用于无线网络中的物理信道加密的方法、设备和系统

技术领域

本公开总体上涉及无线通信，并且尤其涉及用于对无线通信网络中的物理信道进行加密/解密的方法、系统和设备。

背景技术

无线通信被用于广泛的应用，包括金融相关应用(例如，银行业务和交易)、健康监测、社交网络等。安全是无线网络的设计和使用中的一个重要方面。传统上，安全是在通信网络的更高逻辑层实现的，而不是在物理信道级别实现的。

发明内容

本公开涉及用于对无线通信网络中的物理信道进行加密/解密的方法、系统和设备。

在一个实施例中，公开了一种用于在无线通信网络中进行物理信道加密的方法。由用户设备(User Equipment，UE)执行的该方法可以包括：获得用于对第一物理信道进行解密的第一密钥，第一物理信道是加密的；以及基于第一密钥对第一物理信道进行解密，以获得由第一网元发送的信号或数据，该信号或数据被承载在第一物理信道中。

在另一实施例中，公开了一种用于在无线通信网络中对物理信道进行加密的方法。由无线通信网络的网元执行的该方法可以包括以下项中的至少一项：基于密钥在比特级对物理信道进行加密；基于密钥在调制符号级对物理信道进行加密；或基于密钥在时域符号级对物理信道进行加密。

在又一实施例中，公开了一种用于在无线通信网络中进行无线通信的方法。无线通信网络包括第一网络和第二网络。由UE执行的该方法可以包括：经由未加密的物理信道执行对第一网络的初始接入；从第一网络获取密钥，该密钥适用于第二网络中的物理信道；以及基于该密钥在第二网络中执行一组操作。

在一些实施例中，存在一种无线通信设备，该无线通信设备包括处理器和存储器，其中，处理器被配置为从存储器读取代码并实现在各实施例中的任何实施例中所述的任何方法。

在一些实施例中，一种包括计算机可读程序介质的计算机程序产品，代码被存储在该计算机可读程序介质上，该代码在被处理器执行时促使该处理器实现在各实施例中的任何实施例中所述的任何方法。

上述实施例和其它方面及其实施方式的替代在以下附图、具体实施方式和权利要求书中进行了更详细的描述。

附图说明

图1示出了示例性无线通信网络。

图2示出了无线通信网络中的示例性物理信道。

图3a示出了示例性的具有未加密物理信道的第一类频谱和具有加密物理信道的第二类频谱。

图3b示出了示例性的具有加密物理信道的第一类频谱和第二类频谱。

图4示出了示例性密钥分发机制。

图5示出了另一示例性密钥分发机制。

图6示出了包括初始接入网络和专用网络的示例性无线通信网络。

具体实施方式

以下描述和附图详细阐述了本公开的某些说明性实施方式，这些说明性实施方式指示了可执行本公开的各种原理的数种示例方式。然而，所示出的示例没有穷举本公开的许多可能的实施例。在结合附图考虑时，以下详细描述将阐述本公开的其它目的、优点和新颖特征。

引言

图1示出了示例性无线通信网络100，该无线通信网络100包括核心网110和无线接入网(Radio Access Network，RAN)120。核心网110还包括至少一个移动性管理实体(Mobility Management Entity，MME)112和/或至少一个接入和移动性管理功能(Accessand Mobility Management Function，AMF)。在图1中没有示出可被包括在核心网110中的其它功能。RAN 120还包括多个基站，例如，基站122和基站124(也称为eNB 122和gNB 124)。基站可以包括至少一个用于4G LTE的演进型节点B(evolved NodeB，eNB)或用于5G新空口(New Radio，NR)的下一代节点B(Next generation NodeB，gNB)或任何其它类型的信号发送/接收设备(诸如通用移动通信系统(Universal Mobile Telecommunications System，UMTS)节点B)。eNB 122经由S1接口与MME 112通信。eNB 122和gNB 124两者都可以经由Ng接口连接到AMF 114。每个基站管理和支持至少一个小区。例如，基站gNB 124可以被配置为管理和支持小区1、小区2和小区3。

gNB 124还可以包括集中式单元(Central Unit，CU)和至少一个分布式单元(Distributed Unit，DU)。CU和DU可以共同位于同一位置，或者CU和DU可以分开在不同位置。CU和DU可以经由F1接口连接。替代地，对于能够连接到5G网络的eNB，该eNB也可以类似地被划分为CU和至少一个DU，该CU称为ng-eNB-CU，并且该至少一个DU称为ng-eNB-DU。ng-eNB-CU和ng-eNB-DU可以经由W1接口连接。

无线通信网络100可以包括一个或多个跟踪区域。跟踪区域可以包括由至少一个基站管理的一组小区。例如，标记为140的跟踪区域1包括小区1、小区2和小区3，并且还可以包括图1中未示出的、可由其它基站管理的更多小区。无线通信网络100还可以包括至少一个UE 160。UE可以在基站所支持的多个小区中选择并接入小区，以通过空中下载(Over theAir，OTA)无线通信接口和资源与基站通信。OTA接口可以包括被用于承载数据和/或信号的各种上行链路/下行链路物理信道。当UE 160在无线通信网络100中行进时，UE 160可以重新选择用于通信的小区。例如，UE 160可能初始选择小区1来与基站124通信，并且随后UE160可能在某个稍后时间点重新选择小区2。UE 160进行的小区选择或重选可以基于各种小区中的无线信号强度/质量和其它因素。

无线通信网络100可以被实现为例如2G、3G、4G/LTE、5G蜂窝通信网络、或6G无线网络。相应地，基站122和基站124可以被实现为2G基站、3G NodeB、LTE eNB、5G NR gNB、或6GNB。UE 160可以被实现为能够接入无线通信网络100的移动通信设备或固定通信设备。UE160可以包括但不限于：移动电话、膝上型计算机、平板电脑、个人数字助理、可穿戴设备、物联网(Internet of Things，IoT)设备、机器类通信(Machine Type Communication，MTC)/增强型机器类通信(enhanced Machine Type Communication，eMTC)设备、分布式远程传感器设备、路侧辅助设备、和台式计算机。

虽然下面的描述专注于如图1所示的蜂窝无线通信系统，但所述基本原理适用于其它类型的无线通信系统。这些其它无线系统可以包括但不限于：Wi-Fi、蓝牙(Bluetooth)、紫蜂(ZigBee)和全球微波接入互操作性(Worldwide Interoperability forMicrowave Access，WiMax)网络。

无线通信网络中的物理信道

图2示出了无线通信网络中的示例性物理信道。物理信道包括下行链路物理信道210和上行链路物理信道212，并且可以承载用户数据或信令数据。

下行链路物理信道可以包括物理下行链路共享信道(Physical Downlink SharedChannel，PDSCH)、物理下行链路控制信道(Physical Downlink Control Channel，PDCCH)和物理广播信道(Physical Broadcast Channel，PBCH)。在一些实施方式中，同步信号块(Synchronization Signal Block，SSB)可以由PBCH、主同步信号(PrimarySynchronization Signal，PSS)和辅同步信号(Secondary Synchronization Signal，SSS)形成。除了承载SSB之外，下行链路物理信道还可以承载解调参考信号(DemodulationReference Signal，DMRS)、相位跟踪参考信号(Phase Tracking Reference signal，PT-RS)、信道状态信息参考信号(Channel State Information Reference Signal，CSI-RS)等。

上行链路物理信道包括物理上行链路共享信道(Physical Uplink SharedChannel，PUSCH)、物理上行链路控制信道(Physical Uplink Control Channel，PUCCH)、物理随机接入信道(Physical Random Access Channel，PRACH)等。上行链路物理信道可以承载DMRS信号、PT-RS信号、探测参考信号(Sounding Reference Signal，SRS)等。

图2中未示出的是，物理信道占用了频域资源。频域资源可以由以下项表示：频率范围、频点、带宽部分(Bandwidth Part，BWP)、一个或多个物理资源块(Physical ResourceBlock，PRB)、一个或多个资源块(Resource Block，RB)等。物理信道还可以占用时域资源，该时域资源可以由以下项表示：符号、时隙、子帧、帧、超帧等。

