WO2023030148A1

WO2023030148A1 - 一种通信方法、装置及系统

Info

Publication number: WO2023030148A1
Application number: PCT/CN2022/114680
Authority: WO
Inventors: 何青春; 李明超; 王勇; 程型清
Original assignee: 华为技术有限公司
Priority date: 2021-08-30
Filing date: 2022-08-25
Publication date: 2023-03-09
Also published as: EP4387302A1; CN115734219A; KR20240049384A; US20240205674A1

Abstract

本申请公开了一种通信方法、装置及系统，涉及通信技术领域。该方法包括：获取用于与第二节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；接收来自所述第二节点的、针对第一通信连接的释放请求，所述第一密钥用于所述第一通信连接的通信认证；向所述第二节点发送连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。该方法提供了第一节点与第二节点确定更新的密钥后，释放连接，以及采用新的密钥建立连接的技术方案，实现了多通信场景融合下的鉴权流程。

Description

一种通信方法、装置及系统

相关申请的交叉引用

本申请要求在2021年08月30日提交中国专利局、申请号为202111005514.2、申请名称为“一种通信方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种通信方法、装置及系统。

背景技术

移动通信的飞速发展促进了多种应用场景的不断涌现，基于不同通信技术的通信系统不可避免的产生融合。例如，随着5G技术的成熟发展及无线短距通信系统的广泛应用，无线短距通信与5G蜂窝网络融合的场景已然成为新潮流。与此同时，新的融合场景，对于通信传输的安全性也提出了更高的要求。

然而现有标准下，并没有针对不同通信系统融合场景下进行安全有效的通信方法。

发明内容

本申请实施例提供一种通信方法、装置及系统，用以对通信认证的密钥进行更新，提高通信安全性。

第一方面，本申请实施例提供了一种通信方法，可以应用于第一节点。该方法包括：

获取用于与第二节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；接收来自所述第二节点的、针对第一通信连接的释放请求，所述第一密钥用于所述第一通信连接的通信认证；向所述第二节点发送连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。

通过上述方法，本申请实施例提供了第一节点与第二节点确定更新的密钥后，释放连接，以及采用新的密钥建立连接的技术方案，实现了不同通信连接切换，用于进行通信认证的密钥的更新过程，有效提升了通信的安全性。

在一种可能的实现方式中，所述连接建立请求用于请求基于所述第二密钥建立连接，包括所述连接建立请求用于请求基于所述第二密钥执行认证和安全上下文协商流程。

在一种可能的实现方式中，所述方法还包括：接收来自所述第二节点的基于所述第二密钥的鉴权信息；所述鉴权信息用于验证所述第二节点的身份。

在一种可能的实现方式中，所述鉴权信息用于验证所述第二节点的身份，包括所述鉴权信息用于验证是否基于所述第二密钥与所述第二节点建立第二通信连接。

在一种可能的实现方式中，所述第一密钥是基于第一通信系统推演(或协商)的密钥，和/或，所述第二密钥是基于第二通信系统推演(或协商)的密钥，所述第一通信系统与所述第二通信系统不同。

在一种可能的实现方式中，所述第一通信系统可以为单一通信系统，所述第二通信系统可以为不同通信系统融合后的通信系统。

通过上述方法，本申请实施例提供了不同通信系统进行融合通信场景下的通信方法，有效提升了通信的安全性。

在一种可能的实现方式中，向所述第二节点发送基于所述第二密钥的鉴权响应，所述鉴权响应用于验证所述第一节点的身份。

在一种可能的实现方式中，所述鉴权响应用于验证所述第一节点的身份，包括所述鉴权响应用于所述第二节点验证是否基于所述第二密钥与第一节点建立所述第二通信连接。

通过上述方法，第一节点通过向第二节点发送鉴权响应，可以使第二节点根据该鉴权响应进一步确定基于第二密钥是否鉴权成功。

在一种可能的实现方式中，所述释放请求中包括请求原因信息；所述请求原因信息用于指示用于通信认证的密钥更新。

通过上述方法，在释放请求中携带请求原因，可以使第一节点在接收到来自第二节点的释放请求后，了解请求的原因，从而更有针对性的做出请求响应，适应性更强。

在一种可能的实现方式中，所述第二密钥在第一时长内有效，所述第一时长通过定时器或者时间戳定义。

通过上述方法，第一节点与第二节点采用第二密钥进行通信传输过程中，进一步验证该第二密钥是否有效，能够保证第二密钥的时效性，以及更好的保证通信传输的安全性。

在一种可能的实现方式中，所述第二密钥在第一时刻开始的第一时长内有效，所述第一时刻为所述第一通信连接释放的时刻，或者发送所述连接建立请求的时刻。

通过上述方法，本申请提供了多种第一时刻的情况，由此提供了多种判断第二密钥有效性的方案，灵活性更强。

在一种可能的实现方式中，所述方法还包括在所述第二密钥的有效期内，通过所述第二节点与第三节点的回传链路，与所述第三节点进行信息传输。

第二方面，本申请实施例提供了一种通信方法，可以应用于第二节点。该方法包括：

获取用于与第一节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；向所述第一节点发送针对第一通信连接的释放请求，所述第一密钥用于所述第一通信连接的通信认证；接收来自所述第一节点发送的连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。

在一种可能的实现方式中，所述连接建立请求用于请求基于所述第二密钥建立连接，包括：所述连接建立请求用于请求基于所述第二密钥执行认证和安全上下文协商流程。

在一种可能的实现方式中，所述方法还包括：向所述第一节点发送基于所述第二密钥的鉴权信息；所述鉴权信息用于验证第二节点的身份。

在一种可能的实现方式中，所述鉴权信息用于验证第二节点的身份，包括所述鉴权信息用于所述第一节点验证是否基于所述第二密钥与所述第二节点建立第二通信连接。

在一种可能的实现方式中，所述方法还包括接收来自所述第一节点的基于所述第二密钥的鉴权响应；所述鉴权响应用于验证所述第一节点的身份。

在一种可能的实现方式中，所述鉴权响应用于验证所述第一节点的身份，包括所述鉴权响应用于所述第二节点验证是否基于所述第二密钥与第一节点建立所述第二通信连接。通过上述方法，第一节点通过向第二节点发送鉴权响应，可以使第二节点根据该鉴权响应进一步确定基于第二密钥是否鉴权成功。

在一种可能的实现方式中，所述第二密钥在第一时长内有效，所述第一时长可以通过定时器或者时间戳定义。

在一种可能的实现方式中，所述第二密钥在第一时刻开始的第一时长内有效，所述第一时刻为所述第一通信连接释放的时刻，或者所述第二节点接收到所述连接建立请求的时刻。

在一种可能的实现方式中，所述方法还包括在所述第二密钥的有效期内，将来自所述第一节点的传输信息，通过所述第二节点与第三节点的回传链路，发送给所述第三节点。

在一种可能的实现方式中，在释放与所述第一节点的第一通信连之后，将所述回传链路挂起。

通过上述方法，第二节点在释放第一通信连接后，将该回传链路挂起，能够有效降低系统开销，节约资源。

在一种可能的实现方式中，所述方法还包括在确定与所述第一节点之间成功建立第二通信连接后，激活所述回传链路；所述第二通信连接是基于所述第二密钥进行通信认证的。

通过上述方法，在确定与所述第一节点之间成功建立第二通信连接后，通过将之前挂起的回传链路进行激活，从而继续采用该回传链路进行通信传输，能够有效降低系统开销，节约资源。

第三方面，本申请实施例提供了一种通信方法，可以应用于第一节点。该方法包括：

获取用于与第二节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；释放与所述第二节点的第一通信连接，所述第一密钥用于所述第一通信连接的通信认证；向所述第二节点发送连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。

在一种可能的实现方式中，所述方法还包括：向所述第二节点发送基于所述第二密钥的鉴权响应，所述鉴权响应用于验证所述第一节点的身份。

在一种可能的实现方式中，所述方法还包括：在所述第二密钥的有效期内，通过所述第二节点与第三节点的回传链路，与所述第三节点进行信息传输。

第四方面，本申请实施例提供了一种通信方法，可以应用于第二节点。该方法包括：

获取用于与第一节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；释放与所述第一节点的第一通信连接，所述第一密钥用于所述第一通信连接的通信认证；接收来自所述第一节点发送的连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。

在一种可能的实现方式中，所述方法还包括接收来自所述第一节点反馈的鉴权响应；所述鉴权响应用于验证所述第一节点的身份。

第五方面，本申请实施例提供了一种通信装置，该装置用于实现上述第一方面或第一方面中任意一种方法，包括相应的功能模块或单元，分别用于实现上述第一方面方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现，硬件或软件包括一个或多个与上述功能相应的模块或单元；或者，

该装置用于实现上述第三方面或第三方面中任意一种方法，包括相应的功能模块或单元，分别用于实现上述第三方面方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现，硬件或软件包括一个或多个与上述功能相应的模块或单元。

第六方面，本申请实施例提供了一种通信装置，该装置用于实现上述第二方面或第二方面中任意一种方法，包括相应的功能模块或单元，分别用于实现上述第二方面方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现，硬件或软件包括一个或多个与上述功能相应的模块或单元；或者，

