WO2021026875A1

WO2021026875A1 - 一种数据传输的方法及装置

Info

Publication number: WO2021026875A1
Application number: PCT/CN2019/100765
Authority: WO
Inventors: 胡力; 吴�荣
Original assignee: 华为技术有限公司
Priority date: 2019-08-15
Filing date: 2019-08-15
Publication date: 2021-02-18

Abstract

一种数据传输的方法、装置及系统，用于在下行数据早传的过程中，激活通信设备上的安全上下文，从而避免数据早传过程中相关的安全问题。该方法包括：用户设备从接入网设备接收针对下行数据早传的寻呼消息，寻呼消息包括特定的资源信息；根据所述寻呼消息，使用用户设备当前的安全上下文激活非接入层NAS安全保护；向所述接入网设备发送随机接入请求；接收移动管理网元通过所述接入网设备发送的第一下行NAS消息，所述第一下行NAS消息包括所述移动管理网元使用移动管理网元当前的安全上下文安全保护后的下行数据；在使用所述用户设备当前的安全上下文解安全保护所述第一下行NAS消息成功的情况下，通过所述接入网设备向所述移动管理网元发送反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中。

Description

一种数据传输的方法及装置

技术领域

本申请涉及通信技术领域，特别涉及一种数据传输的方法及装置。

背景技术

对类似于机器类型通信(machine type communication，MTC)和窄带物联网(narrow band internet of thing，NB-IoT)等一些通信场景，其数据传输的特点是，数据量较小，且数据到达时间不确定。传输小数据量的数据包，若使用传统的无线资源控制(radio resource control，RRC)连接建立过程，系统开销过大，资源利用效率低下，终端的功耗过大，并且无法满足数据传输时延要求。在现有技术中，若网络侧有终端的下行数据到达，网络设备通过寻呼消息将用户设备唤醒，使其接入网络。为实现下行数据早传，网络设备可以在接收到终端发送的上行信号(例如随机接入前导码)后，在终端随机接入过程中向用户设备发送下行数据，实现下行数据早传。

申请人研究发现，现有的message 2(MSG2)数据早传流程并没有考虑相关的安全流程，例如，并没有考虑如何同步并激活用户设备和网络设备之间的安全上下文，以保护下行数据。

发明内容

本申请提供一种数据传输的方法及装置，用于在下行数据早传的过程中，激活通信设备上的安全上下文，从而避免数据早传过程中相关的安全问题。

一方面，本申请提供一种数据传输的方法，该方法包括：用户设备从接入网设备接收针对下行数据早传的寻呼消息，其中，所述寻呼消息包括特定的资源信息；所述用户设备根据所述寻呼消息，使用所述用户设备当前的安全上下文激活非接入层NAS安全保护；所述用户设备向所述接入网设备发送随机接入请求，所述随机接入请求包括所述特定的资源信息；所述用户设备接收移动管理网元通过所述接入网设备发送的第一下行NAS消息，所述第一下行NAS消息包括所述移动管理网元使用所述移动管理网元当前的安全上下文安全保护后的下行数据；在使用所述用户设备当前的安全上下文解安全保护所述第一下行NAS消息成功的情况下，通过所述接入网设备向所述移动管理网元发送反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中。

本申请实施例中，用户设备在接收到针对下行数据早传的寻呼消息之后，激活NAS安全保护，并使用当前安全上下文对随机接入请求之后收到的下行NAS消息进行解安全保护，以获得下行数据。并且在成功获得下行数据之后，向移动管理网元发送经过安全保护的反馈信息，以便于移动管理网元准确的获知下行数据已经正确的传输到用户设备。通过本申请实施例的方法，可以确保用户设备的下行数据不会被非法设备截取，也能保证下行数据在正确传递到所述用户设备之前不被删除。

在一个可能的设计中，所述寻呼消息还包括用于指示下行数据早传的指示信息。该下行数据早传的指示信息用于指示用户设备通过下行数据早传流程来接收下行数据。所述指示用户设备通过下行数据早传流程来接收下行数据，可以是指：指示用户设备通过随机接入响应(MSG2)消息来接收下行数据。

在一个可能的设计中，所述下行数据早传的指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示。所述下行数据早传的指示信息可以是一个直接的显式指示，例如下行数据早传指示(MT-EDT indication)；也可以是一个间接的隐式指示，例如所述下行数据的下行数据量的指示。用户设备可以根据隐式指示，确定需要通过下行数据早传流程来接收下行数据。

在一个可能的设计中，所述根据所述寻呼消息，使用当前的安全上下文激活非接入层NAS安全保护，包括：根据所述特定的资源信息，确定使用所述用户设备当前的安全上下文激活非接入层NAS安全保护；或者，如果所述寻呼消息还包括用于指示下行数据早传的指示信息，则根据所述用于指示下行数据早传的指示信息和/或所述特定的资源信息，确定使用所述用户设备当前的安全上下文激活非接入层NAS安全保护。用户设备可以根据寻呼消息中的特定信息，激活自身的NAS安全保护。换句话说，用户终端根据寻呼消息中的特定信息，确定该寻呼消息是针对下行数据早传的，所以为了保证通信数据的安全，用户终端和网络侧的移动管理网元都需要开启NAS安全保护，以避免后续下发的下行数据泄露。

在一个可能的设计中，所述方法还包括：在使用所述用户设备当前的安全上下文解安全保护所述第一下行NAS消息失败的情况下，所述用户设备通过所述接入网设备向所述移动管理网元发送使用所述用户设备当前的安全上下文进行安全保护的第二上行NAS消息，所述第二上行NAS消息包括第一安全上下文标识和所述用户设备的标识，其中，所述第一安全上下文标识用于指示所述用户设备当前的安全上下文；所述用户设备接收所述移动管理网元通过所述接入网设备发送的第二下行NAS消息，所述第二下行NAS消息包括所述移动管理网元使用所述用户设备当前的安全上下文安全保护后的下行数据；使用所述用户设备当前的安全上下文解安全保护所述第二下行NAS消息，获得所述下行数据。当用户设备使用所述用户设备当前的安全上下文解安全保护所述第一下行NAS消息失败时，说明用户设备和移动管理网元上的当前的安全上下文并不相同。本申请实施例中，用户设备将自己使用的当前的安全上下文对应的标识(例如，密钥标识符KSI)发送给移动管理网元，以实现与移动管理网元的上下文同步，进而使用同步后的安全上下文对待传输的下行数据进行安全保护。

在一个可能的设计中，所述第二上行NAS消息为控制面服务请求CPSR消息。由于CPSR消息属于特殊的NAS消息，移动管理网元根据CPSR消息中的S-TMSI和KSI获得对应的安全上下文，并将获得的安全上下文设置为当前的安全上下文，从而实现了用户设备和移动管理网元的当前的安全上下文的同步。

在一个可能的设计中，所述用户设备的标识为系统架构演进临时移动用户标识S-TMSI。

在一个可能的设计中，在所述用户设备根据所述寻呼消息，使用用户设备当前的安全上下文激活非接入层NAS安全保护之前，所述方法还包括：所述用户设备获取所述用户设备当前的安全上下文。

在一个可能的设计中，所述用户设备获取所述用户设备当前的安全上下文，包括：所述用户设备获取自身存储的所述用户设备当前的安全上下文；或者所述用户设备触发所述移动管理网元对所述用户设备进行重新鉴权，进而在所述用户设备和所述移动管理网上建立相同的当前的安全上下文。当用户设备接入网络，并完成鉴权并激活安全保护之后，用户设备和移动管理网元上将建立有相同/相应的当前的安全上下文，但是因为某些原因，可能会导致用户设备上的当前的安全上下文丢失。当用户设备找不到当前的安全上下文的时候，一种可能的实现是将自身保存的其他安全上下文设置为当前的安全上下文，另一种可能的实现方式是触发移动管理网元对用户设备进行重新鉴权，进而重新建立新的相同的当前的安全上下文。

在一个可能的设计中，所述寻呼消息还包括第二安全上下文标识，所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文；所述用户设备根据所述寻呼消息，使用用户设备当前的安全上下文激活非接入层NAS安全保护，包括：在所述用户设备自身存储的安全上下文中存在与所述第二安全上下文标识对应的安全上下文的情况下，将与所述第二安全上下文标识对应的安全上下文设置为用户设备当前的安全上下文，使用新设置的当前的安全上下文激活NAS安全保护；或者，在所述用户设备自身存储的安全上下文中不存在与所述第二安全上下文标识对应的安全上下文的情况下，所述用户设备触发所述移动管理网元对所述用户设备进行重新鉴权，进而在所述用户设备和所述移动管理网上建立相同的当前的安全上下文；使用新建立的当前的安全上下文激活NAS安全保护。网络层将移动管理网元使用的当前的安全上下文的标识通过寻呼请求下发给用户设备，在接收下行数据之前，先实现上下文的同步，从而避免了两端安全上下文不同步导致的数据重传。

第二方面，提供一种数据传输的方法，该方法包括：移动管理网元接收会话管理网元发送的下行数据通知消息，所述下行数据通知消息包括第一指示信息；所述移动管理网元根据所述第一指示信息，使用所述移动管理网元当前的安全上下文激活非接入层NAS安全保护；所述移动管理网元使用所述移动管理网元当前的安全上下文对用户设备的下行数据进行安全保护，并将安全保护后的下行数据封装在第一下行NAS消息中；所述移动管理网元通过接入网设备向所述用户设备发送所述第一下行NAS消息。本申请实施例中，移动管理网元在接收到会话管理网元发送的下行数据通知消息之后，激活NAS安全保护，并使用当前安全上下文下行数据进行安全保护，然后再将安全保护后的下行数据发送给用户设备。通过本申请实施例的方法，可以确保用户设备的下行数据不会被非法设备截取。

在一个可能的设计中，在所述移动管理网元接收会话管理网元发送的下行数据通知消息之后，所述方法还包括：所述移动管理网元向接入网设备发送第一寻呼请求，所述第一寻呼请求包括所述用户设备的标识和第二指示信息；所述第二指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示；所述移动管理网元接收所述接入网设备发送的下行数据获取请求，所述下行数据获取请求包括所述用户设备的标识。本申请实施例中移动管理网元根据会话管理网元的第一指示信息，确定需要使用下行数据早传流程传输所述下行数据，所以向所述接入网设备寻呼用户设备的时候会下发第二指示信息，以便于接入网设备为用户设备分配特定的资源。后续用户设备使用分配的特定的资源发起随机接入流程时，接入网设备可以向移动管理网元请求下行数据，并转发给用户设备。

在一个可能的设计中，所述方法还包括：所述移动管理网元接收所述用户设备发送的反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中；所述移动管理网元使用所述移动管理网元当前的安全上下文解安全保护所述第一上行NAS消息，获取所述反馈信息；所述移动管理网元根据所述反馈信息，删除缓存的所述下行数据。本申请实施例的中，移动管理网元102在收到用户设备105发送的反馈信息之前可以一直存储所述下行数据，直到收到所述反馈信息之后，再删除自身存储的所述下行数据，这样可以确保正确的用户设备可以接收到所述下行数据。

