WO2020030153A1 - 双连接通信方法及其装置、系统 - Google Patents

Abstract

本申请实施例提供一种双连接通信方法及其装置、系统，其中方法可包括如下步骤：主基站向辅基站发送第一消息，第一消息包括用户面安全策略，该用户面安全策略用于辅基站确定辅基站与用户终端之间的用户面安全保护方法；主基站接收来自辅基站的第二消息，该第二消息包括用户面安全开启类型指示信息，该用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；主基站向用户终端发送第三消息，该第三消息包括该用户面安全开启类型指示信息。采用本申请实施例，可以解决5G双连接场景下，如何开启用户终端与辅基站之间的用户面安全的技术问题，从而可以保证5G双连接场景下用户面数据传输的机密性和完整性。

Description

双连接通信方法及其装置、系统

本申请要求于2018年8月10日提交中国专利局、申请号为201810911030.6、申请名称为“双连接通信方法及其装置、系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，具体涉及双连接通信方法及其装置、系统。

背景技术

随着通信技术的发展，为了满足第五代移动通信(5 ^th-generation，5G)场景下的安全需求，除了沿用长期演进(long term evolution，LTE)系统中的用户面加密保护之外，还引入用户面完整性保护，用户面完整性保护即保护数据在用户面传输过程中的完整性。并且，还引入了用户面按需安全，即用户面加密保护和用户面完整性保护按照是否需要来开启。

目前，在用户终端(例如用户设备(user equipment，UE))与网络节点单连接的场景下，即只有一个网络节点为用户终端服务的场景，开启用户终端与网络节点之间用户面安全的流程可包括：1，会话管理网元将其获取的用户面安全策略发送至网络节点(即基站)，用户面安全策略包括用户面加密保护是需要开启的(required)、倾向开启的(preferred)或不需要开启的(not needed)，以及用户面完整性保护是需要开启的(required)、倾向开启的(preferred)或不需要开启的(not needed)；2，若是需要开启的，则网络节点开启相应保护；若是不需要开启的，则网络节点不需要开启相应保护；若是倾向开启的，则网络节点根据资源是否足够来确定是否开启相应保护；3，网络节点向用户终端发送无线资源控制(radio resource control，RRC)重配置请求消息，该消息携带开用户面保护类型的指示信息，该指示信息用于指示是否开启加密保护，是否开启完整性保护；4，用户终端接收到来自网络节点的RRC重配置消息，根据用户面保护类型的指示信息激活相应的用户面安全，并生成与网络节点相同的保护密钥；5，用户终端向网络节点发送RRC重配置响应消息。

上述开启用户面安全的流程针对5G单连接场景，在5G双连接的场景下，即一个用户终端连接两个网络节点(主基站和辅基站)的场景，如何开启用户终端与辅基站之间的用户面安全保护是亟待解决的技术问题。

发明内容

本申请实施例所要解决的技术问题在于，提供双连接通信方法及其装置、系统，可以解决5G双连接场景下，如何开启用户终端与辅基站之间的用户面安全保护的技术问题，从而可以保证5G双连接场景下用户面数据传输的机密性和完整性。

本申请实施例第一方面提供一种双连接通信方法，包括：

主基站向辅基站发送第一消息，该第一消息包括用户面安全策略，该用户面安全策略用于辅基站确定辅基站与用户终端之间的用户面安全保护方法；

主基站接收来自辅基站的第二消息，该第二消息包括用户面安全开启类型指示信息，该用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；

主基站向用户终端发送第三消息，该第三消息包括该用户面安全开启类型指示信息。

本申请实施例第一方面，主基站向辅基站发送用户面安全策略，辅基站根据用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法，向主基站发送指示辅基站与用户终端之间的用户面安全保护方法的用户面安全开启类型指示信息，主基站向用户终端发送该用户面安全开启类型指示信息，以使用户终端根据该用户面安全开启类型指示信息激活用户终端与辅基站之间的用户面安全保护方法，从而可以开启用户终端与辅基站之间的用户面安全保护，保证5G双连接场景下用户面数据传输的机密性和完整性。

其中，用户面安全策略包括用户面加密保护指示信息和用户面完整性保护指示信息，用户面加密保护指示信息用于指示三种可能的值，分别为not needed、preferred和required，用户面完整性保护指示信息用于指示三种可能的值，分别为not needed、preferred和required。not needed表示不需要激活，即不开启；preferred表示可以激活可以不激活，即可以开启也可以不开启；required表示必须激活，即开启。

在一种可能的实现方式中，主基站向辅基站发送第一消息之前，在辅基站不支持用户面完整性保护的情况下，主基站确定用户面安全策略中的用户面完整性保护指示信息不是开启的，即是“preferred”或“not needed”。

在一种可能的实现方式中，第一消息还包括用户终端的安全能力，用户终端的安全能力指的是用户终端支持哪些加密算法和哪些完整性保护算法。在第一消息中携带用户终端的安全能力，以便辅基站根据其是哪种系统下的基站从用户终端的安全能力中选择辅基站与用户终端之间的将要使用的安全算法。

在一种可能的实现方式中，第二消息还包括辅基站与用户终端之间的安全算法，第三消息还包括辅基站与用户终端之间的安全算法，即辅基站将其选择的安全算法通过主基站告知用户终端，以便用户终端根据辅基站所选择的安全算法对用户面数据进行安全保护或解安全保护。

在一种可能的实现方式中，主基站向辅基站发送第一消息之前，主基站获取用户终端的第一用户面安全策略。其中，第一用户面安全策略为原始的用户面安全策略。用户终端的第一用户面安全策略的粒度可以是分组数据单元(packet data unit，PDU)会话，即不同PDU会话对应不同的用户面安全策略，第一用户面安全策略的粒度还可以是网络切片、服务质量流和数据无线承载等中的一种或多种。

其中，主基站可在建立PDU会话的过程中从核心网网元获取用户终端的用户面安全策略，也可以在基站切换过程中作为目标基站时，从源基站获取用户终端的用户面安全策略。

在一种可能的实现方式中，第一消息还包括用户面安全策略对应的用户面信息，以便用户终端可以知道从主基站和辅基站接收到的用户面数据是同一个PDU会话的。该用户面信息可以包括PDU会话标识，还可以包括网络切片标识、服务质量流标识、5G服务质量流指示符、数据无线承载标识等中的一种或多种。

在一种可能的实现方式中，第一消息所携带的用户面安全策略为用户终端的第一用户面安全策略，即主基站直接将其获取的第一用户面安全策略发送至辅基站，以便辅基站根据第一用户面安全策略生成映射的用户面安全策略，并根据映射的用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法。

在一种可能的实现方式中，第一消息所携带的用户面安全策略为主基站根据用户终端的第一用户面安全策略生成的第二用户面安全策略，主基站向辅基站发送第一消息之前，根据用户终端的第一用户面安全策略，生成第二用户面安全策略。其中，第二用户面安全策略为主基站生成的映射的用户面安全策略。辅基站在接收到第二用户面安全策略的情况下，可直接根据第二用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法。

其中，主基站可根据主基站的能力、辅基站的能力以及第一用户面安全策略生成第二用户面安全策略，使得第二用户面安全策略可以同时被主基站和辅基站使用。其中，主基站或辅基站的能力可以包括是否支持开启用户面加密保护以及是否支持开启用户面完整性保护，资源使用情况，支持的安全算法，当前状态和配置信息等信息中的一种或多种。

在一种可能的实现方式中，在辅基站不支持用户面完整性保护的情况下，当第一用户面安全策略中的用户面完整性保护指示信息为开启时，主基站生成的第二用户面安全策略中的用户面完整性保护指示信息被设置为关闭。

在一种可能的实现方式中，主基站根据第二用户面安全策略确定主基站与用户终端之间的用户面安全保护方法；在用户面安全终结点在辅基站上的情况下，主基站不激活主基站与用户终端之间的用户面安全保护方法，即不根据主基站与用户终端之间的用户面安全保护方法对用户面数据进行安全保护或解安全保护。

在一种可能的实现方式中，主基站接收来自辅基站的第三用户面安全策略，其中，第三用户面安全策略由辅基站根据用户终端的第一用户面安全策略生成的，即第三用户面安全策略为辅基站映射的用户面安全策略。辅基站将其映射的用户面安全策略告知主基站，以便主基站获知辅基站与用户终端之间的用户面安全保护方法。主基站在获知辅基站与用户终端之间的用户面安全保护方法可将主基站与用户终端之间的用户面安全保护方法设置为与辅基站与用户终端之间的用户面安全保护方法相同。

在一种可能的实现方式中，主基站在接收到来自辅基站的第三用户面安全策略的情况下，可向接入管理网元发送第三用户面安全策略，该第三用户面安全策略可以指示辅基站与用户终端之间的用户面安全保护方法，以便接入管理网元获知用户面安全开启结果。

在一种可能的实现方式中，主基站可根据用户面安全开启类型指示信息确定第三用户面安全策略，并向接入管理网元发送第三用户面安全策略，以便接入管理网元获知用户面安全开启结果。

在一种可能的实现方式中，主基站接收来自用户终端的上行用户面数据，其中上行用户面数据为用户终端根据用户终端与辅基站之间的用户面安全保护方法进行安全保护后的数据，并向辅基站发送上行用户面数据，以便辅基站在接收到该上行用户面数据时，根据辅基站与用户终端之间的用户面安全保护方法对其进行解安全保护。

本申请实施例第二方面提供一种主基站，该主基站具有实现第一方面提供方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的实现方式中，该主基站包括：收发单元，用于向辅基站发送第一消息，该第一消息包括用户面安全策略，该用户面安全策略用于辅基站确定辅基站与用户终端之间的用户面安全保护方法；还用于接收来自辅基站的第二消息，该第二消息包括用户面安 全开启类型指示信息，该用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；还用于向用户终端发送第三消息，该第三消息包括该用户面安全开启类型指示信息。该主基站还可以包括处理单元，用于生成第二用户面安全策略。

在一种可能的实现方式中，该主基站包括：处理器、收发器和存储器，其中，存储器中存储计算机程序，计算机程序包括程序指令，处理器被配置用于调用程序代码，执行以下操作：向辅基站发送第一消息，该第一消息包括用户面安全策略，该用户面安全策略用于辅基站确定辅基站与用户终端之间的用户面安全保护方法；接收来自辅基站的第二消息，该第二消息包括用户面安全开启类型指示信息，该用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；向用户终端发送第三消息，该第三消息包括该用户面安全开启类型指示信息。该主基站还可以包括处理单元，用于生成第二用户面安全策略。

基于同一发明构思，由于该主基站解决问题的原理以及有益效果可以参见第一方面所述的方法以及所带来的有益效果，因此该装置的实施可以参见方法的实施，重复之处不再赘述。

本申请实施例第三方面提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

本申请实施例第四方面提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

本申请实施例第五方面提供一种双连接通信方法，包括：

辅基站接收来自主基站的第一消息，该第一消息包括用户面安全策略；

辅基站根据用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法；

辅基站激活辅基站与用户终端之间的用户面安全保护方法；

辅基站向主基站发送第二消息，第二消息包括用户面安全开启类型指示信息，用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法。

本申请实施例第五方面，辅基站根据用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法，并激活辅基站与用户终端之间的用户面安全保护方法，向主基站发送用于指示辅基站与用户终端之间的用户面安全保护方法的用户面安全开启类型指示信息，以便主基站向用户终端发送该用户面安全开启类型指示信息，从而可以开启用户终端与辅基站之间的用户面安全，保证5G双连接场景下用户面数据传输的机密性和完整性。

在一种可能的实现方式中，第一消息还包括用户终端的安全能力，辅基站可以根据用户终端的安全能力选择辅基站与用户终端之间的安全算法。

在一种可能的实现方式中，第二消息还包括辅基站与用户终端之间的安全算法，以便主基站将辅基站与用户终端之间的安全算法告知用户终端，以使用户终端可以根据辅基站与用户终端之间的安全算法进行安全保护或解安全保护。

在一种可能的实现方式中，第一消息还包括用户面安全策略对应的用户面信息，以便用户终端可以知道从主基站和辅基站接收到的用户面数据是同一个PDU会话的。

在一种可能实现的方式中，辅基站激活辅基站与用户终端之间的用户面安全保护方法，可包括：辅基站根据辅基站与用户终端之间的用户面安全保护方法、辅基站与用户终端之 间的安全算法以及辅基站与用户终端之间的安全密钥激活辅基站与用户终端之间的用户面安全保护方法。

在一种可能实现的方式中，辅基站生成辅基站与用户终端之间的安全密钥，辅基站使用辅基站与用户终端之间的用户面安全保护方法、辅基站与用户终端之间的安全算法以及辅基站与用户终端之间的安全密钥激活辅基站与用户终端之间的用户面安全保护方法。

在一种可能实现的方式中，用户面安全策略为用户终端的第一用户面安全策略，即主基站在获取到用户终端的第一用户面安全策略时，直接将其发送至辅基站，辅基站根据第一用户面安全策略生成第三用户面安全策略；根据第三用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法。其中，第三用户面安全策略为辅基站生成的映射的用户面安全策略。

其中，辅基站可根据辅基站的能力、主基站的能力以及第一用户面安全策略生成第三用户面安全策略。

在一种可能实现的方式中，辅基站向主基站发送辅基站生成的第三用户面安全策略，以便主基站获知辅基站与用户终端之间的用户面安全保护方法。

在一种可能实现的方式中，用户面安全策略为第二用户面安全策略，第二用户面安全策略为主基站根据用户终端的第一用户面安全策略生成的映射的用户面安全策略，辅基站根据第二用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法。

在一种可能实现的方式中，辅基站分别接收来自主基站以及用户终端的第一上行用户面数据和第二上行用户面数据；其中，第一上行用户面数据和第二用户面数据为用户终端根据用户终端与辅基站之间的用户面安全保护方法进行安全保护后的用户面数据；辅基站对第一上行用户面数据和第二用户面数据进行解安全保护，得到解安全保护后的用户面数据，并向用户面网元发送解安全保护后的用户面数据，从而实现用户终端与辅基站之间的用户面安全保护。

本申请实施例第六方面提供一种辅基站，该辅基站具有实现第五方面提供方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的实现方式中，该辅基站包括收发单元和处理单元，收发单元，用于接收来自主基站的第一消息，该第一消息包括用户面安全策略；处理单元，用于根据用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法，激活辅基站与用户终端之间的用户面安全保护方法；收发单元，还用于向主基站发送第二消息，该第二消息包括用户面安全开启类型指示信息，该用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法。

在一种可能的实现方式中，该辅基站包括：处理器、收发器和存储器，其中，存储器中存储计算机程序，计算机程序包括程序指令，处理器被配置用于调用程序代码，执行以下操作：接收来自主基站的第一消息，该第一消息包括用户面安全策略；根据用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法，激活辅基站与用户终端之间的用户面安全保护方法；向主基站发送第二消息，该第二消息包括用户面安全开启类型指示信息，该用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方 法。

基于同一发明构思，由于该辅基站解决问题的原理以及有益效果可以参见第五方面所述的方法以及所带来的有益效果，因此该装置的实施可以参见方法的实施，重复之处不再赘述。

本申请实施例第七方面提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第五方面所述的方法。

本申请实施例第八方面提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第五方面所述的方法。

本申请实施例第九方面提供一种双连接通信方法，包括：

用户终端接收来自主基站的第三消息，该第三消息包括用户面安全开启类型指示信息和辅基站选择的安全算法，用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；

用户终端根据用户面安全开启类型指示信息和辅基站选择的安全算法，激活与辅基站之间的用户面安全保护方法；

用户终端根据用户终端与辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护。

本申请实施例第九方面，用户终端通过接收来自主基站的用户面安全开启类型指示信息和辅基站选择的安全算法，获知用户终端与辅基站之间的用户面安全保护方法以及用户终端与辅基站之间的安全算法，激活用户终端与辅基站之间的用户面安全保护方法，以开启用户终端与辅基站之间的用户面安全保护，从而可以保证5G双连接场景下用户面数据传输的机密性和完整性。

在一种可能的实现方式中，用户终端生成用户终端与辅基站之间的安全密钥，根据用户面安全开启类型指示信息、辅基站选择的安全算法以及用户终端与辅基站之间的安全密钥，激活与辅基站之间的用户面安全保护方法。

在一种可能的实现方式中，用户终端根据用户终端与辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护，包括：用户终端分别向辅基站以及主基站发送第一上行用户面数据和第二上行用户面数据；其中，第一上行用户面数据和第二用户面数据为用户终端根据用户终端与辅基站之间的用户面安全保护方法进行安全保护后的用户面数据。

本申请实施例第十方面提供一种用户终端，该用户终端具有实现第九方面提供方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的实现方式中，该用户终端包括收发单元和处理单元，收发单元，用于接收来自主基站的第三消息，该第三消息包括用户面安全开启类型指示信息和辅基站选择的安全算法，用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；处理单元，用于根据用户面安全开启类型指示信息和辅基站选择的安全算法，激活与辅基站之间的用户面安全保护方法；处理单元，还用于根据用户终端与辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护。

在一种可能的实现方式中，该用户终端包括：处理器、收发器和存储器，其中，存储 器中存储计算机程序，计算机程序包括程序指令，处理器被配置用于调用程序代码，执行以下操作：接收来自主基站的第三消息，该第三消息包括用户面安全开启类型指示信息和辅基站选择的安全算法，用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；根据用户面安全开启类型指示信息和辅基站选择的安全算法，激活与辅基站之间的用户面安全保护方法；根据用户终端与辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护。

基于同一发明构思，由于该用户终端解决问题的原理以及有益效果可以参见第九方面所述的方法以及所带来的有益效果，因此该装置的实施可以参见方法的实施，重复之处不再赘述。

本申请实施例第十一方面提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第九方面所述的方法。

本申请实施例第十二方面提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第九方面所述的方法。

本申请实施例第十三方面提供一种双连接通信系统，包括主基站和辅基站；

主基站，用于向辅基站发送第一消息，第一消息包括用户面安全策略；

辅基站，用于接收主基站发送的第一消息，根据用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法；向主基站发送第二消息，第二消息包括用户面安全开启类型指示信息，用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；

主基站，还用于接收来自辅基站发送的第二消息，并向用户终端发送第三消息，第三消息包括用户面安全开启类型指示信息。

本申请实施例第十三方面提供的双连接通信系统，可以开启用户终端与辅基站之间的用户面安全保护，从而可以保证5G双连接场景下用户面数据传输的机密性和完整性。

在一种可能的实现方式中，该系统还包括用户终端；

用户终端，用于接收来自主基站的第三消息，该第三消息包括用户面安全开启类型指示信息和辅基站选择的安全算法，用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；

用户终端，还用于根据用户面安全开启类型指示信息和辅基站选择的安全算法，激活与辅基站之间的用户面安全保护方法；

用户终端，还用于根据用户终端与辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护。

在一种可能的实现方式中，在辅基站不支持用户面完整性保护的情况下，主基站，还用于确定用户面安全策略中的用户面完整性保护指示信息为不开启。

在一种可能的实现方式中，主基站，还用于获取用户终端的原始的用户面安全策略；根据原始的用户面安全策略生成映射的用户面安全策略；其中，第一消息中包括的用户面安全策略为主基站映射的用户面安全策略。

在一种可能的实现方式中，第一消息中包括的用户面安全策略为主基站根据第一用户面安全策略生成的映射的用户面安全策略。

在一种可能的实现方式中，该系统还包括用户面网元；

主基站，还用于接收来自用户终端发送的第一上行用户面数据，并将第一上行用户面数据发送给辅基站；

辅基站，还用于接收来自用户终端发送的第二上行用户面数据以及主基站发送的第一用户面上行数据；对第一上行用户面数据和第二用户面数据进行解安全保护，得到解安全保护后的用户面数据；向用户面网元发送解安全保护后的用户面数据；其中，第一上行用户面数据和第二用户面数据为用户终端根据用户终端与辅基站之间的用户面安全保护方法进行安全保护后的用户面数据。

在一种可能的实现方式中，该系统还包括接入管理网元；

主基站，还用于向接入管理网元发送第三用户面安全策略，该第三用户面安全策略为辅基站生成的映射的用户面安全策略，或该第三用户面安全策略为主基站根据用户面安全开启类型指示信息所确定的用户面安全策略。

附图说明

为了更清楚地说明本申请实施例或背景技术中的技术方案，下面将对本申请实施例或背景技术中所需要使用的附图进行说明。

图1为LTE双连接通信的流程示意图；

图2为应用本申请实施例的网络架构示意图；

图3a为应用本申请实施例的一种5G双连接架构示意图；

图3b为应用本申请实施例的另一种5G双连接架构示意图；

图4为本申请实施例一提供的双连接通信方法的流程示意图；

图5为本申请实施例二提供的双连接通信方法的流程示意图；

图6为本申请实施例提供的双连接通信装置的逻辑结构示意图；

图7为本申请实施例提供的双连接通信装置的实体结构简化示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

此外，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施 例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

下面将对本申请实施例涉及的名称或术语进行介绍：

主基站(master Node，MN)，在双连接场景下，将发起双连接的基站称为主基站，也可以称为主网络节点、第一基站或第一网络节点。

辅基站(secondary Node，SN)，在双连接场景下，将主基站选择的另一个协同为用户终端服务的基站称为辅基站，也可以称为从基站、辅网络节点、从网络节点、第二基站或第二网络节点。

用户面安全策略，包括用户面加密保护指示信息和用户面完整性保护指示信息。用户面加密保护指示信息用于指示三种可能的值，分别为not needed、preferred和required，用户面完整性保护指示信息用于指示三种可能的值，分别为not needed、preferred和required。其中，not needed表示不需要激活，preferred表示可以激活可以不激活，required表示必须激活。上述三种可能的值可以采用2比特(bit)来指示，例如00指示不需要激活，01指示可以激活可以不激活，11指示必须激活。用户面加密保护指示信息和用户面完整性保护指示信息具体采用何种方式对三种可能的值进行指示，在本申请实施例中不作限定。

用户面加密保护即保护数据在传输过程中的机密性(因此又可以被称作用户面机密性保护)，用户面完整性保护即保护数据在用户面传输过程中的完整性。机密性是指无法被直接看出真实内容，完整性是指数据是原始的没有被窜改的。

用户面安全保护方法，指的是用户终端侧、主基站侧或辅基站侧的用户面加密保护是否开启以及用户面完整性保护是否开启。例如，辅基站可结合用户面安全策略和辅基站所配置的用户面安全保护方法来确定辅基站的用户面安全保护方法，假设辅基站所配置的用户面安全保护方法为开启用户面加密保护，不开启用户面完整性保护，若用户面安全策略所包括的用户面加密保护指示信息为“required”，则开启用户面加密保护，辅基站确定出其用户面安全保护方法为开启用户面加密保护，不开启用户面完整性保护；若用户面安全策略所包括的用户面加密保护指示信息为“not needed”，则不开启用户面加密保护，辅基站确定出其用户面安全保护方法为不开启用户面加密保护，不开启用户面完整性保护；若用户面安全策略所包括的用户面加密保护指示信息为“preferred”，则辅基站根据某些条件判断是否开启用户面加密保护，例如在辅基站资源充足的情况下，可以开启用户面加密保护。

用户面安全开启类型指示信息，用于基站侧指示终端侧用户面加密保护是否开启以及用户面完整性保护是否开启，例如，用于指示用户面加密保护开，用户面完整性保护关。用户面安全开启类型指示信息可以采用2比特位来指示，1个比特位指示加密保护是开启还是不开启，另外一个比特位指示完整性保护开启还是不开启。

安全算法，可以包括用户面使用的安全算法和信令面使用的安全算法。用户面使用的安全算法用于保护用户面数据，可以包括用户面加密算法和用户面完整性算法。信令面使用的安全算法用于保护信令，可以包括信令面加密算法和信令面完整性算法。用户面使用的安全算法与信令面使用的安全算法可以相同，也可以不相同。相同的具体含义是，如果用户面完整性保护开启，则用户面使用的完整性算法和信令面使用的完整性算法相同；如 果用户面加密保护开启，则用户面使用的加密算法和信令面使用的加密算法相同。信令面使用的安全算法和用户面使用的安全算法有不一样的即不同，例如用户面使用加密算法为加密算法A，信令面使用的加密算法为加密算法B，但是用户面和信令面都使用完整性算法C，此时用户面使用的安全算法和信令面使用的安全算法不相同。

安全密钥，可以包括保护用户面数据的密钥和保护信令面的密钥。其中，保护用户面数据的密钥用于保护用户面数据，可以包括用户面加密密钥和用户面完整性保护密钥。保护信令面的密钥用于保护信令，例如可以是保护RRC信令的密钥，保护RRC信令的密钥可以包括保护RRC信令的完整性保护密钥和加密密钥。

安全保护，对于执行安全功能的节点而言，用户面/信令面安全算法和保护用户面/信令面数据的密钥一起用于保护用户面数据。具体地，使用加密密钥和加密算法对用户面/信令面数据进行加密保护；使用完整性保护密钥和完整性保护算法对用户面/信令面数据进行完整性保护。本发明实施例不限定加密保护和完整性保护的顺序关系，即可以先对用户面/信令面数据进行加密保护，再做完整性保护；也可以先对用户面/信令面进行完整性保护，再对用户面/信令面数据进行加密保护。当然，用户面和信令面可以不使用相同的执行顺序。

