一种秘钥更新方法及装置与流程

本申请涉及通信技术领域，尤其涉及一种秘钥更新方法及装置。

背景技术：

通信系统中，对数据进行传输需要加密，发送端用秘钥key对数据加密后发送，相应的，接收端会执行解密操作：

如果收发双方key一致则可以解密成功，数据可以转往核心网；如果收发双方key不一致，则解密错误，对应数据被丢弃。

上述加密/解密操作由pdcp(packetdataconvergenceprotocol，分组数据汇聚层协议)层执行。数据传输所需的key是在rrc(radioresourcecontrol，无线资源控制)连接建立过程中配置，并且可以通过连接重建或切换过程重配。

5g通信系统定义了终端设备的非激活态(inactivestate)，非激活(inactive)态的终端设备在位置更新区域移动，不会发送位置更新请求，当终端设备离开位置更新区域后，会向网络更新其位置。例如：3gpp定义的rna(ran(radioaccessnetwork)-basednotificationarea，无线接入网通知区域)就是一种类型的位置更新区域。因此，在rna区域内，即便终端进行了小区重选，终端也不会告知新的小区的基站，也不会触发秘钥更新。

因此，当inactive的终端在更新区域移动中进行了小区重选后，例如：从rna区域的一个小区移动到了新的服务小区(servingcell)后，此时新的服务小区没有终端的秘钥；如果终端要进行上行数据发送，则新的服务小区对应的服务基站无法进行解密操作。

技术实现要素：

本申请提供一种秘钥更新方法，以实现位置更新区域范围内小区重选后的秘钥更新。

一方面，公开了一种秘钥更新方法，包括：非激活态的终端设备重选到位置更新区域内新的服务网络设备的服务小区后，向所述服务网络设备发送第一个数据以触发秘钥更新；所述终端设备接收所述服务网络设备接收到所述第一个数据后发送的新的秘钥。

另一方面，一种秘钥更新方法，包括：服务网络设备接收非激活态的终端设备重选到位置更新区域内所述服务网络设备对应的服务小区后发送的触发秘钥更新的第一个数据，将新的秘钥发送给所述终端设备。

以上两方面分别从终端设备及网络设备的角度对本申请的方案进行描述，以下还公开了与上述两个方法对应的装置：

一种终端设备，包括：发送模块：用于：当所述终端设备在非激活态时重选到位置更新区域内新的服务网络设备的服务小区后，向所述服务网络设备发送第一个数据以触发秘钥更新；接收模块：用于接收所述服务网络设备接收到所述第一个数据后发送的新的秘钥。

一种网络设备，包括：接收模块：用于接收非激活态的终端设备重选到位置更新区域内所述网络设备对应的服务小区后发送的触发秘钥更新的第一个数据；发送模块：用于将新的秘钥发送给所述终端设备。

例如：网络设备可以是基站，终端设备处于非激活态，并且在位置更新区域内从某个小区重选到该区域另一个服务基站的小区，向该服务基站发送数据以触发秘钥更新，服务基站接收到第一个数据后，立即进行秘钥更新，将获得的秘钥发送给所述终端设备。

位置更新区域可以为3gpp定义的rna区域，终端设备在该区域内进行小区重选。

在另一种形式的装置实施例中，接收模块可以由接收机来实现，发送模块可以由发射机来实现。

结合上述各方面，其中，所述终端设备发送所述第一个数据后暂停后续数据发送，直到收到所述新的秘钥后，进行后续数据的发送。该方式避免了网络设备接收到用旧秘钥加密的数据而无法解密。

结合上述各方面，其中，所述新的秘钥为所述服务网络设备生成的秘钥或所述服务网络设备与其它网络设备进行秘钥协商后得到的秘钥；所述其它网络设备可以是核心网设备，如mme(mobilitymanagemententity，移动性管理实体)，hss(homesubscriberserver，归属用户服务器)或hlr(homelocationregister，归属位置寄存器)等。

结合上述各方面，其中，所述新的秘钥在所述第一个数据的ack(acknowledgement，应答)响应的同一时隙发送给所述终端设备。

结合上述各方面，其中，所述服务网络设备接收到所述第一个数据后，如果在drx(discontinuousreception，非连续接收)窗口结束前没得到所述新的秘钥，则重置drx窗口，发送drx临时重配指示给终端设备。

结合上述各方面，所述drx临时重配指示在所述第一个数据的ack响应的同一时隙发送给所述终端设备。

结合上述各方面，其中，如果所述服务网络设备接收到终端设备发送的用旧秘钥加密的数据，则将所述数据转发到锚点网络设备进行解密或直接丢弃；例如：

将所述新的秘钥发送给所述终端设备之前，如果所述服务网络设备接收到终端设备发送的其它数据，则将所述其它数据转发到锚点网络设备进行解密；或

将所述新的秘钥发送给所述终端设备后，如果所述服务网络设备接收到终端设备发送的其它数据，如果解密失败，则将所述其它数据转发到锚点网络设备进行解密。

本申请的又一方面提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

本申请的又一方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

通过上述秘钥更新方法及装置，当新的服务网络设备接收到非激活态终端设备重选服务小区后发送的第一个数据后触发秘钥更新，为终端设备配置新秘钥，及时的实现了位置更新范围内小区重选后的秘钥更新。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的应用场景网络架构示意图；

图2为本申请实施例提供的一种秘钥更新方法流程图；

图3为本申请另一实施例提供的一种秘钥更新方法流程图；

图4是本申请实施例提供的终端设备示意图；

图5是本申请实施例提供的网络设备的示意图；

图6是本申请另一实施例提供的网络设备/终端设备的示意图。

具体实施方式

图1为本申请实施例提供的一种应用场景的示意图。如图1所示的无线通信网络主要包括多个网络设备和终端设备。以网络设备是基站为例，每个基站可以形成一个或多个小区，非激活态的终端设备在位置更新区域范围内移动，从一个基站的服务小区重新选择到另一个基站的服务小区，多个基站的服务小区及终端设备均可以在一个位置更新区域的范围内；例如，非激活态的终端设备在rna区域范围内从锚点基站的服务小区重新选择到新的服务基站的服务小区，或者离开锚点基站后，由旧的服务基站的服务小区重选到新的服务基站的服务小区。

其中，本申请实施例中的终端设备可以指接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiationprotocol，简称为“sip”)电话、无线本地环路(wirelesslocalloop，简称为“wll”)站、个人数字处理(personaldigitalassistant，简称为“pda”)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，5g网络中的终端等。

本申请实施中的网络设备是与所述终端设备进行无线通信的网络侧设备，例如，无线保真(wireless-fidelity，wi-fi)的接入点、下一代通信的基站，如5g的gnb或小站、微站，trp(transmissionreceptionpoint，传输接收点)，还可以是中继站、接入点、车载设备、可穿戴设备等。

以下各个实施例以网络设备是基站为例进行说明：

该方法包括：非激活态的终端设备重新选择到位置更新区域内新的服务基站的服务小区后，向所述新的服务基站发送数据以触发秘钥更新，所述新的服务基站接收到所述终端设备发送的第一个数据后，将新的秘钥发送给所述终端设备。

随后，终端设备可以用新秘钥进行数据加密处理并发送给所述服务基站；所述新的服务基站也可以用新秘钥对数据进行解密操作。

以下参考图2对本实施例秘钥更新的方法进行详细说明：

首先，本实施例中的终端设备处于非激活态，并且从rna区域的某个小区重新选择到新的服务基站对应的服务小区；例如，从锚点基站的服务小区重新选择到新的服务基站的服务小区，或者离开锚点基站后，由旧的服务基站的服务小区重选到新的服务基站的服务小区。

101、终端设备向新的服务基站发送数据以触发秘钥更新；

终端设备重选到新的服务基站的服务小区，发送数据到所述新的服务基站以触发秘钥更新；这里的数据仍然采用旧的秘钥进行加密，用来触发新的服务基站更新秘钥，数据可以是一个或多个，例如，可以用发送的第一个数据来触发所述新的服务基站进行秘钥更新。

这里的第一个数据指的是终端设备发送后，新的服务基站可以接收到的第一个数据。例如，终端设备向新的服务基站发送了三个数据，但新的服务基站只收到第三个数据而前两个数据都没收到，则第三个数据认为是所述终端设备发送的第一个数据；如果终端设备发送的第一个数据新的服务基站可以接收到，则该第一个数据触发秘钥更新。