该装置用于实现上述第四方面或第四方面中任意一种方法，包括相应的功能模块或单元，分别用于实现上述第四方面方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现，硬件或软件包括一个或多个与上述功能相应的模块或单元。

第七方面，提供一种通信装置，该装置包括处理器和存储器。其中，存储器用于存储计算程序或指令，处理器与存储器耦合；当处理器执行计算机程序或指令时，使得该装置执行上述第一方面或第一方面中的任意一种方法；或者使得该装置执行上述第三方面或第三方面中的任意一种方法。通信装置可以是第一装置，或能够支持第一装置实现上述第一方面提供的方法所需的功能的装置，或能够支持第一装置实现上述第三方面提供的方法所需的功能的装置，例如芯片系统。例如，所述通信装置可以是终端设备或终端设备内的部分组件(比如芯片)。所述终端设备例如可以是智能移动终端、智能家居设备、智能汽车、智能穿戴设备等等。其中，智能移动终端比如手机、平板电脑、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等。智能家居设备比如智能冰箱、智能洗衣机、智能电视机、音箱等。智能汽车穿戴设备比如智能耳机、智能眼镜、智能服饰或鞋子等。

第八方面，提供一种通信装置，该装置包括处理器和存储器。其中，存储器用于存储计算程序或指令，处理器与存储器耦合；当处理器执行计算机程序或指令时，使得该装置执行上述第二方面或第二方面中的任意一种方法；或者使得该装置执行上述第四方面或第四方面中的任意一种方法。通信装置可以是第二装置或能够支持第二装置实现上述第二方面提供的方法所需的功能的装置，或能够支持第二装置实现上述第四方面提供的方法所需的功能的装置，例如芯片系统。例如，所述通信装置可以是终端设备或终端设备内的部分组件(比如芯片)。所述终端设备例如可以是智能移动终端、智能家居设备、智能汽车、智能穿戴设备等等。其中，智能移动终端比如手机、平板电脑、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等。智能家居设备比如智能冰箱、智能洗衣机、智能电视机、音箱等。智能汽车穿戴设备比如智能耳机、智能眼镜、智能服饰或鞋子等。

第九方面，提供一种终端，该终端可包括上述第五方面或第七方面所述的装置，和上述第六方面或第八方面的装置。可选的，该装置可以为智能家居设备、智能制造设备、智能运输设备等，例如车辆、无人机、无人运输车、汽车和车辆等，或机器人等。或者，该装置可以为鼠标、键盘、可穿戴设备、TWS耳机等。

第十方面，本申请提供一种芯片，芯片与存储器相连，用于读取并执行存储器中存储的计算机程序或指令，以实现上述第一方面或第一方面的任一种可能的实现方式中的方法；或以实现上述第二方面或第二方面的任一种可能的实现方式中的方法；或以实现上述第三方面或第三方面的任一种可能的实现方式中的方法；或以实现上述第四方面或第四方面的任一种可能的实现方式中的方法。

第十一方面，提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序或指令，当计算机程序或指令被装置执行时，使得该装置执行上述第一方面或第一方面的任意可能的实现方式中的方法，或使得该装置执行上述第三方面或第三方面的任意可能的实现方式中的方法。

第十二方面，提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序或指令，当计算机程序或指令被装置执行时，使得该装置执行上述第二方面或第二方面的任意可能的实现方式中的方法，或使得该装置执行上述第四方面或第四方面的任意可能的实现方式中的方法。

第十三方面，提供本申请提供一种计算机程序产品，该计算机程序产品包括计算机程序或指令，当计算机程序或指令被装置执行时，使得该装置执行上述第一方面或第一方面的任意可能的实现方式中的方法，或使得该装置执行上述第三方面或第三方面的任意可能的实现方式中的方法。

第十四方面，提供本申请提供一种计算机程序产品，该计算机程序产品包括计算机程序或指令，当计算机程序或指令被装置执行时，使得该装置执行上述第二方面或第二方面的任意可能的实现方式中的方法，或使得该装置执行上述第三方面或第三方面的任意可能的实现方式中的方法。

应理解，基于本申请所提供的技术方案，可应用于不同通信系统融合场景下，提供了不同通信系统进行融合通信场景下的通信方法，有效提升了通信的安全性。此外，通过对用于进行通信认证的密钥进行有效性设置，能够保证用于进行通信认证的密钥的时效性，更好的保证通信传输的安全性。

附图说明

图1为本申请实施例提供的第一种通信系统示意图；

图2为本申请实施例提供的第二种通信系统示意图；

图3为本申请实施例提供的第一种通信方法流程示意图；

图4为本申请实施例提供的第二种通信方法流程示意图；

图5为本申请实施例提供的第三种通信方法流程示意图；

图6为本申请实施例提供的第四种通信方法流程示意图；

图7为本申请实施例提供的第五种通信方法流程示意图；

图8为本申请实施例提供的第六种通信方法流程示意图；

图9为本申请实施例提供的第六种通信方法流程示意图；

图10为本申请实施例提供的第一种通信装置结构示意图；

图11为本申请实施例提供的第二种通信装置结构示意图；

图12为本申请实施例提供的一种终端结构示意图。

具体实施方式

本申请实施例提供一种通信方法及装置，以期实现无线短距与5G蜂窝网络融合的鉴权流程。为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地详细描述。

本申请实施例提供的通信方法可以应用到第五代(5th generation，5G)通信系统，例如5G新空口(new radio，NR)，也可以应用于未来的各种通信系统，例如第六代(6th generation，6G)通信系统，在此并不进行限定。

如图1所示，本申请实施例提供了该通信方法适用的一种通信系统的架构，该通信系统可以包括第一节点100、第二节点110以及第三节点120。可选的，该通信系统中第一节点可以与第二节点连接，第二节点可以与第三节点连接。

本申请中该通信系统可以为不同通信系统融合后的通信系统，例如无线短距通信系统与5G蜂窝网络通信系统融合后得到的通信系统，在此并不进行限定。其中，融合后的通信系统还可以称为紧耦合(tight interworking)的通信系统，或者互相配合(interworking)的通信系统。

示例性的，本申请以无线短距通信系统与5G蜂窝网络通信系统融合后的通信系统为例，对融合后的通信系统进行介绍：

在该融合后的通信系统中，支持无线短距通信的终端节点可以通过控制节点或网关节点接入5G网络，进一步使用5G网络提供的服务。此外，5G网络还可以根据终端节点的签约信息和链路状态信息，对终端节点进行数据传输策略的配置和管理，以便为提供精细化服务。也就是说，在该融合后的通信系统中，无线短距通信系统与5G蜂窝网络通信系统可以交互工作，优势互补。

可选的，本申请所述的无线短距通信系统，可以是任意可能的短距通信系统，例如蓝牙，wifi、车载通用短距通信系统以及星闪等现在以及未来可能出现的短距通信系统。

其中，第一节点可以是终端设备或能够支持终端设备实现该方法所需的功能的通信装置，或者，第一节点可以是网络设备或能够支持网络设备实现该方法所需的功能的通信装置，当然还可以是其他通信装置，例如芯片系统。第二节点可以是网络设备或能够支持网络设备实现该方法所需的功能的通信装置，或者第二节点可以是终端设备或能够支持终端设备实现该方法所需的功能的通信装置，当然还可以是其他通信装置，例如芯片系统。第三节点可以是网络设备或能够支持网络设备实现该方法所需的功能的通信装置，或者，第三节点可以是终端设备或能够支持终端设备实现该方法所需的功能的通信装置，当然还可以是其他通信装置，例如芯片系统。

可选的，本申请实施例中的终端设备，可以是用于实现无线通信功能的设备，例如终端或者可用于终端中的芯片等。例如可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经无线接入网(radio access network，RAN)与核心网进行通信，与RAN交换语音和/或数据。该终端设备可以包括用户设备(user equipment，UE)、无线终端设备、移动终端设备、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point，AP)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、或用户装备(user device)等。例如，可以包括移动电话(或称为“蜂窝”电话)，具有移动终端设备的计算机，便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，智能穿戴式设备等。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、等设备。还包括受限设备，例如功耗较低的设备，或存储能力有限的设备，或计算能力有限的设备等。例如包括条码、射频识别(radio frequency identification，RFID)、传感器、全球定位系统(global positioning system，GPS)、激光扫描器等信息传感设备。

作为示例而非限定，在本申请实施例中，该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。

可选的，本申请实施例中的网络设备，可以包括接入网(access network，AN)设备，无线接入网(radio access network，RAN)设备，接入网设备例如基站(例如，接入点)，可以是指接入网中在空口通过一个或多个小区与无线终端设备通信的设备。基站可用于将收到的空中帧与网际协议(IP)分组进行相互转换，作为终端设备与接入网的其余部分之间的路由器，其中接入网的其余部分可包括IP网络。网络侧设备还可协调对空口的属性管理。例如，网络设备可以包括长期演进(long term evolution，LTE)系统或高级长期演进(long term evolution-advanced，LTE-A)中的演进型基站(NodeB或eNB或e-NodeB，evolved Node B)，或者也可以包括第五代移动通信技术(the 5th generation，5G)新空口(new radio，NR)系统中的下一代节点B(next generation node B，gNB)或者下一代演进型基站(next generation evolved nodeB，ng-eNB)、en-gNB(enhanced next generation node B，gNB)：增强的下一代基站；也可以包括云接入网(cloud radio access network，Cloud RAN)系统中的集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)，或者还可以包括中继设备，本申请实施例并不限定。