应当理解的是，在无线通信网络中可能存在更多类型的物理信道。本公开中描述的用于对物理信道进行加密和解密的原理适用于无线通信网络中的所有类型的物理信道。

目前，在蜂窝网络(诸如4G LTE网络和5G NR网络)中，通过小区标识符在比特级对承载系统消息的物理信道进行加扰，并且小区标识符通过例如主同步信道和辅同步信道被承载。主同步信道和辅助同步信道对所有UE都是可接入的(或开放的)，不需要秘密密钥验证。因此，可以任意获得蜂窝网络的系统信息。恶意UE可以使用所获得的系统信息来干扰或攻击网络。利用系统信息的了解，这些干扰或攻击可以以例如特定频谱、特定信道或特定参考信号为目标。在这种情况下，网络很难定位问题并发现恶意UE的存在。此类干扰或攻击会影响整个网络的整体性能，并降低用户体验。

对实施例的简要描述

在本公开中，为了至少解决上述安全问题，引入了物理信道加密和解密。公开了各种实施例以详细描述物理信道加密/解密。

在一些实施例中，描述了分发用于物理信道加密和/或解密的密钥的各种方法。密钥可以例如由运营商或垂直行业预先分发给UE。一旦UE被网络认证，则密钥还可以被网络动态地授予。

在一些实施例中，一旦UE被网络认证，则UE可以首先经由预分发的密钥接入网络，并随后被授予另一密钥。预分发的密钥可能比授予的密钥弱。

在一些实施例中，无线网络中的频谱可以被分类，使得一个频谱中的物理信道被加密，而另一频谱中的物理信道不被加密且对所有UE开放。频谱可以对应于不同的安全级别，并且可能需要对应的密钥以满足该安全级别。

在一些实施例中，公开了用于对物理信道进行加密的各种方法。物理信道可以在不同级别被加密，这些级别包括比特级、调制符号级或时域符号级。加密可以基于根据加密密钥生成的伪随机序列。伪随机序列的初始值可以基于加密密钥。加密可以包括基于伪随机序列的相位旋转或基于伪随机序列的加扰。

在一些实施例中，所有物理信道都被加密，而在一些其它实施例中，仅部分物理信道被加密。

在一些实施例中，仅对上行链路物理信道或部分上行链路物理信道进行加密。

在一些实施例中，仅对下行链路物理信道或部分下行链路物理信道进行加密。

物理信道加密

在本公开中，描述了用于对物理信道进行加密的各种实施例。加密可以基于加密密钥(或者其可以被称为密钥、物理密钥、物理秘密密钥)。例如，加密可以基于伪随机序列，该伪随机序列进一步基于加密密钥。对应的物理信道解密可以基于与加密密钥对应的解密密钥。加密密钥和解密密钥具有对应关系，并且可以相同也可以不相同。在一些实施例中，为了简化的目的，加密密钥和解密密钥都可以被统称为密钥。在一些实施例中，密钥可以由包括n个比特的二进制格式表示或被转换为该二进制格式，其中n是非负整数。

在一些实施例中，上行链路物理信道和下行链路物理信道都可以被加密。在一些实施例中，只有下行链路物理信道可以被加密。在一些实施例中，只有上行链路物理信道可以被加密。

在一些实施例中，可以对所有物理信道进行加密。在一些实施例中，只有部分物理信道可以被加密，而其余物理信道可以对所有无线终端(或UE)开放。

可以在比特级执行加密。例如，对于码字中的每个比特。还可以在调制符号级执行加密。还可以在时域符号级执行加密。将在后面的实施例中公开更多细节。

实施例1-密钥分发

在一种实施方式中，密钥包括预分发的(pre-distributed)(或预分配的(pre-assigned)、预分配的(pre-allocated))密钥。使用预分发的密钥对物理信道进行加密。只有获得了或配置有密钥的UE才可以正确地对物理信道进行解密和解码，从而获得物理信道中承载的信息，诸如系统信息或广播消息。然后，UE可以基于例如系统信息或广播消息经由物理信道连接到网络(或接入网络)。在一些实施例中，无线通信网络还可以分配特定频谱，并且UE可以经由位于该特定频谱中的物理信道接入(或连接到)网络。该特定频谱可以被称为第一类频谱。

这种实施方式至少提供了如下安全改进：没有获得密钥的恶意UE不能获得系统消息，因此该恶意UE不能正确地对物理信道解密和解码。因此，在不知道用于接入网络的系统信息的情况下，恶意UE不会对特定频域或特定信道造成中断或干扰。因此，可以避免恶意UE进行的定向网络攻击。

预先分发的密钥可以由运营商预先分发并被写入UE的SIM卡中，或者该预先分发的密钥可以在通过WIFI接入或有线接入而接入特定网络之后由特定密钥管理节点分发。该特定网络可以是独立网络，并且可以连接到或可以不连接到无线通信网络。该特定网络还可以是无线通信网络的一部分，诸如无线通信网络的功能节点。具体地，为了获取密钥，UE可以不需要接入无线通信网络的基站或核心网来获得对该特定网络的接入。例如，该特定网络可以属于垂直行业并且可以包括局域网。替代地，密钥可以经由垂直应用行业(或垂直行业)(诸如：工业园或区域网络(例如，工厂拥有的区域网络))而被分发给UE。在一些实施方式中，垂直行业和区域网络可以被配置有特定规则以向UE分配和分发密钥。在一些实施方式中，可以经由安装在UE上的特定应用(APP)将密钥分发给UE。可以存在将密钥预先分发给UE的其它方式，其不限于本公开。

在密钥被分发给UE之后，该密钥可以被固定直到经由上述方法进行下一次密钥更新为止，或者密钥可以按照特定模式而被动态地更新，或者可以基于特定指示或预定义规则。例如，可以根据时隙索引、子帧索引、无线电帧索引、超帧(super frame)索引、超帧(hyper-frame)索引等来更新密钥。预定义规则可以由网络(例如，经由系统信息或专用信令消息，诸如给UE的无线资源控制(Radio Resource Control，RRC)消息)指示，或者可以与密钥一起被发送给UE。

密钥可以由专用节点分配，或者由配置有密钥分发功能的另一节点分配。密钥还可以由专用安全数据库分配。此类专用节点或安全数据库可以属于例如垂直行业、工业园、工厂等。密钥还可以由基站生成并分发，或者可以由核心网中的节点分配，核心网可以是运营商拥有的无线通信网络的一部分。在本公开中没有对如何将密钥分发给UE施加限制。

在一种实施方式中，密钥可以适用于特定频谱(即，频率谱)。频谱可以是预定义的，或者频谱可以由某个网络节点指示。频谱还可以被预先存储在SIM中，或者频谱可以由上述垂直应用行业进行分配。

在一种实施方式中，密钥可以适用于(即，用于加密和/或解密)所有物理信道。密钥可以仅适用于所有或部分下行链路物理信道。或者，密钥可以仅适用于所有或部分上行链路物理信道。或者，密钥可以适用于承载特定系统消息的物理信道。这些系统消息可以包括主信息块(Master Information Block，MIB)或任何系统信息块(System InformationBlock，SIB)(诸如SIB1、SIB2等)。

实施例2-密钥分发

在本实施例中，参考图3a，无线通信系统中的可用频谱可以包括两类：第一类频谱和第二类频谱。

第一类频谱中的物理信道未被加密。这是目前在4G LTE系统和5G NR系统中的实施方式。第一类频谱中的物理信道对所有UE开放。例如，UE可以在不需要用于对物理信道进行解密的密钥的情况下，对第一类频谱中的物理信道进行解码，例如，以获得系统信息。然后，UE能够根据系统信息使用第一类频谱中的频域资源来接入网络。在另一方面，通过使用密钥来对第二类频谱中的物理信道进行加密。可以对UE授予用于对第二类频谱中的物理信道进行解密的密钥。只有获得了密钥的UE才能正确地对第二类频谱中的物理信道进行解密和解码。在这种情况下，利用授予的密钥，UE可以随后获得第二类频谱中的物理信道中所承载的系统消息，并根据该系统消息使用第二类频谱中的频域资源来接入网络。然而，那些未被授予密钥的终端不能正确地对物理信道进行解密和解码。因此，利用密钥保护了使用第二类频谱对网络的接入。

在一种实施方式中，在UE在第一类频谱上接入网络之后，密钥(即，授予的密钥)可以被网络授予并被发送给UE。具体地，在UE在第一类频谱上接入网络之后，网络经由认证过程对UE进行进一步认证。认证过程可以涉及无线通信网络的基站和/或核心网节点。一旦UE被认证，则无线通信网络向UE发送授予的密钥，例如，基站向UE发送授予的密钥。然后，UE使用授予的密钥来对第二类频谱上的物理进行解密。

在一种实施方式中，授予的密钥适用于第二类频谱中的所有物理信道或仅部分物理信道。在另一实施方式中，授予的密钥适用于第二类频谱中的所有下行链路信道或部分下行链路信道。在又一实施方式中，授予的密钥适用于第二类频谱中的所有上行链路信道或部分上行链路信道。

网络可以向UE指示与UE的当前小区或服务对应的物理信道是否用密钥加密。该指示可以被承载在广播消息(例如，MIB消息或SIB消息)中。网络还可以向UE指示UE在使用第二频谱时需要使用授予的密钥。网络还可以向UE发送关于第二类频谱的信息。例如，第二类频谱信息可以包括频率列表、频点位置列表、频率范围、BWP列表、PRB列表或RB列表等。网络还可以指示UE的支持或利用物理信道加密的相邻小区列表。相邻小区列表可以是UE特定的或小区特定的。

在一种实施方式中，在授予的密钥被分发给UE之后，该授予的密钥可以被固定，直到下一次密钥更新为止。例如，更新的密钥可以通过网络授权而被授予。更新可以是周期性的，或者可以由事件触发。在另一实施方式中，密钥可以按照特定模式而被动态地更新，或者可以基于特定指示或预定义规则。例如，可以根据时隙索引、子帧索引、无线电帧索引、超帧(super frame)索引、超帧(hyper-frame)索引等来更新密钥。预定义规则可以由网络(例如，经由系统信息或专用信令消息，诸如给UE的RRC消息)指示，或者可以与授予的密钥一起被发送给UE。

密钥可以由专用节点授予，或者可以由配置有密钥分发功能的另一节点授予。密钥还可以由专用安全数据库分配。密钥还可以由基站生成并分发，或者可以由核心网中的节点分配。在本公开中没有对如何将密钥分发给UE施加限制。应当理解的是，UE只有在其向无线通信网络进行认证之后才可以获得授予的密钥。

在一种实施方式中，将整个频谱划分为第一类频谱和第二类频谱可以基于用于载波聚合场景的分量载波，诸如：一些分量载波对应于第一类频谱，而一些分量载波对应于第二类频谱。该划分还可以基于频段，诸如：一些频段对应于第一类频谱，而一些频段对应于第二类频谱。该划分还可以基于带宽部分(BWP)、物理资源块(PRB)或资源块(RB)。划分的方式不限于本公开。

在一种实施方式中，授予的密钥可以适用于(即，用于加密和/或解密)所有物理信道。或者，授予的密钥可以仅适用于所有或部分下行链路物理信道。或者，授予的密钥可以仅适用于所有或部分上行链路物理信道。或者，授予的密钥可以适用于承载特定系统消息的物理信道。这些系统消息可以包括主信息块(MIB)或任何系统信息块(SIB)(诸如SIB1、SIB2等)。

本实施例中的步骤在图4中进行了概述。这些步骤仅用于示例目的。在本实施例中，无线通信系统中的频谱被划分为两类。第一类频谱对所有UE开放。第二类频谱具有更严格的接入要求。具体地，UE需要首先基于从第一类频谱中的物理信道获得的系统信息来接入网络，并向网络进行认证。一旦认证了，则网络可以向UE授予用于对第二类频谱中的物理信道进行解密的密钥。在另一方面，恶意UE可能未被网络认证，并因此可能无法对第二类频谱中的物理信道进行解密。因此，防止了恶意UE获得在第二类频谱中的物理信道中发送的系统信息。因此，恶意UE不会对特定频域或特定信道造成中断或干扰，并且可以避免恶意UE进行的定向网络攻击。

实施例3-密钥分发

在本实施例中，参考图3b，无线通信系统中的可用频谱可以包括两类：第一类频谱和第二类频谱。在本实施例中，引入了适用于第一类频谱的预分发的密钥和适用于第二类频谱的授予的密钥。

如图3b所示，除了第一类频谱中的物理信道也被加密之外，本实施例类似于上述实施例2。网络(或网元，诸如基站)利用预先分发给UE的密钥对物理信道进行加密。只有获得了预分发的密钥的UE才能正确地对第一类频谱中的物理信道进行解密和解码，例如，以获得系统信息。然后，UE能够根据系统信息，使用第一类频谱中的频域资源来接入网络。

在一种实施方式中，在第一类频谱内，所有物理信道都可以被加密。在一种实施方式中，在第一类频谱内，只有部分物理信道可以被加密。

在一种实施方式中，在第一类频谱内，承载系统信息的物理信道可以被加密。在一种实施方式中，在第一类频谱内，承载系统信息的物理信道可以是开放的(即，未加密的)。

在一种实施方式中，在UE在第一类频谱上接入网络之后，另一密钥(称为授予的密钥)可以被网络授予并发送给UE。例如，在UE在第一类频谱上接入网络之后，网络可以经由认证过程对UE进行进一步认证。认证过程可以涉及无线通信网络的基站和/或核心网节点。一旦UE被认证，则无线通信网络向UE发送授予的密钥，例如，基站向UE发送授予的密钥。然后，UE使用授予的密钥对第二类频谱上的物理进行解密。

在一种实施方式中，为了获取授予的密钥，UE不需要被认证。在一些实施例中，UE经由第二类频谱接入网络可以基于经由第一类频谱获取的系统信息。

在一种实施方式中，UE经由第一类频谱接入网络和经由第二类频谱接入网络可以彼此独立。

本实施例中的步骤在图5中进行了概述。这些步骤仅用于示例目的。在本实施例中，除了UE需要利用预分发的密钥接入第一类频谱中的物理信道之外，所有其它底层原理(诸如如何将授予的密钥分发给UE、如何更新授予的密钥、如何划分频谱)都与实施例2类似，并且在本文中不再进行详细描述。

实施例4-基于SSB的密钥获取

在无线通信网络中，基站可以发送具有不同方向的SSB波束序列，并且UE例如基于接收到的信号质量来检测这些SSB波束中的最佳波束。每个UE可以被配置有最佳波束中的SSB或与最佳波束中的SSB相关联(或与最佳波束相关联)。在一些实施方式中，不同波束方向上的SSB可以被分配有不同的SSB索引，并且UE基于该SSB索引来监测SSB。由于SSB被承载在物理信道中，因此在SSB与承载SSB的物理信道之间存在映射。也就是说，SSB对应于物理信道。

每个SSB具有信道状态信息。在本实施例中，UE可以基于SSB的信道状态信息获得与UE监测(或UE相关联)的SSB对应的密钥。然后，UE可以使用该密钥对与SSB对应的物理信道进行解密。与SSB对应的物理信道可以包括：PDSCH、PDCCH、承载系统信息的PDSCH、或承载随机接入响应消息或Msg4的PDSCH。Msg4是在随机接入过程期间使用的消息。

UE基于与该UE相关联的SSB的信道状态信息来获得与该SSB对应的物理密钥。具体地，UE基于SSB的信道状态信息确定下行链路波束方向，并根据该波束方向生成密钥。UE还可以基于SSB的信道状态信息确定信道质量，并根据该信道质量生成密钥。在一种实施方式中，信道质量可以是与SSB对应或与SSB所在的频域对应的信道质量。UE可以根据下行链路波束方向和信道质量的组合来生成密钥。

相应地，从基站的角度来看，基站可以根据与特定UE相关联的SSB的下行链路波束方向和/或信道质量来确定密钥，并使用该密钥对物理信道进行加密，并发送该物理信道(即，物理信道中的数据/信号)。

