超密集网络安全架构和方法与流程

相关申请的交叉引用

本申请要求享有于2015年07月24日提交的、名称为“超密集网络安全架构和方法”、申请号为62/196,667的美国临时申请以及于2016年07月18日提交的、名称为“超密集网络安全架构和方法”、申请号为15/213,266的美国申请的优先权，其全部内容通过引用结合于此，就如同将其内容全文复制在此一样。

本申请涉及网络安全架构和方法，并且在具体实施例中，涉及超密集网络安全架构和方法。

背景技术：

在高度人口稠密地区预计超密度网络(ultradensenetworks，udn)的使用将成为提供高质量服务(qualityofservice，qos)和体验质量(qualityofexperience，qoe)的5g架构解决方案之一。在udn中，在大小区或者宏小区的覆盖区域内可以部署多个小小区或者微小区。由于微小区的覆盖对比于宏小区的覆盖有限，用户设备(userequipment，ue)非常频繁地从一个微小区移动至另一个是可能的，这可能增加了需要与ue建立安全信任关系的微小区的数量。

技术实现要素：

一种用于在超密集网络中建立信任关系的方法的实施例，该方法包括：用户设备(ue)接收来自宏小区的重配置请求；所述ue根据所述重配置请求中的信息，导出用户面加密密钥；当所述ue附着至第一微小区时，所述ue向微小区组中的所述第一微小区发送第一用户面信令消息；当所述ue附着至第二微小区时，所述ue向所述微小区组中的所述第二微小区发送第二用户面信令消息，其中，所述第一用户信令消息和所述第二用户面信令消息都根据所述用户面加密密钥进行加密。

一种ue的实施例，其包括处理器；以及

存储通过所述处理器执行的程序的非临时计算机可读存储介质，所述程序包括指令用于：接收来自宏小区的重配置请求；根据所述再重配置请求中的信息来导出用户面加密密钥；当所述ue附着至第一微小区时，向微小区组中的所述第一微小区发送第一用户面信令消息；当所述ue附着至第二微小区时，向所述微小区组中的所述第二微小区发送第二用户面信令消息，其中，所述第一用户信令消息和所述第二用户面信令消息都根据所述用户面加密密钥进行加密。

一种计算机程序产品的实施例，其包括存储程序的非暂时计算机可读存储介质，所述程序包括指令用于：

接收来自宏小区的重配置请求；

根据所述再重配置请求中的信息来导出用户面加密密钥；

当所述ue附着至第一微小区时，向微小区组中的所述第一微小区发送第一用户面信令消息；

当所述ue附着至第二微小区时，向所述微小区组中的所述第二微小区发送第二用户面信令消息，其中，所述第一用户信令消息和所述第二用户面信令消息都根据所述用户面加密密钥进行加密。

一种安全宏小区组的实施例，其包括第一微小区和第二微小区。第一微小区用于接收安全微小区组密钥，并且进一步用于当用户设备ue附着至所述第一微小区时向所述ue发送用户面信令，其中，所述信令根据用户面加密密钥进行加密，所述用户面加密密钥由所述第一微小区根据所述安全微小区组密钥导出。第二微小区用于接收所述安全微小区组密钥，并且还用于当所述ue附着至所述第二微小区时向所述ue发送用户平面信令，其中，所述信令根据所述用户面加密密钥进行加密，所述用户面加密密钥由所述第二微小区根据所述安全微小区组密钥导出。

附图说明

为了更完整地理解本发明及其优点，现在结合附图参考以下具体实施方式，其中：

图1示出了用于通信数据的网络的实施例；

图2示出了udn安全架构的实施例；

图3示出了根据现有技术用于在ue、主enb和副enb之间建立安全信任关系的信令；

图4示出了用于在ue、主enb和多个副enb之间建立安全信任关系的信令的实施例；

图5示出了用于在超密集网络中建立信任关系的方法的实施例的流程图；

图6示出了允许mme与微小区通信的udn架构的实施例；

图7示出了允许enb与微小区通信的udn架构的实施例；

图8示出了用于执行本文描述的方法的处理系统的实施例的方块图；以及

图9示出了适于在电信网络中发射和接收信令的收发器的方框图。

具体实施方式

下面详细讨论的是本优选实施例的结构、制造以及使用。然而，应该理解的是，本发明提供可以在各种各样的特定上下文中体现的许多适用的发明构思。所讨论的具体实施例仅是制造和使用本发明的具体方式的说明，并不限制本发明的范围。

在当前的4g长期演进(longtermevolution，lte)架构中，控制面(controlplane，cp)信令和用户面(userplane，up)信令都锚定在宏小区，例如，演进节点b(enhancednodeb，enb)。因此，任何附着至演进型分组系统(evolvedpacketsystem，eps)的ue通常锚定在具有cp和up均与相同enb相关联的的单个enb处。当ue锚定在微小区上方并且控制面和用户面两者锚定在微小区处时，ue附着到微小区的过程类似于ue附着到宏小区的过程。

在服务于特定ue时，绝大多数enb活动涉及处理ue用户面流量。在人口稠密区域(例如，商场、体育馆等)中，可以通过使用5g超密集网络(udn)架构将用户面流量卸载到多个小的微小区。udn通常将控制面空中接口信令锚定在宏小区(例如，在4g中的enb)处并且将用户面流量锚定在微小区或者小小区上。在控制面锚定在宏小区处时，相同的ue/用户可以具有锚定在不同微小区处的多个用户面流。在ue和微小区之间需要用于保持被锚定的用户面会话的少量控制信令也是可能的。

图1示出了用于通信数据的网络100。网络100包括具有覆盖区域101的基站110、多个移动装置120、以及回程网络130。如示出的，基站110与移动装置120建立上行链路(虚线)和/或下行链路(点划线)连接，其服务于从移动装置120到基站110以及反方向的载送数据。在上行链路/下行链路连接上承载的数据可以包括在移动装置120之间的数据通信，以及通过回程网络130的方式到达/来自远程端(未示出)通信的数据。如本文使用的，术语“基站”指的用于提供到网络的无线接入的任何部件(或者部件的集合)，诸如增强基站(enhancedbasestation，enb)、宏小区、毫微微蜂窝基站、wifi接入点(accesspoint，ap)或者其它无线使能装置。基站可以根据一个或者多个无线通信协议提供无线接入，例如，lte、lte高级(lteadvanced，lte-a)、高速分组接入(highspeedpacketaccess，hspa)、wi-fi802.11a/b/g/n/ac等。如本文使用的，术语“移动装置”指的是能够与基站建立无线连接的任何部件(或者部件的集合)，诸如，用户设备(userequipment，ue)、移动站(mobilestation，sta)以及其它无线使能装置。在一些实施例中，网络100可以包括诸如中继、低功率节点等的各种其它无线装置。

虽然本文描述的特定实施例主要利用用于通信控制器的术语“宏小区”和“微小区”，实施例总的来说适用于作为通信控制器的接入点(ap)。因此，术语“接入点”可以用于本文描述的宏小区和微小区。还有，在一些实施例中，一般上可以通过微小区和接入点来锚定控制面，并且一般上可以通过宏小区或者接入点来锚定用户面。

图2示出了udn架构200的实施例。在这个架构中，控制面信令锚定在宏小区210处，其在4g中被称作enb。用户面流量锚定在多个微小区组220处，其中每一个包括多个微小区，例如微小区230。

在这样的架构中，ue可以具有与enb的单个信任关系，其可以同时覆盖控制面和用户面。即，可以通过ue和enb之间的单个安全信任关系保护所有用户面流量。因此，如果信任关系被破坏，那么所有ue用户面的流量和流可能会立即受到破坏。

在5g中，继续使用ue和enb之间的安全信任关系保护控制面。对于用户面流量，不同信任关系可以在ue和与enb相关联的多个微小区中的每个之间建立。以这种方式同时维护多个用户面信任关系可能不是高效的。处理具有udn的人口密集区域的5g架构可能需要使用减少ue负担的优化的安全架构，以避免在ue用户面流量锚定不同微小区时维持大量的安全信任关系。

