CN111557083B - 基于服务的接入层(as)安全配置 - Google Patents

Abstract

本公开的各方面涉及通信网络中接入层(AS)安全的配置。AS安全可以由为协议数据单元(PDU)会话选择的安全配置信息来定义，该PDU会话为用户设备(UE)建立。该安全配置信息可以由核心网内的网络节点基于PDU会话、UE的设备类型或PDU会话内的服务质量(QoS)流中的一个或多个来选择。该安全配置信息可以提供给服务该UE的无线电接入网(RAN)，以用于选择特定于PDU会话的AS安全配置。

Description

基于服务的接入层(AS)安全配置

相关申请的交叉引用

本申请要求2019年1月4日在美国专利和商标局提交的非临时专利申请第16/240,668号和2018年1月9日在美国专利和商标局提交的临时专利申请第62/615,375号的优先权和权益，其全部内容通过引用并入本文，就像完全在下文中列出其全部内容和所有适用目的一样。

技术领域

下面讨论的技术一般涉及无线通信网络，更具体地，涉及在无线通信网络中配置接入层(AS)安全。

背景技术

无线接入网被广泛部署以提供各种无线通信服务，诸如电话、视频、数据、信息传递、广播等。无线接入网可以连接到其他无线接入网和核心网以提供各种服务，诸如因特网接入。

无线接入网可以提供通信会话的安全，以降低跨无线无线电链路传输的信息可能被操纵的可能性，或者第三方可能获得对用户数据业务的未授权的访问的可能性。例如，无线接入网可以支持非接入层(NAS)和接入层(AS)安全，以安全地通过无线无线电链路来传送控制信息和用户数据业务。

NAS安全执行用户设备(UE)和核心网之间的NAS信令的完整性保护和加密(ciphering)(加密(encryption))。AS安全执行UE与基站之间在控制平面中的无线电资源控制(RRC)信令的完整性保护和加密。此外，AS安全还执行UE和基站之间在用户平面中的用户数据业务(例如，因特网协议(IP)分组)的加密。

随着对移动宽带接入的需求不断增加，研究和开发不断推进通信技术，特别是包括用于增强AS安全的技术，不仅要满足对移动宽带接入不断增长的需求，而且要推进和增强对移动通信的用户体验。

发明内容

以下呈现了本公开的一个或多个方面的简化概要，以提供对这些方面的基本理解。该概要不是对本公开的所有预期的特征的广泛概述，并且既不旨在标识本公开的所有方面的主要或关键要素，也不旨在划定公开的任何或所有方面的范围。其唯一的目的是以简化的形式呈现本公开的一个或多个方面的一些概念，作为后面呈现的更详细描述的铺垫。

本公开的各个方面涉及用于在每个会话的基础上为用户设备(UE)配置接入层(AS)安全的机制。在一些示例中，在与核心网节点建立协议数据单元(PDU)会话期间，核心网节点可以基于UE的AS安全能力以及与PDU会话相关联的各种策略信息，为PDU会话选择安全配置信息，诸如安全配置索引(SCI)。例如，策略信息可以与PDU会话和/或PDU会话内的数据流(例如，服务质量(QoS)流)相关，并且可以进一步与UE的设备类型相关。SCI可以提供给服务该UE的无线电接入网(RAN)，以用于为PDU会话选择AS安全配置。此外，可以将SCI提供给UE，以用于确认所选择的AS安全配置符合由核心网节点选择的SCI。该SCI可以进一步被核心网节点用于配置核心网中的用户平面功能(UPF)安全。

在公开的一个方面，提供了一种用于在通信网络中的用户设备(UE)处配置接入层(AS)安全的方法。该方法包括：向核心网内的网络节点发送会话建立请求消息以建立协议数据单元(PDU)会话，以及接收由服务该UE的无线电接入网(RAN)基于安全配置信息为PDU会话选择的AS安全配置，该安全配置信息包括指示由核心网内的网络节点为PDU会话选择的一个或多个AS安全选项的AS安全信息。该AS安全配置是特定于PDU会话的。

本公开的另一个方面提供了一种通信网络内的用户设备(UE)。该UE包括处理器、与处理器通信耦合的收发器、以及与处理器通信耦合的存储器。该处理器被配置为：向核心网内的网络节点发送会话建立请求消息以建立协议数据单元(PDU)会话，以及接收由服务该UE的无线电接入网(RAN)基于安全配置信息为PDU会话选择的AS安全配置，该安全配置信息包括指示由核心网内的网络节点为PDU会话选择的一个或多个AS安全选项的AS安全信息。该AS安全配置是特定于PDU会话的。

本公开的另一个方面提供了在核心网中的网络节点处为用户设备(UE)配置接入层(AS)安全的方法。该方法包括在核心网内的网络节点处从UE接收会话建立请求消息，其中，该会话建立请求消息包括让UE建立协议数据单元(PDU)会话的请求。该方法还包括识别UE的AS安全能力，以及基于UE的AS安全能力或与PDU会话相关联的策略信息中的至少一个来选择用于PDU会话的安全配置信息，其中，该安全配置信息包括指示由核心网内的网络节点为PDU会话选择的一个或多个AS安全选项的AS安全信息。该方法还包括将安全配置信息发送到与UE无线通信的无线电接入网(RAN)以用于为PDU会话选择AS安全配置。

本公开的另一个方面提供了一种核心网中的网络节点。该网络节点包括处理器、与处理器通信耦合的收发器、以及与处理器通信耦合的存储器。该处理器被配置为在核心网内的网络节点处从UE接收会话建立请求消息，其中，该会话建立请求消息包括让UE建立协议数据单元(PDU)会话的请求。该处理器还被配置为识别UE的AS安全能力，以及基于UE的AS安全能力或与PDU会话相关联的策略信息中的至少一个来选择用于PDU会话的安全配置信息，其中，该安全配置信息包括指示由核心网内的网络节点为PDU会话选择的一个或多个AS安全选项的AS安全信息。该处理器还被配置为将安全配置信息发送到与UE无线通信的无线电接入网(RAN)以用于为PDU会话选择AS安全配置。

在查阅下面的详细描述之后，本发明的这些方面和其他方面将变得更加充分地理解。在结合附图查阅本发明的具体示例性实施例的以下描述后，本发明的其他方面、特征和实施例将对于本领域技术人员显而易见。虽然下面可以相对于某些实施例和附图讨论本发明的特征，但本发明的所有实施例可以包括本文讨论的一个或多个有利特征。换句话说，虽然一个或多个实施例可以被讨论为具有某些有利特征，但这些特征中的一个或多个也可以根据本文讨论的各种发明实施例而使用。以类似的方式，虽然下面可以将示例性实施例讨论为设备、系统或方法的实施例，但是应当理解，这些示例性实施例可以在各种设备、系统和方法中实现。

附图说明

图1是示出无线无线电接入网的示例的图。

图2是示出用户和控制平面的无线电协议架构的示例的图。

图3是示出网络架构的示例的图。

图4是示出利用多个协议数据单元(PDU)会话的通信的示例的图。

图5示出了各种安全配置索引(SCI)的示例性格式。

图6示出了SCI的另外的示例性格式。

图7是示出用于配置接入层(AS)安全的示例性信令的信令图。

图8是示出采用处理系统的核心网节点的硬件实施例的框图。

图9是示出采用处理系统的用户设备的硬件实施例的框图。

图10是用于在通信网络中的用户设备处配置访问层(AS)安全的示例性方法的流程图。

图11是用于在通信网络中的用户设备处配置访问层(AS)安全的另一示例性方法的流程图。

图12是用于在核心网中的网络节点处为用户设备配置AS安全的示例性方法的流程图。

图13是用于在核心网中的网络节点处为用户设备配置AS安全的另一示例性方法的流程图。

图14是用于在核心网中的网络节点处为用户设备配置AS安全的另一示例性方法的流程图。

图15是用于在核心网中的网络节点处为用户设备配置AS安全的示例性方法的流程图。

图16是用于在核心网中的网络节点处为用户设备配置AS安全的示例性方法的流程图。

图17是用于在核心网中的网络节点处为用户设备配置AS安全的示例性方法的流程图。

具体实施方式

下面结合附图列出的详细描述旨在作为对各种配置的描述，而并非旨在代表在其中可以实践这里所描述的概念的唯一配置。详细描述包括具体的细节，以便提供对各种概念的透彻理解。然而，对于本领域技术人员来说将是显而易见的，这些概念可以在没有这些具体细节的情况下进行实践。在某些情况下，为了避免模糊这些概念，以框图形式示出了众所周知的结构和组件。

尽管在本申请中通过对一些示例说明描述了各方面和实施例，但本领域技术人员将理解，额外的实施方式和用例可以在许多不同的布置和场景中产生。本文描述的创新可以在许多不同的平台类型、设备、系统、形状、尺寸、封装布置中实现。例如，实施例和/或使用可以经由集成芯片实施例和其他基于非模块组件的设备(例如，终端用户设备、车辆、通信设备、计算设备、工业设备、零售/购买设备、医疗设备、支持AI的设备等)而产生。尽管一些示例可以或可以不特别针对用例或应用，但可以出现所描述的创新的广泛适用性。实施方式的范围可以是从芯片级或模块化组件到非模块化、非芯片级实施方式，并且进一步到合并所描述的创新的一个或多个方面的集合式、分布式或OEM设备或系统。在一些实际环境中，合并所描述的方面和特征的设备也可以必然包括用于实施和实践所要求和描述的实施例的附加组件和特征。例如，无线信号的传输和接收必然包括许多用于模拟和数字目的的组件(例如，硬件组件，包括：天线、RF链、功率放大器、调制器、缓冲器、处理器、交织器、加法器/求和器等)。意图是，本文所描述的创新可以在各种不同尺寸、形状和构成的多种多样的设备、芯片级组件、系统、分布式布置、终端用户设备等中实践。

贯穿本公开所提出的各种概念可以在广泛的各种电信系统、网络架构和通信标准中实施。现在参考图1，作为说明性示例而非限制，提供了无线电接入网(RAN)100的示意图。RAN 100可以实现任何合适的无线电接入技术(RAT)或多个RAT，以向用户设备(UE)提供无线电接入。作为一个示例，RAN 100可以根据第三代合作伙伴计划(3GPP)新无线电(NR)规范(通常称为5G)来操作。作为另一个示例，RAN 104可以根据5G NR和演进通用地面无线电接入网(eUTRAN)标准(通常称为LTE)的混合操作。3GPP将这种混合RAN称为下一代RAN，或NG-RAN。在另一个示例中，RAN 100可以根据LTE和5G NR标准两者操作。当然，在本公开的范围内可以利用许多其它的示例。

RAN 100所覆盖的地理区域可以被划分为许多蜂窝区域(小区)，这些蜂窝区域可以由用户设备(UE)基于从一个接入点或基站在地理区域内广播的标识而唯一地识别。图1示出了宏小区102、104和106以及小小区108，其中每一个可以包括一个或多个扇区(未示出)。扇区是小区的子区域。一个小区内的所有扇区都由同一个基站服务。扇区内的无线电链路可以通过属于该扇区的单个逻辑标识来识别。在被划分为扇区的小区中，小区内的多个扇区可以由成组的天线形成，其中每个天线负责与该小区一部分中的UE进行通信。

一般来说，各自的基站(BS)服务每个小区。广义上，基站是RAN中负责在一个或多个小区中向UE或从UE进行无线电传输和接收的网络元素。本领域技术人员还可以将BS称为基站收发站(BTS)、无线电基站、无线电收发器、收发器功能、基本服务集(BSS)、扩展服务集(ESS)、接入点(AP)、节点B(NB)、eNode B(eNB)、gNode B(gNB)或其他一些合适的术语。

在图1中，在小区102和104中示出了两个基站110和112；并且示出了第三个基站114控制小区106中的远程无线电头(RRH)116。也就是说，基站可以具有集成天线，也可以通过馈线连接到天线或RRH。在图示的示例中，小区102、104和106可以被称为宏小区，因为基站110、112和114支持具有大尺寸的小区。此外，在小小区108(例如，微小区、微微小区、毫微微小区、家庭基站、家庭Node B、家庭eNode B等)中示出了基站118，该小小区108可以与一个或多个宏小区重叠。在这个示例中，小区108可以被称为小小区，因为基站118支持具有相对小尺寸的小区。小区的定尺寸可以根据系统设计以及组件约束来进行。可以理解的是，RAN 100可以包括任何数量的无线基站和小区。此外，可以部署中继节点以扩展给定小区的大小或覆盖区域。基站110、112、114、118为任何数量的移动装置提供到核心网的无线接入点。

图1还包括四翼机或无人机120，其可以被配置为用作基站。也就是说，在一些示例中，小区不一定是静止的，并且小区的地理区域可以根据移动基站(诸如四翼机120)的位置而移动。

一般而言，基站可以包括用于与网络的回程部分(未示出)通信的回程接口。回程可以提供基站与核心网(未示出)之间的链路，并且在一些示例中，回程可以提供各基站之间的互连。核心网可以是无线通信系统的一部分，并且可以独立于RAN中使用的无线电接入技术。可以采用各种类型的回程接口，例如直接物理连接、虚拟网络或使用任何合适的传输网络的类似的方式。

RAN 100被示出支持多个移动装置的无线通信。移动装置在由第三代合作伙伴计划(3GPP)颁布的标准和规范中通常被称为用户设备(UE)，但也可以被本领域技术人员称为移动站(MS)、用户站、移动单元、用户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动用户站、接入终端(AT)、移动终端、无线终端、远程终端、手机、终端、用户代理、移动客户端、客户端或其他一些合适的术语。UE可以是为用户提供网络服务接入的装置。在RAN 100根据LTE和5G NR标准两者操作的示例中，UE可以是演进通用地面无线电接入网-新无线电双连接(EN-DC)UE，其能够同时连接到LTE基站和NR基站以接收来自LTE基站和NR基站两者的数据分组。

在本文件中，“移动”装置并不必要具有移动的能力，并且可以是静止的。术语移动装置或移动设备广义地指各种设备和技术。UE可以包括一些硬件结构组件，其尺寸、形状和布置有助于通信；这些组件可以包括彼此电连接的天线、天线阵列、RF链、放大器、一个或多个处理器等。例如，移动装置的一些非限制性示例包括移动电话、蜂窝(cell)电话、智能手机、会话启动协议(SIP)电话、笔记本电脑、个人计算机(PC)、笔记本、上网本、智能本、平板电脑、个人数字助理(PDA)以及广泛的嵌入式系统，例如，对应于“物联网”(IoT)。移动装置还可以是汽车或其他运输工具、远程传感器或致动器、机器人或机器人设备、卫星无线电、全球定位系统(GPS)设备、物体跟踪设备、无人机、多翼飞机、四翼飞机、遥控设备、消费者和/或可以穿戴设备，例如眼镜、可以穿戴相机、虚拟现实设备、智能手表、健康或健身追踪器、数字音频播放器(例如MP3播放器)、相机、游戏机等。移动装置还可以是数字家庭或智能家庭设备，例如家庭音频、视频和/或多媒体设备、电器、自动售货机、智能照明、家庭安全系统、智能仪表等。移动装置还可以是智能能源设备、安全设备、太阳能电池板或太阳能阵列、控制电力(例如智能电网)、照明、水等的市政基础设施设备；工业自动化和企业设备；物流控制器；农业设备；军事国防设备、车辆、飞机、船舶和武器装备等。此外，移动装置还可以提供互联医疗或远程医疗支持，即远距离的医疗服务。远程医疗设备可以包括远程医疗监测设备和远程医疗管理设备，其通信可以被优先处理或相比其他类型的信息优先访问，例如，在传输关键服务数据的优先访问方面和/或传输关键服务数据的相关QoS方面。

在RAN 100内，小区可以包括可以与每个小区的一个或多个扇区进行通信的UE。例如，UE 122和124可以与基站110通信；UE 126和128可以与基站112通信；UE 130和132可以通过RRH 116与基站114通信；UE 134可以与基站118通信；UE 136可以与移动基站120通信。这里，每个基站110、112、114、118和120可以被配置为为各自小区中的所有UE提供到核心网(未示出)的接入点。

在另一个示例中，移动网络节点(例如，四翼机120)可以被配置为用作UE。例如，四翼机120可以通过与基站110通信而在小区102内操作。在本公开的一些方面中，两个或更多个UE(例如，UE 126和128)可以使用点到点(P2P)或侧链信号127彼此通信，而不通过基站(例如，基站112)来中继该通信。

RAN 100与UE(例如，UE 122或124)之间的无线通信可以被描述为利用空中接口。通过空中接口从基站(例如，基站110)到一个或多个UE(例如，UE 122和124)的传输可以被称为下行链路(DL)传输。根据本公开的某些方面，术语下行链路可以指源自调度实体(下文进一步描述；例如，基站110)的点到多点传输。描述该方案的另一种方式可以是使用术语广播信道复用。从UE(例如，UE 122)到基站(例如，基站110)的传输可以被称为上行链路(UL)传输。根据本公开的进一步方面，术语上行链路可以指源自被调度实体(下文进一步描述；例如，UE 122)的点到点传输。

例如，DL传输可以包括从基站(例如，基站110)到一个或多个UE(例如，UE 122和124)的控制信息和/或业务信息(例如，用户数据业务)的单播或广播传输，而UL传输可以包括源自UE(例如，UE 122)的控制信息和/或业务信息的传输。此外，上行链路和/或下行链路控制信息和/或业务信息可以被时间划分为帧、子帧、时隙和/或符号。如本文所使用的，符号可以指在正交频分复用(OFDM)波形中，每个子载波携带一个资源元素(RE)的时间单位。时隙可以携带7或14个OFDM符号。子帧可以指1ms的持续时间。多个子帧或时隙可以组合在一起以形成单个帧或无线电帧。当然，这些定义不是必须的，可以利用任何合适的组织波形的方案，并且波形的各种时分可以具有任何合适的持续时间。

RAN 100中的空中接口可以利用一种或多种多路复用和多路接入算法来实现各种设备的同时通信。例如，5G NR规范利用带有循环前缀(CP)的正交频分复用(OFDM)，为从UE122和124到基站110的UL或反向链路传输提供多路接入，并为从基站110到UE 122和124的DL或正向链路传输提供多路接入。此外，对于UL传输，5G NR规范提供了对带有CP的离散傅里叶变换扩频OFDM(DFT-s-OFDM)(也称为单载波FDMA(SC-FDMA))的支持。然而，在本公开的范围内，多路复用和多路接入不限于上述方案，并且可以利用时分多路接入(TDMA)、码分多路接入(CDMA)、频分多路接入(FDMA)、稀疏码多路接入(SCMA)、资源扩展多路接入(RSMA)或其他合适的多路接入方案提供。此外，可以利用时分多路复用(TDM)、码分多路复用(CDM)、频分多路复用(FDM)、正交频分多路复用(OFDM)、稀疏码多路复用(SCM)或其他合适的多路复用方案来提供从基站110到UE122和124的多路复用传输。

此外，RAN 100中的空中接口可以利用一种或多种双工算法。双工是指点到点通信链路，其中两个端点可以在两个方向上相互通信。全双工是指两个端点可以同时相互通信。半双工是指每次只有一个端点可以向另一个端点发送信息。在无线链路中，全双工信道一般依赖于发射机和接收机的物理隔离，以及合适的干扰消除技术。经常利用频分双工(FDD)或时分双工(TDD)为无线链路实现全双工模拟。在FDD中，不同方向的传输以不同的载波频率操作。在TDD中，在给定信道上不同方向的传输是使用时分多路复用而相互分离的。也就是说，在某些时间，该信道专门用于一个方向的传输，而在其他时间，该信道专门用于另一个方向的传输，其中方向可以非常迅速地改变，例如，每个时隙位改变几次。

在RAN 100中，UE在移动时独立于它们的位置而进行通信的能力，被称为移动性。UE和RAN之间的各种物理信道通常是在接入和移动性管理功能(AMF)的控制下被设置、维护和释放，该AMF可以包括管理控制平面和用户平面功能的安全上下文的安全上下文管理功能(SCMF)和执行认证的安全锚功能(SEAF)。在本公开的各个方面中，RAN 100可以利用基于DL的移动性或基于UL的移动性来实现移动性和切换(即，将UE的连接从一个无线电信道转移到另一个)。在配置用于基于DL的移动性的网络中，在与调度实体的呼叫期间，或在任何其他时间，UE可以监视来自其服务小区的信号的各种参数以及邻近小区的各种参数。取决于这些参数的质量，UE可以与一个或多个邻近小区保持通信。在此期间，如果UE从一个小区移动到另一个小区，或者如果来自邻接小区的信号质量在给定时间量内超过来自服务小区的信号质量，UE可以进行从服务小区到邻接(目标)小区的交接或切换。例如，UE 124可以从对应于其服务小区102的地理区域移动到对应于邻近小区106的地理区域。当来自邻近小区106的信号强度或质量在给定时间量内超过其服务小区102的信号强度或质量时，UE 124可以向其服务基站110发送报告消息以指示该条件。作为响应，UE 124可以接收切换命令，并且UE可以进行向小区106的切换。

在配置用于基于UL的移动性的网络中，来自每个UE的UL参考信号可以被网络用来为每个UE选择服务小区。在一些示例中，基站110、112和114/116可以广播统一的同步信号(例如，统一的主同步信号(PSS)、统一的次同步信号(SSS)和统一的物理广播信道(PBCH))。UE122、124、126、128、130和132可以接收统一同步信号，从同步信号中推导出载波频率和子帧/时隙定时，并响应于推导出定时，传送上行链路导频信号或参考信号。由UE(例如，UE124)传输的上行链路导频信号可以被RAN 100内的两个或更多个小区(例如，基站110和114/116)同时接收。每一个小区可以测量导频信号的强度，并且RAN(例如，基站110和114/116中的一个或多个和/或核心网内的中心节点)可以确定UE 124的服务小区。当UE 124移动通过RAN 100时，网络可以继续监视由UE 124传输的上行链路导频信号。当邻近小区测量的导频信号的信号强度或质量超过服务小区测量的信号强度或质量时，RAN 100可以将UE124从服务小区切换到邻近小区，同时通知或不通知UE 124。

尽管由基站110、112和114/116传送的同步信号可以是统一的，但同步信号可以不识别特定的小区，而是可以识别在相同频率上和/或以相同定时操作的多个小区的区域。在5G网络或其他下一代通信网络中使用区域，可以实现基于上行链路的移动性框架并提高UE和网络两者的效率，因为需要在UE和网络之间交换的移动性消息的数量可以减少。

在各种实施方案中，RAN 100中的空中接口可以利用授权频谱、非授权频谱或共享频谱。授权频谱提供了对部分频谱的独占使用，通常凭借移动网络运营商从政府监管机构购买许可。非授权频谱则提供部分频谱的共享使用而无需政府授予的许可。虽然接入非授权频谱仍需要遵守一些技术规则，但一般来说，任何运营商或设备都可以获得接入。共享频谱可以介于授权频谱和非授权频谱之间，其中可能需要遵守技术规则或限制才能接入该频谱，但该频谱仍可以由多个运营商和/或多个RAT共享。例如，部分授权频谱的许可持有人可以提供授权共享接入(LSA)以与其他方共享该频谱，例如，以合适的由被许可方确定的条件以获得接入。

为了使在RAN 100上的传输获得低块错误率(BLER)，同时仍然实现非常高的数据速率，可以使用信道编码。也就是说，无线通信一般可以利用合适的纠错块码。在典型的块码中，信息消息或序列被分割成码块(CB)，然后在发送设备处的编码器(例如，CODEC)在数学上向该信息消息增加冗余。利用已编码信息消息中的这种冗余可以提高信息的可以靠性，使得能够校正任何可能由于噪声发生的位错误。

在早期的5G NR规范中，使用准循环低密度奇偶校验(LDPC)，利用两个不同的基图(base graph)，对用户数据业务进行编码：一个基图用于大码块和/或高码率，而另一个基图用于其他情况。基于嵌套序列，采用Polar编码对控制信息和物理广播信道(PBCH)进行编码。对于这些信道，使用打孔(puncture)、缩短和重复来进行速率匹配。

然而，本领域普通技术人员将理解，本公开的各个方面可以利用任何合适的信道编码来实现。基站和UE的各种实施方案可以包括合适的硬件和能力(例如，编码器、解码器和/或CODEC)，以利用这些信道码中的一个或多个进行无线通信。

在一些示例中，可以调度对空中接口的接入，其中，调度实体(例如，基站)在其服务区域或小区内的一些或所有设备和装备之间分配用于通信的资源(例如，时频资源)。在本公开范围内，如下文进一步讨论的，调度实体可以负责为一个或多个被调度实体调度、分配、重新配置和释放资源。也就是说，对于被调度的通信，UE或被调度实体利用由调度实体分配的资源。

基站并不是唯一可以作为调度实体的实体。也就是说，在一些示例中，UE可以用作调度实体，为一个或多个被调度实体(例如，一个或多个其他UE)调度资源。在其他示例中，可以在UE之间使用侧链信号，而不一定依赖于来自基站的调度或控制信息。例如，示出了UE138与UE 140和142通信。在一些示例中，UE 138作为调度实体或主侧链路设备，而UE 140和142可以作为被调度实体或非主(例如，次)侧链路设备。在另一个示例中，UE可以在设备到设备(D2D)、点到点(P2P)或车辆到车辆(V2V)网络中和/或在网状网络中作为调度实体。在网状网络示例中，UE 140和142除了与调度实体138通信之外，还可以可选地彼此直接通信。

取决于特定应用，用于RAN(如图1中所示的RAN 100)的无线电协议架构可以采取各种形式。图2示出了用于用户平面和控制平面的无线电协议架构的示例。

如图2所示，用于UE和基站的无线电协议架构包括三层：层1、层2和层3。层1是最低层，并且实现各种物理层信号处理功能。层1在此将被称为物理层206。层2(L2层)208高于物理层206，并负责UE和基站之间在物理层206上的链路。

在用户平面中，L2层208包括媒体接入控制(MAC)子层210、无线电链路控制(RLC)子层212、分组数据汇聚协议(PDCP)214子层和服务数据适应协议(SDAP)子层216，它们在网络侧的基站处终止。虽然没有示出，但UE可以具有高于L2层208的几个上层，包括至少一个网络层(例如，IP层和用户数据协议(UDP)层)，它们在网络侧的用户平面功能(UPF)处终止。

SDAP子层216提供5G核心(5GC)服务质量(QoS)流和数据无线电承载之间的映射，并在下行链路和上行链路分组中执行QoS流ID标记。PDCP子层214提供分组序列编号、分组的按顺序传送、PDCP协议数据单元(PDU)的重传、以及将上层分组传送到下层。PDCP子层214还为上层数据分组提供报头压缩以减少无线电传输开销，通过对数据分组进行加密提供安全，以及提供数据分组的完整性保护。RLC子层212提供上层数据分组的分段和重组，通过自动重复请求(ARQ)进行纠错，以及独立于PDCP序列编号的序列编号。MAC子层210提供逻辑通道和传输通道之间的复用。MAC子层210还负责在UE之间分配一个小区中的各种无线电资源(例如，资源块)，并负责HARQ操作。物理层206负责在物理信道上(例如，在时隙内)传输和接收数据。

在控制平面中，用于UE和基站的无线电协议架构对于物理层206和L2层208基本上是相同的，例外的是控制平面没有报头压缩功能。控制平面还包括层3的无线电资源控制(RRC)子层218。RRC子层218负责建立和配置基站与UE之间的信令无线电承载(SRB)和数据无线电承载(DRB)、由5GC或NG-RAN发起的寻呼、以及与接入层(AS)和非接入层(NAS)相关的系统信息的广播。RRC子层218还负责QoS管理、移动性管理(例如，切换、小区选择、RAT间移动性)、UE测量和报告以及安全功能。

图3是示出下一代(例如，5G或NR)通信网络的网络架构300的示例的图。网络架构300可以包括一个或多个用户设备(UE)302、下一代(例如，5G或NR)无线RAN 304和下一代(例如，5G或NR)核心网306。

在本图示中以及在图4中，UE 302和核心网306之间的任何信号路径被推定为在这些实体之间经由RAN 304传递，如由穿过RAN 304的图示信号路径所表示的。这里，RAN 304可以是上面描述的并在图1中示出的RAN 100。在下面的描述中，当提及RAN 304或由RAN304执行的操作时，可以理解，这种提及是指RAN 304中的一个或多个网络节点(例如，gNB)，该一个或多个网络节点例如经由一个或多个回程连接而通信地耦合到核心网306。

用户平面(UP)和控制平面(CP)功能均可以由UE 302、RAN 304和核心网306支持。UP承载用户数据业务，而CP承载信令。在图3和图4中，CP信令用虚线表示，而UP连接用实线表示。经由CP节点308示出RAN 304和核心网306之间的CP信令，该CP节点308可以例如在RAN网络节点(例如，gNB)中实现或者分布在两个或更多个RAN网络节点(例如，gNB)中。

无线RAN 304可以是例如5G无线电接入网(RAN)，例如新无线电(NR)RAN，或演进E-UTRAN(即，增强的E-UTRAN以用与NR RAN相同的接口原生连接到下一代核心网306)。在其他示例中，RAN 304可以是下一代无线局域网(WLAN)、下一代固定宽带因特网接入网或利用下一代无线电接入技术(RAT)来接入下一代核心网306的其他类型的下一代无线接入网。

核心网306可以包括例如核心接入和移动性管理功能(AMF)310、会话管理功能(SMF)312、策略控制功能(PCF)314、应用功能(AF)316、用户平面基础设施318和用户平面功能(UPF)320。在一些示例中，AF 316可以位于核心网306之外，即位于应用服务提供商的网络内。

AMF 310提供UE 302的移动性管理、认证和授权，而SMF 312处理与涉及UE 302的协议数据单元(PDU)会话相关的信令，并将因特网协议(IP)地址分配给UE 302。每个PDU会话可以包括一个或多个数据流(例如，IP、以太网和/或非结构化数据流)，每个数据流与特定应用相关联。AF 316向PCF 314提供关于数据流的信息，该PCF 314负责策略控制，以便为每个数据流支持各自的服务质量(QoS)。因此，AF 316和PCF 314可以向SMF 312提供定义数据流的流信息和与数据流相关联的策略信息(例如，QoS信息)，以配置每个PDU会话内的一个或多个QoS流。

UP基础设施318促进协议数据单元(PDU)经由RAN 304到UE 302和从UE 302的路由。PDU可以包括例如IP分组、以太网帧和其他非结构化数据(即，机器类型通信(MTC))。UPF320连接到UP基础设施318，以提供到外部数据网络322的连接。此外，UPF 320可以与SMF312通信地耦合，以使SMF 312能够通过核心网306配置UP连接。

为了经由下一代(5G)核心网306和下一代RAN 304与外部数据网络(DN)322建立PDU会话，UE 302可以经由下一代RAN 304向下一代核心网306发送PDU会话建立请求消息。PDU会话建立请求消息可以包括UE 302的能力集。在一些示例中，该能力集可以包括UE的接入层(AS)安全能力。在其他示例中，AS安全能力和其他UE能力可以从核心网306中(例如，在AMF 310、SMF 312和/或PCF 314中)维护的UE配置文件辨别出来。

例如，可以利用AS安全，使用AS安全密钥通过信令无线电承载(SRB)在UE 302和RAN 304之间在控制平面中安全地传送无线电资源控制(RRC)消息。此外，可以利用AS安全，使用AS安全密钥通过数据无线电承载(DRB)在UE 302和RAN 304之间在用户平面中安全地传送用户平面数据。AS安全可以包括在PDCP层处的控制平面消息(例如，RRC消息)或用户平面消息(例如，用户平面数据)的完整性保护、加密(加密)或完整性保护和加解密两者。对于用户平面和控制平面两者，AS安全被应用到每个PDCP PDU。例如，可以利用使用根AS安全密钥(例如K_gNB)和完整性保护算法生成的RRC完整性保护密钥(例如K_RRCint)，例如基于高级加密标准(AES)、祖冲之(ZUC)或空白隐写算法(SNOW)的算法，对RRC消息进行完整性保护。可以利用使用根AS安全密钥(例如K_gNB)和完整性保护算法生成的用户平面完整性保护密钥(例如K_UPint)，对用户平面消息进行完整性保护。此外，RRC消息和用户平面消息两者可以利用使用根AS安全密钥和加密算法(例如，基于AES、ZUC或SNOW的算法)生成的各自的加密密钥进行加密。

AMF 310和/或SMF 312可以基于能力集、UE配置文件、网络策略、流信息和其他因素来处理PDU会话建立请求消息。然后，AMF 310和/或SMF 312可以为该PDU会话经由UP基础设施318通过RAN 304和核心网306在UE 302和外部数据网络(DN)322之间建立PDU连接。PDU会话可以包括一个或多个数据流，并且可以被一个或多个UPF 220(为方便起见仅示出其中一个)服务。数据流的示例包括但不限于IP流、以太网流和非结构化数据流。

AMF 310和/或SMF 312可以进一步使用能力集、UE配置文件、网络策略、流信息和其他因素中的一个或多个，来选择要与PDU会话内的一个或多个数据流相关联的服务质量(QoS)。例如，AMF 310和/或SMF 312可以为PDU会话内的一个或多个数据流选择一个或多个QoS参数(例如，保证比特率(GBR)和/或特定的QoS类标识符(QCI))。

在成功建立了到UE 302的连接后，AMF 310和/或SMF 312可以向RAN 304提供AS能力，用于选择用于完整性保护和加密的AS安全算法。然后，RAN 304可以生成包括用于该PDU会话的AS安全配置(例如，选择的AS安全算法)的RRC连接重配置消息。RAN 304可以进一步利用使用所选择的完整性保护算法生成的完整性保护密钥，来生成用于RRC连接重配置消息的消息认证码(MAC)。RAN 304可以将RRC连接重配置消息与相关联的MAC一起传送给UE302。

图4是示出利用UE 302与一个或多个外部数据网络322之间的多个PDU会话的通信的示例的图。在图4所示的示例中，UE 302主动参与两个PDU会话402a和402b。每个PDU会话402a和402b是UE 302中的逻辑上下文，该逻辑上下文使能实现UE中的本地端点(例如，网络浏览器)和远程端点(例如，远程主机中的网络服务器)之间的通信，并且每个PDU连接可以包括一个或多个数据流(例如，IP、以太网和/或非结构化数据流)。

在图4所示的示例中，PDU会话402a由UPF 320a服务，并且包括两个IP流404a和404b，每个IP流终止于与UE 302的不同IP地址(IP1和IP2)相关联的第一外部数据网络322a(外部数据网络1)。PDU会话402b也包括两个IP流404c和404d，每个IP流与UE 302的不同IP地址(IP3和IP4)相关联。然而，IP流404c由UPF 320b服务并终止于第二外部数据网络322b(外部数据网络2)，而IP流404d由本地UPF 320c服务并终止于第二外部数据网络322c的本地端点(本地外部数据网络2)。在SMF 312中提供用于PDU会话402a和PDU会话402b的会话管理上下文(例如，利用软件定义网络(SDN)和信令路由)。在UPF 320a中提供用于PDU会话402a的用户平面上下文(例如，服务质量(QoS)、隧道等)，而在UPF 320b和本地UPF 320c中提供用于PDU会话402b的用户平面上下文。

在图3和图4中的每一个中，由RAN 304基于UE的AS安全能力和网络策略来选择AS安全配置。然而，在5G或NR网络中，与PDU会话、QoS流或其他类型的流相关联的各种服务可以需要特定于服务的AS安全策略。此外，5G或NR网络可以需要针对特定设备(UE)类型的特定AS安全策略。此外，5G或NR网络还可以支持UPF安全策略，以实现通过核心网306的用户平面数据的完整性保护和加密(加密)。因此，在本公开的各个方面中，AMF 310和/或SMF 312可以为PDU会话和/或数据流选择特定于服务的AS安全策略和UPF安全策略。

在一些示例中，AMF 310和/或SMF 312可以使用能力集、UE配置文件、网络策略、流信息和其他因素中的一个或多个，来选择用于PDU会话的特定于服务的AS安全策略和UPF安全策略。AS安全策略和UPF安全策略可以各自针对PDU会话整体和/或针对PDU会话内的一个或多个数据流(例如，QoS流或其他类型的流)而被选择。例如，AS安全策略可以包括一个或多个选择的安全算法(例如，基于AES、ZUC或SNOW的算法)以用于RAN 304上的RRC完整性保护、RRC加密和用户平面数据加密。在RAN 304支持用户平面数据完整性保护以及用户平面数据加密的示例中，AS安全策略可以进一步包括一个或多个选择的安全算法以用于RAN304上的用户平面数据完整性保护。UPF安全策略可以包括一个或多个选择的安全算法以用于核心网306上UPF 320处的用户平面数据完整性保护和加密。

在本公开的多个方面中，AS安全策略和UPF安全策略可以由安全配置信息，例如安全配置索引(SCI)来共同指示。例如，SCI可以指示：对于PDU会话(或数据流)，AS安全是被启用还是被禁用，以及UPF安全是被启用还是被禁用。SCI可以进一步指示，例如，针对每种类型的安全(例如，AS/UPF完整性保护或AS/UPF加密)的所选择安全算法的列表。所选择安全算法的列表可以进一步指示特定安全算法对于每个安全类型是可选的、强制的还是不允许使用的，并且可以进一步指示每个安全类型的安全算法的优选顺序。

图5中示出了各种SCI 500的示例格式。每个SCI 500包括指示AS加密是启用还是禁用的AS加密指示符502、指示AS完整性保护是启用还是禁用的AS完整性保护指示符504、指示UPF加密是启用还是禁用的UPF加密指示符506、以及指示UPF完整性保护是启用还是禁用的UPF完整性保护508。每个SCI 500可以进一步可选地包括QoS字段510，指示QoS参数是否与SCI 500相关联，如果是，则列出与SCI 500相关联的特定QoS参数(例如，保证比特率(GBR)和/或特定QoS类标识符(QCI)或5G质量指示符(5QI))。

在一些示例中，可以在每个SCI 500中包括多个AS完整性保护指示符504和AS加密指示符502，以允许对于RRC消息和用户平面数据单独地启用/禁用安全。还可以在每个SCI500中包括附加的安全指示符，以对于RAN和UE之间交换的其他类型的控制消息(除RRC消息外)启用或禁用安全。可以启用或禁用安全的其他类型的控制消息的示例可以包括但不限于：状态报告消息、物理上行链路控制信道(PUCCH)和物理下行链路控制信道(PDCCH)。

在图5所示的示例中，对于第一SCI(SCI 1)，启用AS加密，而禁用AS完整性保护、UPF加密和UPF完整性保护。SCI 1进一步没有与之相关联的QoS参数。对于第二SCI(SCI 2)，启用AS加密和AS完整性保护，而禁用UPF加密和UPF完整性保护。SCI 2进一步具有与之相关联的QCI值为5(非保证比特率)，其可以需要100毫秒的分组延迟预算和10^-6的分组错误丢失率。对于第三SCI(SCI 3)，启用AS完整性保护和UPF加密，而禁用AS加密和UPF完整性保护。SCI 3进一步具有与之相关联的QCI值为1(保证比特率)，其可以需要100毫秒的分组延迟预算和10^-2的分组错误丢失率。对于第四SCI(SCI4)，禁用AS加密，而禁用AS完整性保护、UPF加密和UPF完整性保护。SCI 4进一步没有与之相关联的QoS参数。可以针对AS/UPF安全和QoS参数的其他变化而产生额外的SCI(未示出)。

每个SCI可以进一步指示所选择的AS/UPF安全算法。例如，对于每个安全指示符502、504、506和508，可以包括可能的安全算法的列表，并且当特定指示符指示该类型的安全被启用时，可以指示在该可能的安全算法的列表中所选择的安全算法。如图6所示为用于完整性保护和加密的安全算法列表的示例格式。

图6示出了用于特定加密安全类型(例如，RRC加密、AS用户平面数据加密或UPF用户平面数据加密)的加密安全算法的列表602的示例性格式、以及用于特定完整性保护安全类型(例如，RRC完整性保护、AS用户平面数据完整性保护或UPF用户平面数据完整性保护)的完整性保护安全算法的列表606的示例性格式。每个加密安全算法602包括使用指示符604，指示该加密安全算法602对于该特定安全类型是强制的、可选的还是不允许利用的。此外，每个完整性保护安全算法606还包括使用指示符608，指示该完整性保护安全算法606对于该特定安全类型是强制的、可选的还是不允许利用的。

在图6所示的示例中，示出了6种加密安全算法602和6种完整性保护安全算法606。每个加密安全算法602被指定为特定安全算法类型的新无线电加密算法(NEA)。例如，类型1(例如，NEA1)可以指SNOW 3G安全算法，类型2(例如，NEA2)可以指AES安全算法，以及类型3(例如，NEA3)可以指ZUC安全算法。此外，每个加密安全算法602还指示算法的密钥大小(例如，128位或256位)。类似地，每个完整性保护安全算法606被指定为特定安全算法类型的新无线电完整性保护算法(NIA)，其中NIA1可以指SNOW 3G安全算法，NIA2可以指AES安全算法，并且NIA3可以指ZUC算法。每个完整性保护安全算法606可以进一步指示密钥大小(例如，128位或256位)。

在所列出的加密安全算法602中，其中四个具有强制使用指示符604(例如，256-NEA2、256-NEA1、128-NEA2和128-NEA1)，并且其中两个具有不允许使用指示符604(例如，256-NEA3和128-NEA3)。这里，强制使用指示符604指示：具有强制使用指示符的加密安全算法中的一种被要求用于特定的加密安全类型。此外，不允许使用指示符604指示：具有不允许使用指示符604的加密安全算法中的任一个都不可以被利用于特定的加密安全类型。

在完整性保护安全算法606中，其中4个具有可选使用指示符608(例如，256-NIA2、256-NIA1、128-NIA2和128-NIA1)，并且其中2个具有不允许使用指示符608(例如，256-NIA3和128-NIA3)。这里，可选使用指示符608指示：具有可以选使用指示符的完整性保护安全算法中的一种可以被用于特定的完整性保护安全类型(尽管，它们中的任何一个都不被要求被利用)。此外，不允许使用指示符608指示：具有不允许使用指示符608的完整性保护安全算法中的任何一个都不可以被用于特定的完整性保护安全类型。

图7是示出为协议数据单元(PDU)会话配置AS和UPF安全的示例性信令的信令图。在702处，用户设备(UE)302可以生成PDU会话建立请求消息，并经由服务该UE 302的无线电接入网(RAN)向核心网内的网络节点(例如，AMF 310)发送该PDU会话建立请求消息。PDU会话建立请求消息可以包括，例如，对于让UE 302经由与外部数据网络提供的应用相关联的应用功能(AF)316与外部数据网络建立PDU会话或PDU会话内的数据流的请求。在一些示例中，PDU会话建立请求消息可以进一步包括UE 302的访问层(AS)安全能力。在一些示例中，UE的AS安全能力可以包括可以由UE 302支持的安全配置索引(SCI)的列表和/或指示要被用于PDU会话或PDU会话内的数据流(QoS流)的所请求SCI的SCI请求。例如，UE 302可以维护UE配置文件，该UE配置文件指示所支持的SCI和/或要被用于特定应用的SCI。作为另一个示例，可以在UE 302处提供用于特定应用的应用功能(AF)配置文件，以指示要被用于该特定应用的SCI。

在704处，AMF 310可以为PDU会话选择SMF 312，并且在706处，向SMF 312传送与PDU会话建立请求消息相对应的PDU会话创建消息。PDU会话创建消息可以包括UE 302的AS安全能力，其还可以包括所支持的SCI的列表和/或对于PDU会话或PDU会话内的数据流(QoS流)的SCI请求。在一些示例中，SCI可以在SMF 312处被预先配置。例如，SMF 312可以基于在SMF 312处的本地配置和UE 302的AS安全能力来选择用于PDU会话的SCI，而无需联系PCF314。否则，在708处，SMF 312可以从PCF 314请求用于PDU会话的策略信息，包括SCI(例如，获得策略控制)。在一些示例中，在710处，PCF 314可以可选地从AF 316检索用于PDU会话的策略信息，诸如包含在UE订阅信息或AF配置文件中的会话安全信息。会话安全信息可以包括，例如，可以用于PDU会话的一个或多个SCI的列表。在一些示例中，AF 316可以基于对特定应用的UE订阅和/或基于特定应用的所需SCI(例如，AF配置文件可以要求从应用的一个或多个可用SCI选项的列表中选择SCI)，来识别要用于PDU会话的SCI。在一些示例中，会话安全信息可以指示要用于UE 302的每个可能的设备类型的一个或多个SCI的列表。

在712处，PCF 314可以将用于PDU会话的策略信息返回给SMF 312。策略信息可以包括以下的一个或多个：包括从AF 316检索的会话安全信息的UE订阅信息、从AF 316接收的AF配置文件、在PCF 314处维护的UE订阅信息、在PCF 314处维护的UE配置文件和/或其他网络策略(例如，核心网的UPF安全能力和/或应用的UPF安全要求)。在一些示例中，UE配置文件可以指示UE的AS安全能力，其可以包括UE支持的一个或多个SCI的列表和/或要被用于特定应用的一个或多个SCI的列表。在一些示例中，返回给SMF 312的策略信息可以包括由PCF 314(或由AF 316)基于UE 302的AS安全能力和与PDU会话相关联的其他策略信息(例如，UE订阅信息、UE的设备类型和其他网络策略)为PDU会话选择的选定SCI。在此示例中，PCF 314可以将用于该SCI的消息认证码(MAC)连同所选择的SCI一起传送到SMF 312。可以由PCF 314(或AF 316)利用完整性保护密钥来生成该MAC，该完整性保护密钥是使用来自所选择的SCI的所选择的AS完整性保护算法生成的。

在714处，SMF 312可以为PDU会话选择SCI。在一些示例中，如果由PCF 314提供的策略信息包括所选择的SCI(例如，连同MAC)，SMF 312可以利用接收到的SCI作为所选择的SCI。在其他示例中，SMF 312可以至少基于UE 302的AS安全能力、与PDU会话(或PDU会话内的数据流)相关联的策略信息或其任意组合来选择SCI。在一些示例中，策略信息可以包括在AMF 310/SMF 312处维护的本地策略信息(例如，UE配置文件、UE订阅信息、核心网UPF安全信息等)。在其他示例中，策略信息可以进一步包括从PCF 314为PDU会话检索的策略信息。AS安全能力可以从策略信息(例如，本地策略信息和/或从PCF 314检索的策略信息)或基于由UE 302连同PDU会话建立请求消息一起提供的AS安全能力而辨别出。在一些示例中，UE的AS安全能力可以包括所支持的SCI的列表和/或由UE 302提供的SCI请求。因此，SMF312可以基于其他策略信息从所支持的SCI的列表中选择SCI，或者可以基于SCI请求和其他策略信息来选择SCI(例如，如果其他策略信息允许，则SMF 312可以选择所请求的SCI)。

SMF 312可以进一步基于策略信息对于PDU会话整体或对于PDU会话内的特定数据流(QoS流)来选择SCI。因此，在一些示例中，SMF 312可以为PDU会话内的每个数据流选择各自的SCI，并且每个选择的SCI可以与为PDU会话内的其他数据流选择的其他SCI相同或不同。在这个示例中，SMF 312用来选择SCI的策略信息可以不仅与PDU会话相关，而且与PDU会话内的特定数据流相关。例如，数据流(QoS流)可以需要特定的QoS，并且除了其他策略信息和UE安全能力之外，还可以基于该数据流的所需QoS来选择所选择的SCI。

SMF 312还可以基于与UE 302的设备类型相关的策略信息来选择SCI。例如，UE订阅信息可以指示可以针对特定应用用于每个可能的UE设备类型的一个或多个SCI的列表，并且可以基于设备类型以及其他策略信息和UE安全能力来选择所选择的SCI。作为另一个示例，在AMF 310/SMF 312处维护的本地策略可以指示要用于UE设备类型的特定SCI。

在716处，SMF 312可以为PDU会话(或PDU会话内的数据流)与UPF 320配置UPF会话安全。在718处，SMF 312可以生成并向AMF 310发送PDU会话创建响应消息。PDU会话创建响应消息包括用于PDU会话(或数据流)的所选择的SCI。在一些示例中，所选择的SCI可以可选地进一步包括使用所选择的AS完整性保护算法(例如，在所选择的SCI中指示的强制或可选AS完整性保护算法之一)生成的MAC。该MAC可以由SMF 312生成，或者如果PCF 314选择该SCI并将该SCI和相关联的MAC发送到SMF 312，则该MAC可以是由PCF 314生成的MAC。

在720处，AMF 310可以生成并向服务UE 302的RAN 304(例如，gNB)发送PDU会话请求消息，以在RAN 304中配置PDU会话(或PDU会话内的数据流)。PDU会话请求消息包括所选择的SCI(以及可选的MAC，如果由SMF 312提供)。基于所选择的SCI，RAN 304为PDU会话(或PDU会话内的数据流)选择AS安全配置(例如，控制平面和用户平面安全配置)，并且在722处，RAN 304向UE 302发送包括所选择的AS安全配置的RRC连接重配置消息。RRC连接重配置消息还包括所选择的SCI(以及可选的MAC)。

在724处，UE 302可以使用MAC验证接收到的SCI的完整性。通过验证MAC，UE 302可以检测是否可以已经由中间功能(例如，RAN 304或AMF 310)对SCI进行了任何更改。此外，UE 302可以将接收到的AS安全配置与接收到的SCI进行比较，以确定接收到的AS安全配置是否包含在接收到的SCI内。UE 302可以进一步将接收到的AS安全配置与对于PDU会话或数据流的任何所请求的SCI进行比较，以确定接收到的AS安全配置是否在所请求的SCI内。

在726处，UE 302可以向RAN 304发送RRC连接重配置完成消息。在一些示例中，RRC连接重配置完成消息可以包括PDU会话继续/停止指示符，该指示符指示UE 302是继续还是停止PDU会话(或PDU会话内的数据流)。当AS安全配置被包含在SCI中时，UE 302可以决定继续PDU会话，并且当AS安全被排除在SCI之外(例如，不作为安全选项被包含)时，UE 302可以决定停止PDU会话。例如，如果AS安全配置包括SCI中不允许的AS加密算法，或者如果SCI禁用了AS加密，则UE 302可以停止PDU会话(或PDU会话中的数据流)。在一些示例中，RRC连接重配置完成消息可以进一步包括SCI确认，该SCI确认包含所接收的SCI(或所请求的SCI)以及可选的UE MAC，以完整性保护从UE传输的SCI确认。

在728处，RAN 304可以向AMF 310发送PDU会话请求确认消息，并且在730处，AMF310可以向SMF 312发送PDU更新请求消息。PDU会话请求确认消息和PDU更新请求消息可以各自包括PDU会话继续/停止指示符和可选的SCI确认以及MAC。SMF 312可以使用UE MAC来验证接收到的SCI确认的完整性，并且可以将从UE接收到的SCI确认与对于PDU会话(或数据流)的所选择的SCI进行比较，以确定是否由中间功能对所选择的SCI进行了任何修改。在732处，SMF 312可以基于接收到的SCI确认和PDU更新请求，与UPF 320更新PDU会话(或数据流)。例如，如果PDU更新请求消息包括PDU会话停止指示符，则SMF 312可以停止与UPF 320的PDU会话(或数据流)。此外，如果从UE接收到PDU会话继续指示符，则可以对UPF 320进行由从UE接收的SCI确认所指示的UPF安全策略的任何改变。

图8是示出采用处理系统814的核心网节点800的硬件实现的示例的框图。例如，核心网节点可以对应于上面参照图3、图4和/或图7所示和描述的AMF或SMF。

核心网节点800可以用包括一个或多个处理器804的处理系统814来实现。处理器804的示例包括微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)、状态机、门控逻辑、分立硬件电路以及被配置为执行整个本公开中所述的各种功能的其他合适的硬件。在各种示例中，核心网节点800可以被配置为执行本文所述的任何一个或多个功能。也就是说，在核心网节点800中利用的处理器804可以被用于实现下文所述的任何一个或多个处理和程序。

在本示例中，处理系统814可以用总线架构来实现，一般由总线802表示。取决于处理系统814的具体应用和总体设计限制，总线802可以包括任何数量的互连总线和桥。总线802将各种电路连接在一起，所述电路包括一个或多个处理器(一般由处理器804表示)、存储器805和计算机可读介质(一般由计算机可读介质806表示)。总线802还可以链接各种其它电路，例如定时源、外设、电压调节器和电源管理电路，这些电路在本技术领域是众所周知的，因此，将不再进一步描述。总线接口808提供了总线802与网络接口810之间的接口。网络接口810提供了通过传输介质与各种其它设备进行通信的手段。取决于设备的性质，还可以提供用户接口812(例如，键盘、显示器、触摸屏、扬声器、麦克风、操纵杆)。当然，这样的用户接口812是可选的，并且在一些示例中可以省略。

处理器804负责管理总线802和一般处理，包括执行存储在计算机可读介质806上的软件。软件应被广义地解释为指代指令、指令集、代码、代码段、程序代码、程序、子程序、软件模块、应用程序、软件应用程序、软件包、例程、子例程、对象、可执行文件、执行线程、程序、功能等，无论其被称为软件、固件、中间件、微代码、硬件描述语言或其他。当软件被处理器804执行时，使得处理系统814执行下面为任何特定设备描述的各种功能。计算机可读介质806和存储器805也可以用于存储当执行软件时由处理器804操作的数据。

计算机可读介质806可以是非暂时性计算机可读介质。例如，非暂时性计算机可读介质包括磁存储设备(例如，硬盘、软盘、磁条)、光盘(例如，紧凑盘(CD)或数字多功能光盘(DVD))、智能卡、闪存设备(例如，卡、棒或钥匙驱动器)、随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、可移动磁盘以及用于存储可以由计算机访问和读取的软件和/或指令的任何其他合适介质。计算机可读介质806可以驻留在处理系统814中，在处理系统814外部，或者分布在包括处理系统814的多个实体上。计算机可读介质806可以体现在计算机程序产品中。举例来说，计算机程序产品可以包括包装材料中的计算机可读介质。在一些示例中，计算机可读介质806可以是存储器805的部分。本领域技术人员将认识到如何取决于特定应用和施加在整体系统上的整体设计限制来最好地实现整个本公开中提出的所描述功能。

在本公开的某些方面中，处理器804可以包括配置用于各种功能的电路。例如，处理器804可以包括会话管理电路841，其被配置为接收和处理来自UE的PDU会话建立请求消息。PDU会话建立请求消息可以包含UE的能力集。该能力集可以包括例如UE的AS安全能力，其可以包括所支持的安全配置索引(SCI)的列表和/或对于PDU会话的SCI请求。会话管理电路841可以基于UE能力、UE配置文件(在核心网节点处维护或从另一核心网节点检索)、UE订阅信息、网络策略、流信息和其他因素来处理PDU会话建立请求消息。然后，会话管理电路841可以经由下一代核心网通过下一代RAN在UE和外部数据网络之间建立PDU连接。会话管理电路841可以进一步被配置为执行包括在计算机可读介质706上的会话管理软件851，以实现本文所述的一个或多个功能。

处理器804可以进一步包括安全配置索引(SCI)选择电路842，其被配置为为PDU会话(或PDU会话内的数据流)选择SCI或其他类似的安全配置信息。所选择的SCI(或安全配置信息)代表用于PDU会话的AS安全策略和UPF安全策略。例如，SCI(或安全配置信息)可以指示：对于PDU会话(或数据流)，AS安全是启用还是禁用，以及UPF安全是启用还是禁用。例如，SCI(或安全配置信息)可以进一步指示针对每种类型的安全(例如，AS/UPF完整性保护或AS/UPF加密)的所选择的安全算法(例如，AES、SNOW和/或ZUC)的列表。所选择的安全算法的列表可以进一步指示特定安全算法对于每个安全类型是可选的、强制的还是不允许使用的，并且可以进一步指示每个安全类型的安全算法的优选顺序。此外，所选择的SCI可以指示数据流和/或PDU会话的特定QoS。

SCI选择电路842可以至少基于UE的AS安全能力和/或与PDU会话(或PDU会话内的数据流)相关联的策略信息，来选择SCI(或其他类似的安全配置信息)。例如，策略信息可以包括在核心网节点800处维护的本地策略信息(例如，UE配置文件、UE订阅信息、AF配置文件、核心网UPF安全信息等)，或者从另一个核心网节点检索的策略信息(例如，UE配置文件、UE订阅信息、AF配置文件、核心网UPF安全信息、SCI等)。例如，可以从核心网内的策略控制功能(PCF)和/或应用功能(AF)检索策略信息。

AS安全能力可以从策略信息(例如，本地策略信息和/或从另一个核心网节点检索的策略信息)或基于UE在PDU会话建立请求消息内提供的AS安全能力来辨别出。在一些示例中，UE的AS安全能力可以包括所支持的SCI的列表和/或由UE提供的SCI请求。在一些示例中，SCI选择电路842可以基于其他策略信息从所支持的SCI的列表中选择SCI，或者可以基于SCI请求和其他策略信息选择SCI。

SCI选择电路842还可以根据与UE的设备类型相关的策略信息来选择SCI(或其他类似的安全配置信息)。例如，UE订阅信息可以指示可以针对特定应用用于每个可能的UE设备类型的一个或多个SCI的列表，并且可以基于设备类型以及其他策略信息和UE安全能力来选择所选择的SCI。作为另一个示例，在核心网节点处维护的本地策略可以指示要用于UE设备类型的特定SCI。SCI选择电路可以进一步被配置为执行包括在计算机可读介质806上的SCI选择软件852以实现本文所述的一个或多个功能。

处理器804还可以包括UPF安全配置电路843，其被配置为利用SCI来配置核心网内的UPF安全。例如，SCI可以指示用于PDU会话和/或PDU会话内的数据流的UPF安全策略，并且UPF安全配置电路843可以在核心网内用UPF实现UPF安全策略。UPF安全配置电路843可以进一步被配置为执行包含在计算机可读介质上的UPF安全配置软件853以实现本文所述的一个或多个功能。

图9是示出采用包括一个或多个处理器904的处理系统914的示例性UE900的硬件实现的示例的图。例如，UE可以对应于图1、图3、图4和/或图7中示出的任何UE。

处理系统914可以与图8中示出的处理系统814基本相同，包括总线接口908、总线902、存储器905、处理器904和计算机可读介质906。此外，UE 900可以包括用户接口912和收发器910，用于通过传输介质(例如，空中接口)与各种其它装置通信。如在UE 900中利用的处理器904可以用于实现以下描述的任何一个或多个处理。

在本公开的某些方面中，处理器904可以包括上行链路(UL)业务和控制信道生成和传输电路942，其被配置为生成并且在UL业务信道上传输上行链路用户数据业务，以及生成并且在UL控制信道上传输上行链路控制/反馈/确认信息。在本公开的各个方面中，UL业务和控制信道生成和传输电路942可以被配置为生成并向核心网传输PDU会话建立请求消息，以与外部数据网络建立PDU会话(或PDU会话内的数据流)。PDU会话建立请求消息可以包括UE的AS安全能力，其可以包括，例如，所支持的SCI的列表和/或对于PDU会话(或数据流)的SCI请求。UL业务和控制信道生成和传输电路942可以被配置为执行包括在计算机可读介质806上的UL业务和控制信道生成和传输软件952，以实现本文所述的一个或多个功能。

处理器904还可以包括下行链路(DL)业务和控制信道接收和处理电路944，配置为在DL业务信道上接收和处理下行链路用户数据业务，并在一个或多个DL控制信道上接收和处理控制信息。在一些示例中，所接收的下行链路用户数据业务和/或控制信息可以存储在存储器905内。在本公开的各个方面中，DL业务和控制信道接收和处理电路944可以被配置为从服务该UE的RAN(例如，gNB)接收RRC连接重配置消息，该消息包括用于PDU会话的所选择的AS安全配置920。在一些示例中，RRC连接重配置消息可以进一步包括用于PDU会话的所选择的SCI(或其他类似的安全配置信息)922。在一些示例中，所选择的SCI 922可以进一步包括用于SCI的完整性保护的MAC。AS安全配置920和SCI 922可以例如存储在存储器905内。DL业务和控制信道接收和处理电路944可以进一步被配置为执行包括在计算机可读介质806上的DL业务和控制信道接收和处理软件954，以实现本文所述的一个或多个功能。

处理器904可以进一步包括接入层(AS)安全管理电路946，被配置为将RAN为PDU会话(或数据流)选择的AS安全配置与核心网为PDU会话(或数据流)选择的SCI进行比较。AS安全管理电路946还可以被配置为生成并向RAN发送RRC连接重配置完成消息或其他类似消息，该消息包括指示UE是继续PDU会话还是停止PDU会话的PDU会话继续/停止指示符。当AS安全配置被包含在SCI内时，AS安全管理电路946可以继续PDU会话，并且当AS安全配置被排除在SCI之外时(例如，SCI不允许RAN选择的特定AS安全配置)，AS安全管理电路946可以停止PDU会话。AS安全管理电路946还可以将接收到的SCI可选地连同UE MAC一起包括在RRC连接重配置完成消息内，以向核心网提供接收到的SCI的副本。

AS安全管理电路946还可以被配置为实现或应用为PDU会话选择的AS安全配置。在一些示例中，AS安全管理电路946可以被配置为在确定继续进行PDU会话时应用为PDU会话选择的AS安全配置。AS安全管理电路946可以进一步被配置为执行包括在计算机可读介质806上的AS安全软件956以实现本文所述的一个或多个功能。

图10是用于在通信网络中的用户设备(UE)处配置接入层(AS)安全的方法的流程图1000。如以下所述，在本公开范围内的特定实现中可以省略一些或全部图示特征，并且一些图示特征可以并非对于所有实施例的实现是必需的。在一些示例中，该方法可以由如上所述并在图9中示出的UE 900、处理器或处理系统或用于实现所描述功能的任何合适的构件来执行。

在块1002处，UE可以向核心网内的网络节点发送会话建立请求消息，以与外部数据网络建立协议数据单元(PDU)会话或PDU会话内的数据流。在一些示例中，会话建立请求消息可以包括UE的AS安全能力。在一些示例中，AS安全能力可以包括UE支持的安全配置索引(SCI)的列表和/或对于PDU会话的SCI请求。例如，上文结合图9所示和描述的UL业务和控制信道生成和传输电路942和收发器910可以生成并发送会话建立请求消息。

在块1004处，UE可以接收由服务该UE的无线电接入网(RAN)为PDU会话选择的AS安全配置。例如，AS安全配置可以指示为各种类型的信息/用户数据业务(例如，RRC消息(控制平面消息)、用户平面数据(PDU)和/或其他类型的控制消息)的AS完整性保护和/或AS加密所选择的特定AS安全算法。例如，AS安全配置可以指示选择用于RRC消息的AS完整性保护的AS安全算法和选择用于PDU的AS加密的AS安全算法。AS安全配置可以例如在由RAN(例如，gNB)发送的RRC连接重配置消息中发送。AS安全配置可以由RAN基于核心网内的网络节点为PDU会话(或数据流)选择的安全配置信息来选择，所述安全配置信息诸如为安全配置索引(SCI)，其包括指示一个或多个AS安全选项的AS安全信息。例如，上面结合图9所示和描述的DL业务和控制信道接收和处理电路944和收发器910可以接收AS安全配置。

图11是用于在通信网络中的用户设备(UE)处配置接入层(AS)安全的方法的流程图1100。如以下所述，在本公开范围内的特定实现中可以省略一些或全部图示特征，并且一些图示特征可以并非对于所有实施例的实现是必需的。在一些示例中，该方法可以由如上所述并在图9中示出的UE 900、处理器或处理系统或用于实现所描述功能的任何合适的构件来执行。

在块1102处，UE可以向核心网内的网络节点发送会话建立请求消息，以与外部数据网络建立协议数据单元(PDU)会话或PDU会话内的数据流。在一些示例中，会话建立请求消息可以包括UE的AS安全能力。在一些示例中，AS安全能力可以包括UE支持的安全配置索引(SCI)的列表和/或对于PDU会话的SCI请求。例如，上文结合图9所示和描述的UL业务和控制信道生成和传输电路942和收发器910可以生成并发送会话建立请求消息。

在块1104处，UE可以接收由服务该UE的无线电接入网(RAN)为PDU会话选择的AS安全配置。例如，AS安全配置可以指示为各种类型的信息/用户数据业务(例如，RRC消息(控制平面消息)、用户平面数据(PDU)和/或其他类型的控制消息)的AS完整性保护和/或AS加密所选择的特定AS安全算法。例如，AS安全配置可以指示选择用于RRC消息的AS完整性保护的AS安全算法和选择用于PDU的AS加密的AS安全算法。AS安全配置可以例如在由RAN(例如，gNB)发送的RRC连接重配置消息中发送。例如，上面结合图9所示和描述的DL业务和控制信道接收和处理电路944和收发器910可以接收AS安全配置。

在块1106，UE可以接收核心网内的网络节点为PDU会话(或数据流)选择的安全配置信息，所述安全配置信息诸如为安全配置索引(SCI)，其包括指示一个或多个AS安全选项的AS安全信息。例如，SCI可以在由RAN(例如，gNB)发送的RRC连接重配置消息中发送。SCI可以进一步包括用于SCI的完整性保护的MAC。SCI中包括的AS安全信息例如可以指示：对于AS消息、AS PDU和UPF PDU，是否启用/禁用完整性保护和加密。SCI中包括的AS安全信息可以进一步指示对于每个已启用的安全类型(例如，AS完整性保护、AS加密、UPF完整性保护、UPF加密)所允许的安全算法(例如，可选的或强制的，以及可能的优选顺序)。SCI中包括的AS安全信息可以进一步包括用于PDU会话(或数据流)的选择的QoS。例如，上面结合图9所示并描述的DL业务和控制信道接收和处理电路944和收发器910可以接收SCI。

在块1108处，UE可以将AS安全配置与SCI进行比较，以在块1110处确定AS安全配置是否包含在SCI内。例如，上面结合图9所示和描述的AS安全管理电路946可以将AS安全配置与SCI进行比较。

如果AS安全配置被包含在SCI中(块1110的“是”分支)，则在块1112处，UE可以继续PDU会话。例如，UE可以向RAN发送RRC连接重配置完成消息，该消息包括指示UE正在继续PDU会话(或数据流)的PDU会话继续指示符。例如，上文结合图9所示和描述的AS安全管理电路946和UL业务和控制信道生成和传输电路942可以继续PDU会话并生成包括PDU会话继续指示符的RRC连接重配置完成消息。

然而，如果AS安全配置未被包含在SCI内(块1110的“否”分支)，则在块1114处，UE可以停止PDU会话。例如，UE可以在RRC连接重配置完成消息中包括PDU会话停止指示符，该指示符指示UE正在停止PDU会话。在一些示例中，UE可以进一步在RRC连接重配置完成消息中包括接收到的SCI(连同可选的UE MAC)。例如，上文结合图9所示和描述的AS安全管理电路946和UL业务和控制信道生成和传输电路942可以停止PDU会话并生成包括PDU会话停止指示符的RRC连接重配置完成消息。

在块1116处，UE可以向核心网中的网络节点发送SCI确认。在一些示例中，SCI确认可以在RRC连接重配置完成消息内发送给RAN，然后RAN可以将包括SCI确认的PDU会话请求确认消息/PDU更新请求消息发送给网络节点。在一些示例中，RRC连接重配置完成消息和PDU会话请求确认消息/PDU更新请求消息可以进一步包括指示UE是继续还是停止PDU会话(或PDU会话内的数据流)的PDU会话继续/停止指示符、连同可选的UE MAC以完整性保护从UE发送的SCI确认。例如，上面结合图9所示和描述的AS安全管理电路946和UL业务和控制信道生成和传输电路942连同收发器910可以发送SCI确认。

图12是用于在核心网中的网络节点处为用户设备(UE)配置接入层(AS)安全的方法的流程图1200。如以下所述，在本公开范围内的特定实现中可以省略一些或全部图示特征，并且一些图示特征可以并非对于所有实施例的实现是必需的。在一些示例中，该方法可以由如上所述并在图8中示出的核心网节点、处理器或处理系统、或用于实现所描述功能的任何合适的构件来执行。

在块1202处，核心网节点可以从UE接收会话建立请求消息，该消息请求建立PDU会话(或PDU会话内的数据流)。在一些示例中，会话建立请求消息可以包括UE的AS安全能力，AS安全能力还可以包括所支持的SCI的列表和/或对于PDU会话的SCI请求。例如，上文结合图8所示并描述的会话管理电路841和网络接口810可以接收会话建立请求消息。

在块1204处，核心网节点可以识别UE的AS安全能力。在一些示例中，可以在会话建立请求消息内接收AS安全能力。在其他示例中，可以由核心网节点维护或从另一核心网节点检索AS安全能力。例如，上文结合图8所示和描述的会话管理电路841可以识别UE的AS安全能力。

在块1206处，核心网节点可以至少基于UE的AS安全能力和/或与PDU会话相关联的策略信息，为PDU会话(或数据流)选择安全配置信息(诸如SCI)。策略信息可以包括UE配置文件、UE订阅信息、AF配置文件、流信息、UE的设备类型和/或其他网络策略。例如，上文结合图8所示和描述的SCI选择电路842可以为PDU会话选择SCI。

在块1208处，核心网节点可以将安全配置信息(例如，SCI)发送到服务该UE的RAN，用于为PDU会话选择AS安全配置。在一些示例中，RAN可以利用SCI来选择AS安全配置(例如，AS安全配置可以被包含在SCI中)。在其他示例中，RAN可以选择在SCI之外的AS安全配置(例如，AS安全配置可以被排除在SCI之外)。例如，上文结合图8所示和描述的SCI选择电路842和网络接口810可以将SCI发送给RAN。

图13是用于在核心网中的网络节点处为用户设备(UE)配置接入层(AS)安全的方法的流程图1300。如以下所述，在本公开范围内的特定实现中可以省略一些或全部图示特征，并且一些图示特征可以并非对于所有实施例的实现是必需的。在一些示例中，该方法可以由如上所述并在图8中示出的核心网节点、处理器或处理系统、或用于实现所描述功能的任何合适的构件来执行。

在块1302处，核心网节点可以从UE接收会话建立请求消息，该消息请求建立PDU会话(或PDU会话内的数据流)。在一些示例中，会话建立请求消息可以包括UE的AS安全能力，AS安全能力还可以包括所支持的SCI的列表和/或对于PDU会话的SCI请求。例如，上文结合图8所示并描述的会话管理电路841和网络接口810可以接收会话建立请求消息。

在块1304处，核心网节点可以识别UE的AS安全能力。在一些示例中，可以在会话建立请求消息内接收AS安全能力。在其他示例中，可以由核心网节点维护或从另一核心网节点检索AS安全能力。例如，上文结合图8所示和描述的会话管理电路841可以识别UE的AS安全能力。

在块1306处，核心网节点可以从核心网内的策略控制功能(PCF)检索与PDU会话相关联的策略信息。例如，核心网节点可以从PCF请求用于PDU会话的策略信息。在一些示例中，PCF可以从AF检索用于PDU会话的策略信息，诸如UE订阅信息或AF配置文件中包含的会话安全信息。因此，策略信息可以包括以下的一个或多个：包括从AF 316检索的会话安全信息的UE订阅信息、从AF接收的AF配置文件、在PCF处维护的UE订阅信息、在PCF处维护的UE配置文件和/或其他网络策略(例如，核心网的UPF安全能力和/或应用的UPF安全要求)。在一些示例中，UE配置文件可以指示UE的AS安全能力，其可以包括UE支持的一个或多个SCI的列表和/或要被用于特定应用的一个或多个SCI的列表。在一些示例中，返回给核心网节点的策略信息可以包括由PCF(或由AF)基于UE的AS安全能力和与PDU会话相关联的其他策略信息(例如，UE订阅信息、UE的设备类型和其他网络策略)为PDU会话选择的选定SCI。例如，上文结合图8所示和描述的会话管理电路841和/或SCI选择电路842、连同网络接口810可以从PCF检索策略信息。

在块1308处，核心网节点可以至少基于UE的AS安全能力和/或与PDU会话相关联的策略信息，为PDU会话(或数据流)选择安全配置信息(诸如SCI)。例如，上文结合图8所示和描述的SCI选择电路842可以为PDU会话选择SCI。

在块1310处，核心网节点可以将安全配置信息(例如，SCI)发送到服务该UE的RAN，用于为PDU会话选择AS安全配置。在一些示例中，RAN可以利用SCI来选择AS安全配置(例如，AS安全配置可以被包含在SCI中)。在其他示例中，RAN可以选择在SCI之外的AS安全配置(例如，AS安全配置可以被排除在SCI之外)。例如，上文结合图8所示和描述的SCI选择电路842和网络接口810可以将SCI发送给RAN。

图14是用于在核心网中的网络节点处为用户设备(UE)配置接入层(AS)安全的方法的流程图1400。如以下所述，在本公开范围内的特定实现中可以省略一些或全部图示特征，并且一些图示特征可以并非对于所有实施例的实现是必需的。在一些示例中，该方法可以由如上所述并在图8中示出的核心网节点、处理器或处理系统、或用于实现所描述功能的任何合适的构件来执行。

在块1402处，核心网节点可以从UE接收会话建立请求消息，该消息请求建立PDU会话(或PDU会话内的数据流)。此外，核心网节点可以与会话建立请求消息一起接收SCI请求，该SCI请求指示要被用于PDU会话或PDU会话内的数据流(QoS流)的所请求SCI。在一些示例中，会话建立请求消息可以包括UE的AS安全能力。例如，上文结合图8所示并描述的会话管理电路841和网络接口810可以接收SCI请求和会话建立请求消息。

在块1404处，核心网节点可以识别UE的AS安全能力。在一些示例中，可以在会话建立请求消息内接收AS安全能力。在其他示例中，可以由核心网节点维护或从另一核心网节点检索AS安全能力。例如，上文结合图8所示和描述的会话管理电路841可以识别UE的AS安全能力。

在块1406处，核心网节点可以至少基于SCI请求、UE的AS安全能力和与PDU会话相关联的策略信息，为PDU会话(或数据流)选择安全配置信息(诸如SCI)。策略信息可以包括UE配置文件、UE订阅信息、AF配置文件、流信息、UE的设备类型和/或其他网络策略。例如，上文结合图8所示和描述的SCI选择电路842可以为PDU会话选择SCI。

在块1408处，核心网节点可以将安全配置信息(例如，SCI)发送到服务该UE的RAN，用于为PDU会话选择AS安全配置。在一些示例中，RAN可以利用SCI来选择AS安全配置(例如，AS安全配置可以被包含在SCI中)。在其他示例中，RAN可以选择在SCI之外的AS安全配置(例如，AS安全配置可以被排除在SCI之外)。例如，上文结合图8所示和描述的SCI选择电路842和网络接口810可以将SCI发送给RAN。

图15是用于在核心网中的网络节点处为用户设备(UE)配置接入层(AS)安全的方法的流程图1500。如以下所述，在本公开范围内的特定实现中可以省略一些或全部图示特征，并且一些图示特征可以并非对于所有实施例的实现是必需的。在一些示例中，该方法可以由如上所述并在图8中示出的核心网节点、处理器或处理系统、或用于实现所描述功能的任何合适的构件来执行。

在块1502处，核心网节点可以从UE接收会话建立请求消息，该消息请求建立PDU会话(或PDU会话内的数据流)。此外，核心网节点可以与会话建立请求消息一起接收可以用于PDU会话(或PDU会话内的数据流)的所支持的SCI的列表。在一些示例中，会话建立请求消息可以包括UE的AS安全能力。例如，上文结合图8所示并描述的会话管理电路841和网络接口810可以接收所支持的SCI的列表和会话建立请求消息。

在块1504处，核心网节点可以识别UE的AS安全能力。在一些示例中，可以在会话建立请求消息内接收AS安全能力。在其他示例中，可以由核心网节点维护或从另一核心网节点检索AS安全能力。例如，上文结合图8所示和描述的会话管理电路841可以识别UE的AS安全能力。

在块1506处，核心网节点可以至少基于所支持的SCI的列表、UE的AS安全能力和/或与PDU会话相关联的策略信息，为PDU会话(或数据流)选择安全配置信息(诸如SCI)。策略信息可以包括UE配置文件、UE订阅信息、AF配置文件、流信息、UE的设备类型和/或其他网络策略。例如，上文结合图8所示和描述的SCI选择电路842可以为PDU会话选择SCI。

在块1508处，核心网节点可以将安全配置信息(例如，SCI)发送到服务该UE的RAN，用于为PDU会话选择AS安全配置。在一些示例中，RAN可以利用SCI来选择AS安全配置(例如，AS安全配置可以被包含在SCI中)。在其他示例中，RAN可以选择在SCI之外的AS安全配置(例如，AS安全配置可以被排除在SCI之外)。例如，上文结合图8所示和描述的SCI选择电路842和网络接口810可以将SCI发送给RAN。

图16是用于在核心网中的网络节点处为用户设备(UE)配置接入层(AS)安全的方法的流程图1600。如以下所述，在本公开范围内的特定实现中可以省略一些或全部图示特征，并且一些图示特征可以并非对于所有实施例的实现是必需的。在一些示例中，该方法可以由如上所述并在图8中示出的核心网节点、处理器或处理系统、或用于实现所描述功能的任何合适的构件来执行。

在块1602处，核心网节点可以从UE接收会话建立请求消息，该消息请求建立PDU会话(或PDU会话内的数据流)。在一些示例中，会话建立请求消息可以包括UE的AS安全能力，其还可以包括所支持的SCI的列表和/或对于PDU会话的SCI请求。例如，上文结合图8所示并描述的会话管理电路841和网络接口810可以接收会话建立请求消息。

在块1604处，核心网节点可以识别UE的AS安全能力。在一些示例中，可以在会话建立请求消息内接收AS安全能力。在其他示例中，可以由核心网节点维护或从另一核心网节点检索AS安全能力。例如，上文结合图8所示和描述的会话管理电路841可以识别UE的AS安全能力。

在块1606处，核心网节点可以至少基于UE的AS安全能力和/或与PDU会话相关联的策略信息，为PDU会话(或数据流)选择安全配置信息(诸如SCI)。策略信息可以包括UE配置文件、UE订阅信息、AF配置文件、流信息、UE的设备类型和/或其他网络策略。例如，上文结合图8所示和描述的SCI选择电路842可以为PDU会话选择SCI。

在块1608处，核心网节点可以将安全配置信息(例如，SCI)发送到服务该UE的RAN，用于为PDU会话选择AS安全配置。在一些示例中，RAN可以利用SCI来选择AS安全配置(例如，AS安全配置可以被包含在SCI中)。在其他示例中，RAN可以选择在SCI之外的AS安全配置(例如，AS安全配置可以被排除在SCI之外)。例如，上文结合图8所示和描述的SCI选择电路842和网络接口810可以将SCI发送给RAN。

在块1610处，核心网节点可以将安全配置信息(例如，SCI)发送到UE。在一些示例中，SCI可以进一步包括消息认证码(MAC)以使UE能够验证SCI的完整性。在一些示例中，SCI可以在同一消息中发送给RAN和UE两者，并且可以被包括在发送给RAN和UE下游的一个或多个后续消息中。SCI可以由RAN和UE两者消耗(例如，读取/利用)，而MAC可以仅由UE消耗。例如，上文结合图8所示和描述的SCI选择电路842和网络接口810可以将SCI发送给UE。

在块1612处，核心网节点可以从UE接收安全配置确认(例如，SCI确认)。例如，SCI确认可以在PDU会话请求确认消息/PDU更新请求消息中接收，该PDU会话请求确认消息/PDU更新请求消息是响应于RAN接收包括SCI确认的RRC连接重配置消息而从RAN/AMF发送的。在一些示例中，RRC连接重配置完成消息和PDU会话请求确认消息/PDU更新请求消息可以进一步包括UE MAC，以完整性保护从UE传送的SCI确认。例如，上文结合图8所示和描述的会话管理电路841和/或SCI选择电路842与网络接口180一起可以接收SCI确认。

图17是用于在核心网中的网络节点处为用户设备(UE)配置接入层(AS)安全的方法的流程图1700。如以下所述，在本公开范围内的特定实现中可以省略一些或全部图示特征，并且一些图示特征可以并非对于所有实施例的实现是必需的。在一些示例中，该方法可以由如上所述并在图8中示出的核心网节点、处理器或处理系统、或用于实现所描述功能的任何合适的构件来执行。

在块1702处，核心网节点可以从UE接收会话建立请求消息，该消息请求建立PDU会话(或PDU会话内的数据流)。在一些示例中，会话建立请求消息可以包括UE的AS安全能力，其还可以包括所支持的SCI的列表和/或对于PDU会话的SCI请求。例如，上文结合图8所示并描述的会话管理电路841和网络接口810可以接收会话建立请求消息。

在块1704处，核心网节点可以识别UE的AS安全能力。在一些示例中，可以在会话建立请求消息内接收AS安全能力。在其他示例中，可以由核心网节点维护或从另一核心网节点检索AS安全能力。例如，上文结合图8所示和描述的会话管理电路841可以识别UE的AS安全能力。

在块1706处，核心网节点可以至少基于UE的AS安全能力和/或与PDU会话相关联的策略信息，为PDU会话(或数据流)选择安全配置信息(诸如SCI)。策略信息可以包括UE配置文件、UE订阅信息、AF配置文件、流信息、UE的设备类型和/或其他网络策略。例如，上文结合图8所示和描述的SCI选择电路842可以为PDU会话选择SCI。

在块1708处，核心网节点可以将安全配置信息(例如，SCI)发送到服务该UE的RAN，用于为PDU会话选择AS安全配置。在一些示例中，RAN可以利用SCI来选择AS安全配置(例如，AS安全配置可以被包含在SCI中)。在其他示例中，RAN可以选择在SCI之外的AS安全配置(例如，AS安全配置可以被排除在SCI之外)。例如，上文结合图8所示和描述的SCI选择电路842和网络接口810可以将SCI发送给RAN。

在块1710处，核心网节点可以基于SCI为PDU会话配置用户平面功能(UPF)安全。UPF安全策略可以实现核心网上的用户平面数据的完整性保护和加密(加密)。在一些示例中，UPF安全策略可以包括一个或多个选择的安全算法，以用于在核心网上的UPF 320处进行用户平面数据完整性保护和加密。例如，上文结合图8所示和描述的UPF安全配置电路843可以用核心网内的UPF来实现UPF安全策略。

在一个配置中，通信网络中的装置包括用于向核心网内的网络节点发送会话建立请求消息以建立协议数据单元(PDU)会话的构件，以及用于接收由服务UE的无线电接入网(RAN)基于安全配置信息为PDU会话选择的AS安全配置的构件，该安全配置信息包括指示由核心网内的网络节点为PDU会话选择的一个或多个AS安全选项的AS安全信息，其中该AS安全配置是特定于PDU会话的。

在一个方面，前述用于发送会话建立请求消息的构件和用于接收AS安全配置的构件可以是图9中所示的处理器904，其被配置为执行前述构件所叙述的功能。例如，上述用于发送会话建立请求消息的构件可以包括图9中所示的UL业务和控制信道生成和传输电路942以及收发器910。作为另一个示例，上述用于接收AS安全配置的构件可以包括如图9所示的DL业务和控制信道接收和处理电路944以及与收发器910。在又一个方面，上述构件可以是配置为执行上述构件所叙述的功能的电路或任何装置。

在另一种配置中，核心网中的网络节点包括用于在核心网内的网络节点处从UE接收会话建立请求消息的构件，其中，该会话建立请求消息包括让UE建立协议数据单元(PDU)会话的请求。网络节点还包括用于识别UE的AS安全能力的构件，以及用于基于UE的AS安全能力或与PDU会话相关联的策略信息中的至少一个来选择用于PDU会话的安全配置信息的构件，其中，该安全配置信息包括指示由核心网内的网络节点为PDU会话选择的一个或多个AS安全选项的AS安全信息。该网络节点还包括用于将安全配置信息发送到与UE无线通信的无线电接入网(RAN)以用于为PDU会话选择AS安全配置的构件。

在一个方面，上述用于接收会话建立请求消息的构件、用于识别AS安全能力的构件、用于选择安全配置信息的构件以及用于将安全配置信息发送到RAN的构件可以是图7中所示的处理器804，其被配置为执行上述构件所叙述的功能。例如，上述用于接收会话建立请求信息的构件可以包括图8中所示的会话管理电路841以及网络接口810。作为另一个示例，前述用于识别AS安全能力的构件可以包括图8中所示的会话管理电路841。作为另一个示例，上述用于选择安全配置信息的构件可以包括图8中所示的SCI选择电路842。作为又一个示例，前述用于将安全配置信息发送到RAN的构件可以包括如图8所示的SCI选择电路842以及网络接口810。在另一个方面，前述构件可以是被配置为执行前述构件所叙述的功能的电路或任何装置。

已经参照示例性实施例提出了无线通信网络的几个方面。如本领域技术人员将容易理解的，整个本公开中描述的各种方面可以扩展到其他电信系统、网络架构和通信标准。

作为示例，各种方面可以在3GPP定义的其他系统内实施，诸如长期演进(LTE)、演进分组系统(EPS)、通用移动电信系统(UMTS)和/或全球移动系统(GSM)。各种方面也可以扩展到由第三代合作伙伴项目2(3GPP2)定义的系统，例如CDMA2000和/或演进-数据优化(EV-DO)。其他示例可以在采用IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、超宽带(UWB)、蓝牙和/或其他合适的系统内实现。实际采用的电信标准、网络架构和/或通信标准将取决于具体的应用和施加在系统上的总体设计约束。

在本公开中，“示例性”一词用于意味着“作为示例、实例或例示”。此处描述为“示例性”的任何实施例或方面不一定被解释为优先于本公开的其他方面或比其更有优势。同样，术语“方面”并不要求本公开的所有方面包括所讨论的特征、优点或操作模式。术语“耦合”在此用于指两个对象之间的直接或间接耦合。例如，如果对象A物理地接触对象B，并且对象B接触对象C，那么对象A和C仍然可以被认为彼此耦合--即使它们不直接物理地相互接触。例如，即使第一对象从未与第二对象直接物理接触，第一对象也可以被耦合到第二对象。术语“电路”和“电路系统”是广义使用的，并且旨在既包括电气设备和导体的硬件实现，当这些设备和导体被连接和配置时使本公开所描述的功能得以执行，而不限于电子电路的类型，也包括信息和指令的软件实现，这些信息和指令当由处理器执行时使本公开所描述的功能得以执行。

图1-17中示出的一个或多个组件、步骤、特征和/或功能可以重新排列和/或组合成单个组件、步骤、特征或功能，或体现在多个组件、步骤或功能中。在不脱离本文公开的新颖特征的情况下，还可以添加额外的元件、组件、步骤和/或功能。图1、3、4和7中示出的装置、设备和/或组件可以被配置为执行本文所述的一种或多种方法、特征或步骤。此处描述的新颖算法也可以有效地在软件中实现和/或嵌入在硬件中。

应当理解的是，所公开的方法中步骤的具体顺序或层次结构是对示例性处理的说明。基于设计偏好，可以理解的是，方法中步骤的具体顺序或层次结构可以重新排列。所附的方法权利要求以示例性顺序呈现了各种步骤的要素，除非在本文中特别叙述，否则所附的方法权利要求并不旨在被限制为所呈现的具体顺序或层次结构中。

提供前面的描述是为了使本领域的任何技术人员能够实践本文描述的各种方面。对这些方面的各种修改对于本领域的技术人员来说将是显而易见的，并且本文定义的通用原则可以应用于其它方面。因此，权利要求并不旨在被限制为本文所示的方面，而是要赋予与权利要求的语言相一致的整个范围，其中对单数元素的提及并不旨在意味着“一个且仅一个”，除非特别说明，而是意味着“一个或多个”。除非另有特别说明，术语“一些”指的是一个或多个。提及项目列表“中的至少一个”的短语是指这些项目的任何组合，包括单个成员。作为一个示例，“a、b或c中的至少一个”旨在涵盖：a；b；c；a和b；a和c；b和c；以及a、b和c。本领域普通技术人员已知的或后来知道的本公开中所描述的各方面的要素的所有结构和功能等同物都通过引用明确地并入此处，并意在被权利要求所涵盖。此外，本文所公开的任何内容并非旨在贡献给公众，无论这种公开是否在权利要求书中明确叙述。

Claims (36)

1.一种用于在通信网络中的用户设备(UE)处配置接入层(AS)安全的方法，包括：

向核心网内的网络节点发送会话建立请求消息以建立协议数据单元(PDU)会话；

接收服务所述UE的无线电接入网(RAN)基于安全配置信息为所述PDU会话选择的AS安全配置，所述AS安全配置特定于所述PDU会话，其中所述AS安全配置为控制平面和用户平面安全配置；

接收包括指示所述核心网内的网络节点为所述PDU会话选择的一个或多个AS安全选项的AS安全信息的安全配置信息；

将所述AS安全配置与所述安全配置信息进行比较；

当所述AS安全配置被包含在所述安全配置信息内时，继续所述PDU会话；以及

当所述AS安全配置被排除在所述安全配置信息外时，停止所述PDU会话。

2.根据权利要求1所述的方法，其中，所述安全配置信息包括消息认证码(MAC)，并且所述方法还包括：

使用所述MAC验证所述安全配置信息的完整性。

3.根据权利要求1所述的方法，还包括：

向所述核心网内的网络节点发送安全配置确认和用于所述安全配置确认的UE消息认证码。

4.根据权利要求1所述的方法，其中，所述安全配置信息基于所述PDU会话内的服务质量(QoS)流来选择，并且所述AS安全配置针对所述PDU会话内的所述QoS流而选择。

5.根据权利要求1所述的方法，其中，所述安全配置信息基于所述UE的设备类型或所述PDU会话来选择。

6.根据权利要求1所述的方法，其中，所述安全配置信息包括安全配置索引(SCI)，并且其中发送会话建立请求消息还包括：

与所述会话建立请求消息一起发送对于所述PDU会话的SCI请求。

7.根据权利要求1所述的方法，其中，发送会话建立请求消息还包括：

与所述会话建立请求消息一起发送支持的安全配置索引(SCI)的列表。

8.根据权利要求1所述的方法，其中，发送会话建立请求消息还包括：

与所述会话建立请求消息一起发送所述UE的AS安全能力。

9.根据权利要求1所述的方法，其中，所述安全配置信息包括指示AS加密是否被启用的AS加密指示符和指示AS完整性保护是否被启用的AS完整性保护指示符。

10.根据权利要求9所述的方法，其中，所述安全配置信息还包括指示用户平面功能(UPF)加密是否被启用的UPF加密指示符和指示UPF完整性保护是否被启用的UPF完整性保护指示符。

11.根据权利要求9所述的方法，其中，所述安全配置信息还包括一个或多个AS安全算法的列表，并且指示所述一个或多个AS安全算法中的每一个是否被启用。

12.根据权利要求11所述的方法，其中，所述安全配置信息还指示所述一个或多个AS安全算法中的每一个的优选顺序。

13.根据权利要求11所述的方法，其中，所述安全配置信息还指示所述一个或多个AS安全算法中的每一个是否是强制的。

14.根据权利要求9所述的方法，其中，所述安全配置信息还包括指示用于所述PDU会话的一个或多个服务质量(QoS)参数的QoS字段。

15.根据权利要求9所述的方法，其中所述AS加密指示符适用于无线电资源控制(RRC)信令消息和用户平面数据，并且所述AS完整性保护指示符适用于至少所述RRC信令消息。

16.根据权利要求15所述的方法，其中，所述安全配置信息还包括用于除了所述RAN和所述UE之间交换的所述RRC信令消息以外的一个或多个其它控制消息的至少一个附加安全指示符。

17.根据权利要求16所述的方法，其中，所述一个或多个其他控制消息包括状态报告消息、物理上行链路控制信道(PUCCH)或物理下行链路控制信道(PDCCH)中的至少一个。

18.一种通信网络内的用户设备(UE)，其包括:

处理器；

与所述处理器通信耦合的无线收发器；以及

与所述处理器通信耦合的存储器，其中所述处理器被配置为：

经由所述收发器向核心网内的网络节点发送会话建立请求消息以建立协议数据单元(PDU)会话；

经由所述收发器接收服务所述UE的无线电接入网(RAN)基于安全配置信息为所述PDU会话选择的AS安全配置，所述AS安全配置特定于所述PDU会话，其中所述AS安全配置为控制平面和用户平面安全配置；

经由所述收发器接收包括指示所述核心网内的网络节点为所述PDU会话选择的一个或多个AS安全选项的AS安全信息的安全配置信息；

将所述AS安全配置与所述安全配置信息进行比较；

当所述AS安全配置被包含在所述安全配置信息内时，继续所述PDU会话；以及

当所述AS安全配置被排除在所述安全配置信息外时，停止所述PDU会话。

19.根据权利要求18所述的UE，其中，所述安全配置信息包括消息认证码(MAC)，并且其中所述处理器还被配置为：

使用所述MAC验证所述安全配置信息的完整性。

20.根据权利要求18所述的UE，其中，所述处理器还被配置为：

向所述核心网内的网络节点发送安全配置确认和用于所述安全配置确认的UE消息认证码。

21.根据权利要求18所述的UE，其中，所述安全配置信息基于所述PDU会话内的服务质量(QoS)流来选择，并且所述AS安全配置针对所述PDU会话内的所述QoS流而选择。

22.根据权利要求18所述的UE，其中，所述安全配置信息基于所述UE的设备类型或所述PDU会话中的至少一个来选择。

23.根据权利要求18所述的UE，其中，所述安全配置信息包括安全配置索引(SCI)，并且其中所述处理器还被配置为：

与所述会话建立请求消息一起发送支持的安全配置索引(SCI)的列表。

24.根据权利要求18所述的UE，其中，所述处理器还被配置为：

与所述会话建立请求消息一起发送所述UE的AS安全能力。

25.根据权利要求18所述的UE，其中，所述安全配置信息包括指示AS加密是否被启用的AS加密指示符、指示AS完整性保护是否被启用的AS完整性保护指示符、指示用户平面功能(UPF)加密是否被启用的UPF加密指示符和指示UPF完整性保护是否被启用的UPF完整性保护指示符。

26.根据权利要求25所述的UE，其中，所述安全配置信息还包括一个或多个AS安全算法的列表，并且指示所述一个或多个AS安全算法中的每一个是否被启用。

27.根据权利要求26所述的UE，其中，所述安全配置信息还指示所述一个或多个AS安全算法中的每一个的优选顺序以及所述一个或多个AS安全算法中的每一个是否是强制的。

28.根据权利要求25所述的UE，其中，所述安全配置信息还包括指示用于所述PDU会话的一个或多个服务质量(QoS)参数的QoS字段。

29.一种用于在通信网络中的用户设备(UE)处配置接入层(AS)安全的装置，包括：

用于向核心网内的网络节点发送会话建立请求消息以建立协议数据单元(PDU)会话的部件；

用于接收服务所述UE的无线电接入网(RAN)基于安全配置信息为所述PDU会话选择的AS安全配置的部件，所述AS安全配置特定于所述PDU会话，其中所述AS安全配置为控制平面和用户平面安全配置；

用于接收包括指示所述核心网内的网络节点为所述PDU会话选择的一个或多个AS安全选项的AS安全信息的安全配置信息的部件；

用于将所述AS安全配置与所述安全配置信息进行比较的部件；

用于当所述AS安全配置被包含在所述安全配置信息内时，继续所述PDU会话的部件；以及

用于当所述AS安全配置被排除在所述安全配置信息外时，停止所述PDU会话的部件。

30.根据权利要求29所述的装置，还包括：

用于向所述核心网内的网络节点发送安全配置确认和用于所述安全配置确认的UE消息认证码的部件。

31.根据权利要求29所述的装置，其中所述安全配置信息包括指示AS加密是否被启用的AS加密指示符和指示AS完整性保护是否被启用的AS完整性保护指示符，并且其中，所述安全配置信息还包括一个或多个AS安全算法的列表，并且指示所述一个或多个AS安全算法中的每一个是否被启用。

32.根据权利要求31所述的装置，其中，所述安全配置信息还指示所述一个或多个AS安全算法中的每一个的优选顺序。

33.根据权利要求31所述的装置，其中，所述安全配置信息还指示所述一个或多个AS安全算法中的每一个是否是强制的。

34.根据权利要求29所述的装置，其中，所述安全配置信息包括指示AS加密是否被启用的AS加密指示符以及指示AS完整性保护是否被启用的AS完整性保护指示符，所述AS加密指示符适用于无线电资源控制(RRC)信令消息和用户平面数据，并且所述AS完整性保护指示符适用于至少所述RRC信令消息。

35.根据权利要求34所述的装置，其中，所述安全配置信息还包括用于除了所述RAN和所述UE之间交换的所述RRC信令消息以外的一个或多个其它控制消息的至少一个附加安全指示符。

36.根据权利要求35所述的装置，其中，所述一个或多个其他控制消息包括状态报告消息、物理上行链路控制信道(PUCCH)或物理下行链路控制信道(PDCCH)中的至少一个。

Images