CN108702303A - 一种为无线承载进行安全配置方法和设备 - Google Patents

Abstract

本发明实施例公开了一种为无线承载进行安全配置方法和设备，其方法可以包括：基站获取第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；所述基站向所述终端设备发送所述第一安全配置消息。本发明实施例可以提高安全配置的适用性。

Description

一种为无线承载进行安全配置方法和设备 技术领域

本发明涉及移动通信领域，尤其涉及一种为无线承载进行安全配置方法和设备。

背景技术

随着移动通信网络技术的发展，目前网络对安全配置的要求也越来越高。当前常见的安全配置策略为对所有用户面对应的无线承载，或者同一终端的全部无线承载都进行相同的安全配置。上述用户面可以用于传输终端设备的业务数据，而控制面可以用于管理用户面，生成控制信令等，而上述用户面的无线承载可以理解为传输业务数据的无线承载，控制面的无线承载可以理解为传输控制信令的无线承载。然而，在实际应用中，终端设备是有差别性的，并且通信使用的无线承载也是有差别性的。以同一终端设备的不同无线承载为例，该终端设备和基站之间的不同无线承载可用来传输不同的数据业务。例如：某承载可用来传输语音数据，某承载用来传输网页数据，某承载用来传输支付数据等。如果为所有用户面对应的无线承载或者同一终端的全部无线承载做相同的安全配置，可能会导致当前安全配置不适用当前的终端设备或者无线承载的问题。可见，目前安全配置技术中安全配置的适用性比较差。

发明内容

本发明实施例提供了一种为无线承载进行安全配置方法和设备，可以提高安全配置的适用性。

本发明实施例提供一种为无线承载进行安全配置方法，包括：

基站获取第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；

所述基站向所述终端设备发送所述第一安全配置消息。

该设计中，由于可以实现为终端设备的承载单独配置安全配置参数，从而可以提高安全配置的适用性。

在一个可能的设计中，所述第一安全配置消息包括第一承载列表，其中：

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。

该设计中，使用上述默认安全配置参数由于不需要传输安全配置参数，从而可以节省通信资源。另外，上述承载列表中包括M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数时，即仅包括需要进行安全配置的承载标识和安全配置参数，从而可以节省通信资源。

在一个可能的设计中，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。

在一个可能的设计中，所述基站获取第一安全配置消息，包括：

所述基站接收管理实体发送的第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数；

所述基站根据所述第二安全配置消息及所述终端设备的上下文生成所述第一安全配置消息。

该设计中，由于安全配置参数可以是基于业务来做相应区分，而在管理实体处更容易针对安全配置参数与业务特征做针对性匹配，从而通过管理实体发送的第二安全配置消息，可以使用终端设备在对无线承载配置的安全配置参数 精度更高。

在一个可能的设计中，所述基站为所述终端设备的当前服务基站，所述基站获取第一安全配置消息，包括：

当所述终端设备需要切换到目标基站时，所述基站接收所述目标基站发送的所述第一安全配置消息。

该设计中，可以使得终端设备在切换后，仍然能够保证安全配置的连续性。

在一个可能的设计中，所述N个无线承载建立在以下协议层中的一个或多个：分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层，无线链路控制(Radio Link Control，RLC)层和媒体访问控制(Media Access Control，MAC)层。

该设计中，可以实现在简化协议栈模型下，比如在没有配置PDCP层的协议栈中，仍然可配置安全配置参数。

在一个可能的设计中，在针对用户面和控制面分离的场景中，所述第一安全配置消息可以是只对M个无线承载中控制面的无线承载指示安全配置参数，而对M个无线承载中的用户面的无线承载可以不指示安全配置参数。

该设计中，保证了不同的承载可以有不同的安全配置，即保证了业务安全配置的灵活性。同时，针对一些不需要配置安全配置参数的业务，节省了信令开销。

在一个可能的设计中，所述承载列表中还包括服务质量(Quality of Service，QoS)参数。

在一个可能的设计中，在所述承载列表中按照安全配置参数将无线承载分类。

该设计中，可以进一步节省通信资源防止冗余。

本发明实施例提供一种为无线承载进行安全配置方法，包括：

终端设备接收基站发送的第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；

所述终端设备使用所述第一安全配置消息对所述M个无线承载配置安 全配置参数。

该设计中，由于可以实现为终端设备的承载单独配置安全配置参数，从而可以提高安全配置的适用性。

在一个可能的设计中，所述第一安全配置消息包括第一承载列表，其中：

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。

该设计中，使用上述默认安全配置参数由于不需要传输安全配置参数，从而可以节省通信资源。另外，上述承载列表中包括M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数时，即仅包括需要进行安全配置的承载标识和安全配置参数，从而可以节省通信资源。

在一个可能的设计中，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。

在一个可能的设计中，所述方法还包括：

所述终端设备向管理实体上报安全能力信息，其中，所述第一安全配置消息是所述基站根据第二安全配置消息及所述终端设备的上下文生成的，所述第二安全配置消息是所述基站接收所述管理实体发送的，且为所述管理实体基于所述安全能力信息生成用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数。

该设计中，由第二安全配置消息是基于终端设备上报的安全通信信息生成，从而可以避免配置的第二安全配置消息终端设备不支持，以浪费资源的情况。

在一个可能的设计中，所述终端设备使用所述第一安全配置消息对所述M个无线承载配置安全配置参数，包括：

所述终端设备在PDCP层、RLC层或者MAC层对所述M个无线承载进行配置安全配置参数。

本发明实施例提供一种为无线承载进行安全配置方法，包括：

管理实体向基站发送第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，以及用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N，L为大于等于N的正整数，K为大于等于M的整数。

该设计中，由于可以实现为终端设备的承载单独配置安全配置参数，从而可以提高安全配置的适用性。

在一个可能的设计中，所述方法还包括：

所述管理实体接收所述终端设备上报的安全能力信息，并基于所述安全能力信息生成所述第二安全配置消息；或者

所述管理实体根据信道质量或者所述终端设备的业务参数生成所述第二安全配置消息。

该设计中，由第二安全配置消息是基于终端设备上报的安全通信信息生成，从而可以避免配置的第二安全配置消息终端设备不支持，以浪费资源的情况。

在一个可能的设计中，所述第二安全配置消息包括第二承载列表，其中：

所述第二承载列表包括L个无线承载的承载标识和指示信息，以及其中需要配置的K个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

所述第二承载列表包括所述L个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，该第二安全配置消息指示的为所述K个无线承载配置的安全配置参数为所述终端设 备预先获取的默认安全配置参数；或者

所述第二承载列表包括所述L个无线承载的承载标识和所述K个无线承载中每个承载的安全配置参数。

该设计中，使用上述默认安全配置参数由于不需要传输安全配置参数，从而可以节省通信资源。另外，上述承载列表中包括M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数时，即仅包括需要进行安全配置的承载标识和安全配置参数，从而可以节省通信资源。

在一个可能的设计中，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。

在一个可能的设计中，所述L个无线承载建立在以下协议层中的一个或多个：PDCP层，RLC层和MAC层。

本发明实施例提供一种基站，该基站被配置实现本发明实施例方法设计中基站的功能，由硬件/软件实现，其硬件/软件包括与上述功能相应的单元。

本发明实施例提供一种终端设备，该终端设备被配置实现本发明实施例方法设计中终端设备的功能，由硬件/软件实现，其硬件/软件包括与上述功能相应的单元。

本发明实施例提供一种管理实体，该管理实体被配置实现本发明实施例方法设计中管理实体的功能，由硬件/软件实现，其硬件/软件包括与上述功能相应的单元。

本发明实施例提供一种基站，包括：处理器、接收器、发送器和存储器，其中，所述处理器执行所述存储器中存储的程序用于实现本发明实施例方法设计中基站实现的方法。

本发明实施例提供一种终端设备，包括：处理器、接收器、发送器和存储器，其中，所述处理器执行所述存储器中存储的程序用于实现本发明实施例方法设计中终端设备实现的方法。

本发明实施例提供一种管理实体，包括：处理器、接收器、发送器和存储器，其中，所述处理器执行所述存储器中存储的程序用于实现本发明实施例方法设计中管理实体实现的方法。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的安全配置方法可应用的系统架构图；

图2是本发明实施例提供的一种为无线承载进行安全配置方法的流程示意图；

图3是本发明实施例提供的另一种为无线承载进行安全配置方法的流程示意图；

图4是本发明实施例提供的另一种为无线承载进行安全配置方法的流程示意图；

图5是本发明实施例提供的一种基站的结构示意图；

图6是本发明实施例提供的一种终端设备的结构示意图；

图7是本发明实施例提供的一种管理实体的结构示意图；

图8是本发明实施例提供的另一种基站的结构示意图；

图9是本发明实施例提供的另一种终端设备的结构示意图；

图10是本发明实施例提供的另一种管理实体的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，图1是本发明实施例提供的安全配置方法可应用的系统架构图，如图1所示，包括：终端设备(Terminal Device)11、基站12和管理实体13，其中，终端设备11可以通过基站12接入网络，管理实体13可以通过基站12向终端设备11配置承载的安全配置消息，或者基站12可以不需要管理实体13的参与为终端设备11配置安全配置消息，其具体的应用场景请参考 下面实施例中的描述。上述终端设备11可以是计算机、手机、平板电脑、笔记本电脑、可穿戴设备、智能电视等用户侧网络设备。另外，上述系统架构可应用于长期演进(Long Term Evolution，LTE)系统、通用移动通信系统(Universal Mobile Telecommunication System，UMTS)或者全球移动通信(Global System for Mobile communications，GSM)系统等系统，而上述基站12可以是上述系统中的任意基站，例如：演进型基站(evolved Node B，eNB)或者传统基站。而上述管理实体也可以是上述系统在核心侧的任意管理实体，例如：在LTE系统中的移动管理实体(Mobility Management Entity，MME)，或者在UMTS系统中的服务GPRS支持节点(Serving GPRS Support Node，SGSN)等。

另外，本发明实施例中终端设备建立的无线承载可以是终端设备建立的面向网络侧的承载，例如：终端设备建立的承载可以包括终端设备与基站之间建立的无线承载(Radio Bearer，RB)或者数据无线承载(Data Radio Bearer，DRB)，或者，终端设备建立的承载可以包括终端设备与管理实体之间建立的无线接入承载(Radio Access Bearer，RAB)，例如：演进的无线接入承载(Evolved Radio Access Bearer，E-RAB)。

请参阅图2，图2是本发明实施例提供的一种为无线承载进行安全配置方法的流程示意图，如图2所示，包括以下步骤：

201、基站获取第一安全配置消息，其中，该第一安全配置消息用于指示所述基站与终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N。

其中，上述N个无线承载可以是基站与终端设备建立的全部或部分承载。在该N个无线承载中，有M个无线承载需要配置安全配置参数，换言之，N-M个承载不需要配置安全配置参数。由于M为小于等于N的整数，当M为0时，表示基站与终端设备建立的N个无线承载均无需配置安全配置参数。

可选的，安全配置参数可包括以下参数中的一个或多个：如完整性保护参数和加密参数等。

可选的，基站可以根据终端设备的实际网络情况，例如信道情况，网络负载情况等对安全配置参数进行重新配置。

可选的，上述终端设备可以表示一个特定的终端设备，当然，在一些场景中上述终端设备也可以表示多个终端设备，这样可以实现当多个终端设备使用的无线承载存在相同的无线承载时，可以通过上述第一安全配置消息实现对多个终端设备的无线承载进行安全配置。例如：终端设备1和终端设备2都使用了邮件业务和支付数据业务，那么，本实施例中，通过上述第一安全配置消息可以实现终端设备1和终端设备2的传输邮件业务的无线承载进行完整性保护安全配置，以及通过第一安全配置消息实现对终端设备1和终端设备2的传输支付数据业务的无线承载进行加密安全配置。

202、基站向终端设备发送第一安全配置消息。

可选的，基站可以通过RRC连接重配(RRC connection Reconfiguration)信令向终端设备发送该第一安全配置消息。

可选的，基站可以通过安全模式命令(Security Mode Command)向终端设备发送该第一安全配置消息。

203、终端设备接收基站发送的第一安全配置消息，并使用该第一安全配置消息对M个无线承载配置安全配置参数。

可选的，终端设备从第一安全配置消息中获取承载列表，根据承载列表判断N个无线承载中的每个无线承载是否需要进行安全配置，并根据安全配置参数需要进行安全配置。

本实施例中，由于可以实现为终端设备的承载单独配置安全配置参数，从而可以提高安全配置的适用性，节省通信资源。例如：当某一无线承载所传输的业务为对完整性要求较高的业务时，如传输邮件业务时，就可以对该无线承载进行完整性保护安全配置；例如：当某一无线承载所传输的业务为对安全性要求较高的业务时，如传输支付数据业务或者语音业务时，可以对该无线承载进行加密安全配置等。

另外，本实施例中，在针对用户面和控制面分离的场景中，第一安全配置消息可以是只对M个无线承载中控制面的无线承载指示安全配置参数，而对M个无线承载中的用户面的无线承载可以不指示安全配置参数，即终端设备 可以只对上述M个无线承载中控制面的无线承载配置安全配置参数。当然，在一些特殊的场景中第一安全配置消息可以对M个无线承载中的用户面和控制面的无线承载都指示配置参数。即终端设备可以对M个无线承载中的用户面和控制面的无线承载都配置安全配置参数。另外，上述用户面可以用于传输终端设备的业务数据，而控制面可以用于管理用户面，生成控制信令等，而上述用户面的无线承载可以理解为传输业务数据的无线承载，而控制面的无线承载可以理解为传输控制信令的无线承载。这样保证了不同的承载可以有不同的安全配置，即保证了业务安全配置的灵活性。同时，针对一些不需要配置安全配置参数的业务，节省了信令开销。

在步骤201中，可选的，第一安全配置消息可包括第一承载列表。在不同情况下，该第一承载列表可包括不同的参数。

情况一，第一承载列表中包括N个无线承载相关的参数。例如，第一承载列表中包括N个无线承载的承载标识，该N个无线承载的指示信息，以及M个需要配置安全承载的安全配置参数。其中，无线承载标识与N个无线承载一一对应，也即，每个承载标识可以标识N个无线承载中的一个，例如：RB标识信息。无线承载指示信息可以用来指示对应的无线承载是否需要被配置安全配置参数。

在如表1所示的承载列表中RB ID代表无线承载的承载标识，指示信息表示其对应的无线承载是否需要配置安全配置参数。

表1：

承载标识(RB ID)	指示信息	安全配置参数
RB ID：0	需要配置	安全配置参数A
RB ID：1	无需配置	——
RB ID：2	需要配置	安全配置参数A
…	…	…
RB ID：N-1	需要配置	安全配置参数B

可选的，第一承载列表中还可包括服务质量(Quality of Service，QoS)参数，例如：E-RAB级的QoS参数。可选的，还可以包含PDCP，RLC，MAC 层的配置参数等，例如重传次数，数据包格式等信息。每个无线承载还可包括相应的安全配置参数，这样通过承载标识信息就可以确定对应承载的QoS参数。例如表2所示的承载列表。

表2：

可选的，为节省通信资源，可设置该第一承载列表中各个无线承载的默认安全配置参数。当指示信息指示某无线承载需要进行安全配置时，则利用默认安全配置参数对该无线承载进行安全配置。该默认安全配置参数可由基站提前通知终端设备。此种情况下，同样可以选择在承载列表中包括QoS参数。可选的，还可以包含PDCP，RLC，MAC层的配置参数等，例如重传次数，数据包格式等信息。如表3所示的承载列表。

表3：

情况二，第一承载列表中可仅包括需要配置安全配置参数的M个无线承载相关的参数。例如，第一承载列表包括M个无线承载的承载标识和该M个无线承载中每个承载的安全配置参数，如表4所示。

表4

承载标识(RB ID)	安全配置参数
RB ID：0	安全配置参数A
RB ID：2	安全配置参数A
…	…
RB ID：N-1	安全配置参数B

其中，不需进行安全配置的RB ID为1的承载不包含在承载列表中。换言之，第一承载列表中仅包括需要进行安全配置的承载标识为0，2…N-1的M个无线承载。

可选的，该第一承载列表中还可QoS参数，例如：E-RAB级的QoS参数。 可选的，还可以包含PDCP，RLC，MAC层的配置参数等，例如重传次数，数据包格式等信息。例如表5所示的承载列表。

表5：

可选的，为进一步节省通信资源防止冗余，可按照安全配置参数将无线承载分类。即，相同安全配置参数的无线承载分为一类，如表6所示的第一承载列表。

表6：

安全配置参数	承载标识(RB ID)
安全配置参数A	RB ID：0；RB ID：2…
安全配置参数B	RB ID：N-1…
…	…

综上，第一承载列表可以包括N个无线承载的承载标识及该N个无线承载的指示信息；或者，第一承载列表可以包括M个无线承载的承载标识和该M个无线承载中每个承载的安全配置参数。

可选的，安全配置参数可包括以下参数中的一个或多个：如完整性保护参数和加密参数等。或者可以理解为安全配置参数包括安全算法，其中，安全算法可以为加密算法，完整性包含算法等。

完整性保护参数是针对数据完整性进行保护的参数。数据完整性是信息安全的三个基本要点之一，指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。例如：当某一承载所传输的 数据业务为对完整性要求较高的业务时，如传输邮件业务时，就可以对该承载进行完整性保护安全配置。

另外，数据在传输中，可通过加密参数对数据进行加密。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。例如：当某一承载所传输的数据业务为对安全性要求较高的业务时，如传输支付数据业务或者语音业务时，可以对该承载进行加密安全配置等，这里不一一列出。

可选的，上述第一安全配置消息可以是用于在PDCP层、RLC层或者MAC层对上述M个无线承载进行安全配置，即上述N个无线承载可以建立以下协议层中的一个或多个：PDCP层，RLC层和MAC层。

在步骤202中，可选的，上述第一安全配置消息可以是DRB配置信令，例如：RRC重配消息(RRC Connection Reconfiguration)。

可选的，基站向终端设备发送的第一安全配置消息可以是安全模式命令(Security Mode Command)，基站向终端设备发送安全模式命令，终端设备接收到该命令后，向基站返回安全模式完成(Security Mode Complete)消息。另外，在安全模式命令可以包括上述承载列表。

在步骤203中，可选的，终端设备可在PDCP层、RLC层或者MAC层进行安全配置时对其中的上述M个无线承载进行配置。例如：以PDCP层为例，可以在上述第一安全配置消息中的PDCP参数内增加安全配置参数，这样终端设备在PDCP层配置时可使用该安全配置参数对PDCP层进行安全配置。

另外，RLC层和MAC层的安全配置，同样可以是在第一安全配置消息中的RLC参数或者MAC参数增加安全配置参数，从而实现终端设备对RLC层和MAC层进行安全配置。

这样可以实现，在简化协议栈模型下，比如在没有配置PDCP层的协议栈中，仍然可配置安全配置参数。

请参阅图3，图3是本发明实施例提供的另一种为无线承载进行安全配置方法的流程示意图，如图3所示，图2中的步骤201中的基站获取第一安全配置消息，可包括以下步骤，其余步骤与图2中的实施例相同：

步骤301、管理实体向基站发送第二安全配置消息，其中，第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数；

步骤302、基站接收管理实体发送的第二安全配置消息；

可选的，第二安全配置消息中包括第二承载列表，该第二承载列表中包括与该管理实体相关的L个无线承载的承载标识和相应的安全配置参数。其中，与某管理实体相关的无线承载可理解为该管理实体控制的基站与各基站对应的终端设备之间建立的全部或部分无线承载。

例如：第二安全配置消息可包括第二承载列表，其中：

第二承载列表包括L个无线承载的承载标识和指示信息，以及其中需要配置的K个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

第二承载列表包括所述L个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，该第二安全配置消息指示的为所述K个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

第二承载列表包括所述L个无线承载的承载标识和所述K个无线承载中每个承载的安全配置参数。

第二承载列表的情况可如图2的实施例中所描述的第一承载列表的情况，其中，第一承载列表中的N个无线承载可对应第二承载列表中的L个无线承载；第一承载列表中的M个无线承载可对应第二承载列表中的K个无线承载。也即，第一承载列表中的六种列表形式同样也适用于第二承载列表，在此不再赘述。

步骤303、基站根据第二安全配置消息及终端设备的上下文生成所述第一安全配置消息。

可选的，基站在收到该第二安全配置消息后，针对某一终端设备，根据该终端设备的上下文，判断与该终端设备有关的N个无线承载。例如，基站可从第二承载列表的L个无线承载中选择出上述N个无线承载，并查找出该N 个无线承载中需要配置安全参数的M个无线承载，进一步根据各无线承载匹配的各项安全配置参数、QoS参数等，建立第一安全配置参数中的第一承载列表。

可选的，在步骤301中，第二安全配置消息可以是管理实体为上述终端设备配置生成的，例如：在步骤301之前，上述方法还可以包括如下步骤：

步骤304、终端设备向管理实体上报安全能力信息；

步骤305、管理实体接收所述终端设备上报的安全能力信息。

其中，上述第二安全配置消息是基于所述安全能力信息生成指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数。即上述安全能力信息可以使所述管理实体基于所述安全能力信息生成用于对上述K个无线承载进行安全配置的第二安全配置消息。

上述安全能力信息可以表示上述终端设备支持的安全配置模式或者支持安全配置参数，这样上述第二安全配置消息中包括的安全配置参数就可以是上述终端设备支持的安全配置参数，或者上述第二安全配置消息配置的安全模式是上述终端设备支持的安全配置模式。从而可以避免配置的第二安全配置消息终端设备不支持，以浪费资源的情况。

或者，管理实体可以根据信道质量或者终端设备的业务参数等生成上述第二安全配置消息等。

这里说明的是，由于管理实体属于核心网，那么管理实体与基站之间的传输消息为高层协议的消息，而基站与终端设备之前传输的消息为基站与终端设备之前的传输协议的消息，从而基站在接收到上述第二安全配置消息，基站会基于该安全配置消息生成面向终端设备的第一安全配置消息。例如：基站可以将第二安全配置消息进行协议转换以生成第一安全配置消息。另外，基站还可以是接收到第二安全配置消息后，在第二安全配置消息增加或者调整消息内容，以生成第一安全配置消息；又例如：上述第二安全消息仅可以是用于对上述终端设备的上述K个无线承载进行安全配置，但没有限定只用于对上述终端设备的无线承载进行安全配置，那么基站就可以在第二安全配置消息的基础生成仅用于对上述终端设备的上述M个无线承载进行安全配置的第一安全配 置消息。

可选的，在步骤301之前，在基站接收到初始上下文设置请求消息后，基站还可以向管理实体返回初始上下文设置响应(Initial Context Setup Response)消息，以表示接收到上述初始上下文设置请求消息。

可选的，管理实体向基站发送的安全配置消息可以是E-RAB设置请求(E-RAB SETUP REQUEST)，管理实体向基站发送E-RAB设置请求，且在基站接收到请求后，可以向管理实体返回E-RAB设置响应(E-RAB SETUP RESPONSE)，以实现管理实体向基站发送上述安全配置消息。

可选的，所述L个无线承载建立在以下协议层中的一个或多个：PDCP层，RLC层和MAC层。其中，关于对上述L个无线建立在PDCP层，RLC层和MAC层的实施方式可以参考图2所示的实施例中关于对上述N个无线承载在PDCP层，RLC层和MAC层对无线承载配置安全配置消息的实施方式。

由于本发明中安全配置参数可以是基于业务来做相应区分，例如：针对邮件业务可以进行完整性保护安全配置，而针对支付数据业务或者语音业务时，可以对进行加密安全配置。而在管理实体处更容易针对安全配置参数与业务特征做针对性匹配，从而通过管理实体发送的第二安全配置消息，可以使用终端设备在对无线承载配置的安全配置参数精度更高。

请参阅图4，图4是本发明实施例提供的另一种为无线承载进行安全配置方法的流程示意图，如图4所示，包括以下步骤：

401、在所述终端设备需要切换到目标基站时，基站接收所述目标基站发送的用于对终端设备建立的M个无线承载进行安全配置的第一安全配置消息。

其中，上述基站可以理解为上述终端设备当前接入的基站，或者可以理解为当上述终端设备的当前服务基站。而当终端设备需要切换到目标基站时就可以接收到上述目标基站发送的上述第一安全配置消息。其中，上述目标基站发送的第一安全配置消息可以是由目标基站自己配置生成，具体可以参考图2所示的实施例中介绍的基站生成安全配置消息的方式；或者可以是目标基站基于接收管理实体发送的第二安全配置消息生成第一安全配置消息，具体可以参考图3所示的实施例中基站生成第一安全配置消息的方式。

另外，上述终端设备需要切换到目标基站时，上述基站还可以向上述目标基站发送终端设备切换到目标基站的请求消息，在上述基站接收到上述目标基站返回的确认消息(例如：ACK消息)，上述基站再向终端设备发送切换到上述目标基站的通知消息，终端设备向上述基站返回该通知消息的确认消息(例如：ACK消息)。当上述基站接收到终端设备返回的确认消息后，就可以执行步骤401。

402、基站向终端设备发送第一安全配置消息。

可选的，基站通过RRC连接重配(RRC connection Reconfiguration)信令向终端设备发送该第一安全配置消息。

403、终端设备接收基站发送的第一安全配置消息，并使用该第一安全配置消息对上述M个无线承载配置安全配置参数。

其中，步骤403中配置安全配置参数的实施方式，具体可以参考图2所示的实施例中终端设备对M个无线承载配置安全配置参数的实施方式。

本实施例中，在图2所示的实施例的基础上增加了多种可选的实施方式，且都可以实现提高安全配置的适用性。并使得终端设备在切换后，仍然能够保证安全配置的连续性。

请参阅图5，图5是本发明实施例提供的一种基站的结构示意图，如图5所示，包括：处理单元51和收发单元52，其中：

处理单元51，用于获取第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N。

本实施例中，处理单元51获取的第一安全配置消息，以及获取第一安全配置消息的实施方式都可以参考图2所示的实施例中的步骤201。

收发单元52，用于向所述终端设备发送所述第一安全配置消息。

本实施例中，收发单元52发送第一安全配置消息的实施方式都可以参考图2所示的实施例中的步骤202。

可选的，所述第一安全配置消息可以包括第一承载列表，其中：

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及 所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。

其中，该实施方式中的承载列表的实施方式可以参考图2所示的实施例中关于承载列表的实施方式。

可选的，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。

其中，该实施方式中的完整性保护参数和加密参数的实施方式可以参考图2所示的实施例中关于完整性保护参数和加密参数的实施方式。

可选的，收发单元52还可以用于接收管理实体发送的第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数；

处理单元52可以用于根据所述第二安全配置消息及所述终端设备的上下文生成所述第一安全配置消息。

该实施方式中的实现可以参考图3所示的实施例中关于步骤302和步骤303的描述。

可选的，所述基站为所述终端设备的当前服务基站，处理单元51可以用于当所述终端设备需要切换到目标基站时，通过所述收发单元接收所述目标基站发送的所述第一安全配置消息。

该实施方式中的实现可以参考图4所示的实施例中关于步骤401的描述。

可选的，所述N个无线承载可以建立在以下协议层中的一个或多个中：PDCP层，RLC层和MAC层。

该实施方式的可以参考图2所示的实施例中关于在PDCP层，RLC层和MAC层对无线承载进行安全配置的实施方式。

本实施例中，由于可以实现为终端设备的承载单独配置安全配置参数，从而可以提高安全配置的适用性，节省通信资源。

请参阅图6，图6是本发明实施例提供的一种终端设备的结构示意图，如图6所示，包括：收发单元61和处理单元62，其中：

收发单元61，用于接收基站发送的第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N。

处理单元62，用于使用所述第一安全配置消息对所述M个无线承载配置安全配置参数。

本实施例中，处理单元62对所述M个无线承载配置安全配置参数的实施方式可以参考图2所示的实施例中关于步骤203的实施方式。

可选的，所述第一安全配置消息可以包括第一承载列表，其中：

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。

其中，该实施方式中的第一承载列表和处理单元62使用承载列表对M个无线承载配置安全配置参数的实施方式，分别可以参考图2所示的实施例中关于第一承载列表的实施方式和使用承载列表对M个无线承载配置安全配置参数的实施方式。

可选的，所述安全配置参数可以包括以下参数中的一个或多个：完整性保 护参数和加密参数。

其中，该实施方式中的完整性保护参数和加密参数的实施方式可以参考图2所示的实施例中关于完整性保护参数和加密参数的实施方式。

可选的，收发单元61还可以用于向管理实体上报安全能力信息，其中，所述第一安全配置消息是所述基站根据第二安全配置消息及所述终端设备的上下文生成的，所述第二安全配置消息是所述基站接收所述管理实体发送的，且为所述管理实体基于所述安全能力信息生成用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数。

该实施方式中，收发单元61的实施方式和安全能力信息的实施方式可以参考图3所示的实施例中关于步骤305的实施方式。

可选的，处理单元62可以用于在PDCP层、RLC层或者MAC层对所述M个无线承载进行配置安全配置参数。

该实施方式的可以参考图2所示的实施例中关于终端设备在PDCP层，RLC层和MAC层对无线承载进行安全配置的实施方式。

本实施例中，由于可以实现为终端设备的承载单独配置安全配置参数，从而可以提高安全配置的适用性，节省通信资源。

请参阅图7，图7是本发明实施例提供的一种管理实体的结构示意图，如图7所示，包括：收发单元71，其中：

所述收发单元71，用于向基站发送第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，以及用于使所述基站基于所述第二安全配置消息及终端设备的上下文生成所述第一安全配置消息，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N，L为大于等于N的正整数，K为大于等于M的整数。

本实施例中，收发单元71发送第二安全配置消息的实施方式可以参考图 3所示的实施例中关于步骤301的实施方式。

可选的，所述管理实体还可以包括：

处理单元72，用于根据信道质量或者所述终端设备的业务参数生成所述第二安全配置消息；

或者，所述收发单元71还用于接收所述终端设备上报的安全能力信息；且所述管理实体还包括：

处理单元72，用于基于所述安全能力信息生成所述第二安全配置消息。

该实施方式中，生成第二安全配置消息的实施方式可以参考图3所示的实施例中管理实体生成第二安全配置消息的实施方式。

可选的，所述第二安全配置消息可以包括第二承载列表，其中：

所述第二承载列表包括L个无线承载的承载标识和指示信息，以及其中需要配置的K个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

所述第二承载列表包括所述L个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，该第二安全配置消息指示的为所述K个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

所述第二承载列表包括所述L个无线承载的承载标识和所述K个无线承载中每个承载的安全配置参数。

该实施方式中，第二承载列表可以参考图3所示的实施例中关于第二安全配置消息的实施方式。

可选的，所述安全配置参数可以包括以下参数中的一个或多个：完整性保护参数和加密参数。

可选的，所述L个无线承载建立在以下协议层中的一个或多个：PDCP层，RLC层和MAC层。其实施方式可以参考图2所示的实施例中关于在PDCP层，RLC层和MAC层对无线承载配置安全配置消息的实施方式。

本实施例中，在管理实体处更容易针对安全配置参数与业务特征做针对性匹配，从而通过管理实体发送的第二安全配置消息，可以使用终端设备在对无线承载配置的安全配置参数精度更高。

请参阅图8，图8是本发明实施例提供的另一种基站的结构示意图，如图8所示，包括：处理器81、接收器82、发送器83和存储器84，另外，在本发明实施例中，图5所示实施例中的收发单元52可以由接收器82和发送器83实现，处理单元51可以由处理器81实现，另外，处理器81可以实现图5所示的实施例中处理单元51的功能。另外，存储器84可以用于存储基站出厂时预装的程序/代码，也可以存储用于处理器81执行时的代码等。处理器81执行存储器84中存储的程序用于实现以下方法：

获取第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；

向所述终端设备发送所述第一安全配置消息。

可选的，所述第一安全配置消息可以包括第一承载列表，其中：

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。

可选的，所述安全配置参数可以包括以下参数中的一个或多个：完整性保护参数和加密参数。

可选的，处理器81执行的获取第一安全配置消息的步骤，可以包括：

接收管理实体发送的第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数；

根据所述第二安全配置消息及所述终端设备的上下文生成所述第一安全配置消息。

可选的，所述基站可以为所述终端设备的当前服务基站，处理器81执行的获取第一安全配置消息的步骤，可以包括：

当所述终端设备需要切换到目标基站时，接收所述目标基站发送的所述第一安全配置消息。

可选的，所述N个无线承载可以建立在以下协议层中的一个或多个：PDCP层，RLC层和MAC层。

需要说明的是，本实施例中提供的基站可以图1-图7所示的实施例中的基站，图1-图7所示的实施例中提供基站的任意实施方式都可以被本实施例中提供的基站所实现。

本实施例中，由于可以实现为终端设备的承载单独配置安全配置参数，从而可以提高安全配置的适用性，节省通信资源。

请参阅图9，图9是本发明实施例提供的另一种终端设备的结构示意图，如图9所示，包括：处理器91、接收器92、发送器93和存储器94，另外，在本发明实施例中，图6所示实施例中的收发单元61可以由接收器92和发送器93实现，处理单元62可以由处理器91实现，另外，处理器91可以实现图6所示的实施例中处理单元62的功能。另外，存储器94可以用于存储终端设出厂时预装的程序/代码，也可以存储用于处理器91执行时的代码等。处理器91执行存储器94中存储的程序用于实现以下方法：

接收基站发送的第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；

使用所述第一安全配置消息对所述M个无线承载配置安全配置参数。

可选的，所述第一安全配置消息可以包括第一承载列表，其中：

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。

可选的，所述安全配置参数可以包括以下参数中的一个或多个：完整性保护参数和加密参数。

可选的，处理器91执行的步骤还可以包括：

向管理实体上报安全能力信息，其中，所述第一安全配置消息是所述基站根据第二安全配置消息及所述终端设备的上下文生成的，所述第二安全配置消息是所述基站接收所述管理实体发送的，且为所述管理实体基于所述安全能力信息生成用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数。

可选的，所述处理器91执行的使用所述第一安全配置消息对所述M个无线承载配置安全配置参数的步骤，可以包括：

在PDCP层、RLC层或者MAC层对所述M个无线承载进行配置安全配置参数。

需要说明的是，本实施例中提供的终端设备可以图1-图7所示的实施例中的终端设备，图1-图7所示的实施例中提供终端设备的任意实施方式都可以被本实施例中提供的终端设备所实现。

本实施例中，由于可以实现为终端设备的承载单独配置安全配置参数，从而可以提高安全配置的适用性，节省通信资源。

请参阅图10，图10是本发明实施例提供的另一种管理实体的结构示意图，如图10所示，包括：处理器101、接收器102、发送器103和存储器104，另外，在本发明实施例中，图7所示实施例中的收发单元71可以由接收器102和发送器103实现，处理单元72可以由处理器101实现，另外，处理器101可以实现图7所示的实施例中处理单元72的功能。另外，存储器104可以用 于存储基站出厂时预装的程序/代码，也可以存储用于处理器81执行时的代码等。处理器101执行存储器104中存储的程序用于实现以下方法：

向基站发送第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，以及用于使所述基站基于所述第二安全配置消息及终端设备的上下文生成所述第一安全配置消息，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N，L为大于等于N的正整数，K为大于等于M的整数。

可选的，所述处理器101执行的程序还可以包括：

接收所述终端设备上报的安全能力信息，并基于所述安全能力信息生成所述第二安全配置消息；或者

根据信道质量或者所述终端设备的业务参数生成所述第二安全配置消息。

可选的，所述第二安全配置消息包括第二承载列表，其中：

所述第二承载列表包括L个无线承载的承载标识和指示信息，以及其中需要配置的K个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

所述第二承载列表包括所述L个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，该第二安全配置消息指示的为所述K个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

所述第二承载列表包括所述L个无线承载的承载标识和所述K个无线承载中每个承载的安全配置参数。

可选的，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。

可选的，所述L个无线承载建立在以下协议层中的一个或多个：PDCP层，RLC层和MAC层。

需要说明的是，本实施例中提供的基站可以图1-图7所示的实施例中的管 理实体，图1-图7所示的实施例中提供管理实体的任意实施方式都可以被本实施例中提供的基站所实现。

本实施例中，在管理实体处更容易针对安全配置参数与业务特征做针对性匹配，从而通过管理实体发送的第二安全配置消息，可以使用终端设备在对无线承载配置的安全配置参数精度更高。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存取存储器(Random Access Memory，简称RAM)等。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims (48)

1. 一种为无线承载进行安全配置方法，其特征在于，包括：

   基站获取第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；

   所述基站向所述终端设备发送所述第一安全配置消息。
2. 如权利要求1所述的方法，其特征在于，所述第一安全配置消息包括第一承载列表，其中：

   所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

   所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

   所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。
3. 如权利要求1或2所述的方法，其特征在于，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。
4. 根据权利要求1-3中任一项所述的方法，其特征在于，所述基站获取第一安全配置消息，包括：

   所述基站接收管理实体发送的第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数， 其中，L为大于等于N的正整数，K为大于等于M的整数；

   所述基站根据所述第二安全配置消息及所述终端设备的上下文生成所述第一安全配置消息。
5. 根据权利要求1-3中任一项所述的方法，其特征在于，所述基站为所述终端设备的当前服务基站，所述基站获取第一安全配置消息，包括：

   当所述终端设备需要切换到目标基站时，所述基站接收所述目标基站发送的所述第一安全配置消息。
6. 如权利要求1-5中任一项所述的方法，其特征在于，所述N个无线承载建立在以下协议层中的一个或多个：分组数据汇聚协议PDCP层，无线链路控制RLC层和媒体访问控制MAC层。
7. 一种为无线承载进行安全配置方法，其特征在于，包括：

   终端设备接收基站发送的第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；

   所述终端设备使用所述第一安全配置消息对所述M个无线承载配置安全配置参数。
8. 如权利要求7所述的方法，其特征在于，所述第一安全配置消息包括第一承载列表，其中：

   所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

   所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终 端设备预先获取的默认安全配置参数；或者

   所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。
9. 如权利要求7或8所述的方法，其特征在于，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。
10. 如权利要求7-9中任一项所述的方法，其特征在于，所述方法还包括：

    所述终端设备向管理实体上报安全能力信息，其中，所述第一安全配置消息是所述基站根据第二安全配置消息及所述终端设备的上下文生成的，所述第二安全配置消息是所述基站接收所述管理实体发送的，且为所述管理实体基于所述安全能力信息生成用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数。
11. 如权利要求7-10中任一项所述的方法，其特征在于，所述终端设备使用所述第一安全配置消息对所述M个无线承载配置安全配置参数，包括：

    所述终端设备在PDCP层、RLC层或者MAC层对所述M个无线承载进行配置安全配置参数。
12. 一种为无线承载进行安全配置方法，其特征在于，包括：

    管理实体向基站发送第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，以及用于使所述基站基于所述第二安全配置消息及终端设备的上下文生成所述第一安全配置消息，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N，L为大于等于N的正整数，K为大于等于M的整数。
13. 如权利要求12所述的方法，其特征在于，所述方法还包括：

    所述管理实体接收所述终端设备上报的安全能力信息，并基于所述安全能力信息生成所述第二安全配置消息；或者

    所述管理实体根据信道质量或者所述终端设备的业务参数生成所述第二安全配置消息。
14. 如权利要求12或13所述的方法，其特征在于，所述第二安全配置消息包括第二承载列表，其中：

    所述第二承载列表包括L个无线承载的承载标识和指示信息，以及其中需要配置的K个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

    所述第二承载列表包括所述L个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，该第二安全配置消息指示的为所述K个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

    所述第二承载列表包括所述L个无线承载的承载标识和所述K个无线承载中每个承载的安全配置参数。
15. 如权利要求12-14中任一项所述的方法，其特征在于，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。
16. 如权利要求12-15中任一项所述的方法，其特征在于，所述L个无线承载建立在以下协议层中的一个或多个：PDCP层，RLC层和MAC层。
17. 一种基站，其特征在于，包括：处理单元和收发单元，其中：

    所述处理单元，用于获取第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参 数，其中，N为正整数，M为整数，且M≤N；

    所述收发单元，用于向所述终端设备发送所述第一安全配置消息。
18. 如权利要求17所述的基站，其特征在于，所述第一安全配置消息包括第一承载列表，其中：

    所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

    所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

    所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。
19. 如权利要求17或18所述的基站，其特征在于，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。
20. 根据权利要求17-19中任一项所述的基站，其特征在于，所述收发单元还用于接收管理实体发送的第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数；

    所述处理单元，用于根据所述第二安全配置消息及所述终端设备的上下文生成所述第一安全配置消息。
21. 根据权利要求17-19中任一项所述的基站，其特征在于，所述基站为所述终端设备的当前服务基站，所述处理单元用于当所述终端设备需要切换到目标基站时，通过所述收发单元接收所述目标基站发送的所述第一安全配置消 息。
22. 如权利要求17-21中任一项所述的基站，其特征在于，所述N个无线承载建立在以下协议层中的一个或多个中：PDCP层，RLC层和MAC层。
23. 一种终端设备，其特征在于，包括：收发单元和处理单元，其中：

    所述收发单元，用于接收基站发送的第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；

    所述处理单元，用于使用所述第一安全配置消息对所述M个无线承载配置安全配置参数。
24. 如权利要求23所述的终端设备，其特征在于，所述第一安全配置消息包括第一承载列表，其中：

    所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

    所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

    所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。
25. 如权利要求23或24所述的终端设备，其特征在于，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。
26. 如权利要求23-25中任一项所述的终端设备，其特征在于，所述收发 单元还用于向管理实体上报安全能力信息，其中，所述第一安全配置消息是所述基站根据第二安全配置消息及所述终端设备的上下文生成的，所述第二安全配置消息是所述基站接收所述管理实体发送的，且为所述管理实体基于所述安全能力信息生成用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数。
27. 如权利要求23-26中任一项所述的终端设备，其特征在于，所述处理单元用于在PDCP层、RLC层或者MAC层对所述M个无线承载进行配置安全配置参数。
28. 一种管理实体，其特征在于，包括：收发单元，其中：

    所述收发单元，用于向基站发送第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，以及用于使所述基站基于所述第二安全配置消息及终端设备的上下文生成所述第一安全配置消息，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N，L为大于等于N的正整数，K为大于等于M的整数。
29. 如权利要求28所述的管理实体，其特征在于，所述管理实体还包括：

    处理单元，用于根据信道质量或者所述终端设备的业务参数生成所述第二安全配置消息；

    或者，所述收发单元还用于接收所述终端设备上报的安全能力信息；且所述管理实体还包括：

    处理单元，用于基于所述安全能力信息生成所述第二安全配置消息。
30. 如权利要求28或29所述的管理实体，其特征在于，所述第二安全配 置消息包括第二承载列表，其中：

    所述第二承载列表包括L个无线承载的承载标识和指示信息，以及其中需要配置的K个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

    所述第二承载列表包括所述L个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，该第二安全配置消息指示的为所述K个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

    所述第二承载列表包括所述L个无线承载的承载标识和所述K个无线承载中每个承载的安全配置参数。
31. 如权利要求28-30中任一项所述的管理实体，其特征在于，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。
32. 如权利要求28-31中任一项所述的管理实体，其特征在于，所述L个无线承载建立在以下协议层中的一个或多个：PDCP层，RLC层和MAC层。
33. 一种基站，其特征在于，包括：处理器、接收器、发送器和存储器，其中，所述处理器执行所述存储器中存储的程序用于实现以下方法：

    获取第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；

    向所述终端设备发送所述第一安全配置消息。
34. 如权利要求33所述的基站，其特征在于，所述第一安全配置消息包括第一承载列表，其中：

    所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载 是否需要被配置安全配置参数；或者

    所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

    所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。
35. 如权利要求33或34所述的基站，其特征在于，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。
36. 根据权利要求33-35中任一项所述的基站，其特征在于，所述处理器执行的获取第一安全配置消息的步骤，包括：

    接收管理实体发送的第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数；

    根据所述第二安全配置消息及所述终端设备的上下文生成所述第一安全配置消息。
37. 根据权利要求33-36中任一项所述的基站，其特征在于，所述基站为所述终端设备的当前服务基站，所述处理器执行的获取第一安全配置消息的步骤，包括：

    当所述终端设备需要切换到目标基站时，接收所述目标基站发送的所述第一安全配置消息。
38. 如权利要求33-37中任一项所述的基站，其特征在于，所述N个无线承载建立在以下协议层中的一个或多个：PDCP层，RLC层和MAC层。
39. 一种终端设备，其特征在于，处理器、接收器、发送器和存储器，其中，所述处理器执行所述存储器中存储的程序用于实现以下方法：

    接收基站发送的第一安全配置消息，其中，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N；

    使用所述第一安全配置消息对所述M个无线承载配置安全配置参数。
40. 如权利要求39所述的终端设备，其特征在于，所述第一安全配置消息包括第一承载列表，其中：

    所述第一承载列表包括所述N个无线承载的承载标识和指示信息，以及所述M个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

    所述第一承载列表包括所述N个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，所述第一安全配置消息指示的为所述M个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

    所述第一承载列表包括所述M个无线承载的承载标识和所述M个无线承载中每个承载的安全配置参数。
41. 如权利要求39或40所述的终端设备，其特征在于，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。
42. 如权利要求39-41中任一项所述的终端设备，其特征在于，所述处理器执行的步骤还包括：

    向管理实体上报安全能力信息，其中，所述第一安全配置消息是所述基站根据第二安全配置消息及所述终端设备的上下文生成的，所述第二安全配置消息是所述基站接收所述管理实体发送的，且为所述管理实体基于所述安全能力信息生成用于指示所述管理实体对应的L个无线承载中的每个无线承载是否 需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，其中，L为大于等于N的正整数，K为大于等于M的整数。
43. 如权利要求39-42中任一项所述的终端设备，其特征在于，所述处理器执行的使用所述第一安全配置消息对所述M个无线承载配置安全配置参数的步骤，包括：

    在PDCP层、RLC层或者MAC层对所述M个无线承载进行配置安全配置参数。
44. 一种管理实体，其特征在于，包括：处理器、接收器、发送器和存储器，其中，所述处理器执行所述存储器中存储的程序用于实现以下方法：

    向基站发送第二安全配置消息，其中，所述第二安全配置消用于指示所述管理实体对应的L个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的K个无线承载指示安全配置参数，以及用于使所述基站基于所述第二安全配置消息及终端设备的上下文生成所述第一安全配置消息，所述第一安全配置消息用于指示所述基站与所述终端设备建立的N个无线承载中的每个无线承载是否需要进行安全配置，并为需要进行安全配置的M个无线承载指示安全配置参数，其中，N为正整数，M为整数，且M≤N，L为大于等于N的正整数，K为大于等于M的整数。
45. 如权利要求44所述的管理实体，其特征在于，所述处理器执行的程序还包括：

    接收所述终端设备上报的安全能力信息，并基于所述安全能力信息生成所述第二安全配置消息；或者

    根据信道质量或者所述终端设备的业务参数生成所述第二安全配置消息。
46. 如权利要求44或45所述的管理实体，其特征在于，所述第二安全配置消息包括第二承载列表，其中：

    所述第二承载列表包括L个无线承载的承载标识和指示信息，以及其中需 要配置的K个无线承载的安全配置参数，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数；或者

    所述第二承载列表包括所述L个无线承载的承载标识和指示信息，所述指示信息用于指示对应的无线承载是否需要被配置安全配置参数，其中，该第二安全配置消息指示的为所述K个无线承载配置的安全配置参数为所述终端设备预先获取的默认安全配置参数；或者

    所述第二承载列表包括所述L个无线承载的承载标识和所述K个无线承载中每个承载的安全配置参数。
47. 如权利要求44-46中任一项所述的管理实体，其特征在于，所述安全配置参数包括以下参数中的一个或多个：完整性保护参数和加密参数。
48. 如权利要求44-47中任一项所述的管理实体，其特征在于，所述L个无线承载建立在以下协议层中的一个或多个：PDCP层，RLC层和MAC层。