WO2022067841A1

WO2022067841A1 - 一种安全通信方法、装置及系统

Info

Publication number: WO2022067841A1
Application number: PCT/CN2020/119774
Authority: WO
Inventors: 李�赫; 吴�荣
Original assignee: 华为技术有限公司
Priority date: 2020-10-01
Filing date: 2020-10-01
Publication date: 2022-04-07
Also published as: CN116325845A; EP4213521A1; EP4213521A4; US20230239686A1

Abstract

本申请公开了一种安全通信方法、装置及系统，该方法包括：第二终端设备接收来自中继的关于第一终端设备的第一请求消息；第一请求消息包括第一终端设备的PC5用户面安全策略和中继的PC5用户面安全策略；第二终端设备根据第二终端设备的PC5用户面安全策略、第一终端设备的PC5用户面安全策略、中继的PC5用户面安全策略，确定第一信息；第二终端设备向中继发送第一信息，第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；其中，第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同。

Description

一种安全通信方法、装置及系统

技术领域

本申请涉及通信技术领域，尤其涉及一种安全通信方法、装置及系统。

背景技术

目前，设备到设备(device to device，D2D)通信允许用户设备(user equipment，UE)之间直接进行通信。

当某一终端设备(如远端(remote)UE)处于通信网络的覆盖范围之外，或者在与通信网络中的接入网设备之间的通信质量较差的情况下，可以基于D2D通信，通过中继(如中继(relay)UE)与通信网络建立非直接通信，中继可以建立用于传输远端设备的协议数据单元(protocol data unit，PDU)会话，将从远端UE接收的数据通过该PDU会话传输至数据网络，或将通过PDU会话从数据网络获取的数据发送至远端UE。

在这种终端设备通过中继通信的场景下，究竟如何实现中继两端的链路对于用户面数据的安全保护的协同处理，是需要解决的问题。

发明内容

本申请提供一种安全通信方法、装置及系统，用以实现中继两端的链路对于用户面数据的安全保护的协同处理。

第一方面，提供第一种安全通信方法，该方法可由通信装置执行，通信装置可以是第二终端设备或能够支持第二终端设备实现该方法所需的功能的通信装置，当然还可以是其他通信装置，例如芯片系统。第一方面中以该通信装置为第二终端设备为例。该方法包括：

第二终端设备接收来自中继的关于第一终端设备的第一请求消息；所述第一请求消息包括所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略；根据第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略、所述中继的PC5用户面安全策略，确定第一信息；向所述中继发送所述第一信息，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；其中，所述第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同；

其中，所述第一PC5链路为所述中继与所述第一终端设备之间的PC5链路；所述第二PC5链路为所述中继与所述第二终端设备之间的PC5链路。

通过执行本申请实施例所提供的方法，能够在各设备间实现对于用户面安全保护的协同处理，例如，可以使得各个设备要么均激活用户面数据的完整性保护方法，要么均不激活用户面数据的完整性保护方法，从而使各个设备在处理方式上保持一致。

在一种可能的实现中，第一信息用于指示第二PC5链路的用户面安全保护方法。因为本申请实施例是避免在安全激活发生在分段的情况下，两段链路的用户面安全保护方法不一致，因此第一信息用于指示第二PC5链路的用户面安全保护方法还可以理解为第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法，包括：

所述第一信息用于指示：所述第一PC5链路的用户面完整性保护和/或所述第二PC5 链路的用户面完整性保护均开启或均不开启，和/或，所述第一PC5链路的用户面机密性保护和/或所述第二PC5链路的用户面机密性保护均开启或均不开启。

本申请实施例中，可以保证第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同。

在一种可能的实现中，该方法还包括:

接收来自中继的关于所述第一终端设备的第二请求消息，所述第二请求消息包括所述第一终端设备的PC5控制面安全策略所述中继的PC5控制面安全策略；

根据所述第二终端设备的PC5控制面安全策略、所述第一终端设备的PC5控制面安全策略和所述中继的PC5控制面安全策略，确定第二PC5链路的控制面安全算法；

所述第二终端设备向所述中继发送所述第二PC5链路的控制面安全算法，所述控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法，其中，所述第一PC5链路的控制面安全保护方法和第二PC5链路上激活的控制面安全保护方法相同。

本申请实施例中，因第一PC5链路的控制面安全保护方法和第二PC5链路的控制面安全保护方法相同，所以可以避免在安全激活发生在分段的情况下(如UE-1的安全终结点策略采用跳到跳(hop-to-hop)安全)，两段链路的控制面安全的不一致。

