WO2021212413A1

WO2021212413A1 - 一种密钥的传输方法及装置

Info

Publication number: WO2021212413A1
Application number: PCT/CN2020/086416
Authority: WO
Inventors: 于海凤; 李秉肇; 许斌
Original assignee: 华为技术有限公司
Priority date: 2020-04-23
Filing date: 2020-04-23
Publication date: 2021-10-28

Abstract

本申请实施例提供了一种密钥的传输方法及装置，用于实现多播过程中密钥的传输，在该方法中，接入网设备向终端设备发送第一消息，所述第一消息包括第一密钥，所述第一密钥用于加密多播数据包；以多播方式向所述终端设备发送第一配置，所述第一配置用于更新所述第一密钥。其中，通过多播方式向终端设备发送用于更新第一密钥的第一配置，通过一次发送过程就可以实现多个终端设备中密钥的更新，节省接入网设备为各个终端设备进行一一单播发送更新消息带来的信令开销，从而实现多播过程中密钥的传输，保证多播业务传输安全性的同时，降低通信系统的信令开销。

Description

一种密钥的传输方法及装置

技术领域

本申请涉及通信领域，尤其涉及一种密钥的传输方法及装置。

背景技术

多播是一种允许一个发送数据包到多个接收者的网络技术，数据源可以通过发送一次数据包，使得多播组内需要数据包的接收者收到该数据包。在长期演进(LTE，Long Term Evolution)网络可以通过多媒体广播多播业务(MBMS，Multimedia Broadcast Multicast Service)技术实现数据的多播过程。

在现有MBMS实现的过程中，网络侧设备作为数据源可以将多播数据包发送至多个终端设备，其中，网络侧中的接入网设备需要将多播数据包的配置信息一一发送至终端设备，并且在网络侧中的核心网侧新增网元进行多播数据的密钥管理。

然而，上述MBMS通过新增网元管理密钥的方式中，需要在网络中设置对应于该新增网元对应的服务器和核心网接口，通过这种方式实现多播数据的传输方式过于繁琐。因此，如何简单有效地实现多播过程中的密钥传输是亟需解决的技术问题。

发明内容

本申请实施例提供了一种密钥的传输方法及装置，用于实现多播过程中密钥的传输，保证多播业务传输安全性的同时，降低通信系统的信令开销。

本申请实施例第一方面提供了一种密钥的传输方法，该方法应用于接入网设备，在该方法中，接入网设备向终端设备发送第一消息，该第一消息包括第一密钥，该第一密钥用于加密多播数据包，即终端设备可以根据第一密钥对接收到的来自于接入网设备的多播数据包进行处理；此后，在第一密钥存在更新的时候，该接入网设备可以以多播方式向该终端设备发送第一配置，该第一配置用于更新该第一密钥，使得该终端设备可以在根据第一配置更新第一密钥之后，进一步根据更新后的密钥对接收到的来自于接入网设备的多播数据包进行处理。其中，接入网设备通过多播方式向终端设备发送用于更新第一密钥的第一配置，当终端设备的数量为多个时，通过一次发送过程就可以实现多个终端设备中密钥的更新，节省接入网设备为各个终端设备进行一一单播发送更新消息带来的信令开销，从而保证多播业务传输安全性的同时，降低通信系统的信令开销。

需要说明的是，在本申请实施例第一方面的实现过程中，接入网设备以多播方式向终端设备发送第一配置的过程中，多播方式可以是通过多播控制信道(Multicast Control Channel,MCCH)发送第一配置来实现，也可以是接入网设备使用预设标识对发送第一配置的下行控制信息(Downlink Control Information,DCI)进行加扰来实现，还可以是其它的多播方式，此处不做限定；此外，第一配置也可以灵活配置，例如该第一配置可以是配置为直接用于替换该第一密钥的数据、也可以是配置为用于更新第一密钥的更新策略、还可以是其他方式，此处不做限定。

在本申请实施例第一方面的一种可能的实现方式中，在接入网设备向终端设备发送的第一消息中，该第一消息还包括第一定时器，和/或第一时刻信息，其中，该第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻。

本实施例中，接入网设备可以在第一消息中承载该第一密钥的时间指示信息，具体地，可以是承载指示该第一密钥的有效持续时间的第一定时器，和/或，可以是承载指示该第一密钥的生效起始时刻的第一时刻信息，使得终端设备可以根据该第一定时器和/或第一时刻信息接收来自接入网设备的多播数据包，使得后续终端设备对于第一密钥的使用时效可以与接入网设备对齐，且第一密钥的使用时效可以更加灵活地控制多播传输的加密策略，提升通信安全性。

在本申请实施例第一方面的一种可能的实现方式中，该第一消息还包括与该第一密钥相关联的第一配置信息集合，该第一配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：多播业务标识、组无线网络临时标识(group radio network temporary identifier,G-RNTI)、带宽部分(bandwidth part,BWP)指示信息、物理下行共享信道(physical downlink share channel，PDSCH)加扰序列、非连续接收(discontinuous reception，DRX)参数、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示。

本实施例中，接入网设备可以在该第一消息中承载与该第一密钥相关联的第一配置信息集合，使得终端设备可以通过第一消息获取用于处理多播数据包的第一密钥以及对应的第一配置信息集合，可以进一步节省接入网设备的信令开销。

在本申请实施例第一方面的一种可能的实现方式中，该方法还包括：接入网设备向该终端设备发送第一指示，该第一指示用于指示该终端设备进入无线资源控制(radio resource control，RRC)空闲态或者RRC非激活态，不释放该第一配置信息集合和该第一密钥，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包。

本实施例中，由于接入网设备向终端设备发送多播数据包并不依赖于两者之间的RRC连接，为了进一步节省接入网设备与终端设备之间的信令消耗，接入网设备可以通过第一指示，使得终端设备根据该第一指示进入无线资源控制RRC空闲态或者RRC非激活态，且不释放该第一配置信息集合和该第一密钥，即继续使用该第一配置信息集合和该第一密钥接收该多播数据包，也就是说，终端设备可以在RRC空闲态或者RRC非激活态中使用该第一密钥对通过该第一配置信息集合接收到的多播数据包进行解密，得到多播数据，使得处于RRC空闲态或者RRC非激活态的终端设备也可以实现多播业务的传输。

在本申请实施例第一方面的一种可能的实现方式中，该第一配置用于将该第一密钥更新为第二密钥，该第一配置还包括第二配置信息集合，该第二配置信息集合与该第二密钥相关联，该第二配置信息集合是该第一配置信息集合的子集。

本实施例中，第二配置信息集合是该第一配置信息集合的子集，接入网设备向终端设备发送的第一配置可以指示将第二配置信息集合对应的第一密钥更新为第二密钥，使得终端设备可以实现更新部分第一密钥或者更新全部第一密钥，从而实现对多播密钥的选择性更新。

在本申请实施例第一方面的一种可能的实现方式中，在接入网设备以多播方式向该终端设备发送第一配置之前，可以根据如下之一条件，使得该接入网设备确定需要更新该第一密钥，包括：

确定该第一定时器超时；或者，

根据来自该终端设备的第一请求消息确定需要更新该第一密钥，该第一请求消息用于请求该第一密钥的更新信息；或者，

根据来自核心网设备的该第一配置确定需要更新该第一密钥。

本实施例中，该接入网设备可以进一步灵活处理，通过多种方式来确定需要更新该第一密钥，具体地，该确定过程的确定依据可以是第一密钥对应的第一定时器、终端设备的第一请求消息、核心网发送的第一配置，使得该密钥的传输方法适应于多种应用场景。

在本申请实施例第一方面的一种可能的实现方式中，

该第一配置是通过该第一密钥加密的；或

该第一配置是通过第三密钥加密的，该第三密钥是通过该第一消息配置的；或

该第一配置是通过与该终端设备相关联的第四密钥加密的。

本实施例中，为了提升该密钥的传输方法中的数据安全性，接入网设备可以通过多种方式对第一配置的发送过程进行加密处理，具体地，该加密方式可以是通过第一密钥加密、在第一消息中另设的第三密钥、或者是使用与终端设备相关联的第四密钥，通过加密的方式传输用于更新第一密钥的第一配置可以提升传输过程中的数据安全性。

在本申请实施例第一方面的一种可能的实现方式中，该第一配置承载于第一下行控制信息，该第一下行控制信息通过组无线网络临时标识G-RNTI加扰，或者通过预设无线网络临时标识(radio network temporary identifier，RNTI)加扰。

本实施例中，在接入网设备以多播方式向终端设备发送第一下行控制信息时，其中，该第一下行控制信息可以通过该第一密钥相关联的G-RNTI加扰、也可以是通过终端设备中的预设RNTI加扰，可以将该第一配置承载于该第一下行控制信息，而无需另设专门用于发送该第一配置的消息，进一步节省接入网设备的信令消耗。

在本申请实施例第一方面的一种可能的实现方式中，该第一消息为RRC消息、媒体接入控制的控制单元(media access control control element，MAC CE)消息或物理下行控制信道PDCCH消息。

本实施例中，接入网设备向终端设备发送的第一消息具体可以为RRC消息、MAC CE消息或者是PDCCH消息，提供了第一消息发送过程中具体的实施方式，提升方案的可实现性。

在本申请实施例第一方面的一种可能的实现方式中，该第一消息是以单播方式发送的；或，该第一消息是通过与该终端设备相关联的第四密钥加密且以广播方式发送的。

本实施例中，第一消息可以是以单播方式发送的，其中，以单播方式发送指的是接入网设备与终端设备已建立RRC连接之后，基于该RRC连接的链路进行发送的方式；此外，该第一消息可以是通过与该终端设备相关联的第四密钥加密且以广播方式发送的，广播方式指的是数据的发送者“一对所有”接收者的通讯模式，即接入网设备所覆盖范围内的终端设备都可以接收到该广播信息，该第四密钥为预存于该终端设备中的密钥，例如该接入网设备预先与该终端设备通信并为该终端设备分配的第四密钥，或者是运营服务商预设于该终端设备的第四密钥。从而，提供了第一消息发送的具体实现过程，提升方案的可实现性。

在本申请实施例第一方面的一种可能的实现方式中，在接入网设备以多播方式向该终端设备发送第一配置之前，该方法还包括：

接入网设备向该终端设备发送该寻呼消息，该寻呼消息包括第二指示，该第二指示用于指示该第一密钥存在更新；此后，在该接入网设备与该终端设备建立RRC连接之后，接入网设备以多播方式向该终端设备发送第一配置。

本实施例中，如果在接入网设备以多播方式向该终端设备发送第一配置之前，该终端设备并不处于RRC连接态，例如处于RRC非激活态(inactive)或者是RRC空闲态(idle)，此时，该接入网设备可以通过寻呼消息使得在与该终端设备建立RRC连接之后，使得该终端设备处于RRC连接态，再以多播方式向该终端设备发送第一配置，从而实现对处于RRC非激活态或者是RRC空闲态的终端设备中第一密钥的更新。

本申请实施例第二方面提供了一种密钥的传输方法，该方法应用于终端设备，在该方法中，终端设备接收来自接入网设备的第一消息，该第一消息包括第一密钥，该第一密钥用于加密多播数据包，此时，终端设备可以根据第一密钥对接收到的来自于接入网设备的多播数据包进行处理；在第一密钥存在更新的时候，该终端设备以多播方式接收来自该接入网设备的第一配置，其中，该第一配置用于更新该第一密钥；此后，该终端设备根据该第一配置将该第一密钥更新为第二密钥，此时，该终端设备可以根据该第二密钥接收来自该接入网设备的多播数据包。其中，终端设备通过多播方式接收来自接入网设备的用于更新第一密钥的第一配置，当终端设备的数量为多个时，通过一次发送过程就可以实现多个终端设备中密钥的更新，节省接入网设备为各个终端设备进行一一单播发送更新消息带来的信令开销，从而实现多播过程中密钥的传输，保证多播业务传输安全性的同时，降低通信系统的信令开销。

需要说明的是，在本申请实施例第二方面的实现过程中，终端设备接收来自接入网设备以多播方式发送的第一配置的过程中，多播方式可以是通过MCCH承载第一配置来实现，也可以是接入网设备使用预设标识对发送第一配置的下行控制信息进行加扰来实现，还可以是其它的多播方式，此处不做限定；此外，第一配置也可以灵活配置，例如该第一配置可以是配置为直接用于替换该第一密钥的数据、也可以是配置为用于更新第一密钥的更新策略、还可以是其他方式，此处不做限定。

在本申请实施例第二方面的一种可能的实现方式中，在终端设备接收来自接入网设备的第一消息中，该第一消息还包括第一定时器，和/或第一时刻信息，其中，该第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻。

本实施例中，接入网设备可以在第一消息中承载该第一密钥的时间指示信息，具体地，可以是承载指示该第一密钥的有效持续时间的第一定时器，和/或，可以是承载指示该第一密钥的生效起始时刻的第一时刻信息，使得终端设备可以根据该第一定时器和/或第一时刻信息接收来自接入网设备的多播数据包，从而，使得终端设备对于第一密钥的使用时效与接入网设备对齐，且第一密钥的使用时效可以更加灵活地控制多播传输的加密策略，提升通信安全性。

在本申请实施例第二方面的一种可能的实现方式中，该第一消息还包括与该第一密钥相关联的第一配置信息集合，该第一配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：

多播业务标识、组无线网络临时标识G-RNTI、部分带宽BWP指示信息、物理下行共享信道PDSCH加扰序列、非连续接收DRX参数、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示。

本实施例中，接入网设备可以在该第一消息中承载与该第一密钥相关联的第一配置信息集合，使得终端设备可以通过第一消息获取用于处理多播数据包的第一密钥以及对应的第一配置信息集合，对于终端设备来说，可以相应的节省终端设备的信令开销。

在本申请实施例第二方面的一种可能的实现方式中，该方法还包括：接收来自接入网设备的第一指示，该第一指示用于指示该终端设备进入无线资源控制RRC空闲态或者RRC非激活态，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包。

本实施例中，由于接入网设备向终端设备发送多播数据包并不依赖于两者之间的RRC连接，为了进一步节省终端设备的信令消耗，终端设备可以根据该第一指示进入无线资源控制RRC空闲态或者RRC非激活态，且不释放该第一配置信息集合和该第一密钥，即继续使用该第一配置信息集合和该第一密钥接收该多播数据包，也就是说，终端设备可以在RRC空闲态或者RRC非激活态中使用该第一密钥对通过该第一配置信息集合接收到的多播数据包进行解密，得到多播数据，使得终端设备在RRC空闲态或者RRC非激活态也可以实现多播数据包的接收。

在本申请实施例第二方面的一种可能的实现方式中，该第一配置还包括第二配置信息集合指示，该第二配置信息集合与该第二密钥相关联，该第二配置信息集合是该第一配置信息集合的子集。

本实施例中，第二配置信息集合是该第一配置信息集合的子集，接入网设备向终端设备发送的第一配置可以指示将第二配置信息集合对应的第一密钥更新为第二密钥，对于终端设备来说，可以实现更新部分第一密钥或者更新全部第一密钥，从而实现对多播密钥的选择性更新。

在本申请实施例第二方面的一种可能的实现方式中，在终端设备以多播方式接收来自该接入网设备的第一配置之前，该方法还包括：向该接入网设备发送第一请求消息，其中，该第一请求消息用于请求该第一密钥的更新信息。

本实施例中，终端设备可以在确定需要第一密钥的更新信息时，向接入网设备发送第一请求消息，此后，接入网设备响应于该第一请求消息，向该终端设备发送第一配置，终端设备主动查询第一密钥的更新信息的方式可以确保终端设备中保持最新的密钥配置，避免因密钥未及时更新而产生无法处理多播数据包的情况。相应的，对于接入网设备来说，接入网设备后续可以根据该第一请求消息触发执行获取第一密钥的更新信息的过程，无需另行配置第一密钥的更新策略，可以进一步节省接入网设备的信令消耗。

在本申请实施例第二方面的一种可能的实现方式中，

该第一配置是通过该第一密钥加密的；或

该第一配置是通过与该终端设备相关联的第四密钥加密的。

在本申请实施例第二方面的一种可能的实现方式中，该第一配置承载于来自该接入网设备的第一下行控制信息，该第一下行控制信息通过组无线网络临时标识RNTI加扰，或者该第一下行控制信息通过预设无线网络临时标识RNTI加扰。

本实施例中，在终端设备以多播方式接收来自接入网设备的第一下行控制信息时，其中，该第一下行控制信息可以通过该第一密钥相关联的G-RNTI加扰、也可以是通过预设于终端设备中的RNTI加扰，可以将该第一配置承载于该第一下行控制信息，而无需另设专门用于发送该第一配置的消息，进一步节省接入网设备的信令消耗。

在本申请实施例第二方面的一种可能的实现方式中，该第一消息为RRC消息、媒体接入控制的控制单元MAC CE消息或物理下行控制信道PDCCH消息。

在本申请实施例第二方面的一种可能的实现方式中，该方法还包括：

在终端设备确定需要多播配置时，终端设备发起RRC连接建立过程或RRC连接恢复过程接收来自该接入网设备的该第一消息。

本实施例中，如果终端设备在接收来自该接入网设备的第一消息之前，该终端设备未处于连接态，即该终端设备处于非激活态或者是空闲态时，只有在该终端设备确定需要多播配置的时候，该终端设备才会发起RRC连接建立过程或RRC连接恢复过程接收来自该接入网设备的该第一消息，从而，处于非激活态或者是空闲态的终端设备中也可以实现对应于多播数据包的第一密钥的获取。

在本申请实施例第二方面的一种可能的实现方式中，该终端设备确定需要多播配置包括：终端设备确定无可用的多播配置，或

终端设备确定对多播业务感兴趣且无对应的多播配置。

本实施例中，终端设备确定需要多播配置的方式有多种，其中，可以是终端设备确定无可用的多播配置，或，终端设备确定对多播业务感兴趣且无对应的多播配置，从而提供了终端设备需要多播配置的具体实现方式，使得该密钥的传输方法适应于多种应用场景，并提升方案的可实现性。

在终端设备确定需要第一密钥的更新信息时，终端设备发起RRC连接建立过程或RRC 连接恢复过程接收来自该接入网设备的该第一配置。

本实施例中，如果终端设备在接收来自该接入网设备的第一密钥的更新信息之前，该终端设备未处于连接态，即该终端设备处于非激活态或者是空闲态时，只有在该终端设备确定需要多播配置的时候，该终端设备才会发起RRC连接建立过程或RRC连接恢复过程接收来自该接入网设备的该第一配置，从而，处于非激活态或者是空闲态的终端设备中也可以实现对应于第一配置的获取。

在本申请实施例第二方面的一种可能的实现方式中，该终端设备确定需要第一密钥的更新信息包括：根据来自接入网设备的寻呼消息确定需要获取多播配置，所述寻呼消息用于指示所述第一密钥存在更新；或，该终端设备确定所述第一定时器超时。

本实施例中，终端设备确定需要需要第一密钥的更新信息的方式有多种，其中，可以是根据来自接入网设备的寻呼消息确定需要获取多播配置，所述寻呼消息用于指示所述第一密钥存在更新；或，确定所述第一定时器超时，从而提供了终端设备需要多播配置的具体实现方式，使得该密钥的传输方法适应于多种应用场景，并提升方案的可实现性。

