双连接通信方法及其装置、系统制造方法及图纸

本申请实施例提供一种双连接通信方法及其装置、系统，其中方法可包括如下步骤：主基站向辅基站发送第一消息，第一消息包括用户面安全策略，该用户面安全策略用于辅基站确定辅基站与用户终端之间的用户面安全保护方法；主基站接收来自辅基站的第二消息，该第二消息包括用户面安全开启类型指示信息，该用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；主基站向用户终端发送第三消息，该第三消息包括该用户面安全开启类型指示信息。采用本申请实施例，可以解决5G双连接场景下，如何开启用户终端与辅基站之间的用户面安全的技术问题，从而可以保证5G双连接场景下用户面数据传输的机密性和完整性。

Double connection communication method and its device and system

【技术实现步骤摘要】
双连接通信方法及其装置、系统
本申请实施例涉及通信
，具有涉及双连接通信方法及其装置、系统。
技术介绍
随着通信技术的发展，为了满足第五代移动通信(5th-generation，5G)场景下的安全需求，除了沿用长期演进(longtermevolution，LTE)系统中的用户面加密保护之外，还引入用户面完整性保护，用户面完整性保护即保护数据在用户面传输过程中的完整性。并且，还引入了用户面按需安全，即用户面加密保护和用户面完整性保护按照是否需要来开启。目前，在用户终端(例如用户设备(userequipment，UE))与网络节点单连接的场景下，即只有一个网络节点为用户终端服务的场景，开启用户终端与网络节点之间用户面安全的流程可包括：1，会话管理网元将其获取的用户面安全策略发送至网络节点(即基站)，用户面安全策略包括用户面加密保护是需要开启的(required)、倾向开启的(preferred)或不需要开启的(notneeded)，以及用户面完整性保护是需要开启的(required)、倾向开启的(preferred)或不需要开启的(notneeded)；2，若是需要开启的，则网络节点开启相应保护；若是不需要开启的，则网络节点不需要开启相应保护；若是倾向开启的，则网络节点根据资源是否足够来确定是否开启相应保护；3，网络节点向用户终端发送无线资源控制(radioresourcecontrol，RRC)重配置请求消息，该消息携带开用户面保护类型的指示信息，该指示信息用于指示是否开启加密保护，是否开启完整性保护；4，用户终端接收到来自网络节点的RRC重配置消息，根据用户面保护类型的指示信息激活相应的用户面安全，并生成与网络节点相同的保护密钥；5，用户终端向网络节点发送RRC重配置响应消息。上述开启用户面安全的流程针对5G单连接场景，在5G双连接的场景下，即一个用户终端连接两个网络节点(主基站和辅基站)的场景，如何开启用户终端与辅基站之间的用户面安全保护是亟待解决的技术问题。
技术实现思路
本申请实施例所要解决的技术问题在于，提供双连接通信方法及其装置、系统，可以解决5G双连接场景下，如何开启用户终端与辅基站之间的用户面安全保护的技术问题，从而可以保证5G双连接场景下用户面数据传输的机密性和完整性。本申请实施例第一方面提供一种双连接通信方法，包括：主基站向辅基站发送第一消息，该第一消息包括用户面安全策略，该用户面安全策略用于辅基站确定辅基站与用户终端之间的用户面安全保护方法；主基站接收来自辅基站的第二消息，该第二消息包括用户面安全开启类型指示信息，该用户面安全开启类型指示信息用于指示辅基站与用户终端之间的用户面安全保护方法；主基站向用户终端发送第三消息，该第三消息包括该用户面安全开启类型指示信息。本申请实施例第一方面，主基站向辅基站发送用户面安全策略，辅基站根据用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法，向主基站发送指示辅基站与用户终端之间的用户面安全保护方法的用户面安全开启类型指示信息，主基站向用户终端发送该用户面安全开启类型指示信息，以使用户终端根据该用户面安全开启类型指示信息激活用户终端与辅基站之间的用户面安全保护方法，从而可以开启用户终端与辅基站之间的用户面安全保护，保证5G双连接场景下用户面数据传输的机密性和完整性。其中，用户面安全策略包括用户面加密保护指示信息和用户面完整性保护指示信息，用户面加密保护指示信息用于指示三种可能的值，分别为notneeded、preferred和required，用户面完整性保护指示信息用于指示三种可能的值，分别为notneeded、preferred和required。notneeded表示不需要激活，即不开启；preferred表示可以激活可以不激活，即可以开启也可以不开启；required表示必须激活，即开启。在一种可能的实现方式中，主基站向辅基站发送第一消息之前，在辅基站不支持用户面完整性保护的情况下，主基站确定用户面安全策略中的用户面完整性保护指示信息不是开启的，即是“preferred”或“notneeded”。在一种可能的实现方式中，第一消息还包括用户终端的安全能力，用户终端的安全能力指的是用户终端支持哪些加密算法和哪些完整性保护算法。在第一消息中携带用户终端的安全能力，以便辅基站根据其是哪种系统下的基站从用户终端的安全能力中选择辅基站与用户终端之间的将要使用的安全算法。在一种可能的实现方式中，第二消息还包括辅基站与用户终端之间的安全算法，第三消息还包括辅基站与用户终端之间的安全算法，即辅基站将其选择的安全算法通过主基站告知用户终端，以便用户终端根据辅基站所选择的安全算法对用户面数据进行安全保护或解安全保护。在一种可能的实现方式中，主基站向辅基站发送第一消息之前，主基站获取用户终端的第一用户面安全策略。其中，第一用户面安全策略为原始的用户面安全策略。用户终端的第一用户面安全策略的粒度可以是分组数据单元(packetdataunit，PDU)会话，即不同PDU会话对应不同的用户面安全策略，第一用户面安全策略的粒度还可以是网络切片、服务质量流和数据无线承载等中的一种或多种。其中，主基站可在建立PDU会话的过程中从核心网网元获取用户终端的用户面安全策略，也可以在基站切换过程中作为目标基站时，从源基站获取用户终端的用户面安全策略。在一种可能的实现方式中，第一消息还包括用户面安全策略对应的用户面信息，以便用户终端可以知道从主基站和辅基站接收到的用户面数据是同一个PDU会话的。该用户面信息可以包括PDU会话标识，还可以包括网络切片标识、服务质量流标识、5G服务质量流指示符、数据无线承载标识等中的一种或多种。在一种可能的实现方式中，第一消息所携带的用户面安全策略为用户终端的第一用户面安全策略，即主基站直接将其获取的第一用户面安全策略发送至辅基站，以便辅基站根据第一用户面安全策略生成映射的用户面安全策略，并根据映射的用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法。在一种可能的实现方式中，第一消息所携带的用户面安全策略为主基站根据用户终端的第一用户面安全策略生成的第二用户面安全策略，主基站向辅基站发送第一消息之前，根据用户终端的第一用户面安全策略，生成第二用户面安全策略。其中，第二用户面安全策略为主基站生成的映射的用户面安全策略。辅基站在接收到第二用户面安全策略的情况下，可直接根据第二用户面安全策略确定辅基站与用户终端之间的用户面安全保护方法。其中，主基站可根据主基站的能力、辅基站的能力以及第一用户面安全策略生成第二用户面安全策略，使得第二用户面安全策略可以同时被主基站和辅基站使用。其中，主基站或辅基站的能力可以包括是否支持开启用户面加密保护以及是否支持开启用户面完整性保护，资源使用情况，支持的安全算法，当前状态和配置信息等信息中的一种或多种。在一种可能的实现方式中，在辅基站不支持用户面完整性保护的情况下，当第一用户面安全策略中的本文档来自技高网...

【技术保护点】
1.一种双连接通信方法，其特征在于，包括：/n主基站向辅基站发送第一消息，第一消息包括用户面安全策略，所述用户面安全策略用于所述辅基站确定所述辅基站与所述用户终端之间的用户面安全保护方法；/n所述主基站接收来自所述辅基站的第二消息，所述第二消息包括用户面安全开启类型指示信息，所述用户面安全开启类型指示信息用于指示所述辅基站与所述用户终端之间的用户面安全保护方法；/n所述主基站向所述用户终端发送第三消息，所述第三消息包括所述用户面安全开启类型指示信息。/n

【技术特征摘要】
1.一种双连接通信方法，其特征在于，包括：
主基站向辅基站发送第一消息，第一消息包括用户面安全策略，所述用户面安全策略用于所述辅基站确定所述辅基站与所述用户终端之间的用户面安全保护方法；
所述主基站接收来自所述辅基站的第二消息，所述第二消息包括用户面安全开启类型指示信息，所述用户面安全开启类型指示信息用于指示所述辅基站与所述用户终端之间的用户面安全保护方法；
所述主基站向所述用户终端发送第三消息，所述第三消息包括所述用户面安全开启类型指示信息。


2.根据权利要求1所述的方法，其特征在于，所述主基站向辅基站发送第一消息之前，所述方法还包括：
在所述辅基站不支持用户面完整性保护的情况下，所述主基站确定所述用户面安全策略中的用户面完整性保护指示信息不是开启的。


