WO2020082247A1 - 一种安全算法的处理方法及装置、终端 - Google Patents

Abstract

本申请实施例提供一种安全算法的处理方法及装置、终端，包括：终端进行小区搜索，在搜索到的小区中选择支持第一安全算法的小区作为目标小区，其中，所述第一安全算法为所述终端在RRC连接重建或RRC连接恢复之前使用的安全算法；所述终端与所述目标小区之间执行RRC连接重建流程或RRC连接恢复流程。

Description

一种安全算法的处理方法及装置、终端 技术领域

本申请实施例涉及移动通信技术领域，具体涉及一种安全算法的处理方法及装置、终端。

背景技术

在无线资源控制(RRC，Radio Resource Control)连接重建流程中，终端向目标小区发起RRC连接重建请求消息，网络侧发送RRC连接重建消息给终端，该RRC连接重建消息进行了完整性保护，完整性保护采用的算法是终端在RRC连接重建之前原小区的完整性保护算法。如果目标小区不支持原小区的完整性保护算法，则目标基站会发送RRC连接建立消息给终端进行回落，导致RRC连接重建失败。

发明内容

本申请实施例提供一种安全算法的处理方法及装置、终端。

本申请实施例提供的安全算法的处理方法，包括：

终端进行小区搜索，在搜索到的小区中选择支持第一安全算法的小区作为目标小区，其中，所述第一安全算法为所述终端在RRC连接重建或RRC连接恢复之前使用的安全算法；

所述终端与所述目标小区之间执行RRC连接重建流程或RRC连接恢复流程。

本申请实施例提供的安全算法的处理方法，包括：

终端进行小区搜索，选择目标小区；

所述终端向所述目标小区发送RRC连接重建请求消息；

所述终端接收所述目标小区发送的RRC连接重建消息，确定所述RRC连接重建消息中是否携带第二安全算法的配置信息；

如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述终端使用所述第二安全算法，向所述目标小区发送RRC连接恢复完成消息。

本申请实施例提供的安全算法的处理装置，包括：

搜索单元，用于进行小区搜索，在搜索到的小区中选择支持第一安全算法的小区作为目标小区，其中，所述第一安全算法为所述终端在RRC连接重建或RRC连接恢复之前使用的安全算法；

RRC单元，用于与所述目标小区之间执行RRC连接重建流程或RRC连接恢复流程。

本申请实施例提供的安全算法的处理装置，包括：

搜索单元，用于进行小区搜索，选择目标小区；

RRC单元，用于向所述目标小区发送RRC连接重建请求消息；接收所述目标小区发送的RRC连接重建消息，确定所述RRC连接重建消息中是否携带第二安全算法的配置信息；如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则使用所述第二安全算法，向所述目标小区发送RRC连接恢复完成消息。

本申请实施例提供的终端，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述的安全算法的处理方法。

本申请实施例提供的芯片，用于实现上述的安全算法的处理方法。

具体地，该芯片包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有该芯片的设备执行上述的安全算法的处理方法。

本申请实施例提供的计算机可读存储介质，用于存储计算机程序，该计算机程序使得计算机执行上述的安全算法的处理方法。

本申请实施例提供的计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行上述的安全算法的处理方法。

本申请实施例提供的计算机程序，当其在计算机上运行时，使得计算机执行上述的安全算法的处理方法。

通过上述技术方案，在RRC连接重建流程或RRC连接恢复流程中，终端选择支持终端在RRC连接重建或RRC连接恢复之前使用的安全算法的小区作为RRC连接重建或RRC连接恢复的目标小区，避免RRC连接建立回落，保证RRC连接重建或RRC连接恢复成功，使得RRC连接尽快恢复，缩短业务中断时延；另一方面，网络侧根据终端当前配置的安全算法以及网络侧支持安全算法的能力，判断是否变更RRC连接重建过程中的安全算法，避免RRC连接建立回落，保证RRC连接重建成功，使得RRC连接尽快恢复，缩短业务中断时延。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本申请实施例提供的一种通信系统架构的示意性图；

图2为本申请实施例提供的安全算法的处理方法的流程示意图一；

图3为本申请实施例提供的安全算法的处理方法的流程示意图二；

图4为本申请实施例提供的安全算法的处理装置的结构组成示意图一；

图5为本申请实施例提供的安全算法的处理装置的结构组成示意图二；

图6是本申请实施例提供的一种通信设备示意性结构图；

图7是本申请实施例的芯片的示意性结构图；

图8是本申请实施例提供的一种通信系统的示意性框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通讯(Global System of Mobile communication，GSM)系统、码分多址(Code Division Multiple Access，CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统、通用分组无线业务(General Packet Radio Service，GPRS)、长期演进(Long Term Evolution，LTE)系统、LTE频分双工(Frequency Division Duplex，FDD)系统、LTE时分双工(Time Division Duplex，TDD)、通用移动通信系统(Universal Mobile Telecommunication System，UMTS)、全球互联微波接入(Worldwide Interoperability for Microwave Access，WiMAX)通信系统或5G系统等。

示例性的，本申请实施例应用的通信系统100如图1所示。该通信系统100可以包括网络设备110，网络设备110可以是与终端120(或称为通信终端、终端)通信的设备。网络设备110可以为特定的地理区域提供通信覆盖，并且可以与位于该覆盖区域内的终端进行通信。可选地，该网络设备110可以是GSM系统或CDMA系统中的基站 (Base Transceiver Station，BTS)，也可以是WCDMA系统中的基站(NodeB，NB)，还可以是LTE系统中的演进型基站(Evolutional Node B，eNB或eNodeB)，或者是云无线接入网络(Cloud Radio Access Network，CRAN)中的无线控制器，或者该网络设备可以为移动交换中心、中继站、接入点、车载设备、可穿戴设备、集线器、交换机、网桥、路由器、5G网络中的网络侧设备或者未来演进的公共陆地移动网络(Public Land Mobile Network，PLMN)中的网络设备等。

该通信系统100还包括位于网络设备110覆盖范围内的至少一个终端120。作为在此使用的“终端”包括但不限于经由有线线路连接，如经由公共交换电话网络(Public Switched Telephone Networks，PSTN)、数字用户线路(Digital Subscriber Line，DSL)、数字电缆、直接电缆连接；和/或另一数据连接/网络；和/或经由无线接口，如，针对蜂窝网络、无线局域网(Wireless Local Area Network，WLAN)、诸如DVB-H网络的数字电视网络、卫星网络、AM-FM广播发送器；和/或另一终端的被设置成接收/发送通信信号的装置；和/或物联网(Internet of Things，IoT)设备。被设置成通过无线接口通信的终端可以被称为“无线通信终端”、“无线终端”或“移动终端”。移动终端的示例包括但不限于卫星或蜂窝电话；可以组合蜂窝无线电电话与数据处理、传真以及数据通信能力的个人通信系统(Personal Communications System，PCS)终端；可以包括无线电电话、寻呼机、因特网/内联网接入、Web浏览器、记事簿、日历以及/或全球定位系统(Global Positioning System，GPS)接收器的PDA；以及常规膝上型和/或掌上型接收器或包括无线电电话收发器的其它电子装置。终端可以指接入终端、用户设备(User Equipment，UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端或者未来演进的PLMN中的终端等。

可选地，终端120之间可以进行终端直连(Device to Device，D2D)通信。

可选地，5G系统或5G网络还可以称为新无线(New Radio，NR)系统或NR网络。

图1示例性地示出了一个网络设备和两个终端，可选地，该通信系统100可以包括多个网络设备并且每个网络设备的覆盖范围内可以包括其它数量的终端，本申请实施例对此不做限定。

可选地，该通信系统100还可以包括网络控制器、移动管理实体等其他网络实体，本申请实施例对此不作限定。

应理解，本申请实施例中网络/系统中具有通信功能的设备可称为通信设备。以图1示出的通信系统100为例，通信设备可包括具有通信功能的网络设备110和终端120，网络设备110和终端120可以为上文所述的具体设备，此处不再赘述；通信设备还可包括通信系统100中的其他设备，例如网络控制器、移动管理实体等其他网络实体，本申请实施例中对此不做限定。

应理解，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

为了满足人们对业务的速率、延迟、高速移动性、能效的追求，以及未来生活中业务的多样性、复杂性，第三代合作伙伴计划(3GPP，3rd Generation Partnership Project)国际标准组织开始研发第五代(5G，5 ^th Generation)移动通信技术。

5G的主要应用场景为：增强移动超宽带(eMBB)、低时延高可靠通信(URLLC)、大规模机器类通信(mMTC)。

本发明实施例的技术方案主要应用于5G移动通信系统，当然，本发明实施例的技术方案并不局限于5G移动通信系统，还可以应用于其他类型的移动通信系统。以下对5G移动通信系统中的主要应用场景进行说明：

1)eMBB场景：eMBB以用户获得多媒体内容、服务和数据为目标，其业务需求增长十分迅速。由于eMBB可能部署在不同的场景中，例如室内、市区、农村等，其业务能力和需求的差别也比较大，所以必须结合具体的部署场景对业务进行分析。

2)URLLC场景：URLLC的典型应用包括：工业自动化、电力自动化、远程医疗操作、交通安全保障等。

3)mMTC场景：URLLC的典型特点包括：高连接密度、小数据量、时延不敏感业务、模块的低成本和长使用寿命等。

5G移动通信技术的空口部分称为新空口(NR，New Radio)，在NR早期部署时，完整的NR覆盖很难达到，所以典型的网络覆盖是长期演进(LTE，Long Term Evolution)覆盖和NR覆盖的结合。而且大量的LTE部署在6GHz以下，可用于5G的6GHz以下频谱很少。所以NR必须研究6GHz以上的频谱应用，而高频段覆盖有限、信号衰落快， 此外，为了保护移动运营商前期在LTE上的投资，提出了LTE和NR之间的紧耦合(tight interworking)工作模式。当然，NR小区也可以独立部署。

图2为本申请实施例提供的安全算法的处理方法的流程示意图一，如图2所示，所述安全算法的处理方法包括以下步骤：

步骤201：终端进行小区搜索，在搜索到的小区中选择支持第一安全算法的小区作为目标小区，其中，所述第一安全算法为所述终端在RRC连接重建或RRC连接恢复之前使用的安全算法。

本申请实施例中，所述终端可以是手机、平板电脑、车载终端、笔记本等任意能够与网络进行通信的设备。

本申请实施例中，处于RRC连接状态的终端，如果遇到无线链路失败(RLF，Radio Link Failure)，或者完整性保护验证失败，或者RRC连接重配释放，或者切换失败等，会触发终端进行小区搜索，在合适的小区里面发起RRC连接重建流程或RRC连接恢复流程。

本申请实施例中，所述终端获取至少一个小区支持的安全算法列表，所述安全算法列表包括所述小区支持的至少一个安全算法。在一实施方式中，小区会广播该小区所支持的接入层(AS)的安全算法列表，所述终端从至少一个小区的系统广播消息中获取所述小区支持的安全算法列表。当终端进行小区搜索时，在搜索到的小区中选择支持第一安全算法的小区作为目标小区，其中，所述第一安全算法为所述终端在RRC连接重建或RRC连接恢复之前使用的安全算法。

举个例子：终端在RRC连接重建或RRC连接恢复之前使用的安全算法为小区A(原小区)的安全算法1，在RRC连接重建事件或RRC连接恢复事件的触发下，终端进行小区搜索，终端搜索到的3个小区，分别为小区1、小区2、小区3，其中，小区1和小区2支持安全算法1，小区3不支持安全算法1，其中，各个小区所支持的安全算法列表可以从该小区的系统广播消息中获取，终端在小区1和小区2中选择合适的小区，例如信号质量最好的小区1作为目标小区，这里，目标小区是指RRC连接重建或RRC连接恢复的目标小区。

步骤202：所述终端与所述目标小区之间执行RRC连接重建流程或RRC连接恢复流程。

以下结合RRC连接重建流程和RRC连接恢复对本申请实施例的技术方案做详细描述。

方案一：RRC连接重建流程

1)所述终端向所述目标小区发送RRC连接重建请求消息；

具体地，终端通过SRB0向目标小区发送RRC连接重建请求消息。目标小区接收到RRC连接重建请求消息后，从原小区获取该终端的UE上下文并恢复SRB1，更新秘钥。

2)所述终端接收所述目标小区发送的RRC连接重建消息，所述RRC连接重建消息基于所述目标小区更新的秘钥和所述第一安全算法进行完整性保护；

具体地，目标小区发送RRC连接重建消息给终端，该RRC连接重建消息承载在SRB1上，并进行完整性保护，该RRC连接重建消息中携带第一NCC信息(即秘钥索引信息)，所述第一NCC信息用于所述终端更新秘钥。由于目标小区支持终端在进行RRC连接重建之前使用的第一安全算法，因此，该所述RRC连接重建消息可以通过第一安全算法进行完整性保护。

3)所述终端向所述目标小区发送RRC连接重建完成消息。

具体地，终端接收到目标小区发送的RRC连接重建消息后，基于所述RRC连接重建消息中的第一NCC信息，更新秘钥，并向所述目标小区发送RRC连接重建完成消息，所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。

方案二：RRC连接恢复流程

1)所述终端向所述目标小区发送RRC连接恢复请求消息；

具体地，终端通过SRB0向目标小区发送RRC连接恢复请求消息。目标小区接收到RRC连接恢复请求消息后，从原小区获取该终端的UE上下文并恢复SRB1，更新秘钥。

2)所述终端接收所述目标小区发送的RRC连接恢复消息，所述RRC连接恢复消息基于所述目标小区更新的秘钥和所述第一安全算法进行完整性保护和加密；

具体地，目标小区发送RRC连接恢复消息给终端，该RRC连接恢复消息承载在SRB1上，并进行完整性保护和加密，该RRC连接恢复消息中携带第一NCC信息(即秘钥索引信息)，所述第一NCC信息用于所述终端更新秘钥。由于目标小区支持终端在进行RRC连接恢复之前使用的第一安全算法，因此，该所述RRC连接恢复消息可以通过更新秘钥和第一安全算法进行完整性保护和加密。

3)所述终端向所述目标小区发送RRC连接恢复完成消息。

具体地，终端接收到目标小区发送的RRC连接恢复消息后，基于所述RRC连接恢复消息中的第一NCC信息，更新秘钥，并向所述目标小区发送RRC连接恢复完成消息，所述RRC连接恢复完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。

图3为本申请实施例提供的安全算法的处理方法的流程示意图二，如图3所示，所述安全算法的处理方法包括以下步骤：

步骤301：终端进行小区搜索，选择目标小区。

本申请实施例中，所述终端可以是手机、平板电脑、车载终端、笔记本等任意能够与网络进行通信的设备。

本申请实施例中，处于RRC连接状态的终端，如果遇到RLF，或者完整性保护验证失败，或者RRC连接重配释放，或者切换失败等，会触发终端进行小区搜索，在合适的小区(也即目标小区)里面发起RRC连接重建流程。

步骤302：所述终端向所述目标小区发送RRC连接重建请求消息。

具体地，终端通过SRB0向目标小区发送RRC连接重建请求消息。目标小区接收到RRC连接重建请求消息后，从原小区获取该终端的UE上下文并恢复SRB1，同时获取该终端在进行RRC连接重建之前使用的第一安全算法的配置信息，以及更新秘钥。

步骤303：所述终端接收所述目标小区发送的RRC连接重建消息，确定所述RRC连接重建消息中是否携带第二安全算法的配置信息。

具体地，目标小区发送RRC连接重建消息给终端，该RRC连接重建消息承载在SRB1上，并进行完整性保护，该RRC连接重建消息中携带第一NCC信息(即秘钥索引信息)，所述第一NCC信息用于所述终端更新秘钥。

本申请实施例中，所述目标小区支持的安全算法列表中包括至少一个安全算法，该安全算法列表如果包含第一安全算法，则代表所述目标小区支持第一安全算法，该安全算法列表如果不包含第一安全算法，则代表所述目标小区不支持第一安全算法。以下结合目标小区支持第一安全算法和不支持第一安全算法两种情况对本申请实施例的技术方案做详细描述。

1)目标小区支持第一安全算法

如果所述目标小区不支持第一安全算法，则所述目标小区在所述RRC连接重建消息中携带所述第二安全算法的配置信息；所述第一安全算法为所述终端在RRC连 接重建之前使用的安全算法，所述第二安全算法为所述目标小区支持的安全算法。

这里，如果目标小区不支持所述终端在RRC连接重建之前使用的安全算法(也即原小区的第一安全算法)，则目标小区更改安全算法为第二安全算法(也即目标小区的第二安全算法)。

2)目标小区不支持第一安全算法

如果所述目标小区支持第一安全算法，则所述目标小区在所述RRC连接重建消息中不携带所述第二安全算法的配置信息或者携带所述第二安全算法的配置信息；所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法，所述第二安全算法为所述目标小区支持的安全算法。

这里，如果目标小区支持所述终端在RRC连接重建之前使用的安全算法(也即原小区的第一安全算法)，则目标小区可以选择不更改安全算法，也可以选择更改安全算法，其中，如果选择更改安全算法，更改的安全算法为目标小区支持的第二安全算法。

