其中，终端生成的信令面保护密钥包括信令面加密密钥和信令面完整性保护密钥之一或全部。若AS SMC消息中只携带信令面加密算法标识，则终端根据信令面加密算法标识生成信令面加密密钥；若AS SMC消息中只携带信令面完整性保护算法标识，则终端根据信令面完整性保护算法标识生成信令面完整性保护密钥；AS SMC消息中携带信令面加密算法标识和信令面完整性保护算法标识，则终端根据信令面加密算法标识生成信令面加密密钥，根据信令面完整性保护算法标识生成信令面完整性保护密钥。

可选地，若AS SMC消息中携带信令面完整性保护算法标识，终端可根据生成的信令面完整性保护密钥对AS SMC消息进行完整性验证。

717、终端向TgNB发送安全模式完成(security mode complete，SMP)消息。

可选地，SMP消息为终端使用信令面完整性保护密钥进行完整性保护的消息。

可选地，步骤713至步骤717还可以在步骤710之前执行，若步骤713至步骤717在步骤710之前执行，则在步骤710中，终端向TgNB发送经过信令面完整性保护密钥保护的切换确认消息。

采用本实施例，可以实现用户面保护开启的过程与信令面保护开启的过程解耦，在TgNB不需要发送信令面消息的时候，可以不开启信令面保护，节省了TgNB的网络开销，可以提高终端的切换效率，且在终端切换成功后，若需要传输信令面消息，也可以确定信令面保护算法并生成信令面保护密钥，使用信令面保护密钥对信令面消息进行安全保护，也保证了信令面的安全。

可选地，在本申请实施例的一种可能的实现方式中，在上述步骤611、TgNB接收切换确认消息之后，即完成了终端的切换过程，进一步地，还可以对TgNB当前使用的安全策略进行验证，如图8所示，该方法为对图4对应的实施例的具体说明，该方法包括：步骤801-810。

步骤801、TgNB向AMF节点发送N2路径切换(N2 path switch)消息。相应地，AMF节点接收N2路径切换消息。

其中，N2路径切换消息中包括来自SgNB的用户面信息和安全策略的对应关系。

可选地，若TgNB在确定第一用户面保护算法时未使用用户面信息和安全策略的对应关系，而是使用的默认安全策略，则N2路径切换消息中包括默认安全策略和用户面信息。

可选地，N2路径切换消息中包括会话管理(session management，SM)容器，SM容器中包括来自SgNB的用户面信息和安全策略的对应关系，或者SM容器中包括默认安全策略和用户面信息。其中，只有SMF节点可以读取SM容器中的信息。

步骤802、AMF节点对N2路径切换消息中的安全策略进行验证。

其中，在N2路径切换消息中不携带SM容器，或者SM容器外也包括用户面信息和安全策略的情况下，若AMF节点确定自身存储了各用户面信息和安全策略的对应关系，才会执行步骤802，否则直接执行步骤803。

示例性地，AMF节点中存储的各用户面信息和安全策略的对应关系如表3所示。

表3

用户面信息	安全策略
PDU session ID＝1	NIA1，NEA2
PDU session ID＝2	NIA3，“1111”
PDU session ID＝3	NIA2，NEA1

其中，NIA为用户面完整性保护算法，NEA为用户面加密算法，示例性地，NIA1代表用户完整性保护算法的算法标识为1。其中，“1111”替代了NEA的位置，用于表示不开启用户面加密算法。

若N2路径切换消息中的用户面信息和安全策略的对应关系为{PDU session ID＝1，NIA＝1，NEA＝2}，则AMF节点从表3中查找PDU session ID＝1的安全策略，参考表3，查找到的安全策略为NIA1，NEA2，与{PDU session ID＝1，NIA＝1，NEA＝2} 中的安全策略相同，则验证通过，说明TgNB可继续使用根据该用户面信息和安全策略的对应关系确定的第一用户面保护算法，可执行步骤806告知TgNB验证结果。

若N2路径切换消息中的用户面信息和安全策略的对应关系为{PDU session ID＝2，NIA＝2，NEA＝2}，则AMF节点从表3中查找PDU session ID＝1的安全策略，参考表3，查找到的安全策略为NIA3，“1111”，与{PDU session ID＝2，NIA＝2，NEA＝2}中的安全策略不同，则验证未通过，说明TgNB不可继续使用根据该用户面信息和安全策略的对应关系确定的第一用户面保护算法，需将当前使用的安全策略更新为通过表3查找到的安全策略：NIA3，“1111”，进而可执行步骤806告知TgNB验证结果。

示例性地，AMF节点中存储的各用户面信息和安全策略的对应关系还可以如表4所示。

表4

用户面信息	安全策略
PDU session ID＝1	01
PDU session ID＝2	10
PDU session ID＝3	11

其中，01代表不开启用户面加密保护，开启用户面完整性保护；10代表开启用户面加密保护，不开启用户面完整性保护；11代表开启用户面加密保护，开启用户面完整性保护。

若N2路径切换消息中的用户面信息和安全策略的对应关系为{PDU session ID＝1，11}，而表3中PDU session ID＝1对应的安全策略为01，则验证未通过，说明TgNB不可继续使用根据该用户面信息和安全策略的对应关系确定的第一用户面保护算法，AMF节点需通过步骤806将表3中PDU session ID＝1对应的安全策略01告知TgNB。

步骤803、AMF节点向SMF节点发送会话管理信息请求(SM information request)消息。相应地，SMF节点接收来自AMF节点的SM信息请求消息。

SM信息请求消息中包括终端的身份信息和来自SgNB的用户面信息和安全策略的对应关系，或者包括终端的身份信息，用户面信息和默认安全策略。

可选地，AMF节点可将N2路径切换消息中的SM容器携带在SM信息请求中发送给SMF节点。

步骤804、SMF节点对SM信息请求消息中的安全策略进行验证。

若SM信息请求消息中携带SM容器，则SMF节点从SM容器中读取来自SgNB的用户面信息和安全策略的对应关系，或者用户面信息和默认安全策略。

可选地，SMF节点中存储了各用户面信息和安全策略的对应关系，例如表3或表4。SMF节点对安全策略进行验证的方法与步骤802中AMF节点对安全策略进行验证的方法基本相同，不同之处为SMF节点完成对安全策略的验证之后，将验证结果发送给AMF节点。

步骤805、SMF节点向AMF节点发送SM信息响应(SM information response)消息。

SM信息响应消息中携带步骤804中SMF节点对安全策略的验证结果，具体携带安全策略和第二指示信息之一或全部。

其中，若步骤804中验证成功，则SM信息响应消息中的安全策略为SM信息响应消息中的安全策略，或者，第二指示信息用于指示可以继续使用当前使用的安全策略。示例性地，SM信息响应消息中的安全策略可以为{PDU session ID＝1，NIA＝1，NEA＝2}中的NIA＝1，NEA＝2。

若步骤804中验证失败，则SM信息响应消息中的安全策略为SMF节点根据用户信息重新选取的安全策略，或者第二指示信息用于指示不可以继续使用当前使用的安全策略。示例性地，SM信息响应消息中的安全策略可以为NIA3，“1111”。

可选地，SM信息响应消息中还可以携带安全策略对应的用户面信息。

步骤806、AMF节点向TgNB发送路径切换确认(path switch ack)消息。相应地，TgNB接收路径切换确认消息。

若执行了步骤802，则路径切换确认消息中携带步骤802中AMF节点对安全策略的验证结果，具体携带安全策略和第二指示信息之一或全部。

其中，若步骤802中验证成功，则路径切换确认消息中的安全策略为SM信息请求消息中的安全策略，或者，第二指示信息用于指示可以继续使用当前使用的安全策略。示例性地，路径切换确认消息中的安全策略可以为{PDU session ID＝1，NIA＝1，NEA＝2}中的NIA＝1，NEA＝2。

若步骤802中验证失败，则路径切换确认消息中的安全策略为SMF节点根据用户信息重新选取的安全策略，或者第二指示信息用于指示不可以继续使用当前使用的安全策略。示例性地，路径切换确认消息中的安全策略可以为NIA3，“1111”。

可选地，路径切换确认消息中还可以携带安全策略对应的用户面信息。

若未执行步骤802，则路径切换确认消息中包括SMF节点发送的SM信息响应消息中的内容。

步骤807、TgNB根据接收到的安全策略和第二指示信息之一或全部更新用户面保护算法和用户面保护密钥。

TgNB接收到路径切换确认消息中的安全策略后，判断接收到的安全策略与来自SgNB的安全策略是否相同。若相同，则TgNB无需更新用户面保护算法和用户面保护密钥；若不相同，则根据路径切换确认消息中的安全策略重新选择用户面保护算法，并根据重现选择的用户面保护算法生成用户面保护密钥。

若路径切换确认消息中不携带安全策略，携带第二指示信息，且第二指示信息指示可以继续使用当前使用的安全策略，则TgNB无需更新用户面保护算法和用户面保护密钥；若第二指示信息指示不可以继续使用当前使用的安全策略，则TgNB使用默认安全策略，或者TgNB断开连接，或者TgNB在发送完下行数据后，断开连接。

