WO2019157930A1

WO2019157930A1 - 通信方法及装置

Info

Publication number: WO2019157930A1
Application number: PCT/CN2019/073227
Authority: WO
Inventors: 应江威; 于峰; 蔺波
Original assignee: 华为技术有限公司
Priority date: 2018-02-13
Filing date: 2019-01-25
Publication date: 2019-08-22
Also published as: US20200374139A1; EP3745755A1; EP3745755A4; CN110167019A

Abstract

本申请公开了一种通信方法及装置。其中的方法包括：终端接收来自基站的第一系统信息块，所述第一系统信息块包括加密的时间信息，所述时间信息用于所述终端所处密钥区内的终端进行同步；所述终端根据所述终端所处密钥区的密钥，解密所述加密的时间信息。本申请还公开了相应的装置。基站在系统信息块中携带加密的时间信息，终端根据终端所处密钥区的密钥，解密该加密的时间信息，实现了时间信息的安全传输。

Description

通信方法及装置

本申请要求于2018年2月13日提交中国专利局、申请号为201810149663.8、发明名称为“通信方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

在第四代(4 ^th generation，4G)移动通信或第五代(5 ^th generation，5G)移动通信的某些工业通信场景下，要求终端之间进行时间同步。为了实现终端之间的同步，如图1所示，现有技术中将基站作为终端的时间同步源，广播用于终端之间同步的时间信息，从而让该基站服务范围内的所有的终端都与基站保持同步，进而实现终端之间的同步。

上述现有技术中，时间信息存在安全隐患，例如，时间信息可能是被攻击者伪造的，如图2所示，通过伪基站广播伪时间信息，造成终端之间的不同步。例如，在工业控制场景中，控制器和执行器这两个终端之间需要保持时间同步，以便控制器给执行器发送控制信令，执行器在准确的时间执行命令。若执行器与控制器不同步，会导致执行器在错误的时间执行命令，导致任务执行失，而且可能导致与另外的执行器冲突。

发明内容

本申请提供一种通信方法及装置，以实现时间信息的安全传输。

第一方面，提供了一种通信方法，包括：终端接收来自第一基站的第一系统信息块，所述第一系统信息块包括加密的时间信息，所述时间信息用于所述终端所处密钥区内的终端进行同步；所述终端根据所述终端所处密钥区的密钥，解密所述加密的时间信息。在该方面中，基站在系统信息块中携带加密的时间信息，终端根据终端所处密钥区的密钥，解密该加密的时间信息，实现了时间信息的安全传输。

结合第一方面，在第一方面的第一种可能的实现方式中，所述方法还包括：所述终端获取所述终端所处密钥区的密钥。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述终端获取所述终端所处密钥区的密钥，包括：所述终端根据所述第一系统信息块，获取所述终端所处密钥区的密钥；或者，当所述终端从第一密钥区移动到第二密钥区时，所述终端获取所述第二密钥区的密钥；或者，所述终端接收来自所述第一基站的携带有密钥相关信息的第二系统信息块，并根据所述密钥相关信息获取所述终端所处密钥区的密钥。在该实现方式中，终端可以在接收到第一系统信息块后，获取终端所处密钥区的密钥；在发生密钥区更新时，终端重新获取终端所处密钥区的密钥；终端还可以根据密钥相关信息获取终端所处密钥区的密钥。

结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述终端根据所述第一系统信息块，获取所述终端所处密钥区的密钥，包括：当所述第一系统信息块还包括密钥相关信息，且所述终端存储有所述密钥相关信息对应的密钥时，所述终端获取所述存储的所述密钥相关信息对应的密钥；或者，当所述第一系统信息块还包括密钥相关信息，且所述终端未存储有所述密钥相关信息对应的密钥时，所述终端获取所述终端所处密钥区的密钥；或者，当所述终端根据所述终端存储的密钥解密所述加密的时间信息失败时，所述终端获取所述终端所处密钥区的密钥。在该实现方式中，终端根据密钥相关信息判断终端是否有存储密钥相关信息对应的密钥；根据密钥相关信息获取终端所处密钥区的密钥；根据密钥相关信息判断存储的密钥是否能解密加密的时间信息。

结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述终端获取所述终端所处密钥区的密钥，包括：所述终端向移动性管理网元发送非接入层请求消息，并接收来自所述移动性管理网元的非接入层响应消息，所述非接入层响应消息包括所述密钥；或所述终端向所述基站发送第一无线资源控制RRC消息，并接收来自所述基站的第二RRC消息，所述第二RRC消息包括所述密钥。在该实现方式中，终端初始接入网络或进行小区重选时，可以通过NAS请求消息从移动性管理网元获取终端所处密钥区的密钥，也可以通过RRC消息从基站获取终端所处密钥区的密钥。

结合第一方面的第三种可能的实现方式，在第一方面的第五种可能的实现方式中，所述终端获取所述终端所处密钥区的密钥，包括：所述终端向所述基站发送RRC连接建立请求消息，所述RRC连接建立请求消息包括非接入层请求消息；所述终端接收来自所述基站的RRC连接重配置消息，所述RRC连接重配置消息包括所述密钥，或，所述RRC连接重配置消息包括非接入层响应消息，所述非接入层响应消息包括所述密钥。

结合第一方面的第三种可能的实现方式，在第一方面的第六种可能的实现方式中，所述终端获取所述终端所处密钥区的密钥，包括：所述终端向所述基站发送RRC请求消息，所述RRC请求消息不包括非接入层请求消息，并接收来自所述基站的RRC响应消息，所述RRC响应消息包括所述密钥。

结合第一方面的第二种可能的实现方式，在第一方面的第七种可能的实现方式中，当所述终端从第一密钥区移动到第二密钥区时，所述终端获取所述第二密钥区的密钥，包括：当所述终端从所述第一密钥区内的小区重选到所述第二密钥区内的小区时，所述终端获取所述第二密钥区的密钥；或者，当所述终端从所述第一密钥区内的源基站切换到所述第二密钥区内的目标基站时，所述终端获取所述第二密钥区的密钥；或者，当所述终端从所述第一密钥区内的无线接入网通知区RNA移动到所述第二密钥区内的RNA时，所述终端获取所述第二密钥区的密钥。在该实现方式中，当发生小区重选、基站切换或RNA变更，终端获取重新获取终端所处密钥区的密钥。

结合第一方面的第七种可能的实现方式，在第一方面的第八种可能的实现方式中，所述当所述终端从所述第一密钥区内的小区重选到所述第二密钥区内的小区时，所述终端获取所述第二密钥区的密钥，包括：所述终端向移动性管理网元发送非接入层请求消息，并接收来自所述移动性管理网元的非接入层响应消息，所述非接入层响应消息包括所述第二密钥区的密钥；或，所述终端向所述第二密钥区内的所述小区对应的第二基站发送第一RRC消息，并接收来自所述第二基站的第二RRC消息，所述第二RRC消息包括所述第二密钥区的密钥。

结合第一方面的第七种可能的实现方式，在第一方面的第九种可能的实现方式中，所述终端处于连接态，且当所述终端从所述第一密钥区内的源基站切换到所述第二密钥区内的目标基站时，所述终端获取所述第二密钥区的密钥，包括：所述终端接收来自所述源基站的RRC消息，所述RRC消息包括所述第二密钥区的密钥。

结合第一方面的第七种可能的实现方式，在第一方面的第十种可能的实现方式中，所述终端处于非激活态，且当所述终端从所述第一密钥区内的RNA移动到所述第二密钥区内的RNA时，所述终端获取所述第二密钥区的密钥，包括：当所述终端从所述第一密钥区内的RNA移动到所述第二密钥区内的RNA内的第三基站，所述终端向所述第三基站发送RRC连接恢复请求消息；所述终端接收来自所述第三基站的RRC连接释放消息，所述RRC连接释放消息包括所述第二密钥区的密钥。

结合第一方面、或第一方面的第一种可能的实现方式至第一方面的第十种可能的实现方式中的任一方面，在第一方面的第十一种可能的实现方式中，所述第一系统信息块为采用证书签名后的系统信息块，所述方法还包括：所述终端接收来自所述移动性管理网元或所述第一基站的所述证书；所述终端采用所述证书验证所述第一系统信息块的签名。在该实现方式中，采用证书对第一系统信息块签名，终端对签名的第一系统信息块进行验证，可以进一步保证时间信息的安全传输。

结合第一方面、或第一方面的第一种可能的实现方式至第一方面的第十一种可能的实现方式中的任一方面，在第一方面的第十二种可能的实现方式中，所述方法还包括：所述终端接收来自所述第一基站的第三系统信息块，所述第三系统信息块包括指示信息，所述指示信息指示用于携带所述加密的时间信息的所述第一系统信息块；所述终端根据所述指示信息所指示的所述第一系统信息块中，获取所述加密的时间信息。在该实现方式中，通过预先发送指示信息，可以指示终端携带加密的时间信息的系统信息块，这样，终端可以准确地在该系统信息块上获取加密的时间信息。

结合第一方面、或第一方面的第一种可能的实现方式至第一方面的第十二种可能的实现方式中的任一方面，在第一方面的第十三种可能的实现方式中，所述方法还包括：所述终端接收所述终端所处密钥区的相邻密钥区的密钥。在该实现方式中，终端预先获取相邻密钥区的密钥，使得终端在发生上述小区重选、基站切换或RNA变更时，可以直接获取终端存储的密钥，解密时间信息。

第二方面，提供了一种通信方法，包括：第一基站根据时间信息和所述第一基站所处密钥区的密钥，获得加密的时间信息，所述时间信息用于所述密钥区内的终端进行同步；所述第一基站发送第一系统信息块，所述第一系统信息块包括所述加密的时间信息。在该方面中，基站在系统信息块中携带加密的时间信息，终端根据终端所处密钥区的密钥，解密该加密的时间信息，实现了时间信息的安全传输。

结合第二方面，在第二方面的第一种可能的实现方式中，所述方法还包括：所述第一基站向终端发送所述密钥。

结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述第一基站向终端发送所述密钥包括：所述第一基站接收来自移动性管理网元的授权指示信息，所述授权指示信息用于指示所述终端被授权使用时间同步业务；所述第一基站根据所述授权指示信息，向所述终端发送所述密钥。在该实现方式中，基站根据移动性管理网元的授权指示发送密钥给终端，被授权使用时间同步业务的终端可以获取密钥，从而解密接收到的时间信息，从而可以有效地管理使用时间同步业务的终端。

结合第二方面的第一种可能的实现方式，在第二方面的第三种可能的实现方式中，所述第一基站为第二密钥区内的目标基站，所述终端从第一密钥区的源基站切换到所述目标基站，所述第一基站向终端发送所述密钥包括：所述第一基站接收来自所述源基站的切换请求消息，并向所述源基站发送切换命令，所述切换命令包括所述密钥，所述密钥为所述第二密钥区的密钥；或者，所述第一基站接收来自移动性管理网元的切换请求消息，并向所述移动性管理网元发送切换请求响应消息，所述切换请求响应消息包括所述密钥，所述密钥为所述第二密钥区的密钥。在该实现方式中，跟随基站切换，密钥区发生变化，终端重新获取所处密钥区的密钥。

结合第二方面的第一种可能的实现方式，在第二方面的第四种可能的实现方式中，所述终端从第一密钥区内的无线接入网通知区RNA移动到第二密钥区内的RNA内的所述第一基站，所述第一基站向终端发送所述密钥包括：所述第一基站接收来自所述终端的RRC连接恢复请求消息；所述第一基站根据所述RRC连接恢复请求消息，向所述终端发送RRC连接释放消息，所述RRC连接释放消息包括所述密钥，所述密钥为所述第二密钥区的密钥。在该实现方式中，RNA发生更新，密钥区发生变化，终端重新获取所处密钥区的密钥。

