技术领域

本发明涉及无线通信领域， 尤其涉及一种密钥隔离 （ key isolation ) 方法及设备。 发明背景

随着数据业务的速率和容量不断增长， 分层组网技术被引入来提高 数据速率， 增加网络容量和降低业务的成本。 除了宏基站（macro eNB ) 之外， 分层组网技术还提供了低功率的本地基站 （local eNB )。 本地基 站覆盖的范围较小， 包括 Femto/Pico/Relay等形式。

由于本地基站的覆盖范围小，使得 UE ( User Equipment, 用户设备 ) 的切换频率和次数都大大增加。 因此为了降低 UE在宏基站管理的宏小 区和本地基站管理的小小区 （small cell )之间进行切换的频率， 一种用 户面和控制面分离的网络部署方式被引入。 如图 1所示， 宏小区提供基 础覆盖， 小小区提供热点 （hotspot )覆盖， 小小区与宏小区之间存在数 据 /信令接口 （有线 /无线接口）。 当连接到宏基站的 UE接近本地基站控 制的小区时， 可以将用户面转移到本地基站以获得本地基站 提供的质量 更好的服务； 当 UE远离本地基站控制的小区时， 需要将用户面转换到 宏基站控制的小区， 以保持无线连接。

在以上承载分离的网络架构下， 当 UE在只有宏小区覆盖的区域， UE的控制面连接 ( control plane )和用户面连接 ( user plane ) 即数据无 线承载（DRB: Data Radio Bearer )都在宏基站； 当 UE移动到宏小区和 小小区重叠覆盖区域时， UE 的全部或者部分用户面连接被转移到本地 基站， 以获得更高的业务传输速率， 控制面连接仍然保持在宏基站， 以 防止控制面连接切换失败造成 UE掉话。 发明内容

本发明实施例提供了一种密钥隔离方法及设备 ， 用以在承载分离网 络中实现基站间的密钥隔离， 以保证用户设备通信安全。

本发明实施例提供的密钥隔离方法， 包括：

宏基站在判决对用户设备的用户面承载进行切 换后， 根据目标基站 的区别参数， 以及所述宏基站与所述用户设备共享的临时密 钥， 生成所 述目标基站与所述用户设备通信时使用的密钥 ；

所述宏基站将所述区别参数发送给所述用户设 备， 以使所述用户设 备根据所述区别参数以及所述用户设备与所述 宏基站共享的临时密钥， 生成所述用户设备与所述目标基站通信时使用 的密钥。

本发明实施例提供的宏基站设备， 包括： 切换判决模块、 密钥管理 模块、 密钥生成模块和第一发送模块， 其中：

切换判决模块， 用于对用户设备进行用户面承载切换判决； 密钥管理模块， 用于在所述切换判决模块判决对用户设备进行 用户 面承载切换时， 向所述密钥生成模块发送生成密钥的指示， 并向所述第 一发送模块发送传输所述区别参数的指示；

密钥生成模块， 用于按照所述密钥管理模块的指示， 根据目标基站 的区别参数， 以及所述宏基站设备与所述用户设备共享的临 时密钥， 生 成所述目标基站与所述用户设备通信时使用的 密钥；

第一发送模块， 用于根据所述密钥管理模块的指示， 将所述区别参 数发送给所述用户设备， 以使所述用户设备根据所述区别参数以及所述 用户设备与所述宏基站共享的临时密钥， 生成所述用户设备与所述目标 基站通信时使用的密钥。 根据本发明实施例，当用户设备的用户面承载 在基站间进行切换时， 宏基站在为目标基站生成空口会话密钥 （ session key on radio interface ) 时， 使用了该目标基站区别于其它基站的参数， 因此， 能够保证宏基站 为不同的基站所生成的空口会话密钥各不相同 ， 从而实现基站间的密钥 隔离。 附图简要说明

图 1为一种用户面和控制面分离的网络架构示意� �。

图 2为一种控制面和用户面分离架构的接口关系� �意图。

图 3为一种控制面和用户面分离架构中的 local eNB的用户面协议栈 的示意图。

图 4为另一种控制面和用户面分离架构的接口关� �示意图。

图 5为一种控制面和用户面分离架构中的 local eNB的控制面协议栈 的示意图。

图 6为本发明实施例提供的密钥隔离方法的流程� �意图。

图 7为本发明实施例提供的密钥隔离方法的流程� �意图。

图 8为本发明实施例提供的密钥隔离方法的流程� �意图。

图 9为本发明实施例提供的基站设备的结构示意� �。 实施本发明的方式

图 2示出了一种采用控制面与用户面分离技术的� �络架构，UE同时 连接到两个 eNB。 图中 M-L接口表示 macro eNB与 local eNB之间的逻 辑接口， 可以是预先定义的， 也可以利用已经标准化的 X2接口。 UE的 SRB ( Signaling Radio Bearer, 信令无线承载）保留在 macro eNB上， 而 所有或部分 DRB的 PDCP ( Packet Data Convergence Protocol, 分组数据 汇聚协议）/RLC( Radio Link Control,无线连接控制）/MAC( Media Access Control,媒体接入控制 ) /PHY ( Physical layer,物理层 )部分保持在 local eNB上。 UE的上行数据到达 local eNB之后直接发往 SGW(服务网关）， UE的下行数据到达 SGW之后直接发往 local eNB, 从而减少了 macro eNB对 UE数据包的处理负担。

在图 2所示的架构中， local eNB具有完整的用户面协议栈（ protocol stack ), 图 3示出了 UE与 local eNB之间的用户面协议栈。

图 4示出了另一种控制面与用户面分离架构的接� �关系示意图。 其 中， macro eNB具有完整的用户面和控制面协议栈。 macro eNB与 UE 之间的用户面协议栈如图 3所示。 local eNB具有完整的用户面协议栈， 以及部分 RRC ( Radio Resource Control,无线资源控制）协议功能。 local eNB的用户面协议栈也如图 3所示， 而控制面协议栈如图 5所示， 其中 "Sub RRC层" 表示只含有部分 RRC功能的协议栈， 例如仅包含无线 资源管理功能。

在图 2和图 4所示的两种采用控制面与用户面分离技术的� �络架构 下， local eNB上存在 PDCP层， 因此 local eNB需要获得 UE的加密密 钥 （ encryption key )。 对于图 4所示架构， local eNB还需要获得对 RRC 消息进行完整性保护的密钥 （integrity key)。

如果一个 macro eNB覆盖范围内部署了多个 local eNB,并且有可能 local eNB之间存在重叠覆盖区， 那么 UE有可能在 local eNB之间进行 切换， 或是在 macro eNB和 local eNB之间进行切换。 local eNB作为一 个不安全的接入网节点，有可能被黑客攻破。 若 UE在连接某个 local eNB 时， 还连接了其他基站， 如 macro eNB和其它 local eNB , 为了保证该某 个 local eNB被攻破后不影响 UE在其他基站上的通信安全，需要在 local eNB之间以及 macro eNB和 local eNB之间进行密钥隔离（ key isolation )。 图 6为本发明实施例提供的密钥隔离方法的流程� �意图，如图所示， 该流程可包括以下步骤。

步骤 601 , macro eNB根据 UE发送的测量 4艮告 ( measure report )进 行用户面 7?载切换判决 （ handover decision ), 判决结果为将 UE的用户 面承载切换到目标 local eNB。

步骤 602, macro eNB根据该目标 local eNB的区别参数，以及 macro eNB与该 UE共享的临时密钥 （也称为中间密钥）， 生成目标 local eNB 与该 UE通信时使用的密钥， 即空口会话密钥。

在本发明实施例中， 不同的 local eNB具有不同的区别参数， 因此目 标 local eNB的区别参数可以区别该目标 local eNB与其它 eNB。

该临时密钥可以是 KeNB或下一跳密钥 （Next Hop, NH )。

步骤 603 , macro eNB将步骤 602中生成的空口会话密钥发送给该目 标 local eNB进行保存。

在本发明实施例中， macro eNB可通过用户面切换请求消息发送该 空口会话密钥给该目标 local eNB ,也可通过本发明实施例预先定义的消 息发送该空口会话密钥给该目标 local eNB。

