通信安全的处理方法、装置及系统与流程

本申请涉及通信技术领域，特别涉及通信安全的处理方法、装置及系统。

背景技术：

随着无线通信技术的发展，无线网络的用户日益增长，人们对无线通信的安全也越来越重视。因此无线网络提供了安全机制以提高信息传输的安全。目前的安全机制主要包括鉴权、非接入层(non-accessstratum，nas)安全和接入层(accessstratum，as)安全等方面，其中在as安全方面，终端在每次切换时，都需要更新as安全密钥，如此，随着小区的增多，小区覆盖范围的减小，as安全密钥的更新频率会不断增加，这种频繁的as安全密钥的更新将带来很大的开销。

技术实现要素：

有鉴于此，本申请提供通信安全的处理方法、装置及系统，以期减少as安全密钥更新所带来的开销。

在一种通信安全的处理方法中，终端在相同的ran节点、ran节点组或区域内的小区之间切换时，无需更新as安全密钥，在不同的ran节点、ran节点组或区域内的小区或频率之间切换时，才更新as安全密钥，如此节省了as安全通信所需要的开销。

第一方面，当终端从源小区切换到目标小区时执行操作：确定源小区和目标小区是否位于相同的ran节点、ran节点组或区域，当源小区和目标小区位于相同的ran节点、ran节点组或区域时，继续使用在源小区使用的as根密钥，或者说，继续使用在源小区使用的as安全密钥。

如此，终端无需更新as安全密钥，节约了密钥更新的开销。

终端确定源小区和目标小区是否位于相同的ran节点、ran节点组或区域可以采用多种方法，以下例举几种方法：

终端接收源ran节点发送的切换命令，当切换命令中不包括ncc或者包括的ncc与终端当前的ncc相同时，终端确定源小区和目标小区位于相同的ran节点、ran节点组或区域。

再如，终端接收源ran节点发送的信令，该信令用于指示终端从源小区切换到目标小区，当终端未接收到推演参数时，确定源小区和目标小区位于相同的ran节点、ran节点组或区域。

再如，终端接收源ran节点发送的信令，该信令用于通知终端源小区和目标小区是否位于相同的ran节点、ran节点组或区域，或者用于通知终端是否推演as根密钥或更新as安全密钥，终端根据该信令确定源小区和目标小区是否位于相同的ran节点、ran节点组或区域。

第二方面，当终端从源小区切换到目标小区，且源小区和目标小区位于不同的ran节点、ran节点组或区域时，终端执行操作：获取推演参数，并根据源as根密钥和推演参数推演目标as根密钥，且根据目标as根密钥，计算在目标小区使用的as安全密钥，其中，源as根密钥为在源小区使用的as根密钥，目标as根密钥为在目标小区使用的as根密钥，推演参数用于推演as根密钥，且对应于目标小区所在的ran节点、ran节点组或区域，其中，相同ran节点、ran节点组或区域内的小区具有相同的推演参数。

第三方面，提供一种通信安全的处理装置，位于终端，用于执行以上第一方面或第二方面的方法。该装置具有执行以上第一方面或第二方面的方法的各个步骤的单元；或者具有处理器和存储器，存储器存储程序，处理器调用存储器存储的程序，执行以上第一方面或第二方面的方法。

例如，该装置具有确定单元和使用单元以执行以上第一方面的方法，确定单元用于确定源小区和目标小区是否位于相同的ran节点、ran节点组或区域；使用单元用于在源小区和目标小区位于相同的ran节点、ran节点组或区域时，继续使用在源小区使用的as根密钥，或者说，继续使用在源小区使用的as安全密钥。

例如，该装置具有获取单元、推演单元和计算单元。其中，获取单元用于在终端从源小区切换到目标小区时，获取推演参数，该推演参数用于推演as根密钥，且推演参数对应于目标小区所在的ran节点、ran节点组或区域，其中，相同ran节点、ran节点组或区域内的小区具有相同的推演参数；推演单元用于根据源as根密钥和推演参数推演目标as根密钥，其中源as根密钥为终端在源小区使用的as根密钥，目标as根密钥为终端在目标小区使用的as根密钥；计算单元，用于根据目标as根密钥，计算在目标小区使用的as安全密钥，其中源小区和目标小区位于不同的ran节点、ran节点组或区域。该装置还可以包括使用单元，用于使用计算单元计算出的as安全密钥与目标ran节点进行通信。

第三方面，提供一种通信安全的处理方法，由ran节点执行，包括：确定将终端从源小区切换到目标小区；确定源小区和目标小区是否位于相同的ran节点、ran节点组、或区域内；当源小区和目标小区位于相同的ran节点、ran节点组、或区域内时，继续使用源as根密钥，即继续使用在源小区使用的as安全密钥；或者，当源小区和目标小区位于不同的ran节点、或ran节点组、或区域内时，获取推演参数，根据源as根密钥和推演参数推演目标as根密钥，并将目标as根密钥发送给目标ran节点，推演参数对应于目标小区所在的ran节点、ran节点组或区域，其中，相同ran节点、ran节点组或区域内的小区具有相同的推演参数。

第四方面，提供一种通信安全的处理装置，位于ran节点，用于执行以上第三方面的方法。该装置具有执行以上第三方面的方法中各个步骤的单元；或者具有处理器和存储器，存储器存储程序，处理器调用存储器存储的程序，执行以上第三方面的方法。

例如，该装置包括确定单元和使用单元，其中确定单元用于确定源小区和目标小区是否位于相同的ran节点、ran节点组、或区域内；使用单元用于在源小区和目标小区位于相同的ran节点、ran节点组、或区域内时，继续使用源as根密钥，即继续使用在源小区使用的as安全密钥。

例如，该装置包括确定单元，获取单元，推演单元，第一发送单元，确定单元用于确定源小区和目标小区是否位于相同的ran节点、ran节点组、或区域内；获取单元，用于当源小区和目标小区位于不同的ran节点、或ran节点组、或区域内时，获取推演参数，该推演参数用于推演as根密钥，且推演参数对应于目标小区所在的目标ran节点、ran节点组或区域，其中，相同ran节点、ran节点组或区域内的小区具有相同的推演参数；推演单元，用于根据源as根密钥和推演参数推演目标as根密钥；第一发送单元用于将目标as根密钥发送给目标ran节点。

在以上各个方面，推演参数可以包括以下参数：目标小区所在的ran节点的标识，目标小区所在的ran节点组的标识、目标小区所在的ran节点或ran节点组对应的配置值、目标小区所在的区域的标识、或终端标识。其中终端标识用于标识终端在为该终端分配终端标识的ran节点的范围内。终端标识可以单独作为推演参数，也可以与其它推演参数共同作为推演参数来推演目标as根密钥。此外，同一ran节点组或区域内的ran节点为终端分配相同的终端标识。这样，可以进一步扩大as安全密钥不更新的范围，进一步节省as安全密钥更新的开销。

在以上各个方面，终端可以从源小区或目标小区所在的ran节点获取推演参数。当从源小区所在的ran节点获取推演参数时，以上ran节点还可以包括第二发送单元，用于向终端发送推演参数。

例如从源小区所在的ran节点获取推演参数时，可以利用源小区所在的ran节点发送的切换命令携带推演参数，以发送给终端。由于在切换过程中，ran节点给终端发送切换命令以触发终端切换，故在此可以在该切换命令中携带推演参数，即可以与现有切换流程兼容，又可以避免增加新的信令交换流程。

再如，从目标小区所在的ran节点获取推演参数时，可以在目标小区广播的系统消息中增加该推演参数，或者扩展ecgi来携带该推演参数。另外，还可以在终端与目标小区所在的ran节点进行as安全算法协商时，通过as安全模式命令带给终端。

在以上各个方面，终端可以与网络侧设置相同的推演参数策略，例如设置相同的推演参数初始值和更新策略，此时终端和ran节点均设置有相同的推演参数的初始值和更新策略，且终端通过采用该更新策略更新推演参数来获取推演参数；同样的ran节点也通过采用该更新策略更新推演参数来获取推演参数。

ran节点可以在确定源小区和目标小区位于不同的ran节点、ran节点组或区域时，更新推演参数。此时ran节点可以向终端发送通知消息，通知终端更新推演参数。终端则可以据此通知消息，更新推演参数。此外，终端也可以自己确定源小区和目标小区位于不同的ran节点、ran节点组或区域时，更新推演参数。

以上各个方面可以用于第一网络，该第一网络的ran包括cu节点和du节点，且cu节点与至少一个du节点相连，推演参数对应于目标小区所在的cu节点或cu节点组，其中，相同的cu节点、或cu节点组内的小区具有相同的推演参数。例如，推演参数包括cu节点标识，cu节点组标识，cu节点对应的配置值，或cu节点组对应的配置值。

以上cu节点可以包括控制面cu实体和用户面cu实体，且推演参数包括第一参数和/或第二参数，其中，第一参数对应于目标小区所在的控制面cu实体或控制面cu实体组，其中，相同的控制面cu实体、控制面cu实体组内的小区具有相同的推演参数；第二参数对应于目标小区所在的用户面cu实体或用户面cu实体组，其中，相同的用户面cu实体或用户面cu实体组内的小区具有相同的推演参数。例如，第一参数包括控制面cu实体标识，控制面cu实体组标识，控制面cu实体对应的配置值，或控制面cu实体组对应的配置值；第二参数包括用户面cu实体标识，用户面cu实体组标识，用户面cu实体对应的配置值，或用户面cu实体组对应的配置值。

可见，在以上各个方面，终端在相同的ran节点、ran节点组或区域内的小区之间切换时，无需更新as安全密钥，在不同的ran节点、ran节点组或区域内的小区或频率之间切换时，才更新as安全密钥，如此节省了as安全通信所需要的开销。

附图说明

图1为本申请实施例提供的一种安全机制的示意图；

图2为本申请实施例提供的as安全密钥的生成过程示意图，；

图3为现有技术一种as根密钥的推演示意图；

图4为本申请实施例提供的一种as根密钥的推演示意图；

图5为本申请实施例提供的另一种as根密钥的推演示意图；

图6为本申请实施例应用的一种通信场景的示意图；

图7为本申请实施例提供的一种通信安全的处理方法的示意图；

图8为本申请实施例提供的另一种通信安全的处理方法的示意图；

图9为本申请实施例提供的另一种网络架构的示意图；

图10为本申请实施例提供的又一种网络架构的示意图；

图11为本申请实施例提供的又一种as根密钥的推演示意图；

图12为本申请实施例提供的又一种通信安全的处理方法的示意图；

图13为本申请实施例提供的又一种通信安全的处理方法的示意图；

图14为本申请实施例提供的又一种通信安全的处理方法的示意图；

图15为本申请实施例提供的一种as安全算法协商方法的示意图；

图16为本申请实施例提供的又一种通信安全的处理方法的示意图；

图17为本申请实施例提供的一种通信安全的处理装置的示意图；

图18为本申请实施例提供的另一种通信安全的处理装置的示意图；

图19为本申请实施例提供的又一种通信安全的处理装置的示意图；

图20为本申请实施例提供的又一种通信安全的处理装置的示意图；

图21为本申请实施例提供的又一种通信安全的处理装置的示意图；

图22为本申请实施例提供的又一种通信安全的处理装置的示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行清楚地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的其它实施例，都属于本申请保护的范围。

1)、终端，又称之为用户设备(userequipment，ue)或移动设备(mobileequipment，me)，是一种向用户提供语音和/或数据连通性的设备，例如，具有无线连接功能的手持式设备、车载设备等。常见的终端例如包括：手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobileinternetdevice，mid)、可穿戴设备，例如智能手表、智能手环、计步器等。

2)、无线接入网(radioaccessnetwork，ran)是网络中将终端接入到无线网络的部分。ran节点为ran侧的设备，包括但不限于：演进型节点b(evolvednodeb，enb)、无线网络控制器(radionetworkcontroller，rnc)、节点b(nodeb，nb)、基站控制器(basestationcontroller，bsc)、基站收发台(basetransceiverstation,bts)、家庭基站(例如，homeevolvednodeb，或homenodeb，hnb)、基带单元(basebandunit，bbu)，或wifi接入点(accesspoint，ap)等。另外，在本申请实施例介绍的一种网络结构中，ran可以包括集中单元(centralizedunit，cu)和分布单元(distributedunit，du)等节点，在本申请具有该网络结构的实施例中的ran节点是指cu节点。

3)as根密钥：作为as安全算法的输入，是用于计算as安全密钥的参数，例如可以包括：kenb或下一跳(nexthop，nh)密钥，简称nh。另外，在本申请实施例介绍的ran包括cu和du等节点的网络结构中，该as根密钥可以包括kcu。在终端切换过程中，在源小区使用的as根密钥可以称为源as根密钥，在目标小区使用的as根密钥可以称为目标as根密钥。

4)推演参数：用于推演(derive)as根密钥的参数。

5)ran节点标识，用于标识对应的ran节点；ran节点组标识用于标识对应的ran节点组，且ran节点组具有至少一个ran节点；区域标识用于标识对应的区域。

6)、“多个”是指两个或两个以上，其它量词与之类似。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

请参考图1，其为本申请实施例提供的一种安全机制的示意图。如图1所示，该安全机制主要包括以下几个方面：

第一、鉴权：用于在终端接入无线网络时，在终端和网络之间进行身份认证，该过程又可以称为接入认证，是双方的，在终端与核心网(corenetwork，cn)设备之间进行。该鉴权过程除了完成终端和网络之间的相互认证，还用于产生根密钥kasme。

第二、nas安全：用于协商终端与网络之间的nas安全算法，且基于该nas安全算法和根密钥kasme生成nas安全密钥，该nas安全密钥包括nas加密密钥nas_enc和nas完整性保护密钥nas_int。如此，终端和网络之间交互的nas信令便可以得到nas安全密钥的保护了。

该nas安全算法的协商是在终端与cn设备之间进行的，且nas安全密钥由终端和cn设备根据协商的nas安全算法和根密钥kasme生成。

第三、接入层(accessstratum，as)安全：用于协商终端与网络之间的as安全算法，且基于该as安全算法生成as安全密钥。该as安全密钥包括信令面加密密钥krrcenc，信令面完整性保护密钥krrcint，以及用户面加密密钥kupenc。用户面数据可以只加密，不进行完整性保护；在某些场景，例如，中继(relay)场景或蜂窝物联网(ciot)等场景，可以对用户面数据进行完整性保护，此时，as安全密钥还可以包括用户面完整性保护密钥kupint。利用as安全密钥，终端和ran设备之间交互的信令和用户面数据就可以得到as安全保护了。

在as安全过程中，终端与ran设备协商好as安全算法之后，会利用该as安全算法和as根密钥计算出as安全密钥。下面结合图2和图3，以长期演进(longtermevolution，lte)系统为例，描述as安全密钥的生成过程，其中ran设备为enb，cn设备为移动性管理实体(mobilitymanagemententity，mme)。图2为as安全密钥的生成过程示意图，图3为现有技术中as根密钥的推演示意图。

终端和enb根据彼此的安全能力协商好as安全算法，例如，如图2所示，根据终端安全能力(ueseccapa)和enb安全能力(enbseccapa)协商得到演进型分组系统完整性算法(evolvedpacketsystemintegrityalgorithm，eia)和演进型分组系统加密算法(evolvedpacketsystemencryptionalgorithm，eea)；而后根据协商好的算法和as根密钥计算as安全密钥，如图2所示，该as安全密钥包括：信令面加密密钥krrcenc，信令面完整性保护密钥krrcint，以及用户面加密密钥kupenc。在某些场景还可以包括用户面完整性保护密钥kupint。其中，as根密钥可以为kenb，也可以为nh。结合图3，在终端初始接入网络或状态转换时，例如，当终端初始附着(attach)网络或者由空闲(idle)态转为连接(connected)态时，as根密钥kenb由mme和终端根据根密钥kasme和nas上行计数(nasuplinkcount)生成，且mme将生成的as根密钥kenb发送给enb，以供enb计算as安全密钥。为了区别后面产生的kenb，将该as根密钥kenb称为初始as根密钥(简称初始kenb)。当终端从源小区切换到目标小区时，需要推演新的as根密钥kenb(图3中以kenb*表示)来生成新的as安全密钥。如图3所示，目前有两种推演方法：

水平推演(又称为横向推演)：根据终端在源小区使用的kenb、目标小区的物理小区标识(physicalcellidentifier，pci)、目标小区的下行演进的通用陆基无线接入绝对无线频率信道号(evolveduniversalterrestrialradioaccess，e-utra，absoluteradiofrequencychannelnumber-downlink，earfcn-dl)来生成终端在目标小区使用的kenb。

垂直推演(又称为纵向推演)：根据源enb上保存的nh、目标小区的pci、目标小区的earfcn-dl来生成终端在目标小区使用的kenb。kenb用于计算as安全密钥，nh与kenb关联，因此nh也可以理解为计算as安全密钥的根密钥。kenb和nh均可以进一步推演，其中，kenb用于水平推演，nh用于垂直推演。每个nh对应一个下一跳链计数(nexthopchainingcount，ncc)。初始kenb直接由kasme推导得出，可以认为它与一个ncc值为0的虚拟nh关联；第一个nh是由kasme和初始kenb推导出的，该nh值对应的ncc值为1；之后，每根据当前nh推导出下一个nh之后，ncc加1。

目前终端在切换过程中，需要利用pci和earfcn-dl等参数进行as根密钥的推演，因此每次切换都需要更新as安全密钥。如此，随着小区的增多，小区覆盖范围的减小，as安全密钥的更新频率会不断增加，这种频繁的as安全密钥的更新将带来很大的开销。

本申请考虑到该问题，提出一种密钥推演机制，在该密钥推演机制中，不再采用pci和earfcn-dl作为as根密钥的推演参数，而是采用enb标识(enbid)作为推演参数来推演as根密钥，如图4所示。且该enbid对应的enb下的所有小区具有相同的推演参数，即该enbid。也就是说，当终端在该enb下的小区之间切换时，如果进行as安全密钥的更新，则采用相同的推演参数推演as根密钥，则推演出的as根密钥是相同的，因此，无需进行as安全密钥的更新，减少了密钥更新的开销。

以上enb在不同的无线网络中可以为不同的ran节点，推演参数可以为ran节点标识。此外，该ran节点标识可以通过配置值来取代，即为每个ran节点配置一个值，例如，可以为随机数，且利用该配置值来推演as根密钥，则该ran节点下的小区均以该配置值作为as根密钥的推演参数，终端在该ran节点下的小区间切换时，无需更新as安全密钥。另外，也可以以区域标识来代替以上ran节点标识，该区域内的小区均以该区域标识作为as根密钥的推演参数，如此终端在该区域内的小区间切换时，无需更新as安全密钥。再者，也可以设置ran节点组标识，则该组内的ran节点下的小区均以该ran节点组标识作为as根密钥的推演参数，如此，终端在该组内的小区间切换时，也无需更新as安全密钥。

此外，还可以在终端与ran节点上设置相同的推演参数的更新策略，当终端在该ran节点下的小区之间切换时，推演参数不进行更新，当终端在ran节点之间切换时，采用该更新策略更新推演参数，由于终端与ran节点采用相同的更新策略更新推演参数，则更新后的推演参数在终端和目标小区是相同的，推演出的目标as根密钥相同，as安全密钥也就相同，因此可以利用该as安全密钥保护目标小区与终端之间的as通信。

例如，以上更新策略可以通过计数器(counter)实现。在终端和ran节点上均配置计数器，由终端和ran节点各自维护自己的计数器，且设置好计数器的初始值，例如可以为0或1，当然也可以设置为其它任意值。终端与ran节点建立初始连接时，两个计数器均采用初始值。当终端在ran节点内切换时，ran节点和终端无需更新计数器的值，当终端在ran节点间切换时，ran节点可以通知终端节点变更，终端据此更新计数器的值，且ran节点自身也以相同的方式更新计数器的值，例如ran节点和终端以相同的更新方式更新计数器的值，使得网络侧和终端保持相同的推演参数以得到相同的as根密钥，进而使用相同的as安全密钥。可见，在本实施例中，推演参数为计数器的值，且在终端在ran节点间切换时，ran节点和终端以相同的更新策略更新推演参数。可见，在本实施例中，同一个ran节点下的小区具有相同的推演参数。

在另一种实现方式中，推演参数可以为终端标识(可以称为terminalid，ueid或meid)，该终端标识为ran节点为该终端所分配的标识信息，不限于其内容形式，该终端标识用于标识该终端在该ran节点范围内，如果终端接入的ran节点变更，则相应的终端标识会改变，由此可以利用该终端标识作为推演参数，使得终端在ran节点内的小区之间切换时，推演参数不变，则终端沿用在源小区使用的as根密钥，as安全密钥不变，节省密钥更新的开销。每个ran节点为终端分配终端标识，且ran节点之间分配的终端标识可以不同，则终端从源ran节点到目标ran节点时，终端标识改变，推演参数为目标ran节点为终端分配的终端标识，即对应于目标小区所在的ran节点。当然也可以设置在ran节点组内的ran节点均为终端分配相同的终端标识，如此终端在该ran节点组内的小区之间切换时，也无需更新as安全密钥。此外，也可以设置某个区域内的ran节点为终端分配相同的终端标识，如此终端在该区域内的小区之间切换时，也无需更新as安全密钥。此外，该推演参数终端标识可以单独使用，也可以与以上任一种推演参数结合作为推演as根密钥的输入参数，即利用至少两个输入参数来推演as根密钥。例如，请参考图5，在本实施例中，以enbid和ueid作为as根密钥的推演参数。

在以上实施例中，设计了与ran节点、ran节点组或区域对应的推演参数，且对于相同的ran节点、ran节点组或区域，其范围内所有小区具有相同的as根密钥的推演参数，如此当终端在该范围内的小区间切换时，即使重新推演as根密钥，也会推演出相同的根密钥，因此无需进行推演，也即无需更新as安全密钥，减少了as安全密钥更新的开销。

下面以lte系统为例，在该lte系统中，ran节点为enb，推演参数与enb、enb组或区域对应。如图6所示，该lte系统包括enb610，mme620，其中mme620与enb610之间的接口为s1接口，enb610之间的接口为x2接口。且每个enb控制多个小区，例如小区cell1-cell3，每个小区分配有pci。在现有技术中利用pci和earfcn-dl作为as根密钥的推演参数，而在本实施例中采用enbid作为推演参数，如此，当终端630在enb下的小区间切换时，例如从cell1切换到cell3，由于推演参数enbid未变，无需更新as安全密钥。当终端从enb611切换到enb612时，推演参数enbid发生了变化，则根据enb612的enbid推演目标as根密钥，并根据目标as根密钥计算在目标小区使用的as安全密钥。

enbid用于标识对应的enb，enb下的小区以其enbid为推演参数，则具有相同的推演参数。如果针对每个enb配置的一个值来作为该enb下所有小区的推演参数，同样可以保证这些小区具有相同的推演参数，因此可以利用与enb对应的配置值取代enbid作为推演参数。此外，也可以让多个enb下的小区采用相同的推演参数，来进一步扩大as安全密钥不更新的范围，此时可以以enb组标识作为推演参数。另外，还可以让一个区域内的小区采用相同的推演参数，以区域标识作为推演参数，该区别标识例如为跟踪区(trackingarea，ta)标识。

以上推演参数可以是cn设备发送给ran节点的。然后再由ran节点发送给终端以便于同步。cn设备发给ran节点推演参数的方式可以有多种，以下举例说明，并非用以限制本申请:

例如，在终端与网络建立连接时由cn设备发送给ran节点。例如，以lte系统为例，在初始上下文建立过程中，由mme通过初始上下文建立请求(initialcontextsetuprequest)消息中发给enb。再如，在ran节点和cn设备间建立接口时,由cn设备发送给ran节点。例如在lte系统中，在s1建立过程中，由mme通过s1建立响应(s1setupresponse)消息发给enb。

下面以enbid为例进行描述，其它推演参数与之类似，不再进行赘述。

请参考图7，其为本申请实施例提供的一种通信安全的处理方法的示意图，该方法用于终端从源小区切换到目标小区时的as安全的处理。本实施例也以lte系统为背景、以enbid作为推演参数为例进行描述，其它推演参数与之类似，不再赘述。如图7所示，源小区和目标小区分别位于不同的enb，即源enb和目标enb，该方法包括如下步骤：

s710：源enb确定将终端切换到目标enb，并获取目标enb的enbid。

例如，源enb可以根据终端上报的测量报告确定目标小区，进而确定目标enb的enbid。每个enbid可以由mme分配，并发送给对应的enb，而后由enb间交互获得对方的enbid，这在以上的实施例中已经描述，在此不再赘述。

在x2接口建立时，enb之间可以交换各自的enbid以及各自enbid对应的小区列表(celllist)，如此源enb可以根据目标小区的小区标识(cellid)，获取目标enb的enbid，以利用目标enb的enbid推演目标as根密钥。当源enb和目标enb之间未建立x2接口时，也可以通过s1接口获得目标enb的enbid。

s720：源enb根据自身存储的nh或者源kenb(即在源小区使用的as根密钥)，以及目标enb的enbid推演目标kenb(即在目标小区使用的as根密钥)。

s730：源enb将推演出的目标kenb发送给目标enb，以便目标enb计算as安全密钥。

s740：目标enb接收到源enb发送的目标kenb后，利用该目标kenb计算as安全密钥。

此时，终端也需要更新as安全密钥，为了终端采用相同的推演参数推演as根密钥，源enb或者目标enb将推演参数，目标enb的enbid发送给终端。例如执行以下步骤s750或s760。

s750：源enb将目标enb的enbid发送给终端。

例如，源enb可以在发送给终端切换命令中携带该目标enb的enbid。

s760：目标enb将目标enb的enbid发送给终端。

例如，目标enb可以在给终端广播的系统消息中携带该目标enb的enbid；或者扩展ecgi，通过该ecgi发送目标enb的enbid；或者在与终端协商as安全算法的时候发送给终端。

s770：终端根据当前的nh或源kenb，以及目标enb的enbid推演目标kenb；

s780：终端根据目标kenb，计算在目标小区使用的as安全密钥。

需要说明的是，以上步骤序号s710-s780并非用以限制各步骤之间的顺序，例如源enb可以先给终端发送目标enb的enbid，再推演目标kenb，或者同时进行；再如，目标enb可以先给终端发送目标enb的enbid，再计算as安全密钥。

在另一种实现方式中，在终端和网络侧可以配置相同的推演参数策略，例如设置相同的推演参数的初始值和更新策略。该推演参数的初始值和更新策略可以设置在每个ran节点，例如enb上。当终端在enb内的小区间切换时，推演参数不进行更新，终端和enb无需更新as安全密钥。当终端在enb间切换时，enb可以通知终端enb更新推演参数。具体请参考图8，其为本申请实施例提供的另一种通信安全的处理方法的示意图。如图8所示，该方法用于终端从源小区切换到目标小区时的as安全的处理，其中源小区和目标小区分别位于不同的enb，即源enb和目标enb，其中网络侧设置有与终端相同的推演参数策略，例如源enb和终端上设置有相同的推演参数的初始值和更新策略，该方法包括如下步骤：

s810：源enb确定将终端切换到目标enb，根据更新策略更新推演参数，其中更新前的推演参数可能为具有初始值的推演参数，也可能为经过一次或多次更新的推演参数。

例如，可以在源enb上设置计数器，该计数器具有初始值a，其更新步长为b，当终端要切换到目标enb时，源enb将计数器以更新步长b进行更新，更新后的计数值为推演目标kenb的推演参数。

s820：源enb根据自身存储的nh或者源kenb，以及更新后的推演参数推演目标kenb。

s830：源enb将推演出的目标kenb发送给目标enb，以便目标enb计算as安全密钥。

s840：目标enb接收到源enb发送的目标kenb后，利用该目标kenb计算as安全密钥。

此时，终端也需要更新as安全密钥，为了终端采用相同的推演参数推演as根密钥，源enb通知终端更新推演参数，或者终端通过enbid判断enb变更，以更新推演参数，在此以源enb通知终端为例进行描述。

s850：源enb通知终端更新推演参数。

该通知方式可以为任何形式，例如发送指示信息，指示终端更新推演参数，或者发送目标enb的enbid等等，本申请不以此为限。

s860：终端根据通知更新推演参数。由于终端的更新策略与网络侧相同，因此更新后的推演参数也相同。

例如，可以在终端上也设置计数器，该计数器同样具有初始值a和更新步长为b，当终端要切换到目标enb时，终端将计数器以更新步长b进行更新，更新后的计数值作为推演目标kenb的推演参数。

s870：终端根据当前的nh或源kenb，以及更新后的推演参数推演目标kenb；

s880：终端根据目标kenb，计算在目标小区使用的as安全密钥。

当终端通过enbid判断enb变更时，源enb将自己的enbid发送给终端。且在切换时，源enb或目标enb将目标enb的enbid发送给终端，以便终端确定enb是否变更。

同样，以上步骤序号s810-s880并非用以限制各步骤之间的顺序。

可见，在本申请提供的实施例中，针对每个ran节点、ran节点组或区域配置推演参数，相同的ran节点、ran节点组或区域下的小区具有相同的推演参数，当源小区和目标小区位于相同的ran节点、ran节点组或区域时，终端无需更新as安全密钥，如此可以节约as安全密钥更新的开销。该方法同样适用于以下图9和图10所示的网络中。

请参考图9，其为本申请实施例提供的另一种网络架构的示意图。如图9所示，该网络包括cn、ran和终端。其中ran的结构与以上lte网络架构存在区别，包括集中单元(centralizedunit，cu)和分布单元(distributedunit，du)，这种结构将lte中enb的协议层拆分开，部分协议层的功能放在cu集中控制，剩下部分或全部协议层的功能分布在各个du中，由cu集中控制各个du。例如，如图9所示，将pdcp及以上的协议层放在cu中集中实现，将rlc和mac及以下的协议层放在du中实现，且射频部分可以拉远，不放在du中，也可以集成在du中在此不作任何限制。

此外，请继续参考图10，相对于图9所示的架构，还可以将cu的控制面和用户面分离，分成不同实体来控制，分别为控制面cu实体，cu-cp实体和用户面cu实体，cu-up实体。在本网络架构中，终端可以仅将控制面切换到目标小区，而用户面保留在源小区；或者终端也可以仅将用户面切换到目标小区，而控制面保留在源小区。

在图9所示的网络结构中，可以为每个cu节点配置cu标识(cuid)，利用该cuid来推演目标as根密钥。如图11所示，在本实施例中，以cuid作为as根密钥的推演参数。该cuid是针对每个cu配置的，因此当终端在cu范围内切换时，例如切换到同一cu下的不同du下的小区时，利用该cuid推演出的as根密钥是不变的，因此as安全密钥不需要更新，如此减少了as安全密钥更新的开销。

进一步的，可以将多个cu划分为一个cu组，为每个cu组配置一个组标识，以该组标识作为推演参数，则相应的终端在该组内切换时，as安全密钥不需要更新。

以上cu标识和cu组标识可以利用其它参数来代替，只要该参数可以唯一标识该cu和cu组即可，例如cn可以为每个cu配置一个值(例如随机数)，利用该配置值来标识该cu，同样，也可以为每个cu组配置一个值，利用该配置值来标识该cu组，或者可以定义一个区域标识。

在图10所示的网络结构中，可以将cu-cp和cu-up看作一个cu，则以上cu标识，cu组标识，对应于cu或cu组的配置值，或区域标识的方案也可以适用于该网络结构。另外，可以为每个cu-cp配置cu-cp标识(cu-cpid)，且为每个cu-up配置cu-up标识(cu-upid)，利用该cu-cpid和/或cu-upid来推演目标as根密钥。另外，也可以讲多个cu-cp划分为一个cu-cp组，为每个cu-cp组配置一个组标识，以该组标识最为推演参数。同样的cu-cp标识和cu-cp组标识可以利用其它参数来代替，只要该参数可以唯一标识该cu-cp和cu-cp组即可，例如cn可以为每个cu-cp配置一个值(例如随机数)，利用该配置值来标识该cu-cp，同样，也可以为每个cu-cp组配置一个值，利用该配置值来标识该cu-cp组，或者可以定义一个区域标识。cu-up与之类似，不再赘述。如此，当终端将控制面切换到目标小区，而用户面保留在源小区时，利用cu-cp对应的推演参数推演目标as根密钥，即目标kcu-cp，例如利用cu-cp标识，cu-cp组标识，或cu-cp或cu-cp组对应的配置值作为推演参数。当终端将用户面切换到目标小区，而控制面保留在源小区时，利用cu-up对应的推演参数推演目标as根密钥，即目标kcu-up，例如利用cu-up标识，cu-up组标识，或cu-up或cu-up组对应的配置值作为推演参数。当终端将控制面和用户面都切换到目标小区时，利用cu-cp和cu-up对应的推演参数推演目标as根密钥，即目标kcu-cp和目标kcu-up；当然，此时也可以将cu-cp和cu-up作为一个整体考虑，利用cu标识，cu组标识，对应于cu或cu组的配置值，或区域标识推演目标as根密钥kcu。

也就是说，以上实施例中的方法可以适用于图9或图10网络架构，此时，以上实施例中的ran节点为cu节点，则相应的，推演参数对应于cu节点、cu节点组或区域，且相同cu节点、cu节点组或区域内的小区具有相同的推演参数。例如，推演参数可以为cuid，cu节点组标识或者区域标识。在图10所示的网络架构中，该cu节点可以为cu-up实体，也可以为cu-cp实体，或者包括cu-cp和cu-up的cu实体。

下面以图9所示的网络结构为例进行描述。

请参考图12，其为本申请实施例提供的另一种通信安全的处理方法的示意图。其中步骤s121至s128与图7中的步骤s710至s780类似，且步骤之间的顺序并不受序号顺序的限制。本实施例与图7所示实施例应用于不同的网络架构中，本实施例应用于图9所示的网络架构中，相对于图7所示的实施例，源enb和目标enb变更为源cu和目标cu。此外，与图7所示的实施例的区别在于：ran节点为cu节点，推演参数为cuid，as根密钥为kcu。当然as根密钥也可以为nh。各个步骤的描述参照以上图7所示的实施例，在此不再赘述。当应用于图10所示的网络架构时，该ran节点可以为cu节点，cu-up实体，cu-cp实体，推演参数可以为cuid，cu-upid，cu-cpid。

此外，在终端和网络侧配置相同的推演参数策略也适用于图9和图10所示的网络结构。例如，在终端和网络侧的cu节点设置相同的推演参数的初始值和更新策略。当终端在cu节点内的小区间切换时，推演参数不进行更新，终端和cu节点无需更新as安全密钥。当终端在cu节点间切换时，cu节点可以通知终端更新推演参数。请参考图13，其为本申请实施例提供的另一种通信安全的处理方法的示意图。其中步骤s131至s138与图8中的步骤s810至s880类似，且步骤之间的顺序并不受序号顺序的限制。本实施例与图8所示实施例应用于不同的网络架构中，本实施例应用于图9所示的网络架构中，相对于图8所示的实施例，源enb和目标enb变更为源cu和目标cu。此外，与图8所示的实施例的区别在于：ran节点为cu节点，as根密钥为kcu。当然as根密钥也可以为nh。各个步骤的描述参照以上图8所示的实施例，在此不再赘述。当应用于图10所示的网络架构时，该ran节点可以为cu节点，cu-up实体，cu-cp实体，推演参数可以为cuid，cu-upid，cu-cpid。

本申请的实施例提供的通信安全的处理方法中，相同ran节点、ran节点组或区域下的小区具有相同的推演参数，当源小区和目标小区位于相同的ran节点、ran节点组或区域时，终端和ran节点无需更新as安全密钥，当源小区和目标小区位于不同的ran节点、ran节点组或区域时，终端和ran节点更新as安全密钥，如此可以节约密钥更新的开销。

请参考图14，其为本申请实施例提供的一种通信安全的处理方法的示意图，由源小区所在的ran节点，即源ran节点执行。如图14所示，该方法包括如下步骤：

s141：确定将终端从源小区切换到目标小区。

例如，源ran节点可以接收终端发送的测量报告，根据该测量报告确定目标小区的服务质量更好，欲将终端从源小区切换到目标小区。或者终端通过测量确定目标小区的服务质量更好，欲从源小区切换到目标小区，并通知给源ran节点，源ran节点根据终端的通知确定将终端从源小区切换到目标小区。

s142：确定源小区和目标小区是否位于同一ran节点、同一ran节点组、或同一区域内。当源小区和目标小区位于同一ran节点、同一ran节点组、或同一区域内时，执行步骤s143，否则，执行步骤s144。

s143：使用在源小区使用的as安全密钥进行和终端之间的通信；

s144：根据源as根密钥和推演参数推演目标as根密钥，并将推演出的目标as根密钥发送给目标ran节点。

目标enb接收到源enb发送的目标as根密钥后，根据该目标as根密钥计算as安全密钥，进而利用该as安全密钥与终端进行通信。

推演参数同以上描述，在此不再赘述。

在源小区和目标小区位于不同的ran节点时，终端同样需要更新as安全密钥。此时，推演参数可以由源ran节点发送给终端，也可以由目标ran节点发送给终端。例如由源ran节点通过切换命令发送给终端，再如由目标ran节点通过系统消息发送给终端，或者由目标ran节点扩展演进型通用陆地无线接入网小区全局标识符(e-utrancellglobalidentifier，ecgi)，在其中携带推演参数，以通过ecgi发送给终端，或者由目标ran节点在与终端进行as安全算法协商时携带给终端。

请参考图15，其为本申请实施例提供的一种as安全算法协商方法的示意图。该as安全算法协商在ran节点和终端之间进行，如图15所示，包括如下步骤：

s151：ran节点开始rrc完整性保护(startrrcintegrityprotection)；

s152：ran节点向终端发送as安全模式命令(assecuritymodecommand)，该as安全模式命令中携带完整性算法(integrityalgorithm)、加密算法(cipheringalgorithm)和用于完整性的信息认证码(messageauthenticationcodeforintegrity，mac-i)。其中，推演参数便可以通过该命令发送给终端，即as安全模式命令中还携带推演参数，例如，ran节点为enb，推演参数为enbid、再如，ran节点为cu，推演参数为cuid等。

s153：终端验证as安全模式命令(smc)完整性。如果成功，开始rrc完整性保护，rrc/up下行解密(verifyassmcintegrity.ifsuccesful,startrrcintegrityprotection,rrc/updownlinkdeciphering)。

s154：终端向ran节点发送as安全模式完成(assecuritymodecomplete)消息。该as安全模式完成消息中携带mac-i。

s155：终端开始rrc/up上行加密。

s156：ran节点开始rrc/up上行解密。

可见，通过以上as安全算法协商过程，终端便可以从目标ran节点获取到推演参数，以推演目标as根密钥。

终端接收到推演参数之后，便可以根据推演参数推演目标as根密钥，进而计算as安全密钥。

此外，当源ran节点和目标ran节点都不将以上推演参数发送给终端时，终端可以据此沿用在源小区使用的as根密钥，即沿用在源小区使用的as安全密钥。另外，终端也可以通过其它方式确定是否沿用在源小区使用的as根密钥。下面结合图16进行描述。

请参考图16，其为本申请实施例提供的另一种通信安全的处理方法的示意图。如图16所示，该方法用于终端从源小区切换到目标小区时的as安全的处理，该方法由终端执行，包括如下步骤：

s161：确定源小区和目标小区是否位于相同的ran节点、ran节点组或区域。

当源小区和目标小区位于相同的ran节点、ran节点组或区域时，执行步骤s162，否则执行步骤s163-s165。

s162：继续使用源as根密钥，即继续使用在源小区使用的as安全密钥。

s163：获取推演参数；

s164：根据源as根密钥和推演参数推演目标as根密钥；

s165：根据目标as根密钥，计算在目标小区使用的as安全密钥。

需要说明的是，终端可以不执行以上步骤s161，例如，终端收到源ran节点发送的切换命令，并根据该切换命令从源小区更换到了目标小区，同时在目标小区继续沿用在源小区使用的as根密钥，即沿用在源小区使用的as安全密钥。此时，虽然是源小区和目标小区在相同的ran节点、ran节点组或区域内，但是终端并不感知。

再如，当终端接收到推演参数时，便可以认为直接利用该推演参数推演目标as根密钥，而无需确定源小区和目标小区是否位于相同的ran节点、ran节点组或区域，即直接执行以上步骤s163-s165，此时，ran节点在确定了源小区和目标小区位于不同的ran节点、ran节点组或区域向终端发送了推演参数。如果ran节点无论源小区和目标小区是否位于相同的ran节点、ran节点组或区域都向终端发送推演参数，则终端还可以进一步判断推演参数与终端在源小区使用的推演参数是否相同，在不同的情况下，执行以上步骤s163-s165，相同的情况下，执行以上步骤s162。此时，该过程可以认为为确定确定源小区和目标小区是否位于相同的ran节点、ran节点组或区域的过程，需要说明的是，该过程的目的是用于确定是否更新as安全密钥，并不以其具体实现的手段为限。以下举出几种确定方法：

例如，在现有技术中，终端每次切换源ran节点都需要推演as根密钥，同时更新对应ncc，并将更新后的ncc通过切换命令发送给终端，以便终端根据该ncc推演as根密钥，更新as安全密钥。在本实施例提供的方法中，源ran节点在确定目标小区和源小区位于相同的ran节点、ran节点组或区域时，不推演as根密钥，且不更新ncc，如此源ran节点可以在切换命令中不再携带ncc，终端接收到切换命令，发现其中不带ncc，则确定源小区和目标小区位于相同的ran节点、ran节点组或区域，进而沿用源as根密钥，即沿用在源小区使用的as安全密钥。或者，源ran节点在切换命令中携带未更新的ncc，终端接收到切换命令，发现其中携带的ncc与终端当前的ncc相同，则确定源小区和目标小区位于相同的ran节点、ran节点组或区域，进而沿用源as根密钥，即沿用在源小区使用的as安全密钥。此时，以上步骤s161包括：终端接收源ran节点发送的切换命令，当切换命令中不包括ncc或者包括的ncc与终端当前的ncc相同时，终端确定源小区和目标小区位于相同的ran节点、ran节点组或区域；否则，确定源小区和目标小区位于不同的ran节点、ran节点组或区域。

再如，源ran节点给终端发送一个信令，该信令用于通知终端进行小区切换，但终端没有收到推演参数，则终端可以据此确定源小区和目标小区位于相同的ran节点、ran节点组或区域，沿用源as根密钥，即沿用在源小区使用的as安全密钥。此时，以上步骤s161包括：终端接收源ran节点发送的信令，该信令用于指示终端从源小区切换到目标小区，当终端未接收到推演参数时，确定源小区和目标小区位于相同的ran节点、ran节点组或区域。

再如，源ran节点给终端发送一个信令，该信令用于通知终端源小区和目标小区是否位于相同的ran节点、ran节点组或区域，或者用于通知终端是否进行as根密钥的推演或as安全密钥更新，当该信令取值为第一值时，终端进行as根密钥的推演，当该信令取值为第二值时，终端不进行as根密钥推演。此时，以上步骤s161包括：终端接收源ran节点发送的信令，该信令用于通知终端源小区和目标小区是否位于相同的ran节点、ran节点组或区域，或者用于通知终端是否进行as根密钥的推演或as安全密钥的更新，终端根据该信令确定源小区和目标小区是否位于相同的ran节点、ran节点组或区域。

在步骤s163中，终端可以通过多种方式获得推演参数。例如，可以从源ran节点获得，可以从目标ran节点获得，还可以在本地预设推演参数的初始值和更新策略，在ran节点变更时，更新推演参数获得。当终端从源ran节点获得所述推演参数时，该推演参数可以携带在切换过程中源ran节点发送给终端的切换命令(handovercommand)中，当然也可以携带在源ran节点发给终端的其它消息中，或者由源ran节点直接发送给终端。当终端从目标ran节点获得该推演参数时，推演参数可以由目标ran节点广播给终端，例如通过系统消息广播给终端，或者可以扩展ecgi，在其中携带推演参数，以发送给终端；或者在目标ran节点与终端协商as安全算法的时候，通过as安全模式命令发送给终端。当然，目标ran节点也可以通过其它消息将推演参数发送给终端，或者由目标ran节点直接发送给终端。

此外，终端上可以设置有与网络侧相同的推演参数的初始值和更新策略，当终端从源小区切换到目标小区，且源小区和目标小区位于不同的ran节点、ran节点组或区域时，源ran节点可以通知终端更新推演参数，终端更新推演参数之后，以更新后的推演参数推演目标as根密钥。则以上步骤s163包括以下步骤：

终端接收源小区所在的ran节点发送的通知消息，该通知消息用于通知终端更新推演参数；

终端根据通知消息采用与网络侧相同的更新策略更新推演参数，其中，推演参数的初始值和更新策略设置于终端；

终端获取更新后的推演参数。

例如，可以在终端和ran侧，例如ran侧的每个ran节点，均设置计数器，且均设置好相同的计数器的初始值和更新步长。当源小区所在的ran节点发现终端要切入其它ran节点时，通知终端更新计数器的值，且源小区所在的ran节点也更新该计数器的值，作为推演参数，推演目标as根密钥，并发送给目标小区所在的ran节点，以便目标小区所在的ran节点计算as安全密钥。

在步骤s164中，终端可以利用密钥推演函数(keyderivationfunction，kdf)来推演目标as根密钥，例如：

目标as根密钥＝kdf(源as根密钥，推演参数)＝hmac-sha-256(源as根密钥，推演参数)。用于以上图6所示的系统中，且推演参数为enbid为例，目标as根密钥kenb*＝kdf(源kenb，enbid)＝hmac-sha-256(源kenb，enbid)。用于以下图9或图10所示的系统中，且推演参数为cuid为例，目标as根密钥kcu*＝kdf(源kcu，cuid)＝hmac-sha-256(源kcu，cuid)。

kdf为hmacsha256算法的简称，它是一只散列消息认证方法，可以看做是hamac算法和sha256算法组合在一起的方法，其为现有一种算法，本实施例的改进在于该函数的输入参数发生了变化，故对算法本身在此不再赘述。另外，以上推演参数还可以用于其它推演as根密钥的函数，本实施例不以推演函数为限。

在步骤s165中，终端在目标小区使用的as安全密钥也可以利用kdf来计算，例如：

krrcenc/krrcint/kupenc/kupint＝kdf(目标as根密钥,算法类型标识,算法标识)＝hmac-sha-256(目标as根密钥，算法类型标识，算法标识)；即krrcenc/krrcint/kupenc/kupint＝kdf(目标as根密钥,algorithmtypedistinguisher,alg_id)＝hmac-sha-256(目标as根密钥，algorithmtypedistinguisher，alg_id)。

需要说明的是，本申请中的每个实施例都可以利用kdf来推演as根密钥及计算as安全密钥。且ran节点和终端均可以采用这种方法。

另外，需要说明的是，本申请实施例中的小区可以指无线节点发射出的信号所覆盖的区域。无线节点例如可以包括天线、远端射频头(remoteradiohead，rrh)、发送接收点(transmissionreceptionpoint，trp)、接入点(accesspoint)、发射点(transmissionpoint，tp)、ran节点、或基站等。终端可以通过无线节点广播的小区标识唯一识别的区域；小区标识有不同的层次，可以是物理层标识(比如pci)、参考信号(比如用于信道测量的参考信号、或者用于波束beam测量的参考信号)、或全球小区识别码(cellglobalidentification，cgi)等。当无线节点在多个频点广播小区标识时可以形成多个小区，此时一个小区是指无线节点在一个频点上发射出的信号所覆盖的区域。终端在相同ran节点、ran节点组或区域内的不同频点之间的小区之间切换时，同样适用于以上实施例提供的方法，此时以上实施例中的小区是指特定的频点对应的小区。

以上各个实施例所揭示的方法中涉及的各个网元涉及的步骤可以分别由相应的网元上的装置执行。则相应装置具有对应的单元用于执行其执行的步骤。

请参看图17，其为本申请实施例提供的一种通信安全的处理装置的结构示意图，该装置位于终端，用于执行以上实施中终端执行的部分或全部操作。如图17所示，该装置170包括获取单元171、推演单元172和计算单元173，其中获取单元171用于在终端从源小区切换到目标小区时获取推演参数；推演单元172用于根据源as根密钥和推演参数推演目标as根密钥，计算单元173用于根据目标as根密钥，计算在目标小区使用的as安全密钥，其中，源小区和目标小区位于不同的ran节点、ran节点组或区域。关于推演参数的描述，例如获取、内容等同以上实施例，在此不再赘述。

此外，该装置170还可以包括使用单元174，用于使用计算单元173计算出的as安全密钥与目标ran节点进行通信。此外，该使用单元174还用于在源小区和目标小区位于相同的ran节点、ran节点组或区域时，继续使用在源小区使用的as安全密钥。

可选的，请参考图18，该装置170还可以包括确定单元175，用于确定源小区和目标小区是否位于相同的ran节点、ran节点组或区域。

以上各个单元可以为单独设立的处理元件，也可以集成在终端的某一个芯片中实现，此外，也可以以程序代码的形式存储于终端的存储器中，由终端的某一个处理元件调用并执行以上各个单元的功能。此外各个单元可以集成在一起，也可以独立实现。这里所述的处理元件可以是一个中央处理器(centralprocessingunit，cpu)，或者是特定集成电路(applicationspecificintegratedcircuit，asic)，或者是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个微处理器(digitalsingnalprocessor，dsp)，或，一个或者多个现场可编程门阵列(fieldprogrammablegatearray，fpga)等。

例如，请参考图19，其为本申请实施例提供的一种通信安全处理装置的结构示意图。该装置位于终端，如图19所示，包括：处理器191、存储元件192、收发装置193。收发装置193可以与天线连接。在下行方向上，收发装置193通过天线接收ran节点发送的信息，并将信息发送给处理器191进行处理。在上行方向上，处理器191对终端的数据进行处理，并通过收发装置193发送给ran节点。

该存储元件192用于存储实现以上方法实施例，或者图17或18所示实施例各个单元的程序，处理器191调用该程序，执行以上方法实施例的操作，以实现图17或18所示的各个单元。

此外，以上各个单元的部分或全部也可以通过现场可编程门阵列(fieldprogrammablegatearray，fpga)的形式内嵌于该终端的某一个芯片上来实现。且它们可以单独实现，也可以集成在一起。

这里的处理器可以是cpu，也可以是asic，或者是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个dsp，或，一个或者多个fpga等。存储元件可以是一个存储装置，也可以是多个存储元件的统称。

另外，该处理器上可以设置多个接口，分别用于连接外围设备或与外围设备连接的接口电路。例如，用于连接显示屏的接口，用于连接摄像头的接口，用于连接音频处理元件的接口等。

以上装置可以用于图9或图10所示的网络，用于该网络时推演参数的内容和获取等同以上描述，在此不再赘述。

请参看图20，其为本申请实施例提供的一种通信安全的处理装置的结构示意图，该装置位于ran节点，用于执行以上实施中源ran节点执行的部分或全部操作。如图20所示，该装置200包括确定单元201和使用单元202，其中确定单元201用于确定源小区和目标小区是否位于相同的ran节点、ran节点组、或区域内；使用单元202用于在源小区和目标小区位于相同的ran节点、ran节点组、或区域内时，继续使用源as根密钥，即继续使用在源小区使用的as安全密钥。

此外，该装置还可以包括获取单元203，推演单元204，第一发送单元205，获取单元203用于当源小区和目标小区位于不同的ran节点、或ran节点组、或区域内时，获取推演参数；推演单元204用于根据源as根密钥和推演参数推演目标as根密钥；第一发送单元205用于将目标as根密钥发送给目标ran节点，以便目标ran节点计算as安全密钥。关于推演参数的描述，例如获取、内容等同以上实施例，在此不再赘述。

可选的，如图21所示，当推演参数由源ran节点发送给终端时，该装置200还可以包括第二发送单元206，用于向终端发送推演参数。

另外，当以上装置用于图9或图10所示的网络结构时，该ran节点为cu节点。

以上各个单元可以为单独设立的处理元件，也可以集成在ran节点的某一个芯片中实现，此外，也可以以程序代码的形式存储于ran节点的存储器中，由ran节点的某一个处理元件调用并执行以上各个单元的功能。此外各个单元可以集成在一起，也可以独立实现。这里所述的处理元件可以是一个cpu，或者是asic，或者是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个dsp，或，一个或者多个fpga等。

此外，第一发送单元205可以通过源ran节点与目标ran节点之间的接口，例如x2接口，将目标as根密钥发送给目标ran节点。当源ran节点与目标ran节点之间没有直接连接时，第一发送单元205可以通过cn设备将目标as根密钥发送给目标ran节点。第一发送单元206可以通过源ran节点与终端之间的接口，例如空口，将推演参数发送给终端，具体实现可以通过射频装置和天线将推演参数发送给终端。

例如，请参见图22，其为本申请实施例提供的一种ran设备的结构示意图。如图22所示，该ran设备包括：天线221、射频装置222、基带装置223。天线221与射频装置222连接。在上行方向上，射频装置222通过天线221接收终端发送的信息，将终端发送的信息发送给基带装置223进行处理。在下行方向上，基带装置223对终端的信息进行处理，并发送给射频装置222，射频装置222对终端的信息进行处理后经过天线221发送给终端。

以上通信安全的处理装置可以位于基带装置223，包括处理元件2231和存储元件2232。基带装置223例如可以包括至少一个基带板，该基带板上设置有多个芯片，如图22所示，其中一个芯片例如为处理元件2231，与存储元件2232连接，以调用存储元件2232中的程序，执行以上方法实施例中源ran节点的操作。该基带装置223还可以包括接口2233，用于与射频装置222交互信息，该接口例如为通用公共无线接口(commonpublicradiointerface，cpri)。

以上确定单元201可以通过基带装置223的一个芯片中实现，或者，将其功能通过程序的形式存储于基带装置223的存储元件中，通过基带装置223的一个处理元件调度实现确定单元201的功能。其它单元，例如使用单元202，的实现同确定单元201，可以通过基带装置223的另一个芯片实现，也可以与确定单元201集成在一起，通过基带装置223的一个芯片实现；这些单元可以部分或全部集成在至少一个芯片里；也可以部分或全部通过程序的形式存储于基带装置223的存储元件中，通过基带装置223的一个处理元件调度实现。当然也可以部分通过芯片集成的方式实现，部分通过程序的方式实现，本申请不做任何限制。

这里的处理元件可以是一个处理器，也可以是多个处理元件的统称，例如，该处理元件可以是cpu，也可以是asic，或者是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个dsp，或，一个或者多个fpga等。存储元件可以是一个存储器，也可以是多个存储元件的统称。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。