102、所述新的服务基站收到终端设备发送的第一个数据后，将新的秘钥发送给所述终端设备；

这里的新秘钥可以是新的服务基站产生的秘钥，也可以是新的服务基站与其它网络设备，如核心网设备进行秘钥协商后得到的秘钥，例如与mme，hlr或hss等网元进行秘钥协商，秘钥协商的过程可由现有技术实现，不再详述具体过程。

这里的第一个数据是指新的服务基站接收到的第一个来自所述终端设备的数据，可以是终端设备小区重选后向新的服务基站发送的第一个数据，也可以是其它数据，例如，终端设备向新的服务基站发送了三个数据，但新的服务基站只收到第三个数据而前二个数据基站都没收到，则终端设备发送的第三个数据就是新的服务基站收到的第一个数据；即新的服务基站收到第一个数据就立即进行秘钥更新。

由于新的服务基站收到的第一个数据仍然用旧的秘钥进行加密，因此无法解密，所述新的服务基站可以将所述第一个数据转发到锚点基站进行解密，也可以丢弃。

新的服务基站可以将新的秘钥在ack响应的同一时隙发送给终端设备，ack响应可以是接到的第一个数据对应的ack响应，新的秘钥可以携带在ack响应对应的信令中发送，也可以在其它信令中进行发送；例如，可以使用macce(mediaaccesscontrolcontrolelement)携带上述ack响应，那么新的密钥可以和ack响应使用相同的macce，也可以使用新定义的macce。

上述例子，新的服务基站收到第一个数据立即触发秘钥更新，其它例子中，也可以设定新的服务基站连续收到n个无法解密的数据后触发秘钥更新，n值可以设定。

103、终端设备接收到所述新的秘钥后，便可以用新的秘钥对数据进行加密，并发送到所述新的服务基站，便于所述新的服务基站进行解密。

需要说明的是，由于秘钥更新是由终端设备发送的数据触发，例如由发送的第一个数据触发，而在秘钥更新过程中终端设备可能有其它数据需要发送，可能出现终端设备用旧的秘钥进行加密处理而新的服务基站无法解密的情况。

步骤101中，终端设备发送第一个数据后可以暂停后续数据发送，直到接收到所述新的秘钥后，再用新的秘钥对后续数据进行加密处理并发送。

另外，步骤101中，终端设备发送第一个数据后，可以不暂停后续数据的发送，则该终端设备接收到所述新的秘钥之前，仍然采用旧的秘钥对数据加密并发送，则新的服务基站接收后，无法解密，可以将所述用旧秘钥加密的数据转发到锚点基站进行解密，锚点基站接收后，向新的服务基站发送ack，具体过程参考图中101a，该过程属于可选，新的服务基站接收到旧的秘钥加密的数据后，也可以直接丢弃。步骤101中终端设备向新的服务基站发送的用于触发秘钥更新的数据也同样适用上述流程。步骤101a发生在终端设备获得新的秘钥之前，只要新的服务基站接收到终端设备发送的用旧秘钥加密的数据即可转发或丢弃。

如果新的服务基站生成秘钥过程比较长，或者无法完成本地的秘钥更新，需要与其它网实体，如位于核心网的实体进行秘钥协商来获取新秘钥，此时新的服务基站获取秘钥的过程会引入时延。

进一步的，考虑终端设备drx(discontinuousreception，非连续接收)特性，如果新的服务基站无法在终端设备的drx窗口(例如drx中的onduration)之内生成或获取新的秘钥并完成秘钥发送，则需调整drx窗口；因此，新的秘钥发送前需触发drx窗口临时调整。参考图3，该方法包括：

首先，和上述实施例类似，本实施例中的终端设备处于非激活态，并且从rna区域的某个小区重新选择到新的服务小区；例如，从锚点基站服务小区重新选择到新的服务基站的服务小区，或者离开锚点基站后，由旧的服务基站的服务小区重选到新的服务基站的服务小区。

201、终端设备向新的服务基站发送数据以触发秘钥更新；

终端设备重选到新的服务基站的服务小区，发送数据到所述新的服务基站以触发秘钥更新；这里的数据仍然采用旧的秘钥进行加密，用来触发新的服务基站更新秘钥，数据可以是一个或多个，例如，可以用发送的第一个数据来触发所述新的服务基站进行秘钥更新。

这里的第一个数据指的是终端设备发送后，新的服务基站可以接收到的第一个数据。例如，终端设备向新的服务基站发送了三个数据，但新的服务基站只收到第三个数据而前两个数据都没收到，则第三个数据认为是所述终端设备发送的第一个数据；如果终端设备发送的第一个数据新的服务基站可以接收到，则该第一个数据触发秘钥更新。

202、所述新的服务基站收到终端设备发送的第一个数据后，获得新的秘钥；

与上述实施例类似，获得新的秘钥可以是新的服务基站直接生成新的秘钥，也可以是新的服务基站与其它网络设备，如核心网设备进行秘钥协商后得到新的秘钥，例如与mme，hlr或hss等网元进行秘钥协商，秘钥协商的过程可由现有技术实现，不再详述具体过程。

这里的第一个数据是指新的服务基站接收到的第一个来自所述终端设备的数据，可以是终端设备小区重选后向新的服务基站发送的第一个数据，也可以是其它数据，例如，终端设备向新的服务基站发送了三个数据，但新的服务基站只收到第三个数据而前两个数据基站都没收到，则终端设备发送的第三个数据就是新的服务基站收到的第一个数据；即新的服务基站收到第一个数据就立即进行秘钥更新。

由于新的服务基站收到的第一个数据仍然用旧的秘钥进行加密，因此无法解密，所述新的服务基站可以将所述第一个数据转发到锚点基站进行解密，也可以丢弃。

上述例子，新的服务基站收到第一个数据立即触发秘钥更新，其它例子中，也可以设定新的服务基站连续收到n个无法解密的数据后触发秘钥更新，n值可以设定。

可选的，触发秘钥更新后，新的服务基站可以根据drx配置判断是否需要重置drx窗口：如果在drx窗口结束前新的服务基站仍没获得秘钥，例如：没有生成秘钥或没有完成与核心网设备的秘钥协商，则重置drx窗口，新的服务基站向终端设备发送drx临时重配指示，其中，drx临时重配指示携带计时器或计数器，也可以携带具体的子帧号或时隙号，如图步骤202a所示；如果drx窗口结束前新的服务基站已经获得秘钥，例如：已经生成新的秘钥或完成与核心网设备的秘钥协商，则不用重置drx窗口，无图中202a步骤。

与上述实施例中新秘钥的发送方式类似，所述drx临时重配指示可以在ack响应的同一时隙发送给终端设备，也可以单独发送，可以参考上述实施例中新秘钥的发送方式。

203、所述新的服务基站将所述新的秘钥发送给终端设备；

新的服务基站可以将新的秘钥在ack响应的同一时隙发送给终端设备，ack响应可以是接到的第一个数据对应的ack响应，新的秘钥可以携带在ack响应对应的信令中发送，例如，使用mac(mediaaccesscontrol)ce(controlelement)携带上述ack响应，那么新的密钥可以和ack响应使用相同的macce，也可以使用新定义的macce。

相应的，终端设备如果没有收到所述drx临时重配指示，则在原有drx窗口接收新秘钥；如果收到drx临时重配指示，则根据drx临时重配指示延长drx窗口，在对应的窗口内接收新秘钥；

如果drx临时重配指示携带计时器或计数器，则对drx窗口进行延长，在旧的drx窗口结束后继续监听下行信号，直到计数器或计时器超时，或者直接使用重配的计时器或计数器代替旧的drx窗口进行监听。如果drx临时重配指示携带具体的子帧号或时隙号，则持续监听下行信号直至新的服务基站配置的子帧号。

上述drx临时重置，只在当前drx周期有效，下一个drx周期终端设备仍按初始drx配置进行数据接收。

204、终端设备接收到所述新的秘钥后，便可以用新的秘钥对数据进行加密，并发送到所述新的服务基站，便于所述新的服务基站进行解密。

需要说明的是，由于秘钥更新是由终端设备发送的数据触发，例如由发送的第一个数据触发，而在秘钥更新过程中终端设备可能有其它数据需要发送，可能出现终端设备用旧的秘钥进行加密处理而新的服务基站无法解密的情况。

