[发明专利]终端的通信方法和设备

权利要求书

1.一种终端的通信方法，其特征在于，包括：

第一设备采用终端通信密钥的根密钥的衍生密钥对业务信息进行加密，所述终端通信密钥的根密钥由所述第一设备和第二设备认证和密钥协商AKA之后生成的根密钥生成，所述第一设备为终端，所述第二设备为网络侧设备；或者，所述第一设备为网络侧设备，所述第二设备为终端；

所述第一设备将加密后的业务信息发送给所述第二设备，以使得所述第二设备采用所述终端通信密钥的根密钥的衍生密钥对接收的业务信息进行解密。

2.根据权利要求1所述的方法，其特征在于，所述第一设备采用终端通信密钥的根密钥的衍生密钥对业务信息进行加密之前，还包括：

所述第一设备与所述第二设备进行算法协商，以确定根据所述终端通信密钥的根密钥生成所述衍生密钥采用的算法。

3.根据权利要求1或2所述的方法，其特征在于，所述加密后的业务信息中还包括：所述第一设备根据所述终端通信密钥的根密钥生成所述衍生密钥采用的算法的算法标识。

4.根据权利要求3所述的方法，其特征在于，所述算法标识通过0x00至0x05之内的标识位或0x00至0x05之外的扩展标识位表示；和/或，所述算法标识用于表示所述第一设备根据所述终端通信密钥的根密钥生成所述衍生密钥采用的算法，以及用于表示所述第一设备对所述业务信息进行完整性保护或机密性保护。

5.根据权利要求1所述的方法，其特征在于，根据所述终端通信密钥的根密钥生成所述衍生密钥采用的算法，在所述第一设备和所述第二设备上预先配置。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述加密后的业务信息中还包括：索引标识，所述索引标识用于区分不同终端的终端通信密钥的根密钥，以使所述第二设备根据所述索引标识查找对应的终端通信密钥的根密钥。

7.根据权利要求1-6任一项所述的方法，其特征在于，所述加密后的业务信息中还包括：第一消息鉴权码MAC，所述第一MAC由所述第一设备根据所述衍生密钥对所述业务信息进行完整性保护后生成，以使所述第二设备根据所述第一MAC对接收的业务信息进行完整性验证。

8.根据权利要求1-7任一项所述的方法，其特征在于，所述终端通信密钥的根密钥的衍生密钥至少包括：业务数据的机密性保护和完整性保护密钥、非接入层NAS层的机密性保护和完整性保护密钥、过程密钥、无线资源控制RRC信令的机密性保护和完整性保护密钥、面向用户面的机密性保护密钥中的一种或多种。

9.根据权利要求8所述的方法，其特征在于，所述NAS层的机密性保护或完整性保护密钥采用NAS算法，根据所述终端通信密钥的根密钥生成，和/或，所述RRC信令的机密性保护或完整性保护密钥采用RRC算法，根据所述终端通信密钥的根密钥生成。

10.根据权利要求8或9所述的方法，其特征在于，所述第一设备采用终端通信密钥的根密钥的衍生密钥对业务信息进行加密之前，还包括：

所述第一设备根据终端的特性，确定用于加密所述业务信息的衍生密钥类型，以及确定根据所述终端通信密钥的根密钥生成所述衍生密钥采用的算法。

11.根据权利要求1-10任一项所述的方法，其特征在于，所述终端通信密钥的根密钥由所述第一设备和所述第二设备最近一次AKA之后生成的根密钥生成。

12.根据权利要求1-11任一项所述的方法，其特征在于，所述加密后的业务信息中还包括第二MAC，所述第二MAC由所述第一设备根据长期演进LTE系统的根密钥衍生的完整性保护密钥对所述业务信息进行完整性保护后生成，以使所述第二设备根据所述第二MAC对接收的业务信息进行完整性验证，所述LTE系统的根密钥由所述第一设备和所述第二设备AKA之后生成的根密钥生成。

13.根据权利要求1-12任一项所述的方法，其特征在于，所述第一设备向所述第二设备发送所述加密后的业务信息之前处于不在线状态，或者所述第一设备向所述第二设备发送所述加密后的业务信息时处于不在线状态，或者所述第一设备向所述第二设备发送所述加密后的业务信息之前处于去附着状态，或者所述第一设备向所述第二设备发送所述加密后的业务信息不涉及NAS和接入层AS。