结合第二方面、或第二方面的第一种可能的实现方式至第二方面的第四种可能的实现方式中的任一种实现方式，在第二方面的第五种可能的实现方式中，所述方法还包括：所述第一基站接收来自操作管理维护实体或移动性管理网元的证书；所述第一基站采用所述证书对所述第一系统信息块进行签名。在该实现方式中，采用证书对第一系统信息块签名，终端对签名的第一系统信息块进行验证，可以进一步保证时间信息的安全传输。

结合第二方面、或第二方面的第一种可能的实现方式至第二方面的第五种可能的实现方式中的任一种实现方式，在第二方面的第六种可能的实现方式中，所述方法还包括：所述第一基站发送第二系统信息块，所述第二系统信息块包括指示信息，所述指示信息指示用于携带所述加密的时间信息的所述第一系统信息块；或者，所述第一基站发送第三系统信息块，所述第三系统信息块包括密钥相关信息，所述密钥相关信息用于获取所述密钥。在该实现方式中，通过预先发送指示信息，可以指示终端携带加密的时间信息的系统信息块，这样，终端可以准确地在该系统信息块上获取加密的时间信息；基站发送密钥相关信息，终端可以根据密钥相关信息获取终端所处密钥区的密钥。

结合第二方面、或第二方面的第一种可能的实现方式至第二方面的第六种可能的实现方式中的任一种实现方式，在第二方面的第七种可能的实现方式中，所述方法还包括：所述第一基站接收来自移动性管理网元、相邻基站、或操作管理维护实体的所述第一基站所处密钥区的相邻密钥区的密钥；所述第一基站发送所述相邻密钥区的密钥。在该实现方式中，基站预先发送相邻密钥区的密钥给终端，使得终端在发生上述小区重选、基站切换或RNA变更时，可以直接获取终端存储的密钥，解密时间信息。

结合第二方面、或第二方面的第一种可能的实现方式至第二方面的第七种可能的实现方式中的任一种实现方式，在第二方面的第八种可能的实现方式中，所述方法还包括：

所述第一基站接收来自安全功能实体、操作管理维护实体或移动性管理网元的所述密钥。

第三方面，提供了一种通信方法，包括：移动性管理网元接收来自终端的非接入层请求消息；所述移动性管理网元向所述终端发送非接入层响应消息，所述非接入层响应消息包括所述终端所处密钥区的密钥。在该方面中，移动性管理网元发送终端所处密钥区的密钥给终端，终端根据获取的密钥，解密接收到的加密的时间信息，实现了时间信息的安全传输。

结合第三方面，在第三方面的第一种可能的实现方式中，所述方法还包括：所述移动性管理网元根据所述非接入层请求消息，获取所述终端的签约信息；当所述移动性管理网元根据所述签约信息确定所述终端被授权使用时间同步业务时，所述移动性管理网元将所述终端所处密钥区的密钥封装在所述非接入层响应消息中。在该实现方式中，移动性管理网元根据终端的签约信息发送密钥给终端，被授权使用时间同步业务的终端可以获取密钥，从而解密接收到的时间信息，从而可以有效地管理使用时间同步业务的终端。

结合第三方面或第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，所述方法还包括：所述移动性管理网元接收来自第一基站、或操作管理维护实体的所述密钥。

第四方面，提供了一种通信方法，包括：移动性管理网元接收来自终端的非接入层请求消息；所述移动性管理网元根据所述非接入层请求消息，获取所述终端的签约信息；当所述移动性管理网元根据所述签约信息确定所述终端被授权使用时间同步业务时，向第一基站发送授权指示信息，所述授权指示信息用于指示所述终端被授权使用所述时间同步业务。在该方面中，移动性管理网元根据终端的签约信息发送密钥给终端，被授权使用时间同步业务的终端可以获取密钥，从而解密接收到的时间信息，从而可以有效地管理使用时间同步业务的终端。

第五方面，提供了一种通信方法，包括：移动性管理网元接收来自源基站的切换请求消息；所述移动性管理网元向目标基站发送所述切换请求消息；所述移动性管理网元接收来自所述目标基站的切换请求响应消息，所述切换请求响应消息包括所述目标基站所处密钥区的密钥；所述移动性管理网元向所述源基站发送切换命令消息，所述切换命令消息包括所述目标基站所处密钥区的密钥。在该实现方式中，跟随基站切换，密钥区发生变化，终端重新获取所处密钥区的密钥。

第六方面，提供了一种通信方法，包括：源基站获取目标基站所处密钥区的密钥；所述源基站向终端发送所述目标基站所处密钥区的密钥。在该方面中，跟随基站切换，密钥区发生变化，终端重新获取所处密钥区的密钥。

结合第六方面，在第六方面的第一种可能的实现方式中，所述源基站获取目标基站所处密钥区的密钥，包括：所述源基站向所述目标基站发送切换请求消息；所述源基站接收来自所述目标基站的切换命令，所述切换命令包括所述目标基站所处密钥区的密钥。

结合第六方面，在第六方面的第二种可能的实现方式中，所述源基站获取目标基站所处密钥区的密钥，包括：所述源基站向移动性管理网元发送切换请求消息；所述源基站接收来自所述移动性管理网元的切换命令，所述切换命令包括所述目标基站所处密钥区的密钥。

结合第六方面、或第六方面的第一种可能的实现方式、或第六方面的第二种可能的实现方式，在第六方面的第三种可能的实现方式中，所述方法还包括：所述源基站接收来所述目标基站所处密钥区的相邻密钥区的密钥；所述源基站向所述终端发送所述目标基站所处密钥区的相邻密钥区的密钥。在该实现方式中，基站预先发送相邻密钥区的密钥给终端，使得终端在发生上述小区重选、基站切换或RNA变更时，可以直接获取终端存储的密钥，解密时间信息。

第七方面，提供了一种通信装置，包括处理器，处理器与存储器耦合，存储器用于存储程序，处理器调用存储器存储的程序，以执行以上第一方面的方法。该通信装置可以是终端，也可以是至少一个处理元件或芯片。

第八方面，提供了一种通信装置，包括处理器，处理器与存储器耦合，存储器用于存储程序，处理器调用存储器存储的程序，以执行以上第二方面的方法。该通信装置可以是第一基站，也可以是至少一个处理元件或芯片。

第九方面，提供了一种通信装置，包括处理器，处理器与存储器耦合，存储器用于存储程序，处理器调用存储器存储的程序，以执行以上第三方面至第五方面中任一方面的方法。该通信装置可以是移动性管理网元，也可以是至少一个处理元件或芯片。

第十方面，提供了一种通信装置，包括处理器，处理器与存储器耦合，存储器用于存储程序，处理器调用存储器存储的程序，以执行以上第六方面的方法。该通信装置可以是源基站，也可以是至少一个处理元件或芯片。

第十一方面，提供了一种通信装置，包括用于执行以上第一方面的方法中各个步骤的单元或者手段(means)。该通信装置可以是终端，也可以是至少一个处理元件或芯片。

第十二方面，提供了一种通信装置，包括用于执行以上第二方面的方法中各个步骤的单元或者手段(means)。该通信装置可以是第一基站，也可以是至少一个处理元件或芯片。

第十三方面，提供了一种通信装置，包括用于执行以上第三方面至第五方面中任一方面的方法中各个步骤的单元或者手段(means)。该通信装置可以是移动性管理网元，也可以是至少一个处理元件或芯片。

第十四方面，提供了一种通信装置，包括用于执行以上第六方面的方法中各个步骤的单元或者手段(means)。该通信装置可以是源基站，也可以是至少一个处理元件或芯片。

第十五方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第十六方面，提供了一种程序，该程序在被处理器执行时用于执行以上第一方面至第六方面中的任一方面或任一方面的任一种实施方式中的方法。

附图说明

为了更清楚地说明本申请实施例或背景技术中的技术方案，下面将对本申请实施例或背景技术中所需要使用的附图进行说明。

图1为通过基站实现终端与终端之间同步的示意图；

图2为伪基站发送伪时间信息的示意图；

图3为本申请实施例提供的一种通信系统的示意图；

图4a为一种4G通信系统架构示意图；

图4b为一种的5G通信系统架构示意图；

图5为本申请实施例提供的一种通信方法的交互流程示意图；

图6为本申请实施例提供的一个示例的通信方法的交互流程示意图；

图7a为本申请实施例提供的另一个示例的通信方法的交互流程示意图；

图7b为本申请实施例提供的又一个示例的通信方法的交互流程示意图；

图8为本申请实施例提供的又一个示例的通信方法的交互流程示意图；

图9为本申请实施例提供的又一个示例的通信方法的交互流程示意图；

图10为本申请实施例提供的又一个示例的通信方法的交互流程示意图；

图11为本申请实施例提供的又一个示例的通信方法的交互流程示意图；

图12为本申请实施例提供的一种通信装置的模块结构示意图；

图13为本申请实施例提供的另一种通信装置的模块结构示意图；

图14为本申请实施例提供的又一种通信装置的模块结构示意图；

图15为本申请实施例提供的又一种通信装置的模块结构示意图；

图16为本申请实施例提供的又一种通信装置的模块结构示意图；

图17为本申请实施例提供的又一种通信装置的模块结构示意图；

图18为本申请实施例提供的一种通信装置的硬件结构示意图；

图19为本申请实施例提供的另一种通信装置的硬件结构示意图；

图20为本申请实施例提供的又一种通信装置的硬件结构示意图。

具体实施方式

下面结合本申请实施例中的附图对本申请实施例进行描述。

本申请实施例提供的一种通信方法及装置可应用于如图3所示的通信系统中。如图3所示，该通信系统可以包括终端100、基站200和移动性管理网元300。终端100可以与基站200进行通信，终端100还可以通过基站200与移动性管理网元300进行通信。

其中，该移动性管理网元300，可以用于终端的接入管理。例如，4G通信系统中的移动性管理功能实体(mobility management entity，MME)，或5G通信系统中的移动性管理功能实体(access and mobility management function，AMF)。

基站200，可以用于管理无线资源，为终端提供接入服务。基站200可以是4G或5G通信系统中的接入网设备(access network，AN)或无线接入网设备(radio access network，RAN)，例如，5G通信系统中的NG-RAN，或4G通信系统中的演进型基站(evolved Node B，eNB)。

终端100，是一种具有无线收发功能的设备可以部署在陆地上，可以包括室内或室外、手持、穿戴或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请的实施例对应用场景不做限定。终端有时也可以称为用户设备(user equipment，UE)、接入终端、UE单元、UE站、移动站、移动台、远方站、远程终端、移动设备、UE终端、无线通信设备、UE代理或UE装置等。

需要说明的是，移动性管理网元仅是一个名字，名字本身对实体不构成限定。例如，该移动性管理网元也有可能被替换为“移动性管理功能”或其它名字。

此外，该移动性管理网元可以是一个独立的物理设备，也可以是一个物理设备上的功能模块，不予限制。

在本申请实施例中，基站200在系统信息块中携带加密的时间信息，终端100根据该终端所处密钥区的密钥解密该加密的时间信息，从而实现了时间信息的安全传输。时间信息可以用于基站所处密钥区内的终端进行同步。例如，该时间信息可以是具体的时刻值。

其中，密钥区可以有多种粒度划分方式，可以包括以基站、控制单元(control unit，CU)、跟踪区域(tracking area，TA)或公共陆地移动网络(public land mobile network，PLMN)为粒度划分等。

例如，假设密钥区以基站粒度划分，则基站所处的密钥区可以是该基站的信号覆盖区域，换言之，可以是该基站的所有小区的信号覆盖范围，此时，不同基站的密钥可以不同或相同。假设密钥区以比基站更大的粒度划分，例如，TA，则基站所处的密钥区可以是该基站所处的TA，此时，该TA内所有基站的密钥可以相同。

