WO2022094976A1

WO2022094976A1 - 密钥生成方法及装置

Info

Publication number: WO2022094976A1
Application number: PCT/CN2020/127300
Authority: WO
Inventors: 郭龙华; 朱元萍; 胡力; 吴�荣
Original assignee: 华为技术有限公司
Priority date: 2020-11-06
Filing date: 2020-11-06
Publication date: 2022-05-12
Also published as: EP4231717A4; CN116508356A; EP4231717A1; AU2020476322A1; CA3200852A1; US20230319554A1

Abstract

一种密钥生成方法及装置，涉及通信技术领域，用于在双连接场景下，使得IABdonor和IAB node使用相同的K IAB。密钥生成方法包括以下步骤：第一接入网设备确定通过第一接入网设备注册到5G核心网的第一设备为IAB node；在需要为第一设备选择辅基站的情况下，第一接入网设备判断自身是否具备IAB donor功能；若第一接入网设备具备IAB donor功能，则第一接入网设备选择第三接入网设备作为第一设备的辅基站；第一接入网设备根据辅基站密钥，生成第二IAB密钥K IAB2，K IAB2用于建立第一接入网设备与第一设备之间的安全隧道。

Description

密钥生成方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种密钥生成方法及装置。

背景技术

为了减轻有线传输网络的建设负担，提供灵活和密集的新空口(new radio，NR)部署，第五代(5th generation，5G)移动通信系统使用接入回传一体化(integrated access backhaul，IAB)技术。基于IAB技术，基站可以分为IAB节点(node)和IAB宿主基站(donor)。IAB donor用于提供到核心网的用户设备接口，以及支持IAB node无线回传功能。IAB node能够支持终端设备的无线接入和数据的无线回传。由于IAB donor和IAB node之间可以通过无线回传链路进行数据交互，因此IAB donor和IAB node之间可以不用铺设线缆。这使得IAB node的部署更加灵活。

为了保证IAB node和IAB donor之间的F1接口的通信安全，IAB node与IAB donor之间可以建立安全隧道(例如互联网安全协议(internet protocol security，IPsec)安全隧道)。在建立安全隧道的过程中，IAB node与IAB donor之间需要使用相同的IAB密钥K _IAB来作为认证凭证。

为了保障网络的覆盖性能以及业务传输可靠性的要求，可以使IAB node支持双连接(dual connectivity，DC)，以应对无线回传链路可能发生的异常情况，例如无线回程链路中断或者阻塞等。

目前，对于除了演进的移动通信系统陆地无线接入(evolved-universal mobile telecommunications system terrestrial radio access，EUTRA)-NR双连接(EUTRA-NR dual connection，EN-DC)之外的其他双连接类型，例如NR-EUTRA双连接(NR-EUTRA dual connection，NE-DC)、NR-DC等，业界并未提供K _IAB生成方案。这样一来，可能会导致IAB node生成的K _IAB与IAB donor生成的K _IAB不相同，从而使得IAB node与IAB donor之间不能正常建立安全隧道。

发明内容

本申请提供一种密钥生成方法及装置，用于在双连接场景下保证IAB donor与IAB node生成相同的K _IAB。

第一方面，提供一种密钥生成方法，包括：第一接入网设备确定通过第一接入网设备注册到5G核心网的第一设备为IAB node；在需要为第一设备选择辅基站的情况下，第一接入网设备判断自身是否具备IAB donor功能；若第一接入网设备不具备IAB donor功能，则第一接入网设备选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站；第一接入网设备获取与第二接入网设备关联的第一密钥输入参数；第一接入网设备根据主基站密钥和第一密钥输入参数，生成第一IAB密钥K _IAB1，主基站密钥用于对主基站(第一接入网设备)与第一设备之间的通信进行安全保护，K _IAB1用于建立第二接入网设备与第一设备之间的安全隧道；第一接入网设备向第二接入网设备发送K _IAB1。

基于上述技术方案，在IAB node(例如第一设备)通过第一接入网设备接入5G 核心网之后，第一接入网设备可以在自身不具备IAB donor功能的情况下为第一设备选择具备IAB donor功能的第二接入网设备作为辅基站，以保证双连接场景下存在一个接入网设备作为IAB donor为第一设备提供相应的服务。并且，在NE-DC、NR-DC或者NGEN-DC等双连接场景下，第一接入网设备根据主基站密钥和第一密钥输入参数，生成第一IAB密钥K _IAB1，并将K _IAB1发送给第一接入网设备。这样一来，IAB node和IAB donor之间统一使用以主基站密钥生成的IAB密钥，从而保证IAB node和IAB donor之间能够以相同的IAB密钥作为认证凭证来建立安全隧道。

一种可能的设计中，第一接入网设备选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站，包括：第一接入网设备向第二设备发送第一请求消息，第一请求消息包括第一设备的标识；第一接入网设备接收第二设备发送的第一响应消息，第一响应消息包括第二接入网设备的标识。

一种可能的设计中，第一密钥输入参数包括第一IP地址和第二IP地址，第一IP地址为第一设备用于与IAB donor通信的IP地址，第二IP地址为第二接入网设备用于与IAB node通信的IP地址。

一种可能的设计中，第一接入网设备获取与第二接入网设备关联的第一密钥输入参数，包括：第一接入网设备向第二接入网设备发送辅基站配置消息，辅基站配置消息用于配置第二接入网设备为第一设备的辅基站，辅基站配置消息包括第一指示信息和/或第二指示信息，第一指示信息用于请求第一IP地址，第二指示信息用于请求第二IP地址；第一接入网设备接收第二接入网设备发送的辅基站配置响应消息，辅基站配置响应消息包括第一IP地址和/或第二IP地址。基于该设计，在第一IP地址由第二接入网设备负责分配的情况下，第一接入网设备通过复用现有的流程来获取第一密钥输入参数，有利于节省信令开销，以及简化操作流程。

一种可能的设计中，辅基站配置消息包括由主基站密钥推演得到的辅基站密钥，辅基站密钥用于对辅基站和第一设备之间的通信进行安全保护。

一种可能的设计中，上述密钥生成方法还包括：第一接入网设备向第一设备发送第一IP地址。

一种可能的设计中，第一接入网设备获取与第二接入网设备关联的第一密钥输入参数，包括：第一接入网设备接收第一设备发送的IP地址通知消息，IP地址通知消息包括第一IP地址；第一接入网设备向第二接入网设备发送辅基站配置消息，辅基站配置消息用于配置第二接入网设备为第一设备的辅基站，辅基站配置消息包括第二指示信息，第二指示信息用于请求第二IP地址；第一接入网设备接收第二接入网设备发送的辅基站配置响应消息，辅基站配置响应消息包括第二IP地址。基于该设计，在第一IP地址由第二设备负责分配的情况下，第一接入网设备可以通过第一设备获取到第一IP地址，通过第二接入网设备获取到第二IP地址。

一种可能的设计中，上述密钥生成方法还包括：若第一接入网设备具备IAB donor功能，则第一接入网设备选择第三接入网设备作为第一设备的辅基站；第一接入网设备获取与第一接入网设备关联的第二密钥输入参数；第一接入网设备根据主基站密钥和第二密钥输入参数，生成第二IAB密钥K _IAB2，K _IAB2用于建立第一接入网设备与第一设备之间的安全隧道。

一种可能的设计中，第二密钥输入参数包括：第一IP地址和第三IP地址，第一IP地址为第一设备用于与IAB donor通信的IP地址，第三IP地址为第一接入网设备用于与IAB node通信的IP地址。

一种可能的设计中，第一接入网设备获取与第一接入网设备关联的第二密钥输入参数，包括：第一接入网设备为第一设备分配第一IP地址；第一接入网设备从数据库中获取第三IP地址。

一种可能的设计中，第一接入网设备获取与第一接入网设备关联的第二密钥输入参数，包括：第一接入网设备接收第一设备发送的IP地址通知消息，IP地址通知消息包括第一IP地址；第一接入网设备从数据库中获取第三IP地址。

第二方面，提供一种密钥生成方法，包括：第二接入网设备接收第一接入网设备发送的辅基站配置消息，辅基站配置消息用于配置第二接入网设备作为第一设备的辅基站；当辅基站配置消息包括第三指示信息时，第二接入网设备确定自身是否具备IAB donor功能，第三指示信息用于指示第一设备为IAB节点；当第二接入网设备具备IAB宿主功能时，第二接入网设备从第一接入网设备获取第一IAB密钥K _IAB1，所述K _IAB1用于建立所述第二接入网设备与所述第一设备之间的安全隧道，所述K _IAB1是根据主基站密钥生成的，所述主基站密钥用于对所述第一接入网设备和所述第一设备之间的通信进行安全保护。

基于上述技术方案，通过以具备IAB donor功能的第二接入网设备作为第一设备的辅基站，从而保证在双连接场景下存在接入网设备作为IAB donor为IAB node(也即第一设备)提供相应的服务。第二接入网设备通过接收第一接入网设备发送的K _IAB1，从而使得IAB node和IAB donor之间统一使用以主基站密钥生成的IAB密钥，进而保证IAB node和IAB donor之间能够以相同的IAB密钥作为认证凭证来建立安全隧道。

一种可能的设计中，K _IAB1是根据主基站密钥生成的，包括：K _IAB1是根据主基站密钥和第一密钥输入参数生成的。第一密钥输入参数包括第一IP地址和第二IP地址，第一IP地址为第一设备用于与IAB donor通信的IP地址，第二IP地址为第二接入网设备用于与IAB node通信的IP地址。

一种可能的设计中，辅基站配置消息还包括第一指示信息和/或第二指示信息，第一指示信息用于请求第一IP地址，第二指示信息用于请求第二IP地址。

一种可能的设计中，上述密钥生成方法还包括：第二接入网设备向第一接入网设备发送辅基站配置响应消息，辅基站配置响应消息包括第一IP地址和/或第二IP地址。

一种可能的设计中，所述第二接入网设备从所述第一接入网设备获取K _IAB1，包括：所述第二接入网设备接收所述第一接入网设备发送的辅基站重配置完成消息，所述辅基站重配置完成消息包括所述K _IAB1。

一种可能的设计中，所述第二接入网设备从所述第一接入网设备获取K _IAB1，包括：所述第二接入网设备向所述第一接入网设备发送密钥请求消息，所述密钥请求消息用于请求所述K _IAB1；所述第二接入网设备接收所述第一接入网设备发送的密钥响应消息，所述密钥响应消息包括所述K _IAB1。

一种可能的设计中，所述密钥请求消息还包括所述第一IP地址和/或第二IP地址。

第三方面，提供一种密钥生成方法，应用于第一设备连接主基站和辅基站的场景，第一设备具备IAB node功能。该密钥生成方法包括：第一设备根据主基站支持的通信制式、辅基站支持的通信制式以及核心网支持的通信制式，确定双连接的类型；当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据主基站密钥，生成IAB密钥K _IAB，所述主基站密钥用于对所述第一设备与主基站之间的通信安全进行安全保护。

基于上述技术方案，IAB node通过确定双连接的类型，从而在NE-DC、NR-DC或者NGEN-DC场景下，IAB node使用主基站密钥，生成IAB密钥K _IAB，从而使得IAB node和IAB donor之间统一使用以主基站密钥生成的IAB密钥，进而保证IAB node和IAB donor之间能够以相同的IAB密钥作为认证凭证来建立安全隧道。

一种可能的设计中，上述密钥生成方法还包括：第一设备接收主基站的广播消息；第一设备根据广播消息中的配置参数，确定主基站支持的通信制式，配置参数包括以下一项或者多项：基站标识、逻辑小区标识、物理小区标识、上行频点或下行频点。

一种可能的设计中，第一设备根据广播消息中的配置参数，确定主基站支持的通信制式，包括：当广播消息中的配置参数属于5G通信系统时，第一设备确定主基站支持5G通信制式；或者，当广播消息中的配置参数属于4G通信系统时，第一设备确定主基站支持4G通信制式。

一种可能的设计中，上述密钥生成方法还包括：第一设备接收主基站发送的RRC重配置消息，RRC重配置消息包括辅小区组配置信息；第一设备根据辅小区组配置信息，确定辅基站支持的通信制式。

一种可能的设计中，第一设备根据RRC重配置消息，确定辅基站支持的通信制式，包括：当辅小区组配置信息属于5G通信制式时，第一设备确定辅基站支持5G通信制式；或者，当辅小区组配置信息属于4G通信制式时，第一设备确定辅基站支持4G通信制式。

一种可能的设计中，上述密钥生成方法还包括：第一设备接收主基站发送的广播消息；第一设备根据广播消息中的小区配置信息，确定核心网支持的通信制式。

一种可能的设计中，第一设备根据广播消息中的小区配置信息，确定核心网支持的通信制式，包括：当小区配置信息属于5G通信制式时，第一设备确定核心网支持5G通信制式；或者，当小区配置信息属于4G通信制式时，第一设备确定核心网支持4G通信制式。

一种可能的设计中，第一设备根据主基站支持的通信制式、辅基站支持的通信制式以及核心网支持的通信制式，确定双连接的类型，包括：当主基站支持5G网络制式，辅基站支持4G网络制式，核心网支持5G网络制式时，第一设备确定双连接类型为NE-DC；或者，当主基站支持5G网络制式，辅基站支持5G网络制式，核心网支持5G网络制式时，第一设备确定双连接类型为NR-DC；或者，当主基站支持4G网络制式，辅基站支持5G网络制式，核心网支持5G网络制式时，第一设备确定双连接类型为NGEN-DC；或者，当主基站支持4G网络制式，辅基站支持5G网络制式，核心网支持4G网络制式时，第一设备确定双连接类型为EN-DC。

第四方面，提供一种密钥生成方法，方法包括：第一接入网设备确定通过第一接入网设备注册到网络的第一设备为IAB node；若第一接入网设备具备IAB donor功能，则第一接入网设备选择第三接入网设备作为第一设备的辅基站；第一接入网设备根据辅基站密钥，生成第二IAB密钥K _IAB2，K _IAB2用于建立第一接入网设备与第一设备之间的安全隧道，所述辅基站密钥用于对所述辅基站和所述第一设备之间的通信进行安全保护。

基于上述技术方案，由于第一接入网设备确定第一设备为IAB node，并且第一接入网设备具备IAB donor功能，因此第一接入网设备可以作为第一设备的IAB donor。进而，在双连接场景下，第一接入网设备根据辅基站密钥，生成K _IAB2，从而保证IAB node和IAB donor之间统一使用以辅基站密钥生成的IAB密钥，进而保证IAB node和IAB donor之间能够以相同的IAB密钥作为认证凭证来建立安全隧道。

一种可能的设计中，辅基站密钥是根据主基站密钥推演得到的，所述主基站密钥用于对第一接入网设备和第一设备之间的通信进行安全保护。

一种可能的设计中，在第一接入网设备根据辅基站密钥，生成K _IAB2之后，方法还包括：第一接入网设备向第二接入网设备发送辅基站配置消息，辅基站配置消息包括辅基站密钥；第一接入网设备接收第二接入网设备发送的辅基站配置响应消息。

一种可能的设计中，第一接入网设备根据辅基站密钥，生成K _IAB2，包括：第一接入网设备在发送辅基站配置消息之后，根据辅基站密钥，生成K _IAB2。

一种可能的设计中，第一接入网设备根据辅基站密钥，生成K _IAB2，包括：第一接入网设备在接收到辅基站配置响应消息之后，根据辅基站密钥，生成K _IAB2。

一种可能的设计中，上述密钥生成方法还包括：若第一接入网设备不具备IAB donor功能，则第一接入网设备选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站；第一接入网设备向第二接入网设备发送辅基站配置消息，辅基站配置消息包括辅基站密钥。

第五方面，提供一种密钥生成方法，应用于第一设备连接主基站和辅基站的场景，第一设备具备IAB node功能。该密钥生成方法包括：第一设备根据主基站支持的通信制式、辅基站支持的通信制式以及核心网支持的通信制式，确定双连接的类型；当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据辅基站密钥，生成IAB密钥K _IAB，所述辅基站密钥用于对所述第一设备与辅基站之间的通信安全进行安全保护。

基于上述技术方案，IAB node通过确定双连接的类型，从而在NE-DC、NR-DC或者NGEN-DC场景下，IAB node使用辅基站密钥，生成IAB密钥K _IAB，从而使得IAB node和IAB donor之间统一使用以辅基站密钥生成的IAB密钥，进而保证IAB node和IAB donor之间能够以相同的IAB密钥作为认证凭证来建立安全隧道。

第六方面，提供一种密钥生成方法，应用于第一设备连接主基站和辅基站的场景下，第一设备具备IAB node功能。该密钥生成方法包括：第一设备获知主基站或者辅基站作为IAB donor；当主基站为IAB donor时，第一设备根据主基站密钥和密钥输入参数，生成IAB密钥，IAB密钥用于建立IAB node和IAB donor之间的安全隧道，主基站密钥用于对第一设备与主基站之间的通信进行安全保护；或者，当辅基站为IAB donor时，第一设备根据辅基站密钥和密钥输入参数，生成IAB密钥，辅基站密钥用于对第一设备与辅基站之间的通信进行安全保护。

基于上述技术方案，在主基站作为IAB donor的情况下，保证IAB node和IAB donor均采用主基站密钥来生成IAB密钥。在辅基站作为IAB donor的情况下，保证IAB node和IAB donor均采用辅基站密钥来生成IAB密钥。这样一来，保证在双连接场景下，IAB donor和IAB node之间能够以相同的IAB密钥作为认证凭证来建立安全隧道。

一种可能的设计中，第一设备获知主基站或者辅基站作为IAB donor，包括：当第一设备接收到第四指示信息时，第一设备获知主基站为IAB donor，第四指示信息用于指示主基站为IAB donor；或者，当第一设备接收到第五指示信息时，第一设备获知辅基站为IAB donor，第五指示信息用于指示辅基站为IAB donor。

一种可能的设计中，第一设备获知主基站或者辅基站作为IAB donor，包括：当第一设备与主基站之间建立无线回程链路时，第一设备获知主基站为IAB donor；或者，当第一设备与辅基站之间建立无线回程链路时，第一设备获知辅基站为IAB donor。

一种可能的设计中，第一设备获知主基站或者辅基站作为IAB donor，包括：第一设备获取主基站支持的频段以及辅基站支持的频段；当主基站支持的频段高于辅基站支持的频段时，第一设备获知主基站为IAB donor；或者，当主基站支持的频段低于辅基站支持的频段时，第一设备获知辅基站为IAB donor。

一种可能的设计中，第一设备获知主基站或者辅基站作为IAB donor，包括：当第一设备接收主基站广播的第六指示信息时，第一设备获知主基站为IAB donor；或者，当第一设备接收辅基站广播的第六指示信息时，第一设备获知辅基站为IAB donor；其中，第六指示信息用于指示基站具有IAB donor功能。

第七方面，提供一种通信装置，应用于第一接入网设备。所述通信装置包括：处理模块和通信模块。处理模块，用于确定注册到5G核心网的第一设备为IAB node；在需要为第一设备选择辅基站的情况下，判断自身是否具备IAB donor功能；若不具备IAB donor功能，则选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站；获取与第二接入网设备关联的第一密钥输入参数；根据主基站密钥和第一密钥输入参数，生成第一IAB密钥K _IAB1，主基站密钥用于对主基站(第一接入网设备)与第一设备之间的通信进行安全保护，K _IAB1用于建立第二接入网设备与第一设备之间的安全隧道。通信模块，用于向第二接入网设备发送K _IAB1。

一种可能的设计中，通信模块，还用于向第二设备发送第一请求消息，第一请求消息包括第一设备的标识；接收第二设备发送的第一响应消息，第一响应消息包括第二接入网设备的标识。

一种可能的设计中，通信模块，用于向第二接入网设备发送辅基站配置消息，辅基站配置消息用于配置第二接入网设备为第一设备的辅基站，辅基站配置消息包括第一指示信息和/或第二指示信息，第一指示信息用于请求第一IP地址，第二指示信息用于请求第二IP地址；接收第二接入网设备发送的辅基站配置响应消息，辅基站配置响应消息包括第一IP地址和/或第二IP地址。

一种可能的设计中，通信模块，还用于向第一设备发送第一IP地址。

一种可能的设计中，通信模块，还用于接收第一设备发送的IP地址通知消息，IP地址通知消息包括第一IP地址；向第二接入网设备发送辅基站配置消息，辅基站配置消息用于配置第二接入网设备为第一设备的辅基站，辅基站配置消息包括第二指示信息，第二指示信息用于请求第二IP地址；接收第二接入网设备发送的辅基站配置响应消息，辅基站配置响应消息包括第二IP地址。

一种可能的设计中，处理模块，还用于若自身具备IAB donor功能，则选择第三接入网设备作为第一设备的辅基站；获取与第一接入网设备关联的第二密钥输入参数；根据主基站密钥和第二密钥输入参数，生成第二IAB密钥K _IAB2，K _IAB2用于建立自身与第一设备之间的安全隧道。

一种可能的设计中，处理模块，还用于为第一设备分配第一IP地址；从数据库中获取第三IP地址。

一种可能的设计中，通信模块，还用于接收第一设备发送的IP地址通知消息，IP地址通知消息包括第一IP地址。处理模块，还用于备从数据库中获取第三IP地址。

第八方面，提供一种通信装置，应用于第二接入网设备。所述通信装置包括：通信模块和处理模块。通信模块，用于接收第一接入网设备发送的辅基站配置消息，辅基站配置消息用于配置第二接入网设备作为第一设备的辅基站。处理模块，用于当辅基站配置消息包括第三指示信息时，确定自身是否具备IAB donor功能，第三指示信息用于指示第一设备为IAB节点。通信模块，还用于当自身具备IAB宿主功能时，从第一接入网设备获取第一IAB密钥K _IAB1，所述K _IAB1用于建立所述第二接入网设备与所述第一设备之间的安全隧道，所述K _IAB1是根据主基站密钥生成的，所述主基站密钥用于对所述第一接入网设备和所述第一设备之间的通信进行安全保护。

一种可能的设计中，通信模块，还用于向第一接入网设备发送辅基站配置响应消息，辅基站配置响应消息包括第一IP地址和/或第二IP地址。

一种可能的设计中，通信模块，具体用于接收所述第一接入网设备发送的辅基站重配置完成消息，所述辅基站重配置完成消息包括所述K _IAB1。

一种可能的设计中，通信模块，具体用于向所述第一接入网设备发送密钥请求消息，所述密钥请求消息用于请求所述K _IAB1；接收所述第一接入网设备发送的密钥响应消息，所述密钥响应消息包括所述K _IAB1。

第九方面，提供一种通信装置，应用于第一设备。所述通信装置包括：处理模块。处理模块，用于根据主基站支持的通信制式、辅基站支持的通信制式以及核心网支持的通信制式，确定双连接的类型；当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，根据主基站密钥和密钥输入参数，生成K _IAB，所述主基站密钥用于对所述第一设备与主基站之间的通信安全进行安全保护。

一种可能的设计中，通信装置还包括通信模块。通信模块，用于接收主基站的广播消息。处理模块，还用于根据广播消息中的配置参数，确定主基站支持的通信制式，配置参数包括以下一项或者多项：基站标识、逻辑小区标识、物理小区标识、上行频点或下行频点。

一种可能的设计中，处理模块，具体用于当广播消息中的配置参数属于5G通信系统时，确定主基站支持5G通信制式；或者，当广播消息中的配置参数属于4G通信系统时，确定主基站支持4G通信制式。

一种可能的设计中，通信装置还包括通信模块。通信模块，用于接收主基站发送的RRC重配置消息，RRC重配置消息包括辅小区组配置信息。处理模块，用于根据辅小区组配置信息，确定辅基站支持的通信制式。

一种可能的设计中，处理模块，具体用于当辅小区组配置信息属于5G通信制式时，确定辅基站支持5G通信制式；或者，当辅小区组配置信息属于4G通信制式时，确定辅基站支持4G通信制式。

一种可能的设计中，通信装置还包括通信模块。通信模块，用于接收主基站发送的广播消息。处理模块，用于根据广播消息中的小区配置信息，确定核心网支持的通信制式。

一种可能的设计中，处理模块，具体用于当小区配置信息属于5G通信制式时，确定核心网支持5G通信制式；或者，当小区配置信息属于4G通信制式时，确定核心网支持4G通信制式。

一种可能的设计中，处理模块，具体用于当主基站支持5G网络制式，辅基站支持4G网络制式，核心网支持5G网络制式时，确定双连接类型为NE-DC；或者，当主基站支持5G网络制式，辅基站支持5G网络制式，核心网支持5G网络制式时，确定双连接类型为NR-DC；或者，当主基站支持4G网络制式，辅基站支持5G网络制式，核心网支持5G网络制式时，确定双连接类型为NGEN-DC；或者，当主基站支持4G网络制式，辅基站支持5G网络制式，核心网支持4G网络制式时，确定双连接类型为EN-DC。

第十方面，提供一种通信装置，应用于第一接入网设备。所述通信装置包括：处理模块。处理模块，用于确定注册到网络的第一设备为IAB node；在需要为第一设备选择辅基站的情况下，判断自身是否具备IAB donor功能；若自身具备IAB donor功能，则选择第三接入网设备作为第一设备的辅基站；根据辅基站密钥，生成IAB密钥K _IAB，K _IAB用于建立自身与第一设备之间的安全隧道，所述辅基站密钥用于对所述辅基站和所述第一设备之间的通信进行安全保护。

一种可能的设计中，通信装置还包括通信模块。通信模块，用于在处理模块生成生成K _IAB之后，向第二接入网设备发送辅基站配置消息，辅基站配置消息包括辅基站密钥；接收第二接入网设备发送的辅基站配置响应消息。

一种可能的设计中，处理模块，具体用于在通信模块发送辅基站配置消息之后，根据辅基站密钥，生成K _IAB。

一种可能的设计中，处理模块，具体用于在接收到辅基站配置响应消息之后，根据辅基站密钥，生成K _IAB。

一种可能的设计中，处理模块，还用于若自身不具备IAB donor功能，则选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站；向第二接入网设备发送辅基站配置消息，辅基站配置消息包括辅基站密钥。

第十一方面，提供一种通信装置，应用于第一设备。所述通信装置包括：处理模块。处理模块，用于根据主基站支持的通信制式、辅基站支持的通信制式以及核心网支持的通信制式，确定双连接的类型；当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，根据辅基站密钥，生成K _IAB，所述辅基站密钥用于对所述第一设备与辅基站之间的通信安全进行安全保护。

第十二方面，提供一种通信装置，应用于第一设备，所述第一设备具备IAB node功能。所述通信装置包括：处理模块。处理模块，用于获知主基站或者辅基站作为IAB donor；当主基站为IAB donor时，根据主基站密钥和密钥输入参数，生成IAB密钥，IAB密钥用于建立IAB node和IAB donor之间的安全隧道；或者，当辅基站为IAB donor时，根据辅基站密钥和密钥输入参数，生成IAB密钥。

一种可能的设计中，处理模块，具体用于当接收到第四指示信息时，获知主基站为IAB donor，第四指示信息用于指示主基站为IAB donor；或者，当接收到第五指示信息时，获知辅基站为IAB donor，第五指示信息用于指示辅基站为IAB donor。

一种可能的设计中，处理模块，具体用于当通信装置与主基站之间建立无线回程链路时，获知主基站为IAB donor；或者，当通信装置与辅基站之间建立无线回程链路时，获知辅基站为IAB donor。

一种可能的设计中，处理模块，具体用于获取主基站支持的频段以及辅基站支持的频段；当主基站支持的频段高于辅基站支持的频段时，获知主基站为IAB donor；或者，当主基站支持的频段低于辅基站支持的频段时，获知辅基站为IAB donor。

一种可能的设计中，处理模块，具体用于当接收主基站广播的第六指示信息时，获知主基站为IAB donor；或者，当接收辅基站广播的第六指示信息时，获知辅基站为IAB donor；其中，第六指示信息用于指示基站具有IAB donor功能。

第十三方面，提供一种通信装置，包括处理器和通信端口，处理器用于执行计算机程序指令，使得通信装置实现第一方面至第六方面中任一方面所提供的任一种设计所涉及的方法。

第十四方面，提供一种计算机可读存储介质，该计算机可读存储介质存储有指令，当指令在计算机上运行时，使得计算机实现第一方面至第六方面中任一方面所提供的任一种设计所涉及的方法。

第十五方面，提供一种计算机程序产品，该计算机程序产品包括指令，当计算机程序产品在计算机上运行时，使得计算机实现第一方面至第六方面中任一方面所提供的任一种设计所涉及的方法。

第十六方面，提供一种芯片，该芯片包括处理器，当处理器执行计算机程序指令时，使得计算机实现第一方面至第六方面中任一方面所提供的任一种设计所涉及的方法。

其中，上述第七方面至第十六方面中任一种设计方式所带来的技术效果可参见上文所提供的对应的方法中的有益效果同设计方式所带来的技术效果，此处不再赘述。

附图说明

图1为相关技术提供的一种双连接配置的流程图；

图2为本申请实施例提供的一种IAB组网场景的示意图；

图3为本申请实施例提供的一种IAB网络中用户面协议栈的示意图；

图4为本申请实施例提供的一种IAB网络中控制面协议栈的示意图；

图5为本申请实施例提供的一种IAB node采用EN-DC模式的示意图；

图6为本申请实施例提供的一种EN-DC场景下生成IAB密钥的流程图；

图7为本申请实施例提供的一种IAB node采用NE-DC模式的示意图；

图8为本申请实施例提供的一种IAB node采用NR-DC模式的示意图；

图9为本申请实施例提供的一种IAB node采用NGEN-DC模式的示意图；

图10为本申请实施例提供的一种密钥生成方法的流程图；

图11为本申请实施例提供的另一种密钥生成方法的流程图；

图12为本申请实施例提供的另一种密钥生成方法的流程图；

图13为本申请实施例提供的另一种密钥生成方法的流程图；

图14为本申请实施例提供的另一种密钥生成方法的流程图；

图15为本申请实施例提供的另一种密钥生成方法的流程图；

图16为本申请实施例提供的另一种密钥生成方法的流程图；

图17为本申请实施例提供的另一种密钥生成方法的流程图；

图18为本申请实施例提供的另一种密钥生成方法的流程图；

图19为本申请实施例提供的另一种密钥生成方法的流程图；

图20为本申请实施例提供的另一种密钥生成方法的流程图；

图21为本申请实施例提供的另一种密钥生成方法的流程图；

图22为本申请实施例提供的另一种密钥生成方法的流程图；

图23为本申请实施例提供的另一种密钥生成方法的流程图；

图24为本申请实施例提供的另一种密钥生成方法的流程图；

图25为本申请实施例提供的另一种密钥生成方法的流程图；

图26为本申请实施例提供的另一种密钥生成方法的流程图；

图27为本申请实施例提供的另一种密钥生成方法的流程图；

图28为本申请实施例提供的一种通信装置的结构示意图；

图29为本申请实施例提供的一种通信装置的硬件结构示意图。

具体实施方式

在本申请的描述中，除非另有说明，“/”表示“或”的意思，例如，A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。此外，“至少一个”是指一个或多个，“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

需要说明的是，本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

为了便于理解本申请的技术方案，下面对一些技术术语进行介绍。

1、双连接

在无线通信技术领域中，为了提升用户的吞吐率，引入了双连接(dual connectivity，DC)技术。DC可以支持两个或两个以上基站同时为一个终端设备提供数据传输服务。这些基站中包括一个主基站以及一个或多个辅基站。

上述主基站又可以被称为主节点(master node，MN)或者主接入网设备，上述辅基站又可以被称为辅节点(secondary node，SN)或者辅接入网设备，本申请实施例对此不作限定。

主基站与核心网(core network，CN)之间通过S1/NG接口连接。主基站与核心网之间至少包括控制面连接，还可以有用户面连接。S1接口包括S1-U和S1-C。NG接口包括NG-U和NG-C。其中，S1-U/NG-U代表用户面连接，S1-C/NG-C代表控制面连接。

辅基站与核心网之间可以具有用户面连接，也可以不具有用户面连接。当辅基站与核心网之间不具有用户面连接时，终端设备的数据可以由主基站在分组数据汇聚协议(packet data convergence protocol，PDCP)层分流给辅基站。

依据主基站、辅基站以及主基站连接的核心网各自支持的通信制式，双连接可以有多种类型。示例性的，下面以表1为例对双连接的类型进行说明。

表1

双连接类型	主基站	辅基站	核心网
EN-DC	4G基站	4G基站	4G核心网
NE-DC	5G基站	4G基站	5G核心网
NR-DC	5G基站	5G基站	5G核心网
NGEN-DC	4G基站	4G基站	5G核心网

在双连接场景下，主基站管理一个主小区(primary cell，PCell)。其中，主小区是指部署在主频点，且在终端发起初始连接建立过程或RRC连接重建立过程中接入的小区，或者在切换过程中指示为主小区的小区。进一步地，除主小区外，主基站还可以管理一个或多个辅小区(secondary cell，SCell)。主基站下为终端提供服务的小区，如主小区、主基站下的辅小区，可以构成(master cell group，MCG)。

辅基站管理一个主辅小区(primary secondary cell，PSCell)。其中，主辅小区可以是终端向辅基站发起随机接入过程中接入的小区，或者终端在辅基站改变过程中跳过随机接入过程发起数据传输的另一辅基站上的小区，或者执行同步重配置流程时发起随机接入过程中接入的辅基站上的小区。进一步地，除主辅小区外，辅基站还可以管理一个或多个辅小区。辅基站上为终端提供服务的小区，如主辅小区、辅基站上的辅小区，可以构成辅小区组(secondary cell group，SCG)。

在本申请实施例中，终端设备是一种具有无线收发功能的设备。终端设备可以被部署在陆地上，包括室内或室外、手持或车载；也可以被部署在水面上(如轮船等)；还可以被部署在空中(例如飞机、气球和卫星上等)。终端设备可以是用户设备(user equipment，UE)。其中，UE包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或计算设备。示例性地，UE可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality，VR)终端设备设备、增强现实(augmented reality，AR)终端设备、工业控制中的无线终端设备、无人驾驶中的无线终端设备、远程医疗中的无线终端设备、智能电网中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smart home)中的无线终端设备等等。

上述主基站和辅基站可以统称为网络设备。该网络设备包括但不限于：演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved Node B，或home Node B，HNB)、基带单元(baseband unit，BBU)，无线中继节点、无线回传节点、传输点(transmission and reception point，TRP或者transmission point，TP)等，还可以为5G，如，新空口(new radio，NR)系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(baseband unit，BBU)，或，分布式单元(distributed unit， DU)、具有基站功能的路边单元(road side unit，RSU)等。

在本申请实施例中，网络设备可以采用集中式单元(centralized unit，CU)-DU架构。也即，网络设备可以由CU和至少一个DU构成。这种情况下，网络设备的部分功能部署在CU上，网络设备的另一部分功能部署在DU上。CU和DU是按照协议栈进行功能切分。作为一种实现方式，CU部署有协议栈中的RRC层，分组数据汇聚层协议(packet data convergence protocol，PDCP)层，以及业务数据适应协议(service data adaptation protocol，SDAP)层；DU部署有协议栈中的无线链路控制(radio link control，RLC)层，媒体介入控制(media access control，MAC)层，以及物理层(physical layer，PHY)。从而，CU具有RRC、PDCP和SDAP的处理能力。DU具有RLC、MAC和PHY的处理能力。可以理解的是，上述功能的切分仅为一个示例，不构成对CU和DU的限定。也就是说，CU和DU之间还可以有其他功能切分的方式，本申请实施例在此不予赘述。

2、双连接配置流程

如图1所示，相关技术中提供的一种双连接配置流程包括以下步骤：

S10、终端设备通过主基站注册到网络。

可选的，在终端设备注册到网络之后，主基站可以向终端设备下发测量事件，以使得终端设备向主基站上报测量报告。之后，主基站可以根据测量报告，确定是否为终端设备添加辅基站。如果确定为终端设备添加辅基站，主基站可以执行下述步骤S11。

S11、主基站确定为终端设备添加辅基站。

S12、主基站向辅基站发送辅节点增加/调整请求(SN addition/modification request)消息。

其中，SN addition/modification request消息包含辅基站的相关配置信息。

需要说明的是，主基站可以生成辅基站密钥。之后，主基站发送的SN addition/modification request消息可以携带辅基站密钥。由于主基站不使用辅基站密钥，因此主基站可以在发送SN addition/modification request消息之后，删除辅基站密钥。

S13、辅基站向主基站发送辅节点增加/调整请求确认(SN addition/modification request ack)消息。

其中，SN addition/modification request ack消息用于表示同意使用SN addition/modification request消息所携带的配置信息。

S14、主基站向终端设备发送RRC重配置消息。

其中，RRC重配置消息用于配置终端设备与辅基站之间的无线承载。

S15、终端设备向主基站发送RRC重配置完成消息。

S16、主基站向辅基站发送辅节点重配置完成(SN reconfiguration complete)消息。

之后，终端设备和辅基站可以执行随机接入流程(random access procedure)。在经过随机接入流程之后，终端设备和辅基站之间建立RRC连接。

3、K _gNB

在5G网络中，K _gNB是终端设备和接入与移动管理功能(access and mobility management function，AMF)分别根据K _AMF推演得到的。AMF在推演得到K _gNB之后，会将K _gNB发送给终端设备所连接的接入网设备。这样一来，终端设备和接入网设备维护同一个K _gNB，从而终端设备和接入网设备可以利用K _gNB及其推演出来的密钥进行安全通信。

4、K _eNB

在4G网络中，K _eNB是终端设备和移动管理实体(mobility management entity，MME)分别根据K _ASME推演得到的。MME在推演得到K _eNB之后，会将会将K _eNB发送给终端设备所连接的接入网设备。这样一来，终端设备和接入网设备维护同一个K _eNB，从而终端设备和接入网设备可以利用K _eNB及其推演出来的密钥进行安全通信。

5、安全保护

安全保护是指对数据进行加密/解密，和/或完整性保护/校验等处理，以避免数据泄露或者数据被篡改等风险。

1)加密/解密：保护数据在传输过程中的机密性(因此又可以被称作机密性保护)，机密性是指无法被直接看出真实内容。加密保护一般可以使用密钥和加密算法对数据进行加密来实现。

2)完整性保护/校验：判断消息在传递过程中，其内容是否被更改，也可以用于作为身份验证，以确认消息的来源。

3)防重放保护/校验：判断消息是否被重放，以确认消息的新鲜性。

以上是对本申请实施例所涉及的技术术语的介绍，以下不再赘述。

相比较于4G移动通信系统，5G移动通信系统针对网络各项性能指标，在全方位上都提出了更严苛的要求。例如，容量指标提升1000倍，更广的覆盖需求、超高可靠超低时延等。

一方面，为满足5G移动通信系统对超高容量的需求，并且考虑到高频载波频率资源丰富，运营商普遍在热点区域利用高频小站进行组网。但是，高频载波传播特性较差，受遮挡衰减严重，覆盖范围不广，故而需要大量密集部署小站。相应地，为这些大量密集部署的小站提供光纤回传的代价很高，施工难度大，因此需要经济便捷的回传方案。另一方面，从广覆盖需求的角度出发，在一些偏远地区提供网络覆盖，光纤的部署难度大，成本高，也需要设计灵活便利的接入和回传方案。

接入回传一体化(integrated access and backhaul，IAB)技术为解决上述两个问题提供了思路：其接入链路(access link)和回传链路(backhaul link)皆采用无线传输方案，避免光纤部署。

在IAB网络中，IAB节点可以为终端设备提供无线接入服务，并通过无线回传链路连接到IAB宿主(donor)传输用户的业务数据。

IAB节点经宿主节点通过有线链路连接到核心网。例如，在独立组网的5G架构下，IAB节点经宿主节点通过有线链路连接到5G网络的核心网(5G core，5GC)。在非独立组网的5G架构下，IAB节点在控制面经演进型基站(evolved NodeB，eNB)连接到演进分组核心网(evolved packet core，EPC)，在用户面经宿主节点以及eNB连接到EPC。

为了保证IAB网络的覆盖性能以及业务传输的可靠性，IAB网络支持多跳IAB节点和多连接IAB节点组网。因此，在IAB节点服务的终端和宿主节点之间可能存在多条传输路径。在一条传输路径上可能包括多个节点，例如终端、一个或多个IAB节点、宿主节点。IAB节点之间，以及IAB节点和为IAB节点服务的宿主节点有确定的层级关系，每个IAB节点将为其提供回传服务的节点视为父节点。相应地，每个IAB节点可视为其父节点的子节点。

示例性的，如图2所示，在IAB独立组网场景中，IAB节点1的父节点为宿主节点，IAB节点1又为IAB节点2和IAB节点3的父节点，IAB节点2和IAB节点3均为IAB节点4的父节点，IAB节点5的父节点为IAB节点2。终端的上行数据包可以经一个或多个IAB节点传输至宿主节点后，再由宿主节点发送至移动网关设备(例如5G网络中的用户面功能(user plane function，UPF)网元)，下行数据包将由宿主节点从移动网关设备处接收后，再经一个或多个IAB节点发送至终端。

可以理解的是，在IAB网络中，终端和宿主节点之间的一条传输路径上，可以包含一个或多个IAB节点。每个IAB节点需要维护面向父节点的无线回传链路，还需要维护和子节点的无线链路。若一个IAB节点是终端接入的节点，该IAB节点和子节点(即终端)之间是无线接入链路。若一个IAB节点是为其他IAB节点提供回传服务的节点，该IAB节点和子节点(即其他IAB节点)之间是无线回传链路。示例性的，参见图2，在路径“终端1→IAB节点4→IAB节点3→IAB节点1→宿主节点”中。终端1通过无线接入链路接入IAB节点4，IAB节点4通过无线回传链路接入IAB节点3，IAB节点3通过无线回传链路接入IAB节点1，IAB节点1通过无线回传链路接入宿主节点。

IAB节点可以包括移动终端(mobile terminal，MT)以及集中式单元(distributed unit，DU)。IAB节点所包括的MT具有终端设备的部分或者全部功能。当IAB节点面向其父节点时，IAB节点可以被看做是终端设备，也即IAB节点扮演MT的角色。当IAB节点面向其子节点(子节点可能是终端或另一IAB节点的终端部分)时，IAB节点可以被看做是网络设备，也即IAB节点扮演DU的角色。换而言之，一个IAB节点可以通过MT部分与该IAB节点的至少一个父节点之间建立回传连接。一个IAB节点的DU部分可以为终端设备或其他IAB节点的MT部分提供接入服务。

IAB宿主可以是一个具有完整的实体。或者，IAB宿主还可以是集中式单元(centralized unit，CU)(本文中简称为Donor-CU，也可以简称为CU)和分布式单元(distributed unit，DU)(本文中简称为Donor-DU)分离的形态，也即IAB宿主由Donor-CU和Donor-DU组成。其中，Donor-CU还可以是用户面(User plane，UP)(本文中简称为CU-UP)和控制面(Control plane，CP)(本文中简称为CU-CP)分离的形态，即Donor-CU由CU-CP和CU-UP组成。

本申请实施例中，IAB宿主可以有其他名称，例如宿主基站、宿主节点、DgNB(即donor gNB)等，对此不作限定。

在IAB节点和IAB宿主之间，需要建立F1接口。F1接口还可以被称为F1*接口，对此不作限定。F1接口支持F1-U(或者说F1*-U)的用户面协议和F1-C(或者说F1*-C)的控制面协议。

示例性的，图3为本申请实施例提供的IAB网络中用户面协议栈的示意图。如图6所示，用户面协议栈包括以下协议层中的一个或多个：通用分组无线服务(general packet radio service，GPRS)隧道协议用户面(GPRS tunnelling protocol user plane， GTP-U)，户数据报协议(user datagram protocol，UDP)，因特网协议(internet protocol，IP)，无线回传链路引入回传适配协议(Backhaul Adaptation Protocol，BAP)，无线链路控制(radio link control，RLC)，媒体接入控制(media access control，MAC)，物理层(PHY layer)。图3中，L2层可以为开放式通信系统互联(open systems interconnection，OSI)参考模型中的数据链路层，L1层可以为物理层。

示例性的，图4为本申请实施例提供的IAB网络中控制面协议栈的示意图。如图4所示，控制面协议栈包括以下协议层中的一个或多个：F1应用协议(F1application protocol，F1AP)，流控传输协议(stream control transport protocol，SCTP)，IP，BAP，RLC，MAC，PHY等。

为了保护F1接口的安全，IAB节点和IAB宿主之间可以建立互联网安全协议(internet protocol security，IPSec)安全连接。其中，互联网密钥交换(internet key exchange，IKE)V2协议中支持使用预共享密钥(pre-shared secret key，PSK)的方式来进行安全认证。例如，IAB节点和IAB宿主可以提前配置好PSK，在后续IPSec建立过程中作为认证凭证来使用。当前，为了省去预配置PSK的过程，实现IAB node与IAB donor的即插即用，IAB node与IAB donor可以通过计算K _IAB来作为PSK。

当前，为了保障网络的覆盖性能以及业务传输可靠性的要求，可以使IAB node支持双连接(dual connectivity，DC)，以应对无线回传链路可能发生的异常情况，例如无线回程链路中断或者阻塞等。

图5为IAB node采用EN-DC模式的示意图。如图5所示，当IAB node工作在EN-DC模式时，4G基站(也即eNB)作为主基站，IAB donor作为辅基站。MeNB与IAB node的MT之间有LTE Uu空口连接，MeNB与IAB donor-CU-CP之间有X2-C接口连接，MeNB通过S1接口连接到4G核心网(evolved packet core，EPC)。可选的，IAB donor-CU-UP可以通过S1-U接口连接到EPC，例如连接到业务网关(serving gateway，SGW)。

目前，在IAB node采用EN-DC模式的场景下，如图6所示，IAB node与IAB donor生成K _IAB的流程包括以下步骤：

S20、IAB node通过MeNB接入核心网。

应理解，在IAB node接入核心网之后，IAB node和MeNB均存储相同的K _eNB。

S21、在MeNB生成S-Kgnb之后，MeNB向IAB donor发送SN additional/modification request消息。

其中，SN additional/modification request消息包括S-Kgnb。S-Kgnb是根据K _eNB推演得到的。

可以理解的是，MeNB在将S-Kgnb发送给辅基站后，可选删除S-Kgnb。也即，MeNB计算S-Kgnb的目的是发给辅基站使用，而MeNB并不使用S-Kgnb。

S22、IAB donor向MeNB发送SN additional/modification request ACK消息。

S23、MeNB向IAB node发送RRC重配置消息。

应理解，在接收到RRC重配置消息之后，IAB node可以根据K _eNB推演得到S-Kgnb。

S24、IAB node向MeNB发送RRC重配置完成消息。

S25、MeNB向IAB donor发送SN reconfiguration complete消息。

S26、IAB node根据S-Kgnb，生成IAB密钥。

S27、IAB donor根据S-Kgnb，生成IAB密钥。

在EN-DC模式下，IAB donor能且只能是辅基站，所以生成IAB密钥的输入密钥可以为S-Kgnb，即辅基站使用S-Kgnb推演IAB密钥。

这样一来，IAB node和IAB donor能够以相同的IAB密钥作为认证凭证，建立安全隧道。

但是，随着通信技术的发展，IAB node也可以采用其他类型的双连接(例如NE-DC、NR-DC、NGEN-DC等)。

图7为IAB node采用NE-DC模式的示意图。如图7所示，当IAB node工作在NE-DC模式时，IAB donor CU-UP通过NG-U接口连接到5G核心网(5G core，5GC)中的用户面网元，IAB donor CU-CP通过NG-C接口连接到5GC中的控制面网元。SeNB与IAB node中的MT之间有LTE Uu空口连接。IAB donor CU-CP与SeNB之间有X2-C接口。

图8为IAB node采用NR-DC模式的示意图。如图8所示，当IAB node工作在NR-DC模式时，IAB node连接一个IAB donor和一个gNB。其中，IAB donor CU-UP通过NG-U接口连接到5GC中的用户面网元，IAB donor CU-CP通过NG-C接口连接到5GC中的控制面网元。gNB与IAB node中的MT之间有NR Uu接口。

图9为IAB node采用NGEN-DC模式的示意图。如图9所示，当IAB node工作在NGEN-DC时，IAB node连接的主基站为NG-eNB，IAB node连接的辅基站为IAB donor。其中，IAB donor CU-UP通过NG-U接口连接到5GC中的用户面网元。IAB node中的MT与NG-enB之间有LTE Uu接口。

目前，对于除了EN-DC之外的其他类型的双连接，业界并未提供IAB node与IAB donor生成K _IAB的技术方案。这样一来，可能会导致IAB node生成的K _IAB与IAB donor生成的K _IAB不相同，从而使得IAB node与IAB donor之间不能正常建立IPsec安全连接。

举例来说，假设IAB node采用NR-DC接入网络中，主基站和辅基站均为gNB。IAB donor可能为主基站，也可能为辅基站。IAB node根据IP地址与IAB donor建立连接，但无需感知IAB donor为主基站还是辅基站。这样一来，在IAB donor为辅基站的情况下，IAB donor可能采用辅基站密钥来计算IAB密钥，而IAB node可能采用主基站密钥来计算IAB密钥，从而导致IAB donor和IAB node各自维护的IAB密钥不相同。又或者，在IAB donor为主基站的情况下，IAB donor可能采用主基站密钥来计算IAB密钥，而IAB node可能采用辅基站密钥来计算IAB密钥，从而导致IAB donor和IAB node各自维护的IAB密钥不相同。

为了解决上述技术问题，本申请实施例提供三个技术方案。下面先对三个技术方案的思路进行介绍。

技术方案一的思路在于：对于除了EN-DC之外的其他类型的双连接(例如NE-DC、NR-DC或者NGEN-DC)的场景下，IAB donor和IAB node均采用主基站密钥来计算K _IAB。

技术方案二的思路在于：对于除了EN-DC之外的其他类型的双连接(例如NE-DC、 NR-DC或者NGEN-DC)的场景下，IAB donor和IAB node均采用辅基站密钥来计算K _IAB。

技术方案三的思路在于：对于除了EN-DC之外的其他类型的双连接(例如NE-DC、NR-DC或者NGEN-DC)的场景下，IAB donor和IAB node均根据IAB donor的本地密钥来计算K _IAB。其中，若主基站为IAB donor，则上述本地密钥为主基站密钥；若辅基站为IAB donor，则本地密钥为辅基站密钥。

上述技术方案一至技术方案三，均能保证IAB donor和IAB node维护相同的K _IAB。应理解，在实际应用中，可以从上述技术方案一至技术方案三中选择任意一个技术方案来执行。

示例性的，主基站密钥用于对主基站(例如下文中的第一接入网设备)与第一设备之间的通信进行安全保护。例如，主基站密钥可以为K _gNB、K _RRCint、K _RRCenc、K _UPint、或者K _UPenc等。其中，KRRCint、K _RRCenc、KUPint和K _UPenc均是通过K _gNB推演得到的。K _RRCint用于对主基站与第一设备之间的RRC信令进行完整性保护。K _RRCenc用于对主基站与第一设备之间的RRC信令进行加密保护。K _UPint用于对主基站与第一设备之间的用户面数据进行完整性保护。K _UPenc用于对主基站与第一设备之间的用户面数据进行加密保护。在此对主基站密钥进行统一说明，以下不再赘述。

示例性的，辅基站密钥用于对辅基站(例如下文中的第二接入网设备或者第三接入网设备)和第一设备之间的通信进行安全保护。例如，辅基站密钥可以为Ksn、S-K _RRCint、S-K _RRCenc、S-K _UPint、或者S-K _UPenc等，对此不作限定。S-K _RRCint、S-K _RRCenc、S-K _UPint、或者S-K _UPenc均通过Ksn推演得到。S-K _RRCint用于对辅基站与第一设备之间的RRC信令进行完整性保护。S-K _RRCenc用于对辅基站与第一设备之间的RRC信令进行加密保护。S-K _UPint用于对辅基站与第一设备之间的用户面数据进行完整性保护。S-K _UPenc用于对辅基站与第一设备之间的用户面数据进行加密保护。在此对主基站密钥进行统一说明，以下不再赘述。

下面结合说明书附图对三个实施例的具体实现方式进行详细说明。需要说明的是，下述实施例中各个消息/信息的名称仅是一个示例，具体实现中可以是其他的名称，对此不作限定。

技术方案一

在除了EN-DC之外的其他类型的双连接场景下，网络侧可参照图10所示的实施例来获取IAB密钥，IAB node可参照图11所示的实施例来获取IAB密钥。

如图10所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S101、第一接入网设备确定通过第一接入网设备注册到5G核心网的第一设备为IAB node。

作为一种可能的实现方式，第一接入网设备接收到第一设备发送的IAB指示信息，IAB指示信息用于指示第一设备为IAB node。从而，第一接入网设备根据IAB指示信息，可以获知第一设备为IAB node。

示例性的，IAB指示信息可以记为“IAB-indication”。

作为另一种可能的实现方式，第一接入网设备接收到核心网网元的IAB授权信息，IAB授权信息用于指示第一设备具有作为IAB node的权限。从而，第一接入网设备根据IAB授权信息，可以获知第一设备为IAB node。

示例性的，IAB授权信息可以记为“IAB-authorized”。

应理解，核心网网元可以主动地向第一接入网设备发送IAB授权信息。或者，核心网网元可以根据第一接入网设备的请求，校验第一设备的签约数据，确定是否向第一接入网设备回复IAB授权信息。

应理解，在第一设备注册到5G核心网的过程中，第一接入网设备和第一设备均能获取到相同的主基站密钥。

S102、在需要为第一设备选择辅基站的情况下，第一接入网设备判断自身是否具备IAB donor功能。

作为一种可能的实现方式，第一接入网设备查找IAB donor配置信息中是否存在第一接入网设备的标识。当IAB donor配置信息存在第一接入网设备的标识时，第一接入网设备确定自身具备IAB donor功能。当IAB donor配置信息不存在第一接入网设备的标识时，第一接入网设备确定自身不具备IAB donor功能。

其中，IAB donor配置信息用于记录一个或多个具备IAB donor功能的接入网设备的标识。可选的，IAB donor配置信息可以是操作维护管理(operation administration and maintenance)系统或者其他设备配置给第一接入网设备的。

作为另一种可能的实现方式，第一接入网设备可以检查自身是否存储有donor配置文件。在第一接入网设备存储有donor配置文件时，第一接入网设备可以确定自身具备IAB donor功能。否则，第一接入网设备确定自身不具备IAB donor功能。

应理解，上述donor配置文件用于配置接入网设备作为IAB donor时的功能。Donor配置文件可以是第一接入网设备本地配置的，或者OAM系统配置给第一接入网设备的。

可选的，当第一接入网设备不具备IAB donor功能时，第一接入网设备执行下述步骤S103-S106。当第一接入网设备具备IAB donor功能时，第一接入网设备执行下述步骤S107-S109。

S103、在第一接入网设备不具备IAB donor功能的情况下，第一接入网设备选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站。

作为一种可能的实现方式中，第二设备预先为第一接入网设备配置了第二接入网设备的标识。从而，在需要为IAB node(例如第一设备)添加辅基站的情况下，第一接入网设备可以根据第二接入网设备的标识，选择第二接入网设备作为辅基站。

作为一种可能的实现方式，第一接入网设备向第二设备发送第一请求消息，该第一请求消息包括第一设备的标识。第二设备根据第一请求消息，可以确定作为第一设备的IAB donor的接入网设备(也即第二接入网设备)。之后，第一接入网设备接收第二设备发送的第一响应消息，第一响应消息包括第二接入网设备的标识。从而，第一接入网设备可以选择第二接入网设备作为第一设备的辅基站。

可选的，上述第一设备的标识可以包括小区无线网络临时标识(cell-radio network temporary identifier，C-RNTI)，设备编号等，对此不作限定。

可选的，上述第二接入网设备的标识可以包括IP地址、设备编号等，对此不作限定。

可选的，上述第二设备可以为OAM系统或者核心网网元，对此不作限定。

需要说明的是，第二设备根据第一请求消息，确定第二接入网设备，存在以下两种情况：

情况1、第二设备已经预先存储第一设备与第二接入网设备之间的映射关系。从而，第二设备根据第一设备的标识，以及第一设备与第二接入网设备之间的映射关系，可以查找到第二接入网设备的标识。

情况2、第二设备未存储第一设备与第二接入网设备之间的映射关系。从而，第二设备可以根据拓扑信息等因素，确定第二接入网设备。

应理解，由于第二设备负责确定第二接入网设备，因此第二设备可以向第一设备发送第二接入网设备用于与IAB node通信的IP地址，以便于第一设备与第二接入网设备之间能够根据IP地址进行通信。

在本申请实施例中，第一接入网设备在选择第二接入网设备作为辅基站之后，会向第二接入网设备发送辅基站配置消息，以使得第二接入网设备获知自身作为第一设备的辅基站。示例性的，辅基站配置消息可以为图1所示的双连接配置流程中的SN addition/modification request消息。

可选的，在第一设备为IAB node的情况下，辅基站配置消息可以包括第三指示信息，第三指示信息用于指示第一设备为IAB node。从而，第二接入网设备可以根据第三指示信息，获知第一设备为IAB node。

对于第二接入网设备来说，在辅基站配置消息包括第三指示信息的情况下，第二接入网设备判断自身是否具备IAB donor功能。在第二接入网设备确定自身具备IAB donor功能的情况下，第二接入网设备需要从第一接入网设备获取K _IAB1。

其中，第二接入网设备判断自身是否具备IAB donor功能的具体实现方式可以参考上文中第一接入网设备判断自身是否具备IAB donor功能的具体实现方式，在此不再赘述。

S104、第一接入网设备获取与第二接入网设备关联的第一密钥输入参数。

其中，第一密钥输入参数包括：第一IP地址和/或第二IP地址。

第一IP地址为第一设备用于与IAB donor通信的IP地址。由于第一设备作为IAB node，因此第一IP地址也可以被称为IAB node的IP地址，或者IAB node中MT的IP地址。

第二IP地址为第二接入网设备用于与IAB node通信的IP地址。由于第二接入网设备作为第一设备的IAB donor，因此第二IP地址也可以被称为IAB donor的IP地址，或者IAB donor中CU的IP地址。

可选的，第一接入网设备获取第一IP地址，可以采用以下实现方式1-1或者实现方式1-2中的任意一种：

实现方式1-1、第一接入网设备从第二设备获取到第一IP地址。

例如，在第一设备的IP地址是由第二设备负责分配的情况下，第二设备向第一接入网设备发送的第一响应消息还可以包括第一IP地址。

实现方式1-2、第一接入网设备从第二接入网设备获取到第一IP地址。

例如，第一接入网设备向第二接入网设备发送第一指示信息，第一指示信息用于请求第一IP地址。之后，第一接入网设备接收第二接入网设备发送的第一IP地址。

示例性的，第一指示信息可以承载于新增的信令中。或者，第一指示信息可以承载于现有的信令中，例如SN addition/modification request消息。

示例性的，第二接入网设备发送的第一IP地址可以承载于新增的信令中。或者，第二接入网设备发送的第一IP地址可以承载于现有的信令中，例如SN addition/modification request ACK消息。

可选的，第一接入网设备获取第二IP地址，可以采用以下实现方式2-1至实现方式2-3中的任意一种：

实现方式2-1、第一接入网设备从第二设备获取到第二IP地址。

例如，若第二设备存储具备IAB donor功能的各个接入网设备的IP地址，则第二设备存储有第二IP地址。因此，第二设备向第一接入网设备发送的第一响应消息还可以包括第二IP地址。

实现方式2-2、第一接入网设备可以以第二接入网设备的Xn接口的IP地址作为第二IP地址。

应理解，实现方式2-2一般基于通信系统默认接入网设备的Xn接口的IP地址即为接入网设备作为IAB donor时的IP地址。

实现方式2-3、第一接入网设备从第二接入网设备获取到第二IP地址。

例如，第一接入网设备向第二接入网设备发送第二指示信息，第二指示信息用于请求第二IP地址。第一接入网设备接收第二接入网设备发送的第二IP地址。

示例性的，第二指示信息可以承载于新增的信令中。或者，第二指示信息可以承载于现有的信令中，例如SN addition/modification request消息。

应理解，第二指示信息和第一指示信息可以承载于同一信令中，或者不同信令中。当第二指示信息和第一指示信息承载于同一信令时，第二指示信息和第一指示信息可以集成为一个指示信息，例如参数请求指示信息(para_request_indicator)。从而，参数请求指示信息用于请求IAB donor的IP地址和IAB node的IP地址。

示例性的，第二接入网设备发送的第二IP地址可以承载于新增的信令中。或者，第二接入网设备发送的第二IP地址可以承载于现有的信令中，例如SN addition/modification request ACK消息。

S105、第一接入网设备根据第一密钥输入参数和主基站密钥，生成第一IAB密钥K _IAB1。

其中，K _IAB1用于建立第二接入网设备与第一设备之间的安全隧道。

S106、第一接入网设备向第二接入网设备发送K _IAB1。

一种可能的设计中，K _IAB1可以承载于一条新增的消息中。示例性的，结合图1所示的双连接配置流程进行举例说明，新增的用于承载K _IAB1的消息的发送时机可以位于SN additional/modification Request ACK消息之后，或者位于SN reconfiguration complete消息之后。

另一种可能的设计中，K _IAB1可以承载于现有的消息中。示例性的，结合图1所示的双连接配置流程进行举例说明，第一接入网设备可以向第二接入网设备发送SN reconfiguration complete消息，该SN reconfiguration complete消息包括K _IAB1。

应理解，第二接入网设备在接收到K _IAB1之后，会保存K _IAB1。

基于上述步骤S103-S106，在辅基站(也即第二接入网设备)作为IAB donor的情况下，主基站(也即第一接入网设备)能够主动地以主基站密钥生成K _IAB，并将该K _IAB发送给辅基站，以保证IAB donor和IAB node维护相同的K _IAB。

S107、在第一接入网设备具备IAB donor功能的情况下，第一接入网设备选择第三接入网设备作为第一设备的辅基站。

作为一种可能的实现方式中，第一接入网设备根据第一设备的位置、第一设备的测量报告等因素，从周围的接入网设备中选择合适的接入网设备(也即第三接入网设备)作为第一设备的辅基站。

应理解，本申请实施例对第三接入网设备是否具备IAB donor功能不进行限定。也即，第三接入网设备可以具备IAB donor功能，也可以不具备IAB donor功能。

这种情况下，具备IAB donor功能的第一接入网设备即作为第一设备的IAB donor。

S108、第一接入网设备获取与第一接入网设备关联的第二密钥输入参数。

其中，第二密钥输入参数包括第一IP地址和第三IP地址。

第三IP地址为第一接入网设备用于与IAB node通信的IP地址。

应理解，第一接入网设备可以从本地(也即第一接入网设备的数据库)获取第三IP地址。

一种可能的设计中，作为IAB donor的第一接入网设备为第一设备分配第一IP地址。基于该设计，第一接入网设备还需要向第一设备发送第一IP地址。

另外一种可能的设计中，在第二设备为第一设备分配第一IP地址的情况下，第一接入网设备可以从第二设备或者第一设备获取第一IP地址。

示例性的，第一接入网设备向第一设备发送IP地址请求消息。之后，第一接入网设备接收第一设备发送的IP地址通知消息，IP地址通知消息包括第一IP地址。

S109、第一接入网设备根据第二密钥输入参数和主基站密钥，生成第二IAB密钥K _IAB2。

其中，K _IAB2用于建立第一接入网设备与第一设备之间的安全隧道。

应理解，第一接入网设备在生成K _IAB2之后，会保存该K _IAB2。

基于上述步骤107-S109，在主基站(也即第一接入网设备)作为IAB donor的情况下，主基站主动地以主基站密钥生成K _IAB，以保证IAB donor和IAB node维护相同的K _IAB。

如图11所示，为本申请实施例提供的一种密钥生成方法，该方法应用于第一设备(IAB node)连接主基站和辅基站的场景下。该方法包括以下步骤：

S201、IAB node根据主基站支持的通信制式、辅基站支持的通信制式以及核心网支持的通信制式，确定双连接的类型。

可选的，IAB node确定主基站支持的通信制式，可以具体实现为：支持的通信制式。其中，广播消息中的配置参数包括以下一项或者多项：基站标识、逻辑小区标识、物理小区标识、上行频段或者下行频段。应理解，当广播消息中的配置参数属于5G通信系统的配置参数时，IAB node可以确定主基站支持5G通信制式。或者，当刚播消息中的配置参数属于4G通信系统的配置参数时，IAB node可以确定主基站支持4G 通信制式。

举例来说，假设4G频点为A1、A2、A3，5G频点为B1、B2、B3。当主基站发送的广播消息中频点为B1，IAB node可以确定主基站支持5G通信制式。

可选的，IAB node确定辅基站支持的通信制式，可以具体实现为：IAB node接收主基站发送的RRC重配置消息，该RRC重配置消息用于配置IAB node和辅基站之间的无线承载，RRC重配置消息包括辅小区组配置信息。IAB node根据辅小区组配置信息，确定辅基站支持的通信制式。应理解，当辅小区组配置信息属于5G通信制式时，IAB node可以确定辅基站支持5G通信制式。或者，当辅小区组配置信息属于4G通信制式时，IAB node可以确定辅基站支持4G通信制式。

示例性的，属于5G通信制式的辅小区组配置信息可以记为nr-SecondaryCellGroupConfig或者sourceSCG-NR-Config。属于4G通信制式的辅小区组配置信息可以记为sourceSCG-EUTRA-Config。

可选的，IAB node确定核心网支持的通信制式，可以具体实现为：IAB node接收主基站发送的广播消息。IAB node根据广播消息中的小区配置信息，确定核心网支持的通信制式。应理解，若广播消息中的小区配置信息属于5G通信制式，则IAB node确定核心网支持5G通信制式。若广播消息中的小区配置信息属于4G通信制式，则IAB node确定核心网支持4G通信制式。

示例性的，小区配置信息可以包括小区接入相关信息(cellAccessRelatedInfo)。属于5G通信制式的小区接入相关信息可以记为cellAccessRelatedInfo-5GC。属于4G通信制式的小区接入相关信息可以记为cellAccessRelatedInfo-EUTRA-EPC。

可选的，IAB node确定双连接的类型，包括以下情况之一：

情况1、当主基站支持5G通信制式，辅基站支持4G通信制式，核心网支持5G通信制式时，IAB node确定双连接的类型为NE-DC。

情况2、当主基站支持4G通信制式，辅基站支持5G通信制式，核心网支持5G通信制式时，IAB node确定双连接的类型为NGEN-DC。

情况3、当主基站支持5G通信制式，辅基站支持5G通信制式，核心网支持5G通信制式时，IAB node确定双连接的类型为NR-DC。

情况4、当主基站支持4G通信制式，辅基站支持5G通信制式，核心网支持4G通信制式时，IAB node确定双连接的类型为EN-DC。

S202、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，IAB node根据主基站密钥，生成K _IAB。

作为一种可能的实现方式，IAB node根据主基站密钥和密钥输入参数，生成K _IAB。

其中，密钥输入参数包括IAB donor的IP地址和IAB node的IP地址。

可选的，IAB node可以从第二设备获取到IAB donor的IP地址。示例性的，第二设备可以为OAM系统或者核心网网元。

可选的，在IAB node的IP地址由第二设备分配的情况下，IAB node可以从第二设备获取到IAB node的IP地址。这种情况下，第二设备可以将IAB node的IP地址和IAB donor的IP地址封装到一条消息中，并将该消息发送给IAB node。

可选的，在IAB node的IP地址由IAB donor分配的情况下，IAB node可以从主基站或者辅基站获取到IAB node的IP地址。

例如，主基站作为IAB donor，并且主基站为IAB node分配IP地址。从而，IAB node向主基站发送IP地址请求消息；之后，IAB node接收主基站发送的IP地址通知消息，该IP地址通知消息包括IAB node的IP地址。

又例如，主基站作为IAB donor，并且主基站为IAB node分配IP地址。从而，IAB node接收主基站发送的RRC重配置消息，该RRC重配置消息包括IAB node的IP地址。

又例如，辅基站作为IAB donor，并且辅基站为IAB node分配IP地址。从而，IAB node可以向辅基站发送IP地址请求消息；之后，IAB node接收辅基站发送的IP地址通知消息，该IP地址通知消息包括IAB node的IP地址。

应理解，IAB node在生成K _IAB之后，会保存K _IAB。

基于图11所示的实施例，IAB node可以根据主基站支持的通信制式、辅基站支持的通信制式以及核心网支持的通信制式，准确确定IAB node使用的双连接的类型。进而，当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，IAB node可以根据主基站密钥生成K _IAB，以保证IAB donor和IAB node维护相同的K _IAB。

