CN109088714A

CN109088714A - 用于传递安全密钥信息的系统和方法

Info

Publication number: CN109088714A
Application number: CN201811073518.2A
Authority: CN
Inventors: Y·H·河; 张玉健
Original assignee: Intel IP Corp
Current assignee: Apple Inc
Priority date: 2013-01-17
Filing date: 2013-09-25
Publication date: 2018-12-25
Anticipated expiration: 2033-09-25
Also published as: CN109088714B; CN105027597A; US9313802B2; EP2946582A1; US10492214B2; US20140307872A1; CN105027597B; US9942914B2; EP2946582B1; HK1217073A1; US20180167963A1; EP2946582A4; US20160198343A1; WO2014113082A1

Abstract

公开了一种用于从宏eNB传递安全密钥信息的技术。可以确定与宏演进节点B(eNB)关联的安全密钥信息。安全密钥信息可以被用于对在第一eNB处传递的信息进行加密。可以在宏eNB处识别小型eNB以生成与宏eNB关联的安全密钥信息，用于对在第二eNB处传递的信息进行加密。可以从宏eNB将安全密钥信息传递到小型eNB，用于演进通用陆地无线接入(EUTRA)演进节点B(eNB)间载波聚合。

Description

用于传递安全密钥信息的系统和方法

本申请是分案申请。原申请的申请号为201380066189.8，发明名称为“用于传递安全密钥信息的系统和方法”。

背景技术

无线移动通信技术使用各种标准和协议在节点(例如，发射站)和无线设备(例如，移动设备)之间传输数据。某些无线设备在下行链路(DL)传输中使用正交频分多址(OFDMA)进行通信，而在上行链路(UL)传输中使用单载波频分多址(SC-FDMA)进行通信。使用正交频分复用(OFDM)进行信号传输的标准和协议包括：第三代合作伙伴计划(3GPP)长期演进(LTE)、电气和电子工程师协会(IEEE)802.16标准(例如，802.16e、802.16m)(在行业内通常被称为WiMAX(全球微波接入互操作性)以及IEEE 802.11标准(在行业内通常被称为WiFi)。

在3GPP无线接入网(RAN)LTE系统中，节点可以是演进通用陆地无线接入网(E-UTRAN)节点B(通常还被称为演进节点B、增强节点B、eNodeB或eNB)的组合，这些节点与被称为用户设备(UE)的无线设备进行通信。下行链路(DL)传输可以是从节点(例如，eNodeB)到无线设备(例如，UE)的通信，并且上行链路(UL)传输可以是从无线设备到节点的通信。

在同构网络中，节点(也被称为宏节点)可以向小区中的无线设备提供基本的无线覆盖。小区可以是无线设备可操作以与宏节点进行通信的区域。异构网络(HetNet)可以被用来处理由于无线设备的使用率和功能的增加而导致的宏节点上的增长的业务负荷。HetNet可以包括重叠有多层较低功率节点(小型eNB、微eNB、微微eNB、毫微微eNB和家庭eNB(HeNB))的一层规划的高功率宏节点(或宏eNB)，这些较低功率节点可以以规划较弱或甚至完全不协调的方式部署在宏节点的覆盖区域(小区)内。较低功率节点(LPN)通常可以被称为“低功率节点”、小型节点或小型小区。

附图说明

根据后面的具体实施方式并且结合附图，本公开的特征和优点将显而易见，附图通过示例的方式一起示出了本公开的特征，其中：

图1根据示例示出了用于演进节点B(eNB)间载波聚合的部署情形；

图2根据示例示出了用于演进节点B(eNB)间载波聚合的操作方案；

图3根据示例示出了用于演进节点B(eNB)间载波聚合的基于S1的协议；

图4根据示例示出了宏演进节点B(eNB)和小型eNB之间的安全密钥信息的传递；

图5根据示例描绘了可操作以将安全密钥信息传递到第二节点的第一节点的计算机电路的功能；

图6根据示例描绘了用于从宏eNB传递安全密钥信息的方法的流程图；

图7根据示例描绘了可操作以传递完整性和加密信息的第一无线节点的计算机电路的功能；

图8根据示例示出了无线设备(例如，UE)的图示。

现在将参考所示的示例性实施例，并且在此将使用具体的语言来描述这些示例性实施例。然而，应当理解，这样做并非意图限制本发明的范围。

具体实施方式

在公开和描述本发明之前，应当理解，本发明不被限制于在此所公开的特定的结构、处理步骤或材料，而是被扩展到其等同物，如本领域技术人员将理解地那样。还应当理解，在此使用的术语仅仅是为了描述特定的示例，而无意进行限制。在不同附图中的相同的参考数字表示相同的元件。在流程图和处理中所提供的数字是为了清楚地说明步骤和操作而提供，而不必指示特定的顺序或次序。

示例实施例

下面提供技术实施例的初始概述，并且之后更详细地描述具体技术实施例。该初始概述意在帮助读者更快地理解技术，并非意在识别该技术的关键特征或必要特征，也并非意在限制所要求保护的主题的范围。

一种用于向无线设备提供额外带宽容量的技术是，通过使用多个较小带宽的载波聚合，在无线设备(例如，UE)处形成虚拟宽带信道。在载波聚合(CA)中，多个分量载波(CC)可以被聚合并且联合地(jointly)用于向/自单个终端进行传输。载波聚合向无线设备提供更宽的选择，从而使得能够获取更多的带宽。更大的带宽可以被用来进行带宽密集型操作，例如流式传送视频或传递大的数据文件。

载波可以是所允许的频域中的、信息被放置于其上的信号。可以被放置于载波上的信息量可以由频域中聚合的载波的带宽来确定。所允许的频域通常在带宽上是有限的。当大量用户正在同时使用所允许的频域中的带宽时，带宽限制会变得更加严重。另外，下行链路CC在载波聚合中可以包括主小区和/或多达四个辅小区。每个服务小区(即，该主小区和多达该四个辅小区)可以由无线资源控制(RCC)信令独立地进行配置。另外，术语“小型小区”可以指代“低功率节点”。

一种用于向无线设备提供额外带宽容量的技术可以包括，使用演进通用陆地无线接入(EUTRA)演进节点B(eNB)间载波聚合(CA)。虽然在第三代合作伙伴计划(3GPP)长期演进(LTE)版本11中，所有服务小区由同一eNB提供服务，但是在EUTRA eNB间CA中，服务小区可以在不同eNB中操作。例如，主小区(或PCell)可以从宏小区获得服务，而辅小区(SCell)可以从微微小区获得服务。宏小区可以与宏eNB关联，而微微小区可以与微微eNB关联。

图1示出了用于演进节点B(eNB)间载波聚合(CA)的示例部署情形。通常，EUTRAeNB间CA可以减少异构网络中切换(handover)的数量。如图1所示，用户设备(UE)可能在宏小区中行进。例如，在T1处，UE可以在宏小区的覆盖范围内。在T2处，UE可以添加微微小区1，因为UE在微微小区1的覆盖范围内。在T3处，UE可以移除微微小区1，因为UE不在微微小区1的覆盖范围内。在T4处，UE可以添加微微小区2，因为UE在微微小区2的覆盖范围内。在T5处，UE可以移除微微小区2，因为UE不在微微小区2的覆盖范围内。因此，在T5处，UE可以仅在宏小区的覆盖范围内。

由于宏小区的覆盖范围大于微微小区的覆盖范围，因此UE可以切换到宏小区，或者如果UE仅连接到微微小区，则可以切换到另一个微微小区。另一方面，如果UE连接到宏小区，则不需要切换，但是无法提供到微微小区的卸荷(offloading)。因此，为了实现卸荷并且避免频繁切换，可以使用载波聚合，即由宏小区和微微小区两者服务UE。在一个示例中，主小区可以与宏小区关联，并且辅小区可以与微微小区关联。

由于主小区负责移动性管理，因此UE不需要切换，只要UE正在宏小区内移动。如图1中的示例所示，当UE进入微微小区1或进入微微小区2时，可以不执行切换。另外，与微微小区关联的辅小区可以用于数据传输，并且UE可以利用到微微小区的卸荷。因此，借助辅小区的添加/移除而不是切换，可以支持从微微小区1到微微小区2的改变(如图1所示)。虽然在EUTRA eNB间CA中，宏小区和微微小区由不同的eNB服务并且经由X2接口连接，但是在3GPPLTE版本10CA中，所有的服务小区都由同一eNB服务。

图2示出了用于演进节点(eNB)间载波聚合(CA)的示例操作方案。在EUTRA eNB间CA中，宏小区和小型小区(例如，微微小区)由不同的eNB服务。宏小区可以被配置为主小区并且负责UE移动性管理。因此，宏小区可以与移动性管理实体(MME)连接，如图2中实线所示，而小型小区可以间接连接到MME。

无线承载(RB)可以被用于在UE和E-UTRAN之间传送数据。RB可以包括信令无线承载(SRB)和数据无线承载(DRB)。SRB可以是携带无线资源控制(RRC)信令消息的无线承载。DRB可以是发送用户数据而不是控制平面信令的无线承载。在宏小区和MME之间可以支持控制平面中的SRB。用户平面中的DRB可以由两种方式支持。第一种方式(如图2中的虚线所示)在小型小区和服务网关(S-GW)之间使用新的S1承载。第二种方式(如图2中的点线所示)使用X2接口来将数据转发到S-GW。在第二方式中，在小型小区和S-GW之间不需要新的S1承载。

图3示出了用于演进节点B(eNB)间载波聚合(CA)的示例基于S1的协议。基于S1的协议可以包括分组数据汇聚协议(PDCP)层、无线链路控制(RLC)层以及媒体接入控制(MAC)层。DRB可以被配置在宏小区中或者小型小区中。如图3所示，SRB和DRB 1被配置在宏小区中，而DRB 2和3被配置在小型小区中。由于S1承载从小型小区直接连接到S-GW，因此用于DRB 2和3的物理层(PHY)、MAC、RLC和PDCP位于小型小区中。

基于S1的协议可以包括PDCP层，该层是LTE用户平面层2协议栈的顶部子层。PDCP层处理控制平面中的无线资源控制(RRC)消息和用户平面中的因特网协议(IP)分组。取决于无线承载，PDCP层的主要功能是报头压缩、安全性(完整性保护和加密)以及在切换期间支持重排序和重传。

基于S1的协议可以包括RLC层，该层在LTE用户平面协议栈中位于PDCP层和MAC层之间。RLC层的主要功能是对上层分组进行分割和重组，以便将上层分组调整到适合经由无线接口传输的大小/尺寸。另外，RLC层执行重排序以补偿由于MAC层中的混合自动重请求(HARQ)操作而导致的无序(out-of-order)接收。

基于S1的协议可以包括MAC层，该层为LTE协议栈中在物理层(PHY)之上并且在RLC层之下的协议层。MAC层通过传输信道连接到PHY并且通过逻辑信道连接到RLC层。MAC层执行逻辑信道和传输信道之间的数据传输调度和复用/解复用。