需要指出的是，终端100可以用于执行本申请各方法实施例中终端的动作，基站200可以用于指示本申请图5所示实施例中第一基站的动作、或图6～图7b中任一实施例中基站的动作、或图9～图10中任一实施例中源基站或目标基站的动作、或图8、图11中任一实施例中基站1或基站2的动作，移动性管理网元300可以用于指示本申请各方法实施例中移动性管理网元的动作。

示例性地，终端100获取密钥的方式可以包括以下方式：终端100从移动性管理网元300获取终端100所处密钥区的密钥，或者由移动性管理网元300授权指示基站200向终端100发送该密钥，或者移动性管理网元300将从目标基站获取的目标基站所处密钥区的密钥发送给源基站，再由源基站发送该密钥给终端。

此外，本申请实施例可以应用于4G或5G通信系统，下面对4G和5G通信系统进行简单介绍。

图4a为一种4G通信系统架构示意图。该通信系统可包括终端、eNB和MME。还可包括其它的功能实体，例如核心网中的归属签约用户服务器(home subscriber server，HSS)、服务网关(serving gateway，SGW)和PDN网关(PDN gateway，PGW)等，在这里仅重点描述本申请涉及的几个功能实体。各实体之间通过Sx接口连接(例如图中的S1-MME、S1-U等)。HSS用于管理用户签约信息。SGW提供用户数据转发的用户面功能。PGW为EPC网络的边界网关，提供用户的会话管理和承载控制、数据转发、IP地址分配以及非3GPP用户接入等功能。

图4b为一种5G通信系统架构示意图。该通信系统可包括终端、NG-RAN和AMF。还可包括其它的功能实体，例如，统一数据管理网元(unified data management，UDM)、用户面功能网元(user plane function，UPF)和会话管理网元(session management function，SMF)等，在这里仅重点描述本申请涉及的几个功能实体。各实体之间通过Nx接口连接(例如图中的N1、N2等)。UDM用于管理用户签约信息。UPF主要负责分组数据包的转发、服务质量(quality of service，QoS)控制、计费信息统计等；SMF负责进行统一的会话管理。

上述图3、图4a或图4b所示系统中的任意一种功能实体或网元，具体实现中，可能由一个物理设备实现，也可能由多个物理设备共同实现，本申请实施例对此不作具体限定。即，可以理解的是，上述系统中的任意一种功能实体或者网元，都可能是实体设备内的一个逻辑功能模块，也可能是由多个实体设备组成的一个逻辑功能模块，本申请实施例对此不作具体限定。

需要说明的是，本申请实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上，鉴于此，本申请实施例中也可以将“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。本申请实施例不但可以应用在上述4G或5G通信系统中，还可以应用于其后的演进通信系统，不予限制。

图5为本申请实施例提供的一种通信方法的交互流程示意图，该方法可包括以下步骤：

S101、第一基站根据时间信息和第一基站所处密钥区的密钥，获得加密的时间信息。

其中，时间信息可以用于第一基站所处密钥区内的终端进行同步。例如，该时间信息可以是时刻值。

在一个示例中，第一基站可以采用现有的加密算法对时间信息进行加密。例如，加密算法可以是基于SNOW 3G的128-EEA(EPS encryption algorithm)1算法，或者基于高级加密标准(advanced encryption standard，AES)的128-EEA2算法，或者基于祖冲之(Zu Chongzhi，ZUC)的128-EEA3算法。

S102、第一基站发送第一系统信息块(system information block，SIB)，该第一系统信息块包括加密的时间信息。

其中，第一基站可以采用广播的方式发送该第一系统信息块，以便处于第一基站覆盖范围内的终端都可以接收到该第一系统信息块。

其中，该第一系统信息块可以为SIB1～SIB100中的任一的系统信息块。

相应地，终端接收来自第一基站的该第一系统信息块。

其中，由于终端可以接收到第一基站发送的第一系统信息块，可以理解为终端与第一基站处于同一个密钥区，此时，终端所处密钥区的密钥与第一基站所处密钥区的密钥相同。因此，上述时间信息也可以称之用于终端所处密钥区内的终端进行同步的时间信息。

S103、终端根据该终端所处密钥区的密钥，解密该加密的时间信息。

通过步骤S103，终端可以得到解密的时间信息，进而终端可以根据解密的时间信息，与该密钥区的其它终端进行同步。例如，进行时间同步业务的各个终端将自身的时间均调整到接收到的第一系统信息块中包括的时刻值。

本实施例提供的方法，基站通过加密时间信息，并向终端发送该加密的时间信息，终端根据该终端所处密钥区的密钥解密获得时间信息，实现了时间信息的安全传输，进而使得终端之间可以同步。这样，在背景技术提及的工业场景中，控制器和各个执行器获得加密的时间信息，根据该时间信息，各个执行器便可实现与控制器以及其它执行器的同步，准确地执行控制器的指令。通过对时间信息进行加密，没有获取密钥的终端无法解密获得该时间信息，因此，运营商可以针对该时间同步业务进行收费。

可选地，在S101之前，上述方法还包括：基站生成或获得时间信息。

一个实现方式为，基站可以从其它设备、模块或网络获得时间信息，例如，可以从设置于基站上的GPS模块获取时间信息，或者通过基站与时间服务器之间的1588协议或网络时间协议(network time protocol，NTP)获取时间信息。基站可以直接在第一系统信息块中发送获得的时间信息给终端。

另一个实现方式为，基站也可以将基站通过以上实现方式中获得的时间信息结合自身的策略生成时间信息，将生成的时间信息发送给终端。例如，第一系统信息块携带的时间信息可以与基站的物理层帧结构相关，可以在某一个时间参考点发送该第一系统信息块，该第一系统信息块携带基站从其它设备、模块或网络获得的时间信息。终端根据该时间参考点和第一系统信息块中携带的时间信息确定终端进行同步的时间信息。

可选地，在上述实施例的第一种实施场景下，上述方法还包括：基站获得该基站所处密钥区的密钥。

在一个实现方式中，基站接收来自操作管理维护(operation administration and maintenance，OAM)实体的该基站所处密钥区的密钥。例如，基站上电启用时，基站与OAM实体建立连接，基站从OAM实体获取该基站所处密钥区的密钥，或OAM实体主动将该基站所处密钥区的密钥发送给基站。进一步地，基站与移动性管理网元建立S1接口连接后，基站还可以将该基站所处密钥区的密钥发送给移动性管理网元。

进一步地，安全功能实体可以生成步骤S101中的基站所处密钥区的密钥，并将生成的密钥发送给OAM实体。其中，该安全功能实体用于生成和维护密钥，该安全功能实体可以是一个独立的物理设备(例如，可以是现有的网元，如鉴权服务器功能实体(authentication server function，AUSF)实体或UDM；也可以是新的安全网元，例如时间同步安全服务器或时间同步安全功能实体)，也可以是某一个物理设备(例如，OAM实体)中的一个功能模块。

进一步地，基站上电启用时，基站可以直接从安全功能实体获取该密钥，或安全功能实体主动将该密钥发送给基站。

需要说明的是，步骤S101中的基站所处密钥区的密钥也可以称之为基站所处密钥区的加密密钥。

在另一个实现方式中，安全功能实体或OAM实体还可以将该基站所处密钥区的密钥发送给移动性管理网元，再由移动性管理网元发送给基站。例如，在移动性管理网元上电启用时，与OAM实体建立连接。然后，移动性管理网元向OAM实体请求该基站所处密钥区的密钥，OAM实体将该基站所处密钥区的密钥发送给移动性管理网元；或者OAM实体主动将该基站所处密钥区的密钥发送给移动性管理网元。在基站上电启用时，基站与移动性管理网元建立S1接口连接，移动性管理网元将该基站所处密钥区的密钥发送给基站。

可选地，在上述实施例的第二种实施场景下，上述方法还包括：基站将时间信息或第一系统信息块通过完整性保护算法进行保护。

具体地，在第一系统信息块中可以携带时间信息或第一系统信息块的完整性校验值，终端接收到第一系统信息块后，对该完整性校验值进行校验，以确定接收到的时间信息或第一系统信息块是否完整。例如，完整性保护算法可以是SNOW 3G的128-EIA(EPS integrity algorithm)1算法，或者AES(advanced encryption standard)的128-EEA2算法，或者基于ZUC(Zu Chongzhi，祖冲之)的128-EEA3算法。

进一步地，基站还可以获取该基站所处密钥区的完整性保护参数，例如，完整性保护密钥，或完整性保护算法等。其中，完整性保护密钥可以由安全功能实体生成，也可以由OAM实体生成，并发送给基站，与上述第一种实施场景中基站获得该基站所处密钥区的密钥的方式相似，不再赘述。

可选地，在上述实施例的第三种实施场景下，上述方法还包括：基站采用证书对时间信息或第一系统信息块进行签名。

进一步地，基站还可以获取该基站所处密钥区的用于对时间信息或第一系统信息块进行签名的证书。例如，安全功能实体生成用于对时间信息或第一系统信息块进行签名的证书，并发送给基站，或者OAM实体或移动性管理网元从安全功能实体获取该证书，并发送给基站，与上述第一种实施场景中基站获得该基站所处密钥区的密钥的方式相似，不再赘述。

进一步地，基站也可以从第三方证书权威机构(certificate authority，CA)获取证书。

可选地，在上述实施例的第四种实施场景下，上述方法还包括：终端获取该终端所处密钥区的密钥，可以采用如下实现方式：

方式1、终端根据第一系统信息块，获取该终端所处密钥区的密钥。

方式2、当终端从第一密钥区移动到第二密钥区时，终端获取第二密钥区的密钥。

其中，第二密钥区可以为该终端所处的密钥区。

方式3、终端接收来自该基站的携带有密钥相关信息的第二系统信息块，并根据该密钥相关信息获取该终端所处密钥区的密钥。

其中，上述方式1中终端根据第一系统信息块，获取终端所处密钥区的密钥，具体可以采用如下方式实现：

方式1.1、当第一系统信息块还包括密钥相关信息，且终端存储有该密钥相关信息对应的密钥时，终端获取存储的该密钥相关信息对应的密钥。

其中，密钥相关信息可以用于获取密钥，例如，该密钥相关信息可以包括密钥的标识或密钥区的标识。密钥的标识可以用于唯一标识密钥，密钥区的标识可以用于唯一标识密钥区，多个不同的密钥区可使用相同的密钥，也可以使用不同的密钥。

具体地，终端可以将该终端存储的该密钥相关信息对应的密钥作为该终端所处密钥区的密钥。

示例性地，终端可以预先获取该密钥区的密钥，并存储该密钥区的密钥与密钥相关信息的对应关系，例如，该密钥区的密钥与该密钥区的标识之间的对应关系；终端在接收到第一系统信息块后，可以根据第一系统信息块中的密钥相关信息以及存储的上述对应关系，获取该密钥相关信息对应的密钥。

其中，终端预先获取该密钥区的密钥可以由该终端通过接收相邻密钥区的密钥的方式来获取，例如，当终端处于密钥区A时，终端可以接收并存储密钥区A的相邻密钥区B的密钥，然后，终端移动到密钥区B，可以获取其存储的密钥区B的密钥作为该终端所处密钥区的密钥，以解密加密的时间信息。

方式1.2、当第一系统信息块还包括密钥相关信息，且终端未存储有该密钥相关信息对应的密钥时，终端获取该终端所处密钥区的密钥。

具体地，方式1.2中的终端获取该终端所处密钥区的密钥可以为终端可以从基站、移动性管理网元或安全功能实体获取该密钥相关信息对应的密钥，可以参见如下示例。

在一个示例中，终端向移动性管理网元发送非接入层(non-access stratum，NAS)请求消息，接收来自终端的NAS请求消息，并根据该NAS请求消息，向终端发送NAS响应消息，该NAS响应消息包括该终端所处密钥区的密钥，相应地，终端接收来自移动性管理网元的该NAS响应消息，获取该NAS响应消息中的该终端所处密钥区的密钥。

