申请/专利权人：高通股份有限公司

申请日：2016-12-12

公开（公告）日：2021-01-08

公开（公告）号：CN108476217B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04W12/04(20090101);H04W76/10(20180101)

优先权：["20160113 US 62/278,335","20160621 US 15/188,704"]

专利状态码：有效-授权

法律状态：2021.01.08#授权;2018.09.25#实质审查的生效;2018.08.31#公开

摘要：描述了用于无线通信的技术。一种用于在用户装备UE处进行无线通信的方法包括：建立与网络节点的连接；作为建立连接的一部分，从网络节点接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于该AS安全性指示和所指示的AS协议层来为数据分组配置AS安全性保护。一种用于配置AS安全性的方法包括：建立与UE的连接；作为建立连接的一部分，从网络接入设备控制器接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于该AS安全性指示和所指示的AS协议层来为传送给UE或接收自UE的数据分组配置AS安全性保护。

主权项：1.一种用于在用户装备UE处进行无线通信的方法，包括：建立与网络节点的连接；作为建立所述连接的一部分，从所述网络节点接收指示用于保护数据分组的多个接入阶层AS协议层中的一个AS协议层的AS安全性指示；以及至少部分地基于所述AS安全性指示来在所指示的AS协议层上为数据分组配置AS安全性保护，所述AS安全性保护将在所述多个AS协议层中所指示的AS协议层上被处理。

全文数据：可配置的接入阶层安全性[0001]交叉引用[0002]本专利申请要求由Lee等人于2016年6月21日提交的题为“ConfigurableAccessStratumSecurity可配置的接入阶层安全性”的美国专利申请No.151S8,704、以及由Lee等人于2016年1月13日提交的题为“ConfigurableAccessStratumSecurity可配置的接入阶层安全性”的美国临时专利申请No.62278，335的优先权，其中每一件申请均被转让给本申请受让人。[0003]背景[0004]公开领域[0005]本公开例如涉及无线通信系统，尤其涉及可配置的接入阶层AS安全性。[0006]相关技术描述[0007]无线通信系统被广泛部署以提供诸如语音、视频、分组数据、消息接发、广播等各种类型的通信内容。这些系统可以是能够通过共享可用系统资源例如，时间、频率和功率）来支持与多个用户通信的多址系统。此类多址系统的示例包括码分多址CDMA系统、时分多址TDMA系统、频分多址FDMA系统、以及正交频分多址0FDMA系统。[0008]在一些示例中，无线多址通信系统可包括数个基站，每个基站同时支持多个通信设备他称为UE的通信。在长期演进LTE或高级LTELTE-A网络中，一个或多个基站的集合可以定义演进型B节点eNB。在其他示例中（例如，在下一代或5G网络中），无线多址通信系统可包括与相关联的网络接入设备控制器例如，接入节点控制器ANC处于通信的数个网络接入设备，其中与网络接入设备控制器处于通信的一个或多个网络接入设备的集合可定义网络节点。基站或网络接入设备可在下行链路信道例如，用于从基站或网络接入设备至UE的传输和上行链路信道例如，用于从UE至基站或网络接入设备的传输上与UE集合通信。[0009]由于一些下一代或5G网络的本质其中去往和来自多个网络接入设备的话务通过单个网络接入设备控制器来路由），在网络接入设备控制器处可能出现性能瓶颈。[0010]概述[0011]本公开例如涉及可配置的AS安全性。可导致在ANC或其他类型的网络接入设备控制器处出现性能瓶颈的一些因素是网络接入设备控制器与关联于该网络接入设备控制器的一个或多个无线电头端或其他类型的网络接入设备之间的一个或多个通信链路上的拥塞和或高吞吐量。可导致在网络接入设备控制器处出现性能瓶颈的其他因素包括网络接入设备控制器的资源的重度使用和或网络接入设备控制器处的计算开销的增加。[0012]当有大量数据分组需要由网络接入设备控制器处理时，网络接入设备控制器处的计算开销的一部分涉及对数据分组的AS安全性保护处理。本公开中描述的技术提供可配置的AS安全性，其中与提供AS安全性保护相关联的一些处理可被卸载到与网络接入设备控制器相关联的网络接入设备，由此缓解在网络接入设备控制器处出现性能瓶颈的可能性。[0013]描述了一种用于在UE处进行无线通信的方法。该方法可包括:建立与网络节点的连接;作为建立连接的一部分，从网络节点接收指示用于保护数据分组的…协议层的…安全性指示；以及至少部分地基于该AS安全性指示和所指示的AS协议层来为数据分组配置AS安全性保护。[0014]描述了一种用于在UE处进行无线通信的装置。该装置可包括处理器、与该处理器处于电子通信的存储器、以及存储在该存储器中的指令。这些指令可由处理器执行以：建立与网络节点的连接;作为建立连接的一部分，从网络节点接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于该AS安全性指示和所指示的AS协议层来为数据分组配置AS安全性保护。[0015]描述了另一种用于在UE处进行无线通信的装备。该装备可包括：用于建立与网络节点的连接的装置;用于作为建立连接的一部分，从网络节点接收指示用于保护数据分组的AS协议层的AS安全性指示的装置；以及用于至少部分地基于该AS安全性指示和所指示的AS协议层来为数据分组配置AS安全性保护的装置。[0016]描述了一种用于在UE处进行无线通信的非瞬态计算机可读介质。该非瞬态计算机可读介质可由处理器执行以：建立与网络节点的连接;作为建立连接的一部分，从网络节点接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于该AS安全性指不和所指不的AS协议层来为数据分组配置AS安全性保护。[0017]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:作为建立连接的一部分，向网络节点传送UE的AS安全性能力的指示。在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，该AS安全性能力的指示可包括对以下至少一者的指示:分组数据汇聚协议PDCP层安全性能力、或无线电链路控制RLC层安全性能力、或媒体接入控制MAC层安全性能力、或其组合。[0018]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:作为建立连接的一部分，至少部分地基于关联于与该UE的服务网络接入设备相关联的网络接入设备控制器的密钥来推导因UE而异的AS密钥；以及至少部分地基于因UE而异的AS密钥来为数据分组配置AS安全性保护。[0019]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:作为建立连接的一部分，向网络节点传送UE在该网络节点内的切换计数;以及在建立连接后增大切换计数。[0020]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，因UE而异的AS密钥可进一步至少部分地基于UE的服务网络接入设备的标识符和切换计数。[0021]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:作为建立连接的一部分，从网络节点接收因UE而异的AS密钥。[0022]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:与UE的服务网络接入设备交换一次性数;至少部分地基于因UE而异的AS密钥和所交换的一次性数来推导AS安全性保护密钥；以及至少部分地基于AS安全性保护密钥来为数据分组配置AS安全性保护。[0023]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，因UE而异的AS密钥可至少部分地基于与UE的服务网络接入设备相关联的密钥、以及UE的标识符。W024]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，AS安全性指示可指示PDCP层安全性、或RLC层安全性、或MAC层安全性中的至少一者，并且该方法、装置装备）、或非瞬态计算机可读介质可包括用于以下动作的操作、特征、装置、或指令:将上行链路数据分组计数器和下行链路数据分组计数器与服务网络接入设备同步，上行链路数据分组计数器和下行链路数据分组计数器根据AS安全性指示而维持在rocp层、或RLC层、或MAC层。[0025]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，为数据分组配置AS安全性保护可包括用于以下动作的操作、特征、装置、或指令:与网络节点交换一次性数。[0026]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，建立与网络节点的连接可包括用于执行随机接入规程的操作、特征、装置、或指令，并且可进一步包括用于在执行随机接入规程的同时向网络节点传送连接请求的操作、特征、装置、或指令。[0027]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，可在UE从第一网络接入设备到第二网络接入设备的切换期间建立与网络节点的连接。[0028]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，用于数据分组的AS安全性保护可包括:对数据分组进行加密、或对数据分组进行完整性保护、或其组合。[0029]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，AS安全性指示可指示AS安全性保护的类型，该AS安全性保护的类型包括:对数据分组进行加密、或对数据分组进行完整性保护、或其组合。[0030]描述了一种用于在网络接入设备处配置AS安全性的方法。该方法可包括:建立与UE的连接;作为建立连接的一部分，从网络接入设备控制器接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于该AS安全性指示和所指示的AS协议层来为传送给UE或接收自UE的数据分组配置AS安全性保护。[0031]描述了一种用于在网络接入设备处配置AS安全性的装置。该装置可包括处理器、与该处理器处于电子通信的存储器、以及存储在该存储器中的指令。这些指令可由处理器执行以：建立与UE的连接;作为建立连接的一部分，从网络接入设备控制器接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于该AS安全性指示和所指示的AS协议层来为传送给UE或接收自UE的数据分组配置AS安全性保护。[0032]描述了另一种用于在网络接入设备处配置AS安全性的装备。该装备可包括：用于建立与UE的连接的装置；用于作为建立连接的一部分，从网络接入设备控制器接收指示用于保护数据分组的AS协议层的AS安全性指示的装置;以及用于至少部分地基于该AS安全性指示和所指示的AS协议层来为传送给UE或接收自UE的数据分组配置AS安全性保护的装置。[0033]描述了一种用于在网络接入设备处配置AS安全性的非瞬态计算机可读介质。该非瞬态计算机可读介质可包括指令，该指令可由处理器执行以：建立与UE的连接;作为建立连接的一部分，从网络接入设备控制器接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于该AS安全性指示和所指示的AS协议层来为传送给UE或接收自UE的数据分组配置AS安全性保护。[0034]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:作为建立与UE的连接的一部分，从网络接入设备控制器接收用于该UE的因UE而异的AS密钥。[0035]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:从网络接入设备控制器接收因网络接入设备而异的AS密钥。[0036」该万法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:与UE交换一次性数;至少部分地基于因网络接入设备而异的as密钥和所交换的一次性数来推导AS安全性保护密钥；以及至少部分地基于AS安全性保护密钥来为传送给UE或接收自UE的数据分组配置AS安全性保护。[0037]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，AS安全性指示可指示roCP层安全性、或RLC层安全性、或MAC层安全性中的至少一者，并且该方法、装置装备）、或非瞬态计算机可读介质可包括用于以下动作的操作、特征、装置、或指令:将上行链路数据分组计数器和下行链路数据分组计数器与UE同步，上行链路数据分组计数器和下行链路数据分组计数器根据AS安全性指示而维持在TOCP层、或RLC层、或MAC层。[0038]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:作为建立与UE的连接的一部分，从UE接收该UE的AS安全性能力的指示。在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，该AS安全性能力的指示可包括对以下至少一者的指示:PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。[0039]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:响应于从UE接收到连接请求来建立与UE的连接;将连接请求的至少一部分转发给网络接入设备控制器;从网络接入设备控制器接收包括AS安全性指示的连接响应;以及将连接响应的至少一部分转发给UE。[0040]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:在UE正与网络接入设备执行随机接入规程时接收连接请求。[0041]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，可在UE切换到网络接入设备期间从网络接入设备控制器接收AS安全性指示。[0042]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，用于数据分组的AS安全性保护可包括:对数据分组进行加密、或对数据分组进行完整性保护、或其组合。[0043]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，AS安全性指示可进一步指示AS安全性保护的类型，该AS安全性保护的类型包括:对数据分组进行加密、或对数据分组进行完整性保护、或其组合。[0044]描述了一种用于在网络接入设备控制器处配置AS安全性的方法。该方法可包括：确定用于UE的AS安全性模式，该AS安全性模式指示用于保护传送给UE或接收自UE的数据分组的AS协议层;至少部分地基于AS安全性模式来推导用于UE的AS密钥；以及向UE传送标识AS安全性模式的AS安全性指示。[0045]描述了一种用于在网络接入设备控制器处配置AS安全性的装置。该装置可包括处理器、与该处理器处于电子通信的存储器、以及存储在该存储器中的指令。这些指令可由处理器执行以：确定用于UE的AS安全性模式，该AS安全性模式指示用于保护传送给UE或接收自UE的数据分组的AS协议层;至少部分地基于AS安全性模式来推导用于UE的AS密钥；以及向UE传送标识AS安全性模式的AS安全性指示。[°046]描述了另一种用于在网络接入设备控制器处配置AS安全性的装备。该装备可包括:用于确定用于UE的AS安全性模式的装置，该AS安全性模式指示用于保护传送给UE或接收自UE的数据分组的AS协议层;用于至少部分地基于AS安全性模式来推导用于UE的AS密钥的装置;以及用于向UE传送标识AS安全性模式的AS安全性指示的装置。[0047]描述了一种用于在网络接入设备控制器处配置AS安全性的非瞬态计算机可读介质。该非瞬态计算机可读介质可包括指令，该指令可由处理器执行以：确定用于UE的AS安全性模式，该AS安全性模式指示用于保护传送给UE或接收自UE的数据分组的AS协议层;至少部分地基于AS安全性模式来推导用于UE的AS密钥；以及向UE传送标识AS安全性模式的AS安全性指示。[0048]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，AS安全性模式可包括以下至少一者:PDCP层安全性模式、或RLC层安全性模式、或MAC层安全性模式、或其组合。[0049]该方法、装置（装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:标识UE的AS安全性能力。在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，AS安全性能力可包括以下至少一者:PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。[0050]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，推导用于UE的AS密钥可包括用于为UE推导因UE而异的AS密钥的操作、特征、装置、或指令，并且该方法、装置装备）、或非瞬态计算机可读介质可进一步包括用于以下动作的操作、特征、装置、或指令：将因UE而异的AS密钥传送给UE的服务网络接入设备。[0051]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，推导用于UE的AS密钥可包括用于为UE推导因UE而异的AS密钥的操作、特征、装置、或指令，并且该方法、装置装备）、或非瞬态计算机可读介质可进一步包括用于以下动作的操作、特征、装置、或指令：将因UE而异的AS密钥传送给UE。[0052]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:至少部分地基于AS安全性模式来推导因网络接入设备而异的AS密钥，其中该UE的因UE而异的AS密钥至少部分地基于因网络接入设备而异的AS密钥来推导；以及将因网络接入设备而异的AS密钥传送给UE的第一服务网络接入设备。[0053]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:发起UE从该UE的第一服务网络接入设备到该UE的第二服务网络接入设备的切换；以及将因网络接入设备而异的AS密钥传送给该UE的第二服务网络接入设备。[0054]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:至少部分地基于相关索引对来推导用于UE的因UE而异的AS密钥和因网络接入设备而异的AS密钥；以及至少部分地基于相关索引对的更新而向第一服务网络接入设备和UE发信号通知密钥翻滚。[0055]该方法、装置装备）、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令:通过网络接入设备从UE接收连接请求；以及至少部分地基于该连接请求来确定AS安全性模式。[0056]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，用于UE的AS安全性丰旲式可至少部分地基于以下各项来确定:至少一个计算资源上的负载、或至少一个通信链路的使用水平、或对攻击的标识、或至少一个通信链路的吞吐量、或其组合。[0057]在该方法、装置装备）、或非瞬态计算机可读介质的一些示例中，AS安全性指示可进一步指示AS安全性保护的类型，该AS安全性保护的类型包括:对数据分组进行加密、或对数据分组进行完整性保护、或其组合。[0058]前述内容己较宽泛地勾勒出根据本公开的示例的技术和技术优势以力图使下面的详细描述可以被更好地理解。附加技术和优势将在此后描述。所公开的概念和具体示例可容易地被用作修改或设计用于实施与本公开相同目的的其他结构的基础。此类等效构造并不背离所附权利要求书的范围。本文所公开的概念的特性在其组织和操作方法两方面以及相关联的优势将因结合附图来考虑以下描述而被更好地理解。每一附图是出于解说和描述目的来提供的，且并不定义对权利要求的限定。[0059]附图简述[0060]通过参照以下附图可获得对本发明的本质和优点的进一步理解。在附图中，类似组件或功能可具有相同的附图标记。此外，相同类型的各个组件可通过在附图标记后跟随短划线以及在类似组件之间进行区分的第二标记来加以区分。如果在说明书中仅使用第一附图标记，则该描述可应用于具有相同的第一附图标记的类似组件中的任何一个组件而不论第二附图标记如何。[0061]图1解说了根据本公开的各个方面的支持可配置AS安全性的无线通信系统的示例；[0062]图2解说了根据本公开的各个方面的无线通信系统的示例；[0063]图3-9示出了根据本公开的各个方面的网络节点的示例；[0064]图10-12示出了根据本公开的各个方面提供用于UE的AS安全性保护的示例；[0065]图13和14示出了根据本公开的各个方面的在UE、网络接入设备和网络接入设备控制器之间发生通信的通信流程；[0066]图15示出了根据本公开的各个方面的支持可配置AS安全性的装置的框图；[0067]图16示出了根据本公开的各个方面的支持可配置AS安全性的UE无线通信管理器的框图；[0068]图17示出了根据本公开的各个方面的支持可配置AS安全性的装置的框图；[0069]图18示出了根据本公开的各个方面的支持可配置AS安全性的传送接收通信管理器的框图；[0070]图19示出了根据本公开的各个方面的支持可配置AS安全性的装置的框图；[0071]图20示出了根据本公开的各个方面的支持可配置AS安全性的节点控制器通信管理器的框图；[0072]图21示出了根据本公开的各个方面的支持可配置AS安全性的UE的框图；[0073]图22示出了根据本公开的各个方面的支持可配置AS安全性的网络接入设备的框图；[0074]图23示出了根据本公开的各个方面的支持可配置AS安全性的网络接入设备控制器的框图；[0075]图24和25是解说根据本公开的各个方面的可由支持可配置AS安全性的UE执行的方法的示例的流程图；[0076]图26和27是解说根据本公开的各个方面的可由支持可配置AS安全性的网络接入设备执行的方法的示例的流程图；[0077]图28和29是解说根据本公开的各个方面的可由支持可配置AS安全性的网络接入设备控制器执行的方法的示例的流程图；以及[0078]详细描述[0079]描述了其中向网络节点和或用户装备UE提供可配置的接入阶层AS安全性的技术。在下一代或5G网络中，与协议层栈相关联的功能性可在共同定义网络节点的网络接入设备控制器例如，集中式网络接入设备、中央单元、中央节点、接入节点控制器ANC等）和多个网络接入设备例如，分布式网络接入设备、分布式单元、边缘节点、边缘单元、无线电头端RH、智能无线电头端SRH、传送和接收点TRP等之间进行拆分。在一些示例中，协议栈的较高协议层可由网络接入设备控制器处理，而协议找的较低协议层可由相关联的网络接入设备处理。中间层可由网络接入设备控制器和或网络接入设备处理，这取决于网络节点的配置。AS安全性保护通常在较高协议层例如，分组数据汇聚协议PDCP层提供，并且可由网络接入设备控制器处置。然而，处置AS安全性保护可能会对网络接入设备控制器施以显著处理。[0080]本公开中描述的技术使得网络接入设备控制器能够选择用于处理AS安全性保护的层。在一些示例中，可选择用于处理AS安全性保护的层，以使得能够将AS安全性保护处理从一个设备卸载到另一设备或一组设备）。例如，当在与网络接入设备控制器相关联的多个网络接入设备处实现较低协议层时并且无论较低协议层是否由网络接入设备控制器实现），网络接入设备控制器可选择用于处理AS安全性保护的较低协议层，并且可向网络接入设备指示将由网络接入设备在较低协议层处理AS安全性保护。将AS安全性保护推给与网络接入设备控制器相关联的网络接入设备可减少网络接入设备控制器处的计算开销或处理负载，由此缓解在网络接入设备控制器处出现性能瓶颈的可能性。[0081]以下描述提供示例而并非限定权利要求中阐述的范围、适用性或者示例。可以对所讨论的要素的功能和布置作出改变而不会脱离本公开的范围。各种示例可恰适地省略、替代、或添加各种规程或组件。例如，可以按不同于所描述的次序来执行所描述的方法，并且可以添加、省略、或组合各种步骤。另外，参照一些示例所描述的特征可在一些其他示例中被组合。[0082]图1解说了根据本公开的各个方面的支持可配置AS安全性的无线通信系统100的示例。无线通信系统100可包括网络接入设备例如，分布式网络接入设备、分布式单元、RH、SRH、TRP、边缘节点、边缘单元等）l〇5、UE115、网络接入设备控制器例如，集中式网络接入设备、中央节点、中央单元、接入节点控制器ANC等）125、以及核心网130。核心网130可提供用户认证、接入授权、跟踪、互联网协议IP连通性，以及其他接入、路由、或移动性功能。网络接入设备控制器125可通过回程链路132例如，S1、S2等与核心网130对接，并且可执行无线电配置和调度以与UE115通信。在各种示例中，网络接入设备控制器125可以直接或间接地例如，通过核心网130在回程链路134例如，X1、X2等上彼此通信，回程链路134可以是有线或无线通信链路。每个网络接入设备控制器125还可以通过数个网络接入设备例如，RH105与数个UEII5通信。在无线通信系统1〇〇的替换配置中，网络接入设备控制器125的功能性可以由网络接入设备105提供，或者跨网络节点例如，接入节点、新的无线电基站NRBS等）135的网络接入设备105分布。在无线通信系统1〇〇的另一替换配置中，网络节点135可以被eNB代替，网络接入设备105可以用基站代替，并且网络接入设备控制器125可以被基站控制器或到核心网130的链路代替。[0083]网络接入设备控制器125可以经由一个或多个网络接入设备105与UE115通信，其中每个网络接入设备105具有用于与数个UE115进行无线通信的一个或多个天线。每个网络节点135可以为相应的地理覆盖区域110提供通信覆盖，并且可提供与一个或多个网络接入设备1〇5相关联的一个或多个远程收发机。网络接入设备105可执行LTELTE-A基站的许多功能。在一些示例中，网络接入设备控制器125可按分布式形式实现，其中在每个网络接入设备105中提供网络接入设备控制器125的一部分。网络节点135的地理覆盖区域110可被划分为仅构成覆盖区域的一部分的扇区（未示出），并且在一些示例中，网络节点135的地理覆盖区域110可以由与网络节点135相关联的一组网络接入设备105的一组地理覆盖区域未示出）形成。在一些示例中，网络接入设备105可以替换为替代网络接入设备，诸如基收发机站、无线电基站、接入点、无线电收发机、B节点、演进型B节点eNB、家用B节点、家用演进型B节点等。无线通信系统1〇〇可包括不同类型的网络接入设备105或基站或其他网络接入设备）（例如，宏蜂窝小区和或小型蜂窝小区网络接入设备）。网络接入设备105和或网络节点I35的地理覆盖区域可以交叠。在一些示例中，不同的网络接入设备105可与不同的无线电接入技术相关联。[0084]在一些示例中，无线通信系统100可包括5G网络。在其他示例中，无线通信系统100可包括LTELTE-A网络。在一些情形中，无线通信系统1〇〇可以是异构网络，其中不同类型的网络接入设备105或网络节点135提供对各种地理区划的覆盖。例如，每个网络接入设备105或网络节点I35可以为宏蜂窝小区、小型蜂窝小区、和或其他类型的蜂窝小区提供通信覆盖。取决于上下文，术语“蜂窝小区”可被用于描述基站、RH、与基站或RH相关联的载波或分量载波、或者载波或基站的覆盖区域例如，扇区等）。[0085]宏蜂窝小区可覆盖相对较大的地理区域例如，半径为数千米的区域），并且可允许由与网络提供方具有服务订阅的UE115接入。小型蜂窝小区可包括与宏蜂窝小区相比较低功率的RH或基站，并且可在与宏蜂窝小区相同或不同的频带中操作。根据各种示例，小型蜂窝小区可包括微微蜂窝小区、毫微微蜂窝小区、以及微蜂窝小区。微微蜂窝小区可覆盖相对较小的地理区域并且可允许无约束地由与网络提供方具有服务订阅的UEn5接入。毫微微蜂窝小区也可覆盖相对较小的地理区域例如，家且可提供有约束地由与该毫微微蜂窝小区有关联的UE115例如，封闭订户群CSG中的UE、家中的用户的UE、等等的接入。用于宏蜂窝小区的网络接入设备可被称为宏网络接入设备。用于小型蜂窝小区的网络接入设备可被称为小型蜂窝小区网络接入设备、微微网络接入设备、毫微微网络接入设备、或家用网络接入设备。网络接入设备可支持一个或多个例如，两个、三个、四个，等等蜂窝小区（例如，分量载波）。[0086]无线通信系统100可支持同步或异步操作。对于同步操作，网络节点135或网络接入设备105可具有相似的帧定时，并且来自不同网络接入设备1〇5的传输可在时间上大致对齐。对于异步操作，网络节点135或网络接入设备1〇5可具有不同的帧定时，并且来自不同网络接入设备105的传输可以不在时间上对齐。本文中所描述的技术可被用于同步或异步操作。[0087]可容适各种所公开的示例中的一些示例的通信网络可以是根据分层协议找进行操作的基于分组的网络。在用户面，承载或分组数据汇聚协议PDCP层的通信可以是基于IP的。在一些情形中，无线电链路控制RLC层可执行分组分段和重组以在逻辑信道上通信。媒体接入控制MAC层可执行优先级处置并将逻辑信道复用成传输信道。MAC层还可使用混合ARQHARQ以提供MAC层的重传，从而改善链路效率。在控制面，无线电资源控制RRC协议层可提供UE115与支持针对用户面数据的无线电承载的网络接入设备105、网络接入设备控制器125或核心网130之间的RRC连接的建立、配置和维护。在物理PHY层，传输信道可被映射到物理信道。[0088]UE115可分散遍及无线通信系统100,并且每个UE115可以是驻定的或移动的。UE115还可包括或被本领域技术人员称为移动站、订户站、移动单元、订户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持机、用户代理、移动客户端、客户端、或某个其他合适的术语。UE115可以是蜂窝电话、个人数字助理PDA、无线调制解调器、无线通信设备、手持式设备、平板设备、膝上型计算机、无绳电话、无线本地环路WLL站、万物联网（1此设备、汽车、或具有无线通信接口的其他电子设备。UE可以能够与各种类型的网络节点135或网络接入设备1〇5包括小型蜂窝小区节点、中继节点等通信。UE还可以能够直接与其他UE通信（例如，使用对等P2P协议）。[0089]无线通信系统100中示出的通信链路122可包括从UE115到网络接入设备105的上行链路UL信道、和或从网络接入设备105到UE115的下行链路DL信道。下行链路信道还可被称为前向链路信道，而上行链路信道还可被称为反向链路信道。[0090]UE115中的一者或多者可包括UE无线通信管理器1520。在一些示例中，UE无线通信管理器1520可被用于:建立与网络节点135的连接;作为建立连接的一部分，从网络节点1邪接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于AS安全性指示和所指示的AS协议层来为数据分组配置AS安全性保护。在一些示例中，UE无线通信管理器152〇可以是参考图15、16或21描述的UE无线通信管理器1520的各方面的示例。[0091]网络接入设备1〇5中的一者或多者可包括传送接收通信管理器1720。在一些示例中，传送接收通信管理器1了20可被用于:建立与UE115的连接;作为建立连接的一部分，从网络接入设备控制器1¾接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于AS安全性指示和所指示的AS协议层来为传送给UE115或接收自UE115的数据分组配置AS安全性保护。在一些示例中，传送接收通信管理器172〇可以是参考图丨7、18或22描述的传送接收通信管理器1720的各方面的示例。[0092^网络接入设备控制器125中的一者或多者可包括节点控制器通信管理器1920。在一些示例中，节点控制器通信管理器1920可被用于:确定用于UE115的AS安全性模式，其中AS安全性模式指示用于保护传送给UE115或接收自UE115的数据分组的AS协议层;至少部分地基于AS安全性模式来推导用于UEII5的AS密钥；以及向UE115传送标识AS安全性模式的AS安全性指示。在一些示例中，节点控制器通信管理器^20可以是参考图19、20或23描述的节点控制器通信管理器1920的各方面的示例。[0093]每个通彳目链路122可包括一个或多个载波，其中每个载波可以是由根据一种或多种无线电接入技术来调制的多个副载波或频调构成的信号例如，不同频率的波形信号）。每个经调制信号可在不同的副载波上发送并且可携带控制信息例如，参考信号、控制信道等）、开销信息、用户数据等。通信链路122可以使用频分双工FDD技术例如，使用配对频谱资源或时分双工CTDD技术例如，使用未配对频谱资源来传送双向通信。可以定义FDD的帧结构例如，帧结构类型1和TDD的帧结构例如，帧结构类型2。[0094]在无线通信系统100的一些示例中，网络接入设备105和或UE115可包括多个天线以采用天线分集方案来改善网络接入设备105与UE115之间的通信质量和可靠性。附加地或替换地，网络接入设备105和或UEII5可采用多输入多输出MIMO技术，MIMO技术可利用多径环境来传送携带相同或不同经编码数据的多个空间层。[0095]无线通信系统100可支持多个蜂窝小区或载波上的操作，这是可被称为载波聚集CA或多载波操作的特征。载波也可被称为分量载波CC、层、信道等。术语“载波”、“分量载波”、“蜂窝小区”以及“信道”在本文中被可互换地使用。UE115可配置有用于载波聚集的多个下行链路CC以及一个或多个上行链路CC。载波聚集可与FDD和TDD分量载波两者联用。[0096]图2解说了根据本公开的各个方面的无线通信系统2〇〇的示例。无线通信系统2〇〇可包括数个网络节点（例如，接入网ANU5,包括例如第一网络节点135-a和第二网络节点135-b。每个网络节点135可与核心网130-a对接，核心网130-a可以是参考图1描述的核心网130的各方面的示例。在一些示例中，核心网13〇-a可包括移动性管理实体丽幻210或服务网关S-GW215例如，用于下一代或5G网络的MME或S-GW。[0097]每个网络节点135可包括网络接入设备控制器例如，ANC125和数个网络接入设备例如，RH105。例如，第一网络节点l35-a可包括网络接入设备控制器^5-8、第一网络接入设备l〇5_a、第二网络接入设备l〇5-b和第三网络接入设备105-c。作为示例，示出了UEll5_a与第一网络接入设备l〇5_a通信。其他UE未示出）可与第一网络接入设备1〇5_£1或与其他网络接入设备105通信。当UE115-a在无线通信系统200内移动时，UE115-a可从一个网络接入设备105例如，第一服务网络接入设备切换到另一网络接入设备105例如，第二服务网络接入设备），并且可以在节点内（例如，在第一网络节点135-内）或在节点间（例如，在第一网络节点135-a与第二网络节点135-b之间）从一个网络接入设备105切换到另一网络接入设备105。网络接入设备控制器125-a、第一网络接入设备105-a、第二网络接入设备l〇5-b、第三网络接入设备1〇5-c和UE115-a可以是参考图1描述的网络接入设备控制器125、网络接入设备1〇5和UE115的示例。在一些示例中，网络节点135之间（例如，网络节点135的各网络接入设备控制器125之间）的通信可通过X2接口进行。[0098]无线通信系统200内的每个网络接入设备控制器125包括网络接入设备控制器125-a可针对网络节点丨35内的所有网络接入设备1〇5端接至核心网L3〇_a的连接例如，经由S1-MME接□和S：L-U用户接口）。例如，网络接入设备控制器⑶^可针对第一网络接入设备1〇5-a、第二网络接入设备105—b和第三网络接入设备1〇5_c端接至核心网13〇_a的连接。网络接入设备控制器l25_a还可协调多个网络接入设备1〇5之间或包括多个网络接入设备1〇5的动作。例如，网络接入设备控制器丨奶―a可协调UE从一个网络接入设备1〇5到另一网络接入设备i〇5的接入网内切换。网络接入设备控制器125—a还可协调第一网络节点135一的RRC层和用户u面pdcp层通信。[00"]无线通信系统200内的每个网络接入设备1〇5可服务该网络接入设备作为其服务网络接入^备来操作的UE集合与该网络接入设备所关联的网络接入设备控制器之间的话务。例如，第一网络接入设备1〇5_a可服务UE集合包括UEn5_a与网络接入设备控制器125-a之间的话务。在一些示例中，网络接入设备105可用作SRH并监视UE的上行链路信令或移动性。SRH还可执行PHY层处理信号的接收、传送和测量），并且在一些示例中可执行MAC层或RLC层处理。[0100]图3-5示出了网络节点135的各种替换配置，网络节点135可以是参考图1和2描述的网络节点135的示例。[0101]图3示出了根据本公开的各个方面的网络节点l35-c的示例300。网络节点135-C可包括共处一地的网络接入设备例如，RHl〇5-d和网络接入设备控制器例如，ANC125-b。在一些示例中，网络接入设备l〇5_d可以处理协议栈的一个或多个较低协议层，而网络接入设备控制器125-b可以处理协议栈的（一个或多个较高协议层。[0102]图4示出了根据本公开的各个方面的网络节点135-d的示例400。网络节点135-d可包括多个网络接入设备例如，RH105例如，第一网络接入设备l〇5-e、第二网络接入设备105-f和第三网络接入设备105-g，它们不与网络节点135-d的网络接入设备控制器例如，ANCl25_c共处一地。在一些示例中，网络接入设备105可以处理协议找的（一个或多个较低协议层，而网络接入设备控制器125-c可以处理协议栈的（一个或多个较高协议层。网络接入设备控制器125-c可以支持UE从网络节点l35-d内的一个网络接入设备到另一网络接入设备的节点内移动性。[0103]图5示出了根据本公开的各个方面的网络节点135-e的示例500。网络节点135-e可包括多个网络接入设备例如，RF105例如，第一网络接入设备l〇5-h、第二网络接入设备105-i和第三网络接入设备105-j，它们不与网络节点135-e的网络接入设备控制器125-d共处一地。在一些示例中，网络接入设备1〇5可分布网络节点135-e的射频RF功能性，并且网络接入设备控制器l25-d可为网络接入设备105提供共用的基带处理和cu面协议栈处理。[0104]图6-9解说了可如何在网络节点135例如，参考图1-5描述的网络节点135的各种组件或设备之间集成或拆分网络节点135的协议栈的各种示例。[0105]图6示出了根据本公开的各个方面的网络节点135-f的示例600。网络节点135-f可包括共处一地的网络接入设备1〇5和网络接入设备控制器125,或者网络接入设备105和网络接入设备控制器125的功能可由同一组组件来实现。网络节点135-f可以处理协议栈的所有层，包括PDCP层605、RLC层610、MAC层615和PHY层620。[0106]图7示出了根据本公开的各个方面的网络节点135-g的示例700。网络节点135-g可包括非共处一地的网络接入设备1〇5_k和网络接入设备控制器125-e。如图所示，网络接入设备105-k可以处理协议栈的较低协议层包括RLC层610-a、MAC层615-a和PHY层620-a，而网络接入设备控制器l25-e可以处理协议栈的较高协议层例如，PDCP层605-a。[0107]图8示出了根据本公开的各个方面的网络节点135-h的示例800。网络节点135-h可包括非共处一地的网络接入设备1〇5_1和网络接入设备控制器125-f。如图所示，网络接入设备105-1可以处理协议栈的较低协议层包括MAC层615-b和PHY层620-b，而网络接入设备控制器l25_f可以处理协议栈的较高协议层包括PDCP层605-b和RLC层610-b。[0108]图9示出了根据本公开的各个方面的网络节点135-i的示例框图900。网络节点135-i可包括非共处一地的网络接入设备l〇5-m和网络接入设备控制器125-8。如图所示，网络接入设备105-m可以处理协议栈的较低协议层包括下MAC层615-d和PHY层620-c，而网络接入设备控制器125-g可以处理协议找的较高协议层包括pdcp层605-c、RLC层610_c和上MAC层615-c〇[0109]集成或拆分协议梭功能性的决定例如，如图6_9的示例中所示可基于各种因素，诸如UE的去程等待时间要求和网络侧的功能性协调。随着更多协议栈功能性移向单独的网络接入设备控制器，去程等待时间趋于减少，但随着更多协议栈功能性移向该网络接入设备控制器，协调机会趋于增加。[0110]采用下一代或5G通信协议的网络节点135例如，接入节点）（诸如按图1—9中所描述地、或以其他方式配置的那些网络节点）可被设计成比LTELTEeNB覆盖更广的地理区域。在这些和其他类型的网络节点135中，并且在一些操作条件下，与此类网络节点135相关联的网络接入设备控制器125例如，ANC可能成为网络节点135的性能瓶颈。出现性能瓶颈可能是例如由于网络接入设备控制器125可以处理来自去往由多个网络接入设备105例如，多个RH服务的UE的通信，或者由于此类网络节点135的高吞吐量。与高吞吐量相关联的部分计算开销可能是由于对数据分组的AS安全性保护例如，u面消息，以及在一些示例中在较小程度上是c面消息）。性能瓶颈可自然地发生，或者可由其中网络节点135充满虚假上行链路和或下行链路话务的攻击来触发。当在较高协议层例如，PDCP层605处实现AS安全性保护并且在网络接入设备控制器125上处理较高协议层时，高话务和或虚假话务可能增加网络接入设备控制器125处的开销例如，所消耗的资源并且不利地影响网络接入设备控制器125的性能。[0111]为了缓解在网络接入设备控制器125处出现性能瓶颈的可能性，本公开中描述的技术使得能够将数据分组的AS安全性保护选择性地下推到较低协议层或在较低协议层进行处理）（例如，RLC层6UKMAC层615、经划分层的一部分储如下MAC层615等）。当在网络接入设备105上处理较低协议层时，与提供AS安全性保护相关联的大部分开销可从网络接入设备控制器125卸载到与网络接入设备控制器125相关联的一个或多个网络接入设备105。[0112]图10示出了根据本公开的各个方面的为UE115-b提供AS安全性保护的示例1000。如图所示，UE115-b可经由网络节点135-j来接入网络或与网络节点135-j关联）。服115-b可以是参考图1或2描述的UE115的各方面的示例，并且网络节点135-j可以是参考图1-9描述的网络节点135的各方面的示例。[0113]UEll5_b和网络节点l35_j中的每一者可实现包括PDCP层605-e、RLC层610-e、MAC层615-e和PHY层620-e的协议栈。可在PDCP层605-e例如，较高协议层处理针对传送给UE115-b或接收自UE115-b的数据分组的AS安全性保护。因为在网络节点135-j处的网络接入设备和网络接入设备控制器之间没有职责分离，所以在网络节点135-j处可能出现性能瓶颈，而不管提供AS安全性保护的协议层如何。[0114]图11不出了根据本公开的各个方面的为UE115-c提供AS安全性保护的示例1100。如图所示，UE115-c可经由网络节点135-k来接入网络或与网络节点135-k关联）。现115-c可以是参考图1、2或10描述的UE115的各方面的示例，并且网络节点135-k可以是参考图1-9描述的网络节点135的各方面的示例。网络节点135-k可包括网络接入设备（例如，RH105-n和网络接入设备控制器例如，ANC125-h。通信链路1125可将网络接入设备105-n链接到网络接入设备控制器125-h。网络节点135-k还可包括其他网络接入设备未示出），其可通过其他通信链路与网络接入设备控制器125-h通信。[0115]UE115-C和网络节点135-k中的每一者可实现包括PDCP层605-f、RLC层610-f、MAC层615-f和PHY层620-f的协议栈。在网络侧，可在网络接入设备105-n和网络接入设备控制器125-h之间拆分协议栈的实现。替换地，网络接入设备l〇5-n和网络接入设备控制器125-h可实现完整协议栈，但是协议栈的处理可在网络接入设备105-n和网络接入设备控制器125-h之间拆分。作为示例，图11示出了至少PDCP层605-f由网络接入设备控制器125-h处理，并且RLC层610-f、MAC层615-f和PHY层620-f由网络接入设备l〇5-n处理。在替换示例中，RLC层610-f或者一部分或全部MAC层615-f可由网络接入设备控制器125-h处理。[0116]在图11中，网络接入设备控制器125-h可确定用于传送给UE115-c或接收自UE115-c的数据分组的AS安全性保护应当在PDCP层6〇5-f例如，较高协议层）处理。因为在HCP层6〇5_f处理AS安全性保护，因此在网络接入设备控制器i25-h处可能出现性能瓶颈。[0117]图12A示出了根据本公开的各个方面的为参考图11描述的UE115-c提供AS安全性保护的另一示例1200。如图所示，UE115-c可经由网络节点135-1来接入网络或与网络节点135-1关联）。网络节点135-1可包括网络接入设备例如，RH105-〇和网络接入设备控制器例如，ANC125-i。通信链路1125-a可将网络接入设备1〇5_0链接到网络接入设备控制器125-i〇[0118]UE115-c和网络节点135-1中的每一者可实现包括PDCP层605-g、RLC层610-g、MAC层615-g和PHY层620-g的协议找。在网络侧，可在网络接入设备1〇5-〇和网络接入设备控制器125-i之间拆分协议栈的实现或处理。作为示例，图12A示出了PDCP层605-g由网络接入设备控制器125-i处理，并且RLC层610-g、MAC层615-g和PHY层620-g由网络接入设备1〇5-〇处理。[0119]在图12A中，网络接入设备控制器125-i可确定用于传送给UE115-c或接收自UEll5_c的数据分组的AS安全性保护应当在RLC层610-g处理。由于将在RLC层610-g处理AS安全性保护，并且由于在网络接入设备1〇5_〇而非网络接入设备控制器125-i处理RLC层610-g，因此可缓解网络接入设备控制器125-i处与AS安全性保护相关的性能瓶颈的可能性。[0120]图12B示出了根据本公开的各个方面的为参考图11描述的UE115-C提供AS安全性保护的另一示例1250。如图所示，UE115-c可经由网络节点135-m来接入网络或与网络节点135-m关联）。网络节点135-m可包括网络接入设备例如，RH105-p和网络接入设备控制器例如，ANCl25_j。通信链路1125-b可将网络接入设备105-p链接到网络接入设备控制器125-j。[0121]UEll5_c和网络节点l35-m中的每一者可实现包括KCP层605-h、RLC层610-h、上MAC层615_h、下MAC层615_i和PHY层620-h的协议栈。在网络侧，可在网络接入设备1〇5-p和网络接入设备控制器l25_j之间拆分协议栈的实现或处理。作为示例，图12B示出了PDCP层6〇5_h、RLC层610-h和上MAC层6l5_h由网络接入设备控制器l25_j处理，并且下MAC层615-i和PHY层620-h由网络接入设备105-p处理。在替换示例中，RLC层610-h和或上MAC层615-h可由网络接入设备105-p而非网络接入设备控制器125-j处理。[0122]在图1¾中，网络接入设备控制器l25_j可确定用于传送给UE115-c或接收自UEll5_c的数据分组的AS安全性保护应当在下MAC层615_i处理。由于在下MAC层615-i处理AS安全性保护，并且由于在网络接入设备105-p而非网络接入设备控制器125-j处理下MAC层615-i，因此可缓解网络接入设备控制器125-j处与AS安全性保护相关的性能瓶颈的可能性。[0123]网络接入设备控制器125可基于数个因素中的一个或多个因素来确定应该在较高协议层还是较低协议层处理用于UE的AS安全性例如，确定AS安全性模式）。例如，网络接入设备控制器125可基于至少一个计算资源例如，网络接入设备控制器125的处理器上的负载、或至少一个通信链路例如，如参考图11、12A或12B所述的通信链路1125的使用例如，拥塞水平、或至少一个通信链路的吞吐量、或对攻击的标识例如，洪水攻击、虚假分组注入等）、或其组合来确定AS安全性模式。在较低协议层例如，RLC层或MAC层处理AS安全性保护的AS安全性模式在标识出高资源使用、链路拥塞、攻击或低链路吞吐量时可能是有用的。在较高协议层（例如，PDCP层处理AS安全性保护的AS安全性模式可能是有用的，因为rocp层的AS安全性保护有时能够提供更大的灵活性和或更高的安全性保护。[0124]可按不同方式提供可配置AS安全性例如，可在不同协议层处理的AS安全性）。例如，可基于网络供应的AS密钥或基于按需AS密钥来提供可配置AS安全性。[0125]当基于网络供应的AS密钥来提供可配置AS安全性时，网络可向网络接入设备控制器例如，ANC125提供AS密钥Kang;而UE115可基于认证会话密钥例如，Kasme来推导相同的AS密钥。Kanc可用作根密钥，以用于在与网络接入设备控制器125相关联的网络接入设备105处生成因UE而异的AS密钥（表示为KSRH。在一些示例中，KANC可等效于LTELTE-A网络中使用的密钥IUb。[0126]Ksrh的密钥推导公式KDF可以为KDFKanc，SRHID,H0COUNTER，其中SRHID是网络接入设备1〇5的标识符，而HOCOUNTERH0计数器是UE在网络节点135内的切换计数例如，UE从一个网络接入设备105到另一网络接入设备105的切换计数）。当为UE推导新的Ksrh时，可递增或更新HOCOUNTER的值，并且当UE115切换回到先前作为UE115的服务网络接入设备105来操作的网络接入设备105时，防止使用旧的Ksrh。[0127]当基于网络供应的AS密钥来提供可配置AS安全性并且UE115在连通模式中附连到新的网络接入设备105时（例如，当UE参与连通模式切换时），UE115可推导新的Ksrh并向其切换到的网络接入设备1〇5通知其当前HOCOUNTER值。新的网络接入设备105随后可将H0COUNTER值连同对用于UE115的Ksrh的请求转发到网络接入设备控制器125。在建立UE115与新的网络接入设备105之间的连接之后，UE115和网络接入设备控制器125可各自递增或更新HOCOUNTER的值。当基于网络供应的AS密钥来提供可配置AS安全性并且UE115在空闲模式中附连到新的网络接入设备105时例如，当UE从空闲模式转变到连通模式时），网络可推导用于AS安全性的新Kanc。[0128]图13示出了根据本公开的各个方面的通信流程1300,其中在UE115-d、网络接入设备例如，RH105-q和网络接入设备控制器例如，ANC125-k之间发生通信。在UE115-d、网络接入设备l〇5_q、网络接入设备控制器125-k和MME210-a、安全密钥管理设施SKMFl3〇5、S-GW215-a和归属订户服务器HSS1310之间也发生通信。UE115-d可以是参考图1、2或10-12描述的任何一个或多个UE115的各方面的示例；网络接入设备105-q可以是参考图1-9、11或12描述的任何一个或多个网络接入设备105的各方面的示例;并且网络接入设备控制器125-k可以是参考图1-9、11或12描述的任何一个或多个网络接入设备控制器125的各方面的示例。在一些示例中，网络接入设备105-q和网络接入设备控制器125-k可以是网络节点135-n的一部分，网络节点135-n可以是参考图1-12描述的任何一个或多个网络节点135的各方面的示例。[0129]图13示出了当基于网络供应的AS密钥来提供AS安全性时在UE、网络接入设备、网络接入设备控制器和其他设备之间可能发生的通信的示例。[0130]在1315，UE115-d可向网络接入设备控制器125-k发送连接请求（例如，附连请求）。在1320,网络接入设备控制器125-k可将初始UE消息传送给SKMF1305。在1325，UE可与SKMF1305协商认证和密钥协定AKA。为了协商AKA，SKMF1305可在1330与用于UE115-d的HSS1310通信。作为协商AKA的一部分，在1335，SKMF1305可在MME210-a处安装密钥Kasme，并且在1340，MME210-a可将非接入阶层NAS安全性模式命令SMC传送给UE115-d，并且可为UE115-d配置NAS安全性。在1345，MME210-a可向S-GW215-a传送创建会话请求消息;并且在1350，S-GW215-a可向MME210-a返回创建会话响应消息。然后，MME210-a可在1355向网络接入设备控制器125-k传送初始上下文设立请求。[0131]在1360,网络接入设备控制器125-k可将ASSMC传送给UE115-d，并且可为UE115-d配置AS安全性。作为AS安全性配置的一部分，在1365,网络接入设备控制器125-k可向网络接入设备l〇5-q传送RRC连接重配置消息。传送给网络接入设备105-q的RRC连接重配置消息可包括例如UE115-d的UE标识符UEID、AS安全性指示——其指示用于保护传送给和接收自UE115-d的数据分组的AS协议层例如，PDCP层、RLC层、MAC层或PHY层）、以及因UE而异的AS密钥Ksrh〇AS安全性指示还可指示AS安全性保护的类型，其中AS安全性保护的类型可包括对数据分组进行加密、对数据分组进行完整性保护、或其组合。在一些示例中，AS安全性指示还可指示对数据分组没有AS安全性保护。因UE而异的AS密钥可安装在网络接入设备105-q上。同样作为AS安全性配置的一部分，在13了0，网络接入设备105-q可向UE115-d传送RRC连接重配置消息。传送给UE115-d的RRC连接重配置消息可包括例如UE115-d的UEID和AS安全性指示。[0132]在1375，UE115-d可向网络接入设备控制器125-k传送RRC连接重配置完成消息。在1380,网络接入设备控制器125-k可向丽E210-a传送初始上下文设立响应。[0133]当基于按需AS密钥来提供可配置AS安全性时，网络接入设备控制器例如，ANC125可使用随机密钥生成过程来生成主AS安全性密钥MASK例如，MASK可以不是从任何其他密钥推导出的，并且可仅为网络接入设备控制器所知）。网络接入设备控制器125还可为网络接入设备1〇5生成BSAS安全性密钥BASK。在一些示例中，网络接入设备控制器125可为不同的网络接入设备105生成不同的BASK。在其他示例中，网络接入设备控制器125可为网络接入设备105群中的每个网络接入设备105生成单个BASK。用于BASK的KDF可以为KDFMASK，SRHID，其中SRHID是网络接入设备105或网络接入设备105群的标识符。BASK可被提供给为其生成BASK的一个或多个网络接入设备105或者，例如提供给具有一体化网络接入设备和网络接入设备控制器的网络节点的MAC层hMASK以及一个或多个BASK可由网络接入设备控制器125生成一次，并被用于为多个UE115推导因UE而异的AS密钥。网络接入设备控制器125可在任何时间改变MASK和诸BASK。[0134]网络接入设备控制器125可进一步为UE115生成设备AS安全性密钥DASKc^DASK可在需要时例如，按需、在随机接入规程或切换规程期间）生成。用于DASK的KDF可以为KDFBASK,UEID，其中UEID是为其生成DASK的UE115的标识符，并且其中UEID相对于生成DASK的网络接入设备控制器125是唯一的。在一些示例中，UEID可以是蜂窝小区无线电网络临时标识符C-RNTI。可在AS安全性设立期间向UE115供应DASK。可使用安全的RRC消息例如，作为ASSMC的一部分将DASK传送给UE115。[0135]图14示出了根据本公开的各个方面的通信流程1400,其中在UE115-e、网络接入设备例如，RH105-r和网络接入设备控制器例如，ANC125-1之间发生通信。在UE115-e、网络接入设备l〇5_r、网络接入设备控制器125-1和MME210-b、SKMF1305-a、S-GW215-b和HSS1310-a之间也发生通信。UE115-e可以是参考图1、2或10-13描述的任何一个或多个UE115的各方面的示例；网络接入设备l〇5_r可以是参考图卜9或11-13描述的任何一个或多个网络接入设备105的各方面的示例;并且网络接入设备控制器125-1可以是参考图1-9或11-13描述的任何一个或多个网络接入设备控制器125的各方面的示例。在一些示例中，网络接入设备l〇5_r和网络接入设备控制器125-1可以是网络节点135-〇的一部分，网络节点135-〇可以是参考图1-13描述的任何一个或多个网络节点135的各方面的示例。图14示出了当基于按需AS密钥来提供AS安全性时在UE、网络接入设备、网络接入设备控制器和其他设备之间可能发生的通信的示例。[0136]在1415，UE115-e可向网络接入设备控制器125-1发送连接请求（例如，附连请求）。在1420,网络接入设备控制器125_1可将初始UE消息传送给SKMF1305-a。在1425，UE可与SKMF1305-a协商AKA。为了协商AKA，SKMF1305-a可在1430与用于UE115-e的HSS1310-a通信。作为协商AKA的一部分，在1435，SKMF1305-a可以在MME210-b处安装密钥Kasme，并且在1440，醒£210-13可以将嫩331\«：传送给邯115-6，并且可为邯115-6配置嫩3安全性。[0137]在1445，MME210-b可向S-GW215-b传送创建会话请求消息；并且在1450，S-GW215-b可向MME210-b返回创建会话响应消息。然后，MME210-b可在1455向网络接入设备控制器125-1传送初始上下文设立请求。[0138]在1460,网络接入设备控制器125-1可将ASSMC传送给UE115-e，并且可为UE115-e配置AS安全性。作为AS安全性配置的一部分，在1465,网络接入设备控制器125-1可向UEll5_e传送RRC连接重配置消息。传送给UE115-e的RRC连接重配置消息可包括例如UE115-e的UEID、指示用于保护传送给和接收自UE115-e的数据分组的AS协议层例如，PDCP层、RLC层或MAC层）的AS安全性指示、以及用于UE115-e的DASKoAS安全性指示还可指示AS安全性保护的类型，其中AS安全性保护的类型可包括对数据分组进行加密、对数据分组进行完整性保护、或其组合。在一些示例中，AS安全性指示还可指示对数据分组没有AS安全性保护。作为AS安全性配置的一部分，在1470,网络接入设备控制器125-1可以可任选地向网络接入设备l〇5-r传送RRC连接重配置消息。传送给网络接入设备105-1的RRC连接重配置消息可包括例如BASK。在一些示例中，BASK可在通信流程1400之前传送给网络接入设备105-r，或在不依赖于通信流程1400的定时的时间传送给网络接入设备1〇5-r例如，因为BASK是因网络接入设备而异的AS密钥而不是因UE而异的，所以BASK可能先前己被供应给网络接入设备105-r并且可能不需要作为通信流程1400的一部分来传送例如，供应）。[0139]在1475，UE115-e可向网络接入设备控制器125-1传送RRC连接重配置完成消息。在1480,网络接入设备控制器125-1可向MME210-b传送初始上下文设立响应。[0140]在通信流程1400之后例如，一旦解决了争用），UE115-e和网络接入设备105-r可交换一次性数nonce。例如，网络接入设备105-r可向UE115-e传送NoncesRH，并且UE115-e可向网络接入设备105-r传送NonceuEoNoncesRH可以是在争用解决之后由网络接入设备105-r传送的第一条消息例如，在类似于LTELTE-A中的消息4的消息中），并且NonceuE可以是在争用解决之后由UE115_e传送的第一条消息例如，在类似于LTELTE-A中的消息5的消息中）。[0141]在配置MAC层AS安全性时，UE115-e和网络接入设备i〇5-r可基于DASK和所交换的一次性数来推导MAC层AS密钥（例如，MAC层AS安全性密钥=KDFDASK，NonceSRH|NonceUE。UE115-e和网络接入设备105-r还可初始化和或同步用于MAC层AS安全性的上行链路数据分组计数器和下行链路分组计数器。UEll5-e和网络接入设备l〇5-r各自可针对UE115-e传送的每个上行链路数据分组例如，每个消息协议数据单元MPDU递增或更新上行链路数据分组计数器，并且各自可针对传送给UE115-e的每个下行链路数据分组递增或更新）下行链路数据分组计数器。上行链路数据分组计数器或下行链路数据分组计数器的至少一部分可被包括在每个MACPDU报头中。当UE115-e处于连通模式时，可启用MAC层AS安全性。RLC层AS安全性可被采用并且类似于MAC层AS安全性地配置。[0142]在使用按需AS密钥的可配置AS安全性的一些示例中，可为网络接入设备105群推导共用BASK。在一些示例中，可基于SI?HID来定义网络接入设备105群。为网络接入设备105群推导单个BASK可提高网络效率，尤其是对于经历UE115的频繁节点内切换的网络节点135。由于群中所包括的网络接入设备105的安全性在共用网络接入设备控制器125的控制下，因此网络接入设备控制器125可检测网络接入设备105何时受损害并且从群中移除该网络接入设备105和或将该网络接入设备105与网络隔离。BASK共享可减少在节点内（例如，AN内）切换例如，从第一网络接入设备例如，第一RH105到第二网络接入设备例如，第二RH105的切换，其中第一网络接入设备105和第二网络接入设备105与同一个网络接入设备控制器125例如，同一个ANC相关联期间推导DASK和向UE115供应DASK的开销。[0143]在使用按需AS密钥的可配置AS安全性的一些示例中，网络接入设备控制器125可以周期性地改变其MASK。在一些示例中，可基于MASK索引来确定MASK，并且MASK的每次改变可与MASK索引的所定义改变相关联。可基于BASK索引来确定BASK，该BASK索引由MASK索引确定。类似地，可基于DASK索引来确定DASK，该DASK索引由BASK索引确定。网络接入设备控制器125可向网络接入设备105供应BASK和相应的BASK索引，并且可向UE115供应DASK和相应的DASK索引。密钥索引（例如，索引的最后一位可被包括在消息中，以使得接收机可确定在DASK翻滚期间哪个DASK应该被用于AS安全性验证。网络接入设备控制器125可使用安全的RRC消息向UE115通知BASK改变和相应的DASK。[0144]图15示出了根据本公开的各个方面的支持可配置AS安全性的装置1515的框图1500。装置1515可以是参照图1、2、10、11、12A、12B、13或14描述的一个或多个UE115的各方面的示例。装置1515也可以是或包括处理器。装置1515可包括接收机1510、UE无线通信管理器1520-a和发射机1530。这些组件中的每一者可与彼此处于通信。[0145]装置1515的组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的专用集成电路ASIC来实现。替换地，这些功能可以由一个或多个集成电路上的一个或多个其他处理单元或核来执行。在一些其他示例中，可使用可按本领域所知的任何方式来编程的其他类型的集成电路（例如，结构化平台ASIC、现场可编程门阵列FPGA、片上系统SoC和或其他类型的半定制1C。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。[0146]在一些示例中，接收机1510可包括至少一个RF接收机，诸如可操作用于在一个或多个射频谱带上接收传输的至少一个RF接收机。在一些示例中，接收机1510可包括接收天线阵列。在一些示例中，该一个或多个射频谱带可以用于LTELTE-A或5G通信，如本文所描述的。接收机1510可被用于在无线通信系统的一条或多条通信链路或信道）（诸如参照图1描述的无线通信系统100的一条或多条通信链路或信道）上接收各种类型的数据或控制信号例如，传输）。在一些示例中，接收机KIO可以另外地或替换地包括一个或多个有线接收机。[0147]在一些不例中，发射机1530可包括至少一个RF发射机，诸如可操作用于在一个或多个射频谱带上传送的至少一个RF发射机。在一些示例中，发射机153〇可包括发射天线阵列。在一些示例中，该一个或多个射频谱带可以用于LTELTE-A或5G通信，如本文所描述的。发射机153〇可被用于在无线通信系统的一条或多条通信链路或信道）（诸如参照图丨描述的无线通信系统100的一条或多条通信链路122或信道）上传送各种类型的数据或控制信号例如，传输）。在一些示例中，发射机153〇可以另外地或替换地包括一个或多个有线发射机。[0148]在一些示例中，UE无线通信管理器1520-a可被用来管理用于装置1515的无线通信的一个或多个方面。在一些示例中，UE无线通信管理器l520-a的一部分可被纳入到接收机1510或发射机1530中或与其共享。在一些示例中，UE无线通信管理器1520-a可以是参照图1所描述的UE无线通信管理器lMO的各方面的示例。在一些示例中，UE无线通信管理器152〇_a可包括网络连接管理器1M5、AS安全性信息管理器1540或AS安全性配置管理器1545。[0149]网络连接管理器1535可用于例如，与接收机1510和或发射机1530协作地建立与网络节点诸如参考图1-14描述的网络节点135之一的连接。在一些示例中，可通过网络节点的网络接入设备例如，参考图1-9或11-14描述的网络接入设备例如，RH105之一来建立与网络节点的连接。在一些示例中，建立与网络节点的连接可包括执行随机接入规程，并且网络连接管理器1535可在执行随机接入规程的同时向网络节点传送连接请求。在其他示例中，可在包括装置1515的UE从第一网络接入设备1〇5到第二网络接入设备1〇5的切换期间建立与网络节点的连接。在一些示例中，作为建立连接的一部分，网络连接管理器1535可向网络节点传送UE的AS安全性能力的指示。在一些示例中，可与连接请求一起将^安全性能力的指示传送给网络节点。在一些示例中，AS安全性能力的指示可指示以下至少一者：PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。[0150]作为建立与网络节点的连接的一部分，AS安全性信息管理器1540可用于例如，与接收机1^10协作地从网络节点接收指示用于保护数据分组的AS协议层的AS安全性指示。在一些示例中，AS安全性指示可指示以下至少一者:PDCP层安全性、或RLC层安全性、或MAC层安全性、或其组合。在一些示例中，为数据分组配置AS安全性保护可包括配置数据分组的加密、配置数据分组的完整性保护、或其组合。配置AS安全性保护还可包括不为数据分组配置AS安全性保护。在一些示例中，为数据分组配置的AS保护的类型可至少部分地基于…安全性指示中所指示的AS安全性保护类型。在一些示例中，由AS安全性指示所指示的AS协议层可至少部分地基于UE的AS安全性能力。[0151]AS安全性配置管理器1545可用于至少部分地基于AS安全性指示和所指示的AS协议层来为数据分组配置AS安全性保护。[0152]图16示出了根据本公开的各个方面的支持可配置AS安全性的UE无线通信管理器1520-b的框图1600WE无线通信管理器1520_b可以是参考图1或15描述的UE无线通信管理器1520的各方面的示例。[0153]UE无线通信管理器1520-b的各组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的ASIC来实现。替换地，这些功能可以由一个或多个集成电路上的一个或多个其他处理单元或核来执行。在一些其他示例中，可使用可按本领域所知的任何方式来编程的其他类型的集成电路例如，结构化平台ASIC、FPGA、S〇C和或其他类型的半定制1C。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。[0154]在一些示例中，UE无线通信管理器1520-b可以用于管理UE或装置诸如参照图1、2、10、11、12々、128、13或14描述的1^115之一，或者参照图15描述的装置1515之一）的无线通信的一个或多个方面。在一些示例中，UE无线通信管理器1520-b的一部分可被纳入到接收机或发射机例如，参照图15所描述的接收机1510或发射机1530中或与其共享。在一些示例中，UE无线通信管理器l52〇-b可包括网络连接管理器1535-a、AS安全性信息管理器1540-a、密钥管理器1605、切换计数器管理器1610、或AS安全性配置管理器1545-a。[0155]网络连接管理器I535-a可用于例如，与发射机和或接收机协作地建立与网络节点诸如参考图1-14描述的网络节点135之一）的连接。在一些示例中，可通过网络节点的网络接入设备例如，参考图1-9或11-14描述的网络接入设备例如，RH105之一来建立与网络节点的连接。在一些示例中，建立与网络节点的连接可包括执行随机接入规程，并且网络连接管理器1535-a可在执行随机接入规程的同时向网络节点传送连接请求。在其他示例中，可在包括UE无线通信管理器IMO-b的UE从第一网络接入设备到第二网络接入设备的切换期间建立与网络节点的连接。在一些示例中，作为建立连接的一部分，网络连接管理器l535_a可向网络节点传送UE的AS安全性能力的指示。在一些示例中，可与连接请求一起将AS安全性能力的指示传送给网络节点。在一些示例中，AS安全性能力的指示可指示以下至少一者:PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。在一些示例中，作为建立连接的一部分，网络连接管理器1535-a可向网络节点传送UE在网络节点内的切换计数例如，UE从一个网络接入设备到另一网络接入设备的切换计数。[0156]作为建立与网络节点的连接的一部分，AS安全性信息管理器1540-a可用于例如，与接收机协作地从网络节点接收指示用于保护数据分组的AS协议层的AS安全性指示。在一些示例中，AS安全性指示可指示以下至少一者:PDCP层安全性、或RLC层安全性、或MAC层安全性、或其组合。AS安全性指示还可指示AS安全性保护的类型，其中AS安全性保护的类型可包括对数据分组进行加密、对数据分组进行完整性保护、或其组合。AS安全性指示还可指示对数据分组没有AS安全性保护。在一些示例中，由AS安全性指示所指示的AS协议层可至少部分地基于UE的AS安全性能力。[0157]在一个示例中，作为建立连接的一部分，密钥管理器16〇5可用于至少部分地基于关联于与UE的服务网络接入设备相关联的网络接入设备控制器的密钥来推导因UE而异的AS密钥。在一些示例中，因UE而异的AS密钥可进一步基于UE的服务网络接入设备的标识符和切换计数。在建立与网络节点的连接之后，可使用切换计数器管理器161〇来增大切换计数或更新为下一个值）。[0158]在另一示例中，作为建立连接的一部分，密钥管理器1605可用于例如，与接收机协作地从网络节点接收因UE而异的AS密钥。因UE而异的密钥可至少部分地基于与UE的服务网络接入设备相关联的密钥、以及UE的标识符。在一些示例中，可与AS安全性指示一起接收因UE而异的AS密钥。密钥管理器16〇5还可用于与UE的服务网络接入设备交换一次性数，并且，少部分地基于因UE而异的AS密钥和所交换的一次性数来推导AS安全性保护密钥。在一些示例中，密钥管理器16〇5可响应于UE无线通信管理器1520-b执行随机接入规程例如，初始附连至网络节点）而不是在UE的网络节点内切换期间接收因UE而异的AS密钥。在UE的网络节点内切换的情形中，可从先前从网络节点接收的因UE而异的AS密钥来推导AS保护密钥。[0159]AS安全性配置管理器1545-a可用于至少部分地基于AS安全性指示、所指示的AS协议层、和推导出的AS密钥例如，由密钥管理器16〇5推导出的因UE而异的AS密钥或由密钥管理器1605推导出的AS安全性保护密钥来为数据分组配置AS安全性保护。在一些示例中，为数据分组配置AS安全性保护可包括配置数据分组的加密、或配置数据分组的完整性保护、或其组合。配置AS安全性保护还可包括不为数据分组配置AS安全性保护。在一些示例中，为数据分组配置的AS保护的类型可至少部分地基于AS安全性指示中所指示的AS安全性保护类型。在一些示例中，AS安全性配置管理器1545-a可用于使上行链路数据分组计数器和下行链路数据分组计数器与服务网络接入设备同步。根据AS安全性指示，可在fDCP层、或RLC层、或MAC层维持上行链路数据分组计数器和下行链路数据分组计数器。[0160]图17示出了根据本公开的各个方面的支持可配置AS安全性的装置1705的框图1700。装置1705可以是参考图1-14描述的一个或多个网络节点135的各方面包括例如参考图1-9或11-14描述的一个或多个网络接入设备1〇5的各方面的示例。装置17〇5也可以是或包括处理器。装置17〇5可包括接收机1710、传送接收通信管理器1720-a、以及发射机1730。这些组件中的每一者可与彼此处于通信。[0161]装置1705的组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的ASIC来实现。替换地，这些功能可以由一个或多个集成电路上的一个或多个其他处理单元或核来执行。在一些其他示例中，可使用可按本领域所知的任何方式来编程的其他类型的集成电路例如，结构化平台ASIC、FPGA、SoC和或其他类型的半定制1C。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。[0162]在一些示例中，接收机1710可包括至少一个RF接收机，诸如可操作用于在一个或多个射频谱带上接收传输的至少一个RF接收机。在一些示例中，接收机1710可包括接收天线阵列。在一些示例中，该一个或多个射频谱带可以用于LTELTE-A或5G通信，如本文所描述的。接收机mo可被用于在无线通信系统的一条或多条通信链路或信道）（诸如参照图i描述的无线通信系统1〇〇的一条或多条通信链路l22或信道）上接收各种类型的数据或控制信号例如，传输）。在一些示例中，接收机1710可以另外地或替换地包括一个或多个有线接收机。[0163]在一些示例中，发射机173〇可包括至少一个RF发射机，诸如可操作用于在一个或多个射频谱带上传送的至少一个RF发射机。在一些示例中，发射机1730可包括发射天线阵列。在一些示例中，该一个或多个射频谱带可以用于LTELTE-A或5G通信，如本文所描述的。发射机1"730可被用于在无线通信系统的一条或多条通信链路或信道）（诸如参照图丨描述的无线通信系统100的一条或多条通信链路122或信道）上传送各种类型的数据或控制信号例如，传输）。在一些示例中，发射机1730可以另外地或替换地包括一个或多个有线发射机。[0164]在一些示例中，传送接收通信管理器1720-a可被用来管理用于装置1705的无线通信的一个或多个方面。在一些示例中，传送接收通信管理器1720-a的一部分可被纳入到接收机1了10或发射机173〇中或与其共享。在一些示例中，传送接收通信管理器172〇-£1可以是参照图1所描述的传送接收通信管理器1720的各方面的示例。在一些示例中，传送接收通信管理器172〇-a可包括UE连接管理器n35、AS安全性信息管理器1740、或AS安全性配置管理器1745。[0165]UE连接管理器1735可用于（例如，与接收机1710和或发射机1730协作地）建立与UE的连接。在一些示例中，可响应于从UE接收到连接请求来建立与UE的连接。在一些示例士，可在UE正与包括装置17〇5的网络接入设备执行随机接入规程时接收连接请求。在其他示例中，可在UE切换到网络接入设备期间建立与UE的连接。在一些示例中，作为建立与UE的连接的一部分，UE连接管理器1735可从UE接收UE的AS安全性能力的指示。在一些示例中，可与连接请求一起从UE接收AS安全性能力的指示。在一些示例中，AS安全性能力的指示可指示以下至少一者:PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。[0166]当UE连接管理器1735已经从UE接收到连接请求时，UE连接管理器1735可例如，与发射机173〇协作地将连接请求的至少一部分例如，UE的身份、UE的AS安全性能力的指示、和或UE在网络接入设备所属的网络节点内的切换计数转发给网络接入设备控制器。在一些示例中，网络接入设备控制器可以是参考图1-9或11-14描述的网络接入设备控制器125之一。[0167]作为建立与UE的连接的一部分，AS安全性信息管理器1740可用于例如，与接收机1H0协作地从网络接入设备控制器接收指示用于保护数据分组的AS协议层的AS安全性指示。在一些示例中，AS安全性指示可指示以下至少一者:PDCP层安全性、或RLC层安全性、或MAC层安全性、或其组合。在一些示例中，由AS安全性指示所指示的AS协议层可至少部分地基于UE的AS安全性能力。在一些示例中，可与来自网络接入设备控制器的连接响应例如，对接收转发给网络接入设备控制器的连接请求的至少一部分的响应一起接收由AS安全性信息管理器1740接收的AS安全性指示。在其他示例中，可在UE切换到网络接入设备期间从网络接入设备控制器接收AS安全性指示。[0168]AS安全性配置管理器1了45可用于至少部分地基于AS安全性指示和所指示的AS协议层来为传送给UE或接收自UE的数据分组配置AS安全性保护。在一些示例中，为数据分组配置AS安全性保护可包括配置数据分组的加密、配置数据分组的完整性保护、或其组合。配置AS安全性保护还可包括不为数据分组配置AS安全性保护。在一些示例中，为数据分组配置的AS保护的类型可至少部分地基于AS安全性指示中所指示的AS安全性保护类型。在一些示例中，为数据分组配置AS安全性保护可包括向UE转发由AS安全性信息管理器1740接收的AS安全性指示，或者转发由AS安全性信息管理器1740接收的连接响应的至少一部分例如，至少AS安全性指示）。[0169]图18示出了根据本公开的各个方面的支持可配置AS安全性的传送接收通信管理器1720-b的框图1800。传送接收通信管理器1720-b可以是参考图1或17描述的传送接收通信管理器1720的各方面的示例。[0170]传送接收通信管理器1720-b的各组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的ASIC来实现。替换地，这些功能可以由一个或多个集成电路上的一个或多个其他处理单元或核来执行。在一些其他示例中，可使用可按本领域所知的任何方式来编程的其他类型的集成电路例如，结构化平台ASIC、FPGA、S〇C和或其他类型的半定制1C。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。[0171]在一些示例中，传送接收通信管理器1720-b可用于管理如参考图1-12描述的网络节点135的无线通信的一个或多个方面，包括例如参照图1-9或11-14描述的一个或多个网络接入设备105、或参考图17描述的装置1705之一的各方面。在一些示例中，传送接收通信管理器1720-b的一部分可被纳入到接收机或发射机例如，参照图17所描述的接收机1710或发射机1730中或与其共享。在一些示例中，传送接收通信管理器1720-b可包括UE连接管理器1735_a、AS安全性信息管理器1740-a、密钥管理器1805、或AS安全性配置管理器1745-a〇[0172]UE连接管理器1735-a可用于（例如，与发射机和或接收机协作地建立与UE的连接。在一些示例中，可响应于从UE接收到连接请求来建立与UE的连接。在一些示例中，可在UE正与包括传送接收通信管理器1720-b的网络接入设备执行随机接入规程时接收连接请求。在其他示例中，可在UE切换到网络接入设备期间建立与UE的连接。在一些示例中，作为建立与UE的连接的一部分，UE连接管理器1735-a可从UE接收UE的AS安全性能力的指示。在一些示例中，可与连接请求一起从UE接收AS安全性能力的指示。在一些示例中，AS安全性能力的指示可指示以下至少一者:PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。[0173]当UE连接管理器1735_a已经从UE接收到连接请求时，UE连接管理器1735-a可（例如，与发射机协作地将连接请求的至少一部分例如，UE的身份、UE的AS安全性能力的指示、和或UE在网络接入设备所属的网络节点内的切换计数转发给网络接入设备控制器。在一些示例中，网络接入设备控制器可以是参考图1-9或11-14描述的网络接入设备控制器125之一。[0174]作为建立与UE的连接的一部分，AS安全性信息管理器1740-a可用于从网络接入设备控制器接收指示用于保护数据分组的AS协议层的AS安全性指示。在一些示例中，AS安全性指示可^示以下至少一者:PDCP层安全性、或RLC层安全性、或MAC层安全性、或其组合。AS^全性指示还可指示AS安全性保护的类型，其中AS安全性保护的类型可包括对数据分组进行加密、对数据分组进行完整性保护、或其组合。AS安全性指示还可指示对数据分组没有…安全性保护。在一些示例中，由AS安全性指示所指示的AS协议层可至少部分地基于UE的AS安全性能力。在一些示例中，可与来自网络接入设备控制器的连接响应例如，对接收转发给网络接入设备控制器的连接请求的至少一部分的响应一起接收由As安全性信息管理器m〇-a接收的AS安全性指示。在其他示例中，可在现切换到网络接入设备期间从网络接入设备控制器接收AS安全性指示。[0175]在一个示例中，作为建立与UE的连接的一部分，密钥管理器1805可用于例如，与接收机协作地从网络接入设备控制器接收用于UE的因UE而异的AS密钥。在一些示例中，因UE而异的AS密钥可至少部分地基于与网络接入设备控制器相关联的密钥、网络接入设备的标识符、和切换计数。[0176]在另一示例中，密钥管理器18〇5可用于从网络接入设备控制器接收因网络接入设备而异的AS密钥。可作为建立与UE的连接的一部分、或者在建立与UE的连接之前的时间接收因网络接入设备而异的AS密钥。因网络接入设备而异的密钥可至少部分地基于与网络接入设备控制器相关联的密钥。密钥管理器18〇5还可用于与UE交换一次性数，并且至少部分地基于因UE而异的AS密钥和所交换的一次性数来推导AS安全性保护密钥。[0177]AS安全性配置管理器l745_a可用于至少部分地基于AS安全性指示、所指示的AS协议层、和AS密钥例如，密钥管理器1805接收的因UE而异的AS密钥或密钥管理器1805推导出的AS安全性保护密钥来为传送给UE或接收自UE的数据分组配置AS安全性保护^在一些示例中，为数据分组配置AS安全性保护可包括配置数据分组的加密、配置数据分组的完整性保护、或其组合。配置AS安全性保护还可包括不为数据分组配置AS安全性保护。在一些示例中，为数据分组配置的AS保护的类型可至少部分地基于AS安全性指示中所指示的AS安全性保护类型。[0178]在一些示例中，为数据分组配置AS安全性保护可包括向UE转发由AS安全性信息管理器l740-a接收的AS安全性指示，或者转发由AS安全性信息管理器1740-a接收的连接响应的至少一部分例如，至少AS安全性指示）。在一些示例中，AS安全性配置管理器1745-a可用于使上行链路数据分组计数器和下行链路数据分组计数器与UE同步。根据从网络接入设备控制器接收的AS安全性指示，可在PDCP层、或RLC层、或MAC层维持上行链路数据分组计数器和下行链路数据分组计数器。[0179]图I9示出了根据本公开的各个方面的支持可配置AS安全性的装置1925的框图1900。装置I925可以是参考图1-14描述的一个或多个网络节点I%的各方面包括例如参考图1_9或11-14描述的一个或多个网络接入设备控制器125的各方面的示例。装置1925也可以是或包括处理器。装置1925可包括接收机1910、节点控制器通信管理器1920-a和发射机1930。这些组件中的每一者可与彼此处于通信。[0180]装置1925的组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的ASIC来实现。替换地，这些功能可以由一个或多个集成电路上的一个或多个其他处理单元或核来执行。在一些其他示例中，可使用可按本领域所知的任何方式来编程的其他类型的集成电路例如，结构化平台ASIC、FPGA、SoC和或其他类型的半定制1C。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。[0181]在一些示例中，接收机1910可包括至少一个RF接收机，诸如可操作用于在一个或多个射频谱带上接收传输的至少一个RF接收机。在一些示例中，接收机1910可包括接收天线阵列。在一些示例中，该一个或多个射频谱带可以用于LTELTE-A或5G通信，如本文所描述的。接收机191〇可被用于在无线通信系统的一条或多条通信链路或信道）（诸如参照图1描述的无线通信系统100的一条或多条通信链路或信道）上接收各种类型的数据或控制信号例如，传输。在一些不例中，接收机1910可以另外地或替换地包括一个或多个有线接叹机。[0182]在一些示例中，发射机193〇可包括至少一个RF发射机，诸如可操作用于在一个或多个射频谱带上传送的至少一个RF发射机。在一些示例中，发射机1930可包括发射天线阵列。在一些示例中，该一个或多个射频谱带可以用于LTELTE_A或SG通信，如本文所描述的。发射机193|可被用于在无线通信系统的一条或多条通信链路或信道）（诸如参照图丨描述的无线通信系统100的一条或多条通信链路或信道）上传送各种类型的数据或控制信号例如，传输）。在一些示例中，发射机1930可以另外地或替换地包括一个或多个有线发射机。[0183]在一些示例中，节点控制器通信管理器i^O-a可被用来管理用于装置1925的无线通信的一个或多个方面。在一些示例中，节点控制器通信管理器1920-a的一部分可被纳入到接收机丨91〇或发射机1930中或与其共享。在一些示例中，节点控制器通信管理器192〇_a可以是参照图1所描述的节点控制器通信管理器1920的各方面的示例。在一些示例中，节点控制器通信管理器192〇-a可包括AS安全性模式管理器19：35、AS密钥管理器1940、或UE通信管理器1945。[^184]AS安全性模式管理器W35可用于确定用于UE的AS安全性模式。AS安全性模式可指示用于保护传送给UE或接收自UE的数据分组的AS协议层。在一些示例中，可至少部分地基于从UE接收的连接请求和或所标识的UE的AS安全性能力来确定AS安全性模式。在一些示例中，用于UE的AS安全性模式可另外地或替代地至少部分地基于以下各项来确定:至少一个计算资源上的负载、或至少一个通信链路的使用水平、或对攻击的标识、或至少一个通信链路的吞吐量、或其组合。在一些示例中，AS安全性模式可包括以下至少一者:PDCP层安全性模式、或RLC层安全性模式、或MAC层安全性模式、或其组合。[0185]AS密钥管理器1940可用于至少部分地基于AS安全性模式来为UE推导AS密钥。UE通信管理器1945可用于例如，与发射机193〇协作_向UE传送标识AS安全性模式的AS安全性指示。[0186]图2〇示出了根据本公开的各个方面的支持可配置AS安全性的节点控制器通信管理器1920-b的框图2000。节点控制器通信管理器1920-b可以是参考图1或19描述的节点控制器通信管理器1920的各方面的示例。[0187]节点控制器通信管理器ig20-b的各组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的ASIC来实现。替换地，这些功能可以由一个或多个集成电路上的一个或多个其他处理单元或核来执行。在一些其他示例中，可使用可按本领域所知的任何方式来编程的其他类型的集成电路例如，结构化平台ASIC、FPGA、SoC和或其他类型的半定制1C。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。[0188]在一些示例中，节点控制器通信管理器1920-b可用于管理如参考图1-14描述的网络节点135的无线通信的一个或多个方面，包括例如参照图1-9或11-14描述的一个或多个网络接入设备控制器125、或参考图19描述的装置1925之一的各方面。在一些示例中，节点控制器通信管理器1920-b的一部分可被纳入到接收机或发射机例如，参照图19所描述的接收机1910或发射机1930中或与其共享。在一些示例中，节点控制器通信管理器1920-b可包括UE连接管理器2〇05、AS安全性能力标识器2010、AS安全性模式管理器1935_a、AS密钥管理器1940_a、或UE通怡官理器1945-a。[0刪UE连接管理器2005可用于例如，与接收机协作地接收来自耶的连接请求例如，作为UE执行随机接入规程的结果），或者发起UE从该UE的第一服务网络接入设备到该UE的第二服务网络接入设备的切换。在一些示例中，可通过网络接入设备接收来自UE的连接请求。[0190]AS安全性能力标识器2010可用于标识UE的AS安全性能力。在一些示例中，可与连接请求一起从UE接收AS安全性能力。在一些示例中，AS安全性能力可包括以下至少一者：PDCP-安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。AS安全性指示还可指示AS安全性保护的类型，其中AS安全性保护的类型可包括对数据分组进行加密、对数据分组进行完整性保护、或其组合。AS安全性指示还可指示对数据分组没有AS安全性保护。[0191]AS安全性模式管理器1935-a可用于确定用于UE的AS安全性模式。AS安全性模式可指示用于保护传送给UE或接收自UE的数据分组的AS协议层。在一些示例中，可至少部分地基于从UE接收的连接请求和或所标识的UE的AS安全性能力来确定AS安全性模式。在一些示例中，用于UE的AS安全性模式可另外地或替代地至少部分地基于以下各项来确定:至少一个计算资源上的负载、或至少一个通信链路的使用水平、或对攻击的标识、或至少一个通信链路的吞吐量、或其组合。在一些示例中，AS安全性模式可包括以下至少一者:PDCP层安全性模式、或RLC层安全性模式、或MAC层安全性模式、或其组合。[0192]在一个示例中，AS密钥管理器1940-a可用于至少部分地基于AS安全性模式来为UE推导因UE而异的AS密钥，并且例如，与发射机协作地将因UE而异的AS密钥传送给UE的服务网络接入设备。[0193]在另一示例中，AS密钥管理器1940-a可用于至少部分地基于AS安全性模式来推导因网络接入设备而异的AS密钥。AS密钥管理器1940-a还可用于至少部分地基于因网络接入设备而异的AS密钥来为UE推导因UE而异的AS密钥。AS密钥管理器1940-a还可用于例如，与发射机协作地将因网络接入设备而异的AS密钥传送给UE的服务网络接入设备，并且将因UE而异的AS密钥传送给UE。由于因网络接入设备而异的AS密钥不是因UE而异的，因此AS密钥管理器1940-a可以不针对UE的每次连接建立来推导或传送因网络接入设备而异的AS密钥。在一些示例中，AS密钥管理器1940-a可将因网络接入设备而异的AS密钥传送给网络接入设备群中的每个网络接入设备。在一些示例中，UE连接管理器2005可发起UE从该UE的第一服务网络接入设备到该UE的第二服务网络接入设备的切换，并且AS密钥管理器1940-a可将因网络接入设备而异的AS密钥传送给该UE的第二服务网络接入设备。在一些示例中，AS密钥管理器1940-a可至少部分地基于相关索引对来推导用于UE的因UE而异的AS密钥和因网络接入设备而异的AS密钥，并且至少部分地基于相关索引对的更新而向第一服务网络接入设备和UE发信号通知密钥翻滚。[0194]UE通信管理器1945-a可用于例如，与发射机协作地）向UE传送标识AS安全性模式的AS安全性指示。在一些示例中，AS安全性指示可与用于UE的AS密钥一起传送。[0195]图21示出了根据本公开的各个方面的支持可配置AS安全性的UE115-f的框图2100。!®115-f可被包括在个人计算机例如，膝上型计算机、上网本计算机、平板计算机等）、蜂窝电话、PDA、DVR、因特网电器、游戏控制台、电子阅读器、车辆、IoT设备、家用电器、照明或报警控制系统等中或是其一部分。UE115-f在一些示例中可具有内部电源未示出），诸如电池，以促成移动操作。在一些示例中，UE115-f可以是参照图1、2、11、12A、12B、13或14描述的一个或多个UE115的各方面或参照图15描述的装置1515的各方面的示例。UE115-f可被配置成实现或处理参照图1-16描述的UE或装置技术和功能中的至少一些。[0196]UEll5_f可包括处理器2110、存储器2120、至少一个收发机（由收发机2130表示）、至少一个天线（由天线2140表示）、或UE无线通信管理器1520-c。这些组件中的每一者可在一条或多条总线2135上直接或间接地彼此通信。[0197]存储器212〇可包括随机存取存储器RAM或只读存储器ROM。存储器2120可存储计算机可读、计算机可执行代码2125,该代码2125包含被配置成在被执行时使处理器2110执行本文所描述的与无线通信和或配置对数据分组的AS安全性保护包括例如参照图1-16描述的UE技术和功能中的至少一些有关的各种功能的指令。替换地，计算机可执行代码21¾可以是不能由处理器2110直接执行的，而是被配置成例如，在被编译和执行时使得UE115-f执行本文描述的各种功能。[0198]处理器2110可包括智能硬件设备例如，中央处理单元CPU、微控制器、ASIC等）。处理器2110可处理通过收发机2130接收到的信息或者处理要发送给收发机2130以供通过天线2140发射的信息。处理器2110可单独或与UE无线通信管理器1520-c结合地处置在一个或多个射频谱带上通信或管理这些通信的一个或多个方面。[0199]收发机2130可包括调制解调器，该调制解调器被配置成调制分组并将经调制分组提供给天线2140以供发射，以及解调从天线2140接收到的分组。收发机2130在一些示例中可被实现为一个或多个发射机以及一个或多个分开的接收机。收发机2130可支持一个或多个射频谱带中的通信。收发机213〇可被配置成经由天线2140与一个或多个网络节点135包括参考图1-9和11-14描述的网络接入设备105例如，RH、或者参照图17描述的一个或多个装置17〇5进行双向通信。虽然UE115-f可包括单个天线，但可存在其中UE115-f可包括多个天线2140的示例。[0200]UE无线通信管理器1S20-C可被配置成执行或控制参照图1-16描述的与一个或多个射频谱带上的无线通信和或配置对数据分组的AS安全性保护有关的UE或装置技术或功能中的一些或全部。UE无线通信管理器l520-c或其各部分可包括处理器，或者UE无线通信管理器1520-c的一些或全部功能可由处理器2110执行或与处理器211〇相结合地执行。在一些示例中，UE无线通信管理器1520-c可以是参考图1、15或16描述的UE无线通信管理器1520的示例。[0201]图22示出了根据本公开的各个方面的支持可配置AS安全性的网络接入设备105-s例如，RH的框图2200。在一些示例中，网络接入设备丨05—s可以是参照图丨_9或ii_丨4描述的=个或多个网络接入设备例如，RH105的各方面、或参照图17描述的装置1705的各方面的不例。网络接入设备105-s可被配置成实现或处理参照图1-14、17或18描述的网络接入设备、RH或装置技术和功能中的至少一些。[0202]网络接入设备l〇5-s可包括处理器2210、存储器2220、至少一个收发机（由收发机223〇表示）、至少一个天线（由天线2240表示）、或传送接收通信管理器1720-〇。这些组件中的每一者可在一条或多条总线2U5上直接或间接地彼此通信。[0203]存储器222〇可包括RAM或ROM。存储器2220可存储计算机可读、计算机可执行代码2225,该代码2225包含被配置成在被执行时使处理器221〇执行本文所描述的与无线通信和或配置对传送给UE或接收自UE的数据分组的AS安全性保护包括例如参照图1-14、17或18描述的网络接入设备、RH、或装置技术和功能中的至少一些有关的各种功能的指令。替换地，计算机可执行代码2225可以不是能由处理器2210直接执行的，而是被配置成（例如，在被编译和执行时使得网络接入设备105-s执行本文描述的各种功能。[0204]处理器2210可包括智能硬件设备例如，CPU、微控制器、ASIC等）。处理器221呵处理通过收发机223〇接收到的信息或者处理要发送给收发机223〇以供通过天线2240发射的信息。处理器2210可单独或与传送接收通信管理器172〇-c结合地处置在一个或多个射频谱带上通信或管理这些通信）的各个方面。[0205]收发机2230可包括调制解调器，该调制解调器被配置成调制分组并将经调制分组提供给天线2240以供发射，以及解调从天线2240接收到的分组。收发机2230在一些示例中可被实现为一个或多个发射机以及一个或多个分开的接收机。收发机2230可支持一个或多个射频谱带中的通信。收发机2230可被配置成经由天线2240与参照图1、2、11、12A、12B、13、14或21描述的一个或多个UE115或参照图15描述的一个或多个装置1515进行双向通信。虽然网络接入设备105-s可包括单个天线，但可存在其中网络接入设备i〇5-s可包括多个天线2240的示例。[0206]传送接收通信管理器172〇-c可被配置成执行或控制参照图1-14、17或18描述的与一个或多个射频谱带上的无线通信和或配置对传送给UE或接收自UE的数据分组的AS安全性保护有关的网络接入设备、RH或装置技术或功能中的一些或全部。传送接收通信管理器l72〇-c还可用于管理与关联于网络接入设备l〇5-s的网络接入设备控制器例如，ANCI25的通信。例如，取决于实现，与网络接入设备控制器的通信可通过有线或无线通信链路。传送接收通信管理器1720-c或其各部分可包括处理器，或者传送接收通信管理器1720—c的一些或全部功能可由处理器2210执行或与处理器2210相结合地执行。在一些示例中，传送接收通信管理器l720-c可以是参考图1、17或18描述的传送接收通信管理器1720的示例。[0207]图23示出了根据本公开的各个方面的支持可配置AS安全性的网络接入设备控制器125_m例如，ANC的框图2300。在一些示例中，网络接入设备控制器125-m可以是参照图1-9或11-14描述的一个或多个网络接入设备控制器125的各方面、或参照图19描述的装置1925的各方面的示例。网络接入设备控制器125-m可被配置成实现或处理参照图1-14、19或20描述的网络接入设备控制器、ANC或装置技术和功能中的至少一些。[0208]网络接入设备控制器125-m可包括处理器2310、存储器2320或节点控制器通信管理器1920-c。这些组件中的每一者可在一条或多条总线2335上直接或间接地彼此通信。[0209]存储器2320可包括RAM或ROM。存储器2320可存储计算机可读、计算机可执行代码2325,该代码2325包含被配置成在被执行时使处理器2310执行本文所描述的与无线通信和或AS安全性管理包括例如参照图卜14、19或20描述的网络接入设备控制器、ANC、或装置技术和功能中的至少一些有关的各种功能的指令。替换地，计算机可执行代码2325可以不是能由处理器2310直接执行的，而是被配置成例如，在被编译和执行时）使得网络接入设备控制器125_m执行本文描述的各种功能。[0210]处理器2310可包括智能硬件设备，例如CPU、微控制器、ASIC等。处理器2310可以处理通过节点控制器通信管理器l92〇-c从核心网130-b或从一个或多个网络接入设备105例如，从第一网络接入设备例如，RH105-t或第二网络接入设备例如，RH105-U或其他网络接入设备控制器U5接收的信息。处理器2幻0还可以处理要发送给节点控制器通信管理器1920-c以便传输到核心网130-b或传输到一个或多个网络接入设备1〇5例如，网络接入设备105-t或第二网络接入设备i〇5-u或其他网络接入设备控制器的信息。处理器2310可单独或与节点控制器通信管理器l92〇-c结合地处置在一个或多个射频谱带上通信或管理这些通信）的各个方面。[0211]节点控制器通信管理器1920-c可被配置成执行或控制参照图1-14、19或20描述的与一个或多个射频谱带上的无线通信和或AS安全性管理有关的网络接入设备控制器或装置技术或功能中的一些或全部。节点控制器通信管理器1920-c还可用于管理与网络（例如核心网，诸如核心网l3〇-b、一个或多个网络接入设备例如，第一网络接入设备i〇5-t或第二网络接入设备105-u、或一个或多个其他网络接入设备控制器的通信。例如，取决于实现，与网络、网络接入设备、或其他网络接入控制器的通信可通过有线或无线通信链路。节点控制器通信管理器1920-c或其各部分可包括处理器，或者节点控制器通信管理器1920-c的一些或全部功能可由处理器2310执行或与处理器2310相结合地执行。在一些示例中，节点控制器通信管理器1920-c可以是参考图1、19或20描述的节点控制器通信管理器1920的示例。[0212]图24是解说根据本公开的各个方面的可由支持可配置AS安全性的UE执行的方法2400的示例的流程图。出于清楚起见，下面参考参照图1、2、1〇、11、12人、128、13、14或21描述的一个或多个UE115的各方面、或参照图15描述的装置1515的各方面、或参照图1、15、16或21描述的UE无线通信管理器IMO的各方面来描述方法2400。在一些示例中，UE可以执行用于控制UE的功能元件以执行以下描述的功能的一个或多个代码集。附加地或替换地，UE可以使用专用硬件来执行以下描述的一个或多个功能。[0213]在框2405,方法2400可包括建立与网络节点的连接。在一些示例中，网络节点可包括参考图1-14描述的网络节点135之一。在一些示例中，可通过网络节点的网络接入设备例如，参考图1-9、11-14、22或23描述的网络接入设备例如，RH105之一，或包括参考图17描述的装置1705的网络接入设备，或参考图1、17、18或22描述的传送接收通信管理器1720之一建立与网络节点的连接。框2405处的操作可使用参考图1、15、16或21描述的UE无线通信管理器丨52〇、或参考图15或16描述的网络连接管理器1535来执行，它们可与发射机或接收机诸如参考图15描述的接收机KIO或发射机1530、或参照图21描述的收发机2130协作地执行操作。[0214]在方法2400的一些示例中，建立与网络节点的连接可包括执行随机接入规程，并且框2405处的操作可包括在执行随机接入规程的同时向网络节点传送连接请求。在方法2400的其他示例中，可在UE从第一网络接入设备到第二网络接入设备的切换期间建立与网络节点的连接。[0215]在一些示例中，框24〇5处的操作可包括:作为建立连接的一部分，向网络节点传送UE的AS安全性能力的指示。在一些示例中，可与连接请求一起将AS安全性能力的指示传送给网络节点。在一些示例中，AS安全性能力的指示可指示以下至少一者:PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。[0216]在框2410，方法2400可包括:作为建立与网络节点的连接的一部分，从网络节点接收指示用于保护数据分组的AS协议层的AS安全性指示。在一些示例中，AS安全性指示可指示以下至少一者：PDCP层安全性、或RLC层安全性、或MAC层安全性、或其组合。在一些示例中，由AS安全性指示所指示的AS协议层可至少部分地基于UE的AS安全性能力。框2410处的操作可使用参考图1、15、16或21描述的UE无线通信管理器1520、或参考图15或16描述的AS安全性信息管理器1540来执行，它们可与接收机诸如参考图15描述的接收机1510、或参照图21描述的收发机2130协作地执行操作。[0217]在框2415,方法2400可包括至少部分地基于AS安全性指示和所指示的AS协议层来为数据分组配置AS安全性保护。在一些示例中，为数据分组配置AS安全性保护可包括配置数据分组的加密、配置数据分组的完整性保护、或其组合。配置AS安全性保护还可包括不为数据分组配置AS安全性保护。在一些示例中，为数据分组配置的AS保护的类型可至少部分地基于AS安全性指示中所指示的AS安全性保护类型。框2415处的操作可使用参考图1、15、16或21描述的UE无线通信管理器1520、或参考图15或16描述的AS安全性配置管理器1545来执行。[0218]由此，方法2400可提供无线通信。应当注意，方法2400仅仅是一个实现，并且方法2400的操作可被重新安排或以其他方式修改以使得其它实现是可能的。例如，某些所描述的操作可以是可任选的（例如，由具有虚线的框所包围的那些操作、被描述为可任选的那些操作等等），其中可任选操作可在满足某些准则时被执行、基于配置来执行、间歇地省略、完全省略等。[0219]图25是解说根据本公开的各个方面的可由支持可配置AS安全性的UE执行的方法2500的示例的流程图。出于清楚起见，下面参考参照图1、2、13、14或21描述的一个或多个UE115的各方面、或参照图15描述的装置1515的各方面、或参照图1、15、16或21描述的UE无线通信管理器152〇的各方面来描述方法2500。在一些示例中，UE可以执行用于控制UE的功能元件以执行以下描述的功能的一个或多个代码集。附加地或替换地，UE可以使用专用硬件来执行以下描述的一个或多个功能。[0220]在框25〇5,方法2500可包括建立与网络节点的连接。在一些示例中，网络节点可包括参考图1-14描述的网络节点I35之一。在一些示例中，可通过网络节点的网络接入设备例如，参考图1-9、11_14、22或23描述的网络接入设备例如，RH105之一、或包括装置1705或传送接收通信管理器1720的网络接入设备来建立与网络节点的连接。框2505处的操作可使用参考图1、15、16或21描述的UE无线通信管理器1520、或参考图15或16描述的网络连接管理器1535来执行，它们可与发射机或接收机诸如参考图15描述的接收机1510或发射机1530、或参照图21描述的收发机2130协作地执行操作。[0221]在方法2500的一些示例中，建立与网络节点的连接可包括执行随机接入规程，并且框2505处的操作可包括在执行随机接入规程的同时向网络节点传送连接请求。在方法2500的其他示例中，可在UE从第一网络接入设备到第二网络接入设备的切换期间建立与网络节点的连接。[0222]在一些示例中，框2505处的操作可包括:作为建立连接的一部分，向网络节点传送UE的AS安全性能力的指示。在一些示例中，可与连接请求一起将AS安全性能力的指示传送给网络节点。在一些示例中，AS安全性能力的指示可指示以下至少一者:PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。在一些示例中，框2505处的操作可包括:作为建立连接的一部分，向网络节点传送UE在网络节点内的切换计数例如，UE从一个网络接入设备到另一网络接入设备的切换计数。[0223]在框2510,方法2500可包括:作为建立与网络节点的连接的一部分，从网络节点接收指示用于保护数据分组的AS协议层的AS安全性指示。在一些示例中，AS安全性指示可指示以下至少一者:PDCP层安全性、或RLC层安全性、或MAC层安全性、或其组合。AS安全性指示还可指示AS安全性保护的类型，其中AS安全性保护的类型可包括对数据分组进行加密、对数据分组进行完整性保护、或其组合。AS安全性指示还可指示对数据分组没有AS安全性保护。在一些示例中，由AS安全性指示所指示的AS协议层可至少部分地基于UE的AS安全性能力。框2510处的操作可使用参考图1、15、16或21描述的UE无线通信管理器1520、或参考图15或16描述的AS安全性信息管理器1540来执行，它们可与接收机诸如参考图15描述的接收机1510、或参照图21描述的收发机2130协作地执行操作。[0224]继框2510之后，方法2500可包括执行框2515处的操作或者执行框2520、2525和2530处的操作，这取决于UE和网络节点的配置。[0225]在框2515，方法2500可包括:作为建立连接的一部分，至少部分地基于关联于与UE的服务网络接入设备相关联的网络接入设备控制器的密钥来推导因UE而异的AS密钥。在一些示例中，因UE而异的AS密钥可进一步基于UE的服务网络接入设备的标识符和切换计数。在建立与网络节点的连接之后，可增大切换计数或更新为下一个值）。框2515处的操作可使用参考图1、15、16或21描述的UE无线通信管理器1520、或参考图16描述的密钥管理器1605或切换计数器管理器1610来执行。[0226]在框2520，方法2500可包括:作为建立连接的一部分，从网络节点接收因UE而异的AS密钥。因UE而异的密钥可至少部分地基于与UE的服务网络接入设备相关联的密钥、以及UE的标识符。在一些示例中，可与AS安全性指示一起接收因UE而异的AS密钥。在框2525,方法2500可包括与UE的服务网络接入设备交换一次性数。在框2530,方法2500可包括至少部分地基于因UE而异的AS密钥和所交换的一次性数来推导AS安全性保护密钥。在一些示例中，可在框2520响应于UE执行随机接入规程（例如，初始附连至网络节点）而不是在UE的网络节点内切换期间接收因UE而异的AS密钥。在UE的网络节点内切换的情形中，可从先前从网络节点接收的因UE而异的AS密钥来在框2530推导AS保护密钥。框2520、2525或2530处的操作可使用参考图1、15、16或21描述的UE无线通信管理器1520、或参考图16描述的密钥管理器1605来执行，它们可与发射机或接收机诸如参考图15描述的接收机1510或发射机1530、或参照图21描述的收发机2130协作地执行操作。[0227]在框2535,方法2500可包括至少部分地基于AS安全性指示、所指示的AS协议层和推导出的AS密钥（例如，在框2515处推导出的因UE而异的AS密钥或在框2530处推导出的AS安全性保护密钥来为数据分组配置AS安全性保护。在一些示例中，为数据分组配置AS安全性保护可包括配置数据分组的加密、配置数据分组的完整性保护、或其组合。配置AS安全性保护还可包括不为数据分组配置AS安全性保护。在一些示例中，为数据分组配置的AS保护的类型可至少部分地基于AS安全性指示中所指示的AS安全性保护类型。在一些示例中，框2535处的操作可包括使上行链路数据分组计数器和下行链路数据分组计数器与服务网络接入设备同步。根据AS安全性指示，可在PDCP层、或RLC层、或MAC层维持上行链路数据分组计数器和下行链路数据分组计数器。框2535处的操作可使用参考图1、15、16或21描述的UE无线通信管理器1520、或参考图15或16描述的AS安全性配置管理器1545来执行。[0228]由此，方法2500可提供无线通信。应当注意，方法2500仅仅是一个实现，并且方法2500的操作可被重新安排或以其他方式修改以使得其它实现是可能的。例如，某些所描述的操作可以是可任选的（例如，由具有虚线的框所包围的那些操作、被描述为可任选的那些操作等等），其中可任选操作可在满足某些准则时被执行、基于配置来执行、间歇地省略、完全省略等。[0229]图26是解说根据本公开的各个方面的可由支持可配置AS安全性的网络接入设备执行的方法2600的示例的流程图。出于清楚起见，下面参考参照图1-9、11-14、22或23描述的一个或多个网络接入设备105的各方面、或参照图17描述的装置1705的各方面、或参照图1、17、18或22描述的传送接收通信管理器1720的各方面来描述方法2600。在一些示例中，网络接入设备可以执行一个或多个代码集以控制网络接入设备的功能元件执行以下描述的功能。附加地或替换地，网络接入设备可以使用专用硬件来执行以下描述的一个或多个功能。[0230]在框2605,方法2600可包括建立与UE的连接。框2605处的操作可使用参考图1、17、18或22描述的传送接收通信管理器1720、或参考图17或18描述的UE连接管理器1735来执行，它们可与发射机或接收机诸如参考图17描述的接收机1710或发射机1730、或参照图22描述的收发机2230协作地执行操作。[0231]在方法2600的一些示例中，可响应于从UE接收到连接请求来建立与UE的连接。在一些示例中，可在UE正与网络接入设备执行随机接入规程时接收连接请求。在方法2600的其他示例中，可在UE切换到网络接入设备期间建立与UE的连接。[0232]在一些示例中，框2605处的操作可包括:作为建立与UE的连接的一部分，从UE接收UE的AS安全性能力的指示。在一些示例中，可与连接请求一起从UE接收AS安全性能力的指示。在一些示例中，AS安全性能力的指示可指示以下至少一者:PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。[0233]在框2610,并且当网络接入设备己经从UE接收到连接请求时，方法2600可任选地包括将连接请求的至少一部分例如，UE的身份、UE的AS安全性能力的指示、和或UE在网络接入设备所属的网络节点内的切换计数转发给网络接入设备控制器。在一些示例中，网络接入设备控制器可以是参考图1-9、11-14或23描述的网络接入设备控制器例如，ANC125之一，或包括参考图19描述的装置1925的网络接入设备控制器，或参考图1、19、20或23描述的节点控制器通信管理器1920之一。框2610处的操作可使用参考图1、17、18或22描述的传送接收通信管理器1720、或参考图17或18描述的UE连接管理器1735来执行，它们可与发射机诸如参考图17描述的发射机1730、或参照图22描述的收发机2230协作地执行操作。[0234]在框2615，方法2600可包括:作为建立与UE的连接的一部分，从网络接入设备控制器接收指不用于保护数据分组的AS协议层的AS安全性指示。在一些示例中，AS安全性指示可指示以下至少一者:PDCP层安全性、或RLC层安全性、或MAC层安全性、或其组合。在一些示例中，由AS安全性指示所指示的AS协议层可至少部分地基于UE的AS安全性能力。框2615处的操作可使用参考图1、17、18或22描述的传送接收通信管理器1720、或参考图17或18描述的AS安全性信息管理器1740来执行，它们可与接收机诸如参考图17描述的接收机1710、或参照图22描述的收发机2230协作地执行操作。[0235]在方法26〇0的一些示例中，可在框2615与来自网络接入设备控制器的连接响应例如，对接收转发给网络接入设备控制器的连接请求的至少一部分的响应一起接收AS安全性指示。在方法2600的其他示例中，可在UE切换到网络接入设备期间从网络接入设备控制器接收AS安全性指示。[0236]在框2620,方法2600可包括至少部分地基于AS安全性指示和所指示的AS协议层来为传送给UE或接收自UE的数据分组配置AS安全性保护。在一些示例中，为数据分组配置AS安全性保护可包括配置数据分组的加密、配置数据分组的完整性保护、或其组合。配置AS安全性保护还可包括不为数据分组配置AS安全性保护。在一些示例中，为数据分组配置的AS保护的类型可至少部分地基于AS安全性指示中所指示的AS安全性保护类型。在一些示例中，为数据分组配置AS安全性保护可包括向UE转发在框2615接收的AS安全性指示，或者转发从网络接入设备控制器接收的连接响应的至少一部分例如，至少在框2615接收的AS安全性指示）。框2620处的操作可使用参考图1、17、18或22描述的传送接收通信管理器1720、或参考图17或18描述的AS安全性配置管理器1745来执行。[0237]由此，方法2600可提供无线通信。应当注意，方法2600仅仅是一个实现，并且方法2600的操作可被重新安排或以其他方式修改以使得其它实现是可能的。例如，某些所描述的操作可以是可任选的（例如，由具有虚线的框所包围的那些操作、被描述为可任选的那些操作等等），其中可任选操作可在满足某些准则时被执行、基于配置来执行、间歇地省略、完全省略等。[0238]图27是解说根据本公开的各个方面的可由支持可配置AS安全性的网络接入设备执行的方法2700的示例的流程图。出于清楚起见，下面参考参照图1-9、11-14、17、18或22描述的一个或多个网络接入设备105的各方面、或参照图17描述的装置1705的各方面、或参照图1、17、18或22描述的传送接收通信管理器1720的各方面来描述方法2700。在一些示例中，网络接入设备可以执行一个或多个代码集以控制网络接入设备的功能元件执行以下描述的功能。附加地或替换地，网络接入设备可以使用专用硬件来执行以下描述的一个或多个功能。[0239]在框27〇5,方法2700可包括建立与UE的连接。框2705处的操作可使用参考图1、17、1S或22描述的传送接收通信管理器1720、或参考图17或18描述的UE连接管理器1735来执行，它们可与发射机或接收机诸如参考图17描述的接收机1710或发射机1730、或参照图22描述的收发机2230协作地执行操作。[0240]在方法2700的一些示例中，可响应于从UE接收到连接请求来建立与UE的连接。在一些示例中，可在UE正与网络接入设备执行随机接入规程时接收连接请求。在方法2700的其他示例中，可在UE切换到网络接入设备期间建立与UE的连接。[0241]在一些示例中，框2705处的操作可包括:作为建立与UE的连接的一部分，从UE接收UE的AS安全性能力的指示。在一些示例中，可与连接请求一起从UE接收AS安全性能力的指示。在一些示例中，AS安全性能力的指示可指示以下至少一者:PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。AS安全性指示还可指示AS安全性保护的类型，其中AS安全性保护的类型可包括对数据分组进行加密、对数据分组进行完整性保护、或其组合。AS安全性指示还可指示对数据分组没有AS安全性保护。[0242]在框2710，并且当网络接入设备己经从UE接收到连接请求时，方法2700可任选地包括将连接请求的至少一部分例如，UE的身份、UE的AS安全性能力的指示、和或UE在网络接入设备所属的网络节点内的切换计数转发给网络接入设备控制器。框2710处的操作可使用参考图1、17、1喊22描述的传送接收通信管理器1720、或参考图17或18描述的UE连接管理器I735来执行，它们可与发射机诸如参考图I7描述的发射机1730、或参照图22描述的收发机2230协作地执行操作。[0243]在框2715，方法2700可包括:作为建立与UE的连接的一部分，从网络接入设备控制器接收指示用于保护数据分组的AS协议层的AS安全性指示。在一些示例中，AS安全性指示可指示以下至少一者:PDCP层安全性、或RLC层安全性、或MAC层安全性、或其组合。在一些示例中，由AS安全性指示所指示的AS协议层可至少部分地基于UE的AS安全性能力。框2715处的操作可使用参考图1、17、18或22描述的传送接收通信管理器1720、或参考图17或18描述的AS安全性信息管理器1740来执行，它们可与接收机诸如参考图17描述的接收机1710、或参照图22描述的收发机2230协作地执行操作。[0244]在方法27〇0的一些示例中，可在框2715与来自网络接入设备控制器的连接响应例如，对接收转发给网络接入设备控制器的连接请求的至少一部分的响应一起接收AS安全性指示。在方法2700的其他示例中，可在UE切换到网络接入设备期间从网络接入设备控制器接收AS安全性指示。[0245]继框2715之后，方法2700可包括执行框2720处的操作或者执行框2725、2730和2735处的操作，这取决于网络接入设备控制器、网络接入设备和UE的配置。[0246]在框2720,方法2700可包括:作为建立与UE的连接的一部分，从网络接入设备控制器接收用于UE的因UE而异的AS密钥。在一些示例中，因UE而异的AS密钥可至少部分地基于与网络接入设备控制器相关联的密钥、网络接入设备的标识符、和切换计数。框2720处的操作可使用参考图1、17、18或22描述的传送接收通信管理器1720、或参考图18描述的密钥管理器1805来执行，它们可与接收机诸如参考图17描述的接收机1710、或参照图22描述的收发机2230协作地执行操作。[0247]在框2725,方法2700可包括从网络接入设备控制器接收因网络接入设备而异的AS密钥。可作为建立与UE的连接的一部分、或者在建立与UE的连接之前的时间接收因网络接入设备而异的AS密钥。因网络接入设备而异的密钥可至少部分地基于与网络接入设备控制器相关联的密钥。在框2730,方法2700可包括与UE交换一次性数。在框2735,方法2700可包括至少部分地基于因UE而异的AS密钥和所交换的一次性数来推导AS安全性保护密钥。框2725、2730或2735处的操作可使用参考图1、17、18或22描述的传送接收通信管理器1720、或参考图18描述的密钥管理器1805来执行，它们可与接收机诸如参考图17描述的接收机1710、或参照图22描述的收发机2230协作地执行操作。[0248]在框2740,方法2700可包括至少部分地基于AS安全性指示、所指示的AS协议层和AS密钥（例如，在框2720处接收到的因UE而异的AS密钥或在框2735处推导出的AS安全性保护密钥来为传送给UE或接收自UE的数据分组配置AS安全性保护。在一些示例中，为数据分组配置AS安全性保护可包括配置数据分组的加密、配置数据分组的完整性保护、或其组合。配置AS安全性保护还可包括不为数据分组配置AS安全性保护。在一些示例中，为数据分组配置的AS保护的类型可至少部分地基于AS安全性指示中所指示的AS安全性保护类型。[0249]在一些示例中，为数据分组配置AS安全性保护可包括向UE转发在框2715接收的AS安全性指示，或者转发从网络接入设备控制器接收的连接响应的至少一部分例如，至少在框2715接收的AS安全性指示）。在一些示例中，框2740处的操作可包括使上行链路数据分组计数器和下行链路数据分组计数器与UE同步。根据从网络接入设备控制器接收的AS安全性指示，可在PDCP层、或RLC层、或MAC层维持上行链路数据分组计数器和下行链路数据分组计数器。框2740处的操作可使用参考图1、17、18或22描述的传送接收通信管理器1720、或参考图I7或1S描述的AS安全性配置管理器1745来执行。[0250]由此，方法2700可提供无线通信。应当注意，方法2700仅仅是一个实现，并且方法2700的操作可被重新安排或以其他方式修改以使得其它实现是可能的。例如，某些所描述的操作可以是可任选的（例如，由具有虚线的框所包围的那些操作、被描述为可任选的那些操作等等），其中可任选操作可在满足某些准则时被执行、基于配置来执行、间歇地省略、完全省略等。[0251]图28是解说根据本公开的各个方面的可由支持可配置AS安全性的网络接入设备控制器执行的方法2800的示例的流程图。出于清楚起见，下面参考参照图1-9、11-14、19、20或23描述的一个或多个网络接入设备控制器125的各方面、或参照图19描述的装置1925的各方面、或参照图1、19、20或23描述的节点控制器通信管理器1920的各方面来描述方法2800。在一些示例中，网络接入设备控制器可执行用于控制网络接入设备控制器的功能元件执行以下描述的功能的一个或多个代码集。附加地或替换地，网络接入设备控制器可以使用专用硬件来执行以下描述的一个或多个功能。[0252]在框2805，方法2800可任选地包括从UE接收连接请求例如，作为UE执行随机接入规程的结果），或者发起UE从该UE的第一服务网络接入设备到该UE的第二服务网络接入设备的切换。在一些示例中，可通过网络接入设备接收来自UE的连接请求。框2805处的操作可使用参考图1、19、2〇或23描述的节点控制器通信管理器1920、或参考图20描述的UE连接管理器2〇05来执行，它们可与发射机或接收机诸如参考图19描述的接收机1910或发射机1930、或参照图23描述的收发机2330协作地执行操作。[0253]在框2810，方法2800可任选地包括标识UE的AS安全性能力。在一些示例中，可与连接请求一起从UE接收AS安全性能力。在一些示例中，AS安全性能力可包括以下至少一者：PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。框2810处的操作可使用参考图1、19、20或23描述的节点控制器通信管理器1920、或参考图20描述的AS安全性能力标识器2010来执行。[0254]在框2815,方法28〇0可包括确定用于UE的AS安全性模式。AS安全性模式可指示用于保护传送给UE或接收自UE的数据分组的AS协议层。在一些示例中，可至少部分地基于从UE接收的连接请求和或所标识的UE的AS安全性能力来确定AS安全性模式。在一些示例中，用于UE的AS安全性模式可另外地或替代地至少部分地基于以下各项来确定:至少一个计算资源上的负载、或至少一个通信链路的使用水平、或对攻击的标识、或至少一个通信链路的吞吐量、或其组合。在一些示例中，AS安全性模式可包括以下至少一者:PDCP层安全性模式、或RLC层安全性模式、或MAC层安全性模式、或其组合。框2815处的操作可使用参考图1、19、20或23描述的节点控制器通信管理器1920、或参考图19或20描述的AS安全性模式管理器1935来执行。[0255]在框2820,方法2800可包括至少部分地基于as安全性模式来为UE推导AS密钥。框2820处的操作可使用参考图1、19、20或23描述的节点控制器通信管理器192〇、或参考图19或20描述的AS密钥管理器1940来执行。[0256]在框2825,方法2800可包括向UE传送标识AS安全性模式的AS安全性指示。框2825处的操作可使用参考图1、19、20或23描述的节点控制器通信管理器192〇、或参考图I9或2〇描述的UE通信管理器1945来执行，它们可与发射机诸如参考图19描述的发射机1930、或参照图23描述的收发机2330协作地执行操作。[0257]由此，方法2800可提供无线通信。应当注意，方法2800仅仅是一个实现，并且方法2800的操作可被重新安排或以其他方式修改以使得其它实现是可能的。例如，某些所描述的操作可以是可任选的例如，由具有虚线的框所包围的那些操作、被描述为可任选的那些操作等等），其中可任选操作可在满足某些准则时被执行、基于配置来执行、间歇地省略、完全省略等。[0258]图29是解说根据本公开的各个方面的可由支持可配置AS安全性的网络接入设备控制器执行的方法2900的示例的流程图。出于清楚起见，下面参考参照图1-9、11-14、19、20或23描述的一个或多个网络接入设备控制器125的各方面、或参照图19描述的装置1925的各方面、或参照图1、19、20或23描述的节点控制器通信管理器1920的各方面来描述方法2900。在一些示例中，网络接入设备控制器可执行用于控制网络接入设备控制器的功能元件执行以下描述的功能的一个或多个代码集。附加地或替换地，网络接入设备控制器可以使用专用硬件来执行以下描述的一个或多个功能。[0259]在框29〇5,方法2900可任选地包括从UE接收连接请求例如，作为UE执行随机接入规程的结果），或者发起UE从该UE的第一服务网络接入设备到该UE的第二服务网络接入设备的切换。在一些示例中，可通过网络接入设备接收来自UE的连接请求。框2915处的操作可使用参考图1、19、2〇或23描述的节点控制器通信管理器1920、或参考图20描述的UE连接管理器2005来执行，它们可与发射机或接收机诸如参考图19描述的接收机1910或发射机1930、或参照图23描述的收发机2330协作地执行操作。[0260]在框2910，方法29〇0可任选地包括标识UE的AS安全性能力。在一些示例中，可与连接请求一起从UE接收AS安全性能力。在一些示例中，AS安全性能力可包括以下至少一者：PDCP层安全性能力、或RLC层安全性能力、或MAC层安全性能力、或其组合。AS安全性指示还可指示AS安全性保护的类型，其中AS安全性保护的类型可包括对数据分组进行加密、对数据分组进行完整性保护、或其组合。AS安全性指示还可指示对数据分组没有AS安全性保护。框2910处的操作可使用参考图1、19、20或23描述的节点控制器通信管理器1920、或参考图20描述的AS安全性能力标识器2010来执行。[0261]在框2915,方法2900可包括确定用于UE的AS安全性模式。AS安全性模式可指示用于保护传送给UE或接收自UE的数据分组的AS协议层。在一些示例中，可至少部分地基于从UE接收的连接请求和或所标识的UE的AS安全性能力来确定AS安全性模式。在一些示例中，用于UE的AS安全性模式可另外地或替代地至少部分地基于以下各项来确定:至少一个计算资源上的负载、或至少一个通信链路的使用水平、或对攻击的标识、或至少一个通信链路的吞吐量、或其组合。在一些示例中，AS安全性模式可包括以下至少一者:PDCP层安全性模式、或RLC层安全性模式、或MAC层安全性模式、或其组合。框2915处的操作可使用参考图1、19、20或23描述的节点控制器通信管理器192〇、或参考图19或20描述的AS安全性模式管理器1935来执行。[0262]继框2915之后，方法2900可包括执行框2920和2925处的操作或者执行框2930、29：35、2940和2945处的操作，这取决于网络接入设备控制器、UE的服务网络接入设备和UE的配置。[0263]在框2920,方法29〇0可包括至少部分地基于AS安全性模式来为UE推导因UE而异的AS密钥。在框2925,方法29〇0可包括将因UE而异的AS密钥传送给UE的服务网络接入设备。框2920和2925处的操作可使用参考图1、19、2〇或23描述的节点控制器通信管理器1920、或参考图19或2〇描述的AS密钥管理器1940来执行，它们可与发射机诸如参考图19描述的发射机1930、或参照图23描述的收发机2330协作地执行操作。[0264]在框2930,方法2900可包括至少部分地基于AS安全性模式来推导因网络接入设备而异的AS密钥。在框2935,方法2900可包括至少部分地基于因网络接入设备而异的AS密钥来为UE推导因UE而异的AS密钥。在框2940,方法2900可包括将因网络接入设备而异的AS密钥传送给UE的服务网络接入设备。在框2945,方法2900可包括将因UE而异的AS密钥传送给UE。由于因网络接入设备而异的AS密钥不是因UE而异的，因此当已经推导出因网络接入设备而异的AS密钥并且将其传送给UE的服务网络接入设备时，可以不执行框2930和2940处的操作。框293〇、2935、2940和2945处的操作可使用参考图1、19、20或23描述的节点控制器通信管理器1920、或参考图I9或20描述的AS密钥管理器1940来执行，它们可与发射机诸如参考图19描述的发射机1930、或参照图23描述的收发机2330协作地执行操作。[0265]在框2950,方法2900可包括向UE传送标识AS安全性模式的AS安全性指示。在一些示例中，AS安全性指示可与用于UE的AS密钥一起传送。框2950处的操作可使用参考图1、19、20或23描述的节点控制器通信管理器1920、或参考图19或20描述的UE通信管理器1945来执行。[0266]在一些示例中，方法2900可包括将因网络接入设备而异的AS密钥传送给网络接入设备群中的每个网络接入设备。[0267]在一些示例中，方法2900可包括:发起UE从该UE的第一服务网络接入设备到该UE的第二服务网络接入设备的切换，以及将因网络接入设备而异的AS密钥传送给该UE的第二服务网络接入设备。[0268]在一些示例中，方法2900可包括至少部分地基于相关索引对来推导用于UE的因UE而异的AS密钥和因网络接入设备而异的AS密钥，并且至少部分地基于相关索引对的更新而向第一服务网络接入设备和UE发信号通知密钥翻滚。[0269]由此，方法2900可提供无线通信。应当注意，方法29〇0仅仅是一个实现，并且方法2900的操作可被重新安排或以其他方式修改以使得其它实现是可能的。例如，某些所描述的操作可以是可任选的（例如，由具有虚线的框所包围的那些操作、被描述为可任选的那些操作等等），其中可任选操作可在满足某些准则时被执行、基于配置来执行、间歇地省略、完全省略等。[0270]本文所描述的技术可用于各种无线通信系统，诸如CDMA、TDMA、FDMA、OFDMA、SC-FDMA和其他系统。术语“系统”和“网络”常被可互换地使用。CDMA系统可实现诸如CDMA2000、通用地面无线电接入UTRA等无线电技术。CDMA2000涵盖IS-2〇00、IS-%和IS-856标准。13-2000版本0和4可被称为〇01^20001乂、1\等。13-856〇'1々-856可被称为001^2〇0011£¥-DO、高速率分组数据HRPD等。UTRA包括宽带CDMAWCDMA和其它CDMA变体。TDMA系统可实现诸如全球移动通信系统GSM之类的无线电技术。0FDMA系统可以实现诸如超移动宽带UMB、演进型UTRAE-UTRA、电气和电子工程师协会（IEEE8〇2•11Wi-Fi、IEEE802•16WiMAX、IEEE802.20、？13^^1^等的无线电技术。1^1^和£-1^1^是通用移动电信系统UMTS的部分。3GPPLTE和LTE-A是使用E-UTRA的新UMTS版本。UTRA、E-UTRA、UMTS、LTE、LTE-A、和GSM在来自名为3GPP的组织的文献中描述。CDMA2000和UMB在来自名为“第三代伙伴项目2”（3GPP2的组织的文献中描述。本文所描述的技术既可被用于以上提及的系统和无线电技术，也可用于其他系统和无线电技术，包括无执照或共享带宽上的蜂窝（例如，LTE通信。然而，以上描述出于示例目的描述了LTELTE-A系统，并且在以上大部分描述中使用了LTE术语，但这些技术也可应用于LTELTE-A应用以外的应用。[0271]以上结合附图阐述的详细说明描述了示例而不代表可被实现或者落在权利要求的范围内的所有示例。术语“示例”和“示例性”在本说明书中使用时意指“用作示例、实例或解说”，并且并不意指“优于”或“胜过其他示例”。本详细描述包括具体细节以提供对所描述的技术的理解。然而，可以在没有这些具体细节的情况下实践这些技术。在一些实例中，众所周知的结构和装置以框图形式示出以避免模糊所描述的示例的概念。[0272]如本文所使用的，短语“基于”不应被解读为引述封闭条件集。例如，被描述为“基于条件A”的示例性步骤可基于条件A和条件B两者而不脱离本公开的范围。换言之，如本文所使用的，短语“基于”应当以与短语“至少部分地基于”相同的方式来解读。[0273]信息和信号可使用各种各样的不同技艺和技术中的任一种来表示。例如，贯穿上面说明始终可能被述及的数据、指令、命令、信息、信号、比特、码元和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或其任何组合来表不。[0274]结合本文中的公开所描述的各种解说性框以及组件可用设计成执行本文中描述的功能的通用处理器、数字信号处理器DSP、ASIC、FPGA或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来实现或执行。通用处理器可以是微处理器，但在替换方案中，处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可被实现为计算设备的组合，例如DSP与微处理器的组合、多个微处理器、与DSP核协同的一个或多个微处理器、或者任何其他此类配置。[0275]本文中所描述的功能可以在硬件、由处理器执行的软件、固件、或其任何组合中实现。如果在由处理器执行的软件中实现，则各功能可以作为一条或多条指令或代码存储在计算机可读介质上或藉其进行传送。其他示例和实现落在本公开及所附权利要求的范围和精神内。例如，由于软件的本质，以上描述的功能可使用由处理器执行的软件、硬件、固件、硬连线或其任何组合来实现。实现各功能的各组件也可物理地位于各种位置，包括被分布以使得各功能的各部分在不同的物理位置处实现。如本文中（包括权利要求中）所使用的，在两个或更多个项目的列表中使用的术语“或”意指所列出的项目中的任一者可单独被采用，或者两个或更多个所列出的项目的任何组合可被采用。例如，如果组成被描述为包含组成部分A、B、或C，则该组成可包含仅A;仅B;仅C;A和B的组合;A和C的组合;B和C的组合;或者A、B和C的组合。同样，如本文中（包括权利要求中所使用的，在项目列举中（例如，在接有诸如“中的至少一个”或“中的一个或多个”的短语的项目列举中）使用的“或”指示析取式列举，以使得例如“A、B或C中的至少一个”的列举意指A或B或C或AB或AC或BC或ABC即，A和B和C。[0276]计算机可读介质包括计算机存储介质和通信介质两者，包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被通用或专用计算机访问的任何可用介质。作为示例而非限定，计算机可读介质可包括1^崖、1«^、££?1«1、闪存、00-1?0^1或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合需程序代码手段且能被通用或专用计算机、或者通用或专用处理器访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线DSL、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其他远程源传送而来，则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘disk和碟disc包括压缩碟CD、激光碟、光碟、数字多用碟DVD、软盘、和蓝光碟，其中盘disk常常磁性地再现数据，而碟disc用激光来光学地再现数据。以上介质的组合也被包括在计算机可读介质的范围内。[0277]提供对本公开的先前描述是为使得本领域技术人员皆能够制作或使用本公开。对本公开的各种修改对于本领域技术人员将是显而易见的，并且本文中定义的普适原理可被应用于其他变形而不会脱离本公开的范围。由此，本公开并不被限定于本文中所描述的示例和设计，而是应被授予与本文中公开的原理和新颖技术一致的最宽泛的范围。

权利要求：1.一种用于在用户装备UE处进行无线通信的方法，包括：建立与网络节点的连接；作为建立所述连接的一部分，从所述网络节点接收指示用于保护数据分组的接入阶层AS协议层的AS安全性指示；以及至少部分地基于所述AS安全性指示和所指示的AS协议层来为数据分组配置AS安全性保护。2.如权利要求1所述的方法，其特征在于，进一步包括：作为建立所述连接的一部分，向所述网络节点传送所述UE的AS安全性能力的指示。3.如权利要求2所述的方法，其特征在于，所述AS安全性能力的指示包括对以下至少一者的指示：分组数据汇聚协议PDCP层安全性能力、或无线电链路控制（RLC层安全性能力、或媒体接入控制MAC层安全性能力、或其组合。4.如权利要求1所述的方法，其特征在于，进一步包括：作为建立所述连接的一部分，至少部分地基于关联于与所述UE的服务网络接入设备相关联的网络接入设备控制器的密钥来推导因UE而异的AS密钥；以及至少部分地基于所述因UE而异的AS密钥来为数据分组配置AS安全性保护。5.如权利要求4所述的方法，其特征在于，进一步包括：作为建立所述连接的一部分，向所述网络节点传送所述UE在所述网络节点内的切换计数;以及在建立所述连接后增大所述切换计数。6.如权利要求5所述的方法，其特征在于，所述因UE而异的AS密钥进一步至少部分地基于所述UE的服务网络接入设备的标识符和所述切换计数。7.如权利要求1所述的方法，其特征在于，进一步包括：作为建立所述连接的一部分，从所述网络节点接收因UE而异的AS密钥。8.如权利要求7所述的方法，其特征在于，进一步包括：与所述UE的服务网络接入设备交换一次性数；至少部分地基于所述因UE而异的AS密钥和所交换的一次性数来推导AS安全性保护密钥；以及至少部分地基于所述AS安全性保护密钥来为数据分组配置AS安全性保护。9.如权利要求7所述的方法，其特征在于，所述因UE而异的AS密钥至少部分地基于与所述UE的服务网络接入设备相关联的密钥、以及所述UE的标识符。10.如权利要求7所述的方法，其特征在于，所述AS安全性指示用于指示以下至少一者：分组数据汇聚协议PDCP层安全性、或无线电链路控制（RLC层安全性、或媒体接入控制MAC层安全性，所述方法进一步包括：将上行链路数据分组计数器和下行链路数据分组计数器与服务网络接入设备同步，所述上行链路数据分组计数器和下行链路数据分组计数器根据所述AS安全性指示而维持在所述PDCP层、或所述RLC层、或所述MAC层。11.如权利要求1所述的方法，其特征在于，为数据分组配置AS安全性保护包括：与所述网络节点交换一次性数。12.如权利要求1所述的方法，其特征在于，建立与所述网络节点的连接包括执行随机接入规程，所述方法进一步包括：在执行所述随机接入规程的同时向所述网络节点传送连接请求。13.如权利要求1所述的方法，其特征在于，在所述UE从第一网络接入设备到第二网络接入设备的切换期间建立与所述网络节点的连接。14.如权利要求1所述的方法，其特征在于，对数据分组的所述AS安全性保护包括:对数据分组进行加密、或对数据分组进行完整性保护、或其组合。15.如权利要求14所述的方法，其特征在于，所述AS安全性指示进一步指示AS安全性保护的类型，所述AS安全性保护的类型包括:对数据分组进行加密、或对数据分组进行完整性保护、或其组合。16.—种用于在用户装备UE处进行无线通信的装备，包括：用于建立与网络节点的连接的装置；用于作为建立所述连接的一部分，从所述网络节点接收指示用于保护数据分组的接入阶层AS协议层的AS安全性指示的装置;以及用于至少部分地基于所述AS安全性指示和所指示的AS协议层来为数据分组配置AS安全性保护的装置。17.—种用于在网络接入设备处配置接入阶层AS安全性的方法，包括：建立与用户装备UE的连接；作为建立所述连接的一部分，从网络接入设备控制器接收指示用于保护数据分组的AS协议层的AS安全性指示；以及至少部分地基于所述AS安全性指示和所指示的AS协议层来为传送给所述UE或接收自所述UE的数据分组配置AS安全性保护。18.如权利要求17所述的方法，其特征在于，进一步包括：作为建立与所述UE的连接的一部分，从所述网络接入设备控制器接收用于所述UE的因UE而异的AS密钥。19.如权利要求17所述的方法，其特征在于，进一步包括：从所述网络接入设备控制器接收因网络接入设备而异的AS密钥。20.如权利要求19所述的方法，其特征在于，进一步包括：与所述UE交换一次性数；至少部分地基于所述因网络接入设备而异的AS密钥和所交换的一次性数来推导AS安全性保护密钥；以及至少部分地基于所述AS安全性保护密钥来为传送给所述UE或接收自所述UE的数据分组配置AS安全性保护。21.如权利要求19所述的方法，其特征在于，所述AS安全性指示用于指示以下至少一者:分组数据汇聚协议PDCP层安全性、或无线电链路控制RLC层安全性、或媒体接入控制MAC层安全性，所述方法进一步包括：将上行链路数据分组计数器和下行链路数据分组计数器与所述UE同步，所述上行链路数据分组计数器和下行链路数据分组计数器根据所述AS安全性指示而维持在所述PDCP层、或所述RLC层、或所述MAC层。22.如权利要求17所述的方法，其特征在于，进一步包括：作为建立与所述UE的连接的一部分，从所述UE接收所述UE的AS安全性能力的指示。23.如权利要求17所述的方法，其特征在于，进一步包括：响应于从所述UE接收到连接请求来建立与所述UE的连接；将所述连接请求的至少一部分转发给所述网络接入设备控制器；从所述网络接入设备控制器接收包括所述AS安全性指示的连接响应;以及将所述连接响应的至少一部分转发给所述UE。24.—种用于在网络接入设备控制器处配置接入阶层AS安全性的方法，包括：确定用于用户装备UE的AS安全性模式，所述AS安全性模式指示用于保护传送给所述UE或接收自所述UE的数据分组的AS协议层；至少部分地基于所述AS安全性模式来推导用于所述UE的AS密钥；以及向所述UE传送标识所述AS安全性模式的AS安全性指示。25.如权利要求24所述的方法，其特征在于，进一步包括：标识所述UE的AS安全性能力。26.如权利要求24所述的方法，其特征在于，推导用于所述UE的AS密钥包括为所述UE推导因UE而异的AS密钥，所述方法进一步包括：将所述因UE而异的AS密钥传送给所述UE的服务网络接入设备。27.如权利要求24所述的方法，其特征在于，推导用于所述UE的AS密钥包括为所述UE推导因UE而异的AS密钥，所述方法进一步包括：将所述因UE而异的AS密钥传送给所述UE。28.如权利要求27所述的方法，其特征在于，进一步包括：至少部分地基于所述AS安全性模式来推导因网络接入设备而异的AS密钥，其中至少部分地基于所述因网络接入设备而异的AS密钥来推导所述UE的因UE而异的AS密钥；以及将所述因网络接入设备而异的AS密钥传送给所述UE的第一服务网络接入设备。29.如权利要求28所述的方法，其特征在于，进一步包括：发起所述UE从所述UE的第一服务网络接入设备到所述UE的第二服务网络接入设备的切换；以及将所述因网络接入设备而异的AS密钥传送给所述UE的第二服务网络接入设备。30.如权利要求24所述的方法，其特征在于，用于所述UE的AS安全性模式是至少部分地基于以下各项来确定的：至少一个计算资源上的负载、或至少一个通信链路的使用水平、或对攻击的标识、或至少一个通信链路的吞吐量、或其组合。

百度查询： 高通股份有限公司 可配置的接入阶层安全性

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD