CN117062055A - 安全保护方法及通信装置 - Google Patents

Abstract

本申请实施例提供了一种安全保护方法及通信装置。根据本申请的方法，若集中式单元控制面实体接收到的用户面安全策略指示不需要开启用户面安全保护或优选开启用户面安全保护，则集中式单元控制面实体向集中式单元用户面实体发送虚构密钥，虚构密钥与用户面安全密钥不同，从而即使在集中式单元用户面实体被攻击者攻破的情况下，攻击者只能从集中式单元用户面实体获取到虚构密钥，而不能获取到用户面安全密钥，从而可以减小用户面安全密钥泄漏的风险。

Description

安全保护方法及通信装置

技术领域

本申请实施例涉及安全通信领域，并且更具体地，涉及一种安全保护方法及通信装置。

背景技术

新无线(new radio，NR)技术中，接入网设备可以由一个集中式单元(centralizedunit，CU)和一个或者多个分布式单元(distributed unit，DU)构成。如果考虑控制面和用户面分离架构，CU可以进一步划分为集中式单元控制面(central unit-control plane，CU-CP)实体和集中式单元用户面(central unit-user plane，CU-UP)实体。在一个CU-CP连接多个CU-UP的场景下，该多个CU-UP均使用相同的用户面安全密钥和安全算法与终端设备进行通信。一旦多个CU-UP中的一个CU-UP被攻击者俘获后，攻击者可从被俘获的CU-UP获取用户面安全密钥，从而造成用户面安全密钥的泄露。

发明内容

本申请实施例提供一种安全保护方法，以期减小用户面安全密钥泄露的风险。

第一方面，提供了一种安全保护方法，该方法可以由集中式单元控制面实体执行，或者，也可以由集中式单元控制面实体的组成部件(例如芯片或者电路)执行，对此不作限定，为了便于描述，下面以由集中式单元控制面实体执行为例进行说明。

该方法包括：集中式单元控制面实体接收来自会话管理网元的第一用户面安全策略，该第一用户面安全策略指示不需要开启用户面安全保护或优选开启用户面安全保护；该集中式单元控制面实体根据该第一用户面安全策略，向第一集中式单元用户面实体发送虚构密钥，该虚构密钥与用户面安全密钥不同，该用户面安全密钥用于终端设备和集中式单元用户面实体之间开启用户面安全保护。

基于上述技术方案，在第一用户面安全策略指示不需要开启用户面安全保护的情况下，集中式单元控制面实体向第一集中式单元用户面实体发送不同于用户面安全密钥的虚构密钥，从而即使在该第一集中式单元用户面实体被攻击者攻破的情况下，攻击者只能从第一集中式单元用户面实体获取到虚构密钥，而不能获取到用户面安全密钥，从而可以减小用户面安全密钥泄漏的风险。可以理解，在用户面安全策略指示不需要开启用户面安全保护的情况下，第一集中式单元用户面实体与终端设备之间的用户面安全保护也不会开启，因此，即使集中式单元控制面实体向第一集中式单元用户面实体发送了虚构密钥，第一集中式单元用户面实体也不会使用该虚构密钥加密数据，从而也不会影响第一集中式单元用户面实体与终端设备之间的用户面数据传输过程。

示例性的，该虚构密钥是128比特的随机数或预定义的值。

示例性的，虚构密钥包括虚构加密密钥和/或虚构完整性密钥，虚构加密密钥与用户面安全密钥包括的用户面加密密钥不同，虚构完整性密钥与用户面安全密钥包括的用户面完整性密钥不同。若该第一用户面安全策略指示不需要开启用户面机密性保护或优选开启用户面机密性保护，则该虚构密钥包括虚构加密密钥；和/或，若该第一用户面安全策略指示不需要开启用户面完整性保护或优选开启用户面完整性保护，则该虚构密钥包括虚构完整性密钥。

示例性的，用户面安全密钥是集中式单元控制面实体根据根密钥生成的。例如，用户面安全密钥是集中式单元用户面实体以根密钥为输入密钥，以第一密钥生成参数为输入参数生成的。第一密钥生成参数包括以下一项或多项：算法标识和算法类型鉴别器。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该集中式单元控制面实体根据该第一用户面安全策略，选择为非可信集中式单元用户面实体的该第一集中式单元用户面实体。

基于上述技术方案，由于非可信集中式单元用户面实体更容易被攻击者俘获，因此集中式单元控制面实体选择为非可信集中式单元用户面实体的第一集中式单元用户面实体，并且向选择的第一集中式单元用户面实体发送虚构密钥，从而可以避免非可信集中式单元用户面实体获取到用户面安全密钥，进一步减小用户面安全密钥泄漏的风险。

示例性的，非可信集中式单元用户面实体满足以下条件中的至少一项：部署在低安全域，由第三方管理，物理环境不安全，或未经过认证或远程证明校验。

结合第一方面，在第一方面的某些实现方式中，该集中式单元控制面实体向该第一集中式单元用户面实体发送虚构密钥，包括：该集中式单元控制面实体向该第一集中式单元用户面实体发送该虚构密钥和安全算法，该安全算法为空。

基于上述技术方案，集中式单元控制面实体向第一集中式单元用户面实体发送的安全算法为空，从而即使在该第一集中式单元用户面实体被攻击者攻破的情况下，攻击者也不能从第一集中式单元用户面实体获取到正确的安全算法。

结合第一方面，在第一方面的某些实现方式中，该第一用户面安全策略指示优选开启用户面安全保护，该集中式单元控制面实体根据该第一用户面安全策略，向第一集中式单元用户面实体发送虚构密钥，包括：该集中式单元控制面实体向该第一集中式单元用户面实体发送该第一用户面安全策略和该虚构密钥；该方法还包括：该集中式单元控制面实体接收来自该第一集中式单元用户面实体的安全结果，该安全结果指示用户面安全保护开启；该集中式单元控制面实体向该第一集中式单元用户面实体发送该用户面安全密钥。

基于上述技术方案，在第一用户面安全策略指示优选开启用户面安全保护的情况下，若第一集中式单元用户面实体选择的安全结果指示用户面安全保护开启，则集中式单元控制面实体向第一集中式单元用户面实体发送用户面安全密钥，从而保证第一集中式单元用户面实体与终端设备之间的用户面数据的正常传输。

示例性的，集中式单元控制面实体通过承载修改流程向第一集中式单元用户面实体发送用户面安全密钥，即集中式单元控制面实体向第一集中式单元用户面实体发送承载上下文修改请求消息，承载上下文修改请求消息包括用户面安全密钥。

示例性的，集中式单元控制面实体通过承载建立流程向第一集中式单元用户面实体发送用户面安全密钥，即该集中式单元控制面实体向该第一集中式单元用户面实体发送承载上下文释放命令，释放当前建立的承载，然后，集中式单元控制实体向该第一集中式单元用户面实体发送承载上下文建立请求消息，建立新的承载，该承载上下文建立请求消息包括该用户面安全密钥。

结合第一方面，在第一方面的某些实现方式中，该第一用户面安全策略指示优选开启用户面安全保护，该集中式单元控制面实体根据该第一用户面安全策略，向第一集中式单元用户面实体发送虚构密钥，包括：该集中式单元控制面实体向该第一集中式单元用户面实体发送该第一用户面安全策略和该虚构密钥；该方法还包括：该集中式单元控制面实体接收来自该第一集中式单元用户面实体的安全结果，该安全结果指示用户面安全保护开启；该集中式单元控制面实体向该第一集中式单元用户面实体发送承载上下文释放命令；该集中式单元控制面实体向第二集中式单元用户面实体发送该用户面安全密钥，该第二集中式单元用户面实体是该集中式单元控制面实体重新选择的用于建立承载上下文的集中式单元用户面实体。

基于上述技术方案，在第一用户面安全策略指示优选开启用户面安全保护的情况下，若第一集中式单元用户面实体选择的安全结果指示用户面安全保护开启，则集中式单元控制面实体重新选择第二集中式单元用户面实体建立承载，并向第二集中式单元用户面实体发送用户面安全密钥，从而保证第二集中式单元用户面实体与终端设备之间的用户面数据的正常传输。

示例性的，第二集中式单元用户面实体是可信的集中式单元用户面实体。示例性的，可信集中式单元用户面实体满足以下条件中的至少一项：部署在高安全域，由运营商管理，物理环境安全，或经过认证或远程证明校验。

结合第一方面，在第一方面的某些实现方式中，该第一用户面安全策略指示优选开启安全保护，该方法还包括：该集中式单元控制面实体确定不需要开启用户面安全保护；该集中式单元控制面实体根据该第一用户面安全策略，向第一集中式单元用户面实体发送虚构密钥，包括：该集中式单元控制面实体向该第一集中式单元用户面实体发送第二用户面安全策略和该虚构密钥，该第二用户面安全策略指示不需要开启安全保护。

基于上述技术方案，在第一用户面安全策略指示优选开启用户面安全的情况下，集中式单元控制面实体确定不需要开启用户面安全保护，并向第一集中式单元用户面实体发送指示不需要开启用户面安全保护的第二用户面安全策略和虚构密钥，从而即使在第一集中式单元用户面实体被攻击者攻破的情况下，攻击者只能从第一集中式单元用户面实体获取到虚构密钥，而不能获取到用户面安全密钥，从而可以减小用户面安全密钥泄漏的风险。

示例性的，该集中式单元控制面实体根据以下一项或多项确定不需要开启用户面安全保护：该集中式单元控制面实体的负载情况，或该集中式单元控制面实体对该终端设备与该集中式用户面实体之间传输的数据的安全要求。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该集中式单元控制面实体获取该终端设备的安全能力信息，该安全能力信息指示该终端设备不支持通过与该第一集中式单元用户面实体对应的特定密钥生成参数推演用户面安全密钥的能力。

示例性的，特定密钥生成参数包括第一集中式单元用户面实体的标识和/或承载标识，该承载是第一集中式单元用户面实体与终端设备之间的承载。第一集中式单元用户面实体与终端设备之间的不同承载的标识不同，第一集中式单元用户面实体与不同终端设备之间的承载的标识不同。

结合第一方面，在第一方面的某些实现方式中，该集中式单元控制面实体获取该终端设备的安全能力信息，包括：该集中式单元控制面实体接收来自该终端设备的该安全能力信息。

结合第一方面，在第一方面的某些实现方式中，该集中式单元控制面实体获取该终端设备的安全能力信息，包括：该集中式单元控制面实体接收来自接入和移动性管理功能网元的该安全能力信息。

第二方面，提供了一种安全保护方法，该方法可以由集中式单元控制面实体执行，或者，也可以由集中式单元控制面实体的组成部件(例如芯片或者电路)执行，对此不作限定，为了便于描述，下面以由集中式单元控制面实体执行为例进行说明。

该方法包括：该集中式单元控制面实体获取该终端设备的安全能力信息，该安全能力信息指示该终端设备是否支持通过与集中式单元用户面实体对应的特定密钥生成参数推演用户面安全密钥的能力；若该安全能力信息指示该终端设备不支持通过该特定密钥生成参数推演用户面安全密钥的能力，则该集中式单元控制面实体确定根据根密钥和第一密钥生成参数生成用户面安全密钥，该第一密钥生成参数包括算法标识和/或算法类型鉴别器；若该安全能力信息指示该终端设备支持通过该特定密钥生成参数推演用户面安全密钥的能力，则该集中式单元控制面实体确定根据根密钥和第二密钥生成参数生成用户面安全密钥，该第二密钥生成参数包括该特定密钥生成参数。

基于上述技术方案，若集中式单元控制面实体获取到终端设备的安全能力信息，则集中式单元控制面实体根据终端设备的能力确定与集中式单元用户面实体建立承载上下文的方式，避免在终端设备不支持通过特定密钥生成参数推演用户面安全密钥的能力的情况下，集中式单元控制面实体或集中式单元用户面实体使用根密钥和特定密钥生成参数生成用户面安全密钥，导致终端设备和集中式单元用户面实体无法使用相同的用户面安全密钥进行数据传输。

进一步地，集中式单元控制面实体可以在终端设备支持通过特定密钥生成参数推演用户面安全密钥的能力的情况下，向集中式单元用户面实体发送根据根密钥和特定密钥生成参数生成的用户面安全密钥，或者发送根密钥，使得集中式单元用户面实体可以根据根密钥和特定密钥生成参数生成用户面安全密钥，从而实现不同集中式单元用户面实体间的用户面安全密钥隔离。

示例性的，特定密钥生成参数包括集中式单元用户面实体的标识和/或承载标识，该承载是集中式单元用户面实体与终端设备之间的承载。集中式单元用户面实体与终端设备之间的不同承载的标识不同，集中式单元用户面实体与不同终端设备之间的承载的标识不同。

结合第二方面，在第二方面的某些实现方式中，该集中式单元控制面实体获取该终端设备的安全能力信息，包括：该集中式单元控制面实体接收来自该终端设备的该安全能力信息。

结合第二方面，在第二方面的某些实现方式中，该集中式单元控制面实体获取该终端设备的安全能力信息，包括：该集中式单元控制面实体接收来自接入和移动性管理功能网元的该安全能力信息。

第三方面，提供了一种通信装置，该通信装置包括收发单元，该收发单元用于接收来自会话管理网元的第一用户面安全策略，该第一用户面安全策略指示不需要开启用户面安全保护或优选开启用户面安全保护；该收发单元还用于根据该第一用户面安全策略，向第一集中式单元用户面实体发送虚构密钥，该虚构密钥与用户面安全密钥不同，该用户面安全密钥用于终端设备和集中式单元用户面实体之间开启用户面安全保护。

结合第三方面，在第三方面的某些实现方式中，该虚构密钥是128比特的随机数或预定义的值。

结合第三方面，在第三方面的某些实现方式中，该通信装置还包括处理单元，该处理单元用于根据该第一用户面安全策略，选择为非可信集中式单元用户面实体的该第一集中式单元用户面实体。

结合第三方面，在第三方面的某些实现方式中，该收发单元具体用于向该第一集中式单元用户面实体发送该虚构密钥和安全算法，该安全算法为空。

结合第三方面，在第三方面的某些实现方式中，该第一用户面安全策略指示优选开启用户面安全保护，该收发单元具体用于向该第一集中式单元用户面实体发送该第一用户面安全策略和该虚构密钥；该收发单元还用于接收来自该第一集中式单元用户面实体的安全结果，该安全结果指示用户面安全保护开启；该收发单元还用于向该第一集中式单元用户面实体发送该用户面安全密钥。

结合第三方面，在第三方面的某些实现方式中，该收发单元还用于向该第一集中式单元用户面实体发送承载上下文释放命令；该收发单元具体用于向该第一集中式单元用户面实体发送承载上下文建立请求消息，该承载上下文建立请求消息包括该用户面安全密钥。

结合第三方面，在第三方面的某些实现方式中，该第一用户面安全策略指示优选开启用户面安全保护，该收发单元具体用于向该第一集中式单元用户面实体发送该第一用户面安全策略和该虚构密钥；该收发单元还用于接收来自该第一集中式单元用户面实体的安全结果，该安全结果指示用户面安全保护开启；该收发单元还用于向该第一集中式单元用户面实体发送承载上下文释放命令；该收发单元还用于向第二集中式单元用户面实体发送该用户面安全密钥，该第二集中式单元用户面实体是集中式单元控制面实体重新选择的用于建立承载上下文的集中式单元用户面实体。

结合第三方面，在第三方面的某些实现方式中，该第一用户面安全策略指示优选开启安全保护，该处理单元还用于确定不需要开启用户面安全保护；该收发单元具体用于向该第一集中式单元用户面实体发送第二用户面安全策略和该虚构密钥，该第二用户面安全策略指示不需要开启安全保护。

结合第三方面，在第三方面的某些实现方式中，该处理单元具体用于根据以下一项或多项确定不需要开启用户面安全保护：该集中式单元控制面实体的负载情况，或该集中式单元控制面实体对该终端设备与该集中式用户面实体之间传输的数据的安全要求。

结合第三方面，在第三方面的某些实现方式中，若该第一用户面安全策略指示不需要开启用户面机密性保护或优选开启用户面机密性保护，则该虚构密钥包括虚构加密密钥，该虚构加密密钥与该用户面安全密钥包括的用户面加密密钥不同；和/或，若该第一用户面安全策略指示不需要开启用户面完整性保护或优选开启用户面完整性保护，则该虚构密钥包括虚构完整性密钥，该虚构完整性密钥与该用户面安全密钥包括的用户面完整性密钥不同。

结合第三方面，在第三方面的某些实现方式中，该收发单元还用于获取该终端设备的安全能力信息，该安全能力信息指示该终端设备不支持通过与该第一集中式单元用户面实体对应的特定密钥生成参数推演用户面安全密钥的能力。

结合第三方面，在第三方面的某些实现方式中，该收发单元具体用于接收来自该终端设备的该安全能力信息。

结合第三方面，在第三方面的某些实现方式中，该收发单元具体用于接收来自接入和移动性管理功能网元的该安全能力信息。

第四方面，提供了一种通信装置，该通信装置包括收发单元和处理单元，该收发单元用于获取该终端设备的安全能力信息，该安全能力信息指示该终端设备是否支持通过与集中式单元用户面实体对应的特定密钥生成参数推演用户面安全密钥的能力；若该安全能力信息指示该终端设备不支持通过该特定密钥生成参数推演用户面安全密钥的能力，则该处理单元用于确定根据根密钥和第一密钥生成参数生成用户面安全密钥，该第一密钥生成参数包括算法标识和/或算法类型鉴别器；若该安全能力信息指示该终端设备支持通过该特定密钥生成参数推演用户面安全密钥的能力，则该处理单元用于确定根据根密钥和第二密钥生成参数生成用户面安全密钥，该第二密钥生成参数包括该特定密钥生成参数。

结合第四方面，在第四方面的某些实现方式中，该收发单元具体用于接收来自该终端设备的该安全能力信息。

结合第四方面，在第四方面的某些实现方式中，该收发单元具体用于接收来自接入和移动性管理功能网元的该安全能力信息。

结合第四方面，在第四方面的某些实现方式中，该特定密钥生成参数包括集中式单元用户面实体的标识和/或承载标识。

第五方面，提供了一种通信装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第一方面及第一方面中任一种可能实现方式中的方法，或者以实现上述第二方面及第二方面中任一种可能实现方式中的方法。可选的，该通信装置还包括存储器。可选的，该通信装置还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该通信装置为集中式单元控制面实体。当该通信装置为集中式单元控制面实体时，该通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该通信装置为配置于集中式单元控制面实体中的芯片。当该通信装置为配置于集中式单元控制面实体中的芯片时，该通信接口可以是输入/输出接口。

可选的，该收发器可以为收发电路。可选的，该输入/输出接口可以为输入/输出电路。

第六方面，提供了一种处理器，包括：输入电路、输出电路和处理电路。所述处理电路用于通过所述输入电路接收信号，并通过所述输出电路发射信号，使得所述处理器执行第一方面至第二方面中任一种可能实现方式中的方法。

在具体实现过程中，上述处理器可以为一个或多个芯片，输入电路可以为输入管脚，输出电路可以为输出管脚，处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的，输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的，且输入电路和输出电路可以是同一电路，该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。

第七方面，提供了一种处理装置，包括处理器和存储器。该处理器用于读取存储器中存储的指令，并可通过接收器接收信号，通过发射器发射信号，以执行第一方面至第二方面中任一种可能实现方式中的方法。

可选的，所述处理器为一个或多个，所述存储器为一个或多个。

可选的，所述存储器可以与所述处理器集成在一起，或者所述存储器与处理器分离设置。

在具体实现过程中，存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

应理解，相关的数据交互过程例如发送虚构密钥可以为从处理器输出虚构密钥的过程，接收用户面安全策略可以为处理器接收用户面安全策略的过程。具体地，处理器输出的数据可以输出给发射器，处理器接收的输入数据可以来自接收器。其中，发射器和接收器可以统称为收发器。

上述第七方面中的处理装置可以是一个或多个芯片。该处理装置中的处理器可以通过硬件来实现也可以通过软件来实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于该处理器之外，独立存在。

第八方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当所述计算机程序被运行时，使得计算机执行上述第一方面至第二方面中任一种可能实现方式中的方法。

第九方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得上述第一方面至第二方面中任一种可能实现方式中的方法被执行。

第十方面，提供一种芯片，芯片包括处理器与通信接口，处理器通过通信接口读取存储器上存储的指令，执行上述第一方面至第二方面中任一种可能实现方式中的方法。

可选地，作为一种实现方式，芯片还包括存储器，存储器中存储有计算机程序或指令，处理器用于执行存储器上存储的计算机程序或指令，当计算机程序或指令被执行时，处理器用于执行上述第一方面至第二方面中任一种可能实现方式中的方法。

第十一方面，提供了一种通信***，包括前述的集中式单元控制面实体，该集中式单元控制面实体用于执行上述第一方面及第一方面中任一种可能实现方式中的方法，或者用于执行上述第二方面及第二方面中任一种可能实现方式中的方法。

附图说明

图1是适用于本申请实施例提供的方法的通信***的示意图；

图2示出了一种安全保护方法的示意性流程图；

图3是本申请实施例提供的安全保护方法的示意性流程图；

图4是本申请另一实施例提供的安全保护方法的示意性流程图；

图5是本申请另一实施例提供的安全保护方法的示意性流程图；

图6是本申请另一实施例提供的安全保护方法的示意性流程图；

图7是本申请实施例提供的通信装置的示意图；

图8是本申请另一实施例提供的通信装置的示意性框图；

图9是本申请实施例提供的一种芯片***的示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信***，例如：长期演进(long termevolution，LTE)***、频分双工(frequency division duplex，FDD)***、时分双工(timedivision duplex，TDD)、通用移动通信***(universal mobile telecommunicationsystem，UMTS)、全球互联微波接入(worldwide interoperability for microwaveaccess，WiMAX)通信***、第五代(5th generation，5G)***或新无线(new radio，NR)、第六代(6th generation，6G)***或未来的通信***等。本申请中所述的5G移动通信***包括非独立组网(non-standalone，NSA)的5G移动通信***或独立组网(standalone，SA)的5G移动通信***。通信***还可以是公共陆地移动网络(public land mobile network，PLMN)、设备到设备(device to device，D2D)通信***、机器到机器(machine to machine，M2M)通信***、物联网(Internet of things，IoT)通信***、车联万物(vehicle toeverything，V2X)通信***、无人机(uncrewed aerial vehicle，UAV)通信***或者其他通信***。

本申请实施例中的终端设备可以指用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，5G网络中的终端设备或者未来演进的PLMN中的终端设备等，本申请实施例对此并不限定。

本申请实施例中的网络设备可以是任意一种具有无线收发功能的设备。该设备包括但不限于：5G中的下一代节点B(next generation nodeB，gNB)、演进型节点B(evolvedNode B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(baseband unit，BBU)、无线保真(wireless fidelity，WiFi)***中的接入点(access point，AP)、无线中继节点、无线回传节点、传输点(transmission point，TP)或者发送接收点(transmissionand reception point，TRP)等，还可以为5G，如，NR***中的gNB，或，传输点(TRP或TP)，5G***中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)等。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是描述关联对象的一种关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，b-c，a-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。同时，在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，便于理解。

此外，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

图1示出了NR技术中的接入网设备的结构示意图和部署场景示意图。如图1中的(a)所示，NR技术中，接入网设备(如gNB)可以由一个集中式单元(centralized unit，CU)和一个或者多个分布式单元(distributed unit，DU)构成。CU和DU是不同的逻辑节点，可以部署在不同的物理设备上，或者部署在相同的物理设备上。如果考虑控制面和用户面分离架构，CU可以进一步划分为集中式单元控制面(central unit-control plane，CU-CP)实体(或者也可称为CU-CP节点)和集中式单元用户面(central unit-user plane，CU-UP)实体(或者也可称为CU-UP节点)。如图1中的(a)所示，一个gNB会包含一个CU-CP、多个CU-UP、多个DU。

其中，DU涵盖了基带处理的物理层以及介质访问控制(media access control，MAC)层或无线链路控制(radio link control，RLC)层部分功能。考虑射频拉远单元(radioremote unit，RRU)与DU的传输资源，部分DU的物理层功能可以上移到RRU。伴随RRU的小型化，甚至更激进的DU可以与RRU进行合并。DU布放取决实际网络环境，例如：核心城区、话务密度较高、站间距较小、机房资源受限的区域，像高校、大型演出场馆等，DU可以集中式布放；而话务较稀疏、站间距较大等区域，像郊县、山区等区域，DU可以采取分布式的布放方式。

CU涵盖了无线接入网高层协议栈以及核心网的一部分功能，例如无线资源控制(radio resource control，RRC)层、分组数据汇聚协议(packet data convergenceprotocol，PDCP)层等部分功能，甚至也能够支持部分核心网功能下沉至接入网，可以称作边缘计算网络，能够满足未来通信网络对于新兴业务例如视频、网购、虚拟/增强现实，对于网络时延的更高要求。

CU-CP为控制面实体，涵盖了RRC和PDCP层的功能，主要对DU和CU-UP进行资源的管理和调度，以及控制面信令的管理和中转。

CU-UP为用户面实体，目前主要涵盖PDCP层，主要对用户面数据(user planetraffic)进行传输，在会话到来的时候进行数据传输。

从图1可以看出，接入网设备包括的各个功能单元之间的连接关系如下：

1)一个gNB可以由一个CU-CP、一个或多个CU-UP、一个或多个DU组成；

2)CU-CP和DU之间通过F1-C接口相连；

3)CU-UP和DU之间通过F1-U接口相连；

4)CU-UP和CU-CP之间通过E1接口相连；

5)一个DU连接到一个CU-UP；

6)一个CU-UP一般只能连接到一个CU-CP；特殊情况下，可能可以连到多个CU-CP；示例性的，为了更灵活、更弹性地布网，CU-UP可能需要连接到两个或两个以上CU-CP，例如当其中一个CU-CP的负荷太大，CU-UP可能需要被分配或者路由到另一个CU-CP；

7)一个CU-UP可以连接到多个DU。

基于图1中的(a)所示的网络架构，在实际应用中，主要部署场景有两种，分别如图1中的(b)和图1中的(c)所示。其中，CU-CP可以连接到5G核心网(5G core，5GC)，CU-UP也可以连接到5GC，UE可以连接到DU。5GC可包括但不限于：接入和移动性管理功能(access andmobility management function，AMF)网元、会话管理功能(session managementfunction，SMF)网元，等等。其中，AMF网元主要用于移动性管理和接入管理、负责在终端设备与策略控制功能(policy control function，PCF)网元之间传递用户策略等。SMF网元主要用于会话管理、终端设备的网络互连协议(Internet protocol，IP)地址的分配和管理、选择和管理用户平面功能、策略控制和收发功能接口的终结点以及下行数据通信等。更多关于5GC包括的网元的描述可参考第三代合作伙伴项目(3rd generation partnershipproject，3GPP)技术标准(technical standards，TS)23.501中的定义。

图1中的(b)为第一种部署场景的示意图。如图1中的(b)所示，在第一种部署场景中，CU-CP和CU-UP1处于中心位置，CU-UP2处于分布式的位置。该场景可能如高可靠低时延(ultra-reliable and low-latency communication，URLLC)场景，通过一次中心交互之后的用户面数据传输；也可以进行在用户面侧的云实现，实现数据传输时延，如关键机器类通信(critical machine type communication，critical MTC)下的数据传输。在该场景下，CU-UP1和CU-UP2处于不同的安全域(security domain)，其中，CU-UP1处于高安全域(图1中的(b)所示的安全域1)，属于可信(trusted)CU-UP，CU-UP2处于低安全域(图1中的(b)所述的安全域2)，属于非可信(untrusted)CU-UP。

图1中的(c)为第二种部署场景的示意图。如图1中的(c)所示，在第二种部署场景中，CU-CP、CU-UP1和CU-UP2均处于中心位置。该场景可能在如切片、边缘计算等场景中被广泛使用。CU-UP2由运营商负责管理，CU-UP1由第三方负责管理，因此CU-UP1和CU-UP2所处的安全等级不同。其中，CU-UP2所处的安全等级(security level)2的安全性高，属于可信CU-UP，CU-UP1所处的安全等级1的安全性低，属于非可信CU-UP。

图2示出了一种安全保护方法的示意性流程图，该方法包括以下步骤：

S210，UE向SMF发送协议数据单元(protocol data unit，PDU)会话建立请求(PDUsession establishment request)消息。

UE开机后，选择基站进行接入，并建立空口资源。UE选择的基站可以是由DU、CU-UP和CU-CP共同构成的基站。进一步地，UE发起注册流程，通过基站与核心网(例如5GC)建立连接，并完成鉴权过程。UE与核心网完成鉴权之后，核心网向CU-CP发送基站的根密钥(记为KgNB)。例如，核心网包括的AMF向CU-CP发送初始上下文建立请求(initial context setuprequest)消息，初始上下文建立请求消息包括KgNB。

UE与核心网完成鉴权之后，UE向核心网发送PDU会话建立请求消息，PDU会话建立请求消息包括PDU会话标识。例如，UE向核心网中的AMF发送PDU会话建立请求消息，AMF再将PDU会话建立请求消息发送至核心网中的SMF。

S220，SMF向CU-CP发送PDU会话请求消息。

PDU会话请求消息包括PDU会话的用户面安全策略(UP security policy)。用户面安全策略可以包括用户面机密性安全策略和用户面完整性安全策略。其中，用户面机密性安全策略用于指示是否开启用户面机密性保护。用户面机密性安全策略存在三种可能的取值，分别为“必须(required)”、“优选(preferred)”和“不需要(not needed)”。其中，required表示必须开启用户面机密性保护，preferred表示可以优选开启用户面机密性保护，not needed表示不需要开启用户面机密性保护。用户面完整性安全策略用于指示是否开启用户面完整性保护。用户面完整性安全策略也存在三种可能的取值，分别为required、preferred和not needed。其中，required表示必须开启用户面完整性保护，preferred表示优选开启用户面完整性保护，not needed表示不需要开启用户面完整性保护。

示例性的，SMF可以将PDU会话请求消息发送至AMF，AMF再将PDU会话请求消息发送至CU-CP。

S230，CU-CP选择安全算法和推演用户面安全密钥。

安全算法包括用户面机密性保护算法和用户面完整性保护算法，用户面安全密钥包括用户面加密密钥(记为Kupenc)和用户面完整性密钥(记为Kupint)。推演用户面安全密钥的输入密钥包括KgNB。若CU-CP连接了多个CU-UP，则CU-CP为该多个CU-UP选择相同的安全算法，以及为该多个CU-UP推演的用户面安全密钥相同。

需要说明的是，安全算法选择和用户面安全密钥推演可以是在PDU会话建立流程中，也可以是在PDU会话建立之前，例如通过AS安全模式命令(AS Security Mode Command)流程完成，本申请实施例对此不作限制。

S240，CU-CP向CU-UP发送承载上下文建立请求(bearer context setup request)消息。

承载上下文请求消息包括用户面机密性保护算法、用户面完整性保护算法、Kupenc、Kupint和安全指示，安全指示包括用户面安全策略和最大完整性保护速率。其中，最大完整性保护速率用于表示基站开启用户面完整性保护后的最大速率。最大完整性保护速率包括上行最大完整性保护速率和下行最大完整性保护速率。上行最大完整性保护速率表示基站开启用户面完整性保护后的最大上行速率。下行最大完整性保护速率表示终端设备开启用户面完整性保护后的最大下行速率。例如，当上行最大完整性保护速率为64千比特每秒时，代表基站开启用户面完整性保护后，最大可以从终端设备接收数据的速率为64千比特每秒。

可选的，在S240中，CU-CP可以向CU-UP发送承载上下文修改(bearer contextmodification request)消息，承载上下文修改请求消息包括用户面机密性保护算法、用户面完整性保护算法、Kupenc、Kupint和安全指示，安全指示包括用户面安全策略和最大完整性保护速率。

S250，CU-UP向CU-CP发送承载上下文建立响应(bearer context setupresponse)消息。

承载上下文建立响应消息包括安全结果。

CU-UP接收到承载上下文建立请求消息之后，使用承载上下文建立请求消息包括的安全指示，并选择安全结果(security result)。安全结果包括完整性安全结果和机密性安全结果。安全结果的取值可以是“执行”或“不执行”。以完整性安全结果为例，若完整性安全结果的取值是“执行”，则完整性安全结果指示用户面完整性保护开启；若完整性安全结果的取值是“不执行”，则完整性安全结果指示用户面完整性保护不开启。

CU-UP选择的安全结果与安全指示包括的用户面安全策略相关。例如，若用户面安全策略的取值为“required”，则CU-UP选择的安全结果的取值为“执行”。又例如，若用户面安全策略的取值为“not needed”，则CU-UP选择的安全结果的取值为“不执行”。再例如，若用户面安全策略的取值为“preferred”，则CU-UP选择的安全结果的取值为“执行”或“不执行”，例如，若CU-UP当前负载较大，则CU-UP选择的安全结果的取值为“不执行”，又例如，当前建立的承载对应的数据的安全要求高，则CU-UP选择的安全结果取值为“执行”。

可选的，若在S240中，CU-UP接收到来自CU-CP的承载上下文修改请求消息，则在S250中，CU-UP向CU-CP发送承载上下文修改响应(bearer context modificationresponse)消息，承载上下文修改响应消息包括安全结果。

需要说明的是，若CU-UP无法选择与用户面安全策略对应的安全结果，则CU-UP向CU-CP发送拒绝消息。例如，用户面安全策略的取值为“required”，但CU-UP不支持开启用户面安全保护，即CU-UP无法选择取值为“执行”的安全结果，则CU-UP向CU-CP发送拒绝消息。又例如，用户面安全策略的取值为“not needed”，但CU-UP要求开启用户面安全保护，即CU-UP无法选择取值为“不执行”的安全结果，则CU-UP向CU-CP发送拒绝消息。