在本申请实施例第二方面的一种可能的实现方式中，该第一消息是以单播方式发送的；或，该第一消息是通过与该终端设备相关联的第四密钥加密且以广播方式发送的。

本申请实施例第三方面提供了一种密钥的传输方法，应用于接入网设备，在该方法中，接入网设备向终端设备发送第一消息，该第一消息包括第一密钥以及与该第一密钥相关联的第一配置信息集合，该第一密钥用于加密多播数据包；即终端设备可以根据第一密钥对接收到的来自于接入网设备的多播数据包进行处理；此后，在第一密钥存在更新的时候，该接入网设备可以以单播方式向该终端设备发送第一配置，该第一配置用于更新该第一密钥，使得该终端设备可以在根据第一配置更新第一密钥之后，进一步根据更新后的密钥对接收到的来自于接入网设备的多播数据包进行处理。其中，接入网设备可以在该第一消息中承载第一密钥以及与该第一密钥相关联的第一配置信息集合，使得终端设备可以通过第一消息获取用于处理多播数据包的第一密钥以及对应的第一配置信息集合，从而节省接入网设备的信令开销。

需要说明的是，本申请实施例第三方面在实现的过程中，以单播方式发送指的是接入网设备与终端设备已建立RRC连接之后，基于该RRC连接的链路进行发送的方式；此外，第一配置也可以灵活配置，例如该第一配置可以是配置为直接用于替换该第一密钥的数据、也可以是配置为用于更新第一密钥的更新策略、还可以是其他方式，此处不做限定。

在本申请实施例第三方面的一种可能的实现方式中，在接入网设备向终端设备发送的第一消息中，该第一消息还包括第一定时器，和/或第一时刻信息，其中，该第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻。

本实施例中，接入网设备可以在第一消息中承载该第一密钥的时间指示信息，具体地，可以是承载指示该第一密钥的有效持续时间的第一定时器，和/或，可以是承载指示该第一密钥的生效起始时刻的第一时刻信息，使得终端设备可以根据该第一定时器和/或第一时刻信息接收来自接入网设备的多播数据包，使得终端设备对于第一密钥的使用时效可以与接入网设备对齐，且第一密钥的使用时效可以更加灵活地控制多播传输的加密策略，提升通信安全性。

在本申请实施例第三方面的一种可能的实现方式中，在接入网设备向终端设备发送的第一消息中，该第一配置信息集合包括至少一个多播配置信息，其中，该多播配置信息包括以下至少一种：多播业务标识、组无线网络临时标识G-RNTI、带宽部分BWP指示信息、物理下行共享信道PDSCH加扰序列、非连续接收DRX参数、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示。

本实施例中，接入网设备可以在第一配置信息集合中配置至少一个多播配置信息，具体提供了该多播配置信息在实现过程中所包含的相关参数，从而提升了方案的可实现性。

在本申请实施例第三方面的一种可能的实现方式中，该方法还包括：接入网设备向该终端设备发送第一指示，该第一指示用于指示该终端设备进入无线资源控制RRC空闲态或者RRC非激活态，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包。

本实施例中，由于接入网设备向终端设备发送多播数据包并不依赖于两者之间的RRC连接，为了进一步节省接入网设备与终端设备之间的信令消耗，接入网设备可以通过第一指示，使得终端设备根据该第一指示进入无线资源控制RRC空闲态或者RRC非激活态，且不释放该第一配置信息集合和该第一密钥，即继续使用该第一配置信息集合和该第一密钥接收该多播数据包，也就是说，终端设备可以在RRC空闲态或者RRC非激活态中使用该第一密钥对通过该第一配置信息集合接收到的多播数据包进行解密，得到多播数据，从而，处于非激活态或者是空闲态的终端设备中也可以实现多播数据包的获取。

在本申请实施例第三方面的一种可能的实现方式中，该第一配置用于将该第一密钥更新为第二密钥，该第一配置还包括第二配置信息集合，该第二配置信息集合与该第二密钥相关联，该第二配置信息集合是该第一配置信息集合的子集。

在本申请实施例第三方面的一种可能的实现方式中，在接入网设备以单播方式向该终端设备发送第一配置之前，接入网设备可以根据如下之一条件，确定需要更新该第一密钥，包括：

确定该第一定时器超时；或者，

在本申请实施例第三方面的一种可能的实现方式中，

该第一配置是通过该第一密钥加密的；或

该第一配置是通过与该终端设备相关联的第四密钥加密的。

在本申请实施例第三方面的一种可能的实现方式中，该第一消息为RRC消息、媒体接入控制的控制单元MAC CE消息或物理下行控制信道PDCCH消息。

在本申请实施例第三方面的一种可能的实现方式中，

该第一消息是以单播方式发送的；或

该第一消息是通过与该终端设备相关联的第四密钥加密且以广播方式发送的。

在本申请实施例第三方面的一种可能的实现方式中，在接入网设备以单播方式向该终端设备发送第一配置之前，该方法还包括：接入网设备向该终端设备发送该寻呼消息，该寻呼消息包括第二指示，该第二指示用于指示该第一密钥存在更新；在接入网设备与该终端设备建立RRC连接之后，接入网设备以单播方式向该终端设备发送第一配置。

本实施例中，如果在接入网设备以多播方式向该终端设备发送第一配置之前，该终端设备并不处于连接态，例如处于非激活态(inactive)或者是空闲态(idle)，此时，该接入网设备可以通过寻呼消息使得在与该终端设备建立RRC连接之后，使得该终端设备处于连接态，再以多播方式向该终端设备发送第一配置，从而实现对处于非激活态或者是空闲态的终端设备中第一密钥的更新。

本申请实施例第四方面提供了一种密钥的传输方法，应用于终端设备，在该方法中，终端设备接收来自接入网设备的第一消息，该第一消息包括第一密钥以及与该第一密钥相关联的第一配置信息集合，该第一密钥用于加密多播数据包，该第一配置信息集合用于接收该多播数据包；此时，终端设备可以根据第一密钥对接收到的来自于接入网设备的多播数据包进行处理；在第一密钥存在更新的时候，该终端设备以单播方式接收来自该接入网设备的第一配置，其中，该第一配置用于更新该第一密钥；此后，该终端设备根据该第一配置将该第一密钥更新为第二密钥，此时，该终端设备可以根据该第二密钥接收来自该接入网设备的多播数据包。其中，终端设备可以通过第一消息获取用于处理多播数据包的第一密钥以及对应的第一配置信息集合，从而节省接入网设备的信令开销。

需要说明的是，本申请实施例第四方面在实现的过程中，以单播方式发送指的是接入网设备与终端设备已建立RRC连接之后，基于该RRC连接的链路进行发送的方式；此外，第一配置也可以灵活配置，例如该第一配置可以是配置为直接用于替换该第一密钥的数据、也可以是配置为用于更新第一密钥的更新策略、还可以是其他方式，此处不做限定。

在本申请实施例第四方面的一种可能的实现方式中，终端设备接收来自接入网设备的第一消息中，该第一消息还包括第一定时器，和/或第一时刻信息，其中，该第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻。

本实施例中，接入网设备可以在第一消息中承载该第一密钥的时间指示信息，具体地，可以是承载指示该第一密钥的有效持续时间的第一定时器，和/或，可以是承载指示该第一密钥的生效起始时刻的第一时刻信息，使得终端设备可以根据该第一定时器和/或第一时刻信息接收来自接入网设备的多播数据包，使得终端设备对于第一密钥的使用时效与接入网设备对齐，且第一密钥的使用时效可以更加灵活地控制多播传输的加密策略，提升通信安全性。

在本申请实施例第四方面的一种可能的实现方式中，该第一配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：

在本申请实施例第四方面的一种可能的实现方式中，该方法还包括：终端设备接收来自接入网设备的第一指示，该第一指示用于指示该终端设备进入无线资源控制RRC空闲态或者RRC非激活态，且不释放第一配置信息集合和该第一密钥，即该终端设备继续使用该第一配置信息集合和该第一密钥接收该多播数据包。

本实施例中，由于接入网设备向终端设备发送多播数据包并不依赖于两者之间的RRC连接，为了进一步节省接入网设备与终端设备之间的信令消耗，接入网设备可以通过第一指示，使得终端设备根据该第一指示进入无线资源控制RRC空闲态或者RRC非激活态，同时不释放该第一配置信息集合和该第一密钥，即继续使用该第一配置信息集合和该第一密钥接收该多播数据包，也就是说，终端设备可以在RRC空闲态或者RRC非激活态中使用该第一密钥对通过该第一配置信息集合接收到的多播数据包进行解密，得到多播数据，使得终端设备在RRC空闲态或者RRC非激活态也可以实现多播数据包的接收。

在本申请实施例第四方面的一种可能的实现方式中，该第一配置还包括第二配置信息集合，该第二配置信息集合与该第二密钥相关联，该第二配置信息集合是该第一配置信息集合的子集。

在本申请实施例第四方面的一种可能的实现方式中，在终端设备以单播方式接收来自该接入网设备的第一配置之前，该方法还包括：该终端设备向该接入网设备发送第一请求消息，该第一请求消息用于请求该第一密钥的更新信息。

在本申请实施例第四方面的一种可能的实现方式中，

该第一配置是通过该第一密钥加密的；或

该第一配置是通过与该终端设备相关联的第四密钥加密的。

在本申请实施例第四方面的一种可能的实现方式中，该第一消息为RRC消息、媒体接入控制的控制单元MAC CE消息或物理下行控制信道PDCCH消息。

在本申请实施例第四方面的一种可能的实现方式中，该方法还包括：

在本申请实施例第四方面的一种可能的实现方式中，该终端设备确定需要多播配置包括：终端设备确定无可用的多播配置，或

终端设备确定对多播业务感兴趣且无对应的多播配置。

本实施例中，终端设备确定需要多播配置的方式有多种，其中，可以是终端设备确定无可用的多播配置，或，终端设备确定对多播业务感兴趣且无对应的多播配置，从而提供了终端设备需要多播配置的具体实现方式，提升方案的可实现性。

在终端设备确定需要第一密钥的更新信息时，终端设备发起RRC连接建立过程或RRC连接恢复过程接收来自该接入网设备的该第一配置。

在本申请实施例第四方面的一种可能的实现方式中，该终端设备确定需要第一密钥的更新信息包括：根据来自接入网设备的寻呼消息确定需要获取多播配置，所述寻呼消息用于指示所述第一密钥存在更新；

确定所述第一定时器超时。

本实施例中，终端设备确定需要第一密钥的更新信息的方式有多种，其中，可以是根据来自接入网设备的寻呼消息确定需要获取多播配置，所述寻呼消息用于指示所述第一密钥存在更新；或，确定所述第一定时器超时，从而提供了终端设备需要多播配置的具体实现方式，提升方案的可实现性。

在本申请实施例第四方面的一种可能的实现方式中，

该第一消息是以单播方式发送的；或

本申请实施例第五方面提供了一种通信装置，该通信装置具体可以为密钥的传输装置，其中，该通信装置包括收发单元和处理单元；其中，该处理单元用于通过该收发单元向终端设备发送第一消息，该第一消息包括第一密钥，该第一密钥用于加密多播数据包；该处理单元还用于通过该收发单元以多播方式向该终端设备发送第一配置，该第一配置用于更新该第一密钥。其中，该处理单元用于通过该收发单元通过多播方式向终端设备发送用于更新第一密钥的第一配置，当终端设备的数量为多个时，通过一次发送过程就可以实现多个终端设备中密钥的更新，节省该通信装置为各个终端设备进行一一单播发送更新消息带来的信令开销，从而保证多播业务传输安全性的同时，降低通信系统的信令开销。

本申请实施例第五方面中，通信装置的组成模块还可以用于执行第一方面的各个可能实现方式中所执行的步骤，具体均可以参阅第一方面，此处不再赘述。

本申请实施例第六方面提供了一种通信装置，该通信装置具体可以为密钥的传输装置，其中，该通信装置包括收发单元和处理单元；其中，该收发单元，用于接收来自接入网设备的第一消息，该第一消息包括第一密钥，该第一密钥用于加密多播数据包；该收发单元，还用于以多播方式接收来自该接入网设备的第一配置，该第一配置用于更新该第一密钥；该处理单元，用于根据该第一配置将该第一密钥更新为第二密钥；该收发单元，还用于根据该第二密钥接收来自该接入网设备的该多播数据包。其中，通信装置中的收发单元通过多播方式接收来自接入网设备的用于更新第一密钥的第一配置，当该通信装置的数量为多个时，通过一次发送过程就可以实现多个终端设备中密钥的更新，节省接入网设备为各个通信装置进行一一单播发送更新消息带来的信令开销，从而实现多播过程中密钥的传输，保证多播业务传输安全性的同时，降低通信系统的信令开销。

本申请实施例第六方面中，通信装置的组成模块还可以用于执行第二方面的各个可能实现方式中所执行的步骤，具体均可以参阅第二方面，此处不再赘述。

本申请实施例第七方面提供了一种通信装置，该通信装置具体可以为密钥的传输装置，其中，该通信装置包括收发单元和处理单元；其中，该处理单元用于通过该收发单元向终端设备发送第一消息，该第一消息包括第一密钥以及与该第一密钥相关联的第一配置信息集合，该第一密钥用于加密多播数据包；该处理单元还用于通过该收发单元以单播方式向该终端设备发送第一配置，该第一配置用于更新该第一密钥。其中，通信装置中的处理单元通过收发单元可以在该第一消息中承载第一密钥以及与该第一密钥相关联的第一配置信息集合，使得终端设备可以通过第一消息获取用于处理多播数据包的第一密钥以及对应的第一配置信息集合，从而节省该通信装置的信令开销。

本申请实施例第七方面中，通信装置的组成模块还可以用于执行第三方面的各个可能实现方式中所执行的步骤，具体均可以参阅第三方面，此处不再赘述。

本申请实施例第八方面提供了一种通信装置，该通信装置具体可以为密钥的传输装置，其中，该通信装置包括收发单元和处理单元；其中，该收发单元，用于接收来自接入网设备的第一消息，该第一消息包括第一密钥以及与该第一密钥相关联的第一配置信息集合，该第一密钥用于加密多播数据包，该第一配置信息集合用于接收该多播数据包；该收发单元，还用于以单播方式接收来自该接入网设备的第一配置，该第一配置用于更新该第一密钥；该处理单元，用于根据该第一配置更新将该第一密钥更新为第二密钥；该收发单元，还用于根据该第二密钥接收来自该接入网设备的该多播数据包。其中，通信装置中的收发单元可以通过第一消息获取用于处理多播数据包的第一密钥以及对应的第一配置信息集合，从而节省接入网设备的信令开销。

本申请实施例第八方面中，通信装置的组成模块还可以用于执行第四方面的各个可能实现方式中所执行的步骤，具体均可以参阅第四方面，此处不再赘述。

本申请实施例第九方面提供一种通信装置，该通信装置具体可以为密钥的传输装置，其中，该通信装置包括处理器，该处理器与存储器耦合，该存储器用于存储计算机程序或指令，该处理器用于执行存储器中的所述计算机程序或指令，使得前述第一方面或第一方面任意一种可能的实现方式所述的方法被执行，或者，使得前述第三方面或第三方面任意一种可能的实现方式所述的方法被执行。

本申请实施例第十方面提供一种通信装置，该通信装置具体可以为密钥的传输装置，其中，该通信装置包括处理器，该处理器与存储器耦合，该存储器用于存储计算机程序或指令，该处理器用于执行存储器中的所述计算机程序或指令，使得前述第二方面或第二方面任意一种可能的实现方式所述的方法被执行，或者，使得前述第四方面或第四方面任意一种可能的实现方式所述的方法被执行。

本申请实施例第十一方面提供一种通信装置，该通信装置具体可以为密钥的传输装置，其中，该通信装置包括处理器和通信接口，该通信接口和该处理器耦合，该处理器用于运行计算机程序或指令，使得前述第一方面或第一方面任意一种可能的实现方式所述的方法被执行，或者，使得前述第三方面或第三方面任意一种可能的实现方式所述的方法被执行。

本申请实施例第十二方面提供一种通信装置，该通信装置具体可以为密钥的传输装置，其中，该通信装置包括处理器和通信接口，该通信接口和该处理器耦合，该处理器用于运行计算机程序或指令，使得前述第二方面或第二方面任意一种可能的实现方式所述的方法被执行，或者，使得前述第四方面或第四方面任意一种可能的实现方式所述的方法被执行。

本申请实施例第十三方面提供一种存储一个或多个计算机执行指令的计算机可读存储介质，当计算机执行指令被处理器执行时，该处理器执行如上述第一方面或第一方面任意一种可能的实现方式、上述第三方面或第三方面任意一种可能的实现方式所述的方法。

本申请实施例第十四方面提供一种存储一个或多个计算机执行指令的计算机可读存储介质，当计算机执行指令被处理器执行时，该处理器执行如上述第二方面或第二方面任意一种可能的实现方式所述的方法，或者，该处理器执行如上述第四方面或第四方面任意一种可能的实现方式所述的方法。

本申请实施例第十五方面提供一种存储一个或多个计算机的计算机程序产品(或称计算机程序)，当计算机程序产品被该处理器执行时，该处理器执行上述第一方面或第一方面任意一种可能实现方式、上述第三方面或第三方面任意一种可能的实现方式的方法。

本申请实施例第十六方面提供一种存储一个或多个计算机的计算机程序产品，当计算机程序产品被该处理器执行时，该处理器执行上述第二方面或第二方面任意一种可能实现方式的方法，或者，该处理器执行上述第四方面或第四方面任意一种可能实现方式的方法。

本申请实施例第十七方面提供了一种芯片系统，该芯片系统包括处理器，用于支持接入网设备实现上述第一方面或第一方面任意一种可能的实现方式、上述第三方面或第三方面任意一种可能的实现方式中所涉及的功能。在一种可能的设计中，该芯片系统还可以包括存储器，存储器，用于保存该接入网设备必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

本申请实施例第十八方面提供了一种芯片系统，该芯片系统包括处理器，用于支持终端设备实现上述第二方面或第二方面任意一种可能的实现方式、上述第四方面或第四方面任意一种可能的实现方式中所涉及的功能。在一种可能的设计中，该芯片系统还可以包括存储器，存储器，用于保存该终端设备必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

本申请实施例第十九方面提供了一种通信系统，该通信系统包括上述第五方面的通信装置和第六方面的通信装置，或，该通信系统包括上述第五方面的通信装置和第六方面的通信装置，或，该通信系统包括上述第七方面的通信装置和第八方面的通信装置，或，该通信系统包括上述第九方面的通信装置和第十方面的通信装置，或，该通信系统包括上述第十一方面的通信装置和第十二方面的通信装置。

其中，第五、第七、第九、第十一、第十三、第十五、第十七和第十九方面或者其中任一种可能实现方式所带来的技术效果可参见第一方面或第一方面不同可能实现方式所带来的技术效果，或者是，参见第三方面或第三方面不同可能实现方式所带来的技术效果，此处不再赘述。

其中，第六、第八、第十、第十二、第十四、第十六方面、第十八和第十九或者其中任一种可能实现方式所带来的技术效果可参见第二方面或第二方面不同可能实现方式所带来的技术效果，或者是，参见第四方面或第四方面不同可能实现方式所带来的技术效果，此处不再赘述。

从以上技术方案可以看出，本申请实施例具有以下优点：接入网设备向终端设备发送第一消息，所述第一消息包括第一密钥，所述第一密钥用于加密多播数据包；以多播方式向所述终端设备发送第一配置，所述第一配置用于更新所述第一密钥。其中，通过多播方式向终端设备发送用于更新第一密钥的第一配置，通过一次发送过程就可以实现多个终端设备中密钥的更新，节省接入网设备为各个终端设备进行一一单播发送更新消息带来的信令开销，从而实现多播过程中密钥的传输，保证多播业务传输安全性的同时，降低通信系统的信令开销。

附图说明

图1-1为现有技术中多播过程的系统架构的一个示意图；

图1-2为现有技术中多播过程的系统架构的另一个示意图；

图1-3为现有技术中多播过程中数据交互的一个示意图；

图1-4为现有技术中多播过程中数据交互的另一个示意图；

图1-5为现有技术中多播过程中数据交互的另一个示意图；

图1-6为现有技术中多播过程中数据交互的另一个示意图；

图2为本申请实施例中多播过程实现过程的一个示意图；

图3为本申请实施例中多播过程实现过程的另一个示意图；

图4为本申请实施例中多播过程的系统架构的一个示意图；

图5为本申请实施例中一种密钥的传输方法的一个示意图；

图6为本申请实施例中一种密钥的传输方法的另一个示意图；

图7为本申请实施例中一种密钥的传输方法的另一个示意图；

图8为本申请实施例中一种密钥的传输方法的另一个示意图；

图9为本申请实施例中一种密钥的传输方法的另一个示意图；

图10为本申请实施例中一种密钥的传输方法的另一个示意图；

图11为本申请实施例中一种密钥的传输方法的另一个示意图；

图12为本申请实施例中一种密钥的传输方法的另一个示意图；

图13为本申请实施例中一种密钥的传输方法的另一个示意图；

图14为本申请实施例中一种接入网设备的一个示意图；

图15为本申请实施例中一种终端设备的一个示意图；

图16为本申请实施例中一种接入网设备的另一个示意图；

图17为本申请实施例中一种终端设备的另一个示意图；

图18为本申请实施例中一种接入网设备的另一个示意图；

图19为本申请实施例中一种终端设备的另一个示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

首先，对本申请实施例中的部分用语进行解释说明，以便于本领域技术人员理解。

(1)终端设备：可以是能够接收网络设备调度和指示信息的无线终端设备，无线终端设备可以是指向用户提供语音和/或数据连通性的设备，或具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。

终端设备可以经无线接入网(radio access network，RAN)与一个或多个核心网或者互联网进行通信，终端设备可以是移动终端设备，如移动电话(或称为“蜂窝”电话，手机(mobile phone))、计算机和数据卡，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、平板电脑(Pad)、带无线收发功能的电脑等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile station，MS)、远程站(remote station)、接入点(access point，AP)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户站(subscriber station，SS)、用户端设备(customer premises equipment，CPE)、终端(terminal)、用户设备(user equipment，UE)、移动终端(mobile terminal，MT)等。终端设备也可以是可穿戴设备以及下一代通信系统，例如，5G通信系统中的终端设备或者未来演进的公共陆地移动网络(public land mobile network，PLMN)中的终端设备等。

(2)网络设备：可以是无线网络中的设备，例如网络设备可以为将终端设备接入到无线网络的无线接入网(radio access network，RAN)节点(或设备)，又可以称为基站。目前，一些RAN设备的举例为：5G通信系统中的新一代基站(generation Node B，gNodeB)、传输接收点(transmission reception point，TRP)、演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved Node B，或home Node B，HNB)、基带单元(base band unit，BBU)，或无线保真(wireless fidelity，Wi-Fi)接入点(access point，AP)等。另外，在一种网络结构中，网络设备可以包括集中单元(centralized unit，CU)节点、或分布单元(distributed unit，DU)节点、或包括CU节点和DU节点的RAN设备。

其中，网络设备能够向终端设备发送配置信息(例如承载于调度消息和/或指示消息中)，终端设备进一步根据该配置信息进行网络配置，使得网络设备与终端设备之间的网络配置对齐；或者，通过预设于网络设备的网络配置以及预设于终端设备的网络配置，使得网络设备与终端设备之间的网络配置对齐。具体来说，“对齐”是指网络设备与终端设备之间存在交互消息时，两者对于交互消息收发的载波频率、交互消息类型的确定、交互消息中所承载的字段信息的含义、或者是交互消息的其它配置的理解一致。

此外，在其它可能的情况下，网络设备可以是其它为终端设备提供无线通信功能的装置。本申请的实施例对网络设备所采用的具体技术和具体设备形态不做限定。为方便描述，本申请实施例并不限定。

网络设备还可以包括核心网设备，核心网设备例如包括访问和移动管理功能(access and mobility management function，AMF)、用户面功能(user plane function，UPF)或会话管理功能(session management function，SMF)等。

本申请实施例中，用于实现网络设备的功能的装置可以是网络设备，也可以是能够支持网络设备实现该功能的装置，例如芯片系统，该装置可以被安装在网络设备中。在本申请实施例提供的技术方案中，以用于实现网络设备的功能的装置是网络设备为例，描述本申请实施例提供的技术方案。

(3)无线资源控制(radio resource control，RRC)状态，终端设备有3种RRC状态：RRC连接态(connected态)、RRC空闲态(idle态)和非激活态(inactive态)。

RRC连接态(或，也可以简称为连接态。在本文中，“连接态”和“RRC连接态”，是同一概念，两种称呼可以互换)：终端设备与网络建立了RRC连接，可以进行数据传输。

RRC空闲态(或，也可以简称为空闲态。在本文中，“空闲态”和“RRC空闲态”，是同一概念，两种称呼可以互换)：终端设备没有与网络建立RRC连接，基站没有存储该终端设备的上下文。如果终端设备需要从RRC空闲态进入RRC连接态，则需要发起RRC连接建立过程。

RRC非激活态(或，也可以简称为非激活态。在本文中，“去活动态”、“去激活态”、“非激活态”、“RRC非激活态”和“RRC去激活态”，是同一概念，这几种称呼可以互换)：终端设备之前进入了RRC连接态，然后基站释放了RRC连接，但是基站保存了该终端设备的上下文。如果该终端设备需要从RRC非激活态再次进入RRC连接态，则需要发起RRC恢复过程(或者称为RRC连接恢复过程)。RRC恢复过程相对于RRC建立过程来说，时延更短，信令开销更小。但是基站需要保存终端设备的上下文，会占用基站的存储开销。

(4)本申请实施例中的术语“系统”和“网络”可被互换使用。“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A、同时存在A和B、单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如“A，B和C中的至少一个”包括A，B，C，AB，AC，BC或ABC。以及，除非有特别说明，本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度。

多播是一种允许一个或者多个发送者发送单一数据包到多个接收者的网络技术，数据源可以通过发送一次数据包，使得多播组内需要数据包的接收者收到该数据包，相应的，单播指的是在一个发送者和一个接受者之间通过网络进行的通信。在第四代(Forth Generation，4G)LTE中可以通过MBMS技术实现数据的多播过程。

(1)图1-1和图1-2是现有多播网络架构示意图；

请参阅图1-1，为终端设备(user equipment，UE)在单播过程实现的网络架构的一个示意图，UE通过演进型基站(evolutional Node B,eNB)与核心网设备连接实现网络数据的单播过程，该核心网设备包括其中的移动性管理实体(Mobility Management Entity，MME)、分组数据网络网关(Packet Data Network Gateway，PDN GW/P-GW)、内容服务单元(content service)。

请参阅图1-2，为MBMS实现多播过程的系统架构的一个示意图，相比于图1-1，在图1-2所示4G LTE中MBMS网络架构中，引入了MBMS专有网元以及相应的多个接口协议，包括广播多播业务中心(broadcast/multicast service center，BM-SC)，MBMS网关(MBMS Gateway，MBMS-GW)和多小区多播协作实体(multi-cell/multicast coordination entity，MCE)，其中：

BM-SC，主要实现对增强型MBMS(enhanced-MBMS，eMBMS)业务的分发和控制功能。BM-SC作为内容提供商eMBMS业务的传输入口，是eMBMS会话的发起者，提供调度和交付eMBMS业务、以及安全密钥(key)管理的功能等；

MCE，是LTE eMBMS为实现多小区传输而引入的逻辑实体，负责对其连接的多媒体广播单频网(multimedia broadcast single frequency network，MBSFN)区域内eNB的无线资源进行分配和eMBMS会话管理；

MBMS-GW，负责传递MBMS会话控制消息至MME，并将MBMS业务数据转发至eNB，MBMS-GW可以与P-GW共部署。

基于图1-2所示MBMS的网络架构可以实现数据的多播发送，下面以多播相关的4G单小区的多播(SC-PTM,single cell point to multi-point)实现的过程进行示例性说明。

其中，SC-PTM技术是一种利用共享数据信息同时向多个UE传输相同业务的技术，接收同一业务的一组UE使用相同的下行配置来进行业务接收，不必为每个UE建立自己的通信链路。如图1-3所示，SC-PTM有一个控制信道单小区组播控制信道(SC-MCCH,single cell multicast control channel)和一个单小区组播传输信道(SC-MTCH,single cell multicast transport channel)，这两个逻辑信道都映射到下行共享信道(DL-SCH,downlink shared channel)上。其中控制信道SC-MCCH上包含业务标识和接收广播业务逻辑信道(MTCH,multicast traffic channel)的时间信息，SC-MTCH用来传输业务数据。SC-MCCH以周期进行发送，SC-MCCH周期有重复周期(Repetition Period,RP)和修改周期(Modification Period,MP)，每个重复周期发送个SC-MCCH，一个修改周期中包含若干个重复周期且修改周期内SC-MCCH的内容不变。

(2)现有技术中的多播配置方法

在SC-PTM技术中，小区通过G-RNTI来同时向多个UE调度业务数据，每个G-RNTI可以关联一个MBMS业务。下面通过一个具体的示例说明终端接收SC-PTM业务的一般过程：

首先，终端从基站获取系统信息块20(system information block 20，SIB)，其中，系统消息中包含传输SC-PTM业务的控制信息，即SC-MCCH的配置信息，终端通过系统消息就可以知道如何来接收SC-MCCH，具体地，系统消息中包含SC-MCCH的重复周期(RepetitionPeriod,RP)及偏移量(sc-mcch-Offset)，即SC-MCCH周期出现的边界，在每个满足SFN mod sc-mcch-RepetitionPeriod＝sc-mcch-Offset的系统帧上出现SC-MCCH。例如sc-mcch-RepetitionPeriod为rf16，即16个radio frame无线帧，sc-mcch-Offset＝1，则出现SC-MCCH的系统帧，如图1-4所示。其中，SC-MCCH传输时间(sc-mcch-duration)表示SC-MCCH传输持续时间，SC-MCCH起始位置(sc-mcch-FirstSubframe)，在一个系统帧内，例如sc-mcch-FirstSubframe＝4,sc-mcch-duration＝3，则SC-MCCH出现的子帧位置如图1-5所示；修改周期(Modification period,MP)，例如MP＝48，如图1-6所示。SC-MTCH中包含的配置信息中包括SC-PTM业务的标识MBMSSessionInfo(TMGI,Session ID)，用于接收SC-MTCH的标识G-RNTI，接收SC-MTCH的时间信息sc-mtch-schedulingInfo。终端根据SC-MCCH的控制信息及相应的PDCCH的调度信息即可以接收SC-MTCH中的多播业务数据。在SC-MCCH的配置中，MCCH在每个MP中重复发送，重复周期为RP，在一个MP中，SC-MCCH的内容一样，当MCCH发生变化时，会发送包含修改通知的PDCCH，修改通知为MCCH change Notification，当UE在PDCCH上检测到SC-N-RNTI，即认为检测到了修改通知，UE重新获取SC-MCCH。UE在获取SC-MCCH时，需要检测SC-RNTI加扰的PDCCH，以获取SC-MCCH的调度信息。

(3)现有技术存在问题

此外，4G LTE通过MBMS技术实现上述多播配置方法的过程中，需要通过对多播数据进行密钥加密传输的方式以保证数据的安全性，其中，密钥管理功能在BM-SC网元实现，在BM-SC网元中包括：密钥管理功能(Key Management Function)、而密钥管理功能又进一步分为：密钥请求功能(Key Request Function)和密钥分发功能(Key Distribution Function)。在实现密钥分发的过程中，BM-SC采用单播(单独发送)的方式将密钥发给UE，但密钥分发过程所涉及的过程是通过应用层信令的交互所实现的。

综上所述，在现有技术中，MBMS实现的过程中，网络侧设备作为数据源可以将多播数据包发送至多个终端设备，其中，网络侧中的接入网侧需要将用于指示如何接收多播数据包的配置信息通过多播方式一一发送至终端设备，另外，在网络侧中的核心网侧新增广播多播业务中心(broadcast/multicast service center，BM-SC)网元进行多播数据的密钥管理，该BM-SC网元通过用户面数据传输的方式将多播相关的密钥通过单播方式发给多播组内的终端设备。如果运营商使用MBMS实现过程中的key管理方式，需要新增服务器和核心网接口，使得key管理的架构和流程比较复杂：一方面，在多播组内的终端设备的数量较多时，新增的BM-SC网元需要与多个终端设备一一建立单播连接再发送多播密钥，效率过低；另一方面，新增的BM-SC网元发送的多播密钥也是通过接入网设备通过应用层信令转发至终端设备，而接入网设备是通过多播方式发送用于指示如何接收多播数据包的配置信息，分别发送多播密钥和多播配置信息的方式对于终端设备来说，存在一定的延迟，影响网络通信的效率。

为了解决上述问题，本申请实施例提供了一种密钥的传输方法及装置，用于实现多播过程中密钥的传输方式。

图4为本申请实施例适用的一种网络架构示意图，如图4所示，该网络架构包括多个UE，示例为UE1、UE2、UE3；接入网设备,示例为NR基站(NR Node B，gNB)，包括gNB-控制面功能实体(gNB-CP)和gNB-用户面功能实体(gNB-UP)；核心网设备(CN，core network),示例为接入和移动性管理网元(access and mobility management function，AMF)和用户面功能(user plane function，UPF)。

在图4中，虚线表示控制面连接，实线表示用户数据的发送路径。三个终端设备都与基站均有连接，对于每个终端设备分别配置了小区RNTI(Cell RNTI,C-RNTI)和用于单播承载的数据无线承载(data radio bearer，DRB)，同时DRB还关联一个G-RNTI，通过G-RNTI和C-RNTI调度实现单播与多播之间的动态转换。图中三个终端设备接收同一业务，每个终端设备都有单播承载，即基于C-RNTI接收数据的通道，基站同时为三个终端设备还配置了相同的G-RNTI。在采用C-RNTI调度的情况下，基站可以将同一数据分别调度给三个终端设备，此时是利用单播调度。在采用G-RNTI调度数据的情况下，基站调度一份数据三个终端设备都能收到。

基于图4所示网络架构示意图，针对上述现有技术中存在的问题，本申请实施例从多播数据的加密过程以及多播密钥的管理网元考虑用以解决上述问题：

1、从多播数据的加密过程的角度--

方式一：通过接入网设备实现多播数据加密，示例性的，如图2所示，可以通过终端设备与接入网设备对齐的分组数据汇聚协议(packet data convergence protocol，PDCP) 实现；

方式二：通过核心网设备新增功能或协议层实现多播数据加密，示例性的，如图3所示，在已有的网络协议中，在终端设备和核心网设备分别增加新协议层(New layer)实现；

2、从多播密钥的管理网元的角度--

方式三：新增服务器管理，可以沿用已有MBMS应用层管理方式,空口不可见，新增服务器与核心网接口,比较简单；

方式四：通过接入网设备管理，接入网网元通过多播方式可实现统一多播密钥的更新,在保证安全的前提下,节省信令开销；

方式五：通过核心网设备管理，密钥针对多播群组,通过核心网设备统一维护,密钥作为多播上下文(multicast context)发送。

本申请实施例中，考虑到方式二、方式三的实现过程需要新增核心网设备和对应的核心网接口，这种方式过于繁琐，因此，后续实施例采用上述方式一、方式四和方式五的结合进行描述，即多播数据的加密过程通过接入网设备实现，多播密钥的管理网元通过接入网设备/核心网设备实现。

本申请实施例中，多播数据的加密过程通过接入网设备实现，多播密钥的管理网元通过接入网设备或核心网设备实现，此外，当多播密钥存在更新时，接入网设备与终端设备对齐的方式可以是单播发送、也可以是通过多播方式发送，下面将通过发送方式的不同这一角度来分别对本申请实施例进行介绍：

实施例一

在实施例一中，接入网设备通过多播方式发送密钥更新信息；图5为本申请实施例中提供的一种密钥的传输方法的流程示意图，如图5所示，包括：

S101、接入网设备向终端设备发送第一消息；

本实施例中，接入网设备向终端设备发送第一消息，相应的，终端设备在步骤S101中接收来自接入网设备的第一消息。该接入网设备向终端设备发送的第一消息中包括第一密钥，其中，第一密钥用于加密多播数据包，即终端设备后续可以根据第一密钥对接收到的来自于接入网设备的多播数据包进行解密处理。

具体地，接入网设备向终端设备发送的第一消息中还可以包括第一定时器，和/或第一时刻信息，其中，第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻。终端设备在步骤S101中接收来自接入网设备的第一消息的过程中获取得到该第一定时器，和/或第一时刻信息。此外，该终端设备也可以是根据预设在该终端设备内部的时间配置确定第一定时器，和/或第一时刻信息，还可以是根据接入网设备与终端设备交互其它的消息中确定第一定时器，和/或第一时刻信息，此处不做限定。具体在方案的实现过程中，接入网设备可能处理大量的多种多播业务，而不同的多播业务可能有不同的时效需求，例如，当该多播业务为广告推送业务时，一般来说，通过一次多播数据包的传输就可以完成，终端设备中可维持第一密钥有效的时效长度较短；当该多播业务为体育比赛实时直播业务时，一般来说，需要多次多播数据包的传输，终端设备需要维持第一密钥有效的时效长度较长。通过如上接入网设备向该终端设备发送用于指示第一密钥的时效信息的第一定时器，和/或第一时刻信息，可以实现接入网设备与终端设备之间关于多播密钥所使用时效的对齐。在后续终端设备对于第一密钥的使用时效与接入网设备对齐的情况下，可以进一步实现密钥传输过程的优化，并且为第一密钥配置生效时间信息可以更加灵活地控制多播传输的加密策略，提升通信安全性。

下面将分别从第一密钥的生效时刻、第一密钥的有效持续时间这两个角度进行说明：

对于第一密钥的生效时刻来说，终端设备在接收到接入网设备发送的第一时刻信息之后，使用该第一时刻信息所指示的第一密钥的生效起始时刻的应用方式有多种，包括：

方式1：终端设备可以在收到第一消息后，立即生效第一密钥。

方式2：接入网设备在第一消息中承载生效时刻指示T(即第一时刻信息)，对应的，终端设备收到第一消息后，根据生效时刻指示确定第一密钥对应的密钥配置生效时刻。可选地，第一密钥对应的密钥生效时刻指示可以是一个绝对时刻指示，比如：第一密钥对应的密钥生效时刻指示可以指示某日某时某分某秒某毫秒，具体的时刻指示粒度不做限制；或者，第一密钥对应的密钥生效时刻指示可以是一个无线帧帧号、或无线帧号+子帧号、或无线帧号+子帧号+时隙号，比如无线帧号(System Frame Number,SFN)X，对应地，终端设备在SFN X对应的边界生效第一密钥对应的密钥配置。

方式3：终端设备在收到第一消息后的一个相对时刻，生效第一密钥对应的密钥配置，其中，该相对时刻具体可以指示特定事件发生的时刻，即在离该特定事件发生的时刻(例如最近的无线帧边界或无线子帧边界或时隙边界或符号边界)，终端设备生效第一密钥对应的密钥配置。比如，该特定事件可以是该终端设备接收到来自接入网设备的一个完整的无线帧，此时，终端设备可以在该第一消息所在的无线帧的边界生效密钥配置；再如，该特定事件可以是该终端设备接收到来自接入网设备的多播数据包，此时，该终端设备可以在收到第一消息后，在接收到来自该接入网设备的多播数据包所在的无线帧的边界生效密钥配置，所述特定事件可以是终端设备中预配置的、或者由接入网设备指示的，例如，可以是由接入网设备通过专用信令向终端设备发送承载特定事件的指示，显然，该特定事件还可以是其它的实现方式，此处不做限定。此外，终端设备可以通过多种方式确定该特定事件，例如该特定事件可以是承载在第一消息，也可以是在该终端设备中预定义的，或者是承载在接入网设备向终端设备发送的其它消息中，此处不做限定。

方式4：当第一消息为RRC重配置消息时，终端设备在收到RRC重配置完成消息的混合自动重传请求(hybrid automatic repeat request，HARQ)成功反馈后，生效第一密钥对应的密钥配置；其中，终端设备收到接入网设备发送的重配置消息后，会给接入网设备发送重配置完成消息，为了确保接入网设备成功收到重配置完成消息(以保证终端设备和接入网设备两端是对齐的)，接入网设备在收到重配置完成消息后，会给终端设备回复HARQ反馈，指示成功接收到重配置完成，终端设备可在收到接入网设备发送的针对RRC重配置完成消息的成功反馈确认后，终端设备生效第一密钥对应的密钥配置。

对于第一密钥对应的第一定时器，其中，第一定时器用于指示该第一密钥的有效持续时间，终端设备在接收到接入网设备发送的第一定时器之后，使用该第一定时器的方式有多种，包括：

1)当终端设备收到第一密钥时，启动该第一定时器；

2)在第一定时器超时之前，如果终端设备收到更新的key，重启第一定时器；

3)当该第一定时器超时的时候，终端设备确定第一密钥失效。

终端设备可以向接入网设备发送查询消息，该查询消息用于查询接入网设备此时是否有更新密钥key；可选地，终端设备可以在第一定时器超时的时候向接入网设备发送查询消息、或者终端设备可以在第一定时器超时之前向接入网设备发送查询消息。

在一种可能的设计中，终端设备可以维护一个周期查询定时器，此周期查询定时器的持续时间以及启动时刻可以从接入网设备或核心网设备获取，例如由接入网设备或核心网设备向终端设备发送的消息中指定，也可以由终端设备中预配置的，当周期查询定时器超时的时候，终端设备发送上述查询消息。

在步骤S101实现之前，还包括步骤S101A：终端设备确定需要多播配置。

具体地，如果该终端设备未处于RRC连接态，如该终端设备处于RRC非激活态或者是RRC空闲态时，当终端设备确定需要多播配置时，终端设备通过发起RRC连接建立过程或RRC连接恢复过程进入RRC连接态，此后通过步骤S101接收来自该接入网设备的该第一消息，从而，处于非激活态或者是空闲态的终端设备中也可以实现对应于多播数据包的第一密钥的获取。

该终端设备确定需要多播配置的方式包括以下至少一种：

1)当终端设备无可用的多播配置时，确定需要多播配置，例如该终端设备未存储任何多播配置；

2)当终端设备对多播业务感兴趣且无对应的多播配置时，确定需要多播配置，此时，该终端设备存储有部分业务的配置，但是没有感兴趣多播业务对应的多播配置，换句话说，存储的部分业务配置中不包括感兴趣多播业务对应的多播配置。

具体地，在步骤S101的实现过程中，第一消息可以通过多种方式发送：包括：

1)第一消息可以是以单播方式发送的，以单播方式发送指的是接入网设备与终端设备已建立RRC连接之后，基于该RRC连接的链路进行发送的方式，其中，第一消息可以是RRC消息、MAC CE消息、PDCCH消息，或者是其它类型的单播消息，此处不做限定。

2)第一消息也可以是以广播方式发送，其中，广播方式指的是数据的发送者“一对所有”接收者的通讯模式，即接入网设备所覆盖范围内的终端设备都可以接收到该广播信息，与该终端设备相关联的第四密钥加密且以广播方式发送的，但是本实施例所要实现的是多播过程，即使得特定的终端设备接收到该第一消息，因此，可以通过第四密钥加密该广播消息的方式发送。其中，该第四密钥可以是终端设备中预配置的，例如，第四密钥可以是预存于特定的终端设备中的密钥，使得具备该第四密钥的特定的终端设备可以根据该第四密钥解密广播消息得到该第一消息，而不具备该第四密钥的终端设备则无法完整解密该广播消息，可以丢弃/忽略该广播消息。其中，第四密钥在实现的时候，具体可以是接入网设备预先与终端设备对齐的密钥，例如该接入网设备预先与该终端设备通信过程中，接入网设备为指定类型的终端设备所分配的第四密钥，或者是接入网设备根据核心网设备的指示确定该第四密钥。举个例子，运营服务商可以将第四密钥预置于该终端设备的存储模块中，如预置在终端设备中用户识别模块(Subscriber Identity Module，SIM)通用用户识别模块(Universal Subscriber Identity Module，USIM)、IP多媒体业务识别模块(IP Multi Media Service Identity Module，简称ISIM)，嵌入式SIM卡(embedded SIM，eSIM)或者是其他如电子签名认证、电子钱包等，后续接入网设备可以根据该运营服务商对应的核心网设备所下发的指示确定出用于广播第一消息的第四密钥。此外，在另一种实现方式中，终端设备可以从接入网设备或核心网设备获取第四密钥，接入网设备与终端设备使用的第四密钥是对齐的。例如，终端设备接收接入网设备发送的第四密钥，或终端设备接收核心网设备发送的密钥。相应地，具备该第四密钥的特定的终端设备可以根据该第四密钥解密广播消息得到第一密钥，而不具备该第四密钥的终端设备则无法完整解密该广播消息，当终端设备无法解密该广播消息时，可以丢弃/忽略该广播消息。

3)第一消息还可以通过多播方式发送，具体来说，多播方式发送可以是通过在MCCH信道发送该第一消息实现，其中，MCCH相关的时频配置可以在接入网设备预先向终端设备发送的广播消息中承载；多播方式发送也可以是使用G-RNTI加扰该第一消息实现，其中，G-RNTI可以承载于接入网设备预先向终端设备发送的(单播、多播或广播)消息中所包含的多播配置信息中；该第一消息还可以通过其它的多播方式发送，此处不做限定。

在一种可能的设计中，接入网设备还可以在向终端设备发送第一配置信息集合，该第一配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：多播业务标识、G-RNTI、BWP指示信息、PDSCH加扰序列、DRX、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示等。此后，该接入网设备向该终端设备发送的多播数据包可以通过该多播配置信息配置，对于终端设备来说，可以通过该多播配置信息接收来自接入网设备的多播数据包。此外，该接入网设备可以通过向该终端设备指示该第一配置信息集合关联于步骤S101中第一消息所承载的第一密钥，即指示终端设备可以使用该第一密钥对通过该第一配置信息集合接收到的多播数据包进行解密处理，其中，该指示可以是显性的指示方式或者是隐性的指示方式，具体来说：

当该指示为显性的指示方式时，该显性的指示方式可以在该第一配置信息集合中包含有该第一密钥的标识的方式来实现，例如该第一密钥的标识可以是承载该第一密钥所在信息的类型标识、可以是该第一密钥自身字段中的验证位标识或者是其它可以指示该第一密钥的标识，此时，该第一配置信息集合可以承载在接入网设备向终端设备发送的不同于承载该第一密钥的第一消息中，从而实现多播配置信息和多播密钥的分开发送，进一步实现多播数据包传输的安全性；

当该指示为显性的指示方式时，该隐性的指示方式可以向终端设备指示承载在同一条消息中的密钥和配置信息集合默认为存在关联关系，此时，该第一配置信息集合承载在该第一密钥所在的第一消息中，当终端设备确定该第一消息中包含有该第一配置信息集合和该第一密钥时，确定该第一配置信息集合关联于该第一密钥，从而，使得终端设备可以通过第一消息获取用于处理多播数据包的第一密钥以及对应的第一配置信息集合，与需要另设发送多播配置信息的消息相比，可以进一步节省接入网设备的信令开销。

此外，该第一配置信息集合包括至少一个多播配置信息，即该第一配置信息集合可以包括多个多播配置信息，示例性的，以多个多播配置信息包括多个多播业务标识为例，多个多播配置信息包括多播业务标识1、多播业务标识2...多播业务标识10，即该第一配置信息集合中包括该多播业务标识1、多播业务标识2...多播业务标识10，后续终端设备接收到来自接入网设备的多播数据包中，若该多播数据包括该多播业务标识1、多播业务标识2...多播业务标识10中的任一个时，该终端设备可以使用关联于该第一配置信息集合的第一密钥对该多播数据包进行解密，得到多播数据；其中，第一配置信息集合中的其它参数也可以实现多个多播配置信息的配置，此处不再赘述。

在一种可能的设计中，接入网设备在步骤S101所发送的第一消息中还可以承载有第一指示，相应的，该终端设备可以进一步地通过该第一消息获取第一指示，该第一指示用于指示该终端设备进入RRC空闲态或者RRC非激活态，同时不释放该第一配置信息集合和该第一密钥(或挂起第一配置信息集合和该第一密钥维持其仍然有效)，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包，使得终端设备在RRC空闲态或者RRC非激活态也可以实现多播数据包的接收。此外，对于该终端设备来说，该终端设备获取第一指示的方式有多种，例如可以是通过预设在该终端设备内部存储模块中包含有该第一指示，该存储模块可以是SIM、USIM、ISIM，eSIM或者是其他如电子签名认证、电子钱包等；也可以是通过接入网设备发送的特定消息中承载该第一指示，其中，该特定消息可以是步骤S101中的第一消息、或者是其它的RRC消息，例如RRC释放(RRCRelease)消息、RRC连接释放(RRCConnectionRelease)消息，RRC恢复(RRCResume)消息，RRC连接恢复(RRCConnectionResume)消息等。此时，该第一指示在该特定消息中具体的实现上至少可以包括以下的一种或多种：

1)第一指示可以是该特定消息中所承载的1bit指示，当该特定消息中承载“1bit指示”时，即该bit置为1，标识该终端设备进入RRC空闲态或者RRC非激活态，同时不释放该第一配置信息集合和该第一密钥(或挂起第一配置信息集合和该第一密钥维持其仍然有效)，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包，反之，该bit置为其它取值时，可以标识该终端设备释放该第一配置信息集合和/或该第一密钥，或者标识其他信息，此处不做限定；

2)第一指示可以是该特定消息中所承载的字段信息，当该特定消息中承载此字段信息时，标识该终端设备进入RRC空闲态或者RRC非激活态，同时不释放该第一配置信息集合和该第一密钥(或挂起第一配置信息集合和该第一密钥维持其仍然有效)，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包，反之，该特定消息中未承载该字段信息时，可以标识该终端设备释放该第一配置信息集合和/或该第一密钥，或者标识其他信息，此处不做限定；

3)第一指示信息可以是该特定消息所承载的指定的原因值Cause，当该特定消息中承载此指定的Cause时，标识该终端设备进入RRC空闲态或者RRC非激活态，同时不释放该第一配置信息集合和该第一密钥(或挂起第一配置信息集合和该第一密钥维持其仍然有效)，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包，反之，该特定消息中未承载该指定的Cause时，可以标识该终端设备释放该第一配置信息集合和/或该第一密钥，或者标识其他信息，此处不做限定。

由于多播数据包的接收并不依赖于终端设备与接入网设备之间的RRC连接，为了使得终端设备在退出RRC连接态时，即终端设备处于RRC空闲态或者RRC非激活态也可以实现多播数据的接收，终端设备根据该第一指示进入无线资源控制RRC空闲态或者RRC非激活态，且不释放该第一配置信息集合和该第一密钥，即继续使用该第一配置信息集合和该第一密钥接收该多播数据包，也就是说，终端设备可以在RRC空闲态或者RRC非激活态中使用该第一密钥对通过该第一配置信息集合接收到的多播数据包进行解密，得到多播数据，从而，可以进一步节省接入网设备与终端设备之间的信令消耗。其中，终端设备还可以基于其自身降低电耗和/或提升性能等配置策略自行确定退出连接态，或者是通过其它方式来确定退出连接态，在本发明中不做限制。当终端设备确定退出连接态时该终端设备向接入网设备发送第三指示，该第三指示用于指示该终端设备自行确定退出连接态，或者第三指示用于请求释放RRC连接，或者所述第三指示用于请求暂停RRC连接，或者第三指示接入网设备该终端设备请求退出连接态。其中，所述第三指示可以承载在RRC消息中，所述RRC消息可为RRC连接请求消息或RRC连接暂停消息或其他RRC消息，本发明中不做限制。其中，该第三指示用于向接入网设备指示该终端设备自行确定退出连接态，使得接入网设备和终端设备可以对齐该终端设备的状态，使得该接入网设备在退出连接态之后，在空闲态或者是非激活态仍然可以使用该第一消息实现接收来自接入网设备的多播数据包。

在一种可能的设计中，在步骤S101之后，接入网设备向该终端设备发送使用第一密钥加密的多播数据包，对于终端设备来说，该终端设备可以使用步骤S101中得到的第一密钥对该多播数据包进行解密，得到多播数据包中的多播数据，从而在接入网设备与终端设备之间的多播数据传输过程中，实现多播密钥的加密过程，提升多播数据通信的安全性。

S102、接入网设备以多播方式向终端设备发送第一配置。

本实施例中，接入网设备以多播方式向终端设备发送第一配置，相应的，终端设备在步骤S102中以多播方式接收来自接入网设备的第一配置。接入网设备以多播方式向终端设备发送用于更新第一密钥的第一配置，使得该终端设备可以在根据第一配置更新第一密钥为第二密钥之后，进一步根据第二密钥对接收到的来自于接入网设备的多播数据包进行处理。

在步骤S102实现的过程中，该第一配置用于将该第一密钥更新为第二密钥，第一配置也可以灵活配置，例如该第一配置可以是配置为直接用于替换该第一密钥的第二密钥、也可以是配置为用于更新第一密钥的更新策略(例如下一跳参数(Next Hop parameter，NH)、下一跳链计数参数(Next Hop Chaining Counter parameter，NCC)或者其他参数，利用相关参数推导出更新的第二密钥)、还可以是其他方式，此处不做限定。此处以该第一配置包括该第二密钥为例进行说明，其中，在步骤S101中的第一密钥用于加密接入网设备向终端设备发送的多播数据包，在步骤S102之后，接入网设备向终端设备发送的多播数据包的加密密钥由第一密钥更新为第二密钥，因此，在方案的实现过程中，该第一配置可以是通过显式或隐式的方式来指示将第一密钥更新为第二密钥，具体来说：

第一配置显示指示UE更新第一密钥为第二密钥，此时，第一配置中包括第二密钥以及第一密钥的标识，示例性的，该第一密钥的标识可以是承载该第一密钥所在信息的类型标识、可以是该第一密钥自身字段中的验证位标识或者是其它可以指示该第一密钥的标识；

在第二种可能的实现中，第一配置隐式指示UE更新第一密钥为第二密钥，例如，第一配置中包括第二密钥以及关联于该第二密钥的第二配置信息集合，该第二配置信息集合是该第一配置信息集合的子集。其中，第二配置信息集合是该第一配置信息集合的子集，接入网设备向终端设备发送的第一配置可以指示将第二配置信息集合对应的第一密钥更新为第二密钥，使得终端设备可以实现更新部分第一密钥或者更新全部第一密钥，从而实现密钥的传输方式的进一步优化。示例性的，以第一配置信息集合中的多播业务标识为例，第一密钥对应的第一配置信息集合包括多播业务标识1、多播业务标识2...多播业务标识10；而在第一配置中，第二密钥对应的第二配置信息集合包括多播业务标识1、多播业务标识2...多播业务标识4；则终端设备将多播业务标识1、多播业务标识2...多播业务标识4对应的多播数据包更新为第二密钥进行处理，其他多播业务标识(多播业务标识5...多播业务标识10)对应的多播数据包还是对应第一密钥进行处理。另外，以第一配置信息集合中的参数“BWP指示信息”指示终端设备可以使用BWP1：40兆赫兹MHz带宽、以及BWP2：10MHz带宽；其中，BWP1和BWP2方式发送的多播业务都是使用第一密钥加密处理的，在第一配置中的第二配置信息集合中可以仅指示其中的BWP1对应的多播业务更新为使用第二密钥加密处理，而不改变BWP2对应的密钥，也就是说BWP2对应的多播业务仍使用第一密钥进行处理。其中，考虑到第一配置信息集合中存在多种参数，第一配置信息集合中的其它参数也可以实现类似的过程，此处不再赘述。

可选的，第一配置还包括第二密钥的生效时间信息，具体的，第一配置包括第二定时器，和/或第二时刻信息，其中，该第二定时器用于指示该第二密钥的有效持续时间，该第一时刻信息用于指示该第二密钥的生效起始时刻，其中，第二定时器及第二时刻信息的实现可以参考前述第一定时器及第一时刻信息的相关实现过程，此处不再赘述。

可选的，在步骤S102之前，还包括步骤S1021：接入网设备确定是否需要更新该第一密钥，该确定过程有多种实现，例如可以是接入网设备确定对应于第一密钥的第一定时器超时；或者，接入网设备根据来自该终端设备的第一请求消息确定需要更新该第一密钥，该第一请求消息用于请求该第一密钥的更新信息，接入网进一步根据该第一请求消息去查询确定需要更新该第一密钥；或者，接入网设备根据来自核心网设备的该第一配置确定需要更新该第一密钥，或者，接入网设备确定多播组中有某个终端设备离开该群组，为了防止密钥泄露，统一更新第一密钥。即该接入网设备可以针对不同的使用场景进行灵活处理，通过多种方式来确定需要更新该第一密钥，实现多播密钥的及时更新，从而提升通信的安全性。

相应的，在步骤S102实现之前，还包括步骤S1022：终端设备确定需要第一密钥的更新信息。具体地，如果该终端设备未处于RRC连接态，如该终端设备处于RRC非激活态或者是RRC空闲态时，当终端设备确定需要第一密钥的更新信息时，终端设备通过发起RRC连接建立过程或RRC连接恢复过程进入RRC连接态，此后通过步骤S102接收来自该接入网设备的该第一配置，从而，处于非激活态或者是空闲态的终端设备中也可以实现第一密钥的更新信息的获取。

该终端设备确定需要第一密钥的更新信息的方式有多种，具体可包括：

1)终端设备根据来自接入网设备的寻呼消息确定需要获取多播配置，其中，该寻呼消息用于指示该第一密钥存在更新；其中，如果密钥管理网元为核心网设备的话，当核心网设备确定需要更新第一密钥时，可以向接入网设备发送寻呼消息，而接入网设备向该终端设备转发该寻呼消息，其中，该寻呼消息可以包括第二指示，该第二指示用于指示该第一密钥存在更新；此后，在该接入网设备与该终端设备建立RRC连接之后，接入网设备以多播方式向该终端设备发送第一配置。即该接入网设备可以通过寻呼消息使得在与该终端设备建立RRC连接之后，使得该终端设备处于连接态，再以多播方式向该终端设备发送第一配置，从而实现对处于非激活态或者是空闲态的终端设备中第一密钥的更新。

2)终端设备确定对应于第一密钥的第一定时器超时的时候确定需要第一密钥的更新信息。

本实施例中，接入网设备向终端设备发送第一配置的过程中，多播方式可以是通过MCCH承载第一配置来实现，也可以是接入网设备使用预设标识对承载该第一配置的消息(例如DCI消息)进行加扰来实现，还可以是其它的多播方式，此处不做限定。这里以预设标识加扰处理实现的过程为例进行说明，其中，该第一配置在实现的过程中，该第一配置具体可以承载于第一下行控制信息，该第一下行控制信息通过G-RNTI加扰，或者通过预设RNTI加扰。其中，G-RNTI可以承载于步骤S101实现过程中的第一配置信息集合，所述预设RNTI为不同于G-RNTI的、用于加扰承载第一配置的DCI的无线网络临时标识，具体的，可以为预定义的专用标识，也可以为由网络设备动态配置的标识，也可以是预先设置在终端设备中的标识。例如该接入网设备预先与该终端设备通信过程中，接入网设备为指定类型的终端设备所分配的预设RNTI，或者是接入网设备根据核心网设备的指示确定该预设RNTI，例如运营服务商预设于该终端设备中存储模块的预设RNTI，如预设在终端设备中SIM、USIM、ISIM、嵌eSIM或者是其他如电子签名认证、电子钱包等，后续接入网设备可以根据该运营服务商对应的核心网设备所下发的指示确定出该预设RNTI。从而，可以将该第一配置承载在接入网设备向终端设备发送的第一下行控制信息中，而无需另设专门用于发送该第一配置的消息，进一步节省接入网设备的信令消耗。

可选的，在步骤S102的发送过程中，可以进一步对该第一配置进行加密处理，具体加密实现有多种方式，例如，该第一配置可以是直接通过该第一密钥加密的；或者，该第一配置可以是通过第三密钥加密的，该第三密钥是承载于步骤S101中的第一消息且不同于该第一密钥的密钥；或者，该第一配置也可以是通过与该终端设备相关联的第四密钥加密的，从而，通过加密的方式传输用于更新第一密钥的第一配置可以提升传输过程中的数据安全性。此外，为了加强数据传输的安全性，接入网设备可以另设与终端设备之间的交互信息来实现对第三密钥的更新过程。

在一种可能的设计中，在步骤S102之后，接入网设备向该终端设备发送使用第二密钥加密的多播数据包，对于终端设备来说，该终端设备可以使用步骤S102中得到的第二密钥对该多播数据包进行解密，得到多播数据包中的多播数据，从而在该接入网设备与终端设备之间的多播数据传输过程中，实现接入网设备与终端设备之间关于多播密钥的更新与对齐，进一步提升多播数据通信的安全性。

本实施例中，接入网设备向终端设备发送第一消息，该第一消息包括第一密钥，该第一密钥用于加密多播数据包，即终端设备可以根据第一密钥对接收到的来自于接入网设备的多播数据包进行处理；此后，在第一密钥存在更新的时候，该接入网设备可以以多播方式向该终端设备发送第一配置，该第一配置用于更新该第一密钥，使得该终端设备可以在根据第一配置更新第一密钥之后，进一步根据更新后的密钥对接收到的来自于接入网设备的多播数据包进行处理。其中，接入网设备通过多播方式向终端设备发送用于更新第一密钥的第一配置，当终端设备的数量为多个时，通过一次发送过程就可以实现多个终端设备中密钥的更新，与现有技术相比，节省接入网设备为各个终端设备进行一一单播发送更新消息带来的信令开销，从而实现多播过程中密钥的传输方式的优化。

实施例二

在实施例二中，接入网设备通过单播方式发送密钥更新信息，图6为本申请实施例中提供的另一种密钥的传输方法的流程示意图，如图6所示，包括：

S201、接入网设备向终端设备发送第一消息；

本实施例中，接入网设备向终端设备发送第一消息，相应的，终端设备在步骤S201中接收来自接入网设备的第一消息。第一消息包括第一密钥以及与所述第一密钥相关联的第一配置信息集合，其中，第一密钥用于加密多播数据包，或者终端设备可以根据第一密钥对接收到的来自于接入网设备的多播数据包进行解密处理。

此外，在实现多播数据的传输过程，终端设备中可以进一步与接入网设备对齐多播配置所使用的各种配置参数，其中，该配置参数可以承载在步骤S201中的第一消息中，该第一消息还包括与该第一密钥相关联的第一配置信息集合，该第一配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：多播业务标识、G-RNTI、BWP指示信息、PDSCH加扰序列、DRX、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示等。从而，使得终端设备可以通过第一消息获取用于处理多播数据包的第一密钥以及对应的第一配置信息集合，与现有技术中需要另设发送配置信息的过程相比，可以进一步节省接入网设备的信令开销。其中，该第一配置信息集合的具体实现过程可以参考步骤S101中相关说明，此处不再赘述。

其中，该终端设备可以进一步确定指示第一密钥的时效信息的第一定时器，和/或第一时刻信息，其中，该第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻关于第一密钥的生效时刻、第一密钥的有效持续时间这两个角度实现第一密钥时效的确定过程，具体参见步骤S101中的相关内容，此处不再赘述。

在步骤S201实现之前，还包括步骤S201A：终端设备确定需要多播配置。

具体地，如果该终端设备未处于RRC连接态，如该终端设备处于RRC非激活态或者是RRC空闲态时，当终端设备确定需要多播配置时，终端设备通过发起RRC连接建立过程或RRC连接恢复过程进入RRC连接态，此后通过步骤S201接收来自该接入网设备的该第一消息，从而，处于非激活态或者是空闲态的终端设备中也可以实现对应于多播数据包的第一密钥的获取。该终端设备确定需要多播配置的方式有多种，具体实现过程可以参考前述步骤中S101的相关实现过程，此处不再赘述。

在步骤S201的实现过程中，第一消息可以是以单播方式发送的，也可以是以广播方式发送，其中，具体第一消息的发送方式所实现的过程可以参考前述步骤中S101的相关实现过程，此处不再赘述。

在一种可能的设计中，接入网设备在步骤S201所发送的第一消息中还可以承载有第一指示，相应的，该终端设备可以进一步地通过该第一消息获取第一指示，其中，该第一指示的实现具体过程可以参考前述步骤S101中第一指示的相关实现过程，此处不再赘述。

在一种可能的设计中，其中，终端设备还可以基于其自身降低电耗和/或提升性能等配置策略自行确定退出连接态，或者是通过其它方式来确定退出连接态，在本发明中不做限制。当终端设备确定退出连接态时该终端设备向接入网设备发送第三指示，其中，该第三指示的实现具体过程可以参考前述步骤S101中第三指示的相关实现过程，此处不再赘述。

在一种可能的设计中，在步骤S201之后，接入网设备向该终端设备发送使用第一密钥加密的多播数据包，对于终端设备来说，该终端设备可以使用步骤S201中得到的第一密钥对该多播数据包进行解密，得到多播数据包中的多播数据，从而在接入网设备与终端设备之间的多播数据传输过程中，实现多播密钥的加密过程，提升多播数据通信的安全性。

S202、接入网设备以单播方式向终端设备发送第一配置，其中，该第一配置用于更新步骤S201中的第一密钥。

本实施例中，接入网设备以单播方式向终端设备发送第一配置，相应的，终端设备在步骤S202中以单播方式接收来自接入网设备的第一配置。该第一配置用于更新该第一密钥，使得该终端设备可以在根据第一配置更新第一密钥之后，进一步根据更新后的密钥对接收到的来自于接入网设备的多播数据包进行处理。其中，第一配置是以单播方式发送的，以单播方式发送指的是接入网设备与终端设备已建立RRC连接之后，基于该RRC连接的链路进行发送的方式，其中，第一消息在单播发送过程的具体实现可以是RRC消息、MAC CE消息、PDCCH消息，或者是其它类型的单播消息，此处不做限定。此外，接入网设备通过单播方式发送第一配置，相比于实施例一中多播的实现方式，实施例二在接入网设备与终端设备一对一的通信过程中实现第一配置的传输，可以选择性地针对部分终端设备实现多播密钥更新，进一步提升密钥信息传输的安全性。

其中，第一配置还可以承载用于指示对应于第二密钥的第二定时器，和/或第二时刻信息，其中，该第二定时器用于指示该第二密钥的有效持续时间，该第一时刻信息用于指示该第二密钥的生效起始时刻，其中，第二定时器及第二时刻信息的实现可以参考前述实施例中第一定时器及第一时刻信息的相关实现过程，此处不再赘述。

可选的，在步骤S202之前，还包括步骤S2021：接入网设备确定是否需要更新该第一密钥，该确定过程有多种实现，具体该确定过程的实现可以参考前述步骤S102中描述的相关实现过程，此处不再赘述。

在步骤S202实现之前，终端设备确定需要第一密钥的更新信息。具体地，如果该终端设备未处于RRC连接态，如该终端设备处于RRC非激活态或者是RRC空闲态时，当终端设备确定需要第一密钥的更新信息时，终端设备通过发起RRC连接建立过程或RRC连接恢复过程进入RRC连接态，此后通过步骤S202接收来自该接入网设备的该第一配置，从而，处于非激活态或者是空闲态的终端设备中也可以实现第一密钥的更新信息的获取。

该终端设备确定需要第一密钥的更新信息的方式有多种，具体实现的过程可以参考前述步骤S102中描述的相关实现过程，此处不再赘述。

此外，该第一配置还包括第二配置信息集合，该第二配置信息集合与该第二密钥相关联，该第二配置信息集合是该第一配置信息集合的子集。其中，第二配置信息集合与第一配置信息集合的关联关系可以参考前述实施例中步骤S102中的相关实现过程，此处不再赘述。

在步骤S202的发送过程中，可以进一步对该第一配置进行加密处理，具体加密实现有多种方式，具体实现的过程可以参考前述步骤S102中描述的相关实现过程，此处不再赘述。

在一种可能的设计中，在步骤S202之后，接入网设备向该终端设备发送使用第二密钥加密的多播数据包，对于终端设备来说，该终端设备可以使用步骤S202中得到的第二密钥对该多播数据包进行解密，得到多播数据包中的多播数据，从而在该接入网设备与终端设备之间的多播数据传输过程中，实现接入网设备与终端设备之间关于多播密钥的更新与对齐，进一步提升多播数据通信的安全性。

本实施例中，接入网设备向终端设备发送第一消息，该第一消息包括第一密钥以及与该第一密钥相关联的第一配置信息集合，该第一密钥用于加密多播数据包；即终端设备可以根据第一密钥对接收到的来自于接入网设备的多播数据包进行处理；此后，在第一密钥存在更新的时候，该接入网设备可以以单播方式向该终端设备发送第一配置，该第一配置用于更新该第一密钥，使得该终端设备可以在根据第一配置更新第一密钥之后，进一步根据更新后的密钥对接收到的来自于接入网设备的多播数据包进行处理。此外，接入网设备通过单播方式发送第一配置，相比于实施例一中多播的实现方式，实施例二在接入网设备与终端设备一对一的通信过程中实现第一配置的传输，可以选择性地针对部分终端设备实现多播密钥更新，进一步提升密钥信息传输的安全性。其中，接入网设备可以在该第一消息中承载第一密钥以及与该第一密钥相关联的第一配置信息集合，使得终端设备可以通过第一消息获取用于处理多播数据包的第一密钥以及对应的第一配置信息集合，与现有技术中需要另设发送配置信息的过程相比，可以节省接入网设备的信令开销。

基于图5通过多播方式发送第一配置的过程和图6通过单播方式发送第一配置的过程对应的实施例，在方案的实现过程中，由于不同的终端设备可能存在不同的连接状态(连接态、非激活态或者是空闲态)，以及接入网设备在数据传输过程中的加密、加扰方式的不同，本申请实施例针对不同的应用场景提供适应性的对应解决的实施例，下面将通过图7至图13所示意的实施例进行说明。

实施例三

图7为本申请实施例三提供的又一种密钥的传输方法的流程示意图，如图7所示，包括：

S301、接入网设备向终端设备发送第一消息；

本实施例中，接入网设备向终端设备发送第一消息，相应的，终端设备在步骤S301中接收来自接入网设备的第一消息，其中，第一消息除了包括用于加密多播数据包的第一密钥之外，可选地，还可以进一步包括G-RNTI以及其它多播配置参数(具体包括步骤S101中的第一多播配置参数集)、第一时刻信息、和/或第一定时器中的一项或多项。此后，终端设备使用该第一消息中所承载的第一密钥以及可能存在的其它参数进行多播数据包的处理。其中，G-RNTI以及其它多播配置参数(参见步骤S101中的第一多播配置参数集)、第一时刻信息、和/或第一定时器等参数的实现过程可以参考前述步骤S101中的相关实现过程，此处不再赘述。

此外，在步骤S301的实现过程中，第一消息可以是以单播方式发送的，也可以是以广播或多播方式发送，其中，具体第一消息的发送方式所实现的过程可以参考前述步骤中S101的相关实现过程，此处不再赘述。

S302、终端设备确定第一密钥的时效；

本实施例中，该终端设备在步骤S301之后，可以进一步确定指示第一密钥的时效信息的第一定时器，和/或第一时刻信息，其中，该第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻。例如，该终端设备可以是根据预设在该终端设备内部的时间配置确定，也可以是根据接入网设备发送的消息确定，示例性的，可以是根据步骤S301中承载的第一生效时刻和/或第一定时器确定，关于第一密钥的生效时刻、第一密钥的有效持续时间这两个角度实现第一密钥时效的确定过程可以参考前述步骤S101中的相关确定过程，此处不再赘述。

S303、终端设备向接入网设备发送第一请求消息；

本实施例中，终端设备向该接入网设备发送第一请求消息，相应的，接入网设备在步骤S303中接收来自终端设备的第一请求消息，该第一请求消息用于请求该第一密钥的更新信息。其中，终端设备可以根据步骤S302中的第一密钥的时效确定需要第一密钥的更新信息时，向接入网设备发送第一请求消息，此后，接入网设备响应于该第一请求消息执行步骤304。

其中，对于终端设备来说，终端设备向接入网设备发送第一请求消息用于请求该第一密钥的更新信息，即终端设备主动查询第一密钥的更新信息的方式可以确保终端设备中保持最新的密钥配置，避免因密钥未及时更新而产生无法处理多播数据包的情况。相应的，对于接入网设备来说，接入网设备后续可以根据该第一请求消息触发执行获取第一密钥的更新信息的过程，无需另行配置第一密钥的更新策略，可以进一步节省接入网设备的信令消耗。

其中，步骤S302和步骤S303为可选步骤。

S304、接入网设备确定更新第一密钥；

本实施例中，在步骤S301之后，在步骤S304中，接入网设备可以根据预设的条件来确定是否需要更新该第一密钥，该确定过程有多种实现，例如可以是接入网设备确定对应于第一密钥的第一定时器超时；或者，接入网设备根据步骤S303中来自该终端设备的第一请求消息确定需要更新该第一密钥，该第一请求消息用于请求该第一密钥的更新信息，接入网进一步根据该第一请求消息去查询确定需要更新该第一密钥；或者，接入网设备根据来自核心网设备的该第一配置确定需要更新该第一密钥，或者，接入网设备确定多播组中有某个终端设备离开该群组，为了防止密钥泄露，统一更新第一密钥。即该接入网设备可以针对不同的使用场景进行灵活处理，通过多种方式来确定需要更新该第一密钥，实现多播密钥的及时更新，从而提升通信的安全性。

S305、接入网设备以多播方式向终端设备发送使用第一密钥加密后的第一配置；

本实施例中，接入网设备以多播方式发送使用第一密钥加密后的第一配置，相应的，终端设备在步骤S305中以多播方式接收来自接入网设备的使用第一密钥加密后的第一配置。接入网设备在步骤S304确定需要更新第一密钥的时候，获取用于更新第一密钥的第一配置，此后，接入网设备对该第一配置进行加密、加扰处理后以多播方式发送至接入网设备。其中，加密过程可以是使用步骤S301中的第一密钥直接加密，加扰过程可以是使用步骤S301中的G-RNTI加扰承载该第一配置的消息(例如DCI消息)实现，也可以是预设RNTI加扰承载该第一配置的消息实现。具体来说，预设RNTI可以是接入网设备预先与终端设备对齐的预设RNTI，例如该接入网设备预先与该终端设备通信过程中，接入网设备为指定类型的终端设备所分配的预设RNTI，或者是接入网设备根据核心网设备的指示确定该预设RNTI，例如运营服务商预设于该终端设备中存储模块的预设RNTI，如预设在终端设备中SIM、USIM、ISIM、嵌eSIM或者是其他如电子签名认证、电子钱包等。

此外，该第一配置可以是直接用于替换该第一密钥的第二密钥、也可以是用于更新第一密钥的更新策略(例如NH、NCC或者其他参数，利用相关参数推导出更新的第二密钥)、还可以是其他方式，此处不做限定。

S306、终端设备根据第一配置更新第一密钥；

本实施例中，终端设备根据步骤S305中的第一配置对第一密钥进行更新，得到第二密钥。具体地，第一配置还可以承载用于指示对应于第二密钥的第二定时器，和/或第二时刻信息，其中，该第二定时器用于指示该第二密钥的有效持续时间，该第一时刻信息用于指示该第二密钥的生效起始时刻，其中，第二定时器及第二时刻信息的实现可以参考前述步骤S101中的第一定时器及第一时刻信息的相关实现过程，此处不再赘述。

其中，图7对应实施例中，接入网设备和终端设备所执行相关步骤的过程还可以通过前述图5实施例对应的过程实现，此处不再赘述。

本实施例中，可以适用于处于连接态的终端设备，接入网设备通过多播方式发送第一密钥加密后的第一配置的应用场景中，其中，接入网设备通过多播方式向终端设备发送用于更新第一密钥的第一配置，当终端设备的数量为多个时，通过一次发送过程就可以实现多个终端设备中密钥的更新，与现有技术相比，节省接入网设备为各个终端设备进行一一单播发送更新消息带来的信令开销，节省为各个UE一一单播发送更新消息带来的信令开销，优化接入网设备的处理，批量实现更新，提高通信效率。

实施例四

图8为本申请实施例四提供的又一种密钥的传输方法的流程示意图，如图8所示，包括：

S401、接入网设备向终端设备发送第一消息；

本实施例中，接入网设备向终端设备发送第一消息，相应的，终端设备在步骤S401中接收来自接入网设备的第一消息，其中，第一消息除了包括用于加密多播数据包的第一密钥之外，可选地，还可以进一步包括G-RNTI以及其它多播配置参数(具体可以包括步骤S301中的第一多播配置参数集)、第一生效时刻、和/或第一定时器中的一项或多项。此后，终端设备使用该第一消息中所承载的第一密钥以及可能存在的其它参数进行多播数据包的处理。其中，G-RNTI以及其它多播配置参数(参见步骤S101中的第一多播配置参数集)、第一时刻信息、和/或第一定时器等参数的实现过程可以参考前述步骤S101中的相关实现过程，此处不再赘述。此外，在步骤S401的实现过程中，第一消息可以是以单播方式发送的，也可以是以广播方式发送，其中，具体第一消息的发送方式所实现的过程可以参考前述步骤中S101的相关实现过程，此处不再赘述。

此外，该第一消息除了包括用于加密多播数据包的第一密钥之外，还可以承载第三密钥，其中，第三密钥不同于该第一密钥，后续在第一密钥存在更新的时候，接入网可以使用该第三密钥对第一密钥的更新信息进行加密。可选地，在方案的实现过程中，接入网设备还可以通过该第一消息或者是其它的消息向该终端设备发送第三时刻信息和/或第三定时器，其中，该第三定时器用于指示该第三密钥的有效持续时间，该第三时刻信息用于指示该第三密钥的生效起始时刻，其中，第三定时器及第三时刻信息的实现可以参考前述步骤S101中第一定时器及第一时刻信息的相关实现过程，此处不再赘述。

其中，该第一消息可以承载该第三密钥，相比于用于加密多播数据包的第一密钥，该第三密钥用于加密多播密钥的更新信息，相比于实施例三中使用第一密钥加密多播密钥的更新信息的过程，在实施例四中，接入网设备可以另设第三密钥实现加密多播密钥的更新信息过程。

S402、接入网设备确定第三密钥存在更新；

本实施例中，接入网设备可以根据预设的条件来确定第三密钥是否存在更新，确定方式有多种实现，例如，可以是接入网设备确定对应于第三密钥的第三定时器超时；或者，接入网设备根据来自该终端设备的第二请求消息确定需要更新该第三密钥，该第二请求消息用于请求该第三密钥的更新信息，接入网进一步根据该第二请求消息去查询确定需要更新该第三密钥；或者，接入网设备确定多播组中有某个终端设备离开该群组，为了防止密钥泄露，统一更新第三密钥。即该接入网设备可以针对不同的使用场景进行灵活处理，通过多种方式来确定需要更新该第三密钥，使得本实施例可以适应于多种应用场景。

S403、接入网设备向终端设备发送第二配置；

本实施例中，接入网设备向终端设备发送第二配置，相应的，终端设备在步骤S403中接收来自接入网设备的第二配置。当接入网设备在步骤S402中确定需要更新第三密钥时，该接入网设备向该终端设备发送第二配置，其中，第二配置包括该第三密钥的更新信息，用于将该第三密钥进行更新，得到更新后的第三密钥。其中，第二配置还可以承载用于指示对应于更新后的第三密钥的第四定时器，和/或第四时刻信息，其中，该第四定时器用于指示该更新后的第三密钥的有效持续时间，该第四时刻信息用于指示该更新后的第三密钥的生效起始时刻，其中，第四定时器及第四时刻信息的实现可以参考前述第一定时器及第一时刻信息的相关实现过程，此处不再赘述。

此外，该第二配置可以是直接用于替换该第三密钥的密钥信息、也可以是用于更新第三密钥的更新策略(例如NH、NCC或者其他参数，利用相关参数推导出更新后的第三密钥)、还可以是其他方式，此处不做限定。

其中，步骤S402和步骤S403为可选的执行步骤。

S404、终端设备确定第一密钥的时效；

S405、终端设备向接入网设备发送第一请求消息；

本实施例中，终端设备向接入网设备发送第一请求消息，相应的，接入网设备在步骤S405中在步骤S405中接收来自终端设备的第一请求消息。其中，步骤S404和步骤S405的实现过程可以参考前述步骤S302和S303的相关实现过程，此处不再赘述。

其中，步骤S404和步骤S405为可选步骤。

S406、接入网设备确定更新第一密钥；

本实施例中，步骤S406的实现过程可以参考前述步骤S304的相关实现过程，此处不再赘述。

S407、接入网设备以多播方式向终端设备发送使用第三密钥加密后的第一配置；

本实施例中，接入网设备以多播方式发送使用第三密钥加密后的第一配置，相应的，终端设备在步骤S407中以多播方式接收来自接入网设备的第三密钥加密后的第一配置。接入网设备在步骤S304确定需要更新第一密钥的时候，获取用于更新第一密钥的第一配置，此后，接入网设备对该第一配置进行加密、加扰处理后以多播方式发送至接入网设备。其中，加密过程可以是使用步骤S401中的第三密钥加密，或者是，当接入网设备执行步骤S403即步骤S404时，加密过程可以是使用步骤S404中的更新后的第三密钥加密。

此外，加扰过程可以是使用步骤S301中的G-RNTI加扰承载该第一配置的消息(例如DCI消息)实现，也可以是预设RNTI加扰承载该第一配置的消息实现。具体来说，预设RNTI可以是接入网设备预先与终端设备对齐的预设RNTI，例如该接入网设备预先与该终端设备通信过程中，接入网设备为指定类型的终端设备所分配的预设RNTI，或者是接入网设备根据核心网设备的指示确定该预设RNTI，例如运营服务商预设于该终端设备中存储模块的预设RNTI，如预设在终端设备中SIM、USIM、ISIM、嵌eSIM或者是其他如电子签名认证、电子钱包等。

S408、终端设备根据第一配置更新第一密钥；

本实施例中，步骤S408的实现过程可以参考前述步骤S306的相关实现过程，此处不再赘述。

其中，图8对应实施例中，接入网设备和终端设备所执行相关步骤的过程还可以通过前述图5实施例对应的过程实现，此处不再赘述。

本实施例中，可以适用于处于连接态的终端设备，接入网设备多播发送第三密钥加密后的第一配置的应用场景中，其中，与图7对应实施例相比，区别在于：在步骤S401中，第一消息还承载第三密钥，此后，接入网设备在步骤S407发送用于更新第一密钥的第一配置时，是使用该第三密钥进行加密的。此外，为了加强数据传输的安全性，接入网设备可以另设步骤S403和步骤S404来实现对第三密钥的更新过程。相比于图7对应的实施例，提供了新的密钥发送及更新机制，而且区分正常工作使用的第一密钥和组更新时使用的第三密钥，两套密钥之间更新也是互不影响的，通过不同配置使得用于组更新的第三密钥更安全。

实施例五

图9为本申请实施例五提供的又一种密钥的传输方法的流程示意图，如图9所示，包括：

S501、接入网设备向终端设备发送第一消息；

本实施例中，接入网设备向终端设备发送第一消息，相应的，在步骤S501中终端设备接收来自接入网设备的第一消息。

S502、终端设备确定第一密钥的时效；

S503、终端设备向接入网设备发送第一请求消息；

本实施例中，终端设备向接入网设备发送第一请求消息，相应的，接入网设备在步骤S503中接收来自终端设备的第一请求消息。

S504、接入网设备确定更新第一密钥；

本实施例中，步骤S501至步骤S504的实现过程可以参考前述图7对应实施例中步骤S301至步骤S304的相关实现过程，此处不再赘述。

S505、接入网设备以单播方式向终端设备发送使用第一密钥加密后的第一配置；

本实施例中，接入网设备以单播方式发送使用第一密钥加密后的第一配置，相应的，终端设备在步骤S505中以单播方式接收来自接入网设备的使用第一密钥加密后的第一配置。接入网设备使用步骤S501中第一消息中承载的第一密钥对该第一配置进行加密处理。此外，该第一配置具体是以单播方式发送的，以单播方式发送指的是接入网设备与终端设备已建立RRC连接之后，基于该RRC连接的链路进行发送的方式，其中，第一消息在单播发送过程的具体实现可以是RRC消息、MAC CE消息、PDCCH消息，或者是其它类型的单播消息，此处不做限定。其中，第一配置还可以承载用于指示对应于第二密钥的第二定时器，和/或第二时刻信息，其中，该第二定时器用于指示该第二密钥的有效持续时间，该第一时刻信息用于指示该第二密钥的生效起始时刻，其中，第二定时器及第二时刻信息的实现可以参考前述第一定时器及第一时刻信息的相关实现过程，此处不再赘述。

S506、终端设备根据第一配置更新第一密钥；

本实施例中，步骤S506的实现过程可以参考前述步骤S306的相关实现过程，此处不再赘述。

其中，图9对应实施例中，接入网设备和终端设备所执行相关步骤的过程还可以通过前述图6实施例对应的过程实现，此处不再赘述。

本实施例中，可以适用于处于连接态的终端设备，接入网设备单播发送第一密钥加密后的第一配置的应用场景中，与图7对应实施例相比，区别在于：在步骤S505中，接入网设备是使用单播方式发送第一配置，而不是步骤S305中使用多播方式发送，相比之下，通过单播方式发送第一配置的过程可以提高数据传输过程中的安全性，并且对于终端设备离开多播群组的情况来说，相比于图7对应的实施例，可以防止存在终端设备退出多播群组的情况而造成的初始的第一密钥的泄露的风险。

实施例六

图10为本申请实施例六提供的又一种密钥的传输方法的流程示意图，如图10所示，包括：

S601、核心网设备向接入网设备发送第一多播配置和第一安全配置容器(security Config container)；

本实施例中，核心网设备向接入网设备发送第一多播配置和第一安全配置容器，相应的，接入网设备在步骤S601中接收来自核心网设备的第一多播配置和第一安全配置容器。其中，所述第一安全配置容器可以用于传输安全配置相关的参数，例如传输加密密钥、传输安全算法、传输数字证书等，或者是传输其它安全配置相关的参数。核心网设备可以通过与接入网设备之间的第一接口向该接入网设备发送第一多播配置和第一安全配置容器，在发送过程中，该第一多播配置和第一安全配置容器这两个信息可以相互独立发送，该第一多播配置和第一安全配置容器这两个信息也可以是相互包含的关系发送，例如发送包含有第一多播配置的第一安全配置容器，或者是发送包含有第一安全配置容器的第一多播配置，此处不做限定。其中，第一接口可以是N2接口、或者是S1接口，也可以是其他名称的接口，本实施例不做限制。此处以该接口为N2接口为例进行说明：S601步骤中的发送方式包括：

方式1：核心网设备通过一条N2消息向接入网设备发送第一多播配置，其中，第一多播配置包括第一安全配置容器，即该第一安全配置容器可以作为第一多播配置的部分信息而包含于该第一多播配置；

方式2：核心网设备通过多条N2消息分别向接入网设备发送第一多播配置和第一安全配置容器，即第一安全配置容器和第一多播配置通过不同的N2消息承载；

方式3：核心网设备通过一条N2消息向接入网设备发送第一多播配置和第一安全配置容器，其中，第一安全配置容器和该第一安全配置作为两个不同的信元通过同一条N2消息承载。

具体地，接入网设备接收核心网设备发送承载第一多播配置和第一安全配置容器的N2消息，该第一多播配置和第一安全配置容器的实现过程中：

1)第一安全配置容器可以包括第一密钥，或者，该第一安全配置容器可以包括用于确定第一密钥的参数，其中，用于确定第一密钥的参数可以包括NH、NCC或者是其它相关参数，使得接入网设备(或者是终端设备)得到第一安全配置容器中用于确定第一密钥的参数之后，可以利用相关参数推导出第一密钥；

2)第一多播配置包括第一密钥的相关配置。其中，该第一密钥的相关配置可以包括：第一密钥的第一定时器，和/或第一时刻信息，其中，该第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻；此外，该第一密钥的相关配置还可以包括：第一密钥的第一配置信息集合，该第一配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：多播业务标识、G-RNTI、BWP指示信息、PDSCH加扰序列、DRX、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示等。

上述参数的具体实现过程可以参考前述步骤S101、步骤S102中的相关实现过程，此处不再赘述，在该第一多播配置中还可以承载关联于第一密钥的其它参数，此处不做限定。

S602、接入网设备向终端设备发送第一消息；

本实施例中，接入网设备向终端设备发送第一消息，相应的，终端设备在步骤S602中接收来自接入网设备的第一消息。接入网设备根据步骤S601中得到的第一多播配置和第一安全配置容器确定向终端设备发送第一消息。

其中，根据步骤S601中的N2消息中承载的不同的第一多播配置和第一安全配置容器的实现方式，接入网设备在步骤S602中可以存在不同的处理过程：

1)对于第一安全配置容器来说，当第一安全配置容器包括第一密钥时，接入网设备可以转发核心网的第一安全配置容器中承载的第一密钥，将第一密钥承载在终端设备和接入网设备之间通信的信令(简称空口信令)的第一消息中，终端设备在得到第一消息之后，可以通过该第一消息直接读取得到第一密钥；

当第一安全配置容器包括用于确定第一密钥的参数时，接入网设备可以转发核心网的第一安全配置容器中承载的用于确定第一密钥的参数，将用于确定第一密钥的参数承载在终端设备和接入网设备之间通信的信令(简称空口信令)的第一消息中，终端设备在得到第一消息之后，可以通过该第一消息所承载的用于确定第一密钥的参数进行推导得到第一密钥。

2)对于第一多播配置来说，接入网设备可以转发核心网的第一安全配置容器中承载的第一多播配置，将第一多播配置承载在终端设备和接入网设备之间通信的信令(简称空口信令)的第一消息中，终端设备在得到第一消息之后，可以通过该第一消息直接读取得到第一多播配置。

本实施例中，步骤S602中接入网设备向终端设备发送第一消息的实现过程，可以参考前述图5对应实施例中步骤S101和步骤S102的相关实现过程(或前述图6对应实施例中步骤S201和步骤S202)，此处不再赘述。

S603、核心网设备向接入网设备发送第二多播配置和第二安全配置容器(security Config container)。

本实施例中，核心网设备向接入网设备发送第二多播配置和第二安全配置容器，相应的，接入网设备在步骤S603中接收来自核心网设备的第二多播配置和第二安全配置容器。核心网设备可以通过与接入网设备之间的第一接口向该接入网设备发送第一多播配置和第一安全配置容器，其中，第一接口可以是N2接口、或者是S1接口，也可以是其他名称的接口，本实施例不做限制。此处以该接口为N2接口为例进行说明，具体通过N2消息向接入网设备发送第二多播配置和第二安全配置容器的过程可以参考步骤S601中发送第一多播配置和第一安全配置容器(security Config container)的相关实现过程，此处不再赘述。

具体地，接入网设备接收核心网设备发送承载第二多播配置和第二安全配置容器的N2消息，该第二多播配置和第二安全配置容器的实现过程中：

1)第二安全配置容器可以包括第二密钥，或者，该第二安全配置容器可以包括用于确定第二密钥的参数，其中，用于确定第二密钥的参数可以包括NH、NCC或者是其它相关参数，使得接入网设备(或者是终端设备)得到第二安全配置容器中用于确定第二密钥的参数之后，可以利用相关参数推导出第二密钥；

2)第二多播配置包括第二密钥的相关配置。其中，该第二密钥的相关配置可以包括：第二密钥的第二定时器，和/或第二时刻信息，其中，该第二定时器用于指示该第二密钥的有效持续时间，该第二时刻信息用于指示该第二密钥的生效起始时刻；此外，该第二密钥的相关配置还可以包括：第二密钥的第二配置信息集合，该第二配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：多播业务标识、G-RNTI、BWP指示信息、PDSCH加扰序列、DRX、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示等。其中，第二配置信息集合为第一配置信息集合的子集，第二配置信息集合与第一配置信息集合的关联关系可以参考前述实施例中步骤S102中的相关实现过程，此处不再赘述。

上述参数的具体实现过程可以参考前述步骤S101、步骤S102中的相关实现过程，此处不再赘述，在该第二多播配置中还可以承载关联于第二密钥的其它参数，此处不做限定。

S604、接入网设备向终端设备发送第一配置；

本实施例中，接入网设备向终端设备发送第一配置，相应的，终端设备在步骤S604中接收来自接入网设备的第一配置。接入网设备根据步骤S603中得到的第二多播配置和第二安全配置容器确定向终端设备发送第一配置。

其中，根据步骤S603中的N2消息中承载的不同的第二多播配置和第二安全配置容器的实现方式，接入网设备可以存在不同的处理过程，包括：

1)对于第二安全配置容器来说，当第二安全配置容器包括第二密钥时，接入网设备可以转发核心网的第二安全配置容器中承载的第二密钥，将第二密钥承载在终端设备和接入网设备之间通信的信令(简称空口信令)的第一配置中，终端设备在得到第一配置之后，可以通过该第一配置直接读取得到第二密钥；

当第二安全配置容器包括用于确定第二密钥的参数时，接入网设备可以转发核心网的第二安全配置容器中承载的用于确定第二密钥的参数，将用于确定第二密钥的参数承载在终端设备和接入网设备之间通信的信令(简称空口信令)的第一配置中，终端设备在得到第一配置之后，可以通过该第一配置所承载的用于确定第二密钥的参数进行推导得到第二密钥。

2)对于第二多播配置来说，接入网设备可以转发核心网的第二安全配置容器中承载的第二多播配置，将第二多播配置承载在终端设备和接入网设备之间通信的信令(简称空口信令)的第一配置中，终端设备在得到第一配置之后，可以通过该第一配置直接读取得到第二多播配置。

本实施例中，步骤S604中接入网设备向终端设备发送第一配置的实现过程，可以参考前述图5对应实施例中步骤S101和步骤S102的相关实现过程(或前述图6对应实施例中步骤S201和步骤S202)，此处不再赘述。

本实施例中，可以适用于核心网设备实现管理多播密钥的应用场景中，相比于图7、图8、图9对应实施例可以是接入网设备自行确定多播密钥的管理实现方式，本实施例中是通过核心网设备(例如，AMF、UPF或者其它核心网设备)来实现多播密钥的管理。由于多播密钥管理在核心网设备中,第一密钥以及用于更新第一密钥的第一配置可作为多播上下文multicast context，由核心网设备发给接入网设备。通过核心网设备实现多播密钥管理，改进核心网设备与接入网设备之间信令交互，减少接入网设备对多播密钥管理所涉及的存储及交互的信令消耗。

实施例七

图11为本申请实施例七提供的又一种密钥的传输方法的流程示意图，如图11所示，包括：

S701、终端设备确定需要获取多播配置；

本实施例中，如果该终端设备未处于RRC连接态，如该终端设备处于RRC非激活态或者是RRC空闲态时，此时，当终端设备确定需要多播配置时，终端设备通过步骤702发起RRC连接建立过程或RRC连接恢复过程进入RRC连接态。

该终端设备确定需要多播配置的方式包括以下至少一种：

S702、终端设备发起RRC连接建立过程或RRC连接恢复过程；

本实施例中，在步骤S701中若终端设备确定需要获取多播配置时，则该终端设备可以进入连接态来获取多播配置，具体在步骤S702的实现过程中，终端设备可以通过发起RRC连接建立过程或RRC连接恢复过程进入RRC连接态。可选地，终端设备可以在该过程中向接入网设备发送的RRC连接请求消息或者是RRC连接恢复请求消息承载特定标识，该特定标识用于指示该终端设备需要多播配置。

S703、接入网设备以单播方式向终端设备发送第一消息；

本实施例中，接入网设备以单播方式向终端设备发送第一消息，相应的，终端设备在步骤S703中以单播方式接收来自接入网设备的第一消息。接入网设备可以向指定的终端设备以单播方式发送该第一消息，其中，指定的终端设备可以是接入网设备根据核心网设备的指示确定，也可以是该接入网设备根据自身配置确定，还可以是接入网设备根据终端设备发送的RRC连接请求消息或者是RRC连接恢复请求消息中承载的特定标识确定，其中，该特定标识用于指示该终端设备需要多播配置，还可以是其它方式确定，此处不做限定。

其中，以单播方式发送指的是接入网设备与终端设备已建立RRC连接之后，基于该RRC连接的链路进行发送的方式，其中，第一消息在单播发送过程的具体实现可以是RRC消息、MAC CE消息、PDCCH消息，或者是其它类型的单播消息，此处不做限定。

其中，该第一消息具体可以包括第一密钥，该第一密钥用于加密多播数据包，即终端设备后续可以根据第一密钥对接收到的来自于接入网设备的多播数据包进行解密处理，具体在该第一消息还可以承载关联于该第一密钥的其他参数，包括：

1)对应于第一密钥的第一定时器，和/或第一时刻信息，其中，该第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻；

2)关联于第一密钥的第一配置信息集合，该第一配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：多播业务标识、G-RNTI、BWP指示信息、PDSCH加扰序列、DRX、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示等；

上述参数的具体实现过程可以参考前述步骤S101、步骤S102中的相关实现过程，此处不再赘述。

S704、终端设备确定第一密钥的时效；

本实施例中，步骤S704的实现过程可以参考前述步骤S301的相关实现过程，此处不再赘述。

S705、接入网设备向终端设备发送第一指示；

本实施例中，接入网设备向终端设备发送第一指示，相应的，终端设备在步骤S705中接收来自接入网设备的第一指示。终端设备在步骤S703得到第一消息之后，该终端设备可以根据接入网设备发送第一指示退出连接态，但不释放第一配置信息集合和第一密钥；继续使用该第一配置信息集合和该第一密钥接收该多播数据包。具体地：

如果第一指示承载在接入网设备将终端设备从RRC连接态转移到RRC非激活态的消息中，则当终端设备收到第一指示后，终端设备进入RRC非激活态，但不释放第一配置信息集合和第一密钥，以便后续终端设备可以使用该第一配置信息集合和第一密钥接收该多播数据包，也就是说，终端设备可以在RRC非激活态中使用该第一密钥对通过该第一配置信息集合接收到的多播数据包进行解密，得到多播数据。

如果第一指示承载在接入网设备将终端设备从RRC连接态转移到RRC空闲态的消息中，则当终端设备收到第一指示后，终端设备进入RRC空闲态，但不释放第一配置信息集合和第一密钥，以便后续可以使用该第一配置信息集合和第一密钥接收该多播数据包，也就是说，终端设备可以在RRC空闲态中使用该第一密钥对通过该第一配置信息集合接收到的多播数据包进行解密，得到多播数据。

具体地，对于该终端设备也可以是基于接入网设备发送的第一指示退出连接态的方式来说，接入网设备可以进一步向该终端设备发送第一指示，该第一指示用于指示该终端设备进入RRC空闲态或者RRC非激活态，不释放该第一配置信息集合和该第一密钥(或挂起第一配置信息集合和该第一密钥维持其仍然有效)，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包。其中，第一指示可以承载于步骤S703中的第一消息中，也可以是通过其它的RRC消息发送至终端设备，例如RRC释放消息、RRC连接释放消息、RRC恢复消息，RRC连接恢复消息等。由于多播数据包(包括多播方式发送的第一配置)的接收并不依赖于终端设备与接入网设备之间的RRC连接，为了使得终端设备在退出RRC连接态时，即终端设备处于RRC空闲态或者RRC非激活态也可以实现多播数据的接收，接入网设备可以通过第一指示，使得终端设备根据该第一指示进入无线资源控制RRC空闲态或者RRC非激活态，同时不释放该第一配置信息集合和该第一密钥，继续使用该第一配置信息集合和该第一密钥接收该多播数据包，从而，使得后续该终端设备与接入网设备之间无需建立RRC连接即可实现多播数据包(包括多播方式发送的第一配置)的接收，进一步节省接入网设备与终端设备之间的信令消耗。

其中，终端设备还可以基于其自身降低电耗和/或提升性能等配置策略自行确定退出连接态，或者是通过其它方式来确定退出连接态，在本发明中不做限制。当终端设备确定退出连接态时该终端设备向接入网设备发送第三指示，该第三指示用于指示该终端设备自行确定退出连接态，或者第三指示用于请求释放RRC连接，或者所述第三指示用于请求暂停RRC连接，或者第三指示接入网设备该终端设备请求退出连接态。其中，所述第三指示可以承载在RRC消息中，所述RRC消息可为RRC连接请求消息或RRC连接暂停消息或其他RRC消息，本发明中不做限制。其中，该第三指示用于向接入网设备指示该终端设备自行确定退出连接态，使得接入网设备和终端设备可以对齐该终端设备的状态，使得该接入网设备在退出连接态之后，在空闲态或者是非激活态仍然可以使用该第一消息实现接收来自接入网设备的多播数据包。

S706、接入网设备确定更新第一密钥；

S707、接入网设备以多播方式向终端设备发送第一配置；

本实施例中，接入网设备以多播方式向终端设备发送第一配置，相应的，终端设备在步骤S707中以多播方式接收来自接入网设备的第一配置。

S708、终端设备根据第一配置更新第一密钥；

本实施例中，步骤S706至步骤S708的实现过程可以参考前述图7对应步骤S304至步骤S306的相关实现过程，此处不再赘述。

其中，图11对应实施例中，接入网设备和终端设备所执行相关步骤的过程还可以参考前述图5实施例对应的相关过程实现，此处不再赘述。

本实施例中，可以适用于处于空闲态或者是非激活态的终端设备、接入网设备多播发送第一密钥加密后的第一配置的应用场景中，与图7对应实施例相比，区别在于：在步骤701和步骤702中，终端设备原本处于空闲态或者非激活态，在确定需要获取多播配置时才会进入连接态执行步骤S703和步骤S704接收第一消息的过程。此外，在步骤S705中，终端设备还可以根据接入网设备的第一指示退出连接态，也就是说，如果接入网设备当前的多播的终端设备个数较多时，接入网设备可以让部分终端设备退出连接态，但是不释放多播配置信息(包括第一多播配置参数集)、多播密钥信息(包括第一密钥、第一配置等)，即让UE在空闲态或者非激活态接收多播数据包。相比于图7对应实施例，可以实现空闲态或者非激活态的终端设备也能接收第一密钥、以及用于更新第一密钥的第一配置。

实施例八

图12为本申请实施例八提供的又一种密钥的传输方法的流程示意图，如图12所示，包括：

S801、终端设备确定需要获取多播配置；

S802、终端设备发起RRC连接建立过程或RRC连接恢复过程；

本实施例中，步骤S801和步骤S802的实现过程可以参考前述图11中步骤S701和步骤S702的实现过程，此处不再赘述。

其中，步骤S801和步骤S802适用于处于空闲态或者是非激活态的终端设备主动确定获取多播配置的应用场景，此后终端设备执行步骤S805执行相应的获取多播配置的过程；当该终端设备处于连接态或者是由接入网设备/核心网设备指示处于空闲态或者是非激活态的该终端设备获取多播配置的应用场景时，该步骤S801和步骤S802为可选步骤。

S803、核心网设备确定第一密钥；

本实施例中是通过现有的核心网设备(例如，AMF、UPF或者其它核心网设备)来实现多播密钥的管理，由于多播密钥管理在核心网设备中,因此，当该核心网设备可以按照预设配置规则进行周期性地或者基于终端设备的请求或者基于接入网设备的请求或者基于运营服务商的配置确定出接入网设备以及终端设备关于多播数据包传输的第一密钥，其中，该第一密钥用于加密多播数据包。

S804、核心网设备向接入网设备发送第一多播配置和第一安全配置容器(security Config container)；

本实施例中，核心网设备向接入网设备发送第一多播配置和第一安全配置容器，相应的，接入网设备在步骤S804中接收来自核心网设备的第一多播配置和第一安全配置容器。

S805、接入网设备以单播方式向终端设备发送第一消息；

本实施例中，接入网设备以单播方式向终端设备发送第一消息，相应的，终端设备在步骤S805中以单播方式接收来自接入网设备的第一消息。步骤S804和步骤S805的实现过程可以参考前述步骤S601和步骤S602的相关实现过程，此处不再赘述。

S806、终端设备确定第一密钥的时效；

S807、终端设备退出连接态；

本实施例中，步骤S806和步骤S807可以参考前述图11中步骤S704和步骤S705的相关实现过程，此处不再赘述。

S808、核心网设备确定需要更新第一密钥；

本实施例中，由于多播密钥管理在核心网设备中,因此，当该核心网设备可以按照预设配置规则进行周期性地或者基于终端设备的请求或者基于接入网设备的请求或者基于运营服务商的配置确定需要更新第一密钥。

S809、核心网设备向终端设备发送承载密钥更新指示的寻呼消息；

本实施例中，核心网设备向终端设备发送承载密钥更新指示的寻呼消息，相应的，终端设备在步骤S809中接收来自核心网设备的承载密钥更新指示的寻呼消息。当该核心网设备确定存在第一密钥的终端设备的连接状态为空闲态或者是非激活态时，该核心网设备向该终端设备发送承载密钥更新指示的寻呼消息，此后，该终端设备可以基于该寻呼消息建立RRC连接进入连接态。其中，在该终端设备建立RRC连接的过程中，终端设备可以通过发起RRC连接建立过程或RRC连接恢复过程进入RRC连接态，具体可以在终端设备向接入网设备发送的RRC连接建立请求消息或者是RRC连接恢复请求消息中，承载需要获取第一密钥的更新信息的指示，或者是承载特定的cause值，用于指示当前RRC连接建立请求或RRC连接恢复请求用于获取第一密钥的更新信息。

此外，当该核心网设备确定存在第一密钥的终端设备的连接状态连接态时，核心网设备可以不执行步骤S809，直接执行后续步骤S810。

S810、核心网设备向接入网设备发送第二多播配置和第二安全配置容器(security Config container)；

本实施例中，核心网设备向接入网设备发送第二多播配置和第二安全配置容器，相应的，接入网设备在步骤S810中接收来自核心网设备的第二多播配置和第二安全配置容器。

S811、接入网设备向终端设备发送第一配置；

本实施例中，接入网设备向终端设备发送第一配置，相应的，终端设备在步骤S811中接收来自接入网设备的第一配置。步骤S810和步骤S811的实现过程可以参考前述步骤S603和步骤S604的相关实现过程，此处不再赘述。

S812、终端设备根据第一配置更新第一密钥；

本实施例中，步骤S812的实现过程可以参考前述图9中步骤S506中的相关实现过程，此处不再赘述。

其中，图12对应实施例中，接入网设备和终端设备所执行相关步骤的过程还可以参考前述图6实施例对应的相关过程实现，此处不再赘述。

本实施例中，可以适用于对于处于空闲态或者是非激活态的终端设备、接入网设备单播发送第一密钥加密后的第一配置的应用场景中，相比于图11对应实施例，由接入网设备管理密钥的方式调整为使用核心网设备管理密钥的方式，并且在步骤S809至步骤S811中，通过寻呼消息使得终端设备进入连接态，并且在连接态下使用单播方式接收来自接入网设备转发的第一配置，相比于图11对应实施例，使得处于空闲态或者非激活态的终端设备也可以接收第一密钥、以及用于更新第一密钥的第一配置之外，通过单播方式发送第一配置的过程进一步提升数据传输的安全性。

实施例九

图13为本申请实施例九提供的又一种密钥的传输方法的流程示意图，如图13所示，包括：

S901、接入网设备向终端设备发送加密的广播消息；

本实施例中，接入网设备向终端设备发送加密的广播消息，相应的，终端设备在步骤S901中接收来自接入网设备加密的广播消息。接入网设备向终端设备发送使用第四密钥加密的广播消息，其中，该广播消息包括第一密钥，第一密钥用于接入网设备加密多播数据包，对应地，终端设备可以根据第一密钥对来自于接入网设备的多播数据包进行解密处理。

可选地，所述广播消息中除了可以承载该第一密钥之外，还可以承载其它关联于该第一密钥的参数，包括：

可选地，该第四密钥可以是终端设备中预配置的，或者是从接入网设备或者从核心网设备获取的。例如，在一种实现方式中，第四密钥可以是预存于特定的终端设备中的密钥，使得终端设备可以获取第四密钥，该接入网设备根据核心网设备的指示确定该第四密钥，例如运营服务商预设于该终端设备中存储模块的第四密钥，如预设在终端设备中SIM、USIM、ISIM，eSIM或者是其他如电子签名认证、电子钱包等，后续接入网设备可以根据该运营服务商对应的核心网设备所下发的指示确定出用于广播第一消息的第四密钥。在另一种实现方式中，终端设备可以从接入网设备或核心网设备获取第四密钥，接入网设备与终端设备使用的第四密钥是对齐的。例如，终端设备接收接入网设备发送的第四密钥，或终端设备接收核心网设备发送的密钥。

相应地，在步骤901中，具备该第四密钥的特定的终端设备可以根据该第四密钥解密广播消息得到第一密钥，而不具备该第四密钥的终端设备则无法完整解密该广播消息，当终端设备无法解密该广播消息时，可以丢弃/忽略该广播消息。

S902、终端设备处理来自接入网设备的广播消息。

本实施例中，在步骤S901中终端设备接收到加密的广播消息，对加密的广播消息进行处理，如果解密成功，终端设备将解密后的广播消息递交上层，如果解密失败，终端设备可以丢弃或忽略该广播消息。

可选地，终端设备对加密的广播消息进行处理之前，还包括，终端设备确定是否有可用的第四密钥，如果有，终端设备可以使用第四密钥对接收的广播消息进行解密；如果没有可用的第四密钥，终端设备可以丢弃或忽略该广播消息；或者终端设备使用任意可用的密钥尝试对接收的广播消息进行解密，如果解密失败，终端设备可以丢弃或忽略该广播消息。可选地，在上述解密失败时，终端设备除了可以丢弃或忽略该广播消息外，终端设备还可以向上层指示解密出错，即终端设备可以指示上层对加密的广播消息处理失败。示例性的，如图2所示，终端设备内部中存在多个协议层，具体可以包括服务数据适配协议(Service Data Adaptation Protocol，SDAP)、PDCP、无线链路层控制协议(Radio Link Control，RLC)、媒体介入控制层(Media Access Control，MAC)、物理层(physical，PHY)等中的多个协议层，其中，终端设备将解密后的广播消息递交上层以及终端设备向上层指示解密出错的过程，具体可以在终端设备内部中的多个协议层之间的信息交互实现。

此外，当终端设备中存在该第四密钥时，该终端设备使用该第四密钥对步骤S901中得到的广播消息进行解密，若解密成功，则确定该终端设备为已授权的终端设备，后续该终端设备可以使用该广播消息所承载的第一消息实现多播数据包的接收，若解密失败，则确定该终端设备不是已授权的终端设备，则该终端设备可以丢弃/忽略该广播消息。其中，已授权的终端设备可以是该接入网设备预先与该终端设备通信过程中，接入网设备按照预设于该接入网设备的预设规则或者核心网设备的指示所指定的终端设备，例如当接入网设备后续需要发送的多播数据包是关于本地推广消息(如本地美食信息、本地旅游景点信息等)时可以指定归属地非本地的终端设备为已授权的终端设备；当接入网设备后续需要发送的多播数据包是关于指定人群的广告消息(如运动装备广告、游戏广告)时可以指定注册信息为男性的终端设备为已授权的终端设备，还可以是其它的实现方式，此处不做限定。

其中，图13对应实施例中，接入网设备和终端设备所执行相关步骤的过程具体可以参见前述图5实施例或图6实施例中对应的实现过程，此处不再赘述。

本实施例中，可以适用于对于处于空闲态或者非激活态的终端设备，接入网设备广播发送多播配置的应用场景中，相比于图7至图12对应实施例，通过广播方式发送，广播方式发送指的是数据的发送者“一对所有”接收者的通讯模式，即接入网设备所覆盖范围内的终端设备都可以接收到该广播信息，与该终端设备相关联的第四密钥加密且以广播方式发送的，但是本实施例所要实现的是多播过程，即使得特定的终端设备接收到该第一消息，因此，步骤S901可以通过(特定终端设备才具备的)第四密钥加密该广播消息的方式发送。其中，该第四密钥可以是预存于特定的终端设备中的密钥，因此，步骤S902中，具备该第四密钥的特定的终端设备可以根据该第四密钥解密广播消息得到多播配置信息和多播密钥信息，即确定该终端设备为已授权的终端设备，后续可以使用多播配置信息和多播密钥信息进行多播数据包的处理，而不具备该第四密钥的终端设备则无法完整解密该广播消息，可以丢弃/忽略该广播消息，即确定该终端设备为未授权的终端设备，后续无法使用多播配置信息和多播密钥信息进行多播数据包的处理。其中，第四密钥的实现过程可参考前述步骤S101或步骤S102中的相关实现过程，此处不再赘述。

本实施例中，相比于图7至图12对应实施例，方案简单，可以通过广播消息(例如SIB)统一发送多播配置信息和多播密钥信息，且采用加密的广播消息来承载多播配置信息和多播密钥信息，也可以在一定程度上保证安全性。

上面从方法的角度对本申请实施例进行了说明，下面从具体装置实现的角度对本申请实施例中的通信装置进行介绍。

请参阅图14，本申请实施例提供了一种通信装置1400，具体该通信装置1400可以为密钥的传输装置，该通信装置1400包括：收发单元1401和处理单元1402；

该处理单元1402用于通过该收发单元1401向终端设备发送第一消息，该第一消息包括第一密钥，该第一密钥用于加密多播数据包；

该处理单元1402还用于通过该收发单元1401以多播方式向该终端设备发送第一配置，该第一配置用于更新该第一密钥。

在一种可能的实现方式中，该第一消息还包括第一定时器，和/或第一时刻信息，其中，该第一定时器用于指示该第一密钥的有效持续时间，该第一时刻信息用于指示该第一密钥的生效起始时刻。

在一种可能的实现方式中，该第一消息还包括与该第一密钥相关联的第一配置信息集合，该第一配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：

多播业务标识、组无线网络临时标识G-RNTI、带宽部分BWP指示信息、物理下行共享信道PDSCH加扰序列、非连续接收DRX参数、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示。

在一种可能的实现方式中，该该处理单元1402还用于通过收发单元1401向该终端设备发送第一指示，该第一指示用于指示该终端设备进入无线资源控制RRC空闲态或者RRC非激活态，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包。

在一种可能的实现方式中，该第一配置用于将该第一密钥更新为第二密钥，该第一配置还包括第二配置信息集合，该第二配置信息集合与该第二密钥相关联，该第二配置信息集合是该第一配置信息集合的子集。

在一种可能的实现方式中，该处理单元1402，根据如下之一条件，确定需要更新该第一密钥，包括：

确定该第一定时器超时；

或者，

根据来自该终端设备的第一请求消息确定需要更新该第一密钥，该第一请求消息用于请求该第一密钥的更新信息；

或者，

在一种可能的实现方式中，该第一配置是通过该第一密钥加密的；或

该第一配置是通过与该终端设备相关联的第四密钥加密的。

在一种可能的实现方式中，该第一配置承载于第一下行控制信息，该第一下行控制信息通过组无线网络临时标识G-RNTI加扰，或者通过预设无线网络临时标识RNTI加扰。

在一种可能的实现方式中，该第一消息为RRC消息、媒体接入控制的控制单元MAC CE消息或物理下行控制信道PDCCH消息。

在一种可能的实现方式中，该第一消息是以单播方式发送的；或

在一种可能的实现方式中，该处理单元1402还用于通过该收发单元1401向该终端设备发送该寻呼消息，该寻呼消息包括第二指示，该第二指示用于指示该第一密钥存在更新；

该处理单元，还用于与该终端设备建立RRC连接。

需要说明的是，上述通信装置1400的单元的信息执行过程等内容，具体可参见本申请前述所示的方法实施例中的叙述，此处不再赘述。

请参阅图15，本申请实施例提供了一种通信装置1500，具体该通信装置1500可以为密钥的传输装置，该通信装置1500包括：收发单元1501和处理单元1502；

收发单元1501，用于接收来自接入网设备的第一消息，该第一消息包括第一密钥，该第一密钥用于加密多播数据包；

该收发单元1501，还用于以多播方式接收来自该接入网设备的第一配置，该第一配置用于更新该第一密钥；

处理单元1502，用于根据该第一配置将该第一密钥更新为第二密钥；

该收发单元1501，还用于根据该第二密钥接收来自该接入网设备的该多播数据包。

在一种可能的实现方式中，该收发单元1501还用于：

接收来自接入网设备的第一指示，该第一指示用于指示该终端设备进入无线资源控制RRC空闲态或者RRC非激活态，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包。

在一种可能的实现方式中，该第一配置还包括第二配置信息集合，该第二配置信息集合与该第二密钥相关联，该第二配置信息集合是该第一配置信息集合的子集。

在一种可能的实现方式中，

该收发单元1501，还用于向该接入网设备发送第一请求消息，该第一请求消息用于请求该第一密钥的更新信息。

在一种可能的实现方式中，

该第一配置是通过该第一密钥加密的；或

该第一配置是通过与该终端设备相关联的第四密钥加密的。

在一种可能的实现方式中，该第一配置承载于来自该接入网设备的第一下行控制信息，该第一下行控制信息通过组无线网络临时标识RNTI加扰，或者该第一下行控制信息通过预设无线网络临时标识RNTI加扰。

在一种可能的实现方式中，该处理单元1502还用于：

在确定需要多播配置时，发起RRC连接建立过程或RRC连接恢复过程接收来自该接入网设备的该第一消息。

在一种可能的实现方式中，该处理单元1502具体用于：

根据来自接入网设备的寻呼消息确定需要获取多播配置，该寻呼消息用于指示该第一密钥存在更新；或

确定无可用的多播配置，或

确定对多播业务感兴趣且无对应的多播配置；或

确定该第一定时器超时。

在一种可能的实现方式中，

该第一消息是以单播方式发送的；或

需要说明的是，上述通信装置1500的单元的信息执行过程等内容，具体可参见本申请前述所示的方法实施例中的叙述，此处不再赘述。

请参阅图16，本申请实施例提供了另一种通信装置1600，具体该通信装置1600可以为密钥的传输装置，该通信装置1600包括：收发单元1601和处理单元1602；

该处理单元1602用于通过该收发单元1601向终端设备发送第一消息，该第一消息包括第一密钥以及与该第一密钥相关联的第一配置信息集合，该第一密钥用于加密多播数据包；

该处理单元1602还用于通过该收发单元1601以单播方式向该终端设备发送第一配置，该第一配置用于更新该第一密钥。

在一种可能的实现方式中，该第一配置信息集合包括至少一个多播配置信息，该多播配置信息包括以下至少一种：

在一种可能的实现方式中，该处理单元1602还用于通过该发送单元1601向该终端设备发送第一指示，该第一指示用于指示该终端设备进入无线资源控制RRC空闲态或者RRC非激活态，且继续使用该第一配置信息集合和该第一密钥接收该多播数据包。

在一种可能的实现方式中，该处理单元1602还用于根据如下之一条件，确定需要更新该第一密钥，包括：

确定该第一定时器超时；

或者，

在一种可能的实现方式中，

该第一配置是通过该第一密钥加密的；或

该第一配置是通过与该终端设备相关联的第四密钥加密的。

在一种可能的实现方式中，

该第一消息是以单播方式发送的；或

在一种可能的实现方式中，该处理单元1602还用于通过该发送单元1601向该终端设备发送该寻呼消息，该寻呼消息包括第二指示，该第二指示用于指示该第一密钥存在更新；

该处理单元1602，还用于与该终端设备建立RRC连接。

需要说明的是，上述通信装置1600的单元的信息执行过程等内容，具体可参见本申请前述所示的方法实施例中的叙述，此处不再赘述。

请参阅图17，本申请实施例提供了另一种通信装置1700，具体该通信装置1700可以为密钥的传输装置，该通信装置1700包括：收发单元1701和处理单元1702；

该收发单元1701，用于接收来自接入网设备的第一消息，该第一消息包括第一密钥以及与该第一密钥相关联的第一配置信息集合，该第一密钥用于加密多播数据包，该第一配置信息集合用于接收该多播数据包；

该收发单元1701，还用于以单播方式接收来自该接入网设备的第一配置，该第一配置用于更新该第一密钥；

该处理单元1702，用于根据该第一配置更新将该第一密钥更新为第二密钥；

该收发单元1701，还用于根据该第二密钥接收来自该接入网设备的该多播数据包。

在一种可能的实现方式中，该收发单元1701还用于：

在一种可能的实现方式中，该收发单元1701还用于向该接入网设备发送第一请求消息，该第一请求消息用于请求该第一密钥的更新信息。

在一种可能的实现方式中，

该第一配置是通过该第一密钥加密的；或

该第一配置是通过与该终端设备相关联的第四密钥加密的。

在一种可能的实现方式中，该处理单元1702还用于在确定需要多播配置时，发起RRC连接建立过程或RRC连接恢复过程接收来自该接入网设备的该第一消息。

在一种可能的实现方式中，该处理单元1702还用于：

确定无可用的多播配置，或

确定对多播业务感兴趣且无对应的多播配置；或

确定该第一定时器超时。

在一种可能的实现方式中，

该第一消息是以单播方式发送的；或

需要说明的是，上述通信装置1700的单元的信息执行过程等内容，具体可参见本申请前述所示的方法实施例中的叙述，此处不再赘述。

请参阅图18，为本申请的实施例提供的上述实施例中所涉及的通信装置的结构示意图，其中，该通信装置具体可以为前述实施例中的密钥的传输装置，该通信装置的结构可以参考图18所示的结构。

通信装置包括至少一个处理器1811、至少一个存储器1812、至少一个收发器1813、至少一个网络接口1814和一个或多个天线1815。处理器1811、存储器1812、收发器1813和网络接口1814相连，例如通过总线相连，在本申请实施例中，所述连接可包括各类接口、传输线或总线等，本实施例对此不做限定。天线1815与收发器1813相连。网络接口1814用于使得通信装置通过通信链路，与其它通信设备相连，例如网络接口1814可以包括通信装置与核心网设备之间的网络接口，例如S1接口，网络接口可以包括通信装置和其他网络设备(例如其他接入网设备或者核心网设备)之间的网络接口，例如X2或者Xn接口。

处理器1811主要用于对通信协议以及通信数据进行处理，以及对整个通信装置进行控制，执行软件程序，处理软件程序的数据，例如用于支持通信装置执行实施例中所描述的动作。通信装置可以可以包括基带处理器和中央处理器，基带处理器主要用于对通信协议以及通信数据进行处理，中央处理器主要用于对整个终端设备进行控制，执行软件程序，处理软件程序的数据。图18中的处理器1811可以集成基带处理器和中央处理器的功能，本领域技术人员可以理解，基带处理器和中央处理器也可以是各自独立的处理器，通过总线等技术互联。本领域技术人员可以理解，终端设备可以包括多个基带处理器以适应不同的网络制式，终端设备可以包括多个中央处理器以增强其处理能力，终端设备的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中，也可以以软件程序的形式存储在存储器中，由处理器执行软件程序以实现基带处理功能。

存储器主要用于存储软件程序和数据。存储器1812可以是独立存在，与处理器1811相连。可选的，存储器1812可以和处理器1811集成在一起，例如集成在一个芯片之内。其中，存储器1812能够存储执行本申请实施例的技术方案的程序代码，并由处理器1811来控制执行，被执行的各类计算机程序代码也可被视为是处理器1811的驱动程序。

图18仅示出了一个存储器和一个处理器。在实际的终端设备中，可以存在多个处理器和多个存储器。存储器也可以称为存储介质或者存储设备等。存储器可以为与处理器处于同一芯片上的存储元件，即片内存储元件，或者为独立的存储元件，本申请实施例对此不做限定。

收发器1813可以用于支持通信装置与终端之间射频信号的接收或者发送，收发器1813可以与天线1815相连。收发器1813包括发射机Tx和接收机Rx。具体地，一个或多个天线1815可以接收射频信号，该收发器1813的接收机Rx用于从天线接收所述射频信号，并将射频信号转换为数字基带信号或数字中频信号，并将该数字基带信号或数字中频信号提供给所述处理器1811，以便处理器1811对该数字基带信号或数字中频信号做进一步的处理，例如解调处理和译码处理。此外，收发器1813中的发射机Tx还用于从处理器1811接收经过调制的数字基带信号或数字中频信号，并将该经过调制的数字基带信号或数字中频信号转换为射频信号，并通过一个或多个天线1815发送所述射频信号。具体地，接收机Rx可以选择性地对射频信号进行一级或多级下混频处理和模数转换处理以得到数字基带信号或数字中频信号，所述下混频处理和模数转换处理的先后顺序是可调整的。发射机Tx可以选择性地对经过调制的数字基带信号或数字中频信号时进行一级或多级上混频处理和数模转换处理以得到射频信号，所述上混频处理和数模转换处理的先后顺序是可调整的。数字基带信号和数字中频信号可以统称为数字信号。

收发器也可以称为收发单元、收发机、收发装置等。可选的，可以将收发单元中用于实现接收功能的器件视为接收单元，将收发单元中用于实现发送功能的器件视为发送单元，即收发单元包括接收单元和发送单元，接收单元也可以称为接收机、输入口、接收电路等，发送单元可以称为发射机、发射器或者发射电路等。

需要说明的是，图18所示通信装置具体可以用于实现图5至图13对应方法实施例中接入网设备所实现的步骤，并实现接入网设备对应的技术效果，图18所示通信装置的具体实现方式，均可以参考图5至图13对应的各个方法实施例中的叙述，此处不再一一赘述。

请参阅图19，为本申请的实施例提供的上述实施例中所涉及的通信装置1900的一种可能的逻辑结构示意图，该通信装置具体可以为前述实施例中的密钥的传输装置，该通信装置1900可以包括但不限于处理器1901、通信端口1902、存储器1903、总线1904，在本申请的实施例中，处理器1901用于对通信装置1900的动作进行控制处理。

此外，处理器1901可以是中央处理器单元，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。该处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理器和微处理器的组合等等。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

需要说明的是，图19所示通信装置具体可以用于实现图5至图13对应方法实施例中终端设备所实现的步骤，并实现终端设备对应的技术效果，图19所示通信装置的具体实现方式，均可以参考图5至图13对应的各个方法实施例中的叙述，此处不再一一赘述。

本申请实施例还提供一种存储一个或多个计算机执行指令的计算机可读存储介质，当计算机执行指令被处理器执行时，该处理器执行如前述实施例中通信装置可能的实现方式所述的方法，其中，该通信装置具体可以为前述实施例中的密钥的传输装置，即图5至图13对应方法实施例中接入网设备。

本申请实施例还提供一种存储一个或多个计算机执行指令的计算机可读存储介质，当计算机执行指令被处理器执行时，该处理器执行如前述实施例中通信装置可能的实现方式所述的方法，其中，该通信装置具体可以为前述实施例中的密钥的传输装置，即图5至图13对应方法实施例中终端设备。

本申请实施例还提供一种存储一个或多个计算机的计算机程序产品(或称计算机程序)，当计算机程序产品被该处理器执行时，该处理器执行上述通信装置可能实现方式的方法，其中，该通信装置具体可以为前述实施例中的密钥的传输装置，即图5至图13对应方法实施例中接入网设备。

本申请实施例还提供一种存储一个或多个计算机的计算机程序产品，当计算机程序产品被该处理器执行时，该处理器执行上述通信装置可能实现方式的方法，其中，该通信装置具体可以为前述实施例中的密钥的传输装置，即图5至图13对应方法实施例中终端设备。

本申请实施例还提供了一种芯片系统，该芯片系统包括处理器，用于支持通信装置实现上述通信装置可能的实现方式中所涉及的功能。在一种可能的设计中，该芯片系统还可以包括存储器，存储器，用于保存该通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件，其中，该通信装置具体可以为前述实施例中的密钥的传输装置，即图5至图13对应方法实施例中接入网设备。

本申请实施例还提供了一种芯片系统，该芯片系统包括处理器，用于支持通信装置实现上述通信装置可能的实现方式中所涉及的功能。在一种可能的设计中，芯片系统还可以包括存储器，存储器，用于保存该通信装置必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件，其中，该通信装置具体可以为前述实施例中的密钥的传输装置，即图5至图13对应方法实施例中的终端设备。

本申请实施例还提供了一种网络系统架构，该网络系统架构包括上述通信装置，该通信装置具体可以为前述实施例中的密钥的传输装置，即图5至图13对应方法实施例中的终端设备和接入网设备。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims

一种密钥的传输方法，其特征在于，所述方法应用于接入网设备，包括：

向终端设备发送第一消息，所述第一消息包括第一密钥，所述第一密钥用于加密多播数据包；

以多播方式向所述终端设备发送第一配置，所述第一配置用于更新所述第一密钥。
根据权利要求1所述的方法，其特征在于，所述第一消息还包括第一定时器，和/或第一时刻信息，其中，所述第一定时器用于指示所述第一密钥的有效持续时间，所述第一时刻信息用于指示所述第一密钥的生效起始时刻。
根据权利要求1或2所述的方法，其特征在于，所述第一消息还包括与所述第一密钥相关联的第一配置信息集合，所述第一配置信息集合包括至少一个多播配置信息，所述多播配置信息包括以下至少一种：

多播业务标识、组无线网络临时标识G-RNTI、带宽部分BWP指示信息、物理下行共享信道PDSCH加扰序列、非连续接收DRX参数、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示。
根据权利要求3所述的方法，其特征在于，所述方法还包括：

向所述终端设备发送第一指示，所述第一指示用于指示所述终端设备进入无线资源控制RRC空闲态或者RRC非激活态，且继续使用所述第一配置信息集合和所述第一密钥接收所述多播数据包。
根据权利要求3或4所述的方法，其特征在于，所述第一配置用于将所述第一密钥更新为第二密钥，所述第一配置还包括第二配置信息集合，所述第二配置信息集合与所述第二密钥相关联，所述第二配置信息集合是所述第一配置信息集合的子集。
根据权利要求1至5任一项所述的方法，其特征在于，在所述以多播方式向所述终端设备发送第一配置之前，包括：

根据如下之一条件，确定需要更新所述第一密钥，包括：

确定所述第一定时器超时；

或者，

根据来自所述终端设备的第一请求消息确定需要更新所述第一密钥，所述第一请求消息用于请求所述第一密钥的更新信息；

或者，

根据来自核心网设备的所述第一配置确定需要更新所述第一密钥。
根据权利要求1至6任一项所述的方法，其特征在于，

所述第一配置是通过所述第一密钥加密的；或

所述第一配置是通过第三密钥加密的，所述第三密钥是通过所述第一消息配置的；或

所述第一配置是通过与所述终端设备相关联的第四密钥加密的。
根据权利要求1至7任一项所述的方法，其特征在于，所述第一配置承载于第一下行控制信息，所述第一下行控制信息通过组无线网络临时标识G-RNTI加扰，或者通过预设无线网络临时标识RNTI加扰。
根据权利要求1至8任一项所述的方法，其特征在于，所述第一消息为RRC消息、媒体接入控制的控制单元MAC CE消息或物理下行控制信道PDCCH消息。
根据权利要求1至9任一项所述的方法，其特征在于，

所述第一消息是以单播方式发送的；或

所述第一消息是通过与所述终端设备相关联的第四密钥加密且以广播方式发送的。
根据权利要求1至10任一项所述的方法，其特征在于，在以多播方式向所述终端设备发送第一配置之前，所述方法还包括：

向所述终端设备发送所述寻呼消息，所述寻呼消息包括第二指示，所述第二指示用于指示所述第一密钥存在更新；

与所述终端设备建立RRC连接。
一种密钥的传输方法，其特征在于，所述方法应用于终端设备，包括：

接收来自接入网设备的第一消息，所述第一消息包括第一密钥，所述第一密钥用于加密多播数据包；

以多播方式接收来自所述接入网设备的第一配置，所述第一配置用于更新所述第一密钥；

根据所述第一配置将所述第一密钥更新为第二密钥；

根据所述第二密钥接收来自所述接入网设备的所述多播数据包。
根据权利要求12所述的方法，其特征在于，所述第一消息还包括第一定时器，和/或第一时刻信息，其中，所述第一定时器用于指示所述第一密钥的有效持续时间，所述第一时刻信息用于指示所述第一密钥的生效起始时刻。
根据权利要求12或13所述的方法，其特征在于，所述第一消息还包括与所述第一密钥相关联的第一配置信息集合，所述第一配置信息集合包括至少一个多播配置信息，所述多播配置信息包括以下至少一种：

多播业务标识、组无线网络临时标识G-RNTI、部分带宽BWP指示信息、物理下行共享信道PDSCH加扰序列、非连续接收DRX参数、解调参考信号、速率匹配参考信号、搜索空间指示、控制资源集合指示。
根据权利要求14所述的方法，其特征在于，所述方法还包括：

接收来自接入网设备的第一指示，所述第一指示用于指示所述终端设备进入无线资源控制RRC空闲态或者RRC非激活态，且继续使用所述第一配置信息集合和所述第一密钥接收所述多播数据包。
根据权利要求14或15所述的方法，其特征在于，所述第一配置还包括第二配置信息集合，所述第二配置信息集合与所述第二密钥相关联，所述第二配置信息集合是所述第一配置信息集合的子集。
根据权利要求12至16任一项所述的方法，其特征在于，以多播方式接收来自所述接入网设备的第一配置之前，所述方法还包括：

向所述接入网设备发送第一请求消息，所述第一请求消息用于请求所述第一密钥的更新信息。
根据权利要求12至17任一项所述的方法，其特征在于，

所述第一配置是通过所述第一密钥加密的；或

所述第一配置是通过第三密钥加密的，所述第三密钥是通过所述第一消息配置的；或

所述第一配置是通过与所述终端设备相关联的第四密钥加密的。
根据权利要求12至18任一项所述的方法，其特征在于，所述第一配置承载于来自所述接入网设备的第一下行控制信息，所述第一下行控制信息通过组无线网络临时标识RNTI加扰，或者所述第一下行控制信息通过预设无线网络临时标识RNTI加扰。
根据权利要求12至19任一项所述的方法，其特征在于，所述第一消息为RRC消息、媒体接入控制的控制单元MAC CE消息或物理下行控制信道PDCCH消息。
根据权利要求12至20任一项所述的方法，其特征在于，所述方法还包括：

在确定需要多播配置时，发起RRC连接建立过程或RRC连接恢复过程以进入RRC连接态，

当处于RRC连接态时，接收来自所述接入网设备的所述多播配置；

所述确定需要多播配置包括：

确定无可用的多播配置；或

确定对多播业务感兴趣且无对应的多播配置。
根据权利要求12至21任一项所述的方法，其特征在于，所述方法还包括：

在确定需要所述第一密钥的更新信息时，发起RRC连接建立过程或RRC连接恢复过程以进入RRC连接态，

当处于RRC连接态时，接收来自所述接入网设备的所述第一配置；

所述确定需要所述第一密钥的更新信息包括：

根据来自接入网设备的寻呼消息确定需要获取多播配置，所述寻呼消息用于指示所述第一密钥存在更新；或

确定所述第一定时器超时。
根据权利要求12至22任一项所述的方法，其特征在于，

所述第一消息是以单播方式发送的；或

所述第一消息是通过与所述终端设备相关联的第四密钥加密且以广播方式发送的。
一种密钥的传输装置，其特征在于，包括：处理单元和收发单元；

所述处理单元用于通过所述收发单元向终端设备发送第一消息，所述第一消息包括第一密钥，所述第一密钥用于加密多播数据包；

所述处理单元还用于通过所述收发单元以多播方式向所述终端设备发送第一配置，所述第一配置用于更新所述第一密钥。
一种密钥的传输装置，其特征在于，包括：处理单元和收发单元；

所述收发单元，用于接收来自接入网设备的第一消息，所述第一消息包括第一密钥，所述第一密钥用于加密多播数据包；

所述收发单元，还用于以多播方式接收来自所述接入网设备的第一配置，所述第一配置用于更新所述第一密钥；

所述处理单元，用于根据所述第一配置将所述第一密钥更新为第二密钥；

所述收发单元，还用于根据所述第二密钥接收来自所述接入网设备的所述多播数据包。
一种计算机可读存储介质，其特征在于，存储有用于实现权利要求1至11任一项所述的方法的程序或者指令，或者，存储有用于实现权利要求12至23任一项的方法的程序或者指令。
一种密钥的传输装置，其特征在于，所述密钥的传输装置包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行计算机程序或指令，使得权利要求1至11任一项所述的方法被执行，或者，使得权利要求12至23任一项所述的方法被执行。