WO2018171703A1

WO2018171703A1 - 通信方法与设备

Info

Publication number: WO2018171703A1
Application number: PCT/CN2018/080129
Authority: WO
Inventors: 柴丽; 张戬; 李秉肇; 权威
Original assignee: 华为技术有限公司
Priority date: 2017-03-24
Filing date: 2018-03-23
Publication date: 2018-09-27
Also published as: EP3576443B1; EP3576443A4; US11304054B2; EP3813400A1; US20200021978A1; KR20190117653A; EP3576443A1; CN111182539A; CN108632815A; CN111182539B; MX2019011218A; CN108632815B

Abstract

本申请提供一种通信方法与设备，该通信方法包括：终端设备获得安全密钥，终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留终端设备在第一网络设备的上下文信息的状态；终端设备向第二网络设备发送第一消息，第一消息包括终端设备的标识，以及加密后的上行数据和/或信令，加密后的上行数据和/或信令是使用安全密钥加密的，第二网络设备不同于第一网络设备。在本申请中，非激活态下的终端设备与网络设备进行通信时采用安全密钥加密，能够提高通信的安全性。

Description

通信方法与设备

本申请要求于2017年03月24日提交中国专利局、申请号为201710186514.4、申请名称为“通信方法与设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，并且更具体地，涉及一种通信方法与设备。

背景技术

终端设备的非激活态指的是，终端设备与无线接入网(Radio Access Network，RAN)设备断开RRC连接，但保留终端设备的上下文的状态。在非激活态下，当终端设备移动到新的RAN设备的小区时，可以基于之前保留的该终端设备的上下文，向新的RAN设备(也可称为切换后的RAN设备)发送上行数据。

当前技术中，非激活态下的终端设备与切换后的RAN设备之间的数据传输没有相应安全技术的保障。

发明内容

本申请提供一种通信方法与设备，能够有效提高非激活状态下的终端设备与网络设备进行通信的安全性。

第一方面，提供一种通信方法，所述方法包括：

终端设备获得安全密钥，所述终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留所述终端设备在所述第一网络设备的上下文信息的状态；

所述终端设备向第二网络设备发送第一消息，所述第一消息包括所述终端设备的标识，以及加密后的上行数据和/或信令，所述加密后的上行数据和/或信令是使用所述安全密钥加密的，所述第二网络设备不同于所述第一网络设备。

在本申请中，非激活状态下的终端设备与网络设备进行通信时采用安全密钥加密，能够提高通信的安全性。

结合第一方面，在第一方面的一种可能的实现方式中，所述安全密钥包括所述上下文信息中保存的密钥。

在本申请中，非激活态的终端设备在与新的网络设备通信时，采用上一次驻留的网络设备的上下文信息中保存的密钥进行加密，在较小开销的前提下，能够提高与新的网络设备之间通信的安全性。

结合第一方面，在第一方面的一种可能的实现方式中，所述安全密钥不同于所述终端设备与所述第一网络设备进行通信所采用的密钥。

在本申请中，非激活状态下的终端设备针对不同的网络设备，通信时采用不同的密钥，这样能够有效提高通信的安全性。

结合第一方面，在第一方面的一种可能的实现方式中，所述终端设备获得安全密钥，包括：所述终端设备根据所述第二网络设备的标识信息获得所述安全密钥，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息。

在本申请中，根据网络设备的标识信息生成安全密钥，在与网络设备通信时采用该安全密钥加密，这样能够有效提高通信的安全性。

结合第一方面，在第一方面的一种可能的实现方式中，所述终端设备获得安全密钥，包括：所述终端设备根据所述第二网络设备的标识信息与所述上下文信息中保存的密钥，获得所述安全密钥，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息。

在本申请中，根据终端设备的初始上下文信息中保存的密钥与新的网络设备的标识信息生成安全密钥，在与网络设备通信时采用该安全密钥加密，这样能够有效提高通信的安全性。

结合第一方面，在第一方面的一种可能的实现方式中，所述通信方法还包括：所述终端设备获得所述第一网络设备为所述终端设备配置的安全信息；

所述终端设备获得安全密钥，包括：

所述终端设备根据所述安全信息与所述第二网络设备的标识信息，获得所述安全密钥，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息；或

所述终端设备根据所述安全信息与所述第一网络设备的标识信息，获得所述安全密钥，其中，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的频率信息。

在本申请中，根据网络设备的标识信息与终端设备的初始上下文信息中保存的密钥生成安全密钥，在与网络设备通信时采用该安全密钥加密，这样能够有效提高通信的安全性。

结合第一方面，在第一方面的一种可能的实现方式中，所述终端设备获得安全密钥，包括：所述终端设备还使用下列信息中的任一种获得所述安全密钥：

所述上下文信息中携带的计数器的值，从所述第一网络设备获得的计数器的值，所述第一网络设备的系统消息中携带的计数器的值，系统预定义的计数器的值。

结合第一方面，在第一方面的一种可能的实现方式中，所述第一消息中还包括完整性消息验证码MAC-I或者短完整性消息验证码short-MAC-I。

本申请能够实现该终端设备与第二网络设备的数据传输的完整性保护。

结合第一方面，在第一方面的一种可能的实现方式中，所述终端设备的标识为所述第一网络设备为非激活态下的所述终端设备配置的标识，或者所述终端设备的标识为所述第一网络设备为连接态下的所述终端设备配置的标识。

结合第一方面，在第一方面的一种可能的实现方式中，所述第一消息包括所述上行数据，所述通信方法还包括：

所述终端设备移动到所述第二网络设备的小区后，获得所述第二网络设备的系统消息，所述系统消息包括至少一种业务对应的用户面的预配置参数信息；

所述终端设备根据所述预配置参数信息对应的业务，确定所述上行数据。

结合第一方面，在第一方面的一种可能的实现方式中，所述预配置参数信息包括下列信息中的至少一种：分组数据汇聚协议PDCP信息，无线链路层控制协议RLC信息，媒体接入控制MAC信息，或物理层PHY信息。

在本申请中，该终端设备无需与第二网络设备建立RRC连接，就可以根据该预配置参数信息，向第二网络设备发送该至少一种业务的数据，从而提高非激活态的终端设备与网络设备进行数据传输的效率。

结合第一方面，在第一方面的一种可能的实现方式中，所述第一消息是通过用户面数据包发送的。

结合第一方面，在第一方面的一种可能的实现方式中，所述通信方法还包括：所述终端设备根据所述第二网络设备的系统消息中包括的预配置的资源信息，获得所述第二网络设备的上行资源；或所述终端设备通过随机接入过程获得所述第二网络设备的上行资源。

结合第一方面，在第一方面的一种可能的实现方式中，所述第一消息中还包括所述第一网络设备的标识信息，以便于所述第二网络设备通过所述第一网络设备将所述上行数据和/或所述信令发送至所述核心网，其中，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的设备信息，所述信令为非接入层信令。

在本申请中，第二网络设备通过终端设备上一次驻留的第一网络设备向核心网转发终端设备的上行数据和/或信令，这样能够提高通信效率，同时也能够节省成本。

结合第一方面，在第一方面的一种可能的实现方式中，所述第一消息是通过RRC信令发送的。

结合第一方面，在第一方面的一种可能的实现方式中，所述通信方法还包括：所述终端设备接收所述第二网络设备发送的响应消息，所述响应消息包括以下信息中的至少一种：所述终端设备的标识，是否更新所述上下文信息的指示信息，是否进入RRC连接态的指示信息，是否保持在非激活态的指示信息，新的安全信息，无线接入网络区域的更新信息，进入RRC连接态的指示信息，保持在非激活态的指示信息，进入RRC空闲态的指示信息。

第二方面，提供一种通信方法，所述通信方法包括：

第二网络设备接收终端设备发送的第一消息，所述第一消息包括所述终端设备的标识，以及加密后的上行数据和/或信令，所述加密后的上行数据和/或信令是使用安全密钥加密的，所述终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留所述终端设备在所述第一网络设备的上下文信息的状态，所述第一网络设备不同于所述第二网络设备；

所述第二网络设备通过所述第一网络设备获得所述安全密钥的信息；

所述第二网络设备根据所述安全密钥的信息，解析所述上行数据和/或信令。

结合第二方面，在第二方面的一种可能的实现方式中，所述安全密钥包括所述上下文信息中保存的密钥。

结合第二方面，在第二方面的一种可能的实现方式中，所述安全密钥不同于所述终端设备与所述第一网络设备进行通信所采用的密钥。

结合第二方面，在第二方面的一种可能的实现方式中，所述安全密钥是根据所述第二网络设备的标识信息确定的，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息。

结合第二方面，在第二方面的一种可能的实现方式中，所述终端设备获得安全密钥，包括：所述终端设备根据所述第二网络设备的标识信息与所述上下文信息中保存的密钥，获得所述安全密钥，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息。

结合第二方面，在第二方面的一种可能的实现方式中，所述安全密钥是根据所述第二网络设备的标识信息与所述第一网络设备为所述终端设备配置的安全信息确定的，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息；或

所述安全密钥是根据所述第一网络设备的标识信息与所述安全信息确定的，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的频率信息。

结合第二方面，在第二方面的一种可能的实现方式中，确定所述安全密钥的信息还包括下列信息中的任一种：所述上下文信息中保存的计数器的值，所述终端设备从所述第一网络设备获得的计数器的值，所述第一网络设备的系统消息中携带的计数器的值，系统预定义的计数器的值。

结合第二方面，在第二方面的一种可能的实现方式中，所述第一消息中还包括完整性消息验证码MAC-I或者短完整性消息验证码short-MAC-I。

结合第二方面，在第二方面的一种可能的实现方式中，所述第一消息包括所述上行数据，所述第二网络设备的系统消息包括至少一种业务对应的用户面的预配置参数信息，以便于所述终端设备根据所述预配置参数信息对应的业务确定所述上行数据。

结合第二方面，在第二方面的一种可能的实现方式中，所述预配置参数信息包括下列信息中的至少一种：分组数据汇聚协议PDCP信息，无线链路层控制协议RLC信息，媒体接入控制MAC信息，或物理层PHY信息。

结合第二方面，在第二方面的一种可能的实现方式中，所述第一消息是通过用户面数据包发送的。

结合第二方面，在第二方面的一种可能的实现方式中，所述第一消息还包括所述第一网络设备的标识信息，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的设备信息；

所述通信方法还包括：

所述第二网络设备根据所述第一网络设备的标识信息，向所述第一网络设备发送所述上行数据和/或所述信令，以使得所述第一网络设备将所述上行数据发送至核心网，所述信令为非接入层信令。

结合第二方面，在第二方面的一种可能的实现方式中，所述第一消息中包括所述上行数据，所述通信方法还包括：

所述第二网络设备获得所述上下文信息；

所述第二网络设备根据所述上下文信息，与所述核心网建立通信路径；

所述第二网络设备根据所述通信路径，向所述核心网发送所述上行数据。

在本申请中，第二网络设备根据终端设备的上下文信息，向核心网转发终端设备的上行数据，能够提高通信效率。

结合第二方面，在第二方面的一种可能的实现方式中，所述第二网络设备获得所述上下文信息，包括：

所述第二网络设备根据所述第一网络设备发送的所述上下文信息通知消息，获得所述上下文信息；或

所述第二网络设备向所述第一网络设备请求所述上下文信息。

结合第二方面，在第二方面的一种可能的实现方式中，所述通信方法还包括：

所述第二网络设备从所述核心网获得新的下一跳链式计数器NCC信息；

所述第二网络设备向所述终端设备发送所述新的NCC，用于指示所述终端设备利用所述新的NCC确定新的安全密钥，并利用所述新的安全密钥加密下一次发送的上行数据。

在本申请中，在第二网络设备与终端设备进行过至少一次数据传输后，重新确定新的安全密钥，能够进一步提高数据传输的安全性。

所述第二网络设备根据下列至少一种信息确定是否需要更新所述上下文信息：所述终端设备的上行数据的大小，所述终端设备的上行数据的发送频率，所述第二网络设备的负荷，所述第二网络设备的用户连接数，所述终端设备的上行业务信息。

所述第二网络设备针对所述第一消息，向所述终端设备发送响应消息，所述响应消息包括以下信息中的至少一种：

所述终端设备的标识，是否更新所述上下文信息的指示信息，是否进入RRC连接态的指示信息，是否保持在非激活态的指示信息，新的安全信息，无线接入网络区域的更新信息，进入RRC连接态的指示信息，保持在非激活态的指示信息，进入RRC空闲态的指示信息。

第三方面提供一种终端设备，所述终端设备用于执行上述第一方面或第一方面的任一可能的实现方式中的通信方法。具体地，所述终端设备可以包括用于执行第一方面或第一方面的任一可能的实现方式中的通信方法的模块。

第四方面提供一种终端设备，所述终端设备包括存储器和处理器，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，并且对该存储器中存储的指令的执行使得该处理器执行第一方面或第一方面的任一可能的实现方式中的方法。

第五方面提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现第一方面或第一方面的任一可能的实现方式中的方法。

第六方面提供一种网络设备，所述网络设备用于执行上述第二方面或第二方面的任一可能的实现方式中的通信方法。具体地，所述网络设备可以包括用于执行第二方面或第二方面的任一可能的实现方式中的通信方法的模块。

第七方面提供一种网络设备，所述网络设备包括存储器和处理器，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，并且对该存储器中存储的指令的执行使得该处理器执行第二方面或第二方面的任一可能的实现方式中的方法。

第八方面提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现第二方面或第二方面的任一可能的实现方式中的方法。

附图说明

图1为本申请实施例的系统架构示意图。

图2为本申请实施例提供的通信方法的示意性流程图。

图3为本申请实施例提供的通信方法的另一示意性流程图。

图4为本申请实施例提供的通信方法的再一示意性流程图。

图5为本申请实施例提供的通信方法的再一示意性流程图。

图6为本申请实施例提供的通信方法的再一示意性流程图。

图7为本申请实施例提供的终端设备的示意性框图。

图8为本申请实施例提供的终端设备的另一示意性框图。

图9为本申请实施例提供的网络设备的示意性框图。

图10为本申请实施例提供的网络设备的另一示意性框图。

图11为本申请实施例提供的终端设备的再一示意性框图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

应理解，本申请实施例的技术方案可以应用于长期演进(Long Term Evolution，LTE) 架构，还可以应用于通用移动通信系统(Universal Mobile Telecommunications System，UMTS)陆地无线接入网(UMTS Terrestrial Radio Access Network，UTRAN)架构，或者全球移动通信系统(Global System for Mobile Communication，GSM)/增强型数据速率GSM演进(Enhanced Data Rate for GSM Evolution，EDGE)系统的无线接入网(GSM EDGE Radio Access Network，GERAN)架构。在UTRAN架构或/GERAN架构中，MME的功能由服务通用分组无线业务(General Packet Radio Service，GPRS)支持节点(Serving GPRS Support，SGSN)完成，SGW\PGW的功能由网关GPRS支持节点(Gateway GPRS Support Node，GGSN)完成。本申请实施例的技术方案还可以应用于其他通信系统，例如公共陆地移动网络(Public Land Mobile Network，PLMN)系统，甚至未来的5G通信系统或5G之后的通信系统等，本申请实施例对此不作限定。

本申请实施例涉及终端设备。终端设备可以为包含无线收发功能、且可以与网络设备配合为用户提供通讯服务的设备。具体地，终端设备可以指用户设备(User Equipment，UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。例如，终端设备可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5G网络或5G之后的网络中的终端设备等，本申请实施例对此不作限定。

本申请实施例还涉及网络设备。网络设备可以是用于与终端设备进行通信的设备，例如，可以是GSM系统或CDMA中的基站(Base Transceiver Station，BTS)，也可以是WCDMA系统中的基站(NodeB，NB)，还可以是LTE系统中的演进型基站(Evolutional Node B，eNB或eNodeB)，或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络或5G之后的网络中的网络侧设备或未来演进的PLMN网络中的网络设备等。

本申请实施例中涉及的网络设备也可称为无线接入网(Radio Access Network，RAN)设备。RAN设备与终端设备连接，用于接收终端设备的数据并发送给核心网设备。RAN设备在不同通信系统中对应不同的设备，例如，在2G系统中对应基站与基站控制器，在3G系统中对应基站与无线网络控制器(Radio Network Controller，RNC)，在4G系统中对应演进型基站(Evolutional Node B，eNB)，在5G系统中对应5G系统，如新无线接入系统(New Radio Access Technology，NR)中的接入网设备(例如gNB，CU，DU)。

本申请实施例还涉及核心网(Core Network，CN)设备。CN设备在不同的通信系统中对应不同的设备，例如，在3G系统中对应服务GPRS支持节点(Serving GPRS Support Node，SGSN)或网关GPRS支持节点(Gateway GPRS Support Node，GGSN)，在4G系统中对应移动管理实体(Mobility Management Entity，MME)或服务网关(Serving GateWay，S-GW)，在5G系统中对应5G系统的核心网相关设备(例如NG-Core)。

为了便于理解本申请，首先在此介绍本申请的描述中会引入的几个要素：

连接(Connected)态，终端设备与无线接入网(Radio Access Network，RAN)设备之间建立了无线资源控制(Radio Resource Control，简称为“RRC”)连接。

上下文信息信息，RAN设备与终端设备建立RRC连接之后，RAN设备为终端设备分配上下文信息，RAN设备与终端设备基于上下文信息信息进行通信。

具体地，上下文信息信息包括终端设备的标识信息、终端设备的安全上下文信息、终端设备的签约信息、终端设备的无线承载的配置信息，逻辑信道信息，以及Network Slicing Info，Network Slicing Info中包含当前终端设备在哪些Network Slicing内注册，以及每个Network Slicing内的CP Function的地址，其中，终端设备的无线承载的配置信息包括以下至少一项：分组数据汇聚协议PDCP的配置参数，无线链路层控制协议RLC的配置参数，媒体接入控制MAC的配置参数和/或物理层PHY的配置参数，分组数据汇聚协议PDCP的变量、计数器和/或定时器的取值，无线链路层控制协议RLC的变量、计数器和/或定时器的取值，媒体接入控制MAC的变量、计数器和/或定时器的取值和/或物理层PHY的变量、计数器和/或定时器的取值，比如，PDCP包的COUNT,PDCP包的SN。

非激活态(或者称为挂起(Suspend)态，或者轻连接(Light connection)态)，终端设备与RAN设备之间没有RRC连接，但RAN设备和终端设备内均保存有上下文信息，并且可以通过恢复(Resume)消息恢复终端设备与RAN设备间的RRC连接，可选地，还可以恢复终端设备与RAN设备间的用于传输数据的数据无线承载(Data Radio Bearer，DRB)。该终端设备的S1接口会锚定在一个基站(可以称之为“锚点基站”)，然后可以执行小区重选移动性，在一个预定的区域(如，称之为“基于RAN的寻呼区”，或“无线接入网区”)内移动时不需要通知基站，而一旦出了基于RAN的寻呼区，则需要向基站通知其位置，这个过程称为基于RAN的寻呼区更新(Paging Area Update)。本申请实施例中提及的“非激活态”只是用于描述这种状态，而非任何限定。

需要说明的是，本文中提及的以下术语：非激活态，锚点基站，无线接入网区(或基于RAN的寻呼区)更新，仅为描述方便进行的区分，并不用来限制本申请实施例的范围。

空闲(Idle)态，终端设备与RAN设备之间没有RRC连接，且终端设备与RAN设备中不再保存上下文信息。

终端设备的标识，能够唯一标识终端设备的标识，可以是由RAN设备为终端设备分配的标识，也可以为控制面设备(CP Function)为该终端设备分配的标识。

图1为本申请实施例的系统架构示意图。终端设备110初始与第一网络设备120建立RRC连接。第一网络设备120为终端设备110分配上下文信息。终端设备基于RRC连接与第一网络设备120进行通信，例如通过第一网络设备120访问核心网140。然后，终端设备110断开与第一网络设备120的RRC连接，但保留终端设备110在第一网络设备120下的上下文信息，即进入非激活态。终端设备110向第二网络设备130移动，当移动到第二网络设备130的小区内时，终端设备110基于之前保留的上下文信息，与第二网络设备130进行通信传输，例如通过第一网络设备120访问核心网140。

图2为本申请实施例提供的通信方法200的示意性流程图。图2中描述的终端设备、第一网络设备、第二网络设备可以分别对应于图1中所示的终端设备110、第一网络设备120与第二网络设备130。如图2所示，该方法200包括：

210，终端设备获得安全密钥，终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留终端设备在第一网络设备的上下文信息的状态。

可选地，终端设备可以基于上下文信息中保存的密钥确定该安全密钥，也可以结合其他信息和/或上下文信息中保存的密钥确定该安全密钥。下文将详细描述。

为了描述的方便，下文中，使用非激活态表示终端设备断开与第一网络设备的无线资源控制RRC连接，并且保留终端设备在第一网络设备的上下文信息的状态。

220，终端设备向第二网络设备发送第一消息，第一消息包括终端设备的标识，以及加密后的上行数据和/或信令，加密后的上行数据和/或信令是使用安全密钥加密的，第二网络设备不同于第一网络设备。

终端设备的标识可以是第一网络设备为非激活态下的终端设备配置的标识。或者，终端设备的标识是第一网络设备为连接态下的终端设备配置的标识。例如，终端设备的标识包括该终端设备的恢复标识(恢复ID)和/或上下文标识(上下文ID)。

应理解，第二网络设备根据第一消息中携带的终端设备的标识，能够获知该第一消息来自于该终端设备。

具体地，该上行数据可以是该终端设备的业务数据。

具体地，该信令可以是非接入层信令或者接入层信令。其中，接入层信令例如为该终端设备的基于RAN(Radio Access Network)的寻呼区更新信令。终端设备移动超出原来的的基于RAN的寻呼区，并进入第二网络设备所属的另一个基于RAN的寻呼区，这种情况下，终端设备候需要向第二网络设备上报终端设备已经离开原来的基于RAN的寻呼区，这个信令可以称为基于RAN的寻呼区更新信令。其中，终端设备在一个预定的区域(如，基于RAN的寻呼区)内移动时不需要通知基站，而一旦出了基于RAN的寻呼区，则需要向基站上报该终端设备已经离开原来的基于RAN的寻呼区，这个过程称为基于RAN的寻呼区更新(Paging Area Update)。基于RAN的寻呼区更新信令还可以是该终端设备的周期基于RAN的寻呼区更新信令。非接入层信令例如为跟踪区(Tracking Area，TA)更新信令。

230，第二网络设备通过第一网络设备获得安全密钥的信息。

具体地，该安全密钥的信息可以是用于生成该安全密钥的信息，也可以是该安全密钥本身。

需要说明的是，第二网络设备从第一网络设备获得的安全密钥的信息所表示的安全密钥与终端设备获得的安全密钥是同一个密钥。例如，通过系统定义或者协议规定，终端设备与第一网络设备按照相同的规则或算法，生成该安全密钥。

具体地，第一网络设备可以向第二网络设备主动发送该安全密钥信息，或者，第二网络设备需要向第一网络设备请求该安全密钥的信息。

240，第二网络设备根据安全密钥的信息，解析上行数据和/或信令。

具体地，第二网络设备可以直接或间接地将上行数据和/或信令发送至核心网。

因此，在本申请实施例中，非激活状态下的终端设备与网络设备进行通信时采用安全密钥加密，能够提高通信的安全性。

具体地，在步骤210之前，该方法200还包括：第一网络设备向终端设备发送RRC释放消息；终端设备根据RRC释放消息，断开与第一网络设备的无线资源控制RRC连接，但保留终端设备在第一网络设备的上下文信息，即终端设备进入非激活态。

可选地，该RRC释放消息中可以包括终端设备的

至标识。

可选地，该RRC释放消息中还可以包括以下信息中的少一种信息：

1)终端设备上下文不删除指示。

该信息用于告知终端设备不删除终端设备在第一网络设备的上下文信息，继续保存。

2)终端设备上下文有效期时长。

该信息用于告知终端设备保存上下文信息的有效期，当该上下文的保存时长超过有效期时，终端设备可以删除该上下文。

3)终端设备后续可能建立的业务的用户面(User Plane，UP)配置信息。

该UP配置信息指的是，终端设备目前在进入非激活态之前未建立的一个或多个业务对应的UP配置信息。后续用户如果触发新业务，终端设备无需进入连接态，就可以基于该信息直接建立新业务。该UP配置信息有助于提高后续终端设备建立新业务的效率。

4)终端设备下次发起RRC连接恢复或者发送上行数据需要的安全信息。

具体地，该安全信息可以是独立的，也可以是共享的。例如，该安全信息可以包括下列信息的任一种或多种的组合：安全算法，下一跳链计数器(Next-Hop Chaining Counter，NCC)，用于得到安全密钥的计数值(COUNT)，或其他能够获得安全密钥的参数。

5)Cause Value原因值信息，如，高优先级接入，无线接入区域更新，被叫数据或主叫信令等。

具体地，在步骤210中，终端设备可以基于上下文信息中保存的密钥确定该安全密钥，也可以结合其他信息和/或上下文信息中保存的密钥确定该安全密钥。

可选地，在一些实施例中，该安全密钥包括上下文信息中保存的密钥。

具体地，终端设备将上下文信息中保存的密钥确定为该安全密钥。

应理解，上下文信息中保存的密钥就是终端设备与第一网络设备进行通信所采用的密钥。

在本申请实施例中，非激活状态下的终端设备与网络设备进行通信时采用安全密钥加密，能够提高通信的安全性。

可选地，在一些实施例中，该安全密钥不同于终端设备与第一网络设备进行通信所采用的密钥。

具体地，该安全密钥可以通过如下几种方式生成。

作为第一种实现方式，该安全密钥是根据第二网络设备的标识信息确定的，第二网络设备的标识信息包括第二网络设备的小区信息和/或第二网络设备的频率信息。

具体地，终端设备根据第二网络设备的标识信息，按照预设的算法，生成该安全密钥。

第二网络设备的小区信息例如为第二网络设备的小区标号或第二网络设备的小区标识，第二网络设备的频率信息例如为第二网络设备的频点信息或第二网络设备的频段信息或者二者皆有。

作为第二种实现方式，该安全密钥是根据第二网络设备的标识信息与上下文信息中保存的密钥确定的。

具体地，终端设备根据第二网络设备的标识信息与上下文信息中保存的密钥，按照预设的算法，生成该安全密钥。

作为第三种实现方式，该安全密钥是根据第二网络设备的标识信息与第一网络设备为终端设备配置的安全信息确定的，第二网络设备的标识信息包括第二网络设备的小区信息和/或第二网络设备的频率信息。

具体地，终端设备根据该第二网络设备的标识信息以及第一网络设备为该终端设备分配的安全信息，按照预设的算法，生成该安全密钥。

第一网络设备为该终端设备分配的安全信息例如为上述的第一网络设备为终端设备配置的“4)终端设备下次发起RRC连接恢复或者发送上行数据需要的安全信息”。

可选地，终端设备可以从第一网络设备发送的RRC释放消息中获得该安全信息。

作为第四种实现方式，该安全密钥是根据第一网络设备的标识信息与第一网络设备为该终端设备分配的安全信息确定的，第一网络设备的标识信息包括第一网络设备的小区信息和/或第一网络设备的频率信息。第一网络设备为该终端设备分配的安全信息例如为上述的第一网络设备为终端设备配置的“4)终端设备下次发起RRC连接恢复或者发送上行数据需要的安全信息”。

具体地，该终端设备根据该第一网络设备的标识信息与第一网络设备为该终端设备分配的安全信息，按照预设的算法，生成该安全密钥。

第一网络设备的小区信息例如为第一网络设备的小区标号或第一网络设备的小区标识，第一网络设备的频率信息例如为第一网络设备的频点信息或第一网络设备的频段信息或者二者皆有。

可选地，在上述获得该安全密钥的方式中，终端设备还可以参考下列信息中的任一种，按照对应的算法，生成该安全密钥：上下文信息中保存的计数器的值，从第一网络设备获取的计数器的值，第一网络设备的系统消息中携带的计数器的值，系统预定义的计数器的值。

其中，从第一网络设备获取的计数器的值，可以是终端设备从第一网络设备发送的RRC释放消息中获得的计数器的值。

本文所涉及的计数器的值，例如可以是数据包(分组)的计数器的值。

应理解，上文描述的获得该安全密钥的实现方式仅为示例而非限定，实际操作中，可以通过系统定义或协议规定，参考其它相关参数，按照可行的算法，生成该安全密钥。

因此，在本申请实施例中，非激活态的终端设备与第二网络设备通信所采用的安全密钥不同于该终端设备与上一次驻留的第一网络设备所采用的安全密钥，从而可以提高终端设备与第二网络设备通信的安全性。

可选地，步骤220中，终端设备向第二网络设备发送的第一消息中还包括完整性消息验证码(Message Authentication Code for Integrity，MAC-I)或短完整性消息验证码(short-MAC-I)。

具体地，MAC-I或short-MAC-I可以根据终端设备的上下文信息中保存的密钥，利用完整性保护算法推演出来。或者，MAC-I或short-MAC-I可以根据上述生成安全密钥的第一种至第四种实现方式中的任一种，利用完整性保护算法推演出来。

应理解，第一消息中携带MAC-I或short-MAC-I，能够实现该第一消息的完整性保护。因此，本申请实施例能够实现非激活态下的终端设备与网络设备进行通信时的完整性保护。

具体地，在步骤220中，终端设备利用第二网络设备的上行资源向第二网络设备发送第一消息。

终端设备可以采用多种不同的方式获得第二网络设备的上行资源。

1)终端设备可以通过第二网络设备的系统消息，获得第二网络设备的免授权(Grant-free)资源。

可选地，在某些实施例中，该方法200还包括：终端设备移动到第二网络设备的小区后，获得第二网络设备的系统消息，第二网络设备的系统消息中携带预配置的资源信息；终端设备根据该预配置资源信息，获得第二网络设备的上行资源。

具体地，该预配置的资源信息指示该第二网络设备的免授权(Grant-free)资源。例如，该Grant-free资源用于移动到第二网络设备的小区内的非激活态的终端设备发送小包数据。该终端设备可以将该Grant-free资源确定为该上行资源。

可选地，该预配置的资源信息所指示的Grant-free资源分成若干组，其中，每个组的资源信息用于指示，该组资源的时域、频域位置，以及对应的签名(或者，序列、标号(index))。可选地，该Grant-free资源信息所指示的该若干组资源又分为：初始发送组，重传1组，重传2组，…和重传m组，m为正整数。

该终端设备在需要发送上行数据和/或信令时，选择该Grant-free资源信息所指示的Grant-free资源中的其中一个组(例如初始发送组)的资源，发送上行数据和/或信令。

可选地，在本实施例中，终端设备在向第二网络设备发送上行数据和/或信令的同时，还向第二网络设备发送签名与该终端设备的标识。该签名用于通知第二网络设备为终端设备分配资源。

可选地，在本实施例中，终端还可以向第二网络设备发送下列信息中的任一种或多种：预配置参数索引号，MAC-I，缓存状态报告(Buffer Status Report，BSR)，PDCP包相关的计数值(COUNT)和包序号(Sequence Number，SN)，以及第一网络设备的信息。

可选地，在本实施例中，如果终端设备利用初始发送组的资源向第二网络设备发送上行数据和/或信令时，发送失败，终端设备还可以使用重传组的资源继续发送。

本实施例中，该终端设备将该第二网络设备的Grant-free资源确定为第二网络设备的上行资源，能够提高与第二网络设备进行通信的效率。

2)终端设备可以通过随机接入(Radom Access，RA)过程获得第二网络设备的上行资源。

可选地，在某些实施例中，该方法200还包括：终端设备移动到第二网络设备的小区后，获得该第二网络设备的系统消息；终端设备发起RA过程，获得第二网络设备的免授权(Grant-free)资源；该终端设备在需要发送上行数据时，向第二网络设备发送前导序列，该前导序列用于通知第二网络设备为终端设备分配资源，可选地，还可以发送该终端设备的标识；终端设备接收第二网络设备发送的根据该前导序列分配的资源；可选地，终端设备根据第二网络设备分配的资源向第二网络设备发送缓存状态报告(Buffer Status Report，BSR)；第二网络设备根据终端设备发送的BSR，向终端设备发送上行授权资源(UL Grant)，即该终端设备获得到第二网络设备的上行资源。

具体地，该终端设备还根据第二网络设备发送的UL Grant，向第二网络设备发送RRC连接请求，该RRC连接请求中携带该终端设备的标识。

应理解，该终端设备获得到第二网络设备的系统消息后，终端设备读取该系统消息中的公共陆地移动网络(Public Land Mobile Network，PLMN)信息，确定该第二网络设备的小区的无线接入技术(Radio Access Technology，RAT)类型与第一网络设备的小区的RAT类型不同。

还应理解，如果该终端设备通过读取该系统消息，获知该第二网络设备的基于RAN的寻呼区(Paging Area，PA)与第一网络设备的PA相同，则该终端设备不向第二网络设备发起基于RAN的寻呼区更新信令。如果该终端设备通过读取该系统消息，获知该第二网络设备的基于RAN的寻呼区(Paging Area，PA)与第一网络设备的PA不同，即PA发生改变，则该终端设备可以向第二网络设备发起基于RAN的寻呼区更新信令。

可选地，在某些实施例中，第二网络设备的系统消息中还携带至少一种业务对应的用户面(User Plane，UP)的预配置参数信息，该方法200还包括：终端设备根据所述预配置参数信息对应的业务，确定将要发送的该上行数据。换句话说，在步骤220中，终端设备根据该预配置参数信息对应的业务，向第二网络设备发送上行数据。

具体地，例如，该预配置参数信息还可以包括分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)、无线链路层控制协议(Radio Link Control，RLC)、媒体接入控制(Media Access Control，MAC)、或物理层(PHY)的配置信息和配置索引号。

在本实施例中，例如，在该终端设备需要添加新的业务，并发送新的业务类型的数据的场景中，该终端设备无需与第二网络设备建立RRC连接，就可以根据该预配置参数信息，向第二网络设备发送该至少一种业务的数据，从而提高终端设备与切换后的网络设备进行数据传输的效率。

可选地，在某些实施例中，第二网络设备的系统消息中还携带至少一种服务质量(Quality of Service，QoS)对应的用户面的预配置参数信息；该方法200还包括：该终端设备根据所述预配置参数信息对应的QoS，确定将要发送的该上行数据。

在本实施例中，该终端设备无需与第二网络设备建立RRC连接，就可以根据该预配置参数信息，向第二网络设备发送该至少一种QoS对应的数据，从而提高终端设备与切换后的网络设备进行数据传输的效率。

3)终端设备从第一网络设备获得第二网络设备的上行资源。

可选地，在某些实施例中，第一网络设备向终端设备发送的RRC释放消息中还携带至少一个小区的预配置的免授权的上行资源，例如，与第一网络设备同在一个基于RAN的寻呼区(RAN-based Paging Area，RAN-based PA)内的其他网络设备的小区的预配置的免授权的上行资源。假设第二网络设备与第一网络设备属于同一个基于RAN的寻呼区，则终端设备在接收到第一网络设备发送的RRC释放消息后，可以获得第二网络设备的预配置的免授权的上行资源。

可选地，在上述某些实施例中，终端设备可以通过MAC层数据信令或控制信令，发送第一消息。

例如，终端设备通过MAC层协议数据单元(MAC Protocol Data Unit，MAC PDU)发送该第一消息。

可选地，在上述某些实施例中，该终端设备可以通过用户面数据包向第二网络设备发送该第一消息。

例如，终端设备通过用户面包数据汇聚层(Packet Data Convergence Protocol，PDCP)发送该第一消息。

可选地，在上述某些实施例中，该终端设备可以通过RRC信令向第二网络设备发送该第一消息。

具体地，在步骤230中，第一网络设备向第二网络设备发送安全密钥的信息，以便于第二网络设备后续可以根据该安全密钥解析终端设备发送的上行数据和/或信令。

其中，第一网络设备发送的安全密钥的信息可以是用于生成该安全密钥的参数信息，或者直接是安全密钥本身。需要说明的是，第一网络设备发送的安全密钥的信息所对应的安全密钥与步骤210中终端设备获得的安全密钥是同一个密钥。例如，如果步骤210中终端设备将上下文信息中保存的密钥作为该安全密钥，则第一网络设备向第二网络设备发送的安全密钥的信息可以是该上下文信息。如果步骤210中，终端设备根据第二网络设备的标识信息与上下文信息中保存的密钥生成该安全密钥(对应于上文描述的获得安全密钥的第二种实现方式)，则第一网络设备向第二网络设备发送的安全密钥的信息包括该上下文信息以及用于指示第二网络设备的标识信息的指示信息(或者直接是第二网络设备的标识信息本身)。

具体地，在步骤240之后，第二网络设备可以间接地或直接地将终端设备发送的上行数据和/或信令发送至核心网。

可选地，作为一个实施例，终端设备发送的第一消息还包括第一网络设备的标识信息，第一网络设备的标识信息包括第一网络设备的小区信息和/或第一网络设备的设备信息；该通信方法200还包括：第二网络设备根据第一网络设备的标识信息，向第一网络设备发送上行数据和/或信令，以使得第一网络设备将上行数据发送至核心网，信令为非接入层信令。

应理解，该实施例描述的是第二网络设备间接地将终端设备发送的上行数据和/或信令发送至核心网的方案。

可选地，作为一种实现方式，该终端设备的标识中也可以携带该第一网络设备的标识信息。这种情况下，该第一消息中携带该终端设备的标识，就能够使得第二网络设备获取到第一网络设备的标识信息。

具体地，该第一网络设备的小区信息例如为第一网络设备的小区标号或小区标识。该第一网络设备的设备信息例如为第一网络设备的设备编号、GPRS隧道协议(GPRS Tunneling Protocol，GTP)隧道端点信息、IP地址或MAC地址。其中，GTP隧道端点信息包括传输层地址(Transport Layer Address)和隧道端点标识符(Tunnel Endpoint Identifier，TEID)。

在本申请实施例中，第二网络设备通过终端设备上一次驻留的第一网络设备向核心网转发终端设备的上行数据和/或信令，这样能够提高通信效率，同时也能够节省成本。

需要说明的是，在该第二网络设备间接地向核心网发送该上行数据和/或信令的方案中，如果终端设备是通过PDCP SDU，即IP包向第二网络设备发送该第一消息，则第二网络设备可以直接将该第一消息转发至第一网络设备。如果终端设备是通过PDCP PDU，或RLC PDU，或MAC PDU或层1码流向第二网络设备发送该第一消息，则在第二网络设备向第一网络设备发送该第一消息之前，第一网络设备需要对第二网络设备进行针对该终端设备的配置，例如包括用户面配置等。

可选地，作为一个实施例，该方法200还包括：该第二网络设备获得上下文信息；该第二网络设备根据该上下文信息，与该核心网建立通信路径；该第二网络设备根据该通信路径，向该核心网发送该上行数据和/或信令。

应理解，第二网络设备可以从上下文信息中获得终端设备的数据的传输路径信息。

应理解，该实施例描述的是第二网络设备直接地将终端设备发送的上行数据和/或信令发送至核心网的方案。

在本申请实施例中，第二网络设备基于上下文信息与核心网连接，从而可以在无需与终端设备建立RRC连接的情况下，转发终端设备的上行数据至核心网。

可选地，在一些实施例中，第二网络设备可以通过第一网络设备预先发送的终端设备上下文通知消息获得上下文信息。

可选地，在一些实施例中，第二网络设备可以在接收到该终端设备的第一消息之后向第一网络设备请求该上下文信息。

换句话说，当第二网络设备中没有保存该上下文信息时，第二网络设备可以向终端设备上一次驻留的第一网络设备请求上下文信息。

可选地，在该第二网络设备直接地向核心网发送该上行数据的实施例中，该方法还包括：该第二网络设备从该核心网获得新的下一跳链式计数器(Next Hop Chaining Counter，NCC)信息；该第二网络设备向该终端设备发送该新的NCC，用于指示该终端设备利用该新的NCC确定新的安全密钥，并利用该新的安全密钥加密下一次发送的上行数据；该终端设备根据该新的NCC与该安全密钥，生成新的安全密钥，并在后续数据传输过程中使用该新的安全密钥加密。