可选地，TgNB更新用户面保护算法和用户面保护密钥后，需向终端发送信令面消息，若此时还未开启信令面保护，则执行上述步骤713至步骤717，以开启信令面保护。

步骤808、TgNB向终端发送RRC连接重配置消息。相应地，终端接收来自TgNB的RRC连接重配置消息。

其中，RRC连接重配置消息为通过信令面保护密钥保护的消息，RRC连接重配置消息中携带TgNB更新的用户面保护算法或第三指示信息，第三指示信息用于指示终端是否可以继续使用终端目前使用的用户面保护算法。

步骤809、终端根据RRC连接重配置消息中的用户面保护算法生成用户面保护密钥。

可以理解的是，终端可根据信令面保护密钥对RRC连接重配置消息进行安全校验，例如，可根据信令面完整性保护密钥对RRC连接重配置消息进行完整性校验，若校验成功，则可根据RRC连接重配置消息中的用户面保护算法生成用户面保护密钥，后续使用该用户面保护密钥对用户面数据进行加密或解密。

步骤810、终端向TgNB发送RRC连接重配置完成消息。相应地，TgNB接收RRC连接重配置完成消息。

可以理解的是，RgNB接收到RRC连接重配置完成消息，则可确定用户面保护算法更新成功。

可选地，在终端切换的流程中，若SgNB与TgNB没有通信接口，则终端的切换流程如图9所示，该方法包括：步骤901-909。

步骤901、终端向SgNB发送测量报告。相应地，SgNB接收测量报告。

步骤902、SgNB根据测量报告确定需要为终端切换服务基站时，向AMF节点发送切换请求消息。相应地，AMF节点接收切换请求消息。

切换请求消息中包括用户面信息和安全策略的对应关系，还可以包括终端的安全能力。

可选地，切换请求消息中可包括SM容器，SM容器中包括用户面信息和安全策略的对应关系或者只包括安全策略，或者安全策略处于SM容器外，或者SM容器内和SM容器外都包括安全策略。

可选地，若切换请求消息中的SM容器外包括用户面信息和安全策略的对应关系，且AMF节点中存储了各用户面信息和安全策略的对应关系，例如AMF节点中存储了表3，则AMF节点可判断切换请求中的用户面信息对应的安全策略，是否与表3中该用户面信息对应的安全策略相同，则AMF节点可直接将用户面信息对应的安全策略发送给TgNB，若不同，则执行步骤903。

可选地，若切换请求消息中的SM容器外不包括用户面信息和安全策略的对应关系，则执行步骤903。

步骤903、AMF节点向SMF节点发送会话切换请求消息，会话切换请求消息中携带用户面信息。相应地，SMF节点接收会话请求消息。

可选地，会话切换请求消息中还包括用户面信息和安全策略的对应关系，或者还包括步骤902中接收到的SM容器。

步骤904、SMF节点确定会话切换请求消息中的用户面信息对应的安全策略。

SMF节点中存储了，或者可获取各用户面信息和安全策略的对应关系，示例性地，可参考表3或表4，以表3为例，若会话切换请求消息中的用户面信息为PDU session ID＝1，则SMF节点可确定安全策略为NIA1，NEA2(使用用户面完整性保护算法1，使用用户面加密算法2)。

可选地，若SMF节点接收到了用户面信息和安全策略的对应关系，或者接收到了SM容器，SM容器内包含用户面信息和安全策略的对应关系，SMF节点可判断接收到的用户面信息对应的安全策略，是否与表3中的该用户面信息对应的安全策略相同，若相同，则确定后续的终端切换流程中仍可使用来自SgNB中的安全策略，若不同，则确定后续的终端切换流程中使用表3中该用户面信息对应的安全策略。

可选地，SMF节点只接收到了用户面信息，或者接收到了SM容器，SM容器内只包含用户面信息，则SMF节点需要为用户面信息确定安全策略。

可选地，SMF节点收到了用户面信息和安全策略的对应关系，或者接收到了SM容器，SM容器内包含用户面信息和安全策略的对应关系，则SMF节点忽略接收到的安全策略，根据用户面信息重新确定用户面信息对应的安全策略。具体地，SMF节点可通过SMF节点中预配置的或者从其他网元中获取的各用户面信息和安全策略的对应关系确定用户面信息对应的安全策略。

步骤905、SMF节点向AMF节点发送会话切换响应消息。

其中，会话切换响应消息中包括SMF节点确定的用户面信息对应的安全策略。

步骤906、AMF节点向TgNB发送切换请求消息。相应地，TgNB接收切换请求消息。

切换请求消息中包括用户面信息对应的安全策略和终端的安全能力。可选地，若AMF节点接收到了SM容器，还需将SM容器转发给TgNB。

可选地，为了提高终端的切换效率，切换请求消息中可以不包括用户面信息对应的安全策略，只有SM容器中包括来自SgNB的用户面信息对应的安全策略，则TgNB可以暂时使用SM容器中的安全策略。在终端完成切换流程之后，TgNB可在后续的PDU会话流程中请求AMF节点或SMF节点下发新的安全策略，或者在终端发起会话建立或会话修改请求时，SMF为TgNB下发安全策略。

