对网络切片选择辅助信息进行加密

摘要

描述了用于无线通信的方法、系统和设备。用户设备(UE)可以参与与接入和移动性管理功能单元(AMF)的注册过程。作为注册过程的一部分，UE可以向AMF发送对一个或多个单网络切片选择辅助信息(S‑NSSAI)或网络切片选择辅助信息(NSSAI)的指示。随后，UE可以从AMF接收控制消息，其中，控制消息包括基于指示的一个或多个经加密的S‑NSSAI值或经加密的NSSAI值。UE然后可以将经加密的S‑NSSAI或经加密的NSSAI作为消息的一部分发送到基站。

说明书

交叉引用

本专利申请要求享受以下申请的优先权：由LEE等人于2019年10月3日提交的、名称为“ENCRYPTING NETWORK SLICE SELECTION ASSISTANCE INFORMATION”的美国专利申请No.16/669,372；以及由LEE等人于2018年11月1日提交的、名称为“PROTECTING NETWORKSLICE SELECTION ASSISTANCE INFORMATION”的美国临时专利申请No.62/754,449，上述申请中的每一份申请被转让给本申请的受让人。

技术领域

概括而言，下文涉及无线通信，并且更具体地，下文涉及对网络切片选择辅助信息(NSSAI)进行加密。

背景技术

无线通信系统被广泛地部署以提供诸如语音、视频、分组数据、消息传送、广播等各种类型的通信内容。这些系统能够通过共享可用的系统资源(例如，时间、频率和功率)来支持与多个用户的通信。这样的多址系统的示例包括第四代(4G)系统(例如，长期演进(LTE)系统、改进的LTE(LTE-A)系统或LTE-A专业系统)和第五代(5G)系统(其可以被称为新无线电(NR)系统)。这些系统可以采用诸如以下各项的技术：码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)或者离散傅里叶变换扩展正交频分复用(DFT-S-OFDM)。无线多址通信系统可以包括多个基站或网络接入节点，每个基站或网络接入节点同时支持针对多个通信设备(其可以另外被称为用户设备(UE))的通信。

在一些无线通信系统中，可以保护通信。受保护的通信可以包括包含私有或机密信息的通信。然而，一些类型的通信可能缺乏保护或安全性。特别地，在UE和基站之间商定安全算法之前传送的消息可能缺乏足够的保护。作为另一示例，用于建立通信的消息也可能缺乏足够的安全性。未受保护的接入层(AS)和非接入层消息，尤其是用于将UE附接到网络的消息，可以是此类未受保护的通信的示例。例如，未受保护的通信可能会受到攻击者的利用。

发明内容

用户设备(UE)可以执行与基站以及接入和移动性管理功能单元(AMF)中的一者或两者的连接过程(例如，注册过程、无线电资源控制(RRC)连接建立过程)。例如，作为连接过程的一部分，UE可以发送对单网络切片选择辅助信息(S-NSSAI)或网络切片选择辅助信息(NSSAI)(其可以是S-NSSAI的列表)的指示。可以通过基站将S-NSSAI和NSSAI中的一者或两者从UE中继到AMF。每个S-NSSAI可以与涉及会话(例如，订制服务)的网络切片相关联。在一些示例中，在与连接过程相关的其它信息当中，该信息(S-NSSAI)在本文中可以被称为私有信息。在一些示例中，可以在非接入层消息中提供诸如S-NSSAI或NSSAI之类的私有信息，这可以保护该信息。然而，在一些示例中，可以在接入层(AS)安全过程之前交换诸如S-NSSAI或NSSAI之类的私有信息。也就是说，私有信息可能是未受保护的。因此，UE可能易受安全威胁的影响(例如，识别UE正在接入的服务和/或基于服务标识来识别UE)。为了减少安全威胁，由于在AS安全建立过程之前可以作为连接过程的一部分交换私有信息，因此可以使用例如共享密钥和加密方案来对私有信息进行加密。

描述了一种UE处的无线通信的方法。所述方法可以包括：参与与AMF的注册过程；作为所述注册过程的一部分，向所述AMF发送对一个或多个单网络切片选择辅助信息或网络切片选择辅助信息的指示；从所述AMF接收控制消息，其中，所述控制消息包括基于所述指示的一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值；以及将所述经加密的一个或多个单网络切片选择辅助信息值或所述经加密的网络切片辅助信息值作为消息的一部分发送到基站。

描述了一种用于无线通信的装置。所述装置可以包括处理器、与所述处理器进行电子通信的存储器、以及被存储在所述存储器中的指令。所述指令可以可由所述处理器执行以使得所述装置进行以下操作：参与与AMF的注册过程；作为所述注册过程的一部分，向所述AMF发送对一个或多个单网络切片选择辅助信息或网络切片选择辅助信息的指示；从所述AMF接收控制消息，其中，所述控制消息包括基于所述指示的一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值；以及将所述经加密的一个或多个单网络切片选择辅助信息值或所述经加密的网络切片辅助信息值作为消息的一部分发送到基站。

描述了另一种用于无线通信的装置。所述装置可以包括用于进行以下操作的单元：参与与AMF的注册过程；作为所述注册过程的一部分，向所述AMF发送对一个或多个单网络切片选择辅助信息或网络切片选择辅助信息的指示；从所述AMF接收控制消息，其中，所述控制消息包括基于所述指示的一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值；以及将所述经加密的一个或多个单网络切片选择辅助信息值或所述经加密的网络切片辅助信息值作为消息的一部分发送到基站。

描述了一种存储用于UE处的无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令：参与与AMF的注册过程；作为所述注册过程的一部分，向所述AMF发送对一个或多个单网络切片选择辅助信息或网络切片选择辅助信息的指示；从所述AMF接收控制消息，其中，所述控制消息包括基于所述指示的一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值；以及将所述经加密的一个或多个单网络切片选择辅助信息值或所述经加密的网络切片辅助信息值作为消息的一部分发送到基站。

描述了一种AMF处的无线通信的方法。所述方法可以包括：使用安全密钥来对一个或多个单网络切片选择辅助信息值或网络切片选择辅助信息值进行加密，其中，所述一个或多个单网络切片选择辅助信息值或所述网络切片选择辅助信息值包括对UE可接入的一个或多个网络切片的指示；向所述UE发送控制消息，所述控制消息包括一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值；以及向基站发送所述安全密钥，使得所述基站能够在从所述UE接收到一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值时对其进行解密。

描述了一种用于无线通信的装置。所述装置可以包括处理器、与所述处理器进行电子通信的存储器、以及被存储在所述存储器中的指令。所述指令可以可由所述处理器执行以使得所述装置进行以下操作：使用安全密钥来对一个或多个单网络切片选择辅助信息值或网络切片选择辅助信息值进行加密，其中，所述一个或多个单网络切片选择辅助信息值或所述网络切片选择辅助信息值包括对UE可接入的一个或多个网络切片的指示；向所述UE发送控制消息，所述控制消息包括一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值；以及向基站发送所述安全密钥，使得所述基站能够在从所述UE接收到一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值时对其进行解密。

描述了另一种用于无线通信的装置。所述装置可以包括用于进行以下操作的单元：使用安全密钥来对一个或多个单网络切片选择辅助信息值或网络切片选择辅助信息值进行加密，其中，所述一个或多个单网络切片选择辅助信息值或所述网络切片选择辅助信息值包括对UE可接入的一个或多个网络切片的指示；向所述UE发送控制消息，所述控制消息包括一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值；以及向基站发送所述安全密钥，使得所述基站能够在从所述UE接收到一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值时对其进行解密。

描述了一种存储用于AMF处的无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令：使用安全密钥来对一个或多个单网络切片选择辅助信息值或网络切片选择辅助信息值进行加密，其中，所述一个或多个单网络切片选择辅助信息值或所述网络切片选择辅助信息值包括对UE可接入的一个或多个网络切片的指示；向所述UE发送控制消息，所述控制消息包括一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值；以及向基站发送所述安全密钥，使得所述基站能够在从所述UE接收到一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值时对其进行解密。

描述了一种AMF处的无线通信的方法。所述方法可以包括：生成与UE标识符相关联的随机数；使用第一安全密钥和随机数来生成第二安全密钥，其中，所述第一安全密钥是主密钥，并且所述第二安全密钥与所述UE标识符的UE相关联；以及向所述UE发送所述第二安全密钥，使得所述UE能够对单网络切片选择辅助信息或网络切片选择辅助信息进行加密。

描述了一种用于无线通信的装置。所述装置可以包括处理器、与所述处理器进行电子通信的存储器、以及被存储在所述存储器中的指令。所述指令可以可由所述处理器执行以使得所述装置进行以下操作：生成与UE标识符相关联的随机数；使用第一安全密钥和随机数来生成第二安全密钥，其中，所述第一安全密钥是主密钥，并且所述第二安全密钥与所述UE标识符的UE相关联；以及向所述UE发送所述第二安全密钥，使得所述UE能够对单网络切片选择辅助信息或网络切片选择辅助信息进行加密。

描述了另一种用于无线通信的装置。所述装置可以包括用于进行以下操作的单元：生成与UE标识符相关联的随机数；使用第一安全密钥和随机数来生成第二安全密钥，其中，所述第一安全密钥是主密钥，并且所述第二安全密钥与所述UE标识符的UE相关联；以及向所述UE发送所述第二安全密钥，使得所述UE能够对单网络切片选择辅助信息或网络切片选择辅助信息进行加密。

描述了一种存储用于AMF处的无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令：生成与UE标识符相关联的随机数；使用第一安全密钥和随机数来生成第二安全密钥，其中，所述第一安全密钥是主密钥，并且所述第二安全密钥与所述UE标识符的UE相关联；以及向所述UE发送所述第二安全密钥，使得所述UE能够对单网络切片选择辅助信息或网络切片选择辅助信息进行加密。

描述了一种基站处的无线通信的方法。所述方法可以包括：从AMF接收安全密钥；从UE接收控制消息，其中，所述控制消息包括一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值，所述一个或多个经加密的单网络切片选择辅助信息值或所述经加密的网络切片选择辅助信息值具有对所述UE在与所述基站的无线通信中可接入的一个或多个网络切片的指示；以及使用所述安全密钥来对所述控制消息中的所述一个或多个经加密的单网络切片选择辅助信息值或所述经加密的网络切片选择辅助信息值进行解密。

描述了一种用于无线通信的装置。所述装置可以包括处理器、与所述处理器进行电子通信的存储器、以及被存储在所述存储器中的指令。所述指令可以可由所述处理器执行以使得所述装置进行以下操作：从AMF接收安全密钥；从UE接收控制消息，其中，所述控制消息包括一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值，所述一个或多个经加密的单网络切片选择辅助信息值或所述经加密的网络切片选择辅助信息值具有对所述UE在与所述装置的无线通信中可接入的一个或多个网络切片的指示；以及使用所述安全密钥来对所述控制消息中的所述一个或多个经加密的单网络切片选择辅助信息值或所述经加密的网络切片选择辅助信息值进行解密。

描述了另一种用于无线通信的装置。所述装置可以包括用于进行以下操作的单元：从AMF接收安全密钥；从UE接收控制消息，其中，所述控制消息包括一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值，所述一个或多个经加密的单网络切片选择辅助信息值或所述经加密的网络切片选择辅助信息值具有对所述UE在与所述装置的无线通信中可接入的一个或多个网络切片的指示；以及使用所述安全密钥来对所述控制消息中的所述一个或多个经加密的单网络切片选择辅助信息值或所述经加密的网络切片选择辅助信息值进行解密。

描述了一种存储用于基站处的无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令：从AMF接收安全密钥；从UE接收控制消息，其中，所述控制消息包括一个或多个经加密的单网络切片选择辅助信息值或经加密的网络切片选择辅助信息值，所述一个或多个经加密的单网络切片选择辅助信息值或所述经加密的网络切片选择辅助信息值具有对所述UE在与所述基站的无线通信中可接入的一个或多个网络切片的指示；以及使用所述安全密钥来对所述控制消息中的所述一个或多个经加密的单网络切片选择辅助信息值或所述经加密的网络切片选择辅助信息值进行解密。

