CN110830988A

CN110830988A - 一种安全更新方法、网络设备及终端

Info

Publication number: CN110830988A
Application number: CN201810898726.XA
Authority: CN
Inventors: 郑倩; 柯小婉
Original assignee: Vivo Mobile Communication Co Ltd
Current assignee: Vivo Mobile Communication Co Ltd
Priority date: 2018-08-08
Filing date: 2018-08-08
Publication date: 2020-02-21
Anticipated expiration: 2038-08-08
Also published as: CN110830988B

Abstract

本发明提供了一种安全更新方法、网络设备及终端，涉及通信技术领域。该安全更新方法，应用于终端发起无线资源控制RRC重建请求的第一小区，包括：获取第二小区发送的安全参数，所述安全参数用于RRC重建过程的完整性保护功能和加密功能；根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端。上述方案，可以保证终端准确的解密RRC重建消息，可以保证RRC重建过程成功进行，进而可以保证网络通信的可靠性。

Description

一种安全更新方法、网络设备及终端

技术领域

本发明涉及通信技术领域，特别涉及一种安全更新方法、网络设备及终端。

背景技术

当无线资源控制(Radio Resource Control，RRC)重建过程中应用安全机制进行信息发送的安全验证时，RR C重建过程的主要实现包括：

步骤1，连接态用户设备(User Equipment，UE)已经激活了安全(即获得安全密钥KgNB以及基于KgNB导出的RRC消息完整性保护密钥K_RRCint，RRC消息加密密钥K_RRCenc)，且满足了重建条件时，例如，无线链路失败(Radio Link Failure，RLF)、切换失败、RRC重配失败等；在当前小区发起RRC重建请求消息(RRCRestablishmentRequest)，其中RRC重建请求消息携带截短的完整性保护消息验证码(Short Message Authentication Code–Integrity,Short MAC-I)和UE标识，其中UE标识用原服务小区的物理小区标识(Physical CellIdentifier，PCI)和小区无线网络临时标识(Cell-Radio Network TemporaryIdentifier,C-RNTI)识别该UE。

Short MAC-I基于K_gNB导出的RRC消息完整性保护密钥K_RRCint作为安全参数计算得到。

步骤2，区分两种不同的情况，当前小区获得了下一次安全使用的安全密钥K_gNB*。

情况1、如果当前小区是一个准备好的小区(PreparedCell)，即保存有该UE的上下文。具体地，原服务小区在之前的切换准备阶段，为该UE选择了当前小区作为切换候选小区，并且给当前小区推送了相应的切换准备消息(HandoverPreparationInformation)，该切换准备消息包含计算好的Short MAC-I和下一次安全使用的安全密钥K_gNB*。因此在情况1下的子步骤为：

当前小区直接比较RRC重建请求消息中的shortMAC-I与推送的切换准备消息中的shortMAC-I是否相同，如果相同即将当前的安全密钥KgNB更新为下一次安全使用的安全密钥K_gNB*。

情况2、如果当前小区是一个未准备好的小区(UnpreparedCell)，即没有该UE的上下文。则当前小区需要向原服务基站发起UE上下文获取流程(RETRIEVE UE CONTEXTProcedure)以获取UE上下文，因此在情况2下的子步骤为：

当前小区向原服务小区发起获取UE上下文请求(RETRIEVE UE CONTEXT REQUEST)消息，获取UE上下文请求消息中包含RRC重建请求消息中的shortMAC-I和UE ID；

原服务小区通过UE ID找到对应的UE上下文，并通过计算验证shortMAC-I，如果验证通过则向当前小区回复获取UE上下文应答(RETRIEVE UE CONTEXT RESPONSE)消息，获取UE上下文应答消息中包含下一次安全使用的安全密钥K_gNB*。

步骤3，当前小区基于K_gNB*导出的RRC消息完整性保护密钥K_RRCint*和RRC消息加密密钥K_RRCenc*作为安全参数对RRC重建(RRCRestablishment)消息进行完整性保护和加密，并下发给UE。

步骤4，UE基于K_gNB自己通过水平更新导出K_gNB*，以及基于K_gNB*导出K_RRCenc*和K_RRCint*，并用K_RRCenc*和K_RRCint*去解密和完整性验证基站下发的RRCRestablishment消息。

步骤5，如果RRC重建消息解密和解密和完整性验证成功，UE向当前小区发送RRC重建完成(RRCRestablishmentComplete)消息，至此RRC重建过程成功。

现有方案中，RRC重建过程可能失败，例如，当前小区通过切换准备过程(情况1Prepared Cell)或获取UE上下文过程(情况2Unprepared Cell)从原服务小区获得的K_gNB*与UE侧导出的K_gNB*不相同，RRC重建消息无法解密而导致重建过程失败。

发明内容

本发明实施例提供一种安全更新方法、网络设备及终端，以解决当终端从原服务小区获得的K_gNB*与UE侧导出的K_gNB*不相同时，RRC重建消息无法解密而导致重建过程失败的问题。

为了解决上述技术问题，本发明采用如下方案：

第一方面，本发明实施例提供一种安全更新方法，应用于终端发起无线资源控制RRC重建请求的第一小区，包括：

获取第二小区发送的安全参数，所述安全参数用于RRC重建过程的完整性保护功能和加密功能；

根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端。

第二方面，本发明实施例提供一种安全更新方法，应用于终端，包括：

接收第一小区发送的无线资源控制RRC重建消息，所述RRC重建消息由所述第一小区根据安全参数发送，所述第一小区为终端发起RRC重建请求的小区；

进行所述RRC重建消息的解密和验证；

在解密成功后，进行终端所使用的第三目标密钥的更新。

第三方面，本发明实施例提供一种安全更新方法，应用于第二小区，包括：

发送安全参数给终端发起无线资源控制RRC重建请求的第一小区；

其中，所述安全参数用于RRC重建过程的完整性保护功能和加密功能。

第四方面，本发明实施例提供一种第一网络设备，包含终端发起无线资源控制RRC重建请求的第一小区，包括：

获取模块，用于获取第二小区发送的安全参数，所述安全参数用于RRC重建过程的完整性保护功能和加密功能；

第一发送模块，用于根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端。

第五方面，本发明实施例提供一种第一网络设备，包含终端发起无线资源控制RRC重建请求的第一小区，其特征在于，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述的安全更新方法的步骤。

