WO2015027524A1

WO2015027524A1 - 一种通信方法、网络侧设备、用户设备

Info

Publication number: WO2015027524A1
Application number: PCT/CN2013/082813
Authority: WO
Inventors: 李亚娟; 蔺波
Original assignee: 华为技术有限公司
Priority date: 2013-09-02
Filing date: 2013-09-02
Publication date: 2015-03-05
Also published as: CN104604271B; CN104604271A

Abstract

本发明公开了一种通信方法、网络侧设备、用户设备，其中，所述方法包括：网络侧设备确定用户设备的SeNB需要发生变更或需要为所述用户设备新增加SeNB；所述网络侧设备向所述用户设备新连接的SeNB发送由当前的第一密钥参数KeNB生成的第二密钥参数KeNB*，以使新连接的SeNB根据由所述第二密钥参数KeNB*得到的密钥与所述用户设备进行通信；以及所述网络侧设备向所述用户设备发送配置命令，并通知所述用户设备根据当前的第一密钥参数KeNB生成第二密钥参数KeNB*，根据所述第二密钥参数KeNB*得到的密钥与新连接的SeNB进行通信。

Description

一种通信方法、网络侧设备、用户设备

技术领域

本发明涉及通信领域，特别涉及一种通信方法、网络侧设备、用户设备。背景技术

目前，随着移动通信技术的发展和使用移动数据业务的人数的增加，现有的宏蜂窝的负载越来越重，基站和核心网之间的 S1接口的信令负载也越来越重，为了给用户提供更好的服务， 3GPP ( 3rd Generation Partnership Project, 第三代合作伙伴项目 )正在研究 SCE ( small cell enhancement , 小小区增强）课题，典型的 SCE场景如图 1所示。

在图 1中， SCE分为三种场景：

场景 1 : MC ( macro, 宏基站）和 SC ( small cell , 小小区）工作在相同的频率，并通过非理想 backhaul (回程线路）相连接。 SC指的是覆盖范围比较小，发射功率比较小的站点，例如 HeNB ( Home eNB, 家庭基站）、 ico (微基站）等。

场景 2: MC和 SC工作在不同的频率，并通过非理想 backhaul相连接。场景 3: SC和 SC工作在相同 /不同的频率上， SC之间通过非理想 backhaul 相连接。场景 3中没有 MC。

其中，在场景 1和场景 2下， UE可以和 MC/SC执行双连接。即 MC可以和 SC协同为 UE ( User Equipment, 用户设备）提供服务，在协同分工时， MC提供广覆盖，承担和 MME的接口，为 UE提供移动性管理等控制面的业务，同时为 UE提供部分数据业务传输。 SC为 UE提供额外的无线资源，承担用户数据业务的传输，但是不承担和 MME的接口工作。

针对场景 3 , 可以使用虚拟锚点技术。如图 2所示，在这个场景下，增加了一个锚点，和 SC协同为 UE提供服务。锚点可以是 SC, 可以是高能力的 SC, 还可以是 MC, 也可以是其他的网络节点，此处不做限制。如此设计，工作在虚拟锚点模式下的 UE就可以保持锚点不变，而只是随着 UE 移动变换 SeNB, 也就是说 UE和核心网交互的节点始终保持在锚点上，所以不需要做路径变更等需要 S1接口信令参与的过程，因此可以达到降低 S1接口信令负载的目的。

而无论 UE是工作在双连接模式还是在虚拟锚点的模式， UE的连接点和现有技术相比都存在不同，以虚拟描点举例，在现有技术中， UE直接和为其提供服务的基站（即和 MME/SGW相连的站点）进行连接。而在场景 3下，增加了一个锚点，和 SC协同为 UE提供服务。那么 UE在上面描述的两种模式下工作的时候，安全功能如何提供，密钥如何产生，是当前需要研究解决的问题。

而为了解决这一问题，现有技术提供了一种方式，请参看图 3 , 以 X2口切换为例进行描述。

进一步的，此处描述的是在 UE和原有的网络侧设备进行通信的基础上，将网络侧设备切换到其他的通信节点时，如何产生密钥的过程。此时的网络侧设备以 SeNB ( source eNB, 源基站）举例；其他通信节点使用 TeNB ( target eNB, 目标基站）举例。

S301 , UE发送 NAS ( Network Attached Storage,网络连接式存储 ) service request (服务需求）给 SeNB。

S302， SeNB转发该需求给 MME ( Mobility Management Entity, 移动管理实体）。

S303, MME根据该请求，产生 Kasme (中间密钥）以派生 KeNB (用于生成密钥的参数）， NH ( Next hop, 下一跳）然后，将 KeNB和 NH发送给 SeNB。在同时执行 S304， UE产生 Kasme以派生 KeNB。

5305, SeNB根据 KeNB等计算 Key, 同时 UE会根据 KeNB和 SeNB使用的安全算法等计算 Key。

5306, 然后使用 Key在空口传输。

5307, SeNB准备切换 UE到 TeNB, 根据 T-PCI ( target Physical Cell

2

更正页（细则第 91条） Identity, 目标小区标识）和 EARFCN-DL ( E-UTRA Absolute Radio Frequency Channel Number-Down Link, 目标 E-UTRA下行载频号）、 NH或 KeNB产生一个 KeNB* (用于生成密钥的参数）。

5308, SeNB会将携带 KeNB*和 NCC的切换请求传输给 TeNB。

5309, TeNB会将 KeNB*作为新的 KeNB保存，并与 NCC ( Next hop Chaining Counter, 下一跳计数器）关联。

5310, TeNB切换确认，并携带 TeNB使用的安全算法传输给 SeNB。

5311 , SeNB将切换命令发送给 UE。

5312, UE根据 T-PCI和 EARFCN-DL、 NCC或 KeNB等计算 KeNB*和丽。

5313 , UE根据 KeNB*和 TeNB使用的安全算法等计算新的 Key。同时执行 S314, TeNB根据 KeNB*和 TeNB使用的安全算法等计算新的 Key。

5315, UE和 TeNB使用新的 Key传输，切换完成。

5316 , TeNB向 MME发出通道转换请求。

5317, 计算新的 NCC, 以及新的 NH。

5318, MME将响应消息发送给 TeNB, 响应消息携带新的 NCC和新的丽。

5319, TeNB保存新的 NCC和新的 NH, 以便下次切换备用。

在现有技术中，切换过程的安全密钥的派生遵循如下规则：

如果有可用的 {NH, NCC} ,就釆用垂直密钥派生法，即用 NH派生 KeNB*。如果无可用的 {NH, NCC} , 就釆用水平密钥派生法，即用当前 KeNB派生 KeNB*。

图中通道转换请求及响应消息的作用有两个：一个是更换 DL ( Down Link , 下行链路） GTP ( GPRS Tunneling Protocol,通用数据传输平台） tunnel termination point (隧道终结点），另一个是更新安全上下文。

而在虚拟锚点的场景下，如果安全功能放在 SeNB上，那么当 SeNB发生变更的时候（例如将 UE和 SeNB的通信切换为 UE和 TeNB的通信 ), 则会

3

更正页（细则第 91条）涉及到新的密钥如何派生的问题。在上面的 S306~S314的过程中就涉及到了新的 Key派生的问题。如果此时有可用的 {NH, NCC} , 则会釆用垂直密钥派生法，即用 NH派生 KeNB*。此时就涉及到 TeNB和 MME之间需要更新 path switch (转换通道)，而在图 2 中可以获知， TeNB和 MME之间的切换是需要 S1接口承载信令负载，因此，使用上面的方法增加了 S1接口的信令负载。

综上所述，目前在双连接模式或者虚拟锚点模式下工作的时候，在派生新的密钥时，增加了 S1接口的信令负载。发明内容

本发明实施例提供一种通信方法、网络侧设备、用户设备，用以解决现有技术中存在的在双连接模式或者虚拟锚点模式下工作的时候，在派生新的密钥时，增加了 S1接口的信令负载的技术问题。

第一方面，提供了一种通信方法，所述方法包括：网络侧设备确定用户设备的 SeNB需要发生变更或需要为所述用户设备新增加 SeNB; 所述网络侧设备向所述用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB 根据由所述第二密钥参数 KeNB*得到的密钥与所述用户设备进行通信；以及所述网络侧设备向所述用户设备发送配置命令，并通知所述用户设备根据当前的第一密钥参数 KeNB 生成第二密钥参数 KeNB* ,根据所述第二密钥参数 KeNB*得到的密钥与新连接的 SeNB进行通信。

结合第一方面，在第一种可能的实现方式中，所述用户设备工作在双连接模式下，所述当前的第一密钥参数为所述用户设备已连接的一基站当前正在使用的密钥参数。

结合第一种可能的实现方式，在第二种可能的实现方式中，所述用户设备已连接的基站为所述用户设备工作在双连接模式下的主基站或第二基站。

结合第一种可能的实现方式和第二种可能的实现方式，在第三种可能的实现方式中，所述用户设备的 SeNB 需要发生变更具体为所述用户设备的

4

更正页（细则第 91条） SeNB需要发生更新。

结合第一方面、第一种可能的实现方式、第二种可能的实现方式、第三种可能的实现方式，在第四种可能得实现方式中，所述用户设备工作在锚点模式下，所述当前的第一密钥参数 KeNB为所述用户设备已连接的虚拟锚点 anchor或当前连接的 SeNB当前正在使用的密钥参数 KeNB。

结合第四种可能的实现方式，在第五种可能得实现方式中，所述用户设备的 SeNB发生变更具体为：使用新接入的 SeNB设备替换所述用户设备当前连接的 Se鳳

结合第四种可能的实现方式和第五种可能的实现方式，在第六种可能的实现方式中，所述网络侧设备具体为所述 anchor; 网络侧设备确定用户设备的 SeNB需要发生变更之后，还包括：所述 anchor接收所述用户设备当前连接的 SeNB发送的所述第一密钥参数 KeNB;或生成所述第一密钥参数 KeNB。

结合第一方面、第一种可能的实现方式、第二种可能的实现方式、第三种可能的实现方式、第四种可能的实现方式、在第五种可能得实现方式、第六种可能的实现方式，在第七种可能的实现方式中，所述配置命令至少包括如下一种信息：指示所述用户设备将新接入的 SeNB 设备替换当前连接的 SeNB的命令；指示所述用户设备新增加 SeNB的命令；指示所述用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；指示所述用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；指示所述用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令。第二方面，提出一种通信方法，所述方法包括：用户设备接收网络侧设备发送的配置命令，其中，所述配置命令是所述网络侧设备在确定所述用户设备的 SeNB需要发生变更或需要为所述用户设备新增加 SeNB后发送的；所述用户设备根据当前使用的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 并根据所述第二密钥参数 KeNB*计算得到密钥与新连接的 SeNB进行通信。

结合第二方面，在第一种可能的实现方式中，所述 SeNB配置命令至少包

5

更正页（细则第 91条）括如下一种信息：指示所述用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；指示所述用户设备新增加 SeNB的命令；指示所述用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；指示所述用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；指示所述用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令。

结合第一种可能的实现方式，在第二种可能的实现方式中，所述配置命令具体为：指示所述用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；所述用户设备与新接入的 SeNB进行通信之前，还包括：所述用户设备终止与当前连接的 SeNB之间的通信。

第三方面，提出一种网络侧设备，包括：处理器，用于确定用户设备的 SeNB需要发生变更或需要为所述用户设备新增加 SeNB; 所述处理器，还用于向所述用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由所述第二密钥参数 KeNB* 得到的密钥与所述用户设备进行通信；发射器，用于向所述用户设备发送配置命令，并通知所述用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 根据所述第二密钥参数 KeNB*得到的密钥与新连接的 SeNB进行通信。

结合第三方面，在第一种可能的实现方式中，所述用户设备工作在双连接模式下，所述当前的第一密钥参数 KeNB为所述用户设备已连接的一基站当前正在使用的密钥参数。

结合第一种可能的实现方式和第二种可能的实现方式，在第三种可能的实现方式中，所述用户设备的 SeNB 需要发生变更具体为所述用户设备的 SeNB需要发生更新。

结合第一方面、第一种可能的实现方式、第二种可能的实现方式、第三种可能的实现方式，在第四种可能得实现方式中，所述用户设备工作在锚点

6

更正页（细则第 91条）模式下，所述当前的第一密钥参数 KeNB为所述用户设备已连接的虚拟锚点 anchor或当前连接的 SeNB当前正在使用的密钥参数 KeNB。

结合第四种可能的实现方式和第五种可能的实现方式，在第六种可能的实现方式中，所述网络侧设备具体为所述 anchor; 所述网络侧设备还包括接收器，用于在所述处理器确定用户设备的 SeNB需要发生变更之后，接收所述用户设备当前连接的 SeNB发送的所述第一密钥参数 KeNB;或生成所述第一密钥参数 KeNB。

结合第一方面、第一种可能的实现方式、第二种可能的实现方式、第三种可能的实现方式、第四种可能的实现方式、在第五种可能得实现方式、第六种可能的实现方式，在第七种可能的实现方式中，所述配置命令至少包括如下一种信息：指示所述用户设备将新接入的 SeNB 设备替换当前连接的 SeNB的命令；指示所述用户设备新增加 SeNB的命令；指示所述用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；指示所述用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；指示所述用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令。

第四方面，提出一种网络侧设备，包括：处理单元，用于确定用户设备的 SeNB需要发生变更或需要为所述用户设备新增加 SeNB; 所述处理单元，还用于向所述用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB 根据由所述第二密钥参数 KeNB*得到的密钥与所述用户设备进行通信；发射单元，用于向所述用户设备发送配置命令，并通知所述用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* ,根据所述第二密钥参数 KeNB*得到的密钥与新连接的 SeNB进行通信。

结合第三方面，在第一种可能的实现方式中，所述用户设备工作在双连更正页（细则第 91条）接模式下，所述当前的第一密钥参数 KeNB为所述用户设备已连接的一基站当前正在使用的密钥参数。

结合第一方面、第一种可能的实现方式、第二种可能的实现方式、第三种可能的实现方式，在第四种可能得实现方式中，所述用户设备工作在锚点模式下，所述当前的第一密钥参数 KeNB为所述用户设备已连接的虚拟锚点 anchor或当前连接的 SeNB当前正在使用的密钥参数 KeNB。结合第四种可能的实现方式，在第五种可能得实现方式中，所述用户设备的 SeNB发生变更具体为：使用新接入的 SeNB设备替换所述用户设备当前连接的 Se鳳

结合第四种可能的实现方式和第五种可能的实现方式，在第六种可能的实现方式中，所述网络侧设备具体为所述 anchor; 所述网络侧设备还包括接收单元，用于在所述处理器确定用户设备的 SeNB需要发生变更之后，接收所述用户设备当前连接的 SeNB发送的所述第一密钥参数 KeNB;或生成所述第一密钥参数 KeNB。结合第一方面、第一种可能的实现方式、第二种可能的实现方式、第三种可能的实现方式、第四种可能的实现方式、在第五种可能得实现方式、第六种可能的实现方式，在第七种可能的实现方式中，所述配置命令至少包括如下一种信息：指示所述用户设备将新接入的 SeNB 设备替换当前连接的 SeNB的命令；指示所述用户设备新增加 SeNB的命令；指示所述用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；指示所述用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；指示所述用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令。

