WO2021155540A1

WO2021155540A1 - 一种密钥管理方法、通信装置

Info

Publication number: WO2021155540A1
Application number: PCT/CN2020/074439
Authority: WO
Inventors: 罗海燕; 曾清海; 戴明增
Original assignee: 华为技术有限公司
Priority date: 2020-02-06
Filing date: 2020-02-06
Publication date: 2021-08-12
Also published as: US20220377541A1; CN114930887A

Abstract

本申请公开了一种密钥管理方法、通信装置，其中方法包括：第一RAN设备接收第一终端设备发送的密钥参数和目的终端设备的标识，其中密钥参数用于第一终端设备和目的终端设备相互通信时对传输数据进行加密和/或解密；第一RAN设备向目的终端设备发送密钥参数和第一终端设备的标识。该方法可以在保证第一终端设备和目的终端设备通信可靠性的同时，避免终端设备组内任意终端设备的密钥参数被破解导致终端设备组内的所有终端设备的密钥参数都被破解的问题，因而可以提高终端设备之间通过RAN本地转发通信的安全性。

Description

一种密钥管理方法、通信装置

技术领域

本申请涉及移动通信技术领域，尤其涉及一种密钥管理方法、通信装置。

背景技术

目前，终端设备和终端设备之间的通信可以不经过核心网，而是通过无线接入网(radio access network，RAN)本地转发。在RAN本地转发场景下，终端设备对数据的用户面加密主要是终端设备端到端的分组数据汇聚协议(packet data convergence Protocol，PDCP)层完成，基站可以不参与用户面数据加密。

现有技术中，同一终端设备组的所有终端设备根据核心网提供的相同密钥参数生成会话组密钥(Session Group Key)，然后使用Session Group Key对终端设备端到端的数据进行加密。这样导致的一个问题是：一旦终端设备组内任意一个终端设备的密钥参数被破解，则终端设备组内所有终端设备的密钥参数都会被破解，对数据安全性造成严重威胁。现有技术存在终端设备之间在通过RAN本地转发通信时数据安全性低的问题。

发明内容

本申请提供一种密钥管理方法、通信装置，用于解决终端设备之间在通过RAN本地转发通信时数据安全性低的问题。

第一方面，本申请实施例提供一种密钥管理方法，包括：第一RAN设备接收第一终端设备发送的密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识。

本申请实施例中，第一RAN设备从第一终端设备接收密钥参数和目的终端设备的标识，然后将密钥参数转发给目的终端设备，可以使得第一终端设备和目的终端设备均基于该密钥参数对数据进行加/解密，保证通信的可靠性，同时由于该密钥参数是第一终端设备提供的，不同于现有技术所有终端设备均使用核心网配置的同一密钥参数对数据进行加解密，所以可以避免终端设备组内任意终端设备的密钥参数被破解导致终端设备组内的所有终端设备的密钥参数都被破解的问题，进而可以提高数据的安全性。

一种可能的实施方式中，所述目的终端设备位于所述第一RAN设备的覆盖范围内。在这种情况下，第一RAN设备可以直接将第一终端设备发送的密钥参数转发给目的终端设备。

通过本实施方式，可以使得目的终端设备和第一终端设备均基于该密钥参数对数据进行加/解密，保证通信的可靠性。

一种可能的实施方式中，所述目的终端设备位于第二RAN设备的覆盖范围内。在这种情况下，第一RAN设备可以通过第二RAN设备将密钥参数和第一终端设备的标识发送给目的终端设备。

一种可能的实施方式中，所述第一终端设备和所述第一RAN设备间通过第一协议栈通信，所述目的终端设备和所述第一RAN设备间通过所述第一协议栈通信，所述第一终端设备和所述目的终端设备具有端到端的第二协议栈；其中，所述第一协议栈包含物理PHY层、介质访问控制MAC层和无线链路控制RLC层；所述第二协议栈包含分组数据汇聚协议PDCP层、服务数据适应协议SDAP层、RLC层和MAC层。

通过本实施方式，可以保证一终端设备和目的终端设备可以通过的第二协议栈与第一RAN设备通信，第一终端设备和目的终端设备可以基于第二协议栈通信，实现RAN本地转发。

一种可能的实施方式中，所述第一终端设备为通信发起方，所述目的终端设备为通信接收方；或者，所述目的终端设备为通信发起方，所述第一终端设备为通信接收方。

通过本实施方式，可以保证第一终端设备和目的终端设备均使用通信发起方或通信接收方提供密钥参数对数据进行加密/解密，进而保证通信的可靠性。

一种可能的实施方式中，所述密钥参数是用于供所述第一终端设备和目的终端设备分别生成会话密钥所需的参数，例如计数值(count)。

通过本实施方式，通过传输生成会话密钥所需的参数，可以避免密钥直接被传输，提高密钥的安全性。

一种可能的实施方式中，上述传输过程可以通过控制面传输方案实现。例如，第一RAN设备可以接收第一终端设备通过上行RRC消息发送的密钥参数和目的终端设备的标识。当所述第一终端设备和所述目的终端设备均位于所述第一RAN设备的覆盖范围内时，所述第一RAN设备可以通过下行RRC消息向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识。当所述第一终端设备位于所述第一RAN设备的覆盖范围内，如所述目的终端设备位于第二RAN设备的覆盖范围内时，所述第一RAN设备可以通过和所述第二RAN设备之间的接口消息将所述密钥参数、所述第一终端设备的标识和所述目的终端设备的标识发送给所述第二RAN设备，然后再由所述第二RAN设备通过下行RRC消息向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识。

通过本实施方式，可以通过控制面传输方案实现密钥参数等的传输，保证方案的可靠性。

一种可能的实施方式中，上述传输过程可以通过数据用户面传输方案实现。例如，所述第一RAN设备可以接收第一终端设备发送的第一数据，其中所述第一数据外面封装的封装头中包含所述密钥参数和所述目的终端设备的标识。当所述第一终端设备和所述目的终端设备均位于所述第一RAN设备的覆盖范围内时，所述第一RAN设备可以直接向所述目的终端设备发送第二数据，其中所述第二数据外面的封装头中包含所述密钥参数和所述第一终端设备的标识，应理解，这里的第一数据和第二数据实质上是相同数据，且为净荷的数据。当所述第一终端设备位于所述第一RAN设备的覆盖范围内，如所述目的终端设备位于第二RAN设备的覆盖范围内时，所述第一RAN设备可以向所述第二RAN设备发送GTP-U数据包，所述GTP-U的包头中携带所述密钥参数、所述第一终端设备的标识和所述目的终端设备的标识，所述GTP-U数据包中包含所述第一数据，然后再通过所述第二RAN设备向所述目的终端设备发送第三数据，其中所述第三数据外面的封装头中包含所述密钥参数和所述第一终端设备的标识。应理解，这里的第一数据和第三数据实质上是相同数据，且为净荷的数据。

通过本实施方式，可以通过用户面传输方案实现密钥参数等的传输，保证方案的可靠性。

一种可能的实施方式中，所述第一数据的封装头中还包含所述目的终端设备的网络切片标识slice ID和/或服务质量QoS流标识QFI。

通过本实施方式，当所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识时，所述第一RAN设备根据所述目的终端设备的slice ID和/或QoS流标识QFI快速地确定所述目的终端设备的DRB，保证通信的效率。

一种可能的实施方式中，所述GTP-U数据包中还可以携带所述目的终端设备的slice ID和/或QFI。

通过本实施方式，当所述第二RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识时，所述第一RAN设备根据所述目的终端设备的slice ID和/或QoS流标识QFI快速地确定所述目的终端设备的DRB，保证通信的效率。

一种可能的实施方式中，所述目的终端设备可以是单个设备，如第二终端设备，则所述目的终端的标识为第二终端设备的第一标识。在所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识之前，所述第一RAN设备还根据所述第二终端设备的第一标识确定所述第二终端设备的第二标识；其中，所述第一标识包括设备标识，例如IP地址、MAC地址或所述第一终端设备在其终端设备组内的标识等，所述第二标识包括小区无线网络临时标识C-RNTI；之后，所述第一RAN设备再根据所述第二终端设备的第二标识向所述第二终端设备发送所述密钥参数和所述第一终端设备的标识。

通过本实施方式，第一RAN设备可以根据第二终端设备的设备标识确定出第二终端设备的小区无线网络临时标识C-RNTI，进而根据C-RNTI将密钥参数和第一终端设备的标识发送给第二网络设备，保证通信的效率。

一种可能的实施方式中，所述目的终端设备可以是一个终端设备组(如第一终端设备所在的终端设备组)，则所述目的终端设备的标识包括所述第一终端设备所在终端设备组的组标识。相应的，所述第一RAN设备通过组播信道将所述密钥参数和所述第一终端设备的标识发送给所述终端设备组，其中所述组播信道与所述终端设备组对应。

通过本实施方式，第一终端设备可以通过第一RAN设备将密钥参数提供给整个终端设备组，实现组播通信。

一种可能的实施方式中，所述密钥参数可以为核心网为所述第一终端设备分配的初始密钥参数；或者，所述第一终端设备根据核心网分配的初始密钥参数获取的密钥参数。

通过本实施方式，可以使得终端设备组内不同的终端设备的密钥参数不同，进而使得不同终端设备对使用不同的会话密钥进行通信，保证RAN本地转发的数据的安全性。

第二方面，本申请实施例提供一种密钥管理方法，包括：第一终端设备确定密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；所述第一终端设备向第一无线接入网RAN设备发送所述密钥参数和所述目的终端设备的标识。

一种可能的实施方式中，所述目的终端设备位于所述第一RAN设备的覆盖范围内。

一种可能的实施方式中，所述目的终端设备位于第二RAN设备的覆盖范围内。

一种可能的实施方式中，所述密钥参数是用于供所述第一终端设备和目的终端设备分别生成会话密钥所需的参数。

一种可能的实施方式中，所述第一终端设备向第一无线接入网RAN设备发送所述密钥参数和所述目的终端设备的标识，包括：所述第一终端设备向第一无线接入网RAN设备发送第一数据，其中所述第一数据外面封装的封装头中包含所述密钥参数和所述目的终端设备的标识。

一种可能的实施方式中，所述目的终端设备的标识包括第二终端设备的第一标识，所述第一标识包括设备标识。

一种可能的实施方式中，所述目的终端设备的标识包括所述第一终端设备所在终端设备组的组标识。

第三方面，本申请实施例提供一种密钥管理方法，包括：第二RAN设备接收第一RAN设备发送的密钥参数、第一终端设备的标识和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；所述第二RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识。

一种可能的实施方式中，所述目的终端设备和所述第二RAN设备间通过第一协议栈通信，所述第一终端设备和所述目的终端设备具有端到端的第二协议栈；其中，所述第一协议栈包含物理PHY层、介质访问控制MAC层和无线链路控制RLC层；所述第二协议栈包含分组数据汇聚协议PDCP层、服务数据适应协议SDAP层、RLC层和MAC层。

一种可能的实施方式中，第二RAN设备接收第一RAN设备发送的密钥参数、第一终端设备的标识和目的终端设备的标识，包括：所述第二RAN设备接收第一RAN设备发送的用户面通用无线分组业务隧道协议GTP-U数据包，其中所述GTP-U的包头中携带所述密钥参数、所述第一终端设备的标识和所述目的终端设备的标识。

一种可能的实施方式中，所述第二RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识，包括：所述第二RAN设备向所述目的终端设备发送第三数据，其中所述第三数据外面的封装头中包含所述密钥参数和所述第一终端设备的标识。

一种可能的实施方式中，所述目的终端设备的标识包括第二终端设备的第一标识；在所述第二RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识之前，所述方法还包括：所述第二RAN设备根据所述第二终端设备的第一标识确定所述第二终端设备的第二标识；其中，所述第一标识包括设备标识，所述第二标识包括小区无线网络临时标识C-RNTI；所述第二RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识，包括：所述第二RAN设备根据所述第二终端设备的第二标识向所述第二终端设备发送所述密钥参数和所述第一终端设备的标识。

一种可能的实施方式中，所述目的终端设备的标识包括所述第一终端设备所在终端设备组的组标识；所述第二RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识，包括：所述第二RAN设备通过组播信道将所述密钥参数和所述第一终端设备的标识发送给所述终端设备组，其中所述组播信道与所述终端设备组对应。

第四方面，本申请实施例提供一种密钥管理方法，包括：目的终端设备接收第一RAN设备或第二RAN设备发送的密钥参数、第一终端设备的标识；所述目的终端设备和所述第一终端设备相互通信时，使用所述密钥参数对传输数据进行加密和/或解密。

第五方面，本申请实施例提供一种通信装置，该装置可以是上述第一方面中的第一RAN设备，或者是所述第一RAN设备中的装置，该装置包括用于执行如上述第一方面任一种可能的实施方式中所述的方法的模块。例如：

接收模块，用于接收第一终端设备发送的密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

发送模块，用于向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识。

第六方面，本申请实施例提供一种通信装置，该装置可以是上述第二方面中的第一终端设备，或者是第一终端设备中的装置，该装置包括用于执行如上述第二方面任一种可能的实施方式中所述的方法的模块。例如：

处理模块，用于确定密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

发送模块，用于向第一无线接入网RAN设备发送所述密钥参数和所述目的终端设备的标识。

第七方面，本申请实施例提供一种通信装置，该装置可以是上述第三方面中的第二RAN设备，或者是所述第二RAN设备中的装置，该装置包括用于执行如上述第三方面任一种可能的实施方式中所述的方法的模块。例如：

接收模块，用于接收第一RAN设备发送的密钥参数、第一终端设备的标识和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

第八方面，本申请实施例提供一种通信装置，该装置可以是上述第四方面中的目的终端设备，或者是所述目的终端设备中的装置，该装置包括用于执行如上述第四方面任一种可能的实施方式中所述的方法的模块。例如：

接收模块，用于接收第一RAN设备或第二RAN设备发送的密钥参数、第一终端设备的标识；

处理模块，用于在所述第一终端设备和所述目的终端设备相互通信时，使用所述密钥参数对传输数据进行加密和/或解密。

第九方面，本申请实施例提供一种通信装置，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器和/或通信接口；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如上述第一方面、第二方面、第三方面或第四方面任一种可能的实施方式中所述的方法。

第十方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令在被计算机执行时，使所述计算机执行如上述第一方面、第二方面、第三方面或第四方面任一种可能的实施方式中所述的方法。

第十一方面，本申请实施例提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，以实现如上述第一方面、第二方面、第三方面或第四方面任一种可能的实施方式中所述的方法。

附图说明

图1为目前NR系统的网络架构示意图；

图2为核心网为终端设备1提供密钥参数的流程图；

图3为终端设备1生成Session Group Key的原理图；

图4A为本申请实施例适用的一种网络架构示意图；

图4B为本申请实施例适用的另一种网络架构示意图；

图5为本申请实施例提供的一种密钥管理方法的流程图；

图6A为一种可能的用户面的协议栈的示意图；

图6B为另一种可能的用户面的协议栈的示意图；

图6C为另一种可能的用户面的协议栈的示意图；

图7为UE1和UE2共站时，UE1通过控制面将count1传输给UE2的流程图；

图8为UE1和UE2共站时，UE1通过用户面将count1传输给UE2的流程图；

图9为UE1和UE2跨站时，UE1将count1传输给UE2提供的流程图；

图10为本申请实施例提供的一种通信装置1100的结构示意图；

图11为本申请实施例提供的一种通信装置1200的结构示意图；

图12为本申请实施例提供的一种通信装置1300的结构示意图；

图13为本申请实施例提供的一种通信装置1400的结构示意图；

图14为本申请实施例提供的一种通信装置1500的结构示意图。

具体实施方式

图1为目前的新空口(new radio，NR)系统的网络架构示意图，如图1所示，NR系统包含无线接入网(radio access network，RAN)侧的下一代节点B(next generation node B，gNB)，核心网(core network，CN)侧的接入和移动管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、用户面功能(user plane function，UPF)网元及数据网络(data network，DN)网元等。

如果终端设备1和终端设备2通信，传统的方法则如图1中虚线所示，终端设备1的数据先经过RAN，再到核心网的UPF，再到DN，再依次通过UPF、RAN到终端设备2。其中，UPF可以位于较高的位置，例如靠近DN的位置，UPF也可以位于较低的位置，例如靠近RAN的位置，UPF越靠近RAN，数据传输的时延越小。

在NR系统中，终端设备1和终端设备2通信的路径也可以不经过DN、UPF等，例如图1中用实线表示的路径，终端设备1的数据只需要经过RAN网络侧的物理(physical，PHY)层、介质访问控制(media access control，MAC)层及无线链路控制(radio link control，RLC)层就可以转发给终端设备2。对于上述这种经过基站部分协议栈直接进行本地转发的方法，可以称之为RAN本地转发(RAN local switch)，或称之为基于RLC的本地转发(RLC based local switch)。应理解，此处的RAN可能是一个基站，即终端设备1和终端设备2属于同一基站覆盖范围内；此处的RAN也可能是多个基站，即终端设备1和终端设备2分别属于不同基站的覆盖范围内，如终端设备1对应基站1，终端设备2对应基站2，则数据传输路径为终端设备1->基站1->基站2->终端设备2。

终端设备1和终端设备2在通过RAN本地转发进行数据传输时，对数据的用户面加密主要是终端设备1和终端设备2端到端的分组数据汇聚协议(packet data convergence protocol，PDCP)层完成，gNB不参与用户面数据加密。具体的，终端设备1和终端设备2属于同一个终端设备组，终端设备组内的每个终端设备根据核心网提供的密钥参数生成公共的基础密钥：会话组密钥(Session Group Key)，并使用生成的Session Group Key对数据进行加密。

核心网可以在终端设备1申请PDU会话的过程中为终端设备1提供密钥参数。如图2所示，该过程包括：

S201、核心网获取终端设备组的成员信息，例如终端设备1、终端设备2。

S202、终端设备1向核心网发起建立PDU会话的申请，该申请中携带指示信息，指示RAN本地转发，或者指示核心网为终端设备1配置本地转发的密钥参数，密钥参数例如为计数值(count)。

S203、核心网收到终端设备1发送的PDU会话申请后，配置count(终端设备组内所有终端设备的count相同)、以及根据其它成员的基站加密参数K _AMF或K _gNB为终端设备1生成中间密钥参数Derpara。

具体的，核心网可以根据每个终端设备的K _AMF或K _gNB和count为所述每个终端设备生成对应的Ktemp，由于各个终端设备的K _AMF或K _gNB可以不同，所以各个终端设备的Ktemp可以不同；然后核心网将除了终端设备1之外的其他所有终端设备的Ktemp值进行异或计算，生成Derpara，或者核心网直接将除了终端设备1之外的其他所有终端设备的K _AMF或K _gNB值进行异或计算生成Derpara。

S204、核心网根据终端设备组内所有终端设备均支持的加密算法，并通知终端设备选择的加密算法。

S205、核心网为终端设备1建立完成PDU会话后，上述count值、Derpara以及加密算法发送给终端设备1。

S206、终端设备1的非接入层(non access stratum，NAS)根据自身的K _AMF1或K _gNB1、count和Derpara生成Session Group Key，并将Session Group Key、安全算法等发送给接入层(access stratum，AS)，同时将核心网指示的加密算法发送给AS层，激活PDCP安全机制，使得终端设备1在和终端设备组内成员进行端到端通信时基于Session Group Key、加密算法对数据进行加/解密。

图3示出了终端设备1生成Session Group Key的原理图。终端设备1将自身的密钥K _AMF1或K _gNB1、基于终端设备组内其他终端设备的基站加密参数(图2中以K _AMF2或K _gNB2、K _AMF3或K _gNB3为例)生成的中间密钥参数(Derpara)，以及核心网提供的count进行异或计算，获得Session Group Key。

在上述加密方案中，由于核心网提供给终端设备组内的所有终端设备的count为同一值，所以终端设备组内的所有终端设备生成的Session Group Key相同，且只有当终端设备组有新成员加入或离开时才有可能更新所有终端设备的Derpara以及count(即更新Session Group Key。这样导致的一个问题是：一旦终端设备组内任意一个终端设备上的密钥参数 count被破解，则终端设备组内的所有终端设备的密钥参数count都会被破解，对数据安全性造成严重威胁。

为此，本申请实施例提供一种密钥管理方法：核心网可以给终端设备组内的不同的终端设备提供不同的密钥参数(例如count)，和/或，终端设备根据自身的移动性更新终端设备的密钥参数。当终端设备组内任意终端设备对(为了便于描述，本文将通信的两个终端设备称为一个“终端设备对”)需要通信时，终端设备对中的一个终端设备(例如通信发起方或通信接收方)将自身的密钥参数提供给另一个终端设备，使得该终端设备对中的两个终端设备使用相同密钥参数生成会话密钥，进而使用相同的会话密钥对数据进行加解密，保证通信的可靠性，同时又由于不同的终端设备可提供的密钥参数不同，所以不同终端设备对使用的会话密钥可以不同，进而可以避免终端设备组内任意终端设备的密钥参数被破解导致终端设备组内的所有终端设备的密钥参数都被破解的问题，进而可以提高数据的安全性。

应理解，在本文中，密钥参数均是以count为例。也即，除非有特别说明之外，本文中的密钥参数均指count。也即，本文中的“密钥参数”和“count”可以相互替换。

当然，本文中的密钥参数的名称count仅为一种示例，在具体实施时，密钥参数的名称也可以被替换为其他名称。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通信(global system of mobile communication，GSM)系统、码分多址(code division multiple access，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)系统，如NR，及未来的通信系统，如6G系统等。当然，本申请实施例的技术方案也可以应用于其它的通信系统。

例如，图4A为本申请实施例适用的一种网络架构示意图，该通信系统包括：RAN设备1、终端设备1和终端设备2。其中，终端设备1和终端设备2属于同一终端设备组，且终端设备1和终端设备2均在RAN设备1覆盖范围内(或者说终端设备1和终端设备2均与RAN设备1连接)。RAN设备1可以将来自终端设备1的数据转发给终端设备2，还可以将来自终端设备2的数据转发给终端设备1。

应理解，图4A仅为通信系统的一种示例并非限定，在实际部署时，该通信系统中可以有更多的RAN设备和终端设备。

例如，图4B为本申请实施例适用的另一种网络架构示意图，该通信系统包括：RAN设备1、RAN设备2、终端设备1和终端设备2。其中，终端设备1和终端设备2属于同一终端设备组，终端设备1在RAN设备1覆盖范围内(或者说终端设备1和与RAN设备1连接)，终端设备2在RAN设备2覆盖范围内(或者说终端设备2和与RAN设备2连接)。RAN设备1和RAN设备2可以相互通信。RAN设备1可以将来自终端设备1的数据转发给RAN设备2，然后再由RAN设备2将该数据转发给终端设备2。RAN设备2可以将来自终端设备2的数据转发给RAN设备1，然后再由RAN设备1将该数据转发给终端设备1。

应理解，图4B仅为通信系统的一种示例并非限定，在实际部署时，该通信系统中可以有更多的RAN设备和终端设备。例如，RAN设备1和RAN设备2还可以有RAN设备3，RAN设备1和RAN设备2的通信通过RAN设备3转发。例如，上述通信系统还可以包括核心网设备。

下面，结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请的一部分实施例，而不是全部的实施例。

为了使得本申请实施例更加清楚，以下再对与本申请实施例相关的部分内容以及概念在此处作统一介绍。

1)、本申请实施例所涉及的终端设备，又称之为终端，是用户侧的一种用于接收或发射信号的实体，用于向网络设备发送上行信号，或从网络设备接收下行信号。包括向用户提供语音和/或数据连通性的设备，例如可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经无线接入网(radio access network，RAN)与核心网进行通信，与RAN交换语音和/或数据。该终端设备可以包括用户设备(user equipment，UE)、V2X终端设备、无线终端设备、移动终端设备、设备到设备通信(device-to-device，D2D)终端设备、机器到机器/机器类通信(machine-to-machine/machine-type communications，M2M/MTC)终端设备、物联网(internet of things，IoT)终端设备、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、远程站(remote station)、接入点(access point，AP)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、或用户装备(user device)等。例如，可以包括移动电话(或称为“蜂窝”电话)，具有移动终端设备的计算机，便携式、袖珍式、手持式、计算机内置的移动装置等。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、等设备。还包括受限设备，例如功耗较低的设备，或存储能力有限的设备，或计算能力有限的设备等。例如包括条码、射频识别(radio frequency identification，RFID)、传感器、全球定位系统(global positioning system，GPS)、激光扫描器等信息传感设备。

作为示例而非限定，在本申请实施例中，该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。

而如上介绍的各种终端设备，如果位于车辆上(例如放置在车辆内或安装在车辆内)，都可以认为是车载终端设备，车载终端设备例如也称为车载单元(on-board unit，OBU)。

2)、本申请实施例所涉及的RAN设备，是所述通信系统中将所述终端设备接入到无线网络的设备。RAN设备为无线接入网中的节点，又可以称为基站，还可以称为无线接入网设备。RAN设备可以包括长期演进(long term evolution，LTE)系统或高级长期演进(long term evolution-advanced，LTE-A)中的演进型基站(NodeB或eNB或e-NodeB，evolved Node B)，或者也可以包括第五代移动通信技术(the 5th generation，5G)NR系统中的下一代节点B(next generation node B，gNB)或者下一代演进型基站(next generation evolved nodeB，ng-eNB)、en-gNB(enhanced next generation node B，gNB)：增强的下一代基站；

还可以包括云接入网(cloud radio access network，Cloud RAN)系统中的集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)，或者还可以包括中继设备，本申请实施例并不限定。

3)、本申请实施例所涉及的数据网络网元，可以是因特网(Internet)、IP多媒体业务(IP Multi-media Service，IMS)网络、区域网络(即本地网络，例如移动边缘计算(mobile edge computing，MEC)网络)等。所述数据网络中包括应用服务器，所述应用服务器通过与所述终端设备进行数据传输，为所述终端设备提供业务服务。

4)、本申请实施例所涉及的接入和移动管理功能网元，可用于对所述终端设备的接入控制和移动性进行管理，在实际应用中，其包括了长期演进(long term evolution，LTE)中网络框架中移动管理实体(mobility management entity，MME)里的移动性管理功能，并加入了接入管理功能，具体可以负责所述终端设备的注册、移动性管理、跟踪区更新流程、可达性检测、会话管理功能网元的选择、移动状态转换管理等。例如，在5G中，所述接入和移动管理功能网元是AMF(access and mobility management function)网元。在未来通信，如6G中，核心网的接入和移动性管理功能网元仍可以是AMF，或有其它的名称，本申请不做限定。当核心网接入和移动性管理功能网元是AMF时，所述AMF可以提供Namf服务。

5)、本申请实施例所涉及的用户面功能网元，可用于分组路由和转发、支持上行链路分类器以将业务流路由到数据网络的实例、支持分支点以支持多宿主分组数据单元(packet data unit，PDU)会话、用户平面的服务质量(quality of service，QoS)处理、下行数据包缓冲和下行数据通知触发等。例如，在5G中，所述用户面功能网元可以是UPF网元，在未来通信，如6G中，所述用户面功能网元仍可以是UPF网元，或有其它的名称，本申请不做限定。

6)、本申请实施例所涉及的会话管理功能网元，可用于负责所述终端设备的会话管理(包括会话的建立、修改和释放)，用户面功能网元的选择和重选、所述终端设备的互联网协议(internet protocol，IP)地址分配、QoS控制等。例如，在5G中，所述会话管理功能网元是SMF(session management function)网元，在未来通信，如6G中，所述会话管理功能网元仍可以是SMF网元，或有其它的名称，本申请不做限定。当会话管理功能网元是SMF网元时，所述SMF可以提供Nsmf服务。

7)、本申请实施例中的术语“系统”和“网络”可被互换使用。术语“多个”可以是两个、三个或者更多个，本申请实施例不做限制。正整数个可以是一个或多个。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。

除非有相反的说明，本申请实施例提及“第一”、“第二”、“第三”以及“第四”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度。

图5为本申请实施例提供的一种密钥管理方法，可以应用于图4A或图4B所示的无线通信系统。参见图5，该方法包括：

S501、第一终端设备确定密钥参数和目的终端设备的标识。

S502、第一终端设备向第一RAN设备发送密钥参数和目的终端设备的标识，第一RAN设备接收第一终端设备的密钥参数和目的终端设备的标识。

其中，密钥参数是用于第一终端设备和目的终端设备相互通信时对传输数据进行加密和/或解密。

在本申请实施例中，第一终端设备可能同时有多套密钥参数，其中一套是自身提供的密钥参数(用于自身作为发送端时的密钥参数)，其他则是其他终端设备提供给第一终端设备的(用于自身作为接收端时的密钥参数)。在具体实施时，第一终端设备是将自身提供的密钥参数发送给第一RAN设备。

一种可能的实施方式中，第一终端设备为通信发起方，目的终端设备为通信接收方，即两个相互通信的终端设备需要通信时，由通信发起方提供密钥参数供双方对数据进行加/解密。另一种可能的实施方式中，目的终端设备为通信发起方，第一终端设备为通信接收方，即两个相互通信的终端设备需要通信时，由通信接收方提供密钥参数供双方对数据进行加/解密。以上两种实施方式，均可以保证第一终端设备和目的终端设备使用统一的密钥参数对传输数据进行加密/解密，进而保证通信的可靠性。在本文接下来的描述中，主要以第一终端设备为通信发起方为例对本申请技术方案进行说明。

一种可能的实施方式中，密钥参数可以是密钥本身，或者是被加密的密钥。这样，目的终端设备接收到密钥参数后，可以直接获得密钥对数据进行加密/解密，提高通信效率。

一种可能的实施方式中，密钥参数可以是用于供第一终端设备和目的终端设备分别生成会话密钥所需的参数，这样，可以通过传输密钥参数使得第一终端设备和目的终端设备生成的密钥统一，同时又可以避免密钥直接被传输，可以提高密钥的安全性。

示例性的，第一终端设备和目的终端设备属于同一个终端设备组，会话密钥具体是Session Group Key，密钥参数是用于供第一终端设备和目的终端设备分别生成Session Group Key的计数值count。应理解，在本文中，Session Group Key仅仅是会话密钥的一种示例，在具体实施时，会话组密钥也可以有其他形式或名称，本申请实施例不做限制。同理，对于密钥参数，count也仅仅是密钥参数的一种示例，在具体实施时，也可以有其他形式或名称，本申请实施例不做限制。

一种可能的实施方式中，核心网可以为第一终端设备分配初始密钥参数(如count的初始值)，核心网为第一终端设备所在终端设备组内的不同终端设备分配不同的初始密钥参数。此外，核心网还可以为终端设备组内所有终端设备配置对应的Derpara参数。

例如，假设终端设备组包括UE1、UE2、UE3、UE4，核心网为UE1分配的count1、核心网为UE2分配的count2、核心网为UE3分配的count 3、核心网为UE4分配的count 4。核心网为UE1/UE2/UE3/UE4分别配置Derpara1/Derpara2/Derpara3/Derpara4，其中Derpara1是根据UE2的K _AMF2或K _gNB2，UE3的K _AMF3或K _gNB3，UE4的K _AMF4或K _gNB4生成的，Derpara2是根据UE1的K _AMF1或K _gNB1，UE3的K _AMF3或K _gNB3，UE4的K _AMF4或K _gNB4生成的，Derpara3是根据UE1的K _AMF1或K _gNB1，UE2的K _AMF2或K _gNB2，UE4的K _AMF4或K _gNB4生成的，Derpara4是根据UE1的K _AMF1或K _gNB1，UE2的K _AMF2或K _gNB2，UE3的K _AMF3或K _gNB3生成的。后续UE1和UE2(目的终端设备)通信时，UE1根据自己的K _AMF1或K _gNB1、自身提供的密钥参数(count1)以及核心网提供的Derpara参数生产Session Group key1。UE2根据自己的K _AMF2或K _gNB2，UE1提供的密钥参数(count值1)以及核心网提供的Derpara2参数生成Session Group key2。根据上述密钥生成的原理，可以保证Session Group key1和Session Group key2相同，从而保证了UE1和UE2之间的通信正常进行。

同理，后续UE3和UE4(目的终端设备)通信时，UE3根据自己的K _AMF3或K _gNB3，自身提供的密钥参数(count3)以及核心网提供的Derpara参数生产Session Group key3。UE4根据自己的K _AMF4或K _gNB4，UE3提供的密钥参数(count3)以及核心网提供的Derpara4参数生成Session Group key4。根据密钥生成的原理，可以保证Session Group key3和Session Group key4相同，从而保证了UE3和UE4之间的通信正常进行。

上述方法可以使得UE1、UE2通信使用的Session Group Key和UE3、UE4通信使用的Session Group Key不同。这样，可以实现同一终端设备组内不同终端设备对使用不同密钥通信的效果，可以提高数据安全性。

另一种可能的实施方式中，第一终端设备可以根据核心网分配的初始密钥参数获取密钥参数，比如，第一终端设备可以根据自身的移动性更新密钥参数。例如，第一终端设备的移动距离超过阈值(如有500米)时，第一终端设备的count的值就+1，或者，第一终端设备所属的基站/小区发生一次切换，第一终端设备的count的值就+1。这样，不仅可以使得终端设备组内不同的终端设备对的密钥参数不同，还可以避免同一终端设备对长时间使用一个密钥，可以进一步提高数据的安全性。

S503、第一RAN设备向目的终端设备发送密钥参数和第一终端设备的标识。

具体的，第一RAN设备从第一终端设备接收密钥参数和目的终端设备的标识后，根据目的终端设备的标识找到目的终端设备将该密钥参数发送给目的终端设备，使得目的终端设备后续在接收到来自第一终端设备的加密数据时，可以基于该密钥参数生成相应的Session Group key从而对加密的传输数据进行解密，或者后续在向第一终端设备发送数据时，基于该密钥参数对传输数据进行加密，以保证和第一终端设备通信数据的安全性。

在具体实施时，除了第一终端设备，还可能会存在其他终端设备向目的终端设备提供密钥参数，因此，为使得目的终端设备可以区分这些密钥参数，第一RAN在将第一终端设备的密钥参数(为了便于描述，本文将第一终端设备提供的密钥参数称为第一密钥参数)发送给目的终端设备时，还可以将第一终端设备的标识一并发送给目的终端设备，使得目的终端设备可以识别出第一密钥参数是对应第一终端设备的。

一种可能的实施方式中，终端设备接收第一密钥参数后还可以保存第一密钥参数，这样后续目的终端设备和第一终端设备通信时，第一终端设备可以不用再反复提供第一密钥参数，节省系统开销。

如上所述，在通信系统中，每个终端设备可能作为通信发起者，也可能作为通信接收者，所以每个终端设备的非接入层可能需要维护多套密钥参数，其中一套是作为通信发起者时的密钥参数，其他套则是作为通信接收者时的密钥参数(即其他通信发起者的终端设备)。例如，假设UE1作为通信发起者和UE2通信，同时又作为通信接收者和UE3和UE4通信，则UE1不仅需要维护自身作为通信发起者的count1，还要维护UE3作为通信发起者的count3和UE4作为通信发起者的count4。因此，目的终端可以联性地保存第一密钥参数和第一终端设备的标识，以区分哪些密钥参数是哪些终端设备提供的。

一种具体的示例，目的终端设备可以在本地维护一个映射表，映射表中存储各个终端设备和各终端设备提供的密钥参数的对应关系。

例如，表1所示，UE1提供的密钥参数为count1，UE2提供的密钥参数为count2，UE3提供的密钥参数为count3。

表1

终端设备的标识	密钥参数
UE1	count1
UE2	count2
UE3	count3
……	……

在本申请实施例中，目的终端设备可以是单个设备，也可以是多个终端设备，本申请实施例不做具体限制。

第1种，目的终端设备是单个终端设备，例如第二终端设备。

目的终端的标识可以为第二终端设备的第一标识，第一标识包括设备标识，例如IP地址、MAC地址或第一终端设备在其终端设备组内的标识等。

在第一RAN设备向目的终端设备发送第一密钥参数和第一终端设备的标识之前，第一RAN设备需要根据第二终端设备的第一标识确定第二终端设备的第二标识，这里的第二标识包括小区无线网络临时标识(cell-radio network temporary identifier，C-RNTI)。可选的，每个终端设备在接入基站时，可以给基站发送自身的第一标识，后续当基站给终端设备分配第二标识后，基站和终端设备分别保存终端设备的第一标识和第二标识之间的映射关系，这样第一RAN设备根据第二终端设备的第一标识确定第二终端设备的第二标识时，就可以基于该映射关系迅速确定第二终端设备的第二标识。

第一RAN设备根据第二终端设备的第一标识确定第二终端设备的第二标识后，第一RAN设备根据第二终端设备的C-RNTI向第二终端设备发送第一密钥参数和第一终端设备的标识，这里第一终端设备的标识可以是第一终端设备的第一标识。

第2种，目的终端设备是多个终端设备。

相应的，目的终端的标识可以包括这多个终端设备中各个终端设备的第一标识，第一RAN设备将这多个终端设备中各个终端设备的第一标识转换为第二标识，然后向这多个终端设备中的各个终端设备发送第一密钥参数和第一终端设备的标识。

一种具体的示例，这多个终端设备还可以为一个终端设备组，则目的终端的标识可以是该终端设备组的组标识，第一RAN设备可以通过组播信道将第一密钥参数和第一终端设备的标识发送给该终端设备组，其中组播信道与该终端设备组对应。

在本申请实施例中，目的终端设备与第一终端设备可能位于同一RAN设备(即第一RAN设备)的覆盖范围内(即共站情况)，目的终端设备与第一终端设备也可能位于不同的RAN设备的覆盖范围内(即跨站情况)。

第1种、当目的终端设备与第一终端设备共站时，第一RAN设备可直接将第一密钥参数以及第一终端设备的标识发送给目的终端设备。

第2种、当目的终端设备与第一终端设备跨站时，第一RAN设备需要经由其他RAN设备将第一密钥参数和第一终端设备的标识发送给目的终端设备。

一种可能的示例中，第一RAN设备可以向周围的RAN设备(即邻区的RAN设备)发送目的终端设备的标识并询问目的终端设备位于哪个一个RAN设备覆盖范围内，假设目的终端设备位于第二RAN设备覆盖范围内，则第二RAN设备应答第一RAN设备的询问。第一RAN设备获知目的终端设备位于第二RAN设备覆盖范围内后，第一RAN设备将第一密钥参数、第一终端设备的标识以及目的终端设备的标识发送给第二RAN设备，之后第二RAN设备再将第一密钥参数以及第一终端设备的标识发送给目的终端设备。在这种情况下，所述第一RAN设备的覆盖范围和所述第二RAN设备的覆盖范围至少部分重叠。

另一种可能的示例中，第一RAN设备可以和第二RAN设备之间周期性交互其服务的终端设备的第一标识，那么当第一RAN设备接收到终端设备的第一标识时，就可以根据之前设备之间交互的内容确定第一标识对应的第二RAN设备。当然，以上仅为示例而并非限定，在具体实施时，第一RAN设备还以经过更多的RAN设备将第一密钥参数发送给目的终端设备。

在本申请实施例中，终端设备和RAN设备间通过第一协议栈通信，而终端设备之间具有端到端的第二协议栈。

具体的，第一终端设备和第一RAN设备间通过第一协议栈通信，第一终端设备和目的终端设备具有端到端的第二协议栈。若第一终端设备和目的终端设备共站，则目的终端设备和第一RAN设备间还通过第一协议栈通信。若第一终端设备和目的终端设备跨站，如目的终端设备位于第二RAN设备覆盖范围内，则目的终端设备和第二RAN设备间还通过第一协议栈通信。第一协议栈至少包含PHY层，进一步还可能包含MAC层、RLC层、适配层等。第二协议栈至少包含PDCP层，进一步还可能包含服务数据适应协议(service data adaptation protocol，SDAP)层、RLC层或MAC层等。一种可能的情况是，第一协议栈包含PHY层，MAC层，RLC层，适配层，第二协议栈包含PDCP层。

在本申请实施例中，第一终端设备将第一密钥参数通过RAN设备传输给目的终端设备的过程可以通过控制面(CP)传输方案，也可以通过用户面(UP)传输方案实现，这里不做限制。

第1种：CP传输方案

示例性的，第一终端设备先通过上行RRC消息，将第一密钥参数和目的终端设备的标识发送给第一RAN设备。当然，上行RRC消息仅为一种示例而非限定，具体实施时，所述第一密钥参数和目的终端设备的标识还可以通过其他控制面传输方式发送给基站，例如将第一密钥参数和目的终端设备的标识承载在MAC控制信元(control element，CE)、PHY头、MAC头或者RLC头等中。

如果目的终端设备和第一终端设备共站，则第一RAN设备通过下行RRC消息向目的终端设备发送第一密钥参数和第一终端设备的标识。

如果目的终端设备和第一终端设备跨站，比如目的终端设备在第二RAN设备覆盖范围内，则第一RAN设备可以先通过和第二RAN设备之间的接口消息(例如XnAP消息)将密钥参数、第一终端设备的标识和目的终端设备的标识发送给第二RAN设备，然后再由第二RAN设备通过下行RRC消息向目的终端设备发送密钥参数和第一终端设备的标识。

第2种：UP传输方案

示例性的，第一终端设备可以向第一RAN设备发送第一数据，第一数据外面封装的第一封装头中包含密钥参数和目的终端设备的标识。即第一数据包含净荷数据以及所述第一封装头。

第一RAN接收第一数据，解析第一数据获取密钥参数和目的终端设备的标识，如果目的终端设备和第一终端设备共站，则第一RAN设备向目的终端设备发送第二数据，第二数据包含净荷数据以及第二封装头。应理解，这里的第一数据和第二数据包含的净荷数据相同。区别在于第一数据和第二数据外面的封装头不同，第一数据外面的第一封装头中包含密钥参数和目的终端设备的标识，而第二数据外面的第二封装头中包含密钥参数和第一终端设备的标识。

如果目的终端设备和第一终端设备跨站，如目的终端设备在第二RAN设备覆盖范围内，则第一RAN设备向第二RAN设备发送用户面通用无线分组业务隧道协议(GPRS tunneling protocol user，GTP-U)数据包，GTP-U的包头中封装有第一密钥参数、第一终端设备的标识和目的终端设备的标识，GTP-U数据包中包含该净荷数据，然后再通过第二RAN设备向目的终端设备发送第三数据，第三数据包含净荷数据以及第三封装头。其中第三数据外面的第三封装头中包含第一密钥参数和第一终端设备的标识。应理解，这里的第一数据和第三数据包含的净荷数据相同。

在具体实施时，上述控制面传输方案和用户面传输方案均可能被实施，不过在不同的传输阶段。

示例性的，假设UE1希望和目的UE通信，且UE1和目的UE被相同基站所覆盖，则UE1可以先通过上行RRC消息把目的UE的第一标识和密钥参数发送给基站；然后基站根据目的UE的第一标识确定目的UE的第二标识(例如C-RNTI)，根据该第二标识发送下行RRC消息(也可以是其他MAC CE，或者PHY头，MAC头或者RLC头等)以将第一UE的第一标识以及密钥参数告诉目的UE，然后第一UE才能给目的UE发送数据包。当UE1通过基站给目的UE发送数据包时，UE1可以在每个数据包中都携带密钥参数，也可以是在密钥参数发生更新后发送一个或多个数据包来携带更新后的密钥参数，本申请实施例不做限制。

当UE1给基站发送数据包时，数据包可以包含目的UE的第一标识，还可能包含目的UE的网络切片(slice)标识(ID)和/或QFI，还可能包含第一UE的第一标识。

请参见图6A，为一种可能的用户面的协议栈的示意图，数据包的协议层从上至下依次包括PDCP层、适配(adapt)层、RLC层、MAC层、PHY层。其中，适配层可以用于发送端通知接收端数据包来自哪个节点(如适配层中携带源UE的标识)、需要发送往哪个节点(如适配层中携带目的UE的标识)。可选的，适配层还可以携带目的节点的网络切片标识(slice ID)、服务质量流标识(Quality of Service Flow ID，QFI)等。

请参见图6B，为另一种可能的用户面的协议栈的示意图，数据包的协议层从上至下依次包括SDAP层、PDCP层、适配层、RLC层、MAC层、PHY层。图6A和图6B的最主要的区别在于RAN设备处理后的数据包的适配层是否需要携带QFI。对于没有SDAP的情况，可能会携带QFI，如图6A所示。但是对于有SDAP的情况，因为SDAP本身包含QFI，所以不需要在适配层携带，如图6B所示。

应理解，第一终端设备的适配层、RAN设备的适配层以及目的终端设备的适配层中包含的内容可能不一样。例如：当第一终端设备给RAN设备送数据包时，目的终端设备的第一标识、slice ID、QFI等都包含在数据包的适配层中。RAN设备在根据目的终端设备的第一标识确定C-RNTI，然后根据slice ID和/或QFI确定DRB。假设在此之前，RAN设备可以给目的终端设备发送RRC重配置消息，里面包含slice ID和DRB的映射关系，或者 QFI和DRB的映射关系，或者slice ID，QFI和DRB的映射关系，则此处RAN设备就可以根据上述映射关系确定C-RNTI或DRB。RAN设备在转发数据包时，可能将数据包适配层中的目的终端设备的标识删除，保留第一终端设备的第一标识(如果第一终端设备发送的数据包未包含自己的第一标识，则RAN设备可以在转发时根据第一终端设备的C-RNTI找到第一终端设备对应的第一标识，并在适配层中增加第一终端设备的第一标识)，还可能将适配层中的slice ID删除，可能保留QFI。删除slice ID是因为RAN设备会在RRC配置消息中告诉目的终端设备，哪个slice的哪些QFI对应到哪个DRB，因此目的终端设备可能就可以确定数据包来自于哪个slice。而保留QFI可能是一开始基站给目的终端设备配置了反射QoS(reflective QoS)机制，即目的终端设备需要根据下行数据包中包含的QFI，从而可以确定哪些QFI对应哪个DRB。后续目的终端设备就可以根据下行获取的QFI和DRB的映射关系，确定上行数据包属于哪个DRB。

参见图6C，为另一种可能的用户面协议栈的示意图，如图6C所示，在PDCP层之上是还包括应用(APP)层，APP层用于产生UE1想发给UE2的净荷数据。UE1和gNB之间的协议层是适配/RLC/MAC/PHY层，UE2和gNB之间的协议层是适配/RLC/MAC/PHY层。UE1在给gNB发送数据包时，在数据包外面依次封装适配/RLC/MAC/PHY头。

一种可能的设计中，第一终端设备可以在向核心网申请PDU会话的过程中获得第一密钥参数。

示例性的，UE1可以向核心网申请PDU会话，该PDU会话后续用于RAN本地转发通信。UE1向核心网发起建立PDU会话申请时，申请中可以包含UE组标识、slice标识、RAN本地转发标识等中的一个或多个。核心网收到该申请后，根据RAN本地转发标识，同时识别UE1属于某个UE组或某个slice，则将该UE组内或申请该slice业务的其他UE的K _AMF或K _gNB异或合成Derpara，将Derpara、count1、安全算法等，发送给UE1。应理解，这里的count1可以是核心网专为UE1配置的，核心网为其他UE配置的count值可以与count1不同。UE2向核心网申请建立PDU会话申请，核心网做同样类似的操作。

UE1收到核心网提供的密钥参数(如Derpara、count1以及安全算法等)后，UE1的非接入层将UE1的K _AMF1或K _gNB1、Derpara、count1等发送给UE1的AS层，或者将K _AMF1或K _gNB1和Derpara经过异或以后的参数以及count值发送给AS层，或者也可以按照图3所示方法生成的Session Group Key后直接将Session Group Key发送给AS层。除此之外，UE1的NAS层还可以提供对应的PDU会话标识给AS层，以便于UE1知道哪个PDU会话需要使用上述NAS层提供的密钥或密钥参数。后续UE1收到基站RRC重配置消息时，RRC重配置消息可以包含DRB、以及DRB对应的SDAP-Config，而SDAP-Config中可以包含PDU会话标识，从而UE1能够根据RRC重配置消息获知DRB对应的PDU会话标识。UE1后续进行PDU会话时，将本次会话的PDU会话标识和之前NAS层提供的PDU会话标识进行对比，如果相同则采用NAS层提供的端到端的密钥或密钥参数，反之则执行传统的加密机制(例如采用UE1和基站约定的密钥参数进行加/解密)。另外，UE1可以根据PDU会话标识和DRB的映射关系，确定哪些DRB使用NAS层提供的端到端的密钥或密钥参数，哪些DRB使用传统的加密机制。

以上各实施方式可以相互结合以实现不同的技术效果。

为了更好地理解本申请实施例技术方案，下面列举两个具体的实施例对本申请技术方案进行更加详细的说明书。

实施例1

本实施例讲述UE1和UE2共站时，UE1向UE2提供count1的过程。

方案一、参见图7，UE1通过CP面将count1传输给UE2。

S701、UE1通过上行RRC消息通知gNB希望和哪个目标UE(如UE2)通信，具体方式可以是向gNB发送目标UE的标识(target ID)、UE1的密钥参数count1。可选的，上行RRC消息还可以携带slice ID，QoS流标识QFI等，进而使得gNB不用额外发起流程来获取slice ID，QoS流标识QFI等信息，可以帮助gNB更加迅速地确定将后续通过用户面传输的数据时转发给UE2的哪个承载，提高数据传输效率。

其中，target ID可以是UE2的IP地址，MAC地址等，本文将称target ID为用于RAN本地转发的第一标识。如果UE1希望和一组UE通信，则target ID还可以是UE组标识。

S702、gNB根据目标UE标识、切片标识确定目标UE对应的C-RNTI和DRB标识。可选的，gNB可能还需要识别源UE的标识。

在本申请实施例中，所有UE在接入gNB时都可以先将第一标识上报给gNB，接着gNB可以给每个UE分配第二标识，例如C-RNTI。从而gNB可以获取并保存每个UE的第一标识和第二标识的映射关系。当gNB收到UE1发送的消息时，可以根据UE1的C-RNTI确定UE1的第一标识。当UE1告知gNB希望和UE2(UE2的第一标识)时，gNB可以找到UE2对应的第二标识，进而将数据包通过空口发送给第二标识的UE2。

针对UE1和一个UE组通信的情况，UE在接入gNB时不仅将第一标识发送给gNB，还可以将UE所在的UE组标识发送给gNB，或者是操作、管理和维护(operation，administration and maintenance，OAM)将UE组标识以及UE组每个成员的第一标识发送给gNB，或者是核心网的AMF将UE组标识以及UE组每个成员的第一标识发送给gNB。这样，当UE1通知gNB希望和一个UE组通信时，gNB可以通过单播或组播方式将UE1的数据发送给UE组内的所有成员。

gNB确定UE1需要通信的目标UE为UE2后，还要确定通过UE2的哪个数据无线承载DRB发送来自于UE1的数据包。具体的，gNB可以根据UE组标识，slice标识或者QFI等信息确定UE2的哪个DRB。可选的，UE2在建立DRB时，gNB的RRC重配置消息中可以指明DRB和UE组标识的映射关系，或者DRB和slice的映射关系，或者DRB和QFI list的映射关系，这样gNB可以根据该映射关系直接确定出UE2的DRB。

S703、gNB通过下行RRC重配置消息或者下行控制信息(downlink control information，DCI)或者其他协议层消息，将count1、和UE1的第一标识通知给UE2。

方案二、参见图8，UE1通过UP面将count1传输给UE2。

S801、UE1向gNB发送数据包，在数据包中携带count1、UE1希望通信的目标UE的标识(如UE2的标识)等。

UE1在给gNB发送数据包时，可以按照图6C所示的协议栈，在数据包外面依次封装适配/RLC/MAC/PHY头。可选的，可以在适配层中包含UE2的第一标识以及密钥参数count1值，另外还可能其他参数，如切片标识、QFI等。

S802、gNB在收到UE1发送的数据包后，从数据包的适配层中获取UE2的第一标识。可选的，如果适配层中还有切片标识、QFI等其他参数，则可以根据切片标识、QFI确定UE2的C-RNTI以及对应的DRB。

S803、gNB在给UE2转发来自UE1的数据包时，去掉原适配层中的UE2的标识(可选的，如果原适配层中还有切片标识、QFI等，则还可以去掉切片标识、QFI等)；在外面依次封装新的适配/RLC/MAC/PHY层，在新适配层中包含UE1的第一标识以及密钥参数count1。

S804、UE2在收到gNB转发的数据包时，从适配层获取UE1的第一标识以count1。

在本实施例中，UE1可以在发送给UE2的每个数据包中都携带count1，或者在count1改变的时候发送1或多次count值，或者在收到UE2的反馈表示UE2己收到count1时，停止在数据包中携带count1。

实施例2

本实施例讲述UE1和UE2跨站时，UE1向UE2提供count1的过程。假设UE1在gNB1的覆盖范围内，UE2在gNB2的覆盖范围内，UE1想和UE2通信，如图9所示，方法包括：

S901、UE1通过CP面或UP面将UE2的第一标识、count1等发送给gNB1。具体实现方式可以参见实施例1中S701或S801的具体实现方式，这里不再赘述。

S902、gNB1通过CP面或UP面将UE1的第一标识、UE2的第一标识、count1发送给gNB2。

首先，gNB1根据UE2的第一标识，发现UE2并不在自己的覆盖范围内，而是在gNB2覆盖范围内。一种可能的情况是gNB1向周围邻区发送UE2的第一标识进行询问，最终确定UE2在gNB2的覆盖范围内；另一种可能的情况是gNB之间定期交互其覆盖范围内UE的第一标识，最终确定UE2在gNB2的覆盖范围内。还有一种可能是gNB向核心网上报其覆盖范围内UE的第一标识，当gNB希望获取某个UE所在gNB时，向核心网发起询问。

然后，gNB1将来自于UE1的数据包外面封装GTP-Uheader，最终将整个GTP-U数据包通过gNB1和gNB2之间的GTP-U隧道发送给gNB2，上述UE1的第一标识、UE2的第一标识、count1等都可以被封装在GTP-U数据包的包头中。当然，gNB1也可以通过gNB1和gNB2之间的CP面消息，例如XnAP消息，将UE1的第一标识，UE2的第一标识、count1等告知gNB2。例如gNB1给gNB2发送XnAP消息如直接通信请求(direct communication request)消息，里面包含UE1的第一标识，UE2的第一标识，count1等。

应理解，gNB1发送给gNB2的信息，还可能包含UE1提供的slice ID，UE组标识，QFI等，这里不做限制。

S903、gNB2通过CP面或UP面消息收到上述信息后，通过CP面或UP面将UE1的第一标识，count1等传递给UE2。具体实现方式可以参见实施例1中S703或S803的具体实现方式，这里不再赘述。

以上介绍了本申请实施例提供的密钥管理方法，下面结合附图介绍本申请实施例中用来实现上述方法的通信装置。因此，上文中的内容均可以用于后续实施例中，重复的内容不再赘述。

基于相同的技术构思，参见图10，本申请实施例提供一种通信装置1000，该装置1000可以是上述方法实施例中的第一RAN设备，或者是所述第一RAN设备中的装置，该装置1000包括：

接收模块1001，用于接收第一终端设备发送的密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

发送模块1002，用于向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识。

一种可能的实施方式中，所述目的终端设备位于第二RAN设备的覆盖范围内；所述发送模块1002具体用于：通过所述第二RAN设备将所述密钥参数和所述第一终端设备的标识发送给所述目的终端设备。

一种可能的实施方式中，所述接收模块1001具体用于：所述第一RAN设备接收第一终端设备发送的第一数据，其中所述第一数据外面封装的封装头中包含所述密钥参数和所述目的终端设备的标识。

一种可能的实施方式中，所述发送模块1002具体用于：向所述目的终端设备发送第二数据，其中所述第二数据外面的封装头中包含所述密钥参数和所述第一终端设备的标识。

一种可能的实施方式中，所述发送模块1002具体用于：向第二RAN设备发送用户面通用无线分组业务隧道协议GTP-U数据包，其中所述GTP-U的包头中携带所述密钥参数、所述第一终端设备的标识和所述目的终端设备的标识，所述GTP-U数据包中包含所述第一数据，通过所述第二RAN设备将所述密钥参数和所述第一终端设备的标识发送给所述目的终端设备。

一种可能的实施方式中，所述目的终端设备的标识包括第二终端设备的第一标识；

所述装置1000还包括：

处理模块1003，用于所述发送模块1002向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识之前，根据所述第二终端设备的第一标识确定所述第二终端设备的第二标识；其中，所述第一标识包括设备标识，所述第二标识包括小区无线网络临时标识C-RNTI；

所述发送模块1002具体用于：根据所述第二终端设备的第二标识向所述第二终端设备发送所述密钥参数和所述第一终端设备的标识。

一种可能的实施方式中，所述目的终端设备的标识包括所述第一终端设备所在终端设备组的组标识；

所述发送模块1002具体用于：所述第一RAN设备通过组播信道将所述密钥参数和所述第一终端设备的标识发送给所述终端设备组，其中所述组播信道与所述终端设备组对应。

基于相同的技术构思，参见图11，本申请实施例提供一种通信装置1100，该装置1100可以是上述方法实施例中的第一终端设备，或者是所述第一终端设备中的装置，该装置1100包括：

处理模块1101，用于确定密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

发送模块1102，用于向第一无线接入网RAN设备发送所述密钥参数和所述目的终端设备的标识。

一种可能的实施方式中，所述发送模块1102具体用于：向第一无线接入网RAN设备发送第一数据，其中所述第一数据外面封装的封装头中包含所述密钥参数和所述目的终端设备的标识。

基于相同的技术构思，参见图12，本申请实施例提供一种通信装置1200，该装置1200可以是上述方法实施例中的第二RAN设备，或者是所述第二RAN设备中的装置，该装置1200包括：

接收模块1201，用于接收第一RAN设备发送的密钥参数、第一终端设备的标识和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

发送模块1202，用于向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识。

一种可能的实施方式中，所述接收模块1201具体用于：接收第一RAN设备发送的用户面通用无线分组业务隧道协议GTP-U数据包，其中所述GTP-U的包头中携带所述密钥参数、所述第一终端设备的标识和所述目的终端设备的标识。

一种可能的实施方式中，所述发送模块1202具体用于：向所述目的终端设备发送第三数据，其中所述第三数据外面的封装头中包含所述密钥参数和所述第一终端设备的标识。

所述装置1200还包括处理模块1203，用于在所述发送模块1202发送所述密钥参数和所述第一终端设备的标识之前，根据所述第二终端设备的第一标识确定所述第二终端设备的第二标识；其中，所述第一标识包括设备标识，所述第二标识包括小区无线网络临时标识C-RNTI；

所述发送模块1202具体用于：根据所述第二终端设备的第二标识向所述第二终端设备发送所述密钥参数和所述第一终端设备的标识。

一种可能的实施方式中，所述目的终端设备的标识包括所述第一终端设备所在终端设备组的组标识；所述发送模块1202具体用于：通过组播信道将所述密钥参数和所述第一终端设备的标识发送给所述终端设备组，其中所述组播信道与所述终端设备组对应。

基于相同的技术构思，参见图13，本申请实施例提供一种通信装置1300，该装置1300可以是上述方法实施例中的目的终端设备，或者是所述目的终端设备中的装置，该装置1300包括：

接收模块1301，用于接收第一RAN设备或第二RAN设备发送的密钥参数、第一终端设备的标识；

处理模块1302，用于在所述目的终端设备和所述第一终端设备相互通信时，使用所述密钥参数对传输数据进行加密和/或解密。

基于相同的技术构思，参见图14，本申请实施例提供一种通信装置1400，包括：

至少一个处理器1401；以及

与所述至少一个处理器1401通信连接的存储器1402；其中，所述存储器1402存储有可被所述至少一个处理器1401执行的指令，所述至少一个处理器1401通过执行所述存储器1402存储的指令，执行如图5、图7、图8或图9中所示实施例的方法。

其中，处理器1401可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

其中，存储器1402可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

可选的，装置1400还可以包括通信接口1403。通信接口1403用于装置1400和其它模块进行通信，其可以是电路、器件、接口、总线、软件模块、收发器或者其它任意可以实现通信的装置。

需要指出的是，本申请实施例中不限定上述通信接口1403、处理器1401以及存储器1402之间的具体连接介质。本申请实施例在图14中以通信接口1403、处理器1401以及存储器1402之间通过总线1404连接，总线在图14中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图14中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

基于相同的技术构思，本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令在被计算机执行时，使所述计算机执行如图5、图7、图8或图9中所示实施例的方法。

基于相同的技术构思，本申请实施例还提供一种芯片，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，以实现如图5、图7、图8或图9中所示实施例的方法。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的保护范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种密钥管理方法，其特征在于，包括：

第一无线接入网RAN设备接收第一终端设备发送的密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识。
如权利要求1所述的方法，其特征在于，所述目的终端设备位于所述第一RAN设备的覆盖范围内。
如权利要求1所述的方法，其特征在于，所述目的终端设备位于第二RAN设备的覆盖范围内；

所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识，包括：

所述第一RAN设备通过所述第二RAN设备将所述密钥参数和所述第一终端设备的标识发送给所述目的终端设备。
如权利要求1所述的方法，其特征在于，所述第一终端设备和所述第一RAN设备间通过第一协议栈通信，所述目的终端设备和所述第一RAN设备间通过所述第一协议栈通信，所述第一终端设备和所述目的终端设备具有端到端的第二协议栈；

其中，所述第一协议栈包含物理PHY层、介质访问控制MAC层和无线链路控制RLC层；所述第二协议栈包含分组数据汇聚协议PDCP层、服务数据适应协议SDAP层、RLC层和MAC层。
如权利要求1所述的方法，其特征在于，所述密钥参数是用于供所述第一终端设备和目的终端设备分别生成会话密钥所需的参数。
如权利要求1所述的方法，其特征在于，第一RAN设备接收第一终端设备发送的密钥参数和目的终端设备的标识，包括：

所述第一RAN设备接收第一终端设备发送的第一数据，其中所述第一数据外面封装的封装头中包含所述密钥参数和所述目的终端设备的标识。
如权利要求6所述的方法，其特征在于，所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识，包括：

所述第一RAN设备向所述目的终端设备发送第二数据，其中所述第二数据外面的封装头中包含所述密钥参数和所述第一终端设备的标识。
如权利要求6所述的方法，其特征在于，所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识，包括：

所述第一RAN设备向第二RAN设备发送用户面通用无线分组业务隧道协议GTP-U数据包，其中所述GTP-U的包头中携带所述密钥参数、所述第一终端设备的标识和所述目的终端设备的标识，所述GTP-U数据包中包含所述第一数据，通过所述第二RAN设备将所述密钥参数和所述第一终端设备的标识发送给所述目的终端设备。
如权利要求1-8任一项所述的方法，其特征在于，所述目的终端设备的标识包括第二终端设备的第一标识；

在所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识之前，所述方法还包括：

根据所述第二终端设备的第一标识确定所述第二终端设备的第二标识；其中，所述第一标识包括设备标识，所述第二标识包括小区无线网络临时标识C-RNTI；

所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识，包括：

所述第一RAN设备根据所述第二终端设备的第二标识向所述第二终端设备发送所述密钥参数和所述第一终端设备的标识。
如权利要求1-8任一项所述的方法，其特征在于，所述目的终端设备的标识包括所述第一终端设备所在终端设备组的组标识；

所述第一RAN设备向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识，包括：

所述第一RAN设备通过组播信道将所述密钥参数和所述第一终端设备的标识发送给所述终端设备组，其中所述组播信道与所述终端设备组对应。
一种密钥管理方法，其特征在于，包括：

第一终端设备确定密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

所述第一终端设备向第一无线接入网RAN设备发送所述密钥参数和所述目的终端设备的标识。
如权利要求11所述的方法，其特征在于，所述目的终端设备位于所述第一RAN设备的覆盖范围内。
如权利要求11所述的方法，其特征在于，所述目的终端设备位于第二RAN设备的覆盖范围内。
如权利要求11所述的方法，其特征在于，所述第一终端设备和所述第一RAN设备间通过第一协议栈通信，所述目的终端设备和所述第一RAN设备间通过所述第一协议栈通信，所述第一终端设备和所述目的终端设备具有端到端的第二协议栈；

其中，所述第一协议栈包含物理PHY层、介质访问控制MAC层和无线链路控制RLC层；所述第二协议栈包含分组数据汇聚协议PDCP层、服务数据适应协议SDAP层、RLC层和MAC层。
如权利要求11所述的方法，其特征在于，所述密钥参数是用于供所述第一终端设备和目的终端设备分别生成会话密钥所需的参数。
如权利要求11所述的方法，其特征在于，所述第一终端设备向第一无线接入网RAN设备发送所述密钥参数和所述目的终端设备的标识，包括：

所述第一终端设备向第一无线接入网RAN设备发送第一数据，其中所述第一数据外面封装的封装头中包含所述密钥参数和所述目的终端设备的标识。
如权利要求11-16任一项所述的方法，其特征在于，所述目的终端设备的标识包括第二终端设备的第一标识，所述第一标识包括设备标识。
如权利要求11-16任一项所述的方法，其特征在于，所述目的终端设备的标识包括所述第一终端设备所在终端设备组的组标识。
一种密钥管理方法，其特征在于，包括：

目的终端设备接收第一RAN设备或第二RAN设备发送的密钥参数、第一终端设备的标识；

所述目的终端设备和所述第一终端设备相互通信时，使用所述密钥参数对传输数据进行加密和/或解密。
一种通信装置，其特征在于，包括：

接收模块，用于接收第一终端设备发送的密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

发送模块，用于向所述目的终端设备发送所述密钥参数和所述第一终端设备的标识。
一种通信装置，其特征在于，包括：

处理模块，用于确定密钥参数和目的终端设备的标识，其中所述密钥参数用于所述第一终端设备和所述目的终端设备相互通信时对传输数据进行加密和/或解密；

发送模块，用于向第一无线接入网RAN设备发送所述密钥参数和所述目的终端设备的标识。
一种通信装置，其特征在于，包括：

接收模块，用于接收第一RAN设备或第二RAN设备发送的密钥参数、第一终端设备的标识；

处理模块，用于在所述第一终端设备和所述装置相互通信时，使用所述密钥参数对传输数据进行加密和/或解密。
一种通信装置，其特征在于，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器和/或通信接口；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如权利要求1-10、11-18、19中任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令在被计算机执行时，使所述计算机执行如权利要求1-10、11-18、19中任一项方法。
一种芯片，其特征在于，所述芯片与存储器耦合，用于读取并执行所述存储器中存储的程序指令，以实现如权利要求1-10、11-18、19中任一项所述的方法。