媒体接入控制安全性

本申请要求于2019年1月18日提交的题为“MEDIUM ACCESS CONTROL SECURITY(媒体接入控制安全性)”的美国临时专利申请No.62/794,454、以及于2020年1月3日提交的题为“MEDIUM ACCESS CONTROL SECURITY(媒体接入控制安全性)”的美国非临时专利申请No.16/734,009的优先权，这些申请由此通过援引明确纳入于此。

本公开的各方面一般涉及无线通信，并且涉及用于媒体接入控制(MAC)安全性的技术和装置。

无线通信系统被广泛部署以提供诸如电话、视频、数据、消息接发、和广播等各种电信服务。典型的无线通信系统可采用能够通过共享可用系统资源(例如，带宽、发射功率等等)来支持与多个用户通信的多址技术。此类多址技术的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、正交频分多址(OFDMA)系统、单载波频分多址(SC-FDMA)系统、时分同步码分多址(TD-SCDMA)系统、以及长期演进(LTE)。LTE/高级LTE是对由第三代伙伴项目(3GPP)颁布的通用移动电信系统(UMTS)移动标准的增强集。

无线通信网络可包括能够支持数个用户装备(UE)通信的数个基站(BS)。用户装备(UE)可经由下行链路和上行链路来与基站(BS)通信。下行链路(或即前向链路)指从BS到UE的通信链路，而上行链路(或即反向链路)指从UE到BS的通信链路。如本文将更详细描述的，BS可被称为B节点、gNB、接入点(AP)、无线电头端、传送接收点(TRP)、新无线电(NR)BS、5G B节点等等。

以上多址技术已经在各种电信标准中被采纳以提供使得不同的用户装备能够在城市、国家、地区、以及甚至全球级别上进行通信的共同协议。新无线电(NR)(其还可被称为5G)是对由第三代伙伴项目(3GPP)颁布的LTE移动标准的增强集。NR被设计成通过改善频谱效率、降低成本、改善服务、利用新频谱、以及与在下行链路(DL)上使用具有循环前缀(CP)的正交频分复用(OFDM)(CP-OFDM)、在上行链路(UL)上使用CP-OFDM和/或SC-FDM(例如，还被称为离散傅里叶变换扩展OFDM(DFT-s-OFDM)以及支持波束成形、多输入多输出(MIMO)天线技术和载波聚集的其他开放标准更好地整合，来更好地支持移动宽带因特网接入。

在一些方面，一种由用户装备(UE)执行的无线通信方法可包括向基站(BS)传送指示UE的媒体接入控制(MAC)安全性能力的信息。该方法可包括从BS接收包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，其中对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力。

在一些方面，一种用于无线通信的UE可包括存储器和操作地耦合至该存储器的一个或多个处理器。该存储器和该一个或多个处理器可被配置为向BS传送指示UE的MAC安全性能力的信息。该存储器和该一个或多个处理器可被配置为从BS接收包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，其中对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力。

在一些方面，一种非瞬态计算机可读介质可存储用于无线通信的一条或多条指令。该一条或多条指令在由UE的一个或多个处理器执行时可使该一个或多个处理器向BS传送指示UE的MAC安全性能力的信息。该一条或多条指令在由UE的一个或多个处理器执行时可使该一个或多个处理器从BS接收包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，其中对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力。

在一些方面，一种用于无线通信的设备可包括用于向BS传送指示该设备的MAC安全性能力的信息的装置。该设备可包括用于从BS接收包括对用于该设备与BS之间的通信的MAC安全性配置的指示的通信的装置，其中对MAC安全性配置的指示至少部分地基于该设备的MAC安全性能力。

在一些方面，一种由BS执行的无线通信方法可包括从UE接收指示UE的MAC安全性能力的信息。该方法可包括向UE传送包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，其中对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力。

在一些方面，一种用于无线通信的基站可包括存储器以及操作地耦合到该存储器的一个或多个处理器。该存储器和该一个或多个处理器可被配置为从UE接收指示UE的MAC安全性能力的信息。该存储器和该一个或多个处理器可被配置为向UE传送包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，其中对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力。

在一些方面，一种非瞬态计算机可读介质可存储用于无线通信的一条或多条指令。该一条或多条指令在由基站的一个或多个处理器执行时可使该一个或多个处理器从UE接收指示UE的MAC安全性能力的信息。该一条或多条指令在由基站的一个或多个处理器执行时可使该一个或多个处理器向UE传送包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，其中对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力。

在一些方面，一种用于无线通信的设备可包括用于从UE接收指示该UE的MAC安全性能力的信息的装置。该设备可包括用于向UE传送包括对用于UE与该设备之间的通信的MAC安全性配置的指示的通信的装置，其中对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力。

各方面一般包括如基本上在本文中参照附图描述并且如附图所解说的方法、装置(设备)、系统、计算机程序产品、非瞬态计算机可读介质、用户装备、基站、无线通信设备和处理系统。

前述内容已较宽泛地勾勒出根据本公开的示例的特征和技术优势以力图使下面的详细描述可以被更好地理解。附加的特征和优势将在此后描述。所公开的概念和具体示例可容易地被用作修改或设计用于实施与本公开相同目的的其他结构的基础。此类等效构造并不背离所附权利要求书的范围。本文所公开的概念的特性在其组织和操作方法两方面以及相关联的优势将因结合附图来考虑以下描述而被更好地理解。每一附图是出于解说和描述目的来提供的，而非定义对权利要求的限定。

为了能详细理解本公开的以上陈述的特征，可参照各方面来对以上简要概述的内容进行更具体的描述，其中一些方面在附图中解说。然而应该注意，附图仅解说了本公开的某些典型方面，故不应被认为限定其范围，因为本描述可允许有其他等同有效的方面。不同附图中的相同附图标记可标识相同或相似的元素。

图1是概念性地解说根据本公开的各个方面的无线通信网络的示例的框图。

图2是概念性地解说根据本公开的各个方面的无线通信网络中基站与UE处于通信的示例的框图。

图3解说了根据本公开的各个方面的分布式无线电接入网(RAN)的示例逻辑架构。

图4解说了根据本公开的各个方面的分布式RAN的示例物理架构。

图5A-5F是解说根据本公开的各个方面的MAC安全性的示例的示图。

图6是解说根据本公开的各个方面的例如由UE执行的示例过程的示图。

图7是解说根据本公开的各个方面的例如由BS执行的示例过程的示图。

在无线网络中，BS和UE可使用各种协议层进行通信，诸如分组数据汇聚协议(PDCP)层、无线电链路控制(RLC)层、媒体接入控制(MAC)层等等。在一些情形中，可使用各种技术对某些协议层(诸如PDCP层(其可被用于控制面信令和用户面数据))进行安全性保护。然而，一些层(诸如MAC层)可能不受安全性保护。由于MAC层可携带性能关键信息(诸如缓冲器状态报告、定时提前信息、传输配置指示(TCI)状态信息等等)，因此MAC层安全性的缺乏可能使MAC层容易受到攻击(例如，拒绝服务(DoS)攻击、中间人攻击、和/或其他类型的攻击)。作为结果，恶意实体可被允许更改缓冲器状态报告信息(这可导致资源调度中的性能降级)、定时提前信息(这可导致UE与BS之间的不同步)、TCI状态信息(这可导致UE与BS之间的波束和/或预编码失配)等等。