其中，该NAS请求可以用于请求获取终端所处密钥区的密钥。例如，该NAS请求消息包括附着请求(attach request)，跟踪区更新(tracking area updated，TAU)请求，注册(registration)请求，或其它NAS信令。

其中，移动性管理网元可以从OAM实体或基站获取该密钥，可以参见前述相关描述，不再赘述。

需要说明的是，移动性管理网元可以在预设条件下通过NAS响应消息向终端发送终端所处密钥区的密钥。例如，移动性管理网元接收来自终端的NAS请求消息，并根据NAS请求消息，获取该终端的签约信息。当移动性管理网元根据该签约信息确定该终端被授权使用时间同步业务时，移动性管理网元将该终端所处密钥区的密钥携带在NAS响应消息中。若移动性管理网元根据签约信息确定该终端未被授权使用时间同步业务时，移动性管理网元发送NAS响应消息给终端，该NAS响应消息不携带上述密钥。可选的，该NAS响应消息携带失败原因值，该失败原因值用于指示该终端未被授权使用时间同步业务。

其中，移动性管理网元可以根据NAS请求消息中携带的终端的标识，获取终端的签约信息。若移动性管理网元已获取终端的签约信息，在本地存储了该终端的签约信息，则移动性管理网元可从本地获取该终端的签约信息；或者，也可以从HSS获取终端的签约信息，其中，HSS统一管理终端的签约信息。

在另一个示例中，终端向基站发送第一无线资源控制(radio resource control，RRC)消息，基站接收该第一RRC消息，并根据该第一RRC消息，向终端发送第二RRC消息，终端接收该第二RRC消息。其中，该第二RRC消息包括终端所处密钥区的密钥。

需要指出的是，不同的通信场景中或终端所处的不同状态下，终端与基站交互的RRC 消息名称可以不同。例如，当终端处于空闲态时，该第一RRC消息可以是RRC连接建立请求消息，该第二RRC消息可以是RRC连接重配置消息；当终端处于连接态时，该第一RRC消息可以是RRC请求消息，该第二RRC消息可以是RRC响应消息。下面分别进行描述：

在一个通信场景中，终端向基站发送RRC连接建立请求消息，RRC连接建立请求消息包括非接入层请求消息，该非接入层请求消息用于请求终端的签约信息。基站接收该RRC连接建立请求消息，并向移动性管理网元发送非接入层请求消息。移动性管理网元在接收到该非接入层请求消息后，根据所述非接入层请求消息获取终端的签约信息，并当根据该签约信息确定终端被授权使用时间同步业务时，在NAS响应消息中封装该终端所处密钥区的密钥。然后，移动性管理网元向基站发送该NAS响应消息，基站接收该NAS响应消息，并向终端发送RRC连接重配置消息。其中，该RRC连接重配置消息包括该NAS响应消息。相应地，终端接收该RRC连接重配置消息，获取其中的NAS响应消息，并获得NAS响应消息中的密钥。

在另一个通信场景中，终端向基站发送RRC请求消息，RRC请求消息不包括非接入层请求消息。基站接收该RRC请求消息，并根据该RRC请求消息，发送RRC响应消息给终端，该RRC响应消息包括终端所处密钥区的密钥。终端接收该RRC响应消息，从该RRC响应消息中获得终端所处密钥区的密钥。在该通信场景中，终端可以处于连接态，终端可以通过RRC请求消息向基站请求终端所处密钥区的密钥，基站保存了该密钥区的密钥，基站可以在RRC响应消息中携带密钥。

方式1.3、当终端根据该终端存储的密钥解密该加密的时间信息失败时，终端获取该终端所处密钥区的密钥。

示例性地，终端可以采用存储的密钥解密第一系统信息块中的时间信息，若解密成功，则表明终端所处密钥区的密钥未发生改变；若解密失败，则终端获取改变后的密钥。

其中，密钥发生改变可以包含多种情况，例如，终端所处密钥区的密钥发生了更新，此时，终端可以从该基站或移动性管理网元获取改变后的密钥；再例如，终端所处的密钥区发生了改变，即终端从第一密钥区的源基站移动到第二密钥区的目标基站，此时，终端可以采用方式2中提供的方法来获取该终端所处密钥区的密钥，不予限制。

需要说明的是，方式1.3中的终端获取该终端所处密钥区的密钥可以参见方式1.2中的相关描述，不再赘述。

方式1.4、终端比较第一系统信息块中密钥相关信息与该终端存储的密钥所对应的密钥相关信息，当两者相同时，该终端将该存储的密钥作为该终端所处密钥区的密钥；当两者不同时，终端获取终端所处密钥区的密钥。

需要说明的是，方式1.4中的终端获取该终端所处密钥区的密钥可以参见方式1.2中的相关描述，不再赘述。

方式1.5、第一系统信息块触发终端获取该终端所处密钥区的密钥，即第一系统信息块作为触发消息，触发终端执行获取该终端所处密钥区的密钥的动作。

需要说明的是，方式1.5中的终端获取该终端所处密钥区的密钥可以参见方式1.2中的相关描述，不再赘述。此外，上述方式1.2至1.5中的终端获取终端所处密钥区的密钥还可以采用上述方式2的相关实现方式来实现，即方式1和方式2的实现方式可以相互结合，不予限制。

其中，上述方式2中当终端从第一密钥区移动到第二密钥区时，终端获取所述第二密钥区的密钥，具体可以采用如下方式实现。为了便于描述方式2中的技术方案，可以将步骤S101中的基站称之为第一基站。

方式2.1、当终端从第一密钥区内的小区(小区A)重选到第二密钥区内的小区(小区B)时，终端获取第二密钥区的密钥。

在一个示例中，终端向移动性管理网元发送非接入层请求消息，并接收来自所述移动性管理网元的非接入层响应消息，该非接入层响应消息包括第二密钥区的密钥。

该示例的获取密钥的过程可参考上述方式1.2中终端通过NAS请求消息获取密钥的过程。

在另一个示例中，终端向第二密钥区内的该小区(小区B)对应的第二基站发送第一RRC消息，并接收来自该第二基站的第二RRC消息，第二RRC消息包括第二密钥区的密钥。

需要指出的是，不同的通信场景中或终端所处的不同状态下，终端与基站交互的RRC消息名称可以不同。例如，当终端处于空闲态时，该第一RRC消息可以是RRC连接建立请求消息，该第二RRC消息可以是RRC连接重配置消息；当终端处于连接态时，该第一RRC消息可以是RRC请求消息，该第二RRC消息可以是RRC响应消息。具体可参考上述方式1.2。

需要指出的是，该第二基站可以与第一基站相同；也可以与第一基站不同，但两个基站位于同一个密钥区，不予限制。

方式2.2、当终端从第一密钥区内的源基站切换到第二密钥区内的目标基站时，终端获取第二密钥区的密钥。

示例性地，终端可以处于连接态，终端接收来自源基站的RRC消息，所述RRC消息包括所述第二密钥区的密钥。

需要指出的是，该目标基站可以与第一基站相同；也可以与第一基站不同，但两个基站位于同一个密钥区，不予限制。

在一个通信场景中，终端通过基站之间的X2接口从源基站切换到目标基站。源基站向目标基站发送切换请求消息。目标基站接收该切换请求消息，并向源基站发送切换命令，其中，切换命令包括所述目标基站所处第二密钥区的密钥。源基站接收来自目标基站的切换命令，并发送RRC消息给终端，其中，该RRC消息包括目标基站所处第二密钥区的密钥。相应地，终端接收该RRC消息。

在另一个通信场景中，终端通过S1接口从源基站切换到目标基站。源基站向移动性管理网元发送切换请求消息。移动性管理网元接收该切换请求消息，并向目标基站发送切换请求消息。目标基站接收该切换请求消息，并向所述移动性管理网元发送切换请求响应消息。其中，该切换请求响应消息包括目标基站所处第二密钥区的密钥。相应地，移动性管理网元接收该切换请求响应消息，并向源基站发送切换命令消息。其中，该切换命令消息包括目标基站所处密钥区的密钥。源基站接收该切换命令，并发送RRC消息给终端。其中，该RRC消息包括目标基站所处第二密钥区的密钥。终端接收该RRC消息，并从该RRC消息中获得目标基站所处第二密钥区的密钥，即该终端所处密钥区的密钥。

方式2.3、当终端从第一密钥区内的无线接入网通知区(radio access network notification area，RNA)移动到第二密钥区内的RNA时，终端获取第二密钥区的密钥。

示例性地，终端可以处于非激活态，该终端从第一密钥区内的RNA移动到第二密钥区内的RNA内的某个基站(可以称之为第三基站)，那么终端可以向第三基站发送RRC连接恢复请求消息，并接收来自第三基站的RRC连接释放消息或RRC连接恢复消息，该RRC连接释放消息或RRC连接恢复消息包括第二密钥区的密钥。

需要指出的是，该第三基站可以与第一基站相同；也可以与第一基站不同，但两个基站位于同一个密钥区，不予限制。

可选地，在上述实施例的第五种实施场景下，上述方法还包括：基站向终端发送该基站所处密钥区的密钥，可以采用以下三种方式。

方式1、该基站接收来自移动性管理网元的授权指示信息，授权指示信息用于指示该终端被授权使用时间同步业务；该基站根据授权指示信息，向该终端发送基站所处密钥区的密钥。

示例性地，终端向移动性管理网元发送NAS请求消息，移动性管理网元接收该NAS请求消息，获取终端的签约信息，并根据该签约信息确定终端是否被授权使用时间同步业务，若是，则移动性管理网元向基站发送授权指示信息。相应地，基站接收授权指示信息，并根据授权指示信息，向终端发送所述密钥。

其中，该NAS请求消息包括attach request，TAU请求，注册请求，或其它NAS信令，不予限制。具体地，该NAS请求消息可以携带在第一RRC消息中，基站在接收到该第一RRC消息后，将该NAS请求消息发送给移动性管理网元，进一步地，基站可以将接收到到的授权指示信息携带在RRC消息中发给终端。

在上述示例中，基站可以预先从移动性管理网元或OAM实体获取到了该密钥，不予限制。

方式2、该基站为第二密钥区内的目标基站，终端从第一密钥区的源基站切换到该目标基站，上述基站向终端发送该基站所处密钥区的密钥可以包括：

目标基站接收来自源基站的切换请求消息，并向源基站发送切换命令，切换命令包括第二密钥区的密钥；或者，

目标基站接收来自移动性管理网元的切换请求消息，并向移动性管理网元发送切换请求响应消息，切换请求响应消息包括第二密钥区的密钥。

示例性地，在一个通信场景中，终端通过基站之间的X2接口从源基站切换到目标基站。源基站向目标基站发送切换请求消息。目标基站接收该切换请求消息，并向源基站发送切换命令，其中，切换命令包括所述目标基站所处第二密钥区的密钥。源基站接收来自目标基站的切换命令，并发送RRC消息给终端，其中，该RRC消息包括目标基站所处第二密钥区的密钥。终端接收该RRC消息，并从该RRC消息中获得目标基站所处第二密钥区的密钥，即终端所处密钥区的密钥。

在另一个通信场景中，终端通过S1接口从源基站切换到目标基站。源基站向移动性管理网元发送切换请求消息。移动性管理网元接收该切换请求消息，并向目标基站发送所述切换请求消息。目标基站接收该切换请求消息，并向移动性管理网元发送切换请求响应消息。其中，该切换请求响应消息包括目标基站所处第二密钥区的密钥。移动性管理网元接收该切换请求响应消息，并向源基站发送切换命令消息，其中，该切换命令消息包括目标基站所处密钥区的密钥。源基站接收该切换命令，并发送RRC消息给终端，其中，该RRC消息包括目标基站所处第二密钥区的密钥。相应地，终端接收该RRC消息，并从该RRC消息中获得目标基站所处第二密钥区的密钥，即终端所处密钥区的密钥。