解安全保护，对于执行安全功能的节点而言，用户面/信令面安全算法和保护用户面/信令面数据的密钥一起用于获得原始的用户面数据。具体地，使用加密密钥和加密算法对加密的用户面/信令面数据进行解密；使用完整性保护密钥和完整性保护算法对用户面数据进行完整性保护验证。本发明实施例不限定解密和验证完整性保护的顺序。但需要理解的是，如果是用户面/信令面数据先被加密保护，再被完整性保护，则解安全保护是先验证完整性保护、再对加密后的用户面数据进行解密；如果用户面/信令面数据先被完整性保护，再被加密，则解安全保护的顺序为先解密加密后的数据，再进行完整性保护验证。

激活用户面/信令面安全保护方法，指的是在确定出用户面/信令面安全保护方法的情况下，使用用户面/信令面安全算法和保护用户面/信令面数据的密钥来激活该用户面/信令面安全保护方法，即使用用户面/信令面安全保护方法、用户面/信令面安全算法和保护用户面/信令面数据的密钥来对将要传输的用户面/信令面数据进行安全保护。例如，确定的用户面安全保护方法为用户面加密保护开，用户面完整性保护关，用户面加密算法为加密算法A，用户面加密密钥为密钥K，则对于将要传输的用户面数据，采用加密算法A和密钥K对该用户面数据进行用户面加密保护。激活用户面安全保护方法可以达到的效果是激活执行用户面安全保护的节点可以开始对用户面数据进行安全保护和开始对用户面数据进行解安全保护。需要理解的是，安全保护和解安全保护这两个动作可能是进一步分开激活的。比如基站在发送安全激活消息后，则基站激活解安全保护；基站再收到安全激活确认消息后，基站激活安全保护。

请参见图1，为LTE双连接通信的流程示意图，该流程可以包括如下步骤：

步骤1，用户终端与主基站建立RRC连接。

步骤2，主基站确定启动双连接，向辅基站发送辅基站管理请求。

主基站使用KeNB计算得到S-KeNB，该KeNB是主基站与用户终端共享的根密钥，用户终端和主基站可以根据KeNB计算得到S-KeNB、生成用户终端与主基站之间的保护RRC信令的密钥和保护用户面数据的密钥。其中，S-KeNB是辅基站与用户终端之间的根 密钥，用户终端和辅基站可以根据S-KeNB生成用户终端与辅基站之间的保护用户面数据的密钥。保护RRC信令的密钥，例如RRC信令面的完整性密钥或RRC信令面的加密密钥；保护用户面数据的密钥，例如用户面加密密钥。

主基站在确定启动双连接的情况下，向辅基站发送辅基站管理请求以启动双连接。该辅基站管理请求可以是辅基站添加请求，也可以是辅基站修改请求。该辅基站管理请求包括S-KeNB以及用户终端的安全能力，用户终端的安全能力包括用户终端支持的安全算法，即用户终端支持哪些加密算法和哪些完整性保护算法。该辅基站管理请求包括S-KeNB，以便辅基站根据S-KeNB生成保护用户面数据的密钥。

步骤3，辅基站选择一个加密算法，所选的加密算法和由S-KeNB生成的保护用户面数据的密钥一起保护用户终端与辅基站之间用户面数据的传输。

步骤4，辅基站向主基站发送辅基站管理响应，该辅基站管理响应包括辅基站所选的加密算法。

其中，辅基站管理响应用于响应辅基站管理请求，若辅基站管理请求为辅基站添加请求，则辅基站管理响应为辅基站添加响应；若辅基站管理请求为辅基站修改请求，则辅基站管理响应为辅基站修改响应。

步骤5，主基站向用户终端发送RRC连接重配置请求，该RRC连接重配置请求包括从属小区群(secondary cell group，SCG)计数器(counter)和辅基站所选的加密算法。SCG计数器用于用户终端生成S-KeNB，该S-KeNB与主基站计算得到S-KeNB相同，进而用户终端可以根据该S-KeNB生成保护用户面数据的密钥，由于该S-KeNB与主基站计算得到S-KeNB相同，因此用户终端生成的保护用户面数据的密钥与辅基站生成的保护用户面数据的密钥相同，以便用户终端与辅基站采用相同的密钥对用户面数据进行保护。

步骤6，用户终端向主基站发送RRC连接重配置响应。

步骤7，主基站向辅基站发送辅基站重配置完成消息。

在上述流程中，通过主基站将其确定的S-KeNB告知辅基站，以便辅基站采用所选的加密算法和由S-KeNB生成的保护用户面数据的密钥对用户终端与辅基站之间传输的用户面数据进行保护，用户终端采用相同的加密算法和保护用户面数据的密钥对用户终端与辅基站之间传输的用户面数据进行保护，从而实现用户终端与辅基站之间的用户面加密保护。

但是，上述流程只有加密保护没有5G新引入的用户面完整性保护，并且目前只提供了5G单连接场景下的用户面完整性保护，因此，在5G双连接场景下，如何开启用户终端与辅基站之间的用户面加密保护和用户面完整性保护是亟待解决的技术问题，即如何开启用户终端与辅基站之间的用户面安全是亟待解决的技术问题。

鉴于此，本申请实施例提供双连接通信方法及其装置，可以解决5G双连接场景下，如何开启用户终端与辅基站之间的用户面安全的技术问题，从而可以保证5G双连接场景下用户面数据传输的机密性和完整性。本申请实施例提供的双连接通信方法及其装置，也可以解决5G双连接场景下，如何开启用户终端与主基站之间，以及用户终端与辅基站之间的用户面安全的技术问题。

请参见图2，为应用本申请实施例的网络架构示意图，该网络架构示意图为双连接网络架构示意图，包括主基站、辅基站和用户终端。在图2所示的网络架构示意图中，黑色 实线表示信令面数据传输路径，黑色虚线表示用户面数据传输路径，由图2可知，用户终端与辅基站之间无信令面消息传递，只用辅基站传递用户面消息。本架构不排除随着标准化演进，用户终端和辅基站间有信令面消息传递，即不排除未来用户终端和辅基站间的信令面消息拥有安全协商、安全激活等现有技术中只可以通过主基站进行的安全相关的流程。

主基站为发起双连接的基站，可以是5G网络中的下一代基站节点(next generation Node Basestation，gNB)，也可以是LTE网络中的演进型基站节点(evolved Node Basestation，eNB或eNodeB)，还可以是升级后的eNB，即下一代演进型基站节点(next generation eNodeB，ng-eNB)，还可以是未来通信系统中的基站。主基站与核心网网元连接，例如与移动管理网元连接，移动管理网元可以是第四代移动通信(4 ^th-generation，4G)核心网中的移动性管理实体(mobility management entity，MME)，也可以是5G核心网中的接入和移动性管理功能(access and mobility management function，AMF)，还可以是未来核心网中与MME或AMF具有相同功能的网元；再例如，与用户面网元连接，用于传输用户面数据，用户面网元可以是4G核心网中的服务网关(serving gateway，SGW)，也可以是5G核心网中的用户面功能(user plane function，UPF)，还可以是未来核心网中与SGW或UPF具有相同功能的网元。

辅基站为主基站选择的另一个协同为用户终端服务的基站，可以是eNB，也可以是gNB，还可以是ng-eNB，还可以是未来通信系统中的基站。在4G双连接场景下，即用户终端所连接的两个网络节点为eNB，辅基站通常只与主基站有直接的X2接口，在特殊情况下，辅基站可以与MME、SGW有直接的接口。在5G双连接场景下，即用户终端所连接的两个网络节点中至少一个网络节点为gNB，辅基站与主基站有直接的接口，辅基站与UPF可以有直接的接口，在特殊情况下，辅基站可以与AMF有直接的接口。

本申请实施例所涉及的用户终端可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备；还可以包括用户设备(user equipment，UE)、用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant，PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordless phone)或者无线本地环路(wireless local loop，WLL)台、机器类型通信(machine type communication，MTC)终端、UE，移动台(mobile station，MS)，终端设备(terminal device)或者中继用户设备等。其中，中继用户设备例如可以是5G家庭网关(residential gateway，RG)。为方便描述，本申请实施例中，上面提到的设备统称为用户终端。

用户终端中存储有长期密钥和相关函数。用户终端在与核心网网元(例如AMF或认证服务功能(Authentication Server Function，AUSF)等)进行双向鉴权时，会使用长期密钥和相关函数验证网络的真实性。

请参见图3a和图3b，为应用本申请实施例的两种5G双连接架构示意图。在图3a和图3b中，主基站为gNB，辅基站为ng-eNB；或者主基站为ng-eNB，辅基站为gNB；或者主基站为gNB，辅基站为gNB等，本申请实施例主要介绍辅基站为ng-eNB或为gNB的情况。图3a和图3b所示的5G双连架构示意图并不构成对本申请实施例的限定。

在图3a和图3b中，接入管理网元负责移动性管理，可以是5G核心网中的AMF，也可以是未来核心网中负责移动性管理的网元，在本申请实施例中，接入管理网以AMF为例进行介绍。用户面网元为用户面数据出口，与外部网络(例如数据网络(data network，DN))连接，可以是5G核心网中的UPF，也可以是未来核心网中作为用户面数据出口，与外部网络连接的网元，在本申请实施例中，用户面网元以UPF为例进行介绍。会话管理网元用于为用户面分配会话资源，可以是5G核心网中的会话管理功能(session management function，SMF)，也可以是未来核心网中为用户面分配会话资源的网元，在本申请实施例中，会话管理网元以SMF为例进行介绍。

在图3a和图3b中，在特殊情况下，辅基站与核心网网元之间可以存在信令面路径，辅基站与用户终端之间可以存在信令面路径，可参见图3a和图3b中灰实线所示。

图3a与图3b的不同之处在于，图3a中用户面安全终结点在辅基站(SN)上，SN与用户面网元进行用户面数据交互，图3b中用户面安全终结点在主基站(MN)上，MN与用户面网元进行用户面数据交互。

其中，用户面安全终结点在哪个基站上，便由哪个基站对用户面数据进行安全保护/解安全保护。例如，用户面安全终结点在SN上，由SN对用户面数据进行安全保护，对于上行用户面数据，UE根据UE与SN之间的用户面安全保护方法对上行用户面数据进行安全保护，通过两路向SN发送安全保护后的上行用户面数据；一路直接向SN发送安全保护后的上行用户面数据，另一路通过MN向SN发送安全保护后的上行用户面数据(即MN对UE发送的安全保护后的上行用户面数据透传至SN)，SN在接收到安全保护后的上行用户面数据时根据SN与UE之间的用户面安全保护方法对上行用户面数据进行解安全保护。对于下行用户面数据，SN根据SN与UE之间的用户面安全保护方法对下行用户面数据进行安全保护，通过两路向UE发送安全保护后的下行用户面数据，一路直接向UE发送安全保护后的下行用户面数据；另一路通过MN向UE发送安全保护后的下行用户面数据，UE在接收到安全保护后的下行用户面数据时根据UE与SN之间的用户面安全保护方法对下行用户面数据进行解安全保护。需要理解的是，两路不一定同时存在。当用户面安全终结点在SN上，SN也可以在加密后将所有数据都通过MN发给UE。比如当SN的资源利用率达到一定门阀值后，SN就会将所有消息都通过MN发送给UE。

下面将对本申请实施例提供的双连接通信方法进行具体阐述。

需要说明的是，本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请实施例对此不作具体限定。

以本申请实施例应用于图3a所示的双连接网络架构示意图为例，如图4所示，为本申请实施例一提供的双连接通信方法的流程示意图，在该实施例中，用户终端以UE为例，接入管理网元以AMF为例，会话管理网元以SMF为例，用户面网元以UPF为例进行介绍。该方法可以包括但不限于如下步骤：

步骤S401，MN获取第一用户面安全策略。

其中，第一用户面安全策略为原始的用户面安全策略。“原始的”相对“映射的”而言，“映射的”可在“原始的”基础上处理得到。

可选地，图4所示实施例还包括分组数据单元(packet data unit，PDU)会话建立过程。 PDU会话建立过程可包括：UE通过MN向AMF发送PDU会话建立请求；AMF在接收到该PDU会话建立请求时，向SMF发送该PDU会话建立请求中的会话建立请求相关的内容；SMF在接收到会话建立请求相关的内容时，可从统一数据管理(unified data management，UDM)获取会话相关的签约信息，SMF可以从会话相关的签约信息获取用户面安全策略，或者SMF从SMF的本地配置信息中获取用户面安全策略；SMF通过AMF和MN向UE发送PDU会话建立完成消息，该PDU会话建立完成消息包括用户面安全策略。

其中，SMF获取的用户面安全策略为UE的用户面安全策略，具体可以为UE的PDU会话的用户面安全策略，针对不同的PDU会话，用户面安全策略有所不同，可以采用PDU会话标识进行区分。UE的用户面安全策略除了可以与PDU会话相对应外，还可以与其他粒度相对应，比如与网络切片标识相对应、与服务质量流标识(quality of service flow identity，QFI)相对应、与5G服务质量流指示符(5G QoS indicator，5QI)相对应、与数据无线承载标识(data radio bearer identity，DRB ID)相对应的。

MN可在PDU会话建立完成后发起双连接流程，也可在PDU会话建立过程中发起双连接流程。若MN在PDU会话建立完成后发起双连接流程，则步骤S401可在PDU会话建立完成后执行；若MN在PDU会话建立过程中发起双连接流程，则SMF通过AMF向MN发送PDU会话建立完成消息，MN在接收到来自UE的RRC连接重配置响应时，向UE发送PDU会话建立完成消息。

MN可通过接收来自SMF的PDU会话建立完成消息获取第一用户面安全策略，即将PDU会话建立完成消息所携带的用户面安全策略作为第一用户面安全策略。

MN也可以通过AMF向SMF发送获取会话相关的签约信息的请求，SMF在接收到该请求时向UDM请求获取会话相关的签约信息，SMF在接收到UDM的响应并且会话相关的签约信息中包含有用户面安全策略的情况下，SMF可以从会话相关的签约信息获取用户面安全策略。或SMF从SMF的本地配置信息中获取用户面安全策略。然后SMF通过AMF向MN发送获取的用户面安全策略。MN在接收到该用户面安全策略时，将该用户面安全策略作为第一用户面安全策略。

MN在基站切换过程中作为目标基站时，可将源基站发送的或AMF发送的用户面安全策略作为第一用户面安全策略。

可选地，步骤S401之后还包括步骤S402，MN生成第二用户面安全策略。

其中，第二用户面安全策略为映射的用户面安全策略。

进一步地，第二用户面安全策略不包含偏好开启的情况。即用户面加密保护指示信息是“required”或“not needed”、用户面加密保护是“required”或“not needed”。

MN可根据第一用户面安全策略，参考SN的能力和UE当前状态信息等内容生成第二用户面安全策略。其中，SN的能力可以包括SN是否支持开启用户面加密保护以及是否支持开启用户面完整性保护；SN的资源；SN的配置信息和SN支持的安全算法等中的一种或多种。SN的配置信息，例如SN为ng-eNB时，其配置信息为固定配置的用户面安全保护方法，例如所配置的用户面安全保护方法为用户面加密保护开，用户面完整性保护关。SN支持的安全算法包括SN支持的加密算法和完整性保护算法，SN支持的安全算法视SN所属通信系统的不同而有所不同，例如SN为ng-eNB时所支持的安全算法与SN为gNB时 所支持的安全算法有所不同，或者SN为ng-eNB时所支持的安全算法与SN为gNB时所支持的安全算法相同，但是代表算法的标识符不同。例如ng-eNB只识别以字母“E”开头的算法，比如EIA1，EEA1等；gNB只识别以字母“N”开头的算法，比如NIA1，NEA1等。其中，虽然EEA1和NEA1是不同的标识符，但是其代表的具体的安全算法是相同的。NEA1和EEA1都代表基于SNOW 3G的安全算法。UE当前状态信息可以包括UE当前的速率情况、UE的电量和UE的能力受限信息等信息中的一个或多个。UE的能力受限信息用于指示UE是一个能力是受限的UE(例如物联网设备)还是一个能力不受限的UE。

在MN或SN生成映射的用户面安全策略时，生成映射的用户面安全策略的基站需要综合考虑MN的配置、MN当前的状态、SN的配置、SN当前的状态、UE当前状态信息等信息中的一个或多个。其中，MN/SN的配置是MN/SN支持哪种用户面安全保护方法，MN/SN当前的状态是指MN/SN当前的资源使用情况，MN/SN可以根据当前资源使用情况决定是否激活某种偏好激活的用户面安全保护，UE当前状态信息可以包括UE当前的速率情况、UE的电量和UE的能力受限信息等信息中的一个或多个。UE的能力受限信息用于指示UE是一个能力是受限的UE(例如物联网设备)还是一个能力不受限的UE。

MN生成映射的用户面安全策略的具体方法可以为：

在SN为ng-eNB，MN为gNB的情况下，MN可通过如下几种方式生成第二用户面安全策略：

方式一，MN在获知SN(ng-eNB)所配置的用户面安全保护方法的情况下，可结合第一用户面安全策略和SN(ng-eNB)所配置的用户面安全保护方法生成第二用户面安全策略。

其中，SN(ng-eNB)所配置的用户面安全保护方法可以是固定地配置在SN(ng-eNB)上的，即SN(ng-eNB)只能采用所配置的用户面安全保护方法，SN(ng-eNB)所配置的用户面安全保护方法也可以配置在MN上，以便MN可以获知SN(ng-eNB)所配置的用户面安全保护方法，MN也可以通过其他方式获知SN(ng-eNB)所配置的用户面安全保护方法，例如SN(ng-eNB)主动将其所配置的用户面安全保护方式告知MN。

举例来说，SN(ng-eNB)所配置的用户面安全保护方法可以是开启用户面加密保护，关闭用户面完整性保护，MN结合第一用户面安全策略和SN(ng-eNB)所配置的用户面安全保护方法生成第二用户面安全策略具体可包括：A，若第一用户面安全策略所包括的用户面完整性保护指示信息为“preferred”，则生成的第二用户面安全策略所包括的用户面完整性保护指示信息为“not needed”；若第一用户面安全策略所包括的用户面完整性保护指示信息为“not needed”，则生成的第二用户面安全策略所包括的用户面完整性保护指示信息依然为“not needed”；B，若第一用户面安全策略所包括的用户面加密保护指示信息为“preferred”，则生成的第二用户面安全策略所包括的用户面加密保护指示信息为“required”；若第一用户面安全策略所包括的用户面加密保护指示信息为“required”，则生成的第二用户面安全策略所包括的用户面加密保护指示信息依然为“required”。其中，MN所生成的第二用户面安全策略是按照SN(ng-eNB)所配置的用户面安全保护方法为开启用户面加密保护，关闭用户面完整性保护得到的，若SN(ng-eNB)所配置的用户面安全保护方法为其它类型，则MN所生成的第二用户面安全策略也会有所变化，具体视SN(ng-eNB)所配置的用户面安全保护方法而定。

可以理解的是，MN在获知SN(ng-eNB)所配置的用户面安全保护方法的情况下，所生成第二用户面安全策略与SN(ng-eNB)所配置的用户面安全保护方法相对应，即所生成第二用户面安全策略与SN所配置的用户面安全保护方法对应的用户面安全策略相同。

方式二，MN在未获知SN(ng-eNB)所配置的用户面安全保护方法的情况下，可根据第一用户面安全策略，结合运营商的要求或网络部署的需求，以及UE当前状态信息生成第二用户面安全策略，此时MN所生成第二用户面安全策略可以与SN(ng-eNB)所配置的用户面安全保护方法相对应。

方式三，MN可根据SN是否支持开启用户面加密保护以及是否支持开启用户面完整性保护，结合第一用户面安全策略生成第二用户面安全策略。例如，SN(ng-eNB)不支持开启用户面完整性保护，则生成的第二用户面安全策略中的用户面完整性保护指示信息为“not needed”。

方式四，MN可根据SN是否支持开启用户面加密保护以及是否支持开启用户面完整性保护，以及MN的配置信息，结合第一用户面安全策略生成第二用户面安全策略。例如，SN(ng-eNB)不支持开启用户面完整性保护，则生成的第二用户面安全策略中的用户面完整性保护指示信息为“not needed”；SN(ng-eNB)的加密保护既支持开启又支持关闭，则MN根据MN的配置信息、UE的资源情况等内容确定用户面加密保护指示为“required”或“not needed”。

可以理解的是，若MN生成第二用户面安全策略，则MN需要先根据原始的用户面安全策略并结合MN的配置、MN当前的状态、SN的配置、SN当前的状态、UE的当前状态信息等信息中的一个或多个内容确定用户面安全保护方法。该用户面安全保护方法可以进一步转变成用户面安全开启类型指示信息。MN可以在获得用户面安全开启类型指示信息后，将用户面安全开启类型指示信息的内容转换成第二用户面安全策略；也可以直接将用户面安全开启类型指示信息作为第二用户面安全策略，此时可以理解为第二用户面安全策略就是用户面安全开启类型指示信息。

在SN为gNB，MN为ng-eNB的情况下，MN(ng-eNB)可通过如下几种方式生成第二用户面安全策略：

方式一，MN(ng-eNB)在获知其用户面安全保护方法的情况下，结合其用户面安全保护方法和第一用户面安全策略生成第二用户面安全策略。由于MN是ng-eNB，MN很清楚其用户面安全保护方法是什么，因此MN可直接结合其用户面安全保护方法和第一用户面安全策略生成第二用户面安全策略。例如，若MN的用户面加密保护可以动态开启并且MN不支持用户面完整性保护，则MN可以根据MN配置、MN当前资源使用情况、UE当前状态信息等信息确定用户面加密保护为“required”或者“not needed”，因为MN不支持用户面完整性保护，因此用户面完整性保护为“not needed”。具体生成方法还可参考SN为ng-eNB，MN为gNB的情况下，MN生成第二用户面安全策略的方式一。

其中，UE当前状态信息可以包括UE当前的速率情况、UE的电量和UE的能力受限信息等信息中的一个或多个。UE的能力受限信息用于指示UE是一个能力是受限的UE(例如物联网设备)还是一个能力不受限的UE。

方式二，MN(ng-eNB)上固定配置有用户面安全保护方法，MN(ng-eNB)可结合其 所配置的用户面安全保护方法和第一用户面安全策略生成第二用户面安全策略。在此方式下，生成的第二用户面安全策略也是固定的。具体生成方法可参考SN为ng-eNB，MN为gNB的情况下，MN生成第二用户面安全策略的方式一。

方式三，MN(ng-eNB)可根据第一用户面安全策略，结合运营商的要求或网络部署的需求以及UE当前状态信息生成第二用户面安全策略。

方式四，MN(ng-eNB)根据第一用户面安全策略所包括的用户面加密保护指示信息动态决定是否开启用户面加密保护，例如MN(ng-eNB)始终不开启用户面加密保护。在此方式下，第二用户面安全策略所包括的用户面加密保护指示信息可以与第一用户面安全策略所包括的用户面加密保护指示信息一样；第二用户面安全策略所包括的用户面完整性保护指示信息不可以是“required”。

方式五，MN(ng-eNB)可根据SN(gNB)的是否支持开启用户面加密保护以及是否支持开启用户面完整性保护，结合第一用户面安全策略生成第二用户面安全策略。例如，SN(gNB)不支持开启用户面完整性保护，则生成的第二用户面安全策略中的用户面完整性保护指示信息为“not needed”。

MN在生成了第二用户面安全策略的情况下，可根据第二用户面安全策略确定MN与UE之间的用户面安全保护方法。

MN在决定用户面安全终结点在SN上的情况下，MN不需要激活MN与UE之间的用户面安全保护方法。

可选地，在MN决定安全终结点是否可以在SN之前，MN可根据第一信息判断是否可以将用户面安全终结点放在SN上。其中，第一信息可以是MN本地配置的信息，也可以是第一用户面安全策略。例如，SN为ng-eNB，MN为gNB，第一用户面安全策略所包括的用户面完整性保护指示信息为“required”，则MN只能将用户面安全终结点放在MN上(即不将MN的PDU会话分流至SN上)，进而可判断出用户面安全终结点在MN上。除了这种情况，用户面安全终结点都可以在SN上。即若第一用户面安全策略所包括的用户面完整性保护指示信息不为“required”，则MN可确定将用户面安全终结点放在SN上，进而可判断出用户面安全终结点在SN上，适用于SN为gNB或SN为ng-eNB的场景。

进一步地，因为同一个PDU会话的用户面安全策略在PDU存活期内是不可以改变的，同时在双连接场景下对于同一个PDU会话的用户面安全终结点可以灵活的一会放在MN，一会放在SN，因此MN或SN在生成映射的用户面安全策略的时候，需要考虑另一个基站的能力。例如，如果其中一个是ng-eNB，ng-eNB不可以开启完整性保护，则映射的用户面安全策略中的完整性保护必须是关闭的，即不可以被激活的。

在双连接场景中，两个基站协同为一个UE提供服务，UE的同一PDU会话的用户面安全策略保持不变，因此MN与UE之间的用户面安全保护方法与SN与UE之间的用户面安全保护方法相同。因此映射的用户面安全策略可以由MN生成也可以由SN生成。但需要注意的是，当用户面安全终结点在SN上的时候，MN只生成映射的用户面安全策略，不需要激活MN与UE之间的用户面安全保护方法。当用户面安全终结点在SN上的时候，并且映射的用户面安全策略由SN决定的时候，SN既要生成映射的用户面安全策略，又要激活UE与SN之间的用户面安全保护方法。此时MN只需要将原始的安全策略传递给SN 即可。

