CN104969592A - 无线通信网络中用户设备的双连通操作模式 - Google Patents

Abstract

一种系统和方法提供了在无线通信网络中以双连通模式操作的UE的安全方面。该系统和方法提供了在eNB间载波聚合方案中配置的用户设备(UE)与一个或多个eNodeB(eNB)之间以安全方式的安全的同时发送和接收。在SeNB内的多个SCell被同时添加时，系统利用UE与主eNB(MeNB)之间的RRC信令在UE与辅助eNB(SeNB)之间建立安全环境。该系统还检测用户数据无线承载中的入侵者，同时UE以双连通操作模式操作。

Description

无线通信网络中用户设备的双连通操作模式

技术领域

本申请涉及无线通信领域，更具体地，涉及无线通信网络中在双连通操作模式下的用户设备(UE)的安全方面。

背景技术

随着长期演进(LTE)和LTE升级版(LTE-A)部署的进行，利用低功率节点的小型小区(例如微微小区和毫微微小区)被认为有希望应对移动通信量爆炸。利用低功率节点的小型小区更适合导致性能提高的室内和室外的热点部署方案，其中，小型小区具有低于宏节点和基站(BS)级别的传输功率(Tx)。

用于演进的通用移动通信系统(UMTS)陆地无线接入网(E-UTRAN)和E-UTRA的小型小区增强集中在用于利用低功率节点在室内和室外的热点区域中提高性能的附加功能上。

第三代合作伙伴项目(3GPP)正在考虑使用提高演进的通用移动通信系统(UMTS)陆地无线接入网(E-UTRA)和E-演进的UMTS陆地无线接入网(UTRAN)中的小型小区部署的支持的潜在更高层技术以实现部署方案和满足TR 36.932中的特定要求。

3GPP正在考虑一种部署方案，其中，不同频带被分别单独地分配给宏层和小型小区层。考虑到合理的系统复杂性，小型小区增强期望支持显著增加的下行链路和上行链路的用户吞吐量，其主要集中在典型的用户吞吐量上。对于给定的用户和小型小区分布、典型的通信量类型并考虑到合理的系统复杂性，小型小区增强期望以使每单位面积的能力(例如，以bps/km2为单位)尽可能高为目的。小型小区增强还期望考虑实际回程延迟的冲击并提供以改善系统性能为目的的解决方案。其它方面稍后将会涉及到，例如，基于长期演进(LTE)的语音(VoLTE)的服务质量，该服务质量例如平均意见得分(MOS)以及影响例如视频流、视频通话等服务的延迟或抖动。

在LTE版本10载波聚合中，所有涉及载波聚合的分量载波都在同一演进节点B(eNB)中处理(同地协作)，并且分量载波来自于同一频带，即带内载波聚合。在LTE版本11规范中支持分量载波来自于不同频带的带间载波聚合。在带间载波聚合方案中，来自低频带的分量载波(F1)可以提供覆盖范围和移动性，而来自较高频带的其它分量载波(F2)可以将高吞吐量提供给用户设备(UE)。带间载波聚合可以是非同地协作的，其中，UE为聚合有由主eNB(MeNB)提供的至少一个第一服务频率和由辅助eNB(SeNB)提供的至少一个第二服务频率的载体。在设计由两个地理上分离的eNB控制的至少一个小区之间的载波聚合时，其被称为eNB间载波聚合，并且UE被认为配置有双连通操作模式。在这种方案中，双连通被设计为使得UE保持与两个地理上分离的eNB控制的至少一个小区的物理链路。UE在下行链路和上行链路都保持双连通或只在下行链路保持双连通。在上行链路中，朝向MeNB和SeNB的双连通可以是同时的或可以是时分复用的。

在所谓的双连通操作模式中，UE消耗由通过非理想回程接口(例如X2接口)连接的两个不同网络节点(即，与至少一个第一服务频率关联的MeNB和与至少一个第二服务频率关联的SeNB)提供的无线资源。MeNB是驻有无线资源控制(RRC)层的eNB，存在单个S1-MME端点用于配置有移动管理实体(MME)与E-UTRAN之间的双连通操作模式的UE。因此，MeNB操作为朝向核心网络(CN)的移动锚点。支持用于E-UTRAN的双连通的E-UTRAN架构和相关功能还在TS 36.300中描述。

在支持版本10或版本11载波聚合的单连通或UE的现有安全机制中，认证和授权是利用为LTE网络中的演进的通用陆地无线接入网(E-UTRAN)定义的认证和密钥协商程序(AKA)执行的。最初的安全密钥由核心网络中的移动管理实体(MME)得到，并发送至UE的服务或源eNB。在eNB间(S1或X2发起的)交接期间，服务eNB利用基础安全密钥导出用于目标eNB的安全密钥(如果例如X2接口的接口存在于服务eNB和目标eNB之间)，其中，UE由于移动性被移交至目标eNB。由服务eNB提供的安全密钥用于导出目标eNB中的用于用户面数据保护的其它密钥(类似于服务eNB，UE像目标eNB一样导出安全密钥和其它密钥)。

在交接(HO)期间，利用垂直密钥导出，即，未使用的下一跳(NH)参数可以用于在源eNB中导出基础安全密钥(当S1接口包含于HO程序时)。对于双连通性，利用垂直密钥导出的现有程序，与用于UE的辅助eNB(SeNB)关联的新的安全密钥可利用未使用的下一跳(NH)参数在主eNB(MeNB)处导出。然而，未使用的NH参数可能不总是存在于MeNB中以利用垂直密钥导出来导出与SeNB关联的安全密钥。在HO期间的现有安全机制中，与源eNB关联的现有安全密钥可用于导出基础安全密钥。对于双连通性，该原理可以被扩展，以使得MeNB的现有安全密钥可用于导出用于SeNB的安全密钥。用于导出用于保护SeNB eNB与UE之间通信的SeNB的安全密钥的MeNB安全密钥的使用可能未提供充分的密钥分离以及可能存在密钥流重复问题，这些导致了安全危害。

此外，如果MeNB利用现有安全密钥来导出用于SeNB的安全密钥，则将出现密钥重复。例如，如果每次同一SeNB被移除并且再被添加以用于支持双连通，则生成的安全密钥可能是重复的。此外，如果第一SeNB被移除并且另一个不同的第二SeNB被添加，但第一SeNB和第二SeNB在相同的频率操作并且具有相同的物理小区标识(PCI)，则也可能出现密钥重复。密钥重复出现的另一个场景是在由建立于SeNB上的数据无线承载(DRB)所处理的用户面数据经受PDCP计数循环时(即，当具有相同DRB-ID的相同PDCP计数值和安全密钥被再次使用(不止一次)时，能够导出密钥流或消息细节)。因此，在TS 33.401中定义的现有安全机制被用于双连通时，密钥流重复是非常有可能的，并且密钥流重复会引起用户面暴露于安全攻击，这些都需要避免。

除密钥重复外，SeNB的安全能力和/或本地配置可以不同于MeNB。因此，配置有双连通性的UE可能需要使用与SeNB通信的不同密码算法。SeNB与UE之间的安全环境的建立需要获知由MeNB支持和选择的安全算法。

当不限制每次在SeNB中只添加一个SCell时，即，在SeNB的初始配置中允许在SeNB中添加一个以上SCell，则利用用于双连通的现有的HO安全机制，MeNB应该知道用于导出SeNB的安全密钥的、SeNB中的SCell中之一的PCI和操作下行链路频率(EARFCN-DL)。

当处理MeNB中的DRB的任一PDCP实体中的PDCP计数将循环时，MeNB可发起小区内交接(即，交接至同一MeNB小区)以刷新MeNB密钥，然后MeNB将必须同时释放SeNB中的所有SCell以保证SeNB的安全密钥也被更新(基于刷新的MeNB密钥)。当MeNB的安全密钥被更新同时SeNB继续使用从MeNB的先前安全密钥中导出的现有安全时，可能导致安全危害，因此，使用从无效的主密钥中导出的二级密钥并非良好的安全实践。当处理SeNB中的DRB的任一PDCP实体的PDCP计数将循环时，则在由建立于SeNB上的数据无线承载(DRB)处理的用户面数据经受PDCP计数循环时(即，具有相同DRB-ID的相同PDCP计数值与安全密钥被再次使用(不止一次)时)，可能出现密钥重复。

安全机制的操作和管理(例如，为用于配置有双连通操作模式的UE的SeNB中所建立的DRB执行计数器检查程序)中存在的限制和缺点可能导致安全性上潜在的危害。现有的计数器检查程序没有解决双连通中的入侵者检测问题，因为SeNB不具有与UE的直接RRC信令连接。需要一种方法来检测与SeNB关联的PDCP计数器，检测是否安装有包注入攻击以及是否有可能用表示哪个节点负责处理DRB的指示来标记DRB-ID并为UE提供用以识别MeNB或SeNB中使用的正确的DRB环境的机制。

在传统LTE系统(即，版本8至版本11)中，计数器检查程序在3GPP规范TS 36.331(章节5.3.6)中规定用于检测包注入攻击，其中，RRC程序是一种审计，在该程序中，eNB检查由用于建立的DRB的UE提供的PDCP计数是否与由eNB在程序的请求消息中发送的值匹配。如果检测到这种入侵者攻击，则网络可以决定立即释放RRC连接并可以发起其它程序，例如，通知网络节点受到攻击。对于版本10载波聚合(CA)，UE的主小区(PCell)发起用于在SCell(多个SCell)上建立的DRB的计数器检查程序。该原理不能被应用于RRC层位于MeNB中的双连通，并且在SeNB中没有关于PDCP实体的上下文或信息可被MeNB获得。

相比于版本10CA，用于双连通的计数器检查程序的扩展需要X2接口以及UE与MeNB之间RRC信令中的新信令支持。

发明内容

技术问题

本文中实施方式的方面提供了在eNB间载波聚合方案配置下，用户设备(UE)与一个或多个eNodeB(eNB)之间以安全方式的安全的同时发送和接收。

本公开的另一方面提出了在SeNB内的多个SCell被同时添加时，利用UE与MeNB之间的RRC信令建立UE与SeNB之间的安全环境的方法和系统。

本公开的另一方面提出了在建立在由SeNB提供的至少一个第二服务频率上的至少一个DRB的PDCP计数将循环时，利用MeNB与SeNB之间的X2信令以及UE与MeNB之间的RRC信令，建立或更新UE与SeNB之间的安全环境的方法和系统。

本公开的另一方面提出了在为UE配置有由SeNB提供的至多一个第二服务频率上的PUCCH资源的SCell被改变时，利用MeNB与SeNB之间的X2信令以及UE与MeNB之间的RRC信令，建立或更新UE与SeNB之间的安全环境的方法和系统。

本公开的另一方面提出了在UE和SeNB使用的密码算法将被改变时，利用MeNB与SeNB之间的X2信令以及UE与MeNB之间的RRC信令建立或更新UE与SeNB之间的安全环境的方法和系统。

本公开的另一方面提出了在UE以双连通操作模式操作时，利用MeNB与SeNB之间的X2信令以及UE与MeNB之间的RRC信令检测数据无线承载中的入侵者(包注入)的机制。

技术方案

为了针对上述缺陷，本发明的主要方面提供了为无线通信网络中以双连通模式操作的用户设备(UE)创建安全连接的方法，所述无线通信网络包括第一演进节点B(eNB)，通过X2接口与第二eNB连接，其中，所述UE是聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体。所述方法包括由第一eNB向所述UE发送第一无线资源控制(RRC)消息。所述方法还包括：由第一eNB从第二eNB接收指示，其中，RRC消息包括使所述UE更新与第二eNB关联的安全基础密钥的指令和使所述UE检查与至少一个数据无线承载(DRB)关联的PDCP计数的指令的其中之一，其中，所述数据无线承载(DRB)建立在第一eNB和第二eNB中至少之一上。

此外，本文中提供了一种无线通信网络，包括至少一个第一演进节点B(eNB)，通过X2接口与至少一个第二eNB连接，以及至少一个用户设备(UE)，以双连通模式操作。所述UE是聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体。第一eNB被配置为向所述UE发送无线资源控制(RRC)消息。第一eNB从第二eNB接收指示，其中，所述RRC消息包括使所述UE更新与第二eNB关联的安全基础密钥的指令和使所述UE检查与至少一个数据无线承载(DRB)关联的PDCP计数的指令的其中之一，其中，所述数据无线承载(DRB)建立在第一eNB和第二eNB中至少之一上。

本文中提供了无线通信网络中的第一演进节点B(eNB)。第一eNB与以双连通模式操作的至少一个用户设备(UE)连接以及通过X2接口与至少一个第二eNB连接。所述UE是聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体。第一eNB被配置为向所述UE发送第一无线资源控制(RRC)消息。第一eNB从第二eNB接收指示，其中，所述RRC消息包括使所述UE更新与第二eNB关联的安全基础密钥的指令和使所述UE检查与至少一个数据无线承载(DRB)关联的PDCP计数的指令的其中之一，其中，所述数据无线承载(DRB)建立在第一eNB和第二eNB中至少之一上。

本文中提供了第二演进节点B(eNB)，连接至无线通信网络，其中，第二eNB与以双连通模式操作的至少一个用户设备(UE)连接以及通过X2接口与至少一个第一演进节点B(eNB)连接。所述UE是聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体。第二eNB被配置为在X2消息中提供在由第二eNB提供的至少一个所述第二服务频率上建立的至少一个数据无线承载(DRB)的DRB标识以及关联的PDCP计数值。一旦通过X2接口由第一eNB从第二eNB接收到第二指示，则第一eNB对所述UE执行用于与第二eNB关联的至少一个DRB的计数器检查过程。第二指示表示计数器检查过程的执行，所述计数器检查过程用于在由第二eNB提供的至少一个所述第二服务频率上建立的至少一个DRB。

在结合下列描述和附图考虑时，本文中实施方案的这些和其它方面将被更好地领会和理解。然而应理解，在指示优选实施方式和其多个特定细节时，下列描述以说明的方式而不是以限制的方式给出。在不背离本发明精神的前提下，在本文中实施方式的范围内可以进行多种改变和修改，本文中的实施方式包括所有这种修改。

在进行下面的具体描述之前，阐述在该专利文献的全文中使用的某些措辞和短语的定义可能是有利的：术语“包括(include)”和“包括(comprise)”以及它们的变型是指包括但不限于；术语“或”是包括的，指的是和/或；短语“与...关联”和“与其相关”以及它们的变型可以指包括、包括在...内、与...相互连接、包含、包含在...中、连接至...或与...连接、耦合至...或与...耦合、可与...通信、与...配合、交错、并列、接近于、约束于或以...约束、具有、具有...的属性等；以及术语“控制器”是指其控制至少一种操作的任何装置、系统或部分，这种装置可以硬件、固件或软件、或它们中的至少两个的一些组合来实现。应注意，无论在本地还是远程，与任何具体的控制器相关的功能可以为集中式或分布式的。在整个专利文献中提供了用于某些措辞和短语的定义，本领域普通技术人员应理解，在许多情况下(即使不是大多数情况)，这种定义适用于如此定义的措辞和短语的在先使用以及将来使用。

附图说明

为了更完整地理解本公开及其优点，现在参考结合附图的以下描述，其中相同的参考数字表示相同的部分：

图1示出了根据本公开实施方式在无线通信网络系统中的演进节点B(eNB)间载波聚合；

图2a和图2b示出了根据本公开实施方式在3GPP规范TR 36.842中考虑的用于双连通的协议架构；

图3示出了根据本公开实施方式的eNodeB；

图4示出了根据本公开实施方式配置为以双连通模式操作的UE；

图5示出了根据本公开实施方式使用由SeNB决定的pSCell参数导出KeNB_s*的示例性过程；

图6示出了根据本公开实施方式的导出KeNB_s*的示例性过程，其中，pSCell由MeNB决定；

图7示出了根据本公开实施方式，，为了由SeNB中处理DRB的任一PDCP实体的PDCP计数循环而导致的NB密钥刷新，MeNB发起的SCG释放和随后的SCG添加的示例性过程；

图8示出了根据本公开实施方式在SeNB决定改变PSCell时SeNB密钥刷新的示例性过程；

图9示出了根据本公开实施方式的MeNB密钥改变时SCG释放和添加过程的示例性过程；

图10示出了根据本公开实施方式SeNB发起用于SCG承载的计数器检查程序以及MeNB验证结果的过程；

图11示出了根据本公开实施方式MeNB发起用于SCG承载的计数器检查程序并验证结果的过程；以及

图12示出了根据本公开实施方式SeNB发起用于SCG承载的计数器检查程序并验证结果的过程。

具体实施方式

在本专利文件中，下文讨论的图1至图12以及用于描述本公开的原理的多种实施方式都只是以说明的方式描述，不应以任何方式被解释为限制本公开的范围。本领域技术人员应理解，本公开的原理可以在任何适当安排的无线通信系统中实现。本文中的实施方式以及它们的多种特征和有益细节参照在附图示出和在下文描述中具体化的非限制性实施方式而被更加全面的解释。众所周知的部件和处理技术的描述将被省略，以避免不必要地使本文中的实施方式模糊不清。并且，本文中描述的各种实施方式不必为互斥的，因为一些实施方式可以与一个或多个其它实施方式组合以形成新的实施方式。本文中使用的示例仅旨在帮助理解可以实践本文中实施方式的方法以及进一步允许本领域技术人员实践本文中的实施方式。因此，示例不应被解释为限制本文中实施方式的范围。

在本文件全文中，术语“第一演进节点B”(第一eNB)、“主eNB(MeNB)”、“主要eNB”以及“锚点eNB”被可交换地使用并且可以指代将用户设备(UE)连接至核心网络的单个eNB，其至少使S1-MME接口终止。在本文件全文中，术语“第二eNB”、“辅助eNB(SeNB)”、“小型eNB”、以及“漂移eNB”被可交换地使用并且可以指代为UE提供服务以提高UE(而不是MeNB)处的数据吞吐量的eNB。在本文件全文中，术语“第二eNB改变计数器(SCC)”、“S-计数计数器(SCC)”、“辅助小区计数器”、“辅助小区组(SCG)计数器”以及“SCG计数器”被可交换地使用，并且指代保持在第一eNB处用于导出SeNB基础密钥的保鲜(freshness)参数。在本文件全文中，术语“刷新”、“密钥更新”以及“更新”已经被可交换地使用，并且可以指代与SeNB关联的新的安全基础密钥的导出。在本文件全文中，术语“KeNB_m”或“KeNB_M”指代在3GPP技术规范(TS)33.401中规定的密钥KeNB，该密钥KeNB由MeNB和UE使用以导出用以保护它们之间通信的其它密钥，并且该密钥KeNB还可以用于SeNB基础密钥的导出。在本文件全文中，术语“KeNB_s”、“KeNB_S”、“KeNB_S*”以及“KeNB_s*”指代密钥S-KeNB，该密钥S–KeNB由SeNB和UE使用以导出用以保护它们之间通信的其它密钥。在本文件全文中，术语“配置有PUCCH资源的服务小区”、“专用SCell”、“PSCell”以及“pSCell”已经被可交换地使用并且可以指代在由SeNB提供服务的至少一个第二服务频率上的至多一个服务小区。在本文件全文中，术语“计数器”、“PDCP计数”、“PDCP序列号”以及PDCP计数值的最重要部分被可交换地使用。

本公开的实施方式实现了无线通信网络中的用户设备的双连通模式的安全性。某些实施方式提供了用于在包括连接至第二eNB的第一eNB的无线网络中创建用于UE的安全连接的方法和系统。UE为聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体。在第一eNB处，与第二eNB关联的安全基础密钥在下列期间中的至少之一中利用保鲜参数而导出：第二eNB中多个SCell的添加、第一eNB的安全基础密钥的更新、第二eNB的安全基础密钥的更新、密码算法的改变以及在由SeNB提供的至多一个第二服务频率上配置有PUCCH资源的服务小区的改变。与第二eNB关联的安全基础密钥基于与第一eNB关联的安全基础密钥和与第一eNB的安全环境关联的保鲜参数而生成。在第二eNB处，用户面加密密钥基于从第一eNB接收的与第二eNB关联的安全基础密钥而导出，以用于加密在与第二eNB关联的至少一个服务小区上建立的至少一个数据无线承载上传递的数据。保鲜参数被通知给UE以用于导出与第二eNB关联的安全基础密钥和进一步导出用户面加密密钥以保护UE与SeNB之间传递的数据。此外，SeNB为第一eNB提供DRB标识和对应于至少一个DRB(该DRB在与第二eNB关联的至少一个服务小区上建立)的PDCP计数以对UE执行计数器检查过程。

现在参照附图，更具体地参照图1至图12，其示出了优选实施方式，其中，在所有附图中，相同的参考字符表示相同的对应特征。

图1示出了根据本公开实施方式的无线通信网络系统100(例如，3GPP的长期演进(LTE)的网络系统)中的演进节点B(eNB)间载波聚合。无线通信网络系统100的实施方式只用于说明。其它实施方式可以在不背离本公开的范围的条件下使用。

无线通信网络系统100包括移动管理实体(MME)102、第一eNB(MeNB)104、第二eNB(SeNB)106以及用户设备(UE)108，其中用户设备(UE)108具有eNB间载波聚合。MME 102管理会话状态、认证、呼叫、3GPP的移动性、2G和3G节点、漫游以及其它承载管理功能。UE 108可以为移动电话、平板电脑、可穿戴计算机装置、通信安全装置或能够在无线通信网络系统100上连接和通信的任何其它装置。在某些实施方式中，UE 108能够同时连接至MeNB 104和SeNB 106而在双连通操作模式下操作。

MeNB 104可以是宏eNB、主要eNB、第一eNB、锚点eNB或能够作为无线通信网络系统100的一部分和在第一载波频率(F1)上的至少一个小区为UE 108提供服务的任何其它eNB。SeNB 106可以是辅助eNB、小型eNB、漂移eNB或能够作为无线通信网络系统100的一部分和在第二载波频率(F2)上的至少一个小区为UE 108提供服务的任何其它eNB。在某些实施方式中，MeNB和SeNB是同一无线通信网络系统100的部分并且可以通过非理想回程(例如，X2接口110)在后台彼此连接并利用X2应用协议(X2-AP)通信。UE 108配置为利用空中接口与MeNB 104和SeNB 106中的至少一个连接。可以有多个SeNB和MeNB存在于无线通信网络系统100中。无线网络系统100仅为适合的环境的一个示例，并不旨在提出对于本公开的使用范围或功能的任何限制。

在某些实施方式中，MeNB 104与具有接口的SeNB 106连接，其中接口以非理想回程链路和理想回程链路中之一为特征。UE 108为聚合有由MeNB 104提供的至少一个第一服务频率(F1)和由SeNB 106提供的至少一个第二服务频率(F2)的载体，并且被配置为在下行链路方向和上行链路方向的至少一个上以与MeNB 104和SeNB 106通信的双连通操作模式操作。在某些实施方式中，无线网络系统100对UE 108使用在MeNB 104上传输的一组数据无线承载(DRB)，同时对UE 108使用在SeNB 106上传输的另一组数据无线承载(DRB)。当MeNB 104和SeNB106为UE 108提供服务时，MeNB 104处理UE 108的控制面，而UE 108的用户面处理在MeNB 104和SeNB 106之间被分配或拆分。

图2a和图2b示出了根据本公开实施方式考虑3GPP规范TR 36.842的用于双连通的协议架构。示于图2a和图2b中的协议架构的实施方式只用于说明。其它实施方式可以在不背离本公开的范围的条件下使用。

图2a示出了根据本公开实施方式从eNB视角得到的核心网络(CN)拆分架构。S1-U在MeNB 104和SeNB 106处终止。该架构被称为核心网络(CN)拆分，其中，UE 108的一组演进分组系统(EPS)承载在核心网络中的服务网关(S-GW)处被拆分，并且EPS承载被映射在朝向MeNB 104和SeNB 106的各自的S1-U接口上。各自的EPS承载被映射到MeNB 104和SeNB 106的相应的数据无线承载(DRB)上。

图2b示出了根据本公开实施方式从eNB视角得到的无线接入网(RAN)拆分架构。S1-U只终止于MeNB 104。该架构被称为无线接入网(RAN)拆分，其中，UE 108的EPS承载#2在MeNB 104中被拆分，并且卸载的承载被映射在朝向SeNB 106的X2接口上。用于与MeNB 104(EPS承载#1和拆分EPS承载#2)和SeNB 106(卸载的EPS承载#2)关联的数据无线承载的层2协议栈包括MeNB处的每个承载的独立PDCP实体、MeNB 104和SeNB 106处的每个承载的独立无线链路控制(RLC实体)、以及MeNB 104处的媒体接入控制(MAC)实体和SeNB 106处的独立MAC实体。与MeNB 104(EPS承载#2)和SeNB 106关联的拆分/卸载的数据无线承载可以由与MeNB 104关联的称为公共PDCP实体的PDCP实体来处理。此外，MeNB 104包括用于控制信令的RRC协议。与MeNB 104和SeNB 106关联的层2协议栈用于处理与MeNB 104和SeNB 106关联的数据无线承载，其中该协议栈包括MAC实体、RLC实体。从UE视角观察，在UE 108中存在与如图2a和图2b所示的PDCP实体一样的PDCP实体，并且因此，为了简单起见而未明确示出。

