CN118120200A - 一种直连链路建立方法、设备及存储介质 - Google Patents

一种直连链路建立方法、设备及存储介质 Download PDF

Info

Publication number
CN118120200A
CN118120200A CN202280003895.7A CN202280003895A CN118120200A CN 118120200 A CN118120200 A CN 118120200A CN 202280003895 A CN202280003895 A CN 202280003895A CN 118120200 A CN118120200 A CN 118120200A
Authority
CN
China
Prior art keywords
message
key
link
shared
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280003895.7A
Other languages
English (en)
Inventor
商正仪
陆伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xiaomi Mobile Software Co Ltd
Original Assignee
Beijing Xiaomi Mobile Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Xiaomi Mobile Software Co Ltd filed Critical Beijing Xiaomi Mobile Software Co Ltd
Publication of CN118120200A publication Critical patent/CN118120200A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L27/00Modulated-carrier systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开提出一种直连链路建立方法、装置及存储介质。该方法包括:第一UE经由第二UE向第三UE发送第一消息,其中,第一消息用于请求在第一UE与第三UE之间创建经由第二UE的端到端链路,第二UE为层2中继UE;接收第三UE经由第二UE发送的第二消息,其中,第二消息用于请求与第一UE协商被第一UE与第三UE共享的端到端共享密钥;经由第二UE与第三UE执行安全协商过程以生成端到端共享密钥;以及接收第三UE经由第二UE发送的第三消息,其中第三消息指示端到端链路创建完成。基于此,第一UE与第三UE之间可以使用创建完成的端到端链路进行直接通信,实现建立安全的直连链路。在本申请中,层2中继UE参与建立直连链路的过程,从而能够有效的建立安全的直连链路。

Description

一种直连链路建立方法、设备及存储介质 技术领域
本公开涉及通信技术领域,尤其涉及一种直连链路建立方法、设备及存储介质。
背景技术
在通信系统中,为了能够更好地使用户设备(User Equipment,UE)之间实现直接通信,可以引进5G ProSe服务。
相关技术中,5G ProSe服务可以更好地解决以下问题,如果源UE无法直接和目标UE进行通信,则源UE可以尝试先与UE到UE中继进行通信,通过UE到UE中继连接到目标UE进行通信。
但是,相关技术中,若通过不受信任节点的层2中继UE进行通信,传输的信息可能会受到损害,从而导致UE之间通信信息的安全性(包括完整性和机密性)受到损害,可能导致与源UE和目标UE建立的直连链路遭受中间人攻击(Man-in-the-MiddleAttack,MITM),使通信内容遭到泄露,这会损害5G Prose服务的安全性。
发明内容
本公开提出的直连链路建立方法、设备及存储介质,可以实现建立安全的直连链路,提供UE之间通信的安全性,避免通信内容泄露。
第一方面,本公开实施例提供一种直连链路建立方法,该方法由第一UE执行,包括:
经由第二UE向第三UE发送第一消息,其中,所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2中继UE;
接收所述第三UE经由所述第二UE发送的第二消息,其中,所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
经由所述第二UE与所述第三UE执行安全协商过程以生成所述端到端共享密钥;以及
接收所述第三UE经由所述第二UE发送的第三消息,其中所述第三消息指示所述端到端链路创建完成。
可选地,在本公开的一个实施例之中,所述第一UE向所述第二UE发送的第一消息是使用第一密钥加密的,所述第一密钥为所述第一UE与所述第二UE在创建所述第一UE与所述第二UE之间的PC5链路时协商生成并被所述第一UE与所述第二UE共享。
可选地,在本公开的一个实施例之中,所述经由所述第二UE与所述第三UE进行安全协商过程以生成所述端到端共享密钥包括:
经由所述第二UE与所述第三UE执行互联网密钥交换协议(IKEv2)认证过程以生成所述端到端共享密钥。
可选地,在本公开的一个实施例之中,所述第三消息为使用所述端到端共享密钥加密的。
可选地,在本公开的一个实施例之中,所述第三消息为使用所述端到端共享密钥与所述第一密钥加密的。
可选地,在本公开的一个实施例之中,还包括:
向所述第二UE发送用户ID信息,所述用户ID信息包括以下至少之一:
第一UE标识、第二UE标识以及第三UE标识。
第二方面,本公开实施例提供一种直连链路建立方法,该方法由第三UE执行,包括:
接收第一UE经由第二UE发送的第一消息,其中所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2中继UE;
经由所述第二UE向所述第一UE发送第二消息,其中所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
经由所述第二UE与所述第一UE执行安全协商过程以生成所述端到端共享密钥;以及
经由所述第二UE向所述第一UE发送第三消息,其中所述第三消息指示所述端到端链 路创建完成。
可选地,在本公开的一个实施例之中,所述第三UE从所述第二UE接收的第一消息是使用第二密钥加密的,所述第二密钥为所述第三UE与所述第二UE在创建所述第三UE与所述第二UE之间的PC5链路时协商生成并被所述第三UE与所述第二UE共享。
可选地,在本公开的一个实施例之中,所述经由所述第二UE与所述第一UE进行安全协商过程以生成所述端到端共享密钥包括:
经由所述第二UE与所述第一UE执行互联网密钥交换协议(IKEv2)认证过程以生成所述端到端共享密钥。
可选地,在本公开的一个实施例之中,所述第三消息为使用所述端到端共享密钥加密的。
可选地,在本公开的一个实施例之中,所述第三消息为使用所述端到端共享密钥与所述第二密钥加密的。
可选地,在本公开的一个实施例之中,还包括:
接收所述第二UE发送的用户ID信息,所述用户ID信息包括以下至少之一:
第一UE标识、第二UE标识以及第三UE标识。
第三方面,本公开实施例提供一种直连链路建立方法,该方法由第二UE执行,包括:
接收第一UE发送的第一消息,所述第一消息用于请求在所述第一UE与第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2中继UE;
向所述第三UE发送所述第一消息;
接收所述第三UE发送的第二消息,所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
将所述第二消息发送至第一UE,以使得所述第一UE与所述第三UE执行安全协商过程以生成所述端到端共享密钥;
接收所述第三UE发送的第三消息,所述第三消息指示所述端到端链路创建完成;以及
向所述第一UE发送所述第三消息。
可选地,在本公开的一个实施例之中,所述第二UE从所述第一UE接收的第一消息是使用第一密钥加密的,所述第一密钥为所述第一UE与所述第二UE在创建所述第一UE与所述第二UE之间的PC5链路时协商生成并被所述第一UE与所述第二UE共享,所述方法还包括:
基于所述第一密钥对从所述第一UE接收的第一消息进行解密。
可选地,在本公开的一个实施例之中,所述第二UE向所述第三UE发送的第一消息是使用第二密钥加密的,所述第二密钥为所述第三UE与所述第二UE在创建所述第三UE与所述第二UE之间的PC5链路时协商生成并被所述第三UE与所述第二UE共享,所述方法还包括:
基于所述第二密钥对从所述第一UE得到的第一消息进行加密。
可选地,在本公开的一个实施例之中,所述第二UE从所述第三UE接收的第三消息为使用所述端到端共享密钥与所述第二密钥加密的,所述方法还包括:
基于所述第二密钥对从所述第三UE接收的第三消息进行解密。
可选地,在本公开的一个实施例之中,所述第二UE向所述第一UE发送的第三消息为使用所述端到端共享密钥与所述第一密钥加密的,所述方法还包括:
基于所述第一密钥对从所述第三UE得到的第三消息进行加密。
可选地,在本公开的一个实施例之中,所述第二UE存储有与中继服务码RSC/邻近业务ProSe码相关的预配置的长期凭证,所述长期凭证用于生成所述第一密钥和所述第二密钥。
可选地,在本公开的一个实施例之中,还包括:
向所述第二UE的邻近通信密钥管理功能PKMF网元或直接发现名称管理功能DDNMF网元发送ProSe密钥请求,所述ProSe密钥请求包括凭证ID以及RSC/ProSe码,以用于向所述PKMF网元或DDNMF网元请求与所述凭证ID和所述RSC/ProSe码相关的长期凭证,所述长期凭证用于生成所述第一密钥和所述第二密钥;以及
从所述PKMF网元或DDNMF网元接收ProSe密钥响应,所述ProSe密钥响应中携带所述长期凭证。
第四方面,本公开实施例提供一种直连链路建立装置,用于第一UE,所述装置包括收发模块,用于:
经由第二UE向第三UE发送第一消息,其中所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2UE;
接收所述第三UE经由所述第二UE发送的第二消息,其中所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
经由所述第二UE与所述第三UE进行安全协商过程以生成所述端到端共享密钥;
接收所述第三UE经由所述第二UE发送的第三消息,其中所述第三消息指示所述端到端链路创建完成。
第五方面,本公开实施例提供一种直连链路建立装置,其特征在于,用于第三UE,所述装置包括收发模块,用于:
接收第一UE经由第二UE发送的第一消息,其中所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2UE;
经由所述第二UE向所述第一UE发送第二消息,其中所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
经由所述第二UE与所述第一UE进行安全协商过程以生成所述端到端共享密钥;以及
经由所述第二UE向所述第一UE发送第三消息,其中所述第三消息指示所述端到端链路创建完成。
第六方面,本公开实施例提供一种直连链路建立装置,其特征在于,用于第二UE,所述装置包括收发模块,用于:
接收第一UE发送的第一消息,所述第一消息用于请求在所述第一UE与第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2中继UE;
向所述第三UE发送所述第一消息;
接收所述第三UE发送的第二消息,所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
将所述第二消息发送至第一UE,以使得所述第一UE与所述第三UE执行安全协商过程以生成所述端到端共享密钥;
接收所述第三UE发送的第三消息,所述第三消息指示所述端到端链路创建完成;以及
向所述第一UE发送所述第三消息。
第七方面,本公开实施例提供一种通信装置,该通信装置包括处理器,当该处理器调用存储器中的计算机程序时,执行上述第一方面所述的方法。
第八方面,本公开实施例提供一种通信装置,该通信装置包括处理器,当该处理器调用存储器中的计算机程序时,执行上述第二方面所述的方法。
第九方面,本公开实施例提供一种通信装置,该通信装置包括处理器,当该处理器调用存储器中的计算机程序时,执行上述第三方面所述的方法。
第十方面,本公开实施例提供一种通信装置,该通信装置包括处理器和存储器,该存储器中存储有计算机程序;所述处理器执行该存储器所存储的计算机程序,以使该通信装置执行上述第一方面所述的方法。
第十一方面,本公开实施例提供一种通信装置,该通信装置包括处理器和存储器,该存储器中存储有计算机程序;所述处理器执行该存储器所存储的计算机程序,以使该通信装置执行上述第二方面所述的方法。
第十二方面,本公开实施例提供一种通信装置,该通信装置包括处理器和存储器,该存储器中存储有计算机程序;所述处理器执行该存储器所存储的计算机程序,以使该通信装置执行上述第三方面所述的方法。