附图说明

图1和2示出了根据本公开内容的各方面的支持对网络切片选择辅助信息(NSSAI)进行加密的无线通信系统的示例。

图3示出了根据本公开内容的各方面的支持对NSSAI进行加密的过程流的示例。

图4和5示出了根据本公开内容的各方面的支持对NSSAI进行加密的设备的框图。

图6示出了根据本公开内容的各方面的支持对NSSAI进行加密的通信管理器的框图。

图7示出了根据本公开内容的各方面的包括支持对NSSAI进行加密的设备的系统的图。

图8和9示出了根据本公开内容的各方面的支持对NSSAI进行加密的设备的框图。

图10示出了根据本公开内容的各方面的支持对NSSAI进行加密的通信管理器的框图。

图11示出了根据本公开内容的各方面的包括支持对NSSAI进行加密的设备的系统的图。

图12和13示出了根据本公开内容的各方面的支持对NSSAI进行加密的设备的框图。

图14示出了根据本公开内容的各方面的支持对NSSAI进行加密的通信管理器的框图。

图15示出了根据本公开内容的各方面的包括支持对NSSAI进行加密的设备的系统的图。

图16至22示出了说明根据本公开内容的各方面的支持对NSSAI进行加密的方法的流程图。

具体实施方式

基站和用户设备(UE)可以执行连接过程，例如，诸如无线电资源控制(RRC)连接过程。作为RRC连接过程的一部分，基站和UE两者可以交换多个消息。然而，在一些示例中，消息可能容易被另一通信设备(例如，另一UE或基站)截获，并且对基站和UE构成安全挑战。尽管一些技术在建立接入层(AS)安全过程之后保护对消息的交换，但是消息中可能存在包含在连接过程中未受保护且重要的信息的元素。然而，从消息中消除该信息可能导致连接建立时延。因此，本文描述的技术可以在保护作为连接过程的一部分交换的消息中的信息方面提供改进。例如，为了消除或减少与连接过程相关的安全威胁，接入和移动性管理功能单元(AMF)可以向UE和基站中的一者或两者提供信息，该信息可以用于对私有信息进行加密和解密。

AMF可以使用安全密钥来对一个或多个单网络切片选择辅助信息(S-NSSAI)值或网络切片选择辅助信息(NSSAI)值进行加密。例如，AMF可以使用安全密钥来对一个或多个S-NSSAI值或NSSAI值进行加密。在与UE的无线通信中，可以在AMF与UE和基站中的一者或两者之间共享安全密钥。安全密钥可以是部分地基于密钥推导参数(例如，随机数、标识符、全局唯一临时标识符)和AMF和基站已知的主密钥的。主密钥可以与对一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密相关联。即，AMF和基站可以使用相同的加密和解密方案(例如，算法)。另外，当向UE提供共享安全密钥时，UE还可以使用加密和解密方案。

S-NSSAI值或NSSAI值可以是对UE可接入的一个或多个网络切片的指示。AMF可以向UE发送包括一个或多个经加密的S-NSSAI值或NSSAI值的控制消息，当UE尝试在空闲模式下连接到基站时，UE可以将一个或多个经加密的S-NSSAI值或NSSAI值发送(例如，转发)到基站。基站可以使用共享安全密钥来对一个或多个经加密的S-NSSAI值或NSSAI值进行解密。作为替代解决方案，并且为了降低与连接过程相关的安全风险，基站可以使用由基站部分地基于共享安全密钥和随机数或临时标识符或两者而生成的不同的安全密钥来对一个或多个经加密的S-NSSAI值或NSSAI值进行解密。

可以实现本文描述的主题的特定方面以实现一个或多个优点。所描述的技术可以支持在确保和保护通信、减少信令开销和提高可靠性以及其它优点方面的改进。因此，所支持的技术可以包括改进的网络操作，并且在一些示例中，可以提高网络效率以及其它好处。

首先在无线通信系统的上下文中描述了本公开内容的各方面。然后在过程流的上下文中描述了本公开内容的各方面。进一步通过涉及对NSSAI进行加密的装置图、系统图和流程图来示出并且参照这些图来描述本公开内容的各方面。

图1示出了根据本公开内容的各方面的支持对NSSAI进行加密的无线通信系统100的示例。无线通信系统100包括基站105、UE 115以及核心网络130。在一些示例中，无线通信系统100可以是长期演进(LTE)网络、改进的LTE(LTE-A)网络、LTE-A专业网络或新无线电(NR)网络。在一些情况下，无线通信系统100可以支持增强型宽带通信、超可靠(例如，任务关键)通信、低时延通信或者与低成本且低复杂度设备的通信。

基站105可以经由一个或多个基站天线与UE 115无线地进行通信。本文描述的基站105可以包括或可以被本领域技术人员称为基站收发机、无线电基站、接入点、无线电收发机、节点B、演进型节点B(eNB)、下一代节点B或千兆节点B(任一项可以被称为gNB)、家庭节点B、家庭演进型节点B、或某种其它适当的术语。无线通信系统100可以包括不同类型的基站105(例如，宏小区基站或小型小区基站)。本文描述的UE 115能够与各种类型的基站105和网络设备(包括宏eNB、小型小区eNB、gNB、中继基站等)进行通信。

每个基站105可以与在其中支持与各个UE 115的通信的特定地理覆盖区域110相关联。每个基站105可以经由通信链路125为相应的地理覆盖区域110提供通信覆盖，并且在基站105和UE 115之间的通信链路125可以利用一个或多个载波。在无线通信系统100中示出的通信链路125可以包括：从UE 115到基站105的上行链路传输、或者从基站105到UE 115的下行链路传输。下行链路传输还可以被称为前向链路传输，而上行链路传输还可以被称为反向链路传输。

可以将针对基站105的地理覆盖区域110划分为扇区，所述扇区构成地理覆盖区域110的一部分，并且每个扇区可以与小区相关联。例如，每个基站105可以提供针对宏小区、小型小区、热点、或其它类型的小区、或其各种组合的通信覆盖。在一些示例中，基站105可以是可移动的，并且因此，提供针对移动的地理覆盖区域110的通信覆盖。在一些示例中，与不同的技术相关联的不同的地理覆盖区域110可以重叠，并且与不同的技术相关联的重叠的地理覆盖区域110可以由相同的基站105或不同的基站105来支持。无线通信系统100可以包括例如异构LTE/LTE-A/LTE-A专业或NR网络，其中不同类型的基站105提供针对各个地理覆盖区域110的覆盖。

术语“小区”指代用于与基站105的通信(例如，在载波上)的逻辑通信实体，并且可以与用于对经由相同或不同载波来操作的相邻小区进行区分的标识符(例如，物理小区标识符(PCID)、虚拟小区标识符(VCID))相关联。在一些示例中，载波可以支持多个小区，并且不同的小区可以是根据不同的协议类型(例如，机器类型通信(MTC)、窄带物联网(NB-IoT)、增强型移动宽带(eMBB)或其它协议类型)来配置的，所述不同的协议类型可以为不同类型的设备提供接入。在一些情况下，术语“小区”可以指代逻辑实体在其上进行操作的地理覆盖区域110的一部分(例如，扇区)。

UE 115可以散布于整个无线通信系统100中，并且每个UE 115可以是静止的或移动的。UE 115还可以被称为移动设备、无线设备、远程设备、手持设备、或订户设备、或某种其它适当的术语，其中，“设备”还可以被称为单元、站、终端或客户端。UE 115也可以是个人电子设备，例如，蜂窝电话、个人数字助理(PDA)、平板计算机、膝上型计算机或个人计算机。在一些示例中，UE 115还可以指代无线本地环路(WLL)站、物联网(IoT)设备、万物联网(IoE)设备或MTC设备等，其可以是在诸如电器、运载工具、仪表等的各种物品中实现的。

一些UE 115(例如，MTC或IoT设备)可以是低成本或低复杂度设备，并且可以提供机器之间的自动化通信(例如，经由机器到机器(M2M)通信)。M2M通信或MTC可以指代允许设备在没有人为干预的情况下与彼此或基站105进行通信的数据通信技术。在一些示例中，M2M通信或MTC可以包括来自集成有传感器或计量仪以测量或捕获信息并且将该信息中继给中央服务器或应用程序的设备的通信，所述中央服务器或应用程序可以利用该信息或者将该信息呈现给与该程序或应用进行交互的人类。一些UE115可以被设计为收集信息或者实现机器的自动化行为。针对MTC设备的应用的示例包括智能计量、库存监控、水位监测、设备监测、医疗保健监测、野生生物监测、气候和地质事件监测、车队管理和跟踪、远程安全感测、物理访问控制、以及基于事务的业务计费。

一些UE 115可以被配置为采用减小功耗的操作模式，例如，半双工通信(例如，一种支持经由发送或接收的单向通信而不是同时进行发送和接收的模式)。在一些示例中，半双工通信可以是以减小的峰值速率来执行的。针对UE 115的其它功率节约技术包括：当不参与活动的通信或者在有限的带宽上操作(例如，根据窄带通信)时，进入功率节省的“深度睡眠”模式。在一些情况下，UE 115可以被设计为支持关键功能(例如，任务关键功能)，并且无线通信系统100可以被配置为提供用于这些功能的超可靠通信。

在一些情况下，UE 115还能够与其它UE 115直接进行通信(例如，使用对等(P2P)或设备到设备(D2D)协议)。利用D2D通信的一组UE 115中的一个或多个UE 115可以在基站105的地理覆盖区域110内。这样的组中的其它UE 115可以在基站105的地理覆盖区域110之外，或者以其它方式无法从基站105接收传输。在一些情况下，经由D2D通信来进行通信的多组UE 115可以利用一到多(1:M)系统，其中，每个UE 115向组中的每个其它UE 115进行发送。在一些情况下，基站105促进对用于D2D通信的资源的调度。在其它情况下，D2D通信是在UE 115之间执行的，而不涉及基站105。

基站105可以与核心网络130进行通信以及彼此进行通信。例如，基站105可以通过回程链路132(例如，经由S1、N2、N3或其它接口)与核心网络130对接。基站105可以在回程链路134上(例如，经由X2、Xn或其它接口)上直接地(例如，直接在基站105之间)或间接地(例如，经由核心网络130)彼此进行通信。

核心网络130可以提供用户认证、接入授权、跟踪、互联网协议(IP)连接、以及其它接入、路由或移动性功能。核心网络130可以是演进分组核心(EPC)，其可以包括至少一个移动性管理实体(MME)、至少一个服务网关(S-GW)和至少一个分组数据网络(PDN)网关(P-GW)。MME可以管理非接入层(例如，控制平面)功能，例如，针对由与EPC相关联的基站105服务的UE 115的移动性、认证和承载管理。用户IP分组可以通过S-GW来传输，所述S-GW本身可以连接到P-GW。P-GW可以提供IP地址分配以及其它功能。P-GW可以连接到网络运营商IP服务。运营商IP服务可以包括对互联网、内联网、IP多媒体子系统(IMS)或分组交换(PS)流服务的接入。

网络设备中的至少一些网络设备(例如，基站105)可以包括诸如接入网络实体之类的子组件，其可以是接入节点控制器(ANC)的示例。每个接入网络实体可以通过多个其它接入网络传输实体(其可以被称为无线电头端、智能无线电头端或发送/接收点(TRP))来与UE 115进行通信。在一些配置中，每个接入网络实体或基站105的各种功能可以是跨越各个网络设备(例如，无线电头端和接入网络控制器)分布的或者合并到单个网络设备(例如，基站105)中。

无线通信系统100可以使用一个或多个频带(例如，在300兆赫(MHz)到300千兆赫(GHz)的范围中)来操作。通常，从300MHz到3GHz的区域被称为特高频(UHF)区域或分米频带，因为波长范围在长度上从近似一分米到一米。UHF波可能被建筑物和环境特征阻挡或重定向。然而，波可以足以穿透结构，以用于宏小区向位于室内的UE 115提供服务。与使用频谱的低于300MHz的高频(HF)或甚高频(VHF)部分的较小频率和较长的波的传输相比，UHF波的传输可以与较小的天线和较短的距离(例如，小于100km)相关联。

无线通信系统100还可以在使用从3GHz到30GHz的频带(还被称为厘米频带)的超高频(SHF)区域中操作。SHF区域包括诸如5GHz工业、科学和医疗(ISM)频带之类的频带，其可以由能够容忍来自其它用户的干扰的设备机会性地使用。

无线通信系统100还可以在频谱的极高频(EHF)区域(例如，从30GHz到300GHz)(还被称为毫米频带)中操作。在一些示例中，无线通信系统100可以支持UE 115与基站105之间的毫米波(mmW)通信，并且与UHF天线相比，相应设备的EHF天线可以甚至更小并且间隔得更紧密。在一些情况下，这可以促进在UE 115内使用天线阵列。然而，与SHF或UHF传输相比，EHF传输的传播可能遭受到甚至更大的大气衰减和更短的距离。可以跨越使用一个或多个不同的频率区域的传输来采用本文公开的技术，并且对跨越这些频率区域的频带的指定使用可以根据国家或管理机构而不同。

在一些情况下，无线通信系统100可以利用经许可和免许可射频频谱带两者。例如，无线通信系统100可以采用免许可频带(例如，5GHz ISM频带)中的许可辅助接入(LAA)、LTE免许可(LTE-U)无线电接入技术或NR技术。当在免许可射频频谱带中操作时，无线设备(例如，基站105和UE 115)可以在发送数据之前采用先听后说(LBT)过程来确保频率信道是空闲的。在一些情况下，免许可频带中的操作可以基于结合在经许可频带(例如，LAA)中操作的分量载波的载波聚合配置。免许可频谱中的操作可以包括下行链路传输、上行链路传输、对等传输或这些项的组合。免许可频谱中的双工可以基于频分双工(FDD)、时分双工(TDD)或这两者的组合。

在一些示例中，基站105或UE 115可以被配备有多个天线，其可以用于采用诸如发射分集、接收分集、多输入多输出(MIMO)通信或波束成形之类的技术。例如，无线通信系统100可以在发送设备(例如，基站105)和接收设备(例如，UE 115)之间使用传输方案，其中，发送设备被配备有多个天线，以及接收设备被配备有一个或多个天线。MIMO通信可以采用多径信号传播，以通过经由不同的空间层来发送或接收多个信号(这可以被称为空间复用)来提高频谱效率。例如，发送设备可以经由不同的天线或者天线的不同组合来发送多个信号。同样，接收设备可以经由不同的天线或者天线的不同组合来接收多个信号。多个信号中的每个信号可以被称为分离的空间流，并且可以携带与相同的数据流(例如，相同的码字)或不同的数据流相关联的比特。不同的空间层可以与用于信道测量和报告的不同的天线端口相关联。MIMO技术包括单用户MIMO(SU-MIMO)(其中，多个空间层被发送给相同的接收设备)和多用户MIMO(MU-MIMO)(其中，多个空间层被发送给多个设备)。

波束成形(其还可以被称为空间滤波、定向发送或定向接收)是一种如下的信号处理技术：可以在发送设备或接收设备(例如，基站105或UE115)处使用该技术，以沿着在发送设备和接收设备之间的空间路径来形成或引导天线波束(例如，发送波束或接收波束)。可以通过以下操作来实现波束成形：对经由天线阵列的天线元件传送的信号进行组合，使得在相对于天线阵列的特定朝向上传播的信号经历相长干涉，而其它信号经历相消干涉。对经由天线元件传送的信号的调整可以包括：发送设备或接收设备向经由与该设备相关联的天线元件中的每个天线元件携带的信号应用幅度和相位偏移。可以由与特定朝向(例如，相对于发送设备或接收设备的天线阵列，或者相对于某个其它朝向)相关联的波束成形权重集合来定义与天线元件中的每个天线元件相关联的调整。

在一个示例中，基站105可以使用多个天线或天线阵列，来进行用于与UE 115的定向通信的波束成形操作。例如，基站105可以在不同的方向上将一些信号(例如，同步信号、参考信号、波束选择信号或其它控制信号)发送多次，所述一些信号可以包括根据与不同的传输方向相关联的不同的波束成形权重集合发送的信号。不同的波束方向上的传输可以用于(例如，由基站105或接收设备(例如，UE 115))识别用于基站105进行的后续发送和/或接收的波束方向。

基站105可以在单个波束方向(例如，与接收设备(例如，UE 115)相关联的方向)上发送一些信号(例如，与特定的接收设备相关联的数据信号)。在一些示例中，与沿着单个波束方向的传输相关联的波束方向可以是至少部分地基于在不同的波束方向上发送的信号来确定的。例如，UE 115可以接收基站105在不同方向上发送的信号中的一个或多个信号，并且UE115可以向基站105报告对其接收到的具有最高信号质量或者以其它方式可接受的信号质量的信号的指示。虽然这些技术是参照基站105在一个或多个方向上发送的信号来描述的，但是UE 115可以采用类似的技术来在不同方向上多次发送信号(例如，用于识别用于UE 115进行的后续发送或接收的波束方向)或者在单个方向上发送信号(例如，用于向接收设备发送数据)。

当从基站105接收各种信号(例如，同步信号、参考信号、波束选择信号或其它控制信号)时，接收设备(例如，UE 115，其可以是mmW接收设备的示例)可以尝试多个接收波束。例如，接收设备可以通过经由不同的天线子阵列来进行接收，通过根据不同的天线子阵列来处理接收到的信号，通过根据向在天线阵列的多个天线元件处接收的信号应用的不同的接收波束成形权重集合来进行接收，或者通过根据向在天线阵列的多个天线元件处接收的信号应用的不同的接收波束成形权重集合来处理接收到的信号(以上各个操作中的任何操作可以被称为根据不同的接收波束或接收方向的“监听”)，来尝试多个接收方向。在一些示例中，接收设备可以使用单个接收波束来沿着单个波束方向进行接收(例如，当接收数据信号时)。单个接收波束可以在至少部分地基于根据不同的接收波束方向进行监听而确定的波束方向(例如，至少部分地基于根据多个波束方向进行监听而被确定为具有最高信号强度、最高信噪比、或者以其它方式可接受的信号质量的波束方向)上对准。

在一些情况下，基站105或UE 115的天线可以位于一个或多个天线阵列内，所述一个或多个天线阵列可以支持MIMO操作或者发送或接收波束成形。例如，一个或多个基站天线或天线阵列可以共置于天线组件处，例如天线塔。在一些情况下，与基站105相关联的天线或天线阵列可以位于不同的地理位置上。基站105可以具有天线阵列，所述天线阵列具有基站105可以用于支持对与UE 115的通信的波束成形的多行和多列的天线端口。同样，UE115可以具有可以支持各种MIMO或波束成形操作的一个或多个天线阵列。

在一些情况下，无线通信系统100可以是根据分层协议栈来操作的基于分组的网络。在用户平面中，在承载或分组数据汇聚协议(PDCP)层处的通信可以是基于IP的。无线电链路控制(RLC)层可以执行分组分段和重组以在逻辑信道上进行通信。介质访问控制(MAC)层可以执行优先级处理和逻辑信道到传输信道的复用。MAC层还可以使用混合自动重传请求(HARQ)来提供在MAC层处的重传，以改善链路效率。在控制平面中，无线电资源控制(RRC)协议层可以提供在UE 115与基站105或核心网络130之间的RRC连接(其支持针对用户平面数据的无线电承载)的建立、配置和维护。在物理层处，传输信道可以被映射到物理信道。

在一些情况下，UE 115和基站105可以支持对数据的重传，以增加数据被成功接收的可能性。HARQ反馈是一种增加数据在通信链路125上被正确接收的可能性的技术。HARQ可以包括错误检测(例如，使用循环冗余校验(CRC))、前向纠错(FEC)和重传(例如，自动重传请求(ARQ))的组合。HARQ可以在差的无线电状况(例如，信号与噪声状况)下改进MAC层处的吞吐量。在一些情况下，无线设备可以支持相同时隙HARQ反馈，其中，该设备可以在特定时隙中提供针对在该时隙中的先前符号中接收的数据的HARQ反馈。在其它情况下，该设备可以在后续时隙中或者根据某个其它时间间隔来提供HARQ反馈。

可以以基本时间单元(其可以例如指代T

在一些无线通信系统中，可以将时隙进一步划分成包含一个或多个符号的多个微时隙。在一些实例中，微时隙的符号或者微时隙可以是最小调度单元。每个符号在持续时间上可以根据例如子载波间隔或操作的频带而改变。此外，一些无线通信系统可以实现时隙聚合，其中，多个时隙或微时隙被聚合在一起并且用于在UE 115和基站105之间的通信。

术语“载波”指代具有用于支持在通信链路125上的通信的定义的物理层结构的射频频谱资源集合。例如，通信链路125的载波可以包括射频频谱带中的根据用于给定无线电接入技术的物理层信道来操作的部分。每个物理层信道可以携带用户数据、控制信息或其它信令。载波可以与预定义的频率信道(例如，演进型通用移动电信系统陆地无线电接入(E-UTRA)绝对射频信道号(EARFCN))相关联，并且可以根据信道栅格来放置以便被UE 115发现。载波可以是下行链路或上行链路(例如，在FDD模式中)，或者可以被配置为携带下行链路和上行链路通信(例如，在TDD模式中)。在一些示例中，在载波上发送的信号波形可以由多个子载波构成(例如，使用诸如正交频分复用(OFDM)或离散傅里叶变换扩展OFDM(DFT-S-OFDM)之类的多载波调制(MCM)技术)。

针对不同的无线电接入技术(例如，LTE、LTE-A、LTE-A专业、NR)，载波的组织结构可以是不同的。例如，可以根据TTI或时隙来组织载波上的通信，所述TTI或时隙中的每一者可以包括用户数据以及用于支持对用户数据进行解码的控制信息或信令。载波还可以包括专用捕获信令(例如，同步信号或系统信息等)和协调针对载波的操作的控制信令。在一些示例中(例如，在载波聚合配置中)，载波还可以具有捕获信令或协调针对其它载波的操作的控制信令。

可以根据各种技术在载波上对物理信道进行复用。例如，可以使用时分复用(TDM)技术、频分复用(FDM)技术或混合TDM-FDM技术来在下行链路载波上对物理控制信道和物理数据信道进行复用。在一些示例中，在物理控制信道中发送的控制信息可以以级联的方式分布在不同的控制区域之间(例如，在公共控制区域或公共搜索空间与一个或多个特定于UE的控制区域或特定于UE的搜索空间之间)。

载波可以与射频频谱的特定带宽相关联，并且在一些示例中，载波带宽可以被称为载波或无线通信系统100的“系统带宽”。例如，载波带宽可以是针对特定无线电接入技术的载波的多个预定带宽中的一个带宽(例如，1.4、3、5、10、15、20、40或80MHz)。在一些示例中，每个被服务的UE 115可以被配置用于在载波带宽的部分或全部带宽上进行操作。在其它示例中，一些UE 115可以被配置用于使用与载波内的预定义的部分或范围(例如，子载波或RB的集合)相关联的窄带协议类型进行的操作(例如，窄带协议类型的“带内”部署)。

在采用MCM技术的系统中，资源元素可以包括一个符号周期(例如，一个调制符号的持续时间)和一个子载波，其中，符号周期和子载波间隔是逆相关的。每个资源元素携带的比特的数量可以取决于调制方案(例如，调制方案的阶数)。因此，UE 115接收的资源元素越多并且调制方案的阶数越高，针对UE 115的数据速率就可以越高。在MIMO系统中，无线通信资源可以指代射频频谱资源、时间资源和空间资源(例如，空间层)的组合，并且对多个空间层的使用可以进一步增加用于与UE 115的通信的数据速率。

无线通信系统100的设备(例如，基站105或UE 115)可以具有支持特定载波带宽上的通信的硬件配置，或者可以可配置为支持载波带宽集合中的一个载波带宽上的通信。在一些示例中，无线通信系统100可以包括基站105和/或UE 115，其能够支持经由与一个以上的不同载波带宽相关联的载波进行的同时通信。

无线通信系统100可以支持在多个小区或载波上与UE 115的通信(一种可以被称为载波聚合或多载波操作的特征)。根据载波聚合配置，UE 115可以被配置有多个下行链路分量载波和一个或多个上行链路分量载波。可以将载波聚合与FDD分量载波和TDD分量载波两者一起使用。

在一些情况下，无线通信系统100可以利用增强型分量载波(eCC)。eCC可以由包括以下各项的一个或多个特征来表征：较宽的载波或频率信道带宽、较短的符号持续时间、较短的TTI持续时间或经修改的控制信道配置。在一些情况下，eCC可以与载波聚合配置或双连接配置相关联(例如，当多个服务小区具有次优的或非理想的回程链路时)。eCC还可以被配置用于在免许可频谱或共享频谱中使用(例如，其中允许一个以上的运营商使用频谱)。由宽载波带宽表征的eCC可以包括可以被无法监测整个载波带宽或以其它方式被配置为使用有限载波带宽(例如，以节省功率)的UE115使用的一个或多个片段。

在一些情况下，eCC可以利用与其它分量载波不同的符号持续时间，这可以包括使用与其它分量载波的符号持续时间相比减小的符号持续时间。较短的符号持续时间可以与在相邻子载波之间的增加的间隔相关联。利用eCC的设备(例如，UE 115或基站105)可以以减小的符号持续时间(例如，16.67微秒)来发送宽带信号(例如，根据20、40、60、80MHz等的频率信道或载波带宽)。eCC中的TTI可以包括一个或多个符号周期。在一些情况下，TTI持续时间(即，TTI中的符号周期的数量)可以是可变的。

除此之外，无线通信系统100可以是NR系统，其可以利用经许可、共享和免许可频谱带的任意组合。eCC符号持续时间和子载波间隔的灵活性可以允许跨越多个频谱来使用eCC。在一些示例中，NR共享频谱可以提高频谱利用率和频谱效率，尤其是通过对资源的动态垂直(例如，跨越频域)和水平(例如，跨越时域)共享。

基站105(例如，gNodeB(gNB))可以执行与UE 115的连接过程。例如，连接过程可以是无线电资源控制(RRC)连接建立过程。作为RRC连接建立过程的一部分，基站105和UE 115两者可以传送消息，该消息可以包含私有信息。例如，私有信息可以包含一个或多个S-NSSAI值或S-NSSAI值的列表，以及适用于RRC连接建立过程的其它信息。在一些示例中，可以作为接入层(AS)安全过程的一部分来交换私有信息。例如，AS安全过程的初始非接入层消息可以提供对私有信息的保护。