图3示出了根据本公开实施方式的eNodeB(其可以是MeNB或SeNB中的至少一个)。图3中所示的eNB 300的实施方式仅用于说明。其它实施方式可以在不背离本公开的范围的条件下使用。图3中所示的eNB 300可以是MeNB 104或者SeNB 106。在某些实施方式中，MeNB 104和SeNB106都配置为与eNB 300相同或相似。

存在于eNB 300中用于在UE 108的双连通中通信的主要模块包括通信模块302、承载路径管理模块304、处理器模块306、存储模块308以及密钥管理模块310。在某些实施方式中，通信模块302配置为与UE 108以及用于建立安全环境的其它eNB通信安全信息。例如，MeNB 104中的无线通信模块302可配置为与一个或多个UE 108通信安全基础密钥。

承载路径管理模块304确定待在eNB中各自的小区内传输的承载。本文描述的承载可以是数据无线承载(DRB)或信令无线承载(SRB)。承载的选择可以基于多个变量，包括但不限于：服务质量要求(QoS)、承载的通信量特性、所选辅助小区的负载和覆盖范围等。

密钥管理模块310配置为从多个实体导出和/或接收密钥。在某些实施方式中，密钥管理模块310配置为基于接收的密钥生成其它安全密钥。MeNB 104从MME 102接收基础安全密钥并导出用于SeNB 106的安全基础密钥。类似地，SeNB 106使用从MeNB 104接收的安全密钥以导出新的安全密钥以用于与UE 108的安全通信。导出的用于SeNB 106的安全基础密钥可以从MeNB 104通过X2接口利用X2消息发送。

此外，在某些实施方式中，存储模块308配置为存储与eNB的操作(例如MeNB 104和SeNB 106中的一个或两个的操作)以及UE 108的操作相关的数据。存储模块308可配置为存储生成以用于与不同实体通信的多个安全密钥。

图4示出了根据本公开实施方式配置为以双连通模式操作的UE。然而，UE有多种配置，并且图4并没有将本公开的范围限制为UE的任何特定实现。

存在于UE 108中用于以双连通通信的主要模块包括通信模块402、承载路径管理模块404、处理器模块406、存储模块408以及密钥管理模块410。在某些实施方式中，通信模块402配置为与eNB(例如，MeNB104和/或SeNB 106)通信安全信息以用于建立安全环境。例如，UE 108中的无线通信模块402可配置为与一个或多个eNB通信受保护的用户面数据包。在某些实施方式中，UE 108中的无线通信模块402能够同时与一个或多个eNB通信。

承载路径管理模块404确定待在eNB中各自的小区内传输的承载。本文描述的承载可以是数据无线承载(DRB)或信令无线承载(SRB)。承载的选择可以基于多个变量，包括但是不限于：服务质量要求(QoS)、承载的通信量特性、所选辅助小区的负载和覆盖范围等。

密钥管理模块410配置为导出用于多个实体(例如eNB和MME)的密钥。

此外，存储模块408配置为存储与eNB(例如，MeNB 104和SeNB106)以及UE 108的操作相关的数据。存储模块408可配置为存储生成以用于与不同实体通信的、由密钥管理模块410接收的多个安全密钥。

本公开的实施方式提供了建立用于eNB间载波聚合的安全环境的系统和方法。具体地，某些实施方式提供了用于MeNB与SeNB之间的密钥分离和安全处理的系统和方法。SeNB 106可以在对MeNB的SeNB释放请求消息中包括密钥刷新标记。在某些实施方式中，SeNB 106向MeNB发起密钥刷新请求消息以用于(基于例如PDCP循环、要改变的密码算法、要改变的pSCell等的事件)刷新KeNB_s密钥。此外，在某些实施方式中，UE 108向MeNB发起密钥刷新请求消息以用于刷新KeNB_s密钥。从而，当多于一个的SCell在SeNB添加过程期间被添加并且物理小区标识(PCI)和下行链路频率(EARFCN-DL)被用作输入参数时，MeNB可向UE 108指示小区特定的PCI和EARFCN-DL以在密钥导出功能(KDF)中被用作输入参数。在本文中的某些实施方式中，允许在SeNB106和UE 108之间利用UE 108和MeNB 104之间的RRC信令建立安全环境。在某些实施方式中，辅助信息以小区列表的形式在X2接口上提供，并且关联的RRM测量(RSRP/RSRQ测量)满足能够成为SCG中潜在pSCell的阀值条件；辅助信息以小区列表的形式在X2接口上提供，并且关联的物理资源有效性满足能够成为SCG中潜在pSCell的条件。

本公开的某些实施方式提供了用于用户设备的双连通操作模式中的入侵者检测的系统和方法。本公开的某些实施方式提供了eNB间载波聚合场景中用于用户设备的用户面通信量承载的入侵者检测的机制。该方法包括在与DRB–ID和PDCP计数相关的X2接口上为上行链路和下行链路DRB提供辅助信息，其中DRB–ID和PDCP计数与由SeNB 106处理的DRB关联，该方法可包括在计数器检查请求消息中通过根据处理相应DRB的节点的MCG或SCG指示来标记DRB-ID。

本公开的某些实施方式公开了发起用于在MeNB中建立的DRB的计数器检查过程的MeNB；其还可以包括在SeNB 106中建立的DRB。

可通过MeNB发起计数器检查过程并验证结果、SeNB 106发起计数器检查过程并验证结果或SeNB 106发起计数器检查过程而MeNB验证结果，支持用于双连通(RAN拆分架构和CN拆分)的计数器检查过程。由上可知，SeNB 106发起该过程以及MeNB验证结果可以是优选过程，这是因为SeNB处理PDCP实体而MeNB需为决策实体。

对于最初的SeNB添加过程，SeNB密钥导出是基于正在使用的当前MeNB密钥(KeNB_m)进行的。本文中描述的过程使用SeNB计数器计数(S-Count或SCC)以保证不出现SeNB密钥重复。来自由SeNB 106处理的SCell(SCG小区)组的参考小区(pSCell)的特定参数也可以用于SeNB密钥导出。

UE 108向MeNB 104发送测量报告。SeNB 106也利用X2接口向MeNB 104发送资源状态更新。资源状态更新包括负载信息、无线问题等。基于从UE 108和SeNB 106接收的信息，MeNB 104选择参考小区(pSCell)。MeNB 108向SeNB 106发送SCellCommand，其中SCellCommand包括待添加或释放的所选pSCell的ID、与pSCell关联的限制(如果存在)等。一旦接收到SCellCommand，SeNB 106向MeNB 104发送SCellConfig消息，其中SCellConfig包括ScellToAddModList、安全算法等。MeNB 104向UE 108发送RRCConnectionReconfiguration消息，其中RRCConnectionReconfiguration消息包括用于所选pSCell的安全配置。响应于RRCConnectionReconfiguration消息，UE 108以RRCConnectionReconfigurationComplete消息的形式向MeNB 104发送响应。MeNB 104还向UE 108和SeNB 106发送RACH(随机存取信道)消息。MeNB 104和UE 108生成S计数增加的新的SeNB密钥链(S-Count)。MeNB 104还向SeNB 106发送SCellConfigACK信息，其中SCellConfigACK消息包括SeNB-Kenb(KeNB_S)。作为响应，SeNB 106向MeNB 104发送SCellCommandAck响应。

本文中公开的计数器为随机数(nounce)的特例。随机数和计数器(S-Count或SCC)在本文中已经被可交换地使用。计数器由于每个SeNB添加而增加，并且在随机数的情况中，新的随机数由于每个SeNB添加而伪随机地生成。

被导出以用于SeNB 106的密钥适合于由SeNB 106中添加的所有SCell处理的所有用户面通信量。术语“MeNB密钥”与“MCG密钥”以及术语“SeNB密钥”与“SCG密钥”在本文中已经被可交换地的使用。

本文中的实施方式公开了由于MeNB 104中的改变或MeNB 104中的任一PDCP实体的PDCP计数将要循环而刷新KeNB_m时，用于在SeNB 106中维持旧密钥或在SeNB 106中刷新新密钥的机制。

本文中的实施方式公开了在多个SCell配置用于UE 108以及用于特定UE 108的专用SCell改变时避免KeNB_s密钥改变的机制。

图5示出了根据本公开实施方式利用由SeNB 106决定的pSCell参数导出KeNB_s*的示例性过程。

当同时添加多个SCell时，pSCell是UE 108在其上执行随机存取的一个。一旦决定pSCell，SeNB 106在X2接口上向MeNB 104发送SeNB密钥请求消息，其中X2接口提供pSCell或小区特定参数。MeNB 104基于指示的pSCell或小区特定参数生成KeNB_s*。KeNB_s*在SeNB密钥响应消息中提供给SeNB 106。

一旦MeNB 104决定添加SeNB 106(502)，则MeNB 104向SeNB 106发送SeNB添加请求(504)，其中多个SCell可基于添加请求而被添加。响应于添加请求(504)，SeNB 106发送SeNB添加响应(506)消息，从多个添加的SCell中指示决定的pSCell(506)。一旦接收响应消息(508)，MeNB 104停止LCH_s 510。LCH_S或LCH_s与UE 108和SeNB 106之间的逻辑信道关联。LCH_S或LCH_s对应于SCG承载。MeNB 104向SeNB 106发送SeNB添加确认(511)。然后MeNB 104向UE发送RRC连接重新配置(RRCConnectionReconfiguration)消息(512)，其中，RRCConnectionReconfiguration消息指示新的SeNB 106已经被添加、多个SCell已经被添加、密钥导出需要的必要参数(SCC)、pSCell等。一旦接收到RRCConnectionReconfiguration消息(512)，则UE 108停止LCH_s 514并向MeNB 104发送RRC连接重新配置完成(RRCConnectionReconfigurationComplete)消息(516)。并行地，MeNB104向SeNB 106发送SN状态消息(518)。MeNB 104还开始向SeNB 106转发数据(520)。UE 108基于与由MeNB 104通信的PSCell相关的参数产生KeNB_s(522)。UE 108在多个添加的SCell的SCell中之一上执行随机存取(524)，其中，UE在其上执行随机存取过程(524)的Scell是来自MeNB 104的RRCConnectionReconfiguration消息(516)中指示的PSCell。UE 108还开始用于添加的SCell的LCH_s(526)。MeNB 104基于与pSCell相关的参数生成KeNB_s*。然后MeNB 104在SCG添加确认消息中向SeNB 106发送SeNB密钥(KeNB_s*)。利用KeNB_s*作为KeNB_s(528)，SeNB 106开始LCH_s(530)。此外，UE 108和MeNB 104将KeNB_M作为k1，并且k1被应用于LCH_M(532)。LCH_M或LCH_m可以与UE与MeNB之间的逻辑信道关联。LCH_M或LCH_m对应于MCG承载。此外，UE 108和SeNB 106将KeNB_S作为k2，并且k2被应用于LCH_S(534)。MeNB 104与SeNB 106和UE 108共享PDCP(分组数据汇聚协议)状态报告(536)。UE 108和SeNB 106开始利用新的KeNB_s(540)以导出其它密钥，这些密钥可以用于保护所有SCell的用户面通信量。

在某些实施方式中，公开了独立于小区特定参数导出KeNB_s密钥的方法。根据该实施方式，独立于小区特定参数的密钥导出函数包括：

KeNB_s*＝KDF{KeNB_m(正在使用的),随机种子,KeNB_s,<其它可能的参数>}

其中，随机种子可以是处理MeNB 104中的信令承载(SRB0或SRB1)的随机数或/和计数器或/和PDCP实体的PDCP计数，其发起UE 108中的密钥变换。这里，KeNB_s*被导出而不使用任何小区特定参数。在上述密钥导出函数中，除了随机种子和KeNB_m，所有其它参数都是可选的。

如果密钥导出函数(KDF)不包括作为小区特定参数(而不是类似“随机数或计数器或PDCP计数或它们的组合”等的随机参数)PCI和EAFRCN-DL，即使多于一个SCell被同时添加，也不会在加密地导出不同的密钥时出现安全问题。

在某些实施方式中，在密钥导出函数中提及的<其它可能的参数>中的一个可为SeNB 106的eNB ID，SeNB 106的eNB ID在用于KeNB_S*导出的SIB1信令消息中被广播。eNB ID已经包括在SIB1中。通常的理解是该28位字段的20MSB识别eNB。

在直到版本11的LTE中，在每次交接(HO)和再建立时，UE 108导出新的接入层(AS)密钥，例如KeNB、K_RRCint、K_RRCenc以及K_UPenc。假设每当MeNB改变时都需要更新SeNB密钥是合理的。因此，SeNB密钥需要根据MeNB密钥改变而更新，但是需要考虑这是否将导致SCG释放和添加。假定MeNB 104交接(HO)可以是时间先决的，则在MeNB HO时释放SCG并在HO完成后重建SCG实际上可以是优选的。在某些实施方式中，SCG的释放和随后的添加将类似于HO期间的用户面过程，但局限于SCG承载，即，处理SCG的MAC实体被重置，PDCP实体被重建并且RLC实体被重建。

在本公开的某些实施方式中，SCG释放和随后的添加是可应用于SCG密钥刷新和MeNB密钥改变的简单方法，其中，SCG密钥刷新和MeNB密钥改变是由于MeNB交接(HO)或由于MeNB 104或SeNB 106中处理DRB的任一PDCP实体的PDCP计数的循环。

图6示出了根据本公开实施方式利用pSCell参数导出KeNB_s*的示例性过程，其中MeNB决定PSCell。

当同时添加多个SCell时，pSCell为UE 108在其上执行随机存取的一个。MeNB 104基于决定的pSCell或小区特定参数生成KeNB_s*。

当MeNB 104决定添加SeNB 106时(602)，MeNB 104决定PSCell并导出KeNB_s*。MeNB 104向SeNB 106发送SeNB添加请求(604)，其中添加请求可包括待添加的多个SCell、决定的PSCell以及导出的KeNB_s*。响应于添加请求，SeNB 106发送SeNB添加响应消息(606)。一旦接收到响应消息(606)，MeNB 104停止LCH_s(608)。然后，MeNB104向UE发送RRCConnectionReconfiguration消息(612)，其中，RRCConnectionReconfiguration消息612指示已经添加的新的SeNB 106、已经添加的多个SCell等。一旦接收到RRCConnectionReconfiguration消息(612)，则UE 108停止LCH_s(614)。UE 108基于与由MeNB 104通信的pSCell有关的参数生成KeNB_s(616)，并向MeNB 104发送RRCConnectionReconfigurationComplete消息(618)。并行地，MeNB 104向SeNB 106发送SN状态消息(620)，其中SeNB 106包括计数。MeNB104还开始向SeNB 106转发数据(622)。UE 108在多个添加的SCell的SCell中之一上执行随机存取(624)，其中，UE在其上执行随机存取过程的Scell是来自于MeNB 104的RRCConnectionReconfiguration消息(618)中指示的pSCell。UE 108还开始用于添加的SCell的LCH_s(625)。将KeNB_s*用作KeNB_s(626)，SeNB 106开始LCH_s(628)。此外，UE 108和MeNB 104将KeNB_M作为k1，并且k1被用于LCH_M(630)。此外，UE 108和SeNB 106将KeNB_S作为k2，并且k2被应用于LCH_S(632)。MeNB 104与SeNB 106和UE 108共享PDCP(分组数据汇聚协议)状态报告(634)。UE 108和SeNB 106开始对所有SCell的用户面通信量使用新的KeNB_s(636)。

图7示出了根据本公开实施方式，为了由SeNB中处理DRB的任一PDCP实体的PDCP计数循环而导致的SeNB密钥刷新，MeNB发起的SCG释放和随后的SCG添加的示例性过程。

SCG释放和随后的同一SCG的添加(即，SCG释放和添加过程)意味着：与SeNB 106关联的用户面协议栈被重置并在UE 108和SeNB 106中被重建(702)。SeNB 106向MeNB 104发送资源状态更新(X2-AP状态更新)消息704，其中资源状态更新包括PDCP SN循环状态。在实施方式中，X2-AP状态更新消息(704)是具有SCG改变指示的SeNB 106修改需要消息，其中SCG改变指示的原因值是PDCP计数循环。一旦接收到SeNB修改需要消息，则MeNB 104导出新的KeNB_s*(706)。MeNB104向SeNB 106发送包括新的KeNB_s*的SCell命令(SCellCommand)消息(X2-AP消息708，例如，SeNB修改请求)。MeNB 104还向UE 108发送RRCConnectionReconfiguration消息(710)。MeNB 104将必要参数(SCC)包括在用于UE 108的RRCConnectionReconfiguration中以更新KeNB_s。一旦接收到该消息，UE 108更新(导出)密钥KeNB_s并向MeNB 104发送RRCConnectionReconfigurationComplete消息(712)。UE108释放动态密钥KeNB_s并重建层2协议栈(714)。重建层2协议栈意味着UE 108重置与SeNB 106关联的MAC层，并重建与用于UE 108与SeNB 106之间建立的每个DRB的SeNB 106关联的PDCP和RLC实体。SeNB 106还释放旧的KeNB_s密钥(716)。然后，MeNB 104向SeNB 106发送SCell配置ACK(SCellConfigAck)(718)并从SeNB 106接收SCell命令ACK(SCellCommandAck)(719)。然后，UE 108在多个添加的SCell的SCell中之一上执行随机存取(720)，其中，UE在其上执行随机存取过程(720)的SCell为来自于MeNB的RRCConnectionReconfiguration消息(710)中指示的pSCell。SeNB 106还将从MeNB 104接收的KeNB_s*用作KeNB_s(722)。UE 108和SeNB 106使用从更新的(新的)KeNB_s导出的新密钥以用于所有SCell的用户面通信量保护(724)。

如果有需要、触发、或事件以改变对UE 108与SeNB 106之间的现有DRB的SCG安全算法，那么仅通过SCG释放和添加过程的对其支持是合理的。在某些实施方式中，SeNB 106向MeNB 104发送SeNB修改需要消息并且具有原因值为安全算法改变(或者原因值可为“其它“)的SCG改变指示。在某些实施方式中，SeNB修改需要消息携带有选定的安全算法。应注意到，基于来自SeNB的原因、指示或信息(例如，在SeNB修改需要的消息中)，MeNB没有使用EPC发起用户面路径切换过程，而是通过SCG释放和添加过程发起了具有算法改变的密钥改变过程。

图8示出了根据本公开实施方式在SeNB决定改变PSCell时SeNB密钥刷新的示例性过程。

与SeNB 106关联的用户面协议栈在UE 108和SeNB 106中被重置并重建(802)。UE 108向MeNB 104发送用于已经配置在UE 108上的不同频率的测量报告804。MeNB 104向SeNB 106发送SeNB修改请求消息(X2-AP)(806)，其中，SeNB修改消息(806)可包括RRM测量。基于SeNB修改请求消息(806)，SeNB 106决定改变PSCell(810)并且决定适当的PSCell。一旦决定改变PSCell，SeNB 106向MeNB 104发送SeNB修改请求确认消息(812)，其中，SeNB修改消息包括新的PSCell或原因、指示或信息或它们的组合，用于SeNB 106所确定的pSCell改变。MeNB 104导出新的KeNB_s*(814)并向SeNB 106发送包括导出的KeNB_s*的SeNB修改消息(816)。MeNB 104还向UE 108发送RRCConnectionReconfiguration信息(818)。一旦接收到该消息，UE 108向MeNB 104发送RRCConnectionReconfigurationComplete消息(820)。MeNB将必要的参数(SCC)包括在UE更新KeNB_s所需的RRCConnectionReconfiguration中。UE 108导出新的KeNB_s并释放旧的密钥并重建层2协议栈(821)。SeNB 106也释放旧的密钥(822)。然后，MeNB 104向SeNB 106发送SCellConfigAck(824)并从SeNB 106接收SCellCommandAck(826)。然后，UE 108在多个添加的SCell的SCell中之一上执行随机存取(828)，其中，UE在其上执行随机存取过程(828)的Scell为来自于MeNB的RRCConnectionReconfiguration消息中指示的pSCell。SeNB 106还将从MeNB 104接收的KeNB_s*用作KeNB_s以导出其它密钥(830)。UE 108和SeNB 106开始将从更新的KeNB_s新导出的密钥用于保护所有SCell的用户面通信量(832)。

图9示出了根据本公开实施方式在MeNB密钥被改变时SCG释放和添加过程的示例性过程。

与SeNB 106关联的用户面协议栈在UE 108和SeNB 106中被重置和重建(902)。在MeNB 104决定刷新KeNB(904)时，MeNB 104更新KeNB_m并导出新的KeNB_s*(906)。MeNB 104向SeNB 106发送SeNB修改消息(908)(包括导出的KeNB_s*)。MeNB 104还向UE 108发送RRCConnectionReconfiguration消息(910)。MeNB将必要的参数(SCC)包括在UE更新KeNB_s所用的RRCConnectionReconfiguration消息(910)中。一旦接收到RRCConnectionReconfiguration消息(910)，UE 108向MeNB 104发送RRCConnectionReconfigurationComplete消息(912)。UE108执行密钥刷新过程(更新KeNB_M)，然后UE 108导出新的KeNB_s并释放旧的密钥并重建层2协议栈(914)。SeNB 106也释放旧的密钥(915)。然后，MeNB 104向SeNB 106发送SCellConfigAck(916)并从SeNB 106接收SCellCommandAck(917)。然后，UE 108在多个添加的SCell的SCell中之一上执行随机存取(918)，其中，UE在其上执行随机存取过程(918)的Scell是来自于MeNB的RRCConnectionReconfiguration消息(910)中指示的pSCell。SeNB 106还将从MeNB 104接收的KeNB_s*用作KeNB_s(920)以导出其它密钥。UE 108和SeNB 106开始将从更新的KeNB_s中新导出的密钥用于保护所有SCell的用户面通信量(922)。

图10示出了根据本公开实施方式SeNB发起用于SCG承载的计数器检查过程以及MeNB验证结果的过程。

在双连通中由MeNB 104处理的数据承载(1001)在UE 108与MeNB104之间被建立。在双连通中由SeNB 106处理的数据承载(1002)在UE108与SeNB 106之间被建立。SeNB 106向UE 108发起用于X2接口上的SCG承载的计数器检查(1003)。SeNB 106发起计数器检查过程(1003)的触发可以是周期性的，其中，周期性的计数器检查过程(1003)以固定时间间隔出现。SeNB 106发起计数器检查过程(1003)的触发可以是基于事件的，例如，如果在数据体上存在突发冲击时。SeNB 106发起计数器检查过程(1003)的触发可以出现在认为是必要的时候。SeNB 106发起计数器检查过程(1003)的触发可以是为了检查数据传送量。如果计数器检查过程被触发，则SeNB 106在X2接口上向MeNB 104发送计数器检查消息(1004)中的内容(例如PDCP计数值和/或DRB ID)。SeNB106还可以向MeNB 104指示DRB的当前UL/DL PDCP计数状态和关联的DRB-ID(在RRC容器外)。SeNB 106还可以指示接下来几秒内(再次在RRC容器外)的期望的(PDCP序列号)SN率等。MeNB 104向UE 108执行RRC程序(1006)并存储从SeNB 106接收的信息以用于验证。UE 108可以基于接收的信息来验证结果。UE 108对在计数器检查信息中接收的PDCP计数值和其无线承载的值进行比较。如果接收的值和其当前PDCP值不匹配(可以在可接受的窗口大小内)，则UE 108可以在计数器检查响应消息内包括用于所有建立的DRB(MCG DRB和SCGDRB)的不同的UE PDCP计数值。当MeNB 104从UE 108接收响应(1008)时，MeNB 104基于由SeNB 106提供的信息执行计数器检查(1010)。如果MeNB 104从UE 108接收到不包含任何PDCP计数值的响应消息(1008)，则MeNB 104认为计数器检查通过。如果计数器检查通过，则不存在检测到的入侵(1011)。即，如果MeNB 104确定(1012)计数不在范围内，则在MCG承载上检测到入侵者攻击(1014)或在SCB承载上检测到入侵者攻击(1016)。如果MeNB 104从UE接收到包含一个或几个PDCP计数值的响应，则MeNB 104认为计数器检查未通过(UE可能包括相比于从MeNB接收的值不同的PDCP计数)。如果计数器检查未通过，则存在检测到的入侵。然后，MeNB 104向SeNB 106报警并采取适当操作，例如，发起释放SCG的请求(1018)、释放UE(1020)等的请求。

图11示出了根据本公开实施方式MeNB 104发起用于SCG承载的计数器检查过程并验证结果的过程。

双连通中由MeNB 104处理的数据承载(1101)在UE 108和MeNB104之间被建立。在双连通中由SeNB 106处理的数据承载(1102)在UE108和SeNB 106之间被建立。MeNB 104向UE 108发起用于SCG承载的计数器检查过程(1103)。MeNB 104发起计数器检查过程的触发可以是周期性的，其中，周期性检查过程以固定的时间间隔出现。MeNB 104发起计数器检查过程的触发可以是基于事件的，例如，如果在数据体中存在突发冲击时。MeNB 104以发起计数器检查过程的触发可以出现在认为必要的时候，类似于其它MCG承载。MeNB 104发起计数器检查过程的触发可以是检查数据传送量。如果计数器检查过程被触发，则MeNB104向SeNB 106请求用于UE 108的X2接口上的SCG承载和关联的DRB-ID的计数器消息(1106)。SeNB 106在响应中发送的X2消息中提供UE 108的DRB的当前UL/DL序列号(SN)状态和DRB-ID(1108)。此外，MeNB 104向UE 108执行计数器检查过程(1110)并可以将DRB-ID标记为具有MCG或SCG指示。指示可以是下列中的至少之一：用于对应DRB-ID的比特指示、MCG和SCG的DRB-ID的区别列表、用于对应DRB-ID的PCI指示、用于对应DRB-ID的PCI和EARFCN-DL、全局小区ID、小区全局标识符等。UE 108将在计数器检查消息中接收的PDCP计数值和其无线承载的值进行比较。UE 108可以为所有建立的DRB(MCG DRB和SCG DRB)包括不同UE PDCP计数值，并且可以在计数器响应消息(1112)内以MCG或SCG指示来标记DRB-ID。当MeNB104从UE 108接收到计数器检查响应消息(1112)时，MeNB 104基于由SeNB 106提供的信息执行计数器检查(1113)。如果MeNB 104接收到不包含任何PDCP计数值的计数器检查响应消息(1112)，则计数器检查通过(1115)。即，如果MeNB 104确定计数不在范围内(1114)，则在MCG承载上检测到入侵者攻击(1116)或在SCB承载上检测到入侵者攻击(1118)。如果计数器检查通过，则不存在检测到的入侵。如果MeNB104接收到包含一个或几个PDCP计数值的计数器检查响应，则计数器检查未通过(UE包括相比于从MeNB接收的值不同的PDCP计数)。如果计数器检查未通过，则存在检测到的入侵。如果DRB的未匹配的PDCP计数属于SCG，则MeNB 104向SeNB 106报警(1120)，并且MeNB 104采取适当的操作，例如，释放SCG、向核心网络实体报告以采取适当的操作、释放UE(1122)等。

这里，因为过程的发起和终止都在MeNB 104控制下，所以MeNB 104完全控制计数器检查过程的处理。对于拆分承载(如图2b中描述的RAN拆分架构)，可以假设SeNB 106对拆分承载应用与MeNB 104所使用的DRB标识相同的DRB标识(DRB-ID)，即，MeNB 104决定用于拆分承载的标识。这对SCG DRB也是可应用的，其中MeNB 104控制全部过程。

在某些实施方式中，UE 108通过用于MeNB或SeNB的RRC信令验证其计数值并向MeNB 104提供其计数值以进行验证和操作。

在某些实施方式中，UE 108验证从计数器检查请求消息中接收的计数值，并且如果计数器检查失败(UE 108本身检测到入侵攻击)，则UE108向MeNB 104发送修改的计数器检查响应消息，即，UE 108已经检测到对SCG承载的入侵攻击。MeNB 104决定释放检测到入侵的SCG和/或SCG承载。

在另一实施方式中，一旦检测到入侵攻击，则UE 108向MeNB 104发送修改的计数器检查响应消息，即，UE 108已经检测到对SCG承载的入侵攻击并向MeNB 104通知UE 108正在释放SCG承载。在发送计数器检查响应消息之后，UE 108自主地做出释放SCG承载的决定。

图12示出了根据本公开实施方式SeNB发起用于SCG承载的计数器检查过程并验证结果的过程。

双连通中由MeNB 104处理的数据承载(1201)在UE 108和MeNB104之间被建立。在双连通中由SeNB 106处理的数据承载(1202)在UE108和SeNB 106之间被建立。SeNB 106向UE 108发起用于X2接口上的SCG承载的计数器检查(1204)。SeNB 106发起计数器检查过程的触发可以是以周期性的，其中，周期性检查过程以固定时间间隔出现。SeNB106发起计数器检查过程的触发可以是基于事件的，例如，如果在数据体中存在突发冲击。SeNB 106发起计数器检查过程的触发可以在认为必要的时候出现，类似于其它SCG承载。SeNB 106发起计数器检查过程的触发可以是检查数据传送量。如果计数器检查过程被触发，则SeNB 106通过X2接口向MeNB 104发送计数器检查消息中的内容(PDCP计数)(1206)。MeNB 104通过将从SeNB 106接收的计数器检查消息转发给UE 108，对UE 108透明地执行RRC程序(1208)。UE 108基于接收的信息验证结果。UE 108对在计数器检查消息中接收的PDCP计数值和其无线承载的值进行比较。UE 108可以在计数器检查响应消息(1210)内为所有建立的DRB(MCG DRB和SCG DRB)包括不同的UE PDCP计数值。MeNB基于用于MCG承载的计数器检查响应消息(1210)验证结果(1211)。当MeNB 104从UE接收到计数器检查响应消息(1210)时，MeNB 104以透明方式向SeNB 106转发X2接口上的响应消息(1212)。SeNB 106基于由MeNB 104转发的消息验证结果(1214)。如果SeNB 106接收到不包含任何PDCP计数值的计数器检查响应消息，则SeNB 106认为计数器检查通过。如果计数器检查通过，则不存在检测到的入侵(1216)。如果SeNB 106接收到包含一个或几个PDCP计数值的计数器检查响应，则SeNB 106认为计数器检查未通过(UE包括相比于从MeNB接收的值不同的PDCP计数)。如果计数器检查未通过，则存在检测到的入侵(1218)。然后，如果DRB的未匹配的PDCP计数属于SCG，则SeNB106采取适当的操作，例如，发起用于释放SCG的要求(1220)、通过MeNB向核心网络实体报告以采取适当的操作等。

上述计数器检查过程可以被可交换地使用，两个或更多计数器检查过程可以合并或者可以按要求使用过程的合并和互换的组合。

前述特定实施方式的描述充分地显示本文中实施方式的一般本质，其他人在不背离一般概念的情况下可以通过应用当前知识而容易地对这些实施方式进行变更和/或修改，因此，这些修改和变更应该被理解为或旨在被理解为在等同于所公开的实施方式的含义和范围内。应理解，本文中使用的措辞或术语是用于描述的目的而非限制的目的。

虽然本公开已经通过示例性实施方式进行描述，但仍可向本领域技术人员提出各种改变和修改建议。本公开包括涵盖在所附权利要求范围内的这些改变和修改。

Claims (23)

1.为无线通信网络中以双连通模式操作的用户设备(UE)创建安全连接的方法，所述无线通信网络包括第一演进节点B(eNB)，通过X2接口与第二eNB连接，其中，所述UE是聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体，

所述方法包括：

响应于从第二eNB接收指示，由第一eNB向所述UE发送第一无线资源控制(RRC)消息，其中，所述RRC消息包括针对所述UE的指令，以更新与第二eNB关联的安全基础密钥和检查与至少一个数据无线承载(DRB)关联的PDCP计数，其中所述数据无线承载(DRB)建立在第一eNB和第二eNB中至少之一上。

2.根据权利要求1所述的方法，其中，当在X2消息中接收到第一指示时，第一eNB基于与第一eNB关联的保鲜参数和与第一eNB关联的安全基础密钥，更新用于所述UE的、所述与第二eNB关联的安全基础密钥，其中，所述第一指示表示用于所述UE的、所述与第二eNB关联的安全基础密钥需要更新。

3.根据权利要求2所述的方法，其中，所述第一指示包括原因值字段；其中，所述原因值字段与以下之一有关：

在由用于所述UE的第二eNB提供的所述第二服务频率的至少之一上建立的至少一个数据无线承载(DRB)的分组数据汇聚协议(PDCP)计数将要循环；

所述UE与第二eNB之间使用的密码算法将要改变；

在由第二eNB提供的至多一个所述第二服务频率上为所述UE配置有物理上行链路控制信道(PUCCH)资源的服务小区被改变。

4.根据权利要求2所述的方法，其中，所述方法还包括：

通过X2接口由第一eNB向第二eNB提供更新的安全基础密钥；以及

由第一eNB向所述UE发送第一RRC消息，

其中，所述第一RRC消息包括：所述保鲜参数，以使所述UE能够更新所述与第二eNB关联的安全基础密钥；以及针对所述UE的指令，以释放和添加与第二eNB关联的层2协议栈。