步骤907、TgNB确定第一用户面保护算法，根据第一用户面保护算法生成用户面保护密钥。

需要说明的是，步骤907的具体实现方法与上述步骤604和步骤605中的相关描述相同，此处不再赘述。

步骤908、TgNB向AMF节点发送切换请求确认消息。相应地，AMF节点接收来自TgNB的切换请求确认消息。

步骤909、AMF节点向TgNB发送切换命令消息。相应地，TgNB接收来自AMF节点的切换命令消息。

后续的流程可参考608至步骤612中的相关描述，当然本申请不限于此。

上述主要从不同网元之间交互的角度对本发明实施例提供的方案进行了介绍。可以理解的是，第一接入网设备、第二接入网设备、AMF节点、SMF节点、终端为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本发明中所公开的实施例描述的各示例的单元及算法步骤，本发明实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能，但是这种实现不应认为超出本发明实施例的技术方案的范围。

本发明实施例可以根据上述方法示例对第一接入网设备、第二接入网设备、AMF节点、SMF节点、终端等进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本发明实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元的情况下，图10示出了本发明实施例中提供的一种装置的示意性框图。该装置可以以软件的形式存在，也可以为第一接入网设备，还可以为第一接入网设备中的芯片。该装置1000包括：处理单元1002和第一通信单元1003。处理单元1002用于对装置1000的动作进行控制管理，例如，处理单元1002用于支持装置1000执行图2中的过程203，图3中的过程303至306，图4中的过程403和404，图6中的过程604、605和611，图7中的过程704、705、711、713、714，图8中的过程807，图9中的过程907，和/或用于本文所描述的技术的其它过程。第一通信单元1003用于支持装置1000和其他网元(例如第二接入网设备、AMF节点、SMF节点等)之间的通信。装置1000还可以包括第二通信单元1004，用于支持装置1000与终端之间的通信。装置1000还可以包括存储单元1001，用于存储装置1000的程序代码和数据。

其中，处理单元1002可以是处理器或控制器，例如可以是中央处理器(Central Processing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。第一通信单元1003可以是通信接口，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口，例如可以包括：接入网设备与接入网设备之间的接口、接入网设备与核心网设备之间的接口和/或其他接口。第二通信单元1004可以是收发器或收发电路等。存储单元1001可以是存储器。

在采用集成的单元的情况下，图11示出了本发明实施例中提供的另一种装置的示意性框图。该装置可以以软件的形式存在，也可以为第二接入网设备，也可以为第二接入网设备中的芯片。装置1100包括：处理单元1102、第一通信单元1103和第二通信单元1104。处理单元1102用于对装置1100的动作进行控制管理，例如，处理单元1102用于支持装置1100执行图2中的过程201，图3中行的过程301，图6中的过程602，图7中的过程702，和/或用于本文所描述的技术的其它过程。第一通信单元1103用于支持装置1100和其他接入网设备或AMF节点，SMF节点之间的通信。第二通信单元1104用于支持装置1100与终端之间的通信。装置1100还可以包括存储单元1101，用于存储装置1100的程序代码和数据。

其中，处理单元1102可以是处理器或控制器，例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP 和微处理器的组合等等。第一通信单元1103可以是通信接口，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口，例如可以包括：接入网设备与接入网设备之间的接口、接入网设备与核心网设备之间的接口和/或其他接口。第二通信单元1104可以是收发器或收发电路等。存储单元1101可以是存储器。

当处理单元1002为处理器，第一通信单元1003为通信接口，第二通信单元1004为发射器/接收器，存储单元1001为存储器时，本发明实施例所涉及的装置1000的结构可以是如图12所示的接入网设备的结构。当处理单元1102为处理器，第一通信单元1103为通信接口，第二通信单元1104为发射器/接收器，存储单元1101为存储器时，本发明实施例所涉及的装置1100的结构也可以是如图12所示的接入网设备的结构。

图12示出了本发明实施例提供的接入网设备的一种可能的结构示意图。

接入网设备1200包括处理器1202和通信接口1204。其中，处理器1202也可以为控制器，图12中表示为“控制器/处理器1202”。通信接口1204用于支持接入网设备与其他网元(例如其它接入网设备、AMF节点、SMF节点等)进行通信。进一步的，接入网设备1200还可以包括发射器/接收器1201。所述发射器/接收器1201用于支持接入网设备与上述实施例中的所述终端之间收发信息，以及支持所述终端与其他终端之间进行无线电通信。所述处理器1202执行各种用于与终端通信的功能。在上行链路，来自所述终端的上行链路信号经由天线接收，由接收器1201进行解调(例如将高频信号解调为基带信号)，并进一步由处理器1202进行处理来恢复终端所发送到业务数据和信令信息。在下行链路上，业务数据和信令消息由处理器1202进行处理，并由发射器1201进行调制(例如将基带信号调制为高频信号)来产生下行链路信号，并经由天线发射给终端。需要说明的是，上述解调或调制的功能也可以由处理器1202完成。

