用于双连接的安全密钥生成制造技术

用于安全生成加密密钥集合以被使用用于在双连接场景中的无线终端与辅基站之间的通信的技术。一种示例方法包括：基于锚基站密钥来生成(810)用于辅基站的辅安全密钥。所生成的辅安全密钥被发送(820)给辅基站，以用于由辅基站在对被发送给无线终端的数据流量进行加密中或者在生成一个或多个附加辅安全密钥中使用，该一个或多个附加辅安全密钥用于对当无线终端双连接到锚基站和辅基站时被发送给无线终端的数据流量进行加密。使用(830)锚基站密钥、或者从锚基站密钥导出的密钥用于对由锚基站发送给无线终端的数据进行加密。

Security key generation for double connections

【技术实现步骤摘要】
用于双连接的安全密钥生成分案说明本申请是申请日为2014年1月30日，申请号为201480006530.5，题为“用于双连接的安全密钥生成”的中国专利申请的分案申请。
本文所公开的技术一般性地涉及无线电信网络，并且更特别地涉及用于处置双连接场景中的安全密钥的技术，双连接场景即移动终端同时连接到多个基站的场景。
技术介绍
在典型的蜂窝无线电系统中，移动终端(也称为用户设备UE、无线终端、和/或移动台)经由无线电接入网络(RAN)与一个或多个核心网络进行通信，该一个或多个核心网络提供对数据网络(诸如互联网)和/或对公共交换电信网络(PSTN)的接入。RAN覆盖被划分为小区区域的地理区域，每个小区区域由无线电基站(也称为基站、RAN节点、“NodeB”、和/或增强型NodeB或“eNodeB”)来服务。小区区域是一个地理区域，在该地理区域上，无线电覆盖由位于基站站点的基站装备来提供。基站通过无线电通信信道来与基站的范围内的无线终端进行通信。蜂窝通信系统运营商已经开始供应基于例如WCDMA(宽带码分多址)、HSFA(高速分组接入)、以及长期演进(LTE)无线技术的移动宽带数据服务。由被设计用于数据应用的新设备的引入所推动，终端用户性能要求持续增加。对移动宽带的增加的采用已经导致了由高速无线数据网络处置的流量上的显著增长。因此，期望有允许蜂窝运营商更高效地管理网络的技术。改进下行链路性能的技术可以包括多输入多输出(MIMO)多天线发射技术、多流通信、多载波部署，等等。因为每链路的频谱效率可能正接近于理论极限，所以接下来的步骤可以包括改进每单位区域的频谱效率。例如，通过改变传统网络的拓扑结构以提供遍及小区的用户体验的增加的一致性，可以实现对于无线网络而言的进一步的效率。一种方法是通过对所谓的异构网络的部署。同构网络是采用所规划的布局的基站(也称为NodeB、增强型NodeB、或者eNB)的网络，其为用户终端(也称为用户设备节点UE、和/或无线终端)的集合提供通信服务，其中所有的基站通常具有类似的发射功率电平、天线图案、接收机本底噪声、和/或通向数据网络的回程连接。此外，同构网络中的所有基站一般可以向网络中的用户终端供应不受局限的接入，并且每个基站可以服务于大致相同数目的用户终端。在这个分类中的当前的蜂窝无线通信系统可以包括，例如，GSM(全球移动通信系统)、WCDMA、HSDPA(高速下行链路分组接入)、LTE(长期演进)、WiMAX(全球微波接入互操作性)，等等。在异构网络中，低功率基站(也称为低功率节点(LPN)、微节点、微微节点、毫微微节点、中继节点、远程无线电单元节点、RRU节点、小小区、RRU，等等)可以连同所规划的和/或规律放置的宏基站一起被部署或者被部署作为对所规划的和/或规律放置的宏基站的覆叠。宏基站(MBS)因此可以在相对大的宏小区区域上提供服务，并且每个LPN可以为该相对大的宏小区区域内的相应的相对小的LPN小区区域提供服务。相比于由宏基站发射的功率(对于典型的宏基站而言其可以是40瓦特)，由LPN发射的功率可以相对地小，例如2瓦特。LPN可以被部署，例如，以减少/消除由宏基站提供的覆盖中的(多个)覆盖空洞，和/或以从宏基站卸载流量，诸如以增加高流量地点或者所谓的热点上的容量。归因于它的较低发射功率和较小物理尺寸，LPN可以为站点获取供应更大的灵活性。因此，异构网络的特征是：对高功率节点(HPN)(诸如宏基站)以及低功率节点(LPN)(诸如所谓的微微基站或者微微节点)的多层化的部署。异构网络的给定地区中的LPN和HPN可以操作在相同的频率上，在该情况中，该部署可以被称为共信道的异构部署，或者操作在不同的频率上，在该情况中，该部署可以被称为频率间或者多载波或者多频率的异构部署。第三代合作伙伴计划(3GPP)正在继续开发如下的规范，这些规范针对被称为LTE(长期演进)的第四代无线电信系统的情境中的高级的和改进的特征。在LTE规范的发布12和更高的发布中，将会在“小小区增强”行动的伞之下考虑到与低功率节点和异构部署有关的进一步增强。这些行动中的一些行动将聚焦于实现宏层与低功率层之间的甚至更高程度的交互工作，包括通过使用一组技术以及被称为“双层连接”或简称为“双连接”的技术。如图1中所示出的，双连接意味着设备具有通向宏层和低功率层两者的同时连接。图1图示了异构网络的一个示例，其中移动终端101使用多个流，例如，来自宏基站(或者“锚eNB”)401A的锚流以及来自微微基站(或者“辅eNB”)401B的辅流。注意，术语可能变化-如图1中所示出的配置中的锚基站和辅基站有时可以称为“主”基站和“从”基站或者根据其他的名称。应当进一步注意，尽管术语“锚/辅”和“主/从”暗示了双连接场景中所牵涉到的在基站之间的层级关系，但是与双连接相关联的原理和技术中的许多原理和技术可以被应用到(例如，在对等基站之间)不存在这种层级关系的部署场景。因此，尽管本文中使用了术语“锚基站”和“辅基站”，但是应当理解，本文所描述的技术和装置不限制于使用该术语的实施例，它们也不必然限制于具有图1所暗示的层级关系的实施例。双连接可以意味着，在各种实施例和/或场景中：·控制与数据分离，其中例如在经由低功率层来提供高速数据连接的同时经由宏层来提供用于移动性的控制信令。·下行链路与上行链路之间的分离，其中经由不同的层来提供下行链路和上行链路连接。·针对控制信令的分集，其中可以经由多个链路来提供无线电资源控制(RRC)信令，进一步增强了移动性性能。包括双连接的宏辅助可以提供若干益处：·对于移动性的增强的支持-通过维持宏层中的移动性锚点，如上面所描述的，有可能维持宏层与低功率层之间、以及低功率节点之间的无缝移动性。·来自低功率层的低开销发射-通过仅发射为了个体的用户体验所要求的信息，例如，有可能避免来自于在局部区域层内支持空闲模式移动性的开销。·能量高效的负载平衡-通过在没有进行中的数据发射时关闭低功率节点，有可能减少低功率层的能量消耗。·每链路的优化一通过分离地针对上行链路和下行链路来选择终接点，能够针对每个链路来优化节点选择。在使用双连接中的问题之一是如何将数据无线电承载(DRB)分别映射到锚流和辅流上。一种用于在如图1中所示出的两个基站之间拆分DRB的选择是，将控制平面(RRC)保持在锚eNB中并且将PDCP实体进行分布，使得它们中的一些在锚eNB中并且它们中的一些在辅eNB中。如下面以进一步细节所讨论的，这种方法可以产生一些重要的系统效率益处。然而，这种方法造成了与安全密钥的处置有关的问题，这些安全密钥被使用用于向移动终端和从移动终端发射的数据的机密性和完整性保护。
技术实现思路
在LTE系统中，无线电资源控制(RRC)层利用密码密钥和配置数据，诸如指示在具有对应的无线电承载的连接中应当应用哪些安全算法的数据，来配置分组数据汇聚协议(PDCP)实体。在双连接场景中，RRC层可以排他地由锚节点来处置，而PDCP实体可以在锚基站节点和辅基站节点中的每个中加以管理。因为锚基站和辅基站可以被实施在物理上分离的节点中，所以RRC能够经由内部的应用程序接口(API)来配置PDCP实体的假设不再适用。本文所公开的示例实施例针对安全生成加密密钥的集本文档来自技高网...

【技术保护点】
一种网络节点中的方法，用于针对无线终端与锚基站之间以及所述无线终端与辅基站之间的受保护通信的安全密钥生成，其中所述无线终端双连接到或者即将双连接到所述锚基站和所述辅基站，所述方法包括：至少部分地基于锚基站密钥来生成(810)用于所述辅基站的辅安全密钥；向所述辅基站发送(820)所生成的辅安全密钥，以由所述辅基站用于对被发送给所述无线终端的数据流量进行加密或者用于生成一个或多个附加辅安全密钥，所述一个或多个附加辅安全密钥用于对当所述无线终端双连接到所述锚基站和所述辅基站时由所述辅基站发送给所述无线终端的数据流量进行加密；以及使用(830)所述锚基站密钥、或者从所述锚基站密钥导出的密钥，对当所述无线终端双连接到所述锚基站和所述辅基站时由所述锚基站发送给所述无线终端的数据进行加密。

【技术特征摘要】
2013.01.30 US 61/758,3731.一种网络节点中的方法，用于针对无线终端与锚基站之间以及所述无线终端与辅基站之间的受保护通信的安全密钥生成，其中所述无线终端双连接到或者即将双连接到所述锚基站和所述辅基站，所述方法包括：至少部分地基于锚基站密钥来生成(810)用于所述辅基站的辅安全密钥；向所述辅基站发送(820)所生成的辅安全密钥，以由所述辅基站用于对被发送给所述无线终端的数据流量进行加密或者用于生成一个或多个附加辅安全密钥，所述一个或多个附加辅安全密钥用于对当所述无线终端双连接到所述锚基站和所述辅基站时由所述辅基站发送给所述无线终端的数据流量进行加密；以及使用(830)所述锚基站密钥、或者从所述锚基站密钥导出的密钥，对当所述无线终端双连接到所述锚基站和所述辅基站时由所述锚基站发送给所述无线终端的数据进行加密。2.根据权利要求1所述的方法，其中所生成的辅安全密钥包括用于生成一个或多个附加辅安全密钥的基本辅安全密钥，所述一个或多个附加辅安全密钥用于对由所述辅基站发送给所述无线终端的数据流量进行加密。3.根据权利要求2所述的方法，其中使用(830)所述锚基站密钥包括：从所述锚基站密钥导出加密密钥、或者完整性密钥、或者两者，以及使用所导出的密钥来保护当所述无线终端双连接到所述锚基站和所述辅基站时由所述锚基站发送给所述无线终端的数据。4.根据权利要求1-3中任一项所述的方法，其中生成(810)所述辅安全密钥包括：使用单向函数从所述锚基站密钥导出所述辅安全密钥。5.根据权利要求4所述的方法，其中所述单向函数是HMAC-SHA-256密码函数。6.根据权利要求1-4中任一项所述的方法，其中针对在所述无线终端与所述辅基站之间建立的多个数据无线电承载中的每个数据无线电承载来重复所述生成(810)，使得得到的辅安全密钥对于每个数据无线电承载是不同的。7.一种网络节点，用于针对无线终端与锚基站之间的受保护通信的安全密钥生成，其中所述无线终端双连接到或者即将双连接到所述锚基站和辅基站，所述网络节点(401A)包括被配置为与所述辅基站进行通信的接口电路(440A)并且还包括处理电路(420A、430A)，所述处理电路(420A、430A)被配置为：至少部分地基于锚基站密钥来生成用于所述辅基站的辅安全密钥；向所述辅基站发送所生成的辅安全密钥，以由所述辅基站用于对被发送给所述无线终端的数据流量进行加密或者用于生成一个或多个附加辅安全密钥，所述一个或多个附加辅安全密钥用于对由所述辅基站发送给所述无线终端的数据流量进行加密，其中所述数据流量是当所述无线终端双连接到所述锚基站和所述辅基站时发送的；以及使用所述锚基站密钥或者从所述锚基站密钥导出的密钥，对当所述无线终端双连接到所述锚基站和所述辅基站时由所述锚基站发送给所述无线终端的数据进行加密。8.根据权利要求7所述的网络节点，其中，所述处理电路还被配置为执行根据权利要求2-6中任一项所述的方法。9.一种计算机程序产品，包括用于网络节点中的处理器的程序指令...

【专利技术属性】
技术研发人员：S·瓦格尔，V·维尔基，O·特耶布，N·约翰逊，K·诺曼，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE