WO2023125342A1 - 通信方法、装置及系统 - Google Patents

Abstract

本申请实施例提供一种通信方法、装置及系统。该方法包括：确定第一密钥配置信息，所述第一密钥配置信息用于配置第一小区集对应的密钥；所述第一密钥配置信息包括第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种，所述第一衍生配置信息用于指示基于第一指定密钥进行衍生，所述第一衍生指示信息用于指示后续使用的衍生方式，所述第一输入参数指示信息用于指示将接入小区的次数作为衍生密钥的输入参数；第一密钥为在所述第一网络设备下的第一小区与所述第一网络设备进行通信的密钥。在本申请的一种可能的实施例中，终端可以根据密钥配置信息确定小区集内的小区对应的密钥，保障后续的信息安全。

Description

通信方法、装置及系统

相关申请的交叉引用

本申请要求在2021年12月27日提交中国专利局、申请号为202111610706.6、申请名称为“通信方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，尤其涉及通信方法、装置及系统。

背景技术

在无线通信系统中，密钥(key)用来加密终端(例如，用户设备(user equipment，UE))与所在小区(也可称为接入小区或服务小区等)对应的网络设备(例如，基站)之间传输的数据和/或信令，如数据无线承载(data radio bearer，DRB)和/或信令无线承载(signaling radio bearer，SRB)。例如，密钥可以是一个比特序列。加密后的数据和/或信令仅能通过相应的密钥解密并获得明文。

如何维护动态小区集内的密钥，保证UE在该动态小区集内接入时，UE和网络设备侧的密钥的一致性，是亟需解决的问题。

发明内容

本申请实施例提供一种通信方法、装置及系统，用以维护小区集内的密钥，保障通信的安全性。

第一方面，本申请实施例提供一种通信方法，该方法可以由终端执行，也可以由终端的部件(例如处理器、芯片、或芯片系统等)执行，以由终端执行为例，包括：在第一网络设备下的第一小区通过第一密钥与所述第一网络设备进行通信；确定第一密钥配置信息，所述第一密钥配置信息用于配置第一小区集对应的密钥；所述第一密钥配置信息包括第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种，所述第一衍生配置信息用于指示基于第一指定密钥进行衍生，所述第一衍生指示信息用于指示衍生方式，所述衍生方式包括横向衍生或纵向衍生，所述第一输入参数指示信息用于指示将接入次数作为衍生密钥的输入参数。在该方案中，终端确定第一密钥配置信息，可以使得在终端对应的小区集内确保终端接入网络设备时在不触发切换流程的情况下及时获得对应密钥，保障了终端与网络设备之间的信息安全。

可选的，所述方法还包括；根据所述第一密钥配置信息确定第二密钥，所述第二密钥为与所述第一小区集中的第二小区对应的网络设备进行通信的密钥

可选的，所述确定第一密钥配置信息包括：接收来自所述第一网络设备的所述第一密 钥配置信息。

可选的，所述确定第一密钥配置信息包括：所述第一密钥配置信息是预定义的或预配置的。

可选的，所述第一衍生指示信息用于指示所述终端根据横向衍生方式确定接入所述第一小区集内的小区的密钥，可以理解为第一衍生指示信息用于指示终端后续仅使用横向衍生方式。

在一种可能的实施方式中，所述方法还包括：向所述第二小区发送接入消息。

一种可能的方式中，所述发送接入消息包括向所述第二小区发送前导码。

又一种可能的方式中，所述发送接入消息包括指示接入第二小区，可以理解为，指示终端接入到第二小区了。

在一种可能的实施方式中，所述根据所述第一密钥配置信息确定第二密钥包括：根据所述第一密钥配置信息和所述第二小区对应的小区信息确定所述第二密钥，所述小区信息包括下行频率信息和物理小区标识信息中的一种或多种。

可选的，所述第一指定密钥包括所述第一密钥或所述第二小区对应的一个或多个历史密钥中最新的历史密钥或原始小区对应的密钥，所述原始小区指的是确定所述第一小区集的小区。可选的，确定所述第一小区集包括生成或更新所述第一小区集。

可选的，第二小区为目标小区。

可选的，根据接入次数信息确定哪个历史密钥为最新的历史密钥。

可选的，确定第二密钥的方式是预定义的或预配置的。

在一种可能的实施方式中，所述方法还包括：确定所述第一小区集或者更新所述第一小区集。可选的，接收来自所述第一网络的第一小区集配置信息，所述第一小区集配置信息用于配置所述第一小区集。根据所述第一小区集配置信息确定所述第一小区集。

可选的，第一小区集配置信息包括所述第一密钥配置信息。

在一种可能的实施方式中，所述方法还包括：存储所述第一密钥和/或所述第二密钥。

可选的，在与所述第二小区断开连接后，将所述第二密钥作为所述第二小区对应的历史密钥。可选的，在与所述第一小区断开连接后，将所述第一密钥作为所述第一小区对应的历史密钥。

可选的，终端根据实现确定是否删除历史密钥用于省出存储空间和避免存储过多的历史密钥，例如删除部分所述第二小区对应的历史密钥。

可选的，所述接入次数包括接入所述第一小区集中的小区的次数，和/或，接入所述第一小区集和非所述第一小区集中的小区的次数，和/或，接入所述第二小区的次数。例如，接入次数为第二小区加入第一小区集后，终端接入第二小区的次数。

在一种可能的实施方式中，所述方法还包括：接收来自所述第二小区对应的网络设备的第二密钥配置信息，所述第二密钥配置信息用于配置所述第一小区集对应的密钥；所述第二密钥配置信息包括第二衍生配置信息、第二衍生指示信息和第二输入参数指示信息中的一种或多种，所述第二衍生配置信息用于指示基于第二指定密钥进行衍生，所述第二衍生指示信息用于指示衍生方式，所述第二输入参数指示信息用于指示将接入次数作为衍生密钥的输入参数；根据所述第二密钥配置信息衍生出第三密钥，所述第三密钥为与所述第一小区集中的第三小区对应的网络设备进行通信的密钥。

可选的，所述第二指定密钥包括所述第二密钥或所述第三小区对应的一个或多个历史密钥中最新的历史密钥。

可选的，所述第一小区集为动态小区集。

可选的，所述密钥用于执行数据和/或信令的安全保护，所述安全保护包括加密和/或完整性保护。

第二方面，本申请实施例提供一种通信方法，该方法可以由网络设备(例如第一网络设备)执行，也可以由网络设备的部件(例如处理器、芯片、或芯片系统等)执行，以由网络设备执行为例，包括：在第一小区通过第一密钥与终端进行通信；衍生第一密钥集，所述第一密钥集包括Q个密钥，所述Q个密钥与第一小区集中的N个小区存在对应关系，所述N个小区为M个网络设备下的小区，所述第一小区集与所述终端对应，其中，Q、N和M为大于等于1的整数；向所述第一小区集中的第二小区对应的网络设备发送第二密钥信息，所述第二密钥信息包括第二候选密钥，其中，所述第一密钥集包括所述第二候选密钥，所述第二密钥信息用于配置所述第二小区对应的密钥。在该方案中，当前服务终端的小区对应的网络设备主动向第一小区集其他网络设备发送候选密钥，使得终端在第一小区集内接入时，网络设备能够及时获取密钥保证了通信的安全性。

可选的，所述方法还包括：向所述终端发送第一密钥配置信息，所述第一密钥配置信息用于配置第一小区集对应的密钥；所述第一密钥配置信息包括第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种，所述第一衍生配置信息用于指示基于第一指定密钥进行衍生，所述第一衍生指示信息用于指示衍生方式，所述衍生方式包括横向衍生或纵向衍生，所述第一输入参数指示信息用于指示将所述终端接入次数作为衍生密钥的输入参数，所述第一小区集与所述终端对应。在该方案中，向终端发送小区集对应的密钥配置信息，使得终端及时生成密钥，保证了通信的安全性。

在一种可选的实施方式中，所述衍生第一密钥集包括：根据所述第一密钥、下一跳信息和所述第一小区集中的小区的信息中的一种或多种衍生所述第一密钥集，所述小区信息包括下行频率信息和物理小区标识信息中的一种或多种。

可选的，所述第一指定密钥包括所述第一密钥或所述终端在所述第一小区集中的目标小区对应的一个或多个历史密钥中最新的历史密钥。

可选的，所述第一衍生指示信息用于指示所述终端根据横向衍生方式确定接入所述第一小区集内的小区的密钥，可以理解为第一衍生指示信息用于指示终端后续仅使用横向衍生方式。

可选的，所述接入次数包括所述终端接入所述第一小区集中的小区的次数，和/或，所述终端接入所述第一小区集和非所述第一小区集中的小区的次数，和/或，接入所述第一小区集中的目标小区的次数。

可选的，所述Q个密钥与第一小区集中的N个小区存在对应关系包括：所述Q个密钥与所述N个小区一一对应，其中Q＝N。

可选的，所述衍生第一密钥集包括：当衍生所述第一密钥集时，将所述终端接入次数作为衍生输入参数之一。

可选的，所述方法还包括：确定所述第一小区集，所述确定所述第一小区集包括：获取所述第一小区集，或者，更新所述第一小区集。

可选的，所述方法还包括：存储所述第一密钥，在与所述终端断开在所述第一小区的连接后，将所述第一密钥作为所述第一小区对应的历史密钥。

可选的，所述方法还包括：与所述终端断开在所述第一小区的连接。

可选的，所述方法还包括：接收来自所述终端的接入消息，所述接入消息用于指示接入所述第一小区；确定第三密钥，所述第三密钥为与所述终端在所述第一小区进行通信的密钥。

可选的，所述确定第三密钥包括：根据所述第一小区对应的一个或多个历史密钥中最新的历史密钥确定所述第三密钥。

可选的，所述方法还包括：存储所述第三密钥，在与所述终端断开在所述第一小区的连接后，将所述第三密钥作为所述第一小区对应的历史密钥。

可选的，所述确定第三密钥包括：接收来自所述M个网络设备中的至少一个网络设备发送的与所述第一小区对应的至少一个密钥；根据所述至少一个密钥中最新的密钥确定所述第三密钥。

第三方面，本申请实施例提供一种通信方法，该方法可以由网络设备(例如第二网络设备)执行，也可以由网络设备的部件(例如处理器、芯片、或芯片系统等)执行，以由网络设备执行为例，包括：接收第一网络设备发送的第二密钥信息，所述第二密钥用于配置第一小区集中的第二小区对应的密钥，所述第二密钥信息包括第二候选密钥；所述第一网络设备为所述第一小区集中的第一小区对应的网络设备，所述第一小区集与终端对应；根据所述第二密钥信息、第二小区对应的一个或多个历史密钥中最新的历史密钥和接入次数中的一种或多种确定第二密钥，所述历史密钥包括所述终端与所述第二小区之间的历史密钥；所述第二密钥为与所述终端在所述第二小区进行通信的密钥。通过该方案，第一小区集中的网络设备通过接收第一网络设备发送的密钥信息确定终端在小区集接入时使用的通信密钥，保证了通信的安全性。

可选的，所述确定第二密钥包括：在所述终端首次接入所述第二小区时，将所述第二候选密钥作为所述第二密钥。

可选的，所述确定第二密钥包括：在所述终端非首次接入所述第二小区时，根据所述第二小区对应的一个或多个历史密钥中最新的历史密钥确定所述第二密钥。

可选的，所述方法还包括：接收来自所述终端的接入消息。

可选的，所述方法还包括：存储所述第二密钥。可选的，在与所述终端断开在所述第二小区的连接后，将所述第二密钥作为所述第二小区对应的历史密钥。

第四方面，提供一种通信装置。该通信装置可以为上述第一至第三方面中任意一方面所述的终端设备，或者为配置在所述终端设备中的电子设备，或者为包括所述终端设备的较大设备。所述终端设备包括用于执行上述方法的相应的手段(means)或模块。例如，所述通信装置：包括处理单元(有时也称为处理模块)和收发单元(有时也称为收发模块)。其中，所述处理模块用于确定第一密钥配置信息，所述第一密钥配置信息用于配置第一小区集对应的密钥。

