WO2020078184A1

WO2020078184A1 - 用户面数据完整性保护方法、装置、电子设备及介质

Info

Publication number: WO2020078184A1
Application number: PCT/CN2019/107884
Authority: WO
Inventors: 刘福文; 彭晋
Original assignee: 中国移动通信有限公司研究院; 中国移动通信集团有限公司
Priority date: 2018-10-16
Filing date: 2019-09-25
Publication date: 2020-04-23
Also published as: CN111064673B; CN111064673A

Abstract

本公开公开了一种用户面数据完整性保护方法、装置、电子设备及介质，所述方法包括：针对用户面数据包，识别所述用户面数据包中的PDCP SDU；仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

Description

用户面数据完整性保护方法、装置、电子设备及介质

相关申请的交叉引用

本申请主张在2018年10月16日在中国提交的中国专利申请号No.201811202994.X的优先权，其全部内容通过引用包含于此。

技术领域

本公开涉及通信技术领域，尤其涉及一种用户面数据完整性保护方法、装置、电子设备及存储介质。

背景技术

在通信技术领域，按照数据类型进行划分，通常可以将数据划分为用户面数据和控制面数据，用户面数据指的是真正的业务数据，例如：语音数据或者分组业务数据等，控制面数据通常指的是信令。如图1和图2所示，4G网络和5G网络的用户面的协议堆栈不同，5G网络相较于4G网络的包数据聚合协议(Packet Data Convergence Protocol，PDCP)、无线链路控制(Radio Link Control，RLC)、媒介接入控制(Medium Access control，MAC)、物理层(Port Physical Layer，PHY)增加了业务数据适配协议(Service Data Adaptation Protocol，SDAP)，用以提供比4G网络的用户面数据的服务质量(Quality of Service，QoS)更细粒度的管理。因此，如图3和图4所示，5G网络的用户面数据包相较于4G网络的用户面数据包包括数据载荷(Data Payload)、数据载荷包头(H _data)和PDCP包头(H _PDCP)增加了SDAP包头(H _SDAP)。

相关用户面数据完整性保护通常是在PDCP层执行，是将用户面数据包中PDCP层业务数据单元(Service Data Unit，SDU)，即PDCP SDU，作为需要完整性保护的消息(MESSAGE)，并具体将PDCP SDU中的包头和数据载荷作为设定的完整性保护函数的输入参数，基于设定的完整性保护函数生成消息验证码(MAC-I)，来实现对用户面数据的完整性保护。

然而，根据PDCP SDU生成MAC-I，尤其是对于高速接入的用户面数据，如高清视频的用户面数据等，电子设备生成MAC-I的计算负载很大，并且随着网络的不断提速，单纯的提升电子设备硬件水平，已经不能有效的解决用户面数据完整性保护给电子设备带来的计算负载的问题，因此，需要一种能降低计算负载的用户面数据完整性保护方案。

发明内容

本公开提供一种用户面数据完整性保护方法、装置、电子设备及存储介质，用以解决相关技术中存在给电子设备带来很大计算负载的问题。

第一方面，本公开公开了一种用户面数据完整性保护方法，应用于电子设备，所述方法包括：

针对用户面数据包，识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU；以及

仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的消息验证码MAC-I。

通过本公开的用户面数据完整性保护方法，仅根据用户面数据包中包含的包头及设定的完整性保护函数，生成用户面数据包的MAC-I，不将用户面数据包中的数据载荷参与到MAC-I的生成计算中，降低了用户面数据完整性保护给电子设备带来的计算负载。

可选的，所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I包括：

根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

可选的，如果所述用户面数据包为5G网络的用户面数据包，所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I包括：

识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；

如果是，根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I；

如果否，根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

可选的，如果所述用户面数据包为4G网络的用户面数据包，所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I之前，所述方法还包括：

如果是，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I；

如果否，则结束。

通过上述可选方式，只对会话上的初始数据包包头进行完整性保护，进一步降低了用户面数据完整性保护给电子设备带来的计算负载。

可选的，如果所述用户面数据包为4G网络的用户面数据包，所述方法还包括：

将所述MAC-I添加至所述用户面数据包中。

可选的，所述将所述MAC-I添加至所述用户面数据包中之前，所述方法还包括：

识别所述用户面数据包中PDCP包头中的PDCP序列号，并根据所述PDCP序列号生成数据包计数值COUNT；或，

当建立了接入层(Access Stratum，AS)安全上下文后，设置COUNT为0，每发送或接受一个数据包COUNT的值加1；

所述将所述MAC-I添加至所述用户面数据包中包括：

将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间，或添加至所述用户面数据包的尾部。

通过上述可选方式，对于4G网络可以在应用层，进行用户面数据保护，无需对相关设备的硬件进行升级即可实现。

可选的，所述电子设备支持的用户面数据完整性的保护策略包括：

对于协议数据单元PDU会话上的所有流量必须进行用户面完整性保护；或，

对于PDU会话上的所有流量的数据包包头必须进行完整性保护；或，

只对PDU会话上的初始数据包包头必须进行完整性保护；或，

对于PDU会话上的所有流量首选进行用户面完整性保护；或，

对于PDU会话上的所有流量的数据包包头首选进行完整性保护；或，

对PDU会话上的初始数据包包头首选进行完整性保护；或，

对于PDU会话上的所有流量不进行用户面完整性保护。

第二方面，本公开公开了一种用户面数据完整性保护装置，应用于电子设备，所述装置包括：

识别模块，用于针对用户面数据包，识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU；以及

生成模块，用于仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的消息验证码MAC-I。

第三方面，本公开公开了一种电子设备，包括：存储器和处理器；

所述处理器，用于读取存储器中的程序，执行下列过程：针对用户面数据包，识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU；以及，仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的消息验证码MAC-I。

可选的，所述处理器，具体用于根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

可选的，所述处理器，具体用于如果所述用户面数据包为5G网络的用户面数据包，识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；如果是，根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I；如果否，根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

可选的，所述处理器，具体用于如果所述用户面数据包为4G网络的用户面数据包，识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；如果是，进行根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I的步骤；如果否，则结束。

可选的，所述处理器，还用于如果所述用户面数据包为4G网络的用户面数据包，将所述MAC-I添加至所述用户面数据包中。

可选的，所述处理器，具体用于识别所述用户面数据包中PDCP包头中的PDCP序列号，并根据所述PDCP序列号生成数据包计数值COUNT；或，当建立了AS安全上下文后，设置COUNT为0，每发送或接受一个数据包COUNT的值加1；将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间，或添加至所述用户面数据包的尾部。

第四方面，本公开公开了一种电子设备，包括：处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

所述存储器中存储有计算机程序，当所述程序被所述处理器执行时，使得所述处理器执行上述任一项所述方法的步骤。

第五方面，本公开公开了一种计算机可读存储介质，其存储有可由电子设备执行的计算机程序，当所述程序在所述电子设备上运行时，使得所述电子设备执行上述任一项所述方法的步骤。

本公开有益效果如下：

由于在本公开的一些实施例中，电子设备针对用户面数据包，仅根据用户面数据包中包含的包头及设定的完整性保护函数，生成用户面数据包的MAC-I，不将用户面数据包中的数据载荷参与到MAC-I的生成计算中，降低了生成MAC-I的计算负载，提供了一种能降低计算负载的用户面数据完整性保护方案。

附图说明

为了更清楚地说明本发明的一些实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为4G网络用户面的协议堆栈示意图；

图2为5G网络用户面的协议堆栈示意图；

图3为4G网络用户面数据包示意图；

图4为5G网络用户面数据包示意图；

图5为本公开的一些实施例提供的用户面数据完整性保护过程示意图；

图6为本公开的一些实施例提供的用户面数据包封装过程示意图；

图7为本公开的一些实施例提供的用户面数据包结构示意图；

图8为本公开的一些实施例提供的用户面数据完整性保护装置结构示意图；

图9为本公开的一些实施例提供的电子设备之一；以及

图10为本公开的一些实施例提供的电子设备之二。

具体实施方式

为了使本公开的目的、技术方案和优点更加清楚，下面将结合附图本公开作进一步地详细描述，显然，所描述的实施例仅仅是本公开的一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

