一种通信方法及设备与流程

文档序号：16815881发布日期：2019-02-10 14:30阅读：124来源：国知局

本发明涉及通信领域，尤其涉及一种通信方法及设备。

背景技术：

在移动网络中，当终端设备从源基站移动到目标基站时，执行切换流程。在切换流程中，源基站可以将其与终端设备之间的密钥发送给目标基站，该密钥继续用于终端设备与目标基站之间的通信。

若在发生上述切换之前源基站被攻陷，则当终端设备从源基站切换到目标基站后，终端设备和目标基站之间传输的数据存在安全隐患。例如，攻击者可以通过被攻陷的源基站伪造密钥发送给目标基站，目标基站无条件信任源基站，并且与终端设备之间采用该伪造的密钥传输数据，那么该数据依然可以被源基站的攻击者破解。

技术实现要素：

本发明实施例提供一种通信方法和设备，有利于解决终端设备与目标基站之间传输的数据存在安全隐患的问题。

第一方面，本发明实施例提供一种通信方法，包括：

目标基站从源基站接收切换请求，所述切换请求包括第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥；

所述目标基站根据所述切换请求，向所述源基站发送第二指示信息，所述第二指示信息用于指示所述目标基站与终端设备之前的的接入层密钥是否为更新后的密钥。

在一种可行的实施例中，所述目标基站根据所述切换请求，向所述源基站发送所述第二指示信息，包括：

当所述第一指示信息用于指示所述第一密钥为更新后的密钥时，所述目标基站向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的的接入层密钥为更新后的密钥；或者，

当所述第一指示信息用于指示所述第一密钥不是更新后的密钥时，所述目标基站根据参考信息，向所述源基站发送所述第二指示信息。

在一种可行的实施例中，所述目标基站根据参考信息，向所述源基站发送所述第二指示信息，包括：

当所述参考信息包括所述目标基站对所述源基站的信任等级，且所述信任等级高于信任阈值时，所述目标基站向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥；或者，

当所述参考信息包括策略指示信息，且所述策略指示信息指示所述目标基站不更新密钥时，所述目标基站向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥。

在一种可行的实施例中，所述目标基站根据参考信息，向所述源基站发送所述第二指示信息，包括：

当所述参考信息包括所述目标基站对所述源基站的信任等级，且所述信任等级低于信任阈值时，所述目标基站向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥；或者，

当所述参考信息包括策略指示信息，且所述策略指示信息指示所述目标基站更新密钥时，所述目标基站向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥。

在一种可行的实施例中，所述切换请求还包括下一跳链计数器ncc，所述方法还包括：

所述目标基站通过所述源基站向所述终端设备发送所述ncc。

在一种可行的实施例中，当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述方法还包括：

所述目标基站根据所述ncc，生成第二密钥。

在一种可行的实施例中，所述方法还包括：

所述目标基站从所述终端设备接收第三指示信息；

当所述第三指示信息用于指示所述终端设备更新密钥，且所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，所述目标基站根据所述ncc生成第二密钥，并向所述终端设备发送所述ncc。

在一种可行的实施例中，所述方法还包括：

所述目标基站从所述终端设备接收第三指示信息；

当所述第三指示信息用于指示所述终端设备不更新密钥，且所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述目标基站向所述终端设备发送所述ncc。

第二方面，本发明实施例提供了一种通信方法，包括：

源基站向目标基站发送切换请求，所述切换请求携带第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥；

所述源基站从所述目标基站接收第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥；

所述源基站向所述终端设备发送所述第二指示信息。

在一种可行的实施例中，所述方法还包括：

当所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，或者，当所述第一指示信息指示所述第一密钥不是更新后的密钥，且所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，或者，当所述第一指示信息指示所述第一密钥为更新后的密钥，且所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述源基站向所述终端设备发送第一消息，所述第一消息用于请求更改无线资源控制rrc连接。

在一种可行的实施例中，当所述源基站与所述目标基站属于同一个中心单元cu时，所述第一指示信息用于指示所述第一密钥不是更新后的密钥；或者，

当所述源基站与所述目标基站不属于同一个cu时，所述第一指示信息用于指示所述第一密钥是更新后的密钥；或者，

当所述源基站对所述目标基站的信任等级低于信任阈值时，所述第一指示信息用于指示所述第一密钥为更新后的密钥；或者，

当所述源基站对所述目标基站的信任等级高于信任阈值时，所述第一指示信息用于指示所述第一密钥不是更新后的密钥。

第三方面，本发明实施例提供了一种通信方法，包括：

终端设备从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥；

所述终端设备根据所述第二指示信息，更新所述终端设备的密钥。

在一种可行的实施例中，所述终端设备根据所述第二指示信息，更新所述终端设备的密钥，包括：

当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述终端设备更新所述终端设备的密钥；或者，

当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，所述终端设备根据参考信息更新所述终端设备的密钥。

在一种可行的实施例中，所述终端设备根据参考信息更新所述终端设备的密钥，包括：

当所述参考信息包括策略指示信息，且所述策略指示信息用于指示所述终端设备更新密钥时，所述终端设备更新所述终端设备的密钥。

在一种可行的实施例中，所述终端设备更新所述终端设备的密钥，包括：

所述终端设备接收下一跳链计数器ncc；

所述终端设备根据所述ncc，生成衍生密钥。

在一种可行的实施例中，所述方法还包括：

所述终端设备向所述目标基站发送第三指示信息，所述第三指示信息用于指示所述终端设备更新密钥。

第四方面，本发明实施例提供了一种通信方法，包括：

终端设备从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥；

所述终端设备根据所述第二指示信息，向所述目标基站发送第三指示信息，所述第三指示信息用于指示所述终端设备不更新密钥。

在一种可行的实施例中，所述终端设备根据所述第二指示信息，向所述目标基站发送第三指示信息，包括：

当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，所述终端设备向所述目标基站发送所述第三指示信息；或者，

当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，所述终端设备根据参考信息，向所述目标基站发送所述第三指示信息。

在一种可行的实施例中，所述终端设备根据参考信息，向所述目标基站发送所述第三指示信息，包括：

当所述参考信息包括策略指示信息，且所述策略指示信息用于指示所述终端设备不更新密钥时，所述终端设备向所述目标基站发送所述第三指示信息。

第五方面，本发明实施例提供一种基站，包括：

第一接收单元，用于从源基站接收切换请求，所述切换请求包含第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥；

第一发送单元，用于根据所述切换请求，向所述源基站发送第二指示信息，所述第二指示信息用于指示所述目标基站与终端设备之间的接入层密钥是否为更新后的密钥。

在一种可行的实施例中，所述第一发送单元，包括：

第一发送子单元，用于当所述第一指示信息用于指示所述第一密钥为更新后的密钥时，向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥；或者，

第二发送子单元，用于当所述第一指示信息用于指示所述第一密钥不是更新后的密钥时，根据参考信息，向所述源基站发送所述第二指示信息。

在一种可行的实施例中，所述第二发送子单元，包括：

第三发送子单元，用于当所述参考信息包括所述目标基站对所述源基站的信任等级，且所述信任等级高于信任阈值时，向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥；或者，

第四发送子单元，用于元当所述参考信息包括策略指示信息，且所述策略指示信息指示所述目标基站不更新密钥时，向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥。

在一种可行的实施例中，所述第二发送子单元包括：

第五发送子单元，用于当所述参考信息包括所述目标基站对所述源基站的信任等级，且所述信任等级低于信任阈值时，向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥；或者，

第六发送子单元，用于当所述参考信息包括策略指示信息，且所述策略指示信息指示所述目标基站更新密钥时，所述目标基站向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥。

在一种可行的实施例中，所述切换请求还包括下一跳链计数器ncc，所述基站还包括：

第二发送单元，用于通过所述源基站向所述终端设备发送所述ncc。

在一种可行的实施例中，当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述基站还包括：

第一生成单元，用于根据所述ncc，生成第二密钥。

在一种可行的实施例中，所述基站还包括：

第二接收单元，用于从所述终端设备接收第三指示信息；

第二生成单元，用于当所述第三指示信息用于指示所述终端设备更新密钥，且所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，根据所述ncc生成第二密钥；

第三发送单元，用于向所述终端设备发送所述ncc。

在一种可行的实施例中，所述方法还包括：

第三接收单元，用于从所述终端设备接收第三指示信息；

第四发送单元，用于当所述第三指示信息用于指示所述终端设备不更新密钥，且所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，向所述终端设备发送所述ncc。

第六方面，本发明实施例提供一种基站，包括：

第一发送单元，用于向目标基站发送切换请求，所述切换请求携带第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥；

接收单元，用于从所述目标基站接收第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥；

第二发送单元，用于向所述终端设备发送所述第二指示信息。

在一种可行的实施例中，所述基站还包括：

第三发送单元，用于当所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，或者，当所述第一指示信息指示所述第一密钥不是更新后的密钥，且所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，或者，当所述第一指示信息指示所述第一密钥为更新后的密钥，且所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，向所述终端设备发送第一消息，所述第一消息用于请求更改无线资源控制rrc。