3.根据权利要求1所述的方法，其特征在于，所述第二消息还包括所述辅基站与所述用户终端之间的安全算法，所述第三消息还包括所述辅基站与所述用户终端之间的安全算法。


4.根据权利要求1所述的方法，其特征在于，所述主基站向辅基站发送第一消息之前，所述方法还包括：
所述主基站获取所述用户终端的第一用户面安全策略。


5.根据权利要求4所述的方法，其特征在于，所述用户面安全策略为所述用户终端的第一用户面安全策略。


6.根据权利要求4所述的方法，其特征在于，所述用户面安全策略为根据所述用户终端的第一用户面安全策略生成的第二用户面安全策略；
所述主基站向辅基站发送第一消息之前，所述方法还包括：
所述主基站根据所述用户终端的第一用户面安全策略，生成所述第二用户面安全策略。


7.根据权利要求6所述的方法，其特征在于，在所述辅基站不支持用户面完整性保护的情况下，当所述第一用户面安全策略中的用户面完整性保护指示信息为开启时，所述主基站生成的所述第二用户面安全策略中的用户面完整性保护指示信息为关闭。


8.一种双连接通信方法，其特征在于，包括：
辅基站接收来自主基站的第一消息，所述第一消息包括用户面安全策略；
所述辅基站根据所述用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法；
所述辅基站激活所述辅基站与用户终端之间的用户面安全保护方法；
所述辅基站向所述主基站发送第二消息，所述第二消息包括用户面安全开启类型指示信息，所述用户面安全开启类型指示信息用于指示所述辅基站与所述用户终端之间的用户面安全保护方法。


9.根据权利要求8所述的方法，其特征在于，所述第二消息还包括所述辅基站与所述用户终端之间的安全算法。


10.根据权利要求8所述的方法，其特征在于，所述用户面安全策略为所述用户终端的第一用户面安全策略；
所述辅基站根据所述用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法，包括：
所述辅基站根据所述第一用户面安全策略生成第三用户面安全策略；
所述辅基站根据所述第三用户面安全策略确定所述辅基站与用户终端之间的用户面安全保护方法。


11.一种双连接通信方法，其特征在于，包括：
用户终端接收来自主基站的第三消息，所述第三消息包括用户面安全开启类型指示信息和所述辅基站选择的安全算法，所述用户面安全开启类型指示信息用于指示辅基站与所述用户终端之间的用户面安全保护方法；
所述用户终端根据所述用户面安全开启类型指示信息和所述辅基站选择的安全算法，激活与所述辅基站之间的用户面安全保护方法；
所述用户终端根据所述用户终端与所述辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护。


12.根据权利要求11所述的方法，其特征在于，所述用户终端根据所述用户终端与所述辅基站之间的用户面安全保护方法对上行用户面数据进行安全保护，包括：
所述用户终端分别向所述辅基站以及所述主基站发送第一上行用户面数据和第二上行用户面数据；其中，所述第一上行用户面数据和所述第二用户面数据为所述用户终端根据所述用户终端与所述辅基站之间的用户面安全保护方法进行安全保护后的用户面数据。


13.一种主基站，其特征在于，包括收发单元；
所述收发单元，用于向辅基站发送第一消息，第一消息包括用户面安全策略，所述用户面安全策略用于所述辅基站确定所述辅基站与所述用户终端之间的用户面安全保护方法；
所述收发单元，还用于接收来自所述辅基站的第二消息，所述第二消息包括用户面安全开启类型指示信息，所述用户面安全开启类型指示信息用于指示所述辅基站与所述用户终端之间的用户面安全保护方法；
所述收发单元，还用于向所述用户终端发送第三消息，所述第三消息包括所述用户面安全开启类型指示信息。


14.根据权利要求13所述的主基站，其特征在于，所述主基站还包括处理单元，
在所述辅基站不支持用户面完整性保护的情况下，所述处理单元，用于确定所述用户面安全策略中的用户面完整性保护指示信息不是开启的。


15.根据权利要求13所述的主基站，其特征在于，所述第二消息还包括所述辅基站与所述用户终端之间的安全算法，所述第三消息还包括所述辅基站与所述用户终端之间的安全算法。


16.根据权利要求13所述的主基站，其特征在于，所述主基站还包括处理单元，
所述处理单元，用于获取所述用户终端的第一用户面安全策略。<...

【专利技术属性】
技术研发人员：李赫，陈璟，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44