第十三方面,本公开实施例提供一种通信装置,该装置包括处理器和接口电路,该接口电路用于接收代码指令并传输至该处理器,该处理器用于运行所述代码指令以使该装置执行上述第一方面所述的方法。
第十四方面,本公开实施例提供一种通信装置,该装置包括处理器和接口电路,该接口电路用于接收代码指令并传输至该处理器,该处理器用于运行所述代码指令以使该装置执行上述第二方面所述的方法。
第十五方面,本公开实施例提供一种通信装置,该装置包括处理器和接口电路,该接口电路用于接收代码指令并传输至该处理器,该处理器用于运行所述代码指令以使该装置执行上述第三方面所述的方法。
第十六方面,本公开实施例提供一种通信系统,该系统包括第四方面所述的通信装置至第六方面所述的通信装置,或者,该系统包括第七方面所述的通信装置至第九方面所述的通信装置,或者,该系统包括第十方面所述的通信装置至第十二方面所述的通信装置,或者,该系统包括第十三方面所述的通信装置至第十五方面所述的通信装置。
第十七方面,本发明实施例提供一种计算机可读存储介质,用于储存为上述网络设备所用的指令,当所述指令被执行时,使所述终端设备执行上述第一方面至第三方面的任一方面所述的方法。
第十八方面,本公开还提供一种包括计算机程序的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面至第三方面的任一方面所述的方法。
第十九方面,本公开提供一种芯片系统,该芯片系统包括至少一个处理器和接口,用于支持网络设备实现第一方面至第三方面的任一方面所述的方法所涉及的功能,例如,确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存源辅节点必要的计算机程序和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第二十方面,本公开提供一种计算机程序,当其在计算机上运行时,使得计算机执行上述第一方面至第三方面的任一方面所述的方法。
本公开中,提供了一种直连链路建立方法、设备及存储介质,第一UE先请求创建用于经由第二UE并与第三UE进行通信的端到端链路,在接收到第三UE反馈的共享密钥之后,与第三UE共同生成端到端共享密钥,并获取链路创建完成消息。基于此,第一UE(即源UE)与第三UE(即目标UE)之间进行通信传递的信息通过共享密钥来进行加密解密,避免了层2中继UE遭受攻击导致的信息泄露,以实现建立安全的直连链路。在本申请中,层2中继UE参与建立直连链路的过程,从而能够有效的建立安全的直连链路。
附图说明
本公开上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本公开实施例提供的一种通信系统的架构示意图;
图2是本公开实施例提供的一种直连链路建立方法的流程图;
图3是本公开实施例提供的另一种直连链路建立方法的流程图;
图4是本公开实施例提供的又一种直连链路建立方法的流程图;
图5为本公开所提供的一种直连链路建立方法示意图;
图6是本公开实施例提供的一种直连链路建立装置的结构图;
图7是本公开实施例提供的另一种直连链路建立装置的结构图;
图8是本公开实施例提供的又一种直连链路建立装置的结构图。
图9是本公开一个实施例所提供的一种通信装置的框图;
图10为本公开一个实施例所提供的一种芯片装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。
在本公开实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”及“若”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了便于理解,首先介绍本申请涉及的术语。
1、5G邻近服务(Proximity Service,ProSe)
ProSe是指设备到设备之间或附近移动设备之间的直接通信。通过UE到UE中继,5G ProSe可以进一步扩大直接通信的范围。
2、互联网密钥交换协议(Internet Key Exchange Vision2,IKEv2)
IKEv2是一套安全密钥协商机制,可以在不安全的网络上安全地进行身份认证、密钥分发以及密钥协商,从而建立互联网安全协议(Internet Protocol Security,IPSec)通道。
3、邻近通信密钥管理功能(Proximity Key Management Function,PKMF)
主要功能有密钥的产生、分配、使用、更新和销毁。
为了更好的理解本公开实施例公开的一种授权的方法,下面首先对本公开实施例适用的通信系统进行描述。
下面详细描述本公开的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的要素。下面通过参考附图描述的实施例是示例性的,旨在用于解释本公开,而不能理解为对本公开的限制。
图1为本公开实施例提供的一种通信系统的架构示意图。该通信系统可包括但不限于一个第一UE、第二UE和第三UE,图1所示的设备数量和形态仅用于举例并不构成对本公开实施例的限定,实际应用中可以包括两个或两个以上的第一UE、第二UE和第三UE。图1所示的通信系统10以包括一个第一UE11、第二UE12和第三UE13为例。
需要说明的是,本公开实施例的技术方案可以应用于各种通信系统。例如:长期演进(long term evolution,LTE)系统、第五代(5th generation,5G)移动通信系统、5G新空口(new radio,NR)系统,或者其他未来的新型移动通信系统等。还需要说明的是,本公开实施例中的直行链路还可以称为侧行链路或直通链路。
本公开实施例中的第一UE11、第二UE12和第三UE13是用户侧的一种用于接收或发射信号的实体,如手机。UE也可以称为终端设备(terminal)、用户设备(user equipment,UE)、移动台(mobile station,MS)、移动终端设备(mobile terminal,MT)等。终端设备可以是具备通信功能的汽车、智能汽车、手机(mobile phone)、穿戴式设备、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmented reality,AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self- driving)中的无线终端设备、远程手术(remote medical surgery)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smart home)中的无线终端设备等等。本公开的实施例对终端设备所采用的具体技术和具体设备形态不做限定。
可以理解的是,本公开实施例描述的通信系统是为了更加清楚的说明本公开实施例的技术方案,并不构成对于本公开实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本公开实施例提供的技术方案对于类似的技术问题,同样适用。
下面结合附图对本公开所提供的一种直连链路建立方法和装置进行详细地介绍。
需要说明的是,在本公开的一个实施例之中,第二UE分别向第一UE和第三UE发送发现消息,发现消息使用用于发现阶段的密钥保护,其中包括机密性保护密钥和/或完整性保护密钥。通过执行发现过程和中继选择过程,第一UE和第三UE可以相互发现并选择第二UE作为中继UE。然后,第一UE可以向第二UE发送直连通信请求以创建第一UE与第二UE之间的PC5链路,并在此过程中协商由第一UE和第二UE共享的第一密钥,该第一密钥用于对在第一UE和第二UE之间传输的信息进行保护;而第二UE可以向第三UE发送直连通信请求以创建第二UE与第三UE之间的PC5链路,并在此过程中协商由第二UE和第三UE共享的第二密钥,第二密钥用于对在第二UE和第三UE之间传输的信息进行保护。然后,可以通过本实施例所述方法在第一UE与第三UE之间创建经由第二UE的端到端链路。值得注意的是,该第一UE为源UE、该第二UE为层2中继UE、以及该第三UE为目标UE。
图2是本公开实施例提供的一种直连链路建立方法的流程图。
如图2所示,该方法由第一UE执行,该方法可以包括但不限于如下步骤:
S201:经由第二UE向第三UE发送第一消息,其中,第一消息用于请求在第一UE与第三UE之间创建经由第二UE的端到端链路,第二UE为层2中继UE。
其中,在本公开的一个实施例之中,第一UE向第二UE发送的第一消息是使用第一密钥加密的,第一密钥为第一UE与第二UE在创建第一UE与第二UE之间的PC5链路时协商生成并被第一UE与第二UE共享。
具体的,在本公开的一个实施例之中,为了安全起见,第一UE向第二UE所发送的第一消息是经过加密保护的。第一UE可以利用第一密钥对该第一消息进行加密,而该第一密钥是第一UE与第二UE在创建第一UE与第二UE之间的PC5链路时协商生成的。例如,第一UE与第二UE在创建其间的PC5链路时通过直接认证和密钥生成流程来生成第一密钥(例如ProSe安全密钥),并将所生成的第一密钥进行本地存储。而当第二UE接收到该第一消息后,则可以利用本地存储的第一密钥对该第一消息进行解密。其中,第一UE与第二UE在创建其间的PC5链路的具体过程可以参考图5,在此不再赘述。
以及,在本公开的一个实施例之中,该第一消息可以包括目的地标识ID,目的地ID为所述第三UE的层2 ID或所述第二UE的层2 ID。
例如,当第二UE收到包括目的地ID为第三UE的层2 ID的第一消息后,该第二UE根据该目的地ID确认将该第一消息转发至第三UE(即目标UE)。
又如,当第二UE收到包括目的地ID为第二UE的层2 ID的第一消息后,该第二UE根据用户ID信息确认将该第一消息转发至第三UE(即目标UE)。其中,该用户ID信息包括以下至少之一:第一UE标识、第二UE标识以及第三UE标识。即,用户ID信息可以包括源UE标识、中继UE标识以及目标UE标识中的至少一个,在此实施例中,第一UE标识即为源UE标识,第二UE标识即为中继UE标识以及第三UE标识即为目标UE标识。第二UE根据该用户ID信息确认将该第一消息转发至相应的目标UE,在此,为第三UE。
以及,在本公开的一个实施例之中,第一UE可以向第二UE发送用户ID信息。
示例的,在本公开的一个实施例之中,第一UE可以为源UE,第二UE可以为中继UE, 第三UE可以为目标UE。
S202:接收第三UE经由第二UE发送的第二消息,其中,第二消息用于请求与第一UE协商被第一UE与第三UE共享的端到端共享密钥。
S203:经由第二UE与第三UE执行安全协商过程以生成端到端共享密钥。其中,端到端共享密钥用于对在第一UE与第三UE之间通过端到端链路传输的信息进行加解密。
第一UE经由第二UE与第三UE执行安全协商过程,在第一UE与第三UE进行的安全协商过程中,需要第二UE对该第一UE与第三UE发送的消息进行转发以完成该安全协商过程。
其中,在本公开的一个实施例之中,经由第二UE与第三UE进行安全协商过程以生成端到端共享密钥包括:
经由第二UE与第三UE执行IKEv2认证过程以生成端到端共享密钥。
具体的,在本公开的一个实施例之中,第一UE在接收到第二消息之后,可以与第三UE进行安全协商过程,以建立端到端的连接。在协商过程中,为了保证安全性,可以执行IKEv2验证过程来对第一UE和第三UE进行验证。比如,使用身份验证、密钥分发验证或建立IPsec进行验证。在验证通过后,第一UE和第三UE可以生成并共享端到端的安全共享密钥。
S204:接收第三UE经由第二UE发送的第三消息,其中第三消息指示端到端链路创建完成。
其中,在本公开的一个实施例之中,第三消息可以为使用端到端共享密钥加密的。
以及,在本公开的一个实施例之中,第三消息可以为使用端到端共享密钥与第一密钥加密的。
综上所述,在本公开实施例提供的直连链路建立方法之中,第一UE先通过第二UE向第三UE发送建立端到端链路请求,在得到第一UE的反馈后,可以与第一UE进行协商以共享端到端链路的共享密钥,之后执行协商过程以生成共享密钥,并等待指示端到端链路的创建完成。基于此,第一UE(即源UE)与第三UE(即目标UE)之间进行通信传递的信息通过共享密钥来进行加密解密,避免了层2中继UE遭受攻击导致的信息泄露,以实现建立安全的直连链路。在本申请中,层2中继UE参与建立直连链路的过程,从而能够有效的建立安全的直连链路。
图3是本公开实施例提供的一种直连链路建立方法的流程图。
如图3所示,该方法由第三UE执行,该方法可以包括但不限于如下步骤:
S301:接收第一UE经由第二UE发送的第一消息,其中,第一消息用于请求在第一UE与第三UE之间创建经由第二UE的端到端链路,第二UE为层2中继UE。
其中,在本公开的一个实施例之中,第三UE从第二UE接收的第一消息是使用第二密钥加密的,第二密钥为第三UE与第二UE在创建第三UE与第二UE之间的PC5链路时协商生成并被第三UE与第二UE共享。
以及,在本公开的一个实施例之中,该第一消息可以包括目的地标识ID,目的地ID为所述第三UE的层2 ID或所述第二UE的层2 ID。
以及,在本公开的一个实施例之中,第一UE可以向第二UE发送用户ID信息。
以及,在本公开的一个实施例之中,第三UE还可以接收第二UE发送的用户ID信息,用户ID信息包括以下至少之一:
源UE标识、中继UE标识以及目标UE标识。
S302:经由第二UE向第一UE发送第二消息,其中第二消息用于请求与第一UE协商被第一UE与第三UE共享的端到端共享密钥。
其中,端到端共享密钥用于对在第一UE与第三UE之间通过端到端链路传输的信息进行加解密。
S303:经由第二UE与第一UE执行安全协商过程以生成端到端共享密钥。
其中,在本公开的一个实施例之中,经由第二UE与第一UE进行安全协商过程以生成端到端共享密钥包括:
经由第二UE与第一UE执行IKEv2认证过程以生成端到端共享密钥。
S304:经由第二UE向第一UE发送第三消息,其中第三消息指示端到端链路创建完成。
其中,在本公开的一个实施例之中,第三消息为使用端到端共享密钥加密的。
以及,在本公开的一个实施例之中,第三消息为使用端到端共享密钥与第二密钥加密的。
综上所述,在本公开实施例提供的直连链路建立方法之中,第三UE接收第一UE发送的创建链路请求,之后与第一UE协商并基于执行IKEv2认证过程生成端到端共享密钥,最后指示第一UE端到端链路创建完成。基于此,第一UE(即源UE)与第三UE(即目标UE)之间能够基于端到端链路间直接通信,能够基于执行KEv2认证过程生成端到端共享密钥,能够使用共享密钥保护通信信息,提供源UE与目标UE之间通信的安全性,避免了中继UE遭受攻击导致信息泄露,以实现建立安全的直连链路。在本申请中,层2中继UE参与建立直连链路的过程,从而能够有效的建立安全的直连链路。
图4是本公开实施例提供的一种直连链路建立方法的流程图。
如图4所示,该方法由第二UE执行,该方法可以包括但不限于如下步骤:
S401:接收第一UE发送的第一消息,第一消息用于请求在第一UE与第三UE之间创建经由第二UE的端到端链路,第二UE为层2中继UE。
其中,在本公开的一个实施例之中,第二UE存储有与中继服务码(Relay Service Code,RSC)/ProSe码相关的预配置的长期凭证,该长期凭证用于生成第一密钥和第二密钥。
以及,在本公开的一个实施例之中,向第二UE的PKMF网元或DDNMF网元发送ProSe密钥请求,该ProSe密钥请求包括凭证ID以及RSC/ProSe码,以用于向PKMF网元或DDNMF网元请求与凭证ID和RSC/ProSe码相关的长期凭证,该长期凭证用于生成第一密钥和所述第二密钥;以及从PKMF网元/DDNMF网元接收ProSe密钥响应,ProSe密钥响应中携带长期凭证。
以及,在本公开的一个实施例之中,该第一消息可以包括目的地标识ID,目的地ID为所述第三UE的层2 ID或所述第二UE的层2 ID。
例如,当第二UE收到包括目的地ID为第三UE的层2 ID的第一消息后,该第二UE根据该目的地ID确认将该第一消息转发至第三UE(即目标UE)。
又如,当第二UE收到包括目的地ID为第二UE的层2 ID的第一消息后,该第二UE根据用户ID信息确认将该第一消息转发至第三UE(即目标UE)。其中,该用户ID信息包括以下至少之一:第一UE标识、第二UE标识以及第三UE标识。即,用户ID信息可以包括源UE标识、中继UE标识以及目标UE标识中的至少一个,在此实施例中,第一UE标识即为源UE标识,第二UE标识即为中继UE标识以及第三UE标识即为目标UE标识。第二UE根据该用户ID信息确认将该第一消息转发至相应的目标UE,在此,为第三UE。
以及,在本公开的一个实施例之中,第一UE可以向第二UE发送用户ID信息。
以及,在本公开的一个实施例之中,第二UE从第一UE接收的第一消息是使用第一密钥加密的,第一密钥为第一UE与第二UE在创建第一UE与第二UE之间的PC5链路时协商生成并被第一UE与第二UE共享,该方法还可以包括:
基于第一密钥对从第一UE接收的第一消息进行解密。
具体的,在本公开的一个实施例之中,为了安全起见,第一UE向第二UE所发送的第一消息是经过加密保护的。第一UE可以利用第一密钥对该第一消息进行加密,而该第一密钥是第一UE与第二UE在创建第一UE与第二UE之间的PC5链路时协商生成的。例如,第一UE与第二UE在创建其间的PC5链路时通过直接认证和密钥生成流程来生成第一密钥(例如ProSe安全密钥),并将所生成的第一密钥进行本地存储。而当第二UE接收到该第一消息后,则可以利用本地存储的第一密钥对该第一消息进行解密。其中,第一UE与第二UE在创建其间的PC5链路的具体过程可以参考图5,在此不再赘述。
S402:向第三UE发送第一消息。
S403:接收第三UE发送的第二消息,第二消息用于请求与第一UE协商被第一UE与第三UE共享的端到端共享密钥。
其中,端到端共享密钥用于对在第一UE与第三UE之间通过端到端链路传输的信息进 行加解密。
S404:将第二消息发送至第一UE,以使得第一UE与第三UE执行安全协商过程以生成端到端共享密钥。
其中,在本公开的一个实施例之中,第二UE向第三UE发送的第一消息是使用第二密钥加密的,第二密钥为第三UE与第二UE在创建第三UE与第二UE之间的PC5链路时协商生成并被第三UE与第二UE共享,该方法还可以包括:
基于第二密钥对从第一UE得到的第一消息进行加密。
具体的,在本公开的一个实施例之中,为了安全起见,第二UE在接收到该第一消息后,可以利用第二密钥对该第一消息进行加密后再转发给第三UE,而该第二密钥是第二UE与第三UE在创建第二UE与第三UE之间的PC5链路时协商生成的。例如,第二UE与第三UE可以在创建其间的PC5链路时通过直接认证和密钥生成流程来生成第二密钥(例如ProSe安全密钥),并将该第二密钥进行本地存储。而当第三UE在接收到第一消息后,可以利用本地存储的第二密钥对该加密的第一消息进行解密。其中,第二UE与第三UE在创建其间的PC5链路的具体过程可以参考图5,在此不再赘述。
S405:接收第三UE发送的第三消息,第三消息指示端到端链路创建完成。
其中,在本公开的一个实施例之中,第二UE从第三UE接收的第三消息为使用端到端共享密钥与第二密钥加密的,该方法还可以包括:
基于第二密钥对从第三UE接收的第三消息进行解密。
S406:向第一UE发送第三消息。
其中,在本公开的一个实施例之中,第二UE向第一UE发送的第三消息为使用端到端共享密钥与第一密钥加密的,该方法还可以包括:
基于第一密钥对从第三UE得到的第三消息进行加密。
综上所述,在本公开实施例提供的直连链路建立方法之中,第二UE协助与第一UE和第三UE进行交互,接收第一UE发送的创建链路请求,并向第三UE转发;接收第三UE发送的第二消息,并向第一UE转发,以使得第一UE与第三UE执行安全协商过程以生成端到端共享密钥;之后,接收第三UE发送的第三消息,以及向第一UE转发。由此,第一UE(即源UE)与第三UE(即目标UE)之间进行通信传递的信息通过共享密钥来进行加密解密,避免了层2中继UE遭受攻击导致的信息泄露,以实现建立安全的直连链路。在本申请中,层2中继UE参与建立直连链路的过程,从而能够有效的建立安全的直连链路。
为了更方便且全面的了解本公开所提供的一种直连链路建立方法。请参见图5,图5为本公开所提供的一种直连链路建立方法示意图。