然而，在一些示例中，可以在接入层(AS)安全过程之前交换私有信息。在这种情况下，信息可能是未受保护的。因此，基站105和UE 115中的一者或两者可能容易受到安全风险的影响(例如，识别UE 115正在接入的服务和/或另一基站105或UE 115基于服务标识来识别UE 115)。在一些示例中，私有信息可以包括可以在UE 115将其发送到驻留在核心网络130中的AMF时被加密的一个或多个S-NSSAI值或S-NSSAI值的列表。如果UE 115具有安全上下文，则一个或多个S-NSSAI值或S-NSSAI值的列表可以被加密(即，被包括在控制消息的信息元素(IE)的密文中)。否则，如果UE 115不具有安全上下文，则在UE 115的认证时，一个或多个S-NSSAI值或S-NSSAI值的列表可以被包括在非接入层消息中。

例如，基站105可以在用于AMF选择的RRC消息中(例如，在RRC建立完成消息(RRCmessage5)中)接收一个或多个S-NSSAI值或S-NSSAI值的列表。如果从RRC消息中移除私有信息(例如，一个或多个S-NSSAI值或S-NSSAI值的列表)，则在AMF重定位的情况下，基站105可能无法至少部分地基于S-NSSAI值来选择可以处理网络切片的AMF。这还可能导致UE 115的连接建立时延。为了降低与连接过程相关的安全风险并且消除可避免的连接建立时延，可以将私有信息作为RRC消息的一部分进行加密，并且基站105和UE 115中的一者或两者能够对私有信息进行加密和解密，如本文描述的。

图2示出了根据本公开内容的各方面的支持对NSSAI进行加密的无线通信系统200的示例。无线通信系统200可以包括基站105-a和UE 115-a，它们可以是参照图1描述的对应设备的示例。在一些示例中，无线通信系统200还可以包括AMF 205，其可以是参照图1描述的对应设备的示例。例如，AMF 205可以是核心网络130-a的一部分，核心网络130-a可以是参照图1描述的核心网络的示例。无线通信系统200可以包括未示出的其它功能或设备，或者可以不包括所示出的功能或设备中的一个或多个功能或设备。在一些示例中，AMF 205可以具有PKG功能。替代地，无线通信系统200可以包括PKG，该PKG可以是可以向AMF 205提供信息(例如，基于身份的密码信息)的单独的功能或设备。

无线通信系统200还可以实现无线通信系统100的各方面。例如，基站105-a、UE115-a或AMF 205或其组合可以支持安全过程以保护私有信息(例如，NSSAI)并且降低其它通信设备获取私有信息的概率。基站105-a可以在覆盖区域110-a内与UE 115-a进行通信，并且AMF 205可以经由通信链路132-a(例如，经由S1、N2、N3或其它接口)与基站105-a和UE115-a中的一者或两者进行通信。

AMF 205可以对一个或多个S-NSSAI值或NSSAI进行加密以供基站105-a和UE 115-a中的一者或两者解密。例如，AMF 205可以使用安全密钥来对一个或多个S-NSSAI值或NSSAI值进行加密。可以在AMF 205与基站105-a和UE 115-a中的一者或两者之间共享安全密钥。安全密钥可以是部分地基于密钥推导参数和AMF 205和基站105-a已知的主密钥的。密钥推导参数可以包括随机数、临时标识符(例如，全局唯一临时标识符)或其组合。主密钥可以与对一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密相关联。

S-NSSAI或NSSAI可以包括与可由AMF 205支持并且可由UE 115-a接入的一个或多个网络切片相关的信息。在对一个或多个S-NSSAI值或NSSAI进行加密之后，AMF 205可以向UE 115-a发送经加密的S-NSSAI值或经加密的NSSAI值，使得UE 115-a在RRC层处向基站105-a发送经加密的S-NSSAI值或经加密的NSSAI值。基站105-a可以对经加密的S-NSSAI值或经加密的NSSAI值进行解密以获得S-NSSAI值或NSSAI值。在一些示例中，所获得的S-NSSAI值或NSSAI值可能不是基站105-a可以为UE 115-a选择的相同的S-NSSAI值或NSSAI值。即，所获得的S-NSSAI值或NSSAI值可以用于路由(例如，通过UE 115-a从AMF 205到基站105-a)，并且不一定用于针对UE 115-a的网络切片选择。

在一些示例中，AMF 205可以部分地基于准备包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值的加密分组以及对与一个或多个S-NSSAI值或NSSAI值的加密相关联的安全密钥和加密函数(本文中也被称为加密和解密方案)的指示，来对一个或多个S-NSSAI值或NSSAI值进行加密。该指示可以包括加密分组中的比特集合。例如，用于加密分组的格式可以包括用于标识符的第一比特集合(例如，8比特标识符)、用于密钥推导参数的第二比特集合(例如，40比特随机数)以及可以表示经加密的S-NSSAI或经加密的NSSAI的第三比特集合(例如，32比特经加密的S-NSSAI)。在一些示例中，用于标识符的第一比特集合可以是对用于保护S-NSSAI的安全密钥和加密函数的指示。用于密钥推导参数的第二比特集合可以使得将该经加密的S-NSSAI与用于不同UE的经加密的S-NSSAI区分开。举例而言，AMF 205可以根据例如以下表达式来对S-NSSAI进行加密，：e(K r)⊕S-NSSAI，其中e()是加密函数/算法，K可以是安全密钥，r可以是密钥推导参数并且⊕是异或操作，并且S-NSSAI是未加密的S-NSSAI。在一些示例中，函数e()可以由第一比特集合指示。替代地，为了形成经加密的S-NSSAI，可以使用索引集合。该集合的每个索引值可以与特定S-NSSAI相关(例如，指向特定S-NSSAI)。因此，用于S-NSSAI的经加密的S-NSSAI可以是满足以下表达式的任何值：h(经加密的S-NSSAI)＝S-NSSAI的索引值，其中h()是哈希函数。在一些示例中，可以使用哈希函数的额外输入，诸如例如，用户身份(例如，全局唯一临时标识符或密钥(例如，安全密钥、临时密钥、公钥))。

在接收到经加密的S-NSSAI或经加密的NSSAI时，UE 115-a可以将经加密的S-NSSAI或经加密的NSSAI作为消息215的一部分发送(转发)到基站105-a。例如，基站105-a可以执行与UE 115-a的连接过程(例如，RRC过程，诸如小区获取过程、随机接入过程、RRC连接建立过程、RRC配置过程)。当UE 115-a处于空闲模式时，作为连接过程的一部分，UE 115-a可以在控制消息(例如，连接建立完成消息)中将经加密的S-NSSAI或经加密的NSSAI发送到基站105-a。在一些示例中，UE 115-a可以将经加密的S-NSSAI或经加密的NSSAI发送到基站105-a，而不对经加密的S-NSSAI或经加密的NSSAI进行解密。因此，UE 115-a可以从AMF 205获得经加密的S-NSSAI或经加密的NSSAI。在这种情况下，UE 115-a可以简单地将经加密的S-NSSAI或经加密的NSSAI提供给基站105-a，基站105-a可以对经加密的S-NSSAI或经加密的NSSAI进行解密以识别S-NSSAI或NSSAI。

一些示例中，UE 115-a可以从AMF 205获得特定于UE的加密密钥(例如，安全密钥)。在这种情况下，UE 115-a可以对S-NSSAI进行加密并且将经加密的NSSAI提供给基站105-a。AMF 205可以从主密钥推导特定于UE的加密密钥并且将特定于UE的加密密钥连同密钥推导参数(例如，随机数、全局唯一临时标识符)一起提供给UE 115-a。当基站105-a从UE115-a接收到经加密的S-NSSAI和/或经加密的NSSAI时，基站105-a可以使用主密钥和密钥推导参数(由UE 115-a提供)来推导特定于UE的加密密钥。在一些示例中，UE 115-a可以向一个或多个经加密的S-NSSAI值或经加密的NSSAI值添加额外的网络切片信息，并且使用安全密钥来将额外的网络切片信息和一个或多个经加密的S-NSSAI值或经加密的NSSAI值两者加密成扩展加密分组。在另外的示例中，AMF 205可以向UE 115-a发送新S-NSSAI，并且UE115-a可以使用第二安全密钥来对新S-NSSAI进行加密。

新S-NSSAI可以是扩展加密分组的一部分。在一些示例中，可以使用与共享安全密钥不同的安全密钥来对新S-NSSAI进行加密。例如，AMF 205可以使用共享安全密钥和密钥推导参数来生成第二安全密钥。密钥推导参数可以与UE 115-a的UE标识符相关联，并且因此，第二安全密钥可以与UE标识符相关联。AMF 205可以向UE 115-a发送第二安全密钥，使得UE115-a能够对S-NSSAI或NSSAI进行加密。在一些示例中，AMF 205可以在非接入层消息中将第二安全密钥发送到UE 115-a。UE 115-a可以从AMF205接收第二安全密钥和密钥推导参数。然后，UE 115-a可以将扩展加密分组发送到基站105-a。在一些示例中，扩展加密分组可以包括密钥推导参数，使得基站105-a能够生成第二安全密钥并且对扩展加密分组(例如，扩展加密分组中的新S-NSSAI)进行解密。

密钥推导参数可以被称为“安全密钥刷新值或随机数”，其可以允许利用不同的密钥流(例如，不同的安全密钥)来对每个S-NSSAI进行加密。在一些示例中，随机数的长度可能是动态的(变化的)。例如，如果密钥改变作为全局唯一临时标识符重新指派的一部分而发生，则随机数的长度可以更小(或对于每个S-NSSAI是固定的)，以减少消息开销。否则，如果随机数是静态的，则随机数的长度可以是预定大小(例如，32比特)，以确保对经加密的S-NSSAI的保护(即，使得经加密的S-NSSAI看起来是随机的)。

在一些示例中，AMF 205可以在初始注册期间发送S-NSSAI，作为连接过程的一部分(例如，执行小区获取过程、随机接入过程、RRC连接过程、RRC配置过程)。可以在注册之间维护经加密的S-NSSAI。如果基站105-a缺少安全密钥，则基站105-a可以选择默认AMF(例如，AMF 205)。默认AMF可以将安全密钥发送到基站105-a以提供一种机制来更新基站105-a，作为连接过程期间的信令的一部分(作为初始注册的一部分)。

在一些示例中，可以向经加密的S-NSSAI或经加密的NSSAI中的一者或两者提供全局唯一临时标识符的改变，并且AMF 205可以将基站105-a已知的指派的全局唯一临时标识符的任何部分包括到加密函数中，以对S-NSSAI和NSSAI中的一者或两者进行加密。例如，AMF 205可以识别与UE 115-a相关联的全局唯一临时标识符，并且使用与UE 115-a相关联的全局唯一临时标识符来对一个或多个S-NSSAI或NSSAI值进行加密。AMF205可以在指示中包括全局唯一临时标识符。

当从UE 115-a接收到经加密的S-NSSAI或经加密的NSSAI时，基站105-a可以使用由AMF 205共享的安全密钥来对经加密的S-NSSAI或经加密的NSSAI进行解密。在一些示例中，基站105-a可以部分地基于不同的安全密钥来对经加密的S-NSSAI或经加密的NSSAI进行解密。例如，基站105-a可以使用由AMF 205共享的安全密钥和密钥推导参数来生成第二安全密钥。安全密钥可以是主密钥，并且密钥推导参数可以由UE 115-a提供，作为携带经加密的S-NSSAI或经加密的NSSAI的消息(加密分组)的一部分。一旦基站105-a已经解密了S-NSSAI或NSSAI，基站105-a就可以为UE 115-a选择一个或多个网络切片，并且向UE 115-a发送指示所选择的网络切片的消息以用于UE 115-a请求的会话。

因此，基站105-a和UE 115-a中的一者或两者可以支持保护在建立AS安全性之前作为连接过程的一部分交换的私有信息(例如，S-NSSAI)，以减轻攻击者或其它第三方获取私有信息的能力。本文描述的技术的一些好处可以包括攻击减轻(诸如拒绝服务的减轻)和隐私增强，所有这些都可以以最小的消息传送开销来提供。

图3示出了根据本公开内容的各方面的支持对NSSAI进行加密的过程流300的示例。过程流300可以包括基站105-b和UE 115-b，它们可以是参照图1和图2描述的对应设备的示例。过程流300可以另外或替代地包括AMF 205-a，其可以是参照图1和图2描述的对应功能或设备的示例。在一些示例中，过程流300可以实现无线通信系统100和200的各方面。例如，基站105-b、UE 115-b或AMF 205-a或其组合可以支持保护私有信息(例如，NSSAI)交换，作为包括基站105-b、UE 115-b和AMF 205-a的连接过程的一部分。

在对过程流300的以下描述中，可以以与所示的示例性顺序不同的顺序来发送基站105-b、UE 115-b和AMF 205-a之间的操作，或者可以以不同的顺序或在不同的时间执行由基站105-b、UE 115-b和AMF 205-a执行的操作。还可以在过程流300中省略一些操作，或者可以将其它操作添加到过程流300中。

在305处，过程流300可以开始于基站105-b、UE 115-b和AMF 205执行连接过程(例如，执行小区获取过程、随机接入过程、RRC连接过程、RRC配置过程、注册过程、RRC连接建立过程)。在一些示例中，整个过程流300可以被视为连接过程。在其它示例中，过程流300可以被视为由包括连接过程的多个过程组成。例如，连接过程可以包括来自过程流300的310、315、320、325、330和335的各方面，如下所述。

注册过程可以包括：UE 115-b向AMF 205-a发送对一个或多个S-NSSAI或NSSAI的指示(例如，在310处)，并且从AMF 205-a接收经加密的一个或多个S-NSSAI或NSSAI(例如，在320处)。在310处，UE 115-b可以向AMF 205-a发送对一个或多个S-NSSAI或NSSAI的指示。在315处，AMF 205-a可以使用安全密钥来对一个或多个S-NSSAI或NSSAI进行加密。在320处，AMF 205-a可以向UE 115-b发送经加密的一个或多个S-NSSAI或经加密的NSSAI。在325处，AMF 205-a可以向基站105-b发送安全密钥，例如，使得基站105-b能够对经加密的一个或多个S-NSSAI或经加密的NSSAI进行解密。在330处，UE 115-b可以向基站105-b发送经加密的一个或多个S-NSSAI或经加密的NSSAI。在335处，基站105-b可以使用安全密钥来对经加密的一个或多个S-NSSAI或经加密的NSSAI进行解密。

在一些替代示例中，可以向UE 115-b提供基于密钥推导参数(例如，随机数、标识符、全局唯一临时标识符)的安全密钥，并且UE 115-b可以使用安全密钥来对一个或多个S-NSSAI或NSSAI进行加密。在该示例中，UE 115-b可以将密钥推导参数包括在携带经加密的S-NSSAI或经加密的NSSAI的消息(例如，诸如作为连接过程的一部分的连接建立完成消息之类的控制消息)中，使得基站105-b能够生成安全密钥并且对经加密的S-NSSAI或经加密的NSSAI进行解密。例如，UE 115-b可以从AMF 205-a获得特定于UE的加密密钥(例如，安全密钥)。在这种情况下，UE 115-b可以对S-NSSAI进行加密并且将经加密的NSSAI提供给基站105-b。AMF205-a可以从主密钥推导特定于UE的加密密钥，并且将特定于UE的加密密钥连同密钥推导参数一起提供给UE115-b。当基站105-b从UE 115-b接收到经加密的S-NSSAI和/或经加密的NSSAI时，基站105-b可以使用主密钥和密钥推导参数(由UE 115-b提供)来推导特定于UE的加密密钥，并且部分地基于特定于UE的加密密钥以及由UE 115-b使用的相同的加密和解密方案来对经加密的一个或多个S-NSSAI或经加密的NSSAI进行解密。

因此，基站105-b和UE 115-b中的一者或两者可以支持保护在建立AS安全性过程之前交换的S-NSSAI和NSSAI，以减轻攻击者或其它第三方获取S-NSSAI和NSSAI的能力。本文描述的技术的一些好处可以包括攻击减轻(诸如拒绝服务的减轻)和隐私增强。

图4示出了根据本公开内容的各方面的支持对NSSAI进行加密的设备405的框图400。设备405可以是如本文描述的UE 115的各方面的示例。设备405可以包括接收机410、通信管理器415和发射机420。设备405还可以包括处理器。这些组件中的每个组件可以相互通信(例如，经由一个或多个总线)。

接收机410可以接收诸如分组、用户数据或者与各种信息信道(例如，控制信道、数据信道以及与对NSSAI进行加密相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备405的其它组件。接收机410可以是参照图7描述的收发机720的各方面的示例。接收机410可以利用单个天线或一组天线。

通信管理器415可以进行以下操作：参与与AMF的注册过程；作为注册过程的一部分，向AMF发送对一个或多个S-NSSAI或NSSAI的指示；从AMF接收控制消息，其中，控制消息包括基于指示的一个或多个经加密的S-NSSAI值或经加密的NSSAI值；以及将经加密的S-NSSAI或经加密的网络切片辅助信息作为消息的一部分发送到基站。通信管理器415可以是本文描述的通信管理器710的各方面的示例。

通信管理器415或其子组件可以用硬件、由处理器执行的代码(例如，软件或固件)或其任意组合来实现。如果用由处理器执行的代码来实现，则通信管理器415或其子组件的功能可以由被设计为执行本公开内容中描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或者晶体管逻辑、分立硬件组件或者其任意组合来执行。

通信管理器415或其子组件可以在物理上位于各个位置处，包括被分布以使得由一个或多个物理组件在不同的物理位置处实现功能中的部分功能。在一些示例中，根据本公开内容的各个方面，通信管理器415或其子组件可以是分离且不同的组件。在一些示例中，根据本公开内容的各个方面，通信管理器415或其子组件可以与一个或多个其它硬件组件(包括但不限于输入/输出(I/O)组件、收发机、网络服务器、另一计算设备、本公开内容中描述的一个或多个其它组件、或其组合)组合。

发射机420可以发送由设备405的其它组件所生成的信号。在一些示例中，发射机420可以与接收机410共置于收发机组件中。例如，发射机420可以是参照图7描述的收发机420的各方面的示例。发射机420可以利用单个天线或一组天线。

在一些示例中，通信管理器415可以被实现为移动设备调制解调器的集成电路或芯片组，并且接收机410和发射机420可以被实现为模拟组件(例如，放大器、滤波器、天线等)，其与移动设备调制解调器耦合以实现一个或多个频带上的无线发送和接收。

可以实现如本文描述的通信管理器415以实现一个或多个潜在优点。一种实现方式可以允许设备405接收包括一个或多个经加密的S-NSAAI值或经加密的NSSAI值的控制消息，并且将一个或多个经加密的S-NSAAI值或经加密的NSSAI值作为消息的一部分发送到基站。对S-NSAAI值或NSSAI值的这种加密可以在通信期间提高安全性，保护隐私，提高可靠性并且减少时延。

基于如本文描述的用于对消息中的S-NSAAI值进行加密的技术，UE115的处理器(例如，控制接收机410、发射机420或如参照图7描述的收发机720)可以在经加密的消息的通信中提高可靠性并且减少信令开销，因为UE 115可以避免在传输期间经历不必要的配置过程。

图5示出了根据本公开内容的各方面的支持对NSSAI进行加密的设备505的框图500。设备505可以是如本文描述的设备405或UE 115的各方面的示例。设备505可以包括接收机510、通信管理器515和发射机540。设备505还可以包括处理器。这些组件中的每个组件可以相互通信(例如，经由一个或多个总线)。

接收机510可以接收诸如分组、用户数据或者与各种信息信道(例如，控制信道、数据信道以及与对NSSAI进行加密相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备505的其它组件。接收机510可以是参照图7描述的收发机720的各方面的示例。接收机510可以利用单个天线或一组天线。

通信管理器515可以是如本文描述的通信管理器415的各方面的示例。通信管理器515可以包括连接过程组件520、指示组件525、消息组件530和加密组件535。通信管理器515可以是本文描述的通信管理器710的各方面的示例。

连接过程组件520可以参与与AMF的注册过程。作为注册过程的一部分，指示组件525可以向AMF发送对一个或多个S-NSSAI或NSSAI的指示。消息组件530可以从AMF接收控制消息，其中，控制消息包括基于指示的一个或多个经加密的S-NSSAI值或经加密的NSSAI值。加密组件535可以将经加密的S-NSSAI或经加密的网络切片辅助信息作为消息的一部分发送到基站。

发射机540可以发送由设备505的其它组件所生成的信号。在一些示例中，发射机540可以与接收机510共置于收发机组件中。例如，发射机540可以是参照图7描述的收发机720的各方面的示例。发射机540可以利用单个天线或一组天线。

在一些示例中，通信管理器515可以被实现为移动设备调制解调器的集成电路或芯片组，并且接收机510和发射机520可以被实现为模拟组件(例如，放大器、滤波器、天线等)，其与移动设备调制解调器耦合以实现一个或多个频带上的无线发送和接收。

可以实现如本文描述的通信管理器515以实现一个或多个潜在优点。一种实现方式可以允许设备505接收包括一个或多个经加密的S-NSAAI值或经加密的NSSAI值的控制消息，并且将一个或多个经加密的S-NSAAI值或经加密的NSSAI值作为消息的一部分发送到基站。对S-NSAAI值或NSSAI值的这种加密可以在通信期间提高安全性，保护隐私，提高可靠性并且减少时延。

基于如本文描述的用于对消息中的S-NSAAI值进行加密的技术，UE115的处理器(例如，控制接收机510、发射机520或如参照图7描述的收发机720)可以在经加密的消息的通信中提高可靠性并且减少信令开销，因为UE 115可以避免在传输期间经历不必要的配置过程。

图6示出了根据本公开内容的各方面的支持对NSSAI进行加密的通信管理器605的框图600。通信管理器605可以是本文描述的通信管理器415、通信管理器515或通信管理器710的各方面的示例。通信管理器605可以包括连接过程组件610、指示组件615、消息组件620、加密组件625、密钥组件630和标识符组件635。这些组件中的每一个可以直接或间接地彼此通信(例如，经由一个或多个总线)。

连接过程组件610可以参与与AMF的注册过程。作为注册过程的一部分，指示组件615可以向AMF发送对一个或多个S-NSSAI或NSSAI的指示。在一些示例中，指示组件615可以从AMF接收新S-NSSAI。

消息组件620可以从AMF接收控制消息，其中，控制消息包括基于指示的一个或多个经加密的S-NSSAI值或经加密的NSSAI值。在一些示例中，消息组件620可以在控制消息中识别将一个或多个经加密的S-NSSAI值或经加密的NSSAI值与UE进行关联的指示，该指示包括控制消息的加密分组中的比特集合，加密分组包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值，并且其中，比特集合包括随机数。在一些示例中，消息组件620可以在控制消息中识别对与经加密的一个或多个S-NSSAI值或经加密的NSSAI值的加密相关联的安全密钥和加密函数的指示，其中，该指示包括控制消息的加密分组中的比特集合，加密分组包括经加密的一个或多个S-NSSAI值或经加密的NSSAI值。

加密组件625可以将经加密的S-NSSAI或经加密的网络切片辅助信息作为消息的一部分发送到基站。在一些示例中，加密组件625可以在不对经加密的S-NSSAI或经加密的NSSAI进行解密的情况下发送经加密的S-NSSAI或经加密的NSSAI。在一些示例中，使用安全密钥将额外的切片信息和一个或多个经加密的S-NSSAI值或经加密的NSSAI值两者加密成扩展加密分组，其中，向基站发送经加密的S-NSSAI包括：发送扩展加密分组。

在一些示例中，加密组件625可以使用第二安全密钥来对新S-NSSAI进行加密，其中UE从AMF接收第二密钥和随机数。在一些示例中，加密组件625可以将经加密的新S-NSSAI作为第二控制消息的一部分发送到基站，其中，第二控制消息包括随机数，使得基站能够生成第二安全密钥并且对经加密的新S-NSSAI进行解密。

密钥组件630可以在控制消息中接收安全密钥和随机数，其中，安全密钥是基于随机数以及AMF和基站已知的主密钥的，主密钥与对一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密相关联。在一些示例中，密钥组件630可以向一个或多个经加密的S-NSSAI值或经加密的NSSAI值添加额外的网络切片信息。标识符组件635可以识别与网络切片上的来自基站的下行链路传输相关联的全局唯一临时标识符，其中，随机数是基于全局唯一临时标识符的。

图7示出了根据本公开内容的各方面的包括支持对NSSAI进行加密的设备705的系统700的图。设备705可以是如本文描述的设备405、设备505或UE 115的示例或者包括设备405、设备505或UE 115的组件。设备705可以包括用于双向语音和数据通信的组件，包括用于发送和接收通信的组件，包括通信管理器710、I/O控制器715、收发机720、天线725、存储器730和处理器740。这些组件可以经由一个或多个总线(例如，总线745)来进行电子通信。

通信管理器710可以进行以下操作：参与与AMF的注册过程；作为注册过程的一部分，向AMF发送对一个或多个S-NSSAI或NSSAI的指示；从AMF接收控制消息，其中，控制消息包括基于指示的一个或多个经加密的S-NSSAI值或经加密的NSSAI值；以及将经加密的S-NSSAI或经加密的网络切片辅助信息作为消息的一部分发送到基站。

I/O控制器715可以管理针对设备705的输入和输出信号。I/O控制器715还可以管理没有集成到设备705中的外围设备。在一些情况下，I/O控制器715可以表示到外部外围设备的物理连接或端口。在一些情况下，I/O控制器715可以利用诸如

收发机720可以经由如本文描述的一个或多个天线、有线或无线链路来双向地进行通信。例如，收发机720可以表示无线收发机并且可以与另一个无线收发机双向地进行通信。收发机720还可以包括调制解调器，其用于调制分组并且将经调制的分组提供给天线以进行传输，以及解调从天线接收的分组。在一些情况下，设备705可以包括单个天线725。然而，在一些情况下，设备705可以具有一个以上的天线725，它们能够同时地发送或接收多个无线传输。

存储器730可以包括随机存取存储器(RAM)和只读存储器(ROM)。存储器730可以存储计算机可读的、计算机可执行的代码735，代码735包括当被执行时使得处理器执行本文描述的各种功能的指令。在一些情况下，除此之外，存储器730还可以包含基本输入基本输出(BIOS)，其可以控制基本的硬件或软件操作，例如与外围组件或设备的交互。

处理器740可以包括智能硬件设备(例如，通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑器件、分立门或者晶体管逻辑组件、分立硬件组件或者其任意组合)。在一些情况下，处理器740可以被配置为使用存储器控制器来操作存储器阵列。在其它情况下，存储器控制器可以集成到处理器740中。处理器740可以被配置为执行存储器(例如，存储器730)中存储的计算机可读指令以使得设备705执行各种功能(例如，支持对NSSAI进行加密的功能或任务)。

代码735可以包括用于实现本公开内容的各方面的指令，包括用于支持无线通信的指令。代码735可以被存储在非暂时性计算机可读介质(例如，系统存储器或其它类型的存储器)中。在一些情况下，代码735可能不是可由处理器740直接执行的，但是可以使得计算机(例如，当被编译和被执行时)执行本文描述的功能。

图8示出了根据本公开内容的各方面的支持对NSSAI进行加密的设备805的框图800。设备805可以是如本文描述的基站105的各方面的示例。设备805可以包括接收机810、通信管理器815和发射机820。设备805还可以包括处理器。这些组件中的每个组件可以相互通信(例如，经由一个或多个总线)。

接收机810可以接收诸如分组、用户数据或者与各种信息信道(例如，控制信道、数据信道以及与对NSSAI进行加密相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备805的其它组件。接收机810可以是参照图11描述的收发机1120的各方面的示例。接收机810可以利用单个天线或一组天线。

通信管理器815可以进行以下操作：从AMF接收安全密钥；从UE接收控制消息，其中，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值，一个或多个经加密的S-NSSAI值或经加密的NSSAI值具有对UE在与设备805的无线通信中可接入的一个或多个网络切片的指示；以及使用安全密钥来对控制消息中的一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密。通信管理器815可以是本文描述的通信管理器1110的各方面的示例。

通信管理器815或其子组件可以用硬件、由处理器执行的代码(例如，软件或固件)或其任意组合来实现。如果用由处理器执行的代码来实现，则通信管理器815或其子组件的功能可以由被设计为执行本公开内容中描述的功能的通用处理器、DSP、专用集成电路(ASIC)、FPGA或其它可编程逻辑器件、分立门或者晶体管逻辑、分立硬件组件或者其任意组合来执行。

通信管理器815或其子组件可以在物理上位于各个位置处，包括被分布以使得由一个或多个物理组件在不同的物理位置处实现功能中的部分功能。在一些示例中，根据本公开内容的各个方面，通信管理器815或其子组件可以是分离且不同的组件。在一些示例中，根据本公开内容的各个方面，通信管理器815或其子组件可以与一个或多个其它硬件组件(包括但不限于输入/输出(I/O)组件、收发机、网络服务器、另一计算设备、本公开内容中描述的一个或多个其它组件、或其组合)组合。

发射机820可以发送由设备805的其它组件所生成的信号。在一些示例中，发射机820可以与接收机810共置于收发机组件中。例如，发射机820可以是参照图11描述的收发机1120的各方面的示例。发射机810可以利用单个天线或一组天线。

图9示出了根据本公开内容的各方面的支持对NSSAI进行加密的设备905的框图900。设备905可以是如本文描述的设备805或基站105的各方面的示例。设备905可以包括接收机910、通信管理器915和发射机935。设备905还可以包括处理器。这些组件中的每个组件可以相互通信(例如，经由一个或多个总线)。

接收机910可以接收诸如分组、用户数据或者与各种信息信道(例如，控制信道、数据信道以及与对NSSAI进行加密相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备905的其它组件。接收机910可以是参照图11描述的收发机1120的各方面的示例。接收机910可以利用单个天线或一组天线。

通信管理器915可以是如本文描述的通信管理器815的各方面的示例。通信管理器915可以包括密钥组件920、消息组件925和解密组件930。通信管理器915可以是本文描述的通信管理器1110的各方面的示例。

密钥组件920可以从AMF接收安全密钥。消息组件925可以从UE接收控制消息，其中，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值，一个或多个经加密的S-NSSAI值或经加密的NSSAI值具有对UE在与设备805的无线通信中可接入的一个或多个网络切片的指示。解密组件930可以使用安全密钥来对控制消息中的一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密。

发射机935可以发送由设备905的其它组件所生成的信号。在一些示例中，发射机935可以与接收机910共置于收发机组件中。例如，发射机935可以是参照图11描述的收发机1120的各方面的示例。发射机935可以利用单个天线或一组天线。

图10示出了根据本公开内容的各方面的支持对NSSAI进行加密的通信管理器1005的框图1000。通信管理器1005可以是本文描述的通信管理器815、通信管理器915或通信管理器1110的各方面的示例。通信管理器1005可以包括密钥组件1010、消息组件1015、解密组件1020和选择组件1025。这些组件中的每一个可以直接或间接地彼此通信(例如，经由一个或多个总线)。

密钥组件1010可以从AMF接收安全密钥。在一些示例中，密钥组件1010可以使用安全密钥和随机数来生成第二安全密钥，其中，安全密钥是主密钥，其中，对控制消息中的一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密还是基于使用第二安全密钥的。

消息组件1015可以从UE接收控制消息，其中，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值，一个或多个经加密的S-NSSAI值或经加密的NSSAI值具有对UE可接入的一个或多个网络切片的指示。在一些示例中，消息组件1015可以在控制消息中识别对与一个或多个S-NSSAI值或经加密的NSSAI值的加密相关联的安全密钥和加密函数的指示，其中，该指示包括控制消息的加密分组中的比特集合，加密分组包括经加密的一个或多个S-NSSAI值或经加密的NSSAI值，并且其中，对一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密还是基于对安全密钥和加密函数的指示的。

在一些示例中，消息组件1015可以在控制消息中识别将一个或多个经加密的S-NSSAI值或经加密的NSSAI值与UE进行关联的指示，该指示包括控制消息的加密分组中的比特集合，加密分组包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值，并且其中，比特集合包括随机数。在一些示例中，消息组件1015可以向UE发送对所选择的网络切片的第二指示，该第二指示包括与UE相关联的全局唯一临时标识符。在一些示例中，消息组件1015可以从UE接收包括一个或多个经加密的新S-NSSAI值的第二控制消息，其中，第二控制消息包括与对经加密的新S-NSSAI进行解密相关联的安全密钥刷新值。

解密组件1020可以使用安全密钥来对控制消息中的一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密。在一些示例中，解密组件1020可以使用安全密钥来对包括额外的切片信息和一个或多个经加密的S-NSSAI值或经加密的NSSAI值两者的扩展加密分组进行解密，其中，从UE接收一个或多个经加密的S-NSSAI值或经加密的NSSAI值包括：接收扩展加密分组。选择组件1025可以基于一个或多个经加密的S-NSSAI值或经加密的NSSAI值来为UE选择一个或多个网络切片。

图11示出了根据本公开内容的各方面的包括支持对NSSAI进行加密的设备1105的系统1100的图。设备1105可以是如本文描述的设备805、设备905或基站105的示例或者包括设备805、设备905或基站105的组件。设备1105可以包括用于双向语音和数据通信的组件，包括用于发送和接收通信的组件，包括通信管理器1110、网络通信管理器1115、收发机1120、天线1125、存储器1130、处理器1140和站间通信管理器1145。这些组件可以经由一个或多个总线(例如，总线1150)来进行电子通信。

通信管理器1110可以进行以下操作：从AMF接收安全密钥；从UE接收控制消息，其中，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值，一个或多个经加密的S-NSSAI值或经加密的NSSAI值具有对UE在与设备1105的无线通信中可接入的一个或多个网络切片的指示；以及使用安全密钥来对控制消息中的一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密。

网络通信管理器1115可以管理与核心网络的通信(例如，经由一个或多个有线回程链路)。例如，网络通信管理器1115可以管理针对客户端设备(例如，一个或多个UE 115)的数据通信的传输。收发机1120可以经由如本文描述的一个或多个天线、有线或无线链路来双向地进行通信。例如，收发机1120可以表示无线收发机并且可以与另一个无线收发机双向地进行通信。收发机1120还可以包括调制解调器，其用于调制分组并且将经调制的分组提供给天线以进行传输，以及解调从天线接收的分组。在一些情况下，设备1105可以包括单个天线1125。然而，在一些情况下，设备1105可以具有一个以上的天线1125，它们能够同时地发送或接收多个无线传输。

存储器1130可以包括RAM、ROM或其组合。存储器1130可以存储计算机可读代码1135，计算机可读代码1135包括当被处理器(例如，处理器1140)执行时使得设备执行本文描述的各种功能的指令。在一些情况下，除此之外，存储器1130还可以包含BIOS，其可以控制基本的硬件或软件操作，例如与外围组件或设备的交互。

处理器1140可以包括智能硬件设备(例如，通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑器件、分立门或者晶体管逻辑组件、分立硬件组件或者其任意组合)。在一些情况下，处理器1140可以被配置为使用存储器控制器来操作存储器阵列。在一些情况下，存储器控制器可以集成到处理器1140中。处理器1140可以被配置为执行存储器(例如，存储器1130)中存储的计算机可读指令以使得设备1105执行各种功能(例如，支持对NSSAI进行加密的功能或任务)。

站间通信管理器1145可以管理与其它基站105的通信，并且可以包括用于与其它基站105协作地控制与UE 115的通信的控制器或调度器。例如，站间通信管理器1145可以协调针对去往UE 115的传输的调度，以实现诸如波束成形或联合传输之类的各种干扰减轻技术。在一些示例中，站间通信管理器1145可以提供LTE/LTE-A无线通信网络技术内的X2接口，以提供基站105之间的通信。

代码1135可以包括用于实现本公开内容的各方面的指令，包括用于支持无线通信的指令。代码1135可以被存储在非暂时性计算机可读介质(例如，系统存储器或其它类型的存储器)中。在一些情况下，代码1135可能不是可由处理器1140直接执行的，但是可以使得计算机(例如，当被编译和被执行时)执行本文描述的功能。

图12示出了根据本公开内容的各方面的支持对NSSAI进行加密的设备1205的框图1200。设备1205可以是如本文描述的网络实体(例如，核心网络或AMF)的各方面的示例。设备1205可以包括接收机1210、通信管理器1215和发射机1220。设备1205还可以包括处理器。这些组件中的每个组件可以相互通信(例如，经由一个或多个总线)。

接收机1210可以接收诸如分组、用户数据或者与各种信息信道(例如，控制信道、数据信道以及与对NSSAI进行加密相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备1205的其它组件。接收机1210可以是参照图15描述的收发机1520的各方面的示例。接收机1210可以利用单个天线或一组天线。

通信管理器1215可以进行以下操作：使用安全密钥来对一个或多个S-NSSAI值或NSSAI值进行加密，其中，一个或多个S-NSSAI值或NSSAI值包括对UE可接入的一个或多个网络切片的指示；向UE发送控制消息，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值；以及向基站发送安全密钥，使得基站能够在从UE接收到一个或多个经加密的S-NSSAI值或经加密的NSSAI值时对其进行解密。

通信管理器1215还可以进行以下操作：生成与UE标识符相关联的随机数；使用第一安全密钥和随机数来生成第二安全密钥，其中，第一安全密钥是主密钥，并且第二安全密钥与UE标识符的UE相关联；以及向UE发送第二安全密钥，使得UE能够对S-NSSAI或NSSAI进行加密。通信管理器1215可以是本文描述的通信管理器1510的各方面的示例。

通信管理器1215或其子组件可以用硬件、由处理器执行的代码(例如，软件或固件)或其任意组合来实现。如果用由处理器执行的代码来实现，则通信管理器1215或其子组件的功能可以由被设计为执行本公开内容中描述的功能的通用处理器、DSP、专用集成电路(ASIC)、FPGA或其它可编程逻辑器件、分立门或者晶体管逻辑、分立硬件组件或者其任意组合来执行。

通信管理器1215或其子组件可以在物理上位于各个位置处，包括被分布以使得由一个或多个物理组件在不同的物理位置处实现功能中的部分功能。在一些示例中，根据本公开内容的各个方面，通信管理器1215或其子组件可以是分离且不同的组件。在一些示例中，根据本公开内容的各个方面，通信管理器1215或其子组件可以与一个或多个其它硬件组件(包括但不限于输入/输出(I/O)组件、收发机、网络服务器、另一计算设备、本公开内容中描述的一个或多个其它组件、或其组合)组合。

发射机1220可以发送由设备1205的其它组件所生成的信号。在一些示例中，发射机1220可以与接收机1210共置于收发机组件中。例如，发射机1220可以是参照图15描述的收发机1520的各方面的示例。发射机1220可以利用单个天线或一组天线。

图13示出了根据本公开内容的各方面的支持对NSSAI进行加密的设备1305的框图1300。设备1305可以是如本文描述的设备1205或网络实体(例如，AMF)的各方面的示例。设备1305可以包括接收机1310、通信管理器1315和发射机1340。设备1305还可以包括处理器。这些组件中的每个组件可以相互通信(例如，经由一个或多个总线)。

接收机1310可以接收诸如分组、用户数据或者与各种信息信道(例如，控制信道、数据信道以及与对NSSAI进行加密相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备1305的其它组件。接收机1310可以是参照图15描述的收发机1520的各方面的示例。接收机1310可以利用单个天线或一组天线。

通信管理器1315可以是如本文描述的通信管理器1215的各方面的示例。通信管理器1315可以包括加密组件1320、消息组件1325、密钥组件1330和随机数组件1335。通信管理器1315可以是本文描述的通信管理器1510的各方面的示例。

加密组件1320可以使用安全密钥来对一个或多个S-NSSAI值或NSSAI值进行加密，其中，一个或多个S-NSSAI值或NSSAI值包括对UE可接入的一个或多个网络切片的指示。消息组件1325可以向UE发送控制消息，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值。密钥组件1330可以向基站发送安全密钥，使得基站能够在从UE接收到一个或多个经加密的S-NSSAI值或经加密的NSSAI值时对其进行解密。随机数组件1335可以生成与UE标识符相关联的随机数。密钥组件1330可以使用第一安全密钥和随机数来生成第二安全密钥，其中，第一安全密钥是主密钥，并且第二安全密钥与UE标识符的UE相关联；以及向UE发送第二安全密钥，使得UE能够对S-NSSAI或NSSAI进行加密。

发射机1340可以发送由设备1305的其它组件所生成的信号。在一些示例中，发射机1340可以与接收机1310共置于收发机组件中。例如，发射机1340可以是参照图15描述的收发机1520的各方面的示例。发射机1340可以利用单个天线或一组天线。

图14示出了根据本公开内容的各方面的支持对NSSAI进行加密的通信管理器1405的框图1400。通信管理器1405可以是本文描述的通信管理器1215、通信管理器1315或通信管理器1510的各方面的示例。通信管理器1405可以包括加密组件1410、消息组件1415、密钥组件1420、标识符组件1425和随机数组件1430。这些组件中的每一个可以直接或间接地彼此通信(例如，经由一个或多个总线)。

加密组件1410可以使用安全密钥来对一个或多个S-NSSAI值或NSSAI值进行加密，其中，一个或多个S-NSSAI值或NSSAI值包括对UE可接入的一个或多个网络切片的指示。加密组件1410可以准备加密分组，加密分组包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值、以及对与一个或多个S-NSSAI值或NSSAI值的加密相关联的安全密钥和加密函数的指示，其中，该指示包括加密分组中的比特集合。在一些示例中，加密组件1410可以准备加密分组，加密分组包括经加密的一个或多个S-NSSAI值或经加密的NSSAI值、以及将一个或多个经加密的S-NSSAI或经加密的NSSAI值与UE进行关联的指示，该指示包括加密分组中的比特集合，并且其中，比特集合包括随机数。在一些示例中，加密组件1410可以使用与UE相关联的全局唯一临时标识符来对一个或多个S-NSSAI值或NSSAI值进行加密。

消息组件1415可以向UE发送控制消息，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值。密钥组件1420可以向基站发送安全密钥，使得基站能够在从UE接收到一个或多个经加密的S-NSSAI值或经加密的NSSAI值时对其进行解密。在一些示例中，密钥组件1420可以使用第一安全密钥和随机数来生成第二安全密钥，其中，第一安全密钥是主密钥，并且第二安全密钥与UE标识符的UE相关联。在一些示例中，密钥组件1420可以向UE发送第二安全密钥，使得UE能够对S-NSSAI或NSSAI进行加密。在一些示例中，密钥组件1420可以使用第一安全密钥、随机数或与UE相关联的全局唯一临时标识符或其组合来生成第二安全密钥。在一些示例中，密钥组件1420可以在非接入层消息中向UE发送第二安全密钥和随机数。

随机数组件1430可以生成与UE标识符相关联的随机数。标识符组件1425可以识别与UE相关联的全局唯一临时标识符，其中，指示还包括全局唯一临时标识符。在一些示例中，标识符组件1425可以基于随机数来生成全局唯一临时标识符。在一些示例中，标识符组件1425可以基于该生成来将全局唯一临时标识符指派给UE，其中，生成第二安全密钥还是基于全局唯一临时标识符的。

图15示出了根据本公开内容的各方面的包括支持对NSSAI进行加密的设备1505的系统1500的图。设备1505可以是如本文描述的设备1205、设备1305或网络实体的示例或者包括设备1205、设备1305或网络实体的组件。设备1505可以包括用于双向语音和数据通信的组件，包括用于发送和接收通信的组件，包括通信管理器1510、I/O控制器1515、收发机1520、天线1525、存储器1530和处理器1535。这些组件可以经由一个或多个总线(例如，总线1545)来进行电子通信。

通信管理器1510可以进行以下操作：使用安全密钥来对一个或多个S-NSSAI值或NSSAI值进行加密，其中，一个或多个S-NSSAI值或NSSAI值包括对UE可接入的一个或多个网络切片的指示；向UE发送控制消息，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值；以及向基站发送安全密钥，使得基站能够在从UE接收到一个或多个经加密的S-NSSAI值或经加密的NSSAI值时对其进行解密。通信管理器1510还可以进行以下操作：生成与UE标识符相关联的随机数；使用第一安全密钥和随机数来生成第二安全密钥，其中，第一安全密钥是主密钥，并且第二安全密钥与UE标识符的UE相关联；以及向UE发送第二安全密钥，使得UE能够对S-NSSAI或NSSAI进行加密。

I/O控制器1515可以管理针对设备1505的输入和输出信号。I/O控制器1515还可以管理没有集成到设备1505中的外围设备。在一些情况下，I/O控制器1515可以表示到外部外围设备的物理连接或端口。在一些情况下，I/O控制器1515可以利用诸如

收发机1520可以经由如本文描述的一个或多个天线、有线或无线链路来双向地进行通信。例如，收发机1520可以表示无线收发机并且可以与另一个无线收发机双向地进行通信。收发机1520还可以包括调制解调器，其用于调制分组并且将经调制的分组提供给天线以进行传输，以及解调从天线接收的分组。在一些情况下，设备1505可以包括单个天线1525。然而，在一些情况下，设备1505可以具有一个以上的天线1525，它们能够同时地发送或接收多个无线传输。

存储器1530可以包括RAM和ROM。存储器1530可以存储计算机可读的、计算机可执行的代码1540，代码1540包括当被执行时使得处理器执行本文描述的各种功能的指令。在一些情况下，除此之外，存储器1530还可以包含BIOS，其可以控制基本的硬件或软件操作，例如与外围组件或设备的交互。

处理器1535可以包括智能硬件设备(例如，通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑器件、分立门或者晶体管逻辑组件、分立硬件组件或者其任意组合)。在一些情况下，处理器1535可以被配置为使用存储器控制器来操作存储器阵列。在其它情况下，存储器控制器可以集成到处理器1535中。处理器1535可以被配置为执行存储器(例如，存储器1530)中存储的计算机可读指令以使得设备1505执行各种功能(例如，支持对NSSAI进行加密的功能或任务)。

代码1540可以包括用于实现本公开内容的各方面的指令，包括用于支持无线通信的指令。代码1540可以被存储在非暂时性计算机可读介质(例如，系统存储器或其它类型的存储器)中。在一些情况下，代码1540可能不是可由处理器1535直接执行的，但是可以使得计算机(例如，当被编译和被执行时)执行本文描述的功能。

图16示出了说明根据本公开内容的各方面的支持对NSSAI进行加密的方法1600的流程图。方法1600的操作可以由如本文描述的UE 115或其组件来实现。例如，方法1600的操作可以由如参照图4至7描述的通信管理器来执行。在一些示例中，UE可以执行指令集以控制UE的功能单元以执行本文描述的功能。另外或替代地，UE可以使用专用硬件来执行本文描述的功能的各方面。

在1605处，UE可以参与与AMF的注册过程。可以根据本文描述的方法来执行1605的操作。在一些示例中，1605的操作的各方面可以由如参照图4至7描述的连接过程组件来执行。

在1610处，作为注册过程的一部分，UE可以向AMF发送对一个或多个S-NSSAI或NSSAI的指示。可以根据本文描述的方法来执行1610的操作。在一些示例中，1610的操作的各方面可以由如参照图4至7描述的指示组件来执行。

在1615处，UE可以从AMF接收控制消息，其中，控制消息包括基于指示的一个或多个经加密的S-NSSAI值或经加密的NSSAI值。可以根据本文描述的方法来执行1615的操作。在一些示例中，1615的操作的各方面可以由如参照图4至7描述的消息组件来执行。

在1620处，UE可以将经加密的S-NSSAI值或经加密的NSSAI值作为消息的一部分发送到基站。可以根据本文描述的方法来执行1620的操作。在一些示例中，1620的操作的各方面可以由如参照图4至7描述的加密组件来执行。

图17示出了说明根据本公开内容的各方面的支持对NSSAI进行加密的方法1700的流程图。方法1700的操作可以由如本文描述的UE 115或其组件来实现。例如，方法1700的操作可以由如参照图4至7描述的通信管理器来执行。在一些示例中，UE可以执行指令集以控制UE的功能单元以执行本文描述的功能。另外或替代地，UE可以使用专用硬件来执行本文描述的功能的各方面。

在1705处，UE可以参与与AMF的注册过程。可以根据本文描述的方法来执行1705的操作。在一些示例中，1705的操作的各方面可以由如参照图4至7描述的连接过程组件来执行。

在1710处，作为注册过程的一部分，UE可以向AMF发送对一个或多个S-NSSAI或NSSAI的指示。可以根据本文描述的方法来执行1710的操作。在一些示例中，1710的操作的各方面可以由如参照图4至7描述的指示组件来执行。

在1715处，UE可以从AMF接收控制消息，其中，控制消息包括基于指示的一个或多个经加密的S-NSSAI值或经加密的NSSAI值。可以根据本文描述的方法来执行1715的操作。在一些示例中，1715的操作的各方面可以由如参照图4至7描述的消息组件来执行。

在1720处，UE可以在控制消息中接收安全密钥和随机数，其中，安全密钥是基于随机数以及AMF和基站已知的主密钥的，主密钥与对一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密相关联。可以根据本文描述的方法来执行1720的操作。在一些示例中，1720的操作的各方面可以由如参照图4至7描述的密钥组件来执行。

在1725处，UE可以向一个或多个经加密的S-NSSAI值或经加密的NSSAI值添加额外的网络切片信息。可以根据本文描述的方法来执行1725的操作。在一些示例中，1725的操作的各方面可以由如参照图4至7描述的密钥组件来执行。

在1730处，UE可以使用安全密钥来将额外的切片信息和一个或多个经加密的S-NSSAI值或经加密的NSSAI值两者加密成扩展加密分组。可以根据本文描述的方法来执行1730的操作。在一些示例中，1730的操作的各方面可以由如参照图4至7描述的加密组件来执行。

在1735处，UE可以将经加密的S-NSSAI值或经加密的NSSAI值作为消息的一部分发送到基站。在一些示例中，向基站发送经加密的S-NSSAI值或经加密的NSSAI值包括：发送扩展加密分组。可以根据本文描述的方法来执行1735的操作。在一些示例中，1735的操作的各方面可以由如参照图4至7描述的加密组件来执行。

图18示出了说明根据本公开内容的各方面的支持对NSSAI进行加密的方法1800的流程图。方法1800的操作可以由如本文描述的UE 115或其组件来实现。例如，方法1800的操作可以由如参照图4至7描述的通信管理器来执行。在一些示例中，UE可以执行指令集以控制UE的功能单元以执行本文描述的功能。另外或替代地，UE可以使用专用硬件来执行本文描述的功能的各方面。

在1805处，UE可以参与与AMF的注册过程。可以根据本文描述的方法来执行1805的操作。在一些示例中，1805的操作的各方面可以由如参照图4至7描述的连接过程组件来执行。

在1810处，作为注册过程的一部分，UE可以向AMF发送对一个或多个S-NSSAI或NSSAI的指示。可以根据本文描述的方法来执行1810的操作。在一些示例中，1810的操作的各方面可以由如参照图4至7描述的指示组件来执行。

在1815处，UE可以从AMF接收控制消息，其中，控制消息包括基于指示的一个或多个经加密的S-NSSAI值或经加密的NSSAI值。可以根据本文描述的方法来执行1815的操作。在一些示例中，1815的操作的各方面可以由如参照图4至7描述的消息组件来执行。

在1820处，UE可以将经加密的S-NSSAI值或经加密的NSSAI值作为消息的一部分发送到基站。可以根据本文描述的方法来执行1820的操作。在一些示例中，1820的操作的各方面可以由如参照图4至7描述的加密组件来执行。

图19示出了说明根据本公开内容的各方面的支持对NSSAI进行加密的方法1900的流程图。方法1900的操作可以由如本文描述的网络实体或其组件来实现。例如，方法1900的操作可以由如参照图12至15描述的通信管理器来执行。在一些示例中，网络实体可以执行指令集以控制网络实体的功能单元以执行本文描述的功能。另外或替代地，网络实体可以使用专用硬件来执行本文描述的功能的各方面。

在1905处，网络实体可以使用安全密钥来对一个或多个S-NSSAI值或NSSAI值进行加密，其中，一个或多个S-NSSAI值或NSSAI值包括对UE可接入的一个或多个网络切片的指示。可以根据本文描述的方法来执行1905的操作。在一些示例中，1905的操作的各方面可以由如参照图12至15描述的加密组件来执行。

在1910处，网络实体可以向UE发送控制消息，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值。可以根据本文描述的方法来执行1910的操作。在一些示例中，1910的操作的各方面可以由如参照图12至15描述的消息组件来执行。

在1915处，网络实体可以向基站发送安全密钥，使得基站能够在从UE接收到一个或多个经加密的S-NSSAI值或经加密的NSSAI值时对其进行解密。可以根据本文描述的方法来执行1915的操作。在一些示例中，1915的操作的各方面可以由如参照图12至15描述的密钥组件来执行。

图20示出了说明根据本公开内容的各方面的支持对NSSAI进行加密的方法2000的流程图。方法2000的操作可以由如本文描述的网络实体(例如，AMF)或其组件来实现。例如，方法2000的操作可以由如参照图12至15描述的通信管理器来执行。在一些示例中，网络实体可以执行指令集以控制网络实体的功能单元以执行本文描述的功能。另外或替代地，网络实体可以使用专用硬件来执行本文描述的功能的各方面。

在2005处，网络实体可以生成与UE标识符相关联的随机数。可以根据本文描述的方法来执行2005的操作。在一些示例中，2005的操作的各方面可以由如参照图12至15描述的随机数组件来执行。

在2010处，网络实体可以使用第一安全密钥和随机数来生成第二安全密钥，其中，第一安全密钥是主密钥，并且第二安全密钥与UE标识符的UE相关联。可以根据本文描述的方法来执行2010的操作。在一些示例中，2010的操作的各方面可以由如参照图12至15描述的密钥组件来执行。

在2015处，网络实体可以向UE发送第二安全密钥，使得UE能够对S-NSSAI或NSSAI进行加密。可以根据本文描述的方法来执行2015的操作。在一些示例中，2015的操作的各方面可以由如参照图12至15描述的密钥组件来执行。

图21示出了说明根据本公开内容的各方面的支持对NSSAI进行加密的方法2100的流程图。方法2100的操作可以由如本文描述的基站105或其组件来实现。例如，方法2100的操作可以由如参照图8至11描述的通信管理器来执行。在一些示例中，基站可以执行指令集以控制基站的功能单元以执行本文描述的功能。另外或替代地，基站可以使用专用硬件来执行本文描述的功能的各方面。

在2105处，基站可以从AMF接收安全密钥。可以根据本文描述的方法来执行2105的操作。在一些示例中，2105的操作的各方面可以由如参照图8至11描述的密钥组件来执行。

在2110处，基站可以从UE接收控制消息，其中，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值，一个或多个经加密的S-NSSAI值或经加密的NSSAI值具有对UE在与基站的无线通信中可接入的一个或多个网络切片的指示。可以根据本文描述的方法来执行2110的操作。在一些示例中，2110的操作的各方面可以由如参照图8至11描述的消息组件来执行。

在2115处，基站可以使用安全密钥来对控制消息中的一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密。可以根据本文描述的方法来执行2115的操作。在一些示例中，2115的操作的各方面可以由如参照图8至11描述的解密组件来执行。

图22示出了说明根据本公开内容的各方面的支持对NSSAI进行加密的方法2200的流程图。方法2200的操作可以由如本文描述的基站105或其组件来实现。例如，方法2200的操作可以由如参照图8至11描述的通信管理器来执行。在一些示例中，基站可以执行指令集以控制基站的功能单元以执行本文描述的功能。另外或替代地，基站可以使用专用硬件来执行本文描述的功能的各方面。

在2205处，基站可以从AMF接收安全密钥。可以根据本文描述的方法来执行2205的操作。在一些示例中，2205的操作的各方面可以由如参照图8至11描述的密钥组件来执行。

在2210处，基站可以从UE接收控制消息，其中，控制消息包括一个或多个经加密的S-NSSAI值或经加密的NSSAI值，一个或多个经加密的S-NSSAI值或经加密的NSSAI值具有对UE在与基站的无线通信中可接入的一个或多个网络切片的指示。可以根据本文描述的方法来执行2210的操作。在一些示例中，2210的操作的各方面可以由如参照图8至11描述的消息组件来执行。

在2215处，基站可以使用安全密钥和随机数来生成第二安全密钥，其中，安全密钥是主密钥，其中，对控制消息中的一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密还是基于使用第二安全密钥的。可以根据本文描述的方法来执行2215的操作。在一些示例中，2215的操作的各方面可以由如参照图8至11描述的密钥组件来执行。

在2220处，基站可以使用安全密钥来对控制消息中的一个或多个经加密的S-NSSAI值或经加密的NSSAI值进行解密。可以根据本文描述的方法来执行2220的操作。在一些示例中，2220的操作的各方面可以由如参照图8至11描述的解密组件来执行。

应当注意的是，本文描述的方法描述了可能的实现方式，并且操作和步骤可以被重新排列或者以其它方式修改，并且其它实现是可能的。此外，来自两种或更多种方法的各方面可以被组合。

本文描述的技术可以用于各种无线通信系统，诸如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)、单载波频分多址(SC-FDMA)和其它系统。CDMA系统可以实现诸如CDMA2000、通用陆地无线电接入(UTRA)等的无线电技术。CDMA2000涵盖IS-2000、IS-95和IS-856标准。IS-2000版本通常可以被称为CDMA2000 1X、1X等。IS-856(TIA-856)通常被称为CDMA2000 1xEV-DO、高速分组数据(HRPD)等。UTRA包括宽带CDMA(WCDMA)和CDMA的其它变型。TDMA系统可以实现诸如全球移动通信系统(GSM)之类的无线电技术。

OFDMA系统可以实现诸如超移动宽带(UMB)、演进型UTRA(E-UTRA)、电气与电子工程师协会(IEEE)802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、闪速-OFDM等的无线电技术。UTRA和E-UTRA是通用移动电信系统(UMTS)的一部分。LTE、LTE-A和LTE-A专业是UMTS的使用E-UTRA的版本。在来自名称为“第3代合作伙伴计划”(3GPP)的组织的文档中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A、LTE-A专业、NR和GSM。在来自名称为“第3代合作伙伴计划2”(3GPP2)的组织的文档中描述了CDMA2000和UMB。本文中描述的技术可以用于本文提及的系统和无线电技术以及其它系统和无线电技术。虽然可能出于举例的目的，描述了LTE、LTE-A、LTE-A专业或NR系统的各方面，并且可能在大部分的描述中使用了LTE、LTE-A、LTE-A专业或NR术语，但是本文中描述的技术可以适用于LTE、LTE-A、LTE-A专业或NR应用之外的范围。

宏小区通常覆盖相对大的地理区域(例如，半径为若干千米)，并且可以允许由具有与网络提供商的服务订制的UE进行不受限制的接入。相比于宏小区，小型小区可以与较低功率的基站相关联，并且小型小区可以在与宏小区相同或不同(例如，经许可、免许可等)的频带中操作。根据各个示例，小型小区可以包括微微小区、毫微微小区和微小区。例如，微微小区可以覆盖小的地理区域，并且可以允许由具有与网络提供商的服务订制的UE进行不受限制的接入。毫微微小区也可以覆盖小的地理区域(例如，住宅)，并且可以提供由与该毫微微小区具有关联的UE(例如，封闭用户组(CSG)中的UE、针对住宅中的用户的UE等)进行的受限制的接入。针对宏小区的eNB可以被称为宏eNB。针对小型小区的eNB可以被称为小型小区eNB、微微eNB、毫微微eNB或家庭eNB。eNB可以支持一个或多个(例如，两个、三个、四个等)小区，以及还可以支持使用一个或多个分量载波的通信。

本文中描述的无线通信系统可以支持同步或异步操作。对于同步操作，基站可以具有相似的帧定时，并且来自不同基站的传输可以在时间上近似对准。对于异步操作，基站可以具有不同的帧定时，并且来自不同基站的传输可以不在时间上对准。本文中描述的技术可以用于同步或异步操作。

本文中描述的信息和信号可以使用各种不同的技术和方法中的任何一种来表示。例如，可能贯穿描述所提及的数据、指令、命令、信息、信号、比特、符号和码片可以由电压、电流、电磁波、磁场或粒子、光场或粒子或者其任意组合来表示。

可以利用被设计为执行本文所述功能的通用处理器、DSP、ASIC、FPGA或其它可编程逻辑器件、分立门或者晶体管逻辑、分立硬件组件或者其任意组合来实现或执行结合本文的公开内容描述的各种说明性的框和组件。通用处理器可以是微处理器，但是在替代方式中，处理器可以是任何常规的处理器、控制器、微控制器或者状态机。处理器还可以实现为计算设备的组合(例如，DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP核的结合、或者任何其它这种配置)。

本文中所描述的功能可以用硬件、由处理器执行的软件、固件或其任意组合来实现。如果用由处理器执行的软件来实现，所述功能可以作为一个或多个指令或代码存储在计算机可读介质上或通过其进行发送。其它示例和实现在本公开内容和所附权利要求的范围之内。例如，由于软件的性质，本文描述的功能可以使用由处理器执行的软件、硬件、固件、硬接线或这些项中的任意项的组合来实现。实现功能的特征还可以在物理上位于各个位置处，包括被分布为使得功能中的各部分功能在不同的物理位置处实现。

计算机可读介质包括非暂时性计算机存储介质和通信介质二者，通信介质包括促进计算机程序从一个地方到另一个地方的传送的任何介质。非暂时性存储介质可以是能够由通用计算机或专用计算机访问的任何可用介质。通过举例而非限制的方式，非暂时性计算机可读介质可以包括RAM、ROM、电可擦除可编程ROM(EEPROM)、闪速存储器、压缩光盘(CD)ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能够用于以指令或数据结构的形式携带或存储期望的程序代码单元以及能够由通用或专用计算机、或通用或专用处理器访问的任何其它非暂时性介质。此外，任何连接适当地被称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或诸如红外线、无线电和微波之类的无线技术来从网站、服务器或其它远程源发送的，则同轴电缆、光纤光缆、双绞线、DSL或诸如红外线、无线电和微波之类的无线技术被包括在介质的定义内。如本文中所使用的，磁盘和光盘包括CD、激光光盘、光盘、数字多功能光盘(DVD)、软盘和蓝光光盘，其中，磁盘通常磁性地复制数据，而光盘则利用激光来光学地复制数据。上文的组合也被包括在计算机可读介质的范围内。

如本文所使用的(包括在权利要求中)，如项目列表(例如，以诸如“中的至少一个”或“中的一个或多个”之类的短语结束的项目列表)中所使用的“或”指示包含性列表，使得例如A、B或C中的至少一个的列表意指A或B或C或AB或AC或BC或ABC(即A和B和C)。此外，如本文所使用的，短语“基于”不应当被解释为对封闭的条件集合的引用。例如，在不脱离本公开内容的范围的情况下，被描述为“基于条件A”的示例性步骤可以基于条件A和条件B两者。换句话说，如本文所使用的，应当以与解释短语“至少部分地基于”相同的方式来解释短语“基于”。

在附图中，相似的组件或特征可以具有相同的附图标记。此外，相同类型的各种组件可以通过在附图标记后跟随有破折号和第二标记进行区分，所述第二标记用于在相似组件之间进行区分。如果在说明书中仅使用了第一附图标记，则描述适用于具有相同的第一附图标记的相似组件中的任何一个组件，而不考虑第二附图标记或其它后续附图标记。

本文结合附图阐述的描述对示例配置进行了描述，而不表示可以实现或在权利要求的范围内的所有示例。本文所使用的术语“示例性”意味着“用作示例、实例或说明”，而不是“优选的”或者“比其它示例有优势”。出于提供对所描述的技术的理解的目的，详细描述包括具体细节。但是，可以在没有这些具体细节的情况下实施这些技术。在一些实例中，公知的结构和设备以框图的形式示出，以便避免使所描述的示例的概念模糊。

为使本领域技术人员能够实现或者使用本公开内容，提供了本文中的描述。对于本领域技术人员来说，对本公开内容的各种修改将是显而易见的，并且在不脱离本公开内容的范围的情况下，本文中定义的总体原理可以应用于其它变型。因此，本公开内容不限于本文中描述的示例和设计，而是被赋予与本文中公开的原理和新颖特征相一致的最广范围。