本發(fā)明涉及通信領(lǐng)域，尤其涉及一種建立安全上下文的方法、裝置及系統(tǒng)。

背景技術(shù)：
長期演進(jìn)Hi架構(gòu)(LongTermEvolutionHi，LTEHi)是為面向固定、低速場景而設(shè)計的一套依托于現(xiàn)有移動通信技術(shù)的網(wǎng)絡(luò)架構(gòu)。在LTEHi架構(gòu)中，用戶設(shè)備(UserEquipment，UE)初始與基站建立主載波小區(qū)連接(PrimaryCarrierCell，PCC)，連接到核心網(wǎng)。當(dāng)網(wǎng)絡(luò)流量負(fù)荷增大到運(yùn)營商設(shè)置的限值時，基站通過高層信令為UE配置次載波小區(qū)連接(SecondaryCarrierCell，SCC)，UE通過接入節(jié)點(diǎn)連接到核心網(wǎng)。PPC上可以傳輸用戶面數(shù)據(jù)和控制面數(shù)據(jù)，而SCC上只能傳輸用戶面數(shù)據(jù)?；究梢愿鶕?jù)服務(wù)質(zhì)量(QualityofService，QoS)需求、運(yùn)營商策略等將不同的UE業(yè)務(wù)分層進(jìn)行傳輸。例如將對服務(wù)質(zhì)量要求較高的語音或視頻業(yè)務(wù)放在PCC上傳輸，將短信等低附加值業(yè)務(wù)放在SCC上傳輸。對于PCC上的Uu口，通過加密和完整性保護(hù)的方式對Uu口上傳輸?shù)挠脩裘鏀?shù)據(jù)和/或控制面數(shù)據(jù)進(jìn)行上下文的安全性保護(hù)。雖然PCC上的Uu口存在安全性保護(hù)，但SCC上的Uu’口沒有安全性保護(hù)，無法保證在Uu’口上傳輸?shù)挠脩裘鏀?shù)據(jù)的傳輸安全。

技術(shù)實現(xiàn)要素：
本發(fā)明的實施例提供一種建立安全上下文的方法、裝置及系統(tǒng)，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。一方面，本發(fā)明實施例提供了一種建立安全上下文的方法，包括：獲取接入節(jié)點(diǎn)的加密算法；獲取根密鑰，根據(jù)所述根密鑰和所述加密算法推演所述接入節(jié)點(diǎn)的加密密鑰；將所述加密密鑰以及所述加密算法發(fā)送給所述接入節(jié)點(diǎn)，以便所述接入節(jié)點(diǎn)啟動下行加密和上行解密；將所述接入節(jié)點(diǎn)的加密算法發(fā)送給所述UE，以便與所述UE協(xié)商加密算法；通知所述接入節(jié)點(diǎn)啟動下行加密和上行解密，并在算法協(xié)商過程中通知所述UE啟動下行解密和上行加密。另一方面，本發(fā)明實施例還提供了一種建立安全上下文的方法，包括：接收基站發(fā)送的加密密鑰；獲取加密算法；根據(jù)所述加密密鑰和所述加密算法啟動下行加密和上行解密。另一方面，本發(fā)明實施例還提供了一種建立安全上下文的方法，包括：將根密鑰發(fā)送給所述接入節(jié)點(diǎn)，所述根密鑰用于所述接入節(jié)點(diǎn)推演所述接入節(jié)點(diǎn)使用的加密密鑰；獲取所述接入節(jié)點(diǎn)使用的加密算法，所述加密算法為所述接入節(jié)點(diǎn)根據(jù)自身的安全能力、安全策略以及所述UE的安全能力選擇的加密算法；將所述接入節(jié)點(diǎn)的加密算法發(fā)送給所述UE，以便與所述UE協(xié)商加密算法；通知所述接入節(jié)點(diǎn)啟動下行加密和上行解密，并在算法協(xié)商過程中通知所述UE啟動下行解密和上行加密。另一方面，本發(fā)明實施例還提供了一種建立安全上下文的方法，包括：接收所述基站發(fā)送的根密鑰；根據(jù)自身的安全能力、安全策略以及所述UE的安全能力選擇加密算法；根據(jù)所述根密鑰以及所述加密算法推演加密密鑰；將所述加密算法發(fā)送給所述基站，以便所述基站與所述UE協(xié)商加密算法；根據(jù)所述基站的啟動指示啟動下行加密和上行解密。另一方面，本發(fā)明實施例還提供了一種建立安全上下文的方法，包括：接收基站發(fā)送的接入節(jié)點(diǎn)的加密算法，由此完成與所述基站的算法協(xié)商；根據(jù)根密鑰以及所述加密算法推演所述UE的加密密鑰，所述根密鑰為所述UE與網(wǎng)絡(luò)認(rèn)證后推演得出的；在推演出所述UE的加密密鑰以后，啟動下行解密以及上行加密。另一方面，本發(fā)明實施例還提供了一種基站，包括：獲取器，用于獲取接入節(jié)點(diǎn)的加密算法；所述獲取器用于獲取根密鑰；處理器，與所述獲取器相連，用于根據(jù)所述獲取器獲取的所述根密鑰和所述加密算法推演所述接入節(jié)點(diǎn)的加密密鑰；發(fā)送器，與所述處理器和所述獲取器相連，用于將所述處理器推演的加密密鑰以及所述獲取器獲取的所述加密算法發(fā)送給所述接入節(jié)點(diǎn)，以便所述接入節(jié)點(diǎn)啟動下行加密和上行解密；所述發(fā)送器用于將所述獲取器獲取的加密算法發(fā)送給所述UE，以便與所述UE協(xié)商加密算法；通知器，用于通知所述接入節(jié)點(diǎn)啟動下行加密和上行解密，并在算法協(xié)商過程中通知所述UE啟動下行解密和上行加密。另一方面，本發(fā)明實施例還提供了一種接入節(jié)點(diǎn)，包括：接收器，用于接收基站發(fā)送的加密密鑰；獲取器，用于獲取加密算法；處理器，與所述接收器和所述獲取器相連，用于根據(jù)所述接收器接收的所述加密密鑰和所述獲取器獲取的加密算法啟動下行加密和上行解密。另一方面，本發(fā)明實施例還提供了一種基站，包括：發(fā)送器，用于將根密鑰發(fā)送給所述接入節(jié)點(diǎn)，所述根密鑰用于所述接入節(jié)點(diǎn)推演所述接入節(jié)點(diǎn)使用的加密密鑰；獲取器，用于獲取所述接入節(jié)點(diǎn)使用的加密算法，所述加密算法為所述接入節(jié)點(diǎn)根據(jù)自身的安全能力、安全策略以及所述UE的安全能力選擇的加密算法；所述發(fā)送器與所述獲取器相連，用于將所述獲取器獲取的加密算法發(fā)送給所述UE，以便與所述UE協(xié)商加密算法；通知器，用于通知所述接入節(jié)點(diǎn)啟動下行加密和上行解密，并在算法協(xié)商過程中通知所述UE啟動下行解密和上行加密。另一方面，本發(fā)明實施例還提供了一種接入節(jié)點(diǎn)，包括：接收器，用于接收所述基站發(fā)送的根密鑰；處理器，用于根據(jù)自身的安全能力、安全策略以及所述UE的安全能力選擇加密算法；所述處理器與所述接收器相連，用于根據(jù)所述接收器接收的所述根密鑰以及所述加密算法推演加密密鑰；發(fā)送器，與所述處理器相連用于將所述處理器選擇的所述加密算法發(fā)送給所述基站，以便所述基站與所述UE協(xié)商加密算法；所述處理器用于根據(jù)所述基站的啟動指示啟動下行加密和上行解密。另一方面，本發(fā)明實施例還提供了一種用戶設(shè)備UE，包括：接收器，用于接收基站發(fā)送的接入節(jié)點(diǎn)的加密算法，由此完成與所述基站的算法協(xié)商；處理器，與所述接收器相連，用于根據(jù)根密鑰以及所述接收器接收的所述加密算法推演所述UE的加密密鑰，所述根密鑰為所述處理器與網(wǎng)絡(luò)認(rèn)證后推演得出的；所述處理器還用于在推演出所述UE的加密密鑰以后，啟動下行解密以及上行加密。另一方面，本發(fā)明實施例還提供了一種建立安全上下文的系統(tǒng)，包括：基站，用于獲取接入節(jié)點(diǎn)的加密算法，獲取根密鑰，根據(jù)所述根密鑰和所述加密算法推演所述接入節(jié)點(diǎn)的加密密鑰，將所述加密密鑰以及所述加密算法發(fā)送給所述接入節(jié)點(diǎn)，以便所述接入節(jié)點(diǎn)啟動下行加密和上行解密，將所述接入節(jié)點(diǎn)的加密算法發(fā)送給所述UE，以便與所述UE協(xié)商加密算法，通知所述接入節(jié)點(diǎn)啟動下行加密和上行解密，并在算法協(xié)商過程中通知所述UE啟動下行解密和上行加密；接入節(jié)點(diǎn)，用于接收所述基站發(fā)送的加密密鑰，獲取加密算法，根據(jù)所述加密密鑰和加密算法啟動下行加密和上行解密；UE，用于接收基站發(fā)送的接入節(jié)點(diǎn)的加密算法，由此完成與所述基站的算法協(xié)商，根據(jù)根密鑰以及所述加密算法推演所述UE的加密密鑰，所述根密鑰為所述UE與網(wǎng)絡(luò)認(rèn)證后推演得出的，在推演出所述UE的加密密鑰以后，啟動下行解密以及上行加密。另一方面，本發(fā)明實施例還提供了一種建立安全上下文的系統(tǒng)，包括：基站，用于將根密鑰發(fā)送給所述接入節(jié)點(diǎn)，所述根密鑰用于所述接入節(jié)點(diǎn)推演所述接入節(jié)點(diǎn)使用的加密密鑰，獲取所述接入節(jié)點(diǎn)使用的加密算法，所述加密算法為所述接入節(jié)點(diǎn)根據(jù)自身的安全能力、安全策略以及所述UE的安全能力選擇的加密算法，將所述接入節(jié)點(diǎn)的加密算法發(fā)送給所述UE，以便與所述UE協(xié)商加密算法，通知所述接入節(jié)點(diǎn)啟動下行加密和上行解密，并在算法協(xié)商過程中通知所述UE啟動下行解密和上行加密；接入節(jié)點(diǎn)，用于接收所述基站發(fā)送的根密鑰，根據(jù)自身的安全能力、安全策略以及所述UE的安全能力選擇加密算法，根據(jù)所述根密鑰以及所述加密算法推演加密密鑰，將所述加密算法發(fā)送給所述基站，以便所述基站與所述UE協(xié)商加密算法，根據(jù)所述基站的啟動指示啟動下行加密和上行解密；UE，用于接收基站發(fā)送的接入節(jié)點(diǎn)的加密算法，由此完成與所述基站的算法協(xié)商，根據(jù)根密鑰以及所述加密算法推演所述UE的加密密鑰，所述根密鑰為所述UE與網(wǎng)絡(luò)認(rèn)證后推演得出的，在推演出所述UE的加密密鑰以后，啟動下行解密以及上行加密。本發(fā)明實施例提供的建立安全上下文的方法、裝置及系統(tǒng)，能夠為接入節(jié)點(diǎn)和UE選擇加密算法，并且根據(jù)根密鑰以及選擇的加密算法在接入節(jié)點(diǎn)和UE兩側(cè)推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上傳輸?shù)挠脩裘鏀?shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明實施例一中建立安全上下文的方法的流程圖；圖2為本發(fā)明實施例二中建立安全上下文的方法的流程圖；圖3為本發(fā)明實施例三中建立安全上下文的方法的流程圖；圖4為本發(fā)明實施例四中建立安全上下文的方法的流程圖；圖5為本發(fā)明實施例五中建立安全上下文的方法的流程圖；圖6為本發(fā)明實施例六中建立安全上下文的方法的流程圖；圖7為本發(fā)明實施例七中建立安全上下文的方法的流程圖；圖8為本發(fā)明實施例八中建立安全上下文的方法的流程圖；圖9為本發(fā)明實施例九中建立安全上下文的方法的流程圖；圖10為本發(fā)明實施例十中基站的結(jié)構(gòu)示意圖；圖11為本發(fā)明實施例十中基站的結(jié)構(gòu)示意圖；圖12為本發(fā)明實施例十中基站的結(jié)構(gòu)示意圖；圖13為本發(fā)明實施例十一中HiAP的結(jié)構(gòu)示意圖；圖14為本發(fā)明實施例十一中HiAP的結(jié)構(gòu)示意圖；圖15為本發(fā)明實施例十一中HiAP的結(jié)構(gòu)示意圖；圖16為本發(fā)明實施例十二中基站的結(jié)構(gòu)示意圖；圖17為本發(fā)明實施例十三中HiAP的結(jié)構(gòu)示意圖；圖18為本發(fā)明實施例十四中UE的結(jié)構(gòu)示意圖。具體實施方式下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護(hù)的范圍。本發(fā)明實施例中以HiAP(HiAccessPoint)作為接入節(jié)點(diǎn)為例進(jìn)行說明，UE通過Uu口經(jīng)由基站連接到核心網(wǎng)，并通過Uu’口經(jīng)由HiAP連接到核心網(wǎng)，實際應(yīng)用中對可使用的接入節(jié)點(diǎn)不作限制。實施例一本發(fā)明實施例提供了一種建立安全上下文的方法，如圖1所示，所述方法包括如下步驟：101、基站獲取HiAP的加密算法。所述加密算法用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。本發(fā)明實施例中以高級加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard，AES)算法作為所述加密算法為例進(jìn)行說明，實際應(yīng)用中對此不作限制。102、基站獲取根密鑰。所述根密鑰用于推演加密密鑰。103、基站根據(jù)根密鑰和加密算法推演HiAP的加密密鑰。在HiAP和UE兩端都需要進(jìn)行加密密鑰的推演，本步驟為推演HiAP加密密鑰的描述，UE側(cè)的加密密鑰由UE自主進(jìn)行推演。需要說明的是，本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰在認(rèn)證后由MME下發(fā)給基站，UE側(cè)的根密鑰由UE卡中保存的永久密鑰推演得出的。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同。104、基站將加密密鑰和加密算法發(fā)送給HiAP。由于為HiAP選擇加密算法和推演加密密鑰是有基站完成的，而加密算法和加密密鑰的主體為HiAP，所以基站將加密密鑰和加密算法發(fā)送給HiAP，以便HiAP啟動下行加密和上行解密。105、基站將加密算法發(fā)送給UE，完成與UE的算法協(xié)商。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中將加密算法發(fā)送給UE的目的在于，在UE得到根密鑰后，使UE再獲得加密算法，以便UE能夠推演加密密鑰。106、基站通知HiAP啟動下行加密和上行解密，并在算法協(xié)商過程中通知UE啟動下行解密和上行加密。UE在接收到基站發(fā)送的加密算法后，根據(jù)該加密算法以及UE卡中的根密鑰推演加密密鑰。基站通知HiAP和UE啟動解密和加密后，HiAP和UE就可以根據(jù)相同的加密算法以及加密密鑰對上行數(shù)據(jù)和下行數(shù)據(jù)進(jìn)行加密。本發(fā)明實施例提供的建立安全上下文的方法，能夠獲取HiAP的加密算法，并且根據(jù)根密鑰以及獲取的加密算法為HiAP推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。實施例二本發(fā)明實施例提供了一種建立安全上下文的方法，所述方法是對實施例一的進(jìn)一步擴(kuò)展，如圖2所示，所述方法包括如下步驟：201、基站獲取HiAP的加密算法。所述加密算法用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。本發(fā)明實施例中以AES算法作為所述加密算法為例進(jìn)行說明，實際應(yīng)用中對此不作限制?；究梢灾辽偻ㄟ^兩種方式獲取加密算法：1)基站接收HiAP選擇的AES算法，所述AES算法為HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇的優(yōu)先級最高的加密算法?；驹诮邮誋iAP選擇的AES算法之前，需要將UE的安全能力發(fā)送給HiAP，以便HiAP選擇加密算法。2)基站接收HiAP的安全能力以及安全策略，根據(jù)HiAP的安全能力、安全策略以及UE的安全能力為HiAP選擇優(yōu)先級最高的加密算法。202、推演HiAP的加密密鑰。202、基站獲取根密鑰。所述根密鑰用于推演加密密鑰。203、基站根據(jù)根密鑰和加密算法推演HiAP的加密密鑰。在HiAP和UE兩端都需要進(jìn)行加密密鑰的推演，本步驟為推演HiAP加密密鑰的描述，UE側(cè)的加密密鑰由UE自主進(jìn)行推演。需要說明的是，本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰在認(rèn)證后由MME下發(fā)給基站，UE側(cè)的根密鑰由UE卡中保存的永久密鑰推演得出的。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同?；靖鶕?jù)根密鑰以及AES算法推演加密密鑰。所述根密鑰為根據(jù)UE和網(wǎng)絡(luò)側(cè)共享的永久密鑰所推演出來的根密鑰，本實施例中根根密鑰可以是KeNB，實際應(yīng)用中對此不作限制?；靖鶕?jù)KeNB推演出加密密鑰Kupenc，并將Kupenc發(fā)送給HiAP。所述Kupenc用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。204、基站將加密密鑰和加密算法發(fā)送給HiAP。由于為HiAP選擇加密算法和推演加密密鑰是由基站完成的，而加密算法和加密密鑰的使用主體為HiAP，所以基站將加密密鑰和加密算法發(fā)送給HiAP，以便HiAP啟動下行加密和上行解密。205、將加密算法發(fā)送給UE，完成與UE的算法協(xié)商?；鞠騏E發(fā)送安全模式命令(SecurityModeCommand，SMC)，所述SMC中攜帶AES算法。UE接收到基站發(fā)送的AES算法后，完成算法協(xié)商，并根據(jù)該AES算法和UE與網(wǎng)絡(luò)認(rèn)證的KeNB推演Kupenc。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中將加密算法發(fā)送給UE的目的在于，在UE得到根密鑰后，使UE再獲得加密算法，以便UE能夠推演加密密鑰。需要說明的是，本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰由核心網(wǎng)發(fā)送下來，UE側(cè)的根密鑰由UE與網(wǎng)絡(luò)認(rèn)證后根據(jù)永久密鑰在本地推演而來。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同?？蛇x的，HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰也可以是根據(jù)KeNB推演出來的KeNB*。KeNB除了用于為Uu’口上的用戶面數(shù)據(jù)推演加密密鑰以外，還用于為Uu口上的用戶面數(shù)據(jù)推演加密密鑰Kupenc以及為Uu口上的控制面數(shù)據(jù)推演完整性保護(hù)密鑰Krrcint和加密密鑰Krrcenc。當(dāng)Uu’口使用KeNB*推演根密鑰時，推演出的Kupenc*與為Uu口推演出的Kupenc不同。206、基站接收UE發(fā)送的SMP信令。UE向基站發(fā)送安全模式完成命令(CecurityModeComplete，SMP)，所述SMP用于告知基站，UE已經(jīng)根據(jù)加密算法和根密鑰完成加密密鑰的推演。207、基站通知HiAP啟動下行加密和上行解密，并在算法協(xié)商過程中通知UE啟動下行解密和上行加密。在HiAP和UE兩側(cè)都推演出加密密鑰后，當(dāng)HiAP啟動下行加密和上行解密時，基站通知UE啟動下行解密和上行加密。由于HiAP是下行數(shù)據(jù)的發(fā)送方和上行數(shù)據(jù)的接收方，所以HiAP啟動下行加密和上行解密。同樣，由于UE是下行數(shù)據(jù)的接收方和上行數(shù)據(jù)的發(fā)送方，所以UE啟動下行解密和上行加密。優(yōu)選的，在為Uu’口建立安全上下文之前，還可以為Uu口建立安全上下文，具體的：基站為Uu口選擇加密算法，本發(fā)明實施例中以控制面數(shù)據(jù)的完保算法、控制面數(shù)據(jù)的加密算法以及用戶面數(shù)據(jù)的加密算法都為AES算法為例進(jìn)行說明，實際應(yīng)用中三者可以兩兩不同。選擇完加密算法后，基站根據(jù)根密鑰和AES算法為Uu口推演密鑰，其中，根密鑰可以是KeNB。由于Uu口上傳輸用戶面數(shù)據(jù)和控制面數(shù)據(jù)，所以基站為Uu口推演的密鑰包括：用戶面數(shù)據(jù)的加密密鑰Kupenc、控制面數(shù)據(jù)的完整性保護(hù)密鑰Krrcint以及控制面數(shù)據(jù)的加密密鑰Krrcenc?；緦⑦x擇的AES算法通過SMC發(fā)送給UE，UE根據(jù)AES算法和根密鑰KeNB推演Kupenc、Krrcint以及Krrcenc?？蛇x的，如果基站在為Uu口建立安全上下文的過程中沒有向UE發(fā)送AES算法，也可以在步驟205中將為Uu口選擇的加密算法與為Uu’口選擇的加密算法一同方發(fā)送給UE，以便完成與UE的算法協(xié)商。本發(fā)明實施例提供的建立安全上下文的方法，能夠獲取HiAP和UE的加密算法，并且根據(jù)根密鑰以及獲取的加密算法在基站和UE兩側(cè)推演HiAP和UE使用的加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。此外，本發(fā)明實施例提供的建立安全上下文的方法，還可以在為HiAP推演加密密鑰時，使用與為Uu口推演密鑰不同的根密鑰，例如可以將根據(jù)KeNB推演出的KeNB*作為HiAP推演加密密鑰的根密鑰。在Uu口上傳輸?shù)臄?shù)據(jù)與在Uu’口上傳輸?shù)臄?shù)據(jù)使用不同的根密鑰可以進(jìn)一步加強(qiáng)數(shù)據(jù)的安全性。此外，本發(fā)明實施例提供的建立安全上下文的方法，還能夠在算法協(xié)商階段，由基站同時代表Uu口和Uu’口與UE進(jìn)行算法協(xié)商，減少了信令交互的步驟。實施例三本發(fā)明實施例提供了一種建立安全上下文的方法，如圖3所示，所述方法包括如下步驟：301、HiAP接收基站發(fā)送的加密密鑰。在HiAP和UE兩端都需要進(jìn)行加密密鑰的推演，本步驟為HiAP接收基站推演的加密密鑰的描述，UE側(cè)的加密密鑰由UE自主進(jìn)行推演。需要說明的是，本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以基站側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，基站側(cè)的根密鑰在認(rèn)證后由MME下發(fā)給基站，由基站根據(jù)根密鑰及加密算法為HiAP推演加密密鑰。UE側(cè)的根密鑰由UE卡中保存的永久密鑰推演得出的。由于基站和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以基站和UE兩側(cè)推演出的加密密鑰也相同。302、HiAP獲取加密算法。HiAP獲取加密算法包括兩種方式：1)HiAP獲取基站發(fā)送的加密算法，該加密算法由基站進(jìn)行選擇。2)HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇加密算法。在選擇玩機(jī)密算法后，HiAP還要將選擇的加密算法發(fā)送給基站，以便基站與UE進(jìn)行算法協(xié)商。303、HiAP根據(jù)加密密鑰和加密算法啟動下行加密和上行解密。同時基站將HiAP的加密算法發(fā)送給UE，以便UE根據(jù)加密算法以及UE卡中的根密鑰推演出UE側(cè)的加密密鑰。UE推演出加密密鑰后根據(jù)基站的指示啟動上行加密和下行解密。由于HiAP和UE兩側(cè)使用相同的加密算法和相同的加密密鑰，所以可以對SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。本發(fā)明實施例提供的建立安全上下文的方法，能夠根據(jù)基站發(fā)送的加密算法以及加密密鑰，通過算法協(xié)商、生成加密以及同步啟動啟動下行加密和上行解密的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。實施例四本發(fā)明實施例提供了一種建立安全上下文的方法，所述方法是對實施例三的進(jìn)一步擴(kuò)展，所述方法包括如下步驟：401、HiAP接收基站發(fā)送的加密密鑰。在HiAP和UE兩端都需要進(jìn)行加密密鑰的推演，本步驟為HiAP推演加密密鑰的描述，UE側(cè)的加密密鑰由UE自主進(jìn)行推演?；精@取根密鑰并根據(jù)該根密鑰推演加密密鑰。需要說明的是，本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以基站側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，基站側(cè)的根密鑰在認(rèn)證后由MME下發(fā)給基站，UE側(cè)的根密鑰由UE卡中保存的永久密鑰推演得出的。由于基站和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以基站和UE兩側(cè)推演出的加密密鑰也相同。基站根據(jù)根密鑰以及AES算法推演加密密鑰。所述根密鑰為根據(jù)UE和網(wǎng)絡(luò)側(cè)共享的永久密鑰所推演出來的根密鑰，本實施例中根根密鑰可以是KeNB，實際應(yīng)用中對此不作限制?；靖鶕?jù)KeNB推演出加密密鑰Kupenc，并將Kupenc發(fā)送給HiAP。所述Kupenc用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。HiAP獲取基站發(fā)送的加密密鑰。由于為HiAP選擇加密算法和推演加密密鑰是有基站完成的，而加密算法和加密密鑰的使用主體為HiAP，所以基站將加密密鑰和加密算法發(fā)送給HiAP，以便HiAP啟動下行加密和上行解密。402、HiAP獲取加密算法。所述加密算法用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。本發(fā)明實施例中以AES算法作為所述加密算法為例進(jìn)行說明，實際應(yīng)用中對此不作限制。HiAP可以至少通過兩種方式獲取加密算法：1)HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇的優(yōu)先級最高的加密算法，本發(fā)明實施例以AES算法作為加密算法。HiAP在選擇AES算法之前，還需要獲取基站發(fā)送的UE的安全能力，以便獲取選擇AES算法。HiAP選擇完AES算法后，還需將該AES算法發(fā)送給基站，以便基站根據(jù)AES算法與UE進(jìn)行算法協(xié)商。2)HiAP獲取基站發(fā)送的加密算法，所述加密算法為基站根據(jù)HiAP的安全能力、安全策略以及UE的安全能力選擇的優(yōu)先級最高的加密算法。HiAP在獲取加密算法之前還需將自身的安全能力、安全策略發(fā)送給基站，以便基站選擇加密算法。需要說明的是，當(dāng)由HiAP選擇加密算法時，本步驟應(yīng)在步驟401之前執(zhí)行，以便基站根據(jù)HiAP發(fā)送的加密算法以及根密鑰為HiAP推演并發(fā)送加密密鑰。403、HiAP根據(jù)加密密鑰和加密算法啟動下行加密和上行解密。同時，基站將加密算法發(fā)送給UE，完成與UE的算法協(xié)商。具體的，基站向UE發(fā)送SMC，所述SMC中攜帶AES算法。UE接收到基站發(fā)送的AES算法后，完成算法協(xié)商，并根據(jù)該AES算法和UE與網(wǎng)絡(luò)認(rèn)證的KeNB推演Kupenc。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中將加密算法發(fā)送給UE的目的在于，在UE得到根密鑰后，使UE再獲得加密算法，以便UE能夠推演加密密鑰。需要說明的是，本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以基站側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，基站側(cè)的根密鑰由核心網(wǎng)發(fā)送下來，UE側(cè)的根密鑰由UE與網(wǎng)絡(luò)認(rèn)證后根據(jù)永久密鑰在本地推演而來。由于基站和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同。可選的，基站側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰也可以是根據(jù)KeNB推演出來的KeNB*。KeNB除了用于為Uu’口上的用戶面數(shù)據(jù)推演加密密鑰以外，還用于為Uu口上的用戶面數(shù)據(jù)推演加密密鑰Kupenc以及為Uu口上的控制面數(shù)據(jù)推演完整性保護(hù)密鑰Krrcint和加密密鑰Krrcenc。當(dāng)Uu’口使用KeNB*推演根密鑰時，推演出的Kupenc*與為Uu口推演出的Kupenc不同?；窘邮誙E發(fā)送的SMP，所述SMP用于告知基站，UE已經(jīng)根據(jù)加密算法和根密鑰完成加密密鑰的推演?；驹谒惴▍f(xié)商過程中通知UE啟動下行解密和上行加密。在基站和UE兩側(cè)都推演出加密密鑰后，當(dāng)HiAP啟動下行加密和上行解密時，基站通知UE啟動下行解密和上行加密。由于HiAP是下行數(shù)據(jù)的發(fā)送方和上行數(shù)據(jù)的接收方，所以HiAP啟動下行加密和上行解密。同樣，由于UE是下行數(shù)據(jù)的接收方和上行數(shù)據(jù)的發(fā)送方，所以UE啟動下行解密和上行加密。優(yōu)選的，在為Uu’口建立安全上下文之前，還可以為Uu口建立安全上下文，具體的：基站為Uu口選擇加密算法，本發(fā)明實施例中以控制面數(shù)據(jù)的完保算法、控制面數(shù)據(jù)的加密算法以及用戶面數(shù)據(jù)的加密算法都為AES算法為例進(jìn)行說明，實際應(yīng)用中三者可以兩兩不同。選擇完加密算法后，基站根據(jù)根密鑰和AES算法為Uu口推演密鑰，其中，根密鑰可以是KeNB。由于Uu口上傳輸用戶面數(shù)據(jù)和控制面數(shù)據(jù)，所以基站為Uu口推演的密鑰包括：用戶面數(shù)據(jù)的加密密鑰Kupenc、控制面數(shù)據(jù)的完整性保護(hù)密鑰Krrcint以及控制面數(shù)據(jù)的加密密鑰Krrcenc?；緦⑦x擇的AES算法通過SMC發(fā)送給UE，UE根據(jù)AES算法和根密鑰KeNB推演Kupenc、Krrcint以及Krrcenc。本發(fā)明實施例提供的建立安全上下文的方法，能夠根據(jù)基站發(fā)送的加密算法以及加密密鑰，通過算法協(xié)商、生成加密以及同步啟動啟動下行加密和上行解密的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。實施例五本發(fā)明實施例提供一種建立安全上下文的方法，如圖5所示，所述方法包括如下步驟：501、基站將根密鑰發(fā)送給HiAP。所述根密鑰不限來自于MME，用于HiAP推演HiAP使用的加密密鑰。502、基站獲取HiAP使用的加密算法。所述加密算法為HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇的加密算法。503、基站將HiAP的加密算法發(fā)送給UE，以便與UE協(xié)商加密算法。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中將加密算法發(fā)送給UE的目的在于，在UE得到根密鑰后，使UE再獲得加密算法，以便UE能夠推演加密密鑰。UE根據(jù)基站發(fā)送的加密算法以及UE卡中的根密鑰推演出UE側(cè)的加密密鑰。由于HiAP和UE兩側(cè)使用相同的根密鑰和相同的加密算法，所以兩側(cè)推演的加密密鑰也相同。504、基站通知HiAP啟動下行加密和上行解密，并在算法協(xié)商過程中通知UE啟動下行解密和上行加密。UE在接收到基站發(fā)送的加密算法后，根據(jù)該加密算法以及UE卡中的根密鑰推演加密密鑰?；就ㄖ狧iAP和UE啟動解密和加密后，HiAP和UE就可以根據(jù)相同的加密算法以及加密密鑰對上行數(shù)據(jù)和下行數(shù)據(jù)進(jìn)行加密。本發(fā)明實施例中為HiAP側(cè)選擇加密算法以及為HiAP側(cè)推演加密密鑰的執(zhí)行主體為HiAP。本發(fā)明實施例提供的建立安全上下文的方法，能夠由HiAP選擇加密算法，并且根據(jù)根密鑰以及選擇的加密算法推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。實施例六本發(fā)明實施例提供了一種建立安全上下文的方法，所述方法是對實施例五的進(jìn)一步擴(kuò)展，如圖6所示，所述方法包括如下步驟：601、基站將UE的安全能力發(fā)送給HiAP，以便HiAP選擇加密算法。所述加密算法用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。本發(fā)明實施例中以AES算法作為所述加密算法為例進(jìn)行說明，實際應(yīng)用中對此不作限制。602、基站將根密鑰發(fā)送給HiAP。所述根密鑰不限來自于MME，用于HiAP推演HiAP使用的加密密鑰。本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰在認(rèn)證后由MME下發(fā)給基站，UE側(cè)的根密鑰由UE卡中保存的永久密鑰推演得出的。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同?；靖鶕?jù)根密鑰以及AES算法推演加密密鑰。所述根密鑰為根據(jù)UE和網(wǎng)絡(luò)側(cè)共享的永久密鑰所推演出來的根密鑰，本實施例中根根密鑰可以是KeNB，實際應(yīng)用中對此不作限制?；靖鶕?jù)KeNB推演出加密密鑰Kupenc，并將Kupenc發(fā)送給HiAP。所述Kupenc用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。603、基站獲取HiAP使用的加密算法。所述加密算法為HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇的加密算法。604、基站將HiAP的加密算法發(fā)送給UE，以便與UE協(xié)商加密算法?；鞠騏E發(fā)送SMC，所述SMC中攜帶AES算法。UE接收到基站發(fā)送的AES算法后，完成算法協(xié)商，并根據(jù)該AES算法和UE與網(wǎng)絡(luò)認(rèn)證的KeNB推演Kupenc。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中將加密算法發(fā)送給UE的目的在于，在UE得到根密鑰后，使UE再獲得加密算法，以便UE能夠推演加密密鑰。需要說明的是，本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰由核心網(wǎng)發(fā)送下來，UE側(cè)的根密鑰由UE與網(wǎng)絡(luò)認(rèn)證后根據(jù)永久密鑰在本地推演而來。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同?？蛇x的，HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰也可以是根據(jù)KeNB推演出來的KeNB*。KeNB除了用于為Uu’口上的用戶面數(shù)據(jù)推演加密密鑰以外，還用于為Uu口上的用戶面數(shù)據(jù)推演加密密鑰Kupenc以及為Uu口上的控制面數(shù)據(jù)推演完整性保護(hù)密鑰Krrcint和加密密鑰Krrcenc。當(dāng)Uu’口使用KeNB*推演根密鑰時，推演出的Kupenc*與為Uu口推演出的Kupenc不同。605、基站接收UE發(fā)送的SMP信令。UE向基站發(fā)送SMP，所述SMP用于告知基站，UE已經(jīng)根據(jù)加密算法和根密鑰完成加密密鑰的推演。606、基站通知HiAP啟動下行加密和上行解密，并在算法協(xié)商過程中通知UE啟動下行解密和上行加密。UE在接收到基站發(fā)送的加密算法后，根據(jù)該加密算法以及UE卡中的根密鑰推演加密密鑰?；就ㄖ狧iAP和UE啟動解密和加密后，HiAP和UE就可以根據(jù)相同的加密算法以及加密密鑰對上行數(shù)據(jù)和下行數(shù)據(jù)進(jìn)行加密。本發(fā)明實施例中為HiAP側(cè)選擇加密算法以及為HiAP側(cè)推演加密密鑰的執(zhí)行主體為HiAP。本發(fā)明實施例提供的建立安全上下文的方法，能夠由HiAP選擇加密算法，并且根據(jù)根密鑰以及選擇的加密算法推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。此外，本發(fā)明實施例提供的建立安全上下文的方法，還可以在HiAP推演加密密鑰時，使用與為Uu口推演密鑰不同的根密鑰，例如可以將根據(jù)KeNB推演出的KeNB*作為HiAP推演加密密鑰的根密鑰。在Uu口上傳輸?shù)臄?shù)據(jù)與在Uu’口上傳輸?shù)臄?shù)據(jù)使用不同的根密鑰可以進(jìn)一步加強(qiáng)數(shù)據(jù)的安全性。實施例七本發(fā)明實施例提供了一種安全上下文的方法，如圖7所示，所述方法包括如下步驟：701、HiAP接收基站發(fā)送的根密鑰。所述根密鑰不限來自于MME，基站將根密鑰發(fā)送給HiAP，以便HiAP推演加密密鑰。702、HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇加密算法。HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇優(yōu)先級最高的加密算法。703、HiAP根據(jù)根密鑰以及加密算法推演加密密鑰。704、HiAP將加密算法發(fā)送給基站，以便基站與UE協(xié)商加密算法。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以基站與UE協(xié)商加密算法的目的在于，在UE得到根密鑰后，使UE再獲得加密算法，以便UE能夠推演加密密鑰。UE根據(jù)基站發(fā)送的加密算法以及UE卡中的根密鑰推演出UE側(cè)的加密密鑰。由于HiAP和UE兩側(cè)使用相同的根密鑰和相同的加密算法，所以兩側(cè)推演的加密密鑰也相同。705、HiAP根據(jù)基站的啟動指示啟動下行加密和上行解密。UE在接收到基站發(fā)送的加密算法后，根據(jù)該加密算法以及UE卡中的根密鑰推演加密密鑰?；就ㄖ狧iAP和UE啟動解密和加密后，HiAP和UE就可以根據(jù)相同的加密算法以及加密密鑰對上行數(shù)據(jù)和下行數(shù)據(jù)進(jìn)行加密。本發(fā)明實施例中為HiAP側(cè)選擇加密算法以及為HiAP側(cè)推演加密密鑰的執(zhí)行主體為HiAP。本發(fā)明實施例提供的建立安全上下文的方法，能夠選擇加密算法，并且根據(jù)根密鑰以及選擇的加密算法推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。實施例八本發(fā)明實施例提供了一種建立安全上下文的方法，所述方法是對實施例七的進(jìn)一步擴(kuò)展，如圖8所示，所述方法包括如下步驟：801、HiAP接收基站發(fā)送的根密鑰。基站可以從MME獲取所述根密鑰，本發(fā)明實施例對此不做限制。本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰在認(rèn)證后由MME下發(fā)給基站，UE側(cè)的根密鑰由UE卡中保存的永久密鑰推演得出的。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同。802、HiAP接收基站發(fā)送的UE的安全能力。所述加密算法用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。本發(fā)明實施例中以AES算法作為所述加密算法為例進(jìn)行說明，實際應(yīng)用中對此不作限制。803、HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇加密算法。HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇優(yōu)先級最高的加密算法。804、HiAP根據(jù)根密鑰以及加密算法推演加密密鑰。HiAP根據(jù)根密鑰以及AES算法推演加密密鑰。所述根密鑰為根據(jù)UE和網(wǎng)絡(luò)側(cè)共享的永久密鑰所推演出來的根密鑰，本實施例中根根密鑰可以是KeNB，實際應(yīng)用中對此不作限制。HiAP根據(jù)KeNB推演出加密密鑰Kupenc，所述Kupenc用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。805、HiAP將加密算法發(fā)送給所述基站，以便基站與UE協(xié)商加密算法?；鞠騏E發(fā)送SMC，所述SMC中攜帶AES算法。UE接收到基站發(fā)送的AES算法后，完成算法協(xié)商，并根據(jù)該AES算法和UE與網(wǎng)絡(luò)認(rèn)證的KeNB推演Kupenc。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中將加密算法發(fā)送給UE的目的在于，在UE得到根密鑰后，使UE再獲得加密算法，以便UE能夠推演加密密鑰?？蛇x的，HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰也可以是根據(jù)KeNB推演出來的KeNB*。KeNB除了用于為Uu’口上的用戶面數(shù)據(jù)推演加密密鑰以外，還用于為Uu口上的用戶面數(shù)據(jù)推演加密密鑰Kupenc以及為Uu口上的控制面數(shù)據(jù)推演完整性保護(hù)密鑰Krrcint和加密密鑰Krrcenc。當(dāng)Uu’口使用KeNB*推演根密鑰時，推演出的Kupenc*與為Uu口推演出的Kupenc不同。806、HiAP根據(jù)基站的啟動指示啟動下行加密和上行解密。同時，UE在接收到基站發(fā)送的加密算法后，根據(jù)該加密算法以及UE卡中的根密鑰推演加密密鑰?；就ㄖ狧iAP和UE啟動解密和加密后，HiAP和UE就可以根據(jù)相同的加密算法以及加密密鑰對上行數(shù)據(jù)和下行數(shù)據(jù)進(jìn)行加密。本發(fā)明實施例中為HiAP側(cè)選擇加密算法以及為HiAP側(cè)推演加密密鑰的執(zhí)行主體為HiAP。本發(fā)明實施例提供的建立安全上下文的方法，能夠選擇加密算法，并且根據(jù)根密鑰以及選擇的加密算法推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。此外，本發(fā)明實施例提供的建立安全上下文的方法，還可以在推演加密密鑰時，使用與為Uu口推演密鑰不同的根密鑰，例如可以將根據(jù)KeNB推演出的KeNB*作為推演加密密鑰的根密鑰。在Uu口上傳輸?shù)臄?shù)據(jù)與在Uu’口上傳輸?shù)臄?shù)據(jù)使用不同的根密鑰可以進(jìn)一步加強(qiáng)數(shù)據(jù)的安全性。實施例九本發(fā)明實施例提供了一種建立安全上下文的方法，如圖9所示，所述方法包括如下步驟：901、UE接收基站發(fā)送的HiAP的加密算法，由此完成與基站的算法協(xié)商。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中UE接收基站發(fā)送的加密算法的目的在于UE能夠根據(jù)加密算法以及根密鑰推演加密密鑰。所述加密算法為HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇的優(yōu)先級最高的加密算法，或者為基站根據(jù)HiAP的安全能力、安全策略以及UE的安全能力選擇的優(yōu)先級最高的加密算法。902、UE根據(jù)根密鑰以及加密算法推演UE的加密密鑰。本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰在認(rèn)證后由MME下發(fā)給基站，UE側(cè)的根密鑰由UE卡中保存的永久密鑰推演得出的，或者為UE與網(wǎng)絡(luò)認(rèn)證后推演得出的。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法也相同，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同。903、UE向基站發(fā)送SMP信令。UE向基站發(fā)送SMP的目的在于告知基站UE已根據(jù)根密鑰以及基站發(fā)送的加密算法推演出加密密鑰。904、UE在推演出加密密鑰以后，啟動下行解密以及上行加密。基站通知HiAP和UE啟動解密和加密后，HiAP和UE就可以根據(jù)相同的加密算法以及加密密鑰對上行數(shù)據(jù)和下行數(shù)據(jù)進(jìn)行加密。本發(fā)明實施例提供的建立安全上下文的方法，能夠由UE推演UE使用的加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。實施例十參考實施例二的實現(xiàn)，本發(fā)明實施例提供了一種基站，如圖10所示，用以實現(xiàn)實施例二。所述基站包括：獲取器1001，用于獲取HiAP的加密算法和根密鑰。所述根密鑰用于推演加密密鑰。所述加密密鑰以及所述加密算法用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。本發(fā)明實施例中以AES算法作為所述加密算法為例進(jìn)行說明，實際應(yīng)用中對此不作限制。處理器1002，所述處理器1002與所述獲取器1001相連，用于根據(jù)所述獲取器1001獲取的根密鑰和加密算法推演HiAP的加密密鑰。在HiAP和UE兩端都需要進(jìn)行加密密鑰的推演，本步驟為所述處理器1002推演HiAP加密密鑰的描述，UE側(cè)的加密密鑰由UE自主進(jìn)行推演。需要說明的是，本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以所述處理器1002和UE推演加密密鑰所使用的根密鑰相同。所述處理器1002根據(jù)根密鑰以及AES算法推演加密密鑰。所述根密鑰為根據(jù)UE和網(wǎng)絡(luò)側(cè)共享的永久密鑰所推演出來的根密鑰，本實施例中根根密鑰可以是KeNB，實際應(yīng)用中對此不作限制。所述處理器1002根據(jù)KeNB推演出加密密鑰Kupenc，并在后續(xù)由發(fā)送器1003將Kupenc發(fā)送給HiAP。所述Kupenc用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。發(fā)送器1003，所述發(fā)送器1003與所述處理器1002和所述獲取器1001相連，用于將所述處理器1002推演的加密密鑰以及所述獲取器1001獲取的所述加密算法發(fā)送給HiAP，以便HiAP啟動下行加密和上行解密。由于為HiAP選擇加密算法和推演加密密鑰是由基站完成的，而加密算法和加密密鑰的使用主體為HiAP，所以基站中的所述發(fā)送器1003將加密密鑰和加密算法發(fā)送給HiAP，以便HiAP啟動下行加密和上行解密。所述發(fā)送器1003用于將所述獲取器1001獲取的加密算法發(fā)送給UE，以便與UE協(xié)商加密算法。所述發(fā)送器1003向UE發(fā)送安全模式命令(SecurityModeCommand，SMC)，所述SMC中攜帶AES算法。UE接收到所述發(fā)送器1003發(fā)送的AES算法后，完成算法協(xié)商，并根據(jù)該AES算法和UE與網(wǎng)絡(luò)認(rèn)證的KeNB推演Kupenc。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中所述發(fā)送器1003將加密算法發(fā)送給UE的目的在于，在UE得到根密鑰后，使UE再獲得加密算法，以便UE能夠推演加密密鑰。通知器1004，用于通知HiAP啟動下行加密和上行解密，并在算法協(xié)商過程中通知UE啟動下行解密和上行加密。在HiAP和UE兩側(cè)都推演出加密密鑰后，當(dāng)HiAP啟動下行加密和上行解密時，所述通知器1004通知UE啟動下行解密和上行加密。由于HiAP是下行數(shù)據(jù)的發(fā)送方和上行數(shù)據(jù)的接收方，所以HiAP啟動下行加密和上行解密。同樣，由于UE是下行數(shù)據(jù)的接收方和上行數(shù)據(jù)的發(fā)送方，所以UE啟動下行解密和上行加密。進(jìn)一步的，如圖11所示，所述獲取器1001可以包括：第一獲取單元1101，用于獲取HiAP選擇的加密算法，所述加密算法為HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇的加密算法。第二獲取單元1102，用于根據(jù)HiAP的安全能力、安全策略以及UE的安全能力選擇所述加密算法。進(jìn)一步的，所述發(fā)送器1003還用于將UE的安全能力發(fā)送給HiAP，以便HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇的加密算法。進(jìn)一步的，如圖12所示，所述基站可以包括：接收器1201，所述接收器1201與所述獲取器1001相連，用于接收HiAP發(fā)送的安全能力以及安全策略，以便所述獲取器1001中的所述第二獲取單元1102根據(jù)HiAP的安全能力、安全策略以及UE的安全能力選擇加密算法。進(jìn)一步可選的，所述根密鑰為為基站與所述UE之間的接口上推演完保密鑰和加密密鑰所使用的根密鑰，或者為根據(jù)所述為基站與所述UE之間的接口上推演完保密密鑰和加密密鑰所使用的根密鑰推演的子密鑰。本發(fā)明實施例提供的基站，能夠獲取HiAP和UE的加密算法，并且根據(jù)根密鑰以及獲取的加密算法在基站和UE兩側(cè)推演HiAP和UE使用的加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。此外，本發(fā)明實施例提供的基站，還可以在為HiAP推演加密密鑰時，使用與為Uu口推演密鑰不同的根密鑰，例如可以將根據(jù)KeNB推演出的KeNB*作為HiAP推演加密密鑰的根密鑰。在Uu口上傳輸?shù)臄?shù)據(jù)與在Uu’口上傳輸?shù)臄?shù)據(jù)使用不同的根密鑰可以進(jìn)一步加強(qiáng)數(shù)據(jù)的安全性。此外，本發(fā)明實施例提供的基站，還能夠在算法協(xié)商階段，由基站同時代表Uu口和Uu’口與UE進(jìn)行算法協(xié)商，減少了信令交互的步驟。實施例十一參考實施例四的實現(xiàn)，本發(fā)明實施例提供了一種接入節(jié)點(diǎn)，如圖13所示，用以實現(xiàn)實施例四。以HiAP作為接入節(jié)點(diǎn)為例，所述HiAP包括：接收器1301，用于接收基站發(fā)送的加密密鑰。在HiAP和UE兩端都需要進(jìn)行加密密鑰的推演，本步驟為HiAP推演加密密鑰的描述，UE側(cè)的加密密鑰由UE自主進(jìn)行推演。獲取器1302，用于獲取加密算法。所述加密算法用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。本發(fā)明實施例中以AES算法作為所述加密算法為例進(jìn)行說明，實際應(yīng)用中對此不作限制。處理器1303，所述處理器1303與所述接收器1301和所述獲取器1302相連，用于根據(jù)所述接收器1301接收的加密密鑰和所述獲取器1302獲取的加密算法啟動下行加密和上行解密。同時，基站將加密算法發(fā)送給UE，完成與UE的算法協(xié)商。進(jìn)一步的，如圖14所示，所述獲取器1302可以包括：獲取單元1401，用于獲取基站發(fā)送的加密算法，該加密算法由基站進(jìn)行選擇。所述獲取單元1401還用于根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇加密算法。發(fā)送單元1402，與所述獲取單元1401相連，用于將所述獲取單元1401選擇的加密算法發(fā)送給基站。進(jìn)一步的，所述接收器1301與所述獲取器1302相連，用于接收基站發(fā)送的UE的安全能力，UE的安全能力用于所述獲取器1302中的所述獲取單元140選擇加密算法。進(jìn)一步的，如圖15所示，所述HiAP可以包括：發(fā)送器1501，用于將自身的安全能力以及安全策略發(fā)送給基站，以便基站為HiAP選擇加密算法。本發(fā)明實施例提供的HiAP，能夠根據(jù)基站發(fā)送的加密算法以及加密密鑰，通過算法協(xié)商、生成加密以及同步啟動啟動下行加密和上行解密的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。實施例十二參考實施例六的實現(xiàn)，本發(fā)明實施例提供了一種基站，用以實現(xiàn)實施例六。如圖16所示，所述基站包括：發(fā)送器1601，用于將根密鑰發(fā)送給HiAP，所述根密鑰用于HiAP推演HiAP使用的加密密鑰。獲取器1602，用于獲取HiAP使用的加密算法，該加密算法為HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇的加密算法。所述發(fā)送器1601與所述獲取器1602相連，用于將所述獲取器1602獲取的加密算法發(fā)送給UE，以便與UE協(xié)商加密算法。所述發(fā)送器1601向UE發(fā)送SMC，所述SMC中攜帶AES算法。UE接收到所述發(fā)送器1601發(fā)送的AES算法后，完成算法協(xié)商，并根據(jù)該AES算法和UE與網(wǎng)絡(luò)認(rèn)證的KeNB推演Kupenc。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中將加密算法發(fā)送給UE的目的在于，在UE得到根密鑰后，使UE再獲得加密算法，以便UE能夠推演加密密鑰。需要說明的是，本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰由核心網(wǎng)發(fā)送下來，UE側(cè)的根密鑰由UE與網(wǎng)絡(luò)認(rèn)證后根據(jù)永久密鑰在本地推演而來。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同。通知器1603，用于通知HiAP啟動下行加密和上行解密，并在算法協(xié)商過程中通知UE啟動下行解密和上行加密。UE在接收到所述發(fā)送器1601發(fā)送的加密算法后，根據(jù)該加密算法以及UE卡中的根密鑰推演加密密鑰。所述通知器1603通知HiAP和UE啟動解密和加密后，HiAP和UE就可以根據(jù)相同的加密算法以及加密密鑰對上行數(shù)據(jù)和下行數(shù)據(jù)進(jìn)行加密。進(jìn)一步的，所述發(fā)送器1601還用于將UE的安全能力發(fā)送給HiAP，以便HiAP選擇加密算法。進(jìn)一步的，所述根密鑰為為基站與所述UE之間的接口上推演完保密鑰和加密密鑰所使用的根密鑰，或者為根據(jù)所述為基站與所述UE之間的接口上推演完保密密鑰和加密密鑰所使用的根密鑰推演的子密鑰。本發(fā)明實施例提供的基站，能夠由HiAP選擇加密算法，并且根據(jù)根密鑰以及選擇的加密算法推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。此外，本發(fā)明實施例提供的基站，還可以在HiAP推演加密密鑰時，使用與為Uu口推演密鑰不同的根密鑰，例如可以將根據(jù)KeNB推演出的KeNB*作為HiAP推演加密密鑰的根密鑰。在Uu口上傳輸?shù)臄?shù)據(jù)與在Uu’口上傳輸?shù)臄?shù)據(jù)使用不同的根密鑰可以進(jìn)一步加強(qiáng)數(shù)據(jù)的安全性。實施例十三參考實施例八的實現(xiàn)，本發(fā)明實施例提供了一種接入節(jié)點(diǎn)，用以實現(xiàn)實施例八。如圖17所示，以HiAP作為接入節(jié)點(diǎn)為例，所述HiAP包括：接收器1701，用于接收基站發(fā)送的根密鑰?；究梢詮腗ME獲取所述根密鑰，本發(fā)明實施例對此不做限制。本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰在認(rèn)證后由MME下發(fā)給基站，UE側(cè)的根密鑰由UE卡中保存的永久密鑰推演得出的。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法都為AES算法，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同。處理器1702，用于根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇加密算法。所述處理器1702根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇優(yōu)先級最高的加密算法。所述加密算法用于對在SCC上傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)。本發(fā)明實施例中以AES算法作為所述加密算法為例進(jìn)行說明，實際應(yīng)用中對此不作限制。所述處理器1702與所述接收器1701相連，用于根據(jù)所述接收器1701接收的根密鑰以及加密算法推演加密密鑰。發(fā)送器1703，所述發(fā)送器1703與所述處理器1702相連，用于將所述處理器1702選擇的加密算法發(fā)送給基站，以便基站與UE協(xié)商加密算法。所述處理器1702用于根據(jù)基站的啟動指示啟動下行加密和上行解密。進(jìn)一步的，所述接收器1701還用于接收基站發(fā)送的UE的安全能力，UE的安全能力用于所述處理器1702選擇加密算法。進(jìn)一步的，所述根密鑰為為基站與所述UE之間的接口上推演完保密鑰和加密密鑰所使用的根密鑰，或者為根據(jù)所述為基站與所述UE之間的接口上推演完保密密鑰和加密密鑰所使用的根密鑰推演的子密鑰。本發(fā)明實施例提供的HiAP，能夠選擇加密算法，并且根據(jù)根密鑰以及選擇的加密算法推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。此外，本發(fā)明實施例提供的HiAP，還可以在推演加密密鑰時，使用與為Uu口推演密鑰不同的根密鑰，例如可以將根據(jù)KeNB推演出的KeNB*作為推演加密密鑰的根密鑰。在Uu口上傳輸?shù)臄?shù)據(jù)與在Uu’口上傳輸?shù)臄?shù)據(jù)使用不同的根密鑰可以進(jìn)一步加強(qiáng)數(shù)據(jù)的安全性。實施例十四參考實施例九的實現(xiàn)，本發(fā)明實施例提供了一種用戶設(shè)備UE，用以實現(xiàn)實施例九。如圖18所示，所述UE包括：接收器1801，用于接收基站發(fā)送的HiAP的加密算法，由此完成與基站的算法協(xié)商。HiAP和UE兩側(cè)都要基于根密鑰和加密算法推演加密密鑰，所以本步驟中所述接收器1801接收基站發(fā)送的加密算法的目的在于處理器1802能夠在后續(xù)根據(jù)加密算法以及根密鑰推演加密密鑰。所述加密算法為HiAP根據(jù)自身的安全能力、安全策略以及UE的安全能力選擇的優(yōu)先級最高的加密算法，或者為基站根據(jù)HiAP的安全能力、安全策略以及UE的安全能力選擇的優(yōu)先級最高的加密算法。處理器1802，與所述接收器1801相連，用于根據(jù)根密鑰以及所述接收器1801接收的加密算法推演UE的加密密鑰，根密鑰為所述處理器1802與網(wǎng)絡(luò)認(rèn)證后推演得出的。所述處理器1802還用于在推演出UE的加密密鑰以后，啟動下行解密和上行加密。本發(fā)明實施例是以對稱密鑰加密法為例進(jìn)行說明的，所以HiAP側(cè)和UE側(cè)推演加密密鑰所使用的根密鑰相同，在實際應(yīng)用中，HiAP側(cè)的根密鑰在認(rèn)證后由MME下發(fā)給基站，UE側(cè)的根密鑰由UE卡中保存的永久密鑰推演得出的，或者為UE與網(wǎng)絡(luò)認(rèn)證后推演得出的。由于HiAP和UE兩側(cè)推演加密密鑰所使用的根密鑰相同且使用的算法也相同，所以HiAP和UE兩側(cè)推演出的加密密鑰也相同。本發(fā)明實施例提供的UE，能夠由UE推演UE使用的加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對在SSC上的Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。實施例十五參考實施例一至實施例四以及實施例九的實現(xiàn)，本發(fā)明實施例提供了一種建立安全上下文的系統(tǒng)，所述系統(tǒng)包括基站、接入節(jié)點(diǎn)以及UE，UE通過Uu口經(jīng)由基站連接到核心網(wǎng)，并通過Uu’口經(jīng)由接入節(jié)點(diǎn)連接到核心網(wǎng)。其中，所述基站用于獲取接入節(jié)點(diǎn)的加密算法，獲取根密鑰，根據(jù)所述根密鑰和所述加密算法推演所述接入節(jié)點(diǎn)的加密密鑰，將所述加密密鑰以及所述加密算法發(fā)送給所述接入節(jié)點(diǎn)，以便所述接入節(jié)點(diǎn)啟動下行加密和上行解密，將所述接入節(jié)點(diǎn)的加密算法發(fā)送給所述UE，以便與所述UE協(xié)商加密算法，通知所述接入節(jié)點(diǎn)啟動下行加密和上行解密，并在算法協(xié)商過程中通知所述UE啟動下行解密和上行加密。所述接入節(jié)點(diǎn)用于接收所述基站發(fā)送的加密密鑰，獲取加密算法，根據(jù)所述加密密鑰和加密算法啟動下行加密和上行解密。所述UE用于接收基站發(fā)送的接入節(jié)點(diǎn)的加密算法，由此完成與所述基站的算法協(xié)商，根據(jù)根密鑰以及所述加密算法推演所述UE的加密密鑰，所述根密鑰為所述UE與網(wǎng)絡(luò)認(rèn)證后推演得出的，在推演出所述UE的加密密鑰以后，啟動下行解密和上行加密。本發(fā)明實施例提供的建立安全上下文的系統(tǒng)，能夠為接入節(jié)點(diǎn)選擇加密算法，并且根據(jù)根密鑰以及選擇的加密算法為接入節(jié)點(diǎn)推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。實施例十六參考實施例五至實施例九的實現(xiàn)，本發(fā)明實施例提供了一種建立安全上下文的系統(tǒng)，所述系統(tǒng)包括基站、接入節(jié)點(diǎn)以及UE，UE通過Uu口經(jīng)由基站連接到核心網(wǎng)，并通過Uu’口經(jīng)由接入節(jié)點(diǎn)連接到核心網(wǎng)。其中，所述基站用于將根密鑰發(fā)送給所述接入節(jié)點(diǎn)，所述根密鑰用于所述接入節(jié)點(diǎn)推演所述接入節(jié)點(diǎn)使用的加密密鑰，獲取所述接入節(jié)點(diǎn)使用的加密算法，所述加密算法為所述接入節(jié)點(diǎn)根據(jù)自身的安全能力、安全策略以及所述UE的安全能力選擇的加密算法，將所述接入節(jié)點(diǎn)的加密算法發(fā)送給所述UE，以便與所述UE協(xié)商加密算法，通知所述接入節(jié)點(diǎn)啟動下行加密和上行解密，并在算法協(xié)商過程中通知所述UE啟動下行解密和上行加密。所述接入節(jié)點(diǎn)用于接收所述基站發(fā)送的根密鑰，根據(jù)自身的安全能力、安全策略以及所述UE的安全能力選擇加密算法，根據(jù)所述根密鑰以及所述加密算法推演加密密鑰，將所述加密算法發(fā)送給所述基站，以便所述基站與所述UE協(xié)商加密算法，根據(jù)所述基站的啟動指示啟動下行加密和上行解密。所述UE用于接收基站發(fā)送的接入節(jié)點(diǎn)的加密算法，由此完成與所述基站的算法協(xié)商，根據(jù)根密鑰以及所述加密算法推演所述UE的加密密鑰，所述根密鑰為所述UE與網(wǎng)絡(luò)認(rèn)證后推演得出的，在推演出所述UE的加密密鑰以后，啟動下行解密和上行加密。本發(fā)明實施例提供的建立安全上下文的系統(tǒng)，能夠由接入節(jié)點(diǎn)選擇加密算法，并且根據(jù)根密鑰以及選擇的加密算法由接入節(jié)點(diǎn)推演加密密鑰。通過算法協(xié)商、生成加密以及同步啟動加密保護(hù)的方式對Uu’口傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行加密保護(hù)，可以解決現(xiàn)有技術(shù)中沒有針對Uu’口上的用戶面數(shù)據(jù)保護(hù)的問題，能夠?qū)E數(shù)據(jù)進(jìn)行全面的安全保護(hù)。通過以上的實施方式的描述，所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件的方式來實現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機(jī)軟件產(chǎn)品存儲在可讀取的存儲介質(zhì)中，如計算機(jī)的軟盤，硬盤或光盤等，包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法。以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。