[发明专利]一种安全保护的方法、装置及接入网设备

权利要求书

1.一种安全保护的方法，其特征在于，应用于双连接的场景，所述场景中包括第一接入网设备和第二接入网设备，所述第一接入网设备为所述双连接中的从站，所述第二接入网设备为所述双连接中的主站，所述方法包括：

所述第一接入网设备接收来自所述第二接入网设备的第一消息，所述第一消息携带用户面安全策略，所述用户面安全策略用于指示：所述第一接入网设备待开启的用户面安全保护类型；

所述第一接入网设备根据所述用户面安全策略确定用户面安全算法；

所述第一接入网设备向所述第二接入网设备发送第二消息，所述第二消息为所述第一消息的响应消息，所述第二消息携带第一指示信息和所述用户面安全算法，所述第一指示信息用于指示：终端待开启的用户面安全保护类型；其中，所述终端待开启的用户面安全保护类型与所述第一接入网设备开启的用户面安全保护类型相同。

2.根据权利要求1所述的方法，其特征在于，所述第一消息还携带所述用户面安全策略对应的第一粒度信息。

3.根据权利要求2所述的方法，其特征在于，所述第二消息还携带所述第一指示信息对应的第二粒度信息。

4.根据权利要求2所述的方法，其特征在于，所述第一粒度信息包括PDU会话标识。

5.根据权利要求3所述的方法，其特征在于，所述第二粒度信息包括数据承载标识。

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述第一接入网设备根据所述用户面安全策略确定用户面安全算法，包括：

所述第一接入网设备根据所述用户面安全策略确定所述第一接入网设备需要开启的用户面安全保护类型；

所述第一接入网设备确定与所述第一接入网设备需要开启的用户面安全保护类型对应的所述用户面安全算法。

7.根据权利要求1至5中任一项所述的方法，其特征在于，所述第一消息还包括终端的安全能力，其中，所述终端的安全能力包括终端支持的安全算法；

所述第一接入网设备根据所述用户面安全策略确定用户面安全算法，包括：

所述第一接入网设备根据所述用户面安全策略、所述终端的安全能力和预配置的安全列表，确定所述用户面安全算法。

8.根据权利要求7所述的方法，其特征在于，所述第一接入网设备根据所述用户面安全策略、所述终端的安全能力和预配置的安全列表确定所述用户面安全算法，包括：

若所述用户面安全策略指示开启用户面加密保护，不开启用户面完整性保护，则第一接入网设备根据终端的安全能力和预配置的加密算法或预配置的用户面加密保护算法集合确定用户面加密算法，并根据确定的用户面加密算法确定用户面加密密钥，无需确定用户面完整性保护算法和用户面完整性保护密钥。

9.根据权利要求1至5中任一项所述的方法，其特征在于，所述第一接入网设备根据所述用户面安全策略确定用户面安全算法，包括：

所述第一接入网设备根据所述用户面安全策略，确定所述第一接入网设备需要开启的用户面安全保护类型；

将需要开启的用户面安全保护类型对应的信令面安全算法作为用户面安全算法。

10.根据权利要求9所述的方法，其特征在于，若所述第一接入网设备开启的用户面安全保护类型为开启用户面加密保护，不开启用户面完整性保护，则所述第一接入网设备将信令面加密算法作为用户面加密算法。

11.根据权利要求1至5、8或者10中任一项所述的方法，其特征在于，所述第一消息还携带所述双连接的分流类型，所述分流类型为从站分流或双站分流。