可选的，所述处理单元用于根据所述第一密钥配置信息确定第二密钥，所述第二密钥为与所述第一小区集中的第二小区对应的网络设备进行通信的密钥。

又例如，所述处理单元与存储单元耦合，用于执行存储单元中的指令，以实现上述第 一至第三方面任意一方面中终端所执行的方法。

又例如，所述通信装置包括：处理器，与存储器耦合，用于执行存储器中的指令，以实现上述第一至第三方面任意一方面中终端所执行的方法。可选的，该通信装置还包括其他部件，例如，天线，输入输出模块，接口等等。这些部件可以是硬件，软件，或者软件和硬件的结合。

第五方面，提供一种通信装置。所述通信装置可以为上述第一至第三方面中任意一方面所述的第一网络设备和/或第二网络设备。所述通信装置具备上述第一网络设备的功能，上述第二网络设备的功能，或者，上述第一网络设备和第二网络设备的功能。所述通信装置可以作为第一终端的第一网络设备，也可以作为第二终端的第二网络设备。所述第一网络设备和/或第二网络设备：例如为基站，或为基站中的基带装置。一种可选的实现方式中，所述通信装置包括基带装置和射频装置。另一种可选的实现方式中，所述通信装置包括处理单元(有时也称为处理模块)和收发单元(有时也称为收发模块)。

所述处理单元，用于在第一小区通过第一密钥与终端进行通信；

所述处理单元，还用于衍生第一密钥集；

所述收发单元，用于向所述第一小区集中的第二小区对应的网络设备发送第二密钥信息，所述第二密钥信息包括第二候选密钥。

可选的，所述收发单元，还用于向所述终端发送第一密钥配置信息，所述第一密钥配置信息用于配置第一小区集对应的密钥。

在一种可选的实现方式中，所述处理单元与存储单元耦合，并执行存储单元中的程序或指令，使能所述通信装置执行上述第一网络设备的功能，和/或第二网络设备的功能。

在一种可选的实现方式中，所述通信装置包括处理器，用于与存储器耦合，并执行存储器中的程序或指令，使能所述通信装置执行上述第一网络设备的功能，和/或第二网络设备的功能。

第六方面，提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序或指令，当其被运行时，使得上述各方面中终端设备，或第一网络设备，或第二网络设备所执行的方法被实现。

第七方面，提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得上述各方面所述的方法被实现。

第八方面，本申请实施例还提供一种芯片系统，包括：处理器，用于执行上述第一方面至第三方面的方法，第一方面至第三方面的各可能的实现方法中的任意方法。

第九方面，提供一种通信系统，所述通信系统包括：如上述第一方面任一种可能方式中的终端和如上述第二方面任一种可能方式中的第一网络设备。可选的，所述通信系统还包括上述第二网络设备。

其中，第四方面至第九方面中任一种实现方式所带来的技术效果可参见上述任意方面的任一种可能的设计所述的方法所带来的技术效果，不再赘述。

附图说明

图1A为本申请实施例所适用的一种网络架构示意图；

图1B为本申请实施例的一种应用场景的示意图；

图1C为本申请实施例的另一种应用场景的示意图；

图1D为本申请实施例的又一种应用场景的示意图；

图2为本申请实施例提供的一种小区集的示意图；

图3为本申请实施例提供一种通信方法示意图；

图4为本申请实施例提供又一种通信方法示意图；

图5为本申请实施例提供又一种通信方法示意图；

图6为本申请实施例提供的通信装置的一种示意性框图；

图7为本申请实施例提供的终端设备的一种示意性框图；

图8为本申请实施例提供的网络设备的一种示意性框图。

具体实施方式

本申请实施例提供的技术可以应用于图1A所示的通信系统10中，通信系统10包括一个或多个通信装置30(例如，终端)经由一个或多个接入网设备20(例如基站)连接到一个或多个核心网设备，以实现多个通信设备之间的通信。所述通信系统例如可以支持2G,3G,4G,或5G(有时也称为new radio，NR)接入技术的通信系统，无线保真(wireless fidelity，WiFi)系统，第三代合作伙伴计划(3rd generation partnership project，3GPP)相关的蜂窝系统，支持多种无线技术融合的通信系统，或者是面向未来的演进系统。

以下，对本申请实施例中的部分用语进行解释说明，以便于本领域技术人员理解。

本申请中，终端(也可称为终端设备)是一种具有无线收发功能的设备，可以是固定设备，移动设备、手持设备(例如手机)、穿戴设备、车载设备，或内置于上述设备中的无线装置(例如，通信模块，调制解调器，或芯片系统等)。所述终端设备用于连接人，物，机器等，可广泛用于各种场景，例如包括但不限于以下场景：蜂窝通信、设备到设备通信(device-to-device，D2D)、车到一切(vehicle to everything，V2X)、机器到机器/机器类通信(machine-to-machine/machine-type communications，M2M/MTC)、物联网(internet of things，IoT)、虚拟现实(virtual reality，VR)、增强现实(augmented reality，AR)、工业控制(industrial control)、无人驾驶(self driving)、远程医疗(remote medical)、智能电网(smart grid)、智能家具、智能办公、智能穿戴、智能交通，智慧城市(smart city)、无人机、机器人等场景的终端设备。所述终端设备有时可称为用户设备(user equipment，UE)、终端、接入站、UE站、远方站、无线通信设备、或用户装置等等，为描述方便，本申请中将终端设备以UE为例进行说明。

本申请中的网络设备，例如包括接入网设备，和/或核心网设备。所述接入网设备为具有无线收发功能的设备，用于与所述终端设备进行通信。所述接入网设备包括但不限于上述通信系统中的基站(BTS,Node B,eNodeB/eNB，或gNodeB/gNB)、收发点(transmission reception point,TRP)，3GPP后续演进的基站，WiFi系统中的接入节点，无线中继节点，无线回传节点等。所述基站可以是：宏基站，微基站，微微基站，小站，中继站等。多个基站可以支持上述提及的同一种接入技术的网络，也可以支持上述提及的不同接入技术的网络。基站可以包含一个或多个共站或非共站的传输接收点。网络设备还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器、集中单元(centralized unit，CU)，和/或分布单元(distributed unit，DU)。网络设备还可以是服务器，可穿戴设备，或 车载设备等。例如，V2X技术中的网络设备可以为路侧单元(road side unit，RSU)。以下对接入网设备以为基站为例进行说明。所述通信系统中的多个网络设备可以为同一类型的基站，也可以为不同类型的基站。基站可以与终端设备进行通信，也可以通过中继站与终端设备进行通信。终端设备可以与不同接入技术中的多个基站进行通信。所述核心网设备用于实现移动管理，数据处理，会话管理，策略和计费等功能。不同接入技术的系统中实现核心网功能的设备名称可以不同，本申请并不对此进行限定。以5G系统为例，所述核心网设备包括：访问和移动管理功能(access and mobility management function，AMF)、会话管理功能(session management function，SMF)、或用户面功能(user plane function，UPF)等。

本申请实施例中，用于实现网络设备功能的通信装置可以是网络设备，也可以是能够支持网络设备实现该功能的装置，例如芯片系统，该装置可以被安装在网络设备中。在本申请实施例提供的技术方案中，以用于实现网络设备的功能的装置是网络设备为例，描述本申请实施例提供的技术方案。

图1B示出了本申请提供的通信系统10中的一种通信网络架构，后续提供的实施例(例如图3所述的实施例)均可适用于该架构。第一网络设备是终端设备(后续以UE为例进行说明)的源网络设备(或称为，工作网络设备，或服务网络设备)，第二网络设备为UE的目标网络设备(或称为，备用网络设备)，即切换后为UE提供服务的网络设备。需要说明的是，本申请中，所述的“切换”，是指为UE提供服务的小区发生变化，例如为UE新增服务小区，所述“切换”可以指，由于为UE提供服务的小区发生变化而造成的切换。本申请实施例并不限定所述UE是否断开与源服务小区的连接。为方便描述，以网络设备为基站为例进行描述。例如，当源网络设备(例如基站1)在源小区(例如小区1)为UE提供服务时，UE向第一小区集内的其他小区(例如小区2，可称为目标小区)发起了接入请求，后续小区2为UE提供服务。容易理解的，UE在接入小区2之前或之后或接入过程中可以断开与小区1的连接，当然了，UE也可以保留与小区1的连接，本申请实施例并不限定。可以理解的是，所述源网络设备、目标网络设备，源小区和目标小区是相对的概念，例如，相对于一个UE，在时刻1，基站1在小区1下为UE提供服务，基站1为UE的源网络设备，小区1为UE的源小区；UE将基站2下的小区2作为下一个接入的小区，基站2为UE的目标网络设备，小区2为UE的目标小区。在时刻2，UE1断开了与小区1的连接，基站2在小区2下为UE提供服务，UE将基站1下的小区1作为下一个接入的小区，则基站2为UE的源网络设备，小区2为UE的源小区，基站1为UE的目标网络设备，小区1为UE的目标小区。

所述第一网络设备和所述第二网络设备可以是两个不同的设备，例如，第一网络设备和第二网络设备是两个不同的基站。可选的，所述第一网络设备和第二网络设备也可以是同一个设备中的两套功能模块。所述功能模块可以是硬件模块，或软件模块，或者硬件模块与软件模块。例如，所述第一网络设备和所述第二网络设备位于同一个基站中，是该基站中的两个不同的功能模块。

所述第一网络设备和所述第二网络设备可以是一个设备，本申请实施例并不限定。图3中，所述第一网络设备和所述第二网络设备位于一个虚线框中，表示，所述第一网络设备和所述第二网络设备对于UE来说可以是同一个网络设备也可以是不同的网络设备。在后续 描述中，第一网络设备、第二网络设备、以及终端(以UE为例)可以分别为图1B中所示网络架构中的第一网络设备，第二网络设备以及UE。在本申请的各个实施例所对应的附图中，用虚线表示的步骤，是可选的步骤，在后文中不多赘述。

图1C示出了本申请提供的通信系统10中的另一种通信网络架构。如图1C所示，通信系统包括核心网(new core，CN)和无线接入网(radio access network，RAN)。其中RAN中的网络设备(例如，基站)包括基带装置和射频装置。基带装置可以由一个或多个节点实现，射频装置可以从基带装置拉远独立实现，也可以集成基带装置中，或者部分拉远部分集成在基带装置中。RAN中的网络设备可以包括集中单元(CU)和分布单元(DU)，多个DU可以由一个CU集中控制。CU和DU可以根据其具备的无线网络的协议层功能进行划分，例如PDCP层及以上协议层的功能设置在CU，PDCP以下的协议层，例如RLC层和MAC层等的功能设置在DU。需要说明的是，这种协议层的划分仅仅是一种举例，还可以在其它协议层划分。射频装置可以拉远，不放在DU中，也可以集成在DU中，或者部分拉远部分集成在DU中，本申请不作任何限制。

图1D示出了本申请提供的通信系统10中的另一种通信网络架构。相对于图1C所示的架构，还可以将CU的控制面(CP)和用户面(UP)分离，分成不同实体来实现，分别为控制面CU实体(CU-CP实体)和用户面CU实体(CU-UP实体)。在该网络架构中，CU产生的信令可以通过DU发送给UE，或者UE产生的信令可以通过DU发送给CU。DU可以不对该信令进行解析而直接通过协议层封装而透传给UE或CU。在该网络架构中，将CU划分为作为RAN侧的网络设备，此外，也可以将CU划分作为CN侧的网络设备，本申请对此不做限制。

图2示出了本申请实施例提供的一种小区集的示意图，本申请实施例可以应用于小区集(例如动态小区集)内的小区组(cell group,CG)数量大于等于2的场景。本发明也可以适用动态小区集内的CG数量等于1的场景。例如，当CG内的小区数大于或等于2时，UE在CG内的主小区变化或切换的场景。针对这种场景，UE在同一个基站下的不同主小区切换，不同主小区对应的密钥可以变也可以不变，可以由基站实现确定。示例性的，如图2所示，动态小区集包括3个CG，每个CG包括1个或多个小区，图中每个CG仅画出了一个小区。UE可以在动态小区集内的小区接入时，根据本申请实施例提供的方法维护密钥。

