Key generation

Abstract

Various aspects of the present disclosure relate to key generation, such as key generation for AS security for a data plane. In an aspect, a user equipment (UE) receives, from a base station, a message for configuring access stratum (AS) security. The UE generates a first set of keys for the AS security for a data plane, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane and a third set of keys for the AS security for a control plane.

Description

KEY GENERATION

[0001] The present disclosure relates to wireless communications, and more specifically to key generation, for example, key generation for access stratum (AS) security for a data plane.BACKGROUND

[0002] A wireless communications system may include one or multiple network communication devices, such as base stations (BSs) , which may be otherwise known as an eNodeB (eNB) , a next-generation NodeB (gNB) , or other suitable terminology. Each network communication devices, such as a base station may support wireless communications for one or multiple user communication devices, which may be otherwise known as user equipment (UE) , or other suitable terminology. The wireless communications system may support wireless communications with one or multiple user communication devices by utilizing resources of the wireless communication system (e.g., time resources (e.g., symbols, slots, subframes, frames, or the like) or frequency resources (e.g., subcarriers, carriers) . Additionally, the wireless communications system may support wireless communications across various radio access technologies including third generation (3G) radio access technology, fourth generation (4G) radio access technology, fifth generation (5G) radio access technology, among other suitable radio access technologies beyond 5G (e.g., sixth generation (6G) ) .

[0003] 6G study to introduce a data plane for data collection. “Data” is different from regular user data like application traffic; it refers to radio / network (NW) performance related data / measurements that can be collected by the UE, e.g., immediate / logged MDT (minimization drive test) , sensing related measurements, positioning related measurements, quality of experience (QoE) related measurements, artificial intelligence (AI) training data. Key derivation related to the data plane is to be discussed.SUMMARY

[0004] The present disclosure relates to methods, apparatuses, and systems that support key generation, for example, key generation for AS security for a data plane.

[0005] Some implementations of the method and devices described herein include, receiving, from a base station, a message for configuring access stratum (AS) security; and generating a first set of keys for the AS security for a data plane, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane and a third set of keys for the AS security for a control plane.

[0006] In some implementations of the method and devices described herein, a key for the data plane among the first set of keys is generated based on a parent key, in which the parent key comprises at least one of the following: a key among a previously generated set of keys for the data plane; a key for a radio access network (RAN) node; a key for a core network node; a key for non-access stratum (NAS) signalling encryption; a key for NAS signalling integrity protection; a key for radio resource control (RRC) signalling encryption; a key for RRC signalling integrity protection; a key for user data encryption; or a key for user data integrity protection.

[0007] In some implementations of the method and devices described herein, the parent key is indicated in a downlink message from the base station.

[0008] In some implementations of the method and devices described herein, a key for the data plane among the first set of keys is generated based on an algorithm type distinguisher specific to the data plane.

[0009] In some implementations of the method and devices described herein, the first set of keys comprises a key for encryption for the data plane, and the algorithm type distinguisher identifies an encryption algorithm for the data plane; and / or the first set of keys comprises a key for integrity protection for the data plane, and the algorithm type distinguisher identifies an integrity protection algorithm for the data plane.

[0010] In some implementations of the method and devices described herein, a key among the first set of keys, the second set of keys, or the third set of keys is generated based on a counter value of the generated key.

[0011] Some implementations of the method and devices described herein include, receiving, from the base station, a downlink message indicating the counter value; or transmitting, to the base station, an uplink message indicating the counter value; or obtaining a default value as the counter value.

[0012] In some implementations of the method and devices described herein, the uplink message comprises at least one of the following: a security mode complete message; or an RRC reconfiguration complete message.

[0013] In some implementations of the method and devices described herein, the downlink message comprises at least one of the following: a security mode command message; an RRC reconfiguration message; an RRC resume message; or a cell switch command message.

[0014] Some implementations of the method and devices described herein include, receiving, from the base station, an indication of at least one AS security algorithm, wherein: an AS security algorithm is indicated for a set of types of radio bearers comprising radio bearers in the data plane, the user plane and the control plane; an AS security algorithm is indicated for a type of the set of types of radio bearers; or an AS security algorithm is indicated for a radio bearer among the set of types of radio bearers.

[0015] In some implementations of the method and devices described herein, the indication of at least one AS security algorithm is comprised in a security mode command message from the base station.

[0016] Some implementations of the method and devices described herein include, based on the first set of keys, performing at least one operation for data of a radio bearer in the data plane, wherein the at least one operation comprises: at least one of encryption or integrity protection; or at least one of integrity verification or decryption.

[0017] In some implementations of the method and devices described herein, the at least one of the encryption or the integrity protection is performed based on at least one of the following: a type of collection data by the UE; a cell radio network temporary identifier (C-RNTI) of the UE; a serving cell ID; a frequency of a synchronization signal block (SSB) of the serving cell; a target cell ID for UE handover; or a frequency of an SSB of the target cell for the UE handover.

[0018] In some implementations of the method and devices described herein, the at least one operation comprises the integrity verification. Some implementations of the method and devices described herein include, determining that the integrity verification is failed; and performing the following: transmitting a report for integrity verification failure to the base station; or performing an RRC connection re-establishment procedure.

[0019] Some implementations of the method and devices described herein include, based on the first set of keys, the second set of keys, or the third set of keys, performing an AS security algorithm for at least one of encryption or integrity protection on a data protocol data unit (PDU) , wherein the AS security algorithm comprises the following at least one input: an indication of a part of the data PDU to be encrypted; an indication of a part of the data PDU not to be encrypted; an indication of a part of the data PDU to be integrity protected; an indication of a part of the data PDU not to be integrity protected; an indication of a first data unit and a second data unit, wherein the first data unit comprises a part of the data PDU to be encrypted, and the second data unit comprises a part of the data PDU to be integrity protected; or an indication of whether the data PDU is to be one of: encrypted, integrity protected, or both encrypted and integrity protected.

[0020] Some implementations of the method and devices described herein further include, based on the first set of keys, the second set of keys, or the third set of keys, performing an AS security algorithm for at least one of encryption or integrity protection on a data PDU, in which at least one input of the AS security algorithm comprises: at least one of: an indication of a first COUNT associated with the data PDU to be encrypted, or an indication of a second COUNT associated with the data PDU to be integrity protected; or an indication of a third COUNT associated with the data PDU to be encrypted and integrity protected.

[0021] Some implementations of the method and devices described herein include, activating the AS security based on receiving at least one of the following from the base station: a message for activating the AS security; a configuration for setting up a radio bearer in the data plane; a configuration for resuming a radio bearer in the data plane; a configuration associated with data collection; or a configuration associated with sensing.

[0022] In some implementations of the method and devices described herein, the message is for activating the AS security associated with one of the following: a set of types of radio bearers comprising radio bearers in the data plane, the user plane and the control plane; at least one type of radio bearers among the set of types of radio bearers; or at least one radio bearer among the set of types of radio bearers.

[0023] In some implementations of the method and devices described herein, a key among the first set of keys is generated based on receiving a message for activating the AS security.

[0024] In some implementations of the method and devices described herein, a key among the first set of keys, the second set of keys, or the third set of keys is changed based on at least one of the following: receiving a message for activating the AS security; determining that a parent key for generating the first set of keys is changed; initiating transition from an RRC_INACTIVE state to an RRC_CONNECTED state; initiating small data transmission (SDT) in an RRC_INACTIVE state; or receiving an indication to change the first set of keys.

[0025] In some implementations of the method and devices described herein, the key among the first set of keys, the second set of keys, or the third set of keys is changed further based on at least one of the following: a counter value of the key generated; a transmission direction indicating uplink or downlink; a first algorithm type distinguisher for integrity protection for the data plane; or a second algorithm type distinguisher used for encryption for the data plane.

[0026] Some implementations of the method and devices described herein include, transmitting, to a user equipment (UE) , a message for configuring access stratum (AS) security; and obtaining a first set of keys for the AS security for a data plane of the UE, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane of the UE and a third set of keys for the AS security for a control plane of the UE.

[0027] Some implementations of the method and devices described herein include, obtaining the first set of keys by: generating the first set of keys; or receiving, via the transceiver, the first set of keys from a core network node. Some implementations of the method and devices described herein further include, obtaining the second set of keys and the third set of keys by: generating the second set of keys and the third set of keys.

[0028] In some implementations of the method and devices described herein, the base station comprises a centralized unit control plane (CU-CP) node at a radio access network (RAN) . Some implementations of the method and devices described herein further include, transmitting, to a centralized unit data plane (CU-DP) node at the RAN, the first set of keys and at least one AS security algorithm.

[0029] In some implementations of the method and devices described herein, the first set of keys are comprised in AS security capability information from the core network node.

[0030] In some implementations of the method and devices described herein, the AS security capability information further comprises: at least one AS security algorithm; and a key for a RAN node.

[0031] Some implementations of the method and devices described herein further include, transmitting the first set of keys to a data plane node.

[0032] In some implementations of the method and devices described herein, a key for the data plane among the first set of keys is generated based on a parent key, wherein the parent key comprises at least one of the following: a key among a previously generated set of keys for the data plane; a key for a RAN node; a key for a core network node; a key for non-access stratum (NAS) signalling encryption; a key for NAS signalling integrity protection; a key for radio resource control (RRC) signalling encryption; a key for RRC signalling integrity protection; a key for user data encryption; or a key for user data integrity protection.

[0033] Some implementations of the method and devices described herein include, receiving, from a core network node, an indication of the parent key.

[0034] Some implementations of the method and devices described herein include, transmitting to the UE, a downlink message comprising an indication of the parent key.

[0035] In some implementations of the method and devices described herein, a key for the data plane among the first set of keys is generated based on an algorithm type distinguisher specific to the data plane.

[0036] In some implementations of the method and devices described herein, the first set of keys comprises a key for encryption for the data plane, and the algorithm type distinguisher identifies an encryption algorithm for the data plane; and / or the first set of keys comprises a key for integrity protection for the data plane, and the algorithm type distinguisher identifies an integrity protection algorithm for the data plane.

[0037] In some implementations of the method and devices described herein, a key among the first set of keys, the second set of keys, or the third set of keys is generated based on a counter value of the generated key.

[0038] Some implementations of the method and devices described herein include, one of the following: transmitting, to the UE, a downlink message indicating the counter value; receiving, from the UE, an uplink message indicating the counter value; or obtaining a default value as the counter value.

[0039] In some implementations of the method and devices described herein, the uplink message comprises at least one of the following: a security mode complete message; or an RRC reconfiguration complete message.

[0040] In some implementations of the method and devices described herein, the downlink message comprises at least one of the following: a security mode command message; an RRC reconfiguration message; an RRC resume message; or a cell switch command message.

[0041] Some implementations of the method and devices described herein further include, transmitting, to the UE, an indication of at least one AS security algorithm, wherein: an AS security algorithm is indicated for a set of types of radio bearers comprising radio bearers in the data plane, the user plane and the control plane; an AS security algorithm is indicated for a type of the set of types of radio bearers; or an AS security algorithm is indicated for a radio bearer among the set of types of radio bearers.

[0042] In some implementations of the method and devices described herein, the indication of at least one AS security algorithm is comprised in a security mode command message to the UE.

[0043] Some implementations of the method and devices described herein further include, based on the first set of keys, performing at least one operation for data of a radio bearer in the data plane, wherein the at least one operation comprises: at least one of encryption or integrity protection; or at least one of integrity verification or decryption.

[0044] In some implementations of the method and devices described herein, the at least one operation comprises the integrity verification. Some implementations of the method and devices described herein further include, determining that the integrity verification is failed; and transmitting a command to suspend or stop data transmission of a radio bearer to the UE.

[0045] Some implementations of the method and devices described herein include, based on the first set of keys, the second set of keys, or the third set of keys, performing an AS security algorithm for at least one of encryption or integrity protection on a data PDU, wherein the AS security algorithm comprises the following at least one input: an indication of a part of the data PDU to be encrypted; an indication of a part of the data PDU not to be encrypted; an indication of a part of the data PDU to be integrity protected; an indication of a part of the data PDU not to be integrity protected; an indication of a first data unit and a second data unit, wherein the first data unit comprises a part of the data PDU to be encrypted, and the second data unit comprises a part of the data PDU to be integrity protected; or an indication of whether the data PDU is to be one of: encrypted, integrity protected, or both encrypted and integrity protected.

[0046] Some implementations of the method and devices described herein further include, based on the first set of keys, the second set of keys, or the third set of keys, performing an AS security algorithm for at least one of encryption or integrity protection on a data PDU, wherein at least one input of the AS security algorithm comprises: at least one of: an indication of a first COUNT associated with the data PDU to be encrypted, or an indication of a second COUNT associated with the data PDU to be integrity protected; or an indication of a third COUNT associated with the data PDU to be encrypted and integrity protected.

[0047] Some implementations of the method and devices described herein further include, transmitting, to the UE, at least one of the following for activating the AS security of the UE: a message for activating the AS security; a configuration for setting up a radio bearer in the data plane; a configuration for resuming a radio bearer in the data plane; a configuration associated with data collection; or a configuration associated with sensing.

[0048] In some implementations of the method and devices described herein, the message is for activating the AS security associated with one of the following: a set of types of radio bearers comprising radio bearers in the data plane, the user plane and the control plane; at least one type of radio bearers among the set of types of radio bearers; or at least one radio bearer among the set of types of radio bearers.

[0049] In some implementations of the method and devices described herein, a key among the first set of keys is generated based on transmitting a message for activating the AS security.

[0050] In some implementations of the method and devices described herein, a key among the first set of keys, the second set of keys, or the third set of keys is changed based on at least one of the following: transmitting a message for activating the AS security; determining that a parent key for generating the first set of keys is changed; transition from an RRC_INACTIVE state to an RRC_CONNECTED state being initiated by the UE; small data transmission in an RRC_INACTIVE state being initiated by the UE;or transmitting an indication to change the first set of keys.

[0051] In some implementations of the method and devices described herein, the key among the first set of keys, the second set of keys, or the third set of keys is changed further based on at least one of the following: a counter value of the key generated; a transmission direction indicating uplink or downlink; a first algorithm type distinguisher for integrity protection for the data plane; or a second algorithm type distinguisher used for encryption for the data plane.

[0052] Some implementations of the method and devices described herein further include, generating a first set of keys for access stratum (AS) security for a data plane of a user equipment (UE) ; and transmitting the first set of keys to a base station or a data plane node.BRIEF DESCRIPTION OF THE DRAWINGS

[0053] FIG. 1A illustrates an example of a wireless communications system that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure.

[0054] FIG. 1B illustrates an example of keys fresh based on a key for a gNB due to count wrap round.

[0055] FIG. 1C illustrates an example of a protocol stack of a data plane.

[0056] FIG. 2 illustrates an example signaling diagram illustrating an example process that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure.

[0057] FIG. 3 illustrates some key derivation examples in accordance with aspects of the present disclosure.

[0058] FIG. 4 illustrates an example security configuration procedure in accordance with aspects of the present disclosure.

[0059] FIG. 5 illustrates an example RRC reconfiguration procedure that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure.

[0060] FIG. 6 illustrates illustrates an example RRC resume procedure that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure.

[0061] FIGS. 7 to 9 illustrate some examples related to creating and handling AEAD algorithm inputs in accordance with aspects of the present disclosure.