本文描述的一些方面提供用于MAC安全性的技术和装置。在一些方面，UE可向BS传送对MAC安全性能力的指示。BS可向UE传送对用于UE与BS之间的通信的MAC安全性配置的指示。MAC安全性配置可至少部分地基于UE的MAC安全性能力，并且可指示在对UE与BS之间所传送的MAC协议数据单元(PDU)进行加密、解密和/或完整性保护时要使用的MAC安全性级别。而且，UE和BS可生成在对UE与BS之间所传送的MAC PDU进行加密、解密和/或完整性保护时可被使用的各种密钥。以此方式，UE和BS可实现用于UE与BS之间所传送的MAC PDU的MAC安全性，这增加了MAC PDU的安全性、防止MAC PDU的性能降级和攻击等等。

以下参照附图更全面地描述本公开的各个方面。然而，本公开可用许多不同形式来实施并且不应解释为被限于本公开通篇给出的任何具体结构或功能。确切而言，提供这些方面是为了使得本公开将是透彻和完整的，并且其将向本领域技术人员完全传达本公开的范围。基于本文中的教导，本领域技术人员应领会，本公开的范围旨在覆盖本文中所披露的本公开的任何方面，不论其是与本公开的任何其他方面相独立地还是组合地实现的。例如，可使用本文中所阐述的任何数目的方面来实现装置或实践方法。另外，本公开的范围旨在覆盖使用作为本文中所阐述的本公开的各个方面的补充或者另外的其他结构、功能性、或者结构及功能性来实践的此类装置或方法。应当理解，本文中所披露的本公开的任何方面可由权利要求的一个或多个元素来实施。

现在将参照各种装置和技术给出电信系统的若干方面。这些装置和技术将在以下详细描述中进行描述并在附图中由各种框、模块、组件、电路、步骤、过程、算法等(统称为“元素”)来解说。这些元素可使用硬件、软件、或其组合来实现。此类元素是实现成硬件还是软件取决于具体应用和加诸于整体系统上的设计约束。

应注意，虽然各方面在本文可使用通常与3G和/或4G无线技术相关联的术语来描述，但本公开的各方面可以应用在基于其他代的通信系统(诸如5G和后代，包括NR技术)中。

图1是解说可在其中实践本公开的各方面的无线网络100的示图。无线网络100可以是LTE网络或某个其他无线网络，诸如5G或NR网络。无线网络100可包括数个BS 110(被示为BS 110a、BS 110b、BS 110c和BS 110d)和其他网络实体。BS是与用户装备(UE)通信的实体并且还可被称为基站、NR BS、B节点、gNB、5G B节点(NB)、接入点、传送接收点(TRP)等等。每个BS可为特定地理区域提供通信覆盖。在3GPP中，术语“蜂窝小区”可指BS的覆盖区域和/或服务该覆盖区域的BS子系统，这取决于使用该术语的上下文。

BS可以为宏蜂窝小区、微微蜂窝小区、毫微微蜂窝小区、和/或另一类型的蜂窝小区提供通信覆盖。宏蜂窝小区可覆盖相对较大的地理区域(例如，半径为数千米)，并且可允许由具有服务订阅的UE无约束地接入。微微蜂窝小区可覆盖相对较小的地理区域，并且可允许由具有服务订阅的UE无约束地接入。毫微微蜂窝小区可覆盖相对较小的地理区域(例如，住宅)，并且可允许由与该毫微微蜂窝小区有关联的UE(例如，封闭订户群(CSG)中的UE)有约束地接入。用于宏蜂窝小区的BS可被称为宏BS。用于微微蜂窝小区的BS可被称为微微BS。用于毫微微蜂窝小区的BS可被称为毫微微BS或家用BS。在图1中示出的示例中，BS 110a可以是用于宏蜂窝小区102a的宏BS，BS 110b可以是用于微微蜂窝小区102b的微微BS，并且BS 110c可以是用于毫微微蜂窝小区102c的毫微微BS。BS可支持一个或多个(例如，三个)蜂窝小区。术语“eNB”、“基站”、“NR BS”、“gNB”、“TRP”、“AP”、“B节点”、“5G NB”、和“蜂窝小区”在本文中可以可互换地使用。

在一些示例中，蜂窝小区可以不必是驻定的，并且蜂窝小区的地理区域可根据移动BS的位置而移动。在一些示例中，BS可通过各种类型的回程接口(诸如直接物理连接、虚拟网络、和/或使用任何合适的传输网络的类似物)来彼此互连和/或互连至无线网络100中的一个或多个其他BS或网络节点(未示出)。

无线网络100还可包括中继站。中继站是能接收来自上游站(例如，BS或UE)的数据的传输并向下游站(例如，UE或BS)发送该数据的传输的实体。中继站也可以是能为其他UE中继传输的UE。在图1中示出的示例中，中继站110d可与宏BS 110a和UE 120d进行通信以促成BS 110a与UE 120d之间的通信。中继站也可被称为中继BS、中继基站、中继等。

无线网络100可以是包括不同类型的BS(例如宏BS、微微BS、毫微微BS、中继BS等)的异构网络。这些不同类型的BS可能具有不同的发射功率电平、不同的覆盖区域、以及对无线网络100中的干扰的不同影响。例如，宏BS可具有高发射功率电平(例如，5到40瓦)，而微微BS、毫微微BS和中继BS可具有较低发射功率电平(例如，0.1到2瓦)。

网络控制器130可耦合至BS集合，并且可提供对这些BS的协调和控制。网络控制器130可经由回程与各BS进行通信。这些BS还可例如经由无线或有线回程直接或间接地彼此通信。

UE 120(例如，120a、120b、120c)可分散遍及无线网络100，并且每个UE可以是驻定的或移动的。UE还可被称为接入终端、终端、移动站、订户单元、站等。UE可以是蜂窝电话(例如，智能电话)、个人数字助理(PDA)、无线调制解调器、无线通信设备、手持设备、膝上型计算机、无绳电话、无线本地环路(WLL)站、平板、相机、游戏设备、上网本、智能本、超级本、医疗设备或装备、生物测定传感器/设备、可穿戴设备(智能手表、智能服装、智能眼镜、智能腕带、智能首饰(例如，智能戒指、智能手环))、娱乐设备(例如，音乐或视频设备、或卫星无线电)、交通工具组件或传感器、智能仪表/传感器、工业制造装备、全球定位系统设备、或者被配置成经由无线或有线介质通信的任何其他合适的设备。

