WO2017020206A1 - 一种通信方法及相关装置 - Google Patents

Abstract

一种通信方法及相关装置，该方法包括：MME接收eNB发送的附着请求消息，所述附着请求消息用于UE请求附着到网络，所述附着请求消息中包括所述UE的身份标识；所述MME根据所述附着请求消息，向HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查；所述MME接收所述HSS发送的包括AV的认证数据响应消息，所述认证数据响应消息用于指示所述UE授权检查通过；所述MME根据所述认证数据响应消息，确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。实施上述技术方案可以实现在车车通信中由网络侧对UE进行认证，减少空口开销。

Description

一种通信方法及相关装置 技术领域

本发明涉及通信技术领域，尤其涉及一种通信方法及相关装置。

背景技术

近年来汽车网络越来越受到人们的关注，通过车车通信或者车与路边单元(Road Side Unit，RSU)之间的通信从而提高道路交通的安全性、可靠性，提升交通通行效率。智能交通系统旨在实现车与车、车与人之间、车与路之间持续通信以交换当前车辆或周围环境状态，以减少交通事故、提高交通出行的安全性、帮助缓解交通拥堵、降低能耗、减少污染排放、保护环境、提高运输效率并带动相关产业。

目前，欧洲和美国的ITS(Intelligent Transport System，智能交通系统)都是基于DSRC(Dedicated short range communication，专用短距离通信)技术来实现车车之间的通信，对应的安全解决方案是基于非对称密钥的证书，需要在每条DSRC消息中携带证书和消息签名。其中：

UE(User Equipment，用户设备)从网络侧的CA(Certificate Authority，认证中心)请求获取证书。UE拿到证书后缓存在本地，UE会以1～10HZ的频率向周围车辆广播消息，携带车辆信息(例如，CAM(Cooperative Awareness Message，合作感知消息)、DENM(Decentralized environmental notification message，分布式环境通知消息))。为了使接收端UE能够验证发端UE身份的合法性，需要发端UE将其证书携带在消息中；为了使接收端UE能够验证CAM/DENM消息本身是否收到安全攻击(伪造和篡改)，需要发端UE使用证书对应的私钥对消息进行签名并将签名值携带在消息中。接收端UE会首先验证CAM/DENM消息中证书的合法性，然后再验证消息中签名值是否正确。其中，V2V(vehicle to vehicle，车辆到车辆)消息的格式可以参见图1，该消息中需要携带Certificate(证书)和Signature(签名)。

然而实践发现，上述基于DSRC技术实现的车车通信方案中UE的认证是 基于证书实现的，每条DSRC消息均携带有证书和签名，空口开销大；此外，基于证书的签名和加密计算时间长，对于时延敏感的车车通信消息，如果处理时延太大，可能会产生较大影响。

发明内容

本发明实施例提供了一种通信方法及相关装置，以实现在车车通信中，由网络侧对UE进行认证，减少空口开销。

第一方面提供了一种通信方法，包括：

移动管理实体MME接收演进型基站eNB发送的附着请求消息，所述附着请求消息用于用户设备UE请求附着到网络，所述附着请求消息中包括所述UE的身份标识；

所述MME根据所述附着请求消息，向归属签约用户服务器HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查；

所述MME接收所述HSS发送的包括认证向量AV的认证数据响应消息，所述认证数据响应消息用于指示所述UE授权检查通过；

所述MME根据所述认证数据响应消息，确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。

结合第一方面，在第一方面的第一种可能的实现方式中，所述附着请求消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

所述MME根据所述附着请求消息，向HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查，包括：

所述MME根据所述附着请求消息，向所述HSS发送包括所述UE的身份标识，以及所述V2X指示信息的认证数据请求消息，使得所述HSS根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述MME根据所述认证数据响应消息，确定所述UE被允许进行 V2X业务，包括：

所述MME根据所述认证数据响应消息，以及所述附着请求消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。

结合第一方面，或第一方面的第一种可能的实现方式，在第一方面第三种可能的实现方式中，所述认证数据响应消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

所述MME根据所述认证数据响应消息，确定所述UE被允许进行V2X业务，包括：

所述MME根据所述认证数据响应消息，以及所述认证数据响应消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。

结合第一方面，以及第一方面的第一种可能的实现方式至第三种可能的实现方式中的任一种实现方式，在第一方面的第四种可能的实现方式中，所述MME根据所述AV对所述UE进行认证之后，还包括：

在所述MME对所述UE认证通过之后，所述MME向所述eNB发送所述UE被允许进行V2X业务的指示信息，以使所述eNB为所述UE分配V2X通信资源。

结合第一方面，以及第一方面的第一种可能的实现方式至第三种可能的实现方式中的任一种实现方式，在第一方面的第五种可能的实现方式中，所述附着请求消息中还包括所述UE的位置信息；所述MME根据所述AV对所述UE进行认证之后，还包括：

所述MME向V2X服务器发送包括所述UE的位置信息的区域密钥请求消息；

所述MME接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息；

所述MME向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息，所述区域密钥信息用于区域内的UE对V2X消息进行安全保护。

结合第一方面的第五种可能的实现方式，在第一方面的第六种可能的实现 方式中，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

结合第一方面的第五种可能的实现方式，或第六种可能的实现，在第一方面第七种可能的实现方式中，所述MME对所述UE认证通过之后，还包括：

所述MME与所述UE建立非接入层NAS安全上下文；

所述MME向所述UE发送区域密钥分配消息，包括：

所述MME向所述UE发送通过NAS安全上下文保护后的区域密钥分配消息。

第二方面提供了另一种通信方法，包括：

演进型基站eNB接收用户设备UE发送的第一附着请求消息；

所述eNB根据所述第一附着请求消息，向移动管理实体MME发送第二附着请求消息；

所述eNB接收所述MME发送的所述UE被允许进行车辆到其它任何终端V2X业务的指示信息；

所述eNB根据所述UE被允许进行V2X业务的指示信息，为所述UE分配V2X通信资源。

结合第二方面，在第二方面的第一种可能的实现方式中，所述eNB根据所述指示信息，为所述UE分配V2X通信资源之前，还包括：

所述eNB接收所述UE发送的V2X资源调度请求，所述V2X资源调度请求用于请求V2X通信资源。

结合第二方面，或第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述eNB为所述UE分配V2X通信资源，包括：

所述eNB向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息；所述区域密钥信息用于区域内UE对V2X通信消息进行安全保护。

结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，所述eNB向所述UE发送区域密钥分配消息之前，还包括：

所述eNB向V2X服务器发送区域密钥请求消息；

所述eNB接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区 域的区域密钥信息。

结合第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，所述区域密钥信息中包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

结合第二方面的第二种可能的实现方式至第四种可能的实现方式中的任一种实现方式，在第二方面第五种可能的实现方式中，所述UE被允许进行V2X业务的指示信息携带在初始上下文建立请求消息中；

所述eNB接收到所述MME发送的携带所述UE被允许进行V2X业务的指示信息的初始上下文建立请求消息之后，所述方法还包括：

所述eNB与所述UE建立接入层AS安全上下文；

所述eNB向所述UE发送区域密钥分配消息，包括：

所述eNB向所述UE发送通过AS安全上下文保护后的区域密钥分配消息。

第三方面提供了另一种通信方法，包括：

归属签约用户服务器HSS接收移动管理实体MME发送的包括用户设备UE的身份标识的认证数据请求消息；

所述HSS根据所述UE的身份标识对所述UE进行授权检查；

所述HSS向所述MME发送包括认证向量AV的认证数据响应消息，所述认证数据响应消息指示所述UE授权检查通过，以使所述MME根据所述认证数据响应消息确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。

结合第三方面，在第三方面的第一种可能的实现方式中，所述认证数据请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

所述HSS根据所述UE的身份标识对所述UE进行授权检查，包括：

所述HSS根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。

结合第三方面，在第三方面的第二种可能的实现方式中，所述认证数据请求消息中不包括V2X指示信息，所述认证数据响应消息还包括所述V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。

第四方面提供了另一种通信方法，包括：

车辆到其它任何终端V2X服务器生成第一通信设备所在区域的区域密钥；

所述V2X服务器向第一通信设备发送区域密钥。

结合第四方面，在第四方面的第一种可能的实现方式中，所述V2X服务器向第一通信设备发送区域密钥，包括：

所述V2X服务器向演进型基站eNB发送所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。

结合第四方面，在第四方面的第二种可能的实现方式中，所述V2X服务器向相应设备发送相关区域密钥，包括：

所述V2X服务器接收eNB发送的区域密钥请求消息；

所述V2X服务器向所述eNB发送区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。

结合第四方面，在第四方面的第三种可能的实现方式中，所述V2X服务器向第一通信设备发送区域密钥，包括：

所述V2X服务器接收移动管理实体MME发送的区域密钥请求消息，所述区域密钥请求消息中包括用户设备UE的位置信息；

所述V2X服务器向所述MME发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

结合第四方面，在第四方面的第四种可能的实现方式中，所述V2X服务器向第一通信设备发送区域密钥，包括：

所述V2X服务器与用户设备UE建立通用自举架构GBA或GBA推送push安全机制的安全连接；

所述V2X服务器接收所述UE发送的区域密钥请求消息，所述区域密钥请求消息中包括所述UE的位置信息；

所述V2X服务器向所述UE发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

第五方面提供了另一种通信方法，包括：

用户设备UE向演进型基站eNB发送附着请求消息；

所述UE接收所述eNB分配的车辆到任何其它终端V2X通信资源，所述V2X通信资源是所述eNB接收到所述UE被允许进行V2X业务的指示信息时向所述UE分配的；或，

所述UE接收移动管理实体MME发送的区域密钥分配消息，所述区域密钥分配消息是所述MME确定所述UE被允许进行V2X业务，且对所述UE认证通过之后，向所述UE发送的，所述区域密钥分配消息包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

结合第五方面，在第五方面的第一种可能的实现方式中，所述UE接收演进型基站eNB分配的V2X通信资源，包括：

所述UE接收所述eNB发送的区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

结合第五方面，在第五方面的第二种可能的实现方式中，所述UE向eNB发送附着请求消息之后，还包括：

所述UE向所述eNB发送区域密钥请求消息；

所述UE接收所述eNB发送的区域密钥响应消息，所述区域密钥响应消息包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

结合第五方面，以及第五方面的第一种可能的实现方式至第二种可能的实现方式，在第五方面的第三种可能的实现方式中，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

结合第五方面的第三种可能的实现方式，在第五方面的第四种可能的实现方式中，所述方法还包括：

所述UE向接收端发送V2X消息，所述V2X消息中包括消息内容、区域密钥ID、区域ID以及消息验证值；其中，所述消息验证值是使用所述区域密钥ID以及区域ID对应的区域密钥对所述消息内容、区域密钥ID以及区域ID进行完整性保护得到的。

结合第五方面，以及第五方面的第一种可能的实现方式至第四种可能的实 现方式中的任一种实现方式，在第五方面的第五种可能的实现方式中，所述附着请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。

第六方面提供了一种通信装置，包括：

接收模块，用于接收演进型基站eNB发送的附着请求消息，所述附着请求消息用于用户设备UE请求附着到网络，所述附着请求消息中包括所述UE的身份标识；

发送模块，用于根据所述附着请求消息，向归属签约用户服务器HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查；

所述接收模块，还用于接收所述HSS发送的包括认证向量AV的认证数据响应消息，所述认证数据响应消息用于指示所述UE授权检查通过；

确定模块，用于根据所述认证数据响应消息，确定所述UE被允许进行车辆到其它任何终端V2X业务；

认证模块，用于根据所述AV对所述UE进行认证。

结合第六方面，在第六方面的第一种可能的实现方式中，所述附着请求消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

所述发送模块，具体用于根据所述附着请求消息，向所述HSS发送包括所述UE的身份标识，以及所述V2X指示信息的认证数据请求消息，使得所述HSS根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。

结合第六方面的第一种可能的实现方式，在第六方面的第二种可能的实现方式中，所述确定模块，具体用于根据所述认证数据响应消息，以及所述附着请求消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。

结合第六方面，或第六方面的第一种可能的实现方式，在第六方面第三种可能的实现方式中，所述认证数据响应消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

所述确定模块，具体用于根据所述认证数据响应消息，以及所述认证数据响应消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。

结合第六方面，以及第六方面的第一种可能的实现方式至第三种可能的实现方式中的任一种实现方式，在第六方面的第四种可能的实现方式中，所述发送模块，还用于在所述认证模块对所述UE认证通过之后，向所述eNB发送所述UE被允许进行V2X业务的指示信息，以使所述eNB为所述UE分配V2X通信资源。

结合第六方面，以及第六方面的第一种可能的实现方式至第三种可能的实现方式中的任一种实现方式，在第六方面的第五种可能的实现方式中，所述附着请求消息中还包括所述UE的位置信息；

所述发送模块，还用于向V2X服务器发送包括所述UE的位置信息的区域密钥请求消息；

所述接收模块，还用于接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息；

所述发送模块，还用于向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息，所述区域密钥信息用于区域内的UE对V2X消息进行安全保护。

结合第六方面的第五种可能的实现方式，在第六方面的第六种可能的实现方式中，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

结合第六方面的第五种可能的实现方式，或第六种可能的实现，在第六方面第七种可能的实现方式中，所述装置还包括：

建立模块，用于所述认证模块对所述UE认证通过之后，与所述UE建立非接入层NAS安全上下文；

所述发送模块，具体用于向所述UE发送通过NAS安全上下文保护后的区域密钥分配消息。

第七方面提供了另一种通信装置，包括：

接收模块，用于接收用户设备UE发送的第一附着请求消息；

发送模块，用于根据所述第一附着请求消息，向移动管理实体MME发送第二附着请求消息；

所述接收模块，还用于接收所述MME发送的所述UE被允许进行车辆到其它任何终端V2X业务的指示信息；

分配模块，还用于根据所述UE被允许进行V2X业务的指示信息，为所述UE分配V2X通信资源。

结合第七方面，在第七方面的第一种可能的实现方式中，所述接收模块，还用于接收所述UE发送的V2X资源调度请求，所述V2X资源调度请求用于请求V2X通信资源。

结合第七方面，或第七方面的第一种可能的实现方式，在第七方面的第二种可能的实现方式中，所述分配模块，具体用于向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息；所述区域密钥信息用于区域内UE对V2X通信消息进行安全保护。

结合第七方面的第二种可能的实现方式，在第七方面的第三种可能的实现方式中，所述发送模块，还用于向V2X服务器发送区域密钥请求消息；

所述接收模块，还用于接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

结合第七方面的第三种可能的实现方式，在第七方面的第四种可能的实现方式中，所述区域密钥信息中包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

结合第七方面的第二种可能的实现方式至第四种可能的实现方式中的任一种实现方式，在第七方面第五种可能的实现方式中，所述UE被允许进行V2X业务的指示信息携带在初始上下文建立请求消息中；

所述装置还包括：

建立模块，用于与所述UE建立接入层AS安全上下文；

所述发送模块，具体用于向所述UE发送通过AS安全上下文保护后的区域密钥分配消息。

第八方面提供了另一种通信方法，包括：

接收模块，用于接收移动管理实体MME发送的包括用户设备UE的身份标识的认证数据请求消息；

授权模块，用于根据所述UE的身份标识对所述UE进行授权检查；

发送模块，用于向所述MME发送包括认证向量AV的认证数据响应消息，所述认证数据响应消息指示所述UE授权检查通过，以使所述MME根据所述认证数据响应消息确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。

结合第八方面，在第八方面的第一种可能的实现方式中，所述认证数据请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

所述授权模块，具体用于根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。

结合第八方面，在第八方面的第二种可能的实现方式中，所述认证数据请求消息中不包括V2X指示信息，所述认证数据响应消息还包括所述V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。

第九方面提供了另一种通信装置，包括：

生成模块，用于生成第一通信设备所在区域的区域密钥；

发送模块，用于向第一通信设备发送区域密钥。

结合第九方面，在第九方面的第一种可能的实现方式中，所述发送模块，具体用于向演进型基站eNB发送所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。

结合第九方面，在第九方面的第二种可能的实现方式中，所述发送模块，具体用于当所述装置接收到eNB发送的区域密钥请求消息时，向所述eNB发送区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。

结合第九方面，在第九方面的第三种可能的实现方式中，所述发送模块，具体用于当所述装置接收到eNB发送的区域密钥请求消息时，向所述eNB发送区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。

结合第九方面，在第九方面的第四种可能的实现方式中，所述装置还包括：

建立模块，用于与用户设备UE建立通用自举架构GBA或GBA推送push安全机制的安全连接；

所述发送模块，具体用于当所述装置接收到所述UE发送的区域密钥请求消息，所述区域密钥请求消息中包括所述UE的位置信息时，向所述UE发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

第十方面提供了另一种通信装置，包括：

发送模块，用于向演进型基站eNB发送附着请求消息；

接收模块，用于接收所述eNB分配的车辆到任何其它终端V2X通信资源，所述V2X通信资源是所述eNB接收到所述UE被允许进行V2X业务的指示信息时向所述UE分配的；或，接收移动管理实体MME发送的区域密钥分配消息，所述区域密钥分配消息是所述MME确定所述UE被允许进行V2X业务，且对所述UE认证通过之后，向所述UE发送的，所述区域密钥分配消息包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

结合第十方面，在第十方面的第一种可能的实现方式中，所述接收模块，具体用于接收所述eNB发送的区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

结合第十方面，在第十方面的第二种可能的实现方式中，所述发送模块，还用于向所述eNB发送区域密钥请求消息；

所述接收模块，还用于接收所述eNB发送的区域密钥响应消息，所述区域密钥响应消息包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

结合第十方面，以及第十方面的第一种可能的实现方式至第二种可能的实现方式，在第十方面的第三种可能的实现方式中，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

结合第十方面的第三种可能的实现方式，在第十方面的第四种可能的实现方式中，所述发送模块，具体用于向接收端发送V2X消息，所述V2X消息中包括使用所述区域密钥进行加密的消息内容，以及所述区域密钥对应的区域密钥ID和区域ID。

结合第十方面，以及第十方面的第一种可能的实现方式至第四种可能的实 现方式中的任一种实现方式，在第十方面的第五种可能的实现方式中，所述附着请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。

与现有技术相比，本发明实施例具有以下有益效果：

本发明实施例中，MME接收到eNB发送的附着请求消息之后，可以根据该附着请求消息向HSS发送包括UE的身份标识的认证数据请求消息，使得HSS根据UE的身份标识对UE进行授权检查，进而接收HSS发送的包括AV的认证数据响应消息，并根据该认证数据响应消息确定UE允许进行V2X业务，并根据AV对UE进行认证，实现了在车车通信中，由网络侧对UE进行认证，减少了空口开销。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一种现有的V2V消息的格式示意图；

图2为本发明实施例提供的一种通信方法的流程示意图；

图3为本发明实施例提供的另一种通信方法的流程示意图；

图4为本发明实施例提供的另一种通信方法的流程示意图；

图5为本发明实施例提供的另一种通信方法的流程示意图；

图6为本发明实施例提供的另一种通信方法的流程示意图；

图7为本发明实施例提供的另一种通信方法的流程示意图；

图8为本发明实施例提供的另一种通信方法的流程示意图；

图9为本发明实施例提供的一种通信装置的结构示意图；

图10为本发明实施例提供的另一种通信装置的结构示意图；

图11为本发明实施例提供的另一种通信装置的结构示意图；

图12为本发明实施例提供的一种通信装置的结构示意图；

图13为本发明实施例提供的另一种通信装置的结构示意图；

图14为本发明实施例提供的另一种通信装置的结构示意图；

图15为本发明实施例提供的一种通信装置的结构示意图；

图16为本发明实施例提供的另一种通信装置的结构示意图；

图17为本发明实施例提供的一种通信装置的结构示意图；

图18为本发明实施例提供的另一种通信装置的结构示意图；

图19为本发明实施例提供的另一种通信装置的结构示意图；

图20为本发明实施例提供的一种通信装置的结构示意图；

图21为本发明实施例提供的另一种通信装置的结构示意图；

图22为本发明实施例提供的一种通信系统的架构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种通信方法，可以实现在车车通信中，由网络侧对UE进行认证，减少空口开销。以下分别进行说明。

请参阅图2，图2为本发明实施例提供的一种通信方法的流程示意图。其中，图2所描述的通信方法主要是从MME一侧来进行描述的。如图2所示，该方法可以包括以下步骤：

步骤201、MME接收eNB发送的附着请求消息，该附着请求消息用于UE请求附着到网络，该附着请求消息包括UE的身份标识。

本发明实施例中，当UE(User Equipment，用户设备)需要附着到网络时，UE可以向eNB(evolved Node B，演进型基站)发送附着请求消息，eNB接收到该附着请求消息(第一附着请求消息)之后，可以根据该第一附着请求消息向MME(Mobility Management Entity，移动管理实体)发送第二附着请求消息。

可选地，eNB接收到UE发送的第一附着请求消息之后，可以不对该第一 附着请求消息进行处理，直接转发给MME，此时，第一附着请求消息与第二附着请求消息相同；或者，eNB接收到UE发送的第一附着请求消息之后，可以对该第一附着请求消息进行相应处理后，重新封装为第二附着消息，并转发给MME，此时，第一附着请求消息和第二附着请求消息可以不同。

在一种可选的实施方式中，该附着请求消息中还可以包括V2X(Vehicle-to-Everything，车辆到其它任何终端)指示信息，该V2X指示信息用于指示UE为V2X类型，即该UE具备进行V2X通信的能力；MME接收到该附着请求消息之后，可以根据该附着请求消息中包括的V2X指示信息获知该UE为V2X类型。

本发明实施例中，V2X也可以称为LTE-V2X，即基于LTE(Long TermEvolution，长期演进)的车辆与其它终端；V2X通信可以包括但不限于：V2V通信、V2I(Vehicle-to-Infrastructure，车辆到基础设施)通信，以及V2P(Vehicle-to-Pedestrian，车辆到行人)通信；其中，V2I通信中可以包括但不限于车辆与基站通信、车辆与路边单元通信以及车辆与交通灯上的通信模块通信等。

步骤202、MME根据该附着请求消息，向HSS发送包括UE的身份标识的认证数据请求消息，使得HSS根据UE的身份标识对UE进行授权检查。

本发明实施例中，MME接收到eNB发送的附着请求消息之后，需要确定UE是否被允许进行V2X业务。

本发明实施例中，MME接收到eNB发送的包括UE的身份标识的附着请求消息之后，可以向HSS(Home Subscriber Server，归属签约用户服务器)发送包括UE的身份标识的认证数据请求消息。HSS接收到MME发送的认证数据请求消息之后，可以根据该UE的身份标识查询对应的签约信息，并根据该签约信息判断该UE是否被允许进行V2X业务；当HSS确定UE被允许进行V2X业务时，HSS可以向MME发送包括AV(Authentication Vector，认证向量)的认证数据响应消息。其中，UE的身份标识可以包括但不限于UE的IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)或TMSI(Temporary Mobile Subscriber Identity，临时移动用户标识)等。

MME接收到HSS发送的认证数据响应消息之后，可以根据该认证数据响 应消息中包括的AV对UE进行认证，其中，MME对UE进行认证的具体实现可以参见现有技术中MME对UE进行认证的相关实现，本发明实施例不再赘述。

在另一种可选的实施方式中，当UE的附着请求消息中还包括V2X指示信息时，上述步骤202中，MME根据所述附着请求消息，向HSS发送包括UE的身份标识的认证数据请求消息，使得HSS根据UE的身份标识对UE进行授权检查，可以包括：

MME根据附着请求消息，向HSS发送包括UE的身份标识，以及V2X指示信息的认证数据请求消息，使得HSS根据UE的身份标识确定UE是否被允许进行V2X业务。

在该实施方式中，MME会在向HSS发送的认证数据请求消息中携带V2X指示信息，以使HSS在获知UE为V2X类型时，根据UE的身份标识查询UE的签约信息，并根据该签约信息判断UE是否被允许进行V2X业务。

其中，当HSS接收到的认证数据请求消息中包括V2X指示信息时，HSS向MME发送的认证数据响应消息中可以包括V2X指示信息，也可以不包括V2X指示信息，本发明实施例对此不做限定。

在一种可选的实施方式中，HSS发送给MME的认证数据响应消息中还可以包括V2X指示信息，该V2X指示信息用于指示UE为V2X类型，以使MME获知UE为V2X类型。

步骤203、MME接收HSS发送的包括AV的认证数据响应消息，该认证数据响应消息用于指示UE授权检查通过。

本发明实施例中，HSS对UE授权检查通过之后，可以向MME发送包括AV的认证数据响应消息。MME接收到该认证数据响应消息之后，可以确定UE授权检查通过，进而，MME可以根据该认证数据响应消息中包括的AV对UE进行认证。

步骤204、MME根据该认证数据响应消息，确定UE被允许进行V2X业务，并根据AV对UE进行认证。

在一种可选的实施方式中，当附着请求消息中包括V2X指示信息时，MME根据认证数据响应消息，确定UE被允许进行V2X业务，可以包括：

MME根据认证数据响应消息，以及附着请求消息中包括的V2X指示信息，确定UE被允许进行V2X业务。

在该实施方式中，当附着请求消息中包括V2X消息时，MME可以确定该UE为V2X类型，进而，当MME接收到用于指示UE授权检查通过的认证数据响应消息时，MME可以确定该UE被允许进行V2X业务。

在另一种可选的实施方式中，认证数据响应消息中还包括V2X指示信息，该V2X指示信息用于指示UE为V2X类型；

相应地，MME根据认证数据响应消息，确定UE被允许进行V2X业务，可以包括：

MME根据认证数据响应消息，以及认证数据响应消息中包括的V2X指示信息，确定UE被允许进行V2X业务。

在该实施方式中，MME接收到HSS发送的认证数据响应消息时，可以确定UE授权检查通过，进一步地，MME根据认证数据响应消息中包括的V2X指示信息可以确定UE为V2X类型，因此，MME可以确定UE被允许进行V2X业务。

本发明实施例中，MME确定UE被允许进行V2X业务之后，可以根据认证数据响应消息中包括的AV对UE进行认证。

具体的，MME可以向UE发送认证请求消息(UE AuthenticationRequest)，并接收UE返回的认证响应消息(UE Authentication Response)，该认证响应消息中包括一个RES(Response，回复)值，MME可以比较该RES值与AV中包括的XRES(Expected Response，期望回复)值，若二者相同，则确定UE认证通过；否则，确定UE认证不通过。

进一步地，在一种可选的实施方式中，MME根据AV对UE进行认证之后，还可以包括：

在MME对UE认证通过之后，MME向eNB发送UE被允许进行V2X业务的指示信息，以使eNB为UE分配V2X通信资源。

在该实施方式中，MME确定UE被允许进行V2X业务，并对UE行认证通过之后，可以向eNB发送UE被允许进行V2X业务的指示信息。

在该实施方式中，eNB接收到上述指示信息之后，可以认为该UE 为一个合法的V2X类型的UE，从而，eNB可以为该UE分配UE进行V2X通信时所需的信息。

在该实施方式中，eNB在接收到上述指示信息之后，可以主动向该UE分配UE进行V2X通信时所需的信息；或者，eNB接收到上述指示信息之后，可以等到接收到UE发送的V2X通信信息获取请求时，才向该UE发送UE进行V2X通信时所需的信息。

本发明实施例中，UE进行V2X通信时所需的信息可以包括但不限于时频资源，以及当前服务该UE的eNB所处区域的区域密钥信息和相邻区域的区域密钥信息。

本发明实施例中，通过生成并管理区域密钥，同一区域对应的区域密钥相同，从而，不需要为每个UE均分别配置并管理证书，降低了CA的安全管理工作量；此外，UE使用区域密钥对V2X消息进行安全保护时，只需要在消息中携带区域密钥ID以及区域ID，而区域密钥ID以及区域ID的大小远小于证书和签名的大小，因而，与现有基于DSRC技术实现的车车通信方案相比，本发明实施例提供的技术方案车车通信消息更小，降低了安全开销；再者，与现有基于DSRC技术实现的车车通信方案中基于证书的签名和加密计算时间相比，本发明实施例提供的技术方案中通过区域密钥对V2X消息进行安全保护花费的时间更少，降低了消息处理时延。

在另一种可选的实施方式中，附着请求消息中还可以包括UE的位置信息，相应地，MME根据AV对UE进行认证之后，还可以包括以下步骤：

11)、MME向V2X服务器发送包括UE的位置信息的区域密钥请求消息；

12)、MME接收V2X服务器发送的区域密钥响应消息，该区域密钥响应消息中包括UE的位置信息对应的区域的区域密钥以及该区域的相邻区域的区域密钥信息；

13)、MME向UE发送区域密钥分配消息，该区域密钥分配消息中包括UE的位置信息对应的区域的区域密钥信息以及该区域的相邻区域 的区域密钥信息，该区域密钥信息用于区域内的UE对V2X消息进行安全保护。

在该实施方式中，区域密钥由V2X服务器生成并保存，当MME确定UE被允许进行V2X业务，且对UE进行认证通过之后，MME可以向V2X服务器发送包括UE的位置信息的区域密钥请求消息，以获取UE的位置信息对应的区域密钥信息，以及该区域的相邻区域的区域密钥信息；MME获取到UE的位置信息对应的区域密钥信息，以及该区域的相邻区域的区域密钥信息之后，可以将其分配给UE，以使UE根据区域密钥信息对V2X消息进行安全保护。

可选地，该区域密钥信息可以包括区域密钥(Area Key)、区域密钥ID(Area Key ID)以及区域ID(Area ID)三者的对应关系；其中，区域密钥ID用于唯一标识一个区域密钥，区域ID用于唯一标识一个区域。

UE接收到MME发送的区域密钥分配消息之后，可以保存该区域密钥分配消息中包括的UE的位置信息对应的区域的区域密钥、区域密钥ID以及区域ID三者的对应关系，以及该区域的相邻区域的区域密钥、区域密钥ID以及区域ID三者的对应关系。当UE需要进行V2X通信时，发送端UE可以使用当前所处区域的区域密钥对V2X消息进行完整性保护，并在V2X消息中携带当前所处区域的区域密钥ID以及区域ID。优选地，发送端UE还可以使用当前所处区域的区域密钥对V2X消息的消息内容进行加密(即该V2X消息中可以包括加密后的消息内容，以及上述区域密钥ID和区域ID)。

接收端UE接收到发送端UE发送的V2X消息之后，可以根据该V2X消息中携带的区域密钥ID和区域ID，查询自身保存的区域密钥、区域密钥ID以及区域ID三者的对应关系，以确定该V2X消息中携带的区域密钥ID和区域ID共同对应的区域密钥，并根据该区域密钥对该V2X消息进行完整性验证。可选地，当V2X消息中包括的消息内容为加密后的消息内容时，接收端UE可以根据该区域密钥对加密后的消息内容进行解密。

可选地，MME对UE认证通过之后，还可以包括：

MME与UE建立NAS(Non-Access Stratum，非接入层)安全上下文；

具体的，MME对UE认证通过之后，MME可以与UE建立NAS安全上下文，其具体实现可以参见现有技术中NAS安全上下文建立的相关流程，本发明实施例不再赘述。

相应地，MME向UE发送区域密钥分配消息，可以包括：

MME向UE发送通过NAS安全上下文保护后的区域密钥分配消息。

本发明实施例中，可以根据地理位置来划分区域，例如，一个eNB或多个eNB覆盖的范围组成一个区域，或者，一个或多个TA(TrackingArea Identity，跟踪区标识)作为一个区域，每一个区域都有对应的区域密钥。该区域内的V2X类型的UE使用该区域密钥对V2X消息进行安全保护。

基于上述区域划分策略，在本发明实施例中，一个eNB可以覆盖多个区域，或者，一个区域中可以包括多个eNB(即由多个eNB的覆盖范围组成一个区域)。

相应地，在eNB为UE分配区域密钥的实施方式中，当一个eNB覆盖多个区域时，UE向eNB请求区域密钥时，需要携带UE的位置信息，eNB接收到UE发送的区域密钥获取请求之后，需要根据UE的位置信息获取该位置信息对应的区域的区域密钥信息，以及该区域的相邻区域的区域密钥信息，并将其分配给UE。

而当一个区域中可以包括多个eNB时，UE向eNB请求区域密钥时，可以不用携带UE的位置信息，eNB接收到UE发送的区域密钥获取请求之后，直接可以获取自身(eNB)所处区域的区域密钥信息，以及该所处区域的相邻区域的区域密钥信息，并将其分配给UE。

在一种可选的实施方式中，上述区域密钥可以由eNB生成并管理。

在该实施方式中，当区域密钥由eNB生成并管理时，eNB生成区域密钥之后，需要将自身生成的区域密钥的区域密钥信息通告给向相邻区域的eNB；其中，eNB之间的区域密钥信息的通告可以通过对现有的X2接口指令进行改进实现，也可以通过新的X2接口指令实现。

在另一种可选的实施方式中，上述区域密钥可以由V2X服务器生成并管理，并配置到相应eNB上。

在该实施方式中，可以在系统中部署一个V2X服务器，该V2X服务器用于生成并管理区域密钥，并将该区域密钥配置到相应eNB上。由于所有区域的密钥均由V2X服务器生成并管理，从而，能够避免区域密钥的重用问题。

在另一种可选的实施方式中，可以在系统中部署一个V2X服务器，该V2X服务器用于生成并管理区域密钥，V2X服务器不会将区域密钥发送给eNB，即eNB不感知区域密钥，V2X服务器可以直接向UE分配区域密钥或者通过MME向UE分配区域密钥。

请参阅图3，图3为本发明实施例提供的另一种通信方法的流程示意图。其中，图3所描述的通信方法主要是从eNB一侧来进行描述的。如图3所示，该方法可以包括以下步骤：

步骤301、eNB接收UE发送的第一附着请求消息。

步骤302、eNB根据第一附着请求消息，向MME发送第二附着请求消息。

本发明实施例中，当UE需要附着到网络时，UE可以向eNB发送附着请求消息，eNB接收到该附着请求消息之后，可以根据该第一附着请求消息向MME发送第二附着请求消息。

可选地，eNB接收到UE发送的第一附着请求消息之后，可以不对该第一附着请求消息进行处理，直接转发给MME，此时，第一附着请求消息与第二附着请求消息相同；或者，eNB接收到UE发送的第一附着请求消息之后，可以对该第一附着请求消息进行相应处理后，重新封装为第二附着消息，并转发给MME，此时，第一附着请求消息和第二附着请求消息可以不同。

步骤303、eNB接收MME发送的UE被允许进行V2X业务的指示信息。

本发明实施例中，MME接收到eNB发送的第二附着请求消息之后， 可以向HSS发送认证数据请求消息，并当确定UE被允许进行V2X业务之后，对UE进行认证，其具体实现可以参见图2所示流程中的相关描述，在此不再赘述。

本发明实施例中，MME确定UE被允许进行V2X业务，且对UE认证通过之后，可以向eNB发送UE被允许进行V2X业务的指示信息。

步骤304、eNB根据UE被允许进行V2X业务的指示信息，为UE分配V2X通信资源。

在一种可选的实施方式中，eNB在接收到UE被允许进行V2X业务的指示信息之后，可以主动向该UE分配V2X通信资源。

在另一种可选的实施方式中，eNB接收到UE被允许进行V2X业务的指示信息之后，可以等到接收到UE发送的V2X资源调度请求时，才为UE分配V2X通信资源；

相应地，在该实施方式中，eNB根据UE被允许进行V2X业务的指示信息，为UE分配V2X通信资源之前，还可以包括：

eNB接收UE发送的V2X资源调度请求，该V2X资源调度请求用于请求V2X通信资源。

本发明实施例中，V2X通信资源可以包括但不限于时频资源，以及当前服务该UE的eNB所处区域的区域密钥信息和相邻区域的区域密钥信息。

相应地，在一种可选的实施方式中，eNB为UE分配V2X通信资源，可以包括：

eNB向UE发送区域密钥分配消息，该区域密钥分配消息中包括eNB所处区域的区域密钥信息和该所处区域的相邻区域的区域密钥信息，该区域密钥信息用于区域内UE对V2X通信消息进行安全保护。

本发明实施例中，上述区域密钥信息可以由eNB生成并管理；或者，上述区域密钥信息可以由V2X服务器生成并管理，并配置到相应eNB上。

相应地，在一种可选的实施方式中，eNB向UE发送区域密钥分配消息之前，还可以包括以下步骤：

21)、eNB向V2X服务器发送区域密钥请求消息；

22)、eNB接收V2X服务器发送的区域密钥响应消息，该区域密钥响应消息中包括eNB所处区域的区域密钥信息，以及该所述区域的相邻区域的区域密钥信息。

可选地，上述区域密钥信息可以包括区域密钥、区域密钥ID，以及区域ID三者的对应关系。

相应地，UE接收到eNB发送的区域密钥分配消息之后，可以保存该区域密钥分配消息中包括的区域密钥、区域密钥ID以及区域ID三者的对应关系，以及相邻区域的区域密钥、区域密钥ID以及区域ID三者的对应关系。当UE需要进行V2X通信时，发送端UE可以使用当前所处区域的区域密钥对V2X消息进行完整性保护，并在V2X消息中携带当前所处区域的区域密钥ID以及区域ID。优选地，发送端UE还可以使用当前所处区域的区域密钥对V2X消息的消息内容进行加密(即该V2X消息中可以包括加密后的消息内容，以及上述区域密钥ID和区域ID)。

接收端UE接收到发送端发送的V2X消息之后，可以根据该V2X消息中携带的区域密钥ID和区域ID，查询自身保存的区域密钥、区域密钥ID以及区域ID三者的对应关系，以确定该V2X消息中携带的区域密钥ID和区域ID共同对应的区域密钥，并根据该区域密钥对该V2X消息进行完整性验证。可选地，当V2X消息中包括的消息内容为加密后的消息内容时，接收端UE可以根据该区域密钥对加密后的消息内容进行解密。

