Sce所用的设备、系统和方法

Sce所用的设备、系统和方法
【专利摘要】为了支持MeNB(20)和SeNB(30)处的单独加密，MeNB(20)根据第三密钥(KeNB)推导单独的第一密钥和第二密钥(KUPenc?M,KUPenc?S)。第一密钥(KUPenc?M)用于机密地保护MeNB(20)和UE(10)之间的经由U面所传输的第一业务。第一密钥(KUPenc?M)可以与当前的KUPenc或新的密钥相同。第二密钥(KUPenc?S)用于机密地保护UE(10)和SeNB(30)之间的经由U面所传输的第二业务。MeNB(20)将第二密钥(KUPenc?S)发送至SeNB(30)。UE(10)与MeNB(20)进行协商，并且基于协商的结果来推导第二密钥(KUPenc?S)。
【专利说明】
SGE所用的设备、系统和方法
技术领域
[0001 ] 本发明涉及SCE(Small Cell Enhancement，小小区增强)或还被称为“双连接(dual connectivity)”所用的设备、系统和方法，并且特别涉及用以管理SCE所用的密钥的技术。
【背景技术】
[0002]如非专利文献I和2所公开的，3GPP(3rdGenerat1n Partnership Project，第三代合作伙伴计划)已研究了 SCE所用的协议架构。
[0003]此外，例如，非专利文献3公开了:为了使MeNB(Master evolved Node B，主演进型节点B)卸载的目的，经由MeNB和SeNB(Second eNB，次eNB)并行地传输U面(用户面)业务。
[0004]此外，非专利文献4公开了:对于非专利文献3所公开的U面协议架构，需要支持MeNB和SeNB处的单独加密。
[0005]注意，例如，在非专利文献5中公开了LTE(Long Term Evolut1n，长期演进)安全规格。
[0006]引文列表
[0007]非专利文献
[0008]非专利文献1:3GPP TR 36.842，“Evolved Universal Terrestrial Rad1Access(E-UTRA)；Study on Small Cell Enhancements for E-UTRA and E-UTRAN-Higherlayer aspects(Release 12)”，V1.0.0,2013-11，第8.1.I款，pp.32_47
[0009]非专利文献2:3GPPTR 36.932，“Scenar1s and requirements for small cellenhancements for E-UTRA and E_UTRAN(Release 12)”，V12.I.0，2013-03
[0010]非专利文献3:R2-133650，3GPPTSG RAN WG2Meeting#83bis，“Reply LS onsecurity aspects of protocol architectures for small cell enhancements，，
[0011]非专利文献4:RP-132069，3GPPTSG-RAN Meeting#62，“New Work ItemDescript1n；Dual Connectivity for LTE-Core Part，，，第8款
[0012]非专利文献5:3GPPTS 33.401，“3GPP System Architecture Evolut1n(SAE)；Security architecture(ReIease 12)”，V12.9.0，2013-09

【发明内容】

[0013]发明要解决的问题
[0014]然而，本申请的发明人已发现，存在现有的解决方案无法满足非专利文献4所公开的要求的问题。
[0015]因此，本发明的示例性目的是提供用于支持MeNB和SeNB处的单独加密的解决方案。
[0016]用于解决问题的方案
[0017]为了实现上述目的，根据本发明的第一示例性方面的一种无线基站包括:推导部件，用于根据第二密钥推导第一密钥，所述第一密钥用于机密地保护不同的无线基站和无线连接至所述无线基站的UE(用户设备)之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及发送部件，用于将所述第一密钥发送至所述不同的无线基站O
[0018]此外，根据本发明的第二示例性方面的一种无线基站，包括:接收部件，用于从核心网接收第一密钥;发送部件，用于将所述第一密钥发送至不同的无线基站，以供所述不同的无线基站推导第二密钥，所述第二密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0019]此外，根据本发明的第三示例性方面的一种无线基站，包括:推导部件，用于以与切换过程相同的方式，根据第二密钥推导第一密钥，所述第一密钥用于不同的无线基站以推导第三密钥，所述第三密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及发送部件，用于将所述第一密钥发送至所述不同的无线基站。
[0020]此外，根据本发明的第四示例性方面的一种无线基站包括:发送部件，用于将随机值发送至不同的无线基站，以供所述不同的无线基站推导用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务的密钥，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0021 ]此外，根据本发明的第五示例性方面的一种无线基站，包括:推导部件，用于根据第二密钥推导第一密钥，所述第一密钥用于不同的无线基站以推导第三密钥，所述第三密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及发送部件，用于将所述第一密钥发送至所述不同的无线基站。
[0022]此外，根据本发明的第六示例性方面的一种无线基站，包括:接收部件，用于从UE无线连接至的不同的无线基站接收用于机密地保护UE和所述无线基站之间的经由U面所传输的第一业务的密钥，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，该密钥不同于用于机密地保护所述第二业务的密钥。
[0023]此外，根据本发明的第七示例性方面的一种无线基站，包括:接收部件，用于从UE无线连接至的不同的无线基站接收第一密钥；以及推导部件，用于根据所述第一密钥推导第二密钥，所述第二密钥用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，所述第二密钥不同于用于机密地保护所述第二业务的密钥。
[0024]此外，根据本发明的第八示例性方面的一种无线基站，包括:接收部件，用于从UE无线连接至的不同的无线基站接收随机值；以及推导部件，用于通过使用所述随机值来推导用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务的密钥，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，该密钥不同于用于机密地保护所述第二业务的密钥。
[0025]此外，根据本发明的第九示例性方面的节点配置在核心网内。该节点包括:推导部件，用于推导密钥；以及发送部件，用于将所述密钥发送至UE无线连接至的无线基站。该密钥用于不同的无线基站，以推导用于机密地保护该不同的无线基站和无线连接至无线基站的UE之间的经由U面所传输的业务的密钥，其中该业务是与无线基站和UE之间的经由U面的业务并行地进行传输的。
