WO2021238813A1

WO2021238813A1 - 一种获取密钥的方法及装置

Info

Publication number: WO2021238813A1
Application number: PCT/CN2021/095315
Authority: WO
Inventors: 许斌; 李秉肇; 陈磊
Original assignee: 华为技术有限公司
Priority date: 2020-05-26
Filing date: 2021-05-21
Publication date: 2021-12-02
Also published as: CN113795024A; EP4145760A1; US20230092744A1; EP4145760A4

Abstract

本申请涉及一种获取密钥的方法及装置。第一核心网设备获得第一密钥。第一核心网设备根据第一密钥进行推演，得到第二密钥和第三密钥，第二密钥用于对终端设备的控制面信令进行安全处理，第三密钥用于对终端设备的用户面数据进行安全处理。第一核心网设备将第二密钥发送给第一接入网设备的控制面实体，以及，将第三密钥发送给第一接入网设备的用户面实体。在本申请实施例中，第一接入网设备的控制面实体和第一接入网设备的用户面实体是不同的网络实体，从而能够将第一接入网设备的控制面处理过程和用户面处理过程相隔离，以此降低安全处理过程的风险。

Description

一种获取密钥的方法及装置

相关申请的交叉引用

本申请要求在2020年05月26日提交中国国家知识产权局、申请号为202010454178.9、申请名称为“一种获取密钥的方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种获取密钥的方法及装置。

背景技术

无线通信的传输分为用户面传输和控制面传输，用户面传输主要是传输数据，而控制面传输主要是传输信令。在无线通信过程中，为了通信过程的安全性，发送端和接收端都要对数据和信令进行安全处理，例如发送端对数据进行加密，相应地接收端对数据进行解密，防止数据被第三方读取；发送端对数据进行完整性保护，相应地接收端对数据进行完整性验证，防止数据被第三方篡改。

在第五代移动通信技术(the 5th generation，5G)新空口(new radio，NR)系统中，可采用分离式基站架构，分离式基站可包括集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)。接入层的安全处理包括控制面信令的安全处理和用户面数据的安全处理，目前接入层的安全处理均在无线接入网(radio access network，RAN)侧进行，两种安全处理过程无法相互隔离，使得整个安全处理过程存在风险。

发明内容

本申请实施例提供一种获取密钥的方法及装置，用于将接入网设备的控制面处理过程和用户面处理过程相隔离，以降低安全处理过程的风险。

第一方面，提供第一种获取密钥的方法，该方法包括：第一核心网设备获得第一密钥；所述第一核心网设备根据所述第一密钥进行推演，得到第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理；所述第一核心网设备将所述第二密钥发送给第一接入网设备的控制面实体，以及，将所述第三密钥发送给所述第一接入网设备的用户面实体，所述第一接入网设备的控制面实体与所述终端设备进行控制面信令通信，所述第一接入网设备的用户面实体与所述终端设备进行用户面数据通信。

该方法可由第一通信装置执行，第一通信装置可以是通信设备或能够支持通信设备实现该方法所需的功能的通信装置，例如芯片。示例性地，所述第一通信装置为网络设备，或者为设置在网络设备中的用于实现网络设备的功能的芯片，或者为用于实现网络设备的功能的其他部件。在下文的介绍过程中，以第一通信装置是网络设备为例。示例性地，所述网络设备为核心网设备。

在本申请实施例中，第一接入网设备的控制面实体和第一接入网设备的用户面实体是不同的网络实体，从而能够将第一接入网设备的控制面处理过程和用户面处理过程相隔离，以此降低安全处理过程的风险。具体来说，用于对控制面信令进行安全处理的第二密钥发送给控制面实体，而用于对用户面数据进行安全处理的第三密钥发送给用户面实体，这样，控制面实体和用户面实体将无法获得对方的密钥，从而无法破解对方的传输内容，达到将第一接入网设备的控制面处理过程和用户面处理过程相隔离的效果，降低了整个系统的安全风险。

在一种可选的实施方式中，所述第一接入网设备的控制面实体位于所述第一接入网设备侧，所述第一接入网设备的用户面实体位于核心网设备侧。

由于接入网设备由设备商提供，由运营商部署，一般部署在户外，所以如果接入网设备能够读取用户数据的话，会对数据安全造成一定的风险。那么，即使用户面数据和控制面信令的安全处理虽然相互隔离，但是如果用户面实体和控制面实体仍然都处于接入网侧，用户的数据依然会有安全风险。因此在本申请实施例中，第一接入网设备的控制面实体可位于接入网侧，第一接入网设备的用户面实体可位于核心网侧。一般来说，接入层的控制信令是为了辅助用户面数据传输的，用户真正关心的是用户面数据，所以将用户面数据的安全处理放在核心网侧，首先能够保证用户面数据处理的安全性，同时通过隔离用户面与控制面的安全处理过程，可以进一步保证接入网侧无法获取用户面数据安全处理的密钥，能够显著降低用户面数据的安全风险。

在一种可选的实施方式中，所述第一密钥为根据与所述终端设备对应的第一根密钥得到的，所述第一根密钥存储在核心网设备中。

在核心网侧，可以预先存储每个终端设备对应的根密钥，然后至少一个核心网设备可以基于该根密钥进行一步步的推演过程，从而得到不同设备或者不同安全过程中所需用到的密钥。例如第一核心网设备能够获得该终端设备对应的根密钥，例如称为第一根密钥。第一核心网设备可以根据第一根密钥进行推演，或者，第一核心网设备可以根据由第一根密钥推演得到的密钥进行进一步推演，得到第一核心网设备所使用的密钥，例如称为第四密钥。第一核心网设备再根据第四密钥进行推演，可以得到第一密钥，也可以根据第四密钥进行推演得到其他密钥，例如得到用于非接入层通信过程中进行安全处理的密钥。

在一种可选的实施方式中，所述方法还包括：

所述第一核心网设备接收来自第二接入网设备的输入参数，所述输入参数用于确定所述第一密钥，其中，所述第二接入网设备为所述终端设备在进行小区切换时的源接入网设备，所述第一接入网设备为所述终端设备在进行小区切换时的目标接入网设备。

在小区切换过程中，终端设备从第二接入网设备的小区切换到第一接入网设备的小区进行通信，为了保护不同的接入网设备之间安全处理过程的独立性，第一接入网设备和第二接入网设备在与该终端设备通信时所使用的用于安全处理的密钥不能相同。例如，第一接入网设备在与该终端设备通信时使用的密钥，可以根据第二接入网设备对应于该终端设备的密钥进行推演。在本申请实施例中考虑到接入网设备侧潜在的安全风险，需要核心网设备进行密钥推演过程，因此第二接入网设备需要将推演第一接入网设备使用的密钥所需的输入参数发送给第一核心网设备，由第一核心网设备推演第一接入网设备使用的密钥，推演以后将第一接入网设备所使用的密钥发送给第一接入网设备。

在一种可选的实施方式中，所述输入参数包括第一小区的PCI和/或所述第一小区的ARFCN，所述第一小区为所述终端设备在进行小区切换时的目标小区。

例如，输入参数可以包括第一小区的PCI，或包括第一小区的频率，或包括第一小区的PCI和第一小区的频率。或者输入参数还可以包括其他的信息，只要输入参数能够用于确定第一密钥即可。第一小区的频率例如为第一小区的ARFCN。

在一种可选的实施方式中，所述输入参数包括在第一切换请求消息中，所述第一切换请求消息用于请求将所述终端设备切换到第一小区，所述第一小区为所述终端设备在进行小区切换时的目标小区。

例如，所述的小区切换过程是基于基站和核心网设备之间的N2接口的跨基站的小区切换过程，那么第二接入网设备在确定终端设备进行小区切换时，可以向第一核心网设备发送切换请求消息，以通过第一核心网设备将该切换请求消息转发给第一接入网设备。可选的，在第二接入网设备发送给第一核心网设备的切换请求消息中，可以包括所述的输入参数，可理解为，第二接入网设备向第一核心网设备发送切换请求消息，例如称为第一切换请求消息，第一核心网设备接收来自第二接入网设备的第一切换请求消息，第一切换请求消息包括输入参数。也就是说，本申请实施例无需新增消息，而是可通过已有的切换请求消息将输入参数发送给第一核心网设备，更有利于与现有的方案兼容，且能够节省信令开销。

在一种可选的实施方式中，所述第二密钥包括在第二切换请求消息中，所述第二切换请求消息用于请求将所述终端设备切换到所述第一小区。

例如，所述的小区切换过程是基于基站和核心网设备之间的N2接口的跨基站的小区切换过程，那么第一核心网设备在接收来自第二接入网设备的第一切换请求消息后，如果按照现有技术，则第一核心网设备会将第一切换请求消息转发给第一接入网设备。那么本申请实施例可以利用这个流程，例如第一核心网设备可以生成第二切换请求消息，第二切换请求消息包括第二密钥，第一核心网设备将第二切换请求消息发送给第一接入网设备，从而就将第二密钥发送给了第一接入网设备。例如，第一核心网设备可以在第一切换请求消息中添加第二密钥，得到第二切换请求消息，通过这种方式，不仅实现了将第一切换请求消息转发给第一接入网设备的目的，还将第二密钥也发送给了第一接入网设备，从而无需通过新增的消息将第二密钥发送给第一接入网设备，有助于与现有的方案兼容，且能够减小信令开销。

在一种可选的实施方式中，所述方法还包括：

第一核心网设备向所述终端设备发送NCC，所述NCC用于确定所述第二密钥和/或所述第三密钥。

终端设备可以根据NCC确定所使用的密钥，来保证与网络侧所使用的密钥一致。NCC具有计数功能，不同的NCC值对应不同的密钥推演过程或者不同的密钥推演次数。例如，NCC可用于指示第一核心网设备推演第一密钥的推演次数，或者，NCC可用于指示第一核心网设备根据推演第一密钥的推演轨迹，或者说推演过程记录。终端设备内置有该终端设备的根密钥，例如称为第二根密钥，第二根密钥和第一根密钥可以是同一根密钥，或者也可以是不同的根密钥。终端设备能够根据第二根密钥采用与核心网设备相同的推演方式，推演得到终端设备所使用的密钥。其中，终端设备在获得NCC后，可依据NCC的指示，确定核心网设备的推演方式，使得终端设备和第一接入网设备所使用的密钥一致。例如，NCC指示推演次数为n，则终端设备推演n次得到第一密钥，n为正整数，终端设备可以进一步得到第二密钥和第三密钥；又例如，NCC指示推演轨迹或推演过程记录，则终端设备可按照相同的轨迹或相同的推演过程进行推演得到第一密钥，进一步得到第二密钥和第三密钥。

在一种可选的实施方式中，所述安全处理包括以下一项或多项：完整性保护、完整性验证、加密、或解密。

本申请实施例所述的第一接入网设备的控制面实体或用户面实体的安全处理，可以包括如下的一种或多种处理方式：完整性保护、完整性验证、加密、或解密。

第二方面，提供第二种获取密钥的方法，该方法包括：第二接入网设备确定将终端设备从第二接入网设备切换到第一接入网设备；所述第二接入网设备向第一核心网设备发送输入参数，所述输入参数用于确定第一密钥，所述第一密钥用于确定第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理。

该方法可由第二通信装置执行，第二通信装置可以是通信设备或能够支持通信设备实现该方法所需的功能的通信装置，例如芯片。示例性地，所述第二通信装置为网络设备，或者为设置在网络设备中的用于实现网络设备的功能的芯片，或者为用于实现网络设备的功能的其他部件。示例性地，所述网络设备为接入网设备，例如称为第二接入网设备。在下文的介绍过程中，以第二通信装置是第二接入网设备为例。

关于第二方面或各种可能的实施方式所带来的技术效果，可参考对于第一方面或相应的实施方式的技术效果的介绍。

第三方面，提供一种数据包发送方法，该方法包括：获得第一数据包；在第一协议层使用第一密钥对所述第一数据包进行安全处理，得到第二数据包；在PDCP层使用第二密钥对所述第二数据包进行加密，得到第三数据包；发送所述第三数据包。

该方法可由第三通信装置执行，第三通信装置可以是通信设备或能够支持通信设备实现该方法所需的功能的通信装置，例如芯片。示例性地，所述第三通信装置为终端设备，或者为设置在终端设备中的用于实现终端设备的功能的芯片，或者为用于实现终端设备的功能的其他部件。或者，示例性地，所述第三通信装置为网络设备，或者为设置在网络设备中的用于实现网络设备的功能的芯片，或者为用于实现网络设备的功能的其他部件，例如所述网络设备为核心网设备。

在本申请实施例中，对数据包设置了两级安全处理的机制，对于接入网设备来说，只能进行其中的一级安全处理(即PDCP层的安全处理)，而无法进行第一协议层的安全处理。因此数据对于接入网设备来说是不可见的，接入网设备无法获取数据，从而保证了数据在接入网设备侧的安全性。

在一种可选的实施方式中，所述第一密钥为根据与终端设备对应的第一根密钥得到的。

第一设备在第一协议层使用第一密钥对第一数据包进行安全处理之前，首先需要获得第一密钥。如果第一设备为终端设备，对于终端设备来说，可以内置根密钥，终端设备可按照第一规则对该根密钥进行推演，得到第一密钥。或者，如果第一设备为核心网设备，对于核心网设备来说，也有对应于该终端设备的密钥，例如称为第三密钥，例如核心网设备为AMF，则核心网设备对应于该终端设备的密钥(即第三密钥)为K _AMF。其中，核心网设备对应于该终端设备的密钥，是指核心网设备在与该终端设备通信时所使用的密钥，或者是指，根据该密钥能够确定核心网设备在与该终端设备通信时所使用的密钥，对此可以理解为，核心网设备在与不同的终端设备通信时可以使用对应于相应终端设备的，用于对接入层控制面信令和用户面数据进行安全处理的密钥，进行安全处理。核心网设备可以根据第一规则对第三密钥进行推演，得到第一密钥。第一规则可以是核心网设备配置的，或者是终端设备与核心网设备协商确定的，或者是通过协议规定的。另外，可选的，终端设备可以与核心网设备进行交互，来保证双方所用的第一规则是一致的。

在一种可选的实施方式中，在第一协议层使用第一密钥对所述第一数据包进行安全处理，得到第二数据包，包括：

在所述第一协议层，使用第一密钥对所述第一数据包的负载进行所述安全处理，得到安全处理后的负载；

将所述第一数据包的包头与所述安全处理后的负载组合，得到所述第二数据包。

以数据包是IP包或以太包为例。数据包的发送端在对一个数据包进行处理时，为了节省传输资源开销，数据包的发送端的PDCP层可以对该数据包的包头进行压缩，例如使用头压缩协议对IP包头或者以太包头进行压缩，压缩后的包头的长度缩短，可以节省传输资源开销。本申请实施例引入了第一协议层，这可能会导致一个问题：整个数据包在第一协议层进行安全处理，第一协议层将安全处理后的数据包递交到PDCP层后，PDCP层无法识别出该数据包的包头，从而无法对包头进行压缩。为此，本申请实施例提供一种解决方式，第一设备在第一协议层将第一数据包的包头移除，或者理解为，将第一数据包的包头和负载分离。之后，第一设备在第一协议层使用第一密钥对第一数据包的负载进行安全处理，例如加密和/或完整性保护等，得到安全加密后的负载。第一设备在第一协议层再将第一数据包的包头与安全处理后的负载组合，将组合后的数据包称为第二数据包。那么，第二数据包的包头就是第一数据包的包头，第二数据包的负载是已经过安全处理的负载。之后，第一协议层可将第二数据包递交给第一设备的PDCP层。由于第二数据包的包头(即，第一数据包的包头)并未经过安全处理，因此第一设备的PDCP层能够对第二数据包的包头进行压缩。由此，PDCP层能够正常对包头进行压缩，以节省传输开销。

在一种可选的实施方式中，在PDCP层使用第二密钥对所述第二数据包进行加密，得到第三数据包，包括：

在所述PDCP层，将所述第一数据包的包头进行压缩，得到压缩包头；

使用所述第二密钥对所述压缩包头与所述安全处理后的负载进行加密，得到所述第三数据包。

如果第二数据包是包括了第一数据包的包头与安全处理后的负载组合，则第一设备可以在PDCP层将第二数据包的包头(即，第一数据包的包头)移除，或者理解为，将第一数据包的包头和负载分离。之后，第一设备在PDCP层对第一数据包的包头进行压缩，得到压缩包头，再将压缩包头和安全处理后的负载组合，得到一个整体，在PDCP层使用第二密钥对这个整体进行第二安全处理，得到第三数据包。通过这种方式，在PDCP层可以继续对数据包的包头进行压缩，从而能够节省传输资源开销。