在一种可选的实施方式中，上述UE被允许进行V2X业务的指示信息可以携带在初始上下文建立请求消息中。

相应地，eNB接收到MME发送的携带UE被允许进行V2X业务的指示信息的初始上下文建立请求消息之后，可以与UE建立AS(AccessStratum，接入层)安全上下文。其中，eNB与UE建立AS安全上下文的具体实现可以参见现有技术中相关流程，本发明实施例不再赘述。

相应地，在该实施方式中，eNB向UE发送区域密钥分配消息，可以包括：

eNB向UE发送通过AS安全上下文保护后的区域密钥分配消息。

请参阅图4，图4为本发明实施例提供的一种通信方法的流程示意图。其中，图4所描述的通信方法主要是从HSS一侧来进行描述的。如图4所示，该方法可以包括以下步骤：

步骤401、HSS接收MME发送的包括UE的身份标识的认证数据请求消息。

本发明实施例中，MME接收到eNB发送的包括UE的身份标识的附着请求消息之后，可以向HSS发送包括该UE的身份标识的认证数据请求消息。

本发明实施例中，UE的身份标识可以包括但不限于UE的IMSI或TMSI等。

步骤402、HSS根据UE的身份标识对UE进行授权检查。

本发明实施例中，HSS接收到MME发送的认证数据请求消息之后，可以根据该认证数据请求消息中包括的UE的身份标识查询UE的签约信息，并根据该签约信息对UE进行授权检查。

在一种可选的实施方式中，认证数据请求消息中可以包括V2X指示信息，该V2X指示信息用于指示UE为V2X类型；

相应地，HSS根据UE的身份标识对UE进行授权检查，可以包括：

HSS根据UE的身份标识确定UE是否被允许进行V2X业务。

在该实施方式中，当认证数据请求消息中包括V2X指示信息时，HSS接收到认证数据请求消息之后，可以先根据该认证数据请求消息中包括的UE的身份标识查询对应的签约信息，并根据该签约信息判断UE是否被允许进行V2X业务。

步骤403、HSS向MME发送包括AV的认证数据响应消息，认证数据响应消息指示UE授权检查通过，以使MME根据认证数据响应消息确定UE被允许进行V2X业务，并根据AV对UE进行认证。

本发明实施例中，HSS判断UE被允许进行V2X业务对UE授权检查通过后时，可以向MME发送包括AV的认证数据响应消息，以使MME获知UE授权检查通过。

本发明实施例中，MME根据认证数据响应消息确定UE被允许进行 V2X业务，并根据AV对UE进行认证的具体实现可以参见图2所示流程中的相关描述，在此不再赘述。

在一种可选的方式中，当认证数据请求消息中不包括V2X指示信息时，为了使MME获知UE为V2X类型，认证数据响应消息中还可以包括V2X指示信息，该V2X指示信息用于指示UE为V2X类型。

在该实施方式中，当认证数据请求消息中不包括V2X指示信息时，HSS根据UE的身份标识查询到对应的签约信息之后，若根据该签约信息确定UE被允许进行V2X业务，则HSS可以确定该UE为V2X类型，进而，HSS可以在认证数据响应消息中携带V2X指示信息，以使MME获知UE为V2X类型。

本发明实施例中，MME对UE认证通过之后的相关处理可以参见图2或图3所示的流程中的相关描述，在此不再赘述。

请参阅图5，图5为本发明实施例提供的另一种通信方法的流程示意图。其中，图5所描述的通信方法主要是从V2X服务器侧进行描述的。如图5所示，该方法可以包括以下步骤：

步骤501、V2X服务器生成第一通信设备所在区域的区域密钥。

本发明实施例中，区域密钥由V2X服务器生成并管理。

本发明实施例中，第一通信设备可以包括但不限于：eNB、MME、或UE等。

步骤502、V2X服务器向第一通信设备发送区域密钥。

在一种可选的实施方式中，V2X服务器向第一通信设备发送区域密钥，可以包括：

V2X服务器向eNB发送eNB所处区域的区域密钥信息，以及该所处区域的区域密钥信息。

在该实施方式中，区域密钥由eNB分配给UE。

V2X服务器生成区域密钥之后，可以根据eNB所处区域，主动将区域密钥信息发送给eNB，由eNB分配给相应UE。

在另一种可选的实施方式中，V2X服务器向第一通信设备发送区域 密钥，可以包括：

V2X服务器接收eNB发送的区域密钥请求消息；

V2X服务器向所述eNB发送区域密钥响应消息，区域密钥响应消息中包括eNB所处区域的区域密钥信息，以及该所处区域的相邻区域的区域密钥信息。

在该实施方式中，区域密钥由eNB分配给UE。

V2X服务器生成区域密钥之后，不会主动将区域密钥信息发送给eNB，而是需要在接收到eNB发送的区域密钥请求消息之后，将区域密钥信息发送给eNB，由eNB将区域密钥信息分配给相应UE。

在再一种可选实施方式中，V2X服务器向第一通信设备发送区域密钥，可以包括：

V2X服务器接收MME发送的区域密钥请求消息，区域密钥请求消息中包括UE的位置信息；

V2X服务器向MME发送区域密钥响应消息，区域密钥响应消息中包括UE的位置信息对应的区域的区域密钥信息，以及该区域的相邻区域的区域密钥信息。

在该实施方式中，区域密钥由MME分配给UE。

当MME确定UE被允许进行V2X业务，且对UE认证通过之后，MME可以向V2X服务器发送包括UE的位置信息的区域密钥请求消息，以获取UE的位置信息对应的区域密钥信息。

V2X服务器接收到MME发送的区域密钥请求消息之后，可以根据其中包括的UE的位置信息，查询UE的位置信息所对应的区域的区域密钥信息，以及该区域的相邻区域的区域密钥信息，并将其携带在区域密钥响应消息中返回给MME，由MME将区域密钥信息分配给相应UE。

在又一种可选实施方式中，V2X服务器向第一通信设备发送区域密钥，可以包括：

V2X服务器与UE建立GBA或GBA push安全机制的安全连接；

V2X服务器接收UE发送的区域密钥请求消息，区域密钥请求消息中包括UE的位置信息；

V2X服务器向UE发送区域密钥响应消息，区域密钥响应消息中包括UE的位置信息对应的区域的区域密钥，以及区域的相邻区域的区域密钥。

在该实施方式中，区域密钥由V2X服务器分配给UE。

当UE附着成功之后，UE可以与V2X服务器建立GBA(GenericBootstrapping Architecture，通用自举架构)或GBA push(推送)安全机制，并在GBA或GBA push安全机制建立成功之后，UE可以向V2X服务器发送携带自身位置信息的区域密钥获取请求，V2X服务器接收到该区域密钥获取请求之后，可以根据该区域密钥获取请求中包括的UE的位置信息查询对应的区域密钥，将UE的位置信息对应的区域的区域密钥信息以及相邻区域的区域密钥信息发送给UE。

其中，UE与V2X服务器建立GBA或GBA push安全机制的流程中，V2X服务器充当NAF(Network Application Function，网络应用功能)实体的角色，其具体流程可以参见现有技术中GBA或GBA push安全机制建立的流程中的相关描述，本发明实施例在此不再赘述。

可选地，在本发明实施例中，上述区域密钥信息可以包括区域密钥、区域密钥ID，以及区域ID三者的对应关系。

本发明实施例中，eNB为UE分配区域密钥、MME为UE分配区域密钥、以及UE使用区域密钥信息对V2X消息进行安全保护的具体实现可以参见图2或3所示的方法流程中的相关描述，在此不再赘述。

请参阅图6，图6为本发明实施例提供的另一种通信方法的流程示意图。其中，图6所描述的通信方法主要是从UE侧来进行描述的。如图6所示，该方法可以包括以下步骤：

步骤601、UE向eNB发送附着请求消息，并转至步骤602a或602b。

本发明实施例中，当UE开机，且UE处于eNB覆盖范围之内时，UE可以向eNB发送附着请求消息。其中，该附着请求消息中包括UE的身份标识以及UE的位置信息，该身份信息可以包括但不限于IMSI或TMSI。

可选地，该附着请求消息中还可以包括V2X指示信息，该V2X指示信息用于指示UE为V2X类型。

步骤602a、UE接收所述eNB分配的V2X通信资源，该V2X通信资源是eNB接收到UE被允许进行V2X业务的指示信息之时向UE分配的。

本发明实施例中，eNB接收到UE发送的附着请求消息(第一附着请求消息)之后，可以向MME发送第二附着请求消息，并在接收到MME发送的被允许进行V2X业务的指示信息时，向UE分配V2X通信资源。

其中，MME接收eNB发送的附着请求消息，以及MME向eNB发送UE被允许进行V2X业务的指示信息的相关实现可以参见图2或图3所示流程中的相关描述，在此不再赘述。

在一种可选的实施方式中，UE接收eNB分配的V2X通信资源，可以包括：

UE接收eNB发送的区域密钥分配消息，该区域密钥分配消息中包括eNB所处区域的区域密钥信息和所处区域的相邻区域的区域密钥信息。

在该实施方式中，上述V2X通信资源可以包括区域密钥信息，eNB为UE分配区域密钥信息的具体实现可以参见上述图3所示的方法流程中的相关描述，在此不再赘述。

在另一种可选的实施方式中，UE向eNB发送附着请求消息之后，还可以包括：

UE向eNB发送区域密钥请求消息；

UE接收eNB发送的区域密钥响应消息，区域密钥响应消息包括eNB所处区域的区域密钥信息和所处区域的相邻区域的区域密钥信息。

在该实施方式中，eNB为UE分配的V2X通信资源中不包括区域密钥信息，当UE想要获取区域密钥时，需要向eNB发送区域密钥请求消息，并接收eNB返回的区域密钥响应消息，获取其中包括的区域密钥信息。

602b、UE接收MME发送的区域密钥分配消息，该区域密钥分配消息是MME确定UE被允许进行V2X业务，且对UE认证通过之后，向UE发送的，该区域密钥分配消息包括UE的位置信息对应的区域的区域 密钥信息，以及该区域的相邻区域的区域密钥信息。

本发明实施例中，MME确定UE被允许进行V2X业务，且对UE认证通过之后，可以为UE分配区域密钥信息。

其中，MME确定UE被允许进行V2X业务，以及MME对UE进行认证的具体实现可以参见上述图2所示的方法流程中的相关实现，在此不再赘述。

可选地，在本发明实施例中，上述区域密钥信息可以包括区域密钥、区域密钥ID，以及区域ID三者的对应关系。

进一步地，在本发明实施例中，UE被分配区域密钥信息之后，还可以向接收端发送V2X消息，该V2X消息中包括消息内容、区域密钥ID、区域ID以及消息验证值；其中，该消息验证值是使用区域密钥ID以及区域ID对应的区域密钥对消息内容、区域密钥ID以及区域ID进行完整性保护得到的。

可选地，该消息内容可以为使用区域密钥加密后的消息内容，其具体实现可以参见上述图2或图3所示方法流程中的相关描述，在此不再赘述。

请参阅图7，图7为本发明实施例提供的另一种通信方法的流程示意图。其中，图7所描述的通信方法主要是从UE、eNB、MME以及HSS四方面来进行描述的。如图7所示，该方法可以包括以下步骤：

步骤701、UE向eNB发送第一附着请求消息。

本发明实施例中，当UE开机，且UE处于eNB覆盖范围之内时，UE可以向eNB发送附着请求消息。其中，该附着请求消息中包括UE的身份标识，该身份信息可以包括但不限于IMSI或TMSI。

可选地，该第一附着请求消息中还可以包括V2X指示信息。

步骤702、eNB向MME发送第二附着请求消息。

本发明实施例中，eNB接收到UE发送的第一附着请求消息之后，可以向MME发送第二附着请求消息。

可选地，该第二附着请求消息中还可以包括V2X指示信息。

步骤703、MME向HSS发送认证数据请求消息，该认证数据请求消息中包括UE的身份标识。

本发明实施例中，MME接收到eNB发送的第二附着请求消息之后，可以向HSS发送认证数据请求消息，以请求HSS对UE进行授权检查。

可选地，当第二附着请求消息中包括V2X指示信息时，MME可以根据该V2X指示信息确定UE为V2X类型，并将该V2X指示信息包括在认证数据请求消息中发送给HSS。

步骤704、HSS根据UE的身份标识信息对UE进行授权检查。

本发明实施例中，HSS接收到MME发送的认证数据请求消息之后，可以根据该认证数据请求消息中包括的UE的身份标识查询该UE的签约信息，并根据该签约信息对UE进行授权检查。

本发明实施例中，HSS对UE进行授权检查主要是判断UE是否被允许进行V2X业务。当HSS判断UE被允许进行V2X业务时，HSS可以向MME发送包括AVs的认证数据响应消息。

步骤705、HSS向MME发送包括AV的认证数据响应消息。

可选地，在本发明实施例中，当UE发送的附着请求消息中不包括V2X指示信息时，HSS接收到的认证数据请求消息中也不会包括V2X指示信息。此时，当HSS判断UE被允许进行V2X业务之后，HSS向MME发送的认证数据响应消息中还可以包括V2X指示信息，以使MME获知UE为V2X类型。

在一种可选的实施方式中，MME接收到HSS发送的认证数据响应消息时，即可认为UE被允许进行V2X业务。

在另一种可选的实施方式中，认证数据响应消息中还可以包括用于指示UE被允许进行V2X业务的指示信息；在该实施方式中，MME接收到HSS发送的认证数据响应消息，并确定该认证数据响应消息中包括用于指示UE被允许进行V2X业务的指示信息时，才可以确定UE被允许进行V2X业务。

步骤706、MME根据该AV对UE进行认证。

本发明实施例中，MME接收到HSS发送的认证响应消息之后，可 以根据该认证响应消息中包括的AV对UE进行认证。

本发明实施例中，当MME对UE认证通过时，MME可以向eNB发送UE被允许进行V2X业务的指示信息。

可选地，该指示信息可以包括在初始上下文建立请求消息中。

步骤707、MME向eNB发送初始上下文建立请求消息，该初始上下文建立请求消息中包括UE被允许进行V2X业务的指示信息。

步骤708、eNB与UE建立AS安全上下文。

本发明实施例中，eNB接收到MME发送的包括UE被允许进行V2X业务的指示信息之后，可以与UE建立AS安全上下文。

其中，eNB与UE成功建立AS安全上下文之后，可以MME发送初始上下文建立响应消息。

步骤709、eNB向UE发送区域密钥分配消息，该区域密钥分配消息中包括区域密钥信息。

本发明实施例中，eNB接收到MME发送的UE被允许进行V2X业务的指示信息之后，可以为该UE分配区域密钥。

可选地，该区域密钥分配消息中包括eNB自身所处区域的区域密钥、区域密钥ID以及区域ID三者的对应关系，以及相邻区域的区域密钥、区域密钥ID以及区域ID三者的对应关系。

可选地，eNB可以将区域密钥分配消息通过AS安全上下文保护后，发送给UE。

步骤710、UE向eNB发送区域密钥分配响应消息。

本发明实施例中，UE接收到eNB发送的区域密钥分配消息之后，可以保存该区域密钥分配响应消息中包括的区域密钥信息，并向eNB发送区域密钥分配响应消息。

可选地，当区域密钥分配消息中包括eNB自身所处区域的区域密钥、区域密钥ID以及区域ID三者的对应关系，以及相邻区域的区域密钥、区域密钥ID以及区域ID三者的对应关系，UE可以保存该对应关系。

本发明实施例中，UE接收到eNB发送的区域密钥分配消息之后，可以保存该区域密钥分配消息中包括的区域密钥、区域密钥ID以及区域ID 三者的对应关系，以及相邻区域的区域密钥、区域密钥ID以及区域ID三者的对应关系。当UE需要进行V2X通信时，发送端UE可以使用当前所处区域的区域密钥对V2X消息进行完整性保护，并在V2X消息中携带当前所处区域的区域密钥ID以及区域ID。优选地，发送端UE还可以使用当前所处区域的区域密钥对V2X消息的消息内容进行加密(即该V2X消息中可以包括加密后的消息内容，以及上述区域密钥ID和区域ID)。

接收端UE接收到发送端发送的V2X消息之后，可以根据该V2X消息中携带的区域密钥ID和区域ID，查询自身保存的区域密钥、区域密钥ID以及区域ID三者的对应关系，以确定该V2X消息中携带的区域密钥ID和区域ID共同对应的区域密钥，并根据该区域密钥对该V2X消息进行完整性验证。可选地，当V2X消息中包括的消息内容为加密后的消息内容时，接收端UE可以根据该区域密钥对加密后的消息内容进行解密。

作为一种可选的实施方式，在本发明实施例中，上述区域密钥可以由eNB生成并管理。

相应地，图7所示的方法流程示意图中，步骤701之前还可以包括以下步骤(未在图7中示出)：

步骤700a、eNB生成并管理区域密钥。

作为另一种可选的实施方式中，在本发明实施例中，上述区域密钥可以由V2X服务器生成并管理，并配置到相应eNB上。

相应地，图5所示的方法流程示意图中，步骤701之前还可以包括以下步骤(未在图5中示出)：

步骤700b、V2X服务器生成并管理区域密钥，并将区域密钥配置到相应eNB上。

可选地，在本发明实施例中，V2X可以作为一个单独的实体部署，也可以作为HSS或MME的一个功能实体进行部署。

本发明实施例中，图7所描述的通信方法中，可以通过HSS根据UE的身份标识对应的签约信息对UE进行鉴权检查，判断UE是否被允许进行V2X业务，并当UE被允许进行V2X业务时，向MME发送认证数据 响应消息，以使MME在与UE相互认证通过之后，向eNB发送UE被允许进行V2X业务的指示信息，以使eNB为UE分配区域密钥，进而，由UE使用该区域密钥对V2X消息进行安全性保护。一方面，通过HSS对UE进行授权检查的方式保证UE身份的合法性，从而避免了UE在V2X消息中携带证书；另一方面，由于同一区域的区域密钥相同，因此，不需要再为同一区域中的各UE分别配置和管理安全证书，降低了CA的工作负荷。

请参阅图8，图8为本发明实施例提供的另一种通信方法的流程示意图。其中，图8所描述的通信方法主要是从UE、eNB、MME、V2X服务器以及HSS五方面来进行描述的。如图8所示，该方法可以包括以下步骤：

步骤800、V2X服务器生成并管理区域密钥。

本发明实施例中，区域密钥由V2X服务器生成并管理。

步骤801、UE向eNB发送第一附着请求消息。

本发明实施例中，当UE开机，且UE处于eNB覆盖范围之内时，UE可以向eNB发送附着请求消息。其中，该附着请求消息中包括UE的身份标识以及UE的位置信息，该身份信息可以包括但不限于IMSI或TMSI。

可选地，该第一附着请求消息中还可以包括V2X指示信息。

步骤802、eNB向MME发送第二附着请求消息。

本发明实施例中，eNB接收到UE发送的第一附着请求消息之后，需要向MME发送第二附着请求消息。

可选地，该第二附着请求消息中还可以包括V2X指示信息。

步骤803、MME向HSS发送认证数据请求消息，该认证数据请求消息中包括UE的身份标识。

本发明实施例中，MME接收到eNB发送的第二附着请求消息之后，可以向HSS发送认证数据请求消息，以请求HSS对UE进行授权检查。

可选地，当附着请求消息中包括V2X指示信息时，MME可以根据 该V2X指示信息确定UE为V2X类型，并将该V2X指示信息包括在认证数据请求消息中发送给HSS。

步骤804、HSS根据UE的身份标识信息对UE进行授权检查。

本发明实施例中，HSS接收到MME发送的认证数据请求消息之后，可以根据该认证数据请求消息中包括的UE的身份标识查询该UE的签约信息，并根据该签约信息对UE进行授权检查。

本发明实施例中，HSS对UE进行授权检查主要是判断UE是否被允许进行V2X业务。当HSS判断UE被允许进行V2X业务时，HSS可以向MME发送包括AVs的认证数据响应消息。

步骤805、HSS向MME发送包括AV的认证数据响应消息。

可选地，在本发明实施例中，当UE发送的附着请求消息中不包括V2X指示信息时，HSS接收到的认证数据请求消息中也不会包括V2X指示信息。此时，当HSS判断UE被允许进行V2X业务之后，HSS向MME发送的认证数据响应消息中还可以包括V2X指示信息，以使MME获知UE为V2X类型。

在一种可选的实施方式中，MME接收到HSS发送的认证数据响应消息时，即可认为UE被允许进行V2X业务。

在另一种可选的实施方式中，认证数据响应消息中还可以包括用于指示UE被允许进行V2X业务的指示信息；在该实施方式中，MME接收到HSS发送的认证数据响应消息，并确定该认证数据响应消息中包括用于指示UE被允许进行V2X业务的指示信息时，才可以确定UE被允许进行V2X业务。

步骤806、MME根据该AV对UE进行认证。

本发明实施例中，MME接收到HSS发送的认证响应消息之后，可以根据该认证响应消息中包括的AV对UE进行认证。

步骤807、MME与UE建立NAS安全上下文。

本发明实施例中，MME与UE相互认证通过之后，还可以与UE之间建立NAS安全上下文，其中，MME与UE建立NAS安全上下文的具体实现可以参见现有技术中NAS安全上下文建立的相关流程，在此不再 赘述。

步骤808、MME向V2X服务器发送区域密钥请求消息，该区域密钥请求消息中包括UE的位置信息。

本发明实施例中，MME确定UE被允许进行V2X业务，且与UE相互认证通过之后，可以向V2X服务器发送区域密钥请求消息，以为UE请求区域密钥。

步骤809、V2X服务器根据UE的位置信息向MME发送区域密钥响应消息。

本发明实施例中，V2X服务器接收到MME发送的区域密钥请求消息之后，可以根据该区域密钥请求消息包括的UE的位置信息查询自身维护的区域密钥，以确定UE的位置信息对应的区域的区域密钥和相邻区域的区域密钥，并将其携带在区域密钥响应消息中发送给MME。

可选地，该区域密钥响应消息中可以包括UE的位置信息对应的区域的区域密钥、区域密钥ID以及区域ID三者的对应关系，以及相邻区域的区域密钥、区域密钥ID以及区域ID三者的对应关系。

步骤810、MME向UE发送区域分配消息，该区域分配消息中包括区域密钥信息。

本发明实施例中，MME接收到V2X服务器发送的区域密钥响应消息之后，可以将其中包括的区域密钥信息发送给UE。

可选地，当区域密钥响应消息中包括UE的位置信息对应的区域的区域密钥、区域密钥ID以及区域ID三者的对应关系，以及相邻区域的区域密钥、区域密钥ID以及区域ID三者的对应关系，MME向UE发送的区域密钥分配消息中也包括该对应关系。

可选地，MME可以将区域密钥分配消息通过NAS安全上下文保护后发送给UE。

步骤811、UE向MME发送区域密钥分配响应消息。

本发明实施例中，UE接收到MME发送的区域密钥分配消息之后，可以保存该区域密钥分配响应消息中包括的区域密钥信息，并向MME发送区域密钥分配响应消息。

可选地，当区域密钥分配消息中包括UE的位置信息对应的区域的区域密钥、区域密钥ID以及区域ID三者的对应关系，以及相邻区域的区域密钥、区域密钥ID以及区域ID三者的对应关系，UE可以保存该对应关系。

本发明实施例中，UE接收到MME发送的区域密钥分配消息之后，可以保存该区域密钥分配消息中包括的区域密钥、区域密钥ID以及区域ID三者的对应关系，以及相邻区域的区域密钥、区域密钥ID以及区域ID三者的对应关系。当UE需要进行V2X通信时，发送端UE可以使用当前所处区域的区域密钥对V2X消息进行完整性保护，并在V2X消息中携带当前所处区域的区域密钥ID以及区域ID。优选地，发送端UE还可以使用当前所处区域的区域密钥对V2X消息的消息内容进行加密(即该V2X消息中可以包括加密后的消息内容，以及上述区域密钥ID和区域ID)。

接收端UE接收到发送端发送的V2X消息之后，可以根据该V2X消息中携带的区域密钥ID和区域ID，查询自身保存的区域密钥、区域密钥ID以及区域ID三者的对应关系，以确定该V2X消息中携带的区域密钥ID和区域ID共同对应的区域密钥，并根据该区域密钥对该V2X消息进行完整性验证。可选地，当V2X消息中包括的消息内容为加密后的消息内容时，接收端UE可以根据该区域密钥对加密后的消息内容进行解密。

本发明实施例中，在图8所描述的通信方法中，可以通过HSS根据UE的身份标识对应的签约信息对UE进行鉴权检查，判断UE是否被允许进行V2X业务，并当UE被允许进行V2X业务时，向MME发送认证数据响应消息，以使MME在与UE相互认证通过之后，向V2X服务器请求UE的位置信息对应的区域密钥，并将其发送给UE，进而，UE在进行V2X通信时，可以根据该区域密钥对V2X消息进行安全保护。一方面，通过HSS对UE进行授权检查的方式保证UE身份的合法性，从而避免了UE在V2X消息中携带证书；另一方面，由于同一区域的区域密钥相同，因此，不需要再为同一区域中的各UE分别配置和管理安全证书，降低了CA的工作负荷。此外，通过V2X服务器统一生成、管理并分配 区域密钥，可以避免区域密钥重用的情况发生。