相关用户面数据保护方法，包括对PDCP层的H _PDCP和PDCP SDU进行完整性保护。用户面数据完整性保护，通过使用完整性保护函数生成MAC-I来实现，完整性保护函数的输入参数包括：数据包计数值(COUNT)、MESSAGE、数据传输方向(DIRECTION)、BEARER(载波标识)、完整性密钥(KEY)；其中，H _PDCP中的PDCP序列号(PDCP SN)用于构成COUNT、MESSAGE为PDCP SDU、DIRECTION和BEARER是电子设备分配的值、KEY是根据根密钥生成的。现有5G网络支持用户终端(UE)与基站之间支持用户面数据的完整性保护，但是生成MAC-I的计算负载很大，给支持用户面数据完整性保护的5G网络中的UE和基站带来了极大的计算负担；此外，现有4G网络中为了避免用户面数据完整性保护给UE和基站带来的计算负担，并为了保证4G网络的吞吐效率最大化和时延最小化，4G网络中不支持UE和基站间进行用户面数据完整性保护，因此，需要一种能降低计算负载的用户面数据完整性保护方案。

基于相关的用户面数据完整性保护方法，可支持的用户面数据完整性保护策略包括：(1)必须1：对于协议数据单元(Protocol Data Unit，PDU)会话上的所有流量必须进行用户面完整性保护；(2)偏好1：对于PDU会话上的所有流量首选进行用户面完整性保护；(3)不需要：对于PDU会话上的所有流量不进行用户面完整性保护。其中使用必须策略时，如果基站和UE无法达成一致，PDU会话建立失败，例如基站选择对于PDU会话上的所有流量必须进行用户面完整性保护，但是UE不支持，则PDU会话建立失败；如果使用“偏好”策略时，如果终端与UE达成一致，则对PDU会话的用户面数据包进行完整性保护，否则，PDU会话建立但没有用户面完整性保护，在相关用户面数据完整性保护策略对于PDU会话上的所有流量进行用户面完整性保护，指完整性保护函数的输入参数MESSAGE为PDCP SDU。

图5为本公开的一些实施例提供的一种用户面数据完整性保护过程示意图，所述过程包括：

S501：针对用户面数据包，识别所述用户面数据包中的PDCP SDU。

S502：仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

本公开的一些实施例提供的用户面数据完整性保护方法应用于电子设备，该电子设备可以是用户终端(UE)，也可以是基站。

具体的，电子设备针对用户面数据包，识别用户面数据包中的PDCP SDU，根据PDCP SDU中包含的包头及设定的完整性保护函数，生成用户面数据包的MAC-I。

较佳的，电子设备可以根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

下面结合具体网络场景进行说明：

场景一：5G网络的用户面数据完整性保护，电子设备为5G网络中的UE或基站(gNB)。

在5G网络中，用户面数据的完整性保护在PDCP层执行。如图6所示，为5G网络的用户面数据包封装过程示意图，初始用户面数据包(Data packet)包括：Data Payload和H _data，Data packet在SDAP层作为SDAP层的SDU，即SDAP SDU，为Data packet添加H _SDAP，Data packet和H _SDAP在PDCP层作为 PDCP SDU，为PDCP SDU添加H _PDCP封装成可用于用户面数据完整性保护的用户面数据包。具体的，在5G网络中，电子设备识别用户面数据包中的PDCP SDU，并具体将PDCP SDU中的包头，即将H _SDAP和H _data级联作为完整性保护函数的MESSAGE，通过完整性保护函数生成MAC-I，并将生成的MAC-I添加至用户面数据包的尾部。具体的，电子设备将H _SDAP和H _data级联作为完整性保护函数的MESSAGE，结合完整性保护函数的其它参数值如COUNT、DIRECTION、BEARER、KEY生成MAC-I。

场景二：4G网络的用户面数据完整性保护，电子设备为4G网络中的UE或基站(eNB)。

相关4G网络不支持UE和eNB间的用户面数据完整性保护在PDCP层实现，可以对UE和eNB的硬件进行改进，使UE和eNB的PDCP层支持用户面数据完整性保护，较佳的，为了避免对UE和eNB的硬件进行改进，4G网络的用户面数据完整性保护可以在PDCP上层，即应用层实现。结合图3所示的4G网络的用户面数据包进行说明，具体的，在4G网络中电子设备识别用户面数据包中的PDCP SDU，并具体将PDCP SDU中的包头，即将H _data作为MESSAGE，通过完整性保护函数生成MAC-I，并可以将生成的MAC-I添加至用户面数据包的尾部，也可以将生成的MAC-I插入到用户面数据包的H _data与Data Payload之间。具体的，电子设备将H _SDAP作为完整性保护函数的MESSAGE，结合完整性保护函数的其它参数值如COUNT、DIRECTION、BEARER、KEY生成MAC-I。

通过本实施例提供的用户面数据完整性保护方法，可以在相关用户面数据完整性保护策略基础上增加以下用户面数据完整性保护策略(1)必须2：对于PDU会话上的所有流量的数据包包头必须进行完整性保护；(2)偏好2：对于PDU会话上的所有流量的数据包包头首选进行完整性保护；其中，对于PDU会话上的所有流量的数据包包头进行用户面完整性保护，指完整性保护函数的输入参数MESSAGE为PDCP SDU中的包头。

由于在本公开的一些实施例中，电子设备针对用户面数据包，仅根据用户面数据包中包含的包头及设定的完整性保护函数，生成用户面数据包的MAC-I，不将用户面数据包中的数据载荷参与到MAC-I的生成计算中，降低了生成 MAC-I的计算负载，提供了一种能降低计算负载的用户面数据完整性保护方案。

PDCP层除了能对用户面数据进行加密和完整性保护外，还可以对包头进行压缩，一般采用健壮头压缩(RObust Header Compression，ROHC)方法对包头进行压缩，以节省无线贷款资源。ROHC的原理是UE和基站间在传输完对话的初始数据包的包头后，后面传输对应的数据包的包头中只传输包头中变化的部分，因包头中的绝大部分内容不变，如网络之间互连的协议(Internet Protocol，IP)IP地址，因此，ROHC能把包头压缩得很小。例如，对于VOLTE的包头包括IP包头，用户数据报协议(User Datagram Protocol，UDP)包头，实时传输协议(Real-time Transport Protocol，包头，共计40字节，使用ROHC压缩后，整个VOLTE的数据包的包头只有5个字节。具体的，在本法实施例中，PDCP层采用ROHC方法对用户面数据包中的H _data进行压缩。

为了进一步减少电子设备的计算负载，如果所述用户面数据包为5G网络的用户面数据包，所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I包括：

具体的，如果采用了ROHC方法对用户面数据包包头进行压缩，在5G网络中，电子设备针对用户面数据包，识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包，如果是，则说明所述用户面数据包的H _data未被压缩，将H _SDAP和H _data作为完整性保护函数的MESSAGE，生成所述用户面数据包的MAC-I；如果否，则说明所述用户面数据包的H _data被压缩，将H _SDAP作为完整性保护函数的MESSAGE，生成所述用户面数据包的MAC-I。

为了进一步减少电子设备的计算负载，如果所述用户面数据包为4G网络的用户面数据包，所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I之前，所述方法还包括：

如果否，则结束。

具体的，4G网络的用户面数据包中的PDCP SDU中仅包含H _data，如果采用了ROHC方法对用户面数据包包头进行了压缩，则如果用户面数据包为所述用户面数据包对应会话的初始用户面数据包，则所述用户面数据包中的H _data未被压缩，将H _data作为完整性保护函数的MESSAGE，生成所述用户面数据包的MAC-I；如果否，则说明所述用户面数据包的H _data被压缩，不生成所述用户面数据包的MAC-I。