5.根据权利要求4所述的方法，其中，所述方法还包括：

在所述UE从第一eNB接收所述第一RRC消息时，由所述UE重设与第二eNB关联的MAC实体；

由所述UE重建与在由第二eNB提供的至少一个所述第二服务频率上建立的至少一个所述DRB关联的RLC实体和PDCP实体；

由所述UE向第一eNB发送RRC重新配置完成消息，表示已了解接收自第一eNB的所述第一RRC消息中的指令；

如果通过所述X2接口的所述第一指示的原因值字段表示服务小区被改变，则由所述UE对具有与第二eNB关联的物理上行链路控制信道(PUCCH)资源的服务小区的改变进行重新配置；

由所述UE在由第二eNB提供的至多一个所述第二服务频率上具有PUCCH资源的重新配置的服务小区上执行基于竞争的随机存取过程；

由所述UE基于接收自第一eNB的所述第一RRC消息中的所述保鲜参数更新所述与第二eNB关联的安全基础密钥；以及

由所述UE将所更新的安全基础密钥应用于在由第二eNB提供的至少一个所述第二服务频率上建立的至少一个所述DRB上的安全通信。

6.根据权利要求1所述的方法，其中，所述方法还包括：第一eNB阻止朝向核心网络的路径切换，所述核心网络包括用于在由第二eNB提供的至少一个所述第二服务频率上建立的所述至少一个DRB的移动管理实体(MME)和数据网关。

7.根据权利要求1所述的方法，其中，所述方法还包括：

在通过所述X2接口由第一eNB从第二eNB接收到第二指示时，由第一eNB向所述UE执行用于与第二eNB关联的至少一个DRB的计数器检查过程；其中，所述第二指示表示：针对在由所述第二eNB提供的至少一个所述第二服务频率上建立的至少一个DRB，执行计数器检查程序。

8.根据权利要求7所述的方法，其中，第二eNB在X2消息中提供在由第二eNB提供的至少一个所述第二服务频率上建立的至少一个DRB的DRB标识和关联的PDCP计数值。

9.根据权利要求7所述的方法，其中，所述方法还包括：

由第一eNB在第一eNB处存储对应于所述DRB标识的PDCP计数值，其中所述DRB标识与建立在由第二eNB提供的至少一个所述第二服务频率上的至少一个DRB关联；

由第一eNB向所述UE发送第二RRC消息以执行针对在第一eNB和第二eNB中至少之一上建立的DRB的计数器检查程序；以及

检查与所述UE在所述第一RRC消息中接收的DRB列表关联的PDCP计数值，如果在所述PDCP计数中存在差异，则由所述UE向第一eNB发送包括与对应DRB标识关联的PDCP计数值的RRC响应，否则发送不包含任何PDCP计数的RRC消息，如果存在未在请求消息中列出的建立的DRB，则所述UE包括具有DRB-ID、UL和DL计数的详细信息。

10.根据权利要求9所述的方法，所述方法还包括：

以指示标记所述DRB标识，以向所述UE指示对应DRB标识是否与第一eNB和第二eNB中之一关联。

11.根据权利要求9所述的方法，其中，所述指示是由第一eNB包括在所述第二RRC消息中的第一eNB和第二eNB的DRB的DRB标识的区别列表、一比特指示、PCI指示、PCI和EARFCN-DL指示以及用于对应DRB标识的小区全局标识符的其中之一。

12.根据权利要求9所述的方法，还包括：

基于随所述第二指示接收的所存储的信息和来自于所述UE的所述RRC响应消息中接收的信息，由第一eNB执行检查；

如果所述检查是肯定的，则第一eNB不执行操作；以及

如果所述检查是否定的，则执行下列操作：

由第一eNB向第二eNB报警以表示所述检查是否定的；以及

由第一eNB执行至少一个操作，其中，所述至少一个操作包括释放第二eNB。

13.根据权利要求7所述的方法，其中，第二eNB周期性发送所述第二指示，以发起针对在由第二eNB提供的至少一个所述第二服务频率上建立的所述至少一个DRB的所述计数器检查程序。

14.根据权利要求7所述的方法，其中，第二eNB基于事件触发来发送所述第二指示，以发起针对在由第二eNB提供的至少一个所述第二服务频率上建立的所述至少一个DRB的所述计数器检查程序。

15.一种无线通信网络，包括：

至少一个第一演进节点B(eNB)，通过X2接口与至少一个第二eNB连接，以及

至少一个用户设备(UE)，以双连通模式操作，

其中，所述UE是聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体，

所述第一eNB配置为：

响应于从第二eNB接收指示，向所述UE发送无线资源控制(RRC)消息，其中所述RRC消息包括使所述UE更新与第二eNB关联的安全基础密钥的指令和使所述UE检查与至少一个数据无线承载(DRB)关联的PDCP计数的指令的其中之一，其中，所述数据无线承载(DRB)建立在第一eNB和第二eNB中至少之一上。

16.根据权利要求15所述的无线通信网络，适合于根据权利要求2至14中的一项权利要求所述的方法操作。

17.无线通信网络中的第一演进节点B(eNB)，其中，第一eNB与以双连通模式操作的至少一个用户设备(UE)连接以及通过X2接口与至少一个第二eNB连接，其中，所述UE是聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体，所述第一eNB配置为：

响应于第一eNB从第二eNB接收指示，向所述UE发送第一无线资源控制(RRC)消息，其中，所述RRC消息包括使所述UE更新与第二eNB关联的安全基础密钥的指令和使所述UE检查与至少一个数据无线承载(DRB)关联的PDCP计数的指令的其中之一，其中，所述数据无线承载(DRB)建立在第一eNB和第二eNB中至少之一上。

18.根据权利要求17所述的第一eNB，适合于根据权利要求2至14的一项权利要求所述的方法操作。

19.第二演进节点B(eNB)，连接至无线通信网络，其中，第二eNB与以双连通模式操作的至少一个用户设备(UE)连接以及通过X2接口与至少一个第一演进节点B(eNB)连接，其中，所述UE是聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体，所述第二eNB配置为：

响应于第一eNB对所述UE执行用于与第二eNB关联的至少一个DRB的计数器检查过程，在X2消息中提供在由第二eNB提供的至少一个所述第二服务频率上建立的至少一个数据无线承载(DRB)的DRB标识以及关联的PDCP计数值，以及

由第一eNB通过所述X2接口接收来自第二eNB的第二指示，

其中，所述第二指示表示计数器检查过程的执行，所述计数器检查过程用于在由第二eNB提供的至少一个所述第二服务频率上建立的至少一个DRB。

20.根据权利要求19所述的第二eNB，其中，第二eNB被配置为周期性地发送所述第二指示，以发起针对在由第二eNB提供的至少一个所述第二服务频率上建立的所述至少一个DRB的所述计数器检查程序。

21.根据权利要求19所述的第二eNB，其中，第二eNB被配置为基于事件触发来发送所述第二指示，以发起针对在由第二eNB提供的至少一个所述第二服务频率上建立的所述至少一个DRB的所述计数器检查程序。

22.连接至无线通信网络并以双连通模式操作的用户设备(UE)，其中，所述无线通信网络包括通过X2接口与至少一个第二演进节点B(eNB)连接的至少一个第一eNB，其中，所述UE是聚合有由第一eNB提供的至少一个第一服务频率和由第二eNB提供的至少一个第二服务频率的载体，所述UE还配置为：

在第一eNB从第二eNB接收指示时，从第一eNB接收第一无线资源控制(RRC)消息，

其中，所述RRC消息包括针对所述UE的指令，以更新与第二eNB关联的安全基础密钥和检查与至少一个数据无线承载(DRB)关联的PDCP计数，其中所述数据无线承载(DRB)建立在第一eNB和第二eNB中至少之一上。

23.根据权利要求22所述的UE，其中，所述UE还配置为：

响应于所述UE从第一eNB接收所述第一RRC消息，重设与第二eNB关联的MAC实体；

重建与在由第二eNB提供的至少一个所述第二服务频率上建立的至少一个所述DRB关联的RLC实体和PDCP实体；

向第一eNB发送RRC重新配置完成消息，表示已了解接收自第一eNB的所述第一RRC消息中的指令；

如果通过所述X2接口的所述第一指示的原因值字段表示具有与第二eNB关联的物理上行链路控制信道(PUCCH)资源的服务小区的改变，则所述改变进行重新配置；

在由第二eNB提供的至多一个所述第二服务频率上具有PUCCH资源的重新配置的服务小区上执行基于竞争的随机存取过程；

基于接收自第一eNB的所述第一RRC消息中的所述保鲜参数更新所述与第二eNB关联的安全基础密钥；以及

将所更新的安全基础密钥应用于在由第二eNB提供的至少一个所述第二服务频率上建立的至少一个所述DRB上的安全通信。