例如，当该接入网设备1200为第一接入网设备时，处理器1202还用于执行图2至图9所示方法中涉及第一接入网设备的处理过程和/或本申请所描述的技术方案的其他过程；或者，当该接入网设备1200为第二接入网设备时，处理器1202还用于执行图2、图3、图6、图7和图9所示方法中涉及第二接入网设备的处理过程和/或本申请所描述的技术方案的其他过程。

进一步的，接入网设备1200还可以包括存储器1203，存储器1203用于存储接入网设备1200的程序代码和数据。

可以理解的是，图12仅仅示出了接入网设备1200的简化设计。在实际应用中，接入网设备1200可以包含任意数量的发射器，接收器，处理器，控制器，存储器，通信单元等，而所有可以实现本发明实施例的接入网设备都在本发明实施例的保护范围之内。

在采用集成的单元的情况下，图13示出了本发明实施例中所涉及的另一种装置的一种可能的示例性框图，该装置1300可以以软件的形式存在，也可以为AMF节点，还可以为AMF节点中的芯片。装置1300包括：处理单元1302和通信单元1303。处理单元1302用于对装置1300的动作进行控制管理，例如，处理单元1302用于支持装置1300执行图8中的过程802，和/或用于本文所描述的技术的其它过程。通信单元1303用于支持装置1300与其他网络实体(例如接入网设备、SMF节点)的通信。装置1300 还可以包括存储单元1301，用于存储装置1300的程序代码和数据。

其中，处理单元1302可以是处理器或控制器，例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元1303可以是通信接口、收发器或收发电路等，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口，例如可以包括：AMF节点和接入网设备之间的接口和/或其他接口。存储单元1301可以是存储器。

当处理单元1302为处理器，通信单元1303为通信接口，存储单元1301为存储器时，本发明实施例所涉及的装置1300可以为图14所示的AMF节点。

参阅图14所示，该AMF节点1400包括：处理器1402、通信接口1403、存储器1401。可选的，核心网设备1400还可以包括总线1404。其中，通信接口1403、处理器1402以及存储器1401可以通过总线1404相互连接；总线1404可以是外设部件互连标准(Peripheral Component Interconnect，简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，简称EISA)总线等。所述总线1404可以分为地址总线、数据总线、控制总线等。为便于表示，图14中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在采用集成的单元的情况下，图15示出了本发明实施例中所涉及的另一种装置的一种可能的示例性框图，该装置1500可以以软件的形式存在，也可以为SMF节点，还可以为SMF节点中的芯片。装置1500包括：处理单元1502和通信单元1503。处理单元1502用于对装置1500的动作进行控制管理，例如，处理单元1502用于支持装置1500执行图5中的过程503，图8中的过程804，图9中的过程904，和/或用于本文所描述的技术的其它过程。通信单元1503用于支持装置1500与其他网络实体(例如接入网设备、SMF节点)的通信。装置1500还可以包括存储单元1501，用于存储装置1500的程序代码和数据。

其中，处理单元1502可以是处理器或控制器，例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元1503可以是通信接口、收发器或收发电路等，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口，例如可以包括：SMF节点和接入网设备之间的接口和/或其他接口。存储单元1501可以是存储器。

当处理单元1502为处理器，通信单元1503为通信接口，存储单元1501为存储器时，本发明实施例所涉及的装置1500可以为图16所示的SMF节点。

参阅图16所示，该SMF节点1600包括：处理器1602、通信接口1603、存储器1601。可选的，核心网设备1600还可以包括总线1604。其中，通信接口1603、处理器1602以及存储器1601可以通过总线1604相互连接；总线1604可以是外设部件互连标准(Peripheral Component Interconnect，简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，简称EISA)总线等。所述总线1604 可以分为地址总线、数据总线、控制总线等。为便于表示，图16中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在采用集成的单元的情况下，图17示出了本发明实施例中提供的又一种装置的示意性框图。该装置1700可以以软件的形式存在，也可以为终端，还可以为终端中的芯片。装置1700包括：处理单元1702和通信单元1703。处理单元1702用于对装置1700的动作进行控制管理，例如，处理单元1702用于支持装置1700执行图3中的过程308，图6中的过程608，图7中的过程708，图8中的过程809，和/或用于本文所描述的技术的其它过程。通信单元1703用于支持装置1700和其他网元(例如接入网设备)之间的通信。装置1700还可以包括存储单元1701，用于存储装置1700的程序代码和数据。

