CN117597957A

CN117597957A - 信息处理方法及装置、通信设备及存储介质

Info

Publication number: CN117597957A
Application number: CN202280002235.7A
Authority: CN
Inventors: 商正仪; 陆伟
Original assignee: Beijing Xiaomi Mobile Software Co Ltd
Current assignee: Beijing Xiaomi Mobile Software Co Ltd
Priority date: 2022-06-16
Filing date: 2022-06-16
Publication date: 2024-02-23
Also published as: WO2023240574A1

Abstract

实施例提供一种信息处理方法及装置、通信设备及存储介质。第一UE为UE到UE的中继UE或者远端UE；由第一UE执行的信息处理方法可包括：获取凭证，其中，凭证包括第一密钥(S1110)；基于第一密钥，与第二UE进行安全直连通信(S1120)。

Description

信息处理方法及装置、通信设备及存储介质

技术领域

本公开涉及无线通信技术领域但不限于无线通信技术领域，尤其涉及一种信息处理方法及装置、通信设备及存储介质。

背景技术

第五代移动通信(5 ^th Generation，5G)邻近型业务(Proximity Based Service，ProSe)又可以称为基于近距离的业务，可以进行用户设备(User Equipment,UE)到UE之间通信中继。这意味着，如果源UE不能直接到达目标UE，源UE将尝试发现一个中继UE，通过中继UE的通信中继，实现与目标UE之间的通信。

UE到UE的中继(UE-to-UE Relay)UE作为一个不受信任的节点可能会被破坏，从而导致对等UE之间信息的安全性被破坏。恶意的中继UE既可以与源UE建立单播链路，也可以与目标UE建立单播链路，可能会进行MITM攻击，影响业务的安全性。因而确保UE到UE之间中继通信的安全性，是相关技术中急需进一步解决的问题。

发明内容

本公开实施例提供信息处理方法一种信息处理方法及装置、通信设备及存储介质。

本公开实施例第一方面提供一种信息处理方法，其中，由第一用户设备UE执行，所述第一UE为UE到UE的中继UE或者远端UE；所述方法包括：

获取凭证，其中，所述凭证包括第一密钥；

基于第一密钥，与第二UE进行安全直连通信。

本公开实施例第二方面提供一种信息处理方法，其中，由第二用户设备UE执行，所述方法包括：

接收第一UE发送的直连通信请求，其中，所述直连通信请求包括凭证ID；所述第一UE为所述第二UE的对端UE；其中，所述第一UE为UE到UE的中继UE或者远端UE；

根据所述凭证ID对应的中间密钥，与所述第一UE协商会话密钥；其中，所述中间密钥是基于所述第一密钥生成的；

基于所述会话密钥，生成与所述第一UE安全直连通信的第二密钥。

本公开实施例第三方面提供一种信息处理方法，由网络设备执行，其中，所述方法包括：

将存储的凭证发送给第一UE；所述第一UE包括：中继UE和/或远端UE；其中，所述中继UE 用于UE到UE之间的中继通信；

所述凭证包括：第一密钥；所述第一密钥，用于所述第一UE和第二UE的安全直连通信；所述第二UE为所述第一UE的对端UE。

本公开实施例第五方面提供一种信息处理装置，其中，所述装置包括：

第一获取模块，被配置为获取凭证，其中，所述凭证包括第一密钥；

第一通信模块，被配置为基于第一密钥，与第二UE进行安全直连通信。

本公开实施例第六方面提供一种信息处理装置，其中，所述装置包括：

第二通信模块，被配置为接收第一UE发送的直连通信请求，其中，所述直连通信请求包括凭证ID；所述第一UE为所述第二UE的对端UE；其中，所述第一UE为UE到UE的中继UE或者远端UE；

第三协商模块，被配置为根据所述凭证ID对应的中间密钥，与所述第一UE协商会话密钥；其中，所述中间密钥是基于所述第一密钥生成的；

第四生成模块，被配置为基于所述会话密钥，生成与所述第一UE安全直连通信的第二密钥。

本公开实施例第七方面提供一种通信设备，包括处理器、收发器、存储器及存储在存储器上并能够有所述处理器运行的可执行程序，其中，所述处理器运行所述可执行程序时执行如前述第一方面至第三方面的任意方面提供的信息处理方法。

本公开实施例第八方面提供一种计算机存储介质，所述计算机存储介质存储有可执行程序；所述可执行程序被处理器执行后，能够实现前述的第一方面至第三方面的任意方面提供的信息处理方法。

本公开实施例提供的技术方案，第一UE和第二UE，基于凭证进行安全直连通信，具有密钥协商简便且能够确保直连通信安全性等特点，如此，不管是第一UE和第二UE作为中继UE都是安全的UE，从而减少了UE到UE的中继通信过程中，恶意中继UE对远程UE中的源UE和/或目标UE的攻击，提升了UE到UE的中继通信的安全性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开实施例。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明实施例，并与说明书一起用于解释本发明实施例的原理。

图1是根据一示例性实施例示出的一种无线通信系统的结构示意图；

图2是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图3A是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图3B是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图3C是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图4是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图5是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图6是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图7是根据一示例性实施例示出的一种信息处理装置的结构示意图；

图8是根据一示例性实施例示出的一种信息处理装置的结构示意图；

图9是根据一示例性实施例示出的一种信息处理装置的结构示意图；

图10是根据一示例性实施例示出的一种UE的结构示意图；

图11是根据一示例性实施例示出的一种通信设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明实施例相一致的所有实施方式。相反，它们仅是本发明实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开所使用的单数形式的一种、所述和该也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语和/或是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语如果可以被解释成为在……时或当……时或响应于确定。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于蜂窝移动通信技术的通信系统，该无线通信系统可以包括：若干个UE 11以及若干个接入设备12。

其中，UE 11可以是指向用户提供语音和/或数据连通性的设备。UE 11可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，UE 11可以是物联网UE，如传感器设备、移动电话(或称为蜂窝电话)和具有物联网UE的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)、移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远端UE(remote terminal)、接入UE(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户UE(user equipment，UE)。或者，UE 11也可以是无人飞行器的设备。或者，UE 11也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线通信设备。或者，UE 11也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

接入设备12可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口(new radio，NR)系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代系统。其中，5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network，新一代无线接入网)。或者，MTC系统。

其中，接入设备12可以是4G系统中采用的演进型接入设备(eNB)。或者，接入设备12也可以是5G系统中采用集中分布式架构的接入设备(gNB)。当接入设备12采用集中分布式架构时，通常包括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对接入设备12的具体实现方式不加以限定。

接入设备12和UE 11之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

如图2所示，本公开实施例提供一种信息处理方法，其中，由第一用户设备UE执行，所述第一UE为UE到UE的中继UE或者远端UE；所述方法包括：

S1110：获取凭证，其中，所述凭证包括第一密钥；

S1120：基于第一密钥，与第二UE进行安全直连通信。

此处的第一UE可以为UE到UE的中继UE或者远端UE。

示例性地，该凭证可以为长期凭证，该长期凭证可为：没有进行特别的无效处理就认定为长期有效的凭证。该凭证可为3A服务器颁发的凭证和/或通信运营商颁发的凭证。

所述凭证包括：凭证标识和/或所述第一密钥。

示例性地，在本公开实施例中，支持相同业务类型的UE可以获取到相同的凭证，如此，基于第一密钥客户发现支持形同业务类型的第二UE，从而进行基于安全直连通信进行相同业务类型的业务通信。

此处的第二UE为第一UE的对端UE。示例性地，若第一UE为中继UE，则第二UE为UE到UE中继通信中的源UE和/或目的UE。又示例性地，若第一UE为远端UE，则第二UE可为UE到UE中继通信的中继UE。

在本公开实施例中，基于第一密钥与第二UE进行基于PC5的UE到UE的直连中继通信。

此处的安全直连通信可包括：基于PC5链路且使用协商密钥的直连通信。

此处的基于PC5链路的直连通信可为：层3(Layer 3，L3)的连接。

总之，在本公开实施例中，基于凭证进行安全直连通信，具有密钥协商简便且能够确保直连通信安全性等特点。

参考图3A所示，本公开实施例提供一种信息处理方法，由第一UE执行，所述第一UE为UE到UE的中继UE或者远端UE；所述方法包括：

S1210：获取凭证，其中，所述凭证包括第一密钥；

S1220：向所述第二UE发送直连通信请求，其中，所述直连通信请求包括凭证ID；

S1230：基于所述凭证ID对应的中间密钥，与所述第二UE协商会话密钥；其中，所述中间密钥是基于所述第一密钥生成的；

S1240：基于所述会话密钥，生成所述安全直连通信的第二密钥。

在一些实施例中，所述第一UE获取到凭证之后可以在直连广播信道上发送直连通信请求。该直连通信请求包括所述凭证的凭证ID。

若其他UE在广播信道接收到该直连通信请求，可以提取出所述凭证ID，基于所述凭证ID就可以知晓使用哪个凭证上的第一密钥生成会话密钥以及当前第一UE和第二UE之间当前通信的业务类型。

在本公开实施例中，第一UE可以单独确定中间密钥，也可以与第二UE协商中间密钥。例如，在某些特定情况下，第一UE可以根据与第二UE之间安全直连通信的历史中间密钥，确定中间密钥，也可以临时协商中间密钥。

如此，后续第一UE会基于中间密钥确定出会话密钥。会话密钥会进一步用于确定第二密钥。第二密钥可用于安全直连通信。示例性地，第二密钥可包括：机密性保护密钥和完整性保护密钥。所述机密性保护密钥用于基于PC5直连通信的信息机密性保护。所述完整性保护密钥，用于基于PC5直连通信的完整性保护。

此处的第二密钥是基于会话密钥进一步生成的。示例性地，第一UE和第二UE可以根据双方已知会话密钥的情况下，算法标识，生成所述第二密钥

在一些实施例中，所述直连通信请求还包括以下至少之一：

所述第一UE的安全能力信息，用于与所述第二UE协商进行所述安全直连通信的安全算法；

中继业务码(Relay Service Code，RSC)；

邻近型业务Prose码；

第一随机数，其中，所述第一随机数，用于生成所述会话密钥；

中间密钥的ID，其中，所述中间密钥是基于所述第一密钥生成的。

在本公开实施例中，直连通信请求会可包括第一UE的安全能力信息，该安全能力信息可至少第一UE支持的安全算法的算法标识。如此，第二UE接收到直连通信请求之后，可以根据第一UE的安全能力信息，可以知晓第一UE支持的安全算法，然后第二UE结合自身支持的安全算法，可以选择第一UE和第二UE同时支持的安全算法，作为本次安全直连通信使用的安全算法。

所述安全算法可包括：机密性算法和/或完整性保护算法。

所述RSC标识的是中继业务。所述Prose码标识的邻近型业务。

该RSC和Prose码可是明文携带在所述直连通信请求中的，若侦听PC5广播信道的其他UE监听到该直连通信请求之后，就可以根据直连通信请求携带的凭证ID确定生成中间密钥和/或会话密钥的凭证，以及当前直连通信请求对应的业务类型。

示例性地，本公开实施例提到的凭证可为根据业务类型颁发的或者分发的。例如，不同的RSC标识不同的中继业务。不同业务类型的凭证不同。不同Prose业务的Prose码不同。不同的Prose码的凭证可不同。

若第一UE和第二UE之间之前已经进行过与PC5链路的安全直连通信，则第一UE和第二UE之间之前协商过中间密钥，此时为了简化安全直连通信的建立过程，提升安全直连通信的速率，可以将依然有效的中间密钥的ID携带在直连通信请求中，如此，若第二UE同意使用历史协商的中间密钥作为本次安全直连通信的中间密钥，则第一UE和第二UE之间可以跳过中间密钥协商的过程。

所述第一随机数可为第一UE采用随机算法随机生成的任意一个数。该第一随机数可用于生成会话密钥，如此，在直连通信请求中就直接携带第一随机数，如此第二UE在接收到所述直连通信请求之后，就可以拿到需要进行会话密钥协商的第一随机数。