步骤S403，MN向SN发送第一消息，该第一消息包括用户面安全策略和UE的安全能力。相应地，SN接收来自MN的第一消息。

其中，第一消息可以是SN添加请求(SN addition request)，例如初始将无线承载分流至SN时，第一消息为SN添加请求。第一消息也可以是SN修改请求(SN modification request)。

其中，UE的安全能力包括UE在LTE系统中所支持的安全算法和/或在5G系统中所支持的安全算法。具体地，UE的安全能力以标识符的形式在接入网和核心网之间传递。UE的安全能力指的是UE支持哪些加密算法和哪些完整性保护算法。第一消息携带UE的安全能力，以便SN根据其是哪种系统下的基站从UE的安全能力中选择SN与UE之间的将要使用的安全算法，例如SN为gNB，SN便根据UE在5G系统中所支持的安全算法，即SN在以“N”开头的标识符所代表的算法中进行选择。再例如SN为ng-eNB，SN根据UE在LTE系统中所支持的安全算法选择SN与UE之间的安全算法，即SN在以“E”开头的标识符所代表的算法中进行选择。

在MN未执行步骤S402的情况下，第一消息所携带的用户面安全策略为第一用户面安全策略。该第一消息还包括第一用户面安全策略对应的用户面信息，该用户面信息可以包括PDU会话标识，即UE请求建立的PDU会话的标识。该用户面信息可以使UE知道从MN和SN收到的用户面数据是同一个会话的，即MN和SN可能直接使用用户面信息或者对用户面信息进行转换、处理后使用，使得UE可以关联两个基站发送的用户面数据。可选地，该用户面信息还可以包括网络切片标识、服务质量流标识(quality of service flow identity，QFI)、5QI、DRB ID等中的一种或多种。

在MN执行了步骤S402的情况下，该第一消息所携带的用户面安全策略为第二用户面安全策略，以便SN根据第二用户面安全策略激活SN与UE之间的用户面安全保护方法。该第一消息还包括第二用户面安全策略对应的用户面信息，该用户面信息包括PDU会话标识，还包括网络切片标识、QFI、5QI、DRB ID等中的一种或多种。

可选地，该第一消息还包括Ksn，该Ksn由MN使用Kmn计算得到。Ksn是SN与UE之间的根密钥，SN和UE可根据Ksn生成UE与SN之间的保护用户面数据的密钥，例如用户面加密密钥和用户面完整性保护密钥。在SN与UE之间可以存在信令面路径的情况下，SN还可根据Ksn生成UE与SN之间的保护信令面的密钥。保护信令面的密钥，例如RRC信令面的完整性密钥和RRC信令面的加密密钥。

可选地，该第一消息还包括标识信息，该标识信息用于指示第一消息所携带的用户面安全策略是第一用户面安全策略还是第二用户面安全策略。例如，该标识信息可采用一个比特位来指示，例如“0”指示该用户面安全策略为第一用户面安全策略，“1”指示该用户面安全策略为第二用户面安全策略。该比特位可以是在第一用户面安全策略或第二用户面安全策略的比特长度上增加的一比特位，也可以是独立于第一用户面安全策略或第二用户面安全策略的一比特位。

步骤S404，SN确定SN与UE之间的用户面安全保护方法。

SN确定SN与UE之间的用户面安全保护方法，即SN可以采用SN与UE之间的用户 面安全保护方法对用户面数据进行安全保护。例如，SN与UE之间的用户面安全保护方法为开启用户面加密保护，不开启用户面完整性保护，那么SN可以对用户面数据开启用户面加密保护，不开启用户面完整性保护。

在SN为ng-eNB，MN为gNB的情况下，SN(ng-eNB)配置了用户面安全保护方法，SN可直接将所配置的用户面安全保护方法确定为SN与UE之间的用户面安全保护方法。此时，SN可不在乎第一消息携带的是第一用户面安全策略还是第二用户面安全策略。

在第一消息包括第一用户面安全策略的情况下，SN可根据第一用户面安全策略，确定SN与UE之间的用户面安全保护方法。

在一种可能的实现方式中，SN根据第一用户面安全策略所包括的用户面加密保护指示信息，确定用户面加密保护的开启方法。具体地，若用户面加密保护指示信息为“required”，则SN开启SN与UE之间的用户面加密保护；若用户面加密保护指示信息为“not needed”，则SN不开启SN与UE之间的用户面加密保护；若用户面加密保护指示信息为“preferred”，则SN根据某些条件判断是否开启SN与UE之间的用户面加密保护，例如在SN资源充足的情况下，SN可以开启SN与UE之间的用户面加密保护。SN根据其所配置的用户面安全保护方法中的用户面完整性保护方法确定SN与UE之间的用户面完整性保护的开启方法，即将SN所配置的用户面完整性保护方法确定为SN与UE之间的用户面完整性保护的开启方法，例如，SN所配置的用户面完整性保护方法为不开启用户面完整性保护，那么SN不开启SN与UE之间的用户面完整性保护。或者，SN在不支持用户面完整性保护的情况下，直接将SN与UE之间的用户面完整性保护设置为不开启。

在一种可能的实现方式中，SN根据第一用户面安全策略所包括的用户面完整性保护指示信息，确定完整性保护的开启方法。具体地，若用户面完整性保护指示信息是“preferred”，则SN根据某些条件判断是否开启SN与UE之间的用户面完整性保护，例如在SN不支持用户面完整性保护的情况下，则不开启SN与UE之间的用户面完整性保护；再例如，在UE的安全能力可以支持开启用户面完整性保护，并且SN支持用户面完整性保护的情况下，SN开启用户面完整性保护；若用户面完整性保护指示信息是“not needed”，则SN不开启SN与UE之间的用户面完整性保护。SN根据其所配置的用户面安全保护方法中的用户面加密保护方法确定并激活SN与UE之间的用户面加密保护的开启方法，即将SN所配置的用户面加密保护方法确定为SN与UE之间的用户面加密保护的开启方法，例如，SN所配置的用户面加密保护方法为开启用户面加密保护，那么SN开启SN与UE之间的用户面加密保护。

在第一消息只包括第一用户面安全策略的情况下，SN结合第一用户面安全策略和MN的能力生成第三用户面安全策略，并根据第三用户面安全策略确定SN与UE之间的用户面安全保护方法。第三用户面安全策略为SN生成的映射的用户面安全策略。SN结合第一用户面安全策略和MN的能力生成第三用户面安全策略，与MN结合第一用户面安全策略和SN的能力生成第三用户面安全策略类似。SN根据第三用户面安全策略确定SN与UE之间的用户面安全保护方法，即SN根据第三用户面安全策略所包括的用户面加密保护指示信息确定是否开启用户面加密保护，所包括的用户面完整性保护指示信息确定是否开启用户面完整性保护。

若MN为ng-eNB，则SN可结合第一用户面安全策略和MN(ng-eNB)所配置的用户面安全保护方法来生成第三用户面安全策略，进而根据第三用户面安全策略确定SN与UE之间的用户面安全保护方法。

在第一消息包括第二用户面安全策略的情况下，SN根据第二用户面安全策略确定SN与UE之间的用户面安全保护方法，即SN根据第二用户面安全策略所包括的用户面加密保护指示信息确定是否开启用户面加密保护，所包括的用户面完整性保护指示信息确定是否开启用户面完整性保护。若第二用户面安全策略就是用户面安全开启类型指示信息，那么SN直接根据用户面安全开启类型指示信息确定用户面安全保护方法。

在一种可能的实现方式中，SN根据第一用户面安全策略所包括的用户面加密保护指示信息，确定用户面加密保护的开启方法。具体地，若用户面加密保护指示信息为“required”，则SN开启SN与UE之间的用户面加密保护；若用户面加密保护指示信息为“not needed”，则SN不开启SN与UE之间的用户面加密保护；

在一种可能的实现方式中，SN根据第一用户面安全策略所包括的用户面完整性保护指示信息，确定完整性保护的开启方法。具体地，若用户面完整性保护指示信息是“not needed”，则SN不开启SN与UE之间的用户面完整性保护。SN根据其所配置的用户面安全保护方法中的用户面加密保护方法确定并激活SN与UE之间的用户面加密保护的开启方法，即将SN所配置的用户面加密保护方法确定为SN与UE之间的用户面加密保护的开启方法，例如，SN所配置的用户面加密保护方法为开启用户面加密保护，那么SN开启SN与UE之间的用户面加密保护。

步骤S405，SN选择SN与UE之间的安全算法。

SN可根据第一消息所携带的UE的安全能力选择SN与UE之间的安全算法。例如，SN为gNB，则SN可根据UE在5G系统中所支持的安全算法选择SN与UE之间的安全算法。

在一种可能的实现方式中，步骤S405在步骤S404之后执行，即SN先确定SN与UE之间的用户面安全保护方法，再选择SN与UE之间的安全算法，那么此时SN只需要选择用户面使用的安全算法，信令面使用的安全算法则需要重新选择。这种情况下，信令面安全算法和用户面安全算法使用的算法可以相同，也可以不相同。相同的具体含义是，如果用户面加密保护开启，则使用的用户面安全算法和使用的信令面安全算法相同；如果用户面完整性保护开启，则用户面使用的完整性算法和信令面使用的完整性算法相同。如果不相同，信令面使用的安全算法和用户面使用的安全算法有不一样的即不同，例如用户面加密算法使用加密算法A，信令面使用的加密算法为加密算法B，但是用户面和信令面都使用完整性算法C。

在一种可能的实现方式中，步骤S405在步骤S404之前执行，即SN先选择SN与UE之间的安全算法，再确定SN与UE之间的用户面安全保护方法。由于SN先选择SN与UE之间的安全算法，则选择出来的安全算法既用于信令面保护，又用于用户面保护。当SN确定出SN与UE之间的用户面安全保护方法后，则SN根据所确定的用户面安全保护方法，确定使用哪一个选择出来的安全算法用于用户面安全保护。例如，SN先选择了一个加密算法和一个完整性保护算法，之后SN确定的用户面安全保护方法为用户面加密开启，用户 面完整性保护不开启，则SN确定在用户面使用加密保护算法，不使用用户面完整性保护算法。

SN根据第一消息所携带的Ksn生成UE与SN之间的保护用户面数据的密钥。在SN与UE之间可以存在信令面路径的情况下，SN还可根据Ksn生成UE与SN之间的保护信令面的密钥。

SN在确定SN与UE之间的用户面安全保护方法、SN与UE之间的安全算法以及保护用户面数据的密钥的情况下，激活SN与UE之间的用户面安全保护方法。即SN可以使用SN与UE之间的用户面安全保护方法、SN与UE之间的安全算法以及保护用户面数据的密钥来对下行用户面数据进行安全保护，对上行用户面数据进行解安全保护。例如，确定的用户面安全保护方法为用户面加密保护开，用户面完整性保护关，用户面加密算法为加密算法A，用户面加密密钥为密钥K，则对于下行用户面数据，采用加密算法A和密钥K对该下行用户面数据进行用户面加密保护。

步骤S406，SN向MN发送第二消息，该第二消息包括用户面安全开启类型指示信息和SN选择的SN与UE之间的安全算法。相应地，MN接收来自SN的第二消息。

其中，第二消息用于响应第一消息，可以是SN添加响应，也可以是SN修改响应。即若第一消息为SN添加请求，则第二消息为SN添加响应。

其中，用户面安全开启类型指示信息用于指示SN所激活的SN与UE之间的用户面安全保护方法。用户面安全开启类型指示信息可以采用2比特位来指示，1个比特位指示加密保护是开启还是不开启，另外一个比特位指示完整性保护开启还是不开启。例如，第一个比特位为“1”时指示用户面加密保护开启，第二个比特位为“1”时指示用户面完整性保护开启，假设SN所确定的SN与UE之间的用户面安全保护方法为用户面加密保护开启，用户面完整性保护不开启，那么此时用户面安全开启类型指示信息可表示为“10”。第二消息中携带用户面安全开启类型指示信息，以便MN将其携带在RRC连接重配置响应中发送至UE，从而便于UE获知与SN之间的用户面安全保护方法。

在SN生成了第三用户面安全策略的情况下，SN向MN发送该第三用户面安全策略，SN根据该第三用户面安全策略确定了SN与UE之间的用户面安全保护方法，换言之，该第三用户面安全策略可以指示SN与UE之间的用户面安全保护方法，可以是SN自己确定的映射的用户面安全策略。SN向MN发送第三用户面安全策略，以便MN获知SN与UE之间的用户面安全保护方法。该第三用户面安全策略可独立于第二消息，不在同一消息中发送至MN，即第三用户面安全策略不携带在第二消息中。

若第二用户面安全策略就是用户面安全开启类型指示信息，那么SN直接根据用户面安全开启类型指示信息确定用户面安全保护方法。

可选地，MN在获知SN与UE之间的用户面安全保护方法的情况下，可确定MN与UE之间的用户面安全保护方法，与SN与UE之间的用户面安全保护方法相同。假设SN与UE之间的用户面安全保护方法为用户面加密保护开，用户面完整性保护开，但是MN不支持开启用户面完整性保护，则MN与UE之间的用户面安全保护方法为用户面加密保护开，用户面完整性保护关。换言之，最终确定的用户面安全保护方法视具体情况而定。

可选地，步骤S406之后，还包括步骤S407，UE与MN进行接入层(access stratum， AS)安全模式命令(security mode command，SMC)流程。

需要说明的是，步骤S407并不一定在步骤S406之后执行，可以在双连接流程之前执行，即在需要激活UE和MN之间的信令面安全的时候执行。

AS SMC包括MN选择的MN与UE之间的安全算法，该安全算法可以包括信令面安全算法和用户面安全算法，信令面安全算法与用户面安全算法可以相同，也可以不相同。如果相同，则传递的选择的安全算法既用于控制面又用于用户面。MN在确定MN与UE之间的用户面安全保护方法的情况下，可根据信令面使用的安全算法确定出用户面安全算法。

可选地，步骤S406之后，还包括步骤S408和步骤S409。

步骤S409a，MN向AMF或SMF发送第五消息，该第五消息包括第四用户面安全策略。相应地，AMF或SMF接收来自MN的第五消息。

需要理解的是，如果MN发送第五消息给SMF，则第五消息的中的内容需要经过AMF转发给SMF。

其中，第五消息可以是安全结果(security result)消息。此消息用于告知AMF或SMF用户面安全开启结果。

在MN接收到第三用户面安全策略的情况下，安全结果消息所包括的第四用户面安全策略即为第三用户面安全策略，该第三用户面安全策略可以指示SN与UE之间的用户面安全保护方法。

在MN未接收到第二用户面安全策略的情况下，MN可根据SN与UE之间的用户面安全保护方法生成一个用户面安全策略，将其作为第四用户面安全策略，该第四用户面安全策略可以指示SN与UE之间的用户面安全保护方法。

第五消息所包括的第四用户面安全策略也可以是MN生成的映射的用户面安全策略，该映射的用户面安全策略可以指示SN与UE之间的用户面安全保护方法。

第五消息还包括第四用户面安全策略对应的用户面信息，该用户面信息可包括PDU会话标识，还包括网络切片标识、QFI、5QI、DRB ID等中的一种或多种。

步骤S409，AMF向MN发送第六消息。相应地，MN接收来自AMF的第六消息。

其中，第六消息用于响应第五消息，第六消息可以是安全结果(security result)响应消息，用于告知MN，AMF或SMF接收到安全结果消息。

步骤S410，MN向UE发送第三消息，该第三消息包括SN确定的安全算法和用户面安全开启类型指示信息。相应地，UE接收来自MN的第三消息。

其中，第三消息可以是RRC连接重配置请求。

其中，用户面安全开启类型指示信息用于指示SN所激活的SN与UE之间的用户面安全保护方法。

可选地，第三消息还包括SN计数器，SN计数器用于UE生成Ksn，该Ksn与MN计算得到的Ksn相同，进而UE可以根据该Ksn生成保护用户面数据的密钥，由于该Ksn与MN计算得到的Ksn相同，因此UE生成的保护用户面数据的密钥与SN生成的保护用户面数据的密钥相同，以便UE与SN采用相同的密钥对用户面数据进行保护。在SN与UE之间可以存在信令面路径的情况下，UE还可以根据该Ksn生成保护信令面的密钥，与SN生 成的保护信令面的密钥相同。

步骤S411，UE使用SN确定的安全算法，激活与SN之间的用户面安全保护方法。

UE在接收到第三消息的情况下，可获知SN选择的SN与UE之间的安全算法，UE使用该安全算法对上行用户面数据进行安全保护。

UE在接收到第三消息的情况下，可获知SN与UE之间的用户面安全保护方法，UE激活UE与SN之间的用户面安全保护方法，即根据该用户面安全保护方法对与SN之间的用户面数据进行保护。此时，UE不激活与MN之间的用户面安全保护方法。

在第三消息包括SN计数器的情况下，UE根据SN计数器生成Ksn，该Ksn与MN计算得到的Ksn相同，进而UE可以根据该Ksn生成保护用户面数据的密钥，由于该Ksn与MN计算得到的Ksn相同，因此UE生成的保护用户面数据的密钥与SN生成的保护用户面数据的密钥相同，以便UE与SN采用相同的密钥对用户面数据进行保护。在SN与UE之间可以存在信令面路径的情况下，UE还可以根据该Ksn生成保护信令面的密钥，与SN生成的保护信令面的密钥相同。

步骤S412，UE向MN发送第四消息。相应地，MN接收来自UE的第四消息。

其中，第四消息可以是RRC连接重配置响应，RRC连接重配置响应用于响应RRC连接重配置请求。

UE根据UE与SN之间的用户面安全保护方法对上行用户面数据进行安全保护，可包括UE使用UE与SN之间的用户面安全保护方法、UE与SN之间的安全算法以及保护用户面数据的密钥对上行用户面数据进行安全保护。UE根据UE与SN之间的用户面安全保护方法对上行用户面数据进行解安全保护。进行安全保护是指进行加密保护和/或进行完整性保护。解安全保护是指解密和/或验证完整性保护。

步骤S413，UE向MN发送根据UE与SN之间的用户面安全保护方法进行安全保护的第一上行用户面数据。相应地，MN接收来自UE的第一上行用户面数据。

UE使用SN激活的用户面安全保护方法、SN选择的安全算法以及生成的保护用户面数据的密钥对上行用户面数据进行安全保护，并向MN发送安全保护后第一上行用户面数据。

例如，SN激活的用户面安全保护方法为用户面加密保护开启，用户面完整性保护关闭，SN确定的安全算法为使用用户面加密保护算法A，不使用用户面完整性保护算法，则UE使用用户面加密保护算法A和生成的保护用户面数据的密钥对上行用户面数据进行加密保护，向MN发送使用加密保护算法A和该密钥加密的上行用户面数据，并不对加密保护的上行用户面数据进行完整性保护。

步骤S414，MN向SN发送根据UE与SN之间的用户面安全保护方法进行安全保护的第一上行用户面数据。相应地，SN接收来自MN的第一上行用户面数据。

MN转发UE收到的安全保护后的第一上行用户面数据给SN。

在步骤S413和步骤S414中，MN根据SN与UE之间的用户面安全保护方法将UE发送的上行用户面数据转发至SN，即MN透传UE安全保护后的上行用户面数据。由于UE只激活了与SN之间的用户面安全保护方法，并且UE根据UE与SN之间的用户面安全保护方法向MN发送上行用户面数据，因此MN在接收到该上行用户面数据时，只能将其转 发至SN。

由于用户面安全终结点在SN，所以MN不做任何安全操作，直接将收到的数据转发给SN。

步骤S415，UE向SN发送根据UE与SN之间的用户面安全保护方法进行安全保护的第二上行用户面数据。相应地，SN接收来自UE的第二上行用户面数据。

UE使用SN激活的用户面安全保护方法、SN选择的安全算法以及生成的保护用户面数据的密钥对上行用户面数据进行安全保护，并向SN发送安全保护后的第二上行用户面数据。

步骤S416，SN对上行用户面数据进行解安全保护。

SN在接收到MN转发的上行用户面数据时，根据SN激活的用户面安全保护方法对该上行用户面数据进行解安全保护，包括根据SN激活的用户面安全保护方法对该上行用户面数据进行完整性保护验证，根据SN选择的安全算法和生成的保护用户面数据的密钥对该上行用户面数据进行解密。

SN在接收到来自UE的上行用户面数据时，根据SN激活的用户面安全保护方法对该上行用户面数据进行解安全保护验，包括根据SN激活的用户面安全保护方法对该上行用户面数据进行完整性保护验证，根据SN选择的安全算法和生成的保护用户面数据的密钥对该上行用户面数据进行解密。

若UE发出的上行用户面数据是先加密保护，再完整性保护，则SN在接收到上行用户面数据时先完整性保护验证，再解密。若UE发出的上行用户面数据是先完整性保护，再加密保护，则SN在接收到上行用户面数据时先解密，再完整性保护验证。

步骤S417，SN向UPF发送解安全保护后的上行用户面数据。

SN向UPF发送解密和完整性保护验证后的上行用户面数据，以便UPF将该上行用户面数据发送至相应的数据网络。

步骤S413-步骤S417是针对上行用户面数据的安全保护，对于下行用户面数据，SN接收来自UPF的下行用户面数据，使用SN与UE之间的用户面安全保护方法、SN与UE之间的安全算法以及生成的保护用户面数据的密钥对下行用户面数据进行安全保护，一路直接向UE发送安全保护后的下行用户面数据；另一路通过MN向UE发送安全保护后的下行用户面数据，UE在接收到安全保护后的下行用户面数据时根据UE与SN之间的用户面安全保护方法对下行用户面数据进行解安全保护，以便UE获取下行用户面数据。

在图4所示的实施例中，MN判断出用户面安全终结点在SN上，SN激活其与UE之间的用户面安全保护方法和安全算法，并将其通知至MN，由MN告知UE，SN激活的用户面安全保护方法和SN选择的安全算法，进而UE可根据该用户面安全保护方法和该安全算法对上行用户面数据进行安全保护，实现UE与SN之间的用户面安全保护，从而可以保证5G双连接场景下用户面数据传输的机密性和完整性。

作为一种可选的实施例，若SN为gNB，SN与UE之间可以存在信令面路径的情况下，SN在确定其与UE之间的用户面安全保护方法和安全算法的情况下，可直接通过RRC连接重配置消息向UE发送用户面安全开启类型指示信息和SN选择的安全算法。UE在接收到来自SN的RRC连接重配置消息的情况下，根据SN激活的用户面安全保护方法和选择 的安全算法对上行用户面数据进行安全保护，向SN发送上行用户面数据。

以本申请实施例应用于图3b所示的双连接网络架构示意图为例，如图5所示，为本申请实施例二提供的双连接通信方法的流程示意图，在该实施例中，用户终端以UE为例，接入管理网元以AMF为例，会话管理网元以SMF为例，用户面网元以UPF为例进行介绍。该方法可以包括但不限于如下步骤：

步骤S501，MN获取第一用户面安全策略。

步骤S501的实现过程可参见图4所示实施例中步骤S401的具体描述，在此不再赘述。

步骤S502，若用户面安全终结点在MN上，则MN不需要为SN生成Ksn。

在用户面安全终结点在MN上的情况下，由MN对用户面数据进行安全保护，此时MN不需要为SN生成Ksn，即不需要使用Kmn计算得到Ksn。

若MN为ng-eNB，ng-eNB上可固定配置有用户面安全保护方法，则MN可将其所配置的用户面安全保护方法确定并激活MN与UE之间的用户面安全保护方法。

可选地，步骤S502之后，还包括步骤S503，MN生成第二用户面安全策略。

步骤S503的实现过程可参见图4所示实施例中步骤S402的具体描述，在此不再赘述。

MN可根据生成的第二用户面安全策略确定MN与UE之间的用户面安全保护方法，可与图4所示实施例中SN根据生成的第二用户面安全策略确定SN与UE之间的用户面安全保护方法类似。MN在确定MN与UE之间的用户面安全保护方法的情况下，激活MN与UE之间的用户面安全保护方法。

步骤S504，MN向SN发送第一消息。相应地，SN接收来自MN的第一消息。

与步骤S403不同之处在于，步骤S504中第一消息不携带任何用户面安全策略，由于MN不生成Ksn，那么第一消息也不携带Ksn。步骤S504中的第一消息可携带PDU会话标识，还可以携带其他用户面信息，例如DRB标识等。

步骤S505，SN向MN发送第二消息。相应地，MN接收来自SN的第二消息。

可选地，步骤S505之后，还包括步骤S506，UE与MN进行AS SMC流程。

步骤S506的实现过程可参见图4所示实施例中步骤S407的具体描述，在此不再赘述。

可选地，步骤S505之后，还包括步骤S507和步骤S508。

步骤S507，MN向AMF发送第五消息，该第五消息包括第三用户面安全策略。相应地，AMF接收来自MN的第五消息。

其中，第五消息可以是安全结果消息。

在MN生成了第二用户面安全策略的情况下，安全结果消息所携带的第三用户面安全策略即为MN生成的第二用户面安全策略。在MN未生成第二用户面安全策略的情况下，N2请求所携带的第三用户面安全策略即为获取的第一用户面安全策略。

步骤S508，AMF向MN发送第六消息。相应地，MN接收来自AMF的第六消息。

步骤S509，MN向UE发送第三消息，该第三消息求包括用户面安全开启类型指示信息。相应地，UE接收来自MN的第三消息。

其中，第三消息可以是RRC连接重配置请求。

其中，用户面安全开启类型指示信息用于指示MN激活的MN与UE之间的用户面安 全保护方法。

步骤S510，UE确定安全算法，激活UE与MN之间的用户面安全保护方法。

UE可从AS SMC中获知MN与UE之间的安全算法。

UE在接收到第三消息的情况下，可获知MN与UE之间的用户面安全保护方法，UE激活与MN之间的用户面安全保护方法，即根据用户面安全保护方法对与MN之间的用户面数据进行安全保护。此时，UE不激活与SN之间的用户面安全保护方法。