[0062] FIG. 10 illustrates an example of a device that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure.

[0063] FIG. 11 illustrates an example of a processor that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure.

[0064] FIGS. 12 to 14 illustrate some flowcharts of methods that support key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure.DETAILED DESCRIPTION

[0065] Principles of the present disclosure will now be described with reference to some embodiments. It is to be understood that these embodiments are described for the purpose of illustration and help those skilled in the art to understand and implement the present disclosure, without suggesting any limitation as to the scope of the disclosure. The disclosure described herein may be implemented in various manners other than the ones described below.

[0066] In the following description and claims, unless defined otherwise, all technical and scientific terms used herein have the same meaning as commonly understood by one of ordinary skills in the art to which this disclosure belongs.

[0067] References in the present disclosure to “one embodiment, ” “an example embodiment, ” “an embodiment, ” “some embodiments, ” and the like indicate that the embodiment (s) described may include a particular feature, structure, or characteristic, but it is not necessary that every embodiment includes the particular feature, structure, or characteristic. Moreover, such phrases do not necessarily refer to the same embodiment (s) . Further, when a particular feature, structure, or characteristic is described in connection with an embodiment, it is submitted that it is within the knowledge of one skilled in the art to affect such feature, structure, or characteristic in connection with other embodiments whether or not explicitly described.

[0068] It shall be understood that although the terms “first” and “second” or the like may be used herein to describe various elements, these elements should not be limited by these terms. These terms are used to distinguish one element from another element. For example, a first element could also be termed as a second element, and similarly, a second element could also be termed as a first element, without departing from the scope of embodiments. As used herein, the term “and / or” includes any and all combinations of one or more of the listed terms.

[0069] The terminology used herein is for the purpose of describing particular embodiments and is not intended to be limiting of example embodiments. As used herein, the singular forms “a” , “an” and “the” are intended to include the plural forms as well, unless the context clearly indicates otherwise. It will be further understood that the terms “comprises” , “comprising” , “has” , “having” , “includes” and / or “including” , when used herein, specify the presence of stated features, elements, and / or components etc., but do not preclude the presence or addition of one or more other features, elements, components and / or combinations thereof.

[0070] As used herein, the term “communication network” refers to a network following any suitable communication standards, such as, 5G new radio (NR) , Long Term Evolution (LTE) , LTE-Advanced (LTE-A) , Wideband Code Division Multiple Access (WCDMA) , High-Speed Packet Access (HSPA) , Narrow Band Internet of Things (NB-IoT) , and so on. Further, the communications between a user equipment and a network device in the communication network may be performed according to any suitable generation communication protocols, including but not limited to, the first generation (1G) , the second generation (2G) , 2.5G, 2.75G, the third generation (3G) , the fourth generation (4G) , 4.5G, the fifth generation (5G) communication protocols, and / or any other protocols either currently known or to be developed in the future. Embodiments of the present disclosure may be applied in various communication systems. Given the rapid development in communications, there will also be future type communication technologies and systems in which the present disclosure may be embodied. It should not be seen as limiting the scope of the present disclosure to only the aforementioned systems.

[0071] As used herein, the term “network device” generally refers to a node in a communication network via which a user equipment can access the communication network and receive services therefrom. The network device may refer to a base station (BS) or an access point (AP) , for example, a node B (NodeB or NB) , a radio access network (RAN) node, an evolved NodeB (eNodeB or eNB) , a new radio (NR) NB (also referred to as a gNB) , a Remote Radio Unit (RRU) , a radio header (RH) , an infrastructure device for a V2X (vehicle-to-everything) communication, a transmission and reception point (TRP) , a reception point (RP) , a remote radio head (RRH) , a relay, an integrated access and backhaul (IAB) node, a low power node such as a femto a base station (BS) , a pico BS, and so forth, depending on the applied terminology and technology. The network device may further refer to a network function (NF) in the core network, for example, an SMF, an AMF, a PCF, a UPF or devices with same function in future network architectures, and so forth.

[0072] As used herein, the term “user equipment (UE) ” generally refers to any end device that may be capable of wireless communications. By way of example rather than a limitation, a user equipment may also be referred to as a communication device, a terminal device, an end user device, a subscriber station (SS) , an unmanned aerial vehicle (UAV) , a portable subscriber station, a mobile station (MS) , or an access terminal (AT) . The user equipment may include, but is not limited to, a mobile phone, a cellular phone, a smart phone, a voice over IP (VoIP) phone, a wireless local loop phone, a tablet, a wearable user equipment, a personal digital assistant (PDA) , a portable computer, a desktop computer, an image capture user equipment such as a digital camera, a gaming user equipment, a music storage and playback appliance, a vehicle-mounted wireless user equipment, a wireless endpoint, a mobile station, laptop-embedded equipment (LEE) , laptop-mounted equipment (LME) , a USB dongle, a smart device, wireless customer-premises equipment (CPE) , an Internet of Things (loT) device, a watch or other wearable, a head-mounted display (HMD) , a vehicle, a drone, a medical device (for example, a remote surgery device) , an industrial device (for example, a robot and / or other wireless devices operating in an industrial and / or an automated processing chain contexts) , a consumer electronics device, a device operating on commercial and / or industrial wireless networks, and the like. In the following description, the terms: “user equipment, ” “communication device, ” “terminal, ” “user equipment” and “UE, ” may be used interchangeably.

[0073] In order to more clearly introduce the solutions of the embodiment of the present disclosure, some related technologies in various aspects are introduced first.

[0074] Some aspects is related to AS security. AS security comprises of the integrity protection and ciphering of RRC signalling (SRBs) and user data (DRBs) . RRC handles the configuration of the AS security parameters which are part of the AS configuration: the integrity protection algorithm, the ciphering algorithm, if integrity protection and / or ciphering is enabled for a DRB and two parameters, namely the keySetChangeIndicator and the nextHopChainingCount, which are used by the UE to determine the AS security keys upon reconfiguration with sync (with key change) , connection re-establishment and / or connection resume. The integrity protection algorithm is common for SRB1, SRB2, SRB3 (if configured) , SRB4 (if configured) and DRBs configured with integrity protection, with the same keyToUse value. The ciphering algorithm is common for SRB1, SRB2, SRB3 (if configured) , SRB4 (if configured) and DRBs configured with the same keyToUse value. Neither integrity protection nor ciphering applies for SRB0. It should be noted that all DRBs related to the same PDU session have the same enable / disable setting for ciphering and the same enable / disable setting for integrity protection. RRC integrity protection and ciphering are always activated together, i.e. in one message / procedure. RRC integrity protection and ciphering for SRBs are never de-activated. However, it is possible to switch to a 'NULL' ciphering algorithm (nea0) . The 'NULL' integrity protection algorithm (nia0) is used only for SRBs and for the UE in limited service mode and when used for SRBs, integrity protection is disabled for DRBs. In case the ′NULL' integrity protection algorithm is used, 'NULL' ciphering algorithm is also used. It should be noted that lower layers discard RRC messages for which the integrity protection check has failed and indicate the integrity protection verification check failure to RRC.

[0075] The AS applies four different security keys: one for the integrity protection of RRC signalling (KRRCint) , one for the ciphering of RRC signalling (KRRCenc) , one for integrity protection of user data (KUPint) and one for the ciphering of user data (KUPenc) . All four AS keys are derived from the KgNB key. The KgNB key is based on the KAMF key, which is handled by upper layers. The integrity protection and ciphering algorithms can only be changed with reconfiguration with sync. The AS keys (KgNB, KRRCint, KRRCenc, KUPint and KUPenc) change upon reconfiguration with sync (if masterKeyUpdate is included) , and upon connection re-establishment and connection resume. For each radio bearer an independent counter (COUNT) is maintained for each direction. For each radio bearer, the COUNT is used as input for ciphering and integrity protection. It is not allowed to use the same COUNT value more than once for a given security key. The network is responsible for avoiding reuse of the COUNT with the same RB identity and with the same key, e.g. due to the transfer of large volumes of data, release and establishment of new RBs, and multiple termination point changes for RLC-UM bearers and multiple termination point changes for RLC-AM bearer with SN terminated packet data convergence protocol (PDCP) re-establishment (COUNT reset) due to SN only full configuration whilst the key stream inputs (i.e. bearer ID, security key) at MN have not been updated. In order to avoid such re-use, the network may e.g. use different RB identities for RB establishments, change the AS security key, or an RRC_CONNECTED to RRC_IDLE / RRC_INACTIVE and then to RRC_CONNECTED transition. In order to limit the signalling overhead, individual messages / packets include a short sequence number (PDCP SN) . In addition, an overflow counter mechanism is used: the hyper frame number (HFN) . The HFN needs to be synchronized between the UE and the network. For each SRB, the value provided by RRC to lower layers to derive the 5-bit BEARER parameter used as input for ciphering and for integrity protection is the value of the corresponding srb-Identity with the MSBs padded with zeroes.

[0076] For a UE provided with an sk-counter, keyToUse indicates whether the UE uses the master key (KgNB) or the secondary key (S-KeNB or S-KgNB) for a particular DRB. The secondary key is derived from the master key and sk-Counter. Whenever there is a need to refresh the secondary key, e.g. upon change of MN with KgNB change or to avoid COUNT reuse, the security key update is used. When the UE is in NR-DC, the network may provide a UE configured with an SCG with an sk-Counter even when no DRB is setup using the secondary key (S-KgNB) in order to allow the configuration of SRB3. The network can also provide the UE with an sk-Counter, even if no SCG is configured, when using SN terminated MCG bearers.

[0077] Some aspects is related to ciphering and deciphering. The ciphering function includes both ciphering and deciphering and is performed in PDCP, if configured. The data unit that is ciphered is the MAC-I and the data part of the PDCP Data PDU except the service data adaption protocol (SDAP) header and the SDAP Control PDU if included in the PDCP SDU. The ciphering is not applicable to PDCP Control PDUs. For downlink and uplink, the ciphering algorithm and key to be used by the PDCP entity are configured by upper layers and the ciphering method shall be applied. The ciphering function is activated / suspended / resumed by upper layers. When security is activated and not suspended, the ciphering function shall be applied to all PDCP Data PDUs indicated by upper layers for the downlink and the uplink, respectively. For DAPS bearers, the PDCP entity shall perform the ciphering or deciphering for the PDCP SDU using the ciphering algorithm and key either configured for the source cell or configured for the target cell, based on to / from which cell the PDCP SDU is transmitted / received. For downlink and uplink ciphering and deciphering, the parameters are required by PDCP for ciphering and are input to the ciphering algorithm. The required inputs to the ciphering function include the COUNT value, and DIRECTION (direction of the transmission) . The parameters required by PDCP which are provided by upper layers are listed below: BEARER (defined as the radio bearer identifier. It will use the value RB identity –1) ; KEY (the ciphering keys for the control plane and for the user plane are KRRCenc and KUPenc, respectively) .

[0078] Some aspects is related to integrity protection and verification. The integrity protection function includes both integrity protection and integrity verification and is performed in PDCP, if configured. The data unit that is integrity protected is the PDU header and the data part of the PDU before ciphering. The integrity protection is always applied to PDCP Data PDUs of SRBs. The integrity protection is applied to sidelink SRB1, SRB2 and SRB3. The integrity protection is applied to PDCP Data PDUs of DRBs (including sidelink DRBs for unicast) for which integrity protection is configured. The integrity protection is not applicable to PDCP Control PDUs. For downlink and uplink, the integrity protection algorithm and key to be used by the PDCP entity are configured by upper layers and the integrity protection method shall be applied for NR and for E-UTRA / EPC. The integrity protection function is activated / suspended / resumed by upper layers. When security is activated and not suspended, the integrity protection function shall be applied to all PDUs including and subsequent to the PDU indicated by upper layers for the downlink and the uplink, respectively. For DAPS bearers, the PDCP entity shall perform the integrity protection or verification for the PDCP SDU using the integrity protection algorithm and key either configured for the source cell or configured for the target cell, based on to / from which cell the PDCP SDU is transmitted / received. or downlink and uplink integrity protection and verification, the parameters that are required by PDCP for integrity protection are defined and are input to the integrity protection algorithm. The required inputs to the integrity protection function include the COUNT value, and DIRECTION (direction of the transmission) . The parameters required by PDCP which are provided by upper layers are listed below: BEARER (defined as the radio bearer identifier. It will use the value RB identity –1) ; KEY (the integrity protection keys for the control plane and for the user plane are KRRCint and KUPint, respectively) . At transmission, the UE computes the value of the MAC-I field and at reception it verifies the integrity of the PDCP Data PDU by calculating the X-MAC based on the input parameters as specified above. If the calculated X-MAC corresponds to the received MAC-I, integrity protection is verified successfully.

[0079] A sequence number (COUNT) is used as input to the ciphering and integrity protection and a given sequence number must only be used once for a given key (except for identical re-transmission) on the same radio bearer in the same direction.

[0080] For user data (DRBs) , ciphering provides user data confidentiality and integrity protection provides user data integrity. For RRC signalling (SRBs) , ciphering provides signalling data confidentiality and integrity protection signalling data integrity. Ciphering and integrity protections are optionally configured except for RRC signalling for which integrity protection is always configured. Ciphering and integrity protection can be configured per DRB but all DRBs belonging to a PDU session for which the User Plane Security Enforcement information indicates that UP integrity protection is required, are configured with integrity protection.

[0081] 6G study to introduce a data plane for data collection. To balance security and service transmission continuity, the following issues should be considered for security scheme for radio bearer in a data plane. Issue 1 is related to how to derive the security keys for integrity protection or ciphering for data plane. Issue 2 is related to how to activate the AS security protection for a radio bearer in data plane. Issue 3 is related to when to change / derive key for a radio bearer in data plane. Issue 4 is related to how to behave if integrity verification fails for radio bearer in data plane. Issue 5 is related to a case in which if a CU-CP node and a CU-DP node are in split, the CU-CP node needs to send the KDPenc / KDPint key and algorithm to the CU-DP node. Issue 6 is releated to how to create and handle authenticated encryption with associated data (AEAD) algorithm inputs, such as nonce and associated data. In view of the above discussions, embodiments of the present disclosure provide a solution for address some issues above. Principles and implementations of embodiments of the present disclosure will be described in detail below with reference to the figures. Aspects of the present disclosure are described in the context of a wireless communications system.

[0082] FIG. 1A illustrates an example of a wireless communications system (may be a communication network or may comprise a communication network) 100 that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure. The wireless communications system 100 may include one or more network entities 102 (also referred to as network equipment) , one or more UEs 104, a core network 106, and a packet data network 108. The wireless communications system 100 may support various radio access technologies. In some implementations, the wireless communications system 100 may be a 4G network, such as an LTE network or an LTE-Advanced (LTE-A) network. In some other implementations, the wireless communications system 100 may be a 5G network, such as an NR network. In other implementations, the wireless communications system 100 may be a combination of a 4G network and a 5G network, or other suitable radio access technology including Institute of Electrical and Electronics Engineers (IEEE) 802.11 (Wi-Fi) , IEEE 802.16 (WiMAX) , IEEE 802.20. The wireless communications system 100 may support radio access technologies beyond 5G. Additionally, the wireless communications system 100 may support technologies, such as time division multiple access (TDMA) , frequency division multiple access (FDMA) , or code division multiple access (CDMA) , etc.