在一种可行的实施例中，当所述源基站与所述目标基站属于同一个中心单元cu时，所述第一指示信息用于指示所述第一密钥不是更新后的密钥；或者，

当所述源基站与所述目标基站不属于同一个cu时，所述第一指示信息用于指示所述第一密钥为更新后的密钥；或者，

当所述源基站对所述目标基站的信任等级低于信任阈值时，所述第一指示信息用于指示所述第一密钥为更新后的密钥；或者，

当所述源基站对所述目标基站的信任等级高于信任阈值时，所述第一指示信息用于指示所述第一密钥不是更新后的密钥。

第七方面，本发明实施例提供一种终端设备，包括：

接收单元，用于从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥；

更新单元，用于根据所述第二指示信息，更新所述终端设备的密钥。

在一种可行的实施例中，所述更新单元用于：

当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，更新所述终端设备的密钥；或者，

当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，根据参考信息更新所述终端设备的密钥。

在一种可行的实施例中，所述更新单元用于：

当所述参考信息包括策略指示信息，且所述策略指示信息用于指示所述终端设备更新密钥时，更新所述终端设备的密钥。

在一种可行的实施例中，所述更新单元包括：

接收子单元，用于接收下一跳链计数器ncc；

生成子单元，用于根据所述ncc，生成衍生密钥。

在一种可行的实施例中，所述终端设备还包括：

发送单元，用于向所述目标基站发送第三指示信息，所述第三指示信息用于指示所述终端设备更新密钥。

第八方面，本发明实施例提供一种终端设备，包括：

接收单元，用于从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥；

发送单元，用于根据所述第二指示信息，向所述目标基站发送第三指示信息，所述第三指示信息用于指示所述终端设备不更新密钥。

在一种可行的实施例中，所述发送单元包括：

第一发送单元，用于当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，向所述目标基站发送所述第三指示信息；或者，

第二发送单元，用于当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，所述终端设备根据参考信息，向所述目标基站发送所述第三指示信息。

在一种可行的实施例中，所述第二发送单元用于：

当所述参考信息包括策略指示信息，且所述策略指示信息用于指示所述终端设备不更新密钥时，向所述目标基站发送所述第三指示信息。

第九方面，本发明实施例提供一种基站，包括：

存储有可执行程序代码的数据存储器；

与所述耦合的控制器；

所述控制器调用所述存储器中存储的所述可执行程序代码，执行如本发明实施例第一方面中所描述的部分或全部步骤。

第十方面，本发明实施例提供另一种基站，包括：

存储有可执行程序代码的数据存储器；

与所述耦合的控制器；

所述控制器调用所述存储器中存储的所述可执行程序代码，执行如本发明实施例第二方面中所描述的部分或全部步骤。

第十一方面，本发明实施例提供一种终端设备，包括：

存储有可执行程序代码的数据存储器；

与所述耦合的控制器；

所述控制器调用所述存储器中存储的所述可执行程序代码，执行如本发明实施例第三方面中所描述的部分或全部步骤。

第十二方面，本发明实施例提供一种终端设备，包括：

存储有可执行程序代码的数据存储器；

与所述耦合的控制器；

所述控制器调用所述存储器中存储的所述可执行程序代码，执行如本发明实施例第四方面中所描述的部分或全部步骤。

可以看出，在本发明实施例的方案中，源基站向目标基站发送切换请求，用于请求目标基站准备切换，目标基站根据切换请求携带的第一指示信息和参考信息确定是否更新密钥，并向终端设备发送第二指示信息，终端设备根据第二指示信息和/或参考信息确定是否更新密钥。与现有技术相比，目标基站根据第一指示信息和参考信息确定是否更新密钥、终端设备根据第二指示信息和参考信息确定是否更新密钥，有利于解决终端设备与目标基站之间传输的数据存在安全隐患的问题，并且有利于解决终端设备的密钥的更换不受基站控制的问题，保证了基站侧与终端设备之间数据的安全传输。

本发明的这些方面或其他方面在以下实施例的描述中会更加简明易懂。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供一种通信方法的应用场景示意图；

图2为本发明实施例提供一种通信方法的流程示意图；

图3为本发明实施例提供另一种通信方法的流程示意图；

图4为本发明实施例提供另一种通信方法的流程示意图；

图5为本发明实施例提供另一种通信方法的流程示意图；

图6为本发明实施例提供一种通信方法的交互式流程示意图；

图7为本发明实施例提供另一种通信方法的交互式流程示意图；

图8为本发明实施例提供一种基站的结构示意图；

图9为本发明实施例提供一种基站的局部结构示意图；

图10为本发明实施例提供另一种基站的局部结构示意图；

图11为本发明实施例提供另一种基站的结构示意图；

图12为本发明实施例提供另一种终端设备的结构示意图；

图13为本发明实施例提供另一种终端设备的局部结构示意图；

图14为本发明实施例提供另一种终端设备的结构示意图；

图15为本发明实施例提供另一种终端设备的局部结构示意图

图16为本发明实施例提供另一种基站的结构示意图；

图17为本发明实施例提供另一种基站的结构示意图；

图18为本发明实施例提供另一种终端设备的结构示意图；

图19为本发明实施例提供另一种终端设备的结构示意图。

具体实施方式

下面结合附图对本申请的实施例进行描述。

参见图1，图1为本发明实施例提供的一种通信方法的应用场景示意图。如图1所述，该应用场景包括源基站101、目标基站102和用户设备103。上述基站(包括源基站和目标基站)与上述用户设备采用无线方式通信，为了表示方便，图1中仅以闪电型线条表示。图1所示的应用场景具体可以应用在5g通信系统或后续演进的通信系统中，也可以是5g通信系统与其它不同制式通信系统的交互中，例如，目标基站102为5g的基站，源基站101为2g或3g或4g通信系统中的基站。显然，还可以应用在异构系统中，例如，源基站101为非3gpp系统中的接入点，目标基站102为5g通信系统中的基站，不予限制。

上述源基站101和目标基站102可为宏基站、微基站、微微基站、分布式基站或者其他类型的基站。在5g系统中，源基站101在逻辑上可以是中心单元(centralunit,cu)和分布式单元(distributedunit,du)分离的，目标基站102在逻辑上可以是cu和du分离的。其中，cu用于处理基站与终端设备之间上层协议通信，具体地，处理基站与终端设备之间的上层协议栈，如分组数据汇聚层协议(packetdataconvergenceprotocol,pdcp)，无线资源控制(radioresourcecontrol,rrc)协议；du用于处理基站与终端设备之间的下层协议通信，具体地，处理基站与终端设备之间的下层协议栈，如无线链路控制(radiolinkcontrol,rlc)协议，媒体接入控制(mediaaccesscontrol,mac)协议。可选地，源基站101和目标基站102可以共用一个cu。

上述终端设备103可以是用户设备(userequipment，ue)，即一种向用户提供语音和/或数据连通性的设备，还可以是具有无线连接功能的手持式设备或车载设备等。常见的终端设备包括：手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobileinternetdevice，mid)、物联网设备，可穿戴设备(例如，智能手表、智能手环、计步器)等。

参见图2，为本发明实施例提供的一种通信方法的流程示意图，该方法包括：

s201、目标基站从源基站接收切换请求，所述切换请求包含第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥。

其中，第一密钥可以为源基站衍生的密钥，例如，根据下一跳链计数器(nexthopchainingcounter，ncc)生成的密钥；也可以为源基站与终端设备之间的接入层密钥。

其中，第一指示信息可以用于指示第一密钥为更新后的密钥，或者，用于指示第一密钥为已更新的密钥，两者仅表述方式不同，可以相互替换。

其中，第一指示信息还可以用于指示第一密钥为未更新的密钥，或者，用于指示第一密钥不是更新后的密钥，两者仅表述方式不同，可以相互替换。

示例性地，当第一密钥为源基站衍生的密钥时，第一指示信息用于指示该第一密钥为更新后的密钥；当第一密钥为源基站与终端设备之间的接入层密钥时，第一指示信息用于指示该第一密钥为未更新的密钥。

其中，上述第一指示信息可以为切换请求中的标志位，上述第一指示信息用于指示上述第一密钥是否为更新后的密钥具体可以为：当上述标志位的取值为0(0：false)时，该标志位指示上述第一密钥为未更新的密钥，即上述源基站保持其与终端设备之间的接入层密钥不变，换言之，源基站将其与终端设备之间的接入层密钥直接传递给目标基站；当上述标识位的取值为1(1：true)时，该标志位指示上述第一密钥为更新后的密钥，即上述源基站更新了其与终端设备之间的接入层密钥。

s202、目标基站根据所述切换请求，向所述源基站发送第二指示信息，所述第二指示信息用于指示所述目标基站与终端设备之间的接入层密钥是否为更新后的密钥。

其中，第二指示信息可以携带在切换请求确认(handoverrequestacknowledge)中发送给源基站；也可以携带在上述切换请求确认中的第一消息中，该第一消息由上述目标基站构造的；也可以通过新增消息发送给源基站，不予限制。

其中，上述第一消息用于更改rrc连接，例如建立或更改或释放无线承载。该第一消息可以为rrc连接重配置(connectionreconfiguration)消息。

其中，上述第二指示信息可以为切换请求确认中的标志位，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥是否为更新后的密钥具体可以为：当上述标识位的取值为0(0：false)时，该标志位指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥，即上述目标基站保持其与上述终端设备之间的接入层密钥不变；当上述标识位的取值为1(1：true)时，该标志位指示上述目标基站与上述终端设备之间的接入层密钥为更新后的密钥，即上述目标基站更新了其与上述终端设备之间的接入层密钥。

其中，上述第二指示信息可以为隐式指示，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥是否为更新后的密钥具体可以为：当上述第一消息中不包含上述第二指示信息时，表明上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥，即上述目标基站保持其与上述终端设备之间的接入层密钥不变；当上述第一消息中包含上述第二指示信息时，表明上述目标基站与上述终端设备之间的接入层密钥为更新后的密钥，即上述目标基站更新了其与上述终端设备之间的接入层密钥。

