CN113573310B - 一种密钥更新的通信方法、装置和系统 - Google Patents

Abstract

本申请提供了的一种密钥更新的通信方法及相关装置。本申请提供的技术方案中，第一层完成密钥更新，更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信；第一层向第二层发送第一指示信息，该第一指示信息用于指示释放及添加与第一单播连接相关的侧链路无线承载SLRB，其中，第一层和第二层位于第一终端设备中，第一单播连接为第一终端设备和第二终端设备之间的单播连接，第一终端设备使用第二密钥通过添加后的SLRB与第二终端设备进行侧行链路通信，从而能够解决密钥更新过程中的密钥混淆问题。

Description

一种密钥更新的通信方法、装置和系统

技术领域

本申请涉及通信领域，并且更具体地，涉及密钥更新的通信方法、装置和系统。

背景技术

车联网(vehicle to everthing，V2X)是智能交通运输系统的关键技术，被认为是物联网体系中最有产业潜力、市场需求最明确的领域之一。车联网一般是指通过装载在车上的传感器、车载终端设备等提供车辆信息，实现车辆到车辆(vehicle to vehicle，V2V)，车辆到基础设施(vehicle to infrastructure，V2I)，车辆到网络(vehicle to Network，V2N)以及车辆到行人(vehicle to pedestrian，V2P)之间的相互通信的通信网络。一般的，在V2X场景下，终端设备与其他终端设备之间进行直连通信的通信链路可以称之为边链或者侧链(sidelink，SL)，SL接口可以称之为PC5口。

在新空口(new radio,NR)V2X中，终端设备之间支持单播通信，即两个终端设备之间可以建立单播连接，进行一对一的数据通信。两个终端设备之间的通信可以进行加密和完整性保护，为了进一步的提高数据通信的安全性，两个V2X终端设备之间可以进行密钥更新。在密钥更新过程中，终端设备存在一段维护两套或多套密钥的时间，终端设备可能会在这段时间内由于不清楚该使用哪一套密钥而出现密钥混淆的问题。因此，如何能够避免密钥更新过程中的密钥混淆，成为亟待解决的问题。可以理解的是，其他SL通信场景下也可能遇到类似问题。

发明内容

本申请提供一种密钥更新的方法和通信装置，从而可以解决第一终端设备和第二终端设备在密钥更新过程中，避免密钥混淆的问题。

第一方面，提供了一种密钥更新方法，该方法中，第一层完成密钥更新，更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信；第一层向第二层发送第一指示信息，该第一指示信息用于指示释放及添加与所述第一单播连接相关的侧链路无线承载SLRB；

第一终端设备使用该第二密钥通过添加后的SLRB与第二终端设备进行侧行链路通信。

其中，第一层和第二层位于第一终端设备中，该第一单播连接为第一终端设备和第二终端设备之间的单播连接。

通过该方法，第一终端设备在密钥更新过程中释放及添加与所述第一单播连接相关的侧链路无线承载SLRB，通过该添加后的SLRB进行侧链路通信，以避免密钥混淆的问题。

一种可能的设计中，第二层根据SLRB配置信息执行添加与第一单播连接相关的SLRB的操作。第一终端设备的第二层可以根据该SLRB配置信息添加新的SLRB。

一种可能的设计中，该SLRB配置信息是第一终端设备之前保存的配置信息，也就是说，第一终端设备可以直接使用之前或预留的配置信息，减少了网元之间的信令交互。

又一种可能的设计中，第一终端设备接收网络设备发送的该SLRB配置信息，可以理解为该SLRB配置信息为网络设备重新配置的SLRB配置信息以使得第一终端设备根据该SLRB配置信息进行SLRB的添加操作。

可选的，第一终端设备在接收网络设备发送的该SLRB配置信息之前，该方法还可以包括：第一终端设备向网络设备发送第一更新指示信息，该第一更新指示信息用于指示第一单播连接进行密钥更新。通过该实现方式，第一终端设备可以向网络设备发送指示密钥更新的信息，以获取SLRB配置信息。网络设备接收该第一更新指示信息获知需要为第一终端设备分配SLRB配置信息。

可选的，第一更新指示信息包括该第一单播连接标识(unicast link identity)。网络设备可以通过该第一单播连接的标识区分需要向第一终端设备分配与哪个单播连接对应的SLRB配置信息。

可以理解的，该第一更新指示信息可以携带指示密钥更新信息和第一单播连接的标识中的一个或多个，也就是可以只携带指示密钥更新信息，或者只携带第一单播连接的标识，也可以携带指示密钥更新信息和第一单播连接的标识，能指示网络设备该第一单播连接进行密钥更新即可，本申请实施例并不限定具体携带的信息。

可选的，第一终端设备还存在至少一个第二单播连接时，还可以包括：

第一单播连接与第二单播连接不支持侧行链路的承载复用，或者，当第一单播连接与第二单播连接支持侧行链路的承载复用时，第一单播连接和第二单播连接的完整性保护和加密算法一致。

一种可能的设计中，所添加的SLRB使用第二逻辑信道，该第二逻辑信道是第一终端设备执行SLRB添加操作后相关的逻辑信道。可以理解为，第一终端设备添加了新的逻辑信道用于第一单播连接通信，以使得可以与原有的逻辑信道区分开来。

一种可能的设计中，第一终端设备向第二终端设备发送第一消息，该第一消息包括所述第二逻辑信道的标识和第二加密指示信息，该第二加密指示信息用于指示该第二逻辑信道上传输的数据使用该第二密钥进行加密。通过该第一消息，第一终端设备指示了第二逻辑信道的标识和加密的密钥。

又一种可能的设计中，第一终端设备接收第二消息，该第二消息包括第三逻辑信道标识和第三加密指示信息，该第三逻辑信道标识是第二终端设备执行SLRB添加操作后相关的逻辑信道标识，该第三加密指示信息用于指示所述第三逻辑信道上传输的数据使用所述第二密钥进行加密。通过该第二消息，第一终端设备确定了第三逻辑信道，以及对于第三逻辑信道进行加密的密钥为第二密钥。

可选的，第一终端设备使用第二密钥解密通过第三逻辑信道上接收到的数据。第一终端设备根据第二消息可以确定使用第二密钥解密第二终端设备发送的数据，可以与第二终端设备对齐该第一单播连接通信使用的密钥。

一种可能的设计中，第一层完成密钥更新的时机为以下任一种：发送安全模式命令消息(Direct Security Mode Command)之前；或者，接收并验证安全模式命令消息后；或者，接收到安全模式更新完成消息(Direct Security Mode Complete)后。第一终端设备的第一层有多个完成密钥更新的时机或者时刻，可以灵活的进行释放和添加与第一单播连接相关的SLRB的操作。

第二方面，提供了一种密钥更新的方法，该方法中，第一层完成密钥更新，更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信；第一层向第二层发送第二指示信息，该第二指示信息用于指示与第一单播连接相关的SL PDCP重建和RLC承载释放及添加。

第一终端设备使用该第二密钥通过重建后的SL PDCP和添加后的RLC承载与第二终端设备进行侧行链路通信。

其中，第一层和第二层位于第一终端设备中，该第一单播连接为第一终端设备和第二终端设备之间的单播连接。

通过该方法，第一终端设备在密钥更新过程中执行SL PDCP重建和RLC承载释放及添加操作，通过该重建后的SL PDCP和添加后的RLC承载进行侧链路通信，以避免密钥混淆的问题。

一种可能的设计中，第二层根据第一配置信息执行SL PDCP重建操作和添加RLC承载的操作。第一终端设备的第二层可以根据该第一配置信息添加新的RLC承载。

可选的，该第一配置信息是第一终端设备之前保存的配置信息，也就是说，第一终端设备可以直接使用之前或预留的配置信息，减少了网元之间的信令交互。

可选的，第一终端设备接收网络设备发送的该第一配置信息，可以理解为该第一配置信息为网络设备重新配置的第一配置信息。

可选的，第一配置信息中包括以下至少一项：SL PDCP重建配置信息和RLC承载释放和添加配置信息。

可选的，SL PDCP重建配置信息还包含发送PDCP状态报告的使能指示信息，可以理解为，该第一配置信息中还可能包含用于指示发送PDCP状态报告的信息，第一终端设备根据该指示信息确定向第二终端设备发送PDCP状态报告。

一种可能的设计中，第一终端设备在接收网络设备发送的该第一配置信息之前，该方法还可以包括：第一终端设备向网络设备发送第二更新指示信息，该第二更新指示信息用于指示第一单播连接进行密钥更新。通过该实现方式，第一终端设备可以向网络设备发送指示密钥更新的信息，以获取第一配置信息。网络设备接收该第二更新指示信息获知需要为第一终端设备分配第一配置信息。

可选的，第一终端设备还存在至少一个第二单播连接时，还可以包括：

第一单播连接与第二单播连接不支持侧行链路的承载复用，或者，当第一单播连接与第二单播连接支持侧行链路的承载复用时，第一单播连接和第二单播连接的完整性保护和加密算法一致。也就是说，当第一终端设备具有多个单播连接时，一种情况下需要限定第一单播连接与第二单播连接不支持侧行链路的承载复用，另一种情况下，如果第一单播连接与第二单播连接支持侧行链路的承载复用，需要限定第一单播连接和第二单播连接的完整性保护和加密算法一致。

一种可能的设计中，第二更新指示信息中还包括第一单播连接的标识。

网络设备可以通过第二更新指示信息中的第一单播连接的标识区分需要向第一终端设备分配与哪个单播连接对应的第一配置信息。

可以理解的，该第二更新指示信息可以携带指示密钥更新信息和第一单播连接的标识中的一个或多个，也就是可以只携带指示密钥更新信息，或者只携带第一单播连接的标识，也可以同时携带指示密钥更新信息和第一单播连接的标识，能指示网络设备该第一单播连接进行密钥更新即可，本申请实施例并不限定具体携带的信息。

一种可能的设计中，所添加的RLC承载使用第四逻辑信道，该第四逻辑信道是第一终端设备执行SL PDCP重建及RLC承载添加操作后相关的逻辑信道。可以理解为，第一终端设备添加了新的逻辑信道用于第一单播连接通信，以使得可以与原有的逻辑信道区分开来。