步骤 604, macro eNB将该目标 local eNB的区别参数发送给该 UE。 在本发明实施例中， macro eNB可通过用户面切换命令将该区别参 数发送给该 UE。

步骤 605 ,该 UE根据接收到的区别参数，以及该 UE与该 macro eNB 共享的临时密钥，生成该 UE与该目标 local eNB通信时使用的密钥， 即 空口会话密钥。

后续， UE与该目标 local eNB进行通信时， 即可使用与该 local eNB 之间的空口会话密钥对传输的数据进行加密处 理。 由于 macro eNB在为 目标 local eNB生成空口会话密钥时， 使用了该目标 local eNB的区别参 数， 因此， 能够保证 macro eNB为不同的 local eNB所生成的空口会话 密钥各不相同， 从而实现基站间的密钥隔离。

在本发明实施例中， 以上流程可以适用于将 UE 的用户面承载从 macro eNB切换到 local eNB的过程， 或者将 UE的用户面承载从 macro eNB覆盖范围内的一个 local eNB切换到另一个 local eNB的过程。

如果步骤 601中 macro eNB判决将 UE的用户面承载从 local eNB切 换到 macro eNB, 则步骤 602中 macro eNB生成的空口密钥为该 macro eNB与该 UE间的空口会话密钥， 且无需发送给 local eNB , 即不执行步 骤 603。步骤 604中 UE生成的空口会话密钥将用于该 UE与该 macro eNB 的通信过程。 这种情况下， 由于 macro eNB在生成空口会话密钥时使用 了该 macro eNB的区别参数， 能够区别该 macro eNB与其它基站， 如其 他 macro eNB和 local eNB ,因此保证了该 macro eNB所生成的空口会话 密钥与为该 macro eNB下的其它 local eNB所生成的空口会话密钥， 以 及与其它 macro eNB所生成的空口会话密钥各不相同， 从而实现基站间 的密钥隔离。

下面结合具体切换场景， 对本发明实施例进行描述。

根据本发明实施例， UE 的部分或者全部用户面承载可以从 macro eNB切换到 local eNB。如图 7所示， 一种可能的用户切换流程包括如下 步骤 1~16。

1~2、 macro eNB对 UE进行测量配置， UE后继根据收到的测量配 置信息执行测量。 UE在 macro eNB为 UE分配的上行资源上， 上报测 量结果， 该测量结果将用于辅助 macro eNB进行用户面切换判决。

3、 macro eNB进行用户面切换判决。 若 macro eNB决定将 UE的用 户面承载从 macro eNB转移到目标 local eNB,则 macro eNB生成随机数， 利用临时密钥、 随机数以及加密算法计算出加密密钥。 其中该临时密钥 可以是 KeNB或者最新的 NH。

4、 macro eNB向目标 local eNB发送用户面切换请求消息， 该用户 面切换请求消息中除了包含切换准备相关信息 以外， 还包含 macro eNB 计算出的加密密钥。

macro eNB 也可将生成的加密密钥通过一个单独的密钥通 知过程

(图 7中未示出）发送给目标 local eNB , 而不是携带于用户面切换请求 消息发送给目标 local eNB。

根据本发明实施例，在本步骤中， macro eNB还可以向目标 local eNB 发送用户面切换请求消息， 该消息中除了包含切换准备相关信息以外， 还包含计算加密密钥所需的临时密钥、 随机数以及指示加密算法的信 息。

macro eNB也可将计算加密密钥所需的临时密钥、 随机数以及指示 加密算法的信息通过一个单独的密钥通知过程 （图 7中未示出）发送给 目标 local eNB , 而不是携带于用户面切换请求消息发送给目标 local eNB。

5、目标 local eNB参考该消息，根据待接纳的承载的 QoS ( Quality of Service, 服务质量）信息进行接纳判决， 并在允许接纳该 UE的情况下， 进行底层配置以准备切换。

目标 local eNB 还将该加密密钥配置到本地与该 UE 载对应的 PDCP实体， 用于 UE用户面承载转移成功后， 目标 local eNB和 UE之 间的承载数据的加密。

如果该目标 local eNB从 macro eNB接收到的是计算加密密钥所需 的临时密钥、 随机数以及指示加密算法的信息， 目标 local eNB根据收 到的临时密钥、 随机数以及指示的加密算法计算出加密密钥。

6、 目标 local eNB向 macro eNB返回用户面切换请求响应消息， 该 消息中包含一个 RRC容器（ RRC container ), 具体内容是触发 UE进行 用户面承载切换的用户面切换命令。

7、 macro eNB在收到的用户面切换命令中添加步骤 3中使用的随机 数以及用于指示是否需要计算 NH 的参数 NCC ( Next-hop Chaining Counter, 下一跳密钥链计数器）之后， 将用户面切换命令发送给 UE。 UE接收到用户面切换命令后， 停止在 macro eNB进行数据收发。

8、 macro eNB将当前数据发送的序列号状态信息， 如： 未成功发送 的下行数据包的序列号， 目标 local eNB可以分配的第一个序列号等， 发送给目标 local eNB。

9、 UE收到用户面切换命令后， 利用用户面切换命令中的随机数和 自己保存的 KeNB以及加密算法计算出加密密钥。 如果用户面切换命令 中的 NCC指示需要使用 NH的话， UE利用用户面切换命令中的随机数 和 NH以及加密算法计算出加密密钥。 其中， UE侧所使用的加密算法 与 macro eNB所使用的加密算法一致。 之后， UE将计算出的加密密钥 配置到 PDCP实体使用， 然后向 macro eNB返回切换完成消息。

由于 UE的加密密钥改变了， 所以 UE还需要重建 PDCP/RLC/MAC 层。

通过以上流程实现了密钥隔离， 以下流程为切换过程的常规流程， 基本与现有技术中的切换流程类似， 筒述如下。

10、 macro eNB向 MME发起路径转换请求， 携带 local eNB为各 UE EPS ( Evolved Packet System, 演进的分组系统 ) 载分配的用户面 传输层地址和下行 GTP ( GPRS Tunnel Protocol, GPRS隧道协议 ) 隧道 标识。

11、 MME请求 SGW承载修改请求， 将 macro eNB发来的为各 UE EPS承载分配的下行用户面传输层地址和 GTP隧道标识通知 SGW。 12、 SGW进行路径转换， 将该 UE的下行数据传输路径转移到目标 local eNB。

13、 SGW向 MME返回承载修改响应， 携带 SGW为各 UE EPS承 载分别分配的用户面传输层地址和上行 GTP隧道标识。

14-15, MME向 macro eNB返回路径转换请求响应， 携带 SGW为 各 UE EPS承载分别分配的上行用户面传输层地址和 GTP隧道标识； macro eNB向目标 local eNB返回路径转换请求响应。

16、 目标 local eNB向 macro eNB发送终端上下文释放请求。

17、 macro eNB释放为切换 UE所分配的相关资源。

根据本发明实施例， 在步骤 9 中， UE可通过切换完成消息， 将从 macro eNB接收到的随机数返回给该 macro eNB。 macro eNB可将该切 换完成消息中携带的随机数与步骤 3中所使用的随机数进行比较， 若该 切换完成消息中携带的随机数与步骤 3中所使用的随机数一致， 则判决 该随机数没有被墓改， 若该切换完成消息中携带的随机数与步骤 3中所 使用的随机数不一致， 则认为该随机数被墓改。 为了保证通信安全， 若 macro eNB发现该随机数已经被墓改， 则可通知 RRC层释放与该 UE的 RRC连接。

根据本发明实施例，当 local eNB存在部分 RRC功能时，例如当 local eNB具有图 4所示架构时， 前面所述的随机数也被 macro eNB和 UE用 来计算保护 RRC消息的完整性保护密钥。所述完整性保护密 钥由 macro eNB发给目标 local eNB。

根据本发明实施例， 当 macro eNB仅将部分用户面承载切换到目标 local eNB, 而将部分用户承载保留在 macro eNB时， macro eNB和 UE 也可以重新计算 macro eNB与 UE间的空口会话密钥， 例如包括加密密 钥和 RRC消息的完整性保护密钥。 macro eNB和 UE可按照现有方式， 也可以按照本发明实施例的上述方式生成空口 会话密钥。 如果按照现有 方式生成空口会话密钥， 则 macro eNB和目标 local eNB所使用的空口 会话密钥不同， 如果按照本发明实施例的上述方式生成空口会 话密钥， 则 macro eNB和目标 local eNB所使用的空口会话密钥相同。 当采用现 有方式时， 利用 KeNB或 NH, 并采用加密算法计算出加密密钥和 RRC 消息完整性保护密钥。 当采用本发明实施例的方式时， 利用 KeNB 或 NH、 随机数， 并采用加密算法计算出加密密钥和 RRC消息完整性保护 密钥。

在本发明实施例中， 加密算法可以是加密算法可以是： 高级加密标 准（ Advanced Encryption Standard, AES)、 SNOW 3G、祖沖之算法（ ZUC ) 等等。

在本发明实施例中， macro eNB生成的随机数可用其它能够唯一区 分 local eNB的信息代替， 比如， 全球基站标识， 或是 PCI ( Physical Cell Identifier, 物理层小区标识） +频率的组合， 等等。

根据本发明实施例， UE的全部用户面承载可以从 local eNB切换到 macro eNB。如图 8所示，一种可能的用户切换流程包括如下步� � 1~15。

1~2、 macro eNB对 UE进行测量配置， UE后继根据收到的测量配 置信息执行测量； UE在 macro eNB为 UE分配的上行资源上， 上报测 量结果， 该测量结果将用于辅助 macro eNB进行用户面切换判决。

3、 macro eNB进行用户面切换判决。若 macro eNB决定将 UE与 local eNB保持的用户面 7 载转移到该 macro eNB ,则 macro eNB生成随机数， 利用 KeNB或是最新的 NH (如果有）、 随机数以及加密算法计算出加密 密钥。

macro eNB将该加密密钥配置到本地与该 UE |载对应的 PDCP实 体， 用于 UE用户面切换完成后的 macro eNB和 UE之间的承载数据的 加密。

4、 macro eNB根据待接纳的承载的 QoS信息进行接纳判决， 并在 允许接纳该 UE的情况下， 进行底层配置以准备切换。

5-6、 macro eNB向该 local eNB发送用户面传输中止消息， 该 local eNB根据该消息中止向该 UE传输数据， 并向 macro eNB返回当前数据 发送的序列号状态信息。

7、 macro eNB向 UE发送用户面切换命令， 其中包含步骤 3中使用 的随机数以及用于指示是否需要计算 NH的参数 NCC。 UE接收到用户 面切换命令后， 停止在源 local eNB进行数据收发。

8、 UE收到用户面切换命令后， 利用用户面切换命令中的随机数和 自己保存的 KeNB以及加密算法计算出加密密钥。 如果用户面切换命令 中的 NCC指示需要使用 NH的话， UE利用用户面切换命令中的随机数 和 NH以及加密算法计算出加密密钥。 其中 UE侧所使用的加密算法与 macro eNB所使用的加密算法一致。之后， UE将计算出的加密密钥配置 到 PDCP实体使用， 然后向 macro eNB返回切换完成消息。

由于 UE的加密密钥改变了， 所以 UE还需要重建 PDCP/RLC/MAC 层。

通过以上流程实现了密钥隔离， 以下流程为切换过程的常规流程， 基本与现有技术中的切换流程类似， 筒述如下。

9、 macro eNB向 MME发起路径转换请求， 携带 macro eNB为各 UE EPS ( Evolved Packet System, 演进的分组系统） 载分配的下行用 户面传输层地址和 GTP隧道标识。

10、 MME请求 SGW承载修改请求， 将 macro eNB为各 UE EPS承 载分配的下行用户面传输层地址和 GTP隧道标识通知 SGW。

11 , SGW进行路径转换，将该 UE的下行数据传输路径转移到 macro eNB。

12、 SGW向 MME返回承载修改响应， 携带 SGW为各 UE EPS承 载分别分配的上行用户面传输层地址和 GTP隧道标识。

13、 MME向 macro eNB返回路径切换响应，携带 SGW为各 UE EPS 承载分别分配的上行用户面传输层地址和 GTP隧道标识；该消息中携带 一个新的密钥 NH和与之对应的计数器 NCC。

14、 macro eNB向源 local eNB发送终端上下文释放请求。

15、 源 local eNB根据该请求释放为切换 UE所分配的相关资源。 根据本发明实施例， 在步骤 8 中， UE可通过切换完成消息， 将从 macro eNB接收到的随机数返回给该 macro eNB。 macro eNB可将该切 换完成消息中携带的随机数与步骤 3中所使用的随机数进行比较， 若该 切换完成消息中携带的随机数与步骤 3中所使用的随机数一致， 则判决 该随机数没有被墓改， 若该切换完成消息中携带的随机数与步骤 3中所 使用的随机数不一致， 则认为该随机数被墓改。 为了保证通信安全， 若 macro eNB发现该随机数已经被墓改， 则可通知 RRC层释放与该 UE的 RRC连接。

根据本发明实施例，当源 local eNB在切换前存在部分 RRC功能时， 例如当源 local eNB具有图 4所示架构时， macro eNB需要将这部分控制 面 7 载切换到 macro eNB上， 并且前面所述的随机数也被 macro eNB和 UE用来计算保护 RRC消息的完整性保护密钥。

在本发明实施例中， macro eNB生成的随机数可用其它能够唯一区 分 macro eNB的信息代替，比如，全球基站标识，或是 PCI+频率的组合， 等等。

根据本发明实施例， UE的用户面承载从 macro eNB下的一个 local eNB切换到另一个 local eNB时的切换流程， 该流程与实施例一中 UE 从 macro eNB切换到 local eNB的流程类似， 额外的过程是 macro eNB 需要通知源 local eNB停止用户面数据转发，并删除与该 UE相关的密钥。

需要说明的是， 以上各实施例中， macro eNB在生成空口会话密钥 时， 由于目标 eNB的区别参数，如 macro eNB生成的随机数以及用户和 网络侧共享的临时密钥 （KeNB 或 NH )是主要参数， 因此上述各实施 例以此为例进行说明， 在具体实施时， 还可以在此基础上引入其它参数 参与空口会话密钥的计算。

本发明实施例还提供了一种应用于承载分离网 络的基站设备， 例如 应用于控制面和用户面分离的网络的基站设备 。

参见图 9, 为本发明实施例提供的基站设备的结构示意图 。 根据本 发明实施例基站设备为宏基站设备。

如图所示， 该宏基站设备可包括： 切换判决模块 901、 密钥管理模 块 902、 密钥生成模块 903、 第一发送模块 905 , 进一步还可包括第二发 送模块 904。

切换判决模块 901用于对用户设备进行用户面承载切换判决。

密钥管理模块 902用于在切换判决模块 901判决对用户设备进行用 户面承载切换时， 向密钥生成模块 903发送生成密钥的指示， 并向第一 发送模块 905发送传输区别参数的指示。

密钥生成模块 903 , 用于按照密钥管理模块 902的指示， 根据目标 基站的区别参数， 以及该宏基站设备与所述用户设备共享的临时 密钥， 生成所述目标基站与所述用户设备通信时使用 的密钥。 该区别参数为所 述宏基站生成的随机数， 或者为能够唯一区分所述目标基站的信息。

第一发送模块 905 , 用于根据密钥管理模块 902的指示， 将所述区 别参数发送给所述用户设备， 以使所述用户设备根据所述区别参数以及 所述用户设备与所述宏基站共享的临时密钥， 生成所述用户设备与所述 目标基站通信时使用的密钥。

根据本发明实施例， 若切换判决模块 901判决将用户设备的用户面 ₇ |载从本地基站切换到该宏基站时， 该目标基站可以是该宏基站。

根据本发明实施例， 目标基站可以是目标本地基站。

根据本发明实施例， 若切换判决模块 901判决将用户设备的用户面 承载从所述宏基站切换到目标本地基站， 或者判决将用户设备的用户面 承载从当前所在的本地基站切换到目标本地基 站， 密钥管理模块 902还 用于向第二发送模块 904发送传输密钥的指示。 相应的， 第二发送模块 904用于根据所述密钥管理模块的指示， 将密钥生成模块 903生成的密 钥发送给所述目标本地基站。

根据本发明实施例， 若切换判决模块 901判决将用户设备的部分用 户面承载从所述宏基站切换到目标本地基站， 密钥管理模块 902还用于 指示密钥生成模块 903根据所述目标本地基站的区别参数， 以及所述宏 基站与所述用户设备共享的临时密钥， 生成所述宏基站与所述用户设备 通信时使用的密钥。 或者， 若切换判决模块 901判决将用户设备的部分 用户面承载从所述宏基站切换到目标本地基站 ， 密钥管理模块 902还用 于指示密钥生成模块 903根据所述宏基站与所述用户设备共享的临时 密 钥， 生成所述宏基站与所述用户设备通信时使用的 密钥。

根据本发明实施例，切换判决模块 901还用于进行控制面承载判决。 相应的， 若切换判决模块 901判决将所述用户设备的部分控制面承载从 宏基站切换到目标本地基站， 密钥管理模块 902具体用于指示密钥生成 模块 903生成加密密钥和完整性保护密钥； 或者， 若切换判决模块 901 判决将用户设备的用户面承载从本地基站切换 到宏基站， 且在切换前， 所述本地基站上存在所述用户设备的部分控制 面承载， 密钥管理模块 902具体用于指示密钥生成模块 903生成加密密钥和完整性保护密钥。 根据本发明实施例， 第二发送模块 904将生成的密钥携带于用户面 切换请求消息或预先定义的消息， 发送给所述目标本地基站。

根据本发明实施例， 第一发送模块 905将所述区别参数携带于用户 面切换命令发送给所述用户设备。

本发明实施例提供的方法和设备可以由硬件、 或计算机可读指令、 或者硬件和计算机可读指令的结合来实现。 本实施例中使用的计算机可 读指令由多个处理器存储在可读存储介质中， 例如硬盘、 CD-ROM、

DVD, 光盘、 软盘、 磁带、 RAM、 ROM或其它合适的存储设备。 或者， 至少部分计算机可读指令可以由具体硬件替换 ， 例如， 定制集成线路、 门阵列、 FPGA、 PLD和具体功能的计算机等等。

本发明实施例提供了计算机可读存储介质， 用于存储指令使得计算 机执行本文所述的方法。 具体地， 本实施例提供的系统或设备都具有存 储介质， 其中存储了计算机可读程序代码， 用于实现上述任意实施例的 功能， 并且这些系统或设备 (或 CPU或 MPU ) 能够读取并且执行存储 在存储介质中的程序代码。

在这种情况下， 从存储介质中读取的程序代码可以实现上述任 一实 施例， 因此该程序代码和存储该程序代码的存储介质 是技术方案的一部 分。

用于提供程序代码的存储介质包括软盘、 硬盘、 磁光盘、 光盘（例 如 CD-ROM、 CD-R, CD-RW、 DVD-ROM、 DVD-RAM、 DVD-RW, DVD+RW ), 磁盘、 闪存卡、 ROM等等。 可选地， 程序代码也可以通过 通信网络从 务器电脑上下载。

应该注意的是， 对于由计算机执行的程序代码， 至少部分由程序代 码实现的操作可以由运行在计算机上的操作系 统实现， 从而实现上述任 一实施例的技术方案， 其中该计算机基于程序代码执行指令。 另外， 存储介质中的程序代码被被写入存储器， 其中， 该存储器位 于插入在计算机中的扩展板中， 或者位于连接到计算机的扩展单元中。 在本实施例中， 扩展板或扩展单元中的 CPU根据指令， 基于程序代码执 行至少部分操作， 从而实现上述任一实施例的技术方案。

以上所述仅是本发明的优选实施方式， 应当指出， 对于本技术领域 的普通技术人员来说， 在不脱离本发明原理的前提下， 还可以做出若干 改进和润饰， 这些改进和润饰也应视本发明的保护范围。