S260，CU-CP向UE发送RRC重配置(RRC configuration)消息。

RRC重配置消息包括安全结果。相应的，UE根据安全结果开启用户面安全保护或者不开启用户面安全保护。例如，安全结果包括的完整性安全结果的取值为“执行”，则UE开启用户面完整性保护。安全结果包括的机密性安全结果的取值为“执行”，则UE开启用户面机密性保护。

S270，UE向CU-CP发送RRC重配置完成(RRC configuration complete)消息。

基于图2所示的方法，同一个CU-CP连接的多个CU-UP均使用相同的用户面安全密钥和安全算法。然而从图1中的(b)和(c)所示的部署场景可见，同一个CU-CP连接的多个CU-UP可能包括非可信CU-UP，非可信CU-UP相较于可信CU-UP更容易被攻击者俘获。一旦非可信CU-UP被攻击者俘获后，攻击者可以从非可信CU-UP中获取用户面安全密钥，并使用该用户面安全密钥对可信CU-UP和UE之间的数据进行解密或篡改。

有鉴于此，本申请实施例提供一种安全保护方法，以期减小用户面安全密钥泄漏的风险。

需要说明的是，下文实施例将集中式单元控制面实体记为CU-CP，将集中式单元用户面实体记为CU-UP，将终端设备记为UE，将会话管理网元记为SMF，将接入和移动性管理功能网元记为AMF。

图3示出了本申请实施例提供的安全保护方法的示意性流程图。如图3所示，方法300可以包括以下步骤：

S310，CU-CP接收来自SMF的用户面安全策略。相应的，SMF向CU-CP发送用户面安全策略。

用户面安全策略的描述可以参考图2中的S220。

示例性的，SMF通过PDU会话请求消息向CU-CP发送用户面安全策略，即，SMF向CU-CP发送PDU会话请求消息，PDU会话请求消息包括用户面安全策略。

CU-CP接收到用户面安全策略之后，根据用户面安全策略执行S320a和/或S320b。例如，若用户面安全策略指示不需要开启用户面安全保护，则CU-CP执行S320a，若用户面安全策略指示必须开启用户面安全保护或优选开启用户面安全保护，则CU-CP执行S320b。又例如，若用户面安全策略中的用户面完整性安全策略指示不需要开启用户面完整性保护，用户面安全策略中的用户面机密性安全策略指示必须开启用户面机密性保护或优选开启用户面机密性保护，则CU-CP执行S320a和S320b。

S320a，CU-CP向CU-UP1发送虚构密钥。相应的，CU-UP1接收来自CU-CP的虚构密钥。

其中，虚构密钥(dummy key)不同于第一用户面安全密钥。示例性的，虚构密钥是128比特(bit)的随机数，或者，虚构密钥是预定义的值。

第一用户面安全密钥用于UE与CU-UP(例如下文的CU-UP2)之间开启用户面安全保护。示例性的，第一用户面安全密钥是CU-CP根据根密钥生成的。例如，第一用户面安全密钥是CU-CP以根密钥为输入密钥，以第一密钥生成参数为输入参数生成的。第一用户面安全密钥包括第一用户面加密密钥和/或第一用户面完整性密钥，第一用户面加密密钥用于UE与CU-UP之间进行用户面机密性保护，第一用户面完整性密钥用于UE与CU-UP之间进行用户面完整性保护。示例性的，根密钥是基站的根密钥，基站包括CU-CP和CU-UP1。第一密钥生成参数包括以下一项或多项：算法标识和算法类型鉴别器。其中，算法类型鉴别器的取值包括“用户面机密性保护”和/或“用户面完整性保护”。算法标识包括加密保护算法标识和完整性保护算法标识，加密保护算法标识的取值包括“下一代加密算法(next generationencryption algorithm，NEA)0”、“NEA1”、“NEA2”或“NEA3”，完整性保护算法标识的取值包括“下一代完整性算法(next generation integrity algorithm，NIA)0”、“NIA1”、“NIA2”或“NIA3”。加密保护算法标识用于生成第一用户面加密密钥，完整性保护算法标识用于生成第一用户面完整性密钥。

虚构密钥包括虚构加密密钥和/或虚构完整性密钥，虚构加密密钥不同于第一用户面加密密钥。虚构完整性密钥不同于第一用户面完整性密钥。

CU-CP接收到用户面安全策略之后，若用户面安全策略指示不需要开启用户面安全保护，则CU-CP生成虚构密钥，并将虚构密钥发送至CU-UP1。例如，若用户面安全策略中的用户面机密性安全策略的取值是“not needed”，则CU-CP生成虚构加密密钥，并将虚构加密密钥发送至CU-UP1。又例如，若用户面安全策略中的用户面完整性安全策略的取值是“notneeded”，则CU-CP生成虚构完整性密钥，并将虚构完整性密钥发送至CU-UP1。

可选的，CU-CP向CP-UP1发送虚构密钥，包括：CU-CP向CU-UP1发送虚构密钥和安全算法，安全算法是空算法(null-scheme)，或者说安全算法为空。安全算法包括用户面机密性安全算法和/或用户面完整性安全算法。若用户面机密性安全策略指示不需要开启用户面机密性保护，则安全算法包括的用户面机密性算法是空算法。若用户面完整性安全策略指示不需要开启用户面完整性保护，则安全算法包括的完整性安全算法是空算法。其中，空算法表示CP-UP1与UE之间传输的数据不加密。例如，用户面机密性算法是空算法，则表示CP-UP1与UE之间传输的数据不进行加密保护，用户面完整性算法是空算法，则表示CP-UP1与UE之间传输的数据不进行完整性保护

示例性的，CU-CP通过承载上下文建立请求消息或承载上下文修改请求消息向CU-UP1发送虚构密钥。例如，CU-CP向CU-UP1发送的虚构密钥携带在承载上下文建立请求消息中用于携带用户面安全密钥的信元中，或者，CU-CP向CU-UP1发送的虚构密钥携带在承载上下文修改请求消息中用于携带用户面安全密钥的信元中。也可以说，CU-CP向CU-UP1发送虚构密钥相当于，CU-CP向CU-UP1发送的用户面安全密钥是虚构值。承载上下文建立请求消息中用于携带用户面安全密钥的信元是安全信息(security information)信元，承载上下文修改请求消息中用于携带用户面安全密钥的信元是security information信元。

可选的，CU-CP向CU-UP1发送的虚构密钥是空密钥，或者说，CU-CP不向CU-UP1发送密钥。例如，CU-CP向CU-UP1发送的承载上下文建立请求消息不包括密钥，即CU-CP向CU-UP1发送的承载上下文建立请求消息中的security information信元为空。

可选的，方法300还包括：CU-CP向CU-UP1发送指示信息，指示信息用于指示用户面安全密钥为空。相应的，CU-UP1根据该指示信息确定接收到的用户面安全密钥是虚构值，或者确定未接收到用户面安全密钥。例如，若CU-CP通过承载上下文建立请求消息向CU-UP1发送虚构密钥，或者CU-CP向CU-UP1发送的承载上下文建立请求消息不包括密钥，则CU-UP1根据该指示信息，不解析承载上下文建立请求消息中的security information信元。

可选的，CU-CP还向CU-UP1发送用户面安全策略。相应的，CU-UP1接收到用户面安全策略之后，若用户面安全策略指示不需要开启用户面安全保护，则CU-UP1丢弃或不存储虚构密钥。例如，若用户面安全策略中的用户面机密性安全策略指示不需要开启用户面机密性保护，则CU-UP1丢弃或不存储虚构加密密钥。又例如，若用户面安全策略中的用户面完整性安全策略指示不需要开启用户面完整性保护，则CU-UP1丢弃或不存储虚构完整性密钥。CU-CP向CU-UP1发送的虚构密钥和用户面安全策略可以携带在同一条消息中，也可以携带在不同的消息中，本申请实施例对此不做限定。

可选的，CU-UP1根据用户面安全策略，丢弃或不存储安全算法。若用户面安全策略指示不需要开启用户面安全保护，则CU-UP1丢弃或不存储安全算法。

需要说明的是，CU-CP向CU-UP1发送虚构密钥时，CU-CP可能未生成第一用户面安全密钥，但是CU-CP具备生成第一用户面安全密钥的能力，CU-CP还具备向CU-UP发送第一用户面安全密钥的能力。例如，在CU-CP接收到的用户面安全策略指示必须开启用户面安全的情况下，CU-CP可以选择CU-UP2建立承载上下文，并向CU-UP2发送CU-CP生成的第一用户面安全密钥。

S320b，CU-CP向CU-UP2发送第一用户面安全密钥。相应的，CU-UP2接收来自CU-CP的第一用户面安全密钥。

需要说明的是，若CU-CP连接了一个CU-UP，则CU-UP2与CU-UP1相同，若CU-CP连接了多个CU-UP，则CU-UP2与CU-UP1相同，或者不同。

CU-CP接收到用户面安全策略之后，若用户面安全策略指示必须开启用户面安全保护或优选开启用户面安全保护，则CU-CP向CU-UP2发送CU-CP生成的第一用户面安全密钥。例如，若用户面安全策略中的用户面机密性安全策略的取值是“required”或“preferred”，则CU-CP向CU-UP2发送CU-CP生成的第一用户面加密密钥。又例如，若用户面安全策略中的用户面完整性安全策略的取值是“required”或“preferred”，则CU-CP向CU-UP2发送CU-CP生成的第一用户面完整性密钥。

示例性的，CU-CP通过承载上下文建立请求消息或承载上下文修改请求消息向CU-UP2发送第一用户面安全密钥。

可选的，若CU-CP与多个CU-UP连接，则在S320a或S320b之前，方法300还包括S330。

S330，CU-CP选择CU-UP。

一种可能的实现方式中，CU-CP根据以下一项或多项选择CU-UP：CU-CP连接的多个CU-UP中每个CU-UP的负载情况，或当前建立的会话承载的业务的时延、负载等业务需求。例如，CU-CP从连接的多个CU-UP中选择负载最低且满足当前建立的会话承载的业务的需求的CU-UP。

另一种可能的实现方式中，CU-UP根据用户面安全策略选择CU-UP。若用户面安全策略指示不需要开启用户面安全保护，则CU-CP从连接的多个CU-UP中选择非可信CU-UP(即图3示出的CU-UP1)。若用户面安全策略指示必须开启用户面安全保护或优选开启用户面安全保护，则CU-CP从连接的多个CU-UP中选择可信CU-UP(即图3示出的CU-UP2)。

例如，若用户面安全策略中的用户面机密性安全策略和用户面完整性安全策略的取值都是“not needed”，则CU-CP选择非可信CU-UP。若用户面机密性安全策略的取值是“required”或“preferred”，和/或，用户面完整性安全策略的取值是“required”或“preferred”，则CU-CP选择可信CU-UP。示例性的，CU-CP根据用户面安全策略选择CU-UP的方式如表1或表2所示。

表1

表2

示例性的，CU-CP根据以下一项或多项判断连接的CU-UP是可信的还是非可信的：CU-UP的部署位置，CU-UP的物理环境，或CU-UP是否通过认证或远程证明校验。CU-UP的部署位置指示CU-UP部署在高安全域或低安全域，高安全域指的是中心位置、安全等级高的区域或风险等级低的区域，低安全域指的是分布式位置、安全等级低或风险等级高的区域。CU-UP的物理环境表示CU-UP所在的区域的物理环境，例如，物理环境包括是否在室内、是否有人看守、在城市内或在郊外。例如，若某个CU-UP满足以下条件中的至少一项：部署在高安全域，由运营商管理，物理环境安全，或经过认证或远程证明校验，则CU-CP确定该CU-UP是可信CU-UP。若某个CU-UP满足以下条件中的至少一项：部署在低安全域，由第三方管理，物理环境不安全，或未经过认证或远程校验证明，则CU-CP确定该CU-UP是非可信CU-UP。

又示例性的，CU-CP根据从OAM获取的信息确定连接的CU-UP是可信的还是非可信的，即OAM根据以下一项或多项判断CU-CP连接的CU-UP是可信的还是非可信的：CU-UP的部署位置，CU-UP的物理环境，或CU-UP的是否通过认证或远程证明校验，并且向CU-CP发送信息，以向CU-CP指示CU-CP连接的CU-UP是可信的还是非可信的。

CU-CP从连接的多个CU-UP中选择CU-UP1或CU-UP2之后，向选择的CU-UP1发送虚构密钥，或者，向选择的CU-UP2发送第一用户面安全密钥。

在本申请实施例中，在用户面安全策略指示不需要开启用户面安全保护的情况下，CU-CP向CU-UP发送不同于用户面安全密钥的虚构密钥，从而即使在该CU-UP被攻击者攻破的情况下，攻击者只能从CU-UP获取到虚构密钥，而不能获取到用户面安全密钥，从而可以减小用户面安全密钥泄漏的风险。可以理解，在用户面安全策略指示不需要开启用户面安全保护的情况下，CU-UP与UE之间的用户面安全保护不会开启，因此，即使CU-CP向CU-UP发送了虚构密钥，CU-UP也不会使用该虚构密钥加密数据，从而不会影响CU-UP与UE之间的用户面数据传输过程。

此外，若CU-CP向CU-UP发送虚构密钥，则CU-CP向CU-UP发送的安全算法是空算法，从而即使在该CU-UP被攻击者攻破的情况下，攻击者也不能从CU-UP获取到正确的安全算法，从而可以减小攻击者从CU-UP获取的信息量。

此外，在用户面安全策略指示不需要开启用户面安全保护的情况下，若CU-CP连接了多个CU-UP，则CU-CP从该多个CU-UP中选择非可信CU-UP，并且向选择的CU-UP发送虚构密钥，从而可以避免非可信CU-UP获取到用户面安全密钥，进一步减小用户面安全密钥泄漏的风险。

图4示出了本申请实施例提供的安全保护方法的示意性流程图。如图4所示，方法400可以包括以下步骤：

S410，CU-CP接收来自SMF的用户面安全策略。相应的，SMF向CU-CP发送用户面安全策略。

用户面安全策略的描述可以参考图2中的S220。

CU-CP接收到用户面安全策略之后，根据用户面安全策略执行S420a和/或S420b。例如，若用户面安全策略指示不需要开启用户面安全保护或优选开启用户面安全保护，则CU-CP执行S420a，若用户面安全策略指示必须开启用户面安全保护，则CU-CP执行S420b。又例如，若用户面安全策略中的用户面完整性安全策略指示不需要开启用户面完整性保护或优选开启用户面完整性保护，用户面安全策略中的用户面机密性安全策略指示必须开启用户面机密性保护，则CU-CP执行S420a和S420b。

S420a，CU-CP向CU-UP1发送虚构密钥和用户面安全策略。相应的，CU-UP1接收来自CU-CP的虚构密钥和用户面安全策略。

虚构密钥的相关描述可以参考方法300中的S320a。

CU-CP接收到用户面安全策略之后，若用户面安全策略指示不需要开启用户面安全保护或优选开启用户面安全保护，则CU-CP生成虚构密钥，并将虚构密钥和用户面安全策略发送至CU-UP1。例如，若用户面安全策略中的用户面机密性安全策略的取值是“notneeded”或“preferred”，则CU-CP生成虚构加密密钥，并将虚构加密密钥和用户面机密性安全策略发送至CU-UP1。又例如，若用户面安全策略中的用户面完整性安全策略的取值是“not needed”或“preferred”，则CU-CP生成虚构完整性密钥，并将虚构完整性密钥和用户面完整性安全策略发送至CU-UP1。

可选的，CU-CP向CP-UP1发送虚构密钥和用户面安全策略，包括：CU-CP向CU-UP1发送虚构密钥、用户面安全策略和安全算法，安全算法是空算法，或者说安全算法为空。例如，若用户面机密性安全策略的取值是“not needed”或“preferred”，则安全算法包括的用户面机密性算法是空算法。若用户面完整性安全策略的取值是“not needed”或“preferred”，则安全算法包括的完整性安全算法是空算法。空算法的相关描述可以参考方法300中的S320a。

CU-CP向CU-UP1发送虚构密钥和用户面安全策略的更多描述，可以参考方法300中CU-CP向CU-UP1发送虚构密钥的描述。

可选的，方法400还包括：CU-CP向CU-UP1发送指示信息，指示信息用于指示用户面安全密钥为空。相应的，CU-UP1根据该指示信息确定接收到的用户面安全密钥是虚构值，或者确定未接收到用户面安全密钥。例如，若CU-CP通过承载上下文建立请求消息向CU-UP1发送虚构密钥，或者CU-CP向CU-UP1发送的承载上下文建立请求消息不包括密钥，则CU-UP1根据该指示信息，不解析承载上下文建立请求消息中用于携带用户面安全密钥的信元。

可选的，CU-UP1接收到用户面安全策略之后，若用户面安全策略指示不需要开启用户面安全保护，则CU-UP1丢弃或不存储虚构密钥。

可选的，CU-UP1根据用户面安全策略，丢弃或不存储安全算法。

CU-CP向CU-UP1发送的虚构密钥和用户面安全策略可以携带在同一条消息中，也可以携带在不同的消息中，本申请实施例对此不做限定。

可选的，若用户面安全策略指示优选开启用户面安全保护，则在S420a之后，方法400还包括S421a至S425a中的一个或多个步骤。

S421a，CU-UP1向CU-CP发送安全结果。相应的，CU-CP接收来自CU-UP1的安全结果。

CU-UP1接收到来自CU-CP的用户面安全策略之后，根据用户面安全策略选择安全结果。若用户面安全策略指示优选开启用户面安全保护，则CU-UP1可以根据以下至少一项选择安全结果：CU-UP1的负载情况，或当前建立的承载对应的数据的安全要求。例如，若CU-UP1的负载较大，和/或，当前建立的承载对应的数据的安全要求低，则CU-UP1选择的安全结果的取值为“不执行”。若CU-UP1的负载较小，和/或，当前建立的承载对应的数据的安全要求高，则CU-UP1选择的安全结果的取值为“执行”。

CU-UP1向CU-CP发送的安全结果包括完整性安全结果和/或机密性安全结果。

S422a，CU-CP向CU-UP1发送承载上下文释放命令。

CU-CP接收到来自CU-UP1的安全结果之后，若安全结果的取值为“执行”，例如，完整性安全结果的取值为“执行”，和/或，机密性安全结果的取值为“执行”，则CU-CP向CU-UP1发送承载上下文释放命令(bearer context release command)。

可选的，CU-UP1接收到承载上下文释放命令之后，还可以向CU-CP发送承载上下文释放完成(bearer context release complete)。

可选的，若CU-CP连接多个CU-UP，则方法400还包括S423a。

S423a，CU-CP重选CU-UP。

一种可能的实现方式中，CU-CP仍然选择CU-UP1建立承载上下文，则方法400继续执行S424a。示例性的，若CU-UP1是可信CU-UP，则CU-CP仍然选择CU-UP1建立承载上下文。

另一种可能的实现方式中，CU-CP从连接的多个CU-UP中选择CU-UP2建立承载上下文，则方法400继续执行S425a。示例性的，CU-CP从连接的多个CU-UP中选择可信的CU-UP2建立承载上下文。

可以理解，CU-CP不会选择CU-UP1和CU-UP2建立同一个承载上下文，因此方法400执行S424a和S425a中的一个步骤。

S424a，CU-CP向CU-UP1发送第一用户面安全密钥。相应的，CU-UP1接收来自CU-CP的第一用户面安全密钥。

第一用户面安全密钥的相关描述可以参考方法300中的S320a。

如上文所述，若CU-CP仍然选择CU-UP1建立承载上下文，则CU-CP向CU-UP1发送第一用户面安全密钥。或者，若CU-CP只连接了CU-UP1，则CU-CP向CU-UP1发送第一用户面安全密钥。

示例性的，CU-CP可以根据接收的安全结果向CU-UP1发送第一用户面完整性密钥和/或第一用户面加密密钥。例如，若安全结果包括的完整性安全结果指示用户面完整性保护开启，则CU-CP向CU-UP1发送的第一用户面安全密钥包括CU-CP生成的第一用户面完整性密钥。若安全结果包括的机密性安全结果指示用户面机密性保护开启，则CU-CP向CU-UP1发送的第一用户面安全密钥包括CU-CP生成的第一用户面加密密钥。又例如，若安全结果包括的完整性安全结果指示用户面完整性保护不开启，则CU-CP不向CU-UP1发送第一用户面完整性密钥。若安全结果包括的机密性安全结果指示用户面机密性保护不开启，则CU-CP不向CU-UP1发送第一用户面加密密钥。

示例性的，CU-CP通过承载上下文建立请求消息向CU-UP1发送第一用户面安全密钥。

可选的，方法400可以不执行S421a至S423a，即CU-CP不指示CU-UP1释放承载上下文，也不会重选CU-UP，则在S424a中，CU-CP可以通过承载上下文修改请求消息向CU-UP1发送第一用户面安全密钥。

可选的，若在S420a中，CU-CP向CU-UP1发送的安全算法是空算法，则在S424a中，若CU-CP接收的安全结果指示用户面安全保护开启，则CU-CP还向CU-UP1发送用于用户面安全保护的安全算法。例如，若安全结果包括的完整性安全结果指示用户面完整性保护开启，则CU-CP向CU-UP1发送用户面完整性保护算法。若安全结果包括的机密性安全结果指示用户面机密性保护开启，则CU-CP向CU-UP1发送用户面机密性保护算法。

S425a，CU-CP向CU-UP2发送第一用户面安全密钥。相应的，CU-UP2接收来自CU-CP的第一用户面安全密钥。

第一用户面安全密钥的相关描述可以参考方法300中的S320a。

如上文所述，若CU-CP选择CU-UP2建立承载上下文，则CU-CP向CU-UP2发送第一用户面安全密钥。

示例性的，CU-CP可以根据用户面安全策略向CU-UP2发送第一用户面完整性密钥和/或第一用户面加密密钥。例如，若用户面安全策略中的用户面完整性安全策略的取值为“required”或“preferred”，则CU-CP向CU-UP2发送的第一用户面安全密钥包括CU-CP生成的第一用户面完整性密钥。若用户面安全策略中的用户面机密性安全策略的取值为“required”或“preferred”，则CU-CP向CU-UP2发送的第一用户面安全密钥包括CU-CP生成的第一用户面加密密钥。

示例性的，CU-CP通过承载上下文建立请求消息向CU-UP2发送第一用户面安全密钥。

可选的，CU-CP向CU-UP2发送第一用户面安全密钥，包括：CU-CP向CU-UP2发送第一用户面安全密钥和用户面安全策略，用户面安全策略指示必须开启用户面安全保护或优选开启用户面安全保护。例如，用户面安全策略中的用户面完整性安全策略的取值为“required”或“preferred”，和/或，用户面安全策略中的用户面机密性安全策略的取值为“required”或“preferred”。