一种可能的设计中，第一终端设备向第二终端设备发送第三消息，该第三消息包括第四逻辑信道的标识和第四加密指示信息，第四加密指示信息用于指示所述第四逻辑信道上传输的数据使用所述第二密钥进行加密。通过该第三消息，第一终端设备指示了第四逻辑信道的标识和加密的密钥。

可选的，当SL PDCP重建配置信息还包含发送PDCP状态报告的使能指示信息时，第三消息还包括PDCP状态报告。也就是说，第一终端设备根据SL PDCP重建配置信息中的PDCP状态报告的使能指示信息确定向第二终端设备发送PDCP状态报告，以使得第二终端设备获得PDCP状态报告。

又一种可能的设计中，第一终端设备接收第四消息，该第四消息包括第五逻辑信道标识和第五加密指示信息，第五逻辑信道标识是第二终端设备执行SL PDCP重建及RLC承载添加操作后相关的逻辑信道，第五加密指示信息用于指示第五逻辑信道上传输的数据使用第二密钥进行加密。通过该第四消息，第一终端设备确定了第五逻辑信道，以及对于第五逻辑信道进行加密的密钥为第二密钥。

可选的，第一终端设备使用第二密钥解密通过第五逻辑信道上接收到的数据。第一终端设备根据第四消息可以确定使用第二密钥解密第二终端设备发送的数据，可以与第二终端设备对齐该第一单播连接通信使用的密钥。

一种可能的设计中，第一层完成密钥更新的时机为以下任一种：发送安全模式命令消息(Direct Security Mode Command)之前；或者，接收并验证安全模式命令消息后；或者，接收到安全模式更新完成消息(Direct Security Mode Complete)后。第一终端设备的第一层有多个完成密钥更新的时机或者时刻，可以灵活的进行执行SL PDCP重建及RLC承载添加操作。

第三方面，提供了一种密钥更新方法，该方法中，网络设备接收第一终端设备发送的更新指示信息，该更新指示信息指示第一单播连接进行密钥更新，该第一单播连接为第一终端设备和第二终端设备之间的单播连接；

网络设备向第一终端设备发送SLRB配置信息，或者，网络设备向第一终端设备发送SL PDCP重建配置信息和无线链路控制RLC承载释放及添加配置信息。

通过该方法，网络设备根据更新指示信息确定第一单播连接进行密钥更新，确定向第一终端设备发送对应的配置信息，协助第一终端设备完成密钥更新。

第四方面，提供了一种密钥更新方法，该方法中，第一层完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

第一层向第二层发送第三指示信息，该第三指示信息用于指示与第一单播连接相关的SL PDCP重建和RLC重建，其中，第一层和第二层位于第一终端设备中，第一单播连接为第一终端设备和第二终端设备之间的单播连接。第一层可以为PC5-S层或V2X层，第二层可以为AS层。

通过该方法，第一终端设备在密钥更新过程中执行SL PDCP重建和RLC承载重建操作，通过该重建后的SL PDCP和RLC承载进行侧链路通信，用于解决更新密钥过程产生的密钥混淆的问题。

一种可能的设计中，第二层根据第二配置信息执行与第一单播连接相关的PDCP重建和RLC重建的操作。

可选的，该第二配置信息是第一终端设备之前保存的配置信息，也就是说，第一终端设备可以直接使用之前或预留的配置信息，减少了网元之间的信令交互。

可选的，第一终端设备接收网络设备发送的该第二配置信息，可以理解为该第二配置信息为网络设备重新配置的第二配置信息。

可选的，第二配置信息还包含发送PDCP状态报告的使能指示信息，可以理解为，该第二配置信息中还可能包含用于指示发送PDCP状态报告的信息，第一终端设备根据该指示信息确定向第二终端设备发送PDCP状态报告。

一种可能的设计中，第一终端设备在接收网络设备发送的该第二配置信息之前，该方法还可以包括：第一终端设备向网络设备发送第三更新指示信息，该第三更新指示信息用于指示第一单播连接进行密钥更新。通过该实现方式，第一终端设备可以向网络设备发送指示密钥更新的信息，以获取第二配置信息。网络设备接收该第三更新指示信息获知需要为第一终端设备分配第二配置信息。

可选的，该第三更细指示信息还可以包括第一单播连接的标识。

第五方面，提供了一种通信装置，该通信装置包括用于实现第一方面的通信方法的模块，部件或者电路。该通信装置可以为终端设备或者可以用于终端设备的部件。

第六方面，提供了一种通信装置，该通信装置包括用于实现第二方面的通信方法的模块，部件或者电路。该通信装置可以为终端设备或者可以用于终端设备的部件。

第七方面，提供了一种通信装置，该通信装置包括用于实现第三方面的通信方法的模块，部件或者电路。该通信装置可以为接入网设备或者可以用于接入网设备的部件。

第八方面，提供了一种通信装置，该通信装置包括用于实现第四方面的通信方法的模块，部件或者电路。该通信装置可以为终端设备或者可以用于终端设备的部件。

第九方面，提供了一种计算机可读存储介质。该计算机可读存储介质中存储程序代码。该程序代码包括用于执行上述各方面中的通信方法的指令。

例如，该计算机可读介质中可以存储程序代码，该程序代码包括用于执行第一方面中的通信方法的指令。

例如，该计算机可读介质中可以存储程序代码，该程序代码包括用于执行第二方面中的通信方法的指令。

例如，该计算机可读介质中可以存储程序代码，该程序代码包括用于执行第三方面中的通信方法的指令。

例如，该计算机可读介质中可以存储程序代码，该程序代码包括用于执行第四方面中的通信方法的指令。

第十方面，本申请提供了一种包含指令的计算机程序产品。当该计算机程序产品在计算机上运行时，使得计算机执行上述各方面中的方法的指令。

第十一方面，提供了一种通信系统，包括前述的任意一种或多种通信装置。

附图说明

图1是本申请实施例的一种可能的通信系统示意性图；

图2是本申请一实施例的终端设备间的密钥更新方法的流程示意图；

图3是本申请一实施例的一种可能的通信方法流程示意图；

图4是本申请又一实施例的一种可能的通信方法流程示意图；

图5是本申请又一实施例的一种可能的通信方法流程示意图；

图6是本申请又一实施例的一种可能的通信方法流程示意图；

图7是本申请又一实施例的一种可能的通信方法流程示意图；

图8是本申请又一实施例的一种可能的通信方法流程示意图；

图9是本申请一实施例的通信装置结构示意图；

图10是本申请又一实施例的通信装置结构示意图；

图11是本申请一实施例的通信装置的示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。示例性的，本申请实施例所涉及附图中的以虚线标识的特征或内容可理解为实施例可选的操作或者可选的结构。

本申请实施例的描述中，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的至少一个是指一个或多个；多个，是指两个或两个以上。另外，需要理解的是，在本申请的描述中，“第一”、“第二”、“第三”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(Long TermEvolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobiletelecommunication system，UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access，WiMAX)通信系统、未来的第五代(5th generation，5G)移动通信系统或新无线接入技术(new radio access technology，NR)。其中，5G移动通信系统可以包括非独立组网(non-standalone，NSA)和/或独立组网(standalone，SA)。

本申请提供的技术方案还可以应用于机器类通信(machine typecommunication，MTC)、机器间通信长期演进技术(Long Term Evolution-machine，LTE-M)、设备到设备(device to device，D2D)网络、机器到机器(machine to machine，M2M)网络、物联网(internet of things，IoT)网络或者其他网络。其中，IoT网络例如可以包括车联网。其中，车联网系统中的通信方式统称为车到其他设备(vehicle to X，V2X，X可以代表任何事物)，例如，该V2X可以包括：车辆到车辆(vehicle to vehicle，V2V)通信，车辆与基础设施(vehicle to infrastructure，V2I)通信、车辆与行人之间的通信(vehicle topedestrian，V2P)或车辆与网络(vehicle to network，V2N)通信等。

本申请实施例提供的技术方案还可以应用于未来的通信系统，如第六代移动通信系统等。本申请对此不做限定。

V2X是指通过装载在车辆上的传感器及电子标签等等来实现环境感知、信息交互与协同控制的重要关键技术。比如，该技术可实现车与互联网、车与车、车与人和车与基础设施通信之间的信息交互等，可提升车辆的智能化水平和自动驾驶能力。

V2N的一个参与者是终端设备，另一个参与者是服务实体。V2N是目前应用最广泛的车联网形式，其主要功能是使车辆通过移动网络连接到云服务器，从而通过云服务器提供导航、娱乐、防盗等功能。

V2V的两个参与者都是终端设备。V2V可以用作车辆间信息交互提醒，最典型的应用是用于车辆间防碰撞安全系统。

V2P的两个参与者都是终端设备。V2P可用作给道路上的行人或非机动车提供安全警告。

V2I中一个参与者是终端设备，另一个参与者是基础设施(或道路设施)。V2I可用作车辆与基础设施的通信，例如，基础设施可以是道路、交通灯、路障等，可以获取交通灯信号时序等道路管理信息。

本申请实施例中，网络设备可以是任意一种具有无线收发功能的设备。该设备包括但不限于：演进型节点B(evolved Node B，eNB)、无线网络控制器(radio networkcontroller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved NodeB，或homeNode B，HNB)、基带单元(baseband unit，BBU)，无线保真(wireless fidelity，WiFi)系统中的接入点(access point，AP)、无线中继节点、无线回传节点、传输点(transmissionpoint，TP)或者发送接收点(transmission and reception point，TRP)等，还可以为5G，如，NR，系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)等。

在一些部署中，gNB可以包括集中式单元(centralized unit，CU)和DU。gNB还可以包括有源天线单元(active antenna unit，AAU)。CU实现gNB的部分功能，DU实现gNB的部分功能，比如，CU负责处理非实时协议和服务，实现无线资源控制(radio resource control，RRC)，分组数据汇聚层协议(packet data convergence protocol，PDCP)层的功能。DU负责处理物理层协议和实时服务，实现无线链路控制(radio link control，RLC)层、媒体接入控制(media access control，MAC)层和物理(physical，PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息，或者，由PHY层的信息转变而来，因而，在这种架构下，高层信令，如RRC层信令，也可以认为是由DU发送的，或者，由DU+AAU发送的。可以理解的是，网络设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外，可以将CU划分为接入网(radio access network，RAN)中的网络设备，也可以将CU划分为核心网(core network，CN)中的网络设备，本申请实施例对此不做限定。

在本申请实施例中，终端设备可以称之为用户设备(user equipment，UE)、终端(terminal)、移动台(mobile station，MS)和移动终端(mobile terminal)等；该终端设备还可以经无线接入网(radio access network，RAN)与一个或多个核心网进行通信。该终端设备还可称为接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wirelesslocal loop，WLL)站、个人数字处理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、具有通信功能的车辆、可穿戴设备以及未来5G网络中的终端设备等。本申请实施例对此不做限定。

应理解，本申请实施例中的终端设备还可以指终端设备中的芯片、具有D2D或者V2X通信功能的通信装置，单元或模块等，比如车载通信装置，车载通信模块或者车载通信芯片等。

图1示出了V2X通信架构的一个示意图。如图1所示，该系统包括至少两个终端设备(如终端设备110和终端设备120)以及一个网络设备130。终端设备110可以通过PC5接口与终端设备120进行通信，网络设备130可以通过Uu接口与终端设备110进行通信。其中，PC5接口是具有V2X通信功能的终端设备之间直连通信接口，具有V2X通信功能的终端设备之间的直连通信链路也被定义为侧行链路或侧链(sidelink，SL)。

应理解，本申请提供的通信方法可以应用于图1所示的系统中，例如，终端设备可以对应于图1中的终端设备110，网络设备可以对应图1中的网络设备130。

应理解，图1中是以一个网络设备为例进行说明，事实上，终端设备110和终端设备120可以共用同一个网络设备，也可以分别与不同的网络设备进行通信，对此不作限定。

可选的，图1中的系统架构还可以包括V2X应用服务器(application server)。

还应理解，下文示出的实施例以网络设备和终端设备之间的交互为例，详细说明了本申请实施例提供的方法。但这不应对本申请构成任何限定。例如，下文实施例中示出的终端设备可以替换为配置在终端设备中的部件(比如芯片、芯片系统或电路等)。下文实施例示出的网络设备也可以替换为配置在网络设备中的部件(比如芯片、芯片系统或电路等)。下文示出的实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定，只要能够通过运行记录有本申请实施例的提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可，例如，本申请实施例提供的方法的执行主体可以是终端设备或网络设备，或者，是终端设备或网络设备中能够调用程序并执行程序的功能模块。

在V2X中，终端设备(第一终端设备和第二终端设备)之间支持单播通信，即两个终端设备之间会建立单播连接，进行一对一的数据通信。第一终端设备与第二终端设备互为收发端。比如，第一终端设备是发送端UE，第二终端设备是接收端UE。又比如，第二终端设备是发送端UE，第一终端设备是接收端UE。在单播通信中，为了保证通信的安全性，第一终端设备和第二终端设备之间的通信可以进行加密和完整性保护，并且允许两个终端设备之间更新密钥。

为了方便理解本申请实施例的方案，对现有的单播连接终端设备之间PC5层的密钥更新过程进行简要的介绍。

如图2所示，为单播连接中第一终端设备和第二终端设备之间PC5层密钥更新的流程图，具体的，包括：

S201：第一终端设备向第二终端设备发送密钥更新请求(Direct Rekey Request)消息用于请求密钥更新，该消息中携带第一终端设备的安全能力信息以及密钥更新请求指示。相应的，第二终端设备接收第一终端设备发送的Direct Rekey Request消息。

S202:第二终端设备确定新的加密和完整性保护算法，根据选择的加密和完整性保护算法更新计算新的密钥。

S203：第二终端设备向第一终端设备发送安全模式命令(Direct Security ModeCommand)消息；第二终端设备使用新的完整性保护和加密算法接收第一终端设备的消息。相应的，第一终端设备接收第二终端设备发送的Direct Security Mode Command消息。

S204：第一终端设备验证该安全模式命令消息的完整性，并使用第二终端设备的方式重新计算密钥与接收消息中携带的密钥做比较，在验证正确之后开始使用新的完整性保护和加密算法发送并接收信息。

第一终端设备向第二终端设备发送安全模式完成(Direct Security ModeComplete)消息。相应的，第二终端设备接收第一终端设备发送的Direct Security ModeComplete消息

S205：第二终端设备完整性保护验证正确并成功解码后确认密钥更新正确，开始用新的完整性保护和加密算法发送消息。第二终端设备删除旧密钥相关的安全上下文。

S206：第一终端设备接收新的完整性保护和加密算法的消息之后，删除旧密钥相关的安全上下文。

容易理解的，在上述密钥更新过程中，终端设备存在一段维护两套或多套密钥的时间，例如，触发密钥更新后，删除旧密钥之前的时间段，终端设备可能会在这段时间内出现密钥混淆的问题。例如，第二终端设备向第一终端设备发送用于指示密钥更新的消息之后就开始使用新的加密算法处理之后接收到的数据，但是第一终端设备在成功验证了上述用于指示密钥更新的消息之后才会使用新的加密算法发送数据，第一终端设备还是有可能在未成功验证上述消息期间以旧的加密算法发送数据，导致第二终端设备解码失败。

因此，如何在终端设备密钥更新过程中避免密钥混淆，是亟待解决的问题。

本申请实施例提供了一种密钥更新通信方法300，容易理解的，方法300中的终端设备可以是单播连接中的发送端设备，或者说是密钥更新的发起终端设备；方法300中的终端设备可以是单播连接中的接收端设备，或者说是密钥更新的接收终端设备。

方法300介绍了终端设备(以第三终端设备为示例)多个层之间的信息交互，具体的，第三终端设备的第二层(例如，PC5-S层)与第一层(例如，AS层)之间的信息交互，用于解决在第三终端设备的第一层完成密钥更新之后如何指示第二层进行与第一单播连接相关的SLRB的释放及添加的问题。如图3所示，方法300可以包括：

S301：第一层完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

第一层向第二层发送第一指示信息，该第一指示信息用于指示释放及添加与第一单播连接相关的侧链路无线承载(sidelink ratio bearer,SLRB)；或者，第一层完成秘钥更新后释放/添加QoS流，第二层按照QoS流的释放而释放SLRB，按照QoS流的添加而添加SLRB。

其中，第一层和第二层位于第三终端设备中，第一层可以为PC5-S层或V2X层，第二层可以为接入(access stratum，AS)层。

第一层完成密钥更新可以理解为第一层确定对该第一单播连接进行密钥更新，并且第一层完成了密钥更新，也就是说第一层确定了更新后的完整性保护和加密算法。

本申请实施例中，第三终端设备的第一层有多个可能的时机(或者说时刻)执行密钥更新的操作。

一种第一层完成密钥更新的可能的时机为第三终端设备发送安全模式命令(Direct Security Mode Command)之前。例如，如操作203中所描述的第二终端设备发送安全模式命令之前。

又一种第一层完成密钥更新的可能的时机为第三终端接收并验证安全模式命令(Direct Security Mode Command)之后，并在发送安全模式更新完成消息(DirectSecurity Mode Complete)之前。例如，如操作203中所述的第一终端设备接收并验证了第二终端设备发送的安全模式命令之后，第一终端设备的第一层进行密钥更新操作，并完成密钥更新。当第一终端设备的密钥更新完成后通过安全模式更新完成消息通知第二终端设备。

再一种第一层完成密钥更新的可能的时机为第三终端设备接收到安全模式更新完成消息后。示例性的，例如，如操作204中所述的第二终端设备接收第一终端设备发送的Direct Security Mode Complete消息后，第二终端设备的第一层开始进行密钥更新操作，并完成密钥更新。

该第一单播连接为第三终端设备和其他终端设备(例如，第四终端设备)之间的单播连接。与该第一单播连接相关的SLRB可以理解为该第三终端设备根据该SLRB与第四终端设备进行侧链路通信，也就是说，该SLRB与该第一单播连接存在对应关系。

本申请实施例中，第一指示信息用于指示释放及添加与第一单播连接相关的SLRB可以理解为先释放旧的SLRB，再添加新的SLRB；也可以理解为先添加新的SLRB，再释放旧的SLRB，对于SLRB释放和添加的先后顺序并不限定。

S302：第二层根据SLRB配置信息执行添加与第一单播连接相关的SLRB的操作。

第二层接收到第一层发送的第一指示信息，第二层根据该第一指示信息确定进行释放及添加与第一单播连接相关的SLRB的操作。

一种可能的方式中，第二层根据第三终端设备之前保存的SLRB配置信息执行添加与第一单播连接相关的SLRB的操作。

又一种可能的方式中，第三终端设备接收网络设备发送的SLRB配置信息，该SLRB配置信息用于该第三终端设备的第二层执行释放及添加与第一单播连接相关的SLRB的操作。

可选的，第三终端设备向网络设备发送第一更新指示信息，该第一更新指示信息用于指示第一单播连接进行密钥更新。相应的，网络设备接收该第一更新指示信息，网络设备根据该第一更新指示信息向第三终端设备发送SLRB配置信息。具体的，该第一更新指示信息可以携带1比特密钥更新指示。示例性的，第一更新指示信息可以是RRC消息中的指示信息，或者媒体接入控制层控制单元(media access control control element，MAC CE)中的指示信息。

再一种可能的方式中，第三终端设备还存在至少一个第二单播连接时，一组SLRB可能供多个单播连接的通信使用。第一层按照单播连接的粒度来维护安全密钥，第二层按照SLRB的粒度来进行数据的完整性保护和加密操作，因此可能导致SLRB内部密钥混淆的问题。为了解决以上问题，所述方法300还包括：

第一单播连接与第二单播连接不支持SLRB复用；或者，

当第一单播连接与第二单播连接支持SLRB复用时，第一单播连接和第二单播连接的完整性保护和加密算法一致。

一种可能的方式中，第一更新指示信息中还包括第一单播连接的标识。也就是说，该第一单播连接的标识用于网络设备识别具体需要进行密钥更新的单播连接，并识别与该单播连接相关的SLRB。

可选的，该第一更新指示信息可以包含1比特密钥更新指示、单播连接标识(unicast link identity)信息，该第一更新指示信息可以是RRC消息中的指示信息，MACCE中的指示信息。

可以理解的，该第一更新指示信息可以携带指示密钥更新信息(例如，1比特密钥更新指示)和第一单播连接的标识(例如，unicast link identity)中的一个或多个，也就是可以只携带指示密钥更新信息，或者只携带第一单播连接的标识，也可以携带指示密钥更新信息和第一单播连接的标识，能指示网络设备该第一单播连接进行密钥更新即可，本申请实施例并不限定具体携带的信息。

在操作302中，第二层执行添加与第一单播连接相关的SLRB操作之后，新添加的SLRB使用第二逻辑信道，也就是说，第二逻辑信道是执行SLRB添加操作后相关的逻辑信道。

S303：第三终端设备向第四终端设备发送第一消息，该第一消息包括第二逻辑信道的标识和第二加密指示信息，该第二加密指示信息用于指示该第二逻辑信道上传输的数据使用第二密钥进行加密。容易理解的，该第一消息用于向第四终端设备指示该第三终端设备添加了新的逻辑信道(第二逻辑信息)，并使用了更新后的密钥对该第二逻辑信道上的数据进行加密。示例性的，该第一消息可以是PC5-RRC消息、PC5-S消息或者MAC CE。

S304：第三终端设备接收第四终端设备发送的第二消息，该第二消息包括第三逻辑信道标识和第三加密指示信息，该第三逻辑信道标识是第四终端设备执行SLRB添加操作后相关的逻辑信道标识，该第三加密指示信息用于指示第三逻辑信道上传输的数据使用第二密钥进行加密。该第二消息可以是PC5-RRC消息、PC5-S消息或者MAC CE。

可选的，该方法还包括，第三终端设备使用第二密钥解密通过第三逻辑信道上接收到的数据。也就是说，第三终端设备确定使用更新后的完整性保护和加密算法接收第四终端设备发送的数据。

容易理解的，本申请实施例并不限定操作S303和操作S304的顺序，具体的，终端设备可以先执行操作S304再执行操作S303，也可以执行操作S303再执行操作S304。

S305：第三终端设备完成旧的SLRB的释放。

第三终端设备可以有多种释放旧的SLRB的方式。

一种可能的方式中，如果在第一时长上旧的逻辑信道(第一逻辑信道)都没有接收到数据，则第三终端设备判断释放该旧的SLRB。具体的，该第一时长可以是预定义的，也可以是协议规定的，或者是网络设备配置的。

又一种可能的方式中，如果新的逻辑信道(第二逻辑信道)上开始接收到数据，则第三终端设备判断释放该旧的SLRB。

本申请实施例中，对于SLRB释放和添加的先后顺序并不限定，也就是说，并不限定操作S305和操作S302的顺序。

通过方法300，第三终端设备通过执行释放及添加与第一单播连接相关的SLRB的操作，使用第二逻辑信道向第四终端设备传输新的加密算法(第二密钥)的数据，解决第三终端设备与第四终端设备之间的密钥混淆的问题。

容易理解的，方法300介绍了单播连接中接收端终端设备或者发送端设备进行密钥更新过程中的SLRB释放和添加操作的方法，本申请实施例中的方法400示例性的介绍单播连接中终端设备间的更新密钥的整体流程。

方法400中以第一终端设备为密钥更新发起端为例，介绍第一终端设备与第二终端设置之间的密钥更新过程，具体的，方法400包括：

S410：第一终端设备向第二终端设备发送密钥更新请求信息。例如，该密钥更新请求信息可以是Direct Rekey Request消息。

S420：第二终端设备确定新的加密和完整性保护算法，根据选择的加密和完整性保护算法更新计算新的密钥。

一种第二终端设备第一层完成密钥更新的可能的方式中，第二终端在接收DirectRekey Request消息后确定新的加密和完整性保护算法并计算新的密钥，然后第二终端设备的第一层完成密钥更新并确定执行释放及添加与第一单播连接相关的侧链路无线承载(sidelink ratio bearer,SLRB)的操作，并且向第一终端设备发送Direct Security ModeCommand消息。此时，第二终端开始使用第二密钥处理新添加的SLRB上接收到的数据。

具体的，第二终端设备的第一层完成密钥更新并确定执行释放及添加与第一单播连接相关的SLRB的操作该实现方式可以为：

S421：第二终端设备的第一层完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

S422：第二层根据SLRB配置信息执行添加与第一单播连接相关的SLRB的操作。

S423：第二终端设备向第一终端设备发送第一消息，该第一消息包括第二逻辑信道的标识和第二加密指示信息，该第二加密指示信息用于指示该第二逻辑信道上传输的数据使用第二密钥进行加密。第二逻辑信道是第二终端设备执行SLRB添加操作后相关的逻辑信道。

S424：第二终端设备接收第一终端设备发送的第二消息，该第二消息包括第三逻辑信道标识和第三加密指示信息，该第三逻辑信道标识是第一终端设备执行SLRB添加操作后相关的逻辑信道标识，该第三加密指示信息用于指示第三逻辑信道上传输的数据使用第二密钥进行加密。

S425：第二终端设备完成SLRB的释放。

可以理解，本申请实施例中并不限定操作S425的执行顺序，也就是说，操作S425可以具有灵活的执行顺序。例如，操作S425可以在操作S430之后执行。一种可能的方式中，操作S425中的SLRB的释放的操作不包括传输第一层安全建立相关的侧行链路承载，该承载可以在接收到安全模式完成消息后再释放。

操作S421-S425介绍了第二终端设备执行释放及添加与第一单播连接相关的SLRB的操作的过程，该方法中并不限定操作S423-S425的先后顺序。该操作S421-S425可以进一步参考操作S301-S305处的相关描述，此处不再赘述。

S430：第二终端设备向第一终端设备发送安全模式命令。例如，该安全模式命令可以是Direct Security Mode Command消息。

S440：第一终端设备接收第二终端设备发送的安全模式命令，例如该安全模式命令可以是Direct Security Mode Command消息。

一种可能的方式中，第一终端设备在正确验证了第二终端设发送的安全模式命令之后，第一终端设备的第一层进行密钥更新操作，并确定执行释放及添加与第一单播连接相关的SLRB的操作。

具体的，第一终端设备的第一层完成密钥更新并确定执行释放及添加与第一单播连接相关的SLRB的操作的实现方式可以为：

S441：第一终端设备的第一层完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

S442：第二层根据SLRB配置信息执行添加与第一单播连接相关的SLRB的操作。

S443：第一终端设备接收第二终端设备发送的第消息，该第一消息包括第二逻辑信道的标识和第二加密指示信息，该第二加密指示信息用于指示该第二逻辑信道上传输的数据使用第二密钥进行加密。第二逻辑信道是第二终端设备执行SLRB添加操作后相关的逻辑信道。

S444：第一终端设备向第二终端设备发送的第二消息，该第二消息包括第三逻辑信道标识和第三加密指示信息，该第三逻辑信道标识是第一终端设备执行SLRB添加操作后相关的逻辑信道标识，该第三加密指示信息用于指示第三逻辑信道上传输的数据使用第二密钥进行加密。

S445：第一终端设备完成SLRB的释放。

操作S441-S445介绍了第一终端设备执行释放及添加与第一单播连接相关的SLRB的操作的过程，可以理解的，该方法中并不限定操作S443-S445的先后顺序。该操作S441-S445可以进一步参考操作S301-S305处的相关描述，此处不再赘述。

S450：第一终端设备执行添加与第一单播连接相关的SLRB的操作后，通过该新添加的SLRB使用新的完整性保护和加密算法(第二密钥)发送并接收信息。

第一终端设备向第二终端设备发送安全模式完成消息，例如，该安全模式完成消息可以是Direct Security Mode Complete消息。

S460：第二终端设备接收第一终端设备发送的安全模式完成消息，例如DirectSecurity Mode Complete消息。

第二终端设备接收第一终端设备发送的安全模式完成消息后开始通过新添加的SLRB使用第二密钥加密之后向第一终端发送的数据。

容易理解的，第二终端设备可以在操作S430中第一层完成密钥更新并确定执行释放及添加与第一单播连接相关的SLRB的操作。如果第二终端设备没有选择在操作S430完成第一层密钥更新，第二终端设备也可以在操作S460中完成第一层密钥更新。

具体的，又一种第二终端设备第一层完成密钥更新的可能的方式中，第二终端在接收第一终端设备发送的安全模式完成消息后，第二终端设备的第一层完成密钥更新并确定执行释放及添加与第一单播连接相关的SLRB的操作。

具体的，第二终端设备的第一层完成密钥更新并确定执行释放及添加与第一单播连接相关的SLRB的操作的实现方式可以参考操作操作S431-S435处的相关描述，在此处不再赘述。

S470：第一终端设备成功接收第二终端设备使用第二密钥通过发送的消息后，删除旧密钥相关的安全上下文。

一种可能的方式中，第一终端设备在接收到第二终端设备发送的第二消息后，删除旧密钥相关的安全上下文。

S480：第二终端设备成功接收第一终端设备使用第二密钥通过发送的消息后，删除旧密钥相关的安全上下文。

一种可能的方式中，第二终端设备在接收到第一终端设备发送的第一消息后，删除旧密钥相关的安全上下文。

可以理解，方法400中，并不限定操作S470和操作S480的顺序。

通过本实施提供的方法400，第一终端设备和第二终端设备可以分别执行释放及添加与第一单播连接相关的SLRB的操作，并通过添加后的SLRB进行侧链路通信，解决了密钥混淆的问题。

本申请实施例提供了又一种密钥更新通信方法500，容易理解的，方法500中的终端设备可以是单播连接中的发送端设备，或者说是密钥更新的发起终端设备；方法500中的终端设备可以是单播连接中的接收端设备，或者说是密钥更新的接收终端设备。

方法500介绍了终端设备(以第五终端设备为示例)多个层之间的信息交互，具体的，第五终端设备的第二层(例如，PC5-S层)与第一层(例如，AS层)之间的信息交互，用于解决在第五终端设备的第一层完成密钥更新之后如何指示第二层进行与第一单播连接相关的侧链路分组数据汇聚协议层(sidelink packet data convergence protocol，SL PDCP)重建和无线链路控制(ratio link control)，RLC承载释放及添加的问题。如图5所示，方法500可以包括：

S501：第一层完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

第一层向第二层发送第二指示信息，该第二指示信息用于指示与第一单播连接相关的SL PDCP重建和RLC承载释放及添加，其中，第一层和第二层位于第五终端设备中，第一单播连接为第五终端设备和第六终端设备之间的单播连接。第一层可以为PC5-S层或V2X层，第二层可以为AS层。