在传统的移动性管理中，UE从旧小区组(cell group，CG)的小区接入到新小区组的小区(即新基站下的小区)时需要触发切换(handover，HO)流程，即新小区从旧小区获得UE上下文，然后旧小区删除UE的上下文。但当UE再接入回旧小区时，则需要再走一遍HO流程，使该小区获取UE的上下文，造成了信令和资源的浪费。

示例性的，UE或基站衍生密钥可以有多种方式，例如横向衍生和纵向衍生。横向衍生是指密钥(例如KgNB*)是从当前的密钥(KgNB)衍生出来的，纵向衍生是指KgNB*是从下一跳(next hop，NH)信息衍生出来的。一种可能的方式中，根据下一跳链路计数器(next hop chaining count，NCC)信息和NH信息确定密钥衍生方式，例如当没有可用的{NCC,NH}对时，则使用横向衍生，否则用可用的NH做纵向衍生。

一种可能的实现中，NH也是密钥(key)，纵向衍生时即是从NH衍生出新的kgNB*。NH只在UE和核心网设备侧计算，接入网设备侧的NH不由自己计算，而是由核心网设备 下发。且UE、AMF、gNB都只有一份NH(可以理解为用完即删)。空口不下发NH，但是会下发NCC(例如携带在切换命令或无线链路控制恢复或者无线链路重建立消息中。NH和NCC是成对的，NH的计数器(counter)后三位就是NCC，所以NCC取值是0-7。通过NCC来实现UE和网络侧的同步。基站侧的NH和NCC是核心网设备发给基站的。核心网设备和UE用相同的方法在几乎相同的时机生成同样的NH和NCC。容易理解的，上述仅为UE或网络设备衍生密钥的举例，不造成限定，也可以采取其他方式。

为了使UE在多个小区或小区组接入时，不频繁触发HO流程，可以采用动态小区集(dynamic cell set，DCS)技术。在动态小区集内，每个小区或小区组都存有UE的上下文，当UE接入到新小区的时候，不需要走一遍传统的HO切换流程来获得UE的上下文。UE可以在该动态小区集内的多个小区/小区组间动态的接入，不需要触发切换流程。

动态小区集机制可以理解为动态小区集中的一个或多个CG仅一个CG激活，CG之间不区分主辅。激活表示UE驻留在该CG，并由其提供服务。CG之间不区分主辅，比如，在DCS中，可以不像双连接(dual connectivity,DC)一样区分主小区组(master cell group，MCG)或者辅小区组(secondary cell group，SCG)，所有CG都是MCG。每一个CG与核心网设备之间，至少有控制面连接，可以还有用户面连接。多个CG可以属于相同的基站，也可以属于不同的基站。一个CG可以属于一个基站，也可以属于多个基站。一般情况下，多个CG属于不同的基站，一个CG属于一个基站。

如何维护动态小区集内的密钥，保证UE在该动态小区集内接入时，UE和网络设备侧的密钥的一致性，是亟需解决的问题。

本申请中，对于名词的数目，除非特别说明，表示“单数名词或复数名词”，即"一个或多个”。“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。例如，A/B，表示：A或B。“以下至少一项(个)”后中的一种或多种或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，表示：a,b,c,a和b,a和c,b和c,或a和b和c，其中a,b,c可以是单个，也可以是多个。

本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分，不用于限定多个对象的大小、内容、顺序、时序、优先级或者重要程度等。例如，第一密钥配置信息和第二密钥配置信息，可以是同一个配置信息，也可以是不同的配置信息，且，这种名称也并不是表示这两个配置信息的信息量大小、内容、优先级或者重要程度等的不同。

为了更清楚、完整介绍本申请的技术方案，以下结合附图对本申请部分实施例进行说明。

图3示出了本申请实施例提供的一种通信方法300。

S301：终端在第一网络设备下的第一小区通过第一密钥与第一网络设备进行通信。

终端确定第一密钥配置信息，该第一密钥配置信息用于配置第一小区集对应的密钥。

一种可能的方式中，第一网络设备向终端发送第一密钥配置信息，该第一密钥配置信息用于配置第一小区集对应的密钥。

其中，第一小区集为该终端对应的小区集，例如，第一小区集为该终端的动态小区集。

相应的，终端接收来自第一网络设备的第一密钥配置信息。

又一种可能的方式中，第一密钥配置信息是预定义或预配置的。例如，可能协议规定终端基于各小区历史密钥衍生新密钥，且执行横向衍生，则不需要第一网络设备向终端发送第一密钥配置信息。

第一密钥配置信息包括NCC信息、第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种。

示例性的，第一密钥配置信息包括第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种。

其中，第一衍生配置信息用于指示基于第一指定密钥进行衍生，也就是指示终端根据第一指定密钥衍生新密钥。第一指定密钥包括第一密钥或终端在第一小区集中的目标小区(例如第二小区)对应的一个或多个历史密钥中最新的历史密钥或原始小区对应的密钥。可选的，根据终端接入次数确定哪个历史密钥为最新的历史密钥。通过第一衍生配置信息，可以指示终端根据终端的当前小区对应的密钥或终端在第一小区集中的目标小区对应的历史密钥衍生新的密钥。

第一衍生指示信息用于指示衍生方式，衍生方式包括横向衍生或纵向衍生。一种可能的实现方式中，第一衍生指示信息用于指示所述终端根据横向衍生方式确定接入所述第一小区集内的小区的密钥，可以理解为第一衍生指示信息用于指示终端后续仅使用横向衍生方式。

第一输入参数指示信息用于指示将终端接入次数作为衍生密钥的输入参数。其中，接入次数包括接入特定小区的接入次数，例如，接入次数包括终端接入第二小区的次数。可选的，接入次数包括终端接入第一小区集中的小区的次数，和/或，终端接入第一小区集和非所述第一小区集中的小区的次数。容易理解的，第一输入参数指示信息也可以称为第一衍生输入参数指示信息。特定小区可以是源小区或目标小区。

可选的，方法300还可以包括:第一网络设备确定第一小区集，所述确定第一小区集包括：获取第一小区集，或者，更新第一小区集。

可选的，第一小区集包括所述第一小区，或者，所述第一小区集不包括所述第一小区，并不限定。容易理解的，本申请实施例并不限定第一网络设备确定第一小区集的时机。示例性的，第一网络设备确定第一小区集包括，第一网络设备添加其他小区为第一小区集中的小区。可选的，第一网络设备确定第一小区集包括：第一网络设备接收其他网络设备发送的所述第一小区集。

S302：终端确定第二密钥，第二密钥为与第一小区集中的第二小区对应的网络设备进行通信的密钥。

一种可能的方式：确定第二密钥包括根据第一密钥配置信息确定第二密钥。

可选的，第一密钥配置信息是预定义的或预配置的。

可以理解为，该第一密钥配置信息用于终端确定密钥，该密钥包括终端在该第一小区集中的一个或多个小区下与网络设备进行通信的密钥。

一种可能的实现方式中，终端根据第一密钥配置信息确定第二密钥，可以替换为，终端根据第一指定密钥，第一密钥配置信息的部分或全部信息、小区信息和接入次数信息、下一跳信息中的一种或多种确定第二密钥。

一种可能的实现方式中，终端根据第一密钥配置信息和第二小区对应的小区信息确定第二密钥，小区信息包括下行频率信息和物理小区标识信息中的一种或多种。

例如，在第一指定密钥为第一密钥的情况下，终端根据第一密钥确定第二密钥。也可称为，根据第一密钥衍生第二密钥。也就是说，在衍生第二密钥时，将第一密钥作为输入参数之一。容易理解的，还可以有其他输入参数，例如，小区信息、接入次数等，本申请并不限定。

再例如，在第一指定密钥为原始小区对应的密钥时，终端根据原始小区对应的密钥确定第二密钥。也就是说，在衍生第二密钥时，将原始小区对应的密钥作为输入参数之一。

再例如，在第一指定密钥为第二小区对应的一个或多个历史密钥中最新的历史密钥的情况下，终端根据该第二小区对应的最新的历史密钥确定第二密钥，也就是将该最新的历史密钥作为衍生第二密钥的输入参数之一。可选的，终端有多种确定最新的历史密钥的方式，例如，根据终端接入次数确定，或者根据历史密钥对应的时间信息确定，再或者，终端标记该最新的历史密钥，本申请并不限定。

可选的，第二小区为目标小区。也就是说，第二小区为终端目标接入小区。

在步骤S302中，终端根据第一密钥配置信息衍生第二密钥具有多种可能的实现方式，例如，UE确定通信密钥的方式一：

UE根据密钥配置信息衍生第二密钥。

一种可能的方式中，UE的服务小区基站将衍生的密钥发送给动态小区集内其它小区，并将动态小区集配置信息包括密钥配置信息发送给UE或者密钥配置信息是预定义的。UE根据密钥配置衍生与目标小区进行通信的第二密钥。也就是说，UE动态的根据密钥配置信息衍生第二密钥。一种可能的实现方式中，UE每接入一次小区，就重新获取密钥配置信息。可选的，在动态小区集内，UE接入一个新小区时，UE利用在上一个小区的通信密钥衍生在当前小区的通信密钥。

UE确定通信密钥的方式二：

UE根据在原始小区使用的密钥或者本小区的历史密钥衍生在本小区使用的新密钥。其中，原始小区指的是确定该第一小区集的小区，也就是说，原始小区对应的网络设备将其他小区添加为第一小区集的小区。容易理解的，还包括UE存储原始小区使用的密钥，以及存储第一小区集的部分或者全部小区的历史密钥。

可选的，方法300还包括步骤S303：第一网络设备衍生第一密钥集。

一种可能的方式中，第一网络设备衍生第一密钥集包括：根据第一密钥、下一跳信息和第一小区集中的小区的信息中的一种或多种衍生第一密钥集，小区信息包括下行频率信息和物理小区标识信息中的一种或多种。

例如，第一密钥集包括Q个密钥，Q个密钥与第一小区集中的N个小区存在对应关系，N个小区为M个网络设备下的小区，第一小区集与该终端对应，其中，Q、N和M为大于或等于1的整数。一种可能的实现中，Q和N为大于或等于2的整数。

例如，Q个密钥与N个小区一一对应，也就是说，Q＝N。

再例如，Q个密钥与N个小区对应，Q大于N，本申请实施例中密钥与小区对应可以理解为，该密钥是对应小区的密钥，与该小区存在映射关系。例如，在衍生该密钥时，将与该密钥对应小区的小区信息作为衍生参数之一。

可选的，第一网络设备衍生第一密钥集时，将接入次数作为一个衍生密钥的输入参数。

可选的，第一网络设备存储第一密钥，在与终端断开在第一小区的连接后，将第一密钥作为第一小区对应的历史密钥。

容易理解的，本申请实施例不限定步骤S301与S303或S304执行的先后顺序。例如，S301在S303或S304之后执行。

S304：第一网络设备向该第一小区集中的第二小区对应的网络设备(以下简称为第二网络设备)发送第二密钥信息，该第二密钥信息用于配置第二小区对应的密钥。可选的，第二密钥信息包括第二候选密钥。

相应的，第二网络设备接收该第二密钥信息。容易理解的，第二网络设备可以与第一网络设备为相同或不同的网络设备，本申请并不限定。

步骤S304可以理解为第一网络设备向第一小区集对应的一个或多个网络设备分发第一密钥集中的密钥。

容易理解的，步骤S304是可选步骤。例如，第一网络设备为添加或更新第一小区集的网络设备时，可以执行步骤S304。再例如，第一网络设备不是添加或更新第一小区集的网络设备时，第一网络设备可以不执行步骤S304。

容易理解的，本申请实施例不限定步骤S304执行的顺序，例如，步骤S304可以在衍生第一密钥集时执行，也可以在衍生第一密钥集之后执行。

S305：第二网络设备确定第二密钥，所述第二密钥为第二网络设备与终端在第二小区进行通信的密钥。

示例性的，第二网络设备根据第二密钥信息、终端相关的信息、第一小区集相关的信息、终端接入次数信息和第二小区对应的历史密钥信息中的一种或多种确定通信密钥为第二密钥。

其中，终端相关的信息包括终端的标识信息或终端的接入次数信息等。第一小区集相关的信息包括第二网络设备对应的NCC信息，小区标识信息等。历史密钥信息包括第一小区集中的小区对应的历史密钥信息，例如，第二小区对应的历史密钥。

例如，第二网络设备根据第二密钥信息、第二小区对应的一个或多个历史密钥中最新的历史密钥和接入次数中的一种或多种确定第二密钥，其中，历史密钥包括所述终端与第二小区之间的历史密钥。

再例如，在终端首次接入第二小区时，将第二候选密钥作为第二密钥。

再例如，在终端非首次接入第二小区时，根据第二小区对应的一个或多个历史密钥中最新的历史密钥确定第二密钥。

在步骤S305中，第二网络设备确定在第二小区下与终端进行通信的密钥具有多种可能的实现方式，例如：

第二网络设备确定通信密钥的方式一：

当前小区对应的网络设备(例如第二小区对应的第二网络设备)可以接收上一个小区(例如第一小区)对应的网络设备发送来的衍生后的密钥，并以此作为与UE的通信密钥，而且由此衍生第一小区集内其他小区密钥并发送给对应小区的网络设备。

第二网络设备确定通信密钥的方式二：

第二网络设备在对应的第二小区使用接收到的或者根据第二小区历史密钥衍生的第二 小区新密钥与UE通信。可选的，接收到的密钥指的是第二小区对应的网络设备接收到原始小区对应的网络设备发送的密钥。

S306：终端向第二网络设备发送接入消息。

相应的，第二网络设备接收该接入消息。可选的，该接入消息用于指示接入第二小区，一种可能的方式中，该接入消息包括前导码。又一种可能的方式中，接入消息用于指示第二网络设备，该终端接入到第二小区。

步骤S306可以理解为第二网络设备通过第二密钥在第二小区与终端进行通信。

容易理解的，步骤S306可以在步骤S302之前或步骤S302之后也就是在，终端向第二小区发起接入之后再确定第二密钥，也可以在发起接入过程之前确定第二密钥。类似的，步骤S306可以发生在步骤S303-S305之前，之中或之后。

可选的，方法300还包括终端存储第二密钥，在与第二小区断开连接后，将第二密钥作为第二小区对应的历史密钥。

可选的，方法300还包括第二网络设备存储第二密钥，在与终端断开在第二小区的连接后，将第二密钥作为第二小区对应的历史密钥。

可选的，方法300还包括步骤307：第一网络设备与终端断开在第一小区的连接。容易理解的，本申请不限定断开在第一小区的连接的时机，例如可以在向第二小区发起接入请求之后断开与第一小区的连接。

示例性的，方法300还包括：步骤308：终端向第一网络设备发起接入第一小区的请求消息。相应的，第一网络设备接收来自终端的接入消息，接入消息用于指示接入第一小区；容易理解的，可以理解为终端重接入第一小区。

方法300还包括：步骤309：确定第三密钥，第三密钥为与终端在第一小区进行通信的密钥。

例如，第一网络设备根据第一小区对应的一个或多个历史密钥中最新的历史密钥确定第三密钥。

再例如，接收来自第一小区集内的M个网络设备中的至少一个网络设备发送的与所述第一小区对应的至少一个密钥；根据所述至少一个密钥中最新的密钥确定所述第三密钥。

容易理解的，第一网络设备确定第三密钥的方式可以参考步骤S305中第二网络设备确定第二密钥的方式。

在该方法中，通过第一网络设备向小区集的其他网络设备分发密钥信息或者小区集内的网络设备基于历史密钥衍生新密钥，或者第一网络设备向终端发送密钥配置信息或者协议预配置密钥配置信息，使得终端在小区集内的小区接入时，终端和该目标接入的小区对应的网络设备及时获得通信密钥，保证了终端与网络设备之间的信息安全。一种可能的实现方式中，使终端接入小区集中的小区时，减少信令的交互，减少了时延。

基于图3的方案，图4和图5分别给出了详细的通信方法举例。接下来请参考图4，给出了本申请实施例提供的一种通信方法的流程示意图。

S401：终端与第一网络设备(本实施例中以第一网络设备为基站0为例)在小区0进行通信，通信密钥为K0-0(为密钥K0-0为例介绍)，也就是说，基于密钥K0-0执行数据，和/或，信令的安全保护。安全保护包括加密，和/或，完整性保护。

S402：基站0添加其他小区为第一小区集小区。

即，基站0确定添加基站1下的小区1，和/或，基站2下的小区2为终端的第一小区集小区，以下以第一小区集为动态小区集为例进行介绍。本申请实施例以小区0为动态小区集中的小区为例，容易理解的，小区0也可以不是动态小区集中的小区。

S403：基站0向第一小区集对应的网络设备分发密钥。

示例性的，S403包括：S403A，S403B和/或S403C。

S403A：基站0衍生第一小区集对应的第一密钥集。

其中，第一密钥集包括Q个密钥，Q个密钥与第一小区集中的N个小区存在对应关系，N个小区为M个网络设备下的小区，第一小区集与该终端对应，其中，Q、N和M为大于或等于1的整数。一种可能的实现中，Q和N为大于或等于2的整数。

示例性的，第一密钥集包括密钥K1-0和K2-0，K1-0为小区1对应的密钥，K2-0为小区2对应的密钥。

基站0具有多种可能的方式衍生第一密钥集。

一种可能的实现方式中，基站0根据当前通信密钥(例如K0-0)、NH、第一小区集中的小区的相关信息中的一种或多种衍生第一密钥集。

例如，基站0根据K0-0衍生出K1-0和K2-0。

再例如，基站0基于UE与基站0的密钥信息K0-0以及基站1下小区1的信息衍生K1-0，基站0基于UE与基站0的密钥K0-0以及基站2下小区2的信息衍生K2-0。

可选的，衍生第一密钥集时，将终端接入次数作为一个衍生新密钥的输入参数。其中，接入小区次数包括，接入动态小区集中的目标小区次数，和/或接入小区次数(不管是否接入当前目标小区，接入其它小区也计次)。其中，目标小区可以理解为特定小区(例如待接入的小区)或某一类小区(例如是否属于动态小区集)，或者预定义的小区。

S403B：基站0向基站1发送第二密钥信息A，该第二密钥信息A用于配置小区1对应的密钥。

相应的，基站1接收来自基站0的第二密钥信息A。

可选的，第二密钥信息包括第二候选密钥A，第一密钥集包括该第二候选密钥A。

可选的，第二密钥信息A还包括NCC信息。

可选的，基站1向基站0发送响应于第二密钥信息A的消息(也可称为接收确认消息)。示例性的，该接收确认消息包括NCC信息和/或接收确认信息。

可选的，S403C：基站0向基站2发送第二密钥信息B，该第二密钥信息B用于配置小区2对应的密钥。

相应的，基站1接收来自基站0的第二密钥信息B。

关于第二密钥信息B的相关介绍可以参考S403B中第二密钥信息A的相关介绍，所不同的是第二密钥信息B与小区2对应。

示例性的，基站0根据是否有未用过的{NH,NCC}对决定衍生KgNB*的方式，例如，横向衍生或者纵向衍生。一种可能的实现中，当没有可用的{NCC,NH}对时，使用横向衍生，否则使用可用的NH做纵向衍生。其中，横向衍生新密钥的输入参数包括：旧密钥(基站0当前使用的密钥)，目标小区下行频率信息，目标小区物理小区标识(physical cell identifier,PCI)信息。纵向衍生新密钥的输入参数包括：NH，目标小区下行频率信息，目标小区PCI信息。然后，将新生成的{KgNB*,NCC}对发送给目标基站，并由目标基站确认 后返回给基站0。示例性的，给基站1的KgNB*为K1-0，给基站2的KgNB*为K2-0。基站1和基站2接收到来自基站0的{K1-0，NCC1}对和{K2-0，NCC2}对。基站1将NCC1和/或接收确认信息发送给基站0。基站2将NCC2和/或接收确认信息(也可称为响应信息)发送给基站0。NCC1与NCC2可能相等也可能不相等，在此并不限定。本申请实施例中KgNB*可以理解为临时密钥。

作为另一种可能的实现方式：步骤S403B和S403C不分先后，即，第二密钥信息A和第二密钥信息B的发送不分先后，可同时发，也可第二密钥信息B在第一密钥之前。

作为另一种可能的实现方式：步骤S403A、S403B和S403C可能同时进行，即衍生一个密钥就发送一个密钥，并不是等两个都衍生完了再发。例如，衍生K1-0并发送给基站1，然后衍生K2-0并发送给基站2；或者衍生K2-0并发送给基站2，然后衍生K1-0并发送给基站1。

作为另一种可能的实现方式：步骤S403与步骤S402可能同时进行。即，基站0一边添加动态小区集小区，一边给对应的小区发送密钥，而不仅是动态小区集添加完成以后，再执行密钥发送。

作为另一种可能的实现方式：S403A中衍生K1-0时，可能使用纵向衍生，即基站0基于NH(而非K0-0)与基站1下小区1信息衍生K1-0。和/或，衍生K2-0时，可能使用纵向衍生，即基站0基于NH(而非K0-0)与基站2下小区2信息衍生K2-0。

S404：基站0向终端发送第一密钥配置信息，该第一密钥配置信息用于配置动态小区集对应的密钥。

容易理解的，步骤S404为可选的步骤。例如，第一密钥配置信息可以是预定义的。示例性的，协议规定动态小区集密钥衍生都使用横向衍生，则不需要发送第一密钥配置信息。

一种可能的方式中，动态小区集配置信息包括该第一密钥配置信息，其中，动态小区集配置信息用于配置动态小区集。示例性的，动态小区集配置信息包括动态小区集相关的信息。例如，动态小区集中的小区标识信息。

第一密钥配置信息包括NCC信息，第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种。

其中，NCC信息包括目标基站对应的NCC信息，例如基站1和基站2对应的NCC1和NCC2。

可选的，第一密钥衍生配置信息，用于指示终端基于第一指定密钥进行衍生，示例性的，第一指定密钥包括终端的当前小区对应的密钥或终端在动态小区集中的目标小区对应的历史密钥或者，原始小区对应的密钥，历史密钥与终端接入目标小区的次数相关。也就是说，指示终端是基于新小区密钥进一步衍生，还是基于各小区密钥分别衍生。

可选的，第一衍生指示信息，用于指示终端是否根据横向衍生方式确定接入第一小区集内的小区的密钥(可以理解为后续终端是否仅使用横向衍生)。一种可能的实现中，若仅使用横向衍生，则不需要基站下发NCC给终端。其中后续仅使用横向衍生指的是终端在本次密钥衍生和之后的密钥衍生过程仅使用横向衍生。

可选的，第一输入参数指示信息，用于指示是否将终端接入次数作为一个衍生新密钥的输入参数。

作为另一种可能的实现方式：步骤S404可能与步骤S402到步骤S403同时发生。即基 站0边添加动态小区集小区，边发送密钥，边将动态小区集配置发送给终端(例如UE),

作为另一种可能的实现方式，替代步骤S401到步骤S404。UE当前所在基站为基站-1，还未接入基站0，UE在切换到基站0的过程中，基站0确定动态小区集并把动态小区集配置信息发给基站-1，基站-1发给UE。在基站0确定动态小区集的过程中，或者过程后，执行步骤S403。

作为另一种可能的实现方式，替代步骤S401到步骤S404。UE刚刚完成从基站-1到基站0的切换，基站0确定动态小区集并把动态小区集配置信息发给UE。在基站0确定动态小区集的过程中，或者过程后，执行步骤S403。

S405：UE接入小区1。

例如，UE向基站1发送接入消息。

可选的，UE断开与小区0的连接。并不限定UE断开连接的时机，例如可以在接入小区1前或后，或者在接入小区1的过程中断开与小区0的连接。当然UE也可以不断开与小区0的连接，并不限定。

S406：基站1确定通信密钥。

一种可能的方式中，基站1使用接收到的K1-0作为与UE在小区1进行通信的密钥。

作为另一种可能的实现方式：步骤S406与步骤S405没有明显的先后顺序，可能同时发生，也可能步骤S406发生在步骤S405之前或之后。例如，并非UE接入完成以后，基站1再使用密钥，而是在接入的过程中，基站1使用接收到的K1-0作为与UE的通信密钥。

作为另一种可能的实现方式：步骤S406与步骤S403到S405可能同时发生。例如，基站0当前正在添加动态小区集小区，并且衍生密钥发送给基站1，获得基站1回复后将NCC通过动态小区集配置信息发给UE，与此同时，UE发生了切换，在切换流程中，基站1使用K1-0作为与UE的通信密钥。

