WO2018228444A1 - 连接管理方法、终端及无线接入网设备 - Google Patents

Abstract

本申请实施例提供一种连接管理方法、终端及无线接入网设备。本申请连接管理方法，包括：终端接收连接管理消息及完整性保护信息，所述完整性保护信息是根据所述连接管理消息使用第一安全算法生成的；所述终端根据所述第一安全算法和所述完整性保护信息对所述连接管理消息进行第一完整性效验；所述终端根据第一完整性校验的结果，执行第二完整性校验；所述终端根据第二完整性效验的结果执行连接管理过程。本申请实施例可以实现正确效验与解密，确保连接管理的正常执行。

Description

连接管理方法、终端及无线接入网设备

本申请要求于2017年6月16日提交中国专利局、申请号为201710458181.6、申请名称为“连接管理方法、终端及无线接入网设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术，尤其涉及一种连接管理方法、终端及无线接入网设备。

背景技术

随着无线通信技术的不断发展，非激活态被提出，该非激活态是有别于连接(Connected)态和空闲(Idle)态的另一种状态，终端处于非激活态时，会保存终端自身的上下文信息和与核心网连接的信息，还会保存锚点无线接入网(RAN)设备配置的位置管理区域信息。该位置管理区域信息对应一个位置管理区，终端在该位置管理区内移动时无需通知锚点RAN设备，超出该位置管理区时需要通过消息通知锚点RAN设备。

处于非激活态的终端需要进行连接管理时，可以向服务RAN设备发送连接管理请求消息，该连接管理请求消息包括终端的上下文标识，服务RAN设备根据该终端的上下文标识从锚点RAN设备处获取终端的上下文信息，服务RAN设备根据该终端的上下文信息确定终端使用的安全算法，服务RAN若不支持该安全算法，则服务RAN采用自身支持的安全算法发送的连接管理消息，不能被终端正确效验和解密，从而导致连接管理失败。

发明内容

本申请实施例提供一种连接管理方法、终端及无线接入网设备，可以完成连接管理过程。

第一方面，本申请实施例提供一种连接管理方法，包括：

终端接收连接管理消息及完整性保护信息，所述完整性保护信息是根据所述连接管理消息使用第一安全算法生成的；

所述终端根据所述第一安全算法和所述完整性保护信息对所述连接管理消息进行第一完整性效验；

所述终端根据第一完整性校验的结果，执行第二完整性校验，所述终端根据第二完整性效验的结果执行连接管理过程。

本实现方式，终端在接收到RAN设备发送的连接管理消息和完整性保护信息后，使用终端自身保存的第一安全算法对接收到的连接管理消息进行第一完整性效验，并根据第一完整性效验的结果确定使用第二安全算法执行第二完整性效验，进而执行连 接管理过程，从而实现正确效验与解密，确保连接管理的正常执行，完成连接管理过程。

结合第一方面，在第一方面的一种可能的实现方式中，所述终端根据第一完整性校验的结果，执行第二完整性校验，具体可以包括：当所述第一完整性效验的结果为未通过时，所述终端获取所述连接管理消息中包括的第二安全算法的配置信息；所述终端根据所述第二安全算法的配置信息和所述完整性保护信息对所述连接管理消息进行第二完整性效验。

本实现方式，终端在第一完整性效验的结果为未通过时，可以获知RAN设备使用的安全算法与其自身的安全算法不同，且其接收到的连接管理消息未加密，终端获取该连接管理消息中携带的RAN设备使用的第二安全算法的配置信息，使用该第二安全算法配置信息进行第二完整性效验，从而实现正确效验，完成连接恢复过程。

结合第一方面或者第一方面的一种可能的实现方式，在第一方面的另一种可能的实现方式中，所述终端根据所述第二完整性效验的结果执行连接管理过程，包括：当所述第二完整性效验的结果为通过时，执行连接管理过程。

结合第一方面或者第一方面的任一种可能的实现方式，在第一方面的另一种可能的实现方式中，所述当所述第二完整性效验的结果为通过时，执行连接管理过程，包括：当所述第二完整性效验的结果为通过，且所述连接管理消息未携带第一类配置参数信息，执行连接管理过程，所述第一类配置参数信息为仅在加密的消息中发送的配置信息。

本实现方式，当第二完整性效验通过时，终端还可以检验连接管理消息中是否携带第一类配置参数信息，当其未携带第一类配置参数信息时，执行连接管理过程。当其携带第一类配置参数信息时，则可以确定该连接管理消息为非法消息，可以终止连接管理过程。从而可以进一步提升连接管理的安全性。

结合第一方面或者第一方面的任一种可能的实现方式，在第一方面的另一种可能的实现方式中，所述方法还包括：当所述第一次完整性效验的结果为通过时，所述终端使用所述第一安全算法对所述连接恢复消息进行解密，并根据解密后的连接恢复消息进行连接恢复。

第二方面，本发明实施例提供一种连接管理方法，包括：

无线接入网RAN设备获取终端使用的第一安全算法的配置信息；

所述RAN设备根据所述配置信息判断所述RAN设备是否支持所述第一安全算法；

所述RAN设备根据判断结果生成连接管理消息和完整性保护信息；

所述RAN设备发送所述连接管理消息和所述完整性保护信息。

本实现方式，RAN设备通过判断该RAN设备是否支持终端使用的第一安全算法，并根据判断结果生成连接管理消息和完整性保护信息，将该连接管理消息和完整性保护信息发送给终端，从而确保终端可以对接收到的连接管理消息进行正确效验与解密，完成连接管理过程。

结合第二方面，在第二方面的一种可能的实现方式中，所述RAN设备根据判断结果生成连接管理消息和完整性保护信息，包括：当所述判断结果为所述RAN设备不支持所述第一安全算法时，所述RAN设备生成连接管理消息，并根据所述连接管理消息 使用第二安全算法生成所述完整性保护信息，所述第二安全算法是所述RAN设备支持的；其中，所述连接管理消息包括所述第二安全算法的配置信息。

本实现方式，当所述判断结果为所述RAN设备不支持所述第一安全算法时，RAN设备生成连接管理消息，该连接管理消息包括RAN设备使用的第二安全算法的配置信息，并根据所述连接管理消息使用第二安全算法生成所述完整性保护信息，将该连接管理消息和完整性保护信息发送给终端，从而实现终端从未加密的连接管理消息中获取RAN设备使用的第二安全算法的配置信息，从而完成连接管理过程。

结合第二方面或者第二方面的一种可能的实现方式，在第二方面的另一种可能的实现方式中，所述连接管理消息还包括第二类配置参数信息，所述第二类配置参数信息为被允许在加密和未加密的消息中发送的配置信息。

结合第二方面或者第二方面的任一种可能的实现方式，在第二方面的另一种可能的实现方式中，所述RAN设备根据判断结果生成连接管理消息和完整性保护信息，包括：当所述RAN设备支持所述第一安全算法时，所述RAN设备使用所述第一安全算法加密生成所述连接管理消息，并根据所述连接管理消息使用第一安全算法生成所述完整性保护信息。

结合第二方面或者第二方面的任一种可能的实现方式，在第二方面的另一种可能的实现方式中，所述连接管理消息携带第一类配置参数信息和第二类配置参数信息，所述第一类配置参数信息为被允许在加密的消息中发送的配置信息，所述第二类配置参数信息为被允许在加密和未加密的消息中发送的配置信息。

第三方面，本发明实施例提供一种连接管理方法，包括：

终端接收连接管理消息、完整性保护信息、以及安全算法的配置信息，所述连接管理消息为使用所述安全算法加密的，所述完整性保护信息为使用所述安全算法根据所述连接管理消息生成的，所述安全算法的配置信息未加密；

所述终端根据所述安全算法的配置信息对所述连接管理消息进行完整性校验，并且基于所述安全算法的配置信息对所述连接管理消息进行解密，并根据解密结果执行连接管理过程。

本实现方式，终端接收连接管理消息、完整性保护信息、以及未加密的安全算法的配置信息，终端可以从未加密的安全算法的配置信息获知RAN设备使用的安全算法的配置信息，从而正确对连接管理消息进行解密，确保连接管理的正常执行。

结合第三方面，在第三方面的一种可能的实现方式中，所述连接管理消息、完整性保护信息、以及安全算法的配置信息是通过一个高层数据单元传输的。

结合第三方面或第三方面的一种可能的实现方式，在第三方面的另一种可能的实现方式中，所述安全算法的配置信息在PDCP层数据单元的包头，或者在PDCP层数据单元的所述完整性保护信息之后。

第四方面，本发明实施例提供一种连接管理方法，包括：

无线接入网RAN设备使用安全算法加密生成连接管理消息，使用所述安全算法根据所述连接管理消息生成完整性保护信息；

所述RAN设备发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息。

本实现方式，RAN设备使用安全算法加密生成连接管理消息，使用安全算法根据所述连接管理消息生成完整性保护信息，将加密的连接管理消息、完整性保护信息、以及未加密的安全算法的配置信息发送给终端，使得终端可以获知RAN设备使用的安全算法的配置信息，从而正确对连接管理消息进行解密，确保连接管理的正常执行。

结合第四方面，在第四方面的一种可能的实现方式中，所述安全算法的配置信息包括安全算法的标识、密钥和密钥输入参数中的至少一种。

结合第四方面或者第四方面的一种可能的实现方式，在第四方面的另一种可能的实现方式中，所述RAN设备发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息，包括：所述RAN设备通过一个高层数据单元发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息。

本实现方式，RAN设备使用安全算法加密生成连接管理消息，使用安全算法根据所述连接管理消息生成完整性保护信息，将加密的连接管理消息、完整性保护信息、以及未加密的安全算法的配置信息通过一个高层数据单元发送给终端，使得终端可以获知RAN使用的安全算法的配置信息，从而正确对连接管理消息进行解密，确保连接管理的正常执行。

结合第四方面或者第四方面的任一种可能的实现方式，在第四方面的另一种可能的实现方式中，所述高层数据单元包括PDCP层数据单元；

所述RAN设备通过一个高层数据单元发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息，包括：所述RAN设备将RRC层的所述连接管理消息设置为PDCP层数据单元的数据；所述RAN设备将所述未加密的安全算法的配置信息设置在PDCP层数据单元的包头，或者设置在PDCP层数据单元的所述完整性保护信息之后。

第五方面，本发明实施例提供一种终端，该终端具有实现上述方法实施例中终端行为的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第六方面，本发明实施例提供一种终端，包括：处理器、存储器和通信接口；该存储器用于存储计算机执行指令，当该终端运行时，该处理器执行该存储器存储的该计算机执行指令，以使该终端执行如上述第一方面任意一项或者第三方面任意一项的连接管理方法。

第七方面，本发明实施例提供了一种计算机可读存储介质，用于储存为上述终端所用的计算机软件指令，当其在计算机上运行时，使得计算机可以执行上述第一方面中任意一项或者第三方面任意一项的连接管理方法。

第八方面，本发明实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面中任意一项或者第三方面任意一项的连接管理方法。

另外，第五方面至第八方面中任一种设计方式所带来的技术效果可参见第一方面或第三方面中不同设计方式所带来的技术效果，此处不再赘述。

第九方面，本发明实施例提供一种无线接入网设备，该无线接入网设备具有实现上述方法实施例中无线接入网设备行为的功能。该功能可以通过硬件实现，也可以通 过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第十方面，本发明实施例提供一种无线接入网设备，包括：处理器、存储器和通信接口；该存储器用于存储计算机执行指令，当无线接入网设备运行时，该处理器执行该存储器存储的该计算机执行指令，以使该无线接入网设备执行如上述第二方面任意一项或者第四方面任意一项的连接管理方法。

第十一方面，本发明实施例提供了一种计算机可读存储介质，用于储存为上述无线接入网设备所用的计算机软件指令，当其在计算机上运行时，使得计算机可以执行上述第二方面中任意一项或者第四方面任意一项的连接管理方法。

第十二方面，本发明实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面中任意一项或者第三方面任意一项的连接管理方法。

另外，第九方面至第十三方面中任一种设计方式所带来的技术效果可参见第二方面或第四方面中不同设计方式所带来的技术效果，此处不再赘述。

第十三方面，本发明实施例提供了一种运行指令的芯片，该芯片用于执行以下步骤：

根据第一安全算法和完整性保护信息对连接管理消息进行第一完整性效验；根据第一完整性校验的结果，执行第二完整性校验，根据第二完整性效验的结果执行连接管理过程，其中，所述连接管理消息及所述完整性保护信息来自于无线接入网设备，所述完整性保护信息是无线接入网设备根据所述连接管理消息使用第一安全算法生成的。

其技术效果可以参见上述第一方面或第二方面中不同设计方式所带来的技术效果，此处不再赘述。

第十四方面，本发明实施例提供了一种运行指令的芯片，该芯片用于执行以下步骤：

根据安全算法的配置信息对连接管理消息进行完整性校验，并且基于所述安全算法的配置信息对所述连接管理消息进行解密，并根据解密结果执行连接管理过程，所述连接管理消息、完整性保护信息、以及安全算法的配置信息来自于无线接入网设备，所述连接管理消息为使用所述安全算法加密的，所述完整性保护信息为使用所述安全算法根据所述连接管理消息生成的，所述安全算法的配置信息未加密。

其技术效果可以参见上述第三方面或第四方面中不同设计方式所带来的技术效果，此处不再赘述。

本文所涉及的连接管理消息指网络侧和终端之间进行连接管理的消息，其具体可以是连接恢复消息，连接挂起消息，连接继续消息，连接激活消息，连接重激活消息，连接建立消息，连接重建立消息，连接重配置消息等。

本文所涉及的非激活态具体指，终端保存其自身的上下文信息，并且可以执行基于小区的重选操作。同时，终端的连接信息保存在锚点RAN设备，终端的连接信息包括终端的上下文信息以及核心网连接信息。

通常，非激活态的终端会和空闲Idle态的终端一样进行小区重选。当终端处于非激活态时，终端保存锚点RAN设备配置的位置管理区域信息，终端移动出该位置管理 区域信息对应的位置管理区域时，需要通知锚点RAN设备。

本申请实施例连接管理方法、终端及无线接入网设备，通过RAN设备判断该RAN设备是否支持终端使用的第一安全算法，并根据判断结果生成连接管理消息和完整性保护信息，将该连接管理消息和完整性保护信息发送给终端，终端在接收到RAN设备发送的连接管理消息和完整性保护信息后，使用终端自身保存的第一安全算法对接收到的连接管理消息进行第一完整性效验，并根据第一完整性效验的结果，使用第二安全算法执行第二完整性效验，进而执行连接管理过程，从而实现正确效验与解密，确保连接管理的正常执行。其中，即使终端和RAN设备使用的加密算法不同，也可以实现终端的连接管理的正常执行。

附图说明

图1为本申请实施例一种应用场景的示意图；

图2为本申请实施例的一种连接管理方法的流程图；

图3为本申请实施例的另一种连接管理方法的流程图；

图4为本申请实施例另一种连接管理方法的流程图；

图5为本申请实施例另一种连接管理方法的流程图；

图6为本申请实施例一种PDCP数据单元的示意图。

图7为本申请实施例一种终端的结构示意图；

图8为本申请实施例一种无线接入网RAN设备的结构示意图；

图9为本申请实施例另一种终端的结构示意图；

图10为本申请实施例另一种无线接入网RAN设备的结构示意图；

图11为本申请实施例提供的通信装置的示意性框图；

图12为本申请实施例提供的通信装置的另一示意性框图；

图13为本申请实施例提供的通信装置的再一示意性框图；

图14为本申请实施例提供的通信装置的再一示意性框图；

图15为本申请实施例提供的通信装置的再一示意性框图；

图16为本申请实施例提供的通信装置的再一示意性框图。

具体实施方式

图1为本申请实施例一种应用场景的示意图，如图1所示，本实施例的应用场景可以包括：核心网设备1、锚点无线接入网(Radio Access Network，RAN)设备2、RAN设备3以及终端4，其中，核心网设备用于负责无线资源的管理、无线连接的建立、业务服务质量(Quality of Service，简称QoS)保证和最终的资源释放等。该核心网设备可以为移动性管理实体(Mobility Management Entity，简称MME)、网关设备(Gateway，简称GW)等，也可以为5G核心网络侧(5G Core network)的功能实体，例如接入与移动性管理功能实体(Core Access and Mobility Management Function，AMF)、会话管理功能实体(Session Management Function，SMF)等，当然也可以是其他核心网设备，此处仅为示意性说明。上述锚点RAN设备2保留有终端4的上下文信息和核心网接口信息，终端4可以通过RAN设备3与锚点RAN设备2进行连接， 并通过该锚点RAN设备2与核心网侧建立通信连接。上述锚点RAN设备2也可以称之为源RAN设备，上述RAN设备3也可以称之为新的RAN设备、服务RAN设备等。本申请实施例的终端4处于非激活态，处于非激活态的终端4需要进行连接管理时，可以通过本申请实施例的连接管理方法，实现终端4的连接管理，避免由于RAN设备3不支持终端4的安全算法而导致连接管理失败。本申请实施例的连接管理方法的具体实现方式可以参见下述实施例的解释说明。

其中，连接管理具体可以包括：为空闲态终端建立连接，为非激活态终端恢复连接，或者为连接态终端更新连接使用等。当然可以理解的，还可以是其他具体操作，此处不一一举例说明。

需要说明的是，本文所涉及的无线接入网(Radio Access Network，RAN)设备，是一种将终端接入到无线网络的设备，可以是全球移动通讯(Global System of Mobile communication，GSM)或码分多址(Code Division Multiple Access，CDMA)中的基站(Base Transceiver Station，BTS)，也可以是宽带码分多址(Wideband Code Division Multiple Access，WCDMA)中的基站(NodeB，NB)，还可以是长期演进(Long Term Evolution，LTE)中的演进型基站(Evolutional Node B，eNB或eNodeB)，或者中继站或接入点，或者未来5G网络中的基站等，在此并不限定。

本文所涉及的终端，指向用户提供语音和/或数据连通性的设备(device)，包括无线终端或有线终端。无线终端可以是具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备，经无线接入网与一个或多个核心网进行通信的移动终端。例如，无线终端可以是移动电话(或称为“蜂窝”电话)和具有移动终端的计算机。又如，无线终端也可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置。再如，无线终端可以为用户设备(User Equipment，简称UE)的一部分。

本文所涉及的安全算法包括加密算法或完整性保护算法，也可以包括加密算法和完整性保护算法。该加密算法可以包括：EPS Encryption Algorithm 1(EEA1)、EEA2、EEA3等，该完整性保护算法可以包括EPS Integrity Algorithm 1(EIA1)、EIA2等。其中，EIA1是基于SNOW 3G算法。当所述安全算法包括加密算法和完整性保护算法时，所述加密算法和完整性保护算法可以存在对应关系。例如加密算法1对应于完整性保护算法1；加密算法2对应于完整性保护算法2。使用安全算法进行加密可以包括：使用安全算法中的加密算法进行加密。使用安全算法进行完整性保护可以包括：使用安全算法中的完整性保护算法进行完整性保护。

本文所涉及的“第一安全算法”和“第二安全算法”仅用于区分不同的安全算法。即二者采用的加密算法和/或完整性保护算法不同。

本文所涉及的“完整性效验”具体指终端根据接收到的消息和安全算法配置信息计算出X-MAC，将该X-MAC与接收到的完整性效验信息进行比较，如果相同，则完整性效验通过，否则，完整性效验不通过。

本文所涉及的“第一完整性效验”和“第二完整性效验”仅用于区分使用不同的安全算法。

本文所涉及的“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A 和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

图2为本申请实施例的一种连接管理方法的流程图，如图2所示，本实施例涉及RAN设备和终端，该RAN设备具体可以是图1所示的RAN设备3，本实施例的方法可以包括：

步骤101、RAN设备获取终端使用的第一安全算法的配置信息。

其中，在步骤101之前，终端可以向RAN设备发送连接管理请求消息。所述连接恢复请求消息可以用于请求RAN设备为该终端管理连接。RAN设备接收该连接管理请求消息，该连接管理请求消息可以包括该终端的上下文标识，RAN设备根据该终端的上下文标识从锚点RAN设备处获取该终端的上下文信息，RAN设备从该终端的上下文信息中获取该终端使用的第一安全算法的配置信息。

具体的一种可实现方式，该终端的上下文标识可以包括锚点RAN设备的标识和该终端的标识，RAN设备可以根据该锚点RAN设备的标识，确定向该锚点RAN设备请求该终端的标识对应的上下文信息，该锚点RAN设备将该终端的上下文信息发送给RAN设备，其中，该上下文信息可以包括终端使用的第一安全算法的配置信息，RAN设备从该终端的上下文信息中获取第一安全算法的配置信息，该第一安全算法的配置信息可以包括第一安全算法的标识、密钥和密钥输入参数中的至少一种。该第一安全算法的配置信息可以是锚点RAN设备配置给终端的。

步骤102、所述RAN设备根据所述配置信息判断所述RAN设备是否支持所述第一安全算法。

具体的，RAN设备可以根据步骤101中获取的配置信息确定该配置信息对应的第一安全算法，进而判断其自身是否支持该第一安全算法。

其中，RAN设备判断是否支持第一安全算法具体可以包括：RAN设备判断是否支持第一安全算法所包括的加密算法和/或完整性保护算法，即判断是否支持第一安全算法的加密算法、或者判断是否支持第一安全算法的完整性保护算法、或者判断是否支持第一安全算法的加密算法和完整性保护算法，其具体实现方式可以根据需求进行灵活设置。

步骤103、所述RAN设备根据判断结果生成连接管理消息和完整性保护信息。

其中，完整性保护信息为对连接管理消息进行完整性保护生成的。

具体的，上述步骤102的判断结果包括两种：支持和不支持。

当判断结果为不支持时，步骤103的具体实现方式可以为，RAN设备生成连接管理消息，该连接管理消息未加密，且该连接管理消息携带第二安全算法的配置信息，该第二安全算法为RAN设备支持的安全算法，并且RAN设备根据该连接管理消息使用第二安全算法进行完整性保护生成完整性保护信息。

当判断结果为支持时，步骤103的具体实现方式可以为，RAN设备使用第一安全算法加密生成连接管理消息，即该连接管理消息为加密的消息，并根据该连接管理消息使用第一安全算法进行完整性保护生成完整性保护信息。

步骤104、所述RAN设备发送所述连接管理消息和所述完整性保护信息。

具体的，所述RAN设备向终端发送所述连接管理消息和所述完整性保护信息，终端接收RAN设备发送的所述连接管理消息和所述完整性保护信息。

步骤105、所述终端根据所述第一安全算法和所述完整性保护信息对所述连接管理消息进行第一完整性效验。

其中，终端在接收到所述连接管理消息和所述完整性保护信息后，使用其自身支持的第一安全算法对该连接管理消息进行完整性效验，即根据接收到的完整性保护信息使用完整性保护算法来效验接收到的连接管理消息的完整性。

步骤106、所述终端根据第一完整性校验的结果，执行第二完整性校验。

具体的，第一完整性效验的结果包括通过和不通过。其中一种可实现方式为，当第一完整性效验的结果为通过时，则跳过执行第二完整性效验。当第一完整性效验的结果为不通过时，执行步骤106，即执行第二完整性效验。其中终端根据第一完整性效验的结果为不通过，可以获知RAN设备使用的安全算法与其自身的安全算法不同，进而执行第二完整性效验。

步骤107、所述终端根据第二完整性效验的结果执行连接管理过程。

其中，第一完整性效验的结果为通过时，终端根据该第一完整性效验的结果可以确定终端接收到的连接管理消息加密，并使用第一安全算法对该连接管理消息进行解密，根据解密后的连接管理消息进行连接管理。第一完整性效验的结果为不通过时，步骤106后，执行步骤107，终端根据该第一完整性效验的结果可以确定终端接收到的连接管理消息未加密，且RAN设备与终端使用的安全算法不同，终端从未加密的连接管理消息中获取RAN设备使用的第二安全算法的配置信息，并根据该第二安全算法的配置信息和完整性保护信息对连接管理消息进行第二完整性效验，在第二完整性效验的结果为通过时，根据连接管理消息执行连接管理过程。

本实施例，通过RAN设备判断该RAN设备是否支持终端使用的第一安全算法，并根据判断结果生成连接管理消息和完整性保护信息，将该连接管理消息和完整性保护信息发送给终端，终端在接收到RAN设备发送的连接管理消息和完整性保护信息后，使用终端自身保存的第一安全算法对接收到的连接管理消息进行第一完整性效验，并根据第一完整性效验的结果，使用第二安全算法执行第二完整性效验，进而执行连接管理过程，从而实现正确效验与解密，确保连接管理的正常执行。其中，即使终端和RAN设备使用的加密算法不同，也可以实现终端的连接管理的正常执行。

下面采用一个具体的实施例，对图2所示方法实施例的技术方案进行详细说明。

图3为本申请实施例的另一种连接管理方法的流程图，如图3所示，本实施例的方法可以包括：

步骤201、锚点RAN设备向终端配置该终端使用的第一安全算法。

具体的，锚点RAN设备可以通过向终端发送第一安全算法的配置信息，从而实现向终端配置该终端使用的第一安全算法。其中，第一安全算法的配置信息的具体解释说明可以参见上述图2所示实施例的解释说明，此处不再赘述。终端使用给第一安全算法对接收或发送的数据或者信令消息进行完整性保护效验、加解密操作。

步骤202、锚点RAN设备控制终端进入非激活态。

具体的，锚点RAN设备向终端发送状态控制命令，以指示该终端进入非激活(Inactive)态。其中，锚点RAN设备在实施步骤202之前或者同时，向终端发送终端的上下文信息，该终端的上下文信息包括终端的上下文标识。该终端的上下文标识 的具体解释说明可以参见上述图2所示实施例的解说说明，此处不再赘述。

步骤203、终端向RAN设备发送连接管理请求消息。

RAN设备接收终端发送的连接管理请求消息，该连接管理请求消息携带该终端的上下文标识。

具体的，终端在有数据需要发送时，可以向RAN设备发送连接管理请求消息，以便RAN设备为该终端管理连接。

步骤204、RAN设备根据该终端的上下文标识从锚点RAN设备获取该终端的上下文信息，并从该终端的上下文信息中获取该终端使用的第一安全算法的配置信息。

步骤205、RAN设备根据第一安全算法的配置信息判断RAN设备是否支持第一安全算法，当RAN设备不支持第一安全算法时，执行步骤206，当RAN设备支持第一安全算法时，则执行步骤206’。

步骤206、RAN设备生成连接管理消息，并根据连接管理消息使用第二安全算法生成完整性保护信息。

其中，第二安全算法是RAN设备支持的。步骤206生成的连接管理消息未加密，且该连接管理消息携带RAN设备使用的第二安全算法的配置信息。

其中，该连接管理消息还可以携带第二类配置参数，所述第二类配置参数信息为被允许在加密或者未加密的消息中发送的配置信息。举例而言，该第二类配置参数具体可以是物理资源配置信息。

步骤206’、RAN设备使用第一安全算法加密生成连接管理消息，并根据连接管理消息使用第一安全算法生成完整性保护信息。

其中，步骤206’生成的连接管理消息为加密的消息。

其中，该连接管理消息可以携带第一类配置参数信息和第二类配置参数信息，所述第一类配置参数信息为被允许在加密的消息中发送的配置信息，所述第二类配置参数信息为被允许在加密和未加密的消息中发送的配置信息。其中，第二类配置参数信息的具体解释说明可以参见步骤206的解释，此处不再赘述，第一类配置参数信息具体可以是逻辑信道的配置信息。

由此可见，本申请实施例将连接管理消息中携带的配置参数分为两类，一类是需要加密才可以发送的参数信息，即第一类配置参数信息，另一类是可以不加密发送的参数信息，即第二类配置参数信息。

步骤207、RAN设备向终端发送连接管理消息和完整性保护信息。

其中，该连接管理消息和完整性保护信息是步骤206或者步骤206’生成的。

终端接收RAN设备发送的连接管理消息和完整性保护信息。

步骤208、终端根据第一安全算法和完整性保护信息对接收到的连接管理消息进行第一完整性效验。

当第一完整性效验未通过时，执行步骤209，当第一完整性效验通过时，执行步骤210。

具体的，第一完整性效验的结果为不通过时，则执行步骤209，第一完整性效验的结果为通过时，执行步骤210。

步骤209、终端获取连接管理消息中包括的第二安全算法的配置信息，根据第二 安全算法的配置信息和完整性保护信息对连接管理消息进行第二完整性效验，所述终端根据所述第二完整性效验的结果执行连接管理过程。

具体的，第一完整性效验的结果为不通过时，终端可以根据该结果确定接收到的连接管理消息未加密，则获取该连接管理消息中包括的第二安全算法的配置信息。使用该第二安全算法进行第二完整性效验，当第二完整性效验通过时，执行连接管理过程。其中，需要说明的是，连接管理消息未加密，其携带第二类配置参数信息，对于第一类参数配置信息，RAN设备可以使用另一条加密消息发送给终端，终端可以使用连接管理消息中包括的第二安全算法的配置信息解密获取第一类参数配置信息。

可选的，当第二完整性效验通过时，终端还可以检验连接管理消息中是否携带第一类配置参数信息，当其未携带第一类配置参数信息时，执行连接管理过程。当其携带第一类配置参数信息时，则可以确定该连接管理消息为非法消息，可以终止连接管理过程。从而可以进一步提升连接管理的安全性。

步骤210、所述终端使用所述第一安全算法对所述连接管理消息进行解密，并根据解密后的连接管理消息进行连接管理。

本实施例，通过RAN设备判断该RAN设备是否支持终端使用的第一安全算法，并根据判断结果生成连接管理消息和完整性保护信息，将该连接管理消息和完整性保护信息发送给终端，终端在接收到RAN设备发送的连接管理消息和完整性保护信息后，使用终端自身保存的第一安全算法对接收到的连接管理消息进行第一完整性效验，并当第一完整性效验的结果为通过时，使用第二安全算法执行第二完整性效验，进而执行连接管理过程，从而实现正确效验与解密，确保连接管理的正常执行。其中，即使终端和RAN设备使用的加密算法不同，也可以实现终端的连接管理的正常执行。

与上述实施例不同，本申请还提供另一种连接管理方法，以实现与上述实施例相同的技术效果，具体可以参见下述实施例的具体解释说明。

图4为本申请实施例另一种连接管理方法的流程图，如图4所示，本实施例的方法可以包括：

步骤301、RAN设备使用安全算法加密生成连接管理消息，使用安全算法根据连接管理消息生成完整性保护信息。

步骤302、RAN设备发送连接管理消息、完整性保护信息、以及未加密的安全算法的配置信息。

终端接收RAN设备发送的连接管理消息、完整性保护信息、以及未加密的安全算法的配置信息。

步骤303、终端根据安全算法的配置信息对连接管理消息进行完整性校验，并且基于安全算法的配置信息对连接管理消息进行解密，并根据解密结果执行连接管理过程。

上述安全算法的配置信息可以包括安全算法的标识、密钥和密钥输入参数中的至少一种。

可选的，上述连接管理消息、完整性保护信息、以及安全算法的配置信息是通过一个高层数据单元传输的。其中，高层包括物理层之外的层，例如可以包括以下任意一项：业务数据适配协议(Service Data Adaptation Protocol，SDAP)层、分组数据汇 聚协议(Packet Data Convergence Protocol，PDCP)层、MAC层以及RLC层。

可选的，高层数据单元为MAC层数据单元时，上述安全算法的配置信息可以通过MAC层包头、或者MAC层控制单元、或者MAC逻辑信道进行传输。

可选的，高层数据单元为PDCP层数据单元时，上述安全算法的配置信息可以通过PDCP层包头、或者PDCP层控制单元、或者PDCP层包尾传输。

本实施例，通过RAN设备使用安全算法加密生成连接管理消息，使用安全算法根据所述连接管理消息生成完整性保护信息，将加密的连接管理消息、完整性保护信息、以及未加密的安全算法的配置信息发送给终端，使得终端可以获知RAN使用的安全算法的配置信息，从而正确对连接管理消息进行解密，确保连接管理的正常执行。其中，即使终端和RAN设备使用的加密算法不同，也可以实现终端的连接管理的正常执行。

下面采用一个具体的实施例，对图4所示方法实施例的技术方案进行详细说明。

图5为本申请实施例另一种连接管理方法的流程图，图6为本申请实施例一种PDCP数据单元的示意图，如图5所示，本实施例的方法可以包括：

步骤401、锚点RAN设备向终端配置该终端使用的第一安全算法。

步骤402、锚点RAN设备控制终端进入非激活态。

步骤403、终端向RAN设备发送连接管理请求消息。

步骤404、RAN设备根据该终端的上下文标识从锚点RAN设备获取该终端的上下文信息，并从该终端的上下文信息中获取该终端使用的第一安全算法的配置信息。

上述步骤401至步骤404的具体解释说明可以参见图3所示实施例的步骤201至步骤204，此处不再赘述。

步骤405、RAN设备根据第一安全算法的配置信息判断RAN设备是否支持第一安全算法，当RAN设备不支持第一安全算法时，则执行步骤406，当RAN设备支持第一安全算法时，则执行步骤406’。

步骤406、RAN设备使用第二安全算法加密生成连接管理消息，使用第二安全算法根据连接管理消息生成完整性保护信息。

步骤407、RAN设备发送连接管理消息、完整性保护信息、以及未加密的第二安全算法的配置信息。

终端接收RAN设备发送的连接管理消息、完整性保护信息、以及未加密的第二安全算法的配置信息。

一种可实现方式，RAN设备在通过步骤405获知RAN设备不支持终端使用的第一安全算法时，该RAN设备确定需要更新终端的安全算法的配置信息，则RAN设备的RRC层生成连接管理消息，将该连接管理消息封装在PDCP层的负载中，并在PDCP层的完整性保护信息之后增加携带第二安全算法的配置信息的字段。该PDCP层数据单元具体可以如图6所示，通过该PDCP层数据单元向终端发送连接管理消息、完整性保护信息、以及未加密的第二安全算法的配置信息。

步骤408、终端根据第二安全算法的配置信息对连接管理消息进行完整性校验，并且基于第二安全算法的配置信息对连接管理消息进行解密，并根据解密结果执行连接管理过程。

具体的，以上述PDCP层数据单元为例做进一步举例说明，终端接收到PDCP层 数据单元后，提取其中的第二安全算法的配置信息，使用该第二安全算法对连接管理消息进行完整性效验和解密，进而执行连接管理过程。

步骤406’、RAN设备使用第一安全算法加密生成连接管理消息，并根据连接管理消息使用第一安全算法生成完整性保护信息。

步骤407’、RAN设备发送连接管理消息和完整性保护信息。

终端接收RAN设备发送的连接管理消息和完整性保护信息。

步骤408’、终端使用其自身的第一安全算法对连接管理消息进行完整性校验，并且基于第一安全算法的配置信息对连接管理消息进行解密，并根据解密结果执行连接管理过程。

本实施例，通过RAN设备使用第二安全算法加密生成连接管理消息，使用第二安全算法根据所述连接管理消息生成完整性保护信息，将加密的连接管理消息、完整性保护信息、以及未加密的第二安全算法的配置信息发送给终端，使得终端可以获知RAN使用的第二安全算法的配置信息，从而正确对连接管理消息进行解密，确保连接管理的正常执行。其中，即使终端和RAN设备使用的加密算法不同，也可以实现终端的连接管理的正常执行。

图7为本申请实施例一种终端的结构示意图，如图7所示，本实施例的装置可以包括：接收模块11和处理模块12，其中，接收模块11用于接收连接管理消息及完整性保护信息，所述完整性保护信息是根据所述连接管理消息使用第一安全算法生成的，处理模块12用于根据所述第一安全算法和所述完整性保护信息对所述连接管理消息进行第一完整性效验，处理模块12还用于根据第一完整性校验的结果，执行第二完整性校验，根据第二完整性效验的结果执行连接管理过程。

可选的，所述处理模块12用于根据第一完整性校验的结果，执行第二完整性校验，具体可以包括：当所述第一完整性效验的结果为未通过时，获取所述连接管理消息中包括的第二安全算法的配置信息；根据所述第二安全算法的配置信息和所述完整性保护信息对所述连接管理消息进行第二完整性效验。

可选的，所述处理模块12用于根据所述第二完整性效验的结果执行连接管理过程。

可选的，所述处理模块12用于根据所述第二完整性效验的结果执行连接管理过程，具体可以包括：当所述第二完整性效验的结果为通过时，执行连接管理过程。

可选的，所述处理模块12用于当所述第二完整性效验的结果为通过时，执行连接管理过程，具体可以包括：当所述第二完整性效验的结果为通过时，且所述连接管理消息未携带第一类配置参数信息，执行连接管理过程，所述第一类配置参数信息为仅在加密的消息中发送的配置信息。

可选的，所述处理模块12还用于：当所述第一次完整性效验的结果为通过时，使用所述第一安全算法对所述连接管理消息进行解密，并根据解密后的连接管理消息进行连接管理。

可选的，本申请实施例的终端还可以包括存储模块，该存储模块用于存储终端的程序代码和数据。

可选的，本申请实施例的终端还可以包括发送模块，该发送模块用于发送消息、数据等。

本实施例的装置，可以用于执行图2或图3所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图8为本申请实施例一种无线接入网RAN设备的结构示意图，如图8所示，本实施例的装置可以包括：处理模块21和发送模块22，其中，处理模块21用于确定终端使用的第一安全算法的配置信息，处理模块21还用于根据所述配置信息判断所述RAN设备是否支持所述第一安全算法，处理模块12还用于根据判断结果生成连接管理消息和完整性保护信息，发送模块22用于发送所述连接管理消息和所述完整性保护信息。

可选的，所述处理模块21用于根据判断结果生成连接管理消息和完整性保护信息，具体可以包括：当所述判断结果为所述RAN设备不支持所述第一安全算法时，生成连接管理消息，并根据所述连接管理消息使用第二安全算法生成所述完整性保护信息，所述第二安全算法是所述RAN设备支持的；其中，所述连接管理消息包括所述第二安全算法的配置信息。

可选的，所述连接管理消息还包括第二类配置参数信息，所述第二类配置参数信息为允许在加密或者未加密的消息中发送的配置信息。

可选的，所述处理模块21用于根据判断结果生成连接管理消息和完整性保护信息，具体可以包括：当所述RAN设备支持所述第一安全算法时，使用所述第一安全算法加密生成所述连接管理消息，并根据所述连接管理消息使用第一安全算法生成所述完整性保护信息。

可选的，所述连接管理消息携带第一类配置参数信息和第二类配置参数信息，所述第一类配置参数信息为允许在加密的消息中发送的配置信息，所述第二类配置参数信息为允许在加密或者未加密的消息中发送的配置信息。

可选的，本申请实施例的RAN设备还可以包括存储模块，该存储模块用于存储终端的程序代码和数据。

可选的，本申请实施例的RAN设备还可以包括接收模块，该接收模块用于接收消息、数据等。

本实施例的装置，可以用于执行图2或图3所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图9为本申请实施例另一种终端的结构示意图，如图9所示，本实施例的装置可以包括：接收模块31和处理模块32，其中，接收模块31用于接收连接管理消息、完整性保护信息、以及安全算法的配置信息，所述连接管理消息为使用所述安全算法加密的，所述完整性保护信息为使用所述安全算法根据所述连接管理消息生成的，所述安全算法的配置信息未加密，处理模块32用于根据所述安全算法的配置信息对所述连接管理消息进行完整性校验，并且基于所述安全算法的配置信息对所述连接管理消息进行解密，并根据解密结果执行连接管理过程。

可选的，所述连接管理消息、完整性保护信息、以及安全算法的配置信息是通过一个高层数据单元传输的。

可选的，所述安全算法的配置信息在PDCP层数据单元的包头，或者在PDCP层数据单元的所述完整性保护信息之后。

可选的，本申请实施例的终端还可以包括存储模块，该存储模块用于存储终端的 程序代码和数据。

可选的，本申请实施例的终端还可以包括发送模块，该发送模块用于发送消息、数据等。

本实施例的装置，可以用于执行图4或图5所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图10为本申请实施例另一种无线接入网RAN设备的结构示意图，如图10所示，本实施例的装置可以包括：处理模块41和发送模块42，其中，处理模块41用于使用安全算法加密生成连接管理消息，使用所述安全算法根据所述连接管理消息生成完整性保护信息，发送模块42用于发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息。

可选的，所述安全算法的配置信息包括安全算法的标识、密钥和密钥输入参数中的至少一种。

可选的，所述发送模块用于通过一个高层数据单元发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息。

可选的，所述高层数据单元包括PDCP层数据单元；所述处理模块41还用于将RRC层的所述连接管理消息设置为PDCP层数据单元的数据；将所述未加密的安全算法的配置信息设置在PDCP层数据单元的包头，或者设置在PDCP层数据单元的所述完整性保护信息之后。

可选的，本申请实施例的RAN设备还可以包括存储模块，该存储模块用于存储终端的程序代码和数据。

可选的，本申请实施例的RAN设备还可以包括接收模块，该接收模块用于接收消息、数据等。

本实施例的装置，可以用于执行图4或图5所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

需要说明的是，本申请实施例中的接收模块11可以与终端的接收器对应，也可以对应终端的收发器。该终端还可以包括发送模块，发送模块可以与终端的发送器对应，也可以对应终端的收发器。处理模块12可以与终端的处理器对应，这里处理器可以是一个中央处理器(Central Processing Unit，CPU)，或者是特定集成电路(Application Specific Integrated Circuit，ASIC)，或者完成实施本申请实施例的一个或多个集成电路。终端还可以包括存储器，存储器用于存储指令代码，处理器调用存储器的指令代码，控制本申请实施例中的接收模块11执行上述操作。

需要说明的是，本申请实施例中的发送模块22可以与RAN设备的发送器对应，也可以对应RAN设备的收发器。该RAN设备还可以包括接收模块，接收模块可以与RAN设备的接收器对应，也可以对应RAN设备的收发器。处理模块21可以与RAN设备的处理器对应，这里处理器可以是一个CPU，或者是ASIC，或者完成实施本申请实施例的一个或多个集成电路。RAN设备还可以包括存储器，存储器用于存储指令代码，处理器调用存储器的指令代码，控制本申请实施例中的发送模块22执行上述操作。

需要说明的是，本申请实施例中的接收模块31可以与终端的接收器对应，也可以 对应终端的收发器。该终端还可以包括发送模块，发送模块可以与终端的发送器对应，也可以对应终端的收发器。处理模块32可以与终端的处理器对应，这里处理器可以是一个中央处理器(Central Processing Unit，CPU)，或者是特定集成电路(Application Specific Integrated Circuit，ASIC)，或者完成实施本申请实施例的一个或多个集成电路。终端还可以包括存储器，存储器用于存储指令代码，处理器调用存储器的指令代码，控制本申请实施例中的接收模块31执行上述操作。

需要说明的是，本申请实施例中的发送模块42可以与RAN设备的发送器对应，也可以对应RAN设备的收发器。该RAN设备还可以包括接收模块，接收模块可以与RAN设备的接收器对应，也可以对应RAN设备的收发器。处理模块41可以与RAN设备的处理器对应，这里处理器可以是一个CPU，或者是ASIC，或者完成实施本申请实施例的一个或多个集成电路。RAN设备还可以包括存储器，存储器用于存储指令代码，处理器调用存储器的指令代码，控制本申请实施例中的发送模块42执行上述操作。

当本发明实施例的连接管理方法的至少一部分功能通过软件实现时，本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质用于储存为上述终端所用的计算机软件指令，当其在计算机上运行时，使得计算机可以执行上述方法实施例中各种可能的连接管理方法。在计算机上加载和执行所述计算机执行指令时，可全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，所述传输可以通过无线(例如蜂窝通信、红外、短距离无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

当本发明实施例的连接管理方法的至少一部分功能通过软件实现时，本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质用于储存为上述RAN设备所用的计算机软件指令，当其在计算机上运行时，使得计算机可以执行上述方法实施例中各种可能的连接管理方法。在计算机上加载和执行所述计算机执行指令时，可全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，所述传输可以通过无线(例如蜂窝通信、红外、短距离无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如SSD)等。

此外，本发明实施例还提供一种包含指令的计算机程序产品，即软件产品，当其在计算机上运行时，使得计算机执行上述方法实施例中各种可能的连接管理方法。其实现原理和技术效果类似，此处不再赘述。

本申请实施例还提供一种通信装置，该通信装置可以是终端也可以是电路。该通 信装置可以用于执行上述方法实施例中由终端所执行的动作。

当该通信装置为终端时，图11示出了一种简化的终端的结构示意图。便于理解和图示方便，图11中，终端以手机作为例子。如图11所示，终端包括处理器、存储器、射频电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对终端进行控制，执行软件程序，处理软件程序的数据等。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。需要说明的是，有些种类的终端可以不具有输入输出装置。

当需要发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终备时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。为便于说明，图11中仅示出了一个存储器和处理器。在实际的终端产品中，可以存在一个或多个处理器和一个或多个存储器。存储器也可以称为存储介质或者存储设备等。存储器可以是独立于处理器设置，也可以是与处理器集成在一起，本申请实施例对此不做限制。

在本申请实施例中，可以将具有收发功能的天线和射频电路视为终端的收发单元，将具有处理功能的处理器视为终端的处理单元。如图11所示，终端包括收发单元1110和处理单元1120。收发单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器，处理单板，处理模块、处理装置等。可选的，可以将收发单元1110中用于实现接收功能的器件视为接收单元，将收发单元1110中用于实现发送功能的器件视为发送单元，即收发单元1110包括接收单元和发送单元。收发单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。

应理解，收发单元1110用于执行上述方法实施例中终端侧的发送操作和接收操作，处理单元1120用于执行上述方法实施例中终端上除了收发操作之外的其他操作。

例如，在一种实现方式中，收发单元1110用于执行图2中的步骤104中终端侧的接收操作，和/或收发单元1110还用于执行本申请实施例中终端侧的其他收发步骤。处理单元1120，用于执行图2中的步骤105至步骤107，和/或处理单元1120还用于执行本申请实施例中终端侧的其他处理步骤。

再例如，在另一种实现方式中，收发单元1110用于执行图3中步骤207中终端侧的接收操作，和/或收发单元1110还用于执行本申请实施例中终端侧的其他收发步骤。处理单元1120用于执行图3中的步骤207至步骤210，和/或处理单元1120还用于执行本申请实施例中终端侧的其他处理步骤。

又例如，在再一种实现方式中，收发单元1110用于执行图4中步骤302中终端侧的接收操作，和/或收发单元1110还用于执行本申请实施例中终端侧的其他收发步骤。处理单元1120，用于执行图4中的步骤303，和/或处理单元1120还用于执行本申请实施例中终端侧的其他处理步骤。

又例如，在再一种实现方式中，收发单元1110用于执行图5中步骤407或步骤407’中终端侧的接收操作，和/或收发单元1110还用于执行本申请实施例中终端侧的其他收发步骤。处理单元1120，用于执行图5中的步骤408或步骤408’，和/或处理单元1120还用于执行本申请实施例中终端侧的其他处理步骤。

当该通信装置为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路、通信接口；处理单元为该芯片上集成的处理器或者微处理器或者集成电路。

本实施例中的通信装置为终端时，可以参照图12所示的设备。作为一个例子，该设备可以完成类似于上述终端的处理器的功能。在图12中，该设备包括处理器1210，发送数据处理器1220，接收数据处理器1230。上述实施例中的处理模块12或处理模块32可以是图12中的该处理器1210，并完成相应的功能。上述实施例中的接收模块11或接收模块31可以是图12中的接收数据处理器1230，上述实施例中的发送模块可以是图12中的发送数据处理器1220。虽然图12中示出了信道编码器、信道解码器，但是可以理解这些模块并不对本实施例构成限制性说明，仅是示意性的。

图13示出本实施例的另一种形式。处理装置1300中包括调制子系统、中央处理子系统、周边子系统等模块。本实施例中的通信装置可以作为其中的调制子系统。具体的，该调制子系统可以包括处理器1303，接口1304。其中处理器1303完成上述处理模块12或处理模块32的功能，接口1304完成上述终端的接收模块和发送模块的功能。作为另一种变形，该调制子系统包括存储器1306、处理器1303及存储在存储器1306上并可在处理器上运行的程序，该处理器1303执行该程序时实现上述方法实施例中终端侧的方法。需要注意的是，所述存储器1306可以是非易失性的，也可以是易失性的，其位置可以位于调制子系统内部，也可以位于处理装置1300中，只要该存储器1306可以连接到所述处理器1303即可。

作为本实施例的另一种形式，提供一种计算机可读存储介质，其上存储有指令，该指令被执行时执行上述方法实施例中终端侧的方法。

作为本实施例的另一种形式，提供一种包含指令的计算机程序产品，该指令被执行时执行上述方法实施例中终端侧的方法。

本申请实施例还提供一种通信装置，该通信装置可以是网络设备也可以是电路。该通信装置可以用于执行上述方法实施例中由终端所执行的动作。

本实施例中的通信装置为网络设备时，可以参照图14所示的设备，该设备包括处理器1401，应用处理器，存储器，用户接口，以及其他一些元件(包括未示出的电源等设备)。在图14中，上述RAN设备的处理模块可以是所述处理器1401，并完成相应的功能。所述RAN设备的发送模块和/或接收模块，可以是图中的无线收发器1403，其通过天线完成相应的功能。可以理解图中所示的各个元件只是示意性的，并不是完成本实施例必须的元件。

本实施例中的通信装置为网络设备时，可以参照图15所示的设备。作为一个例子，该设备可以完成类似于图14的处理器的功能。在图15中，该设备包括处理器1501，发送数据处理器1503，接收数据处理器1505。在图15中，上述RAN设备的处理模块可以是所述处理器1501，并完成相应的功能。所述RAN设备的发送模块22可以是图 15中发送数据处理器1503，所述接收模块可以是图15中接收数据处理器1505。虽然图中示出了信道编码器、信道解码器，但是可以理解这些模块并不对本实施例构成限制性说明，仅是示意性的。

图16示出本实施例的另一种形式。处理装置1600中包括调制子系统、中央处理子系统、周边子系统等模块。本实施例中的通信装置可以作为其中的调制子系统。具体的，该调制子系统可以包括处理器1603，接口1604。其中处理器1603完成上述RAN设备的处理模块的功能，接口1604完成上述RAN设备的发送模块和/或接收模块的功能。作为另一种变形，该调制子系统包括存储器1606、处理器1603及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现上述任一方法实施例的方法。需要注意的是，所述存储器1606可以是非易失性的，也可以是易失性的，其位置可以位于调制子系统内部，也可以位于处理装置1600中，只要该存储器1606可以连接到所述处理器1603即可。

作为本实施例的另一种形式，提供一种计算机可读存储介质，其上存储有指令，该指令被执行时执行上述方法实施例中RAN设备侧的方法。

作为本实施例的另一种形式，提供一种包含指令的计算机程序产品，该指令被执行时执行上述方法实施例中RAN设备侧的方法。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (40)

1. 一种连接管理方法，其特征在于，包括：

   通信设备接收连接管理消息及完整性保护信息，所述完整性保护信息是根据所述连接管理消息使用第一安全算法生成的；

   所述通信设备根据所述第一安全算法和所述完整性保护信息对所述连接管理消息进行第一完整性效验；

   所述通信设备根据第一完整性校验的结果，执行第二完整性校验，所述通信设备根据第二完整性效验的结果执行连接管理过程。
2. 根据权利要求1所述的方法，其特征在于，所述通信设备根据第一完整性校验的结果，执行第二完整性校验，包括：

   当所述第一完整性效验的结果为未通过时，所述通信设备获取所述连接管理消息中包括的第二安全算法的配置信息；

   所述通信设备根据所述第二安全算法的配置信息和所述完整性保护信息对所述连接管理消息进行第二完整性效验。
3. 根据权利要求2所述的方法，其特征在于，所述通信设备根据所述第二完整性效验的结果执行连接管理过程，包括：

   当所述第二完整性效验的结果为通过时，执行连接管理过程。
4. 根据权利要求3所述的方法，其特征在于，所述当所述第二完整性效验的结果为通过时，执行连接管理过程，包括：

   当所述第二完整性效验的结果为通过，且所述连接管理消息未携带第一类配置参数信息，执行连接管理过程，所述第一类配置参数信息为被允许在加密的消息中发送的配置信息。
5. 一种连接管理方法，其特征在于，包括：

   网络设备获取通信设备使用的第一安全算法的配置信息；

   所述网络设备根据所述配置信息判断所述网络设备是否支持所述第一安全算法；

   所述网络设备根据判断结果生成连接管理消息和完整性保护信息；

   所述网络设备发送所述连接管理消息和所述完整性保护信息。
6. 根据权利要求5所述的方法，其特征在于，所述网络设备根据判断结果生成连接管理消息和完整性保护信息，包括：

   当所述判断结果为所述网络设备不支持所述第一安全算法时，所述网络设备生成连接管理消息，并根据所述连接管理消息使用第二安全算法生成所述完整性保护信息，所述第二安全算法是所述网络设备支持的；

   其中，所述连接管理消息包括所述第二安全算法的配置信息。
7. 根据权利要求6所述的方法，其特征在于，所述连接管理消息还包括第二类配置参数信息，所述第二类配置参数信息为被允许在加密和未加密的消息中发送的配置信息。
8. 根据权利要求5所述的方法，其特征在于，所述网络设备根据判断结果生成连接管理消息和完整性保护信息，包括：

   当所述网络设备支持所述第一安全算法时，所述网络设备使用所述第一安全算法 加密生成所述连接管理消息，并根据所述连接管理消息使用第一安全算法生成所述完整性保护信息。
9. 根据权利要求8所述的方法，其特征在于，所述连接管理消息携带第一类配置参数信息和第二类配置参数信息，所述第一类配置参数信息为被允许在加密的消息中发送的配置信息，所述第二类配置参数信息为被允许在加密和未加密的消息中发送的配置信息。
10. 一种连接管理方法，其特征在于，包括：

    通信设备接收连接管理消息、完整性保护信息、以及安全算法的配置信息，所述连接管理消息为使用所述安全算法加密的，所述完整性保护信息为使用所述安全算法根据所述连接管理消息生成的，所述安全算法的配置信息未加密；

    所述通信设备根据所述安全算法的配置信息对所述连接管理消息进行完整性校验，并且基于所述安全算法的配置信息对所述连接管理消息进行解密，并根据解密结果执行连接管理过程。
11. 根据权利要求10所述的方法，其特征在于，所述连接管理消息、完整性保护信息、以及安全算法的配置信息是通过一个高层数据单元传输的。
12. 根据权利要求11所述的方法，其特征在于，所述安全算法的配置信息在PDCP层数据单元的包头，或者在PDCP层数据单元的所述完整性保护信息之后。
13. 一种连接管理方法，其特征在于，包括：

    网络设备使用安全算法加密生成连接管理消息，使用所述安全算法根据所述连接管理消息生成完整性保护信息；

    所述网络设备发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息。
14. 根据权利要求13所述的方法，其特征在于，所述安全算法的配置信息包括安全算法的标识、密钥和密钥输入参数中的至少一种。
15. 根据权利要求13或14所述的方法，其特征在于，所述网络设备发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息，包括：

    所述网络设备通过一个高层数据单元发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息。
16. 根据权利要求15所述的方法，其特征在于，所述高层数据单元包括PDCP层数据单元；

    所述网络设备通过一个高层数据单元发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息，包括：

    所述网络设备将RRC层的所述连接管理消息设置为PDCP层数据单元的数据；

    所述网络设备将所述未加密的安全算法的配置信息设置在PDCP层数据单元的包头，或者设置在PDCP层数据单元的所述完整性保护信息之后。
17. 一种通信设备，其特征在于，包括：

    接收模块，用于接收连接管理消息及完整性保护信息，所述完整性保护信息是根据所述连接管理消息使用第一安全算法生成的；

    处理模块，用于根据所述第一安全算法和所述完整性保护信息对所述连接管理消 息进行第一完整性效验；

    所述处理模块，还用于根据第一完整性校验的结果，执行第二完整性校验，并根据第二完整性效验的结果执行连接管理过程。
18. 根据权利要求17所述的通信设备，其特征在于，所述处理模块用于根据第一完整性校验的结果，执行第二完整性校验，包括：

    当所述第一完整性效验的结果为未通过时，获取所述连接管理消息中包括的第二安全算法的配置信息；

    根据所述第二安全算法的配置信息和所述完整性保护信息对所述连接管理消息进行第二完整性效验。
19. 根据权利要求18所述的通信设备，其特征在于，所述处理模块用于根据所述第二完整性效验的结果执行连接管理过程，包括：

    当所述第二完整性效验的结果为通过时，执行连接管理过程。
20. 根据权利要求19所述的通信设备，其特征在于，所述处理模块用于当所述第二完整性效验的结果为通过时，执行连接管理过程，包括：

    当所述第二完整性效验的结果为通过，且所述连接管理消息未携带第一类配置参数信息，执行连接管理过程，所述第一类配置参数信息为被允许在加密的消息中发送的配置信息。
21. 一种网络设备，其特征在于，包括：

    处理模块，用于确定通信设备使用的第一安全算法的配置信息；

    所述处理模块，还用于根据所述配置信息判断所述网络设备是否支持所述第一安全算法；

    所述处理模块，还用于根据判断结果生成连接管理消息和完整性保护信息；

    发送模块，用于发送所述连接管理消息和所述完整性保护信息。
22. 根据权利要求21所述的网络设备，其特征在于，所述处理模块用于根据判断结果生成连接管理消息和完整性保护信息，包括：

    当所述判断结果为所述网络设备不支持所述第一安全算法时，生成连接管理消息，并根据所述连接管理消息使用第二安全算法生成所述完整性保护信息，所述第二安全算法是所述网络设备支持的；

    其中，所述连接管理消息包括所述第二安全算法的配置信息。
23. 根据权利要求22所述的网络设备，其特征在于，所述连接管理消息还包括第二类配置参数信息，所述第二类配置参数信息为被允许在加密和未加密的消息中发送的配置信息。
24. 根据权利要求21所述的网络设备，其特征在于，所述处理模块用于根据判断结果生成连接管理消息和完整性保护信息，包括：

    当所述网络设备支持所述第一安全算法时，使用所述第一安全算法加密生成所述连接管理消息，并根据所述连接管理消息使用第一安全算法生成所述完整性保护信息。
25. 根据权利要求24所述的网络设备，其特征在于，所述连接管理消息携带第一类配置参数信息和第二类配置参数信息，所述第一类配置参数信息为被允许在加密的消息中发送的配置信息，所述第二类配置参数信息为被允许在加密和未加密的消息中 发送的配置信息。
26. 一种通信设备，其特征在于，包括：

    接收模块，用于接收连接管理消息、完整性保护信息、以及安全算法的配置信息，所述连接管理消息为使用所述安全算法加密的，所述完整性保护信息为使用所述安全算法根据所述连接管理消息生成的，所述安全算法的配置信息未加密；

    处理模块，用于根据所述安全算法的配置信息对所述连接管理消息进行完整性校验，并且基于所述安全算法的配置信息对所述连接管理消息进行解密，并根据解密结果执行连接管理过程。
27. 根据权利要求26所述的通信设备，其特征在于，所述连接管理消息、完整性保护信息、以及安全算法的配置信息是通过一个高层数据单元传输的。
28. 根据权利要求27所述的通信设备，其特征在于，所述安全算法的配置信息在PDCP层数据单元的包头，或者在PDCP层数据单元的所述完整性保护信息之后。
29. 一种网络设备，其特征在于，包括：

    处理模块，用于使用安全算法加密生成连接管理消息，使用所述安全算法根据所述连接管理消息生成完整性保护信息；

    发送模块，用于发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息。
30. 根据权利要求29所述的网络设备，其特征在于，所述安全算法的配置信息包括安全算法的标识、密钥和密钥输入参数中的至少一种。
31. 根据权利要求29或30所述的网络设备，其特征在于，所述发送模块用于通过一个高层数据单元发送所述连接管理消息、所述完整性保护信息、以及未加密的所述安全算法的配置信息。
32. 根据权利要求31所述的网络设备，其特征在于，所述高层数据单元包括PDCP层数据单元；

    所述处理模块还用于将RRC层的所述连接管理消息设置为PDCP层数据单元的数据；将所述未加密的安全算法的配置信息设置在PDCP层数据单元的包头，或者设置在PDCP层数据单元的所述完整性保护信息之后。
33. 一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1至4中任一项所述的连接管理方法。
34. 一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求5至9中任一项所述的连接管理方法。
35. 一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求10至12中任一项所述的连接管理方法。
36. 一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求13至16中任一项所述的连接管理方法。
37. 一种通信装置，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序，其特征在于，所述处理器执行所述程序时实现权利要求1至4中任一项所述的连接管理方法。
38. 一种通信装置，包括存储器、处理器及存储在所述存储器上并可在所述处理 器上运行的程序，其特征在于，所述处理器执行所述程序时实现权利要求5至9中任一项所述的连接管理方法。
39. 一种通信装置，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序，其特征在于，所述处理器执行所述程序时实现权利要求10至12中任一项所述的连接管理方法。
40. 一种通信装置，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序，其特征在于，所述处理器执行所述程序时实现权利要求13至16中任一项所述的连接管理方法。

Images