在一些实施例中，所述基于所述第一密钥确定中间密钥，包括：

确定所述第一UE和所述第二UE是否是非首次进行所述安全连接通信；

响应于所述第一UE和所述第二UE是非首次进行所述安全连接通信，获取所述第一UE和所述第二UE历史安全连接通信中根据所述第一密钥生成的且还在有效期内的所述中间密钥。

例如，第一UE和第二UE并非首次进行基于PC5的安全直连通信，若并非首次，则第一UE和第二UE之前可能存储有中间密钥，此时若第一UE想要使用该中间密钥，则会将有效期内的中间密钥的ID携带在直连通信请求中，从而本次安全直连通信就可以跳过中间密钥协商的过程。

在一些实施例中，所述方法还包括：

根据所述第一密钥协商所述中间密钥。

示例性地，所述根据所述第一密钥协商所述中间密钥，包括：

响应于所述第一UE和所述第二UE是首次进行所述安全连接通信，则根据所述第一密钥协商所述中间密钥；

或者，

响应于所述第一UE和所述第二UE是非首次进行所述安全连接通信，且前一次历史安全连接通信中根据所述第一密钥生成的中间密钥失效，则根据所述第一密钥协商所述中间密钥；

或者，

响应于所述第一UE和所述第二UE是非首次进行所述安全连接通信，且前一次历史安全连接通信中根据所述第一密钥生成的中间密钥失效，但第一UE确定重新生成中间密钥，则根据所述第一密钥协商所述中间密钥。

所述根据第一密钥协商所述中间密钥可包括：

向第二UE发送第三随机数；

接收第二UE的第四随机数；

根据所述第三随机数、所述第四随机数以及所述第一密钥，生成所述中间密钥。

示例性，使用密钥生成函数，以所述第三随机数、所述第四随机数以及所述第一密钥为输入参数进行计算，得到计算值即为生成的所述中间密钥。

总之，第一UE和第二UE之间若非首次安全通信，可以沿用还在有效期内的中间密钥，由于该中间密钥还在有效期内则确保了该中间密钥自身的安全性，且沿用中间密钥无需重新协商，简化了安全直连通信连接建立的过程，缩短了延时。

而针对高优先级的业务，可能不能使用前一次的中间密钥，即便前一次的中间密钥还在有效期内，也可以基于安全性的考虑，重新协商新的中间密钥，并基于新协商的中间密钥生成会话密钥，并基于会话密钥生成第二密钥。而第二密钥为在基于PC5连接的直连通信过程中直接使用的密钥。

在一些实施例中，所述方法还包括：

接收直连安全模式命令，其中，所述直连安全模式命令包括：第二随机数；

根据所述第一随机数和所述第二随机数，生成所述会话密钥；

根据所述会话密钥，生成第二密钥；

利用所述第二密钥对所述直连安全模式命令进行完整性校验；

响应于所述直连安全模式命令通过完整性验证，则向所述第二UE发送直连安全模式完成消息。

在确定完中间密钥之后，第一UE会收到第二UE直连安全模式命令。该直连安全模式命令会包括：第二UE提供的随机数(即第二随机数)。

此时，第一UE获取到了第一随机数和第二随机数，将第一随机数、第二随机数以及中间密钥作为密钥生成函数的输入参数将计算得到所述会话密钥。

示例性地，在一些实施例中，所述第二密钥可包括：机密性保护密钥和完整性保护密钥。则此时，第一UE会根据会话密钥以及机密性保护标识符，生成第二密钥中的机密性密钥。第二UE会根据会话密钥以及完整性保护标识符，生成第二密钥中的完整性保护密钥。

示例性地，所述直连安全内模式命令还包括：算法信息，该算法信息可为：第二UE根据第一UE的安全能力信息选择第一UE和第二UE都支持的安全算法。

为了通信安全性，第一UE生成第二密钥之后，会使用第二密钥对直连安全模式命令进行完整性校验，在该直连安全模式命令的完整性校验通过时，则向第二UE发送直连安全模式完成消息，表示第二密钥已经生成，第一UE已经完成了直连通信连接的建立的所有预备操作。

示例性地，若第一UE接收到直连安全模式完成消息，也标识第二UE已经完成了直连通信连接的建立的所有预备操作。

在一些实施例中，所述直连安全模式命令还包括：安全算法的算法信息；其中，所述安全算法是所述第二UE根据所述第一UE的安全能力信息选择的安全算法。

该算法信息可包括：算法ID和/或算法本身。

在一些实施例中，所述第一UE为所述中继UE，则所述第二UE包括：安全直连通信的源UE和目标UE；所述方法还包括：

当所述中继UE分别与所述源UE和所述目标UE生成所述第二密钥之后，建立所述源UE和所述目标UE之间的安全直连通信。

若第一UE是中继UE，则中继UE必须同时确定出源UE和目标UE都生成第二密钥之后，则中继UE会建立源UE和目标UE之间L3的安全直连通信，从而确保直连通信的安全性。

在一些实施例中，所述当所述中继UE分别与所述源UE和所述目标UE生成第二密钥之后，建立所述源UE和所述目标UE之间的安全直连通信，包括：

当确定所述源UE和所述目标UE均生成所述第二密钥之后，向所述源UE发送直连通信接受消息；

在向所述源UE发送所述直连通信接受消息之后，建立所述源UE和所述目标UE之间的安全直连通信。

中继UE在接收到源UE发送的直连安全模式完成消息之后，就可以认为源UE自身基于会话密钥完成了第二密钥的生成。在所述源UE和所述目标UE都生成所述第二密钥之后，所述中继UE可以响应源UE发送的直连通信请求消息，故而向源UE返回直连通信接受消息，表明源UE和目标UE之间可以建立基于PC5连接的安全直连通信了。

在一些实施例中，所述方法还包括：

向网络设备请求所述凭证。

若第一UE本地为存储凭证，可以向网络设备请求凭证。例如，向策略控制功能(Policy Control Function，PCF)、直连发现名字管理功能(Direct Discovery Name Management Function，DDNMF)或者邻近型业务密钥管理功能(ProSe Key Management Function，PKMF)或者Prose服务器等网络设备请求所述凭证。

在请求凭证时，可以携带第一UE的设备标识和/或第一UE支持的中继业务的RSC和/或邻近型业务的Prose码。

该设备标识包括但不限于：该UE的标识包括但不限于：签约用户隐式标识(Subscription Concealed Identifier，SUCI)和/或签约用户永久标识(Subscription permanent Identifier，SUPI)等。该RSC和/或Prose码，可用于网络设备确定第一UE请求的凭证。不同的业务对应的凭证不同。在一些实施例中，所述凭证预置在所述中继UE内。

例如，该凭证可为在第一UE出厂之前预先配置在第一UE内，或者，第一UE传递用户手中正式投入使用之前，基于空中传播技术(Over the air，OTA)将所述凭证预先发送给所述第一UE。

参考图3B所示，本公开实施例提供一种信息处理方法，由源UE执行，所述方法包括：

S1211：获取凭证，例如，源UE预先配置有凭证，或者从网络设备请求凭证；所述凭证包括第一密钥和生成会话密钥所需的随机数；

S1221：向中继UE发送直连通信请求，该直连通信请求包括：所述凭证ID；

S1231：中间密钥的生成，该步骤可为可选步骤，例如，假设源UE和中继UE之间有之前协商的还在有效期内的中间密钥，则该步骤可以跳过。该中间密钥的生成可包括：源UE和中继UE各自生成一个随机数，并告知对端，源UE和中继UE均结合自身生成的随机数和对端UE生成的随机数，以及凭证ID对应的凭证包含的第一密钥，生成所述中间密钥。

S1241：接收中继UE返回的直连安全模式命令；该直连安全模式命令可包括：生成会话密钥所需的随机数；在接收到该直连安全模式命令之后，根据直连安全模式命令包含的随机数和源UE自身生成的随机数，并结合所述中间密钥，生成会话密钥。并进一步，根据会话密钥生成第二密钥。

S1251：在生成第二密钥之后，向中继UE返回直连安全模式完成消息。

参考图3C所示，本公开实施例提供一种信息处理方法，由中继UE执行，所述方法包括：

S1212：获取凭证，例如，中继UE预先配置有凭证，或者从网络设备请求凭证；所述凭证包括第一密钥和生成会话密钥所需的随机数；

S1201：接收源UE发送的直连通信请求；

S1202：中继UE与源UE之间的中继密钥的生成，该步骤可为可选步骤。，例如，假设源UE和中继UE之间有之前协商的还在有效期内的中间密钥，则该步骤可以跳过。该中间密钥的生成可包括：源UE和中继UE各自生成一个随机数，并告知对端，源UE和中继UE均结合自身生成的随机数和对端UE生成的随机数，以及凭证ID对应的凭证包含的第一密钥，生成所述中间密钥。

S1203：向源UE返回直连安全模式命令；

S1204：接收源UE返回的芝兰安全模式完成消息；

S1222：向目标UE发送直连通信请求，其中，所述直连通信请求包括凭证ID；

S1232：中间密钥的生成，该步骤可为可选步骤，例如，假设目标UE和中继UE之间有之前协商的还在有效期内的中间密钥，则该步骤可以跳过。该中间密钥的生成可包括：目标UE和中继UE各自生成一个随机数，并告知对端，源UE和中继UE均结合自身生成的随机数和对端UE生成的随机数，以及凭证ID对应的凭证包含的第一密钥，生成所述中间密钥。

S1242：接收目标UE返回的直连安全模式命令；该直连安全模式命令可包括：生成会话密钥所需的随机数；在接收到该直连安全模式命令之后，根据直连安全模式命令包含的随机数和目标UE自身生成的随机数，并结合所述中间密钥，生成会话密钥。并进一步，根据会话密钥生成第二密钥。

S1252：在生成第二密钥之后，向目标UE返回直连安全模式完成消息。

S1262：向源UE返回直连通信接受消息，实现源UE和目标UE之间基于PC5链路的安全直连通信连接的建立。

如图4所示，本公开实施例提供一种信息处理方法，由第二UE执行，所述方法包括：

S2110：接收第一UE的直连通信请求，其中，所述直连通信请求包括凭证ID；所述第一UE为UE到UE的中继UE或者远端UE；

S2120：根据所述凭证ID对应的中间密钥，与所述第二UE协商会话密钥；其中，所述中间密钥是基于所述第一密钥生成的；

S2130：基于所述会话密钥，生成与所述第一UE安全直连通信的第二密钥。

这里的第二UE为前述第一UE的对端UE。示例性地，若第一UE为中继UE，则第二UE为远端UE，该远端UE可为源UE或者目标UE。若第一UE为远端UE，则第二UE可为中继UE。

第二UE会监听PC5链路的广播信道，若监听到直连通信请求，可以从直连通信请求中提取凭证ID，若第二UE根据该凭证ID，确定出第二UE本地存储有该凭证ID标识的凭证，且由于凭证是根据业务类型分发的，因此所述凭证ID可以用于第二UE确定与第一UE之前直连通信请求涉及的业务。

第二UE本地存储的凭证可以为长期凭证，该长期凭证可为：没有进行特别的无效处理就认定为长期有效的凭证。该凭证可为3A服务器颁发的凭证和/或通信运营商颁发的凭证。

所述凭证包括：凭证标识和/或所述第一密钥。

在接收到所述直连通信请求之后，会基于所述凭证包含的第一密钥生成的中间密钥，与所述第一UE协商所述会话密钥，该会话密钥可用于进一步生成第二密钥。

示例性地，第二密钥可包括：机密性保护密钥和完整性保护密钥。所述机密性保护密钥用于基于PC5直连通信的信息机密性保护。所述完整性保护密钥，用于基于PC5直连通信的完整性保护。

此处的第二密钥是基于会话密钥进一步生成的。示例性地，第一UE和第二UE在双方已知会话密钥的情况下，根据会话密钥和安全算法的算法标识为计算公式的输入参数，计算得到第二密钥。

基于第一密钥与第一UE进行基于PC5的UE到UE的直连中继通信。

此处的基于PC5链路的直连通信可为：层3(Layer 3，L3)的连接。

在一些实施例中，所述直连通信请求还包括以下至少之一：

中继业务码RSC；

Prose码；

所述安全算法可包括：机密性算法和/或完整性保护算法。

所述RSC标识的是中继业务。所述Prose码标识的邻近型业务。

该RSC和Prose码可是明文携带在所述直连通信请求中的，若侦听PC5广播信道的其他UE监听到该直连通信请求之后，根据直连通信请求携带的凭证ID以及RSC和/或Prose码确定本次安全直连通信请求使用的凭证。

若第一UE和第二UE之间之前已经进行过与PC5链路的安全直连通信，则第一UE和第二UE之间之前协商过中间密钥，此时为了简化安全直连通信的建立过程，提升安全直连通信的速率，可以将依然有效的中间密钥携带在直连通信请求中，如此，若第二UE同意使用历史协商的中间密钥作为本次安全直连通信的中间密钥，则第一UE和第二UE之间可以跳过中间密钥协商的过程。

所述第一随机数可为第一UE采用随机算法随机生成的任意一个数。该第一随机数可用于生成会话密钥，如此，在直连通信请求中就直接携带第一随机数，如此第二UE在成功接收所述直连通信请求之后，就可以拿到需要进行会话密钥协商的第一随机数。

在一些实施例中，所述方法，还包括：

若所述直连通信请求包含中间密钥的ID，则根据所述中间密钥的ID确定中间密钥；

或者，

若所述直连通信请求不包含中间密钥的ID，根据所述第一密钥生成中间密钥。

若直连通信请求包括中间密钥的ID所述中间密钥的ID对应的中间密钥处于有效期内，则第二UE认为可以跳过与第一UE协商中间密钥的过程，可直接根据直连通信请求包含的中间密钥的ID，找到本地存储的中间密钥，将该中间密钥确定本次基于PC5链路的安全直连通信的中间密钥。

若直连通信请求不包含中间密钥的ID，则第二UE会与第一UE协商中间密钥。

所述与第一UE协商中间密钥，包括：

接收第一UE的第四随机数；

向第一UE发送第三随机数；

总之，本公开实施例所述第二UE会根据接收第一UE的直连通信请求是否包含中间密钥的ID，确定是否需要和第一UE重新协商中间密钥。

在一些实施例中，所述方法还包括：

发送直连安全模式命令，其中，所述直连安全模式命令包括：第二随机数；

根据所述会话密钥，生成第二密钥；

接收所述第一UE发送的直连安全模式完成消息，其中，所述直连安全完成消息是在所述直连安全模式命令通过基于所述第一UE生成的第二密钥的完整性校验之后发送的。

若第二UE在接收到所述第一UE的直连通信请求之后，若应答第一UE，则会向第二UE发送直连通信安全模式命令。该直连通信安全模式命令包括第二随机数，该第二随机数将用于与第一随机数，生成会话密钥。

例如，第二UE获取到了第一随机数和第二随机数，将第一随机数、第二随机数以及中间密钥作为密钥生成函数的输入参数将计算得到所述会话密钥。

若第一UE收到第二UE的直连安全模式命令之后，也会生成第二密钥，若生成第二密钥之后，且成功验证直连安全模式命令的完整性，会向第一UE发送直连安全模式完成消息。故第二UE若接收到了直连安全模式完成消息，则可认为第一UE和第二UE都完成了第二密钥生成，可以建立基于PC5连接的直连安全通信了。

该算法信息包括但不限于安全算法的标识。

该安全算法包括但不限于：机密性保护算法和/或完整性保护算法。

若所述第二UE为中继UE，所述第一UE为源UE或者目标UE，所述方法还包括：

示例性地，所述当所述中继UE分别与所述源UE和所述目标UE生成第二密钥之后，建立所述源UE和所述目标UE之间的安全直连通信，包括：当确定所述源UE和所述目标UE均生成所述第二密钥之后，向所述源UE发送直连通信接受消息；在向所述源UE发送直连通信接受消息之后，建立所述源UE和所述目标UE之间的安全直连通信。

在一些实施例中，所述方法还包括：所述第二UE获取凭证。所述第二UE获取凭证的方式可包括：所述第二UE从网络设备请求所述凭证，或者，第二UE本地预先存储有所述凭证。

如图5所示，本公开实施例提供一种信息处理方法，由网络设备执行，其中，所述方法包括：

S3110：将存储的凭证发送给第一UE；所述第一UE包括：中继UE和/或远端UE；其中，所述中继UE用于UE到UE之间的中继通信；

该网络设备可为DDNMF、PKMF或者Prose服务器等。当然此处仅仅是网络设备的举例，具体实现时不局限于该举例。在本公开实施例中，该网络设备可预先存储有UE的凭证，后续UE可以向网络设备请求该凭证。示例性地，接收第一UE发送的请求消息，该请求消息可包括但不限于RSC和/或Prose码。网络设备根据RSC和/或Prose码可以确定第一UE所请求的凭证。

该凭证可为长期凭证，可用于UE到UE之间的中继通信。

在一些实施例中，第一UE请求所述凭证的信息还可包括UE的标识，该UE的标识可用于UE 的验证，在UE通过验证之后，则认为第一UE是安全可信的UE，则将所述凭证发送给所述第一UE。

示例性地，该UE的标识包括但不限于：签约用户隐式标识(Subscription Concealed Identifier，SUCI)和/或签约用户永久标识(Subscription permanent Identifier，SUPI)等。

通过UE到UE中继建立源UE和目标UE之间的L3U2U的安全链路。

以5G ProSe业务为例进行说明，5G ProSe业务支持用户设备到用户设备(UE-to-UE)的中继，考虑了二层UE-to-UE中继和三层UE-to-UE中继两种选择。对于L3UE-to-UE中继，必须将PC5的分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)消息从源UE转换为另一个PC5PDCP消息发送到目标UE，因此，由于L3UE-to-UE中继的存在，源UE和目标UE之间PC5一对一通信的完全安全性无法建立。源UE和目标UE通过L3U2U中继间接通信需要通过两条PC5链路相连(源UE和L3U2U中继UE之间、L3U2U中继UE和目标UE之间)。这意味着源UE和目标UE之间的安全通信依赖于每个连接PC5链路的安全保护。

本公开实施例提供一种信息处理方法，可包括：通过UE到UE中继建立源UE和目标UE之间的L3U2U安全链路，以提供通过UE-to-UE中继传输的信息的完整性和保密性，并确保远端UE能够监控和识别作为UE到UE中继的恶意攻击者，以及确保5G PKMF能够安全地向远端UE和U2U中继UE提供安全参数。

假设远端(Remote)UE1、远端(Remote)UE2和中继UE都可以预先配置相同的长期凭证和长期凭证ID。

参考图6所示，本公开实施例提供一种信息处理方法，可包括：

0.在发现U2U设备并建立链路之前，需要向远端UE和U2U中继(Relay)，也即前述中继UE，发放安全材料。在此步骤中，如果UE和U2U中继没有预置的长期凭证的话，还可以通过网络向UE提供长期凭证和长期凭证ID。

1.使用发现参数和发现安全材料，在远端UE和UE到UE(UE-to-UE)中继之间执行发现和中继选择过程。

值得注意的是：假设远端UE1和远端UE2发现并选择了同一个U2U中继(即中继UE)，远端UE1和远端UE2需要分别与U2U中继建立安全的PC5通信。

2.远端UE1向U2U中继发送一次直连通信请求，请求中包含长期凭证ID、远端UE1安全能力、5G ProSe U2U中继业务的RSC或ProSe码(Code)。如果远端UE1发送试图与U2U中继通信的直连通信请求，则该直连通信请求还可能包括一个Knrp ID。该Knrp ID的中间密钥的ID。该Knrp为中间密钥。

3.U2U中继可以与远端UE1启动直接认证和密钥建立程序，以生成Knrp。如果Knrp ID包含在直连通信请求中且Knrp ID对应的Knrp仍有效，则跳过此步骤。

4.U2U中继应从Knrp获得会话密钥(K _NRP-sess)，然后根据PC5安全策略获得机密性保护密钥(NRPEK)和完整性保护密钥(NRPIK)。U2U中继(Relay)向远端UE1发送直接安全模式命令。该直接安全模式命令应包括选择的安全算法以及第二随机数(即nonce 2)。

5.若直接安全模式命令通过完整性验证，远端UE1向U2U中继发送一个直接安全模式完成消息。

6.U2U中继向远端UE2发送直连通信请求，请求中包含长期凭证ID、中继UE的安全能力信息、5G ProSe U2U中继服务的RSC或ProSe码，以及第一随机数(即nonce 1)。该消息可能还包括一个Knrp ID，如果U2U中继与远端UE2有一个现有的Knrp，且该Knrp仍有效，则可以继续沿用该Knrp。

7.远端UE2可能启动一个直接认证和密钥建立程序与U2U中继产生Knrp'。如果直连通信请求中包含Knrp ID且Knrp ID对应的Knrp仍有效，则跳过此步骤。

8.远端UE2根据PC5安全策略，从K _NRP'派生会话密钥(K _NRP-sess')，然后派生机密性保护密钥(NRPEK')(如果适用)和完整性保护密钥(NRPIK')。远端UE2向U2U中继发送直接安全模式命令。该直接安全模式命令应包括所选的安全算法的算法信息以及第二随机数(即nonce 2)。

9.U2U中继向远端UE2响应一个直接安全模式完成消息。

10.一旦收到U2U中继的直接安全模式完成消息，远端UE2就会向U2U中继发送直连通信接受消息。

11.U2U中继接收到直连通信接受消息后，向远端UE1发送直连通信接受消息。

12.U2U中继建立远端UE1和远端UE2之间的L3PC5安全链路。U2U中继可以实现对端UE之间的通信中继。

如图7所示，本公开实施例提供一种信息处理装置，所述装置包括：

第一获取模块110，被配置为获取凭证，其中，所述凭证包括第一密钥；

第一通信模块120，被配置为基于第一密钥，与第二UE进行安全直连通信。

该信息处理装置可为第一UE的组成部分。

在一些实施例中，第一获取模块110可对应于处理器，所述处理器包括但不限于：中央处理单元(central processing unit，CPU)，还可以是其它通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程门阵列(field programmable gate array，FPGA)或者其它可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。通用处理器可以是微处理器，也可以是任何常规的处理器。

所述第一通信模块120可对应于收发器或收发天线等。

在一些实施例中，所述第一通信模块120，被配置为向所述第二UE发送直连通信请求，其中，所述直连通信请求包括所述凭证ID；

第一协商模块，被配置为基于所述凭证ID对应的中间密钥，与所述第二UE协商会话密钥；其中，所述中间密钥是基于所述第一密钥生成的；

第一生成模块，被配置为基于所述会话密钥，生成所述安全直连通信的第二密钥。

在一些实施例中，所述直连通信请求还包括以下至少之一：

中继业务码RSC；

邻近型业务Prose码；

在一些实施例中，所述装置，还包括：

第一确定模块，被配置为确定所述第一UE和所述第二UE是否是非首次进行所述安全连接通信；

第二协商模块，被配置为响应于所述第一UE和所述第二UE是首次进行所述安全连接通信，根据所述第一密钥协商所述中间密钥。

在一些实施例中，所述装置还包括：

第二获取模块，被配置为响应于所述第一UE和所述第二UE是非首次进行所述安全连接通信，获取所述第一UE和所述第二UE历史安全连接通信中根据所述第一密钥生成的且还在有效期内的所述中间密钥。

在一些实施例中，所述第一通信模块120，还被配置为接收直连安全模式命令，其中，所述直连安全模式命令包括：第二随机数；

第二生成模块，被配置为根据所述第一随机数和所述第二随机数，生成所述会话密钥；

第三生成模块，被配置为根据所述会话密钥，生成第二密钥；

校验模块，被配置为利用所述第二密钥对所述直连安全模式命令进行完整性校验；

所述第一通信模块120，还被配置为响应于所述直连安全模式命令通过完整性验证，则向所述第二UE发送直连安全模式完成消息。

在一些实施例中，所述第一UE为所述中继UE，则所述第二UE包括：安全直连通信的源UE和目标UE；所述装置还包括：

第一建立模块，被配置为当所述中继UE分别与所述源UE和所述目标UE生成所述第二密钥之后，建立所述源UE和所述目标UE之间的安全直连通信。

在一些实施例中，所述第一建立模块，被配置为当确定所述源UE和所述目标UE均生成所述第二密钥之后，向所述源UE发送直连通信接受消息；

所述第一通信模块120，还被配置为在向所述源UE发送的直连通信接受消息，建立所述源UE和所述目标UE之间的安全直连通信。

在一些实施例中，所述第一通信模块120，还被配置为向网络设备请求所述凭证。

在一些实施例中，所述凭证预置在所述第一UE内。

如图8所示，本公开实施例提供一种信息处理装置，其中，所述装置包括：

第二通信模块210，被配置为接收第一UE发送的直连通信请求，其中，所述直连通信请求包括凭证ID；其中，所述第一UE为UE到UE的中继UE或者远端UE；

第三协商模块220，被配置为根据所述凭证ID对应的中间密钥，与所述第一UE协商会话密钥；其中，所述中间密钥是基于所述第一密钥生成的；

第四生成模块230，被配置为基于所述会话密钥，生成与所述第一UE安全直连通信的第二密钥。

在一些实施例中，该信息处理装置可包含在第二UE内。

所述第二通信模块210可对应于收发器。

第三协商模块220以及第四生成模块230可均为对应于处理器。

在一些实施例中，所述直连通信请求还包括以下至少之一：

中继业务码RSC；

邻近型业务Prose码；

在一些实施例中，所述装置，还包括：

第二确定模块，被配置为若所述直连通信请求包含中间密钥的ID，则根据所述中间密钥的ID确定中间密钥；

或者，

第五生成模块，被配置为若所述直连通信请求不包含中间密钥的ID，根据所述第一密钥生成中间密钥。

在一些实施例中，所述第二通信模块210，还被配置为发送直连安全模式命令，其中，所述直连安全模式命令包括：第二随机数；

所述装置还包括：

第六生成模块，被配置为根据所述第一随机数和所述第二随机数，生成所述会话密钥；

第七生成模块，被配置为根据所述会话密钥，生成第二密钥；

所述第一通信模块120，还被配置为接收所述第一UE发送的直连安全模式完成消息，其中，所述直连安全完成消息是在所述直连安全模式命令通过基于所述第一UE生成的第二密钥的完整性校验之后发送的。

如图9所示，本公开实施例提供一种信息处理装置，其中，所述装置包括：

发送模块310，被配置为将存储的凭证发送给第一UE；所述第一UE包括：中继UE和/或远端UE；其中，所述中继UE用于UE到UE之间的中继通信；

该信息处理装置可包括在网络设备中。

该发送模块310可对应收发器。

该信息处理装置还可包括：存储模块，该存储模块可用于存储所述凭证。

本公开实施例提供一种通信设备，包括：

用于存储处理器可执行指令的存储器；

处理器，分别存储器连接；

其中，处理器被配置为执行前述任意技术方案提供的信息处理方法。

处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在通信设备掉电之后能够继续记忆存储其上的信息。

这里，所述通信设备包括：UE或者网络设备。

所述处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序，例如，如图2、图3A至图3C，以及图4至图6所示的方法的至少其中之一。

图10是根据一示例性实施例示出的一种UE 800的框图。例如，UE 800可以是移动电话，计算机，数字广播用户设备，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图10，UE 800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制UE 800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以生成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在UE 800的操作。这些数据的示例包括用于在UE 800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为UE 800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为UE 800生成、管理和分配电力相关联的组件。

多媒体组件808包括在所述UE 800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当UE 800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当UE 800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为UE 800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如所述组件为UE 800的显示器和小键盘，传感器组件814还可以检测UE 800或UE 800一个组件的位置改变，用户与UE 800接触的存在或不存在，UE 800方位或加速/减速和UE 800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于UE 800和其他设备之间有线或无线方式的通信。UE 800可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，UE 800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由UE 800的处理器820执行以生成上述方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

如图11所示，本公开一实施例示出一种网络设备的结构。例如，网络设备900可以被提供为一网络侧设备，例如核心网的网络设备。

参照图11，网络设备900包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述方法前述应用在所述接入设备的任意方法，例如，如图2、图3A至图3C，以及图4至图6。

网络设备900还可以包括一个电源组件926被配置为执行网络设备900的电源管理，一个有线或无线网络接口950被配置为将网络设备900连接到网络，和一个输入输出(I/O)接口958。网络设备900可以操作基于存储在存储器932的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种信息处理方法，其中，由第一用户设备UE执行，所述第一UE为UE到UE的中继UE或者远端UE；所述方法包括：

获取凭证，其中，所述凭证包括第一密钥；

基于第一密钥，与第二UE进行安全直连通信。
根据权利要求1所述的方法，其中，所述基于第一密钥，与第二UE进行安全直连通信，包括：

向所述第二UE发送直连通信请求，其中，所述直连通信请求包括凭证ID；

基于与所述凭证ID对应的中间密钥，与所述第二UE协商会话密钥；其中，所述中间密钥是基于所述第一密钥生成的；

基于所述会话密钥，生成所述安全直连通信的第二密钥。
根据权利要求2所述的方法，其中，所述直连通信请求还包括以下至少之一：

所述第一UE的安全能力信息，用于与所述第二UE协商进行所述安全直连通信的安全算法；

中继业务码RSC；

邻近型业务Prose码；

第一随机数，其中，所述第一随机数，用于生成所述会话密钥；

中间密钥的ID，其中，所述中间密钥是基于所述第一密钥生成的。
根据权利要求2所述的方法，其中，所述方法，还包括：

确定所述第一UE和所述第二UE是否是非首次进行所述安全连接通信；

响应于所述第一UE和所述第二UE是首次进行所述安全连接通信，根据所述第一密钥协商所述中间密钥。
根据权利要求4所述的方法，其中，所述方法还包括：

响应于所述第一UE和所述第二UE是非首次进行所述安全连接通信，获取所述第一UE和所述第二UE历史安全连接通信中根据所述第一密钥生成的且还在有效期内的所述中间密钥。
根据权利要求3所述的方法，其中，所述方法还包括：

接收直连安全模式命令，其中，所述直连安全模式命令包括：第二随机数；

根据所述第一随机数和所述第二随机数，生成所述会话密钥；

根据所述会话密钥，生成第二密钥；

利用所述第二密钥对所述直连安全模式命令进行完整性校验；

响应于所述直连安全模式命令通过完整性验证，则向所述第二UE发送直连安全模式完成消息。
根据权利要求6所述的方法，其中，所述直连安全模式命令还包括：安全算法的算法信息；其中，所述安全算法是所述第二UE根据所述第一UE的安全能力信息选择的安全算法。
根据权利要求2所述的方法，其中，所述第一UE为所述中继UE，则所述第二UE包括：安全直连通信的源UE和/或目标UE；所述方法还包括：

当所述中继UE分别与所述源UE和所述目标UE生成所述第二密钥之后，建立所述源UE和所述目标UE之间的安全直连通信。
根据权利要求8所述的方法，其中，所述当所述中继UE分别与所述源UE和所述目标UE生成第二密钥之后，建立所述源UE和所述目标UE之间的安全直连通信，包括：

当确定所述源UE和所述目标UE均生成所述第二密钥之后，向所述源UE发送直连通信接受消息；

在向所述源UE发送直连通信接受消息之后，建立所述源UE和所述目标UE之间的安全直连通信。
根据权利要求1至9任一项所述的方法，其中，所述方法还包括：

向网络设备请求所述凭证。
根据权利要求1至9任一项所述的方法，其中，所述凭证预置在所述第一UE内。
一种信息处理方法，其中，由第二用户设备UE执行，所述方法包括：

接收第一UE发送的直连通信请求，其中，所述直连通信请求包括凭证ID；所述第一UE为UE到UE的中继UE或者远端UE；根据所述凭证ID对应的中间密钥，与所述第一UE协商会话密钥；其中，所述中间密钥是基于所述第一密钥生成的；

基于所述会话密钥，生成与所述第一UE安全直连通信的第二密钥。
根据权利要求12所述的方法，其中，所述直连通信请求还包括以下至少之一：

所述第一UE的安全能力信息，用于与所述第二UE协商进行所述安全直连通信的安全算法；

中继业务码RSC；

邻近型业务Prose码；

第一随机数，其中，所述第一随机数，用于生成所述会话密钥；

中间密钥的ID，其中，所述中间密钥是基于所述第一密钥生成的。
根据权利要求13所述的方法，其中，所述方法，还包括：

响应于所述直连通信请求包含中间密钥的ID且所述中间密钥的ID对应的中间密钥处于有效期内，则根据所述中间密钥的ID确定中间密钥；

响应于所述直连通信请求不包含中间密钥的ID，根据所述第一密钥生成中间密钥。
根据权利要求13所述的方法，其中，所述方法还包括：

发送直连安全模式命令，其中，所述直连安全模式命令包括：第二随机数；

根据所述第一随机数和所述第二随机数，生成所述会话密钥；

根据所述会话密钥，生成第二密钥；

接收所述第一UE发送的直连安全模式完成消息，其中，所述直连安全完成消息是在所述直连安全模式命令通过基于所述第一UE生成的第二密钥的完整性校验之后发送的。
根据权利要求15所述的方法，其中，所述直连安全模式命令还包括：安全算法的算法信息；其中，所述安全算法是所述第二UE根据所述第一UE的安全能力信息选择的安全算法。
一种信息处理方法，由网络设备执行，其中，所述方法包括：

将存储的凭证发送给第一UE；所述第一UE包括：中继UE和/或远端UE；其中，所述中继UE用于UE到UE之间的中继通信；

所述凭证包括：第一密钥；所述第一密钥，用于所述第一UE和第二UE的安全直连通信；所述第二UE为所述第一UE的对端UE。
一种信息处理装置，其中，所述装置包括：

第一获取模块，被配置为获取凭证，其中，所述凭证包括第一密钥；

第一通信模块，被配置为基于第一密钥，与第二UE进行安全直连通信。
一种信息处理装置，其中，所述装置包括：

第二通信模块，被配置为接收第一UE发送的直连通信请求，其中，所述直连通信请求包括凭证ID；所述第一UE为UE到UE的中继UE或者远端UE；

第三协商模块，被配置为根据所述凭证ID对应的中间密钥，与所述第一UE协商会话密钥；其中，所述中间密钥是基于所述第一密钥生成的；

第四生成模块，被配置为基于所述会话密钥，生成与所述第一UE安全直连通信的第二密钥。
一种信息处理装置，其中，所述装置包括：

发送模块，被配置为将存储的凭证发送给第一UE；所述第一UE包括：中继UE和/或远端UE；其中，所述中继UE用于UE到UE之间的中继通信；

所述凭证包括：第一密钥；所述第一密钥，用于所述第一UE和第二UE的安全直连通信；所述第二UE为所述第一UE的对端UE。
一种通信设备，包括处理器、收发器、存储器及存储在存储器上并能够有所述处理器运行的可执行程序，其中，所述处理器运行所述可执行程序时执行如权利要求1至11、12至16、或17任一项提供的方法。
一种计算机存储介质，所述计算机存储介质存储有可执行程序；所述可执行程序被处理器执行后，能够实现如权利要求1至11、12至16、或17任一项提供的方法。