WO2023011315A1 - 建立安全传输通道的方法、确定密钥的方法及通信装置 - Google Patents

Abstract

本申请提供了一种建立安全传输通道的方法、确定密钥的方法及通信装置。该方法应用于宿主节点的集中式单元的用户面实体，该方法包括：接收来自宿主节点的集中式单元的控制面实体的第一消息，该第一消息包括第一密钥；该第一密钥不同于根密钥，该根密钥为该宿主节点的集中式单元的控制面实体在接入回传一体化节点注册到网络的过程中从该网络获取到的密钥；根据该第一密钥，建立该宿主节点的集中式单元的用户面实体与该接入回传一体化节点的分布式单元之间的用户面安全传输通道。根据本申请，宿主节点的集中式单元的用户面实体可以基于第一密钥与接入回传一体化节点的分布式单元建立用户面安全传输通道。

Description

建立安全传输通道的方法、确定密钥的方法及通信装置

本申请要求于2021年07月31日提交中国国家知识产权局、申请号为202110877235.9、申请名称为“建立安全传输通道的方法、确定密钥的方法及通信装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及接入回传一体化网络，尤其涉及一种建立安全传输通道的方法、确定密钥的方法及通信装置。

背景技术

为满足第五代(the 5th generation,5G)移动通信系统的超高容量需求，高频小站组网成为主流。高频载波传播特性较差，受遮挡衰减严重，覆盖范围不广，故而需要大量、密集部署小站。接入回传一体化(integrated access and backhaul,IAB)技术为解决上述问题提供了思路。IAB网络的接入链路(access Link)和回传链路(backhaul link)皆采用无线传输方案，可以避免光纤部署。

如图3和图4所示，在IAB节点和宿主节点之间，需要建立F1接口。为了保护F1接口的安全，IAB节点和IAB宿主之间可以建立因特网协议(internet protocol，IP)安全性(IP security，IPSec)安全连接。

在IAB宿主的集中式单元采用控制面和用户面分离架构时，如何建立IAB节点的分布式单元与IAB宿主的集中式单元用户面实体之间的IPSec安全连接成为一项亟待解决的问题。

发明内容

本申请提供一种建立安全传输通道的方法，以期建立宿主节点的集中式单元的用户面实体(donor centralized unit user plane，donor-CU-UP)与IAB节点的分布式单元(IAB-distributed unit，IAB-DU)之间的用户面安全传输通道。

第一方面，提供了一种建立安全传输通道的方法，该方法应用于donor-CU-UP，该方法包括：接收来自宿主节点的集中式单元的控制面实体(donor centralized unit control plane，donor-CU-CP)第一消息，该第一消息包括第一密钥，该第一密钥不同于根密钥，该根密钥为该donor-CU-CP在IAB节点注册到网络的过程中从该网络获取到的密钥；根据该第一密钥，建立该donor-CU-UP与该IAB-DU之间的用户面安全传输通道。

示例性地，在donor-CU-UP与IAB-DU建立用户面安全传输通道的过程中，第一密钥是donor-CU-UP和IAB-DU使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，donor-CU-UP从donor-CU-CP接收的第一消息包括第一密钥，从 而有助于donor-CU-UP根据第一密钥与IAB-DU建立用户面安全传输通道，以及有助于避免donor-CU-UP和IAB-DU建立用户面安全传输通道时认证错误的问题。

示例性地，第一消息是承载上下文建立请求消息。例如，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息，承载上下文请求消息包括第一密钥。

又示例性地，第一消息是承载上下文修改请求消息。例如，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消息，承载上下文修改请求消息包括第一密钥。

结合第一方面，在第一方面的某些实现方式中，该第一消息还包括该donor-CU-UP的第一IP地址；该方法还包括：确定使用该donor-CU-UP的第一IP地址，建立该用户面安全传输通道；根据所述第一IP地址，确定该第一密钥。

可选地，第一消息还包括IAB-DU的IP地址。

结合第一方面，在第一方面的某些实现方式中，该第一消息包括多个密钥和donor-CU-UP的多个因特网协议(internet protocol，IP)地址的一一对应关系；其中，该多个密钥包括所述第一密钥；且该第一密钥与第一IP地址对应；该方法还包括：确定使用该donor-CU-UP的第一IP地址，建立该用户面安全传输通道；根据该第一IP地址，确定该第一密钥。

具体地，donor-CU-UP将第一消息包括的多个密钥中与第一IP地址对应的密钥确定为第一密钥。

基于上述技术方案，在donor-CU-UP具有多个IP地址的情况下，donor-CU-UP可以接收到与多个IP地址对应的密钥，从而有利于donor-CU-UP根据该多个密钥以及该多个IP地址与IAB-DU建立不同的用户面安全传输通道。

示例性地，第一消息是承载上下文建立请求消息。例如，在IAB节点的移动终端(IAB-mobile termination，IAB-MT)通过宿主节点的分布式单元(donor distributed unit，donor-DU)接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息，承载上下文请求消息包括多个密钥和donor-CU-UP的多个IP地址的一一对应关系。应理解，donor-DU与donor-CU-UP、donor-CU-CP属于同一个宿主节点，IAB-DU与IAB-MT属于同一个IAB节点。

可选地，该第一消息还包括IAB-DU的IP地址，该多个密钥都与该IAB-DU的IP地址对应。也就是说，该多个密钥中的每个密钥与donor-CU-UP的一个IP地址以及IAB-DU的IP地址对应。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：接收来自donor-CU-CP的第一指示信息；根据该第一指示信息，向该donor-CU-CP发送该donor-CU-UP的多个IP地址。

示例性地，该第一指示信息用于指示该IAB-DU属于IAB节点。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：保存该第一密钥和该IAB-DU的IP地址的对应关系。

示例性地，donor-CU-UP将该第一密钥和该IAB-DU的IP地址的对应关系保存在该donor-CU-UP的上下文中。

结合第一方面，在第一方面的某些实现方式中，该第一消息还包括第一指示信息，该第一指示信息用于指示该IAB-DU属于IAB节点。

基于上述技术方案，donor-CU-UP根据第一指示信息确定IAB-DU属于IAB节点，从而可以按需接收和保存第一消息包括的第一密钥。

第二方面，提供了一种建立安全传输通道的方法，该方法应用于IAB-DU，该方法包括：接收来自donor-CU-CP的第二消息，该第二消息包括donor-CU-UP的第一IP地址；向IAB-MT发送第一请求消息，该第一请求消息用于请求第一密钥，该第一密钥不同于根密钥，该根密钥为该IAB-MT在注册到网络的过程生成的密钥，该第一请求消息包括该第一IP地址；接收来自该IAB-MT的第一响应消息，该第一响应消息包括该第一密钥；根据该第一密钥，建立该IAB-DU与该donor-CU-UP之间的用户面安全传输通道。

示例性地，在donor-CU-UP与IAB-DU建立用户面安全传输通道的过程中，第一密钥是donor-CU-UP和IAB-DU使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，IAB-DU在接收到donor-CU-UP的第一IP地址的情况下，将donor-CU-UP的第一IP地址携带在第一请求消息中发送给IAB-MT，使得IAB-MT可以根据donor-CU-UP的第一IP地址确定第一密钥，并将第一密钥发送给IAB-DU。在IAB-DU接收到第一密钥的情况下，有助于IAB-DU基于第一密钥与donor-CU-UP建立用户面安全传输通道，以及有助于避免donor-CU-UP和IAB-DU建立用户面安全传输通道时认证错误的问题。

结合第二方面，在第二方面的某些实现方式中，在向该IAB-MT发送第一请求消息之前，该方法还包括：接收来自终端设备的用户面数据请求消息，该用户面安全传输通道用于传输该终端设备的用户面数据。

基于上述技术方案，IAB-DU可以根据用户面数据请求消息按需向IAB-MT请求第一密钥。

结合第二方面，在第二方面的某些实现方式中，在向该IAB-MT发送第一请求消息之前，该方法还包括：接收来自该donor-CU-UP的认证请求消息，该认证请求消息用于建立该用户面安全传输通道。

基于上述技术方案，IAB-DU可以根据认证请求消息按需向IAB-MT请求第一密钥。

结合第二方面，在第二方面的某些实现方式中，该方法还包括：保存该第一密钥与该donor-CU-UP的第一IP地址的对应关系。

示例性地，IAB-DU该第一密钥与该donor-CU-UP的第一IP地址的对应关系保存在该IAB-DU的上下文中。

第三方面，提供了一种建立安全传输通道的方法，该方法应用于IAB-DU，该方法包括：接收来自donor-CU-CP的第二消息，该第二消息包括donor-CU-UP的第一IP地址；向IAB-MT发送第二请求消息，该第二请求消息用于请求根密钥，该根密钥用于生成第一密钥，该第一密钥不同于该根密钥，该根密钥为该IAB-MT在注册到网络的过程生成的密钥；接收来自该IAB-MT的第二响应消息，该第二响应消息包括该根密钥；根据该根密钥、该IAB-DU的IP地址和该第一IP地址，推演得到该第一密钥；根据该第一密钥，建立该IAB-DU与该donor-CU-UP之间的用户面安全传输通道。

示例性地，IAB-DU以该根密钥为输入密钥、以该IAB-DU的IP地址和该第一IP地址为输入参数，推演得到该第一密钥。

示例性地，在donor-CU-UP与IAB-DU建立用户面安全传输通道的过程中，第一密钥是donor-CU-UP和IAB-DU使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，IAB-DU在接收到donor-CU-UP的第一IP地址的情况下，从IAB-MT获取用于生成第一密钥的根密钥，并可以根据donor-CU-UP的第一IP地址、根密钥以及IAB-DU的IP地址确定第一密钥，从而有助于IAB-DU基于第一密钥与donor-CU-UP建立用户面安全传输通道，以及有助于避免donor-CU-UP和IAB-DU建立用户面安全传输通道时认证错误的问题。

结合第三方面，在第三方面的某些实现方式中，在向该IAB-MT发送第二请求消息之前，该方法还包括：接收来自终端设备的用户面数据请求消息，该用户面安全传输通道用于传输该终端设备的用户面数据。

基于上述技术方案，IAB-DU可以根据用户面数据请求消息按需向IAB-MT请求宿主节点的根密钥。

结合第三方面，在第三方面的某些实现方式中，在向该IAB-MT发送第二请求消息之前，该方法还包括：接收来自该donor-CU-UP的认证请求消息，该认证请求消息用于建立该用户面安全传输通道。

基于上述技术方案，IAB-DU可以根据认证请求消息按需向IAB-MT请求宿主节点的根密钥。

结合第三方面，在第三方面的某些实现方式中，该方法还包括：保存该第一密钥与该donor-CU-UP的第一IP地址的对应关系。

示例性地，该IAB-DU将该第一密钥与该donor-CU-UP的第一IP地址的对应关系保存在该IAB-DU的上下文中。

第四方面，提供一种确定密钥的方法，该方法应用于donor-CU-CP，该方法包括：根据根密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥，该第一密钥不同于该根密钥，该根密钥为该donor-CU-CP的在接入回传一体化节点注册到网络的过程中从该网络获取到的密钥；向该donor-CU-UP发送第一消息，该第一消息包括该第一密钥。

示例性地，IAB-DU以该根密钥为输入密钥、以该IAB-DU的IP地址和该第一IP地址为输入参数，推演得到该第一密钥。

第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，donor-CU-CP根据根密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥，并将第一密钥携带在第一消息中发送给donor-CU-UP，从而有助于donor-CU-UP可以基于第一密钥与IAB-DU建立用户面安全传输通道，以及有助于避免donor-CU-UP和IAB-DU建立用户面安全传输通道时认证错误的问题。

示例性地，第一消息是承载上下文建立请求消息。例如，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息，承载上下文请求消息包括第一密钥。

又示例性地，第一消息是承载上下文修改请求消息。例如，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消息，承载上下文修改请求消息包括第一密钥。

可选地，该第一消息还包括该donor-CU-UP的第一IP地址。

可选地，该第一消息还包括IAB-DU的IP地址。

结合第四方面，在第四方面的某些实现方式中，该方法还包括：向该donor-CU-UP发送第一指示信息；接收来自该donor-CU-UP的一个或者多个IP地址；其中，该一个或者多个IP地址包括该第一IP地址。

示例性地，该第一指示信息用于指示该IAB-DU属于IAB节点。

结合第四方面，在第四方面的某些实现方式中，在该一个或者多个IP地址还包括第二IP地址时，该方法还包括：根据该根密钥、该IAB-DU的IP地址和该第二IP地址，推演得到第二密钥；其中，该第一消息中包括该第一密钥和该第一IP地址的对应关系以及该第二密钥和该第二IP地址的对应关系。

基于上述技术方案，在donor-CU-UP具有多个IP地址的情况下，donor-CU-UP可以根据第一指示信息向donor-CU-CP发送多个IP地址。相应地，donor-CU-UP可以接收到与多个IP地址对应的密钥，从而有利于donor-CU-UP根据该多个密钥以及该多个IP地址与IAB-DU建立不同的用户面安全传输通道。

示例性地，第一消息是承载上下文建立请求消息。例如，在IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息，承载上下文请求消息包括多个密钥和donor-CU-UP的多个IP地址的一一对应关系。应理解，donor-DU与donor-CU-UP、donor-CU-CP属于同一个宿主节点，IAB-DU与IAB-MT属于同一个IAB节点。

结合第四方面，在第四方面的某些实现方式中，该方法还包括：根据根密钥、该IAB-DU的IP地址和该donor-CU-CP的IP地址，推演得到第三密钥；根据该第三密钥，建立该donor-CU-CP和该IAB-DU之间的控制面安全传输通道。

示例性地，donor-CU-CP以根密钥为输入密钥、以该IAB-DU的IP地址和该donor-CU-CP的IP地址为输入参数，推演得到第三密钥。

基于上述技术方案，donor-CU-CP还可以推演得到用于建立donor-CU-CP与IAB-DU之间的控制面安全传输通道的第三密钥，从而有效避免donor-CU-CP和IAB-DU建立控制面安全传输通道时认证错误的问题。

结合第四方面，在第四方面的某些实现方式中，该方法还包括：根据该IAB-DU的上下文中的第一标识确定该IAB-DU属于IAB节点。

基于上述技术方案，donor-CU-CP可以根据第一标识按需推演第一密钥。

结合第四方面，在第四方面的某些实现方式中，该方法还包括：向该donor-CU-UP发送第一指示信息，该第一指示信息用于指示该IAB-DU属于IAB节点。

基于上述技术方案，donor-CU-CP向donor-CU-UP发送第一指示信息，使得donor-CU-UP可以根据第一指示信息按需接收和保存第一密钥。

第五方面，提供了一种建立安全传输通道的方法，该方法包括：donor-CU-UP接收来自donor-CU-CP的第一信息；该donor-CU-UP根据该第一信息确定第一密钥，该第一密 钥不同于根密钥，该根密钥为该donor-CU-CP在IAB节点注册到网络的过程中从该网络获取到的密钥；该donor-CU-UP根据该第一密钥，建立该donor-CU-UP与该IAB节点之间的用户面安全传输通道。

示例性地，在donor-CU-UP与IAB-DU建立用户面安全传输通道的过程中，第一密钥是donor-CU-UP和IAB-DU使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，donor-CU-UP根据接收的第一信息确定第一密钥，从而有助于donor-CU-UP与IAB-DU可以基于第一密钥建立用户面安全传输通道，以及有助于避免donor-CU-UP和IAB-DU建立用户面安全传输通道时认证错误的问题。

示例性地，第一信息携带在承载上下文修改请求消息中。例如，在IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消息，承载上下文修改消息包括第一信息。应理解，donor-DU与donor-CU-UP、donor-CU-CP属于同一个宿主节点，IAB-DU与IAB-MT属于同一个IAB节点。

结合第五方面，在第五方面的某些实现方式中，该第一信息包括以下至少一项：中间密钥、宿主节点与IAB节点之间使用的用户面密钥，该中间密钥和该用户面密钥用于确定该第一密钥。

其中，宿主节点包括该donor-CU-CP和donor-CU-UP，IAB节点包括该IAB-DU。

结合第五方面，在第五方面的某些实现方式中，该第一信息包括该中间密钥，该中间密钥包括以下任意一种：根据该根密钥和第二参数确定的密钥、随机数，该第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性参数；该donor-CU-UP根据该第一信息确定第一密钥，包括：该donor-CU-UP根据该中间密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥。

示例性地，donor-CU-UP以该中间密钥为输入密钥、以该IAB-DU的IP地址和该donor-CU-UP的IP地址为输入参数，推演得到该第一密钥。

基于上述技术方案，donor-CU-UP根据该中间密钥推演第一密钥，可以保持推演用户面密钥、信令面密钥以及第一密钥所使用的输入密钥之间的相互独立，保证了数据传输的安全性。

结合第五方面，在第五方面的某些实现方式中，第一信息包括该用户面密钥，该donor-CU-UP根据该第一信息确定第一密钥，包括：该donor-CU-UP根据该用户面密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥。

示例性地，该donor-CU-UP以该用户面密钥为输入密钥、以该IAB-DU的IP地址和该donor-CU-UP的IP地址为输入参数，推演得到该第一密钥。

基于上述技术方案，donor-CU-UP根据用户面密钥推演第一密钥，无需增加额外的信令传输，简化了第一密钥的管理和实现。

结合第五方面，在第五方面的某些实现方式中，该第一信息包括该用户面密钥，该donor-CU-UP根据该第一信息确定第一密钥，包括：该donor-CU-UP根据该用户面密钥确定第四密钥；该donor-CU-UP根据该第四密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥。

示例性地，该donor-CU-UP以该第四密钥为输入密钥、以该IAB-DU的IP地址和该 donor-CU-UP的IP地址为输入参数，推演得到该第一密钥。

结合第五方面，在第五方面的某些实现方式中，该方法还包括：保存该第一密钥和该IAB-DU的IP地址的对应关系。

示例性地，该donor-CU-UP将该第一密钥和该IAB-DU的IP地址的对应关系保存在该donor-CU-UP的上下文中。

结合第五方面，在第五方面的某些实现方式中，该方法还包括：该donor-CU-UP接收第一指示信息；在接收到第一指示信息的情况下，根据第一信息确定第一密钥。

示例性地，该第一指示信息用于指示该IAB-DU属于IAB节点。

基于上述技术方案，donor-CU-UP可以根据第一指示信息确定IAB-DU属于IAB节点，从而可以按需根据第一信息推演第一密钥。

第六方面，提供了一种建立安全传输通道的方法，该方法包括：IAB-DU接收来自donor-CU-CP的第二消息，该第二消息包括donor-CU-UP的IP地址；该IAB-DU向IAB-MT发送第三请求消息，该第三请求消息用于请求第二信息；该IAB-DU接收来自该IAB-MT的第三响应消息，该第三响应消息包括该第二信息；该IAB-DU根据该第二信息确定第一密钥，该第一密钥不同于根密钥，该根密钥为该IAB-MT在注册到网络的过程生成的密钥；该IAB-DU根据该第一密钥，建立该IAB-DU与该donor-CU-UP之间的用户面安全传输通道。

示例性地，在donor-CU-UP与IAB-DU建立用户面安全传输通道的过程中，第一密钥是donor-CU-UP和IAB-DU使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，IAB-DU在接收到donor-CU-UP的IP地址的情况下，从IAB-MT获取第二信息，并且IAB-DU根据接收的第二信息确定第一密钥，从而有助于donor-CU-UP基于第一密钥与IAB-DU建立用户面安全传输通道，以及有助于避免donor-CU-UP和IAB-DU建立用户面安全传输通道时认证错误的问题。

结合第六方面，在第六方面的某些实现方式中，该第二信息包括以下至少一项：中间密钥、该根密钥和第二参数、宿主节点与IAB节点之间使用的用户面密钥，该中间密钥和该用户面密钥用于确定该第一密钥，该第二参数用于确定该中间密钥，该第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性参数。

其中，宿主节点包括该donor-CU-CP和donor-CU-UP，IAB节点包括该IAB-DU。

结合第六方面，在第六方面的某些实现方式中，该第二信息包括该中间密钥，该中间密钥包括以下任意一种：根据该根密钥和该第二参数确定的密钥、随机数；该IAB-DU根据该第二信息确定该第一密钥，包括：该IAB-DU根据该中间密钥，该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥。

示例性地，该IAB-DU以该中间密钥为输入密钥，以该IAB-DU的IP地址和该donor-CU-UP的IP地址为输入参数，推演得到该第一密钥。

基于上述技术方案，IAB-DU根据中间密钥推演第一密钥，可以保持推演用户面密钥、信令面密钥以及第一密钥所使用的输入密钥之间的相互独立，保证了数据传输的安全性。

结合第六方面，在第六方面的某些实现方式中，该第二信息包括该用户面密钥，该IAB-DU根据该第二信息确定第一密钥，包括：该IAB-DU根据该用户面密钥、该IAB-DU 的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥。

示例性地，该IAB-DU以该用户面密钥为输入密钥、以该IAB-DU的IP地址和该donor-CU-UP的IP地址为输入参数，推演得到该第一密钥。

基于上述技术方案，IAB-DU根据用户面密钥推演第一密钥，无需增加额外的信令传输，简化了第一密钥的管理和实现。

结合第六方面，在第六方面的某些实现方式中，该第二信息包括该用户面密钥，该IAB-DU根据该第二信息确定第一密钥，包括：该IAB-DU根据该用户面密钥确定第四密钥；该IAB-DU根据该第四密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥。

示例性地，该IAB-DU以该第四密钥为输入密钥、以该IAB-DU的IP地址和该donor-CU-UP的IP地址为输入参数，推演得到该第一密钥。

结合第六方面，在第六方面的某些实现方式中，在该IAB-DU向该IAB-MT发送第三请求消息之前，该方法还包括：该IAB-DU接收来自终端设备的用户面数据请求消息，该用户面安全传输通道用于传输该终端设备的用户面数据。

基于上述技术方案，IAB-DU可以根据用户面数据请求消息按需向IAB-MT请求第二信息。

结合第六方面，在第六方面的某些实现方式中，在该IAB-DU向该IAB-MT发送第三请求消息之前，该方法还包括：该IAB-DU接收来自该donor-CU-UP的认证请求消息，该认证请求消息用于建立该用户面安全传输通道。

基于上述技术方案，IAB-DU可以根据认证请求消息按需向IAB-MT请求第二信息。

结合第六方面，在第六方面的某些实现方式中，该方法还包括：IAB-DU保存该第一密钥与该donor-CU-UP的IP地址的对应关系。

示例性地，该IAB-DU将该第一密钥与该donor-CU-UP的IP地址的对应关系保存在该IAB-DU的上下文中。

第七方面，提供了一种确定密钥的方法，该方法包括：IAB-MT接收来自IAB-DU的第三请求消息，该第三请求消息用于请求第二信息，第二信息用于确定第一密钥，该第一密钥不同于根密钥，该根密钥为该IAB-MT注册到网络的过程中生成的密钥；该IAB-MT向该IAB-DU发送第三响应消息，该第三响应消息包括该第二信息。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，IAB-MT根据第三请求消息向IAB-DU发送第二信息，使得IAB-DU可以根据第二信息确定第一密钥，进而有助于IAB-DU根据第一密钥与donor-CU-UP建立用户面安全传输通道。

结合第七方面，在第七方面的某些实现方式中，该第二信息包括以下至少一项：中间密钥、该根密钥和第二参数、宿主节点与IAB节点之间使用的用户面密钥，该中间密钥和该用户面密钥用于确定该第一密钥，该第二参数用于确定该中间密钥，该第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性参数。

其中，宿主节点包括该donor-CU-CP和donor-CU-UP，IAB节点包括该IAB-DU。

结合第七方面，在第七方面的某些实现方式中，该中间密钥包括以下任意一种：根据该根密钥和该第二参数确定的密钥、随机数；该方法还包括：该IAB-MT接收来自 donor-CU-CP的第四消息，该第四消息包括该中间密钥或第二参数。

示例性地，在推演中间密钥所使用的第二参数包括IAB-MT未知的参数时，donor-CU-CP向IAB-MT发送第四消息。可选地，第四消息包括推演中间密钥所使用的第二参数中IAB-MT未知的参数。

又示例性地，若中间密钥是一个随机数，则donor-CU-CP向IAB-MT发送第四消息，第四消息包括中间密钥。

示例性地，第四消息是IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP向IAB-MT发送的无线资源控制(radio resource control，RRC)重配置消息。应理解，donor-DU与donor-CU-CP属于同一个宿主节点。

第八方面，提供了一种确定密钥的方法，该方法包括：IAB-MT接收来自IAB-DU的第一请求消息，该第一请求消息用于请求第一密钥，该第一密钥不同于根密钥，该根密钥为该IAB-MT在注册到网络的过程生成的密钥，该第一请求消息包括该donor-CU-UP的IP地址；该IAB-MT根据中间密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥；该IAB-MT向该IAB-DU发送第一响应消息，该第一响应消息包括该第一密钥。

示例性地，该IAB-MT以中间密钥为输入密钥、以该IAB-DU的IP地址和该donor-CU-UP的IP地址为输入参数，推演得到该第一密钥。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，IAB-MT根据第一请求消息包括的donor-CU-UP的IP地址推演第一密钥，并将第一密钥发送给IAB-DU，使得IAB-DU可以基于第一密钥与donor-CU-UP建立用户面安全传输通道。

此外，IAB-MT根据中间密钥推演第一密钥，可以保持推演用户面密钥、信令面密钥以及第一密钥所使用的输入密钥之间的相互独立，保证了数据传输的安全性。

结合第八方面，在第八方面的某些实现方式中，该中间密钥包括以下任意一种：根据该根密钥和第二参数确定的密钥、随机数，第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性参数。

其中，宿主节点包括该donor-CU-CP和donor-CU-UP。

结合第八方面，在第八方面的某些实现方式中，该中间密钥包括根据该根密钥和该第二参数确定的密钥，该方法还包括：该IAB-MT接收来自donor-CU-CP的第四消息，该第四消息包括该中间密钥或第二参数。

示例性地，在推演中间密钥所使用的第二参数包括IAB-MT未知的参数时，donor-CU-CP向IAB-MT发送第四消息。可选地，第四消息包括中间密钥或推演中间密钥所使用的第二参数中IAB-MT未知的参数。

示例性地，第四消息是IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP向IAB-MT发送的RRC重配置消息。应理解，donor-DU与donor-CU-CP属于同一个宿主节点。

结合第八方面，在第八方面的某些实现方式中，该中间密钥包括随机数，该方法还包括：该IAB-MT接收来自donor-CU-CP的第四消息，该第四消息包括该中间密钥。

第九方面，提供了一种确定密钥的方法，该方法包括：IAB-MT接收来自IAB-DU的 第一请求消息，该第一请求消息用于请求第一密钥，该第一密钥不同于根密钥，该根密钥为该IAB-MT在注册到网络的过程生成的密钥，该第一请求消息包括该donor-CU-UP的IP地址；该IAB-MT根据用户面密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥，该用户面密钥是宿主节点和该IAB节点之间使用的用户面密钥；该IAB-MT向该IAB-DU发送第一响应消息，该第一响应消息包括该第一密钥。

示例性地，该IAB-MT以用户面密钥为输入密钥、以该IAB-DU的IP地址和该donor-CU-UP的IP地址为输入参数，推演得到该第一密钥。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，IAB-MT根据第一请求消息包括的donor-CU-UP的IP地址推演第一密钥，并将第一密钥发送给IAB-DU，使得IAB-DU可以基于第一密钥与donor-CU-UP建立用户面安全传输通道。

此外，IAB-MT根据用户面密钥推演第一密钥，无需增加额外的信令传输，简化了第一密钥的管理和实现。

第十方面，提供了一种确定密钥的方法，该方法包括：IAB-MT接收来自IAB-DU的第一请求消息，该第一请求消息用于请求第一密钥，该第一密钥不同于根密钥，该根密钥为该IAB-MT在注册到网络的过程生成的密钥，该第一请求消息包括该donor-CU-UP的IP地址；该IAB-MT根据该用户面密钥确定第四密钥，该用户面密钥是宿主节点和该IAB节点之间使用的用户面密钥；该IAB-MT根据该第四密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥；该IAB-MT向该IAB-DU发送第一响应消息，该第一响应消息包括该第一密钥。

示例性地，该IAB-MT以该第四密钥为输入密钥、以该IAB-DU的IP地址和该donor-CU-UP的IP地址为输入参数，推演得到该第一密钥。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，IAB-MT根据第一请求消息包括的donor-CU-UP的IP地址推演第一密钥，并将第一密钥发送给IAB-DU，使得IAB-DU可以基于第一密钥与donor-CU-UP建立用户面安全传输通道。

此外，IAB-MT根据用户面密钥推演得到的第四密钥推演第一密钥，无需增加额外的信令传输，简化了第一密钥的管理和实现。

第十一方面，提供了一种确定密钥的方法，该方法包括：donor-CU-CP确定第一信息，该第一信息用于确定第一密钥，该第一密钥不同于根密钥，该根密钥为该donor-CU-CP在IAB节点注册到网络的过程中从该网络获取到的密钥；该donor-CU-CP向该donor-CU-UP发送该第一信息。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

基于上述技术方案，donor-CU-CP向donor-CU-UP发送第一信息，使得donor-CU-UP根据接收的第一信息确定第一密钥，从而有助于donor-CU-UP基于第一密钥与IAB-DU建立用户面安全传输通道，以及有助于避免donor-CU-UP和IAB-DU建立用户面安全传输通道时认证错误的问题。

示例性地，第一信息携带在承载上下文修改请求消息中。例如，在IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消 息，承载上下文修改消息包括第一信息。应理解，donor-DU与donor-CU-UP、donor-CU-CP属于同一个宿主节点，IAB-DU与IAB-MT属于同一个IAB节点。

结合第十一方面，在第十一方面的某些实现方式中，该第一信息包括以下至少一项：中间密钥、该宿主节点与该IAB节点之间使用的用户面密钥，该中间密钥和该用户面密钥用于确定该第一密钥。

结合第十一方面，在第十一方面的某些实现方式中，该第一信息包括该中间密钥，该中间密钥包括根据该根密钥和第二参数确定的密钥，该donor-CU-UP确定第一信息，包括：该donor-CU-CP根据该根密钥和该第二参数，推演得到该中间密钥，该第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性参数。

示例性地，该donor-CU-CP以该根密钥为输入密钥、以该第二参数为输入参数，推演得到该中间密钥。

结合第十一方面，在第十一方面的某些实现方式中，该方法还包括：该donor-CU-CP向IAB-MT发送第四消息，该第四消息包括该中间密钥或该第二参数。

示例性地，在推演中间密钥所使用的第二参数包括IAB-MT未知的参数时，donor-CU-CP向IAB-MT发送第四消息。可选地，第四消息包括推演中间密钥所使用的第二参数中IAB-MT未知的参数。

示例性地，第四消息是IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP向IAB-MT发送的RRC重配置消息。应理解，donor-DU与donor-CU-CP属于同一个宿主节点。

结合第十一方面，在第十一方面的某些实现方式中，该第一信息包括该中间密钥，该中间密钥包括随机数，该donor-CU-UP确定第一信息，包括：该donor-CU-CP生成该随机数。

结合第十一方面，在第十一方面的某些实现方式中，该方法还包括：该donor-CU-CP向IAB-MT发送第四消息，该第四消息包括该中间密钥。

结合第十一方面，在第十一方面的某些实现方式中，该第一信息包括该用户面密钥，该donor-CU-CP确定第一信息，包括：该donor-CU-CP根据该根密钥推演得到该用户面密钥。

结合第十一方面，在第十一方面的某些实现方式中，该方法还包括：该donor-CU-CP接收第二指示信息，该第二指示信息用于指示该IAB-DU属于IAB节点。

基于上述技术方案，donor-CU-CP可以根据第二指示信息按需确定第一信息。

示例性地，donor-CU-CP从IAB-MT接收第二指示信息，该第二指示信息为“IAB-indication”信元。在IAB-MT通过donor-DU接入网络的过程中，IAB-MT通过donor-DU将“IAB-indication”信元发送给donor-CU-UP。

又示例性地，donor-CU-CP从核心网网元接收第二指示信息，该第二指示信息为“IAB-authorized”信元。在IAB-MT通过donor-DU接入网络的过程中，IAB-MT与核心网完成鉴权之后，AMF向donor-CU-CP发送的初始上下文建立请求消息包括“IAB-authorized”信元。

结合第十一方面，在第十一方面的某些实现方式中，该方法还包括：该donor-CU-CP向该donor-CU-UP发送第一指示信息。

示例性地，该第一指示信息用于指示该IAB-DU属于IAB节点。

基于上述技术方案，donor-CU-CP向donor-CU-UP发送第一指示信息，使得donor-CU-UP可以按需根据第一信息确定第一密钥。

第十二方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该收发单元接收来自donor-CU-CP第一消息，该第一消息包括第一密钥，该第一密钥不同于根密钥，该根密钥为该donor-CU-CP在IAB节点注册到网络的过程中从该网络获取到的密钥；该处理单元用于根据该第一密钥，建立该donor-CU-UP与该IAB-DU之间的用户面安全传输通道。

示例性地，在该通信装置与IAB-DU建立用户面安全传输通道的过程中，第一密钥是该通信装置和IAB-DU使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

示例性地，第一消息是承载上下文建立请求消息。例如，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向该通信装置发送承载上下文建立请求消息，承载上下文请求消息包括第一密钥。

又示例性地，第一消息是承载上下文修改请求消息。例如，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向该通信装置发送承载上下文修改请求消息，承载上下文修改请求消息包括第一密钥。

结合第十二方面，在第十二方面的某些实现方式中，该第一消息还包括该donor-CU-UP的第一IP地址；该处理单元还用于确定使用该donor-CU-UP的第一IP地址，建立该用户面安全传输通道；该处理单元还用于根据所述第一IP地址，确定该第一密钥。

可选地，第一消息还包括IAB-DU的IP地址。

结合第十二方面，在第十二方面的某些实现方式中，该该第一消息包括多个密钥和donor-CU-UP的多个IP的一一对应关系；其中，该多个密钥包括所述第一密钥；且该第一密钥与第一IP地址对应；该处理单元还用于确定使用该donor-CU-UP的第一IP地址，建立该用户面安全传输通道；该处理单元还用于根据该第一IP地址，确定第一密钥。

示例性地，第一消息是承载上下文建立请求消息。例如，在IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP向该通信装置发送承载上下文建立请求消息，承载上下文请求消息包括多个密钥和多个IP地址。

可选地，该第一消息还包括IAB-DU的IP地址，该多个密钥都与该IAB-DU的IP地址对应。也就是说，该多个密钥中的每个密钥与donor-CU-UP的一个IP地址以及IAB-DU的IP地址对应。

结合第十二方面，在第十二方面的某些实现方式中，该收发单元还用于接收来自donor-CU-CP的第一指示信息；根据该第一指示信息，该收发单元还用于向该donor-CU-CP发送该donor-CU-UP的多个IP地址。

示例性地，，该第一指示信息用于指示该IAB-DU属于IAB节点。

结合第十二方面，在第十二方面的某些实现方式中，该处理单元还用于保存该第一密钥和该IAB-DU的IP地址的对应关系。

结合第十二方面，在第十二方面的某些实现方式中，该第一消息还包括第一指示信息。

示例性地，该第一指示信息用于指示该IAB-DU属于IAB节点。

第十三方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该收发单元用于接收来自donor-CU-CP的第二消息，该第二消息包括donor-CU-UP的第一IP地址；向IAB-MT发送第一请求消息，该第一请求消息用于请求第一密钥，该第一密钥不同于根密钥，该根密钥为该IAB-MT在注册到网络的过程生成的密钥，该第一请求消息包括该第一IP地址；该收发单元还用于接收来自该IAB-MT的第一响应消息，该第一响应消息包括该第一密钥；该处理单元用于根据该第一密钥，建立该IAB-DU与该donor-CU-UP之间的用户面安全传输通道。

示例性地，在donor-CU-UP与该通信装置建立用户面安全传输通道的过程中，第一密钥是donor-CU-UP和该通信装置使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

结合第十三方面，在第十三方面的某些实现方式中，在向该IAB-MT发送第一请求消息之前，该收发单元还用于接收来自终端设备的用户面数据请求消息，该用户面安全传输通道用于传输该终端设备的用户面数据。

结合第十三方面，在第十三方面的某些实现方式中，在向该IAB-MT发送第一请求消息之前，该收发单元还用于接收来自该donor-CU-UP的认证请求消息，该认证请求消息用于建立该用户面安全传输通道。

结合第十三方面，在第十三方面的某些实现方式中，该处理单元还用于保存该第一密钥与该donor-CU-UP的第一IP地址的对应关系。

第十四方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该收发单元用于接收来自donor-CU-CP的第二消息，该第二消息包括donor-CU-UP的第一IP地址；该收发单元还用于向IAB-MT发送第二请求消息，该第二请求消息用于请求根密钥，该根密钥用于生成第一密钥，该第一密钥不同于该根密钥，该根密钥为该IAB-MT在注册到网络的过程生成的密钥；该收发单元还用于接收来自该IAB-MT的第二响应消息，该第二响应消息包括该根密钥；该处理单元用于根据该根密钥、该IAB-DU的IP地址和该第一IP地址，推演得到该第一密钥；该处理单元还用于根据该第一密钥，建立该IAB-DU与该donor-CU-UP之间的用户面安全传输通道。

示例性地，在donor-CU-UP与该通信装置建立用户面安全传输通道的过程中，第一密钥是donor-CU-UP和该通信装置使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

结合第十四方面，在第十四方面的某些实现方式中，在向该IAB-MT发送第二请求消息之前，该收发单元还用于接收来自终端设备的用户面数据请求消息，该用户面安全传输通道用于传输该终端设备的用户面数据。

结合第十四方面，在第十四方面的某些实现方式中，在向该IAB-MT发送第二请求消息之前，该收发单元还用于接收来自该donor-CU-UP的认证请求消息，该认证请求消息用于建立该用户面安全传输通道。

结合第十四方面，在第十四方面的某些实现方式中，该处理单元还用于保存该第一密钥与该donor-CU-UP的第一IP地址的对应关系。

第十五方面，提供一种通信装置，该通信装置包括收发单元和处理单元，该处理单元用于根据根密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥， 该第一密钥不同于该根密钥，该根密钥为该donor-CU-CP的在接入回传一体化节点注册到网络的过程中从该网络获取到的密钥；该收发单元用于向该donor-CU-UP发送第一消息，该第一消息包括该第一密钥。

示例性地，在donor-CU-UP与IAB-DU建立用户面安全传输通道的过程中，第一密钥是donor-CU-UP和IAB-DU使用的认证凭证。

第一密钥是K _IAB，根密钥是K _gNB。

示例性地，第一消息是承载上下文建立请求消息。例如，在终端设备通过IAB-DU接入网络的过程中，该收发单元向donor-CU-UP发送承载上下文建立请求消息，承载上下文请求消息包括第一密钥。

又示例性地，第一消息是承载上下文修改请求消息。例如，在终端设备通过IAB-DU接入网络的过程中，该收发单元向donor-CU-UP发送承载上下文修改请求消息，承载上下文修改请求消息包括第一密钥。

可选地，该第一消息还包括该donor-CU-UP的第一IP地址。

可选地，该第一消息还包括IAB-DU的IP地址。

结合第十五方面，在第十五方面的某些实现方式中，该收发单元还用于向该donor-CU-UP发送第一指示信息；该收发单元还用于接收来自该donor-CU-UP的一个或者多个IP地址；其中，该一个或者多个IP地址包括该第一IP地址。

示例性地，，该第一指示信息用于指示该IAB-DU属于IAB节点。

结合第十五方面，在第十五方面的某些实现方式中，在该一个或者多个IP地址还包括第二IP地址时，该处理单元还用于根据该根密钥、该IAB-DU的IP地址和该第二IP地址，推演得到第二密钥；其中，该第一消息中包括该第一密钥和该第一IP地址的对应关系以及该第二密钥和该第二IP地址的对应关系。

示例性地，第一消息是承载上下文建立请求消息。例如，在IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息，承载上下文请求消息包括多个密钥和donor-CU-UP的多个IP地址的一一对应关系。应理解，donor-DU与donor-CU-UP、donor-CU-CP属于同一个宿主节点，IAB-DU与IAB-MT属于同一个IAB节点。

结合第十五方面，在第十五方面的某些实现方式中，该处理单元还用于根据该根密钥、该IAB-DU的IP地址和该通信装置的IP地址，推演得到第三密钥；该处理单元还用于根据该第三密钥，建立该donor-CU-CP和该IAB-DU之间的控制面安全传输通道。

结合第十五方面，在第十五方面的某些实现方式中，该处理单元还用于根据该IAB-DU的上下文中的第一标识确定该IAB-DU属于IAB节点。

结合第十五方面，在第十五方面的某些实现方式中，该收发单元还用于向该donor-CU-UP发送第一指示信息，该第一指示信息用于指示该IAB-DU属于IAB节点。

第十六方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该收发单元用于接收来自donor-CU-CP的第一信息；该处理单元用于根据该第一信息确定第一密钥，该第一密钥不同于根密钥，该根密钥为该donor-CU-CP在IAB节点注册到网络的过程中从该网络获取到的密钥；该处理单元还用于根据该第一密钥，建立该通信装置与该IAB节点之间的用户面安全传输通道。

示例性地，在通信装置与IAB-DU建立用户面安全传输通道的过程中，第一密钥是该通信装置和IAB-DU使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

示例性地，第一信息携带在承载上下文修改请求消息中。例如，在IAB-MT通过donor-DU接入网络的过程中，收发单元用于发送承载上下文修改请求消息，承载上下文修改消息包括第一信息。

结合第十六方面，在第十六方面的某些实现方式中，该第一信息包括以下至少一项：中间密钥、宿主节点与IAB节点之间使用的用户面密钥，该中间密钥和该用户面密钥用于确定该第一密钥。

结合第十六方面，在第十六方面的某些实现方式中，该第一信息包括该中间密钥，该中间密钥包括以下任意一种：根据该根密钥和第二参数确定的密钥、随机数，该第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性参数；该处理单元具体用于根据该中间密钥、该IAB-DU的IP地址和该通信装置的IP地址，推演得到该第一密钥。

结合第十六方面，在第十六方面的某些实现方式中，第一信息包括该用户面密钥，该处理单元具体用于根据该用户面密钥、以该IAB-DU的IP地址和该通信装置的IP地址，推演得到该第一密钥。

结合第十六方面，在第十六方面的某些实现方式中，该第一信息包括该用户面密钥，该处理单元具体用于：根据该用户面密钥确定第四密钥；根据该第四密钥、该IAB-DU的IP地址和该通信装置的IP地址，推演得到该第一密钥。

结合第十六方面，在第十六方面的某些实现方式中，该处理单元还用于保存该第一密钥和该IAB-DU的IP地址的对应关系。

结合第十六方面，在第十六方面的某些实现方式中，该收发单元还用于接收第一指示信息。

示例性地，该第一指示信息用于指示该IAB-DU属于IAB节点。

第十七方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该收发单元用于接收来自donor-CU-CP的第二消息，该第二消息包括donor-CU-UP的IP地址；该收发单元还用于向IAB-MT发送第三请求消息，该第三请求消息用于请求第二信息；该收发单元还用于接收来自该IAB-MT的第三响应消息，该第三响应消息包括该第二信息；该处理单元用于根据该第二信息确定第一密钥，该第一密钥不同于根密钥，该根密钥为该IAB-MT在注册到网络的过程生成的密钥；该处理单元还用于根据该第一密钥，建立该通信装置与该donor-CU-UP之间的用户面安全传输通道。

示例性地，在donor-CU-UP与该通信装置建立用户面安全传输通道的过程中，第一密钥是donor-CU-UP和该通信装置使用的认证凭证。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

结合第十七方面，在第十七方面的某些实现方式中，该第二信息包括以下至少一项：中间密钥、该根密钥和第二参数、宿主节点与IAB节点之间使用的用户面密钥，该中间密钥和该用户面密钥用于确定该第一密钥，该第二参数用于确定该中间密钥，该第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性 参数。

结合第十七方面，在第十七方面的某些实现方式中，该第二信息包括该中间密钥，该中间密钥包括以下任意一种：根据该根密钥和该第二参数确定的密钥、随机数；该处理单元具体用于根据中间密钥、该通信装置的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥。

结合第十七方面，在第十七方面的某些实现方式中，该第二信息包括该用户面密钥，该处理单元具体用于根据该用户面密钥、该通信装置的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥。

结合第十七方面，在第十七方面的某些实现方式中，该第二信息包括该用户面密钥，该处理单元具体用于：根据该用户面密钥确定第四密钥；根据该第四密钥、该通信装置的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥。

结合第十七方面，在第十七方面的某些实现方式中，在向该IAB-MT发送第三请求消息之前，该收发单元还用于接收来自终端设备的用户面数据请求消息，该用户面安全传输通道用于传输该终端设备的用户面数据。

结合第十七方面，在第十七方面的某些实现方式中，在向该IAB-MT发送第三请求消息之前，该收发单元还用于接收来自该donor-CU-UP的认证请求消息，该认证请求消息用于建立该用户面安全传输通道。

结合第十七方面，在第十七方面的某些实现方式中，该处理单元还用于保存该第一密钥与该donor-CU-UP的IP地址的对应关系。

第十八方面，提供了一种通信装置，该通信装置包括收发单元，该收发单元用于接收来自IAB-DU的第三请求消息，该第三请求消息用于请求第二信息，第二信息用于确定第一密钥，该第一密钥不同于根密钥，该根密钥为该通信装置注册到网络的过程中生成的密钥；该收发单元还用于向该IAB-DU发送第三响应消息，该第三响应消息包括该第二信息。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

结合第十八方面，在第十八方面的某些实现方式中，该第二信息包括以下至少一项：中间密钥、该根密钥和第二参数、宿主节点与IAB节点之间使用的用户面密钥，该中间密钥和该用户面密钥用于确定该第一密钥，该第二参数用于确定该中间密钥，该第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性参数。

结合第十八方面，在第十八方面的某些实现方式中，该中间密钥包括以下任意一种：根据该宿主节点的根密钥和该第二参数确定的密钥、随机数；该收发单元还用于接收来自donor-CU-CP的第四消息，该第四消息包括该中间密钥或第二参数。

示例性地，在推演中间密钥所使用的第二参数包括该通信装置未知的参数时，donor-CU-CP发送第四消息。可选地，第四消息包括推演中间密钥所使用的第二参数中该通信装置未知的参数。

又示例性地，若中间密钥是一个随机数，则donor-CU-CP发送第四消息，第四消息包括中间密钥。

示例性地，第四消息是该通信装置通过donor-DU接入网络的过程中，donor-CU-CP发送的RRC重配置消息。应理解，donor-DU与donor-CU-CP属于同一个宿主节点。

第十九方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该收发单元用于接收来自IAB-DU的第一请求消息，该第一请求消息用于请求第一密钥，该第一密钥不同于根密钥，该根密钥为该通信装置在注册到网络的过程生成的密钥，该第一请求消息包括该donor-CU-UP的IP地址；该处理单元用于根据中间密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥；该收发单元还用于向该IAB-DU发送第一响应消息，该第一响应消息包括该第一密钥。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

结合第十九方面，在第十九方面的某些实现方式中，该中间密钥包括以下任意一种：根据该根密钥和第二参数确定的密钥、随机数，第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性参数。

结合第十九方面，在第十九方面的某些实现方式中，该中间密钥包括根据该根密钥和该第二参数确定的密钥，该收发单元还用于接收来自donor-CU-CP的第四消息，该第四消息包括该中间密钥或第二参数。

示例性地，在推演中间密钥所使用的第二参数包括该通信装置未知的参数时，donor-CU-CP发送第四消息。可选地，第四消息包括中间密钥或推演中间密钥所使用的第二参数中该通信装置未知的参数。

示例性地，第四消息是该通信装置通过donor-DU接入网络的过程中，donor-CU-CP发送的RRC重配置消息。应理解，donor-DU与donor-CU-CP属于同一个宿主节点。

结合第十九方面，在第十九方面的某些实现方式中，该中间密钥包括随机数，该收发单元还用于接收来自donor-CU-CP的第四消息，该第四消息包括该中间密钥。

第二十方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该收发单元用于接收来自IAB-DU的第一请求消息，该第一请求消息用于请求第一密钥，该第一密钥不同于根密钥，该根密钥为该通信装置在注册到网络的过程生成的密钥，该第一请求消息包括该donor-CU-UP的IP地址；该处理单元用于根据用户面密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥，该用户面密钥是该宿主节点和该IAB节点之间使用的用户面密钥；该收发单元还用于向该IAB-DU发送第一响应消息，该第一响应消息包括该第一密钥。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

第二十一方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该收发单元用于接收来自IAB-DU的第一请求消息，该第一请求消息用于请求第一密钥，该第一密钥不同于根密钥，该根密钥为该通信装置在注册到网络的过程生成的密钥，该第一请求消息包括该donor-CU-UP的IP地址；该处理单元用于根据该用户面密钥确定第四密钥，该用户面密钥是该宿主节点和该IAB节点之间使用的用户面密钥；该处理单元还用于根据该第四密钥、该IAB-DU的IP地址和该donor-CU-UP的IP地址，推演得到该第一密钥；该收发单元还用于向该IAB-DU发送第一响应消息，该第一响应消息包括该第一密钥。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

第二十二方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该处理单元用于确定第一信息，该第一信息用于确定第一密钥，该第一密钥不同于根密钥，该根密钥为该donor-CU-CP在IAB节点注册到网络的过程中从该网络获取到的密钥；该收发 单元用于向该donor-CU-UP发送该第一信息。

示例性地，第一密钥是K _IAB，根密钥是K _gNB。

示例性地，第一信息携带在承载上下文修改请求消息中。例如，在IAB-MT通过donor-DU接入网络的过程中，收发单元用于向donor-CU-UP发送承载上下文修改请求消息，承载上下文修改消息包括第一信息。

结合第二十二方面，在第二十二方面的某些实现方式中，该第一信息包括以下至少一项：中间密钥、该宿主节点与该IAB节点之间使用的用户面密钥，该中间密钥和该用户面密钥用于确定该第一密钥。

结合第二十二方面，在第二十二方面的某些实现方式中，该第一信息包括该中间密钥，该中间密钥包括根据该根密钥和第二参数确定的密钥，该处理单元具体用于根据该根密钥为输入密钥和该第二参数，推演得到该中间密钥，该第二参数包括以下一项或多项：物理小区标识、下行绝对射频信道号、辅节点计数值、常数、新鲜性参数。

结合第二十二方面，在第二十二方面的某些实现方式中，该收发单元还用于向IAB-MT发送第四消息，该第四消息包括该中间密钥或该第二参数。

示例性地，在推演中间密钥所使用的第二参数包括IAB-MT未知的参数时，收发单元用于向IAB-MT发送第四消息。可选地，第四消息包括推演中间密钥所使用的第二参数中IAB-MT未知的参数。

示例性地，第四消息是IAB-MT通过donor-DU接入网络的过程中，收发单元向IAB-MT发送的RRC重配置消息。

结合第二十二方面，在第二十二方面的某些实现方式中，该第一信息包括该中间密钥，该中间密钥包括随机数，该处理单元具体用于生成该随机数。

结合第二十二方面，在第二十二方面的某些实现方式中，该收发单元还用于向IAB-MT发送第四消息，该第四消息包括该中间密钥。

结合第二十二方面，在第二十二方面的某些实现方式中，该第一信息包括该用户面密钥，该处理单元具体用于根据该根密钥推演得到该用户面密钥。

结合第二十二方面，在第二十二方面的某些实现方式中，该收发单元还用于接收第二指示信息。

示例性地，该第二指示信息用于指示该IAB-DU属于IAB节点。

结合第二十二方面，在第二十二方面的某些实现方式中，该收发单元还用于向该donor-CU-UP发送第一指示信息。

示例性地，该第一指示信息用于指示该IAB-DU属于IAB节点。

第二十三方面，本申请提供了一种通信设备，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第一方面或第一方面中任一种可能实现方式中的方法，或者实现上述第五方面或第五方面中任一种可能实现方式中的方法。其中，该通信设备还包括存储器。其中，该通信设备还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信设备为donor-CU-UP。当该通信设备为donor-CU-UP时，所述通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信设备为配置于donor-CU-UP中的芯片或芯片系统。当该通信设备为配置于donor-CU-UP中的芯片或芯片系统时，该通信接口可以是输入/输出接 口。

其中，该收发器可以为收发电路。其中，该输入/输出接口可以为输入/输出电路。

第二十四方面，本申请提供了一种通信设备，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第二方面或第二方面中任一种可能实现方式中的方法，或者实现上述第三方面或第三方面中任一种可能实现方式中的方法，或者实现上述第五方面或第五方面中任一种可能实现方式中的方法，或者实现上述第六方面或第六方面中任一种可能实现方式中的方法。其中，该通信设备还包括存储器。其中，该通信设备还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信设备为接入和IAB-DU。当该通信设备为IAB-DU时，所述通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信设备为配置于IAB-DU中的芯片或芯片系统。当该通信设备为配置于IAB-DU中的芯片或芯片系统时，该通信接口可以是输入/输出接口。

其中，该收发器可以为收发电路。其中，该输入/输出接口可以为输入/输出电路。

第二十五方面，本申请提供了一种通信设备，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第四方面或第四方面中任一种可能实现方式中的方法，或者实现上述第十一方面或第十一方面中任一种可能实现方式中的方法。其中，该通信设备还包括存储器。其中，该通信设备还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信设备为donor-CU-CP。当该通信设备为donor-CU-CP时，所述通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信设备为配置于donor-CU-CP中的芯片或芯片系统。当该通信设备为配置于donor-CU-CP中的芯片或芯片系统时，该通信接口可以是输入/输出接口。

其中，该收发器可以为收发电路。其中，该输入/输出接口可以为输入/输出电路。

第二十六方面，本申请提供了一种通信设备，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第七至第十方面或第七至第十方面中任一种可能实现方式中的方法。其中，该通信设备还包括存储器。其中，该通信设备还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信设备为IAB-MT。当该通信设备为IAB-MT时，所述通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信设备为配置于IAB-MT中的芯片或芯片系统。当该通信设备为配置于IAB-MT中的芯片或芯片系统时，该通信接口可以是输入/输出接口。

其中，该收发器可以为收发电路。其中，该输入/输出接口可以为输入/输出电路。

第二十七方面，本申请提供了一种处理器，包括：输入电路、输出电路和处理电路。所述处理电路用于通过所述输入电路接收信号，并通过所述输出电路发射信号，使得所述处理器执行上述各个方面中的方法。

在具体实现过程中，上述处理器可以为芯片，输入电路可以为输入管脚，输出电路可以为输出管脚，处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的，输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的，且输入电路和输出电路可以是同一电 路，该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。

第二十八方面，本申请提供了一种处理装置，包括通信接口和处理器。所述通信接口与所述处理器耦合。所述通信接口用于输入和/或输出信息。所述信息包括指令或数据中的至少一项。所述处理器用于执行计算机程序，以使得所述处理装置执行上述各个方面中的方法。

第二十九方面，本申请提供了一种处理装置，包括处理器和存储器。该处理器用于读取存储器中存储的指令，并可通过接收器接收信号，通过发射器发射信号，以使得所述处理装置执行上述各个方面中的方法。

可选地，上述处理器为一个或多个。如果有存储器，存储器也可以为一个或多个。

可选地，所述存储器可以与所述处理器集成在一起，或者所述存储器与处理器分离设置。

在具体实现过程中，存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

应理解，相关的信息交互过程，例如发送指示信息可以为从处理器输出指示信息的过程，接收指示信息可以为向处理器输入接收到的指示信息的过程。具体地，处理输出的信息可以输出给发射器，处理器接收的输入信息可以来自接收器。其中，发射器和接收器可以统称为收发器。

上述第二十八方面和第二十九方面中的装置可以是芯片，该处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于该处理器之外，独立存在。

第三十方面，本申请提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当所述计算机程序被运行时，使得计算机执行上述各个方面中的方法。

第三十一方面，本申请提供了一种计算机可读介质，所述计算机可读介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述各个方面中的方法。

第三十二方面，本申请提供了一种通信系统，包括前述的donor-CU-UP、donor-CU-CP、IAB-MT和IAB-DU。

附图说明

图1是下一代基站的集中式单元控制面实体和集中式单元用户面实体分离的架构示意图。

图2是适用于本申请的技术方案的IAB系统的架构图。

图3为多跳IAB网络的用户面协议栈架构的一种示例。

图4为多跳IAB网络的控制面协议栈架构的一种示例。

图5至图11示出了本申请实施例提供的方法的示意性流程图。

图12是本申请实施例提供的通信装置的示意性框图。

图13是本申请实施例提供的通信设备的示意性框图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例可以应用于各种通信系统，例如无线局域网系统(wireless local area network，WLAN)、窄带物联网系统(narrow band-internet of things，NB-IoT)、全球移动通信系统(global system for mobile communications，GSM)、增强型数据速率GSM演进系统(enhanced data rate for gsm evolution，EDGE)、宽带码分多址系统(wideband code division multiple access，WCDMA)、码分多址2000系统(code division multiple access，CDMA2000)、时分同步码分多址系统(time division-synchronization code division multiple access，TD-SCDMA)，长期演进系统(long term evolution，LTE)、卫星通信、第五代(5th generation，5G)系统或者将来出现的新的通信系统等。

本申请实施例中所涉及到的终端设备可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备。终端可以是移动台(mobile station，MS)、用户单元(subscriber unit)、用户设备(user equipment,UE)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant，PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machine type communication，MTC)终端等。

本申请实施例中的网络设备可以是用于与终端设备通信的设备，该网络设备可以是全球移动通讯(global System of mobile communication，GSM)系统或码分多址(code division multiple access，CDMA)中的基站(base transceiver station，BTS)，也可以是宽带码分多址(wideband code division multiple access，WCDMA)系统中的基站(NodeB，NB)，还可以是LTE系统中的演进型基站(evolutional NodeB，eNB或eNodeB)，还可以是下一代无线接入基站(NR NodeB，gNB)，还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等，本申请实施例并不限定。

在本申请实施例中，终端设备或网络设备包括硬件层、运行在硬件层之上的操作系统层，以及运行在操作系统层上的应用层。该硬件层包括中央处理器(central processing unit，CPU)、内存管理单元(memory management unit，MMU)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统，例如，Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且，本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定，只要能够通过运行记录有本申请实施例的提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可，例如，本申请实施例提供的方法的执行主体可以是终端设备或网络设备， 或者，是终端设备或网络设备中能够调用程序并执行程序的功能模块。

另外，本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如，计算机可读介质可以包括，但不限于:磁存储器件(例如，硬盘、软盘或磁带等)，光盘(例如，压缩盘(compact disc，CD)、数字通用盘(digital versatile disc，DVD)等)，智能卡和闪存器件(例如，可擦写可编程只读存储器(erasable programmable read-only memory，EPROM)、卡、棒或钥匙驱动器等)。另外，本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于，无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

NR技术中，接入网设备(例如，gNB)可以由一个gNB集中式单元(centralized unit,CU)和一个或者多个gNB分布式单元(distributed unit,DU)构成。gNB-CU和gNB-DU是不同的逻辑节点，可以部署在不同的物理设备上，或者部署在相同的物理设备上。

如果考虑控制面和用户面分离架构，gNB-CU可以进一步划分为集中式单元控制面(central unit-control plane，CU-CP)实体(或者也可称为CU-CP节点)和集中式单元用户面(central unit-user plane，CU-UP)实体(或者也可称为CU-UP节点)。其中，gNB-CU-CP为控制面实体，用于提供信令控制，gNB-CU-UP为用户面实体，用于提供终端设备数据的传输。gNB-CU-CP和gNB-CU-UP之间通过E1接口相连，gNB-CU-CP与gNB-DU之间通过F1-C接口相连，gNB-CU-UP与gNB-DU之间通过F1-U接口相连。其结构如图1所示。

针对如图1所示的架构，还具有如下的特性：

一个gNB会包含一个gNB-CU-CP、多个gNB-CU-UP、多个gNB-DU；

一个DU只可以连接一个gNB-CU-CP；

一个CU-UP只可以连接一个gNB-CU-CP；

一个DU在同一个CU-CP的控制下可以连接到多个gNB-CU-UP；

一个CU-UP在同一个CU-CP的控制下可以连接到多个gNB-DU。

应理解，图1只是示例性的，不应该对gNB的架构产生任何限定。例如，在CU-DU分离以及CP-UP分离的架构下，gNB可以只包括一个gNB-CU-UP、一个gNB-CU-CP、一个gNB-DU，或者，还可以包括更多的gNB-CU-UP和gNB-DU。本申请在此不作限制。

相较于第四代移动通信系统，第五代移动通信(5th generation mobile networks，5G)针对网络各项性能指标，全方位的都提出了更严苛的要求。例如，容量指标提升1000倍，更广的覆盖需求、超高可靠超低时延等。一方面，考虑到高频载波频率资源丰富，在热点区域，为满足5G超高容量需求，利用高频小站组网愈发流行。高频载波传播特性较差，受遮挡衰减严重，覆盖范围不广，故而需要大量密集部署小站，相应地，为这些大量密集部署的小站提供光纤回传的成本高，施工难度大，因此需要经济便捷的回传方案；另一方面，从广覆盖需求的角度出发，在一些偏远地区提供网络覆盖，光纤的部署难度大，成本高，也需要设计灵活便利的接入和回传方案。

接入回传一体化(integrated access and backhaul，IAB)技术为解决上述问题提供了思路，其接入链路(access link)和回传链路(backhaul link)皆采用无线传输方案，可以避免光纤部署。如图2所示，示出了无线中继场景示意图。在IAB网络中，中继节点(relay  node，RN)可以称为IAB节点，可以为用户设备(user equipment，UE)提供无线接入服务，UE的业务传输由IAB节点通过无线回传链路连接到的IAB宿主节点(donor node)传输，宿主节点也称为宿主基站(donor gnodeB，DgNB)。IAB节点可以扮演移动终端(mobile termination，MT)和DU两个角色；当IAB节点面向其父节点时，其可以被视为终端设备，即MT的角色，其中父节点可能是宿主基站；当IAB节点面向其子节点时，该IAB节点可以被视为网络设备，即DU的角色，其中，子节点可能是另一IAB节点或者普通UE。宿主基站可以是一个具有完整基站功能的接入网网元，可以是集中式单元和分布式单元分离形态的接入网网元。宿主基站连接到为UE服务的核心网网元，例如连接到5G核心网，为IAB节点提供无线回传功能。为了便于表述，将宿主基站的集中式单元简称为donor CU或者直接称为CU，宿主基站的分布式单元简称为donor DU或者直接称为DU，其中donor CU还有可能是控制面(control plane，CP)和用户面(user plane，UP)分离的形态，例如：CU可由一个CU-CP和一个或多个CU-UP组成。

如图3和图4所示，在IAB节点(IAB-DU)和宿主节点(IAB-donor-CU)之间，需要建立F1接口(或者被称为F1*接口，本文中，可统一称为F1接口，但对名称并不做限定)，该接口支持用户面协议(F1-U/F1*-U)和控制面协议(F1-C/F1*C)。其中，用户面协议包括以下协议层的一个或多个：通用分组无线服务隧道协议用户面(general packet radio service tunneling protocol user plane，GTP-U)层、用户数据报协议(user datagram protocol，UDP)层、因特网协议(internet network，IP)层、L2层(layer 2)、L1层(layer 1)、无线链路控制(radio link control，RLC)层、媒介接入控制(medium access control，MAC)层、物理(physical，PHY)层、回传自适应协议(backhaul adaptation protocol，BAP)层。控制面协议包括以下协议层的一个或多个：F1应用协议(F1application protocol，F1AP)层、流控传输协议(stream control transport protocol，SCTP)层、IP层、L2层、L1层、RLC层、MAC层、PHY层、BAP层。

图3和图4中IAB节点2和IAB节点1之间的无线回传链路、以及IAB节点1和IAB宿主DU之间的无线回传链路可以称为无线回传无线链路控制信道(backhaul radio link control channel，BH RLC CH)。

通过F1接口的控制面，IAB节点和IAB宿主之间可以进行执行接口管理、对IAB-DU进行管理，以及执行UE上下文相关的配置等。通过F1接口的用户面，IAB节点和IAB宿主之间可以执行用户面数据的传输，以及下行传输状态反馈等功能。

为了保护F1接口的安全，IAB节点和IAB宿主之间可以建立IP安全性(IP security，IPSec)安全连接。

当IAB宿主采用CU-UP和CU-CP分离的架构时，即当IAB宿主分为donor-CU-CP和donor-CU-UP时，如何建立donor-CU-CP和IAB节点之间的IPSec安全连接成为一项亟待解决的问题。

有鉴于此，本申请实施例提供一种建立安全传输通道的方法，以期建立donor-CU-UP与IAB-DU之间的用户面安全传输通道。

需要说明的是，在下文实施例中，donor-CU-UP处的第一密钥是donor-CU-UP推演得到的，或者是donor-CU-CP推演得到并发送给donor-CU-UP的，IAB-DU处的第一密钥是IAB-DU推演得到的，或者是IAB-MT推演得到并发送给IAB-DU的。由于IAB-DU处的 第一密钥与donor-CU-UP处的第一密钥是相同的密钥，因此本申请中将IAB-DU处的密钥和donor-CU-UP处的密钥都命名为第一密钥。但是不应理解为donor-CU-UP处的密钥是IAB-DU/IAB-MT推演得到的，以及不应理解为IAB-DU处的密钥是donor-CU-UP/donor-CU-CP推演得到的。当然，也可以将donor-CU-UP处的密钥命名为第一密钥，将IAB-DU处的密钥命名为第五密钥，第一密钥与第五密钥是相同的密钥。本申请实施例对此不做限定。

图5是本申请实施例提供的建立安全传输通的方法。如图5所示，方法500包括S510至S550，下面详细描述各个步骤。

S510，donor-CU-CP发送第三消息。相应地，在S510中，donor-CU-UP接收第三消息。

第三消息包括宿主节点的根密钥(下文中记为K _gNB)。K _gNB是donor-CU-CP在IAB节点的IAB-MT注册到网络的过程中从网络中获取的。示例性地，在IAB节点的IAB-MT通过donor-DU和donor-CU-CP或者通过其他IAB节点和donor-CU-CP接入网络的过程中，核心网对IAB-MT进行鉴权之后，接入和移动性管理功能网元(access and mobility management function，AMF)向donor-CU-CP发送初始上下文建立请求(initial context setup request)消息，该初始上下文建立请求消息包括K _gNB。Donor-CU-CP接收到该初始上下文建立请求消息之后，可以将该初始上下文建立请求消息包括的K _gNB保存在IAB节点的上下文中。应理解，IAB-MT与IAB-DU属于同一个IAB节点。Donor-DU和donor-CU-UP、donor-CU-CP属于同一个IAB宿主节点。

K _gNB用于推演第一密钥。第一密钥是donor-CU-UP与IAB-DU建立用户面安全传输通道时所使用的认证凭证，该用户面安全传输通道用于传输终端设备的用户面数据。Donor-CU-UP与IAB-DU建立的用户面安全传输通道可以是利用IPSec机制建立的安全传输通道。需要说明的是，第一密钥不同于K _gNB。

本申请实施例对第三消息不做限定。

作为一个示例，第三消息是承载上下文建立请求(bearer context setup request)消息。例如，该承载上下文建立请求消息是IAB-MT通过donor-DU和donor-CU-CP或者通过其他IAB节点和donor-CU-CP接入网络时，donor-CU-CP向donor-CU-UP发送的。又例如，该承载上下文建立请求消息是终端设备通过IAB-DU接入网络时，donor-CU-CP向donor-CU-UP发送的。其中，IAB-MT和IAB-DU属于同一个IAB节点，donor-DU与donor-CU-CP、donor-CU-UP属于同一个IAB宿主节点。

作为另一个示例，第三消息是承载上下文修改请求(bearer context modification request)消息。例如，该承载上下文修改请求消息是IAB-MT通过donor-DU和donor-CU-CP或者通过其他IAB节点和donor-CU-CP接入网络时，donor-CU-CP向donor-CU-UP发送的。又例如，该承载上下文修改请求消息是终端设备通过IAB-DU接入网络时，donor-CU-CP向donor-CU-UP发送的。

可选地，第三消息还包括第一指示信息，第一指示信息用于指示IAB-DU属于IAB节点。

示例性地，该第一指示信息可以是一个独立的信元，例如该第一指示信息是“IAB-indicator”信元。又示例性地，该第一指示信息可以是IAB-DU的IP地址或K _gNB， 即IAB-DU的IP地址或K _gNB还可以用于指示IAB-DU属于IAB节点。

S520，donor-CU-UP推演第一密钥。

Donor-CU-UP根据K _gNB、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥。

示例性地，Donor-CU-UP以K _gNB为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

Donor-CU-UP的第一IP地址是Donor-CU-UP建立该用户面安全传输通道所使用的IP地址。应理解，donor-CU-UP可能具有多个IP地址，在建立用户面安全传输通道之前，donor-CU-UP从多个IP地址中确定一个第一IP地址，用于建立用户面安全传输通道。示例性地，在终端设备通过IAB-DU接入网络的过程中，donor-CU-UP接收来自donor-CU-CP的承载上下文建立请求消息之后，确定用于建立该用户面安全传输通道的donor-CU-UP的第一IP地址。

IAB-DU的IP地址是donor-CU-UP从donor-CU-CP获取的。示例性地，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP的承载上下文修改请求消息包括IAB-DU的IP地址。

本申请实施例对donor-CU-UP推演第一密钥的触发条件不做限定。

作为一个示例，donor-CU-UP可以在获取到IAB-DU的IP地址和K _gNB的情况下，推演第一密钥。

作为另一个示例，donor-CU-UP在接收到第一指示信息的情况下，推演第一密钥。

可选地，donor-CU-UP推演得到第一密钥之后，将第一密钥和IAB-DU的IP地址的对应关系保存到donor-CU-UP的上下文中。

S530，donor-CU-CP发送第二消息。相应地，在S530中，IAB-DU接收第二消息。

第二消息包括donor-CU-UP的第一IP地址。示例性地，第二消息是UE上下文建立请求(UE context setup request)消息。例如，该UE上下文建立请求消息是终端设备通过IAB-DU接入网络时，donor-CU-CP向IAB-DU发送的。

S540，IAB-DU确定第一密钥。

IAB-DU确定第一密钥的方式见下文方法600中的描述。

S550，donor-CU-UP和IAB-DU使用第一密钥建立用户面安全传输通道。

示例性地，donor-CU-UP与IAB节点使用因特网密钥交换(internet key exchange，IKE)V2协议中支持的预共享密钥(pre-shared secret key，PSK)的方式来建立用户面安全传输通道。其中，在第一次消息交换中，IAB节点和donor-CU-UP以明文方式完成IKE安全管理(security association，SA)的参数协商，包括协商加密和验证算法，交换临时随机数和Diffie-Hellman(DH)交换。在第二次消息交换中，IAB节点和donor-CU-UP分别使用第一密钥生成认证参数发送给对端，以完成身份验证。

可以理解，在IAB-DU与donor-CU-UP使用IKEv2 PSK协议建立用户面安全传输通道时，IAB-DU根据IAB-DU上下文中保存的第一密钥与donor-CU-UP的第一IP地址的对应关系，确定将第一密钥作为建立用户面安全传输通道时使用的认证凭证，donor-CU-UP根据donor-CU-UP上下文中保存的的第一密钥与IAB-DU的IP地址的对应关系，确定将第一密钥作为建立用户面安全传输通道时使用的认证凭证。

还应理解，IAB-DU与donor-CU-UP执行建立用户面安全传输通道的流程，既可以是由IAB-DU触发的，也可以是由donor-CU-UP触发的。例如，若IAB-DU收到来自终端设备的用户面数据请求时，IAB-DU与donor-CU-UP之间的用户面安全传输通道还没有建立，则IAB-DU触发建立用户面安全传输通道的流程。又例如，若donor-CU-UP收到终端设备的下行数据时，IAB-DU与donor-CU-UP之前的用户面安全传输通道还没有建立，则donor-CU-UP触发建立用户面安全传输通道的流程。

在本申请实施例中，donor-CU-CP将K _gNB发送给donor-CU-UP，使得donor-CU-UP可以将K _gNB作为输入密钥推演得到第一密钥，同时IAB-DU可以得到同样的第一密钥。在donor-CU-UP与IAB-DU处有相同的第一密钥的情况下，donor-CU-UP与IAB-DU可以基于第一密钥建立用户面安全传输通道，从而有效避免宿主节点和IAB-DU建立F1-U接口的安全传输通道时认证错误的问题。

如上文所述，在IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP从AMF接收到的初始上下文建立请求消息包括K _gNB。Donor-CU-CP获取到K _gNB之后，可以根据K _gNB推演控制面相关的密钥。因此，基于方法500，donor-CU-CP将K _gNB发送给donor-CU-UP之后，donor-CU-UP不仅可以根据K _gNB推演第一密钥，还可能根据K _gNB推演得到控制面相关的密钥。一旦donor-CU-UP根据K _gNB推演得到控制面相关的密钥，将影响控制面的传输安全，不符合密钥隔离和权限最小化的需求。此外，donor-CU-UP的部署方式可以是分散式部署，即一个donor-CU-CP可以管理多个donor-CU-UP，若donor-CU-CP将K _gNB发送给多个donor-CU-UP，将加据密钥泄漏的风险。

因此，根据方法500虽然可以建立donor-CU-UP与IAB-DU之间的用户面安全传输通道，但是方法500存在密钥泄漏的风险。

图6是本申请实施例提供的建立安全传输通道的方法。如图6所示，方法600包括S610至S640，下面详细描述各个步骤。

S610，donor-CU-CP发送第一消息。相应地，在S610中，donor-CU-UP接收第一消息。

在一种可能的实现方式中，第一消息包括第一密钥，第一密钥是donor-CU-UP与IAB-DU建立用户面安全传输通道时所使用的认证凭证，该用户面安全传输通道用于传输终端设备的用户面数据。Donor-CU-UP与IAB-DU建立的用户面安全传输通道可以是利用IPSec机制建立的用户面安全传输通道。

需要说明的是，该第一密钥不同于宿主节点的根密钥(下文中记为K _gNB)，该K _gNB为该donor-CU-CP在IAB节点注册到网络的过程中从该网络获取到的密钥。示例性地，在IAB节点的IAB-MT通过donor-DU和donor-CU-CP或者通过其他IAB节点和donor-CU-CP接入网络的过程中，核心网对IAB-MT进行鉴权之后，AMF向donor-CU-CP发送初始上下文建立请求消息，该初始上下文建立请求消息包括K _gNB。Donor-CU-CP接收到该初始上下文建立请求消息之后，可以将该初始上下文建立请求消息包括的K _gNB保存在IAB节点的上下文中。应理解，IAB-MT与IAB-DU属于同一个IAB节点，donor-DU与donor-CU-CP属于同一个IAB宿主节点。

可选地，第一消息还包括donor-CU-UP的第一IP地址。相应地，donor-CU-UP接收到该第一消息之后，在确定根据第一IP地址建立donor-CU-UP与IAB-DU之间的用户面 安全传输通道之后，根据第一IP地址确定在建立该用户面安全传输通道时使用第一密钥。

可选地，第一消息还包括IAB-DU的IP地址。相应地，donor-CU-UP接收到该第一消息之后，在确定根据第一IP地址建立donor-CU-UP与IAB-DU之间的用户面安全传输通道之后，根据第一IP地址和IAB-DU的IP地址确定在建立该用户面安全传输通道时使用第一密钥。

在第一消息包括第一密钥的情况下，方法600还包括S611a：donor-CU-CP确定第一密钥。

Donor-CU-CP根据K _gNB、donor-CU-UP的第一IP地址和IAB-DU的IP地址，推演得到第一密钥。

示例性地，Donor-CU-CP以K _gNB为输入密钥、以donor-CU-UP的第一IP地址和IAB-DU的IP地址为输入参数，推演得到第一密钥。应理解，K _gNB为IAB-MT和IAB-Donor共有的密钥。

其中，K _gNB是donor-CU-CP从本地保存的IAB节点的上下文中获取的。

Donor-CU-UP的第一IP地址是donor-CU-UP建立该用户面安全传输通道所使用的IP地址。应理解，donor-CU-UP可能具有多个IP地址，在建立用户面安全传输通道之前，donor-CU-UP从多个IP地址中确定一个第一IP地址，用于建立用户面安全传输通道。示例性地，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP接收来自donor-CU-UP的承载上下文建立响应(bearer context setup response)消息，承载上下文建立响应消息包括donor-CU-UP的第一IP地址。

IAB-DU的IP地址可以是donor-CU-CP分配的，或者是操作管理和维护(operation administration and maintenance，OAM)为IAB-DU分配的。在OAM为IAB-DU分配IP地址的情况下，donor-CU-CP可以从OAM获取到IAB-DU的IP地址。

本申请实施例对donor-CU-CP确定第一密钥的触发条件不做限定。

作为一个示例，donor-CU-CP可以在获取到donor-CU-UP的第一IP地址的情况下，确定第一密钥。也就是说，一旦donor-CU-CP接收到来自donor-CU-UP的承载建立上下文响应消息，就可以根据承载建立上下文响应消息中携带的donor-CU-UP的第一IP地址确定第一密钥。

作为另一个示例，donor-CU-CP在确定IAB-DU属于IAB节点的情况下，确定第一密钥。示例性地，donor-CU-CP根据本地保存的IAB-DU的上下文是否包括第一标识确定IAB-DU是否属于IAB节点，第一标识用于指示IAB-DU属于IAB节点。若IAB节点的上下文包括第一标识，则donor-CU-CP确定IAB-DU属于IAB节点；若IAB节点的上下文不包括第一标识，则donor-CU-CP确定IAB-DU不属于IAB节点。示例性地，第一标识是IAB-DU的IP地址。

在另一种可能的实现方式中，第一消息包括多个密钥和donor-CU-UP的多个IP地址的一一对应关系，该多个密钥包括第一密钥，且该第一密钥与donor-CU-UP的第一IP地址对应。

可选地，第一消息还包括IAB-DU的IP地址，该多个密钥都与该IAB-DU的IP地址对应。也就是说，该多个密钥中的每个密钥与donor-CU-UP的一个IP地址以及IAB-DU的IP地址对应。

在第一消息包括多个密钥和donor-CU-UP的多个IP地址的一一对应关系的情况下，方法600还包括S611b：donor-CU-CP根据K _gNB、IAB-DU的IP地址和donor-CU-UP的多个IP地址，推演得到该多个密钥。

例如，该donor-CU-UP的多个IP地址包括第一IP地址和第二IP地址。则donor-CU-CP根据K _gNB、IAB-DU的IP地址和第一IP地址，推演得第一密钥；以及根据K _gNB、IAB-DU的IP地址和第二IP地址，推演得第二密钥。然后将第一IP地址和第一密钥的对应关系以及第二IP地址和第二密钥的对应关系携带在第一消息中，发送给donor-CU-UP。

可选地，在donor-CU-CP确定多个密钥之前，该方法还包括：donor-CU-CP向donor-CU-UP发送第一指示信息；donor-CU-CP接收来自donor-CU-UP的donor-CU-UP的多个IP地址。相应地，donor-CU-UP接收到第一指示信息之后，根据第一指示信息向donor-CU-CP发送donor-CU-UP的多个IP地址。

具体地，该donor-CU-UP的多个IP地址是donor-CU-UP的所有IP地址。也就是说，donor-CU-UP接收到第一指示信息之后，根据第一指示信息将donor-CU-UP所有的IP地址发送给donor-CU-CP。

示例性地，该第一指示信息用于指示IAB-DU属于IAB节点。

例如，donor-CU-UP有三个IP地址，分别记为CU-UP IP1、CU-UP IP2和CU-UP IP3，则donor-CU-UP向donor-CU-CP发送该三个IP地址。相应地，donor-CU-CP收到来自donor-CU-UP的三个IP地址之后，根据K _gNB、IAB-DU IP地址和donor-CU-UP的三个IP地址推演得到三个密钥。

具体地，donor-CU-CP以K _gNB为输入密钥、以IAB-DU的IP地址和CU-UP IP1为输入参数推演得到一个密钥(记为K _IAB-UP1)；donor-CU-CP以K _gNB为输入密钥、以IAB-DU IP地址和CU-UP IP2为输入参数推演得到一个密钥(记为K _IAB-UP2)；donor-CU-CP以K _gNB为输入密钥、以IAB-DU IP地址和CU-UP IP3为输入参数推演得到一个密钥(K _IAB-UP3)。进一步地，donor-CU-CP将推演得到的三个密钥以及与三个密钥分别对应的donor-CU-UP的IP地址发送给donor-CU-UP。可选地，donor-CU-UP将推演得到的三个密钥以及与三个密钥分别对应的三组第一参数发送给donor-CU-UP，每个密钥对应的第一参数是推演该密钥所用的输入参数。示例性地，三个密钥以及与三个密钥分别对应的三组第一参数可以表示为：{K _IAB-UP1，CU-UP IP1和IAB-DU IP}、{K _IAB-UP2，CU-UP IP2和IAB-DU IP}和{K _IAB-UP3，CU-UP IP3和IAB-DU IP}。

在第一消息包括多个密钥的情况下，方法600还包括S612：donor-CU-UP确定根据第一IP地址建立donor-CU-UP与IAB-DU之间的用户面安全传输通道；根据第一IP地址确定第一密钥。

示例性地，donor-CU-UP将多个密钥中与第一IP地址对应的密钥确定为第一密钥。或者，donor-CU-UP将多个密钥中与第一IP地址和IAB-DU的IP地址对应的密钥确定为第一密钥。

例如，在终端设备通过IAB-DU接入网络的过程中，donor-CU-UP接收到来自donor-CU-CP的承载上下文建立请求消息之后，确定用于建立用户面安全传输通道的donor-CU-UP的IP地址是第一IP地址；进一步地，donor-CU-UP接收到来自donor-CU-CP的承载上下文修改请求消息，该承载上下文修改请求消息包括用于建立用户面安全传输通 道的IAB-DU的IP地址；再进一步地，donor-CU-UP将多个密钥中确定与用于建立用户面安全传输通道的donor-CU-UP的第一IP地址和IAB-DU的IP地址对应的密钥确定为第一密钥。例如，donor-CU-UP确定的用于建立用户面安全传输通的IP地址是上文的CU-UP IP2，则donor-CU-UP将与CU-UP IP2和IAB-DU IP对应的K _IAB-UP2确定为第一密钥。

可选地，donor-CU-UP从第一消息中获取到第一密钥，或者从第一消息包括的多个密钥中确定第一密钥之后，保存第一密钥和IAB-DU的IP地址的对应关系。

示例性地，donor-CU-UP将第一密钥和IAB-DU的IP地址的对应关系保存到donor-CU-UP的上下文中。

其中，IAB-DU的IP地址是donor-CU-UP从donor-CU-CP获取的。示例性地，donor-CU-CP将IAB-DU的IP地址携带在第一消息中发送给donor-CU-UP。例如，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP的承载上下文修改请求消息包括第一密钥和IAB-DU的IP地址。又示例性地，donor-CU-CP将IAB-DU的IP地址携带在不同于第一消息的其他消息中发送给donor-CU-UP。例如，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息，承载上下文建立请求消息包括第一密钥；进一步地，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消息，承载上下文修改请求消息包括IAB-DU的IP地址。

本申请实施例对donor-CU-CP向donor-CU-UP发送的第一消息不做限定。

作为一个示例，若第一消息包括第一密钥，则第一消息可以是承载上下文修改请求消息。具体地，该承载上下文修改请求消息是终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送的。例如，第一密钥可以携带在承载上下文修改请求消息包括的安全信息(security information)中。或者，第一密钥可以携带在承载上下文修改请求消息中新定义的信元中。

作为另一个示例，若第一消息包括第一密钥，则第一消息可以是承载上下文建立请求消息。具体地，该承载上下文建立请求消息是终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送的。

例如，donor-CU-UP只有一个IP地址，在建立不同的用户面安全传输通道时，donor-CU-UP都使用该IP地址建立用户面安全传输通道。假设，在S710之前，donor-CU-UP与一个IAB-DU已建立了一个用户面安全传输通道(记为用户面安全传输通道1)，在建立该用户面安全传输通道1的过程中，donor-CU-CP可以获取到donor-CU-UP的IP地址。在这之后，在建立另一个用户面安全传输通道(记为用户面安全传输通道2)的过程中，由于donor-CU-CP在建立用户面安全传输通道1的过程中已获取到donor-CU-UP的IP地址，因此，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息之前，donor-CU-CP可以根据donor-CU-UP的IP地址确定第一密钥，并将第一密钥携带在承载上下文建立请求消息中发送给donor-CU-UP。

作为再一个示例，若第一消息包括多个密钥和多组第一参数，则第一消息可以是承载上下文修改请求消息。具体地，该承载上下文请求消息是IAB-MT通过donor-DU和donor-CU-CP或者其他IAB节点和donor-CU-CP接入网络的过程中，donor-CU-CP向donor-CU-UP发送的。

示例性地，表1示出了安全信息包括的部分信元。表2示出了“IAB Pre-Shared Key” 信元包括的IE/group。

其中，第一密钥或多个密钥和donor-CU-UP的多个IP地址的一一对应关系可以包含在“security information”信元中。

表1

表2

示例性地，表3示出了承载上下文建立请求消息包括的部分信元。表4示出了“IAB Pre-Shared Key”信元包括的IE/group。表5示出了“IAB credential”信元包括的IE/group。

其中，第一密钥或多个密钥和多组第一参数可以包含在“IAB Pre-Shared Key”信元中。具体地，第一密钥或多个密钥和多组第一参数可以包含在“IAB Pre-Shared Key”信元中的“IAB凭证(credential)”信元中。

表3

表4

IE/group名称	presence	semantics description
IAB凭证(credential)	必选

表5

IE/group名称	presence	semantics description
K IAB	必选	参考3GPP TS33.501中的描述

可选地，方法600还包括S613：donor-CU-CP根据K _gNB、donor-CU-CP的IP地址和IAB-DU的IP地址，推演得到第三密钥。第三密钥是donor-CU-CP与IAB-DU建立控制 面安全传输通道时所使用的认证凭证。Donor-CU-CP与IAB-DU建立的控制面安全传输通道可以是利用IPSec机制建立的安全传输通道。

示例性地，donor-CU-CP以K _gNB为输入密钥、以donor-CU-CP的IP地址和IAB-DU的IP地址为输入参数，推演得到第三密钥。

可选地，第一消息还包括第一指示信息。相应地，通过第一指示信息，donor-CU-UP将第一密钥作为与IAB-DU建立用户面安全传输通道时所使用的认证凭证。否则，donor-CU-UP与IAB-DU建立用户面安全传输通道的方式将不会依赖于第一密钥作为认证凭证。

示例性地，第一指示信息用于指示IAB-DU属于IAB节点。

示例性地，该第一指示信息可以是一个独立的信元，例如该第一指示信息是“IAB-indicator”信元。又示例性地，该第一指示信息可以是上述IAB-DU的IP地址或第一密钥，即IAB-DU的IP地址或第一密钥还可以用于指示IAB-DU属于IAB节点。

S620，donor-CU-CP发送第二消息。相应地，在S620中，IAB-DU接收第二消息。

第二消息包括donor-CU-UP的第一IP地址。示例性地，第二消息是UE上下文建立请求消息。例如，该UE上下文建立请求消息是终端设备通过IAB-DU接入网络时，donor-CU-CP向IAB-DU发送的。

S630，IAB-DU确定第一密钥。

示例性地，S630包括S631a至S633a：

S631a，IAB-DU向IAB-MT发送第一请求消息。

第一请求消息包括donor-CU-UP的第一IP地址，第一请求消息用于请求第一密钥。

IAB-MT接收到来自IAB-DU的第一请求消息之后，根据K _gNB、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥，然后将第一密钥发送给IAB-DU。可以理解，IAB-DU的IP地址是IAB-MT完成注册之后从OAM或donor-CU-CP获取的。

示例性地，IAB-MT以K _gNB为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

S632a，IAB-MT向IAB-DU发送第一响应消息。

第一响应消息包括第一密钥。

相应地，IAB-DU收到第一密钥之后，保存第一密钥与donor-CU-UP的第一IP地址的对应关系。示例性地，IAB-DU将第一密钥与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

IAB-MT存储有K _gNB，IAB-DU获得donor-CU-UP的第一IP地址，因此上述方式通过IAB-MT和IAB-DU交互，解决了IAB-DU第一密钥获取问题。同时，第一密钥与K _gNB不同，符合密钥隔离和权限最小化的需求，避免了密钥泄露。

又示例性地，S630包括S631b至S633b：

S631b，IAB-DU向IAB-MT发送第二请求消息。

第二请求消息用于请求K _gNB。

S632b，IAB-MT向IAB-DU发送第二响应消息。

第二响应消息包括K _gNB。

应理解，S631b和S632b是可选的步骤。即，若IAB-DU本地保存了K _gNB，则S630 仅包括S633b。IAB-DU本地保存的K _gNB是在IAB-DU启动之后从IAB-MT获取的。例如，在IAB-DU启动之后，IAB-MT向IAB-DU发送IAB-DU的IP地址时，向IAB-DU发送了K _gNB。

S633b，IAB-DU推演第一密钥。

IAB-DU根据K _gNB、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥。

示例性地，IAB-DU以K _gNB为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。可以理解，IAB-DU的IP地址是IAB-DU启动之后从IAB-MT获取的。

IAB-MT存储有K _gNB，IAB-DU获得donor-CU-UP的第一IP地址，因此上述方式通过IAB-MT和IAB-DU交互，解决了IAB-DU第一密钥获取问题。同时，IAB-DU在获取K _gNB后，在donor-CU-UP的第一IP地址发生变化时，无需重复请求K _gNB，便于本地按需计算第一密钥。

进一步地，IAB-DU推演得到第一密钥之后，保存第一密钥与donor-CU-UP的第一IP地址的对应关系。示例性地，IAB-DU将第一密钥与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

应理解，本申请实施例并不限定IAB-DU获取第一密钥的时机。

作为一个示例，IAB-DU在获取到donor-CU-UP的第一IP地址的情况下，获取第一密钥。例如，若S630包括S631a至S633a，则IAB-DU在获取到donor-CU-UP的第一IP地址的情况下，向IAB-MT发送第一请求消息。又例如，若S630包括S631b至S633b，则IAB-DU在获取到donor-CU-UP的第一IP地址的情况下，向IAB-MT发送第二请求消息，或者推演得到第一密钥。

作为另一个示例，IAB-DU向donor-CU-UP发起用户面安全传输通道建立流程之前，获取第一密钥。例如，若S630包括S631a至S633a，则IAB-DU向donor-CU-UP发起用户面安全传输通道建立流程之前，向IAB-MT发送第一请求消息。又例如，若S630包括S631b至S633b，则IAB-DU向donor-CU-UP发起用户面安全传输通道建立流程之前，向IAB-MT发送第二请求消息，或者在推演得到第一密钥。

作为再一个示例，IAB-DU收到来自donor-CU-UP的认证请求消息之后，获取第一密钥，该认证请求消息用于建立用户面安全传输通道。例如，若S630包括S631a至S633a，则IAB-DU收到来自donor-CU-UP的认证请求消息之后向IAB-MT发送第一请求消息。又例如，若S630包括S631b至S633b，则IAB-DU收到来自donor-CU-UP的认证请求消息之后，向IAB-MT发送第二请求消息，或者推演得到第一密钥。

作为再一个示例，IAB-DU收到来自终端设备的用户面数据请求消息之后，获取第一密钥。例如，若S630包括S631a至S633a，则IAB-DU收到来自终端设备的用户面数据请求消息之后向IAB-MT发送第一请求消息。又例如，若S630包括S631b至S633b，则IAB-DU收到来自终端设备的用户面数据请求消息之后，向IAB-MT发送第二请求消息，或者推演得到第一密钥。

S640，donor-CU-UP和IAB-DU使用第一密钥建立用户面安全传输通道。

示例性地，donor-CU-UP与IAB节点使用IKEv2 PSK协议中支持的PSK的方式建立 用户面安全传输通道。其中，在第一次消息交换中，IAB节点和donor-CU-UP以明文方式完成IKE SA的参数协商，包括协商加密和验证算法，交换临时随机数和DH交换。在第二次消息交换中，IAB节点和donor-CU-UP分别使用第一密钥生产认证参数发送给对端，以完成身份验证。

可以理解，在IAB-DU与donor-CU-UP使用IKEv2 PSK协议建立用户面安全传输通时，IAB-DU根据IAB-DU上下文中保存的第一密钥与donor-CU-UP的第一IP地址的对应关系，确定将第一密钥作为建立用户面安全传输通道时使用的认证凭证，donor-CU-UP根据donor-CU-UP上下文中保存的的第一密钥与IAB-DU的IP地址的对应关系，确定将第一密钥作为建立用户面安全传输通道时使用的认证凭证。

还应理解，IAB-DU与donor-CU-UP执行IKEv2 PSK的流程，既可以是由IAB-DU触发的，也可以是由donor-CU-UP触发的。例如，若IAB-DU收到来自终端设备的用户面数据请求时，IAB-DU与donor-CU-UP之间的用户面安全传输通道还没有建立，则IAB-DU触发IKEv2 PSK的流程。又例如，若donor-CU-UP收到终端设备的下行数据时，IAB-DU与donor-CU-UP之前的用户面安全传输通道还没有建立，则donor-CU-UP触发IKEv2 PSK的流程。

在本申请实施例中，donor-CU-CP根据K _gNB、donor-CU-UP的第一IP地址和IAB-DU的IP地址，推演得到第一密钥，并将第一密钥发送给donor-CU-UP，同时IAB节点也以同样的方式确定第一密钥，从而使得donor-CU-UP与IAB节点处有同样的第一密钥，有效避免宿主节点和IAB-DU建立F1-U接口的安全传输通道时认证错误的问题。同时，由于第一密钥不同于K _gNB，符合密钥隔离和权限最小化的需求，避免了密钥泄露。

可选地，在IAB-DU与donor-CU-UP建立用户面安全传输通道之后，IAB-MT与核心网可能会进行重鉴权。

可以理解，在IAB-MT与核心网进行重鉴权之后，AMF向donor-CU-CP发送初始上下文建立请求消息，初始上下文建立请求消息包括新的K _gNB。相应地，IAB-MT也会生成新的K _gNB。

进一步地，donor-CU-CP可以以新的K _gNB为输入参数、以IAB-DU的IP地址和donor-CU-CP的IP地址为输入参数，推演得到新的第二密钥。

进一步地，donor-CU-CP还可以将新的K _gNB发送给donor-CU-UP。示例性地，donor-CU-UP将新的第一密钥携带在承载上下文修改请求消息中发送给donor-CU-UP。

相应地，donor-CU-UP接收到新的K _gNB之后，可以根据新的K _gNB生成新的第一密钥，并基于新的第一密钥更新在S640中建立的用户面安全传输通道。Donor-CU-UP也可以根据新的K _gNB建立其他的用户面安全传输通道。该新的第一密钥不同于新的K _gNB。

图7是本申请另一实施例提供的建立安全传输通道的方法。如图7所示，方法700包括S710至S760，下面详细描述各个步骤。

S710，donor-CU-CP发送第一信息。相应地，在S710中，donor-CU-UP接收第一信息。

其中，第一信息用于确定第一密钥，第一密钥是donor-CU-UP与IAB-DU建立用户面安全传输通道所使用的认证凭证，该用户面安全传输通道用于传输终端设备的用户面数据。Donor-CU-UP与IAB-DU建立的用户面安全传输通道可以是利用IPSec机制建立的安 全传输通道。

需要说明的是，该第一密钥不同于宿主节点的根密钥(下文中记为K _gNB)，该K _gNB为该donor-CU-CP在IAB节点注册到网络的过程中从该网络获取到的密钥。示例性地，在IAB节点的IAB-MT通过donor-DU和donor-CU-CP或者通过其他IAB节点和donor-CU-CP接入网络的过程中，核心网对IAB-MT进行鉴权之后，AMF向donor-CU-CP发送初始上下文建立请求消息，该初始上下文建立请求消息包括K _gNB。Donor-CU-CP接收到该初始上下文建立请求消息之后，可以将该初始上下文建立请求消息包括的K _gNB保存在IAB节点的上下文中。应理解，IAB-MT与IAB-DU属于同一个IAB节点，donor-DU与donor-CU-CP属于同一个IAB宿主节点。

示例性地，第一信息包括以下至少一项：中间密钥、用户面密钥。

中间密钥为用于生成第一密钥的中间密钥。示例性地，中间密钥是根据K _gNB和第二参数推演出来的。又示例性地，中间密钥是一个随机数。

用户面密钥为IAB节点与IAB宿主节点之间使用的用户面密钥。其中，第二参数包括以下一项或多项：物理小区标识(physical cell identifier，PCI)、下行绝对射频信道号(absolute radio frequency channel number-downlink，ARFCN-DL)、辅节点计数值(counter)、常数(constant)、新鲜性(fresh)参数。

在一种可能的实现方式中，第一信息包括中间密钥。

相应地，donor-CU-CP向donor-CU-UP发送第一信息，包括：donor-CU-CP生成中间密钥；donor-CU-CP向donor-CU-UP发送中间密钥。

作为一个示例，donor-CU-CP生成中间密钥，包括：donor-CU-CP根据K _gNB和第二参数推演得到中间密钥。

可选地，在该示例中，该方法700还包括S750：donor-CU-CP向IAB-MT发送第四消息，第四消息包括中间密钥或第二参数。

具体地，第四消息包括中间密钥或者生成中间密钥所使用的第二参数中IAB-MT未知的参数。也就是说，若donor-CU-CP生成中间密钥使用的第二参数包括IAB-MT未知的参数，则donor-CU-CP向IAB-MT发送中间密钥或生成中间密钥所使用的第二参数中IAB-MT未知的参数。

需要说明的是，上述第二参数包括的PCI、ARFCN-DL、辅节点counter是IAB-MT已知的参数。

示例性地，第四消息是IAB-MT通过donor-DU和donor-CU-CP或者通过其他IAB节点和donor-CU-CP接入网络的过程中，donor-CU-CP向IAB-MT发送的RRC重配置消息。应理解，donor-DU与donor-CU-CP属于同一个IAB宿主节点。

作为另一个示例，donor-CU-CP生成中间密钥，包括：donor-CU-CP生成一个随机数，并将该随机数作为中间密钥。

在该示例中，该方法700还包括S750：donor-CU-CP向IAB-MT发送第四消息，第四消息包括中间密钥。

在又一种可能的实现方式中，第一信息包括用户面密钥。

相应地，donor-CU-UP向donor-CU-UP发送第一信息，包括：donor-CU-CP生成用户面密钥；donor-CU-CP向donor-CU-UP发送用户面密钥。

donor-CU-CP生成用户面密钥，包括：donor-CU-CP根据K _gNB推演得到用户面密钥。

示例性地，在IAB-MT通过donor-DU和donor-CU-CP或者通过其他IAB节点和donor-CU-CP接入网络的过程中，IAB-MT与核心网完成鉴权之后，AMF向donor-CU-CP发送的初始上下文建立请求消息包括K _gNB。进一步地，donor-CU-CP根据K _gNB推演用户面密钥，并将用户面密钥发送给donor-CU-UP。用户面密钥包括用户面完整性保护密钥(记为Kupenc)和/或用户面加密性保护密钥(记为Kupint)。

本申请实施例对donor-CU-CP生成第一信息的触发条件不做限定。

在一种可能的实现方式中，donor-CU-CP在收到第二指示信息的情况下，生成第一信息。第二指示信息用于指示IAB-DU属于IAB节点。

示例性地，donor-CU-CP从IAB-MT接收第二指示信息，该第二指示信息为“IAB-indication”信元。在IAB-MT通过donor-DU和donor-CU-CP或者通过其他IAB节点和donor-CU-CP接入网络的过程中，IAB-MT通过donor-DU或其他IAB节点将“IAB-indication”信元发送给donor-CU-UP。

又示例性地，donor-CU-CP从核心网网元接收第二指示信息，该第二指示信息为“IAB-authorized”信元。在IAB-MT通过donor-DU和donor-CU-CP或者通过其他IAB节点和donor-CU-CP接入网络的过程中，IAB-MT与核心网完成鉴权之后，AMF向donor-CU-CP发送的初始上下文建立请求消息包括“IAB-authorized”信元。

本申请实施例对donor-CU-CP向donor-CU-UP发送第一信息的方式不做限定。

示例性地，在IAB-MT通过donor-DU接入网络的过程中，donor-CU-CP将第一信息携带在承载上下文建立请求消息中发送给donor-CU-UP。

可选地，该方法还包括：donor-CU-CP向donor-CU-UP发送第一指示信息，第一指示信息用于指示IAB-DU属于IAB节点。该第一指示信息与第二指示信息可以相同，也可以不同，本申请实施例对此不做限定。示例性地，第一指示信息为“IAB-indicator”。又示例性地，该第一指示信息是第一信息，即第一信息还用于指示IAB-DU属于IAB节点。

S720，Donor-CU-UP根据第一信息确定第一密钥。

Donor-CU-UP收到来自donor-CU-CP的第一信息之后，根据第一信息确定第一密钥。具体地，在终端设备通过donor-DU接入网络的过程中，donor-CU-UP根据第一信息确定第一密钥。

如上所述，第一信息可以包括不同的参数。应理解，当第一信息包括不同的参数时，donor-CU-UP根据第一信息确定第一密钥的方式也不同。

在一种可能的实现方式中，第一信息包括中间密钥。

相应地，donor-CU-UP接收到第一信息之后，根据中间密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥。

示例性地，donor-CU-UP以中间密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

在又一种可能的实现方式中，第一信息包括用户面密钥。

相应地，donor-CU-UP接收到第一信息之后，根据用户面密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥

示例性地，donor-CU-UP以用户面密钥为输入密钥、以IAB-DU的IP地址和 donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

或者，donor-CU-UP首先根据用户面密钥进行推演得到第四密钥，再根据以第四密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥

示例性地，donor-CU-UP以第四密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

其中，donor-CU-UP推演第一密钥使用的donor-CU-UP的第一IP地址是建立该用户面安全传输通道所使用的的IP地址。应理解，donor-CU-UP可能具有多个IP地址，在建立用户面安全传输通道之前，donor-CU-UP从多个IP地址中确定一个第一IP地址，用于建立用户面安全传输通道。示例性地，在终端设备通过IAB-DU接入网络的过程中，donor-CU-UP接收来自donor-CU-CP的承载上下文建立请求消息之后，确定用于建立该用户面安全传输通道的donor-CU-UP的第一IP地址。

IAB-DU的IP地址是donor-CU-UP从donor-CU-CP获取的。示例性地，在终端设备通过IAB-DU接入网络的过程中，donor-CU-CP向donor-CU-UP发送的承载上下文修改请求消息包括IAB-DU的IP地址。

本申请实施例对donor-CU-UP根据第一信息确定第一密钥的触发条件不做限定。

作为一个示例，donor-CU-UP可以在获取到IAB-DU的IP地址和第一信息的情况下，推演第一密钥。

作为另一个示例，donor-CU-UP在接收到第一指示信息的情况下，推演第一密钥。

可选地，donor-CU-UP确定第一密钥之后，保存第一密钥与IAB-DU的IP地址的对应关系。示例性地，将第一密钥和IAB-DU的IP地址的对应关系保存到donor-CU-UP的上下文中。

S730，donor-CU-CP发送第二消息。相应地，在S730中，IAB-DU接收第二消息。

第二消息包括donor-CU-UP的第一IP地址。示例性地，第二消息是UE上下文建立请求消息。例如，该UE上下文建立请求消息是终端设备通过IAB-DU接入网络时，donor-CU-CP向IAB-DU发送的。

S740，IAB-DU获取第一密钥。

示例性地，S740包括S741a至S743a：

S741a，IAB-DU向IAB-MT发送第一请求消息。

第一请求消息包括donor-CU-UP的第一IP地址，第一请求消息用于请求第一密钥。

IAB-MT接收到来自IAB-DU的第一请求消息之后，根据中间密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥。

示例性地，IAN-MT以中间密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

或者，IAB-MT根据用户面密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥。

示例性地，IAB-MT以用户面密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

或者，IAB-MT首先根据用户面密钥推演得到第四密钥，再根据第四密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥。

示例性地，IAB-MT以第四密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

可以理解，IAB-DU的IP地址是IAB-MT完成注册之后从OAM或donor-CU-CP获取的。

S742a，IAB-MT向IAB-DU发送第一响应消息。

第一响应消息包括第一密钥。

相应地，IAB-DU收到第一密钥之后，保存第一密钥与donor-CU-UP的第一IP地址的对应关系。示例性地，IAB-DU将第一密钥与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

又示例性地，S740包括S741b至S743b：

S741b，IAB-DU向IAB-MT发送第三请求消息。

第三请求消息用于请求第二信息，第二信息包括以下任意一项：中间密钥、K _gNB和第二参数、用户面密钥。

S742b，IAB-MT向IAB-DU发送第三响应消息。

第三响应消息包括第二信息。

S743b，IAB-DU推演第一密钥。

若第二信息包括中间密钥，则IAB-DU根据中间密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥。

示例性地，IAB-DU以中间密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

若第二信息包括K _gNB和第二参数，则IAB-DU先根据K _gNB和第二参数推演得到中间密钥，再根据中间密钥为输入密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥。

若第二信息包括用户面密钥，则IAB-DU根据用户面密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥；或者，IAB-DU首先根据用户面密钥推演得到第四密钥，再根据第四密钥、IAB-DU的IP地址和donor-CU-UP的第一IP地址，推演得到第一密钥。

示例性地，IAB-DU以据用户面密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥；或者，以第四密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到第一密钥。

可以理解，IAB-DU的IP地址是IAB-DU启动之后从IAB-MT获取的。

进一步地，IAB-DU推演得到第一密钥之后，保存第一密钥与donor-CU-UP的第一IP地址的对应关系。示例性地，IAB-DU将第一密钥与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

应理解，本申请实施例并不限定IAB-DU获取第一密钥的时机。

作为一个示例，IAB-DU在获取到donor-CU-UP的第一IP地址的情况下，获取第一密钥。

作为另一个示例，IAB-DU向donor-CU-UP发起用户面安全传输通道建立流程之前，获取第一密钥。

作为再一个示例，IAB-DU收到来自donor-CU-UP的认证请求消息之后，获取第一密钥。

作为再一个示例，IAB-DU收到来自终端设备的用户面数据请求消息之后，获取第一密钥。

S760，donor-CU-UP和IAB节点使用第一密钥建立用户面安全传输通道。

具体地，S760与上文方法600中的S640相同，为了简洁，此处不再详述。

在本申请实施例中，donor-CU-CP将用于生成第一密钥的第一信息发送给donor-CU-UP，使得donor-CU-UP可以根据第一信息生成第一密钥，同时IAB节点也以同样的方式确定第一密钥。在donor-CU-UP与IAB-DU处有相同的第一密钥的情况下，donor-CU-UP与IAB-DU可以基于第一密钥建立用户面安全传输通道，从而有效避免宿主节点和IAB-DU建立用户面安全传输通道时认证错误的问题。同时，由于第一密钥不同于K _gNB，符合密钥隔离和权限最小化的需求，避免了密钥泄露。

此外，在donor-CU-UP和IAB-DU将中间密钥作为推演第一密钥的输入密钥的情况下，可以保持推演用户面密钥、信令面密钥以及第一密钥所使用的输入密钥之间的相互独立，保证了数据传输的安全性。

或者，在donor-CU-UP和IAB-DU将用户面密钥作为推演第一密钥的输入密钥的情况下，无需增加额外的信令传输，简化了第一密钥的管理和实现。

或者，在donor-CU-UP和IAB-DU将根据用户面密钥推演的第四密钥作为推演第一密钥的输入密钥的情况下，无需增加额外的信令传输，简化了第一密钥的管理和实现。

下面以图8至图11为例对本申请实施例提供的建立安全传输通道的方法进行说明，需要说明的是，下文实施例中将第一密钥记为K _IAB-CP，将中间密钥记为Km。

图8示出了本申请实施例提供的建立安全传输通道的方法的示意性流程图。如图8所示，方法800包S801至S821，下面详细描述各个步骤。

S801，IAB-MT的注册流程。

示例性地，IAB-MT的注册流程包括如下步骤：

步骤1、IAB-MT向donor-DU发送RRC建立请求(RRC setup request)消息。

步骤2、donor-DU向donor-CU-CP发送初始上行(uplink，UL)RRC消息传输(initial UL RRC message transfer)。

步骤3、donor-CU-CP向donor-DU发送下行(downlink，DL)消息传输(DL message transfer)。

步骤4、donor-DU向IAB-MT发送RRC建立(RRC setup)消息。

在步骤1-4中，IAB节点(其中的IAB-MT部分)具有UE的部分或全部功能，在IAB节点开机后，IAB-MT选择支持IAB业务的donor接入，并建立空口资源。

步骤5、IAB-MT向donor-DU发送RRC建立完成(RRC setup complete)消息。

RRC建立完成消息中携带IAB-indication，IAB-indication指示当前UE为IAB节点。

步骤6、donor-DU向donor-CU-CP发送(RRC message transfer)。

RRC消息传输中携带“IAB-indication”信元。Donor-CU-CP根据“IAB-indication”信元选择支持IAB业务的AMF网元。

步骤7、donor-CU-CP向AMF发送初始UE消息(initial UE message)。

初始UE消息中携带“IAB-indication”信元。

步骤8、AMF向donor-CU-CP发送初始上下文建立请求消息。

初始上下文建立请求消息中携带“IAB-authorized”指示，同时还携带宿主节点的第一根密钥(记为

)。Donor-CU-CP接收到初始上下文建立请求消息之后，将初始上下文建立请求消息中携带的

保存到IAB节点的上下文中。

在步骤7-8中，核心网和IAB-MT之间执行鉴权流程，在鉴权通过后，核心网校验签约数据，判断IAB-MT是否属于IAB节点。如果IAB-MT属于IAB节点，则向donor-CU-CP发送“IAB-authorized”指示，该指示表明核心网已授权IAB-MT为IAB节点。相应地，在核心网和IAB-MT之间的鉴权完成之后，IAB-MT生成

步骤9、donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息。

承载上下文建立请求消息中携带用户面密钥#1。

Donor-CU-CP从AMF接收到初始上下文建立请求消息之后，选择用户面算法，并根据

推演用户面密钥#1，用户面密钥#1用于建立承载上下文。用户面密钥#1包括用户面完整性保护密钥(记为Kupenc)和/或用户面加密性保护密钥(记为Kupint)。

需要说明得是，用户面密钥#1是由

推演出来的密钥，且该过程不可逆。故donor-CU-UP接收到用户面密钥#1，也不能根据用户面密钥#1得到

也就是说，donor-CU-UP上没有

步骤10、Donor-CU-UP向donor-CU-CP发送承载上下文建立响应(bearer context setup response)消息。

步骤11、donor-CU-CP向donor-DU发送UE上下文建立请求(UE context setup request)消息。

步骤12、donor-DU向IAB-MT发送安全模式命令(security mode command)。

步骤13、donor-DU向donor-CU-CP发送UE上下文建立响应(UE context setup response)消息。

步骤14、donor-CU-CP向donor-CU-UP发送承载上下文修改请求(bearer context modification request)消息。

步骤15、donor-CU-UP向donor-CU-CP发送承载上下文修改响应(bearer context modification response)消息。

步骤16、IAB-MT向donor-DU发送安全模式完成(security mode complete)。

步骤17、donor-DU向donor-CU-CP发送上行RRC消息传输(UL RRC message transfer)。

在步骤11-17中，donor-CU-CP与即IAB-MT进行安全模式命令流程，协商使用的安全算法和安全密钥。

步骤18、donor-CU-CP向donor-DU发送下行RRC消息传输。

步骤19、donor-DU向IAB-MT发送RRC重配置消息。

步骤20、IAB-MT向donor-DU发送RRC重配置完成(RRC reconfiguration complete)消息。

步骤21、donor-DU向donor-CU-CP发送上行RRC消息传输。

在步骤18-21中，donor-CU-CP与即IAB-MT进行RRC重配置流程，并完成初始上 下文建立过程。

步骤22、donor-CU-CP向AMF发送初始上下文建立响应(initial context setup response)消息。

S802，IAB-DU启动，并和donor-CU-CP建立F1-C接口安全。

示例性的，在IAB-MT完成注册后，IAB-MT获取IAB-DU的IP地址和donor-CU-CP的IP地址。

作为一个示例，IAB-MT通过核心网与OAM建立PDU会话之后，通过用户面从OAM获取IAB-DU的IP地址和donor-CU-CP的IP地址。

作为另一个示例，IAB-MT从donor-CU-CP获取IAB-DU的IP地址和donor-CU-CP的IP地址。具体地，donor-CU-CP与OAM建立IP连接之后，从OAM获取IAB-DU的IP地址和donor-CU-CP的IP地址；进一步地，donor-CU-CP向IAB-MT发送RRC消息，RRC消息包括IAB-DU的IP地址和donor-CU-CP的IP地址。

IAB-MT获得IAB-DU的IP地址和donor-CU-CP的IP地址之后，将IAB-DU的IP地址和donor-CU-CP的IP地址发给IAB-DU使用。

可选地，IAB-MT还以

为输入密钥、以IAB-DU的IP地址和donor-CU-CP的IP地址为输入参数，推演得到K _IAB-CP，并将K _IAB-CP发送给IAB-DU。

可选地，IAB-MT将

发送给IAB-DU。相应地，IAB-DU以

为输入密钥、以IAB-DU的IP地址和donor-CU-CP的IP地址为输入参数，推演得到K _IAB-CP。

相应地donor-CU-CP也以

为输入密钥、以IAB-DU的IP地址和donor-CU-CP的IP地址为输入参数，推演得到K _IAB-CP。

IAB-DU与donor-CU-CP建立F1-C接口，并协商建立F1-C的安全传输通道。IAB-DU与donor-CU-CP协商建立F1-C接口的安全传输通道的过程使用的认证凭证为K _IAB-CP。

IAB-DU与donor-CU-CP建立F1-C接口的安全传输通道之后，donor-CU-CP可以通过F1-C接口向IAB-DU配置参数。Donor-CU-CP通过F1-C接口向IAB-DU配置参数后，IAB-DU可以向普通UE提供移动网络服务。

Donor-CU-CP与IAB-DU建立F1-C接口的安全传输通道之后，donor-CU-CP以第一标识标记IAB-DU为IAB节点，并将存储第一标识，作为IAB节点的上下文。示例性地，该第一标识是IAB-DU的IP地址。

S803，UE通过IAB-DU接入网络，并进行认证。

示例性地，S803包括以下步骤：

步骤1、UE向IAB-DU发送RRC建立请求消息。

步骤2、IAB-DU向donor-CU-CP发送初始上行RRC消息传输。

步骤3、IAB-CU-CP向donor-DU发送下行消息传输。

步骤4、IAB-DU向UE发送RRC建立消息。

在步骤1-4中，UE开机后，选择基站进行接入，并建立空口资源。其中，UE选择的基站是IAB-DU。

步骤5、UE向IAB-DU发送RRC建立完成消息。

步骤6、IAB-DU向donor-CU-CP发送RRC消息传输。

步骤7、donor-CU-CP向AMF发送初始UE消息。

步骤8、AMF向donor-CU-CP发送初始上下文建立请求消息。

在步骤5-8中，UE发起注册流程，通过IAB-DU与核心网建立连接，并完成鉴权过程。鉴权完成后，AMF向donor-CU-CP发送初始上下文建立请求消息，初始上下文建立请求消息中携带宿主节点的第二根密钥(记为

)。

S804，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息。

Donor-CU-CP接收到来自AMF的初始上下文建立请求消息之后，触发donor-CU-CP建立承载上下文。Donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息，承载上下文建立请求消息中携带用户面密钥#2，用户面密钥#2用于donor-CU-UP和UE之间的空口用户面安全保护。

S805，donor-CU-UP向donor-CU-CP发送承载上下文建立响应消息。

承载上下文建立响应消息中携带donor-CU-UP的第一IP地址，该第一IP地址用于建立IAB-DU与donor-CU-UP之间的F1-U接口的安全传输通道，用来传递用户面数据。

S806，donor-CU-CP向IAB-DU发送UE上下文建立请求消息。

UE上下文建立请求消息包括donor-CU-UP的第一IP地址。

S807，IAB-DU向UE发送安全模式命令。

S808，IAB-DU向donor-CU-CP发送UE上下文建立响应。

S809，IAB-DU获取K _{IAB_UP}。

示例性地，S809包括S8091a至S8093a：

S8091a，IAB-DU向IAB-MT发送第一请求消息。

第一请求消息包括donor-CU-UP的第一IP地址，第一请求消息用于请求K _{IAB_UP}。

S8092a，IAB-MT推演K _{IAB_UP}。

IAB-MT接收到来自IAB-DU的第一请求消息之后，以

为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP，然后将K _IAB-UP发送给IAB-DU。可以理解，IAB-DU的IP地址是IAB-MT完成注册之后从OAM或donor-CU-CP获取的。

S8093a，IAB-MT向IAB-DU发送第一响应消息。

第一响应消息包括K _{IAB_UP}。

相应地，IAB-DU收到K _{IAB_UP}之后，保存K _{IAB_UP}。示例性地，IAB-DU将K _{IAB_UP}与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

又示例性地，S809包括S8091b至S8093b：

S8091b，IAB-DU向IAB-MT发送第二请求消息。

第二请求消息用于请求

S8092b，IAB-MT向IAB-DU发送第二响应消息。

第二响应消息包括

应理解，S8091b和S8092b是可选的步骤。即，若IAB-DU本地保存了

则S809仅包括S8093b。IAB-DU本地保存的

是在执行S809之前从IAB-MT获取的。例如，在IAB-DU启动之后，IAB-MT向IAB-DU发送IAB-DU的IP地址时，向IAB-DU发送了

S8093b，IAB-DU推演K _{IAB_UP}。

IAB-DU以

为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP。可以理解，IAB-DU的IP地址是IAB-DU启动之后从IAB-MT获取的。

进一步地，IAB-DU推演得到K _{IAB_UP}之后，保存K _{IAB_UP}。示例性地，IAB-DU将K _{IAB_UP}与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

应理解，本申请实施例并不限定IAB-DU获取K _{IAB_UP}的时机。

作为一个示例，IAB-DU在获取到donor-CU-UP的第一IP地址的情况下，获取K _{IAB_UP}。例如，若S809包括S8091a至S8093a，则IAB-DU在获取到donor-CU-UP的第一IP地址的情况下，向IAB-MT发送第一请求消息。又例如，若S809包括S8091b至S8093b，则IAB-DU在获取到donor-CU-UP的第一IP地址的情况下，向IAB-MT发送第二请求消息，或者推演得到K _{IAB_UP}。

作为另一个示例，IAB-DU向donor-CU-UP发起IPSec建立流程之前，获取K _{IAB_UP}。例如，若S809包括S8091a至S8093a，则IAB-DU向donor-CU-UP发起IPSec建立流程之前，向IAB-MT发送第一请求消息。又例如，若S809包括S8091b至S8093b，则IAB-DU向donor-CU-UP发起IPSec建立流程之前，向IAB-MT发送第二请求消息，或者推演得到K _{IAB_UP}。

作为再一个示例，IAB-DU收到来自donor-CU-UP的IPSec认证请求之后，获取K _{IAB_UP}。例如，若S809包括S8091a至S8093a，则IAB-DU收到来自donor-CU-UP的IPSec认证请求之后向IAB-MT发送第一请求消息。又例如，若S809包括S8091b至S8093b，则IAB-DU收到来自donor-CU-UP的IPSec认证请求之后，向IAB-MT发送第二请求消息，或者推演得到K _{IAB_UP}。

作为再一个示例，IAB-DU收到来自UE的用户面数据请求之后，获取K _{IAB_UP}。例如，若S809包括S8091a至S8093a，则IAB-DU收到来自UE的用户面数据请求之后向IAB-MT发送第一请求消息。又例如，若S809包括S8091b至S8093b，则IAB-DU收到来自UE的用户面数据请求之后，向IAB-MT发送第二请求消息，或者推演得到K _{IAB_UP}。

S810，donor-CU-CP推演K _{IAB_UP}。

IAB-DU以

为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP。

示例性地，donor-CU-CP接收到来自donor-CU-UP的承载上下文建立响应消息之后，根据承载上下文建立响应消息包括的donor-CU-UP的第一IP地址推演K _IAB-UP。也就是说，S810可以在S805之后执行。具体地，S810可以在S805之后，在S811之前执行。

又示例性地，donor-CU-UP确定IAB-DU属于IAB节点之后，再推演K _{IAB_UP}。如上文S802所述，donor-CU-CP可以使用第一标识标记IAB-DU属于IAB节点，并将第一标识存储在IAB-DU的上下文中。基于此，在donor-CU-CP推演K _{IAB_UP}之前，donor-CU-CP可以查询IAB节点的上下文是否包括第一标识。若IAB节点的上下文包括第一标识，则donor-CU-CP确定IAB-DU属于IAB节点；若IAB节点的上下文不包括第一标识，则donor-CU-CP确定IAB-DU不属于IAB节点。进一步地，donor-CU-CP确定IAB-DU属于IAB节点之后，再推演K _{IAB_UP}。

S811，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消息。

承载上下文修改请求消息包括IAB-DU的IP地址和K _{IAB_UP}。

示例性地，K _{IAB_UP}可以携带在承载上下文修改请求消息包括的安全信息(security information)信元中。又示例性地，K _{IAB_UP}可以携带在承载上下文修改请求消息中新定义的信元中。

可选地，承载上下文修改请求消息还包括第一指示信息，该第一指示信息用于指示IAB-DU属于IAB节点。示例性地，该第一指示信息可以是一个独立的信元，例如第一该指示信息是“IAB-indicator”信元。又示例性地，该第一指示信息可以是上述IAB-DU的IP地址或K _{IAB_UP}，即IAB-DU的IP地址或K _{IAB_UP}还可以用于指示IAB-DU属于IAB节点。

应理解，本申请实施例仅以donor-CU-CP将K _{IAB_UP}携带在承载上下文修改请求消息中发送给donor-CU-UP为例进行说明，不应对本申请实施例造成任何限定。例如，donor-CU-CP也可以将K _{IAB_UP}携带在新定义的消息中发送给donor-CU-UP。又例如，若在donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息之前，donor-CU-CP已经预知donor-CU-UP的IP地址，则donor-CU-UP可以在发送承载上下文建立请求消息之前推演K _{IAB_UP}，并将K _{IAB_UP}携带在承载上下文建立请求消息中发送给donor-CU-UP。

S812，donor-CU-UP保存K _{IAB_UP}。

donor-CU-UP将IAB-DU的IP地址与K _{IAB_UP}的对应关系保存在donor-CU-UP的上下文中。

示例性地，donor-CU-UP在收到K _{IAB_UP}的情况下，保存K _{IAB_UP}。

又示例性地，donor-CU-UP在收到上述第一指示信息和K _{IAB_UP}的情况下，保存K _{IAB_UP}。

S813，donor-CU-UP向donor-CU-CP发送承载上下文修改响应消息。

S814，UE向IAB-DU发送安全模式完成。

S815，IAB-DU向donor-CU-CP发送上行RRC消息传输。

S816，donor-CU-CP向IAB-DU发送下行RRC消息传输。

S817，IAB-DU向UE发送RRC重配置消息。

S818，UE向IAB-DU发送RRC重配置完成消息。

S819，IAB-DU向donor-CU-CP发送上行RRC消息传输。

S820，donor-CU-CP向AMF发送初始上下文建立响应消息。

S821，IAB-DU与donor-CU-UP执行IKEv2 PSK流程。

具体地，IAB-DU和donor-CU-UP之间建立F1-U接口承载，并协商和建立F1-U接口的安全传输通道。例如，IAB-DU与donor-CU-UP使用IKEv2 PSK协议建立IPSec安全传输通道。其中，在第一次消息交换中，IAB-DU和Donor-CU-UP以明文方式完成IKE SA的参数协商，包括协商加密和验证算法，交换临时随机数和DH交换。在第二次消息交换中，IAB-DU和Donor-CU-UP分别使用K _{IAB_UP}生成认证参数发送给对端，以完成身份验证。

可以理解，在IAB-DU与donor-CU-UP使用IKEv2 PSK协议建立IPSec安全传输通道时，IAB-DU根据IAB-DU上下文中保存的K _{IAB_UP}与donor-CU-UP的第一IP地址的对应关系，确定将K _{IAB_UP}作为建立IPSec安全传输通道时使用的认证凭证，donor-CU-UP根据donor-CU-UP上下文中保存的的K _{IAB_UP}与IAB-DU的IP地址的对应关系，确定将 K _{IAB_UP}作为建立IPSec安全传输通道时使用的认证凭证。

还应理解，IAB-DU与donor-CU-UP执行IKEv2 PSK的流程，既可以是由IAB-DU触发的，也可以是由donor-CU-UP触发的。例如，若IAB-DU收到来自UE的用户面数据请求时，IAB-DU与donor-CU-UP之间的F1-U接口承载还没有建立，则IAB-DU触发IKEv2PSK的流程。又例如，若donor-CU-UP收到UE的下行数据时，IAB-DU与donor-CU-UP之间的F1-U接口承载还没有建立，则donor-CU-UP触发IKEv2 PSK的流程。

还应理解，本申请实施例并不限定S821是在UE完成注册之前执行，还是在UE完成注册之后执行。例如，S821可以在S812之后，即IAB-DU和donor-CU-UP获得K _{IAB_UP}之后就可以执行S821。又例如，S821可以在S820之后执行。例如，UE完成注册之后，当有UE的用户面数据需要传输时，再执行S821。

图9示出了本申请实施例提供的建立安全传输通道的方法的示意性流程图。如图9所示，方法900包S901至S925，下面详细描述各个步骤。

S901，IAB-MT与核心网进行注册。

具体地，在S901中，执行上文方法800中的S801包括的步骤1至步骤7。

S902，AMF向donor-CU-CP发送初始上下文建立请求消息。

初始上下文建立请求消息中携带“IAB-authorized”指示，同时还携带宿主节点的第一根密钥(记为

)。Donor-CU-CP接收到初始上下文建立请求消息之后，将初始上下文建立请求消息中携带的

保存到IAB节点的上下文中。Donor-CU-CP还可以根据“IAB-authorized”确定IAB-MT属于IAB节点。

核心网通过校验签约数据，判断IAB-MT是否属于IAB节点。如果IAB-MT属于IAB节点，则向donor-CU-CP发送“IAB-authorized”指示，该指示表明核心网已授权IAB-MT为IAB节点。相应地，在核心网和IAB-MT之间的鉴权完成之后，IAB-MT生成

S903，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息。

承载上下文建立请求消息中携带用户面密钥#1。

Donor-CU-CP从AMF接收到初始上下文建立请求消息之后，选择用户面算法，并根据

推演用户面密钥#1，用户面密钥#1用于建立承载上下文。用户面密钥#1包括用户面完整性保护密钥(记为Kupenc)和/或用户面加密性保护密钥(记为Kupint)。

需要说明得是，用户面密钥#1是由

推演出来的密钥，且该过程不可逆。故donor-CU-UP接收到用户面密钥#1，也不能根据用户面密钥#1得到

也就是说，donor-CU-UP上没有

承载上下文建立请求消息还包括第一指示信息，该第一指示信息用于指示IAB-MT属于IAB节点。示例性地，该指示信息可以是一个独立的信元，例如该第一指示信息是“IAB-indicator”信元。

具体地，donor-CU-CP确定IAB-MT属于IAB节点的情况下，在承载上下文建立请求消息中携带该第一指示信息。示例性地，若donor-CU-CP从AMF接收到的初始上下文建立请求消息包括“IAB-authorized”指示，则donor-CU-CP确定IAB-MT属于IAB节点。又示例性地，在S901中，若donor-CU-CP从donor-DU接收到的RRC消息传输包括“IAB-indication”，则donor-CU-CP确定IAB-MT属于IAB节点。

S904，donor-CU-UP向donor-CU-CP发送承载上下文建立响应消息。

承载上下文建立响应消息包括donor-CU-UP的所有可能的IP地址。具体地，donor-CU-UP根据承载上下文建立请求消息包括的第一指示信息，向donor-CU-CP上报所有可能的IP地址。

示例性地，donor-CU-UP有三个IP地址，分别为CU-UP IP1、CU-UP IP2和CU-UP IP3，则donor-CU-UP向donor-CU-CP上报三个IP地址。

S905，donor-CU-CP向donor-DU发送UE上下文建立请求消息。

S906，donor-DU向IAB-MT发送安全模式命令。

S907，donor-DU向donor-CU-CP发送UE上下文建立响应消息。

S908，donor-CU-CP推演可能的K _{IAB_UP}。

如上文所述，在S904中，donor-CU-UP会根据指示信息向donor-CU-CP上报所有可能的IP地址。相应地，在S908中，donor-CU-CP根据接收的donor-CU-UP的第一IP地址推演与donor-CU-UP的每个IP地址对应的K _{IAB_UP}。

示例性地，donor-CU-CP以

为输入密钥、以IAB-DU的IP地址和CU-UP IP1为输入参数，推演得到与CU-UP IP1对应的K _IAB-UP1；donor-CU-CP以

为输入密钥、以IAB-DU的IP地址和CU-UP IP2为输入参数，推演得到与CU-UP IP2对应的K _IAB-UP2；donor-CU-CP以

为输入密钥、以IAB-DU的IP地址和CU-UP IP3为输入参数，推演得到与CU-UP IP3对应的K _IAB-UP3。

应理解，S908可以在S904之后执行，或者可以在S905之后执行，或者可以在S906之后执行，或者可以在S907之后执行。

S909，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消息。

承载上下文修改请求消息包括donor-CU-CP推演得到多个K _IAB-UP，以及与多个K _IAB-UP对应的多组第一参数，与每个K _IAB-UP对应的一组第一参数包括推演该K _IAB-UP所使用的输入参数。

示例性地，承载上下文修改请求消息包括：{K _IAB-UP1，CU-UP1和IAB-DU IP}、{K _IAB-UP2，CU-UP2和IAB-DU IP}和{K _IAB-UP3，CU-UP3和IAB-DU IP}。

{K _IAB-UP1，CU-UP1和IAB-DU IP}表示IAB-DU的IP地址以及CU-UP IP1与K _IAB-UP1的对应关系；{K _IAB-UP2，CU-UP2和IAB-DU IP}表示IAB-DU的IP地址以及CU-UP IP2与K _IAB-UP2的对应关系；{K _IAB-UP3，CU-UP3和IAB-DU IP}表示IAB-DU的IP地址以及CU-UP IP3与的K _IAB-UP3的对应关系。

S910，donor-CU-UP存储K _IAB-UP。

具体地，donor-CU-UP将承载上下文修改请求消息包括的多个K _IAB-UP与多组第一参数的对应关系保存在donor-CU-UP的上下文中。

S911，donor-CU-UP向donor-CU-CP发送承载上下文修改响应消息。

S912，IAB-MT完成注册流程。

具体地，在S912中，执行上文方法800中的S801包括的步骤16至步骤22。

S913，IAB-DU启动，并和donor-CU-CP建立F1-C接口安全。

具体地，S913与上文方法800中的S802相同，为了简洁，此处不再详述。

S914，UE通过IAB-DU接入网络，并进行认证。

具体地，S914与上文方法800中的S803相同，为了简洁，此处不再详述。

S915，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息。

具体地，S915与上文方法800中的S804相同，为了简洁，此处不再详述。

S916，donor-CU-UP向donor-CU-CP发送承载上下文建立响应消息。

承载上下文建立响应消息中携带donor-CU-UP的第一IP地址，该第一IP地址用于建立IAB-DU与donor-CU-UP之间的F1-U接口的安全传输通道，用来传递用户面数据。例如，该donor-CU-UP的第一IP地址是上文S904中的CU-UP IP3。

S917，donor-CU-CP向IAB-DU发送UE上下文建立请求消息。

UE上下文建立请求消息包括donor-CU-UP的第一IP地址。例如，该donor-CU-UP的第一IP地址是上文S904中的CU-UP IP3。

S918，IAB-DU向UE发送安全模式命令。

S919，IAB-DU向donor-CU-CP发送UE上下文建立响应。

S920，IAB-DU获取K _{IAB_UP}。

具体地，IAB-DU获取K _{IAB_UP}的方式见上文方法800中的S809中的描述。如S917所述，IAB-DU接收到的donor-CU-UP的第一IP地址是CU-UP IP3，则在S920中，IAB-DU获取到的K _{IAB_UP}是以以

为输入密钥、以IAB-DU的IP地址和CU-UP IP3为输入参数，推演得到的，即IAB-DU获取到的K _{IAB_UP}是上文S908所述的K _{IAB_UP3}。

S921，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消息。

承载上下文修改请求消息包括IAB-DU的IP地址。

S922，donor-CU-UP向donor-CU-CP发送承载上下文修改响应消息。

S923，donor-CU-UP查找K _{IAB_UP}。

具体地，donor-CU-UP根据在S916中确定的用于建立IAB-DU与donor-CU-UP之间的F1-U接口的的安全传输通道donor-CU-UP的第一IP地址，以及在S921接收的IAB-DU的IP地址，从本地保存的donor-CU-UP的上下文中查找对应的K _{IAB_UP}。例如，donor-CU-UP在S916中确定的用于建立F1-U接口的安全传输通道的第一IP地址是CU-UP IP3，则donor-CU-UP根据保存的多个K _{IAB_UP}与多组第一参数的对应关系，确定与IAB-DU的地址和CU-UP IP3对应的是K _{IAB_UP3}。

Donor-CU-UP确定K _{IAB_UP3}之后，将IAB-DU的IP地址与K _{IAB_UP3}的对应关系保存在donor-CU-UP的上下文中。

S924，UE完成注册流程。

具体地，在S924中，执行上文方法800中的S814至S820。

S925，IAB-DU与donor-CU-UP执行IKEv2 PSK流程。

具体地，S925与上文方法800中的S821相同，为了简洁，此处不再详述。

图10示出了示出了本申请实施例提供的建立安全传输通道的方法的示意性流程图。如图10所示，方法1000包S1001至S1023，下面详细描述各个步骤。

S1001，IAB-MT与核心网进行注册。

具体地，在S1001中，执行上文方法800中的S801包括的步骤1至步骤7。

S1002，AMF向donor-CU-CP发送初始上下文建立请求消息。

具体地，S1002与上文方法900中的S902相同，为了简洁，此处不再详述。

S1003，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息。

承载上下文建立请求消息中携带用户面密钥#1和中间密钥(记为Km)。

Donor-CU-CP从AMF接收到初始上下文建立请求消息之后，选择用户面算法，并根据

推演用户面密钥#1，用户面密钥#1用于建立承载上下文。用户面密钥#1包括用户面完整性保护密钥(记为Kupenc)和/或用户面加密性保护密钥(记为Kupint)。

需要说明得是，用户面密钥#1是由

推演出来的密钥，且该过程不可逆。故donor-CU-UP接收到用户面密钥#1，也不能根据用户面密钥#1得到

也就是说，donor-CU-UP上没有

Km作为生成K _{IAB_UP}的输入密钥，用于生成K _{IAB_UP}。示例性地，Km是根据

和第二参数推演得到的。第二参数包括以下一项或多项：PCI、ARFCN-DL、辅节点counter、常数、新鲜性参数。又示例性地，Km是donor-CU-UP生成的随机数。

可选地，donor-CU-CP确定IAB-MT属于IAB节点的情况下，生成Km，或者向donor-CU-UP发送Km。示例性地，若donor-CU-CP从AMF接收到的初始上下文建立请求消息包括“IAB-authorized”指示，则donor-CU-CP确定IAB-MT属于IAB节点。又示例性地，在S901中，若donor-CU-CP从donor-DU接收到的RRC消息传输包括IAB-indication，则donor-CU-CP确定IAB-MT属于IAB节点。

可选地，承载上下文建立请求消息还包括第一指示信息，该第一指示信息用于指示IAB-MT属于IAB节点。示例性地，该第一指示信息可以是一个独立的信元，例如该第一指示信息是“IAB-indicator”信元。又示例性地，该第一指示信息是Km，即Km还用于指示IAB-MT属于IAB节点。

具体地，donor-CU-CP确定IAB-MT属于IAB节点的情况下，在承载上下文建立请求消息中携带该第一指示信息。

S1004，donor-CU-UP存储Km。

示例性地，donor-CU-UP将Km存储在donor-CU-UP上下文中。

可选地，若承载上下文建立请求消息还包括第一指示信息，则在S1004中，donor-CU-UP还存储第一指示信息。

S1005，donor-CU-UP向donor-CU-CP发送承载上下文建立响应消息。

S1006，IAB-MT完成AS安全激活。

具体地，在S1006中，执行上文方法800中的S801包括的步骤11至步骤17。

S1007，donor-CU-CP向donor-DU发送下行RRC消息传输。

RRC消息传输包括RRC重配置消息。可选地，若在S1003中，donor-CU-CP生成的Km是一个随机数，则该RRC重配置消息包括Km。

或者，若在S1003中，donor-CU-CP生成Km所使用的第二参数包括IAB-MT未知的参数，则该RRC重配置消息包括Km或者生成Km所使用的第二参数中IAB-MT未知的参数。例如，donor-CU-CP生成Km所使用的第二参数包括一个随机数和PCI，其中随机数是IAB-MT未知的参数，PCI是IAB-MT已知的参数，则donor-CU-CP将Km或第二参数包括的随机数携带在RRC重配置消息中。

S1008，donor-DU向IAB-MT发送RRC重配置消息。

Donor-DU将下行RRC消息传输包括的RRC重配置消息发送给IAB-MT。

S1009，IAB-MT存储Km或生成Km所使用的第二参数中IAB-MT未知的参数。

若IAB-MT接收的RRC重配置信息包括Km或生成Km所使用的第二参数中IAB-MT未知的参数，则IAB-MT存储Km或生成Km所使用的第二参数中IAB-MT未知的参数。

S1010，IAB-MT完成注册。

具体地，在S1010中，执行上文方法800中的S801包括的步骤20至步骤22。

S1011，IAB-DU启动，并和donor-CU-CP建立F1-C接口安全。

具体地，S913与上文方法800中的S802相同，为了简洁，此处不再详述。

S1012，UE通过IAB-DU接入网络，并进行认证。

具体地，S1012与上文方法800中的S803相同，为了简洁，此处不再详述。

S1013，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息。

具体地，S1013与上文方法800中的S804相同，为了简洁，此处不再详述。

S1014，donor-CU-UP向donor-CU-CP发送承载上下文建立响应消息。

承载上下文建立响应消息中携带donor-CU-UP的第一IP地址，该第一IP地址用于建立IAB-DU与donor-CU-UP之间的F1-U接口的安全传输通道，用来传递用户面数据。

S1015，donor-CU-CP向IAB-DU发送UE上下文建立请求消息。

UE上下文建立请求消息包括donor-CU-UP的第一IP地址。

S1016，IAB-DU向UE发送安全模式命令。

S1017，IAB-DU向donor-CU-CP发送UE上下文建立响应消息。

S1018，IAB-DU获取K _{IAB_UP}。

示例性地，S1018包括S10181a至S10183a：

S10181a，IAB-DU向IAB-MT发送第一请求消息。

第一请求消息包括donor-CU-UP的第一IP地址，第一请求消息用于请求K _{IAB_UP}。

S10182a，IAB-MT推演K _{IAB_UP}。

IAB-MT接收到来自IAB-DU的第一请求消息之后，以Km为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP，然后将K _IAB-UP发送给IAB-DU。可以理解，IAB-DU的IP地址是IAB-MT完成注册之后从OAM或donor-CU-CP获取的。

S10183a，IAB-MT向IAB-DU发送第一响应消息。

第一响应消息包括K _{IAB_UP}。

相应地，IAB-DU收到K _{IAB_UP}之后，保存K _{IAB_UP}。示例性地，IAB-DU将K _{IAB_UP}与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

又示例性地，S1018包括S10181b至S10183b：

S10181b，IAB-DU向IAB-MT发送第三请求消息。

第三请求消息用于请求Km，或者用于请求

和第二参数。

S10182b，IAB-MT向IAB-DU发送第三响应消息。

第三响应消息包括Km，或者包括

和第二参数。

S10183b，IAB-DU推演K _{IAB_UP}。

若第三响应消息包括Km，则IAB-DU以Km为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP。可以理解，IAB-DU的IP地 址是IAB-DU启动之后从IAB-MT获取的。

若第三响应消息包括

和第二参数，则IAB-DU首先根据

和第二参数推演得到Km，再以Km为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP。

进一步地，IAB-DU推演得到K _{IAB_UP}之后，保存K _{IAB_UP}。示例性地，IAB-DU将K _{IAB_UP}与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

应理解，本申请实施例并不限定IAB-DU获取K _{IAB_UP}的时机。

作为一个示例，IAB-DU在获取到donor-CU-UP的第一IP地址的情况下，获取K _{IAB_UP}。

作为另一个示例，IAB-DU向donor-CU-UP发起IPSec建立流程之前，获取K _{IAB_UP}。

作为再一个示例，IAB-DU收到来自donor-CU-UP的IPSec认证请求之后，获取K _{IAB_UP}。

作为再一个示例，IAB-DU收到来自UE的用户面数据请求之后，获取K _{IAB_UP}。

S1019，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消息。

承载上下文修改请求消息包括IAB-DU的IP地址。

S1020，donor-CU-UP向donor-CU-CP发送承载上下文修改响应消息。

S1021，donor-CU-UP推演K _{IAB_UP}。

Donor-CU-UP以Km为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP。

其中，Km是从本地保存的donor-CU-UP的上下文中获取的。Donor-CU-UP的第一IP地址是在S1014确定的。

Donor-CU-UP推演得到K _{IAB_UP}之后，将IAB-DU的IP地址与K _{IAB_UP}的对应关系保存在donor-CU-UP的上下文中。

S1022，UE完成注册流程。

具体地，在S1022中，执行上文方法800中的S814至S820。

S1023，IAB-DU与donor-CU-UP执行IKEv2 PSK流程。

具体地，S1023与上文方法800中的S821相同，为了简洁，此处不再详述。

图11示出了示出了本申请实施例提供的建立安全传输通道的方法的示意性流程图。如图11所示，方法1100包S1101至S1114，下面详细描述各个步骤。

S1101，IAB-MT的注册流程。

具体地，S1101与方法800中的S801相同，为了简洁，此处不再详述。

需要说明的是，在S1001中，IAB-MT与核心网完成鉴权之后，AMF向donor-CU-CP发送的初始上下文建立请求消息包括宿主节点的第一根密钥(记为

)，进一步地，Donor-CU-CP根据

推演用户面密钥#1，并将用户面密钥#1发送给donor-CU-UP。用户面密钥#1用于建立承载上下文。用户面密钥#1包括用户面完整性保护密钥(记为Kupenc)和/或用户面加密性保护密钥(记为Kupint)。

相应地，IAB-MT与核心网完成鉴权之后，IAB-MT生成

以及IAB-MT可以根据

推演得到用户面密钥#1。

S1102，IAB-DU启动，并和donor-CU-CP建立F1-C接口安全。

具体地，S1102与方法800中的S802相同，为了简洁，此处不再详述。

需要说明的是，donor-CU-CP与IAB-DU建立F1-C接口的安全传输通道之后，donor-CU-CP以第一标识标记IAB-DU为IAB节点，并将存储第一标识，作为IAB节点的上下文。示例性地，该第一标识是IAB-DU的IP地址。

S1103，UE通过IAB-DU接入网络，并进行认证。

具体地，S1103与方法800中的S803相同，为了简洁，此处不再详述。

S1104，donor-CU-CP向donor-CU-UP发送承载上下文建立请求消息。

S1105，donor-CU-UP向donor-CU-CP发送承载上下文建立响应消息。

承载上下文建立响应消息中携带donor-CU-UP的第一IP地址，该IP地址用于建立IAB-DU与donor-CU-UP之间的F1-U接口的安全传输通道，用来传递用户面数据。

S1106，donor-CU-CP向IAB-DU发送UE上下文建立请求消息。

UE上下文建立请求消息包括donor-CU-UP的第一IP地址。

S1107，IAB-DU向UE发送安全模式命令。

S1108，IAB-DU向donor-CU-CP发送UE上下文建立响应。

S1109，IAB-DU获取K _{IAB_UP}。

示例性地，S1109包括S11091a至S11093a：

S11091a，IAB-DU向IAB-MT发送第一请求消息。

第一请求消息包括donor-CU-UP的第一IP地址，第一请求消息用于请求K _{IAB_UP}。

S11092a，IAB-MT推演K _{IAB_UP}。

IAB-MT接收到来自IAB-DU的第一请求消息之后，以用户面密钥#1为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP，然后将K _IAB-UP发送给IAB-DU。可以理解，IAB-DU的IP地址是IAB-MT完成注册之后从OAM或donor-CU-CP获取的。

或者，IAB-MT以用户面密钥#1推演出来的密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP。

S11093a，IAB-MT向IAB-DU发送第一响应消息。

第一响应消息包括K _{IAB_UP}。

相应地，IAB-DU收到K _{IAB_UP}之后，保存K _{IAB_UP}。示例性地，IAB-DU将K _{IAB_UP}与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

又示例性地，S1109包括S11091b至S11093b：

S11091b，IAB-DU向IAB-MT发送第三请求消息。

第三请求消息用于请求用户面密钥#1。

S11092b，IAB-MT向IAB-DU发送第三响应消息。

第三响应消息包括用户面密钥#1。

应理解，S11091b和S11092b是可选的步骤。即，若IAB-DU本地保存了

则S1109仅包括S11093b，即IAB-DU可以根据本地保存的

推演得到用户面密钥#1。IAB-DU本地保存的

是在执行S1109之前从IAB-MT获取的。例如，在IAB-DU启动之后，IAB-MT向IAB-DU发送IAB-DU的IP地址时，向IAB-DU发送了

S11093b，IAB-DU推演K _{IAB_UP}。

IAB-DU以用户面密钥#1为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一 IP地址为输入参数，推演得到K _IAB-UP。可以理解，IAB-DU的IP地址是IAB-DU启动之后从IAB-MT获取的。

IAB-DU以用户面密钥#1推演出来的密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP。

进一步地，IAB-DU推演得到K _{IAB_UP}之后，保存K _{IAB_UP}。示例性地，IAB-DU将K _{IAB_UP}与donor-CU-UP的第一IP地址的对应关系保存在IAB-DU的上下文中。

应理解，本申请实施例并不限定IAB-DU获取K _{IAB_UP}的时机。

作为一个示例，IAB-DU在获取到donor-CU-UP的第一IP地址的情况下，获取K _{IAB_UP}。

作为另一个示例，IAB-DU向donor-CU-UP发起IPSec建立流程之前，获取K _{IAB_UP}。

作为再一个示例，IAB-DU收到来自donor-CU-UP的IPSec认证请求之后，获取K _{IAB_UP}。

作为再一个示例，IAB-DU收到来自UE的用户面数据请求之后，获取K _{IAB_UP}。

S1110，donor-CU-CP向donor-CU-UP发送承载上下文修改请求消息。

承载上下文修改请求消息包括IAB-DU的IP地址。

可选地，承载上下文修改请求消息还包括第一指示信息，该第一指示信息用于指示IAB-DU属于IAB节点。示例性地，该第一指示信息可以是一个独立的信元，例如该第一指示信息是“IAB-indicator”信元。又示例性地，该第一指示信息可以是上述IAB-DU的IP地址，即IAB-DU的IP地址还可以用于指示IAB-DU属于IAB节点。

具体地，donor-CU-CP确定IAB-DU属于IAB节点之后，在承载上下文修改请求消息中携带第一指示信息。如上文S1102所述，donor-CU-CP可以使用第一标识标记IAB-DU属于IAB节点，并将第一标识存储在IAB-DU的上下文中。基于此，donor-CU-CP可以查询IAB节点的上下文是否包括第一标识。若IAB节点的上下文包括第一标识，则donor-CU-CP确定IAB-DU属于IAB节点；若IAB节点的上下文不包括第一标识，则donor-CU-CP确定IAB-DU不属于IAB节点。

S1111，donor-CU-UP推演K _{IAB_UP}。

Donor-CU-UP以用户面密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP。

或者，donor-CU-UP以用户面密钥推演得到的密钥为输入密钥、以IAB-DU的IP地址和donor-CU-UP的第一IP地址为输入参数，推演得到K _IAB-UP。

示例性地，donor-CU-UP接收到来自donor-CU-CP的承载上下文建立请求消息之后，根据承载上下文建立响应消息包括的donor-CU-UP的第一IP地址推演K _IAB-UP。

又示例性地，若承载上下文建立请求消息包括第一指示信息，则donor-CU-UP根据承载上下文建立响应消息包括的donor-CU-UP的第一IP地址推演K _IAB-UP。也就是说，donor-CU-UP根据第一指示信息确定IAB-DU属于IAB节点之后，再推演K _IAB-UP。

Donor-CU-UP推演得到K _{IAB_UP}之后，将IAB-DU的IP地址与K _{IAB_UP}的对应关系保存在donor-CU-UP的上下文中。

S1112，donor-CU-UP向donor-CU-CP发送承载上下文修改响应消息。

S1113，UE完成注册流程。

具体地，在S1113中，执行上文方法800中的S814至S820。

S1114，IAB-DU与donor-CU-UP执行IKEv2 PSK流程。

具体地，S1114与上文方法800中的S821相同，为了简洁，此处不再详述。

以上，结合图5至图11详细说明了本申请实施例提供的方法。以下，结合图12至图13详细说明本申请实施例提供的通信装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

本申请实施例可以根据上述方法示例对发射端设备或者接收端设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。下面以采用对应各个功能划分各个功能模块为例进行说明

图12是本申请实施例提供的通信装置1200的示意性框图。如图所示，该通信装置1200可以包括：收发单元1210和处理单元1220。

在一种可能的设计中，该通信装置1200可以是上文方法实施例中的donor-CU-UP，也可以是用于实现上文方法实施例中donor-CU-UP的功能的芯片。

应理解，该通信装置1200可对应于根据本申请实施例的方法500至方法1100中的会话管理网元，该通信装置1200可以包括用于执行图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900、图10中的方法1000和图11中的方法1100中的donor-CU-UP执行的方法的单元。并且，该通信装置1200中的各单元和上述其他操作和/或功能分别为了实现图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900、图10中的方法1000和图11中的方法1100的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1200可以是上文方法实施例中的donor-CU-CP，也可以是用于实现上文方法实施例中donor-CU-CP的功能的芯片。

应理解，该通信装置1200可对应于根据本申请实施例的方法500至方法1100中的donor-CU-CP，该通信装置1200可以包括用于执行图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900、图10中的方法1000和图11中的方法1100中的donor-CU-CP执行的方法的单元。并且，该通信装置1200中的各单元和上述其他操作和/或功能分别为了实现图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900、图10中的方法1000和图11中的方法1100的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1200可以是上文方法实施例中的IAB-DU，也可以是用于实现上文方法实施例中IAB-DU的功能的芯片。

应理解，该通信装置1200可对应于根据本申请实施例的方法500至方法1100中的IAB-DU，该通信装置1200可以包括用于执行图5中的方法500、图6中的方法600、图 7中的方法700、图8中的方法800、图9中的方法900、图10中的方法1000和图11中的方法1100中的IAB-DU执行的方法的单元。并且，该通信装置1200中的各单元和上述其他操作和/或功能分别为了实现图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900、图10中的方法1000和图11中的方法1100的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1200可以是上文方法实施例中的IAB-MT，也可以是用于实现上文方法实施例中IAB-MT的功能的芯片。

应理解，该通信装置1200可对应于根据本申请实施例的方法500至方法1100中的IAB-MT，该通信装置1200可以包括用于执行图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900、图10中的方法1000和图11中的方法1100中的IAB-MT执行的方法的单元。并且，该通信装置1200中的各单元和上述其他操作和/或功能分别为了实现图5中的方法500、图6中的方法600、图7中的方法700、图8中的方法800、图9中的方法900、图10中的方法1000和图11中的方法1100的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，该通信装置1200中的收发单元1210可对应于图13中示出的通信设备1300中的收发器1320，该通信装置1200中的处理单元1220可对应于图13中示出的通信设备1300中的处理器1310。

还应理解，当该通信装置1200为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

收发单元1210用于实现通信装置1200的信号的收发操作，处理单元1220用于实现通信装置1200的信号的处理操作。

可选地，该通信装置1200还包括存储单元1230，该存储单元1230用于存储指令。

图13是本申请实施例提供的通信设备1300的示意性框图。如图所示，该通信设备1300包括：至少一个处理器1310和收发器1320。该处理器1310与存储器耦合，用于执行存储器中存储的指令，以控制收发器1320发送信号和/或接收信号。可选地，该通信设备1300还包括存储器1330，用于存储指令。

应理解，上述处理器1310和存储器1330可以合成一个处理装置，处理器1310用于执行存储器1330中存储的程序代码来实现上述功能。具体实现时，该存储器1330也可以集成在处理器1310中，或者独立于处理器1310。

还应理解，收发器1320可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器1320还可以进一步包括天线，天线的数量可以为一个或多个。收发器1320有可以是通信接口或者接口电路。

当该通信设备1300为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。本申请实施例还提供了一种处理装置，包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

应注意，本申请实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行图5至图11所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介 质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行图5至图11所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种系统，其包括前述的donor-CU-CP、donor-CU-UP、IAB-DU和IAB-MT。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

上述各个装置实施例中网络侧设备与终端设备和方法实施例中的网络侧设备或终端设备对应，由相应的模块或单元执行相应的步骤，例如通信单元(收发器)执行方法实施例中接收或发送的步骤，除发送、接收外的其它步骤可以由处理单元(处理器)执行。具体单元的功能可以参考相应的方法实施例。其中，处理器可以为一个或多个。

在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在两个或更多个计算机之间。此外，这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的 划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (41)

1. 一种建立安全传输通道的方法，其特征在于，所述方法应用于宿主节点的集中式单元的用户面实体，所述方法包括：

   接收来自宿主节点的集中式单元的控制面实体的第一消息，所述第一消息包括第一密钥；所述第一密钥不同于根密钥，所述根密钥为所述宿主节点的集中式单元的控制面实体在接入回传一体化节点注册到网络的过程中从所述网络获取到的密钥；

   根据所述第一密钥，建立所述宿主节点的集中式单元的用户面实体与所述接入回传一体化节点的分布式单元之间的用户面安全传输通道。
2. 根据权利要求1所述的方法，其特征在于，所述第一消息还包括所述宿主节点的集中式单元的用户面实体的第一因特网协议IP地址；所述方法还包括：

   确定使用所述宿主节点的集中式单元的用户面实体的第一IP地址，建立所述用户面安全传输通道；

   根据所述第一IP地址，确定所述第一密钥。
3. 根据权利要求1所述的方法，其特征在于，所述第一消息包括多个密钥和所述宿主节点的集中式单元的用户面实体的多个IP地址的一一对应关系；其中，所述多个密钥包括所述第一密钥；且所述第一密钥与第一IP地址对应；

   所述方法还包括：

   确定使用所述宿主节点的集中式单元的用户面实体的第一IP地址，建立所述用户面安全传输通道；

   根据所述第一IP地址，确定所述第一密钥。
4. 根据权利要求3所述的方法，其特征在于，所述方法还包括：

   接收来自所述宿主节点的集中式单元的控制面实体的第一指示信息；

   根据所述第一指示信息，向所述宿主节点的集中式单元的控制面实体发送所述宿主节点的集中式单元的用户面实体的多个IP地址。
5. 根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

   保存所述第一密钥和所述接入回传一体化节点的分布式单元的IP地址的对应关系。
6. 根据权利要求1至5中任一项所述的方法，其特征在于，所述第一密钥是K _IAB，所述根密钥是K _gNB。
7. 根据权利要求1至6中任一项所述的方法，其特征在于，所述第一消息是承载上下文修改请求消息；或者，

   所述第一消息是承载上下文建立请求消息。
8. 根据权利要求1至7中任一项所述的方法，其特征在于，所述第一消息还包括第一指示信息，所述第一指示信息用于指示所述接入回传一体化节点的分布式单元属于接入回传一体化节点。
9. 一种确定密钥的方法，其特征在于，所述方法应用于宿主节点的集中式单元的控制面实体，所述方法包括：

   根据根密钥、接入回传一体化节点的分布式单元的因特网协议IP地址和宿主节点的 集中式单元的用户面实体的第一IP地址，推演得到第一密钥，所述第一密钥不同于根密钥，所述根密钥为所述宿主节点的集中式单元的控制面实体在接入回传一体化节点注册到网络的过程中从所述网络获取到的密钥；

   向所述宿主节点的集中式单元的用户面实体发送第一消息，所述第一消息包括所述第一密钥。
10. 根据权利要求9所述的方法，其特征在于，所述第一消息还包括所述宿主节点的集中式单元的用户面实体的第一IP地址。
11. 根据权利要求9所述的方法，其特征在于，所述方法还包括：

    向所述宿主节点的集中式单元的用户面实体发送第一指示信息；

    接收来自所述宿主节点的集中式单元的用户面实体的一个或者多个IP地址；其中，所述一个或者多个IP地址包括所述第一IP地址。
12. 根据权利要求11所述的方法，其特征在于，在所述一个或者多个IP地址还包括第二IP地址时，所述方法还包括：

    根据所述根密钥、所述接入回传一体化节点的分布式单元的IP地址和所述第二IP地址，推演得到第二密钥；

    其中，所述第一消息中包括所述第一密钥和所述第一IP地址的对应关系以及所述第二密钥和所述第二IP地址的对应关系。
13. 根据权利要求9至12中任一项所述的方法，其特征在于，所述第一密钥是K _IAB，所述根密钥是K _gNB。
14. 根据权利要求9至13中任一项所述的方法，其特征在于，所述方法还包括：

    根据所述根密钥、所述接入回传一体化节点的分布式单元的IP地址和所述宿主节点的集中式单元的控制面实体的IP地址，推演得到第三密钥；

    根据所述第三密钥，建立所述宿主节点的集中式单元的控制面实体和所述接入回传一体化节点的分布式单元之间的控制面安全传输通道。
15. 根据权利要求9至14中任一项所述的方法，其特征在于，所述第一消息是承载上下文修改请求消息；或者，

    所述第一消息是承载上下文建立请求消息。
16. 根据权利要求9至15中任一项所述的方法，其特征在于，所述方法还包括：

    根据所述接入回传一体化节点的分布式单元的上下文中的第一标识确定所述接入回传一体化节点的分布式单元属于接入回传一体化节点。
17. 根据权利要求9至16中任一项所述的方法，其特征在于，所述方法还包括：

    向所述宿主节点的集中式单元的用户面实体发送第一指示信息，所述第一指示信息用于指示所述接入回传一体化节点的分布式单元属于接入回传一体化节点。
18. 一种建立安全传输通道的方法，其特征在于，所述方法应用于接入回传一体化节点的分布式单元，所述方法包括：

    接收来自宿主节点的集中式单元的控制面实体的第二消息，所述第二消息包括宿主节点的集中式单元的用户面实体的第一因特网协议IP地址；

    向所述接入回传一体化节点的移动终端发送第一请求消息，所述第一请求消息用于请求第一密钥，所述第一请求消息包括所述第一IP地址；

    接收来自所述接入回传一体化节点的移动终端的第一响应消息，所述第一响应消息包括所述第一密钥；

    根据所述第一密钥，建立所述接入回传一体化节点的分布式单元与所述宿主节点的集中式单元的用户面实体之间的用户面安全传输通道。
19. 根据权利要求18所述的方法，其特征在于，在向所述接入回传一体化节点的移动终端发送第一请求消息之前，所述方法还包括：

    接收来自终端设备的用户面数据请求消息，所述用户面安全传输通道用于传输所述终端设备的用户面数据。
20. 根据权利要求18所述的方法，其特征在于，在向所述接入回传一体化节点的移动终端发送第一请求消息之前，所述方法还包括：

    接收来自所述宿主节点的集中式单元的用户面实体的认证请求消息，所述认证请求消息用于建立所述用户面安全传输通道。
21. 根据权利要求18至20中任一项所述的方法，其特征在于，所述方法还包括：

    保存所述第一密钥与所述第一IP地址的对应关系。
22. 一种建立安全传输通道的方法，其特征在于，所述方法应用于接入回传一体化节点的分布式单元，所述方法还包括：

    接收来自宿主节点的集中式单元的控制面实体的第二消息，所述第二消息包括宿主节点的集中式单元的用户面实体的第一因特网协议IP地址；

    向所述接入回传一体化节点的移动终端发送第二请求消息，所述第二请求消息用于请求根密钥，所述根密钥用于生成第一密钥；所述第一密钥不同于所述根密钥，所述根密钥为所述接入回传一体化节点的移动终端在注册到网络的过程生成的密钥；

    接收来自所述接入回传一体化节点的移动终端的第二响应消息，所述第二响应消息包括所述根密钥；

    根据所述根密钥、所述接入回传一体化节点的分布式单元的IP地址和所述第一IP地址，推演得到所述第一密钥；

    根据所述第一密钥，建立所述接入回传一体化节点的分布式单元与所述宿主节点的集中式单元的用户面实体之间的用户面安全传输通道。
23. 根据权利要求22所述的方法，其特征在于，在向所述接入回传一体化节点的移动终端发送第二请求消息之前，所述方法还包括：

    接收来自终端设备的用户面数据请求消息，所述用户面安全传输通道用于传输所述终端设备的用户面数据。
24. 根据权利要求22所述的方法，其特征在于，在向所述接入回传一体化节点的移动终端发送第二请求消息之前，所述方法还包括：

    接收来自所述宿主节点的集中式单元的用户面实体的认证请求消息，所述认证请求消息用于建立所述用户面安全传输通道。
25. 根据权利要求22至24中任一项所述的方法，其特征在于，所述方法还包括：

    保存所述第一密钥与所述第一IP地址的对应关系。
26. 一种建立安全传输通道的方法，其特征在于，所述方法包括：

    宿主节点的集中式单元的控制面实体根据根密钥、接入回传一体化节点的分布式单元 的因特网协议IP地址和宿主节点的集中式单元的用户面实体的第一IP地址，推演得到第一密钥，所述第一密钥不同于根密钥，所述根密钥为所述宿主节点的集中式单元的控制面实体在接入回传一体化节点注册到网络的过程中从所述网络获取到的密钥；

    所述宿主节点的集中式单元的控制面实体向所述宿主节点的集中式单元的用户面实体发送第一消息，所述第一消息包括所述第一密钥；

    所述宿主节点的集中式单元的用户面实体接收所述第一消息；以及

    所述宿主节点的集中式单元的用户面实体根据所述第一密钥，建立所述宿主节点的集中式单元的用户面实体与所述接入回传一体化节点的分布式单元之间的用户面安全传输通道。
27. 根据权利要求26所述的方法，其特征在于，所述第一消息还包括所述宿主节点的集中式单元的用户面实体的第一因特网协议IP地址；所述方法还包括：

    所述宿主节点的集中式单元的用户面实体确定使用所述宿主节点的集中式单元的用户面实体的第一IP地址，建立所述用户面安全传输通道；

    所述宿主节点的集中式单元的用户面实体根据所述第一IP地址，确定所述第一密钥。
28. 根据权利要求26所述的方法，其特征在于，所述第一消息包括多个密钥和所述宿主节点的集中式单元的用户面实体的多个IP地址的一一对应关系；其中，所述多个密钥包括所述第一密钥；且所述第一密钥与第一IP地址对应；

    所述方法还包括：

    所述宿主节点的集中式单元的用户面实体确定使用所述宿主节点的集中式单元的用户面实体的第一IP地址，建立所述用户面安全传输通道；

    所述宿主节点的集中式单元的用户面实体根据所述第一IP地址，确定所述第一密钥。
29. 根据权利要求28所述的方法，其特征在于，所述方法还包括：

    所述宿主节点的集中式单元的控制面实体向所述宿主节点的集中式单元的用户面实体发送第一指示信息；

    所述宿主节点的集中式单元的用户面实体接收来自所述宿主节点的集中式单元的控制面实体的第一指示信息；

    所述宿主节点的集中式单元的用户面实体根据所述第一指示信息，向所述宿主节点的集中式单元的控制面实体发送所述宿主节点的集中式单元的用户面实体的一个或多个IP地址，所述第一个或多个IP地址包括所述第一IP地址；

    所述宿主节点的集中式单元的控制面实体接收来自所述宿主节点的集中式单元的用户面实体的一个或多个IP地址。
30. 根据权利要求29所述的方法，其特征在于，在所述一个或者多个IP地址还包括第二IP地址时，所述方法还包括：

    所述宿主节点的集中式单元的控制面实体根据所述根密钥、所述接入回传一体化节点的分布式单元的IP地址和所述第二IP地址，推演得到第二密钥；

    其中，所述第一消息中包括所述第一密钥和所述第一IP地址的对应关系以及所述第二密钥和所述第二IP地址的对应关系。
31. 根据权利要求26至30中任一项所述的方法，其特征在于，所述方法还包括：

    所述宿主节点的集中式单元的用户面实体保存所述第一密钥和所述接入回传一体化 节点的分布式单元的IP地址的对应关系。
32. 根据权利要求26至31中任一项所述的方法，其特征在于，所述第一密钥是K _IAB，所述根密钥是K _gNB。
33. 根据权利要求26至32中任一项所述的方法，其特征在于，所述方法还包括：

    根据所述根密钥、所述接入回传一体化节点的分布式单元的IP地址和所述宿主节点的集中式单元的控制面实体的IP地址，推演得到第三密钥；

    根据所述第三密钥，建立所述宿主节点的集中式单元的控制面实体和所述接入回传一体化节点的分布式单元之间的控制面安全传输通道。
34. 根据权利要求26至33中任一项所述的方法，其特征在于，所述第一消息是承载上下文修改请求消息；或者，

    所述第一消息是承载上下文建立请求消息。
35. 根据权利要求26至34中任一项所述的方法，其特征在于，所述方法还包括：

    根据所述接入回传一体化节点的分布式单元的上下文中的第一标识确定所述接入回传一体化节点的分布式单元属于接入回传一体化节点。
36. 根据权利要求26至35中任一项所述的方法，其特征在于，所述方法还包括：

    向所述宿主节点的集中式单元的用户面实体发送第一指示信息，所述第一指示信息用于指示所述接入回传一体化节点的分布式单元属于接入回传一体化节点。
37. 根据权利要求26至36中任一项所述的方法，其特征在于，所述第一消息还包括第一指示信息，所述第一指示信息用于指示所述接入回传一体化节点的分布式单元属于接入回传一体化节点。
38. 一种通信装置，其特征在于，用于实现如权利要求1至25中任意一项所述的方法。
39. 一种通信设备，其特征在于，包括：

    存储器，所述存储器用于存储计算机程序；

    收发器，所述收发器用于执行收发步骤；

    处理器，所述处理器用于从所述存储器中调用并运行所述计算机程序，使得所述通信设备执行权利要求1至25中任一项所述的方法。
40. 一种计算机可读存储介质，其特征在于，包括：所述计算机可读介质存储有计算机程序；所述计算机程序在计算机上运行时，使得所述计算机执行权利要求1至25中任一项所述的方法。
41. 一种通信系统，其特征在于，包括宿主节点的集中式单元的用户面实体和所述宿主节点的集中式单元的用户面实体，所述宿主节点的集中式单元的用户面实体用于执行权利要求1至8中任一项所述的方法，所述宿主节点的集中式单元的控制面实体用于执行权利要求9至17中任一项所述的方法。

Images