CN114270884B - 5g广播/多播安全性密钥刷新 - Google Patents

Abstract

用户设备(UE)可以更新多播广播密钥以用于保护用于多播或广播服务的数据会话。UE可以接收用于由与数据会话相关联的无线电承载(RB)携带的多播或广播服务的多播广播密钥。UE可以接收用于多播或广播服务的分组。UE可以使用多播广播密钥或从多播广播密钥推导的密钥来解码分组。UE可以接收用于多播或广播服务的更新的多播广播密钥。UE可以使用更新的多播广播密钥或从更新的多播广播密钥推导的密钥来解码在RB上接收的用于多播或广播服务的分组。

Description

5G广播/多播安全性密钥刷新

本申请要求享受以下申请的优先权：于2020年8月13日递交的、名称为“5GBROADCAST/MULTICAST SECURITY KEY REFRESH”的美国非临时申请号16/992,898；以及于2019年8月26日递交的、名称为“5G BROADCAST/MULTICAST SECURITY KEY REFRESH”的美国临时申请号62/891,864，上述申请被转让给本申请的受让人，并且其全部内容通过引用的方式并入本文中。

技术领域

概括而言，本公开内容涉及通信***，并且更具体地，本公开内容涉及用于广播和多播通信的安全性。

背景技术

无线通信***被广泛地部署以提供各种电信服务，诸如电话、视频、数据、消息传送和广播。典型的无线通信***可以采用能够通过共享可用的***资源来支持与多个用户的通信的多址技术。这样的多址技术的示例包括码分多址(CDMA)***、时分多址(TDMA)***、频分多址(FDMA)***、正交频分多址(OFDMA)***、单载波频分多址(SC-FDMA)***和时分同步码分多址(TD-SCDMA)***。

已经在各种电信标准中采用了这些多址技术，以提供使得不同的无线设备能够在城市、国家、地区以及甚至全球级别上进行通信的公共协议。示例电信标准是5G新无线电(NR)。5G NR是由第三代合作伙伴计划(3GPP)发布的连续移动宽带演进的一部分，以满足与时延、可靠性、安全性、可扩展性(例如，与物联网(IoT)一起)相关联的新要求以及其它要求。5G NR包括与增强型移动宽带(eMBB)、大规模机器类型通信(mMTC)和超可靠低时延通信(URLLC)相关联的服务。5G NR的一些方面可以是基于4G长期演进(LTE)标准的。存在对5GNR技术进一步改进的需求。这些改进还可以适用于其它多址技术以及采用这些技术的电信标准。

发明内容

下文给出了对一个或多个方面的简要概述，以便提供对这样的方面的基本理解。该概述不是全部预期方面的广泛综述，并且既不旨在标识所有方面的关键或重要元素，也不旨在描绘任何或全部方面的范围。其唯一目的是以简化形式给出一个或多个方面的一些概念，作为稍后给出的更详细描述的前序。

在本公开内容的一个方面中，提供了一种方法、计算机可读介质和装置。所述方法可以包括：接收用于由与数据会话相关联的无线电承载(RB)携带的多播或广播服务的至少一个多播广播密钥。所述方法可以包括：接收用于所述数据会话的至少一个更新的多播广播密钥。所述方法可以包括：使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码在所述RB上接收的用于所述多播或广播服务的分组。

在一个方面中，接收所述至少一个更新的多播广播密钥可以包括：经由非接入层(NAS)信令从生成所述至少一个更新的多播广播密钥的会话管理功能(SMF)接收所述至少一个更新的多播广播密钥。使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码用于所述多播或广播服务的所述分组可以包括：使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码来自分组数据汇聚协议(PDCP)层的经编码的QoS流分组。

在一个方面中，在所述SMF生成所述至少一个多播广播密钥的情况下，所述方法还可以包括：发送指示一种或多种安全性算法的UE能力消息；以及经由NAS信令接收指示用于所述解码的选择的安全性算法的安全性策略。

在一个方面中，在所述SMF生成所述至少一个多播广播密钥的情况下，所述方法还可以包括：从第一小区改变到第二小区；以及在不改变所述至少一个多播广播密钥的情况下，解码来自所述第二小区的用于所述多播或广播服务的分组。

在一个方面中，接收所述至少一个更新的多播广播密钥包括：经由NAS信令接收由会话管理功能(SMF)生成的根密钥；以及基于所述根密钥来推导用于无线接入网络节点的第一小区的小区特定的多播广播密钥。使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码用于所述多播或广播服务的所述分组可以包括：在分组数据汇聚协议(PDCP)层处使用所述小区特定的多播广播密钥来解码所述分组。

在一个方面中，所述方法还可以包括：发送指示一种或多种安全性算法的UE能力消息；以及经由RRC信令接收指示用于所述解码的选择的安全性算法的安全性策略。

在一个方面中，所述方法还可以包括：从所述第一小区改变到第二小区；推导用于所述第二小区的小区特定的多播广播密钥；以及利用用于所述第二小区的所述小区特定的多播广播密钥来解码来自所述第二小区的所述分组。

在另一方面中，接收所述至少一个更新的多播广播密钥可以包括：经由RRC信令从生成所述至少一个更新的多播广播密钥的无线接入网络节点接收所述至少一个更新的多播广播密钥。使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码用于所述多播或广播服务的所述分组可以包括：在分组数据汇聚协议(PDCP)层处使用所述至少一个更新的多播广播密钥来解码所述分组。

在一个方面中，所述方法还可以包括：发送指示一种或多种安全性算法的UE能力消息；以及经由RRC信令接收指示用于所述解码的选择的安全性算法的安全性策略。

在一个方面中，所述方法还可以包括：从第一小区改变到第二小区；从所述第二小区接收新的小区特定的多播广播密钥；以及利用用于所述第二小区的所述新的小区特定的多播广播密钥来解码来自所述第二小区的用于所述QoS流的所述分组。

在一个方面中，所述方法还可以包括：在接收所述至少一个更新的多播广播密钥之前：接收用于多播或广播服务的分组；以及使用所述至少一个多播广播密钥或从所述至少一个多播广播密钥推导的密钥来解码用于所述多播或广播服务的所述分组。

在一个方面中，所述数据会话可以是协议数据单元(PDU)会话。

在一个方面中，本公开内容包括一种用于无线通信的装置。所述装置可以包括：存储器；以及耦合到所述存储器的至少一个处理器。所述处理器可以被配置为：接收用于由与数据会话相关联的无线电承载(RB)携带的多播或广播服务的至少一个多播广播密钥。所述处理器可以被配置为：接收用于所述数据会话的至少一个更新的多播广播密钥。所述处理器可以被配置为：使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码在所述RB上接收的用于所述多播或广播服务的分组。

在一个方面中，所述至少一个处理器被配置为：经由NAS信令从生成所述更新的多播广播密钥的SMF接收所述至少一个更新的多播广播密钥。

在一个方面中，所述至少一个处理器被配置为：使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码来自PDCP层的经编码的QoS流分组。

在一个方面中，所述至少一个处理器被配置为：发送指示一种或多种安全性算法的UE能力消息；以及经由NAS信令接收指示用于所述解码的选择的安全性算法的安全性策略。

在一个方面中，所述至少一个处理器被配置为：从第一小区改变到第二小区；以及在不改变所述多播广播密钥的情况下，解码来自所述第二小区的用于所述多播或广播服务的分组。

在一个方面中，所述至少一个处理器被配置为：经由NAS信令接收由SMF生成的根密钥；以及基于所述根密钥来推导用于无线接入网络节点的第一小区的小区特定的多播广播密钥。

在一个方面中，所述至少一个处理器被配置为：在PDCP层处使用所述小区特定的多播广播密钥来解码所述分组。

在一个方面中，所述至少一个处理器被配置为：发送指示一种或多种安全性算法的UE能力消息；以及经由RRC信令接收指示用于所述解码的选择的安全性算法的安全性策略。

在一个方面中，所述至少一个处理器被配置为：从所述第一小区改变到第二小区；推导用于所述第二小区的小区特定的多播广播密钥；以及利用用于所述第二小区的所述小区特定的多播广播密钥来解码来自所述第二小区的所述分组。

在一个方面中，所述至少一个处理器被配置为：经由RRC信令从生成所述至少一个更新的多播广播密钥的无线接入网络节点接收所述至少一个多播广播密钥。

在一个方面中，所述至少一个处理器被配置为：在分组数据汇聚协议(PDCP)层处使用所述更新的多播广播密钥来解码所述分组。

在一个方面中，所述至少一个处理器被配置为：发送指示一种或多种安全性算法的UE能力消息；以及经由RRC信令接收指示用于所述解码的选择的安全性算法的安全性策略。

在一个方面中，所述至少一个处理器被配置为：从第一小区改变到第二小区；从所述第二小区接收新的小区特定的多播广播密钥；以及利用用于所述第二小区的所述新的小区特定的多播广播密钥来解码来自所述第二小区的所述分组。

在一个方面中，所述数据会话包括一个或多个QoS流，每个QoS流与所述至少一个更新的多播广播密钥中的唯一多播广播密钥相关联。

在一个方面中，所述数据会话是协议数据单元(PDU)会话。

在一个方面中，所述至少一个处理器被配置为在接收所述至少一个更新的多播广播密钥之前：接收用于多播或广播服务的分组；以及使用所述至少一个多播广播密钥或从所述至少一个多播广播密钥推导的密钥来解码用于所述多播或广播服务的所述分组。

在一个方面中，本公开内容提供了一种用于无线通信的装置。所述装置可以包括：用于接收用于由与数据会话相关联的RB携带的多播或广播服务的至少一个多播广播密钥的单元；用于接收用于所述数据会话的至少一个更新的多播广播密钥的单元。所述装置可以包括：用于使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码在所述RB上接收的用于所述多播或广播服务的分组的单元。

在一个方面中，本公开内容提供了一种存储计算机可执行代码的非暂时性计算机可读介质。所述代码在由处理器执行时使得所述处理器进行以下操作：接收用于由与数据会话相关联的无线电承载(RB)携带的多播或广播服务的至少一个多播广播密钥。所述代码在由处理器执行时使得所述处理器进行以下操作：接收用于所述数据会话的至少一个更新的多播广播密钥。所述代码在由处理器执行时使得所述处理器进行以下操作：使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码在所述RB上接收的用于所述多播或广播服务的分组。

在另一方面中，本公开内容提供了一种用于无线通信的方法。所述方法可以包括：基于用于由RB携带的多播或广播服务的服务策略来确定要更新用于所述多播或广播服务的安全性密钥。所述方法可以包括：生成用于所述多播或广播服务的新安全性密钥。所述方法可以包括：向具有用于所述数据会话的一个或多个UE分发所述新安全性密钥，其中，用于由所述RB携带的所述多播或广播服务的分组由所述新安全性密钥或从所述新安全性密钥推导的密钥保护。

在一个方面中，所述数据会话包括一个或多个QoS流，每个QoS流与安全性密钥相关联。

在一个方面中，确定要更新所述安全性密钥包括：确定由所述服务策略指示的周期性刷新时间已经到期。

在一个方面中，确定要更新所述安全性密钥包括：确定已经发生订制所述多播或广播服务的组的成员资格的改变。

在一个方面中，生成用于所述多播或广播服务的所述新安全性密钥包括：在所述SMF处生成所述新安全性密钥，所述方法还包括：将所述新密钥递送给多播广播用户平面功能，所述多播广播用户平面功能利用所述新安全性密钥针对用于所述多播或广播服务的所述分组进行加密、完整性保护或两者。分发所述新安全性密钥可以包括：经由NAS信令将所述新安全性密钥递送给所述一个或多个UE。所述NAS信令可以包括用于一个或多个空闲UE的寻呼。

在一个方面中，生成用于所述多播或广播服务的所述新安全性密钥包括：在所述SMF处生成所述新安全性密钥。所述方法还可以包括：推导用于将所述RB递送给具有用于所述多播或广播服务的所述数据会话的所述一个或多个UE的一个或多个小区的相应的小区特定的多播广播密钥；以及将所述相应的小区特定的多播广播密钥递送给无线接入网络节点。向一个或多个UE分发所述新安全性密钥可以包括：经由NAS信令将所述新安全性密钥递送给所述一个或多个UE。在一种实现中，由所述SMF推导用于小区的所述小区特定的多播广播密钥可以包括：基于所述新安全性密钥和所述小区的小区标识来推导所述小区特定的多播广播密钥。在一种实现中，由所述SMF推导用于小区的所述小区特定的多播广播密钥可以包括：生成要由所述无线接入网络节点的每个小区广播的唯一随机数；基于所述唯一随机数和所述新安全性密钥来推导用于所述无线接入网络节点的节点密钥；以及由所述无线接入网络节点推导所述小区特定的多播广播密钥。所述无线接入网络节点可以将所述小区特定的多播广播密钥设置为用于所述无线接入网络节点的每个小区的所述节点密钥，或者基于所述节点密钥和相应的小区标识来推导针对每个小区的小区特定的多播广播密钥。所述唯一随机数可以是用于所述无线接入网络节点的每个小区的小区标识符的公共部分。