[0026]此外，根据本发明的第十示例性方面的一种UE，包括:协商部件，用于与所述UE无线连接至的无线基站进行协商；以及推导部件，用于基于所述协商的结果来推导用于机密地保护不同的无线基站和所述UE之间的经由U面所传输的业务的密钥，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0027]此外，根据本发明的第十一示例性方面的一种通信系统，包括:UE;所述UE无线连接至的第一无线基站；以及第二无线基站。所述第一无线基站被配置为:根据第二密钥推导第一密钥，所述第一密钥用于机密地保护所述第二无线基站和所述UE之间的经由U面所传输的业务，其中该业务是与所述第一无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述第一无线基站和所述UE之间共享；以及将所述第一密钥发送至所述第二无线基站。所述第二无线基站被配置为从所述第一无线基站接收所述第一密钥。所述UE被配置为:与所述第一无线基站进行协商；以及基于所述协商的结果来推导所述第一密钥。
[0028]此外，根据本发明的第十二示例性方面的一种通信系统，包括:UE;所述UE无线连接至的第一无线基站;第二无线基站；以及节点，其配置在核心网内。所述节点被配置为:推导第一密钥；以及将所述第一密钥发送至所述第一无线基站。所述第一无线基站被配置为:从所述节点接收所述第一密钥；以及将所述第一密钥发送至所述第二无线基站。所述第二无线基站被配置为:从所述第一无线基站接收所述第一密钥；以及根据所述第一密钥来推导第二密钥，所述第二密钥用于机密地保护所述UE和所述第二无线基站之间的经由U面所传输的业务，其中该业务是与所述UE和所述第一无线基站之间的经由所述U面的业务并行地进行传输的。所述UE被配置为:与所述第一无线基站进行协商；以及基于所述协商的结果来推导所述第二密钥。
[0029]此外，根据本发明的第十三示例性方面的一种通信系统，包括:UE;所述UE无线连接至的第一无线基站；以及第二无线基站。所述第一无线基站被配置为:根据第二密钥推导第一密钥，所述第一密钥用于不同的所述第二无线基站以推导第三密钥，所述第三密钥用于机密地保护所述UE和所述第二无线基站之间的经由U面所传输的业务，其中该业务是与所述UE和所述第一无线基站之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述第一无线基站和所述UE之间共享；以及将所述第一密钥发送至所述第二无线基站。所述第二无线基站被配置为:从所述第一无线基站接收所述第一密钥；以及通过使用所述第一密钥来推导所述第三密钥。所述UE被配置为:与所述第一无线基站进行协商；以及基于所述协商的结果来推导所述第三密钥。
[0030]此外，根据本发明的第十四示例性方面的一种通信系统，包括:UE;所述UE无线连接至的第一无线基站；以及第二无线基站。所述第一无线基站被配置为将随机值发送至所述第二无线基站。所述第二无线基站被配置为:从所述第一无线基站接收所述随机值；以及通过使用所述随机值来推导用于机密地保护所述UE和所述第二无线基站之间的经由U面所传输的业务的密钥，该业务是与所述UE和所述第一无线基站之间的经由所述U面的业务并行地进行传输的。所述UE被配置为:与所述第一无线基站进行协商；以及基于所述协商的结果来推导所述密钥。
[0031]此外，根据本发明的第十五示例性方面的方法提供用于控制无线基站中的操作的方法。该方法包括以下步骤:根据第二密钥推导第一密钥，所述第一密钥用于机密地保护不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及将所述第一密钥发送至所述不同的无线基站。
[0032]此外，根据本发明的第十六示例性方面的方法提供用于控制无线基站中的操作的方法。该方法包括以下步骤:从核心网接收第一密钥；以及将所述第一密钥发送至不同的无线基站，以供所述不同的无线基站推导第二密钥，所述第二密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0033]此外，根据本发明的第十七示例性方面的方法提供用于控制无线基站中的操作的方法。该方法包括以下步骤:以与切换过程相同的方式，根据第二密钥推导第一密钥，所述第一密钥用于不同的无线基站以推导第三密钥，所述第三密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及将所述第一密钥发送至所述不同的无线基站。
[0034]此外，根据本发明的第十八示例性方面的方法提供用于控制无线基站中的操作的方法。该方法包括以下步骤:将随机值发送至不同的无线基站，以供所述不同的无线基站推导用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务的密钥，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0035]此外，根据本发明的第十九示例性方面的方法提供用于控制无线基站中的操作的方法。该方法包括以下步骤:根据第二密钥推导第一密钥，所述第一密钥用于不同的无线基站以推导第三密钥，所述第三密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及将所述第一密钥发送至所述不同的无线基站。
[0036]此外，根据本发明的第二十示例性方面的方法提供用于控制无线基站中的操作的方法。该方法包括以下步骤:从UE无线连接至的不同的无线基站接收用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务的密钥，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，所述密钥不同于用于机密地保护所述第二业务的密钥。
[0037]此外，根据本发明的第二十一示例性方面的方法提供用于控制无线基站中的操作的方法。该方法包括以下步骤:从UE无线连接至的不同的无线基站接收第一密钥；以及根据所述第一密钥推导第二密钥，所述第二密钥用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，所述第二密钥不同于用于机密地保护所述第二业务的密钥。
[0038]此外，根据本发明的第二十二示例性方面的方法提供用于控制无线基站中的操作的方法。该方法包括以下步骤:从UE无线连接至的不同的无线基站接收随机值;通过使用所述随机值来推导用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务的密钥，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，所述密钥不同于用于机密地保护所述第二业务的密钥。
[0039]此外，根据本发明的第二十三示例性方面的方法提供用于控制配置在核心网内的节点中的操作的方法。该方法包括以下步骤:推导密钥；以及将所述密钥发送至UE无线连接至的无线基站。该密钥用于不同的无线基站，以推导用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务的密钥，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0040]此外，根据本发明的第二十四示例性方面的方法提供用于控制UE中的操作的方法。该方法包括以下步骤:与所述UE无线连接至的无线基站进行协商；以及基于所述协商的结果来推导用于机密地保护不同的无线基站和所述UE之间的经由U面所传输的业务的密钥，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0041]此外，根据本发明的第二十五示例性方面的方法提供一种用于保护移动通信系统中的通信的方法，所述移动通信系统包括UE(用户设备)和多个基站，所述UE能够连接至所述多个基站以进行双连接。该方法包括以下步骤:利用第一基站，根据第一密钥来推导第二密钥;利用所述第一基站，将所述第二密钥发送至第二基站;利用所述第二基站，根据所述第二密钥来推导第三密钥;利用所述第一基站，将与第四密钥有关的信息或参数发送至所述UE;以及利用所述UE，推导用户面的加密所用的所述第四密钥。所述第三密钥和所述第四密钥是相同的密钥，并且使用所述相同的密钥来对所述第二基站和所述UE之间的通信进行加密。
[0042]此外，根据本发明的第二十六示例性方面的一种移动通信系统，包括:第一基站；第二基站；以及用户设备即UE，其能够连接至所述第一基站和所述第二基站，以进行双连接。所述第一基站根据第一密钥来推导第二密钥，并且将所述第二密钥发送至所述第二基站。所述第二基站根据所述第二密钥来推导第三密钥。所述第一基站将与第四密钥有关的信息或参数发送至所述UE。所述UE推导用户面的加密所用的所述第四密钥。所述第三密钥和所述第四密钥是相同的密钥，并且使用所述相同的密钥来对所述第二基站和所述UE之间的通信进行加密。
[0043]此外，根据本发明的第二十七示例性方面的基站在移动通信系统中进行双连接。该基站包括:第一单元，用于连接用户设备即UE;以及第二单元，用于根据从不同基站所接收到的不同密钥来推导密钥。所推导出的密钥与所述UE所推导出的密钥相同，并且用于对与所述UE的通信进行加密。
[0044]此外，根据本发明的第二十八示例性方面的UE(用户设备)用在移动通信系统中。该UE包括:第一单元，用于连接至第一基站和第二基站，以进行双连接；以及第二单元，用于推导密钥。所述第一单元从所述第一基站接收与加密密钥有关的信息或参数。所述第二单元推导所述加密密钥。所述加密密钥与所述第二基站所推导出的密钥相同，并且用于对与所述第二基站的通信进行加密。
[0045]发明的效果
[0046]根据本发明，可以解决上述问题，因而可以提供用于支持MeNB和SeNB处的单独加密的解决方案。
【附图说明】
[0047]图1是示出本发明的第一典型实施例?第四典型实施例通用的通信系统中的C面协议架构的示例的框图。
[0048]图2是示出第一典型实施例?第四典型实施例通用的通信系统中的U面协议架构的示例的框图。
[0049]图3是示出根据第一典型实施例的通信系统中的密钥层级的一个示例的框图。
[0050]图4是示出根据第一典型实施例的通信系统中的操作的示例的序列图。
[0051]图5是示出根据第一典型实施例的通信系统中的密钥层级的另一示例的框图。
[0052]图6是示出根据第二典型实施例的通信系统中的密钥层级的一个示例的框图。
[0053]图7是示出根据第二典型实施例的通信系统中的操作的一个示例的序列图。
[0054]图8是示出根据第二典型实施例的通信系统中的密钥层级的另一示例的框图。
[0055]图9是示出根据第二典型实施例的通信系统中的操作的另一示例的序列图。
[0056]图10是示出根据第三典型实施例的通信系统中的操作的示例的框图。
[0057]图11是示出根据第四典型实施例的通信系统中的密钥层级的示例的框图。
[0058]图12是示出第一典型实施例?第四典型实施例通用的第一无线基站的结构示例的框图。
[0059]图13是示出第一典型实施例?第四典型实施例通用的第二无线基站的结构示例的框图。
[0060]图14是示出根据第二典型实施例的节点的结构示例的框图。
[0061]图15是示出第一典型实施例?第四典型实施例通用的UE的结构示例的框图。
[0062]图16是示出非专利文献I所公开的U面架构IA的框图。
【具体实施方式】
[0063]以下将利用附图来说明根据本发明的无线基站、节点和UE、以及这些无线基站、节点和UE应用于的通信系统的第一典型实施例?第四典型实施例。
[0064]图1示出第一典型实施例?第四典型实施例通用的通信系统中的C面(控制面)协议架构的示例。
[0065]对于C面，通信系统包括UE10、MeNB 20^SeNB 30和MME(Mobility ManagementEntity，移动性管理实体)40。1? 10经由Uu接口与MeNB 20进行通信。MeNB 20经由X2-C接口与SeNB 30进行通信，并且经由Sl-MME接口与MME 40进行通信。经由C面进行键控相关信令。
[0066]图2示出通信系统中的U面协议架构的示例。
[0067]对于U面，通信系统还包括SGW(Serving Gateway，服务网关)50。]^陬20和SeNB 30各自经由Sl-U接口与SGW 50进行通信。在该架构中，为了使MeNB 20卸载的目的(换句话说，为了使MeNB 20和SGW 50之间的回程Sl-U接口卸载的目的)，经由MeNB 20和SeNB 30并行地传输U面业务。
[0068]接着，将参考图3?11来说明第一典型实施例?第四典型实施例的详情。注意，后面将参考图12?15来说明UE 10、MeNB 20^SeNB 30和MME 40的结构示例。
[0069]〈第一典型实施例:基于同一KeNB的新密钥〉
[0070]在本典型实施例中，根据同一KeNB来推导用于机密地保护UE 10与MeNB20和SeNB30之间的U面业务的新密钥(以下有时称为“UP密钥” )oMeNB 20推导SeNB 30所用的UP密钥，并且将该UP密钥发送至SeNB 30。
[0071 ]关于如何推导UP密钥，如下所述存在两个方案。
[0072](方案I)
[0073]图3不出该方案中的密钥层级。图不的密钥层级包括KeNB、KRRCenc、KRRCint、KuPint、
KuPenc 矛口 KllPenc-S ο
[0074]在这些密钥中，KeNB是UE 10和MeNB 20之间的通信时所共享的密钥，并且可以由UE10和MME 40根据KASffi推导出。Krw是可以根据KeNB推导出、并且用于利用特定加密算法保护RRC(Rad1 Resource Control，无线资源控制)业务的密钥。KRmt是可以根据KeNB推导出、并且用于利用特定完整性算法保护RRC业务的密钥。KUPint是可以根据K.推导出、并且用于利用特定完整性算法保护RN(Relay Node，中继节点)和DeNB(Donner eNB，施主eNB)之间的U面业务的密钥。KUPenc是可以根据KeNB推导出、并且用于利用特定加密算法保护UE和eNB之间的U面业务的密钥。
[0075]另一方面，Kufw-s是本典型实施例特有的新的UP密钥。稍后在以下的方案2中所述的Kw—m也是本典型实施例特有的新的UP密钥。
[0076]在操作中，如图4所示，MME40首先根据1(/?￡推导1((^(步骤311)，然后将所推导出的KeNB发送至MeNB 20(步骤S12)。
[0077]在需要的情况下，SeNB 30向MeNB 20通知算法彳目息(步骤S13)。例如，该算法彳目息表示SeNB 30可以支持的加密所用的算法等。
[0078]MeNB 20根据所接收到的KeNB来以彼此不同的方式推导Kupenc和Kupenc-S(步骤S14)。
[0079]然后，MeNB 20将所推导出的KUPenc—s发送至SeNB 30(步骤S15) JeNBSO可以将SeNB30处的加密所需的其它参数发送至SeNB 30。
[0080]与上述的步骤S14和S15并行地，MeNB 20与UE 10进行协商，使得UE 10可以推导出相同的Kupenc和Kup.—s(步骤S16)。具体地，MeNB 20将推导Kupenc-M和Kupenc-S所需的信息(诸如一些参数和表示加密算法的指示符等)发送至UE 10。
[0081 ] UE 10基于通过协商所获得的信息来推导Kupenc-M和Kupenc-S(步骤S17)。
[0082]注意，尽管省略了图示，但MeNB 20对UP密钥(特别是对SeNB 30所用的UP密钥)进行管理，诸如UP密钥的更新和/或删除、以及针对单独PDCP(Packet Data ConvergenceProtocol，包数据汇聚协议)COUNT的控制等。UElO还以与MeNB 20相同的方式对UP密钥进行管理。这些说明同样可以适用于以下的方案2以及第二典型实施例和第三典型实施例。
[0083]因而，如图4中的虚线所示，可以利用单独的Kupenc和Kmw—s来保护UE 10与MeNB 20和SeNB 30之间的U面业务。
[0084]在该方案中，ΚυΡ.可以是由典型的eNB根据KeNB可以推导出的现有密钥。换句话说，在应用该方案时对现有eNB的影响仅在于推导KUPenc—s，使得可以有效地推导UP密钥。
[0085](方案2)
[0086]图5示出该方案中的密钥层级。图示的密钥层级与图3所示的密钥层级的不同之处在于:根据KuPenc来推导单独的KUPenc-M和KUPenc-S。
[0087]在操作中，作为上述的图4所示的步骤S14的替代，MeNB20首先根据所接收到的
KeNB推导KuPenc，然后根据KuPen。推导KuPen。-M和KuPenc-S。
[0088]在该方案中，新推导出KUPenc—M和KUPenc—s这两者，使得可以与方案I相比更确定地进行U面保护。
[0089]〈第二典型实施例:基于不同的Κ.的新密钥〉
[0090]在本典型实施例中，根据不同的KeNB来推导UP密钥。关于如何推导UP密钥，存在如下所述的两个方案。
[0091](方案I)
[0092]图6示出该方案中的密钥层级。图示的密钥层级包括单独的Ke3NB-M和Ke3NB-SC3Ke3NB-M是MeNB 20推导KRRCenc、KRRCint、KuPint和KuPenc所使用的密钥。另一方面，KeNB-S是SeNB 30推导KuPenc所使用的密钥。MeNB 20所推导出的Kupenc不同于SeNB 30所推导出的Kupenc，这是因为KeNB—μ和KeNB-S彼此不同。
[0093]在操作中，如图7所示，MME 40首先根据Kasme推导单独的KeNB—μ和KeNB—s(步骤S21)，然后将所推导出的KeNB-M和KeNB—S发送至MeNB 20(步骤S22)。
[0094]在需要的情况下，SeNB 30向MeNB 20通知算法信息(步骤S23)。
[0095]MeNB 20根据所接收到的KeNB—μ来推导自身的Kmw(步骤S24)，然后将所接收到的KeNB—s发送至SeNB 30 (步骤S25)。
[0096]SeNB 30根据所接收到的KeNB—s来推导自身的Kufw(步骤S26)。
[0097]与上述的步骤S24?S26并行地，MeNB 20与UE 10进行协商，使得UE 10可以推导MeNB 20和SeNB 30所用的这两个Kupenc(步骤S27)。具体地，MeNB20将推导MeNB 20和SeNB 30所用的这两个Kup.所需的信息(诸如一些参数和表示加密算法的指示符等)发送至UE 10。
[0098]UE 10基于通过协商所获得的信息来推导MeNB 20和SeNB 30所用的这两个KUPenc(步骤S28)。
[0099]因而，如图7中的虚线所示，可以利用单独的UP密钥来保护UE 10与MeNB 20和SeNB30之间的U面业务。
[0100](方案2)
[0101]图8示出该方案中的密钥层级。图示的密钥层级与图6所示的密钥层级的不同之处在于:以与典型的切换过程相同的方式来根据KeNB-M推导KeNB**，并且使用该KeNB**作为KeNB-S。将该KeNB#从MeNB 20发送至SeNB 30。
[0102]在操作中，如图9所示，MME40首先根据KASffi推导KeNB-M(步骤S31)，然后将所推导出的KeNB—M发送至MeNB 20 (步骤S32)。
[0103]MeNB 20推导KUPenc，并且如切换那样、根据所接收到的KeNB—μ来推导KeNB**(步骤S33)0
[0104]此外，MeNB 20将所推导出的KeNB#发送至SeNB 30(步骤S34)。
[0105]SeNB 30使用KeNB**作为KeNB—s(步骤S35)，然后根据KeNB—s推导自身的Kmw(步骤S36)0
[0106]与上述的步骤S33?S36并行地，MeNB 20与UE 10进行协商，使得UE 10可以推导MeNB 20和SeNB 30所用的这两个Kupenc(步骤S37)。具体地，MeNB20将推导MeNB 20和SeNB 30所用的这两个Kup.所需的信息(诸如一些参数和表示加密算法的指示符等)发送至UE 10。
[0107]UE 10基于通过协商所获得的信息来推导MeNB 20和SeNB 30所用的这两个KUPenc(步骤S38)。
[0108]因而，如图9中的虚线所示，可以与方案I相同、利用单独的UP密钥来保护UE10与MeNB 20和SeNB 30之间的U面业务。
[0109]此外，在该方案中，KeNB-M可以是现有的KeNB。因此，可以使在应用该方案时对现有的MME的影响最小化。
[0110]〈第三典型实施例:基于不同参数的新密钥〉
[0111]在本典型实施例中，基于不同的参数来推导UP密钥。
[0112]具体地，如图10所示，MeNB 20将随机值(随机数)发送至SeNB 30<^θΝΒ30通过使用从MeNB 20接收到的随机值来推导自身的UP密钥。可以在协商时将用于推导SeNB 30所用的UP密钥的参数等从MeNB 20发送至UE 10。
[0113]因而，在本典型实施例中，与上述的第一典型实施例和第二典型实施例相同，可以利用单独的UP密钥来保护UE 1与MeNB 2和SeNB 30之间的U面业务。
[0114]此外，在本典型实施例中，UP密钥自身不是从MeNB 20发送至SeNB 30的。因此，可以防止UP密钥被恶意截获。
[0115]〈第四典型实施例〉
[0116]图11示出本典型实施例中的密钥层级。图示的密钥层级与图8所示的密钥层级的不同之处在于:作为KeNB**的替代，根据KeNB-M推导Kxx，并且根据Kxx推导SeNB 30所用的KuPenc ο将Kxx从MeNB 20发送至SeNB 30。
[0117]在操作中，尽管省略了图不，但MeNB 20推导自身的KuPenc，并且根据KeNB-M推导Kxx。然后，MeNB 20将所推导出的Kxx发送至SeNB 30。
[0118]SeNB 30根据Kxx推导自身的KUPenco
[0119]与这些处理并行地，MeNB 20与UE 10进行协商，使得UE 10可以推导MeNB 20和SeNB 30所用的这两个Kupenc。具体地，MeNB 20将推导MeNB 20和SeNB 30所用的这两个Kupenc所需的信息(诸如一些参数和表示加密算法的指示符等)发送至UE 10。
[0120]UE 10基于通过协商所获得的信息来推导MeNB 20和SeNB 30所用的这两个KUPenc。
[0121]因而，与上述的第一典型实施例?第三典型实施例相同，可以利用单独的UP密钥来保护UE 10与MeNB 20和SeNB 30之间的U面业务。此外，在本典型实施例中，KeNB—μ可以是现有的K.。因此，可以使在应用本典型实施例时对现有的MME的影响最小化。
[0122]接着，将说明UE 10、MeNB 20^SeNB 30和MME 40的结构示例。
[0123]如图12所示，MeNB 20包括推导单元21和发送单元22。在图4所示的操作中，推导单元21根据KeNB推导单独的Kupenc和Kmw—s。发送单元22将Kmw—s发送至SeNB 30。对于图7所示的操作，MeNB 20还可以包括接收单元23。接收单元23从MME 40接收单独的KeNB—μ和KeNB—S。推导单元21根据KeNB—M推导KUPenc。发送单元22将KeNB—S发送至SeNB 30。在图9所示的操作中，推导单元21根据KeNB—M推导Kmw和KeNB#。发送单元22将KeNB#发送至SeNB 30。在图10所示的操作中，推导单元21例如根据KeNB推导Kmw。发送单元22将随机值发送至SeNB 30。此外，MeNB 20还可以包括协商单元24，其中该协商单元24用于与UE 10进行协商。在上述的第四典型实施例所示的操作中，推导单元21根据KeNB-M推导Kufw和Kxx。发送单元22将Kxx发送至SeNB 30。此外，MeNB 20还可以包括管理单元25，其中该管理单元25用于对UP密钥进行管理。注意，这些单元21?25经由总线等彼此相互连接。这些单元21?25例如可以由以下配置成:用于经由Uu接口与UE 10进行通信的收发器、用于经由X2-C接口与SeNB 30进行通信的收发器、用于经由Sl-MME接口与MME 40进行通信的收发器、以及用于控制这些收发器的诸如CPU(中央处理单元)等的控制器。
[0124]如图13所示，SeNB30至少包括接收单元31。在图4所示的操作中，接收单元31从MeNB 20接收Kupenc-S。对于图7、9和10所示的操作，SeNB 30还可以包括推导单元32。在图7所示的操作中，接收单元31从MeNB 20接收KeNB—S。推导单元32根据KeNB—s推导KUPenc。在图9所示的操作中，接收单元31从MeNB20接收K.**。推导单元32使用K.**作为KeNB—s，并且根据KeNB—s推导KUPenc。在图10所示的操作中，接收单元31从MeNB 20接收随机值。推导单元32通过使用该随机值来推导Κυρ.。在上述的第四典型实施例所示的操作中，接收单元31从MeNB 20接收Kxx。推导单元32根据Kxx推导Kupen。。注意，这些单元31和32经由总线等彼此相互连接。这些单元31和32例如由以下配置成:用于经由X2-C接口与MeNB 20进行通信的收发器、以及用于控制该收发器的诸如CHJ等的控制器。
[0125]如图14所示，MME 40包括推导单元41和发送单元42，以进行图7所示的操作。推导单兀41根据Kasme推导KeNB-M和KeNB-S。发送单兀42将KeNB-M和KeNB-S发送至MeNB 20。注意，这些单元41和42经由总线等彼此相互连接。这些单元41和42例如可以由以下配置成:用于经由Sl-MME接口与MeNB 20进行通信的收发器、以及用于控制该收发器的诸如CPU等的控制器。
[0126]如图15所示，UE 10包括协商单元11和推导单元12。协商单元11与MeNB20进行协商。推导单元12基于通过协商所获得的信息来推导单独的UP密钥。此外，UE 10可以包括管理单元13，其中该管理单元13用于对UP密钥进行管理。注意，这些单元11?13经由总线等彼此相互连接。这些单元11?13例如可以由以下配置成:用于经由Uu接口与MeNB 20进行通信的收发器、以及用于控制该收发器的诸如(PU等的控制器。
[0127]基于以上说明，将向3GPP提出以下的两个文献。
[0128]将如下所述提出这些文献中的一个文献。
[0129]1.引言
[0130]SA3从SA全体会议(SP-130720)接收到请求利用RAN(Rad1 Access Network，无线接入网络)标识的解决方案所暗示的潜在影响的概述的LS。
[0131]在这一贡献中，研究针对用户面架构IA的安全影响并且提出针对SAP的应答。
[0132]2.论述
[0133]在该部分中，论述用户面架构IA的安全影响。
[0134]2.1用户面架构IA
[0135]用户面承载在SeNB处直接终止，并且将得到两个独立的PDCP实体。图16示出TR36.842中的方案1A。这意味着应在SeNB I3DCP处进行在SeNB处终止的承载的加密。针对方案IA的RRC在MeNB处，因而密钥管理也在MeNB处。在SeNB处需要加密密钥以进行用户面数据的加密和解密。
[0136]解决方案方向
[0137]方案1:MeNB处的KeNB用于进行SeNB加密密钥推导，并且经由Xn接口进行传送。
[0138]Xn是MeNB和SeNB之间的接口。Xn应通过例如使用与SI和X2相同的安全解决方案来提供足够的安全性。
[0139]影响:
[0140]l)MeNB应推导UE和SeNB之间的用户面加密所用的新密钥。该密钥应不同于KUPenc0
[0141]2)MeNB将该密钥和加密所需的参数经由X2接口发送至SeNB。
[0142]3)MeNB管理PDCP COUNT。
[0143]4)UE应推导与SeNB的用户面加密所用的相同的密钥。
[0144]5)针对密钥层级的改变:应向当前的密钥层级添加新密钥。
[0145]6)可以改变AS(Access Stratum，接入层)SMC(Security Mode Command，安全模式命令)过程。
[0146]方案2: UE和MeNB使用切换过程来计算SeNB所用的KeNB*。
[0147]UE和MeNB基于KeNB*生成过程来生成SeNB所用的KeNB*(或者KeNB**，以使该KeNB**与切换情况区分开)。一旦MeNB确定了双连接、并且在向UE通知了双连接的情况下该UE进行双连接，MeNB就生成KeNB*;经由Xn信令来通知SeNB。在MeNB处，仍必须利用AS密钥对RRC消息(例如，RRC Reconf ig完成)进行加密，这是因为RRC在MeNB中终止。该方案可以从管理切换和双连接所用的不同组的密钥方面添加密钥管理相关复杂度。
[0148]影响:
[0149]l)MeNB使用K*eNB生成过程来推导要用作SeNB处的KSeNB的K*eNB。
[0150]2 )MeNB 将 K*eNB 经由 X2 接口 发送至 SeNB。
[0151]3)SeNB根据KSeNB推导用户面数据加密所用的加密密钥。
[0152]4)MeNB将该密钥和加密所需的参数经由X2接口发送至SeNB。
[0153]5)MeNB管理PDCP COUNT。
[0154]6)UE应推导与SeNB的用户面加密所用的相同的K*eNB和加密密钥。
[0155]7 )MeNB和UE这两者都应保持KeNB并且对KSeNB进行密钥管理。
[0156]8)针对密钥层级的改变:应向当前的密钥层级添加新密钥。
[0157]方案3:运行SeNB所用的新的AKA过程。
[0158]MME和UE必须维持两个主动安全上下文，并且切换信令也将变得复杂。在SMC过程中还将需要修改。AKA(Authenticat1n and Key Agreement，鉴权与密钥协商)过程在UE实现时的附加信令负载和复杂度方面是昂贵的。
[0159]影响:
[0160]I )MME和UE应推导并管理MeNB和SeNB所用的两个KeNB。
[0161]2 )MME 将 KSeNB 经由 MeNB 发送至 SeNB。
[0162]3) SeNB应根据KSeNB推导用户面加密所用的加密密钥。
[0163]4)MeNB将该密钥和加密所需的参数经由X2接口发送至SeNB。
[0164]5)MeNB管理PDCP COUNT。
[0165]6) UE应推导与SeNB的用户面加密所用的相同的密钥。
[0166]7)针对密钥层级的改变:应向当前的密钥层级添加新密钥。
[0167]8)可以改变NAS(Non_Access Stratum，非接入层)和AS SMC过程。
[0168]其它问题
[0169 ]针对所有方案要研究的其它问题是安全性能、切换和动态的密钥改变的处理。
[0170]由于操作员可以确保部署，因此假定MeNB和SeNB具有相同的安全性能将是安全的。然而，如果支持不同的性能，则必须通知UE以根据各个节点中的所支持的算法来推导密钥。
[0171]基于以上，显而易见，为了保护UE和SeNB之间的用户面机密性保护，对当前密钥层级、MeNB和SeNB、UE以及/或者MME产生了影响。
[0172]结论1:对当前密钥层级、UE以及密钥管理所用的网络节点(eNB和/SMME)产生了影响。
[0173]3.提议
[0174]针对SA3提出以下:
[0175]按照结论I回复SA。在S3-131XXX中提供按照以上的针对SA的草案LS应答。
[0176]结论1:对当前密钥层级、UE以及密钥管理所用的网络节点(eNB和/SMME)产生了影响。
[0177]4.参考文献
[0178]1.针对以下的SP-130720应答:与RAN中的小小区增强作业有关的LS
[0179]将如下所述提出这些文献中的另一文献。
[0180]1.整体描述:
[0181]SA3论述了针对用户面架构IA的安全影响并且得出以下结论。
[0182]用户面架构1A:
[0183]SA3论述了用以解决具有独立的I3DCP的SeNB中的安全上下文处理的若干解决方案以及用以生成SeNB所用的加密密钥的方法。在该阶段，SA3认为将对当前密钥层级、UE和网络实体(eNB和/或MME)产生影响。
[0184]-针对密钥层级的影响
[0185]-应向当前的密钥层级添加新密钥
[0186]-针对SMC过程的影响
[0187]-将对ASSMC过程产生影响
[0188]-可能会对NASSMC过程产生影响
[0189]-针对MeNB的影响:
[0190]-MeNB推导所需密钥并将该所需密钥发送至SeNB
[0191 ]-由于RRC在MeNB处终止，因此MeNB进行密钥管理并维持PDCP COUNT
[0192]-MeNB将用户数据加密所用的参数提供至SeNB
[0193]-MeNB根据动态的密钥变化、切换、RRC连接失败来管理任何变化。
[0194]-针对SeNB的影响
[0195]-SeNB可能需要推导加密密钥
[0196]-SeNB可能需要将算法信息提供至MeNB
[0197]-针对UE的影响
[0198]-UE应对密钥进行密钥管理
[0199]注意，本发明不限于上述典型实施例，并且显而易见，本领域普通技术人员可以基于权利要求书的陈述来进行各种修改。
[0200]以上所公开的典型实施例的全部或一部分可被描述为、但不限于以下的补充说明。
[0201](补充说明I)
[0202]一种无线基站，包括:
[0203]推导部件，用于根据第二密钥推导第一密钥，所述第一密钥用于机密地保护不同的无线基站和无线连接至所述无线基站的UE(用户设备)之间的经由U面(用户面)所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共用；以及
[0204]发送部件，用于将所述第一密钥发送至所述不同的无线基站。
[0205](补充说明2)
[0206]根据补充说明I所述的无线基站，其中，
[0207]所述第二密钥包括标准化后的KeNB，以及
[0208]所述推导部件被配置为:
[0209]根据所述KeNB推导标准化后的KuPenc;以及
[0210]推导与所述KUP.不同的密钥作为所述第一密钥。
[0211](补充说明3)
[0212]根据补充说明I所述的无线基站，其中，
[0213]所述第二密钥包括标准化后的KeNB，以及
[0214]所述推导部件被配置为:
[0215]根据所述KeNB推导标准化后的KuPenc;以及
[0216]根据所述KUPenc来推导所述第一密钥和第三密钥以使其彼此不同，所述第三密钥用于保护所述无线基站和所述UE之间的经由所述U面的业务。
[0217](补充说明4)
[0218]根据补充说明I至3中任一项所述的无线基站，其中，还包括:
[0219]协商部件，用于与所述UE进行协商，以使得所述UE能够推导所述第一密钥。
[0220](补充说明5)
[0221]根据补充说明I至4中任一项所述的无线基站，其中，还包括:
[0222]管理部件，用于对所述第一密钥进行管理。
[0223](补充说明6)
[0224]一种无线基站，包括:
[0225]接收部件，用于从核心网接收第一密钥；以及
[0226]发送部件，用于将所述第一密钥发送至不同的无线基站，以供所述不同的无线基站推导第二密钥，所述第二密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0227](补充说明7)
[0228]根据补充说明6所述的无线基站，其中，所述第一密钥包括与分配至所述无线基站的KeNB不同的KeNB。
[0229](补充说明8)
[0230]根据补充说明6或7所述的无线基站，其中，还包括:
[0231 ]协商部件，用于与所述UE进行协商，以使得所述UE能够推导所述第二密钥。
[0232](补充说明9)
[0233]根据补充说明6至8中任一项所述的无线基站，其中，还包括:
[0234]管理部件，用于对所述第二密钥进行管理。
[0235](补充说明10)
[0236]一种无线基站，包括:
[0237]推导部件，用于以与切换过程相同的方式来根据第二密钥推导第一密钥，所述第一密钥用于不同的无线基站以推导第三密钥，所述第三密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及
[0238]发送部件，用于将所述第一密钥发送至所述不同的无线基站。
[0239](补充说明11)
[0240]根据补充说明10所述的无线基站，其中，还包括:
[0241 ]协商部件，用于与所述UE进行协商，以使得所述UE能够推导所述第三密钥。
[0242](补充说明I2)
[0243]根据补充说明10或11所述的无线基站，其中，还包括:
[0244]管理部件，用于对所述第三密钥进行管理。
[0245](补充说明I3)
[0246]一种无线基站，包括:
[0247]发送部件，用于将随机值发送至不同的无线基站，以供所述不同的无线基站推导密钥，所述密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0248](补充说明14)
[0249]根据补充说明13所述的无线基站，其中，还包括:
[0250]协商部件，用于与所述UE进行协商，以使得所述UE能够推导所述密钥。
[0251](补充说明15)
[0252]根据补充说明13或14所述的无线基站，其中，还包括:
[0253]管理部件，用于对所述密钥进行管理。
[0254](补充说明16)
[0255]一种无线基站，包括:
[0256]推导部件，用于根据第二密钥推导第一密钥，所述第一密钥用于不同的无线基站以推导第三密钥，所述第三密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及
[0257]发送部件，用于将所述第一密钥发送至所述不同的无线基站。
[0258](补充说明17)
[0259]根据补充说明16所述的无线基站，其中，还包括:
[0260]协商部件，用于与所述UE进行协商，以使得所述UE能够推导所述第三密钥。
[0261](补充说明18)
[0262]根据补充说明16或17所述的无线基站，其中，还包括:
[0263]管理部件，用于对所述第三密钥进行管理。
[0264](补充说明19)
[0265]一种无线基站，包括:
[0266]接收部件，用于从UE无线连接至的不同的无线基站接收用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务的密钥，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，该密钥不同于用于机密地保护所述第二业务的密钥。
[0267](补充说明2O)
[0268]一种无线基站，包括:
[0269]接收部件，用于从UE无线连接至的不同的无线基站接收第一密钥；以及
[0270]推导部件，用于根据所述第一密钥推导第二密钥，所述第二密钥用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，所述第二密钥不同于用于机密地保护所述第二业务的密钥。
[0271](补充说明21)
[0272]一种无线基站，包括:
[0273]接收部件，用于从UE无线连接至的不同的无线基站接收随机值;以及
[0274]推导部件，用于通过使用所述随机值来推导用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务的密钥，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，该密钥不同于用于机密地保护所述第二业务的密钥。
[0275](补充说明22)
[0276]—种节点，其配置在核心网内，所述节点包括:
[0277]推导部件，用于推导密钥；以及
[0278]发送部件，用于将所述密钥发送至UE无线连接至的无线基站，
[0279]其中，所述密钥用于不同的无线基站以推导密钥，所述密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0280](补充说明23)
[0281]一种 UE，包括:
[0282]协商部件，用于与所述UE无线连接至的无线基站进行协商；以及
[0283]推导部件，用于基于所述协商的结果来推导密钥，所述密钥用于机密地保护不同的无线基站和所述UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0284](补充说明24)
[0285]根据补充说明23所述的UE，其中，还包括:
[0286]管理部件，用于对所述密钥进行管理。
[0287](补充说明25)
[0288]—种通信系统，包括:
[0289]UE；
[0290]所述UE无线连接至的第一无线基站；以及
[0291]第二无线基站，
[0292]其中，所述第一无线基站被配置为:
[0293]根据第二密钥推导第一密钥，所述第一密钥用于机密地保护所述第二无线基站和所述UE之间的经由U面所传输的业务，该业务是与所述第一无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述第一无线基站和所述UE之间共享；以及
[0294]将所述第一密钥发送至所述第二无线基站，
[0295]所述第二无线基站被配置为从所述第一无线基站接收所述第一密钥，以及
[0296]所述UE被配置为:
[0297]与所述第一无线基站进行协商；以及
[0298]基于所述协商的结果来推导所述第一密钥。
[0299](补充说明％)
[0300]一种通彳目系统，包括:
[0301]UE；
[°3°2]所述UE无线连接至的第一无线基站；
[0303]第二无线基站；以及节点，其配置在核心网内，
[0304]其中，所述节点被配置为:
[0305]推导第一密钥；以及
[0306]将所述第一密钥发送至所述第一无线基站，
[0307]所述第一无线基站被配置为:
[0308]从所述节点接收所述第一密钥；以及
[0309]将所述第一密钥发送至所述第二无线基站，
[0310]所述第二无线基站被配置为:
[0311 ]从所述第一无线基站接收所述第一密钥；以及
[0312]根据所述第一密钥来推导第二密钥，所述第二密钥用于机密地保护所述UE和所述第二无线基站之间的经由U面所传输的业务，其中该业务是与所述UE和所述第一无线基站之间的经由所述U面的业务并行地进行传输的，以及
[0313]所述UE被配置为:
[0314]与所述第一无线基站进行协商；以及
[0315]基于所述协商的结果来推导所述第二密钥。
[0316](补充说明27)
[0317]—种通信系统，包括:
[0318]UE；
[0319]所述UE无线连接至的第一无线基站；以及
[0320]第二无线基站，
[0321 ]其中，所述第一无线基站被配置为:
[0322]根据第二密钥推导第一密钥，所述第一密钥用于不同的所述第二无线基站以推导第三密钥，其中所述第三密钥用于机密地保护所述UE和所述第二无线基站之间的经由U面所传输的业务，该业务是与所述UE和所述第一无线基站之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述第一无线基站和所述UE之间共享;以及
[0323]将所述第一密钥发送至所述第二无线基站，
[0324]所述第二无线基站被配置为:
[0325]从所述第一无线基站接收所述第一密钥；以及
[0326]通过使用所述第一密钥来推导所述第三密钥，以及
[0327]所述UE被配置为:
[0328]与所述第一无线基站进行协商；以及
[0329]基于所述协商的结果来推导所述第三密钥。
[0330](补充说明28)
[0331]—种通信系统，包括:
[0332]UE；
[0333]所述UE无线连接至的第一无线基站；以及
[0334]第二无线基站，
[0335]其中，所述第一无线基站被配置为将随机值发送至所述第二无线基站，
[0336]所述第二无线基站被配置为:
[0337]从所述第一无线基站接收所述随机值;以及
[0338]通过使用所述随机值来推导密钥，所述密钥用于机密地保护所述UE和所述第二无线基站之间的经由U面所传输的业务，该业务是与所述UE和所述第一无线基站之间的经由所述U面的业务并行地进行传输的，以及
[0339]所述UE被配置为:
[0340]与所述第一无线基站进行协商；以及
[0341]基于所述协商的结果来推导所述密钥。
[0342](补充说明29)
[0343 ] 一种控制无线基站中的操作的方法，所述方法包括以下步骤:
[0344]根据第二密钥推导第一密钥，所述第一密钥用于机密地保护不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及
[0345]将所述第一密钥发送至所述不同的无线基站。
[0346](补充说明3O)
[0347 ] 一种控制无线基站中的操作的方法，所述方法包括以下步骤:
[0348]从核心网接收第一密钥；以及
[0349]将所述第一密钥发送至不同的无线基站，以供所述不同的无线基站推导第二密钥，所述第二密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0350](补充说明31)
[0351 ] 一种控制无线基站中的操作的方法，所述方法包括以下步骤:
[0352]以与切换过程相同的方式，根据第二密钥推导第一密钥，所述第一密钥用于不同的无线基站以推导第三密钥，所述第三密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及
[0353]将所述第一密钥发送至所述不同的无线基站。
[0354](补充说明32)
[0355]—种控制无线基站中的操作的方法，所述方法包括以下步骤:
[0356]将随机值发送至不同的无线基站，以供所述不同的无线基站推导密钥，所述密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0357](补充说明33)
[0358]—种控制无线基站中的操作的方法，所述方法包括以下步骤:
[0359]根据第二密钥推导第一密钥，所述第一密钥用于不同的无线基站以推导第三密钥，所述第三密钥用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的，所述第二密钥在所述无线基站和所述UE之间共享；以及
[0360]将所述第一密钥发送至所述不同的无线基站。
[0361](补充说明:34)
[0362 ] 一种控制无线基站中的操作的方法，所述方法包括以下步骤:
[0363]从UE无线连接至的不同的无线基站接收用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务的密钥，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，该密钥不同于用于机密地保护所述第二业务的密钥。
[0364](补充说明35)
[0365]—种控制无线基站中的操作的方法，所述方法包括以下步骤:
[0366]从UE无线连接至的不同的无线基站接收第一密钥；以及
[0367]根据所述第一密钥推导第二密钥，所述第二密钥用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，所述第二密钥不同于用于机密地保护所述第二业务的密钥。
[0368](补充说明36)
[0369 ] 一种控制无线基站中的操作的方法，所述方法包括以下步骤:
[0370]从UE无线连接至的不同的无线基站接收随机值；以及
[0371]通过使用所述随机值来推导用于机密地保护所述UE和所述无线基站之间的经由U面所传输的第一业务的密钥，其中所述第一业务是与所述不同的无线基站和所述UE之间的经由所述U面的第二业务并行地进行传输的，该密钥不同于用于机密地保护所述第二业务的密钥。
[0372](补充说明37)
[0373]—种控制节点中的操作的方法，所述节点配置在核心网内，所述方法包括以下步骤:
[0374]推导密钥；以及
[0375]将所述密钥发送至UE无线连接至的无线基站，
[0376]其中，所述密钥用于不同的无线基站，以推导用于机密地保护所述不同的无线基站和无线连接至所述无线基站的UE之间的经由U面所传输的业务的密钥，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0377](补充说明38)
[0378]一种控制UE中的操作的方法，所述方法包括以下步骤:
[0379]与所述UE无线连接至的无线基站进行协商；以及
[0380]基于所述协商的结果来推导用于机密地保护不同的无线基站和所述UE之间的经由U面所传输的业务的密钥，其中该业务是与所述无线基站和所述UE之间的经由所述U面的业务并行地进行传输的。
[0381]本申请基于并要求2013年12月24日提交的日本专利申请2013-265273的优先权，在此通过弓I用包含其全部内容。
[0382]附图标记列表
[0383]10 UE
[0384]11,24协商单元
[0385]12,21,32,41 推导单元
[0386]13,25管理单元
[0387]20 MeNB
[0388]22,42发送单元
[0389]23,31接收单元
[0390]30 SeNB
[0391]40 MME
[0392]50 SGff
【主权项】
1.一种保护移动通信系统中的通信的方法，所述移动通信系统包括用户设备即UE和多个基站，其中所述UE能够连接至所述多个基站以进行双连接，所述方法包括以下步骤: 利用第一基站，根据第一密钥来推导第二密钥； 利用所述第一基站，将所述第二密钥发送至第二基站； 利用所述第二基站，根据所述第二密钥来推导第三密钥； 利用所述第一基站，将与第四密钥有关的信息或参数发送至所述UE;以及 利用所述UE，推导用户面的加密所用的所述第四密钥， 其中，所述第三密钥和所述第四密钥是相同的密钥，并且使用所述相同的密钥来对所述第二基站和所述UE之间的通信进行加密。2.根据权利要求1所述的方法，其中，还包括以下步骤: 利用所述UE，根据相同的所述第一密钥来推导相同的所述第二密钥；以及 利用所述UE，根据相同的所述第二密钥来推导所述第四密钥。3.根据权利要求1或2所述的方法，其中，移动性管理装置根据基础密钥来推导所述第一密钥，并且将所述第一密钥发送至所述第一基站。4.根据权利要求1至3中任一项所述的方法，其中，所述第三密钥和所述第四密钥包括KlfPenc ο5.根据权利要求1至4中任一项所述的方法，其中，所述第一基站包括主演进型节点BSPMeNB，并且所述第二基站包括次演进型节点BS卩SeNB。6.根据权利要求1至5中任一项所述的方法，其中，所述第一密钥包括K.。7.根据权利要求1至6中任一项所述的方法，其中，还包括以下步骤: 利用所述第一基站来对所述第二密钥进行管理。8.根据权利要求1至7中任一项所述的方法，其中，还包括以下步骤: 利用所述UE来对所述第四密钥进行管理。9.根据权利要求7或8所述的方法，其中，所述管理包括以下操作至少之一:更新所述第二密钥或所述第四密钥；以及删除所述第二密钥或所述第四密钥。10.—种移动通信系统，包括: 第一基站； 第二基站；以及 用户设备即UE，其能够连接至所述第一基站和所述第二基站以进行双连接， 其中，所述第一基站根据第一密钥来推导第二密钥，并且将所述第二密钥发送至所述第二基站， 所述第二基站根据所述第二密钥来推导第三密钥， 所述第一基站将与第四密钥有关的信息或参数发送至所述UE， 所述UE推导用户面的加密所用的所述第四密钥，以及 所述第三密钥和所述第四密钥是相同的密钥，并且使用所述相同的密钥来对所述第二基站和所述UE之间的通信进行加密。11.根据权利要求10所述的移动通信系统，其中，所述UE根据相同的所述第一密钥来推导相同的所述第二密钥，并且根据相同的所述第二密钥来推导所述第四密钥。12.根据权利要求10或11所述的移动通信系统，其中，还包括移动性管理装置，所述移动性管理装置用于根据基础密钥来推导所述第一密钥，并且将所述第一密钥发送至所述第一基站O13.根据权利要求10至12中任一项所述的移动通信系统，其中，所述第三密钥和所述第四密钥包括KUP.。14.根据权利要求10至13中任一项所述的移动通信系统，其中，所述第一基站包括主演进型节点BS卩MeNB，并且所述第二基站包括次演进型节点BS卩SeNB。15.根据权利要求10至14中任一项所述的移动通信系统，其中，所述第一密钥包括KeNB。16.根据权利要求10至15中任一项所述的移动通信系统，其中，所述第一基站对所述第二密钥进行管理。17.根据权利要求10至16中任一项所述的方法，其中，所述UE对所述第四密钥进行管理。18.根据权利要求16或17所述的移动通信系统，其中，所述管理包括以下操作至少之一:更新所述第二密钥或所述第四密钥；以及删除所述第二密钥或所述第四密钥。19.一种基站，用于在移动通信系统中进行双连接，所述基站包括: 第一单元，用于连接用户设备即UE;以及 第二单元，用于根据从不同基站所接收到的不同密钥来推导密钥， 其中，所推导出的密钥与所述UE所推导出的密钥相同，并且用于对与所述UE的通信进行加密。20.根据权利要求19所述的基站，其中，所推导出的密钥包括ΚυΡ.。21.根据权利要求19或20所述的基站，其中，所述基站包括次演进型节点BS卩SeNB。22.—种移动通信系统中所使用的用户设备即UE，所述UE包括: 第一单元，用于连接至第一基站和第二基站以进行双连接；以及 第二单元，用于推导密钥， 其中，所述第一单元从所述第一基站接收与加密密钥有关的信息或参数， 所述第二单元推导所述加密密钥，以及 所述加密密钥与所述第二基站所推导出的密钥相同，并且用于对与所述第二基站的通信进行加密。23.根据权利要求22所述的UE，其中，所述UE根据第一密钥来推导第二密钥，并且根据所述第二密钥来推导所述加密密钥。24.根据权利要求22或23所述的UE，其中，所述加密密钥包括KUPenc。25.根据权利要求22至24中任一项所述的UE，其中，所述第一基站包括主演进型节点B即MeNB，并且所述第二基站包括次演进型节点BS卩SeNB。26.根据权利要求22至25中任一项所述的UE，其中，还包括: 第三单元，用于对所述加密密钥进行管理。27.根据权利要求26所述的UE，其中，所述管理包括以下操作至少之一:更新所述加密密钥；以及删除所述加密密钥。
【文档编号】H04W12/04GK105850167SQ201480071074
【公开日】2016年8月10日
【申请日】2014年11月20日
【发明人】张晓维, 阿南德·罗迦沃·普拉萨德
【申请人】日本电气株式会社