[0083] The one or more network entities 102 may be dispersed throughout a geographic region to form the wireless communications system 100. One or more of the network entities 102 described herein may be or include or may be referred to as a network node, a base station, a network element, a radio access network (RAN) , a base transceiver station, an access point, a NodeB, an eNodeB (eNB) , a next-generation NodeB (gNB) , or other suitable terminology. A network entity 102 and a UE 104 may communicate via a communication link 110, which may be a wireless or wired connection. For example, a network entity 102 and a UE 104 may perform wireless communication (e.g., receive signalling, transmit signalling) over a communication interface.

[0084] A network entity 102 may provide a geographic coverage area 112 for which the network entity 102 may support services (e.g., voice, video, packet data, messaging, broadcast, etc. ) for one or more UEs 104 within the geographic coverage area 112. For example, a network entity 102 and a UE 104 may support wireless communication of signals related to services (e.g., voice, video, packet data, messaging, broadcast, etc. ) according to one or multiple radio access technologies. In some implementations, a network entity 102 may be moveable, for example, a satellite associated with a non-terrestrial network. In some implementations, different geographic coverage areas 112 associated with the same or different radio access technologies may overlap, but the different geographic coverage areas 112 may be associated with different network entities 102. Information and signals described herein may be represented using any of a variety of different technologies and techniques. For example, data, instructions, commands, information, signals, bits, symbols, and chips that may be referenced throughout the description may be represented by voltages, currents, electromagnetic waves, magnetic fields or particles, optical fields or particles, or any combination thereof.

[0085] The one or more UEs 104 may be dispersed throughout a geographic region of the wireless communications system 100. A UE 104 may include or may be referred to as a mobile device, a wireless device, a remote device, a remote unit, a handheld device, or a subscriber device, or some other suitable terminology. In some implementations, the UE 104 may be referred to as a unit, a station, a terminal, or a client, among other examples. Additionally, or alternatively, the UE 104 may be referred to as an Internet-of-Things (IoT) device, an Internet-of-Everything (IoE) device, or machine-type communication (MTC) device, among other examples. In some implementations, a UE 104 may be stationary in the wireless communications system 100. In some other implementations, a UE 104 may be mobile in the wireless communications system 100.

[0086] The one or more UEs 104 may be devices in different forms or having different capabilities. Some examples of UEs 104 are illustrated in FIG. 1A. A UE 104 may be capable of communicating with various types of devices, such as the network entities 102, other UEs 104, or network equipment (e.g., the core network 106, the packet data network 108, a relay device, an integrated access and backhaul (IAB) node, or another network equipment) , as shown in FIG. 1A. Additionally, or alternatively, a UE 104 may support communication with other network entities 102 or UEs 104, which may act as relays in the wireless communications system 100.

[0087] A UE 104 may also be able to support wireless communication directly with other UEs 104 over a communication link 114. For example, a UE 104 may support wireless communication directly with another UE 104 over a device-to-device (D2D) communication link. In some implementations, such as vehicle-to-vehicle (V2V) deployments, vehicle-to-everything (V2X) deployments, or cellular-V2X deployments, the communication link 114 may be referred to as a sidelink. For example, a UE 104 may support wireless communication directly with another UE 104 over a communication interface.

[0088] A network entity 102 may support communications with the core network 106, or with another network entity 102, or both. For example, a network entity 102 may interface with the core network 106 through one or more backhaul links 116 (e.g., via an S1, N2, N2, or another network interface) . The network entities 102 may communicate with each other over the backhaul links 116 (e.g., via an X2, Xn, or another network interface) . In some implementations, the network entities 102 may communicate with each other directly (e.g., between the network entities 102) . In some other implementations, the network entities 102 may communicate with each other or indirectly (e.g., via the core network 106) . In some implementations, one or more network entities 102 may include subcomponents, such as an access network entity, which may be an example of an access node controller (ANC) . An ANC may communicate with the one or more UEs 104 through one or more other access network transmission entities, which may be referred to as a radio heads, smart radio heads, or transmission-reception points (TRPs) .

[0089] In some implementations, a network entity 102 may be configured in a disaggregated architecture, which may be configured to utilize a protocol stack physically or logically distributed among two or more network entities 102, such as an integrated access backhaul (IAB) network, an open Radio Access Network (O-RAN) (e.g., a network configuration sponsored by the O-RAN Alliance) , or a virtualized RAN (vRAN) (e.g., a cloud RAN (C-RAN) ) . For example, a network entity 102 may include one or more of a central unit (CU) , a distributed unit (DU) , a radio unit (RU) , a RAN Intelligent Controller (RIC) (e.g., a Near-Real Time RIC (Near-RT RIC) , a Non-Real Time RIC (Non-RT RIC) ) , a Service Management and Orchestration (SMO) system, or any combination thereof.

[0090] An RU may also be referred to as a radio head, a smart radio head, a remote radio head (RRH) , a remote radio unit (RRU) , or a transmission reception point (TRP) . One or more components of the network entities 102 in a disaggregated RAN architecture may be co-located, or one or more components of the network entities 102 may be located in distributed locations (e.g., separate physical locations) . In some implementations, one or more network entities 102 of a disaggregated RAN architecture may be implemented as virtual units (e.g., a virtual CU (VCU) , a virtual DU (VDU) , a virtual RU (VRU) ) .

[0091] Split of functionality between a CU, a DU, and an RU may be flexible and may support different functionalities depending upon which functions (e.g., network layer functions, protocol layer functions, baseband functions, radio frequency functions, and any combinations thereof) are performed at a CU, a DU, or an RU. For example, a functional split of a protocol stack may be employed between a CU and a DU such that the CU may support one or more layers of the protocol stack and the DU may support one or more different layers of the protocol stack. In some implementations, the CU may host upper protocol layer (e.g., a layer 3 (L3) , a layer 2 (L2) ) functionality and signalling (e.g., RRC, service data adaption protocol (SDAP) , packet data convergence protocol (PDCP) ) . The CU may be connected to one or more DUs or radio units (RUs) , and the one or more DUs or RUs may host lower protocol layers, such as a layer 1 (L1) (e.g., physical (PHY) layer) or an L2 (e.g., radio link control (RLC) layer, MAC layer) functionality and signalling, and may each be at least partially controlled by the CU.

[0092] Additionally, or alternatively, a functional split of the protocol stack may be employed between a DU and an RU such that the DU may support one or more layers of the protocol stack and the RU may support one or more different layers of the protocol stack. The DU may support one or multiple different cells (e.g., via one or more RUs) . In some implementations, a functional split between a CU and a DU, or between a DU and an RU may be within a protocol layer (e.g., some functions for a protocol layer may be performed by one of a CU, a DU, or an RU, while other functions of the protocol layer are performed by a different one of the CU, the DU, or the RU) .

[0093] A CU may be functionally split further into CU control plane (CU-CP) and CU user plane (CU-UP) functions. A CU may be connected to one or more DUs via a midhaul communication link (e.g., F1, F1-c, F1-u) , and a DU may be connected to one or more RUs via a fronthaul communication link (e.g., open fronthaul (FH) interface) . In some implementations, a midhaul communication link or a fronthaul communication link may be implemented in accordance with an interface (e.g., a channel) between layers of a protocol stack supported by respective network entities 102 that are in communication via such communication links.

[0094] The core network 106 may support user authentication, access authorization, tracking, connectivity, and other access, routing, or mobility functions. The core network 106 may be an evolved packet core (EPC) , or a 5G core (5GC) , which may include a control plane entity that manages access and mobility (e.g., a mobility management entity (MME) , an access and mobility management functions (AMF) ) and a user plane entity that routes packets or interconnects to external networks (e.g., a serving gateway (S-GW) , a Packet Data Network (PDN) gateway (P-GW) , or a user plane function (UPF) ) . In some implementations, the control plane entity may manage non-access stratum (NAS) functions, such as mobility, authentication, and bearer management (e.g., data bearers, signal bearers, etc. ) for the one or more UEs 104 served by the one or more network entities 102 associated with the core network 106.

[0095] The core network 106 may communicate with the packet data network 108 over one or more backhaul links 116 (e.g., via an S1, N2, N2, or another network interface) . The packet data network 108 may include an application server 118. In some implementations, one or more UEs 104 may communicate with the application server 118. A UE 104 may establish a session (e.g., a protocol data unit (PDU) session, or the like) with the core network 106 via a network entity 102. The core network 106 may route traffic (e.g., control information, data, and the like) between the UE 104 and the application server 118 using the established session (e.g., the established PDU session) . The PDU session may be an example of a logical connection between the UE 104 and the core network 106 (e.g., one or more network functions of the core network 106) .

[0096] In the wireless communications system 100, the network entities 102 and the UEs 104 may use resources of the wireless communications system 100 (e.g., time resources (e.g., symbols, slots, subframes, frames, or the like) or frequency resources (e.g., subcarriers, carriers) ) to perform various operations (e.g., wireless communications) . In some implementations, the network entities 102 and the UEs 104 may support different resource structures. For example, the network entities 102 and the UEs 104 may support different frame structures. In some implementations, such as in 4G, the network entities 102 and the UEs 104 may support a single frame structure. In some other implementations, such as in 5G and among other suitable radio access technologies, the network entities 102 and the UEs 104 may support various frame structures (i.e., multiple frame structures) . The network entities 102 and the UEs 104 may support various frame structures based on one or more numerologies.

[0097] One or more numerologies may be supported in the wireless communications system 100, and a numerology may include a subcarrier spacing and a cyclic prefix. A first numerology (e.g., μ=0) may be associated with a first subcarrier spacing (e.g., 15 kHz) and a normal cyclic prefix. In some implementations, the first numerology (e.g., μ=0) associated with the first subcarrier spacing (e.g., 15 kHz) may utilize one slot per subframe. A second numerology (e.g., μ=1) may be associated with a second subcarrier spacing (e.g., 30 kHz) and a normal cyclic prefix. A third numerology (e.g., μ=2) may be associated with a third subcarrier spacing (e.g., 60 kHz) and a normal cyclic prefix or an extended cyclic prefix. A fourth numerology (e.g., μ=3) may be associated with a fourth subcarrier spacing (e.g., 120 kHz) and a normal cyclic prefix. A fifth numerology (e.g., μ=4) may be associated with a fifth subcarrier spacing (e.g., 240 kHz) and a normal cyclic prefix.

[0098] A time interval of a resource (e.g., a communication resource) may be organized according to frames (also referred to as radio frames) . Each frame may have a duration, for example, a 10 millisecond (ms) duration. In some implementations, each frame may include multiple subframes. For example, each frame may include 10 subframes, and each subframe may have a duration, for example, a 1 ms duration. In some implementations, each frame may have the same duration. In some implementations, each subframe of a frame may have the same duration.

[0099] Additionally or alternatively, a time interval of a resource (e.g., a communication resource) may be organized according to slots. For example, a subframe may include a number (e.g., quantity) of slots. The number of slots in each subframe may also depend on the one or more numerologies supported in the wireless communications system 100. For instance, the first, second, third, fourth, and fifth numerologies (i.e., μ=0, μ=1, μ=2, μ=3, μ=4) associated with respective subcarrier spacings of 15 kHz, 30 kHz, 60 kHz, 120 kHz, and 240 kHz may utilize a single slot per subframe, two slots per subframe, four slots per subframe, eight slots per subframe, and 16 slots per subframe, respectively. Each slot may include a number (e.g., quantity) of symbols (e.g., OFDM symbols) . In some implementations, the number (e.g., quantity) of slots for a subframe may depend on a numerology. For a normal cyclic prefix, a slot may include 14 symbols. For an extended cyclic prefix (e.g., applicable for 60 kHz subcarrier spacing) , a slot may include 12 symbols. The relationship between the number of symbols per slot, the number of slots per subframe, and the number of slots per frame for a normal cyclic prefix and an extended cyclic prefix may depend on a numerology. It should be understood that reference to a first numerology (e.g., μ=0) associated with a first subcarrier spacing (e.g., 15 kHz) may be used interchangeably between subframes and slots.

[0100] In the wireless communications system 100, an electromagnetic (EM) spectrum may be split, based on frequency or wavelength, into various classes, frequency bands, frequency channels, etc. By way of example, the wireless communications system 100 may support one or multiple operating frequency bands, such as frequency range designations FR1 (410 MHz –7.125 GHz) , FR2 (24.25 GHz –52.6 GHz) , FR3 (7.125 GHz –24.25 GHz) , FR4 (52.6 GHz –114.25 GHz) , FR4a or FR4-1 (52.6 GHz –71 GHz) , and FR5 (114.25 GHz –300 GHz) . In some implementations, the network entities 102 and the UEs 104 may perform wireless communications over one or more of the operating frequency bands. In some implementations, FR1 may be used by the network entities 102 and the UEs 104, among other equipment or devices for cellular communications traffic (e.g., control information, data) . In some implementations, FR2 may be used by the network entities 102 and the UEs 104, among other equipment or devices for short-range, high data rate capabilities.

[0101] FR1 may be associated with one or multiple numerologies (e.g., at least three numerologies) . For example, FR1 may be associated with a first numerology (e.g., μ=0) , which includes 15 kHz subcarrier spacing; a second numerology (e.g., μ=1) , which includes 30 kHz subcarrier spacing; and a third numerology (e.g., μ=2) , which includes 60 kHz subcarrier spacing. FR2 may be associated with one or multiple numerologies (e.g., at least 2 numerologies) . For example, FR2 may be associated with a third numerology (e.g., μ=2) , which includes 60 kHz subcarrier spacing; and a fourth numerology (e.g., μ=3) , which includes 120 kHz subcarrier spacing.

[0102] Data plane is for data collection, in which data is different from regular user data like application traffic. The data in the data plane refers to a radio / NW performance related data / measurements that can be collected by UE, e.g., immediate / logged MDT (minimization drive test) , sensing related measurements, positioning related measurements, QoE related measurements, AI training data.

[0103] To support security protection, algorithm key and some input parameters similar as NR is needed. In NR, when PDCP counts for a radio bearer are about to wrap round, local KgNB refresh and corresponding KUPenc / KUPint / KRRCenc / KRRCint refresh based on the local KgNB. An example of keys fresh based on a key for a gNB due to count wrap round is shown in FIG. 1B, in which a count associated with one of the KUPenc / KUPint / KRRCenc / KRRCint wraps round, then all the keys (KUPenc, KUPint, KRRCenc, and KRRCint) need to be updated. The key refresh procedure will cause the data transmission interruption for all radio bearers due to a PDCP re-establishment procedure is triggered. Upon the keys refresh, the transmitting and receiving PDCP entity shall discard all stored PDCP SDUs and PDCP PDUs for SRBs. The collection data has a low latency requirement, but the data volume is quite large. KgNB fresh procedure easily happens. It more easily causes the new key update procedure. Another implementation is to release the radio bearer and set up a radio bearer with different radio bearer (RB) identity (ID) , but this will cause data loss. Also, holographic communication service for user plane will be expected in 6G. The data volume for this radio bearer is also quite large. In this case, KgNB fresh procedure easily happens.

[0104] One possible solution is to introduce a new protocol layer for manage the data, which can be called data plane layer (DPL) . An example for data transmission from a UE to a data plane function (DPF) is shown in FIG. 1C. In FIG. 1C, a data plane layer is added for the UE and the DPF. The DPF is a data plane function that is responsible for data collection, distribution, processing, storage, data access and data exposure. The DPF can be a core network function. Alternatively, the DPF can be a RAN function, which can be collocated in gNB. In this solution, a new type of radio bearer (RB) is used for data transmission to support data plane, and may be referred to as collection radio bearer (CRB) or another name. Take CRB as an example, The CRB may have at least one of the following: a PHY layer, a medium access control (MAC) layer, an radio link control (RLC) layer, a PDCP layer, an SDAP layer, a collection data layer. A layer 2 entity of the securing handling in the data plane may be located in a different node from the control plane and the user plane.

[0105] To balance security and service transmission continuity, and avoid data transmission interruption of other radio bearers, some solutions are proposed for solving some issues for security scheme for the radio bearer in the data plane (issues 1 to 6) as mentioned above. Some details of implementation of the solution of the present disclosure may refer to FIGS. 2-14.

[0106] FIG. 2 illustrates an example signaling diagram illustrating an example process that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure. In some examples herein, key generation may be referred to as key derivation. Generating a key, in other words, i.e. deriving a key.

[0107] As shown in FIG. 2, the process 200 involves a UE 210 and a base station 220. In some examples, the process 200 further involves a core network device 230. In some examples herein, a base station may be referred to as a radio access network (RAN) device or a RAN node. Take 6G as an example, a 6G RAN node is a base station, providing 6G user plane and control plane, data plane protocol terminations towards the UE. The RAN node has a function of routing of user plane data towards UPF (s) , routing of control plane information towards a core network, routing of data plane data towards a data collection function. A core network device may be referred to as a core network node or a core network function.

[0108] At 202, the base station 220 transmits to the UE 210, a message 205 for configuring access stratum (AS) security, and the UE 210 may receive, from the base station 220, the message 205 for configuring the AS security. On the UE 210 side, the UE 210 may generate (204) a first set of keys for the AS security for a data plane. On the base station 220 side, the base station 220 may obtain 208 (e.g. generate (208a) or receive (208b) ) the first set of keys for the AS security for the data plane of the UE 210. The first set of keys are separate from a second set of keys for the AS security for a user plane of the UE 210 and a third set of keys for the AS security for a control plane of the UE 210. In order to obtain the first set of keys above, in some examples, the base station 220 may generate (208a) the first set of keys above. In some other examples, the core network device 230 generates (206) the first set of keys 215. The base station 220 receives (208b) the first set of keys 215 which is generated and transmitted by the core network device 230. In order to obtain the second set of keys and / or the third set of keys above, the base station 220 may generate the second set of keys and / or the third set of keys.

[0109] In some examples, the UE 210 generates the first set of keys for the AS security for the data plane, and generates the second set of keys for the AS security for the user plane and / or the third set of keys for the AS security for the control plane.

[0110] The first set of keys being separate from the second set of keys and the third set of keys means that the first set of keys is a separate set of keys which belong to a new type of key in relative to the control plane keys or user plane keys. That is, data plane key, control plane key, and user plane key are three different types of keys.

[0111] The AS security comprises of the integrity protection and ciphering of radio resource control (RRC) signalling (associated with SRBs) , user data (associated with DRBs) , and data plane (associated with CRBs) . For a transmitter, AS security refers to integrity protection and ciphering operations. For a receiver, AS security refers to integrity verification / check and deciphering operations.

[0112] In some examples, a key for the data plane among the first set of keys, e.g. generated by the UE 210 or the base station 220 or the core network device 230, may be generated based on a parent key. In some examples, the parent key may comprises: a key among a previously generated set of keys for the data plane; a key for a radio access network (RAN) node; a key for a core network node; a key for non-access stratum (NAS) signalling encryption; a key for NAS signalling integrity protection; a key for radio resource control (RRC) signalling encryption; a key for RRC signalling integrity protection; a key for user data encryption; or a key for user data integrity protection; or any combination thereof. There may be various options to generate a key among the first set of keys based a corresponding parent key, in which is the options may be referred to as key derivation options herein. For example, in an option 1, KDPint / KDPenc is derived based on KRAN (e.g., KgNB) . In an option 2, KDPint / KDPenc is derived based on KCN (e.g., KAMF) . In an option 3, KDPint / KDPenc is derived based on KNASenc / KNASint. In an option 4, KDPint / KDPenc is derived based on KRRCenc / KRRCint. In an option 5, KDPint / KDPenc is derived based on KUPenc / KUPint. In an option 6, a new KDPint / KDPenc is derived based on a current KDPint / KDPenc. KRAN is the key for the radio access network (RAN) node. KCN is a key for the core network node; KNASenc is a key for non-access stratum (NAS) signalling encryption; KNASint is a key for NAS signalling integrity protection; KRRCenc is a key for radio resource control (RRC) signalling encryption; KRRCint is a key for RRC signalling integrity protection; KUPenc is a key for user data encryption; KUPint is a key for user data integrity protection. KDPint is a key for integrity protection for the data plane. KDPenc is a key for encryption for the data plane. Alternatively, the key for ciphering and integrity protection for the data plane, control plane or user plane may be a single key derived in above options.

[0113] In some examples, the parent key at the UE 210 may be indicated in a downlink message from the base station 220. For example, the base station 220 may transmit the downlink message comprising an indication of the parent key to the UE 210, and then the UE 210 may determine the parent key based on the indication. In some examples, the base station 220 may receive an indication of the parent key from the core network node 230. In some examples, the downlink message may be a NAS message, an RRC message or an MAC Control element. In a case of a handover procedure, the indication may be generated by a target cell. In case of conditional handover, the indication may be included in a candicated cell preconfigured by a target cell and sent to the UE 210 by a source cell.

[0114] In some examples, a key for the data plane among the first set of keys, e.g. generated by the UE 210 or the base station 220 or the core network device 230, may be generated based on an algorithm type distinguisher specific to the data plane. The algorithm type distinguisher specific to the data plane may be, e.g. N-DP-enc-alg for DP encryption algorithms and / or N-DP-int-alg for DP integrity protection algorithms as shown in Table 1 hereinafter. Alternatively, the encryption and the integrity protection may be combined as a single operation and is performed by a single algorithm (e.g. AEAD in some examples) . In such examples, the algorithm type distinguisher specific to each of the data plane, the control plane or the user plane may be a single algorithm type distinguisher for ciphering and integerity protection. E.g, for the algorithm type distinguisher specific to the data plane, there is one algorithm type distinguisher assoicated with a single algorithm for both ciphering and integerity protection (N-DP-enc-alg and N-DP-int-alg will be combined as one algorithm type distinguisher in this example) . Similarly, in some examples, a key for the data plane may be generated based on an algorithm identity specific to the data plane. The algorithm identity specific to each of the data plane, the control plane or the user plane may be a single algorithm identity for ciphering and integerity protection. E.g. a single algorithm identity specific to the data plane is used for identifying a single algorithm for both ciphering and integerity protection of the data plane.

[0115] In some examples, the first set of keys comprises a key for encryption for the data plane, and the algorithm type distinguisher identifies an encryption algorithm for the data plane. Addtionally or alternatively, the first set of keys comprises a key for integrity protection for the data plane, and the algorithm type distinguisher identifies an integrity protection algorithm for the data plane. Alternatively, the key for ciphering and integrity protection for data plane may be a single key.

[0116] In some examples, a key among the first set of keys (e.g. generated by the UE 210 or the base station 220 or the core network device 230) , the second set of keys (e.g. generated by the UE 210 or the base station 220) , or the third set of keys (e.g. generated by the UE 210 or the base station 220) above is generated based on a counter value of the generated key.

[0117] The counter value is used for generating one key based on a same parent key and a same AS security algorithm for one of the data plane, the user plane or the control plane. For exmaple, different couter values are used for generating different keys for one of the data plane, the user plane or the control plane.

[0118] In some examples, the base station 220 may transmit a downlink message indicating the counter value to the UE 210, and the UE 210 may receive the downlink message indicating the counter value from the base station 220. Alternatively, the UE 210 may transmit an uplink message indicating the counter value to the base station 220, and the base station 220 may receive the uplink message indicating the counter value from the UE 210. Alternatively, the UE 210 and the base station 220 may obtain a default value as the counter value.

[0119] In some examples, the uplink message indicating the counter value may be a security mode complete message. Additionally or alternatively, the uplink message indicating the counter value may be an RRC reconfiguration complete message.

[0120] In some examples, the downlink message indicating the counter value and / or the indication of the parent key may comprise a security mode command message; an RRC reconfiguration message; an RRC resume message; or a cell switch command message; or any combination thereof. In a case of a handover procedure, the counter value may be generated by a target cell. In case of conditional handover, the counter value may be included in a candicate cell preconfigured by the target cell and sent to UE by a source cell. In case of LTM handover, the counter value and / or the indication of the parent key may be transmitted to the source cell, and then the source cell sends it to the UE 210 in cell switch command message.

[0121] In some examples, on the UE 210 side, a key among the first set of keys above is generated based on receiving a message for activating the AS security from the base station 220. On the base station 220 side, a key among the first set of keys above is generated based on transmitting a message for activating or reactivating the AS security to the UE 210.

[0122] In some examples, on the UE 210 side, a key among the first set of keys above is generated based on the fullfilment of handover condition. For example, when a candicate cell fullfils the handover condition, the UE 210 automously handover to the target cell, and the UE 210 derives a key for the data plane.

[0123] In some examples, the core network device 230 may transmit AS security capability information to the base station 220. The AS security capability information may comprise at least one AS security algorithm, and a key for a RAN node. In some examples, e.g. the first set of keys above is generated by the core network device 230, the core network device 230 may transmit the first set of keys (e.g. in the AS security capability information) to the base station 220.

[0124] In some examples, the core network device 230 may transmit AS security capability information to a data plane node.

[0125] In some examples, the base station 220 may transmit the first set of keys to a data plane node. In some examples, such data plane node may be located at core network side, e.g. collocated in the core network device 230. Alternatively, such data plane node may be located access network side, e.g. collocated in the base station 220 but with a independent function from the base station 220.

[0126] In some examples, a key among the first set of keys, the second set of keys, or the third set of keys above needs to be changed / updated / freshed / refreshed. In some examples, on the base station 220 side, the key among the first set of keys, the second set of keys, or the third set of keys may be changed / updated / freshed / refreshed based on transmitting a message for activating the AS security to the UE 210; determining that a parent key for generating the first set of keys is changed; determining that transition from an RRC_INACTIVE state to an RRC_CONNECTED state being initiated by the UE; determining that small data transmission in an RRC_INACTIVE state being initiated by the UE; or transmitting an indication to change the first set of keys to the UE 210; or any combination thereof.

[0127] In some examples, on the UE 210 side, the key among the first set of keys, the second set of keys, or the third set of keys above may be changed / updated / freshed / refreshed based on receiving a message for activating the AS security; determining that a parent key for generating the first set of keys is changed; initiating transition from an RRC_INACTIVE state to an RRC_CONNECTED state; initiating small data transmission in an RRC_INACTIVE state; or receiving an indication to change the first set of keys; or any combination thereof.

[0128] In some examples, on the base station 220 and / or the UE 210 side, the key among the first set of keys, the second set of keys, or the third set of keys may be changed / updated / freshed / refreshed further based on a counter value of the key generated; a transmission direction indicating uplink or downlink; a algorithm identity for the data plane, a first algorithm type distinguisher for integrity protection for the data plane; or a second algorithm type distinguisher used for encryption for the data plane; or any combination thereof.

[0129] In some examples, the base station 220 may transmit, to the UE 210, an indication of at least one AS security algorithm, and the UE 210 may receive the indication of at least one AS security algorithm. In some examples, the indication of the at least one AS security algorithm is comprised in a security mode command message from the base station 220 to the UE 210. In some examples, an AS security algorithm may be indicated for a set of types of radio bearers comprising radio bearers in the data plane, the user plane and the control plane. Alternatively, an AS security algorithm is indicated for a type of the set of types of radio bearers. Alternatively, an AS security algorithm is indicated for a radio bearer among the set of types of radio bearers.

[0130] Based on the first set of keys, the UE 210 and / or the base station 220 may perform at least one operation for data of a radio bearer in the data plane. For example, the at least one operation may comprise encryption or integrity protection or both of them. Alternatively, the at least one operation may comprise integrity verification or decryption or both of them.

[0131] In some examples, the encryption and / or the integrity protection may be performed based on: a type of collection data by the UE; a cell radio network temporary identifier (C-RNTI) of the UE; a serving cell ID; a frequency of a synchronization signal block (SSB) of the serving cell; a target cell ID for UE handover; or a frequency of an SSB of the target cell for the UE handover; or any combination thereof.

[0132] In some examples, the at least one operation for data of a radio bearer in the data plane may comprise the integrity verification. If the integrity verification is failed and the integrity verification failure occurs at the UE 210, the UE 210 may transmit a report for integrity verification failure to the base station 220, or perform an RRC connection re-establishment procedure. If the integrity verification is failed and the integrity verification failure occurs at the base station 220, the base station 220 may transmit a command to suspend or stop data transmission of a radio bearer to the UE 210.

[0133] In some examples, the UE 210 and / or the base station 220 may, based on the first set of keys, the second set of keys, or the third set of keys above, perform an AS security algorithm for at least one of encryption or integrity protection on a data protocol data unit (PDU) . The AS security algorithm may comprises the following input: an indication of a part of the data PDU to be encrypted; an indication of a part of the data PDU not to be encrypted; an indication of a part of the data PDU to be integrity protected; an indication of a part of the data PDU not to be integrity protected; an indication of a first data unit and a second data unit, wherein the first data unit comprises a part of the data PDU to be encrypted, and the second data unit comprises a part of the data PDU to be integrity protected; or an indication of whether the data PDU is to be one of: encrypted, integrity protected, or both encrypted and integrity protected; or any combination thereof.

[0134] Addtionally, in some examples, the UE 210 and / or the base station 220 may, based on the first set of keys, the second set of keys, or the third set of keys above, perform an AS security algorithm for at least one of encryption or integrity protection on a data PDU. The at least one input of the AS security algorithm may comprises: an indication of a first COUNT associated with the data PDU to be encrypted, and / or an indication of a second COUNT associated with the data PDU to be integrity protected. Alternatively, the input of the AS security algorithm may comprises an indication of a third COUNT associated with the data PDU to be encrypted and integrity protected. In some examples, the first COUNT and the second COUNT may be different.

[0135] In some examples, the base station 220 may transmit, to the UE 210, a message for activating the AS security. The UE 210 activates the AS security based on receiving the message for activating the AS security. Addtionally or alternatively, in some examples, the base station 220 may transmit, to the UE 210, a configuration for setting up a radio bearer in the data plane. The UE 210 activates the AS security based on receiving the configuration for setting up a radio bearer in the data plane. Addtionally or alternatively, in some examples, the base station 220 may transmit, to the UE 210, a configuration for resuming a radio bearer in the data plane. The UE 210 activates the AS security based on receiving the configuration for resuming the radio bearer in the data plane. Addtionally or alternatively, in some examples, the base station 220 may transmit, to the UE 210, a configuration associated with data collection. the UE 210 activates the AS security based on receiving the configuration associated with data collection. Addtionally or alternatively, in some examples, the base station 220 may transmit, to the UE 210, a configuration associated with sensing. The UE 210 activates the AS security based on receiving the configuration associated with sensing.