S407：UE确定通信密钥。所述确定通信密钥可以理解为衍生通信密钥。

一种可能的实现方式中，UE确定通信密钥包括：UE根据第一密钥配置信息确定通信密钥。

又一种可能的方式中，UE根据预定义或预配置的方式确定通信密钥。可以理解为，第一密钥配置信息是预定义或预配置的。

也就是，根据第一密钥配置信息衍生通信密钥。例如，UE根据K0-0衍生出K1-0作为与基站1在小区1进行通信的密钥。

一种可能的终端根据第一密钥配置信息确定通信密钥的方式中，终端根据第一密钥配置信息的部分或全部信息、第一密钥和/或小区1对应的小区信息确定第二密钥。可以理解为，终端根据当前小区对应的密钥确定目标小区对应的密钥。可选的，第一指定密钥为第一密钥或称为当前小区对应的密钥。

小区信息包括下行频率信息和物理小区标识信息中的一种或多种。第一密钥配置信息和第一指定密钥的相关介绍可以参考步骤S404中的相关描述。

可选的，UE衍生通信密钥时，将UE接入次数作为一个衍生新密钥的输入参数。容易理解的，UE可以根据第一衍生参数指示信息确定将UE接入次数作为输入参数。又一种可能的实现中，当缺少第一衍生参数指示信息时，UE可以自主确定或者根据预定义的规则确定是否将UE接入次数作为输入参数。

示例性的，UE比较接收到的NCC是否与当前的KgNB(即K0-0)关联的NCC相等，如果相等，则用当前的KgNB横向衍生KgNB*，否则纵向衍生KgNB*(即UE先同步NH直到本地的NCC和收到的NCC相等，UE用NCC相等时候的NH纵向衍生KgNB*)。UE横向衍生与纵向衍生的输入参数与基站0在步骤S403中的相同，衍生的密钥结果也相同。KgNB*即为衍生的密钥K1-0。UE将该密钥作为与基站1的通信密钥。

作为另一种可能的实现方式：步骤S407与步骤S406没有明显的先后顺序，可能同时发生，可能步骤S407在步骤S406之前，或之后。例如，UE先衍生出了密钥K1-0并将其作为与基站1的通信密钥，基站1后将K1-0确认为与UE的通信密钥。

作为另一种可能的实现方式：步骤S407与步骤S403到S406可能同时发生。举例如步骤S406所示，在此不再赘述。

作为另一种可能的实现方式：若步骤S404中第一衍生指示信息指示UE后续仅使用横向衍生，或者协议规定UE后续仅使用横向衍生，则UE可省略横向衍生还是纵向衍生的判断。

作为另一种可能的实现方式：若步骤S404中密钥衍生输入参数指示信息指示将UE接入次数作为一个衍生新密钥的输入参数，或者协议规定将UE接入次数作为一个衍生新密钥的输入参数，则UE衍生新密钥时，除了目标小区下行频率信息，目标小区PCI信息，还应该新增接入次数信息。容易理解的，本申请实施例并不限定除了接入次数信息之外的其他输入参数，例如，可以增加、替换或删除部分输入参数，例如，不将目标小区下行频率信息作为输入参数。

S408：基站1向第一小区集对应的网络设备分发密钥。

示例性的，S408包括：S408A，S408B和/或S408C。

S408A：基站1衍生第一小区集对应的第二密钥集A。

关于第二密钥集A的介绍可以参考步骤S403A中的相关介绍，所不同的是第二密钥集A是由基站1衍生的。

示例性的，第二密钥集A包括密钥K0-1和K2-1，K0-1为小区0对应的密钥，K2-1为小区2对应的密钥。

例如，基站1根据K1-0衍生出K0-1和K2-1。

再例如，基站1基于UE与基站1的密钥信息K1-0以及基站0下小区0的信息衍生K0-1，基站1基于UE与基站1的密钥K1-0以及基站2下小区2的信息衍生K2-1。

可选的，衍生第二密钥集A时，将终端接入次数作为一个衍生新密钥的输入参数。

容易理解的，基站1衍生第二密钥集A的方式可以参考S403中基站0衍生第一密钥集的介绍，不再赘述。

S408B：基站1向基站0发送第二密钥信息C，该第二密钥信息C用于配置小区0对应的密钥。

相应的，基站0接收来自基站1的第二密钥信息C。

可选的，第二密钥信息包括第二候选密钥C，第二密钥集A包括该第二候选密钥C。

可选的，第二密钥信息C还包括NCC信息。

可选的，基站0向基站1发送响应于第二密钥信息C的消息。示例性的，该接收确认消息包括NCC信息和/或接收确认信息。

可选的，S408C：基站1向基站2发送第二密钥信息D，该第二密钥信息D用于配置小区2对应的密钥。

相应的，基站2接收来自基站1的第二密钥信息D。

S408C可以参考S408B的相关描述，例如，关于第二密钥信息D的相关介绍可以参考S408B中第二密钥信息C的相关介绍，所不同的是第二密钥信息D与小区2对应。

S408A至S408C之间的执行顺序的介绍可以参考S403A至S403C之间执行顺序的介绍。

作为另一种可能的实现方式：步骤S408与步骤S405到S407可能同时进行。例如，不需要等UE完全接入小区1以后再衍生K0-1和K2-1。在UE接入的过程中，基站1可能一边确定通信密钥，一边用确定的通信密钥衍生新密钥并发送给对应的小区，并非等到步骤S405到S407都完成了，可以安全通信了，再衍生新密钥发给对应小区。

S409、基站1向终端发送第二密钥配置信息A，该第二密钥配置信息A用于配置动态小区集对应的密钥。容易理解的，步骤S409为可选步骤。

关于第二密钥配置信息A的相关介绍可以参考S404中第一密钥配置信息的相关介绍，本申请实施例不再赘述。

例如，第二密钥配置信息A包括NCC信息，第二衍生配置信息、第二衍生指示信息和第二输入参数指示信息中的一种或多种。

其中，NCC信息包括目标基站对应的NCC信息，例如基站1和基站2对应的NCC1和NCC2。

可选的，第二密钥衍生配置信息，用于指示终端基于第二指定密钥进行衍生，示例性的，第二指定密钥包括终端的当前小区对应的密钥或终端在动态小区集中的目标小区对应的历史密钥，历史密钥与终端接入目标小区的次数相关。也就是说，指示终端是基于新小区密钥进一步衍生，还是基于各小区密钥分别衍生。

可选的，第二衍生指示信息，用于指示终端后续是否仅使用横向衍生。一种可能的实现中，若仅使用横向衍生，则不需要基站下发NCC给终端。其中后续仅使用横向衍生指的是终端在本次密钥衍生和之后的密钥衍生过程仅使用横向衍生。

可选的，第二输入参数指示信息，用于指示是否将终端接入次数作为一个衍生新密钥的输入参数。

作为另一种可能的实现方式：步骤S409和S408，可能同时发生。例如，基站1边衍生并发送密钥，边将目标基站，基站0和/或基站2的密钥信息发送给UE。

作为另一种可能的实现方式：当步骤S404中的横向衍生指示信息确定后续UE仅使用横向衍生，或协议规定后续UE仅使用横向衍生，则步骤S409为可选步骤，可以不发给UE NCC信息。

S410：UE接入小区0。

容易理解的，本申请实施例并不限定UE接入小区的顺序，S410仅为举例。UE接入小区0可以理解为在这之前UE断开了与小区0的连接，例如UE在步骤S405之后断开了与小区0的连接。

S411：基站0确定通信密钥。

一种可能的方式中，基站0使用接收到的K0-1作为与UE在小区0进行通信的密钥。

作为另一种可能的实现方式：步骤S411和步骤S410，没有明显的先后顺序，具体实现 参考步骤S406中类似的描述。

作为另一种可能的实现方式：步骤S411可能与步骤S48到S410同时发生。例如，基站1边衍生并发送密钥，边将目标基站返回的密钥信息发送给UE，同时，UE接入了其它动态小区集内小区，基站0将收到的密钥作为与UE的通信密钥。

S412：UE根据第二密钥配置信息A确定通信密钥。所述确定通信密钥可以理解为衍生通信密钥。

也就是，根据第二密钥配置信息A衍生通信密钥。例如，UE根据K1-0衍生出K0-1作为与基站0在小区0进行通信的密钥。

UE确定通信密钥的方式可以参考步骤S407的相关描述，所不同的是步骤S412是UE第2次(仅为示例)接入动态小区集内小区0，UE使用步骤S409中基站1主动推送的目标基站密钥配置信息。容易理解的，如果基站1没有主动推送目标基站密钥配置信息，终端可以延用404相关的配置信息。

S413：基站0向第一小区集对应的网络设备分发密钥。

示例性的，S413包括：S413A，S413B和/或S413C。

S413A：基站0衍生第一小区集对应的第二密钥集B。

例如，基站0根据K0-1衍生出K1-2和K2-2。

再例如，基站0基于UE与基站0的密钥信息K0-1以及基站1下小区1的信息衍生K1-2，基站0基于UE与基站0的密钥K0-1以及基站2下小区2的信息衍生K2-2。

S413B：基站0向基站1发送第二密钥信息E，该第二密钥信息E用于配置小区1对应的密钥。

相应的，基站1接收来自基站0的第二密钥信息E。

S413C：基站0向基站2发送第二密钥信息F，该第二密钥信息F用于配置小区2对应的密钥。

相应的，基站2接收来自基站0的第二密钥信息F。

关于步骤S413的相关介绍可以参考步骤S403或步骤S408中的类似介绍，此处不再赘述。

S414、基站0向终端发送第二密钥配置信息B，该第二密钥配置信息B用于配置动态小区集对应的密钥。容易理解的，步骤S414是可选的步骤。

关于步骤S414的相关介绍可以参考步骤S404或步骤S409中的类似介绍，此处不再赘述。

容易理解的，步骤S410-S414是介绍UE重接入动态小区集中的小区的方法的示例，也就是说步骤S410-S414是可选步骤。

如无特殊说明，本申请实施例中网络设备向终端发送的信息(例如第一密钥配置信息)可以承载于无线资源控制(radio resource control，RRC)消息、媒体接入控制(media access control，MAC)控制元素(control element，CE)或下行控制信息(downlink control information，DCI)等消息中发送给终端。

接下来请参考图5，给出了本申请实施例提供的一种通信方法的流程示意图。

S501：终端与基站0进行通信，通信密钥为第一密钥(以第一密钥为K0-0为例介绍)， 也就是说，基于密钥K0-0执行数据，和/或，信令的安全保护。安全保护包括加密，和/或，完整性保护。

S502：基站0添加其他小区为第一小区集小区。

S503：基站0向第一小区集对应的网络设备分发密钥。

S504：基站0向终端发送第一密钥配置信息，该第一密钥配置信息用于配置动态小区集对应的密钥。容易理解的，步骤S504为可选步骤。

S501至S504与图4所示的实施例中所介绍的S401至S404可以相同的步骤，请参图4实施例的相关描述。

S505：基站0存储通信密钥。

例如，基站0存储当前使用的与UE的通信密钥K0-0。

一种可能的实现方式中，存储当前使用的通信密钥以便后续UE从其他小区切换回本小区(例如小区0)时，基站0基于此历史密钥(例如K0-0)衍生新密钥。

作为另一种可能的实现方式，步骤S505可能在步骤S501到S507之间执行，也可能在步骤S507之后执行，或者可能在步骤S501之前，并不限定在步骤S504之后执行。

S506：UE存储通信密钥。

例如，UE存储当前使用的与基站0的通信密钥K0-0。

一种可能的实现方式中，存储当前使用的通信密钥以便后续UE从其他小区切换回本小区时，UE基于此历史密钥(例如K0-0)衍生新密钥。

可选的，当UE首次接入其他基站时，该密钥(例如K0-0)也可以用于衍生其他基站的通信密钥(例如基站1和基站2对应的K1-0和K2-0。)容易理解的，UE衍生其他基站的通信密钥的方式与基站衍生第一密钥集的实现方式类似，可参考步骤S503中的相关描述。