具体地，上述第二指示信息可以是ncc，当上述终端设备接收到第一消息，且该第一消息中不包含ncc时，保持其与目标基站的接入层密钥不变；当终端设备接收到第一消息，且该第一消息中包含ncc时，上述终端设备更新其与目标基站的接入层密钥。

其中，所述目标基站根据所述切换请求，向所述源基站发送第二指示信息，可以采用如下两种实现方式：

方式一、当所述第一指示信息用于指示所述第一密钥为更新后的密钥时，所述目标基站向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥。

此时，上述目标基站与终端设备之间的接入层密钥可以为第一密钥。

方式二、当上述源基站与上述目标基站属于同一个中心单元(centralunit，cu)时，上述目标基站向源基站发送所述第二指示信息，该第二指示信息与第一指示信息的作用相同，或者，上述目标基站向源基站发送所述第一指示信息；当上述源基站与上述目标基站不属于同一个cu时，上述目标基站向源基站发送第二指示信息，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥为更新后的密钥。

上述源基站和上述目标基站可以共用一个cu，或者上述源基站与上述目标基站可以使用不同的cu。上述源基站和上述目标基站可以共用一个cu可以理解为上述源基站和上述目标基站属于同一个cu；当上述源基站与上述目标基站可以使用不同的cu可以理解为上述源基站和上述目标基站属于不同的cu。

例如，在上述源基站与上述目标基站属于同一个cu的情况下，当上述第一指示信息用于指示上述第一密钥为更新后的密钥时，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥为更新后的密钥；或者，当上述第一指示信息用于指示上述第一密钥是未更新的密钥时，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥是未更新的密钥。

方式三、当所述第一指示信息用于指示所述第一密钥不是更新后的密钥时，所述目标基站根据参考信息，向所述源基站发送所述第二指示信息。

其中，目标基站根据参考信息，向所述源基站发送所述第二指示信息，可以包括：

其中，第二指示信息可以用于指示上述目标基站与上述终端设备之间的接入层密钥为未更新的密钥，或者，用于指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥，两者仅表述方式不同，可以相互替换。

示例性地，上述目标基站保存有一个信任列表，该信任列表中存储有物理小区标识(physicalcellidentifier,pci)与信任等级的对应关系，或e-utran小区全球标识(e-utrancellglobalidentifier,ecgi)与信任等级的对应关系。该对应关系可以由上述源基站和上述目标基站的部署位置确定，还可由上述基站的制造商等确定。当上述信任等级高于信任阈值时，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥。

示例性地，上述目标基站对上述源基站的信任等级和上述信任阈值均可以为一个数值，上述信任等级和上述信任阈值均预先配置在上述目标基站中。

示例性地，上述策略指示信息可包括上述目标基站针对终端设备或者分组数据单元(packetdataunit，pdu)会话的策略指示信息。这些策略指示信息可以由上述目标基站从策略控制功能(policycontrolfunction，pcf)实体、统一数据管理(unifieddatamanagement，udm)实体、结构数据存储网络功能(structureddatastoragenetworkfunction，sdsf)实体或者无结构数据存储网络功能(unstructureddatastoragenetworkfunction，udsf)实体获得，该策略指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥是否为更新后的密钥，或者上述策略指示信息指示对上述目标基站与上述终端设备之间的pdu会话进行加密的密钥是否为更新后的密钥。

需要指出的是，上述策略指示信息可以理解为目标基站从核心网获取的规则，该规则指示目标基站是否更新密钥。

当上述策略指示信息指示上述目标基站不更新密钥时，上述第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥。

需要指出的是，当上述信任等级高于上述信任阈值时，或者当上述策略指示信息用于指示上述目标基站不更新密钥时，上述目标基站保存上述第一密钥，即将上述第一密钥作为该目标基站与上述终端设备之间的接入层密钥。

其中，所述目标基站根据参考信息，向所述源基站发送所述第二指示信息，可以包括：

其中，信任等级，策略指示信息可以参考上述描述，不再赘述。

可选地，上述切换请求还包括ncc，上述方法还包括：

目标基站通过所述源基站向所述终端设备发送所述ncc。

例如，目标基站可以将ncc携带在上述切换请求确认所包括的第一消息中发送给源基站，源基站再将上述第一消息发送给终端设备。

可选地，结合上述方式三，当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，上述方法还包括：

目标基站根据所述上述ncc，生成第二密钥。

其中，第二密钥可以用于目标基站与终端设备之间的接入层通信。目标基站可以保存该第二密钥。

具体地，上述目标基站可以根据上述ncc和该ncc对应的衍生参数，生成上述第二密钥。

其中，上述衍生参数可以包括pci、演进型通用陆基无线接入下行绝对无线频点(e-utraabsoluteradiofrequencychannelnumber-downlink,earfcn-dl)以及上述源基站未使用的下一跳(nexthop，nh)或者上述源基站与上述终端设备之间当前使用的接入层密钥。

示例性地，若与ncc绑定的nh未使用，则目标基站进行纵向密钥衍生，目标基站使用nh作为衍生参数；否则，目标基站进行横向密钥衍生，目标基站使用上述源基站当前使用的密钥作为衍生参数。对于上述两种衍生方式，衍生参数还可以包含pci和/或earfcn-dl。

可选地，上述方法还包括：

目标基站从所述终端设备接收第三指示信息；

当所述第三指示信息用于指示所述终端设备不更新密钥，且所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述目标基站向所述终端设备发送ncc。

其中，第三指示信息可以用于指示上述终端设备不更新密钥，或者，用于指示上述目标基站与上述终端设备之间的接入层密钥为未更新的密钥，或者，用于指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥，三者仅表述方式不同，可以相互替换。

可选地，上述方法还包括：

目标基站从终端设备接收第三指示信息；

当所述第三指示信息用于指示所述终端设备更新密钥，且所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，所述目标基站根据ncc生成第二密钥，并向所述终端设备发送所述ncc。

其中，上述第二密钥可以用于上述目标基站与上述终端设备之间的通信。

可选地，上述方法还包括：

目标基站从移动性管理实体(mobilitymanagemententity,mme)或接入与移动管理功能(accessandmobilemanagementfunction,，amf)实体接收一个新的ncc；

目标基站根据该新的ncc生成第三密钥，并向终端设备发送该新的ncc，以使得该终端设备根据该新的ncc生成衍生密钥。

可以看出，在本发明实施例的方案中，上述目标基站接收上述源基站的切换请求后，上该目标基站根据上述切换请求中携带的第一指示信息和参考信息确定是否更新密钥，并设置第二指示信息，该第二指示信息用于指示上述目标基站与终端设备之间的接入层密钥是否为更新后的密钥。上述目标基站向上述终端设备发送上述第二指示信息，以使上述终端设备可根据该第二指示信息的指示进行是否更新密钥操作。与现有技术相比，使用本发明实施例的方案有利于解决终端设备与目标基站之间传输的数据存在安全隐患的问题，并且有利于解决终端设备的密钥的更换不受基站控制的问题。

需要指出的是，本申请各实施例中涉及的名词，术语，以及步骤的实现方式可以相互参考，不予限制。

参见图3，为本发明实施例提供的另一种通信方法的流程示意图，该方法包括：

s301、源基站向目标基站发送切换请求，所述切换请求携带第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥。

其中，上述第一密钥可以为上述源基站与上述终端设备之间的接入层密钥，也可以为上述源基站衍生的密钥，例如，源基站根据ncc生成的密钥。

在一个示例中，上述源基站从终端设备接收测量报告，并根据该测量报告确定要进行切换后，上述源基站向上述目标基站发送切换请求，该切换请求携带第一指示信息和第一密钥。

其中，第一指示信息可以用于指示第一密钥为更新后的密钥，或者，用于指示第一密钥为已更新的密钥，两者仅表述方式不同，可以相互替换。

其中，第一指示信息还可以用于指示第一密钥为未更新的密钥，或者，用于指示第一密钥不是更新后的密钥，两者仅表述方式不同，可以相互替换。

具体地，上述第一指示信息可以为切换请求中的标志位，该标志位的取值可为1(1：true)或0(0：false)，上述第一指示信息用于指示上述第一密钥是否为更新后的密钥具体为：当上述标识位的取值为0时，上述标识位指示上述第一密钥不是更新后的密钥，即源基站不更新其与上述终端设备之间的接入层密钥，该源基站保持其与上述终端设备之间的接入层密钥不变；当上述指示标识的取值为0时，上述标志位指示上述第一密钥为更新后的密钥，例如，上述源基站根据ncc生成第一密钥。

示例性地，在不同情况下，第一指示信息的作用可以不同，如下：

当上述源基站与上述目标基站属于同一个cu时，上述第一指示信息用于指示上述第一密钥不是更新后的密钥；或者，

当上述源基站与上述目标基站不属于同一个cu时，上述第一指示信息用于指示上述第一密钥为更新后的密钥；或者，

当策略指示信息指示该源基站更新密钥时，上述第一指示信息用于指示上述第一密钥为更新后的密钥；或者，

当上述策略指示信息指示该源基站不更新密钥时，上述第一指示信息用于指示上述第一密钥不是更新后的密钥；或者，

当上述源基站对上述目标基站的信任等级低于信任阈值时，上述第一指示信息用于指示所述第一密钥为更新后的密钥；或者，

当上述源基站对上述目标基站的信任等级高于信任阈值时，上述第一指示信息用于指示上述第一密钥不是更新后的密钥。

示例性地，上述策略指示信息可包括上述源基站针对终端设备或者pdu会话的策略指示信息。这些策略指示信息可以由上述源基站从pcf实体、udm实体、sdsf实体或者udsf实体获得，该策略指示信息用于指示上述源基站与上述终端设备之间的接入层密钥是否为更新后的密钥，或者上述策略指示信息指示对上述源基站与上述终端设备之间的pdu会话进行加密的密钥是否为更新后的密钥。

需要指出的是，上述策略指示信息可以理解为源基站从核心网获取的规则，该规则指示源基站是否更新密钥。

具体地，当上述源基站与上述目标基站不属于同一个cu时，或者当上述源基站对上述目标基站的信任等级低于上述信任阈值时，上述源基站根据ncc生成上述第一密钥，该第一指示信息用于指示上述第一密钥为更新后的密钥。

其中，源基站根据ncc生成第一密钥的过程可参见上述步骤s202的相关内容，在此不再叙述。

当上述源基站与上述目标基站属于同一个cu时，或者当上述源基站对上述目标基站的信任等级高于上述信任阈值时，上述源基站保持其与终端设备之间的接入层密钥保持不变，即第一密钥不是更新后的密钥，该第一指示信息用于指示上述第一密钥是未更新的密钥。

s302、所述源基站从所述目标基站接收第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥。

其中，第二指示信息可以参见图2所示实施例中的相关描述，不再赘述。

s303、所述源基站向所述终端设备发送所述第二指示信息。

其中，源基站可以通过第一消息携带第二指示信息给终端设备，该第一消息可以由上述目标基站构造。

需要指出的是，上述第二指示信息可采用显式或隐式的指示方式，具体可以参见上述步骤s202的相关描述，在此不再叙述。

可以看出，在本发明实施例的方案中，上述源基站根据终端设备发送的测量报告确定是否根据决策确定更新密钥，设置第一指示信息。上述源基站向目标基站发送切换请求，该切换请求包括第一指示信息，使得目标基站根据第一指示信息和参考信息确定是否更新密钥。上述源基站接收目标基站发送的第二指示信息，并向终端设备发送该第二指示信息，使得源基站根据第二指示信息的指示进行是否更新密钥操作。与现有技术(每次切换时都要更换密钥)相比，采用本发明实施例的方案，可以防止基站频繁地更换密钥，减少了性能的开销。

可选地，在上述实施例的一种实施场景下，在步骤s301之后，上述方法还包括：

当上述源基站与上述目标基站属于同一个cu时，该源基站向上述终端设备发送所述第二指示信息，该第二指示信息指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥；或者，

当上述源基站与上述目标基站属于同一个cu时，上述源基站根据上述终端设备未更新其密钥的次数，向上述终端设备发送上述第二指示信息。

其中，上述源基站根据上述终端设备未更新其密钥的次数，向该终端发送所述第二指示信息，可以包括：

当上述终端设备未更新其密钥次数大于或等于计数阈值时，上述源基站向上述终端设备发送上述第二指示信息，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥是更新后的密钥；或者，

当上述终端设备未更新其密钥次数小于计数阈值时，上述源基站向上述终端设备发送上述第二指示信息，该第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥。

示例性地，每当上述源基站针对上述终端设备进行一次切换且此次切换后该终端设备与上述目标基站之间的接入层密钥不是更新后的密钥时，该源基站的针对上述终端设备未更新其密钥次数的计数器进行一次计数操作(该源基站将计数器的计数值加1)；每当上述源基站针对上述终端设备进行一次切换且此次切换后该终端设备与上述目标基站之间的接入层密钥为更新后的密钥时，该终端设备将上述计数器的计数值置为0。当上述计数器的计数值超过计数阈值时，上述源基站更新其与上述终端设备之间的接入层密钥。

需要指出的是，若上述源基站与上述目标基站属于同一个cu，则不执行步骤s302和s303。

可选地，在上述实施例的一种实施场景下，在步骤s302之后，上述方法还包括：

当所述第一指示信息指示所述第一密钥为更新后的密钥，且所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，所述源基站为所述终端设备重新选择目标基站。

需要指出的是，若源基站为所述终端设备重新选择目标基站，则不执行步骤s303。

可选地，在上述实施例的另一种实施场景下，在步骤s302之后，上述方法还包括：

当所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述源基站向所述终端设备发送第一消息；或者，

当所述第一指示信息指示所述第一密钥不是更新后的密钥，且所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述源基站向所述终端设备发送第一消息；或者，

当所述第一指示信息指示所述第一密钥为更新后的密钥，且所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述源基站向所述终端设备发送第一消息。

其中，所述第一消息用于请求更改rrc连接，例如建立或更改或释放无线承载。该第一消息可以为rrc连接重配置(connectionreconfiguration)消息。

可选地，该第一消息可以携带ncc；或者该第一消息还可以携带上述第二指示信息。

参见图4，为本发明实施例提供的另一种通信方法的流程示意图，该方法包括：

s401、终端设备从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥。

其中，第二指示信息可以携带第一消息中，该第一消息用于请求更改rrc连接，例如建立或更改或释放无线承载。该第一消息可以为rrc连接重配置(connectionreconfiguration)消息。

其中，上述第二指示信息可以参见图2所示实施例中的相关描述，不再赘述。

s402、所述终端设备根据所述第二指示信息，更新所述终端设备的密钥。

其中，步骤s402可以包括：

当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，所述终端设备更新所述终端设备的密钥；或者，

进一步地，上述终端设备根据参考信息更新该终端设备的密钥，可以采用如下方式实现：

方式一、当上述参考信息包括策略指示信息，且该策略指示信息用于指示该终端设备更新密钥时，上述终端设备更新该终端设备的密钥。

示例性地，上述策略指示信息可包括上述目标基站针对终端设备或者pdu会话的策略指示信息。这些策略指示信息可以由上述终端设备从pcf实体、udm实体、sdsf实体或者udsf实体获得，该策略指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥是否为更新后的密钥，或者上述策略指示信息指示对上述目标基站与上述终端设备之间的pdu会话进行加密的密钥是否为更新后的密钥。

需要指出的是，上述策略指示信息可以理解为终端设备从核心网获取的规则，该规则指示终端设备是否更新密钥。

方式二、当上述参考信息包括终端设备未更新密钥的次数值，且该终端设备未更新密钥的次数值超过预设阈值时，上述终端设备更新该终端设备的密钥。

示例性地，每当上述终端设备进行一次切换且此次切换后该终端设备与上述目标基站之间的接入层密钥不是更新后的密钥时，该终端设备的一个计数器进行一次计数操作(该终端设备将计数器的计数值加1)；每当上述终端设备进行一次切换且此次切换后该终端设备与上述目标基站之间的接入层密钥为更新后的密钥时，该终端设备将上述计数器的计数值置为0。当上述计数器的计数值超过计数阈值时，上述终端设备进行更新密钥。

方式三、当上述参考信息包括终端设备感知到的跟踪区标识(trackingareaidentity,tai)、无线接入网(radioaccessnetwork,ran)组或者无线接入技术(radioaccesstechnology,rat)是否发生改变的状态信息，且该状态信息指示终端设备感知到的tai、ran组和rat三者中任意一个发生改变时，上述终端设备更新该终端设备的密钥。

其中，步骤s402中终端设备更新所述终端设备的密钥，可以包括：

所述终端设备从上述源基站接收ncc，并根据所述ncc生成衍生密钥。

具体地，根据ncc生成衍生密钥的过程可参见上述步骤s202的相关内容，在此不再叙述。

可选地，上述方法还包括：

s403、所述终端设备向所述目标基站发送第三指示信息，所述第三指示信息用于指示所述终端设备更新密钥。

其中，第三指示信息可以是显示传输，也可以是隐式传输，具体可以参见图2所示实施例中第二指示信息的相关描述，不再赘述。

可选地，第三指示信息可以显示携带在第二消息中，该第二消息用于响应上述第一消息。

例如，当上述第一消息为rrc连接重配置(connectionreconfiguration)消息时，上述第二消息为rrc连接重配置完成(connectionreconfigurationcomplete)消息。

具体地，上述第三指示信息可以为第二消息中的标志位，该标志位的取值可为1真(1：true)或假0(0：false)，上述第三指示信息用于指示上述终端设备更新其密钥具体为：当上述标识位的取值为0时，上述标识位指示上述终端设备不更新其密钥，即该终端设备保持其与上述目标基站之间的接入层密钥不变；当上述标志位的取值为1时，上述标志位指示上述终端设备更新其密钥，例如，上述终端设备根据ncc生成衍生密钥。

可选的，第三指示信息可以为一种隐式指示，即终端设备通过不同的消息告知目标基站，例如，当上述第二消息为rrc连接重配置完成(connectionreconfigurationcomplete)消息时，表明上述终端设备不更新其密钥，即该终端设备保持其与上述目标基站之间的接入层密钥不变；当上述第二消息为rrc连接重建立请求(connectionre-establishmentrequest)消息时，表明上述终端设备更新其密钥，例如，上述终端设备根据ncc生成衍生密钥。

可选地，上述方法还包括由ncc更新触发的密钥更新过程，如下：

终端设备接收上述目标基站发送的新的ncc，该终端设备根据该新的ncc和该新的ncc对应的衍生参数生成衍生密钥。

可以看出，在本发明实施例的方案中，上述终端设备接收上述源基站发送第二指示信息和ncc，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥是更新后的密钥时，该终端设备根据该ncc和对应的衍生参数生成衍生密钥，解决了现有技术中终端设备的密钥的更新不受基站控制的问题。

参见图5，为本发明实施例提供的另一种通信方法的流程示意图，该方法包括：

s501、终端设备从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥。

其中，第二指示信息可以携带在第一消息中，该第一消息用于请求更改rrc连接，例如建立或更改或释放无线承载。上述第一消息可为rrc连接重配置(connectionreconfiguration)消息。

其中，上述第二指示信息可以参见图2所示实施例中的相关描述，不再赘述。

s502、所述终端设备根据所述第二指示信息，向所述目标基站发送第三指示信息，所述第三指示信息用于指示所述终端设备不更新密钥。

其中，第三指示信息还可以用于指示上述终端设备不更新密钥，或者用于指示上述终端设备与上述目标基站之间的接入层密钥为未更新的密钥，或者，用于指示上述终端设备与上述目标基站之间的接入层密钥不是更新后的密钥，三者仅表述方式不同，可以相互替换。

其中，第三指示信息可以携带在第二消息中，该第二消息用于响应上述第一消息。

其中，步骤s502可以包括：

其中，所述终端设备根据参考信息，向所述目标基站发送所述第三指示信息，可以采用如下方式实现：

方式一、当所述参考信息包括策略指示信息，且该策略指示信息用于指示上述终端设备不更新密钥时，上述终端设备向所述目标基站发送该第三指示信息。

其中，上述策略指示信息可以参见前述实施例的相关描述，不再赘述。

方式二，当上述参考信息包括终端设备未更新密钥的次数值，且上述终端设备未更新密钥的次数值超过预设阈值时，上述终端设备向上述目标基站发送该第三指示信息。

方式三、当上述参考信息包括终端设备感知到的tai、ran组或者rat是否发生改变的状态信息，且该状态信息指示该终端设备感知到的tai、ran组和rat均未发生改变时，上述终端设备向上述目标基站发送该第三指示信息。

例如，上述终端设备根据第二指示信息和参考信息确定不更新该终端设备的密钥后，该终端设备不更新其密钥，即该终端设备保持其密钥不变。

具体地，上述第三指示信息可以为第二消息中的标志位，该标志位的取值可为1真(1：true)或假0(0：false)，上述第三指示信息用于指示上述终端设备更新其密钥具体为：当上述标志位的取值为0时，上述标志位指示上述终端设备不更新其密钥，即该终端设备保持其与上述目标基站之间的接入层密钥不变；当上述标志位的取值为1时，上述标志位指示上述终端设备更新其密钥，例如，上述终端设备根据ncc生成衍生密钥。

可选的，第三指示信息可以为一种隐式指示，即终端设备通过不同的消息告知目标基站，当上述第二消息为rrc连接重配置完成(connectionreconfigurationcomplete)消息时，表明上述终端设备不更新其密钥，即该终端设备保持其与上述目标基站之间的接入层密钥不变；当上述第二消息为rrc连接重建立请求(connectionre-establishmentrequest)消息时，表明上述终端设备更新其密钥，例如，上述终端设备根据ncc生成衍生密钥。

可以看出，在本发明实施例的方案中，上述终端设备接收上述源基站发送第二指示信息和ncc，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥时，或者当第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥且上述终端设备根据上述参考信息确定不更新密钥时，该终端设备保持该终端设备的密钥不变。与现有技术相比，终端设备根据基站侧发送的指示信息确定不更新密钥，解决了终端设备的密钥的是否更新不受基站控制的问题。

在一种具体的应用场景中，上述终端设备仅根据参考消息确定是否更新密钥，具体采用以下方式：

方式一、当上述参考信息包括策略指示信息，且该策略指示信息用于指示上述终端设备更新密钥时，上述终端设备更新该终端设备的密钥，或者；

当上述参考信息包括策略指示信息，且该策略指示信息用于指示上述终端设备不更新密钥时，上述终端设备不更新该终端设备的密钥。

其中，策略指示信息可以参见图4所示实施例中的相关描述，不再赘述。

方式二、当上述参考信息包括终端设备未更新密钥的次数值，且该终端设备未更新密钥的次数值超过预设阈值时，上述终端设备更新该终端设备的密钥，或者；

当上述参考信息包括终端设备未更新密钥的次数值，且该终端设备未更新密钥的次数值未超过预设阈值时，上述终端设备不更新该终端设备的密钥

方式三、当上述参考信息包括终端设备感知到的tai、ran组或者rat是否发生改变的状态信息，且该状态信息指示该终端设备感知到的tai、ran组和rat三者中任意一个发生改变时，上述终端设备更新该终端设备的密钥；或者，

当上述参考信息包括终端设备感知到的tai、ran组或者rat是否发生改变的状态信息，且该状态信息指示该终端设备感知到的tai、ran组和rat均未发生改变时，上述终端设备不更新该终端设备的密钥。

在一种具体的应用场景中，上述终端设备主动根据上述参考消息确定该终端设备更新密钥后，上述终端设备向源基站发送rrc连接重建立请求(connectionre-establishmentrequest)消息，该消息用于重建立rrc连接。上述终端设备接收到上述源基站发送的rrc连接重建立完成(connectionre-establishmentcomplete)消息后，上述终端设备更新该终端设备的密钥。

需要指出的是，上述终端设备更新该终端设备的密钥具体是更新该终端设备与上述目标基站之间的接入层密钥。

参见图6，为本发明实施例提供的一种密钥更新方法的交互式流程示意图，该方法包括：

s601、源基站根据测量报告确定进行基站切换。

例如，源基站接收终端设备上报的测量报告，根据测量报告中的电平或质量信息确定是否切换基站，属于现有技术，不再赘述。

s602、源基站根据第一参考信息更新该源基站与终端设备之间的接入层密钥。

其中，当上述源基站根据上述第一参考信息确定更新上述源基站与终端设备之间的接入层密钥时，上述源基站执行步骤s603；当上述源基站根据上述第一参考信息确定不更新上述密钥时，上述源基站执行步骤s604。

其中，上述第一参考信息可以包括上述源基站与目标基站是否属于同一个cu、上述源基站对上述目标基站的信任等级或者第一策略指示信息。

示例性地，当上述第一参考信息包括上述源基站与目标基站是否属于同一个cu，且上述源基站与上述目标基站不属于同一个cu时，上述源基站执行步骤s603；或者，

当上述第一参考信息包括上述源基站与目标基站是否属于同一个cu，且上述源基站与上述目标基站属于同一个cu时，上述源基站执行步骤s604；或者，

当上述第一参考信息包括上述第一策略指示信息，且该第一策略指示信息指示上述源基站更新密钥时，上述源基站执行步骤s603；或者，

当上述第一参考信息包括上述第一策略指示信息，且该第一策略指示信息指示上述源基站不更新密钥时，上述源基站执行步骤s604；或者，

当上述第一参考信息包括上述源基站对上述目标基站的信任等级，且该信任等级高于第一信任阈值时，上述源基站执行步骤s603；或者，

当上述第一参考信息包括上述源基站对上述目标基站的信任等级，且该信任等级低于第一信任阈值时，上述源基站执行步骤s604。

针对上述源基站对上述目标基站的信任等级进行具体说明。上述源基站中保存一个信任列表，该信任列表中存储有pci与信任等级的对应关系，或ecgi与信任等级的对应关系。该对应关系可以由上述源基站和上述目标基站的部署位置决定，还可由上述基站的设备制造商等决定。

其中，上述第一策略指示信息可参见图3所示实施例中的相关描述，不再赘述。

s603、源基站根据第一ncc生成第一密钥，并向目标基站发送请求消息。

其中，上述请求消息可以包括第一指示信息和上述第一密钥，该第一指示信息用于指示上述第一密钥为更新后的密钥。该第一密钥为源基站与终端设备之间的接入层密钥。

其中，源基站根据第一ncc生成第一密钥可以参见步骤s202中的相关描述，不再赘述。

其中，上述请求消息可以是切换请求，该切换请求用于请求上述目标基站准备切换。上述请求消息也可以是角色改变请求，该角色改变请求可以用于请求上述目标基站从第二基站(secondgnb)改变到主基站(mastergnb)，该角色改变请求可以用于0毫秒切换过程中。

上述主基站可理解为在双连接中，与mme或者amf实体存在s1/n2连接的基站；上述第二基站可以理解为在双连接中为终端设备提供额外的无线资源的基站。双连接类似于

s604、源基站保持其密钥不变，并向目标基站发送请求消息。

其中，上述请求消息可以包括第一指示信息，该第一指示信息用于指示上述第一密钥是未更新的密钥。该第一密钥为源基站与终端设备之间的接入层密钥。

s605、目标基站根据请求消息确定是否更新该目标基站与终端设备之间的接入层密钥。

其中，当上述目标基站根据上述请求消息确定更新该目标基站与终端设备之间的接入层密钥时，上述目标基站执行步骤s606；当上述目标基站根据上述请求消息确定不更新该目标基站与终端设备之间的接入层密钥时，上述目标基站执行步骤s607。

例如，当上述第一指示信息用于指示上述第一密钥为更新后的密钥时，上述目标基站执行步骤s606；当上述第一指示信息用于指示上述第一密钥不是更新后的密钥时，上述目标基站执行步骤s607，上述第一密钥为上述目标基站与上述终端设备之间的接入层密钥。

s606、目标基站保存第一密钥，并向源基站发送响应消息。

其中，上述响应消息携带第二指示信息，该第二指示信息用于指示上述目标基站与终端设备之间的接入层密钥为更新后的密钥。

s607、目标基站根据第二参考信息确定是否更新该目标基站与终端设备之间的接入层密钥。

其中，当上述目标基站根据上述第二参考信息确定更新该目标基站与终端设备之间的接入层密钥时，上述目标基站执行步骤s608；当上述目标基站根据上述第二参考信息确定不更新该目标基站与终端设备之间的接入层密钥时，上述目标基站执行步骤s609。

其中，上述第二参考信息可以包括上述目标基站对上述源基站的信任等级或第二策略指示信息。

例如，当上述信任等级低于第二信任阈值时，或者，当上述第二策略指示信息用于指示上述目标基站更新密钥时，上述目标基站执行步骤s608。

再例如，当上述信任等级高于第二信任阈值时，或者，当上述第二策略指示信息用于指示上述目标基站不更新密钥时，上述目标基站执行步骤s609。

其中，上述第二策略指示信息可参见图2所示实施例中的相关描述，不再赘述。

s608、目标基站根据第一ncc生成第二密钥，并向源基站发送响应消息。

其中，上述请求消息还携带上述第一ncc；上述响应消息携带第二指示信息，该第二指示信息用于指示上述目标基站与终端设备之间的接入层密钥为更新后的密钥。

需要说明的是，上述目标基站根据上述第一ncc生成第二密钥的过程可以参见上述步骤s202的相关内容，在此不再叙述。该第二密钥为上述目标基站与上述终端设备之间的接入层密钥。

s609、目标基站保存第一密钥，向源基站发送响应消息。

其中，上述响应消息携带第二指示信息，该第二指示信息用于指示上述目标基站与终端设备之间的接入层密钥不是更新后的密钥。

其中，上述步骤s606、s608和s609中的响应消息用于响应步骤s605中的请求消息。

其中，上述响应消息可以携带第一消息。该第一消息用于请求更改rrc连接，建立或更改或释放无线承载。上述第一消息可为rrc连接重配置(connectionreconfiguration)消息，或其他新增的消息。

具体地，上述响应消息可以携带第二指示信息包括：

上述响应消息携带上述第一消息，该第一消息携带上述第二指示信息，或者；

上述响应消息携带上述第一消息和上述第二指示信息，该第一消息和该第二指示信息之间没有相互包含关系。

s610、源基站根据响应消息向终端设备发送第一消息。

其中，上述响应消息携带上述第一消息，该第一消息可以包括上述第一ncc和上述第二指示信息。

可选地，上述源基站向上述终端设备发送第二指示信息，包括：

当上述源基站与上述目标基站属于同一个cu时，上述源基站根据上述终端设备未更新其密钥的次数，向上述终端设备发送上述第二指示信息。

其中，上述源基站根据上述终端设备未更新其密钥的次数，向该终端发送所述第二指示信息，可以包括：

可选地，上述源基站从目标基站接收到上述第一消息后，上述源基站从该第一消息中解析出上述第二指示信息。当上述第一指示信息指示上述第一密钥为更新后的密钥，且上述第二指示信息指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥时，上述源基站可以为上述终端设备重新选择目标基站，那么，步骤s611及其之后的步骤不再执行。

可选地，当上述第二指示信息指示上述目标基站与上述终端设备之间的接入层密钥为更新后的密钥时，或者，当上述第一指示信息指示上述第一密钥不是更新后的密钥，且上述第二指示信息指示上述目标基站与上述终端设备之间的接入层密钥为更新后的密钥时，或者，当上述第一指示信息指示上述第一密钥为更新后的密钥，且上述第二指示信息指示上述目标基站与上述终端设备之间的接入层密钥为更新后的密钥时，上述源基站向上述终端设备发送第一消息，该第一消息用于请求更改rrc连接，该第一消息包括上述第二指示信息。

需要指出的是，上述第二指示信息可参见图2所示实施例的相关描述，在此不再叙述。

其中，当上述第二指示信息指示更新密钥时，上述终端设备执行步骤s611；当上述第二指示信息指示不更新密钥时，上述终端设备执行步骤s612。

例如，当上述第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥为更新后的密钥，上述终端设备确定更新密钥，该终端设备执行步骤s611；当上述第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥，上述终端设备确定不更新密钥，该终端设备执行步骤s612。

可选地，当上述第一消息中只包括上述第一ncc时，上述终端设备执行步骤s611。

s611、终端设备根据第一ncc生成衍生密钥，向目标基站发送第二消息。

其中，上述第二消息可以是rrc连接重配置完成(connectionreconfigurationcomplete)消息。

可选地，上述第二消息可以包括第三指示信息，该第三指示信息用于指示上述终端设备更新密钥。

s612、终端设备保持密钥不变，向目标基站发送第二消息。

其中，上述第二消息可以是rrc连接重配置完成(connectionreconfigurationcomplete)消息。

可选地，上述第二消息可以包括第三指示信息，该第三指示信息用于指示上述终端设备不更新密钥。

需要指出的是，上述第三指示信息可参见图4和图5所示实施例的相关描述；上述第二消息可参见上述步骤s403和步骤s502的相关描述，在此不再叙述。

在本发明实施例的方案中，上述源基站根据第一参考信息确定是否更新密钥，并生成第一密钥和设置第一指示信息。该源基站向上述目标基站发送切换请求，该切换请求包括第一密钥和ncc，上述目标基站根据上述第一指示信息和第二参考消息确定是否更新密钥，并生成第二密钥和设置第二指示信息。该目标基站向终端设备发送第二指示信息，该终端设备根据该第二指示信息的指示进行是否更新密钥操作，并生成衍生密钥和第三指示信息。与现有技术相比，使用本发明实施例的方案有利于解决终端设备与目标基站之间传输的数据存在安全隐患的问题，并且有利于解决终端设备的密钥的更换不受基站控制的问题。

可选地，在上述实施例的一种实施场景下，当上述第二指示信息用于指示上述目标基站与终端设备之间的接入层密钥不是更新后的密钥，且上述第三指示信息用于指示上述终端设备更新密钥时，上述方法还包括：

s613、目标基站根据上述第一ncc生成第二密钥，并向终端设备发送第一ncc，使该终端设备根据该第一ncc生成衍生密钥。

s614、终端设备根据上述第一ncc生成衍生密钥。

可选地，在上述实施例的另一种实施场景下，当上述第二指示信息用于指示上述目标基站与终端设备之间的接入层密钥是更新后的密钥，且上述第三指示信息用于指示上述终端设备不更新密钥时，上述方法还包括：

s613a、目标基站向终端设备发送第一ncc，使该终端设备根据该第一ncc生成衍生密钥。

s614a、终端设备根据上述第一ncc生成衍生密钥。

可选地，在上述实施例的又一种实施场景下，上述方法还包括：

s613b、目标基站从amf实体或mme接收一个新的ncc后，该目标基站根据该新的ncc生成第二密钥，并向终端设备发送该新的ncc，使上述终端设备根据该新的ncc生成衍生密钥。

s614b、上述终端设备根据上述新的ncc生成衍生密钥。

需要指出的是，上述步骤s601-s616b可参见上述图2、图3、图4和图5的相关描述，在此不再叙述。

在上述实施例的一个具体应用场景下，上述终端设备向上述目标基站发送rrc连接重配置完成(connectionreconfigurationcomplete)消息，当上述终端设备确定该消息未成功发送，则上述终端设备构造rrc连接重建立请求(connectionre-establishmentrequest)消息，并向上述目标基站发送上述rrc连接重建立请求(connectionre-establishmentrequest)消息，该消息用于重建立rrc连接，上述目标基站接收到该消息后，就可以确定上述终端设备更新密钥，并且向该终端设备发送rrc连接重建立完成(connectionre-establishmentcomplete)消息，以响应上述rrc连接重建立请求(connectionre-establishmentrequest)消息。

参见图7，图7为本发明实施例提供的另一种通信方法。如图7所示，该方法包括：

s701、源基站根据测量报告确定进行基站切换。

s702、源基站根据第一参考信息确定是否更新该源基站与终端设备之间的接入层密钥。

其中，当上述源基站根据上述第一参考信息确定更新该源基站与终端设备之间的接入层密钥时，上述源基站执行步骤s703；当上述源基站根据上述第一参考信息确定不更新该源基站与终端设备之间的接入层密钥，上述源基站执行步骤s704。

其中，该步骤(s702)相关描述可参见上述步骤s602的相关描述，不再叙述。

s703、源基站根据第一ncc生成第一密钥，并向目标基站发送请求消息。

其中，上述请求消息包括上述第一密钥和第一指示信息，该第一指示信息用于指示上述第一密钥为更新后的密钥。上述请求消息可以是切换请求，该切换请求用于请求上述目标基站准备切换。

其中，该步骤(s703)相关描述可参见上述步骤s603的相关描述，不再叙述。

s704、源基站保持上述第一密钥不变，并向目标基站发送请求消息。

其中，上述请求消息包括上述第一密钥和第一指示信息，该第一指示信息用于指示上述第一密钥不是更新后的密钥。

需要指出的是，上述第一指示信息可参见图2所述实施例的相关描述，不再叙述。

s705、目标基站根据请求消息确定是否更新密钥。

其中，当上述目标基站根据上述请求消息确定是否更新该目标基站与终端设备之间的接入层密钥时，上述目标基站执行步骤s706；当上述目标基站根据上述请求消息确定不更新该目标基站与终端设备之间的接入层密钥时，上述目标基站执行步骤s707。

例如，当上述第一指示信息用于指示上述第一密钥为更新后的密钥时，上述目标基站执行步骤s706；当上述第一指示信息用于指示上述第一密钥不为更新后的密钥时，上述目标基站执行步骤s707。

s706、目标基站保存所述第一密钥，并向源基站发送响应消息。

其中，上述响应消息携带第二指示信息，该第二指示信息用于指示上述目标基站与终端设备之间的接入层密钥为更新后的密钥。

s707、目标基站根据第二参考信息确定是否更新该目标基站与终端设备之间的接入层密钥。

其中，当上述目标基站根据上述第二参考信息确定更新该目标基站与终端设备之间的接入层密钥时，上述目标基站执行步骤s708；当上述目标基站根据上述第二参考信息确定不更新该目标基站与终端设备之间的接入层密钥时，上述目标基站执行步骤s709。

其中，该步骤(s707)可参见上述步骤s607的相关描述，不再叙述。

s708、目标基站根据所述第一ncc生成第二密钥，并向源基站发送响应消息。

其中，上述响应消息携带第二指示信息，该第二指示信息用于指示上述目标基站与终端设备之间的接入层密钥为更新后的密钥。

s709、目标基站保存第一密钥，并向源基站发送响应消息。

其中，上述响应消息携带第二指示信息，该第二指示信息用于指示上述目标基站与终端设备之间的接入层密钥不是更新后的密钥。

需要说明的是，上述第二指示信息可参见上述图2所述实施例中的相关描述，不再叙述。

s710、源基站根据响应消息向终端设备发送第一消息。

其中，上述响应消息携带上述第一消息，该第一消息用于请求更改rrc连接，例如建立或更改或释放无线承载。该第一消息可以包括上述第一ncc和上述第二指示信息。

上述第一消息可为rrc连接重配置(connectionreconfiguration)消息。

可选地，上述源基站向上述终端设备发送第二指示信息，包括：

当上述源基站与上述目标基站属于同一个cu时，该源基站向上述终端设备发送第二指示信息，该第二指示信息指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥；或者，

当上述源基站与上述目标基站属于同一个cu时，上述源基站根据上述终端设备未更新其密钥的次数，向上述终端设备发送上述第二指示信息。

其中，上述源基站根据上述终端设备未更新其密钥的次数，向该终端发送所述第二指示信息，可以包括：

当上述终端设备未更新其密钥次数小于计数阈值时，上述源基站向上述终端设备发送上述第二指示信息，该第二指示信息用于指示上述目标基站与上述终端设备之间的接入层密钥不是更新后的密钥。

其中，该步骤(s710)可参见上述步骤s610的相关描述，不再叙述。

其中，当上述第二指示信息指示更新密钥时，上述终端设备执行步骤s711；当上述第二指示信息指示不更新密钥时，上述终端设备执行步骤s712。

s711、终端设备将第二密钥作为终端设备与目标基站使用的接入层密钥，并向目标基站发送第二消息。

其中，上述第二消息可为rrc连接重配置完成(connectionreconfigurationcomplete)消息。

可选地，上述第二消息可以包括第三指示信息，该第三指示信息用于指示上述终端设备更新密钥。

s712、终端设备根据第三参考信息确定是否更新密钥。

其中，当上述第三参考信息指示更新密钥时，上述终端设备执行步骤s713；当上述第三参考信息指示不更新密钥时，上述终端上设备执行步骤s714。

其中，上述第三参考信息包括第三策略指示信息、终端设备未更新密钥的次数值和终端设备感知到的tai、ran组或者rat是否发生改变的状态信息。

示例性地，上述第三参考信息包括第三策略指示信息，且该第三策略指示信息用于指示上述终端设备更新该终端设备的密钥，上述终端设备执行步骤s713；或者，

上述第三参考信息包括第三策略指示信息，且该第三策略指示信息用于指示上述终端设备不更新该终端设备的密钥，上述终端设备执行步骤s714；或者，

上述第三参考信息包括终端设备未更新密钥的次数值，且该终端设备未更新密钥的次数值超过计数阈值时，上述终端设备执行步骤s713；或者，

上述第三参考信息包括终端设备未更新密钥的次数值，且该终端设备未更新密钥的次数值未超过计数阈值时，上述终端设备执行步骤s714；或者，

上述第三参考信息包括终端设备感知到的tai、ran组或者rat是否发生改变的状态信息，且该状态信息指示该终端设备感知到的tai、ran组和rat三者中任意一个发生变化时，上述终端设备执行步骤s713；或者，

上述第三参考信息包括终端设备感知到的tai、ran组或者rat是否发生改变的状态信息，且该状态信息指示该终端设备感知到的tai、ran组和rat均未发生变化时，上述终端设备执行步骤s714。

其中，上述第三策略指示信息可参见图4所示实施例中的相关描述，不再赘述

s713、终端设备根据所述第一ncc生成衍生密钥，并向目标基站发送第二消息。

其中，上述第二消息可以是rrc连接重配置完成(connectionreconfigurationcomplete)消息。

可选地，上述第二消息可以包括第三指示信息，该第三指示信息用于指示上述终端设备更新密钥。

需要说明的是，上述终端设备根据上述第一ncc生成衍生密钥的过程参见上述步骤s202的相关内容，在此不再叙述。

s714、终端设备保持密钥不变，并向目标基站发送第二消息。

其中，上述第二消息可以是rrc连接重配置完成(connectionreconfigurationcomplete)消息。

可选地，上述第二消息可以包括第三指示信息，该第三指示信息用于指示上述终端设备不更新密钥。

需要指出的是，上述第三指示信息可参见上述图4和图5所示实施例的相关描述；上述第二消息可参见上述步骤s403和步骤s502的相关描述，在此不再叙述。

在本发明实施例的方案中，上述源基站根据第一参考信息确定是否更新密钥，并生成第一密钥和设置第一指示信息。该源基站向上述目标基站发送切换请求，该切换请求包括第一密钥和ncc，上述目标基站根据上述第一指示信息和第二参考消息确定是否更新密钥，并生成第二密钥和设置第二指示信息。该目标基站向终端设备发送第二指示信息，该终端设备根据该第二指示信息和第三参考信息确定是否更新密钥，并生成衍生密钥和第三指示信息。与现有技术相比，使用本发明实施例的方案有利于解决终端设备与目标基站之间传输的数据存在安全隐患的问题，并且有利于解决终端设备的密钥的更换不受基站控制的问题。

s715、目标基站根据上述第一ncc生成第二密钥，并向终端设备发送第一ncc，以使该终端设备根据该第一ncc生成衍生密钥。

s716、终端设备根据上述第一ncc生成衍生密钥。

s715a、目标基站向终端设备发送第一ncc，以使该终端设备根据该第一ncc生成衍生密钥。

s716a、终端设备根据上述第一ncc生成衍生密钥。

可选地，在上述实施例的又一种实施场景下，上述方法还包括：

s715b、目标基站从amf实体或mme接收一个新的ncc后，该目标基站根据该新的ncc生成第二密钥，并向终端设备发送该新的ncc。

s716b、上述终端设备根据上述新的ncc生成衍生密钥。

需要指出的是，上述步骤s701-s716b可参见上述图2、图3、图4和图5所示实施例的相关描述，在此不再叙述。

参见图8，图8为本发明实施例提供的一种基站的结构示意图。如图8所示，该基站800包括：

第一接收单元801，用于从源基站接收切换请求，所述切换请求包含第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥。

第一发送单元802，用于根据所述切换请求，向所述源基站发送第二指示信息，所述第二指示信息用于指示所述目标基站与终端设备之间的接入层密钥是否为更新后的密钥。

其中，所述第一发送单元802，包括：

第一发送子单元8021，用于当所述第一指示信息用于指示所述第一密钥为更新后的密钥时，向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥；或者，

第二发送子单元8022，用于当所述第一指示信息用于指示所述第一密钥不是更新后的密钥时，根据参考信息，向所述源基站发送所述第二指示信息。

可选地，所述第二发送子单元8022，包括：

第三发送子单元80221，用于当所述参考信息包括所述目标基站对所述源基站的信任等级，且所述信任等级高于信任阈值时，向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥；或者，

第四发送子单元80222，用于元当所述参考信息包括策略指示信息，且所述策略指示信息指示所述目标基站不更新密钥时，向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥。

可选地，所述第二发送子单元8022包括：

第五发送子单元80223，用于当所述参考信息包括所述目标基站对所述源基站的信任等级，且所述信任等级低于信任阈值时，向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥；或者，

第六发送子单元80224，用于当所述参考信息包括策略指示信息，且所述策略指示信息指示所述目标基站更新密钥时，所述目标基站向所述源基站发送所述第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥。

其中，所述切换请求还包括下一跳链计数器ncc，所述基站800还包括：

第二发送单元803，用于通过所述源基站向所述终端设备发送所述ncc。

其中，所述基站800还包括：

第一生成单元804，用于当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，根据所述ncc，生成第二密钥。

可选地，所述基站800还包括：

第二接收单元805，用于从所述终端设备接收第三指示信息；

第二生成单元806，用于当所述第三指示信息用于指示所述终端设备更新密钥，且所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，根据所述ncc生成第二密钥；

第三发送单元807，用于向所述终端设备发送所述ncc。

可选地，所述基站800还包括：

第三接收单元808，用于从所述终端设备接收第三指示信息；

第四发送单元809，用于当所述第三指示信息用于指示所述终端设备不更新密钥，且所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，向所述终端设备发送所述ncc。

需要说明的是，上述各单元(第一接收单元801、第一发送单元802、第二发送单元803、第一生成单元804、第二接收单元805、第二生成单元806、第三发送单元807、第三接收单元808、第四发送单元809)用于执行上述方法的相关步骤。

在本实施例中，基站800是以单元的形式来呈现。这里的“单元”可以指特定应用集成电路(application-specificintegratedcircuit，asic)，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。此外，以上第一接收单元801、第一发送单元802、第二发送单元803、第一生成单元804、第二接收单元805、第二生成单元806、第三发送单元807、第三接收单元808、第四发送单元809可通过图14所示的基站的处理器1401来实现。

参见图11，图11为本发明实施例提供的一种基站的结构示意图。如图10所示，该基站1000包括：

第一发送单元1101，用于向目标基站发送切换请求，所述切换请求携带第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥。

接收单元1102，用于从所述目标基站接收第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥。

第二发送单元1103，用于向所述终端设备发送所述第二指示信息。

可选地，所述基站1100还包括：

第三发送单元1104，用于当所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，或者，当所述第一指示信息指示所述第一密钥不是更新后的密钥，且所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，或者，当所述第一指示信息指示所述第一密钥为更新后的密钥，且所述第二指示信息指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，向所述终端设备发送第一消息，所述第一消息用于请求更改rrc连接。

可选地，当所述源基站与所述目标基站属于同一个中心单元cu时，所述第一指示信息用于指示所述第一密钥不是更新后的密钥；或者，

当所述源基站与所述目标基站不属于同一个cu时，所述第一指示信息用于指示所述第一密钥为更新后的密钥；或者，

当所述源基站对所述目标基站的信任等级低于信任阈值时，所述第一指示信息用于指示所述第一密钥为更新后的密钥；或者，

当所述源基站对所述目标基站的信任等级高于信任阈值时，所述第一指示信息用于指示所述第一密钥不是更新后的密钥。

需要说明的是，上述各单元(第一发送单元1101、接收单元1102、第二发送单元1103、第三发送单元1104)用于执行上述方法的相关步骤。

在本实施例中，基站1100是以单元的形式来呈现。这里的“单元”可以指特定应用集成电路(application-specificintegratedcircuit，asic)，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。此外，以上第一发送单元1101、接收单元1102、第二发送单元1103、第三发送单元1104可通过图15所示的基站的处理器1501来实现。

参见图12，图12为本发明实施例提供的一种终端设备的结构示意图。如图11所示，该终端设备1200包括：

接收单元1201，用于从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥.

更新单元1202，用于根据所述第二指示信息，更新所述终端设备的密钥。

可选地，所述更新单元1202用于：

当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥为更新后的密钥时，更新所述终端设备的密钥；或者，

当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，根据参考信息更新所述终端设备的密钥。

可选地，所述更新单元1202用于：

当所述参考信息包括策略指示信息，且所述策略指示信息用于指示所述终端设备更新密钥时，更新所述终端设备的密钥。

其中，所述更新单元1202包括：

接收子单元12021，用于接收下一跳链计数器ncc；

生成子单元12022，用于根据所述ncc，生成衍生密钥。

可选地，所述终端设备还包括：

发送单元1203，用于向所述目标基站发送第三指示信息，所述第三指示信息用于指示所述终端设备更新密钥。

需要说明的是，上述各单元(接收单元1201、更新单元1202和发送单元1203)用于执行上述方法的相关步骤。

在本实施例中，终端设备1200是以单元的形式来呈现。这里的“单元”可以指特定应用集成电路(application-specificintegratedcircuit，asic)，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。此外，以上接收单元1201、更新单元1202和发送单元1203可通过图16所示的终端设备的处理器1601来实现。

参见图14，图14为本发明实施例提供的一种终端设备的结构示意图。如图13所示，该终端设备1400包括：

接收单元1401，用于从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥。

发送单元1402，用于根据所述第二指示信息，向所述目标基站发送第三指示信息，所述第三指示信息用于指示所述终端设备不更新密钥。

其中，所述发送单元包括：

第一发送单元14021，用于当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，向所述目标基站发送所述第三指示信息；或者，

第二发送单元14022，用于当所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥不是更新后的密钥时，所述终端设备根据参考信息，向所述目标基站发送所述第三指示信息。

可选地，所述第二发送单元14022用于：

当所述参考信息包括策略指示信息，且所述策略指示信息用于指示所述终端设备不更新密钥时，向所述目标基站发送所述第三指示信息。

需要说明的是，上述各单元(接收单元1401和发送单元1402)用于执行上述方法的相关步骤。

在本实施例中，终端设备1400是以单元的形式来呈现。这里的“单元”可以指特定应用集成电路(application-specificintegratedcircuit，asic)，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。此外，以上接收单元1401和发送单元1402可通过图19所示的终端设备的处理器1901来实现。

如图16所示，基站1600可以以图16中的结构来实现，该基站1600包括至少一个处理器1601，至少一个存储器1602以及至少一个通信接口1603。所述处理器1601、所述存储器1602和所述通信接口1603通过所述通信总线连接并完成相互间的通信。

处理器1601可以是通用中央处理器(cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制以上方案程序执行的集成电路。

通信接口1603，用于与其他设备或通信网络通信，如以太网，无线接入网(ran)，无线局域网(wirelesslocalareanetworks，wlan)等。

存储器1602可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，所述存储器1602用于存储执行以上方案的应用程序代码，并由处理器1601来控制执行。所述处理器1601用于执行所述存储器1602中存储的应用程序代码。

存储器1602存储的代码可执行以上提供的终端设备执行的上述通信方法，比如：目标基站从源基站接收切换请求，所述切换请求用于请求所述目标基站准备切换，所述切换请求包含第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥；所述目标基站根据所述切换请求，向所述源基站发送第二指示信息，所述第二指示信息用于指示所述目标基站与终端设备之间的接入层密钥是否为更新后的密钥。

如图17所示，基站1700可以以图17中的结构来实现，该基站1700包括至少一个处理器1701，至少一个存储器1702以及至少一个通信接口1703。所述处理器1701、所述存储器1702和所述通信接口1703通过所述通信总线连接并完成相互间的通信。

处理器1701可以是通用中央处理器(cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制以上方案程序执行的集成电路。

通信接口1703，用于与其他设备或通信网络通信，如以太网，无线接入网(ran)，无线局域网(wirelesslocalareanetworks，wlan)等。

存储器1702可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，所述存储器1702用于存储执行以上方案的应用程序代码，并由处理器1701来控制执行。所述处理器1701用于执行所述存储器1702中存储的应用程序代码。

存储器1702存储的代码可执行以上提供的终端设备执行的上述通信方法，比如：源基站向目标基站发送切换请求，所述切换请求用于请求所述目标基站准备切换，所述切换请求携带第一密钥和第一指示信息，所述第一指示信息用于指示所述第一密钥是否为更新后的密钥；所述源基站从所述目标基站接收第二指示信息，所述第二指示信息用于指示所述目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥；所述源基站向所述终端设备发送所述第二指示信息。

如图18所示，终端设备1800可以以图18中的结构来实现，该终端设备1800包括至少一个处理器1801，至少一个存储器1802以及至少一个通信接口1803。所述处理器1801、所述存储器1802和所述通信接口1803通过所述通信总线连接并完成相互间的通信。

处理器1801可以是通用中央处理器(cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制以上方案程序执行的集成电路。

通信接口1803，用于与其他设备或通信网络通信，如以太网，无线接入网(ran)，无线局域网(wirelesslocalareanetworks，wlan)等。

存储器1802可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，所述存储器1802用于存储执行以上方案的应用程序代码，并由处理器1801来控制执行。所述处理器1801用于执行所述存储器1802中存储的应用程序代码。

存储器1802存储的代码可执行以上提供的终端设备执行的上述通信方法，比如：终端设备从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥；所述终端设备根据所述第二指示信息，更新所述终端设备的密钥。

如图19所示，终端设备1900可以以图19中的结构来实现，该终端设备1900包括至少一个处理器1701，至少一个存储器1902以及至少一个通信接口1903。所述处理器1901、所述存储器1902和所述通信接口1903通过所述通信总线连接并完成相互间的通信。

处理器1901可以是通用中央处理器(cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制以上方案程序执行的集成电路。

通信接口1903，用于与其他设备或通信网络通信，如以太网，无线接入网(ran)，无线局域网(wirelesslocalareanetworks，wlan)等。

存储器1902可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，所述存储器1902用于存储执行以上方案的应用程序代码，并由处理器1901来控制执行。所述处理器1901用于执行所述存储器1902中存储的应用程序代码。

存储器1902存储的代码可执行以上提供的终端设备执行的上述通信方法，比如：终端设备从源基站接收第二指示信息，所述第二指示信息用于指示目标基站与所述终端设备之间的接入层密钥是否为更新后的密钥；所述终端设备根据所述第二指示信息，向所述目标基站发送第三指示信息，所述第三指示信息用于指示所述终端设备不更新密钥。

本发明实施例还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时包括上述方法实施例中记载的任何一种通信方法的部分或全部步骤。

本发明实施例还提供了一种芯片，其中，该芯片用于实现上述图2、图6和图7所示实施例的全部步骤或者部分步骤。

本发明实施例还提供了一种芯片，其中，该芯片用于实现上述图3、图6和图7所示实施例的全部步骤或者部分步骤。

本发明实施例还提供了一种芯片，其中，该芯片用于实现上述图4、图5、图6和图7所示实施例的全部步骤或者部分步骤。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和单元并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储器中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储器包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储器中，存储器可以包括：闪存盘、只读存储器(英文：read-onlymemory，简称：rom)、随机存取器(英文：randomaccessmemory，简称：ram)、磁盘或光盘等。

以上对本发明实施例进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上上述，本说明书内容不应理解为对本发明的限制。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：胡力;陈璟
技术所有人：华为技术有限公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。