一些UE可被认为是机器类型通信(MTC)UE、或者演进型或增强型机器类型通信(eMTC)UE。MTC和eMTC UE包括例如机器人、无人机、远程设备、传感器、仪表、监视器、位置标签等，其可与基站、另一设备(例如，远程设备)或某个其他实体通信。无线节点可以例如经由有线或无线通信链路来为网络(例如，广域网(诸如因特网)或蜂窝网络)提供连通性或提供至该网络的连通性。一些UE可被认为是物联网(IoT)设备，和/或可被实现为NB-IoT(窄带物联网)设备。一些UE可被认为是客户端装备(CPE)。UE 120可被包括在外壳的内部，该外壳容纳UE 120的组件，诸如处理器组件、存储器组件等等。

一般而言，在给定的地理区域中可部署任何数目的无线网络。每个无线网络可支持特定的RAT，并且可在一个或多个频率上操作。RAT也可被称为无线电技术、空中接口等。频率还可被称为载波、频率信道等。每个频率可在给定的地理区域中支持单个RAT以避免不同RAT的无线网络之间的干扰。在一些情形中，可部署NR或5G RAT网络。

在一些示例中，可调度对空中接口的接入，其中调度实体(例如，基站)在该调度实体的服务区域或蜂窝小区内的一些或全部设备和装备当中分配用于通信的资源。在本公开内，如下面进一步讨论的，调度实体可负责调度、指派、重配置、以及释放用于一个或多个下级实体的资源。即，对于被调度的通信而言，下级实体利用由调度实体分配的资源。

基站不是可用作调度实体的仅有实体。即，在一些示例中，UE可用作调度实体，从而调度用于一个或多个下级实体(例如，一个或多个其他UE)的资源。在该示例中，该UE正用作调度实体，并且其他UE利用由该UE调度的资源来进行无线通信。UE可在对等(P2P)网络中和/或在网状网络中用作调度实体。在网状网络示例中，UE除了与调度实体通信之外还可以可任选地直接彼此通信。

因而，在具有对时频资源的被调度接入并且具有蜂窝配置、P2P配置和网状配置的无线通信网络中，调度实体和一个或多个下级实体可利用被调度资源来进行通信。

在一些方面，两个或更多个UE 120(例如，被示为UE 120a和UE 120e)可使用一个或多个侧链路信道来直接通信(例如，不使用基站110作为中介来彼此通信)。例如，UE 120可使用对等(P2P)通信、设备到设备(D2D)通信、车联网(V2X)协议(例如，其可包括交通工具到交通工具(V2V)协议、交通工具到基础设施(V2I)协议等等)、网状网络等等进行通信。在该情形中，UE 120可执行调度操作、资源选择操作、和/或在本文别处描述为如由基站110执行的其他操作。

如上面所指示的，图1仅仅是作为示例来提供的。其他示例可以不同于关于图1所描述的内容。

图2示出了基站110和UE 120的设计200的框图，基站110和UE 120可以是图1中的各基站之一和各UE之一。基站110可装备有T个天线234a到234t，而UE 120可装备有R个天线252a到252r，其中一般而言T≥1且R≥1。

在基站110处，发射处理器220可从数据源212接收给一个或多个UE的数据，至少部分地基于从每个UE接收到的信道质量指示符(CQI)来为该UE选择一种或多种调制和编码方案(MCS)，至少部分地基于为每个UE选择的MCS来处理(例如，编码和调制)给该UE的数据，并提供针对所有UE的数据码元。发射处理器220还可处理系统信息(例如，针对半静态资源划分信息(SRPI)等)和控制信息(例如，CQI请求、准予、上层信令等)，并提供开销码元和控制码元。发射处理器220还可生成用于参考信号(例如，因蜂窝小区而异的参考信号(CRS))和同步信号(例如，主同步信号(PSS)和副同步信号(SSS))的参考码元。发射(TX)多输入多输出(MIMO)处理器230可在适用的情况下对数据码元、控制码元、开销码元、和/或参考码元执行空间处理(例如，预编码)，并且可将T个输出码元流提供给T个调制器(MOD)232a到232t。每个调制器232可处理各自相应的输出码元流(例如，针对OFDM等)以获得输出采样流。每个调制器232可进一步处理(例如，转换至模拟、放大、滤波、及上变频)输出采样流以获得下行链路信号。来自调制器232a到232t的T个下行链路信号可分别经由T个天线234a到234t被传送。根据以下更详细描述的各个方面，可利用位置编码来生成同步信号以传达附加信息。

在UE 120处，天线252a到252r可接收来自基站110和/或其他基站的下行链路信号并且可分别向解调器(DEMOD)254a到254r提供收到信号。每个解调器254可调理(例如，滤波、放大、下变频、及数字化)收到信号以获得输入采样。每个解调器254可进一步处理输入采样(例如，针对OFDM等)以获得收到码元。MIMO检测器256可获得来自所有R个解调器254a到254r的收到码元，在适用的情况下对这些收到码元执行MIMO检测，并且提供检出码元。接收处理器258可处理(例如，解调和解码)这些检出码元，将针对UE 120的经解码数据提供给数据阱260，并且将经解码的控制信息和系统信息提供给控制器/处理器280。信道处理器可确定参考信号收到功率(RSRP)、收到信号强度指示符(RSSI)、参考信号收到质量(RSRQ)、信道质量指示符(CQI)等。在一些方面，UE 120的一个或多个组件可被包括在外壳中。

在上行链路上，在UE 120处，发射处理器264可接收和处理来自数据源262的数据和来自控制器/处理器280的控制信息(例如，针对包括RSRP、RSSI、RSRQ、CQI等的报告)。发射处理器264还可生成用于一个或多个参考信号的参考码元。来自发射处理器264的码元可在适用的情况下由TX MIMO处理器266预编码，进一步由调制器254a到254r处理(例如，针对DFT-s-OFDM、CP-OFDM等)，并且传送给基站110。在基站110处，来自UE 120以及其他UE的上行链路信号可由天线234接收，由解调器232处理，在适用的情况下由MIMO检测器236检测，并由接收处理器238进一步处理以获得经解码的由UE 120发送的数据和控制信息。接收处理器238可将经解码的数据提供给数据阱239，并将经解码的控制信息提供给控制器/处理器240。基站110可包括通信单元244并且经由通信单元244与网络控制器130进行通信。网络控制器130可包括通信单元294、控制器/处理器290、以及存储器292。

基站110的控制器/处理器240、UE 120的控制器/处理器280、和/或图2的(诸)任何其他组件可执行与MAC安全性相关联的一种或多种技术，如在本文别处更详细地描述的。例如，基站110的控制器/处理器240、UE 120的控制器/处理器280、和/或图2的(诸)任何其他组件可执行或指导例如图6的过程600、图7的过程700、和/或如本文中所描述的其他过程的操作。存储器242和282可分别存储用于基站110和UE 120的数据和程序代码。调度器246可调度UE以进行下行链路和/或上行链路上的数据传输。

所存储的程序代码在由UE 120处的处理器280和/或其他处理器和模块执行时可使UE 120执行关于图6的过程600和/或如本文描述的其他过程所描述的操作。所存储的程序代码在由基站110处的处理器240和/或其他处理器和模块执行时可使基站110执行关于图7的过程700和/或如本文描述的其他过程所描述的操作。调度器246可调度UE以进行下行链路和/或上行链路上的数据传输。