在一个可能的设计中，所述方法还包括：所述移动管理网元接收所述用户设备发送的经过安全保护的第二上行NAS消息，所述第二上行NAS消息包括第一安全上下文标识和所述用户设备的标识；其中，第一安全上下文标识用于指示所述用户设备当前的安全上下文；所述第二上行NAS消息使用所述用户设备当前的安全上下文进行安全保护；所述移动管理网元根据所述第一安全上下文标识，与所述用户设备进行安全上下文同步，以使得所述移动管理网元和所述用户设备建立有相同的当前的安全上下文；所述移动管理网元使用所述移动管理网元当前的安全上下文对所述下行数据进行安全保护，并将安全保护后的下行数据封装在第二下行NAS消息中；所述移动管理网元通过所述接入网设备向所述用户设备发送所述第二下行NAS消息。在用户设备和移动管理网元各自的当前安全上下文不一致的情况下，提供了用户设备和移动管理网元之间进行上下文同步的方法。移动管理网元使用同步后的当前的安全上下文重新安全保护下行数据，并将安全保护后的下行数据发送给用户设备。因为用户设备和移动管理网元之间已经进行了安全上下文同步，所以可以确保用户设备可以正确的解安全保护所述下行NAS消息，进而获得所述下行数据。在一个可能的设计中，所述移动管理网元根据所述第一安全上下文标识，与所述用户设备进行安全上下文同步，包括：所述移动管理网元将自身存储的与所述第一安全上下文标识对应的安全上下文设置为自身当前的安全上下文；或者，所述移动管理网元确定自身没有存储与所述第一安全上下文标识对应的安全上下文；所述移动管理网元通过重新鉴权流程，建立与所述用户设备相同的当前的安全上下文。

在一个可能的设计中，所述第二上行NAS消息为控制面服务请求CPSR消息。

在一个可能的设计中，所述第一下行NAS消息中还包括第二安全上下文标识，所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文。本申请实施例中，移动管理网元在下发安全保护的下行数据时，同步通知用户设备对所述下行数据进行安全保护所使用的安全上下文，以便于用户设备使用正确的安全上下文进行解安全保护下行NAS消息，获得下行数据。

在一个可能的设计中，所述第一寻呼请求中还包括第二安全上下文标识；所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文。本申请实施例中，移动管理网元在下发安全保护的下行数据之前，通过寻呼请求通知用户设备对后续所述下行数据进行安全保护所使用的安全上下文，以便于用户设备使用正确的安全上下文进行解安全保护后续的下行NAS消息，获得下行数据。

在一个可能的设计中，所述第一指示信息包括：下行数据早传指示或所述下行数据的数据量的指示。

第三方面，提供一种数据传输的系统，该系统包括移动管理网元和会话管理网元；

所述会话管理网元，用于向所述移动管理网元发送下行数据通知消息，所述下行通知消息包括第一指示信息；所述移动管理网元，用于根据所述第一指示信息，使用移动管理网元当前的安全上下文激活非接入层NAS安全保护；使用所述移动管理网元当前的安全上下文对用户设备的下行数据进行安全保护，并将安全保护后的下行数据封装在第一下行 NAS消息中；通过接入网设备向所述用户设备发送所述第一下行NAS消息。

在一个可能的设计中，所述移动管理网元，还用于接收所述用户设备发送的反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中；使用所述移动管理网元当前的安全上下文解安全保护所述第一上行NAS消息，获取所述反馈信息；根据所述反馈信息，删除缓存的所述下行数据。

在一个可能的设计中，所述移动管理网元，还用于在接收会话管理网元发送的下行数据通知消息之后，向接入网设备发送第一寻呼请求，所述第一寻呼请求包括所述用户设备的标识和第二指示信息；所述第二指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示；接收所述接入网设备发送的下行数据获取请求，所述下行数据获取请求包括所述用户设备的标识。

在一个可能的设计中，所述移动管理网元，还用于接收所述用户设备发送的经过安全保护的第二上行NAS消息，所述第二上行NAS消息包括第一安全上下文标识和所述用户设备的标识；其中，第一安全上下文标识用于指示所述用户设备当前的安全上下文；所述第二上行NAS消息使用所述用户设备当前的安全上下文进行安全保护；根据所述第一安全上下文标识，与所述用户设备进行安全上下文同步，以使得所述移动管理网元和所述用户设备建立有相同的当前的安全上下文；使用所述移动管理网元当前的安全上下文对所述下行数据进行安全保护，并将安全保护后的下行数据封装在第二下行NAS消息中；通过所述接入网设备向所述用户设备发送所述第二下行NAS消息。

在一个可能的设计中，所述移动管理网元，还用于接收所述用户设备发送的反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第三上行NAS消息中；使用所述移动管理网元当前的安全上下文解安全保护所述第三上行NAS消息，获取所述反馈信息；根据所述反馈信息，删除缓存的所述下行数据。

在一个可能的设计中，所述移动管理网元，用于根据所述第一安全上下文标识，与所述用户设备进行安全上下文同步，包括：将所述移动管理网元自身存储的与所述第一安全上下文标识对应的安全上下文设置为自身当前的安全上下文；或者，在自身没有存储与所述第一安全上下文标识对应的安全上下文的情况下，重新鉴权流程，建立与所述用户设备相同的当前的安全上下文。

在一个可能的设计中，所述第一下行NAS消息中还包括第二安全上下文标识，所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文。

在一个可能的设计中，所述第一寻呼请求中还包括第二安全上下文标识；所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文。

第四方面，提供一种通信装置，该装置具有实现上述第一方面和第一方面的任一种可能的设计的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一个可能的设计中，该装置可以是芯片或者集成电路。

在一个可能的设计中，该装置包括收发器和处理器，收发器用于与其他通信设备进行通信，处理器用于与存储器进行耦合，执行存储器存储的程序，当程序被执行时，所述装置可以执行上述第一方面和第一方面的任一种可能的设计中所述的方法。

在一个可能的设计中，该装置还包括存储器，用于存储处理器执行的程序。

在一个可能的设计中，该装置为终端或者终端内的芯片。

第五方面，提供一种通信装置，该装置具有实现上述第二方面和第二方面的任一种可能的设计的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一个可能的设计中，该装置可以是芯片或者集成电路。

在一个可能的设计中，该装置包括收发器和处理器，收发器用于与其他通信设备进行通信，处理器用于与存储器进行耦合，执行存储器存储的程序，当程序被执行时，所述装置可以执行上述第二方面和第二方面的任一种可能的设计中所述的方法。

在一个可能的设计中，该装置为移动管理网元。

第六方面，提供一种芯片，该芯片与存储器相连或者该芯片包括存储器，用于读取并执行所述存储器中存储的软件程序，以实现如上述第一方面、第二方面、第一方面的任一种可能的设计或第二方面的任一种可能的设计中所述的方法。

第七方面，提供一种计算机存储介质，存储有计算机程序，该计算机程序包括用于执行上述各方面和各方面的任一可能的设计中方法的指令。

第八方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面和各方面的任一可能的设计中所述的方法。

第九方面、提供了一种数据传输的方法，包括用户设备从接入网设备接收针对下行数据早传的寻呼消息，其中，所述寻呼消息包括特定的资源信息；所述用户设备向所述接入网设备发送随机接入请求，所述随机接入请求包括所述特定的资源信息；所述用户设备接收移动管理网元通过所述接入网设备发送的第一下行NAS消息，所述第一下行NAS消息包括所述移动管理网元使用所述移动管理网元当前的安全上下文安全保护后的下行数据以及第二安全上下文标识；所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文；所述用户设备根据所述第二安全上下文标识，激活非接入层NAS安全保护；所述用户设备使用用户设备当前的安全上下文解安全保护所述第一下行NAS消息以获得所述下行数据；所述用户设备通过所述接入网设备向所述移动管理网元发送反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中。本申请实施例中，用户设备接收到的下行NAS消息中包括了移动管理设备安全保护所述下行NAS消息所使用的安全上下文的指示信息(即第二安全上下文的标识)，用户设备根据该安全上下文的指示信息，与所述移动管理网元进行安全上下文同步，从而正确的解安全保护下行NAS消息获取所述下行数据。

在一个可能的设计中，所述寻呼消息还包括用于指示下行数据早传的指示信息。

在一个可能的设计中，所述下行数据早传的指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示。

在一个可能的设计中，所述用户设备根据第二安全上下文标识，激活非接入层NAS安全保护，包括：所述用户设备将自身存储的安全上下文中与所述第二第二安全上下文标识相对应的安全上下文设置为当前的安全上下文，并使用新设置的当前的安全上下文激活NAS安全保护；或者，在所述用户设备自身存储的安全上下文中不存在与所述第二安全上下文标识对应的安全上下文的情况下，所述用户设备触发所述移动管理网元对所述用户设备进行重新鉴权，进而在所述用户设备和所述移动管理网上建立相同的当前的安全上下文。

第十方面，提供一种通信装置，该装置具有实现上述第一方面和第一方面的任一种可能的设计的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一个可能的设计中，该装置可以是芯片或者集成电路。

在一个可能的设计中，该装置为终端或者终端内的芯片。

其中，第三方面至第十方面中任一种设计方式所带来的技术效果可参见上述第一方面或第二方面中不同设计方式所带来的技术效果，此处不再赘述。

附图说明

图1为本申请实施例中系统架构示意图；

图2为本申请实施例中的一种下行数据早传的流程示意图；

图3为本申请实施例中的又一种下行数据早传的流程示意图；

图4为本申请实施例中的又一种下行数据早传的流程示意图；

图5为本申请实施例中的又一种下行数据早传的流程示意图；

图6为本申请实施例中通信装置结构示意图之一；

图7为本申请实施例中通信装置结构示意图之二。

具体实施方式

下面将结合附图，对本申请实施例的方案进行详细描述。

本申请实施例提供一种数据传输的方法及装置，用于在下行数据早传的过程中，激活通信设备上的安全上下文，从而避免数据早传过程中相关的安全问题。其中，方法和装置是基于同一构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。本申请实施例的描述中，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的至少一个是指一个或多个；多个，是指两个或两个以上。另外，需要理解的是，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。

下面将对本申请实施例涉及的名称或术语进行介绍：

安全上下文：安全上下文是终端设备和服务网络在本地建立的状态，可以通过存储的安全数据表示，这些安全数据可以包含密钥集标识(Key Set Identifier,KSI)，根密钥Kamse/Kamf。可选的，还可以包含NAS加密密钥Knas-enc，NAS完整性密钥Knas-int，使用的加密算法和完整性保护算法中的一个或者多个。其中，密钥集标识用于标识安全上下文，具体的，可以用于标识安全上下文中的密钥集，例如根密钥，NAS加密密钥，NAS完整性密钥等。安全上下文中可能还包括其他参数，例如，上行和下行非接入层(Non-Access Stratum,NAS)计数器(COUNT)等，本申请不作限定。需要说明的是，两个通信实体要能够安全的进行数据交换，必须要有相同的安全上下文。这里的“相同”也可以理解为“相应”，也就是说两个通信实体安全上下文中的密钥集标识、根密钥、NAS加密密钥Knas-enc，NAS完整性密钥Knas-int，使用的加密算法和完整性保护算法需要相同，也可能会存在个别参数不一样。当前的安全上下文：终端设备和网络设备中最近被激活的安全上下文。其中，激活安全上下文，是指使用该安全上下文对消息进行安全保护。最近被激活的安全上下文，即最近对消息进行安全保护时使用的安全上下文。

非当前的安全上下文：终端设备和网络设备中存储的除了当前的安全上下文以外的其他安全上下文。

加密保护：保护数据在传输过程中的机密性(因此又可以被称作机密性保护)，机密性是指无法被直接看出真实内容。加密保护一般可以使用密钥和加密算法对数据进行加密来实现。解密一般可以使用密钥和加密算法对加密数据进行解密来实现。加密保护和解密的具体方法可以参考3GPP TS 33.401f50中8.2节或33.501f50中6.4.4节标准相关描述，这里不再赘述。

完整性校验和保护：完整性校验和保护用于判断消息在传递过程中，其内容是否被更改，也可以用于作为身份验证，以确认消息的来源。完整性校验和保护需要使用消息认证码(Message Authentication Code,MAC)。完整性校验和保护的具体方法可以参考3GPP TS33.401f50中8.1节或33.501f50中6.4.3节标准相关描述，这里不再赘述。

对于接收端来说，接收端可以将接收到的MAC与自身生成的MAC(标准中称为XMAC)进行比对，以校验完整性，从而验证发送端的身份或判断消息是否被篡改。若MAC与XMAC相同，则接收端确定接收到的MAC通过验证，从而接收端能够确定发送端通过身份验证并信任接收的消息；若MAC与XMAC不相同，则接收端能够确定接收到的MAC未通过验证，从而接收端能够确定发送端未通过身份验证。通常情况下，完整性校验未通过，接收端直接丢弃该消息。

激活NAS完整性保护：一旦激活NAS完整性保护，代表后续上行/下行NAS消息的完整性保护都需要根据当前的安全上下文的NAS完整性密钥和NAS完整性保护算法采取一致的处理。所有没有NAS完整性保护的消息都不被接受，需要被丢弃，但部分特殊的NAS消息可以除外，如附着请求、位置区更新请求、服务请求、控制面服务请求、认证请求、身份请求等。例如，用户设备激活NAS完整性保护后，每次发送上行NAS消息，都会对上行NAS消息根据当前的安全上下文的NAS完整性密钥和NAS完整性保护算法进行完整性保护；每次接收下行NAS消息，都会对下行NAS消息根据当前的安全上下文的NAS完整性密钥和NAS完整性保护算法进行完整性校验。移动管理网元激活NAS完整性保护后，每次收到上行NAS消息，都会对上行NAS消息根据当前的安全上下文的NAS完整性密钥和NAS完整性保护算法进行完整性校验，每次发送下行NAS消息，都会对下行NAS消息根据当前的安全上下文的NAS完整性密钥和NAS完整性保护算法进行完整性保护。

激活NAS加密保护：一旦激活NAS加密保护，代表后续对于上行/下行NAS消息的加密保护都需要根据当前的安全上下文的NAS加密密钥和NAS加密算法采取一致的处理。所有没有NAS加密保护的消息都不被接受，需要被丢弃。例如，用户设备激活NAS完整性保护后，每次发送上行NAS消息，都会对上行NAS消息根据当前的安全上下文的NAS加密密钥和NAS加密算法进行加密保护，每次接受下行NAS消息，都会对下行NAS消息根据当前的安全上下文的NAS加密密钥和NAS加密算法进行解密。移动管理网元激活NAS完整性保护后，每次收到上行NAS消息，都会对上行NAS消息根据当前的安全上下文的NAS加密密钥和NAS加密算法进行解密，每次发送下行NAS消息，都会对下行NAS消息根据当前的安全上下文的NAS加密密钥和NAS加密算法进行加密保护。

图1示出了本申请实施例提供的数据传输方法适用的一种可能的通信系统的架构，参阅图1所示，通信系统100中包括接入网设备101、移动管理网元102、会话管理网元103以及用户面功能网元104。可选的，还可以包括用户设备105。需要说明的是，本申请对上述系统中包括的每一种网元的数量并不做限定，例如，上述系统中可能包括一个或者多个接入网设备101。每个接入网设备101可以为覆盖范围内的一个或多个用户设备105提供接入服务。多个接入网设备101之间可以通过接口(例如，X2接口或者Xn接口)相连以进行通信，接入网设备101与移动管理网元102之间通过接口(例如，S1接口或者N2接口)相连以进行通信。移动管理网元102与会话管理网元103之间通过接口(例如，S11接口或者N11接口)相连以进行通信。会话管理网元103与用户面功能网元104之间通过接口(例如，S5接口或者N4接口)相连以进行通信。以下对通信系统中包括的接入网设备101、移动管理网元102、会话管理网元103、用户面管理网元104以及用户设备105的形态进行举例说明。

接入网设备101为具有无线收发功能的设备或可设置于该设备的芯片，该设备包括但不限于：演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(baseband unit，BBU)，无线保真(wireless fidelity，WIFI)系统中的接入点(access point，AP)、无线中继节点、无线回传节点、传输点(transmission and reception point，TRP或者transmission point，TP)等，还可以为5G(如NR)系统中的基站gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)等。在一些部署中，gNB可以包括集中式单元(centralized unit，CU)和DU。gNB还可以包括射频单元(radio unit，RU)。CU实现gNB的部分功能，DU实现gNB的部分功能，比如，CU实现无线资源控制(radio resource control，RRC)，分组数据汇聚层协议(packet data convergence protocol，PDCP)层的功能，DU实现无线链路控制(radio link control，RLC)、媒体接入控制(media access control，MAC)和物理(physical，PHY)层的功能。由于RRC层的信息最终会变成PHY层的信息(即通过PHY层发送)，或者，由PHY层的信息转变而来，因而，在这种架构下，高层信令，如RRC层信令或PDCP层信令，也可以认为是由DU发送的，或者，由DU+RU发送的。可以理解的是，接入网设备101可以为CU节点、或DU节点、或包括CU节点和DU节点的设备。接入网设备101的具体形态在此不做限制。

移动管理网元102例如可以是第四代(4th Generation，4G)系统中的移动管理实体 (mobile management entity，MME)、第五代(5th Generation，5G)系统中的接入和移动性管理功能(access and mobility management function，AMF)或者是后续演进系统中具有类似功能的网元。移动管理网元102用于负责用户设备105的接入和移动性管理等，具体的功能可以参考现有标准中的相关描述，例如4G系统中的MME的功能可以参考3GPP TS 23.401g10 4.4.2章节相关描述，5G系统中的AMF的功能可以参考3GPP TS23.501f50 6.2.1章节相关描述。接入网设备101与移动管理网元102之间通过S1或N2接口相连，传输接入网设备101与移动管理网元102之间交互的消息。用户设备105与移动管理网元102通过NAS协议进行通信，用户设备105和移动管理网元102交互的消息通常由接入网设备101中转到移动管理网元102。

会话管理网元103例如可以是第四代(4th Generation，4G)系统中的服务网关(Serving Gateway，S-GW)、第五代(5th Generation，5G)系统中的会话管理功能(Session Management Function，SMF)或者是后续演进系统中具有类似功能的网元。会话管理网元103用于负责用户设备105的会话管理等功能，具体的功能可以参考现有标准中的相关描述，例如4G系统中的S-GW的功能可以参考3GPP TS 23.401 g10 4.4.3.2章节相关描述，5G系统中的SMF的功能可以参考3GPP TS23.501 f50 6.2.2章节相关描述。

用户面管理网元104例如可以是第四代(4th Generation，4G)系统中的分组数据网络网关(Packet Data Network Gateway，P-GW)、第五代(5th Generation，5G)系统中的用户面功能(User Plane Function，UPF)或者是后续演进系统中具有类似功能的网元。用户面管理网元104是用户面数据的传输锚点，负责传输用户设备105的用户面数据。具体的功能可以参考现有标准中的相关描述，例如4G系统中的P-GW的功能可以参考3GPP TS 23.401 g10 4.4.3.3章节相关描述，5G系统中的UPF的功能可以参考3GPP TS23.501 f506.2.3章节相关描述。

用户设备105又称接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。本申请的实施例中的用户设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请的实施例对应用场景不做限定。本申请中将具有无线收发功能的终端及可设置于前述终端的芯片统称为用户设备。用户设备105与网络侧设备进行通信需要依靠多个协议层。例如，用户设备105通过无线资源控制(radio resource control,RRC)层与接入网设备101进行通信，通过非接入层(Non-Access Stratum,NAS)与AMF进行通信。通常情况下，RRC层与NAS层相互不影响，但是在某些特殊情况下，RRC层与NAS层之间也会进行通信，交换一些参数。用户设备105和接入网设备101之间的通信包括控制面通信和用户面通信，其中，控制面通过RRC协议进行交互。

本申请中的用户面管理网元104可以与外部网络进行数据通信，外部网络可以是因特网(internet)，私有的IP网，或其它数据网等。

本申请的数据早传方案可以应用在机器类通信(Machine Type Communication，MTC) 场景或者窄带物联网(Narrow Band Internet of Things，NB-IoT)通信场景下。在这类场景下，由于传输的数据量较小，且传输间隔较大，所以数据传输不使用传统的用户面作为数据传输通道，而是使用控制面作为数据传输通道。因此，本申请中下行数据是通过用户面管理网元104传输至会话管理网元103，再通过会话管理网元103传输至移动管理网元102，移动管理网元102通过NAS消息传输到用户设备105。

本申请实施例提供的数据传输的方法可以应用于各种通信系统。例如，可以应用于第四代(4th generation，4G)通信系统、第五代(5th generation，5G)通信系统或未来的各种通信系统。

本申请实施例提供的方法可以应用于下行数据早传(mobile terminated early data transmission，MT-EDT)的应用场景，在MT-EDT的应用场景下，早传的下行数据可以具有以下任意一个或多个特点：

1、下行数据可一次传输完成，即终端的下行数据可以通过一条消息传输完。

2、单个下行数据包，即移动管理网元102可以通过一个数据包(例如网络协议IP数据包)发送终端的下行数据，表示为单个下行数据包(single packet)，或者单个下行数据(single DL data)。

3、下行小数据包，或小数据包，可以理解为待发送给用户设备105的下行数据的数据量(data volume)小于一个阈值。

4、下行数据在随机接入响应消息(MSG2)中发送给用户设备105。

需要说明的是，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为方便对下行数据早传的场景的理解，如图2所示，一种可能的下行数据早传的方法流程如下所述。

S201、用户面管理网元104接收到用户设备105的下行数据时，将该下行数据发送至会话管理网元103，会话管理网元103从用户面管理网元104接收用户设备105的所述下行数据。

S202a、会话管理网元103向移动管理网元102发送下行数据通知(downlink data notification)消息。移动管理网元102从会话管理网元103接收该下行数据通知消息。

所述下行数据通知消息用于指示用户设备105的下行数据到达。

该下行数据通知消息可以携带第一指示信息。该第一指示信息用于指示是否发起MT-EDT流程以传输所述下行数据。该第一指示信息具体可以是MT-EDT指示或该下行数据的数据量(data volume)的指示。

其中，MT-EDT指示用于指示是否发起下行数据早传流程。具体的，当MT-EDT指示取第一预设值的时候，代表需要发起下行数据早传流程；当MT-EDT指示取第二预设值的时候，代表不需要发起下行数据早传流程。例如，该MT-EDT指示可以是一个二级制的参数，取值为1代表发起下行数据早传流程，取值为0代表不发起下行数据早传流程。或者，MT-EDT指示本身用于指示需要发起下行数据早传流程，例如，当下行数据通知消息中携带MT-EDT指示时，代表需要发起下行数据早传流程；否则，代表不需要发起下行数据早传流程。

下行数据的数据量用于指示下行数据的大小/长度，所述下行数据的数据量可以用于判断是否发起下行数据早传流程，例如，若数据量小于某个阈值，则移动管理网元102决定发起下行数据早传流程，否则移动管理网元102决定不发起下行数据早传流程。

可选的，该下行数据通知消息还可以携带该下行数据。或者，该下行数据可以在后续移动管理网元与会话管理网元交互过程中发送。

S202b、移动管理网元102向会话管理网元103发送下行数据通知确认(downlink data notification ACK)消息。会话管理网元103从移动管理网元102接收该下行数据通知确认消息。

S203、若步骤202a中的下行数据通知消息中携带该下行数据，则移动管理网元102缓存该下行数据。

S204、移动管理网元102向接入网设备101发送第一寻呼请求，该第一寻呼请求中包括第二指示信息。接入网设备101从移动管理网元102接收该第一寻呼请求。

该第二指示信息用于指示是否发起MT-EDT流程以传输所述下行数据。该第二指示信息具体可以是MT-EDT指示或该下行数据的数据量(data volume)的指示。

其中，该第一寻呼请求携带需要所述用户设备105的标识，例如系统架构演进临时移动用户标识(System Architecture Evolution Temporary Mobile Station Identifier，S-TMSI)。

S205、接入网设备101向用户设备105发送第二寻呼请求。

接入网设备101根据第一寻呼请求中携带的所述第二指示信息，确定需要为用户设备105分配特定的资源以传输所述下行数据。例如，当第一寻呼请求中携带MT-EDT指示时，接入网设备101根据MT-EDT指示确定需要为用户设备105分配特定的资源以传输下行数据；当第一寻呼请求中携带下行数据的数据量时，接入网设备101根据下行数据的数据量小于预设的阈值，确定需要为用户设备105分配特定的资源以传输下行数据。

该特定的资源可以是用于下行早传数据传输的资源，该资源例如可以是专有的物理随机接入信道(physical random access channel,PRACH)资源。所述PRACH资源可以包括随机接入前导码(preamble)。

所述第二寻呼请求包括所述特定的资源。可选的，接入网设备101在服务范围内广播所述第二寻呼请求，所述第二寻呼请求还包括所述终端设备105的标识(如S-TMSI)，所述终端设备105的标识用于指示所述第二寻呼请求寻呼的对象。当一个用户设备接收到第二寻呼请求时，只有在自身的标识与所述第二寻呼请求中的所述终端设备105的标识相同的情况下，才会响应所述第二寻呼请求。进一步的，所述接入网设备101保存所述用户设备105的标识和特定的资源的对应关系。

可选的，所述第二寻呼请求还包括第三指示信息。所述第三指示信息用于指示是否发起MT-EDT流程以传输所述下行数据。该第三指示信息具体可以是MT-EDT指示、该下行数据的数据量(data volume)的指示，或者其他任意可以用于指示用户设备105发起MT-EDT流程以传输所述下行数据的参数。用户设备105发起MT-EDT流程以传输所述下行数据，具体可以是指用户设备105通过接入网设备101分配的特定资源发起随机接入请求，并且在后续的随机接入响应(MSG2)中解析获取网络侧下发的下行数据。

需要说明的是，本申请实施例各个步骤中第一指示信息、第二指示信息以及第三指示信息的作用都是类似的，即用于指示是否发起MT-EDT流程以传输下行数据，但是不同步骤中的指示信息的形式可能是不一样的，本申请实施例对此不作限制。

例如，本申请实施例中S202a、S204以及S205中的指示信息有多种可能的实现方式：

(1)所述下行数据通知消息携带第一指示信息为MT-EDT指示，所述第一寻呼请求中包括的第二指示信息也是MT-EDT指示，以及所述第二寻呼请求中包括的第三指示信息也是MT-EDT指示；

(2)所述下行数据通知消息携带第一指示信息为下行数据的数据量的指示，所述第一寻呼请求中包括的第二指示信息是MT-EDT指示；即，所述移动管理网元102需要根据所述下行数据的数据量判断是否发起下行数据早传流程，并通过MT-EDT指示指示接入网设备101是否发起下行数据早传流程；所述第二寻呼请求中包括的第三指示信息也是MT-EDT指示；

(3)所述下行数据通知消息携带第一指示信息为下行数据的数据量的指示，所述第一寻呼请求中包括的第二指示信息也是下行数据的数据量的指示，所述第二寻呼请求中包括的第三指示信息是MT-EDT指示；这种情况下，接入网设备101需要根据所述下行数据的数据量判断是否发起下行数据早传流程；

(4)所述下行数据通知消息携带第一指示信息为下行数据的数据量的指示，所述第一寻呼请求中包括的第二指示信息也是下行数据的数据量的指示，所述第二寻呼请求中包括的第三指示信息也是下行数据的数据量的指示；这种情况下，用户设备105需要根据所述下行数据的数据量判断是否发起下行数据早传流程。S206、用户设备105接收接入网设备101发送的第二寻呼请求。具体的，用户设备105获取所述第二寻呼请求中的所述特定的资源，并确定通过下行数据早传流程获取所述下行数据。

一种可能的实现方式中，用户设备105根据所述特定的资源和/或所述第三指示信息，确定执行S207的随机接入流程，并通过解析后续S209中接收到的随机接入响应，获取所述下行数据。

S207、用户设备105向接入网设备101发送随机接入请求，接入网设备101接收用户设备105发送的所述随机接入请求。

用户设备105可以根据所述接入网设备101为用户设备105分配的特定的资源，如所述PRACH资源，向接入网设备101发起随机接入流程。

所述随机接入请求也称消息1(MSG1)，用于请求获得上行同步。

其中，所述随机接入请求包括所述接入网设备101为用户设备105分配的特定的资源，例如所述PRACH资源。一种可能的实现方式是，所述随机接入请求包括所述随机接入前导码(preamble)。

S208、接入网设备101向移动管理网元102发送下行数据获取请求，所述下行数据获取请求用于向移动管理网元102封装请求所述用户设备105的所述下行数据。相应的，所述移动管理网元102接收接入网设备101发送的下行数据获取请求。

可选的，所述下行数据获取请求可以是非接入层协议数据单元(protocol data unit，PDU)请求(NAS PDU Request)。

具体的，接入网设备101接收到用户设备105发送的随机接入请求之后，根据所述随机接入请求中的所述特定的资源，确定所述用户设备105需要采用MT-EDT流程传输所述下行数据。进一步的，接入网设备101根据所述随机接入请求中的所述特定的资源确定所述用户设备105的标识。其中，所述接入网设备101根据所述随机接入请求中的所述特定的资源，确定所述用户设备105的标识包括：接入网设备101根据所述随机接入请求中的所述特定的资源以及步骤205中保存的对应关系，确定所述用户设备105的标识，例如S-TMSI。

S209：如果移动管理网元102已经从会话管理网元103接收到所述下行数据(即S202a中下行数据通知中携带所述下行数据)，则移动管理网元102通过接入网设备101向用户设备105发送所述下行数据；否则，移动管理网元102从所述会话管理网元获取所述下行数据，然后再通过接入网设备101向用户设备105发送所述下行数据。相应的，用户设备105通过接入网设备101接收移动管理网元102发送的所述下行数据。

具体的，移动管理网元102根据下行数据获取请求请求携带的用户设备105的标识，获得所述下行数据，然后将所述下行数据携带在下行NAS消息中发送给用户设备105。

移动管理网元102通过接入网设备101向用户设备105发送所述下行数据，具体为：移动管理网元102向接入网设备101发送下行NAS消息，所述下行NAS消息包括所述下行数据；所述接入网设备101将所述下行NAS消息转发给用户设备105。具体的，接入网设备101可以通过随机接入响应消息(MSG2)将所述下行NAS消息转发给用户设备105。

在一种可能的实现中，所述下行NAS消息可以是下行NAS传输(downlink NAS transport)或者NAS安全模式命令消息。

S210：用户设备105成功接收到所述下行数据之后，通过接入网设备101向移动管理网元102发送反馈信息。所述反馈信息用于向移动管理网元102指示用户设备105已经成功收到所述下行数据。

S211：可选的，所述移动管理网元102接收到所述反馈信息之后，可以删除所述下行消息和/或释放S1/N2连接。

上述图2所示的下行数据早传的方法流程仅仅是一种举例，本申请实施例不局限于该方法流程，还可以适用于其它下行数据早传的应用场景。

进一步的，申请人在研究过程中发现在上述图2实施例中的步骤205中，由于接入网设备101向用户设备105发送第二寻呼请求是广播的并且是没有安全保护的，所以在所述接入网设备101服务范围内的任意用户设备都可以接收到该第二寻呼请求。如果一个恶意的用户设备伪造成用户设备105向接入网设备101发送随机接入请求并执行后续的相关步骤，那么用户设备105的下行数据将被恶意用户的设备获取，并且由于移动管理网元102在S213可能会删除所述下行数据，所以用户设备105也将无法获取所述下行数据。

为了确保用户设备105的下行数据不被恶意的用户设备非法截取，以及确保该下行数据可以被正确的发送给所述用户设备105，本申请实施例提供了又一种如图3所示的数据传输的方法。具体的，在下行数据早传过程中，用户设备105和移动管理网元102会分别使用各自当前的安全上下文激活NAS安全保护，对待发送给用户设备105的下行数据进行安全保护。此外，在本申请实施例中由于在传输下行数据之前，由于用户设备105和移动管理网元102之间没有NAS消息交互，所以用户设备105和移动管理网元102上的当前安全上下文可能并不相同，本申请实施例还提供了对用户设备105和移动管理网元102上的当前安全上下文进行同步的方法具体的细节，如下所述。

S301-S303同图2实施例中S201-S203，相关步骤请参考图2实施例相关描述，这里不再赘述。

S304、移动管理网元102确定使用当前的安全上下文激活NAS安全保护。其中，激活NAS安全保护可以包含激活NAS完整性保护和激活NAS加密保护。

可选的，移动管理网元102确定使用当前的安全上下文对后续接收的上行NAS消息进行解安全保护；其中，解安全保护可以包含对接收到的上行NAS消息进行完整性校验和解密。

可选的，移动管理网元102确定使用当前的安全上下文对后续发送的下行NAS消息进行安全保护；其中，安全保护可以包含对待发送的下行NAS消息进行完整性保护和加密。具体的，移动管理网元102根据所述第一指示信息，确定发起获取下行数据的流程，进而需要使用当前的安全上下文对后续发送的下行NAS消息进行安全保护。可选的，移动管理网元102根据所述第一指示信息，还确定对后续接收的上行NAS消息进行安全保护。

可选的，移动管理网元102根据所述第一指示信息确定以当前的安全上下文激活NAS安全保护。

具体的，移动管理网元102以当前的安全上下文中的完整性保护密钥Knas-int和完整性保护算法激活NAS完整性保护，并且，移动管理网元102以当前安全上下文的加密密钥Knas-enc和加密算法激活NAS加密保护。

可选的，如果移动管理网元102上不存在当前的安全上下文，则将自身存储的非当前的安全上下文设置为当前的安全上下文，并使用当前的安全上下文激活NAS安全。若当前的安全上下文中不包含NAS完整性保护密钥Knas-int或NAS加密密钥Knas-enc，则MME根据非当前的安全上下文包含的根密钥Kasme以及加密和完整性算法衍生相应的NAS加密密钥和NAS完整性保护密钥。

可选的，如果移动管理网元102上不存在所述用户设备105的任何安全上下文或者不存在当前的安全上下文，则所述移动管理网元102重新鉴权用户设备105，并建立新的安全上下文。移动管理网元102和用户设备105通过鉴权流程之后，将会拥有相同的当前的安全上下文。其中，通过鉴权流程重新建立安全上下文的流程具体为通过重新执行3GPP TS 33.401 f40 6.1章或3GPP TS 33.501 f50 6.1章所示的鉴权流程以及3GPP TS 33.401 f407.2.4.4章或3GPP TS 33.501 f50 6.7.2章所示的安全激活流程重新建立并激活安全上下文，这里不再赘述。

可选的，如果移动管理网元102上不存在当前的安全上下文，则通知所述用户设备105以建立安全上下文。一种实现方式为，移动管理网元错误的完整性保护下行NAS消息以触发步骤S316-S321，例如，移动管理网元可以随机生成下行NAS消息的MAC，以使得用户设备105校验消息失败。

S305-S307同图2实施例中S204-S206，相关步骤请参考图2实施例相关描述，这里不再赘述。

S308、用户设备105确定使用当前的安全上下文激活NAS安全保护。其中，激活NAS安全保护可以包含激活NAS完整性保护和激活NAS加密保护。

可选的，用户设备105确定使用当前的安全上下文对后续接收到的下行NAS消息进行解安全保护。其中，解安全保护可以包含对接收到的下行NAS消息进行校验完整性和解密。

可选的，用户设备105还确定使用当前的安全上下文对后续发送的上行NAS消息进行安全保护。其中，安全保护可以包含对待发送的上行NAS消息进行完整性保护和加密保护。

具体的，用户设备105根据所述第三指示信息和/或所述特定的资源，确定使用当前的安全上下文激活NAS安全保护。即根据所述第三指示信息或者所述特定的资源，确定发起获取下行数据的流程，且使用当前的安全上下文对后续接收到的下行NAS消息进行解安全保护以及对后续待发送的上行NAS消息进行安全保护。

具体的，用户设备105根以当前的安全上下文中的完整性保护密钥Knas-int和完整性保护算法激活NAS完整性保护，并且，用户设备105以当前安全上下文的加密密钥Knas-enc和加密算法激活NAS加密保护。

S309-S310同图2实施例中S207-S208，相关步骤请参考图2实施例相关描述，这里不再赘述。

S311、如果移动管理网元102已经从会话管理网元103接收到所述下行数据(即S302a中下行数据通知中携带所述下行数据)，则移动管理网元102使用当前安全上下文对所述下行数据进行安全保护；否则，移动管理网元102先从所述会话管理网元103获取所述下行数据，然后使用当前安全上下文对所述下行数据进行安全保护。

具体的，移动管理网元102根据下行数据获取请求携带的用户设备105的标识，获得所述下行数据，然后将使用当前安全上下文对所述下行数据进行安全保护。

需要说明的是，S311可以在S304-S312之间任何时候执行，本申请实施例对其执行顺序不做限定。

S312、移动管理网元102通过接入网设备101向用户设备105发送安全保护后的下行数据；相应的，用户设备105通过接入网设备101接收移动管理网元102发送的所述安全保护后的下行数据。

具体的，移动管理网元102可以将所述安全保护后的下行数据携带在下行NAS消息中发送给用户设备105。下行NAS消息具体的形式可以参考S209中相关描述。

S313、用户设备105对接收到的下行NAS消息进行解安全保护，如果解安全保护成功则执行S314-S15；如果解安全保护失败，则执行S316-S321。

具体的，用户设备105对接收到的下行NAS消息进行解安全保护，包括：

所述用户设备105使用当前安全上下文的Knas-int和完整性保护算法对所述下行NAS消息进行完整性验证，验证通过之后，再使用当前安全上下文的Knas-enc和加密算法对下行NAS消息进行解密以获得明文的下行数据。

如果完整性验证通过，且可以解密获得明文的下行数据，则表示解安全保护成功；否则解安全保护失败。例如，如下几种情况中的一种或者多种，都可以认为是解安全保护失败：

(1)完整性验证失败；

(2)完整性验证成功，但是解密失败；

(3)下行NAS消息没有完整性保护；

(4)下行NAS消息没有加密保护。

用户设备105与移动管理网元102各自存储有当前安全上下文和/或非当前安全上下文。用户设备105与移动管理网元102要能够正常的通信，必须使用相同的当前安全上下文。但是在某些情况下，用户设备105与移动管理网元102各自的当前的安全上下文可能不一致，这可能是由于以下原因引起的：

(1)用户设备105自主删除了当前的安全上下文，并将非当前的安全上下文置为当前的安全上下文；

(2)用户设备105没有当前的安全上下文；

(3)移动管理网元102自主删除了当前的安全上下文，并将非当前的安全上下文置为当前的安全上下文

(4)移动管理网元102没有当前的安全上下文。

在当前的安全上下文不一致的情况下，用户设备105在S313解安全保护将失败，因此执行步骤S316-S321以同步用户设备105和移动管理网元102的当前的安全上下文。

S314、用户设备105通过接入网设备101向移动管理网元102发送经过安全保护的反馈信息。

具体的，用户设备105对接收到的下行NAS消息进行解安全保护之后，成功获取所述下行数据之后，可以向移动管理网元102发送确认成功收到所述下行数据的反馈信息。所述反馈信息可以携带在一个上行NAS消息(用第一上行NAS消息指代)中，用户设备105可以使用当前的安全上下文对该第一上行NAS消息进行安全保护。

S315、移动管理网元102通过接入网设备101接收来自用户设备105的第一上行NAS消息之后，对接收到的第一上行NAS消息进行解安全保护，获得所述反馈信息。

可选的，所述移动管理网元102获得所述反馈信息之后，可以删除缓存的所述下行数据和/或释放S1/N2连接。

由于第一上行NAS消息是由用户设备105安全保护的，所以当移动管理网元102对接收到的第一上行NAS消息进行解安全保护，获得所述反馈信息之后，移动管理网元102可以确定用户设备105已经获得所述下行数据。由于其他非法的设备无法伪造用户设备105发送所述上行NAS消息，所以可以笔迷恶意的设备伪装成真实的用户设备105获取所述下行数据，进而使得真实的用户设备105无法获得所述下行数据。

S316、用户设备105通过接入网设备101向移动管理网元102发送经过安全保护的第二上行NAS消息，所述第二上行NAS消息包括第一安全上下文标识和用户设备的标识(例如，S-TMSI)。第一安全上下文标识用于指示用户设备105使用的当前安全上下文，第一安全上下文标识可以是密钥标识符也可以是用户设备105没有当前的安全上下文的指示信息。

可选的，所述第二上行NAS消息可以是控制面服务请求(Control Plane Service Request，CPSR)消息。

其中，对于S313所述的原因(1)或(3)场景下，所述第二上行NAS消息具体包括第一安全上下文标识、用户设备的标识以及第一MAC。其中，所述第一安全上下文标识KSI用于指示用户设备105自身当前的安全上下文中的密钥标识符，例如可以是用户设备105当前的安全上下文中保存的密钥标识符；所述第一MAC是用户设备105根据自身当前的安全上下文，对所述第二上行NAS消息进行完整性保护生成的MAC。

对于S313所述的原因(2)或(4)场景下，所述第二上行NAS消息包括第一安全上下文标识以及用户设备的标识。其中，所述第一安全上下文标识用于指示用户设备105没有当前的安全上下文，例如第一安全上下文标识可以是一个特殊的密钥标识符，如置密钥标识符为二进制“0111”或“1111”，当然也可以是其他预设的指示信息。

S317、移动管理网元102接收到所述第二上行NAS消息之后，若移动管理网元102具备第一安全上下文标识所指示的安全上下文，则使用所述第一安全上下文标识对应的安全上下文对是第二NAS信息解安全保护，解安全保护成功之后，激活所述第一安全上下文标识对应的安全上下文，并且使用新激活的安全上下文安全保护所述下行数据。

一种实现方式为，移动管理网元102根据所述第二上行NAS消息中密钥标识符KSI和用户设备的标识，获得用户设备105的安全上下文，并根据获取到的安全上下文中的Knas-int和完整性保护算法对上行NAS消息进行完整性验证(即根据获取到的安全上下文中的Knas-int和完整性保护算法计算得到第二MAC，并比较第一MAC是否与第二MAC相同；相同的话，则完整性验证成功，否则，失败。)，完整性验证成功之后，移动管理网元102激活所述KSI对应的安全上下文，并且使用新激活的安全上下文安全保护所述下行数据。

若移动管理网元102不具备第一安全上下文标识所指示的安全上下文或第一安全上下文标识指示用户设备105没有当前的安全上下文，则移动管理网元102重新鉴权用户设备105，并建立新的安全上下文。移动管理网元102和用户设备105通过鉴权流程之后，将会拥有相同的当前安全上下文。其中，通过鉴权流程重新建立安全上下文的流程具体为通过重新执行3GPP TS 33.401 f40 6.1章或3GPP TS 33.501 f50 6.1章所示的鉴权流程以及3GPP TS 33.401 f40 7.2.4.4章或3GPP TS 33.501 f50 6.7.2章所示的安全激活流程重新建立并激活安全上下文，这里不再赘述。

一种实现方式为，移动管理网元102根据所述第二上行NAS消息中密钥标识符KSI指示为“0111”，决定重新鉴权用户设备105，移动管理网元102向用户设备105发送鉴权请求消息，用户设备105回复移动管理网元102鉴权响应消息，完成鉴权。之后，移动管理网元102向用户设备105发送安全模式命令消息，用户设备105回复移动管理网元102安全模式完成消息，完成安全上下文的建立，并激活新的安全上下文。移动管理网元102使用新激活的安全上下文安全保护所述下行数据。

S318可以参考S312相关的描述，不一样的地方在于，S318和S312中移动管理网元102发送的安全保护后的下行数据并不一样，具体来说，移动管理网元102使用了不一样的安全上下文对所述下行数据进行了安全保护。在S313中，用户设备105之所以会解安全保护失败，是因为移动管理网元102和用户设备105使用了不一样的安全上下文。本申请实施例中，在S313中用户设备105对下行NAS消息解安全保护失败之后，通过S316向移动管理网元发送自身使用的安全上下文的指示信息(即用户设备105的标识和密钥标识符)，从而实现了用户设备105和移动管理网元102之间的上下文同步。

S319、用户设备105对接收到的下行NAS数据包进行解安全保护。

具体的细节可以参考S313。由于此时用户设备105和移动管理网元102的安全上下文已经同步，所以用户设备105必然可以成功解安全保护该下行NAS数据包。

S320-S321同S314-S315，相关步骤请参考图2实施例相关描述，这里不再赘述。

在本申请实施例中，移动管理网元102从会话管理网元103收到MT-EDT指示之后，使用自身的当前安全上下文激活NAS安全保护，并且通过接入网设备101寻呼用户设备105。用户设备105收到用于触发下行数据早传的寻呼消息之后，使用自身的当前安全上下文激活NAS安全保护。用户设备105响应网络侧的寻呼，发起随机接入流程之后，移动管理网元102使用自身当前的安全上下文对下行数据进行安全保护，将下行数据封装在下行NAS消息中发送给用户设备105。用户设备105接收到下行NAS消息之后，使用自身的当前的安全上下文对接收到的下行NAS消息进行解安全保护，如果解安全保护成功，则用户设备105向移动管理网元102发送成功接收下行数据的反馈信息，该反馈信息使用用户设备105自身当前的安全上下文进行安全保护；如果解安全保护失败，则用户设备105与移动管理网元102进行安全上下文同步，并且在安全上下文同步之后，移动管理网元102使用同步后的当前的安全上下文安全保护所述下行数据，移动管理网元102使用自身当前的安全上下文对下行数据进行安全保护，并将下行数据封装在下行NAS消息中发送给用户设备105。用户设备105接收到下行NAS消息之后，使用自身的当前的安全上下文对接收到的下行NAS消息进行解安全保护得到所述下行数据，随后，用户设备105向移动管理网元102发送成功接收下行数据的反馈信息。移动管理网元102在收到用户设备105发送的反馈信息之前可以一直存储所述下行数据，直到收到所述反馈信息之后，再删除自身存储的所述下行数据。本申请实施例提供了一种移动管理网元102将下行数据通过控制面的NAS消息安全的发送给用户设备105的方法。具体的，本申请实施例提供了一种在MT-EDT场景下，激活用户设备105和移动管理网元102NAS安全保护的方法，并且在用户设备105和移动管理网元102各自的当前安全上下文不一致的情况下，提供了用户设备105和移动管理网元102之间进行上下文同步的方法。

本申请实施例提供了又一种如图4所示的数据传输的方法。具体的，在下行数据早传过程中，移动管理网元102使用当前的安全上下文激活NAS安全保护，并在寻呼用户设备105的过程中将自己使用的当前的安全上下文通知给用户设备105。用户设备105收到寻呼之后，使用与移动管理网元102相同的安全上下文激活NAS安全保护。从而，对用户设备105和移动管理网元102之间的早传数据进行安全保护。具体技术细节，如下：

S401-S404同图3实施例中S301-S304，相关步骤请参考图3实施例相关描述，这里不再赘述。

S405-S406同图3实施例中S305-S306，相关步骤请参考图3实施例相关描述，不一样的地方在于，第一寻呼消息和第二寻呼消息中需要携带移动管理网元102使用的当前的安全上下文对应的第二安全上下文标识，该第二安全上下文标识用于指示移动管理网元102使用的当前的安全上下文，例如可以是移动管理网元102使用的当前的安全上下文对应的KSI。

S407同图3实施例中S307，相关步骤请参考图3实施例相关描述。

S408、用户设备105根据所述第二安全上下文标识，激活NAS安全保护。

具体的，用户设备105可以根据所述第二安全上下文标识，确定自身存储的安全上下文，并使用确定的安全上下文激活NAS安全保护。即用户设备105将自身存储的安全上下文中与所述第二安全上下文标识相对应的安全上下文设置为当前的安全上下文，并使用新设置的当前的安全上下文激活NAS安全保护。

可选的，如果用户设备105本地没有第二安全上下文标识对应的安全上下文，则用户设备105可以触发移动管理网元102重新鉴权用户设备105，并建立新的安全上下文。移动管理网元102和用户设备105通过鉴权流程之后，将会拥有相同的当前安全上下文。其中，通过鉴权流程重新建立安全上下文的流程具体为通过重新执行3GPP TS 33.401 f40 6.1章或3GPP TS 33.501 f50 6.1章所示的鉴权流程以及3GPP TS 33.401 f40 7.2.4.4章或3GPP TS 33.501 f50 6.7.2章所示的安全激活流程重新建立并激活安全上下文，这里不再赘述。

S409-S415同图3实施例中S309-S315，相关步骤请参考图3实施例相关描述，这里不再赘述。

需要说明的是，由于在S413之前，用户设备105和移动管理网元102已经进行了安全上下文同步，所以在S413用户设备105可以成功解安全保护下行NAS消息。

本申请实施例还提供了一种如图5所示的数据传输的方法。具体的，在下行数据早传过程中，移动管理网元102使用当前的安全上下文激活NAS安全保护，并在向用户设备发送下行NAS消息中将自己使用的当前的安全上下文通知给用户设备105。用户设备105收到下行NAS消息之后，使用与移动管理网元102相同的安全上下文激活NAS安全保护。并使用相应的安全上下文对接收到的下行NAS消息进行解安全保护。从而，对用户设备105和移动管理网元102之间的早传数据进行安全保护。具体技术细节，如下：

S501-S510同图3实施例中S301-S310，相关步骤请参考图3实施例相关描述，这里不再赘述。

S511同图3实施例中S312，相关步骤请参考图3实施例相关描述，不一样的地方在于，下行NAS消息中需要携带移动管理网元102使用的当前的安全上下文对应的第二安全上下文标识，该第二安全上下文标识用于指示移动管理网元102使用的当前的安全上下文，例如可以是移动管理网元102使用的当前的安全上下文对应的KSI。

S512、用户设备105根据所述第二安全上下文标识，激活NAS安全保护。

具体的，用户设备105可以根据所述第二安全上下文标识，确定自身存储的安全上下文，并使用确定的安全上下文激活NAS安全保护。可选的，如果用户设备105本地没有第二安全上下文标识对应的安全上下文，则用户设备105可以触发移动管理网元102重新鉴权用户设备105，并建立新的安全上下文。移动管理网元102和用户设备105通过鉴权流程之后，将会拥有相同的当前安全上下文。其中，通过鉴权流程重新建立安全上下文的流程具体为通过重新执行3GPP TS 33.401 f40 6.1章或3GPP TS 33.501 f50 6.1章所示的鉴权流程以及3GPP TS 33.401 f40 7.2.4.4章或3GPP TS 33.501 f50 6.7.2章所示的安全激活流程重新建立并激活安全上下文，这里不再赘述。建立新的安全上下文之后，移动管理网元102可以使用新的安全上下文对下行数据进行安全保护，并将安全保护后的下行数据封装在下行NAS消息中发送给用户设备105，即重新执行411和412的步骤。

S513-S515同图4实施例中S413-S415，相关步骤请参考图4实施例相关描述。

基于上述方法实施例的同一构思，如图6所示，本申请实施例还提供一种通信装置600，该通信装置600具有执行上述方法实施例中用户设备105或移动管理网元102等设备执行的操作的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如，该通信装置600包括处理单元601和通信单元602。通信单元602用于执行方法实施例中发送和/或接收的步骤。处理单元601用于执行除发送接收外的其它步骤。进一步的，通信单元602可以包括发送单元和/或接收单元。该通信装置600可以是终端，也可以是终端内部的芯片或功能模块，当该通信装置600用于执行上述方法实施例中用户设备105执行的操作时：

通信单元602，用于从接入网设备接收针对下行数据早传的寻呼消息，其中，所述寻呼消息包括特定的资源信息；

处理单元601，用于根据所述寻呼消息，使用所述用户设备当前的安全上下文激活非接入层NAS安全保护；

通信单元602，还用于向所述接入网设备发送随机接入请求，所述随机接入请求包括所述特定的资源信息；接收移动管理网元通过所述接入网设备发送的第一下行NAS消息，所述第一下行NAS消息包括所述移动管理网元使用所述移动管理网元当前的安全上下文安全保护后的下行数据；以及在使用所述用户设备当前的安全上下文解安全保护所述第一下行NAS消息成功的情况下，通过所述接入网设备向所述移动管理网元发送反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中。

可选的，所述寻呼消息还包括用于指示下行数据早传的指示信息。其中，所述下行数据早传的指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示。

一种可能的实现方式中，处理单元601，用于根据所述寻呼消息，使用所述用户设备当前的安全上下文激活非接入层NAS安全保护，具体为：根据所述特定的资源信息，确定使用所述用户设备当前的安全上下文激活非接入层NAS安全保护；或者，如果所述寻呼消息还包括用于指示下行数据早传的指示信息，则根据所述用于指示下行数据早传的指示信息和/或所述特定的资源信息，确定使用所述用户设备当前的安全上下文激活非接入层NAS安全保护。

一种可能的实现方式中，通信单元602，还用于在使用所述用户设备当前的安全上下文解安全保护所述第一下行NAS消息失败的情况下，通过所述接入网设备向所述移动管理网元发送使用所述用户设备当前的安全上下文进行安全保护的第二上行NAS消息，所述第二上行NAS消息包括第一安全上下文标识和所述用户设备的标识，其中，所述第一安全上下文标识用于指示所述用户设备当前的安全上下文；接收所述移动管理网元通过所述接入网设备发送的第二下行NAS消息，所述第二下行NAS消息包括所述移动管理网元使用所述用户设备当前的安全上下文安全保护后的下行数据；处理单元601，还用于使用所述用户设备当前的安全上下文解安全保护所述第二下行NAS消息，获得所述下行数据。

一种可能的实现方式中，处理单元601，还用于在根据所述寻呼消息，使用用户设备当前的安全上下文激活非接入层NAS安全保护之前，获取所述用户设备当前的安全上下文。其中，处理单元601，用于获取所述用户设备当前的安全上下文，具体为：获取自身存储的所述用户设备当前的安全上下文；或者触发所述移动管理网元对所述用户设备进行重新鉴权，进而在所述用户设备和所述移动管理网上建立相同的当前的安全上下文。

在另外一种可能的实现方式中，通信单元602，用于从接入网设备接收针对下行数据早传的寻呼消息，其中，所述寻呼消息包括特定的资源信息；向所述接入网设备发送随机接入请求，所述随机接入请求包括所述特定的资源信息；以及接收移动管理网元通过所述接入网设备发送的第一下行NAS消息，所述第一下行NAS消息包括所述移动管理网元使用所述移动管理网元当前的安全上下文安全保护后的下行数据以及第二安全上下文标识；所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文；

处理单元601，用于根据所述第二安全上下文标识，激活非接入层NAS安全保护；以及使用用户设备当前的安全上下文解安全保护所述第一下行NAS消息以获得所述下行数据；

通信单元602，还用于通过所述接入网设备向所述移动管理网元发送反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中。

该通信装置600可以是移动管理网元，也可以是移动管理网元内部的芯片或功能模块，当该通信装置600用于执行上述方法实施例中网络设备执行的操作时，处理单元601用于调度通信单元602与其他设备通信。具体的，通信单元602，用于接收会话管理网元发送的下行数据通知消息，所述下行数据通知消息包括第一指示信息；处理单元601，用于根据所述第一指示信息，使用所述移动管理网元当前的安全上下文激活非接入层NAS安全保护；使用所述移动管理网元当前的安全上下文对用户设备的下行数据进行安全保护，并将安全保护后的下行数据封装在第一下行NAS消息中；通信单元602，还用于通过接入网设备向所述用户设备发送所述第一下行NAS消息。

所述通信单元602，还用于在所述移动管理网元接收会话管理网元发送的下行数据通知消息之后，向接入网设备发送第一寻呼请求，所述第一寻呼请求包括所述用户设备的标识和第二指示信息；所述第二指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示；接收所述接入网设备发送的下行数据获取请求，所述下行数据获取请求包括所述用户设备的标识。

可选的，所述通信单元602，还用于接收所述用户设备发送的反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中；所述处理单元601，还用于使用所述移动管理网元当前的安全上下文解安全保护所述第一上行NAS消息，获取所述反馈信息；根据所述反馈信息，删除缓存的所述下行数据。

可选的，所述通信单元602，还用于接收所述用户设备发送的经过安全保护的第二上行NAS消息，所述第二上行NAS消息包括第一安全上下文标识和所述用户设备的标识；其中，第一安全上下文标识用于指示所述用户设备当前的安全上下文；所述第二上行NAS消息使用所述用户设备当前的安全上下文进行安全保护；所述处理单元601，还用于根据所述第一安全上下文标识，与所述用户设备进行安全上下文同步，以使得所述移动管理网元和所述用户设备建立有相同的当前的安全上下文；以及使用所述移动管理网元当前的安全上下文对所述下行数据进行安全保护，并将安全保护后的下行数据封装在第二下行NAS消息中；所述通信单元602，还用于通过所述接入网设备向所述用户设备发送所述第二下行NAS消息。

可以理解的是，所述处理单元601和所述通信单元602还可以执行上述方法实施例中的其他相应操作，在此不再赘述。

基于与上述方法实施例的同一构思，如图7所示，本申请实施例还提供了一种通信装置700，该通信装置700用于实现上述方法实施例中用户设备105和/或移动管理网元102执行的操作。图7仅仅示出了通信装置700的主要部件。

通信装置700包括：收发器701、处理器702和存储器703。收发器701用于与其它通信设备进行消息或信令的传输，处理器702与存储器703耦合，用于调用存储器703中的程序，当程序被执行时，使得通信装置700执行上述方法实施例中用户设备105和/或移动管理网元102执行的操作。存储器703用于存储处理器702执行的程序。收发器701可以包括发射器和/或接收器，分别实现收发功能。处理器702可以为一个或多个。存储器703可以位于处理器702中，也可以单独存在。图6中的功能模块处理单元601可以通过处理器702来实现，通信单元602可以通过收发器701来实现。本领域技术人员可以理解，为了便于说明，图7仅示出了一个存储器和处理器。在实际的用户设备105和/或移动管理网元102中，可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等，本申请实施例对此不做限制。

处理器702主要用于对通信协议以及通信数据进行处理，以及对整个用户设备105和/或移动管理网元102进行控制，执行软件程序，处理软件程序的数据，例如用于支持终端和/或网络设备执行上述方法实施例中所描述的动作。存储器703主要用于存储软件程序和数据。

当执行用户设备的功能时，例如，当处理器702执行存储器703中的程序指令时，使得所述通信装置执行如下操作：从接入网设备接收针对下行数据早传的寻呼消息，其中，所述寻呼消息包括特定的资源信息；根据所述寻呼消息，使用所述用户设备当前的安全上下文激活非接入层NAS安全保护；向所述接入网设备发送随机接入请求，所述随机接入请求包括所述特定的资源信息；接收移动管理网元通过所述接入网设备发送的第一下行NAS消息，所述第一下行NAS消息包括所述移动管理网元使用所述移动管理网元当前的安全上下文安全保护后的下行数据；在使用所述用户设备当前的安全上下文解安全保护所述第一下行NAS消息成功的情况下，通过所述接入网设备向所述移动管理网元发送反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中。

当执行网络设备的功能时，例如，当处理器702执行存储器703中的程序指令时，使得所述通信装置执行如下操作：接收会话管理网元发送的下行数据通知消息，所述下行数据通知消息包括第一指示信息，所述第一指示信息用于指示是否发起MT-EDT流程以传输所述下行数据；根据所述第一指示信息，使用所述移动管理网元当前的安全上下文激活非接入层NAS安全保护；使用所述移动管理网元当前的安全上下文对用户设备的下行数据进行安全保护，并将安全保护后的下行数据封装在第一下行NAS消息中；通过接入网设备向所述用户设备发送所述第一下行NAS消息。

当处理器702执行存储器703中的程序指令时，使得所述通信装置还可以执行上述方法实施例中用户设备105和/或移动管理网元102执行的其它操作或功能，重复之处不再赘述。

处理器702可以是中央处理器(central processing unit，CPU)，网络处理器(network processor，NP)或者CPU和NP的组合。

处理器702还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。

存储器703可以包括易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；存储器703也可以包括非易失性存储器(non-volatile memory)，例如快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；存储器703还可以包括上述种类的存储器的组合。

在本申请上述方法实施例描述的用户设备105或移动管理网元102所执行的操作和功能中的部分或全部，可以用芯片或集成电路来完成。

为了实现上述图6或图7所述的通信装置的功能，本申请实施例还提供一种芯片，包括处理器，用于支持该通信装置实现上述方法实施例中用户设备105或移动管理网元102所涉及的功能。在一种可能的设计中，该芯片与存储器连接或者该芯片包括存储器，该存储器用于保存该通信装置必要的程序指令和数据。

本申请实施例提供了一种计算机存储介质，存储有计算机程序，该计算机程序包括用于执行上述方法实施例的指令。

本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述方法实施例。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种数据传输的方法，其特征在于，包括：

用户设备从接入网设备接收针对下行数据早传的寻呼消息，其中，所述寻呼消息包括特定的资源信息；

所述用户设备根据所述寻呼消息，使用所述用户设备当前的安全上下文激活非接入层NAS安全保护；

所述用户设备向所述接入网设备发送随机接入请求，所述随机接入请求包括所述特定的资源信息；

所述用户设备接收移动管理网元通过所述接入网设备发送的第一下行NAS消息，所述第一下行NAS消息包括所述移动管理网元使用所述移动管理网元当前的安全上下文安全保护后的下行数据；

在使用所述用户设备当前的安全上下文解安全保护所述第一下行NAS消息成功的情况下，通过所述接入网设备向所述移动管理网元发送反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中。
如权利要求1所述的方法，其特征在于，所述寻呼消息还包括用于指示下行数据早传的指示信息。
如权利要求2所述的方法，其特征在于，所述下行数据早传的指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示。
如权利要求1-3任一所述的方法，其特征在于，所述根据所述寻呼消息，使用当前的安全上下文激活非接入层NAS安全保护，包括：

根据所述特定的资源信息，确定使用所述用户设备当前的安全上下文激活非接入层NAS安全保护；或者，

如果所述寻呼消息还包括用于指示下行数据早传的指示信息，则根据所述用于指示下行数据早传的指示信息和/或所述特定的资源信息，确定使用所述用户设备当前的安全上下文激活非接入层NAS安全保护。
如权利要求1～4任一项所述的方法，其特征在于，所述方法还包括：

在使用所述用户设备当前的安全上下文解安全保护所述第一下行NAS消息失败的情况下，所述用户设备通过所述接入网设备向所述移动管理网元发送使用所述用户设备当前的安全上下文进行安全保护的第二上行NAS消息，所述第二上行NAS消息包括第一安全上下文标识和所述用户设备的标识，其中，所述第一安全上下文标识用于指示所述用户设备当前的安全上下文；

所述用户设备接收所述移动管理网元通过所述接入网设备发送的第二下行NAS消息，所述第二下行NAS消息包括所述移动管理网元使用所述用户设备当前的安全上下文安全保护后的下行数据；

使用所述用户设备当前的安全上下文解安全保护所述第二下行NAS消息，获得所述下行数据。
如权利要求5所述的方法，其特征在于，所述第二上行NAS消息为控制面服务请求CPSR消息。
如权利要求5或6所述的方法，其特征在于，所述用户设备的标识为系统架构演进临时移动用户标识S-TMSI。
如权利要求1～7任一项所述的方法，其特征在于，在所述用户设备根据所述寻呼消息，使用用户设备当前的安全上下文激活非接入层NAS安全保护之前，所述方法还包括：