需要说明的是，在安全激活不发生在分段的情况下，两段链路的控制面安全保护方法可以不一致。

在一种可能的实现中，所述第二请求消息中还包括安全终结点策略的指示，所述安全终结点策略的指示用于指示安全终结点位于所述中继上。

本申请实施例中，可以保证在安全激活发生在分段的情况下，第一PC5链路的用户面安全和第二PC5链路的用户面安全保护方法相同。

在一种可能的实现中，所述控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法，包括

所述控制面安全算法用于指示：所述第一PC5链路的控制面完整性保护和所述第二PC5链路的控制面完整性保护均开启或均不开启，和/或，所述第一PC5链路的控制面机密性保护和所述第二PC5链路的控制面机密性保护均开启或均不开启。

本申请实施例中，可以保证第一PC5链路的控制面安全保护方法和第二PC5链路上激活的控制面安全保护方法相同，提高链路的安全性。

在一种可能的实现中，根据所述第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略，确定第一信息，包括：

根据所述第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略，以及所述第二PC5链路的控制面安全算法，确定所述第一信息；

其中，所述第二PC5链路的用户面安全的安全等级不高于所述第二PC5链路的控制面安全的安全等级，所述第一PC5链路的用户面安全的安全等级不高于所述第一PC5链路的控制面安全的安全等级。

本申请实施例中，可以满足目前用户面安全的安全等级不高于控制面安全的安全等级的要求。

在一种可能的实现中，所述第二PC5链路的用户面安全不高于所述第二PC5链路的控制面安全，所述第一PC5链路的用户面安全的安全等级不高于所述第一PC5链路的控制面安全，包括：

当第三PC5链路的控制面机密性保护开启，则所述第三PC5链路的用户面机密性保护开启或不开启；

当所述第三PC5链路的控制面机密性保护不开启，则所述第三PC5链路的用户面机密性保护不开启；

当所述第三PC5链路的控制面完整性保护开启，则所述第三PC5链路的用户面完整性保护开启或不开启；

当所述第三PC5链路的控制面完整性保护不开启，则所述第三PC5链路的用户面完整性保护不开启；

其中，所述第三PC5链路为所述第二PC5链路或者所述第一PC5链路。

第二方面，提供第一种安全通信方法，该方法可由通信装置执行，通信装置可以是第二终端设备或能够支持第二终端设备实现该方法所需的功能的通信装置，当然还可以是其他通信装置，例如芯片系统。第一方面中以该通信装置为第二终端设备为例，该方法包括：

第二终端设备通过至少一个中继接收来自第一终端设备的直连通信请求；所述直连通信请求包括安全终结点策略的指示，所述安全终结点策略的指示用于指示安全终结点位于中继上；

第二终端设备接收来自所述至少一个中继所确定的第一PC5链路的PC5控制面安全保护方法和第二PC5链路的PC5控制面安全保护方法；

第二终端设备根据所述第二终端设备的PC5控制面安全策略，以及所述至少一个中继所确定的第一PC5链路的PC5控制面安全保护方法，确定目标中继；

第二终端设备接收来自所述目标中继所确定的第一PC5链路的PC5用户面安全保护方法；

第二终端设备根据来自所述目标中继的第一PC5链路的PC5用户面安全保护方法，和所述第二终端设备的PC用户面安全策略，确定第一信息；

第二终端设备向所述中继发送所述第一信息，所述第一信息用于指示第一PC5链路的用户面安全和第二PC5链路的用户面安全保护方法；其中，所述第一PC5链路的用户面安全和第二PC5链路的用户面安全保护方法相同；

本申请实施例中，中继可以确定是否激活第二PC5链路和第二PC5链路的用户面安全保护方法，从而通过执行本申请实施例所提供的方法，能够在各设备间实现对于用户面数据的完整性保护的协同处理，例如，可以使得各个设备要么均激活用户面安全性保护方法，要么均不激活用户面数据的完整性保护方法，从而使各个设备在处理方式上保持一致，减小出错的概率。

在一种可能的实现中，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法，包括：

所述第一信息用于指示：所述第一PC5链路的用户面完整性保护和所述第二PC5链路的用户面完整性保护均开启或均不开启，和/或，所述第一PC5链路的用户面机密性保护和所述第二PC5链路的用户面机密性保护均开启或均不开启。

在一种可能的实现中，第二终端设备根据来自所述目标中继所确定的第一PC5链路的PC5用户面安全保护方法，确定所述第二PC5链路的控制面安全算法；

第二终端设备向所述中继发送第二PC5链路的控制面安全算法，所述第二PC5链路的控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法。

本申请实施例中，中继可以确定是否激活第二PC5链路和第二PC5链路的控制面安全保护方法，从而通过执行本申请实施例所提供的方法，能够在各设备间实现对于控制面数据安全保护的协同处理，例如，可以使得各个设备要么均激活用户面数据的完整性保护方法，要么均不激活用户面数据的完整性保护方法，从而使各个设备在处理方式上保持一致，减小出错的概率。

在一种可能的实现中，所述第二PC5链路的控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法，包括：

所述第二PC5链路的控制面安全算法用于指示：所述第一PC5链路的控制面完整性保护和所述第二PC5链路的控制面完整性保护均开启或均不开启，和/或，所述第一PC5链路的控制面机密性保护和所述第二PC5链路的控制面机密性保护均开启或均不开启。

在一种可能的实现中，所述第二终端设备根据来自所述目标中继的第一PC5链路的PC5用户面安全保护方法，和所述第二终端设备的PC用户面安全策略，确定第一信息，包括：

所述第二终端设备根据来自所述目标中继的第一PC5链路的PC5用户面安全策略，和所述第二终端设备的PC用户面安全策略，以及所述第二PC5链路的控制面安全算法，确定所述第一信息；

其中，所述第二PC5链路的用户面安全保护方法的安全等级不高于所述第二PC5链路的控制面安全保护方法的安全等级，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法的安全等级。

在一种可能的实现中，所述第二PC5链路的用户面安全保护方法不高于所述第二PC5链路的控制面安全保护方法，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法，包括：

该方面中的部分实现的有益效果可以参见第一方面，在此不再重复赘述。

第三方面，提供第一种安全通信方法，该方法可由通信装置执行，通信装置可以是第二终端设备或能够支持第二终端设备实现该方法所需的功能的通信装置，当然还可以是其他通信装置，例如芯片系统。第一方面中以该通信装置为第二终端设备为例。该方法包括：

第二终端设备通过至少一个中继接收来自第一终端设备的直连通信请求；

第二终端设备根据安全策略辅助信息，从所述至少一个中继中确定目标中继；

第二终端设备通过所述目标中继与所述第一终端设备通信；

本申请实施例中，按照该方法可以实现从多个中继中选择可以保证建立PC5链路的中继，以便于成功建立PC5连接。

在一种可能的实现中，第二终端设备根据安全策略辅助信息，从所述至少一个中继中确定目标中继，包括：

第二终端设备从所述至少一个中继中选择一个包括可选的PC5控制面安全策略的目标中继。

本申请实施例中，因目标中继的控制面安全策略包括可选的PC5控制面安全策略，所以能够支持建立PC5连接。

在一种可能的实现中，所述安全策略辅助信息包括所述至少一个中继的PC控制面安全策略，以及所述第二终端设备的PC5控制面安全策略；

所述第二终端设备根据安全策略辅助信息，从所述至少一个中继中确定目标中继，包括：

从所述至少一个中继中，选择一个中继的PC控制面安全策略与所述第二终端设备的PC5控制面安全策略不冲突的目标中继。

本申请实施例中，因目标中继的控制面安全策略与所述第二终端设备的PC5控制面安全策略不冲突，所以能够支持建立PC5连接。

第二终端设备根据安全策略辅助信息，从所述至少一个中继中确定目标中继，包括：

第二终端设备根据安全策略辅助信息，从所述至少一个中继中，选择一个中继的PC用户面安全保护方法的安全等级不高于所述第二终端设备的PC控制面安全保护方法的安全等级的目标中继。

本申请实施例中，因目标中继PC控制面安全保护方法的安全等级低于中继的PC用户面安全保护方法的安全等级。

在一种可能实现中，所述安全策略辅助信息是策略控制功能网元预先配置的。策略控制功能网元可以优先为目标中继配置可选状态的安全策略。

第四方面，提供第一种安全通信方法，该方法可由通信装置执行，通信装置可以是第中继或能够支持中继实现该方法所需的功能的通信装置，当然还可以是其他通信装置，例如芯片系统。第一方面中以该通信装置为中继为例。该方法包括：

中继向第二终端设备发送关于第一终端设备的第一请求消息；所述第一请求消息包括所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略；

中继接收来自第二终端设备的第一信息，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；其中，所述第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同；

中继根据所述第一信息，激活所述第二PC5链路的用户面安全保护方法，以及激活第一PC5链路的用户面安全保护方法；

其中，所述第一PC5链路为所述中继与第一终端设备之间的PC5链路，所述第二PC5链路为所述中继与所述第二终端设备之间的PC5链路。

本申请实施例中，因第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同，所以可以避免在安全激活发生在分段的情况下(如UE-1的安全终结点策略采用跳到跳(hop-to-hop)安全)，两段链路的用户面安全的不一致。通过执行本申请实施例所提供的方法，能够在各设备间实现对于用户面安全保护的协同处理，例如，可以使得各个设备要么均激活用户面数据的完整性保护方法，要么均不激活用户面数据的完整性保护方法，从而使各个设备在处理方式上保持一致，减小出错的概率。

在一种可能的设计，该方法还包括：

中继向所述第二终端设备发送所述第一终端设备的控制面安全策略和所述中继的控制面安全策略，第一终端设备的控制面安全策略和所述中继的控制面安全策略用于确定所述第二PC5链路的控制面安全算法；

中继接收来自第二终端设备的所述第二PC5链路的控制面安全算法，所述控制面安全算法用于指示所述第二PC5链路的控制面安全和所述第一PC5链路的控制面安全；

中继根据所述第二PC5链路的控制面安全算法，激活所述第二PC5链路的控制面安全，以及所述第一PC5链路的控制面安全，其中，所述第一PC5链路的控制面安全和第二PC5链路上激活的控制面安全相同。

本申请实施例中，通过执行本申请实施例所提供的方法，能够在各设备间实现对于控制面安全保护的协同处理，例如，可以使得各个设备要么均激活控制面数据的完整性保护方法，要么均不激活控制面数据的完整性保护方法，从而使各个设备在处理方式上保持一致，减小出错的概率。

在一种可能的实现中，中继的PC5控制面安全保护方法的安全等级不高于所述第二链路的PC5用户面安全保护方法的安全等级。

在一种可能的实施例中，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法的安全等级；第二PC5链路的用户面安全保护方法的安全等级不高于所述第二PC5链路的控制面安全保护方法的安全等级。

该第四方面中的部分实现的有益效果可以参见第一方面，在此不再重复赘述。

第五方面，提供第一种安全通信方法，该方法可由通信装置执行，通信装置可以是第中继或能够支持中继实现该方法所需的功能的通信装置，当然还可以是其他通信装置，例如芯片系统。第一方面中以该通信装置为中继为例。该方法包括：

中继向第二终端设备发送自第一终端设备的直连通信请求；所述直连通信请求包括安全终结点策略的指示，所述安全终结点策略的指示用于指示安全终结点位于中继上；

中继根据所述中继的PC5用户面安全策略和所述第一终端设备的PC用户面安全策略，确定第一PC5链路的PC5用户面安全保护方法；

中继向所述第二终端设备发送所述第一PC5链路的PC5用户面安全保护方法；

中继接收来自所述第二终端设备的第一信息，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；

中继根据所述第一信息，激活所述第二PC5链路的用户面安全保护方法，以及激活第一PC5链路的用户面安全保护方法；所述第二PC5链路的用户面安全保护方法和所述第一PC5链路的用户面安全保护方法相同；

在一种可能的实现中，所述中继接收来自所述第一终端设备的第二请求消息，所述第二请求消息包括所述第一终端设备的PC5控制面安全策略所述中继的PC5控制面安全策略。

在一种可能的实现中，所述中继根据所述中继的PC5控制面安全策略和所述第一终端设备的PC5控制面安全策略，确定所述第一PC5链路的PC5控制面安全保护方法和所述第二PC5链路的PC5控制面安全保护方法；

所述中继向所述第二终端设备发送所述第一PC5链路的PC5控制面安全保护方法和所述第二PC5链路的PC5控制面安全保护方法；

所述中继接收来自所述第二终端设备的所述第二PC5链路的控制面安全算法，所述控制面安全算法用于指示所述第二PC5链路的控制面安全和所述第一PC5链路的控制面安全，所述控制面安全算法是根据所述第一PC5链路的PC5控制面安全保护方法和所述第二PC5链路的PC5控制面安全保护方法确定的；

所述中继根据所述第二PC5链路的控制面安全算法，激活所述第二PC5链路的控制面安全和所述第一PC5链路的控制面安全。

在一种可能的实现中，所述控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法，包括：

在一种可能的实现中，所述第二PC5链路的用户面安全保护方法的安全等级不高于所述第二PC5链路的控制面安全保护方法的安全等级，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法的安全等级。

