CN109246696B - 密钥处理方法以及相关装置 - Google Patents

Abstract

申请实施例公开了一种密钥处理方法，提出了一种针对DC场景下，获得分流承载的安全密钥的方式。该方法包括：主基站确定配置分流承载，所述主基站获取第一根密钥以及生成第一计数值；主基站根据第一根密钥以及第一计数值生成第二密钥，第二密钥用于派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥；其中，分流承载为第一分流承载或第二分流承载，第一分流承载为数据锚点在主基站上的分流承载，第二分流承载为数据锚点在辅基站上的分流承载，本申请实施例还公开了一种基站和终端。

Description

密钥处理方法以及相关装置

技术领域

本申请实施例涉及通信领域，尤其涉及一种密钥处理方法、基站以及终端。

背景技术

未来的第五代(5th Generation，5G)网络建设中，可以通过双连接(dualconnectivity，DC)，使终端同时从主基站和辅基站空口获得无线资源，提高无线资源利用率，提高传输速率。

在DC场景中，具有多种数据承载方式，包括：主小区组承载(master cell groupbearer，MCG bearer)，辅小区组承载(secondary cell group bearer，SCG bearer)以及分流承载(split bearer)，其中，分流承载又进一步包括：数据锚点在主基站上的分流承载和数据锚点在辅基站上的分流承载。对每种承载上的数据，都需要进行加密和/或完整性保护。但是，现有技术中，尚未有针对上述两种分流承载上的数据进行统一安全密钥的生成方式。

发明内容

本申请实施例提供了一种密钥处理方法、基站以及终端设备，用于解决现有技术中，尚未有针对DC场景下的分流承载进行统一安全处理的问题，包括如何派生安全密钥。

有鉴于此，为了解决上述问题，本申请提供以下技术方案。

第一方面，本申请提出了一种密钥处理方法，该方法包括：主基站确定配置分流承载；主基站获取第一根密钥以及生成第一计数值；主基站根据第一根密钥以及第一计数值生成第二密钥，所述第二密钥用于派生用于对分流承载上的数据进行加密和/或完整性保护的密钥。其中，分流承载为第一分流承载或第二分流承载，第一分流承载为数据锚点在主基站上的分流承载，第二分流承载为数据锚点在辅基站上的分流承载。由此可见，本申请提出了一种针对DC场景下，获得分流承载的安全密钥的方式。

其中，主基站与辅基站可以是不同制式的基站，例如主基站为长期演进(longterm evolution，LTE)基站且辅基站为新空口(new radio，NR)基站。

可选地，当主基站确定配置第一分流承载时，所述方法还包括：所述主基站根据所述第二密钥派生用于对所述第一分流承载上的数据进行加密和/或完整性保护的密钥。

可选地，当主基站确定配置第二分流承载时，所述方法还包括：所述主基站将所述第二密钥发送给辅基站。则辅基站可以根据所述第二密钥派生用于对所述第二分流承载上的数据进行加密和/或完整性保护的密钥。

在一种可能的实现中，主基站生成第一计数值之后，方法还包括：主基站将第一计数值发送至终端，以使终端根据第一计数值生成终端的第二密钥，所述终端的第二密钥用于所述终端派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

在一种可能的实现中，方法还包括：当主基站确定配置的分流承载由第一分流承载切换至第二分流承载，或者由第二分流承载切换至第一分流承载，主基站更新第二密钥。由此可见，由于第一分流承载、第二分流承载使用不同的安全密钥，当某个基站受到恶意攻击时，另一基站不会跟着受影响，有效地提高了基站的安全性。

在一种可能的实现中，主基站更新第二密钥，包括：主基站生成第二计数值，第二计数值与第一计数值为不同的计数值；主基站根据第一根密钥以及第二计数值生成第三密钥；主基站将第二密钥更新为第三密钥。当所述主基站为所述终端配置的分流承载由所述第一分流承载切换至所述第二分流承载时，所述主基站将所述第二密钥发送给所述辅基站。即在本实现中，提出了一种具体更新第二密钥的方式，提高了方案的可实施性。

在一种可能的实现中，主基站生成第二计数值之后，方法还包括：主基站将第二计数值发送至终端，以使终端根据第二计数值生成第三密钥。在主基站更新了第二密钥后，终端也要对应将第二密钥更新为第三密钥。

结合本申请第一方面，在一种可能的实现中，方法还包括：当主基站确定配置的分流承载由第一分流承载切换至第二分流承载时，主基站向辅基站发送NR分组数据汇聚协议(packet data convergence protocol，PDCP)上下文信息，NR PDCP上下文信息至少包括以下参数中的一个或者多个：主基站上NR PDCP层为下一个准备进行PDCP层处理的PDCP服务数据单元(service data unit，SDU)分配的PDCP序号(serial number，SN)和/或PDCP计数器(COUNT)值；或者，主基站上收到的上行UL PDCP SDU的状态报告；或者，主基站上第一个丢失的UL PDCP SDU对应的PDCP服务数据单元序列号SN和/或PDCP计数COUNT值。

结合本申请第一方面，在一种可能的实现中，方法还包括：当主基站确定配置的分流承载由第二分流承载切换至第一分流承载，主基站接收辅基站发送的NR PDCP上下文信息，NR PDCP上下文信息包括以下参数中的一个或者多个：辅基站上NR PDCP层为下一个准备进行PDCP层处理的PDCP SDU分配的PDCP SN和/或PDCP COUNT值；或者，辅基站上收到的UL PDCP SDU的状态报告；或者，辅基站上第一个丢失的UL PDCP SDU对应的PDCP SN和/或PDCP COUNT值。

由此可见，对于上述第二种方案，当主基站确定配置的分流承载的类型发生变化时，通过主基站和辅基站之间交互NR PDCP上下文信息，从而使得对于终端而言，分流承载的类型切换过程中无需进行密钥的更新，也不需要触发终端NR PDCP的重建立，有效地防止了不必要的NR PDCP重建立所带来的资源浪费。

在一种可能的实现中，因此，若第一分流承载切换到第二分流承载，主基站释放从主基站到辅基站的下行(DL)数据分流传输通道，辅基站释放辅基站到主基站的上行(UL)数据分流传输通道。同理，若第二分流承载切换到第一分流承载，也需要将切换之前的传输隧道释放。由此可见，这样可以减少传输资源浪费。

第二方面，本申请提供了一种密钥处理方法，该方法包括：

终端接收主基站发送的第一计数值，第一计数值为主基站确定配置分流承载后生成的；终端根据第一计数值以及获取的第一根密钥生成第二密钥；

终端根据第二密钥派生用于进行加密和/或完整性保护的密钥；其中，分流承载为第一分流承载或者第二分流承载，第一分流承载为数据锚点在主基站上的分流承载，第二分流承载为数据锚点在辅基站上的分流承载。