如图5所示,假设目标UE和源UE都可以预先配置相同的长期凭证和长期凭证ID。
步骤0,在中继UE发现和链路建立过程之前,向源UE和目标UE提供用于发现过程的安全密钥。
步骤1,使用用于发现过程的安全密钥,在源UE、目标UE到中继UE之间执行发现和中继选择过程。
其中,假设在发现过程和中继选择过程之后,源UE和目标UE相互发现并选择相同的层2中继UE。
步骤2,源UE向层2中继UE发送包含长期凭证ID、用户信息ID、源UE安全功能、5G ProSe端到端中继(U2U Relay)服务的RSC/ProSe代码以及第一随机数(nonce 1)的直接通信请求。如果源UE具有其试图与之通信的层2中继UE的Knrp(即源UE和层2中继UE共享的第一密钥),则消息还可能包括Knrp ID,该Knrp ID与Knrp对应,由此层2中继接收到该消息后,可以获知源UE所具有的Knrp。
其中,用户信息ID可能包括源用户信息、目标用户信息和中继用户信息中的至少一个。
步骤3a,如果层2中继UE已经具有由长期凭证ID标识的长期凭证,则跳过步骤3a和步骤3b。否则,层2中继UE向其5G PKMF/DDNMF网元发送一条ProSe Key Request消息,该消息可能包含层2中继UE标识、长期凭证ID、RSC/ProSe代码,表示层2中继UE 请求长期凭证。
步骤3b,一旦接收到ProSe Key Request消息,中继UE的5G PKMF/DDNMF网元应根据层2中继UE的中继身份和接收到的RSC/ProSe代码,检查层2中继UE是否被授权提供中继/ProSe服务。如果层2中继UE授权信息在本地不可用,5G PKMF/DDNMF网元应向层2中继UE的UDM请求授权信息(图中未显示)。如果层2中继UE被授权根据ProSe订阅数据提供中继服务,则中继UE的5G PKMF/DDNMF网元将长期凭证发送给层2中继UE。
其中,层2中继UE标识可以设置为层2中继UE的ProSe应用程序ID或层2中继UE的SUCI或层2中继UE的用户ID信息(User Info ID)。
以及,长期凭证也可以在层2中继UE中预配置。此时,跳过步骤3a和3b。
步骤4,层2中继UE可与源UE启动直接认证和密钥生成流程,以生成Knrp。如果直接通信请求中包含Knrp ID,则跳过此步骤,而可以直接根据Knrp ID确定相应的Knrp。
步骤5,层2中继UE应根据协议中规定的PC5安全策略,从Knrp导出会话密钥(Knrp-sess),然后导出机密密钥(NRPEK)(如果使用)和完整性密钥(NRPIK)(如果使用)。层2中继UE向源UE发送直接安全模式命令消息。该消息应包括所选的安全算法、第二随机数(nonce 2),并应按照协议中的规定进行保护。
步骤6,根据协议规定,源UE用直接安全模式完成消息响应层2中继UE。
通过步骤2-6,在源UE与中继UE之间创建了PC5链路,并协商生成了第一密钥,从而在源UE与中继UE之间传输的信息能够使用第一密钥进行保护。
步骤7,层2中继UE向目标UE发送一个直接通信请求,其中包含长期凭证ID、用户信息ID、中继UE的安全功能、5G ProSe U2U relay服务的RSC/ProSe代码,nonce 1'。如果层2中继UE与其试图通信的目标UE存在Knrp'(第二密钥),则消息还可能包括Knrp ID'。
步骤8,目标UE可以使用层2中继UE启动直接认证和密钥生成流程,以生成Knrp'。如果直接通信请求中包含Knrp ID',则跳过此步骤。
步骤9,目标UE应根据协议规定的PC5安全策略,从Knrp'推导会话密钥(Knrp-sess’),然后推导机密密钥(NRPEK’)(如果使用)和完整性密钥(NRPIK’)(如果使用)。目标UE向层2中继UE发送直接安全模式命令消息。该消息应包括选定的安全算法、nonce 2',并应按照协议规定进行保护。
步骤10,层2中继UE响应TS 33.536[4]中规定的直接安全模式完成消息。
步骤11,一旦从层2中继UE接收到直接安全模式完成消息,目标UE将直接通信接受消息发送到层2中继UE。
通过步骤7-11,在目标UE与中继UE之间创建了PC5链路,并协商生成了第二密钥,从而在目标UE与中继UE之间传输的信息能够使用第二密钥进行保护。
步骤12,一旦接收到将直接通信接受消息(Direct Communication Accept)消息,层2中继UE将直接通信接受消息发送给源UE。
步骤13,源UE向目标UE发送端到端直接通信请求,该请求由层2中继UE转发。在第一跳中(即源UE和层2中继UE之间的PC5链路),端到端直接通信请求受NRPIK/NRPEK保护。在第二跳中(即层2中继UE和目标UE之间的PC5链路),端到端直接通信请求受NRPIK’/NRPEK’保护。
其中,端到端直接通信请求的目的地ID可以设置为目标UE的层2 ID或中继UE的层2 ID。如果目的地2 ID设置为中继UE的层2 ID,则中继UE根据用户信息ID确认目的地ID以将端到端DCR消息转发到相应的目标UE。
步骤14,目标UE可以启动与源UE的安全协商过程,以建立端到端的IPSec连接,这可以通过执行IKEv2身份验证过程来实现。IKEv2认证后,源UE和目标UE生成端到端共 享安全密钥。
步骤15,目标UE响应由层2中继UE转发的端到端直接通信接受。端到端直接通信接受受步骤14中生成的端到端安全密钥和步骤2-12中生成的散文安全密钥(即NRPIK/NRPEK和NRPIK'/NRPEK')保护。
步骤16,在源UE和目标UE之间通过层2中继UE建立安全的L2PC5链路。源UE和目标UE可以开始进行通信,在该通信中,层2中继UE对源UE和目标UE之间的业务数据进行中继。
图6是本公开实施例提供的一种直连链路建立装置的结构图。
如图6所示,该直连链路建立装置,用于第一UE,包括收发模块,用于:
经由第二UE向第三UE发送第一消息,其中所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2UE;
接收所述第三UE经由所述第二UE发送的第二消息,其中所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
经由所述第二UE与所述第三UE进行安全协商过程以生成所述端到端共享密钥;
接收所述第三UE经由所述第二UE发送的第三消息,其中所述第三消息指示所述端到端链路创建完成;
其中,所述端到端共享密钥用于对在所述第一UE与所述第三UE之间通过所述端到端链路传输的信息进行加解密。
可选地,在本公开的一个实施例之中,所述第一UE向所述第二UE发送的第一消息是使用第一密钥加密的,所述第一密钥为所述第一UE与所述第二UE在创建所述第一UE与所述第二UE之间的PC5链路时协商生成并被所述第一UE与所述第二UE共享。
可选地,在本公开的一个实施例之中,所述经由所述第二UE与所述第三UE进行安全协商过程以生成所述端到端共享密钥包括:
经由所述第二UE与所述第三UE执行互联网密钥交换协议(IKEv2)认证过程以生成所述端到端共享密钥。
可选地,在本公开的一个实施例之中,所述第三消息为使用所述端到端共享密钥加密的。
可选地,在本公开的一个实施例之中,所述第三消息为使用所述端到端共享密钥与所述第一密钥加密的。
可选地,在本公开的一个实施例之中,所述装置,还用于:
向所述第二UE发送用户ID信息,所述用户ID信息包括以下至少之一:
源UE标识、中继UE标识以及目标UE标识。
综上所述,在本公开实施例提供的直连链路建立装置之中,第一UE先通过第二UE向第三UE发送建立端到端链路请求,在得到第一UE的反馈后,可以与第一UE进行协商以共享端到端链路的共享密钥,之后执行协商过程中生成的共享密钥,并等待指示端到端链路的创建完成。基于此,UE与UE之间可以使用创建完成的端到端链路进行直接通信,且通信内容可以被共享密钥加解密,提供UE之间通信的安全性,避免了中继UE遭受攻击导致信息泄露,以实现建立安全的直连链路。在本申请中,层2中继UE参与建立直连链路的过程,从而能够有效的建立安全的直连链路。
图7是本公开实施例提供的一种直连链路建立装置的结构图。
如图7所示,该直连链路建立装置,用于第三UE,包括收发模块,用于:
接收第一UE经由第二UE发送的第一消息,其中所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2UE;
经由所述第二UE向所述第一UE发送第二消息,其中所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
经由所述第二UE与所述第一UE进行安全协商过程以生成所述端到端共享密钥;以及
经由所述第二UE向所述第一UE发送第三消息,其中所述第三消息指示所述端到端链路创建完成。
可选地,所述端到端共享密钥用于对在所述第一UE与所述第三UE之间通过所述端到端链路传输的信息进行加解密。
可选地,在本公开的一个实施例之中,所述第三UE从所述第二UE接收的第一消息是使用第二密钥加密的,所述第二密钥为所述第三UE与所述第二UE在创建所述第三UE与所述第二UE之间的PC5链路时协商生成并被所述第三UE与所述第二UE共享。
可选地,在本公开的一个实施例之中,所述收发模块,还用于:
经由所述第二UE与所述第一UE执行互联网密钥交换协议(IKEv2)认证过程以生成所述端到端共享密钥。
可选地,在本公开的一个实施例之中,所述第三消息为使用所述端到端共享密钥加密的。
可选地,在本公开的一个实施例之中,所述第三消息为使用所述端到端共享密钥与所述第二密钥加密的。
可选地,在本公开的一个实施例之中,所述装置,还用于:
接收所述第二UE发送的用户ID信息,所述用户ID信息包括以下至少之一:
源UE标识、中继UE标识以及目标UE标识。
综上所述,在本公开实施例提供的直连链路建立装置之中,第三UE接收第一UE发送的创建链路请求,之后与第一UE协商并基于执行IKEv2认证过程生成端到端共享密钥,最后指示第一UE端到端链路创建完成。基于此,UE之间能够基于端到端链路间直接通信,能够基于执行KEv2认证过程生成端到端共享密钥,能够使用共享密钥保护通信信息,提供UE之间通信的安全性,避免了中继UE遭受攻击导致信息泄露,以实现建立安全的直连链路。在本申请中,层2中继UE参与建立直连链路的过程,从而能够有效的建立安全的直连链路。