作为另一种可能的实现方式，步骤S506可能在步骤S501到S507之间执行，也可能在步骤S507之后执行，或者可能在步骤S501之前，并不限定在步骤S505之后执行。

S507：UE接入小区1。

例如，UE向基站1发送接入消息。

步骤S507与步骤S405类似，可参考步骤S405的相关描述。

S508：基站1确定通信密钥。

一种可能的方式中，基站1使用接收到的K1-0作为与UE在小区1进行通信的密钥。例如，当UE是首次接入基站1时，基站1使用基站0分发的密钥(例如步骤S503中的K1-0)作为与UE的通信密钥。

作为另一种可能的实现方式：步骤S508与步骤S507没有明显的先后顺序，可能同时发生，也可能步骤S508发生在步骤S507之前或之后。例如，并非UE接入完成以后，基站1再使用密钥，而是在接入的过程中，基站1使用接收到的K1-0作为与UE的通信密钥。

作为另一种可能的实现方式：步骤S508与步骤S503到S507可能同时发生。例如，基站0当前正在添加动态小区集小区，并且衍生密钥发送给基站1，获得基站1回复后将NCC通过动态小区集配置信息发给UE，与此同时，UE发生了切换，在切换流程中，基站1使用K1-0作为与UE的通信密钥。

S509：基站1存储通信密钥。

例如，基站1存储当前使用的与UE的通信密钥K1-0。

步骤S509与步骤S505类似，可参考步骤S505的相关描述。

S510：UE确定通信密钥。所述确定通信密钥可以理解为衍生通信密钥。

一种可能的方式中，UE根据第一密钥配置信息的部分或全部信息、目标小区(例如小区1)对应的小区信息、原始小区对应的密钥信息中的一种或多种确定通信密钥。

例如，UE根据原始小区对应的密钥信息衍生出通信密钥，示例性的，UE根据K0-0衍生出K1-0作为通信密钥。再例如，UE根据K0-0和小区1的信息衍生出K1-0作为通信密钥。可以理解为，UE在接收到原始小区发送的密钥配置信息之后或者密钥配置信息为预定义的，在首次接入第一小区集中的其他小区(例如，小区1)时，根据原始小区对应的密钥(例如K0-0)衍生与小区1对应的密钥。可选的，UE根据接入次数信息确定为首次接入小区1，终端也可以通过其他方式确定，例如，UE在接入第一小区集后未存储有小区1对应的历史密钥，UE确定首次接入小区1。其他实施例处，UE确定是否是首次接入的方式类似，或者，基站确定UE是否为首次接入的方式也类似。可选的，UE在非首次接入小区1时，UE根据小区1对应的历史密钥信息确定与小区1进行通信对应的密钥。

第一密钥配置信息、小区信息和UE衍生密钥的可能的方式的介绍可以参考步骤S404或S407中的相关描述。

示例性的，UE比较(例如在步骤S504)接收到的NCC是否与当前的KgNB(即K0-0)关联的NCC相等，如果相等，则用当前的KgNB横向衍生KgNB*，否则纵向衍生KgNB*(即UE先同步NH直到本地的NCC和收到的NCC相等，UE用NCC相等时候的NH纵向衍生KgNB*)。KgNB*即为衍生的密钥K1-0。UE将该密钥作为与基站1的通信密钥。

作为另一种可能的实现方式：步骤S510与步骤S508没有明显的先后顺序，可能同时发生，可能步骤S510在步骤S508之前，或之后。例如，UE先衍生出了密钥K1-0并将其作为与基站1的通信密钥，基站1后将K1-0确认为与UE的通信密钥。

作为另一种可能的实现方式：步骤S510与步骤S507到S509可能同时发生，也可能步骤S510发生在步骤S507到S509之前或者之后。例如，在UE切换的过程中(即未完全接入小区1)，UE先于基站1，衍生出了密钥K1-0并将其作为通信密钥。

作为另一种可能的实现方式：步骤S510与步骤S503到S509可能同时发生。举例如步骤S508所示，在此不再赘述。

作为另一种可能的实现方式：若步骤S504中第一衍生指示信息指示UE后续仅使用横向衍生，或者协议规定UE后续仅使用横向衍生，则UE可省略横向衍生还是纵向衍生的判断。

作为另一种可能的实现方式：若步骤S504中第一衍生输入参数指示信息指示将UE接入次数作为一个衍生新密钥的输入参数，或者协议规定将UE接入次数作为一个衍生新密钥的输入参数，则UE衍生新密钥时，除了目标小区下行频率信息，目标小区PCI信息，还应该新增接入次数信息。

S511：UE存储通信密钥。

例如，UE存储当前使用的与基站1的通信密钥K1-0。

一种可能的实现方式中，存储当前使用的通信密钥作为历史密钥(例如K1-0)以便后续UE从其他小区切换回本小区时，UE基于此历史密钥衍生新密钥。

步骤S511与步骤S506类似，可参考步骤506的相关描述。

容易理解的，在步骤S506中密钥(例如K0-0)除了用于本基站后续密钥的衍生，还可能用于其它基站的衍生。在一种可能的方式中，步骤S511的密钥(例如K1-0)，仅用于本基站后续密钥的衍生。容易理解的，本申请实施例并不限定步骤S511的执行顺序，可参考步骤S506的类似描述。

S512：UE接入小区0。

例如，UE向基站0发送接入消息。

容易理解的，本申请实施例并不限定UE接入小区的顺序，S512仅为举例。UE接入小区0可以理解为在步骤S512之前UE断开了与小区0的连接，例如UE在步骤S506之后断开了与小区0的连接。

S513：基站0确定通信密钥。

可以理解为基站0衍生通信密钥。

例如，基站0根据历史密钥信息和小区0的信息衍生K0-1，作为与UE的通信密钥。其中，历史密钥信息包括小区0对应的历史密钥。示例性的，历史密钥信息包括最新的历史密钥(例如K0-0)。

一种可能的实现方式中，步骤S508使用的是从基站0接收到的密钥K1-0作为通信密钥。而步骤S513，使用的是基站0自己衍生出来的密钥K0-1作为通信密钥，而且这个密钥由步骤S505存储的密钥K0-0衍生。可选的，衍生的时候使用横向衍生，即默认NCC无变化。

可选的，判断当前基站(例如基站0)使用哪种密钥的方法包括：如果基站当前有基站0发来的未使用过的密钥，则使用该密钥。否则，使用该基站的历史密钥衍生新密钥。

作为另一种可能的实现方式：步骤S513与步骤S512没有明显的先后顺序，可能同时发生，也可能步骤S513发生在步骤S512之前或之后。例如，并非UE接入完成以后，基站0再使用密钥，而是在接入的过程中，基站0使用衍生的K0-1作为与UE的通信密钥。

作为另一种可能的实现方式：衍生通信密钥时，增加UE接入次数作为一个衍生新密钥的输入参数。即衍生新密钥时，除了目标小区下行频率信息，目标小区PCI信息，还应该新增接入次数信息。

S514：基站0存储通信密钥。

例如，基站0存储当前使用的与UE的通信密钥K0-1。

一种可能的实现方式中，存储通信密钥K0-1以便后续UE从其他小区切换回本小区时，基站0基于此历史密钥衍生新密钥。

作为一种可能的实现方式，步骤S514可能在步骤S513到S517的任意位置发生，包括步骤S517之后，并不限定在步骤S513之后。

S515：UE确定通信密钥。

可以理解为UE衍生通信密钥。

一种可能的方式中，UE根据第一密钥配置信息的部分或全部信息、目标小区(例如小区1)对应的小区信息、目标小区的历史密钥信息中的一种或多种确定通信密钥。

例如，UE根据历史密钥信息衍生出通信密钥，示例性的，UE根据K0-0衍生出K0-1作为通信密钥。再例如，UE根据K0-0和小区0的信息衍生出K0-1作为通信密钥。

第一密钥配置信息、小区信息和UE衍生密钥的可能的方式的介绍可以参考步骤S404 或S407中的相关描述。

另一种可能的实现方式中，UE确定更新密钥配置信息，例如UE从服务小区接收到第二密钥配置信息，将第二密钥配置信息替代第一密钥配置信息。通过该方式，可以在接入动态小区集的过程中变更衍生方式，例如从基于各自小区密钥衍生变更为基于新小区密钥衍生，实现更灵活。

步骤S515与步骤S510类似，可参考步骤510的相关描述。

在一种可能的实现方式中，在步骤S510中，UE需要根据步骤S504获得的NCC判断当前使用横向衍生还是纵向衍生。在本步骤S515中，由于UE之前在小区0驻留过，保存有小区0的密钥K0-0，因此再回到小区0时，使用此历史密钥衍生新密钥。衍生的时候，使用横向衍生，即默认NCC无变化。

可选的，判断当前UE使用哪种密钥的方法包括：如果UE存有与当前基站的历史密钥，则使用该历史密钥横向衍生新密钥，否则使用K0-0衍生与该基站的密钥。

作为另一种可能的实现方式：步骤S515与步骤S513没有明显的先后顺序，可能同时发生，可能步骤S515在步骤S513之前，或之后。例如，UE先衍生出了密钥K1-0并将其作为与基站1的通信密钥，基站1后将K1-0确认为与UE的通信密钥。

作为另一种可能的实现方式：步骤S515与步骤S512到S514可能同时发生，也可能步骤S515发生在步骤S512到S514之前或者之后。例如，在UE切换的过程中(即未完全接入小区0)，UE先于基站1，衍生出了密钥K1-0并将其作为通信密钥。

作为另一种可能的实现方式：若步骤S504中第一衍生输入参数指示信息指示将UE接入次数作为一个衍生新密钥的输入参数，或者协议规定将UE接入次数作为一个衍生新密钥的输入参数，则UE衍生新密钥时，除了目标小区下行频率信息，目标小区PCI信息，还应该新增接入次数信息。

S516：UE存储通信密钥。

例如，UE存储当前使用的与基站0的通信密钥K0-1。

一种可能的实现方式中，存储当前使用的通信密钥(例如K0-1)作为历史密钥以便后续UE从其他小区切换回本小区时，UE基于此历史密钥衍生新密钥。

步骤S516与步骤S511类似，可参考步骤511的相关描述。

S517：UE接入小区1。

S518：基站1确定通信密钥。

例如，基站1根据K1-0衍生出K1-1作为与UE的通信密钥。

S519：基站1存储通信密钥。

例如，基站1基站0存储当前使用的与UE的通信密钥K1-1。

S520：UE确定通信密钥。

例如，UE根据K1-0和小区1的信息衍生出K1-1作为通信密钥

S521：UE存储通信密钥。

例如，UE存储当前使用的与基站1的通信密钥K1-1。

步骤S517至步骤S521与步骤S512至步骤S516类似，可参考相关描述。

容易理解的，上述方法中的步骤仅为示例，并不限定为必选步骤，例如步骤S517-S521是可选步骤。

上述图4和图5的实施例中，以小区0至小区2在不同的基站下为例进行介绍，容易理解的，小区0至小区2也可以在同一个基站下，也就是说，小区集中的小区可以是对应同一个基站，或者是对应不同的基站。例如，基站0和基站1可以是同一个基站或者是不同的基站，本申请实施例并不限定。

通过上述方法，维护了小区集对应的密钥，保障了通信的安全性。

图6给出了本申请实施例提供的一种通信装置的结构示意图。所述通信装置600可以是图1A中的通信装置30，也可以是图1B，1C，或1D中终端设备，用于实现上述方法实施例中对于终端设备的方法。所述通信装置也可以是图1A至图1D中的第一网络设备或第二网络设备,或图1C，图1D中的RAN中的网络设备，如CU，DU,CU-CP,或CU-UP，用于实现上述方法实施例中对应于第一网络设备或第二网络设备的方法。具体的功能可以参见上述方法实施例中的说明。

通信装置600包括一个或多个处理器601。处理器601也可以称为处理单元，可以实现一定的控制功能。所述处理器601可以是通用处理器或者专用处理器等。例如，包括：基带处理器，中央处理器，应用处理器，调制解调处理器，图形处理器，图像信号处理器，数字信号处理器，视频编解码处理器，控制器，存储器，和/或神经网络处理器等。所述基带处理器可以用于对通信协议以及通信数据进行处理。所述中央处理器可以用于对通信装置600进行控制，执行软件程序和/或处理数据。不同的处理器可以是独立的器件，也可以是集成在一个或多个处理器中，例如，集成在一个或多个专用集成电路上。

可选的，通信装置600中包括一个或多个存储器602，用以存储指令604，所述指令可在所述处理器上被运行，使得终端设备600执行上述方法实施例中描述的方法。可选的，所述存储器602中还可以存储有数据。所述处理器和存储器可以单独设置，也可以集成在一起。

可选的，通信装置601可以包括指令603(有时也可以称为代码或程序)，所述指令603可以在所述处理器上被运行，使得所述通信装置600执行上述实施例中描述的方法。处理器601中可以存储数据。

可选的，通信装置600还可以包括收发器605以及天线606。所述收发器605可以称为收发单元、收发机、收发电路、收发器，输入输出接口等，用于通过天线606实现通信装置600的收发功能。

可选的，通信装置600还可以包括以下一个或多个部件：无线通信模块，音频模块，外部存储器接口，内部存储器，通用串行总线(universal serial bus，USB)接口，电源管理模块，天线，扬声器，麦克风，输入输出模块，传感器模块，马达，摄像头，或显示屏等等。可以理解，在一些实施例中，UE 600可以包括更多或更少部件，或者某些部件集成，或者某些部件拆分。这些部件可以是硬件，软件，或者软件和硬件的组合实现。

本申请中描述的处理器601和收发器605可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路(radio frequency identification，RFID)、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、或电子设备等上。实现本文描述的通信装置，可以是独立设备(例如，独立的集成电路，手机等)，或者可以是较大设备中的一部分(例如,可嵌入在其他设备内的模块)，具体可以参照前述关于终端设备，以及网络设备的说明，在此不再赘述。

本申请实施例提供了一种终端设备，该终端设备(为描述方便，称为UE)可用于前述各个实施例中。所述终端设备包括用以实现前述各个实施例中所述的UE功能的相应的手段(means)、单元和/或电路。例如，终端设备，包括收发模块，用以支持终端设备实现收发功能，和，处理模块，用以支持终端设备对信号进行处理。

图7给出了本申请实施例提供的一种终端设备的结构示意图。

该终端设备700可适用于图1A至图1D所示的系统中。为了便于说明，图7仅示出了终端设备700的主要部件。如图7所示，终端设备700包括处理器、存储器、控制电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对整个终端设备700进行控制，执行软件程序，处理软件程序的数据。存储器主要用于存储软件程序和数据。控制电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏，显示屏，麦克风，键盘等主要用于接收用户输入的数据以及对用户输出数据。

以终端设备700为手机为例，当终端设备700开机后，处理器可以读取存储单元中的软件程序，解释并执行软件程序的指令，处理软件程序的数据。当需要通过无线发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至控制电路，控制电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备700时，控制电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。

本领域技术人员可以理解，为了便于说明，图7仅示出了一个存储器和处理器。在一些实施例中，终端设备700可以包括多个处理器和存储器。存储器也可以称为存储介质或者存储设备等，本发明实施例对此不做限制。

作为一种可选的实现方式，处理器可以包括基带处理器和中央处理器，基带处理器主要用于对通信协议以及通信数据进行处理，中央处理器主要用于对整个终端设备700进行控制，执行软件程序，处理软件程序的数据。图7中的处理器集成了基带处理器和中央处理器的功能，本领域技术人员可以理解，基带处理器和中央处理器也可以是各自独立的处理器，通过总线等技术互联。终端设备700可以包括多个基带处理器以适应不同的网络制式，终端设备700可以包括多个中央处理器以增强其处理能力，终端设备700的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中，也可以以软件程序的形式存储在存储单元中，由处理器执行软件程序以实现基带处理功能。

在一个例子中，可以将具有收发功能的天线和控制电路视为终端设备700的收发单元710，将具有处理功能的处理器视为终端设备700的处理单元720。如图7所示，终端设备700包括收发单元710和处理单元720。收发单元也可以称为收发器、收发机、收发装置等。可选的，可以将收发单元710中用于实现接收功能的器件视为接收单元，将收发单元710中用于实现发送功能的器件视为发送单元，即收发单元710包括接收单元和发送单元。示例性的，接收单元也可以称为接收机、接收器、接收电路等，发送单元可以称为发射机、发射器或者发射电路等。

本申请实施例还提供了一种网络设备，该网络设备可用于前述各个实施例中。所述网 络设备包括用以实现上述实施例中所述的第一网络设备或第二网络设备的功能的手段(means)、单元和/或电路。例如，网络设备包括收发模块，用以网络终端设备实现收发功能，和，处理模块，用以支持网络设备对信号进行处理。所述可以理解的是，所述第一网络设备与第二网络设备是相对于某个或某些UE而言，相对于其他一些UE，第一网络设备可以与第二网络设备的作用可以互换。

图8给出了本申请实施例提供的一种网络设备的结构示意图。如图8所示，网络设备20可适用于图1A至图1D所示的系统中。网络设备20可以相对于某个或某些UE而言，作为第一网络设备具备第一网路设备的功能，也可以相对于某个或某些UE而言，作为第二网络设备具备第二网络设备的功能。该网络设备包括：基带装置201，射频装置202、天线203。在上行方向上，射频装置202通过天线203接收终端设备发送的信息，将终端设备发送的信息发送给基带装置201进行处理。在下行方向上，基带装置201对终端设备的信息进行处理，并发送给射频装置202，射频装置202对终端设备的信息进行处理后经过天线201发送给终端设备。

基带装置201包括一个或多个处理单元2011，存储单元2012和接口2013。其中处理单元2011用于支持网络设备执行上述方法实施例中网络设备的功能。存储单元2012用于存储软件程序和/或数据。接口2013用于与射频装置202交互信息，该接口包括接口电路，用于信息的输入和输出。在一种实现中，所述处理单元为集成电路，例如一个或多个ASIC，或，一个或多个DSP，或，一个或者多个FPGA，或者这些类集成电路的组合。这些集成电路可以集成在一起，构成芯片。存储单元2012与处理单元2011可以位于同一个芯片中，即片内存储元件。或者存储单元2012与处理单元2011也可以为与处理元件2011处于不同芯片上，即片外存储元件。所述存储单元2012可以是一个存储器，也可以是多个存储器或存储元件的统称。

网络设备可以通过一个或多个处理单元调度程序的形式实现上述方法实施例中的部分或全部步骤。例如实现上述实施例中网络设备的相应的功能。所述一个或多个处理单元可以支持同一种制式的无线接入技术，也可以支持不同种制式的无线接入制式。

本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被计算机执行时实现上述任一方法实施例的功能。

本申请还提供了一种计算机程序产品，该计算机产品包括计算机程序(也可以称为代码，或指令)，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实 现本实施例方案的目的。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的计算机可读存储介质，可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括随机存取存储器(random access memory，RAM)、只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦可编程只读存储器(electrically erasable programmable read only memory，EEPROM)、紧凑型光盘只读存储器(compact disc read-only memory，CD-ROM)、通用串行总线闪存盘(universal serial bus flash disk)、移动硬盘、或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。另外，通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)或直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

以上所述，仅为本申请的具体实施方式，但本申请实施例的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请实施例的保护范围之内。因此，本申请实施例的保护范围应所述以权利要求的保护范围为准。

Claims (65)

1. 一种通信方法，其特征在于，包括：

   在第一网络设备下的第一小区通过第一密钥与所述第一网络设备进行通信；

   确定第一密钥配置信息，所述第一密钥配置信息用于配置第一小区集对应的密钥；所述第一密钥配置信息包括第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种，所述第一衍生配置信息用于指示基于第一指定密钥进行衍生，所述第一衍生指示信息用于指示衍生方式，所述衍生方式包括横向衍生或纵向衍生，所述第一输入参数指示信息用于指示将接入次数作为衍生密钥的输入参数。
2. 根据权利要求1所述的方法，其特征在于，所述方法还包括：

   根据所述第一密钥配置信息确定第二密钥，所述第二密钥为与所述第一小区集中的第二小区对应的网络设备进行通信的密钥。
3. 根据权利要求1或2所述的方法，其特征在于，所述确定第一密钥配置信息包括：

   接收来自所述第一网络设备的所述第一密钥配置信息；或者，

   所述第一密钥配置信息是预定义的或预配置的。
4. 根据权利要求1至3任一项所述的方法，其特征在于，所述方法还包括：

   向所述第二小区发送接入消息。
5. 根据权利要求2至4任一项所述的方法，其特征在于，所述根据所述第一密钥配置信息确定第二密钥包括：

   根据所述第一密钥配置信息和所述第二小区对应的小区信息确定所述第二密钥，所述小区信息包括下行频率信息和物理小区标识信息中的一种或多种。
6. 根据权利要求1至5任一项所述的方法，其特征在于，所述第一指定密钥包括所述第一密钥或所述第二小区对应的一个或多个历史密钥中最新的历史密钥或原始小区对应的密钥，所述原始小区指的是确定所述第一小区集的小区。
7. 根据权利要求1至6任一项所述的方法，其特征在于，所述方法还包括：

   确定所述第一小区集或者更新所述第一小区集。
8. 根据权利要求1至7任一项所述的方法，其特征在于，所述方法还包括：

   存储所述第一密钥，在与所述第一小区断开连接后，将所述第一密钥作为所述第一小区对应的历史密钥；和/或，

   存储所述第二密钥，在与所述第二小区断开连接后，将所述第二密钥作为所述第二小区对应的历史密钥。
9. 根据权利要求1至8任一项所述的方法，其特征在于，所述接入次数包括接入所述第一小区集中的小区的次数，和/或，接入所述第一小区集和非所述第一小区集中的小区的次数，和/或，接入所述第二小区的次数。
10. 根据权利要求1至9任一项所述的方法，其特征在于，所述第一衍生指示信息用于指示所述终端根据横向衍生方式确定接入所述第一小区集内的小区的密钥。
11. 一种通信方法，其特征在于，包括：

    在第一小区通过第一密钥与终端进行通信；

    衍生第一密钥集，所述第一密钥集包括Q个密钥，所述Q个密钥与第一小区集中的N 个小区存在对应关系，所述N个小区为M个网络设备下的小区，所述第一小区集与所述终端对应，其中，Q、N和M为大于等于1的整数；

    向所述第一小区集中的第二小区对应的网络设备发送第二密钥信息，所述第二密钥信息包括第二候选密钥，其中，所述第一密钥集包括所述第二候选密钥，所述第二密钥信息用于配置所述第二小区对应的密钥。
12. 根据权利要求11所述的方法，其特征在于，所述方法还包括：

    向所述终端发送第一密钥配置信息，所述第一密钥配置信息用于配置所述第一小区集对应的密钥；所述第一密钥配置信息包括第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种，所述第一衍生配置信息用于指示基于第一指定密钥进行衍生，所述第一衍生指示信息用于指示衍生方式，所述衍生方式包括横向衍生或纵向衍生，所述第一输入参数指示信息用于指示将所述终端接入次数作为衍生密钥的输入参数，所述第一小区集与所述终端对应。
13. 根据权利要求11或12所述的方法，其特征在于，所述衍生第一密钥集包括：

    根据所述第一密钥、下一跳信息和所述第一小区集中的小区的信息中的一种或多种衍生所述第一密钥集，所述小区信息包括下行频率信息和物理小区标识信息中的一种或多种。
14. 根据权利要求11至13任一项所述的方法，其特征在于，所述第一指定密钥包括所述第一密钥或所述终端在所述第一小区集中的目标小区对应的一个或多个历史密钥中最新的历史密钥。
15. 根据权利要求11至14任一项所述的方法，其特征在于，所述第一衍生指示信息用于指示所述终端根据横向衍生方式确定接入所述第一小区集内的小区的密钥。
16. 根据权利要求11至15任一项所述的方法，其特征在于，所述接入次数包括所述终端接入所述第一小区集中的小区的次数，和/或，所述终端接入所述第一小区集和非所述第一小区集中的小区的次数，和/或，接入所述第一小区集中的特定小区的次数。
17. 根据权利要求11至16任一项所述的方法，其特征在于，所述Q个密钥与第一小区集中的N个小区存在对应关系包括：