根据波束方向和/或信道质量确定密钥的方法可以包括：预先配置波束方向(和/或信道质量)与密钥的一一映射关系，并根据该映射关系选择对应的密钥。

在一种实施方式中，SSB可以例如由基站配置为包括密钥的信息或指示密钥。在检测到或接收到SSB时，UE可以根据该SSB导出或生成密钥。

波束方向可以包括预编码索引、SSB索引、波束角度索引、波束索引、或空间标识索引(诸如空间向量索引)。

示例1

波束方向1-N分别对应于密钥1-N，其中N是密钥的总数或波束的最大数量。

示例2

将信道质量值(诸如参考信号接收功率(Reference Signal Received Power，RSRP)值或信噪比(Signal to Noise Ratio，SNR)值)划分为G个区间(或范围)，并且每个区间对应于一个密钥。

信道质量值区间1-N分别对应于物理密钥0-N，其中N是密钥的总数或信道质量值区间的最大数量。

示例3

每个信道质量值(诸如RSRP值)区间对应于一个密钥集合，每个密钥集合对应于G个波束方向，并且每个波束方向对应于该物理密钥集合中的一个密钥。

基站可以首先基于信道质量值确定信道质量区间，然后根据该信道质量区间确定物理密钥集合索引，并根据波束方向从该物理密钥集合选择对应的物理密钥。

示例4

每个波束方向对应于一个物理密钥集合；每个信道质量值(诸如RSRP值)区间对应于该物理密钥集合中的一个物理密钥。

基站可以首先根据波束方向确定物理密钥集合，根据信道质量值确定信道质量区间，并基于信道质量区间从该物理密钥集合选择对应的物理密钥。

实施例5-物理信道加密

在本实施例中，公开了用于对物理信道进行加密的各种方法。

可以在各种级别基于密钥对物理信道进行加密，所述级别包括：比特级、调制符号级或时域符号级。例如，加密可以包括以下方式：基于密钥的加扰或相位旋转。还可以选择基于密钥的其它加密方法来对物理信道进行加密。

方法1：比特级加扰

每个码字q包括比特序列

其中，c

方法2：调制符号级加密

假设在调制之后，调制符号为d(i)，则可以通过基于以下等式对调制符号进行相位旋转来执行物理信道加密：

其中：

N1和L3是预定义整数，并且2

方法3：时域符号级加密

假设时域符号为h(i)，则可以通过基于以下等式对时域符号进行相位旋转来执行物理信道加密：

其中：

N1和L3是预定义整数，并且2

伪随机序列生成

上述方法中的伪随机序列c(其也可以表示为c(i)，i是索引)可以通过使用基于以下公式中的一个公式的初始值c

c

c

c

c

c

c

其中：

n

SlotIndex是时隙索引；

SFNIndex是系统帧索引；

n

L1是以二进制格式表示的n

L2是以二进制格式表示的时隙索引的比特长度。

在一些实施方式中，子帧可以发送至多两个码字，即，q∈{0,1}。如果仅存在一个码子需要在子帧中被发送，则q＝0。相同的原理也可以适用于发送多于两个码字的子帧。

加扰序列c(i)，或者c

c(n)＝(x

x

x

其中：

N

L是质数(prime number)或奇数，在一些实施方式中，L可以被设置为31、61或91。在一些实施方式中，L可以是正整数。

可以将第一m序列x

可以利用初始值

在一些实施例中，加扰序列可以基于M序列。

在一些实施例中，加扰序列可以包括Gold序列、M序列等。

本实施例中的各种等式和公式中表示的加密方案仅是示例，并且使用密钥进行加密的基本原理可以被扩展到其它方案。

实施例6

参考图6，在一些实施例中，无线网络可以被划分为两个网络，其中一个用作UE的初始接入网络610，另一个用作UE的私用网络(或专用网络)612。UE接收或检测在初始接入网络中未加密的物理信道。相应地，网络在没有加密的物理信道中向最初接入网络的UE发送数据/信号。

一旦UE在初始接入之后被连接到网络，则网络向UE发送授予的密钥614。当UE随后检测到私用网络中的寻呼和/或接入私用网络时，物理信道中的信号/数据被加密。因此，UE需要使用授予的密钥614来接收或检测或解码物理信道。相应地，当网络在物理信道中向已经被连接到网络的UE发送数据/信号时，网络利用授予的密钥614对物理信道进行加密。

在一些实施例中，初始接入网络610可以是运营商所拥有的并且可以对所有UE开放。专用网络612可以是垂直行业或具有其自己的且更严格的安全要求的第三方所拥有的。专用网络在物理信道级别由密钥来保护。初始接入网络610和专用网络612可以各自被分配给特定频谱。

在一些实施例中，UE可以例如基于安全需求在不同网络中执行不同的任务或过程。UE可以在专用网络中执行安全必要任务，并在初始接入网络中执行安全非必要任务。

在一些实施例中，初始接入网络610还可以被加密，并且UE可以基于本公开中的相关实施例中所描述的密钥分发方法来获取密钥。在一些实施例中，专用网络612可以使用比接入网络610中所使用的密钥更强的密钥。

在一些实施例中，UE可以基于授予的密钥614经由专用网络执行预定义且可配置的操作集合。例如，这些操作可以包括：从下行链路物理信道接收数据、经由上行链路信道发送数据、或与获得系统信息相关联的操作。在本公开中，对这些操作没有施加限制。

本公开中的描述和示例是从网络(例如，包括基站、核心网等的无线通信网络)的角度或从UE的角度进行的。应当理解的是，网络和UE以协调的方式操作。该原理适用于网络侧，也适用于UE侧。例如，当网络向UE发送加密信号时，用于对信号进行解密的基本原理适用于UE侧。又例如，当网络基于密钥或算法对物理信号进行加密时，UE基于对应的密钥或对应的算法对该物理信号进行解密。

以上描述和附图提供了具体的示例实施例和实施方式。然而，所描述的主题可以以各种不同形式来实施，并且因此，所覆盖或所要求保护的主题旨在被解释为不限于本文所阐述的任何示例实施例。旨在为所要求保护或所覆盖的主题提供一个合理广泛的范围。尤其是，例如，主题可以被实施为方法、设备、部件、系统或用于存储计算机代码的非暂态计算机可读介质。相应地，实施例可以例如采取硬件、软件、固件、存储介质或其任何组合的形式。例如，上述方法实施例可以由包括存储器和处理器的部件、设备或系统通过执行存储在存储器中的计算机代码来实现。

在整个说明书和权利要求书中，术语可以具有在上下文中建议或隐含的、超出所明确陈述的含义的有细微差别的含义。类似地，如本文中所使用的短语“在一个实施例/实施方式中”不一定指同一实施例，并且如本文中所使用的短语“在另一实施例/实施方式中”不一定指不同的实施例。例如，所要求保护的主题旨在全部或部分包括示例实施例的组合。

通常，术语可以至少部分地根据在上下文中的用法来进行理解。例如，本文中使用的诸如“和”、“或”、或“和/或”的术语可以包括各种含义，这些含义可以至少部分地取决于使用这些术语的上下文。典型地，“或”如果被用于对诸如A、B或C的列表进行关联，则旨在表示A、B和C(此处用于包括性含义)以及A、B或C(此处用于排他性含义)。此外，至少部分地取决于上下文，如本文中所使用的术语“一个或多个”可以被用于描述单数意义上的任何特征、结构或特性，或者可以被用于描述复数意义上的特征、结构或特性的组合。类似地，至少部分地取决于上下文，诸如“一(a)”、“一个/一种(an)”或“该/所述(the)”的术语可以被理解为传达单数用法或传达复数用法。此外，术语“基于”可以被理解为不一定旨在传达排他性的一组因素，而是替代地，同样至少部分地取决于上下文，可以允许未必明确描述的附加因素的存在。

在整个说明书中对特征、优点或类似的语言的引用并不意味着：可利用本解决方案实现的所有特征和优点都应该是其任何单种实施方式或被包括在其任何单种实施方式中。而是，引用所述特征和优点的语言被理解为意味着：结合实施例所描述的特定特征、优点或特性被包括在本解决方案的至少一个实施例中。因此，在整个说明书中，对特征和优点及类似的语言的论述可以但不一定指同一实施例。

此外，本解决方案的所描述的特征、优点或特性可以以任何合适的方式被组合在一个或多个实施例中。相关领域的普通技术人员根据本文的描述将认识到，可以在没有特定实施例的特定特征或优点中的一个或多个特征或优点的情况下对本解决方案进行实践。在其它实例中，可以在某些实施例中认识到，在本解决方案的所有实施例中可能不存在的附加特征和优点。