应理解，当双连接的类型为EN-DC时，IAB node根据辅基站密钥和密钥输入参数，生成K _IAB。

下面结合具体应用场景以举例的方式来对技术方案一进行详细说明。

场景1、第一设备(也即IAB node)通过不具备IAB donor功能的第一接入网设备注册到网络。之后，第一接入网设备为第一设备选择具备IAB donor功能的第二接入网设备作为辅基站，并且第二接入网设备负责为第一设备分配IAB node的IP地址。

基于场景1，如图12所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S301、第一设备通过第一接入网设备注册到网络。

在注册到网络的过程中，第一设备可以执行鉴权、安全上下文协商等流程。

在第一设备的注册过程中，第一设备和第一接入网设备获取到相同的AS层密钥。第一设备与第一接入网设备之间的AS层密钥用于对第一设备与第一接入网设备之间的AS层通信进行安全保护。在双连接场景下，由于第一接入网设备作为第一设备的主基站，因此第一设备和第一接入网设备之间的AS层密钥可以被称为主基站密钥。

S302、第一接入网设备确定第一设备为IAB node。

S303、在需要为第一设备选择辅基站的情况下，第一接入网设备判断自身是否具备IAB node功能。

S304、在第一接入网设备不具备IAB node功能的情况下，第一接入网设备选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站。

S305、第一接入网设备向第二接入网设备发送SN addition/modification request消息。

其中，SN addition/modification request消息包括第三指示信息。第三指示信息用于指示第一设备为IAB node。

这样一来，第二接入网设备能够基于第三指示信息，获知第一设备为IAB node。进而，由于第二接入网设备具有IAB donor功能，因此第二接入网设备可以作为第一设备的IAB donor，并为第一设备分配IAB node的IP地址。应理解，这里的IAB node的IP地址即为图10所示实施例中的第一IP地址。

可选的，SN addition/modification request消息除了包括现有技术中的相关信元之外，还可以包括第一指示信息和第二指示信息。

S306、第一接入网设备接收第二接入网设备发送的SN addition/modification request ACK消息。

可选的，在SN addition/modification request消息包括第一指示信息和第二指示信息的情况下，SN addition/modification request ACK消息包括IAB donor的IP地址和IAB node的IP地址。

S307、第一接入网设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S308、第一接入网设备向第一设备发送RRC重配置消息。

其中，RRC重配置消息包括IAB node的IP地址。

S309、第一接入网设备接收第一设备发送的RRC重配置完成消息。

S310、第一接入网设备向第二接入网设备发送SN reconfiguration complete消息。

其中，SN reconfiguration complete消息包括K _IAB。

应理解，第二接入网设备从SN reconfiguration complete消息获取到K _IAB。之后，第二接入网设备会保存K _IAB。

S311、第一设备接收第二设备发送的IP地址通知(IP address notification)消息。

其中，IP地址通知消息包括IAB donor的IP地址。

应理解，步骤S311的执行时机仅在步骤S304之后，不对步骤S312的具体执行时机进行限定。例如，步骤S311的执行时机可以位于步骤S310之前。

S312、第一设备确定双连接的类型。

S313、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

其中，步骤S312-S313的具体实现细节可以参考图11所示的实施例，在此不再赘述。另外，步骤S312-S313可以在步骤S308之后的任意时刻执行，本申请实施例对此不作限定。

S314、第一设备和第二接入网设备使用K _IAB建立安全隧道。

基于图12所示的实施例，在辅基站作为IAB donor的情况下，主基站以主基站密钥生成K _IAB，并将K _IAB发送给辅基站。IAB node以主基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

场景2、第一设备(也即IAB node)通过不具备IAB donor功能的第一接入网设备注册到网络。之后，第一接入网设备为第一设备选择具备IAB donor功能的第二接入网设备作为辅基站。第二设备负责为第一设备分配IAB node的IP地址。

基于场景2、如图13所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S401-S404、与步骤S301-S304相同，其具体描述可以参考图12所示的实施例，在此不再赘述。

S405、第一设备接收第二设备发送的第一IP地址通知消息。

其中，第一IP地址通知消息包括IAB donor的IP地址和IAB node的IP地址。

应理解，本申请实施例不限制步骤S405与步骤S406-S410之间的执行顺序。也即，步骤S405可以在步骤S406-S410中的任意一个步骤之前或者之后执行。

S406、第一接入网设备向第二接入网设备发送SN addition/modification request消息。

S407、第一接入网设备接收第二接入网设备发送的SN addition/modification request ACK消息。

S408、第一接入网设备向第一设备发送RRC重配置消息。

S409、第一接入网设备接收第一设备发送的RRC重配置完成消息。

S410、第一接入网设备向第二接入网设备发送SN reconfiguration complete消息。

S411、第一设备向第二接入网设备发送第二IP地址通知消息。

其中，第二IP地址通知消息包括IAB node的IP地址。

S412、第二接入网设备向第一接入网设备发送SN key request消息。

其中，SN key request消息用于请求K _IAB。

SN key request消息包括IAB donor的IP地址和IAB node的IP地址。

S413、第一接入网设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S414、第一接入网设备向第二接入网设备发送SN key response消息。

其中，SN key response消息包括K _IAB。

S415、第一设备确定双连接的类型。

S416、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S417、第一设备和第二接入网设备使用K _IAB建立安全隧道。

基于图13所示的实施例，在辅基站作为IAB donor的情况下，主基站以主基站密钥生成K _IAB，并将K _IAB发送给辅基站。IAB node以主基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

场景3、第一设备(也即IAB node)通过具备IAB donor功能的第一接入网设备注册到网络。从而，第一接入网设备作为第一设备的IAB donor，并且第一接入网设备为第一设备分配IAB node的IP地址。第一接入网设备为第一设备选择第三接入网设备作为辅基站。

基于场景3，如图14所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S501、第一设备通过第一接入网设备注册到网络。

S502、第一接入网设备确定第一设备为IAB node。

S503、在第一接入网设备具备IAB node功能的请下，第一接入网设备向第二设备发送通知消息。

其中，通知消息用于表示第一设备通过具备IAB donor功能的第一接入网设备注册到网络中。或者说，通知消息用于表示第一接入网设备作为第一设备的IAB donor。

可选的，通知消息可以包含第一设备的标识和第一接入网设备的标识。

S504、第二设备向第一设备发送IP地址通知消息。

其中，IP地址通知信息包括IAB donor的IP地址。

应理解，步骤S504可以在步骤S513之前的任意时刻执行，本申请实施例对此不作限定。

S505、第一接入网设备选择第三接入网设备作为第一设备的辅基站。

S506、第一接入网设备向第三接入网设备发送SN addition/modification request消息。

S507、第一接入网设备接收第三接入网设备发送的SN addition/modification request ACK消息。

S508、第一接入网设备向第一设备发送RRC重配置消息。

由于第一接入网设备作为IAB donor负责为第一设备分配IAB node的IP地址，因此RRC重配置消息可以包括IAB node的IP地址。

S509、第一接入网设备接收第一设备发送的RRC重配置完成消息。

S510、第一接入网设备向第三接入网设备发送SN reconfiguration complete消息。

S511、第一接入网设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

应理解，本申请实施例不限制步骤S511与步骤S504-S510之间的执行顺序。也即，步骤S511可以在步骤S504-S510中的任意一个步骤之前或者之后执行。

S512、第一设备确定双连接的类型。

S513、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S514、第一设备和第一接入网设备使用K _IAB建立安全隧道。

基于图14所示的实施例，在主基站作为IAB donor的情况下，主基站和IAB node均以主基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

场景4、第一设备(也即IAB node)通过具备IAB donor功能的第一接入网设备注册到网络。从而，第一接入网设备作为第一设备的IAB donor。第一接入网设备为第一设备选择第三接入网设备作为辅基站。第二设备负责为第一设备分配IAB node的IP地址。

基于场景4，如图15所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S601、第一设备通过第一接入网设备注册到网络。

S602、第一接入网设备确定第一设备为IAB node。

S603、在第一接入网设备具备IAB node功能的请下，第一接入网设备向第二设备发送通知消息。

S604、第二设备向第一设备发送第一IP地址通知消息。

其中，第一IP地址通知消息包括IAB node的IP地址和IAB donor的IP地址。

应理解，本申请实施例不限制步骤S603-S604与步骤S605-S610之间的执行顺序。也即，步骤S603-S604可以在步骤S606-S610中的任意一个步骤之前或者之后执行。

S605、第一接入网设备选择第三接入网设备作为第一设备的辅基站。

S606、第一接入网设备向第三接入网设备发送SN addition/modification request消息。

S607、第一接入网设备接收第三接入网设备发送的SN addition/modification request ACK消息。

S608、第一接入网设备向第一设备发送RRC重配置消息。

S609、第一接入网设备接收第一设备发送的RRC重配置完成消息。

S610、第一接入网设备向第三接入网设备发送SN reconfiguration complete消息。

S611、第一接入网设备接收第一设备发送的第二IP地址通知消息。

其中，第二IP地址通知消息包括IAB node的IP地址。

S612、第一接入网设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

应理解，步骤S611-S612可以在步骤S604之后的任意时刻执行，本申请实施例对此不作限定。

S613、第一设备确定双连接的类型。

S614、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S615、第一设备和第一接入网设备使用K _IAB建立安全隧道。

基于图15所示的实施例，在主基站作为IAB donor的情况下，主基站和IAB node均以主基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

技术方案二

在双连接场景(例如NE-DC、NR-DC或者NGEN-DC等场景)下，网络侧可以按照图16所示的实施例来获取IAB密钥，IAB node可以按照图17所示的实施例来获取IAB密钥。

如图16所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S701、第一接入网设备确定通过第一接入网设备注册到网络的第一设备为IAB node。

S702、在需要为第一设备选择辅基站的情况下，第一接入网设备判断自身是否具备IAB node功能。

其中，步骤S701-S702与图10中的步骤S101-S102相似，其具体实现方式可以参考图10所示实施例中的描述。

应理解，第一接入网设备可以根据主基站密钥和SN计数值，生成辅基站密钥。

可选的，当第一接入网设备不具备IAB donor功能时，执行下述步骤S703-S705；当第一接入网设备具备IAB donor功能时，执行下述步骤S706-S707。

S703、在第一接入网设备不具备IAB donor功能的情况下，第一接入网设备选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站。

S704、第一接入网设备向第二接入网设备发送辅基站配置消息。

其中，辅基站配置消息用于将第二接入网设备配置为第一设备的辅基站。

在本申请实施例中，辅基站配置消息包括第三指示信息和辅基站密钥。第三指示信息用于指示第一设备为IAB node。

应理解，在辅基站配置消息包括第三指示信息的情况下，第二接入网设备能够根据第三指示信息获知第一设备为IAB node。进而，第二接入网设备确定自身是否具备IAB donor功能。在第二接入网设备具备IAB donor功能的情况下，第二接入网设备可以认为自身是第一设备的IAB donor，从而第二接入网设备可以执行下述步骤S705。

S705、第二接入网设备根据辅基站密钥，生成K _IAB1。

作为一种可能的实现方式，第二接入网设备根据辅基站密钥和第一密钥输入参数，生成K _IAB1。其中，第一密钥输入参数包括第一IP地址和第二IP地址。第一IP地址为第一设备用于与IAB donor通信的IP地址。第二IP地址为第二接入网设备用于与IAB node通信的IP地址。

在本申请实施例中，第二接入网设备可以从自身的数据库中获取到第二IP地址。

在本申请实施例中，第二接入网设备可以确定第一IP地址。或者，第二接入网设备从第一设备或者第二设备获取到第一IP地址。

基于上述步骤S703-S705，在辅基站(也即第二接入网设备)作为IAB donor的情况下，辅基站主动地以辅基站密钥生成K _IAB，以保证IAB donor和IAB node维护相同的K _IAB。

S706、在第一接入网设备具备IAB donor功能的情况下，第一接入网设备选择第三接入网设备作为第一设备的辅基站。

S707、第一接入网设备根据辅基站密钥，生成K _IAB2。

作为一种可能的实现方式，第一接入网设备根据辅基站密钥和第二密钥输入参数，生成K _IAB2。其中，第二密钥输入参数包括第一IP地址和第三IP地址。第一IP地址为第一设备用于与IAB donor通信的IP地址。第三IP地址为第一接入网设备用于与IAB node通信的IP地址。

在本申请实施例中，第一接入网设备可以从自身的数据库中获取到第三IP地址。

在本申请实施例中，第一接入网设备可以确定第一IP地址。或者，第一接入网设备从第一设备或者第二设备获取到第一IP地址。

基于上述步骤S706-S707，在主基站(也即第一接入网设备)作为IAB donor的情况下，主基站主动地以辅基站密钥生成K _IAB，以保证IAB donor和IAB node维护相同的K _IAB。

如图17所示，为本申请实施例提供的一种密钥生成方法，该方法应用于IAB node连接主基站和辅基站的场景下。该方法包括以下步骤：

S801、与步骤S20相同，其具体描述可以参考图11所示的实施例，在此不再赘述。

S802、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，IAB node根据辅基站密钥，生成K _IAB。

其中，IAB node可以根据主基站密钥，推演出辅基站密钥。

作为一种可能的实现方式，IAB node根据辅基站密钥和密钥输入参数，生成K _IAB。

应理解，密钥输入参数的具体介绍以及获取方式可以参考图11所示实施例中步骤S202的相关描述，在此不再赘述。

基于图17所示的实施例，在NE-DC、NR-DC或者NGEN-DC场景下，保证IAB node以辅基站密钥生成K _IAB，进而保证IAB donor和IAB node维护相同的K _IAB。

下面结合具体应用场景以举例的方式来对技术方案二进行详细说明。

基于场景1，如图18所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S901、第一设备通过第一接入网设备注册到网络。

S902、第一接入网设备确定第一设备为IAB node。

S903、在需要为第一设备选择辅基站的情况下，第一接入网设备判断自身是否具备IAB node功能。

S904、在第一接入网设备不具备IAB node功能的情况下，第一接入网设备选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站。

在选择辅基站之后，第一接入网设备可以根据主基站密钥和SN计数值，推演出辅基站密钥。

S905、第一接入网设备向第二接入网设备发送SN addition/modification request消息。

其中，SN addition/modification request消息包括辅基站密钥和第三指示信息。第三指示信息用于指示第一设备为IAB node。

在SN addition/modification request消息包括第三指示信息的情况下，第二接入网设备可以确定自身是否具备IAB donor功能。在第二接入网设备具备IAB donor功能的情况下，第二接入网设备可以认为是第一设备的IAB donor，从而第二接入网设备需要执行下述步骤S910。

S906、第一接入网设备接收第二接入网设备发送的SN addition/modification request ACK消息。

S907、第一接入网设备向第一设备发送RRC重配置消息。

其中，RRC重配置消息用于配置第二接入网设备与第一设备之间的无线承载。从而，基于RRC重配置消息，第一设备能够获知第二接入网设备作为辅基站。

另外，RRC重配置消息还包括SN计数值。从而，第一设备能够根据主基站密钥和SN计数值，推演出辅基站密钥。

S908、第一接入网设备接收第一设备发送的RRC重配置完成消息。

S909、第一接入网设备向第二接入网设备发送SN reconfiguration complete消息。

应理解，第二接入网设备在接收到SN reconfiguration complete消息之后，第二接入网设备可以与第一设备建立RRC连接，从而第二接入网设备与第一设备之间可以直接通信。

S910、第二接入网设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

应理解，第二接入网设备从本地获取IAB donor的IP地址。并且，第二接入网设备为第一设备分配IAB node的IP地址。

应理解，步骤S910可以在步骤S905之后的任意时刻执行，本申请实施例对此不作限定。

S911、第二接入网设备向第一设备发送第一IP地址通知消息。

其中，第一IP地址通知消息包括IAB node的IP地址。

S912、第二设备向第一设备发送第二IP地址通知消息。

其中，第二IP地址通知消息包括IAB donor的IP地址。

应理解，步骤S912可以在步骤S904之后的任意时刻执行，本申请实施例对此不作限定。

基于步骤S911和S912，第一设备能够获取到IAB donor的IP地址和IAB node的IP地址。

S913、第一设备确定双连接的类型。

S914、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S915、第一设备和第二接入网设备使用K _IAB建立安全隧道。

基于图18所示的实施例，在辅基站作为IAB donor的情况下，辅基站以辅基站密钥生成K _IAB，IAB node以辅基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

基于场景2，如图19所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S1001、第一设备通过第一接入网设备注册到网络。

S1002、第一接入网设备确定第一设备为IAB node。

S1003、在需要为第一设备选择辅基站的情况下，第一接入网设备判断自身是否具备IAB node功能。

S1004、在第一接入网设备不具备IAB node功能的情况下，第一接入网设备选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站。

S1005、第二设备向第一设备发送第一IP地址通知消息。

应理解，步骤S1005可以在步骤S1004之后，步骤S1011之前的任意时刻执行，本申请实施例对此不作限定。

S1006、第一接入网设备向第二接入网设备发送SN addition/modification request消息。

在SN addition/modification request消息包括第三指示信息的情况下，第二接入网设备可以确定自身是否具备IAB donor功能。在第二接入网设备具备IAB donor功能的情况下，第二接入网设备可以认为是第一设备的IAB donor，从而第二接入网设备需要执行下述步骤S1012。

S1007、第一接入网设备接收第二接入网设备发送的SN addition/modification request ACK消息。

S1008、第一接入网设备向第一设备发送RRC重配置消息。

S1009、第一接入网设备接收第一设备发送的RRC重配置完成消息。

S1010、第一接入网设备向第二接入网设备发送SN reconfiguration complete消息。

S1011、第一设备向第二接入网设备发送第二IP地址通知消息。

其中，第二IP地址通知消息包括IAB donor的IP地址。

S1012、第二接入网设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

应理解，第二接入网设备从本地获取IAB donor的IP地址。以及，第二接入网设备根据上述第二IP地址通知消息，获取IAB node的IP地址。

S1013、第一设备确定双连接的类型。

S1014、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

应理解，步骤S1013-S1014可以在步骤S1008之后的任意时刻执行，本申请实施例对此不作限定。

S1015、第一设备和第二接入网设备使用K _IAB建立安全隧道。

基于图19所示的实施例，在辅基站作为IAB donor的情况下，辅基站以辅基站密钥生成K _IAB，IAB node以辅基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

基于场景3，如图20所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S1101-S1110、与步骤S501-S510相同，其具体描述可以参考图14所示实施例，在此不再赘述。

其中，在选择第三接入网设备作为辅基站之后，第一接入网设备会生成辅基站密钥，并通过SN addition/modification request消息向第三接入网设备发送辅基站密钥。

S1111、第一接入网设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

应理解，步骤S1111可以在S1105之后的任意时刻执行，本申请实施例对此不作限定。

可选的，若步骤S1111在步骤S1106之前执行，则第一接入网设备在执行完步骤S1106之后，可以删除辅基站密钥。

可选的，若步骤S1111在步骤S1106之后执行，则第一接入网设备在执行完步骤S1106之前，需要保存辅基站密钥，直至执行完步骤S1111。

S1112、第一设备确定双连接的类型。

S1113、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

应理解，步骤S1112-S1113可以在步骤S1108之后的任意时刻执行，本申请实施例对此不作限定。

S1114、第一设备和第一接入网设备使用K _IAB建立安全隧道。

基于图20所示的实施例，在主基站作为IAB donor的情况下，主基站和IAB node均以辅基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

基于场景4，如图21所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S1201-S1211、与步骤S601-S611相同，其具体描述可以参考图15所示的实施例，在此不再赘述。

S1212、第一接入网设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

应理解，步骤S1211可以在步骤S1204之后的任意时刻执行。步骤S1212可以在步骤S1205和S1211之后的任意时刻执行。

可选的，若步骤S1212在步骤S1206之前执行，则第一接入网设备在执行完步骤S1206之后，可以删除辅基站密钥。

可选的，若步骤S1212在步骤S1206之后执行，则第一接入网设备在执行完步骤S1206之前，需要保存辅基站密钥，直至执行完步骤S1212。

S1213、第一设备确定双连接的类型。

S1214、当双连接的类型为NE-DC、NR-DC或者NGEN-DC时，第一设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

应理解，步骤S1213-S1214可以在步骤S1208之后的任意时刻执行，本申请实施例对此不作限定。

S1215、第一设备和第一接入网设备使用K _IAB建立安全隧道。

基于图21所示的实施例，在主基站作为IAB donor的情况下，主基站和IAB node均以辅基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

技术方案三

在一些双连接场景(例如NE-DC、NR-DC或者NGEN-DC等场景)下，IAB node可以按照图22所示的实施例来获取K _IAB，网络侧可以按照图23所示的实施例来获取K _IAB。

如图22所示，为本申请实施例提供的一种密钥生成方法，应用于第一设备(IAB node)连接主基站和辅基站的场景，该方法包括以下步骤：

S1301、IAB node获知主基站或者辅基站作为IAB donor。

可选的，步骤S1301可以采用以下实现方式中的任意一种：

实现方式一、当IAB node接收到第四指示信息时，IAB node获知主基站为IAB donor，第四指示信息用于指示主基站为IAB donor。或者，当IAB node接收到第五指示信息时，IAB node获知辅基站为IAB donor，第五指示信息用于指示辅基站为IAB donor。

可选的，IAB node接收第四指示信息，可以具体实现为：IAB node接收主基站发送的第四指示信息。示例性的，这种情况下，第四指示信息可以承载于主基站发送给IAB node的RRC重配置消息中。

可选的，IAB node接收第五指示信息，可以具体实现为：IAB node接收主基站或者辅基站发送的第五指示信息。示例性的，这种情况下，第五指示信息可以承载于主基站发送给IAB node的RRC重配置消息中。或者，第五指示信息可以承载于辅基站发送给IAB node的AS消息中。

实现方式二、当IAB node与主基站之间建立无线回程链路时，IAB node获知主基站为IAB donor。或者，当IAB node与辅基站之间建立无线回程链路时，IAB node获知辅基站为IAB donor。

实现方式三、IAB node获取主基站支持的频段以及辅基站支持的频段。当主基站支持的频段高于辅基站支持的频段时，IAB node获知主基站为IAB donor。或者，当主基站的频段低于辅基站支持的频段时，IAB node获知辅基站为IAB donor。

实现方式四、当IAB node接收到主基站广播的第六指示信息时，IAB node获知主基站为IAB donor。或者，当IAB node接收到辅基站广播的第六指示信息时，IAB node获知辅基站为IAB donor。其中，第六指示信息用于指示基站具备IAB donor功能。

S1302、当主基站作为IAB donor时，IAB node根据主基站密钥生成K _IAB。

其中，主基站密钥是IAB node在通过主基站注册到网络的过程中生成的。

S1303、当辅基站作为IAB donor时，IAB node根据辅基站密钥，生成K _IAB。

其中，辅基站密钥是IAB node根据主基站密钥生成的。

基于图22所示的实施例，无论主基站作为IAB donor还是辅基站作为IAB donor，IAB node均能使用IAB donor的本地密钥来生成K _IAB，以保证IAB node和IAB donor维护相同的K _IAB。

如图23所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S1401、第一接入网设备确定通过第一接入网设备注册到网络的第一设备为IAB node。

S1402、在需要为第一设备选择辅基站的情况下，第一接入网设备判断自身是否具备IAB node功能。

其中，步骤S1401-S1402与图10中的步骤S101-S102相似，其具体实现方式可以参考图10所示实施例中的描述。

可选的，当第一接入网设备不具备IAB donor功能时，执行下述步骤S1403-S1405；当第一接入网设备具备IAB donor功能时，执行下述步骤S1406-S1407。

S1403、在第一接入网设备不具备IAB donor功能的情况下，第一接入网设备选择具备IAB donor功能的第二接入网设备作为第一设备的辅基站。

S1404、第一接入网设备向第二接入网设备发送辅基站配置消息。

应理解，在辅基站配置消息包括第三指示信息的情况下，第二接入网设备可以获知第一设备为IAB node。从而，第二接入网设备可以判断自身是否具备IAB donor功能。在第二接入网设备具备IAB donor功能的情况下，第二接入网设备可以认为自身是第一设备的IAB donor，从而第二接入网设备可以执行下述步骤S1405。

S1405、第二接入网设备根据辅基站密钥，生成K _IAB1。

基于上述步骤S1403-S1405，在辅基站(也即第二接入网设备)作为IAB donor的情况下，辅基站主动地以辅基站密钥生成K _IAB，以保证IAB donor和IAB node维护相同的K _IAB。

S1406、在第一接入网设备具备IAB donor功能的情况下，第一接入网设备选择第三接入网设备作为第一设备的辅基站。

S1407、第一接入网设备根据主基站密钥，生成K _IAB2。

作为一种可能的实现方式，第一接入网设备根据主基站密钥和第二密钥输入参数，生成K _IAB2。其中，第二密钥输入参数包括第一IP地址和第三IP地址。第一IP地址为第一设备用于与IAB donor通信的IP地址。第三IP地址为第一接入网设备用于与IAB node通信的IP地址。

基于上述步骤S1406-S1407，在主基站(也即第一接入网设备)作为IAB donor的情况下，主基站主动地以主基站密钥生成K _IAB，以保证IAB donor和IAB node维护相同的K _IAB。

下面结合具体应用场景以举例的方式来对技术方案三进行详细说明。

基于场景1，如图24所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S1501-S1512、与步骤S901-S912相似，其具体描述可以参考图18所示实施例，在此不再赘述。

可选的，区别于步骤S906，在步骤S1506中，第二接入网设备发送的SN addition/modification request ACK消息可以包括第五指示信息。

可选的，区别于步骤S907，在步骤S1507中，第一接入网设备发送的RRC重配置消息可以包括第五指示信息，以便于第一设备获知辅基站(也即第二接入网设备)为IAB donor。

S1513、第一设备获知第二接入网设备为IAB donor。

S1514、第一设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S1515、第一设备和第二接入网设备使用K _IAB建立安全隧道。

基于图24所示的实施例，在辅基站作为IAB donor的情况下，辅基站以辅基站密钥生成K _IAB，IAB node以辅基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

基于场景2，如图25所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S1601-S1612、与步骤S1001-S1012相似，其具体描述可以参考图19所示实施例，在此不再赘述。

可选的，区别于步骤S1007，在步骤S1607中，第二接入网设备发送的SN addition/modification request ACK消息可以包括第五指示信息。

可选的，区别于步骤S1008，在步骤S1608中，第一接入网设备发送的RRC重配置消息可以包括第五指示信息，以便于第一设备获知辅基站(也即第二接入网设备)为IAB donor。

S1613、第一设备获知第二接入网设备为IAB donor。

S1614、第一设备根据辅基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S1615、第一设备和第二接入网设备使用K _IAB建立安全隧道。

基于图25所示的实施例，在辅基站作为IAB donor的情况下，辅基站以辅基站密钥生成K _IAB，IAB node以辅基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

基于场景3，如图26所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S1701-S1711、与步骤S501-S511相似，其具体描述可以参考图14所示实施例，在此不再赘述。

可选的，区别于步骤S508，在步骤S1708中，第一接入网设备发送的RRC重配置消息可以包括第四指示信息，以便于第一设备获知主基站(也即第一接入网设备)为IAB donor。

S1712、第一设备获知第一接入网设备为IAB donor。

S1713、第一设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S1714、第一设备和第一接入网设备使用K _IAB建立安全隧道。

基于图26所示的实施例，在主基站作为IAB donor的情况下，主基站和IAB node均以主基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

基于场景4，如图27所示，为本申请实施例提供的一种密钥生成方法，该方法包括以下步骤：

S1801-S1812、与步骤S601-S612相似，其具体描述可以参考图15所示实施例，在此不再赘述。

可选的，区别于步骤S608，在步骤S1808中，第一接入网设备发送的RRC重配置消息可以包括第四指示信息，以便于第一设备获知主基站(也即第一接入网设备)为IAB donor。

S1813、第一设备获知第一接入网设备为IAB donor。

S1814、第一设备根据主基站密钥、IAB donor的IP地址和IAB node的IP地址，生成K _IAB。

S1815、第一设备和第一接入网设备使用K _IAB建立安全隧道。

基于图27所示的实施例，在主基站作为IAB donor的情况下，主基站和IAB node均以主基站密钥生成K _IAB。从而，IAB node和IAB donor维护相同的K _IAB，以便于IAB node和IAB donor之间根据K _IAB建立安全隧道，有利于IAB node采用双连接方式进行组网。

上述主要从方法的角度对本申请实施例提供的方案进行了介绍。可以理解的是，通信装置(例如第一设备、第一接入网设备、第二接入网设备)为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的技术方案的范围。

本申请实施例可以根据上述方法示例对通信装置进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

如图28所示，为本申请实施例提供的一种通信装置，该通信装置包括处理模块101和通信模块102。

一种可能的示例中，以通信装置为IAB node为例，处理模块101用于支持IAB node执行图11中的步骤S201-S202，图17中的步骤S801-S805，图22中的步骤S1301-S1303，和/或本申请实施例中IAB node需要执行的其他处理操作。通信模块102用于支持IAB node执行图12中的步骤S308、S309、S311，图13中的步骤S405、S408、S409、S411，和/或本申请实施例中IAB node需要执行的其他通信操作。

另一种可能的示例中，以通信装置为第一接入网设备为例，处理模块101用于支持第一接入网设备执行图10中的步骤S101-S105、S107-S109，图16中的步骤S701-S703、S706-S707，图23中的步骤S1401-S1403、S1406-S1407，和/或本申请实施例中第一接入网设备需要执行的其他处理操作。通信模块102用于支持第一接入网设备执行图10中的步骤S106，图16中的步骤S704，图23中的步骤S1404，和/或本申请实施例中第一接入网设备需要执行的其他通信操作。

另一种可能的示例中，以通信装置为第二接入网设备为例，处理模块101用于支持第二接入网设备执行图16中的步骤S705，图23中的步骤S1405，和/或本申请实施例中第二接入网设备需要执行的其他处理操作。通信模块102用于支持第二接入网设备执行图10中的步骤S106，图16中的步骤S704，图23中的步骤S1404，和/或本申请实施例中第二接入网设备需要执行的其他通信操作。

可选，该通信装置还可以包括存储模块103，用于存储通信装置的程序代码和数据，数据可以包括不限于原始数据或者中间数据等。

其中，处理模块101可以是处理器或控制器，例如可以是CPU，通用处理器，专用集成电路(application specific integrated circuit，ASIC)，现场可编程逻辑门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。

通信模块102可以是通信接口、收发器或收发电路等，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口，例如可以包括：基站和终端之间的接口和/或其他接口。

存储模块103可以是存储器。

当处理模块101为处理器，通信模块102为通信接口，存储模块103为存储器时，本申请实施例所涉及的通信装置可以为图29所示。

参阅图29所示，该通信装置包括：处理器201、通信接口202、存储器203。可选的，通信装置还可以包括总线204。其中，通信接口202、处理器201以及存储器203可以通过总线204相互连接；总线204可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。所述总线204可以分为地址总线、数据总线、控制总线等。为便于表示，图29中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，本申请实施例还提供一种携带计算机指令的计算机程序产品，当该计算机指令在计算机上运行时，使得计算机执行上述实施例所介绍的方法。

可选的，本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，当该计算机指令在计算机上运行时，使得计算机执行上述实施例所介绍的方法。

可选的，本申请实施例还提供一种芯片，包括：处理电路和收发管脚，处理电路和收发管脚用于实现上述实施例所介绍的方法。其中，处理电路用于执行相应方法中的处理动作，收发管脚用于执行相应方法中的接收/发送的动作。

本领域普通技术人员可以理解：在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，数字视频光盘(Digital Video Disc，DVD))、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个设备上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个功能单元独立存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种密钥生成方法，其特征在于，所述方法包括：

第一接入网设备确定通过所述第一接入网设备注册到5G核心网的第一设备为接入回传一体化IAB节点；

在需要为所述第一设备选择辅基站的情况下，所述第一接入网设备判断自身是否具备IAB宿主功能；

若所述第一接入网设备不具备IAB宿主功能，则所述第一接入网设备选择具备IAB宿主功能的第二接入网设备作为所述第一设备的辅基站；

所述第一接入网设备获取第一密钥输入参数；

所述第一接入网设备根据主基站密钥和所述第一密钥输入参数，生成第一IAB密钥K _IAB1，所述主基站密钥用于对所述第一接入网设备与所述第一设备之间的通信进行安全保护，所述K _IAB1用于建立所述第二接入网设备与所述第一设备之间的安全隧道；

所述第一接入网设备向所述第二接入网设备发送所述K _IAB1。
根据权利要求1所述的方法，其特征在于，所述第一接入网设备选择具备IAB宿主功能的第二接入网设备作为所述第一设备的辅基站，包括：

所述第一接入网设备向第二设备发送第一请求消息，所述第一请求消息包括所述第一设备的标识；

所述第一接入网设备接收所述第二设备发送的第一响应消息，所述第一响应消息包括所述第二接入网设备的标识。
根据权利要求1或2所述的方法，其特征在于，所述第一密钥输入参数包括第一IP地址和第二IP地址，所述第一IP地址为所述第一设备用于与IAB宿主通信的IP地址，所述第二IP地址为所述第二接入网设备用于与IAB节点通信的IP地址。
根据权利要求3所述的方法，其特征在于，所述第一接入网设备获取第一密钥输入参数，包括：

所述第一接入网设备向所述第二接入网设备发送辅基站配置消息，所述辅基站配置消息用于配置所述第二接入网设备为所述第一设备的辅基站，所述辅基站配置消息包括第一指示信息和/或第二指示信息，所述第一指示信息用于请求所述第一IP地址，所述第二指示信息用于请求所述第二IP地址；

所述第一接入网设备接收所述第二接入网设备发送的辅基站配置响应消息，所述辅基站配置响应消息包括所述第一IP地址和/或所述第二IP地址。
根据权利要求4所述的方法，其特征在于，所述辅基站配置消息包括由所述主基站密钥推演得到的辅基站密钥，所述辅基站密钥用于对所述辅基站和所述第一设备之间的通信进行安全保护。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

所述第一接入网设备向所述第一设备发送所述第一IP地址。
根据权利要求3所述的方法，其特征在于，所述第一接入网设备获取第一密钥输入参数，包括：

所述第一接入网设备接收所述第一设备发送的IP地址通知消息，所述IP地址通知消息包括所述第一IP地址；

所述第一接入网设备向所述第二接入网设备发送辅基站配置消息，所述辅基站配置消息用于配置所述第二接入网设备为所述第一设备的辅基站，所述辅基站配置消息包括第二指示信息，所述第二指示信息用于请求所述第二IP地址；

所述第一接入网设备接收所述第二接入网设备发送的辅基站配置响应消息，所述辅基站配置响应消息包括所述第二IP地址。
根据权利要求1至7任一项所述的方法，其特征在于，所述方法还包括：

若所述第一接入网设备具备IAB宿主功能，则所述第一接入网设备选择第三接入网设备作为所述第一设备的辅基站；

所述第一接入网设备获取第二密钥输入参数；

所述第一接入网设备根据所述主基站密钥和所述第二密钥输入参数，生成第二IAB密钥K _IAB2，所述K _IAB2用于建立所述第一接入网设备与所述第一设备之间的安全隧道。
根据权利要求8所述的方法，其特征在于，所述第二密钥输入参数包括：第一IP地址和第三IP地址，所述第一IP地址为所述第一设备用于与IAB宿主通信的IP地址，所述第三IP地址为所述第一接入网设备用于与IAB节点通信的IP地址。
根据权利要求9所述的方法，其特征在于，所述第一接入网设备获取第二密钥输入参数，包括：

所述第一接入网设备为所述第一设备分配所述第一IP地址；

所述第一接入网设备从数据库中获取所述第三IP地址。
根据权利要求9所述的方法，其特征在于，所述第一接入网设备获取第二密钥输入参数，包括：

所述第一接入网设备接收所述第一设备发送的IP地址通知消息，所述IP地址通知消息包括所述第一IP地址；

所述第一接入网设备从数据库中获取所述第三IP地址。
一种密钥生成方法，其特征在于，所述方法包括：

第二接入网设备接收第一接入网设备发送的辅基站配置消息，所述辅基站配置消息用于配置所述第二接入网设备作为第一设备的辅基站；

当所述辅基站配置消息包括第三指示信息时，所述第二接入网设备确定自身是否具备IAB宿主功能，所述第三指示信息用于指示所述第一设备为IAB节点；

当所述第二接入网设备具备IAB宿主功能时，所述第二接入网设备从所述第一接入网设备获取第一IAB密钥K _IAB1，所述K _IAB1用于建立所述第二接入网设备与所述第一设备之间的安全隧道，所述K _IAB1是根据主基站密钥生成的，所述主基站密钥用于对所述第一接入网设备和所述第一设备之间的通信进行安全保护。
根据权利要求12所述的方法，其特征在于，所述K _IAB1是根据主基站密钥生成的，包括：

所述K _IAB1是根据所述主基站密钥和所述第一密钥输入参数生成的，所述第一密钥输入参数包括第一IP地址和第二IP地址，所述第一IP地址为所述第一设备用于与IAB宿主通信的IP地址，所述第二IP地址为所述第二接入网设备用于与IAB节点通信的IP地址。
根据权利要求13所述的方法，其特征在于，所述辅基站配置消息还包括第一指示信息和/或第二指示信息，所述第一指示信息用于请求所述第一IP地址，所述第二指示信息用于请求所述第二IP地址。
根据权利要求14所述的方法，其特征在于，所述方法还包括：

所述第二接入网设备向所述第一接入网设备发送辅基站配置响应消息，所述辅基站配置响应消息包括所述第一IP地址和/或所述第二IP地址。
根据权利要求15所述的方法，其特征在于，所述第二接入网设备从所述第一接入网设备获取K _IAB1，包括：

所述第二接入网设备接收所述第一接入网设备发送的辅基站重配置完成消息，所述辅基站重配置完成消息包括所述K _IAB1。
根据权利要求14所述的方法，其特征在于，所述第二接入网设备从所述第一接入网设备获取K _IAB1，包括：

所述第二接入网设备向所述第一接入网设备发送密钥请求消息，所述密钥请求消息用于请求所述K _IAB1；

所述第二接入网设备接收所述第一接入网设备发送的密钥响应消息，所述密钥响应消息包括所述K _IAB1。
根据权利要求17所述的方法，其特征在于，所述密钥请求消息还包括所述第一IP地址和/或第二IP地址。
一种密钥生成方法，其特征在于，所述方法包括：

第一接入网设备确定通过所述第一接入网设备注册到网络的第一设备为IAB节点；

在需要为所述第一设备选择辅基站的情况下，所述第一接入网设备判断自身是否具备IAB宿主功能；

若所述第一接入网设备具备IAB宿主功能，则所述第一接入网设备选择第三接入网设备作为所述第一设备的辅基站；

所述第一接入网设备根据辅基站密钥，生成第二IAB密钥K _IAB2，所述K _IAB2用于建立所述第一接入网设备与所述第一设备之间的安全隧道，所述辅基站密钥用于对所述辅基站和所述第一设备之间的通信进行安全保护。
根据权利要求19所述的方法，其特征在于，所述辅基站密钥是根据主基站密钥推演得到的，所述主基站密钥用于对所述第一接入网设备和所述第一设备之间的通信进行安全保护。
根据权利要求19或20所述的方法，其特征在于，在所述第一接入网设备根据辅基站密钥，生成K _IAB2之后，所述方法还包括：

所述第一接入网设备向所述第二接入网设备发送辅基站配置消息，所述辅基站配置消息包括所述辅基站密钥；

所述第一接入网设备接收所述第二接入网设备发送的辅基站配置响应消息。
根据权利要求20或21所述的方法，其特征在于，所述第一接入网设备根据辅基站密钥，生成K _IAB2，包括：

所述第一接入网设备在发送辅基站配置消息之后，根据所述辅基站密钥，生成所述K _IAB2。
根据权利要求20或21所述的方法，其特征在于，所述第一接入网设备根据辅基站密钥，生成K _IAB2，包括：

所述第一接入网设备在接收到辅基站配置响应消息之后，根据所述辅基站密钥，生成所述K _IAB2。
根据权利要求19至23任一项所述的方法，其特征在于，所述方法还包括：

若所述第一接入网设备不具备IAB宿主功能，则所述第一接入网设备选择具备IAB宿主功能的第二接入网设备作为所述第一设备的辅基站；

所述第一接入网设备向所述第二接入网设备发送辅基站配置消息，所述辅基站配置消息包括所述辅基站密钥。
一种通信装置，其特征在于，所述通信装置包括用于执行权利要求1至24中任一项所涉及的方法中的各个步骤的模块。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机指令，当所述计算机指令在计算机上运行时，使得所述计算机执行权利要求1至24任一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括指令，当所述指令在计算机上运行时，使得计算机执行权利要求1至24任一项所述的方法。
一种芯片，其特征在于，所述芯片包括处理单元和收发管脚；所述处理单元用于执行权利要求1至24中任一项所涉及的方法中的处理操作，所述收发管脚用于执行权利要求1至24中任一项所涉及的方法中的通信操作。