WO2021195894A1 - 完整性保护方法和通信设备 - Google Patents

Abstract

本申请实施例提出完整性保护方法和通信设备，其中方法包括：发送端设备选择执行完整性保护和/或加密的第一数据；对选择的第一数据进行完整性保护和/或加密；发送包含经过完整性保护和/或加密的第一数据的数据。本申请实施例能够在提供完整性保护的同时，降低对网络设备的性能要求。

Description

完整性保护方法和通信设备 技术领域

本申请涉及通信领域，并且更具体地，涉及完整性保护方法和通信设备。

背景技术

新无线(NR，New Radio)中，用户面的加密和完整性保护是以数据无线承载(DRB，Data Radio Bearer)为粒度来激活的，也就是每个DRB单独配置是否激活加密功能和/或是否激活完整性保护(IP，Integrity Protection)功能。

但是，全数据级别(full data rate)的DRB完整性保护(DRB IP)对网络设备的实现和性能要求很高。

发明内容

本申请实施例提供完整性保护方法和网络设备，能够在提供完整性保护的同时，降低对网络设备的性能要求。

本申请实施例提出一种完整性保护方法，包括：

发送端设备选择执行完整性保护和/或加密的第一数据；

对选择的第一数据进行完整性保护和/或加密；

发送包含经过完整性保护和/或加密的第一数据的数据。

本申请实施例提出一种完整性保护方法，包括：

接收端设备接收数据，所述数据中包含经过完整性保护和/或加密的第一数据；

对所述第一数据进行解密和/或完整性保护验证。

本申请实施例提出一种完整性保护方法，包括：

网络设备接收PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量(QoS)流的信息；

将所述需要执行完整性保护和/或加密的QoS流映射到第一DRB数据；

对所述第一DRB数据进行完整性保护和/或加密。

本申请实施例提出一种完整性保护方法，包括：

网络设备发送PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量QoS流的信息。

本申请实施例提出一种通信设备，包括：

选择模块，用于选择执行完整性保护和/或加密的第一数据；

第一完整性保护模块，用于对选择的第一数据进行完整性保护和/或加密；

数据发送模块，用于发送包含经过完整性保护和/或加密的第一数据的数据。

本申请实施例提出一种通信设备，包括：

数据接收模块，用于接收数据，所述数据中包含经过完整性保护和/或加密的第一数据；

完整性保护验证模块，用于对所述第一数据进行解密和/或完整性保护验证。

本申请实施例提出一种网络设备，包括：

安全策略接收模块，用于接收PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的QoS流的信息；

映射模块，用于将所述需要执行完整性保护和/或加密的QoS流映射到第一DRB数据；

第二完整性保护模块，用于对所述第一DRB数据进行完整性保护和/或加密。

本申请实施例提出一种网络设备，包括：

安全策略发送模块，用于发送PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量QoS流的信息。

本申请实施例提出一种通信设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处 理器用于调用并运行所述存储器中存储的计算机程序，执行上述方法中任一项所述的方法。

本申请实施例提出一种网络设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行上述方法中任一项所述的方法。

本申请实施例提出一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行上述方法中任一项所述的方法。

本申请实施例提出一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行上述方法中任一项所述的方法。

本申请实施例提出一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行上述方法中任一项所述的方法。

本申请实施例提出一种计算机程序，所述计算机程序使得计算机执行上述方法中任一项所述的方法。

本申请实施例选择一部分需要执行完整性保护和/或加密的第一数据进行完整性保护和/或加密，能够在提供完整性保护的同时，降低对网络设备性能的要求。

附图说明

图1是本申请实施例的应用场景的示意图。

图2是根据本申请实施例的一种完整性保护方法200实现流程图。

图3为PDCP PDU的结构示意图。

图4为本申请实施例在PDU会话建立过程中发送第一信息的实现方式示意图。

图5是根据本申请实施例的一种完整性保护方法400实现流程图。

图6是根据本申请实施例的一种完整性保护方法500实现流程图。

图7是根据本申请实施例的一种完整性保护方法600实现流程图。

图8是根据本申请实施例的一种通信设备700的结构示意图。

图9是根据本申请实施例的一种通信设备800的结构示意图。

图10是根据本申请实施例的一种通信设备900的结构示意图。

图11是根据本申请实施例的一种通信设备1000的结构示意图。

图12是根据本申请实施例的一种网络设备1100的结构示意图。

图13是根据本申请实施例的一种网络设备1200的结构示意图。

图14是根据本申请实施例的一种网络设备1300的结构示意图。

图15是根据本申请实施例的通信设备1400示意性结构图；

图16是根据本申请实施例的芯片1500的示意性结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

需要说明的是，本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。同时描述的“第一”、“第二”描述的对象可以相同，也可以不同。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通讯(Global System of Mobile communication，GSM)系统、码分多址(Code Division Multiple Access，CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统、通用分组无线业务(General Packet Radio Service，GPRS)、长期演进(Long Term Evolution，LTE)系统、先进的长期演进(Advanced long term evolution，LTE-A)系统、新无线(New Radio，NR)系统、NR系统的演进系统、免授权频谱上的LTE(LTE-based access to unlicensed spectrum，LTE-U)系统、免授权频谱上的NR(NR-based access to unlicensed spectrum，NR-U)系统、通用移动通信系统(Universal Mobile Telecommunication System，UMTS)、无线局域网(Wireless Local Area Networks，WLAN)、无线保真(Wireless Fidelity，WiFi)、下一代通信(5th-Generation，5G)系统或其他通信系统等。

通常来说，传统的通信系统支持的连接数有限，也易于实现，然而，随着通信技术的发展，移动通信系统将不仅支持传统的通信，还将支持例如，设备到设备(Device to Device，D2D)通信，机器到机器(Machine to Machine，M2M)通信，机器类型通信(Machine Type Communication，MTC)，以及车辆间(Vehicle to Vehicle，V2V)通信等，本申请实施例也可以应用于这些通信系统。

可选地，本申请实施例中的通信系统可以应用于载波聚合(Carrier Aggregation，CA)场景，也可以应用于双连接(Dual Connectivity，DC)场景，还可以应用于独立(Standalone，SA)布网场景。

本申请实施例对应用的频谱并不限定。例如，本申请实施例可以应用于授权频谱，也可以应用于免授权频谱。

本申请实施例结合网络设备和终端设备描述了各个实施例，其中：终端设备也可以称为用户设备(User Equipment，UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。终端设备可以是WLAN中的站点(STAION，ST)，可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备以及下一代通信系统，例如，NR网络中的终端设备或者未来演进的公共陆地移动网络(Public Land Mobile Network，PLMN)网络中的终端设备等。

作为示例而非限定，在本申请实施例中，该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。

网络设备可以是用于与移动设备通信的设备，网络设备可以是WLAN中的接入点(Access Point，AP)，GSM或CDMA中的基站(Base Transceiver Station，BTS)，也可以是WCDMA中的基站(NodeB，NB)，还可以是LTE中的演进型基站(Evolutional Node B，eNB或eNodeB)，或者中继站或接入点，或者车载设备、可穿戴设备以及NR网络中的网络设备(gNB)或者未来演进的PLMN网络中的网络设备等。