所述用户设备获取所述用户设备当前的安全上下文。
如权利要求8所述的方法，其特征在于，所述用户设备获取所述用户设备当前的安全上下文，包括：

所述用户设备获取自身存储的所述用户设备当前的安全上下文；或者

所述用户设备触发所述移动管理网元对所述用户设备进行重新鉴权，进而在所述用户设备和所述移动管理网上建立相同的当前的安全上下文。
如权利要求1-4任一所述的方法，其特征在于，所述寻呼消息还包括第二安全上下文标识，所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文；

所述用户设备根据所述寻呼消息，使用用户设备当前的安全上下文激活非接入层NAS安全保护，包括：

在所述用户设备自身存储的安全上下文中存在与所述第二安全上下文标识对应的安全上下文的情况下，将与所述第二安全上下文标识对应的安全上下文设置为用户设备当前的安全上下文，使用新设置的当前的安全上下文激活NAS安全保护；

或者，

在所述用户设备自身存储的安全上下文中不存在与所述第二安全上下文标识对应的安全上下文的情况下，所述用户设备触发所述移动管理网元对所述用户设备进行重新鉴权，进而在所述用户设备和所述移动管理网上建立相同的当前的安全上下文；使用新建立的当前的安全上下文激活NAS安全保护。
一种数据传输的方法，其特征在于，包括：

移动管理网元接收会话管理网元发送的下行数据通知消息，所述下行数据通知消息包括第一指示信息；

所述移动管理网元根据所述第一指示信息，使用所述移动管理网元当前的安全上下文激活非接入层NAS安全保护；

所述移动管理网元使用所述移动管理网元当前的安全上下文对用户设备的下行数据进行安全保护，并将安全保护后的下行数据封装在第一下行NAS消息中；

所述移动管理网元通过接入网设备向所述用户设备发送所述第一下行NAS消息。
如权利要求11所述的方法，其特征在于，在所述移动管理网元接收会话管理网元发送的下行数据通知消息之后，所述方法还包括：

所述移动管理网元向接入网设备发送第一寻呼请求，所述第一寻呼请求包括所述用户设备的标识和第二指示信息；所述第二指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示；

所述移动管理网元接收所述接入网设备发送的下行数据获取请求，所述下行数据获取请求包括所述用户设备的标识。
如权利要求11或12所述的方法，其特征在于，所述方法还包括：

所述移动管理网元接收所述用户设备发送的反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中；

所述移动管理网元使用所述移动管理网元当前的安全上下文解安全保护所述第一上行NAS消息，获取所述反馈信息；

所述移动管理网元根据所述反馈信息，删除缓存的所述下行数据。
如权利要求11或12所述的方法，其特征在于，所述方法还包括：

所述移动管理网元接收所述用户设备发送的经过安全保护的第二上行NAS消息，所述第二上行NAS消息包括第一安全上下文标识和所述用户设备的标识；其中，第一安全上下文标识用于指示所述用户设备当前的安全上下文；所述第二上行NAS消息使用所述用户设备当前的安全上下文进行安全保护；

所述移动管理网元根据所述第一安全上下文标识，与所述用户设备进行安全上下文同步，以使得所述移动管理网元和所述用户设备建立有相同的当前的安全上下文；

所述移动管理网元使用所述移动管理网元当前的安全上下文对所述下行数据进行安全保护，并将安全保护后的下行数据封装在第二下行NAS消息中；

所述移动管理网元通过所述接入网设备向所述用户设备发送所述第二下行NAS消息。
如权利要求14所述的方法，其特征在于，所述方法还包括：

所述移动管理网元接收所述用户设备发送的反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第三上行NAS消息中；

所述移动管理网元使用所述移动管理网元当前的安全上下文解安全保护所述第三上行NAS消息，获取所述反馈信息；

所述移动管理网元根据所述反馈信息，删除缓存的所述下行数据。
如权利要求14或15所述的方法，其特征在于，所述移动管理网元根据所述第一安全上下文标识，与所述用户设备进行安全上下文同步，包括：

所述移动管理网元将自身存储的与所述第一安全上下文标识对应的安全上下文设置为自身当前的安全上下文；或者，

所述移动管理网元确定自身没有存储与所述第一安全上下文标识对应的安全上下文；

所述移动管理网元通过重新鉴权流程，建立与所述用户设备相同的当前的安全上下文。
如权利要求14-16任一所述的方法，其特征在于，所述第二上行NAS消息为控制面服务请求CPSR消息。
如权利要求11-13任一所述的方法，其特征在于，所述第一下行NAS消息中还包括第二安全上下文标识，所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文。
权利要求11-13任一所述的方法，其特征在于，所述第一寻呼请求中还包括第二安全上下文标识；所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文。
如权利要求11-19任一所述的方法，其特征在于，所述第一指示信息包括：下行数据早传指示或所述下行数据的数据量的指示。
一种数据传输系统，其特征在于，包括移动管理网元和会话管理网元；

所述会话管理网元，用于向所述移动管理网元发送下行数据通知消息，所述下行通知消息包括第一指示信息；

所述移动管理网元，用于根据所述第一指示信息，使用移动管理网元当前的安全上下文激活非接入层NAS安全保护；使用所述移动管理网元当前的安全上下文对用户设备的下行数据进行安全保护，并将安全保护后的下行数据封装在第一下行NAS消息中；通过接入网设备向所述用户设备发送所述第一下行NAS消息。
如权利要求21所述的系统，其特征在于，所述移动管理网元，还用于在接收会话管理网元发送的下行数据通知消息之后，向接入网设备发送第一寻呼请求，所述第一寻呼请求包括所述用户设备的标识和第二指示信息；所述第二指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示；接收所述接入网设备发送的下行数据获取请求，所述下行数据获取请求包括所述用户设备的标识。
如权利要求21或22所述的系统，其特征在于，所述移动管理网元，还用于接收所述用户设备发送的反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中；使用所述移动管理网元当前的安全上下文解安全保护所述第一上行NAS消息，获取所述反馈信息；根据所述反馈信息，删除缓存的所述下行数据。
如权利要求21或22所述的系统，其特征在于，所述移动管理网元，还用于接收所述用户设备发送的经过安全保护的第二上行NAS消息，所述第二上行NAS消息包括第一安全上下文标识和所述用户设备的标识；其中，第一安全上下文标识用于指示所述用户设备当前的安全上下文；所述第二上行NAS消息使用所述用户设备当前的安全上下文进行安全保护；根据所述第一安全上下文标识，与所述用户设备进行安全上下文同步，以使得所述移动管理网元和所述用户设备建立有相同的当前的安全上下文；使用所述移动管理网元当前的安全上下文对所述下行数据进行安全保护，并将安全保护后的下行数据封装在第二下行NAS消息中；通过所述接入网设备向所述用户设备发送所述第二下行NAS消息。
如权利要求24所述的系统，其特征在于，所述移动管理网元，还用于接收所述用户设备发送的反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第三上行NAS消息中；使用所述移动管理网元当前的安全上下文解安全保护所述第三上行NAS消息，获取所述反馈信息；根据所述反馈信息，删除缓存的所述下行数据。
如权利要求24或25所述的系统，其特征在于，所述移动管理网元，用于根据所述第一安全上下文标识，与所述用户设备进行安全上下文同步，包括：

将所述移动管理网元自身存储的与所述第一安全上下文标识对应的安全上下文设置为自身当前的安全上下文；或者，

在自身没有存储与所述第一安全上下文标识对应的安全上下文的情况下，重新鉴权流程，建立与所述用户设备相同的当前的安全上下文。
如权利要求24-26任一所述的系统，其特征在于，所述第二上行NAS消息为控制面服务请求CPSR消息。
如权利要求21-23任一所述的系统，其特征在于，其特征在于，所述第一下行NAS消息中还包括安全上下文的指示信息，所述安全上下文的指示信息用于指示所述移动管理网元当前的安全上下文。
如权利要求21-23任一所述的系统，其特征在于，其特征在于，所述第一寻呼请求中还包括第二安全上下文标识；所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文。
如权利要求21-28任一所述的系统，其特征在于，其特征在于，所述第一指示信息包括：下行数据早传指示或所述下行数据的数据量的指示。
一种通信装置，其特征在于，包括存储器以及与该存储器耦合的处理器；

所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述通信装置执行上述权利要求1-10任意一项所述的方法。
如权利要求31所述的装置，其特征在于，所述装置为终端或者终端内的芯片。
一种通信装置，其特征在于，包括存储器以及与该存储器耦合的处理器；

所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述通信装置执行上述权利要求11-20任意一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机存储介质中存储有计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行如权利要求1-10任意一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机存储介质中存储有计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行如权利要求11-20任意一项所述的方法。
一种计算机程序产品，其特征在于，当计算机读取并执行所述计算机程序产品时，使得计算机执行如权利要求1-10任意一项所述的方法。
一种计算机程序产品，其特征在于，当计算机读取并执行所述计算机程序产品时，使得计算机执行如权利要求11-20任意一项所述的方法。
一种数据传输的方法，其特征在于，包括：

用户设备从接入网设备接收针对下行数据早传的寻呼消息，其中，所述寻呼消息包括特定的资源信息；

所述用户设备向所述接入网设备发送随机接入请求，所述随机接入请求包括所述特定的资源信息；

所述用户设备接收移动管理网元通过所述接入网设备发送的第一下行NAS消息，所述第一下行NAS消息包括所述移动管理网元使用所述移动管理网元当前的安全上下文安全保护后的下行数据以及第二安全上下文标识；所述第二安全上下文标识用于指示所述移动管理网元当前的安全上下文；

所述用户设备根据所述第二安全上下文标识，激活非接入层NAS安全保护；

所述用户设备使用用户设备当前的安全上下文解安全保护所述第一下行NAS消息以获得所述下行数据；

所述用户设备通过所述接入网设备向所述移动管理网元发送反馈信息，所述反馈信息封装在使用所述用户设备当前的安全上下文进行安全保护的第一上行NAS消息中。
如权利要求38所述的方法，其特征在于，所述寻呼消息还包括用于指示下行数据早传的指示信息。
如权利要求39所述的方法，其特征在于，所述下行数据早传的指示信息包括下行数据早传指示或者所述下行数据的下行数据量的指示。
如权利要求38-40任一所述的方法，其特征在于，所述用户设备根据第二安全上下文标识，激活非接入层NAS安全保护，包括：

所述用户设备将自身存储的安全上下文中与所述第二第二安全上下文标识相对应的安全上下文设置为当前的安全上下文，并使用新设置的当前的安全上下文激活NAS安全保护；或者，

在所述用户设备自身存储的安全上下文中不存在与所述第二安全上下文标识对应的安全上下文的情况下，所述用户设备触发所述移动管理网元对所述用户设备进行重新鉴权，进而在所述用户设备和所述移动管理网上建立相同的当前的安全上下文。
一种通信装置，其特征在于，包括存储器以及与该存储器耦合的处理器；

所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述通信装置执行上述权利要求38-41任意一项所述的方法。
如权利要求42所述的装置，其特征在于，所述装置为终端或者终端内的芯片。