在一些方面，UE 120可包括：用于向BS 110传送指示UE 120的MAC安全性能力的信息的装置；用于从BS 110接收包括对用于UE 120与BS 110之间的通信的MAC安全性配置的指示的通信的装置，其中对MAC安全性配置的指示至少部分地基于UE 120的MAC安全性能力；等等。在一些方面，此类装置可包括结合图2所描述的UE 120的一个或多个组件。

在一些方面，基站110可包括：用于从UE 120接收指示UE 120的MAC安全性能力的信息的装置；用于向UE 120传送包括对用于UE 120与BS 110之间的通信的MAC安全性配置的指示的通信的装置，其中对MAC安全性配置的指示至少部分地基于UE 120的MAC安全性能力；等等。在一些方面，此类装置可包括结合图2所描述的基站110的一个或多个组件。

尽管图2中的框被解说为不同的组件，但是以上关于这些框所描述的功能可以用单个硬件、软件、或组合组件或者组件的各种组合来实现。例如，关于发射处理器264、接收处理器258和/或TX MIMO处理器266所描述的功能可以由处理器280执行或在处理器280的控制下执行。

如上面所指示的，图2仅仅是作为示例来提供的。其他示例可以不同于关于图2所描述的内容。

图3解说了根据本公开的各方面的分布式RAN 300的示例逻辑架构。5G接入节点306可包括接入节点控制器(ANC)302。ANC可以是分布式RAN 300的中央单元(CU)。至下一代核心网(NG-CN)304的回程接口可终接于ANC处。至相邻下一代接入节点(NG-AN)的回程接口可终接于ANC处。ANC可包括一个或多个TRP 308(其还可被称为BS、NR BS、B节点、5G NB、AP、gNB或某个其他术语)。如上面所描述，TRP可与“蜂窝小区”可互换地使用。

TRP 308可以是分布式单元(DU)。TRP可被连接到一个ANC(ANC 302)或者一个以上ANC(未解说)。例如，对于RAN共享、无线电即服务(RaaS)和因服务而异的AND部署，TRP可被连接到一个以上ANC。TRP可包括一个或多个天线端口。TRP可被配置成个体地(例如，动态选择)或联合地(例如，联合传输)服务至UE的话务。

可使用RAN 300的本地架构来解说去程(fronthaul)定义。该架构可被定义为支持跨不同部署类型的去程解决方案。例如，该架构可至少部分地基于传送网络能力(例如，带宽、等待时间和/或抖动)。

该架构可与LTE共享特征和/或组件。根据各方面，下一代AN(NG-AN)310可支持与NR的双连通性。对于LTE和NR，NG-AN可共享共用去程。

该架构可实现各TRP 308之间和之中的协作。例如，可在TRP内和/或经由ANC 302跨各TRP预设协作。根据各方面，可以不需要/不存在TRP间接口。

根据各方面，RAN 300的架构内可存在拆分逻辑功能的动态配置。分组数据汇聚协议(PDCP)、无线电链路控制(RLC)、媒体接入控制(MAC)协议可适应性地放置于ANC或TRP处。

根据各个方面，BS可包括中央单元(CU)(例如，ANC 302)和/或一个或多个分布式单元(例如，一个或多个TRP 308)。在一些方面，BS的CU可生成用于与BS相关联的各种安全性实现的BS密钥。各种安全性实现可包括加密/解密、完整性保护等等。在一些方面，CU可至少部分地基于BS密钥生成一个或多个其他密钥，诸如用于与BS相关联的CU和/或DU处的无线电资源控制(RRC)安全性的一个或多个密钥、用于与BS相关联的CU和/或DU处的用户面(UP)安全性的一个或多个密钥、用于与BS相关联的CU和/或DU处的MAC安全性的一个或多个密钥等等。在一些方面，CU和/或DU可使用至少部分地基于BS密钥生成的一个或多个密钥来加密和解密与UE的通信、对与UE的通信进行完整性保护等等。

如上面所指示的，图3仅仅是作为示例来提供的。其他示例可以不同于关于图3所描述的内容。

图4解说了根据本公开的各方面的分布式RAN 400的示例物理架构。集中式核心网单元(C-CU)402可主存核心网功能。C-CU可被集中地部署。C-CU功能性可被卸载(例如，至高级无线服务(AWS))以力图处置峰值容量。

集中式RAN单元(C-RU)404可主存一个或多个ANC功能。可任选地，C-RU可在本地主存核心网功能。C-RU可以具有分布式部署。C-RU可以更靠近网络边缘。

分布式单元(DU)406可主存一个或多个TRP。DU可位于具有射频(RF)功能性的网络的边缘处。

如上面在图3中所指示的，BS可包括中央单元(CU)(例如，C-CU 402)和/或一个或多个分布式单元(例如，一个或多个DU 406)。在一些方面，BS的C-CU 402可生成用于与BS相关联的各种安全性实现的BS密钥。各种安全性实现可包括加密/解密、完整性保护等等。在一些方面，C-CU 402可至少部分地基于BS密钥生成一个或多个其他密钥，诸如用于与BS相关联的C-CU 402和/或DU 406处的无线电资源控制(RRC)安全性的一个或多个密钥、用于与BS相关联的C-CU 402和/或DU 406处的用户面(UP)安全性的一个或多个密钥、用于与BS相关联的C-CU 402和/或DU 406处的MAC安全性的一个或多个密钥等等。在一些方面，C-CU402和/或DU 406可使用至少部分地基于BS密钥生成的一个或多个密钥来加密和解密与UE的通信、对与UE的通信进行完整性保护等等。

如上面所指示的，图4仅仅是作为示例来提供的。其他示例可以不同于关于图4所描述的内容。

图5A-5F是解说根据本公开的各个方面的MAC安全性的示例500的示图。如图5A-5F中所示，示例500可包括BS 110和UE 120。在一些方面，BS 110和UE 120可被包括在无线网络(例如，无线网络100)中。在一些方面，BS 110可包括CU(例如，C-CU 402或另一类型的CU)以及一个或多个DU(例如，DU 406)。

如图5A中并且由附图标记502所示，为了发起BS 110与UE 120之间的MAC安全性，UE 120可向BS 110传送指示UE 120的MAC安全性能力的信息。在一些方面，UE 120可至少部分地基于与BS 110进行通信地连接、至少部分地基于被切换至BS 110等等来传送指示UE120的MAC安全性能力的信息。在一些方面，指示UE的MAC安全性能力的信息可包括标识UE120是否能够在MAC协议数据单元(PDU)级别、在MAC子PDU类型级别、在个体MAC-控制元素(MAC-CE)级别等等处实现MAC安全性的信息。

在一些方面，MAC PDU可包括多个MAC子PDU。多个MAC子PDU的子集可包括MAC-CE，而多个MAC子PDU中的其他MAC子PDU可包括MAC服务数据单元(SDU)或填充(例如，被添加至MAC PDU以将MAC PDU的大小与MAC PDU的期望传输块大小(TBS)对齐的比特)。

在一些方面，MAC安全性的MAC PDU级别可包括保障整个MAC PDU或不保障整个MACPDU的能力。在该情形中，UE 120要么能够保障所有MAC子PDU要么不能够保障MAC PDU中的任何MAC子PDU。在一些方面，MAC安全性的MAC子PDU类型级别可包括选择性地保障MAC PDU中所包括的某些类型的MAC子PDU的能力，这减少了将MAC安全性应用于MAC PDU的开销。例如，UE 120可以能够选择性地仅保障包括MAC-CE的MAC子PDU。在一些方面，MAC安全性的MAC-CE级别可包括选择性地保障特定MAC-CE的能力，这进一步减少了将MAC安全性应用于MAC PDU的开销，同时增加了将MAC安全性应用于MAC PDU的灵活性。

如图5A中并且由附图标记504进一步所示，BS 110可向UE 120传送对用于UE 120与BS 110之间的通信的MAC安全性配置的指示。在一些方面，BS 110可至少部分地基于接收到对UE 120的MAC安全性能力的指示、至少部分地基于对UE 120的切换被发起等等来传送对MAC安全性配置的指示。在一些方面，切换可包括BS内切换，诸如BS 110的第一DU与BS110的第二DU之间的切换。在一些方面，切换可包括BS间切换(其也可被称为基于Xn的切换)，诸如另一BS与BS 110之间的切换、另一BS的DU至BS 110的DU之间的切换等等。在一些方面，BS 110可在RRC重配置通信和/或另一类型的信令通信中传送对MAC安全性配置的指示。

在一些方面，对MAC安全性配置的指示可指示要应用于UE 120与BS 110之间所传送的MAC PDU的MAC安全性级别。例如，对MAC安全性配置的指示可指示MAC安全性的MAC PDU级别将被应用于UE 120与BS 110之间所传送的MAC PDU，可指示MAC安全性的MAC子PDU类型级别将被应用于UE 120与BS 110之间所传送的MAC PDU，或者可指示MAC安全性的MAC-CE级别将被应用于UE 120与BS 110之间所传送的MAC PDU。

在一些方面，对MAC安全性配置的指示可至少部分地基于UE 120的MAC安全性能力。例如，BS 110可将对MAC安全性配置的指示配置为匹配UE 120的MAC安全性能力。以此方式，BS 110可配置对MAC安全性配置的指示，使得MAC安全性配置与UE 120的MAC安全性能力相兼容。在一些方面，对MAC安全性配置的指示可至少部分地基于其他因素(诸如UE 120与BS 110之间的连接上的可用带宽)、至少部分地基于在特定MAC PDU中传送的信息的类型、至少部分地基于BS 110被配置成挑选UE 120可支持的最高或最低MAC安全性级别、和/或其他因素。

如图5B中并且由附图标记506所示，UE 120和BS 110可生成一个或多个密钥。在一些方面，BS 110可至少部分地基于接收到对UE 120的MAC安全性能力的指示、至少部分地基于对UE 120的切换被发起等等来生成一个或多个密钥。在一些方面，UE 120可至少部分地基于接收到要(例如，在包括对MAC安全性配置的指示的RRC重配置通信中)生成一个或多个密钥的指示、基于至少部分地基于对UE 120的切换被发起等等来生成一个或多个密钥。

图5C-5E解说了可由UE 120和BS 110生成的一个或多个密钥的各种密钥结构。如图5C-5E所示，UE 120和BS 110可生成与BS 110相关联的BS密钥(K

如图5C所示，如果RRC通信在BS 110的CU处发起和终止，则与CU相关联的一个或多个密钥集合可包括RRC密钥集合和UP密钥集合。RRC密钥集合可包括RRC加密密钥(K

如图5C中进一步所示，如果RRC通信在BS 110的CU处发起和终止，则与DU相关联的一个或多个密钥集合可包括DU密钥(K

在一些方面，UE 120和BS 110可至少部分地基于K

K

式1

其中P

在一些方面，对于BS 110的DU而言唯一的一个或多个参数可包括与该DU相关联的物理蜂窝小区标识符(PCI)、由该DU随机地生成的随机数、对于该DU而言唯一的字母数字字符串、对于该DU而言唯一的另一类型的标识符、和/或将该DU与BS 110的其他DU和/或被包括在无线网络中的其他BS的其他DU区分开的任何其他参数。在一些方面，BS 110可在包括对MAC安全性配置的指示的相同通信中或在不同通信中传送对于BS 110的DU而言唯一的这一个或多个参数。

如图5D所示，如果RRC通信在BS 110的DU处发起和终止，则与CU相关联的一个或多个密钥集合可包括UP密钥集合(K

如图5E所示，如果RRC通信在BS 110的DU处发起和终止，则取代具有用于RRC通信和MAC安全性的分开的密钥集合，UE 120和BS 110可从K

如图5F中并且由附图标记508所示，UE 120和BS 110可实现用于UE 120与BS 110之间所传送的MAC PDU通信的MAC安全性。在一些方面，UE 120和BS 110可至少部分地基于由BS 110指示的MAC安全性配置、至少部分地基于由UE 120和BS 110生成的一个或多个密钥等等来实现MAC安全性。

在一些方面，UE 120和/或BS 110的DU可生成要被传送的MAC PDU通信，使得该MACPDU通信包括多个MAC子PDU。多个MAC子PDU可包括MAC安全性CE、一个或多个MAC-CE、一个或多个MAC SDU、和/或填充。在一些方面，UE 120和/或BS 110的DU可将MAC安全性CE配置为包括与用于MAC PDU通信的MAC安全性相关联的信息。与用于MAC PDU通信的MAC安全性相关联的信息可至少部分地基于用于UE 120与BS 110之间的通信的MAC安全性配置。

例如，如果MAC安全性配置指示MAC安全性将被用于整个MAC PDU通信，则与用于MAC PDU通信的MAC安全性相关联的信息可包括对MAC PDU通信的长度的指示。UE 120和/或BS 110的DU可使用对MAC PDU通信的长度的指示来确定MAC PDU通信中所包括的将被解码和/或经受完整性检查的比特数量。

作为另一示例，如果MAC安全性配置指示MAC安全性将被用于包括MAC-CE的所有MAC子PDU，则与用于MAC PDU通信的MAC安全性相关联的信息可包括对MAC PDU通信中所包括的包括MAC-CE的所有MAC子PDU的数量的指示、以及对MAC PDU通信中所包括的包括MAC-CE的所有MAC子PDU的经组合长度的指示。由于包括MAC-CE的MAC子PDU可位于MAC PDU通信中的连续块中，因此UE 120和/或BS 110的DU可使用对该经组合长度的指示来标识MAC子PDU的毗连块，并且可使用对该数量的指示来确定毗连块中所包括的将被解密和/或经受完整性检查的MAC子PDU的数量。