8

更正页（细则第 91条）第五方面，提出一种用户设备，包括：接收器，用于接收网络侧设备发送的配置命令，其中，所述配置命令是所述网络侧设备在确定所述用户设备的 SeNB需要发生变更或需要为所述用户设备新增加 SeNB后发送的；处理器，用于所述用户设备根据当前使用的第一密钥参数 KeNB 生成第二密钥参数 KeNB* , 并根据所述第二密钥参数 KeNB*计算得到密钥与新连接的 SeNB进行通信。

结合第五方面，在第一种可能的实现方式中，所述 SeNB配置命令至少包括如下一种信息：指示所述用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；指示所述用户设备新增加 SeNB的命令；指示所述用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；指示所述用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；指示所述用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令。

结合第一种可能的实现方式，在第二种可能的实现方式中，所述配置命令具体为：指示所述用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；所述处理器还用于在新接入的 SeNB进行通信之前，终止与当前连接的 SeNB之间的通信。

第六方面，提出一种用户设备，包括：接收单元，用于接收网络侧设备发送的配置命令，其中，所述配置命令是所述网络侧设备在确定所述用户设备的 SeNB需要发生变更或需要为所述用户设备新增加 SeNB后发送的；处理单元，用于所述用户设备根据当前使用的第一密钥参数 KeNB生成第二密钥参数 KeNB* ,并根据所述第二密钥参数 KeNB*计算得到密钥与新连接的 SeNB 进行通信。

结合第六方面，在第一种可能的实现方式中，所述 SeNB配置命令至少包括如下一种信息：指示所述用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；指示所述用户设备新增加 SeNB的命令；指示所述用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；指示所述用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；指示所述用户设

9

更正页（细则第 91条）备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令。结合第一种可能的实现方式，在第二种可能的实现方式中，所述配置命令具体为：指示所述用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；所述处理单元还用于在新接入的 SeNB进行通信之前，终止与当前连接的 SeNB之间的通信。

上述技术方案中的一个或多个技术方案，具有如下技术效果或优点：在本申请实施例中，在用户设备的 SeNB发生变更或为所述用户设备新增加 SeNB时，通过使用网络侧设备的第一密钥参数生成第二密钥参数，使新连接的 SeNB根据由所述第二密钥参数得到的密钥与所述用户设备进行通信。以网络侧设备的第一密钥参数为基础派生密钥，就不会使用到 NH派生密钥，进而在新接入的 SeNB和 MME之间就不会进行通道转换来获得新的 NH, 进而能够降低 S1接口的信令负载。附图说明

图 1为背景技术中典型的 SCE场景的示意图；

图 2为背景技术中在 SCE场景下增加虚拟锚点的示意图；

图 3为背景技术中现有技术的通信连接方式流程图图；

图 4为本申请实施例中本申请实施例中的连接方法流程图；

图 5为本申请实施例中双链接模式下连接方法的过程图；

图 6为本申请实施例中虚拟锚点模式下建立虚拟锚点的过程图；图 7为本申请实施例中虚拟锚点模式下切换虚拟锚点的过程图；图 8为本申请实施例中网络侧设备的示意图；

图 9为本申请实施例中网络侧设备的另一个示意图；

图 10为本申请实施例中基于用户设备侧的连接方法的流程图；图 11为本申请实施例中用户设备的示意图；

图 12为本申请实施例中用户设备的另一示意图。

10

更正页（细则第 91条) 具体实施方式

为了解决现有技术中存在的在双连接模式或者虚拟锚点模式下工作的时候， UE和网络侧设备如何派生新的密钥更有利于降低 S1接口的信令负载的技术问题，本发明实施例提出了一种通信方法、网络侧设备、用户设备，下面通过附图以及具体实施例对本发明技术方案做详细的说明，应当理解本发明实施例和实施例中的具体特征是对本发明技术方案的详细的说明，而不是对本发明技术方案的限定，在不冲突的情况下，本发明实施例以及实施例中的技术特征可以相互组合。

实施例一：

在本申请实施例中，提供了一种通信方法。

具体的，请参看图 4, 本申请实施例中的连接方法的具体实施过程如下所示。

5401 , 网络侧设备确定用户设备的 SeNB 需要发生变更或需要为用户设备新增加 SeNB。

5402, 网络侧设备向用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信。

5403 , 网络侧设备向用户设备发送配置命令，并通知用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* ,根据第二密钥参数 KeNB* 得到的密钥与新连接的 SeNB进行通信。

在具体的实施过程中，在不同的模式下，网络侧设备为不同的设备，例如在双链接模式下，网络侧设备可以为 MeNB ( master eNB, 主基站）， SeNB ( secondary eNB ,第二基站），虚拟锚点模式下，网络侧设备可以为 anchor eNB (锚点）。而此处的 MeNB和背景技术中的源基站不是同一基站，只是名称相同而已，本发明实施例中后续描述的 SeNB也和背景技术中的源基站不是同一基站。另外，网络侧设备还可以根据连接方法的实施过程的不同而不同。例如，在用户设备与 MeNB通信的基础上，新增加 SeNB时，网络侧设备可以

11

更正页（细则第 91条）为 MeNB。当用户设备的 SeNB发生更新时，网络侧设备可以为当前连接的 SeNB。另外，网络侧设备还可以为虚拟锚点，而当使用新 SeNB设备替换用户设备当前连接的 SeNB时，网络侧设备可以为用户设备当前连接的 SeNB等。而这几种情况将在下面的实施例中——进行详细的介绍。

进一步的，用户设备处于双链接模式和用户设备处于虚拟锚点模式，这两种情况下，第一密钥参数的来源是不一样的。

当用户设备工作在双连接模式下，当前的第一密钥参数 KeNB为用户设备已连接的一基站当前正在使用的第一密钥参数 KeNB。例如，当 SeNB为新增加时， UE当前只和 MeNB通信时， MeNB就是与用户设备连接的基站，即主基站。而第一密钥参数 KeNB 就是 MeNB 当前正在使用的第一密钥参数 KeNB。当 SeNB为变更时， UE当前和两个站点进行通信，即 MeNB和原有 SeNB, 此时 MeNB就是主基站，而原有 SeNB就是第二基站。而第一密钥参数 KeNB可以是 MeNB使用的密钥参数 KeNB, 也可以是原有 SeNB使用的密钥参数 KeNB。当用户设备工作在锚点模式下，用户设备的 SeNB 发生变更是使用新 SeNB设备替换用户设备当前连接的 SeNB, 如果 SeNB的密钥参数由当前的 SeNB指派，则当前的第一密钥参数 KeNB为用户设备当前连接的 SeNB当前正在使用的密钥参数 KeNB。如果 SeNB的密钥参数由 anchor eNB指派，则当前的第一密钥参数 KeNB为用户设备的 anchor eNB当前正在使用的密钥参数 Ke鳳

下面具体介绍这两种模式下，上述实施例的具体实施方式。

在双链接模式下：

当 UE工作在双链接模式下， UE会先和 MeNB建立数据通信，此时的 MeNB就是主基站，并且可以将 MeNB看作是网络侧设备。

具体的实施过程如下：

首先， MeNB会确定为用户设备新增加 SeNB。在具体的实施过程中，新增加的 SeNB就是用户设备新连接的 SeNB。而

12

更正页（细则第 91条）当前的第一密钥参数 KeNB则是用户设备已连接的 MeNB当前正在使用的密钥参数。

其次， MeNB会向用户设备新增加的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新增加的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信。

再次， MeNB 还会向用户设备发送配置命令，并通知用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* ,根据第二密钥参数 KeNB* 得到的密钥与新增加的 SeNB进行通信。

而此时的配置命令至少包括以下一种信息：

"指示用户设备新增加 SeNB的命令"；或

"指示用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令，，。

若配置命令为 "指示用户设备使用 MeNB的 KeNB生成新增加的 SeNB 的 KeNB*的命令"，那么就可以直接告知用户设备，以便其根据该命令执行。若配置命令为 "指示用户设备新增加 SeNB的命令"，那么用户设备会解析该命令，然后自主执行 "根据当前的第一密钥参数 KeNB 生成第二密钥参数 KeNB*" 这一过程，然后和新增加的 SeNB进行通信。

以上是 UE和 MeNB建立数据通信的基础上， UE新增加 SeNB的通信过程。下面的过程是在新增加了 SeNB之后，用户设备的 SeNB需要发生变更的过程。

此时的变更的含义是为用户设备的 SeNB 发生更新。即使用新接入的 SeNB设备替换当前连接的 SeNB。而当前连接的 SeNB就是前面描述的 "新增加的 SeNB"。此时，用户设备已连接的基站就有两个，即 MeNB当前连接的 SeNB。此时 MeNB是主基站，而当前连接的 SeNB就是第二基站。而更为具体的，在上面列举的情况，是只有一个 SeNB和 UE连接的情况。另外，本申请实施例中还有多个 SeNB和 UE连接的情况，那么此时这多个 SeNB就可以认为是第二基站。

13

更正页（细则第 91条）此时，用户设备的 SeNB发生更新之前，就可以使用当前连接的 SeNB使用的 KeNB作为生成新接入的 SeNB使用的 KeNB *的参数 , 此时的网络侧设备就是当前连接的 SeNB。除此之外，还可以使用 MeNB使用的 KeNB作为生成新接入的 SeNB使用的 KeNB*的参数，此时的网络侧设备就是 MeNB。

下面首先描述在双链接模式下，以一个 SeNB和 UE连接的情况为例，描述 "网络侧设备是当前连接的 SeNB" 这一情况的实施过程。

此时这一个 SeNB即为 UE当前连接的 SeNB。进一步的，此时的网络侧设备就是当前连接的 SeNB。

那么本申请中的连接方法的具体实施过程则如下所示。

首先，当前连接的 SeNB确定其需要发生更新。

在具体的实施过程中，当前的第一密钥参数 KeNB即是当前连接的 SeNB 当前正在使用的密钥参数。而从 UE新增加 SeNB的通信过程中可以看出，此时的第一密钥参数 KeNB属于当前连接的 SeNB,实际上是上面过程中描述的第二密钥参数 KeNB* ,和 MeNB的第一密钥参数 KeNB不是同一个密钥参数，两者仅是名称相同而已。

其次，当前连接的 SeNB会向用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信。

在具体的实施过程中，用户设备新连接的 SeNB即是当前连接的 SeNB需要更新时，新接入的 SeNB。

再次，当前连接的 SeNB会向用户设备发送配置命令，并通知用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 根据第二密钥参数 KeNB*得到的密钥与新连接的 SeNB进行通信。

在具体的实施过程中，此时的配置命令至少包括以下一种信息：

"指示用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令"；或

"指示用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的

14

更正页（细则第 91条） KeNB*的命令"。

若配置命令为 "指示用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令"，那么就可以直接告知用户设备，以便其根据该命令执行。若配置命令为 "指示用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令"，那么用户设备会解析该命令，然后自主执行 "根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB*" 这一过程，然后和新接入的 SeNB进行通信。

下面介绍描述在双链接模式下， "网络侧设备是 MeNB" 这一情况的实施过程。

首先， MeNB确定当前连接的 SeNB需要发生更新。

在具体的实施过程中，当前的第一密钥参数 KeNB是 MeNB当前正在使用的密钥参数。

其次， MeNB 向用户设备新连接的 SeNB 发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信；以及

而此时的第二密钥参数 KeNB实际上是新接入的 SeNB的使用的密钥参数，和当前接入的 SeNB使用的密钥参数不是同一个密钥参数。

再次， MeNB 向用户设备发送配置命令，并通知用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* ,根据第二密钥参数 KeNB*得到的密钥与新连接的 SeNB进行通信。

在具体的实施过程中，此时的配置命令是至少包括以下一种信息：

"指示用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令，，。

15

更正页（细则第 91条）若配置命令为 "指示用户设备使用 MeNB的 KeNB生成新接入的 SeNB 的 KeNB*的命令"，那么就可以直接告知用户设备，以便其根据该命令执行。若配置命令为 "指示用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令"，那么用户设备会解析该命令，然后自主执行 "根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB*" 这一过程，然后和新接入的 SeNB进行通信。

以上则是本申请实例中，双链接模式下连接方法的具体实施过程。

下面请参看图 5, 为用户设备工作在双链接模式下，连接方法的完整的实施方式的示意图。

图 5 中的实施过程具体为双链接模式下 UE与 MeNB 以及与新增加的 SeNB的建立通信的实施过程。此时， UE会先和 MeNB建立数据通信，而在此通信基础上，会再新增加 SeNB, 并进一步和 SeNB建立数据通信。而此时的 MeNB就是网络侧设备。而在用户新增加 SeNB时，会根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 此时的第一密钥参数 KeNB为用户设备已连接的 MeNB当前正在使用的第一密钥参数 KeNB,如在 UE和 MeNB 通信时， MeNB 就是与用户设备连接的基站，而第一密钥参数 KeNB 就是 MeNB当前正在使用的第一密钥参数 KeNB。首先， UE按照原有流程接入到 MeNB, 并产生第一密钥，和 MeNB正常传输数据。

此时的原有流程具体是：

Al , UE发送 NAS service request给 MeNB。

A2, MeNB转发该需求给 MME。

A3 , MME根据该请求，产生 Kasme以派生 KeNB (第一密钥参数）， NH 然后 , 将 KeNB和 NH发送给 SeNB。在同时执行 A4 , UE产生 Kasme以派生 Ke鳳

A5 , MeNB根据 KeNB等计算 Keyl，同时 UE会根据 KeNB和 MeNB使用的安全算法等计算 Keyl (即第一密钥）。

16

更正页（细则第 91条） A6, 然后使用 Keyl加密数据并在空口传输数据。

5501 , MeNB为 UE增加双连接节点 SeNB, 使用 KeNB产生 KeNB* (第二密钥参数）。

此时， MeNB为 UE增加双连接节点 SeNB,无论 MeNB当前是否有 {NH, NCC} , MeNB都根据 SeNB的 PCI和 EARFCN-DL, KeNB产生 KeNB*。即使用水平秘钥派生法产生第二密钥参数 KeNB*。

5502, MeNB向 SeNB发送双连接请求，并携带 KeNB*。

5503 , SeNB保存 KeNB*。

5504 , SeNB向 MeNB发送双连接确认消息。

此消息中携带 SeNB使用的安全算法。

5505, SeNB根据 KeNB*和安全算法等计算 Key* (第二密钥）。

5506, MeNB向 UE发送建立双连接的命令。

5507, UE根据 MeNB发送的建立双连接命令，产生 KeNB* ,并计算 Key*。具体的， UE根据 MeNB在双连接命令中携带的明确的指示信息或者根据

MeNB的双连接命令间接判断需要根据 SeNB的 PCI和 EARFCN-DL, KeNB 产生一个新的 KeNB* , 并根据 KeNB*和 SeNB使用的安全算法等计算 Key*。此时 UE如果有 { NH, NCC } , 则 { NH, NCC }保持不变。

需要说明的是， MeNB 在双连接命令中携带的明确的指示信息具体是指 MeNB在双连接的命令中携带指示使用 MeNB 当前的 KeNB生成 SeNB 的 KeNB* , 根据 MeNB的双连接命令间接判断是指在双连接命令消息中并没有明确的指示， UE需要根据双连接命令获知 MeNB为 UE增加一个 SeNB为 UE提供服务，所以使用 MeNB当前的 KeNB生成 SeNB的 KeNB*。

5508, UE在和 SeNB通信中，使用 key*进行加密和完整性保护。

UE在和 MeNB的通信中 , 仍然使用 Key进行加密和完整性保护。 SeNB 不需要向 MME发送 path switch过程。

进一步的，此时的 SeNB可以变更，此时的变更的含义就是将当前连接的 SeNB 切换为其他的通信节点，例如将当前连接的 SeNB 更新为新接入的

17

更正页（细则第 91条） SeNB。此时，为了便于区分，将当前连接的 SeNB作为第一 SeNB, 新接入的 SeNB作为第二 SeNB。而此时将第一 SeNB更新为第二 SeNB时，可以使用第一 SeNB使用的 KeNB*生成第二 SeNB使用的 KeNB** , 或者可以使用 MeNB使用的 KeNB生成第二 SeNB使用的 KeNB**。而当 MeNB发生变更的时候，仍然釆用现有技术中的规则。例如若将 MeNB更新为 MeNB* ,那么，如果有可用的 {NH, NCC} , 就釆用垂直密钥派生法，即用 NH派生 MeNB* 的 KeNB***; 如果无可用的 {NH, NCC} , 就釆用水平密钥派生法，即用当前 KeNB派生 KeNB***。

上述过程，是为 UE建立双链接节点的具体实施过程。即，在 UE和 MeNB 通信的基础上，为 UE建立一个新的通信节点 SeNB, 并建立新的密钥实现通信的过程。

虚拟锚点模式下：

在本申请实施例中，虚拟锚点是具有多种选择的。例如，虚拟锚点可以选择为 SeNB, MeNB或高能力的 SeNB,还可以是其他类型的网络节点等等。

而在接入虚拟锚点时，在 UE和锚点之间也会先生成密钥，进而通过密钥建立通信。

而在建立此通信之前， UE和 SeNB已经具有通信关系。此时当前连接的

SeNB就是网络侧设备。此时的虚拟锚点若以高能力的 SeNB进行举例时，此时的虚拟锚点会作为 UE的 anchor eNB。

那么接入虚拟锚点的具体实施方式则如下所示。

首先，当前连接的 SeNB确定其需要为用户设备新增加 SeNB。

在具体的实施过程中，此时的新增加的 SeNB就是高能力的 SeNB, 并作为了 UE的 anchor eNB, 因此，新增加 SeNB的含义就是接入虚拟锚点 anchor eNB。

而当前的第一密钥参数 KeNB就是当前连接的 SeNB 当前正在使用的密钥参数 Ke鳳

其次，当前连接的 SeNB向用户设备新连接的 SeNB发送由当前的第一密

18

更正页（细则第 91条）钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信。

在具体的实施过程中， "用户设备新连接的 SeNB" 就是新增加的 anchor eNB。

再次，当前连接的 SeNB向用户设备发送配置命令，并通知用户设备根据当前的第一密钥参数 KeNB 生成第二密钥参数 KeNB* , 根据第二密钥参数 KeNB*得到的密钥与新连接的 SeNB进行通信。

"指示用户设备新增加 SeNB的命令"；或

"指示用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令"。

若配置命令为 "指示用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令"，那么就可以直接告知用户设备，以便其根据该命令执行。若配置命令为 "指示用户设备新增加 SeNB的命令"，那么用户设备会解析该命令，然后自主执行 "根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB*" 这一过程，然后和新增加的 anchor eNB进行通信。

另外，在接入虚拟锚点时， SeNB还可以使用 NH的方式生成第二密钥参数 KeNB*。

以上是在 UE和 SeNB进行通信的基础上，接入虚拟锚点的具体实施过程。进一步的，此时当前连接的 SeNB可以进行变更，此时的变更的含义是使用新接入的 SeNB设备替换用户设备当前连接的 SeNB。此时当前连接的 SeNB就是网络侧设备。

具体的实施过程如下：

首先，当前连接的 SeNB确定用户设备的 SeNB需要发生变更。

在具体的实施过程中，此时变更的含义是使用新接入的 SeNB设备替换用户设备当前连接的 SeNB。

而当前的第一密钥参数 KeNB就是当前连接的 SeNB 当前正在使用的密

19

更正页（细则第 91条）钥参数 Ke鳳

其次，当前连接的 SeNB向用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信。

在具体的实施过程中， "用户设备新连接的 SeNB" 就是在当前连接的 SeNB变更时，新接入的 SeNB。再次，当前连接的 SeNB向用户设备发送配置命令，并通知用户设备根据当前的第一密钥参数 KeNB 生成第二密钥参数 KeNB* , 根据第二密钥参数 KeNB*得到的密钥与新连接的 SeNB进行通信。

下面，描述在接入了虚拟锚点之后具体的实施过程。

此时的接入的虚拟锚点 anchor eNB可以是初始接入的 SeNB。而此过程是在虚拟锚点 anchor eNB和 UE通信的基础上，为 UE切换到 SeNB的过程，即相当于增加 SeNB的实施过程。而此时的虚拟锚点仍然保留在原有的 SeNB 上。

具体如下所示：

首先， anchor eNB确定需要为用户设备新增加 SeNB。

20

更正页（细则第 91条）在具体的实施过程中，此时的网络侧设备就是虚拟锚点 anchor eNB。而当前的第一密钥参数 KeNB为用户设备已连接的虚拟锚点 anchor eNB当前正在使用的密钥参数 KeNB。而此时的第一密钥参数 KeNB 实际上是上述过程中，在当前连接的 SeNB在接入虚拟锚点时生成的第二密钥参数 KeNB,因此，它和上面描述的当前连接的 SeNB使用的第一密钥参数 KeNB是不同的，仅是名称相同而已。

而新增加的 SeNB就是新连接的 SeNB。其次， anchor eNB向用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信。

在具体的实施过程中，此时 "用户设备新连接的 SeNB" 就是新增加的 Se肌

再次， anchor eNB向用户设备发送配置命令，并通知用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* ,根据第二密钥参数 KeNB* 得到的密钥与新连接的 SeNB进行通信。

"指示用户设备新增加 SeNB的命令"；或

"指示用户设备使用当前连接的 anchor eNB的 KeNB生成新增加的 SeNB 的 KeNB*的命令"。

若配置命令为 "指示用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令"，那么就可以直接告知用户设备，以便其根据该命令执行。若配置命令为 "指示用户设备新增加 SeNB的命令"，那么用户设备会解析该命令，然后自主执行 "根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB*" 这一过程，然后和新增加的 SeNB进行通信。

以上是 UE和 anchor eNB建立数据通信的基础上， UE新增加 SeNB的通信过程。下面的过程是在新增加了 SeNB之后，用户设备新增加的 SeNB需要发生变更的过程。

21

更正页（细则第 91条）此时的变更的含义是使用新接入的 SeNB设备替换用户设备当前连接的 SeNB。而当前连接的 SeNB就是前面描述的 "新增加的 SeNB"。此时，用户设备已连接的基站就有两个，一个是 anchor eNB ,另外一个是新增加的 SeNB。

此时，用户设备的 SeNB发生更新之前，就可以使用当前连接的 SeNB使用的 KeNB作为生成新接入的 SeNB使用的 KeNB *的参数 , 此时的网络侧设备就是当前连接的 SeNB。除此之外，还可以使用 anchor eNB使用的 KeNB 作为生成新接入的 SeNB使用的 KeNB*的参数，此时的网络侧设备就是 anchor eNB。

首先描述 "网络侧设备是当前连接的 SeNB" 这一情况的实施过程。

那么本申请中的连接方法的具体实施过程则如下所示。

首先，当前连接的 SeNB确定其需要发生变更。

在具体的实施过程中，当前的第一密钥参数 KeNB即是当前连接的 SeNB 当前正在使用的密钥参数。而从 UE新增加 SeNB的通信过程中可以看出，此时的第一密钥参数 KeNB属于当前连接的 SeNB,实际上是上面过程中描述的第二密钥参数 KeNB* ,和 anchor eNB的第一密钥参数 KeNB不是同一个密钥参数，两者仅是名称相同而已。