其中，处理单元1702可以是处理器或控制器，例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元1703可以是收发器、收发电路或通信接口等。存储单元1701可以是存储器。

当处理单元1702为处理器，通信单元1703为收发器，存储单元1701为存储器时，本发明实施例所涉及的终端可以为图18所示的终端。

图18示出了本发明实施例中所涉及的终端的一种可能的设计结构的简化示意图。所述终端1800包括发射器1801，接收器1802和处理器1803。其中，处理器1803也可以为控制器，图18中表示为“控制器/处理器1803”。可选的，所述终端1800还可以包括调制解调处理器1805，其中，调制解调处理器1805可以包括编码器1807、调制器1807、解码器1808和解调器1809。

在一个示例中，发射器1801调节(例如，模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号，该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上，天线接收上述实施例中基站发射的下行链路信号。接收器1802调节(例如，滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器1805中，编码器1807接收要在上行链路上发送的业务数据和信令消息，并对业务数据和信令消息进行处理(例如，格式化、编码和交织)。调制器1807进一步处理(例如，符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器1809处理(例如，解调)该输入采样并提供符号估计。解码器1808处理(例如，解交织和解码)该符号估计并提供发送给终端1800的已解码的数据和信令消息。编码器1807、调制器1807、解调器1809和解码器1808可以由合成的调制解调处理器1805来实现。这些单元根据无线接入网采用的无线接入技术(例如，LTE及其他演进系统的接入技术)来进行处理。需要说明的是，当终端1800不包括调制解调处理器1805时，调制解调处理器1805的上述功能也可以由处理器1803完成。

处理器1803对终端1800的动作进行控制管理，用于执行上述本发明实施例中由终端1800进行的处理过程。例如，处理器1803还用于执行图3至图6所示方法中涉及终端的处理过程和/或本申请所描述的技术方案的其他过程。

进一步的，终端1800还可以包括存储器1804，存储器1804用于存储用于终端1800的程序代码和数据。

结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read Only Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于核心网接口设备中。当然，处理器和存储介质也可以作为分立组件存在于核心网接口设备中。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络设备上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个功能单元独立存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种安全保护的方法，其特征在于，包括：

第一接入网设备接收来自第二接入网设备的用户面信息和安全策略的对应关系；

所述第一接入网设备根据所述用户面信息和安全策略的对应关系确定所述用户面信息对应的第一用户面保护算法，所述第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备确定所述第一用户面保护算法为信令面保护算法。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备确定信令面保护算法，所述信令面保护算法包括信令面加密算法和信令面完整性保护算法之一或全部。
根据权利要求2或3所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备通过所述第二接入网设备向终端发送第一指示信息，所述第一指示信息用于指示所述第一用户面保护算法与所述信令面保护算法相同；或者，所述第一指示信息用于指示所述第一接入网设备确定的所述信令面保护算法标识。
根据权利要求1-4中任一项所述的方法，其特征在于，所述安全策略用于指示开启的安全保护类型，所述安全保护类型包括用户面加密保护和用户面完整性保护之一或全部；所述第一接入网设备根据所述用户面信息和安全策略的对应关系确定所述用户面信息对应的第一用户面保护算法，包括：

所述第一接入网设备确定所述安全策略指示开启的安全保护类型对应的第一用户面保护算法。
根据权利要求2或3所述的方法，其特征在于，所述安全策略中包括用户面保护算法标识；所述第一接入网设备根据所述用户面信息和安全策略的对应关系确定所述用户面信息对应的第一用户面保护算法，包括：

所述第一接入网设备确定所述用户面保护算法标识对应的第二用户面保护算法；

若所述第一接入网设备和终端均支持所述第二用户面保护算法，则所述第一接入网设备确定所述第二用户面保护算法为所述第一用户面保护算法；或者，

若所述第一接入网设备和终端中的任意一个不支持所述第二用户面保护算法，则所述第一接入网设备从所述第二用户面保护算法所属的安全保护类型对应的安全算法集合中，选择所述第一接入网设备和所述终端均支持的第一用户面保护算法。
根据权利要求1-6中任一项所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备根据所述第一用户面保护算法生成用户面保护密钥，所述用户面保护密钥包括用户面加密密钥和用户面完整性保护密钥之一或全部。
根据权利要求2或3所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备根据所述信令面保护算法生成信令面保护密钥，所述信令面保护密钥包括信令面加密密钥和信令面完整性保护密钥之一或全部。
根据权利要求7或8所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备通过所述第二接入网设备向终端发送经过所述用户面完整性保护密钥或所述信令面完整性保护密钥保护的第一消息，所述第一消息中包括所述第一用户面保护算法。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备接收来自终端的经过所述用户面保护密钥保护的或所述信令面保护密钥保护的第二消息，所述第二消息为所述第一消息的响应消息。
根据权利要求1-10中任一项所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备向接入和移动性管理功能AMF节点发送所述用户面信息和安全策略的对应关系；