在本申请实施例中，网络设备为小区提供服务，终端设备通过该小区使用的传输资源(例如，频域资源，或者说，频谱资源)与网络设备进行通信，该小区可以是网络设备(例如基站)对应的小区，小区可以属于宏基站，也可以属于小小区(Small cell)对应的基站，这里的小小区可以包括：城市小区(Metro cell)、微小区(Micro cell)、微微小区(Pico cell)、毫微微小区(Femto cell)等，这些小小区具有覆盖范围小、发射功率低的特点，适用于提供高速率的数据传输服务。

图1示例性地示出了本申请实施例应用的无线通信系统100，该通信系统包括一个终端设备110、一个主节点(MN，Master Node)120和一个辅节点(SN，Secondary Node)130。可选地，该无线通信系统100可以包括多个MN 120或多个SN 130，并且每个MN 120或SN 130的覆盖范围内可以包括其它数量的终端设备110，本申请实施例对此不做限定。

可选地，该无线通信系统100还可以包括移动性管理实体(Mobility Management Entity，MME)、接入与移动性管理功能(Access and Mobility Management Function，AMF)等其他网络实体，本申请实施例对此不作限定。

应理解，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本申请实施例提出一种完整性保护方法，该方法可以应用于通信设备，如终端设备或网络设备。图2是根据本申请实施例的一种完整性保护方法200实现流程图，包括以下步骤：

S210：发送端设备选择执行完整性保护和/或加密的第一数据；

S220：对选择的第一数据进行完整性保护和/或加密；

S230：发送包含经过完整性保护和/或加密的第一数据的数据。

在一些实施方式中，上述第一数据为分组数据汇聚协议分组数据汇聚协议(PDCP，Packet Data Convergence Protocol)服务数据单元(SDU，Service Data Unit)或者服务数据适配协议(SDAP，Service Data Adaptation Protocol)SDU。

在一些实施方式中，上述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU的一部分数据。

可选地，步骤S230中发送的包含第一数据的数据为DRB数据。

采用上述方式，本申请实施例可以实现选择一个DRB中一定数量的数据包执行DRB IP，其他的数据包不执行DRB IP；或者，选择一个数据包中的一部分数据执行DRB IP。

在一些实施方式中，还包括：在PDCP SDU或者SDAP SDU对应的PDCP PDU中添加第一数据是否执行完整性保护和/或加密的指示信息。

具体地，可以在PDCP SDU或者SDAP SDU对应的PDCP协议数据单元(PDU，Protocol Data Unit)的保留字段(如R字段)中添加第一数据是否执行完整性保护和/或加密的指示信息。

可选地，上述选择第一数据的方式可以包括以下至少一种：

随机选择；

根据数据传输速率和接收端设备的处理能力选择；

根据预配置规则选择；

根据第一信息进行选择。

其中，可以通过无线资源控制(RRC，Radio Resource Control)专用信令配置上述预配置规则，或者在协议中规定上述预配置规则。

对于通过RRC专用信令配置预配置规则的方式，在一些实施方式中，上述方法还包括：接收第一RRC信令，所述第一RRC信令携带所述预配置规则。

可选地，在RRC连接重配置过程中接收上述第一RRC信令。

在一些实施方式中，当上述第一数据为PDCP SDU或者SDAP SDU时，上述预配置规则包括：

在PDCP SN mod N＝K的情况下，PDCP SDU或者SDAP SDU执行完整性保护和/或加密；

在PDCP SN mod N≠K的情况下，PDCP SDU或者SDAP SDU不执行完整性保护和/或加密；其中，

PDCP SN为所述PDCP SDU或者SDAP SDU对应的PDCP PDU的序列号；

mod为求余函数；

N和K为预设参数。

在一些实施方式中，当第一数据包括PDCP SDU中的一部分数据或者或者SDAP SDU中的一部分数据时，上述预配置规则包括以下至少一项：

第一数据是否包括PDCP SDU或所述SDAP SDU的头部；

第一数据的数据量；

第一数据在PDCP SDU或所述SDAP SDU中的位置。

可选地，当上述发送端设备为终端设备时，终端设备接收主节点(MN，Master Node)和/或辅节点(SN，Secondary Node)发送的上述第一RRC信令。

当上述发送端设备为MN时，还包括：生成上述预配置规则，将预配置规则发送至SN和/或终端设备。

当上述发送端设备为SN时，还包括：接收或生成上述预配置规则，将预配置规则发送至终端设备。

在一些实施方式中，上述预配置规则针对不同的PDU会话(PDU Session)进行设置；和/或，

针对不同的DRB进行设置；和/或，

针对不同的终端设备进行设置。

在一些实施方式中，上述方法还包括：接收第二RRC信令，所述第二RRC信令携带所述预配置规则的设置方式。

在一些实施方式中，上述第一信息包括以下至少一项：

PDU会话或每个QoS流对应的所述第一数据的总速率；

所述第一数据的选择比率；

所述第一数据的选择规律。

可选地，当上述发送端设备为基站时，还包括：

接收所述第一信息；或者，

接收安全策略，所述安全策略中包含所述第一信息。

在一些实施方式中，在PDU会话建立和/或PDU会话修改过程中接收所述第一信息或所述安全策略。

可选地，当上述发送端设备为终端设备时，还包括：接收非接入层(NAS，Non-Access-Stratum)消息，所述NAS信息中包含所述第一信息。

在一些实施方式中，在PDU会话建立和/或PDU会话修改过程中接收所述NAS消息。

在一些实施方式中，上述预配置规则针对上行传输和下行传输相同或不同。例如，针对上行传输和下行传输，可以采用相同的预配置规则选择第一数据、或者采用不同的预配置规则选择第一数据。

在一些实施方式中，上述第一信息针对上行传输和下行传输相同或不同。例如，针对上行传输和下行传输，可以采用相同的第一信息选择第一数据、或者采用不同的第一信息选择第一数据。

以下结合附图，举具体的实施方式介绍本申请。

实施例一：

本实施例对一个DRB中一定数量的数据包(例如PDCP SDU或者SDAP SDU)执行DRB IP，其他的数据包不执行DRB IP。

例如，对于DRB中部分PDCP SDU或者SDAP SDU执行DRB IP的情况，至少可以采用以下两个方式，来选择执行DRB IP的PDCP SDU或者SDAP SDU。

方式1：

发送端设备选择需要进行的DRB IP的PDCP SDU或者SDAP SDU。

在一些实施方式中，发送端设备仅在需要完整性保护(简称完保)的PDCP SDU或者SDAP SDU中添加MAC-I，用于完保验证，和/或在每个选择执行完整性保护和/或加密的PDCP SDU或者SDAP SDU对应的PDCP PDU的包头中添加一个指示位，用于指示该PDCP SDU或者SDAP SDU是否执行的DRB IP和/或加密。例如，该指示位取值为1时，表示执行DRB IP；该指示位取值为0时，表示不执行DRB IP。例如，该指示位可以使用现有的预留比特(bit)，即R bit。并且，本申请实施例也可以使用其中一个R bit用于指示当前数据包是否执行了加密。

图3为PDCP PDU的结构示意图，如图3所示，PDCP PDU中包括3个R bit，可以用于携带对应的PDCP SDU或者SDAP SDU是否执行完整性保护和/或加密的指示信息。如果执行完整性保护，则末尾的32bit为用于完保验证MAC-I；如果未执行完整性保护，则末尾的32bit为数据。

发送端设备可以随机选择需要进行完保的数据包。也可以按一定规律选择，比如对于第1、3、5、7、9…(奇数)的数据包执行完保。

此外，发送端设备选择进行完保的数据包的数量可以参考接收端设备的完保处理能力(如完保的处理速率)和/或当前的数据传输量(如传输速率)。比如，接收端的完保处理能力是100MB/s，而当前数据发送速率为500MB/s，则发送端设备可以选择发送的数据包中的1/5来进行完保操作(如每5个数据包中选择1个进行完保)；或者，选择比1/5比例更小的数据包来进行完保操作。

方式2：

网络侧通过RRC信令配置某个DRB执行DRB IP和/或加密的规则，发送端设备根据该规则选择需要执行完整性保护和/或加密的数据；接收端设备根据该规则对执行了完整性保护和/或加密的数据进行解密和/或完整性保护。

上述规则可以根据实际情况进行设置，例如，上述规则为：

在PDCP SN mod N＝K的情况下，PDCP SDU或者SDAP SDU执行完整性保护和/或加密；

在PDCP SN mod N≠K的情况下，PDCP SDU或者SDAP SDU不执行完整性保护和/或加密；其中，

上述PDCP SN为PDCP SDU或者SDAP SDU对应的PDCP PDU的序列号；

mod为求余函数；

N和K为预设参数。

如图3所示，PDCP SN为PDCP PDU中的字段，表示PDCP PDU的序列号。

为了降低实现的复杂度，上述规则在RRC连接存在期间不改变，或者上述规则的改变只能通过同步的RRC连接重配置来变更。

在多RAT双连接(MR-DC，Multi-RAT Dual Connectivity场景下，如果一个PDU会话(PDU session)在MN和SN之间进行了分割，则MN可以负责生成上述规则，并将规则通过Xn接口配置给SN，SN将MN配置的规则通过SN RRC配置给UE。

或者，MN还可以通过RRC信令将上述规则配置给UE。

或者，SN可以生成所需的规则，并且MN和SN分别将相关的规则通过RRC配置给UE。

上述规则可以是以DRB为粒度配置的，例如每个规则关联一个DRB标识(DRB ID)。或者，上述规则也可以是以PDU session为粒度配置的，例如每个规则关联一个DRB标识列表(DRB ID list)。或者，上述规则也可以是以UE为粒度配置的。可选地，网络侧可以在RRC专用信令中配置该规则的粒度，即以DRB为粒度、或者以PDU session为粒度、或者以UE为粒度。

在一些实施方式中，发送端设备仅在需要完整性保护(简称完保)的PDCP SDU或者SDAP SDU中添加MAC-I，用于完保验证。进一步地，可以采用与上述方式1相同的方案，在每个执行完整性保护和/或加密的PDCP SDU或者SDAP SDU对应的PDCP PDU的包头中添加一个指示位，用于指示该PDCP SDU或者SDAP SDU是否执行的DRB IP。或者，由于接收端设备也被配置有上述规则，本申请实施例可以不设置是否执行的DRB IP的指示位；接收端设备接收到数据之后，根据上述规则确定执行完整性保护和/或加密的PDCP SDU或者SDAP SDU。

实施例二：

在PDCP层，先执行完整性保护，再执行加密。为了提高DRB IP的效率，可以选择数据包中的一部分，比如PDCP SDU或SDAP SDU中的负载(Payload)数据部分中一部分、或者PDCP SDU或SDAP SDU中的头部(Header)部分执行完整性保护。

例如，选择包含头部的n bit(或n个字节)执行完整性保护和/或加密，或者，选择不包含头部的n bit(或n个字节)执行完整性保护和/或加密。

是否包含头部，可以在数据包包头中指定或者通过RRC专用信令进行配置。其中n的大小可以固定在协议中、或者由网络侧通过RRC信令进行配置。其中，选择进行完整性保护和/或加密的n bit(或n字节)，可以是数据包的头部中的n bit(或n字节)、或者是数据包的末尾n bit(或n字节)、或者是数据包中的第k个n bit(或n字节)(k为自然数)等。而n bit(或n字节)的选择规则也可以在数据包包头中指定或者通过RRC专用信令配置。此外，数据包包头或RRC专用信令配置也可以指示进行完整性保护和/或加密的数据部分的位置，比如从第n字节到第m字节的位置是进行了完整性保护和/或加密的。

完整性保护的具体方式可以采用与实施例一相同的方式，在此不再赘述。

对于MR-DC场景，MN可以决定是否采用部分数据执行DRB IP和/或加密的方式，上述选择规则也可以由MN配置给SN；SN根据MN配置的上述规则执行DRB IP和/或加密，同时在将上述规则通过SN RRC配置给UE。

或者，MN还可以通过RRC信令将上述规则配置给UE。

或者，SN可以生成所需的规则，并且MN和SN分别将相关的规则通过RRC配置给UE。

上述规则可以是以DRB为粒度配置的，例如每个规则关联一个DRB标识(DRB ID)。或者，上述规则也可以是以PDU session为粒度配置的，例如每个规则关联一个DRB标识列表(DRB ID list)。或者，上述规则也可以是以UE为粒度配置的。可选地，网络侧可以在RRC专用信令中配置该规则的粒度，即以DRB为粒度、或者以PDU session为粒度、或者以UE为粒度。

基于上述实施例，进一步的，基站和/或终端可以根据核心网网元发来的第一信息进行完整性保护 和/或加密配置，所述第一信息包括以下至少一项：

1)整个PDU会话或每个QoS流对应的进行完整性保护和/或加密的总速率；

2)完整性保护和/或加密的比率(比如需要20％的数据包进行完保)；

3)完整性保护和/或加密的数据包的规律(比如每奇数个PDCP SN的数据包执行完保，或者每5个数据包中需要有一个数据包执行完保)；

第一信息可以作为安全策略的一部分一并发送给基站，也可以作为单独的参数发送给基站。第一信息还可以通过NAS消息发送给终端，终端进而根据其进行数据的完整性保护和/或加密。

第一信息如果只发送给基站，则基站根据第一信息决定具体哪些数据包需要执行完整性保护和/或加密，并可以通过空口信令(如RRC信令)或用户面数据包头指示(如PDCP包头)告知终端。

如果基站未指示终端哪些数据包需要进行完整性保护和/或加密，或终端收到了包含第一信息的NAS消息，则终端根据第一信息确定哪些数据包进行完整性保护和/或加密。

在一些实施方式中，第一信息可以通过PDU会话建立或者PDU会话修改过程发送给基站和/或终端。图4为本申请实施例在PDU会话建立过程中发送第一信息的实现方式示意图。如图4所示，在PDU会话建立过程中，SMF根据可以签约信息、策略控制和计费(PCC，Policy Control and Charging)策略或本地配置决定第一信息，并将该第一信息发送至基站和/或终端。

