WO2016074444A1

WO2016074444A1 - 一种密钥更新方法、装置和主传输节点tp

Info

Publication number: WO2016074444A1
Application number: PCT/CN2015/077540
Authority: WO
Inventors: 陈林; 张芳; 阮玉峰
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-11-13
Filing date: 2015-04-27
Publication date: 2016-05-19
Also published as: US10567172B2; CN105592455A; US20170331625A1; CN105592455B

Abstract

本发明公开了一种密钥更新方法、装置和主传输节点。所述方法包括：接收用于生成虚拟小区中传输节点的数据加密密钥的密钥参数(S102)；依据所述密钥参数和所述虚拟小区的小区标识生成所述虚拟小区中传输节点的数据加密密钥(S104)。通过应用本发明的密钥更新方法、装置和主传输节点，虚拟小区中不同传输节点密钥之更新的问题得以解决。

Description

一种密钥更新方法、装置和主传输节点TP

技术领域

本发明涉及移动通信领域，具体而言，涉及一种密钥更新方法、装置和主传输节点(TP)。

背景技术

随着移动通信技术的发展，实现第五代移动通信技术(5Generation，5G)的目标势在必行，在5G技术中，每区域1000倍的移动数据流量增长，每用户10到100倍的吞吐量增长，连接设备数10到100倍的增长，低功率设备10倍的电池寿命延长和端到端5倍延迟的下降，所以，5G中必须提出一些新的无线技术解决方案。其中，超密组网技术(Ultra-Dense Networks，UDN)是达成5G前两项指标的重要手段，UDN组网的关键技术是使得大量节点在密集范围内以同构或异构的方式有效地共存。为了解决超密组网场景下用户设备(UE)的频繁切换问题，现有技术中，5G研究中提出了虚拟小区的解决方案；虚拟小区的构建方式主要分为集中式和分布式两种。在虚拟小区工作模式下，UE的业务在不同时间可以承载在虚拟小区中的不同传输节点上。对同一个承载的不同数据包，分别在虚拟小区中的不同传输节点上传输，数据包在空口需要加密，但是，UE的加密复杂度较高，为了降低UE端实现的复杂度，避免UE端同时维护多套密钥安全上下文，虚拟小区中不同传输节点所使用的密钥需要统一。因此，在超密组网场景下，如何解决虚拟小区中不同传输节点密钥的更新问题亟待解决。

针对现有技术中在超密组网场景下如何解决虚拟小区中不同传输节点密钥的更新的问题，目前尚未提出有效的解决方案。

发明内容

本发明提供了一种密钥更新方法、装置和主传输节点(TP)，以至少解决现有技术在超密组网场景下如何解决虚拟小区中不同传输节点密钥的更新的问题。

根据本发明实施例的一个方面，提供了一种密钥更新方法，包括：接收用于生成虚拟小区中传输节点的数据加密密钥的密钥参数；依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中传输节点的数据加密密钥。

优选地，依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中传输节点的数据加密密钥包括：选择预定加密算法；依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中主传输节点(TP)的第一密钥；发送所述预定的加密算法和所述第一密钥至从传输节点；其中，所述预定的加密算法和所述第一密钥用于生成所述主传输节点和所述从传输节点的数据加密密钥。

优选地，在依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中传输节点的数据加密密钥之后还包括：接收来自所述从传输节点(TP)的密钥更新完成信号；向用户设备(UE)发送无线资源控制协议(RRC)连接重配消息，其中，所述RRC连接重配消息中携带有用于生成所述虚拟小区中传输节点的数据加密密钥的信息。

可选地，在满足以下触发条件至少之一，接收用于生成虚拟小区中传输节点的密钥的所述密钥参数：接收到来自核心网的更新信号，其中，所述更新信号中携带有所述密钥参数；接收到来自所述核心网的数据无线承载标识(DRB-ID)的重用信号；接收到来自从传输节点(TP)的分组数据汇聚协议序列号(PDCPSN)翻转信号。

优选地，上述任一项方法还包括：依据所述数据加密密钥进行数据传输。

根据本发明实施例的另一方面，提供了一种密钥更新装置，包括：第一接收模块，设置为接收用于生成虚拟小区中传输节点的数据加密密钥的密钥参数；生成模块，设置为依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中传输节点的数据加密密钥。

优选地，所述生成模块包括：选择单元，设置为选择预定加密算法；生成单元，设置为依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中主传输节点(TP)的第一密钥；和发送单元，设置为发送所述预定的加密算法和所述第一密钥至从传输节点；其中，所述预定的加密算法和所述第一密钥用于生成所述主传输节点和所述从传输节点的数据加密密钥。

优选地，所述装置还包括：第二接收模块，设置为接收来自所述从传输节点(TP)的密钥更新完成信号；发送模块，设置为向用户设备(UE)发送无线资源控制协议(RRC)连接重配消息，其中，所述RRC连接重配消息中携带有用于生成所述虚拟小区中传输节点的数据加密密钥的信息。

可选地，所述第一接收模块，还设置为在满足以下触发条件至少之一的情况下，接收设置为生成虚拟小区中传输节点的密钥的所述密钥参数：接收到来自核心网的更新信号，其中，所述更新信号中携带有所述密钥参数；接收到来自所述核心网的数据无线承载标识(DRB-ID)的重用信号；接收到来自从传输节点(TP)的分组数据汇聚协议序列号(PDCPSN)翻转信号。

优选地，上述任一项装置还包括：数据传输模块，设置为依据所述数据加密密钥进行数据传输。

根据本发明实施例的又一方面，提供了一种主传输节点(TP)，包括上述任一项优选的装置。

通过本发明实施例，采用接收用于生成虚拟小区中传输节点的密钥的数据加密密钥参数；依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中传输节点的数据加密密钥，解决了在超密组网场景下如何解决虚拟小区中不同传输节点密钥的更新的问题，进而达到了密钥统一的效果。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种密钥更新方法的流程图；

图2是根据本发明实施例的一种密钥更新装置的结构框图；

图3是根据本发明优选实施例的密钥更新装置的优选结构框图一；

图4是根据本发明优选实施例的密钥更新装置的优选结构框图二；

图5是根据本发明优选实施例的密钥更新装置的优选结构框图三；

图6是根据本发明实施例的一种主传输节点(TP)的结构框图；

图7是用于本发明实施例的分布式虚拟小区组网结构示意图；

图8是用于本发明实施例的集中式虚拟小区组网结构示意图；

图9是根据本发明优选实施方式1的密钥更新方法的流程图；

图10是根据本发明优选实施方式2的密钥更新方法的流程图；

图11是根据本发明优选实施方式3的密钥更新方法的流程图；

图12是根据本发明优选实施方式4的密钥更新方法的流程图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

在本实施例中提供了一种密钥更新方法，图1是根据本发明实施例的一种密钥更新方法的流程图，如图1所示，该流程包括如下步骤：

步骤S102，接收用于生成虚拟小区中传输节点的密钥的数据加密密钥参数；

步骤S104，依据密钥参数和虚拟小区的小区标识ID生成虚拟小区中传输节点的数据加密密钥。

通过上述步骤，通过接收密钥参数，依据密钥参数和虚拟小区的小区标识ID生成虚拟小区中传输节点的数据加密密钥，解决了虚拟小区中不同传输节点密钥的更新的问题，降低了UE端加/减密处理流程实现的复杂度。

优选地，依据密钥参数和小区的小区标识ID生成虚拟小区中传输节点的密钥包括：选择预定加密算法；依据密钥参数和虚拟小区的小区标识ID生成虚拟小区中主传输节点(TP)的第一密钥；发送预定的加密算法和第一密钥至从传输节点；其中，预定的加密算法和第一密钥用于生成主传输节点和从传输节点的数据加密密钥通过把虚拟小区ID作为产生传输节点密钥的参数，确保了传输节点密钥更新的及时性。

将主传输节点(TP)的第一密钥和预定的加密算法发送给从传输节点。加密算法ID由主控制器/主传输节点(CC/Master TP)选择，可降低由从传输节点(Slave TP)选择加密算法带来的信令交互开销。

可选地，在依据密钥参数和虚拟小区的小区标识ID生成虚拟小区中传输节点的数据加密密钥之后还包括：接收来自从传输节点(TP)的密钥更新完成信号；向用户设备(UE)发送无线资源控制协议(RRC)连接重配消息，其中，RRC连接重配消息中携带有用于生成虚拟小区中传输节点的数据加密密钥的信息。密钥的更新通过RRC连接重配消息通知UE，不需要与核心网进行信令交互；且与计数器(Small Cell Counter)释放/增加过程相比，业务的中断时延大大缩短。