作为另一示例，如果MAC安全性配置指示MAC安全性将被用于包括MAC-CE的MAC子PDU的子集，则与用于MAC PDU通信的MAC安全性相关联的信息可包括对MAC子PDU的子集中所包括的MAC子PDU的数量的指示，可包括对与MAC子PDU的子集相关联的相应标识符的指示，并且可包括对MAC子PDU的子集的相应长度的指示。UE 120和/或BS 110的DU可使用对数量的指示、对相应标识符的指示、和对相应长度的指示来标识将被解密和/或经受完整性检查的MAC子PDU的子集。

在一些方面，与用于MAC PDU的MAC安全性相关联的信息可包括与MAC PDU通信相关联的MAC安全性序列号。MAC安全性序列号可以是MAC PDU通信所特有的，并且可针对每个后续MAC PDU通信的传输被顺序地递增。如果UE 120和/或BS 110的DU接收MAC PDU并且确定MAC安全性序列相对于先前接收到的MAC PDU通信没有被递增或乱序，则UE 120和/或BS110的DU可丢弃该MAC PDU通信和/或传送用于重传该MAC PDU通信的指令。以此方式，如果潜在恶意实体拦截UE 120与BS 110的DU之间的MAC PDU通信并尝试将该MAC PDU通信用于恶意目的，则MAC PDU通信的接收方(例如，UE 120或BS 110的DU)可通过首先检视MAC安全性序列号来防止恶意目的。

在一些方面，UE 120和/或BS 110可进一步通过使用与BS 110的DU相关联的K

作为另一示例，传送方可通过在完整性保护算法(诸如在3GPP TS 33.501 D.3中指定的完整性保护)中使用K

接收方可接收MAC PDU并且可通过在解密算法(诸如在3GPP TS 33.501 D.2中指定的解密算法)中使用K

作为另一示例，接收方可通过在完整性保护算法(诸如在3GPP TS 33.501 D.3中指定的完整性保护算法)中使用K

以此方式，UE 120可向BS 110传送对UE 120的MAC安全性能力的指示。BS 110可向UE 120传送对用于UE 120与BS 110之间的通信的MAC安全性配置的指示。MAC安全性配置可至少部分地基于UE 120的MAC安全性能力，并且可指示在对UE 120与BS 110之间所传送的MAC PDU进行加密、解密和/或完整性保护时要使用的MAC安全性级别。而且，UE 120和BS110可生成在对UE 120与BS 110之间所传送的MAC PDU进行加密、解密和/或完整性保护时可被使用的各种密钥。以此方式，UE 120和BS 110可实现用于UE 120与BS 110之间所传送的MAC PDU的MAC安全性，这增加了MAC PDU的安全性、防止MAC PDU的性能降级和攻击等等。

如上文所指示的，图5A-5F是作为示例来提供的。其他示例可以不同于关于图5A-5F所描述的内容。

图6是解说根据本公开的各个方面的例如由UE执行的示例过程600的示图。示例过程600是其中UE(例如，UE 120)执行MAC安全性的示例。

如图6所示，过程600可包括向BS传送指示UE的MAC安全性能力的信息(框610)。例如，UE(例如，发射处理器264、控制器/处理器280、存储器282等等)可向基站(BS)传送指示UE的MAC安全性能力的信息，如上面所描述。

如图6中进一步所示，过程600可包括从BS接收包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，其中对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力(框620)。例如，UE可(例如，使用接收处理器258、控制器/处理器280、存储器282等等来)从BS接收包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，如上面所描述。在一些方面，对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力。

过程600可包括附加方面，诸如下文和/或结合在本文别处描述的一个或多个其他过程所描述的任何单个实现或各方面的任何组合。

在第一方面，对MAC安全性配置的指示包括关于MAC安全性将被用于UE与BS之间所传送的整个MAC PDU的指示、关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的指示、或关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的MAC子PDU的子集的指示。在单独或结合第一方面的第二方面，该通信包括对于BS的DU而言唯一的一个或多个参数，并且过程600包括至少部分地基于对于DU而言唯一的该一个或多个参数来生成要被用于UE与DU之间的通信的DU密钥。

在单独或结合第一或第二方面中的一者或多者的第三方面，生成DU密钥包括至少部分地基于与BS相关联的BS密钥生成DU密钥。在一些方面，生成DU密钥包括在密钥推导函数中使用对于DU而言唯一的该一个或多个参数和该BS密钥。在单独或结合第一至第三方面中的一者或多者的第四方面，对于DU而言唯一的该一个或多个参数包括以下各项中的至少一者：与DU相关联的PCI、由DU随机地生成的随机数、或字母数字字符串。在单独或结合第一至第四方面中的一者或多者的第五方面，过程600包括至少部分地基于DU密钥生成与DU相关联的MAC加密密钥和与DU相关联的MAC完整性密钥。

在单独或结合第一至第五方面中的一者或多者的第六方面，过程600包括至少部分地基于DU密钥生成与DU相关联的RRC加密密钥、与DU相关联的RRC完整性密钥、与DU相关联的MAC加密密钥、和与DU相关联的MAC完整性密钥。在单独或结合第一至第六方面中的一者或多者的第七方面，过程600包括至少部分地基于DU密钥生成与DU相关联的DU加密密钥和与DU相关联的DU完整性密钥。在单独或结合第一至第七方面中的一者或多者的第八方面，过程600包括至少部分地基于其中DU加密密钥和RRC输入参数被使用的解密算法来解密从DU接收的RRC通信、或至少部分地基于其中DU加密密钥和RRC输入参数被使用的加密算法来加密要传送至DU的RRC通信。

在单独或结合第一至第八方面中的一者或多者的第九方面，过程600包括至少部分地基于其中DU加密密钥和MAC输入参数被使用的解密算法来解密从DU接收的MAC PDU通信、或至少部分地基于其中DU加密密钥和MAC输入参数被使用的加密算法来加密要传送至DU的MAC PDU通信。

在单独或结合第一至第九方面中的一者或多者的第十方面，过程600包括至少部分地基于其中DU完整性密钥和RRC输入参数被使用的完整性算法来生成消息认证码。在单独或结合第一至第十方面中的一者或多者的第十一方面，过程600包括至少部分地基于其中DU完整性密钥和MAC输入参数被使用的完整性算法来生成消息认证码。在单独或结合第一至第十一方面中的一者或多者的第十二方面，过程600包括从BS接收MAC PDU、标识MACPDU中所包括的MAC安全性CE、以及至少部分地基于MAC安全性配置来标识MAC安全性CE中所包括的与MAC PDU的MAC安全性相关联的信息。

在单独或结合第一至第十二方面中的一者或多者的第十三方面，与MAC PDU的MAC安全性相关联的信息包括与MAC PDU相关联的MAC安全性序列号。在单独或结合第一至第十三方面中的一者或多者的第十四方面，对MAC安全性配置的指示包括关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的指示。在单独或结合第一至第十四方面中的一者或多者的第十五方面，与MAC PDU的MAC安全性相关联的信息包括对MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的数量的指示、以及对MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的经组合长度的指示。

在单独或结合第一至第十五方面中的一者或多者的第十六方面，对MAC安全性配置的指示包括关于MAC安全性将被用于UE与BS之间所传送的整个MAC PDU的指示。在单独或结合第一至第十六方面中的一者或多者的第十七方面，与MAC PDU的MAC安全性相关联的信息包括对MAC PDU的长度的指示。在单独或结合第一至第十七方面中的一者或多者的第十八方面，对MAC安全性配置的指示包括关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的MAC子PDU的子集的指示。在单独或结合第一至第十八方面中的一者或多者的第十九方面，与MAC PDU的MAC安全性相关联的信息包括对MAC子PDU的子集中所包括的MAC子PDU的数量的指示、以及对MAC子PDU的子集中所包括的每个MAC子PDU的相应长度的指示。

在单独或结合第一至第十九方面中的一者或多者的第二十方面，过程600包括为去往BS的传输生成MAC PDU、以及至少部分地基于MAC安全性配置来配置MAC PDU中所包括的MAC安全性CE，其中该MAC安全性CE包括与MAC PDU的MAC安全性相关联的信息。在单独或结合第一至第二十方面中的一者或多者的第二十一方面，与MAC PDU的MAC安全性相关联的信息包括与MAC PDU相关联的MAC安全性序列号。

在单独或结合第一至第二十一方面中的一者或多者的第二十二方面，对MAC安全性配置的指示包括关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的指示。在单独或结合第一至第二十二方面中的一者或多者的第二十三方面，与MACPDU的MAC安全性相关联的信息包括对MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的数量的指示、以及对MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的经组合长度的指示。在单独或结合第一至第二十三方面中的一者或多者的第二十四方面，对MAC安全性配置的指示包括关于MAC安全性将被用于UE与BS之间所传送的整个MAC PDU的指示。在单独或结合第一至第二十四方面中的一者或多者的第二十五方面，与MAC PDU的MAC安全性相关联的信息包括对MAC PDU的长度的指示。

在单独或结合第一至第二十五方面中的一者或多者的第二十六方面，对MAC安全性配置的指示包括关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的MAC子PDU的子集的指示。在单独或结合第一至第二十六方面中的一者或多者的第二十七方面，与MACPDU的MAC安全性相关联的信息包括对MAC子PDU的子集中所包括的MAC子PDU的数量的指示、以及对MAC子PDU的子集中所包括的每个MAC子PDU的相应长度的指示。

在单独或结合第一至第二十七方面中的一者或多者的第二十八方面，接收该通信包括至少部分地基于第一DU与第二DU之间的切换被发起来接收该通信。在单独或结合第一至第二十八方面中的一者或多者的第二十九方面，第二DU与该BS相关联并且第一DU与该BS或另一BS相关联。在单独或结合第一至第二十九方面中的一者或多者的第三十方面，该通信包括要生成与第一DU相关联的DU密钥的指示。在单独或结合第一至第三十方面中的一者或多者的某个第三十一方面，过程600包括至少部分地基于要生成与第一DU相关联的DU密钥的指示来生成与第一DU相关联的DU密钥。

在单独或结合第一至第三十一方面中的一者或多者的第三十二方面，该切换是基于Xn的切换。在单独或结合第一至第三十二方面中的一者或多者的第三十三方面，过程600包括生成与关联于第一DU的BS相关联的BS密钥、以及至少部分地基于该BS密钥来生成与第一DU相关联的DU密钥。在单独或结合第一至第三十三方面中的一者或多者的第三十四方面，该通信包括RRC重配置通信。

尽管图6示出了过程600的示例框，但在一些方面，过程600可包括与图6中所描绘的框相比附加的框、更少的框、不同的框或不同地布置的框。附加地或替换地，过程600的两个或更多个框可以并行执行。

图7是解说根据本公开的各个方面的例如由BS执行的示例过程700的示图。示例过程700是其中BS(例如，BS 110)执行MAC安全性的示例。

如图7所示，过程700可包括从UE接收指示UE的MAC安全性能力的信息(框710)。例如，BS可(例如，使用接收处理器238、控制器/处理器240、存储器242等等来)从UE接收指示UE的MAC安全性能力的信息，如上面所描述。

如图7中进一步所示，过程700可包括向UE传送包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，其中对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力(框720)。例如，BS可(例如，使用发射处理器220、控制器/处理器240、存储器242等等来)向UE传送包括对用于UE与BS之间的通信的MAC安全性配置的指示的通信，如上面所描述。在一些方面，对MAC安全性配置的指示至少部分地基于UE的MAC安全性能力。

过程700可包括附加方面，诸如下文和/或结合在本文别处描述的一个或多个其他过程所描述的任何单个实现或各方面的任何组合。

在第一方面，对MAC安全性配置的指示包括关于MAC安全性将被用于UE与BS之间所传送的整个MAC PDU的指示、关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的指示、或关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的MAC子PDU的子集的指示。

在单独或结合第一方面的第二方面，该通信包括对于BS的DU而言唯一的一个或多个参数。在单独或结合第一方面或第二方面中的一者或多者的第三方面，过程700包括至少部分地基于对于DU而言唯一的该一个或多个参数来生成要被用于UE与DU之间的通信的DU密钥。在一些方面，生成DU密钥包括至少部分地基于与BS相关联的BS密钥来生成DU密钥。在单独或结合第一至第三方面中的一者或多者的第四方面，生成DU密钥包括在密钥推导函数中使用对于DU而言唯一的该一个或多个参数和该BS密钥。

在单独或结合第一至第四方面中的一者或多者的第五方面，对于DU而言唯一的该一个或多个参数包括以下各项中的至少一者：与DU相关联的PCI、由DU随机地生成的随机数、或字母数字字符串。在单独或结合第一至第五方面中的一者或多者的第六方面，过程700包括至少部分地基于DU密钥生成与DU相关联的MAC加密密钥和与DU相关联的MAC完整性密钥。在单独或结合第一至第六方面中的一者或多者的第七方面，过程700包括至少部分地基于DU密钥生成与DU相关联的RRC加密密钥、与DU相关联的RRC完整性密钥、与DU相关联的MAC加密密钥、和与DU相关联的MAC完整性密钥。

在单独或结合第一至第七方面中的一者或多者的第八方面，过程700包括至少部分地基于DU密钥生成与DU相关联的DU加密密钥和与DU相关联的DU完整性密钥。在单独或结合第一至第三方面中的一者或多者的第九方面，过程700包括至少部分地基于其中DU加密密钥和RRC输入参数被使用的解密算法来解密从DU接收的RRC通信、或至少部分地基于其中DU加密密钥和RRC输入参数被使用的加密算法来加密要传送至DU的RRC通信。

在单独或结合第一至第九方面中的一者或多者的第十方面，过程700包括至少部分地基于其中DU加密密钥和MAC输入参数被使用的解密算法来解密从DU接收的MAC PDU通信、或至少部分地基于其中DU加密密钥和MAC输入参数被使用的加密算法来加密要传送至DU的MAC PDU通信。在单独或结合第一至第十方面中的一者或多者的第十一方面，过程700包括至少部分地基于其中DU加密密钥和RRC输入参数被使用的完整性算法来生成消息认证码。

在单独或结合第一至第十一方面中的一者或多者的第十二方面，生成消息认证码至少部分地基于其中DU加密密钥和MAC输入参数被使用的完整性算法。在单独或结合第一至第十二方面中的一者或多者的第十三方面，过程700包括从UE接收MAC PDU、标识MAC PDU中所包括的MAC安全性CE、以及至少部分地基于MAC安全性配置来标识MAC安全性CE中所包括的与MAC PDU的MAC安全性相关联的信息。

在单独或结合第一至第十三方面中的一者或多者的第十四方面，与MAC PDU的MAC安全性相关联的信息包括与MAC PDU相关联的MAC安全性序列号。在单独或结合第一至第十四方面中的一者或多者的第十五方面，对MAC安全性配置的指示包括关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的指示。在单独或结合第一至第十五方面中的一者或多者的第十六方面，与MAC PDU的MAC安全性相关联的信息包括对MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的数量的指示、以及对MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的经组合长度的指示。

在单独或结合第一至第十六方面中的一者或多者的第十七方面，对MAC安全性配置的指示包括关于MAC安全性将被用于UE与BS之间所传送的整个MAC PDU的指示。在单独或结合第一至第十七方面中的一者或多者的第十八方面，与MAC PDU的MAC安全性相关联的信息包括对MAC PDU的长度的指示。在单独或结合第一至第十八方面中的一者或多者的第十九方面，对MAC安全性配置的指示包括关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的MAC子PDU的子集的指示。在单独或结合第一至第十九方面中的一者或多者的第二十方面，与MAC PDU的MAC安全性相关联的信息包括对MAC子PDU的子集中所包括的MAC子PDU的数量的指示、以及对MAC子PDU的子集中所包括的每个MAC子PDU的相应长度的指示。

在单独或结合第一至第二十方面中的一者或多者的第二十一方面，过程700包括：为去往UE的传输生成MAC PDU；至少部分地基于MAC安全性配置来配置MAC PDU中所包括的MAC安全性CE，其中该MAC安全性CE包括与MAC PDU的MAC安全性相关联的信息。在单独或结合第一至第二十一方面中的一者或多者的第二十二方面，与MAC PDU的MAC安全性相关联的信息包括与MAC PDU相关联的MAC安全性序列号。

在单独或结合第一至第二十二方面中的一者或多者的第二十三方面，对MAC安全性配置的指示包括关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的指示。在单独或结合第一至第二十三方面中的一者或多者的第二十四方面，与MACPDU的MAC安全性相关联的信息包括对MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的数量的指示、以及对MAC PDU中所包括的包括MAC-CE的所有MAC子PDU的经组合长度的指示。在单独或结合第一至第二十四方面中的一者或多者的第二十五方面，对MAC安全性配置的指示包括关于MAC安全性将被用于UE与BS之间所传送的整个MAC PDU的指示。在单独或结合第一至第二十五方面中的一者或多者的第二十六方面，与MAC PDU的MAC安全性相关联的信息包括对MAC PDU的长度的指示。

在单独或结合第一至第二十六方面中的一者或多者的第二十七方面，对MAC安全性配置的指示包括关于MAC安全性将被用于MAC PDU中所包括的包括MAC-CE的MAC子PDU的子集的指示。在单独或结合第一至第二十七方面中的一者或多者的第二十八方面，与MACPDU的MAC安全性相关联的信息包括对MAC子PDU的子集中所包括的MAC子PDU的数量的指示、以及对MAC子PDU的子集中所包括的每个MAC子PDU的相应长度的指示。在单独或结合第一至第二十八方面中的一者或多者的第二十九方面，传送该通信包括至少部分地基于第一DU与第二DU之间的切换被发起来传送该通信。

在单独或结合第一至第二十九方面中的一者或多者的第三十方面，第一DU与该BS相关联并且第二DU与该BS或另一BS相关联。在单独或结合第一至第三十方面中的一者或多者的第三十一方面，该通信包括要生成与第一DU相关联的DU密钥的指示。在单独或结合第一至第三十一方面中的一者或多者的第三十二方面，过程700包括生成与第一DU相关联的DU密钥。在一些方面，该切换是基于Xn的切换。在单独或结合第一至第三十二方面中的一者或多者的第三十三方面，过程700包括生成BS密钥和至少部分地基于该BS密钥来生成与第一DU相关联的DU密钥。在单独或结合第一至第三十三方面中的一者或多者的第三十四方面，该通信包括RRC重配置通信。

尽管图7示出了过程700的示例框，但在一些方面，过程700可包括与图7中所描绘的框相比附加的框、更少的框、不同的框或不同地布置的框。附加地或替换地，过程700的两个或更多个框可以并行执行。

前述公开提供了解说和描述，但不旨在穷举或将各方面限于所公开的精确形式。修改和变体可以鉴于以上公开内容来作出或者可通过实践各方面来获得。

如本文中所使用的，术语“组件”旨在被宽泛地解释为硬件、固件、或硬件和软件的组合。如本文所使用的，处理器用硬件、固件、或硬件和软件的组合实现。

本文中所描述的系统和/或方法可以按硬件、固件、或硬件和软件的组合的不同形式来实现将会是显而易见的。用于实现这些系统和/或方法的实际的专用控制硬件或软件代码不限制各方面。由此，这些系统和/或方法的操作和行为在本文中在不参照特定软件代码的情况下描述—理解到，软件和硬件可被设计成至少部分地基于本文的描述来实现这些系统和/或方法。

尽管在权利要求书中叙述和/或在说明书中公开了特定特征组合，但这些组合不旨在限制各个方面的公开。事实上，许多这些特征可以按权利要求书中未专门叙述和/或说明书中未公开的方式组合。尽管以下列出的每一项从属权利要求可以直接从属于仅仅一项权利要求，但各个方面的公开包括每一项从属权利要求与这组权利要求中的每一项其他权利要求相组合。引述一列项目“中的至少一者”的短语指代这些项目的任何组合，包括单个成员。作为示例，“a、b或c中的至少一者”旨在涵盖：a、b、c、a-b、a-c、b-c、和a-b-c，以及具有多重相同元素的任何组合(例如，a-a、a-a-a、a-a-b、a-a-c、a-b-b、a-c-c、b-b、b-b-b、b-b-c、c-c、和c-c-c，或者a、b和c的任何其他排序)。

本文所使用的元素、动作或指令不应被解释为关键或必要的，除非被明确描述为这样。而且，如本文所使用的，冠词“一”和“某一”旨在包括一个或多个项目，并且可与“一个或多个”可互换地使用。此外，如本文中使用的，术语“集(集合)”和“群”旨在包括一个或多个项目(例如，相关项、非相关项、相关项和非相关项的组合等)，并且可以与“一个或多个”可互换地使用。在旨在仅有一个项目的场合，使用短语“仅一个”或类似语言。而且，如本文所使用的，术语“具有”、“含有”、“包含”等旨在是开放性术语。此外，短语“基于”旨在意指“至少部分地基于”，除非另外明确陈述。