在LTE中，使用加密和完整性来保护从第三方接收的数据，或者检测由第三方进行的改变。通常，完整性是指接收机验证接收到的消息与发射机/发送者传递的消息相同，而加密是指发射机/发送者用接收机已知的安全密钥对数据进行加密。在接入层面(AS)层中，将加密和完整性应用于RRC信令数据(即，控制平面数据)，而仅将加密应用于用户数据(即，用户平面数据或DRB数据)。RRC层负责处理AS安全密钥和AS安全程序。另外，PDCP层执行RRC信令数据的完整性和加密、以及用户平面数据的加密。

不同的安全密钥被用于控制平面和数据用户平面中的加密和完整性。安全密钥可以包括K_UPenc、K_RRCint和K_RRCenc。K_UPenc是被用于借助特定加密算法对用户平面业务进行保护的安全密钥。K_RRCint是被用于借助特定完整性算法对RRC业务进行保护的安全密钥。K_RRCenc是被用于借助特定加密算法对RRC业务进行保护的安全密钥。

通常，安全密钥为K_UPenc、K_RRCint和K_RRCenc。K_UPenc可以从安全密钥K_eNB生成。例如，K_UPenc和K_RRCenc可以在移动设备(ME)和eNB处从K_eNB以及用于加密算法的标识符导出。K_RRCint可以在ME和eNB处从K_eNB以及用于完整性算法的标识符导出。另外，AS可以从K_ASME导出K_eNB，K_ASME是在UE和网络两者中可用的常见秘密安全密钥。

在版本10CA中，主小区负责提供安全密钥(K_eNB)。由于在版本10CA中，所有的服务小区都位于同一eNB中，并且为每个无线承载(RB)定义PDCP层，而不管服务小区的数量，因此可以使用单个安全密钥进行载波聚合。然而，在EUTRA eNB间CA中，每个eNB使用安全密钥来在PDCP层中执行数据的加密。如下面进一步详细解释地，安全密钥管理可以使eNB能够共享同一安全密钥，或者替换地，当在PDCP层中执行数据的加密时，使eNB能够使用不同的安全密钥。

如果无线承载(RB)的PDCP层位于不同的eNB中，则可以在EUTRA eNB间CA中执行安全密钥管理。例如，宏eNB可以与宏小区关联，并且小型eNB(例如，微微eNB)可以与小型小区(例如，微微小区)关联。由于数据无线承载被配置在小型小区中，因此可以用加密密钥K_UPenc执行用户平面加密。替换地，如果信令无线承载(SRB)被配置在小型小区中，则可以用加密密钥K_RRCint和K_RRCenc执行控制平面加密和完整性。

在一种配置中，小型eNB可以生成与在宏eNB处使用的相同的安全密钥。因此，将K_eNB提供给小型eNB，用于生成与在宏eNB处使用的相同的安全密钥。可以将与小型eNB关联的小型小区添加为辅小区，并且可以为该小型小区建立新的专用无线承载。作为示例，可以使用宏小区和辅小区进行载波聚合。可以将额外的小型小区添加为额外的辅小区。因此，可以使用该宏小区和两个辅小区进行载波聚合。可以在与该宏小区和两个辅小区关联的三个eNB之间共享同一安全密钥。换句话说，与这两个辅小区关联的两个小型eNB可以生成与宏eNB所使用的相同的安全密钥。另外，可以为该额外的辅小区建立新的专用无线承载。

当添加小型小区作为辅小区并且为该小型小区建立新的专用无线承载时，可以实现至少两种方法。在第一种方法中，MME可以将S1应用协议(S1AP)消息传递到小型eNB。S1AP消息可以在小型eNB和S-GW之间配置S1承载。S1AP消息可以从MME直接传递到小型eNB。替换地，宏eNB可以从MME接收S1AP消息，并且将该S1AP消息转发到小型eNB。MME可以在S1承载建立过程期间经由S1AP消息提供安全信息(K_ASME)。小型eNB可以在接入层面(AS)层中根据K_ASME确定安全密钥K_eNB。

在第二种方法中，宏eNB将X2应用协议(X2AP)消息传递到小型eNB。X2AP消息包含添加小型eNB作为辅小区的指令。X2AP消息可以经由X2接口传递。因此，宏eNB可以经由X2AP消息将K_eNB(或K_UPenc)提供给小型eNB，用于配置辅小区。因此，在小型eNB处使用的安全密钥K_eNB是与在宏eNB处使用的相同的安全密钥。

图4示出了在宏eNB和小型eNB之间的安全密钥信息的示例性传递。特别地，图4示出了宏eNB经由X2接口向小型eNB提供安全密钥K_eNB。MME可以将初始的上下文设置请求消息传递到宏eNB。宏eNB可以将AS安全模式命令消息传递到宏eNB。在UE处，响应于接收到AS安全模式命令消息，可以启用安全性。UE可以将测量报告传递到宏eNB。宏eNB确定是否执行载波聚合。宏eNB可以将辅小区添加请求消息传递到小型eNB。辅小区添加请求消息可以是经由X2接口传递的X2AP消息。另外，辅小区添加请求消息可以向小型eNB提供安全密钥K_eNB(或K_UPenc)。因此，可以用安全密钥K_eNB配置小型小区。小型eNB可以将辅小区添加请求确认(ACK)消息传递到宏eNB。宏eNB可以将无线资源控制(RRC)连接重配置消息传递到用户设备(UE)。RRC连接重配置消息指导UE添加该辅小区，使得UE能够从辅小区(或小型小区)和宏小区接收数据。

在替换配置中，可以添加小型小区作为辅小区，并且可以将现有的专用无线承载重新配置为切换到小型小区。可以响应于小型eNB生成与在宏eNB处使用的相同的安全密钥而重新配置现有的专用无线承载。换句话说，发生从一个小型小区到另一个小型小区(即，新的小型小区)的路径切换。作为示例，可以使用宏小区和第一小型小区进行载波聚合。可以添加第二小型小区(例如，与第一小型小区不同的小型小区)，使得结合第一小型小区和宏小区使用第二小型小区进行载波聚合。第二小型小区还可以被称为新的小型小区。因此，与第二小型小区关联的eNB可以生成与在与第一小型小区关联的eNB处使用的相同的安全密钥。

当添加小型小区作为辅小区并且重新配置现有的专用无线承载以切换到小型小区时，可以描述至少两种方法。在第一种方法中，宏eNB可以将X2AP消息传递到新的小型eNB。该X2AP消息可以包含安全密钥K_eNB(或K_UPenc)。换句话说，新的小型eNB可以生成与在宏eNB处使用的相同的安全密钥。

在第二种方法中，源小型eNB(例如，旧的小型eNB)可以将X2AP消息传递到新的小型eNB。X2AP消息可以包含安全密钥K_eNB(或K_UPenc)。换句话说，源小型eNB和新的小型eNB之间的接口可以被用于传递X2AP消息。因此，新的小型eNB可以生成与在源小型eNB处使用的相同的安全密钥。

如果使用同一安全密钥，则即使添加新的辅小区并且建立新的DRB，也可以对正在执行加密的UE产生最小影响，。另外，宏eNB(或小型eNB)可以不向MME上报安全信息的更新。

在一种配置中，宏eNB和小型eNB可以使用不同的安全密钥。例如，小型eNB可以生成与在宏eNB处使用的安全密钥不同的安全密钥。在另一个示例中，结合宏eNB用于载波聚合的多个小型eNB可以各自生成与其他小型eNB和宏eNB使用的安全密钥不同的安全密钥。

在一种配置中，宏eNB可以向小型eNB提供安全密钥K_eNB*。安全密钥K_eNB*可以成为小型小区的安全密钥K_eNB。宏eNB可以使用安全密钥K_eNB、物理小区标识和小型小区的EUTRA绝对无线频率信道号下行链路(EARFCN-DL)生成安全密钥K_eNB*。通常，绝对无线频率信道号(ARFCN)可以定义一对射频(RF)信道频率，以便上行链路和下行链路使用。替换地，宏eNB可以使用下一跳(NH)参数生成安全密钥K_eNB*，如在切换期间用于安全密钥处理那样。宏eNB可以向小型eNB提供安全密钥K_eNB*，使得宏eNB和小型eNB使用不同的安全密钥。

图4示出了在宏eNB和小型eNB之间的安全密钥信息(例如，K_eNB*)的示例传递。宏eNB可以经由X2接口向小型eNB提供安全密钥K_eNB*。宏eNB可以确定执行载波聚合。随后，宏eNB可以将辅小区添加请求消息传递到小型eNB。辅小区添加请求消息可以是经由X2接口传递的X2AP消息。另外，辅小区添加请求消息可以向小型eNB提供安全信息，例如安全密钥K_eNB*。因此，小型eNB可以使用与宏eNB相比不同的安全密钥(例如，小型eNB可以使用安全密钥K_eNB*，而宏eNB可以使用安全密钥K_eNB)。

由于MME可以存储在eNB和UE中使用的安全密钥信息，因此宏eNB和/或小型eNB可以通知MME更新后的安全信息。例如，在从宏eNB接收到不同的安全密钥(例如，K_eNB*)之后，小型eNB可以通知MME。替换地，在将不同的安全密钥(例如，K_eNB*)发送到小型eNB之后，宏eNB可以通知MME。

如图4中所示，宏eNB可以将辅小区添加请求消息传递到小型eNB。作为响应，小型eNB可以将辅小区添加请求确认(ACK)消息传递到宏eNB。该辅小区添加ACK消息可以包括用于选定的安全算法的一个或多个安全算法标识符。安全算法标识符可以被用来利用安全密钥K_eNB生成K_UPenc、K_RRCint等。换句话说，辅小区(例如，小型eNB)可以将安全算法标识符发送到主小区(例如，宏eNB)。宏eNB可以经由RRC连接重配置消息将安全信息(例如，安全算法标识符)传递到UE。另外，RRC连接重配置消息可以包含添加小型小区作为辅小区的指令。因此，UE可以通过载波聚合从宏eNB连同小型eNB接收用户数据。

在一种配置中，当在EUTRA eNB间CA中使用多个安全密钥时，UE可以存储和应用多个安全密钥。取决于无线承载的类型，UE可以应用不同的安全密钥。例如，K_eNB,1是用于宏eNB的安全密钥，而K_eNB,2是用于小型eNB的安全密钥。K_eNB,2是与从宏eNB提供给小型eNB的K_eNB*相同的安全密钥。因此，K_eNB,1用于被配置在宏eNB中的信令无线承载(SRB)和数据无线承载(DRB)1。另外，K_eNB,2用于被配置在小型小区中的DRB2和DRB3。

在一种配置中，可以在PDCP层中，在完整性和加密中使用COUNT值。COUNT值可以包括超帧号(HFN)和PDCP序列号(SN)。HFN是与PDCP序列号相关地递增的数字。HFN被包括在PDCP协议数据单元(PDU)计数器中，用于进行加密。

