[0025]在关于SCE项目的一些讨论中,考虑到本地分流是减轻eNB回程的重要卸载解决方案,一种潜在的选择是UE具有与宏小区和本地小型小区这二者的双连接。然而,由于宏小区和本地小型小区均可由移动运营商部署并且本地小型小区可能能够导出UP用户数据(例如通过对UP用户数据进行加密以及解密),因此,使得本地小型小区意识到用于不同UP用户数据的相应传输路径以及能够识别来自UE的业务是针对宏小区中的eNB/CN还是直接针对本地分流是至关重要的。
[0026]根据示例实施例,建议了用于多样化安全处理(尤其是在UP上)的新颖解决方案。在所建议的解决方案中,当UE操作在双无线电模式下时,UE能够利用在业务分组中(例如在I3DCP层中)设置的指示符来指示UP的特性(例如CN流或者本地分流流)。如此,本地小型小区或者AP可能能够决定是将来自UE的业务分组转发至相关联的eNB还是直接将其用于本地分流。在示例实施例中,UE可能能够利用两个独立密钥(例如两个不同的UP密钥)来加密用户数据,一个用于CN流(例如既有系统的CN流或者经由AP的CN流)而另一个用于本地分流流。因而,AP可被允许使用相应的独立密钥来导出以其为目的地的UP数据,同时使得对于回程卸载非常重要的本地分流操作成为可能。所建议的解决方案的更多细节将会以示例的方式参照附图在下文中示出。
[0027]图1是示出了用于多样化安全处理的方法的流程图,其可在根据本发明实施例的UE(例如移动台、无线终端、个人数字助理(PDA)、移动设备等)处实施。根据示例实施例的解决方案可适用于诸如以下通信网络:LTE-LAN、本地区域演进(LAE)以及其中UE可操作在双无线电模式下的任意其它适当的混合网络。例如,UE可维持UE与第一网络节点之间的第一连接以及UE与第二网络节点之间的第二连接,其中第二网络节点具有与第一网络节点的第三连接,如块102中所示。第一网络节点可包括诸如AP/BS/控制中心等的本地网络节点,而第二网络节点可包括诸如eNB/BS/控制中心等的宏网络节点。第二连接可更加稳定并且被更为仔细地进行管理,从而使得UE不会轻易地失去其与宏网络的连接,而第一连接可能更加适于在本地区域提供高速数据服务和一些特色服务。第一网络节点与第二网络节点之间的第三连接可以使得第一网络节点能够将来自UE的用户数据转发至第二网络节点并且进一步至CN。在示例实施例中,第一网络节点(例如在小型小区中的AP)可具有本地分流功能,以便减轻从第二网络节点(例如在宏小区中的eNB)至CN的回程负担,并且第一网络节点还能够充当将来自UE的业务转发至第二网络节点的中间节点。
[0028]图2示出了根据本发明实施例的示例性多样化数据传输。在图2中,UE操作在双无线电模式下,在所述双无线电模式中,一个无线电位于宏小区中的eNB和UE之间,而另一无线电位于本地小型小区中的AP和UE之间。作为具有本地分流功能的中间节点,AP可通过eNB的回程而被连接至CN。从UE传输至网络侧的用户数据可具有包括eNB和AP在内的两个不同目的地。相应地,从UE发起的业务流可包括一个分流流(在图2中标识为虚线)以及两个CN流(在图2中标识为实线)。如图2所示,UE可在经由针对CN的常规直接路径的CN流中传输用户数据,例如利用与eNB的既有SI接口(其也可被称为直接CN流),或者在经由针对CN的间接路径的CN流中传输用户数据,例如通过AP和相关联的eNB (其也可被称为间接CN流)。可选地或附加地,还可以伴随AP中的本地分流功能来利用分流流,其能够减轻密集部署场景中针对大量用户数据的CN负担。值得注意的是,对于两个无线电的利用没有限制,并且UE能够经由宏小区无线电和/或本地小型小区无线电来将用户数据传送至eNB。当从UE接收到业务时,AP需要至少部分地基于它们不同的目的地来区分所述业务(或者UP流),并且决定相应的业务是去往eNB/CN或是去往本地分流。对于去往eNB/CN的业务(例如EPS业务),AP可能能够将该业务转发至eNB并且然后至CN。
[0029]返回参照图1,如块104中所示,UE可在分组中设置标识符,以便指示在分组中的用户数据的目的地是第一网络节点还是第二网络节点。在示例实施例中,其目的地是第一网络节点的用户数据可用第一密钥(例如用于本地小型小区的UP密钥)来保护,其目的地是第二网络节点的用户数据可用独立于第一密钥的第二密钥(例如用于宏小区的UP密钥)来保护。例如,第一密钥可由第二网络节点(诸如eNB或者任意其它适当的宏网络实体)来提供。在块106中,UE可经由第一连接将分组传输至第一网络节点。根据示例实施例,来自UE的分组中的用户数据可用相应的UP密钥来加密,而在分组中的指示符可不加密,从而使得AP能够从分组中识别出指示符而无需解密用户数据。例如,指示符可以包括UP PDCP分组中的比特(例如保留比特)。
[0030]图3示出了用于根据本发明实施例的UP HXP分组的示例结构。如图3所示,该示例结构可包括被标识为Oct UOct 2和Oct 3的三个八位位组。HXP序号(SN)字段可占用Oct I的一部分以及Oct 2,并且数据字段可占用Oct 3。Oct I可进一步包括三个保留比特,所述保留比特在图3中示为“R”。在示例实施例中,Oct I中的任意一个保留比特均可用于指示来自UE的用户数据的目的地或性质。例如,预定的或者随机选择的保留比特可被设置为“I”来向AP指示用户数据用于本地分流,设置为“O”来向AP指示用户数据属于CN流或者需要被转发至eNB以及与所述AP相关联的CN。应当意识到“O”或“ I”的指示在此仅用作示例,并且其它适当的数字或符号也能够用于指示符以便标识来自UE的用户数据的目的地或性质。
[0031]在上行链路方向上,当UE准备加密用户数据(例如UP数据)时,其可利用适当的UP密钥来保护用户数据,例如,为AP准备的UP数据可用本地网络的第一密钥(例如Kup*)来加密并且通过本地分流流来传输,而为eNB准备的UP数据可用宏网络的第二密钥(例如Kup)来加密并且通过直接CN流或者间接CN流来传输。考虑到本地网络能够处于宏网络的控制之下,Kup*可由宏网络提供(例如通过与宏网络相关联的eNB)但却独立于Kup。根据示例实施例,UP PDCP分组的加密部分可以仅仅是Oct 3中的数据字段,而Oct I和Oct2不会被加密,从而使得Oct I和Oct 2可在不解密用户数据的情况下被识别。例如,当AP在上行链路方向上接收来自UE的UP业务分组时,由于该分组中作为目的地指示符的保留比特对于AP是可见的,因此AP能够至少部分地基于HXP层中的指示比特来确定如何处理该UP业务分组变得可行。
[0032]图4是示出了用于多样化安全处理的方法的流程图,其可在根据本发明实施例的第一网络节点处实施。对应于与图1相关的描述,在块402中,第一网络节点可维持第一网络节点与UE之间的第一连接以及第一网络节点与第二网络节点之间的第三连接,其中所述UE具有与第二网络节点的第二连接。如前所述,第一网络节点可包括诸如AP/BS/控制中心等的本地网络节点,而第二网络节点可包括诸如eNB/BS/控制中心等的宏网络节点。在块404中,可经由第一连接在第一网络节点处接收来自UE的分组,其中该分组可以包括指示符来指示分组中的用户数据的目的地是第一网络节点还是第二网络节点。如图3所示,在示例实施例中,指示符可以包括UP PDCP分组中的比特(例如保留比特)。如块406中所示,至少部分地基于所述指示符,第一网络节点可以处理从UE接收的分组。根据示例实施例,如果分组中的用户数据的目的地是第一网络节点,则第一网络节点可分流该分组,例如通过解密用第一密钥保护的用户数据。如果分组中的用户数据的目的地是第二网络节点,则第一网络节点可经由第三连接将分组转发至第二网络节点而不解密用第二密钥保护的用户数据。第二密钥(例如用于本地网络的Kup*)可独立于第一密钥(例如用于宏网络的Kup)。特别地,第一和第二密钥均可由宏小区中的第二网络节点来提供。因而,在本地小型小区中的第一网络节点可识别UP数据的性质(例如,UP数据是用于常规EPS服务还是本地分流服务),并且对来自UE的UP数据实施分开的或者多样化的安全处理。
[0033]图5示例性示出了根据本发明实施例的上行链路UP数据传输过程。如针对图1-4所描述的,UE可与网络侧共享两个UP密钥,如块502中所示,其中与宏小区中的eNB共享的UP密钥(例如Kup)可用于保护通过直接CN流或间接CN流在UE与eNB之间的常规EPS用户数据,并且与本地小型小区中的AP共享的UP密钥(例如Kup*)可用于保护UE与AP之间的本地分流用户数据。例如,如块504中所示,UE能够用不同的安全密钥来加密上行链路UP数据,其中Kup可用于CN流,而Kup*可用于本地分流流。如块506中所示,如果通过使用Kup加密了 UP数据,则UE可以将HXP层中的指示比特设置为“O”以便指示UP业务是为eNB准备的,而如果通过使用Kup*加密了 UP数据,在UE可以将TOCP层中的指示比特设置为“I”以便指示UP业务是为AP准备的。应当理解的是,PDCP层中的指示比特不限于“O”或者“I”的数值,并且可被设置为其它指定数字或者符号。然后,在块508中,UE可以将UP业务传输至AP,以及在块510中AP能够检查HXP分组指示比特。如果指示比特为“0”,那么所述过程继续进行至块512,其中AP将UP业务转发至eNB/CN用于