S420b，CU-CP向CU-UP2发送第一用户面安全密钥。相应的，CU-UP2接收来自CU-CP的第一用户面安全密钥。

第一用户面安全密钥的相关描述可以参考方法300中的S320a。

CU-CP接收到用户面安全策略之后，若用户面安全策略指示必须开启用户面安全保护，则CU-CP向CU-UP2发送CU-CP生成的第一用户面安全密钥。例如，若用户面安全策略中的用户面机密性安全策略的取值是“required”，则CU-CP向CU-UP2发送CU-CP生成的第一用户面加密密钥。又例如，若用户面安全策略中的用户面完整性安全策略的取值是“required”，则CU-CP生成向CU-UP2发送CU-CP生成的第一用户面完整性密钥。

示例性的，CU-CP通过承载上下文建立请求消息或承载上下文修改请求消息向CU-UP2发送第一用户面安全密钥。

可以理解，在S420b中，CU-CP也可以向CU-UP2发送用户面安全策略。相应的，CU-UP2可以根据用户面安全策略选择安全结果，并向CU-CP发送安全结果。

可选的，若CU-CP与多个CU-UP连接，则在S420a或S420b之前，方法400还包括S430。

S430，CU-CP选择CU-UP。

S430与方法300中的S330相同，为了简洁，本申请实施例不再详述。

CU-CP从连接的多个CU-UP中选择CU-UP1或CU-UP2之后，向选择的CU-UP1发送虚构密钥，或者，向选择的CU-UP2发送第一用户面安全密钥。

在本申请实施例中，在用户面安全策略指示不需要开启用户面安全保护或优选开启用户面安全保护的情况下，CU-CP向CU-UP发送不同于用户面安全密钥的虚构密钥，从而即使在该CU-UP被攻击者攻破的情况下，攻击者只能从CU-UP获取到虚构密钥，而不能获取到用户面安全密钥，从而可以减小用户面安全密钥泄漏的风险。可以理解，在用户面安全策略指示不需要开启用户面安全保护的情况下，CU-UP与UE之间的用户面安全保护也不会开启，因此，即使CU-CP向CU-UP发送了虚构密钥，CU-UP也不会使用该虚构密钥加密数据，从而也不会影响CU-UP与UE之间的用户面数据传输过程。

进一步地，在用户面安全策略指示优选开启用户面安全保护的情况下，若CU-UP选择的安全结果指示用户面安全保护开启，则CU-CP向CU-UP发送用户面安全密钥，从而保证CU-UP与UE之间的用户面数据的正常传输。

此外，若CU-CP向CU-UP发送虚构密钥，则CU-CP向CU-UP发送的安全算法是空算法，从而即使在该CU-UP被攻击者攻破的情况下，攻击者也不能从CU-UP获取到正确的安全算法，从而可以减小攻击者从CU-UP获取的信息量。

此外，在用户面安全策略指示不需要开启用户面安全的情况下，若CU-CP连接了多个CU-UP，则CU-CP从该多个CU-UP中选择非可信CU-UP，并且向选择的CU-UP发送虚构密钥，从而可以避免非可信CU-UP获取到用户面安全密钥，进一步减小用户面安全密钥泄漏的风险。

图5示出了本申请实施例提供的安全保护方法的示意性流程图。如图5所示，方法500可以包括以下步骤：

S510，CU-CP接收来自SMF的第一用户面安全策略。相应的，SMF向CU-CP发送第一用户面安全策略。

第一用户面安全策略的描述可以参考图2中的S220。

CU-CP接收到第一用户面安全策略之后，根据第一用户面安全策略执行S520a和/或S520b。例如，若第一用户面安全策略指示不需要开启用户面安全保护，则CU-CP执行S520a，若第一用户面安全策略指示必须开启用户面安全保护，则CU-CP执行S520b。又例如，若用户面安全策略中的用户面完整性安全策略指示不需要开启用户面完整性保护，用户面安全策略中的用户面机密性安全策略指示必须开启用户面机密性保护，则CU-CP执行S520a和S520b。

若第一用户面安全策略指示优选开启用户面安全保护，则在S520a或S520b之前，方法500还包括S540。

S540，CU-CP确定第二用户面安全策略。

在第一用户面安全策略指示优选开启用户面安全保护的情况下，CU-CP确定是否需要开启用户面安全保护。若CU-CP确定不需要开启用户面安全保护，则CU-CP确定第二用户面安全策略指示不需要开启用户面安全保护。若CU-CP确定需要开启用户面安全保护，则CU-CP确定第二用户面安全策略指示必须开启用户面安全保护。

示例性的，CU-CP根据以下一项或多项确定是否需要开启用户面安全保护：CU-CP的负载情况，或CU-CP对UE与CU-UP之间传输的数据的安全要求。例如，若CU-CP的负载较大，和/或，CU-CP对UE与CU-UP之间传输的数据的安全要求低，则CU-CP确定不需要开启用户面安全保护。又例如，若CU-CP的负载较小，和/或，CU-CP对UE与CU-UP之间传输的数据的安全要求高，则CU-CP确定需要开启用户面安全保护。

进而，若CU-CP确定的第二用户面安全策略指示不需要开启用户面安全保护，则CU-CP执行S520a，若CU-CP确定的第二用户面安全策略指示必须开启用户面安全保护，则CU-CP执行S520b。

S520a，CU-CP向CU-UP1发送虚构密钥和第二用户面安全策略。相应的，CU-UP1接收来自CU-CP的虚构密钥和第二用户面安全策略。

虚构密钥的相关描述可以参考方法300中的S320a。CU-CP向CU-UP1发送的第二用户面安全策略指示不需要开启用户面安全保护。例如，第二用户面安全策略中的第二用户面机密性安全策略的取值是“not needed”，和/或，第二用户面安全策略中的第二用户面完整性安全策略取值是“not needed”。

CU-CP接收到第一用户面安全策略之后，若第一用户面安全策略指示不需要开启用户面安全保护，则CU-CP生成虚构密钥，并将虚构密钥发送至CU-UP1，以及将第一用户面安全策略作为第二用户面安全策略发送至CU-UP1。例如，若第一用户面安全策略中的第一用户面机密性安全策略的取值是“not needed”，则CU-CP生成虚构加密密钥，并将虚构加密密钥发送至CU-UP1，以及将第一用户面机密性安全策略作为第二用户面机密性安全策略发送至CU-UP1。又例如，若第一用户面安全策略中的第一用户面完整性安全策略的取值是“not needed”，则CU-CP生成虚构完整性密钥，并将虚构完整性密钥发送至CU-UP1，以及将第一用户面完整性安全策略作为第二用户面完整性安全策略发送至CU-UP1。

或者，CU-CP确定第二用户面安全策略之后，若第二用户面安全策略指示不需要开启用户面安全保护，则CU-CP生成虚构密钥，并将虚构密钥发送至CU-UP1，以及将第二用户面安全策略发送至CU-UP1。例如，若第二用户面安全策略中的第二用户面机密性安全策略的取值是“not needed”，则CU-CP生成虚构加密密钥，并将虚构加密密钥和第二用户面机密性安全侧发送至CU-UP1。又例如，若第二用户面安全策略中的第二用户面完整性安全策略的取值是“not needed”，则CU-CP生成虚构完整性密钥，并将虚构完整性密钥和第二用户面完整性安全策略发送至CU-UP1。

可选的，CU-CP向CP-UP1发送虚构密钥和第二用户面安全策略，包括：CU-CP向CU-UP1发送虚构密钥、第二用户面安全策略和安全算法，安全算法是空算法。例如，若第二用户面机密性安全策略的取值是“not needed”，则安全算法包括的用户面机密性算法是空算法。若第二用户面完整性安全策略的取值是“not needed”，则安全算法包括的完整性安全算法是空算法。空算法的相关描述可以参考方法300中的S320a。

CU-CP向CU-UP1发送虚构密钥和第二用户面安全策略的更多描述可以参考方法300中，CU-CP向CU-UP1发送虚构密钥的描述。

可选的，方法500还包括：CU-CP向CU-UP1发送指示信息，指示信息用于指示用户面安全密钥为空。相应的，CU-UP1根据该指示信息确定接收到的用户面安全密钥是虚构值，或者确定未接收到用户面安全密钥。例如，若CU-CP通过承载上下文建立请求消息向CU-UP1发送虚构密钥，或者CU-CP向CU-UP1发送的承载上下文建立请求消息不包括密钥，则CU-UP1根据该指示信息，不解析承载上下文建立请求消息中用于携带用户面安全密钥的信元。

CU-CP向CU-UP1发送的虚构密钥和第二用户面安全策略可以携带在同一条消息中，也可以携带在不同的消息中，本申请实施例对此不做限定。

可选的，CU-UP1接收到第二用户面安全策略之后，根据第二用户面安全策略丢弃或不存储虚构密钥。

可选的，CU-UP1根据第二用户面安全策略，丢弃或不存储安全算法。

S520b，CU-CP向CU-UP2发送第一用户面安全密钥和第二用户面安全策略。相应的，CU-UP2接收来自CU-CP的第一用户面安全密钥和第二用户面安全策略。

第一用户面安全密钥的相关描述可以参考方法300中的S320a。

CU-CP向CU-UP2发送的第二用户面安全策略指示必须开启用户面安全保护。例如，第二用户面安全策略中的第二用户面机密性安全策略的取值是“required”，和/或，第二用户面安全策略中的第二用户面完整性安全策略取值是“required”。

CU-CP接收到第一用户面安全策略之后，若第一用户面安全策略指示必须开启用户面安全保护，则CU-CP向CU-UP2发送CU-CP生成的第一用户面安全密钥，以及将第一用户面安全策略作为第二用户面安全策略发送至CU-UP2。例如，若第一用户面安全策略中的第一用户面机密性安全策略的取值是“required”，则CU-CP向CU-UP2发送CU-CP生成的第一用户面加密密钥，以及将第一用户面机密性安全策略作为第二用户面机密性安全策略发送至CU-UP2。又例如，若第一用户面安全策略中的第一用户面完整性安全策略的取值是“required”，则CU-CP向CU-UP2发送CU-CP生成的第一用户面完整性密钥，以及将第一用户面完整性安全策略作为第二用户面完整性安全策略发送至CU-UP2。

或者，CU-CP确定第二用户面安全策略之后，若第二用户面安全策略指示必须开启用户面安全保护，则CU-CP向CU-UP2发送第二用户面安全策略和CU-CP生成的第一用户面安全密钥。例如，若第二用户面安全策略中的第二用户面机密性安全策略的取值是“required”，则CU-CP向CU-UP2发送第一用户面加密密钥和第二用户面机密性安全策略。又例如，若第二用户面安全策略中的第二用户面完整性安全策略的取值是“required”，则CU-CP向CU-UP2发送第二用户面完整性安全策略和CU-CP生成的第一用户面完整性密钥。