若所述第一接入网设备接收到来自所述AMF节点的安全策略，且来自所述AMF节点的安全策略与来自所述第二接入网设备的安全策略不同，则所述第一接入网设备根据来自所述AMF节点的安全策略重新确定第一用户面保护算法和用户面保护密钥。
根据权利要求1-10中任一项所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备向接入和移动性管理功能AMF节点发送所述用户面信息和安全策略的对应关系；

若所述第一接入网设备接收到来自所述AMF节点的第二指示信息，未接收到来自所述AMF节点的安全策略，且所述第二指示信息指示所述第一接入网设备不能使用来自所述第二接入网设备的安全策略，则所述第一接入网设备根据默认安全策略重新确定第一用户面保护算法和用户面保护密钥。
一种安全保护的方法，其特征在于，包括：

第二接入网设备获取用户面信息和安全策略的对应关系；

所述第二接入网设备向第一接入网设备发送所述用户面信息和安全策略的对应关系。
一种安全保护的方法，其特征在于，包括：

接入和移动性管理功能AMF节点接收来自目标接入网设备的用户面信息和安全策略的对应关系；

所述AMF节点向会话管理功能SMF节点发送所述用户面信息和安全策略的对应关系；

所述AMF节点接收来自所述SMF节点的所述SMF节点根据所述用户面信息重新选取的安全策略或者指示信息，所述指示信息用于指示所述目标接入网继续使用当前使用的安全策略；

所述AMF节点向所述目标接入网设备发送所述重新选取的安全策略或者所述指示信息。
一种安全保护的方法，其特征在于，包括：

会话管理功能SMF节点接收来自接入和移动性管理功能AMF节点的用户面信息和安全策略的对应关系；

所述SMF节点判断接收到的用户面信息对应的安全策略，是否与自身存储的所述用户面信息对应的安全策略相同；

若SMF节点接收到的用户面信息对应的安全策略与自身存储的所述用户面信息对应的安全策略不同，则所述SMF节点将自身存储的所述用户面信息对应的安全策略发送给所述AMF节点。
根据权利要求15所述的方法，其特征在于，若SMF节点接收到的用户面信息对应的安全策略与自身存储的所述用户面信息对应的安全策略相同，则所述SMF节点向所述AMF节点发送第二指示信息，所述第二指示信息用于指示继续使用当前使用的安全策略。
一种装置，其特征在于，包括：第一通信单元和处理单元；

所述第一通信单元，用于接收来自第二接入网设备的用户面信息和安全策略的对应关系；

所述处理单元，用于根据所述第一通信单元接收到的所述用户面信息和安全策略的对应关系确定所述用户面信息对应的第一用户面保护算法，所述第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。
根据权利要求17所述的装置，其特征在于，所述处理单元还用于确定所述第一用户面保护算法为信令面保护算法。
根据权利要求17所述的装置，其特征在于，所述处理单元还用于确定信令面保护算法，所述信令面保护算法包括信令面加密算法和信令面完整性保护算法之一或全部。
根据权利要求18或19所述的装置，其特征在于，所述第一通信单元还用于通过所述第二接入网设备向终端发送第一指示信息，所述第一指示信息用于指示所述第一用户面保护算法与所述信令面保护算法相同；或者，所述第一指示信息用于指示所述第一接入网设备确定的所述信令面保护算法标识。
根据权利要求17-20中任一项所述的装置，其特征在于，所述安全策略用于指示开启的安全保护类型，所述安全保护类型包括用户面加密保护和用户面完整性保护之一或全部；所述处理单元具体用于确定所述安全策略指示开启的安全保护类型对应的第一用户面保护算法。
根据权利要求18或19中任一项所述的装置，其特征在于，所述安全策略中包括用户面保护算法标识；所述处理单元具体用于确定所述用户面保护算法标识对应的第二用户面保护算法；若所述装置和终端均支持所述第二用户面保护算法，则所述处理单元确定所述第二用户面保护算法为所述第一用户面保护算法；或者，若所述装置和终端中的任意一个不支持所述第二用户面保护算法，则所述处理单元从所述第二用户面保护算法所属的安全保护类型对应的安全算法集合中，选择所述第一接入网设备和所述终端均支持的第一用户面保护算法。
根据权利要求17-22中任一项所述的装置，其特征在于，所述处理单元还用于根据所述第一用户面保护算法生成用户面保护密钥，所述用户面保护密钥包括用户面加密密钥和用户面完整性保护密钥之一或全部。
根据权利要求18或19所述的装置，其特征在于，所述处理单元还用于根据所述信令面保护算法生成信令面保护密钥，所述信令面保护密钥包括信令面加密密钥和信令面完整性保护密钥之一或全部。
根据权利要求23或24所述的装置，其特征在于，所述第一通信单元，用于通过所述第二接入网设备向终端发送经过所述用户面完整性保护密钥或所述信令面完整性保护密钥保护的第一消息，所述第一消息中包括所述第一用户面保护算法。
根据权利要求25所述的装置，其特征在于，所述装置还包括：第二通信单元；