方式3、终端从第一密钥区内的RNA移动到第二密钥区内的RNA内的上述基站，上述基站向终端发送上述基站所处密钥区的密钥可以包括：

上述基站接收来自终端的RRC连接恢复请求消息；

上述基站根据RRC连接恢复请求消息，向终端发送RRC连接释放消息或RRC连接恢复消息，该RRC连接释放消息或RRC连接恢复消息包括第二密钥区的密钥。

需要指出的是，上述第五种实施场景提供的方法可以独立于步骤S101-104，即可以是一个独立的方法，该方法用于实现基站向终端发送密钥区的密钥。

可选地，在上述实施例的第六种实施场景下，上述方法还包括：基站发送第三系统信息块。相应地，终端接收来自基站的第三系统信息块。

其中，第三系统信息块可以包括指示信息，该指示信息可以用于指示用于携带加密的时间信息的第一系统信息块。

进一步地，终端可以从指示信息所指示的第一系统信息块中，获取加密的时间信息。

例如，该第三系统信息块可以是SIB1，则第一系统信息块可以是除SIB1外的其它SIB。当然不限于此。通常情况下，基站广播SIB1和其它SIB(可称为SIBx)。基站在SIB1中携带指示信息，该指示信息可以指示用于携带加密的时间信息的SIBx。则终端侦听SIB1并接收SIB1中的指示信息，根据该指示信息，可以确定携带加密的时间信息的第一系统信息块。

需要说明的是，第三系统信息块与第二系统信息块可以相同，也可以不同，不予限制。

可选地，在上述实施例的第七种实施场景下，上述方法还包括：

基站接收来自移动性管理网元、相邻基站、或操作管理维护实体的所述基站所处密钥区的相邻密钥区的密钥；基站发送所述相邻密钥区的密钥。

相应地，上述方法还可以包括：终端接收该终端所处密钥区的相邻密钥区的密钥。

在一个示例中，基站可以采用广播的方式发送该相邻密钥区的密钥。进一步地，基站在接收到相邻密钥区的密钥后，可以使用基站所处密钥区的密钥加密该相邻密钥区的密钥后发送给终端，终端再使用基站所处密钥区的密钥解密获得解密后的相邻密钥区的密钥。基站还可以采用证书对发送相邻密钥区的密钥的消息进行签名，也可以采用完整性保护密钥对发送相邻密钥区的密钥的消息进行完整性保护。

在另一个示例中，基站也可以采用单播的方式发送该相邻密钥区的密钥。进一步地，基站在接收到相邻密钥区的密钥后，可以使用基站与终端之间协商的AS层安全密钥，对该相邻密钥区的密钥进行安全保护后发送给终端。终端接收到该相邻密钥区的密钥后，使用相应的AS层安全密钥解密该相邻密钥区的密钥。

上述基站采用单播的方式发送相邻密钥区的密钥，可以应用在基站切换过程中，例如，可以由源基站发送目标基站所处密钥区的相邻密钥区的密钥给终端。具体地，源基站接收来目标基站所处密钥区的相邻密钥区的密钥，并向终端发送目标基站所处密钥区的相邻密钥区的密钥，终端接收该目标基站所处密钥区的相邻密钥区的密钥。

需要指出的是，上述实施例的各实施例场景之间可以相互结合，例如，可以两两相结合，也可以两个以上相结合，不予限制。

下面结合具体的通信场景，对上述通信方法进行具体的描述。

一个示例的通信场景为终端初始接入网络，终端通过NAS信令从移动性管理网元获取密钥。其中，网络可以是运营商网络，可以包括接入网和核心网，其中，核心网可以包括5G系统中的AMF，SMF等，不予限制。

图6为本申请实施例提供的一个示例的通信方法的交互流程示意图，该方法可包括以下步骤：

S201、终端向移动性管理网元发送NAS请求消息。

相应地，移动性管理网元接收该NAS请求消息。

其中，该NAS请求消息用于请求获取终端所处密钥区的密钥。该NAS请求消息可以包括attach request，TAU请求，注册请求，或其它NAS信令。

S202、移动性管理网元根据NAS请求消息，获取终端的签约信息。

示例性地，如果移动性管理网元上已经保存有终端的上下文信息，且上下文信息中包括终端的签约信息，移动性管理网元可以从本地获取终端的签约信息；如果移动性管理网元上没有终端的上下文信息，或终端的上下文信息中不包括终端的签约信息，移动性管理网元可以根据NAS请求消息携带的终端的标识，向HSS或UDM获取终端的签约信息。

S203、移动性管理网元根据终端的签约信息确定终端是否被授权使用时间同步业务。

示例性地，终端的签约信息中包括该终端是否已签约时间同步业务。当移动性管理网元根据签约信息确定终端已经签约时间同步业务，则表明终端被授权使用时间同步业务，移动性管理网元可以将终端所处密钥区的密钥携带在NAS响应消息中。当移动性管理网元根据签约信息确定终端未签约时间同步业务，则表明终端未被授权使用时间同步业务，移动性管理网元发送NAS响应消息给终端，可选的，NAS响应消息可携带失败原因值，该失败原因值可以用于指示终端未被授权使用时间同步业务。

其中，S202和S203为可选的步骤。

S204、移动性管理网元向终端发送NAS响应消息，该NAS响应消息包括终端所处密钥区的密钥。

相应地，终端接收该NAS响应消息，终端可以从NAS响应消息获取并存储该密钥。

S205、基站发送第二系统信息块给所述终端。

相应地，终端接收第二系统信息块。

其中，该步骤S205为可选的步骤。

在一个实现方式中，第二系统信息块包括：密钥相关信息。终端可以接收来自该基站的携带有密钥相关信息的第二系统信息块，并根据该密钥相关信息获取终端所处密钥区的密钥，具体可以参见图5所实施例中的相关描述，不再赘述。

在另一个实现方式中，第二系统信息块包括指示信息，该指示信息指示用于携带加密的时间信息的第一系统信息块。终端可以根据该指示信息，从指示信息所指示的第一系统信息块中获取加密的时间信息，具体可以参见图5所实施例中的相关描述，不再赘述。

S206、基站根据时间信息和基站所处密钥区的密钥，获得加密的时间信息。

本步骤的实现可参考图5所示实施例中的S101。

S207、基站发送第一系统信息块，该第一系统信息块包括加密的时间信息。

相应地，终端接收该第一系统信息块。

本步骤的实现可参考图5所示实施例中的S102。

S208、终端根据获取的密钥解密该加密的时间信息。

本步骤的实现可参考图5所示实施例中的S104。

根据本申请实施例提供的方法，基站在系统信息块中携带加密的时间信息，终端通过NAS信令从移动性管理网元获取密钥，并根据该密钥解密该加密的时间信息，从而实现了时间信息的安全传输。

另一个示例的通信场景为，终端初始接入网络，通过AS信令获取密钥。进一步地，AS信令中包括NAS消息，移动性管理网元通过授权指示信息来指示基站发送密钥给终端。图7a为本申请实施例提供的另一个示例的通信方法的交互流程示意图，图7a为AS信令包括NAS消息的情况。该方法可包括以下步骤：

S301a、基站接收终端发送AS请求消息，并发送该AS请求消息中的NAS请求消息给移动性管理网元。

相应地，移动性管理网元接收该NAS请求消息。

其中，该AS请求消息可以是RRC连接建立请求消息，该NAS请求消息可以是attach request，TAU请求或注册请求等。

S302a、移动性管理网元根据NAS请求消息，获取该终端的签约信息。

该步骤的实现可参考图6所示实施例的步骤S202。

S303a、移动性管理网元根据该签约信息确定该终端是否被授权使用时间同步业务。

该步骤的实现可参考图6所示实施例的步骤S203。

S304a、移动性管理网元向基站发送初始上下文建立请求消息。

其中，该初始上下文建立请求消息包括授权指示信息。该授权指示信息可以用于指示该终端被授权使用时间同步业务。

S305a、基站向终端发送RRC连接重配置消息。其中，该RRC连接重配置消息包括终端所处密钥区的密钥。

示例性地，基站根据该授权指示信息确定将密钥发给该终端，基站将终端所处密钥区的密钥携带在RRC连接重配置消息中发送给终端。

相应地，终端接收该RRC连接重配置消息，获取并存储该密钥。

S306a、基站发送第二系统信息块给终端。

相应地，终端接收该第二系统信息块。

本步骤的实现可参考图6所示实施例中的S205。

S307a、基站根据时间信息和基站所处密钥区的密钥，获得加密的时间信息。

本步骤的实现可参考图5所示实施例中的S101。

S308a、基站发送第一系统信息块，该第一系统信息块包括加密的时间信息。

相应地，终端接收该第一系统信息块。

本步骤的实现可参考图5所示实施例中的S102。

S309a、终端根据密钥解密加密的时间信息。

本步骤的实现可参考图5所示实施例中的S104。

根据本申请实施例提供的一种通信方法，基站在系统信息块中携带加密的时间信息，终端通过AS信令获取密钥，该AS信令中包括NAS请求消息，移动性管理网元授权指示基站发送密钥给终端，终端接收该密钥并根据该密钥解密该加密的时间信息，从而实现了时间信息的安全传输。

又一个示例的通信场景为，终端处于连接态，通过AS信令从基站(当前服务终端的基站，即与终端建立有RRC信令连接的基站)获取密钥。AS信令中不包括NAS消息，则终端通过AS信令直接从基站获取密钥。图7b为本申请实施例提供的另一个示例的通信方法的交互流程示意图，该方法可包括以下步骤：

S301b、终端发送RRC请求消息给基站。

其中，该RRC请求消息用于请求获取用于终端所处密钥区的密钥。

S302b、基站根据终端的上下文信息确定该终端被授权使用时间同步业务。

例如，如果终端的上下文信息中包括移动性管理网元的授权指示信息，则确定该终端被授权使用时间同步业务，基站可以将终端所处密钥区的密钥发给该终端。

S303b、基站发送RRC响应消息给终端，该RRC响应消息包括终端所处密钥区的密钥。

S304b、基站发送第二系统信息块给终端。

相应地，终端接收该第二系统信息块。

本步骤S304b的实现可参考图6所示实施例中的S205。

S305b、基站根据时间信息和基站所处密钥区的密钥，获得加密的时间信息。

本步骤的实现可参考图5所示实施例中的S101。

S306b、基站发送第一系统信息块，该第一系统信息块包括加密的时间信息。

相应地，终端接收该第一系统信息块。

本步骤的实现可参考图5所示实施例中的S102。

S307b、终端根据密钥解密加密的时间信息。

本步骤的实现可参考图5所示实施例中的S104。

根据本申请实施例提供的一种通信方法，基站在系统信息块中携带加密的时间信息，终端通过AS信令获取密钥，并根据该密钥解密该加密的时间信息，从而实现了时间信息的安全传输。

又一个示例的通信场景为，终端在空闲态进行小区重选后，变更基站，此时终端所处密钥区发生变化，即终端没有当前所处密钥区的密钥。图8为本申请实施例提供的又一个示例的通信方法的交互流程示意图，该方法可包括以下步骤：

S401、终端在空闲态下进行小区重选后，选择驻留在基站2下的小区。

此时，终端所处的密钥区为基站2所处的密钥区。

S402、终端判断是否预先获取了基站2所处密钥区的密钥。

其中，该步骤为可选的步骤。

示例性地，终端在进行小区重选前，若基站1接收到来自移动性管理网元、相邻基站、或操作管理维护实体的基站1所处密钥区的相邻密钥区的密钥，基站1发送该相邻密钥区的密钥。终端接收到该相邻密钥区的密钥。该相邻密钥区的密钥包括基站2所处密钥区的密钥。该密钥区可采用密钥区的标识进行标识。终端在进行小区重选后，确定终端所处的密钥区为基站2所处的密钥区，则终端根据所处密钥区的标识，查找存储的相邻密钥区的密钥。若查找到了基站2所处密钥区的密钥，则无需再去获取密钥，可进行到S404。若终端未查找到存储的基站2所处密钥区的密钥，则进行到S403或S403’。