图8是本公开实施例提供的一种直连链路建立装置的结构图。
如图8所示,该直连链路建立装置,用于第二UE,包括收发模块,用于:
接收第一UE发送的第一消息,第一消息用于请求在第一UE与第三UE之间创建经由第二UE的端到端链路,第二UE为层2中继UE;
向第三UE发送第一消息;
接收第三UE发送的第二消息,第二消息用于请求与第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
将所述第二消息发送至第一UE,以使得所述第一UE与所述第三UE执行安全协商过程以生成所述端到端共享密钥;
接收所述第三UE发送的第三消息,所述第三消息指示所述端到端链路创建完成;以及
向所述第一UE发送所述第三消息。
可选地,所述端到端共享密钥用于对在所述第一UE与所述第三UE之间通过所述端到端链路传输的信息进行加解密。
可选地,在本公开的一个实施例之中,所述收发模块,还用于:
基于所述第一密钥对从所述第一UE接收的第一消息进行解密。
可选地,在本公开的一个实施例之中,所述第二UE向所述第三UE发送的所述第一消息是使用所述第二密钥加密的,所述第二密钥为所述第三UE与所述第二UE在创建所述第三UE与所述第二UE之间的PC5链路时协商生成并被所述第三UE与所述第二UE共享,所述方法还包括:
基于所述第二密钥对从所述第一UE得到的第一消息进行加密。
可选地,在本公开的一个实施例之中,所述收发模块,还用于:
基于所述第二密钥对从所述第三UE接收的第三消息进行解密。
可选地,在本公开的一个实施例之中,所述第二UE向所述第一UE发送的第三消息为使用所述端到端共享密钥与所述第一密钥加密的,所述装置,还用于:
基于所述第一密钥对从所述第三UE得到的第三消息进行加密。
可选地,在本公开的一个实施例之中,所述第二UE存储有与中继服务码RSC/邻近业 务ProSe码相关的预配置的长期凭证,所述长期凭证用于生成所述第一密钥和所述第二密钥。
可选地,在本公开的一个实施例之中,所述装置,还用于:
向所述第二UE的邻近通信密钥管理功能PKMF网元或DDNMF网元发送ProSe密钥请求,所述ProSe密钥请求包括凭证ID以及RSC/ProSe码,以用于向所述PKMF网元或DDNMF网元请求与所述凭证ID和所述RSC/ProSe码相关的长期凭证,所述长期凭证用于生成所述第一密钥和所述第二密钥;以及
从所述PKMF网元或/DDNMF网元接收ProSe密钥响应,所述ProSe密钥响应中携带所述长期凭证。
综上所述,在本公开实施例提供的直连链路建立装置之中,综上所述,在本公开实施例提供的直连链路建立方法之中,第二UE协助与第一UE和第三UE进行交互,接收第一UE发送的创建链路请求,并向第三UE转发;接收第三UE发送的第二消息,并向第一UE转发,以使得第一UE与第三UE执行安全协商过程以生成端到端共享密钥;之后,接收第三UE发送的第三消息,以及向第一UE转发。由此,第一UE(即源UE)与第三UE(即目标UE)之间进行通信传递的信息通过共享密钥来进行加密解密,避免了层2中继UE遭受攻击导致的信息泄露,以实现建立安全的直连链路。在本申请中,层2中继UE参与建立直连链路的过程,从而能够有效的建立安全的直连链路。
请参见图9,图9是本申请实施例提供的一种通信装置900的结构示意图。通信装置900可以是网络设备,也可以是终端设备,也可以是支持网络设备实现上述方法的芯片、芯片系统、或处理器等,还可以是支持终端设备实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法,具体可以参见上述方法实施例中的说明。
通信装置900可以包括一个或多个处理器901。处理器901可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理,中央处理器可以用于对通信装置(如,基站、基带芯片,终端设备、终端设备芯片,DU或CU等)进行控制,执行计算机程序,处理计算机程序的数据。
可选的,通信装置900中还可以包括一个或多个存储器902,其上可以存有计算机程序904,处理器901执行所述计算机程序904,以使得通信装置900执行上述方法实施例中描述的方法。可选的,所述存储器902中还可以存储有数据。通信装置900和存储器902可以单独设置,也可以集成在一起。
可选的,通信装置900还可以包括收发器905、天线906。收发器905可以称为收发单元、收发机、或收发电路等,用于实现收发功能。收发器905可以包括接收器和发送器,接收器可以称为接收机或接收电路等,用于实现接收功能;发送器可以称为发送机或发送电路等,用于实现发送功能。
可选的,通信装置900中还可以包括一个或多个接口电路907。接口电路907用于接收代码指令并传输至处理器901。处理器901运行所述代码指令以使通信装置900执行上述方法实施例中描述的方法。
在一种实现方式中,处理器901中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路,或者是接口,或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的,也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写,或者,上述收发电路、接口或接口电路可以用于信号的传输或传递。
在一种实现方式中,处理器901可以存有计算机程序903,计算机程序903在处理器901上运行,可使得通信装置900执行上述方法实施例中描述的方法。计算机程序903可能固化在处理器901中,该种情况下,处理器901可能由硬件实现。
在一种实现方式中,通信装置900可以包括电路,所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit,IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit,ASIC)、印刷电路板(printed circuit board,PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造,例如互补金属氧化物半导体(complementary metal oxide semiconductor,CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor,NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor,PMOS)、双极结型晶体管(bipolar junction transistor,BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。
以上实施例描述中的通信装置可以是网络设备或者终端设备,但本申请中描述的通信装置的范围并不限于此,而且通信装置的结构可以不受图9的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是:
(1)独立的集成电路IC,或芯片,或,芯片系统或子系统;
(2)具有一个或多个IC的集合,可选的,该IC集合也可以包括用于存储数据,计算机程序的存储部件;
(3)ASIC,例如调制解调器(Modem);
(4)可嵌入在其他设备内的模块;
(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等;
(6)其他等等。
对于通信装置可以是芯片或芯片系统的情况,可参见图10所示的芯片的结构示意图。图10所示的芯片包括处理器1001和接口1002。其中,处理器1001的数量可以是一个或多个,接口1002的数量可以是多个。
可选的,芯片还包括存储器1003,存储器1003用于存储必要的计算机程序和数据。
本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件,或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本申请实施例保护的范围。
本申请还提供一种可读存储介质,其上存储有指令,该指令被计算机执行时实现上述任一方法实施例的功能。
本申请还提供一种计算机程序产品,该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(digital video disc,DVD))、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以理解:本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分,并不用来限制本申请实施例的范围,也表示先后顺序。
本申请中的至少一个还可以描述为一个或多个,多个可以是两个、三个、四个或者更多个,本申请不做限制。在本申请实施例中,对于一种技术特征,通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征,该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。
本申请中各表所示的对应关系可以被配置,也可以是预定义的。各表中的信息的取值仅仅是举例,可以配置为其他值,本申请并不限定。在配置信息与各参数的对应关系时,并不一定要求必须配置各表中示意出的所有对应关系。例如,本申请中的表格中,某些行示出的对应关系也可以不配置。又例如,可以基于上述表格做适当的变形调整,例如,拆分,合并等等。上述各表中标题示出参数的名称也可以采用通信装置可理解的其他名称,其参数的取值或表示方式也可以通信装置可理解的其他取值或表示方式。上述各表在实现时,也可以采用其他的数据结构,例如可以采用数组、队列、容器、栈、线性表、指针、链表、树、图、结构体、类、堆、散列表或哈希表等。
本申请中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (24)