第六方面，本发明实施例提供一种终端，包括：

接收模块，用于接收第一小区发送的无线资源控制RRC重建消息，所述RRC重建消息由所述第一小区根据安全参数发送，所述第一小区为终端发起RRC重建请求的小区；

处理模块，用于进行所述RRC重建消息的解密和验证；

密钥更新模块，用于在解密成功后，进行终端所使用的第三目标密钥的更新。

第七方面，本发明实施例提供一种终端，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述的安全更新方法的步骤。

第八方面，本发明实施例提供一种第二网络设备，包含第二小区，包括：

第二发送模块，用于发送安全参数给终端发起无线资源控制RRC重建请求的第一小区；

第九方面，本发明实施例提供一种第二网络设备，包含第二小区，其特征在于，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述的安全更新方法的步骤。

第十方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的安全更新方法的步骤。

本发明的有益效果是：

上述方案，通过获取第二小区发送的用于RRC重建消息的完整性保护功能和加密功能的安全参数，并根据该安全参数对RRC重建消息进行处理，并发送给所述终端；以此可以保证终端准确的解密RRC重建消息，可以保证RRC重建过程成功进行，进而可以保证网络通信的可靠性。

附图说明

图1表示本发明实施例的安全更新方法的流程示意图之一；

图2表示本发明实施例的安全更新方法的流程示意图之二；

图3表示本发明实施例的安全更新方法的流程示意图之三；

图4为本发明实施例的第一网络设备的模块示意图；

图5为本发明实施例的第一网络设备的结构框图；

图6为本发明实施例的终端的模块示意图；

图7为本发明实施例的终端的结构框图；

图8为本发明实施例的第二网络设备的模块示意图；

图9为本发明实施例的第二网络设备的结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明进行详细描述。

目前机制下，当前小区无法知道网络侧安全密钥与UE侧的是否相同。因此，本发明希望增强当前小区获得下一次安全使用的安全密钥的方法，从而可以让网络侧和UE侧使用相同的安全密钥对RRC重建消息解密和完整性验证，从而保证RRC重建过程总是能成功。

如图1所示，本发明实施例提供一种安全更新方法，应用于终端发起无线资源控制RRC重建请求的第一小区，包括：

步骤101，获取第二小区发送的安全参数；

需要说明的是，所述安全参数用于RRC重建过程的完整性保护功能和加密功能；进一步需要说明的是，该第一小区指的是目标小区，所述目标小区具体指终端发起RRC重建请求的当前小区，还可以扩展应用到终端发起RRC连接恢复请求的当前小区；该第二小区指的是终端的原服务小区，即终端之前RRC连接的小区，例如，当终端在原服务小区的下行无线链路变差或者终端发起的切换失败时，都会断开与原服务小区原来的RRC连接，因而需要重新选择一个合适的目标小区发送RRC重建请求进行重新连接，具体地，该安全参数中包含第一小区下一次所使用的安全密钥。

还需要说明的是，该安全参数主要用于进行RRC重建过程中传输的RRC重建消息进行完整性保护和加密，当终端反馈给第一小区RRC重建完成消息时，该安全参数用于对RRC重建完成消息进行解密和完整性验证。

步骤102，根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端。

进一步需要说明的是，所述安全参数通过RRC容器(Container)或者Xn接口(即网络设备与网络设备之间通信的接口)信令携带。

具体地，当安全参数所包含的具体内容不同时，第一小区进行处理的过程也会不同，下面分别从安全参数所包含的具体内容的角度，对本发明实施例进行具体说明如下。

一、所述安全参数包括：第一安全密钥

具体地，所述第一安全密钥用于RRC重建过程和/或通过水平更新导出，需要说明的是，该第一安全密钥为第一小区的下一次所使用的安全密钥。

具体地，在此种情况下，步骤102中根据所述安全参数，对RRC重建消息进行处理的具体实现方式为：

基于所述第一安全密钥导出第一RRC消息完整性保护密钥和第一RRC消息加密密钥，利用所述第一RRC消息完整性保护密钥和所述第一RRC消息加密密钥对RRC重建消息进行完整性保护和加密。

需要说明的是，在此种情况下，第一小区总是基于第一安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，然后依据导出的RRC消息完整性保护密钥和RRC消息加密密钥对RRC重建消息进行完整性保护和加密，并发送给终端。

需要说明的是，当第一小区向终端发送RRC重建消息后，终端需要反馈RRC重建完成消息给第一小区，具体地，在步骤102之后，第一小区的处理过程还包括：

在接收到所述终端发送的RRC重建完成消息后，利用所述第一RRC消息完整性保护密钥和所述第一RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第一安全密钥更新为所述第一小区所使用的第一目标密钥。

需要说明的是，当接收到RRC重建完成消息后，还需要依据第一安全密钥导出的RRC消息完整性保护密钥和RRC消息加密密钥对RRC重建完成消息进行解密和完整性验证，在解密和完整性验证成功后，表明第一小区与终端之间的通信正常，此时进行第一小区当前所使用的安全密钥(即第一目标密钥)的更新，将第二小区发送的第一安全密钥更新为第一小区当前所使用的安全密钥。

需要说明的是，上述的过程指的是第一小区为准备好的小区后所执行的过程，而当第一小区为未准备好的小区时，第一小区还需要进行如下操作。

具体地，在步骤101之前，第一小区需要向所述第二小区发送获取终端上下文请求消息；

其中，所述终端上下文请求消息中包括：截短的完整性保护消息验证码和终端的上下文标识信息。

进一步地，当第二小区通过所述终端的上下文标识信息找到对应的终端上下文，验证截短的完整性保护消息验证码成功后，向所述第一小区发送回复终端上下文响应消息，所述终端上下文响应消息中携带所述安全参数；当第二小区通过所述终端的上下文标识信息找到对应的终端上下文，验证截短的完整性保护消息验证码成功后，若所述第二小区不能够进行水平更新导出所述第一安全密钥，只能够进行安全密钥的垂直更新，则不回复所述第一小区或向所述第一小区发送获取终端上下文失败消息。

进一步地，若第一小区若收到获取终端上下文响应消息，基于所述第一安全密钥导出第一RRC消息完整性保护密钥和第一RRC消息加密密钥，根据所述第一RRC消息完整性保护密钥和第一RRC消息加密密钥，对RRC重建消息进行完整性保护和加密；若第一小区收到获取终端上下文失败消息，则用RRC连接建立消息替换RRC重建消息(即在此种情况下，第一小区不会向终端发送RRC重建消息，而是直接发送RRC连接建立消息)。

进一步地，在接收到所述终端发送的RRC重建完成消息后，利用所述第一RRC消息完整性保护密钥和所述第一RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第一安全密钥更新为所述第一小区所使用的第一目标密钥。

二、所述安全参数包括：第一安全密钥、第二安全密钥和用于所述第二安全密钥导出的第一下一跳链接数(NCC)

需要说明的是，所述第一安全密钥和所述第二安全密钥用于RRC重建过程；和/或

所述第一安全密钥通过水平更新导出，所述第二安全密钥通过垂直更新导出。

还需要说明的是，该第一安全密钥和第二安全密钥为第一小区的下一次所使用的安全密钥。

基于所述第一安全密钥导出第一RRC消息完整性保护密钥和第一RRC消息加密密钥，利用所述第一RRC消息完整性保护密钥和所述第一RRC消息加密密钥对RRC重建消息进行完整性保护和加密，将第一NCC加入到所述RRC重建消息中。

需要说明的是，在此种情况下，第一小区总是基于第一安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，然后依据导出的RRC消息完整性保护密钥和RRC消息加密密钥对RRC重建消息进行完整性保护和加密，并在RRC重建消息中携带第一NCC，然后发送给终端。

在接收到所述终端发送的RRC重建完成消息后，基于第二安全密钥导出第二RRC消息完整性保护密钥和第二RRC消息加密密钥，利用所述第二RRC消息完整性保护密钥和所述第二RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第二安全密钥更新为所述第一小区所使用的第一目标密钥。

需要说明的是，当接收到RRC重建完成消息后，还需要依据第二安全密钥导出的RRC消息完整性保护密钥和RRC消息加密密钥对RRC重建完成消息进行解密和完整性验证，在解密和完整性验证成功后，表明第一小区与终端之间的通信正常，此时进行第一小区当前所使用的安全密钥(即第一目标密钥)的更新，将第二小区发送的第二安全密钥更新为第一小区当前所使用的安全密钥。

三、所述安全参数包括：第三安全密钥、用于所述第三安全密钥导出的第二NCC和所述第二NCC更新前的第三NCC

需要说明的是，所述第三NCC用于第二小区导出所述第二小区所使用的第二目标密钥，即所述第三NCC为旧的NCC。

具体地，在此种情况下，步骤102中根据所述安全参数，对RRC重建消息进行处理的具体实现方式包括以下方式中的一种：

A1、若第二NCC等于第三NCC，基于所述第三安全密钥导出第三RRC消息完整性保护密钥和第三RRC消息加密密钥，根据所述第三RRC消息完整性保护密钥和第三RRC消息加密密钥，对RRC重建消息进行完整性保护和加密；

A2、若第二NCC不等于第三NCC，则用RRC连接建立消息替换RRC重建消息。

在接收到所述终端发送的RRC重建完成消息后，利用所述第三RRC消息完整性保护密钥和所述第三RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第三安全密钥更新为所述第一小区所使用的第一目标密钥。

需要说明的是，当接收到RRC重建完成消息后，还需要依据第三安全密钥导出的RRC消息完整性保护密钥和RRC消息加密密钥对RRC重建完成消息进行解密和完整性验证，在解密和完整性验证成功后，表明第一小区与终端之间的通信正常，此时进行第一小区当前所使用的安全密钥(即第一目标密钥)的更新，将第二小区发送的第三安全密钥更新为第一小区当前所使用的安全密钥。

本发明实施例，通过获取第二小区发送的用于进行RRC重建消息的完整性保护功能和加密功能的安全参数，并根据该安全参数对RRC重建消息进行处理，并发送给所述终端；以此可以保证终端准确的解密RRC重建消息，可以保证RRC重建过程成功进行，进而可以保证网络通信的可靠性。

具体地，如图2所示，图2根据本发明实施例的应用于终端侧的安全更新方法的流程示意图，所述安全更新方法，应用于终端，包括：

步骤201，接收第一小区发送的无线资源控制RRC重建消息；

其中，所述RRC重建消息由所述第一小区根据安全参数发送，所述第一小区为终端发起RRC重建请求的小区；

需要说明的是，所述安全参数用于RRC重建过程的完整性保护功能和加密功能。

步骤202，进行所述RRC重建消息的解密和验证；

步骤203，在解密成功后，进行终端所使用的第三目标密钥的更新。

需要说明的是，终端所使用的第三目标密钥指的是终端当前所使用的安全密钥。

进一步需要说明的是，所述步骤502的具体实现方式为：

基于终端所使用的第三目标密钥通过水平更新导出终端下一次使用的第四目标密钥；

需要说明的是，此步骤是终端根据当前所使用的安全密钥，通过水平更新导出下一次所使用的安全密钥(即第四目标密钥)。

基于所述第四目标密钥，导出第四RRC消息加密密钥和第四RRC消息完整性保护密钥；

根据所述第四RRC消息加密密钥和所述第四RRC消息完整性保护密钥，进行RRC重建消息的解密和验证。

此过程主要实现的是，终端根据下一次所使用的安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，然后依据导出的RRC消息完整性保护密钥和RRC消息加密密钥对RRC重建消息进行解密和验证。

需要说明的是，因安全参数所包含的内容不同，终端在对RRC重建消息进行解密和验证后进行第三目标密钥的过程也会不同，下面分别进行说明如下。

一、所述安全参数包括：第一安全密钥

需要说明的是，所述第一安全密钥用于RRC重建过程和/或通过水平更新导出。

具体地，在此种情况下，步骤203的实现方式为：

所述RRC重建消息解密和完整性验证成功后，利用所述第四RRC消息加密密钥和所述第四RRC消息完整性保护密钥进行RRC重建完成消息的完整性保护和加密，将所述第四目标密钥更新为第三目标密钥。

在此种情况下，终端依据通过水平更新导出下一次所使用的安全密钥所导出的RRC消息加密密钥和RRC消息完整性保护密钥对发送给第一小区的RRC重建完成消息进行完整性保护和加密，然后将水平更新导出下一次所使用的安全密钥更新为终端当前所使用的安全密钥。

二、所述安全参数包括：第一安全密钥、第二安全密钥和用于所述第二安全密钥导出的第一下一跳链接数NCC

具体地，在此种情况下，步骤203的实现方式为：

所述RRC重建消息解密和完整性验证成功后获得第一NCC，基于所述第一NCC导出终端下一次使用的第五目标密钥，基于所述第五目标密钥导出第五RRC消息加密密钥和第五RRC消息完整性保护密钥，利用所述第五RRC消息加密密钥和所述第五RRC消息完整性保护密钥进行RRC重建完成消息的完整性保护和加密，将所述第五目标密钥更新为第三目标密钥。

需要说明的是，在此种情况下，当终端对RRC重建消息解密和完整性验证成功后，会从RRC重建消息中获取第一小区发送的第一NCC，终端会依据该第一NCC导出终端下一次所使用的安全密钥，然后基于下一次所使用的安全密钥导出的RRC消息加密密钥和RRC消息完整性保护密钥对RRC重建完成消息进行完整性保护和加密，然后直接将依据该第一NCC导出的终端下一次所使用的安全密钥更新为终端当前所使用的安全密钥。

三、第三安全密钥、用于所述第三安全密钥导出的第二NCC和所述第二NCC更新前的第三NCC

需要说明的是，所述第三NCC用于第二小区导出所述第二小区所使用的第二目标密钥。

具体地，在此种情况下，步骤203的实现方式为：

所述RRC重建消息解密和完整性验证成功后，利用所述第四RRC消息加密密钥和所述第四RRC消息完整性保护密钥进行目标完成消息的完整性保护和加密，将所述第四目标密钥更新为第三目标密钥；或者

接收到第一小区用RRC连接建立消息替换RRC重建消息时，释放第三目标密钥。

需要说明的是，在此种情况下，当终端收到RRC重建消息时，对RRC重建消息解密和完整性验证成功，终端依据通过水平更新导出下一次所使用的安全密钥所得到的RRC消息加密密钥和RRC消息完整性保护密钥对发送给第一小区的RRC重建完成消息进行完整性保护和加密，然后将水平更新导出下一次所使用的安全密钥更新为终端当前所使用的安全密钥；若终端没有收到RRC重建消息，收到的是RRC连接建立消息，则终端会释放终端上下文进入空闲态，随后终端的接入层通知非接入层发起非接入层恢复过程，且终端会释放当前的安全密钥。

需要说明的是，上述实施例中所有关于终端的描述均适用于应用于终端的安全更新方法的实施例中，也能达到与之相同的技术效果。

具体地，如图3所示，图3根据本发明实施例的应用于第二网络设备侧的安全更新方法的流程示意图，所述安全更新方法，应用于第二小区，包括：

步骤301，发送安全参数给终端发起无线资源控制RRC重建请求的第一小区；

需要说明的是，第二小区会给第一小区发送三种不同的安全参数，以帮助第二小区执行对应的过程。

一、所述安全参数包括：

第一安全密钥，所述第一安全密钥用于RRC重建过程和/或通过水平更新导出。

二、所述安全参数包括：

第一安全密钥、第二安全密钥和用于所述第二安全密钥导出的第一下一跳链接数NCC；

其中，所述第一安全密钥和所述第二安全密钥用于RRC重建过程；和/或

三、所述安全参数包括：第三安全密钥、用于所述第三安全密钥导出的第二NCC和所述第二NCC更新前的第三NCC；

其中，所述第三NCC用于第二小区导出所述第二小区所使用的第二目标密钥。

还需要说明的是，当第二小区给第一小区发送的安全参数中只包括第一安全密钥时，在步骤301之前，第二小区还会接收所述第一小区发送的获取终端上下文请求消息；

需要说明的是，所述终端上下文请求消息中包括：截短的完整性保护消息验证码和终端的上下文标识信息。

在接收到第一小区发送的获取终端上下文请求消息时，第二小区通过所述终端的上下文标识信息找到对应的终端上下文，验证截短的完整性保护消息验证码成功后，向所述第一小区发送回复终端上下文响应消息，所述终端上下文响应消息中携带所述安全参数。还需要说明的是，当第二小区通过所述终端的上下文标识信息找到对应的终端上下文，验证截短的完整性保护消息验证码成功后，若所述第二小区不能够进行水平更新导出所述第一安全密钥，只能够进行安全密钥的垂直更新，则不回复所述第一小区或向所述第一小区发送获取终端上下文失败消息。

需要说明的是，上述实施例中所有关于第二小区的描述均适用于应用于第二小区的安全更新方法的实施例中，也能达到与之相同的技术效果。

下面结合上述实施例，对与本发明实施例相关的具体实现流程进行举例说明如下。

情况一、

步骤11、第一小区接收第二小区发送的截短的完整性保护消息验证码和安全参数，所述安全参数中只包含第一安全密钥；

步骤12、第一小区接收终端发送的RRC重建请求消息；

具体地，该RRC重建请求消息中包含截短的完整性保护消息验证码和终端的上下文标识信息。

步骤13、第一小区基于第一安全密钥导出的RRC消息完整性保护密钥和RRC消息加密密钥对RRC重建消息进行完整性保护和加密，并下发给终端；

步骤14、终端基于自身当前所使用的安全密钥导出下一次所使用的安全密钥，并基于下一次所使用的安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，并依据导出的密钥进行RRC重建消息的解密和完整性验证；