第一层完成密钥更新可以理解为第一层确定对该第一单播连接进行密钥更新，并且第一层完成了密钥更新，也就是说第一层确定了更新后的完整性保护和加密算法。

本申请实施例中，第五终端设备的第一层有多个可能的时机(或者说时刻)执行密钥更新的操作。

一种第一层完成密钥更新的可能的时机为第五终端设备发送安全模式命令(Direct Security Mode Command)之前。例如，如操作203中所描述的第二终端设备发送安全模式命令之前。

又一种第一层完成密钥更新的可能的时机为第五终端接收并验证安全模式命令(Direct Security Mode Command)之后，并在发送安全模式更新完成消息(DirectSecurity Mode Complete)之前。例如，如操作203中所述的第一终端设备接收并验证了第二终端设备发送的安全模式命令之后。例如，如操作203中所述的第一终端设备验证了第二终端设备发送的安全模式命令之后，也就是说，第一终端设备的第一层进行密钥更新操作，并完成密钥更新。当第一终端设备的密钥更新完成后通过安全模式更新完成消息通知第二终端设备。

再一种第一层完成密钥更新的可能的时机为第五终端设备接收到安全模式更新完成消息后。示例性的，例如，如操作204中所述的第二终端设备接收第一终端设备发送的Direct Security Mode Complete消息后，第二终端设备的第一层开始进行密钥更新操作，并完成密钥更新。

示例性的，与第一单播连接相关的SL PDCP重建可以理解为重新建立SL PDCP；第一单播连接相关的RLC承载释放及添加可以理解为先释放旧的RLC承载，再添加新的RLC承载；也可以理解为先添加新的RLC承载，再释放旧的RLC承载，对于RLC承载释放和添加的先后顺序并不限定。

S502：第二层根据第一配置信息执行与第一单播连接相关的PDCP重建和RLC承载添加的操作，并根据配置信息关联重建的PDCP和新添加的RLC承载。

第二层接收到第一层发送的第二指示信息，第二层根据该第二指示信息确定执行添加与第一单播连接相关的PDCP重建和RLC承载添加的操作。

一种可能的方式中，第二层根据第五终端设备之前保存的第一配置信息执行添加与第一单播连接相关的PDCP重建和RLC承载添加的操作。

又一种可能的方式中，第五终端设备接收网络设备发送的第一配置信息，该第一配置信息用于该第五终端设备的第二层执行添加与第一单播连接相关的PDCP重建和RLC承载添加的操作。

可选的，第五终端设备向网络设备发送第二更新指示信息，该第二更新指示信息用于指示第一单播连接进行密钥更新。相应的，网络设备接收该第二更新指示信息，网络设备根据该第二更新指示信息向第五终端设备发送第一配置信息。具体的，该第二更新指示信息可以携带1比特密钥更新指示。示例性的，第二更新指示信息可以是RRC消息中的指示信息，或者媒体接入控制层控制单元MAC CE中的指示信息。

一种可能的实施方式中，第一配置信息中包括以下至少一项：SL PDCP重建配置信息和RLC承载释放和添加配置信息。

可选的，一种可能的实现方式中，SL PDCP重建配置信息中还包含PDCP状态报告的使能指示信息，第五终端设备根据该指示信息发送PDCP状态报告。

可选的，在第五终端设备还存在至少一个第二单播连接时，一组侧行链路承载可能供多个单播连接的通信使用。第一层按照单播连接的粒度来维护安全秘钥，第二层按照侧行链路承载的粒度来进行数据的完保和加密操作，因此可能导致一个承载内部秘钥混淆的问题。为了解决以上问题，所述方法500还包括：

第一单播连接与第二单播连接不支持SLRB复用；或者，

当第一单播连接与第二单播连接支持SLRB复用时，第一单播连接和第二单播连接的完整性保护和加密算法一致。

一种可能的方式中，第二更新指示信息中还包括第一单播连接的标识。也就是说，该第一单播连接的标识用于网络设备识别具体需要进行密钥更新的单播连接。

可以理解的，该第二更新指示信息可以携带指示密钥更新信息(例如，1比特密钥更新指示)和第一单播连接的标识(例如，unicast link identity)中的一个或多个，也就是可以只携带指示密钥更新信息，或者只携带第一单播连接的标识，也可以携带指示密钥更新信息和第一单播连接的标识，能指示网络设备该第一单播连接进行密钥更新即可，本申请实施例并不限定具体携带的信息。

在操作S502中，第二层执行添加与第一单播连接相关的RLC承载操作之后，新添加的RLC承载使用第四逻辑信道，也就是说，第四逻辑信道是执行RLC承载添加操作后相关的逻辑信道。

S503：第五终端设备向第六终端设备发送第三消息，该第三消息包括第四逻辑信道的标识和第四加密指示信息，该第四指示信息用于指示第四逻辑信道上传输的数据使用第二密钥进行加密。容易理解的，该第三消息用于向第六终端设备指示该第五终端设备添加了新的逻辑信道(第四逻辑信息)，并使用了更新后的密钥对该第四逻辑信道上的数据进行加密。示例性的，该第三消息可以是PC5-RRC消息、PC5-S消息或者MAC CE。

S504：第五终端设备接收第六终端设备发送的第四消息，第四消息包括第五逻辑信道标识和第五加密指示信息，第五逻辑信道标识是第六终端设备执行SL PDCP重建及RLC承载添加操作后相关的逻辑信道，第五加密指示信息用于指示该第五逻辑信道上传输的数据使用第二密钥进行加密。该第四消息可以是PC5-RRC消息、PC5-S消息或者MAC CE。

可选的，该方法还包括，第五终端设备使用第二密钥解密通过第五逻辑信道上接收到的数据。也就是说，第五终端设备确定使用更新后的完整性保护和加密算法接收第六终端设备发送的数据。

容易理解的，本申请实施例并不限定操作S503和操作S504的顺序，具体的，终端设备可以先执行操作S504再执行操作S503，也可以执行操作S503再执行操作S504。

S505：第五终端设备完成旧的RLC承载的释放。

第五终端设备可以有多种释放旧的RLC承载的方式。

一种可能的方式中，如果在第一时长上旧的逻辑信道都没有接收到数据，则第五终端设备判断释放旧的RLC承载。具体的，该第一时长可以是预定义的，也可以是协议规定的，或者是网络设备配置的。

又一种可能的方式中，如果新的逻辑信道(第五逻辑信道)上开始接收到数据，则第五终端设备判断释放旧的RLC承载

本申请实施例中，对于旧的RLC承载释放和添加的先后顺序并不限定，也就是说，并不限定操作S505和操作S502的顺序。

通过方法500，第五终端设备通过执行SL PDCP重建操作和添加RLC承载的操作，使用新的逻辑信道(第五逻辑信道)向第六终端设备传输新的加密算法(第二密钥)的数据，解决了第五终端设备与第六终端设备之间的密钥混淆的问题。

容易理解的，方法500介绍了单播连接中单个终端设备(接收端终端设备或者发送端设备)进行密钥更新过程中的SL PDCP重建操作和添加RLC承载的操作的方法，本申请实施例中的方法600示例性的介绍单播连接中终端设备间的更新密钥的整体流程。

方法600中，以第一终端设备为密钥更新的发起端为例，介绍第一终端设备与第二终端设置之间的密钥更新过程，具体的，方法600包括：

S610：第一终端设备向第二终端设备发送密钥更新请求信息。例如，该密钥更新请求信息可以是Direct Rekey Request消息。

S620：第二终端设备确定新的加密和完整性保护算法，根据选择的加密和完整性保护算法更新计算新的密钥。

一种可能的方式中，第二终端在接收第一终端设备发送的密钥更新请求信息之后且在向第一终端设备发送Direct Security Mode Command消息前，第二终端设备的第一层完成密钥更新并确定执行SL PDCP重建操作和添加RLC承载的操作。

具体的，第二终端设备的第一层完成密钥更新并确定执行SL PDCP重建操作和添加RLC承载的操作的具体方式可以为：

S621：第一层完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

第一层向第二层发送第二指示信息，该第二指示信息用于指示与第一单播连接相关的SL PDCP重建和RLC承载释放及添加。

S622：第二层根据第一配置信息执行添加与第一单播连接相关的PDCP重建和RLC承载添加的操作。

S623：第二终端设备接收第一终端设备发送第三消息，该第三消息包括第四逻辑信道的标识和第四加密指示信息，该第四指示信息用于指示第四逻辑信道上传输的数据使用第二密钥进行加密。

其中，第一终端设备的第二层执行添加与第一单播连接相关的RLC承载操作之后，新添加的RLC承载使用第四逻辑信道。

S624：第二终端设备向第一终端设备发送的第四消息，第四消息包括第五逻辑信道标识和第五加密指示信息，第五逻辑信道标识是第二终端设备执行SL PDCP重建及RLC承载添加操作后相关的逻辑信道，第五加密指示信息用于指示该第五逻辑信道上传输的数据使用第二密钥进行加密。

S625：第二终端设备完成旧的RLC承载的释放。

可以理解，本申请实施例中并不限定操作S625的执行顺序，也就是说，操作S625可以具有灵活的执行顺序。例如，操作S625可以在操作S630之后执行。

操作S621-S625介绍了第二终端设备执行与第一单播连接相关的SL PDCP重建操作和添加RLC承载的操作，该方法并不限定操作S623-S625的先后顺序，该操作S621-S625可以进一步参考操作S501-S505处的相关描述，此处不再赘述。

S630：第二终端设备向第一终端设备发送安全模式命令。例如，该安全模式命令可以是Direct Security Mode Command消息。

S640：第一终端设备接收第二终端设备发送的安全模式命令，例如该安全模式命令可以是Direct Security Mode Command消息。

一种可能的方式中，第一终端设备在正确验证了第二终端设发送的安全模式命令之后，第一终端设备的第一层进行密钥更新操作，并确定执行与第一单播连接相关的SLPDCP重建操作和添加RLC承载的操作。

具体的，第一终端设备的第一层完成密钥更新并确定执行与第一单播连接相关的SL PDCP重建操作和添加RLC承载的操作的实现方式可以为：

S641：第一层完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

第一层向第二层发送第二指示信息，该第二指示信息用于指示与第一单播连接相关的SL PDCP重建和RLC承载释放及添加。

S642：第二层根据第一配置信息执行添加与第一单播连接相关的PDCP重建和RLC承载添加的操作。

S643：第一终端设备向第二终端设备发送第三消息，该第三消息包括第四逻辑信道的标识和第四加密指示信息，该第四指示信息用于指示第四逻辑信道上传输的数据使用第二密钥进行加密。

其中，第一终端设备的第二层执行添加与第一单播连接相关的RLC承载操作之后，新添加的RLC承载使用第四逻辑信道。

S644：第一终端设备接收第二终端设备发送的第四消息，第四消息包括第五逻辑信道标识和第五加密指示信息，第五逻辑信道标识是第二终端设备执行SL PDCP重建及RLC承载添加操作后相关的逻辑信道，第五加密指示信息用于指示该第五逻辑信道上传输的数据使用第二密钥进行加密。

S645：第一终端设备完成旧的RLC承载的释放。

操作S641-S645介绍了第一终端设备执行与第一单播连接相关的SL PDCP重建操作和添加RLC承载的操作，该方法并不限定操作S643-S645的先后顺序，该操作S641-S645可以进一步参考操作S501-S505处的相关描述，此处不再赘述。

S650：第一终端设备执行释放及添加与第一单播连接相关的SL PDCP重建操作和添加RLC承载的操作后，使用新的完整性保护和加密算法(第二密钥)发送并接收信息。

第一终端设备向第二终端设备发送安全模式完成消息，例如，该安全模式完成消息可以是Direct Security Mode Complete消息。

S660：第二终端设备接收第一终端设备发送的安全模式完成消息，例如DirectSecurity Mode Complete消息。

第二终端设备接收第一终端设备发送的安全模式完成消息后开始通过新添加的SLRB使用第二密钥加密之后向第一终端发送的数据。

容易理解的，第二终端设备可以在操作S630中第一层完成密钥更新并确定执行与第一单播连接相关的SL PDCP重建操作和添加RLC承载的操作。如果第二终端设备没有选择在操作S630中执行与第一单播连接相关的SL PDCP重建操作和添加RLC承载的操作，第二终端设备也可以在操作S660中执行与第一单播连接相关的SL PDCP重建操作和添加RLC承载的操作。

具体的，又一种第二终端设备第一层完成密钥更新的可能的方式中，第二终端在接收第一终端设备发送的安全模式完成消息后，第二终端设备的第一层完成密钥更新并确定执行SL PDCP重建操作和添加RLC承载的操作。

具体的，第二终端设备的第一层完成密钥更新并确定执行释放及添加与第一单播连接相关的SL PDCP重建操作和添加RLC承载的操作的实现方式可以参考操作操作S631-S635处的相关描述，在此处不再赘述。

S670：第一终端设备成功接收第二终端设备使用第二密钥通过发送的消息后，删除旧密钥相关的安全上下文。

一种可能的方式中，第一终端设备在接收到第二终端设备发送的第四消息后，删除旧密钥相关的安全上下文。

S680：第二终端设备成功接收第一终端设备使用第二密钥通过发送的消息后，删除旧密钥相关的安全上下文。

一种可能的方式中，第二终端设备在接收到第一终端设备发送的第三消息后，删除旧密钥相关的安全上下文。

可以理解，方法600中，并不限定操作S670和操作S680的顺序。

通过本实施提供的方法600，第一终端设备和第二终端设备可以分别执行SL PDCP重建操作和添加RLC承载的操作，并通过重建后的SL PDCP和添加后的RLC承载进行侧链路通信，解决了密钥混淆的问题。

本申请实施例提供了又一种密钥更新通信方法700，容易理解的，方法700中的终端设备可以是单播连接中的发送端设备，或者说是密钥更新的发起终端设备；方法700中的终端设备可以是单播连接中的接收端设备，或者说是密钥更新的接收终端设备。

方法700介绍了终端设备(以第七终端设备为示例)多个层之间的信息交互，具体的，第七终端设备的第二层(例如，PC5-S层)与第一层(例如，AS层)之间的信息交互，用于解决在第七终端设备的第一层完成密钥更新之后如何指示第二层进行与第一单播连接相关的SL PDCP重建和RLC重建的问题。如图7所示，方法700可以包括：

S701:第一层完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

第一层向第二层发送第三指示信息，该第三指示信息用于指示与第一单播连接相关的SL PDCP重建和RLC重建，其中，第一层和第二层位于第七终端设备中，第一单播连接为第七终端设备和第八终端设备之间的单播连接。第一层可以为PC5-S层或V2X层，第二层可以为AS层。

第一层完成密钥更新可以理解为第一层确定对该第一单播连接进行密钥更新，并且第一层完成了密钥更新，也就是说第一层确定了更新后的完整性保护和加密算法。

S702：第二层根据第二配置信息执行与第一单播连接相关的PDCP重建和RLC重建的操作。

第二层接收到第一层发送的第三指示信息，第二层根据该第三指示信息确定执行添加与第一单播连接相关的PDCP重建和RLC重建的操作。

一种可能的方式中，第二层根据第七终端设备之前保存的第二配置信息执行添加与第一单播连接相关的PDCP重建和RLC重建的操作。

又一种可能的方式中，第七终端设备接收网络设备发送的第二配置信息，该第二配置信息用于该第七终端设备的第二层执行添加与第一单播连接相关的PDCP重建和RLC重建的操作。

可选的，第七终端设备向网络设备发送第三更新指示信息，该第三更新指示信息用于指示第一单播连接进行密钥更新。相应的，网络设备接收该第三更新指示信息，网络设备根据该第三更新指示信息向第七终端设备发送第二配置信息。具体的，该第三更新指示信息可以携带1比特密钥更新指示。示例性的，第三更新指示信息可以是RRC消息中的指示信息，或者媒体接入控制层控制单元MAC CE中的指示信息。可选的，该第三更细指示信息还可以包括第一单播连接的标识。

一种可能的实施方式中，第二配置信息中包括：SL PDCP重建配置信息和RLC承载重建配置信息。

一种可能的实施方式中,如果第二配置信息中的PDCP配置包含PDCP状态报告的使能信息，该方法700还包括S703：第七终端设备向第八终端设备发送PDCP状态报告，可以理解为第七终端执行PDCP重建立后还需要向对端终端发送PDCP状态报告，其中，第七终端设备和第八终端设备之间存在第一单播连接。

相应的，一种可能的方式中，如果第八终端设备重建配置信息中的PDCP配置包含PDCP状态报告的使能信息，方法700还包括S704：第七终端设备接收第八终端设备发送的PDCP状态报告，可以理解为，第八终端设备执行PDCP重建立后还需要向第七终端设备发送PDCP状态报告。

容易理解的，方法700中并不限定操作S703和操作704的顺序。

通过方法700，第七终端设备完成SL PDCP重建和RLC承载重建，用于解决更新密钥过程产生的密钥混淆的问题。

容易理解的，方法700介绍了单播连接中单个终端设备(接收端终端设备或者发送端设备)进行密钥更新过程中的SL PDCP重建操作和RLC重建的操作的方法，本申请实施例中的方法800示例性的介绍单播连接中终端设备间的更新密钥的整体流程。

方法800中，以第一终端设备为密钥更新的发起端为例，介绍第一终端设备与第二终端设置之间的密钥更新过程，具体的，方法800包括：

S810：第一终端设备向第二终端设备发送密钥更新请求信息。例如，该密钥更新请求信息可以是Direct Rekey Request消息。

S820：第二终端设备接收第一终端设备发送的密钥更新请求信息，第二终端设备确定新的加密和完整性保护算法，根据选择的加密和完整性保护算法更新计算新的密钥。

第二终端设备执行PDCP和RLC的重建操作，可参考方法700中的相关描述，本申请不再赘述。第二终端设备在重建完成后就开始使用新的加密算法加密传输数据。

第二终端设备完成PDCP和RLC的重建操作后，挂起(或者说暂停，suspend)PDCP，也就是说，第一终端设备挂起除用于接收安全模式更新完成消息的PDCP之外的其他PDCP。

S830：第二终端设备向第一终端设备发送安全模式命令。例如，该安全模式命令可以是Direct Security Mode Command消息。

S840：第一终端设备接收第二终端设备发送的安全模式命令，例如该安全模式命令可以是Direct Security Mode Command消息。

第一终端设备在接收到第二终端设备发送的安全模式命令后，执行PDCP和RLC的重建操作，可参考方法700中的相关描述，本申请不再赘述。

S850：第二终端接收到第一终端发送的安全模式更新完成消息后，重启(或者说是恢复resume)PDCP，第二终端设备丢弃在发送安全模式命令后到接收第一终端设备发送的安全模式更新完成消息前的这一段时间的数据。

第二终端设备重启PDCP之后使用新的完整性保护和加密算法(例如，第二密钥)传输数据。

通过方法800，第一终端设备在重建完成后就开始使用新的加密算法加密传输数据，第二终端设备在重建完成并重启PDCP后开始使用新的加密算法加密传输数据，通过第二终端设备丢弃混淆期的数据来解决密钥混淆的问题。

可以理解的，本申请上述各个方法实施例中，这些步骤或操作仅是示例，本申请实施例还可以执行其它操作或者各种操作的变形。此外，各个步骤可以按照本申请实施例呈现的不同的顺序来执行，并且有可能并非要执行本申请实施例中的全部操作。

可以理解的是，本申请上述实施例中，由终端设备实现的方法，也可以由可配置于终端设备的部件(例如芯片或者电路)实现，由网络设备(第一接入网设备或者第二接入网设备)实现的方法，也可以由可配置于网络设备的部件(例如芯片或者电路)实现

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。相应的，本申请实施例还提供了通信装置，该通信装置用于实现上述各种方法。该通信装置可以为上述各个方法实施例中所涉及到的终端设备，或者包含上述终端设备的装置，或者为可用于终端设备的部件(芯片或者电路)；或者，该通信装置可以为上述各个方法实施例中所涉及到的网络设备，或者包含上述网络设备的装置，或者为可用于网络设备的部件。可以理解的是，该通信装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法实施例中对通信装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

以下，结合图9至图11详细说明本申请实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，部分内容不再赘述。

图9示出了本申请一个实施例的通信装置900的结构示意图。应理解，该通信装置900可以实现图3至图8任意一图所示的实施例中的终端设备所对应的任意功能。该通信装置可以是终端设备，也可以是可配置于终端设备的部件(例如芯片或者电路)。该通信装置900包括：处理单元910和通信单元920。

需要说明的是，本申请实施例中的通信单元也可以称为接收单元(模块)或发送单元(模块)，处理单元可以称为处理模块。

示例性的，通信装置900可以执行图3所示的实施例中的终端设备所对应的任意功能，处理单元910，完成密钥更新。更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

