CN110651491A - 用于处理pdcp pdu的完整性检查失败的方法和用户设备 - Google Patents

Abstract

本文实施例提供了一种用于在无线通信系统中处理包数据汇聚协议(PDCP)协议数据单元(PDU)的完整性检查失败的方法和UE。该方法包括基于PDCP PDU的消息认证码完整性(MAC‑I)，在PDCP层处在至少一个无线承载上进行完整性检查。该方法包括确定在无线承载上接收到的PDCP PDU的完整性检查成功和PDCP PDU的完整性检查失败。此外，该方法包括丢弃完整性检查失败的PDCP PDU。此外，该方法包括响应于确定触发条件，向无线资源控制(RRC)层指示至少一个无线承载上的完整性检查失败。

Description

用于处理PDCP PDU的完整性检查失败的方法和用户设备

技术领域

本公开涉及在无线通信系统中在无线承载上接收到的包数据汇聚协议(PDCP)协议数据单元(PDU)的完整性检查失败的处理。更具体地，本公开涉及一种用于在无线通信系统中处理PDCP PDU的完整性检查失败的方法和用户设备(UE)。

背景技术

近年来，已经开发了几种宽带无线技术来满足日益增长的宽带用户，并提供更多和更好的应用和服务。第二代无线通信系统已经被开发来提供语音服务，同时确保用户的移动性。第三代无线通信系统不仅支持语音业务，还支持数据业务。近年来，已经开发了第四无线通信系统来提供高速数据业务。然而，目前，第四代无线通信系统缺乏资源来满足对高速数据业务日益增长的需求。因此，正在开发第五代无线通信系统，以满足日益增长的高速数据业务需求，支持超可靠性和低延迟应用。

第五代无线通信系统不仅将在较低的频带中实现，而且还将在较高的频率(mmWave)频带(例如，10GHz到100GHz的频带)中实现，以实现更高的数据速率。为了减轻无线电波的传播损耗和增加传输距离，在第五代无线通信系统的设计中考虑了波束成形、大规模多输入多输出(MIMO)、全维MIMO(FD-MIMO)、阵列天线、模拟波束成形、大规模天线技术。另外，第五代无线通信系统有望满足在数据速率、延迟、可靠性、移动性等方面具有完全不同要求的不同使用情况。然而，预计第五代无线通信系统的空中接口的设计将足够灵活以服务于具有完全不同能力的UE，这取决于UE为终端用户提供服务的使用情况和市场细分。第五代无线通信系统预期要解决的几个使用情况是增强型移动宽带(eMBB)、大规模机器类型通信(m-MTC)、超可靠低延迟通信(URLL)等。诸如几十Gbps数据速率、低延迟、高移动性等的eMBB要求解决了代表随时随地需要互联网连接的传统无线宽带用户的市场细分。诸如非常高的连接密度、很少的数据传输、非常长的电池寿命、低移动性地址等m-MTC要求针对代表物联网(IoT)/万物联网(IOE)的市场细分，该市场细分设想了数十亿个设备的连接性。URLL要求例如非常低的延迟、非常高的可靠性和可变的移动性等，针对的是代表工业自动化应用、车对车/车对基础设施通信的细分市场，这些都是无人驾驶汽车的推动因素之一。

在第四代无线通信系统中，接入层中的安全保护被提供给控制平面信令，即无线资源控制(RRC)消息和用户平面数据。KeNB(安全密钥)由UE和MME使用基本密钥(Kasme)导出，或者新的KeNB(安全密钥)由UE和eNB使用动态KeNB导出。基于KeNB导出控制平面和用户平面的其他密钥。然而，对于UE与eNB之间的用户平面数据，仅支持加密技术(即加密)。控制平面(即，RRC信令)同时受到加密技术(即加密)和完整性保护。UE可以在PDCP层基于错误或不正确的消息、认证码(MAC-I)的无意或有意修改来检测在信令无线承载(SRB)上传输的RRC信令消息的完整性检查失败。完整性检查失败可能是由于对SRB的包注入攻击(通常称为中间人问题)，或者是由于安全密钥或PDCP计数不匹配。如果UE检测到SRB上的完整性检查失败，则UE执行RRC连接重建程序，以减轻包注入威胁或密钥不匹配问题。在第四代无线通信系统中，由于在用户平面数据(即，数据无线承载(DRB))上没有完整性保护，因此DRB上的完整性检查失败是毫无疑问的。但是，包注入威胁或中间人问题是基于计算器检查过程来识别的。

在LTE系统中，TS 36.331中规定了计算器检查过程，用于检测包注入攻击。简而言之，这种RRC过程是一种审计，其中eNB检查UE为已建立的DRB提供的计数是否与eNB在该过程的请求消息中发送的值相匹配。如果检测到这种入侵者攻击，则网络可以基于网络策略，决定立即释放RRC连接，并且当UE再次发起RRC连接以回到连接状态时，发起认证过程。对于载波聚合(CA)场景，UE的PCell发起在SCell上建立的DRB的计算器检查过程。在双连接操作模式下，到UE的RRC信令仅来自MCG SRB传递RRC消息的主eNB(MeNB)。由于没有从辅eNB(SeNB)到UE的SRB，因此SRB上的完整性检查失败是毫无疑问的。但是，为了减轻在SeNB中建立的DRB上的包注入威胁，还针对双连接操作模式扩展了计数器检查原理。SeNB计算器检查过程由SeNB发起，以请求MeNB执行计数器检查过程以验证与在SeNB中建立的SCG DRB相关联的PDCP计数的值。

第五代无线通信系统正在考虑增强对用户面(即，DRB)完整性保护的支持。即使强制UE和网络在DRB上支持完整性保护，该特征的使用(即启用/禁用完整性保护(可以在DRB上))仍在网络控制之下。对用户面完整性保护的强制支持是出于识别和减轻包注入或包修改安全威胁的需要。在当前LTE系统中，存在用于避免用户平面完整性保护要求以识别包注入安全威胁的其他机制。这样的机制依赖于在实际用户平面数据交换之前在RAN与UE之间交换一些控制平面信令的事实。RRC控制平面信令在LTE中既被加密又被完整性保护。此外，如果怀疑有来自恶意发射机的包注入，则LTE RAN可以发起计算器检查过程。

第五代无线通信系统在双连接操作模式(即，LTE和下一代RAT(NR)互通)下，到UE的RRC信令不仅来自MeNB SRB，而且还存在从SeNB到UE的SRB。术语MeNB或主节点(MN)100或MgNB表示在双连接操作模式下充当主节点的相同实体。术语SeNB或辅节点(SN)200或SgNB表示在双连接操作模式下充当辅节点的相同实体。当在MN 100或SN 200中检测到建立的DRB上的完整性检查失败时，需要指定UE 300的行为和动作。此外，当检测到来自SN的SRB上的完整性检查失败时，需要指定UE行为和动作。在双连接操作模式下，有分离式承载，即，MCG分离式SRB、MCG分离式DRB以及SCG分离式DRB。利用MCG分离式SRB，来自MN 100的RRC消息由在MN 100中终止的PDCP实体处理，而低层处理，即，RLC和MAC处理可以通过MN 100或SN200实体。对于MCG分离式DRB，PDCP实体终止于MN 100，同时在MN 100和SN 200中存在具有各自的RLC和MAC实体的两个分支，或者较低层处理，即RLC和MAC处理只能通过SN 200，如图1a所示。如图1a中所示的MCG承载和MCG分离式承载也称为MN终止承载，其中各个承载的PDCP实体终止在MN 100中。对于SCG分离式DRB，PDCP实体在SN 200中终止，同时在SN 200和MN 100中存在具有各自的RLC和MAC实体的两个分支，或者较低层处理，即RLC和MAC处理只能通过MN 100，如图1b所示。如图1b所示的SCG承载和SCG分离式承载也被称为SN终止承载，其中各个承载的PDCP实体在SN 200中终止。

通常，对于MCG分离式DRB，当MN是LTE而SN是NR时，PDCP实体将为LTE PDCP。对于SCG分离式DRB，当MN为LTE而SN为NR时，PDCP实体将为NR PDCP。如图1c所示，可以将MCG分离式DRB和SCG分离式DRB统一起来，以便使用NR PDCP，而与PDCP实体在网络侧锚定承载无关。对于MCG分离式DRB，当MN是LTE而SN是NR时，这将导致PDCP实体为NR PDCP。对于SCG分离式DRB，如图1c所示，当MN为LTE而SN为NR时，PDCP实体为NR PDCP。这对于UE 300是有用的，因为PDCP实体对于UE 300是透明的，并且只有一个PDCP(即，NR PDCP)在UE侧用于UE 300，该UE 300支持基于双连接操作的LTE和NR互通，如图1c所示。根据PDCP实体在网络侧终止的位置，UE 300可以被配置有适当的安全密钥(即，KeNB或S-KgNB)，以在PDCP层处理加密和完整性保护。如果配置了统一分离式DRB(即，配置了NR PDCP的MCG分离式承载和SCG分离式承载)，则从UE 300的角度来看，PDCP实体是NR PDCP，而不管PDCP实体在网络侧终止于何处，只要在PDCP配置中配置了适当的安全密钥的使用。可以同时支持MCG DRB和MCG分离式DRB。此外，可以同时支持SCG DRB和SCG分离式DRB。根据MN 100的决定，UE 300可以被配置为支持任何DRB组合。此外，如果配置了MCG分离式SRB，则可以同时支持MCG DRB和SCG DRB。此外，如果配置了SCG SRB，则可以同时支持MCG DRB和MCG分离式DRB。

上述信息仅作为背景信息呈现，以帮助读者理解本发明。申请人没有对上述任何一个是否可以作为现有技术应用于本申请做出确定和断言。

发明内容

技术问题

本文的实施例的主要方面在于提供一种用于在无线通信系统中处理无线承载上接收到的包数据汇聚协议(PDCP)协议数据单元(PDU)的完整性检查失败的方法和用户设备(UE)。

本文实施例的另一方面是基于PDCP PDU的消息认证码完整性(MAC-I)，在PDCP层处在至少一个无线承载上进行完整性检查。

本文实施例的另一方面是确定在所述无线承载上接收到的PDCP PDU的完整性检查成功和PDCP PDU的完整性检查失败。

本文实施例的另一方面是丢弃接收到的完整性检查失败的PDCP PDU。

本文实施例的另一方面是响应于确定触发条件，向无线资源控制(RRC)层指示关于在所述至少一个无线承载上的完整性检查失败。

本文实施例的另一方面是如果在无线承载上接收到的预先配置数量的连续PDCPPDU的完整性检查连续地/连贯地失败，则触发对RRC层的指示。

本文实施例的另一方面是向RRC层的无线承载的完整性检查失败有关的指示与信令无线承载1(SRB1)、SRB2、SRB3、分离式SRB、数据无线承载(DRB)和分离式DRB中的至少一个相关联。

本文实施例的另一方面是处理在双连接操作模式的主节点(MN)中终止的DRB和在独立操作的服务节点中终止的DRB上检测到的完整性检查失败。

本文实施例的另一方面是处理在双连接操作模式的辅节点(SN)中终止的DRB上检测到的完整性检查失败。

本文实施例的另一方面是处理在双连接操作模式的SN中终止的SRB3上检测到的完整性检查失败。

本文实施例的另一方面是确定分离式无线承载的PDCP终止点是否是主节点(MN)和辅节点(SN)中的一者。

本文实施例的另一方面是处理在双连接操作模式的MN中终止的分离式SRB上检测到的完整性检查失败。

本文实施例的另一方面是处理在双连接操作模式的MN中终止的分离式DRB上检测到的完整性检查失败。

本文实施例的另一方面是处理在双连接操作模式的SN中终止的分离式DRB上检测到的完整性检查失败。

问题的解决方案

因此，本文实施例提供了一种用于在无线通信系统中由用户设备(UE)处理包数据汇聚协议(PDCP)协议数据单元(PDU)的完整性检查失败的方法。所述方法包括基于PDCPPDU的消息认证码完整性(MAC-I)，在PDCP层处在至少一个无线承载上进行完整性检查。所述方法包括确定在无线承载上接收到的PDCP PDU的完整性检查成功和PDCP PDU的完整性检查失败。此外，所述方法包括丢弃完整性检查失败的PDCP PDU。此外，所述方法包括响应于确定触发条件，向无线资源控制(RRC)层指示关于在所述至少一个无线承载上的完整性检查失败。

在实施例中，在所述PDCP层处执行完整性检查包括：使用配置的完整性技术生成MAC-I；以及与在PDCP PDU中接收到的MAC-I进行核对。

在实施例中，所述方法包括：如果所生成的MAC-I与所接收到的MAC-I匹配，则确定PDCP PDU的完整性检查成功。此外，所述方法包括：如果所生成的MAC-I与所接收到的MAC-I不匹配或所接收到的MAC-I丢失，则确定PDCP PDU的完整性检查失败。

在实施例中，确定所述触发条件包括：针对在所述至少一个无线承载上接收到的预先配置数量的连续PDCP PDU连续地/连贯地检测完整性检查失败。

在实施例中，RRC层的针对无线承载的完整性检查失败指示与信令无线承载1(SRB1)、SRB2、SRB3、分离式SRB、数据无线承载(DRB)和分离式DRB中的至少一个相关联。

在实施例中，所述方法包括确定分离式无线承载的PDCP终止点是否是主节点(MN)和辅节点(SN)中的一者。此外，所述方法包括：如果用于处理分离式无线承载的完整性保护和加密的安全密钥与MN安全密钥(即，KgNB)相关联，则确定分离式无线承载在MN中终止。此外，所述方法包括：如果用于处理分离式无线承载的完整性保护和加密的安全密钥与SN安全密钥(即，S-KgNB)相关联，则确定分离式无线承载在SN中终止。

在实施例中，所述无线承载是在双连接操作模式的主节点(MN)中终止的DRB和在独立操作的服务节点中终止的DRB，所述方法包括：丢弃在完整性检查失败的DRB上接收到的PDCP PDU。所述方法包括在上行链路中暂停在相关的DRB上的传输。此外，所述方法包括：基于触发条件，执行发起RRC连接重建程序以及向MN或服务节点发送确定完整性检查失败的RRC消息中的至少一个。

在实施例中，在SRB1或SRB2上发送指示完整性检查失败的DRB ID的所述RRC消息。

在实施例中，无线承载是在双连接操作模式的辅节点中终止的DRB，所述方法包括：如果确定DRB的完整性检查失败，则由所述RRC层声明SN的失败。所述方法包括丢弃在完整性检查失败的DRB上接收到的PDCPPDU。所述方法包括在上行链路中暂停在相关的DRB上的传输。所述方法包括向MN发送指示确定完整性检查失败的DRB ID的SCG失败消息或在SRB3上(如果配置)发送指示完整性检查失败的DRB ID的RRC消息。

在实施例中，所述无线承载是在双连接操作模式的SN中终止的SRB3，所述方法包括：如果确定SRB3的完整性检查失败，则由所述RRC层声明SN的失败。所述方法包括在上行链路中暂停SRB3上的传输。所述方法包括在上行链路中暂停分离式SRB的SCG分支(如果配置)上的传输。所述方法包括暂停与SN相关联的所有DRB。此外，所述方法包括向MN发送指示确定SRB3的完整性检查失败的辅单元组(SCG)失败消息。

在实施例中，所述无线承载是在双连接操作模式的MN中终止的分离式SRB，所述方法包括：确定所述完整性检查失败是否是由于所述分离式SRB的主单元组(MCG)分支造成的。此外，所述方法包括响应于确定所述完整性检查失败是由于所述分离式SRB的MCG分支造成的，发起RRC连接重建程序。

在实施例中，所述无线承载是在双连接操作模式的MN中终止的分离式SRB，所述方法包括确定所述完整性检查失败是否是由于所述分离式SRB的SCG分支造成的。所述方法包括：如果确定了所述分离式SRB的SCG分支的完整性检查失败，则由所述RRC层声明SN失败。所述方法包括在上行链路中，暂停分离式SRB的SCG分支上的传输。所述方法包括在上行链路中暂停SRB3(如果配置)上的传输。此外，所述方法包括暂停与该SN相关联的所有DRB上的传输。此外，所述方法包括向MN发送指示确定分离式SRB的完整性检查失败的SCG失败消息。

在实施例中，分离式SRB是分离式SRB1和分离式SRB2中的至少一个。

在实施例中，所述无线承载是在双连接操作模式的MN中终止的分离式DRB，所述方法包括：确定所述完整性检查失败是否是由于所述分离式DRB的MCG分支造成的。所述方法包括丢弃完整性检查失败的所述分离式DRB的MCG分支上接收到的PDCP PDU。所述方法包括在上行链路中暂停所述分离式DRB的MCG分支上的传输。此外，所述方法包括发动RRC重建程序，或者在SRB1或SRB2上发送指示确定完整性失败的分离式DRB的DRBID的RRC消息。

在实施例中，所述无线承载是在双连接操作模式的MN中终止的分离式DRB，所述方法包括：确定所述完整性检查失败是否是由于所述分离式DRB的SCG分支造成的。所述方法包括丢弃完整性检查失败的所述分离式DRB的SCG分支上接收到的PDCP PDU。所述方法包括在上行链路中暂停所述分离式DRB的SCG分支上的传输。此外，所述方法包括：在SRB1或SRB2上向MN发送指示确定完整性检查失败的所述分离式DRB的DRB ID的RRC消息，或者向MN发送指示确定完整性检查失败的所述分离式DRB的DRB ID的SCG失败消息。

在实施例中，所述无线承载是在双连接操作模式的SN中终止的分离式DRB，所述方法包括：确定所述完整性检查失败是否是由于所述分离式DRB的MCG分支造成的。所述方法包括丢弃完整性检查失败的所述分离式DRB的MCG分支上接收到的PDCP PDU。所述方法包括在上行链路中暂停所述分离式DRB的MCG分支上的传输。此外，所述方法包括：在SRB1或SRB2上发送指示确定完整性检查失败的所述分离式DRB的DRB ID的RRC消息，或者在SRB3(如果配置)上发送指示确定完整性检查失败的所述分离式DRB的DRB ID的RRC消息。

在实施例中，所述无线承载是在双连接操作模式的SN中终止的分离式DRB，所述方法包括：确定所述完整性检查失败是否是由于所述分离式DRB的SCG分支造成的。所述方法包括丢弃完整性检查失败的所述分离式DRB的SCG分支上接收到的PDCP PDU。所述方法包括在上行链路中暂停所述分离式DRB的SCG分支上的传输。此外，所述方法包括：向MN发送指示确定完整性检查失败的所述分离式DRB的DRB ID的SCG失败消息，或者在SRB3(如果配置)上向SN发送指示确定完整性检查失败的所述分离式DRB的DRB ID的RRC消息。

因此，本文实施例提供了一种用于在无线通信系统中处理包数据汇聚协议(PDCP)协议数据单元(PDU)的完整性检查失败的用户设备(UE)。所述UE被配置为基于PDCP PDU的消息认证码完整性(MAC-I)，在PDCP层处在至少一个无线承载上进行完整性检查。所述UE被配置为确定在所述无线承载上接收到的PDCP PDU的完整性检查成功和PDCP PDU的完整性检查失败中的一者。此外，所述UE被配置为丢弃完整性检查失败的PDCP PDU。此外，所述UE被配置为：响应于确定触发条件，向无线资源控制(RRC)层指示关于在所述至少一个无线承载上的完整性检查失败。

当结合以下描述和附图考虑时，将更好地理解和理解本文实施例的这些和其他方面。然而，应理解，以下描述虽然指示优选实施例及其许多具体细节，但其是以说明而非限制的方式给出的。在不脱离其精神的情况下，可以在本文实施例的范围内进行许多改变和修改，并且本文实施例包括所有这些修改。

附图说明

在附图中示出了本发明，在所有附图中，相同的附图标记表示各个附图中的相应部分。通过参考附图的以下描述，将更好地理解本文实施例，其中：

图1a是示出了PDCP实体在用于MCG分离式DRB的主节点中终止的示例的框图；

图1b是示出了PDCP实体在用于SCG分离式DRB的辅节点中终止的示例的框图；

图1c是示出了MCG分离式DRB和SCG分离式DRB可以被统一的示例的框图；

图2a是示出了根据本文公开的实施例的用于在无线通信系统中由用户设备(UE)处理PDCP PDU的完整性检查失败的方法的流程图；

图2b是示出了根据本文公开的实施例的用于由UE在PDCP层执行完整性检查的方法的流程图；

图2c是示出了根据本文公开的实施例的用于确定无线承载或分离式无线承载的PDCP终止点是主节点(MN)还是辅节点(SN)的方法的流程图；

图3是示出了根据本文公开的实施例的用于处理在与辅节点(SN)相关联的SRB3上检测到的完整性检查失败的方法的流程图；

图4是示出了根据本文公开的实施例的用于处理在与主节点(MN)相关联的分离式SRB1和/或分离式SRB2上检测到的完整性检查失败的方法的流程图；

图5a是示出了根据本文公开的实施例的用于处理在双连接操作模式的MN中终止的DRB上检测到的完整性检查失败的方法的流程图；

图5b是示出了根据本文公开的实施例的用于在独立操作中处理在终止于UE的服务节点中的DRB上检测到的完整性检查失败的方法的流程图；

图6是示出了根据本文公开的实施例的用于处理在与SN相关联的DRB上检测到的完整性检查失败的方法的流程图；

图7是示出了根据本文公开的实施例的用于处理在与MN相关联的分离式DRB上检测到的完整性检查失败的方法的流程图；

图8是示出了根据本文公开的实施例的用于处理在与SN相关联的分离式DRB上检测到的完整性检查失败的方法的流程图；以及

图9是示出了根据本文公开的实施例的UE的各种模块的框图。

具体实施方式

现在将参考附图详细描述本公开的各种实施例。在下面的描述中，诸如详细配置和组件的具体细节仅仅是为了帮助全面理解本公开的这些实施例。因此，对于本领域技术人员而言显而易见的是，在不脱离本公开的范围和精神的情况下，可以对本文所述的实施例进行各种改变和修改。此外，为了清楚和简明起见，省略了对众所周知的功能和结构的描述。

而且，本文描述的各种实施例不必互相排斥，因为一些实施例可以与一个或更多个其他实施例结合以形成新的实施例。在本文中，除非另有说明，否则本文所用的术语“或”是指非排他性的。这里使用的例子仅仅是为了便于理解这里实施例的实施方式，并且进一步使本领域技术人员能够实施本文实施例。因此，示例不应被解释为限制本文的实施例的范围。

如本领域中的惯用，可以根据执行所描述的一个或更多个功能的块来描述和示出实施例。这些块在本文中可以称为管理器、单元或模块等，由诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子部件、有源电子部件、光学部件、硬连线电路等的模拟和/或数字电路物理地实现，并且可以可选地由固件和软件驱动。电路可以例如体现在一个或更多个半导体芯片中，或者体现在诸如印刷电路板等的基板支撑件上。构成块的电路可以由专用硬件或处理器(例如，一个或更多个编程的微处理器和相关电路)来实现，或者由执行块的一些功能的专用硬件和执行块的其他功能的处理器的组合来实现。在不脱离本公开的范围的情况下，实施例的每个块可以在物理上被分成两个或更多个相互作用的离散块。同样，在不脱离本公开的范围的情况下，实施例的块可以物理组合成更复杂的块。

在详细描述实施例之前，为了更好地理解本公开的实施例，描述以下细节。

a.“信令无线承载”(SRB)被定义为仅用于传输RRC和非接入层(NAS)消息的无线承载(RB)。在LTE和NR互通中，定义了以下SRB：SRB0用于使用MN中的CCCH逻辑信道的RRC消息，即，MCG SRB。例如，在SRB0上发送RRC连接请求消息或RRC连接恢复请求消息。

b.SRB1用于RRC消息(可能包括搭载的NAS消息)以及SRB2建立之前的NAS消息，所有这些都使用MN中的DCCH逻辑信道，即，MCG SRB。例如，在SRB1上发送RRC连接设置消息或RRC连接恢复消息。

c.SRB2用于包含记录的测量信息的RRC消息以及NAS消息，所有这些都使用MN中的DCCH逻辑信道。SRB2的优先级低于SRB1，并且总是在安全激活后由RAN配置，即，MCG SRB。

d.SRB3用于RRC消息，该消息可以包括SRB2建立后的测量配置，所有这些都使用SN中的DCCH逻辑信道，即，SCG SRB。

SRB0没有完整性保护和加密。这意味着PDCP实体被SRB0绕过。一旦安全性被激活，SRB1和SRB2上的所有RRC消息，包括那些包含NAS或非3GPP消息的消息，都由MN中的PDCP实体进行完整性保护和加密。NAS独立地对NAS消息应用完整性保护和加密。对于配置有用于LTE和NR互通的双连通性的UE，MN在MCG SRB上发送来自MN的所有RRC消息，而不管所使用的SRB以及下行链路和上行链路两者。如果配置了SCG SRB，则SN在SCG SRB上发送下行链路和上行链路两者中来自SN的所有RRC消息。如果未配置SCG SRB，则下行链路和上行链路两者中来自SN的所有RRC消息都将通过MN在MCG SRB上进行传输。

对于信令无线承载SRB1和SRB2，完整性保护技术是通用的。然而，对于SRB3，完整性保护技术可以与SRB1和SRB2相同或不同。加密技术对于与MN相关联的所有无线承载(即，SRB1、SRB2)和DRB都是通用的。SRB3(即，SCG SRB)的加密技术可以与MCG SRB(即，SRB1和SRB2)相同或不同。SCG DRB的加密技术可以与MCG DRB相同或不同。SCG DRB的完整性保护技术可以与MCG DRB相同或不同。完整性保护和加密均不适用于SRB0。RRC完整性和加密总是一起被激活，即在一个消息/过程中。RRC完整性和加密永远不会被取消激活。但是，可以切换到“NULL”加密技术(eea0)。也可以切换到“NULL”完整性保护技术。也有可能加密技术没有设置为“NULL”，而完整性保护技术设置为“NULL”。接入层(AS)应用四种不同的安全密钥：一种用于RRC信令的完整性保护(K_RRCint)；一种用于RRC信令的加密(K_RRCenc)；一种用于用户平面数据的加密(K_UPenc)；以及一种用于用户平面数据的完整性保护(K_UPint)。所有四个AS密钥均来自相应节点的KeNB密钥或KgNB密钥。与MN相关的KgNB基于K_ASME密钥，该密钥由上层处理。使用唯一性参数从KgNB导出与SN相关的KgNB，即，S-KgNB。

因此，本文实施例提供了一种用于在无线通信系统中处理PDCP PDU的完整性检查失败的方法。该方法包括基于PDCP PDU的消息认证码完整性(MAC-I)在PDCP层处在至少一个无线承载上进行完整性检查。该方法包括确定在无线承载上接收到的PDCP PDU的完整性检查成功和PDCP PDU的完整性检查失败中的一者。此外，该方法包括丢弃完整性检查失败的PDCP PDU。此外，该方法包括响应于确定触发条件，向无线资源控制(RRC)层指示关于至少一个无线承载上的完整性检查失败。

所提出的方法和系统可用于处理第五代无线通信系统中诸如信令无线承载1(SRB1)、SRB2、SRB3、分离式SRB、数据无线承载(DRB)和分离式DRB的无线承载上的完整性检查失败场景。

处理表1中所示的以下完整性检查失败场景，并在检测到这些场景时指定UE的行为和动作。当网络确定完整性检查失败方案如表1所示时，该行为和动作也可以适用。

[表1]

Sr.No	完整性检查失败场景
		1	MCG SRB上的完整性检查失败
2	SCG SRB上的完整性检查失败
		3	MCG分离式SRB上的完整性检查失败
4	MCG DRB上的完整性检查失败
		5	SCG DRB上的完整性检查失败
6	MCG分离式DRB上的完整性检查失败
		7	SCG分离式DRB上的完整性检查失败
8	统一分离式DRB上的完整性检查失败

现在参考附图，更具体地说，参考图2a至图9，示出了优选实施例。

图2a是示出根据本文公开的实施例的用于在无线通信系统中由用户设备(UE)300处理PDCP PDU的完整性检查失败的方法的流程图200a。

在步骤202a，该方法包括基于PDCP PDU的消息认证码完整性(MAC-I)PDCP层处在至少一个无线承载上进行完整性检查。UE 300被配置为基于PDCP PDU的MAC-I在PDCP层处在至少一个无线承载上进行完整性检查。

在步骤204a，该方法包括确定在无线承载上接收到的PDCP PDU的完整性检查成功或PDCP PDU的完整性检查失败。UE 300被配置为确定在无线承载上接收到的PDCP PDU的完整性检查成功或PDCP PDU的完整性检查失败。

在步骤206a，该方法包括丢弃完整性检查失败的PDCP PDU。UE 300被配置为丢弃完整性检查失败的PDCP PDU。

在步骤208a，该方法包括响应于确定触发条件，向RRC层指示关于在至少一个无线承载上的完整性检查失败。UE 300被配置为响应于确定触发条件，向RRC层指示关于至少一个无线承载上的完整性检查失败。

在实施例中，触发条件的确定包括针对在无线承载上接收到的预先配置数量的连续PDCP PDU连续地/连贯地检测完整性检查失败。例如，预先配置的连续PDCP PDU的数量可以是n＝＝10，并且可以由网络配置。

流程图200a中的各种动作、行为、块、步骤等可以以呈现的顺序、不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过一些动作、行为、块、步骤等。

图2b是示出根据本文公开的实施例的用于由UE 300在PDCP层执行完整性检查的方法的流程图200b。在步骤202b，该方法包括使用配置的完整性技术、配置的完整性安全密钥来生成MAC-I，并以PDCP PDU中的接收到的MAC-I进行核对。UE 300被配置为使用配置的完整性技术、配置的完整性安全密钥来生成MAC-I，并以PDCP PDU中的接收到的MAC-I进行核对。

在步骤204b，该方法包括如果生成的MAC-I与接收到的MAC-I匹配，则确定PDCPPDU的完整性检查成功。UE 300被配置为如果生成的MAC-I与接收到的MAC-I匹配，则确定PDCP PDU的完整性检查成功。

在步骤206b，该方法包括如果生成的MAC-I与接收到的MAC-I不匹配或者丢失接收到的MAC-I，则确定PDCP PDU的完整性检查失败。UE 300被配置为如果生成的MAC-I与接收到的MAC-I不匹配或者丢失接收到的MAC-I，则确定PDCP PDU的完整性检查失败。

流程图200b中的各种动作、行为、块、步骤等可以以呈现的顺序、不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过一些动作、行为、块、步骤等。

图2c是示出根据本文公开的实施例的用于确定无线承载或分离式无线承载的PDCP终止点是主节点(MN)100还是辅节点(SN)100的方法的流程图200c。在步骤202c，该方法包括确定无线承载或分离式无线承载的PDCP终止是主节点(MN)和辅节点(SN)中的一者。UE 300被配置为确定用于无线承载或分离式无线承载的PDCP终止点是主节点(MN)还是辅节点(SN)。

在步骤204c，该方法包括如果用于处理相应无线承载的完整性保护和加密的安全密钥与主节点(MN)安全密钥(即，KgNB)相关联，则确定在主节点中终止相应无线承载的PDCP层。UE 300被配置为如果用于处理相应无线承载的完整性保护和加密的安全密钥与MN安全密钥(即，KgNB)相关联，则确定在主节点MN中终止相应无线承载。

在步骤206c，该方法包括如果用于处理相应无线承载的完整性保护和加密的安全密钥与辅节点(SN)安全密钥(即，S-KgNB)相关联，则确定在SN中终止相应无线承载的PDCP层。UE 300被配置为如果用于处理相应无线承载的完整性保护和加密的安全密钥与辅节点(SN)安全密钥(即，S-KgNB)相关联，则确定在SN中终止相应无线承载。

当完整性检查失败时，本文所述的各种实施例可以用于处理无线承载上的PDCPPDUS上的完整性检查失败。以下流程图描述了用于检测和处理在无线承载上接收到的PDCPPDU的完整性检查失败的各种实施例。应当注意，这里描述的实施例被提供用于处理在诸如SRB1、SRB2、SRB3、分离式SRB、数据无线承载(DRB)和分离式DRB的信令无线承载上检测到的完整性检查失败。

MCG SRB(即，SRB1或SRB2)上的完整性检查失败：

PDCP层的UE 300基于不正确或丢失的消息认证码完整性(MAC-I)，检测在MCG SRB上传输的RRC消息的完整性检查失败。如果PDCP PDU中的接收到的MAC-I与生成的MAC-I不匹配或丢失接收到的MAC-I，则完整性检查失败(或不成功)。当在来自MN 100(即，MCG SRB)的MCG SRB(即，SRB1或SRB2)上检测到完整性检查失败时，则PDCP层将失败通知给RRC层，并且RRC层发起RRC连接重建程序。其上的完整性检查失败的RRC消息或PDCP PDU被丢弃。

在实施例中，PDCP层检测SRB1和/或SRB2即MCG SRB上的完整性检查失败。此外，PDCP层向RRC层指示失败，从而导致RRC连接重建程序的开始。

在实施例中，只有当预先配置的(n)个连续数量的完整性检查PDCP PDU的失败时，PDCP层才声明MCG SRB失败。n的值(例如，n＝＝5)可以由网络决定并指示给UE 300。在实施例中，如果PDCP层不需要声明MCG SRB失败，则n的值可以被设置为最高的PDCP计数值+1(即，n＝＝2³²+1)或者大于最高的PDCP计数值。

SCG SRB(即，SRB3)上的完整性检查失败：

图3是示出根据本文公开的实施例的用于处理在与辅节点(SN)200相关联的SRB3上检测到的完整性检查失败的方法的流程图300。

在实施例中，如果配置了SCG SRB，则UE 300可以在PDCP层基于错误或不正确或丢失的消息认证码完整性(MAC-I)来检测在SCG SRB上传输的RRC消息的完整性检查失败。如果在PDCP PDU中接收到的MAC-I与UE生成的MAC-I不匹配，则完整性检查失败(或不成功)。当在来自SN(即，SCG SRB)的SRB(即SRB3)上检测到完整性检查失败时，PDCP层会通知RRC该失败，并且RRC层会声明SgNB或SCG或SN失败。完整性检查失败的PDCP PDU或RRC消息将被丢弃。下面详细描述流程图300的各个步骤。

在步骤302，该方法包括基于PDCP PDU的MAC-I在PDCP层处在与SN 200相关联的SRB3上执行完整性检查。UE 300被配置为基于PDCP PDU的MAC-I在PDCP层处在与SN 200相关联的SRB3上进行完整性检查。

在步骤304，该方法包括：如果所生成的MAC-I与所接收到的MAC-I不匹配或所接收到的MAC-I丢失，则确定完整性检查失败。UE 300被配置为如果生成的MAC-I与接收到的MAC-I不匹配或者丢失接收到的MAC-I，则确定完整性检查失败。在步骤306，该方法包括在RRC层接收到SCG SRB失败指示时由RRC层声明SN 200的失败。UE 300被配置为在RRC层接收到SCG失败指示时声明SN 200的失败。

在步骤308，该方法包括在上行链路中暂停在SCG SRB上的传输。UE 300被配置为在上行链路中暂停在SCG SRB上的传输。

在步骤310，该方法包括在上行链路中暂停分离式SRB的SCG分支(如果配置)上的传输。UE 300被配置为在上行链路中暂停分离式SRB的SCG分支上的传输。

在步骤312，该方法包括暂停与SN 200相关联的所有DRB。这包括暂停在MCG分离式DRB的SCG分支(如果配置)上的SCG传输。此外，该方法包括暂停在SCG分离式DRB的SCG分支(如果配置)上的SCG传输。UE 300被配置为暂停与SN 200相关联的所有DRB。UE 300被配置为暂停MCG分离式DRB和SCG分离式DRB的SCG分支上的SCG传输。

在步骤314，该方法包括向MN 100发送确定指示SRB3(即，确定了SCGSRB)的完整性检查失败的辅单元组(SCG)失败消息。UE 300被配置为向MN 100发送指示SRB3(即，确定了SCG SRB)的完整性检查失败的SCG失败消息。

除了上面提到的动作之外，当声明SgNB(或SCG)或SN失败时，UE RRC执行以下动作：

a.暂停直接SCG SRB，并暂停MCG分离式SRB的SCG分支上的SCG传输；

b.暂停MCG分离式DRB的SCG分支上的SCG传输；

c.暂停SCG分离式DRB的SCG分支上的SCG传输；

d.重置SCG-MAC。

流程图200b中的各种动作、行为、块、步骤等可以以呈现的顺序、不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过一些动作、行为、块、步骤等。

MCG分离式SRB(即，SRB1或SRB2)的完整性检查失败：

图4是示出根据本文公开的实施例的用于处理在与主节点(MN)相关联的分离式SRB1和/或分离式SRB2上的完整性检查失败的方法的流程图400。

在实施例中，如果配置了MCG分离式SRB，则UE 300可以在PDCP层基于错误或不正确或丢失的消息认证码完整性(MAC-I)来检测在MCG分离式SRB上传输的RRC消息的完整性检查失败。如果在PDCP PDU中接收到的MAC-I与UE 300生成的MAC-I不匹配，则完整性检查失败(或不成功)。当在来自MN(即，MCG分离式SRB或MN终止的SRB)的分离式SRB(即，SRB1或SRB2)上检测到完整性检查失败时，然后PDCP层向RRC层通知失败，并且RRC层发起RRC连接重建程序。完整性检查失败的PDCP协议数据单元或RRC消息将被丢弃。

下面详细描述流程图400的各个步骤。

在步骤402，该方法包括在双连接操作模式的MN 100中终止的分离式SRB(分离式SRB1和/或分离式SRB2)上执行完整性检查。UE 300被配置为在双连接操作模式的MN 100中终止的分离式SRB上执行完整性检查。UE 300被配置为基于图2C的流程图200c来确定分离式SRB在MN中终止。

在步骤404，该方法包括确定完整性检查失败是否是由于分离式SRB的主单元组(MCG)分支造成的。UE 300被配置为识别完整性检查失败是否是由于分离式SRB的MCG分支造成的。MCG分支指MN 100中RLC实体与MAC实体之间的逻辑信道。

在实施例中，UE 300被配置为确定完整性检查失败是由于来自MCG分离式SRB的MCG分支还是SCG分支的RLC SDU造成的。SCG分支指SN 100中RLC实体与MAC实体之间的逻辑信道。根据从哪个RLC实体接收到MAC-I失败的PDCP PDU，PDCP层的UE 300可以确定包注入攻击发生在哪个分支。例如，如果MAC-I失败的PDCP PDU是从SCG RLC实体接收到的，则包注入攻击发生在SCG分支上，如果MAC-I失败的PDCP PDU是从MCG RLC实体接收到的，则包注入攻击发生在MCG分支上。

如果确定完整性检查失败是由于分离式SRB的MCG分支造成的，则在步骤406，该方法包括向RRC层指示分离式SRB的MCG分支上的失败。UE 300被配置为其中RRC层接收分离式SRB的MCG分支上的失败指示。

在步骤408，该方法包括发起RRC连接重建程序。UE 300被配置为发起RRC连接重建程序。

在这种情况下，如果确定完整性检查失败是由于分离式SRB的SCG分支造成的，则在步骤410，该方法包括声明SN 200的失败。UE 300被配置为如果确定完整性检查失败是由于分离式SRB的SCG分支造成的，则声明SN 200的失败。

在步骤412，该方法包括在上行链路中暂停分离式SRB的SCG分支上的传输。UE 300被配置为在上行链路中暂停分离式SRB的SCG分支上的传输。

在步骤414，该方法包括：在上行链路中暂停在SCG SRB(即，SRB3)(如果配置)上的传输。UE 300被配置为在上行链路中暂停在SCG SRB(即，SRB3)上的传输。

在步骤416，该方法包括暂停与SN 200相关联的所有DRB上的传输。这包括暂停MCG分离式DRB的SCG分支(如果配置)上的SCG传输，此外，暂停SCG分离式DRB的SCG分支(如果配置)上的SCG传输。UE 300被配置为暂停与SN 200相关联的所有DRB上的传输。UE 300被配置为暂停MCG分离式DRB和SCG分离式DRB的SCG分支上的SCG传输。

在步骤418，该方法包括向MN 100发送指示分离式SRB的完整性检查失败的SCG失败消息。UE 300被配置为向MN 100发送指示分离式SRB的完整性检查失败的SCG失败消息。

流程图400中的各种动作、行为、块、步骤等可以以呈现的顺序、不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过一些动作、行为、块、步骤等。

图5a和图5b是示出根据本文公开的实施例的用于处理与MN 100相关联的DRB上的完整性检查失败的方法的流程图500a和流程图500b。

在MCG DRB上的完整性检查失败：在实施例中，如果在MCG DRB上，则配置完整性保护，并且在检测到在MN 100上建立的DRB(即，MCG DRB)上的完整性检查失败时，UE 300检查其完整性检查已经连续地/连贯地失败的PDCP PDU的数量。例如，UE 300可以针对为其配置了完整性保护的每个DRB维持INTEGRITY_CHK_FAIL_COUNTER。当建立DRB时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当完整性检查通过了相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时(在PDCP计数窗口内)，INTEGRITY_CHK_FAIL_COUNTER会增加1。如果MAC-I连续地/连贯地失败的PDCP PDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP层仅丢弃PDCP PDU。阈值可以由网络预先定义或用信号发送(例如，在PDCP配置中)。如果MAC-I连续地/连贯地失败的PDCPPDU的数量大于或等于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCPPDU、暂停DRB、向RRC层通知失败，并且然后RRC向MN 100发送指示完整性失败的RRC消息。UE300在向MN 100指示完整性失败的RRC消息中包括的完整性失败的DRB的DRB ID。MN 100向UE 300发送信号以重建受影响的DRB或者所有DRB，以及安全密钥(即，KeNB/KgNB)刷新。或者，如果MAC-I连续地/连贯地失败的PDCP PDU的数量(对于大于上次成功完整性检查的PDCP计数或在PDCP计数窗口内的PDCP计数)大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU、暂停DRB，然后PDCP向MN发送指示完整性故障的PDCP控制PDU。MN向UE发送信号以重建受影响的DRB或者所有DRB，以及安全密钥(即，KeNB)刷新。如果在一个MCG DRB上检测到完整性检查失败，其中MAC-I连续地/连贯地发生失败的PDCP PDU的数量大于阈值，而其他MCG DRB没有完整性检查失败，如果需要为重建的受影响的MCG DRB刷新安全密钥，则需要重建所有未受影响的MCG DRB，因为安全密钥对所有DRB都是通用的。如果每个DRB都使用安全密钥(如果为每个已建立的DRB使用唯一的密钥)，则可以刷新受影响的MCG DRB的(K_UPint)和(K_UPenc)，并且仅重建受影响的MCG DRB。这避免了未受影响的MCGDRB的PDCP重建，并且在一定程度上防止了对所有未受影响的DRB的拒绝服务攻击。

在另一个实施例中，当建立DRB时，将INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。完整性检查可能不会连续地/连贯地失败，因此当完整性检查通过相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER不会重置为0。如果MAC-I失败的PDCP PDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP只是丢弃PDCP PDU。阈值可以由网络预先定义或用信号发送(例如在PDCP配置中)。如果MAC-I失败的PDCP PDU的数量大于或等于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，PDCP向RRC层通知失败，并且RRC层向MN 100发送指示完整性失败的RRC消息。UE在向MN 100指示完整性失败的RRC消息中包括完整性失败的DRB的DRB ID。MN 100向UE 100发送信号以重建受影响的DRB或者所有DRB，以及安全密钥(即，KeNB)刷新。或者，如果MAC-I失败的PDCP PDU的数量大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，然后PDCP向MN发送指示完整性失败的PDCP控制PDU。MN向UE发送信号以重建受影响的DRB或者所有DRB，以及安全密钥(即，KeNB)刷新。

在实施例中，仅重建受影响的DRB：

如果在MCG DRB上配置了完整性保护，并且在MN 100上建立的DRB(即，MCG DRB)上检测到完整性检查失败时，PDCP层将丢弃完整性检查失败的PDCP PDU、暂停受影响的DRB，PDCP向RRC层通知失败，RRC层向MN发送指示完整性失败的RRC消息。UE在向MN 100指示完整性失败的RRC消息中包括完整性失败的DRB的DRB ID。MN 100向UE发送信号，仅重建受影响的DRB。

在另一个实施例中，PDCP层丢弃完整性检查失败的PDCP PDU，然后PDCP向MN 100发送指示完整性失败的PDCP控制PDU。MN 100向UE 300发信号以重建受影响的DRB。如果在一个MCG DRB检测到完整性检查失败，而其他MCG DRB没有完整性检查失败，如果需要为重建的受影响的MCG DRB刷新安全密钥，则在安全密钥对所有DRB都是通用的情况下，需要重建所有未受影响的MCG DRB。如果安全密钥是针对每个DRB的，则可以刷新受影响的MCG DRB的(K_UPint)和(K_UPenc)，并且仅重建受影响的MCG DRB。这避免了未受影响的MCG DRB的PDCP重建。用于完整性检查失败的UE 300操作可以基于N个连续的分组失败(即，INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，或者基于N个失败但不连续的分组。

在实施例中，UE执行RRC重建程序：如果在MCG DRB上配置了完整性保护，并且在检测到在MN 100上建立的DRB(即，MCG DRB)上的完整性检查失败时，则检查MAC-I连续地/连贯地失败的PDCP PDU的数量。例如，UE可以为配置了完整性保护的每个DRB保持INTEGRITY_CHK_FAIL_COUNTER。当建立DRB时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当完整性检查通过了相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。如果MAC-I连续地/连贯地失败的PDCP PDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP仅丢弃PDCPPDU。如果MAC-I连续地/连贯地失败的PDCP PDU的数量大于或等于阈值(INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，PDCP向RRC通知失败，并且RRC重建连接。阈值可以由网络预先定义或用信号发送(例如，在PDCP配置中)。

在另一个实施例中，当建立DRB时，将INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。完整性检查可能不会连续地/连贯地失败，因此当完整性检查通过相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER不会重置为0。如果MAC-I失败的PDCP PDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP层只是丢弃PDCP PDU。如果MAC-I失败的PDCPPDU的数量大于或等于阈值(INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP层丢弃PDCPPDU，PDCP层向RRC层通知失败，并且RRC重建连接。阈值可以由网络预先定义或用信号发送(例如，在PDCP配置中)。

在另一个实施例中，如果在MCG DRB上配置了完整性保护，并且在检测到在MN 100上建立的DRB(即，MCG DRB)上的完整性检查失败时，PDCP层丢弃完整性检查失败的PDCPPDU，然后PDCP层向RRC层通知失败，RRC重建连接。在这种情况下，没有基于阈值的标准，或者将阈值设置为1，以使PDCP能够采取检测完整性检查失败的动作。

在实施例中，UE丢弃受影响的DRB的PDCP PDU，并向MN 100指示：如果在MCG DRB上配置了完整性保护，并且在检测到在MN 100上建立的DRB(即MCG DRB)上的完整性检查失败时，PDCP层简单地继续丢弃确定完整性检查失败的PDCP PDU。PDCP层向RRC层通知失败，并且RRC层向MN 100发送指示完整性检查失败的RRC消息。UE 300在RRC消息中包括向MN指示在其上完整性失败的DRB的完整性失败和DRB ID。UE 300不会自动暂停受影响的DRB，而是在发送RRC消息之后等待来自gNB的操作。在这种情况下，可以指定基于阈值的标准，以使PDCP阈值>＝1，以采取检测完整性检查失败的动作。gNB操作可以是释放受影响的DRB或重建受影响的DRB或释放UE RRC连接。

上述细节在流程图500a中作为步骤呈现。下面详细描述流程图500a的各个步骤。

在步骤502a，该方法包括在双连接操作模式的MN 100中终止的DRB上执行完整性检查。UE 300被配置为根据图2c的流程图200c确定DRB在MN中终止。UE 300被配置为在双连接操作模式的MN 100中终止的DRB上执行完整性检查。

在步骤504a，该方法包括确定在MN 100中终止的DRB上的完整性检查失败。只有在发生接收到的PDCP PDU的预先配置的连续数量(n)的完整性检查失败并向RRC指示时，PDCP层才会声明MCG DRB完整性检查失败。n的值(例如，n＝＝5)可以由网络决定并指示给UE300。UE 300被配置为确定在MN 100中终止的DRB上的完整性检查失败。UE 300被配置为仅当PDCP PDU的预先配置的(n)个连续的完整性检查失败发生时，才声明MCG DRB完整性检查失败。

在步骤506a，该方法包括丢弃在完整性检查失败的DRB上接收到的PDCP PDU。UE300被配置为丢弃完整性检查失败的DRB接收到的PDCP PDU。

在步骤508a，该方法包括在上行链路中暂停相关联的DRB上的传输。UE 300被配置为在上行链路中暂停相关联的DRB上的传输。

在步骤510a，该方法包括发起RRC连接重建程序或向MN 100发送指示确定完整性检查失败的DRB ID的RRC消息。UE 300被配置为或者发起RRC连接重建程序，或者向MN 100发送指示确定完整性检查失败的DRB ID的RRC消息。

在一些实施例中，如果UE 300(PDCP层)检测到与MN 100相关联的DRB(即，MCGDRB)上的完整性检查失败，则UE确定失败的原因，并将失败连同可能导致受影响DRB的RRC连接重建程序或PDCP重建或受影响DRB的暂停的原因一起向RRC层通知，并且向MN 100发送指示确定的原因的RRC消息。MN100操作可以是释放受影响的DRB或重建受影响的DRB或释放UE RRC连接。

与原因确定有关的详细信息如下。

在实施例中，完整性检查失败的起因/原因被确定：UE 300被配置为确定完整性检查失败的起因/原因。在该实施例中，基于完整性检查失败的起因/原因来确定采取的动作。由于上下文不匹配而导致的完整性检查失败，即密钥不匹配不仅会影响已建立的DRB，还会影响SRB(因为所有密钥都是从根/主密钥(KgNB/KeNB)中导出的)，在这种情况下，UE RRC可以触发RRC连接重建程序以进行上下文匹配。由于上下文不匹配(即，HFN不匹配)导致的完整性检查失败将仅影响已建立的DRB，对于此，HFN被去同步，但是其他建立的DRB和SRB未受影响，在这种情况下，UE RRC可以触发PDCP重建受影响的DRB以进行上下文匹配。但是，如果完整性检查失败不是由于上下文不匹配(即，密钥不匹配或HFN不匹配)造成的，则重建RRC连接是没有用的，因为问题可能是由于包注入攻击造成的。即使在受影响的DRB重建RRC连接或PDCP重建后，问题仍可能存在。完整性检查失败的起因/原因可以由UE识别。如果密钥不匹配，将为所有已建立的DRB和SRB生成失败MAC-I。如果HFN不匹配，将为受影响的DRB生成失败MAC-I。在包注入攻击的情况下，MAC-I将丢失或包含由入侵者引入的虚拟PDCP PDU的无用MAC-I，而MAC-I检查将通过由真实发射机传输的PDCP PDU。这就要求UEPDCP识别完整性检查失败的原因。取决于原因，UE或者发起RRC连接重建程序，或者UE可以使用包括与HFN不匹配相关联的原因值的RRC消息向MN指示重建受影响的MCG DRB的PDCP，或者UE只是保持丢弃具有丢失/失败的MAC-I的PDCP PDU，暂停受影响的DRB，并且使用包括与丢失/失败的MAC-I相关联的原因值的RRC消息向MN指示受影响的MCG DRB。

如果当PDCP PDU的数量连续地/连贯地失败(即，丢失的分组数据单元)大于阈值时，完整性检查由于包注入而失败，则PDCP向RRC通知失败，并且RRC可以触发DRB重建，以及安全密钥(即KeNB)刷新。然而，即使在受影响的DRB的PDCP重建和密钥刷新之后，如果完整性检查失败问题继续存在，则RRC可以使用包括与丢失的MAC-I相关联的原因值的RRC消息向受影响的MCG DRB的MN指示。取决于原因值，如果原因值与分组注入问题相关，则网络将重建具有刷新的安全密钥的PDCP或者简单地释放UE RRC连接。

在另一个实施例中，如果当MAC-I连续地/连贯地失败的PDCP PDU的数量大于阈值时，由于包注入而导致完整性检查失败，则PDCP向RRC通知失败，并且RRC可以触发RRC连接重建程序。

流程图500a中的各种动作、行为、块、步骤等可以以呈现的顺序、不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过一些动作、行为、块、步骤等。

图5b是示出根据本文公开的实施例的用于处理在服务节点中终止的DRB上的完整性检查失败的方法的流程图500b。

在步骤502b，该方法包括在独立操作的服务节点中终止的DRB上执行完整性检查。UE 300被配置为在独立操作的服务节点中终止的DRB上执行完整性检查。服务节点可以是gNB或eNB。

在步骤504b，该方法包括确定在服务节点中终止的DRB上的完整性检查失败。只有在接收到的PDCP PDU发生预先配置的连续数量(n)的连续完整性检查失败并向RRC指示时，PDCP层才会声明DRB完整性检查失败。n的值(例如，n＝＝5)可以由网络决定并指示给UE300。UE 300被配置为确定在服务节点中终止的DRB上的完整性检查失败。UE 300被配置为仅当接收到的PDCP PDU的预先配置的(n)个连续的完整性检查失败发生时，才声明DRB完整性检查失败。

在步骤506b，该方法包括丢弃在完整性检查失败的DRB上接收到的PDCP PDU。UE300被配置为丢弃在完整性检查失败的DRB上接收到的PDCP PDU。

在步骤508b，该方法包括在上行链路中暂停相关联的DRB上的传输。UE 300被配置为在上行链路中暂停相关联的DRB上的传输。

在步骤510b，该方法包括执行发起RRC连接重建程序和向确定完整性检查失败的服务节点发送RRC消息中的至少一个。UE 300被配置为执行发起RRC连接重建程序和向服务节点发送指示确定完整性检查失败的DRB ID的RRC消息中的至少一个。

流程图500b中的各种动作、行为、块、步骤等可以以呈现的顺序、不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过一些动作、行为、块、步骤等。

图6是示出根据本文公开的实施例的用于处理与SN相关联的DRB上的完整性检查失败的方法的流程图600。UE 300被配置为根据图2c的流程图200c确定DRB在SN中终止。

在实施例中，所有的DRB都被重建：如果在SCG上配置了DRB完整性保护，并且在检测到在SN 200上建立的DRB(即，SCG DRB)上的完整性检查失败时，UE检查MAC-I连续地/连贯地失败的PDCP PDU的数量。例如，UE 300可以为配置了完整性保护的每个DRB保持INTEGRITY_CHK_FAIL_COUNTER。当建立DRB时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当完整性检查通过了相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。如果MAC-I连续地/连贯地失败的PDCP PDU的数量小于阈值(INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP层仅丢弃PDCP PDU。阈值可以由网络预先定义或用信号发送(例如，在PDCP配置中)。如果MAC-I连续地/连贯地失败的PDCP PDU的数量大于阈值(INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP层丢弃PDCP PDU，暂停受影响的DRB，PDCP层向RRC通知失败，并且RRC层向MN100发送指示SN 200处完整性失败的RRC消息。UE在向MN 100指示完整性失败的RRC消息中包括完整性失败的DRB的DRB ID。MN或SN向UE 300发信号，以用安全密钥(即，S-KgNB)刷新来重建受影响的SCG分离式DRB或所有SCG DRBs。在实施例中，如果MAC-I连续地/连贯地失败的PDCP PDU的数量(对于PDCP计数，其大于上一次成功完整性检查的PDCP计数或在PDCP计数窗口内)大于阈值(INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP层丢弃PDCP PDU，暂停受影响的DRB，然后PDCP层向SN 200发送指示完整性失败的PDCP控制PDU。SN 200向UE300发送信号以重建受影响的DRB或者所有DRB，以及安全密钥(即，S-KgNB)刷新。如果在一个SCG DRB上检测到完整性检查失败，其中连续地/连贯地发生失败的PDCP PDU的数量大于阈值，而其他SCG DRB没有完整性检查失败，如果需要为重建的受影响的SCG DRB刷新安全密钥，则需要重建所有未受影响的SCG DRB，因为安全密钥对所有DRB都是通用的。如果安全密钥是针对每个DRB的，则可以刷新受影响的SCG DRB的(K_UPint)和(K_UPenc)，并且仅重建受影响的SCG DRB。这避免了未受影响的SCG DRB的PDCP重建。

在另一个实施例中，当建立DRB时，将INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。完整性检查可能不会连续地/连贯地失败，因此当完整性检查通过相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER不会重置为0。如果MAC-I失败的PDCP PDU的数量小于阈值(INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP只是丢弃PDCP PDU。阈值可以由网络预先定义或用信号发送(例如，在PDCP配置中)。如果MAC-I失败的PDCP PDU的数量大于阈值(INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP层丢弃PDCP PDU，暂停受影响的DRB，PDCP层向RRC层通知失败，RRC层向MN 100发送指示在SN 200处完整性失败的RRC消息。UE 300在向MN 100指示完整性失败的RRC消息中包括确定完整性失的DRB的DRB ID。MN 100或SN 200向UE 300发送信号以重建受影响的SCG DRB或所有SCG DRB，以及安全密钥(即，KeNB)刷新。如果MAC-I失败的PDCP PDU的数量大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCPPDU，然后PDCP向SN发送指示完整性失败的PDCP控制PDU。SN向UE发送信号以重建受影响的DRB或者所有DRB，以及安全密钥(即，KeNB)刷新。

在一个实施例中，仅重建受影响的DRB：如果在SCG DRB上配置了完整性保护，并且在检测到在SN 200上建立的DRB(即，SCG DRB)完整性检查失败时，PDCP层丢弃完整性检查失败的PDCP PDU，暂停受影响的DRB，PDCP层向RRC层通知失败，并且RRC层向MN 100发送指示SN 200处完整性失败的RRC消息。UE 300在向MN 100指示完整性失败的RRC消息中包括完整性失败的DRB的DRB ID。MN 100或SN 200向UE 300发信号，仅重建受影响的SCG DRB。或者，PDCP层丢弃完整性检查失败的PDCP PDU，PDCP层向SN 200发送指示完整性失败的PDCP控制PDU。SN 200向UE 300发信号，仅重建受影响的SCG DRB。如果在一个SCG DRB上检测到完整性检查失败，而在其他SCG DRB上没有完整性检查失败(INTEGRITY_CHK_FAIL_COUNTER<阈值)，如果需要为重建的受影响的SCG DRB刷新安全密钥，则需要重建所有未受影响的SCG DRB，因为安全密钥对所有DRB都是通用的。如果安全密钥是针对每个SCG DRB的，则可以刷新受影响的SCG DRB的(K_UPint)和(K_UPenc)，并且仅重建受影响的SCG DRB。这避免了未受影响的SCG DRB的PDCP重建。用于完整性检查失败的UE操作可以基于N个连续的分组失败(即，INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，或者基于N个失败但不连续的分组。

在实施例中，UE RRC层声明SCG失败：如果在SCG上配置了DRB完整性保护，并且在检测到在SN 200上建立的DRB(即，SCG DRB)上的完整性检查失败时，则UE 300检查MAC-I连续地/连贯地失败的PDCP PDU的数量。例如，UE 300可以针对为其配置了完整性保护的每个DRB维持INTEGRITY_CHK_FAIL_COUNTER。当建立DRB时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当完整性检查通过了相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时(在PDCP计数窗口内)，INTEGRITY_CHK_FAIL_COUNTER会增加1。如果MAC-I连续地/连贯地失败的PDCP PDU的数量小于阈值(INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP只是丢弃PDCP PDU。阈值可以由网络预先定义或用信号发送(例如在PDCP配置中)。如果MAC-I连续地/连贯地失败的PDCP PDU的数量(对于PDCP计数，其大于上一次成功完整性检查的PDCP计数或在PDCP计数窗口内)大于阈值(INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP层丢弃PDCP PDU，PDCP向RRC层通知失败，RRC声明SgNB(或SCG)失败，并向MN发送指示SN处完整性失败的RRC消息。在声明SgNB(或SCG)失败时，UERRC执行以下操作：

a.暂停直接SCG SRB，并暂停MCG分离式SRB的SCG分支上的SCG传输；

b.暂停所有SCG DRB；

c.暂停MCG分离式DRB的SCG分支上的SCG传输；

d.暂停SCG分离式DRB的SCG分支上的SCG传输；

e.重置SCG-MAC；

f.向MN发送具有相应原因值(即，完整性检查失败)的SCGFailureInformation消息。

在替代实施例中，当建立DRB时，将INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。完整性检查可能不会连续地/连贯地失败，因此当完整性检查通过相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER不会重置为0。如果MAC-I失败的PDCP PDU的数量小于阈值(INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP只是丢弃PDCP PDU。阈值可以由网络预先定义或用信号发送(例如，在PDCP配置中)。如果MAC-I失败的PDCP PDU的数量大于阈值(INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，然后PDCP向RRC指示失败，然后RRC声明SgNB(或SCG)失败并向MN 100发送指示SN 200处完整性失败的RRC消息。在声明SgNB(或SCG)失败时，UERRC执行以下操作：

a)暂停直接SCG SRB，并在MCG分离式SRB的SCG分支上暂停SCG传输；

b)暂停所有SCG DRB；

c)暂停MCG分离式DRB的SCG分支上的SCG传输；

d)暂停SCG分离式DRB的SCG分支上的SCG传输；

e)重置SCG-MAC；

f)向MN发送具有相应原因值(即，完整性检查失败)的SCGFailureInformation消息。

在又一个实施例中，如果在SCG上配置了DRB完整性保护，并且在SN200上建立的DRB(即，SCG DRB)上检测到完整性检查失败时，PDCP丢弃PDCP PDU，PDCP向RRC通知失败，并且RRC声明SgNB(或SCG)失败，并向MN发送指示SN完整性失败的RRC消息。在这种情况下，没有基于阈值的标准，或者将阈值设置为1，以使PDCP能够采取操作检测完整性检查失败。在声明SgNB(或SCG)失败时，UERRC执行以下操作：

a)暂停直接SCG SRB，并在MCG分离式SRB的SCG分支上暂停SCG传输；

b)暂停所有SCG DRB；

c)暂停MCG分离式DRB的SCG分支上的SCG传输；

d)暂停SCG分离式DRB的SCG分支上的SCG传输；

e)重置SCG-MAC；

f)向MN发送具有相应原因值(即，完整性检查失败)的SCGFailureInformation消息。

在实施例中，UE 300丢弃受影响DRB的PDCP PDU，并通知MN 100或SN 100：如果配置了SCG DRB并且在SCG DRB上启用了完整性保护，则在检测到SCG DRB上的完整性检查失败时，检查MAC-I连续地/连贯地失败的PDCP PDU的数量。如果连续地/连贯或不连续发生失败的PDCP PDU的数量小于阈值，则PDCP层丢弃SCG DRB的PDCP PDU。如果MAC-I连续/连贯或不连续地失败的PDCP PDU的数量大于阈值，则PDCP层向RRC层通知，RRC层可以触发向MN100或SN 200发送具有相应原因值(即，完整性检查失败)的RRC消息。UE 300可以使用在UL或PDCP控制PDU中的SCG SRB上发送的RRC消息向SN 200指示受影响的SCG DRB的问题。UE300在向MN 100或SN 200指示完整性失败的RRC消息中包括确定完整性失败的DRB的DRBID。UE 300不会自动暂停受影响的DRB，而是在发送RRC消息之后等待来自SN 200(即，gNB)的操作。在这种情况下，可以指定基于阈值的标准，以使PDCP阈值>＝1，以采取操作检测完整性检查失败。MN或SN操作可以是释放受影响的DRB或重建受影响的DRB或释放SCG。

上述细节作为流程图600中的步骤呈现。下面详细描述流程图600的各个步骤。

在步骤602，该方法包括在双连接操作模式的SN 200中终止的DRB上执行完整性检查。UE 300被配置为在双连接操作模式的SN 200中终止的DRB上执行完整性检查。

在步骤604，该方法包括确定在SN 200中终止的DRB上接收到的PDCP PDU是否存在完整性检查失败。只有在接收到的PDCP PDU发生预先配置的连续数量(n)的完整性检查失败并向RRC指示时，PDCP层才会声明SCG DRB完整性检查失败。n的值(例如，n＝＝5)可以由网络决定并指示给UE 300。UE被配置为识别在SN 200中终止的DRB上接收到的PDCP PDU是否存在完整性检查失败。UE 300被配置为仅当接收到的PDCP PDU的预先配置的连续数量(n)的连续的完整性检查失败发生时，才声明SCG DRB完整性检查失败。

在步骤606，该方法包括在RRC层接收到SCG DRB失败指示时，声明SN失败、SCG失败或SgNB失败。UE 300被配置为在RRC层接收到短消息DRB失败指示时声明SN失败。

在步骤608，该方法包括丢弃在完整性检查失败的DRB上接收到的PDCP PDU。UE300被配置为丢弃在完整性检查失败的DRB上接收到的PDCP PDU。

在步骤610，该方法包括在上行链路中暂停相关联的DRB上的传输。UE 300被配置为在上行链路中暂停相关联的DRB上的传输。

在步骤612，该方法包括：向MN 100发送指示确定完整性检查失败的DRB ID的SCG失败消息，或者在SRB3(如果配置)上发送指示确定完整性检查失败的DRB ID的RRC消息。UE300被配置为或者向MN 100发送指示完整性检查失败的DRB ID的SCG失败消息，或者在SRB3(如果配置)上发送指示完整性检查失败的DRB ID的RRC消息。

在一些实施例中，如果UE 300(PDCP层)检测到与SN相关联的DRB(即，SCG DRB)上的完整性检查失败，则UE 300确定失败的原因，向RRC层通知失败以及可能导致SgNB失败的声明或受影响的DRB的PDCP重建或受影响的SCG DRB的暂停的原因，并且向MN发送指示确定的原因的RRC消息。gNB动作可以是释放受影响的SCG DRB或重建受影响的SCG DRB或释放SCG。

在实施例中，UE 300确定完整性检查失败的起因/原因：在该实施例中，基于完整性检查失败的原因来确定所采取的操作。由于上下文不匹配(即，密钥不匹配)导致的完整性检查失败不仅会影响已建立的SCG DRB，还会影响SCG SRB(即，SRB3)，在这种情况下，UERRC可以声明SgNB失败，并触发向MN 100发送具有相应原因值的SCGFailureInformation消息(即，由于密钥不匹配导致的完整性检查失败)。由于上下文不匹配(即，HFN不匹配)导致的完整性检查失败将仅影响已建立的SCG DRB，对于此，HFN被去同步，但是其他已建立的SCG DRB和SRB3未受影响，在这种情况下，UE RRC可以触发PDCP重建受影响的SCG DRB以进行上下文匹配。但是，如果完整性检查失败不是由于上下文不匹配(即，密钥不匹配或HFN不匹配)导致，则UE RRC可以声明SgNB失败，并触发向移动台发送具有相应原因值的SCGFailureInformation消息(即，由于包注入导致的完整性检查失败)。完整性检查失败的原因可以由UE确定。如果密钥不匹配，将为所有已建立的SCG DRB和SRB3生成失败MAC-I。如果HFN不匹配，将为受影响的SCG DRB生成失败MAC-I。在包注入攻击的情况下，MAC-I将丢失或包含由入侵者引入的虚拟PDCP PDU的无用MAC-I，而MAC-I检查将通过由真实发射机传输的PDCP PDU。这就要求UE PDCP确定完整性检查失败的原因。根据原因，UE 300或者声明SgNB失败，并且发起向MN 100发送具有相应原因值的SCGFailureInformation消息，或者UE300可以使用包括与HFN不匹配相关联的原因值的RRC消息向MN 100或SN 200指示重建受影响的SCG DRB的PDCP，或者UE 300丢弃具有丢失的MAC-I的PDCP PDU，暂停受影响的DRB，并且使用包括与丢失的MAC-I相关联的原因值的RRC消息向MN 100指示受影响的SCG DRB。

如果完整性检查失败是由于当MAC-I连续失败(即，丢失MAC-I)的PDCP PDU的数量大于阈值时包注入造成的，则PDCP会向RRC通知失败，并且RRC可以触发DRB重建，以及安全密钥(即，S-KgNB)刷新。然而，即使在受影响的DRB的PDCP重建和密钥刷新之后，如果完整性检查失败问题继续存在，则RRC可以使用包括与丢失的MAC-I相关联的原因值的RRC消息向受影响的SCG DRB的MN指示。根据原因值，如果原因值与包注入问题相关，网络将使用刷新的安全密钥重建PDCP，或者简单地释放SCG。

在另一个实施例中，如果当MAC-I连续地/连贯地失败的PDCP PDU的数量大于阈值时，由于包注入而导致完整性检查失败，则PDCP向RRC通知失败，RRC可以声明RRC失败，并向MN发送具有相应原因值的SCGFailureInformation消息。

流程图600中的各种动作、行为、块、步骤等可以以呈现的顺序、不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过一些动作、行为、块、步骤等。

图7是示出根据本文公开的实施例的用于在与MN相关联的分离式DRB上处理完整性检查失败的方法的流程图700。UE 300执行以下动作以处理与MN相关联的分离式DRB上的完整性检查失败。

在实施例中，重建所有MCG DRB：如果在MCG分离式DRB上配置了完整性保护，并且在MCG分离式DRB上检测到完整性检查失败，则检查MAC-I连续地/连贯地失败的PDCP PDU的数量。例如，UE 300可以针对为其配置了完整性保护的每个DRB维持INTEGRITY_CHK_FAIL_COUNTER。当建立DRB时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当完整性检查通过了相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。如果MAC-I连续地/连贯地失败的PDCPPDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP层将丢弃PDCP PDU。

如果MAC-I连续地/连贯地失败的PDCP PDU的数量大于阈值(INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，暂停该DRB的两个分支，PDCP层向RRC层通知失败，并且RRC层向MN 100发送指示完整性失败的RRC消息。UE 300在向MN 100指示完整性失败的RRC消息中包括完整性失败的DRB的DRB ID。MN 100向UE 300发送信号以重建受影响的DRB或者所有DRB，以及安全密钥(即，KeNB)刷新。在实施例中，如果MAC-I连续地/连贯地失败的PDCP PDU的数量(对于PDCP计数，其大于上一次成功完整性检查的PDCP计数或在PDCP计数窗口内)大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP层丢弃PDCPPDU，暂停该DRB的两个分支，然后PDCP层向MN 100发送指示完整性失败的PDCP控制PDU。MN100向UE 300发送信号以重建受影响的MCG分离式DRB和所有DRB，以及安全密钥(即，KeNB)刷新。

在另一个实施例中，当建立DRB时，将INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。完整性检查可能不会连续地/连贯地失败，因此当完整性检查通过相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER不会重置为0。如果MAC-I失败的PDCP PDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP只是丢弃PDCP PDU。如果MAC-I失败的PDCPPDU的数量大于阈值(INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP层丢弃PDCP PDU，暂停此DRB，然后PDCP向RRC指示失败，RRC向MN 100发送指示完整性失败的RRC消息。UE 300在向MN指示完整性失败的RRC消息中包括完整性失败的DRB的DRB ID。MN向UE 300发送信号以重建受影响的DRB或者所有DRB，以及安全密钥(即，KeNB)刷新。在实施例中，如果MAC-I失败的PDCP PDU的数量大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCPPDU，暂停该DRB的两个分支，然后PDCP向MN发送指示完整性失败的PDCP控制PDU。MN向UE发送信号以重建受影响的MCG分离式DRB和/或所有DRB，以及安全密钥(即，KeNB)刷新。

在实施例中，仅受影响的DRB被重建：如果在MCG上配置了分离式DRB完整性保护，并且在检测到分离式DRB上的完整性检查失败时，PDCP层丢弃完整性检查失败的PDCP PDU，暂停此DRB，PDCP向RRC通知失败，并且RRC向MN 100发送指示完整性失败的RRC消息。UE 300在向MN指示完整性失败的RRC消息中包括完整性失败的DRB的DRB ID。MN向UE 300发送信号，仅重建受影响的DRB。在一个实施例中，PDCP层丢弃完整性检查失败的PDCP PDU，暂停此DRB，然后PDCP层向MN 100发送指示完整性故障的PDCP控制PDU。MN 100向UE 300发送信号，仅重建受影响的DRB。如果在一个MCG分离式DRB上检测到完整性检查失败，而在MN 100上建立的其他DRB没有完整性检查失败(INTEGRITY_CHK_FAIL_COUNTER<阈值)，如果需要为重建的受影响的MCG分离式DRB刷新安全密钥，则需要重建所有未受影响的MCG DRB，因为安全密钥对所有DRB都是通用的。如果安全密钥是针对每个DRB的，则可以刷新受影响的MCG分离式DRB的(KUPint)和(KUPenc)，并且仅重建受影响的MCG分离式DRB。这避免了未受影响的MCGDRB的PDCP重建。用于完整性检查失败的UE 300操作可以基于N个连续的包失败(即，INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，或者基于N个失败但不连续的包。

在实施例中，UE执行RRC重建程序：如果在MCG上配置了分离式DRB完整性保护，并且在检测到在MN 100上建立的分离式DRB上的完整性检查失败时，则UE 300检查MAC-I连续地/连贯地失败的PDCP PDU的数量。例如，UE 300可以针对为其配置了完整性保护的每个DRB维持INTEGRITY_CHK_FAIL_COUNTER。当建立DRB时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当完整性检查通过了相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。如果MAC-I连续地/连贯地失败的PDCP PDU的数量小于阈值(INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP只是丢弃PDCP PDU。如果MAC-I连续地/连贯地失败的PDCP PDU的数量超过阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，暂停此DRB，PDCP向RRC通知失败，并且RRC重建连接。

在另一个实施例中，当建立DRB时，将INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。完整性检查可能不会连续地/连贯地失败，因此当完整性检查通过相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER不会重置为0。如果MAC-I失败的PDCP PDU的数量小于阈值(INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP层丢弃PDCP PDU。如果MAC-I失败的PDCP PDU的数量大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，暂停此DRB，PDCP向RRC通知失败，并且RRC重建连接。

在实施例中，UE 300确定导致完整性检查失败的MCG分离式DRB的分支：UE 300确定造成MAC-I失败的RLC SDU是来自MCG分离式DRB的MCG分支还是MCG分离式DRB的SCG分支。为MCG分离式DRB的每个分支保持INTEGRITY_CHK_FAIL_COUNTER。如果INTEGRITY_CHK_FAIL_COUNTER>＝MCG分支的阈值，则失败是由于MCG分支造成的。如果INTEGRITY_CHK_FAIL_COUNTER>＝SCG分支的阈值，则失败是由于SCG分支造成的。如果失败是由于MCG分离式DRB的MCG分支造成的，则RRC层发动RRC连接重建程序。如果失败是由于MCG分离式DRB的SCG分支造成的，则RRC声明SCG失败并执行以下操作：

a.暂停直接SCG SRB，并暂停MCG分离式SRB的SCG分支上的SCG传输；

b.暂停所有SCG DRB；

c.暂停MCG分离式DRB的SCG分支上的SCG传输；

d.暂停SCG分离式DRB的SCG分支上的SCG传输；

e.重置SCG-MAC；

f.向MN发送具有相应原因值(即，完整性检查失败)的SCGFailureInformation消息。

在另一个实施例中，如果在MCG分离式DRB上配置了完整性保护，并且在检测到导致MCG分离式DRB上完整性检查失败的分支时，PDCP层丢弃完整性检查失败的PDCP PDU。PDCP层向RRC层通知失败和导致完整性检查失败的分支。如果失败是由于MCG分离式DRB的MCG分支造成的，则如果一个或更多个MCG DRBs遇到完整性检查失败，RRC层发起RRC连接重建程序。如果失败是由于MCG分离式DRB的SCG分支造成的，则如果至少SCG SRB遇到完整性检查失败，RRC声明SCG失败，并且向MN 100发送具有相应原因值的SCGFailureInformation消息。在这种情况下，没有基于阈值的标准，或者将阈值设置为1，以使PDCP能够采取操作检测完整性检查失败。

在又一实施例中，UE 300确定造成MAC-I失败的RLC SDU是来自MCG分离式DRB的MCG分支还是MCG分离式DRB的SCG分支。根据从哪个RLC接收到MAC-I失败的PDCP PDU，UEPDCP层可以确定分组注入攻击发生在哪个分支。例如，如果MAC-I失败的PDCP PDU是从SCGRLC实体接收到的，则包注入攻击发生在SCG分支上，如果MAC-I失败的PDCP PDU是从MCGRLC实体接收到的，则包注入攻击发生在MCG分支上。在确定导致完整性检查失败的分支后，PDCP可以向RRC指示MCG分离式DRB受影响分支，RRC可以触发受影响分支的暂停，同时在MCG分离式DRB的未受影响分支上继续数据传输。如果失败是由于MCG分离式DRB的MCG分支引起的，则RRC暂停MCG分支，但如果PDCP的完整性检查通过，则SCG分支将继续。UE 300向MN发送RRC消息以指示MCG分离式DRB的MCG分支受到影响。如果失败是由于MCG分离式DRB的SCG分支造成的，RRC暂停SCG分支，但如果PDCP层的完整性检查通过，MCG分支将继续。UE 300向MN100发送RRC消息以指示MCG分离式DRB的SCG分支受到影响。

上述细节在流程图700中作为步骤呈现。下面详细描述流程图700的各个步骤。

在步骤702，该方法包括在双连接操作模式的MN 100中终止的分离式DRB上执行完整性检查。UE 300被配置为对在双连接操作模式的MN 100中终止的分离式DRB上执行完整性检查。

在步骤704，该方法包括确定完整性检查失败是否是由于分离式DRB的MCG分支造成的。UE 300被配置为确定完整性检查失败是否是由于分离式DRB的MCG分支造成的。如果确定完整性检查失败是由于分离式DRB的MCG分支造成的，则在步骤706，该方法包括丢弃在完整性检查失败的分离式DRB的MCG分支上接收到的PDCP PDU。UE 300被配置为丢弃完整性检查失败的在分离式DRB的MCG分支上接收到的PDCP PDU。

在步骤708，该方法包括在上行链路中暂停分离式DRB的MCG分支上的传输。UE 300被配置为在上行链路中暂停分离式DRB的MCG分支上的传输。

在步骤710，该方法包括执行发起RRC重建程序或者在SRB1或SRB2上发送指示确定完整性检查失败的分离式DRB的DRB ID的RRC消息。UE300被配置为发起RRC重建程序或者在RRCB1或RRCB2上发送RRC消息，指示确定完整性检查失败的分离式DRB的DRB ID。

如果在步骤704，确定完整性检查失败是由于分离式DRB的SCG分支造成的，则在步骤712，该方法包括丢弃完整性检查失败的分离式DRB的SCG分支上接收到的PDCP PDU。UE300被配置为丢弃完整性检查失败的在分离式DRB的SCG分支上接收到的PDCP PDU。

在步骤714，该方法包括在上行链路中暂停分离式DRB的SCG分支上的传输。UE 300被配置为在上行链路中暂停分离式DRB的SCG分支上的传输。

在步骤716，该方法包括在SRB1或SRB2上向MN 100发送指示分离式DRB的DRB ID的RRC消息，或者向MN 100发送指示分离式DRB的DRB ID的SCG失败消息。UE 300被配置为在SRB1或SRB2上向MN 100发送指示分离式DRB的DRB ID的RRC消息，或者向MN 100发送指示分离式DRB的DRB ID的SCG失败消息。

流程图700中的各种动作、行为、框、步骤等可以以呈现的顺序，以不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过一些动作、行为、块、步骤等。

图8是示出根据本文公开的实施例的用于在与SN相关联的分离式DRB上处理完整性检查失败的方法的流程图800。

在实施例中，重建所有的SCG DRB：如果在SCG上配置了分离式DRB完整性保护，并且在检测到分离式DRB上的完整性检查失败时，UE 300检查MAC-I连续地/连贯地失败的PDCP PDU的数量。例如，UE 30 0可以针对为其配置了完整性保护的每个SCG分离式DRB维持INTEGRITY_CHK_FAIL_COUNTER。当建立SCG分离式DRB时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当完整性检查通过了相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。如果MAC-I连续地/连贯地失败的PDCP PDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP仅丢弃PDCP PDU。如果MAC-I连续地/连贯地失败的PDCP PDU的数量大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP层丢弃PDCP PDU，暂停该DRB的两个分支。此外，PDCP层向RRC层指示失败，并且RRC层向MN 100发送指示SN 200处的完整性失败的RRC消息。UE 300在向MN 100指示完整性失败的RRC消息中包括完整性失败的DRB的DRB ID。MN 100或SN 200向UE 300发信号以重建受影响的SCG分离式DRB和所有SCG DRB，以及安全密钥(即，S-KgNB)刷新。在实施例中，MAC-I连续地/连贯地失败的PDCP PDU的数量(对于PDCP计数，其大于上一次成功完整性检查的PDCP计数或在PDCP计数窗口内)大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，暂停该DRB的两个分支，然后PDCP向SN发送指示完整性失败的PDCP控制PDU。SN向UE发信号以重建受影响的SCG分离式DRB和所有SCG DRB，以及安全密钥(即，S-KgNB)刷新。

在实施例中，当建立DRB时，将INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。完整性检查可能不会连续地/连贯地失败，因此当完整性检查通过相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER不会重置为0。如果MAC-I失败的PDCP PDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP只是丢弃PDCP PDU。如果MAC-I失败的PDCP PDU的数量大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，暂停该DRB的两个分支，然后PDCP层向RRC层指示失败，RRC层向MN 100发送指示在无线网络200处完整性失败的RRC消息。UE 300在向MN 100指示完整性失败的RRC消息中包括完整性失败的DRB的DRBID。MN 100或SN 200向UE 300发信号以重建受影响的SCG分离式DRB和所有SCG DRB，以及安全密钥(即，S-KgNB)刷新。在实施例中，如果MAC-I失败的PDCP PDU的数量大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCP PDU，暂停该DRB的两个分支，然后PDCP向SN发送指示完整性失败的PDCP控制PDU。SN向UE发信号以重建受影响的SCG分离式DRB和所有DRB，以及安全密钥(即，S-KgNB)刷新。

在实施例中，仅受影响的DRB被重建：如果在SCG分离式DRB上配置了完整性保护，并且在检测到SCG分离式DRB上的完整性检查失败时，PDCP层丢弃完整性检查失败的PDCPPDU，暂停该DRB的两个分支，PDCP层向RRC层通知失败，并且RRC层向MN 100发送指示完整性失败的RRC消息。UE 300在向MN 100指示完整性失败的RRC消息中包括完整性失败的DRB的DRB ID。MN 100向UE 300发信号，以仅重建受影响的MCG分离式DRB。在实施例中，PDCP层丢弃完整性检查失败的PDCP PDU，暂停该DRB的两个分支，然后PDCP层向MN 100发送指示完整性失败的PDCP控制PDU。MN 100向UE 300发信号，以仅重建受影响的MCG分离式DRB。如果在一个SCG分离式DRB上检测到完整性检查失败，而在SN 200上建立了其他DRB，则不存在完整性检查失败(INTEGRITY_CHK_FAIL_COUNTER<阈值)，如果需要为重建的受影响的SCG分离式DRB刷新安全密钥，则需要重建所有未受影响的SCG DRB，因为安全密钥对所有DRB都是通用的。如果安全密钥是针对每个DRB的，则可以刷新受影响的SCG分离式DRB的(K_UPint)和(K_UPenc)，并且仅重建受影响的SCG分离式DRB。这避免了未受影响的SCG DRB的PDCP重建。用于完整性检查失败的UE 300操作可以基于N个连续的包失败(即，INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，或者基于N个失败但不连续的包。

在实施例中，UE 300声明SN(SgNB)失败：如果在SCG上配置了DRB完整性保护，并且一旦在SCG上检测到完整性检查失败，则UE 300检查MAC-I连续/连贯地失败的PDCP PDU的数量。例如，UE 300可以针对为其配置了完整性保护的每个SCG分离式DRB维持INTEGRITY_CHK_FAIL_COUNTER。当建立SCG分离式DRB时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当完整性检查通过了相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。如果MAC-I连续地/连贯地失败的PDCP PDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP层将丢弃PDCP PDU。如果MAC-I连续地/连贯地失败的PDCP PDU的数量大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP层丢弃PDCP PDU，PDCP层向RRC层通知失败，并且RRC声明SCG失败并且执行以下操作：

a.暂停直接SCG SRB，并暂停MCG分离式SRB的SCG分支上的SCG传输；

b.暂停所有SCG DRB；

c.暂停MCG分离式DRB的SCG分支上的SCG传输；

d.暂停SCG分离式DRB的SCG分支上的SCG传输；

e.重置SCG-MAC；

f.向MN发送具有相应原因值(即，完整性检查失败)的SCGFailureInformation消息。

或者，RRC执行以下操作，而不是声明SgNB失败

a.暂停MCG分离式DRB的SCG分支上的SCG传输；

b.暂停SCG分离式DRB的SCG分支上的SCG传输；

c.继续在SCG分离式DRB的MCG分支上的传输；

d.向MN发送具有相应原因值(即，，完整性检查失败)的RRC消息。

在替代实施例中，当建立SCG分离式DRB时，将INTEGRITY_CHK_FAIL_COUNTER设置为0。当相应DRB的PDCP PDU的完整性检查失败时，INTEGRITY_CHK_FAIL_COUNTER增加1。完整性检查可能不会连续/连贯地失败，因此当完整性检查通过相应DRB的PDCP PDU时，INTEGRITY_CHK_FAIL_COUNTER不会重置为0。如果MAC-I失败的PDCP PDU的数量小于阈值(或INTEGRITY_CHK_FAIL_COUNTER<阈值)，则PDCP只是丢弃PDCP PDU。如果MAC-I失败的PDCP PDU的数量大于阈值(或INTEGRITY_CHK_FAIL_COUNTER>＝阈值)，则PDCP丢弃PDCPPDU，然后PDCP向RRC通知失败并且RRC声明SCG失败并且执行以下操作：

a.暂停直接SCG SRB，并暂停MCG分离式SRB的SCG分支上的SCG传输；

b.暂停所有SCG DRB；

c.暂停MCG分离式DRB的SCG分支上的SCG传输；

d.暂停SCG分离式DRB的SCG分支上的SCG传输；

e.重置SCG-MAC；

f.向MN发送具有相应原因值(即，完整性检查失败)的SCGFailureInformation消息。

在实施例中，代替声明SgNB失败，UE RRC执行以下操作：

a.暂停MCG分离式DRB的SCG分支上的SCG传输；

b.暂停SCG分离式DRB的SCG分支上的SCG传输；

c.继续在SCG分离式DRB的MCG分支上的传输；

d.向MN发送具有相应原因值(即，完整性检查失败)的RRC消息。

在上述实施例中，当RRC触发SCG分离式DRB重建时，UE不确定造成MAC-I失败的RLCSDU是来自SCG分离式承载的MCG分支还是SCG分支。

在实施例中，UE 300确定导致完整性检查失败的SCG分离式DRB的分支：UE 300确定造成MAC-I失败的RLC SDU是来自SCG分离式承载的MCG分支还是SCG分支。根据MAC-I失败的PDCP PDU来自哪个RLC，PDCP层可以确定包注入攻击发生在哪个分支。例如，如果MAC-I失败的PDCP PDU是从SCG RLC实体接收到的，则包注入攻击发生在SCG分支上，如果MAC-I失败的PDCP PDU是从MCG RLC实体接收到的，则包注入攻击发生在MCG分支上。在确定导致完整性检查失败的分支之后，PDCP层可以向RRC指示SCG分离式DRB的受影响分支，并且RRC可以触发受影响分支的暂停，同时继续在未受影响分支上传输数据。如果UE 300确定SCG分支导致完整性检查失败，则UE 300可以：

1)仅暂停检测到完整性失败的SCG分离式DRB的SCG分支。

或者

2)暂停在所有MCG分离式SRB的SCG分支上的SCG传输；

3)暂停在所有SCG分离式DRB的SCG分支上的SCG传输；

或者

4)暂停在所有MCG分离式DRB和MCG分离式SRB的SCG分支上的SCG传输；

5)暂停在所有SCG DRB和SCG SRB上的SCG传输；

如果UE确定MCG分支导致完整性检查失败，则UE可以：

1)仅暂停检测到完整性失败的MCG分离式DRB的SCG分支。

或；

2)暂停在所有MCG分离式SRB的MCG分支上的MCG传输；

3)暂停在所有SCG分离式DRB的MCG分支上的MCG传输；

或者

4)重建RRC连接。

在另一个实施例中，确定造成MAC-I失败的RLC SDU是来自SCG分离式DRB的MCG分支还是SCG分支。根据从哪个RLC接收到MAC-I失败的PDCP PDU，UE PDCP可以确定包注入攻击发生在哪个分支。例如，如果MAC-I失败的PDCP PDU是从SCG RLC实体接收到的，则包注入攻击发生在SCG分支上，如果MAC-I失败的PDCP PDU是从MCG RLC实体接收到的，则包注入攻击发生在MCG分支上。在确定导致完整性检查失败的分支后，PDCP可以向RRC指示SCG分离式DRB受影响分支，RRC可以触发受影响分支的暂停，同时在SCG分离式DRB的未受影响分支上继续数据传输。如果失败是由于SCG分离式DRB的MCG分支引起的，则RRC层暂停MCG分支，但如果PDCP处的完整性检查通过，则SCG分支将继续。UE 300向MN发送RRC消息以指示SCG分离式DRB的MCG分支受到影响。如果失败是由于SCG分离式DRB的SCG分支造成的，RRC暂停SCG分支，但如果PDCP处的完整性检查通过，MCG分支将继续。UE 300向MN 100发送RRC消息以指示SCG分离式DRB的SCG分支受到影响。

上述细节作为流程图800中的步骤呈现。下面详细描述流程图800的各个步骤。

在步骤802，该方法包括在双连接操作模式的SN 200中终止的分离式DRB上执行完整性检查。UE 300被配置为对在双连接操作模式的SN 200中终止的分离式DRB上执行完整性检查。

在步骤804，该方法包括确定完整性检查失败是否是由于分离式DRB的MCG分支造成的。UE 300被配置为确定完整性检查失败是否是由于分离式DRB的MCG分支造成的。如果确定完整性检查失败是由于分离式DRB的MCG分支造成的，则在步骤806，该方法包括丢弃完整性检查失败的分离式DRB的MCG分支上接收到的PDCP PDU。UE 300被配置为丢弃完整性检查失败的在分离式DRB的MCG分支上接收到的PDCP PDU。

在步骤808，该方法包括在上行链路中暂停分离式DRB的MCG分支上的传输。UE 300被配置为在上行链路中暂停分离式DRB的MCG分支上的传输。

在步骤810，该方法包括在SRB1或SRB2上发送指示完整性检查失败的分离式DRB的DRB ID的RRC消息，或者在SRB3(如果配置)上发送指示完整性检查失败的分离式DRB的DRBID的RRC消息。UE 300被配置为在SRB1或SRB2上发送指示完整性检查失败的分离式DRB的DRB ID的RRC消息，或者UE 300被配置为在SRB3(如果配置)上发送指示完整性检查失败的分离式DRB的DRB ID的RRC消息。

如果在步骤804，确定完整性检查失败是由于分离式DRB的SCG分支造成的，则在步骤812，该方法包括丢弃确定完整性检查失败的分离式DRB的SCG分支上接收到的PDCP PDU。UE 300被配置为丢弃在分离式DRB的SCG分支上接收到的确定完整性检查失败的PDCP PDU。

在步骤814，该方法包括在上行链路中暂停分离式DRB的SCG分支上的传输。UE 300被配置为在上行链路中暂停分离式DRB的SCG分支上的传输。

在步骤816，该方法包括向MN 100发送指示确定完整性检查失败的分离式DRB的DRB ID的SCG失败消息，或者在SRB3(如果配置)上向SN 200发送指示确定完整性检查失败的分离式DRB的DRB ID的RRC消息。UE 300被配置为向MN 100发送指示确定完整性检查失败的分离式DRB的DRB ID的SCG失败消息，或者UE 300被配置为在SRB3(如果配置)上向SN 200发送指示确定完整性检查失败的分离式DRB的DRB ID的RRC消息。

流程图800中的各种动作、行为、框、步骤等可以以呈现的顺序，以不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过一些动作、行为、块、步骤等。

PDCP实体锚定在MN中的统一分离式DRB：在NR中UP加密密钥(即，K_UPenc)从KeNB的导出与LTE相比不同。如果是这种情况，则存在如何为在MN中终止PDCP实体的统一分离式DRB生成UP密钥的问题。

选项1a：使用LTE中定义的机制从KeNB生成K_UPenc。在LTE PDCP(用于MCG DRB)以及用于MN中锚定的统一分离式DRB的NR-PDCP中使用此选项。

选项2a：使用NR中定义的机制从KeNB生成K_UPenc。在LTE PDCP(用于MCG DRB)以及用于MN中锚定的统一分离式DRB的NR-PDCP中使用此选项。

选项3a：使用LTE中定义的机制从KeNB生成K_1UPenc。使用NR中定义的机制从KeNB生成K_2UPenc。在LTE PDCP中使用K_1UPenc(用于MCG DRB)，在用于在MN中锚定的统一分离式DRB的NR PDCP中使用K_2UPenc。

完整性保护密钥的导出类似于上述的UP加密密钥。

PDCP实体锚定在SN中的统一分离式DRB：

选项2b：使用NR中定义的机制从S-KgNB生成K_UPenc。在NR PDCP(用于SCG DRB)以及用于SN中固定的统一分离式DRB的NR-PDCP中使用此选项。

选项3b：使用NR中定义的机制从S-KgNB生成单独的K_1UPenc。使用NR中定义的机制从S-KgNB生成单独的K_2UPenc。在NR PDCP中使用K_1UPenc(对于SCG DRB)，在用于在SN中锚定的统一分离式DRB的NR PDCP中使用K_2UPenc。

完整性保护密钥的导出类似于上述的UP加密密钥。

NR-PDCP支持完整性保护。对于锚定在MN(即，LTE)中的统一SplitDRB，UE 300处的NR-PDCP需要知道是否应用完整性保护。这可以通过在LTE规范(即，TS 36.331)中添加用于分离式承载的完整性保护的配置来实现。或者，可以指定默认情况下禁用对锚定在LTE中的统一分离式DRB的完整性保护。

另一个问题是UE如何知道是否必须为锚定在MN(即，LTE节点)中的统一分离式DRB建立NR-PDCP实体。一个选项是在PDCP-config中具有显式指示。另一个选项是隐式的，基于PDCP-Config中指示的用于统一分离式DRB的安全密钥的指示。另一种选择是基于PDCP-config中的完整性保护启用/禁用指示。

统一分离式DRB也可以用于MN为NR而SN为LTE的架构选项。安全密钥(即，UP加密密钥和完整性保护密钥)以与上述相同的方式导出。

对于统一分离式DRB，UE 300行为可以根据图7中描述的方法。

防止由于完整性保护失败而对所有DRB进行DoS攻击：

密钥导出：

在一个实施例中，与传统的LTE UP加密密钥用法(用于所有DRB的一个密钥(K_UPenc))不同，每个DRB使用唯一的密钥进行保护(加密和/或完整性保护)。需要唯一密钥才能清楚地隔离DRB，并打破PDCP层上所有DRB对单个密钥的依赖性，这样做将有助于减轻拒绝服务(DoS)或减轻DoS攻击对UE的影响。如果将单个密钥用于所有DRB，则攻击者通过发送虚拟UP数据包，将使UE和/或网络中的完整性检查失败。频繁的完整性检查失败会使网络重新建立所有DRB，并进一步重复尝试；攻击者使网络脱离UE。每个DRB的唯一密钥均来自根/主接入层密钥：KgNB或S-KgNB，其中DRB ID与其他可能的输入一起作为输入之一。给出DRBID的UP完整性保护的密钥导出函数如下：

K_UPintDRB1＝HMAC-SHA-256(Key,S)

输入密钥应为gNB的K_eNB/K_gNB或增强型eNB的K_eNB。

字符串S应由n+1个输入参数S＝FC||P0||L0||...||Pn||Ln构成。在下图中，DRB标识被视为“1”。

-P0＝技术类型区分符

-L0＝技术类型区分符的长度(即0x00 0x01)

-P1＝技术标识

-L1＝技术标识的长度(即0x00 0x01)

-P2＝DRB-1标识的值

-L2＝DRB-1标识的长度

S包含上述输入，并且可能包含其他可能的输入。

FC用于区分该技术的不同实例，并且是单个八位位组或者由两个八位位组组成。

同样，DRB ID“1”的UP加密保护的密钥导出函数如下所示：

K_UPencDRB1＝HMAC-SHA-256(Key,S)

密钥刷新：

如果DRB的PDCP计数值即将回绕，则只刷新特定的DRB密钥。使用基于PDCP重建程序的过程完成DRB的密钥刷新，在该过程中分配了新的DRB ID。新的DRB ID来自未分配给特定UE的DRB ID池；分配的DRB ID用于导出新的唯一密钥(基于以上详细的密钥导出)。PDCP计数回绕的DRB ID不再被分配，直到AS安全根密钥(KgNB/S-KgNB)被刷新。当DRB ID池中的DRB ID用尽时(当有更多新DRB或频繁进行PDCP重建时)，则刷新根/主密钥(即，KeNB/KgNB)，从而避免了密钥重复。

图9是示出根据本文公开的实施例的UE 300的各种模块的框图。存在于UE 300中的主要块包括通信模块902、控制信令模块904、处理器模块906、存储器模块908、无线资源管理模块910和显示模块912。在一个实施例中，通信模块902被配置为从MN 100和SN 200接收无线信号。通信模块902包括与天线耦合的RF收发器模块(或双RF模块)，从天线接收RF信号，将其转换成基带信号，并将其发送到处理器906。

尽管在图9中未示出，但是UE 300包括3GPP协议栈、TCP/IP协议栈和应用模块，该3GPP协议栈支持各种协议层，包括NAS、AS/RRC、双PDCP、双RLC、双MAC和双PHY。具有双重连接的UE 300具有两个MAC实体。为MAC实体配置了两组上层堆栈(RLC/PDCP)。在RRC层上，仅配置了一个RRC。RRC通过与服务MN 100的RRC实体进行通信来控制与MAC实体相对应的协议栈。

UE 300中的控制信令模块904可以被配置为准备要发送到MN 100或SN 100的相关RRC消息，并且还可以被配置为解析从MN 100或SN 200接收到的相关RRC消息。

处理器模块906描绘了UE 300中用于实现用于处理PDCP PDU的完整性检查失败的方法的计算环境。906的计算环境包括至少一个配备有控制单元和算术逻辑单元(ALU)的处理单元、时钟芯片、多个网络设备和多个输入输出(I/O)设备。处理器模块1506负责处理该技术的指令。处理单元从控制单元接收命令以执行其处理。此外，在ALU的帮助下计算在指令的执行中涉及的任何逻辑和算术运算。整个计算环境可以由多个同构或异构核、多个不同类型的CPU、特殊介质和其他加速器组成。处理单元负责处理该技术的指令。由实现所需的指令和代码组成的技术被存储在存储器模块908或存储装置或两者中。在执行时，指令可从对应存储器模块908或存储单元取得，且由处理单元执行。处理单元基于时钟芯片产生的定时信号来同步操作并执行指令。可以通过在至少一个硬件设备上运行并执行网络管理功能以控制这些元件的至少一个软件程序来实现本文公开的本公开的实施例。此外，存储器模块908还被配置为存储与用户设备操作相关的信息。

UE 102中的无线资源管理模块910负责诸如小区级移动性等各个方面。UE 300中的显示模块912可以被配置成使得当UE 300在双连接操作模式下操作时，用户可以输入信息或者信息可以在显示器上输出，以便用户理解UE300的一些操作。UE 300的大多数操作对用户是透明的，并且可能不需要用户输入，也不需要在显示模块912上输出。

对特定实施例的前述描述将如此充分地揭示本文中的实施例的一般性质，以至于其他人可以通过应用当前知识，在不脱离一般概念的情况下容易地修改和/或适应于这样的特定实施例的各种应用，因此，这样的改编和修改应当并且意图在所公开的实施例的等同形式的含义和范围内被理解。应当理解，本文采用的措词或术语是出于描述的目的而不是限制。因此，虽然已经根据优选实施例描述了本文实施例，但是本领域技术人员将认识到，可以在这里描述的实施例的精神和范围内通过修改来实践本文实施例。

Claims (15)

1.一种用于在无线通信系统中由用户设备(UE)处理包数据汇聚协议(PDCP)协议数据单元(PDU)的完整性检查失败的方法，所述方法包括：

基于所述PDCP PDU的消息认证码完整性(MAC-I)，在PDCP层处在至少一个无线承载上执行完整性检查；

确定在所述至少一个无线承载上接收到的所述PDCP PDU的完整性检查成功和所述PDCP PDU的完整性检查失败中的一个；

丢弃完整性检查失败的PDCP PDU；以及

响应于确定了触发条件，向无线资源控制(RRC)层指示所述至少一个无线承载上的完整性检查失败。

2.根据权利要求1所述的方法，其中，在所述PDCP层处执行完整性检查包括：

使用配置的完整性技术生成MAC-I；

与在所述PDCP PDU中接收到的MAC-I进行核对；

如果所生成的MAC-I与所接收到的MAC-I匹配，则确定所述PDCP PDU的完整性检查成功；并且

如果为以下情况中的一个，则确定所述PDCP PDU的完整性检查失败：所生成的MAC-I与所接收到的MAC-I不匹配；所接收到的MAC-I丢失。

3.根据权利要求1所述的方法，其中，确定所述触发条件包括：针对在所述至少一个无线承载上接收到的预先配置数量的连续PDCP PDU连续地检测所述完整性检查失败，并且

其中，针对所述RRC层的无线承载的完整性检查失败指示与信令无线承载1(SRB1)、SRB2、SRB3、分离式SRB、数据无线承载(DRB)和分离式DRB中的至少一个相关联。

4.根据权利要求3所述的方法，其中，对于所述无线承载和分离式无线承载中的至少一个，相应无线承载的PDCP终止点是主节点(MN)和辅节点(SN)中的一个，所述方法包括：

如果用于处理所述相应无线承载的完整性保护和加密的安全密钥与MN安全密钥(即，KgNB)相关联，则确定所述相应无线承载在MN中终止；以及

如果用于处理所述相应无线承载的完整性保护和加密的所述安全密钥与SN安全密钥(即，S-KgNB)相关联，则确定所述相应无线承载在SN中终止。

5.根据权利要求5所述的方法，其中，所述无线承载是以下中的一个：在双连接操作模式的MN中终止的DRB和在独立操作的服务节点中终止的DRB，所述方法包括：

丢弃在所述完整性检查失败的DRB上接收到的PDCP PDU；

在上行链路中，暂停在相关的DRB上的传输；以及

执行发起RRC连接重建程序和向所述MN和所述服务节点中的一个发送RRC消息中的至少一个，所述RRC消息指示了确定完整性检查失败的DRB ID。

6.根据权利要求5所述的方法，其中，所述无线承载是在双连接操作模式的SN中终止的DRB，所述方法包括：

如果确定DRB的完整性检查失败，则由所述RRC层声明所述SN的失败；

丢弃在所述完整性检查失败的DRB上接收到的PDCP PDU；

在上行链路中，暂停在相关的DRB上的传输；以及

执行以下中的一个：向MN发送指示确定完整性检查失败的DRB ID的SCG失败消息；以及在配置了的情况下，在SRB3上发送指示确定完整性检查失败的DRB ID的RRC消息。

7.根据权利要求5所述的方法，其中，所述无线承载是在双连接操作模式的SN中终止的SRB3，所述方法包括：

如果确定SRB3的完整性检查失败，则由所述RRC层声明所述SN的失败；

在上行链路中，暂停SRB3上的传输；

在配置了的情况下，在上行链路中暂停所述分离式SRB的SCG分支上的传输；

暂停与所述SN相关联的所有DRB；以及

向所述MN发送指示确定SRB3的完整性检查失败的辅单元组(SCG)失败消息。

8.根据权利要求5所述的方法，其中，所述无线承载是在双连接操作模式的MN中终止的分离式SRB，所述方法包括：

识别所述完整性检查失败是否是由于所述分离式SRB的主单元组(MCG)分支造成的；

响应于确定所述完整性检查失败是由于所述分离式SRB的MCG分支造成的，发起所述RRC连接重建程序。

9.根据权利要求5所述的方法，其中，所述无线承载是在双连接操作模式的MN中终止的分离式SRB，所述方法包括：

确定所述完整性检查失败是否是由于所述分离式SRB的SCG分支造成的；

如果确定了所述分离式SRB的SCG分支的完整性检查失败，则由所述RRC层声明所述SN的失败；

在上行链路中，暂停分离式SRB的SCG分支上的传输；

在配置了的情况下，在上行链路中暂停SRB3上的传输；

暂停与所述SN相关联的所有DRB上的传输；以及

向所述MN发送指示确定分离式SRB的完整性检查失败的SCG失败消息。

10.根据权利要求5所述的方法，其中，所述无线承载是在双连接操作模式的MN中终止的分离式DRB，所述方法包括：

确定所述完整性检查失败是否是由于所述分离式DRB的MCG分支造成的；

丢弃所述完整性检查失败的所述分离式DRB的MCG分支上接收到的PDCP PDU；

在上行链路中，暂停所述分离式DRB的MCG分支上的传输；以及

执行以下中的一个：发起RRC重建程序；在SRB1和SRB2中的一个上发送指示确定完整性检查失败的所述分离式DRB的DRB ID的RRC消息。

11.根据权利要求5所述的方法，其中，所述无线承载是在双连接操作模式的MN中终止的分离式DRB，所述方法包括：

确定所述完整性检查失败是否是由于所述分离式DRB的SCG分支造成的；

丢弃所述完整性检查失败的所述分离式DRB的SCG分支上接收到的PDCP PDU；

在上行链路中，暂停所述分离式DRB的SCG分支上的传输；以及

执行以下中的一个：在SRB1和SRB2中的一个上向所述MN发送指示确定完整性检查失败的分离式DRB的所述DRB ID的RRC消息；向MN发送指示确定完整性检查失败的所述分离式DRB的DRB ID的SCG失败消息。

12.根据权利要求5所述的方法，其中，所述无线承载是在双连接操作模式的SN中终止的分离式DRB，所述方法包括：

确定所述完整性检查失败是否是由于所述分离式DRB的MCG分支造成的；

丢弃所述完整性检查失败的所述分离式DRB的MCG分支上接收到的PDCP PDU；

在上行链路中，暂停所述分离式DRB的MCG分支上的传输；以及

执行以下中的一个：在SRB1和SRB2中的一个上发送指示确定完整性检查失败的所述分离式DRB的DRB ID的RRC消息；在配置的情况下，在SRB3上发送指示确定完整性检查失败的分离式DRB的所述DRB ID的RRC消息。

13.根据权利要求5所述的方法，其中，所述无线承载是在双连接操作模式的SN中终止的分离式DRB，所述方法包括：

确定所述完整性检查失败是否是由于所述分离式DRB的SCG分支造成的；

丢弃所述完整性检查失败的所述分离式DRB的SCG分支上接收到的PDCP PDU；

在上行链路中，暂停所述分离式DRB的SCG分支上的传输；以及

执行以下中的一个：向所述MN发送指示确定完整性检查失败的所述分离式DRB的DRBID的SCG失败消息；在配置了的情况下，在SRB3上向所述SN发送指示确定完整性检查失败的所述分离式DRB的DRB ID的RRC消息。

14.一种用于在无线通信系统中处理包数据汇聚协议(PDCP)协议数据单元(PDU)的完整性检查失败的用户设备(UE)，所述UE被配置为：

基于所述PDCP PDU的消息认证码完整性(MAC-I)，在PDCP层处在至少一个无线承载上进行完整性检查；

确定在所述无线承载上接收到的所述PDCP PDU的完整性检查成功和所述PDCP PDU的完整性检查失败中的一个；

丢弃完整性检查失败的PDCP PDU；以及

响应于确定了触发条件，向无线资源控制(RRC)层指示所述至少一个无线承载上的完整性检查失败。

15.根据权利要求14所述的UE，所述UE根据权利要求2-13中任一项进行操作。

Images