请参阅图9，图9为本发明实施例提供的一种通信装置的结构示意图，其中，该通信装置可以应用于上述方法实施例中的MME。如图9所示，该通信装置可以包括：

接收模块901，用于接收演进型基站eNB发送的附着请求消息，所述附着请求消息用于用户设备UE请求附着到网络，所述附着请求消息中包括所述UE的身份标识；

发送模块902，用于根据所述附着请求消息，向归属签约用户服务器HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查；

所述接收模块901，还用于接收所述HSS发送的包括认证向量AV的认证数据响应消息，所述认证数据响应消息用于指示所述UE授权检查通过；

确定模块903，用于根据所述认证数据响应消息，确定所述UE被允许进行车辆到其它任何终端V2X业务；

认证模块904，用于根据所述AV对所述UE进行认证。

本发明实施例中，MME接收到eNB发送的附着请求消息之后，需要确定UE是否被允许进行V2X业务。

本发明实施例中，MME接收到eNB发送的包括UE的身份标识的附着请求消息之后，可以向HSS(Home Subscriber Server，归属签约用户服务器)发送包括UE的身份标识的认证数据请求消息。HSS接收到MME发送的认证数据请求消息之后，可以根据该UE的身份标识查询对应的签约信息，并根据该签约信息判断该UE是否被允许进行V2X业务；当HSS确定UE被允许进行V2X业务时，HSS可以向MME发送包括AV的认证数据响应消息。其中，UE的身份标识可以包括但不限于UE的IMSI或TMSI等。

MME接收到HSS发送的认证数据响应消息之后，可以根据该认证数据响应消息与UE进行相互认证，其中，MME对UE进行认证的具体 实现可以参见现有技术中MME对UE进行认证的相关实现，本发明实施例不再赘述。

在可选实施例中，所述附着请求消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

相应地，所述发送模块902，可以具体用于根据所述附着请求消息，向所述HSS发送包括所述UE的身份标识，以及所述V2X指示信息的认证数据请求消息，使得所述HSS根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。

在可选实施例中，所述确定模块903，可以具体用于根据所述认证数据响应消息，以及所述附着请求消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。

在该实施例中，当附着请求消息中包括V2X消息时，MME可以确定该UE为V2X类型，进而，当MME接收到用于指示UE授权检查通过的认证数据响应消息时，MME可以确定该UE被允许进行V2X业务

在可选实施例中，所述认证数据响应消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

相应地，所述确定模块903，可以具体用于根据所述认证数据响应消息，以及所述认证数据响应消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。

在该实施例中，MME接收到HSS发送的认证数据响应消息时，可以确定UE授权检查通过，进一步地，MME根据认证数据响应消息中包括的V2X指示信息可以确定UE为V2X类型，因此，MME可以确定UE被允许进行V2X业务。

在可选实施例中，所述发送模块902，还可以用于在所述认证模块对所述UE认证通过之后，向所述eNB发送所述UE被允许进行V2X业务的指示信息，以使所述eNB为所述UE分配V2X通信资源。

在可选实施例中，所述附着请求消息中还包括所述UE的位置信息；

相应地，所述发送模块902，还可以用于向V2X服务器发送包括所述UE的位置信息的区域密钥请求消息；

所述接收模块901，还可以用于接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息；

所述发送模块902，还可以用于向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息，所述区域密钥信息用于区域内的UE对V2X消息进行安全保护。

在该实施例中，区域密钥由V2X服务器生成并保存，当MME确定UE被允许进行V2X业务，且对UE进行认证通过之后，MME可以向V2X服务器发送包括UE的位置信息的区域密钥请求消息，以获取UE的位置信息对应的区域密钥信息，以及该区域的相邻区域的区域密钥信息；MME获取到UE的位置信息对应的区域密钥信息，以及该区域的相邻区域的区域密钥信息之后，可以将其分配给UE，以使UE根据区域密钥信息对V2X消息进行安全保护。

在可选实施例中，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

请一并参阅图10，图10是本发明实施例公开的另一种通信装置的结构示意图，其中，图10所示的通信装置是由图9所示的通信装置进行优化得到的。与图9所示的通信装置相比较，图10所示的通信装置还可以包括：

建立模块905，用于所述认证模块904对所述UE认证通过之后，与所述UE建立非接入层NAS安全上下文；

相应地，所述发送模块902，可以具体用于向所述UE发送通过NAS安全上下文保护后的区域密钥分配消息。

请参阅图11，图11是本发明实施例提供的另一种通信装置的结构示意图。其中，如图11所示的通信装置可以包括：总线1103，以及与所述总线1103互连的处理器1101、存储器1102；所述存储器1102中存储有程序代码。本领域技术人员可以理解，图中示出的通信装置的结构并不 构成对本发明的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。本发明实施例中，处理器1101调用存储器1102中存储的程序代码，可以执行以下操作：

接收eNB发送的附着请求消息，所述附着请求消息用于UE请求附着到网络，所述附着请求消息中包括所述UE的身份标识；

根据所述附着请求消息，向HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查；

接收所述HSS发送的包括认证向量AV的认证数据响应消息，所述认证数据响应消息用于指示所述UE授权检查通过；

根据所述认证数据响应消息，确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。

在可选实施例中，所述附着请求消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

所述处理器1101调用存储器1102中存储的程序代码根据所述附着请求消息，向HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查，可以具体包括：

根据所述附着请求消息，向所述HSS发送包括所述UE的身份标识，以及所述V2X指示信息的认证数据请求消息，使得所述HSS根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。

在可选实施例中，所述处理器1101调用存储器1102中存储的程序代码根据所述认证数据响应消息，确定所述UE被允许进行V2X业务，可以具体包括：

根据所述认证数据响应消息，以及所述附着请求消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。

在可选实施例中，所述认证数据响应消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

所述处理器1101调用存储器1102中存储的程序代码根据所述认证数 据响应消息，确定所述UE被允许进行V2X业务，可以具体包括：

根据所述认证数据响应消息，以及所述认证数据响应消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。

在可选实施例中，所述处理器1101调用存储器1102中存储的程序代码根据所述AV对所述UE进行认证之后，还可以执行以下操作：

在所述MME对所述UE认证通过之后，所述MME向所述eNB发送所述UE被允许进行V2X业务的指示信息，以使所述eNB为所述UE分配V2X通信资源。

在可选实施例中，所述附着请求消息中还包括所述UE的位置信息；

相应地，所述处理器1101调用存储器1102中存储的程序代码根据所述AV对所述UE进行认证之后，还可以执行以下操作：

向V2X服务器发送包括所述UE的位置信息的区域密钥请求消息；

接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息；

向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息，所述区域密钥信息用于区域内的UE对V2X消息进行安全保护。

在可选实施例中，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

在可选实施方式中，所述处理器1101调用存储器1102中存储的程序代码对所述UE认证通过之后，还包括：

与所述UE建立非接入层NAS安全上下文；

所述处理器1101调用存储器1102中存储的程序代码向所述UE发送区域密钥分配消息，可以具体包括：

向所述UE发送通过NAS安全上下文保护后的区域密钥分配消息。

请参阅图12，图12为本发明实施例提供的一种通信装置的结构示意图。 其中，该通信装置可以应用于上述方法实施例中的eNB。如图12所示，该通信装置可以包括：

接收模块1201，用于接收用户设备UE发送的第一附着请求消息；

发送模块1202，用于根据所述第一附着请求消息，向移动管理实体MME发送第二附着请求消息；

所述接收模块1201，还用于接收所述MME发送的所述UE被允许进行车辆到其它任何终端V2X业务的指示信息；

分配模块1203，还用于根据所述UE被允许进行V2X业务的指示信息，为所述UE分配V2X通信资源。

本发明实施例中，当UE需要附着到网络时，UE可以向eNB发送附着请求消息，eNB接收到该附着请求消息之后，可以根据该第一附着请求消息向MME发送第二附着请求消息。

可选地，eNB接收到UE发送的第一附着请求消息之后，可以不对该第一附着请求消息进行处理，直接转发给MME，此时，第一附着请求消息与第二附着请求消息相同；或者，eNB接收到UE发送的第一附着请求消息之后，可以对该第一附着请求消息进行相应处理后，重新封装为第二附着消息，并转发给MME，此时，第一附着请求消息和第二附着请求消息可以不同。

在可选实施例中，所述接收模块1201，还可以用于接收所述UE发送的V2X资源调度请求，所述V2X资源调度请求用于请求V2X通信资源。

在可选实施例中，所述分配模块1203，可以具体用于向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息；所述区域密钥信息用于区域内UE对V2X通信消息进行安全保护。

在可选实施例中，所述发送模块1202，还可以用于向V2X服务器发送区域密钥请求消息；

所述接收模块1201，还可以用于接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

在可选实施例中，所述区域密钥信息中包括：区域密钥、区域密钥ID以 及区域ID三者的对应关系。

在可选实施例中，所述UE被允许进行V2X业务的指示信息携带在初始上下文建立请求消息中；

相应地，请一并参阅图13，图13是本发明实施例公开的另一种通信装置的结构示意图，其中，图13所示的通信装置是由图12所示的通信装置进行优化得到的。与图12所示的通信装置相比较，图13所示的通信装置还可以包括：

建立模块1204，用于与所述UE建立接入层AS安全上下文；

所述发送模块1202，可以具体用于向所述UE发送通过AS安全上下文保护后的区域密钥分配消息。

请参阅图14，图14是本发明实施例提供的另一种通信装置的结构示意图。其中，如图14所示的通信装置可以包括：总线1403，以及与所述总线1403互连的处理器1401、存储器1402；所述存储器1402中存储有程序代码。本领域技术人员可以理解，图中示出的通信装置的结构并不构成对本发明的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。本发明实施例中，处理器1401调用存储器1402中存储的程序代码，可以执行以下操作：

接收UE发送的第一附着请求消息；

根据所述第一附着请求消息，向MME发送第二附着请求消息；

接收所述MME发送的所述UE被允许进行V2X业务的指示信息；

根据所述UE被允许进行V2X业务的指示信息，为所述UE分配V2X通信资源。

在可选实施例中，所述处理器1401调用存储器1402中存储的程序代码根据所述指示信息，为所述UE分配V2X通信资源之前，还可以执行以下操作：

接收所述UE发送的V2X资源调度请求，所述V2X资源调度请求用于请求V2X通信资源。

在可选实施例中，所述处理器1401调用存储器1402中存储的程序代码为所述UE分配V2X通信资源，包括：

所述eNB向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息；所述区域密钥信息用于区域内UE对V2X通信消息进行安全保护。

在可选实施例中，所述处理器1401调用存储器1402中存储的程序代码向所述UE发送区域密钥分配消息之前，还可以执行以下操作：

向V2X服务器发送区域密钥请求消息；

接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

在可选实施例中，所述区域密钥信息中包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

在可选实施例中，所述UE被允许进行V2X业务的指示信息携带在初始上下文建立请求消息中；

所述处理器1401调用存储器1402中存储的程序代码接收到所述MME发送的携带所述UE被允许进行V2X业务的指示信息的初始上下文建立请求消息之后，还可以执行以下操作：

与所述UE建立接入层AS安全上下文；

所述处理器1401调用存储器1402中存储的程序代码向所述UE发送区域密钥分配消息，可以具体包括：

向所述UE发送通过AS安全上下文保护后的区域密钥分配消息。

请参阅图15，图15为本发明实施例提供的一种通信装置的结构示意图。其中，该通信装置可以应用于上述方法实施例中的HSS。如图15所示，该通信装置可以包括：

接收模块1501，用于接收移动管理实体MME发送的包括用户设备UE的身份标识的认证数据请求消息；

授权模块1502，用于根据所述UE的身份标识对所述UE进行授权检查；

发送模块1503，用于向所述MME发送包括认证向量AV的认证数据响应消息，所述认证数据响应消息指示所述UE授权检查通过，以使所述MME根 据所述认证数据响应消息确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。

本发明实施例中，HSS接收到MME发送的认证数据请求消息之后，可以根据该认证数据请求消息中包括的UE的身份标识查询UE的签约信息，并根据该签约信息对UE进行授权检查。

在可选实施例中，所述认证数据请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

相应地，所述授权模块1502，可以具体用于根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。

在可选实施例中，所述认证数据请求消息中不包括V2X指示信息，所述认证数据响应消息还包括所述V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。

请参阅图16，图16是本发明实施例提供的另一种通信装置的结构示意图。其中，如图16所示的通信装置可以包括：总线1603，以及与所述总线1603互连的处理器1601、存储器1602；所述存储器1602中存储有程序代码。本领域技术人员可以理解，图中示出的通信装置的结构并不构成对本发明的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。本发明实施例中，处理器1601调用存储器1602中存储的程序代码，可以执行以下操作：

接收MME发送的包括UE的身份标识的认证数据请求消息；

所述HSS根据所述UE的身份标识对所述UE进行授权检查；

所述HSS向所述MME发送包括AV的认证数据响应消息，所述认证数据响应消息指示所述UE授权检查通过，以使所述MME根据所述认证数据响应消息确定所述UE被允许进行V2X业务，并根据所述AV对所述UE进行认证。

在可选实施例中，所述认证数据请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

所述处理器1601调用存储器1602中存储的程序代码根据所述UE的身份标识对所述UE进行授权检查，可以具体包括：

根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。

在可选实施例中，所述认证数据请求消息中不包括V2X指示信息，所述认证数据响应消息还包括所述V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。

请参阅图17，图17为本发明实施例提供的一种通信装置的结构示意图。其中，该通信装置可以应用于上述方法实施例中的V2X服务器。如图17所示，该通信装置可以包括：

生成模块1701，用于生成第一通信设备所在区域的区域密钥；

发送模块1702，用于向第一通信设备发送区域密钥。

本发明实施例中，区域密钥由V2X服务器生成并管理。

本发明实施例中，第一通信设备可以包括但不限于：eNB、MME、或UE等。

在一种可选实施例中，所述发送模块1702，具体用于向演进型基站eNB发送所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。

在另一种可选实施例中，所述发送模块1702，可以具体用于当所述装置接收到eNB发送的区域密钥请求消息时，向所述eNB发送区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。

在再一种可选实施例中，所述发送模块1702，可以具体用于当所述装置接收到移动管理实体MME发送的区域密钥请求消息，所述区域密钥请求消息中包括用户设备UE的位置信息时，向所述MME发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

在又一种可选实施例中，请一并参阅图18，图18是本发明实施例公开的另一种通信装置的结构示意图，其中，图18所示的通信装置是由图17所示的通信装置进行优化得到的。与图17所示的通信装置相比较，图18所示的通信装置还可以包括：

建立模块1703，用于与用户设备UE建立通用自举架构GBA或GBA推送push安全机制的安全连接；

相应地，所述发送模块1702，可以具体用于当所述装置接收到所述UE发送的区域密钥请求消息，所述区域密钥请求消息中包括所述UE的位置信息时，向所述UE发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

在该实施例中，当UE附着成功之后，UE可以与V2X服务器建立GBA或GBA push安全机制，并在GBA或GBA push安全机制建立成功之后，UE可以向V2X服务器发送携带自身位置信息的区域密钥获取请求，V2X服务器接收到该区域密钥获取请求之后，可以根据该区域密钥获取请求中包括的UE的位置信息查询对应的区域密钥，将UE的位置信息对应的区域的区域密钥信息以及相邻区域的区域密钥信息发送给UE。

其中，UE与V2X服务器建立GBA或GBA push安全机制的流程中，V2X服务器充当NAF实体的角色，其具体流程可以参见现有技术中GBA或GBApush安全机制建立的流程中的相关描述，本发明实施例在此不再赘述。

请参阅图19，图19是本发明实施例提供的另一种通信装置的结构示意图。其中，如图19所示的通信装置可以包括：总线1903，以及与所述总线1903互连的处理器1901、存储器1902；所述存储器1902中存储有程序代码。本领域技术人员可以理解，图中示出的通信装置的结构并不构成对本发明的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。本发明实施例中，处理器1901调用存储器1902中存储的程序代码，可以执行以下操作：

生成第一通信设备所在区域的区域密钥；

向第一通信设备发送区域密钥。

在可选实施例中，所述处理器1901调用存储器1902中存储的程序代码向第一通信设备发送区域密钥，可以具体包括：

向演进型基站eNB发送所述eNB所处区域的区域密钥信息，以及所述所 处区域的相邻区域的区域密钥信息。

在可选实施例中，所述处理器1901调用存储器1902中存储的程序代码向相应设备发送相关区域密钥，可以具体包括：

接收eNB发送的区域密钥请求消息；

向所述eNB发送区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。

在可选实施例中，所述处理器1901调用存储器1902中存储的程序代码向第一通信设备发送区域密钥，可以具体包括：

接收移动管理实体MME发送的区域密钥请求消息，所述区域密钥请求消息中包括用户设备UE的位置信息；

所述V2X服务器向所述MME发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

在可选实施例中，所述处理器1901调用存储器1902中存储的程序代码向第一通信设备发送区域密钥，可以具体包括：

与用户设备UE建立通用自举架构GBA或GBA推送push安全机制的安全连接；

接收所述UE发送的区域密钥请求消息，所述区域密钥请求消息中包括所述UE的位置信息；

向所述UE发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

请参阅图20，图20为本发明实施例提供的一种通信装置的结构示意图。其中，该通信装置可以应用于上述方法实施例中的UE。如图20所示，该通信装置可以包括：

发送模块2001，用于向演进型基站eNB发送附着请求消息；

接收模块2002，用于接收所述eNB分配的车辆到任何其它终端V2X通信 资源，所述V2X通信资源是所述eNB接收到所述UE被允许进行V2X业务的指示信息时向所述UE分配的；或，接收移动管理实体MME发送的区域密钥分配消息，所述区域密钥分配消息是所述MME确定所述UE被允许进行V2X业务，且对所述UE认证通过之后，向所述UE发送的，所述区域密钥分配消息包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

在可选实施例中，所述接收模块2002，可以具体用于接收所述eNB发送的区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

在可选实施例中，所述发送模块，还用于向所述eNB发送区域密钥请求消息；

所述接收模块，还用于接收所述eNB发送的区域密钥响应消息，所述区域密钥响应消息包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

在可选实施例中，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

在可选实施例中，所述发送模块2001，可以具体用于向接收端发送V2X消息，所述V2X消息中包括消息内容、区域密钥ID、区域ID以及消息验证值；其中，所述消息验证值是使用所述区域密钥ID以及区域ID对应的区域密钥对所述消息内容、区域密钥ID以及区域ID进行完整性保护得到的。

在可选实施例中，所述附着请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。

请参阅图21，图21是本发明实施例提供的另一种通信装置的结构示意图。其中，如图21所示的通信装置可以包括：总线2103，以及与所述总线2103互连的处理器2101、存储器2102；所述存储器2102中存储有程序代码。本领域技术人员可以理解，图中示出的通信装置的结构并不构成对本发明的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。本发明实施例中，处理器 2101调用存储器2102中存储的程序代码，可以执行以下操作：

向演进型基站eNB发送附着请求消息；

接收所述eNB分配的车辆到任何其它终端V2X通信资源，所述V2X通信资源是所述eNB接收到所述UE被允许进行V2X业务的指示信息时向所述UE分配的；或，

接收移动管理实体MME发送的区域密钥分配消息，所述区域密钥分配消息是所述MME确定所述UE被允许进行V2X业务，且对所述UE认证通过之后，向所述UE发送的，所述区域密钥分配消息包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

在可选实施例中，所述处理器2101调用存储器2102中存储的程序代码接收演进型基站eNB分配的V2X通信资源，可以具体包括：

接收所述eNB发送的区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

在可选实施例中，所述UE向eNB发送附着请求消息之后，还包括：

所述UE向所述eNB发送区域密钥请求消息；

所述UE接收所述eNB发送的区域密钥响应消息，所述区域密钥响应消息包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。

在可选实施例中，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。

在可选实施例中，所述处理器2101调用存储器2102中存储的程序代码还可以执行以下操作：

向接收端发送V2X消息，所述V2X消息中包括消息内容、区域密钥ID、区域ID以及消息验证值；其中，所述消息验证值是使用所述区域密钥ID以及区域ID对应的区域密钥对所述消息内容、区域密钥ID以及区域ID进行完整性保护得到的。

在可选实施例中，所述附着请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。

请参阅图22，图22为本发明实施例提供的一种通信系统的架构示意图。如图22所示，该通信系统可以包括：

eNB2201，向MME发送附着请求消息；所述附着请求消息用于UE请求附着到网络，所述附着请求消息包括UE的身份标识；

MME2202，用于接收演进型基站eNB发送的附着请求消息，并根据所述附着请求消息，向归属签约用户服务器HSS发送包括所述UE的身份标识的认证数据请求消息；

HSS2203，用于根据所述UE的身份标识对所述UE进行授权检查；向所述MME发送包括认证向量AV的认证数据响应消息，所述认证数据响应消息指示所述UE授权检查通过；

所述MME2202，还用于根据所述认证数据响应消息，确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。

在可选实施例中，所述通信系统还包括：

V2X服务器2204，用于生成第一通信设备所在区域的区域密钥，并向第一通信设备发送区域密钥。

在可选实施例中，所述通信系统还包括：

UE2205，用于向eNB2201发送附着请求消息；

所述UE2205，还用于接收所述eNB2201分配的V2X通信资源，所述V2X通信资源是所述eNB2201接收到所述UE2205被允许进行V2X业务的指示信息时向所述UE2205分配的；或，接收所述MME2202发送的区域密钥分配消息，所述区域密钥分配消息是所述MME2202确定所述UE2205被允许进行V2X业务，且对所述UE2205认证通过之后，向所述UE2205发送的，所述区域密钥分配消息包括所述UE2205的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。

在可选实施例中，所述eNB2201可以包括图12-14任一所示的通信装置。

在可选实施例中，所述MME2202可以包括图9-11任一所示的通信装置。

在可选实施例中，所述HSS2203可以包括图15-16任一所示的通信装置。

在可选实施例中，所述V2X服务器2204可以包括图17-19任一所示的通信装置。

在可选实施例中，所述UE2205可以包括图20-21任一所示的通信装置。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。具体的，可以借助软件加必需的通用硬件的方式来实现，通用硬件包括通用集成电路、通用CPU、通用存储器、通用元器件等，当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品 销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文：Read-Only Memory，简称为ROM)、随机存取存储器(英文：Random Access Memory，简称为RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上对本发明实施例提供的一种通信方法及相关装置进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法；同时，对于本领域的一般技术人员，依据本发明，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (56)

1. 一种通信方法，其特征在于，包括：

   移动管理实体MME接收演进型基站eNB发送的附着请求消息，所述附着请求消息用于用户设备UE请求附着到网络，所述附着请求消息中包括所述UE的身份标识；

   所述MME根据所述附着请求消息，向归属签约用户服务器HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查；

   所述MME接收所述HSS发送的包括认证向量AV的认证数据响应消息，所述认证数据响应消息用于指示所述UE授权检查通过；

   所述MME根据所述认证数据响应消息，确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。
2. 根据权利要求1所述的方法，其特征在于，所述附着请求消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

   所述MME根据所述附着请求消息，向HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查，包括：

   所述MME根据所述附着请求消息，向所述HSS发送包括所述UE的身份标识，以及所述V2X指示信息的认证数据请求消息，使得所述HSS根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。
3. 根据权利要求2所述的方法，其特征在于，所述MME根据所述认证数据响应消息，确定所述UE被允许进行V2X业务，包括：

   所述MME根据所述认证数据响应消息，以及所述附着请求消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。
4. 根据权利要求1或2所述的方法，其特征在于，所述认证数据响应消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

   所述MME根据所述认证数据响应消息，确定所述UE被允许进行V2X业务，包括：

   所述MME根据所述认证数据响应消息，以及所述认证数据响应消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。
5. 根据权利要求1-4任一项所述的方法，其特征在于，所述MME根据所述AV对所述UE进行认证之后，还包括：

   在所述MME对所述UE认证通过之后，所述MME向所述eNB发送所述UE被允许进行V2X业务的指示信息，以使所述eNB为所述UE分配V2X通信资源。
6. 根据权利要求1-4任一项所述的方法，其特征在于，所述附着请求消息中还包括所述UE的位置信息；所述MME根据所述AV对所述UE进行认证之后，还包括：

   所述MME向V2X服务器发送包括所述UE的位置信息的区域密钥请求消息；

   所述MME接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息；

   所述MME向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息，所述区域密钥信息用于区域内的UE对V2X消息进行安全保护。
7. 根据权利要求6所述的方法，其特征在于，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。
8. 根据权利要求6或7所述的方法，其特征在于，所述MME对所述UE认证通过之后，还包括：

   所述MME与所述UE建立非接入层NAS安全上下文；

   所述MME向所述UE发送区域密钥分配消息，包括：

   所述MME向所述UE发送通过NAS安全上下文保护后的区域密钥分配消息。
9. 一种通信方法，其特征在于，包括：

   演进型基站eNB接收用户设备UE发送的第一附着请求消息；

   所述eNB根据所述第一附着请求消息，向移动管理实体MME发送第二附着请求消息；

   所述eNB接收所述MME发送的所述UE被允许进行车辆到其它任何终端V2X业务的指示信息；

   所述eNB根据所述UE被允许进行V2X业务的指示信息，为所述UE分配V2X通信资源。
10. 根据权利要求9所述的方法，其特征在于，所述eNB根据所述指示信息，为所述UE分配V2X通信资源之前，还包括：

    所述eNB接收所述UE发送的V2X资源调度请求，所述V2X资源调度请求用于请求V2X通信资源。
11. 根据权利要求9或10所述的方法，其特征在于，所述eNB为所述UE分配V2X通信资源，包括：

    所述eNB向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息；所述区域密钥信息用于区域内UE对V2X通信消息进行安全保护。
12. 根据权利要求11所述的方法，其特征在于，所述eNB向所述UE发送区域密钥分配消息之前，还包括：

    所述eNB向V2X服务器发送区域密钥请求消息；

    所述eNB接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。
13. 根据权利要求12所述的方法，其特征在于，所述区域密钥信息中包 括：区域密钥、区域密钥ID以及区域ID三者的对应关系。
14. 根据权利要求11-13任一项所述的方法，其特征在于，所述UE被允许进行V2X业务的指示信息携带在初始上下文建立请求消息中；

    所述eNB接收到所述MME发送的携带所述UE被允许进行V2X业务的指示信息的初始上下文建立请求消息之后，所述方法还包括：

    所述eNB与所述UE建立接入层AS安全上下文；

    所述eNB向所述UE发送区域密钥分配消息，包括：

    所述eNB向所述UE发送通过AS安全上下文保护后的区域密钥分配消息。
15. 一种通信方法，其特征在于，包括：

    归属签约用户服务器HSS接收移动管理实体MME发送的包括用户设备UE的身份标识的认证数据请求消息；

    所述HSS根据所述UE的身份标识对所述UE进行授权检查；

    所述HSS向所述MME发送包括认证向量AV的认证数据响应消息，所述认证数据响应消息指示所述UE授权检查通过，以使所述MME根据所述认证数据响应消息确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。
16. 根据权利要求15所述的方法，其特征在于，所述认证数据请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

    所述HSS根据所述UE的身份标识对所述UE进行授权检查，包括：

    所述HSS根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。
17. 根据权利要求15所述的方法，其特征在于，所述认证数据请求消息中不包括V2X指示信息，所述认证数据响应消息还包括所述V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。
18. 一种通信方法，其特征在于，包括：

    车辆到其它任何终端V2X服务器生成第一通信设备所在区域的区域密钥；

    所述V2X服务器向第一通信设备发送区域密钥。
19. 根据权利要求18所述的方法，其特征在于，所述V2X服务器向第一通信设备发送区域密钥，包括：

    所述V2X服务器向演进型基站eNB发送所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。
20. 根据权利要求18所述的方法，其特征在于，所述V2X服务器向相应设备发送相关区域密钥，包括：

    所述V2X服务器接收eNB发送的区域密钥请求消息；

    所述V2X服务器向所述eNB发送区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。
21. 根据权利要求18所述的方法，其特征在于，所述V2X服务器向第一通信设备发送区域密钥，包括：

    所述V2X服务器接收移动管理实体MME发送的区域密钥请求消息，所述区域密钥请求消息中包括用户设备UE的位置信息；

    所述V2X服务器向所述MME发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。
22. 根据权利要求18所述的方法，其特征在于，所述V2X服务器向第一通信设备发送区域密钥，包括：

    所述V2X服务器与用户设备UE建立通用自举架构GBA或GBA推送push安全机制的安全连接；

    所述V2X服务器接收所述UE发送的区域密钥请求消息，所述区域密钥请求消息中包括所述UE的位置信息；

    所述V2X服务器向所述UE发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。
23. 一种通信方法，其特征在于，包括：

    用户设备UE向演进型基站eNB发送附着请求消息；

    所述UE接收所述eNB分配的车辆到任何其它终端V2X通信资源，所述V2X通信资源是所述eNB接收到所述UE被允许进行V2X业务的指示信息时向所述UE分配的；或，

    所述UE接收移动管理实体MME发送的区域密钥分配消息，所述区域密钥分配消息是所述MME确定所述UE被允许进行V2X业务，且对所述UE认证通过之后，向所述UE发送的，所述区域密钥分配消息包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。
24. 根据权利要求23所述的方法，其特征在于，所述UE接收演进型基站eNB分配的V2X通信资源，包括：

    所述UE接收所述eNB发送的区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。
25. 根据权利要求23所述的方法，其特征在于，所述UE向eNB发送附着请求消息之后，还包括：

    所述UE向所述eNB发送区域密钥请求消息；

    所述UE接收所述eNB发送的区域密钥响应消息，所述区域密钥响应消息包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。
26. 根据权利要求23-25任一项所述的方法，其特征在于，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。
27. 根据权利要求26所述的方法，其特征在于，所述方法还包括：

    所述UE向接收端发送V2X消息，所述V2X消息中包括消息内容、区域密钥ID、区域ID以及消息验证值；其中，所述消息验证值是使用所述区域密钥ID以及区域ID对应的区域密钥对所述消息内容、区域密钥ID以及区域ID进行完整性保护得到的。
28. 根据权利要求23-27任一项所述的方法，其特征在于，所述附着请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。
29. 一种通信装置，其特征在于，包括：

    接收模块，用于接收演进型基站eNB发送的附着请求消息，所述附着请求消息用于用户设备UE请求附着到网络，所述附着请求消息中包括所述UE的身份标识；

    发送模块，用于根据所述附着请求消息，向归属签约用户服务器HSS发送包括所述UE的身份标识的认证数据请求消息，使得所述HSS根据所述UE的身份标识对所述UE进行授权检查；

    所述接收模块，还用于接收所述HSS发送的包括认证向量AV的认证数据响应消息，所述认证数据响应消息用于指示所述UE授权检查通过；

    确定模块，用于根据所述认证数据响应消息，确定所述UE被允许进行车辆到其它任何终端V2X业务；

    认证模块，用于根据所述AV对所述UE进行认证。
30. 根据权利要求29所述的装置，其特征在于，所述附着请求消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

    所述发送模块，具体用于根据所述附着请求消息，向所述HSS发送包括所述UE的身份标识，以及所述V2X指示信息的认证数据请求消息，使得所述HSS根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。
31. 根据权利要求30所述的装置，其特征在于，

    所述确定模块，具体用于根据所述认证数据响应消息，以及所述附着请求 消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。
32. 根据权利要求29或30所述的装置，其特征在于，所述认证数据响应消息中还包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

    所述确定模块，具体用于根据所述认证数据响应消息，以及所述认证数据响应消息中包括的所述V2X指示信息，确定所述UE被允许进行V2X业务。
33. 根据权利要求29-32任一项所述的装置，其特征在于，

    所述发送模块，还用于在所述认证模块对所述UE认证通过之后，向所述eNB发送所述UE被允许进行V2X业务的指示信息，以使所述eNB为所述UE分配V2X通信资源。
34. 根据权利要求29-32任一项所述的装置，其特征在于，所述附着请求消息中还包括所述UE的位置信息；

    所述发送模块，还用于向V2X服务器发送包括所述UE的位置信息的区域密钥请求消息；

    所述接收模块，还用于接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息；

    所述发送模块，还用于向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述UE的位置信息对应的区域的区域密钥信息以及所述区域的相邻区域的区域密钥信息，所述区域密钥信息用于区域内的UE对V2X消息进行安全保护。
35. 根据权利要求34所述的装置，其特征在于，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。
36. 根据权利要求34或35所述的装置，其特征在于，所述装置还包括：

    建立模块，用于所述认证模块对所述UE认证通过之后，与所述UE建立非接入层NAS安全上下文；

    所述发送模块，具体用于向所述UE发送通过NAS安全上下文保护后的 区域密钥分配消息。
37. 一种通信装置，其特征在于，包括：

    接收模块，用于接收用户设备UE发送的第一附着请求消息；

    发送模块，用于根据所述第一附着请求消息，向移动管理实体MME发送第二附着请求消息；

    所述接收模块，还用于接收所述MME发送的所述UE被允许进行车辆到其它任何终端V2X业务的指示信息；

    分配模块，还用于根据所述UE被允许进行V2X业务的指示信息，为所述UE分配V2X通信资源。
38. 根据权利要求37所述的装置，其特征在于，

    所述接收模块，还用于接收所述UE发送的V2X资源调度请求，所述V2X资源调度请求用于请求V2X通信资源。
39. 根据权利要求37或38所述的装置，其特征在于，

    所述分配模块，具体用于向所述UE发送区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息；所述区域密钥信息用于区域内UE对V2X通信消息进行安全保护。
40. 根据权利要求39所述的装置，其特征在于，

    所述发送模块，还用于向V2X服务器发送区域密钥请求消息；

    所述接收模块，还用于接收所述V2X服务器发送的区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。
41. 根据权利要求40所述的装置，其特征在于，所述区域密钥信息中包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。
42. 根据权利要求39-41任一项所述的装置，其特征在于，所述UE被允许进行V2X业务的指示信息携带在初始上下文建立请求消息中；

    所述装置还包括：

    建立模块，用于与所述UE建立接入层AS安全上下文；

    所述发送模块，具体用于向所述UE发送通过AS安全上下文保护后的区域密钥分配消息。
43. 一种通信装置，其特征在于，包括：

    接收模块，用于接收移动管理实体MME发送的包括用户设备UE的身份标识的认证数据请求消息；

    授权模块，用于根据所述UE的身份标识对所述UE进行授权检查；

    发送模块，用于向所述MME发送包括认证向量AV的认证数据响应消息，所述认证数据响应消息指示所述UE授权检查通过，以使所述MME根据所述认证数据响应消息确定所述UE被允许进行车辆到其它任何终端V2X业务，并根据所述AV对所述UE进行认证。
44. 根据权利要求43所述的装置，其特征在于，所述认证数据请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型；

    所述授权模块，具体用于根据所述UE的身份标识确定所述UE是否被允许进行V2X业务。
45. 根据权利要求43所述的装置，其特征在于，所述认证数据请求消息中不包括V2X指示信息，所述认证数据响应消息还包括所述V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。
46. 一种通信装置，其特征在于，包括：

    生成模块，用于生成第一通信设备所在区域的区域密钥；

    发送模块，用于向第一通信设备发送区域密钥。
47. 根据权利要求46所述的装置，其特征在于，

    所述发送模块，具体用于向演进型基站eNB发送所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。
48. 根据权利要求46所述的装置，其特征在于，

    所述发送模块，具体用于当所述装置接收到eNB发送的区域密钥请求消息时，向所述eNB发送区域密钥响应消息，所述区域密钥响应消息中包括所述eNB所处区域的区域密钥信息，以及所述所处区域的相邻区域的区域密钥信息。
49. 根据权利要求46所述的装置，其特征在于，

    所述发送模块，具体用于当所述装置接收到移动管理实体MME发送的区域密钥请求消息，所述区域密钥请求消息中包括用户设备UE的位置信息时，向所述MME发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。
50. 根据权利要求46所述的装置，其特征在于，所述装置还包括：

    建立模块，用于与用户设备UE建立通用自举架构GBA或GBA推送push安全机制的安全连接；

    所述发送模块，具体用于当所述装置接收到所述UE发送的区域密钥请求消息，所述区域密钥请求消息中包括所述UE的位置信息时，向所述UE发送区域密钥响应消息，所述区域密钥响应消息中包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。
51. 一种通信装置，其特征在于，包括：

    发送模块，用于向演进型基站eNB发送附着请求消息；

    接收模块，用于接收所述eNB分配的车辆到任何其它终端V2X通信资源，所述V2X通信资源是所述eNB接收到所述UE被允许进行V2X业务的指示信息时向所述UE分配的；或，接收移动管理实体MME发送的区域密钥分配消息，所述区域密钥分配消息是所述MME确定所述UE被允许进行V2X业务，且对所述UE认证通过之后，向所述UE发送的，所述区域密钥分配消息包括所述UE的位置信息对应的区域的区域密钥信息，以及所述区域的相邻区域的区域密钥信息。
52. 根据权利要求51所述的装置，其特征在于，

    所述接收模块，具体用于接收所述eNB发送的区域密钥分配消息，所述区域密钥分配消息中包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。
53. 根据权利要求51所述的装置，其特征在于，

    所述发送模块，还用于向所述eNB发送区域密钥请求消息；

    所述接收模块，还用于接收所述eNB发送的区域密钥响应消息，所述区 域密钥响应消息包括所述eNB所处区域的区域密钥信息和所述所处区域的相邻区域的区域密钥信息。
54. 根据权利要求51-53任一项所述的装置，其特征在于，所述区域密钥信息包括：区域密钥、区域密钥ID以及区域ID三者的对应关系。
55. 根据权利要求54所述的装置，其特征在于，所述发送模块，具体用于向接收端发送V2X消息，所述V2X消息中包括消息内容、区域密钥ID、区域ID以及消息验证值；其中，所述消息验证值是使用所述区域密钥ID以及区域ID对应的区域密钥对所述消息内容、区域密钥ID以及区域ID进行完整性保护得到的。
56. 根据权利要求51-55任一项所述的装置，其特征在于，所述附着请求消息中包括V2X指示信息，所述V2X指示信息用于指示所述UE为V2X类型。

Images