    所述Q个密钥与所述N个小区一一对应，其中Q＝N。
18. 根据权利要求11至17任一项所述的方法，其特征在于，所述衍生第一密钥集包括：

    当衍生所述第一密钥集时，将所述终端接入次数作为衍生输入参数之一。
19. 根据权利要求11至18任一项所述的方法，其特征在于，所述方法还包括：

    确定所述第一小区集，所述确定所述第一小区集包括：获取所述第一小区集，或者，更新所述第一小区集。
20. 根据权利要求11至19任一项所述的方法，其特征在于，所述方法还包括：存储所述第一密钥，在与所述终端断开在所述第一小区的连接后，将所述第一密钥作为所述第一小区对应的历史密钥。
21. 根据权利要求11至20任一项所述的方法，其特征在于，所述方法还包括：

    与所述终端断开在所述第一小区的连接。
22. 根据权利要求21所述的方法，其特征在于，所述方法还包括：

    接收来自所述终端的接入消息，所述接入消息用于指示接入所述第一小区；

    确定第三密钥，所述第三密钥为与所述终端在所述第一小区进行通信的密钥。
23. 根据权利要求22所述的方法，其特征在于，所述确定第三密钥包括：

    根据所述第一小区对应的一个或多个历史密钥中最新的历史密钥确定所述第三密钥。
24. 根据权利要求23所述的方法，其特征在于，所述方法还包括：

    存储所述第三密钥，在与所述终端断开在所述第一小区的连接后，将所述第三密钥作为所述第一小区对应的历史密钥。
25. 根据权利要求22所述的方法，其特征在于，所述确定第三密钥包括：

    接收来自所述M个网络设备中的至少一个网络设备发送的与所述第一小区对应的至少一个密钥；

    根据所述至少一个密钥中最新的密钥确定所述第三密钥。
26. 一种通信方法，其特征在于，包括：

    接收第一网络设备发送的第二密钥信息，所述第二密钥用于配置第一小区集中的第二小区对应的密钥，所述第二密钥信息包括第二候选密钥；所述第一网络设备为所述第一小区集中的第一小区对应的网络设备，所述第一小区集与终端对应；

    根据所述第二密钥信息、第二小区对应的一个或多个历史密钥中最新的历史密钥和接入次数中的一种或多种确定第二密钥，所述历史密钥包括所述终端与所述第二小区之间的历史密钥；所述第二密钥为与所述终端在所述第二小区进行通信的密钥。
27. 根据权利要求26所述的方法，其特征在于，所述确定第二密钥包括：

    在所述终端首次接入所述第二小区时，将所述第二候选密钥作为所述第二密钥。
28. 根据权利要求26所述的方法，其特征在于，所述确定第二密钥包括：

    在所述终端非首次接入所述第二小区时，根据所述第二小区对应的一个或多个历史密钥中最新的历史密钥确定所述第二密钥。
29. 根据权利要求26至28任一项所述的方法，其特征在于，所述方法还包括：

    接收来自所述终端的接入消息。
30. 根据权利要求26至29任一项所述的方法，其特征在于，所述方法还包括：

    存储所述第二密钥，在与所述终端断开在所述第二小区的连接后，将所述第二密钥作为所述第二小区对应的历史密钥。
31. 一种通信装置，其特征在于，包括：

    处理单元，用于在第一网络设备下的第一小区通过第一密钥与所述第一网络设备进行通信；

    所述处理单元，还用于确定第一密钥配置信息，所述第一密钥配置信息用于配置第一小区集对应的密钥；所述第一密钥配置信息包括第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种，所述第一衍生配置信息用于指示基于第一指定密钥进行衍生，所述第一衍生指示信息用于指示衍生方式，所述衍生方式包括横向衍生或纵向衍生，所述第一输入参数指示信息用于指示将接入次数作为衍生密钥的输入参数。
32. 根据权利要求31所述的装置，其特征在于，所述处理单元，还用于：

    根据所述第一密钥配置信息确定第二密钥，所述第二密钥为与所述第一小区集中的第二小区对应的网络设备进行通信的密钥。
33. 根据权利要求31或32所述的装置，其特征在于，所述通信装置包括收发单元，所述收发单元，用于接收来自所述第一网络设备的所述第一密钥配置信息；或者，

    所述第一密钥配置信息是预定义的或预配置的。
34. 根据权利要求31至33任一项所述的装置，其特征在于，所述收发单元，还用于：向所述第二小区发送接入消息。
35. 根据权利要求32至34任一项所述的装置，其特征在于，所述处理单元，用于根据所述第一密钥配置信息和所述第二小区对应的小区信息确定所述第二密钥，所述小区信息包括下行频率信息和物理小区标识信息中的一种或多种。
36. 根据权利要求31至35任一项所述的装置，其特征在于，所述第一指定密钥包括所述第一密钥或所述第二小区对应的一个或多个历史密钥中最新的历史密钥或原始小区对应的密钥，所述原始小区指的是确定所述第一小区集的小区。
37. 根据权利要求31至36任一项所述的装置，其特征在于，所述处理单元，用于：

    确定所述第一小区集或者更新所述第一小区集。
38. 根据权利要求31至37任一项所述的装置，其特征在于，所述处理单元，用于：

    存储所述第一密钥，在与所述第一小区断开连接后，将所述第一密钥作为所述第一小区对应的历史密钥；和/或，

    存储所述第二密钥，在与所述第二小区断开连接后，将所述第二密钥作为所述第二小区对应的历史密钥。
39. 根据权利要求31至38任一项所述的装置，其特征在于，所述接入次数包括接入所述第一小区集中的小区的次数，和/或，接入所述第一小区集和非所述第一小区集中的小区的次数，和/或，接入所述第二小区的次数。
40. 根据权利要求31至39任一项所述的装置，其特征在于，所述第一衍生指示信息用于指示所述终端根据横向衍生方式确定接入所述第一小区集内的小区的密钥。
41. 一种通信装置，其特征在于，包括：

    处理单元，用于在第一小区通过第一密钥与终端进行通信；

    所述处理单元，还用于衍生第一密钥集，所述第一密钥集包括Q个密钥，所述Q个密钥与第一小区集中的N个小区存在对应关系，所述N个小区为M个网络设备下的小区，所述第一小区集与所述终端对应，其中，Q、N和M为大于等于1的整数；

    收发单元，用于向所述第一小区集中的第二小区对应的网络设备发送第二密钥信息，所述第二密钥信息包括第二候选密钥，其中，所述第一密钥集包括所述第二候选密钥，所述第二密钥信息用于配置所述第二小区对应的密钥。
42. 根据权利要求41所述的装置，其特征在于，所述收发单元，用于：

    向所述终端发送第一密钥配置信息，所述第一密钥配置信息用于配置所述第一小区集对应的密钥；所述第一密钥配置信息包括第一衍生配置信息、第一衍生指示信息和第一输入参数指示信息中的一种或多种，所述第一衍生配置信息用于指示基于第一指定密钥进行衍生，所述第一衍生指示信息用于指示衍生方式，所述衍生方式包括横向衍生或纵向衍生，所述第一输入参数指示信息用于指示将所述终端接入次数作为衍生密钥的输入参数，所述第一小区集与所述终端对应。
43. 根据权利要求41或42所述的装置，其特征在于，所述处理单元，用于：

    根据所述第一密钥、下一跳信息和所述第一小区集中的小区的信息中的一种或多种衍生所述第一密钥集，所述小区信息包括下行频率信息和物理小区标识信息中的一种或多种。
44. 根据权利要求41至43任一项所述的装置，其特征在于，所述第一指定密钥包括所述第一密钥或所述终端在所述第一小区集中的目标小区对应的一个或多个历史密钥中最新的历史密钥。
45. 根据权利要求41至44任一项所述的装置，其特征在于，所述第一衍生指示信息用于指示所述终端根据横向衍生方式确定接入所述第一小区集内的小区的密钥。
46. 根据权利要求41至45任一项所述的装置，其特征在于，所述接入次数包括所述终端接入所述第一小区集中的小区的次数，和/或，所述终端接入所述第一小区集和非所述第一小区集中的小区的次数，和/或，接入所述第一小区集中的特定小区的次数。
47. 根据权利要求41至46任一项所述的装置，其特征在于，所述Q个密钥与第一小区集中的N个小区存在对应关系包括：

    所述Q个密钥与所述N个小区一一对应，其中Q＝N。
48. 根据权利要求41至47任一项所述的装置，其特征在于，所述处理单元，用于：

    当衍生所述第一密钥集时，将所述终端接入次数作为衍生输入参数之一。
49. 根据权利要求41至48任一项所述的装置，其特征在于，所述处理单元，用于：

    确定所述第一小区集，所述确定所述第一小区集包括：获取所述第一小区集，或者，更新所述第一小区集。
50. 根据权利要求41至49任一项所述的装置，其特征在于，所述处理单元，用于：存储所述第一密钥，在与所述终端断开在所述第一小区的连接后，将所述第一密钥作为所述第一小区对应的历史密钥。
51. 根据权利要求41至50任一项所述的装置，其特征在于，所述处理单元，用于：

    与所述终端断开在所述第一小区的连接。
52. 根据权利要求51所述的装置，其特征在于，所述收发单元，用于：

    接收来自所述终端的接入消息，所述接入消息用于指示接入所述第一小区；

    确定第三密钥，所述第三密钥为与所述终端在所述第一小区进行通信的密钥。
53. 根据权利要求52所述的装置，其特征在于，所述处理单元，用于：

    根据所述第一小区对应的一个或多个历史密钥中最新的历史密钥确定所述第三密钥。
54. 根据权利要求53所述的装置，其特征在于，所述处理单元，用于：

    存储所述第三密钥，在与所述终端断开在所述第一小区的连接后，将所述第三密钥作为所述第一小区对应的历史密钥。
55. 根据权利要求52所述的装置，其特征在于，所述收发单元，用于：

    接收来自所述M个网络设备中的至少一个网络设备发送的与所述第一小区对应的至少一个密钥；

    根据所述至少一个密钥中最新的密钥确定所述第三密钥。
56. 一种通信装置，其特征在于，包括：

    收发单元，用于接收第一网络设备发送的第二密钥信息，所述第二密钥用于配置第一小区集中的第二小区对应的密钥，所述第二密钥信息包括第二候选密钥；所述第一网络设备为所述第一小区集中的第一小区对应的网络设备，所述第一小区集与终端对应；

    处理单元，用于根据所述第二密钥信息、第二小区对应的一个或多个历史密钥中最新的历史密钥和接入次数中的一种或多种确定第二密钥，所述历史密钥包括所述终端与所述 第二小区之间的历史密钥；所述第二密钥为与所述终端在所述第二小区进行通信的密钥。
57. 根据权利要求56所述的装置，其特征在于，所述处理单元，用于：

    在所述终端首次接入所述第二小区时，将所述第二候选密钥作为所述第二密钥。
58. 根据权利要求56所述的装置，其特征在于，所述处理单元，用于：

    在所述终端非首次接入所述第二小区时，根据所述第二小区对应的一个或多个历史密钥中最新的历史密钥确定所述第二密钥。
59. 根据权利要求56至58任一项所述的装置，其特征在于，所述收发单元，用于：

    接收来自所述终端的接入消息。
60. 根据权利要求56至59任一项所述的装置，其特征在于，所述处理单元，用于：

    存储所述第二密钥，在与所述终端断开在所述第二小区的连接后，将所述第二密钥作为所述第二小区对应的历史密钥。
61. 一种通信装置，其特征在于，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得所述装置执行如权利要求1至10任一项所述的方法。
62. 一种通信装置，其特征在于，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得所述装置执行如权利要求11至25任一项，或者如权利要求26至30任一项所述的方法。
63. 一种计算机可读存储介质，其上存储有计算机程序或指令，其特征在于，所述计算机程序或指令被执行时使得计算机执行如权利要求1至10任一项，或者，如权利要求11至25任一项，或者如权利要求26至30任一项所述的方法。
64. 一种包含指令的计算机程序产品，当其被运行时，使得如权利要求1至10任一项，或者，如权利要求11至25任一项，或者如权利要求26至30任一项所述的方法被执行。
65. 一种通信系统，其特征在于，包括如权利要求61所述的通信装置和/或如权利要求62所述的通信装置。

Images