用于支持双连接的安全处理的方法

用于支持双连接的安全处理的方法
【专利摘要】本发明涉及一种在无线通信系统中的宏基站中用于支持双连接的安全处理的方法，其中，无线通信系统包括宏基站、微基站和用户设备，该方法包括：宏基站与用户设备建立第一无线资源控制连接；宏基站确定为用户设备与微基站建立第二无线资源控制连接，从而形成双连接；宏基站或者微基站选择用于微基站的安全算法并由宏基站将包含安全算法的无线资源控制连接配置发送给用户设备，以指示微基站与用户设备根据无线资源控制连接配置建立第二无线资源控制连接，从而使得该用户设备具有双连接。依据本发明所述的方法能够借助于不同的安全算法在宏基站和用户设备以及微基站和用户设备之间建立各自的无线资源控制连接。
【专利说明】用于支持双连接的安全处理的方法

【技术领域】
[0001]本发明涉及无线通信领域，更具体地，涉及一种在无线通信系统中的宏基站、微基站以及用户设备中用于支持双连接的安全处理的方法。

【背景技术】
[0002]在如今的无线通信网络中，通常会有覆盖范围较大的宏基站和相对来说覆盖范围较小的微基站。图1示出了现有技术中的网络架构的示意图100，由图可见，在这样的网络环境中，宏基站110提供最为基本的网络覆盖(图中点状背景所示出的部分)，与此同时，具有较小功率(即具有较小的网络覆盖范围(图中用反斜线标出的区域))的诸如微基站121、122、123和124提供了更为高速的网络接入可能。此时，处于其共同的覆盖范围内的用户设备将能够同时与宏基站以及微基站建立通信连接。
[0003]3GPP已经确定了可能的协议架构从而来支持用户设备与宏基站以及微基站的双连接，其中，在控制平面架构中具有以下两种可选方案:
[0004]可选方案1:只有宏基站会广生最终的RRC消息，并且此消息将在宏基站和微基站之间的RRM功能协调了之后被发送至用户设备。
[0005]可选方案2:宏基站和微基站均能够产生最终的无线资源控制(Rad1 ResourceControl, RRC)消息，并且此消息将在宏基站和微基站之间的无线资源管理(Rad1Resource Management,RRM)功能协调了之后被发送至用户设备，并且宏基站或微基站能够直接将此消息发送至用户设备(取决于L2层架构)，而用户设备将会响应此消息。
[0006]以下列出了九种可能的用户平面架构:
[0007]1A:S1_U终结于微基站+独立的FOCP(无承载分裂，no Bearersplit)；
[0008]2A:S1-U终结于宏基站+在宏基站中无承载分裂+在微基站中有独立的rocp ；
[0009]2B:S1-U终结于宏基站+在宏基站中无承载分裂+主-从rocp ；
[0010]2C:S1-U终结于宏基站+在宏基站中无承载分裂+在微基站中有独立的RLC ；
[0011]2D:S1-U终结于宏基站+在宏基站中无承载分裂+主-从RLC ;
[0012]3A:S1-U终结于宏基站+在宏基站中有承载分裂+独立的rocp用于分裂的承载；
[0013]3B:s1-u终结于宏基站+在宏基站中有承载分裂+主-从rocp用于分裂的承载；
[0014]3C:S1-U终结于宏基站+在宏基站中有承载分裂+独立的RLC用于分裂的承载；
[0015]3D:S1-U终结于宏基站+在宏基站中有承载分裂+主-从RLC用于分裂的承载。
[0016]如果在控制平面使用了上述的可选方案2，那么在微基站中必须有rocp实体来确保RRC消息的安全。替代地，对于以下用户平面架构，即1A、2A、2B、3A和3B来说则需要在微基站中有H)CP实体，而对于2C、2D、3C以及3D的用户平面架构来说则在宏基站中需要有PDCP实体。
[0017]如果架构组合为可选方案1+2C、2D、3C或者3D，那么一个安全密钥便已经足够；而对于其他组合，则需要两个安全密钥。特别是对于以下架构组合，即可选方案1+1A、2A、2B、3A或者3B来说，仅仅是数据需要不同的安全密钥，而对于以下架构组合，即可选方案2+2C、2D、3C或者3D来说，仅仅是微基站中的信令无线承载(Signaling Rad1 Bearer, SRB)需要不同的安全密钥。
[0018]现有的标准中仅仅处理了由网络提供一个用于用户设备的安全密钥的情形。但是鉴于以上描述，有可能需要提供两个安全密钥用于不同的网络架构组合。


【发明内容】

[0019]根据上述对【背景技术】以及存在的技术问题的理解，本发明的第一方面提出了一种在无线通信系统中的宏基站中用于支持双连接的安全处理的方法，其中，所述无线通信系统包括宏基站、微基站和用户设备，所述方法包括:
[0020]B.所述宏基站与所述用户设备建立第一无线资源控制(RRC:Rad1 ResourceControl)连接；
[0021]C.所述宏基站确定为所述用户设备与所述微基站建立第二无线资源控制连接，从而形成双连接；
[0022]D.所述宏基站或者所述微基站选择用于所述微基站的安全算法并由所述宏基站将包含所述安全算法的无线资源控制连接配置发送给所述用户设备，以指示所述微基站与所述用户设备根据所述无线资源控制连接配置建立所述第二无线资源控制连接，从而使得所述用户设备具有双连接。
[0023]依据本发明所述的方法能够借助于不同的安全算法在宏基站和用户设备以及微基站和用户设备之间建立各自的无线资源控制连接。在本文中分别成为第一无线资源控制连接和第二无线资源控制连接。
[0024]在依据本发明的一个实施例中，所述方法在所述步骤B之前还包括以下步骤:
[0025]A.所述宏基站从核心网节点接收用于所述第一无线资源控制连接的第一安全密钥。
[0026]以这样的方式使得所述宏基站能够从核心网节点，例如MME (MobilityManagement Entity:移动性管理实体)中接收关于接入网节点中所使用的安全密钥的信肩、Ο
[0027]在依据本发明的一个实施例中，在所述步骤D中还包括根据所述第一安全密钥生成用于所述第二无线资源控制连接的第二安全密钥。
[0028]因为在本发明的【背景技术】中的一些应用场景之下，有些场景需要两个密钥，这时便能通过用于第一无线资源控制连接的第一安全密钥派生出第二安全密钥，从而用于第二无线资源控制连接，以提高所述第二无线资源控制连接的安全性。
[0029]在依据本发明的一个实施例中，在所述步骤D中还根据所述微基站所辖小区的下行链路频率和物理小区标识生成用于所述第二无线资源控制连接的所述第二安全密钥，所述所辖小区是所述用户设备建立第二无线资源控制连接的服务小区。本领域的技术人员应当理解，在此，也能够通过其他已知的方式根据所述第一安全密钥来生成所述第二安全密钥。
[0030]在依据本发明的一个实施例中，在所述步骤D中:
[0031]如果由所述宏基站来选择用于所述微基站的安全算法，则所述宏基站先从所述微基站获取在所述微基站中的加密算法和完整性保护算法的配置列表并且所述宏基站将所选择的用于所述微基站的所述安全算法发送至所述微基站；或者
[0032]如果由所述微基站来选择用于所述微基站的安全算法，则所述宏基站先将所述用户设备的安全能力发送至所述微基站并且所述微基站将所选择的用于所述微基站的所述安全算法发送至所述宏基站。
[0033]以上为分别由所述宏基站和所述微基站来选择用于第二无线资源控制连接的安全算法的两种不同的实现方式，其中，根据选择主体的不同，先前所需获取的信息也是不同的。
[0034]在依据本发明的一个实施例中，在所述步骤D之后还包含以下步骤:
[0035]E.所述宏基站从所述核心网节点接收用于更新所述第一安全密钥和所述第二安全密钥的用户设备上下文修改请求并根据所述用户设备上下文修改请求更新所述第一安全密钥和所述第二安全密钥。
[0036]为了满足提高通信安全性等要求，通常需要更新所使用的安全密钥，以上述方式能够非常简单地由核心网节点通知接入网节点进行安全密钥的更新过程。
[0037]本领域的技术人员应当理解，实现安全密钥的更新的方式是多种多样的，以下将在不同的实施方式中给出不同的实现安全密钥更新的方法。
[0038]在依据本发明的一个实施例中，在所述步骤E中，所述宏基站在接收到所述用户设备上下文修改请求之后向所述用户设备发送第一无线资源控制连接重配指令，以指示所述用户设备启动小区内切换来更新所述第一安全密钥并在更新完成后从所述用户设备接收第一无线资源控制连接重配完成指令并且所述宏基站向所述核心网节点发送用户设备上下文修改响应；同时所述宏基站在接收到所述用户设备上下文修改请求之后通知所述微基站更新所述第二安全密钥，以使得所述微基站指示所述用户设备启动小区内切换来重配所述第二无线资源控制连接。
[0039]在依据本发明的一个实施例中，所述用户设备上下文修改请求包含所述用户设备的安全能力，所述安全能力包括所支持的加密以及完整性保护算法，所述宏基站或者所述微基站选择用于所述微基站的安全算法，然后通过所述微基站发送给所述用户设备。
[0040]在依据本发明的一个实施例中，在所述步骤E中，所述宏基站在接收到所述用户设备上下文修改请求之后向所述用户设备发送第一无线资源控制连接重配指令，以指示所述用户设备启动小区内切换来更新所述第一安全密钥，所述用户设备认为所述微基站为其服务的小区去激活而停止与所述微基站传输数据，并在更新完成后从所述用户设备接收第一无线资源控制连接重配完成指令并且所述宏基站向所述核心网节点发送用户设备上下文修改响应；同时所述宏基站在接收到所述用户设备上下文修改请求之后通知所述微基站更新所述第二安全密钥并在所述宏基站收到第一无线资源控制连接重配完成指令之后向所述用户设备发送媒体接入层控制信令MAC CE以激活所述微基站为所述用户设备服务的小区，并且所述用户设备执行随机接入来接入所述微基站。
[0041]在依据本发明的一个实施例中，当所述微基站的安全算法改变时，所述微基站向所述用户设备发送安全模式命令并在从所述用户设备接收到相应的安全模式完成指令后指示所述用户设备进行所述第二无线资源控制连接重配。
[0042]在依据本发明的一个实施例中，在所述步骤E中，所述宏基站在接收到所述用户设备上下文修改请求之后向所述用户设备发送第一无线资源控制连接重配指令，以指示所述用户设备启动小区内切换来更新所述第一安全密钥，所述用户设备认为所述微基站为其服务的小区去激活而停止与所述微基站传输数据，并在更新完成后从所述用户设备接收第一无线资源控制连接重配完成指令并且所述宏基站向所述核心网节点发送用户设备上下文修改响应；同时所述宏基站在接收到所述用户设备上下文修改请求之后通知所述微基站更新所述第二安全密钥并从所述微基站接收所述微基站中的第一信息并且在所述宏基站收到第一无线资源控制连接重配完成指令之后指示所述用户设备进行所述第二无线资源控制连接重配并且向所述用户设备发送MAC CE以激活所述微基站为所述用户设备服务的小区，并且所述用户设备执行随机接入来接入所述微基站。
[0043]在依据本发明的一个实施例中，所述第一信息包含所述微基站中的资源分配信息以及需要更新的安全算法。
[0044]本发明的第二方面提出了一种在无线通信系统中的微基站中用于支持双连接的安全处理的方法，其中，所述无线通信系统包括宏基站、微基站和用户设备，所述方法包括:
[0045]0.由所述宏基站或者所述微基站选择用于所述微基站的安全算法并且由所述宏基站将包含所述安全算法的无线资源控制连接配置发送给所述用户设备；
[0046]P.所述微基站与所述用户设备根据所述无线资源控制连接配置建立第二无线资源控制连接，以使得所述用户设备具有双连接。
[0047]在依据本发明的一个实施例中，所述宏基站根据所述宏基站从核心网节点接收的第一安全密钥生成用于所述第二无线资源控制连接的第二安全密钥。
[0048]本发明的第三方面提出了一种在无线通信系统中的用户设备中用于支持双连接的安全处理的方法，其中，所述无线通信系统包括宏基站、微基站和用户设备，所述方法包括:
[0049]X.所述用户设备与所述微基站根据包含由所述宏基站或者所述微基站所选择的用于所述微基站的安全算法的无线资源控制连接配置建立第二无线资源控制连接，以使得所述用户设备具有双连接。

【专利附图】

【附图说明】
[0050]通过参照附图阅读以下所作的对非限制性实施例的详细描述，本发明的其它特征、目的和优点将会变得更明显。
[0051]图1示出了应用依据本发明所述的安全处理的方法的网络架构的示意图100 ;以及
[0052]图2示出了依据本发明所述的方法的一个实施例的流程图200 ；
[0053]图3示出了依据本发明所述的方法的另一个实施例的流程图300 ；
[0054]图4示出了依据本发明所述的方法的又一个实施例的流程图400 ;以及
[0055]图5示出了依据本发明所述的方法的又一个实施例的流程图500。
[0056]在图中，贯穿不同的示图，相同或类似的附图标记表示相同或相似的装置(模块)或步骤。

【具体实施方式】
[0057]在以下优选的实施例的具体描述中，将参考构成本发明一部分的所附的附图。所附的附图通过示例的方式示出了能够实现本发明的特定的实施例。示例的实施例并不旨在穷尽根据本发明的所有实施例。可以理解，在不偏离本发明的范围的前提下，可以利用其他实施例，也可以进行结构性或者逻辑性的修改。因此，以下的具体描述并非限制性的，且本发明的范围由所附的权利要求所限定。
[0058]图1示出了应用依据本发明所述的安全处理的方法的网络架构的示意图100，该图在【背景技术】部分已作出过描述，在此不再赘述。
[0059]图2示出了依据本发明所述的方法的第一实施例的流程图200。从图中可以看出，依据本发明所述的在无线通信系统中的宏基站中用于支持双连接的安全处理的方法包括:
[0060]在步骤220中，所述宏基站与所述用户设备建立第一无线资源控制连接；
[0061]接下来，在步骤230中，所述宏基站确定为所述用户设备与所述微基站建立第二无线资源控制连接，从而形成双连接；
[0062]随后，在步骤240中，所述宏基站或者所述微基站选择用于所述微基站的安全算法并在步骤250中由所述宏基站将包含所述安全算法的无线资源控制连接配置发送给所述用户设备，以指示所述微基站与所述用户设备在步骤260中根据所述无线资源控制连接配置建立所述第二无线资源控制连接，从而使得所述用户设备具有双连接。
[0063]依据本发明所述的方法能够借助于不同的安全算法在宏基站和用户设备以及微基站和用户设备之间建立各自的无线资源控制连接。在本文中分别成为第一无线资源控制连接和第二无线资源控制连接。
[0064]在依据本发明的一个实施例中，所述方法在所述步骤220之前还包括以下步骤:
[0065]所述宏基站从核心网节点接收用于所述第一无线资源控制连接的第一安全密钥。
[0066]以这样的方式使得所述宏基站能够从核心网节点，例如MME (MobilityManagement Entity:移动性管理实体)中接收关于接入网节点中所使用的安全密钥的信肩、Ο
[0067]在依据本发明的一个实施例中，在所述步骤240中还包括根据所述第一安全密钥KeNB生成用于所述第二无线资源控制连接的第二安全密钥KeNB*。
[0068]因为在本发明的【背景技术】中的一些应用场景之下，有些场景需要两个密钥，这时便能通过用于第一无线资源控制连接的第一安全密钥派生出第二安全密钥，从而用于第二无线资源控制连接，以提高所述第二无线资源控制连接的安全性。这尤其是对于架构为可选方案2，或者为可选方案1+1A、2A、2B、3A或者3B时。
[0069]在依据本发明的一个实施例中，在所述步骤240中还根据所述微基站所辖小区的下行链路频率和物理小区标识生成用于所述第二无线资源控制连接的所述第二安全密钥，所述所辖小区是所述用户设备建立第二无线资源控制连接的服务小区。本领域的技术人员应当理解，在此，也能够通过其他已知的方式根据所述第一安全密钥来生成所述第二安全密钥。
[0070]在依据本发明的一个实施例中，在所述步骤240中:
[0071]如果由所述宏基站来选择用于所述微基站的安全算法，则所述宏基站先从所述微基站获取在所述微基站中的加密算法和完整性保护算法的配置列表(即所述微基站支持的加密算法和完整性保护算法)并且所述宏基站将所选择的用于所述微基站的所述安全算法发送至所述微基站；或者
[0072]如果由所述微基站来选择用于所述微基站的安全算法，则所述宏基站先将所述用户设备的安全能力(UE Security Capabilities)发送至所述微基站并且所述微基站将所选择的用于所述微基站的所述安全算法发送至所述宏基站。
[0073]以上为分别由所述宏基站和所述微基站来选择用于第二无线资源控制连接的安全算法的两种不同的实现方式，其中，根据选择主体的不同，先前所需获取的信息也是不同的。但是总的原则都是由宏基站或者微基站依据用户设备的安全能力和微基站所支持的安全配置列表来确定。
[0074]在依据本发明的一个实施例中，在所述步骤260之后还包含以下步骤:
[0075]所述宏基站从所述核心网节点接收用于更新所述第一安全密钥和所述第二安全密钥的用户设备上下文修改请求并根据所述用户设备上下文修改请求更新所述第一安全密钥和所述第二安全密钥。
[0076]为了满足提高通信安全性等要求，通常需要更新所使用的安全密钥，以上述方式能够非常简单地由核心网节点通知接入网节点进行安全密钥的更新过程。
[0077]本领域的技术人员应当理解，实现安全密钥的更新的方式是多种多样的，以下将在不同的实施例，即不同的流程图中给出不同的实现安全密钥更新的方法。以下将重点描述如何进行安全密钥的更新，而非双连接的建立，即重点论述如何由从核心网节点接收的用户设备上下文修改请求来更新安全密钥。
[0078]在图3所示出的依据本发明的一个实施例300中，在双连接建立之后(步骤310)，接下来由所述宏基站在从核心网节点接收到所述用户设备上下文修改请求(步骤320)之后向所述用户设备发送第一无线资源控制连接重配指令(步骤330)，以指示所述用户设备启动小区内切换(intra-cell handover)来更新所述第一安全密钥并在更新完成后从所述用户设备接收第一无线资源控制连接重配完成指令(步骤340)并且所述宏基站向所述核心网节点发送用户设备上下文修改响应(步骤350);同时所述宏基站在接收到所述用户设备上下文修改请求之后通知所述微基站更新所述第二安全密钥(步骤360)，以使得所述微基站指示所述用户设备启动小区内切换来重配所述第二无线资源控制连接(步骤370、380)。在此，可选地，在第二安全密钥更新完成后，所述微基站能够向所述宏基站报告更新第二安全密钥成功(步骤390)。
[0079]在依据本发明的一个实施例中，所述用户设备上下文修改请求包含所述用户设备的安全能力，所述安全能力包括所支持的加密以及完整性保护算法，所述宏基站或者所述微基站选择用于所述微基站的安全算法，然后通过所述微基站发送给所述用户设备。
[0080]图4示出了依据本发明所述的方法的第二实施例的流程图400，在该实施例中，在双连接建立之后(步骤410)，所述宏基站在接收到所述用户设备上下文修改请求之后(步骤420)向所述用户设备发送第一无线资源控制连接重配指令(步骤430)，以指示所述用户设备启动小区内切换来更新所述第一安全密钥，所述用户设备认为所述微基站为其服务的小区去激活而停止与所述微基站传输数据(步骤440)，并在更新完成后从所述用户设备接收第一无线资源控制连接重配完成指令(步骤450)并且所述宏基站向所述核心网节点发送用户设备上下文修改响应(步骤460);同时所述宏基站在接收到所述用户设备上下文修改请求之后通知所述微基站更新所述第二安全密钥(步骤470)并在所述宏基站收到第一无线资源控制连接重配完成指令之后向所述用户设备发送媒体接入层控制信令MAC CE(步骤480)以激活所述微基站为所述用户设备服务的小区，并且所述用户设备执行随机接入来接入所述微基站(步骤490)。
[0081]在依据本发明的一个实施例中，当所述微基站的安全算法改变时，所述微基站向所述用户设备发送安全模式命令(步骤492)并在从所述用户设备接收到相应的安全模式完成指令后(步骤494)指示所述用户设备进行所述第二无线资源控制连接重配(步骤496以及步骤498)。
[0082]在依据本发明的一个实施例中，在双连接建立之后(步骤510)，所述宏基站在接收到所述用户设备上下文修改请求之后(步骤520)向所述用户设备发送第一无线资源控制连接重配指令(步骤530)，以指示所述用户设备启动小区内切换来更新所述第一安全密钥，所述用户设备认为所述微基站为其服务的小区去激活而停止与所述微基站传输数据(步骤540)，并在更新完成后从所述用户设备接收第一无线资源控制连接重配完成指令(步骤550)并且所述宏基站向所述核心网节点发送用户设备上下文修改响应(步骤560)；同时所述宏基站在接收到所述用户设备上下文修改请求之后通知所述微基站更新所述第二安全密钥(步骤570)并从所述微基站接收所述微基站中的第一信息(步骤580)并且在所述宏基站收到第一无线资源控制连接重配完成指令之后指示所述用户设备进行所述第二无线资源控制连接重配(步骤582)并且向所述用户设备发送MAC CE以激活所述微基站为所述用户设备服务的小区(步骤584)，并且所述用户设备执行随机接入来接入所述微基站(步骤590)。通常用户设备在宏基站所辖服务小区与微基站所辖服务小区的上行提前量不同，因此用户设备在接入微基站所辖服务小区时，需要发起随机接入；如果用户设备在宏基站所辖服务小区与微基站所辖服务小区的上行提前量相同，用户设备在接入微基站所辖服务小区时，不需要发起随机接入。
[0083]在依据本发明的一个实施例中，所述第一信息包含所述微基站中的资源分配信息以及需要更新的安全算法。
[0084]本发明的第二方面提出了一种在无线通信系统中的微基站中用于支持双连接的安全处理的方法，其中，所述无线通信系统包括宏基站、微基站和用户设备，所述方法包括:
[0085]0.由所述宏基站或者所述微基站选择用于所述微基站的安全算法并且由所述宏基站将包含所述安全算法的无线资源控制连接配置发送给所述用户设备；
[0086]P.所述微基站与所述用户设备根据所述无线资源控制连接配置建立第二无线资源控制连接，以使得所述用户设备具有双连接。
[0087]在依据本发明的一个实施例中，所述宏基站根据所述宏基站从核心网节点接收的第一安全密钥生成用于所述第二无线资源控制连接的第二安全密钥。
[0088]本发明的第三方面提出了一种在无线通信系统中的用户设备中用于支持双连接的安全处理的方法，其中，所述无线通信系统包括宏基站、微基站和用户设备，所述方法包括:
[0089]X.所述用户设备与所述微基站根据包含由所述宏基站或者所述微基站所选择的用于所述微基站的安全算法的无线资源控制连接配置建立第二无线资源控制连接，以使得所述用户设备具有双连接。
[0090]对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论如何来看，均应将实施例看作是示范性的，而且是非限制性的。此外，明显的，“包括”一词不排除其他元素和步骤，并且措辞“一个”不排除复数。装置权利要求中陈述的多个元件也可以由一个元件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。
【权利要求】
1.一种在无线通信系统中的宏基站中用于支持双连接的安全处理的方法，其中，所述无线通信系统包括宏基站、微基站和用户设备，所述方法包括: B.所述宏基站与所述用户设备建立第一无线资源控制连接； C.所述宏基站确定为所述用户设备与所述微基站建立第二无线资源控制连接，从而形成双连接； D.所述宏基站或者所述微基站选择用于所述微基站的安全算法并由所述宏基站将包含所述安全算法的无线资源控制连接配置发送给所述用户设备，以指示所述微基站与所述用户设备根据所述无线资源控制连接配置建立所述第二无线资源控制连接，从而使得所述用户设备具有双连接。
2.根据权利要求1所述的方法，其中，所述方法在所述步骤B之前还包括以下步骤: A.所述宏基站从核心网节点接收用于所述第一无线资源控制连接的第一安全密钥。
3.根据权利要求2所述的方法，其中，在所述步骤D中还包括根据所述第一安全密钥生成用于所述第二无线资源控制连接的第二安全密钥。
4.根据权利要求3所述的方法，其中，在所述步骤D中还根据所述微基站所辖小区的下行链路频率和物理小区标识生成用于所述第二无线资源控制连接的所述第二安全密钥，所述所辖小区是所述用户设备建立第二无线资源控制连接的服务小区。
5.根据权利要求1所述的方法，其中，在所述步骤D中， 如果由所述宏基站来选择用于所述微基站的安全算法，则所述宏基站先从所述微基站获取在所述微基站中的加密算法和完整性保护算法的配置列表并且所述宏基站将所选择的用于所述微基站的所述安全算法发送至所述微基站；或者 如果由所述微基站来选择用于所述微基站的安全算法，则所述宏基站先将所述用户设备的安全能力发送至所述微基站并且所述微基站将所选择的用于所述微基站的所述安全算法发送至所述宏基站。
6.根据权利要求3或4所述的方法，其中，在所述步骤D之后还包含以下步骤: E.所述宏基站从所述核心网节点接收用于更新所述第一安全密钥和所述第二安全密钥的用户设备上下文修改请求并根据所述用户设备上下文修改请求更新所述第一安全密钥和所述第二安全密钥。
7.根据权利要求6所述的方法，其中，在所述步骤E中，所述宏基站在接收到所述用户设备上下文修改请求之后向所述用户设备发送第一无线资源控制连接重配指令，以指示所述用户设备启动小区内切换来更新所述第一安全密钥并在更新完成后从所述用户设备接收第一无线资源控制连接重配完成指令并且所述宏基站向所述核心网节点发送用户设备上下文修改响应；同时所述宏基站在接收到所述用户设备上下文修改请求之后通知所述微基站更新所述第二安全密钥，以使得所述微基站指示所述用户设备启动小区内切换来重配所述第二无线资源控制连接。
8.根据权利要求7所述的方法，其中，所述用户设备上下文修改请求包含所述用户设备的安全能力，所述安全能力包括所支持的加密以及完整性保护算法，所述宏基站或者所述微基站选择用于所述微基站的安全算法，然后通过所述微基站发送给所述用户设备。
9.根据权利要求6所述的方法，其中，在所述步骤E中，所述宏基站在接收到所述用户设备上下文修改请求之后向所述用户设备发送第一无线资源控制连接重配指令，以指示所述用户设备启动小区内切换来更新所述第一安全密钥，所述用户设备认为所述微基站为其服务的小区去激活而停止与所述微基站传输数据，并在更新完成后从所述用户设备接收第一无线资源控制连接重配完成指令并且所述宏基站向所述核心网节点发送用户设备上下文修改响应；同时所述宏基站在接收到所述用户设备上下文修改请求之后通知所述微基站更新所述第二安全密钥并在所述宏基站收到第一无线资源控制连接重配完成指令之后向所述用户设备发送媒体接入层控制信令MAC CE以激活所述微基站为所述用户设备服务的小区，并且所述用户设备执行随机接入来接入所述微基站。
10.根据权利要求9所述的方法，其中，当所述微基站的安全算法改变时，所述微基站向所述用户设备发送安全模式命令并在从所述用户设备接收到相应的安全模式完成指令后指示所述用户设备进行所述第二无线资源控制连接重配。
11.根据权利要求6所述的方法，其中，在所述步骤E中，所述宏基站在接收到所述用户设备上下文修改请求之后向所述用户设备发送第一无线资源控制连接重配指令，以指示所述用户设备启动小区内切换来更新所述第一安全密钥，所述用户设备认为所述微基站为其服务的小区去激活而停止与所述微基站传输数据，并在更新完成后从所述用户设备接收第一无线资源控制连接重配完成指令并且所述宏基站向所述核心网节点发送用户设备上下文修改响应；同时所述宏基站在接收到所述用户设备上下文修改请求之后通知所述微基站更新所述第二安全密钥并从所述微基站接收所述微基站中的第一信息并且在所述宏基站收到第一无线资源控制连接重配完成指令之后指示所述用户设备进行所述第二无线资源控制连接重配并且向所述用户设备发送MAC CE以激活所述微基站为所述用户设备服务的小区，并且所述用户设备执行随机接入来接入所述微基站。
12.根据权利要求11所述的方法，其中，所述第一信息包含所述微基站中的资源分配信息以及需要更新的安全算法。
13.一种在无线通信系统中的微基站中用于支持双连接的安全处理的方法，其中，所述无线通信系统包括宏基站、微基站和用户设备，所述方法包括: 0.由所述宏基站或者所述微基站选择用于所述微基站的安全算法并且由所述宏基站将包含所述安全算法的无线资源控制连接配置发送给所述用户设备； P.所述微基站与所述用户设备根据所述无线资源控制连接配置建立第二无线资源控制连接，以使得所述用户设备具有双连接。
14.根据权利要求13所述的方法，其中，所述宏基站根据所述宏基站从核心网节点接收的第一安全密钥生成用于所述第二无线资源控制连接的第二安全密钥。
15.一种在无线通信系统中的用户设备中用于支持双连接的安全处理的方法，其中，所述无线通信系统包括宏基站、微基站和用户设备，所述方法包括: X.所述用户设备与所述微基站根据包含由所述宏基站或者所述微基站所选择的用于所述微基站的安全算法的无线资源控制连接配置建立第二无线资源控制连接，以使得所述用户设备具有双连接。
【文档编号】H04W76/02GK104349312SQ201310337478
【公开日】2015年2月11日 申请日期:2013年8月2日 优先权日:2013年8月2日
【发明者】邓云, 温萍萍, 钱德瑞卡·沃拉尔 申请人:上海贝尔股份有限公司, 阿尔卡特朗讯