可选的，若CU-CP与多个CU-UP连接，则在S520a或S520b之前，方法500还包括S530。

S530，CU-CP选择CU-UP。

S530与方法300中的S330相同，为了简洁，本申请实施例不再详述。

CU-CP从连接的多个CU-UP中选择CU-UP1或CU-UP2之后，向选择的CU-UP1发送虚构密钥，或者，向选择的CU-UP2发送第一用户面安全密钥。

在本申请实施例中，在第一用户面安全策略指示不需要开启用户面安全，或者CU-CP根据第一用户面安全策略确定的第二用户面安全策略指示不需要开启用户面安全的情况下，CU-CP向CU-UP发送不同于用户面安全密钥的虚构密钥，从而即使在该CU-UP被攻击者攻破的情况下，攻击者只能从CU-UP获取到虚构密钥，而不能获取到用户面安全密钥，从而可以减小用户面安全密钥泄漏的风险。可以理解，在第一用户面安全策略或第二用户面安全策略指示不需要开启用户面安全保护的情况下，CU-UP与UE之间的用户面安全保护也不会开启，因此，即使CU-CP向CU-UP发送了虚构密钥，CU-UP也不会使用该虚构密钥加密数据，从而也不会影响CU-UP与UE之间的用户面数据传输过程。

此外，若CU-CP向CU-UP发送虚构密钥，则CU-CP向CU-UP发送的安全算法是空算法，从而即使在该CU-UP被攻击者攻破的情况下，攻击者也不能从CU-UP获取到正确的安全算法，从而可以减小攻击者从CU-UP获取的信息量。

此外，在第一用户面安全策略指示不需要开启用户面安全的情况下，若CU-CP连接了多个CU-UP，则CU-CP从该多个CU-UP中选择非可信CU-UP，并且向选择的CU-UP发送虚构密钥，从而可以避免非可信CU-UP获取到用户面安全密钥，进一步减小用户面安全密钥泄漏的风险。

图6示出了本申请实施例提供的安全保护方法的示意性流程图。如图6所示，方法600包括以下步骤：

方法600执行S610a或S610b。

S610a，UE向CU-CP发送安全能力信息。相应的，CU-CP接收来自UE的安全能力信息。

安全能力信息用于指示UE是否支持通过与CU-UP对应的特定密钥生成参数推演用户面安全密钥的能力，与CU-UP对应的特定密钥生成参数是与算法标识和算法类型鉴别器无关的密钥生成参数，例如，与CU-UP对应的特定密钥生成参数包括CU-UP标识(identifier，ID)和/或承载标识(bearer ID)。CU-UP ID用于标识CU-UP，不同CU-UP的ID不同。承载是CU-UP与UE之间的承载，不同承载的ID不同。例如，CU-UP与不同UE之间的承载的ID不同，CU-UP与同一个UE之间的不同承载的ID不同，不同CU-UP与不同UE之间的承载的ID不同。

例如，安全能力信息是1比特的信息，当安全能力信息的取值为“1”时，安全能力信息用于指示UE支持通过与CU-UP对应的特定密钥生成参数推演用户面安全密钥的能力；当安全能力信息的取值为“0”时，安全能力信息用于指示UE不支持通过与CU-UP对应的特定密钥生成参数推演用户面安全密钥的能力。或者，当安全能力信息的取值为“0”时，安全能力信息用于指示UE支持通过与CU-UP对应的特定密钥生成参数推演用户面安全密钥的能力，当安全能力信息的取值为“1”时，安全能力信息用于指示UE不支持通过与CU-UP对应的特定密钥生成参数推演用户面安全密钥的能力。

示例性的，UE通过上行RRC消息向CU-CP发送安全能力信息。例如，安全能力信息承载于RRC消息中的UE能力信息(UECapabilityInformation)中。

可选的，在S610a之前，方法600还包括：CU-CP向UE发送请求消息#1，请求消息#1用于请求UE的安全能力信息。相应的，UE根据请求消息#1向AMF发送UE的安全能力信息。

可选的，CU-CP接收到来自UE的安全能力信息之后，还可以将UE的安全能力信息发送至AMF。相应的，AMF接收到UE的安全能力信息之后，可以存储UE的安全能力信息。可选的，若CU-CP接收的来自AMF的下行下一代应用协议(next generation applicationprotocol，NGAP)消息包括指示信息，或者不包括UE的安全能力信息，则CU-CP从UE获取到UE的安全能力信息之后，向AMF发送UE的安全能力信息。指示信息用于指示获取UE的安全能力信息。

S610b，AMF向CU-CP发送安全能力信息。相应的，CU-CP接收来自AMF的安全能力信息。

示例性的，AMF通过下行下一代应用协议(next generation applicationprotocol，NGAP)消息向CU-CP发送安全能力信息。例如，AMF向CU-CP发送初始上下文建立请求(initial context setup request)消息，初始上下文建立请求消息包括安全能力信息。

AMF存储的安全能力信息是从UE或基站获取的。例如，UE向AMF发送的初始非接入层(non access stratum，NSA)消息中包括安全能力信息，相应的，AMF可以从初始NAS消息中获取UE的安全能力信息，并存储UE的安全能力信息。又例如，AMF可以向基站发送请求消息#2，请求消息#2用于请求UE的安全能力信息。基站接收到请求消息#2之后，则向AMF发送UE的安全能力信息。

S620，CU-CP接收来自SMF的用户面安全策略。相应的，SMF向CU-CP发送用户面安全策略。

用户面安全策略的描述可以参考图2中的S220。

示例性的，SMF通过PDU会话请求消息向CU-CP发送用户面安全策略，即，SMF向CU-CP发送PDU会话请求消息，PDU会话请求消息包括用户面安全策略。

若CU-CP接收到的安全能力信息指示UE支持通过与CU-UP对应的特定密钥生成参数推演用户面密钥的能力，则CU-CP接收到用户面安全策略之后，采用方式1与CU-UP建立承载上下文。若CU-CP接收到的安全能力信息指示UE不支持通过与CU-UP对应的特定密钥生成参数推演用户面密钥的能力，则CU-CP接收到用户面安全策略之后，采用方式2与CU-UP建立承载上下文。

方式1：

当CU-CP采用方式1与CU-UP建立承载上下文时，具体可以有两种方式：方式1.1和方式1.2。若CU-CP采用方式1.1与CU-UP建立承载上下文，则方法600执行S630a。若CU-UP采用方式1.2与CU-UP建立承载上下文，则方法600包括S630b和S631b。

S630a，CU-CP向CU-UP发送第二用户面安全密钥。相应的，CU-UP接收来自CU-CP的第二用户面安全密钥。

第二用户面安全密钥用于CU-UP与UE之间开启用户面安全。例如，第二用户面安全密钥是CU-CP以根密钥为输入密钥，以第二密钥生成参数为输入参数生成的，第二密钥生成参数包括与CU-UP对应的特定密钥生成参数。可选的，第二密钥生成参数还包括第一密钥生成参数，第一密钥生成参数的相关描述可以参考方法300中的S320a，与CU-UP对应的特定密钥生成参数可以包括CU-UP ID和/或承载ID，承载是CU-UP与UE之间建立的承载。

示例性的，CU-CP通过承载上下文建立请求消息向CU-UP发送第二用户面安全密钥。CU-CP向CU-UP发送的承载上下文建立请求消息还可以包括用户面安全算法和安全指示，安全指示包括用户面安全策略和最大完整性保护速率。

S630b，CU-CP向CU-UP发送根密钥。相应的，CU-UP接收来自CU-CP的根密钥。

示例性的，CU-CP通过承载上下文建立请求消息向CU-UP发送根密钥。CU-CP向CU-UP发送的承载上下文建立请求消息还可以包括用户面安全算法和安全指示，安全指示包括用户面安全策略和最大完整性保护速率。

S631b，CU-UP向CU-CP发送特定密钥生成参数。相应的，CU-CP接收来自CU-UP的特定密钥生成参数。

CU-UP接收到来自CU-CP的根密钥之后，则根据根密钥和第二密钥生成参数生成第二用户面密钥，并将特定密钥生成参数发送至CU-CP。

示例性的，CU-UP通过承载上下文建立响应消息向CU-UP发送特定密钥生成参数。

进一步的，CU-CP根据根密钥和第二密钥生成参数生成第二用户面安全密钥，或者CU-CP接收到来自CU-UP的特定密钥生成参数之后，方法600还可以包括S640。

S640，CU-CP向UE发送特定密钥生成参数。相应的，UE接收来自CU-CP的特定密钥生成参数。

示例性的，若特定密钥生成参数包括UE未知的参数，例如，特定密钥生成参数包括CU-UP ID，则CU-CP向UE发送特定密钥生成参数。可选的，CU-CP可以向UE发送特定密钥生成参数中UE未知的参数。例如，特定密钥生成参数包括CU-UP ID和承载ID，其中，CU-UP ID是UE未知的参数，承载ID是UE已知的参数，则CU-CP向UE发送CU-UP ID。若特定密钥生成参数包括的参数都是UE已知的参数，则CU-CP可以不向UE发送特定密钥生成参数。

UE接收到特定密钥生成参数之后，可以根据根密钥和第二密钥生成参数生成第二用户面安全密钥。

示例性的，CU-CP通过RRC重配置(RRC reconfiguration)消息向UE发送特定密钥生成参数。

可以理解，当CU-CP采用方式1与CU-UP建立承载上下文时，由于不同CU-UP的ID不同，因此根据CU-UP ID生成第二用户面安全密钥，可以实现不同CU-UP之间的用户面安全密钥的隔离。由于不同承载的ID不同，因此根据承载ID生成第二用户面安全密钥，可以实现不同承载之间的用户面安全密钥的隔离。

方式2：

当CU-CP采用方式2与CU-UP建立承载上下文时，CU-CP根据接收到的用户面安全策略向CU-UP发送虚构密钥，或者向CU-UP发送第一用户面安全密钥，第一用户面安全密钥的相关描述可以参考方法300中的S320a。

例如，若用户面安全策略指示不需要开启用户面安全保护，则CU-CP向CU-UP发送虚构密钥，若用户面安全策略指示必须开启用户面安全保护或优选开启用户面安全保护，则CU-CP向CU-UP发送第一用户面安全密钥。更多相关描述可以参考方法300中的S320a和S320b。

又例如，若用户面安全策略指示不需要开启用户面安全保护或优选开启用户面安全保护，则CU-CP向CU-UP发送虚构密钥，若用户面安全策略指示必须开启用户面安全保护，则CU-CP向CU-UP发送第一用户面安全密钥。更多相关描述可以参考方法400中的S420a和S420b。

再例如，若用户面安全策略指示不需要开启用户面安全保护，则CU-CP向CU-UP发送虚构密钥，若用户面安全策略指示必须开启用户面安全保护，则CU-CP向CU-UP发送第一用户面安全密钥。若用户面安全策略指示优先开启用户面安全保护，且CU-CP确定不需要开启用户面安全保护，则CU-CP向CU-UP发送虚构密钥。若用户面安全策略指示优先开启用户面安全保护，且CU-CP确定需要开启用户面安全保护，则CU-CP向CU-UP发送第一用户面安全密钥。更多相关描述可以参考方法500中的S520a和S520b。

可选的，若CU-CP连接多个CU-UP，则当CU-CP采用方式2与CU-UP建立承载上下文时，CU-CP可以根据用户面安全策略从连接的多个CU-UP中选择一个CU-UP用于建立承载。例如，若用户面安全策略指示不需要开启用户面安全保护，则CU-CP选择非可信CU-UP建立承载，若用户面安全策略指示必须开启用户面安全保护或优选开启用户面安全保护，则CU-CP选择可信CU-UP建立承载。更多相关描述可以参考方法300中的S330。

在本申请实施例中，若CU-CP获取到UE的安全能力信息，则CU-CP根据UE的能力确定与CU-UP建立承载上下文的方式，避免在UE不支持通过特定密钥生成参数推演用户面安全密钥的能力的情况下，CU-CP或CU-UP使用根密钥和特定密钥生成参数生成用户面安全密钥，导致UE和CU-UP无法使用相同的用户面安全密钥进行数据传输。

进一步地，CU-CP可以在UE支持通过特定密钥生成参数推演用户面安全密钥的能力的情况下，向CU-UP发送根据根密钥和特定密钥生成参数生成的用户面安全密钥，或者向CU-UP发送根密钥，使得CU-UP可以根据根密钥和特定密钥生成参数生成用户面安全密钥，从而实现不同CU-UP间的用户面安全密钥隔离。或者，若UE不支持通过特定密钥生成参数推演用户面安全密钥的能力，则CU-CP在用户面安全策略指示不需要开启用户面安全保护或优选开启用户面安全保护的情况下，向CU-UP发送不同于用户面安全密钥的虚构密钥，从而即使在该CU-UP被攻击者攻破的情况下，攻击者只能从CU-UP获取到虚构密钥，而不能获取到用户面安全密钥，从而可以减小用户面安全密钥泄漏的风险。

以上，结合图3至图6详细说明了本申请实施例提供的方法。以下，结合图7至图9详细说明本申请实施例提供的通信装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

本申请实施例可以根据上述方法示例对发射端设备或者接收端设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。下面以采用对应各个功能划分各个功能模块为例进行说明

图7是本申请实施例提供的通信装置1000的示意性框图。如图7所示，该通信装置1000可以包括：收发单元1010和处理单元1020。

在一种可能的设计中，该通信装置1000可以是上文方法实施例中的集中式单元控制面实体，也可以是用于实现上文方法实施例中集中式单元控制面实体的功能的芯片。

应理解，该通信装置1000可对应于本申请实施例的方法300、方法400、方法500或方法600中的集中式单元控制面实体，该通信装置可以包括用于执行图3中的方法300、图4中的方法400、图5中的方法500或图6中的方法600中的集中式单元控制面实体执行的方法的单元。并且，该通信装置1000中的各单元和上述其他操作和/或功能分别为了图3中的方法300、图4中的方法400、图5中的方法500或图6中的方法600的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，该通信装置1000中的收发单元1010可对应图8中示出的通信设备2000中的收发器2020，该通信装置1000中的处理单元1020可对应于图8中示出的通信设备2000中的处理器2010。

还应理解，当该通信装置1000为芯片时，该芯片包括收发单元。可选的，该芯片还可以包括处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

收发单元1010用于实现通信装置1000的信号的收发操作，处理单元1020用于实现通信装置1000的信号的处理操作。

可选的，该通信装置还包括存储单元1030，该存储单元1030用于存储指令。

图8是本申请实施例提供的装置2000的示意性框图。如图8所示，该装置2000包括：至少一个处理器2010。该处理器2010与存储器耦合，用于执行存储器中存储的指令，以执行图3、图4、图5或图6中所述的方法。可选的，该装置2000还包括收发器2020，该处理器2010与存储器耦合，用于执行存储器中存储的指令，以控制收发器2020发送信号和/或接收信号，例如，处理器2010可以控制收发器2020发送虚构密钥和/或接收虚构密钥。可选的，该装置2000还包括存储器2030，用于存储指令。

应理解，上述处理器2010和存储器2030可以合成一个处理装置，处理器2010用于执行存储器2030中存储的程序代码来实现上述功能。具体实现时，该存储器2030也可以集成在处理器2010中，或者独立于处理器2010。

还应理解，收发器2020可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器2020还可以进一步包括天线，天线的数量可以为一个或多个。收发器2020又可以是通信接口或者接口电路。

当该装置2000为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

图9是本申请实施例的一种芯片***的示意图。这里的芯片***也可为电路组成的***。图9所示的芯片***3000包括：逻辑电路3010以及输入/输出接口(input/outputinterface)3020，所述逻辑电路用于与输入接口耦合，通过所述输入/输出接口传输数据(例如第一授时配置信息)，以执行图3、图4、图5或图6所述的方法。

本申请实施例还提供了一种处理装置，包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(applicationspecific integrated circuit，ASIC)，还可以是***芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(networkprocessor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logicdevice，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机寄存器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

应注意，本申请实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行图3至图6所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行图3至图6所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种***，其包括前述的集中式单元控制面实体。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现，当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读信息介质向另一个计算机可读存储介质传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其他的形式。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (22)

1.一种安全保护方法，其特征在于，包括：

集中式单元控制面实体接收来自会话管理网元的第一用户面安全策略，所述第一用户面安全策略指示不需要开启用户面安全保护或优选开启用户面安全保护；

所述集中式单元控制面实体根据所述第一用户面安全策略，向第一集中式单元用户面实体发送虚构密钥，所述虚构密钥与用户面安全密钥不同，所述用户面安全密钥用于终端设备和集中式单元用户面实体之间开启用户面安全保护。

2.根据权利要求1所述的方法，其特征在于，所述虚构密钥是128比特的随机数或预定义的值。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述集中式单元控制面实体根据所述第一用户面安全策略，选择为非可信集中式单元用户面实体的所述第一集中式单元用户面实体。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述集中式单元控制面实体向所述第一集中式单元用户面实体发送虚构密钥，包括：

所述集中式单元控制面实体向所述第一集中式单元用户面实体发送所述虚构密钥和安全算法，所述安全算法为空。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述第一用户面安全策略指示优选开启用户面安全保护，所述集中式单元控制面实体根据所述第一用户面安全策略，向第一集中式单元用户面实体发送虚构密钥，包括：

所述集中式单元控制面实体向所述第一集中式单元用户面实体发送所述第一用户面安全策略和所述虚构密钥；

所述方法还包括：

所述集中式单元控制面实体接收来自所述第一集中式单元用户面实体的安全结果，所述安全结果指示用户面安全保护开启；

所述集中式单元控制面实体向所述第一集中式单元用户面实体发送所述用户面安全密钥。

6.根据权利要求5所述的方法，其特征在于，所述集中式单元控制面实体向所述第一集中式单元用户面实体发送所述用户面安全密钥之前，所述方法还包括：

所述集中式单元控制面实体向所述第一集中式单元用户面实体发送承载上下文释放命令；

所述集中式单元控制面实体向所述第一集中式单元用户面实体发送所述用户面安全密钥，包括：

所述集中式单元控制面实体向所述第一集中式单元用户面实体发送承载上下文建立请求消息，所述承载上下文建立请求消息包括所述用户面安全密钥。

7.根据权利要求1至4中任一项所述的方法，其特征在于，所述第一用户面安全策略指示优选开启用户面安全保护，所述集中式单元控制面实体根据所述第一用户面安全策略，向第一集中式单元用户面实体发送虚构密钥，包括：

所述集中式单元控制面实体向所述第一集中式单元用户面实体发送所述第一用户面安全策略和所述虚构密钥；

所述方法还包括：

所述集中式单元控制面实体接收来自所述第一集中式单元用户面实体的安全结果，所述安全结果指示用户面安全保护开启；

所述集中式单元控制面实体向所述第一集中式单元用户面实体发送承载上下文释放命令；

所述集中式单元控制面实体向第二集中式单元用户面实体发送所述用户面安全密钥，所述第二集中式单元用户面实体是所述集中式单元控制面实体重新选择的用于建立承载上下文的集中式单元用户面实体。

8.根据权利要求1至4中任一项所述的方法，其特征在于，所述第一用户面安全策略指示优选开启安全保护，所述方法还包括：

所述集中式单元控制面实体确定不需要开启用户面安全保护；

所述集中式单元控制面实体根据所述第一用户面安全策略，向第一集中式单元用户面实体发送虚构密钥，包括：

所述集中式单元控制面实体向所述第一集中式单元用户面实体发送第二用户面安全策略和所述虚构密钥，所述第二用户面安全策略指示不需要开启安全保护。

9.根据权利要求8所述的方法，其特征在于，所述集中式单元控制面实体确定不需要开启用户面安全保护，包括：

所述集中式单元控制面实体根据以下一项或多项确定不需要开启用户面安全保护：所述集中式单元控制面实体的负载情况，或所述集中式单元控制面实体对所述终端设备与所述集中式用户面实体之间传输的数据的安全要求。

10.根据权利要求1至9中任一项所述的方法，其特征在于，若所述第一用户面安全策略指示不需要开启用户面机密性保护或优选开启用户面机密性保护，则所述虚构密钥包括虚构加密密钥，所述虚构加密密钥与所述用户面安全密钥包括的用户面加密密钥不同；和/或，

若所述第一用户面安全策略指示不需要开启用户面完整性保护或优选开启用户面完整性保护，则所述虚构密钥包括虚构完整性密钥，所述虚构完整性密钥与所述用户面安全密钥包括的用户面完整性密钥不同。

11.根据权利要求1至10中任一项所述的方法，其特征在于，所述方法还包括：

所述集中式单元控制面实体获取所述终端设备的安全能力信息，所述安全能力信息指示所述终端设备不支持通过与所述第一集中式单元用户面实体对应的特定密钥生成参数推演用户面安全密钥的能力。

12.根据权利要求11所述的方法，其特征在于，所述集中式单元控制面实体获取所述终端设备的安全能力信息，包括：

所述集中式单元控制面实体接收来自所述终端设备的所述安全能力信息。

13.根据权利要求12所述的方法，其特征在于，所述集中式单元控制面实体获取所述终端设备的安全能力信息，包括：

所述集中式单元控制面实体接收来自接入和移动性管理功能网元的所述安全能力信息。

14.一种安全保护方法，其特征在于，包括：

所述集中式单元控制面实体获取所述终端设备的安全能力信息，所述安全能力信息指示所述终端设备是否支持通过与集中式单元用户面实体对应的特定密钥生成参数推演用户面安全密钥的能力；

若所述安全能力信息指示所述终端设备不支持通过所述特定密钥生成参数推演用户面安全密钥的能力，则所述集中式单元控制面实体确定根据根密钥和第一密钥生成参数生成用户面安全密钥，所述第一密钥生成参数包括算法标识和/或算法类型鉴别器；

若所述安全能力信息指示所述终端设备支持通过所述特定密钥生成参数推演用户面安全密钥的能力，则所述集中式单元控制面实体确定根据根密钥和第二密钥生成参数生成用户面安全密钥，所述第二密钥生成参数包括所述特定密钥生成参数。

15.根据权利要求14所述的方法，其特征在于，所述集中式单元控制面实体获取所述终端设备的安全能力信息，包括：

所述集中式单元控制面实体接收来自所述终端设备的所述安全能力信息。

16.根据权利要求14所述的方法，其特征在于，所述集中式单元控制面实体获取所述终端设备的安全能力信息，包括：

所述集中式单元控制面实体接收来自接入和移动性管理功能网元的所述安全能力信息。

17.根据权利要求14至16中任一项所述的方法，其特征在于，所述特定密钥生成参数包括所述集中式单元用户面实体的标识和/或承载标识。

18.一种通信装置，其特征在于，包括用于实现如权利要求1至13中任意一项所述的方法的单元。

19.一种通信装置，其特征在于，包括用于实现如权利要求14至17中任意一项所述的方法的单元。

20.一种计算机可读存储介质，其特征在于，包括：所述计算机可读介质存储有计算机程序；所述计算机程序在计算机上运行时，使得所述计算机执行权利要求1至17中任一项所述的方法。

21.一种芯片***，其特征在于，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片***的通信装置执行如权利要求1至17中任意一项所述的方法。

22.一种通信***，其特征在于，所述通信***包括至少一个如权利要求18所述的通信装置或至少一个如权利要求19所述的通信装置。