可选地，在满足以下触发条件至少之一的情况下，接收用于生成虚拟小区中传输节点的数据加密密钥的密钥参数：接收到来自核心网的更新信号，其中，更新信号中携带有密钥参数；接收到来自核心网的数据无线承载标识(DRB-ID)的重用信号；接收到来自从传输节点(TP)的分组数据汇聚协议序列号(PDCPSN)翻转信号。

由于虚拟小区中CC/Master TP和各Slave TP的密钥统一，UE对每一无线承载只要保持一个密钥，降低了UE端加/减密处理流程实现的复杂度。

优选地，上述任一项方法还包括：依据所述数据加密密钥进行数据传输。通过统一的数据加密密钥，当数据进行传输时，在主传输节点和从传输节点进行传输时，运用相同的第一密钥和预定的加密算法通过密钥生成函数生成统一的数据加密密钥，达到了数据加密密钥统一的效果。

在本实施例中还提供了一种更新密钥装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图2是根据本发明实施例的一种密钥更新装置的结构框图，如图2所示，该装置包括：第一接收模块22和生成模块24，下面对该装置进行说明。

第一接收模块22，设置为接收用于生成虚拟小区中传输节点的数据加密密钥的密钥参数；生成模块24，连接至上述第一接收模块22，设置为依据密钥参数和虚拟小区的小区标识ID生成虚拟小区中传输节点的数据加密密钥。

通过上述装置，通过第一接收模块22接收用于生成虚拟小区中传输节点的数据加密密钥的密钥参数，通过生成模块24依据密钥参数和虚拟小区的小区标识ID生成虚拟小区中传输节点的数据加密密钥的密钥参数，解决了虚拟小区中不同传输节点密钥的更新的问题，降低了UE端加/减密处理流程实现的复杂度。

图3是根据本发明实施例的密钥更新装置中生成模块24的优选结构框图，如图3所示，该生成模块24包括：选择单元32、生成单元34和发送单元36，下面对该生成模块24进行说明。

选择单元32，设置为选择预定加密算法；生成单元34，连接至上述选择单元32，设置为依据密钥参数和虚拟小区的小区标识ID生成虚拟小区中主传输节点(TP)的数据加密密钥；发送单元36，连接至上述选择单元32，设置为发送预定的加密算法和第一密钥至从传输节点；其中，预定的加密算法和第一密钥用于生成主传输节点和从传输节点的数据加密密钥，通过把虚拟小区ID作为产生传输节点密钥的参数，确保了传输节点密钥更新的及时性。

将主传输节点(TP)的第一密钥和预定的加密算法发送给从传输节点，加密算法ID由CC/Master TP选择，可降低由Slave TP选择加密算法带来的信令交互开销。

图4是根据本发明实施例的密钥更新装置的优选结构框图，如图4所示，该装置除包括图2所示的所有模块外，还包括第二接收模块42和发送模块44，下面对该装置进行说明。

第二接收模块42，连接至上述生成模块24，设置为接收来自从传输节点(TP)的密钥更新完成信号；发送模块44，连接至上述第二接收模块42，设置为向用户设备(UE)发送无线资源控制协议(RRC)连接重配消息，其中，RRC连接重配消息中携带有用于生成虚拟小区中传输节点的数据加密密钥的信息。密钥的更新通过RRC连接重配消息通知UE，不需要与核心网进行信令交互；且与微小区计数器SCC(Small Cell Counter)释放/增加过程相比，业务的中断时延大大缩短。

优选地，上述第一接收模块22，还设置为在满足以下触发方式至少之一的情况下，接收用于生成虚拟小区中传输节点的数据加密密钥的密钥参数：接收到来自核心网的更新信号，其中，更新信号中携带有密钥参数；接收到来自核心网的数据无线承载标识(DRB-ID)的重用信号；接收到来自从传输节点(TP)的分组数据汇聚协议序列号(PDCPSN)翻转信号。

图5是根据本发明实施例的密钥更新装置的优选结构框图，如图5所示，该装置除包括图4所示的所有模块外，还包括数据传输模块52，下面对该装置进行说明。

数据传输模块52，设置为依据所述数据加密密钥进行数据传输。通过统一的数据加密密钥，当数据进行传输时，在主传输节点和从传输节点进行传输时，运用相同的第一密钥和预定的加密算法通过密钥生成函数生成统一的数据加密密钥，达到了数据加密密钥统一的效果。

图6是根据本发明实施例的主传输节点(TP)的结构框图；如图6所示，主传输节点(TP)60包括上述任一项所述的密钥更新装置62。

针对相关技术中的上述问题，在本实施例中，提供了一种虚拟小区密钥产生、传递的方法，下面对该方法进行简要说明，该方法包括如下步骤：

(1)当CC/Master TP侧收到核心网KeNB(功能同上述密钥参数)的更新指示、DRB-ID需要重用，Slave TP侧PDCP SN序列号翻转时，触发传输节点密钥TP-KeNB的更新过程；

(2)如果是CC/Master TP侧触发的安全密钥更新过程，则CC/Master TP根据最新的KeNB、SCC当前值和虚拟小区ID(Identity，标识)通过密钥产生函数(Key Derivation Function，KDF)生成新的传输节点密钥TP-KeNB；

(3)如果收到Slave TP的安全密钥更新请求消息，则CC/Master TP根据KeNB的当前值、SCC+1和虚拟小区ID通过密钥产生函数KDF生成新的传输节点密钥TP-KeNB；

(4)CC/Master TP通过安全密钥更新命令消息通知所有Slave TP更新密钥TP-KeNB，消息中还包括选择的加密算法ID；Slave TP根据最新的TP-KeNB、选择的安全算法通过密钥产生函数KDF生成新的加密密钥K_UPenc(同上述从传输节点密钥)；

(5)CC/Master TP收到所有Slave TP的安全密钥命令确认消息后，通过RRC连接重配置信息通知UE更新密钥；RRC连接重配置消息中包括SCC当前值、选择的安全算法和虚拟小区ID；

(6)UE首先根据从核心获取的KeNB最新值、SCC当前值和虚拟小区ID计算TP-KeNB；其次，根据新的TP-KeNB、选择的安全算法通过密钥产生函数KDF生成新的加密密钥K_UPenc；

(7)UE通过RRC连接重配置消息通知CC/Master TP密钥更新过程完成；

(8)CC/Master TP通过安全密钥更新确认消息通知所有Slave TP安全密钥更新过程完成。

其中，对每个UE的每个无线承载DRB-ID，单独产生一个传输节点密钥TP-KeNB；且对同一传输节点密钥和同一DRB-ID，PDCP序列号不能重复。

其中，CC/Master TP产生传输节点密钥时，输入参数中除了使用从核心网获取的密钥KeNB、微小区计数器SCC当前值外，还包括虚拟小区ID；为超密组网场景传输节点密钥的及时更新提供了保证。

其中，产生加密密钥的加密算法ID由CC/Master TP统一选择，可降低由Slave TP选择加密算法带来的信令交互开销。

其中，可以同时更新所有Slave TP的传输节点密钥，保证所有Slave TP、UE使用的传输节点密钥保持一致。

其中，虚拟小区中所有成员包括CC/Master TP和各Slave TP具有独立的PDCP层，且使用相同的加密密钥。

其中，使用RRC连接重配置过程更新传输节点密钥，与核心网之间没有信令交互，且与通过Small Cell的释放/增加过程相比，业务中断的时间大大缩短，可以提高用户体验。

通过上述实施例及优选实施方式，通过把虚拟小区ID作为产生传输节点密钥的参数，确保了传输节点密钥更新的及时性。加密算法ID由CC/Master TP选择，可降低由Slave TP选择加密算法带来的信令交互开销。密钥的更新通过RRC连接重配消息通知UE，不需要与核心网进行信令交互；且与Small Cell释放/增加过程相比，业务的中断时延大大缩短。由于虚拟小区中CC/Master TP和各Slave TP的密钥统一，UE对每一无线承载只要保持一个密钥，降低了UE端加/减密处理流程实现的复杂度。

下面对本发明优选实施方式进行说明。

图7是根据本发明优选实施方式的分布式虚拟小区组网结构示意图；如图7所示，传输节点(TP)1、TP2、TP3和TP4组成一个虚拟小区，各传输节点具有独立的PDCP层；其中TP1是虚拟小区的主控站点Master TP，其它站点是虚拟小区的服务站点Slave TP。Master TP是高层的控制锚点，它产生所有的高层控制信令，执行所有的调度和无线资源分配，管理Slave TP密钥的更新，解决资源分配过程中的冲突；Slave TP的作用是根据Master TP的指示进行数据的协作传输。传输节点与核心网之间通过有线回程线路Backhaul接口相连，TP与TP之间协作通过无线前程线路(Fronthaul)交互控制信令实现。虚拟小区中各基站之间共享用户标识(User Identifier)、认证/授权密钥、L2连接标识符和必需的服务上下文等信息。Master TP负责用户的控制面和用户面数据的处理，Slave TP仅负责用户的数据面处理。

图8是根据本发明优选实施方式的集中式虚拟小区组网结构示意图，如图8所示，集中式虚拟小区的组网集中式虚拟小区具有一个中央控制器，是一个逻辑节点，当有宏站存在时通常可以放在宏站实现。中央控制器负责控制面数据的处理，Slave TP负责用户面数据的处理，各Slave TP和中央控制器之间通过反程(Backhaul)链路相连。中央控制器统一负责各Slave TP资源的调度和分配、安全密钥的更新等。

图9是根据本发明优选实施方式1的密钥更新方法的流程图，如图9所示，虚拟小区传输节点密钥TP-KeNB、加密密钥K_UPenc产生的框架图如图9所示。Master TP/CC根据从核心网获取的密钥KeNB、SCC计数器当前值和虚拟小区号VC-ID，输入密钥生成函数KDF产生传输节点密钥TP-KeNB。计算完成后，Master TP/CC把传输节点密钥TP-KeNB和选择的加密算法通知各Slave TP，Slave TP根据TP-KeNB和加密算法计算加密密钥K_UPenc。以上过程结束后，Master TP/CC把SCC计数器当前值、加密算法和虚拟小区号VC-ID通知UE，供UE计算传输节点密钥TP-KeNB和加密密钥K_UPenc。

图10是根据本发明优选实施方式2的密钥更新方法的流程图，如图10所示，给出了针对同一UE不同的无线承载DRB-ID，Master TP/CC、Slave TP和UE各自工作过程。图中给出了针对同一UE不同的DRB-ID，最终生成不同的加密密钥K_UPenc的过程。

图11是根据本发明优选实施方式3的密钥更新方法的流程图，如图11所示，该方法包括：

步骤S1101：Master TP/CC收到核心网KeNB更新指示或DRB-ID需要重用，触发安全密钥更新过程；

步骤S1102：Master TP/CC根据新的KeNB值、SCC计数器加1后的当前值和虚拟小区ID，输入密钥产生函数KDF生成新的传输节点密钥TP-KeNB；Master TP/CC选择新的加密算法；

步骤S1103-S1105：Master TP/CC分别向Slave TP1、Slave TP2、……Slave TPn发送密钥更新命令；密钥更新命令中包含新生成的传输节点密钥TP-KeNB和选择的加密算法；

步骤S1106-S1108：Slave TP1、Slave TP2、……Slave TPn根据收到的新传输节点密钥和加密算法，输入密钥产生函数KDF生成新的加密密钥K_UPenc；

步骤S1109-S1111：Slave TP1、Slave TP2、……Slave TPn计算加密密钥完成后，向Master TP发送安全密钥更新确认消息；

步骤S1112：Master TP/CC收到所有Slave TP的安全密钥更新确认消息后，向UE发送RRC连接重配消息；消息中包含SCC计数器当前值、加密算法和虚拟小区ID；

步骤S1113：UE基于收到的RRC连接重配置消息，触发计算传输节点密钥TP-KeNB，同时计算加密密钥K_UPenc；计算传输节点密钥的过程同Master TP/CC，计算加密密钥的过程同Slave TP；

步骤S1114：UE向Master TP/CC发送RRC连接重配置完成消息；

步骤S1115：Master TP/CC向各Slave TP发送安全密钥更新完成确认消息，以确认密钥更新过程完成。

图12是根据本发明优选实施方式4的密钥更新方法的流程图；如图12所示，该方法包括：

步骤S1201：Slave TP1PDCP序列号翻转，触发安全密钥更新流程；

步骤S1202：Slave TP1向Master TP/CC发送密钥更新请求消息；

步骤S1203：Master TP/CC根据KeNB的当前值、SCC计数器加1后的当前值和虚拟小区ID，输入密钥产生函数KDF生成新的传输节点密钥TP-KeNB；Master TP/CC选择新的加密算法；

步骤S1204-S1206：Master TP/CC分别向Slave TP1、Slave TP2、……Slave TPn发送密钥更新命令；密钥更新命令中包含新生成的传输节点密钥TP-KeNB和加密算法；

步骤S1207-S1209：Slave TP1、Slave TP2、……Slave TPn根据收到的新传输节点密钥和加密算法，输入密钥产生函数KDF生成加密密钥K_UPenc；

步骤S1210-S1212：Slave TP1、Slave TP2、……Slave TPn计算加密密钥完成后，向Master TP发送安全密钥更新确认消息；

步骤S1213：Master TP/CC收到所有Slave TP的安全密钥更新确认消息后，向UE发送RRC连接重配消息；消息中包含SCC计数器当前值、加密算法和虚拟小区ID；

步骤S1214：UE基于收到的RRC连接重配置消息，触发计算传输节点密钥TP-KeNB，同时计算加密密钥K_UPenc；计算传输节点密钥的过程同Master TP/CC，计算加密密钥的过程同Slave TP；

步骤S1215：UE向Master TP/CC发送RRC连接重配置完成消息；

步骤S1216：Master TP/CC向各Slave TP发送安全密钥更新完成确认消息，以确认密钥更新过程完成。

工业实用性：通过上述描述可知，本发明实施例解决了在超密组网场景下如何解决虚拟小区中不同传输节点密钥的更新的问题，进而达到了密钥统一的效果。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种密钥更新方法，包括：

接收用于生成虚拟小区中传输节点的数据加密密钥的密钥参数；

依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中传输节点的数据加密密钥。
根据权利要求1所述的方法，其中，依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中传输节点的数据加密密钥包括：

选择预定加密算法；

依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中主传输节点TP的第一密钥；

发送所述预定加密算法和所述第一密钥至从传输节点；

其中，所述预定加密算法和所述第一密钥用于生成所述主传输节点和所述从传输节点的数据加密密钥。
根据权利要求1所述的方法，其中，在依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中传输节点的数据加密密钥之后，还包括：

接收来自所述从传输节点TP的密钥更新完成信号；

向用户设备UE发送无线资源控制协议RRC连接重配消息，其中，所述RRC连接重配消息中携带有用于生成所述虚拟小区中传输节点的数据加密密钥的信息。
根据权利要求1所述的方法，其中，在满足以下触发条件至少之一的情况下，接收用于生成虚拟小区中传输节点的数据加密密钥的所述密钥参数：

接收到来自核心网的更新信号，其中，所述更新信号中携带有所述密钥参数；

接收到来自所述核心网的数据无线承载标识DRB-ID的重用信号；

接收到来自从传输节点TP的分组数据汇聚协议序列号PDCPSN翻转信号。
根据权利要求1至4任一项所述的方法，其中，该方法还包括：

依据所述数据加密密钥进行数据传输。
一种密钥更新装置，包括：

第一接收模块，设置为接收用于生成虚拟小区中传输节点的数据加密密钥的密钥参数；

生成模块，设置为依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中传输节点的数据加密密钥。
根据权利要求6所述的装置，其中，所述生成模块包括：

选择单元，设置为选择预定加密算法；

生成单元，设置为依据所述密钥参数和所述虚拟小区的小区标识ID生成所述虚拟小区中主传输节点TP的第一密钥；

发送单元，用于发送所述预定加密算法和所述第一密钥至从传输节点；

其中，所述预定加密算法和所述第一密钥用于生成所述主传输节点和所述从传输节点的数据加密密钥。
根据权利要求6所述的装置，其中，还包括：

第二接收模块，设置为接收来自所述从传输节点TP的密钥更新完成信号；

发送模块，设置为向用户设备UE发送无线资源控制协议RRC连接重配消息，其中，所述RRC连接重配消息中携带有用于生成所述虚拟小区中传输节点的数据加密密钥的信息。
根据权利要求6所述的装置，其中，所述第一接收模块，还设置为在满足以下触发条件至少之一的情况下，接收用于生成虚拟小区中传输节点的数据加密密钥的所述密钥参数：

接收到来自核心网的更新信号，其中，所述更新信号中携带有所述密钥参数；

接收到来自所述核心网的数据无线承载标识DRB-ID的重用信号；

接收到来自从传输节点TP的分组数据汇聚协议序列号PDCPSN翻转信号。
根据权利要求6至9任一项所述的装置，其中，还包括：

数据传输模块，设置为依据所述数据加密密钥进行数据传输。
一种主传输节点TP，包括权利要求6至10中任一项所述的装置。