在所述第一协议层，将所述第一数据包的包头进行压缩，得到压缩包头；

使用所述第一密钥对所述压缩包头与所述第一数据包的负载进行所述安全处理，得到所述第二数据包。

第一设备在第一协议层将第一数据包的包头移除，或者理解为，将第一数据包的包头和负载分离。之后，第一设备在第一协议层将第一数据包的包头进行压缩，得到压缩包头。第一设备在第一协议层将压缩包头与第一数据包的负载组合，得到一个整体，对这个整体进行安全处理，例如加密和/或完整性保护等，得到第二数据包，即，第二数据包是经过安全处理的数据包。第一协议层再将第二数据包递交给第一设备的PDCP层，由于第二数据包是经过安全处理的，PDCP层无法对第二数据包进行解密或完整性验证等处理，因此PDCP层无需再进行压缩操作。但第一设备已在第一协议层对第一数据包的包头进行了压缩，因此同样能节省传输资源开销。

此处的安全处理(例如称为第一安全处理)，可以包括如下的一种或多种处理方式：完整性保护、完整性验证、加密、或解密。例如，第一设备是第一数据包的发送端，则第一设备可以在第一协议层对第一数据包进行完整性保护，或者进行加密，或者进行完整性保护和加密。又例如，第一设备是第一数据包的接收端，则第一设备可以在第一协议层对第一数据包进行完整性验证，或者进行解密，或者进行完整性验证和解密。本申请实施例以第一设备是第一数据包的发送端为例。

第四方面，提供一种数据包接收方法，该方法包括：接收第三数据包；在PDCP层使用第二密钥解密所述第三数据包，得到第二数据包，所述第二数据包为经过安全处理的数据包；将所述第二数据包发送给核心网设备。

该方法可由第四通信装置执行，第四通信装置可以是通信设备或能够支持通信设备实现该方法所需的功能的通信装置，例如芯片。示例性地，所述第四通信装置为第二设备。示例性地，所述第二设备为网络设备，或者为设置在网络设备中的用于实现网络设备的功能的芯片，或者为用于实现网络设备的功能的其他部件，例如所述网络设备为接入网设备。

其中，如果第二数据包的发送端是终端设备，接收端是核心网设备，则所述方法可以是将第二数据包发送给核心网设备；或者，如果第二数据包的发送端是核心网设备，接收端是终端设备，则所述方法可以是将第二数据包发送给终端设备。在本申请实施例中，对数据包设置了两级安全处理的机制，对于中间设备(例如接入网设备)来说，只能进行其中的一级安全处理(即PDCP层的安全处理)，而无法进行第一协议层的安全处理。因此数据对于接入网设备来说是不可见的，接入网设备无法获取数据，从而保证了数据在接入网设备侧的安全性。

在一种可选的实施方式中，在PDCP层使用第二密钥解密所述第三数据包，得到第二数据包，包括：

在所述PDCP层，使用第二密钥解密所述第三数据包，得到压缩包头和安全处理后的负载；

将所述压缩包头进行解压缩，得到包头；

将所述包头和所述安全处理后的负载组合，得到所述第二数据包。

第二设备接收第三数据包后，将第三数据包送达第二设备的PDCP层。则第二设备在PDCP层可使用第二密钥对第三数据包进行第三安全处理，第三安全处理例如为解密。如果第二设备在PDCP层对第三数据包进行第三安全处理后得到了压缩包头和安全处理后的负载，则第二设备可以在PDCP层将第二数据包的包头(即，第一数据包的包头)移除，或者理解为，将第一数据包的包头和安全处理后的负载分离。之后，第二设备在PDCP层将压缩包头进行解压缩，得到包头，该包头为第一数据包的包头。第二设备在PDCP层将该包头和安全处理后的负载进行组合，可得到第二数据包。

第五方面，提供一种通信装置，例如该通信装置为如前所述的第一通信装置。所述第一通信装置用于执行上述第一方面或任一可能的实施方式中的方法。具体地，所述第一通信装置可以包括用于执行第一方面或任一可能的实施方式中的方法的模块，例如包括处理模块，可选的，还可以包括收发模块。示例性地，收发模块可以包括发送模块和接收模块，发送模块和接收模块可以是不同的功能模块，或者也可以是同一个功能模块，但能够实现不同的功能。示例性地，所述第一通信装置为通信设备，或者为设置在通信设备中的芯片或其他部件。示例性地，所述通信设备为网络设备。示例性地，所述网络设备为核心网设备，例如第一核心网设备。下面以第一通信装置是第一核心网设备为例。例如，所述收发模块也可以通过收发器实现，所述处理模块也可以通过处理器(或者，处理电路)实现。或者，发送模块可以通过发送器实现，接收模块可以通过接收器实现，发送器和接收器可以是不同的功能模块，或者也可以是同一个功能模块，但能够实现不同的功能。如果第一通信装置为通信设备，收发器例如通过通信设备中的天线、馈线和编解码器等实现。或者，如果第一通信装置为设置在通信设备中的芯片，那么收发器(或，发送器和接收器)例如为芯片中的通信接口，该通信接口与通信设备中的射频收发组件连接，以通过射频收发组件实现信息的收发。在第五方面的介绍过程中，继续以所述第一通信装置是第一核心网设备，以及，以所述处理模块和所述收发模块为例进行介绍。其中，

所述处理模块，用于获得第一密钥；

所述处理模块，用于根据所述第一密钥进行推演，得到第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理；

所述收发模块，用于将所述第二密钥发送给第一接入网设备的控制面实体，以及，将所述第三密钥发送给所述第一接入网设备的用户面实体，所述第一接入网设备的控制面实体与所述终端设备进行控制面信令通信，所述第一接入网设备的用户面实体与所述终端设备进行用户面数据通信。

在一种可选的实施方式中，所述收发模块，还用于接收来自第二接入网设备的输入参数，所述输入参数用于确定所述第一密钥，其中，所述第二接入网设备为所述终端设备在进行小区切换时的源接入网设备，所述第一接入网设备为所述终端设备在进行小区切换时的目标接入网设备。

在一种可选的实施方式中，所述收发模块，还用于向所述终端设备发送NCC，所述NCC用于确定所述第二密钥和/或所述第三密钥。

关于第五方面或各种可选的实施方式所带来的技术效果，可参考对于第一方面或相应的实施方式的技术效果的介绍。

第六方面，提供一种通信装置，例如该通信装置为如前所述的第二通信装置。所述第二通信装置用于执行上述第二方面或任一可能的实施方式中的方法。具体地，所述第二通信装置可以包括用于执行第二方面或任一可能的实施方式中的方法的模块，例如包括处理模块，可选的，还可以包括收发模块。示例性地，收发模块可以包括发送模块和接收模块，发送模块和接收模块可以是不同的功能模块，或者也可以是同一个功能模块，但能够实现不同的功能。示例性地，所述第二通信装置为通信设备，或者为设置在通信设备中的芯片或其他部件。示例性地，所述通信设备为网络设备。示例性地，所述网络设备为接入网设备，例如第二接入网设备。示例性地，所述接入网设备为基站。下面以第二通信装置是第二接入网设备为例。例如，所述收发模块也可以通过收发器实现，所述处理模块也可以通过处理器(或者，处理电路)实现。或者，发送模块可以通过发送器实现，接收模块可以通过接收器实现，发送器和接收器可以是不同的功能模块，或者也可以是同一个功能模块，但能够实现不同的功能。如果第二通信装置为通信设备，收发器例如通过通信设备中的天线、馈线和编解码器等实现。或者，如果第二通信装置为设置在通信设备中的芯片，那么收发器(或，发送器和接收器)例如为芯片中的通信接口，该通信接口与通信设备中的射频收发组件连接，以通过射频收发组件实现信息的收发。在第六方面的介绍过程中，继续以所述第二通信装置是第二接入网设备，以及，以所述处理模块和所述收发模块为例进行介绍。其中，

所述处理模块，用于确定将终端设备从第二接入网设备切换到第一接入网设备；

所述收发模块，用于向第一核心网设备发送输入参数，所述输入参数用于确定第一密钥，所述第一密钥用于确定第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理。

关于第六方面或各种可选的实施方式所带来的技术效果，可参考对于第二方面或相应的实施方式的技术效果的介绍。

第七方面，提供一种通信装置，例如该通信装置为如前所述的第三通信装置。所述第三通信装置用于执行上述第三方面或任一可能的实施方式中的方法。具体地，所述第三通信装置可以包括用于执行第三方面或任一可能的实施方式中的方法的模块，例如包括处理模块，可选的，还可以包括收发模块。示例性地，收发模块可以包括发送模块和接收模块，发送模块和接收模块可以是不同的功能模块，或者也可以是同一个功能模块，但能够实现不同的功能。示例性地，所述第三通信装置为通信设备，或者为设置在通信设备中的芯片或其他部件。示例性地，所述通信设备为第一设备。示例性地，所述第一设备为终端设备。或者，示例性地，所述第一设备为核心网设备。例如，所述收发模块也可以通过收发器实现，所述处理模块也可以通过处理器(或者，处理电路)实现。或者，发送模块可以通过发送器实现，接收模块可以通过接收器实现，发送器和接收器可以是不同的功能模块，或者也可以是同一个功能模块，但能够实现不同的功能。如果第三通信装置为通信设备，收发器例如通过通信设备中的天线、馈线和编解码器等实现。或者，如果第三通信装置为设置在通信设备中的芯片，那么收发器(或，发送器和接收器)例如为芯片中的通信接口，该通信接口与通信设备中的射频收发组件连接，以通过射频收发组件实现信息的收发。在第七方面的介绍过程中，以所述处理模块和所述收发模块为例进行介绍。其中，

所述处理模块，用于获得第一数据包；

所述处理模块，还用于在第一协议层使用第一密钥对所述第一数据包进行安全处理，得到第二数据包；

所述处理模块，还用于在PDCP层使用第二密钥对所述第二数据包进行加密，得到第三数据包；

所述收发模块，用于发送所述第三数据包。

在一种可选的实施方式中，所述处理模块用于通过如下方式在第一协议层使用第一密钥对所述第一数据包进行安全处理，得到第二数据包：

在一种可选的实施方式中，所述处理模块用于通过如下方式在PDCP层使用第二密钥对所述第二数据包进行加密，得到第三数据包：

关于第七方面或各种可选的实施方式所带来的技术效果，可参考对于第三方面或相应的实施方式的技术效果的介绍。

第八方面，提供一种通信装置，例如该通信装置为如前所述的第四通信装置。所述第四通信装置用于执行上述第四方面或任一可能的实施方式中的方法。具体地，所述第四通信装置可以包括用于执行第四方面或任一可能的实施方式中的方法的模块，例如包括处理模块，可选的，还可以包括收发模块。示例性地，收发模块可以包括发送模块和接收模块，发送模块和接收模块可以是不同的功能模块，或者也可以是同一个功能模块，但能够实现不同的功能。示例性地，所述第四通信装置为通信设备，或者为设置在通信设备中的芯片或其他部件。示例性地，所述通信设备为网络设备。示例性地，所述网络设备为接入网设备。示例性地，所述接入网设备为基站。下面以第四通信装置是接入网设备为例。例如，所述收发模块也可以通过收发器实现，所述处理模块也可以通过处理器(或者，处理电路)实现。或者，发送模块可以通过发送器实现，接收模块可以通过接收器实现，发送器和接收器可以是不同的功能模块，或者也可以是同一个功能模块，但能够实现不同的功能。如果第四通信装置为通信设备，收发器例如通过通信设备中的天线、馈线和编解码器等实现。或者，如果第四通信装置为设置在通信设备中的芯片，那么收发器(或，发送器和接收器)例如为芯片中的通信接口，该通信接口与通信设备中的射频收发组件连接，以通过射频收发组件实现信息的收发。在第八方面的介绍过程中，继续以所述第四通信装置是接入网设备，以及，以所述处理模块和所述收发模块为例进行介绍。其中，

所述收发模块，用于接收第三数据包；

所述处理模块，用于在PDCP层使用第二密钥解密所述第三数据包，得到第二数据包，所述第二数据包为经过安全处理的数据包；

所述收发模块，还用于将所述第二数据包发送给核心网设备。

在一种可选的实施方式中，所述处理模块用于通过如下方式在PDCP层使用第二密钥解密所述第三数据包，得到第二数据包：

将所述压缩包头进行解压缩，得到包头；

关于第八方面或各种可选的实施方式所带来的技术效果，可参考对于第四方面或相应的实施方式的技术效果的介绍。

第九方面，提供一种通信装置(或者，称为网络装置)，该通信装置例如为如前所述的第一通信装置。该通信装置包括处理器(或者，处理电路)和通信接口(或者，接口电路)，通信接口可用于与其他装置或设备进行通信。可选的，还可以包括存储器，用于存储计算机指令。处理器和存储器相互耦合，用于实现上述第一方面或各种可能的实施方式所描述的方法。或者，第一通信装置也可以不包括存储器，存储器可以位于第一通信装置外部。处理器、存储器和通信接口相互耦合，用于实现上述第一方面或各种可能的实施方式所描述的方法。例如，当处理器执行所述存储器存储的计算机指令时，使第一通信装置执行上述第一方面或任意一种可能的实施方式中的方法。示例性地，所述第一通信装置为通信设备，或者为设置在通信设备中的芯片或其他部件。示例性的，所述通信设备为网络设备。示例性地，所述网络设备为核心网设备，例如第一核心网设备。

其中，如果第一通信装置为通信设备，通信接口例如通过所述通信设备中的收发器(或者，发送器和接收器)实现，例如所述收发器通过所述通信设备中的天线、馈线和编解码器等实现。或者，如果第一通信装置为设置在通信设备中的芯片，那么通信接口例如为芯片的输入/输出接口，例如输入/输出管脚等，该通信接口与通信设备中的射频收发组件连接，以通过射频收发组件实现信息的收发。

第十方面，提供一种通信装置(或者，称为网络装置)，该通信装置例如为如前所述的第二通信装置。该通信装置包括处理器(或者，处理电路)和通信接口(或者，接口电路)，通信接口可用于与其他装置或设备进行通信。可选的，还可以包括存储器，用于存储计算机指令。处理器和存储器相互耦合，用于实现上述第二方面或各种可能的实施方式所描述的方法。或者，第二通信装置也可以不包括存储器，存储器可以位于第二通信装置外部。处理器、存储器和通信接口相互耦合，用于实现上述第二方面或各种可能的实施方式所描述的方法。例如，当处理器执行所述存储器存储的计算机指令时，使第二通信装置执行上述第二方面或任意一种可能的实施方式中的方法。示例性地，所述第二通信装置为通信设备，或者为设置在通信设备中的芯片或其他部件。示例性的，所述通信设备为网络设备。示例性地，所述网络设备为接入网设备，例如第二接入网设备。

其中，如果第二通信装置为通信设备，通信接口例如通过所述通信设备中的收发器(或者，发送器和接收器)实现，例如所述收发器通过所述通信设备中的天线、馈线和编解码器等实现。或者，如果第二通信装置为设置在通信设备中的芯片，那么通信接口例如为芯片的输入/输出接口，例如输入/输出管脚等，该通信接口与通信设备中的射频收发组件连接，以通过射频收发组件实现信息的收发。

第十一方面，提供一种通信装置(或者，称为网络装置)，该通信装置例如为如前所述的第三通信装置。该通信装置包括处理器(或者，处理电路)和通信接口(或者，接口电路)，通信接口可用于与其他装置或设备进行通信。可选的，还可以包括存储器，用于存储计算机指令。处理器和存储器相互耦合，用于实现上述第三方面或各种可能的实施方式所描述的方法。或者，第一通信装置也可以不包括存储器，存储器可以位于第三通信装置外部。处理器、存储器和通信接口相互耦合，用于实现上述第三方面或各种可能的实施方式所描述的方法。例如，当处理器执行所述存储器存储的计算机指令时，使第一通信装置执行上述第三方面或任意一种可能的实施方式中的方法。示例性地，所述第三通信装置为通信设备，或者为设置在通信设备中的芯片或其他部件。示例性地，所述通信设备为第一设备。示例性地，所述第一设备为终端设备。或者，示例性地，所述第一设备为网络设备。示例性地，所述网络设备为核心网设备。