  1. 一种直连链路建立方法,其特征在于,所述方法由第一用户设备UE执行,所述方法包括:
    经由第二UE向第三UE发送第一消息,其中,所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2中继UE;
    接收所述第三UE经由所述第二UE发送的第二消息,其中,所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
    经由所述第二UE与所述第三UE执行安全协商过程以生成所述端到端共享密钥;以及
    接收所述第三UE经由所述第二UE发送的第三消息,其中所述第三消息指示所述端到端链路创建完成。
  2. 如权利要求1所述的方法,其特征在于,所述第一UE向所述第二UE发送的第一消息是使用第一密钥加密的,所述第一密钥为所述第一UE与所述第二UE在创建所述第一UE与所述第二UE之间的PC5链路时协商生成并被所述第一UE与所述第二UE共享。
  3. 如权利要求1所述的方法,其特征在于,所述经由所述第二UE与所述第三UE进行安全协商过程以生成所述端到端共享密钥包括:
    经由所述第二UE与所述第三UE执行互联网密钥交换协议(IKEv2)认证过程以生成所述端到端共享密钥。
  4. 如权利要求1所述的方法,其特征在于,所述第三消息为使用所述端到端共享密钥加密的。
  5. 如权利要求2所述的方法,其特征在于,所述第三消息为使用所述端到端共享密钥与所述第一密钥加密的。
  6. 如权利要求1-5中任一项所述的方法,其特征在于,还包括:
    向所述第二UE发送用户ID信息,所述用户ID信息包括以下至少之一:
    源UE标识、中继UE标识以及目标UE标识。
  7. 一种直连链路建立方法,其特征在于,所述方法由第三UE执行,所述方法包括:
    接收第一UE经由第二UE发送的第一消息,其中所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2中继UE;
    经由所述第二UE向所述第一UE发送第二消息,其中所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
    经由所述第二UE与所述第一UE执行安全协商过程以生成所述端到端共享密钥;以及
    经由所述第二UE向所述第一UE发送第三消息,其中所述第三消息指示所述端到端链路创建完成。
  8. 如权利要求7所述的方法,其特征在于,所述第三UE从所述第二UE接收的第一消息是使用第二密钥加密的,所述第二密钥为所述第三UE与所述第二UE在创建所述第三UE与所述第二UE之间的PC5链路时协商生成并被所述第三UE与所述第二UE共享。
  9. 如权利要求7所述的方法,其特征在于,所述经由所述第二UE与所述第一UE进行安全协商过程以生成所述端到端共享密钥包括:
    经由所述第二UE与所述第一UE执行互联网密钥交换协议(IKEv2)认证过程以生成所述端到端共享密钥。
  10. 如权利要求7所述的方法,其特征在于,所述第三消息为使用所述端到端共享密钥加密的。
  11. 如权利要求10所述的方法,其特征在于,所述第三消息为使用所述端到端共享密钥与所述第二密钥加密的。
  12. 如权利要求7-11中任一项所述的方法,其特征在于,还包括:
    接收所述第二UE发送的用户ID信息,所述用户ID信息包括以下至少之一:
    源UE标识、中继UE标识以及目标UE标识。
  13. 一种直连链路建立方法,其特征在于,所述方法由第二UE执行,所述方法包括:
    接收第一UE发送的第一消息,所述第一消息用于请求在所述第一UE与第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2中继UE;
    向所述第三UE发送所述第一消息;
    接收所述第三UE发送的第二消息,所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
    将所述第二消息发送至第一UE,以使得所述第一UE与所述第三UE执行安全协商过程以生成所述端到端共享密钥;
    接收所述第三UE发送的第三消息,所述第三消息指示所述端到端链路创建完成;以及
    向所述第一UE发送所述第三消息。
  14. 如权利要求13所述的方法,其特征在于,所述第二UE从所述第一UE接收的第一消息是使用第一密钥加密的,所述第一密钥为所述第一UE与所述第二UE在创建所述第一UE与所述第二UE之间的PC5链路时协商生成并被所述第一UE与所述第二UE共享,所述方法还包括:
    基于所述第一密钥对从所述第一UE接收的第一消息进行解密。
  15. 如权利要求13所述的方法,其特征在于,所述第二UE向所述第三UE发送的第一消息是使用第二密钥加密的,所述第二密钥为所述第三UE与所述第二UE在创建所述第三UE与所述第二UE之间的PC5链路时协商生成并被所述第三UE与所述第二UE共享,所述方法还包括:
    基于所述第二密钥对从所述第一UE得到的第一消息进行加密。
  16. 如权利要求15所述的方法,其特征在于,所述第二UE从所述第三UE接收的第三消息为使用所述端到端共享密钥与所述第二密钥加密的,所述方法还包括:
    基于所述第二密钥对从所述第三UE接收的第三消息进行解密。
  17. 如权利要求14所述的方法,其特征在于,所述第二UE向所述第一UE发送的第三消息为使用所述端到端共享密钥与所述第一密钥加密的,所述方法还包括:
    基于所述第一密钥对从所述第三UE得到的第三消息进行加密。
  18. 如权利要求14-17中任一项所述的方法,其特征在于,还包括:
    向所述第二UE的邻近通信密钥管理功能PKMF网元或DDNMF网元发送ProSe密钥请求,所述ProSe密钥请求包括凭证ID以及RSC/ProSe码,以用于向所述PKMF网元或DDNMF网元请求与所述凭证ID和所述RSC/ProSe码相关的长期凭证,所述长期凭证用于生成所述第一密钥和所述第二密钥;以及
    从所述PKMF网元或DDNMF网元接收ProSe密钥响应,所述ProSe密钥响应中携带所述长期凭证。
  19. 一种直连链路建立装置,其特征在于,用于第一UE,所述装置包括收发模块,用于:
    经由第二UE向第三UE发送第一消息,其中所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2UE;
    接收所述第三UE经由所述第二UE发送的第二消息,其中所述第二消息用于请求与所 述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
    经由所述第二UE与所述第三UE进行安全协商过程以生成所述端到端共享密钥;
    接收所述第三UE经由所述第二UE发送的第三消息,其中所述第三消息指示所述端到端链路创建完成。
  20. 一种直连链路建立装置,其特征在于,用于第三UE,所述装置包括收发模块,用于:
    接收第一UE经由第二UE发送的第一消息,其中所述第一消息用于请求在所述第一UE与所述第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2UE;
    经由所述第二UE向所述第一UE发送第二消息,其中所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
    经由所述第二UE与所述第一UE进行安全协商过程以生成所述端到端共享密钥;以及
    经由所述第二UE向所述第一UE发送第三消息,其中所述第三消息指示所述端到端链路创建完成。
  21. 一种直连链路建立装置,其特征在于,用于第二UE,所述装置包括收发模块,用于:
    接收第一UE发送的第一消息,所述第一消息用于请求在所述第一UE与第三UE之间创建经由所述第二UE的端到端链路,所述第二UE为层2中继UE;
    向所述第三UE发送所述第一消息;
    接收所述第三UE发送的第二消息,所述第二消息用于请求与所述第一UE协商被所述第一UE与所述第三UE共享的端到端共享密钥;
    将所述第二消息发送至第一UE,以使得所述第一UE与所述第三UE执行安全协商过程以生成所述端到端共享密钥;
    接收所述第三UE发送的第三消息,所述第三消息指示所述端到端链路创建完成;以及
    向所述第一UE发送所述第三消息。
  22. 一种通信设备,其中,包括:收发器;存储器;处理器,分别与所述收发器及所述存储器连接,配置为通过执行所述存储器上的计算机可执行指令,控制所述收发器的无线信号收发,并能够实现权利要求1-18任一项所述的方法。
  23. 一种系统,包括源UE、中继UE和目标UE,其中所述源UE用于执行如权利要求1-6中任一项所述的方法,所述目标UE用于执行如权利要求7-12中任一项所述的方法,所述中继UE用于执行如权利要求13-18中任一项所述的方法。
  24. 一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现权利要求1-18任一项所述的方法。
CN202280003895.7A 2022-09-29 2022-09-29 一种直连链路建立方法、设备及存储介质 Pending CN118120200A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2022/122824 WO2024065469A1 (zh) 2022-09-29 2022-09-29 一种直连链路建立方法、设备及存储介质

