力可以不必存储在小型小区(相反,其可被存储在宏eNB),以避免来自运营商的安全顾虑。此外,MME也不需要参与验证UE的安全能力,这可以通过向CN隐藏UE的小型小区移动性来减轻在移动过程期间的CN负担。
[0050]图6是适于在实现本发明示例实施例时使用的各种装置的简化框图。在图6中,UE 630(诸如移动电话、无线终端、便携式设备、PDA和多媒体平板等)可适于与一个或多个网络节点(诸如第一网络节点610和第二网络节点620)通信。第一网络节点610(诸如在宏网络中的eNB/BS/AP/通信站/控制中心等)和第二网络节点620 (诸如在本地网络或小型小区中的eNB/BS/AP/通信站/控制中心等)可适于彼此直接地或者通过中间实体(图6中未示出)进行通信。
[0051]在示例性实施例中,第一网络节点610可以包括:至少一个处理器(诸如图6中所示的数据处理器(DP)610A)以及包括计算机程序代码(诸如图6中所示的程序(PR0G)610C)的至少一个存储器(诸如图6中所示的存储器(MEM)610B)。所述至少一个存储器和所述计算机程序代码可被配置为与所述至少一个处理器一起促使第一网络节点610实施结合图1-5所描述的操作和/或功能。在示例性实施例中,第一网络节点610可选地可以包括适于与诸如第二网络节点620、UE 630、核心网络节点(如MME)或其它网络实体(图6中未示出)等装置进行通信的收发器610D。
[0052]在示例性实施例中,第二网络节点620可以包括:至少一个处理器(诸如图6中所示的数据处理器(DP)620A)以及包括计算机程序代码(诸如图6中所示的程序(PR0G)620C)的至少一个存储器(诸如图6中所示的存储器(MEM)620B)。所述至少一个存储器和所述计算机程序代码可被配置为与所述至少一个处理器一起促使第二网络节点620实施结合图1-5所描述的操作和/或功能。在示例性实施例中,第二网络节点620可选地可以包括适于与诸如第一网络节点610、UE 630或其它网络实体(图6中未示出)等装置进行通信的收发器620D。
[0053]在示例性实施例中,UE 630可以包括:至少一个处理器(诸如图6中所示的数据处理器(DP)630A)以及包括计算机程序代码(诸如图6中所示的程序(PR0G)630C)的至少一个存储器(诸如图6中所示的存储器(MEM)630B)。所述至少一个存储器和所述计算机程序代码可被配置为与所述至少一个处理器一起促使UE 630实施结合图1-5所描述的操作和/或功能。在示例性实施例中,UE 630可选地可以包括适于与诸如第一网络节点610、第二网络节点620、接入网络节点或其它网络实体(图6中未示出)等装置进行通信的收发器630Do
[0054]例如,收发器610D、620D、630D中的至少一个可以是用于发送和/或接收信号和消息的集成组件。可选地,收发器610D、620D、630D中的至少一个可以包括分别支持发送和接收信号/消息的分开的组件。相应的DP 610A、620A和630A可用于处理这些信号和消息。
[0055]可选地或者附加地,第一网络节点610、第二网络节点620和UE 630可以包括用于实现关于图1-5所描述的前述方法步骤的功能的各种构件和/或组件。在示例性实施例中,第一网络节点610可以包括:选择构件,用于至少部分地基于确定要切换到第二网络节点(诸如第二网络节点620)的UE(诸如UE 630)的安全信息以及用于第二网络节点的安全算法ID的列表,为所述UE选择安全算法ID ;生成构件,用于至少部分地基于所选择的安全算法ID,生成用于所述UE与第二网络节点之间的通信的安全密钥;提供构件,用于从第一网络节点向第二网络节点提供所述安全密钥和所选择的安全算法ID ;以及发送构件,用于响应于来自第二网络节点的切换确认,将所选择的安全算法ID从第一网络节点发送到所述UE。
[0056]在示例性实施例中,第二网络节点620可以包括:获取构件,用于从第一网络节点(诸如第一网络节点610)获取用于被确定要切换到第二网络节点的UE (诸如UE 630)的安全算法ID以及用于所述UE与第二网络节点之间的通信的安全密钥,其中,至少部分地基于所述UE的安全信息以及用于第二网络节点的安全算法ID的列表,在第一网络节点处选择所述安全算法ID ;确定构件,用于确定要接受所述UE向第二网络节点的切换;以及加密构件,用于响应于所述UE向第二网络节点的切换,至少部分地基于所述安全密钥来对所述UE与第二网络节点之间的通信进行加密。
[0057]在示例性实施例中,UE 630可以包括:获取构件,用于从第一网络节点(诸如第一网络节点610)为确定要切换到第二网络节点(诸如第二网络节点620)的UE获取安全算法ID,其中,至少部分地基于所述UE的安全信息以及用于第二网络节点的安全算法ID的列表,在第一网络节点处选择所述安全算法ID ;生成构件,用于至少部分地基于所选择的安全算法ID,生成用于所述UE与第二网络节点之间的通信的安全密钥;实施构件,用于实施所述UE向第二网络节点的切换;以及加密构件,用于至少部分地基于所述安全密钥,对所述UE与第二网络节点之间的通信进行加密。
[0058]假设PROG 610C、620C和630C中的至少一个包括程序指令,当由相关DP执行时,使得装置能够根据示例性实施例进行如上所述的操作。也就是说,本发明的示例实施例可以至少部分地通过第一网络节点610的DP 610A、第二网络节点620的DP 620A以及UE 630的DP 630A可执行的计算机软件、或者通过硬件、或者通过软件和硬件的组合来实现。
[0059]MEM 610B、620B和630B可以是适合本地技术环境的任意类型并且可使用任意适当的数据存储技术来实现,例如基于半导体的存储设备、闪存、磁存储设备和系统、光存储设备和系统、固定存储器以及可装卸存储器。作为非限制性示例,DP 610A、620A和630A可以是适合本地技术环境的任意类型,并且可以包括以下中的一个或者多个:通用计算机、专用计算机、微处理器、数字信号处理器(DSP)以及基于多核处理器架构的处理器。
[0060]总的来说,各种示例实施例可在硬件或专用电路、软件、逻辑或其任意组合中实施。例如,一些方面可在硬件中实施,而其它方面可在可由控制器、微处理器或者其它计算设备执行的软件或者固件中实施,尽管本发明不限于此。虽然本发明的示例性实施例的各个方面可示出并描述为框图、流程图或者使用一些其它绘图表示,作为非限制性实施例,可以理解此处描述的这些框块、装置、系统、技术或者方法可在硬件、软件、固件、专用电路或者逻辑、通用硬件或控制器或者其它计算设备或其某种组合中实施。
[0061]应当理解的是,本发明示例性实施例的至少一些方面可体现在计算机可执行指令中,例如在由一个或多个计算机或其它设备执行的一个或多个程序模块中。通常,程序模块包括例程、程序、对象、组件、数据结构等,当由计算机或其它设备中的处理器执行时,它们实施特定任务或者实现特定的抽象数据类型。计算机可执行指令可存储在计算机可读介质上,例如硬盘、光盘、可装卸存储介质、固态存储器和随机存取存储器(RAM)等。如本领域技术人员将会意识到的那样,程序模块的功能可如期望的那样在各种实施例中组合或分布。此外,所述功能可整体或者部分体现在固件或者硬件等同物中,例如集成电路、现场可编程门阵列(FPGA)等。
[0062]尽管本发明的具体实施例已被公开,然而本领域技术人员将会理解在不脱离本发明的精神和范围的情形下,可对具体实施例进行改变。本发明的范围并非因此受限于具体实施例,而是旨在所附权利要求涵盖落入本发明范围内的任意以及全部此类应用、修改和实施例。
【主权项】
1.一种方法,其包括: 至少部分地基于确定要切换到第二网络节点的用户设备的安全信息以及用于第二网络节点的安全算法标识的列表,在第一网络节点处为所述用户设备选择安全算法标识;至少部分地基于所选择的安全算法标识,生成用于所述用户设备与第二网络节点之间的通信的安全密钥; 从第一网络节点向第二网络节点提供所述安全密钥和所选择的安全算法标识;以及响应于来自第二网络节点的切换确认,将所选择的安全算法标识从第一网络节点发送到所述用户设备。2.根据权利要求1所述的方法,其中,所述安全算法标识的列表是接收自第二网路节点或者被预先配置到第一网络节点中。3.根据权利要求1或2所述的方法,其中,响应于为第二网络节点配置的安全算法标识的改变,自适应地更新在第一网络节点处的安全算法标识的列表。4.根据权利要求1至3中任何一项所述的方法,其中,所述用户设备从以下之一切换到第二网络节点: 第一网络节点;以及 第三网络节点,其中,第二网络节点和第三网络节点受到第一网络节点的控制。5.根据权利要求1至4中任何一项所述的方法,其中,在切换请求中从第一网络节点向第二网络节点提供所述安全密钥和所选择的安全算法标识。6.根据权利要求1至5中任何一项所述的方法,其中,根据在所述用户设备与第一网络节点之间共享的密钥来生成所述安全密钥。7.根据权利要求1至6中任何一项所述的方法,其中,在切换命令中从第一网络节点向所述用户设备发送所选择的安全算法标识。8.根据权利要求1至7中任何一项所述的方法,其中,通过第一网络节点将第一网络节点中从第二网络节点接收的所述用户设备的业务数据传送到核心网络。9.根据权利要求1至8中任何一项所述的方法,其中,第二网络节点包括本地网络节点,并且第一网络节点包括负责所述用户设备的本地网络移动性管理的宏网络节点。10.一种装置,其包括: 至少一个处理器;以及 包括计算机程序代码的至少一个存储器, 所述至少一个存储器以及所述计算机程序代码被配置为与所述至少一个处理器一起使得所述装置至少实施以下操作: 至少部分地基于确定要切换到另一装置的用户设备的安全信息以及用于所述另一装置的安全算法标识的列表,为所述用户设备选择安全算法标识; 至少部分地基于所选择的安全算法标识,生成用于所述用户设备与所述另一装置之间的通信的安全密钥; 向所述另一装置提供所述安全密钥和所选择的安全算法标识;以及 响应于来自所述另一装置的切换确认,将所选择的安全算法标识发送到所述用户设备。11.根据权利要求10所述的装置,其中,所述安全算法标识的列表是接收自所述另一装置或者被预先配置到所述装置中。12.根据权利要求10或11所述的装置,其中,响应于为所述另一装置配置的安全算法标识的改变,自适应地更新在所述装置处的安全算法标识的列表。13.根据权利要求10至12中任何一项所述的装置,其中,所述用户设备从以下之一切换到所述另一装置: 所述装置;以及 其它装置,其中,所述另一装置和所述其它装置受到所述装置的控制。14.根据权利要求10至13中任何一项所述的装置,其中,在切换请求中从所述装置向所述另一装置提供所述安全密钥和所选择的安全算法标识。15.根据权利要求10至14中任何一项所述的装置,其中,根据在所述用户设备与所述装置之间共享的密钥来生成所述安全密钥。16.根据权利要求10至15中任何一项所述的装置,其中,在切换命令中从所述装置向所述用户设备发送所选择的安全算法标识。17.根据权利要求10至16中任何一项所述的装置,其中,通过所述装置将所述装置中从所述另一装置接收的所述用户设备的业务数据传送到核心网络。18.根据权利要求10至17中任何一项所述的装置,其中,所述另一装置包括本地网络节点,并且所述装置包括负责所述用户设备的本地网络移动性管理的宏网络节点。19.一种计算机程序产品,其包括承载了体现于其中的用于与计算机一起使用的计算机程序代码的