步骤15、终端在RRC重建消息的解密和完整性验证成功后，用基于自身当前所使用的安全密钥导出的RRC消息完整性保护密钥和RRC消息加密密钥进行RRC重建完成消息的完整性保护和加密，并将基于自身当前所使用的安全密钥导出下一次所使用的安全密钥更新为当前所使用的安全密钥；

步骤16、第一小区在接收到终端发送的RRC重建完成消息后，基于第一安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，利用RRC消息完整性保护密钥和RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第一安全密钥更新为第一小区当前所使用的安全密钥。

还需要说明的是，在第一小区为未准备好小区时，第一小区需要向所述第二小区发送获取终端上下文请求消息；

第二小区在接收到第一小区发送的获取终端上下文请求消息时，当通过所述终端的上下文标识信息找到对应的终端上下文，验证截短的完整性保护消息验证码成功后，向所述第一小区发送回复终端上下文响应消息，所述终端上下文响应消息中携带所述安全参数；当通过所述终端的上下文标识信息找到对应的终端上下文，验证截短的完整性保护消息验证码成功后，若所述第二小区不能够进行水平更新导出所述第一安全密钥，只能够进行安全密钥的垂直更新，则不回复所述第一小区或向所述第一小区发送获取终端上下文失败消息。在此种情况下，若第一小区收到获取终端上下文失败消息，则在进行步骤13时，用RRC连接建立消息替换RRC重建消息，发送给终端，之后的步骤14至16则无需执行。

情况二、

步骤21、第一小区接收第二小区发送的截短的完整性保护消息验证码和安全参数，所述安全参数中包含第一安全密钥、第二安全密钥和用于所述第二安全密钥导出的第一NCC；

步骤22、第一小区接收终端发送的RRC重建请求消息；

步骤23、基于所述第一安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，利用RRC消息完整性保护密钥和第一RRC消息加密密钥对RRC重建消息进行完整性保护和加密，将第一NCC加入到所述RRC重建消息中，下发给终端；

步骤24、终端基于自身当前所使用的安全密钥导出下一次所使用的安全密钥，并基于下一次所使用的安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，并依据导出的密钥进行RRC重建消息的解密和完整性验证；

步骤25、终端在RRC重建消息解密和完整性验证成功后获得第一NCC，基于所述第一NCC导出终端下一次使用的安全密钥，基于下一次使用的安全密钥导出RRC消息加密密钥和RRC消息完整性保护密钥，利用RRC消息加密密钥和RRC消息完整性保护密钥进行RRC重建完成消息的完整性保护和加密，将基于第一NCC导出的终端下一次所使用的安全密钥更新为终端当前使用的安全密钥；

步骤26、第一小区在接收到所述终端发送的RRC重建完成消息后，基于第二安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，利用RRC消息完整性保护密钥和RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第二安全密钥更新为第一小区当前所使用的安全密钥。

情况三、

步骤31、第一小区接收第二小区发送的截短的完整性保护消息验证码和安全参数，所述安全参数中包含第三安全密钥、用于所述第三安全密钥导出的第二NCC和所述第二NCC更新前的第三NCC；

步骤32、第一小区接收终端发送的RRC重建请求消息；

步骤33、第一小区进行第二NCC是否与第三NCC相等的判断，若第二NCC等于第三NCC，基于所述第三安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，根据RRC消息完整性保护密钥和RRC消息加密密钥，对RRC重建消息进行完整性保护和加密，并下发给终端；若第二NCC不等于第三NCC，则用RRC连接建立消息替换RRC重建消息，并下发给终端；

步骤34、当终端收到RRC重建消息时，终端基于自身当前所使用的安全密钥导出下一次所使用的安全密钥，并基于下一次所使用的安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，并依据导出的密钥进行RRC重建消息的解密和完整性验证；当终端收到RRC连接建立消息时，释放终端上下文进入空闲态。

步骤15、当终端收到RRC重建消息，且RRC重建消息解密和完整性验证成功后，利用基于自身当前所使用的安全密钥导出下一次所使用的安全密钥导出的RRC消息加密密钥和RRC消息完整性保护密钥进行目标完成消息的完整性保护和加密，将基于自身当前的安全密钥导出的下一次所使用的安全密钥更新为当前所使用的安全密钥；当终端收到RRC连接建立消息时，维持当前所使用的安全密钥不变。

步骤16、第一小区在接收到所述终端发送的RRC重建完成消息后，基于所述第三安全密钥导出RRC消息完整性保护密钥和RRC消息加密密钥，利用RRC消息完整性保护密钥和RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第三安全密钥更新为第一小区当前所使用的安全密钥。

本发明上述实施例可以保证终端准确的解密RRC重建消息，以此可以保证RRC重建过程成功进行，进而可以保证网络通信的可靠性。

本发明上述实施例所提到的安全更新方法应用于RRC重建过程，还需要说明的是，本发明实施例所提到的安全更新方法还可应用于RRC连接恢复过程。

如图4所示，本发明实施例还提供一种第一网络设备400，包含终端发起无线资源控制RRC重建请求的第一小区，包括：

获取模块401，用于获取第二小区发送的安全参数，所述安全参数用于RRC重建过程的完整性保护功能和加密功能；

第一发送模块402，用于根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端。

具体地，所述安全参数通过RRC容器或者Xn接口信令携带。

可选地，所述安全参数包括：

进一步地，所述第一发送模块402在根据所述安全参数，对RRC重建消息进行处理，包括：

进一步地，在所述第一发送模块402根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端之后，还包括：

第一更新模块，用于在接收到所述终端发送的RRC重建完成消息后，利用所述第一RRC消息完整性保护密钥和所述第一RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第一安全密钥更新为所述第一小区所使用的第一目标密钥。

可选地，所述安全参数包括：

进一步地，所述所述第一发送模块402在根据所述安全参数，对RRC重建消息进行处理，包括：

第二更新模块，用于在接收到所述终端发送的RRC重建完成消息后，基于第二安全密钥导出第二RRC消息完整性保护密钥和第二RRC消息加密密钥，利用所述第二RRC消息完整性保护密钥和所述第二RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第二安全密钥更新为所述第一小区所使用的第一目标密钥。

可选地，所述安全参数包括：第三安全密钥、用于所述第三安全密钥导出的第二NCC和所述第二NCC更新前的第三NCC；

若第二NCC等于第三NCC，基于所述第三安全密钥导出第三RRC消息完整性保护密钥和第三RRC消息加密密钥，根据所述第三RRC消息完整性保护密钥和第三RRC消息加密密钥，对RRC重建消息进行完整性保护和加密；或者

若第二NCC不等于第三NCC，则用RRC连接建立消息替换RRC重建消息。

进一步地，在所述第一发送模块401根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端之后，还包括：

第三更新模块，用于在接收到所述终端发送的RRC重建完成消息后，利用所述第三RRC消息完整性保护密钥和所述第三RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第三安全密钥更新为所述第一小区所使用的第一目标密钥。

可选地，在所述获取模块401获取第二小区发送的安全参数之前，还包括：

请求发送模块，用于向所述第二小区发送获取终端上下文请求消息；

进一步地，所述第一发送模块402在所述根据所述安全参数，对RRC重建消息进行处理，包括：

若收到获取终端上下文响应消息，基于所述第一安全密钥导出第一RRC消息完整性保护密钥和第一RRC消息加密密钥，根据所述第一RRC消息完整性保护密钥和第一RRC消息加密密钥，对RRC重建消息进行完整性保护和加密；或者

若收到获取终端上下文失败消息，则用RRC连接建立消息替换RRC重建消息；

其中，所述终端上下文响应消息中携带所述安全参数。

第四更新模块，用于在接收到所述终端发送的RRC重建完成消息后，利用所述第一RRC消息完整性保护密钥和所述第一RRC消息加密密钥解密和完整性验证所述RRC重建完成消息，所述RRC重建完成消息解密和验证成功后，将所述第一安全密钥更新为所述第一小区所使用的第一目标密钥。

需要说明的是，该第一网络设备实施例是与上述应用于第一网络设备侧的安全更新方法相对应的网络设备，上述实施例的所有实现方式均适用于该网络设备实施例中，也能达到与其相同的技术效果。

本发明实施例还提供一种第一网络设备，包含终端发起无线资源控制RRC重建请求的第一小区，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述的应用于第一网络设备侧的安全更新方法实施例中的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本发明实施例还提供一种计算机可读存储介质，其中，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的应用于第一网络设备侧的安全更新方法实施例中的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等。

图5是本发明一实施例的第一网络设备的结构图，能够实现上述应用于第一网络设备侧的安全更新方法的细节，并达到相同的效果。如图5所示，网络设备500包括：处理器501、收发机502、存储器503和总线接口，其中：

处理器501，用于读取存储器503中的程序，执行下列过程：

在图5中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器501代表的一个或多个处理器和存储器503代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机502可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。

处理器501负责管理总线架构和通常的处理，存储器503可以存储处理器501在执行操作时所使用的数据。

具体地，所述安全参数通过RRC容器或者Xn接口信令携带。

可选地，所述安全参数包括：

进一步地，处理器501，用于读取存储器503中的程序，执行下列过程：

可选地，所述安全参数包括：

可选地，处理器501，用于读取存储器503中的程序，执行下列过程：

向所述第二小区发送获取终端上下文请求消息；

其中，所述终端上下文响应消息中携带所述安全参数。

其中，第一网络设备可以是全球移动通讯(Global System of Mobilecommunication，简称GSM)或码分多址(Code Division Multiple Access，简称CDMA)中的基站(Base Transceiver Station，简称BTS)，也可以是宽带码分多址(Wideband CodeDivision Multiple Access，简称WCDMA)中的基站(NodeB，简称NB)，还可以是LTE中的演进型基站(Evolutional Node B，简称eNB或eNodeB)，或者中继站或接入点，或者未来5G网络中的基站等，在此并不限定。

如图6所示，本发明实施例提供一种终端600，包括：

接收模块601，用于接收第一小区发送的无线资源控制RRC重建消息，所述RRC重建消息由所述第一小区根据安全参数发送，所述第一小区为终端发起RRC重建请求的小区；

处理模块602，用于进行所述RRC重建消息的解密和验证；

密钥更新模块603，用于在解密成功后，进行终端所使用的第三目标密钥的更新。

具体地，所述处理模块602，包括：

第一导出单元，用于基于终端所使用的第三目标密钥通过水平更新导出终端下一次使用的第四目标密钥；

第二导出单元，用于基于所述第四目标密钥，导出第四RRC消息加密密钥和第四RRC消息完整性保护密钥；

处理单元，用于根据所述第四RRC消息加密密钥和所述第四RRC消息完整性保护密钥，进行RRC重建消息的解密和验证。

可选地，所述安全参数包括：

进一步地，所述密钥更新模块603，用于：

可选地，所述安全参数包括：

进一步地，所述密钥更新模块603，用于：

可选地，所述安全参数包括：

第三安全密钥、用于所述第三安全密钥导出的第二NCC和所述第二NCC更新前的第三NCC；

进一步地，所述密钥更新模块603，用于：

需要说明的是，该终端实施例是与上述应用于终端侧的安全更新方法相对应的终端，上述实施例的所有实现方式均适用于该终端实施例中，也能达到与其相同的技术效果。

图7为实现本发明实施例的一种终端的硬件结构示意图。

该终端70包括但不限于：射频单元710、网络模块720、音频输出单元730、输入单元740、传感器750、显示单元760、用户输入单元770、接口单元780、存储器790、处理器711、以及电源712等部件。本领域技术人员可以理解，图7中示出的终端结构并不构成对终端的限定，终端可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。在本发明实施例中，终端包括但不限于手机、平板电脑、笔记本电脑、掌上电脑、车载终端、可穿戴设备、以及计步器等。

其中，射频单元710用于接收第一小区发送的无线资源控制RRC重建消息，所述RRC重建消息由所述第一小区根据安全参数发送，所述第一小区为终端发起RRC重建请求的小区；

处理器711用于进行所述RRC重建消息的解密和验证；在解密成功后，进行终端所使用的第三目标密钥的更新。

应理解的是，本发明实施例中，射频单元710可用于收发信息或通话过程中，信号的接收和发送，具体的，将来自网络设备的下行数据接收后，给处理器711处理；另外，将上行的数据发送给网络设备。通常，射频单元710包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外，射频单元710还可以通过无线通信系统与网络和其他设备通信。

终端通过网络模块720为用户提供了无线的宽带互联网访问，如帮助用户收发电子邮件、浏览网页和访问流式媒体等。

音频输出单元730可以将射频单元710或网络模块720接收的或者在存储器790中存储的音频数据转换成音频信号并且输出为声音。而且，音频输出单元730还可以提供与终端70执行的特定功能相关的音频输出(例如，呼叫信号接收声音、消息接收声音等等)。音频输出单元730包括扬声器、蜂鸣器以及受话器等。

输入单元740用于接收音频或视频信号。输入单元740可以包括图形处理器(Graphics Processing Unit，GPU)741和麦克风742，图形处理器741对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元760上。经图形处理器741处理后的图像帧可以存储在存储器790(或其它存储介质)中或者经由射频单元710或网络模块720进行发送。麦克风742可以接收声音，并且能够将这样的声音处理为音频数据。处理后的音频数据可以在电话通话模式的情况下转换为可经由射频单元710发送到移动通信网络设备的格式输出。

终端70还包括至少一种传感器750，比如光传感器、运动传感器以及其他传感器。具体地，光传感器包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板761的亮度，接近传感器可在终端70移动到耳边时，关闭显示面板761和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别终端姿态(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；传感器750还可以包括指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等，在此不再赘述。

显示单元760用于显示由用户输入的信息或提供给用户的信息。显示单元760可包括显示面板761，可以采用液晶显示器(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板761。

用户输入单元770可用于接收输入的数字或字符信息，以及产生与终端的用户设置以及功能控制有关的键信号输入。具体地，用户输入单元770包括触控面板771以及其他输入设备772。触控面板771，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板771上或在触控面板771附近的操作)。触控面板771可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器711，接收处理器711发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板771。除了触控面板771，用户输入单元770还可以包括其他输入设备772。具体地，其他输入设备772可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。

进一步的，触控面板771可覆盖在显示面板761上，当触控面板771检测到在其上或附近的触摸操作后，传送给处理器711以确定触摸事件的类型，随后处理器711根据触摸事件的类型在显示面板761上提供相应的视觉输出。虽然在图7中，触控面板771与显示面板761是作为两个独立的部件来实现终端的输入和输出功能，但是在某些实施例中，可以将触控面板771与显示面板761集成而实现终端的输入和输出功能，具体此处不做限定。

接口单元780为外部装置与终端70连接的接口。例如，外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元780可以用于接收来自外部装置的输入(例如，数据信息、电力等等)并且将接收到的输入传输到终端70内的一个或多个元件或者可以用于在终端70和外部装置之间传输数据。

存储器790可用于存储软件程序以及各种数据。存储器790可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器790可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

处理器711是终端的控制中心，利用各种接口和线路连接整个终端的各个部分，通过运行或执行存储在存储器790内的软件程序和/或模块，以及调用存储在存储器790内的数据，执行终端的各种功能和处理数据，从而对终端进行整体监控。处理器711可包括一个或多个处理单元；优选的，处理器711可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器711中。

终端70还可以包括给各个部件供电的电源712(比如电池)，优选的，电源712可以通过电源管理系统与处理器711逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。

另外，终端70包括一些未示出的功能模块，在此不再赘述。

优选的，本发明实施例还提供一种终端，包括处理器711，存储器790，存储在存储器790上并可在所述处理器711上运行的计算机程序，该计算机程序被处理器711执行时实现应用于终端侧的安全更新方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现应用于终端侧的安全更新方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random AccessMemory，简称RAM)、磁碟或者光盘等。

如图8所示，本发明实施例还提供一种第二网络设备800，包含第二小区，包括：

第二发送模块801，用于发送安全参数给终端发起无线资源控制RRC重建请求的第一小区；

可选地，所述安全参数包括：

可选地，在所述第二发送模块801发送安全参数给终端发起无线资源控制RRC重建请求的第一小区之前，还包括：

请求接收模块，用于接收所述第一小区发送的获取终端上下文请求消息；

进一步地，所述第二发送模块801，用于：

通过所述终端的上下文标识信息找到对应的终端上下文，验证截短的完整性保护消息验证码成功后，向所述第一小区发送回复终端上下文响应消息，所述终端上下文响应消息中携带所述安全参数。

进一步地，所述第二发送模块801，还用于：

通过所述终端的上下文标识信息找到对应的终端上下文，验证截短的完整性保护消息验证码成功后，若所述第二小区不能够进行水平更新导出所述第一安全密钥，只能够进行安全密钥的垂直更新，则不回复所述第一小区或向所述第一小区发送获取终端上下文失败消息。

需要说明的是，该第二网络设备实施例是与上述应用于第二网络设备侧的安全更新方法相对应的网络设备，上述实施例的所有实现方式均适用于该网络设备实施例中，也能达到与其相同的技术效果。

本发明实施例还提供一种第二网络设备，包含第二小区，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述的应用于第二网络设备侧的安全更新方法实施例中的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本发明实施例还提供一种计算机可读存储介质，其中，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的应用于第二网络设备侧的安全更新方法实施例中的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等。

图9是本发明一实施例的第二网络设备的结构图，能够实现上述应用于第二网络设备侧的安全更新方法的细节，并达到相同的效果。如图9所示，网络设备900包括：处理器901、收发机902、存储器903和总线接口，其中：

处理器901，用于读取存储器903中的程序，执行下列过程：

通过收发机902发送安全参数给终端发起无线资源控制RRC重建请求的第一小区；

在图9中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器901代表的一个或多个处理器和存储器903代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机902可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。

处理器901负责管理总线架构和通常的处理，存储器903可以存储处理器801在执行操作时所使用的数据。

可选地，所述安全参数包括：

可选地，处理器901，用于读取存储器903中的程序，执行下列过程：

接收所述第一小区发送的获取终端上下文请求消息；

进一步地，处理器901，用于读取存储器903中的程序，执行下列过程：

其中，第二网络设备可以是全球移动通讯(Global System of Mobilecommunication，简称GSM)或码分多址(Code Division Multiple Access，简称CDMA)中的基站(Base Transceiver Station，简称BTS)，也可以是宽带码分多址(Wideband CodeDivision Multiple Access，简称WCDMA)中的基站(NodeB，简称NB)，还可以是LTE中的演进型基站(Evolutional Node B，简称eNB或eNodeB)，或者中继站或接入点，或者未来5G网络中的基站等，在此并不限定。

以上所述的是本发明的优选实施方式，应当指出对于本技术领域的普通人员来说，在不脱离本发明所述的原理前提下还可以作出若干改进和润饰，这些改进和润饰也在本发明的保护范围内。

Claims

1.一种安全更新方法，应用于终端发起无线资源控制RRC重建请求的第一小区，其特征在于，包括：

2.根据权利要求1所述的安全更新方法，其特征在于，所述安全参数通过RRC容器或者Xn接口信令携带。

3.根据权利要求1所述的安全更新方法，其特征在于，所述安全参数包括：

4.根据权利要求3所述的安全更新方法，其特征在于，所述根据所述安全参数，对RRC重建消息进行处理，包括：

5.根据权利要求4所述的安全更新方法，其特征在于，在所述根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端之后，还包括：

6.根据权利要求1所述的安全更新方法，其特征在于，所述安全参数包括：

7.根据权利要求6所述的安全更新方法，其特征在于，所述根据所述安全参数，对RRC重建消息进行处理，包括：

8.根据权利要求7所述的安全更新方法，其特征在于，在所述根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端之后，还包括：

9.根据权利要求1所述的安全更新方法，其特征在于，所述安全参数包括：第三安全密钥、用于所述第三安全密钥导出的第二NCC和所述第二NCC更新前的第三NCC；

10.根据权利要求9所述的安全更新方法，其特征在于，所述根据所述安全参数，对RRC重建消息进行处理，包括：

11.根据权利要求10所述的安全更新方法，其特征在于，在所述根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端之后，还包括：

12.根据权利要求3所述的安全更新方法，其特征在于，在所述获取第二小区发送的安全参数之前，还包括：

向所述第二小区发送获取终端上下文请求消息；

13.根据权利要求12所述的安全更新方法，其特征在于，所述根据所述安全参数，对RRC重建消息进行处理，包括：

其中，所述终端上下文响应消息中携带所述安全参数。

14.根据权利要求13所述的安全更新方法，其特征在于，在所述根据所述安全参数，对RRC重建消息进行处理，并发送给所述终端之后，还包括：

15.一种安全更新方法，应用于终端，其特征在于，包括：

进行所述RRC重建消息的解密和验证；

在解密成功后，进行终端所使用的第三目标密钥的更新。

16.根据权利要求15所述的安全更新方法，其特征在于，所述进行所述RRC重建消息的解密和验证，包括：

17.根据权利要求16所述的安全更新方法，其特征在于，所述安全参数包括：

18.根据权利要求17所述的安全更新方法，其特征在于，所述在解密成功后，进行终端所使用的第三目标密钥的更新，包括：

19.根据权利要求16所述的安全更新方法，其特征在于，所述安全参数包括：

20.根据权利要求19所述的安全更新方法，其特征在于，所述在解密成功后，进行终端所使用的第三目标密钥的更新，包括：

21.根据权利要求16所述的安全更新方法，其特征在于，所述安全参数包括：

22.根据权利要求21所述的安全更新方法，其特征在于，所述在解密成功后，进行终端所使用的第三目标密钥的更新，包括：

23.一种安全更新方法，应用于第二小区，其特征在于，包括：

24.根据权利要求23所述的安全更新方法，其特征在于，所述安全参数包括：

25.根据权利要求23所述的安全更新方法，其特征在于，所述安全参数包括：

26.根据权利要求23所述的安全更新方法，其特征在于，所述安全参数包括：第三安全密钥、用于所述第三安全密钥导出的第二NCC和所述第二NCC更新前的第三NCC；

27.根据权利要求24所述的安全更新方法，其特征在于，在所述发送安全参数给终端发起无线资源控制RRC重建请求的第一小区之前，还包括：

接收所述第一小区发送的获取终端上下文请求消息；

28.根据权利要求27所述的安全更新方法，其特征在于，所述发送安全参数给终端发起无线资源控制RRC重建请求的第一小区，包括：

29.根据权利要求28所述的安全更新方法，其特征在于，还包括：

30.一种第一网络设备，包含终端发起无线资源控制RRC重建请求的第一小区，其特征在于，包括：

31.一种第一网络设备，包含终端发起无线资源控制RRC重建请求的第一小区，其特征在于，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至14中任一项所述的安全更新方法的步骤。

32.一种终端，其特征在于，包括：

处理模块，用于进行所述RRC重建消息的解密和验证；

33.一种终端，其特征在于，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求15至22中任一项所述的安全更新方法的步骤。

34.一种第二网络设备，包含第二小区，其特征在于，包括：

35.一种第二网络设备，包含第二小区，其特征在于，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求23至29中任一项所述的安全更新方法的步骤。

36.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至29中任一项所述的安全更新方法的步骤。