本申请实施例中，如果目标小区决定更改安全算法为第二安全算法，则在RRC连接重建消息中携带第二安全算法的配置信息。进一步，如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述RRC连接重建消息基于所述目标小区更新的秘钥和所述第二安全算法进行完整性保护。

步骤304：如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述终端使用所述第二安全算法，向所述目标小区发送RRC连接恢复完成消息。

本申请实施例中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；终端接收到目标小区发送的RRC连接重建消息后，基于所述RRC连接重建消息中的第一NCC信息，更新秘钥，并向所述目标小区发送RRC连接重建完成消息，如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第二安全算法进行完整性保护和加密。

本申请实施例中，如果所述RRC连接重建消息中未携带所述第二安全算法的配置信息，则所述终端使用第一安全算法，向所述目标小区发送RRC连接恢复完成消息，所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法。具体地，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；终端接收到目标小区发送的RRC连接重建消息后，基于所述RRC连接重建 消息中的第一NCC信息，更新秘钥，并向所述目标小区发送RRC连接重建完成消息，如果所述RRC连接重建消息未携带所述第二安全算法的配置信息，则所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。

举个例子：终端在RRC连接重建之前使用的安全算法为安全算法A(也即原小区的安全算法A)，终端在RRC连接重建事件的触发下，发起RRC连接重建流程，具体地：终端进行小区搜索；搜索到目标小区后，终端向该目标小区发送RRC连接重建请求消息；目标小区收到RRC连接重建请求消息后，从原小区获取该终端的UE上下文以及该终端使用的安全算法A，目标小区判定自身是否支持安全算法A，如果目标小区不支持安全算法A，则目标小区将安全算法A更改为安全算法B，其中，安全算法B是目标小区支持的安全算法，如果目标小区支持安全算法A，则目标小区可以选择将安全算法A更改为安全算法B，也可以选择不更改安全算法(也即维持安全算法A不变)；如果目标小区将安全算法A更改为安全算法B，则目标小区在向终端发送的RRC连接重建消息中携带该安全算法B的配置信息，同时，该RRC连接重建消息采用更新的秘钥和安全算法B进行完整性保护，如果目标小区不更改安全算法，则目标小区在向终端发送的RRC连接重建消息中不携带安全算法的配置信息，同时，该RRC连接重建消息采用更新的秘钥和安全算法A进行完整性保护；终端收到RRC连接重建消息后，如果该RRC连接重建消息中携带安全算法B的配置信息，则终端采用安全算法B，以及更新的秘钥对RRC连接重建消息进行完整性保护的验证，如果验证通过，则终端启用该安全算法B，以及更新的秘钥，然后，终端向目标小区回复RRC连接重建完成消息，该RRC连接重建完成消息采用更新的秘钥和安全算法B进行加密和完整性保护，如果该RRC连接重建消息中未携带安全算法的配置信息，则终端采用原来的安全算法A，以及更新的秘钥对RRC连接重建消息进行完整性保护的验证，并继续使用安全算法A向目标小区回复RRC连接重建完成消息，即该RRC连接重建完成消息采用更新的秘钥和原来的安全算法A进行加密和完整性保护。

图4为本申请实施例提供的安全算法的处理装置的结构组成示意图一，如图4所示，所述装置包括：

搜索单元401，用于进行小区搜索，在搜索到的小区中选择支持第一安全算法的小区作为目标小区，其中，所述第一安全算法为所述终端在RRC连接重建或RRC连接恢复之前使用的安全算法；

RRC单元402，用于与所述目标小区之间执行RRC连接重建流程或RRC连接恢复 流程。

在一实施方式中，所述装置还包括：

获取单元403，用于从至少一个小区的系统广播消息中获取所述小区支持的安全算法列表，所述安全算法列表包括所述小区支持的至少一个安全算法。

在一实施方式中，所述RRC单元402，用于向所述目标小区发送RRC连接重建请求消息；接收所述目标小区发送的RRC连接重建消息，所述RRC连接重建消息基于所述目标小区更新的秘钥和所述第一安全算法进行完整性保护；向所述目标小区发送RRC连接重建完成消息。

在一实施方式中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；

所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。

在一实施方式中，所述RRC单元402，用于向所述目标小区发送RRC连接恢复请求消息；接收所述目标小区发送的RRC连接恢复消息，所述RRC连接恢复消息基于所述目标小区更新的秘钥和所述第一安全算法进行完整性保护和加密；向所述目标小区发送RRC连接恢复完成消息。

在一实施方式中，所述RRC连接恢复消息中携带第二NCC信息，所述第二NCC信息用于所述终端更新秘钥；

所述RRC连接恢复完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。

本领域技术人员应当理解，本申请实施例的上述安全算法的处理装置的相关描述可以参照本申请实施例的安全算法的处理方法的相关描述进行理解。

图5为本申请实施例提供的安全算法的处理装置的结构组成示意图二，如图5所示，所述装置包括：

搜索单元501，用于进行小区搜索，选择目标小区；

RRC单元502，用于向所述目标小区发送RRC连接重建请求消息；接收所述目标小区发送的RRC连接重建消息，确定所述RRC连接重建消息中是否携带第二安全算法的配置信息；如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则使用所述第二安全算法，向所述目标小区发送RRC连接恢复完成消息。

在一实施方式中，如果所述目标小区不支持第一安全算法，则所述目标小区在所述 RRC连接重建消息中携带所述第二安全算法的配置信息；

所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法，所述第二安全算法为所述目标小区支持的安全算法。

在一实施方式中，如果所述目标小区支持第一安全算法，则所述目标小区在所述RRC连接重建消息中不携带所述第二安全算法的配置信息或者携带所述第二安全算法的配置信息；

所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法，所述第二安全算法为所述目标小区支持的安全算法。

在一实施方式中，如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述RRC连接重建消息基于所述目标小区更新的秘钥和所述第二安全算法进行完整性保护。

在一实施方式中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；

如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第二安全算法进行完整性保护和加密。

在一实施方式中，如果所述RRC连接重建消息中未携带所述第二安全算法的配置信息，则所述RRC单元502使用第一安全算法，向所述目标小区发送RRC连接恢复完成消息，所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法。

在一实施方式中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；

如果所述RRC连接重建消息未携带所述第二安全算法的配置信息，则所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。

本领域技术人员应当理解，本申请实施例的上述安全算法的处理装置的相关描述可以参照本申请实施例的安全算法的处理方法的相关描述进行理解。

图6是本申请实施例提供的一种通信设备600示意性结构图。该通信设备可以是终端，图6所示的通信设备600包括处理器610，处理器610可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图6所示，通信设备600还可以包括存储器620。其中，处理器610可以从存储器620中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器620可以是独立于处理器610的一个单独的器件，也可以集成在处理 器610中。

可选地，如图6所示，通信设备600还可以包括收发器630，处理器610可以控制该收发器630与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。

其中，收发器630可以包括发射机和接收机。收发器630还可以进一步包括天线，天线的数量可以为一个或多个。

可选地，该通信设备600具体可为本申请实施例的网络设备，并且该通信设备600可以实现本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该通信设备600具体可为本申请实施例的移动终端/终端，并且该通信设备600可以实现本申请实施例的各个方法中由移动终端/终端实现的相应流程，为了简洁，在此不再赘述。

图7是本申请实施例的芯片的示意性结构图。图7所示的芯片700包括处理器710，处理器710可以从存储器中调用并运行计算机程序，以实现本申请实施例中的方法。

可选地，如图7所示，芯片700还可以包括存储器720。其中，处理器710可以从存储器720中调用并运行计算机程序，以实现本申请实施例中的方法。

其中，存储器720可以是独立于处理器710的一个单独的器件，也可以集成在处理器710中。

可选地，该芯片700还可以包括输入接口730。其中，处理器710可以控制该输入接口730与其他设备或芯片进行通信，具体地，可以获取其他设备或芯片发送的信息或数据。

可选地，该芯片700还可以包括输出接口740。其中，处理器710可以控制该输出接口740与其他设备或芯片进行通信，具体地，可以向其他设备或芯片输出信息或数据。

可选地，该芯片可应用于本申请实施例中的网络设备，并且该芯片可以实现本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该芯片可应用于本申请实施例中的移动终端/终端，并且该芯片可以实现本申请实施例的各个方法中由移动终端/终端实现的相应流程，为了简洁，在此不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片，系统芯片，芯片系统或片上系统芯片等。

图8是本申请实施例提供的一种通信系统900的示意性框图。如图8所示，该通信 系统900包括终端910和网络设备920。

其中，该终端910可以用于实现上述方法中由终端实现的相应的功能，以及该网络设备920可以用于实现上述方法中由网络设备实现的相应的功能为了简洁，在此不再赘述。

应理解，本申请实施例的处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，上述存储器为示例性但不是限制性说明，例如，本申请实施例中的存储器 还可以是静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)等等。也就是说，本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提供了一种计算机可读存储介质，用于存储计算机程序。

可选的，该计算机可读存储介质可应用于本申请实施例中的网络设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机可读存储介质可应用于本申请实施例中的移动终端/终端，并且该计算机程序使得计算机执行本申请实施例的各个方法中由移动终端/终端实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序产品，包括计算机程序指令。

可选的，该计算机程序产品可应用于本申请实施例中的网络设备，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序产品可应用于本申请实施例中的移动终端/终端，并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由移动终端/终端实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种计算机程序。

可选的，该计算机程序可应用于本申请实施例中的网络设备，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

可选地，该计算机程序可应用于本申请实施例中的移动终端/终端，当该计算机程序在计算机上运行时，使得计算机执行本申请实施例的各个方法中由移动终端/终端实现的相应流程，为了简洁，在此不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究 竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，)ROM、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (31)

1. 一种安全算法的处理方法，所述方法包括：

   终端进行小区搜索，在搜索到的小区中选择支持第一安全算法的小区作为目标小区，其中，所述第一安全算法为所述终端在无线资源控制RRC连接重建或RRC连接恢复之前使用的安全算法；

   所述终端与所述目标小区之间执行RRC连接重建流程或RRC连接恢复流程。
2. 根据权利要求1所述的方法，其中，所述方法还包括：

   所述终端从至少一个小区的系统广播消息中获取所述小区支持的安全算法列表，所述安全算法列表包括所述小区支持的至少一个安全算法。
3. 根据权利要求1或2所述的方法，其中，所述终端与所述目标小区之间执行RRC连接重建流程，包括：

   所述终端向所述目标小区发送RRC连接重建请求消息；

   所述终端接收所述目标小区发送的RRC连接重建消息，所述RRC连接重建消息基于所述目标小区更新的秘钥和所述第一安全算法进行完整性保护；

   所述终端向所述目标小区发送RRC连接重建完成消息。
4. 根据权利要求3所述的方法，其中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；

   所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。
5. 根据权利要求1或2所述的方法，其中，所述终端与所述目标小区之间执行RRC连接恢复流程，包括：

   所述终端向所述目标小区发送RRC连接恢复请求消息；

   所述终端接收所述目标小区发送的RRC连接恢复消息，所述RRC连接恢复消息基于所述目标小区更新的秘钥和所述第一安全算法进行完整性保护和加密；

   所述终端向所述目标小区发送RRC连接恢复完成消息。
6. 根据权利要求5所述的方法，其中，所述RRC连接恢复消息中携带第二NCC信息，所述第二NCC信息用于所述终端更新秘钥；

   所述RRC连接恢复完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。
7. 一种安全算法的处理方法，所述方法包括：

   终端进行小区搜索，选择目标小区；

   所述终端向所述目标小区发送RRC连接重建请求消息；

   所述终端接收所述目标小区发送的RRC连接重建消息，确定所述RRC连接重建消息中是否携带第二安全算法的配置信息；

   如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述终端使用所述第二安全算法，向所述目标小区发送RRC连接恢复完成消息。
8. 根据权利要求7所述的方法，其中，如果所述目标小区不支持第一安全算法，则所述目标小区在所述RRC连接重建消息中携带所述第二安全算法的配置信息；

   所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法，所述第二安全算法为所述目标小区支持的安全算法。
9. 根据权利要求7所述的方法，其中，如果所述目标小区支持第一安全算法，则所述目标小区在所述RRC连接重建消息中不携带所述第二安全算法的配置信息或者携带所述第二安全算法的配置信息；

   所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法，所述第二安全算法为所述目标小区支持的安全算法。
10. 根据权利要求7至9任一项所述的方法，其中，如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述RRC连接重建消息基于所述目标小区更新的秘钥和所述第二安全算法进行完整性保护。
11. 根据权利要求7至10任一项所述的方法，其中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；

    如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第二安全算法进行完整性保护和加密。
12. 根据权利要求7至11任一项所述的方法，其中，所述方法还包括：

    如果所述RRC连接重建消息中未携带所述第二安全算法的配置信息，则所述终端使用第一安全算法，向所述目标小区发送RRC连接恢复完成消息，所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法。
13. 根据权利要求12所述的方法，其中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；

    如果所述RRC连接重建消息未携带所述第二安全算法的配置信息，则所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。
14. 一种安全算法的处理装置，所述装置包括：

    搜索单元，用于进行小区搜索，在搜索到的小区中选择支持第一安全算法的小区作为目标小区，其中，所述第一安全算法为所述终端在RRC连接重建或RRC连接恢复之前使用的安全算法；

    RRC单元，用于与所述目标小区之间执行RRC连接重建流程或RRC连接恢复流程。
15. 根据权利要求14所述的装置，其中，所述装置还包括：

    获取单元，用于从至少一个小区的系统广播消息中获取所述小区支持的安全算法列表，所述安全算法列表包括所述小区支持的至少一个安全算法。
16. 根据权利要求14或15所述的装置，其中，所述RRC单元，用于向所述目标小区发送RRC连接重建请求消息；接收所述目标小区发送的RRC连接重建消息，所述RRC连接重建消息基于所述目标小区更新的秘钥和所述第一安全算法进行完整性保护；向所述目标小区发送RRC连接重建完成消息。
17. 根据权利要求16所述的装置，其中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；

    所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。
18. 根据权利要求14或15所述的装置，其中，所述RRC单元，用于向所述目标小区发送RRC连接恢复请求消息；接收所述目标小区发送的RRC连接恢复消息，所述RRC连接恢复消息基于所述目标小区更新的秘钥和所述第一安全算法进行完整性保护和加密；向所述目标小区发送RRC连接恢复完成消息。
19. 根据权利要求18所述的装置，其中，所述RRC连接恢复消息中携带第二NCC信息，所述第二NCC信息用于所述终端更新秘钥；

    所述RRC连接恢复完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。
20. 一种安全算法的处理装置，所述装置包括：

    搜索单元，用于进行小区搜索，选择目标小区；

    RRC单元，用于向所述目标小区发送RRC连接重建请求消息；接收所述目标小区发送的RRC连接重建消息，确定所述RRC连接重建消息中是否携带第二安全算法的配置信息；如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则使用所述第二安全算法，向所述目标小区发送RRC连接恢复完成消息。
21. 根据权利要求20所述的装置，其中，如果所述目标小区不支持第一安全算法，则所述目标小区在所述RRC连接重建消息中携带所述第二安全算法的配置信息；

    所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法，所述第二安全算法为所述目标小区支持的安全算法。
22. 根据权利要求20所述的装置，其中，如果所述目标小区支持第一安全算法，则所述目标小区在所述RRC连接重建消息中不携带所述第二安全算法的配置信息或者携带所述第二安全算法的配置信息；

    所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法，所述第二安全算法为所述目标小区支持的安全算法。
23. 根据权利要求20至22任一项所述的装置，其中，如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述RRC连接重建消息基于所述目标小区更新的秘钥和所述第二安全算法进行完整性保护。
24. 根据权利要求20至23任一项所述的装置，其中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；

    如果所述RRC连接重建消息携带所述第二安全算法的配置信息，则所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第二安全算法进行完整性保护和加密。
25. 根据权利要求20至24任一项所述的装置，其中，如果所述RRC连接重建消息中未携带所述第二安全算法的配置信息，则所述RRC单元使用第一安全算法，向所述目标小区发送RRC连接恢复完成消息，所述第一安全算法为所述终端在RRC连接重建之前使用的安全算法。
26. 根据权利要求25所述的装置，其中，所述RRC连接重建消息中携带第一NCC信息，所述第一NCC信息用于所述终端更新秘钥；

    如果所述RRC连接重建消息未携带所述第二安全算法的配置信息，则所述RRC连接重建完成消息基于所述终端更新的秘钥和所述第一安全算法进行完整性保护和加密。
27. 一种终端，包括：处理器和存储器，该存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，执行如权利要求1至6中任一项所述的方法，或者权利要求7至13中任一项所述的方法。
28. 一种芯片，包括：处理器，用于从存储器中调用并运行计算机程序，使得安装有所述芯片的设备执行如权利要求1至6中任一项所述的方法，或者权利要求7至13中任一项所述的方法。
29. 一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如权利要求1至6中任一项所述的方法，或者权利要求7至13中任一项所述的方法。
30. 一种计算机程序产品，包括计算机程序指令，该计算机程序指令使得计算机执行如权利要求1至6中任一项所述的方法，或者权利要求7至13中任一项所述的方法。
31. 一种计算机程序，所述计算机程序使得计算机执行如权利要求1至6中任一项所述的方法，或者权利要求7至13中任一项所述的方法。

Images