步骤201中，终端设备发送第一个数据后可以暂停后续数据发送，直到接收到所述新的秘钥后，再用新的秘钥对后续数据进行加密处理并发送。

另外，步骤201中，终端设备发送第一个数据后，也可以不暂停后续数据的发送，则该终端设备接收到所述新的秘钥之前，仍然采用旧的秘钥对数据加密并发送，则新的服务基站接收后，无法解密，将所述用旧秘钥加密的数据转发到锚点基站进行解密，锚点基站接收后，向新的服务基站发送ack，具体过程参考图中201a，该过程属于可选，新的服务基站接收到旧的秘钥加密的数据后，也可以直接丢弃。步骤201中终端设备向新的服务基站发送的用于触发秘钥更新的数据也同样适用上述流程。步骤201a发生在终端设备获得新的秘钥之前，只要新的服务基站接收到终端设备发送的用旧秘钥加密的数据即可转发或丢弃。

通过本申请的方法，当新的服务基站接收到非激活态终端设备重选后服务小区后发送的第一个数据后立即触发秘钥更新，为终端设备配置新秘钥，及时的实现了位置更新范围内终端设备小区重选后的秘钥更新，进一步的，避免因为后续数据的发送使用旧秘钥而在新服务小区与锚点服务小区之间频繁的数据转发，从而显著减轻基站之间接口交互的负荷。

基于上述方法实施例中的终端设备，还公开了一种终端设备，参考图4，包括：

发送模块401：用于：当所述终端设备在非激活态时重选到位置更新区域内新的服务网络设备的服务小区后，向所述服务网络设备发送第一个数据以触发秘钥更新；

接收模块402：用于接收所述服务网络设备接收到所述第一个数据后发送的新的秘钥。

还可以进一步包括处理模块(图中未示出)，用于采用新的秘钥对数据进行加密，由发送模块401进行发送。

上述终端设备与方法实施例中的终端设备完全对应，由相应的模块执行相应的步骤，例如发送模块方法执行方法实施例中发送的步骤，接收模块执行方法实施例中接收的步骤，其它步骤，如对数据进行加密/解密，暂停数据发送等，可以由处理模块实现(图中未示出)，上述内容只列举了一部分功能，其它功能可以参考实施例相应的步骤及发明内容部分的描述。

基于方法实施例中的网络设备，还公开了一种网络设备，参考图5，包括：

接收模块501：用于接收非激活态的终端设备重选到位置更新区域内所述网络设备对应的服务小区后发送的触发秘钥更新的第一个数据；

发送模块502：用于将新的秘钥发送给所述终端设备。

还可以进一步包括处理模块(图中未示出)，用于对接收模块501接收的采用新的秘钥加密的数据进行解密。

上述网络设备与方法实施例中的基站完全对应，由相应的模块执行相应的步骤，例如发送模块方法执行方法实施例中发送的步骤，接收模块执行方法实施例中接收的步骤，其它步骤，如对数据进行加密/解密，判断是否需要重置重置drx窗口，生成秘钥，丢弃数据等，可以由处理模块实现(图中未示出)，上述内容只列举了一部分功能，其它功能可以参考实施例相应的步骤及发明内容部分的描述。

上述网络设备与终端设备还有另一形式的实施例，处理模块可以由处理器替代，发送模块可以由发射机替代，接收模块可以由接收机替代，分别执行方法实施例中的发送操作、接收操作以及相关的处理操作，发射机及接收机可以组成收发器。

上述另一形式的装置实施例具体结构可参看图6，其中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件。

发射机和接收机可以组成收发机。还可以进一步包括天线，天线的数量可以为一个或多个。

上述各个组件可以通过总线耦合在一起，其中总线除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图中将各种总线都标为总线。

上述图6只是示意图，还有可以包括其它元件或只包括部分元件，例如包括发射机及接收机；或者只包括发射机、接收机及处理器。

进一步的，在一种具体的实施例中，还可以包括存储器(图中未示出)，用于存储计算机可执行程序代码，其中，当所述程序代码包括指令，当所述处理器执行所述指令时，所述指令使所述网络设备或终端设备执行方法实施例中的相应步骤。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

以上所揭露的仅为本申请实施例而已，当然不能以此来限定本申请之权利范围，因此依本申请权利要求所作的等同变化，仍属本申请所涵盖的范围。