WO2021051250A1

WO2021051250A1 - 数据传输方法及装置

Info

Publication number: WO2021051250A1
Application number: PCT/CN2019/106036
Authority: WO
Inventors: 郭龙华; 胡力; 李�赫; 吴�荣
Original assignee: 华为技术有限公司
Priority date: 2019-09-16
Filing date: 2019-09-16
Publication date: 2021-03-25
Also published as: US20220210859A1; EP4024958A1; CN113841443A; EP4024958A4; CN113841443B

Abstract

本申请实施例提供一种数据传输方法及装置，涉及通信技术领域，用于保证终端的无线能力信息在传输过程中的安全性。该方法包括：终端在建立AS安全上下文之前，根据NAS安全上下文对无线能力信息进行NAS安全保护；之后，终端向移动管理网元发送经过NAS安全保护的无线能力信息；移动管理网元接收到经过NAS安全保护的无线能力信息之后，对经过NAS安全保护的无线能力信息进行解安全保护，从而获取并且存储终端的无线能力信息。这样一来，在接入网设备需要终端的无线能力信息的场景下，移动管理网元可以向接入网设备发送无线能力信息。本申请适用于无线能力信息的传输过程中。

Description

数据传输方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种数据传输方法及装置。

背景技术

第三代合作伙伴计划项目(3rd generation partnership project，3GPP)定义的移动通信网络引入了安全保护机制来保证移动通信的安全(例如：通信的保密性、完整性)。在终端与基站之间建立接入层(access stratum，AS)安全上下文之后，终端可以通过AS安全上下文，对一些隐私数据(例如无线能力信息)进行AS安全保护，并将AS安全保护的隐私数据发送给基站，以使得网络侧获知该终端的隐私数据。

当前，在一些场景下，终端与基站之间未建立安全上下文，从而终端不能对隐私数据进行AS安全保护，终端只能向基站传输无AS安全保护的隐私数据。这种情况下，隐私数据存在被攻击者窃取或者篡改的风险，导致通信网络存在安全风险。

发明内容

本申请提供一种数据传输方法及装置，用于保证终端的隐私数据在传输过程中的安全性。

第一方面，提供一种通信系统，包括接入网设备和移动管理网元；其中，接入网设备，用于在终端与接入网设备建立AS上下文之前，将来自终端的经过非接入层(non-access stratum，NAS)安全保护的隐私数据发送给移动管理网元；接收来自移动管理网元的隐私数据。移动管理网元，用于接收来自终端的且经过NAS安全保护的隐私数据；在对经过NAS安全保护的隐私数据进行解安全保护之后，向接入网设备发送隐私数据。

基于上述技术方案，在终端与接入网设备建立AS安全上下文之前，终端通过发送经过NAS安全保护的隐私数据，以使得网络侧可以获知终端的隐私数据。并且，终端的隐私数据经过NAS安全保护，从而可以保证终端的隐私数据在传输过程中的安全性。

一种可能的设计中，经过NAS安全保护的隐私数据携带在终端发送的第一NAS消息中；其中，第一NAS消息经过NAS安全保护。

一种可能的设计中，第一NAS消息为初始NAS消息，或者NAS SMP消息。

一种可能的设计中，在第一NAS消息为初始NAS消息的情况下，初始NAS消息中的非明文信息包括隐私数据。

一种可能的设计中，移动管理网元，还用于向终端发送经过NAS安全保护的第二NAS消息，第二NAS消息用于指示移动管理网元已接收到第一NAS消息。

一种可能的设计中，接入网设备，还用于在确定终端为第一类型终端的情况下，向移动管理网元发送第二请求消息；第二请求消息用于向移动管理网元请求隐私数据；移动管理网元，还用于接收第二请求消息。

一种可能的设计中，接入网设备，还用于确定终端为第一类型终端。

一种可能的设计中，接入网设备，还用于确定终端为第一类型终端，具体为：接入网设备根据终端接入的小区，确定终端为第一类型终端；或者，接入网设备根据终端发送的消息，确定终端为第一类型终端；或者，接入网设备根据终端的网络能力指示，确定终端为第一类型终端。

一种可能的设计中，第一类型终端为CP优化的NB-IoT终端或者CP优化的CIoT终端。

一种可能的设计中，接入网设备，还用于在确定终端为第一类型终端的情况下，不向终端发送第一请求消息，第一请求消息用于向终端请求隐私数据。

一种可能的设计中，移动管理网元，还用于在未存储有效的隐私数据的情况下，向终端发送经过NAS安全保护的第三NAS消息，第三NAS消息用于向终端请求经过NAS安全保护的隐私数据。

一种可能的设计中，接入网设备，还用于接收来自终端的第一RRC消息，第一RRC消息包括NAS容器，NAS容器包括加密后的隐私数据以及上行NAS MAC；向移动管理网元发送NAS容器；移动管理网元，具体用于接收NAS容器。

第二方面，提供一种数据传输方法，包括：终端在建立AS安全上下文之前，根据预先存储的NAS安全上下文，对隐私数据进行NAS安全保护；终端发送经过NAS安全保护的隐私数据。

一种可能的设计中，终端在建立AS安全上下文之前，根据预先存储的NAS安全上下文，对隐私数据进行NAS安全保护，包括：终端的NAS层从终端的RRC层获取到隐私数据；终端的NAS层根据预先存储的NAS安全上下文，对隐私数据进行NAS安全保护。

一种可能的设计中，终端发送经过NAS安全保护的隐私数据，包括：终端向接入网设备发送第一RRC消息，第一RRC消息包括经过NAS安全保护的隐私数据。

一种可能的设计中，终端向接入网设备发送第一RRC消息，包括：终端的RRC层从终端的NAS层获取经过NAS安全保护的隐私数据；终端的RRC层向接入网设备发送第一RRC消息，第一RRC消息包括经过NAS安全保护的隐私数据。

一种可能的设计中，第一RRC消息包括经过NAS安全保护的隐私数据，具体实现为：第一RRC消息包括NAS容器，NAS容器包括加密后的隐私数据以及上行NAS MAC；或者，NAS容器包括未加密的隐私数据以及上行NAS MAC。

一种可能的设计中，第一NAS消息为初始NAS消息或者NAS SMP消息。

一种可能的设计中，在第一NAS消息为初始NAS消息的情况下，初始NAS消息的非明文信元包括隐私数据。

一种可能的设计中，该方法还包括：终端接收移动管理网元发送的经过NAS安全保护的第二NAS消息，第二NAS消息用于指示移动管理网元已接收到第一NAS消息。

一种可能的设计中，该方法还包括：终端接收来自移动管理网元发送的经过NAS安全保护的第三NAS消息，第三NAS消息用于向终端请求经过NAS安全保护的隐私数据。

一种可能的设计中，终端为第一类型终端，第一类型终端与接入网设备之间不建立AS安全上下文。

第三方面，提供一种数据传输方法，包括：移动管理网元接收经过NAS安全保护的隐私数据；移动管理网元根据预先存储的NAS安全上下文，对经过NAS安全保护的隐私数据进行解安全保护，并存储隐私数据。

基于上述技术方案，终端通过发送经过NAS安全保护的隐私数据，以使得网络侧可以获知终端的隐私数据。并且，终端的隐私数据经过NAS安全保护，从而可以保证终端的隐私数据在传输过程中的安全性。

一种可能的设计中，该方法还包括：移动管理网元向终端发送经过NAS安全保护的第二NAS消息，第二NAS消息用于指示移动管理网元已接收到第一NAS消息。

一种可能的设计中，该方法还包括：移动管理网元接收接入网设备发送的第二请求消息，第二请求消息用于请求移动管理网元向接入网设备发送隐私数据；移动管理网元向接入网设备发送隐私数据。

一种可能的设计中，在移动管理网元向接入网设备发送隐私数据之前，该方法还包括：若移动管理网元未存储有效的隐私数据，则移动管理网元向终端发送第三NAS消息，第三NAS消息用于向终端请求经过NAS安全保护的隐私数据。

一种可能的设计中，移动管理网元接收经过NAS安全保护的隐私数据，包括：移动管理网元接收接入网设备发送的NAS容器，NAS容器包括加密后的隐私数据以及上行NASMAC；或者，NAS容器包括未加密的隐私数据以及上行NAS MAC。

一种可能的设计中，该方法还包括：移动管理网元在对NAS容器进行解安全保护之后，向接入网设备发送隐私数据。

一种可能的设计中，在NAS容器包括未加密的隐私数据以及上行NAS MAC的情况下，该方法还包括：移动管理网元对上行NAS MAC进行完整性校验；在上行NAS MAC通过完整性校验之后，移动管理网元向接入网设备发送校验成功消息，校验成功消息用于指示上行NAS MAC通过完整性校验。

第四方面，提供一种数据传输方法，包括：接入网设备确定终端为第一类型终端的情况下，向移动管理网元发送第二请求消息，第二请求消息用于向移动管理网元请求终端的隐私数据；接入网设备接收移动管理网元发送的隐私数据。

基于上述技术方案，接入网设备在确定终端为第一类型终端的情况下，通过向移动管理网元请求终端的隐私数据，从而避免终端发送无AS安全保护的隐私数据，以避免隐私数据被攻击者窃取或者篡改，保证通信网络的安全性。

一种可能的设计中，该方法还包括：接入网设备在确定终端为第一类型终端的情况下，不向终端发送第一请求消息，第一请求消息用于向终端请求隐私数据。

一种可能的设计中，该方法还包括：接入网设备在终端接入第一类型小区的情况下，确定终端为第一类型终端；第一类型小区为第一类型终端所接入的小区；或者，接入网设备在终端发送的消息为第一类型消息的情况下，确定终端为第一类型终端，第一类型消息为第一类型终端所发送的消息；或者，接入网设备在终端的网络能力指示终端为第一类型终端的情况下，确定终端为第一类型终端；或者，接入网设备在接收到终端发送的第二指示信息的情况下，确定终端为第一类型终端，第二指示信息用于指示终端为第一类型终端。

第五方面，提供一种数据传输方法，包括：接入网设备接收终端发送的第一RRC消息，第一RRC消息包括经过NAS安全保护的隐私数据；接入网设备向移动管理网元发送经过NAS安全保护的隐私数据。

一种可能的设计中，该方法还包括：接入网设备向终端发送第一请求消息，第一请求消息用于向终端请求隐私数据。

一种可能的设计中，第一RRC消息包括经过NAS安全保护的隐私数据，具体实现为：第一RRC消息包括第一NAS容器，第一NAS容器包括加密后的隐私数据以及上行NASMAC；或者，第一RRC消息包括第二NAS容器，第二NAS容器包括未加密的隐私数据以及上行NAS MAC；或者，第一RRC消息包括加密后的隐私数据以及上行NAS MAC；或者，第一RRC消息包括未加密的隐私数据以及上行NAS MAC。

一种可能的设计中，该方法还包括：接入网设备接收移动管理网元发送的隐私数据。

一种可能的设计中，在第一RRC消息包括未加密的隐私数据以及上行NAS MAC的情况下，该方法还包括：接入网设备在接收到移动管理网元发送的校验成功消息之后，使用隐私数据，校验成功消息用于指示上行NAS MAC通过完整性校验。

第六方面，提供一种通信装置，包括：处理模块和通信模块；处理模块，用于在建立AS安全上下文之前，根据预先存储的NAS安全上下文，对隐私数据进行NAS安全保护；通信模块，用于发送经过NAS安全保护的隐私数据。

一种可能的设计中，处理模块，用于在建立AS安全上下文之前，根据预先存储的NAS安全上下文，对隐私数据进行NAS安全保护，包括：NAS层从RRC层获取到隐私数据；NAS层根据预先存储的NAS安全上下文，对隐私数据进行NAS安全保护。

一种可能的设计中，通信模块，具体用于向接入网设备发送第一RRC消息，第一 RRC消息包括经过NAS安全保护的隐私数据。

一种可能的设计中，通信模块，具体用于向接入网设备发送第一RRC消息，包括：RRC层从NAS层获取经过NAS安全保护的隐私数据；RRC层向接入网设备发送第一RRC消息，第一RRC消息包括经过NAS安全保护的隐私数据。

一种可能的设计中，通信模块，还用于接收移动管理网元发送的经过NAS安全保护的第二NAS消息，第二NAS消息用于指示移动管理网元已接收到第一NAS消息。

一种可能的设计中，通信模块，还用于接收来自移动管理网元发送的经过NAS安全保护的第三NAS消息，第三NAS消息用于向终端请求经过NAS安全保护的隐私数据。

一种可能的设计中，通信装置为第一类型终端，第一类型终端与接入网设备之间不建立AS安全上下文。

第七方面，提供一种通信装置，包括：通信模块，用于接收经过NAS安全保护的隐私数据；处理模块，用于根据预先存储的NAS安全上下文，对经过NAS安全保护的隐私数据进行解安全保护，并存储隐私数据。

一种可能的设计中，通信模块，还用于向终端发送经过NAS安全保护的第二NAS消息，第二NAS消息用于指示移动管理网元已接收到第一NAS消息。

一种可能的设计中，通信模块，还用于接收接入网设备发送的第二请求消息，第二请求消息用于请求移动管理网元向接入网设备发送隐私数据；向接入网设备发送隐私数据。

一种可能的设计中，通信模块，还用于若移动管理网元未存储有效的隐私数据，则向终端发送第三NAS消息，第三NAS消息用于向终端请求经过NAS安全保护的隐私数据。

一种可能的设计中，通信模块，具体用于接收接入网设备发送的NAS容器，NAS容器包括加密后的隐私数据以及上行NASMAC；或者，NAS容器包括未加密的隐私数据以及上行NAS MAC。

一种可能的设计中，处理模块，用于对NAS容器进行解安全保护；通信模块，还用于在对NAS容器进行解安全保护之后，向接入网设备发送隐私数据。

一种可能的设计中，处理模块，还用于在NAS容器包括未加密的隐私数据以及上行NAS MAC的情况下，对上行NAS MAC进行完整性校验；通信模块，还用于在上行NAS MAC通过完整性校验之后，向接入网设备发送校验成功消息，校验成功消息用于指示上行NAS MAC通过完整性校验。

第八方面，提供一种通信装置，包括：处理模块，用于判断终端是否为第一类型终端；通信模块，用于在处理模块确定终端为第一类型终端的情况下，向移动管理网元发送第二请求消息，第二请求消息用于向移动管理网元请求终端的隐私数据；接收移动管理网元发送的隐私数据。

一种可能的设计中，通信模块，用于在处理模块确定终端为第一类型终端的情况下，不向终端发送第一请求消息，第一请求消息用于向终端请求隐私数据。

一种可能的设计中，处理模块，用于在终端接入第一类型小区的情况下，确定终端为第一类型终端；第一类型小区为第一类型终端所接入的小区；或者，在终端发送的消息为第一类型消息的情况下，确定终端为第一类型终端，第一类型消息为第一类型终端所发送的消息；或者，在终端的网络能力指示终端为第一类型终端的情况下，确定终端为第一类型终端；或者，在接收到终端发送的第二指示信息的情况下，确定终端为第一类型终端，第二指示信息用于指示终端为第一类型终端。

第九方面，提供一种通信装置，包括：接收模块，用于接收终端发送的第一RRC消息，第一RRC消息包括经过NAS安全保护的隐私数据。发送模块，用于向移动管理网元发送经过NAS安全保护的隐私数据。

一种可能的设计中，发送模块，还用于向终端发送第一请求消息，第一请求消息用于向终端请求隐私数据。

一种可能的设计中，接收模块，还用于接收移动管理网元发送的隐私数据。

一种可能的设计中，所述通信装置还包括处理模块。处理模块，还用于在第一RRC消息包括未加密的隐私数据以及上行NAS MAC的情况下，在接收到移动管理网元发送的校验成功消息之后，使用隐私数据，校验成功消息用于指示上行NAS MAC通过完整性校验。

第十方面，提供一种通信装置，包括处理器和通信接口，处理器用于执行计算机程序指令，使得通信装置实现第二方面至第五方面中任一方面的任一种可能的设计所涉及的数据传输方法。

第十一方面，提供一种计算机可读存储介质，计算机可读存储介质存储有指令，当指令在计算机上运行时，使得计算机实现第二方面至第五方面中任一方面的任一种可能的设计所涉及的数据传输方法。

第十二方面，一种计算机程序产品，计算机程序产品包括指令，当计算机程序产品在计算机上运行时，使得计算机实现第二方面至第五方面中任一方面的任一种可能的设计所涉及的数据传输方法。

第十三方面，一种芯片，芯片包括处理器，当处理器执行计算机程序指令时，使得芯片实现第二方面至第五方面中任一方面的任一种可能的设计所涉及的数据传输方法。

第十四方面，提供一种通信系统，包括：移动管理网元和接入网设备；移动管理网元，用于接收跟踪区更新TAU请求消息，TAU请求消息用于请求更新跟踪区；在未存储有效的隐私数据的情况下，向接入网设备发送TAU响应消息和AS安全保护参数，TAU响应消息用于响应TAU请求消息，AS安全保护参数用于建立终端与接入网设备之间的AS安全上下文；接入网设备，用于接收TAU响应消息和AS安全保护参数；根据AS安全保护参数，与终端建立AS安全上下文；向终端发送第一请求消息，第一请求消息用于请求终端向接入网设备发送隐私数据；接收终端发送的第一响应消息，第一响应消息包括AS安全保护的隐私数据。

基于上述技术方案，在TAU流程中，移动管理网元通过向接入网设备发送AS安全保护参数，以使得接入网设备与终端之间能够建立AS安全上下文，从而保证终端的隐私数据在经过AS安全保护之后才传输，从而避免终端的隐私数据被攻击者窃取或者篡改，从而保证通信网络的安全性。

一种可能的设计中，接入网设备，用于根据述AS安全上下文，对AS安全保护的隐私数据进行解安全保护；在成功对AS安全保护的隐私数据进行解安全保护之后，使用隐私数据。

一种可能的设计中，接入网设备，还用于向移动管理网元发送第四指示信息，第四指示信息用于指示接入网设备需要终端的隐私数据。移动管理网元，还用于接收第四指示信息。

第十五方面，提供一种数据传输方法，包括：移动管理网元接收跟踪区更新TAU请求消息，TAU请求消息用于请求更新跟踪区；移动管理网元在未存储终端的隐私数据的情况下，向接入网设备发送TAU响应消息和AS安全保护参数，TAU响应消息用于响应TAU请求消息，AS安全保护参数用于建立终端与接入网设备之间的AS安全上下文。

一种可能的设计中，该方法还包括：移动管理网元接收第四指示信息，第四指示信息用于指示接入网设备需要终端的隐私数据。

第十六方面，提供一种数据传输方法，包括：接入网设备将来自终端的跟踪区更新TAU请求消息发送给移动管理网元，TAU请求消息用于请求更新跟踪区；接入网设备接收移动管理网元发送的TAU响应消息和AS安全保护参数，TAU响应消息用于响应TAU请求消息，AS安全保护参数用于建立终端与接入网设备之间的AS安全上下文；接入网设备根据AS安全保护参数，建立与终端的AS安全上下文；接入网设备向终端发送第一请求消息，第一请求消息用于请求终端向接入网设备发送隐私数据；接入网设备接收终端发送的第一响应消息，第一响应消息包括AS安全保护的隐私数据。

一种可能的设计中，该方法还包括：接入网设备向移动管理网元发送第四指示信息，第四指示信息用于指示接入网设备需要终端的隐私数据。

第十七方面，提供一种通信装置，包括：接收模块，用于接收跟踪区更新TAU请求消息，TAU请求消息用于请求更新跟踪区；发送模块，用于在未存储有效的隐私数据的情况下，向接入网设备发送TAU响应消息和AS安全保护参数，TAU响应消息用于响应TAU请求消息，AS安全保护参数用于建立终端与接入网设备之间的AS安全上下文。

一种可能的设计中，接收模块，还用于接收第四指示信息，第四指示信息用于指示接入网设备需要终端的隐私数据。

第十八方面，提供一种通信装置，包括：发送模块，用于将来自终端的跟踪区更新TAU请求消息发送给移动管理网元，TAU请求消息用于请求更新跟踪区；接收模块，用于接收移动管理网元发送的TAU响应消息和AS安全保护参数，TAU响应消息用于响应TAU请求消息，AS安全保护参数用于建立终端与接入网设备之间的AS安全上下文；建立模块，用于根据AS安全保护参数，建立与终端的AS安全上下文；发送模块，还用于向终端发送第一请求消息，第一请求消息用于请求终端向接入网设备发送隐私数据；接收模块，还用于接收终端发送的第一响应消息，第一响应消息包括AS安全保护的隐私数据。

一种可能的设计中，发送模块，还用于向移动管理网元发送第四指示信息，第四指示信息用于指示接入网设备需要终端的隐私数据。

第十九方面，一种通信装置，包括处理器和通信接口，处理器用于执行计算机程序指令，使得通信装置实现第十五方面或第十六方面中任一种设计所涉及的数据传输方法。

第二十方面，一种计算机可读存储介质，计算机可读存储介质存储有指令，当指令在计算机上运行时，使得计算机实现第十五方面或第十六方面中任一种设计所涉及的数据传输方法。

第二十一方面，一种计算机程序产品，计算机程序产品包括指令，当计算机程序产品在计算机上运行时，使得计算机实现第十五方面或第十六方面中任一种设计所涉及的数据传输方法。

第二十二方面，一种芯片，芯片包括处理器，当处理器执行计算机程序指令时，使得芯片实现第十五方面或第十六方面中任一种设计所涉及的数据传输方法。

附图说明

图1为加密/解密的过程示意图；

图2为发送方计算MAC的示意图；

图3为接收方计算MAC的示意图；

图4为现有技术中TAU流程的示意图；

图5(a)为本申请实施例提供的一种LTE网络的结构示意图；

图5(b)为本申请实施例提供的一种5G网络的架构示意图；

图6为本申请实施例提供的一种协议栈的示意图；

图7为本申请实施例提供的一种通信装置的结构示意图；

图8为现有技术中无线能力信息的传输流程的示意图；

图9为本申请实施例提供的一种数据传输方法的流程图；

图10为本申请实施例提供的另一种数据传输方法的流程图；

图11为本申请实施例提供的另一种数据传输方法的流程图；

图12为本申请实施例提供的另一种数据传输方法的流程图；

图13(a)为本申请实施例提供的另一种数据传输方法的流程图；

图13(b)为本申请实施例提供的另一种数据传输方法的流程图；

图14为本申请实施例提供的另一种数据传输方法的流程图；

图15为本申请实施例提供的另一种数据传输方法的流程图；

图16为本申请实施例提供的另一种数据传输方法的流程图；

图17为本申请实施例提供的另一种数据传输方法的流程图；

图18为本申请实施例提供的另一种数据传输方法的流程图；

图19为本申请实施例提供的一种终端的结构示意图；

图20为本申请实施例提供的一种移动管理网元的结构示意图；

图21为本申请实施例提供的一种接入网设备的的结构示意图。

具体实施方式

在本申请的描述中，除非另有说明，“/”表示“或”的意思，例如，A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。此外，“至少一个”是指一个或多个，“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

需要说明的是，本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

在本申请的描述中，“指示”可以包括直接指示和间接指示，也可以包括显式指示和隐式指示。将某一信息(如下文所述的第一指示信息)所指示的信息称为待指示信息，则具体实现过程中，对所述待指示信息进行指示的方式有很多种。例如，可以直接指示所述待指示信息，其中所述待指示信息本身或者所述待指示信息的索引等。又例如，也可以通过指示其他信息来间接指示所述待指示信息，其中该其他信息与所述待指示信息之间存在关联关系。又例如，还可以仅仅指示所述待指示信息的一部分，而所述待指示信息的其他部分则是已知的或者提前约定的。另外，还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的指示，从而在一定程度上降低指示开销。

为了便于理解本申请的技术方案，下面先对本申请所涉及的术语进行简单介绍。

1、加密/解密

加密/解密：保护数据在传输过程中的机密性(因此又可以被称作机密性保护)，机密性是指无法被直接看出真实内容。加密保护一般可以使用密钥和加密算法对数据进行加密来实现。加密保护的具体方法可以参考3GPP TS 33.401 f50中8.2节或33.501 f50中6.4.4节标准相关描述，这里不再赘述。

示例性的，如图1所示，发送端的加密过程可以为：发送端可以将计数值(count)、长度(length)、承载(bearer)、以及方向(direction)等参数输入NEA中，确定密钥流(keystream)；之后，发送端根据密钥流和明文(plaintext)，确定密文(ciphertext)。

示例性的，如图1所示，接收端的解密过程可以为：接收端可以将count、length、bearer、以及direction等参数输入NEA中，确定密钥流；之后，接收端根据密钥流和密文，确定明文。

2、完整性保护/校验

完整性保护/校验：完整性保护/校验用于判断消息在传递过程中，其内容是否被更改，也可以用于作为身份验证，以确认消息的来源。完整性校验和保护需要使用消息认证码(message authentication code，MAC)。完整性校验和保护的具体方法可以参考第三代合作伙伴计划(3rd generation partnership project，3GPP)TS 33.401 f50中8.1节或33.501 f50中6.4.3节标准相关描述，这里不再赘述。

MAC可以用于检查消息在传递过程中，其内容是否被更改；以及，消息认证码可以用于作为身份验证，以确认消息的来源。

如图2所示，发送端将密钥(key)、计数值(count)、长度(length)、承载(bearer)、消息(message)、方向(direction)等参数输入演进分组系统完整性算法(evolved packet system integrity algorithm，EIA)，可以得到完整性的消息认证码(message authentication code integrity，MAC-I)或者NAS-MAC。

如图3所示，接收端将完整性保护密钥、count、length、bearer、message、direction等参数输入EIA，可以得到期望的完整性的消息认证码(excepted message authentication code integrity，XMAC-I)或者期望的非接入层消息认证码(excepted non-access stratum message authentication code，XNAS-MAC)。

对于接收端来说，接收端可以将接收到的MAC-I与自身生成的XMAC-I进行比对，以验证消息是否完整。若MAC-I与XMAC-I相同，则接收端确定接收到的MAC-I通过验证，从而接收端能够确定发送端所发送的消息是完整的；若MAC-I与XMAC-I不相同，则接收端能够确定接收到的MAC-I未通过验证，从而接收端能够确定发送端所发送的消息是不完整的。

3、安全上下文

安全上下文是指可以用于实现数据的安全保护(例如，加密/解密，和/或完整性保护/校验)的信息。

安全上下文可以包括以下一项或者多项：根密钥、加密密钥、完整性保护密钥、特定参数(比如NAS Count)、密钥集标识(key set identifier，KSI)、安全算法、安全指示(例如，是否开启加密的指示，是否开启完整性保护的指示、密钥使用期限的指示，密钥长度)等。

其中，加密密钥为发送端根据加密算法对明文进行加密以生成密文时输入的参数。若使用对称加密的方法，加密密钥和解密密钥是相同的。接收端可以根据相同的加密算法和加密密钥对密文进行解密。换句话说，发送端和接收端可以基于同一个密钥去加密和解密。

完整性保护密钥为发送端根据完整性保护算法对明文或密文进行完整性保护时输入的参数。接收端可以根据相同的完整性保护算法和完整性保护密钥对进行了完整性保护的数据进行完整性验证。

特定参数(比如NAS Count)为发送端根据防重放保护算法对明文或密文进行防重放保护时输入的参数。接收端可以根据相同的防重放保护算法对进行了防重放保护的数据进行防重放验证。

安全算法即对数据进行安全保护时使用的算法。例如，加密算法、解密算法、完整性保护算法等。

在本申请实施例中，安全上下文可以分为NAS安全上下文和AS安全上下文。可以理解的是，NAS安全上下文用于保护终端与核心网之间传输的信息。AS安全上下文用于保护终端与基站之间传输的信息。

4、初始NAS消息

初始NAS消息是终端从空闲(IDLE)态转变为连接(CONNECTED)态发送的第一条NAS消息。需要说明的是，当终端处于IDLE态时，终端未与网络侧建立无线资源控制(radio resource control，RRC)连接；当终端处于CONNECTED态时，终端与网络侧建立了RRC连接。

在实际应用场景中，初始NAS消息可以是注册请求消息，服务请求消息，或者去注册请求消息等，本申请实施例对此不作限定。

5G网络中，在引入了部分加密机制的情况下，初始NAS消息包括明文(cleartext)信息以及非明文(non-cleartext)信息。其中，明文信息为不需要加密的信息，非明文信息为需要加密的信息。需要说明的是，非明文信息也可以称之为加密信息或者密文信息。

可选的，明文信息包括以下信元中的至少一项：扩展协议识别(Extended protocol discriminator)，安全头类型(security header type)，预留的半字(spare half octet)、注册请求消息标识(registration request message identity)，5G系统注册类型(5G system registration type)，下一代密钥集标识(next generation key set identifier，ngKSI)，5G系统移动身份(5G system mobile identity，5GS mobile identity)，UE安全能力(UE security capability)，附加的全球唯一临时UE标识(additional globally unique temporary UE identity，additional GUTI)，UE状态(UE status)，以及演进分组系统(evolved packet system，EPS)NAS消息容器(NAS message container)。

可选的，非明文信息包括以下信元中的至少一项：5G移动管理能力(5GMM capability)，负载容器(payload container)，用户面数据等。非明文信息可以是初始NAS消息中除了明文信息的其他信元。

需要说明的是，在终端存储有NAS安全上下文的情况下，初始NAS消息中的信息被加密和完整性保护。

需要说明的是，当终端与核心网之间未建立NAS安全上下文时，初始NAS消息中的明文信息用于建立NAS安全上下文。在建立NAS安全上下文之后，终端再发送经过NAS安全保护的NAS安全模式完成(security mode complete，SMP)消息，该NAS SMP消息中承载有原本应该在初始NAS消息中发送的明文信息和非明文信息。

5、NAS count

NAS count包括翻转比特位(overflow counter)和序列号(sequence number)。

可选的，若NAS count由24比特(bit)组成，则翻转比特位包括16bit，序列号包括8bit。在以NAS count进行安全保护时，NAS count可以被填充为32bit，即在NAS count原有的24bit之前填充8bit，填充的8bit可以全为0。

NAS count用于对网络侧和终端之间传输的NAS消息进行计数。NAS count可以分为上行NAS count和下行NAS count。

上行NAS count用于对终端发送给网络侧的NAS消息进行计数。例如，终端每向核心网设备发送一条NAS消息，上行NAS count加1。

下行NAS count用于对网络侧发送给终端的NAS消息进行计数。例如，核心网设备每向终端发送一条NAS消息，下行NAS count加1。

6、终端的隐私数据

在本申请实施例中，终端的隐私数据是指：现有技术中需要通过AS信令来传输的数据，并且该数据是由终端生成的，用于供基站和核心网设备参考和使用。并且，终端的隐私数据需要进行AS安全保护，以保证隐私数据在传输过程中的安全性。

示例性的，终端的隐私数据可以为无线能力(radio capability)信息、网络切片选择辅助信息(Network Slice Selection Assistance Information，NSSAI)、私有接入组标识(closed access group identifier，CAG-ID)等，本申请实施例不限于此。

其中，无线能力信息可以用于指示终端支持的无线接入技术的信息。示例性的，无线能力信息可以包括以下参数中的一个或多个：功率等级、频带、终端支持的网络版本等。无线能力信息可以参考3GPP TS36.306或者TS23.401，此处不再赘述。无线能力信息可以有其他名称，例如UE无线接入能力(UE radio access capability)，本申请实施例不限于此。

NSSAI包括多个单NSSAI(single NSSAI，S-NSSAI)。S-NSSAI由服务类型(slice/service type，SST)和切片区分器(slice differentiator，SD)组成。其中，SST包括标准化和运营商自定义的类型。SD是补充SST的可选信息，以区分相同SST的多个网络切片。

CAG-ID用于指示终端所支持的私有接入组。

7、跟踪区更新(tracking area update，TAU)

当终端从一个跟踪区(tracking area，TA)移动到另一种TA时，终端需要在新的TA上重新进行位置登记，以通知核心网更改其存储的终端的位置信息，这一过程即为TAU流程。

需要说明的是，通信系统的覆盖区域可以被划分为多个TA。TA是通信系统中位置更新和寻呼的基本单位。

示例性的，如图4所示，现有技术中的TAU流程包括以下步骤：

S11、终端向接入网设备发送TAU请求消息。

S12、接入网设备向移动管理网元发送TAU请求消息。

S13、移动管理网元更新终端的上下文。

S14、移动管理网元向接入网设备发送TAU响应消息。

S15、接入网设备向终端发送TAU响应消息。

8、第一类型终端、第二类型终端

第一类型终端与接入网设备之间不建立AS安全上下文。第二类型终端与接入网设备之间建立AS安全上下文。

在实际应用中，第一类型终端不具备AS安全保护能力；或者，第一类型终端虽然具备AS安全保护能力，但是未激活AS安全保护能力。从而，第一类型终端不建立AS安全上下文，从而第一类型终端不会应用AS安全上下文进行AS信令的安全保护。

示例性的，第一类型终端可以为CP优化的窄带物联网(narrowband internet of things，NB-IoT)终端或者蜂窝物联网(cellular internet of things，CIoT)终端，本申请实施例不限于此。

示例性的，第二类型终端可以为普通的手机等，本申请实施例不限于此。

以上是对本申请实施例所涉及的术语的介绍，以下不再赘述。

本申请实施例提供的技术方案可以应用于各种通信系统，例如，4G通信系统，5G通信系统，未来演进系统或者多种通信融合系统等等。本申请提供的技术方案可以应用于多种应用场景，例如，机器对机器(machine to machine，M2M)、宏微通信、增强型移动互联网(enhanced mobile broadband，eMBB)、超高可靠超低时延通信(ultra-reliable&low latency communication，uRLLC)以及海量物联网通信(massive machine type communication，mMTC)等场景。这些场景可以包括但不限于：通信设备与通信设备之间的通信场景，网络设备与网络设备之间的通信场景，网络设备与通信设备之间的通信场景等。下文中均是以应用于网络设备和终端之间的通信场景中为例进行说明的。

此外，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

如图5(a)所示，为本申请实施例所提供的技术方案所适用的LTE网络的架构。LTE网络包括：一个或多个终端、演进的通用移动通信系统(universal mobile telecommunications system，UMTS)陆地无线接入网(evolved UMTS terrestrial radio access network，E-Utran)、以及分组演进核心(evolved packet core，EPC)。

其中，E-Utran包括一个或多个演进型基站(Evolved Node B，eNB或eNodeB)。eNB用于负责无线资源管理、用户数据流加密、从MME发起的呼叫信息的调度和发送、用户面数据向S-GW的路由等。

EPC包括MME和SGW。EPC还可以包括图5(a)未示出的其他功能网元，本申请实施例不限于此。

MME用于将寻呼消息发送到相关的eNB、NAS信令的加密和完整性保护等。

SGW是用户面数据包在无线接入网的终结点，支持终端移动性的用户平面数据的交换。

在LTE网络中，终端与eNB之间的接口可以称为UU接口，两个eNB之间的接口可以称为X2接口，eNB与EPC之间的接口可以称为S1接口。可以理解的是，UU接口、X2接口、S1接口的名称仅是示例，本申请实施例不限于此。

如图5(b)所示，为本申请实施例提供的技术方案所适用的5G网络的架构。5G网络可以包括：终端、无线接入通信网络(radio access network，RAN)或者接入通信网络(access network，AN)(下文中将RAN和AN统称为(R)AN)、核心网(core network，CN)、以及数据网(data network，DN)。

其中，终端可以是一种具有无线收发功能的设备。所述终端可以有不同的名称，例如用户设备(user equipment，UE)、接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。终端可以被部署在陆地上，包括室内或室外、手持或车载；也可以被部署在水面上(如轮船等)；还可以被部署在空中(例如飞机、气球和卫星上等)。终端包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或计算设备。示例性地，终端可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请实施例中，用于实现终端的功能的装置可以是终端，也可以是能够支持终端实现该功能的装置，例如芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。本申请实施例中，以用于实现终端的功能的装置是终端为例，描述本申请实施例提供的技术方案。

接入网设备也可以称为基站。基站可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，接入点等。具体可以为：是无线局域网(wireless local area network，WLAN)中的接入点(access point，AP)，全球移动通信系统(Global System for Mobile Communications，GSM)或码分多址接入(Code Division Multiple Access，CDMA)中的基站(Base Transceiver Station，BTS)，也可以是宽带码分多址(Wideband Code Division Multiple Access，WCDMA)中的基站(NodeB，NB)，还可以是LTE中的eNB，或者中继站或接入点，或者车载设备、可穿戴设备以及未来5G网络中的下一代节点B(the next generation node B，gNB)或者未来演进的公用陆地移动网(public land mobile network，PLMN)网络中的基站等。

基站，通常包括基带单元(baseband unit，BBU)、射频拉远单元(remote radio unit，RRU)、天线、以及用于连接RRU和天线的馈线。其中，BBU用于负责信号调制。RRU用于负责射频处理。天线用于负责线缆上导行波和空气中空间波之间的转换。一方面，分布式基站大大缩短了RRU和天线之间馈线的长度，可以减少信号损耗，也可以降低馈线的成本。另一方面，RRU加天线比较小，可以随地安装，让网络规划更加灵活。除了RRU拉远之外，还可以把BBU全部都集中起来放置在中心机房(central office，CO)，通过这种集中化的方式，可以极大减少基站机房数量，减少配套设备，特别是空调的能耗，可以减少大量的碳排放。此外，分散的BBU集中起来变成BBU基带池之后，可以统一管理和调度，资源调配更加灵活。这种模式下，所有的实体基站演变成了虚拟基站。所有的虚拟基站在BBU基带池中共享用户的数据收发、信道质量等信息，相互协作，使得联合调度得以实现。

在一些部署中，基站可以包括集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)。基站还可以包括有源天线单元(active antenna unit，AAU)。CU实现基站的部分功能，DU实现基站的部分功能。比如，CU负责处理非实时协议和服务，实现无线资源控制(radio resource control，RRC)，分组数据汇聚层协议(packet data convergence protocol，PDCP)层的功能。DU负责处理物理层协议和实时服务，实现无线链路控制(radio link control，简称RLC)、媒体接入控制(media access control，MAC)和物理(physical，PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息，或者，由PHY层的信息转变而来，因而，在这种架构下，高层信令，如RRC层信令或PDCP层信令，也可以认为是由DU发送的，或者，由DU+AAU发送的。可以理解的是，在本申请实施例中，接入网设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外，CU可以划分为RAN中的网络设备，也可以将CU划分为核心网(core network，CN)中的网络设备，在此不做限制。

一种可能的设计中，对于基站来说，还可以将CU的控制面(control plane，CP)和用户面(user plane，UP)分离，以不同实体来实现。也即，CU可以分为CU-CP和CU-UP。

核心网包括多个核心网网元(或者称为网络功能网元)，例如：接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、策略控制功能(policy control function，PCF)网元网元、用户面功能(user plane function，UPF)网元、应用层功能(application function)网元、鉴权功能(authentication server function，AUSF)网元、以及统一数据管理(unified data management，UDM)网元。

此外，核心网还可以包括一些图5(b)中未示出的网元，例如：安全锚功能(security anchor function，SEAF)网元、认证凭证库以及处理功能(authentication credential repository and processing function，ARPF)，本申请实施例在此不予赘述。

AMF网元主要负责移动性管理处理部分，例如：接入控制、移动性管理、附着与去附着以及SMF选择等功能。AMF网元为终端中的会话提供服务的情况下，会为该会话提供控制面的存储资源，以存储会话标识、与会话标识关联的SMF标识等。

其中，终端通过下一代网络(Next generation，N)1接口(简称N1)与AMF通信，RAN设备通过N2接口(简称N2)与AMF通信，RAN设备通过N3接口(简称N3)与UPF通信，UPF通过N6接口(简称N6)与DN通信。

AMF、SMF、UDM、AUSF、或者PCF等控制面网元也可以采用服务化接口进行交互。比如，如图5(b)所示，AMF对外提供的服务化接口可以为Namf；SMF对外提供的服务化接口可以为Nsmf；UDM对外提供的服务化接口可以为Nudm；PCF对外提供的服务化接口可以为Npcf，AUSF对外提供的服务化接口可以为Nausf；在此不再一一描述。

如图6所示，为本申请实施例提供的一种协议栈的示意图。如图6所示，终端的协议栈至少包括：非接入层、RRC层、分组数据汇聚协议(packet data convergence protocol，PDCP)层、无线链路控制(radio link control，RLC)层、媒体接入控制(media access control，MAC)层、物理层(PHY layer)。其中，RRC层、PDCP层、RLC层、MAC层、PHY层均属于接入层。

其中，非接入层是终端与核心网之间的功能层，用于支持终端与核心网的网元(例如移动管理网元)之间的信令和数据传输。

RRC层用于支持无线资源的管理、RRC连接控制等功能。

对于其他的协议层，例如PDCP层、RLC层等，其定义与功能可以参见现有技术的说明，在此不再赘述。

如图7所示，该装置100包括至少一个处理器101，通信线路102，存储器103以及至少一个通信接口104。

处理器101可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

通信线路102可包括一通路，在上述组件之间传送信息。

通信接口104，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等。

存储器103可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路102与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器103用于存储执行本申请方案的计算机执行指令，并由处理器101来控制执行。处理器101用于执行存储器103中存储的计算机执行指令，从而实现本申请实施例所提供的技术方案。

可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

在具体实现中，作为一种实施例，处理器101可以包括一个或多个CPU，例如图7中的CPU0和CPU1。

在具体实现中，作为一种实施例，装置100可以包括多个处理器，例如图7中的处理器101和处理器107。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，装置100还可以包括输出设备105和输入设备106。输出设备105和处理器101通信，可以以多种方式来显示信息。例如，输出设备105可以是液晶显示器(liquid crystal display，LCD)，发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备106和处理器101通信，可以以多种方式接收用户的输入。例如，输入设备106可以是鼠标、键盘、触摸屏设备或传感设备等。

示例性的，在现有技术中，无线能力信息的传输流程可以参考图8。如图8所示，无线能力信息的传输流程包括以下步骤：

S21、终端与接入网设备之间建立AS安全上下文。

S22、接入网设备向终端发送无线能力请求消息，该无线能力请求消息用于请求终端的无线能力信息。

S23、终端根据AS安全上下文，对无线能力信息进行AS安全保护。

S24、终端向接入网设备发送AS安全保护的无线能力信息。

可以理解的是，接入网设备在接收到AS安全保护的无线能力信息之后，接入网设备对AS安全保护的无线能力信息进行解安全保护。从而，接入网设备可以使用该无线能力信息。

S25、接入网设备向移动管理网元发送无线能力信息。

S26、移动管理网元存储终端的无线能力信息。

从图8所示的例子可以看出，现有技术中，终端的隐私数据是通过AS安全保护来保证传输过程中的安全性。但是，在一些场景下，例如终端不具备AS安全保护能力，或者接入网设备在TAU流程中不具备AS安全保护参数，因此终端与接入网设备之间不能建立AS安全上下文。这样一来，网络侧在获知终端的隐私数据的过程中，终端的隐私数据未进行AS安全保护，导致终端的隐私数据容易被攻击者篡改，影响通信网络的安全性。

为了解决这一技术问题，本申请实施例提供一种数据传输方法。如图9所示，该方法包括以下步骤：

S101、终端根据预先存储的NAS安全上下文，对终端的隐私数据进行NAS安全保护。

示例性的，终端的隐私数据可以为无线能力信息，无线能力信息可以为无线能力参数和/或无线能力标识。

可选的，NAS安全保护为完整性保护。或者，NAS安全保护为完整性保护和加密保护。

示例性的，终端对隐私数据进行完整性保护，可以具体实现为：终端根据隐私数据、NAS完整性保护参数以及NAS完整性保护算法，计算出第一NAS MAC。

在本申请实施例中，第一NAS MAC可以划分为第一上行NAS MAC和第一下行NAS MAC。第一上行NAS MAC是第一NAS MAC的一部分比特，第一下行NAS MAC是第一NAS MAC的另一部分比特。例如，第一NAS MAC可以包括32个比特，第一上行NAS MAC为第一NAS MAC的前16个比特，第一下行NAS MAC为第一NAS MAC的后16个比特。

其中，NAS完整性保护参数包括上行NAS count和NAS完整性保护密钥(Knas-int)。可选的，NAS完整性保护参数还包括目标小区ID。

结合图2进行举例说明，终端可以将key设置为NAS完整性保护密钥，将count设置为上行NAS count，将message设置为目标小区ID以及隐私数据，将direction设置为上行方向所对应的比特值，将bearer设置为预设常数；之后，终端将这些参数输入EIA，确定第一NAS MAC。

上行NAS count为终端发送的下一条NAS消息所对应的NAS count。

目标小区ID用于指示终端连接的目标小区。示例性的，目标小区ID可以是目标小区的物理标识(physical cell Identifier，PCI)或小区全球标识(cell global identification，CGI)，本申请不限于此。需要说明的是，NAS MAC的计算过程中使用到目标小区ID，其目的在于将NAS MAC和目标小区进行绑定，以避免承载该NAS MAC的消息被重放到其他小区。

direction用于表示数据传输的方向。direction可以以1个或多个比特来指示。例如，假设direction以一个比特来表示，direction置为0，表示上行方向；direction置为1，表示下行方向。

bearer置为0时，用于指示终端采用3GPP接入技术接入网络。bearer置为1时，用于指示终端采用非3GPP接入技术接入网络。在本申请实施例中，beraer可以设置为0。

示例性的，终端对隐私数据进行加密保护，可以具体实现为：终端根据NAS加密参数以及NAS加密算法，生成密钥流。之后，终端根据密钥流和隐私数据，生成加密后的隐私数据。其中，NAS加密参数包括NAS加密密钥(Knas-enc)。可选的，NAS加密参数还包括上行NAS count。

结合图1进行举例说明，终端可以将key设置为NAS加密密钥，将count设置为上行NAS count，将将direction设置为上行方向所对应的比特值，将bearer设置为预设常数，将length设置为密钥流的长度，生成密钥流；之后，终端结合明文(也即未加密的隐私数据)和密钥流，生成密文(也即加密后的隐私数据)。

作为一种实现方式，终端的RRC层将隐私数据发送给终端的NAS层；之后，终端的NAS层根据预先存储的NAS安全上下文，对隐私数据进行NAS安全保护。

S102、终端向移动管理网元发送经过NAS安全保护的隐私数据，以使得移动管理网元接收来自终端的经过NAS安全保护的隐私数据。

其中，在4G网络中，移动管理网元可以为移动管理实体(mobility management entity，MME)；在5G网络中，移动管理网元可以为AMF；在未来的演进系统中，移动管理网元可以为类似MME/AMF的NAS安全终结点。在此统一说明，以下不再赘述。

示例性的，在隐私数据仅接受完整性保护的情况下，经过NAS安全保护的隐私数据包括：未加密的隐私数据和第一上行NAS MAC。在隐私数据接受完整性保护和加密保护的情况下，经过NAS安全保护的隐私数据包括：加密后的隐私数据和第一上行NAS MAC。

S103、移动管理网元在对经过NAS安全保护的隐私数据进行解安全保护之后，存储所述隐私数据。

可以理解的是，在隐私数据接受完整性保护的情况下，解安全保护操作包括完整性校验。在隐私数据接受完整性保护的情况下，解安全保护操作包括解密。

示例性的，移动管理网元对经过NAS安全保护的隐私数据进行完整性校验，可以具体实现为：移动管理网元根据NAS完整性保护密钥、NAS完整性保护参数、隐私数据、以及完整性保护算法，生成第二NAS MAC。之后，移动管理网元根据第二NAS MAC，确定第二上行NAS MAC。移动管理网元比对第一上行NAS MAC和第二上行NAS MAC是否相同。若第一上行NAS MAC和第二上行NAS MAC相同，则移动管理网元确定终端上报的隐私数据是完整的。否则，移动管理网元确定终端上报的隐私数据是不完整的。

在本申请实施例中，第二NAS MAC可以划分为第二上行NAS MAC和第二下行NAS MAC。第二上行NAS MAC是第二NAS MAC的一部分比特，第二下行NAS MAC是第二NAS MAC的另一部分比特。例如，第二NAS MAC可以包括32个比特，第二上行NAS MAC为第二NAS MAC的前16个比特，第二下行NAS MAC为第二NAS MAC的后16个比特。

示例性的，移动管理网元对经过NAS安全保护的隐私数据进行解密操作，可以具体实现为：移动管理网元根据NAS加密参数以及NAS加密算法，生成密钥流。之后，移动管理网元根据密钥流和密文，获得明文(也即解密后的隐私数据)。

可选的，在成功对隐私数据解安全保护之后，移动管理网元还可以为该隐私数据生成对应的标识信息，该标识信息用于唯一标识该隐私数据。例如，以隐私数据为无线能力参数为例，移动管理网元可以生成无线能力参数所对应的无线能力标识。这样一来，移动管理网元建立并存储了隐私数据与标识信息之间的对应关系。

在移动管理网元为隐私数据生成对应的标识信息之后，移动管理网元将该标识信息发送给终端。从而，终端在下一次向网络侧上报隐私数据的时候，终端可以不发送隐私数据，而是发送隐私数据的标识信息。其他网元(例如接入网设备)可以根据该标识信息，从移动管理网元获取到隐私数据。

需要说明的是，若移动管理网元不能成功对经过NAS安全保护的隐私数据进行解安全保护，也即移动管理网元确定经过NAS安全保护的隐私数据未通过完整性校验，或者，移动管理网元不能对经过NAS安全保护的隐私数据进行解密，则移动管理网元丢弃该经过NAS安全保护的隐私数据。可选的，移动管理网元还可以通知终端重新发送经过NAS安全保护的隐私数据。

基于图9所示的技术方案，终端在未与接入网设备建立AS安全上下文的情况下，终端向移动管理网元发送经过NAS安全保护的隐私数据，以保证隐私数据在传输过程中的安全性。

下面结合步骤S102的不同实现方式，对图9所示的技术方案进行具体说明。

(1)如图10所示，步骤S102可以具体实现为步骤S201。

S201、终端向移动管理网元发送经过NAS安全保护的第一NAS消息，以使得移动管理网元接收到经过NAS安全保护的第一NAS消息。其中，第一NAS消息包括隐私数据。

可以理解的是，由于第一NAS消息经过NAS安全保护，因此第一NAS消息所包括的隐私数据同样经过NAS安全保护。

一种可能的设计中，第一NAS消息可以复用已有的NAS消息，例如初始NAS消息或者NAS SMP消息。已有的NAS消息可以增加受保护的用于承载隐私数据的信元。已有的NAS消息中还可以包括指示信息，该指示信息用于指示该已有的NAS消息携带了经过NAS安全保护的隐私数据。

可选的，在第一NAS消息为初始NAS消息的情况下，隐私数据可以采用初始NAS安全机制进行保护，例如初始NAS消息的非明文信息包括隐私数据。

另一种可能的设计中，第一NAS消息也可以为新增的用于承载隐私数据的NAS消息。

可以理解的是，第一NAS消息可以作为一条完整的NAS消息来传输，也可以分为多条NAS消息来传输，本申请实施例对此不作限定。

作为一种可能的实现方式，终端的NAS层在对隐私数据进行NAS安全保护之后，终端的NAS层向移动管理网元发送第一NAS消息。

可选的，如图10所示，数据传输方法在步骤S201之后，还可以包括步骤S202。

S202、移动管理网元向终端发送第二NAS消息，以使得终端接收来自移动管理网元的第二NAS消息。其中，第二NAS消息用于指示移动管理网元成功接收到第一NAS消息。

(2)如图11所示，步骤S102可以具体实现为步骤S301-S302。

S301、终端向接入网设备发送第一RRC消息，以使得接入网设备接收来自终端的第一RRC消息。其中，第一RRC消息包括经过NAS安全保护的隐私数据。

可选的，第一RRC消息包括经过NAS安全保护的隐私数据，包括以下情形之一：

情形一、第一RRC消息包括：第一上行NAS MAC和加密后的隐私数据；

情形二、第一RRC消息包括：第一上行NAS MAC和未加密的隐私数据；

情形三、第一RRC消息包括：第一NAS容器，该第一NAS容器包括第一上行NAS MAC和加密后的隐私数据；

情形四、第一RRC消息包括：未加密的隐私数据和第二NAS容器，该第二NAS容器包括第一上行NAS MAC。

可选的，第一RRC消息还可以包括上行NAS count的一部分比特，例如上行NAS count的最低5比特。

作为一种可能的实现方式，终端的NAS层在对隐私数据进行NAS安全保护之后，终端的NAS层向终端的RRC层发送经过NAS安全保护的隐私数据。之后，终端的RRC层将经过NAS安全保护的隐私数据封装为第一RRC消息，并将第一RRC消息发送给接入网设备。

S302、接入网设备向移动管理网元发送经过NAS安全保护的隐私数据，以使得移动管理网元接收到来自经过NAS安全保护的隐私数据。

可选的，在移动管理网元为AMF的情况下，经过NAS安全保护的隐私数据承载于N2消息中；在移动管理网元为MME的情况下，经过NAS安全保护的隐私数据承载于S1消息中。

可以理解的是，若第一RRC消息包括第一上行NAS MAC和加密后的隐私数据，则接入网设备向移动管理网元发送第一上行NAS MAC和加密后的隐私数据。若第一RRC消息包括第一上行NAS MAC和未加密的隐私数据，则接入网设备向移动管理网元发送第一上行NAS MAC和未加密的隐私数据。若第一RRC消息包括第一NAS容器，则接入网设备向移动管理网元发送第一NAS容器。若第一RRC消息包括未加密的隐私数据和第二NAS容器，则接入网设备向移动管理网元发送未加密的隐私数据和第二NAS容器。

需要说明的是，在第一RRC消息包括第一NAS容器或者第二NAS容器的情况下，接入网设备不对第一NAS容器或者第二NAS容器进行解析，而是直接上传给移动管理网元，减少接入网设备对于第一RRC消息所包括的内容的处理时间。

可选的，除了经过NAS安全保护的隐私数据之外，接入网设备还可以向移动管理网元发送目标小区信息。

下面结合具体应用场景，来介绍第一类型终端与网络侧之间传输隐私数据的具体实现过程。

如图12所示，为本申请实施例提供的一种数据传输方法，该方法包括以下步骤：

S401、终端与核心网之间已建立NAS安全上下文。

S402、终端根据NAS安全上下文，对隐私数据进行NAS安全保护。

S403、终端向移动管理网元发送经过NAS安全保护的第一NAS消息，以使得移动管理网元接收经过NAS安全保护的第一NAS消息。

可选的，在注册流程、小区切换流程或者其他流程中，若终端确定自身为第一类型终端，则在终端与核心网之间建立NAS安全上下文之后，终端可以主动执行上述步骤S402和S403，以保证网络侧可以获取到具有经过NAS安全保护的隐私数据，从而网络侧可以正常地使用该隐私数据。

S404、移动管理网元对经过NAS安全保护的第一NAS消息进行解安全保护，获取并存储终端的隐私数据。

在接入网设备需要获取终端的隐私数据的情况下，接入网设备可以执行下述步骤S405。

下面具体说明接入网设备执行步骤S405的触发条件。

触发条件1、接入网设备接收到移动管理网元下发的特定消息，该特定消息中未携带终端的隐私数据。

例如，以终端的隐私数据为无线能力信息为例，接入网设备接收到MME下发的S1消息，该S1消息未携带无线能力信息。该S1消息可以为初始上下文建立请求(INITIAL CONTEXT SETUP REQUEST)、连接建立指示(CONNETION ESTABLISHMENT INDICATION)、UE无线能力匹配请求(UE RADIO CAPABILITY MATCH REQUEST)等。

触发条件2、接入网设备准备进行需要使用终端的隐私数据的配置。

例如，接入网设备准备进行从E-UTRAN切换到UTRAN的流程、双链接选择等。

触发条件3、接入网设备接收到来自移动管理网元的触发消息，该触发消息用于指示接入网设备获取终端的隐私数据。

例如，对于第二类型终端来说，第二类型终端在执行附着(attach)流程，或者第二类型终端在附着GERAN/UTRAN之后的第一次TAU流程，或者第二类型终端执行用于终端无线能力上报的TAU流程，MME会删除终端的无线能力信息，并且向接入网设备发送S1消息，以触发接入网设备获取终端的无线能力信息。

又例如，对于第一类型终端来说，第一类型终端在执行附着(attach)流程，或者第一类型终端在GERAN/UTRAN附着网络之后的第一次TAU流程，或者第一类型终端执行用于终端无线能力上报的TAU流程，MME向接入网设备下发DOWNLINK NAS TRANSPORT消息，该DOWNLINK NAS TRANSPORT消息携带指示信息，以触发接入网设备获取终端的无线能力信息。

又例如，当MME根据单一无线语音呼叫连续性(single radio voice call continuity，SRVCC)能力、终端用例类型或者本地策略，需要更多的终端无线能力信息以配置支持IP多媒体子系统(IP multimedia subsystem，IMS)语音的分组交换(packet switch，PS)会话指示(IMS voice over PS Session Supported Indication)时，MME向接入网设备请求终端的无线能力信息。

S405、接入网设备判断终端是否为第一类型终端。

其中，步骤S405可以表述为：接入网设备判断终端是否具备AS安全保护能力。

可以理解的是，终端为第一类型终端，相当于终端不具备AS安全保护能力。终端不为第一类型终端，相当于终端具备AS安全保护能力。

可选的，接入网设备判断终端是否为第一类型终端，可以采用以下实现方式中的任意一种：

实现方式一、接入网设备根据终端所接入的小区类型，判断终端是否为第一类型终端。具体的，在终端接入第一类型小区的情况下，接入网设备可以确定终端为第一类型终端。在终端未接入第一类型小区的情况下，接入网设备可以确定终端不为第一类型终端。

其中，第一类型小区为第一类型终端所接入的小区，例如NB-Iot小区。

实现方式二、接入网设备根据终端所发送的消息类型，判断终端是否为第一类型终端。具体的，在终端发送第一类型消息的情况下，接入网设备可以确定终端为第一类型终端；在终端不发送第一类型消息的情况下，接入网设备可以确定终端不为第一类型终端。

其中，第一类型消息为第一类型终端所发送的消息。例如，第一类型消息可以为 RRCSetupRequest-NB，或者Connection Establishment Indication。

实现方式三、接入网设备根据终端的网络能力信息，确定终端是否为第一类型终端。具体的，在终端的网络能力信息指示终端为第一类型终端的情况下，接入网设备可以确定终端为第一类型终端。在终端的网络能力指示信息未指示终端为第一类型终端的情况下，接入网设备可以确定终端不为第一类型终端。

实现方式四、接入网设备根据是否接收到第二指示信息，确定终端是否为第一类型终端。例如，在接入网设备接收到终端所发送的第二指示信息的情况下，接入网设备确定终端为第一类型终端；在接入网设备未接收到第二指示信息的情况下，接入网设备确定终端不为第一类型终端。

可以理解的是，上述实现方式一至实现方式四仅为示例，本申请实施例对于接入网设备判断终端是否为第一类型终端的实现方式不作具体限定。

下面以第一终端为CP优化的NB-IoT终端/CIoT终端为例，具体说明步骤S405的实现方式。

可选的，接入网设备可以先通过判断终端是否为物联网终端，再进一步判断终端是否为CP优化的NB-IoT终端/CIoT终端。若终端不为物联网终端，则接入网设备可以确定该终端不为CP优化的NB-IoT终端/CIoT终端。

例如，接入网设备可以根据终端所接入的小区类型，判断终端是否为物联网终端。具体的，在终端接入物联网小区时，接入网设备可以确定终端为物联网终端。在终端未接入物联网小区时，接入网设备可以确定终端不为物联网终端。

又例如，接入网设备根据终端所发送的RRC消息类型，判断终端是否为物联网终端。具体的，终端所发送的RRC消息与物联网终端的RRC消息在类型上相同时，该终端即为物联网终端；反之，该终端不为物联网终端。举例来说，在终端发送RRCSetupRequest-NB消息时，接入网设备可以确定终端为物联网终端。

可选的，接入网设备可以在判断当前终端为物联网终端后，进一步判断终端是否为CP优化终端。

例如，若接入网设备接收到特定类型的消息，则接入网设备可以确定终端为CP优化终端。该特定类型的消息可以为Connection Establishment Indication。

又例如，在终端的网络能力信息指示终端为CP优化终端的情况下，接入网设备可以确定终端为CP优化终端；在终端的网络能力信息指示终端不为CP优化终端的情况下，接入网设备确定终端不为CP优化终端。

在实际应用中，接入网设备可以先判断终端是否物联网终端，再进一步判断该终端是否支持CP优化，从而准确确定该终端是否为CP优化的NB-IoT终端/CIoT终端。或者，接入网设备可以先判断终端是否支持CP优化，再进一步判断终端是否为物联网终端，从而准确确定该终端是否为CP优化的NB-IoT终端/CIoT终端。

需要说明的是，在终端不为第一类型终端的情况下，接入网设备按照现有流程来获取终端的隐私数据，此处不再赘述。

需要说明的是，在终端为第一类型终端的情况下，由于接入网设备与第一类型终端之间不能建立AS安全上下文，因此接入网设备不宜按照现有流程，直接向第一类型终端请求隐私数据，以避免不具备AS安全保护的隐私数据在第一类型终端与接入网设备之间传输，从而给予攻击者篡改第一类型终端的隐私数据的机会。基于此，接入网设备不向终端发送第一请求消息，而是执行下述步骤S406。

其中，第一请求消息用于请求终端向接入网设备发送终端的隐私数据。具体的，在隐私数据为无线能力信息的情况下，第一请求消息可以为无线能力请求消息。

S406、接入网设备向移动管理网元发送第二请求消息，以使得移动管理网元接收接入网设备发送的第二请求消息。

其中，第二请求消息用于请求移动管理网元向接入网设备发送终端的隐私数据。

需要说明的是，在移动管理网元为AMF的情况下，第二请求消息为N2消息。在移动管理网元为MME的情况下，第二请求消息为S1消息。

一种可能的设计中，第二请求消息是专门用于获取终端的隐私数据的N2消息/S1消息。

另一种可能的设计中，第二请求消息复用现有的N2消息/S1消息。并且，第二请求消息包括第一指示信息，该第一指示信息用于指示移动管理网元向接入网设备发送终端的隐私数据。

示例性的，第二请求消息可以为检索UE信息(Retrive UE Information)，UE能力信息指示(UE Capability Info Indication)等。

可选的，第二请求消息包括终端信息或者隐私数据对应的标识信息。示例性的，终端信息可以为国际移动台设备标识(international mobile station equipment identity，IMEI)，本申请实施例对此不作限定。

可选的，第二请求消息还可以包括第二指示信息。第二指示信息用于指示终端为第一类型终端。或者说，第二指示信息用于指示终端不具备AS安全保护能力。

S407、移动管理网元向接入网设备发送终端的隐私数据，以使得接入网设备接收到终端的隐私数据。

可以理解的是，由于在步骤S404中，移动管理网元已获取并存储了终端的隐私数据。因此，移动管理网元可以根据第二请求消息，查找到终端的隐私数据，从而移动管理网元直接向接入网设备发送终端的隐私数据。

可选的，移动管理网元根据第二请求消息，查找到终端的隐私数据，可以具体实现为：移动管理网元根据第二请求消息所包括的终端信息或者标识信息，查找到终端的隐私数据。

作为一种可能的实现方式，移动管理网元向接入网设备发送第二响应消息，以使得接入网设备接收来自移动管理网元的第二响应消息。其中，第二响应消息用于响应第二请求消息。第二响应消息包括终端的隐私数据。

需要说明的是，在移动管理网元为AMF的情况下，第二响应消息为N2消息。在移动管理网元为MME的情况下，第二响应消息为S1消息。

可选的，第二响应消息可以为新增的N2消息/S1消息；或者，第二响应消息可以复用现有的N2消息/S1消息。

示例性的，第二响应消息可以为初始上下文建立请求(INITIAL CONTEXT SETUP REQUEST)、连接建立指示(CONNETION ESTABLISHMENT INDICATION)、下行NAS传输(DOWNLINK NAS TRANSPROT)、UE信息传输(UE INFORMATION TRANSFER)、UE无线能力匹配请求(UE RADIO CAPABILITY MATCH REQUEST)等，本申请实施例不限于此。

S408、接入网设备使用终端的隐私数据。

基于图12所示的技术方案，第一类型终端主动向移动管理网元发送经过NAS安全保护的隐私数据，从而在接入网设备需要获取第一类型终端的隐私数据的情况下，移动管理网元可以向接入网设备发送隐私数据。从而，接入网设备获取第一类型终端的隐私数据的流程中，第一类型终端的隐私数据不会由于在不具备安全保护的情况下传输，从而避免第一类型终端的隐私数据被攻击者篡改，保证第一类型终端的隐私数据在传输过程中的安全性。

如图13(a)所示，为本申请实施例提供的一种数据传输方法，该方法包括以下步骤：

S501、终端与核心网之间建立NAS安全上下文。

S502、移动管理网元判断是否存储有效的隐私数据。

其中，有效的隐私数据是指未被标记删除的隐私数据。

可以理解的是，在一些场景下，例如终端上报无线能力信息流程中，或者终端的附着流程中，移动管理网元虽然存储着终端的隐私数据，但该隐私数据会被标记为删除。标记为删除的隐私数据会被移动管理网元删除。

作为一种可能的实现方式，移动管理网元根据终端信息或者标识信息，在数据库中查找终端的隐私数据。当移动管理网元未查找到终端的隐私数据，或者移动管理网元查找到的终端的隐私数据被标记删除时，移动管理网元可以确定未存储有效的隐私数据。当移动管理网元可以查找到终端的隐私数据，且该隐私数据未被标记删除时，移动管理网元可以确定已存储有效的隐私数据。

在移动管理网元预先存储有效的隐私数据的情况下，移动管理网元向接入网设备发送终端的隐私数据，其具体实现过程可以参考上述步骤S407的相关描述，在此不再赘述。

在移动管理网元未存储有效的隐私数据的情况下，移动管理网元执行下述步骤S503；或者，移动管理网元可以跳过步骤S503，直接执行步骤S504。

S503、移动管理网元判断终端是否是第一类型终端。

可选的，移动管理网元判断终端是否为第一类型终端，可以采用以下实现方式中的任意一种：

实现方式一、移动管理网元根据终端的网络能力信息，确定终端是否为第一类型终端。具体的，在终端的网络能力信息指示终端为第一类型终端的情况下，移动管理网元可以确定终端为第一类型终端。在终端的网络能力指示信息未指示终端为第一类型终端的情况下，接入网设备可以确定终端不为第一类型终端。

示例性的，网络能力信息中存在第一信元，该第一信元用于指示终端是否支持CP优化。这里CP优化具体是指：CIoT演进的分组系统(evolved packet system，EPS)的CP优化(control Plane CIoT EPS Optimisation)。该第一信元可以称为“偏好的网络行为”信元。

在第一信元用于指示终端支持CP优化的情况下，移动管理网元可以确定终端为第一类型终端；在第一信元用于指示终端不支持CP优化的情况下，移动管理网元可以确定终端不为第一类型终端。

实现方式二、移动管理网元根据是否接收到第二指示信息，确定终端是否为第一类型终端。例如，在移动管理网元接收到接入网设备所发送的第二指示信息的情况下，移动管理网元确定终端为第一类型终端；在移动管理网元未接收到第二指示信息的情况下，移动管理网元确定终端不为第一类型终端。

可以理解的是，上述实现方式仅为示例，本申请实施例对于移动管理网元判断终端是否为第一类型终端的实现方式不作具体限定。

在终端不为第一类型终端的情况下，移动管理网元可以按照现有技术中的流程，向接入网设备发送第三请求消息，所述第三请求消息用于触发接入网设备从终端获取到隐私数据。

在终端为第一类型终端的情况下，移动管理网元不向接入网设备发送第三请求消息，而是执行下述步骤S504。

S504、移动管理网元向终端发送第三NAS消息，以使得终端接收来自移动管理网元的第三NAS消息。其中，第三NAS消息用于请求终端向移动管理网元发送经过NAS安全保护的隐私数据。

一种可能的设计中，第三NAS消息是专门用于请求获取终端的隐私数据的NAS消息。

另一种可能的设计中，第三NAS消息复用现有的NAS消息。并且，第三NAS消息包括第三指示信息，第三指示信息用于指示终端向移动管理网元发送经过NAS安全保护的隐私数据。

对于终端来说，终端的NAS层在接收到第三NAS消息之后，会向终端的RRC层请求终端的隐私数据，以便于终端的NAS层对终端的隐私数据进行NAS安全保护。

S505、终端根据NAS安全上下文，对隐私数据进行NAS安全保护。

S506、终端向移动管理网元发送经过NAS安全保护的第一NAS消息，以使得移动管理网元接收经过NAS安全保护的第一NAS消息。

S507、移动管理网元根据NAS安全上下文，对经过NAS安全保护的第一NAS消息进行解安全保护，获取到终端的隐私数据。

可选的，在移动管理网元获取到终端的隐私数据之后，移动管理网元存储该终端的隐私数据。

S508、移动管理网元向接入网设备发送终端的隐私数据，以使得接入网设备接收到终端的隐私数据。

S509、接入网设备使用终端的隐私数据。

基于图13(a)所示的技术方案，在第一类型终端与核心网之间建立安全上下文之后，移动管理网元通过向第一类型终端发送第三NAS消息，以触发第一类型终端上报隐私数据。这样一来，网络侧可以获知第一类型终端的隐私数据。

基于图13(a)所示的技术方案，如图13(b)所示，该数据传输方法在步骤S503之前还包括步骤S510和S511。

S510、接入网设备判断终端是否为第一类型终端。

S511、接入网设备向移动管理网元发送第二请求消息，以使得移动管理网元接收接入网设备发送的第二请求消息。

其中，S510-S511、与步骤S405-S406相同，具体描述可参考上文，在此不再赘述。

基于图13(b)所示的技术方案，在接入网设备需要获取终端的隐私数据的情况下，接入网设备可以通过向移动管理网元发送第一请求消息，以获取终端的隐私数据。

如图14所示，为本申请实施例提供的一种数据传输方法，该方法包括以下步骤：

S601、终端与核心网之间已建立NAS安全上下文。

S602、在接入网设备需要获取终端的隐私数据的情况下，接入网设备向终端发送第一请求消息，以使得终端接收来自接入网设备的第一请求消息。

S603、在终端为第一类型终端的情况下，终端根据NAS安全上下文，对终端的隐私数据进行NAS安全保护。

S604、终端向接入网设备发送第一RRC消息，以使得接入网设备接收第一RRC消息。其中，第一RRC消息包括经过NAS安全保护的隐私数据。

可选的，第一RRC消息可以携带第二指示信息，第二指示信息用于指示终端为第一类型终端。

S605、接入网设备向移动管理网元发送经过NAS安全保护的隐私数据。

作为一种可能的实现方式，接入网设备在确定终端为第一类型终端的情况下，向移动管理网元发送经过NAS安全保护的隐私数据。

S606、移动管理网元对经过NAS安全保护的隐私数据进行解安全保护。

S607、移动管理网元向接入网设备发送终端的隐私数据，以使得接入网设备接收终端的隐私数据。

S608、接入网设备使用终端的隐私数据。

如图15所示，在第一RRC消息包括未加密的隐私数据的情况下，步骤S607可以替换为步骤S609。

S609、移动管理网元向接入网设备发送校验成功消息，以使得接入网设备接收校验成功消息。

其中，校验成功消息用于指示第一上行NAS MAC通过校验。

基于图14或者图15所示的技术方案，接入网设备与第一类型终端之间传输隐私数据的流程复用现有技术中的流程，具有较好的兼容性。同时，第一类型终端所发送的第一RRC消息中，终端的隐私数据接受了经过NAS安全保护，从而保证终端的隐私数据在传输过程中的安全性。

如图16所示，为本申请实施例提供的一种数据传输方法，该方法包括以下步骤：

S701、在接入网设备需要获取终端的隐私数据的情况下，接入网设备向终端发送第一请求消息，以使得终端接收来自接入网设备的第一请求消息。

S702、终端向接入网设备发送第一响应消息，以使得接入网设备接收到第一响应消息。

其中，第一响应消息用于响应第一请求消息。

可选的，在终端为第一类型终端的情况下，第一响应消息包括未进行AS安全保护的隐私数据。在终端不为第一类型终端的情况下，第一响应消息包括AS安全保护的隐私数据。

在第一响应消息包括未进行AS安全保护的隐私数据的情况下，该数据传输方法包括以下步骤S703。

S703、接入网设备临时使用终端的隐私数据。

可以理解的是，若第一响应消息包括未进行AS安全保护的隐私数据，则第一响应消息所包括的隐私数据存在被篡改的安全风险，因此接入网设备仅是临时使用该终端的隐私数据，而不会存储该终端的隐私数据，从而保证通信网络的安全性。

另外，在隐私数据存在被篡改的安全风险的情况下，若接入网设备向移动管理网元发送隐私数据，使得移动管理网元存储的是可能被篡改的隐私数据。这样一来，在后续流程中，其他接入网设备从移动管理网元获取到的终端的隐私数据均是被篡改的，导致通信网络存在较大的安全风险。为了避免这种情况的发生，在第一响应消息包括未进行AS安全保护的隐私数据的情况下，接入网设备不向移动管理网元发送终端的隐私数据，以避免移动管理网元存储可能被篡改的隐私数据。

在第一响应消息包括AS安全保护的隐私数据的情况下，该数据传输方法包括以下步骤S704-S705。

S704、接入网设备对AS安全保护的隐私数据进行解安全保护，存储并使用隐私数据。

S705、在对AS安全保护的隐私数据进行解安全保护之后，接入网设备向移动管理网元发送终端的隐私数据，以使得移动管理网元接收终端的隐私数据。

S706、移动管理网元存储终端的隐私数据。

基于图16所示的技术方案，无论终端是否是第一类型终端，接入网设备沿用现有技术中的流程来获取终端的隐私数据。并且，在终端所发送的第一响应消息携带未进行AS安全保护的隐私数据的情况下，接入网设备仅是临时使用该隐私数据，并且接入网设备不向移动管理网元发送终端的隐私数据，以降低通信网络的安全风险。

当前，在TAU场景下，若接入网设备需要获取终端的隐私数据，而移动管理网未存储终端的隐私数据，则接入网设备会向终端请求隐私数据。但是，在TAU场景下，接入网设备不具备AS安全保护参数，因此接入网设备不能与终端建立AS安全上下文。从而，终端仅能向接入网设备发送无AS安全保护的隐私数据。由于隐私数据不具备AS安全保护，导致隐私数据在传输过程中存在被篡改的风险。

为了解决这一技术问题，本申请实施例提供一种数据传输方法。如图17所示，该数据传输方法包括以下步骤：

S801、终端向移动管理网元发送TAU请求消息，以使得移动管理网元接收来自终端的TAU请求消息。

其中，TAU请求消息用于请求更新跟踪区。

可以理解的是，在终端发送TAU请求消息的过程中，接入网设备负责接收终端所发送的TAU请求消息，并将TAU请求消息透传给移动管理网元。

S802、移动管理网元向接入网设备发送TAU响应消息和AS安全保护参数，以使得接入网设备接收到TAU响应消息和AS安全保护参数。

其中，AS安全保护参数用于建立接入网设备与终端之间的AS安全上下文。示例性的，AS安全保护参数可以为KeNB。

作为一种可能的实现方式，在接入网设备需要获取终端的隐私数据，并且移动管理网元未存储终端的隐私数据的情况下，移动管理网元向接入网设备发送TAU响应消息和AS安全保护参数。

可以理解的是，TAU响应消息和AS安全保护参数可以位于同一N2消息/S1消息中；或者，TAU响应消息和AS安全保护参数可以位于不同的N2消息/S1消息中。

这样一来，在接收到AS安全保护参数之后，接入网设备根据AS安全保护参数，与终端之间建立AS安全上下文。

S803、接入网设备与终端之间执行AS安全模式命令(security mode command，SMC)流程。

其中，AS SMC流程用于建立接入网设备与终端之间的AS安全上下文。具体的，AS SMC流程用于协商终端与接入网设备之间的完整性保护和加密保护所使用的密钥和算法。

示例性的，AS SMC流程包括：接入网设备向终端发送AS SMC消息；之后，终端向接入网设备发送AS SMP消息。

S804、接入网设备向终端发送第一请求消息，以使得终端接收到第一请求消息。

S805、终端根据AS安全上下文，对终端的隐私数据进行AS安全保护。

S806、终端向接入网设备发送第一响应消息，以使得接入网设备接收到第一响应消息。其中，第一响应消息包括AS安全保护的隐私数据。

S807、接入网设备对AS安全保护的隐私数据进行解安全保护，存储并使用隐私数据。

S808、接入网设备将来自移动管理网元的TAU响应消息透传给终端。

需要说明的是，本申请实施例不限制步骤S808与步骤S803-S807之间的执行顺序。例如，可以先执行步骤S808，再执行步骤S803-S807；或者，先执行步骤S803-S807，再执行步骤S808；或者，同时执行步骤S803-S807，与步骤S808。

基于图17所示的技术方案，在TAU流程中，移动管理网元向接入网设备发送AS安全保护参数，以便于在接入网设备需要获取终端的隐私数据的情况下，接入网设备可以与终端之间建立AS安全上下文，从而终端可以对隐私数据进行AS安全保护，从而保证隐私数据在传输过程中的安全性。

下面结合具体应用场景对图18所示的技术方案进行具体介绍。

如图18所示，为本申请实施例提供的一种数据传输方法，该方法包括以下步骤：

S901、终端向接入网设备发送上行RRC消息，以使得接入网设备接收到上行RRC消息。

其中，上行RRC消息包括终端信息以及TAU请求消息。

S902、接入网设备在需要获取终端的隐私数据的情况下，向移动管理网元发送TAU请求消息以及第四指示信息。

其中，第四指示信息用于指示接入网设备需要获取终端的隐私数据。

可选的，第四指示信息可以相当于前文中的第一请求消息。

可以理解的是，TAU请求消息和第四指示信息可以承载于同一N2消息/S1消息中。或者，TAU请求消息和第四指示信息承载于不同的N2消息/S1消息中。

示例性的，在TAU场景下，接入网设备需要获取终端的隐私数据，包括：接入网设备希望获知终端是否支持NAS DC。

S903、在移动管理网元接收到第四指示信息的情况下，移动管理网元判断是否存储有效的隐私数据。

在移动管理网元存储有效的隐私数据的情况下，移动管理网元向接入网设备发送终端的隐私数据和TAU响应消息。

在移动管理网元未存储有效的隐私数据的情况下，移动管理网元执行下述步骤S904。

S904、移动管理网元判断终端是否为第一类型终端。

在终端为第一类型终端的情况下，移动管理网元可以向终端发送第三NAS消息，以触发终端上报第一NAS消息，从而移动管理网元可以获取到终端的隐私数据。在移动管理网元获取到终端的隐私数据之后，移动管理网元向接入网设备发送终端的隐私数据和TAU响应消息。

在终端不为第一类型终端的情况下，数据传输方法可以包括以下步骤S905-S911。

S905-S911、与步骤S802-S808相同，具体描述可以参考上文，在此不再赘述。

上述主要从每一个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，每一个网元，例如终端、接入网设备、以及移动管理网元，为了实现上述功能，其包含了执行每一个功能相应的硬件结构或软件模块，或两者结合。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对网络设备和终端进行功能模块的划分，例如，可以对应每一个功能划分每一个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。下面以采用对应每一个功能划分每一个功能模块为例进行说明：

如图19所示，为本申请实施例提供的一种终端的结构示意图。所述终端包括通信模块201和处理模块202。其中，通信模块201用于支持终端执行图9中的步骤S102，图10中的步骤S201和S202，图11中的步骤S301，图12中的步骤S403，图13(a)中的步骤S504和S506，图14中的步骤S602和S604，图16中的步骤SS701和S702，图17中的步骤S803、S804和S806，图18中的步骤S901、S906、S907、S909和S911，和/或本申请实施例中终端需要执行的其他通信操作。处理模块202用于支持终端执行图9中的步骤S101，图12中的步骤S402，图13(a)中的步骤S505，图14中的步骤S603，图17中的步骤S805，图18中的步骤S908，和/或本申请实施例中终端需要执行的其他处理操作。

作为一个示例，结合图7所示的通信装置，图19中的处理模块202可以由图7中的处理器101来实现，图19中的通信模块201可以由图7中的通信接口104来实现，本申请实施例对此不作任何限制。

如图20所示，为本申请实施例提供的一种移动管理网元的结构示意图。所述移动管理网元包括通信模块301和处理模块302。通信模块301用于支持移动管理网元执行图9中的步骤S102，图10中的步骤S201和S202，图11中的步骤S302，图12中的步骤S403、S406和S407，图13(a)中的步骤S504、S506和S508，图13(b)中的步骤S511，图14中的步骤S605和S607，图15中的步骤S609，图16中的步骤S705，图17中的步骤S801和S802，图18中的步骤S902和S905，和/或本申请实施例中的移动管理网元需要进行的其他通信操作。处理模块302用于支持移动管理网元执行图9中的步骤S103，图12中的步骤S404，图13(a)中的步骤S502、S503和S507，图14中的步骤S606，图16中的步骤S706，图9中的步骤S903和S904，和/或本申请实施例中的移动管理网元需要进行的其他处理操作。

作为一个示例，结合图7所示的通信装置，图20中的处理模块302可以由图7中的处理器101来实现，图20中的通信模块301可以由图7中的通信接口104来实现，本申请实施例对此不作任何限制。

如图21所示，为本申请实施例提供的一种接入网设备的结构示意图。所述接入网设备包括通信模块401和处理模块402。

通信模块401用于支持接入网设备执行图11中的步骤S301和S302，图12中的步骤S406和S407，图13(a)中的步骤S508，图13(b)中的步骤S511，图14中的步骤S602、S604、S605和S607，图15中的步骤S609，图16中的步骤S701、S702和S705，图17中的步骤S802、S803、S804、S806和S808，图18中的步骤S901、S905、S905、S906、S907、S909和S911，和/或本申请实施例中接入网设备需要执行的其他通信操作。处理模块402用于支持接入网设备执行图12中的步骤S405和S408，图13(a)中的步骤S509，图13(b)中的步骤S510，图14中的步骤S608，图16中的步骤S703和S704，图17中的步骤S807，图18中的步骤S910，和/或本申请实施例中接入网设备需要执行的其他处理操作。

作为一个示例，结合图7所示的通信装置，图21中的处理模块402可以由图7中的处理器101来实现，图21中的通信模块401可以由图7中的通信接口104来实现，本申请实施例对此不作任何限制。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机指令；当所述计算机可读存储介质在计算机上运行时，使得该计算机执行本申请实施例所提供的数据传输方法。

本申请实施例还提供了一种包含计算机指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行本申请实施例提供的数据传输方法。

本申请实施例提供一种芯片，该芯片包括处理器，该处理器执行指令时，使得该芯片可以执行本申请实施例提供的数据传输方法。

应理解，所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质、或者半导体介质(例如固态硬盘)等。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

应该理解到，在本申请所提供的几个实施例中所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种通信系统，其特征在于，包括接入网设备和移动管理网元；其中，

所述接入网设备，用于在终端与所述接入网设备建立接入层AS上下文之前，将来自所述终端的经过非接入层NAS安全保护的无线能力信息发送给所述移动管理网元；接收来自所述移动管理网元的所述无线能力信息；其中，所述无线能力信息用于指示所述终端所支持的无线接入技术；

所述移动管理网元，用于接收来自所述终端的且经过NAS安全保护的无线能力信息；在对经过NAS安全保护的无线能力信息进行解安全保护之后，向所述接入网设备发送所述无线能力信息。
根据权利要求1所述的通信系统，其特征在于，所述经过NAS安全保护的无线能力信息携带在所述终端发送的第一NAS消息中；其中，所述第一NAS消息经过NAS安全保护。
根据权利要求2所述的通信系统，其特征在于，所述第一NAS消息为初始NAS消息，或者NAS安全模式完成SMP消息。
根据权利要求3所述的通信系统，其特征在于，在所述第一NAS消息为所述初始NAS消息的情况下，所述初始NAS消息中的非明文信息包括所述无线能力信息。
根据权利要求2至4任一项所述的通信系统，其特征在于，

所述移动管理网元，还用于向所述终端发送经过NAS安全保护的第二NAS消息，所述第二NAS消息用于指示所述移动管理网元已接收到所述第一NAS消息。
根据权利要求2至5任一项所述的通信系统，其特征在于，

所述接入网设备，还用于在确定所述终端为第一类型终端的情况下，向所述移动管理网元发送第二请求消息；所述第二请求消息用于向所述移动管理网元请求所述无线能力信息；

所述移动管理网元，还用于接收所述第二请求消息。
根据权利要求6所述的通信系统，其特征在于，

所述接入网设备，还用于确定所述终端为第一类型终端。
根据权利要求7所述的通信系统，其特征在于，所述接入网设备，还用于确定所述终端为第一类型终端，具体为：

所述接入网设备根据所述终端接入的小区，确定所述终端为所述第一类型终端；或者，

所述接入网设备根据所述终端发送的消息，确定所述终端为所述第一类型终端；或者，

所述接入网设备根据所述终端的网络能力指示，确定所述终端为第一类型终端。
根据权利要求6至8任一项所述的通信系统，其特征在于，所述第一类型终端为控制面CP优化的窄带物联网NB-IoT终端或者CP优化的蜂窝物联网CIoT终端。
根据权利要求6至8任一项所述的通信系统，其特征在于，

所述接入网设备，还用于在确定所述终端为第一类型终端的情况下，不向所述终端发送第一请求消息，所述第一请求消息用于向所述终端请求所述无线能力信息。
根据权利要求1至10任一项所述的通信系统，其特征在于，

所述移动管理网元，还用于在未存储有效的无线能力信息的情况下，向所述终端发送经过NAS安全保护的第三NAS消息，所述第三NAS消息用于向所述终端请求经过NAS安全保护的无线能力信息。
根据权利要求1所述的通信系统，其特征在于，

所述接入网设备，还用于接收来自所述终端的第一RRC消息，所述第一RRC消息包括NAS容器，所述NAS容器包括加密后的无线能力信息以及上行NAS MAC；向所述移动管理网元发送所述NAS容器；

所述移动管理网元，具体用于接收所述NAS容器。
一种数据传输方法，其特征在于，所述方法包括：

终端在建立接入层AS安全上下文之前，根据预先存储的非接入层NAS安全上下文，对无线能力信息进行NAS安全保护，所述无线能力信息用于指示所述终端支持的无线接入技术；

所述终端发送经过NAS安全保护的无线能力信息。
根据权利要求13所述的数据传输方法，其特征在于，所述终端在建立AS安全上下文之前，根据预先存储的NAS安全上下文，对无线能力信息进行NAS安全保护，包括：

所述终端的NAS层从所述终端的无线资源控制RRC层获取到所述无线能力信息；

所述终端的NAS层根据预先存储的NAS安全上下文，对无线能力信息进行NAS安全保护。
根据权利要求14所述的数据传输方法，其特征在于，所述终端发送经过NAS安全保护的无线能力信息，包括：

所述终端向接入网设备发送第一RRC消息，所述第一RRC消息包括经过NAS安全保护的无线能力信息。
根据权利要求15所述的数据传输方法，其特征在于，所述终端向接入网设备发送第一RRC消息，包括：

所述终端的RRC层从所述终端的NAS层获取经过NAS安全保护的无线能力信息；

所述终端的RRC层向所述接入网设备发送第一RRC消息，所述第一RRC消息包括经过NAS安全保护的无线能力信息。
根据权利要求15或16所述的数据传输方法，其特征在于，所述第一RRC消息包括经过NAS安全保护的无线能力信息，具体实现为：

所述第一RRC消息包括NAS容器，所述NAS容器包括加密后的无线能力信息以及上行NAS MAC；或者，所述NAS容器包括未加密的无线能力信息以及上行NAS消息认证码MAC。
根据权利要求14所述的数据传输方法，其特征在于，所述经过NAS安全保护的无线能力信息携带在所述终端发送的第一NAS消息中；其中，所述第一NAS消息经过NAS安全保护。
根据权利要求18所述的数据传输方法，其特征在于，所述第一NAS消息为初始NAS消息或者NAS安全模式完成SMP消息。
根据权利要求19所述的数据传输方法，其特征在于，在所述第一NAS消息为所述初始NAS消息的情况下，所述初始NAS消息的非明文信元包括所述无线能力信息。
根据权利要求18至20任一项所述的数据传输方法，其特征在于，所述方法还包括：

所述终端接收移动管理网元发送的经过NAS安全保护的第二NAS消息，所述第二NAS消息用于指示所述移动管理网元已接收到所述第一NAS消息。
根据权利要求18至21任一项所述的数据传输方法，其特征在于，所述方法还包括：

所述终端接收来自移动管理网元发送的经过NAS安全保护的第三NAS消息，所述第三NAS消息用于请求所述终端向所述移动管理网元发送经过NAS安全保护的无线能力信息。
根据权利要求13至22任一项所述的数据传输方法，其特征在于，所述终端为第一类型终端，所述第一类型终端与接入网设备之间不建立AS安全上下文。
根据权利要求23所述的数据传输方法，其特征在于，所述第一类型终端为控制面CP优化的窄带物联网NB-IoT终端或者CP优化的蜂窝物联网CIoT终端。
一种数据传输方法，其特征在于，所述方法包括：

移动管理网元接收经过非接入层NAS安全保护的无线能力信息，所述无线能力信息用于指示终端支持的无线接入技术；

所述移动管理网元根据预先存储的NAS安全上下文，对经过NAS安全保护的无线能力信息进行解安全保护，并存储所述无线能力信息。
根据权利要求25所述的数据传输方法，其特征在于，所述经过NAS安全保护的无线能力信息携带在所述终端发送的第一NAS消息中；其中，所述第一NAS消息经过NAS安全保护。
根据权利要求26所述的数据传输方法，其特征在于，所述第一NAS消息为初始NAS消息，或者NAS安全模式完成SMP消息。
根据权利要求27所述的数据传输方法，其特征在于，在所述第一NAS消息为初始NAS消息的情况下，所述初始NAS消息的非明文信元包括所述无线能力信息。
根据权利要求26至28任一项所述的数据传输方法，其特征在于，所述方法还包括：

所述移动管理网元向所述终端发送经过NAS安全保护的第二NAS消息，所述第二NAS消息用于指示所述移动管理网元已接收到所述第一NAS消息。
根据权利要求26至29任一项所述的数据传输方法，其特征在于，所述方法还包括：

所述移动管理网元接收接入网设备发送的第二请求消息，所述第二请求消息用于请求所述移动管理网元向所述接入网设备发送所述无线能力信息；

所述移动管理网元向所述接入网设备发送所述无线能力信息。
根据权利要求30所述的数据传输方法，其特征在于，在所述移动管理网元向所述接入网设备发送所述无线能力信息之前，所述方法还包括：

若所述移动管理网元未存储有效的无线能力信息，则所述移动管理网元向所述终端发送第三NAS消息，所述第三NAS消息用于向所述终端请求经过NAS安全保护的无线能力信息。
根据权利要求25所述的数据传输方法，其特征在于，所述移动管理网元接收经过NAS安全保护的无线能力信息，包括：

所述移动管理网元接收接入网设备发送的NAS容器，所述NAS容器包括加密后的无线能力信息以及上行NAS消息认证码MAC；或者，所述NAS容器包括未加密的无线能力信息以及上行NAS MAC。
根据权利要求32所述的数据传输方法，其特征在于，所述方法还包括：

所述移动管理网元在对所述NAS容器进行解安全保护之后，向所述接入网设备发送所述无线能力信息。
根据权利要求32所述的数据传输方法，其特征在于，在所述NAS容器包括未加密的无线能力信息以及上行NAS MAC的情况下，所述方法还包括：

所述移动管理网元对所述上行NAS MAC进行完整性校验；

在所述上行NAS MAC通过完整性校验之后，所述移动管理网元向所述接入网设备发送校验成功消息，所述校验成功消息用于指示所述上行NAS MAC通过完整性校验。
一种数据传输方法，其特征在于，所述方法还包括：

接入网设备确定终端为第一类型终端的情况下，向移动管理网元发送第二请求消息，所述第二请求消息用于向所述移动管理网元请求所述终端的无线能力信息，所述无线能力信息用于指示所述终端支持的无线接入技术；

所述接入网设备接收所述移动管理网元发送的所述无线能力信息。
根据权利要求35所述的数据传输方法，其特征在于，所述方法还包括：

所述接入网设备在确定所述终端为第一类型终端的情况下，不向所述终端发送第一请求消息，所述第一请求消息用于向所述终端请求所述无线能力信息。
根据权利要求35或36所述的数据传输方法，其特征在于，所述方法还包括：

所述接入网设备在所述终端接入第一类型小区的情况下，确定所述终端为所述第一类型终端；所述第一类型小区为所述第一类型终端所接入的小区；或者，

所述接入网设备在所述终端发送的消息为第一类型消息的情况下，确定所述终端为所述第一类型终端，所述第一类型消息为所述第一类型终端所发送的消息；或者，

所述接入网设备在所述终端的网络能力指示所述终端为所述第一类型终端的情况下，确定所述终端为第一类型终端；或者，

所述接入网设备在接收到所述终端发送的第二指示信息的情况下，确定所述终端为第一类型终端，所述第二指示信息用于指示所述终端为第一类型终端。
根据权利要求35至37任一项所述的数据传输方法，其特征在于，所述第一类型终端为控制面CP优化的窄带物联网NB-IoT终端或者CP优化的蜂窝物联网CIoT终端。
一种数据传输方法，其特征在于，所述方法包括：

接入网设备接收终端发送的第一无线资源控制RRC消息，所述第一RRC消息包括经过NAS安全保护的无线能力信息，所述无线能力信息用于指示所述终端支持的无线接入技术；

所述接入网设备向移动管理网元发送所述经过NAS安全保护的无线能力信息。
根据权利要求39所述的数据传输方法，其特征在于，所述方法还包括：

所述接入网设备向所述终端发送第一请求消息，所述第一请求消息用于向所述终端请求所述无线能力信息。
根据权利要求39或40所述的数据传输方法，其特征在于，所述第一RRC消息包括经过NAS安全保护的无线能力信息，具体实现为：

所述第一RRC消息包括第一NAS容器，所述第一NAS容器包括加密后的无线能力信息以及上行NAS消息认证码MAC；或者，

所述第一RRC消息包括第二NAS容器，所述第二NAS容器包括未加密的无线能力信息以及所述上行NAS MAC；或者，

所述第一RRC消息包括加密后的无线能力信息以及所述上行NAS MAC；或者，

所述第一RRC消息包括未加密的无线能力信息以及所述上行NAS MAC。
根据权利要求41所述的数据传输方法，其特征在于，所述方法还包括：

所述接入网设备接收所述移动管理网元发送的所述无线能力信息。
根据权利要求41所述的数据传输方法，其特征在于，在所述第一RRC消息包括未加密的无线能力信息以及所述上行NAS MAC的情况下，所述方法还包括：

所述接入网设备在接收到所述移动管理网元发送的校验成功消息之后，使用所述无线能力信息，所述校验成功消息用于指示所述上行NAS MAC通过完整性校验。
一种通信装置，其特征在于，包括：处理模块和通信模块；

所述处理模块，用于在建立接入层AS安全上下文之前，根据预先存储的非接入层NAS安全上下文，对无线能力信息进行NAS安全保护，所述无线能力信息用于指示终端支持的无线接入技术；

所述通信模块，用于发送经过NAS安全保护的无线能力信息。
根据权利要求44所述的通信装置，其特征在于，所述处理模块，用于在建立AS安全上下文之前，根据预先存储的NAS安全上下文，对无线能力信息进行NAS安全保护，包括：

NAS层从无线资源控制RRC层获取到所述无线能力信息；

NAS层根据预先存储的NAS安全上下文，对无线能力信息进行NAS安全保护。
根据权利要求45所述的通信装置，其特征在于，

所述通信模块，具体用于向接入网设备发送第一RRC消息，所述第一RRC消息包括经过NAS安全保护的无线能力信息。
根据权利要求46所述的通信装置，其特征在于，所述通信模块，具体用于向接入网设备发送第一RRC消息，包括：

RRC层从NAS层获取经过NAS安全保护的无线能力信息；

RRC层向所述接入网设备发送第一RRC消息，所述第一RRC消息包括经过NAS安全保护的无线能力信息。
根据权利要求46或47所述的通信装置，其特征在于，所述第一RRC消息包括经过NAS安全保护的无线能力信息，具体实现为：

所述第一RRC消息包括NAS容器，所述NAS容器包括加密后的无线能力信息以及上行NAS MAC；或者，所述NAS容器包括未加密的无线能力信息以及上行NAS消息认证码MAC。
根据权利要求45所述的通信装置，其特征在于，所述经过NAS安全保护的无线能力信息携带在所述终端发送的第一NAS消息中；其中，所述第一NAS消息经过NAS安全保护。
根据权利要求49所述的通信装置，其特征在于，所述第一NAS消息为初始NAS消息或者NAS安全模式完成SMP消息。
根据权利要求50所述的通信装置，其特征在于，在所述第一NAS消息为所述初始NAS消息的情况下，所述初始NAS消息的非明文信元包括所述无线能力信息。
根据权利要求49至51任一项所述的通信装置，其特征在于，

所述通信模块，还用于接收移动管理网元发送的经过NAS安全保护的第二NAS消息，所述第二NAS消息用于指示所述移动管理网元已接收到所述第一NAS消息。
根据权利要求48至52任一项所述的通信装置，其特征在于，

所述通信模块，还用于接收来自移动管理网元发送的经过NAS安全保护的第三NAS消息，所述第三NAS消息用于请求所述终端向所述移动管理网元发送经过NAS安全保护的无线能力信息。
根据权利要求44至53任一项所述的通信装置，其特征在于，所述通信装置为第一类型终端，所述第一类型终端与接入网设备之间不建立接入层AS安全上下文。
根据权利要求54所述的通信装置，其特征在于，所述第一类型终端为控制面CP优化的窄带物联网NB-IoT终端或者CP优化的蜂窝物联网CIoT终端。
一种通信装置，其特征在于，包括：

通信模块，用于接收经过非接入层NAS安全保护的无线能力信息，所述无线能力信息用于指示终端支持的无线接入技术；

处理模块，用于根据预先存储的NAS安全上下文，对经过NAS安全保护的无线能力信息进行解安全保护，并存储所述无线能力信息。
根据权利要求56所述的通信装置，其特征在于，所述经过NAS安全保护的无线能力信息携带在所述终端发送的第一NAS消息中；其中，所述第一NAS消息经过NAS安全保护。
根据权利要求57所述的通信装置，其特征在于，所述第一NAS消息为初始NAS消息，或者NAS安全模式完成SMP消息。
根据权利要求58所述的通信装置，其特征在于，在所述第一NAS消息为初始NAS消息的情况下，所述初始NAS消息的非明文信元包括所述无线能力信息。
根据权利要求56至59任一项所述的通信装置，其特征在于，

所述通信模块，还用于向所述终端发送经过NAS安全保护的第二NAS消息，所述第二NAS消息用于指示移动管理网元已接收到第一NAS消息。
根据权利要求56至60任一项所述的通信装置，其特征在于，

所述通信模块，还用于接收接入网设备发送的第二请求消息，所述第二请求消息用于请求移动管理网元向所述接入网设备发送所述无线能力信息；向所述接入网设备发送所述无线能力信息。
根据权利要求61所述的通信装置，其特征在于，

所述通信模块，还用于若所述移动管理网元未存储有效的无线能力信息，则向所述终端发送第三NAS消息，所述第三NAS消息用于向所述终端请求经过NAS安全保护的无线能力信息。
根据权利要求56所述的通信装置，其特征在于，

所述通信模块，具体用于接收接入网设备发送的NAS容器，所述NAS容器包括加密后的无线能力信息以及上行NAS消息认证码MAC；或者，所述NAS容器包括未加密的无线能力信息以及上行NAS MAC。
根据权利要求63所述的通信装置，其特征在于，

所述处理模块，用于对所述NAS容器进行解安全保护；

所述通信模块，还用于在对所述NAS容器进行解安全保护之后，向所述接入网设备发送所述无线能力信息。
根据权利要求63所述的通信装置，其特征在于，

所述处理模块，还用于在所述NAS容器包括未加密的无线能力信息以及上行NAS MAC的情况下，对所述上行NAS MAC进行完整性校验；

所述通信模块，还用于在所述上行NAS MAC通过完整性校验之后，向所述接入网设备发送校验成功消息，所述校验成功消息用于指示所述上行NAS MAC通过完整性校验。
一种通信装置，其特征在于，包括：

处理模块，用于判断终端是否为第一类型终端；

通信模块，用于在所述处理模块确定终端为第一类型终端的情况下，向移动管理网元发送第二请求消息，所述第二请求消息用于向所述移动管理网元请求所述终端的无线能力信息，所述无线能力信息用于指示所述终端支持的无线接入技术；接收所述移动管理网元发送的所述无线能力信息。
根据权利要求66所述的通信装置，其特征在于，

所述通信模块，用于在所述处理模块确定所述终端为第一类型终端的情况下，不向所述终端发送第一请求消息，所述第一请求消息用于向所述终端请求所述无线能力信息。
根据权利要求66或67所述的通信装置，其特征在于，

所述处理模块，用于在所述终端接入第一类型小区的情况下，确定所述终端为所述第一类型终端；所述第一类型小区为所述第一类型终端所接入的小区；或者，在所述终端发送的消息为第一类型消息的情况下，确定所述终端为所述第一类型终端，所述第一类型消息为所述第一类型终端所发送的消息；或者，在所述终端的网络能力指示所述终端为所述第一类型终端的情况下，确定所述终端为第一类型终端；或者，在接收到所述终端发送的第二指示信息的情况下，确定所述终端为第一类型终端，所述第二指示信息用于指示所述终端为第一类型终端。
根据权利要求66至68任一项所述的通信装置，其特征在于，所述第一类型终端为控制面CP优化的窄带物联网NB-IoT终端或者CP优化的蜂窝物联网CIoT终端。
一种通信装置，其特征在于，包括：

接收模块，用于接收终端发送的第一无线资源控制RRC消息，所述第一RRC消息包括经过NAS安全保护的无线能力信息，所述无线能力信息用于指示所述终端支持的无线接入技术；

发送模块，用于向移动管理网元发送所述经过NAS安全保护的无线能力信息。
根据权利要求70所述的通信装置，其特征在于，

所述发送模块，还用于向所述终端发送第一请求消息，所述第一请求消息用于向所述终端请求所述无线能力信息。
根据权利要求70或71所述的通信装置，其特征在于，所述第一RRC消息包括经过NAS安全保护的无线能力信息，具体实现为：

所述第一RRC消息包括第一NAS容器，所述第一NAS容器包括加密后的无线能力信息以及上行NAS消息认证码MAC；或者，

所述第一RRC消息包括第二NAS容器，所述第二NAS容器包括未加密的无线能力信息以及所述上行NAS MAC；或者，

所述第一RRC消息包括加密后的无线能力信息以及所述上行NAS MAC；或者，

所述第一RRC消息包括未加密的无线能力信息以及所述上行NAS MAC。
根据权利要求72所述的通信装置，其特征在于，

所述接收模块，还用于接收所述移动管理网元发送的所述无线能力信息。
根据权利要求72所述的通信装置，其特征在于，所述通信装置还包括处理模块；

所述处理模块，还用于在所述第一RRC消息包括未加密的无线能力信息以及所述上行NAS MAC的情况下，在接收到所述移动管理网元发送的校验成功消息之后，使用所述无线能力信息，所述校验成功消息用于指示所述上行NAS MAC通过完整性校验。
一种通信装置，其特征在于，包括处理器和通信接口，所述处理器用于执行计算机程序指令，使得所述通信装置实现权利要求13至43任一项所述的数据传输方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有指令，当所述指令在计算机上运行时，使得所述计算机执行权利要求13至43任一项所述的数据传输方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括指令，当所述计算机程序产品在计算机上运行时，使得所述计算机执行权利要求13至43任一项所述的数据传输方法。
一种芯片，其特征在于，所述芯片包括处理器，当所述处理器执行计算机程序指令时，使得所述芯片执行权利要求13至43任一项所述的数据传输方法。
一种通信系统，其特征在于，包括：移动管理网元和接入网设备；

所述移动管理网元，用于接收跟踪区更新TAU请求消息，所述TAU请求消息用于请求更新跟踪区；在未存储有效的无线能力信息的情况下，向所述接入网设备发送 TAU响应消息和接入层AS安全保护参数，所述无线能力信息用于指示终端支持的无线接入技术，所述TAU响应消息用于响应所述TAU请求消息，所述AS安全保护参数用于建立所述终端与所述接入网设备之间的AS安全上下文；

所述接入网设备，用于接收所述TAU响应消息和所述AS安全保护参数；根据所述AS安全保护参数，与所述终端建立AS安全上下文；向所述终端发送第一请求消息，所述第一请求消息用于请求所述终端向所述接入网设备发送所述无线能力信息；接收所述终端发送的第一响应消息，所述第一响应消息包括AS安全保护的无线能力信息。
根据权利要求79所述的通信系统，其特征在于，

所述接入网设备，还用于根据述AS安全上下文，对AS安全保护的无线能力信息进行解安全保护；在成功对AS安全保护的无线能力信息进行解安全保护之后，使用所述无线能力信息。
根据权利要求79或80所述的通信系统，其特征在于，

所述接入网设备，还用于向所述移动管理网元发送第四指示信息，所述第四指示信息用于指示所述接入网设备需要所述终端的无线能力信息；

所述移动管理网元，还用于接收所述第四指示信息。
一种数据传输方法，其特征在于，包括：

移动管理网元接收跟踪区更新TAU请求消息，所述TAU请求消息用于请求更新跟踪区；

所述移动管理网元在未存储终端的无线能力信息的情况下，向接入网设备发送TAU响应消息和接入层AS安全保护参数，所述无线能力信息用于指示所述终端支持的无线接入技术，所述TAU响应消息用于响应所述TAU请求消息，所述AS安全保护参数用于建立所述终端与所述接入网设备之间的AS安全上下文。
根据权利要求82所述的数据传输方法，其特征在于，所述方法还包括：

所述移动管理网元接收第四指示信息，所述第四指示信息用于指示所述接入网设备需要所述终端的无线能力信息。
一种数据传输方法，其特征在于，包括：

接入网设备将来自终端的跟踪区更新TAU请求消息发送给移动管理网元，所述TAU请求消息用于请求更新跟踪区；

所述接入网设备接收所述移动管理网元发送的TAU响应消息和接入层AS安全保护参数，所述TAU响应消息用于响应所述TAU请求消息，所述AS安全保护参数用于建立所述终端与所述接入网设备之间的AS安全上下文；

所述接入网设备根据所述AS安全保护参数，建立与终端的AS安全上下文；

所述接入网设备向所述终端发送第一请求消息，所述第一请求消息用于向终端请求无线能力信息，所述无线能力信息用于指示所述终端支持的无线接入技术；

所述接入网设备接收所述终端发送的第一响应消息，所述第一响应消息包括AS安全保护的无线能力信息。
根据权利要求84所述的数据传输方法，其特征在于，所述方法还包括：

所述接入网设备向所述移动管理网元发送第四指示信息，所述第四指示信息用于指示所述接入网设备需要所述终端的无线能力信息。
一种通信装置，其特征在于，包括：

接收模块，用于接收跟踪区更新TAU请求消息，所述TAU请求消息用于请求更新跟踪区；

发送模块，用于在未存储终端的无线能力信息的情况下，向接入网设备发送TAU响应消息和接入层AS安全保护参数，所述无线能力信息用于指示所述终端支持的无线接入技术，所述TAU响应消息用于响应所述TAU请求消息，所述AS安全保护参数用于建立所述终端与所述接入网设备之间的AS安全上下文。
根据权利要求86所述的通信装置，其特征在于，

所述接收模块，还用于接收第四指示信息，所述第四指示信息用于指示所述接入网设备需要所述终端的无线能力信息。
一种通信装置，其特征在于，包括：

发送模块，用于将来自终端的跟踪区更新TAU请求消息发送给移动管理网元，所述TAU请求消息用于请求更新跟踪区；

接收模块，用于接收所述移动管理网元发送的TAU响应消息和接入层AS安全保护参数，所述TAU响应消息用于响应所述TAU请求消息，所述AS安全保护参数用于建立所述终端与接入网设备之间的AS安全上下文；

建立模块，用于根据所述AS安全保护参数，建立与终端的AS安全上下文；

所述发送模块，还用于向所述终端发送第一请求消息，所述第一请求消息用于向所述终端请求无线能力信息，所述无线能力信息用于指示所述终端支持的无线接入技术；

所述接收模块，还用于接收所述终端发送的第一响应消息，所述第一响应消息包括AS安全保护的无线能力信息。
根据权利要求88所述的通信装置，其特征在于，

所述发送模块，还用于向所述移动管理网元发送第四指示信息，所述第四指示信息用于指示所述接入网设备需要所述终端的无线能力信息。
一种通信装置，其特征在于，包括处理器和通信接口，所述处理器用于执行计算机程序指令，使得所述通信装置实现权利要求82至85任一项所述的数据传输方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有指令，当所述指令在计算机上运行时，使得所述计算机执行权利要求82至85任一项所述的数据传输方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括指令，当所述计算机程序产品在计算机上运行时，使得所述计算机执行权利要求82至85任一项所述的数据传输方法。
一种芯片，其特征在于，所述芯片包括处理器，当所述处理器执行计算机程序指令时，使得所述芯片执行权利要求82至85任一项所述的数据传输方法。