此外，本申请还提供另一种通信系统，如图2所示，该通信系统中还可以包括会话管理功能(session management function，SMF)、接入和移动性管理功能(access and mobility management function，AMF)、用户面功能(User Plane Function，UPF)以及DN等功能实体。

各个功能之间可以通过接口连接，接口的序列号或接口的名称本申请实施例中不作限定。可以按照5G系统的3GPP相关标准协议中定义的接口，也可以使用未来通信系统中的接口。例如，终端设备通过下一代网络(next generation，N)1接口(简称N1)与AMF通信，网络设备通过N2接口(简称N2)与AMF通信，网络设备通过N3接口(简称N3)与本地UPF通信，UPF通过N6接口(简称N6)与DN通信。AMF通过N11接口(简称N11)与SMF通信，SMF通过N4接口(简称N4)与UPF通信。

通信系统中包括的各个功能也可以称为功能实体、网元或其他名称。例如，SMF可以称为SMF实体。可选的，本申请实施例中的各个功能可以由一个设备实现，也可以由多个设备共同实现，还可以是由一个设备内的一个或多个功能模块实现，本申请实施例对此不作具体限定。可以理解的是，本申请实施例涉及的各个功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是硬件与软件的结合，或者是平台(例如，云平台)上实例化的虚拟化功能。

需要说明的是，本申请实施例并不限定各个功能的分布形式，可选的，各个功能也可以包含上述任意多种功能融合后形成的其他功能实体，例如，具有会话管理和策略控制两种功能的功能实体，或者具有会话管理、接入与移动性管理和策略控制三种功能的功能实体，或者具有网络开放和应用功能两种功能的功能实体。

需要说明的是，图1～图2所示的通信系统并不构成本申请实施例能够适用的通信系统的限定。当然图2中的终端设备的数量只是举例，在实际应用中，网络设备可以为多个终端设备提供服务，网络设备，以及多个终端设备中的全部终端设备或者部分终端设备，都可以采用本申请实施例提供的方法确定调度限制。图1和/或图2所示的通信系统架构可以是非漫游的5G系统架构，可选的，本申请实施例的方法还适用于漫游的5G系统架构、以及适用于未来的各种通信网络。

本申请实施例中涉及的各个功能或设备也可以称之为通信装置，其可以是一个通用设备或者是一个专用设备，本申请实施例对此不作具体限定。

如上介绍了本申请实施例涉及的应用架构，下面介绍本申请实施例的技术特征。

目前针对不同通信系统的融合场景，并没有安全有效的通信方法。鉴于此，本申请实施例提供了第一节点与第二节点确定更新的密钥后，释放连接，以及采用新的密钥建立连接的技术方案，提供了不同通信系统进行融合通信场景下的通信方法，有效提升了通信的安全性。其中，方法和装置是基于同一技术构思的，由于方法及设备解决问题的原理相似，因此设备与方法的实施可以相互参见，重复之处不再赘述。

本申请实施例提供第一种通信方法，请参见图3，为该方法的流程图。

S300、第一节点获取用于与第二节点通信认证的第二密钥。

其中，本申请实施例中的该第二密钥不同于预先配置的第一密钥。

可选的，本申请实施例中该第一节点用于第一通信连接的通信认证，该第二节点用于第二通信连接的通信认证。

应理解，本申请中一种可选的方式，该第一密钥是基于第一通信系统推演(或协商) 的密钥，和/或，该第二密钥是基于第二通信系统推演(或协商)的密钥，该第一通信系统与该第二通信系统不同。

其中，本申请中该第一通信系统可以为单一通信系统，例如无线短距通信系统、5G蜂窝网络通信系统、超高可靠低时延通信系统、增强移动宽带通信系统以及海量机器连接通信系统等；本申请中该第二通信系统可以为不同通信系统融合后的通信系统，例如无线短距通信系统与5G蜂窝网络通信系统融合后得到的通信系统，5G蜂窝网络通信系统与超高可靠低时延通信系统融合后得到的通信系统。

具体的，该第一密钥可以为在第一节点与第二节点初始连接阶段用于进行鉴权的密钥。其中，该第一密钥可以是第一节点与第二节点在进行初始连接前预配置的；或者，该第一密钥可以是第二节点确定的，以及通过信令指示给第一节点的；或者，该第一密钥可以是第一节点确定的，以及通过信令指示给第二节点的，本申请对此不做限定。

具体的，该第二密钥可以是第一节点与第二节点建立第一通信连接后，第一节点确定的，以及通过信令指示给第二节点的；或者，该第二密钥可以是第一节点与第二节点建立第一通信连接后，第二节点确定的，以及通过信令指示给第一节点的；或者，该第二密钥可以是第一节点与第二节点建立第一通信连接后，第一节点与第二节点共同协商的，本申请对此不做限定。

进一步的，为了更好的保障通信系统的安全性，该第一节点获取到的用于与第二节点通信认证的第二密钥具有一定的时效性，可以理解的，若该第二密钥有效，则该第二密钥可以用于第二通信连接的认证；若该第二密钥失效，则该第二密钥不可以用于第二通信连接的认证。进一步的，该第二密钥失效后，可以执行密钥更新。

可以理解的是，在实施S300之前，还可以包括步骤1：第一节点与第二节点进行融合连接(即实现不同通信系统进行融合场景下的初始鉴权流程)。

其中，步骤1具体的实现过程可以为第一节点与第二节点基于第一密钥进行初始连接的鉴权，第一节点与第二节点在确定基于第一密钥进行初始连接的鉴权成功后，第一节点与第二节点建立基于第一密钥进行通信认证的第一通信连接。

S301、第二节点获取用于与第一节点通信认证的第二密钥。

S302、第二节点向第一节点发送针对第一通信连接的释放请求。

其中，该释放请求可以包括下列信息1～信息4中的一种或多种：

信息1：请求原因信息，该请求原因信息用于指示用于通信认证的密钥更新。

信息2：请求时间，该请求时间用于指示第二节点发送该释放请求的时间。可选的，该请求时间可以通过时间戳表示。

信息3：释放时间，该释放时间用于指示第一节点释放第一通信连接的时间。

示例性的，该释放时间可以指示具体时间，例如，具体时间为第一节点接收到释放请求后的第一分钟，则该第一节点在接收到该释放请求后，根据该释放请求中包括的该释放时间，在接收到释放请求后的第一分钟释放该第一通信连接；或者，该释放时间可以指示具体时间段，例如，具体时间段为第一节点接收到释放请求后的五分钟内，则该第一节点在接收到该释放请求后，根据该释放请求中包括的该释放时间，在接收到释放请求后的五分钟内释放该第一通信连接。

信息4：用于指示挂起无线资源的信息。

可选的，该释放请求还可以用于指示挂起(suspend)无线资源。例如，该释放请求中可以包括用于指示挂起第一通信连接对应的无线资源的信息。

在第一节点与第二节点确定用于通信认证的第一密钥更新为第二密钥后，在该第一通信连接释放，第二通信连接未成功建立期间，通过使第一通信连接对应的无线资源挂起，不释放，能够有效便于通信链路的快速恢复。

需要说明的是，上述释放请求中包括的信息1～4的内容仅是对该释放请求中包括的信息的列举，并不构成对该释放请求包括的信息的限定。

此外，该第一节点接收来自该第二节点的释放请求，可以包括但不限于：

该释放请求可以是基于第一节点与第二节点间传输信令的改进，或该释放请求可以携带在该第一节点与该第二节点间传输信令上，例如，在实际应用中，该释放请求可以携带在第一节点发送给第二节点的，用于指示第二密钥的信令中；或者，该释放请求可以为第一节点与第二节点间的新的信令。

进一步，第二节点释放与该第一节点的第一通信连接。

应理解，本申请中一种可选的方式，第二节点在收到第二密钥后，可以确定密钥发生了更新，因此，该第二节点可以触发释放与该第一节点的第一通信连接，建立基于该第二密钥进行通信认证的第二通信连接。

进一步的，基于第二节点向第一节点发送针对该第一通信连接的释放请求的情况，该第二节点还可以接收到来自该第一节点的释放请求响应，用于通知第一节点针对第一通信连接的释放情况。

可选的，第二节点可以在执行该S302之前释放与该第一节点的第一通信连接，即该第二节点在获取到第二密钥后，释放与该第一节点的第一通信连接；或者，该第二节点可以在执行该S302之后释放与该第一节点的第一通信连接，即该第二节点向该第一节点发送针对第一通信连接的释放请求后，释放与该第一节点的第一通信连接；再或者，该第二节点还可以在接收到来自该第一节点的释放请求响应，确定该第一节点完成第一通信连接的释放后，释放与该第一节点的第一通信连接。