步骤S511，UE向MN发送第四消息。相应地，MN接收来自UE的第四消息。

UE根据UE与MN之间的用户面安全保护方法对上行用户面数据进行安全保护，可包括UE使用UE与MN之间的用户面安全保护方法、UE与MN之间的安全算法以及保护用户面数据的密钥对上行用户面数据进行安全保护。

步骤S512，UE向SN发送根据UE与MN之间的用户面安全保护方法进行安全保护的第一上行用户面数据。相应地，SN接收来自UE的第一上行用户面数据。

步骤S513，SN向MN发送根据UE与MN之间的用户面安全保护方法进行安全保护的第一上行用户面数据。相应地，MN接收来自SN的第一上行用户面数据。

在步骤S512和步骤S513中，SN根据MN与UE之间的用户面安全保护方法将UE发送的上行用户面数据转发至MN，即SN透传UE安全保护后的上行用户面数据。

步骤S514，UE向MN发送根据UE与MN之间的用户面安全保护方法进行安全保护的第二上行用户面数据。相应地，MN接收来自UE的第二上行用户面数据。

步骤S515，MN对上行用户面数据进行解安全保护。

步骤S516，MN向UPF发送解安全保护后的上行用户面数据。

在图5所示的实施例中，MN判断出用户面安全终结点在MN上，MN将MN与UE之间的用户面安全保护方法通知至MN，由MN告知UE，UE与MN之间的用户面安全保护方法，进而UE可根据该用户面安全保护方法对上行用户面数据进行安全保护，实现UE与MN之间的用户面安全保护，从而可以保证5G双连接场景下用户面数据传输的机密性和完整性。

上述详细阐述了本申请实施例的方法，下面提供了本申请实施例的装置。

请参见图6，是本申请实施例提供的双连接通信装置的逻辑结构示意图，该双连接通信装置60可以包括收发单元601和处理单元602。该双连接通信装置60可以是主基站，也可以是辅基站，还可以是用户终端。

针对该双连接通信装置60为主基站的情况：

收发单元601，用于向辅基站发送第一消息，该第一消息包括用户面安全策略，该用户面安全策略用于辅基站确定辅基站与用户终端之间的用户面安全保护方法；还用于接收来自辅基站的第二消息，该第二消息包括用户面安全开启类型指示信息，该用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；还用于向用户终端发送第三消息，该第三消息包括该用户面安全开启类型指示信息。该主基站还可以包括处理单元，用于生成第二用户面安全策略。

在一种可能的实现方式中，处理单元602，用于在辅基站不支持用户面完整性保护的情况下，确定用户面安全策略中的用户面完整性保护指示信息不是开启的。

在一种可能的实现方式中，处理单元602，还用于获取用户终端的第一用户面安全策略。

在一种可能的实现方式中，处理单元602，还用于根据用户终端的第一用户面安全策略生成第二用户面安全策略。

在一种可能的实现方式中，处理单元602，还用于根据第二用户面安全策略确定主基站与用户终端之间的用户面安全保护方法，在用户面安全终结点在辅基站的情况下，不激活主基站与用户终端之间的用户面安全保护方法。

在一种可能的实现方式中，收发单元601，还用于接收来自用户终端的上行用户面数据，该上行用户面数据为用户终端根据用户终端与辅基站之间的用户面安全保护方法进行安全保护后的数据，并向辅基站发送该上行用户面数据。

该双连接通信装置60为主基站时，除了可以实现图4所述方法实施例中MN的功能外，还能实现图5所示实施例中MN的功能，该双连接通信装置60中各个单元执行详细过程可以参见前述方法实施例中MN的执行步骤，此处不在赘述。

针对该双连接通信装置60为辅基站的情况：

收发单元601，用于接收来自主基站的第一消息，第一消息包括用户面安全策略；

处理单元602，根据用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法；

处理单元602，还用于激活辅基站与用户终端之间的用户面安全保护方法；

收发单元602，还用于向主基站发送第二消息，第二消息包括用户面安全开启类型指示信息，用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法。

在一种可能的实现方式中，用户面安全策略为用户终端的第一用户面安全策略；处理单元601用于用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法时，具体用于根据第一用户面安全策略生成第三用户面安全策略，根据第三用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法。

在一种可能的实现方式中，用户面安全策略为主基站根据第一用户面安全策略生成的第二用户面安全策略；处理单元602用于用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法时，具体用于根据第二用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法。

在一种可能的实现方式中，收发单元601，还用于分别接收来自主基站以及用户终端的第一上行用户面数据和第二上行用户面数据；其中，第一上行用户面数据和第二用户面数据为用户终端根据用户终端与辅基站之间的用户面安全保护方法进行安全保护后的用户面数据；处理单元602，还用于对第一上行用户面数据和第二用户面数据进行解安全保护，得到解安全保护后的用户面数据；收发单元601，还用于向用户面网元发送解安全保护后的用户面数据。

该双连接通信装置60为辅基站时，除了可以实现图4所述方法实施例中SN的功能外，还能实现图5所示实施例中SN的功能，该双连接通信装置60中各个单元执行详细过程可以参见前述方法实施例中SN的执行步骤，此处不在赘述。

针对该双连接通信装置60为用户终端的情况：

收发单元601，用于接收来自主基站的第三消息，第三消息包括用户面安全开启类型指示信息和辅基站选择的安全算法，用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；

处理单元602，用于根据用户面安全开启类型指示信息和辅基站选择的安全算法，激活与辅基站之间的用户面安全保护方法；

处理单元602，还用于根据用户终端与辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护。

在一种可能的实现方式中，处理单元602用于根据用户终端与辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护时，具体用于控制收发单元601分别向辅基站以及主基站发送第一上行用户面数据和第二上行用户面数据；其中，第一上行用户面数据和第二用户面数据为用户终端根据用户终端与辅基站之间的用户面安全保护方法进行安全保护后的用户面数据。

该双连接通信装置60为用户终端时，除了可以实现图4所述方法实施例中UE的功能外，还能实现图5所示实施例中UE的功能，该双连接通信装置60中各个单元执行详细过程可以参见前述方法实施例中UE的执行步骤，此处不在赘述。

请参见图7，是本申请实施例提供的双连接通信装置的实体结构简化示意图。该双连接通信装置70可以是主基站，也可以是辅基站，还可以是用户终端。

该双连接通信装置70包括收发器701、处理器702和存储器703。收发器701、处理器702和存储器703可以通过总线704相互连接，也可以通过其它方式相连接。图6所示的收发单元601所实现的相关功能可以由收发器701来实现。图6所示的处理单元602所实现的相关功能可以通过一个或多个处理器702来实现。

存储器703包括但不限于是随机存储记忆体(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程只读存储器(erasable programmable read only memory，EPROM)、或便携式只读存储器(compact disc read-only memory，CD-ROM)，该存储器703用于相关指令及数据。

收发器701用于发送数据和/或信令，以及接收数据和/或信令。

若该双连通信装置70是图4和图5所示实施例中的MN，则收发器701可用于与UE、SN、AMF和UPF进行通信，例如执行图4所示实施例中的步骤S403、步骤S406、步骤S407、步骤S408、步骤S409、步骤S410、步骤S413和步骤S414；执行图5所示实施例中的步骤S504、步骤S505、步骤S506、步骤S507、步骤S508、步骤S509、步骤S511、步骤S513、步骤S514和步骤S516。需要说明的是，在用户面安全终结点在MN上的情况下，收发器701与UPF进行用户面数据传输。

若该通信装置70是图4和图5所示实施例中的SN，则收发器701可用于与MN、UE和UPF进行通信，例如执行图4所示实施例中的步骤S403、步骤S406、步骤S414、步骤S415和步骤S417；执行图5所示实施例中的步骤S504、步骤S505、步骤S512和步骤S513。需要说明的是，在用户面安全终结点在SN上的情况下，收发器701与UPF进行用户面数据传输。

若该通信装置70是图4和图5所示实施例中的UE，则收发器701可用于与MN和SN进行通信，例如执行图4所示实施例中的步骤S407、步骤S410、步骤S412、步骤S413和步骤S415；执行图5所示实施例中的步骤S506、步骤S509、步骤S511、步骤S512和步骤S514。

处理器702可以包括是一个或多个处理器，例如包括一个或多个中央处理器(central processing unit，CPU)，在处理器702是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

若该通信装置70是图4和图5所示实施例中的MN，则处理器702可用于执行控制MN的操作，例如执行图4所示实施例中的步骤S401和步骤S402；执行图5所示实施例中的步骤S501、步骤S502、步骤S503和步骤S515。

若该通信装置70是图4和图5所示实施例中的SN，则处理器702可用于执行控制SN的操作，例如执行图4所示实施例中的步骤S404、步骤S405和步骤S416。

若该通信装置70是图4和图5所示实施例中的UE，则处理器702可用于执行控制MN的操作，例如执行图4所示实施例中的步骤S411；执行图5所示实施例中的步骤S510。

存储器703用于存储双连接通信装置70的程序代码和数据。

关于处理器702和收发器701所执行的步骤，具体可参见图4和图5所示实施例的描述，在此不再赘述。

可以理解的是，图7仅仅示出了双连接通信装置的简化设计。在实际应用中，双连接通信装置还可以分别包含必要的其他元件，包含但不限于任意数量的收发器、处理器、控制器、存储器、通信单元等，而所有可以实现本申请的设备都在本申请的保护范围之内。

本申请实施例还提供一种双连接通信系统，可以包括主基站和辅基站，该主基站和该辅基站可以用于实现图4所示实施例中MN和SN的功能，还可以用于实现图5所示实施例中MN和SN的功能。

该双连接通信系统还可以包括用户终端，该用户终端可以用于实现图4所示实施例中UE的功能，还可以用于实现图5所示实施例中UE的功能。

该双连接通信系统还可以包括用户面网元，该用户面网元可用于与辅基站交互，接收来自辅基站的上行用户面数据以及向辅基站发送下行用户面数据，实现图4所示实施例中UPF的功能；该用户面网元可用于与主基站交互，接收来自主基站的上行用户面数据以及向主基站发送下行用户面数据，实现图5所示实施例中UPF的功能。

该双连接通信系统还可以包括接入管理网元，该接入管理网元可用于与主基站交互，实现图4所示实施例中AMF的功能，还可以实现图5所示实施例中AMF的功能。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，该流程可以由计算机程序来指令相关的硬件完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法实施例的流程。而前述的存储介质包括：ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。因此，本申请又一实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

本申请又一实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时， 使得计算机执行上述各方面所述的方法。

本领域普通技术人员可以意识到，结合本申请中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

Claims (69)

1. 一种双连接通信方法，其特征在于，包括：

   主基站向辅基站发送第一消息，第一消息包括第二用户面安全策略，所述第二用户面安全策略用于所述辅基站确定所述辅基站与所述用户终端之间的用户面安全保护方法；

   所述主基站接收来自所述辅基站的第二消息，所述第二消息包括用户面安全开启类型指示信息，所述用户面安全开启类型指示信息用于指示所述辅基站与所述用户终端之间的用户面安全保护方法；

   所述主基站向所述用户终端发送第三消息，所述第三消息包括所述用户面安全开启类型指示信息。
2. 根据权利要求1所述的方法，其特征在于，所述主基站向辅基站发送第一消息之前，所述方法还包括：

   在所述辅基站不支持用户面完整性保护的情况下，所述主基站确定所述第二用户面安全策略中的用户面完整性保护指示信息不是开启的。
3. 根据权利要求1所述的方法，其特征在于，所述第二消息还包括所述辅基站与所述用户终端之间的安全算法，所述第三消息还包括所述辅基站与所述用户终端之间的安全算法。
4. 根据权利要求1所述的方法，其特征在于，在所述主基站向辅基站发送第一消息之前，所述方法还包括：

   所述主基站获取所述用户终端的第一用户面安全策略。
5. 根据权利要求4所述的方法，其特征在于，所述第二用户面安全策略为所述用户终端的第一用户面安全策略。
6. 根据权利要求4所述的方法，其特征在于，

   在所述主基站向辅基站发送第一消息之前，所述方法还包括：

   所述主基站根据所述用户终端的第一用户面安全策略，生成所述第二用户面安全策略。
7. 根据权利要求6所述的方法，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
8. 根据权利要求6所述的方法，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为倾向开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
9. 根据权利要求6所述的方法，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为不开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
10. 根据权利要求8或9所述的方法，其特征在于，所述辅基站为下一代演进型基站节点ng-eNB。
11. 根据权利要求6所述的方法，其特征在于，在所述主基站不支持用户面完整性保护且所述辅基站支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面 完整性保护指示信息为倾向开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
12. 根据权利要求6所述的方法，其特征在于，在所述主基站不支持用户面完整性保护且所述辅基站支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为不开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
13. 根据权利要求11或12所述的方法，其特征在于，所述主基站为ng-eNB，所述辅基站为下一代基站节点gNB。
14. 一种双连接通信方法，其特征在于，包括：

    辅基站接收来自主基站的第一消息，所述第一消息包括第二用户面安全策略；

    所述辅基站根据所述第二用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法；

    所述辅基站激活所述辅基站与用户终端之间的用户面安全保护方法；

    所述辅基站向所述主基站发送第二消息，所述第二消息包括用户面安全开启类型指示信息，所述用户面安全开启类型指示信息用于指示所述辅基站与所述用户终端之间的用户面安全保护方法。
15. 根据权利要求14所述的方法，其特征在于，所述第二消息还包括所述辅基站与所述用户终端之间的安全算法。
16. 根据权利要求14所述的方法，其特征在于，所述第二用户面安全策略为所述用户终端的第一用户面安全策略，其中，所述第一用户面安全策略来自会话管理网元；

    所述辅基站根据所述第二用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法，包括：

    所述辅基站根据所述第一用户面安全策略生成第三用户面安全策略；

    所述辅基站根据所述第三用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法。
17. 根据权利要求14所述的方法，其特征在于，所述辅基站根据所述第二用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法，包括：

    当所述第二用户面安全策略中的用户面完整性保护指示信息为倾向开启时，所述辅基站确定是否开启所述辅基站与用户终端之间的用户面完整性保护。
18. 根据权利要求17所述的方法，其特征在于，所述辅基站确定是否开启用户面完整性保护，包括：

    在所述辅基站不支持用户面完整性保护的情况下，所述辅基站确定不开启所述辅基站与用户终端之间的用户面完整性保护。
19. 一种双连接通信方法，其特征在于，包括：

    用户终端接收来自主基站的第三消息，所述第三消息包括用户面安全开启类型指示信息和所述辅基站选择的安全算法，所述用户面安全开启类型指示信息用于指示辅基站与所述用户终端之间的用户面安全保护方法；

    所述用户终端根据所述用户面安全开启类型指示信息和所述辅基站选择的安全算法， 激活与所述辅基站之间的用户面安全保护方法；

    所述用户终端根据所述用户终端与所述辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护。
20. 根据权利要求19所述的方法，其特征在于，所述用户终端根据所述用户终端与所述辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护，包括：

    所述用户终端分别向所述辅基站以及所述主基站发送第一上行用户面数据和第二上行用户面数据；其中，所述第一上行用户面数据和所述第二用户面数据为所述用户终端根据所述用户终端与所述辅基站之间的用户面安全保护方法进行安全保护后的用户面数据。
21. 一种主基站，其特征在于，包括收发单元；

    所述收发单元，用于向辅基站发送第一消息，第一消息包括第二用户面安全策略，所述第二用户面安全策略用于所述辅基站确定所述辅基站与所述用户终端之间的用户面安全保护方法；

    所述收发单元，还用于接收来自所述辅基站的第二消息，所述第二消息包括用户面安全开启类型指示信息，所述用户面安全开启类型指示信息用于指示所述辅基站与所述用户终端之间的用户面安全保护方法；

    所述收发单元，还用于向所述用户终端发送第三消息，所述第三消息包括所述用户面安全开启类型指示信息。
22. 根据权利要求21所述的主基站，其特征在于，所述主基站还包括处理单元，

    在所述辅基站不支持用户面完整性保护的情况下，所述处理单元，用于确定所述第二用户面安全策略中的用户面完整性保护指示信息不是开启的。
23. 根据权利要求21所述的主基站，其特征在于，所述第二消息还包括所述辅基站与所述用户终端之间的安全算法，所述第三消息还包括所述辅基站与所述用户终端之间的安全算法。
24. 根据权利要求21所述的主基站，其特征在于，所述主基站还包括处理单元，

    所述处理单元，用于获取所述用户终端的第一用户面安全策略。
25. 根据权利要求24所述的主基站，其特征在于，所述第二用户面安全策略为所述用户终端的第一用户面安全策略。
26. 根据权利要求24所述的主基站，其特征在于，所述处理单元，还用于根据所述用户终端的第一用户面安全策略，生成所述第二用户面安全策略。
27. 根据权利要求26所述的主基站，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
28. 根据权利要求26所述的主基站，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为倾向开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
29. 根据权利要求26所述的主基站，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为不开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
30. 根据权利要求28或29所述的方法，其特征在于，所述辅基站为ng-eNB。
31. 根据权利要求26所述的主基站，其特征在于，在所述主基站不支持用户面完整性保护且所述辅基站支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为倾向开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
32. 根据权利要求26所述的主基站，其特征在于，在所述主基站不支持用户面完整性保护且所述辅基站支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为不开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
33. 根据权利要求31或32所述的方法，其特征在于，所述主基站为ng-eNB，所述辅基站为gNB。
34. 一种通信装置，其特征在于，所述通信装置包括存储器以及与所述存储器耦合的处理器；

    所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述通信装置执行上述权利要求1-13任一所述的方法。
35. 一种辅基站，其特征在于，所述辅基站包括收发单元和处理单元，

    所述收发单元，用于接收来自主基站的第一消息，所述第一消息包括第二用户面安全策略；

    所述处理单元，用于根据所述第二用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法；

    所述处理单元，还用于激活所述辅基站与用户终端之间的用户面安全保护方法；

    所述收发单元，还用于向所述主基站发送第二消息，所述第二消息包括用户面安全开启类型指示信息，所述用户面安全开启类型指示信息用于指示所述辅基站与所述用户终端之间的用户面安全保护方法。
36. 根据权利要求35所述的辅基站，其特征在于，所述第二消息还包括所述辅基站与所述用户终端之间的安全算法。
37. 根据权利要求35所述的辅基站，其特征在于，所述第二用户面安全策略为所述用户终端的第一用户面安全策略；其中，所述第一用户面安全策略来自会话管理网元；

    所述处理单元用于根据所述第二用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法，具体为根据所述第一用户面安全策略生成第三用户面安全策略；根据所述第三用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法。
38. 根据权利要求35所述的辅基站，其特征在于，所述处理单元用于根据所述第二用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法，具体为当所述第二用户面安全策略中的用户面完整性保护指示信息为倾向开启时，确定是否开启所述辅基站与用户终端之间的用户面完整性保护。
39. 根据权利要求38所述的辅基站，其特征在于，所述处理单元用于确定是否开启用户面完整性保护，具体为在所述辅基站不支持用户面完整性保护的情况下，确定不开启所述辅基站与用户终端之间的用户面完整性保护。
40. 一种通信装置，其特征在于，所述通信装置包括存储器以及与所述存储器耦合的处理器；

    所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述通信装置执行上述权利要求14-18任一所述的方法。
41. 一种用户终端，其特征在于，包括收发单元和处理单元，

    所述收发单元，用于接收来自主基站的第三消息，所述第三消息包括用户面安全开启类型指示信息和所述辅基站选择的安全算法，所述用户面安全开启类型指示信息用于指示辅基站与所述用户终端之间的用户面安全保护方法；

    所述处理单元，用于根据所述用户面安全开启类型指示信息和所述辅基站选择的安全算法，激活与所述辅基站之间用户面安全保护方法；

    所述收发单元，还用于根据所述用户终端与所述辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护。
42. 根据权利要求41所述的用户终端，其特征在于，所述处理单元用于根据所述用户面安全开启类型指示信息和所述辅基站选择的安全算法，激活与所述辅基站之间的用户面安全保护方法，具体为控制所述收发单元分别向所述辅基站以及所述主基站发送第一上行用户面数据和第二上行用户面数据；其中，所述第一上行用户面数据和所述第二用户面数据为所述用户终端根据所述用户终端与所述辅基站之间的用户面安全保护方法进行安全保护后的用户面数据。
43. 一种通信装置，其特征在于，所述通信装置包括存储器以及与所述存储器耦合的处理器；

    所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述通信装置执行上述权利要求19-20任一所述的方法。
44. 根据权利要求43所述的装置，其特征在于，所述装置为用户终端或者用户终端中的芯片。
45. 一种双连接通信系统，其特征在于，包括主基站和辅基站；

    所述主基站，用于向所述辅基站发送第一消息，所述第一消息包括第二用户面安全策略；

    所述辅基站，用于接收所述主基站发送的第一消息，根据所述第二用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法；向所述主基站发送第二消息，所述第二消息包括用户面安全开启类型指示信息，所述用户面安全开启类型指示信息用于指示所述辅基站与所述用户终端之间的用户面安全保护方法；

    所述主基站，还用于接收来自所述辅基站发送的第二消息，并向用户终端发送第三消息，所述第三消息包括所述用户面安全开启类型指示信息。
46. 根据权利要求45所述的系统，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，所述主基站，还用于确定所述第二用户面安全策略中的用户面完整性保护指示信息不是开启的。
47. 根据权利要求45所述的系统，其特征在于，所述第二消息还包括所述辅基站与所述用户终端之间的安全算法，所述第三消息还包括所述辅基站与所述用户终端之间的安全 算法。
48. 根据权利要求45所述的系统，其特征在于，所述主基站，还用于获取所述用户终端的第一用户面安全策略；其中，所述第一用户面安全策略来自会话管理网元。
49. 根据权利要求48所述的系统，其特征在于，所述第二用户面安全策略为所述用户面设备的第一用户面安全策略；

    所述辅基站，用于根据所述第二用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法，具体为：

    根据所述第一用户面安全策略生成第三用户面安全策略；根据所述第三用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法。
50. 根据权利要求48所述的系统，其特征在于，所述主基站，还用于根据所述用户终端的第一用户面安全策略，生成所述第二用户面安全策略。
51. 根据权利要求50所述的系统，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
52. 根据权利要求50所述的系统，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为倾向开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
53. 根据权利要求50所述的系统，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为不开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
54. 根据权利要求52或53所述的系统，其特征在于，所述辅基站为ng-eNB。
55. 根据权利要求50所述的系统，其特征在于，在所述主基站不支持用户面完整性保护且所述辅基站支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为倾向开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
56. 根据权利要求50所述的系统，其特征在于，在所述主基站不支持用户面完整性保护且所述辅基站支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为不开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。
57. 根据权利要求55或56所述的系统，其特征在于，所述主基站为ng-eNB，所述辅基站为gNB。
58. 根据权利要求45所述的系统，其特征在于，当所述第二用户面安全策略中的用户面完整性保护指示信息为倾向开启时，所述辅基站用于确定是否开启所述辅基站与用户终端之间的用户面完整性保护。
59. 根据权利要求58所述的系统，其特征在于，所述辅基站用于确定是否开启所述辅基站与用户终端之间的用户面完整性保护，具体为：在所述辅基站不支持用户面完整性保护的情况下，确定不开启所述辅基站与用户终端之间的用户面完整性保护。
60. 根据权利要求45-59任一项所述的系统，其特征在于，所述系统还包括用户面网 元；

    所述主基站，还用于接收来自所述用户终端发送的所述第一上行用户面数据，并将所述第一上行用户面数据发送给所述辅基站；

    所述辅基站，还用于接收来自所述用户终端发送的所述第二上行用户面数据以及所述主基站发送的第一用户面上行数据；对所述第一上行用户面数据和所述第二用户面数据进行解安全保护，得到解安全保护后的用户面数据；向所述用户面网元发送所述解安全保护后的用户面数据；其中，所述第一上行用户面数据和所述第二用户面数据为所述用户终端根据所述用户终端与所述辅基站之间的用户面安全保护方法进行安全保护后的用户面数据。
61. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1到13任一项所述的方法。
62. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括指令，当所述指令在计算机上运行时，使得计算机执行如权利要求14到18任一项所述的方法。
63. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括指令，当所述指令在计算机上运行时，使得计算机执行如权利要求19到20任一项所述的方法。
64. 一种包含指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得计算机执行如权利要求1到13任一项所述的方法。
65. 一种包含指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得计算机执行如权利要求14到18任一项所述的方法。
66. 一种包含指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得计算机执行如权利要求19到20任一项所述的方法。
67. 一种计算机芯片，其特征在于，所述芯片与存储器相连，所述芯片用于读取并执行所述存储器中存储的软件程序，执行如权利要求1到13任一项所述的方法。
68. 一种计算机芯片，其特征在于，所述芯片与存储器相连，所述芯片用于读取并执行所述存储器中存储的软件程序，执行如权利要求14到18任一项所述的方法。
69. 一种计算机芯片，其特征在于，所述芯片与存储器相连，所述芯片用于读取并执行所述存储器中存储的软件程序，执行如权利要求19到20任一项所述的方法。

Images