本申请实施例提出一种完整性保护方法，图5是根据本申请实施例的一种完整性保护方法400实现流程图，包括以下步骤：

S410：接收端设备接收数据，所述数据中包含经过完整性保护和/或加密的第一数据；

S420：对第一数据进行解密和/或完整性保护验证。

上述接收端设备可以为通信设备，如网络设备或终端设备。

在一些实施方式中，上述第一数据为PDCP SDU或者SDAP SDU。

在一些实施方式中，上述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU的一部分数据。

可选地，上述方法还包括：根据所述PDCP SDU或者SDAP SDU对应的PDCP PDU中的指示信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。

可选地，根据所述PDCP SDU或者SDAP SDU对应的PDCP PDU的预留字段中的指示信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。

在一些实施方式中，上述方法还包括：

根据预配置规则或第一信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。

可选地，上述方法还包括：接收第三RRC信令，所述第三RRC信令携带所述预配置规则。

在一些实施方式中，在RRC连接重配置过程中接收所述第三RRC信令。

在一些实施方式中，当上述第一数据为PDCP SDU或者SDAP SDU时，上述预配置规则包括：

在PDCP SN mod N＝K的情况下，PDCP SDU或者SDAP SDU执行完整性保护和/或加密；

在PDCP SN mod N≠K的情况下，PDCP SDU或者SDAP SDU不执行完整性保护和/或加密；其中，

PDCP SN为所述PDCP SDU或者SDAP SDU对应的PDCP PDU的序列号；

mod为求余函数；

N和K为预设参数。

在一些实施方式中，当所述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU中的一部分数据时，所述预配置规则包括以下至少一项：

第一数据是否包括所述PDCP SDU或所述SDAP SDU的头部；

第一数据的数据量；

第一数据在所述PDCP SDU或所述SDAP SDU中的位置。

在一些实施方式中，上述接收端设备为终端设备时，终端设备接收MN和/或SN发送的上述第三RRC信令。

可选地，接收端设备为MN时，上述方法还包括：生成所述预配置规则，将所述预配置规则发送 至SN和/或终端设备。

可选地，接收端设备为SN时，上述方法还还包括：接收或生成所述预配置规则，将所述预配置规则发送至终端设备。

在一些实施方式中，上述预配置规则针对不同的PDU会话进行设置；和/或，

针对不同的DRB数据进行设置；和/或，

针对不同的终端设备进行设置。

在一些实施方式中，上述方法还包括：接收第四RRC信令，所述第四RRC信令携带所述预配置规则的设置方式。

在一些实施方式中，第一信息包括以下至少一项：

PDU会话或每个QoS流对应的所述第一数据的总速率；

所述第一数据的选择比率；

所述第一数据的选择规律。

可选地，当所述接收端设备为基站时，还包括：

接收所述第一信息；或者，

接收安全策略，所述安全策略中包含所述第一信息。

在一些实施方式中，在PDU会话建立和/或PDU会话修改过程中接收所述第一信息或所述安全策略。

可选地，当所述接收端设备为终端设备时，还包括：接收NAS消息，所述NAS信息中包含所述第一信息。

在一些实施方式中，在PDU会话建立和/或PDU会话修改过程中接收所述NAS消息。

在一些实施方式中，预配置规则针对上行传输和下行传输相同或不同。

在一些实施方式中，第一信息针对上行传输和下行传输相同或不同。

本申请实施例还提出一种完整性保护方法，该方法可以应用于网络设备，例如MN或SN。图6是根据本申请实施例的一种完整性保护方法500实现流程图，包括以下步骤：

S510：网络设备接收PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量(QoS，Quality of Service)流(flow)的信息；

S520：将需要执行完整性保护和/或加密的QoS流映射到第一DRB数据；

S530：对第一DRB数据进行完整性保护和/或加密。

在一些实施方式中，上述步骤S520中，将需要执行完整性保护和/或加密并且QoS之间的差值不大于预设阈值的QoS流映射到同一个第一DRB数据。

可选地，上述需要执行完整性保护和/或加密的服务质量QoS流的信息包括：

需要执行完整性保护和/或加密的QoS流的标识列表；或者，

不需要执行完整性保护和/或加密的QoS流的标识列表。

在一些实施方式中，上述网络设备为MN时，上述方法还包括：将PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的数据流的信息发送至SN。

以下举具体的实施例，对图6所示的完整性保护方法500进行详细介绍。

实施例三：

在现有技术中，来自会话管理功能(SMF，Session Management Function)的安全策略是以PDU session为粒度的。为了更好地控制DRB IP执行的有效性，本申请实施例由SMF给出该PDU session中需要执行DRB IP和/或加密的QoS流的标识列表(Qos flow id list)；或者，由SMF给出该PDU session中不需要执行DRB IP和/或加密的Qos flow id list。具体包括：

第一步：SMF向基站发送以PDU session为粒度的安全策略时，SMF同时提供Qos flow id list。指示该列表中的Qos flow需要执行DRB IP和/或加密，或者，指示该列表中的Qos flow不需要执行DRB IP，。

第二步：基站收到该安全策略后，将该PDU session下必须要执行DRB IP和/或加密的Qos flow 中Qos参数相同或者相近的Qos flow映射到同一个DRB。或者，在执行DRB和QoS flow的绑定时，考虑QoS flow是否需要执行DRB IP和/或加密，不将需要执行和不需要执行DRB IP和/或加密的QoS flow绑定到同一个DRB上(即便两个QoS flow对应的QoS参数相同或相近)。

另外，在MR-DC场景下，当上述网络设备为MN时，MN可以进一步将该PDU session的安全策略转发给SN，同时包含上述需要执行DRB IP和/或加密的的Qos flow id list、或者不需要执行DRB IP和/或加密的的Qos flow id list。SN可以根据接收到的信息执行QoS流到DRB的映射。

本申请实施例还提出一种完整性保护方法，该方法可以应用于网络设备，如SMF。图7是根据本申请实施例的一种完整性保护方法600实现流程图，包括以下步骤：

S610：网络设备发送PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的QoS流的信息；

可选地，上述需要执行完整性保护和/或加密的QoS流的信息包括：

需要执行完整性保护和/或加密的QoS流的标识列表；或者，

不需要执行完整性保护和/或加密的QoS流的标识列表。

可见，本申请实施例提出的完整性保护方法能够提高DRB IP执行效率，同时提高DRB IP的应用范围，使得DRB IP有效使用。

本申请实施例提出一种通信设备，该通信设备可以为网络设备或终端设备。图8是根据本申请实施例的一种通信设备700的结构示意图，包括：

选择模块710，用于选择执行完整性保护和/或加密的第一数据；

第一完整性保护模块720，用于对选择的第一数据进行完整性保护和/或加密；

数据发送模块730，用于发送包含经过完整性保护和/或加密的第一数据的数据。

在一些实施方式中，上述第一数据为PDCP SDU或者SDAP SDU。

在一些实施方式中，上述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU的一部分数据。

在一些实施方式中，如图9所示，上述通信设备还包括：指示模块840，用于在所述PDCP SDU或者SDAP SDU对应的PDCP PDU中添加所述第一数据是否执行所述完整性保护和/或加密的指示信息。

可选地，指示模块840在所述PDCP SDU或者SDAP SDU对应的PDCP PDU的保留字段中添加所述第一数据是否执行所述完整性保护和/或加密的指示信息。

在一些实施方式中，上述选择模块710采用以下至少一种方式选择第一数据：

随机选择；

根据数据传输速率和接收端设备的处理能力选择；

根据预配置规则选择；

根据第一信息进行选择。

在一些实施方式中，还包括：第一规则接收模块850，用于接收第一无线资源控制RRC信令，所述第一RRC信令携带所述预配置规则。

可选地，上述第一规则接收模块850在RRC连接重配置过程中接收所述第一RRC信令。

在一些实施方式中，当所述第一数据为PDCP SDU或者SDAP SDU时，上述预配置规则包括：

在PDCP SN mod N＝K的情况下，PDCP SDU或者SDAP SDU执行完整性保护和/或加密；

在PDCP SN mod N≠K的情况下，PDCP SDU或者SDAP SDU不执行完整性保护和/或加密；其中，

所述PDCP SN为所述PDCP SDU或者SDAP SDU对应的PDCP PDU的序列号；

所述mod为求余函数；

所述N和K为预设参数。

在一些实施方式中，当所述第一数据包括PDCP SDU中的一部分数据或者或者SDAP SDU中的一部分数据时，上述预配置规则包括以下至少一项：

所述第一数据是否包括所述PDCP SDU或所述SDAP SDU的头部；

所述第一数据的数据量；

所述第一数据在所述PDCP SDU或所述SDAP SDU中的位置。

在一些实施方式中，上述通信设备为终端设备时，所述第一规则接收模块850接收MN和/或SN发送的所述第一RRC信令。

在一些实施方式中，发送端设备为MN时，还包括：第一规则发送模块860，用于生成所述预配置规则，将所述预配置规则发送至SN和/或终端设备。

可选地，发送端设备为SN时，还包括：第二规则发送模块870，用于接收或生成所述预配置规则，将所述预配置规则发送至终端设备。

在一些实施方式中，上述预配置规则针对不同的PDU会话进行设置；和/或，

针对不同的数据无线承载DRB进行设置；和/或，

针对不同的终端设备进行设置。

在一些实施方式中，还包括：第二规则接收模块880，用于接收第二RRC信令，所述第二RRC信令携带所述预配置规则的设置方式。

在一些实施方式中，第一信息包括以下至少一项：

PDU会话或每个QoS流对应的所述第一数据的总速率；

所述第一数据的选择比率；

所述第一数据的选择规律。

应理解，根据本申请实施例的通信设备中的模块的上述及其他操作和/或功能为了实现图2的方法200中的通信设备的相应流程，为了简洁，在此不再赘述。

本申请实施例还提出一种通信设备，该通信设备可以为网络设备或终端设备。图10是根据本申请实施例的一种通信设备900的结构示意图，包括：

数据接收模块910，用于接收数据，所述数据中包含经过完整性保护和/或加密的第一数据；

完整性保护验证模块920，用于对所述第一数据进行解密和/或完整性保护验证。

在一些实施方式中，上述第一数据为PDCP SDU或者SDAP SDU。

在一些实施方式中，上述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU的一部分数据。

在一些实施方式中，如图11所示，还包括：第一确定模块1030，用于根据所述PDCP SDU或者SDAP SDU对应的PDCP PDU中的指示信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。

可选地，第一确定模块1030根据所述所述PDCP SDU或者SDAP SDU对应的PDCP PDU的预留字段中的指示信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。

在一些实施方式中，还包括：

第二确定模块1040，用于根据预配置规则或第一信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。

在一些实施方式中，还包括：第三规则接收模块1050，用于接收第三RRC信令，所述第三RRC信令携带所述预配置规则。

可选地，上述第三规则接收模块1050在RRC连接重配置过程中接收所述第三RRC信令。

在一些实施方式中，当所述第一数据为PDCP SDU或者SDAP SDU时，上述预配置规则包括：

在PDCP SN mod N＝K的情况下，PDCP SDU或者SDAP SDU执行完整性保护和/或加密；

在PDCP SN mod N≠K的情况下，PDCP SDU或者SDAP SDU不执行完整性保护和/或加密；其中，

所述PDCP SN为所述PDCP SDU或者SDAP SDU对应的PDCP PDU的序列号；

所述mod为求余函数；

所述N和K为预设参数。

在一些实施方式中，当所述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU中的一部分数据时，上述预配置规则包括以下至少一项：

所述第一数据是否包括所述PDCP SDU或所述SDAP SDU的头部；

所述第一数据的数据量；

所述第一数据在所述PDCP SDU或所述SDAP SDU中的位置。

可选地，所述通信设备为终端设备时，第三规则接收模块1050接收主节点MN和/或辅节点SN发送的所述第三RRC信令。

在一些实施方式中，上述通信设备为MN时，还包括：第三规则发送模块1060，用于生成所述预配置规则，将所述预配置规则发送至SN和/或终端设备。

在一些实施方式中，上述通信设备为SN时，还包括：第四规则发送模块1070，用于接收或生成所述预配置规则，将所述预配置规则发送至终端设备。

在一些实施方式中，上述所述预配置规则针对不同的PDU会话进行设置；和/或，

针对不同的DRB数据进行设置；和/或，

针对不同的终端设备进行设置。

在一些实施方式中，还包括：第四规则接收模块1080，用于接收第四RRC信令，所述第四RRC信令携带所述预配置规则的设置方式。

在一些实施方式中，第一信息包括以下至少一项：

PDU会话或每个QoS流对应的所述第一数据的总速率；

所述第一数据的选择比率；

所述第一数据的选择规律。

应理解，根据本申请实施例的通信设备中的模块的上述及其他操作和/或功能分别为了实现图5的方法400中的通信设备的相应流程，为了简洁，在此不再赘述。

本申请实施例提出一种网络设备，该网络设备可以为MN或SN。图12是根据本申请实施例的一种网络设备1100的结构示意图，包括：

安全策略接收模块1110，用于接收PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量QoS流的信息；

映射模块1120，用于将所述需要执行完整性保护和/或加密的QoS流映射到第一DRB数据；

第二完整性保护模块1130，用于对所述第一DRB数据进行完整性保护和/或加密。

在一些实施方式中，上述映射模块1120将需要执行完整性保护和/或加密并且QoS之间的差值不大于预设阈值的QoS流映射到同一个所述第一DRB数据。

在一些实施方式中，上述需要执行完整性保护和/或加密的服务质量QoS流的信息包括：

需要执行完整性保护和/或加密的QoS流的标识列表；或者，

不需要执行完整性保护和/或加密的QoS流的标识列表。

在一些实施方式中，如图13所示，上述网络设备为MN时，还包括：安全策略发送模块1240，用于将所述PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的数据流的信息发送至SN。

应理解，根据本申请实施例的网络设备中的模块的上述及其他操作和/或功能分别为了实现图6的方法500中的网络设备的相应流程，为了简洁，在此不再赘述。

本申请实施例还提出一种网络设备，该通信设备可以SMF。图14是根据本申请实施例的一种网络设备1300的结构示意图，包括：

安全策略发送模块1310，用于发送PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量QoS流的信息；

在一些实施方式中，上述需要执行完整性保护和/或加密的QoS流的信息包括：

需要执行完整性保护和/或加密的QoS流的标识列表；或者，

不需要执行完整性保护和/或加密的QoS流的标识列表。

应理解，根据本申请实施例的网络设备中的模块的上述及其他操作和/或功能分别为了实现图7的方法600中的网络设备的相应流程，为了简洁，在此不再赘述。

图15是根据本申请实施例的通信设备1400示意性结构图。图15所示的通信设备1400包括处理器1410，处理器1410可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图15所示，通信设备1400还可以包括存储器1420。其中，处理器1410可以从存储器1420中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器1420可以是独立于处理器1410的一个单独的器件，也可以集成在处理器1410中。

可选地，如图15所示，通信设备1400还可以包括收发器1430，处理器1410可以控制该收发器1430与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。

其中，收发器1430可以包括发射机和接收机。收发器1430还可以进一步包括天线，天线的数量可以为一个或多个。

可选地，该通信设备1400可为本申请实施例的通信设备，并且该通信设备1400可以实现本申请实施例的各个方法中由终端设备实现的相应流程，为了简洁，在此不再赘述。

图16是根据本申请实施例的芯片1500的示意性结构图。图16所示的芯片1500包括处理器1510，处理器1510可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图16所示，芯片1500还可以包括存储器1520。其中，处理器1510可以从存储器1520中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器1520可以是独立于处理器1510的一个单独的器件，也可以集成在处理器1510中。

可选地，该芯片1500还可以包括输入接口1530。其中，处理器1510可以控制该输入接口1530与其他设备或芯片进行通信，具体地，可以获取其他设备或芯片发送的信息或数据。

可选地，该芯片1500还可以包括输出接口1540。其中，处理器1510可以控制该输出接口1540与其他设备或芯片进行通信，具体地，可以向其他设备或芯片输出信息或数据。

可选地，该芯片可应用于本申请实施例中的通信设备，并且该芯片可以实现本申请实施例的各个方法中由通信设备实现的相应流程，为了简洁，在此不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片，系统芯片，芯片系统或片上系统芯片等。

上述提及的处理器可以是通用处理器、数字信号处理器(digital signal processor，DSP)、现成可编程门阵列(field programmable gate array，FPGA)、专用集成电路(application specific integrated circuit，ASIC)或者其他可编程逻辑器件、晶体管逻辑器件、分立硬件组件等。其中，上述提到的通用处理器可以是微处理器或者也可以是任何常规的处理器等。

上述提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。

应理解，上述存储器为示例性但不是限制性说明，例如，本申请实施例中的存储器还可以是静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)等等。也就是说，本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含 一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以该权利要求的保护范围为准。

Claims (98)

1. 一种完整性保护方法，包括：

   发送端设备选择执行完整性保护和/或加密的第一数据；

   对选择的第一数据进行完整性保护和/或加密；

   发送包含经过完整性保护和/或加密的第一数据的数据。
2. 根据权利要求1所述的方法，其中，所述第一数据为分组数据汇聚协议PDCP服务数据单元SDU或者服务数据适配协议SDAP SDU。
3. 根据权利要求1所述的方法，其中，所述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU的一部分数据。
4. 根据权利要求1至3任一所述的方法，还包括：在所述PDCP SDU或者SDAP SDU对应的PDCP协议数据单元PDU中添加所述第一数据是否执行所述完整性保护和/或加密的指示信息。
5. 根据权利要求4所述的方法，其中，在所述PDCP SDU或者SDAP SDU对应的PDCP PDU的保留字段中添加所述第一数据是否执行所述完整性保护和/或加密的指示信息。
6. 根据权利要求1至5任一所述的方法，其中，所述选择的方式包括以下至少一种：

   随机选择；

   根据数据传输速率和接收端设备的处理能力选择；

   根据预配置规则选择；

   根据第一信息进行选择。
7. 根据权利要求6所述的方法，还包括：接收第一无线资源控制RRC信令，所述第一RRC信令携带所述预配置规则。
8. 根据权利要求7所述的方法，其中，在RRC连接重配置过程中接收所述第一RRC信令。
9. 根据权利要求6至8任一所述的方法，其中，当所述第一数据为PDCP SDU或者SDAP SDU时，所述预配置规则包括：

   在PDCP SN mod N＝K的情况下，PDCP SDU或者SDAP SDU执行完整性保护和/或加密；

   在PDCP SN mod N≠K的情况下，PDCP SDU或者SDAP SDU不执行完整性保护和/或加密；其中，

   所述PDCP SN为所述PDCP SDU或者SDAP SDU对应的PDCP PDU的序列号；

   所述mod为求余函数；

   所述N和K为预设参数。
10. 根据权利要求6至8任一所述的方法，其中，当所述第一数据包括PDCP SDU中的一部分数据或者或者SDAP SDU中的一部分数据时，所述预配置规则包括以下至少一项：

    所述第一数据是否包括所述PDCP SDU或所述SDAP SDU的头部；

    所述第一数据的数据量；

    所述第一数据在所述PDCP SDU或所述SDAP SDU中的位置。
11. 根据权利要求7至10任一所述的方法，所述发送端设备为终端设备时，所述终端设备接收主节点MN和/或辅节点SN发送的所述第一RRC信令。
12. 根据权利要求6所述的方法，所述发送端设备为MN时，还包括：生成所述预配置规则，将所述预配置规则发送至SN和/或终端设备。
13. 根据权利要求6所述的方法，所述发送端设备为SN时，还包括：接收或生成所述预配置规则，将所述预配置规则发送至终端设备。
14. 根据权利要求6至13任一所述的方法，其中，

    所述预配置规则针对不同的PDU会话进行设置；和/或，

    所述预配置规则针对不同的数据无线承载DRB进行设置；和/或，

    所述预配置规则针对不同的终端设备进行设置。
15. 根据权利要求14所述的方法，还包括：接收第二RRC信令，所述第二RRC信令携带所述预配 置规则的设置方式。
16. 根据权利要求6所述的方法，所述第一信息包括以下至少一项：

    PDU会话或每个QoS流对应的所述第一数据的总速率；

    所述第一数据的选择比率；

    所述第一数据的选择规律。
17. 根据权利要求6或16所述的方法，当所述发送端设备为基站时，还包括：

    接收所述第一信息；或者，

    接收安全策略，所述安全策略中包含所述第一信息。
18. 根据权利要求17所述的方法，其中，在PDU会话建立和/或PDU会话修改过程中接收所述第一信息或所述安全策略。
19. 根据权利要求6或16所述的方法，当所述发送端设备为终端设备时，还包括：接收非接入层NAS消息，所述NAS信息中包含所述第一信息。
20. 根据权利要求19所述的方法，其中，在PDU会话建立和/或PDU会话修改过程中接收所述NAS消息。
21. 根据权利要求6至20任一所述的方法，其中，所述预配置规则针对上行传输和下行传输相同或不同。
22. 根据权利要求6至20任一所述的方法，其中，所述第一信息针对上行传输和下行传输相同或不同。
23. 一种完整性保护方法，包括：

    接收端设备接收数据，所述数据中包含经过完整性保护和/或加密的第一数据；

    对所述第一数据进行解密和/或完整性保护验证。
24. 根据权利要求23所述的方法，其中，所述第一数据为PDCP SDU或者SDAP SDU。
25. 根据权利要求23所述的方法，其中，所述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU的一部分数据。
26. 根据权利要求23至25任一所述的方法，还包括：根据所述PDCP SDU或者SDAP SDU对应的PDCP PDU中的指示信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。
27. 根据权利要求26所述的方法，其中，根据所述PDCP SDU或者SDAP SDU对应的PDCP PDU的预留字段中的指示信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。
28. 根据权利要求23至25任一所述的方法，还包括：

    根据预配置规则或第一信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。
29. 根据权利要求28所述的方法，还包括：接收第三RRC信令，所述第三RRC信令携带所述预配置规则。
30. 根据权利要29所述的方法，其中，在RRC连接重配置过程中接收所述第三RRC信令。
31. 根据权利要求28至30任一所述的方法，其中，当所述第一数据为PDCP SDU或者SDAP SDU时，所述预配置规则包括：

    在PDCP SN mod N＝K的情况下，PDCP SDU或者SDAP SDU执行完整性保护和/或加密；

    在PDCP SN mod N≠K的情况下，PDCP SDU或者SDAP SDU不执行完整性保护和/或加密；其中，

    所述PDCP SN为所述PDCP SDU或者SDAP SDU对应的PDCP PDU的序列号；

    所述mod为求余函数；

    所述N和K为预设参数。
32. 根据权利要求28至30任一所述的方法，其中，当所述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU中的一部分数据时，所述预配置规则包括以下至少一项：

    所述第一数据是否包括所述PDCP SDU或所述SDAP SDU的头部；

    所述第一数据的数据量；

    所述第一数据在所述PDCP SDU或所述SDAP SDU中的位置。
33. 根据权利要求29至32任一所述的方法，所述接收端设备为终端设备时，所述终端设备接收主节点MN和/或辅节点SN发送的所述第三RRC信令。
34. 根据权利要求28所述的方法，所述接收端设备为MN时，还包括：生成所述预配置规则，将所述预配置规则发送至SN和/或终端设备。
35. 根据权利要求28所述的方法，所述接收端设备为SN时，还包括：接收或生成所述预配置规则，将所述预配置规则发送至终端设备。
36. 根据权利要求28至35所述的方法，其中，

    所述预配置规则针对不同的PDU会话进行设置；和/或，

    所述预配置规则针对不同的DRB数据进行设置；和/或，

    所述预配置规则针对不同的终端设备进行设置。
37. 根据权利要求36所述的方法，还包括：接收第四RRC信令，所述第四RRC信令携带所述预配置规则的设置方式。
38. 根据权利要求28所述的方法，所述第一信息包括以下至少一项：

    PDU会话或每个QoS流对应的所述第一数据的总速率；

    所述第一数据的选择比率；

    所述第一数据的选择规律。
39. 根据权利要求28或38所述的方法，当所述接收端设备为基站时，还包括：

    接收所述第一信息；或者，

    接收安全策略，所述安全策略中包含所述第一信息。
40. 根据权利要求39所述的方法，其中，在PDU会话建立和/或PDU会话修改过程中接收所述第一信息或所述安全策略。
41. 根据权利要求28或38所述的方法，当所述接收端设备为终端设备时，还包括：接收非接入层NAS消息，所述NAS信息中包含所述第一信息。
42. 根据权利要求41所述的方法，其中，在PDU会话建立和/或PDU会话修改过程中接收所述NAS消息。
43. 根据权利要求28至42任一所述的方法，其中，所述预配置规则针对上行传输和下行传输相同或不同。
44. 根据权利要求28至42任一所述的方法，其中，所述第一信息针对上行传输和下行传输相同或不同。
45. 一种完整性保护方法，包括：

    网络设备接收PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量QoS流的信息；

    将所述需要执行完整性保护和/或加密的QoS流映射到第一DRB数据；

    对所述第一DRB数据进行完整性保护和/或加密。
46. 根据权利要求45所述的方法，其中，将需要执行完整性保护和/或加密并且QoS之间的差值不大于预设阈值的QoS流映射到同一个所述第一DRB数据。
47. 根据权利要求45或46所述的方法，其中，所述需要执行完整性保护和/或加密的服务质量QoS流的信息包括：

    需要执行完整性保护和/或加密的QoS流的标识列表；或者，

    不需要执行完整性保护和/或加密的QoS流的标识列表。
48. 根据权利要求45至47任一所述的方法，所述网络设备为MN时，还包括：将所述PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的数据流的信息发送至SN。
49. 一种完整性保护方法，包括：

    网络设备发送PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量QoS流的信息。
50. 根据权利要求49所述的方法，其中，所述需要执行完整性保护和/或加密的QoS流的信息包括：

    需要执行完整性保护和/或加密的QoS流的标识列表；或者，

    不需要执行完整性保护和/或加密的QoS流的标识列表。
51. 一种通信设备，包括：

    选择模块，用于选择执行完整性保护和/或加密的第一数据；

    第一完整性保护模块，用于对选择的第一数据进行完整性保护和/或加密；

    数据发送模块，用于发送包含经过完整性保护和/或加密的第一数据的数据。
52. 根据权利要求51所述的通信设备，其中，所述第一数据为分组数据汇聚协议PDCP服务数据单元SDU或者服务数据适配协议SDAP SDU。
53. 根据权利要求51所述的通信设备，其中，所述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU的一部分数据。
54. 根据权利要求51至53任一所述的通信设备，还包括：指示模块，用于在所述PDCP SDU或者SDAP SDU对应的PDCP PDU中添加所述第一数据是否执行所述完整性保护和/或加密的指示信息。
55. 根据权利要求54所述的通信设备，其中，指示模块在所述PDCP SDU或者SDAP SDU对应的PDCP PDU的保留字段中添加所述第一数据是否执行所述完整性保护和/或加密的指示信息。
56. 根据权利要求51至54任一所述的通信设备，其中，所述选择模块采用以下至少一种方式选择第一数据：

    随机选择；

    根据数据传输速率和接收端设备的处理能力选择；

    根据预配置规则选择；

    根据第一信息进行选择。
57. 根据权利要求56所述的通信设备，还包括：第一规则接收模块，用于接收第一无线资源控制RRC信令，所述第一RRC信令携带所述预配置规则。
58. 根据权利要求57所述的通信设备，其中，所述第一规则接收模块在RRC连接重配置过程中接收所述第一RRC信令。
59. 根据权利要求56至58任一所述的通信设备，其中，当所述第一数据为PDCP SDU或者SDAP SDU时，所述预配置规则包括：

    在PDCP SN mod N＝K的情况下，PDCP SDU或者SDAP SDU执行完整性保护和/或加密；

    在PDCP SN mod N≠K的情况下，PDCP SDU或者SDAP SDU不执行完整性保护和/或加密；其中，

    所述PDCP SN为所述PDCP SDU或者SDAP SDU对应的PDCP PDU的序列号；

    所述mod为求余函数；

    所述N和K为预设参数。
60. 根据权利要求56至58任一所述的通信设备，其中，当所述第一数据包括PDCP SDU中的一部分数据或者或者SDAP SDU中的一部分数据时，所述预配置规则包括以下至少一项：

    所述第一数据是否包括所述PDCP SDU或所述SDAP SDU的头部；

    所述第一数据的数据量；

    所述第一数据在所述PDCP SDU或所述SDAP SDU中的位置。
61. 根据权利要求57至60任一所述的通信设备，所述通信设备为终端设备时，所述第一规则接收模块接收主节点MN和/或辅节点SN发送的所述第一RRC信令。
62. 根据权利要求56所述的通信设备，所述发送端设备为MN时，还包括：第一规则发送模块，用于生成所述预配置规则，将所述预配置规则发送至SN和/或终端设备。
63. 根据权利要求56所述的通信设备，所述发送端设备为SN时，还包括：第二规则发送模块，用 于接收或生成所述预配置规则，将所述预配置规则发送至终端设备。
64. 根据权利要求56至63任一所述的通信设备，其中，

    所述预配置规则针对不同的PDU会话进行设置；和/或，

    所述预配置规则针对不同的数据无线承载DRB进行设置；和/或，

    所述预配置规则针对不同的终端设备进行设置。
65. 根据权利要求64所述的通信设备，还包括：第二规则接收模块，用于接收第二RRC信令，所述第二RRC信令携带所述预配置规则的设置方式。
66. 根据权利要求56所述的通信设备，所述第一信息包括以下至少一项：

    PDU会话或每个QoS流对应的所述第一数据的总速率；

    所述第一数据的选择比率；

    所述第一数据的选择规律。
67. 一种通信设备，包括：

    数据接收模块，用于接收数据，所述数据中包含经过完整性保护和/或加密的第一数据；

    完整性保护验证模块，用于对所述第一数据进行解密和/或完整性保护验证。
68. 根据权利要求67所述的通信设备，其中，所述第一数据为PDCP SDU或者SDAP SDU。
69. 根据权利要求67所述的通信设备，其中，所述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU的一部分数据。
70. 根据权利要求67至69任一所述的通信设备，还包括：第一确定模块，用于根据所述PDCP SDU或者SDAP SDU对应的PDCP PDU中的指示信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。
71. 根据权利要求67所述的通信设备，其中，所述第一确定模块根据所述所述PDCP SDU或者SDAP SDU对应的PDCP PDU的预留字段中的指示信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。
72. 根据权利要求67至71任一所述的通信设备，还包括：

    第二确定模块，用于根据预配置规则或第一信息，确定第一数据是否经过完整性保护和/或加密，或者确定经过完整性保护和/或加密的第一数据。
73. 根据权利要求72所述的通信设备，还包括：第三规则接收模块，用于接收第三RRC信令，所述第三RRC信令携带所述预配置规则。
74. 根据权利要求73所述的通信设备，其中，所述第三规则接收模块在RRC连接重配置过程中接收所述第三RRC信令。
75. 根据权利要求72至74任一所述的通信设备，其中，当所述第一数据为PDCP SDU或者SDAP SDU时，所述预配置规则包括：

    在PDCP SN mod N＝K的情况下，PDCP SDU或者SDAP SDU执行完整性保护和/或加密；

    在PDCP SN mod N≠K的情况下，PDCP SDU或者SDAP SDU不执行完整性保护和/或加密；其中，

    所述PDCP SN为所述PDCP SDU或者SDAP SDU对应的PDCP PDU的序列号；

    所述mod为求余函数；

    所述N和K为预设参数。
76. 根据权利要求72至74任一所述的通信设备，其中，当所述第一数据包括PDCP SDU中的一部分数据或者SDAP SDU中的一部分数据时，所述预配置规则包括以下至少一项：

    所述第一数据是否包括所述PDCP SDU或所述SDAP SDU的头部；

    所述第一数据的数据量；

    所述第一数据在所述PDCP SDU或所述SDAP SDU中的位置。
77. 根据权利要求73至76任一所述的通信设备，所述通信设备为终端设备时，所述第三规则接收模块接收主节点MN和/或辅节点SN发送的所述第三RRC信令。
78. 根据权利要求72所述的通信设备，所述通信设备为MN时，还包括：第三规则发送模块，用于 生成所述预配置规则，将所述预配置规则发送至SN和/或终端设备。
79. 根据权利要求72所述的通信设备，所述通信设备为SN时，还包括：第四规则发送模块，用于接收或生成所述预配置规则，将所述预配置规则发送至终端设备。
80. 根据权利要求72至79所述的通信设备，其中，

    所述预配置规则针对不同的PDU会话进行设置；和/或，

    所述预配置规则针对不同的DRB数据进行设置；和/或，

    所述预配置规则针对不同的终端设备进行设置。
81. 根据权利要求80所述的通信设备，还包括：第四规则接收模块，用于接收第四RRC信令，所述第四RRC信令携带所述预配置规则的设置方式。
82. 根据权利要求72所述的通信设备，所述第一信息包括以下至少一项：

    PDU会话或每个QoS流对应的所述第一数据的总速率；

    所述第一数据的选择比率；

    所述第一数据的选择规律。
83. 一种网络设备，包括：

    安全策略接收模块，用于接收PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量QoS流的信息；

    映射模块，用于将所述需要执行完整性保护和/或加密的QoS流映射到第一DRB数据；

    第二完整性保护模块，用于对所述第一DRB数据进行完整性保护和/或加密。
84. 根据权利要求83所述的网络设备，其中，所述映射模块将需要执行完整性保护和/或加密并且QoS之间的差值不大于预设阈值的QoS流映射到同一个所述第一DRB数据。
85. 根据权利要求83或84所述的网络设备，其中，所述需要执行完整性保护和/或加密的服务质量QoS流的信息包括：

    需要执行完整性保护和/或加密的QoS流的标识列表；或者，

    不需要执行完整性保护和/或加密的QoS流的标识列表。
86. 根据权利要求83至85任一所述的网络设备，所述网络设备为MN时，还包括：安全策略发送模块，用于将所述PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的数据流的信息发送至SN。
87. 一种网络设备，包括：

    安全策略发送模块，用于发送PDU会话的安全策略及所述PDU会话中需要执行完整性保护和/或加密的服务质量QoS流的信息。
88. 根据权利要求87所述的网络设备，其中，所述需要执行完整性保护和/或加密的QoS流的信息包括：

    需要执行完整性保护和/或加密的QoS流的标识列表；或者，

    不需要执行完整性保护和/或加密的QoS流的标识列表。
89. 一种通信设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至44中任一项所述的方法。
90. 一种网络设备，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求45至50中任一项所述的方法。
91. 一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求1至44中任一项所述的方法。
92. 一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求45至50中任一项所述的方法。
93. 一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求1至44中任一项所述的方法。
94. 一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求 45至50中任一项所述的方法。
95. 一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求1至44中任一项所述的方法。
96. 一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求45至50中任一项所述的方法。
97. 一种计算机程序，所述计算机程序使得计算机执行如权利要求1至44中任一项所述的方法。
98. 一种计算机程序，所述计算机程序使得计算机执行如权利要求45至50中任一项所述的方法。

Images