S303、第一节点接收来自第二节点的、针对第一通信连接的释放请求。

进一步，第一节点释放与该第二节点的第一通信连接。

应理解，本申请中一种可选的方式，第一节点在收到来自第二节点的、针对第一通信连接的释放请求后，可以触发释放与该第二节点的第一通信连接。

进一步的，该第一节点还可以向该第二节点发送基于该释放请求的响应，用于通知第二节点，自身针对第一通信连接的释放情况。

S304、第一节点向第二节点发送连接建立请求，该连接建立请求用于请求基于该第二密钥建立连接。

可选的，该第一节点向该第二节点发送的连接建立请求，可以包括但不限于：

该连接建立请求可以是基于第一节点与第二节点间传输信令的改进，或该连接建立请求可以携带在该第一节点与该第二节点间传输信令上；或者，该连接建立请求可以为第一节点与第二节点间的新的信令。

其中，该连接建立请求可以包括下列信息1-信息4中的一种或多种：

信息2：请求时间，该请求时间用于指示第一节点发送该连接建立请求的时间。可选的，该请求时间可以通过时间戳表示。

信息3：连接建立时间，该连接建立时间用于指示第一节点与第二节点建立第二通信连接的时间。

示例性的，该连接建立时间可以指示具体时间，例如，具体时间为第二节点接收到连接建立请求后的第一分钟，则该第二节点在接收到该连接建立请求后，根据该连接建立请求中包括的该连接建立时间，在接收到连接建立请求后的第一分钟与第一节点建立第二通信连接；或者，该连接建立时间可以指示具体时间段，例如，具体时间段为第二节点接收到连接建立请求后的五分钟内，则该第二节点在接收到该连接建立请求后，根据该连接建立请求中包括的该连接建立时间，在接收到连接建立请求后的五分钟内与第一节点建立第二通信连接。

信息4：用于指示连接恢复的信息。

可以理解的，该连接建立请求可以为第一节点与第二节点间的连接恢复请求。即第一节点与第二节点间的第一通信连接释放后，第一节点与第二节点需要建立基于第二密钥进行通信认证的第二通信连接，则第一节点可以向第二节点发送连接恢复请求，第二节点在接收到该连接恢复请求后，与该第一节点建立通信连接。

需要说明的是，上述连接建立请求中包括的信息1～4的内容仅是对该连接建立请求中包括的信息的列举，并不构成对该连接建立请求包括的信息的限定。

S305、第二节点接收来自第一节点发送的该连接建立请求。

进一步的，该连接建立请求用于请求基于该第二密钥建立连接，可以包括：该连接建立请求用于请求基于该第二密钥执行认证和安全上下文协商流程。

可选的，该认证和安全上下文协商流程可以包含第一和第二节点的身份鉴权过程(例如鉴权信息和鉴权响应的交互)。

其中，该第一和第二节点的身份鉴权过程的内容可以如下所述：

首先，第二节点接收来自第一节点发送的该连接建立请求后，第二节点向该第一节点发送基于该第二密钥的鉴权信息，该鉴权信息用于验证该第二节点的身份。其中，该鉴权信息用于验证该第二节点的身份，可以理解为该第一节点可以通过该鉴权信息验证与该第二节点是否能够基于该第二密钥建立第二通信连接。

可选的，该鉴权信息可以包括第二节点使用该第二密钥推算出的认证向量。

然后，该第一节点接收来自该第二节点的基于该第二密钥的鉴权信息，该第一节点在确定第二节点通过认证后，向第二节点发送针对该鉴权信息的鉴权响应，该鉴权响应用于验证该第一节点的身份。其中，该鉴权响应用于验证该第一节点的身份，可以理解为该第二节点可以通过该鉴权响应验证与该第一节点是否能够基于该第二密钥建立第二通信连接。

可选的，第一节点可以根据接收到的该鉴权信息中包括的第二节点使用第二密钥推算出的认证向量，判断该第二节点是否通过认证。

示例性的，该第一节点接收到该鉴权信息后，获取该鉴权信息中第二节点基于第二密钥推算出的第一认证向量。该第一节点基于第二密钥推算出第二认证向量，然后将第一认证向量与第二认证向量进行比对。若第一认证向量与第二认证向量符合认证要求，例如，认证要求可以为第一认证向量与第二认证向量相同，或第一认证向量与第二认证向量相加之和为零等，则第一节点确定第二节点通过认证，若第一认证向量与第二认证向量不符合认证要求，则第一节点确定第二节点未通过认证。

最后，该第二节点接收来自该第一节点发送的该鉴权响应，基于该鉴权响应对该第一节点进行身份验证。

通过上述方法，第一节点与第二节点确定更新的密钥后，释放连接，然后采用新的密钥建立连接，实现了不同通信连接切换，用于进行通信认证的密钥的更新过程，有效提升了通信的安全性。

其中，为了更好的对本申请提供的通信方法进行介绍，基于图3所示的内容，结合下述两种场景，进一步详细介绍，其中，下文所涉及的场景中的部分步骤可以是可选的，步骤顺序也不代表实际的执行顺序，因此本申请不限定完全按照下文的步骤和顺序执行。

场景一、第一节点在获取到第二密钥后，主动释放该第一通信连接。

参阅图4所示，该场景一对应的方法的可以执行下述步骤。

S400、第一节点与第二节点基于第一密钥建立第一通信连接。

S401、第一节点获取用于与第二节点通信认证的第二密钥。

S402、第二节点获取用于与第一节点通信认证的第二密钥。

S403、第二节点释放与第一节点的第一通信连接。

S404、第一节点释放与该第二节点的第一通信连接。

S405、第一节点向该第二节点发送连接建立请求，该连接建立请求用于请求基于该第二密钥建立连接。

S406、第二节点接收来自该第一节点发送的连接建立请求。

S407、第二节点向该第一节点发送基于该第二密钥的鉴权信息，该鉴权信息用于验证该第二节点的身份。

S408、第一节点接收来自该第二节点的基于该第二密钥的鉴权信息。

S409、第一节点确定第二节点是否通过认证，若是，执行S410，若否，执行S411。

S410、第一节点向第二节点发送针对该鉴权信息的鉴权响应，该鉴权响应用于验证该第一节点的身份，继续执行S412。

可选的，该鉴权响应中包含基于该第二密钥生成的鉴权信息。

其中，该鉴权信息可以包括下列信息1～2中的一种或多种：

信息1：第一节点基于第二密钥获取的认证向量，例如，上述S305步骤示例内容里的第二认证向量。

信息2：第一节点对第二节点的鉴权结果。

需要说明的是，上述鉴权信息中包括的信息1～2的内容仅是对该鉴权信息中包括的信息的列举，并不构成对该鉴权信息包括的信息的限定。

S411、第一节点在确定该第二节点基于第二密钥进行第二通信连接的认证失败后，终止通信传输。

其中，本申请一种可选的方式，该第一节点在确定该第二节点认证失败后，第二节点还可以再次发起基于第二密钥的通信认证，当认证失败次数达到阈值失败次数后，终止通信传输。

示例性的，假设阈值失败次数为2次，该第一节点在第一次确定该第二节点基于第二密钥的通信认证失败后，可以向该第二节点发送认证失败的消息。该第二节点在接收到该认证失败的消息后，可以再次向该第一节点发送基于该第二密钥的鉴权信息，重新进行认证。

该第一节点再次接收来自该第二节点的基于该第二密钥的鉴权信息并进行通信认证。若该第一节点在第二次认证中，确定该第二节点基于第二密钥的通信依旧失败，则此时第一节点确定认证失败的次数达到阈值失败次数2次，则终止通信传输。

同理，可以理解的，若该第二节点连续两次接收到基于该第二密钥通信认证失败的消息，则该第二节点可以终止通信传输；或者，该第一节点在确定终止通信传输后，可以向该第二节点发送终止通信传输的消息，第二节点在接收到来自该第一节点的终止通信传输的消息后，终止通信传输。

S412、第二节点接收来自第一节点发送的该鉴权响应。

可选的，使接收到该鉴权响应的第二节点，可以根据该鉴权响应中包含的基于该第二密钥生成的鉴权信息，判断该第一节点是否通过认证，具体判断方式可以参见上述第一节点的判断方式，为简洁描述，在此不进行赘述。

S413、第二节点确定第一节点是否通过认证，若是，执行S414，若否，执行S415。

S414、第二节点在确定该第二节点通过认证后，与第一节点建立第二通信连接，继续执行S416。

S415、第二节点在确定第一节点基于第二密钥进行第二通信连接的认证失败后，终止通信传输。

本申请中一种可选的方式，该第二节点在确定终止通信传输后，可以向该第一节点发送终止通信传输的消息，第一节点在接收到来自该第二节点的终止通信传输的消息后，终止通信传输。

S416、第一节点在完成与第二节点的第二通信连接建立后，通知第二节点该第二通信连接建立完成。

S417、第一节点通过第二节点与第三节点的回传链路，与第三节点进行信息传输。

应理解，在如图4所示的方法流程中，步骤序号不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S402可以优先于S401。此外，在如图4所示的方法流程中，也并不局限上述步骤，任何对上述步骤的增删变形等，都属于本申请保护范围。

场景二、第一节点接收到来自第二节点发送的针对第一通信连接的释放请求后，释放该第一通信连接。

参阅图5所示，该场景二对应的方法的可以执行下述步骤。

S500、第一节点与第二节点基于第一密钥建立第一通信连接。

S501、第一节点获取用于与第二节点通信认证的第二密钥。

S502、第二节点获取用于与第一节点通信认证的第二密钥。

S503、第二节点释放与第一节点的第一通信连接。

S504、第二节点向第一节点发送针对该第一通信连接的释放请求。

S505、第一节点接收来自该第二节点的、针对该第一通信连接的释放请求。

S506、第一节点释放与该第二节点的第一通信连接。

S507、第一节点向该第二节点发送连接建立请求，该连接建立请求用于请求基于该第二密钥建立连接。

S508、第二节点接收来自该第一节点发送的连接建立请求。

S509、第二节点向该第一节点发送基于该第二密钥的鉴权信息，该鉴权信息用于验证该第二节点的身份。

S510、第一节点接收来自该第二节点的基于该第二密钥的鉴权信息。

S511、第一节点确定第二节点是否通过认证，若是，执行S512，若否，执行S513。

S512、第一节点在确定该第二节点鉴权通过后，向第二节点发送针对该鉴权信息的鉴权响应，该鉴权响应用于验证该第一节点的身份，继续执行S514。

S513、第一节点在确定该第二节点基于第二密钥进行第二通信连接的认证失败后，终止通信传输。

S514、第二节点接收来自第一节点发送的该鉴权响应。

本申请中，可选的，使接收到该鉴权响应的第二节点，可以根据该鉴权响应中包含的基于该第二密钥生成的鉴权信息，判断该第一节点是否通过认证，具体判断方式可以参见上述第一节点的判断方式，为简洁描述，在此不进行赘述。

S515、第二节点确定第一节点是否通过认证，若是，执行S516，若否，执行S517。

S516、第二节点在确定该第二节点通过认证后，与第一节点建立第二通信连接，继续执行S518。

S517、第二节点在确定第一节点基于第二密钥进行第二通信连接的认证失败后，终止通信传输。

S518、第一节点在完成与第二节点的第二通信连接建立后，通知第二节点该第二通信连接建立完成。

S519、第一节点通过第二节点与第三节点的回传链路，与第三节点进行信息传输。

应理解，在如图5所示的方法流程中，步骤序号不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S502可以优先于S501。此外，在如图5所示的方法流程中，也并不局限上述步骤，任何对上述步骤的增删变形等，都属于本申请保护范围。

进一步的，本申请为了有效节省系统开销，该第二节点可以在释放与该第一节点的第一通信连接之后，还可以将该回传链路挂起。然后，在第二节点确定与该第一节点之间成功建立第二通信连接后，可以激活该回传链路。

下面结合上述场景二的情况，对通信过程中回传链路进行挂起以及激活的操作内容进行介绍，参阅图6所示，对应的方法流程如下：

S600、第一节点与第二节点基于第一密钥建立第一通信连接。

S601、第一节点获取用于与第二节点通信认证的第二密钥。

S602、第二节点获取用于与第一节点通信认证的第二密钥。

S603、第二节点释放与第一节点的第一通信连接。

S604、第二节点将与第三节点间的回传链路挂起。

S605、第二节点向第一节点发送针对该第一通信连接的释放请求。

S606、第一节点接收来自该第二节点的、针对该第一通信连接的释放请求。

S607、第一节点释放与该第二节点的第一通信连接。

S608、第一节点向该第二节点发送连接建立请求，该连接建立请求用于请求基于该第二密钥建立连接。

S609、第二节点接收来自该第一节点发送的连接建立请求。

S610、第二节点向该第一节点发送基于该第二密钥的鉴权信息，该鉴权信息用于验证该第二节点的身份。

S611、第一节点接收来自该第二节点的基于该第二密钥的鉴权信息。

S612、第一节点在确定该第二节点鉴权通过后，向第二节点发送针对该鉴权信息的鉴权响应，该鉴权响应用于验证该第一节点的身份。

S613、第二节点接收来自该第一节点发送的该鉴权响应。

S614、第二节点在确定该第二节点通过认证后，与该第一节点建立第二通信连接。

S615、第一节点在完成与该第二节点的第二通信连接建立后，通知该第二节点该第二通信连接建立完成。

S616、第二节点在确定与该第一节点之间成功建立第二通信连接后，激活该回传链路。

S617、第一节点通过该第二节点与第三节点的回传链路，与该第三节点进行信息传输。

应理解，在如图6所示的方法流程中，步骤序号不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S605可以优先于S604。此外，在如图6所示的方法流程中，也并不局限上述步骤，任何对上述步骤的增删变形等，都属于本申请保护范围。

本申请通过在连接释放后挂起回传链路，在连接建立后激活该回传链路，能够有效的降低系统功耗，节约资源。

其中，结合上述场景一的情况，对通信过程中回传链路进行挂起以及激活的内容与上述图6的内容相似，为简洁描述，可以参见上述图6的内容，以及场景一的情况，删减上述图6中S605与S606步骤，得到结合上述场景一的情况，对通信过程中回传链路进行挂起以及激活的内容，在此不进行赘述。

进一步的，本申请为了更好的保证第二密钥的时效性，提高通信传输的安全性，第一节点与第二节点采用第二密钥进行通信传输过程中，还可以验证该第二密钥是否有效。

可以理解的，本申请中，可以通过第一节点判断该第二密钥是否有效，然后将对该第二密钥的判断结果通知给第二节点；或者，可以通过第二节点判断该第二密钥是否有效，然后将对该第二密钥的判断结果通知给第一节点；再或者，还可以第一节点与第二节点都对该第二密钥的有效性进行判断。

本申请中一种可选的方式，该第二密钥在第一时长内有效，该第一时长可以通过定时器或者时间戳定义。其中，该第一时长可以从第一时刻开始计时，该第一时刻可以为该第一通信连接释放的时刻，或者该第二节点接收到该连接建立请求的时刻和/或该第一节点发送该连接建立请求的时刻，具体并不进行限定。

下面结合上述场景二的情况，以及选取第一节点与第二节点都对第二密钥有效性进行判断的情况进行介绍，其中，本申请提供多种验证方式，具体并不限于下述几种：

方式1：第一节点与第二节点分别基于各自对应的定时器，确定该第二密钥是否有效。

参阅图7所示，该方式1对应的方法流程如下：

S700、第一节点与第二节点基于第一密钥建立第一通信连接。

S701、第一节点获取用于与第二节点通信认证的第二密钥。

S702、第二节点获取用于与第一节点通信认证的第二密钥。

S703、第二节点释放与第一节点的第一通信连接。

S704、第二节点开启对应的用于确定第二密钥有效性的第二定时器。

其中，该第二定时器的正常运转时长为第一时长。

S705、第二节点向第一节点发送针对该第一通信连接的释放请求。

S706、第一节点接收来自该第二节点的、针对该第一通信连接的释放请求。

S707、第一节点释放与该第二节点的第一通信连接。

S708、第一节点开启对应的用于确定第二密钥有效性的第一定时器。

其中，该第一定时器的正常运转时长为第一时长。

S709、第一节点向该第二节点发送连接建立请求，该连接建立请求用于请求基于该第二密钥建立连接。

S710、第二节点接收来自该第一节点发送的连接建立请求。

S711、第二节点向该第一节点发送基于该第二密钥的鉴权信息，该鉴权信息用于验证该第二节点的身份。

S712、第一节点接收来自该第二节点的基于该第二密钥的鉴权信息。

S713、第一节点在确定该第二节点鉴权通过后，向第二节点发送针对该鉴权信息的鉴权响应，该鉴权响应用于验证该第一节点的身份。

S714、第二节点接收来自该第一节点发送的该鉴权响应。

S715、第二节点在确定该第二节点通过认证后，与该第一节点建立第二通信连接。

S716、第一节点在完成与该第二节点的第二通信连接建立后，通知该第二节点该第二通信连接建立完成。

S717、第一节点关闭对应的第一定时器。

S718、第一节点判断第一定时器是否超时，若超时，执行S719，若未超时，执行S720。

S719、第一节点确定该第二密钥失效，终止通信传输。

S720、第一节点通过该第二节点与第三节点的回传链路，与该第三节点进行信息传输。

S721、第二节点在接收到来自该第一节点的第二通信连接建立完成的通知后，关闭对应的第二定时器。

S722、第二节点判断第二定时器是否超时，若超时，执行S723，若未超时，执行S724。

S723、第二节点确定该第二密钥失效，终止通信传输。

S724、第二节点将来自该第一节点的传输信息，通过该第二节点与第三节点的回传链路，发送给该第三节点。

本申请中，可选的，在如图7所示的方法流程中，第一节点开启对应第一定时器的时刻并不局限于执行步骤S707之后，例如，第一节点开启对应第一定时器的时刻还可以在执行S709之后；同理的，第二节点开启对应第二定时器的时刻并不局限于执行步骤S704之后，例如，第二节点开启对应第二定时器的时刻还可以在执行S710之后。