[0136] In some examples, the message is for activating the AS security associated with a set of types of radio bearers comprising radio bearers in the data plane, the user plane and the control plane. Alternatively, the message is for activating the AS security associated with at least one type of radio bearers among the set of types of radio bearers above. Alternatively, the message is for activating the AS security associated with at least one radio bearer among the set of types of radio bearers.

[0137] In some examples, on the base station 220 side, a centralized unit control plane (CU-CP) node and a centralized unit data plane (CU-DP) node may be split. In such examples, some operations performed by the base station 220 as mentioned above may be specifically performed by the CU-CP node at RAN, i.e. RAN-CU-CP node. For example, the RAN-CU-CP node may obtain (generate or receive) the first set of keys, and / or obtain (generate) the second set of keys, and / or obtain (generate) the third set of keys above. In some examples, the CU-CP node at RAN, i.e. RAN-CU-CP node, may further transmit, to the CU-DP node at the RAN (i.e. RAN-CU-DP node) , the first set of keys and at least one AS security algorithm. In some case, one or more key among the first set of keys, the second set of keys, or the third set of keys are changed / updated / refreshed / freshed, the RAN-CU-DP node will sends the latest key to the CU-DP node.

[0138] In case of a RAN-CU-CP node and a RAN-CU-DP node is split, for the key derivation options 1, 3 , 4 and 5 above, the RAN-CU-CP node derives KDPint key and the KDPenc . The RAN-CU-CP node transmits KDPint key and the KDPenc and security algorithm (s) to RAN-CU-DP node, so the RAN-CU-DP node applies the AS security for the data plane. For the key derivation option 2, the RAN-CU-CP node transmits KDPint key and the KDPenc and security algorithm (s) to the RAN-CU-DP node, so the RAN-CU-DP node applies the AS security for the data plane.

[0139] FIG. 3 illustrates some key derivation examples in accordance with aspects of the present disclosure. In FIG. 3, the keys are organised and derived as below. KAMF (i.e. key for AMF) is a key derived by ME and SEAF from KSEAF. Keys for NAS signalling comprises KNASint and KNASenc. KNASint is a key derived by ME and AMF from KAMF, which shall only be used for the protection of NAS signalling with a particular integrity algorithm; KNASenc is a key derived by ME and AMF from KAMF, which shall only be used for the protection of NAS signalling with a particular encryption algorithm. KgNB (i.e. key for gNB) is a key derived by ME and AMF from KAMF. KgNB is further derived by ME and source gNB when performing horizontal or vertical key derivation. Keys for UP traffic comprises KUPenc and KUPint. KUPenc is a key derived by ME and gNB from KgNB, which shall only be used for the protection of UP traffic between ME and gNB with a particular encryption algorithm; KUPint is a key derived by ME and gNB from KgNB, which shall only be used for the protection of UP traffic between ME and gNB with a particular integrity algorithm. Keys for RRC signalling comprises KRRCint and KRRCenc. KRRCint is a key derived by ME and gNB from KgNB, which shall only be used for the protection of RRC signalling with a particular integrity algorithm; KRRCenc is a key derived by ME and gNB from KgNB, which shall only be used for the protection of RRC signalling with a particular encryption algorithm. Intermediate keys comprises NH and KgNB*. NH is a key derived by ME and AMF to provide forward security. KgNB*is a key derived by ME and gNB when performing a horizontal or vertical key derivation. Keys for the AS security for the data plane may comprise KDPint (i.e. key for integrity protection for the data plane) and KDPenc (i.e. key for encryption for the data plane) . KDPint and KDPenc may be derived based on KAMF or KgNB.

[0140] Whenever an initial AS security context needs to be established between UE and gNB, AMF and the UE derive a KgNB and a Next Hop parameter (NH) . The KgNB and the NH are derived from the KAMF. A NH Chaining Counter (NCC) is associated with each KgNB and NH parameter. Every KgNB is associated with the NCC corresponding to the NH value from which it was derived. At initial setup, the KgNB is derived directly from KAMF, and is then considered to be associated with a virtual NH parameter with NCC value equal to zero. At initial setup, the derived NH value is associated with the NCC value one. On handovers, the basis for the KgNB that will be used between the UE and the target gNB, called KgNB*, is derived from either the currently active KgNB or from the NH parameter. If KgNB*is derived from the currently active KgNB, this is referred to as a horizontal key derivation and is indicated to UE with an NCC that does not increase. If the KgNB*is derived from the NH parameter, the derivation is referred to as a vertical key derivation and is indicated to UE with an NCC increase. Finally, KRRCint, KRRCenc, KUPint and KUPenc are derived based on KgNB after a new KgNB is derived.

[0141] FIG. 4 illustrates an example security configuration procedure in accordance with aspects of the present disclosure. The process 400 involves the UE 210, the base station 220 (or referred to as RAN node) , and the core network device 230 (or a core network node, a core network element, or a core network function) .

[0142] At 402, the UE 210 initiates an RRC connection setup procedure. At 404, after the UE 210 completes the RRC connection setup procedure, the base station 220 transmits an initial UE message 405 to the core network (CN, e.g. the core network device 230) . At 406, the core network device 230 transmits an AS security capability 415 to the base station 220. The AS security capability 415 includes AS security algorithm (s) and KRAN, and optionally includes the KDPint key and the KDPenc key for the data plane. The CN may indicate the base station 220 to derive the KDPenc and the KDPenc based on which parent key, i.e., based on which key derivation option. Alternative, the CN transmits AS security capability to the data plane node.

[0143] At 408, the UE 210 receives a Security Mode Command message 425 from the base station 220 and derives keys for a control plane, a use plane and the data plane. The message 425 indicates the AS security algorithm (s) for a radio bear (s) . In some examples, a same security algorithm is indicated for all type of radio bearers, e.g., the signalling radio bearer, data radio bearer and collection radio bearer. Alternatively , in some examples, a separate security algorithm is indicated for a type of radio bearers. For example, a first security algorithm could be indicated to a first type of radio bearer (i.e., DRB) , and second security algorithm could be indicated to a second type of radio bearer (i.e., CRB) . Alternatively , in some examples, aseparate security algorithm is indicated per radio bearer. e.g., different security algorithms could be indicated to different radio bearers.

[0144] At 412, the UE 210 derives the KRAN (e.g., KgNB) key, the KRRCint key and the KDPint associated with the integrityProtAlgorithm indicated in the SecurityModeCommand message 425. the UE derives the KRRCenc key, the KUPenc and the KDPenc associated with the cipheringAlgorithm indicated in the SecurityModeCommand message 425.

[0145] As mentioned above, the issue 1 is how to derive the algorithm key for integrity protection or ciphering for the data plane. Some examples related to algorithm key derivation for the integrity protection or the ciphering for the data plane will be described below. The UE 210 derives the KDPint key and the KDPenc key for the data plane based on at least of one of followings options (referred to as key derivation options herein) 1 to 5.

[0146] In some examples (option 1) , KDPint / KDPenc is derived based on KRAN (e.g., KgNB) . For example, KDPint / KDPenc= KDF (KRAN, Counter value, algorithm type distinguisher for DP) . Alternatively, KDPint / KDPenc= KDF (KRAN, Counter value, algorithm type distinguisher for DP, algorithm identity) .

[0147] In some examples (option 2) , KDPint / KDPenc is derived based on KCN (e.g., KAMF) . For example, KDPint / KDPenc= KDF (KCN, Counter value, algorithm type distinguisher for DP) . Alternatively, KDPint / KDPenc= KDF (KCN, Counter value, algorithm type distinguisher for DP, algorithm identity)

[0148] In some examples (option 3) , KDPint / KDPenc is derived based on KNASenc / KNASint. For example, KDPint / KDPenc= KDF (KNASenc / KNASint, Counter value, algorithm type distinguisher for DP) . Alternatively, KDPint / KDPenc= KDF (KNASenc / KNASint, Counter value, algorithm type distinguisher for DP, algorithm identity) .

[0149] In some examples (option 4) , KDPint / KDPenc is derived based on KRRCenc / KRRCint. For example, KDPint / KDPenc= KDF (KRRCenc / KRRCint, Counter value, algorithm type distinguisher for DP) . Alternatively, KDPint / KDPenc= KDF (KRRCenc / KRRCint, Counter value, algorithm type distinguisher for DP, algorithm identity) .

[0150] In some examples (option 5) , KDPint / KDPenc is derived based on KUPenc / KUPint. For example, KDPint / KDPenc= KDF (KUPenc / KUPint, Counter value, algorithm type distinguisher for DP) . Alternatively, KDPint / KDPenc= KDF (KUPenc / KUPint, Counter value, algorithm type distinguisher for DP, algorithm identity) .

[0151] In 5G, KRAN is called KgNB. In 5G, it is called KAMF, from which KgNB is derived. The Security Mode Command message 425 indicates the UE 210 to derive the KDPint and the KDPenc based on which parent key (one of KRAN (e.g., KgNB) , KCN (e.g. KAMF) , KNASenc / KNASint, KRRCenc / KRRCint, KUPenc / KUPint. i.e., based on which key derivation option (e.g. one of options 1 to 5 above) . For example, if NW (e.g. the base station 220) indicates the UE to use KRAN for deriving KDPenc for an RB in the data plane, the UE 210 derives KDPenc key based on current KRAN, key counter, the new ciphering algorithm type distinguisher and an algorithm identity. For example, if the NW indicates the UE to use KCN for deriving KDPenc for an RB in the data plane, the UE 210 derives KDPenc key based on current KCN, a key counter, the new ciphering algorithm type distinguisher and an algorithm identity. For example, if the NW indicates the UE to use KRAN for deriving KDPint for an RB in the data plane, the UE derives KDPint key based on current KRAN, a key counter, the new integrity protection algorithm type distinguisher and an algorithm identity. For example, if the NW indicates the UE to use KCN for deriving KDPint for an RB in the data plane, the UE derives KDPint key based on current KCN, a key counter, the new integrity protection algorithm type distinguisher and an algorithm identity.

[0152] In order to derive the key for integrity protection or ciphering for the data plane, a new algorithm type distinguisher used for deriving key for integrity protection, and / or a new algorithm type distinguisher used for deriving key for ciphering may be introduced, as shown in Table 1. Table 1: an example of Algorithm type distinguishers

[0153] The algorithm type distinguisher shall be N-RRC-enc-alg for RRC encryption algorithms, N-RRC-int-alg for RRC integrity protection algorithms, N-UP-enc-alg for UP encryption algorithms and N-UP-int-alg for UP integrity protection algorithms, N-DP-enc-alg for DP encryption algorithms and N-DP-int-alg for DP integrity protection algorithms.

[0154] In some examples, a key counter (i.e. the counter value above) for key derivation may be introduced for deriving the key above. In some examples, the key counter may be indicated in a dedicated DL RRC message. That is, the key counter may be indicated by the network to the UE 210. Alternatively, the key counter may be indicated in a dedicated UL RRC message. That is, the UE 210 may indicate the key counter to the network. The key counter may be indicated in a Security Mode Command message 425, or the default value of the key counter is set to 0.

[0155] When deriving keys for ciphering and integrity keys from KRAN in the gNB and UE, at least one of the following parameters or combination are used to form the string S. - FC = 0x69 - P0 = algorithm type distinguisher - L0 = length of algorithm type distinguisher (i.e. 0x00 0x01) - P1 = algorithm identity - L1 = length of algorithm identity (i.e. 0x00 0x01) - P2 = key counter - L2 = length of counter

[0156] After the UE 210 derives the keys, the UE 210 configures lower layers to apply SRB integrity protection using the indicated algorithm and the KRRCint key immediately, i.e. the integrity protection shall be applied to all subsequent messages received and sent by the UE, including the SecurityModeComplete message 445 which is transmitted from the UE 210 to the base station 220, as shown at 418.

[0157] The UE configures lower layers to apply SRB ciphering using the indicated algorithm, the KRRCenc key after completing the procedure, i.e. ciphering shall be applied to all subsequent messages received and sent by the UE, except for the SecurityModeComplete message 445 which is sent unciphered.

[0158] If the security mode command message 425 passes the integrity protection check, the UE 210 considers the AS security to be activated, which is related to the issue 2 above. The details related to the AS security activation will be described in some examples hereinafter.

[0159] At 418, the UE 210 transmits a Security Mode Complete message 445 to the base station 220. The SecurityModeComplete message 445 is used to confirm the successful completion of a security mode command.

[0160] On the base station 220 side, at 414, the base station 220 may derives KRRCenc, the KUPenc, KRRCint, KUPint, KDPint, KDPenc based on KRAN. Such examples may refer to option 1 shown in FIG. 3. Alternatively , the base station 220 does not derive the KDPint and the KDPenc, but it receive the KDPint, KDPenc from the core network device 230. In such examples, the AS security capability 415 includes the KDPint key and the KDPenc key for the data plane. At 416, the base station 220 transmit the KDPint key and the KDPenc key 435 for the data plane to the data plane node 240.

[0161] FIG. 5 illustrates an example RRC reconfiguration procedure that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure. The process 500 involves the UE 210, the base station 220 (or referred to as RAN node) .

[0162] At 502, the base station 220 transmits a RRCreconfiguration message 505 including the configuration for a radio bearer in the data plane to the UE 210. The base station 220 transmits the RRCreconfiguration message 505 to add an CRB. The configuration includes the security configurations for the radio bearer, such as a radio bearer identification (or radio bearer identity, or radio bearer identifier) which is a field indicating the ID of the radio bearer; a ciphering algorithm; an integrity protection algorithm; a field of IntegrityProtection which indicates whether to enable integrity protection; a field of ciphering which indicates whether to disenable ciphering.

[0163] Prior to transmits the RRCreconfiguration message 505, assume the UE 210 has transmitted an AS security capability to the core network (may be the core network device 230) , the base station 220 receives the AS security capability of the UE 210 from the core network device 230, and selects the security configurations based on the AS security capability.

[0164] The UE 210 receives the RRCReconfiguration message 505 for one or more of the following: (i) setting up or reconfiguration a radio bearer in the data plane, (ii) change of termination point for the radio bearer or (iii) hand over between radio access technique (RAT) systems from the base station 220, and the UE 210 applies the KDPint key for integrity protection if the integrity protection is enabled for the radio bearer, and applies the KDPenc key for ciphering if the ciphering is not disabled for the radio bearer. The data plane may be configured after the security activation. In some examples, in the RRCReconfiguration message 505, a counter value may indicated for the data plane.

[0165] In some examples, if the UE 210 receives the RRCreconfiguration message 505 to set up a radio bearer, as shown at 506 and 508, the UE 210 establishes and configures a layer 2 entity with the security algorithms, applies the KDPenc key associated with the ciphering algorithm and / or the KDPint associated with the integrity protection algorithm. If the UE receives the RRCreconfiguration message to reconfigure a radio bearer, the UE 210 reconfigures the layer 2 entity with the security algorithms, applies the KDPenc key associated with the ciphering algorithm and / or the KDPint associated with the integrity protection algorithm.

[0166] In some other examples, if the UE 210 receives the RRCreconfiguration message 505 for a handover purpose. In such examples, as shown at 504, the UE 210 derives new KRAN based on current KRAN or Next Hop parameter (NH) or KCN, KRRCenc / KRRCint, KUPenc / KUPint, KDPint key and the KDPenc key based on the new KRAN. Wherein, a Next Hop Chaining Counter parameter (NCC) is associated with the NH. KDPint / KDPenc= KDF (KRAN, Counter value, algorithm type distinguisher for DP, algorithm identity) . Alternatively, the UE 210 derives the KDPint key and the KDPenc key based on KCN. KDPint / KDPenc= KDF (KCN, Counter value, algorithm type distinguisher for DP, algorithm identity) . Alternatively, the UE 210 derives KDPint key and the KDPenc key based on KNASenc / KNASint. KDPint / KDPenc= KDF (KNASenc / KNASint, Counter value, algorithm type distinguisher for DP, algorithm identity) . Alternatively, the UE 210 derives a new KRAN based on current KRAN or NextHop key or KCN, KRRCenc / KRRCint. The UE 210 derives the KDPint key and the KDPenc key based on KRRCenc / KRRCint. KDPint / KDPenc= KDF (KRRCenc / KRRCint, Counter value, algorithm type distinguisher for DP, algorithm identity) . Alternatively, the UE 210 derives a new KRAN based on current KRAN or NextHop key or KCN, KUPenc / KUPint. The UE derives KDPint key and the KDPenc key based on KUPenc / KUPint. KDPint / KDPenc= KDF (KUPenc / KUPint, Counter value, algorithm type distinguisher for DP, algorithm identity) .

[0167] In some further examples, the UE 210 derives kCN based on a key used in source RAT, then derives KRAN, and at last derives KDPint and KDPenc. After the KDPint key and the KDPenc key is derived, the UE 210 applies the keys for integrity protection and / or ciphering for the CRB if the AS security is activated by the base station 220.

[0168] The input parameters for integrity protection and / or ciphering function for the CRB may include one or more of the following parameters or any combination thereof: Key (e.g. the integrity protection key for the data plane is KDPint) ; BEARER (determined based on a radio bearer identifier, e.g., it will use the value RB identity –1) ; COUNT (anumber) , e.g., the COUNT value is composed of an HFN (Hyper Frame Number) and the layer2 SN (e.g., PDCP SN) in which the size of the HFN part in bits is equal to 32 minus the length of the layer2 SN; Direction (transmission direction) ; the data unit. For example, that data unit integrity protected is the data part of the PDU before ciphering in the layer 2 entity.

[0169] In some examples, the other input parameters for integrity protection and / or ciphering function for the CRB may comprise at least one of the following parameters or any combination thereof: a type of collection data; C-RNTI; current serving cell ID; a frequency of an SSB of the current serving cell; a target cell serving cell ID in case of handover; a frequency of an SSB of the target cell in case of handover.

[0170] At 512, the UE 210 transmits a RRCReconfigurationComplete message 515 to the base station 220. The RRCReconfigurationComplete message 515 is used to confirm the successful completion of an RRC connection reconfiguration. If the UE 210 successfully completes the radio bearer configuration, the UE 210 sets content of RRCReconfigurationComplete and transmits the RRCReconfigurationComplete message 515 to the base station 220.

[0171] At 514, the NW (e.g. the base station 220) may transmit a RRCRelease message 525 including suspend configuration to the UE 210. The RRCRelease message 525may include a counter for a suspend radio bearer in the data plane. The UE 210 receives the RRCRelease message 525 and transits to an RRC_Inactive state and stores the counter for next key derivation when the UE 210 initiates an RRC resume request or small data transmission in an RRC_Inactive state.

[0172] In some examples, the key derivation options can be extended to radio bearers in a control plane and a user plane, for example, the KDPenc / KDPint in the key derivation options may be replaced by KRRCenc / KRRCint, or KUPenc / KUPint.

[0173] As mentioned above, the issue 2 is how to activate the AS security protection for a radio bearer in data plane. Some examples related to the AS security protection activation (or referred to as AS security activation) for a radio bearer in data plane will be described below.

[0174] In some examples, when the UE receives a message to activate AS security from the RAN node, the UE activates AS security for radio bearer (s) in the data plane, i.e., the AS security shall be applied to all subsequent data received and sent by the UE via the radio bearer (s) in the data plane. The message may be an RRC or layer 2 message (e.g., a dedicated MAC CE is defined) . The message activates the AS security for radio bear (s) .

[0175] In one option, by default, the message is for activating the AS security for all type of radio bearers, e.g., the signalling radio bearer in the control plane, data radio bearer in the user plane and the collection radio bearer in the data plane. In other option, the message indicates to activate the AS security separately for different types of radio bearers. For example, in the message, the AS security for radio bearer (s) in the control plane (i.e., RRC) may be indicated to be activated, and the data plane could be indicated to activate the AS security in the message. For example, a bitmap may be included to indicate a type of radio bearer to activate AS security. E.g. a bit i is corresponding to a type of radio bearer in a radio bearer set in order of the type of radio bearer (For example, in order of SRB, CRB and DRB) . The type of radio bearer (s) in the set may be specified by the network or defined by default. In a further option, the message indicates to activate AS security per radio bearer. For example, radio bearer ID=1 and radio bearer ID=2 could be indicated to activate AS security in the message. For example, a bitmap is included to indicate a radio bearer to activate the AS security. E.g. a bit i is corresponding to a radio bearer in a radio bearer set in order of the radio bearer ID. The radio bearer (s) in the set may be specified by the network or default defined. The message may further indicate the AS security algorithm including a ciphering and / or integrity protection algorithm per a type of radio bearer.

[0176] In some examples, when the UE receives a configuration to setup a radio bearer in the data plane or resumes a radio bearer in the data plane from the RAN node, the UE activates AS security for a radio bearer (s) in the data plane, i.e., the AS keys associated with security algorithm (s) shall be applied to all subsequent data received and sent by the UE via the radio bearer (s) in the data plane.

[0177] FIG. 6 illustrates illustrates an example RRC resume procedure that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure. The process 600 involves the UE 210, the base station 220 (or referred to as RAN node) .

[0178] At 602, the UE derives keys for the data plane. At 604, the UE 210 transmits a RRCresumeRequest message 605 to the base station 220. At 606, the base station 220 transmits, to the UE 210, a RRCresume message 615 to setup / resume a radio bearer in the data plane. The UE 210 receives the RRCresume message 615

[0179] At 608, the UE configures security algorithm (s) for CRB (s) . At 612, the UE 210 applies key (s) as sociated with security algorithm (s) for a radio bearer (s) in the data plane. At 614, the UE 210 transmits a RRCresumeComplete message 625 to the base station 220.

[0180] In an example of NR, the UE 210 reconfigures a PDCP entity with associated security algorithm (s) , applies the key KDPenc  / KDPint if the NW reconfigure a new radio bearer for the data plane.

[0181] In an example of NR, the UE establishes a PDCP entity for a radio bearer in the data plane and configures the PDCP entity with associated security algorithm (s) , applies the key KDPenc  / KDPint. For example, in NR:

[0182] For example, the UE configures the PDCP entity with the integrity protection algorithms according to securityConfig and apply the KDPint key. For example, the UE configures the PDCP entity with the ciphering algorithms according to the securityConfig and apply the KDPenc key.

[0183] In some examples, when the UE receives data collection configuration or sensing configuration from the base station, the UE activates AS security for a radio bearer (s) in data plane, i.e., the AS security shall be applied to all subsequent data received and sent by the UE via the radio bearer (s) in the data plane.

[0184] If the UE accepts the configuration, the UE activates AS security for a radio bearer (s) in data plane and transmits RRCReconfigurationComplete message to the RAN node. If the data collection configuration indicates the UE to report a type of collection data via a radio bearer in data plane to RAN node, UE performs transmission for the logged data to RAN node. If sensing configuration indicates the UE to perform sensing, the UE performs sensing operation including data logging and / or sensing data reporting.

[0185] Additionally, the UE may need additional activation from the base station in addition to reception of the configuration of data collection or sensing from the base station. In this implementation, the UE activates the AS security for a radio bearer (s) in the data plane if UE accepts the activation configuration. If the data collection activation activates UE to report a type of collection data via a radio bearer in data plane to the base station, UE performs transmission for the logged data to the base station. If the sensing activation activates the UE to report sense data via a radio bearer in data plane to the base station, the UE performs transmission for the logged data to the base station.

[0186] After the AS Security for data plane is activated, the key (s) for the data plane may be discarded upon the UE enters an RRC idle state.

[0187] As mentioned above, the issue 3 is when to change / derive key for a radio bearer in data plane. Some examples related to when to change / derive key for a radio bearer in data plane will be described below.

[0188] In some examples, the UE derives KDPenc and / or KDPint based on receiving a message to activate the AS security. If the UE has activated the AS security for the radio bearer or the type of the radio bearer. e.g., Security Mode Command message, the UE derives KDPenc and / or KDPint. In some examples herein, one or both of the KDPenc / KDPint may be derived.

[0189] Additionally or alternatiely, in some examples, the UE changes the KDPenc and / or KDPint (i.e. derives new KDPenc and / or KDPint) based on determining that the corresponding parent key changes. For example, if the key from which the KDPenc / KDPint is derived changes (i.e. the parent key of the KDPenc / KDPint changes) , the UE derives KDPenc / KDPint based on the key (i.e. respective changed parent key) . For example the UE initiates transition from RRC_INACTIVE to RRC_CONNECTED or the UE initiates small data transition in RRC_INACTIVE, then the KDPenc and / or KDPint is derived changes. The implemention comprises steps 1 to 4. Step 1, when the UE initiates the transition from RRC_INACTIVE to RRC_CONNECTED, the UE derives the new KRAN key based on the current KRAN key or the NH, using the nextHopChainingCount value received in the previous RRCRelease message and stored in the UE Inactive AS Context. The key derivation parameter may include a target physical cell ID and an absolute frequency of an SSB of the target cell, count. Step 2, then the UE derives the KRRCenc key, the KRRCint key, the KUPint key and the KUPenc key, KDPenc and KDPint Key. The implementation of the key derivation may refer to some examples above. For example, the UE derives the KRRCenc key, the KRRCint key, the KUPint key and the KUPenc key, KDPenc and KDPint Key based on new KRAN. In such an example, the parent key of the KRRCenc key, the KRRCint key, the KUPint key and the KUPenc key, KDPenc and KDPint Key is the new KRAN. Step 3, the UE configures lower layers to apply integrity protection for all radio bearers except SRB0 and MRBs using the configured algorithm and the KRRCint key, KUPint key and KDPint derived immediately, i.e., integrity protection shall be applied to all subsequent messages received and sent by the UE. In some examples, only DRBs in the user plane with previously configured UP integrity protection shall resume integrity protection. In some examples, only RBs in the data plane with previously configured DP integrity protection shall resume integrity protection. Step 4, the UE configures lower layers to apply ciphering for radio bearers in data plane and remaining all radio bearers except SRB0 and MRBs and to apply the configured ciphering algorithm, the KRRCenc key, the KUPenc key and KDPenc derived, i.e. the ciphering configuration shall be applied to all subsequent messages received and sent by the UE. In addition, the UE re-establishes the layer 2 (e.g., PDCP) entity for the radio bearer that is configured for SDT without triggering layer 2 (e.g., PDCP) status report.

[0190] Additionally or alternatiely, in some examples, the UE changes the KDPenc and / or KDPint (i.e. derives new KDPenc and / or KDPint) based on receiving an indication of change KDPenc / KDPint for a radio bearer (s) in data plane. For example, if the key, from which the KDPenc / KDPint is derived, does not change, yet the UE receives an indication to change KDPenc / KDPint for a radio bearer (s) in data plane, then the UE changes the KDPenc and / or KDPint (i.e. derives new KDPenc and / or KDPint) . For example, UE executes handover upon reception of RRC reconfiguration message for handover purpose, Security Mode Command message for (re) activation AS security or the fullfilment of handover condition. The implemention comprises steps i, ii, and iii below.

[0191] Step i, if the RAN node (e.g. a base station) determines to not change other AS keys for SRB and DRB, but change the KDPenc / KDPint key, the RAN node transmits a reconfiguration or RRCresume or Cell Switch Command message to the UE, which indicates the UE to fresh the KDPenc / KDPint key. (step ii) the UE receives a reconfiguration message or RRCresume message or Cell Switch Command message from the RAN node, which indicates the UE to fresh the KDPenc / KDPint key, UE refreshes the KDPenc / KDPint key.

[0192] In some examples, the reconfiguration message or RRCresume message or Cell Switch Command message may include a counter value for the key derivation for the data plane.

[0193] In some examples, the reconfiguration message or the RRCresume message or the Cell Switch Command message message may indicate the UE to derive the KUPenc and the KDPenc based on which parent key, i.e., based on which key derivation option. If the NW (e.g. a base station) does not indicate which key derivation option is to be used, i.e. the parent key is not indicated, default option is option 1 (i.e. the default parent key is KRAN) . The KDPenc / KDPint key fresh (or change / refresh / update) is based on following one key (i.e. a new KDPenc / KDPint may be derived / generated based on one of the followong parent keys) : KRAN (Option 1) ; KCN (Option 2) ; KNASenc / KNASint (Option 3) ; KRRCenc / KRRCint (Option 4) ; KUPenc / KUPint (Option 5) ; a current KDPenc / KDPint (Option 6) , in which options 1 to 5 have been described in some exampls above. Compared with the new derived KDPenc / KDPint, the current KDPenc / KDPint is a previously generated KDPenc / KDPint for the data plane.

[0194] In some examples, the KDPenc / KDPint key fresh is based on following at least one input parameters: Key counter (e.g. a DL key counter or a UL key counter) ; DIRECTION (transmission direction, e.g. uplink or downlink) ; a new algorithm type distinguisher used for deriving key for integrity protection (see table 1) ; a new algorithm type distinguisher used for deriving key for ciphering (see table 1) .

[0195] In some examples, the DL key counter is indicated in the RRCreconfiguraiton message or the RRCresume message or the Cell Switch Command message. Alternatively, the UL key counter is transmitted to the RAN node from the UE after AS security for RRC has been activated for the UE. E.g. the UL key counter is transmitted in a Security Mode Complete message or a RRCReconfiguration Complete message. If DL counter is used, the DIRECTION refers to uplink, otherwise it refers to downlink.

[0196] For example, if the NW indicates the UE to use current KDPenc for KDPenc for an RB in the data plane, the UE derives new KDPenc key based on the current KDPenc, key counter, the new ciphering algorithm type distinguisher and an algorithm identity. KDPint / KDPenc= KDF (KRAN, Counter value, algorithm type distinguisher for DP, algorithm identity) . For example, if the NW indicates the UE to use current KRAN for KDPenc for an RB in the data plane, the UE derives new KDPenc key based on current KRAN, key counter, the new ciphering algorithm type distinguisher and algorithm identity.

[0197] For example, if the NW indicates the UE to use KCN for KDPenc for an RB in the data plane, the UE derives new KDPenc key based on current KCN, key counter, the new ciphering algorithm type distinguisher and algorithm identity. In this case, for an architecture with split CU-CP node and CU-DP node, the RAN-CU-CP node request a new KDPenc if the RAN-CU-CP node determines the KDPenc needs to be refreshed, e.g. based on current count of the radio bearer.

[0198] For example, if the NW indicates the UE to use current KDPint for KDPint for an RB in the data plane, the derives new KDPint key based on current KDPint, key counter, the new integrity protection algorithm type distinguisher and an algorithm identity. For example, if the NW indicates the UE to use current KRAN for KDPint for an RB in the data plane, the UE derives new KDPint key based on current KRAN, key counter, the new integrity protection algorithm type distinguisher and an algorithm identity.

[0199] For example, if the NW indicates the UE to use current KCN for KDPint for an RB in the data plane, the UE derives new KDPint key based on current KCN, key counter, the new integrity protection algorithm type distinguisher and an algorithm identity. In this case, for an architecture with split CU-CP node and CU-DP node, the RAN-CU-CP node requests a new KDPint if the RAN-CU-CP node determines the KDPint needs to be refreshed, e.g. based on current counter of the radio bearer.

[0200] (step iii) the UE transmits the RRC Reconfiguration Complete message or RRC Resume Complete message to the RAN node. After the UE successfully complete reconfiguration and resume for radio bearer, the UE transmits the RRC Reconfiguration Complete message or the RRC Resume Complete message to the RAN node.

[0201] In some examples, the key fresh options may be extended to the radio bearer in the control plane and the user plane, the KDPenc / KDPint is replaced by KRRCenc / KRRCint, or KUPenc / KUPint.

[0202] As mentioned above, the issue 4 is how to behave if integrity verification (or integrity check) fails for radio bearer in data plane. Some examples below involves action (s) of a UE or NW (e.g. base station or RAN node) when detects integrity verification failure.

[0203] If the integrity check failure (i.e. the integrity verification failure) for data in radio bearer in data plane is detected by NW (e.g. the RAN node) , the data is discarded. Further, the RAN node may transmit a command to suspend or stop data transmission of the radio bearer to the UE, then the UE suspends or stops the data transmission for the radio bearer. Alternatively, the RAN node may release the radio bearer / RRC connection of the UE.

[0204] If the integrity check failure (i.e. the integrity verification failure) for data in a radio bearer in the data plane is detected by the UE, the data is discarded. Further, the UE may transmit report for integrity verification check failure to the RAN node. Then the RAN node may release RRC connection of the UE or handover the UE to another cell. For example, the layer 2 entity notifies integrity check failure to RRC layer, the UE transmits report of integrity verification check failure and the associated radio bearer ID to the RAN node via an RRC message. Alternatively, the UE may perform a connection re-establishment procedure. A UE in an RRC_CONNECTED state may initiate the procedure to continue the RRC connection if the AS security has been activated and at least one DRB or CRB setup. The connection re-establishment succeeds if the network can find and verify a valid UE context.

[0205] As mentioned above, the issue 6 is releated to how to create and handle AEAD algorithm inputs, such as nonce and associated data. In some examples below, the input (s) of the AEAD algorithm are described.

[0206] FIGS. 7 to 9 illustrate some examples related to creating and handling AEAD algorithm inputs in accordance with aspects of the present disclosure, in which FIG. 7 shows two example PDCP data PDUs. FIG. 8 shows an example of input (s) of the AEAD algorithm. FIG. 9 shows another example of input (s) of the AEAD algorithm.

[0207] In SA3 proposed an idea of providing both encryption and integrity protection using a single algorithm has become accepted. This algorithm refers to the AEAD, which combines encryption and integrity protection to a single operation. 3GPP SA3 approved a new study of AEAD for 6G security, with the following objectives:

[0208] In NR, the associated data unit for ciphering and integrity protection is different. The data unit that is integrity protected is the PDU header and the data part of the PDU before ciphering. The data unit that is ciphered is the MAC-I and the data part of the PDCP Data PDU except the SDAP header and the SDAP Control PDU if included in the PDCP SDU, as shaded part in FIG. 7. In 6G, if the field in the SDAP header may be placed in PDCP header, it is still not needed to be ciphered. If to combine encryption and integrity protection to a single operation, how to identify the associated data unit for encryption and integrity protection should be designed. The following examples about such design will be described below.

[0209] In one implementation, an input is used for indicating which part of the PDCP data PDU is to be ciphered. E.g., an offset relative to the most / left significant bit, the data part of the PDU from the offset is ciphered. Additionally, an input is used for indication a length of the part from the offset. For example, if the remaining part is all for ciphering, the additonal length is not needed. Here assumes generated MAC-I generated by the integrity protection operation needs to be ciphered.

[0210] In one implementation, an input is used for indicating which part of the PDCP data PDU is not ciphered . E.g., an offset relative to the most / left significant bit, the data part of the PDU from the offset is ciphered. Additionally, an input is used for indicating a length of the part from the offset. If the remaining part is not all for ciphering, the additional length is needed. Here assumes generated MAC-I generated by the integrity protection operation needs to be ciphered.

[0211] In one example, with reference to FIG. 8, if the data part of the PDCP PDU includes an SDAP header or an SDAP Control PDU, in addition to the PDU header and the data part of the PDU as input, an input is used for indicating which part of the PDCP data PDU is not ciphered or ciphered. E.g., an offset relative to the most / left significant bit. Here assumes generated MAC-I generated by the integrity protection operation needs to be ciphered.

[0212] In one implementation, two data units may be indicated, one data unit is used for integrity protection and includes the PDCP data PDU, another data unit is used for ciphering only and include the data part of the PDCP Data PDU for ciphering. Here assumes generated MAC-I generated by the integrity protection operation needs to be ciphered.

[0213] In one implementation, two data units may be indicated, one data unit is used for integrity protection only and includes the PDCP header, another data unit is used for ciphering and includes the data part of the PDCP Data PDU for ciphering and integrity. Here assumes generated MAC-I generated by the integrity protection operation needs to be ciphered. In 6G, if field in SDAP header moves to PDCP header, one data unit is used for integrity protection and includes the PDCP data PDU, another data unit is used for ciphering and includes the data part of the PDCP data PDU only for ciphering.

[0214] In one implementation, two data units may be indicated, one data unit is used for integrity protection only and includes the PDCP header and SDAP header, another data unit is used for ciphering and includes the data part of the PDCP Data PDU except the SDAP header for ciphering and integrity. Here assumes generated MAC-I generated by the integrity protection operation needs to be ciphered. In one example, with reference to FIG. 9, if the data part of the PDCP PDU includes an SDAP header or an SDAP Control PDU, two data units may be indicated, in which one data unit is used for integrity protection and includes the PDCP header and the SDAP header / SDAP control PDU, another data unit is used for ciphering and includes the data part of the PDCP Data PDU except the SDAP header and the SDAP Control PDU.

[0215] In some examples, a data may be needed for only ciphering, only integrity protection or the both above, an input may be used to indicate whether ciphered, integrity protection or the both will be performed. If the data is only needed for the integrity protection, an input may be used for indicating only for integrity protection, Alternativly, the whole PDCP PDU is integrity protected by default. Optionally, an input may be used for indicating which part of the PDCP PDU is not integrity protected.

[0216] The solution in above embodiments may be combined. In case of AEAD algorithm is applied, a common key is derived for ciphering and integrity protection in above embodiments instead of separate keys for ciphering and integrity protection. In case of the AEAD algorithm is applied, a common algorithm type distinguisher is used for deriving the common key for ciphering and integrity protection in above embodiments.

[0217] FIG. 10 illustrates an example of a device 1000 that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure. The device 1000 may be an example of the UE 104 or the network entity 102 or an entity in the core network 106 as described herein. The device 1000 may support wireless communication with one or more network entities 102, UEs 104, or any combination thereof. The device 1000 may include components for bi-directional communications including components for transmitting and receiving communications, such as a processor 1002, a memory 1004, a transceiver 1006, and, optionally, an I / O controller 1008. These components may be in electronic communication or otherwise coupled (e.g., operatively, communicatively, functionally, electronically, electrically) via one or more interfaces (e.g., buses) .

[0218] The processor 1002, the memory 1004, the transceiver 1006, or various combinations thereof or various components thereof may be examples of means for performing various aspects of the present disclosure as described herein. For example, the processor 1002, the memory 1004, the transceiver 1006, or various combinations or components thereof may support a method for performing one or more of the operations described herein.

[0219] In some implementations, the processor 1002, the memory 1004, the transceiver 1006, or various combinations or components thereof may be implemented in hardware (e.g., in communications management circuitry) . The hardware may include a processor, a digital signal processor (DSP) , an application-specific integrated circuit (ASIC) , a field-programmable gate array (FPGA) or other programmable logic device, a discrete gate or transistor logic, discrete hardware components, or any combination thereof configured as or otherwise supporting a means for performing the functions described in the present disclosure. In some implementations, the processor 1002 and the memory 1004 coupled with the processor 1002 may be configured to perform one or more of the functions described herein (e.g., executing, by the processor 1002, instructions stored in the memory 1004) .

[0220] For example, the processor 1002 may support wireless communication at the device 1000 in accordance with examples as disclosed herein. In some examples, the processor 1002 may be configured to operable to support a means for receiving, from a base station, a message for configuring access stratum (AS) security; and a means for generating a first set of keys for the AS security for a data plane, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane and a third set of keys for the AS security for a control plane. The processor 1002 may be configured to operable to support other means for other implementations of method 1200. In some other examples, the processor 1002 may be configured to operable to support a means for transmitting, to a user equipment (UE) , a message for configuring access stratum (AS) security; and a means for obtaining a first set of keys for the AS security for a data plane of the UE, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane of the UE and a third set of keys for the AS security for a control plane of the UE. The processor 1002 may be configured to operable to support other means for other implementations of method 1300. In some other examples, the processor 1002 may be configured to operable to support a means for generating a first set of keys for access stratum (AS) security for a data plane of a user equipment (UE) ; and a means for transmitting the first set of keys to a base station or a data plane node. The processor 1002 may be configured to operable to support other means for other implementations of method 1400.

[0221] The processor 1002 may include an intelligent hardware device (e.g., a general-purpose processor, a DSP, a CPU, a microcontroller, an ASIC, an FPGA, a programmable logic device, a discrete gate or transistor logic component, a discrete hardware component, or any combination thereof) . In some implementations, the processor 1002 may be configured to operate a memory array using a memory controller. In some other implementations, a memory controller may be integrated into the processor 1002. The processor 1002 may be configured to execute computer-readable instructions stored in a memory (e.g., the memory 1004) to cause the device 1000 to perform various functions of the present disclosure.

[0222] The memory 1004 may include random access memory (RAM) and read-only memory (ROM) . The memory 1004 may store computer-readable, computer-executable code including instructions that, when executed by the processor 1002 cause the device 1000 to perform various functions described herein. The code may be stored in a non-transitory computer-readable medium such as system memory or another type of memory. In some implementations, the code may not be directly executable by the processor 1002 but may cause a computer (e.g., when compiled and executed) to perform functions described herein. In some implementations, the memory 1004 may include, among other things, a basic I / O system (BIOS) which may control basic hardware or software operation such as the interaction with peripheral components or devices.

[0223] The I / O controller 1008 may manage input and output signals for the device 1000. The I / O controller 1008 may also manage peripherals not integrated into the device M02. In some implementations, the I / O controller 1008 may represent a physical connection or port to an external peripheral. In some implementations, the I / O controller 1008 may utilize an operating system such as or another known operating system. In some implementations, the I / O controller 1008 may be implemented as part of a processor, such as the processor 1002. In some implementations, a user may interact with the device 1000 via the I / O controller 1008 or via hardware components controlled by the I / O controller 1008.

[0224] In some implementations, the device 1000 may include a single antenna 1010. However, in some other implementations, the device 1000 may have more than one antenna 1010 (i.e., multiple antennas) , including multiple antenna panels or antenna arrays, which may be capable of concurrently transmitting or receiving multiple wireless transmissions. The transceiver 1006 may communicate bi-directionally, via the one or more antennas 1010, wired, or wireless links as described herein. For example, the transceiver 1006 may represent a wireless transceiver and may communicate bi-directionally with another wireless transceiver. The transceiver 1006 may also include a modem to modulate the packets, to provide the modulated packets to one or more antennas 1010 for transmission, and to demodulate packets received from the one or more antennas 1010. The transceiver 1006 may include one or more transmit chains, one or more receive chains, or a combination thereof.

[0225] A transmit chain may be configured to generate and transmit signals (e.g., control information, data, packets) . The transmit chain may include at least one modulator for modulating data onto a carrier signal, preparing the signal for transmission over a wireless medium. The at least one modulator may be configured to support one or more techniques such as amplitude modulation (AM) , frequency modulation (FM) , or digital modulation schemes like phase-shift keying (PSK) or quadrature amplitude modulation (QAM) . The transmit chain may also include at least one power amplifier configured to amplify the modulated signal to an appropriate power level suitable for transmission over the wireless medium. The transmit chain may also include one or more antennas 1010 for transmitting the amplified signal into the air or wireless medium.

[0226] A receive chain may be configured to receive signals (e.g., control information, data, packets) over a wireless medium. For example, the receive chain may include one or more antennas 1010 for receive the signal over the air or wireless medium. The receive chain may include at least one amplifier (e.g., a low-noise amplifier (LNA) ) configured to amplify the received signal. The receive chain may include at least one demodulator configured to demodulate the receive signal and obtain the transmitted data by reversing the modulation technique applied during transmission of the signal. The receive chain may include at least one decoder for decoding the processing the demodulated signal to receive the transmitted data.

[0227] FIG. 11 illustrates an example of a processor 1100 that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure. The processor 1100 may be an example of a processor configured to perform various operations in accordance with examples as described herein. The processor 1100 may include a controller 1102 configured to perform various operations in accordance with examples as described herein. The processor 1100 may optionally include at least one memory 1104. Additionally, or alternatively, the processor 1100 may optionally include one or more arithmetic-logic units (ALUs) 1106. One or more of these components may be in electronic communication or otherwise coupled (e.g., operatively, communicatively, functionally, electronically, electrically) via one or more interfaces (e.g., buses) .

[0228] The processor 1100 may be a processor chipset and include a protocol stack (e.g., a software stack) executed by the processor chipset to perform various operations (e.g., receiving, obtaining, retrieving, transmitting, outputting, forwarding, storing, determining, identifying, accessing, writing, reading) in accordance with examples as described herein. The processor chipset may include one or more cores, one or more caches (e.g., memory local to or included in the processor chipset (e.g., the processor 1100) or other memory (e.g., random access memory (RAM) , read-only memory (ROM) , dynamic RAM (DRAM) , synchronous dynamic RAM (SDRAM) , static RAM (SRAM) , ferroelectric RAM (FeRAM) , magnetic RAM (MRAM) , resistive RAM (RRAM) , flash memory, phase change memory (PCM) , and others) .

[0229] The controller 1102 may be configured to manage and coordinate various operations (e.g., signaling, receiving, obtaining, retrieving, transmitting, outputting, forwarding, storing, determining, identifying, accessing, writing, reading) of the processor 1100 to cause the processor 1100 to support various operations in accordance with examples as described herein. For example, the controller 1102 may operate as a control unit of the processor 1100, generating control signals that manage the operation of various components of the processor 1100. These control signals include enabling or disabling functional units, selecting data paths, initiating memory access, and coordinating timing of operations.

[0230] The controller 1102 may be configured to fetch (e.g., obtain, retrieve, receive) instructions from the memory 1104 and determine subsequent instruction (s) to be executed to cause the processor 1100 to support various operations in accordance with examples as described herein. The controller 1102 may be configured to track memory address of instructions associated with the memory 1104. The controller 1102 may be configured to decode instructions to determine the operation to be performed and the operands involved. For example, the controller 1102 may be configured to interpret the instruction and determine control signals to be output to other components of the processor 1100 to cause the processor 1100 to support various operations in accordance with examples as described herein. Additionally, or alternatively, the controller 1102 may be configured to manage flow of data within the processor 1100. The controller 1102 may be configured to control transfer of data between registers, arithmetic logic units (ALUs) , and other functional units of the processor 1100.

[0231] The memory 1104 may include one or more caches (e.g., memory local to or included in the processor 1100 or other memory, such RAM, ROM, DRAM, SDRAM, SRAM, MRAM, flash memory, etc. In some implementation, the memory 1104 may reside within or on a processor chipset (e.g., local to the processor 1100) . In some other implementations, the memory 1104 may reside external to the processor chipset (e.g., remote to the processor 1100) .

[0232] The memory 1104 may store computer-readable, computer-executable code including instructions that, when executed by the processor 1100, cause the processor 1100 to perform various functions described herein. The code may be stored in a non-transitory computer-readable medium such as system memory or another type of memory. The controller 1102 and / or the processor 1100 may be configured to execute computer-readable instructions stored in the memory 1104 to cause the processor 1100 to perform various functions (e.g., functions or tasks supporting transmit power prioritization) . For example, the processor 1100 and / or the controller 1102 may be coupled with or to the memory 1104, the processor 1100, the controller 1102, and the memory 1104 may be configured to perform various functions described herein. In some examples, the processor 1100 may include multiple processors and the memory 1104 may include multiple memories. One or more of the multiple processors may be coupled with one or more of the multiple memories, which may, individually or collectively, be configured to perform various functions herein.

[0233] The one or more ALUs 1106 may be configured to support various operations in accordance with examples as described herein. In some implementation, the one or more ALUs 1106 may reside within or on a processor chipset (e.g., the processor 1100) . In some other implementations, the one or more ALUs 1106 may reside external to the processor chipset (e.g., the processor 1100) . One or more ALUs 1106 may perform one or more computations such as addition, subtraction, multiplication, and division on data. For example, one or more ALUs 1106 may receive input operands and an operation code, which determines an operation to be executed. One or more ALUs 1106 be configured with a variety of logical and arithmetic circuits, including adders, subtractors, shifters, and logic gates, to process and manipulate the data according to the operation. Additionally, or alternatively, the one or more ALUs 1106 may support logical operations such as AND, OR, exclusive-OR (XOR) , not-OR (NOR) , and not-AND (NAND) , enabling the one or more ALUs 1106 to handle conditional operations, comparisons, and bitwise operations.

[0234] The processor 1100 may support wireless communication in accordance with examples as disclosed herein. In some examples the processor 1102 may be configured to or operable to support a means for receiving, from a base station, a message for configuring access stratum (AS) security; and a means for generating a first set of keys for the AS security for a data plane, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane and a third set of keys for the AS security for a control plane. The processor 1100 may be configured to or operable to support other means for other implementations of method 1200. In some other examples, the processor 1102 may be configured to or operable to support a means for transmitting, to a user equipment (UE) , a message for configuring access stratum (AS) security; and a means for obtaining a first set of keys for the AS security for a data plane of the UE, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane of the UE and a third set of keys for the AS security for a control plane of the UE. The processor 1100 may be configured to or operable to support other means for other implementations of method 1300. In some other examples, the processor 1102 may be configured to or operable to support a means for generating a first set of keys for access stratum (AS) security for a data plane of a user equipment (UE) ; and a means for transmitting the first set of keys to a base station or a data plane node. The processor 1100 may be configured to or operable to support other means for other implementations of method 1400.

[0235] FIG. 12 illustrates a flowchart of a method 1200 that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure. The operations of the method 1200 may be implemented by a device or its components as described herein. For example, the operations of the method 1200 may be performed by the UE 104 or 210 as described herein. In some implementations, the device may execute a set of instructions to control the function elements of the device to perform the described functions. Additionally, or alternatively, the device may perform aspects of the described functions using special-purpose hardware.

[0236] At 1205, the method includes receiving, from a base station, a message for configuring access stratum (AS) security. The operations of 1205 may be performed in accordance with examples as described herein. In some implementations, aspects of the operations of 1205 may be performed by a device as described with reference to FIG. 1A to FIG. 11.

[0237] At 1210, the method includes generating a first set of keys for the AS security for a data plane, in which the first set of keys are separate from a second set of keys for the AS security for a user plane and a third set of keys for the AS security for a control plane. The operations of 1210 may be performed in accordance with examples as described herein. In some implementations, aspects of the operations of 1210 may be performed by a device as described with reference to FIG. 1A to FIG. 11.

[0238] FIG. 13 illustrates a flowchart of a method 1300 that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure. The operations of the method 1300 may be implemented by a device or its components as described herein. For example, the operations of the method 1300 may be performed by the base station 220 or the RAN node or the network entity 102 or the CU-CP node at the RAN as described herein. In some implementations, the device may execute a set of instructions to control the function elements of the device to perform the described functions. Additionally, or alternatively, the device may perform aspects of the described functions using special-purpose hardware.

[0239] At 1305, the method includes transmitting, to a user equipment (UE) , a message for configuring access stratum (AS) security. The operations of 1305 may be performed in accordance with examples as described herein. In some implementations, aspects of the operations of 1305 may be performed by a device as described with reference to FIG. 1A to FIG. 11.

[0240] At 1310, the method includes obtaining a first set of keys for the AS security for a data plane of the UE, in which the first set of keys are separate from a second set of keys for the AS security for a user plane of the UE and a third set of keys for the AS security for a control plane of the UE. The operations of 1310 may be performed in accordance with examples as described herein. In some implementations, aspects of the operations of 1310 may be performed by a device as described with reference to FIG. 1A to FIG. 11.

[0241] FIG. 14 illustrates a flowchart of a method 1400 that supports key generation, such as key generation for AS security for a data plane, in accordance with aspects of the present disclosure. The operations of the method 1400 may be implemented by a device or its components as described herein. For example, the operations of the method 1400 may be performed by the core network device 230 or the core network node, or a device  / function / node of the core network 106, as described herein. In some implementations, the device may execute a set of instructions to control the function elements of the device to perform the described functions. Additionally, or alternatively, the device may perform aspects of the described functions using special-purpose hardware.

[0242] At 1405, the method includes generating a first set of keys for access stratum (AS) security for a data plane of a user equipment (UE) . The operations of 1405 may be performed in accordance with examples as described herein. In some implementations, aspects of the operations of 1405 may be performed by a device as described with reference to FIG. 1A to FIG. 11.

[0243] At 1410, the method includes transmitting the first set of keys to a base station or a data plane node. The operations of 1410 may be performed in accordance with examples as described herein. In some implementations, aspects of the operations of 1410 may be performed by a device as described with reference to FIG. 1A to FIG. 11.

[0244] It should be noted that the methods described herein describes possible implementations, and that the operations and the steps may be rearranged or otherwise modified and that other implementations are possible. Further, aspects from two or more of the methods may be combined.

[0245] The various illustrative blocks and components described in connection with the disclosure herein may be implemented or performed with a general-purpose processor, a DSP, an ASIC, a CPU, an FPGA or other programmable logic device, discrete gate or transistor logic, discrete hardware components, or any combination thereof designed to perform the functions described herein. A general-purpose processor may be a microprocessor, but in the alternative, the processor may be any processor, controller, microcontroller, or state machine. A processor may also be implemented as a combination of computing devices (e.g., a combination of a DSP and a microprocessor, multiple microprocessors, one or more microprocessors in conjunction with a DSP core, or any other such configuration.

[0246] The functions described herein may be implemented in hardware, software executed by a processor, firmware, or any combination thereof. If implemented in software executed by a processor, the functions may be stored on or transmitted over as one or more instructions or code on a computer-readable medium. Other examples and implementations are within the scope of the disclosure and appended claims. For example, due to the nature of software, functions described herein may be implemented using software executed by a processor, hardware, firmware, hardwiring, or combinations of any of these. Features implementing functions may also be physically located at various positions, including being distributed such that portions of functions are implemented at different physical locations.

[0247] Computer-readable media includes both non-transitory computer storage media and communication media including any medium that facilitates transfer of a computer program from one place to another. A non-transitory storage medium may be any available medium that may be accessed by a general-purpose or special-purpose computer. By way of example, non-transitory computer-readable media may include RAM, ROM, electrically erasable programmable ROM (EEPROM) , flash memory, compact disk (CD) ROM or other optical disk storage, magnetic disk storage or other magnetic storage devices, or any other non-transitory medium that may be used to carry or store desired program code means in the form of instructions or data structures and that may be accessed by a general-purpose or special-purpose computer, or a general-purpose or special-purpose processor.

[0248] As used herein, including in the claims, an article “a” before an element is unrestricted and understood to refer to “at least one” of those elements or “one or more” of those elements. The terms “a, ” “at least one, ” “one or more, ” and “at least one of one or more” may be interchangeable. As used herein, including in the claims, “or” as used in a list of items (e.g., a list of items prefaced by a phrase such as “at least one of” or “one or more of” or “one or both of” ) indicates an inclusive list such that, for example, a list of at least one of A, B, or C means A or B or C or AB or AC or BC or ABC (i.e., A and B and C) . Also, as used herein, the phrase “based on” shall not be construed as a reference to a closed set of conditions. For example, an example step that is described as “based on condition A” may be based on both a condition A and a condition B without departing from the scope of the present disclosure. In other words, as used herein, the phrase “based on” shall be construed in the same manner as the phrase “based at least in part on. Further, as used herein, including in the claims, a “set” may include one or more elements.

[0249] The description herein is provided to enable a person having ordinary skill in the art to make or use the disclosure. Various modifications to the disclosure will be apparent to a person having ordinary skill in the art, and the generic principles defined herein may be applied to other variations without departing from the scope of the disclosure. Thus, the disclosure is not limited to the examples and designs described herein but is to be accorded the broadest scope consistent with the principles and novel features disclosed herein.

Claims

1.A user equipment (UE) , comprising:a processor; anda transceiver coupled to the processor,wherein the processor is configured to:receive, via the transceiver and from a base station, a message for configuring access stratum (AS) security; andgenerate a first set of keys for the AS security for a data plane, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane and a third set of keys for the AS security for a control plane.2.The UE of claim 1, wherein a key for the data plane among the first set of keys is generated based on a parent key, wherein the parent key comprises at least one of the following:a key among a previously generated set of keys for the data plane;a key for a radio access network (RAN) node;a key for a core network node;a key for non-access stratum (NAS) signalling encryption;a key for NAS signalling integrity protection;a key for radio resource control (RRC) signalling encryption;a key for RRC signalling integrity protection;a key for user data encryption; ora key for user data integrity protection.3.The UE of claim 2, wherein the parent key is indicated in a downlink message from the base station.4.The UE of claim 1, wherein a key for the data plane among the first set of keys is generated based on an algorithm type distinguisher specific to the data plane.5.The UE of claim 1, wherein a key among the first set of keys, the second set of keys, or the third set of keys is generated based on a counter value of the generated key.6.The UE of claim 5, wherein the processor is further configured to one of the following:receive, via the transceiver and from the base station, a downlink message indicating the counter value;transmit, via the transceiver and to the base station, an uplink message indicating the counter value; orobtain a default value as the counter value.7.The UE of claim 3 or 6, wherein the downlink message comprises at least one of the following:a security mode command message;an RRC reconfiguration message;an RRC resume message; ora cell switch command message.8.The UE of claim 1, wherein the processor is configured to:based on the first set of keys, the second set of keys, or the third set of keys, perform an AS security algorithm for at least one of encryption or integrity protection on a data protocol data unit (PDU) , wherein the AS security algorithm comprises the following at least one input:an indication of a part of the data PDU to be encrypted;an indication of a part of the data PDU not to be encrypted;an indication of a part of the data PDU to be integrity protected;an indication of a part of the data PDU not to be integrity protected;an indication of a first data unit and a second data unit, wherein the first data unit comprises a part of the data PDU to be encrypted, and the second data unit comprises a part of the data PDU to be integrity protected; oran indication of whether the data PDU is to be one of: encrypted, integrity protected, or both encrypted and integrity protected.9.The UE of claim 1, wherein the processor is further configured to:based on the first set of keys, the second set of keys, or the third set of keys, perform an AS security algorithm for at least one of encryption or integrity protection on a data PDU, wherein at least one input of the AS security algorithm comprises:at least one of: an indication of a first COUNT associated with the data PDU to be encrypted, or an indication of a second COUNT associated with the data PDU to be integrity protected; oran indication of a third COUNT associated with the data PDU to be encrypted and integrity protected.10.The UE of claim 1, wherein a key among the first set of keys is generated based on receiving a message for activating the AS security.11.The UE of claim 1, wherein a key among the first set of keys, the second set of keys, or the third set of keys is changed based on at least one of the following:receiving a message for activating the AS security;determining that a parent key for generating the first set of keys is changed;initiating transition from an RRC_INACTIVE state to an RRC_CONNECTED state;initiating small data transmission in an RRC_INACTIVE state; orreceiving an indication to change the first set of keys.12.The UE of claim 11, wherein the key among the first set of keys, the second set of keys, or the third set of keys is changed further based on at least one of the following:a counter value of the key generated;a transmission direction indicating uplink or downlink;a first algorithm type distinguisher for integrity protection for the data plane; ora second algorithm type distinguisher used for encryption for the data plane.13.A base station, comprising:a processor; anda transceiver coupled to the processor,wherein the processor is configured to:transmit, via the transceiver and to a user equipment (UE) , a message for configuring access stratum (AS) security; andobtain a first set of keys for the AS security for a data plane of the UE, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane of the UE and a third set of keys for the AS security for a control plane of the UE.14.The base station of claim 13, wherein:the processor is configured to obtain the first set of keys by:generating the first set of keys; orreceiving, via the transceiver, the first set of keys from a core network node; andthe processor is further configured to obtain the second set of keys and the third set of keys by:generating the second set of keys and the third set of keys.15.The base station of claim 13 or 14, wherein the base station comprises a centralized unit control plane (CU-CP) node at a radio access network (RAN) , and the processor is further configured to:transmit, via the transceiver and to a centralized unit data plane (CU-DP) node at the RAN, the first set of keys and at least one AS security algorithm.16.The base station of claim 13, wherein the processor is further configured to:transmit, via the transceiver, the first set of keys to a data plane node.17.The base station of claim 13, wherein a key for the data plane among the first set of keys is generated based on an algorithm type distinguisher specific to the data plane.18.The base station of claim 13, wherein the processor is further configured to one of the following:transmit, via the transceiver and to the UE, a downlink message indicating a counter value;receive, via the transceiver and from the UE, an uplink message indicating the counter value; orobtain a default value as the counter value.19.An apparatus for performing a network function, the apparatus comprising:at least one memory; andat least one processor coupled with the at least one memory and configured to cause the apparatus to:generate a first set of keys for access stratum (AS) security for a data plane of a user equipment (UE) ; andtransmit the first set of keys to a base station or a data plane node.20.A processor for wireless communication, comprising:at least one memory; anda controller coupled with the at least one memory and configured to cause the controller to:receive, from a base station, a message for configuring access stratum (AS) security; andgenerate a first set of keys for the AS security for a data plane, wherein the first set of keys are separate from a second set of keys for the AS security for a user plane and a third set of keys for the AS security for a control plane.

Images