在一个方面中，生成用于所述多播或广播服务的所述新安全性密钥可以包括：在将所述RB递送给具有用于所述多播或广播服务的所述数据会话的所述一个或多个UE的一个或多个无线接入网络节点处生成所述新安全性密钥。分发所述新安全性密钥可以包括：经由RRC信令将所述新安全性密钥递送给所述一个或多个UE。

在另一方面中，本公开内容提供了一种用于无线通信的装置，包括：存储器；以及耦合到所述存储器的至少一个处理器。所述处理器可以被配置为：基于用于由RB携带的多播或广播服务的服务策略来确定要更新用于所述多播或广播服务的安全性密钥。所述处理器可以被配置为：生成用于所述多播或广播服务的新安全性密钥。所述处理器可以被配置为：向具有用于所述多播或广播服务的数据会话的一个或多个UE分发所述新安全性密钥，其中，用于由所述RB携带的所述多播或广播服务由所述新安全性密钥或从所述新安全性密钥推导的密钥保护。

在一个方面中，所述至少一个处理器被配置为：响应于确定由所述服务策略指示的周期性刷新时间已经到期，来确定要更新所述安全性密钥。

在一个方面中，所述至少一个处理器被配置为：响应于确定已经发生订制所述多播或广播服务的组的成员资格的改变，来确定要更新所述安全性密钥。

在一个方面中，所述装置是SMF，并且所述至少一个处理器被配置为：在所述SMF处生成所述新安全性密钥；以及将所述新密钥递送给多播广播用户平面功能，所述多播广播用户平面功能利用所述新安全性密钥针对用于所述多播或广播服务的所述分组进行加密、完整性保护或两者。

在一个方面中，所述至少一个处理器被配置为：经由NAS信令将所述新安全性密钥递送给所述一个或多个UE。

在一个方面中，所述装置是SMF，并且所述至少一个处理器被配置为：在所述SMF处生成所述新安全性密钥；推导用于将所述RB递送给具有用于所述多播或广播服务的所述PDU会话的所述一个或多个UE的一个或多个小区的相应的小区特定的多播广播密钥；以及将所述相应的小区特定的多播广播密钥递送给无线接入网络节点。

在一个方面中，所述至少一个处理器被配置为：经由NAS信令将所述新安全性密钥递送给所述一个或多个UE。

在一个方面中，所述至少一个处理器被配置为：基于所述新安全性密钥和所述小区的小区标识来推导所述小区特定的多播广播密钥。

在一个方面中，所述至少一个处理器被配置为：生成要由所述无线接入网络节点的每个小区广播的唯一随机数；基于所述唯一随机数和所述新安全性密钥来推导用于所述无线接入网络节点的节点密钥；以及向所述无线接入网络节点发送所述唯一随机数和所述节点密钥。

在一个方面中，所述无线接入网络节点将所述小区特定的多播广播密钥设置为用于所述无线接入网络节点的每个小区的所述节点密钥，或者基于所述节点密钥和相应的小区标识来推导针对每个小区的小区特定的多播广播密钥。

在一个方面中，所述装置是将所述RB递送给具有用于所述多播或广播服务的所述数据会话的所述一个或多个UE的无线接入网络节点，并且所述至少一个处理器被配置为在所述无线接入网络节点处生成所述新安全性密钥。

在一个方面中，所述至少一个处理器被配置为：经由RRC信令将所述新安全性密钥递送给所述一个或多个UE。

在一个方面中，所述装置是无线接入网络节点，并且所述至少一个处理器被配置为：从SMF接收节点密钥；确定要由所述无线接入网络节点的每个小区广播的唯一随机数；以及基于所述节点密钥和小区标识来推导所述新安全性密钥。

在一个方面中，所述数据会话包括一个或多个QoS流，每个QoS流与多播广播密钥相关联。

在一个方面中，所述数据会话是协议数据单元(PDU)会话。

在另一方面中，本公开内容提供了一种用于无线通信的装置。所述装置可以包括：用于基于用于由RB携带的多播或广播服务的服务策略来确定要更新用于所述多播或广播服务的安全性密钥的单元。所述装置可以包括：用于生成用于所述多播或广播服务的新安全性密钥的单元。所述装置可以包括：用于向具有用于所述多播或广播服务的数据会话的一个或多个UE分发所述新安全性密钥的单元，其中，由所述RB携带的所述多播或广播服务由所述新安全性密钥或从所述新安全性密钥推导的密钥保护。

在另一方面中，本公开内容提供了一种存储计算机可执行代码的非暂时性计算机可读介质。所述代码在由处理器执行时使得所述处理器进行以下操作：基于用于由RB携带的多播或广播服务的服务策略来确定要更新用于所述多播或广播服务的安全性密钥。所述代码在由处理器执行时使得所述处理器进行以下操作：生成用于所述多播或广播服务的新安全性密钥。所述代码在由处理器执行时使得所述处理器进行以下操作：向具有用于所述多播或广播服务的数据会话的一个或多个UE分发所述新安全性密钥的，其中，由所述RB携带的所述多播或广播服务由所述新安全性密钥或从所述新安全性密钥推导的密钥保护。

为了实现前述目的和相关目的，一个或多个方面包括下文中充分地描述以及在权利要求中特别指出的特征。下文的描述和附图详细阐述一个或多个方面的某些说明性特征。然而，这些特征指示可以采用各个方面的原理的各种方式中的仅一些方式，以及本说明书旨在包括所有这样的方面以及其等效物。

附图说明

图1是示出无线通信***和接入网络的示例的图。

图2A是示出第一5G NR帧的示例的图。

图2B是示出5G NR子帧内的DL信道的示例的图。

图2C是示出第二5G NR帧的示例的图。

图2D是示出5G NR子帧内的UL信道的示例的图。

图3是示出接入网络中的基站和用户设备(UE)的示例的图。

图4是示出用于递送用于多播或广播服务的安全PDU会话的网络的示例架构的示意图。

图5是示出用于在UPF处使用由SMF生成的密钥来保护PDU会话的第一示例网络架构的示意图。

图6是包括由UE进行的示例通信和处理的消息图以及用于递送用于多播或广播服务的安全PDU会话的第一示例网络架构。

图7是示出用于在RAN节点处使用由SMF生成的密钥来保护PDU会话的第二示例网络架构的示意图。

图8是包括由UE进行的示例通信和处理的消息图以及用于递送用于多播或广播服务的安全PDU会话的第二示例网络架构。

图9是示出用于在RAN节点处使用由RAN节点生成的密钥来保护PDU会话的第三示例网络架构的示意图。

图10是包括由UE进行的示例通信和处理的消息图以及用于递送用于多播或广播服务的安全PDU会话的第三示例网络架构。

图11是接收针对用于多播或广播服务的PDU会话的分组的示例方法的流程图。

图12是针对用于多播或广播服务的PDU会话的密钥生成和分发的示例方法的流程图。

图13是用于UE刷新针对用于多播或广播服务的PDU会话的密钥的示例方法的流程图。

图14是用于网络刷新针对用于多播或广播服务的PDU会话的密钥的示例方法的流程图。

图15是图1的UE的示例组件的示意图。

图16是图1的基站的示例组件的示意图。

图17是图1的SMF的示例组件的示意图。

具体实施方式

下文结合附图阐述的详细描述旨在作为对各种配置的描述，而不旨在表示可以在其中实践本文所描述的概念的仅有配置。出于提供对各个概念的全面理解的目的，详细描述包括特定细节。然而，对于本领域技术人员将显而易见的是，可以在没有这些特定细节的情况下实践这些概念。在一些情况下，以框图的形式示出公知的结构和组件，以便避免使这样的概念模糊。尽管以下描述可能集中于5G NR，但是本文描述的概念可以适用于其它类似的领域，诸如LTE、LTE-A、CDMA、GSM和其它无线技术。

多播传输可以指代旨在针对一组设备的传输。广播传输可以指代可以由任何设备接收的传输。在5G NR中，多播或广播服务可以是任何类型的数据服务，诸如流式多媒体、文件下载、物联网、车辆到车辆(V2V)或车辆到万物(V2X)通信。多播或广播服务可以由应用来提供。应用提供商可能希望保护多播或广播服务，例如，通过仅允许订户访问或通过保护分组的完整性，或通过两者。

可以使用包括5G核心(5GC)的组件的5G NR网络架构来保护5G NR中的多播或广播传输。例如，应用(例如，应用功能(AF))可以经由网络开放功能(NEF)和/或策略控制功能(PCF)与5GC对接以建立服务策略。会话管理功能(SMF)可以配置和控制在包括用户平面功能(UPF)、无线接入网络(RAN)节点和用户设备(UE)的其它节点处用于多播或广播服务的一个或多个服务质量(QoS)流。接入和移动性管理功能(AMF)可以控制移动性和非接入层(NAS)信令和传输。RAN节点可以将QoS流映射到无线电承载，并且选择每UE的广播或单播递送。

在一个方面中，本公开内容提供了密钥分发和管理，以实现用于多播或广播服务的安全性策略。UE可以针对UE订制的服务向SMF发送PDU会话建立请求。UE可以接收针对用于服务的QoS流的多播广播密钥。UE还可以接收RB配置，并且在RB上接收QoS流的一个或多个分组。UE可以使用多播广播密钥对分组进行解码。解码可以包括解密、验证完整性或其组合。相应地，用于QoS流的多播广播密钥可以保护去往UE的多播或广播服务。

网络可以实现用于QoS流的安全性。网络可以用于在用于多播或广播服务的RB上携带的QoS流的多播广播密钥。多播广播密钥可以用于订制多播或广播服务的任何UE。网络可以使用密钥来保护QoS流的分组。网络可以在SMF处从经认证的UE接收PDU会话建立请求。SMF可以基于UE正在认证和订制服务来控制密钥到UE的分发。

网络可以使用不同的架构来提供密钥分发和管理。在第一安全性架构中，安全性可以由UPF提供，并且QoS流可以在UPF和UE之间受到保护。SMF可以生成多播广播密钥，并且将密钥分发到UE和UPF。在第二安全性架构中，RAN节点可以使用特定于小区的密钥来保护QoS流。SMF可以生成多播广播密钥，并且UE和SMF可以推导用于每个小区的小区特定密钥。在第三安全性架构中，RAN节点可以生成密钥并且保护QoS流。

现在将参考各种装置和方法来给出电信***的若干方面。这些装置和方法将通过各个框、组件、电路、过程、算法等(被统称为“元素”)在下文的详细描述中进行描述并且在附图中来示出。这些元素可以使用电子硬件、计算机软件或者其任何组合来实现。这样的元素是实现成硬件还是软件，取决于特定应用和施加到整个***上的设计约束。

通过举例的方式，元素、或元素的任何部分或元素的任何组合可以被实现为包括一个或多个处理器的“处理***”。处理器的示例包括微处理器、微控制器、图形处理单元(GPU)、中央处理单元(CPU)、应用处理器、数字信号处理器(DSP)、精简指令集计算(RISC)处理器、片上***(SoC)、基带处理器、现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)、状态机、门控逻辑、分立硬件电路以及被配置为执行遍及本公开内容描述的各种功能的其它合适的硬件。在处理***中的一个或多个处理器可以执行软件。无论是被称为软件、固件、中间件、微代码、硬件描述语言或者其它名称，软件都应当被广泛地解释为意指指令、指令集、代码、代码段、程序代码、程序、子程序、软件组件、应用、软件应用、软件包、例程、子例程、对象、可执行文件、执行的线程、过程、函数等。

相应地，在一个或多个示例实施例中，所描述的功能可以在硬件、软件或者其任何组合中实现。如果在软件中实现，则功能可以作为一个或多个指令或代码来在计算机可读介质上进行存储或者编码。计算机可读介质包括计算机存储介质。存储介质可以是可以由计算机存取的任何可用介质。通过示例而非限制的方式，这样的计算机可读介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程ROM(EEPROM)、光盘存储、磁盘存储、其它磁存储设备、上述类型的计算机可读介质的组合、或者能够用于以能够由计算机访问的指令或数据结构的形式存储计算机可执行代码的任何其它介质。

图1是示出无线通信***和接入网络100的示例的图。无线通信***(还被称为无线广域网(WWAN))包括基站102、UE 104、演进分组核心(EPC)160、以及另一核心网络(例如，5G核心(5GC)190)。基站102可以包括宏小区(高功率蜂窝基站)和/或小型小区(低功率蜂窝基站)。小型小区包括毫微微小区、微微小区和微小区。基站102还可以被称为无线接入网络(RAN)节点。

UE 104中的一者或多者可以包括多播接收机组件140，其使用多播广播密钥来接收多播传输。多播接收机组件140可以包括：会话组件141，其发送针对用于多播或广播服务的PDU会话的请求；密钥管理组件142，其接收和/或推导用于针对多播或广播服务的QoS流的密钥；接收组件143，其接收用于多播或广播服务的RB和QoS流分组；解码组件，其使用密钥来解码QoS流分组；以及可选的能力组件145，其用信号通知UE能力并且接收基于UE能力的安全性策略。

如上所述，5GC和RAN节点(例如，基站102)可以使用多播广播密钥来执行用于多播或广播传输的各种安全性功能。SMF 194可以包括安全性组件188，其控制密钥生成和密钥分发。下面关于图4描述SMF 194的进一步细节。UPF 195和/或基站102可以包括保护组件198，其使用多播广播密钥来保护QoS流的分组，如本文描述的。

