AS 使用三种不同的安全性密匙：一个用于 RRC 信令的完整性保护（KRRCint），一个用于 RRC
信令的加密（KRRCenc），一个用于用户数据的加密（KUPenc）。所有这三种 AS 密匙是从 KeNB
密匙得来的。密匙 KeNB 是基于密匙 KASME 的，密匙 KASME 是由高层处理。
在建立新的连接后，会导出新的 AS 密匙。在连接建立过程中不会交换任何 AS 参数作为输
入用于导出新的 AS 密钥。

完整性和加密算法仅会在切换的时候才改变。四个 AS 密匙（KeNB, KRRCint, KRRCenc 和
KUPenc）是在每次的切换和连接重建立的时候改变的。keyChangeIndicator 是在切换的时候
用的，用来指示 UE 是否应该使用跟最新的有效密匙 KASME 相关的密匙。
nextHopChainingCount 参数是 UE 在切换和连接重建立的时候用于产生新的新的密匙 KeNB，
而密匙 KeNB, 用来导出 KRRCint, KRRCenc 和 KUPenc 密匙。在 RRC_CONNECTED 状态下可以
使用小区内切换过程来改变密匙。

对于每个无线承载，在每个方向都维护一个独立的计数器（COUNT，参考 TS 36.323 [8]）。对
于每个 DRB，COUNT 作为输入用来加密。而对于每个 SRB，COUNT 作为输入用于加密和完
整性保护。对于一个给定的安全密匙，同一个 COUNT 值使用不能超过一次。为了限制信令
额外开销，每个消息/数据包包含一个短的序列号（PDCP SN，参见 TS 36.323 [8]）。此外，使
用计算器溢出机制：超帧号（TX_HFN 和 RX_HFN，参见 TS 36.323 [8]）。HFN 需要在 UE 和 eNB
之间达到同步。eNB 是负责避免对于同一个 RB 标志和相同的密匙 KeNB 的 COUNT 的重复使
用。比方说，由于数据的大量传送，计算器滚动很快，RBs 建立和释放。为了避免这样的重
复使用，eNB 为连续建立的 RB 分配不同的 RB 标识，触发一个小区内切换或者触发一个
RRC_CONNECTED 到 RRC_IDLE 到 RRC_CONNECTED 的转变。

在 RRC_CONNECTED 状态下，网络控制 UE 的移动性，即网络决定 UE 在什么时候移动到哪个
小区（可能是在另一个频率上或者是另一个 RAT 上）。对于 RRC_CONNECTED 状态下的网络
控制的移动性，定义了一个唯一的过程：切换。网络触发切换进程，比方说，基于无线条件、
负载，为了协助这个过程，网络可能会配置 UE 执行测量报告（可能包括测量间隔的配置）。
网络也可能发起盲切换，即在没有收到 UE 的测量报告的情形下进行切换。

在发送切换消息给 UE 之前，源 eNB 准备一个或者多的目标小区。目标 eNB 产生用于执行切
换的消息，也即即包含在目标小区使用的 AS 配置信息的消息。源 eNB 透明地（即不改变值
/内容）转发从目标 eNB 接收到的切换消息/信息给 UE。当时机合适时，源 eNB 可能发起 DRB
的数据的转发。