通过本实施例提供的用户面数据完整性保护方法，可以在上述用户面数据完整性保护策略增加以下用户面数据完整性保护策略(1)必须3：只对PDU会话上的初始数据包包头必须进行完整性保护；(2)偏好3：对PDU会话上的初始数据包包头首选进行完整性保护；其中，对于PDU会话上的初始数据包包头进行完整性保护，指如果用户面数据包为会话的初始用户面数据包完整性保护函数的输入参数MESSAGEPDCP SDU中的包头，如果用户面数据包不是会话的初始用户面数据包，完整性保护函数的输入参数MESSAGEPDCP SDU中的非数据载荷包头的包头。

为了实现4G网络的用户面数据完整性保护，如果所述用户面数据包为4G网络的用户面数据包，所述方法还包括：

将所述MAC-I添加至所述用户面数据包中。

所述将所述MAC-I添加至所述用户面数据包中之前，所述方法还包括：

如果在PDCP层实现用户面数据完整性保护，识别所述用户面数据包中PDCP包头中的PDCP序列号，并根据所述PDCP序列号生成数据包计数值COUNT；或，

如果在PDCP层上层，如应用层实现用户面数据完整性保护，当建立了AS安全上下文后，设置COUNT为0，每发送或接受一个数据包COUNT的值加1；

所述将所述MAC-I添加至所述用户面数据包中包括：

具体的，可以通过在用户面数据包中插入认证实体(Authentication Entity，AE)来实现对用户面数据的完整性保护，如图7所示，AE可以插入在用户面数据包的H _data和Data payload之间，也可以附加到用户面数据包的尾部，其中，AE由COUNT和MAC-I组成，根据PDCP序列号生成COUNT为相关技术，不再进行赘述。

基于上述实施例，可支持的用户面数据完整性保护策略包括：(1)必须1：对于PDU会话上的所有流量必须进行用户面完整性保护；(2)必须2：对于PDU会话上的所有流量的数据包包头必须进行完整性保护；(3)必须3：只对PDU会话上的初始数据包包头必须进行完整性保护；(4)偏好1：对于PDU会话上的所有流量首选进行用户面完整性保护；(5)偏好2：对于PDU会话上的所有流量的数据包包头首选进行完整性保护；(6)偏好3：对PDU会话上的初始数据包包头首选进行完整性保护；(7)不需要：对于PDU会话上的所有流量不进行用户面完整性保护。

图8为本公开的一些实施例提供的一种用户面数据完整性保护装置结构示意图，应用于电子设备，所述装置包括：

识别模块81，用于针对用户面数据包，识别所述用户面数据包中的PDCP SDU；

生成模块82，用于仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

所述生成模块82，具体用于根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

所述生成模块82，具体用于如果所述用户面数据包为5G网络的用户面数据包，识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；如果是，根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I；如果否，根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

所述装置还包括：

判断模块83，用于如果所述用户面数据包为4G网络的用户面数据包，识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；如果判断结果为是，触发生成模块82，如果判断结果为否，则结束。

所述装置还包括：

插入模块84，用于如果所述用户面数据包为4G网络的用户面数据包，将所述MAC-I添加至所述用户面数据包中。

所述插入模块84，具体用于识别所述用户面数据包中PDCP包头中的PDCP序列号，并根据所述PDCP序列号生成数据包计数值COUNT；或，当建立了AS安全上下文后，设置COUNT为0，每发送或接受一个数据包COUNT的值加1；将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间，或添加至所述用户面数据包的尾部。

基于同一发明构思，本公开的一些实施例中还提供了一种电子设备，由于上述电子设备解决问题的原理与用户面数据完整性保护方法相似，因此上述电子设备的实施可以参见方法的实施，重复之处不再赘述。

如图9所示，其为本公开的一些实施例提供的电子设备的结构示意图，其中在图9中，总线架构可以包括任意数量的互联的总线和桥，具体有处理器91代表的一个或多个处理器91和存储器92代表的存储器92的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。处理器91负责管理总线架构和通常的处理，存储器92可以存储处理器91在执行操作时所使用的数据。

在本公开的一些实施例提供的电子设备中：

所述处理器91，用于读取存储器92中的程序，执行下列过程：针对用户面数据包，识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU；仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的消息验证码 MAC-I。

可选地，所述处理器91，具体用于根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

可选地，所述处理器91，具体用于如果所述用户面数据包为5G网络的用户面数据包，识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；如果是，根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I；如果否，根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。

可选地，所述处理器91，具体用于如果所述用户面数据包为4G网络的用户面数据包，识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；如果是，进行根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I的步骤；如果否，则结束。

可选地，所述处理器91，还用于如果所述用户面数据包为4G网络的用户面数据包，将所述MAC-I添加至所述用户面数据包中。

可选地，所述处理器91，具体用于识别所述用户面数据包中PDCP包头中的PDCP序列号，并根据所述PDCP序列号生成数据包计数值COUNT；或，当建立了AS安全上下文后，设置COUNT为0，每发送或接受一个数据包COUNT的值加1；将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间，或添加至所述用户面数据包的尾部。

可选地，所述电子设备支持的用户面数据完整性的保护策略包括：

只对PDU会话上的初始数据包包头必须进行完整性保护；或，

对于PDU会话上的所有流量首选进行用户面完整性保护；或，

对PDU会话上的初始数据包包头首选进行完整性保护；或，

对于PDU会话上的所有流量不进行用户面完整性保护。

在上述各实施例的基础上，本公开的一些实施例还提供了一种电子设备，如图10所示，包括：处理器101、通信接口102、存储器103和通信总线104，其中，处理器101，通信接口102，存储器103通过通信总线104完成相互间的通信；

所述存储器103中存储有计算机程序，当所述程序被所述处理器101执行时，使得所述处理器101执行以下步骤：

针对用户面数据包，识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU；

在上述各实施例的基础上，本公开的一些实施例还提供了一种计算机存储可读存储介质，所述计算机可读存储介质内存储有可由电子设备执行的计算机程序，当所述程序在所述电子设备上运行时，使得所述电子设备执行时实现如下步骤：

本公开公开了一种用户面数据完整性保护方法、装置、电子设备及存储介质，所述方法包括：针对用户面数据包，识别所述用户面数据包中的PDCP SDU；仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。由于在本公开的一些实施例中，电子设备针对用户面数据包，仅根据用户面数据包中包含的包头及设定的完整性保护函数，生成用户面数据包的MAC-I，不将用户面数据包中的数据载荷参与到MAC-I的生成计算中，降低了生成MAC-I的计算负载，提供了一种能降低计算负载的用户面数据完整性保护方案。

对于系统/装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

可以理解的是，本公开实施例描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits，ASIC)、数字信号处理器(Digital Signal Processing，DSP)、数字信号处理设备(DSP Device，DSPD)、可编程逻辑设备(Programmable Logic Device，PLD)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本公开所述功能的其它电子单元或其组合中。

对于软件实现，可通过执行本公开实施例所述功能的模块(例如过程、函数等)来实现本公开实施例所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的可选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括可选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本公开进行各种改动和变型而不脱离本公开的精神和范围。这样，倘若本公开的这些修改和变型属于本公开权利要求及其等同技术的范围之内，则本公开也意图包含这些改动和变型在内。

Claims

一种用户面数据完整性保护方法，应用于电子设备，所述方法包括：

针对用户面数据包，识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU；以及

仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的消息验证码MAC-I。
如权利要求1所述的方法，其中，所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I包括：

根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。
如权利要求1所述的方法，其中，如果所述用户面数据包为5G网络的用户面数据包，所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I包括：

识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；

如果是，根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I；

如果否，根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。
如权利要求1所述的方法，其中，如果所述用户面数据包为4G网络的用户面数据包，所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I之前，所述方法还包括：

识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；

如果是，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I；

如果否，则结束。
如权利要求1所述的方法，其中，如果所述用户面数据包为4G网络的用户面数据包，所述方法还包括：

将所述MAC-I添加至所述用户面数据包中。
如权利要求5所述的方法，其中，所述将所述MAC-I添加至所述用户面数据包中之前，所述方法还包括：

识别所述用户面数据包中PDCP包头中的PDCP序列号，并根据所述PDCP序列号生成数据包计数值COUNT；或，

当建立了接入层AS安全上下文后，设置COUNT为0，每发送或接受一个数据包COUNT的值加1；

其中，所述将所述MAC-I添加至所述用户面数据包中包括：

将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间，或添加至所述用户面数据包的尾部。
如权利要求1-6任一项所述的方法，其中，所述电子设备支持的用户面数据完整性的保护策略包括：

对于协议数据单元PDU会话上的所有流量必须进行用户面完整性保护；或，

对于PDU会话上的所有流量的数据包包头必须进行完整性保护；或，

只对PDU会话上的初始数据包包头必须进行完整性保护；或，

对于PDU会话上的所有流量首选进行用户面完整性保护；或，

对于PDU会话上的所有流量的数据包包头首选进行完整性保护；或，

对PDU会话上的初始数据包包头首选进行完整性保护；或，

对于PDU会话上的所有流量不进行用户面完整性保护。
一种用户面数据完整性保护装置，应用于电子设备，所述装置包括：

识别模块，用于针对用户面数据包，识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU；以及

生成模块，用于仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的消息验证码MAC-I。
一种电子设备，包括：存储器和处理器；

所述处理器，用于读取存储器中的程序，执行下列过程：针对用户面数据包，识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU；以及，仅对PDCP SDU中包含的包头进行完整性保护，根据所述PDCP SDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的消息验证码MAC-I。
如权利要求9所述的电子设备，其中，所述处理器，具体用于根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。
如权利要求9所述的电子设备，其中，所述处理器，具体用于如果所述用户面数据包为5G网络的用户面数据包，识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；如果是，根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I；如果否，根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I。
如权利要求9所述的电子设备，其中，所述处理器，具体用于如果所述用户面数据包为4G网络的用户面数据包，识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包；如果是，进行根据所述PDCPSDU中包含的包头及设定的完整性保护函数，生成所述用户面数据包的MAC-I的步骤；如果否，则结束。
如权利要求9所述的电子设备，其中，所述处理器，还用于如果所述用户面数据包为4G网络的用户面数据包，将所述MAC-I添加至所述用户面数据包中。
如权利要求13所述的电子设备，其中，所述处理器，具体用于识别所述用户面数据包中PDCP包头中的PDCP序列号，并根据所述PDCP序列号生成数据包计数值COUNT；或，当建立了接入层AS安全上下文后，设置COUNT为0，每发送或接受一个数据包COUNT的值加1；将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间，或添加至所述用户面数据包的尾部。
如权利要求9-14中任一项所述的电子设备，其中，所述电子设备支持的用户面数据完整性的保护策略包括：

对于协议数据单元PDU会话上的所有流量必须进行用户面完整性保护；或，

对于PDU会话上的所有流量的数据包包头必须进行完整性保护；或，

只对PDU会话上的初始数据包包头必须进行完整性保护；或，

对于PDU会话上的所有流量首选进行用户面完整性保护；或，

对于PDU会话上的所有流量的数据包包头首选进行完整性保护；或，

对PDU会话上的初始数据包包头首选进行完整性保护；或，

对于PDU会话上的所有流量不进行用户面完整性保护。
一种电子设备，包括：处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

所述存储器中存储有计算机程序，当所述程序被所述处理器执行时，使得所述处理器执行权利要求1-7中任一项所述方法的步骤。
一种计算机可读存储介质，其存储有可由电子设备执行的计算机程序，当所述程序在所述电子设备上运行时，使得所述电子设备执行权利要求1-7中任一项所述方法的步骤。