22

更正页（细则第 91条） "指示用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令"。

首先描述 "网络侧设备是当前连接的 anchor eNB" 这一情况的实施过程。首先， anchor eNB确定当前连接的 SeNB需要发生变更。

在具体的实施过程中，当前的第一密钥参数 KeNB是 anchor eNB当前正在使用的密钥参数。此第一密钥参数可以是 anchor接收用户设备当前连接的 S eNB发送的第一密钥参数 KeNB；也可以是自身生成的第一密钥参数 KeNB。

而变更的具体含义就是使用新接入的 SeNB设备替换用户设备当前连接的 SeNB。

其次， anchor eNB向用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信。

在具体的实施过程中，用户设备新连接的 SeNB即是当前连接的 SeNB需要变更时，新接入的 SeNB。

"指示用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令"；

23

更正页（细则第 91条）或

"指示用户设备使用 anchor eNB (此时的 anchor eNB实际上就是初始接入的 SeNB ) 的 KeNB生成新接入的 SeNB的 KeNB*的命令"。

若配置命令为 "指示用户设备使用 anchor eNB 的 KeNB生成新接入的 SeNB的 KeNB*的命令"，那么就可以直接告知用户设备，以便其根据该命令执行。若配置命令为 "指示用户设备将新接入的 SeNB设备替换当前连接的 SeNB 的命令"，那么用户设备会解析该命令，然后自主执行 "根据当前的第一密钥参数 KeNB 生成第二密钥参数 KeNB*" 这一过程，然后和新接入的 SeNB进行通信。

下面将通过更加详细的解释，具体介绍在锚点模式下的通信连接过程。在本申请实施例中，锚点是具有多种选择的。例如，虚拟锚点可以选择为 SeNB, MeNB或高能力的 SeNB, 还可以是其他类型的网络节点等等。

而在接入锚点时，在 UE和锚点之间也会先生成密钥，进而通过密钥建立通信，具体的过程请参看图 6。图 6具体描述了 UE和虚拟锚点之间建立通信的过程。

而在建立此通信之前， UE和 SeNB已经具有通信关系。此时的 SeNB就可以被认为是网络侧设备。

此时的虚拟锚点若以 MeNB或高能力的 SeNB进行举例时，此时的虚拟锚点会作为 UE的 anchor eNB。下面请参看具体的流程。

首先， UE按照正常的流程接入到 SeNB, 按照原有流程产生安全使用的密钥，并和 SeNB正常传输数据。

此时的原有流程和上述实施例中的 A1-A6的过程类似，只是网络侧设备由 MeNB变成了 SeNB, 在此不再赘述。

S601 , 当 SeNB准备为 UE增加 anchor eNB的时候， SeNB根据 NH或第一密钥参数 KeNB产生第二密钥参数 KeNB*。

具体的 ,当 SeNB为 UE建立虚拟锚点 anchor eNB的时候，根据 anchor eNB

24

更正页（细则第 91条）的 PCI和 EARFCN-DL , NH或第一密钥参数 KeNB产生 KeNB *。

S602, SeNB向 anchor eNB发送 anchor eNB建立请求，并携带 KeNB* 和 NCC。

5603 , anchor eNB将 KeNB*作为 anchor eNB的 KeNB保存，并与 NCC 关联。

5604, Anchor eNB向 SeNB发送虚拟锚点建立确认消息，消息中携带 anchor eNB使用的安全算法。同时执行 S605, anchor eNB根据 KeNB*和安全算法等计算 Key*。

5606, SeNB向 UE发送建立 anchor eNB的命令，携带锚点信息。

具体的，此时的锚点信息存储于 SeNB中。

5607, UE根据 SeNB发送的建立 anchor eNB的命令，建立 anchor eNB, 并向 SeNB发送 anchor eNB建立完成消息。

具体的 , UE根据 SeNB的 PCI和 EARFCN-DL, KeNB或 NH产生一个新的 KeNB* , 并根据 KeNB*和 SeNB使用的安全算法等计算 Key*。

5608 , SeNB将 anchor eNB建立完成指示发送给 anchor eNB , anchor eNB 执行 ath switch过程。

5609, UE在和 SeNB通信中，使用 anchor eNB的 key进行加密和完整性保护。

以上则是建立虚拟锚点的过程，而当虚拟锚点使用其他的通信节点时，其过程和上述过程类似，本申请实施例不再具体描述。

以上描述的建立虚拟锚点的过程是基于由虚拟锚点承担安全功能的情况，如果虚拟锚点不承担 UE的安全功能，而是由 SeNB承担 UE的安全功能，则 UE和 SeNB仍然保留原有的安全参数，在 UE和 SeNB通信中，仍然使用原有的 SeNB的 key进行加密和完整性保护。

而进一步的，当虚拟锚点建立好之后，此时的虚拟锚点则可以被当做网络侧设备和 UE进行通信。而 UE在通信的过程中，一般情况下，除了与虚拟锚点连接进行通信之外，还同时和其他通信节点具有通信关系，进一步的，

25

更正页（细则第 91条）还可以更新通信节点。例如， UE在和 anchor eNB建立通信之后，可以为 UE 更新 SeNB即可以将原来和 UE通信的 SeNB切换为其他通信节点。

假设此时和 UE通信的 SeNB为第一 SeNB, 需要将第一 SeNB切换为第二 SeNB。因此，在生成切换时需要的密钥的过程中，有两种方法，一是使用第一 SeNB使用的 KeNB生成第二 SeNB使用的 KeNB*的参数，二是使用 anchor eNB使用的 KeNB生成第二 SeNB使用的 KeNB*的参数。而当 anchor eNB 发生变更的时候，因此其仍然釆用现有技术中的规则，即：如果有可用的 {NH, NCC} , 就釆用垂直密钥派生法，即用 NH派生 KeNB*; 如果无可用的 {NH, NCC} , 就釆用水平密钥派生法，即用当前 KeNB派生 KeNB*。

另夕卜，若 UE初始接入的 SeNB作为虚拟锚点 anchor eNB, 那么当 UE移动到另一个 SeNB时， anchor eNB将 UE切换到 SeNB , 同时保留原有 anchor eNB , 相当于为 UE新增加 SeNB时，使用水平密钥派生法，即用当前 KeNB 派生 KeNB*。具体的实施过程如下所示。具体请参看图 7。

首先， UE按照原有流程初始接入到 SeNB, 同时该 SeNB就作为 UE的虚拟锚点 anchor eNB, 按照原有流程产生安全使用的密钥，并和 anchor eNB 正常传输数据。

具体的，原有流程的实施过程在前面的实施例中都有说明，本发明在此不再赘述。

5701 , 当 anchor eNB准备让 UE切换到 SeNB的时候， anchor eNB根据第一密钥参数 KeNB产生 KeNB*。

具体的，此时的网络侧设备具体为 anchor eNB, 而在切换之前，网络侧设备会根据当前 anchor eNB使用的第一密钥参数 KeNB生成 SeNB使用的第二密钥参数 KeNB*。然后，网络侧设备将生成的第二密钥参数 KeNB*发送给用户设备需要接入的 SeNB。

此时，无论 anchor eNB当前是否有 {NH, NCC} , anchor eNB都根据 SeNB 的 PCI和 EARFCN-DL, KeNB产生 KeNB*。

5702, anchor eNB向 SeNB发送切换请求，并携带 KeNB* , 同时携带 UE

26

更正页（细则第 91条）的虚拟锚点仍然保留在 anchor eNB。

5703 , SeNB将 KeNB*作为 SeNB的 KeNB保存。

5704, SeNB向 anchor eNB发送切换确认消息，消息中携带 SeNB使用的安全算法。同时，执行 S705, SeNB根据 KeNB*和安全算法等计算新的 Key。

5706, anchor eNB向 UE发送切换命令，可选的，可以同时携带保留虚拟锚点在 anchor eNB的信息。

5707, UE根据 anchor eNB发送的切换命令，根据 KeNB*和 SeNB使用的安全算法等计算 Key*。

具体的，UE可以根据 anchor eNB发送的配置命令确定虚拟锚点将保留在 anchor eNB , 然后 UE根据 SeNB的 PCI和 EARFCN-DL, KeNB产生一个新的 KeNB* , 并根据 KeNB*和 SeNB使用的安全算法等计算 Key*。

5708, UE在和 SeNB通信中，使用 key*进行加密和完整性保护。

进一步的，此时的 SeNB可以变更，此时的变更的含义就是将 SeNB切换为其他的通信节点，例如将 SeNB更新为另一个新的 SeNB。此时，为了便于区分，将原来的 SeNB作为第一 SeNB, 更新的 SeNB作为第二 SeNB。而此时将第一 SeNB更新为第二 SeNB时，可以使用第一 SeNB使用的 KeNB*生成第二 SeNB使用的 KeNB** , 或者可以使用 anchor eNB使用的 KeNB生成第二 SeNB使用的 KeNB * *。此时即相当于 anchor eNB接收用户设备已连接的 SeNB发送的第一密钥参数，或 anchor eNB生成第一密钥参数。然后将生成的第一密钥参数发送给用户设备需要接入的 SeNB, 作为其密钥参数。而当 anchor eNB 发生变更的时候，由于虚拟锚点信息仍旧保存在原来的原来的 anchor eNB中，因此，在更新为新的 anchor eNB时，仍然釆用现有技术中的规则。例如若将 anchor eNB更新为 anchor eNB* , 那么，如果有可用的 {ΝΗ, NCC} , 就釆用垂直密钥派生法，即用 ΝΗ派生 anchor eNB的 KeNB***; 如果无可用的 {NH, NCC} , 就釆用水平密钥派生法，即用当前 KeNB 派生 KeNB***。基于统一发明构思，下面的实施例中介绍该方法对应的网络侧设备。

27

更正页（细则第 91条）实施例二：

在本申请实施例中，公开了一种网络侧设备。

其中，如图 8所示，该网络侧设备包括：

处理器 801 ,用于确定用户设备的 SeNB需要发生变更或需要为用户设备新增加 SeNB;

处理器 801 ,还用于向用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信。

发射器 802, 用于向用户设备发送配置命令，并通知用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 根据第二密钥参数 KeNB* 得到的密钥与新连接的 SeNB进行通信。

进一步的，用户设备工作在双连接模式下，当前的第一密钥参数为用户设备已连接的一基站当前正在使用的密钥参数。

进一步的，用户设备已连接的基站为用户设备工作在双连接模式下的主基站或第二基站。

进一步的，用户设备的 SeNB需要发生变更具体为用户设备的 SeNB需要发生更新。

进一步的，用户设备工作在锚点模式下，当前的第一密钥参数 KeNB为用户设备已连接的虚拟锚点 anchor或当前连接的 SeNB当前正在使用的密钥参数 KeNB。

进一步的，用户设备的 SeNB发生变更具体为：

使用新接入的 SeNB设备替换用户设备当前连接的 SeNB。

进一步的，网络侧设备具体为 anchor;

网络侧设备还包括接收器，用于在处理器确定用户设备的 SeNB需要发生变更之后，接收用户设备当前连接的 SeNB发送的第一密钥参数 KeNB; 或生成第一密钥参数 KeNB。进一步的，配置命令至少包括如下一种信息：

28

更正页（细则第 91条）指示用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；指示用户设备新增加 SeNB的命令；

指示用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；指示用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；指示用户设备使用当前连接的 SeNB 的 KeNB 生成新接入的 SeNB 的 KeNB*的命令。

实施例三：

基于统一发明构思，本申请实施例中包括了一种网络侧设备。

具体请参看图 9, 具体包括：

处理单元 901 ,用于用于确定用户设备的 SeNB需要发生变更或需要为用户设备新增加 SeNB;

处理单元 901 ,还用于向用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB * , 以使新连接的 SeNB根据由第二密钥参数 KeNB*得到的密钥与用户设备进行通信。

发送单元 902, 用于向用户设备发送配置命令，并通知用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* ,根据第二密钥参数 KeNB* 得到的密钥与新连接的 SeNB进行通信。

进一步的，用户设备工作在双连接模式下，当前的第一密钥参数 KeNB 为用户设备已连接的一基站当前正在使用的密钥参数。

进一步的，用户设备工作在锚点模式下，当前的第一密钥参数 KeNB为用户设备已连接的虚拟锚点 anchor或当前连接的 SeNB当前正在使用的密钥参数 KeNB。进一步的，用户设备的 SeNB发生变更具体为：使用新接入的 SeNB设备

29

更正页（细则第 91条）替换用户设备当前连接的 SeNB。

进一步的，网络侧设备具体为 anchor;

网络侧设备还包括接收单元，用于在处理单元确定用户设备的 SeNB需要发生变更之后，接收用户设备当前连接的 SeNB发送的第一密钥参数 KeNB; 或生成第一密钥参数 KeNB。

进一步的，配置命令至少包括如下一种信息：

指示用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；指示用户设备新增加 SeNB的命令；

实施例四：

在本申请实施例中，描述了一种通信方法，和上面实施例一中的方法对应。

具体的，此处的连接方法是从用户设备侧进行描述，具体请参看图 10。 S1001 , 用户设备接收网络侧设备发送的配置命令。

其中，配置命令是网络侧设备在确定用户设备的 SeNB需要发生变更或需要为用户设备新增加 SeNB后发送的。

具体的， SeNB配置命令至少包括如下一种信息：

进一步的，当配置命令具体为 "指示用户设备将新接入的 SeNB设备替换

30

更正页（细则第 91条）当前连接的 SeNB的命令" 时，在用户设备与新接入的 SeNB进行通信之前，还包括以下步骤：用户设备终止与当前连接的 SeNB之间的通信。

另外，根据网络侧设备的不同，用户设备接收到的配置命令也会不一样。例如 ,若网络侧设备为 MeNB并且 MeNB会确定为用户设备新增加 SeNB 时，此时 MeNB则会发送以下配置命令的至少一种：

"指示用户设备新增加 SeNB的命令"；或

若 UE和 MeNB建立数据通信的基础上， UE新增加了 SeNB之后，用户设备的 SeNB需要发生变更时，此时的网络测设备为 SeNB。

此时 SeNB会发送以下配置命令的至少一种：

"指示用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令"；或"指示用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令"。

具体的配置命令由网络侧设备控制发送。

而当网络侧设备为其他通信节点时，发送的配置命令在实施例一中已经有明确的记载，在此本申请不再赘述。

S1002,用户设备根据当前使用的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 并根据第二密钥参数 KeNB*计算得到密钥与新连接的 SeNB进行通信。

基于同一发明构思，下面的实施例具体描述该连接方法对应的用户设备。实施例五：

在本申请实施例中，描述了一种用户设备。

具体的，请参看图 11 , 该用户设备具体包括：

接收器 110, 用于接收网络侧设备发送的配置命令，其中，配置命令是网络侧设备在确定用户设备的 SeNB 需要发生变更或需要为用户设备新增加 SeNB后发送的；

处理器 111 ,用于用户设备根据当前使用的第一密钥参数 KeNB生成第二

31

更正页（细则第 91条）密钥参数 KeNB* ,并根据第二密钥参数 KeNB*计算得到密钥与新连接的 SeNB 进行通信。

进一步的， SeNB配置命令至少包括如下一种信息：

进一步的，配置命令具体为：指示用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；

处理器 110还用于在新接入的 SeNB进行通信之前，终止与当前连接的 SeNB之间的通信。

实施例六：

在本申请实施例中，描述了一种用户设备。

具体的，请参看图 12, 该用户设备具体包括：

接收单元 120, 用于接收网络侧设备发送的配置命令，其中，配置命令是网络侧设备在确定用户设备的 SeNB 需要发生变更或需要为用户设备新增加 SeNB后发送的；

处理单元 121 ,用于用户设备根据当前使用的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 并根据第二密钥参数 KeNB*计算得到密钥与新连接的 SeNB进行通信。

进一步的， SeNB配置命令至少包括如下一种信息：

指示用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；指示用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；

32

更正页（细则第 91条）指示用户设备使用当前连接的 SeNB 的 KeNB 生成新接入的 SeNB 的 KeNB*的命令。

处理单元 120还用于在新接入的 SeNB进行通信之前，终止与当前连接的 SeNB之间的通信。

通过本发明的一个或多个实施例，可以实现如下技术效果：

在本申请实施例中，在用户设备的 SeNB发生变更或为用户设备新增加 SeNB时，通过使用网络侧设备的第一密钥参数生成第二密钥参数，使新连接的 SeNB根据由第二密钥参数得到的密钥与用户设备进行通信。以网络侧设备的第一密钥参数为基础派生密钥，那么新接入的 SeNB和 MME之间就不会进行通道转换，进而能够降低 S1接口的信令负载。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可釆用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可釆用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质 (包括但不限于磁盘存储器， CD-ROM, 光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器 801 以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器 801 执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器

33

更正页（细则第 91条）中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

34

更正页（细则第 91条)

Claims

权利要求

1、一种通信方法，其特征在于，所述方法包括：

网络侧设备确定用户设备的 SeNB 需要发生变更或需要为所述用户设备新增加 SeNB;

所述网络侧设备向所述用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由所述第二密钥参数 KeNB*得到的密钥与所述用户设备进行通信；以及

所述网络侧设备向所述用户设备发送配置命令，并通知所述用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 根据所述第二密钥参数 KeNB*得到的密钥与新连接的 SeNB进行通信。

2、如权利要求 1所述的方法，其特征在于，所述用户设备工作在双连接模式下，所述当前的第一密钥参数 KeNB为所述用户设备已连接的一基站当前正在使用的密钥参数。

3、如权利要求 2所述的方法，其特征在于，所述用户设备已连接的基站为所述用户设备工作在双连接模式下的主基站或第二基站。

4、如权利要求 2或 3所述的方法，其特征在于，所述用户设备的 SeNB 需要发生变更具体为所述用户设备的 SeNB需要发生更新。

5、如权利要求 1~4任一所述的方法，其特征在于，所述用户设备工作在锚点模式下，所述当前的第一密钥参数 KeNB为所述用户设备已连接的虚拟锚点 anchor或当前连接的 SeNB当前正在使用的密钥参数 KeNB。

6、如权利要求 5所述的方法，其特征在于，所述用户设备的 SeNB发生变更具体为：

使用新接入的 SeNB设备替换所述用户设备当前连接的 SeNB。

7、如权利要求 5~6任一所述的方法，其特征在于，所述网络侧设备具体为所述 anchor;

网络侧设备确定用户设备的 SeNB需要发生变更之后，还包括：

35

更正页（细则第 91条）所述 anchor接收所述用户设备当前连接的 SeNB发送的所述第一密钥参数 KeNB; 或生成所述第一密钥参数 KeNB。

8、如权利要求 1~7任一所述的方法，其特征在于，所述配置命令至少包括如下一种信息：

指示所述用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；指示所述用户设备新增加 SeNB的命令；

指示所述用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；

指示所述用户设备使用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；

指示所述用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令。

9、一种通信方法，其特征在于，所述方法包括：

用户设备接收网络侧设备发送的配置命令，其中，所述配置命令是所述网络侧设备在确定所述用户设备的 SeNB 需要发生变更或需要为所述用户设备新增加 SeNB后发送的；

所述用户设备根据当前使用的第一密钥参数 KeNB 生成第二密钥参数 KeNB* , 并根据所述第二密钥参数 KeNB*计算得到密钥与新连接的 SeNB进行通信。

10、如权利要求 9所述的方法，其特征在于，所述 SeNB配置命令至少包括如下一种信息：

36

更正页（细则第 91条）指示所述用户设备使用当前连接的 SeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令。

11、如权利要求 9 所述的方法，其特征在于，所述配置命令具体为：指示所述用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；

所述用户设备与新接入的 SeNB进行通信之前，还包括：

所述用户设备终止与当前连接的 SeNB之间的通信。

12、一种网络侧设备，其特征在于，包括：

处理单元，用于确定用户设备的 SeNB需要发生变更或需要为所述用户设备新增加 SeNB;

所述处理单元，还用于向所述用户设备新连接的 SeNB发送由当前的第一密钥参数 KeNB生成的第二密钥参数 KeNB* , 以使新连接的 SeNB根据由所述第二密钥参数 KeNB*得到的密钥与所述用户设备进行通信；

发射单元，用于向所述用户设备发送配置命令，并通知所述用户设备根据当前的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 根据所述第二密钥参数 KeNB*得到的密钥与新连接的 SeNB进行通信。

13、如权利要求 12所述的网络侧设备，其特征在于，所述用户设备工作在双连接模式下，所述当前的第一密钥参数 KeNB为所述用户设备已连接的一基站当前正在使用的密钥参数。

14、如权利要求 13所述的网络侧设备，其特征在于，所述用户设备已连接的基站为所述用户设备工作在双连接模式下的主基站或第二基站。

15、如权利要求 13或 14所述的网络侧设备，其特征在于，所述用户设备的 SeNB需要发生变更具体为所述用户设备的 SeNB需要发生更新。

16、如权利要求 12〜： 15所述的网络侧设备，其特征在于，所述用户设备工作在锚点模式下，所述当前的第一密钥参数 KeNB为所述用户设备已连接的虚拟锚点 anchor或当前连接的 SeNB当前正在使用的密钥参数 KeNB。

17、如权利要求 16所述的网络侧设备，其特征在于，所述用户设备的 SeNB 发生变更具体为：

37

更正页（细则第 91条）使用新接入的 SeNB设备替换所述用户设备当前连接的 SeHB。

18、如权利要求 16〜17所述的网络侧设备，其特征在于，所述网络侧设备具体为所述 anchor;

所述网络侧设备还包括接收单元，用于在所述处理单元确定用户设备的 SeNB需要发生变更之后，接收所述用户设备当前连接的 SeNB发送的所述第一密钥参数 KeNB; 或生成所述第一密钥参数 KeNB。

19、如权利要求 12〜18所述的网络侧设备，其特征在于，所述配置命令至少包括如下一种信息：

指示所述用户设 ί吏用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；

KeNB*的命令。

20、一种用户设备，其特征在于，包括：

接收单元，用于接收网络侧设备发送的配置命令，其中，所述配置命令是所述网络侧设备在确定所述用户设备的 SeNB 需要发生变更或需要为所述用户设备新增加 SeNB后发送的；

处理单元，用于所述用户设备根据当前使用的第一密钥参数 KeNB生成第二密钥参数 KeNB* , 并根据所述第二密钥参数 KeNB*计算得到密钥与新连接的 SeNB进行通信。

21、如权利要求 20所述的用户设备，其特征在于，所述 SeNB配置命令至少包括如下一种信息：

38

更正页（细则第 91条）指示所述用户设备使用 MeNB的 KeNB生成新增加的 SeNB的 KeNB*的命令；

指示所述用户设 ^吏用 MeNB的 KeNB生成新接入的 SeNB的 KeNB*的命令；

22、如权利要求 21所述的用户设备，其特征在于，所述配置命令具体为：指示所述用户设备将新接入的 SeNB设备替换当前连接的 SeNB的命令；

所述处理单元还用于在新接入的 SeNB进行通信之前，终止与当前连接的 SeNB之间的通信。

39

更正页（细则第 91条)