被配置用于4G LTE(被统称为演进型通用移动电信***(UMTS)陆地无线接入网络(E-UTRAN))的基站102可以通过回程链路132(例如，S1接口)来与EPC 160对接。回程链路132可以是有线的或无线的。被配置用于5G NR(被统称为下一代RAN(NG-RAN))的基站102可以通过回程链路184来与5GC 190对接。回程链路184可以是有线的或无线的。除了其它功能之外，基站102还可以执行以下功能中的一个或多个功能：用户数据的传输、无线电信道加密和解密、完整性保护、报头压缩、移动性控制功能(例如，切换、双连接)、小区间干扰协调、连接建立和释放、负载均衡、针对非接入层(NAS)消息的分发、NAS节点选择、同步、无线接入网络(RAN)共享、多媒体广播多播服务(MBMS)、用户和设备追踪、RAN信息管理(RIM)、寻呼、定位和对警告消息的传递。基站102可以通过回程链路134(例如，X2接口)彼此直接或间接地(例如，通过EPC 160或5GC 190)通信。回程链路134可以是有线的或无线的。

基站102可以与UE 104进行无线通信。基站102中的每个基站可以提供针对相应的地理覆盖区域110的通信覆盖。可以存在重叠的地理覆盖区域110。例如，小型小区102'可以具有与一个或多个宏基站102的覆盖区域110重叠的覆盖区域110'。包括小型小区和宏小区两者的网络可以被称为异构网络。异构网络还可以包括家庭演进型节点B(eNB)(HeNB)，所述HeNB可以向被称为封闭用户分组(CSG)的受限制的组提供服务。在基站102与UE 104之间的通信链路120可以包括从UE 104到基站102的上行链路(UL)(还被称为反向链路)传输和/或从基站102到UE 104的下行链路(DL)(还被称为前向链路)传输。通信链路120可以使用多输入多输出(MIMO)天线技术，包括空间复用、波束成形和/或发射分集。通信链路可以是通过一个或多个载波的。基站102/UE 104可以使用在用于在每个方向上的传输的总共多达YxMHz(x个分量载波)的载波聚合中分配的、每载波多达Y MHz(例如，5、10、15、20、100、400等MHz)带宽的频谱。载波可以彼此相邻或者可以彼此不相邻。对载波的分配可以是关于DL和UL不对称的(例如，比UL相比，针对DL可以分配较多或较少的载波)。分量载波可以包括主分量载波和一个或多个辅分量载波。主分量载波可以被称为主小区(PCell)，以及辅分量载波可以被称为辅小区(SCell)。

某些UE 104可以使用设备到设备(D2D)通信链路158彼此通信。D2D通信链路158可以使用DL/UL WWAN频谱。D2D通信链路158可以使用一个或多个侧行链路信道，比如物理侧行链路广播信道(PSBCH)、物理侧行链路发现信道(PSDCH)、物理侧行链路共享信道(PSSCH)以及物理侧行链路控制信道(PSCCH)。D2D通信可以通过各种各样的无线D2D通信***，诸如FlashLinQ、WiMedia、蓝牙、ZigBee、基于IEEE 802.11标准的Wi-Fi、LTE或者NR。

无线通信***还可以包括在5GHz非许可频谱中经由通信链路154来与Wi-Fi站(STA)152相通信的Wi-Fi接入点(AP)150。当在非许可频谱中通信时，STA 152/AP 150可以在通信之前执行空闲信道评估(CCA)以便确定信道是否可用。

小型小区102'可以在经许可和/或非许可频谱中操作。当在非许可频谱中操作时，小型小区102'可以采用NR并且使用与由Wi-Fi AP 150所使用的相同的5GHz非许可频谱。在非许可频谱中采用NR的小型小区102'可以提升对接入网络的覆盖和/或增加接入网络的容量。

基站102(无论是小型小区102'还是大型小区(例如，宏基站))可以包括eNB、gNodeB(gNB)或其它类型的基站。一些基站(诸如gNB 180)可以在电磁频谱内的一个或多个频带中操作。

电磁谱通常基于频率/波长而被细分为各种类别、频带、信道等。在5G NR中，两个初始操作频带已经被标识为频率范围名称FR1(410MHz-7.125GHz)和FR2(24.25GHz-52.6GHz)。在FR1与FR2之间的频率通常被称为中频带频率。尽管FR1的一部分大于6GHz，但是在各种文档和文章中FR1通常(可互换地)被称为“低于6GHz”频带。关于FR2有时会出现类似的命名问题，尽管与被国际电信联盟(ITU)标识为“毫米波”(mmW)频带的极高频(EHF)频带(30GHz-300GHz)不同，但是在文档和文章中FR2通常(可互换地)被称为“毫米波”频带。

考虑到以上方面，除非另有具体说明，否则应当理解，如果在本文中使用术语“低于6GHz”等，则其可以广义地表示可以小于6GHz、可以在FR1内、或可以包括中频带频率的频率。此外，除非另有具体说明，否则应当理解，如果在本文中使用术语“毫米波”等，则其可以广义地表示可以包括中频带频率、可以在FR2内、或可以在EHF频带内的频率。使用mmW射频频带的通信具有极高的路径损耗和短距离。mmW基站180可以利用与UE 104的波束成形182来补偿路径损耗和短距离。

EPC 160可以包括移动性管理实体(MME)162、其它MME 164、服务网关166、多媒体广播多播服务(MBMS)网关168、广播多播服务中心(BM-SC)170和分组数据网络(PDN)网关172。MME 162可以与归属用户服务器(HSS)174相通信。MME 162是处理在UE 104与EPC 160之间的信令的控制节点。通常，MME 162提供承载和连接管理。所有的用户互联网协议(IP)分组是通过服务网关166来传送的，所述服务网关166本身连接到PDN网关172。PDN网关172向UE提供IP地址分配以及其它功能。PDN网关172和BM-SC 170连接到IP服务176。IP服务176可以包括互联网、内联网、IP多媒体子***(IMS)、PS流服务和/或其它IP服务。BM-SC 170可以提供用于MBMS用户服务提供和传送的功能。BM-SC 170可以用作针对内容提供方MBMS传输的入口点，可以用于准许并发起在公共陆地移动网络(PLMN)内的MBMS承载服务，以及可以用于调度MBMS传输。MBMS网关168可以用于向属于对特定服务进行广播的多播广播单频网络(MBSFN)区域的基站102分发MBMS业务，以及可以负责会话管理(开始/停止)和收集与eMBMS相关的计费信息。

5GC 190可以包括接入和移动性管理功能(AMF)192、其它AMF 193、会话管理功能(SMF)194和用户平面功能(UPF)195。AMF 192可以与统一数据管理(UDM)196进行通信。AMF192是处理在UE 104与5GC 190之间的信令的控制节点。通常，AMF 192提供QoS流和会话管理。所有用户互联网协议(IP)分组是通过UPF 195来传输的。UPF 195提供UE IP地址分配以及其它功能。UPF 195连接到IP服务197。IP服务197可以包括互联网、内联网、IP多媒体子***(IMS)、PS流式服务和/或其它IP服务。

基站还可以被称为gNB、节点B、演进型节点B(eNB)、接入点、基站收发机站、无线电基站、无线电收发机、收发机功能、基本服务集(BSS)、扩展服务集(ESS)、发送接收点(TRP)、或者某种其它适当的术语。基站102针对UE 104提供到EPC 160或5GC 190的接入点。UE 104的示例包括蜂窝电话、智能电话、会话发起协议(SIP)电话、膝上型计算机、个人数字助理(PDA)、卫星无线电单元、全球定位***、多媒体设备、视频设备、数字音频播放器(例如，MP3播放器)、相机、游戏控制台、平板设备、智能设备、可穿戴设备、车辆、电表、气泵、大型或小型厨房电器、医疗保健设备、植入物、传感器/致动器、显示器、或者任何其它类似功能的设备。UE 104中的一些UE 104可以被称为IoT设备(例如，停车计费表、气泵、烤箱、运载工具、心脏监护仪等)。UE 104还可以称为站、移动站、用户站、移动单元、用户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动用户站、接入终端、移动终端、无线终端、远程终端、手持设备、用户代理、移动客户端、客户端或者某种其它适当的术语。

图2A-2D是示出可以用于去往包括多播接收机组件140的UE 104的多播传输的示例帧结构和信道的资源图。图2A是示出在5G NR帧结构内的第一子帧的示例的图200。图2B是示出在5G NR子帧内的DL信道的示例的图230。图2C是示出在5G NR帧结构内的第二子帧的示例的图250。图2D是示出在5G NR子帧内的UL信道的示例的图280。5G NR帧结构可以是FDD(其中，针对特定的子载波集合(载波***带宽)，在子载波集合内的子帧专用于DL或UL)，或者可以是TDD(其中，针对特定的子载波集合(载波***带宽)，在子载波集合内的子帧专用于DL和UL二者)。在通过图2A、2C所提供的示例中，5G NR帧结构被假设为TDD，其中子帧4被配置有时隙格式28(其中大多数为DL)，其中D是DL，U是UL，并且X是可在DL/UL之间灵活使用的，并且子帧3被被配置有时隙格式34(其中大多数为UL)。虽然子帧3、4分别被示为具有时隙格式34、28，但是任何特定子帧可以被配置有各种可用的时隙格式0-61中的任何时隙格式。时隙格式0、1分别是全DL、全UL。其它时隙格式2-61包括DL、UL和灵活符号的混合。UE通过所接收的时隙格式指示符(SFI)而被配置为具有时隙格式(通过DL控制信息(DCI)动态地配置，或者通过无线资源控制(RRC)信令半静态地/静态地配置)。要注意的是，以下描述也适用于作为TDD的5G NR帧结构。

其它无线通信技术可以具有不同的帧结构和/或不同的信道。帧(10ms)可以被划分为10个大小相等的子帧(1ms)。每个子帧可以包括一个或多个时隙。子帧还可以包括微时隙，微时隙可以包括7、4或2个符号。每个时隙可以包括7或14个符号，取决于时隙配置。对于时隙配置0，每个时隙可以包括14个符号，以及对于时隙配置1，每个时隙可以包括7个符号。在DL上的符号可以是循环前缀(CP)OFDM(CP-OFDM)符号。在UL上的符号可以是CP-OFDM符号(用于高吞吐量场景)或者离散傅立叶变换(DFT)扩频OFDM(DFT-s-OFDM)符号(还被称为单载波频分多址(SC-FDMA)符号)(用于功率受限场景；限于单个流传输)。在子帧内的时隙数量可以是基于时隙配置和数字方案(numerology)的。对于时隙配置0，不同的数字方案μ0至5允许每子帧分别有1、2、4、8、16和32个时隙。对于时隙配置1，不同的数字方案0至2允许每子帧分别有2、4和8个时隙。相应地，对于时隙配置0和数字方案μ，存在14个符号/时隙和2μ个时隙/子帧。子载波间隔和符号长度/持续时间是数字方案的函数。子载波间隔可以等于2^μ*15kHz，其中μ是数字方案0至5。因此，数字方案μ＝0具有15kHz的子载波间隔，并且数字方案μ＝5具有480kHz的子载波间隔。符号长度/持续时间是与子载波间隔逆相关的。图2A-2D提供时隙配置0(具有每时隙14个符号)以及数字方案μ＝0(具有每子帧1个时隙)的示例。子载波间隔是15kHz，并且符号持续时间近似为66.7μs。

资源网格可以用于表示帧结构。每个时隙包括资源块(RB)(还被称为物理RB(PRB))，PRB包括12个连续的子载波。资源网格被划分为多个资源单元(RE)。由每个RE携带的比特数量取决于调制方案。

如在图2A中所示出的，RE中的一些RE携带针对UE的参考(导频)信号(RS)。RS可以包括用于在UE处的信道估计的解调RS(DM-RS)(针对一种特定配置被指示成Rx，其中100x是端口号，但是其它DM-RS配置是可能的)以及信道状态信息参考信号(CSI-RS)。RS还可以包括波束测量RS(BRS)、波束细化RS(BRRS)以及相位跟踪RS(PT-RS)。

图2B示出在帧的子帧内的各种DL信道的示例。物理下行链路控制信道(PDCCH)在一个或多个控制信道元素(CCE)内携带DCI，每个CCE包括九个RE组(REG)，每个REG包括在一个OFDM符号中的四个连续的RE。主同步信号(PSS)可以在帧的特定子帧的符号2内。PSS被UE104用来确定子帧/符号定时和物理层标识。辅同步信号(SSS)可以在帧的特定子帧的符号4内。SSS被UE用来确定物理层小区标识组号和无线帧定时。基于物理层标识和物理层小区标识组号，UE可以确定物理小区标识符(PCI)。基于PCI，UE可以确定上述的DM-RS的位置。携带主信息块(MIB)的物理广播信道(PBCH)可以在逻辑上与PSS和SSS分组在一起，以形成同步信号(SS)/PBCH块。MIB提供在***带宽中的RB的数量和***帧号(SFN)。物理下行链路共享信道(PDSCH)携带用户数据、不是通过PBCH发送的广播***信息(诸如***信息块(SIB))以及寻呼消息。

如在图2C中所示出的，RE中的一些RE携带用于在基站处的信道估计的DM-RS(针对一种特定配置被指示成R，但是其它DM-RS配置是可能的)。UE可以发送针对物理上行链路控制信道(PUCCH)的DM-RS和针对物理上行链路共享信道(PUSCH)的DM-RS。可以在PUSCH的前一个或两个符号中发送PUSCH DM-RS。可以根据发送了短PUCCH还是长PUCCH并且根据所使用的特定PUCCH格式，来以不同的配置发送PUCCH DM-RS。尽管未示出，但是UE可以发送探测参考信号(SRS)。SRS可以由基站用于信道质量估计，以实现在UL上的频率相关的调度。

图2D示出在帧的子帧内的各种UL信道的示例。可以如在一种配置中所指示地来定位PUCCH。PUCCH携带上行链路控制信息(UCI)，比如调度请求、信道质量指示符(CQI)、预编码矩阵指示符(PMI)、秩指示符(RI)和HARQ ACK/NACK反馈。PUSCH携带数据，并且可以另外用于携带缓冲器状态报告(BSR)、功率余量报告(PHR)和/或UCI。

图3是在接入网络中基站310与UE 350相通信的框图。在DL中，可以将来自EPC 160的IP分组提供给控制器/处理器375。控制器/处理器375实现层3和层2功能。层3包括无线资源控制(RRC)层，以及层2包括服务数据适配协议(SDAP)层、分组数据汇聚协议(PDCP)层、无线链路控制(RLC)层和介质访问控制(MAC)层。控制器/处理器375提供：与以下各项相关联的RRC层功能：***信息(例如，MIB、SIB)的广播、RRC连接控制(例如，RRC连接寻呼、RRC连接建立、RRC连接修改、以及RRC连接释放)、无线接入技术(RAT)间移动性、以及用于UE测量报告的测量配置；与以下各项相关联的PDCP层功能：报头压缩/解压缩、安全性(加密、解密、完整性保护、完整性验证)、以及切换支持功能；与以下各项相关联的RLC层功能：上层分组数据单元(PDU)的传输、通过ARQ的纠错、RLC服务数据单元(SDU)的串接、分段和重组、RLC数据PDU的重新分段、以及RLC数据PDU的重新排序；以及与以下各项相关联的MAC层功能：在逻辑信道与传输信道之间的映射、MAC SDU到传输块(TB)上的复用、MAC SDU从TB的解复用、调度信息报告、通过HARQ的纠错、优先级处置、以及逻辑信道优先化。

发送(TX)处理器316和接收(RX)处理器370实现与各种信号处理功能相关联的层1功能。包括物理(PHY)层的层1可以包括对传输信道的错误检测、对传输信道的前向纠错(FEC)编码/解码、交织、速率匹配、到物理信道上的映射、对物理信道的调制/解调、以及MIMO天线处理。TX处理器316基于各种调制方案(例如，二进制相移键控(BPSK)、正交相移键控(QPSK)、M相移相键控(M-PSK)、M阶正交幅度调制(M-QAM))，来处理到信号星座的映射。经编码和调制的符号然后可以被分成并行的流。每个流可以接着被映射到OFDM子载波、在时域和/或频域中与参考信号(例如，导频)进行复用，以及然后使用快速傅立叶逆变换(IFFT)组合在一起，以产生携带时域OFDM符号流的物理信道。OFDM流被空间预编码以产生多个空间流。来自信道估计器374的信道估计可以用于确定编码和调制方案以及用于空间处理。信道估计可以根据由UE 350发送的参考信号和/或信道状况反馈来推导。每个空间流可以接着经由单独的发射机318TX被提供给不同的天线320。每个发射机318TX可以利用相应的空间流来对RF载波进行调制以用于传输。

在UE 350处，每个接收机354RX通过其相应的天线352来接收信号。每个接收机354RX对调制到RF载波上的信息进行恢复并将信息提供给接收(RX)处理器356。TX处理器368和RX处理器356实现与各种信号处理功能相关联的层1功能。RX处理器356可以对信息执行空间处理以恢复以UE 350为目的地的任何空间流。如果多个空间流以UE 350为目的地，则其可以由RX处理器356组合成单个OFDM符号流。RX处理器356然后使用快速傅立叶变换(FFT)来将OFDM符号流从时域转换到频域。频域信号包括针对OFDM信号的每个子载波的单独的OFDM符号流。通过确定由基站310发送的最有可能的信号星座点，来对在每个子载波上的符号以及参考信号进行恢复和解调。这些软决策可以基于由信道估计器358计算出的信道估计。然后，对软决策进行解码和解交织来恢复由基站310最初在物理信道上发送的数据和控制信号。然后将数据和控制信号提供给控制器/处理器359，控制器/处理器359实现层3和层2功能。

控制器/处理器359可以与存储程序代码和数据的存储器360相关联。存储器360可以被称为计算机可读介质。在UL中，控制器/处理器359提供在传输信道与逻辑信道之间的解复用、分组重组、解密、报头解压缩和控制信号处理，以恢复来自EPC 160或5GC 190的IP分组。控制器/处理器359还负责使用ACK和/或NACK协议的错误检测以支持HARQ操作。

与结合由基站310进行的DL传输所描述的功能类似，控制器/处理器359提供：与以下各项相关联的RRC层功能：***信息(例如，MIB、SIB)获取、RRC连接和测量报告；与以下各项相关联的PDCP层功能：报头压缩/解压缩和安全性(加密、解密、完整性保护、完整性验证)；与以下各项相关联的RLC层功能：上层PDU的传送、通过ARQ的纠错、RLC SDU的串接、分段和重组、RLC数据PDU的重新分段和RLC数据PDU的重新排序；以及与以下各项相关联的MAC层功能：在逻辑信道与传输信道之间的映射、MAC SDU到TB上的复用、对MAC SDU从TB的解复用、调度信息报告、通过HARQ的纠错、优先级处理和逻辑信道优先化。

由信道估计器358根据由基站310发送的参考信号或反馈推导出的信道估计可以由TX处理器368用于选择适当的编码和调制方案，以及用于促进空间处理。可以经由单独的发射机354TX来将由TX处理器368生成的空间流提供给不同的天线352。每个发射机354TX可以利用相应的空间流来对RF载波进行调制以用于传输。

UL传输在基站310处是以与结合在UE 350处的接收机功能所描述的方式类似的方式来处理的。每个接收机318RX通过其相应的天线320来接收信号。每个接收机318RX对调制到RF载波上的信息进行恢复并且将信息提供给RX处理器370。

控制器/处理器375可以与存储程序代码和数据的存储器376相关联。存储器376可以被称为计算机可读介质。在UL中，控制器/处理器375提供在传输信道与逻辑信道之间的解复用、分组重组、解密、报头解压缩、控制信号处理，以恢复来自UE 350的IP分组。来自控制器/处理器375的IP分组可以被提供给EPC 160。控制器/处理器375还负责使用ACK和/或NACK协议的错误检测以支持HARQ操作。

TX处理器368、RX处理器356和控制器/处理器359中的至少一者可以被配置为执行与图1的多播接收机组件140有关的各方面。

TX处理器316、RX处理器370和控制器/处理器375中的至少一者可以被配置为执行与图1的保护组件198有关的各方面。

图4是包括应用功能410、5GC 190、无线接入网络(RAN)430和UE 104的网络400的示例架构的图。AF 410可以经由控制平面信令与5GC的NEF/PCF 520进行通信。例如，AF 410可以向NEF/PCF 420提供服务策略，NEF/PCF 420可以存储服务策略。SMF 194可以访问NEF/PCF 420以获得服务策略。

在一个方面中，SMF 194可以包括安全性组件188，其执行用于多播或广播服务的控制密钥生成、密钥刷新和密钥分发。安全性组件188可以包括密钥生成组件441，其生成用于QoS流的多播广播密钥；会话组件442，其从UE接收PDU会话请求并且建立所请求的会话；密钥分发组件443，其将多播广播密钥分发给UE 104、UPF 195和/或RAN节点402；安全性策略组件444，其确定用于会话的安全性策略；以及服务策略组件445，其实现用于多播或广播服务的服务策略。

SMF 194可以与AMF 192进行通信以认证UE 104。SMF 194可以基于用于特定广播或多播服务的服务策略来生成或授权密钥的生成。例如，服务策略可以指示要应用的安全性的类型(例如，加密和/或完整性保护)。SMF 194可以生成密钥，或者可以授权RAN节点402生成密钥。在一个方面中，SMF 194可以生成多播广播密钥(K_MB)。SMF 194还可以使用单向密钥推导函数(KDF)来推导用于加密的密钥(例如，K_MB_enc＝KDF(K_MB,“加密”))和用于完整性检查的密钥(例如，K_MB_int＝KDF(K_MB,“完整性保护”))。在一些情况下，小区特定密钥可以被递送到UE 104或从K_MB推导。UE可以使用KDF来推导适当的K_MB_enc或K_MB_int。SMF 194还可以基于服务策略来控制密钥刷新。密钥刷新可以包括生成新密钥以替换旧密钥。例如，服务策略可以指定用于刷新用于QoS流的密钥的条件。例如，服务策略可以指定，每当存在组成员资格或订制的变化时，或者当UE开始或停止会话时，应当替换密钥。因此，密钥刷新可以防止前成员或订户在没有新密钥的情况下访问QoS流。作为另一示例，服务策略可以指定用于刷新密钥的时间段。示例时间段可以是每小时、每天或每周，但是也可以指定其它时间段。如下文进一步详细讨论的，SMF 194可以生成或刷新密钥本身，或者可以授权RAN节点402生成或刷新密钥。

SMF 194可以从UE 104接收针对广播或多播服务的PDU会话请求。SMF 194可以确定UE 104是否订制了多播或广播服务。例如，SMF 194可以检查NEF/PCF 420中的服务策略。替代地或另外，SMF可以在UE 104和AF 410之间执行辅助认证和授权。如果UE 104订制了多播或广播服务，则SMF 194可以向UE 104分发或授权分发用于QoS流的多播广播密钥。如果SMF 194生成了多播广播密钥，则SMF 194可以经由NAS信令向一个或多个UE分发多播广播密钥。如果RAN节点402生成了多播广播密钥，则RAN节点402可以(例如，经由RRC信令)向UE分发多播广播密钥。

图5是第一安全性架构500的图，其中SMF 194生成密钥并且向UE 104和UPF 195分发密钥。SMF 194可以生成用于QoS流的单个多播广播密钥。SMF 194可以向订制多播或广播服务的一个或多个UE 104分发多播广播密钥。例如，SMF 194可以在PDU会话建立期间分发多播广播密钥。在认证UE(例如，第一UE 104a)并且确认第一UE 104a订制多播或广播服务之后，SMF可以经由NAS信令510向UE 104a分发多播广播密钥。可以使用RAN安全性来保护密钥，通过RAN 430将NAS信令510传送到特定UE 104a。未订制多播或广播服务的第二UE 104b可以不接收多播广播密钥，并且将无法解码QoS流的分组，即使UE 104b连接到同一RAN节点402并且能够接收无线电信号。订制相同的多播或广播服务的第三UE 104c可以经由NAS信令510接收相同的多播广播密钥，即使第三UE 104c经由不同的RAN节点402连接。第三UE104c可以从其相应的RAN节点402接收QoS流的分组，并且可以使用多播广播密钥来解码分组。

SMF 194还可以向UPF 195分发多播广播密钥。例如，SMF 194可以经由N4接口发送密钥。UPF 195可以使用多播广播密钥来保护QoS流的分组。例如，UPF 195可以使用已知密码算法(例如，对称算法)，使用多播广播密钥来加密分组。作为另一示例，UPF 195可以使用多播广播密钥(例如，使用分组的签名哈希结果)来对分组进行完整性保护。UPF 195还可以执行加密和完整性保护两者。UPF 195可以将受保护的分组转发给RAN节点402，RAN节点402可以在多播或单播信道上将受保护的分组递送给UE 104。UE 104可以在不改变多播广播密钥的情况下改变RAN节点402，因为用于QoS流的分组在UPF 195处受到保护。

图6是示出可以使用第一安全性架构500在UE 104、RAN节点402、AMF 192、SMF194、AF 410和UPF 195之间发送的以进行用于多播或广播服务的密钥生成、密钥刷新和密钥分发的示例消息的消息图600。

UE 104可以发送PDU会话建立请求602。PDU会话建立请求602可以指示UE 104正在请求的多播或广播服务。UE可以经由AMF 192发送PDU会话建立请求602，其可以认证UE104。AMF 192可以包括认证UE 104的安全性锚功能(SEAF)或者与其共置。

网络可以可选地执行辅助认证或授权604。例如，用于AF 410的服务策略可以要求UE 104例如通过使用凭证进行登录来向AF 410进行认证。相应地，UE 104和AF 410可以交换用于辅助认证或授权604的消息。

SMF 194可以可选地响应于PDU会话建立请求来执行密钥刷新608。例如，每当UE建立PDU会话(例如，以开始接收服务)时，用于AF 410的服务策略可能需要密钥刷新。例如，这样的策略可以防止UE 104访问先前广播的分组。

SMF 194可以向UPF 195发送N4建立或修改610。N4建立或修改610可以包括标识用于QoS流的多播广播密钥和实际多播广播密钥的密钥ID。因此，SMF可以向UPF 195分发多播广播密钥，使得UPF 195可以使用多播广播密钥来保护QoS流的分组。

SMF 194可以向RAN节点402发送安全性策略612。安全性策略可以指示针对用于UE104的QoS流的特定规则。在一个方面中，由于UPF 195可以保护QoS流，因此安全性策略612可以指示RAN节点402禁用针对QoS流的RAN安全性(例如，PDCP层安全性)。

SMF 194可以向UE 104发送PDU会话建立接受消息614。PDU会话建立接受消息614可以是NAS信令消息，其包括标识用于QoS流的多播广播密钥的密钥ID和实际多播广播密钥。因此，SMF 194可以向请求PDU会话的UE 104分发多播广播密钥。

在框616处，UE 104可以接收多播或广播业务。例如，UE 104可以经由无线电承载接收用于QoS流的分组。UPF 195可以使用多播广播密钥来保护分组。UE 104可以使用多播广播密钥来解码分组。

SMF 194可以根据AF 410的服务策略来执行密钥刷新618。SMF 194可以生成新的多播广播密钥来替换在框616中使用的多播广播密钥。

SMF 194可以向UPF 195发送包括新密钥标识符和新多播广播密钥的N4修改消息620。SMF 194可以向UE 104发送包括新密钥标识符和新多播广播密钥的NAS信令消息622。相应地，在框624中，多播或广播业务可以使用新多播广播密钥，以与框616中类似的方式继续。

图7是第二安全性架构700的图，其中SMF 194生成密钥并且向UE 104和RAN节点402分发密钥。SMF 194可以生成用于QoS流的单根多播广播密钥。可以在RAN节点402处使用从根多播广播密钥推导的小区特定密钥来保护用于QoS流的分组。如上文关于图5所描述的，SMF 194可以使用NAS信令510向订制多播或广播服务的一个或多个UE 104分发根多播广播密钥。接收根多播广播密钥的每个UE 104可以针对UE 104连接到的RAN节点402的小区来推导小区特定密钥。

SMF 194可以使用根多播广播密钥来推导用于每个RAN节点402的一个或多个密钥。SMF 194可以不向RAN节点402递送根多播广播密钥。相应地，受损的RAN节点402可能无法推导其它RAN节点的密钥。SMF 194和UE 104可以基于小区标识、随机数或RAN节点标识来生成小区特定密钥。

对于小区标识，UE可以从由RAN节点402广播的***信息获得小区标识。UE 104可以使用单向密钥推导函数，以基于根多播广播密钥和小区标识来推导小区特定密钥。类似地，RAN节点402可以通过向SMF 194提供小区ID来从SMF 194请求小区特定ID。相应地，SMF194可以使用单向密钥推导函数，以基于根多播广播密钥和小区标识来推导小区特定密钥。SMF 194可以将所请求的小区特定密钥递送到RAN节点402。

随机数可以是由SMF 194或RAN节点402生成并且与特定RAN节点402相关联的随机数字。RAN节点402可以广播用于RAN节点402的每个小区的随机数(例如，在***信息或多播控制信道上)。UE 104和SMF 194可以使用单向密钥推导函数，以基于根多播广播密钥和随机数来推导节点密钥。在第一选项中，RAN节点402的所有小区可以使用相同的小区特定密钥。UE 104和SMF 194或RAN节点402可以将小区特定密钥设置为节点密钥。在第二选项中，RAN节点402的每个小区可以具有不同的小区特定密钥。UE 104和SMF 194或RAN节点402可以使用单向密钥推导函数以基于节点密钥和小区标识来推导小区特定密钥。

对于RAN节点标识，小区标识的第一部分可以对于RAN节点的所有小区是公共的。第一部分可以用作随机数，并且小区标识的对于小区唯一的第二部分可以用作单向密钥推导函数中的小区标识。

RAN节点402可以使用小区特定密钥来保护QoS流的分组。在一个方面中，RAN节点402可以在PDCP层处使用小区特定密钥来保护分组。例如，RAN节点402可以使用已知密码算法(例如，PDCP安全性功能)，使用小区特定密钥来加密分组。作为另一示例，RAN节点402可以使用小区特定密钥(例如，使用分组的签名哈希结果)来对分组进行完整性保护。RAN节点402还可以执行加密和完整性保护两者。RAN节点402可以在多播或单播信道上将受保护的分组转发给UE 104。

图8是示出可以使用第二安全性架构700在UE 104、RAN节点402、AMF 192、SMF194、AF 410和UPF 195之间发送的以进行用于多播或广播服务的密钥生成、密钥刷新和密钥分发的示例消息的消息图800。

UE 104可以发送PDU会话建立请求802。PDU会话建立请求802可以指示UE 104正在请求的多播或广播服务。UE可以经由AMF 192发送PDU会话建立请求802，其可以认证UE104。AMF 192可以包括认证UE 104的SEAF或者与其共置。

网络可以可选地执行辅助认证或授权804。例如，用于AF 410的服务策略可以要求UE 104例如通过使用凭证进行登录来向AF 410进行认证。相应地，UE 104和AF 410可以交换用于辅助认证或授权804的消息。

SMF 194可以可选地响应于PDU会话建立请求来执行密钥刷新805。例如，每当UE建立PDU会话(例如，开始接收服务)时，用于AF 410的服务策略可能需要密钥刷新。例如，这样的策略可以防止UE 104访问先前广播的分组。

SMF 194可以向UPF 195发送N4建立或修改806。N4建立或修改806可以向UPF 195标识QoS流。

SMF 194可以向RAN节点402发送安全性策略808。安全性策略808可以指示针对用于UE 104的QoS流的特定规则。在一个方面中，由于RAN节点402保护QoS流，因此安全性策略808可以包括密钥标识符、小区特定密钥或节点密钥。相应地，SMF 194可以使用安全性策略808来向RAN节点402分发小区特定密钥。

SMF 194可以向UE 104发送PDU会话建立接受消息810。PDU会话建立接受消息810可以是NAS信令消息，其包括标识用于QoS流的多播广播密钥的密钥ID和实际多播广播密钥。因此，SMF 194可以向请求PDU会话的UE 104分发多播广播密钥。

在框812处，UE 104可以推导用于UE 104连接到的RAN节点402的小区的小区特定密钥。例如，如上文关于图7所讨论的，UE 104可以使用小区标识符、随机数或节点标识符来推导小区特定密钥。

在框814处，UE 104可以接收多播或广播业务。例如，UE 104可以经由无线电承载来接收用于QoS流的分组。RAN节点402可以使用小区特定密钥来保护分组。UE 104可以使用小区特定密钥来解码分组。

RAN节点402可以向SMF 194发送密钥改变事件报告816。例如，RAN节点402可以向SMF 194报告UE加入/离开事件。SMF 194可以基于密钥改变事件报告816或由SMF 194(例如，经由UDM)识别的通知的订制改变中的一项或两项来检测密钥改变事件。SMF 194还可以基于密钥到期(例如，密钥生存期)独立地确定密钥改变事件

SMF 194可以根据AF 410的服务策略来执行密钥刷新818。SMF 194可以生成新的根多播广播密钥来替换在框814中使用的多播广播密钥。SMF 194还可以推导任何小区特定密钥或节点密钥。

SMF 194可以向RAN节点402发送包括新密钥标识符和新小区特定密钥或节点密钥的密钥递送消息822。SMF 194可以向UE 104发送包括新密钥标识符和新的根多播广播密钥的NAS信令消息824。在框826中，UE 104可以以与框812中类似的方式推导小区特定密钥。因此，在框828中，多播或广播业务可以使用新多播广播密钥，以与框814中类似的方式继续。

图9是第三安全性架构900的图，其中SMF 194授权RAN节点402生成密钥并且向UE104分发密钥。例如，SMF 194可以提供用于QoS流的安全性策略。RAN节点402可以生成用于每个QoS流的小区特定的多播广播密钥，并且向已订制UE 104分发小区特定的多播广播密钥(例如，使用RRC信令)。UE 104可能需要处于与RAN节点402的连接模式以接收小区特定的多播广播密钥。当在RAN节点402之间移动时，UE 104可能需要获得新的小区特定的多播广播密钥。

RAN节点402可以使用小区特定密钥来保护QoS流的分组。在一个方面中，RAN节点402可以在PDCP层处使用小区特定密钥来保护分组。例如，RAN节点402可以使用已知密码算法(例如，PDCP安全性功能)，使用小区特定密钥来加密分组。作为另一示例，RAN节点402可以使用小区特定密钥(例如，使用分组的签名哈希结果)来对分组进行完整性保护。RAN节点402还可以执行加密和完整性保护两者。RAN节点402可以在多播或单播信道上将受保护的分组转发给UE 104。

图10是示出可以使用第三安全性架构900在UE 104、RAN节点402、AMF 192、SMF194、AF 410和UPF 195之间发送的以进行用于多播或广播服务的密钥生成、密钥刷新和密钥分发的示例消息的消息图1000。

UE 104可以发送PDU会话建立请求1002。PDU会话建立请求1002可以指示UE 104正在请求的多播或广播服务。UE可以经由AMF 192发送PDU会话建立请求1002，其可以认证UE104。AMF 192可以包括认证UE 104的SEAF或者与其共置。

网络可以可选地执行辅助认证或授权1004。例如，用于AF 410的服务策略可以要求UE 104例如通过使用凭证进行登录来向AF 410进行认证。相应地，UE 104和AF 410可以交换用于辅助认证或授权1004的消息。

SMF 194可以向UPF 195发送N4建立或修改1006。N4建立或修改1006可以向UPF195标识QoS流。

SMF 194可以向RAN节点402发送安全性策略1008。安全性策略1008可以指示针对用于UE 104的QoS流的特定规则。在一个方面中，由于RAN节点402生成密钥，因此安全性策略1008可以不包括由SMF 194生成的密钥。安全性策略1008可以指示或授权RAN节点402生成分发小区特定密钥。安全性策略1008还可以包括用于执行密钥刷新的规则，以基于经配置的事件来将RAN节点402配置为自主地执行用于QoS流的密钥刷新。

在框1010处，RAN节点402可以可选地根据安全性策略来执行密钥刷新。也就是说，如果安全性策略指示的话，RAN节点402可以响应于将UE 104添加到QoS流来生成新密钥。

RAN节点402可以向UE 104发送RRC重新配置消息1012。RRC重新配置消息可以包括密钥ID和所生成的用于QoS流的小区特定的多播广播密钥。因此，RAN节点402可以向UE 104分发小区特定的多播广播密钥。在一个方面中，RRC重新配置消息1012可以包括PDU会话建立接受消息。

在框1014处，UE 104可以接收多播或广播业务。例如，UE 104可以经由无线电承载接收用于QoS流的分组。RAN节点402可以使用小区特定的多播广播密钥来保护分组。UE 104可以使用小区特定的多播广播密钥来解码分组。

在框1016处，RAN节点402可以检测由安全性策略配置的密钥改变事件。例如，RAN节点402可以检测UE 104加入或离开(例如，断开或改变小区)。在框1022中，RAN节点402可以响应于密钥改变事件来触发密钥刷新。另外或替代地，在框1018处，SMF 194可以检测密钥刷新事件。例如，SMF 194可以检测由服务策略配置的密钥改变事件，诸如订制改变(例如，订户加入或离开组)或周期性密钥改变。在框1018处，SMF 194可以向RAN节点402发送密钥改变刷新通知1020以触发密钥刷新事件。密钥改变刷新通知1020可以包括与不应当接收新密钥的UE相对应的已撤销UE ID的列表。

在框1022中，RAN节点402可以根据安全性策略来执行密钥刷新。RAN节点402可以生成新的小区特定的多播广播密钥，以替换在框1014中使用的小区特定的多播广播密钥。

SMF 194可以向RAN节点402发送包括新密钥标识符和新小区特定密钥或节点密钥的RRC重新配置消息1024。相应地，在框1026中，多播或广播业务可以使用新的小区特定的多播广播密钥，以与框1014中类似的方式继续。

图11是可以由UE(例如，UE 104，其可以包括存储器360，并且可以是整个UE 104或UE 104的组件，诸如多播接收机组件140、TX处理器368、RX处理器356和/或控制器/处理器359)执行以用于接收多播传输的无线通信的方法1100的流程图。方法1100可以在与包括安全性组件188的SMF 194和包括保护组件198的RAN节点402或UPF 195中的一者的通信中执行。可选框用虚线示出。

在框1110处，方法1100可以可选地包括：发送指示一种或多种安全性算法的UE能力消息。在一个方面中，例如，UE 104、TX处理器368和/或控制器/处理器359可以执行多播接收机组件140和/或能力组件145，以发送指示一种或多种安全性算法的UE能力消息。因此，执行多播接收机组件140和/或能力组件145的UE 104、TX处理器368和/或控制器/处理器359可以提供用于发送指示一种或多种安全性算法的UE能力消息的单元。

在框1120处，方法1100可以包括：从UE向SMF发送针对多播或广播服务的数据会话建立请求。在一个方面中，例如，UE 104、TX处理器368和/或控制器/处理器359可以执行多播接收机组件140和/或会话组件141，以从UE 104向SMF发送针对多播或广播服务的数据会话建立请求(例如，PDU会话建立请求602)。在一个方面中，UE 104可以订制多播或广播服务。PDU会话建立请求可以包括对服务类型的指示或指示多播或广播服务的域名。相应地，执行多播接收机组件140和/或能力组件145的UE 104、TX处理器368和/或控制器/处理器359可以提供用于从UE向SMF发送针对UE订制的多播或广播服务的数据会话建立请求的单元。

在框1130处，方法1100可以可选地包括：接收指示用于解码的选择的安全性算法的安全性策略。在一个方面中，例如，UE 104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或能力组件145，以接收指示用于解码的选择的安全性算法的安全性策略。例如，在第一安全性架构500中，能力组件145可以经由NAS信令接收安全性策略，而在第二安全性架构700和第三安全性架构900中，能力组件145可以经由RRC信令接收安全性策略。相应地，执行多播接收机组件140和/或能力组件145的UE 104、RX处理器356和/或控制器/处理器359可以提供用于接收指示用于解码的选择的安全性算法的安全性策略的单元。

在框1140处，方法1100可以包括：接收用于数据会话的至少一个多播广播密钥。在一个方面中，例如，UE 104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或密钥管理组件142以接收用于数据会话的至少一个多播广播密钥。在一个方面中，数据会话可以包括一个或多个QoS流，每个QoS流与至少一个多播广播密钥中的唯一多播广播密钥相关联。相应地，执行多播接收机组件140和/或密钥管理组件142的UE 104、RX处理器356和/或控制器/处理器359可以提供用于接收用于数据会话的多播广播密钥的单元。

例如，在子框1142处，框1140可以可选地包括：经由NAS信令从生成至少一个多播广播密钥的SMF接收至少一个多播广播密钥。例如，在第一安全性架构500中，UE 104a可以经由NAS信令510从生成多播广播密钥的SMF 194接收至少一个多播广播密钥。

作为另一示例，在子框1144处，框1140可以可选地包括：经由NAS信令接收由SMF生成的根密钥。例如，在第二架构700中，UE 104a可以经由NAS信令510从SMF 194接收根密钥。在子框1146处，框1140还可以可选地包括：基于根密钥来推导用于接入网络节点的小区的小区特定的多播广播密钥。例如，密钥管理组件142可以基于根密钥来推导用于RAN节点402的小区的小区特定的多播广播密钥。在一个方面中，基于根密钥来推导用于小区的小区特定的多播广播密钥可以包括：基于根密钥和小区的小区标识来推导小区特定的多播广播密钥。在一个方面中，基于根密钥来推导用于小区的小区特定的多播广播密钥可以包括：接收由无线接入网络节点的小区广播的唯一随机数；基于唯一随机数和根密钥来推导用于无线接入网络节点的节点密钥；以及从节点密钥推导小区特定的多播广播密钥。例如，密钥管理组件142可以将小区特定的多播广播密钥设置为节点密钥，或者基于节点密钥和小区标识来推导用于小区的小区特定的多播广播密钥。在一个方面中，随机数是用于无线接入网络节点的每个小区的小区标识符的公共部分。此外，在安全性架构700中，UE 104可以从第一小区改变到第二小区。密钥管理组件142可以推导用于第二小区的小区特定的多播广播密钥。解码组件144可以使用用于第二小区的小区特定的多播广播密钥来解码来自第二小区的一个或多个QoS流分组。

作为另一示例，在子框1148处，框1140可以可选地包括：经由RRC信令从生成至少一个多播广播密钥的接入网络节点接收至少一个多播广播密钥。例如，在安全性架构900中，密钥管理组件142可以经由RRC信令从生成至少一个多播广播密钥的RAN节点402接收至少一个多播广播密钥。此外，在安全性架构900中，UE 104可以从第一小区改变到第二小区。密钥管理组件142可以从第二小区接收新的小区特定的多播广播密钥。解码组件144可以使用用于第二小区的新的小区特定的多播广播密钥来解码来自第二小区的一个或多个QoS流分组。

在框1150处，方法1100可以包括：确定用于多播或广播服务的RB配置。在一个方面中，例如，UE 104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或接收组件143，以确定用于多播或广播服务的RB配置。例如，接收组件143可以在RRC配置消息中从RAN节点402接收RB配置。在另一示例中，RB配置可以预先配置、推导或在标准文档或规定中指定。相应地，执行多播接收机组件140和/或接收组件143的UE 104、RX处理器356和/或控制器/处理器359可以提供用于确定用于多播或广播服务的RB配置的单元。

在框1160处，方法1100可以包括：在RB上接收用于多播或广播服务的一个或多个QoS流分组。在一个方面中，例如，UE 104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或接收组件143，以在RB上接收用于多播或广播服务的一个或多个QoS流分组。相应地，执行多播接收机组件140和/或接收组件143的UE 104、RX处理器356和/或控制器/处理器359可以提供用于在RB上接收用于多播或广播服务的一个或多个QoS流分组的单元。

在框1170处，方法1100可以包括：使用至少一个多播广播密钥或从多播广播密钥推导的密钥来解码一个或多个QoS流分组。解码可以包括解密、验证完整性或其组合。在一个方面中，例如，UE 104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或解码组件144，以使用至少一个多播广播密钥或从至少一个多播广播密钥推导的密钥来解码一个或多个QoS流分组。相应地，执行多播接收机组件140和/或解码组件144的UE 104、RX处理器356和/或控制器/处理器359可以提供用于使用至少一个多播广播密钥或从至少一个多播广播密钥推导的密钥来解码一个或多个QoS流分组的单元。

例如，在子框1172处，框1170可以可选地包括：解码来自PDCP层的经编码的QoS流分组。例如，在安全性架构500中，解码组件144可以在PDCP层之上实现从PDCP层接收分组或PDU的协议层(例如，多播广播层)。解码组件144可以利用安全性算法(例如，如安全性策略中所指示的)来解码来自PDCP层的分组或PDU。在一个方面中，PDCP安全性可以由安全性策略禁用，以有利于较高层的安全性算法。此外，UE 104可能在安全性架构500中从第一小区改变到第二小区。解码组件144可以在不改变至少一个多播广播密钥的情况下解码来自第二小区的一个或多个QoS流分组。具体地，由于多播广播层与UPF 195共享密钥，因此当改变小区和/或RAN节点402时，密钥可以不改变。

作为另一示例，在子框1174处，框1170可以可选地包括：在PDCP层处使用小区特定的多播广播密钥来解码一个或多个QoS流分组。例如，在安全性架构700中，解码组件144可以在PDCP层处使用从根密钥推导的小区特定的多播广播密钥来解码一个或多个QoS流分组。在用于安全性架构900的另一实现中，解码组件144可以在PDCP层处使用从RAN节点402接收的小区特定的多播广播密钥来解码一个或多个QoS流分组。

图12是可以由网络(例如，网络400)执行的无线通信的方法1200的流程图。在一个方面中，方法1200可以由网络节点(诸如包括安全性组件188的SMF 194)执行。如图17所示，SMF 194可以包括1712，其执行存储在存储器1716中的指令，以用于实现安全性组件188，以便为多播或广播服务提供密钥管理和分发。方法1200可以在与包括多播接收机组件140的一个或多个UE 104以及包括保护组件198的RAN节点402或UPF 195中的一者的通信中执行。可选框用虚线示出。

在框1210处，方法1200可以包括：针对多播或广播服务生成用于由RB携带的多播或广播服务的密钥。密钥可以用于订制多播或广播服务的任何UE。用于由RB携带的多播或广播服务的分组可以由密钥或从该密钥推导的密钥来保护。在一个方面中，例如，SMF 194或处理器1712可以执行安全性组件188和/或密钥生成组件441，以生成用于由RB携带的多播或广播服务的密钥。在一种实现中，密钥生成组件441可以随机地或伪随机地生成密钥。密钥生成组件441可以确保密钥对于网络400是唯一的。相应地，执行安全性组件188和/或密钥生成组件441的SMF 194或处理器1712可以提供用于生成用于由RB携带的多播或广播服务的密钥的单元。

在框1220处，方法1200可以包括：从被认证到网络元件的UE接收数据会话建立请求。例如，在一个方面中，SMF 194或处理器1712可以执行安全性组件188和/或会话组件442，以从被认证到网络元件(例如，AMF 192)的UE 104接收数据会话建立请求。相应地，执行安全性组件188和/或会话组件442的SMF 194或处理器1712可提供用于从被认证到网络元件的UE接收数据会话建立请求的单元。

在框1230处，方法1200可以可选地包括：由SMF确定用于UE的指定加密、完整性保护或其组合的安全性策略。在一个方面，例如，SMF 194或处理器1712可以执行安全性组件188和/或安全性策略组件444，以由SMF 194确定用于UE 104的指定加密、完整性保护或其组合的安全性策略。相应地，执行安全性组件188和/或安全性策略组件444的SMF 194或处理器1712可以提供用于由SMF确定用于UE的指定加密、完整性保护或其组合的安全性策略的单元。

在框1240处，方法1200可以可选地包括：将安全性策略递送给一个或多个无线接入网络节点。在一个方面中，例如，SMF 194或处理器1712可以执行安全性组件188和/或安全性策略组件444，以将安全性策略递送给一个或多个无线接入网络节点。相应地，执行安全性组件188和/或安全性策略组件444的SMF 194或处理器1712可以提供用于将安全性策略递送给一个或多个无线接入网络节点的单元。

在框1250处，方法1200可以可选地包括：将安全性策略递送给UE。在一个方面中，例如，SMF 194或处理器1712可以执行安全性组件188和/或安全性策略组件444，以将安全性策略递送给UE。例如，安全性策略组件444可以经由NAS信令将安全性策略递送给UE(例如，在安全性架构500中)。作为另一示例，安全性策略组件444可以指示无线接入网络节点经由RRC信令将安全性策略递送给UE(例如，在安全性架构700和安全性架构900中)。相应地，执行安全性组件188和/或安全性策略组件444的SMF 194或处理器1712可以提供用于将安全性策略递送给UE的单元。

在框1260处，方法1200可以包括：基于UE被认证并且订制服务来向UE分发密钥。在一个方面中，例如，SMF 194或处理器1712可以执行安全性组件188和/或密钥分发组件443，以基于UE被认证并且订制服务来向UE分发密钥。相应地，执行安全性组件188和/或密钥分发组件443的SMF 194或处理器1712可以提供用于基于UE被认证并且订制服务来向UE分发密钥的单元。

例如，在子框1261中，框1260可以可选地包括：经由NAS信令将密钥从SMF递送给UE。例如，密钥分发组件443可以经由NAS信令510将密钥从SMF递送给UE。在子框1262中，框1260还可以可选地包括：将密钥递送给多播广播用户平面功能，多播广播用户平面功能利用密钥针对用于多播或广播服务的分组进行加密、完整性保护或两者。例如，密钥分发组件443可以将密钥递送给包括保护组件198的UPF 195，保护组件198利用密钥针对用于多播或广播服务的分组进行加密、完整性保护或两者。

例如，在子框1263中，框1260可以可选地包括：经由NAS信令将用于多播或广播服务的密钥作为用于多播或广播服务的根密钥从SMF递送给UE。例如，密钥分发组件443可以经由NAS信令510将用于多播或广播服务流的密钥作为用于多播或广播服务的根密钥从SMF194递送给UE 104。此外，在子框1264中，框1260可以可选地包括：由SMF基于根密钥来推导用于小区的小区特定的多播广播密钥。例如，密钥分发组件443可以通过SMF基于根密钥来推导用于小区的小区特定的多播广播密钥。另外，在子框1265中，框1260可以可选地包括：将小区特定的多播广播密钥递送给提供该小区的无线接入网络节点。例如，密钥分发组件443可以将小区特定的多播广播密钥递送给提供小区的RAN节点402。

返回到子框1264，基于根密钥来推导用于小区的小区特定的多播广播密钥可以包括：基于根密钥和小区的小区标识来推导小区特定的多播广播密钥。在另一方面中，基于根密钥来推导用于小区的小区特定的多播广播密钥可以包括：生成要由无线接入网络节点的每个小区广播的唯一随机数；基于唯一随机数和根密钥来推导用于无线接入网络节点的节点密钥；以及由无线电接入网络节点推导小区特定的多播广播密钥。例如，无线接入网络节点可以将小区特定的多播广播密钥设置为用于无线接入网络节点的每个小区的节点密钥，或者基于节点密钥和相应的小区标识来推导用于每个小区的小区特定的多播广播密钥。在另一方面中，随机数是用于无线接入网络节点的每个小区的小区标识符的公共部分。

在另一示例中，在子框1266中，框1260可以可选地包括：经由RRC信令将密钥从生成密钥的无线接入网络节点递送给UE。例如，密钥分发组件443可以指示生成密钥的无线接入网络节点经由RRC信令将密钥递送给UE。

图13是可以由UE(例如，UE 104，其可以包括存储器360，并且可以是整个UE 104或UE 104的组件，诸如多播接收机组件140、TX处理器368、RX处理器356和/或控制器/处理器359)执行以用于接收多播传输的无线通信的方法1300的流程图。方法1300可以在与包括安全性组件188的SMF 194和包括保护组件198的RAN节点402或UPF 195中的一者的通信中执行。可选框用虚线示出。

在框1310处，方法1300可以包括：接收用于由与数据会话相关联的RB携带的多播或广播服务的至少一个多播广播密钥。在一个方面中，例如，UE 104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或密钥管理组件142，以接收用于由与数据会话相关联的RB携带的多播或广播服务的至少一个多播广播密钥。在一些实现中，数据会话可以是PDU会话。在一些实现中，数据会话可以包括一个或多个QoS流，每个QoS流与至少一个多播广播密钥中的唯一多播广播密钥相关联。相应地，执行多播接收机组件140和/或密钥管理组件142的UE 104、RX处理器356和/或控制器/处理器359可以提供用于接收用于由与数据会话相关联的RB携带的多播或广播服务的至少一个多播广播密钥的单元。

在框1320处，方法1300可以可选地包括：接收用于多播或广播服务的分组。在一个方面中，例如，UE 104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或接收组件143以接收用于多播或广播服务的分组。相应地，执行多播接收机组件140和/或接收组件143的UE 104、RX处理器356和/或控制器/处理器359可以提供用于接收用于多播或广播服务的分组的单元。

在框1330处，方法1300可以可选地包括：使用至少一个多播广播密钥或从至少一个多播广播密钥推导的密钥来解码用于多播或广播服务的分组。在一个方面中，例如，UE104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或解码组件144，以使用至少一个多播广播密钥或从至少一个多播广播密钥推导的密钥来解码用于多播或广播服务的分组。相应地，执行多播接收机组件140和/或解码组件144的UE 104、RX处理器356和/或控制器/处理器359可以提供用于使用至少一个多播广播密钥或从至少一个多播广播密钥推导的密钥来解码用于多播或广播服务的分组的单元。

在框1340处，方法1300可以包括：接收用于数据会话的至少一个更新的多播广播密钥。在一个方面中，例如，UE 104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或密钥管理组件142，以接收用于数据会话的至少一个更新的多播广播密钥。因此，执行多播接收机组件140和/或密钥管理组件142的UE 104、RX处理器356和/或控制器/处理器359可以提供用于接收用于数据会话的至少一个更新的多播广播密钥的单元。

例如，在子框1342处，框1340可以可选地包括：经由NAS信令从生成至少一个更新的多播广播密钥的SMF接收至少一个更新的多播广播密钥。例如，在第一安全性架构500中，UE 104a可以经由NAS信令510从生成至少一个更新的多播广播密钥的SMF 194接收至少一个更新的多播广播密钥。

作为另一示例，在子框1344处，框1340可以可选地包括：经由NAS信令接收由SMF生成的根密钥。例如，在第二架构700中，UE 104a可以经由NAS信令510从SMF 194接收根密钥。在子框1346处，框1140还可以可选地包括：基于根密钥来推导用于接入网络节点的小区的小区特定的多播广播密钥。例如，密钥管理组件142可以基于根密钥来推导用于RAN节点402的小区的小区特定的多播广播密钥。在一个方面中，基于根密钥来推导用于小区的小区特定的多播广播密钥可以包括基于根密钥和小区的小区标识来推导小区特定的多播广播密钥。在一个方面中，基于根密钥来推导用于小区的小区特定的多播广播密钥可以包括：接收无线接入网络节点的小区的唯一随机数广播；基于唯一随机数和根密钥来推导用于无线接入网络节点的节点密钥；以及从节点密钥推导小区特定的多播广播密钥。例如，密钥管理组件142可以将小区特定的多播广播密钥设置为节点密钥，或者基于节点密钥和小区标识来推导用于小区的小区特定的多播广播密钥。在一个方面中，随机数是用于无线接入网络节点的每个小区的小区标识符的公共部分。此外，在安全性架构700中，UE 104可以从第一小区改变到第二小区。密钥管理组件142可以推导用于第二小区的小区特定的多播广播密钥。解码组件144可以利用用于第二小区的小区特定的多播广播密钥来解码来自第二小区的一个或多个QoS流分组。

作为另一示例，在子框1348处，框1340可以可选地包括：经由RRC信令从生成至少一个更新的多播广播密钥的接入网络节点接收至少一个更新的多播广播密钥。例如，在安全性架构900中，密钥管理组件142可以经由RRC信令从生成至少一个更新的多播广播密钥的RAN节点402接收至少一个更新的多播广播密钥。此外，在安全性架构900中，UE 104可以从第一小区改变到第二小区。密钥管理组件142可以从第二小区接收新的小区特定的多播广播密钥。解码组件144可以利用用于第二小区的新的小区特定的多播广播密钥来解码来自第二小区的一个或多个QoS流分组。

在框1350处，方法1300可以包括：使用至少一个更新的多播广播密钥或从至少一个更新的多播广播密钥推导的密钥来解码在RB上接收的用于多播或广播服务的分组。在一个方面中，例如，UE 104、RX处理器356和/或控制器/处理器359可以执行多播接收机组件140和/或解码组件144，以使用至少一个更新的多播广播密钥或从至少一个更新的多播广播密钥推导的密钥来解码在RB上接收的用于多播或广播服务的分组。相应地，执行多播接收机组件140和/或解码组件144的UE 104、RX处理器356和/或控制器/处理器359可以提供用于使用至少一个更新的多播广播密钥或从至少一个更新的多播广播密钥推导的密钥来解码在RB上接收的用于多播或广播服务的分组的单元。

例如，在子框1352处，框1350可以可选地包括：使用至少一个更新的多播广播密钥或从至少一个更新的多播广播密钥推导的密钥来解码来自PDCP层的经编码的QoS流分组。例如，在安全性架构500中，解码组件144可以在PDCP层之上实现从PDCP层接收分组或PDU的协议层(例如，多播广播层)。解码组件144可以利用安全性算法(例如，如在安全性策略中所指示的)来解码来自PDCP层的分组或PDU。在一个方面中，PDCP安全性可以由安全性策略禁用以有利于较高层的安全性算法。此外，UE 104可以在安全性架构500中从第一小区改变到第二小区。解码组件144可以在不改变至少一个多播广播密钥的情况下解码来自第二小区的一个或多个QoS流分组。具体地，由于多播广播层与UPF 195共享密钥，因此当改变小区和/或RAN节点402时，密钥可以不改变。

作为另一示例，在子框1354处，框1350可以可选地包括：在PDCP层处使用小区特定的多播广播密钥来解码分组。例如，在安全性架构700中，解码组件144可以在PDCP层处使用从根密钥推导的小区特定的多播广播密钥来解码分组。在另一实现中，在安全性架构900中，解码组件144可以在PDCP层处使用从RAN节点402接收的小区特定的多播广播密钥来解码分组。

图14是可以由网络(例如，网络400)执行的无线通信的方法1400的流程图。在一个方面中，方法1400可以由网络节点(诸如包括安全性组件188的SMF 194)执行。如图17所示，SMF 194可以包括处理器1712，处理器1712执行存储在存储器1716中的指令，以实现安全性组件188，以便为多播或广播服务提供密钥管理和分发。方法1400可以在与包括多播接收机组件140的一个或多个UE 104以及包括保护组件198的RAN节点402或UPF 195中的一者的通信中执行。可选框用虚线示出。

在框1410处，方法1400可以包括：在SMF处，基于用于由RB携带的多播或广播服务的服务策略，来确定要更新用于多播或广播服务的安全性密钥。在一个方面中，例如，SMF194或处理器1712可以执行安全性组件188和/或服务策略组件445，以在SMF处，基于用于由RB携带的多播或广播服务的服务策略，来确定要更新用于多播或广播服务的安全性密钥。相应地，执行安全性组件188和/或服务策略组件445的SMF 194或处理器1712可以提供用于在SMF处基于用于由RB携带的多播或广播服务的服务策略来确定要更新用于多播或广播服务的安全性密钥的单元。

例如，在子框1412处，框1410可以可选地包括：确定由服务策略指示的周期性刷新时间已经到期。例如，服务策略组件445可以确定由服务策略指示的周期性刷新时间已经到期。

作为另一示例，在子框1414处，框1410可以可选地包括：确定已经发生订制多播或广播服务的组的成员资格的改变。例如，服务策略组件445可以确定已经发生订制多播或广播服务的组的成员资格的改变。

在框1420处，方法1400可以包括：生成用于多播或广播服务的新安全性密钥。在一个方面中，例如，SMF 194或处理器1712可以执行安全性组件188和/或密钥生成组件441，以生成用于多播或广播服务的新安全性密钥。相应地，执行安全性组件188和/或密钥生成组件441的SMF 194或处理器1712可以提供用于生成用于多播或广播服务的新安全性密钥的单元。

例如，在子框1422处，框1420可以可选地包括：在SMF处，生成新安全性密钥。例如，密钥生成组件441可以在SMF 194处生成新安全性密钥。

作为另一示例，在子框1424处，框1420可以可选地包括：在将RB递送给具有用于多播或广播服务的数据会话的一个或多个UE的一个或多个无线接入网络节点处生成新安全性密钥。例如，密钥生成组件441可以指示将RB递送给具有用于多播或广播服务的数据会话的一个或多个UE 104的RAN节点402生成新安全性密钥。

在框1430处，方法1400可以包括：向具有用于多播或广播服务的数据会话的一个或多个UE分发新安全性密钥。在一个方面中，例如，SMF 194或处理器1712可以执行安全性组件188和/或密钥分发组件443，以向具有用于多播或广播服务的数据会话的一个或多个UE分发新安全性密钥。因此，执行安全性组件188和/或密钥分发组件443的SMF 194或处理器1712可以提供用于向具有用于多播或广播服务的数据会话的一个或多个UE分发新安全性密钥的单元。

例如，在子框1431中，框1430可以可选地包括：经由NAS信令将新安全性密钥从SMF递送给UE。例如，密钥分发组件443可以经由NAS信令510将新安全性密钥从SMF递送给UE。在子框1432中，框1430还可以可选地包括：将新安全性密钥递送给多播广播用户平面功能，该功能利用新安全性密钥针对多播或广播服务的分组进行加密、完整性保护或两者。例如，密钥分发组件443可以将新安全性密钥递送给包括保护组件198的UPF 195，保护组件198利用新安全性密钥针对多播或广播服务的分组进行加密、完整性保护或两者。

例如，在子框1433中，框1430可以可选地包括：经由NAS信令将用于多播或广播服务的新安全性密钥作为用于多播或广播服务的根密钥从SMF递送给UE。例如，密钥分发组件443可以经由NAS信令510将用于多播或广播服务的新安全性密钥作为用于多播或广播服务的根密钥从SMF 194递送给UE 104。此外，在子框1434中，框1430可以可选地包括：由SMF基于根密钥来推导用于小区的新的小区特定的多播广播密钥。例如，密钥分发组件443可以通过SMF基于根密钥来推导用于小区的新的小区特定的多播广播密钥。另外，在子框1435中，框1430可以可选地包括：将新的小区特定的多播广播密钥递送给提供该小区的无线接入网络节点。例如，密钥分发组件443可以将新的小区特定的多播广播密钥递送给提供该小区的RAN节点402。

返回到子框1434，基于根密钥来推导用于小区的新的小区特定的多播广播密钥可以包括：基于根密钥和小区的小区标识来推导新的小区特定的多播广播密钥。在另一方面中，基于根密钥来推导用于小区的新的小区特定的多播广播密钥可以包括：生成要由无线接入网络节点的每个小区广播的唯一随机数；基于唯一随机数和根密钥来推导用于无线接入网络节点的节点密钥；以及由无线电接入网络节点推导新的小区特定的多播广播密钥。例如，无线接入网络节点可以将新的小区特定多播广播密钥设置为用于无线接入网络节点的每个小区的节点密钥，或者基于节点密钥和相应的小区标识来推导用于每个小区的新的小区特定的多播广播密钥。在另一方面中，随机数是用于无线接入网络节点的每个小区的小区标识符的公共部分。

在另一示例中，在子框1436中，框1430可以可选地包括：经由RRC信令将新安全性密钥从生成密钥的无线接入网络节点递送给UE。例如，密钥分发组件443可以指示生成新安全性密钥的无线接入网络节点经由RRC信令将新安全性密钥递送给UE。

参照图15，除了包括以下组件之外，UE 104的实现的一个示例还可以包括多种组件，其中的一些已经在上文进行了描述：诸如经由一个或多个总线1544相通信的一个或多个处理器1512和存储器1516以及收发机1502之类的组件，其可以与调制解调器1514和多播接收机组件140相结合地操作，以实现本文描述的与接收用于G-RNTI的多播传输相关的功能中的一项或多项。此外，一个或多个处理器1512、调制解调器1514、存储器1516、收发机1502、RF前端1588和一个或多个天线1565可以被配置为支持一种或多种无线接入技术中的语音和/或数据呼叫(同时或非同时)。天线1565可以包括一个或多个天线、天线元件和/或天线阵列。

在一个方面中，一个或多个处理器1512可以包括使用一个或多个调制解调器处理器的调制解调器1514。与多播接收机组件140相关的各种功能可以被包括在调制解调器1514和/或处理器1512中，并且在一个方面中，可以由单个处理器来执行，而在其它方面中，这些功能中的不同功能可以由两个或更多个不同的处理器的组合来执行。例如，在一个方面中，一个或多个处理器1512可以包括以下各项中的任何一项或任何组合：调制解调器处理器、或基带处理器、或数字信号处理器、或发送处理器、或接收处理器、或与收发机1502相关联的收发机处理器。在其它方面中，一个或多个处理器1512和/或调制解调器1514的特征中的与多播接收机组件140相关联的一些特征可以由收发机1502执行。

此外，存储器1516可以被配置为存储本文使用的数据和/或由至少一个处理器1512执行的应用1575的本地版本、多播接收机组件140和/或其子组件中的一个或多个子组件。存储器1516可以包括可由计算机或至少一个处理器1512使用的任何类型的计算机可读介质，诸如随机存取存储器(RAM)、只读存储器(ROM)、磁带、磁盘、光盘、易失性存储器、非易失性存储器以及其任何组合。在一个方面中，例如，存储器1516可以是存储一条或多条计算机可执行代码的非暂时性计算机可读存储介质，其中当UE 104正在操作至少一个处理器1512以执行多播接收机组件140和/或其一个或多个子组件时，所述一条或多条计算机可执行代码用于定义多播接收机组件140和/或其子组件中的一个或多个子组件、和/或与其相关联的数据。

收发机1502可以包括至少一个接收机1506和至少一个发射机1508。接收机1506可以包括用于接收数据的硬件、固件和/或可由处理器执行的软件代码，代码包括指令并且被存储在存储器(例如，计算机可读介质)中。接收机1506可以是例如射频(RF)接收机。在一个方面中，接收机1506可以接收由至少一个基站102发送的信号。另外，接收机1506可以处理这些接收到的信号，以及还可以获得这些信号的测量结果，诸如但不限于Ec/Io、SNR、RSRP、RSSI等。发射机1508可以包括用于发送数据的硬件、固件和/或可由处理器执行的软件代码，软件代码包括指令并且被存储在存储器(例如，计算机可读介质)中。发射机1508的适当示例可以包括但不限于RF发射机。

此外，在一个方面中，UE 104可以包括RF前端1588，其可以与一个或多个天线1565和收发机1502相通信地进行操作，以用于接收和发送无线电传输，例如，至少一个基站102所发送的无线通信或者UE 104所发送的无线传输。RF前端1588可以连接到一个或多个天线1565并且可以包括用于发送和接收RF信号的一个或多个低噪声放大器(LNA)1590、一个或多个开关1592、一个或多个功率放大器(PA)1598、以及一个或多个滤波器1596。

在一个方面中，LNA 1590可以以期望的输出电平来对接收到的信号进行放大。在一个方面中，每个LNA 1590可以具有指定的最小增益值和最大增益值。在一个方面中，RF前端1588可以基于用于特定应用的期望增益值，使用一个或多个开关1592来选择特定的LNA1590和其指定的增益值。

此外，例如，RF前端1588可以使用一个或多个PA 1598来以期望的输出功率电平对用于RF输出的信号进行放大。在一个方面中，每个PA 1598可以具有指定的最小增益值和最大增益值。在一个方面中，RF前端1588可以基于用于特定应用的期望增益值，使用一个或多个开关1592来选择特定的PA 1598和其指定的增益值。

此外，例如，RF前端1588可以使用一个或多个滤波器1596来对接收到的信号进行滤波以获得输入RF信号。类似地，在一个方面中，例如，可以使用相应的滤波器1596来对来自相应的PA 1598的输出进行滤波以产生用于传输的输出信号。在一个方面中，每个滤波器1596可以连接到特定的LNA 1590和/或PA 1598。在一个方面中，RF前端1588可以使用一个或多个开关1592，以基于如收发机1502和/或处理器1512所指定的配置来选择使用指定的滤波器1596、LNA 1590和/或PA 1598的发送路径或接收路径。

因而，收发机1502可以被配置为经由RF前端1588，通过一个或多个天线1565来发送和接收无线信号。在一个方面中，收发机1502可以被调谐为以指定的频率操作，使得UE104可以与例如一个或多个基站102或者与一个或多个基站102相关联的一个或多个小区进行通信。在一个方面中，例如，调制解调器1514可以基于UE 104的配置和调制解调器1514所使用的通信协议，将收发机1502配置为以指定的频率和功率电平来操作。

在一个方面中，调制解调器1514可以是多频带多模式调制解调器，其可以处理数字信号以及与收发机1502进行通信，使得使用收发机1502来发送和接收数字数据。在一个方面中，调制解调器1514可以是多频带的并且可以被配置为针对特定的通信协议支持多个频带。在一个方面中，调制解调器1514可以是多模式的并且被配置为支持多个运营网络和通信协议。在一个方面中，调制解调器1514可以基于指定的调制解调器配置来控制UE 104的一个或多个组件(例如，RF前端1588、收发机1502)，以实现对来自网络的信号的发送和/或接收。在一方面中，调制解调器配置可以是基于调制解调器的模式和使用中的频带的。在另一个方面中，调制解调器配置可以是基于与UE 104相关联的(如网络在小区选择和/或小区重选期间提供的)配置信息的。

参照图16，除了包括以下各项之外，基站102的实现的一个示例还可以包括多种组件，其中的一些已经在上文进行了描述：诸如经由一个或多个总线1654相通信的一个或多个处理器1612和存储器1616以及收发机1602之类的组件，其可以与调制解调器1614和保护组件198相结合地操作，以实现本文描述的与保护用于多播或广播服务的QoS流的分组相关的功能中的一项或多项。

收发机1602、接收机1606、发射机1608、一个或多个处理器1612、存储器1616、应用1675、总线1654、RF前端1688、LNA 1690、开关1692、滤波器1696、PA 1698和一个或多个天线1665可以与如上所述的UE 104的对应组件相同或类似，但是被配置或者以其它方式被编程用于与UE操作相反的基站操作。

参照图17，除了包括以下各项之外，SMF 194的实现的一个示例还可以包括多种组件，其中的一些已经在上文进行了描述：诸如经由一个或多个总线1754相通信的一个或多个处理器1712和存储器1716以及收发机1702之类的组件，其可以与调制解调器1714和安全性组件188相结合地操作，以实现本文描述的与针对用于多播或广播服务的QoS流的密钥生成、密钥刷新和密钥分发相关的功能中的一项或多项。

收发机1702、接收机1706、发射机1708、一个或多个处理器1712、存储器1716、应用1775、总线1754、RF前端1788、LNA 1790、开关1792、滤波器1796、PA 1798和一个或多个天线1765可以与如上所述的UE 104的对应组件相同或类似，但是被配置或者以其它方式被编程用于与UE操作相反的SMF操作。

要理解的是，所公开的过程/流程图中的框的特定次序或层次是对示例方法的说明。要理解的是，基于设计偏好，可以重新排列所述过程/流程图中的框的特定次序或层次。此外，可以将一些框组合或者省略。所附的方法权利要求以示例次序给出了各个框的元素，而并不意指限于所给出的特定次序或层次。

提供前面的描述以使得本领域的任何技术人员能够实施本文描述的各个方面。对这些方面的各种修改对于本领域技术人员将是显而易见的，以及本文所定义的通用原理可以应用到其它方面。因此，权利要求不旨在限于本文所示出的各方面，而是要被赋予与语言权利要求相一致的全部范围，其中，除非明确地声明如此，否则对单数元素的引用不旨在意指“一个且仅一个”，而是“一个或多个”。本文使用词语“示例性的”以意指“用作示例、实例或说明”。本文中被描述为“示例性的”任何方面不一定被解释为优选于其它方面或者比其它方面有优势。除非另有明确声明，否则术语“一些”指代一个或多个。比如“A、B或C中的至少一个”、“A、B或C中的一个或多个”、“A、B和C中的至少一个”、“A、B和C中的一个或多个”、以及“A、B、C或其任何组合”之类的组合包括A、B和/或C的任何组合，并且可以包括A的倍数、B的倍数或C的倍数。具体地，比如“A、B或C中的至少一个”、“A、B、或C中的一个或多个”、“A、B和C中的至少一个”、“A、B和C中的一个或多个”、以及“A、B、C或其任何组合”之类的组合可以是仅A、仅B、仅C、A和B、A和C、B和C、或A和B和C，其中任何这样的组合可以包含A、B或C中的一个或多个成员。贯穿本公开内容描述的各个方面的元素的对于本领域的普通技术人员是已知或者稍后将知的所有结构和功能等效物通过引用的方式明确地并入本文中，并且旨在由权利要求包含。此外，本文中所公开的内容不旨在奉献给公众，不管这样的公开内容是否明确被记载在权利要求中。词语“模块”、“机制”、“元素”、“设备”等等可以不是词语“单元”的替代。因而，没有权利要求元素要被解释为功能单元，除非元素是明确地使用短语“用于……的单元”来记载的。

Claims (16)

1.一种用于无线通信的装置，包括：

存储器；以及

至少一个处理器，其耦合到所述存储器并且被配置为：

接收用于由与数据会话相关联的无线电承载(RB)携带的多播或广播服务的至少一个多播广播密钥；

接收用于所述数据会话的至少一个更新的多播广播密钥；以及

使用所述至少一个更新的多播广播密钥或从所述更新的多播广播密钥推导的密钥来解码在所述RB上接收的用于所述多播或广播服务的分组，

其中，为了接收所述至少一个多播广播密钥，所述至少一个处理器被配置为：

经由NAS信令接收由会话管理功能(SMF)生成的根密钥；以及

基于所述根密钥来推导用于无线接入网络节点的第一小区的小区特定的多播广播密钥。

2.根据权利要求1所述的装置，其中，所述至少一个处理器被配置为：经由非接入层(NAS)信令从生成所述更新的多播广播密钥的会话管理功能(SMF)接收所述至少一个更新的多播广播密钥。

3.根据权利要求2所述的装置，其中，所述至少一个处理器被配置为：使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码来自分组数据汇聚协议(PDCP)层的经编码的QoS流分组。

4.根据权利要求2所述的装置，其中，所述至少一个处理器被配置为：

发送指示一种或多种安全性算法的UE能力消息；以及

经由NAS信令接收指示用于所述解码的选择的安全性算法的安全性策略。

5.根据权利要求1所述的装置，其中，所述至少一个处理器被配置为：在分组数据汇聚协议(PDCP)层处使用所述小区特定的多播广播密钥来解码所述分组。

6.根据权利要求1所述的装置，其中，所述至少一个处理器被配置为：

发送指示一种或多种安全性算法的UE能力消息；以及

经由RRC信令接收指示用于所述解码的选择的安全性算法的安全性策略。

7.根据权利要求1所述的装置，其中，所述至少一个处理器被配置为：

从所述第一小区改变到第二小区；

推导用于所述第二小区的小区特定的多播广播密钥；以及

利用用于所述第二小区的所述小区特定的多播广播密钥来解码来自所述第二小区的所述分组。

8.根据权利要求1所述的装置，其中，所述至少一个处理器被配置为：经由RRC信令从生成所述至少一个更新的多播广播密钥的无线接入网络节点接收所述至少一个多播广播密钥。

9.根据权利要求8所述的装置，其中，所述至少一个处理器被配置为：在分组数据汇聚协议(PDCP)层处使用所述更新的多播广播密钥来解码所述分组。

10.根据权利要求8所述的装置，其中，所述至少一个处理器被配置为：

发送指示一种或多种安全性算法的UE能力消息；以及

经由RRC信令接收指示用于所述解码的选择的安全性算法的安全性策略。

11.根据权利要求8所述的装置，其中，所述至少一个处理器被配置为：

从第一小区改变到第二小区；

从所述第二小区接收新的小区特定的多播广播密钥；以及

利用用于所述第二小区的所述新的小区特定的多播广播密钥来解码来自所述第二小区的所述分组。

12.根据权利要求1所述的装置，其中，所述数据会话包括一个或多个QoS流，每个QoS流与所述至少一个更新的多播广播密钥中的唯一多播广播密钥相关联。

13.根据权利要求1所述的装置，其中，所述数据会话是协议数据单元(PDU)会话。

14.根据权利要求1所述的装置，其中，所述至少一个处理器被配置为在接收所述至少一个更新的多播广播密钥之前进行以下操作：

接收用于所述多播或广播服务的分组；以及

使用所述至少一个多播广播密钥或从所述至少一个多播广播密钥推导的密钥来解码用于所述多播或广播服务的所述分组。

15.一种无线通信方法，包括：

接收用于由与数据会话相关联的无线电承载(RB)携带的多播或广播服务的至少一个多播广播密钥；

接收用于所述数据会话的至少一个更新的多播广播密钥；以及

使用所述至少一个更新的多播广播密钥或从所述至少一个更新的多播广播密钥推导的密钥来解码在所述RB上接收的用于所述多播或广播服务的分组，

其中，接收所述至少一个多播广播密钥包括：

经由NAS信令接收由会话管理功能(SMF)生成的根密钥；以及

基于所述根密钥来推导用于无线接入网络节点的第一小区的小区特定的多播广播密钥。

16.根据权利要求15所述的方法，其包括由权利要求2-14中的任一项所述的装置所执行的步骤和过程。

Images