应理解，在如图7所示的方法流程中，步骤序号不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S702可以优先于S701。此外，在如图7所示的方法流程中，也并不局限上述步骤，任何对上述步骤的增删变形等，都属于本申请保护范围。

其中，结合上述场景一的情况，采用该方式1对第二密钥有效性判断的内容与上述图7的内容相似，为简洁描述，可以参见上述图7的内容，以及场景一的情况，删减上述图7中的S705与S706步骤，得到结合上述场景一的情况，采用该方式1对第二密钥有效性判断的内容，在此不进行赘述。

方式2：第一节点与第二节点共同维护同一定时器，确定该第二密钥是否有效。

参阅图8所示，该方式2对应的方法流程如下：

S800、第一节点与第二节点基于第一密钥建立第一通信连接。

S801、第一节点获取用于与第二节点通信认证的第二密钥。

S802、第二节点获取用于与第一节点通信认证的第二密钥。

S803、第二节点释放与第一节点的第一通信连接。

S804、第二节点开启用于确定第二密钥有效性的定时器。

S805、第二节点向第一节点发送针对该第一通信连接的释放请求。

S806、第一节点接收来自该第二节点的、针对该第一通信连接的释放请求。

S807、第一节点释放与该第二节点的第一通信连接。

S808、第一节点向该第二节点发送连接建立请求，该连接建立请求用于请求基于该第二密钥建立连接。

S809、第二节点接收来自该第一节点发送的连接建立请求。

S810、第二节点向该第一节点发送基于该第二密钥的鉴权信息，该鉴权信息用于验证该第二节点的身份。

S811、第一节点接收来自该第二节点的基于该第二密钥的鉴权信息。

S812、第一节点在确定该第二节点鉴权通过后，向第二节点发送针对该鉴权信息的鉴权响应，该鉴权响应用于验证该第一节点的身份。

S813、第二节点接收来自该第一节点发送的该鉴权响应。

S814、第二节点在确定该第二节点通过认证后，与该第一节点建立第二通信连接。

S815、第一节点在完成与该第二节点的第二通信连接建立后，通知该第二节点该第二通信连接建立完成。

S816、第一节点关闭该定时器。

S817、第一节点判断该定时器是否超时，若超时，执行S818，若未超时，执行S819。

S818、第一节点确定该第二密钥失效，终止通信传输。

本申请中，可选的，该第一节点还可以将该第二密钥失效的结果通知给第二节点。

S819、第一节点通过该第二节点与第三节点的回传链路，与该第三节点进行信息传输。

可以理解的，上述图8所示的方法流程中，还可以由第一节点开启该定时器，由第二节点关闭该定时器，例如，第一节点在执行S807后，开启该定时器，第二节点在接收到S815中第一节点发送的第二通信连接建立完成的通知后，关闭该定时器；同理的，可以由第二节点判断该定时器是否超时，由此确定该第二密钥是否有效。

应理解，在如图8所示的方法流程中，步骤序号不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。例如，S802可以优先于S801。此外，在如图8所示的方法流程中，也并不局限上述步骤，任何对上述步骤的增删变形等，都属于本申请保护范围。

其中，结合上述场景一的情况，采用该方式2对第二密钥有效性判断的内容与上述图8的内容相似，为简洁描述，可以参见上述图8的内容，以及场景一的情况，删减上述图8中的S805与S806的步骤，得到结合上述场景一的情况，采用该方式2对第二密钥有效性判断的内容，在此不进行赘述。

方式3：第一节点与第二节点基于信令中携带的时间戳，确定该第二密钥是否有效。

参阅图9所示，该方式3对应的方法流程如下：

S900、第一节点与第二节点基于第一密钥建立第一通信连接。

S901、第一节点获取用于与第二节点通信认证的第二密钥。

S902、第二节点获取用于与第一节点通信认证的第二密钥。

S903、第二节点释放与该第一节点的第一通信连接。

S904、第二节点向第一节点发送针对该第一通信连接的释放请求，该释放请求中携带第一时间戳。

其中，该第一时间戳可以是该第二节点向第一节点发送该释放请求的时间。

本申请中，可选的，该第二节点向该第一节点发送该释放请求后，记录该第一时间戳。

S905、第一节点接收来自该第二节点的、针对该第一通信连接的释放请求，获取该第一时间戳。

S906、第一节点释放与该第二节点的第一通信连接。

S907、第一节点向该第二节点发送连接建立请求，该连接建立请求用于请求基于该第二密钥建立连接。

S908、第二节点接收来自该第一节点发送的连接建立请求。

S909、第二节点向该第一节点发送基于该第二密钥的鉴权信息，该鉴权信息用于验证该第二节点的身份。

S910、第一节点接收来自该第二节点的基于该第二密钥的鉴权信息。

S911、第一节点在确定该第二节点鉴权通过后，向第二节点发送针对该鉴权信息的鉴权响应，该鉴权响应用于验证该第一节点的身份。

S912、第二节点接收来自该第一节点发送的该鉴权响应。

S913、第二节点在确定该第二节点通过认证后，与该第一节点建立第二通信连接。

S914、第一节点在完成与该第二节点的第二通信连接建立后，向第二节点发送建立完成消息，该建立完成消息中携带第二时间戳。

其中，该建立完成消息用于通知该第二节点，第一节点已完成第二通信连接的建立。

该第二时间戳可以是第一节点向第二节点发送建立完成消息的时间；或者，该第二时间戳可以是第一节点完成第二通信连接建立的时间。

本申请中，可选的，该第一节点记录该第二时间戳。

S915、第一节点确定该第二时间戳与该第一时间戳相差时长是否不大于第一时长，若是，执行S916，若否，执行S917。

S916、第一节点通过该第二节点与第三节点的回传链路，与该第三节点进行信息传输。

S917、第一节点确定该第二密钥失效，终止通信传输。

S918、第二节点接收到该建立完成消息后，获取该第二时间戳。

S919、第二节点确定该第二时间戳与该第一时间戳相差时长是否不大于该第一时长，若是，执行S920，若否，执行S921。

S920、第二节点将来自该第一节点的传输信息，通过该第二节点与第三节点的回传链路，发送给该第三节点。

S921、第二节点确定该第二密钥失效，终止通信传输。

应理解，如图9所示的方法流程仅是对第一节点与第二节点通过时间戳确定第二密钥是否有效的示例，并不构成通过时间戳确定第二密钥是否有效的方法限定，也并不局限上述步骤，任何对上述步骤的增删变形等，都属于本申请保护范围。

其中，结合上述场景一的情况，采用该方式3对第二密钥有效性判断的内容与上述图9的内容相似，为简洁描述，可以参见上述图9的内容，以及场景一的情况，删减上述图9中的S904与S905步骤，得到结合上述场景一的情况，采用该方式3对第二密钥有效性判断的内容，在此不进行赘述。

本申请通过第一节点与第二节点采用第二密钥进行通信传输过程中，进一步验证该第二密钥是否有效，能够保证第二密钥的时效性，以及更好的保证通信传输的安全性。

至此，已经结合图3～图9详细介绍了本申请的通信系统以及所述实现的通信方法。在该通信方案中，本申请提供了不同通信系统进行融合通信场景下的通信方法，有效提升了通信的安全性。

此外，上述图3～图9的内容，并不构成对本申请提供的通信方法的限定，任何针对上述图3～图9的内容的变形都属于本申请保护范围，例如，可以将上述图4，图6以及图7的内容进行组合，得到本申请在场景一的情况下，通过挂起以及激活回传链路，并验证第二密钥有效性的通信方案，能够更好的降低系统开销，提升通信安全性。

其中，方法和装置是基于相同或相似技术构思的，由于方法及装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。本申请实施例中的术语“系统”和“网络”可被互换使用。本申请实施例的描述中，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的至少一个是指一个或多个；多个，是指两个或两个以上。另外，需要理解的是，在本申请的描述中，“第一”、“第二”、“第三”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

以下结合图10和图11详细说明本申请实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互对应。因此，未详细描述的内容可相互参见。

图10是本申请实施例提供的装置1000的示意性框图，用于实现上文方法实施例中第一装置或第二装置的功能。例如，该装置可以为软件模块或芯片系统。所述芯片可以由芯片构成，也可以包括芯片和其他分立器件。该装置1000包括处理单元1001和通信单元1002。通信单元1002用于与其它设备进行通信，还可以称为通信接口、收发单元或输入\输出接口等。

在一些实施例中，上述装置1000可用于实现上文方法中第一装置的功能，装置1000可以是第一装置，或者配置于第一装置中的芯片或电路等。处理单元1001可用于执行上文方法实施例中第一装置的处理相关操作，通信单元1002用于指示上文方法实施例中第一装置的收发相关操作。

例如，处理单元1001，用于获取用于与第二节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；通信单元1002，用于接收来自所述第二节点的、针对第一通信连接的释放请求，所述第一密钥用于所述第一通信连接的通信认证；所述通信单元1002，还用于向所述第二节点发送连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。

可选的，所述连接建立请求用于请求基于所述第二密钥建立连接，包括所述连接建立请求用于请求基于所述第二密钥执行认证和安全上下文协商流程。

可选的，所述通信单元1002还用于接收来自所述第二节点的基于所述第二密钥的鉴权信息；所述鉴权信息用于验证所述第二节点的身份。

可选的，所述鉴权信息用于验证所述第二节点的身份，包括所述鉴权信息用于验证是否基于所述第二密钥与所述第二节点建立第二通信连接。

可选的，所述通信单元1002还用于向所述第二节点发送基于所述第二密钥的鉴权响应，所述鉴权响应用于验证所述第一节点的身份。

可选的，所述鉴权响应用于验证所述第一节点的身份，包括用于所述第二节点验证是否基于所述第二密钥与第一节点建立所述第二通信连接。

可选的，所述释放请求中包括请求原因信息；所述请求原因信息用于指示用于通信认证的密钥更新。

可选的，所述第二密钥在第一时长内有效，所述第一时长通过定时器或者时间戳定义。

可选的，所述第二密钥在第一时刻开始的第一时长内有效，所述第一时刻为所述第一通信连接释放的时刻，或者发送所述连接建立请求的时刻。

可选的，所述处理单元1001还用于在所述第二密钥的有效期内，通过所述第二节点与第三节点的回传链路，与所述第三节点进行信息传输。

可选的，所述第一密钥是基于第一通信系统推演(或协商)的密钥，和/或，所述第二密钥是基于第二通信系统推演(或协商)的密钥，所述第一通信系统与所述第二通信系统不同。

在另一些实施例中，上述装置1000可用于实现上文方法实施例中第二装置的功能，装置1000可以是第二装置，或者配置于第二装置中的芯片或电路等。处理单元1001可用于执行上文方法实施例中第二装置的处理相关操作，通信单元1002可用于执行上文方法实施例中第二装置的收发相关操作。

例如，处理单元1001，用于获取用于与第一节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；通信单元1002用于向所述第一节点发送针对第一通信连接的释放请求，所述第一密钥用于所述第一通信连接的通信认证；所述通信单元1002，还用于接收来自所述第一节点发送的连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。

可选的，所述通信单元1002还用于向所述第一节点发送基于所述第二密钥的鉴权信息；所述鉴权信息用于验证第二节点的身份。

可选的，所述鉴权信息用于验证第二节点的身份，包括所述鉴权信息用于所述第一节点验证是否基于所述第二密钥与所述第二节点建立第二通信连接。

可选的，所述通信单元1002还用于接收来自所述第一节点的基于所述第二密钥的鉴权响应；所述鉴权响应用于验证所述第一节点的身份。

可选的，所述鉴权响应用于验证所述第一节点的身份，包括所述鉴权响应用于所述第二节点验证是否基于所述第二密钥与第一节点建立所述第二通信连接。

可选的，所述第二密钥在第一时长内有效，所述第一时长可以通过定时器或者时间戳定义。

可选的，所述第二密钥在第一时刻开始的第一时长内有效，所述第一时刻为所述第一通信连接释放的时刻，或者所述第二节点接收到所述连接建立请求的时刻。

可选的，所述处理单元1001还用于在所述第二密钥的有效期内，将来自所述第一节点的传输信息，通过所述第二节点与第三节点的回传链路，发送给所述第三节点。

可选的，在释放与所述第一节点的第一通信连之后，所述处理单元1001还用于将所述回传链路挂起。

可选的，所述处理单元1001还用于在确定与所述第一节点之间成功建立第二通信连接后，激活所述回传链路；所述第二通信连接是基于所述第二密钥进行通信认证的。

本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本申请实施例中各功能单元可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

请参见图11，图11为本申请实施例提供的装置1100的示意图，该装置1100可以为节点，或者节点中的一部件，例如芯片或集成电路等。该装置1100可包括至少一个处理器1102和通信接口1104。进一步，可选的，所述装置还可以包括至少一个存储器1101。更进一步，可选的，还可以包含总线1103。其中，存储器1101、处理器1102和通信接口1104通过总线1103相连。

其中，存储器1101用于提供存储空间，存储空间中可以存储操作系统和计算机程序等数据。本申请实施例中提及的存储器1101可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。处理器1102是进行算术运算和/或逻辑运算的模块，具体可以是中央处理器(central processing unit，CPU)、图片处理器(graphics processing unit，GPU)、微处理器(microprocessor unit，MPU)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程逻辑门阵列(field programmable gate array，FPGA)、复杂可编程逻辑器件(complex programmable logic device，CPLD)、协处理器(协助中央处理器完成相应处理和应用)、微控制单元(microcontroller unit，MCU)等处理模块中的一种或者多种的组合。

需要说明的是，当处理器为通用处理器、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

通信接口1104可以用于为所述至少一个处理器提供信息输入或者输出。和/或所述通信接口可以用于接收外部发送的数据和/或向外部发送数据，可以为包括诸如以太网电缆等的有线链路接口，也可以是无线链路(Wi-Fi、蓝牙、通用无线传输、车载短距通信技术等)接口。可选的，通信接口1104还可以包括与接口耦合的发射器(如射频发射器、天线等)，或者接收器等。

在一些实施例中，上述装置1100可以为上文方法实施例中的第一装置或者第一装置中的部件，例如芯片或者集成电路。该装置1100中的处理器1102用于读取所述存储器1101中存储的计算机程序，控制所述第一装置执行以下操作：

可选的，该第一装置中的处理器1102，还可以用于读取存储器1101中的程序并执行如图3所示的S300～S305中该第一节点执行的方法流程；或执行如图4所示的S400～S417中该第一节点执行的方法流程；或执行如图5所示的S500～S519中该第一节点执行的方法流程；或执行如图6所示的S600～S617中该第一节点执行的方法流程；或执行如图7所示的S700～S724中该第一节点执行的方法流程；或执行如图8所示的S800～S819中该第一节点执行的方法流程；或执行如图9所示的S900～S921中该第一节点执行的方法流程。

关于具体细节，可参见上文方法实施例中的记载，在此不再赘述。

在另一些实施例中，上述装置1100可以为上文方法实施例中的第二装置或者第二装置中的部件，例如芯片或者集成电路。该装置1100中的处理器1102用于读取所述存储器1101中存储的计算机程序，控制所述第二装置执行以下操作：

可选的，该第二装置中的处理器1102，还可以用于读取存储器1101中的程序并执行如图3所示的S300～S305中该第二节点执行的方法流程；或执行如图4所示的S400～S417中该第二节点执行的方法流程；或执行如图5所示的S500～S519中该第二节点执行的方法流程；或执行如图6所示的S600～S617中该第二节点执行的方法流程；或执行如图7所示的S700～S724中该第二节点执行的方法流程；或执行如图8所示的S800～S819中该第二节点执行的方法流程；或执行如图9所示的S900～S921中该第二节点执行的方法流程。

本申请实施例还提供一种终端，所述终端可以为具备短距通信功能的智能手机、笔记本、平板电脑等智能终端、鼠标、键盘、耳机、音响或者车载播放设备等。所述终端包括第一装置和/或第二装置，该第一装置和第二装置可分别为上述图3所示实施例中的第一节点和第二节点。其中，第一装置与第二装置的类型可相同或不同。

其中，图12示出了一种简化的终端设备的结构示意图。便于理解和图示方便，图12中，终端设备以手机作为例子。如图12所示，终端设备包括处理器、存储器、射频电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对终端设备进行控制，执行软件程序，处理软件程序的数据等。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。需要说明的是，有些种类的终端设备可以不具有输入输出装置。

当需要发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。为便于说明，图12中仅示出了一个存储器和处理器。在实际的终端设备产品中，可以存在一个或多个处理器和一个或多个存储器。存储器也可以称为存储介质或者存储设备等。存储器可以是独立于处理器设置，也可以是与处理器集成在一起，本申请实施例对此不做限制。

在本申请实施例中，可以将具有收发功能的天线和射频电路视为终端设备的收发单元，将具有处理功能的处理器视为终端设备的处理单元。如图12所示，终端设备包括收发单元1210和处理单元1220。收发单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器，处理单板，处理模块、处理装置等。可选的，可以将收发单元1210中用于实现接收功能的器件视为接收单元，将收发单元1210中用于实现发送功能的器件视为发送单元，即收发单元1210包括接收单元和发送单元。收发单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。

应理解，收发单元1210用于执行上述图3所示的方法实施例中第一节点侧的发送操作和接收操作，处理单元1220用于执行上述图3所示的方法实施例中第一节点侧除了收发操作之外的其他操作。

例如，在一种实现方式中，收发单元1210用于执行图3所示的实施例中的终端设备侧的收发步骤，例如S303和S305，和/或用于支持本文所描述的技术的其它过程。处理单元1220，用于执行图3所示的实施例中的终端设备侧除了收发操作之外的其他操作，例如S300，和/或用于支持本文所描述的技术的其它过程。

或者，收发单元1210用于执行上述图4所示的方法实施例中终端设备侧的发送操作和接收操作，处理单元1220用于执行上述图4所示的方法实施例中终端设备侧除了收发操作之外的其他操作。

例如，在一种实现方式中，收发单元1210用于执行图4所示的实施例中的终端设备侧的收发步骤，例如S406，和/或用于支持本文所描述的技术的其它过程。处理单元1220，用于执行图4所示的实施例中的终端设备侧除了收发操作之外的其他操作，例如S409，和/或用于支持本文所描述的技术的其它过程。

或者，收发单元1210用于执行上述图5所示的方法实施例中终端设备侧的发送操作和接收操作，处理单元1220用于执行上述图5所示的方法实施例中终端设备侧除了收发操作之外的其他操作。

例如，在一种实现方式中，收发单元1210用于执行图5所示的实施例中的终端设备侧的收发步骤，例如S508，和/或用于支持本文所描述的技术的其它过程。处理单元1220，用于执行图5所示的实施例中的终端设备侧除了收发操作之外的其他操作，例如S511，和/或用于支持本文所描述的技术的其它过程。

或者，收发单元1210用于执行上述图6所示的方法实施例中终端设备侧的发送操作和接收操作，处理单元1220用于执行上述图6所示的方法实施例中终端设备侧除了收发操作之外的其他操作。

例如，在一种实现方式中，收发单元1210用于执行图6所示的实施例中的终端设备侧的收发步骤，例如S606，和/或用于支持本文所描述的技术的其它过程。处理单元1220，用于执行图6所示的实施例中的终端设备侧除了收发操作之外的其他操作，例如S604，和/或用于支持本文所描述的技术的其它过程。

或者，收发单元1210用于执行上述图7所示的方法实施例中终端设备侧的发送操作和接收操作，处理单元1220用于执行上述图7所示的方法实施例中终端设备侧除了收发操作之外的其他操作。

例如，在一种实现方式中，收发单元1210用于执行图7所示的实施例中的终端设备侧的收发步骤，例如S706，和/或用于支持本文所描述的技术的其它过程。处理单元1220，用于执行图7所示的实施例中的终端设备侧除了收发操作之外的其他操作，例如S704，和/或用于支持本文所描述的技术的其它过程。

或者，收发单元1210用于执行上述图8所示的方法实施例中终端设备侧的发送操作和接收操作，处理单元1220用于执行上述图8所示的方法实施例中终端设备侧除了收发操作之外的其他操作。

例如，在一种实现方式中，收发单元1210用于执行图8所示的实施例中的终端设备侧的收发步骤，例如S806，和/或用于支持本文所描述的技术的其它过程。处理单元1220，用于执行图8所示的实施例中的终端设备侧除了收发操作之外的其他操作，例如S804，和/或用于支持本文所描述的技术的其它过程。

或者，收发单元1210用于执行上述图9所示的方法实施例中终端设备侧的发送操作和接收操作，处理单元1220用于执行上述图9所示的方法实施例中终端设备侧除了收发操作之外的其他操作。

例如，在一种实现方式中，收发单元1210用于执行图9所示的实施例中的终端设备侧的收发步骤，例如S905，和/或用于支持本文所描述的技术的其它过程。处理单元1220，用于执行图9所示的实施例中的终端设备侧除了收发操作之外的其他操作，例如S915，和/或用于支持本文所描述的技术的其它过程。

当该通信装置为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路、通信接口；处理单元为该芯片上集成的处理器或者微处理器或者集成电路。

本申请实施例还提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行上文实施例所描述的方法。

本申请实施例还提供一种芯片系统，该芯片系统包括至少一个处理器和接口电路。进一步可选的，所述芯片系统还可以包括存储器或者外接存储器。所述处理器用于通过所述接口电路执行指令和/或数据的交互，以实现上文方法实施例中的方法。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

本申请实施例还提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得计算机执行上文实施例所描述的方法。

在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件、协处理器等，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

本申请实施例提供的方法中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，简称DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，简称DVD))、或者半导体介质(例如，SSD)等。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种通信方法，其特征在于，所述方法包括：

获取用于与第二节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；

接收来自所述第二节点的、针对第一通信连接的释放请求，所述第一密钥用于所述第一通信连接的通信认证；

向所述第二节点发送连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。
如权利要求1所述的方法，其特征在于：

所述连接建立请求用于请求基于所述第二密钥建立连接，包括：

所述连接建立请求用于请求基于所述第二密钥执行认证和安全上下文协商流程。
如权利要求1或2所述的方法，其特征在于，所述方法还包括：

接收来自所述第二节点的基于所述第二密钥的鉴权信息；所述鉴权信息用于验证所述第二节点的身份。
如权利要求3所述的方法，其特征在于，所述方法还包括：

向所述第二节点发送基于所述第二密钥的鉴权响应，所述鉴权响应用于验证所述第一节点的身份。
如权利要求1～4任一项所述的方法，其特征在于，所述释放请求中包括请求原因信息；

所述请求原因信息用于指示用于通信认证的密钥更新。
如权利要求1～5任一项所述的方法，其特征在于，所述第二密钥在第一时长内有效，所述第一时长通过定时器或者时间戳定义。
如权利要求6所述的方法，其特征在于：

所述第二密钥在第一时刻开始的第一时长内有效，所述第一时刻为所述第一通信连接释放的时刻，或者发送所述连接建立请求的时刻。
如权利要求1～7任一项所述的方法，其特征在于，所述方法还包括：

在所述第二密钥的有效期内，通过所述第二节点与第三节点的回传链路，与所述第三节点进行信息传输。
如权利要求1～8任一项所述的方法，其特征在于，所述第一密钥是基于第一通信系统推演的密钥，和/或，所述第二密钥是基于第二通信系统推演的密钥，所述第一通信系统与所述第二通信系统不同。
一种通信方法，其特征在于，包括：

获取用于与第一节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；

向所述第一节点发送针对第一通信连接的释放请求，所述第一密钥用于所述第一通信连接的通信认证；

接收来自所述第一节点发送的连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。
如权利要求10所述的方法，其特征在于：

所述连接建立请求用于请求基于所述第二密钥建立连接，包括：

所述连接建立请求用于请求基于所述第二密钥执行认证和安全上下文协商流程。
如权利要求10或11所述的方法，其特征在于，所述方法还包括:

向所述第一节点发送基于所述第二密钥的鉴权信息；所述鉴权信息用于验证第二节点的身份。
如权利要求12所述的方法，其特征在于，所述方法还包括：

接收来自所述第一节点的基于所述第二密钥的鉴权响应；所述鉴权响应用于验证所述第一节点的身份。
如权利要求10～13任一项所述的方法，其特征在于，所述释放请求中包括请求原因信息；

所述请求原因信息用于指示用于通信认证的密钥更新。
如权利要求10～14任一项所述的方法，其特征在于，所述第二密钥在第一时长内有效，所述第一时长可以通过定时器或者时间戳定义。
如权利要求15所述的方法，其特征在于：

所述第二密钥在第一时刻开始的第一时长内有效，所述第一时刻为所述第一通信连接释放的时刻，或者所述第二节点接收到所述连接建立请求的时刻。
如权利要求10～16任一项所述的方法，其特征在于，所述方法还包括：

在所述第二密钥的有效期内，将来自所述第一节点的传输信息，通过所述第二节点与第三节点的回传链路，发送给所述第三节点。
如权利要求17所述的方法，其特征在于，在释放与所述第一节点的第一通信连之后，还包括：

将所述回传链路挂起。
如权利要求18所述的方法，其特征在于，所述方法还包括：

在确定与所述第一节点之间成功建立第二通信连接后，激活所述回传链路；所述第二通信连接是基于所述第二密钥进行通信认证的。
一种通信装置，其特征在于，包括：

处理模块，用于获取用于与第二节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；

通信模块，用于接收来自所述第二节点的、针对第一通信连接的释放请求，所述第一密钥用于所述第一通信连接的通信认证；

所述通信模块，还用于向所述第二节点发送连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。
一种通信装置，其特征在于，包括：

处理模块，用于获取用于与第一节点通信认证的第二密钥，所述第二密钥不同于预先配置的第一密钥；

通信模块，用于向所述第一节点发送针对第一通信连接的释放请求，所述第一密钥用于所述第一通信连接的通信认证；

所述通信模块，还用于接收来自所述第一节点发送的连接建立请求，所述连接建立请求用于请求基于所述第二密钥建立连接。
一种通信装置，其特征在于，包括至少一个处理器和接口电路；所述接口电路为所述至少一个处理器提供程序或者指令，所述至少一个处理器通过逻辑电路或执行程序或者指令以实现所述通信装置所在的设备执行如权利要求1至9中任一项。
一种通信装置，其特征在于，包括至少一个处理器和接口电路；所述接口电路为所述至少一个处理器提供程序或者指令，所述至少一个处理器通过逻辑电路或执行程序或者指令以实现所述通信装置所在的设备执行如权利要求10至19中任一项。
一种通信系统，其特征在于，包括如权利要求20或22所述的通信装置，以及包括如权利要求21或23所述的通信装置。
一种计算机可读存储介质，其特征在于，包括程序指令，当所述程序指令在计算机上运行时，使得所述计算机执行如权利要求1～19中任一所述的方法。
一种终端，其特征在于，包括执行如权利要求1～9中任一所述方法的第一节点，和/或，执行如权利要求10～19任一项所述方法的第二节点。