在一种可能的实现中，当主基站确定配置的分流承载由第一分流承载切换至第二分流承载，或者由第二分流承载切换至第一分流承载，终端接收主基站发送的第二计数值，第二计数值与第一计数值为不同的计数值；终端根据第二计数值以及第一密钥生成第三密钥；终端将第二密钥更新为上述第三密钥。

在一种可能的实现中，当主基站确定配置的分流承载由第一分流承载切换至第二分流承载时，或者由第二分流承载切换至第一分流承载，终端不触发NR PDCP的重建立过程，分流承载的类型切换过程中无需进行NR PDCP重建立，有效地防止了不必要的NR PDCP重建立所带来的资源浪费。

第三方面，本申请实施例提供了一种密钥处理方法，包括：

当所述终端被配置使用锚点在辅基站的分流承载时，所述辅基站从主基站接收第二密钥，所述第二密钥为所述主基站根据第一根密钥派生，所述辅基站根据所述第二密钥生成用于对所述锚点在辅基站的分流承载上的数据进行加密和/或完整性保护的密钥。

第四方面，本本申请实施例提供了一种基站，该基站包括用于上述各方面各个步骤的单元/手段(means)。在一种可能的实现中，该基站包括：获取单元，用于当确定配置分流承载时，获取第一根密钥；生成单元，用于生成第一计数值；生成单元，还用于根据获取单元获取的第一根密钥以及第一计数值生成第二密钥，第二密钥用于派生用于对分流承载上的数据进行加密和/或完整性保护的密钥；其中，分流承载为第一分流承载或者第二分流承载，第一分流承载为数据锚点在主基站上的分流承载，第二分流承载为数据锚点在辅基站上的分流承载，所述基站作为所述终端的主基站。

在本申请的第四方面中，基站的组成元/手段(means)还可以执行前述第一方面中各种可能的实现方式中所描述的步骤，详见前述对第一方面中各种可能的实现方式中的说明，具体此处不再做赘述。

第五方面，本申请实施例还提供了一种基站，该基站具有实现上述第一方面方法中主基站或辅基站的行为的功能，上述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的单元。在一种可能的实现中，基站的结构中包括通信接口，通信接口被用于配置为支持与终端进行的数据/信息的发送/接收。基站的结构中包括至少一个存储元件和至少一个处理元件(或芯片)，该至少一个存储元件用于存储程序和数据，该至少一个处理元件(或芯片)用于执行上述至少一个存储元件的程序时实现上述第一方面所提供的方法。

第六方面，本本申请实施例提供了一种终端，该终端包括用于上述第三方面各个步骤的单元/手段(means)。在一种可能的实现中，该终端包括：接收单元，用于接收主基站发送的第一计数值，第一计数值为主基站确定配置分流承载后生成；处理单元，用于根据所述终端生成的第一根密钥，以及接收单元接收的第一计数值生成第二密钥；根据第二密钥派生用于分流承载上的数据进行加密和/或完整性保护的密钥。其中，分流承载为第一分流承载或者第二分流承载，第一分流承载为数据锚点在主基站上的分流承载，第二分流承载为数据锚点在辅基站上的分流承载。

在本申请的第六方面中，终端的组成单元/手段(means)还可以执行前述第二方面中各种可能的实现方式中所描述的步骤，详见前述对第二方面中各种可能的实现方式中的说明，具体此处不再做赘述。

第七方面，本申请实施例还提供了一种终端，该终端具有实现上述第二方面方法中终端的行为的功能，上述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的单元。在一种可能的实现中，终端的结构中包括收发元件，收发元件被用于配置为支持与主基站、辅基站进行的数据/信息的发送/接收。该终端还可以包括至少一个存储元件，该至少一个存储元件用于存储程序和数据，还包括至少一个处理元件(或芯片)，用于执行上述至少一个存储元件的程序时实现上述第二方面所提供的方法。

第八方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述任一方面所述的密钥处理方法。

第九方面，本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一方面所述的密钥处理方法。

第十方面，本申请提供了一种计算机装置，该计算机装置包括用于执行上述任一方面所述的密钥处理方法的至少一个处理元件(或芯片)。其中，所述芯片可以是终端芯片或者基站芯片。

第十一方面，本发明实施例提供了一种通信系统，包括以上方面所述的主基站以及辅基站，所述通信系统中还可以包含以上方面所述的终端。

从以上技术方案可以看出，本申请实施例中提供了一种密钥处理方法，当主基站确定配置分流承载时，主基站获取第一根密钥以及生成第一计数值，根据第一根密钥以及第一计数值生成用于派生用于对分流承载上的数据进行加密和/或完整性保护密钥的第二密钥，其中，分流承载为第一分流承载或第二分流承载，第一分流承载为数据锚点在主基站上的分流承载，第二分流承载为数据锚点在辅基站上的分流承载。由此可见，本申请提出了一种针对DC场景下，获得分流承载的安全密钥的方式。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。

图1为本申请实施例所适用的双连接网络系统一个架构示意图；

图2为本申请实施例中提供的DRB的一个示意图；

图3为本申请实施例一种密钥处理方法一个实施例信令交互示意图；

图4为本申请实施例一种NP PDCP上下文信息发送示意图；

图5为本申请实施例另一种NP PDCP上下文信息发送示意图；

图6为本申请实施例再一种NP PDCP上下文信息发送示意图；

图7为本申请实施例一种密钥处理方法一个密钥分配示意图；

图8为本申请实施例一种基站一个实施例结构示意图；

图9为本申请实施例一种基站另一实施例结构示意图；

图10为本申请实施例一种基站另一实施例结构示意图；

图11为本申请实施例一种终端一个实施例结构示意图；

图12为本申请实施例一种基站另一实施例结构示意图；

图13为本申请实施例一种终端另一实施例结构示意图。

具体实施方式

本申请实施例提供了一种密钥处理方法以及相关设备，用于提供一种针对双连接场景下，获得分流承载的安全密钥的方式。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本申请实施例适用于DC场景中，尤其适用于LTE系统与NR系统所构成的双连接场景下，也适用其他异制式系统之间构成的双连接场景，例如可以包括，但不局限于演进的LTE(eLTE)系统、演进的LTE-A(LTE-Advanced)系统、或LTE-U系统，或LTE授权辅助接入(licensed assisted access，LAA)系统与NR系统所构成的双连接场景下，这里不做限定。请参阅图1，图1为本申请实施例所适用的双连接网络系统一个框架示意图，包括主基站、辅基站和终端，终端分别接入主基站和辅基站，主基站与辅基站之间通过通信接口连接，例如Xn，或者X2接口，需要说明的是，为了便于理解，下文的描述中将主基站与辅基站之间的通信接口为X2接口为例进行描述。主基站主要负责控制功能以及数据的传输，辅基站主要用来分流数据。其中，在本申请实施例中，可以以LTE系统中的演进型基站(evolved node B，eNB或eNodeB)作为主基站(称为MeNB)，将NR系统中的基站(gNB)作为辅基站(称为SgNB)；也可以以NR系统中的基站(gNB)作为主基站，将LTE系统中的eNB作为辅基站，这里不做限定。此外，当主基站是eNB时，主基站可以连接演进型分组核心网(evolved packet core，EPC)或者NR核心网，当作为主基站的eNB连接NR核心网时，该eNB即为eLTE eNB。其中，主基站也可以称为主节点(masternode,MN)，辅基站也可以称为辅节点(secondary node，SN)。

其中，本申请实施例中所涉及的终端，可以是指向用户提供语音和/或数据连通性的无线终端，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入网(radio access network，RAN)与一个或多个核心网进行通信，无线终端可以是移动终端，如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)等设备。无线终端也可以称为系统、订户单元(subscriber unit)、订户站(subscriberstation)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、用户设备(user device，)、或用户装备(userequipment，UE)，具体这里不做限定。

在本申请实施例中，DRB是指终端与基站之间的数据无线承载，用于承载基站与终端之间传输的数据。请参阅图2，图2为本申请实施例中提供的DRB的一个示意图，由图2可知，本申请实施例提供的DRB的类型包括主小区组承载(MCG bearer)，辅小区组承载(SCGbearer)，以及分流承载(split bearer)。split bearer包括数据锚点在主基站上的分流承载以及数据锚点在辅基站上的分流承载两类，其中，数据锚点在主基站上的分流承载可以称为主小区组分流承载(MCG split bearer)；数据锚点在辅基站上的分流承载可以称为辅小区组分流承载(SCG split bearer)。为了方便描述，本申请实施例，例如方法实施例中，将以MCG split bearer指代数据锚点在主基站上的分流承载，以SCG split bearer指代数据锚点在辅基站上的分流承载进行说明。

具体地，所述MCG bearer是指空口协议仅位于主基站以使用主基站的传输资源的承载，因此，MCG bearer上的上行或下行数据仅通过主基站传输。所述SCG bearer是指空口协议仅位于辅基站以使用辅基站的传输资源的承载，因此，SCG bearer上的上行或下行数据仅通过辅基站传输。所述split bearer是指空口协议同时位于主基站及辅基站以同时使用主基站及辅基站的传输资源的承载，则主基站与辅基站可以同时与终端进行数据传输。进一步地，对于split bearer而言，若采用MCG split bearer，则在下行方向，由主基站的分组数据汇聚层协议(Packet Data Convergence Protocol，PDCP)层将核心网下发的下行数据分流到辅基站，并由辅基站将分流的下行数据发送给终端；在上行方向，如果上行支持分流，则主基站、辅基站分别从终端接收上行数据，辅基站再将接收到的上行数据发送给主基站，由主基站将分别从主基站和辅基站接收的上行数据进行重排序，然后再按序将收到的数据发送给核心网。若采用SCG split bearer，则在下行方向，由辅基站的PDCP层将核心网下发的下行数据分流到主基站，并由主基站将分流的下行数据发送给终端；在上行方向，如果上行支持分流，则主基站、辅基站分别从终端接收上行数据，主基站再将接收到的上行数据发送给辅基站，由辅基站将分别从主基站和辅基站接收的上行数据进行重排序，然后在再按序将收到的数据发送给核心网。可以理解，对于MCG bearer和SCG bearer，主基站上传输的数据以及辅基站上传输的数据可以属于不同的业务，例如，主基站上传输语音业务数据，辅基站上传输视频业务数据；对于split bearer，主基站上传输的数据以及辅基站上传输的数据可以属于同一类业务的不同数据，本申请实施例对此不做限定。

示例性的，在本申请实施例中，MCG bearer、SCG bearer和split bearer的PDCP层都可以采用NR协议规定的PDCP层的格式，在本申请实施例中，NR协议规定的PDCP层可以简称为NR PDCP。而其他协议层，如无线链路控制(radio link control，RLC)层、介质访问控制(media access control，MAC)层和物理层(physical layer，PHY)，对于上述4种承载方式而言，还是在不同制式下各自独立。

在本申请实施方式中，主基站和辅基站可以为不同制式的基站。例如，主基站是LTE基站且辅基站为NR基站；或者主基站是NR基站且辅基站为LTE基站。可选地，主基站与辅基站也可以是同制式的基站，例如都是NR基站。

为方便描述，本申请实施例将以LTE基站为主基站，且NR基站为辅基站，且主基站连接演进型分组核心网(evolved packet core，EPC)的双连接场景进行说明。该双连接场景可以称为E-UTRA-NR dual connectivity(EN-DC)。

在DC场景中，基站与终端之间需要通过DRB进行用户面数据的传输。为了进一步保护传输数据的安全性，则需要在PDCP层对传输的数据进行加密和/或完整性保护，为此，本申请实施例提供了一种密钥处理方法，主基站确定配置分流承载，主基站获取第一根密钥以及生成第一计数值；主基站根据密钥第一根密钥以及第一计数值生成第二密钥。

下面通过具体的实施例进行详细说明，请参阅图3，图3为本申请实施例一种密钥处理方法一个实施例流程示意图，包括：

101、主基站确定配置分流承载。

具体地，所述分流承载为MCG split bearer或者SCG split bearer。主基站可以根据终端的业务进展情况以及当前网络负载等条件确定使用哪种分流。

102、所述主基站获取第一根密钥以及生成第一计数值。

其中，第一根密钥可以为KeNB密钥，或者其他密钥，具体不做限定。

其中，KeNB密钥可以是主基站根据接入安全管理实体密钥(key access securitymanagement entity，Kasme)生成的密钥，具体关于主基站获取Kasme密钥的方式，这里不再赘述。

其中，第一计数值由主基站生成，所述分流承载为MCG split bearer或者SCGsplit bearer。

可以理解，当主基站确定配置分流承载后，例如，在配置分流承载的过程中，主基站可以获取所述第一根密钥，并生成第一计数值。

103、主基站根据第一根密钥以及第一计数值生成第二密钥，所述第二密钥用于派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

在主基站获取第一根密钥以及生成第一计数值后，主基站根据所述第一根密钥以及第一计数值生成第二密钥，其中，所述第二密钥用于派生用于对所述分流承载上的数据进行加密的密钥，即加密密钥(integrity key，IK)，和/或用于派生完整性保护的密钥，即完整性保护密钥(ciphering key，CK)。

示例性的，本申请实施例中，根据第一根密钥以及第一计数值生成的第二密钥可以称为Split-KgNB，用于生成Split-KgNB的计数值可以称为split counter。

在本申请的一个实施方式中，当主基站确定配置MCG split bearer时，所述方法还包括：所述主基站根据所述第二密钥派生用于对MCG split bearer上的数据进行加密和/或完整性保护的密钥。

其中，所述进行加密和/或完整性保护的密钥可以是加密密钥和/或完整性保护密钥。

在本申请的一个实施方式中，当主基站确定配置SCG split bearer时，所述方法还包括：

步骤104：当主基站生成第二密钥后，将第二密钥发送给辅基站。

示例性的，通过X2接口消息将第二密钥发送给辅基站。

随后，辅基站可以根据接收到的第二密钥，生成用于对SCG split bearer上的数据进行加密和/或完整性保护的密钥。关于辅基站生成密钥的具体过程描述可以参见本实施例中，主基站根据第二密钥派生进行加密和/或完整性保护的密钥的描述，不做赘述。

在本申请的一个实施方式中，所述方法还包括：

步骤105：主基站将生成的第一计数值发送给终端。

可选地，主基站可以通过RRC重配置消息将第一计数值发送给终端。

步骤106：终端根据接收到的第一计数值对应生成第二密钥。

其中，终端根据第一计数值生成第二密钥的过程与基站的类似，不再赘述。

可以理解，步骤104以及步骤105-步骤106之间没有执行的先后顺序区分，可以先执行步骤104，再执行步骤105-步骤106，也可以先执行步骤105-步骤106，再执行步骤104；也可以同时执行步骤104以及步骤105，本申请实施例对此不做特别限定。

简而言之，当主基站确定配置分流承载后，主基站生成上述第二密钥。当所述分流承载为第二分流承载时，将该第二密钥通过X2接口发送给辅基站。这样，对于MCG splitbearer上承载的数据，主基站上的NR PDCP层可以使用该第二密钥进一步派生出加密密钥和/或完整性保护密钥，从而进行空口安全处理；对于SCG split bearer上承载的数据，辅基站上的NR PDCP层使用该第二密钥进一步派生出加密密钥和/或完整性保护密钥，从而进行空口安全处理。

在本申请实施例中，主基站根据第一根密钥，结合一些算法相关参数作为密钥派生入参来派生加密密钥和/或完整性保护密钥，例如：算法类型识别指示(algorithm typedistinguisher)，该算法类型识别指示用于指示使用的算法是信令的加密算法，还是信令的完整性保护算法，还是用户面数据的加密算法；以及算法指示(algorithm identity)，该算法指示用于指示使用的算法是EEA0/EIA0，还是EEA1/EIA1等，将这些参数作为密钥派生的入参，输入密钥派生函数(key derivation function，KDF)，从而得到对应的加密密钥和/或完整性保护密钥。

以辅基站侧为例，辅基站根据第二密钥派生出加密密钥和/或完整性保护密钥后，根据加密密钥和/或完整性保护密钥进行安全空口处理包括：

示例性的，以加密密钥为例，辅基站根据第二密钥派生出加密密钥之后，结合一些参数作为入参，例如：待发送的用户面数据、DRB ID、传输方向指示(用于指示数据传输是上行或者下行)、PDCP计数值(COUNT)等，通过加密算法，得到加密后的用户面数据，并将加密后的用户面数据在空口发送给终端。因为在利用加密密钥对用户面数据进行加密处理之前，用户面数据是明文，任何设备都可以读懂，但利用加密密钥加密后，用户面数据变成了密文，攻击者不能解析，只有携带有正确密钥的接收方才能将经过加密密钥加密后的密文进行解密，从而恢复出明文，进而，接收方能够解析数据，所以使得空口传输的数据安全得以保证。

其中，该PDCP COUNT值是由超帧号(hyper frame number，PDCP HFN)和PDCP SN两部分组成的。

需要说明的是，当主基站确定配置的分流承载的类型发生改变时，在本申请实施例提出了两种不同的密钥处理方案。

第一种方案，在本申请的一个实施方式中，当主基站确定配置的分流承载的类型由MCG split bearer切换至SCG split bearer时，或者由SCG split bearer切换至MCGsplit bearer时，主基站更新第二密钥。即当网络侧分流承载的数据锚点发生了改变，则进行第二密钥的更新。这样带来的效果在于，由于MCG split bearer、SCG split bearer使用不同的安全密钥，当某个基站受到恶意攻击时，另一基站不会跟着受影响，有效地提高了基站的安全性。

在本申请的一个实施方式中，主基站更新所述第二密钥，包括：

主基站生成第二计数值，其中，第二计数值为基站生成的与第一计数值不同的数值。主基站根据密钥第一根密钥以及所述第二计数值生成第三密钥，主基站将所述第二密钥更新为所述第三密钥。当主基站确定配置的分流承载的类型由MCG split bearer切换至SCG split bearer时，主基站将所述第三密钥发送给辅基站。

在本申请的一个实施方式中，所述主基站生成第二计数值之后，所述方法还包括：所述主基站将所述第二计数值发送至所述终端，以使所述终端根据所述第二计数值生成所述第三密钥。示例性的，在本申请的一个实施方式中，可选地，第一计数值的初始值为0，在每次更新第二密钥时，用于生成该第二密钥的第一计数值加1(即第二计数值)。

例如，以MCG split bearer切换到SCG split bearer为例进行说明，假设终端初始在MCG split bearer时，使用第二密钥，生成该第二密钥对应的第一计数值为0。一旦主基站决定将MCG split bearer切换到SCG split bearer，则主基站生成计数值为1的第二计数值，主基站基于第一根密钥和取值为1的第二计数值重新生成第三密钥，将第二密钥更新为第三密钥，并将该第三密钥发送到辅基站，以便辅基站上的NR PDCP层使用。同时，主基站将取值为1的第二计数值发送给终端，以便终端也根据第二计数值对应生成第三密钥，根据第三密钥派生新的加密密钥或者完整性保护密钥，从而进行安全空口处理。另外值得注意的是，对于终端而言，终端只是通过第二密钥的更新知道网络侧发生了split bearer内的类型变化，但是具体数据锚点对终端不可见。

第二种方案，当主基站为所述终端配置的分流承载的类型由MCG split bearer切换至SCG split bearer时，或者由SCG split bearer切换至MCG split bearer时，主基站或者辅基站仍然使用原来生成的第二密钥。即使网络侧分流承载的数据锚点发生了改变，则不进行第二密钥的更新。

例如，以MCG split bearer切换到SCG split bearer为例进行说明，假设终端初始在MCG split bearer时，使用第二密钥，生成该第二密钥对应的第一计数值为0。一旦主基站决定将MCG split bearer切换到SCG split bearer，则第一根密钥将根据第一计数值为0生成的第二密钥发送到辅基站，以便辅基站上的NR PDCP层使用。由此可见，对终端而言，即使网络侧分流承载的数据锚点发生了改变，但对于终端而言，NR PDCP层使用的密钥没有发生改变，且MCG split bearer以及SCG split bearer都对应同一NR PDCP层，因此，当主基站为所述终端配置的分流承载的类型发生变化时，终端无需触发进行NR PDCP的重建立过程，可以减少不必要的资源浪费。

为了有效地防止终端触发NR PDCP重建立的过程，可选地，所述方法还包括：

当主基站确定配置的分流承载的类型由MCG split bearer切换至SCG splitbearer时，主基站向所述辅基站发送NR PDCP上下文信息，其中，该NR PDCP上下文信息至少包括以下参数中的一个或者多个：

主基站上NR PDCP层为下一个准备进行PDCP层处理的PDCP SDU分配的PDCP SN和/或PDCP COUNT值；或者，

主基站上收到的UL PDCP SDU的状态报告；或者，

主基站上第一个丢失的UL PDCP SDU对应的PDCP SN和/或PDCP COUNT值。

可选地，所述方法还包括：

当主基站确定配置的分流承载的类型由SCG split bearer切换至MCG splitbearer时，主基站接收辅基站发送的NR PDCP上下文信息，所述NR PDCP上下文信息包括以下参数中的一个或者多个：

辅基站上NR PDCP为下一个准备进行PDCP层处理的PDCP SDU分配的SN和/或PDCPCOUNT值；或者，

辅基站上收到的UL PDCP SDU的状态报告；或者，

辅基站上第一个丢失的UL PDCP SDU对应的PDCP SN和/或PDCP COUNT值。

需要说明的是，在主基站确定配置的分流承载的类型由SCG split bearer切换至MCG split bearer情况下，这里所述的下一个PDCP SDU所述下一个PDCP SDU为下一个准备进行PDCP层处理的PDCP SDU，即辅基站上当前经过PDCP层处理的最后一个PDCP SDU后面紧接的一个PDCP SDU。

由此可见，对于上述第二种方案，当主基站为所述终端配置的分流承载的类型发生变化时，通过主基站和辅基站之间交互NR PDCP上下文信息，从而使得对于终端而言，分流承载的类型切换过程中无需进行NR PDCP重建立。

在本申请实施例中，以LTE基站主基站(MeNB)，NR基站为辅基站(SgNB)为例，如图4所示，在MCG split bearer切换到SCG split bearer场景下，MeNB可以通过辅基站增加请求(SgNB addition request)消息或者辅基站变更请求(SgNB modification request)消息将主基站上的NR PDCP上下文信息发送给辅基站。

请参阅图5，在SCG split bearer切换到MCG split bearer场景下，辅基站通过辅基站增加/变更请求确认(SgNB addition/modification request acknowledge)消息，将SgNB上的NR PDCP上下文信息发送给MeNB；再如图6所示，辅基站还可以通过辅基站变更需求消息(SgNB modification required)将SgNB上的NR PDCP上下文信息发送给MeNB。需要说明的是，主基站与辅基站之间，还可以通过其他消息交互NR PDCP上下文信息，本申请实施例不做限定。

如图7所示，需要说明的是，在本申请实施例中，对于MCG bearer而言，主基站直接基于KeNB生成用于派生出用于对MCG bearer上的数据进行加密和/或完整性保护的密钥；对于SCG bearer而言，主基站根据KeNB和SCG counter生成S-KeNB密钥，基于S-KeNB密钥生成用于派生出用于对SCG bearer上的数据进行加密和/或完整性保护的密钥，具体过程不再赘述，需要说明的是，SCG counter为用于生成SCG bearer所使用的S-KeNB密钥的计数值，split counter为用于生成split bearer所使用的Split-KgNB的计数值。

另外需要说明的是，在本申请实施例中，以MCG split bearer切换到SCG splitbearer为例，当建立MCG split bearer时，建立了MeNB到SgNB的下行数据传输通道，以及SgNB到MeNB的上行数据传输通道。当建立SCG split bearer时，建立了SgNB到MeNB的下行数据传输通道，以及MeNB到SgNB的上行数据传输通道。因此，在MCG split bearer切换到SCG split bearer时，MeNB释放从MeNB到SgNB的下行数据传输通道，SgNB释放SgNB到MeNB的上行数据传输通道。同理，在SCG split bearer切换到MCG split bearer时，需要将切换之前建立的上行传输通道或者下行传输通道的释放。从而，可以减少传输资源浪费。其中，所述下行数据传输通道是用于split bear的下行数据传输通道，所述上行传输通道是用于split bear的上行数据传输通道，数据传输通道也可以称为隧道。

综上所述，本申请实施例提出了一种针对DC场景下，获得分流承载的安全密钥的方式。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于示例性实施例，所涉及的动作和单元并不一定是本申请所必须的。

为便于更好的实施本申请上述方法实施例中所描述的方案，下面还提供用于实施上述方案对应的相关装置。

请参阅图8，图8为本申请实施例一种基站一个实施例结构示意图，该基站可以作为本申请实施例方法部分所述的主基站，该基站包括确定单元101，获取单元102和生成单元103。

其中，确定单元101，用于确定配置分流承载，其中，所述分流承载为第一分流承载或者第二分流承载，所述第一分流承载为数据锚点在所述主基站上的分流承载，所述第二分流承载为数据锚点在所述辅基站上的分流承载。

获取单元102，获取第一根密钥。

生成单元103，用于生成第一计数值。

所述生成单元103，还用于根据所述获取单元102获取的所述第一根密钥以及所述第一计数值生成第二密钥，所述第二密钥用于派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

请参阅图9，可选地，所述基站还包括第一发送单元104；

所述第一发送单元104，用于所述生成单元103生成所述第一计数值之后，将所述第一计数值发送至所述终端，以使所述终端根据所述第一计数值生成终端的第二密钥。则所述终端可以根据所述终端的第二密钥派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