所述第二通信单元，用于接收来自终端的经过所述用户面保护密钥保护的或所述信令面保护密钥保护的第二消息，所述第二消息为所述第一消息的响应消息。
根据权利要求17-26中任一项所述的装置，其特征在于，所述第一通信单元还用于向接入和移动性管理功能AMF节点发送所述第一通信单元接收到的所述用户面信息和安全策略的对应关系；

所述处理单元还用于，若所述第一通信单元接收到来自所述AMF节点的安全策略，且来自所述AMF节点的安全策略与来自所述第二接入网设备的安全策略不同，则根据来自所述AMF节点的安全策略重新确定第一用户面保护算法和用户面保护密钥。
根据权利要求17-26中任一项所述的装置，其特征在于，所述处理单元还用于，若所述第一通信单元接收到来自所述AMF节点的第二指示信息，未接收到来自所述AMF节点的安全策略，且所述第二指示信息指示所述第一接入网设备不能使用来自所述第二接入网设备的安全策略，则根据默认安全策略重新确定第一用户面保护算法和用户面保护密钥。
一种装置，其特征在于，包括：处理单元和通信单元；

所述处理单元，用于获取用户面信息和安全策略的对应关系；

所述通信单元，用于向第一接入网设备发送所述处理单元获取的所述用户面信息和安全策略的对应关系。
一种装置，其特征在于，包括：处理单元和通信单元；

所述处理单元，用于通过所述通信单元接收来自目标接入网设备的用户面信息和安全策略的对应关系；通过所述通信单元向会话管理功能SMF节点发送所述用户面信息和安全策略的对应关系；通过所述通信单元接收来自所述SMF节点的所述SMF节点根据所述用户面信息重新选取的安全策略或者指示信息，所述指示信息用于指示所述目标接入网设备继续使用当前使用的安全策略；通过所述通信单元向所述目标接入网设备发送所述重新选取的安全策略或者所述指示信息。
一种装置，其特征在于，包括：处理单元和通信单元；

所述通信单元，用于接收来自接入和移动性管理功能AMF节点的用户面信息和安全策略的对应关系；

所述处理单元，用于判断接收到的用户面信息对应的安全策略，是否与自身存储的所述用户面信息对应的安全策略相同；

所述通信单元，还用于若所述通信单元接收到的用户面信息对应的安全策略与自身存储的所述用户面信息对应的安全策略不同，则将自身存储的所述用户面信息对应的安全策略发送给所述AMF节点。
根据权利要求31所述的装置，其特征在于，所述通信单元，还用于若所述通信单元接收到的用户面信息对应的安全策略与自身存储的所述用户面信息对应的安全策略相同，则向所述AMF节点发送指示信息，所述指示信息用于指示继续使用当前使用的安全策略。
一种通信系统，其特征在于，包括如权利要求17至28中任一项所述的装置和如权利要求29所述的装置；或者，包括如权利要求17至28中任一项所述的装置、如权利要求29所述的装置、如权利要求30所述的装置和如权利要求31或32所述的装置。
一种接入设备，其特征在于，包括存储器以及与该存储器耦合的处理器；

所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述接入设备执行上述权利要求1-12所述的方法。
一种接入设备，其特征在于，包括存储器以及与该存储器耦合的处理器；

所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述接入设备执行上述权利要求13所述的方法。
一种接入和移动性管理功能AMF节点，其特征在于，包括存储器以及与该存储器耦合的处理器；

所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述接入设备执行上述权利要求14所述的方法。
一种会话管理功能SMF节点，其特征在于，包括存储器以及与该存储器耦合的处理器；

所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述接入设备执行上述权利要求15或16所述的方法。
一种计算机存储介质，其特征在于，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1-12任意一项所述的方法。
一种计算机存储介质，其特征在于，包括指令，当其在计算机上运行时，使得计算机执行如权利要求13所述的方法。
一种计算机存储介质，其特征在于，包括指令，当其在计算机上运行时，使得计算机执行如权利要求14所述的方法。
一种计算机存储介质，其特征在于，包括指令，当其在计算机上运行时，使得计算机执行如权利要求15或16所述的方法。