在一个示例中，当由于数据丢失而导致UE和eNB之间COUNT值不同步时，可能发生加密失败。因此，E-UTRAN可以使用计数器检查过程来最小化数据丢失，由此减小加密失败的可能性。E-UTRAN可以请求UE验证在每个DRB上发送/接收的数据的量。具体地，可以请求UE针对每个DRB检查COUNT的最高有效位是否与E-UTRAN指示的值对应(或匹配)。如果COUNT值的最高有效位对应于E-UTRAN指示的值，则COUNT值没有由于数据丢失而造成在UE和eNB之间不同步(即，同步)。

在计数器检查过程中，eNB(例如，小型eNB或宏eNB)可以将计数器检查消息传递到UE。在一个示例中，计数器检查消息可以被包括在传递到UE的无线资源连接(RRC)消息中。计数器检查消息可以包括配置的COUNT最高有效位(MSB)值。在接收到计数器检查消息之后，UE可以将配置的COUNT MSB值与实际的COUNT MSB值进行比较。如果UE确定配置的COUNTMSB值与实际的COUNT MSB值相同，则UE可以将计数器检查响应消息传递到eNB(例如，小型eNB或宏eNB)。计数器检查响应消息可以包括用于计数器检查过程中的请求的DRB的COUNT值。换句话说，UE可以验证在每个DRB上的数据量对应于为每个DRB配置的数据量。

取决于哪一个eNB触发计数器检查过程，可以有两种方法在EUTRAN eNB间CA中进行计数器检查过程。在第一种方法中，宏eNB触发计数器检查过程。宏eNB可以经由RRC消息将计数器检查消息传递到UE。宏eNB可以从UE接收计数器检查响应消息。计数器检查响应消息可以包括在小型小区中配置的DRB的COUNT值。宏eNB可以经由X2AP消息将COUNT值传递到小型eNB。替换地，针对在小型eNB中配置的DRB，宏eNB可以不请求计数器检查。

在第二种方法中，小型eNB触发计数器检查过程。小型eNB可能期望针对在小型小区中配置的DRB检查COUNT值。因此，小型eNB可以经由X2AP消息将对COUNT值的请求传递到宏eNB。X2AP消息可以包括要被上报的DRB索引和实际的COUNT MSB值。宏eNB可以从小型eNB接收X2AP消息中的对COUNT值的请求。宏eNB可以经由RRC消息将计数器检查消息传递到UE。宏eNB可以从UE接收计数器检查响应消息。计数器检查响应消息可以包括在小型小区中配置的DRB的COUNT值。宏eNB可以经由X2AP消息将COUNT值传递到小eNB。

如图5中的流程图所示，另一个示例提供了可操作以将安全密钥信息传递到第二节点的第一节点的计算机电路的功能500。该功能可以被实现为一种方法，或者该功能可以作为指令在机器上被执行，其中这些指令被包括在至少一个计算机可读介质或一个非暂时性机器可读存储介质上。计算机电路可以被配置为确定与第一节点关联的第一安全密钥，该第一安全密钥用于对在第一节点处传递的信息进行加密，如方框510中所示。计算机电路还可以被配置为在第一节点处识别第二节点，以接收第二安全密钥，该第二安全密钥将被用于对在第二节点处传递的信息进行加密，如方框520中所示。计算机电路还可以进一步被配置为将第二安全密钥提供给第二节点，用于演进通用陆地无线接入(EUTRA)演进节点(eNB)间载波聚合，该第二安全密钥不同于第一安全密钥，如方框530中所示。

在一种配置中，计算机电路可以进一步被配置为在辅小区添加消息中将第二安全密钥提供给第二节点。在一个示例中，第一节点可以被配置为服务主小区，并且第二小区可以被配置为服务辅小区。另外，可以在第一节点处使用第一安全密钥、物理小区标识和辅小区的EUTRA绝对无线频率信道号(EARFCN)生成第二安全密钥。替换地，可以使用下一跳(NH)参数生成第二安全密钥。

在一种配置中，计算机电路可以进一步被配置为在第一节点处从第二节点接收安全密钥更新信息，其中安全密钥更新信息包括安全算法标识符。另外，计算机电路可以进一步被配置为将第二安全密钥提供给用户设备(UE)，其中UE分别使用第一安全密钥和第二安全密钥经由EUTRA eNB间载波聚合与第一节点和第二节点通信。

在一个示例中，UE包括天线、触摸敏感显示屏、扬声器、麦克风、图形处理器、应用处理器、内部存储器或非易失性存储器端口。另外，从由宏节点、基站(BS)、节点B(NB)、演进节点B(eNB)、家庭eNB、微eNB、基带单元(BBU)、远程无线电头(RRH)、毫微微节点、低功率节点、远程无线设备(RRE)或远程无线单元(RRU)组成的群组中选择第一节点和第二节点。

如图6中的流程图所示，另一个示例提供一种从宏eNB传递安全密钥信息的方法600。该方法可以作为指令在机器上执行，其中这些指令被包括在至少一个计算机可读介质或一个非暂时性机器可读存储介质。该方法包括以下操作：确定与宏演进节点B(eNB)关联的安全密钥信息，安全密钥信息用于对在第一eNB处传递的信息进行加密，如方框610中所示。该方法可以包括，在宏eNB处识别小型eNB，以生成与宏eNB关联的安全密钥信息，用于对在第二eNB处传递的信息进行加密，如在方框620中所示。该方法的下一个操作可以包括，从宏eNB将安全密钥信息传递到小型eNB，用于演进通用陆地无线接入(EUTRA)演进节点B(eNB)间载波聚合，如方框630中所示。

在一个示例中，宏eNB可以被配置为服务主小区，而小型eNB可以被配置为服务辅小区。另外，该方法可以包括，经由X2接口从宏eNB将安全密钥信息传递到小型eNB。

在一种配置中，该方法可以包括，经由X2接口在辅小区添加请求X2应用协议(X2AP)消息中将安全密钥信息传递到小型eNB。另外，该方法可以包括，从小型eNB将安全密钥信息传递到与UE关联的新的小型eNB，用于EUTRA eNB间载波聚合。在一个示例中，该方法可以包括：在宏eNB处从移动性管理实体(MME)接收S1应用协议(S1AP)消息，该S1AP包括与宏eNB关联的安全密钥信息；以及经由S1AP消息从宏eNB向小型eNB传递安全密钥信息，该小型eNB使用该安全密钥信息对在小型eNB处传递的信息进行加密。

在一种配置中，该方法包括，从宏eNB将安全密钥信息传递到用户设备(UE)，该UE使用安全密钥信息以经由EUTRA eNB间载波聚合分别使用第一安全密钥和第二安全密钥与宏eNB和小型eNB进行通信。

如图7中的流程图所示，另一个示例提供了可操作以传递完整性和加密信息的第一无线节点的计算机电路的功能700。该功能可以被实现为一种方法，或者该功能可以作为指令在机器上被执行，其中这些指令被包括在至少一个计算机可读介质或一个非暂时性机器可读存储介质上。该计算机电路可以被配置为向用户设备(UE)传递计数器检查过程请求，以验证在UE处每个数据无线承载(DRB)上传递的数据量，以便进行演进通用陆地无线接入(EUTRA)演进节点(eNB)间载波聚合，如方框710中所示。该计算机电路还被配置为从UE接收计数器检查消息，该计数器检查消息包括用于与第一无线节点关联的第一DRB以及与第二无线节点关联的第二DRB的计数值，该计数值指示每个DRB传递的数据量，如方框720中所示。该计算机电路可以进一步被配置为识别第二无线节点，以从第一无线节点接收计数值，如方框730中所示。另外，计算机电路可以被配置为使用X2应用协议(X2AP)消息向第二无线节点传递第二DRB的计数值，如方框740中所示。

在一个示例中，计数值包括超帧号(HFN)和分组数据汇聚协议(PDCP)序列号。在一种配置中，该计算机电路可以被配置为：从第二无线节点接收与第二DRB关联的计数值的请求；向UE传递无线资源连接(RRC)消息，该消息请求UE向第一无线节点传递计数值；从UE接收计数检查消息，该计数检查消息包括计数值；以及使用X2AP消息向第二无线节点传递计数值。另外，第一无线节点可以是宏节点，而第二无线节点可以是小型节点。

图8提供了无线设备的示例图示，无线设备是例如用户设备(UE)、移动站(MS)、移动无线设备、移动通信设备、写字板、手机或其他类型的无线设备。无线设备可以包括一个或多个天线，天线被配置为与节点、宏节点、低功率节点(LPN)或发射站通信，发射站为例如基站(BS)、演进节点B(eNB)、基带单元(BBU)、远程无线电头(RRH)、远程无线设备(RRE)、中继站(RS)、无线电设备或其他类型的无线广域网(WWAN)接入点。无线设备可以被配置为使用至少一种无线通信标准进行通信，包括3GPP LTE、WiMAX、高速分组接入(HSPA)、蓝牙和WiFi。无线设备可以针对每个通信标准使用单独的天线进行通信，或者针对多个无线通信标准使用共享的天线进行通信。无线设备可以在无线局域网(WLAN)、无线个域网(WPAN)和/或WWAN中通信。

图8还提供了可以用于自无线设备进行音频输入和输出的麦克风和一个或多个扬声器的图示。显示屏可以是液晶显示(LCD)屏或其他类型的显示屏，例如有机发光二极管(OLED)显示器。显示屏可以被配置为触摸屏。触摸屏可以使用电容式、电阻式或另一种类型的触摸屏技术。应用处理器和图形处理器可以耦合到内部存储器，以提供处理和显示能力。非易失性存储器端口还可以被用来向用户提供数据输入/输出选项。非易失性存储器端口还可以用来扩展无线设备的存储能力。可以将键盘与无线设备集成或者无线连接到无线设备，以提供额外的用户输入。还可以使用触摸屏提供虚拟键盘。

各种技术或者它们的某些方面或部分可以采用体现在有形介质中的程序代码(即，指令)的形式，有形介质是例如软盘、CD-ROM、硬盘、非暂时性计算机可读存储介质或任何其他计算机可读存储介质，其中当程序代码被加载到机器(例如，计算机)中并且由机器执行时，该机器成为实施各种技术的装置。电路可以包括硬件、固件、程序代码、可执行代码、计算机指令和/或软件。非暂时性计算机可读存储介质可以是不包括信号的计算机可读存储介质。在可编程计算机上执行程序代码的情况下，计算设备可以包括处理器、由该处理器可读的存储介质(包括易失性存储器和非易失性存储器和/或存储元件)、至少一个输入设备和至少一个输出设备。易失性存储器和非易失性存储器和/或存储元件可以是RAM、EPROM、闪存驱动器、光驱、磁硬盘驱动器、固态驱动器或其他用于存储电子数据的介质。节点和无线设备还可以包括收发机模块、计数器模块、处理模块、和/或时钟模块或计时器模块。可以实现或利用在此描述的各种技术的一个或多个程序可以使用应用编程接口(API)、可重用控件等。这类程序可以以高层次过程编程语言或面向对象编程语言实现，以与计算机系统通信。然而，如果希望，可以以汇编语言或机器语言实现(这些)程序。在任何情况下，语言可以是编译语言或解释语言，并且与硬件实施方式组合。

应当理解，在本说明书中描述的许多功能单元已经被标记为模块，以便更特别地强调它们实施方式的独立性。例如，模块可以被实现为硬件电路(包括定制VLSI电路或门阵列)、现成的半导体(例如，逻辑芯片、晶体光)或其他分立部件。模块还可以被实现在可编程硬件器件中，例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等。

模块还可以以软件方式实现，以便由各种类型的处理器执行。例如，可执行代码的所识别的模块可以包括计算机指令的一个或多个物理块或逻辑块，这些物理块或逻辑块例如可以被组织为对象、过程或函数。然而，所识别的模块的可执行文件不需要在物理上位于一起，而是可以包括存储在不同位置的相异的指令，当这些指令在逻辑上结合在一起时，构成该模块并且实现针对该模块所述的目的。

实际上，可执行代码的模块可以是单个指令或许多指令，并且甚至可以分布在若干不同的代码段上、分布在不同的程序之间、以及分布在若干存储设备上。类似地，操作数据在此可以被识别和示为在模块内，并且可以以任何合适的形式体现且被组织在任何合适的类型的数据结构内。操作数据可以被收集为单个数据集合，或者可以分布在不同的位置上(包括在不同的存储设备上)，并且可以至少部分地仅作为电子信号存在于系统或网络上。模块可以是无源的或有源的，包括可操作以执行期望功能的代理。

在整个说明书中提到“(一个)示例”是指，与该示例相关描述的特定的特征、结构或特性被包括在本发明的至少一个实施例中。因此，在整个说明书中的不同地方出现短语“在(一个)示例中”未必都是指代同一实施例。

如在此使用的，为了方便，多个项目、结构元件、成分元件和/或材料可以以公共列表呈现。然而，这些列表应当被解释为该列表中的每个成员单独地被识别为分开且唯一的成员。因此，在没有相反的指示下，这种列表的各成员不应当仅基于它们常见的表示而被解释为同一列表中的任何其他成员的事实上等同体。另外，本发明的各种实施例和示例在此可以连同它们的各种部件的替换物一起被引用。应当理解，这些实施例、示例和替换物不应当被解释为彼此的事实上等同体，而是应当被解释为本发明的分开且自主的表现。

此外，所描述的特征、结构或特性可以以任何合适的方式在一个或多个实施例中被组合。在以下描述中，提供了许多具体的细节，例如布局示例、距离示例、网络示例等，以便提供对本发明的实施例的全面理解。然而，本领域技术人员将意识到，可以在没有一个或多个这些具体细节的情况下实施本发明，或者可以用其他方法、部件、布局等实施本发明。在其他情况下，没有详细示出和描述公知的结构、材料或操作，以避免掩盖本发明的各方面。

虽然前述示例示出了本发明在一个或更多特定应用中的原理，但是对本领域技术人员显而易见的是，可以在实施方式的形式、使用和细节上进行许多修改，而无需付出创造性劳动，并且不偏离本发明的原理和概念。因此，除了由下面陈述的权利要求限制之外，无意限制本发明。

Claims

1.一种可操作以支持双连接的主演进节点B(MeNB)，所述MeNB包括一个或多个处理器和存储器，被配置为：

在所述MeNB处，处理从辅演进节点B(SeNB)接收的SeNB计数器检查请求消息；以及

在所述MeNB处，响应于从所述SeNB接收的SeNB计数器检查请求消息，执行计数器检查过程，其中，所述计数器检查过程使所述MeNB将一个或多个无线资源控制(RRC)消息发送到用户设备(UE)，以验证用于在所述SeNB中建立的承载的COUNT值。

2.根据权利要求1所述的MeNB，在所述MeNB处还包括收发机，所述收发机被配置为：从所述SeNB接收所述SeNB计数器检查请求消息。

3.根据权利要求1所述的MeNB，其中，所述一个或多个处理器和存储器还被配置为：

在所述MeNB处，处理安全密钥信息，以便发送到用户设备(UE)，其中，所述安全密钥信息与所述SeNB相关联。

4.根据权利要求1至3中任一项所述的MeNB，其中，所述SeNB计数器检查请求消息是X2应用协议(X2AP)消息。

5.根据权利要求1至3中任一项所述的MeNB，其中，所述COUNT值是分组数据汇聚协议(PDCP)COUNT值。

6.根据权利要求1至3中任一项所述的MeNB，其中，所述一个或多个处理器和存储器还被配置为：

响应于从所述SeNB接收到所述SeNB计数器检查请求消息，与所述UE执行RRC计数器检查过程。

7.一种可操作以支持双连接的主演进节点B(MeNB)，所述MeNB包括一个或多个处理器和存储器，被配置为：

在所述MeNB处，识别用于辅演进节点B(SeNB)的SeNB安全密钥；

在所述MeNB处，生成包括所述用于SeNB的SeNB安全密钥的辅eNB(SeNB)添加请求消息；以及

在所述MeNB处，处理包括所述SeNB安全密钥的SeNB添加请求消息，以便发送到所述SeNB，以为用户设备(UE)的双连接操作准备所述SeNB的资源。

8.根据权利要求7所述的MeNB，在所述MeNB处还包括收发机，所述收发机被配置为：将所述SeNB添加请求消息从所述MeNB发送到所述SeNB。

9.根据权利要求7所述的MeNB，其中，所述一个或多个处理器和存储器还被配置为：

10.根据权利要求7至9中任一项所述的MeNB，其中，所述SeNB添加请求消息是X2应用协议(X2AP)消息。

11.至少一种非暂时性机器可读存储介质，其上存储有用于在主演进节点B(MeNB)处支持双连接的指令，所述指令在被执行时执行以下操作：

使用所述MeNB的至少一个处理器处理从辅演进节点B(SeNB)接收的SeNB计数器检查请求消息；以及

响应于从所述SeNB接收的SeNB计数器检查请求消息，使用所述MeNB的至少一个处理器执行计数器检查过程，其中，所述计数器检查过程使所述MeNB将一个或多个无线资源控制(RRC)消息发送到用户设备(UE)，以验证用于在所述SeNB中建立的承载的COUNT值。

12.根据权利要求11所述的至少一种非暂时性机器可读存储介质，还包括如下指令，所述指令在被执行时执行以下操作：

13.根据权利要求11至12中任一项所述的至少一种非暂时性机器可读存储介质，其中，所述SeNB计数器检查请求消息是X2应用协议(X2AP)消息。

14.根据权利要求11至12中任一项所述的至少一种非暂时性机器可读存储介质，其中，所述COUNT值是分组数据汇聚协议(PDCP)COUNT值。

15.根据权利要求11至12中任一项所述的至少一种非暂时性机器可读存储介质，还包括如下指令，所述指令在被执行时执行以下操作：

16.至少一种非暂时性机器可读存储介质，其上存储有用于在主eNB(MeNB)处支持双连接的指令，所述指令在被执行时执行以下操作：

使用所述MeNB的至少一个处理器，识别用于辅eNB(SeNB)的SeNB安全密钥；

使用所述MeNB的至少一个处理器，生成包括所述用于SeNB的SeNB安全密钥的辅eNB(SeNB)添加请求消息；以及

使用所述MeNB的至少一个处理器，处理包括所述SeNB安全密钥的SeNB添加请求消息，以便发送到所述SeNB，以为用户设备(UE)的双连接操作准备所述SeNB的资源。

17.根据权利要求16所述的至少一种非暂时性机器可读存储介质，还包括如下指令，所述指令在被执行时执行以下操作：

18.根据权利要求16至17中任一项所述的至少一种非暂时性机器可读存储介质，其中，所述SeNB添加请求消息是X2应用协议(X2AP)消息。

19.根据权利要求16所述的至少一种非暂时性机器可读存储介质，还包括如下指令，所述指令在被执行时执行以下操作：

在所述MeNB处，处理从所述SeNB接收的SeNB计数器检查请求消息。

20.根据权利要求19所述的至少一种非暂时性机器可读存储介质，还包括如下指令，所述指令在被执行时执行以下操作：

响应于从所述SeNB接收的SeNB计数器检查请求消息，在所述MeNB处执行计数器检查过程，其中，所述计数器检查过程使所述MeNB验证用于在所述SeNB中建立的承载的COUNT值。

21.一种可操作以支持双连接的主演进节点B(MeNB)，所述MeNB包括：

用于使用所述MeNB的至少一个处理器处理从辅演进节点B(SeNB)接收的SeNB计数器检查请求消息的模块；和

用于响应于从所述SeNB接收的SeNB计数器检查请求消息，使用所述MeNB的至少一个处理器执行计数器检查过程的模块，其中，所述计数器检查过程使所述MeNB将一个或多个无线资源控制(RRC)消息发送到用户设备(UE)，以验证用于在所述SeNB中建立的承载的COUNT值。

22.根据权利要求21所述的MeNB，还包括：

用于在所述MeNB处处理安全密钥信息以便发送到用户设备(UE)的模块，其中，所述安全密钥信息与所述SeNB相关联。

23.根据权利要求21至22中任一项所述的MeNB，其中：

所述SeNB计数器检查请求消息是X2应用协议(X2AP)消息。

24.根据权利要求21至22中任一项所述的MeNB，其中：

所述COUNT值是分组数据汇聚协议(PDCP)COUNT值。

25.根据权利要求21至22中任一项所述的MeNB，还包括：

用于响应于从所述SeNB接收到所述SeNB计数器检查请求消息，与所述UE执行RRC计数器检查过程的模块。

26.一种可操作以支持双连接的主演进节点B(MeNB)，所述MeNB包括：

用于使用所述MeNB的至少一个处理器识别用于辅eNB(SeNB)的SeNB安全密钥的模块；

用于使用所述MeNB的至少一个处理器生成包括所述用于SeNB的SeNB安全密钥的辅eNB(SeNB)添加请求消息的模块；和

用于使用所述MeNB的至少一个处理器处理包括所述SeNB安全密钥的SeNB添加请求消息，以便发送到所述SeNB，以为用户设备(UE)的双连接操作准备所述SeNB的资源的模块。

27.根据权利要求26所述的MeNB，还包括：

28.根据权利要求26至27中任一项所述的MeNB，其中：

所述SeNB添加请求消息是X2应用协议(X2AP)消息。

29.根据权利要求26所述的MeNB，还包括：

用于在所述MeNB处处理从所述SeNB接收的SeNB计数器检查请求消息的模块。

30.根据权利要求29所述的MeNB，还包括：

用于响应于从所述SeNB接收的SeNB计数器检查请求消息，在所述MeNB处执行计数器检查过程的模块，其中，所述计数器检查过程使所述MeNB验证用于在所述SeNB中建立的承载的COUNT值。