CN109413005A

CN109413005A - 数据流传输安全控制方法及装置

Info

Publication number: CN109413005A
Application number: CN201710706852.6A
Authority: CN
Inventors: 杨立
Original assignee: ZTE Corp
Current assignee: ZTE Corp
Priority date: 2017-08-17
Filing date: 2017-08-17
Publication date: 2019-03-01
Also published as: WO2019033905A1

Abstract

本发明提供了一种数据流传输安全控制方法及装置。其中，该方法包括：用户面UP实体按照预定方式为每条数据无线承载DRB独立配置安全控制信息，其中，该预定方式包括：该UP实体独立配置该安全控制信息，该UP实体结合控制面CP实体发来的参数，配置该安全控制信息；该安全控制信息包括以下至少之一：安全算法、安全配置参数；该UP实体通过该CP实体将该安全控制信息发送至用户设备UE，以使UE进行数据上下行传输安全控制操作。通过本发明，解决了相关技术中网络侧CP/UP网元实体之间物理分离的场景下，CP/UP之间如何进行用户业务数据流传输的安全管控处理的问题，达到了有效进行用户业务数据流传输的安全管控的技术效果。

Description

数据流传输安全控制方法及装置

技术领域

本发明涉及通信领域，具体而言，涉及一种数据流传输安全控制方法及装置。

背景技术

随着进入到第五代(Fifth Generation简称为5G)移动通信时代，海量连接以及用户更高的数据传输速率要求，对长期演进(Long Term Evolution，简称为LTE)***中基带处理单元(Baseband Unit，简称为BBU)与(射频拉远单元Remote Radio Unit，简称为RRU)之间的前传接口通用公共无线电接口(Common Public Radio Interface，简称为CPRI)的传输容量提出了极大的挑战。由于CPRI接口传输的是经过物理层编码调制等处理后的IQ信号，对应的数字比特串速率巨大，因此CPRI接口对传输时延和工作带宽都有较大的要求，否则BBU和RRU之间不能工作。如果当5G基站gNB的空口速率提升到数十Gbps后，CPRI接口的传输流量需求，将至少上升到Tbps级别，这对前传网络接口(Fronthaul)的部署成本和难度都带来了巨大的压力。因此，在5G NR新***中，需要重新定义基站gNB内前传网络接口的划分方式。在前传接口的划分方式中，需要从传输容量、传输时延、方便部署等几方面综合考虑，比如：考虑到非理想前传传输，将时延不敏感的网络功能放在第一网元(比如：集中处理单元(Centralized Unit，简称为CU)中)，将时延敏感的网络功能放在第二网元(比如：分布式处理单元(Distributed Unit，简称为DU)中)，总体架构见图1。

一个集中式部署gNB可以包含一个gNB-CU和所辖的多个gNB-DU，它们之间通过前传链路逻辑接口F1连接。一个gNB-DU只能连接到一个gNB-CU并被其管理控制，gNB-DU和相邻gNB-DU之间没有直接接口。从外部看，NG和Xn接口都终结在gNB-CU单元上，gNB-DU对外不可见。为了保证可靠性，从实际部署的角度考虑，一个gNB-DU也可能会连接到多个gNB-CU。从5GC，其它相邻gNB或者终端UE的角度看，gNB-CU和gNB-DU都是作为一个整体大gNB而存在的，因此它们之间的NG，Xn，Uu接口和“一体扁平化”gNB的部署情况相同。

不同服务质量(Quality of Service，简称为QOS)业务要求的5G用户业务和不均衡的用户业务物理分布，对5G网络的组网部署和数据传输性能的需求都不同，这些不同类型的数据业务往往交织并存的，或者在局部区域热点爆发，因此使得当前相对封闭的网络架构，不能更高效地支撑各类5G通讯场景。因此，在CU和DU划分的基础上，同时结合传输时延、负载均衡、多厂商设备互操作性以及部署成本等多个角度的综合考虑，需要进一步对CU实体内的控制面实体(Control plane，简称为CP)和用户面实体(User plane，简称为UP)进行物理分割(注：CP和UP功能集，过去已经被逻辑层面分割，但是物理上还是集成在单个基站网元内)，使得CP和UP可以部署在不同的地理位置，独立地被配置，资源扩展和功能升级，因此可以更灵活高效地组网部署且去满足5G的各类业务需求。CP/UP物理分离的架构如下图2所示。

从部署位置看，CP实体既可以部署在网络中心机房如：CU实体内，同时管理辖区内多个UP实体，高效协调多个UP实体之间的业务负载资源，达到负载均衡的目的；CP也可以根据需求，部署在网络边缘靠近DU实体的位置；同理，UP实体既可以部署在网络数据库中心如：CU实体或者核心网UPF实体内，同时被控连接于多个CP实体，实现UP实体内基带资源池的共享复用；UP也可以根据需求，部署在网络边缘靠近DU实体的位置。上述各种灵活的部署方式，既可以使得CP/UP实体内的基带资源能够被高效地利用，也可以大大减小RRC控制面信令和用户业务数据和DU实体之间的交互时延，充分满足比如：URLLC等低延时业务的QOS需求。

从运营商角度看，CP和UP分离可以构造更加灵活和高效的网络部署方式，在增强网络性能，满足各类业务需求的同时，可以进一步降低部署成本。同时CP/UP物理分离及相关接口的标准化，极大增强了CP和UP实体设备之间的互操作性，使得CP实体和UP实体采用不同厂商的设备成为可能，也有利于运营商进一步降低5G基础设施投资购买的成本。

从空口用户面划分的角度看，CP实体包含RRC和分组数据汇聚协议(Packet DataConvergence Protocol，简称为PDCP-C)层(用于控制面信令的PDCP处理)，UP实体包含业务数据适配协议(Service Data Adaptation Protocol，简称为SDAP)，PDCP-U层(用于用户面数据的PDCP处理)。CP实体和UP实体之间可采用多对多的映射连接方式，CP可以同时管理多个UP，而UP提供的资源也可以由多个CP共享。

随着CP/UP物理分离，在UP实体被成功配置的前提下，UP实体可以独立地处理往返于核心网元用户面功能(User Plane Function，简称为UPF)的用户业务数据流。以下行为例，根据客观安全的需要，UP实体需要对下行用户业务数据流进行加密(Cipher或者Encryption)和完整性保护(Integrity Protection)，否则下行的用户业务数据流在空口传输的时候会面临多重风险；同理对于上行，UE也会对对上行用户业务数据流进行加密(Cipher或者Encryption)和完整性保护(Integrity Protection)，对于UP实体就要求能够对数据流，进行解密和完整性保护校验。

针对相关技术中，网络侧CP/UP网元实体之间物理分离的场景下，CP/UP之间如何进行用户业务数据流传输的安全管控处理的问题，尚未提出有效地解决方案。

发明内容

本发明实施例提供了一种数据流传输安全控制方法及装置，以至少解决相关技术中网络侧CP/UP网元实体之间物理分离的场景下，CP/UP之间如何进行用户业务数据流传输的安全管控处理的问题。

根据本发明的一个实施例，提供了一种数据流传输安全控制方法，包括：用户面UP实体按照预定方式为每条数据无线承载DRB独立配置安全控制信息，其中，所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；所述UP实体通过所述CP实体将所述安全控制信息发送至用户设备UE，以使所述UE进行数据上下行传输安全控制操作。

可选地，所述安全算法包括以下至少之一：加密算法、完整性保护算法；所述安全配置参数包括以下至少之一：公共根密钥KgNB、移动下一跳参数NH、每条DRB的子密钥推导辅助值DSKF。

可选地，所述方法还包括：所述UP实体根据自身配置的安全配置参数为每条DRB推导出对应的算法子密钥；其中，所述算法子密钥包括第一算法子密钥和第二算法子密钥，所述第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，所述第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

可选地，所述方法还包括：所述UP实体接收控制面CP实体通过E1逻辑接口发送来的安全配置参数；所述UP实体根据所述安全配置参数，为每条DRB推导出对应的算法子密钥，其中，所述算法子密钥至少包括第一算法子密钥和第二算法子密钥，所述第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，所述第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

可选地，所述UP实体通过所述CP实体将所述安全控制信息发送至用户设备UE包括：所述UP实体将所述安全控制信息通过第一指定接口的流程消息发送至所述CP实体，以使所述CP实体通过第二指定接口将所述安全控制信息发送至所述UE。

可选地，所述第一指定接口为CP实体和UP实体网元实体之间的E1逻辑接口，所述第二指定接口为空口Uu。

可选地，所述方法还包括：在所述DRB满足预设条件的情况下，更新和重配置所述安全控制信息。

根据本发明的另一个实施例，提供了一种数据流传输安全控制方法，包括：用户设备UE接收用户面UP实体通过控制面CP实体发送来的安全控制信息；其中，所述安全控制信息为所述UP实体按照预定方式为每条数据无线承载DRB独立配置的信息；所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；所述UE根据所述安全控制信息对每条DRB数据流进行独立的安全控制处理。

可选地，所述UE根据所述安全控制信息对各条DRB数据流进行独立的安全控制处理包括：所述UE通过每条DRB对应的第一算法子密钥和第二算法子密钥分别生成的上行加密流和完整性保护比特串，对每条DRB上的数据流独立进行加密；或者，对每条DRB上的数据流独立进行数据完整性保护；其中，所述第一算法子密钥和所述第二算法子密钥为：所述UP实体根据自身配置的安全配置参数为每条DRB推导出的算法子密钥，或者所述UP实体根据所述CP实体发送来的安全配置参数为每条DRB推导出的算法子密钥。

根据本发明的另一个实施例，提供了一种数据流传输安全控制装置，应用于用户面UP实体，包括：配置模块，用于按照预定方式为每条数据无线承载DRB独立配置安全控制信息，其中，所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；发送模块，用于通过所述CP实体将所述安全控制信息发送至用户设备UE，以使所述UE进行数据上下行传输安全控制操作。

可选地，所述装置还包括：第一推导模块，用于根据自身配置的安全配置参数为每条DRB推导出对应的算法子密钥；其中，所述算法子密钥包括第一算法子密钥和第二算法子密钥，所述第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，所述第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

可选地，所述装置还包括：接收模块，用于接收控制面CP实体通过E1逻辑接口发送来的安全配置参数；第二推导模块，用于根据所述安全配置参数为每条DRB推导出对应的算法子密钥，其中，所述算法子密钥至少包括第一算法子密钥和第二算法子密钥，所述第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，所述第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

可选地，所述发送模块还用于将所述安全控制信息通过第一指定接口的流程消息发送至所述CP实体，以使所述CP实体通过第二指定接口将所述安全控制信息发送至所述UE。

可选地，所述装置还包括：更新模块，用于在所述DRB满足预设条件的情况下，更新和重配置所述安全控制信息。

根据本发明的另一个实施例，提供了一种数据流传输安全控制装置，应用于用户设备UE，包括：接收模块，用于接收用户面UP实体通过控制面CP实体发送来的安全控制信息；其中，所述安全控制信息为所述UP实体按照预定方式为每条数据无线承载DRB独立配置的信息；所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；处理模块，用于根据所述安全控制信息对每条DRB数据流进行独立的安全控制处理。

可选地，所述处理模块包括：第一处理单元，用于通过每条DRB对应的第一算法子密钥和第二算法子密钥分别生成的上行加密流和完整性保护比特串，对每条DRB上的数据流独立进行加密；或者，第二处理单元，用于对每条DRB上的数据流独立进行数据完整性保护；其中，所述第一算法子密钥和所述第二算法子密钥为所述UP实体根据自身配置的安全配置参数为每条DRB推导出的算法子密钥，或者所述UP实体根据所述CP实体发送来的安全配置参数为每条DRB推导出的算法子密钥。

根据本发明的又一个实施例，还提供了一种存储介质，所述存储介质包括存储的程序，其中，所述程序运行时执行上述任一项所述的方法。

根据本发明的又一个实施例，还提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述任一项所述的方法。

通过本发明，采用用户面UP实体按照预定方式为每条数据无线承载DRB配置安全控制信息，其中，该预定方式包括：该UP实体独立配置该安全控制信息，该UP实体结合控制面CP实体配置该安全控制信息；该安全控制信息包括以下至少之一：安全算法、安全配置参数；该UP实体通过该CP实体将该安全控制信息发送至用户设备UE。也就是说，采用UP实体起到主控决定，CP实体起到辅助作用的方式，解决了相关技术中网络侧CP/UP网元实体之间物理分离的场景下，CP/UP之间如何进行用户业务数据流传输的安全管控处理的问题，达到了有效进行用户业务数据流传输的安全管控的技术效果。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是相关技术中5G NR CU-DU分离式部署(gNB集中式部署)架构示意图；

图2是相关技术中CP/UP物理分离的架构示意图；

图3是根据本发明实施例的数据流传输安全控制方法流程图；

图4是根据本发明可选实施例的数据流传输安全控制方法流程图(一)；

图5是根据本发明可选实施例的数据流传输安全控制方法流程图(二)；

图6是根据本发明可选实施例的数据流传输安全控制方法流程图(三)；

图7是根据本发明可选实施例的数据流传输安全控制方法流程图(四)；

图8是根据本发明可选实施例的数据流传输安全控制方法流程图(五)；

图9是根据本发明实施例的数据流传输安全控制装置的结构框图；

图10是根据本发明实施例的数据流传输安全控制装置的结构框图(一)；

图11是根据本发明实施例的数据流传输安全控制装置的结构框图(二)；

图12是根据本发明实施例的数据流传输安全控制装置的结构框图(三)；

图13是根据本发明实施例的另一数据流传输安全控制方法流程图；

图14是根据本发明实施例的另一数据流传输安全控制装置的结构框图；

图15是根据本发明实施例的另一数据流传输安全控制装置的结构框图(一)。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

实施例1

在本实施例中提供了一种数据流传输安全控制方法，图3是根据本发明实施例的数据流传输安全控制方法流程图，如图3所示，该流程包括如下步骤：

步骤S302，用户面UP实体按照预定方式为每条数据无线承载DRB独立配置安全控制信息，其中，该预定方式包括：该UP实体独立配置该安全控制信息，该UP实体结合控制面CP实体发来的参数，配置该安全控制信息；该安全控制信息包括以下至少之一：安全算法、安全配置参数；

需要说明的是，上述安全算法包括以下至少之一：加密算法、完整性保护算法；该安全配置参数包括以下至少之一：公共根密钥KgNB、移动下一跳参数NH、每条DRB的子密钥推导辅助值DSKF。

步骤S304，UP实体通过该CP实体将该安全控制信息发送至用户设备UE，以使该UE进行数据上下行传输安全控制操作。

可选地，步骤S302和步骤S304的执行顺序是可以互换的，即可以先执行步骤S304，然后再执行S302。

可选地，上述数据流传输安全控制方法的应用场景包括但并不限于：5G NR或者其他等位***中，网络侧CP/UP网元实体之间物理分离的场景下。在该场景下，用户面UP实体按照预定方式为每条数据无线承载DRB配置安全控制信息，其中，该预定方式包括：该UP实体独立配置该安全控制信息，该UP实体结合控制面CP实体配置该安全控制信息；该安全控制信息包括以下至少之一：安全算法、安全配置参数；该UP实体通过该CP实体将该安全控制信息发送至用户设备UE。也就是说，采用UP实体起到主控决定，CP实体起到辅助作用的方式，解决了相关技术中网络侧CP/UP网元实体之间物理分离的场景下，CP/UP之间如何进行用户业务数据流传输的安全管控处理的问题，达到了有效进行用户业务数据流传输的安全管控的技术效果。

下面结合具体示例，对本实施例进行举例说明。

可选地，在本示例中，CP/UP网元实体之间的逻辑接口称为E1接口，对于特定的被服务UE对象，它可以被配置一条或者多条数据无线承载DRB：Data Radio Bearer，用来传输用户业务数据流。

网络侧UP实体针对UP实体内的各条用户业务数据流，是以Per DRB为粒度进行安全配置和相关加解密和完整性保护和校验操作的。

UP实体自身优先为每条DRB选择配置独立的安全算法，至少包括：加密算法，可选的还有完整性保护算法；特例下，UP实体为所有DRB选择配置公共相同的安全算法。当UP实体完成安全算法的选择配置后，需要把选择配置的结果，通过E1接口流程消息告诉CP实体。如果UP实体自身没为DRB选择配置任何安全算法，则接受CP实体为每条DRB选择配置独立的安全算法；特例下，CP实体为所有DRB选择配置公共相同的安全算法。CP实体通过E1接口流程消息告诉UP实体选择配置的安全算法。

UP实体自身优先独立生成公共根密钥KgNB和移动下一跳参数next hopping，简称为NH)和优先生成Per DRB相关的子密钥推导辅助值(DRB Specific Key Factor，简称为DSKF)。如果UP实体自身没有优先生成上述安全配置参数，则接受CP实体配置的KgNB，NH，DSKF安全参数。CP实体通过E1接口流程消息告诉UP实体配置的上述安全参数。

UP实体内的PDCP-U协议实体(每个PDCP-U对应服务于一条DRB)，优先基于自身生成的上述安全配置参数，为每条DRB推导出各自独立的算法子密钥KUPenc(用于加解密)和KUPint(用于完整性保护)；如果不成功，则其次基于CP实体通过E1接口发送来的上述安全配置参数，为每条DRB推导出各自独立的算法子密钥KUPenc和KUPint，推导方式和过程由PDCP-U协议实体定义和选择。

UP实体把自身为每条DRB选择配置独立的安全算法，和每条DRB对应的KUPenc和KUPint，通过E1接口流程消息发送给CP实体。

CP实体通过空口Uu向UE发送每条DRB对应的安全算法和KUPenc和KUPint。对于下行，UE通过每条DRB对应的KUPenc和KUPint各自分别生成的下行解密流和完整性保护校验比特串，对每条DRB上加密的业务数据流进行解密操作，和/或对每条DRB进行数据完整性保护校验操作。

上述安全处理方式，既适用于下行的用户业务数据流，也适用上行的用户业务数据流。对于上行，UE通过每条DRB对应的KUPenc和KUPint各自分别生成的上行加密流和完整性保护比特串MAC-I，分别对每条DRB上的原始业务数据流进行加密操作，和或对每条DRB进行数据完整性保护操作；相应地，在UP实体内进行上行每条DRB数据流的解密和完整性保护校验操作。

在一个可选地实施方式中，上述方法还包括：UP实体根据自身配置的安全配置参数为每条DRB推导出对应的算法子密钥；或者，在一个可选地实施方式中，上述方法还包括：UP实体接收控制面CP实体通过E1逻辑接口发送来的安全配置参数；该UP实体根据该安全配置参数，为每条DRB推导出对应的算法子密钥。

需要说明的是，上述算法子密钥包括第一算法子密钥和第二算法子密钥，该第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，该第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

可选地，UP实体通过该CP实体将该安全控制信息发送至用户设备UE包括：UP实体将该安全控制信息通过第一指定接口的流程消息发送至该CP实体，以使该CP实体通过第二指定接口将该安全控制信息发送至该UE。

其中，上述第一指定接口为CP实体和UP实体网元实体之间的E1逻辑接口，该第二指定接口为空口Uu。

在一个可选的实施方式中，上述方法还包括：在该DRB满足预设条件的情况下，更新和重配置该安全控制信息。

需要说明的是，上述更新和重配置过程包括但并不限于：各DRB独立更新和重配置、DRB联合更新和重配置。

通过本实施例可实现以下技术效果：

1：各条DRB拥有独立的算法子密钥KUPenc和KUPint，因此当KUPenc和KUPint各自需要Key Refresh更新和重配置的时候，不要求去更改公共根密钥KgNB，只需要做自身DRB对应的Key更新和重配置即可，不会影响到其他DRB上的业务数据传输。

2：引入Per DRB相关的子密钥推导辅助值DSKF，这个新参数可以用于区分各条DRB对应的KUPenc和KUPint推导结果，实现DRB间的安全隔离。

3：在用户业务数据流传输的安全管控中，UP实体优先于CP实体，提供各条DRB对应的KUPenc和KUPint推导辅助参数，UP实体自身推导出具体的KUPenc和KUPint结果，并返回给CP实体，这保证了UP实体设备厂家可以采取独立的安全参数生成配置，和不同的密钥推导方式过程；否则UP实体只能被动接受CP实体确定的安全参数配置和密钥推导方式和过程。

4：当UP实体自身不能提供某些安全参数，如：Per DRB配置的安全算法，KgNB，NH，Per DRB相关的子密钥推导辅助值DSKF，则CP实体可以来辅助生成和配置，这也加强了CP实体对UP实体在安全管理方面的保护性。

下面结合具体示例，对本实施例进行举例说明。

可选实施例1

某时刻，UE1配置有两条DRB：DRB1和DRB2，分别用于承载传输语音和图像数据的业务，网络侧CP实体和UP实体都有四种完整性保护算法可供选择：{EIA1，EIA2，EIA3，EIA4}，暂不考虑DRB的加密保护。此实施例中UP实体具有强自主安全管理权，可以配置本发明的全部安全参数。如图4所示，包括以下步骤：

步骤S401：网络侧UP实体优先为DRB1/2选择和配置相同的完整性保护算法EIA1。UP实体根据核心网AMF之前的配置，独立生成了公共根密钥KgNB和NH，同时UP实体也优先生成了DRB1/2各自相关的DSKF参数。

步骤S402：UP实体内的PDCP-U协议实体，基于自身优先生成的上述安全配置参数，分别为DRB1/2推导出各自独立的完整性保护算法子密钥KUPint1和KUPint2。

步骤S403：UP实体将自己生成的DRB1/2对应的KUPint1和KUPint2，通过E1接口流程消息发E1AP：Security Configuration Update，发送给CP实体。

步骤S404：CP实体通过空口Uu流程消息RRC Connection Reconfiguration，向UE1发送DRB1/2对应的KUPint1和KUPint2，还有UP实体优先选择的EIA1完整性保护算法标识。

步骤S405：UE1基于EIA1完整性保护算法，通过KUPint1和KUPint2分别生成的完整性保护校验比特串MAC-I1和MAC-I2，分别对DRB1/2上已经完整性保护过的业务数据流进行完整性保护校验操作。对于上行，UE1基于EIA1完整性保护算法，通过KUPint1和KUPint2分别生成的完整性保护比特串MAC-I1和MAC-I2，分别对DRB1/2上的原始业务数据流进行完整性保护操作。

可选实施例2

某时刻，UE2配置有两条DRB：DRB3和DRB4，分别用于承载传输文件和视频数据的业务，网络侧CP实体和UP实体都有四种完整性保护算法可供选择：{EIA1，EIA2，EIA3，EIA4}，暂不考虑DRB的加密保护。此实施例中UP实体不具有完全的自主安全管理权，不能配置本发明的全部安全参数，CP实体需要辅助配置KgNB和NH安全参数。如图5所示，包括以下步骤：

步骤S501：网络侧UP实体仍然优先为DRB3/4选择配置完整性保护算法EIA2和各自相关的DSKF参数，但不能生成KgNB和NH参数。CP实体根据核心网AMF的配置，生成了公共根密钥KgNB和NH参数。

步骤S502：CP实体通过E1接口流程消息E1AP：Security ConfigurationAssisting，仅仅把为DRB3/4配置的公共根密钥KgNB和NH值，一起发送给UP实体。

步骤S503：UP实体内的PDCP-U协议实体，基于CP实体发送来的部分安全配置参数，分别为DRB3/4推导出各自独立的完整性保护子密钥KUPint3和KUPint4。

步骤S504：UP实体将自己生成的DRB3/4对应的KUPint3和KUPint4，通过E1接口流程消息发E1AP：Security Configuration Update，发送给CP实体。

步骤S505：CP实体通过空口Uu流程消息Security Mode Command，向UE2发送DRB3/4对应的KUPint3和KUPint4，还有UP实体选择的完整性保护算法EIA2标识。

步骤S506：UE2基于EIA2完整性保护算法，通过KUPint3和KUPint4分别生成的完整性保护校验比特串MAC-I3和MAC-I4，分别对DRB3/4上已经完整性保护过的业务数据流进行完整性保护校验操作。对于上行，UE2基于EIA2完整性保护算法，通过KUPint3和KUPint4分别生成的完整性保护比特串MAC-I3和MAC-I4，分别对DRB3/4上的原始业务数据流进行完整性保护操作。

可选实施例3

某时刻，UE3配置有两条DRB：DRB5和DRB6，分别用于承载传输网页浏览和音频数据的业务，网络侧CP实体和UP实体都有三种加密算法可供选择：{AES，SNOW3G，ZUC}，暂不考虑DRB的完整性保护。此实施例中UP实体不具有完全的自主安全管理权，不能配置本发明的全部安全参数，CP实体需要辅助配置KgNB和NH安全参数。如图6所示，包括如下步骤：

步骤S601：网络侧UP实体仍然优先为DRB5/6选择配置加密算法AES和各自相关的DSKF参数，但不能生成KgNB和NH参数。CP实体根据核心网AMF的配置，生成了公共根密钥KgNB和NH参数。

步骤S602：CP实体通过E1接口流程消息E1AP：Security ConfigurationAssisting，仅仅把为DRB5/6配置的公共根密钥KgNB和NH值，一起发送给UP实体。

步骤S603：UP实体内的PDCP-U协议实体，基于CP实体发送来的部分安全配置参数，分别为DRB5/6推导出各自独立的加密算法子密钥KUPenc5和KUPenc6。

步骤S604：UP实体将自己生成的DRB5/6对应的KUPenc5和KUPenc6，通过E1接口流程消息发E1AP：Security Configuration Update，发送给CP实体。

步骤S605：CP实体通过空口Uu流程消息Security Mode Command，向UE3发送DRB5/6对应的KUPenc5和KUPenc6，还有UP实体选择配置的AES加密算法标识。

步骤S606：UE3基于AES加密算法，通过KUPenc5和KUPenc6各自生成的解密流，分别对DRB5/6上加密的业务数据流进行解密操作。对于上行，UE3基于AES加密算法，通过KUPenc5和KUPenc6各自生成的加密流，分别对DRB5/6上的原始业务数据流进行加密操作。

可选实施例4

某时刻，UE4配置有两条DRB：DRB7和DRB8，分别用于承载传输音频和图像数据的业务。经过前述各个实施例中的初始化安全配置流程，网络已选择配置好了EIA3作为完整性保护算法，并且UP实体已经为DRB7/8推导出了各自独立的完整性保护子密钥KUPint7和KUPint8，基于上述安全配置结果，网络和UE之间已进行着各条业务数据流的传输。过了一会儿，DRB7的SN序列号达到最大值，于是发生了PDCP Count值翻转，因此DRB7对应的完整性保护子密钥KUPint7需要更新和重配置Key Refresh。如图7所示，包括如下步骤：

步骤S701：网络和UE4之间正进行着DRB7/8上业务数据流的传输，此时DRB7/8分别对应着完整性保护子密钥KUPint7和KUPint8。UP实体此时保存着之前所有安全的配置参数和状态上下文。

步骤S702：到了某时刻，DRB7对应的PDCP SN序列号达到最大值，发生Count值翻转，因此DRB7需要更新和重配置它的完整性保护子密钥KUPint7，对未来的数据流重新进行完整性保护操作。

步骤S703：UP实体内的PDCP-U协议实体，基于之前保存的安全配置参数和上下文，和Key Refresh需求产生的更新和重配置DSKF值，重新为DRB7推导出新完整性保护子密钥KUPint7(new)。由于DRB8暂不需要更新和重配置完整性保护子密钥，因此KUPint8继续被使用，DRB8上的数据继续传输。

步骤S704：UP实体将自己生成的DRB7对应的新完整性保护子密钥KUPint7(new)，通过E1接口流程消息发E1AP：Security Configuration Update，发送给CP实体。

步骤S705：CP实体通过空口Uu流程消息RRC Connection Reconfiguration，向UE4发送DRB7对应的新完整性保护子密钥KUPint7(new)，还有当前正在使用的EIA3完整性保护算法标识。

步骤S706：UE4基于EIA3完整性保护算法，通过新完整性保护子密钥KUPint7(new)生成新完整性保护校验比特串MAC-I7，对DRB7上未来新完整性保护的业务数据流进行完整性保护校验操作。对于上行，UE4基于EIA3完整性保护算法，通过KUPint7(new)生成的新完整性保护比特串MAC-I7，对DRB7上未来原始的业务数据流进行完整性保护操作。整个DRB7Key Refresh的过程中，DRB8中的业务数据传输不受到影响。

可选实施例5

某时刻，UE5配置有两条DRB：DRB9和DRBa，分别用于承载传输视频和文件数据的业务。经过前述各个实施例中的初始化安全配置流程，网络已选择配置好了EIA4完整性保护算法，并且UP实体已经为DRB9/a推导出了各自独立的完整性保护子密钥KUPint9和KUPintA，基于上述安全配置结果，网络和UE之间已进行着各条业务数据流的传输。过了一会儿，DRB9的SN序列号达到最大值，于是发生了PDCP Count值翻转，因此DRB9对应的完整性保护子密钥KUPint9需要更新和重配置Key Refresh。如图8所示。

步骤S801：网络和UE5之间正进行着DRB9/a上业务数据流的传输，此时DRB9/a分别对应着完整性保护子密钥KUPint9和KUPintA。UP实体此时保存着之前所有安全的配置参数和状态上下文。

步骤S802：到了某时刻，DRB9对应的PDCP SN序列号达到最大值，发生Count值翻转，因此DRB9需要更新和重配置它的完整性保护子密钥，对未来的数据流重新进行完整性保护操作。此时UP实体还决定也同时为DRBa更新和重配置它的完整性保护子密钥，虽然DRBa还没有发生Count值翻转。

步骤S803：UP实体内的PDCP-U协议实体，基于之前保存的安全配置参数和上下文，和Key Refresh需求产生的更新和重配置DSKF值，重新为DRB9推导出新完整性保护子密钥KUPint9(new)，同时重新为DRBa推导出新算法子密钥KUPintA(new)。此时DRB9和DRBa上的数据传输都被中断。

步骤S804：UP实体将自己生成的DRB9和DRBa分别对应的新完整性保护子密钥KUPint9(new)和KUPintA(new)，通过E1接口流程消息发E1AP：Security ConfigurationUpdate，发送给CP实体。

步骤S805：CP实体通过空口Uu流程消息RRC Connection Reconfiguration，向UE5发送DRB9和DRBa分别对应的新完整性保护子密钥KUPint9(new)和KUPintA(new)，还有当前正在使用的EIA4完整性保护算法标识。

步骤S806：UE5基于EIA4完整性保护算法，通过新完整性保护子密钥KUPint9(new)和KUPintA(new)生成新完整性保护校验比特串MAC-I9和MAC-IA，对DRB9和DRBa上未来新完整性保护的业务数据流进行完整性保护校验操作。对于上行，UE5基于EIA4完整性保护算法，通过KUPint9(new)和KUPintA(new)生成新完整性保护比特串MAC-I9和MAC-IA，对DRB9和DRBa上未来原始的业务数据流进行完整性保护操作。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

在本实施例中还提供了一种数据流传输安全控制装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图9是根据本发明实施例的数据流传输安全控制装置的结构框图，应用于用户面UP实体，如图9所示，该装置包括：

1)配置模块92，用于按照预定方式为每条数据无线承载DRB独立配置安全控制信息，其中，该预定方式包括：该UP实体独立配置该安全控制信息，该UP实体结合控制面CP实体发来的参数，配置该安全控制信息；该安全控制信息包括以下至少之一：安全算法、安全配置参数；

可选地，上述安全算法包括以下至少之一：加密算法、完整性保护算法；该安全配置参数包括以下至少之一：公共根密钥KgNB、移动下一跳参数NH、每条DRB的子密钥推导辅助值DSKF。

2)发送模块94，用于通过该CP实体将该安全控制信息发送至用户设备UE，以使该UE进行数据上下行传输安全控制操作。

可选地，上述数据流传输安全控制装置的应用场景包括但并不限于：5G NR或者其他等位***中，网络侧CP/UP网元实体之间物理分离的场景下。通过图9所示装置，解决了相关技术中网络侧CP/UP网元实体之间物理分离的场景下，CP/UP之间如何进行用户业务数据流传输的安全管控处理的问题，达到了有效进行用户业务数据流传输的安全管控的技术效果。

在一个可选地实施方式中，图10是根据本发明实施例的数据流传输安全控制装置的结构框图(一)，如图10所示，该装置除包括图9所示的所有模块外，还包括：

1)第一推导模块102，用于根据自身配置的安全配置参数为每条DRB推导出对应的算法子密钥；

其中，该算法子密钥包括第一算法子密钥和第二算法子密钥，该第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，该第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

在一个可选地实施方式中，图11是根据本发明实施例的数据流传输安全控制装置的结构框图(二)，如图11所示，该装置除包括图9所示的所有模块外，还包括：

1)接收模块112，用于接收控制面CP实体通过E1逻辑接口发送来的安全配置参数；

2)第二推导模块114，用于根据该安全配置参数为每条DRB推导出对应的算法子密钥，其中，该算法子密钥至少包括第一算法子密钥和第二算法子密钥，该第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，该第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

在一个可选地实施方式中，上述发送模块94还用于将该安全控制信息通过第一指定接口的流程消息发送至该CP实体，以使该CP实体通过第二指定接口将该安全控制信息发送至该UE。

需要说明的是，上述第一指定接口为CP实体和UP实体网元实体之间的E1逻辑接口，该第二指定接口为空口Uu。

在一个可选地实施方式中，图12是根据本发明实施例的数据流传输安全控制装置的结构框图(三)，如图12所示，该装置除包括图9所示的所有模块外，还包括：

1)更新模块122，用于在该DRB满足预设条件的情况下，更新和重配置该安全控制信息。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

实施例3

在本实施例中还提供了一种数据流传输安全控制方法，图13是根据本发明实施例的另一数据流传输安全控制方法流程图，如图13所示，该流程包括如下步骤：

步骤是1302，用户设备UE接收用户面UP实体通过控制面CP实体发送来的安全控制信息；其中，该安全控制信息为该UP实体按照预定方式为每条数据无线承载DRB独立配置的信息；该预定方式包括：该UP实体独立配置该安全控制信息，该UP实体结合控制面CP实体发来的参数，配置该安全控制信息；该安全控制信息包括以下至少之一：安全算法、安全配置参数；

需要说明的是，上述安全算法包括以下至少之一：加密算法、完整性保护算法；上述安全配置参数包括以下至少之一：公共根密钥KgNB、移动下一跳参数NH、每条DRB的子密钥推导辅助值DSKF。

步骤是1304，UE根据该安全控制信息对每条DRB数据流进行独立的安全控制处理。

可选地，上述数据流传输安全控制方法的应用场景包括但并不限于：5G NR或者其他等位***中，网络侧CP/UP网元实体之间物理分离的场景下。在该场景下，用户设备UE接收用户面UP实体通过控制面CP实体发送来的安全控制信息；其中，该安全控制信息为该UP实体按照预定方式为每条数据无线承载DRB独立配置的信息；该预定方式包括：该UP实体独立配置该安全控制信息，该UP实体结合控制面CP实体发来的参数，配置该安全控制信息；该安全控制信息包括以下至少之一：安全算法、安全配置参数；UE根据该安全控制信息对每条DRB数据流进行独立的安全控制处理，解决了相关技术中网络侧CP/UP网元实体之间物理分离的场景下，CP/UP之间如何进行用户业务数据流传输的安全管控处理的问题，达到了有效进行用户业务数据流传输的安全管控的技术效果。

在一个可选地实施方式中，UE根据该安全控制信息对各条DRB数据流进行独立的安全控制处理包括：UE通过每条DRB对应的第一算法子密钥和第二算法子密钥分别生成的上行加密流和完整性保护比特串，对每条DRB上的数据流独立进行加密；或者，对每条DRB上的数据流独立进行数据完整性保护。

需要说明的是，上述第一算法子密钥和该第二算法子密钥为：该UP实体根据自身配置的安全配置参数为每条DRB推导出的算法子密钥，或者该UP实体根据该CP实体发送来的安全配置参数为每条DRB推导出的算法子密钥。

实施例4

图14是根据本发明实施例的另一数据流传输安全控制装置的结构框图，应用于用户设备UE，如图14所示，该装置包括：

1)接收模块1402，用于接收用户面UP实体通过控制面CP实体发送来的安全控制信息；其中，该安全控制信息为该UP实体按照预定方式为每条数据无线承载DRB独立配置的信息；该预定方式包括：该UP实体独立配置该安全控制信息，该UP实体结合控制面CP实体发来的参数，配置该安全控制信息；该安全控制信息包括以下至少之一：安全算法、安全配置参数；

2)处理模块1404，用于根据该安全控制信息对每条DRB数据流进行独立的安全控制处理。

可选地，上述数据流传输安全控制方法的应用场景包括但并不限于：5G NR或者其他等位***中，网络侧CP/UP网元实体之间物理分离的场景下。在该场景下，通过图14所示的装置，解决了相关技术中网络侧CP/UP网元实体之间物理分离的场景下，CP/UP之间如何进行用户业务数据流传输的安全管控处理的问题，达到了有效进行用户业务数据流传输的安全管控的技术效果。

在一个可选地实施方式中，图15是根据本发明实施例的另一数据流传输安全控制装置的结构框图(一)，如图15所示，处理模块1404包括：

1)第一处理单元1502，用于通过每条DRB对应的第一算法子密钥和第二算法子密钥分别生成的上行加密流和完整性保护比特串，对每条DRB上的数据流独立进行加密；或者，

2)第二处理单元1504，用于对每条DRB上的数据流独立进行数据完整性保护；

其中，该第一算法子密钥和该第二算法子密钥为该UP实体根据自身配置的安全配置参数为每条DRB推导出的算法子密钥，或者该UP实体根据该CP实体发送来的安全配置参数为每条DRB推导出的算法子密钥。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中

实施例5

本发明的实施例还提供了一种存储介质，该存储介质包括存储的程序，其中，上述程序运行时执行上述任一项所述的方法。

可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

S1，用户面UP实体按照预定方式为每条数据无线承载DRB独立配置安全控制信息，其中，所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；

S2，所述UP实体通过所述CP实体将所述安全控制信息发送至用户设备UE，以使所述UE进行数据上下行传输安全控制操作。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：

S1，用户设备UE接收用户面UP实体通过控制面CP实体发送来的安全控制信息；其中，所述安全控制信息为所述UP实体按照预定方式为每条数据无线承载DRB独立配置的信息；所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；

S2，所述UE根据所述安全控制信息对每条DRB数据流进行独立的安全控制处理。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

本发明的实施例还提供了一种处理器，该处理器用于运行程序，其中，该程序运行时执行上述任一项方法中的步骤。

可选地，在本实施例中，上述程序用于执行以下步骤：

可选地，处理器还被设置为存储用于执行以下步骤的程序代码：

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种数据流传输安全控制方法，其特征在于，包括：

用户面UP实体按照预定方式为每条数据无线承载DRB独立配置安全控制信息，其中，所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；

所述UP实体通过所述CP实体将所述安全控制信息发送至用户设备UE，以使所述UE进行数据上下行传输安全控制操作。

2.根据权利要求1所述的方法，其特征在于，

所述安全算法包括以下至少之一：加密算法、完整性保护算法；

所述安全配置参数包括以下至少之一：公共根密钥KgNB、移动下一跳参数NH、每条DRB的子密钥推导辅助值DSKF。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UP实体根据自身配置的安全配置参数为每条DRB推导出对应的算法子密钥；

其中，所述算法子密钥包括第一算法子密钥和第二算法子密钥，所述第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，所述第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UP实体接收控制面CP实体通过E1逻辑接口发送来的安全配置参数；

所述UP实体根据所述安全配置参数，为每条DRB推导出对应的算法子密钥，其中，所述算法子密钥至少包括第一算法子密钥和第二算法子密钥，所述第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，所述第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

5.根据权利要求1所述的方法，其特征在于，所述UP实体通过所述CP实体将所述安全控制信息发送至用户设备UE包括：

所述UP实体将所述安全控制信息通过第一指定接口的流程消息发送至所述CP实体，以使所述CP实体通过第二指定接口将所述安全控制信息发送至所述UE。

6.根据权利要求5所述的方法，其特征在于，

所述第一指定接口为CP实体和UP实体网元实体之间的E1逻辑接口，所述第二指定接口为空口Uu。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述DRB满足预设条件的情况下，更新和重配置所述安全控制信息。

8.一种数据流传输安全控制方法，其特征在于，包括：

用户设备UE接收用户面UP实体通过控制面CP实体发送来的安全控制信息；其中，所述安全控制信息为所述UP实体按照预定方式为每条数据无线承载DRB独立配置的信息；所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；

所述UE根据所述安全控制信息对每条DRB数据流进行独立的安全控制处理。

9.根据权利要求8所述的方法，其特征在于，

10.根据权利要求8所述的方法，其特征在于，所述UE根据所述安全控制信息对各条DRB数据流进行独立的安全控制处理包括：

所述UE通过每条DRB对应的第一算法子密钥和第二算法子密钥分别生成的上行加密流和完整性保护比特串，对每条DRB上的数据流独立进行加密；或者，

对每条DRB上的数据流独立进行数据完整性保护；

其中，所述第一算法子密钥和所述第二算法子密钥为：所述UP实体根据自身配置的安全配置参数为每条DRB推导出的算法子密钥，或者所述UP实体根据所述CP实体发送来的安全配置参数为每条DRB推导出的算法子密钥。

11.一种数据流传输安全控制装置，应用于用户面UP实体，其特征在于，包括：

配置模块，用于按照预定方式为每条数据无线承载DRB独立配置安全控制信息，其中，所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；

发送模块，用于通过所述CP实体将所述安全控制信息发送至用户设备UE，以使所述UE进行数据上下行传输安全控制操作。

12.根据权利要求11所述的装置，其特征在于，

13.根据权利要求11所述的装置，其特征在于，所述装置还包括：

第一推导模块，用于根据自身配置的安全配置参数为每条DRB推导出对应的算法子密钥；

14.根据权利要求11所述的装置，其特征在于，所述装置还包括：

接收模块，用于接收控制面CP实体通过E1逻辑接口发送来的安全配置参数；

第二推导模块，用于根据所述安全配置参数为每条DRB推导出对应的算法子密钥，其中，所述算法子密钥至少包括第一算法子密钥和第二算法子密钥，所述第一算法子密钥用于对每条DRB上的下行数据包进行加密操作或者对每条DRB上的上行数据包进行解密操作，所述第二算法子密钥用于对每条DRB上的下行数据包进行完整性保护操作或者对每条DRB上的上行数据包进行完整性保护校验操作。

15.根据权利要求11所述的装置，其特征在于，所述发送模块还用于将所述安全控制信息通过第一指定接口的流程消息发送至所述CP实体，以使所述CP实体通过第二指定接口将所述安全控制信息发送至所述UE。

16.根据权利要求15所述的装置，其特征在于，

17.根据权利要求11所述的装置，其特征在于，所述装置还包括：

更新模块，用于在所述DRB满足预设条件的情况下，更新和重配置所述安全控制信息。

18.一种数据流传输安全控制装置，应用于用户设备UE，其特征在于，包括：

接收模块，用于接收用户面UP实体通过控制面CP实体发送来的安全控制信息；其中，所述安全控制信息为所述UP实体按照预定方式为每条数据无线承载DRB独立配置的信息；所述预定方式包括：所述UP实体独立配置所述安全控制信息，所述UP实体结合控制面CP实体发来的参数，配置所述安全控制信息；所述安全控制信息包括以下至少之一：安全算法、安全配置参数；

处理模块，用于根据所述安全控制信息对每条DRB数据流进行独立的安全控制处理。

19.根据权利要求18所述的装置，其特征在于，

20.根据权利要求18所述的装置，其特征在于，所述处理模块包括：

第一处理单元，用于通过每条DRB对应的第一算法子密钥和第二算法子密钥分别生成的上行加密流和完整性保护比特串，对每条DRB上的数据流独立进行加密；或者，

第二处理单元，用于对每条DRB上的数据流独立进行数据完整性保护；

其中，所述第一算法子密钥和所述第二算法子密钥为所述UP实体根据自身配置的安全配置参数为每条DRB推导出的算法子密钥，或者所述UP实体根据所述CP实体发送来的安全配置参数为每条DRB推导出的算法子密钥。

21.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，所述程序运行时执行权利要求1至7或权利要求8-10中任一项所述的方法。

22.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行权利要求1至7或权利要求8-10中任一项所述的方法。