通信单元920，用于向第二层发送第一指示信息，该第一指示信息用于指示释放及添加与第一单播连接相关的侧链路无线承载SLRB；或者，处理单元910完成密钥更新后释放/添加QoS流，第二层按照QoS流的释放而释放SLRB，按照QoS流的添加而添加SLRB。

其中，关于第一层、第二层和第一单播连接的描述可以参考前面实施例的相关描述，此处不再赘述。

通信装置900还可以包括存储单元930。该存储单元930可以用于存储计算机执行指令和/或数据等其他信息。处理单元910可以读取存储单元930中存储的指令或者数据，实现对应的方案。

可选的，处理单元910还用于根据SLRB配置信息执行添加与第一单播连接相关的SLRB的操作。

可选的，处理单元910还用于根据存储单元930保存的SLRB配置信息执行添加与第一单播连接相关的SLRB的操作。

可选的，通信单元920还用于接收网络设备发送的SLRB配置信息。

可选的，通信单元920还用于向网络设备发送第一更新指示信息，该第一更新指示信息用于指示第一单播连接进行密钥更新。

可选的，通信单元920还用于向第四终端设备发送第一消息，该第一消息包括第二逻辑信道的标识和第二加密指示信息，该第二加密指示信息用于指示该第二逻辑信道上传输的数据使用第二密钥进行加密。第二逻辑信道是第一终端设备执行SLRB添加操作后相关的逻辑信道。

可选的，通信单元920还用于接收第四终端设备发送的第二消息，该第二消息包括第三逻辑信道标识和第三加密指示信息，该第三逻辑信道标识是第四终端设备执行SLRB添加操作后相关的逻辑信道标识，该第三加密指示信息用于指示第三逻辑信道上传输的数据使用第二密钥进行加密。

可选的，处理单元910还用于完成旧的SLRB的释放。

示例性的，通信装置900可以执行图4所示的实施例中的终端设备所对应的任意功能，通信单元920用于向第二终端设备发送密钥更新请求信息。

相应的，通信单元还用于接收第一终端设备发送的密钥更新请求信息。

处理单元910还用于确定新的加密和完整性保护算法，根据选择的加密和完整性保护算法更新计算新的密钥。

通信单元920还用于向第一终端设备发送安全模式命令。

相应的，通信单元920还用于接收第二终端设备发送的安全模式命令。

处理单元910还用于完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

处理单元910还用于根据SLRB配置信息执行添加与第一单播连接相关的SLRB的操作。

通信单元920还用于向第一终端设备发送第一消息，该第一消息包括第二逻辑信道的标识和第二加密指示信息。

通信单元910还用于接收第一终端设备发送的第二消息，该第二消息包括第三逻辑信道标识和第三加密指示信息。

处理单元910还用于完成SLRB的释放。

处理单元910还用于通过新添加的SLRB使用新的完整性保护和加密算法(第二密钥)发送并接收信息。

处理单元910还用于删除旧密钥相关的安全上下文。

示例性的，通信装置900可以执行图5所示的实施例中的终端设备所对应的任意功能，处理单元910，完成密钥更新。更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

处理单元910还用于根据第一配置信息执行与第一单播连接相关的PDCP重建和RLC承载添加的操作，并根据配置信息关联重建的PDCP和新添加的RLC承载。

通信单元920还用于接收第一层发送的第二指示信息。

通信单元920还用于向网络设备发送第二更新指示信息。

通信单元920还用于向第六终端设备发送第三消息。

通信单元920还用于接收第六终端设备发送的第四消息。

处理单元910还用于完成旧的RLC承载的释放。

示例性的，通信装置900可以执行图6所示的实施例中的终端设备所对应的任意功能，处理单元910，完成密钥更新。更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

通信单元920用于向第二终端设备发送密钥更新请求信息。

相应的，通信单元还用于接收第一终端设备发送的密钥更新请求信息。

处理单元910还用于确定新的加密和完整性保护算法，根据选择的加密和完整性保护算法更新计算新的密钥。

通信单元920还用于向第一终端设备发送安全模式命令。

相应的，通信单元920还用于接收第二终端设备发送的安全模式命令。

处理单元910还用于完成密钥更新。第一层更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

处理单元910还用于根据第一配置信息执行添加与第一单播连接相关的PDCP重建和RLC承载添加的操作。

通信单元920还用于向第一终端设备发送的第四消息。

通信单元910还用于接收第一终端设备发送的第三消息。

处理单元910还用于完成旧的RLC承载的释放。

处理单元910还用于删除旧密钥相关的安全上下文。

示例性的，通信装置900可以执行图7所示的实施例中的终端设备所对应的任意功能，处理单元910，完成密钥更新。更新后的密钥为第二密钥，该第二密钥用于第一单播连接通信。

处理单元910还用于根据第二配置信息执行与第一单播连接相关的PDCP重建和RLC重建的操作。

通信单元920还用于接收第一层发送的第三指示信息。

通信单元920还用于向网络设备发送第三更新指示信息。

示例性的，通信装置900可以执行图8所示的实施例中的终端设备所对应的任意功能，通信单元920用于向第二终端设备发送密钥更新请求信息。

相应的，通信单元还用于接收第一终端设备发送的密钥更新请求信息。

处理单元910还用于确定新的加密和完整性保护算法，根据选择的加密和完整性保护算法更新计算新的密钥。

通信单元920还用于向第一终端设备发送安全模式命令。

相应的，通信单元920还用于接收第二终端设备发送的安全模式命令。

处理单元910还用于重启(或者说是恢复resume)PDCP，丢弃在发送安全模式命令后到接收第一终端设备发送的安全模式更新完成消息前的这一段时间的数据。

通信单元902还用于执行上述方法实施例中终端设备执行的其它接收或发送的步骤或操作。处理单元901还可以用于执行上述方法实施例终端设备执行的除收发之外的其它对应的步骤或操作，在此不再一一赘述。

本申请上述方法实施例描述的终端设备所执行的操作和功能中的部分或全部，可以用芯片或集成电路来完成。

图10示出了本申请实施例提供的通信装置1000，该装置1000可以实现图3至图8任意一图所示的实施例中的网络设备所具备的任意功能。该通信装置可以是网络设备，也可以是可配置于网络设备的部件(例如芯片或者电路)。

该装置可以包括接收单元1010和发送单元1020。

示例性的，发送单元1020用于向第三终端设备发送SLRB配置信息，该SLRB配置信息用于该第三终端设备的第二层执行释放及添加与第一单播连接相关的SLRB的操作。

接收单元1010用于接收第三终端设备发送的第一更新指示信息，该第一更新指示信息用于指示第一单播连接进行密钥更新。

可选的，通信装置1000还可以包括处理单元1030，该处理单元1030根据该第一更新指示信息确定向第三终端设备发送SLRB配置信息。

处理单元1030还用于根据该第一更新指示信息中的第一单播连接的标识识别具体需要进行密钥更新的单播连接。

处理单元1030还用于确定第一时长。

示例性的，发送单元1020用于向第三终端设备发送第一配置信息，该第一配置信息用于该第五终端设备的第二层执行添加与第一单播连接相关的PDCP重建和RLC承载添加的操作。

接收单元1010用于接收第五终端设备发送的第二更新指示信息，该第二更新指示信息用于指示第一单播连接进行密钥更新。

可选的，通信装置1000还可以包括处理单元1030，该处理单元1030根据该第一更新指示信息确定向第五终端设备发送SLRB配置信息。

处理单元1030还用于根据该第二更新指示信息中的第一单播连接的标识识别具体需要进行密钥更新的单播连接。

处理单元1030还用于确定第一时长。

示例性的，发送单元1020用于向第七终端设备发送第二配置信息，该第二配置信息用于该第七终端设备的第二层执行添加第一单播连接相关的PDCP重建和RLC重建的操作。

接收单元1010用于接收第七终端设备发送的第三更新指示信息，该第三更新指示信息用于指示第一单播连接进行密钥更新。

可选的，通信装置1000还可以包括处理单元1030，该处理单元1030根据该第一更新指示信息确定向第七终端设备发送第二配置信息。

关于具体的交互流程、信息或者消息的内容可以参考对应方法实施例中的描述。

发送单元1020和接收单元1010也可以统称为收发单元(模块)或者通信单元。本申请实施例中的各个单元也可以称为模块，例如接收单元可以称为接收模块。

一种可能的设计中，处理单元1030可以是处理器。接收单元和发送单元可以是收发器，或者接收单元和发送单元还可以是通信接口。存储单元可以是存储器。

发送单元1020和接收单元1010还用于执行上述方法实施例中终端设备执行的其它接收或发送的步骤或操作。处理单元1030还可以用于执行上述方法实施例终端设备执行的除收发之外的其它对应的步骤或操作，在此不再一一赘述。

可以理解的是，通信装置900或者1000中的各个单元可以单独设置，也可以集成在一起，本申请实施例对此不做限定。本申请实施例中的各个单元也可以称为模块，例如接收单元可以称为接收模块。

基于相同的技术构思，本申请实施例还提供了一种通信装置，用于实现上述方法实施例中终端设备、或者网络设备所执行的功能。附图11示出了本申请实施例一种可能的通信装置1100的示意性框图。该通信装置包括至少一个处理器1101，存储器1102。可选的，该通信装置还可以包含收发装置1103和系统总线1104，总线1104可以是PCI总线或EISA总线等，总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。该收发装置1103用于通信装置1100与其他通信设备(如无线接入网设备，或终端设备，此处不做限定)进行通信交互，比如交互控制信令和/或业务数据等，该收发装置1103可通过具有通信收发功能的电路来实现。该存储器1102用于存储所需的程序指令和/或数据。该至少一个处理器调用该存储器中存储的该程序指令执行时，使得该通信装置实现方法300中任一设计中的终端设备的功能，或者该至少一个处理器调用该存储器中存储的该程序指令执行时，使得该通信装置实现方法300-800中任一设计中的网络设备或终端设备(的功能。该至少一个处理器1101，存储器1102和收发装置1103通过该系统总线1104耦合。

为了实现上述图9或图10所述的通信装置的功能，本申请实施例还提供一种芯片，包括处理器，用于支持该通信装置实现上述方法实施例中终端设备或网络设备所涉及的功能。在一种可能的设计中，该芯片与存储器连接或者该芯片包括存储器，该存储器用于保存该通信装置必要的程序指令和数据。

在本申请各个实施例中的“模块”或者“单元”可以指专用集成电路ASIC、电路、执行一个或多个软件或固件程序的处理器和存储器、集成逻辑电路，和/或其他可以提供上述功能的器件。

本申请各个实施例中描述的处理器和收发器可实现在集成电路(integratedcircuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(applicationspecific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种1C工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor,CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxidesemiconductor,PMOS)、双极结型晶体管(Bipolar Junction Transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。可选地，处理器可以包括是一个或多个处理器，例如包括一个或多个CPU，在处理器是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。收发器用于发送和接收数据和/或信号，以及接收数据和/或信号。该收发器可以包括发射器和接收器，发射器用于发送数据和/或信号，接收器用于接收数据和/或信号，该收发器也可以是通信接口。存储器包括但不限于是随机存取存储器(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程存储器(erasableprogrammable read only memory，EPROM)、只读光盘(compact disc read-only memory，CD-ROM)，该存储器用于存储相关指令和/或数据。

在一种可能的设计中，本申请实施例中所提到的芯片可以实现处理器能够实现的相关功能，或者可以实现处理器和收发器能够实现的相关功能，或者可以实现处理器、收发器以及存储器能够实现的相关功能。该芯片可以为实现相关功能的现场可编程门阵列，专用集成芯片，系统芯片，中央处理器，数字信号处理电路，微控制器，还可以采用可编程控制器或其他集成芯片。

本申请实施例还提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被计算机执行时实现上述任一方法实施例中的通信方法。

本申请实施例还提供了一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例中的通信方法。

本申请还提供一种通信系统，该通信系统可以包括图9所示的一个或多个通信装置。可选的，该通信系统还可以包括图10通信装置。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (30)

1.一种密钥更新方法，其特征在于，包括：

第一层完成密钥更新，更新后的密钥为第二密钥，所述第二密钥用于第一单播连接通信；

所述第一层在完成密钥更新后向第二层发送第一指示信息，所述第一指示信息用于指示释放及添加与所述第一单播连接相关的侧链路无线承载SLRB，其中，所述第一层和所述第二层位于第一终端设备中，所述第一单播连接为所述第一终端设备和第二终端设备之间的单播连接；

所述第一终端设备使用所述第二密钥通过所述添加后的SLRB与所述第二终端设备进行侧行链路通信。

2.根据权利要求1所述的方法，其特征在于，所述添加与第一单播连接相关的SLRB包括：

所述第二层根据SLRB配置信息执行添加与所述第一单播连接相关的SLRB的操作。

3.根据权利要求2所述的方法，其特征在于，所述SLRB配置信息是所述第一终端设备之前保存的配置信息；或者

所述第一终端设备接收网络设备发送的所述SLRB配置信息。

4.根据权利要求3所述的方法，其特征在于，所述第一终端设备接收网络设备发送的所述SLRB配置信息之前，所述方法还包括：

所述第一终端设备向所述网络设备发送第一更新指示信息，所述第一更新指示信息用于指示所述第一单播连接进行密钥更新。

5.根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：

新添加的SLRB使用第二逻辑信道，所述第二逻辑信道是执行所述SLRB添加操作后相关的逻辑信道。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：所述第一终端设备向所述第二终端设备发送第一消息，所述第一消息包括所述第二逻辑信道的标识和第二加密指示信息，所述第二加密指示信息用于指示所述第二逻辑信道上传输的数据使用所述第二密钥进行加密。

7.根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：所述第一终端设备接收第二消息，所述第二消息包括第三逻辑信道标识和第三加密指示信息，所述第三逻辑信道标识是所述第二终端设备执行所述SLRB添加操作后相关的逻辑信道标识，所述第三加密指示信息用于指示所述第三逻辑信道上传输的数据使用所述第二密钥进行加密。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：所述第一终端设备使用所述第二密钥解密通过所述第三逻辑信道上接收到的数据。

9.根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：所述第一层完成密钥更新的时机为以下任一种：

发送安全模式命令消息（Direct Security Mode Command）之前；

接收并验证安全模式命令消息后，并在发送安全模式更新完成消息（Direct SecurityMode Complete）前；

接收到安全模式更新完成消息后。

10.根据权利要求4所述的方法，其特征在于，所述第一终端设备还存在至少一个第二单播连接时，所述方法还包括：

所述第一单播连接与所述第二单播连接不支持SLRB复用，或者，当所述第一单播连接与所述第二单播连接支持SLRB复用时，所述第一单播连接和所述第二单播连接的完保和加密算法一致。

11.根据权利要求1至4任一项所述的方法，其特征在于，所述第一层为PC5-S层或V2X层，所述第二层为AS层。

12.一种密钥更新方法，其特征在于，包括：

第一层完成密钥更新，更新后的密钥为第二密钥，所述第二密钥用于第一单播连接通信；

所述第一层在完成密钥更新后向第二层发送第二指示信息，所述第二指示信息用于指示与所述第一单播连接相关的侧链路分组数据汇聚协议层SL PDCP重建和无线链路控制RLC承载释放及添加，其中，所述第一层和所述第二层位于所述第一终端设备中，所述第一单播连接为第一终端设备和第二终端设备之间的单播连接；

所述第一终端设备使用所述第二密钥通过所述重建后的SL PDCP和所述添加后的RLC承载与所述第二终端设备进行侧链路通信。

13.根据权利要求12所述的方法，其特征在于，与第一单播连接相关的PDCP重建和RLC承载添加包括：

所述第一终端设备根据第一配置信息执行SL PDCP重建操作和添加RLC承载的操作，其中，所述第一配置信息中包括以下至少一项：SL PDCP重建配置信息和RLC承载释放和添加配置信息。

14.根据权利要求13所述的方法，其特征在于，所述第一配置信息是所述第一终端设备之前保存的配置信息，或者，

所述第一终端设备接收网络设备发送的所述第一配置信息。

15.根据权利要求14所述的方法，其特征在于，所述第一终端设备接收网络设备发送的所述第一配置信息之前，所述方法还包括：

所述第一终端设备向所述网络设备发送第二更新指示信息，所述第二更新指示信息用于指示所述第一单播连接进行密钥更新。

16.根据权利要求12至15任一项所述的方法，其特征在于，所述方法还包括：

新添加的RLC承载使用第四逻辑信道，所述第四逻辑信道是执行所述SL PDCP重建及RLC承载添加操作后相关的逻辑信道。

17.根据权利要求16所述的方法，其特征在于，所述方法还包括：所述第一终端设备向第二终端设备发送第三消息，所述第三消息包括第四逻辑信道的标识和第四加密指示信息，所述第四加密指示信息用于指示所述第四逻辑信道上传输的数据使用所述第二密钥进行加密。

18.根据权利要求12至15任一项所述的方法，其特征在于，所述方法还包括：所述第一终端设备接收第四消息，所述第四消息包括第五逻辑信道标识和第五加密指示信息，所述第五逻辑信道标识是所述第二终端设备执行所述SL PDCP重建及RLC承载添加操作后相关的逻辑信道，所述第五加密指示信息用于指示所述第五逻辑信道上传输的数据使用所述第二密钥进行加密。

19.根据权利要求18所述的方法，其特征在于，所述方法还包括：所述第一终端设备使用所述第二密钥解密通过所述第五逻辑信道上接收到的数据。

20.根据权利要求17所述的方法，其特征在于，所述SL PDCP重建配置信息还包含发送PDCP状态报告的使能指示信息时，

所述第三消息还包括PDCP状态报告。

21.根据权利要求12至15任一项所述的方法，其特征在于，所述方法还包括：所述第一层完成密钥更新的时机为以下任一种：

发送安全模式命令消息（Direct Security Mode Command）之前；

接收并验证安全模式命令消息后，并在发送安全模式更新完成消息（Direct SecurityMode Complete）前；

接收到安全模式更新完成消息后。

22.根据权利要求15所述的方法，其特征在于，所述第一终端设备还存在至少一个第二单播连接时，所述方法还包括：

所述第一单播连接与所述第二单播连接不支持侧行链路的承载复用，或者，当所述第一单播连接与所述第二单播连接支持侧行链路的承载复用时，所述第一单播连接和所述第二单播连接的完整性保护和加密算法一致。

23.根据权利要求12至15任一项所述的方法，其特征在于，所述第一层为PC5-S层或V2X层，所述第二层为AS层。

24.一种密钥更新方法，其特征在于，包括：

网络设备接收第一终端设备发送的更新指示信息，所述更新指示信息指示第一单播连接进行密钥更新，所述第一单播连接为所述第一终端设备和第二终端设备之间的单播连接，所述更新指示信息是所述第一终端的第一层完成密钥更新，并在完成密钥更新后向所述第一终端的第二层发送第一指示信息之后发送的，其中，更新后的密钥为第二密钥，所述第二密钥用于第一单播连接通信，所述第一指示信息用于指示释放及添加与所述第一单播连接相关的侧链路无线承载SLRB，或者，指示与所述第一单播连接相关的侧链路分组数据汇聚协议层SL PDCP重建和无线链路控制RLC承载释放及添加；

所述网络设备向所述第一终端设备发送侧链路无线承载SLRB配置信息，或者，侧链路分组数据汇聚协议层SL PDCP重建配置信息和无线链路控制RLC承载释放及添加配置信息，以使所述第一终端使用所述第二密钥通过所述添加后的SLRB与所述第二终端设备进行侧行链路通信，或者，使用所述第二密钥通过所述重建后的SL PDCP和所述添加后的RLC承载与所述第二终端设备进行侧链路通信。

25.一种装置，其特征在于，所述装置包括处理单元和通信单元，所述装置用于执行如权利要求1至11中任一项所述的方法，或如权利要求12至23中任一项所述的方法。

26.一种装置，其特征在于，所述装置包括处理单元和通信单元，所述装置用于执行如权利要求24所述的方法。

27.一种装置，其特征在于，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得所述装置执行如权利要求1至11中任一项所述的方法，或如权利要求12至23中任一项所述的方法。

28.一种装置，其特征在于，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得所述装置执行如权利要求24所述的方法。

29.一种计算机可读存储介质，其上存储有计算机程序或指令，其特征在于，所述计算机程序或指令被执行时使得计算机执行如权利要求1至24中任一项所述的方法。

30.一种通信系统，包括：如权利要求25中所述的装置，和/或，权利要求26中所述的装置。

Images