实施例提供了为微小区组内所有微小区维持相同的安全信任关系的安全架构。即，提供了新的信任模块，其中，在ue和特定的微小区的组内的一个微小区之间的信任关系与ue和特定微小区组内任何其它微小区之间的信任关系相同。当ue具有多个用户面流时，每个锚定在不同微小区处，ue可以具有用于所有用户面流程的单个安全信任关系，即，安全关联。因此，当ue附着至存在udn架构的5g架构时，ue与微小区组中每个微小区维持单个安全信任关系，而不是与组中每个微小区的不同安全信任关系。当用户面流从源微小区移动至与源微小区位于相同组中的目标微小区时，和ue与源微小区具有相同安全信任关系一样，ue与目标微小区继续具有与该ue与源微小区所具有的相同的安全信任关系。并且，如果ue与组中的第一微小区的维持用户面流并且随后将附加的用户面流附着至相同组中的第二微小区时，ue与第二微小区具有与第一微小区相同安全信任关系。一般来说，一旦ue导出用于与微小区组中微小区安全通信的密钥，ue可以使用相同密钥用于与微小区组中任何其它微小区安全通信。

如本文所使用的，诸如“组”和“微小区组”的术语可以指由于安全考虑以外的原因而被定义为组的一组微小区或者可以指由于安全考虑而被定义为特定组的一组微小区。微小区可以属于单个微小区组或者属于多个微小区组。当多个微小区组与宏小区相关联时，宏小区可以知道哪个微小区属于哪个组。ue可以基于微小区或者与该微小区相关联的宏小区发送的信息或者基于ue以其他方式接收的信息确定一个微小区属于哪个组。

在一个实施例中，微小区的组中的所有微小区可以一直具有相同的安全能力和标准。一组微小区可以位于相同的地理区域。在给定微小区组内的微小区的数量可以小于所设定的最大值。此外，在微小区组中所有微小区可以属于相同操作员。

在一个实施例中，一组微小区可以被分配一个全球唯一标识符(id)。共享一个全球唯一id和相同安全标准以及特征的一组微小区可以被称为安全微小区组(securemicrocellsgroup，smg)。当ue与特定sgw具有信任关系或者安全关联，随后相同的信任关系和安全关联对于作为smg的一部分的所有微小区可能是有效的。在一个实施例中，ue可以与smg具有单个安全关系。在另一个实施例中，ue可以与相同的smg具有多于一个的安全关联。在不引入相对于4g架构的任何安全弱点或者漏洞情况下，每个smg可以与任何访问ue具有单个信任关系。

图3示出了用于在ue301、主enb(masterenb，menb)302以及第一副enb(secondaryenb，senb1)303之间建立安全信任关系的传统通信序列300的协议示意图。在ue301和menb302之间建立无线资源控制(radioresourcecontrol，rrc)连接310时开始通信序列300。接下来，menb302将senb附加请求320发送给senb1303。senb附加请求320可以包括k-senb，k-senb是用于特定ue和senb对的主密钥。senb附加请求320还可以包括ue的eps安全能力。一旦接收到senb附加请求320，senb1303执行能力协商和算法选择325。此后，senb1303将senb附加请求确认330发送给menb302。然后，menb302将rrc连接重配置请求340发送给ue301。rrc连接重配置请求340可以包括计数器、算法以及ue301产生密钥所需的其它信息。然后ue301将rrc连接重配置响应350发送给menb302。然后menb302将senb重配置完整消息360发送给senb1303。然后ue301和senb1303分别在方块363和方块366处使用所产生的密钥执行激活加密和解密。然后ue301和senb1303执行随机接入过程370。即，ue301和senb1303获取与另一个通信所需的空中接口资源并且基于所产生的密钥使用加密和解密来安全地进行通信。

图4根据本文描述的过程示出了用于建立ue301、主enb302、第一副enb303以及第二副enb304之间的安全信任关系的通信序列400的实施例的协议图。在ue301和menb302之间建立无线资源控制(rrc)连接402，并且如上面描述的menb302将senb附着请求404发送给senb1303。menb302还将senb附加请求406发送给至少一个附加senb(这里标为senb2304)。类似于发送给senb1303的senb附加请求404，发送给senb2304的senb附加请求406可以包括k-senb以及ue的eps安全能力。随后senb1303和senb2304执行能力协商和算法选择407。基于senb附加请求404和senb附加请求406的信息以及能力协商和算法选择的结果，senb1303和senb2304可以导出用于与ue301安全通信的用户面加密密钥。随后senb1303和senb2304将senb附加请求确认408和410发送给menb302。随后menb302将rrc连接重配置请求412发送给ue301。rrc连接重配置请求412可以包括计数器、算法和ue301产生与senb1303和senb2304导出的相同的用户面加密密钥所需的其他信息。其它信息可以包括senb1303和senb2304所属的smg的id。随后ue301可以根据rrc连接重配置请求412中信息导出用户面加密密钥。随后ue301将rrc连接重配置响应414发送给menb302。然后menb302将senb重配置完整消息416和418分别发送给senb1303和senb2304。然后ue301、senb1303和senb2304在方框430、440和450处全部使用相同用户面加密密钥分别执行激活加密和解密。然后ue301和senb1303执行随机接入过程420。ue301和senb2304也可以执行随机接入过程420。随机接入过程420和422可以包括ue301将根据用户面加密密钥加密的用户面消息发送给senb1303和senb2304。

图5示出了用于在超密集网络中建立信任关系的实施例的流程图，可以由ue执行。在步骤510处，ue接收来自宏小区的重配置请求。在步骤520处，ue根据重配置请求中的信息来导出用户面加密密钥。在步骤530处，当ue附着至第一微小区时，ue将第一用户面信令消息发射至微小区的组中的第一微小区。在步骤540处，当ue附着至第二微小区时，ue将第二用户面信令消息发射至该微小区的组中的第二微小区。在一个实施例中，根据用户面加密密钥同时加密第一用户面信令消息和第二用户面信令消息。

在一个实施例中，用于导出smg中微小区的密钥的过程可以是4g密钥导出过程的增强。在4g密钥导出过程中，移动性管理实体(mobilitymanagemententity，mme)从用于特定ue的归属订户服务器(homesubscriberserver，hss)接收被称为kasme的密钥。kasme是用于ue和用作接入安全管理实体(accesssecuritymanagemententity，asme)的mme的特定对的主密钥。mme通常基于kasme导出称为kenb的密钥。kenb是用于enb和特定ue之间的通信的主密钥。

在一个实施例中，mme导出用于smg中所有微小区的附加密钥。该密钥，可以被称为ksmg或者用于smg的密钥是在ue和smg中的一组微小区或者副enb之间的主密钥。在一些情况中，ksmg可以反映smg的标识。

mme用于生成ksmg并且导致ksmg被发送至smg中的微小区的技术可能取决于用于处理udn架构及方法的5g架构。当ue的控制面和用户面锚定在相同的宏小区处时，该技术不改变现有安全架构。

在一些情况下，mme可以意识到属于特定enb的所有smg、每个smg的数量以及每个smg的id。在这样的情况下，mme能够直接和与enb关联的每个smg中的每个微小区通信。在一个实施例中，当这些存在情况时，mme可以基于kasme产生用于每个smg的不同ksmg密钥。随后mme可以将相应的ksmg密钥直接地通信至相应的smg中的每个微小区。可选地，ksmg可以通信至smg中主(leader)微小区和/或通信至主微小区的备份，并且这些微小区的一个或者两个可以将ksmg通信至smg中剩余的微小区。在以任一种上述方式接收ksmg后，在smg中每个微小区可以使用ksmg来保护用于特定ue的用户面流量，例如，用于在ue和smg中每个微小区之间的加密/解密、认证、验证和/或其它安全过程的目的。

图6是在mme能够直接地与微小区通信时用于导出ksmg的实施例示意图。在方块610处，生成主密钥(k)并且可以驻留在hss和ue的通用用户识别模块(universalsubscriberidentitymodule，usim)中。在方块620处，ue和hss基于k产生加密密钥(ck)和完整性保护密钥(ik)。在方块630处，ue和hss基于ck和ik生成kasme。随后hss可以将kasme发送给mme。在方块640处，基于kasme生成用于一对ue和mme的用于非接入层(non-accessstratum，nas)信令加密(knasenc)的密钥。在方块650处，基于kasme为一对ue和mme生成用于nas信令整体性保护(knasint)的密钥。在方块660处，mme基于kasme为ue和与ue相关联的enb生成kenb。在方块670处，kenb用于生成在ue和enb之间安全通信所需的密钥。在一个实施例中，在方块680处，ue和mme基于kasme独自地生成ksmg。在上面描述的方式中，随后mme将ksmg提供给smg中的微小区，ksmg为该smg生成。在一个实施例中，在方块690处，在ue和smg中微小区使用ksmg的独自导出版本以生成在ue和微小区之间的安全用户面通信所需的密钥。特别地，ue和微小区可以基于ksmg生成用户面加密密钥。

在一些环境中，mme可以直接地仅与宏小区通信。也就是，mme与enb通信但不直接地与关联于enb的每个smg中的微小区相通信。在一个实施例中，当这样环境存在时，mme可以为属于enb的所有smg生成通用smg密钥。通用smg密钥可以与kenb相似并且可以基于kenb以及用于所有smg的通用标识符。随后mme可以将通用smg密钥发送给enb。随后enb可以基于通用smg密钥以及用于每个smg的id来生成用于每个smg的个性化ksmg。每个个性化ksmg可以与特定的微小区的组相关联。随后enb可以将每个个性化ksmg通信至其相应的smg。enb可以将个性化ksmg发送给smg中每个微小区或者发送给smg中主要的和/或备份的微小区，并且随后这些微小区的一个或者两个可以将个性化ksmg发送给smg中其它微小区。随后每个微小区可以使用ksmg来为特定ue保护用户面流量，例如为了在ue和smg中的每个微小区之间的加密/解密、认证、验证和/或其它安全过程的目的。

图7是在mme与enb通信但不直接地与微小区通信时导出ksmg的方案实施例的示意图。如关于图6所述，产生和使用k610、ck/ik620、kasme630、knasenc640、knasint650以及kenb660。在这个实施例中，如图6的方块680中，mme和ue不分别地为与enb相关联的每个smg生成特定ksmg。相反，在方块710处，mme和ue基于kasme和用于所有smg的通用id分别地为与特定enb相关联的所有smg生成通用ksmg。在方块720处，enb基于通用ksmg和每个smg的相应的id为与enb相关联的每个smg生成不同的个性化ksmg。随后enb将个性化ksmg密钥发送给相关联的smg。在方块730处，ue还生成个性化ksmg密钥，该个性化ksmg密钥对应于由与ue相关联的smg接收的个性化ksmg密钥。随后ue和smg中的微小区使用ksmg的独立导出版本以生成在ue和微小区之间安全用户面通信所需的密钥。特别地，ue和微小区可以基于ksmg生成用户面加密密钥。

图4描述的过程已经从图6和图7所示的过程分开描述，但是三个图中描述的步骤可以是用于在超密集网络中建立信任关系的总体方法中的部件。现在将描述这种总体方法的实例，但是应当理解，这些步骤不一定按照下面描述的顺序发生。在该实例中，为了简化起见，将假设仅存在一个smg。

当ue与menb建立诸如rrc连接的连接时，可以认为该方法开始。随后为ue生成主密钥k，并且存储在ue和hss中。ue和hss分别基于k生成加密密钥ck以及整体性保护密钥ik。基于ck和ik，ue和hss分别为一对ue和与ue和hss相关联的mme生成主密钥kasme。随后hss将kasme发送给mme。基于kasme，mme生成kenb，kenb是用于ue和menb之间通信的密钥。在一个实施例中，mme还基于kasme，生成用于在ue和smg中的senb之间通信的密钥，并且该密钥可以称为ksmg。在一些情况中，ksmg可以反映smg的标识。

mme导致ksmg以若干种方式中的一种被发送给senb。如果mme能够直接地与senb通信，mme可以将ksmg发送给smg中的所有senb。可选地，mme可以仅将ksmg发送给senb中的一个，随后其将ksm发送给smg中的其它senb。如果mme能够与menb通信但是不能直接地与senb通信，mme生成ksmg的仿制版本并且将ksmg的仿制版本发送给menb。随后menb基于ksmg的仿制版本和smg的id为smg生成ksmg的个性化版本。随后menb将个性化版本发送给senb。如果存在其它smg，menb可以为每个smg生成不同的ksmg的个性化版本。

menb还向senb通知ue的安全能力。在menb将ksmg发送给senb的情况下，menb在其将ksmg发送给senb的相同消息中来将安全能力信息发送给senb。在mme将ksmg发送给senb的情况下，menb以一些其它方式来将安全能力信息发送给senb。

基于ksmg和ue的安全能力，senb选择算法来用于为senb和ue之间的安全通信导出密钥。算法可以是密钥导出函数(keyderivationfunction，kdf)或者相似的算法。senb还选择一个唯一计数器用作算法的输入。可选地，用于smg的组id可以用作计数器的替代。在这一点上，smg中所有的senb具有相同的ksmg、计数器以及用于算法的id。

随后senb将算法id和计数器发送给menb，并且menb将算法id和计数器发送给ue。menb可以在rrc信令中的重配置请求消息中发送该信息。

在一些时刻，ue基于如上面描述的其之前生成的kamse来生成ksmg。由于ue使用与hss在生成kasme时使用的相同输入以及相同过程，ue生成的kamse的版本与hss发送给mme的kamse的版本相同。因此，ue基于kamse生成的ksmg的版本与mme产生并且导致将要发送给senb的ksmg的版本相同。因此，在这个点处，ue具有与senb相同的ksmg、计数器以及算法id。

ue和每个senb分别提供相同的ksmg和相同的计数器作为诸如kdf的相同算法的输入，并且因此生成相同的用户面加密密钥(kupenc)作为输出。随后相同的kupenc可以用于ue和每个senb之间的用户面信令的安全通信。

在一些情况中，ue和mme可以基于kupenc、kamse和/或其它参数生成其它密钥。例如，可以基于kamse为ue和mme生成用于nas信令加密的密钥knasenc和用于nas信令整体性保护的密钥knasint。此外，可以生成用于rrc加密的密钥(krrcenc)和用于rrc整体性保护的密钥(krrcint)。krrcenc和krrcint可以从提供给反映rrc通信的标识和协议的ue的信息中导出。例如，专用于rrc通信的新的计数器可以用于保证这些密钥的新鲜度并且保证该密钥不同于例如kupenc。

如果需要完整性保护，还可以使用用于kupenc的计数器加上标识符来生成用户面完整性保护密钥(kupint)，以指示kupint用于完整性保护。

总的来说，可以将专用于加密的rrc协议的标识符和专用于完整性保护的单独的标识符添加为密钥导出函数的输入。使用反映生成的密钥的性质的标识符可以区分从相同的主密钥导出的加密密钥和完整性保护密钥。

在上述过程下，menb可以仍然在x2-c平面上将s-kenb通信至小小区组的所有成员。随后senb可以为ue导出用户面加密密钥。随后menb可以将s-enb组专用计数器通信给ue一次，并且随后ue可以导出s-kenb和用户面加密密钥以与该组的所有成员分享。也就是，在现有过程下，每次ue从smg中一个微小区移动至另一个或者为用户面流量在smg中增加微小区，menb发送ue信息，ue可以从该ue信息导出与新的微小区使用的新的用户面加密密钥。在本文描述的实施例下，另一方面，只要ue保持在相同的smg中，menb仅将这样的信息发送给ue一次。随后ue使用信息来导出可以与smg中所有的微小区使用的单个用户面加密密钥。因此，在本文公开的过程下，对比于之前使用的信令的量，减少了从menb到ue的信令的量。特别地，在现有技术图5中的事件550处示出的rrc连接重配置请求消息可以从menb发送给ue多次，每次ue从smg中一个微小区移动至另一个或者附着至附加微小区时一次。通过对比，在图6的实施例中的事件614处示出的rrc连接重配置请求消息可以仅从menb发送给ue一次，即当ue进入smg时。

在5g中，可以预料menb具有多于一组的senb。在这样的情况中，除了特殊计数器之外，可以使用小小区组id来导出s-kenb。这里假设小小区组id可以以足够及时的方式通信给ue，使ue能够使用小小区组id。如果小小区组id通信给ue是不可能的，menb可以保证特殊计数器对于与menb相关联的小小区组是唯一的。当menb将k-senb通信给小小区组时，menb可以通知该组的一些成员来保持k-senb直至ue开始随机接入过程，其可能不会立即发生。

当ue从属于第一smg的第一微小区切换到属于第二smg的第二微小区时，ue自动使用属于第二smg的密钥用于与第二微小区的安全用户面通信。

作为部分的udn架构，ue与微小区具有一些有限的控制信令是可能的。在这种情况中，使用不同密钥来保护ue和每个smg内的微小区之间的控制面信令是可能的。例如，每个smg可以是一个控制面密钥，或者相同用户面密钥可以重复使用。

本文使用的安全密钥的概念作为实例用于说明和解释的目的。诸如证书的其它类似的概念也可以使用并且可以遵循相同的通用方法的，使得微小区组中的每个微小区使用相同的证书或其它安全组件。

不同实施例提供了基于现有的4glte安全架构的安全架构解决方案，但被优化以处理udn安全架构。可以为5gudn安全架构使用实施例。3gppts33.401v12.5.1(2012年10月)进一步提供了关于通过本文描述的不同过程所使用的消息流/序列的详细节。

图8示出了用于执行本文描述的方法的处理系统800的实施例的方块图，处理系统800可以安装在主机设备中。如示出的，处理系统800包括处理器804、存储器806以及接口810-840，其可能(或者可能不)按照如图所示布置。处理器804可以是适于执行计算和/或其他处理相关任务的任何部件或者部件集合，并且存储器806可以是适于存储由处理器804执行的程序和/或指令的部件或者部件集合。在一个实施例中，存储器806包括非暂时计算机可读介质。接口810、812、814可以是允许处理系统800与其它装置/部件和/或用户通信的部件或者部件集合。例如，接口810、812、814的一个或者多个可以适于将数据、控制或者管理消息从处理器804传送到在主机设备和/或远程设备上安装的应用程序。如另一个实例，接口810、812、814的一个或者多个可以适于允许用户或者用户设备(例如，个人计算机(personalcomputer，pc)等)与处理系统800相互作用/通信。处理系统800可以包括附图中未示出的附加部件，诸如长期存储(例如，非易失性存储器等)。

在一些实施例中，处理系统800包括在网络设备中，该网络设备接入电信网络或者是电信网络的一部分。在一个实例中，处理系统800是位于无线或者有线电信网络中的网络侧设备中，诸如基站、中继站、调度器、控制器、网关、路由器、应用程序服务器或者电信网络中的任何其它设备。在其它实施例中，处理系统800是位于接入无线或者有线电信网络的用户侧设备中，诸如移动站、用户设备(userequipment，ue)、个人计算机(pc)、平板电脑、可穿戴通信装置(例如，智能手表等)或者适于接入电信网络的任何其它设备。

在一个实施例中，接口810、812、814中的一个或者多个将处理系统800连接到适于在电信网络上发送和接收信令的收发器。图9示出了在电信网络上发送和接收信令的收发器900的方框图。收发器900可以安装在主机设备中。如示出的，收发器900包括网络侧接口902、耦合器904、发射器906、接收器908、信号处理器910以及设备侧接口912。网络侧接口902可以包括适于在无线或者有线电信网络上发射或者接收信令的任何部件或者部件的集合。耦合器904可以包括适于在网络侧接口902上促进双向通信的任何部件或者部件的集合。发射器906可以包括适于将基带信号转换为适合在网络侧接口902上传输的调制载波信号的任何部件或者部件的集合(例如，上转换器、功率放大器等)。接收器908可以包括适于将在网络侧接口902上方接收的载波信号转换至基带信号的任何部件或者部件的集合(例如，下转换器、低噪声放大器等)。信号处理器910可以包括适于将基带信号转换至适合在装置侧接口912上通信的数据信号(或者反向)的任何部件或者部件的集合。设备侧接口912可以包括适于在信号处理器910和主机设备内的部件(例如，处理系统800、局域网络(localareanetwork，lan)端口等)之间通信数据信号的任何部件或者部件的集合。

收发器900可以在任何类型的通信介质上发射和接收信令。在一些实施例中，发射器900在无线介质上发射和接收信令。例如，收发器900可以是适于根据无线电信协议通信的无线收发器，无线电信协议包括诸如蜂窝协议(例如，长期演进(long-termevolution，lte)等)、无线局域网(wirelesslocalareanetwork，wlan)协议(例如，wi-fi等)或者任何其他类型的无线协议(例如，蓝牙、近场通信(nearfieldcommunication，nfc)等)。在这样的实施例中，网络侧接口902包括一个或多个天线/辐射元件。例如，例如，网络侧接口902可以包括单个天线，多个单独的天线或被配置用于多层通信的多天线阵列(例如，单输入多输出(singleinputmultipleoutput，simo)、多输入单输出(multipleinputsingleoutput，miso)、多输入多输出(multipleinputmultipleoutput，mimo)等)。在其它实施例中，收发器900在有线介质(例如，双绞线电缆、同轴电缆、光纤等)上发射和接收信令。具体的处理系统和/或收发器可以利用所示的所有部件，或仅使用部件的子集，并且集成度可以随设备而变化。

应当理解，本文提供的实施例方法的一个或多个步骤可以由相应的单元或模块执行。例如，可以由发送单元或发送模块发送信号。可以由接收单元或者接收模块接收信号。可以由处理单元或处理模块来处理信号。可以由导出的单元/模块和/或验证单元/模块执行其它步骤。相应的单元/模块可以是硬件、软件或其组合。例如，一个或多个单元/模块可以是诸如现场可编程栅极阵列(fieldprogrammablegatearrays，fpga)或者专用集成电路(application-specificintegratedcircuits，asic)的集成电路。

可以预期本公开可以实现多种实施例。例如，在一个实施例中，公开了一种用户设备(ue)，其包括处理器装置和用于存储由处理器执行的程序的非暂时计算机可读存储介质装置。程序包括指令用于接收来自宏小区的重配置请求，根据再重配置请求中的信息来导出用户面加密密钥，当ue附着至第一微小区时，向微小区组中的第一微小区发送第一用户面信令消息，当ue附着至第二微小区时，向微小区组中的第二微小区发送第二用户面信令消息，其中，第一用户信令消息和第二用户面信令消息都根据用户面加密密钥进行加密。。

在一些实施例中，重配置请求中的信息识别由ue使用的、用于导出用户面加密密钥的算法并且包括用作算法的输入的唯一计数器。ue的程序可以进一步包括指令用于根据用户面加密密钥导出无线资源控制rrc加密密钥krrcenc以及向第一微小区发送rrc消息，其中，rrc消息中的信令根据krrcenc加密。ue的程序还可以包括指令用于根据用户面加密密钥导出无线资源控制rrc完整性密钥krrcint，接收来自第一微小区的rrc消息，以及根据krrcint来验证rrc消息的完整性。。应该明白，ue可以从第一微小区、第二微小区或者与第一微小区和第二微小区相关联的宏小区处接收微小区的组的标识。

以下参考文献与本申请的主题相关。这些参考文献中的每一个的全部内容通过引用并入本文：

·3gppts33.401v12.5.1，第三代合作项目；技术规范组服务和系统方面；3gpp系统架构演进(sae)；安全架构(12版)(2012年10月)。

虽然已经参照说明性实施例描述了本发明，但是本说明书并不旨在被解释为限制意义。说明性实施例以及本发明的其他实施例的各种改进和组合对于参考本说明书后的本领域技术人员来说将是显而易见的。因此，所附权利要求旨在包含任何这样的改进或实施例。