请参阅图10，可选地，所述主基站还包括更新单元105：

所述更新单元105，用于当所述分流承载由所述第一分流承载切换至所述第二分流承载，或者由所述第二分流承载切换至所述第一分流承载时，更新所述第二密钥。

可选地，当所述分流承载为第一分流承载时，所述生成单元103还用于，根据第二密钥派生用于对所述第一分流承载上的数据进行加密和/或完整性保护的密钥。

可选地，所述基站还包括第二发送单元106，当所述分流承载为第二分流承载时，所述第二发送单元106还用于，向辅基站发送第二密钥。则由辅基站根据第二密钥派生用于对所述第二分流承载上的数据进行加密和/或完整性保护的密钥。

可选地，所述生成单元103还用于：

生成第二计数值，所述第二计数值与所述第一计数值为不同的计数值；

根据所述第一根密钥以及所述第二计数值生成第三密钥；

所述更新单元105用于更新所述第二密钥，包括：

所述更新单元105用于将所述第二密钥更新为所述第三密钥。

可选地，所述第一发送单元104还用于：

所述生成单元103生成所述第二计数值之后，将所述第二计数值发送至所述终端，以使所述终端根据所述第二计数值生成所述第三密钥。

可选地，所述第二发送单元106还用于：

当所述分流承载由所述第一分流承载切换至所述第二分流承载，向所述辅基站发送NR PDCP上下文信息，所述NR PDCP上下文信息至少包括以下参数中的一个或者多个：

所述基站上NR PDCP层为下一个准备进行PDCP层处理的PDCP服务数据单元SDU分配的PDCP序列号SN和/或PDCP COUNT值；或者，

所述基站上收到的上行UL PDCP SDU的状态报告；或者，

所述基站上第一个丢失的UL PDCP SDU对应的PDCP SN和/或PDCP COUNT值。

可选地，所述基站还包括接收单元，用于当所述分流承载由所述第二分流承载切换至所述第一分流承载，接收所述辅基站发送的NR PDCP上下文信息，所述NR PDCP上下文信息包括以下参数中的一个或者多个：

所述辅基站上NR PDCP层为下一个准备进行PDCP层处理的PDCP SDU分配的PDCPSN和/或PDCP COUNT值；或者，

所述辅基站上收到的UL PDCP SDU的状态报告；或者，

所述辅基站上第一个丢失的UL PDCP SDU对应的PDCP SN和/或PDCP COUNT值。

请参阅图11，图11为本申请实施例一种终端一个实施例结构示意图，该终端包括接收单元201和处理单元202。

接收单元201，用于接收主基站发送的第一计数值，所述第一计数值为所述主基站为配置分流承载后生成的；

处理单元202，用于根据所述终端生成的第一根密钥，以及所述接收单元201接收的所述第一计数值生成第二密钥；根据所述第二密钥派生用于所述分流承载上的数据进行加密和/或完整性保护的密钥；

其中，所述分流承载为第一分流承载或者第二分流承载，所述第一分流承载为数据锚点在所述主基站上的分流承载，所述第二分流承载为数据锚点在所述辅基站上的分流承载。

可选地，所述接收单元201还用于：当所述主基站确定配置的所述分流承载由所述第一分流承载切换至所述第二分流承载，或者由所述第二分流承载切换至所述第一分流承载，接收所述主基站发送的第二计数值，所述第二计数值与所述第一计数值为不同的计数值；

所述处理单元202，还用于：

根据所述第二计数值以及所述第一根密钥生成第三密钥；

将所述第二密钥更新为所述第三密钥。

可选地，所述处理单元202还用于：当所述主基站确定配置的所述分流承载所述第一分流承载切换至所述第二分流承载，或者由所述第二分流承载切换至所述第一分流承载，不触发NR PDCP的重建立过程。

需要说明的是，上述装置各单元之间的信息交互、执行过程等内容，由于与本申请实施例中的方法实施例基于同一构思，具体的更多细节可以参阅方法实施例部分，其带来的技术效果也与本申请方法实施例相同，具体内容可参见本申请前述所示的方法实施例中的叙述，此处不再赘述。

另外需要说明的是，以上装置(基站或终端)的各个单元的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些单元可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分单元以软件通过处理元件调用的形式实现，部分单元以硬件的形式实现，具体不做限定。例如，处理单元可以为单独设立的处理元件，也可以集成在上述基站或终端的某一个芯片中实现，此外，也可以以程序的形式存储于上述基站或终端的存储器中，由上述基站或终端的某一个处理元件调用并执行该处理单元的功能。其它单元的实现与之类似。此外这些单单元全部或部分可以集成在一起，也可以独立实现。这里所讲的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个单单元可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。此外，以上接收单单元是一种控制接收的单元，可以通过上述基站或终端的接收装置，例如天线和射频装置接收对端(例如，基站的对端为终端；或者终端的对端为基站)发送的信息。以上发送单元是一种控制发送的单元，可以通过上述基站或终端的发送装置，例如天线和射频装置向对端发送信息。

例如，以上这些单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，ASIC)，或，一个或多个微处理器(digital singnal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)等。再如，当以上某个单元通过处理元件调度程序的形式实现时，该处理元件可以是通用处理器，例如中央处理器(central processingunit，CPU)或其它可以调用程序的处理器。再如，这些单元可以集成在一起，以片上系统(system-on-a-chip，SOC)的形式实现。

请参阅图12，图12为本申请实施例一种基站一个实施例结构示意图，该基站包括：天线110、射频装置120、基带装置130。天线110与射频装置120连接。在上行方向上，射频装置120通过天线110接收终端、或其他基站发送的信息，将终端、或其他基站发送的信息发送给基带装置130进行处理。在下行方向上，基带装置130对终端、或其他基站的信息进行处理，并发送给射频装置120，射频装置120对终端的、或其他基站的信息进行处理后经过天线111发送给终端、或其他基站。

在一种实现中，以上各个单元通过处理元件调度程序的形式实现，例如基带装置130包括处理元件131和存储元件132，处理元件131调用存储元件132存储的程序，以执行以上方法实施例中基站侧的方法。此外，该基带装置130还可以包括通信接口133，用于与射频装置120交互信息，该接口例如为通用公共无线接口(common public radio interface，CPRI)。

在另一种实现中，以上这些单元可以是被配置成实施以上方法的一个或多个处理元件，这些处理元件设置于基带装置130上，这里的处理元件可以为集成电路，例如：一个或多个ASIC，或，一个或多个DSP，或，一个或者多个FPGA等。这些集成电路可以集成在一起，构成芯片。

例如，以上各个单元可以集成在一起，以片上系统(system-on-a-chip，SOC)的形式实现，例如，基带装置130包括SOC芯片，该芯片用于实现以上方法中主基站或者辅基站执行的操作。该芯片内可以集成处理元件131和存储元件132，由处理元件131调用存储元件132的存储的程序的形式实现以上方法或以上各个单元的功能；或者，该芯片内可以集成至少一个集成电路，用于实现以上方法或以上各个单元的功能；或者，可以结合以上实现方式，部分单元的功能通过处理元件调用程序的形式实现，部分单元的功能通过集成电路的形式实现。

不管采用何种方式，总之，以上基站包括至少一个处理元件和存储元件，其中至少一个处理元件用于执行以上方法实施例所提供的方法。处理元件可以以第一种方式：即执行存储元件存储的程序的方式执行以上方法实施例中的部分或全部步骤；也可以以第二种方式：即通过处理器元件中的硬件的集成逻辑电路结合指令的方式执行以上方法实施例中的部分或全部步骤；当然，也可以结合第一种方式和第二种方式执行以上方法实施例提供的方法。本实施例中由基站所执行的步骤具体可以参考前述实施例中的对应过程，在此不再赘述。

这里的处理元件同以上描述，可以是通用处理器，例如中央处理器(centralprocessing unit，CPU)，还可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，ASIC)，或，一个或多个微处理器(digital singnal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)等。

存储元件可以是一个存储器，也可以是多个存储元件的统称。

在本申请提供一种程序产品，例如计算机可读存储介质，包括实现上述基站功能的程序。

请参阅图13，图13为本申请实施例一种终端一个实施例结构示意图，该终端包括：处理元件110、存储元件120、收发元件130。收发元件130可以与天线连接。在下行方向上，收发元件130通过天线接收基站发送的信息，并将信息发送给处理元件110进行处理。在上行方向上，处理元件110对终端的数据进行处理，并通过收发元件130发送给基站。

该存储元件120用于存储实现以上方法实施例的程序，处理元件110调用该程序，执行以上方法实施例的操作，以实现图11所示的各个单元。

在另一种实现中，以上这些单元可以是被配置成实施以上方法的一个或多个处理元件，这些处理元件设置于终端的电路板，这里的处理元件可以为集成电路，例如：一个或多个ASIC，或，一个或多个DSP，或，一个或者多个FPGA等。这些集成电路可以集成在一起，构成芯片。

例如，以上各个单元可以集成在一起，以片上系统(system-on-a-chip，SOC)的形式实现，例如，终端包括该SOC芯片，该芯片用于实现以上方法中终端执行的操作。该芯片内可以集成处理元件110和存储元件120，由处理元件110调用存储元件120的存储的程序的形式实现以上方法或以上各个单元的功能；或者，该芯片内可以集成至少一个集成电路，用于实现以上终端侧方法或以上各个单元的功能；或者，可以结合以上实现方式，部分单元的功能通过处理元件调用程序的形式实现，部分单元的功能通过集成电路的形式实现。

不管采用何种方式，总之，以上终端包括至少一个处理元件和存储元件，其中至少一个处理元件用于执行以上方法实施例所提供的方法。处理元件可以以第一种方式：即执行存储元件存储的程序的方式执行以上方法实施例中终端侧的部分或全部步骤；也可以以第二种方式：即通过处理元件中的硬件的集成逻辑电路结合指令的方式执行以上方法实施例中的部分或全部步骤；当然，也可以结合第一种方式和第二种方式执行以上方法实施例终端侧提供的方法。本实施例中由终端所执行的步骤具体可以参考前述实施例中的对应过程，在此不再赘述。

这里的处理元件同以上描述，可以是通用处理元件，例如CPU，还可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个ASIC，或，一个或多个DSP，或，一个或者多个FPGA)等。

存储元件可以是一个存储器，也可以是多个存储元件的统称。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质，例如固态硬盘(solid state disk，SSD)等。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，单元和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

所述集成的单元果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (26)

1.一种密钥处理方法，其特征在于，所述方法包括：

主基站确定配置分流承载，其中，所述分流承载为第一分流承载或第二分流承载，所述第一分流承载为数据锚点在所述主基站上的分流承载，所述第二分流承载为数据锚点在辅基站上的分流承载；

所述主基站获取第一根密钥以及生成第一计数值；

所述主基站根据所述第一根密钥以及所述第一计数值生成第二密钥，所述第二密钥用于派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

2.根据权利要求1所述的方法，其特征在于，所述主基站生成所述第一计数值之后，所述方法还包括：

所述主基站将所述第一计数值发送至终端，以使所述终端根据所述第一计数值生成终端的第二密钥，所述终端的第二密钥用于所述终端派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

当所述主基站确定配置的分流承载由所述第一分流承载切换至所述第二分流承载，或者由所述第二分流承载切换至所述第一分流承载，所述主基站更新所述第二密钥。

4.根据权利要求3所述的方法，其特征在于，所述主基站更新所述第二密钥，包括：

所述主基站生成第二计数值，所述第二计数值与所述第一计数值为不同的计数值；

所述主基站根据所述第一根密钥以及所述第二计数值生成第三密钥；

所述主基站将所述第二密钥更新为所述第三密钥。

5.根据权利要求4所述的方法，其特征在于，所述主基站生成第二计数值之后，所述方法还包括：

所述主基站将所述第二计数值发送至终端，以使所述终端根据所述第二计数值生成所述第三密钥。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述主基站确定配置的所述分流承载由所述第一分流承载切换至所述第二分流承载，所述主基站向所述辅基站发送新空口分组数据汇聚协议NR PDCP上下文信息，所述NRPDCP上下文信息至少包括以下参数中的一个或者多个：

所述主基站的NR PDCP层为下一个准备进行PDCP层处理的PDCP服务数据单元SDU分配的PDCP序列号SN和/或PDCP计数器COUNT值；或者，

所述主基站上收到的上行UL PDCP SDU的状态报告；或者，

所述主基站上第一个丢失的UL PDCP SDU对应的PDCP SN和/或PDCP COUNT值。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述主基站确定配置的所述分流承载由所述第二分流承载切换至所述第一分流承载，所述主基站接收所述辅基站发送的NR PDCP上下文信息，所述NR PDCP上下文信息包括以下参数中的一个或者多个：

所述辅基站上NR PDCP层为下一个准备进行PDCP层处理的PDCP SDU分配的PDCP SN和/或PDCP COUNT值；或者，

所述辅基站上收到的UL PDCP SDU的状态报告；或者，

所述辅基站上第一个丢失的UL PDCP SDU对应的PDCP SN和/或PDCP COUNT值。

8.根据权利要求1、2以及4-7任一所述的方法，其特征在于，所述主基站确定配置分流承载包括：

所述主基站确定配置第一分流承载；

所述方法还包括：所述主基站根据所述第二密钥派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

9.根据权利要求1、2以及4-7任一所述的方法，其特征在于，所述主基站确定配置分流承载包括：

所述主基站确定配置第二分流承载；

所述方法还包括：所述主基站向所述辅基站发送所述第二密钥。

10.一种密钥处理方法，其特征在于，所述方法包括：

终端接收主基站发送的第一计数值，所述第一计数值为所述主基站确定配置分流承载后生成的，其中，所述分流承载为第一分流承载或者第二分流承载，所述第一分流承载为数据锚点在所述主基站上的分流承载，所述第二分流承载为数据锚点在辅基站上的分流承载；

所述终端根据所述终端派生的第一根密钥以及获取到的所述第一计数值生成第二密钥；

所述终端根据所述第二密钥派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

11.根据权利要求10所述的方法，其特征在于，当所述主基站确定配置的所述分流承载由所述第一分流承载切换至所述第二分流承载时，或者由所述第二分流承载切换至所述第一分流承载时，所述终端接收所述主基站发送的第二计数值，所述第二计数值与所述第一计数值为不同的计数值；

所述终端根据所述第二计数值以及所述第一根密钥生成第三密钥；

所述终端将所述第二密钥更新为所述第三密钥。

12.根据权利要求10所述的方法，其特征在于，当所述主基站确定配置的所述分流承载由所述第一分流承载切换至所述第二分流承载时，或者由所述第二分流承载切换至所述第一分流承载时，所述终端不触发NR PDCP的重建立过程。

13.一种基站，其特征在于，包括：

确定单元，用于确定配置分流承载，其中，所述分流承载为第一分流承载或者第二分流承载，所述第一分流承载为数据锚点在主基站上的分流承载，所述第二分流承载为数据锚点在辅基站上的分流承载；

获取单元，用于获取第一根密钥；

生成单元，用于生成第一计数值；

所述生成单元，还用于根据所述获取单元获取的所述第一根密钥以及所述第一计数值生成第二密钥，所述第二密钥用于派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

14.根据权利要求13所述的基站，其特征在于，所述基站还包括第一发送单元；

所述第一发送单元，用于所述生成单元生成所述第一计数值之后，将所述第一计数值发送至终端，以使所述终端根据所述第一计数值生成所述第二密钥。

15.根据权利要求13或14所述的基站，其特征在于，所述基站还包括更新单元；

所述更新单元，用于当所述分流承载由所述第一分流承载切换至所述第二分流承载时，或者由所述第二分流承载切换至所述第一分流承载时，更新所述第二密钥。

16.根据权利要求15所述的基站，其特征在于，所述生成单元还用于：

生成第二计数值，所述第二计数值与所述第一计数值为不同的计数值；

根据所述第一根密钥以及所述第二计数值生成第三密钥；

所述更新单元用于更新所述第二密钥，包括：

所述更新单元用于：将所述第二密钥更新为所述第三密钥。

17.根据权利要求16所述的基站，其特征在于，第一发送单元还用于：

所述生成单元生成所述第二计数值之后，将所述第二计数值发送至终端，以使所述终端根据所述第二计数值生成所述第三密钥。

18.根据权利要求13所述的基站，其特征在于，还包括第二发送单元，用于：

当所述分流承载由所述第一分流承载切换至所述第二分流承载，向所述辅基站发送NRPDCP上下文信息，所述NR PDCP上下文信息至少包括以下参数中的一个或者多个：

所述基站上NR PDCP层为下一个准备进行PDCP层处理的PDCP服务数据单元SDU分配的PDCP序列号SN和/或PDCP计数器COUNT值；或者，

所述基站上收到的上行UL PDCP SDU的状态报告；或者，

所述基站上第一个丢失的UL PDCP SDU对应的PDCP SN和/或PDCP COUNT值。

19.根据权利要求13所述的基站，其特征在于，所述基站还包括：

接收单元，用于当所述分流承载由所述第二分流承载切换至所述第一分流承载，接收所述辅基站发送的NR PDCP上下文信息，所述NR PDCP上下文信息包括以下参数中的一个或者多个：

所述辅基站上NR PDCP层为下一个准备进行PDCP层处理的PDCP SDU分配的PDCP SN和/或PDCP COUNT值；或者，

所述辅基站上收到的UL PDCP SDU的状态报告；或者，

所述辅基站上第一个丢失的UL PDCP SDU对应的PDCP SN和/或PDCP COUNT值。

20.根据权利要求13、14以及16-19任一所述的基站，其特征在于，

所述确定单元具体用于：确定配置第一分流承载；

所述生成单元还用于：根据所述第二密钥派生用于对所述分流承载上的数据进行加密和/或完整性保护的密钥。

21.根据权利要求13、14以及16-19任一所述的基站，其特征在于，

所述确定单元具体用于：所述主基站确定配置第二分流承载；

还包括第三发送单元，用于向所述辅基站发送所述第二密钥。

22.一种终端，其特征在于，包括：

接收单元，用于接收主基站发送的第一计数值，所述第一计数值为所述主基站确定配置分流承载后生成的，其中，所述分流承载为第一分流承载或者第二分流承载，所述第一分流承载为数据锚点在所述主基站上的分流承载，所述第二分流承载为数据锚点在辅基站上的分流承载；

处理单元，用于根据所述终端生成的第一根密钥，以及所述接收单元接收的所述第一计数值生成第二密钥；根据所述第二密钥派生用于所述分流承载上的数据进行加密和/或完整性保护的密钥。

23.根据权利要求22所述的终端，其特征在于，所述接收单元还用于：当所述主基站确定配置的所述分流承载由所述第一分流承载切换至所述第二分流承载，或者由所述第二分流承载切换至所述第一分流承载时，接收所述主基站发送的第二计数值，所述第二计数值与所述第一计数值为不同的计数值；

所述处理单元，还用于：

根据所述第二计数值以及所述第一根密钥生成第三密钥；

将所述第二密钥更新为所述第三密钥。

24.根据权利要求22所述的终端，其特征在于，所述处理单元还用于：当所述主基站配置的所述分流承载由所述第一分流承载切换至所述第二分流承载，或者由所述第二分流承载切换至所述第一分流承载，不触发NR PDCP的重建立过程。

25.一种计算机装置，包括至少一个存储元件和至少一个处理元件、所述至少一个存储元件用于存储程序和数据，所述至少一个处理元件用于执行如权利要求1-9任一项所述的方法。

26.一种计算机装置，包括至少一个存储元件和至少一个处理元件、所述至少一个存储元件用于存储程序和数据，所述至少一个处理元件用于执行如权利要求10-12任一项所述的方法。

Images