S403、通过NAS信令从移动性管理网元获取密钥的方式获取基站2所处密钥区的密钥。

其中，该步骤的实现可参考图6所示实施例的步骤S201～S204。

S403’、通过AS信令从基站2或移动性管理网元获取密钥的方式获取基站2所处密钥区的密钥。

其中，该步骤的实现可参考图7所示实施例的步骤S301～S305。

S404、基站根据基站所处密钥区的密钥和时间信息，获得加密的时间信息。

本步骤的实现可参考图5所示实施例中的S101。

S405、基站发送第一系统信息块，第一系统信息块包括加密的时间信息。

相应地，终端接收该第一系统信息块。

本步骤S405的实现可参考图5所示实施例中的S102。

S406、终端根据密钥解密加密的时间信息。

本步骤的实现可参考图5所示实施例中的S104。

根据本申请实施例提供的一种通信方法，基站在系统信息块中携带加密的时间信息，终端进行小区重选后，通过AS信令从重选后的小区所处基站获取密钥，或通过NAS信令从移动性管理网元获取密钥，并根据该密钥解密该加密的时间信息，从而实现了时间信息的安全传输。

又一个示例的通信场景为，终端处于连接态，终端通过源基站与目标基站之间的X2接口，由源基站切换到目标基站。终端所处密钥区为目标基站所处密钥区。则如图9所示的本申请实施例提供的又一个具体示例的通信方法的交互流程示意图，该方法可包括以下步骤：

S501、源基站向目标基站发送切换请求消息。

相应地，目标基站接收该切换请求消息。

S502、目标基站发送切换命令至源基站，该切换命令包括目标基站所处密钥区的密钥。

相应地，源基站接收该切换命令。

S503、源基站向终端发送RRC消息，该RRC消息包括目标基站所处密钥区的密钥。

相应地，终端接收该RRC消息。

其中，该RRC消息可以是RRC连接重配置消息，不予限制。

S504、基站根据基站所处密钥区的密钥和时间信息，获得加密的时间信息。

本步骤的实现可参考图5所示实施例中的S101。

S505、基站发送第一系统信息块，第一系统信息块包括加密的时间信息。

相应地，终端接收该第一系统信息块。

本步骤的实现可参考图5所示实施例中的S102。

S506、终端根据密钥解密加密的时间信息。

本步骤的实现可参考图5所示实施例中的S104。

根据本申请实施例提供的一种通信方法，基站在系统信息块中携带加密的时间信息，终端对应的基站发生切换，终端获取目标基站所处密钥区的密钥，根据目标基站所处密钥区的密钥解密该加密的时间信息，从而实现了时间信息的安全传输。

又一个示例的通信场景为，终端处于连接态，终端通过S1接口由源基站切换到目标基站。终端所处密钥区为目标基站所处密钥区。则如图10所示的本申请实施例提供的又一个具体示例的通信方法的交互流程示意图，该方法可包括以下步骤：

S601、源基站发送切换请求消息至移动性管理网元。

相应地，移动性管理网元接收该切换请求消息。

S602、移动性管理网元发送切换请求消息至目标基站。

相应地，目标基站接收该切换请求消息。

S603、目标基站发送切换响应消息至移动性管理网元。

相应地，移动性管理网元接收该切换响应消息。

其中，该切换响应消息包括目标基站所处密钥区的密钥。

S604、移动性管理网元发送切换命令至源基站。

相应地，源基站接收该切换命令。

其中，该切换命令包括目标基站所处密钥区的密钥。

S605、源基站向终端发送RRC消息，该RRC消息包括目标基站所处密钥区的密钥。

相应地，终端接收该RRC消息。

其中，该RRC消息可以是RRC连接重配置消息，不予限制。

S606、基站根据基站所处密钥区的密钥和时间信息，获得加密的时间信息。

本步骤的实现可参考图5所示实施例中的S101。

S607、基站发送第一系统信息块，第一系统信息块包括加密的时间信息。

相应地，终端接收该第一系统信息块。

本步骤的实现可参考图5所示实施例中的S102。

S608、终端根据密钥解密加密的时间信息。

本步骤的实现可参考图5所示实施例中的S104。

又一个示例的通信场景为，终端处于非激活态，即终端与基站1建立RRC连接后并进入RRC非激活态(RRC inactive state)，即基站1是终端的锚点基站(anchor-RAN)；同时，基站1会为终端分配一个RNA，例如RNA1。当终端移动进入基站2，且基站2不在RNA1范围之内，移出RNA1，则终端向基站2请求恢复RRC连接，基站2为终端恢复RRC连接，同时基站2为终端分配一个新的RNA，例如RNA2。相应地，如果RNA2对应的密钥区和RNA1对应的密钥区不同，则终端所处密钥区由第一密钥区变更为第二密钥区。图11为本申请实施例提供的又一个具体示例的通信方法的交互流程示意图，该方法可包括以下步骤：

S701、终端发送RRC连接恢复请求至基站2。

相应地，基站2接收该RRC连接恢复请求。

该RRC连接恢复请求可携带终端的标识。

S702、基站2从基站1获取终端的上下文。

示例性地，基站1保存了终端的上下文。基站2发送上下文获取请求消息至基站1，该上下文获取请求消息包括终端的标识。基站1根据终端的标识获取该终端的上下文，并发送至基站2。

S703、基站2与移动性管理网元进行路径切换流程。

该路径切换流程可参考现有技术，在此不再赘述。

S704、基站2发送RRC连接释放消息至终端。

例如，基站2判断该终端发送RRC连接恢复请求是由于终端移出了RNA触发的，即RRC连接恢复请求中携带的原因值为RAN通知区更新(RAN notification area update)，且基站判断没有需要发给终端的下行数据，则基站2发送RRC连接释放消息至终端。终端接收该RRC连接释放消息。

其中，该RRC连接释放消息可以包括第二密钥区的密钥。

作为S704的一种替换方式，基站2可以发送RRC连接恢复消息至终端。

例如，基站2判断所述终端发送RRC连接恢复请求是由于终端移出了RNA触发的，即RRC连接恢复请求中携带的原因值为RAN通知区更新，且基站判断有需要发给终端的下行数据，则基站2发送RRC恢复消息至终端。终端接收该RRC连接恢复消息。

其中，该RRC连接恢复消息可以包括第二密钥区的密钥。

进一步地，当基站2发现没有了需要传输给终端的数据(例如，基站2设定一个定时器1，如果在定时器1到期之前，一直没有终端的数据需要传输)时，基站发送RRC连接释放消息至终端。终端接收该RRC连接释放消息。

其中，该RRC连接释放消息可以包括第二密钥区的密钥。

S705、基站根据基站所处密钥区的密钥和时间信息，获得加密的时间信息。

本步骤的实现可参考图5所示实施例中的S101。

S706、基站发送第一系统信息块，第一系统信息块包括加密的时间信息。

相应地，终端接收该第一系统信息块。

本步骤的实现可参考图5所示实施例中的S102。

S707、终端根据密钥解密加密的时间信息。

本步骤的实现可参考图5所示实施例中的S104。

根据本申请实施例提供的一种通信方法，基站在系统信息块中携带加密的时间信息，终端所处RAN发生变更，终端通过RRC连接恢复流程获取变更后的密钥区的密钥，根据获取的密钥解密该加密的时间信息，从而实现了时间信息的安全传输。

上述主要从各个网元之间交互的角度对本申请提供的方案进行了介绍。可以理解的是，上述各网元为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例还提供了一种通信系统，包括上述实施例中的终端、基站(图5所示实施例中的第一基站、或图6～图7b中任一实施例中的基站、或图9～图10中任一实施例中的源基站或目标基站、或图8、图11中任一实施例中的基站1或基站2)和上述实施例中的移动性管理网元。采用该通信系统，基站在系统信息块中携带加密的时间信息，终端根据终端所处密钥区的密钥，解密该加密的时间信息，实现了时间信息的安全传输。

图12为本发明实施例提供的一种通信装置的模块结构示意图，该通信装置1200可以是上述的终端。该通信装置可以用于执行上述的通信方法。该通信装置可以包括：

通信单元121，用于接收来自第一基站的第一系统信息块，所述第一系统信息块包括加密的时间信息，所述时间信息用于所述通信装置所处密钥区内的通信装置进行同步；

处理单元122，用于根据所述通信装置所处密钥区的密钥，解密所述加密的时间信息。

在一种可能的实现方式中，所述处理单元122还用于获取所述终端所处密钥区的密钥。

在另一种可能的实现方式中，所述处理单元122用于：

根据所述第一系统信息块，获取所述通信装置所处密钥区的密钥；或者，

当所述通信装置从第一密钥区移动到第二密钥区时，获取所述第二密钥区的密钥；或者，

接收来自所述第一基站的携带有密钥相关信息的第二系统信息块，并根据所述密钥相关信息获取所述通信装置所处密钥区的密钥。

在又一种可能的实现方式中，所述处理单元122用于：

当所述第一系统信息块还包括密钥相关信息，且所述通信装置存储有所述密钥相关信息对应的密钥时，获取所述存储的所述密钥相关信息对应的密钥；或者，

当所述第一系统信息块还包括密钥相关信息，且所述通信装置未存储有所述密钥相关信息对应的密钥时，获取所述终端所处密钥区的密钥；或者，

当所述通信装置根据所述通信装置存储的密钥解密所述加密的时间信息失败时，获取所述终端所处密钥区的密钥。

在又一种可能的实现方式中，所述通信单元121用于：

当所述通信装置从所述第一密钥区内的小区重选到所述第二密钥区内的小区时，获取所述第二密钥区的密钥；或者，

当所述通信装置从所述第一密钥区内的源基站切换到所述第二密钥区内的目标基站时，获取所述第二密钥区的密钥；或者，

当所述通信装置从所述第一密钥区内的无线接入网通知区RNA移动到所述第二密钥区内的RNA时，获取所述第二密钥区的密钥。

在又一种可能的实现方式中，所述通信单元121用于：

向移动性管理网元发送非接入层请求消息，并接收来自所述移动性管理网元的非接入层响应消息，所述非接入层响应消息包括所述第二密钥区的密钥；或，

向所述第二密钥区内的所述小区对应的第二基站发送第一RRC消息，并接收来自所述第二基站的第二RRC消息，所述第二RRC消息包括所述第二密钥区的密钥。

在又一种可能的实现方式中，所述通信装置处于连接态，且当所述通信装置从所述第一密钥区内的源基站切换到所述第二密钥区内的目标基站时，所述通信单元121用于：

接收来自所述源基站的RRC消息，所述RRC消息包括所述第二密钥区的密钥。

在又一种可能的实现方式中，所述通信装置处于非激活态，且当所述通信装置从所述第一密钥区内的RNA移动到所述第二密钥区内的RNA时，所述通信单元121用于：

当所述通信装置从所述第一密钥区内的RNA移动到所述第二密钥区内的RNA内的第三基站，向所述第三基站发送RRC连接恢复请求消息；

接收来自所述第三基站的RRC连接释放消息，所述RRC连接释放消息包括所述第二密钥区的密钥。

在又一种可能的实现方式中，所述第一系统信息块为采用证书签名后的系统信息块；

所述通信单元121还用于接收来自移动性管理网元或所述第一基站的所述证书；

所述处理单元122还用于采用所述证书验证所述第一系统信息块的签名。

根据本发明实施例提供的一种通信装置，该通信装置可以是上述的终端，基站在系统信息块中携带加密的时间信息，终端根据终端所处密钥区的密钥，解密该加密的时间信息，实现了时间信息的安全传输。

图13为本发明实施例提供的一种通信装置的模块结构示意图，该通信装置1300可以是上述的第一基站。该通信装置可以用于执行上述的通信方法。该通信装置可以包括：

处理单元131，用于根据时间信息和所述通信装置所处密钥区的密钥，获得加密的时间信息，所述时间信息用于所述密钥区内的终端进行同步；

通信单元132，用于发送第一系统信息块，所述第一系统信息块包括所述加密的时间信息。

在一种可能的实现方式中，所述通信单元132还用于向终端发送所述密钥。

在另一种可能的实现方式中，所述通信单元132用于接收来自移动性管理网元的授权指示信息，所述授权指示信息用于指示所述终端被授权使用时间同步业务；以及还用于根据所述授权指示信息，向所述终端发送所述密钥。

在又一种可能的实现方式中，所述通信装置为第二密钥区内的目标基站，所述终端从第一密钥区的源基站切换到所述目标基站；

所述通信单元132用于接收来自所述源基站的切换请求消息，并向所述源基站发送切换命令，所述切换命令包括所述密钥，所述密钥为所述第二密钥区的密钥；或者，

所述通信单元132用于接收来自移动性管理网元的切换请求消息，并向所述移动性管理网元发送切换请求响应消息，所述切换请求响应消息包括所述密钥，所述密钥为所述第二密钥区的密钥。

在又一种可能的实现方式中，所述终端从第一密钥区内的无线接入网通知区RNA移动到第二密钥区内的RNA内的所述通信装置；

所述通信单元132用于接收来自所述终端的RRC连接恢复请求消息；

以及所述通信单元132还用于根据所述RRC连接恢复请求消息，向所述终端发送RRC连接释放消息，所述RRC连接释放消息包括所述密钥，所述密钥为所述第二密钥区的密钥。

在又一种可能的实现方式中，所述通信单元132还用于接收来自操作管理维护实体或移动性管理网元的证书；以及所述处理单元131还用于采用所述证书对所述第一系统信息块进行签名。

根据本发明实施例提供的一种通信装置，该通信装置可以是上述的第一基站，第一基站在系统信息块中携带加密的时间信息，终端根据终端所处密钥区的密钥，解密该加密的时间信息，实现了时间信息的安全传输。

图14为本发明实施例提供的一种通信装置的模块结构示意图，该通信装置1400可以是上述的移动性管理网元。该通信装置可以用于执行上述的通信方法。该通信装置可以包括：

通信单元141，用于接收来自终端的非接入层请求消息；

所述通信单元141还用于向所述终端发送非接入层响应消息，所述非接入层响应消息包括所述终端所处密钥区的密钥。

在一种可能的实现方式中，所述通信装置还包括：处理单元142；

所述处理单元142用于根据所述非接入层请求消息，获取所述终端的签约信息；

以及用于根据所述签约信息确定所述终端被授权使用时间同步业务时，所述移动性管理网元将所述终端所处密钥区的密钥封装在所述非接入层响应消息中。

在该实现方式中，移动性管理网元根据终端的签约信息发送密钥给终端，被授权使用时间同步业务的终端可以获取密钥，从而解密接收到的时间信息，从而可以有效地管理使用时间同步业务的终端。

在另一种可能的实现方式中，所述通信单元141还用于接收来自第一基站、或操作管理维护实体的所述密钥。

根据本发明实施例提供的一种通信装置，该通信装置可以是上述的移动性管理网元，该移动性管理网元发送终端所处密钥区的密钥给终端，终端根据获取的密钥，解密接收到的加密的时间信息，实现了时间信息的安全传输。

图15为本发明实施例提供的一种通信装置的模块结构示意图，该通信装置1500可以是上述的移动性管理网元。该通信装置可以用于执行上述的通信方法。该通信装置可以包括：

通信单元151，用于接收来自终端的非接入层请求消息；

处理单元152，用于根据所述非接入层请求消息，获取所述终端的签约信息；

当所述移动性管理网元根据所述签约信息确定所述终端被授权使用时间同步业务时，所述通信单元151还用于向第一基站发送授权指示信息，所述授权指示信息用于指示所述终端被授权使用所述时间同步业务。

根据本发明实施例提供的一种通信装置，该通信装置可以是上述的移动性管理网元，该移动性管理网元根据终端的签约信息发送密钥给终端，被授权使用时间同步业务的终端可以获取密钥，从而解密接收到的时间信息，从而可以有效地管理使用时间同步业务的终端。

图16为本发明实施例提供的一种通信装置的模块结构示意图，该通信装置1600可以是上述的移动性管理网元。该通信装置可以用于执行上述的通信方法。该通信装置可以包括：

通信单元161，用于接收来自源基站的切换请求消息；

所述通信单元161还用于向目标基站发送所述切换请求消息；

所述通信单元161还用于接收来自所述目标基站的切换请求响应消息，所述切换请求响应消息包括所述目标基站所处密钥区的密钥；

所述通信单元161还用于向所述源基站发送切换命令消息，所述切换命令消息包括所述目标基站所处密钥区的密钥。

根据本发明实施例提供的一种通信装置，该通信装置可以是上述的移动性管理网元，跟随基站切换，密钥区发生变化，终端重新获取所处密钥区的密钥，终端根据该密钥，解密接收到的时间信息，从而实现时间信息的安全传输。

图17为本发明实施例提供的一种通信装置的模块结构示意图，该通信装置1700可以是上述的源基站。该通信装置可以用于执行上述的通信方法。该通信装置可以包括：

处理单元171，用于获取目标基站所处密钥区的密钥；

通信单元172，用于向终端发送所述目标基站所处密钥区的密钥。

在一种可能的实现方式中，所述通信单元172用于向所述目标基站发送切换请求消息；以及所述通信单元172还用于接收来自所述目标基站的切换命令，所述切换命令包括所述目标基站所处密钥区的密钥。

在另一种可能的实现方式中，所述通信单元172用于向移动性管理网元发送切换请求消息；以及所述通信单元172还用于接收来自所述移动性管理网元的切换命令，所述切换命令包括所述目标基站所处密钥区的密钥。

在又一种可能的实现方式中，所述通信单元172还用于接收来所述目标基站所处密钥区的相邻密钥区的密钥；以及所述通信单元172还用于向所述终端发送所述目标基站所处密钥区的相邻密钥区的密钥。

在该实现方式中，基站预先发送相邻密钥区的密钥给终端，使得终端在发生上述小区重选、基站切换或RNA变更时，可以直接获取终端存储的密钥，解密时间信息。

根据本发明实施例提供的一种通信装置，该通信装置可以是上述的源基站，跟随基站切换，密钥区发生变化，终端重新获取所处密钥区的密钥。

图18为本发明实施例提供的一种通信装置的简化结构示意图，该通信装置可以是上述的终端。该通信装置可用于执行上述的通信方法。便于理解和图示方便，图18中，终端设备以手机作为例子。如图18所示，终端设备包括处理器、存储器、射频电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对终端设备进行控制，执行软件程序，处理软件程序的数据等。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。需要说明的是，有些种类的终端设备可以不具有输入输出装置。

当需要发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。为便于说明，图18中仅示出了一个存储器和处理器。在实际的终端设备产品中，可以存在一个或多个处理器和一个或多个存储器。存储器也可以称为存储介质或者存储设备等。存储器可以是独立于处理器设置，也可以是与处理器集成在一起，本申请实施例对此不做限制。

在本申请实施例中，可以将具有收发功能的天线和射频电路视为终端设备的接收单元和发送单元(也可以统称为收发单元)，将具有处理功能的处理器视为终端设备的处理单元。如图18所示，终端设备包括接收单元181、处理单元182和发送单元183。接收单元181也可以称为接收器、接收机、接收电路等，发送单元183也可以称为发送器、发射器、发射机、发射电路等。处理单元182也可以称为处理器，处理单板，处理模块、处理装置等。接收单元181和发送单元183也可统称为通信单元。

例如，在一个实施例中，接收单元181，用于执行图5所示实施例的步骤S302，接收第一基站发送的第一系统信息块，该第一系统信息块中包括加密的时间信息；处理单元182，用于执行图5所示实施例的步骤S103，根据终端所处密钥区的密钥，解密该加密的时间信息。

具体可参考方法实施例的描述。

根据本发明实施例提供的一种通信装置，基站在系统信息块中携带加密的时间信息，终端根据终端所处密钥区的密钥，解密该加密的时间信息，实现了时间信息的安全传输。

图19为本发明实施例提供的一种通信装置的简化结构示意图，该通信装置可以是上述的第一基站。该通信装置包括射频信号收发及转换部分以及192部分，该射频信号收发及转换部分又包括接收单元191部分和发送单元193部分(也可以统称为通信单元)。射频信号收发及转换部分主要用于射频信号的收发以及射频信号与基带信号的转换；192部分主要用于基带处理，对第一基站进行控制等。接收单元191也可以称为接收器、接收机、接收电路等，发送单元193也可以称为发送器、发射器、发射机、发射电路等。192部分通常是第一基站的控制中心，通常可以称为处理单元，用于控制第一基站执行上述图5中关于第一基站所执行的步骤。具体可参见上述相关部分的描述。

192部分可以包括一个或多个单板，每个单板可以包括一个或多个处理器和一个或多个存储器，处理器用于读取和执行存储器中的程序以实现基带处理功能以及对第一基站的控制。若存在多个单板，各个单板之间可以互联以增加处理能力。作为一中可选的实施方式，也可以是多个单板共用一个或多个处理器，或者是多个单板共用一个或多个存储器，或者是多个单板同时共用一个或多个处理器。

例如，在一个实施例中，192部分用于执行图5所示实施例中的步骤S101；以及发送单元193用于执行图5所示实施例中的步骤S102。

根据本发明实施例提供的一种通信装置，第一基站在系统信息块中携带加密的时间信息，终端根据终端所处密钥区的密钥，解密该加密的时间信息，实现了时间信息的安全传输。

图20为本发明实施例提供的一种通信装置的硬件架构示意图，该通信装置2000可以是上述的移动性管理网元。该通信装置可用于执行上述的通信方法。该通信装置可以包括：接收器201、发送器202、处理器203和存储器204，所述接收器201、发送器202、处理器203和存储器204通过通信线路相互连接。

存储器包括但不限于是随机存储记忆体(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程只读存储器(erasable programmable read only memory，EPROM)、或便携式只读存储器(compact disc read-only memory，CD-ROM)，该存储器用于相关指令及数据。

接收器用于接收数据和/或信号，以及发送器用于发送数据和/或信号。发送器和接收器可以是独立的器件，也可以是一个整体的器件。

处理器可以包括是一个或多个处理器，例如包括一个或多个中央处理器(central processing unit，CPU)，在处理器是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

具体地，在一个实施例中，图14中的处理单元142所实现的相关功能可以由一个或多个处理器来实现，通信单元141所实现的相关功能可以由接收器和发送器来实现。接收器201用于接收来自终端的非接入层请求消息，以及还用于向所述终端发送非接入层响应消息；处理器203用于根据所述非接入层请求消息，获取所述终端的签约信息；以及用于根据所述签约信息确定所述终端被授权使用时间同步业务时，所述移动性管理网元将所述终端所处密钥区的密钥封装在所述非接入层响应消息中。

在另一个实施例中，图15中的通信单元151所实现的相关功能可以由接收器和发送器来实现，图15中的处理单元152所实现的相关功能可以由一个或多个处理器来实现。接收器201用于接收来自终端的非接入层请求消息。处理器203用于根据所述非接入层请求消息，获取所述终端的签约信息。发送器202用于当所述移动性管理网元根据所述签约信息确定所述终端被授权使用时间同步业务时，向第一基站发送授权指示信息。

在又一个实施例中，图16中的通信单元161所实现的相关功能可以由接收器和发送器来实现。接收器201用于接收来自源基站的切换请求消息；发送器202用于向目标基站发送所述切换请求消息；接收器201还用于接收来自所述目标基站的切换请求响应消息，所述切换请求响应消息包括所述目标基站所处密钥区的密钥；发送器202还用于向所述源基站发送切换命令消息，所述切换命令消息包括所述目标基站所处密钥区的密钥。

具体实现请参阅上述方法实施例的描述。

根据本发明实施例提供的一种通信装置，移动性管理网元根据终端的签约信息发送授权指示给基站，基站根据该授权指示发送终端所处密钥区的密钥给终端，终端根据该密钥解密时间信息，从而实现时间信息的安全传输。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，数字通用光盘(digital versatile disc，DVD))、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，该流程可以由计算机程序来指令相关的硬件完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法实施例的流程。而前述的存储介质包括：只读存储器(read-only memory，ROM)或随机存储存储器(random access memory，RAM)、磁碟或者光盘等各种可存储程序代码的介质。

Claims

一种通信方法，其特征在于，包括：

终端接收来自第一基站的第一系统信息块，所述第一系统信息块包括加密的时间信息，所述时间信息用于所述终端所处密钥区内的终端进行同步；

所述终端根据所述终端所处密钥区的密钥，解密所述加密的时间信息。
如权利要求1所述的方法，其特征在于，所述方法还包括：

所述终端获取所述终端所处密钥区的密钥。
如权利要求2所述的方法，其特征在于，所述终端获取所述终端所处密钥区的密钥，包括：

所述终端根据所述第一系统信息块，获取所述终端所处密钥区的密钥；或者，

当所述终端从第一密钥区移动到第二密钥区时，所述终端获取所述第二密钥区的密钥；或者，

所述终端接收来自所述第一基站的携带有密钥相关信息的第二系统信息块，并根据所述密钥相关信息获取所述终端所处密钥区的密钥。
如权利要求3所述的方法，其特征在于，所述终端根据所述第一系统信息块，获取所述终端所处密钥区的密钥，包括：

当所述第一系统信息块还包括密钥相关信息，且所述终端存储有所述密钥相关信息对应的密钥时，所述终端获取所述存储的所述密钥相关信息对应的密钥；或者，

当所述第一系统信息块还包括密钥相关信息，且所述终端未存储有所述密钥相关信息对应的密钥时，所述终端获取所述终端所处密钥区的密钥；或者，

当所述终端根据所述终端存储的密钥解密所述加密的时间信息失败时，所述终端获取所述终端所处密钥区的密钥。
如权利要求3所述的方法，其特征在于，当所述终端从第一密钥区移动到第二密钥区时，所述终端获取所述第二密钥区的密钥，包括：

当所述终端从所述第一密钥区内的小区重选到所述第二密钥区内的小区时，所述终端获取所述第二密钥区的密钥；或者，

当所述终端从所述第一密钥区内的源基站切换到所述第二密钥区内的目标基站时，所述终端获取所述第二密钥区的密钥；或者，

当所述终端从所述第一密钥区内的无线接入网通知区RNA移动到所述第二密钥区内的RNA时，所述终端获取所述第二密钥区的密钥。
如权利要求5所述的方法，其特征在于，所述当所述终端从所述第一密钥区内的小区重选到所述第二密钥区内的小区时，所述终端获取所述第二密钥区的密钥，包括：

所述终端向移动性管理网元发送非接入层请求消息，并接收来自所述移动性管理网元的非接入层响应消息，所述非接入层响应消息包括所述第二密钥区的密钥；或，

所述终端向所述第二密钥区内的所述小区对应的第二基站发送第一RRC消息，并接收来自所述第二基站的第二RRC消息，所述第二RRC消息包括所述第二密钥区的密钥。
如权利要求5所述的方法，其特征在于，所述终端处于连接态，且当所述终端从所述第一密钥区内的源基站切换到所述第二密钥区内的目标基站时，所述终端获取所述第二密钥区的密钥，包括：

所述终端接收来自所述源基站的RRC消息，所述RRC消息包括所述第二密钥区的密钥。
如权利要求5所述的方法，其特征在于，所述终端处于非激活态，且当所述终端从所述第一密钥区内的RNA移动到所述第二密钥区内的RNA时，所述终端获取所述第二密钥区的密钥，包括：

当所述终端从所述第一密钥区内的RNA移动到所述第二密钥区内的RNA内的第三基站，所述终端向所述第三基站发送RRC连接恢复请求消息；

所述终端接收来自所述第三基站的RRC连接释放消息，所述RRC连接释放消息包括所述第二密钥区的密钥。
如权利要求1～8任一项所述的方法，其特征在于，所述第一系统信息块为采用证书签名后的系统信息块，所述方法还包括：

所述终端接收来自移动性管理网元或所述第一基站的所述证书；

所述终端采用所述证书验证所述第一系统信息块的签名。
一种通信方法，其特征在于，包括：

第一基站根据时间信息和所述第一基站所处密钥区的密钥，获得加密的时间信息，所述时间信息用于所述密钥区内的终端进行同步；

所述第一基站发送第一系统信息块，所述第一系统信息块包括所述加密的时间信息。
如权利要求10所述的方法，其特征在于，所述方法还包括：

所述第一基站向终端发送所述密钥。
如权利要求11所述的方法，其特征在于，所述第一基站向终端发送所述密钥包括：

所述第一基站接收来自移动性管理网元的授权指示信息，所述授权指示信息用于指示所述终端被授权使用时间同步业务；

所述第一基站根据所述授权指示信息，向所述终端发送所述密钥。
如权利要求11所述的方法，其特征在于，所述第一基站为第二密钥区内的目标基站，所述终端从第一密钥区的源基站切换到所述目标基站，所述第一基站向终端发送所述密钥包括：

所述第一基站接收来自所述源基站的切换请求消息，并向所述源基站发送切换命令，所述切换命令包括所述密钥，所述密钥为所述第二密钥区的密钥；或者，

所述第一基站接收来自移动性管理网元的切换请求消息，并向所述移动性管理网元发送切换请求响应消息，所述切换请求响应消息包括所述密钥，所述密钥为所述第二密钥区的密钥。
如权利要求11所述的方法，其特征在于，所述终端从第一密钥区内的无线接入网通知区RNA移动到第二密钥区内的RNA内的所述第一基站，所述第一基站向终端发送所述密钥包括：

所述第一基站接收来自所述终端的RRC连接恢复请求消息；

所述第一基站根据所述RRC连接恢复请求消息，向所述终端发送RRC连接释放消息，所述RRC连接释放消息包括所述密钥，所述密钥为所述第二密钥区的密钥。
如权利要求10～14任一项所述的方法，其特征在于，所述方法还包括：

所述第一基站接收来自操作管理维护实体或移动性管理网元的证书；

所述第一基站采用所述证书对所述第一系统信息块进行签名。
一种通信装置，其特征在于，包括：

通信单元，用于接收来自第一基站的第一系统信息块，所述第一系统信息块包括加密的时间信息，所述时间信息用于所述通信装置所处密钥区内的通信装置进行同步；

处理单元，用于根据所述通信装置所处密钥区的密钥，解密所述加密的时间信息。
如权利要求16所述的通信装置，其特征在于，所述处理单元还用于获取所述终端所处密钥区的密钥。
如权利要求17所述的通信装置，其特征在于，所述处理单元用于：

根据所述第一系统信息块，获取所述通信装置所处密钥区的密钥；或者，

当所述通信装置从第一密钥区移动到第二密钥区时，获取所述第二密钥区的密钥；或者，

接收来自所述第一基站的携带有密钥相关信息的第二系统信息块，并根据所述密钥相关信息获取所述通信装置所处密钥区的密钥。
如权利要求18所述的通信装置，其特征在于，所述处理单元用于：

当所述第一系统信息块还包括密钥相关信息，且所述通信装置存储有所述密钥相关信息对应的密钥时，获取所述存储的所述密钥相关信息对应的密钥；或者，

当所述第一系统信息块还包括密钥相关信息，且所述通信装置未存储有所述密钥相关信息对应的密钥时，获取所述终端所处密钥区的密钥；或者，

当所述通信装置根据所述通信装置存储的密钥解密所述加密的时间信息失败时，获取所述终端所处密钥区的密钥。
如权利要求18所述的通信装置，其特征在于，所述通信单元用于：

当所述通信装置从所述第一密钥区内的小区重选到所述第二密钥区内的小区时，获取所述第二密钥区的密钥；或者，

当所述通信装置从所述第一密钥区内的源基站切换到所述第二密钥区内的目标基站时，获取所述第二密钥区的密钥；或者，

当所述通信装置从所述第一密钥区内的无线接入网通知区RNA移动到所述第二密钥区内的RNA时，获取所述第二密钥区的密钥。
如权利要求20所述的通信装置，其特征在于，所述通信单元用于：

向移动性管理网元发送非接入层请求消息，并接收来自所述移动性管理网元的非接入层响应消息，所述非接入层响应消息包括所述第二密钥区的密钥；或，

向所述第二密钥区内的所述小区对应的第二基站发送第一RRC消息，并接收来自所述第二基站的第二RRC消息，所述第二RRC消息包括所述第二密钥区的密钥。
如权利要求20所述的通信装置，其特征在于，所述通信装置处于连接态，且当所述通信装置从所述第一密钥区内的源基站切换到所述第二密钥区内的目标基站时，所述通信单元用于：

接收来自所述源基站的RRC消息，所述RRC消息包括所述第二密钥区的密钥。
如权利要求20所述的通信装置，其特征在于，所述通信装置处于非激活态，且当所述通信装置从所述第一密钥区内的RNA移动到所述第二密钥区内的RNA时，所述通信单元用于：

当所述通信装置从所述第一密钥区内的RNA移动到所述第二密钥区内的RNA内的第三基站，向所述第三基站发送RRC连接恢复请求消息；

接收来自所述第三基站的RRC连接释放消息，所述RRC连接释放消息包括所述第二密钥区的密钥。
如权利要求16～23任一项所述的通信装置，其特征在于，所述第一系统信息块为采用证书签名后的系统信息块；

所述通信单元还用于接收来自移动性管理网元或所述第一基站的所述证书；

所述处理单元还用于采用所述证书验证所述第一系统信息块的签名。
一种通信装置，其特征在于，包括：

处理单元，用于根据时间信息和所述通信装置所处密钥区的密钥，获得加密的时间信息，所述时间信息用于所述密钥区内的终端进行同步；

通信单元，用于发送第一系统信息块，所述第一系统信息块包括所述加密的时间信息。
如权利要求25所述的通信装置，其特征在于，所述通信单元还用于向终端发送所述密钥。
如权利要求26所述的通信装置，其特征在于，所述通信单元用于接收来自移动性管理网元的授权指示信息，所述授权指示信息用于指示所述终端被授权使用时间同步业务；以及还用于根据所述授权指示信息，向所述终端发送所述密钥。
如权利要求26所述的通信装置，其特征在于，所述通信装置为第二密钥区内的目标基站，所述终端从第一密钥区的源基站切换到所述目标基站；

所述通信单元用于接收来自所述源基站的切换请求消息，并向所述源基站发送切换命令，所述切换命令包括所述密钥，所述密钥为所述第二密钥区的密钥；或者，

所述通信单元用于接收来自移动性管理网元的切换请求消息，并向所述移动性管理网元发送切换请求响应消息，所述切换请求响应消息包括所述密钥，所述密钥为所述第二密钥区的密钥。
如权利要求26所述的通信装置，其特征在于，所述终端从第一密钥区内的无线接入网通知区RNA移动到第二密钥区内的RNA内的所述通信装置；

所述通信单元用于接收来自所述终端的RRC连接恢复请求消息；

以及所述通信单元还用于根据所述RRC连接恢复请求消息，向所述终端发送RRC连接释放消息，所述RRC连接释放消息包括所述密钥，所述密钥为所述第二密钥区的密钥。
如权利要求25～29任一项所述的通信装置，其特征在于：

所述通信单元还用于接收来自操作管理维护实体或移动性管理网元的证书；

所述处理单元还用于采用所述证书对所述第一系统信息块进行签名。