Publications (1)

Publication Number Publication Date
CN118120200A true CN118120200A (zh) 2024-05-31

Family

ID=90475361

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280003895.7A Pending CN118120200A (zh) 2022-09-29 2022-09-29 一种直连链路建立方法、设备及存储介质

Country Status (2)

Country Link
CN (1) CN118120200A (zh)
WO (1) WO2024065469A1 (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101500230B (zh) * 2008-01-30 2010-12-08 华为技术有限公司 建立安全关联的方法和通信网络
CN103533540A (zh) * 2012-07-03 2014-01-22 华为终端有限公司 建立直接链路方法、密钥更新方法和设备
EP3439345A1 (en) * 2013-03-05 2019-02-06 Huawei Technologies Co., Ltd. Key exchange method and apparatus
CN115567931A (zh) * 2019-09-12 2023-01-03 华为技术有限公司 一种密钥生成方法及装置
CN112737774B (zh) * 2020-12-28 2023-04-07 苏州科达科技股份有限公司 网络会议中的数据传输方法、装置及存储介质
CN115022850A (zh) * 2022-05-27 2022-09-06 中国电信股份有限公司 一种d2d通信的认证方法、装置、系统、电子设备及介质

Also Published As

Publication number Publication date
WO2024065469A1 (zh) 2024-04-04

Similar Documents

Publication Publication Date Title
CN111669276B (zh) 一种网络验证方法、装置及系统
TWI451735B (zh) 用於在通訊系統中將用戶認證與設備認證結合的方法和裝置
EP3691316B1 (en) Parameter protection method, device and system
WO2015029945A1 (ja) 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置
EP3982590A1 (en) Security authentication method, configuration method, and related device
WO2012151351A1 (en) Wireless authentication using beacon messages
US20230017001A1 (en) Vehicle control method, communications apparatus, and computer-readable storage medium
CA3051777A1 (en) Encrypting data in a pre-associated state
CN116114280A (zh) 密钥管理方法及通信装置
WO2022237561A1 (zh) 一种通信方法及装置
CN118120200A (zh) 一种直连链路建立方法、设备及存储介质
CN115885496B (zh) 一种通信方法及相关装置
CN103974245B (zh) 设备配置方法、设备及系统
CN113455032A (zh) 通信方法及装置
CN116472731B (zh) 一种消息验证方法及其装置
CN112654013B (zh) 证书发放方法和装置
CN116848821A (zh) 一种密钥交换方法、装置、设备及存储介质
WO2024065335A1 (zh) 一种侧行链路定位方法及装置
WO2024065336A1 (zh) 一种侧行链路定位方法及装置
US20230308868A1 (en) Method, devices and system for performing key management
WO2023245520A1 (zh) 一种定位服务的直接通信方法及装置
EP4231751A1 (en) Wireless communication method, device, and system
WO2024050846A1 (zh) 近邻通信方法和装置
US20230087265A1 (en) Key negotiation method, apparatus, and system
CN116472731A (zh) 一种消息验证方法及其装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination