WO2023125865A1

WO2023125865A1 - 安全传输方法及装置

Info

Publication number: WO2023125865A1
Application number: PCT/CN2022/143624
Authority: WO
Inventors: 汤红山; 马宁; 李明真; 方琛媛
Original assignee: 华为技术有限公司
Priority date: 2021-12-31
Filing date: 2022-12-29
Publication date: 2023-07-06
Also published as: CN114465775B; CN114465775A

Abstract

本申请实施例提供了一种安全传输的方法及装置，该方法包括：第一设备根据传输层安全协议对待发送报文的报文头进行加密得到加密报文头，待发送报文包括第一数据，第一数据经过应用层安全协议加密且不经过传输层安全协议加密；第一设备向第二设备发送第一加密报文，第一加密报文包括该加密报文头和第一数据。根据本申请，若待发送报文包括经过应用层安全协议加密的第一数据，则第一设备在根据传输层安全协议对待发送报文加密时，对待发送报文的报文头加密，而不对第一数据加密。相应地，第二设备接收到加密报文之后，不用根据传输层安全协议对第一数据解密。从而可以减轻第一设备和第二设备的处理负担，并提高报文传输的效率。

Description

安全传输方法及装置

本申请要求于2021年12月31日提交中国专利局、申请号为202111670362.8、申请名称为“安全传输方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及安全通信领域，并且更具体地，涉及一种安全传输方法及装置。

背景技术

在第一设备向第二设备发送报文之前，第一设备根据传输层安全协议对待发送报文加密得到加密报文，并对加密报文添加循环冗余校验(cyclic redundancy check，CRC)序列。相应地，第二设备接收到加密报文之后，对加密报文进行CRC校验，以及根据传输层安全协议对加密报文进行解密。若加密报文在传输的过程中出现了误码，则第二设备首先对加密报文进行纠错，例如，在以太网中基于增强型通用公共无线接口(enhanced common public radio interface，eCPRI)进行报文传输的过程中，第二设备可以采用基础(base)前向纠错(forward error correction，FEC)或里德所罗门(Reed-solomon，RS)FEC对加密报文进行纠错。第二设备对加密报文进行纠错之后，再对加密报文进行CRC校验，以及根据传输层安全协议对加密报文进行解密。

由于第一设备和第二设备在每一次传输报文的过程中，都会根据传输层安全协议对传输的报文进行加解密，因此对第一设备和第二设备的硬件处理能力要求较高，且报文传输效率低。

发明内容

本申请实施例提供一种安全传输方法，以期减轻设备的处理负担，以及提高报文传输效率。

第一方面，提供了一种安全传输的方法，该方法包括：第一设备根据传输层安全协议对待发送报文的报文头进行加密得到加密报文头，该待发送报文包括第一数据，该第一数据经过应用层安全协议加密且不经过该传输层安全协议加密；该第一设备向第二设备发送第一加密报文，该第一加密报文包括该加密报文头和该第一数据。

基于上述技术方案，若待发送报文包括经过应用层安全协议加密的第一数据，则第一设备在根据传输层安全协议对待发送报文加密时，对待发送报文的报文头加密，而不对第一数据加密。相应地，第二设备接收到加密报文之后，不用根据传输层安全协议对第一数据解密。从而可以减轻第一设备和第二设备的处理负担，并提高报文传输的效率。

此外，由于报文头在整个待发送报文中占的比重很少，因此加密报文头在第一加密报文中占的比重也很少。进一步地，由于加密报文头的长度比较短，因此加密报文头在传输的过程发生误码的概率比较小，进而第二设备根据传输层安全协议对加密报文头解密失败的概率也比较小，进而第二设备由于解密失败而丢掉第一数据的概率也会减小。因此，基于上述技术方案可以在保证安全传输的情况下，提升第一设备与第二设备之间的链路的抗误码能力。若第一数据是空口数据，则在丢掉第一数据的概率减小的情况下，可以提高空口的频谱利用率。

示例性地，应用层安全协议包括：分组数据汇聚协议(packet data convergence protocol，PDCP)层协议。

示例性地，传输层安全协议包括：媒体接入控制安全(media access control security，MACSec)协议和互联网协议安全(Internet protocol security，IPSec)协议。

示例性地，第一数据是空口数据。例如，第一数据是第一设备从终端设备接收的数据。又例如，第一数据是第一设备从第三设备接收的数据，且第一数据是发送给终端设备的数据。第三设备用于生成第一数据或用于转发第一数据。例如第三设备是在以太网中进行数据传输的源设备或连接目的设备和源设备的路由设备。又例如，第三设备是核心网设备。

示例性地，该第一设备是在以太网中进行报文传输的源设备或连接源设备和目的设备的路由设备，该目的设备是在以太网中进行报文传输的目的设备，该第二设备是该目的设备或连接该源设备和该目的设备的路由设备。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一设备向该第二设备发送该待发送报文的报文头的长度信息。

基于上述技术方案，第一设备向第二设备发送报文头的长度信息，使得第二设备可以根据该长度信息正确解密加密报文头。例如，若待发送报文的报文头长度不固定，则第一设备向第二设备发送报文头的长度信息，将使得第二设备可以根据该长度信息正确解密加密报文头。

结合第一方面，在第一方面的某些实现方式中，待发送报文还包括未经过应用层安全协议加密的第二数据，该第一加密报文还包括加密数据，该方法还包括：该第一设备根据该传输层安全协议对该第二数据进行加密得到该加密数据。

基于上述技术方案，在待发送报文包括未经过应用层安全协议加密的第二数据的情况下，第一设备根据传输层安全协议对第二数据进行加密，从而可以保证第二数据在第一设备与第二设备之间的安全传输。

示例性地，第二数据包括在前传接口上传输的控制数据、管理面数据或同步时钟数据。

结合第一方面，在第一方面的某些实现方式中，该第二数据位于该第一数据之前。

基于上述技术方案，在待发送报文包括报文头、第二数据和第一数据的情况下，报文头位于待发送报文的最前端，且第二数据又位于第一数据之前，则第一设备可以根据传输层安全协议同时对报文头和第二数据加密，从而可以简化第一设备对待发送报文进行加密的流程。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该第一设备向该第二设备发送该第二数据的长度信息。

基于上述技术方案，第一设备向第二设备发送第二数据的长度信息，使得第二设备可以根据该长度信息正确解密加密数据。例如，若第二数据的长度不固定，则第一设备向第二设备发送第二数据的长度信息，将使得第二设备可以根据该长度信息正确解密加密数据。

结合第一方面，在第一方面的某些实现方式中，在生成所述第一加密报文之前，该方法还包括：该第一设备接收来自所述第二设备的第二加密报文；该第一设备根据传输层安全协议对该第二加密报文进行的完整性校验失败。

示例性地，第一设备对第二加密报文的完整性校验失败是第一次对从第二设备接收的报文完整性校验失败。

又示例性地，第一设备对第二加密报文的完整性校验失败是第N次对从第二设备接收的报文完整性校验失败，N为正整数，且N为预设阈值。

结合第一方面，在第一方面的某些实现方式中，在生成所述第一加密报文之前，该方法还包括：该第一设备向该第二设备发送第三加密报文，该第三加密报文是根据该传输层安全协议对待发送报文加密生成的；该第一设备接收来自该第二设备的指示信息，该指示信息用于指示对该第三加密报文的完整性校验失败。

示例性地，第一设备第一次从第二设备接收到指示信息。

又示例性地，第一设备第N次从第二设备接收到指示信息，N为正整数，且N为预设阈值。

第二方面，提供了一种安全传输的方法，该方法包括：第二设备接收来自第一设备的加密报文，该加密报文包括加密报文头和第一数据，该第一数据经过应用层安全协议加密且不经过传输层安全协议加密；该第二设备根据该传输层安全协议对该加密报文头进行解密。

基于上述技术方案，若第二设备接收到加密报文包括的第一数据是经过应用安全协议加密且不经过传输层安全协议解密，则得让设备不用根据传输层安全协议对第一数据解密，从而可以减轻第二设备的处理负担，并提高报文传输的效率。

示例性地，应用层安全协议包括：PDCP层协议。

示例性地，传输层安全协议包括：MACSec协议和IPSec协议。

可选地，若第二设备对加密报文头解密成功，则第二设备向第三设备发送第一数据。第四设备是在以太网中进行数据传输的目的设备或连接目的设备和源设备的路由设备。或者，第四设备是终端设备或核心网设备。例如，第二设备是射频设备，第四设备是终端设备。或者，第二设备是控制设备，第四设备是核心网设备。

结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第二设备接收来自该第一设备的第一长度信息；该第二设备根据该第一长度信息确定该加密报文头被加密之前的长度。

基于上述技术方案，第二设备根据第一长度信息确定加密报文头被加密之前的长度，使得第二设备可以根据第一长度信息正确解密加密报文头。例如，若报文头长度不固定，则第一设备向第二设备发送第一长度信息，将使得第二设备可以根据第一长度信息正确解密加密报文头。

结合第二方面，在第二方面的某些实现方式中，该加密报文还包括加密数据，该方法还包括：该第二设备根据该传输层安全协议对该加密数据进行解密得到第二数据。

结合第二方面，在第二方面的某些实现方式中，该方法还包括：该第二设备接收来自该第一设备的第二长度信息；该第二设备根据该第二长度信息确定该第二数据的长度。

基于上述技术方案，第二设备根据第二长度信息确定第二数据的长度，使得第二设备可以根据第二长度信息正确解密加密数据从而得到第二数据。例如，若第二数据的长度不固定，则第一设备向第二设备发送第二长度信息，将使得第二设备可以根据该第二长度信息正确解密加密数据。

第三方面，提供了一种装置，该装置包括收发单元和处理单元，该处理单元用于根据传输层安全协议对待发送报文的报文头进行加密得到加密报文头，该待发送报文包括第一数据，该第一数据经过应用层安全协议加密且不经过该传输层安全协议加密；该收发单元用于发送第一加密报文，该第一加密报文包括该加密报文头和该第一数据。

示例性地，应用层安全协议包括：PDCP层协议。

示例性地，传输层安全协议包括：MACSec协议和IPSec协议。

示例性地，第一数据是空口数据。例如，第一数据是该装置从终端设备接收的数据。又例如，第一数据是该装置从第三设备接收的数据，且第一数据是发送给终端设备的数据。第三设备用于生成第一数据或用于转发第一数据。例如第三设备是在以太网中进行数据传输的源设备或连接目的设备和源设备的路由设备。又例如，第三设备是核心网设备。

示例性地，该装置是在以太网中进行报文传输的源设备或连接源设备和目的设备的路由设备，该目的设备是在以太网中进行报文传输的目的设备，该第二设备是该目的设备或连接该源设备和该目的设备的路由设备。

结合第三方面，在第三方面的某些实现方式中，该收发单元还用于向该第二设备发送该待发送报文的报文头的长度信息。

结合第三方面，在第三方面的某些实现方式中，待发送报文还包括未经过应用层安全协议加密的第二数据，该第一加密报文还包括加密数据，该处理单元还用于根据该传输层安全协议对该第二数据进行加密得到该加密数据。

结合第三方面，在第三方面的某些实现方式中，该第二数据位于该第一数据之前。

结合第三方面，在第三方面的某些实现方式中，该收发单元还用于向该第二设备发送该第二数据的长度信息。

结合第三方面，在第三方面的某些实现方式中，该收发单元还用于接收来自所述第二设备的第二加密报文；该处理单元还用于根据传输层安全协议对该第二加密报文进行的完整性校验失败。

结合第三方面，在第三方面的某些实现方式中，该收发单元还用于向该第二设备发送第三加密报文，该第三加密报文是根据该传输层安全协议对待发送报文加密生成的；该收发单元还用于接收来自该第二设备的指示信息，该指示信息用于指示对该第三加密报文的完整性校验失败。

第四方面，提供了一种装置，该装置包括收发单元和处理单元，该收发单元用于接收来自第一设备的加密报文，该加密报文包括加密报文头和第一数据，该第一数据经过应用层安全协议加密且不经过传输层安全协议加密；该处理单元用于根据该传输层安全协议对该加密报文头进行解密。

示例性地，应用层安全协议包括：PDCP层协议。

示例性地，传输层安全协议包括：MACSec协议和IPSec协议。

示例性地，该第一设备是在以太网中进行报文传输的源设备或连接源设备和目的设备的路由设备，该目的设备是在以太网中进行报文传输的目的设备，该装置是该目的设备或连接该源设备和该目的设备的路由设备。

结合第四方面，在第四方面的某些实现方式中，该收发单元还用于接收来自该第一设备的第一长度信息；该处理单元还用于根据该第一长度信息确定该加密报文头被加密之前的长度。

结合第四方面，在第四方面的某些实现方式中，该加密报文还包括加密数据，该处理单元还用于根据该传输层安全协议对该加密数据进行解密得到第二数据。

结合第四方面，在第四方面的某些实现方式中，该收发单元还用于接收来自该第一设备的第二长度信息；该处理单元还用于根据该第二长度信息确定该第二数据的长度。

第五方面，本申请提供了一种装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第一方面或第一方面中任一种可能实现方式中的方法。其中，该装置还包括存储器。其中，该装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该装置为第一设备。当装置为第一设备时，所述通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该装置为配置于第一设备中的芯片或芯片系统。当该装置为配置于第一设备中的芯片或芯片系统时，该通信接口可以是输入/输出接口。

其中，该收发器可以为收发电路。其中，该输入/输出接口可以为输入/输出电路。

第六方面，本申请提供了一种装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第二方面或第二方面中任一种可能实现方式中的方法。其中，该装置还包括存储器。其中，该装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该装置为第二设备。当装置为第二设备时，所述通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该装置为配置于第二设备中的芯片或芯片系统。当该装置为配置于第二设备中的芯片或芯片系统时，该通信接口可以是输入/输出接口。

第七方面，本申请提供了一种处理器，包括：输入电路、输出电路和处理电路。所述处理电路用于通过所述输入电路接收信号，并通过所述输出电路发射信号，使得所述处理器执行上述各个方面中的方法。

在具体实现过程中，上述处理器可以为芯片，输入电路可以为输入管脚，输出电路可以为输出管脚，处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的，输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的，且输入电路和输出电路可以是同一电路，该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。

第八方面，本申请提供了一种处理装置，包括通信接口和处理器。所述通信接口与所述处理器耦合。所述通信接口用于输入和/或输出信息。所述信息包括指令或数据中的至少一项。所述处理器用于执行计算机程序，以使得所述处理装置执行上述各个方面中的方法。

第九方面，本申请提供了一种处理装置，包括处理器和存储器。该处理器用于读取存储器中存储的指令，并可通过接收器接收信号，通过发射器发射信号，以使得所述处理装置执行上述各个方面中的方法。

可选地，上述处理器为一个或多个。如果有存储器，存储器也可以为一个或多个。

可选地，所述存储器可以与所述处理器集成在一起，或者所述存储器与处理器分离设置。

在具体实现过程中，存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

应理解，相关的信息交互过程，例如发送指示信息可以为从处理器输出指示信息的过程，接收指示信息可以为向处理器输入接收到的指示信息的过程。具体地，处理输出的信息可以输出给发射器，处理器接收的输入信息可以来自接收器。其中，发射器和接收器可以统称为收发器。

上述第八方面和第九方面中的装置可以是芯片，该处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于该处理器之外，独立存在。

第十面，本申请提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当所述计算机程序被运行时，使得计算机执行上述各个方面中的方法。

第十一方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述各个方面中的方法。

第十二方面，本申请提供了一种系统，包括前述的第一设备和第二设备。

附图说明

图1是适用于本申请实施例提供的方法的系统的示意图；

图2是本申请实施例提供的方法的示意性流程图；

图3是第一设备生成待发送报文的示意图；

图4是待发送报文的格式示意图；

图5是本申请实施例提供的装置的示意性框图；

图6是本申请实施提供的装置的示意性结构图；

图7是本申请实施例提供的芯片系统的示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(long term evolution，LTE)系统、频分双工(frequency division duplex，FDD)、时分双工(time division duplex，TDD)系统、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)系统或新无线(new radio，NR)、第六代(6th generation，6G)系统或未来的通信系统等。本申请中所述的5G移动通信系统包括非独立组网(non-standalone，NSA)的5G移动通信系统或独立组网(standalone，SA)的5G移动通信系统。通信系统还可以是公共陆地移动网络(public land mobile network，PLMN)、设备到设备(device-to-device，D2D)通信系统、机器到机器(machine to machine，M2M)通信系统、物联网(internet of things，IoT)通信系统、车联万物(vehicle to everything，V2X)通信系统、无人机(uncrewed aerial vehicle，UAV)通信系统或者其他通信系统。

在本申请的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中，a，b，c可以是单个，也可以是多个。

另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。同时，在本申请实施例中，“示例性地”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性地”或者“例如”的任何实施例或设计方案不应解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性地”或者“例如”等词旨在以具体方式呈现相关概率，便于理解。

此外，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先结合图1详细说明本申请实施例的一个应用场景。

图1是适用于本申请实施例提供的方法的系统架构。如图1所示，该系统包括第一设备和第二设备。第一设备和第二设备是可以在以太网进行报文传输的设备。示例性地，第一设备可以是在以太网进行报文传输的源设备或连接源设备和目的设备的路由设备，第二设备可以是在以太网络进行报文传输的目的设备或连接源设备和目标设备的路由设备。例如，第一设备是源设备，第二设备是目的设备；或者，第一设备是源设备、第二设备是路由设备；或者，第一设备是路由设备，第二设备是目的设备；或者，第一设备和第二设备都是路由设备。

示例性地，源设备可以是在以太网中基于增强型通用公共无线接口(enhanced common public radio interface，eCPRI)协议进行报文传输的控制设备，目的设备可以是在以太网中基于eCPRI协议进行报文传输的射频设备，路由设备可以是在以太网中基于eCPRI协议进行报文传输的扩展设备；或者，源设备可以是在以太网中基于eCPRI协议进行报文传输的射频设备，目的设备可以是在以太网中基于eCPRI协议进行报文传输的控制设备。示例性地，eCPRI协议是eCPRI规范(specification)V2.0中定义的协议。

其中，控制设备可以作为基站的主设备，处理数字基带信号，提供对基站各设备功能的控制管理。射频设备可以作为基站的射频模块，可以用于处理中频信号和/或射频信号，也可以用于接收和发射无线信号。可选地，射频设备可以用于处理基带数字信号，例如对基带数字信号进行快速傅里叶变换(fast Fourier transform，FFT)。扩展设备用于为控制设备与射频设备之间的通信提供数据汇聚和分发功能。例如在上行方向，扩展设备从射频设备接收上行信号，并对接收的上行信号进行射频合路之后发送给控制设备。又例如在下行方向，扩展设备接收控制设备发送的下行信号，并将下行信号发送连接的所有射频设备。

需要说明的是，本申请实施例不限定控制设备、扩展设备和射频设备的具体类型。例如，控制设备可以是以下任意一种：基带处理单元(baseband unit，BBU或BU)、分布式单元(distributed unit，DU)、集中式单元(centralized unit，CU)。扩展设备可以是以下任意一种：交换机(switch)、路由器(router)、局域网交换机(LAN switch，LSW)或射频拉远单元集线器(radio remote unit hub，rHUB)。射频设备可以是以下任意一种：射频拉远单元(radio remote unit，RRU)、射频单元(radio unit，RU)、有源天线单元(active antenna unit，AAU)、微型射频拉远单元(pico radio remote unit，pRRU)。

在一些部署中，控制设备可以包括集中式单元(centralized unit，CU)和DU，其中DU通过光纤与扩展设备连接。进一步地，CU还可以采用控制面(control plane，CP)和用户面(user plane，UP)分离的架构，即CU可以包括CU-CP实体和CU-UP实体。

又示例性地，源设备可以是在以太网中基于增强型通用公共无线接口(enhanced common public radio interface，eCPRI)协议进行报文传输的DU，目的设备可以是在以太网中基于eCPRI协议进行报文传输的CU；或者，源设备可以是在以太网中基于eCPRI协议进行报文传输的CU，目的设备可以是在以太网中基于eCPRI协议进行报文传输的DU。其中，CU实现基站的部分功能，DU实现基站的部分功能，例如，CU负责处理非实时协议和服务，实现无线资源控制(radio resource control，RRC)、分组数据汇聚协议(packet data convergence protocol，PDCP)层的功能，DU负责处理物理层协议和实时服务，实现无线链路控制(radio link control，RLC)层、介质接入控制(medium access control，MAC)层和物理(physical，PHY)层的功能。

再示例性地，源设备可以是在以太网中进行数据传输的接入回传一体化(integrated access and backhaul，IAB)节点(node)，目的设备可以是在以太网中进行报文传输的IAB宿主(donor)，路由设备可以是在以太网中进行报文传输的IAB node；或者，源设备可以是在以太网中进行报文传输的IAB donor，目的设备可以是在以太网中进行报文传输的IAB node。

在第一设备向第二设备发送报文之前，第一设备根据传输层安全协议对待发送报文加密得到加密报文，并对加密报文添加循环冗余校验(cyclic redundancy check，CRC)序列。相应地，第二设备接收到加密报文之后，对加密报文进行CRC校验，以及根据传输层安全协议对加密报文进行解密。若加密报文在传输的过程中出现了误码，则第二设备首先对加密报文进行纠错，例如，在以太网中基于eCPRI协议进行报文传输的过程中，第二设备可以采用基础(base)前向纠错(forward error correction，FEC)或里德所罗门(Reed-solomon，RS)FEC对加密报文进行纠错。第二设备对加密报文进行纠错之后，再对加密报文进行CRC校验，以及根据传输层安全协议对加密报文进行解密。

有鉴于此，本申请实施例提供一种安全传输的方法，以期减轻第一设备和第二设备的处理负担，以及提高报文传输效率。

图2示出了本申请实施例提供的安全传输的方法的示意性流程图。如图2所示，方法200可以包括S210至S230。

S210，第一设备根据传输层安全协议对待发送报文的报文头进行加密得到加密报文头。

其中，关于第一设备的更多描述可以参考上文图1。

待发送报文包括报文头和第一数据。其中，第一数据经过应用层安全协议加密且未经过传输层安全协议加密。示例性地，第一数据是第一设备生成的数据，且第一数据是发送给终端设备的数据。又示例性地，第一数据是第一设备从终端设备接收的数据。再示例性地，第一数据是第一设备从第三设备接收的数据，且第一数据是发送给终端设备的数据。第三设备用于生成第一数据或用于转发第一数据。例如第三设备是在以太网中进行数据传输的源设备或连接目的设备和源设备的路由设备。又例如，第三设备是核心网设备。

示例性地，传输层安全协议包括媒体接入控制安全(media access control security，MACSec)协议和互联网协议安全(Internet protocol security，IPSec)协议、传输层安全性协议(transport layer security，TLS)、安全套接字层(secure socket layer，SLL)协议。应用层安全协议包括分组数据汇聚协议(packet data convergence protocol，PDCP)层协议。

下面结合图3，以第一数据是第一设备从终端设备接收的数据为例，说明第一设备生成待发送报文的过程。

如图3所示，终端设备的服务数据适配协议(service data adaptation protocol，SDAP)实体从互联网协议(Internet protocol，IP)层接收到IP数据包(packet)之后，将IP数据包作为SDAP服务数据单元(service data unit，SDU)。进一步地，终端设备的SDAP实体根据SDAP层协议对SDAP SDU添加SDAP头之后得到SDAP协议数据单元(protocol data unit，PDU)。进一步地，终端设备的SDAP实体将SDAP PDU发送给终端设备的PDCP实体。

终端设备的PDCP实体接收到SDAP PDU之后，将SDAP PDU作为PDCP SDU，并根据PDCP层协议对PDCP SDU中除SDAP头以外的部分进行完整性保护。终端设备的PDCP实体根据PDCP层协议对PDCP SDU进行完整性保护的方式为：PDCP实体根据上层(例如无线资源控制(radio resource control，RRC)层)配置的第一完整性保护算法和第一完整性保护密钥计算完整性消息认证码(message authentication code integrity，MAC-I)，并将MAC-I串接在PDCP SDU的尾部。进一步地，PDCP实体根据PDCP层协议对PDCP SDU中除SDAP头以外的部分进行机密性加密。终端设备的PDCP实体根据PDCP层协议对PDCP SDU进行机密性加密的方式为：PDCP实体根据上层(例如RRC层)配置的第一机密性保护算法和第一机密性保护密钥对PDCP SDU进行机密性加密。进一步地，终端设备的PDCP实体对加密后的报文添加PDCP头得到PDCP PDU，并将PDCP PDU发送给终端设备的无线链路控制(radio link control，RLC)实体。

可选地，终端设备的PDCP实体还可以对PDCP PDU进行网络编码，例如，根据低密度奇偶检验码(low density parity check code，LDPC)对PDCP PDU进行网络编码。

终端设备的RLC实体接收到PDCP PDU之后，将PDCP PDU作为RLC SDU，并根据RLC层协议对RLC SDU添加RLC头之后得到RLC PDU。进一步地，终端设备的RLC实体将RLC PDU发送给终端设备的媒体接入控制(media access control，MAC)实体。终端设备的MAC实体接收到RLC PDU之后，将RLC PDU作为MAC SDU，并根据MAC层协议对MAC SDU添加MAC头之后得到MAC PDU。进一步地，终端设备通过层1(layer 1，L1)协议对MAC PDU添加L1头之后得到可以在空口传输的第一数据，并通过空口向AAU发送第一数据。

需要说明的是，图3中仅以PDCP实体对PDCP SDU中除SDAP头以外的部分进行完整性保护和机密性加密为例进行说明。示例性地，终端设备的PDCP实体可以对PDCP SDU包括的所有部分进行完整性保护和机密性加密。又示例性地，终端设备的PDCP实体可以对PDCP SDU进行完整性保护或机密性加密。

还需要说明的是，图3中以传输层安全协议是PDCP层协议作为示例，本申请实施例不限定在未来的通信系统中，传输层安全协议可能是SDAP层协议或RLC层协议等。

进一步地，如图3所示，AAU从终端设备接收到第一数据之后，根据eCPRI协议对第一数据进行封装之后，得到待发送的报文。

第一设备生成待发送报文之后，则根据传输层安全协议对待发送报文的报文头进行加密。第一设备根据传输层安全协议对待发送报文的报文头进行加密包括：第一设备根据传输层安全协议对待发送报文的报文头进行机密性加密，和/或，第一设备根据传输层安全协议对待发送报文进行完整性保护。

第一设备根据传输层安全协议对待发送报文的报文头进行完整性保护包括：第一设备根据第二完整性保护算法和第二完整性保护密钥对待发送报文的报文头进行完整性保护。其中，第二完整性保护算法是传输层安全协议定义的完整性保护算法。若传输层安全协议定义了多个完整性保护算法，则第一设备和第二设备可以协商使用的第二完整性保护算法。例如，第一设备和第二设备按照如下步骤协商使用的第二完整性保护算法：步骤1，第一设备向第二设备发送第一设备支持的至少一个完整性保护算法；步骤2，第二设备从第一设备支持的至少一个完整性保护算法中选择第二设备支持的完整性保护算法，并将选择的完整性保护算法作为第二完整性保护算法；步骤3，第二设备向第一设备发送第二完整性保护算法。第二完整性保护密钥是传输层安全协议定义的完整性保护密钥。第二完整性保护密钥是预配置的密钥，或者是第一设备和第二设备协商生成的密钥。例如，若第一设备根据MACSec协议对待发送报文的报文头加密，则第一设备和第二设备可以根据(MACSec key agreement，MKA)协议协商第二完整性保护密钥。具体地，第一设备和第二设备通过MKA协议发现第一设备和第二设备都具有相同的连接联盟密钥(connectivity association key，CAK)，然后第一设备和第二设备根据相同的密钥算法、CAK和随机数生成完整性校验值密钥(integrity check value key，ICK)，ICK即第二完整性保护密钥。

示例性地，第一设备根据第二完整性保护算法和第二完整性保护密钥对待发送报文的报文头进行完整性保护，包括：第一设备根据第二完整性保护算法、第二完整性保护密钥和待发送报文的报文头计算得到第一完整性校验值(integrity check value，ICV)，并将第一ICV置于报文头的尾部。

第一设备根据传输层安全协议对待发送报文的报文头进行机密性加密包括：第一设备根据第二机密性保护算法和第二机密性保护密钥对待发送报文的报文头加密。其中，第二机密性保护算法是传输层安全协议定义的机密性保护算法。若传输层安全协议定义了多个机密性保护算法，则第一设备和第二设备可以协商使用的第二机密性保护算法。例如，第一设备和第二设备按照如下步骤协商使用的第二机密性保护算法：步骤1，第一设备向第二设备发送第一设备支持的至少一个机密性保护算法；步骤2，第二设备从第一设备支持的至少一个机密性保护算法中选择第二设备支持的机密性保护算法，并将选择的机密性保护算法作为第二机密性保护算法；步骤3，第二设备向第一设备发送第二机密性保护算法。第二机密性保护密钥是传输层安全协议定义的机密性保护密钥。第二机密性保护密钥是预配置的密钥，或者是第一设备和第二设备协商生成的密钥。例如，若第一设备根据MACSec协议对待发送报文的报文头加密，则第一设备和第二设备可以根据MKA协议协商第二机密性保护密钥。具体地，第一设备和第二设备通过MKA协议发现第一设备和第二设备都具有相同的CAK，然后第一设备和第二设备根据相同的密钥算法、CAK和随机数生成安全联盟密钥(security association key，SAK)，SAK即第二机密性保护密钥。

可选地，第一设备根据传输层安全协议对报文头进行机密性加密时，可以对报文头进行机密性加密，也可以对报文头中除第一ICV以外的部分进行机密性加密。

可选地，待发送报文还包括第二数据。示例性地，第二数据包括在前传接口上传输的控制数据、管理面数据或同步时钟数据；或者，第二数据包括在中传接口上传输的控制数据、管理面数据或同步时钟数据；或者，第二数据包括在回传接口上传输的控制数据、管理面数据或同步时钟数据。例如第二数据包括以下一项或多项：控制设备向射频设备发送的操作、维护和管理(operation administration and maintenance，OAM)数据、控制设备向射频设备发送的同步时钟数据、控制设备向射频设备发送的控制和管理(control and management，C&M)数据。

进一步地，若待发送报文还包括第二数据，则方法200还包括：第一设备根据传输层安全协议对第二数据进行加密得到加密数据。

类似于第一设备对待发送报文的报文头进行加密的方式，第一设备对第二数据进行加密包括：第一设备根据传输层安全协议对第二数据进行机密性加密和/或对第二数据进行完整性保护。第一设备根据传输层安全协议对第二数据进行机密性加密包括：第一设备根据第二机密性保护算法和第二机密性保护密钥对第二数据加密。第一设备根据传输层安全协议对第二数据进行完整性保护包括：第一设备根据第二完整性保护算法和第二完整性保护密钥对第二数据进行完整性保护。

可选地，待发送报文包括的第二数据位于第一数据之前。示例性地，待发送报文的报文格式如图4所示。

可选地，若第二数据位于第一数据之前，则在S210中，第一设备根据传输层安全协议同时对待发送报文的报文头和第二数据进行加密。示例性地，若第一设备根据第二完整性保护算法和第二完整性保护密钥同时对报文头和第二数据进行完整性保护包括：第一设备根据第二完整性保护算法、第二完整性保护密钥、报文头和第二数据计算得到第二ICV，并将第二ICV置于第二数据的尾部。

可选地，若待发送报文包括第二数据，而不包括第一数据，则第一设备根据传输层安全传输协议对整个待发送报文进行加密。

可选地，第一设备还可以对待发送报文进行CRC校验。即第一设备根据待发送报文包括的数据生成CRC序列，并将CRC序列置于待发送报文包括数据之后。待发送报文包括的数据是第一数据和/或第二数据。

可选地，第一设备不对待发送报文进行CRC校验。

可选地，在S210之前，方法200还包括S240a和S250a。

S240a，第一设备接收来自第二设备的第二加密报文。相应地，在S240a中，第二设备向第一设备发送第二加密报文。

第二加密报文是经过传输层安全协议加密的报文。示例性地，第二加密报文是经过传输层安全协议的机密性加密和完整性保护的报文。又示例性地，第二加密报文是经过传输层安全协议的完整性保护的报文。

S250a，第一设备根据传输层安全协议对第二加密报文进行的完整性校验失败。

若在S250a中，第一设备确定对第二加密报文的完整性校验失败，则方法200执行S210。

示例性地，若第二加密报文是经过机密性加密和完整性保护的数据，则第一设备接收到第二加密报文之后，首先根据第二机密性保护算法和第二机密性保护密钥对第二加密报文解密，然后根据第二完整性保护算法、第二完整性保护密钥和解密后的报文中除ICV以外的部分计算得到ICV’，若ICV’与解密后的报文中的ICV不一致，则第一设备确定对第二加密报文的完整性校验失败。

又示例性地，若第二加密报文是经过完整性保护的报文，则第一设备接收到第二加密报文之后，根据第二完整性保护算法、第二完整性保护密钥和第二加密报文中除ICV以外的部分计算得到ICV’，若ICV’与第二加密报文中的ICV不一致，则第一设备确定对第二加密报文的完整性校验失败。

示例性地，在S250a中，第一设备对第二加密报文的完整性校验失败是第一次对从第二设备接收的报文完整性校验失败。也就是说，在第一设备从第二设备接收到第二加密报文之前，第一设备根据传输层安全协议对从第二设备接收到的加密报文都完整性校验成功。也就是说，一旦第一设备根据传输层安全协议对从第二设备接收的加密报文完整性校验失败，第一设备就采用S210所描述的报文加密方式对待发送报文进行加密，即第一设备根据传输层安全协议对待发送报文的报文头进行加密得到加密报文头。

又示例性地，在S250a中，第一设备对第二加密报文的完整性校验失败是第N次对从第二设备接收的报文完整性校验失败，N为正整数，且N为预设阈值。也就是说，第一设备根据传输层安全协议对从第二设备接收的加密报文完整性校验失败的此次达到了预设阈值。也就是说，一旦第一设备根据传输层安全协议对从第二设备接收的加密报文完整性校验失败的次数达到了预设阈值，第一设备就采用S210所描述的报文加密方式对待发送报文进行加密，即第一设备根据传输层安全协议对待发送报文的报文头进行加密得到加密报文头。

可选地，在S210之前，方法200还包括S240b和S250b。

S240b，第一设备向第二设备发送第三加密报文。相应地，在S240b中，第二设备接收来自第一设备的第三加密报文。

第三加密报文是经过传输层安全协议加密的报文。示例性地，第三加密报文是经过传输层安全协议的机密性加密和完整性保护的报文。又示例性地，第三加密报文是经过传输层安全协议的完整性保护的报文。

S250b，第二设备向第一设备发送指示信息。相应地，在S250b中，第一设备接收来自第二设备的指示信息。

指示信息用于指示对第三加密报文的完整性校验失败。若在S250b中，第一设备接收到来自第二设备的指示信息，则方法200执行S210。

第二设备从第一设备接收到第三加密报文之后，则根据传输层安全协议对第三加密报文进行完整性校验。若第二设备根据传输层安全协议对第三加密报文的完整性校验失败，则第二设备向第一设备发送指示信息。

示例性地，若第三加密报文是经过机密性加密和完整性保护的数据，则第二设备接收到第三加密报文之后，首先根据第二机密性保护算法和第二机密性保护密钥对第三加密报文解密，然后根据第二完整性保护算法、第二完整性保护密钥和解密后的报文中除ICV以外的部分计算得到ICV’，若ICV’与解密后的报文中的ICV不一致，则第二设备确定对第三加密报文的完整性校验失败。

又示例性地，若第三加密报文是经过完整性保护的报文，则第二设备接收到第三加密报文之后，根据第二完整性保护算法、第二完整性保护密钥和第三加密报文中除ICV以外的部分计算得到ICV’，若ICV’与第三加密报文中的ICV不一致，则第二设备确定对第三加密报文的完整性校验失败。

示例性地，在S250a中，第一设备第一次从第二设备接收到指示信息。也就是说，一旦第一设备从第二设备接收到指示信息，第一设备就采用S210所描述的报文加密方式对待发送报文进行加密，即第一设备根据传输层安全协议对待发送报文的报文头进行加密得到加密报文头。

又示例性地，在S250a中，第一设备第N次从第二设备接收到指示信息，N为正整数，且N为预设阈值。也就是说，一旦第一设备从第二设备接收到指示信息的次数达到了预设阈值，第一设备就采用S210所描述的报文加密方式对待发送报文进行加密，即第一设备根据传输层安全协议对待发送报文的报文头进行加密得到加密报文头。

S220，第一设备向第二设备发送第一加密报文。相应地，在S220中，第二设备接收来自第一设备的第一加密报文。

第一加密报文包括加密的报文头和第一数据。也就是说，第一设备生成待发送报文之后，根据传输层安全协议对待发送报文的报文头进行加密之后得到第一加密报文，并将第一加密报文发送给第二设备。

可选地，方法200还包括：第一设备向第二设备发送待发送报文的报文头的长度信息(即第一长度信息)。报文头的长度信息用于确定报文头的长度。

可选地，在第一设备向第二设备发送第一加密报文之前，第一设备向第二设备发送第一长度信息。

如上所述，第一设备在生成待发送报文的过程中，可以根据第一数据的业务类型在第一数据之前添加业务类型字段。应理解，对于不同的业务类型，业务类型字段的长度可能不同，从而导致报文头的长度不同。因此，为了使第二设备能正确解密第一加密报文，第一设备可以将报文头的长度信息发送给第二设备。

可选地，方法200还包括：第一设备向第二设备发送业务类型信息，业务类型信息用于指示第一数据的业务类型。第一数据的业务类型用于确定待发送报文的报文头的长度。

可选地，若待发送报文包括第二数据，则第一加密报文包括加密的报文头、加密数据和第一数据。也就是说，第一设备生成待发送报文之后，根据传输层安全协议对待发送报文的报文头和第二数据进行加密之后得到第一加密报文，并将第一加密报文发送给第二设备。

可选地，在待发送报文包括第二数据的情况下，方法200还包括：第一设备向第二设备发送第二数据的长度信息(即第二长度信息)。第二数据的长度信息用于确定第二数据的长度。

可选地，在第一设备向第二设备发送第一加密报文之前，第一设备向第二设备发送第二长度信息。

可选地，若第一设备对待发送报文进行了CRC校验，则第一加密报文还包括CRC序列。

S230，第二设备根据传输层安全协议对第一加密报文包括的加密报文头进行解密。

示例性地，若在S210中，第一设备根据传输层安全协议对待发送报文的报文头进行了机密性加密和完整性保护，则在S230中，第二设备首先根据第二机密性保护算法和第二机密性保护密钥对加密报文头进行解密得到报文头，然后第二设备根据第二完整性保护算法、第二完整性保护密钥和报文头中除第一ICV以外的部分计算得到第一ICV’，若第一ICV’与第一ICV一致，则第二设备确定对加密报文头的完整性校验成功。

又示例性地，若在S210中，第一设备根据传输层安全协议对待发送报文的报文头进行了机密性加密，则在S230中，第二设备根据第二机密性保护算法和第二机密性保护密钥对加密报文头进行解密得到报文头。

再示例性地，若在S210中，第一设备根据传输层安全协议对待发送报文的报文头进行了完整性保护，则在S230中，第二设备根据第二完整性保护算法、第二完整性保护密钥和加密报文头中除第一ICV以外的部分计算得到第一ICV’，若第一ICV’与第一ICV一致，则第二设备确定对加密报文头的完整性校验成功。

可选地，若第二设备从第一设备接收到第一长度信息，则第二设备首先根据第一长度信息确定加密报文头被加密之前的长度，然后第二设备根据加密报文头被加密之前的长度对加密报文头进行解密。示例性地，第二设备根据第二机密性保护算法、第二机密性保护密钥和第一长度信息计算加密报文头的长度。进一步地，第二设备根据计算得到的加密报文头的长度从第一加密报文中定位到加密报文头。进一步地，第二设备对加密报文头进行解密。

可选地，若第一加密报文还包括加密数据，则在S230中，第二设备还根据传输层安全协议对加密数据进行解密得到第二数据。第二设备对加密数据进行解密的方式与第二设备对加密报文头进行解密的方式相同，为了简洁，此处不再详述。

可选地，若第二设备从第一设备接收到第二长度信息，则第二设备首先根据第二长度信息确定加密数据被加密之前的长度，然后第二设备根据加密数据被加密之前的长度对加密数据进行解密。示例性地，第二设备根据第二机密性保护算法、第二机密性保护密钥和第二长度信息计算加密数据的长度。进一步地，第二设备根据计算得到的加密数据的长度从第一加密报文中定位到加密数据。进一步地，第二设备对加密报文进行解密。

可选地，若第一加密报文还包括CRC校验码，第二设备还对根据CRC校验码对第一加密报文进行CRC校验。若第一加密报文不包括CRC校验码，则第二设备不对第一加密报文进行CRC校验。

可选地，若第二设备对加密报文头解密成功，则第二设备向第四设备发送第一数据。第四设备是在以太网中进行数据传输的目的设备或连接目的设备和源设备的路由设备。或者，第四设备是终端设备或核心网设备。例如，第二设备是射频设备，第四设备是终端设备。或者，第二设备是控制设备，第四设备是核心网设备。

可选地，若第一数据是发送给终端设备的数据，则在从第一设备传输至第二设备的过程中，若第一数据出现了误码，则当终端设备接收到第一数据之后，再对第一数据进行纠错，例如，终端设备根据Turbo码、极化(polar)码或LDPC码对第一数据进行纠错。

可选地，若第一数据是终端设备发送给控制设备或核心网设备的数据，则在从第一设备传输至第二设备的过程中，若第一数据出现了误码，则当控制设备或核心网设备接收到第一数据之后，再对第一数据进行纠错，例如，控制设备或核心网设备根据Turbo码、polar码或LDPC码对第一数据进行纠错。

在本申请实施例中，若待发送报文包括经过应用层安全协议加密的第一数据，则第一设备在根据传输层安全协议对待发送报文加密时，对待发送报文的报文头加密，而不对第一数据加密。相应地，第二设备接收到加密报文之后，对加密报文包括的加密报文头解密，而不对第一数据解密。从而可以减轻第一设备和第二设备的处理负担，降低第一设备和第二设备的芯片成本和功耗，并提高报文传输的效率。

由于第一数据是经过应用层安全协议加密的数据，因此即使第一设备不对第一数据加密，也可以保证第一数据在第一设备和第二设备之间的安全传输。此外，由于待发送报文的报文头未经过加密，因此第一设备根据传输层安全协议对报文头进行加密之后，可以保证报文头在第一设备和第二设备之间的安全传输。

此外，由于报文头在整个待发送报文中占的比重很少，因此加密报文头在第一加密报文中占的比重也很少。进一步地，由于加密报文头的长度比较短，因此加密报文头在传输的过程发生误码的概率比较小，进而第二设备根据传输层安全协议对加密报文头解密失败的概率也比较小，进而第二设备由于对报文头解密或完整性校验失败而丢掉第一数据的概率也会减小。因此，基于上述技术方案可以在保证安全传输的情况下，提升第一设备与第二设备之间的链路的抗误码能力。若第一数据是空口数据，则在丢掉第一数据的概率减小的情况下，可以提高空口的频谱利用率。

此外，第一设备在确定对第二加密报文完整性校验失败或接收到指示信息的情况下，使用本申请实施提供的安全传输方法，可以在不更换第一设备和/或第二设备的硬件的情况下，提高第一设备和第二设备之间的链路的抗误码能力。例如，在第一设备与第二设备通过光纤链路连接的情况下，若第一设备与第二设备之间传输的加密报文的完整性校验失败，则可能出现以下问题：第一设备和/或第二设备上部署的光模块功率劣化、第一设备与第二设备之间的光纤拉远导致光信号衰减、光纤熔接导致插损。在此情况下，使用本申请实施例提供的安全传输方法，即使不更换第一设备的光模块、第二设备的光模块或光纤，也可以提高第一设备与第二设备之间的链路的抗误码能力。

以上，结合图2至图4详细说明了本申请实施例提供的方法。以下，结合图5至图7详细说明本申请实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

图5是本申请实施例提供的装置1000的示意性框图。如图所示，该装置1000可以包括：收发单元1010和处理单元1020。

在一种可能的设计中，该装置1000可以是上文方法实施例中的第一设备，也可以是用于实现上文方法实施例中第一设备的功能的芯片。

应理解，该装置1000可对应于根据本申请实施例的方法200中的第一设备，该装置1000可以包括用于执行图2中的方法200中的第一设备执行的方法单元。并且，该装置1000中的各单元和上述其他操作和/或功能分别为了实现图2中的方法200的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该装置1000可以是上文方法实施例中的第二设备，也可以是用于实现上文方法实施例中第二设备的功能的芯片。

应理解，该装置1000可对应于根据本申请实施例的方法200中的第二设备，该装置1000可以包括用于执行图2中的方法200中的第二设备执行的方法的单元。并且，该装置1000中的各单元和上述其他操作和/或功能分别为了实现图2中的方法200的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，该装置1000中的收发单元1010可对应于图6中示出的装置2000中的收发器2020，该装置1000中的处理单元1020可对应于图6中示出的装置2000中的处理器2010。

还应理解，当该装置1000为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

收发单元1010用于实现装置1000的信号的收发操作，处理单元1020用于实现装置1000的信号的处理操作。

可选地，该装置1000还包括存储单元1030，该存储单元1030用于存储指令。

图6是本申请实施例提供的装置2000的示意性框图。如图6所示，该装置2000包括：至少一个处理器2010和收发器2020。该处理器2010与存储器耦合，用于执行存储器中存储的指令，以控制收发器2020发送信号和/或接收信号。可选地，该装置2000还包括存储器2030，用于存储指令。

应理解，上述处理器2010和存储器2030可以合成一个处理装置，处理器2010用于执行存储器2030中存储的程序代码来实现上述功能。具体实现时，该存储器2030也可以集成在处理器2010中，或者独立于处理器2010。

还应理解，收发器2020可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器2020还可以进一步包括天线，天线的数量可以为一个或多个。收发器2020又可以是通信接口或者接口电路。

当该装置2000为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

图7是本申请实施例的一种芯片系统的示意图。这里的芯片系统也可为电路组成的系统。图7所示的芯片系统3000包括：逻辑电路3010以及输入/输出接口(input/output interface)3020，所述逻辑电路用于与输入接口耦合，通过所述输入/输出接口传输数据(例如第一指示信息)，以执行图2所述的方法。

本申请实施例还提供了一种处理装置，包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

应注意，本申请实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行图2所示实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行图2所示实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种系统，其包括前述的第一设备和第二设备。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种安全传输的方法，其特征在于，包括：

第一设备根据传输层安全协议对待发送报文的报文头进行加密得到加密报文头，所述待发送报文包括第一数据，所述第一数据经过应用层安全协议加密且不经过所述传输层安全协议加密；

所述第一设备向第二设备发送第一加密报文，所述第一加密报文包括所述加密报文头和所述第一数据。
根据权利要求1所述的方法，所述应用层安全协议包括：分组数据汇聚协议PDCP层协议。
根据权利要求1或2所述的方法，所述传输层安全协议包括媒体访问控制安全协议或因特网协议安全协议。
根据权利要求1至3中任一项所述的方法，其中，所述方法还包括：

所述第一设备向所述第二设备发送所述待发送报文的报文头的长度信息。
根据权利要求1至4中任一项所述的方法，所述待发送报文还包括未经过所述应用层安全协议加密的第二数据，所述第一加密报文还包括加密数据，所述方法还包括：

所述第一设备根据所述传输层安全协议对所述第二数据进行加密得到所述加密数据。
根据权利要求5所述的方法，所述第二数据位于所述第一数据之前。
根据权利要求5或6所述的方法，其中，所述方法还包括：

所述第一设备向所述第二设备发送所述第二数据的长度信息。
根据权利要求5至7中任一项所述的方法，所述第二数据包括在前传接口上传输的控制数据、管理面数据或同步时钟数据。
根据权利要求1至8中任一项所述的方法，所述第一数据是空口数据。
根据权利要求1至9中任一项所述的方法，在生成所述第一加密报文之前，所述方法还包括：

所述第一设备接收来自所述第二设备的第二加密报文；

所述第一设备根据所述传输层安全协议对所述第二加密报文进行的完整性校验失败。
根据权利要求1至10中任一项所述的方法，在生成所述第一加密报文之前，所述方法还包括：

所述第一设备向所述第二设备发送第三加密报文，所述第三加密报文是根据所述传输层安全协议对待发送报文加密生成的；

所述第一设备接收来自所述第二设备的指示信息，所述指示信息用于指示对所述第三加密报文的完整性校验失败。
根据权利要求1至11中任一项所述的方法，所述第一设备是在以太网中进行报文传输的源设备或连接所述源设备和目的设备的路由设备，所述目的设备是在以太网中进行报文传输的目的设备，所述第二设备是所述目的设备或连接所述源设备和所述目的设备的路由设备。
一种安全传输的方法，其特征在于，包括：

第二设备接收来自第一设备的加密报文，所述加密报文包括加密报文头和第一数据，所述第一数据经过应用层安全协议加密且不经过传输层安全协议加密；

所述第二设备根据所述传输层安全协议对所述加密报文头进行解密。
根据权利要求13所述的方法，所述应用层安全协议包括：分组数据汇聚协议PDCP层协议。
根据权利要求13或14所述的方法，所述传输层安全协议包括媒体访问控制安全协议或因特网协议安全协议。
根据权利要求13至15中任一项所述的方法，其中，所述方法还包括：

所述第二设备接收来自所述第一设备的第一长度信息；

所述第二设备根据所述第一长度信息确定所述加密报文头被加密之前的长度。
根据权利要求13至16中任一项所述的方法，所述加密报文还包括加密数据，所述方法还包括：

所述第二设备根据所述传输层安全协议对所述加密数据进行解密得到第二数据。
根据权利要求17所述的方法，其中，所述方法还包括：

所述第二设备接收来自所述第一设备的第二长度信息；

所述第二设备根据所述第二长度信息确定所述第二加密数据被加密之前的长度。
根据权利要求17或18所述的方法，所述第二数据包括在前传接口上传输的控制数据、管理面数据或同步时钟数据。
根据权利要求13至19中任一项所述的方法，所述第一数据是空口数据。
根据权利要求13至20中任一项所述的方法，所述第一设备是在以太网中进行报文传输的源设备或连接所述源设备和目的设备的路由设备，所述第二设备是所述目的设备或连接所述源设备和所述目的设备的路由设备。
一种装置，其特征在于，包括至少一个处理器，所述至少一个处理器与至少一个存储器耦合，所述至少一个处理器用于执行所述至少一个存储器中存储的计算机程序或指令，以使所述装置执行如权利要求1至12中任一项所述的方法。
一种装置，其特征在于，包括至少一个处理器，所述至少一个处理器与至少一个存储器耦合，所述至少一个处理器用于执行所述至少一个存储器中存储的计算机程序或指令，以使所述装置执行如权利要求13至21中任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被执行时，以使得如权利要求1至21中任一项所述的方法被执行。
一种系统，其特征在于，包括如权利要求22和23所述的装置。