集中式无线接入网络的接入层(AS)安全性(C-RAN)的制作方法

相关申请的交叉引用

本申请要求于2019年4月10日递交的美国申请第16/380,104号的优先权，上述申请要求于2018年4月12日递交的名称为“accessstratum(as)securityfor5^thgeneration(5g)centralizedradioaccessnetwork(c-ran)”的美国临时申请第62/656,829号的优先权，上述两个申请的全部内容通过引用的方式明确地并入本文中。

本公开内容的各方面涉及无线通信，以及更具体地，本公开内容的各方面涉及用于集中式无线接入网络(c-ran)中的用户设备(ue)与基站(bs)之间的安全控制平面通信的技术。

背景技术：

无线通信系统被广泛地部署以提供诸如电话、视频、数据、消息传送、广播等的各种电信服务。这些无线通信系统可以采用能够通过共享可用的系统资源(例如，带宽、发射功率等)来支持与多个用户的通信的多址技术。这样的多址系统的示例包括第三代合作伙伴计划(3gpp)长期演进(lte)系统、改进的lte(lte-a)系统、码分多址(cdma)系统、时分多址(tdma)系统、频分多址(fdma)系统、正交频分多址(ofdma)系统、单载波频分多址(sc-fdma)系统以及时分同步码分多址(td-scdma)系统等等。

在一些示例中，无线多址通信系统可以包括多个基站(bs)，每个基站能够同时支持针对多个通信设备(另外被称为用户设备(ue))的通信。在lte或lte-a网络中，一个或多个基站的集合可以定义演进型节点b(enb)。在其它示例中(例如，在下一代、新无线电(nr)或5g网络中)，无线多址通信系统可以包括与多个中央单元(cu)(例如，中央节点(cn)、接入节点控制器(anc)等)进行通信的多个分布式单元(du)(例如，边缘单元(eu)、边缘节点(en)、无线头端(rh)、智能无线头端(srh)、发送接收点(trp)等)，其中，与中央单元进行通信的一个或多个分布式单元的集合可以定义接入节点(例如，其可以被称为基站、5gnb、下一代节点b(gnb或gnodeb)、trp等)。基站或分布式单元可以在下行链路信道(例如，针对从基站到ue的传输)和上行链路信道(例如，针对从ue到基站或分布式单元的传输)上与ue集合进行通信。

已经在各种电信标准中采用了这些多址技术以提供公共协议，该公共协议使得不同的无线设备能够在城市、国家、地区、以及甚至全球级别上进行通信。新无线电(nr)(例如，5g)是新兴的电信标准的示例。nr是对由3gpp发布的lte移动标准的增强的集合。nr被设计为通过改进频谱效率、降低成本、改进服务、利用新频谱以及在下行链路(dl)上和在上行链路(ul)上使用具有循环前缀(cp)的ofdma来与其它开放标准更好地整合，来更好地支持移动宽带互联网接入。为此，nr支持波束成形、多输入多输出(mimo)天线技术和载波聚合。

然而，随着对移动宽带接入的需求持续增长，存在对nr和lte技术的进一步改进的需求。优选地，这些改进应该适用于其它多址技术以及采用这些技术的电信标准。

技术实现要素：

本公开内容的系统、方法和设备各自具有若干方面，其中没有单个方面单独地负责其期望属性。在不限制如通过下文的权利要求表达的本公开内容的范围的情况下，现在将简要地论述一些特征。在考虑该论述之后，以及特别是在阅读了标题为“具体实施方式”的部分之后，本领域技术人员将理解本公开内容的特征如何提供优势，其包括无线网络中的接入点与站之间的改进的通信。

某些方面提供了一种用于由无线接入网络(ran)实体进行的无线通信的方法。概括而言，所述方法包括：决定将ue从源基站(bs)切换到目标bs，其中，所述ran网络实体控制包括所述源bs或所述目标bs中的至少一者的多个bs，并且其中，控制平面(cp)协议层的至少一部分是在所述目标bs处实现的；基于主密钥和新鲜度参数来生成特定于所述目标bs的至少一个密钥，所述主密钥与所述网络实体相关联；以及向所述目标bs发送对所述至少一个密钥的指示，其中，所述目标bs使用所述至少一个密钥基于所述cp协议层来与所述ue交换控制信令。

本公开内容的某些方面提供了一种用于由用户设备(ue)进行的无线通信的方法。概括而言，所述方法包括：接收用于将所述ue从源基站(bs)切换到目标bs的命令，所述命令至少包括用于生成特定于所述目标bs的至少一个密钥的指示以及用于生成所述至少一个密钥的新鲜度参数，其中，控制平面(cp)协议层的至少一部分是在所述目标bs处实现的；至少基于所述新鲜度参数和主密钥来生成所述至少一个密钥，所述主密钥与至少控制所述源bs的无线接入网络(ran)网络实体相关联；以及使用所述至少一个密钥基于所述cp协议层来与所述目标bs交换控制信令。

本公开内容的某些方面提供了一种ue。概括而言，所述ue包括至少一个处理器和耦合到所述至少一个处理器的存储器。概括而言，所述至少一个处理器被配置为：接收用于将所述ue从源基站(bs)切换到目标bs的命令，所述命令至少包括用于生成特定于所述目标bs的至少一个密钥的指示以及用于生成所述至少一个密钥的新鲜度参数，其中，控制平面(cp)协议层的至少一部分是在所述目标bs处实现的；至少基于所述新鲜度参数和主密钥来生成所述至少一个密钥，所述主密钥与至少控制所述源bs的无线接入网络(ran)网络实体相关联；以及使用所述至少一个密钥基于所述cp协议层来与所述目标bs交换控制信令。

本公开内容的某些方面提供了一种ran实体。概括而言，所述ran实体包括至少一个处理器和耦合到所述至少一个处理器的存储器。概括而言，所述至少一个处理器被配置为：决定将ue从源基站(bs)切换到目标bs，其中，所述ran网络实体控制包括所述源bs或所述目标bs中的至少一者的多个bs，并且其中，控制平面(cp)协议层的至少一部分是在所述目标bs处实现的；基于主密钥和新鲜度参数来生成特定于所述目标bs的至少一个密钥，所述主密钥与所述网络实体相关联；以及向所述目标bs发送对所述至少一个密钥的指示，其中，所述目标bs基于所述cp协议层来与所述ue交换控制信令，其中，所述控制信令是基于所述至少一个密钥来保护的。

某些方面提供了一种ran实体。概括而言，所述ran实体包括：用于决定将ue从源基站(bs)切换到目标bs的单元，其中，所述ran网络实体控制包括所述源bs或所述目标bs中的至少一者的多个bs，并且其中，控制平面(cp)协议层的至少一部分是在所述目标bs处实现的；用于基于主密钥和新鲜度参数来生成特定于所述目标bs的至少一个密钥的单元，所述主密钥与所述网络实体相关联；以及用于向所述目标bs发送对所述至少一个密钥的指示的单元，其中，所述目标bs使用所述至少一个密钥基于所述cp协议层来与所述ue交换控制信令。

某些方面提供了一种ue。概括而言，所述ue包括：用于接收用于将所述ue从源基站(bs)切换到目标bs的命令的单元，所述命令至少包括用于生成特定于所述目标bs的至少一个密钥的指示以及用于生成所述至少一个密钥的新鲜度参数，其中，控制平面(cp)协议层的至少一部分是在所述目标bs处实现的；用于至少基于所述新鲜度参数和主密钥来生成所述至少一个密钥的单元，所述主密钥与至少控制所述源bs的无线接入网络(ran)网络实体相关联；以及用于使用所述至少一个密钥基于所述cp协议层来与所述目标bs交换控制信令的单元。

某些方面提供了一种用于由ran实体进行的无线通信的计算机可读介质。概括而言，所述计算机可读介质存储指令，所述指令在由至少一个处理器执行时执行一种方法，包括：决定将ue从源基站(bs)切换到目标bs，其中，所述ran网络实体控制包括所述源bs或所述目标bs中的至少一者的多个bs，并且其中，控制平面(cp)协议层的至少一部分是在所述目标bs处实现的；基于主密钥和新鲜度参数来生成特定于所述目标bs的至少一个密钥，所述主密钥与所述网络实体相关联；以及向所述目标bs发送对所述至少一个密钥的指示，其中，所述目标bs使用所述至少一个密钥基于所述cp协议层来与所述ue交换控制信令。

本公开内容的某些方面提供了一种用于由ue进行的无线通信的计算机可读介质。概括而言，所述计算机可读介质存储指令，所述指令在由至少一个处理器执行时执行一种方法，包括：接收用于将所述ue从源基站(bs)切换到目标bs的命令，所述命令至少包括用于生成特定于所述目标bs的至少一个密钥的指示以及用于生成所述至少一个密钥的新鲜度参数，其中，控制平面(cp)协议层的至少一部分是在所述目标bs处实现的；至少基于所述新鲜度参数和主密钥来生成所述至少一个密钥，所述主密钥与至少控制所述源bs的无线接入网络(ran)网络实体相关联；以及使用所述至少一个密钥基于所述cp协议层来与所述目标bs交换控制信令。

为了实现前述目的和相关目的，一个或多个方面包括下文中充分描述并在权利要求中特别指出的特征。下文的描述和附图详细阐述了一个或多个方面的某些说明性的特征。然而，这些特征仅指示在其中可以采用各个方面的原理的各种方式中的几种方式。

附图说明

通过参考在附图中示出的各方面中的一些方面，可以有上文简要概述的更加具体的描述，以便可以详细地理解其中本公开内容的上述特征的方式。然而，要注意的是，附图仅示出了本公开内容的某些典型的方面以及因此不被认为是对其范围的限制，因为该描述可以认可其它同等有效的方面。

图1是根据本公开内容的某些方面概念性地示出示例电信系统的框图。

图2是根据本公开内容的某些方面示出分布式无线接入网络(ran)的示例逻辑架构的框图。

图3是根据本公开内容的某些方面示出分布式ran的示例物理架构的图。

图4是根据本公开内容的某些方面概念性地示出示例基站(bs)和用户设备(ue)的设计的框图。

图5是根据本公开内容的某些方面示出用于实现通信协议栈的示例的图。

图6根据本公开内容的某些方面示出了5gnr的示例逻辑架构。

图7根据本公开内容的某些方面示出了具有cu拆分的5gnr的逻辑架构。

图8根据本公开内容的某些方面示出了由ran网络实体(例如，cu-cp)执行的用于安全cp信令的示例操作。

图9根据本公开内容的某些方面示出了由ue执行的用于与gnb的安全cp通信的示例操作。

图10根据本公开内容的某些方面示出了用于在cu/gnb内切换期间生成安全密钥的示例呼叫流程。

图11根据本公开内容的某些方面示出了用于在基于xn的gnb间切换期间生成安全密钥的示例呼叫流程。

图12示出了可以包括被配置为执行用于本文公开的技术的操作(诸如图8中所示的操作)的各种组件(例如，对应于功能模块组件)的通信设备。

图13示出了可以包括被配置为执行用于本文公开的技术的操作(诸如图9中所示的操作)的各种组件(例如，对应于功能模块组件)的通信设备。

为了促进理解，在可能的情况下，已经使用完全相同的附图标记来指定对于附图而言共同的完全相同的元素。预期的是，在一个方面中公开的元素可以有益地用在其它方面上，而不需要特定的记载。

具体实施方式

在某些方面中，在集中式ran架构(例如，基于云的ran架构)中，gnb的中央单元(cu)可以是作为云服务来提供的，以及cu可以位于云服务器中。在这种架构中，被部署为边缘节点的分布式单元(du)负责与ue的空中(ota)数据通信。cu处理针对du的控制平面(cp)业务和用户平面(up)业务两者，以及向du提供分组以用于去往ue的传输，以及接收由du接收和转发的分组。在这种情况下，对用户平面和数据分组的大多数实际处理(例如，与pdcp和rrc层相关)发生在位于云中的cu处。

在某些方面中，上文讨论的基于云的架构(其中，控制平面和用户平面两者驻留在云中，而du被部署在边缘(即，靠近ue))的问题是，在cu与du之间的长f1-c链路上增加了rrc信令延时，这对于某些类型的服务和/或应用可能是不可接受的。例如，ue从服务基站(例如，du)接收rrc信令，该rrc信令调度用于下行链路传输和上行链路传输的资源。然而，如果cu位于云中，则由于cu与du之间的长f1-c链路，rrc信令可能经历增加的延时。对于某些延时关键的服务和/或应用而言，这种长的rrc信令延时可能是不可接受的。此外，由于潜在的攻击，可能不期望f1-c上的rrc传输，因为f1-c接口可能被攻击者利用以及造成rrc信令拥塞。

本公开内容的某些方面讨论了用于ue与gnb之间的安全的低延时控制平面通信的技术。在某些方面中，控制平面可以朝着ran边缘移动(例如，更靠近ue)，同时将用户平面保持在云中。在一方面中，这是通过在du中实现cp的至少一部分(例如，负责rrc信令和cp安全性的cp部分)来完成的。在某些方面中，将cp移动更靠近ue改进rrc信令延时，以及通过使cp信令更不容易受到攻击来改进cp信令安全性。

在某些方面中，当在du中实现cp或其一部分时，可以通过当du改变(例如，du之间的ue切换)时改变cp密钥来实现额外级别的cp保护，以保护rrc消息。针对不同的du使用不同的cp密钥提供在cp上的du之间的安全分离。这确保即使一个du-ue链路被破坏，其它du-ue链路仍然是安全的。在一方面中，up密钥可以在du改变时不改变，这是因为up安全终止点位于云中。

下文的描述提供了示例，以及不是对在权利要求中阐述的范围、适用性或示例的限制。可以在不背离本公开内容的范围的情况下，在论述的元素的功能和排列中进行改变。各个示例可以酌情省略、替换或添加各个过程或组件。例如，所描述的方法可以以与所描述的次序不同的次序来执行，以及可以添加、省略或组合各个步骤。此外，可以将关于一些示例描述的特征组合到一些其它示例中。例如，使用本文阐述的任何数量的方面，可以实现装置或可以实践方法。此外，本公开内容的范围旨在覆盖使用除了本文所阐述的公开内容的各个方面以外或与其不同的其它结构、功能、或者结构和功能来实践的这样的装置或方法。应当理解的是，本文所公开的公开内容的任何方面可以通过权利要求的一个或多个元素来体现。本文使用的单词“示例性”意指“用作示例、实例或说明”。本文中被描述为“示例性”的任何方面不必要被解释为优选的或比其它方面有优势。

本文描述的技术可以用于各种无线通信技术，诸如lte、cdma、tdma、fdma、ofdma、sc-fdma以及其它网络。术语“网络”和“系统”经常可互换地使用。cdma网络可以实现诸如通用陆地无线接入(utra)、cdma2000等的无线电技术。utra包括宽带cdma(wcdma)和cdma的其它变型。cdma2000涵盖is-2000、is-95和is-856标准。tdma网络可以实现诸如全球移动通信系统(gsm)的无线电技术。ofdma网络可以实现诸如nr(例如，5gra)、演进的utra(e-utra)、超移动宽带(umb)、ieee802.11(wi-fi)、ieee802.16(wimax)、ieee802.20、闪速-ofdma等的无线电技术。utra和e-utra是通用移动电信系统(umts)的一部分。

新无线电(nr)是处于开发中的、结合5g技术论坛(5gtf)的新兴的无线通信技术。3gpp长期演进(lte)和改进的lte(lte-a)是umts的使用e-utra的版本。在来自名称为“第三代合作伙伴计划”(3gpp)的组织的文档中描述了utra、e-utra、umts、lte、lte-a和gsm。在来自名称为“第三代合作伙伴计划2”(3gpp2)的组织的文档中描述了cdma2000和umb。本文描述的技术可以被用于上文提及的无线网络和无线电技术以及其它无线网络和无线电技术。为了清楚起见，虽然在本文中各方面可能是使用通常与3g和/或4g无线技术相关联的术语来描述的，但是本公开内容的各方面可以应用于基于其它世代的通信系统(诸如5g及以后的技术(包括nr技术))。

新无线电(nr)接入(例如，5g技术)可以支持各种无线通信服务，诸如以宽带宽(例如，80mhz或更高)为目标的增强型移动宽带(embb)、以高载波频率(例如，25ghz或更高)为目标的毫米波(mmw)、以非向后兼容mtc技术为目标的大规模机器类型通信mtc(mmtc)、和/或以超可靠低延时通信(urllc)为目标的任务关键。这些服务可以包括延时和可靠性要求。这些服务还可以具有不同的传输时间间隔(tti)，以满足相应的服务质量(qos)要求。另外，这些服务可以共存于相同的子帧中。

示例无线通信系统

图1示出了在其中可以执行本公开内容的的各方面的示例无线通信网络100。例如，无线通信网络100可以是新无线电(nr)或5g网络。在一方面中，如图1所示，根据本文描述的各方面，用户设备(ue)120中的每一者可以被配置为经由基站(bs)110来与网络实体(例如，如图2所示的接入节点控制器)执行安全控制平面通信。在一方面中，如图1所示，根据本文描述的各方面，bs110中的每一者可以被配置为执行同一个或多个ue120与网络实体之间的安全控制平面通信相关的操作的至少一部分。

如图1中所示，无线网络100可以包括多个基站(bs)110和其它网络实体。bs可以是与用户设备(ue)进行通信的站。每个bs110可以针对特定的地理区域提供通信覆盖。在3gpp中，术语“小区”可以指代节点b(nb)的覆盖区域和/或为该覆盖区域服务的节点b子系统，这取决于使用该术语的上下文。在nr系统中，术语“小区”和下一代节点b(gnb)、新无线电基站(nrbs)、5gnb、接入点(ap)、发送接收点(trp)可以互换。在一些示例中，小区可以不必要是静止的，以及小区的地理区域可以根据移动bs的位置进行移动。在一些示例中，基站可以通过各种类型的回程接口(诸如直接物理连接、无线连接、虚拟网络、或者使用任何合适的传输网络的接口等)来相互互连和/或与无线通信网络100中的一个或多个其它基站或网络节点(未示出)互连。

通常，可以在给定的地理区域中部署任何数量的无线网络。每个无线网络可以支持特定的无线接入技术(rat)以及可以在一个或多个频率上操作。rat还可以被称为无线电技术、空中接口等。频率还可以被称为载波、子载波、频率信道、音调、子带等。每个频率可以在给定的地理区域中支持单个rat，以便避免具有不同rat的无线网络之间的干扰。在一些情况下，可以部署nr或5grat网络。

基站(bs)可以提供针对宏小区、微微小区、毫微微小区和/或其它类型的小区的通信覆盖。宏小区可以覆盖相对较大的地理区域(例如，半径为几千米)以及可以允许由具有服务订制的ue进行的不受限制的接入。微微小区可以覆盖相对较小的地理区域以及可以允许由具有服务订制的ue进行的不受限制的接入。毫微微小区可以覆盖相对较小的地理区域(例如，住宅)以及可以允许由与该毫微微小区具有关联的ue(例如，封闭用户组(csg)中的ue、针对住宅中的用户的ue等)进行的受限制的接入。用于宏小区的bs可以被称为宏bs。用于微微小区的bs可以被称为微微bs。用于毫微微小区的bs可以被称为毫微微bs或家庭bs。在图1中示出的示例中，bs110a、110b和110c可以分别是用于宏小区102a、102b和102c的宏bs。bs110x可以是用于微微小区102x的微微bs。bs110y和110z可以分别是用于毫微微小区102y和102z的毫微微bs。bs可以支持一个或多个(例如，三个)小区。

无线通信网络100还可以包括中继站。中继站是从上游站(例如，bs或ue)接收数据的传输和/或其它信息以及将数据的传输和/或其它信息发送给下游站(例如，ue或bs)的站。中继站还可以是针对其它ue中继传输的ue。在图1中示出的示例中，中继站110r可以与bs110a和ue120r进行通信，以便促进bs110a与ue120r之间的通信。中继站还可以被称为中继bs、中继器等。

无线网络100可以是包括不同类型的bs(例如，宏bs、微微bs、毫微微bs、中继器等)的异构网络。这些不同类型的bs可以具有不同的发射功率电平、不同的覆盖区域以及对无线网络100中的干扰的不同影响。例如，宏bs可以具有高发射功率电平(例如，20瓦)，而微微bs、毫微微bs和中继器可以具有较低的发射功率电平(例如，1瓦)。

无线通信网络100可以支持同步操作或异步操作。对于同步操作，bs可以具有相似的帧时序，以及来自不同bs的传输在时间上可以近似地对齐。对于异步操作，bs可以具有不同的帧时序，以及来自不同bs的传输在时间上可以不对齐。本文描述的技术可以用于同步操作和异步操作两者。

网络控制器130可以耦合到一组bs，以及提供针对这些bs的协调和控制。网络控制器130可以经由回程与bs110进行通信。bs110还可以例如经由无线或有线回程(例如，直接地或间接地)相互通信。

ue120(例如，120x、120y等)可以是遍及无线网络100来散布的，以及每个ue可以是静止的或移动的。ue还可以被称为移动站、终端、接入终端、用户单元、站、用户驻地设备(cpe)、蜂窝电话、智能电话、个人数字助理(pda)、无线调制解调器、无线通信设备、手持设备、膝上型计算机、无绳电话、无线本地环路(wll)站、平板型计算机、相机、游戏设备、上网本、智能本、超极本、电器、医疗设备或医疗装置、生物计量传感器/设备、可穿戴设备(诸如智能手表、智能服装、智能眼镜、智能腕带、智能珠宝(例如，智能指环、智能手环等))、娱乐设备(例如，音乐设备、视频设备、卫星无线单元等)、车载组件或传感器、智能仪表/传感器、工业制造设备、全球定位系统设备、或者被配置为经由无线或有线介质来进行通信的任何其它合适的设备。一些ue可以被认为是机器类型通信(mtc)设备或演进型mtc(emtc)设备。mtc和emtcue包括例如机器人、无人机、远程设备、传感器、仪表、监视器、位置标签等，它们可以与bs、另一设备(例如，远程设备)或某个其它实体进行通信。无线节点可以经由有线或无线通信链路来提供例如针对网络(例如，诸如互联网或蜂窝网络的广域网)或去往网络的连接。一些ue可以被认为是物联网(iot)设备，其可以是窄带iot(nb-iot)设备。

某些无线网络(例如，lte)在下行链路上利用正交频分复用(ofdm)以及在上行链路上利用单载波频分复用(sc-fdm)。ofdm和sc-fdm将系统带宽划分成多个(k个)正交子载波，所述多个正交子载波通常还被称为音调、频段等。可以利用数据来调制每个子载波。通常，在频域中利用ofdm以及在时域中利用sc-fdm来发送调制符号。相邻子载波之间的间隔可以是固定的，以及子载波的总数(k)可以取决于系统带宽。例如，子载波的间隔可以是15khz以及最小资源分配(被称为“资源块”(rb))可以是12个子载波(或180khz)。因此，针对1.25、2.5、5、10或20兆赫兹(mhz)的系统带宽，标称的快速傅里叶变换(fft)大小可以分别等于128、256、512、1024或2048。还可以将系统带宽划分成子带。例如，子带可以覆盖1.08mhz(即，6个资源块)，以及针对1.25、2.5、5、10或20mhz的系统带宽，可以分别存在1、2、4、8或16个子带。

虽然本文描述的示例的各方面可以与lte技术相关联，但是本公开内容的各方面可以适用于其它无线通信系统(诸如nr)。nr可以在上行链路和下行链路上利用具有cp的ofdm，以及可以包括针对使用tdd的半双工操作的支持。可以支持波束成形以及可以动态地配置波束方向。还可以支持具有预编码的mimo传输。dl中的mimo配置可以支持多达8个发射天线，其中多层dl传输多达8个流以及每ue多达2个流。可以支持具有每ue多达2个流的多层传输。可以支持具有多达8个服务小区的多个小区的聚合。

在一些示例中，可以调度对空中接口的接入，其中，调度实体(例如，基站)在其服务区域或小区内的一些或全部设备和装置之间分配用于通信的资源。调度实体可以负责调度、分配、重新配置和释放用于一个或多个从属实体的资源。即，对于被调度的通信，从属实体利用由调度实体分配的资源。基站不是可以充当调度实体的仅有的实体。在一些示例中，ue可以充当调度实体，以及可以调度用于一个或多个从属实体(例如，一个或多个其它ue)的资源，以及其它ue可以利用由该ue调度的资源来进行无线通信。在一些示例中，ue可以充当对等(p2p)网络中和/或网状网络中的调度实体。在网状网络示例中，除了与调度实体进行通信之外，ue还可以相互直接进行通信。

在图1中，具有双箭头的实线指示ue与服务bs之间的期望的传输，服务bs是被指定为在下行链路和/或上行链路上为ue服务的bs。具有双箭头的细虚线指示ue与bs之间的干扰的传输。

图2示出了可以在图1中示出的无线通信网络100中实现的分布式无线接入网络(ran)200的示例逻辑架构。5g接入节点206可以包括接入节点控制器(anc)202。anc202可以是分布式ran200的中央单元(cu)。去往下一代核心网(ng-cn)204的回程接口可以在anc202处终止。去往相邻的下一代接入节点(ng-an)210的回程接口可以在anc202处终止。anc202可以包括一个或多个发送接收点(trp)208(例如，小区、bs、gnb等)。在某些方面中，根据本文描述的各方面，anc202可以被配置为经由trp208中的一者来执行与一个或多个ue的安全控制平面通信。此外，根据本文描述的各方面，trp208中的每一者可以执行同anc202与由trp服务的一个或多个ue之间的安全控制平面通信相关的操作的至少一部分。

trp208可以是分布式单元(du)。trp208可以连接到单个anc(例如，anc202)或多于一个的anc(未示出)。例如，对于ran共享、无线即服务(raas)和特定于服务的and部署，trp208可以连接到多于一个的anc。trp208可以各自包括一个或多个天线端口。trp208可以被配置为单独地(例如，动态选择)或联合地(例如，联合传输)向ue服务业务。

分布式ran200的逻辑架构可以支持跨越不同部署类型的前传方案。例如，该逻辑架构可以是基于发送网络能力(例如，带宽、延时和/或抖动)的。

分布式ran200的逻辑架构可以与lte共享特征和/或组件。例如，下一代接入节点(ng-an)210可以支持与nr的双连接，以及可以共享针对lte和nr的公共前传。

分布式ran200的逻辑架构可以实现各trp208之间和其间的协同，例如，经由anc202在trp内和/或跨越trp。可以不使用trp间接口。

逻辑功能可以动态地分布在分布式ran200的逻辑架构中。如将参考图5更加详细描述的，可以将无线资源控制(rrc)层、分组数据汇聚协议(pdcp)层、无线链路控制(rlc)层、介质访问控制(mac)层和物理(phy)层适配地放置在du(例如，trp208)或cu(例如，anc202)处。

图3根据本公开内容的各方面的示出了分布式无线接入网络(ran)300的示例物理架构。集中式核心网单元(c-cu)302可以托管核心网功能。c-cu302可以被集中地部署。c-cu302功能可以被卸载(例如，至高级无线服务(aws))以尽力处理峰值容量。

集中式ran单元(c-ru)304可以托管一个或多个anc功能。c-ru304可以具有分布式部署。c-ru304可以接近网络边缘。

du306可以托管一个或多个trp(边缘节点(en)、边缘单元(eu)、无线头端(rh)、智能无线头端(srh)等)。du可以位于具有射频(rf)功能的网络的边缘处。

图4示出了bs110和ue120(如在图1中描绘的)的示例组件，它们可以用于实现本公开内容的各方面。例如，ue120的天线452、处理器466、458、464和/或控制器/处理器480、和/或bs110的天线434、处理器420、460、438和/或控制器/处理器440可以用于执行本文描述的各种技术和方法。在一方面中，如图4所示，根据本文描述的各方面，ue120的每个控制器/处理器480可以被配置为经由bs来执行与网络实体(例如，anc202)的安全控制平面通信。在一方面中，如图4所示，根据本文描述的各方面，bs110的控制器/处理器440可以被配置为执行同ue120与网络实体之间的安全控制平面通信相关的操作的至少一部分。

在bs110处，发送处理器420可以从数据源412接收数据以及从控制器/处理器440接收控制信息。控制信息可以用于物理广播信道(pbch)、物理控制格式指示信道(pcfich)、物理混合arq指示信道(phich)、物理下行链路控制信道(pdcch)、组公共pdcch(gcpdcch)等。数据可以用于物理下行链路共享信道(pdsch)等。处理器420可以分别处理(例如，编码和符号映射)数据和控制信息以获得数据符号和控制符号。处理器420还可以生成例如用于主同步信号(pss)、辅同步信号(sss)和小区特定参考信号(crs)的参考符号。发送(tx)多输入多输出(mimo)处理器430可以对数据符号、控制符号和/或参考符号执行空间处理(例如，预编码)(如果适用的话)，以及可以向调制器(mod)432a至432t提供输出符号流。每个调制器432可以(例如，针对ofdm等)处理相应的输出符号流以获得输出样本流。每个调制器可以进一步处理(例如，转换到模拟、放大、滤波以及上变频)输出样本流以获得下行链路信号。可以分别经由天线434a至434t来发送来自调制器432a至432t的下行链路信号。

在ue120处，天线452a至452r可以从基站110接收下行链路信号，以及可以分别向收发机中的解调器(demod)454a至454r提供接收的信号。每个解调器454可以调节(例如，滤波、放大、下变频以及数字化)相应的接收的信号以获得输入样本。每个解调器可以(例如，针对ofdm等)进一步处理输入样本以获得接收的符号。mimo检测器456可以从全部解调器454a至454r获得接收的符号，对接收的符号执行mimo检测(如果适用的话)，以及提供检测到的符号。接收处理器458可以处理(例如，解调、解交织以及解码)所检测到的符号，向数据宿460提供经解码的针对ue120的数据，以及向控制器/处理器480提供经解码的控制信息。

在上行链路上，在ue120处，发送处理器464可以接收以及处理来自数据源462的数据(例如，用于物理上行链路共享信道(pusch))和来自控制器/处理器480的控制信息(例如，用于物理上行链路控制信道(pucch))。发送处理器464还可以生成用于参考信号(例如，用于探测参考信号(srs))的参考符号。来自发送处理器464的符号可以由txmimo处理器466预编码(如果适用的话)，由收发机中的解调器454a至454r(例如，针对sc-fdm等)进一步处理，以及被发送给基站110。在bs110处，来自ue120的上行链路信号可以由天线434接收，由调制器432处理，由mimo检测器436检测(如果适用的话)，以及由接收处理器438进一步处理，以获得经解码的由ue120发送的数据和控制信息。接收处理器438可以向数据宿439提供经解码的数据，以及向控制器/处理器440提供经解码的控制信息。

控制器/处理器440和480可以分别指导基站110和ue120处的操作。处理器440和/或基站110处的其它处理器和模块可以执行或指导用于本文描述的技术的过程的执行。存储器442和482可以分别存储用于bs110和ue120的数据和程序代码。调度器444可以调度ue用于下行链路和/或上行链路上的数据传输。

图5根据本公开内容的各方面示出了说明用于实现通信协议栈的示例的图500。所示出的通信协议栈可以由在诸如5g系统(例如，支持基于上行链路的移动性的系统)的无线通信系统中操作的设备来实现。图500示出了通信协议栈，其包括无线资源控制(rrc)层510、分组数据汇聚协议(pdcp)层515、无线链路控制(rlc)层520、介质访问控制(mac)层525和物理(phy)层530。在各个示例中，协议栈的层可以被实现成单独的软件模块、处理器或asic的部分、通过通信链路连接的非共置的设备的部分、或其各种组合。共置和非共置的实现方式可以在例如用于网络接入设备(例如，an、cu和/或du)或ue的协议栈中使用。

第一选项505-a示出了协议栈的拆分实现方式，其中，协议栈的实现方式是在集中式网络接入设备(例如，图2中的anc202/cu)与分布式网络接入设备(例如，图2中的trp208)之间拆分的。在第一选项505-a中，rrc层510和pdcp层515可以由中央单元来实现，以及rlc层520、mac层525和phy层530可以由du来实现。在各个示例中，cu和du可以是共置或非共置的。在宏小区、微小区或微微小区部署中，第一选项505-a可以是有用的。

第二选项505-b示出了协议栈的统一实现方式，其中，协议栈是在单个网络接入设备中实现的。在第二选项中，rrc层510、pdcp层515、rlc层520、mac层525和phy层530各自可以由an来实现。在例如毫微微小区部署中，第二选项505-b可以是有用的。

不管网络接入设备实现协议栈的一部分还是全部，ue都可以实现如505-c中所示的整个协议栈(例如，rrc层510、pdcp层515、rlc层520、mac层525和phy层530)。

在lte中，基本传输时间间隔(tti)或分组持续时间是1ms子帧。在nr中，子帧仍然是1ms，但是基本tti被称为时隙。子帧包含可变数量的时隙(例如，1、2、4、8、16个...时隙)，这取决于子载波间隔。nrrb是12个连续的频率子载波。nr可以支持15khz的基本子载波间隔，以及可以相对于基本子载波间隔来定义其它子载波间隔，例如，30khz、60khz、120khz、240khz等。符号和时隙长度随着子载波间隔缩放。cp长度也取决于子载波间隔。

集中式ran的示例接入层安全性

在某些方面中，5gnr逻辑架构类似于图2中所示的分布式ran200的逻辑架构。图6根据本公开内容的某些方面示出了5gnr的示例逻辑架构600。类似于图2的分布式ran架构200，5gnr架构600包括下一代核心(ngc)610(类似于ng-cn204)和gnb620(类似于5gan206)。gnb620是nrran的一部分，以及负责维持与一个或多个ue的无线电通信。如图所示，ngc610包括接入管理功能(amf)612和用户平面功能(upf)614。由于ngc不在本论述的范围之内，因此将不对其进行详细描述。

gnb包括中央单元(cu)622和由cu622控制的多个分布式单元(du)624(例如，624a、624b和624c)。f1-c和f1-u是前传接口的一部分，以及在cu与du之间提供控制平面(cp)和用户平面(up)连接。

cu是逻辑节点，其包括类似用户数据的传输、移动性控制、无线接入网络共享、定位、会话管理等的gnb功能，除了专门被分配给du的那些功能。cu在前传接口上控制du的操作。du是逻辑节点，其根据所实现的cu-du功能拆分选项而包括gnb功能的子集。其操作由cu控制。du通常是边缘单元，以及与一个或多个用户设备进行无线电通信。du还被称为基站，或有时甚至被称为gnb(当将其引用作为ran节点时，以及在不需要在gnb的不同元素之间进行区分的上下文中)。通常，一个du仅连接到一个cu。然而，可以支持一个du连接到多个cu。每个du通常支持一个或多个小区，以及每个小区仅由一个du支持。

在某些方面中，如图5所示，可以在5gnr中实现不同的功能拆分选项，每个功能拆分选项在cu与du之间以不同的方式拆分5g协议栈。如图5所示，5g通信协议栈包括无线资源控制(rrc)层510、分组数据汇聚协议(pdcp)层515、无线链路控制(rlc)层520、介质访问控制(mac)层525和物理(phy)层530。第一选项505-a示出了pdcp-rlc拆分，其中rrc层510和pdcp层515由中央单元实现，以及rlc层520、mac层525和phy层530由du实现。在一方面中，在5g标准(例如，3gppts38.300)中定义了用于gnb的cu-du拆分。可以注意的是，尽管下文的公开内容假设cu与du之间的pdcp-rlc拆分，但是本公开内容的各方面可以同等地应用于其它协议栈拆分选项。

在某些方面中，pdcp层负责基于分组序列号来对用户平面分组和控制平面分组进行重新排序。pdcp层还负责数据和控制分组传输的安全性。在某些方面中，gnb使用安全密钥来在cu与du之间以及在ue与du之间安全地传送用户平面分组和控制平面分组。在一方面中，在附接过程(当ue尝试向网络注册时)期间，ue需要使用在ue与核心网(例如，ngc610)之间共享的至少一个安全密钥来与网络建立认证。一旦在ue与核心网之间的认证成功，核心网(例如，amf612)就推导用于ue附接到的gnb的密钥(例如，特定于gnb的密钥，kgnb)，以及将kgnb提供给gnb。ue基于从gnb接收的信息来推导相同的kgnb。gnb基于kgnb来与ue建立接入层(as)安全性。在一方面中，存在用于保护ue与gnb之间的通信的两个不同的密钥集合，一个密钥集合用于保护用户平面业务，以及另一密钥集合用于保护控制平面业务。在一方面中，控制平面密钥包括控制平面加密密钥(例如，krrcenc)和控制平面完整性保护密钥(krrcint)。类似地，用户平面密钥包括用户平面加密密钥(例如，kupenc)和用户平面完整性保护密钥(kupint)。在一方面中，根据某些5g标准(例如，3gppts33.501)，控制平面密钥集合和用户平面密钥集合两者是直接地根据kgnb推导出的。在一方面中，5g核心推导用于每个gnb的唯一的kgnb，以及用户平面密钥和控制平面密钥是根据相应的kgnb推导出的。因此，如果ue切换到不同的gnb(例如，gnb间切换)，则用户平面密钥和控制平面密钥也改变并且是基于目标gnb的kgnb的。

如上所述，根据pdcp-rlc拆分选项，pdcp位于cu处，以及因此，du改变(例如，由于从源du到目标du的ue切换)可能不要求接入层(as)密钥(例如，kgnb)改变。在一方面中，来自gnb的rrc信令指示在du改变时是否推导新密钥。rrc层(如图5所示)位于pdcp层之上，以及负责控制ue和gnb的行为。在一方面中，rrc配置在pdcp层处配置安全性。gnb经由rrc信令向ue发信号通知要用于ue与gnb之间的通信的选择的安全算法。

在某些方面中，ran3定义了包括cu控制平面(cu-cp)和cu用户平面(cu-up)的cu拆分架构。在一方面中，用户平面数据由cu-up实体处理，以及控制平面信令(包括rrc信令)由cu-cp实体处理。cu-cp负责cp安全性，以及cu-up负责up安全性。cu-cp和cu-up两者具有pdcp实体或其一部分，以及用户平面分组和控制平面分组的安全性由相应的pdcp实体处理。

在某些方面中，在集中式ran架构(例如，基于云的ran架构)中，cu可以是作为云服务来提供的，以及cu可以位于云服务器中。在这种架构中，被部署为边缘节点的du负责与ue的空中(ota)数据通信。cu-cp和cu-up分别地处理针对du的控制平面业务和用户平面业务，以及向du提供分组以用于去往ue的传输，以及接收由du接收和转发的分组。在这种情况下，对用户平面和数据分组的大多数实际处理(例如，与pdcp和rrc层相关)发生在位于云中的cu处。

在某些方面中，上文讨论的基于云的架构(其中，cu-cp和cu-up两者驻留在云中，而du被部署在边缘(即，靠近ue))的问题是，在长f1-c链路上增加了rrc信令延时，这对于某些服务和/或应用可能是不可接受的。例如，ue从服务基站(例如，du)接收rrc信令，该rrc信令调度用于下行链路传输和上行链路传输的资源。然而，如果cu-cp位于云中，则由于cu与du之间的长f1-c链路，rrc信令可能经历增加的延时。对于某些延时关键的服务和/或应用而言，这种长的rrc信令延时可能是不可接受的。此外，由于潜在的攻击，可能不期望f1-c上的rrc传输，因为f1-c接口可能被攻击者利用并且造成rrc信令拥塞。在一方面中，由于长的f1-u链路，用户平面通信通常不会受到不利影响，例如，因为数据分组无论如何都需要通过ran行进到互联网。

本公开内容的某些方面讨论了用于ue与gnb之间的安全的低延时控制平面通信的技术。在某些方面中，控制平面可以朝着ran边缘移动(例如，更靠近ue)，同时将用户平面保持在云中。在一方面中，这是通过在du中实现cp的至少一部分(例如，负责rrc信令和cp安全性的cp部分)来完成的。在某些方面中，将cp移动更靠近ue改进rrc信令延时以及通过使cp信令更不容易受到攻击来改进cp信令安全性。

在某些方面中，当在du中实现cp或其一部分时，可以通过当du改变(例如，du之间的ue切换)时改变cp密钥来实现额外级别的cp保护，以保护rrc消息。针对不同的du使用不同的cp密钥提供在cp上的du之间的安全分离。这确保即使一个du-ue链路被破坏(例如，被du破坏)，其它du-ue链路仍然是安全的。在一方面中，up密钥可以在du改变时不改变，这是因为up安全终止点位于云(例如，ci-up)中。

在某些方面中，用于cp的该新配置可以成为向后兼容的。例如，只要gnb不改变，kgnb就保留在cu-cp处并且保持不变。用于du的额外级别的中间密钥(例如，kdu)是根据kgnb推导出的。du还根据中间密钥kdu推导cp密钥集合krrcenc和krrcint。在一方面中，cp密钥集合kupenc和kupint是由cu-cp直接地根据kgnb推导出的以及被提供给cu-up并且保持在cu-up处。只要kgnb保持不变，up密钥就可以保留在cu-up处。

在某些方面中，可以定义额外的新鲜度参数以用于推导特定于du的密钥kdu。在一方面中，计数器、随机数、目标小区的物理小区id(pci)、目标小区的频率(例如，绝对射频信道号下行链路(arfcn-dl))或其任何组合被用作用于推导kdu的新鲜度参数。在一方面中，在du改变时向ue发信号通知(例如，经由rrc信令)额外的新鲜度参数，使得ue可以推导kdu以及随后的krrcenc和krrcint以用于与du的安全cp通信。在一方面中，由cu-cp推导新鲜度参数以及将其发信号通知给ue。gnb和ue两者根据kgnb和相同的新鲜度参数来推导kdu。

图7根据本公开内容的某些方面示出了具有cu拆分的5gnr的逻辑架构700。如图7所示，cu被拆分为控制平面实体cu-cp和用户平面实体cu-up。此外，如图所示，由cu实现的pdcp也被拆分为控制平面pdcp实体pdcp-cp和用户平面pdcp实体pdcp-up。pdcp-cp处理针对cp消息的安全性(例如，rrc信令)，以及pdcp-up处理针对up消息的安全性。在一方面中，如图7所示，pdcp-cp可以驻留在cu或du中。cu-cp确定pdcp-cp的位置。在某些方面中，在du中实现pdcp-cp将针对控制平面信令的安全处理从cu卸载到du。如果pdcp-cp驻留在du中，则du生成rrc信令，以及自身经由pdcp-cp来保护rrc信令。

在一方面中，pdcp-cp的位置对于ue是透明的。如果pdcp-cp驻留在du中，则可以在du改变时(例如，ue在du之间的切换)来刷新pdcp-cp安全密钥。例如，在du改变时，根据当前的kgnb推导特定于du的中间密钥kdu以及将其发送给新的du。还向ue指示kdu改变，例如，显式地(例如，通过提供增加的计数器或随机数)或隐式地(例如，提供与切换信令中的当前计数器值相同的计数器值是对不存在kdu改变的显式指示；或者在切换信令中不提供新鲜度参数是对不存在kdu改变的隐式指示)。du和ue根据中间密钥kdu来推导cp密钥集合krrcenc和krrcint。在一方面中，如果pdcp-cp位于cu-cp处，则不需要kdu改变。

要注意的是，虽然将pdcp-cp移动到du是用于cp保护的一种实现方式，但是cp保护还可以通过驻留在du中的较低协议层(例如，rlc)来实现，其中相同的密钥推导是适用的。

在某些方面中，pdcp-up驻留在cu-up中。只要kgnb保持不变，pdcp安全密钥就不会改变。

图8根据本公开内容的某些方面示出了由ran网络实体(例如，cu-cp)执行的用于安全cp信令的示例操作800。在802处，操作800通过如下操作开始：决定将ue从源基站(bs)切换到目标bs，其中，ran网络实体控制包括源bs或目标bs中的至少一者的多个bs，并且其中，cp协议层的至少一部分是在目标bs处实现的。在一方面中，源bs是源du，以及目标bs是目标du。在一方面中，源bs和目标bs可以关联到相同的gnb或不同的gnb。cp协议层的部分可以包括pdcp-cp。

在804处，网络实体基于主密钥和新鲜度参数来生成特定于目标bs的至少一个密钥，其中，主密钥与网络实体相关联。例如，至少一个密钥可以包括基于主密钥(例如，kgnb)和新鲜度参数(例如，计数器或随机数)而生成的特定于目标du的中间密钥kdu。在一方面中，至少一个密钥还可以包括网络实体和/或目标bs可以根据中间密钥kdu生成的krrcenc和krrcint。

在806处，网络实体向目标bs发送对至少一个密钥的指示，其中，目标bs基于cp协议层来与ue交换控制信令，并且其中，控制信令是基于至少一个密钥来保护的。例如，该指示可以包括由网络实体生成的kdu和/或krrcenc和krrcint。

图9根据本公开内容的某些方面示出了由ue执行的用于与gnb的安全cp通信的示例操作900。

操作902在902处通过如下操作开始：接收用于将ue从源基站(bs)切换到目标bs的命令，该命令至少包括用于生成特定于目标bs的至少一个密钥的指示以及用于生成至少一个密钥的新鲜度参数，其中，控制平面(cp)协议层的至少一部分是在目标bs处实现的。在904处，ue至少基于新鲜度参数和主密钥来生成至少一个密钥，主密钥与至少控制源bs的无线接入网络(ran)网络实体相关联。在906处，ue使用至少一个密钥基于cp协议层来与目标bs交换控制信令。

在一方面中，源bs是源du，以及目标bs是目标du。在一方面中，源bs和目标bs可以关联到相同的gnb或不同的gnb。cp协议层的部分可以包括pdcp-cp。至少一个密钥可以包括ue基于主密钥(例如，kgnb)和新鲜度参数(例如，随机数的计数器)生成的特定于目标du的中间密钥kdu。在一方面中，至少一个密钥还可以包括ue根据中间密钥kdu生成的krrcenc和krrcint。

在某些方面中，可以基于作为锚定密钥(kanchor)和新鲜度参数的函数的密钥推导函数(kdf)来推导中间密钥kdu。例如，

kdu＝kdf(kanchor，新鲜度参数)

在一种替代方案中，kanchor是ue连接到的当前gnb的kgnb。新鲜度参数可以是保持在cu-cp和ue处的计数器(例如，等效于下一跳链接计数器、用于kgnb的ncc)。新鲜度参数还可以是由cu-cp、ue或两者生成的随机数。另外或替代地，绝对射频信道号(arfcn)或物理小区标识符(pci)还可以用作用于kdu推导的新鲜度参数。将pci或arfcn用作新鲜度参数允许使用用于推导kgnb的相同的kdf来生成kdu。这使密钥推导是一致的。

在另一种替代方案中，根据kgnb来推导初始kdu，即，通过在kdf中设置kanchor＝kgnb。用于初始kdu生成的新鲜度参数可以是常数，例如，比特串。在一方面中，通过设置kanchor＝当前kdu，基于kdf来推导每个后续的kdu(kdu')，例如，在从源du到目标du的切换中，根据源du的kdu来推导用于目标du的kdu'。然而，在这种情况下，由于源du知道其kdu，因此它可以基于kdf来推导目标du的kdu'。因此，无法实现前向保密性。在一方面中，为了提供前向保密性，cu-cp基于当前kdu'来推导全部新的kdu。对于每个后续的du，cu-dp推导kdu'，以及然后基于kdu'来推导krrcenc和krrcint。cu-cp向每个新du提供krrcenc和krrcint，而不是向每个新du提供kdu'，以维护前向保密性。这样，没有du知道其kdu，以及可能无法推导后续的kdu'。

图10根据本公开内容的某些方面示出了用于在cu/gnb内切换期间生成安全密钥的示例呼叫流程1000。呼叫流程1000示出了ue1020从源du1022到目标du1026的切换。源du和目标du两者是相同的gnb的一部分，以及由相同的cu-cp1024控制。

如图所示，在1002处，ue1020将测量报告提供给源du1022，源du1022是ue的当前服务基站。在1004处，源du1022将从ue1020接收的测量报告转发给cu-cp1024。在一方面中，测量报告包括在ue附近(包括目标du1026)的du中的接收信号强度(例如，snr)。在1006处，cu-cp1024基于测量报告来决定执行ue1020从源du1022到目标du1026的gnb内切换。在1008处，cu-cp1024配置目标du1026准备切换。在一方面中，cu-cp1024可以基于kgnb来推导特定于目标du1026的kdu。在1008处传送给目标du1026的配置信息可以包括将kdu传送给目标du1026。在一方面中，cu-cp1024可以基于目标du1026的kdu来推导krrcenc和krrcint，以及在1008处传送给目标du1026的配置信息可以包括krrcenc和krrcint密钥。在一方面中，如上所述，在每个新的kdu’是根据当前kdu推导出的情况下，cu-cp可以将目标du1026配置有krrcenc和krrcint密钥而不是kdu，以维护前向保密性。

在1010处，cu-cp1024指导源du1022向ue1020发送切换命令。在一方面中，切换命令包括目标du信息(例如，目标du1026的id)、c-rnti、关于将不刷新kgnb的指示(例如，因为这是gnb间切换)、关于将生成kdu的指示(例如，针对目标du1026)、用于生成kdu的新鲜度参数、以及要用于与目标du1026的通信的安全算法。源du1022例如经由rrc连接重新配置(rrcconnectionreconfiguration)消息向ue发送切换命令。在一方面中，cu-cp1024向源du1022提供要被包括在切换命令中的消息中的至少一些信息。例如，cu-cp1024向源du1022提供关于要生成kdu的指示(例如，针对目标du1026)和新鲜度参数。然后，源du在rrc消息中包括接收到的信息。在一方面中，cu-cp1024生成包括切换消息的信息的rrc消息，以及向源du1012发送rrc消息。然后，源du1012将rrc消息转发给ue。在一方面中，响应于切换命令，ue基于kgnb(ue在与gnb的附接过程期间推导出的)和由cu-cp1024经由源du1022传送的新鲜度参数来推导用于目标du1026的kdu。ue还基于推导出的kdu来推导cp密钥krrcenc和krrcint，以用于与目标du1026的cp通信。

在1012处，ue例如经由通过krrcenc和krrcint密钥中的至少一者保护的rrc连接重新配置完成(rrcconnectionreconfigurationcomplete)消息来向目标du1026发送切换完成消息。

图11根据本公开内容的某些方面示出了用于在基于xn的gnb间切换期间生成安全密钥的示例呼叫流程1100。呼叫流程1100示出了ue1120从与源cu-cp1124相关联的源du1122到与目标cu-cp1128相关联的目标du1126的切换。源du1122和源cu-cp1124属于源gnb(未示出)，以及目标du1126和目标cu-cp1128属于不同的目标gnb(也未示出)。源du1122由源gnb的cu-cp1124控制，以及目标du1126由目标gnb的目标cu-cp1128控制。源gnb和目标gnb具有直接的xn接口。

在1102处，ue向源du1122发送测量报告，该测量报告包括针对包括目标du1126的一个或多个相邻du的测量(例如，接收到的snr)。在1104处，源du1122将测量报告转发给源cu-cp1124。在1106处，源cu-cp1124基于测量报告来决定执行ue1120从源du1122到目标du1126的gnb间切换(ho)。源cu-cp1124基于源gnb的当前kgnb来推导用于目标gnb的kgnb*。在1108处，源cu-cp1124向目标cu-cp1128发送切换请求(例如，经由xn接口)，该切换请求包括kgnb*、下一跳链接计数器(ncc)信息和目标du信息。目标cu-cp1128可以使用kgnb*和ncc信息来推导包括目标du1126的kdu和其它cp密钥的后续密钥。目标cu-cp1128基于kgnb*和新鲜度参数来推导用于目标du1126的kdu，以及在1110处将kdu提供给目标du1126。在一方面中，目标cu-cp1128基于所生成的kdu来推导cp密钥krrcenc和krrcint，以及将cp密钥提供给目标du1126。

在1112处，目标cu-cp1128向源cu-cp1124发送切换请求确认(例如，经由xn接口)，该确认包括用于ue生成目标du的kdu的指示以及用于生成kdu的新鲜度参数。该确认还可以包括目标du/trp信息、c-rnti和安全算法。在1114处，源cu-cp1124指导源du1122向ue1120发送切换命令，该切换命令包括从目标cu-cp1128接收的用于生成kdu的指示和新鲜度参数。被包括在切换命令中的其它信息(例如，ncc、目标trp/anc信息)与用于如5g规范中定义的基于xn的切换的信息相同。在一方面中，源du1122经由rrc连接重新配置消息向ue1120发送切换命令。在1116处，ue基于源gnb的当前kgnb和ncc信息来推导用于目标gnb的kgnb*。在5g标准中定义了ue对kgnb*的推导。ue还基于kgnb*和接收到的新鲜度参数来推导用于目标du1126的kdu。在一方面中，ue还生成用于保护ue1120与目标du1126之间的cp通信的cp密钥krrcenc和krrcint。在1118处，ue向目标du1126发送切换完成消息(例如，经由rrc连接重新配置完成消息)，其被转发给目标cu-cp1128。

图12示出了通信设备1200，该通信设备1200可以包括被配置为执行用于本文公开的技术的操作(诸如图8所示的操作)的各种组件(例如，对应于功能模块组件)。通信设备1200包括耦合到收发机1208的处理系统1202。收发机1208被配置为经由天线1210来发送和接收用于通信设备1200的信号，诸如本文描述的各种信号。处理系统1202可以被配置为执行用于通信设备1200的处理功能，包括处理由通信设备1200接收和/或要发送的信号。

处理系统1202包括经由总线1206耦合到计算机可读介质/存储器1212的处理器1204。在某些方面中，计算机可读介质/存储器1212被配置为存储指令(例如，计算机可执行代码)，该指令在由处理器1204执行时，使得处理器1204执行图8所示的操作或用于执行本文讨论的用于安全控制平面通信的各种技术的其它操作。在某些方面中，计算机可读介质/存储器1212存储：用于决定将ue从源bs切换到目标bs的代码1214，用于生成特定于目标bs的至少一个密钥的代码1216，以及用于向目标bs发送对至少一个密钥的指示的代码1218。在某些方面中，处理器1204具有被配置为实现存储在计算机可读介质/存储器1212中的代码的电路。处理器1204包括：用于决定将ue从源bs切换到目标bs的电路1220，用于生成特定于目标bs的至少一个密钥的电路1224，以及用于向目标bs发送对至少一个密钥的指示的电路1226。

图13示出了通信设备1300，该通信设备1300可以包括被配置为执行用于本文公开的技术的操作(诸如图9所示的操作)的各种组件(例如，对应于功能模块组件)。通信设备1300包括耦合到收发机1308的处理系统1302。收发机1308被配置为经由天线1310来发送和接收用于通信设备1300的信号，诸如本文描述的各种信号。处理系统1302可以被配置为执行用于通信设备1300的处理功能，包括处理由通信设备1300接收和/或要发送的信号。

处理系统1302包括经由总线1306耦合到计算机可读介质/存储器1312的处理器1304。在某些方面中，计算机可读介质/存储器1312被配置为存储指令(例如，计算机可执行代码)，该指令在由处理器1304执行时，使得处理器1304执行图9所示的操作或用于执行本文讨论的用于安全控制平面通信的各种技术的其它操作。在某些方面中，计算机可读介质/存储器1312存储：用于接收用于将ue从源bs切换到目标bs的命令的代码1314，用于生成至少一个密钥的代码1316，以及用于使用至少一个密钥基于cp协议层来与目标bs交换信令的代码1318。在某些方面中，处理器1304具有被配置为实现存储在计算机可读介质/存储器1312中的代码的电路。处理器1304包括：用于接收用于将ue从源bs切换到目标bs的命令的电路1320，用于生成至少一个密钥的电路1324，以及用于使用至少一个密钥基于cp协议层来与目标bs交换信令的电路1326。

本文所公开的方法包括用于实现方法的一个或多个步骤或动作。在不背离权利要求的范围的情况下，这些方法步骤和/或动作可以相互互换。换句话说，除非指定了步骤或动作的特定次序，否则，在不背离权利要求的范围的情况下，可以修改特定步骤和/或动作的次序和/或用途。

如本文所使用的，提及项目列表“中的至少一个”的短语指代那些项目的任何组合，包括单个成员。举例而言，“a、b或c中的至少一个”旨在涵盖a、b、c、a-b、a-c、b-c和a-b-c、以及与相同元素的倍数的任何组合(例如，a-a、a-a-a、a-a-b、a-a-c、a-b-b、a-c-c、b-b、b-b-b、b-b-c、c-c和c-c-c或者a、b和c的任何其它排序)。

如本文所使用的，术语“确定”包括广泛的各种各样的动作。例如，“确定”可以包括计算、运算、处理、推导、调查、查找(例如，在表、数据库或另一数据结构中查找)、推断等等。此外，“确定”可以包括接收(例如，接收信息)、访问(例如，访问存储器中的数据)等等。此外，“确定”可以包括解析、选择、挑选、建立等等。

提供先前的描述以使本领域的任何技术人员能够实践本文描述的各个方面。对这些方面的各种修改对于本领域技术人员而言将是显而易见的，以及本文所定义的通用原理可以应用于其它方面。因此，权利要求不旨在限于本文所示出的方面，而是要符合与权利要求的表达相一致的全部范围，其中，除非特别声明如此，否则对单数形式的元素的提及不旨在意指“一个和仅一个”，而是“一个或多个”。除非另外明确地声明，否则术语“一些”指的是一个或多个。遍及本公开内容描述的各个方面的元素的、对于本领域普通技术人员而言是已知的或者将知的全部结构和功能等效物以引用方式明确地并入本文中，以及旨在由权利要求来包含。此外，本文中没有任何公开的内容是想要奉献给公众的，不管这样的公开内容是否明确地记载在权利要求中。没有权利要求元素要根据35u.s.c.§112(f)的规定来解释，除非该元素是明确地使用短语“用于……的单元”来记载的，或者在方法权利要求的情况下，该元素是使用短语“用于……的步骤”来记载的。

上文所描述的方法的各种操作可以由能够执行对应功能的任何合适的单元来执行。所述单元可以包括各种硬件和/或软件组件和/或模块，包括但不限于：电路、专用集成电路(asic)或处理器。通常，在存在图中所示出的操作的情况下，那些操作可以具有带有类似编号的对应的配对物功能模块组件。

结合本公开内容所描述的各种说明性的逻辑框、模块和电路可以利用被设计为执行本文所描述的功能的通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件(pld)、分立门或晶体管逻辑、分立硬件组件、或者其任何组合来实现或执行。通用处理器可以是微处理器，但在替代方案中，处理器可以是任何商业上得的处理器、控制器、微控制器或状态机。处理器还可以实现为计算设备的组合，例如，dsp与微处理器的组合、多个微处理器、一个或多个微处理器与dsp内核的结合、或者任何其它这样的配置。

如果在硬件中实现，则示例硬件配置可以包括无线节点中的处理系统。处理系统可以利用总线架构来实现。取决于处理系统的特定应用和总体设计约束，总线可以包括任何数量的互连总线和桥接器。总线可以将包括处理器、机器可读介质和总线接口的各种电路链接在一起。总线接口还可以用于将网络适配器等经由总线连接到处理系统。网络适配器可以用于实现phy层的信号处理功能。在用户终端120(参见图1)的情况下，用户接口(例如，小键盘、显示器、鼠标、操纵杆等)还可以连接到总线。总线还可以链接诸如时序源、外设、电压调节器、电源管理电路等的各种其它电路，这些电路在本领域中是公知的，以及因此将不再进行任何进一步描述。处理器可以利用一个或多个通用和/或专用处理器来实现。示例包括微处理器、微控制器、dsp处理器和可以执行软件的其它电路。本领域技术人员将认识到，如何最佳地实现针对处理系统所描述的功能，取决于特定的应用和施加在整个系统上的总体设计约束。

如果在软件中实现，则所述功能可以作为一个或多个指令或代码存储在计算机可读介质上或通过其进行发送。无论是被称为软件、固件、中间件、微代码、硬件描述语言还是其它术语，软件都应当被广泛地解释为意指指令、数据或其任何组合。计算机可读介质包括计算机存储介质和通信介质两者，通信介质包括促进将计算机程序从一个地方传送到另一个地方的任何介质。处理器可以负责管理总线和通用处理，其包括执行在机器可读存储介质上存储的软件模块。计算机可读存储介质可以耦合到处理器，以使得处理器可以从该存储介质读取信息以及向该存储介质写入信息。在替代方案中，存储介质可以整合到处理器。举例而言，机器可读介质可以包括传输线、通过数据调制的载波、和/或与无线节点分开的在其上存储有指令的计算机可读存储介质，其中的全部可以由处理器通过总线接口来访问。替代地或另外，机器可读介质或其任何部分可以集成到处理器中，诸如该情况可以是高速缓存和/或通用寄存器文件。举例而言，机器可读存储介质的示例可以包括ram(随机存取存储器)、闪存、rom(只读存储器)、prom(可编程只读存储器)、eprom(可擦除可编程只读存储器)、eeprom(电可擦除可编程只读存储器)、寄存器、磁盘、光盘、硬驱动器、或任何其它合适的存储介质、或其任何组合。机器可读介质可以在计算机程序产品中体现。

软件模块可以包括单个指令或许多指令，以及可以分布在若干不同的代码段上，分布在不同的程序之中以及跨越多个存储介质来分布。计算机可读介质可以包括多个软件模块。软件模块包括指令，所述指令在由诸如处理器的装置执行时使得处理系统执行各种功能。软件模块可以包括发送模块和接收模块。每个软件模块可以位于单个存储设备中或跨越多个存储设备来分布。举例而言，当触发事件发生时，可以将软件模块从硬驱动器加载到ram中。在软件模块的执行期间，处理器可以将指令中的一些指令加载到高速缓存中以增加访问速度。然后可以将一个或多个高速缓存线路加载到通用寄存器文件中以由处理器执行。将理解的是，当在下文提及软件模块的功能时，这样的功能由处理器在执行来自该软件模块的指令时来实现。

此外，任何连接被适当地称为计算机可读介质。例如，如果使用同轴电缆、光纤光缆、双绞线、数字用户线(dsl)或者无线技术(诸如红外线(ir)、无线电和微波)从网站、服务器或其它远程源发送软件，则同轴电缆、光纤光缆、双绞线、dsl或者无线技术(诸如红外线、无线电和微波)被包括在介质的定义中。如本文所使用的，磁盘(disk)和光盘(disc)包括压缩光盘(cd)、激光光盘、光盘、数字多功能光盘(dvd)、软盘和光盘，其中，磁盘通常磁性地复制数据，而光盘则用激光来光学地复制数据。因此，在一些方面中，计算机可读介质可以包括非暂时性计算机可读介质(例如，有形介质)。此外，对于其它方面来说，计算机可读介质可以包括暂时性计算机可读介质(例如，信号)。上文的组合还应当被包括在计算机可读介质的范围之内。

因此，某些方面可以包括用于执行本文给出的操作的计算机程序产品。例如，这样的计算机程序产品可以包括具有存储(和/或编码)在其上的指令的计算机可读介质，所述指令可由一个或多个处理器执行以执行本文所描述的操作。例如，用于执行本文中描述以及在图8-11中示出的操作的指令。

此外，应当认识到的是，用于执行本文所描述的方法和技术的模块和/或其它适当的单元可以由用户终端和/或基站在适用的情况下进行下载和/或以其它方式获得。例如，这样的设备可以耦合到服务器，以促进传送用于执行本文所描述的方法的单元。替代地，本文所描述的各种方法可以经由存储单元(例如，ram、rom、诸如压缩光盘(cd)或软盘的物理存储介质等)来提供，以使得用户终端和/或基站在将存储单元耦合到或提供给该设备时，可以获取各种方法。此外，可以利用用于向设备提供本文所描述的方法和技术的任何其它合适的技术。

要理解的是，权利要求不限于上文示出的精确配置和组件。在不背离权利要求的范围的情况下，可以在上文所描述的方法和装置的排列、操作和细节中进行各种修改、改变和变化。