其中，如果第三通信装置为通信设备，通信接口例如通过所述通信设备中的收发器(或者，发送器和接收器)实现，例如所述收发器通过所述通信设备中的天线、馈线和编解码器等实现。或者，如果第三通信装置为设置在通信设备中的芯片，那么通信接口例如为芯片的输入/输出接口，例如输入/输出管脚等，该通信接口与通信设备中的射频收发组件连接，以通过射频收发组件实现信息的收发。

第十二方面，提供一种通信装置(或者，称为网络装置)，该通信装置例如为如前所述的第四通信装置。该通信装置包括处理器(或者，处理电路)和通信接口(或者，接口电路)，通信接口可用于与其他装置或设备进行通信。可选的，还可以包括存储器，用于存储计算机指令。处理器和存储器相互耦合，用于实现上述第四方面或各种可能的实施方式所描述的方法。或者，第四通信装置也可以不包括存储器，存储器可以位于第四通信装置外部。处理器、存储器和通信接口相互耦合，用于实现上述第四方面或各种可能的实施方式所描述的方法。例如，当处理器执行所述存储器存储的计算机指令时，使第四通信装置执行上述第四方面或任意一种可能的实施方式中的方法。示例性地，所述第四通信装置为通信设备，或者为设置在通信设备中的芯片或其他部件。示例性地，所述通信设备为第二设备。示例性地，所述第二设备为网络设备。示例性地，所述网络设备为接入网设备。

其中，如果第四通信装置为通信设备，通信接口例如通过所述通信设备中的收发器(或者，发送器和接收器)实现，例如所述收发器通过所述通信设备中的天线、馈线和编解码器等实现。或者，如果第四通信装置为设置在通信设备中的芯片，那么通信接口例如为芯片的输入/输出接口，例如输入/输出管脚等，该通信接口与通信设备中的射频收发组件连接，以通过射频收发组件实现信息的收发。

第十三方面，提供第一通信系统，第一通信系统包括第五方面所述的通信装置或第九方面所述的通信装置，以及包括第六方面所述的通信装置或第十方面所述的通信装置。

第十四方面，提供第二通信系统，第二通信系统包括第七方面所述的通信装置或第十一方面所述的通信装置，以及包括第八方面所述的通信装置或第十二方面所述的通信装置。

第十五方面，提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述第一方面或任意一种可能的实施方式中所述的方法。

第十六方面，提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述第二方面或任意一种可能的实施方式中所述的方法。

第十七方面，提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述第三方面或任意一种可能的实施方式中所述的方法。

第十八方面，提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述第四方面或任意一种可能的实施方式中所述的方法。

第十九方面，提供一种包含指令的计算机程序产品，所述计算机程序产品用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述第一方面或的任意一种可能的实施方式中所述的方法。

第二十方面，提供一种包含指令的计算机程序产品，所述计算机程序产品用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述第二方面或的任意一种可能的实施方式中所述的方法。

第二十一方面，提供一种包含指令的计算机程序产品，所述计算机程序产品用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述第三方面或的任意一种可能的实施方式中所述的方法。

第二十二方面，提供一种包含指令的计算机程序产品，所述计算机程序产品用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述第四方面或的任意一种可能的实施方式中所述的方法。

第二十三方面，提供一种核心网设备或通信装置，配置为执行上述第一方面所涉及的方法。

第二十四方面，提供一种接入网设备或通信装置，配置为执行上述第二方面所涉及的方法。

第二十五方面，提供一种核心网设备、终端设备或通信装置，配置为执行上述第三方面所涉及的方法。

第二十六方面，提供一种接入网设备或通信装置，配置为执行上述第四方面所涉及的方法。

在本申请实施例中，第一接入网设备的控制面实体和第一接入网设备的用户面实体是不同的网络实体，从而能够将第一接入网设备的控制面处理过程和用户面处理过程相隔离，以此降低安全处理过程的风险。

附图说明

图1为终端设备和接入网设备空口协议栈的示意图；

图2为CU-DU分离式基站架构的协议栈的示意图；

图3为基于基站之间的Xn接口的跨基站的小区切换过程的流程图；

图4A～图4C为本申请实施例所应用的几种场景的示意图；

图5为本申请实施例提供的第一种获取密钥的方法的流程图；

图6为本申请实施例提供的第二种获取密钥的方法的流程图；

图7为本申请实施例提供的第三种获取密钥的方法的流程图；

图8为本申请实施例提供的一种发送、接收数据包的方法的流程图；

图9为采用本申请实施例提供的一种发送、接收数据包的方法传输数据包的协议栈示意图；

图10为本申请实施例提供的一种核心网设备的示意性框图；

图11为本申请实施例提供的一种接入网设备的示意性框图；

图12为本申请实施例提供的一种第一设备的示意性框图；

图13为本申请实施例提供的一种第二设备的示意性框图；

图14为本申请实施例提供的一种通信装置的一种示意性框图；

图15为本申请实施例提供的一种通信装置的另一示意性框图；

图16为本申请实施例提供的一种通信装置的再一示意性框图；

图17为本申请实施例提供的一种通信装置的又一示意性框图。

具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地详细描述。

以下，对本申请实施例中的部分用语进行解释说明，以便于本领域技术人员理解。

1)终端设备，包括向用户提供语音和/或数据连通性的设备，具体的，包括向用户提供语音的设备，或包括向用户提供数据连通性的设备，或包括向用户提供语音和数据连通性的设备。例如可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经无线接入网(radio access network，RAN)与核心网进行通信，与RAN交换语音或数据，或与RAN交互语音和数据。该终端设备可以包括用户设备(user equipment，UE)、无线终端设备、移动终端设备、设备到设备通信(device-to-device，D2D)终端设备、车到一切(vehicle to everything，V2X)终端设备、机器到机器/机器类通信(machine-to-machine/machine-type communications，M2M/MTC)终端设备、物联网(internet of things，IoT)终端设备、签约单元(subscriber unit)、签约站(subscriber station)，移动站(mobile station)、远程站(remote station)、接入点(access point，AP)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、或用户装备(user device)等。例如，可以包括移动电话(或称为“蜂窝”电话)，具有移动终端设备的计算机，便携式、袖珍式、手持式、计算机内置的移动装置等。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、等设备。还包括受限设备，例如功耗较低的设备，或存储能力有限的设备，或计算能力有限的设备等。例如包括条码、射频识别(radio frequency identification，RFID)、传感器、全球定位系统(global positioning system，GPS)、激光扫描器等信息传感设备。

作为示例而非限定，在本申请实施例中，该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。

而如上介绍的各种终端设备，如果位于车辆上(例如放置在车辆内或安装在车辆内)，都可以认为是车载终端设备，车载终端设备例如也称为车载单元(on-board unit，OBU)。

本申请实施例中，终端设备还可以包括中继(relay)。或者理解为，能够与基站进行数据通信的都可以看作终端设备。

本申请实施例中，用于实现终端设备的功能的装置可以是终端设备，也可以是能够支持终端设备实现该功能的装置，例如芯片系统，该装置可以被安装在终端设备中。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。本申请实施例提供的技术方案中，以用于实现终端的功能的装置是终端设备为例，描述本申请实施例提供的技术方案。

2)网络设备，例如包括接入网(access network，AN)设备，例如基站(例如，接入点)，可以是指接入网中在空口通过一个或多个小区与无线终端设备通信的设备，或者例如，一种车到一切(vehicle-to-everything，V2X)技术中的网络设备为路侧单元(road side unit，RSU)。基站可用于将收到的空中帧与IP分组进行相互转换，作为终端设备与接入网的其余部分之间的路由器，其中接入网的其余部分可包括IP网络。RSU可以是支持V2X应用的固定基础设施实体，可以与支持V2X应用的其他实体交换消息。网络设备还可协调对空口的属性管理。例如，网络设备可以包括LTE系统或高级长期演进(long term evolution-advanced，LTE-A)中的演进型基站(NodeB或eNB或e-NodeB，evolutional Node B)，或者也可以包括5G NR系统(也简称为NR系统)中的下一代节点B(next generation node B，gNB)或者也可以包括云接入网(cloud radio access network，Cloud RAN)系统中的CU和DU，本申请实施例并不限定。

网络设备还可以包括核心网设备，核心网设备例如包括4G系统中的移动管理功能(mobility management entity，MME)，或包括5G系统中的访问和移动管理功能(access and mobility management function，AMF)或用户平面功能(user plane function，UPF)等。

本申请实施例中，用于实现网络设备的功能的装置可以是网络设备，也可以是能够支持网络设备实现该功能的装置，例如芯片系统，该装置可以被安装在网络设备中。在本申请实施例提供的技术方案中，以用于实现网络设备的功能的装置是网络设备为例，描述本申请实施例提供的技术方案。

3)本申请实施例中的术语“系统”和“网络”可被互换使用。“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

以及，除非有相反的说明，本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分，不用于限定多个对象的大小、内容、顺序、时序、优先级或者重要程度等。例如，第一密钥和第二密钥，只是为了区分不同的密钥，而并不是表示这两个密钥的数据量大小、内容、优先级或者重要程度等的不同。

前文介绍了本申请实施例所涉及到的一些名词概念，下面介绍本申请实施例涉及的技术特征。

在5G通信中，用户面传输和控制面传输可以分离，从而互不影响。

请参考图1，为终端设备和接入网设备用户面空口协议栈的示意图。以上行传输为例，数据或者信令首先到达终端设备的分组数据汇聚协议(packet data convergence protocol，PDCP)层，经过PDCP层的处理以后传输到无线链路控制(radio link control，RLC)层和媒体接入控制(media access control，MAC)层，经过相应处理之后，从物理层(PHY)发送出去，到达接入网设备的物理层，接入网设备的物理层将接收的数据递交给接入网设备的MAC层，在MAC层经相应处理后到达接入网设备的RLC层，在RLC层经相应处理后再到达接入网设备的PDCP层。其中，一个PDCP和一个RLC组成的传输通道可以称为无线承载，对于每个无线承载上传输的数据，都需要经过各个层的处理，每个层都有相应的功能实体来执行相应的功能，例如PDCP层的PDCP实体或者RLC层的RLC实体。其中每个RLC实体对应一个逻辑信道，一个MAC实体对应多个逻辑信道，不同的逻辑信道中的数据在MAC层可以进行复用，即复用到同一个数据块中进行传输。另外一种用户面协议栈架构是在图1所示的协议栈的基础上，在终端设备和接入网设备的PDCP层之上还存在一个服务数据适配协议(service data adapation protocol，SDAP)层，用于处理服务质量(quality of service，QoS)流到数据无线承载(data radio bearer，DRB)的映射。除此之外，控制面的协议栈和用户面协议栈的不同之处在于，控制面的协议栈在图1所示的协议栈的基础上，在终端设备和接入网设备的PDCP层之上还存在一个无线资源控制(radio resource control，RRC)层，用于处理控制面信令。

CU-DU分离式基站架构是5G网络新引入的基站架构。在4G架构中，各个基站独立部署并分别与4G核心网连接；而在5G架构中，不同基站的DU部分独立部署，但是不同基站的CU部分可以集中部署，即多个基站可以共享一个CU，其中CU连接核心网，DU通过F1接口连接CU。但CU和DU是集中在一个设备中，该设备位于基站侧。如图2所示，从协议栈结构上看，在5G基站中，把原先4G基站的室内基带处理单元(building baseband unit，BBU)中的物理底层(low-PHY)下沉到有源天线单元(active antenna unit，AAU)中处理，另外AAU中还包括射频单元(radio frequency，RF)等，把对实时性要求高的物理层(例如称为物理高层(high-PHY))、MAC层以及RLC层等放在DU中处理，而把对实时性要求不高的PDCP层，SDAP层以及RRC层等放到CU中处理。

目前，接入层的安全处理是在PDCP层进行，即，发送端在PDCP层对数据或者信令进行安全处理(例如加密或完整性保护等)，接收端同样在PDCP层对数据或者信令进行相应的安全处理(例如解密或完整性验证等)。发送端和接收端进行安全处理时，需要使用相同的密钥进行处理。对于终端设备来说，该密钥是终端设备根据终端设备内置的根密钥推演而来；对于基站来说，该密钥是由核心网设备发送给基站的密钥推演而来，进而终端设备和基站可使用相同的密钥对数据和信令进行安全处理。

另外，本申请实施例还涉及到小区切换流程，下面介绍小区切换流程的过程。小区切换分为两种方式，一种方式是基于基站之间的Xn接口实现切换，另一种方式是基于基站与核心网设备之间的N2接口实现切换。如果基站之间没有Xn接口，则可以基于基站与核心网设备之间的N2接口实现切换；或者，如果基站之间有Xn接口，则可以基于基站之间的Xn接口实现切换，也可以基于基站与核心网设备之间的N2接口实现切换。下面分别介绍这两种切换过程。

基于基站之间的Xn接口的跨基站的小区切换过程是由源(source)基站发起的切换过程，其主要过程为：源基站根据终端设备上报的测量报告决定对终端设备进行小区切换，并向目标基站发起切换请求。源基站在接收到来自目标基站的肯定切换应答后，向终端设备发送切换命令。终端设备在接收到切换命令后，停止与源基站之间的上行数据或下行数据发送，终端设备开始向目标基站进行同步，并向目标基站发起随机接入过程。源基站在向终端设备发送切换命令后，停止与终端设备之间的上行数据或下行数据传输，并将没有发送成功的数据发往目标基站。终端设备在成功接入目标基站之后，开始与目标基站进行上行数据或下行数据的传输。图3为该过程的流程图。

S301、源基站向终端设备发送上行调度信息，终端设备接收来自源基站的上行调度信息。

该上行调度信息可为终端设备调度相应的上行资源。

S302、在切换准备阶段，处于RRC连接态的终端设备根据基站配置的测量上报触发准则，通过S301中调度的上行资源发送测量报告(measurement report，MR)。

S303、源基站根据终端设备的测量报告和无线资源管理(radio resource management，RRM)算法，当终端设备满足切换条件时，为终端设备确定目标基站，或者说，为终端设备确定目标小区，或者说，确定将终端设备切换到目标小区(或，目标基站)。

S304、源基站向目标基站发送切换请求(handover request)消息，目标基站接收来自源基站的切换请求消息。

源基站可以将该终端设备的上下文(UE context)信息随切换请求消息发送给目标基站。

S305、目标基站向源基站发送切换请求确认(handover request ACK)消息，源基站接收来自目标基站的切换请求确认消息。

目标gNB为即将切换过来的终端设备做准备，同时为该终端设备分配小区无线网络临时标识(cell-radio network temporary identifier，C-RNTI)和其他参数。目标基站可在切换请求确认消息中将为终端设备分配的C-RNTI和其他参数等返回给源基站。

另外，在收到切换请求确认消息后，源基站准备将该终端设备的数据转发给目标基站。该终端设备的数据可包括待发送给该终端设备的下行数据，或接收的来自该终端设备的上行数据等。

S306、源基站向终端设备发送下行调度信息，终端设备接收来自源基站的下行调度信息。

该下行调度信息可为终端设备调度相应的下行资源。

S307、源基站向终端设备发送切换命令(handover command)，终端设备接收来自源基站的切换命令。

在切换命令中可包括以下信息：S305中所述的C-RNTI、目标基站的系统信息块(system information block，SIB)、终端设备的配置信息等。其中，目标基站的SIB例如包括终端设备在目标基站进行随机接入所使用的随机接入资源，以及还可以包括其他的一些配置信息。终端设备的配置信息例如包括该终端设备的MAC层配置、RLC配置、或PDCP配置等。

终端设备在接收切换命令后，停止与源基站的上行数据或下行数据传输，并向目标基站进行同步。

S308、源基站向目标基站发送序列号(sequence number，SN)状态信息，目标基站接收来自源基站的SN状态信息。

SN状态信息可包括上行SN状态信息，或包括下行SN状态信息，或包括上行SN状态信息和下行SN状态信息。上行SN状态信息例如为上行SN，该上行SN可以是源基站接收的来自终端设备的序列号最大的数据包的序列号，或者是源基站接收的来自终端设备的序列号最大的数据包的序列号加1。下行SN状态信息例如为下行SN，该下行SN可以是源基站待发送给该终端设备的序列号最大的数据包的序列号，或者是源基站待发送给该终端设备的序列号最大的数据包的序列号加1。

可选的，源基站可以向目标基站进行数据前送(data forwarding)，即，源基站将缓存的来自终端设备的上行数据和/或来自核心网设备(例如UPF)的对应于该终端设备下行数据转发给目标基站，相应的，目标基站接收来自源基站的数据。该步骤不是必须执行的，用虚线表示。

S309、终端设备断开与源基站的数据传输后，启动与目标基站的下行同步过程，然后向目标基站发起随机接入过程来获取上行定时和上行资源等。

目标基站向终端设备发送上行时间提前量(time advanced，TA)，并向终端设备指示分配给终端设备的资源，这里所述的资源主要用于随机接入过程，例如终端设备可利用该资源向目标基站发送随机接入过程中的第三消息(Msg3)。目标基站发送给终端设备的信息，可用于终端设备向目标基站发送RRC连接重配置完成消息，以指示小区切换完成。

S310、终端设备向目标基站发送切换确认信息，目标基站接收来自终端设备的切换确认信息。切换确认信息用于指示切换完成。该切换确认信息例如可携带在所述的RRC连接重配置完成消息中。

S311、目标基站向源基站发送切换完成消息，源基站接收来自目标基站的切换完成消息。

源基站接收该切换完成消息后，可以释放该终端设备的上下文信息等。

同时，目标基站可执行S312，即，目标基站向核心网设备发送路径转换(path switch)消息，核心网设备接收来自目标基站的路径转换消息。路径转换消息用于通知核心网设备更新数据转发目的基站的信息，将对应于该终端设备的目的基站的地址从源基站的地址更换为该目标基站的地址。核心网设备接收路径转换消息后，可将对应于该终端设备的目的基站的地址从源基站的地址更换为该目标基站的地址，以便使核心网设备后续能够将该终端设备的数据发送给该目标基站。之后，核心网设备可执行S313，即，核心网设备向目标基站发送路径转换确认(path switch ACK)消息，目标基站接收来自核心网设备的路径转换确认消息，路径转换确认消息用于指示数据转发目的基站的信息已更新。

基于基站和核心网设备之间的N2接口的跨基站的小区切换过程也是由源基站发起的切换过程，该过程与基于基站之间的Xn接口的跨基站的小区切换流程的主要区别是，在该过程中，源基站和目标基站之间不能直接通信，而是需要通过核心网设备转发，其余步骤都与图3所示的流程相同，因此不再多赘述。

如上所述，无论是小区切换流程还是非小区切换流程，对于数据或信令的安全处理来说，都是在终端设备和基站的PDCP层进行。接入层的安全处理包括控制面信令的安全处理和用户面数据的安全处理，对于基站来说，目前接入层的安全处理均在RAN侧进行，两种安全处理过程无法相互隔离，使得整个安全处理过程存在风险。

鉴于此，提供本申请实施例的技术方案。在本申请实施例中，基于用户面与控制面分离的接入网设备架构，第一接入网设备的控制面实体和第一接入网设备的用户面实体是不同的网络实体，从而使得第一接入网设备的控制面处理过程和用户面处理过程可以相互隔离，以此降低安全处理过程的风险。具体来说，用于对控制面信令进行安全处理的第二密钥发送给控制面实体，而用于对用户面数据进行安全处理的第三密钥发送给用户面实体，这样，控制面实体和用户面实体将无法获得对方的密钥，从而无法破解对方的传输内容，达到将第一接入网设备的控制面处理过程和用户面处理过程相隔离的效果，降低了整个系统的安全风险。

本申请实施例提供的技术方案可以应用于第四代移动通信技术(the 4th generation，4G)系统中，例如LTE系统，或可以应用于5G系统中，例如NR系统，或者还可以应用于下一代移动通信系统或其他类似的通信系统，只要存在一个实体可以对另一个实体发起寻呼即可，具体的不做限制。另外，本申请实施例在介绍过程中是以网络设备和终端设备之间的空口通信过程为例，实际上本申请实施例提供的技术方案也可以应用于侧行链路(sidelink，SL)，只要一个终端设备能够对另一个终端设备发起寻呼即可。例如，本申请实施例提供的技术方案可以应用于设备到设备(device-to-device，D2D)场景，可以是NR D2D场景也可以是LTE D2D场景等，或者可以应用于车到一切(vehicle to everything，V2X)场景，可以是NR V2X场景也可以是LTE V2X场景等，例如可应用于车联网，例如V2X、LTE-V、车与车(vehicle-to-vehicle，V2V)等，或可用于智能驾驶，智能网联车等领域。

请参见图4A、图4B或图4C，为本申请实施例的三种应用场景。在图4A、图4B或图4C中，接入网设备通过无线传输方式服务于终端设备。

图4A、图4B或图4C中的核心网设备例如包括UPF，当然可能还包括其他的核心网设备，例如AMF等，在此没有一一画出。另外图4A、图4B和图4C还给出了本申请实施例所提供的协议栈架构。其中，终端设备侧的协议栈可包括MAC层、RLC层、PDCP层、SDAP层和RRC层等；基站侧的DU可包括MAC层和RLC层，基站侧的CU可分为CU-控制面(control plane，CP)和CU-用户面(user plane，UP)。一种实施方式为，CU-CP位于基站侧，CU-UP挪到核心网侧，且CU-UP在核心网侧独立部署，如图4A所示。另一种实施方式为，CU-CP和CU-UP位于基站侧，在CU-UP中保留PDCP层的部分功能，而将CU-UP的PDCP层的另一部分功能(例如安全处理功能等)部署在核心网设备中，例如可部署在UPF中，可以认为，CU-UP还包括PDCP层，但PDCP层实现的功能有限，如图4B所示。另外在这种方式中，如果CU-UP中还包括SDAP层，则SDAP层可继续保留在基站侧的CU-UP中，或者也可以挪到UPF中。再一种实施方式为，CU-CP和CU-UP位于基站侧，将CU-UP的PDCP层的全部功能(例如包括安全处理功能等)部署在核心网设备中，例如可部署在UPF中，可以认为，CU-UP不再包括PDCP层，如图4C所示。另外，在图4B或图4C所示的实施方式中，如果CU-UP中还包括SDAP层，则SDAP层可继续保留在基站侧的CU-UP中，或者也可以改为部署到UPF中。无论采用哪种实施方式，都可以使得控制面和用户面的安全处理过程相互隔离开，以此降低安全处理的风险。

图4A、图4B或图4C中的接入网设备例如为基站。其中，基站在不同的系统对应不同的设备，例如在4G系统中可以对应4G中的基站，例如eNB，在5G系统中对应5G中的基站，例如gNB。当然本申请实施例所提供的技术方案也可以应用于未来的移动通信系统中，因此图4A、图4B或图4C中的接入网设备也可以对应未来的移动通信系统中的接入网设备。图4A、图4B或图4C以接入网设备是基站为例，实际上参考前文的介绍，接入网设备还可以是RSU等设备。另外，图4A、图4B或图4C中的终端设备以手机为例，实际上根据前文对于终端设备的介绍可知，本申请实施例的终端设备不限于手机。

下面结合附图介绍本申请实施例提供的方法。

本申请实施例提供第一种获取密钥的方法，请参见图5，为该方法的流程图。在下文的介绍过程中，以该方法应用于图4A、图4B或图4C所示的网络架构为例。

为了便于介绍，在下文中，以该方法由网络设备和终端设备执行为例。因为本实施例是以应用在图4A、图4B或图4C所示的网络架构为例，因此，下文中所述的第一核心网设备例如为图4A、图4B或图4C所示的网络架构中的AMF，或者也可以是除AMF和UPF之外的其他的核心网设备，下文中所述的第一接入网设备可以是图4A、图4B或图4C所示的网络架构中的接入网设备，下文中所述的终端设备可以是图4A、图4B或图4C所示的网络架构中的终端设备。

S501、第一核心网设备获得第一密钥。

第一密钥可用于推演得到第一接入网设备用于对接入层控制面信令进行安全处理的密钥，或用于推演得到第一接入网设备用于对接入层用户面数据进行安全处理的密钥，或用于推演得到第一接入网设备用于接入层控制面信令进行安全处理的密钥以及用于推演得到第一接入网设备用于对接入层用户面数据进行安全处理的密钥。

在本申请实施例中，对接入层控制面信令进行安全处理，可以包括如下的一种或多种处理方式：对接入层控制面信令进行完整性保护、完整性验证、加密、或解密。例如，第一接入网设备的控制面实体是信令的发送端，则第一接入网设备的控制面实体可以对该信令进行完整性保护，或者进行加密，或者进行完整性保护和加密。又例如，第一接入网设备的控制面实体是信令的接收端，则第一接入网设备的控制面实体可以对该信令进行完整性验证，或者进行解密，或者进行完整性验证和解密。

同理，在本申请实施例中，对接入层用户面数据进行安全处理，可以包括如下的一种或多种处理方式：对接入层用户面数据进行完整性保护、完整性验证、加密、或解密。例如，第一接入网设备的用户面实体是数据包的发送端，则第一接入网设备的用户面实体可以对该数据包进行完整性保护，或者进行加密，或者进行完整性保护和加密。又例如，第一接入网设备的用户面实体是数据包的接收端，则第一接入网设备的用户面实体可以对该数据包进行完整性验证，或者进行解密，或者进行完整性验证和解密。

在一种实施方式中，第一密钥可以是第一接入网设备对应于所述终端设备的中间密钥。对此可以理解为，第一接入网设备在与不同的终端设备通信时可以基于不同的中间密钥进行推演得到对应于不同终端设备的，用于对接入层控制面信令和用户面数据进行安全处理的密钥。例如第一密钥可以包括K _gnb和/或NH。

在核心网侧，可以预先每个存储终端设备对应的根密钥，然后至少一个核心网设备可以基于该根密钥进行一步步的推演过程，从而得到不同设备或者不同安全过程中所需用到的密钥。其中能够基于该根密钥推演得到自身所使用的密钥的核心网设备包括但不限于：身份验证凭据存储库和处理功能(authentication credential repository and processing function，ARPF)，身份验证服务器功能实体(authentication server function，AUSF)，或安全锚点功能实体(security anchor function，SEAF)中的一个或多个，当然还可以包括其他的核心网设备，例如AMF等。例如第一核心网设备能够获得该终端设备对应的根密钥，例如称为第一根密钥。第一核心网设备可以根据第一根密钥进行推演，或者，第一核心网设备可以根据由第一根密钥推演得到的密钥进行进一步推演，得到第一核心网设备所使用的密钥，例如称为第四密钥。例如第一核心网设备为AMF，则第四密钥可以表示为K _AMF。第一核心网设备再根据第四密钥进行推演，可以得到第一密钥，也可以根据第四密钥进行推演得到其他密钥，例如得到用于非接入层通信过程中进行安全处理的密钥。

S502、第一核心网设备根据第一密钥进行推演，得到第二密钥和第三密钥。

在一种可选的实施方式中，第一核心网设备可以根据第一密钥进行一次或多次推演，得到第二密钥和第三密钥。在另一种可选的实施方式中，第一密钥可以包括第二密钥和第三密钥，即，第一核心网设备无需根据第一密钥进行推演，便可得到第二密钥和第三密钥。从这个意义上来说，S502也可以改为，第一核心网设备根据第一密钥确定第二密钥和第三密钥，其中一种确定方式是第一核心网设备根据第一密钥推演得到第二密钥或第三密钥，其中另一种确定方式是第一核心网设备得到第一密钥也就得到了第二密钥和第三密钥(第一密钥包括第二密钥和第三密钥)。其中，第二密钥用于对接入层的控制面信令进行安全处理，第三密钥用于对用户面数据进行安全处理。这里的推演过程可以理解为，由至少一个第一参数和安全算法进行特定运算，得到至少一个输出参数的过程。例如所述的第一参数为第一密钥，经过安全算法的运算，得到第二密钥和/或第三密钥。

作为一种实施方式，第二密钥可以包括第一子密钥，或包括第二子密钥，或包括第一子密钥和第二子密钥。第一子密钥例如表示为K _RRCenc，可被接入网设备用于对控制面信令进行加密或者解密。第二子密钥例如表示为K _RRCint，可被接入网设备用于对控制面信令进行完整性保护或者完整性验证。

在本申请所涉及的各个实施例中，完整性保护是指，数据包的发送端将密钥等信息作为入参，通过完整性保护算法对数据包进行运算处理得到第一数值，然后将第一数值与数据包一起传输，以实现对该数据包的保护。完整性验证是指，数据包的接收端将密钥等信息作为入参，通过完整性保护算法对数据包进行运算处理得到第二数值，接收端将第一数值与第二数值进行比较，如果第一数值与第二数值一致，则该数据包的完整性验证通过，如果第一数值与第二数值不一致，则该数据包的完整性验证失败。例如，第一数值为消息认证码(message authentication code，MAC)-I，第二数值为预期消息认证码(expected message authentication code，XMAC)-I，I代表完整性(integrity)。在后文介绍的其他实施例中，对这两个概念不再多赘述。

作为一种实施方式，第三密钥可以包括第三子密钥，或包括第四子密钥，或包括第三子密钥和第四子密钥。第三子密钥例如表示为K _UPenc，可被接入网设备用于对用户面数据进行加密或者解密。第四子密钥例如表示为K _UPint，可被接入网设备用于对用户面数据进行完整性保护或者完整性验证。

S503、第一核心网设备将第二密钥发送给第一接入网设备的控制面实体，以及，将第三密钥发送给第一接入网设备的用户面实体。

第一接入网设备的控制面实体负责接入层的控制面信令的通信处理，或者说，第一接入网设备的控制面实体可与终端设备进行控制面通信，或者，第一接入网设备的控制面实体可与终端设备进行信令通信，即，第一接入网设备在与终端设备进行控制面信令通信时，通过第一接入网设备的控制面实体来进行。第一接入网设备的控制面实体与终端设备进行控制面信令通信，可包括第一接入网设备的控制面实体向终端设备发送信令，还可包括终端设备向第一接入网设备的控制面实体发送信令。其中控制面信令包括信令无线承载(sigaling radio bearer，SRB)信令或RRC信令等。

第一接入网设备的用户面实体负责与终端设备进行用户面数据通信，或者说，第一接入网设备的用户面实体可与终端设备进行用户面通信，或者，第一接入网设备的控制面实体可与终端设备进行数据通信，即，第一接入网设备在与终端设备进行用户面数据通信时，通过第一接入网设备的用户面实体来进行。第一接入网设备的用户面实体与终端设备进行用户面数据通信，可包括第一接入网设备的用户面实体向终端设备发送数据，还可包括终端设备向第一接入网设备的用户面实体发送数据。其中用户面数据包括上层来的IP包，以太包或者其他类型的数据包等。

第一接入网设备的控制面实体接收第二密钥后，可以使用第二密钥对该终端设备的控制面的信令进行安全处理。例如，对于第一接入网设备的控制面实体待发送给该终端设备的信令，第一接入网设备的控制面实体可使用第二密钥对该信令进行加密或完整性保护等；对于第一接入网设备的控制面实体接收的来自该终端设备的信令，第一接入网设备的控制面实体可使用第二密钥对该信令进行解密或完整性验证等。

同理，第一接入网设备的用户面实体接收第三密钥后，可以使用第三密钥对该终端设备的用户面的数据进行安全处理。例如，对于第一接入网设备的用户面实体待发送给该终端设备的数据，第一接入网设备的用户面实体可使用第三密钥对该数据进行加密或完整性保护等；对于第一接入网设备的用户面实体接收的来自该终端设备的数据，第一接入网设备的用户面实体可使用第三密钥对该数据进行解密或完整性验证等。

优选的，在本申请实施例中，第一接入网设备的控制面实体和第一接入网设备的用户面实体是不同的网络实体，从而能够将第一接入网设备的控制面处理过程和用户面处理过程相隔离。在本申请实施例中，由第一核心网设备推演第一接入网设备所使用的密钥，无需第一接入网设备自行推演。第一核心网设备在推演得到第二密钥和第三密钥后，可将第二密钥发送给第一接入网设备的控制面实体，以及将第三密钥发送给第一接入网设备的用户面实体，从而使得第一接入网设备的控制面实体无法获得第三密钥，即，第一接入网设备的控制面实体既不会感知用户面数据的处理，也不会接触到用户面的第三密钥，能够有效降低安全处理的风险。

另外，由于接入网设备由设备商提供，由运营商部署，一般部署在户外，所以如果接入网设备能够读取用户数据的话，会对数据安全造成一定的风险。按照如上的安全处理方式，用户面数据和控制面信令的安全处理虽然相互隔离，但是仍然都处于接入网侧，用户的数据依然会有安全风险。

因此，作为一种可选的实施方式，在本申请实施例中，第一接入网设备的控制面实体可位于接入网侧，第一接入网设备的用户面实体可位于核心网侧；或者，CU-CP和CU-UP继续位于第一接入网设备侧的CU中，在CU-UP中保留PDCP层的部分功能，而将CU-UP的PDCP层的另一部分功能(例如安全处理功能等)部署在核心网设备中，例如可部署在UPF中，如果是这种情况，则第一接入网设备的控制面实体例如为CU-CP，第一接入网设备的用户面实体例如为部署在核心网设备(例如UPF)中的PDCP层(即，能够实现CU-UP的PDCP层的另一部分功能)；或者，CU-CP和CU-UP都继续位于第一接入网设备侧的CU中，但是将CU-UP的PDCP层的全部功能(例如包括安全处理功能等)部署在核心网设备(例如UPF)中，如果是这种情况，则第一接入网设备的控制面实体例如为CU-CP，第一接入网设备的用户面实体例如为核心网设备(例如UPF)中的PDCP层(即，能够实现CU-UP的PDCP层的全部功能)。一般来说，接入层的控制信令是为了辅助用户面数据传输的，用户真正关心的是用户面数据，所以将用户面数据的安全处理放在核心网侧，首先能够保证用户面数据处理的安全性，同时通过隔离用户面与控制面的安全处理过程，可以进一步保证接入网侧无法获取用户面数据安全处理的密钥，能够显著降低用户面数据的安全风险。

以第一核心网设备是AMF、第一接入网设备的控制面实体是CU-CP、第一接入网设备的用户面实体是CU-UP为例，AMF可通过与CU-CP之间的接口将第二密钥发送给CU-CP；AMF将第三密钥发送给位于核心网侧的CU-UP，可以通过AMF和CU-UP的接口发送，或者也可以通过UPF或者其他核心网设备转发给CU-UP。

在前文介绍了，由于接入网设备由设备商提供，由运营商部署，一般部署在户外，所以如果接入网设备能够读取用户数据的话，会对数据安全造成一定的风险。因此在本申请实施例中，第一接入网设备的控制面实体可位于接入网侧，而第一接入网设备的用户面实体可位于核心网侧，一般来说，接入层的控制信令是为了辅助用户面数据传输的，用户真正关心的是用户面数据，所以将用户面数据的安全处理放在核心网侧，首先能够保证用户面数据处理的安全性，同时通过隔离用户面与控制面的安全处理过程，可以进一步保证接入网侧无法获取用户面数据安全处理的密钥，能够显著降低用户面数据的安全风险。

S504、第一核心网设备向终端设备发送下一跳链计数(next hop chaining counter，NCC)，终端设备接收来自第一核心网设备的NCC。

或者，第一核心网设备也可以不向终端设备发送NCC，例如第一核心网设备的推演次数(或，推演轨迹，或推演记录)是通过协议规定的，或者是第一核心网设备事先已告知终端设备的，则第一核心网设备可以不向终端设备发送NCC。因此，S504是可选的步骤，在图5中用虚线表示。

接入层的安全处理包括控制面信令的安全处理和用户面数据的安全处理，对于基站来说，目前接入层的安全处理均在RAN侧进行。以上行传输为例。数据在终端设备侧的PDCP进行安全处理(例如加密或完整性保护)以后，传输到接入网侧的DU，经过DU的处理后传输到接入网侧的CU-UP，在CU-UP的PDCP层进行相应的安全处理(例如解密或完整性验证)，然后再传输到核心网侧的UPF；而信令从终端设备的RRC层传输到终端设备的PDCP层，在终端设备的PDCP进行安全处理(例如加密或完整性保护)以后，传输到接入网侧的DU，经过DU的处理后传输到接入网侧的CU-CP，在CU-CP的PDCP层进行相应的安全处理(例如解密或完整性验证)后，递交给CU-CP的RRC层解析。其中，CU-CP和CU-UP位于一个实体中，该实体位于接入网设备侧。可见，对于基站来说，目前接入层的安全处理均在RAN侧进行，两种安全处理过程无法相互隔离，使得整个安全处理过程存在风险。而且，由于接入网设备由设备商提供，由运营商部署，一般部署在户外，所以如果接入网设备能够读取用户数据的话，会对数据安全造成一定的风险。而目前，CU-CP和CU-UP都处于接入网侧，用户的数据依然会有安全风险。

而本申请实施例中，第一接入网设备的控制面实体和用户面实体为两个网络实体，且控制面实体位于接入网侧，用户面实体位于核心网侧，这样数据的安全处理会在核心网侧进行。以上行传输为例。数据在终端设备侧的PDCP进行安全处理(例如加密或完整性保护)以后，传输到接入网侧的DU，经过DU的处理后传输到核心网侧的用户面实体，在用户面实体的PDCP层进行相应的安全处理(例如解密或完整性验证)，然后再传输到核心网侧的UPF；而信令从终端设备的RRC层传输到终端设备的PDCP层，在终端设备的PDCP进行安全处理(例如加密或完整性保护)以后，传输到接入网侧的DU，经过DU的处理后传输到接入网侧的控制面实体，在控制面实体的PDCP层进行相应的安全处理(例如解密或完整性验证)后，递交给控制面实体的RRC层解析。可见，通过本申请实施例提供的方法，用户面数据的安全处理在用户面实体中进行，控制面信令的安全处理在控制面实体中进行，用户面实体和控制面实体位于不同的实体中，使得用户面数据和控制面信令的安全处理过程能够隔离，提高用户面数据的安全性。而且一般来说，接入层的控制信令是为了辅助用户面数据传输的，用户真正关心的是用户面数据，所以将用户面数据的安全处理放在核心网侧，首先能够保证用户面数据处理的安全性，同时通过隔离用户面与控制面的安全处理过程，可以进一步保证接入网侧无法获取用户面数据安全处理的密钥，能够显著降低用户面数据的安全风险。

图5所示的实施例涉及的是非小区切换流程，而在小区切换流程中，本申请实施例提供的方案也能提高数据的安全性。下面介绍本申请实施例提供的第二种获取密钥的方法，通过该方法，能够在小区切换的场景中提高数据的安全性。请参见图6，为该方法的流程图。在下文的介绍过程中，以该方法应用于图4A、图4B或图4C所示的网络架构为例。另外，本申请实施例所涉及的小区切换流程是基于基站之间的Xn接口的跨基站的小区切换流程。

为了便于介绍，在下文中，以该方法由网络设备和终端设备执行为例。因为本实施例是以应用在图4A、图4B或图4C所示的网络架构为例，因此，下文中所述的第一核心网设备例如为图4A、图4B或图4C所示的网络架构中的AMF，或者也可以是除AMF和UPF之外的其他的核心网设备，下文中所述的第一接入网设备可以是图4A、图4B或图4C所示的网络架构中的接入网设备，下文中所述的第二接入网设备在图4A、图4B或图4C中未画出，是该网络架构中第一核心网设备服务的另一个接入网设备，下文中所述的终端设备可以是图4A、图4B或图4C所示的网络架构中的终端设备。

S601、第二接入网设备向第一核心网设备发送输入参数，第一核心网设备接收来自第二接入网设备的输入参数，该输入参数可用于推演第一密钥(或者说，用于推演得到第一密钥，对此可理解为，第一核心网根据该输入参数进行推演，能够得到第一密钥)，或者说用于确定第一密钥。

例如，本申请实施例可以在原有切换流程中新增一条消息，例如称为第一消息，第一消息可以包括输入参数，也就是说，第二接入网设备可以通过第一消息将输入参数发送给第一核心网设备。第一消息可以认为是与安全相关的消息，或者也可以认为是与小区切换相关的消息。

第二接入网设备是终端设备在进行小区切换时的源接入网设备，或者说第二接入网设备是终端设备在进行小区切换之前所接入的接入网设备。另外还有第一接入网设备，是终端设备在进行小区切换时的目标接入网设备，或者说第一接入网设备是终端设备在进行小区切换之后所接入的接入网设备。所述的输入参数与目标小区相关，可以理解为，切换以后第一接入网设备在与该终端设备通信时使用的密钥需要根据输入参数得到。

因为本申请实施例是基于基站之间的Xn接口的跨基站的小区切换流程，则作为一种可选的实施方式，在S601之前，还可以执行S602，第二接入网设备向第一接入网设备发送切换请求消息，第一接入网设备接收来自第二接入网设备的切换请求消息，该切换请求消息用于请求将该终端设备切换到第一接入网设备。例如，第二接入网设备可以向第一接入网设备的控制面实体发送切换请求消息，第一接入网设备的控制面实体接收来自第二接入网设备的切换请求消息。关于S602，可参考图3流程中的S304。在执行S602后，可执行S601，第二接入网设备将输入参数发送给第一核心网设备。

例如，输入参数可以包括第一小区的物理小区标识(physical cell identity，PCI)，或包括第一小区的频率，或包括第一小区的PCI和第一小区的频率。或者输入参数还可以包括其他的信息，只要输入参数能够用于确定第一密钥即可。第一小区的频率例如为第一小区的绝对无线频道编号(absolute radio frequency channel number，ARFCN)。第一小区是终端设备的目标小区，或者说，第一小区是终端设备在进行小区切换时的目标小区。对此可以理解为，在本申请实施例中，终端设备进行小区切换，就是要切换到第一小区，因此第一小区就称为终端设备的目标小区。而第一小区是第一接入网设备提供的，因此第一接入网设备也称为终端设备的目标接入网设备。

S603、第一核心网设备获得第一密钥。

第一核心网设备获得了输入参数，可根据输入参数推演第一密钥，图6中的S602以此为例。可选的，第一核心网设备可以根据输入参数和第二接入网设备的密钥推演第一密钥，第二接入网设备的密钥例如为第二接入网设备对应于该终端设备的中间密钥，例如称为第五密钥，第一核心网设备可根据第五密钥和输入参数推演得到第一密钥。其中，第五密钥是第一核心网设备已知的，例如可参考图5所示的实施例，第一核心网设备可为第一接入网设备确定第二密钥和第三密钥，在确定第二密钥和第三密钥之前，第一核心网设备会先获得第一密钥，那么同理，第一核心网设备也可以获得第二接入网设备的第五密钥，则第二接入网设备无需将第五密钥发送给第一核心网设备，只需将输入参数发送给第一核心网设备即可，以节省信令开销。

关于第一密钥，可参考图5所示的实施例中的S501的相关介绍。

S604、第一核心网设备根据第一密钥进行推演，得到第二密钥和第三密钥。

关于S604的更多内容，可参考图5所示的实施例中的S502的相关介绍。

S605、第一核心网设备将第二密钥发送给第一接入网设备的控制面实体，以及，将第三密钥发送给第一接入网设备的用户面实体。

其中，如果第一接入网设备的用户面实体部署在除第一核心网设备之外的其他的核心网设备中，则第一核心网设备可以将第三密钥发送给第一接入网设备的用户面实体。例如，第一核心网设备是AMF，第一接入网设备的用户面实体部署在UPF中，或者第一接入网设备的用户面实体在核心网侧是独立的设备，则AMF可以将第三密钥发送给第一接入网设备的用户面实体。或者，如果第一接入网设备的用户面实体部署在第一核心网设备中，则第一核心网设备可以不必向第一接入网设备的用户面实体发送第三密钥，第一接入网设备的用户面实体可以获得第一核心网设备推演得到的第三密钥。

例如，本申请实施例可以在原有切换流程中新增一条消息，例如称为第二消息，第二消息可以包括第二密钥。也就是说，第一核心网设备可以通过第二消息将第二密钥发送给第一接入网设备的控制面实体。第二消息可以认为是与安全相关的消息，或者也可以认为是与小区切换相关的消息。

另外，本申请实施例还可以在原有切换流程中再新增一条消息，例如称为第三消息，如果第一核心网设备需要向第一接入网设备的用户面实体发送第三密钥，则第三消息可包括第三密钥。也就是说，第一核心网设备可以通过第三消息将第三密钥发送给第一接入网设备的用户面实体。第三消息可以认为是与安全相关的消息，或者也可以认为是与小区切换相关的消息。

如果第一核心网设备需要向第一接入网设备的用户面实体发送第三密钥，则第一核心网设备可以先发送第三消息后发送第二消息，或者可以先发送第二消息后发送第三消息，或者也可以同时发送第三消息和第二消息。

关于S605的更多内容，可参考图5所示的实施例中的S503的相关介绍。

S606、第一核心网设备向终端设备发送NCC，终端设备接收来自第一核心网设备的NCC。

例如，第一核心网设备可以将NCC发送给第二接入网设备，由第二接入网设备将NCC转发给终端设备；或者，第一核心网设备可以将NCC发送给第一接入网设备，第一接入网设备将NCC转发给第二接入网设备，再由第二接入网设备将NCC转发给终端设备。其中，如果第一核心网设备将NCC发送给第一接入网设备，则第一核心网设备可以将NCC发送给第一接入网设备的控制面实体，由第一接入网设备的控制面实体将NCC转发给第二接入网设备，再由第二接入网设备将NCC转发给终端设备。

关于NCC的更多内容，可参考图5所示的实施例中的S504的相关介绍。

S607、第一接入网设备向第二接入网设备发送切换请求确认消息，第二接入网设备接收来自第一接入网设备的切换请求确认消息。

因为本申请实施例的应用场景是基于基站之间的Xn接口的跨基站的小区切换流程，因此第一接入网设备还可以向第二接入网设备发送切换请求确认消息。例如，第一接入网设备的控制面实体向第二接入网设备发送切换请求确认消息，第二接入网设备接收来自第一接入网设备的控制面实体的切换请求确认消息。关于S607，可参考图3所示的流程中的S305。

S608、第二接入网设备向终端设备发送切换命令，终端设备接收来自第二接入网设备的切换命令。

关于S608，可参考图3所示的流程中的S307。

另外，在执行S608后，还可以继续执行如图3所示的流程中的S308～S313中的一个或多个步骤，即，还可执行有关小区切换的一个或多个步骤，本申请实施例不做限制。

其中，S602、S606～S608均为可选的步骤，不是必须执行的，在图6中用虚线表示。

在本申请实施例中，第一接入网设备的控制面实体和用户面实体为两个网络实体，且控制面实体位于接入网侧，用户面实体位于核心网侧，这样数据的安全处理会在核心网侧进行。以上行传输为例。数据在终端设备侧的PDCP进行安全处理(例如加密或完整性保护)以后，传输到接入网侧的DU，经过DU的处理后传输到核心网侧的用户面实体，在用户面实体的PDCP层进行相应的安全处理(例如解密或完整性验证)，然后再传输到核心网侧的UPF；而信令从终端设备的RRC层传输到终端设备的PDCP层，在终端设备的PDCP进行安全处理(例如加密或完整性保护)以后，传输到接入网侧的DU，经过DU的处理后传输到接入网侧的控制面实体，在控制面实体的PDCP层进行相应的安全处理(例如解密或完整性验证)后，递交给控制面实体的RRC层解析。可见，通过本申请实施例提供的方法，用户面数据的安全处理在用户面实体中进行，控制面信令的安全处理在控制面实体中进行，用户面实体和控制面实体位于不同的实体中，使得用户面数据和控制面信令的安全处理过程能够隔离，提高用户面数据的安全性。而且一般来说，接入层的控制信令是为了辅助用户面数据传输的，用户真正关心的是用户面数据，所以将用户面数据的安全处理放在核心网侧，首先能够保证用户面数据处理的安全性，同时通过隔离用户面与控制面的安全处理过程，可以进一步保证接入网侧无法获取用户面数据安全处理的密钥，能够显著降低用户面数据的安全风险。

图6所示的实施例的应用场景是基于基站之间的Xn接口的跨基站的小区切换流程，下面，本申请实施例提供第三种获取密钥的方法，该方法的应用场景是基于基站和核心网设备之间的N2接口的跨基站的小区切换过程，通过该方法，同样能够提高数据的安全性。请参见图7，为该方法的流程图。在下文的介绍过程中，以该方法应用于图4A、图4B或图4C所示的网络架构为例。另外，本申请实施例所涉及的小区切换流程是基于基站之间的Xn接口的跨基站的小区切换流程。

S701、第二接入网设备向第一核心网设备发送输入参数，第一核心网设备接收来自第二接入网设备的输入参数，该输入参数可用于推演第一密钥，或者说用于确定第一密钥。

本申请实施例是基于基站和核心网设备之间的N2接口的跨基站的小区切换过程，那么第二接入网设备在确定终端设备进行小区切换时，可以向第一核心网设备发送切换请求消息，以通过第一核心网设备将该切换请求消息转发给第一接入网设备。可选的，在第二接入网设备发送给第一核心网设备的切换请求消息中，可以包括所述的输入参数，可理解为，S701为第二接入网设备向第一核心网设备发送切换请求消息，例如称为第一切换请求消息，第一核心网设备接收来自第二接入网设备的第一切换请求消息，第一切换请求消息包括输入参数，图7中的S701以此为例。也就是说，本申请实施例无需新增消息，而是可通过已有的切换请求消息将输入参数发送给第一核心网设备，更有利于与现有的方案兼容，且能够节省信令开销。

或者，本申请实施例也可以在原有切换流程中新增一条消息，例如称为第一消息，第一消息可以包括输入参数，也就是说，第二接入网设备可以通过第一消息将输入参数发送给第一核心网设备。第一消息可以认为是与安全相关的消息，或者也可以认为是与小区切换相关的消息。第二接入网设备可以先发送第一切换请求消息后发送第一消息，或者可以先发送第一消息后发送第一切换请求消息，或者也可以同时发送第一消息和第一切换请求消息。

关于第一接入网设备、第二接入网设备以及输入参数等更多内容，可参考图6所示的实施例中的S601的相关介绍。

S702、第一核心网设备获得第一密钥。

第一核心网设备获得了输入参数，可根据输入参数推演第一密钥，图7中的S702以此为例。可选的，第一核心网设备可以根据输入参数和第二接入网设备的密钥推演第一密钥，第二接入网设备的密钥例如为第二接入网设备对应于该终端设备的中间密钥，例如称为第五密钥，第一核心网设备可根据第五密钥和输入参数推演得到第一密钥。

关于第一密钥以及第五密钥等更多内容，可参考图6所示的实施例中的S603的相关介绍。

S703、第一核心网设备根据第一密钥进行推演，得到第二密钥和第三密钥。

关于S703的更多内容，可参考图5所示的实施例中的S502的相关介绍。

S704、第一核心网设备将第二密钥发送给第一接入网设备的控制面实体，以及，将第三密钥发送给第一接入网设备的用户面实体。

本申请实施例是基于基站和核心网设备之间的N2接口的跨基站的小区切换过程，那么第一核心网设备在接收来自第二接入网设备的第一切换请求消息后，如果按照现有技术，则第一核心网设备会将第一切换请求消息转发给第一接入网设备。那么本申请实施例可以利用这个流程，例如第一核心网设备可以生成第二切换请求消息，第二切换请求消息包括第二密钥，第一核心网设备将第二切换请求消息发送给第一接入网设备，从而就将第二密钥发送给了第一接入网设备。例如，第一核心网设备可以在第一切换请求消息中添加第二密钥，得到第二切换请求消息，通过这种方式，不仅实现了将第一切换请求消息转发给第一接入网设备的目的，还将第二密钥也发送给了第一接入网设备，从而无需通过新增的消息将第二密钥发送给第一接入网设备，有助于与现有的方案兼容，且能够减小信令开销。其中，由于切换请求消息是控制面的信令，则第一核心网设备在转发切换请求消息时，可以将切换请求消息转发给第一接入网设备的控制面实体，因此本申请实施例可以将用于控制面安全处理的第二密钥添加到第一切换请求消息中，得到第二切换请求消息，第一核心网设备可以将第二切换请求消息发送给第一接入网设备的控制面实体。

或者，第一核心网设备发送第二密钥也可以不利用现有的消息，例如本申请实施例可以在原有切换流程中新增一条消息，例如称为第二消息，第二消息可以包括第二密钥。也就是说，第一核心网设备可以通过第二消息将第二密钥发送给第一接入网设备的控制面实体。第二消息可以认为是与安全相关的消息，或者也可以认为是与小区切换相关的消息。如果是这种情况，则第一核心网设备还会将第一切换请求消息转发给第一接入网设备，那么第一核心网设备可以先转发第一切换请求消息后发送第二消息，或者可以先发送第二消息后转发第一切换请求消息，或者也可以同时发送第一切换请求消息和第二消息。

另外，如果第一接入网设备的用户面实体部署在除第一核心网设备之外的其他的核心网设备中，则第一核心网设备可以将第三密钥发送给第一接入网设备的用户面实体。例如，第一核心网设备是AMF，第一接入网设备的用户面实体部署在UPF中，或者第一接入网设备的用户面实体在核心网侧是独立的设备，则AMF可以将第三密钥发送给第一接入网设备的用户面实体。或者，如果第一接入网设备的用户面实体部署在第一核心网设备中，则第一核心网设备可以不必向第一接入网设备的用户面实体发送第三密钥，第一接入网设备的用户面实体可以获得第一核心网设备推演得到的第三密钥。

本申请实施例可以在原有切换流程中新增一条消息，例如称为第三消息，如果第一核心网设备需要向第一接入网设备的用户面实体发送第三密钥，则第三消息可包括第三密钥。也就是说，第一核心网设备可以通过第三消息将第三密钥发送给第一接入网设备的用户面实体。第三消息可以认为是与安全相关的消息，或者也可以认为是与小区切换相关的消息。

关于S704的更多内容，可参考图5所示的实施例中的S503的相关介绍。

S705、第一核心网设备向终端设备发送NCC，终端设备接收来自第一核心网设备的NCC。

S706、第一接入网设备向第一核心网设备发送切换请求确认消息，第一核心网设备接收来自第一接入网设备的切换请求确认消息。

例如，第一接入网设备的控制面实体向第一核心网设备发送切换请求确认消息，第一核心网设备接收来自第一接入网设备的控制面实体的切换请求确认消息。

S707、第一核心网设备向第二接入网设备转发切换请求确认消息，第二接入网设备接收来自第一核心网设备的切换请求确认消息。

因为本申请实施例基于基站和核心网设备之间的N2接口的跨基站的小区切换过程，因此第一接入网设备向第二接入网设备发送切换请求确认消息，需要通过第一核心网设备转发。

S708、第二接入网设备向终端设备发送切换命令，终端设备接收来自第二接入网设备的切换命令。

关于S708，可参考图3所示的流程中的S307。其中，S705～S708均为可选的步骤，不是必须执行的，在图6中用虚线表示。

另外，在执行S708后，还可以继续执行如图3所示的流程中的S308～S313中的一个或多个步骤，即，还可执行有关小区切换的一个或多个步骤，当然在执行过程中，接入网设备之间不能直接通信，需要通过第一核心网设备转发。本申请实施例对于还需要执行与小区切换相关的哪些步骤不做限制。

图5所示的实施例至图7所示的实施例中的每个实施例，都是使得接入网设备的控制面实体和用户面实体相分离，从而提高数据的安全性。接下来，本申请实施例提供一种发送、接收数据包的方法，在这种方法中，无需使得接入网设备的控制面实体和用户面实体相分离，也能提高数据的安全性。请参见图8，为该方法的流程图。在下文的介绍过程中，以该方法应用于图4A、图4B或图4C所示的网络架构为例。另外，本申请实施例所涉及的小区切换流程是基于基站之间的Xn接口的跨基站的小区切换流程。

为了便于介绍，在下文中，以该方法由第一设备和第二设备执行为例，其中第一设备为数据包发送端，第二设备为数据包接收端。例如第一设备为终端设备，第二设备为接入网设备；或者，第一设备为接入网设备，第二设备为终端设备。因为本申请实施例是以应用在图4A、图4B或图4C所示的网络架构为例，因此，本申请实施例所述的核心网设备例如为图4A、图4B或图4C所示的网络架构中的AMF，或者也可以是除AMF和UPF之外的其他的核心网设备，本申请实施例所述的接入网设备可以是图4A、图4B或图4C所示的网络架构中的接入网设备，本申请实施例所述的终端设备可以是图4A、图4B或图4C所示的网络架构中的终端设备。

S801、第一设备获得第一数据包。

例如，S801可以是第一设备的第一协议层获得第一数据包。第一协议层是本申请实施例新增的协议层，也可以称为安全层(security layer)，或者还可以有其他的名称。在第一设备内，第一协议层可位于PDCP层之上，以及位于IP层和工业媒体接入控制(media access control，MAC)层之下。其中，所述的工业MAC层不是空口协议栈中位于物理层之上的MAC层，工业MAC层是位于第一协议层之上的，第一协议层又位于空口协议栈的MAC 层之上。所述的工业MAC层和空口协议栈的MAC层的功能结构是不同的。

第一数据包例如为IP包或以太包。第一设备是第一数据包的发送端，那么，如果第一数据包为IP包，那么可以是第一设备的IP层生成第一数据包，并将第一数据包发送给第一设备的第一协议层。或者，如果第一数据包为以太包，则可以是第一设备的工业MAC层生成第一数据包，并将第一数据包发送给第一设备的第一协议层。

S802、第一设备在第一协议层使用第一密钥对第一数据包进行安全处理，得到第二数据包。

此处的安全处理，可以包括如下的一种或多种处理方式：完整性保护、完整性验证、加密、或解密。例如，第一设备是第一数据包的发送端，则第一设备可以在第一协议层对第一数据包进行完整性保护，或者进行加密，或者进行完整性保护和加密。又例如，第一设备是第一数据包的接收端，则第一设备可以在第一协议层对第一数据包进行完整性验证，或者进行解密，或者进行完整性验证和解密。本申请实施例以第一设备是第一数据包的发送端为例。

第一设备在第一协议层使用第一密钥对第一数据包进行安全处理之前，首先需要获得第一密钥。如果第一设备为终端设备，对于终端设备来说，可以内置根密钥(例如为图5所示的实施例中的S504所介绍的第二根密钥)，终端设备可按照第一规则对该根密钥进行推演，得到第一密钥。或者，如果第一设备为核心网设备，对于核心网设备来说，也有对应于该终端设备的密钥，例如称为第三密钥，例如核心网设备为AMF，则核心网设备对应于该终端设备的密钥(即第三密钥)为K _AMF，即如图5所示的实施例中的S501所述的第四密钥。其中，核心网设备对应于该终端设备的密钥，是指核心网设备在与该终端设备通信时所使用的密钥，或者是指，根据该密钥能够确定核心网设备在与该终端设备通信时所使用的密钥，对此可以理解为，核心网设备在与不同的终端设备通信时可以使用对应于相应终端设备的，用于对接入层控制面信令和用户面数据进行安全处理的密钥，进行安全处理。核心网设备可以根据第一规则对第三密钥进行推演，得到第一密钥。第一规则可以是核心网设备配置的，或者是终端设备与核心网设备协商确定的，或者是通过协议规定的。另外，可选的，终端设备可以与核心网设备进行交互，来保证双方所用的第一规则是一致的。

如果第一设备在第一协议层使用第一密钥对第一数据包进行完整性保护或完整性验证，则第一密钥可包括第一子密钥，第一子密钥用于在第一协议层对数据包进行完整性保护或完整性验证。如果第一设备在第一协议层使用第一密钥对第一数据包进行加密或解密，则第一密钥可包括第二子密钥，第二子密钥用于在第一协议层对数据包进行加密或解密。也就是说，第一密钥可包括第一子密钥，或包括第二子密钥，或包括第一子密钥和第二子密钥。或者，如果所述的安全处理还包括其他的安全处理过程，则第一密钥还可以包括其他的安全处理过程相应的密钥。

另外，以数据包是IP包或以太包为例。数据包的发送端在对一个数据包进行处理时，为了节省传输资源开销，数据包的发送端的PDCP层可以对该数据包的包头进行压缩，例如使用头压缩协议对IP包头或者以太包头进行压缩，压缩后的包头的长度缩短，可以节省传输资源开销。本申请实施例引入了第一协议层，这可能会导致一个问题：整个数据包在第一协议层进行安全处理，第一协议层将安全处理后的数据包递交到PDCP层后，PDCP层无法识别出该数据包的包头，从而无法对包头进行压缩，这样会影响压缩功能，可能造成传输资源浪费甚至导致传输出错。

为此，本申请实施例提供几种解决方式，下面分别介绍。

解决方式一、

第一设备在第一协议层将第一数据包的包头移除，或者理解为，将第一数据包的包头和负载分离。之后，第一设备在第一协议层使用第一密钥对第一数据包的负载进行安全处理，例如加密和/或完整性保护等，得到安全加密后的负载。第一设备在第一协议层再将第一数据包的包头与安全处理后的负载组合，将组合后的数据包称为第二数据包。那么，第二数据包的包头就是第一数据包的包头，第二数据包的负载是已经过安全处理的负载。之后，第一协议层可将第二数据包递交给第一设备的PDCP层。由于第二数据包的包头(即，第一数据包的包头)并未经过安全处理，因此第一设备的PDCP层能够对第二数据包的包头进行压缩。

解决方式二、

如上的两种解决方式只是示例，并不是对本申请实施例的限制。例如，第一设备也可以采用其他方式来节省传输资源开销，或者，在提高了安全性的基础上，第一设备也可以不考虑对数据包的包头进行压缩等。

S803、第一设备在PDCP层使用第二密钥对第二数据包进行安全处理，得到第三数据包。为了加以区分，可将S803中的安全处理称为第二安全处理，将S802中的安全处理称为第一安全处理，或者说，将PDCP层的安全处理称为第二安全处理，将第一协议层的安全处理称为第一安全处理。

同理，第二安全处理也可以包括如下的一种或多种处理方式：完整性保护、完整性验证、加密、或解密。如果第一设备是第一数据包的发送端，则第一设备可以在PDCP层对第一数据包进行完整性保护，或者进行加密，或者进行完整性保护和加密。或者，如果第一设备是第一数据包的接收端，则第一设备可以在PDCP层对第一数据包进行完整性验证，或者进行解密，或者进行完整性验证和解密。本申请实施例以第一设备是第一数据包的发送端为例。

第一设备在PDCP层使用第二密钥对第二数据包进行第二安全处理之前，首先需要获得第二密钥。例如，第一设备为终端设备，对于终端设备来说，可以内置根密钥(例如为图5所示的实施例中的S504所介绍的第二根密钥)，终端设备根据该根密钥进行推演，得到第二密钥。或者，第一设备为核心网设备，对于核心网设备来说，也有对应于该终端设备的密钥，例如称为第三密钥，例如核心网设备为AMF，则核心网设备对应于该终端设备的密钥(即第三密钥)为K _AMF，即如图5所示的实施例中的S501所述的第四密钥。核心网设备可以根据第三密钥进行推演，得到第二密钥。

如果第一设备在PDCP层使用第二密钥对第二数据包进行完整性保护或完整性验证，则第二密钥可包括第三子密钥，第三子密钥用于在PDCP层对数据包进行完整性保护或完整性验证。如果第一设备在PDCP层使用第二密钥对第二数据包进行加密或解密，则第二密钥可包括第四子密钥，第四子密钥用于在PDCP层对数据包进行加密或解密。也就是说，第二密钥可包括第三子密钥，或包括第四子密钥，或包括第三子密钥和第四子密钥。或者，如果所述的第二安全处理还包括其他的安全处理过程，则第二密钥还可以包括其他的安全处理过程相应的密钥。

另外，如果在S802中第一设备在第一协议层采用了所述的解决方式一，那么第一协议层递交给PDCP层的第二数据包是第一数据包的包头与安全处理后的负载组合得到的数据包。则第一设备可以在PDCP层将第二数据包的包头(即，第一数据包的包头)移除，或者理解为，将第一数据包的包头和负载分离。之后，第一设备在PDCP层对第一数据包的包头进行压缩，得到压缩包头，再将压缩包头和安全处理后的负载组合，得到一个整体，在PDCP层使用第二密钥对这个整体进行第二安全处理，得到第三数据包。通过这种方式，在PDCP层可以继续对数据包的包头进行压缩，从而能够节省传输资源开销。

或者，如果在S802中第一设备在第一协议层采用了所述的解决方式二，那么第一协议层递交给PDCP层的第二数据包是经过第一安全处理的数据包，PDCP层无法获得第一密钥，因此PDCP层无法对第二数据包进行解密或完整性验证等操作。因此第一设备不会在PDCP层再对第二数据包的包头再进行压缩等处理。对于这种情况，第一设备在PDCP层使用第二密钥对第二数据包进行第二安全处理得到第三数据包即可。通过这种方式，在第一协议层对数据包的包头进行了压缩，能够节省传输资源开销。

S804、第一设备发送第三数据包，相应的，第二设备接收来自第一设备的第三数据包。

第一设备得到第三数据包后，可以发送第三数据包，第二设备可接收来自第一设备的第三数据包。

S805、第二设备在PDCP层使用第二密钥对第三数据包进行第三安全处理，得到第二数据包。

第二设备接收第三数据包后，将第三数据包送达第二设备的PDCP层。则第二设备在PDCP层可使用第二密钥对第三数据包进行第三安全处理。第二设备是第三数据包的接收端，则例如，第二设备可以在PDCP层对第三数据包进行完整性验证，或者进行解密，或者进行完整性验证和解密等。也就是说，第三安全处理可包括完整性验证，或解密，或完整性验证和解密等。

第二设备在PDCP层对第三数据包进行第三安全处理后，可得到第二数据包。作为一种可选的实施方式，第二设备在PDCP层对第三数据包进行第三安全处理后，可得到压缩包头和安全处理后的负载。如果是这种情况，则第二设备可以在PDCP层将第二数据包的包头(即，第一数据包的包头)移除，或者理解为，将第一数据包的包头和安全处理后的负载分离。之后，第二设备在PDCP层将压缩包头进行解压缩，得到包头，该包头为第一数据包的包头。第二设备在PDCP层将该包头和安全处理后的负载进行组合，可得到第二数据包。

作为另一种可选的实施方式，第二设备在PDCP层对第三数据包进行第三安全处理后，可得到第二数据包，第二数据包整体是经过第一安全处理的，那么第二设备在PDCP层无需再对第二数据包进行其他处理。

其中，第二设备例如未设置第一协议层，且无法获得相应的密钥，因此第一设备无法对第二数据包进行解密或完整性保护等处理。

S806、第二设备将第二数据包发送给核心网设备，核心网设备接收来自第二设备的第二数据包。

S807、核心网设备在第一协议层使用第一密钥对第二数据包进行第四安全处理，得到第一数据包。

其中，如果第二数据包是第一数据包的包头和安全处理后的负载的组合，则核心网设备可在第一协议层将第一数据包的包头移除，或者理解为，将第一数据包的包头和安全处理后的负载分离。之后，核心网设备在第一协议层将安全处理后的负载进行第四安全处理，例如进行解密和/或完整性验证等，得到第一数据包的负载。核心网设备再在第一协议层将第一数据包的包头和第一数据包的负载组合，就得到了第一数据包，从而核心网设备可以获得第一数据包所包括的数据。

或者，如果第二数据包是整体经过安全处理的数据包，则核心网设备在第一协议层将第二数据包进行第四安全处理，例如进行解密和/或完整性验证等，得到第一数据包的负载和压缩包头。核心网设备可在第一协议层将压缩包头移除，或者理解为，将压缩包头和第一数据包负载分离。之后，核心网设备对该压缩包头进行解压缩，得到第一数据包的包头。核心网设备再在第一协议层将第一数据包的包头和第一数据包的负载组合，就得到了第一数据包，从而核心网设备可以获得第一数据包所包括的数据。

其中，第四安全处理所使用的密钥也是第一密钥。

图8中的S806和S807是以上行传输为例的，即，第一设备是终端设备，第二设备是接入网设备，第一数据包是终端设备发送的上行数据包，该上行数据包经过接入网设备处理后，会再发送给核心网设备。可以参考图9，数据包在终端设备侧首先经过第一协议层的第一安全处理后，传输到终端设备的PDCP层进行第二安全处理，然后再传输到接入网设备。此时接入网设备接收的数据包经过了第一协议层和PDCP层的两级安全处理，而接入网设备由于未设置第一协议层，只能解开终端设备在PDCP层的安全处理，因此接入网设备仍然无法读取到该数据包的内容，由此保证了数据在接入网设备侧的安全性。数据经过接入网设备的处理以后，传输到核心网设备(例如UPF)，核心网设备也设置了第一协议层，通过核心网设备的第一协议层进行与终端设备的第一协议层相对应的安全处理(例如第四安全处理)后，才能读取数据包的内容。

如果是下行传输过程，即，第一设备是核心网设备，第二设备是接入网设备，第一数据包是核心网设备发送的下行数据包，该下行数据包经过接入网设备处理后，会再发送给终端设备。即，如果是下行传输过程，那么S806为，第二设备将第二数据包发送给终端设备，终端设备接收来自第二设备的第二数据包。相应的，如果是下行传输过程，则S807为，终端设备在第一协议层对第二数据包进行第四安全处理，得到第一数据包。具体的，数据包在核心网设备侧首先经过第一协议层的第一安全处理后，传输到核心网设备的PDCP层进行第二安全处理，然后再传输到接入网设备。此时接入网设备接收的数据包经过了第一协议层和PDCP层的两级安全处理，而接入网设备由于未设置第一协议层，只能解开核心网设备在PDCP层的安全处理，因此接入网设备仍然无法读取到该数据包的内容，由此保证了数据在接入网设备侧的安全性。数据经过接入网设备的处理以后，传输到终端设备，终端设备也设置了第一协议层，通过终端设备的第一协议层进行与核心网设备的第一协议层相对应的安全处理(例如第四安全处理)后，才能读取数据包的内容。

在本申请实施例中，对数据包设置了两级安全处理的机制，接入网设备只能进行其中的一级安全处理(即PDCP层的安全处理)，而无法进行第一协议层的安全处理。因此数据对于接入网设备来说是不可见的，接入网设备无法获取数据，从而保证了数据在接入网设备侧的安全性。

下面结合附图介绍本申请实施例中用来实现上述方法的装置。因此，上文中的内容均可以用于后续实施例中，重复的内容不再赘述。

图10为本申请实施例提供的通信装置1000的示意性框图。示例性地，通信装置1000例如为核心网设备1000。示例性地，核心网设备1000例如为图5所示的实施例至图7所示的实施例中的任一个实施例所述的第一核心网设备。

核心网设备1000包括处理模块1010和收发模块1020。示例性地，核心网设备1000可以是核心网设备，也可以是应用于核心网设备中的芯片或者其他具有上述核心网设备功能的组合器件、部件等。当核心网设备1000是核心网设备时，收发模块1020可以是收发器，收发器可以包括天线和射频电路等，处理模块1010可以是处理器(或者，处理电路)，例如基带处理器，基带处理器中可以包括一个或多个中央处理单元(central processing unit，CPU)。当核心网设备1000是具有上述核心网设备功能的部件时，收发模块1020可以是射频单元，处理模块1010可以是处理器(或者，处理电路)，例如基带处理器。当核心网设备1000是芯片系统时，收发模块1020可以是芯片(例如基带芯片)的输入输出接口、处理模块1010可以是芯片系统的处理器(或者，处理电路)，可以包括一个或多个中央处理单元。应理解，本申请实施例中的处理模块1010可以由处理器或处理器相关电路组件(或者，处理电路)实现，收发模块1020可以由收发器或收发器相关电路组件实现。

例如，处理模块1010可以用于执行图5所示的实施例中由第一核心网设备所执行的除了收发操作之外的全部操作，例如S501和S502，和/或用于支持本文所描述的技术的其它过程。收发模块1020可以用于执行图5所示的实施例中由第一核心网设备所执行的全部收发操作，例如S503和S504，和/或用于支持本文所描述的技术的其它过程。

又例如，处理模块1010可以用于执行图6所示的实施例中由第一核心网设备所执行的除了收发操作之外的全部操作，例如S603和S604，和/或用于支持本文所描述的技术的其它过程。收发模块1020可以用于执行图6所示的实施例中由第一核心网设备所执行的全部收发操作，例如S601、S605和S606，和/或用于支持本文所描述的技术的其它过程。

再例如，处理模块1010可以用于执行图7所示的实施例中由第一核心网设备所执行的除了收发操作之外的全部操作，例如S702和S703，和/或用于支持本文所描述的技术的其它过程。收发模块1020可以用于执行图7所示的实施例中由第一核心网设备所执行的全部收发操作，例如S701、S704、S705、S706和S707，和/或用于支持本文所描述的技术的其它过程。

另外，收发模块1020可以是一个功能模块，该功能模块既能完成发送操作也能完成接收操作，例如收发模块1020可以用于执行图5所示的实施例至图7所示的实施例中的任一个实施例中由第一核心网设备所执行的全部发送操作和接收操作，例如，在执行发送操作时，可以认为收发模块1020是发送模块，而在执行接收操作时，可以认为收发模块1020是接收模块；或者，收发模块1020也可以是两个功能模块，收发模块1020可以视为这两个功能模块的统称，这两个功能模块分别为发送模块和接收模块，发送模块用于完成发送操作，例如发送模块可以用于执行图5所示的实施例至图7所示的实施例中的任一个实施例中由第一核心网设备所执行的全部发送操作，接收模块用于完成接收操作，例如接收模块可以用于执行图5所示的实施例至图7所示的实施例中的任一个实施例中由第一核心网设备所执行的全部接收操作。

其中，处理模块1010，用于获得第一密钥；

处理模块1010，还用于根据所述第一密钥进行推演，得到第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理；

收发模块1020，用于将所述第二密钥发送给第一接入网设备的控制面实体，以及，将所述第三密钥发送给所述第一接入网设备的用户面实体，所述第一接入网设备的控制面实体与所述终端设备进行控制面信令通信，所述第一接入网设备的用户面实体与所述终端设备进行用户面数据通信。

作为一种可选的实施方式，所述第一接入网设备的控制面实体位于所述第一接入网设备侧，所述第一接入网设备的用户面实体位于核心网设备侧。

作为一种可选的实施方式，所述第一密钥为根据与所述终端设备对应的第一根密钥得到的，所述第一根密钥存储在核心网设备中。

作为一种可选的实施方式，收发模块1020，还用于接收来自第二接入网设备的输入参数，所述输入参数用于确定所述第一密钥，其中，所述第二接入网设备为所述终端设备在进行小区切换时的源接入网设备，所述第一接入网设备为所述终端设备在进行小区切换时的目标接入网设备。

作为一种可选的实施方式，所述输入参数包括第一小区的PCI和/或所述第一小区的ARFCN，所述第一小区为所述终端设备在进行小区切换时的目标小区。

作为一种可选的实施方式，所述输入参数包括在第一切换请求消息中，所述第一切换请求消息用于请求将所述终端设备切换到第一小区，所述第一小区为所述终端设备在进行小区切换时的目标小区。

作为一种可选的实施方式，所述第二密钥包括在第二切换请求消息中，所述第二切换请求消息用于请求将所述终端设备切换到所述第一小区。

作为一种可选的实施方式，收发模块1020，还用于向所述终端设备发送NCC，所述NCC用于确定所述第二密钥和/或所述第三密钥。

作为一种可选的实施方式，所述安全处理包括以下一项或多项：完整性保护、完整性验证、加密、或解密。

关于核心网设备1000所能实现的其他功能，可参考图5所示的实施例至图7所示的实施例中的任一个实施例的相关介绍，不多赘述。

图11为本申请实施例提供的通信装置1100的示意性框图。示例性地，通信装置1100例如为接入网设备1100。示例性地，接入网设备1100例如为图6所示的实施例或图7所示的实施例所述的第二接入网设备。

接入网设备1100包括处理模块1110。可选的，还可以包括收发模块1120。示例性地，接入网设备1100可以是接入网设备，也可以是应用于接入网设备中的芯片或者其他具有上述接入网设备功能的组合器件、部件等。当接入网设备1100是接入网设备时，收发模块1120可以是收发器，收发器可以包括天线和射频电路等，处理模块1110可以是处理器(或者，处理电路)，例如基带处理器，基带处理器中可以包括一个或多个CPU。当接入网设备1100是具有上述接入网设备功能的部件时，收发模块1120可以是射频单元，处理模块1110可以是处理器(或者，处理电路)，例如基带处理器。当接入网设备1100是芯片系统时，收发模块1120可以是芯片(例如基带芯片)的输入输出接口、处理模块1110可以是芯片系统的处理器(或者，处理电路)，可以包括一个或多个中央处理单元。应理解，本申请实施例中的处理模块1110可以由处理器或处理器相关电路组件(或者，称为处理电路)实现，收发模块1120可以由收发器或收发器相关电路组件实现。

例如，处理模块1110可以用于执行图6所示的实施例中由第二接入网设备所执行的除了收发操作之外的全部操作，例如确定将终端设备切换到第一接入网设备，和/或用于支持本文所描述的技术的其它过程。收发模块1120可以用于执行图6所示的实施例中由第二接入网设备所执行的全部收发操作，例如S601、S602、S607和S608，和/或用于支持本文所描述的技术的其它过程。

又例如，处理模块1110可以用于执行图7所示的实施例中由第二接入网设备所执行的除了收发操作之外的全部操作，例如确定将终端设备切换到第一接入网设备，和/或用于支持本文所描述的技术的其它过程。收发模块1120可以用于执行图7所示的实施例中由第二接入网设备所执行的全部收发操作，例如S701、S707和S708，和/或用于支持本文所描述的技术的其它过程。

另外，关于收发模块1120的实现方式，可参考对于收发模块1020的实现方式的介绍。

其中，处理模块1110，用于确定将终端设备从第二接入网设备切换到第一接入网设备；

收发模块1120，用于向第一核心网设备发送输入参数，所述输入参数用于确定第一密钥，所述第一密钥用于确定第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理。

关于接入网设备1100所能实现的其他功能，可参考图6所示的实施例或图7所示的实施例的相关介绍，不多赘述。

图12为本申请实施例提供的通信装置1200的示意性框图。示例性地，通信装置1200例如为第一设备1200。

第一设备1200包括处理模块1210。可选的，还可以包括收发模块1220。示例性地，第一设备1200可以是终端设备，也可以是应用于终端设备中的芯片或者其他具有上述终端设备功能的组合器件、部件等。当第一设备1200是终端设备时，收发模块1220可以是收发器，收发器可以包括天线和射频电路等，处理模块1210可以是处理器(或者，处理电路)，例如基带处理器，基带处理器中可以包括一个或多个CPU。当第一设备1200是具有上述终端设备功能的部件时，收发模块1220可以是射频单元，处理模块1210可以是处理器(或者，处理电路)，例如基带处理器。当第一设备1200是芯片系统时，收发模块1220可以是芯片(例如基带芯片)的输入输出接口、处理模块1210可以是芯片系统的处理器(或者，处理电路)，可以包括一个或多个中央处理单元。应理解，本申请实施例中的处理模块1210可以由处理器或处理器相关电路组件(或者，称为处理电路)实现，收发模块1220可以由收发器或收发器相关电路组件实现。

或者，示例性地，第一设备1200可以是网络设备，也可以是应用于网络设备中的芯片或者其他具有上述网络设备功能的组合器件、部件等。示例性地，所述网络设备为核心网设备。当第一设备1200是网络设备时，收发模块1220可以是收发器，收发器可以包括天线和射频电路等，处理模块1210可以是处理器(或者，处理电路)，例如基带处理器，基带处理器中可以包括一个或多个中央处理单元(central processing unit，CPU)。当第一设备1200是具有上述网络设备功能的部件时，收发模块1220可以是射频单元，处理模块1210可以是处理器(或者，处理电路)，例如基带处理器。当第一设备1200是芯片系统时，收发模块1220可以是芯片(例如基带芯片)的输入输出接口、处理模块1210可以是芯片系统的处理器(或者，处理电路)，可以包括一个或多个中央处理单元。应理解，本申请实施例中的处理模块1210可以由处理器或处理器相关电路组件(或者，处理电路)实现，收发模块1220可以由收发器或收发器相关电路组件实现。

例如，处理模块1210可以用于执行图8所示的实施例中由第一设备所执行的除了收发操作之外的全部操作，例如S801～S803，和/或用于支持本文所描述的技术的其它过程。收发模块1220可以用于执行图8所示的实施例中由第一设备所执行的全部收发操作，例如S804，和/或用于支持本文所描述的技术的其它过程。

另外，关于收发模块1220的实现方式，可参考对于收发模块1020的实现方式的介绍。

其中，处理模块1210，用于获得第一数据包；

处理模块1210，还用于在第一协议层使用第一密钥对所述第一数据包进行安全处理，得到第二数据包；

处理模块1210，还用于在PDCP层使用第二密钥对所述第二数据包进行加密，得到第三数据包；

收发模块1220，用于发送所述第三数据包。

作为一种可选的实施方式，所述第一密钥为根据与终端设备对应的第一根密钥得到的。

作为一种可选的实施方式，处理模块1210用于通过如下方式在第一协议层使用第一密钥对所述第一数据包进行安全处理，得到第二数据包：

作为一种可选的实施方式，处理模块1210用于通过如下方式在PDCP层使用第二密钥对所述第二数据包进行加密，得到第三数据包：

关于第一设备1200所能实现的其他功能，可参考图8所示的实施例的相关介绍，不多赘述。

图13为本申请实施例提供的通信装置1300的示意性框图。示例性地，通信装置1300例如为第二设备1300。

第二设备1300包括处理模块1310。可选的，还可以包括收发模块1320。示例性地，第二设备1300可以是接入网设备，也可以是应用于接入网设备中的芯片或者其他具有上述接入网设备功能的组合器件、部件等。当第二设备1300是接入网设备时，收发模块1320可以是收发器，收发器可以包括天线和射频电路等，处理模块1310可以是处理器(或者，处理电路)，例如基带处理器，基带处理器中可以包括一个或多个CPU。当第二设备1300是具有上述接入网设备功能的部件时，收发模块1320可以是射频单元，处理模块1310可以是处理器(或者，处理电路)，例如基带处理器。当第二设备1300是芯片系统时，收发模块1320可以是芯片(例如基带芯片)的输入输出接口、处理模块1310可以是芯片系统的处理器(或者，处理电路)，可以包括一个或多个中央处理单元。应理解，本申请实施例中的处理模块1310可以由处理器或处理器相关电路组件(或者，称为处理电路)实现，收发模块1320可以由收发器或收发器相关电路组件实现。

例如，处理模块1310可以用于执行图8所示的实施例中由第二设备所执行的除了收发操作之外的全部操作，例如S507，和/或用于支持本文所描述的技术的其它过程。收发模块1320可以用于执行图8所示的实施例中由第二设备所执行的全部收发操作，例如S501、S503、S506、S512和S513，和/或用于支持本文所描述的技术的其它过程。

另外，关于收发模块1320的实现方式，可参考对于收发模块1020的实现方式的介绍。

其中，收发模块1320，用于接收第三数据包；

处理模块1310，用于在PDCP层使用第二密钥解密所述第三数据包，得到第二数据包，所述第二数据包为经过安全处理的数据包；

收发模块1320，还用于将所述第二数据包发送给核心网设备。

作为一种可选的实施方式，处理模块1310用于通过如下方式在PDCP层使用第二密钥解密所述第三数据包，得到第二数据包：

将所述压缩包头进行解压缩，得到包头；

关于第二设备1300所能实现的其他功能，可参考图8所示的实施例的相关介绍，不多赘述。

本申请实施例还提供一种通信装置，该通信装置可以是终端设备也可以是电路。该通信装置可以用于执行上述方法实施例中由终端设备(例如，第一设备可以是终端设备)所执行的动作。

当该通信装置为终端设备时，图14示出了一种简化的终端设备的结构示意图。便于理解和图示方便，图14中，终端设备以手机作为例子。如图14所示，终端设备包括处理器、存储器、射频电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对终端设备进行控制，执行软件程序，处理软件程序的数据等。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。需要说明的是，有些种类的终端设备可以不具有输入输出装置。

当需要发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。为便于说明，图14中仅示出了一个存储器和处理器。在实际的终端设备产品中，可以存在一个或多个处理器和一个或多个存储器。存储器也可以称为存储介质或者存储设备等。存储器可以是独立于处理器设置，也可以是与处理器集成在一起，本申请实施例对此不做限制。

在本申请实施例中，可以将具有收发功能的天线和射频电路视为终端设备的收发单元(收发单元可以是一个功能单元，该功能单元能够实现发送功能和接收功能；或者，收发单元也可以包括两个功能单元，分别为能够实现接收功能的接收单元和能够实现发送功能的发送单元)，将具有处理功能的处理器视为终端设备的处理单元。如图14所示，终端设备包括收发单元1410和处理单元1420。收发单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器，处理单板，处理模块、处理装置等。可选的，可以将收发单元1410中用于实现接收功能的器件视为接收单元，将收发单元1410中用于实现发送功能的器件视为发送单元，即收发单元1410包括接收单元和发送单元。收发单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。

应理解，如果上述图8所示的实施例中的第一设备为终端设备，则收发单元1410用于执行上述图8所示的实施例中第一设备侧的发送操作和接收操作，处理单元1420用于执行上述图8所示的实施例中第一设备上除了收发操作之外的其他操作。

当该通信装置为芯片类的装置或者电路时，该装置可以包括收发单元和处理单元。其中，所述收发单元可以是输入输出电路和/或通信接口；处理单元为集成的处理器或者微处理器或者集成电路。

本实施例中的通信装置为终端设备时，可以参照图15所示的设备。作为一个例子，该设备可以完成类似于图12中处理模块1210的功能。上述实施例中的处理模块1210可以是图15中的该处理器1510，并完成相应的功能；上述实施例中的收发模块1220可以是图15中的发送数据处理器1520，和/或接收数据处理器1530，并完成相应的功能。虽然图15中示出了信道编码器、信道解码器，但是可以理解这些模块并不对本实施例构成限制性说明，仅是示意性的。

图16示出本实施例的另一种形式。处理装置1600中包括调制子系统、中央处理子系统、周边子系统等模块。本实施例中的通信装置可以作为其中的调制子系统。具体的，该调制子系统可以包括处理器1603，接口1604。其中，处理器1603完成上述处理模块1210 的功能，接口1604完成上述收发模块1220的功能。作为另一种变形，该调制子系统包括存储器1606、处理器1603及存储在存储器1606上并可在处理器上运行的程序，该处理器1603执行该程序时实现上述方法实施例中终端设备侧的方法。需要注意的是，所述存储器1606可以是非易失性的，也可以是易失性的，其位置可以位于调制子系统内部，也可以位于处理装置1600中，只要该存储器1606可以连接到所述处理器1603即可。

请参考图17，为本申请实施例提供的又一种通信装置示意图，用于实现以上实施例中第一核心网设备、第二接入网设备、或第二设备的操作。该通信装置包括：处理器1730和通信接口1720，可选的，该通信装置还包括存储器1710。通信接口1720用于实现与其他设备进行通信。

以上实施例中，第一核心网设备、第二接入网设备、或第二设备执行的方法可以通过处理器1730调用存储器(可以是第一核心网设备、第二接入网设备、或第二设备中的存储器1710，也可以是外部存储器)中存储的程序来实现。即，用于第一核心网设备、第二接入网设备、或第二设备的装置可以包括处理器1730，该处理器1730通过调用存储器中的程序，以执行以上方法实施例中的第一核心网设备、第二接入网设备、或第二设备执行的方法。这里的处理器可以是一种具有信号的处理能力的集成电路，例如CPU。用于第一核心网设备、第二接入网设备、或第二设备的装置可以通过配置成实施以上方法的一个或多个集成电路来实现。例如：一个或多个ASIC，或，一个或多个微处理器DSP，或，一个或者多个FPGA等，或这些集成电路形式中至少两种的组合。或者，可以结合以上实现方式。

例如，图10中的处理模块1010的功能/实现过程可以通过图17所示的通信装置1700中的处理器1730调用存储器1710中存储的计算机可执行指令来实现，图10中的收发模块1020的功能/实现过程可以通过图17中所示的通信装置1700中的通信接口1720来实现。

又例如，图11中的处理模块1110的功能/实现过程可以通过图17所示的通信装置1700中的处理器1730调用存储器1710中存储的计算机执行指令来实现，图11中的收发模块1120的功能/实现过程可以通过图17中所示的通信装置1700中的通信接口1720来实现。

又例如，图12中的处理模块1210的功能/实现过程可以通过图17所示的通信装置1700中的处理器1730调用存储器1710中存储的计算机执行指令来实现，图12中的收发模块1220的功能/实现过程可以通过图17中所示的通信装置1700中的通信接口1720来实现。

再例如，图13中的处理模块1310的功能/实现过程可以通过图17所示的通信装置1700中的处理器1730调用存储器1710中存储的计算机执行指令来实现，图13中的收发模块1320的功能/实现过程可以通过图17中所示的通信装置1700中的通信接口1720来实现。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器，数字信号处理器，专用集成电路(ASIC)，现场可编程门阵列(FPGA)或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于随机存取存储器(random access memory，RAM)、闪存、只读存储器(read-only memory，ROM)、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个或多个示例性的设计中，本申请实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现，这些功能可以存储与电脑可读的媒介上，或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如，这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置，或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外，任何连接都可以被适当地定义为电脑可读媒介，例如，如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电脑、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、数字通用光盘(digital versatile disc，DVD)、软盘和蓝光光盘，磁盘通常以磁性复制数据，而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本申请实施例的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请实施例的具体实施方式而已，并不用于限定本申请实施例的保护范围，凡在本申请实施例的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本申请实施例的保护范围之内。本申请说明书的上述描述可以使得本领域技术任何可以利用或实现本申请实施例的内容，任何基于所公开内容的修改都应该被认为是本领域显而易见的，本申请实施例所描述的基本原则可以应用到其它变形中而不偏离本申请的发明本质和范围。因此，本申请实施例所公开的内容不仅仅局限于所描述的实施例和设计，还可以扩展到与本申请原则和所公开的新特征一致的最大范围。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请实施例的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请实施例也意图包括这些改动和变型在内。

Claims

一种获取密钥的方法，其特征在于，包括：

第一核心网设备获得第一密钥；

所述第一核心网设备根据所述第一密钥进行推演，得到第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理；

所述第一核心网设备将所述第二密钥发送给第一接入网设备的控制面实体，以及，将所述第三密钥发送给所述第一接入网设备的用户面实体，所述第一接入网设备的控制面实体与所述终端设备进行控制面信令通信，所述第一接入网设备的用户面实体与所述终端设备进行用户面数据通信。
根据权利要求1所述的方法，其特征在于，所述第一接入网设备的控制面实体位于所述第一接入网设备侧，所述第一接入网设备的用户面实体位于核心网设备侧。
根据权利要求1或2所述的方法，其特征在于，所述第一密钥为根据与所述终端设备对应的第一根密钥得到的，所述第一根密钥存储在核心网设备中。
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述第一核心网设备接收来自第二接入网设备的输入参数，所述输入参数用于确定所述第一密钥，其中，所述第二接入网设备为所述终端设备在进行小区切换时的源接入网设备，所述第一接入网设备为所述终端设备在进行小区切换时的目标接入网设备。
根据权利要求4所述的方法，其特征在于，所述输入参数包括第一小区的物理小区标识PCI和/或所述第一小区的绝对无线频道编号ARFCN，所述第一小区为所述终端设备在进行小区切换时的目标小区。
根据权利要求4或5所述的方法，其特征在于，所述输入参数包括在第一切换请求消息中，所述第一切换请求消息用于请求将所述终端设备切换到第一小区，所述第一小区为所述终端设备在进行小区切换时的目标小区。
根据权利要求6所述的方法，其特征在于，所述第二密钥包括在第二切换请求消息中，所述第二切换请求消息用于请求将所述终端设备切换到所述第一小区。
根据权利要求1～7任一项所述的方法，其特征在于，所述方法还包括：

所述第一核心网设备向所述终端设备发送下一跳链计数NCC，所述NCC用于确定所述第二密钥和/或所述第三密钥。
一种获取密钥的方法，其特征在于，包括：

第二接入网设备确定将终端设备从第二接入网设备切换到第一接入网设备；

所述第二接入网设备向第一核心网设备发送输入参数，所述输入参数用于确定第一密钥，所述第一密钥用于确定第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理。
根据权利要求9所述的方法，其特征在于，所述输入参数包括第一小区的PCI和/或所述第一小区的ARFCN，所述第一小区为所述终端设备在进行小区切换时的目标小区。
根据权利要求9或10所述的方法，其特征在于，所述输入参数包括在第一切换请求消息中，所述第一切换请求消息用于请求将所述终端设备切换到第一小区，所述第一小区为所述终端设备在进行小区切换时的目标小区。
一种通信装置，其特征在于，包括：

处理模块，用于获得第一密钥；

所述处理模块，还用于根据所述第一密钥进行推演，得到第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理；

收发模块，用于将所述第二密钥发送给第一接入网设备的控制面实体，以及，将所述第三密钥发送给所述第一接入网设备的用户面实体，所述第一接入网设备的控制面实体与所述终端设备进行控制面信令通信，所述第一接入网设备的用户面实体与所述终端设备进行用户面数据通信。
根据权利要求12所述的通信装置，其特征在于，所述第一接入网设备的控制面实体位于所述第一接入网设备侧，所述第一接入网设备的用户面实体位于核心网设备侧。
根据权利要求12或13所述的通信装置，其特征在于，所述第一密钥为根据与所述终端设备对应的第一根密钥得到的，所述第一根密钥存储在核心网设备中。
根据权利要求12或13所述的通信装置，其特征在于，所述收发模块，还用于接收来自第二接入网设备的输入参数，所述输入参数用于确定所述第一密钥，其中，所述第二接入网设备为所述终端设备在进行小区切换时的源接入网设备，所述第一接入网设备为所述终端设备在进行小区切换时的目标接入网设备。
根据权利要求15所述的通信装置，其特征在于，所述输入参数包括第一小区的PCI和/或所述第一小区的ARFCN，所述第一小区为所述终端设备在进行小区切换时的目标小区。
根据权利要求15或16所述的通信装置，其特征在于，所述输入参数包括在第一切换请求消息中，所述第一切换请求消息用于请求将所述终端设备切换到第一小区，所述第一小区为所述终端设备在进行小区切换时的目标小区。
根据权利要求17所述的通信装置，其特征在于，所述第二密钥包括在第二切换请求消息中，所述第二切换请求消息用于请求将所述终端设备切换到所述第一小区。
根据权利要求12～18任一项所述的通信装置，其特征在于，所述收发模块，还用于向所述终端设备发送NCC，所述NCC用于确定所述第二密钥和/或所述第三密钥。
一种通信装置，其特征在于，包括：

处理模块，用于确定将终端设备从第二接入网设备切换到第一接入网设备；

收发模块，用于向第一核心网设备发送输入参数，所述输入参数用于确定第一密钥，所述第一密钥用于确定第二密钥和第三密钥，所述第二密钥用于对终端设备的控制面信令进行安全处理，所述第三密钥用于对所述终端设备的用户面数据进行安全处理。
根据权利要求20所述的通信装置，其特征在于，所述输入参数包括第一小区的PCI和/或所述第一小区的ARFCN，所述第一小区为所述终端设备在进行小区切换时的目标小区。
根据权利要求20或21所述的通信装置，其特征在于，所述输入参数包括在第一切换请求消息中，所述第一切换请求消息用于请求将所述终端设备切换到第一小区，所述第一小区为所述终端设备在进行小区切换时的目标小区。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1～8中任意一项所述的方法，或者使得所述计算机执行如权利要求9～11中任意一项所述的方法。
一种芯片，其特征在于，包括处理器和通信接口，所述处理器用于读取指令以执行如权利要求1～8中任意一项所述的方法，或者执行如权利要求9～11中任意一项所述的方法。
一种网络装置，其特征在于，包括处理器，所述处理器与存储器相连，所述存储器用于存储计算机程序，所述处理器用于执行所述存储器中存储的计算机程序，以使得所述装置执行如权利要求1～8中任意一项所述的方法，或者执行如权利要求9～11中任意一项所述的方法。
一种通信系统，其特征在于，包括权利要求12～19任意一项所述的通信装置、以及包括权利要求20～22任意一项所述的通信装置。