在本实施例中，在第二网络设备与终端设备进行过至少一次数据传输后，重新确定新的安全密钥，能够进一步提高数据传输的安全性。

可选地，在该第二网络设备直接地向核心网发送该上行数据的实施例中，该方法还包括：该第二网络设备确定是否需要更新该上下文信息。

具体地，该第二网络设备根据以下至少一种信息确定是否需要更新该上下文信息：该终端设备的上行数据的大小，该终端设备的上行数据的发送频率，该第二网络设备的负荷，该第二网络设备的用户连接数和该终端设备的上行业务信息。

例如，协议规定，当该终端设备的上行数据的大小超过阈值，或当该终端设备的上行数据的发送频率超过阈值，或该第二网络设备的负荷超过阈值，或该第二网络设备的用户连接数超过阈值，或者该终端设备的上行业务信息满足预设条件时，第二网络设备确定需要更新该上下文信息。

可选地，在一些实施例中，该方法200还包括：所述第二网络设备向所述终端设备发送响应消息，所述响应消息包括所述终端设备的标识。

应理解，该响应消息用于告知该第二网络设备成功接收到该终端设备发送的第一消息。

可选地，该响应消息还包括以下信息中的至少一种：是否更新所述上下文信息的指示信息，是否进入RRC连接态的指示信息，是否保持在非激活态的指示信息，新的安全信息，无线接入网络区域的更新信息，进入RRC连接态的指示信息，保持在非激活态的指示信息，进入RRC空闲态的指示信息；该方法200还包括：该终端设备根据该响应消息中携带的指示信息，执行相应的操作。

例如，当该响应消息包括用于指示更新所述上下文信息的指示信息时，该终端设备释放之前保留的上下文，准备接收第二网络设备为该终端设备配置的新的上下文。当该响应消息包括用于指示进入RRC连接态的指示信息时，该终端设备向该第二网络设备发送RRC连接请求。当该响应消息包括用于指示保持在非激活态的指示信息时，该终端设备继续保持非激活态，即不与该第二网络设备建立RRC连接。

可选地，如果终端设备收到第二网络设备的该响应消息指示失败反馈，或者没收到该响应消息，终端设备可以执行如下动作：

释放保存的上下文信息，进入空闲态；或者

保持在非激活态，将安全信息回退后，重新选择小区(网络设备)，再次发起与网络设备建立通信的过程；或者

保持在非激活态，将安全信息回退后，重新选择小区(网络设备)，进入RRC连接建立流程；或者

需要将安全信息回退后，重新选择小区(网络设备)，进入RRC连接重建立流程。

应理解，终端收到第二网络设备的失败反馈或者没收到反馈的原因可能包括以下因素的任一种或多种的组合：安全验证失败，配置不支持，功能不支持，无效配置，定时器超时。

为了便于更好地理解本申请实施例提供的通信方法，下文将结合图3至图6详细描述一些具体实施例。

图3为本申请实施例提供的通信方法300的另一示意性流程图。为了描述的方便，在图3的描述中，采用GNB1表示第一网络设备，采用GNB2表示第二网络设备，采用CN(Core Network)表示核心网设备。应理解，GNB1与GNB2仅为描述方便进行的区分，并不用来限制本申请实施例的范围。如图3所示，该方法300包括：

301，GNB1向终端设备发送RRC释放消息。

可选地，该RRC释放消息可以隐式地指示终端设备进入非激活态。例如，该RRC释放消息携带终端设备进入非激活态的指示。可选地，该RRC释放消息也可以显示地指示终端设备进入非激活态，例如，该RRC释放消息直接指示该终端设备进入非连接态。

当该RRC释放消息显示地指示终端设备进入非激活态的情形下，该RRC释放消息例如可以是RRC消息，MAC信令，或物理层控制信令。该RRC释放消息可以是单播消息，组播消息或广播消息。

302，终端设备释放与该GNB1的RRC连接，而且保留该终端设备在GNB1下的上下文信息，即进入非激活态(RRC inactive)。

303，终端设备移动到GNB2的小区后，获得GNB2的上行资源。

可选地，可以通过GNB2的系统消息，获得GNB2的上行资源。

可选地，还可以利用随机接入(Radom Access，RA)过程请求GNB2为终端设备分配上行资源。

具体描述参见上文，这里不再赘述。

304，终端设备获得安全密钥。

具体地，该安全密钥可以直接是该上下文信息中保存的密钥。或者，该安全密钥是根据GNB2的标识信息与该上下文信息中保存的密钥确定的。或者，该安全密钥是根据GNB2的标识信息与GNB1配置的安全信息确定的，该安全信息例如为上文所述的GNB1为终端设备配置的终端设备下次发起RRC连接恢复或者发送上行数据需要的安全信息。或者，该安全密钥是根据GNB1的标识信息与GNB1配置的安全信息确定的。这里提及的GNB(GNB1或GNB2)的标识信息可以是GNB的小区信息或GNB的频率信息。

305，终端设备利用GNB2的上行资源，向GNB2发送上行数据(DATA)，还发送终端设备的标识。

该终端设备的标识可以是该终端设备自己生成的标识，也可以是GNB1为连接态下的该终端设备分配的标识，还可以是GNB1为非激活态下的该终端设备分配的标识。

可选地，在步骤306中，终端设备在发送终端设备的标识与上行数据的同时，还可以发送MAC-I或shortMAC-I。MAC-I或shortMAC-I可以是按照该安全密钥推演出来的。

终端设备采用安全密钥向GNB2发送上行数据，还通过发送MAC-I保证数据的完整性保护，能够有效提高终端设备与GNB2之间数据传输的安全性。

306，GNB2通过GNB1获得安全密钥的信息。GNB2根据安全密钥的信息解析终端设备发送的上行数据。

具体参见上文关于步骤230的描述，这里不再赘述。

307，GNB2接收到终端设备发送的上行数据后，发现本地没有该上下文信息，则向该终端设备上一次驻留的GNB1请求该上下文信息。

308，GNB1向GNB2发送用于指示该上下文信息的终端设备上下文请求响应。

应理解，GNB2获得该上下文信息后，可以获得终端设备在连接态下的数据传输路径。

可选地，GNB2可以在本地保存该上下文信息。

309，GNB2根据该上下文信息，向CN发送路径切换请求。

310，CN向GNB2发送路径切换请求响应，该路径切换请求响应可以包括新的NCC。

该新的NCC用于确定新的安全密钥。

311，GNB2向CN发送该终端设备发送的上行数据。

312，GNB2向终端设备发送响应消息，该响应消息中包括终端设备的标识与CN发送的新的NCC，还可以包括MAC-I。

应理解，该终端设备的标识用于告知GNB2成功接收到终端设备发送的上行数据。该新的NCC用于指示终端设备根据该新的NCC确定新的安全密钥。MAC-I用于完整性保护。

如果GNB2没有明确指示，终端设备可以继续保持在非激活态(RRC inactive)。

313，终端设备基于新的NCC获得新的安全密钥加密。

314，终端设备再次向GNB2发送加密后的上行数据，同时还发送终端设备的标识，还发送MAC-I，该上行数据采用新的安全密钥加密。

315，GNB2向核心网转发终端设备发送的上行数据。

可选地，GNB2可以向终端设备发送响应消息，该响应消息包括终端设备的标识与MAC-I。

可选地，如果终端设备收到GNB2发送的响应消息指示失败反馈，或者没收到响应消息，终端设备可以执行如下动作：

释放保存的上下文信息，进入空闲态；或者

应理解，终端收到GNB2的失败反馈或者没收到反馈的原因可能包括以下因素的任一种或多种的组合：安全验证失败，配置不支持，功能不支持，无效配置，定时器超时。

在本实施中，终端设备可以一直保持在非激活态，基于该上下文信息，与GNB2进行数据传输。或者，终端设备也可以向GNB2发送RRC连接恢复请求，进入连接态，与GNB2进行数据传输。

在本实施例中，非激活态的终端设备与网络设备GNB2传输数据的过程中，采用安全密钥加密数据，能够有效提高数据传输的安全性。

图4为本申请实施例提供的通信方法400的再一示意性流程图。在图4的描述中，也采用GNB1表示第一网络设备，采用GNB2表示第二网络设备，采用CN(Core Network)表示核心网设备。应理解，GNB1与GNB2仅为描述方便进行的区分，并不用来限制本申请实施例的范围。如图4所示，该方法400包括：

401，GNB1向终端设备发送RRC释放消息。同步骤301。

402，终端设备释放与该GNB1的RRC连接，但保留该上下文信息，即进入非激活态(RRC inactive)。同步骤302。

403，GNB1向相邻网络设备(包括GNB2)发送上下文信息通知消息，上下文信息通知消息包括该终端设备的上下文信息。

可选地，GNB2接收到GNB1发送的上下文通知消息后，可以向GNB1发送响应消息。

404，GNB2根据GNB1发送的上下文通知消息，获得该上下文信息，并保存。

如图4所示，GNB2还可以向GNB1发送针对上下文通知消息的响应消息。

405，终端设备移动到GNB2的小区后，获得GNB2的上行资源。同步骤303。

406，终端设备获得安全密钥。同步骤304。

407，终端设备利用GNB2的上行资源，向GNB2发送上行数据(DATA)，还发送终端设备的标识。同步骤306。

需要说明的是，在本实施例中，步骤403与步骤404在步骤407之前执行。步骤403与404，与步骤401与402，没有严格先后顺序的限制。

408，GNB2通过GNB1获得安全密钥的信息。GNB2根据安全密钥的信息解析终端设备发送的上行数据。

具体参见上文关于步骤230的描述，这里不再赘述。

409，GNB2接收到终端设备发送的上行数据后，根据该上下文信息，向CN发送路径切换请求。同步骤309。

410，CN向GNB2发送路径切换请求响应，该路径切换请求响应可以包括新的NCC。

该新的NCC用于确定新的安全密钥。同步骤310。

411，GNB2向CN发送该终端设备发送的上行数据。同步骤311。

412，GNB2向终端设备发送响应消息，该响应消息中包括终端设备的标识与CN发送的新的NCC，还可以包括MAC-I。同步骤312。

如果GNB2没有明确指示，终端设备继续保持在非激活态(RRC inactive)。

413，终端设备基于新的NCC获得新的安全密钥加密。同步骤313。

414，终端设备再次向GNB2发送加密后的上行数据，同时还发送终端设备的标识，还发送MAC-I，该上行数据采用新的安全密钥加密。同步骤314。

415，GNB2向核心网转发终端设备发送的上行数据。同步骤315。

释放保存的上下文信息，进入空闲态；或者

对比图3与图4可知，在图4所示的实施例中，由于GNB2预先通过GNB1发送的该上下文信息通知消息获得了该上下文信息(如图4所示的步骤403与步骤404)，因此，当GNB2接收到终端设备发送的上行数据后，就可以直接利用本地已经保存的该上下文信息，将该上行数据转发至核心网了，从而能够有效提高数据传输的效率，有效降低传输时延。

在图3与图4的描述中，GNB2直接向核心网转发终端设备的上行数据。下文结合图5，描述GNB2通过GNB1间接向核心网转发终端设备的上行数据的方案。

图5为本申请实施例提供的通信方法500的再一示意性流程图。在图5的描述中，也采用GNB1表示第一网络设备，采用GNB2表示第二网络设备。应理解，GNB1与GNB2仅为描述方便进行的区分，并不用来限制本申请实施例的范围。如图5所示，该方法500包括：

501，GNB1向终端设备发送RRC释放消息。同步骤301。

502，终端设备释放与该GNB1的RRC连接，但保留终端设备在GNB1的上下文信息，即进入非激活态(RRC inactive)。同步骤302。

503，终端设备移动到GNB2的小区后，获得GNB2的上行资源。同步骤303。

504，终端设备获得安全密钥。同步骤304。

505，终端设备利用GNB2的上行资源，向GNB2发送上行数据(DATA)，还发送终端设备的标识。同步骤305。

506，GNB2通过GNB1获得安全密钥的信息。

具体参见上文关于步骤230的描述，这里不再赘述。

507，GNB2获得GNB1的标识信息，GNB1的标识信息包括GNB1的小区信息和/或GNB1的设备信息，具体解释参见上文相关描述。

508，GNB2根据GNB1的标识信息，向GNB2发送终端设备的上行数据。

509，GNB1向CN转发终端设备的上行数据。

图6为本申请实施例提供的通信方法600的再一示意性流程图。在图6的描述中，也采用GNB1表示第一网络设备，采用GNB2表示第二网络设备。应理解，GNB1与GNB2仅为描述方便进行的区分，并不用来限制本申请实施例的范围。如图6所示，该方法600包括：

601，GNB1向终端设备发送RRC释放消息。同步骤301。

602，终端设备释放与该GNB1的RRC连接，但保留终端设备在GNB1的上下文信息，即进入非激活态(RRC inactive)。同步骤302。

603，终端设备移动到GNB2的小区后，获得GNB2的上行资源。同步骤303。

604，终端设备获得安全密钥。同步骤304。

605，终端设备获得到GNB2的系统消息后，终端设备读取该系统消息中的PLMN信息，获知GNB2的小区的RAT类型与GNB1的小区的RAT类型不同，还获知GNB2的基于RAN的寻呼区(Paging Area，PA)与GNB1的PA不同，即发生基于RAN的寻呼区更新。

606，终端设备根据GNB2的上行资源向GBN2发送加密后的基于RAN的寻呼区更新信令，同时还发送该终端设备的标识与MAC-I，其中，该基于RAN的寻呼区更新信令采用安全密钥加密。

非激活态的终端设备采用安全密钥向GNB2发送基于RAN的寻呼区更新信令，还通过发送MAC-I保证数据的完整性保护，能够有效提高终端设备与GNB2之间数据传输的安全性。

607，GNB2通过GNB1获得安全密钥的信息。

具体参见上文关于步骤230的描述，这里不再赘述。

608，GNB2接收到终端设备发送的基于RAN的寻呼区更新信令后，获得该上下文信息。

具体地，GNB2可以采用图3或图4中所示的方法，获得该上下文信息。

例如，如果GNB2接收到终端设备发送的基于RAN的寻呼区更新信令后，发现本地没有该上下文信息，则向该终端设备上一次驻留的GNB1请求该上下文信息，如图3所示的步骤306与步骤307。

再例如，在GNB2接收到终端设备发送的基于RAN的寻呼区更新信令之前，已经收到GNB1发送的该上下文信息通知消息，如图4中所示的步骤403与步骤404。则在GNB2接收到终端设备发送的基于RAN的寻呼区更新信令后，就可以直接利用本地已经存储的该上下文信息处理该基于RAN的寻呼区更新信令了。

609，GNB2处理该基于RAN的寻呼区更新信令。

GNB2根据安全秘钥的信息解析该基于RAN的寻呼区更新信令。

610，GNB2向终端设备发送包括终端设备的标识的基于RAN的寻呼区更新响应。

在本实施例中，非激活态的终端设备可以向网络设备发送基于RAN的寻呼区更新信令，并采用安全密钥加密，能够提高信令传输的安全性。

上文结合图2至图6，描述了本申请实施例提供的通信方法，下面结合图7至图10描述本申请实施例提供的终端设备与网络设备。

图7为本申请实施例提供的终端设备700的示意性框图，终端设备700包括：

处理模块710，用于获得安全密钥，终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留终端设备在第一网络设备的上下文信息的状态；

收发模块720，用于向第二网络设备发送第一消息，第一消息包括终端设备的标识，以及加密后的上行数据和/或信令，加密后的上行数据和/或信令是使用安全密钥加密的，第二网络设备不同于第一网络设备。

可选地，作为一个实施例，安全密钥包括上下文信息中保存的密钥。

可选地，作为一个实施例，安全密钥不同于终端设备与第一网络设备进行通信所采用的密钥。

可选地，作为一个实施例，处理模块710用于获得安全密钥，包括：

处理模块710用于，根据第二网络设备的标识信息获得安全密钥，第二网络设备的标识信息包括第二网络设备的小区信息和/或第二网络设备的频率信息。

可选地，作为一个实施例，收发模块720还用于，获得第一网络设备为终端设备配置的安全信息；

处理模块710用于获得安全密钥，包括：

处理模块710用于，根据安全信息与第二网络设备的标识信息，获得安全密钥，第二网络设备的标识信息包括第二网络设备的小区信息和/或第二网络设备的频率信息；或

处理模块710用于，根据安全信息与第一网络设备的标识信息，获得安全密钥，其中，第一网络设备的标识信息包括第一网络设备的小区信息和/或第一网络设备的频率信息。

可选地，作为一个实施例，处理模块710还用于，使用下列信息中的任一种获得安全密钥：

上下文信息中携带的计数器的值，

从第一网络设备获得的计数器的值，

第一网络设备的系统消息中携带的计数器的值，

系统预定义的计数器的值。

可选地，作为一个实施例，第一消息包括上行数据，处理模块710还用于，在终端设备移动到第二网络设备的小区后，获得第二网络设备的系统消息，系统消息包括至少一种业务对应的用户面的预配置参数信息；根据预配置参数信息对应的业务，确定上行数据。

可选地，作为一个实施例，第一消息是通过用户面数据包发送的。

可选地，作为一个实施例，第一消息还包括第一网络设备的标识信息，以便于第二网络设备通过第一网络设备将上行数据和/或信令发送至核心网，其中，第一网络设备的标识信息包括第一网络设备的小区信息和/或第一网络设备的设备信息，信令为非接入层信令。

可选地，作为一个实施例，收发模块720还用于，接收第二网络设备发送的响应消息，响应消息包括以下信息中的至少一种：

终端设备的标识，是否更新上下文信息的指示信息，是否进入RRC连接态的指示信息，

是否保持在非激活态的指示信息，新的安全信息，无线接入网络区域的更新信息。

应理解，本申请实施例中的处理模块710可以由处理器或处理器相关电路组件实现，收发模块720可以由收发器或收发器相关电路组件实现。

如图8所示，本申请实施例还提供一种终端设备800，该终端设备800包括处理器810，存储器820与收发器830，其中，存储器820中存储指令或程序，处理器810用于执行存储器820中存储的指令或程序。存储器820中存储的指令或程序被执行时，该处理器810用于执行上述实施例中处理模块710执行的操作，收发器830用于执行上述实施例中收发模块720执行的操作。

图9为本申请实施例提供的网络设备900的示意性流程图，该网络设备900包括：

收发模块910，用于接收终端设备发送的第一消息，第一消息包括终端设备的标识，以及加密后的上行数据和/或信令，加密后的上行数据和/或信令是使用安全密钥加密的，终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留终端设备在第一网络设备的上下文信息的状态，第一网络设备不同于网络设备；

处理模块920，用于通过第一网络设备获得安全密钥的信息；

处理模块920还用于，根据安全密钥的信息，解析上行数据和/或信令。

可选地，作为一个实施例，安全密钥是根据网络设备的标识信息确定的，网络设备的标识信息包括网络设备的小区信息和/或网络设备的频率信息。

可选地，作为一个实施例，安全密钥是根据网络设备的标识信息与第一网络设备为终端设备配置的安全信息确定的，网络设备的标识信息包括网络设备的小区信息和/或网络设备的频率信息；或

安全密钥是根据第一网络设备的标识信息与安全信息确定的，第一网络设备的标识信息包括第一网络设备的小区信息和/或第一网络设备的频率信息。

可选地，作为一个实施例，确定安全密钥的信息还包括下列信息中的任一种：

上下文信息中保存的计数器的值，

终端设备从第一网络设备获得的计数器的值，

第一网络设备的系统消息中携带的计数器的值，

系统预定义的计数器的值。

可选地，作为一个实施例，第一消息包括上行数据，网络设备的系统消息包括至少一种业务对应的用户面的预配置参数信息，以便于终端设备根据预配置参数信息对应的业务确定上行数据。

可选地，作为一个实施例，第一消息还包括第一网络设备的标识信息，第一网络设备的标识信息包括第一网络设备的小区信息和/或第一网络设备的设备信息；

收发模块910还用于，根据第一网络设备的标识信息，向第一网络设备发送上行数据和/或信令，以使得第一网络设备将上行数据和/或信令发送至核心网，信令为非接入层信令。

可选地，作为一个实施例，第一消息中包括上行数据；

处理模块920还用于，获得上下文信息；网络设备根据上下文信息，与核心网建立通信路径；

收发模块910还用于，根据通信路径，向核心网发送上行数据。

可选地，作为一个实施例，处理模块920还用于，获得上下文信息：

处理模块920用于，通过第一网络设备发送的上下文信息通知获得上下文信息，或

处理模块920用于，向第一网络设备请求上下文信息。

可选地，作为一个实施例，处理模块920还用于，从核心网获得新的下一跳链式计数器NCC信息；

收发模块910还用于，向终端设备发送新的NCC，用于指示终端设备利用新的NCC确定新的安全密钥，并利用新的安全密钥加密下一次发送的上行数据。

可选地，作为一个实施例，处理模块920还用于，根据下列至少一种信息确定是否需要更新上下文信息：

终端设备的上行数据的大小，终端设备的上行数据的发送频率，网络设备的负荷，网络设备的用户连接数，终端设备的上行业务信息。

可选地，作为一个实施例，收发模块910还用于，针对第一消息，向终端设备发送响应消息，响应消息包括以下信息中的至少一种：

终端设备的标识，是否更新上下文信息的指示信息，是否进入RRC连接态的指示信息，是否保持在非激活态的指示信息，新的安全信息，无线接入网络区域的更新信息。

应理解，本申请实施例中的处理模块920可以由处理器或处理器相关电路组件实现，收发模块910可以由收发器或收发器相关电路组件实现。

如图10所示，本申请实施例还提供一种网络设备1000，该网络设备1000包括处理器1010，存储器1020与收发器1030，其中，存储器1020中存储指令或程序，处理器1010用于执行存储器1020中存储的指令或程序。存储器1020中存储的指令或程序被执行时，该处理器1010用于执行上述实施例中处理模块920执行的操作，收发器1030用于执行上述实施例中收发模块910执行的操作。

本申请实施例还提供一种通信装置，该通信装置可以是终端设备也可以是电路。该通信装置可以用于执行上述方法实施例中由终端设备所执行的动作。

当该通信装置为终端设备时，图11示出了一种简化的终端设备的结构示意图。便于理解和图示方便，图11中，终端设备以手机作为例子。如图11所示，终端设备包括处理器、存储器、射频电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对终端设备进行控制，执行软件程序，处理软件程序的数据等。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。需要说明的是，有些种类的终端设备可以不具有输入输出装置。

当需要发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。为便于说明，图11中仅示出了一个存储器和处理器。在实际的终端设备产品中，可以存在一个或多个处理器和一个或多个存储器。存储器也可以称为存储介质或者存储设备等。存储器可以是独立于处理器设置，也可以是与处理器集成在一起，本申请实施例对此不做限制。

在本申请实施例中，可以将具有收发功能的天线和射频电路视为终端设备的收发单元，将具有处理功能的处理器视为终端设备的处理单元。如图11所示，终端设备包括收发单元1110和处理单元1120。收发单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器，处理单板，处理模块、处理装置等。可选的，可以将收发单元1110中用于实现接收功能的器件视为接收单元，将收发单元1110中用于实现发送功能的器件视为发送单元，即收发单元1110包括接收单元和发送单元。收发单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。

应理解，收发单元1110用于执行上述方法实施例中终端设备侧的发送操作和接收操作，处理单元1120用于执行上述方法实施例中终端设备上除了收发操作之外的其他操作。

例如，在一种实现方式中，收发单元1110用于执行图2中的步骤220中终端设备侧的发送操作，和/或收发单元1110还用于执行本申请实施例中终端设备侧的其他收发步骤。处理单元1120，用于执行图2中的步骤210，和/或处理单元1120还用于执行本申请实施例中终端设备侧的其他处理步骤。

再例如，在另一种实现方式中，收发单元1110用于执行图3中步骤301与步骤312中终端设备侧的接收操作或步骤305中终端设备侧的发送操作，和/或收发单元1120还用于执行本申请实施例中终端设备侧的其他收发步骤。处理单元1120用于执行图3中的步骤302、步骤303、与步骤304，和/或处理单元1120还用于执行本申请实施例中终端设备侧的其他处理步骤。

又例如，在再一种实现方式中，收发单元1110用于执行图4中步骤401和步骤412中终端设备侧的接收操作或步骤407与步骤414中终端设备侧的发送操作，和/或收发单元1110还用于执行本申请实施例中终端设备侧的其他收发步骤。处理单元1120，用于执行图4中的步骤402、步骤405、步骤406和步骤413，和/或处理单元1120还用于执行本申请实施例中终端设备侧的其他处理步骤。

又例如，在再一种实现方式中，收发单元1110用于执行图5中步骤501中终端设备侧的接收操作或步骤505中终端设备侧的发送操作，和/或收发单元1110还用于执行本申请实施例中终端设备侧的其他收发步骤。处理单元1120，用于执行图5中的步骤502、步骤503和步骤504，和/或处理单元1120还用于执行本申请实施例中终端设备侧的其他处理步骤。

又例如，在再一种实现方式中，收发单元1110用于执行图6中步骤601和步骤610中终端设备侧的接收操作或步骤606中终端设备侧的发送操作，和/或收发单元1110还用于执行本申请实施例中终端设备侧的其他收发步骤。处理单元1120，用于执行图6中的步骤602、步骤603、步骤604和步骤605，和/或处理单元1120还用于执行本申请实施例中终端设备侧的其他处理步骤。

当该通信装置为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路、通信接口；处理单元为该芯片上集成的处理器或者微处理器或者集成电路。

应理解，本申请实施例中提及的处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)集成在处理器中。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims

一种通信方法，其特征在于，包括：

终端设备获得安全密钥，所述终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留所述终端设备在所述第一网络设备的上下文信息的状态；

所述终端设备向第二网络设备发送第一消息，所述第一消息包括所述终端设备的标识，以及加密后的上行数据和/或信令，所述加密后的上行数据和/或信令是使用所述安全密钥加密的，所述第二网络设备不同于所述第一网络设备。
根据权利要求1所述的通信方法，其特征在于，所述安全密钥包括所述上下文信息中保存的密钥。
根据权利要求1所述的通信方法，其特征在于，所述安全密钥不同于所述终端设备与所述第一网络设备进行通信所采用的密钥。
根据权利要求3所述的通信方法，其特征在于，所述终端设备获得安全密钥，包括：

所述终端设备根据所述第二网络设备的标识信息获得所述安全密钥，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息。
根据权利要求3所述的通信方法，其特征在于，所述通信方法还包括：所述终端设备获得所述第一网络设备为所述终端设备配置的安全信息；

所述终端设备获得安全密钥，包括：

所述终端设备根据所述安全信息与所述第二网络设备的标识信息，获得所述安全密钥，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息；或

所述终端设备根据所述安全信息与所述第一网络设备的标识信息，获得所述安全密钥，其中，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的频率信息。
根据权利要求4或5所述的通信方法，其特征在于，所述终端设备获得安全密钥，包括：所述终端设备还使用下列信息中的任一种获得所述安全密钥：

所述上下文信息中携带的计数器的值，

从所述第一网络设备获得的计数器的值，

所述第一网络设备的系统消息中携带的计数器的值，

系统预定义的计数器的值。
根据权利要求1至6中任一项所述的通信方法，其特征在于，所述第一消息包括所述上行数据，所述通信方法还包括：

所述终端设备移动到所述第二网络设备的小区后，获得所述第二网络设备的系统消息，所述系统消息包括至少一种业务对应的用户面的预配置参数信息；

所述终端设备根据所述预配置参数信息对应的业务，确定所述上行数据。
根据权利要求7所述的通信方法，其特征在于，所述第一消息是通过用户面数据包发送的。
根据权利要求1至8中任一项所述的通信方法，其特征在于，所述第一消息中还包括所述第一网络设备的标识信息，以便于所述第二网络设备通过所述第一网络设备将所述上行数据和/或所述信令发送至所述核心网，其中，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的设备信息，所述信令为非接入层信令。
根据权利要求1至9中任一项所述的通信方法，其特征在于，所述通信方法还包括：所述终端设备接收所述第二网络设备发送的响应消息，所述响应消息包括以下信息中的至少一种：

所述终端设备的标识，

是否更新所述上下文信息的指示信息，

是否进入RRC连接态的指示信息，

是否保持在非激活态的指示信息，

新的安全信息，

无线接入网络区域的更新信息，

进入RRC连接态的指示信息，

保持在非激活态的指示信息，

进入RRC空闲态的指示信息。
一种通信方法，其特征在于，包括：

第二网络设备接收终端设备发送的第一消息，所述第一消息包括所述终端设备的标识，以及加密后的上行数据和/或信令，所述加密后的上行数据和/或信令是使用安全密钥加密的，所述终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留所述终端设备在所述第一网络设备的上下文信息的状态，所述第一网络设备不同于所述第二网络设备；

所述第二网络设备通过所述第一网络设备获得所述安全密钥的信息；

所述第二网络设备根据所述安全密钥的信息，解析所述上行数据和/或信令。
根据权利要求11所述的通信方法，其特征在于，所述安全密钥包括所述上下文信息中保存的密钥。
根据权利要求11所述的通信方法，其特征在于，所述安全密钥不同于所述终端设备与所述第一网络设备进行通信所采用的密钥。
根据权利要求13所述的通信方法，其特征在于，所述安全密钥是根据所述第二网络设备的标识信息确定的，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息。
根据权利要求13所述的通信方法，其特征在于，所述安全密钥是根据所述第二网络设备的标识信息与所述第一网络设备为所述终端设备配置的安全信息确定的，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息；或

所述安全密钥是根据所述第一网络设备的标识信息与所述安全信息确定的，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的频率信息。
根据权利要求15所述的通信方法，其特征在于，确定所述安全密钥的信息还包括下列信息中的任一种：所述上下文信息中保存的计数器的值，所述终端设备从所述第一网络设备获得的计数器的值，所述第一网络设备的系统消息中携带的计数器的值，系统预定义的计数器的值。
根据权利要求11至16中任一项所述的通信方法，其特征在于，所述第一消息包括所述上行数据，所述第二网络设备的系统消息包括至少一种业务对应的用户面的预配置参数信息，以便于所述终端设备根据所述预配置参数信息对应的业务确定所述上行数据。
根据权利要求17所述的通信方法，其特征在于，所述第一消息是通过用户面数据包发送的。
根据权利要求11至18中任一项所述的通信方法，其特征在于，所述第一消息还包括所述第一网络设备的标识信息，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的设备信息；

所述通信方法还包括：

所述第二网络设备根据所述第一网络设备的标识信息，向所述第一网络设备发送所述上行数据和/或所述信令，以使得所述第一网络设备将所述上行数据发送至核心网，所述信令为非接入层信令。
根据权利要求11至18中任一项所述的通信方法，其特征在于，所述第一消息中包括所述上行数据，所述通信方法还包括：

所述第二网络设备获得所述上下文信息；

所述第二网络设备根据所述上下文信息，与所述核心网建立通信路径；

所述第二网络设备根据所述通信路径，向所述核心网发送所述上行数据。
根据权利要求20所述的通信方法，其特征在于，所述第二网络设备获得所述上下文信息，包括：

所述第二网络设备根据所述第一网络设备发送的所述上下文信息通知消息，获得所述上下文信息；或

所述第二网络设备向所述第一网络设备请求所述上下文信息。
根据权利要求20或21所述的通信方法，其特征在于，所述通信方法还包括：

所述第二网络设备从所述核心网获得新的下一跳链式计数器NCC信息；

所述第二网络设备向所述终端设备发送所述新的NCC，用于指示所述终端设备利用所述新的NCC确定新的安全密钥，并利用所述新的安全密钥加密下一次发送的上行数据。
根据权利要求11至22中任一项所述的通信方法，其特征在于，所述通信方法还包括：

所述第二网络设备根据下列至少一种信息确定是否需要更新所述上下文信息：

所述终端设备的上行数据的大小，

所述终端设备的上行数据的发送频率，

所述第二网络设备的负荷，

所述第二网络设备的用户连接数，

所述终端设备的上行业务信息。
根据权利要求11至23中任一项所述的通信方法，其特征在于，所述通信方法还包括：

所述第二网络设备针对所述第一消息，向所述终端设备发送响应消息，所述响应消息包括以下信息中的至少一种：

所述终端设备的标识，

是否更新所述上下文信息的指示信息，

是否进入RRC连接态的指示信息，

是否保持在非激活态的指示信息，

新的安全信息，

无线接入网络区域的更新信息，

进入RRC连接态的指示信息，

保持在非激活态的指示信息，

进入RRC空闲态的指示信息。
一种终端设备，其特征在于，包括：

处理模块，用于获得安全密钥，所述终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留所述终端设备在所述第一网络设备的上下文信息的状态；

收发模块，用于向第二网络设备发送第一消息，所述第一消息包括所述终端设备的标识，以及加密后的上行数据和/或信令，所述加密后的上行数据和/或信令是使用所述安全密钥加密的，所述第二网络设备不同于所述第一网络设备。
根据权利要求25所述的终端设备，其特征在于，所述安全密钥包括所述上下文信息中保存的密钥。
根据权利要求25所述的终端设备，其特征在于，所述安全密钥不同于所述终端设备与所述第一网络设备进行通信所采用的密钥。
根据权利要求27所述的终端设备，其特征在于，所述处理模块用于获得安全密钥，包括：

所述处理模块用于，根据所述第二网络设备的标识信息获得所述安全密钥，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息。
根据权利要求27所述的终端设备，其特征在于，所述收发模块还用于，获得所述第一网络设备为所述终端设备配置的安全信息；

所述处理模块用于获得安全密钥，包括：

所述处理模块用于，根据所述安全信息与所述第二网络设备的标识信息，获得所述安全密钥，所述第二网络设备的标识信息包括所述第二网络设备的小区信息和/或所述第二网络设备的频率信息；或

所述处理模块用于，根据所述安全信息与所述第一网络设备的标识信息，获得所述安全密钥，其中，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的频率信息。
根据权利要求28或29所述的终端设备，其特征在于，所述处理模块还用于，使用下列信息中的任一种获得所述安全密钥：

所述上下文信息中携带的计数器的值，

从所述第一网络设备获得的计数器的值，

所述第一网络设备的系统消息中携带的计数器的值，

系统预定义的计数器的值。
根据权利要求25至30中任一项所述的终端设备，其特征在于，所述第一消息包括所述上行数据，所述处理模块还用于，在所述终端设备移动到所述第二网络设备的小区后，获得所述第二网络设备的系统消息，所述系统消息包括至少一种业务对应的用户面的预配置参数信息；根据所述预配置参数信息对应的业务，确定所述上行数据。
根据权利要求31所述的终端设备，其特征在于，所述第一消息是通过用户面数据包发送的。
根据权利要求25至32中任一项所述的终端设备，其特征在于，所述第一消息还包括所述第一网络设备的标识信息，以便于所述第二网络设备通过所述第一网络设备将所述上行数据和/或所述信令发送至所述核心网，其中，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的设备信息，所述信令为非接入层信令。
根据权利要求25至33中任一项所述的终端设备，其特征在于，所述收发模块还用于，接收所述第二网络设备发送的响应消息，所述响应消息包括以下信息中的至少一种：

所述终端设备的标识，

是否更新所述上下文信息的指示信息，

是否进入RRC连接态的指示信息，

是否保持在非激活态的指示信息，

新的安全信息，

无线接入网络区域的更新信息，

进入RRC连接态的指示信息，

保持在非激活态的指示信息，

进入RRC空闲态的指示信息。
一种网络设备，其特征在于，包括：

收发模块，用于接收终端设备发送的第一消息，所述第一消息包括所述终端设备的标识，以及加密后的上行数据和/或信令，所述加密后的上行数据和/或信令是使用安全密钥加密的，所述终端设备处于断开与第一网络设备的无线资源控制RRC连接，并且保留所述终端设备在所述第一网络设备的上下文信息的状态，所述第一网络设备不同于所述网络设备；

处理模块，用于通过所述第一网络设备获得所述安全密钥的信息；

所述处理模块还用于，根据所述安全密钥的信息，解析所述上行数据和/或信令。
根据权利要求35所述的网络设备，其特征在于，所述安全密钥包括所述上下文信息中保存的密钥。
根据权利要求35所述的网络设备，其特征在于，所述安全密钥不同于所述终端设备与所述第一网络设备进行通信所采用的密钥。
根据权利要求37所述的网络设备，其特征在于，所述安全密钥是根据所述网络设备的标识信息确定的，所述网络设备的标识信息包括所述网络设备的小区信息和/或所述网络设备的频率信息。
根据权利要求37所述的网络设备，其特征在于，所述安全密钥是根据所述网络设备的标识信息与所述第一网络设备为所述终端设备配置的安全信息确定的，所述网络设备的标识信息包括所述网络设备的小区信息和/或所述网络设备的频率信息；或

所述安全密钥是根据所述第一网络设备的标识信息与所述安全信息确定的，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的频率信息。
根据权利要求39所述的网络设备，其特征在于，确定所述安全密钥的信息还包括下列信息中的任一种：

所述上下文信息中保存的计数器的值，

所述终端设备从所述第一网络设备获得的计数器的值，

所述第一网络设备的系统消息中携带的计数器的值，

系统预定义的计数器的值。
根据权利要求35至40中任一项所述的网络设备，其特征在于，所述第一消息包括所述上行数据，所述网络设备的系统消息包括至少一种业务对应的用户面的预配置参数信息，以便于所述终端设备根据所述预配置参数信息对应的业务确定所述上行数据。
根据权利要求41所述的网络设备，其特征在于，所述第一消息是通过用户面数据包发送的。
根据权利要求35至42中任一项所述的网络设备，其特征在于，所述第一消息还包括所述第一网络设备的标识信息，所述第一网络设备的标识信息包括所述第一网络设备的小区信息和/或所述第一网络设备的设备信息；

所述收发模块还用于，根据所述第一网络设备的标识信息，向所述第一网络设备发送所述上行数据和/或所述信令，以使得所述第一网络设备将所述上行数据和/或所述信令发送至核心网，所述信令为非接入层信令。
根据权利要求35至42中任一项所述的网络设备，其特征在于，所述第一消息中包括所述上行数据；

所述处理模块还用于，获得所述上下文信息；所述网络设备根据所述上下文信息，与所述核心网建立通信路径；

所述收发模块还用于，根据所述通信路径，向所述核心网发送所述上行数据。
根据权利要求44所述的网络设备，其特征在于，所述处理模块还用于，获得所述上下文信息：

所述处理模块用于，通过所述第一网络设备发送的所述上下文信息通知获得所述上下文信息，或

所述处理模块用于，向所述第一网络设备请求所述上下文信息。
根据权利要求44或45所述的网络设备，其特征在于，所述处理模块还用于，从所述核心网获得新的下一跳链式计数器NCC信息；

所述收发模块还用于，向所述终端设备发送所述新的NCC，用于指示所述终端设备利用所述新的NCC确定新的安全密钥，并利用所述新的安全密钥加密下一次发送的上行数据。
根据权利要求35至46中任一项所述的网络设备，其特征在于，所述处理模块还用于，根据下列至少一种信息确定是否需要更新所述上下文信息：

所述终端设备的上行数据的大小，

所述终端设备的上行数据的发送频率，

所述网络设备的负荷，

所述网络设备的用户连接数，

所述终端设备的上行业务信息。
根据权利要求35至47中任一项所述的网络设备，其特征在于，所述收发模块还用于，针对所述第一消息，向所述终端设备发送响应消息，所述响应消息包括以下信息中的至少一种：

所述终端设备的标识，

是否更新所述上下文信息的指示信息，

是否进入RRC连接态的指示信息，

是否保持在非激活态的指示信息，

新的安全信息，

无线接入网络区域的更新信息，

进入RRC连接态的指示信息，

保持在非激活态的指示信息，

进入RRC空闲态的指示信息。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1至10中任一项所述的通信方法。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求11至24中任一项所述的通信方法。