第六方面，本申请提供一种通信装置。该装置具有实现上述第一方面至第三方面的各实施例的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该装置包括：收发单元，可选地，还包括处理单元。所述处理单元例如可以是处理器，所述接收单元例如可以是接收器，所述发送单元，例如可以是发送器，所述接收器和发送器包括射频电路。可选地，所述装置还包括存储单元，该存储单元例如可以是存储器。当该装置包括存储单元时，该存储单元存储有计算机执行指令，该处理单元与该存储单元连接，该处理单元执行该存储单元存储的计算机执行指令，以使该装置执行上述第一方面至第三方面任意一项的方法。

在另一种可能的设计中，该装置为芯片。该芯片包括：接收单元和发送单元，可选地，还包括处理单元。所述处理单元例如可以是处理电路，所述接收单元例如可以是输入接口、管脚或电路等，所述发送单元例如可以是输出接口、管脚或电路等。该处理单元可执行存储单元存储的计算机执行指令，以使上述第一方面至第三方面任意一项的发送方法被执行。可选地，所述存储单元为所述芯片内的存储单元，如寄存器、缓存等，所述存储单元还可以是所述终端内的位于所述芯片外部的存储单元，如只读存储器(read-only memory，ROM)、可存储静态信息和指令的其他类型的静态存储设备、随机存取存储器(random access memory，RAM)等。

其中，上述任一处提到的处理器，可以是一个通用的中央处理器(Central Processing Unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制上述第一方面至第三方面的方法的程序执行的集成电路。

第七方面，本申请提供一种通信装置。该装置具有实现上述第四方面或第五方面的各实施例的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该装置包括：收发单元，可选地，还包括处理单元。所述处理单元例如可以是处理器，所述接收单元例如可以是接收器，所述发送单元，例如可以是发送器，所述接收器和发送器包括射频电路。可选地，该装置还包括存储单元，该存储单元例如可以是存储器。当该装置包括存储单元时，该存储单元存储有计算机执行指令，该处理单元与该存储单元连接，该处理单元执行该存储单元存储的计算机执行指令，以使该接入与移动性管理功能网元执行上述第四方面或第五方面任意一项的方法。

在另一种可能的设计中，该装置为芯片。该芯片包括：接收单元和发送单元，可选地，还包括处理单元。所述处理单元例如可以是处理电路，所述接收单元例如可以是输入接口、管脚或电路等，所述发送单元例如可以是输出接口、管脚或电路等。该处理单元可执行存储单元存储的计算机执行指令，以使上述第四方面或第五方面任意一项的发送方法被执行。可选地，所述存储单元为所述芯片内的存储单元，如寄存器、缓存等，所述存储单元还可以是所述终端内的位于所述芯片外部的存储单元，如只读存储器(read-only memory，ROM)、可存储静态信息和指令的其他类型的静态存储设备、随机存取存储器(random access memory，RAM)等。

其中，上述任一处提到的处理器，可以是一个通用的中央处理器(Central Processing Unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制上述第四方面或第五方面的方法的程序执行的集成电路。

第八方面，本申请实施例提供一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现上述第一方面、第二方面或第三方面任一种设计示例中第一通信装置执行的方法。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

第九方面，本申请实施例提供一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现上述第四方面或第五方面任一种设计示例中第二通信装置执行的方法。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

第十方面，本申请提供一种通信系统，包括上述第六方面任一种设计示例中的通信装置和上述第七方面任一种设计示例中的通信装置。可选地，所述该通信系统中还包括网络数据分析功能(network data analytics function，NWDAF)网元。

第十方面，本申请实施例中还提供一种计算机可读存储介质，存储介质中存储有计算机程序或指令，当计算机程序或指令被执行时，可实现上述第一方面、第二方面或第三方面任一种设计示例中的方法。

第十一方面，本申请实施例中还提供一种计算机可读存储介质，存储介质中存储有计算机程序或指令，当计算机程序或指令被执行时，可实现上述第四方面或第五方面任一种设计示例中的方法。

第十二方面，本申请实施例中还提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得计算机执行上述第一方面、第二方面或第三方面中任一种设计示例中第一通信装置执行的方法。

第十三方面，本申请实施例中还提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得计算机执行上述第四方面或第五方面中任一种设计示例中第二通信装置执行的方法。

另外，第六方面至第十三方面中任一种设计方式所带来的技术效果可参见第一方面至第五方面中不同设计方式所带来的技术效果，此处不再赘述。

附图说明

图1A和图1B为本申请实施例提供的一种系统的架构图；

图2A和图2B为本申请实施例提供的通信场景示意图；

图3为本申请实施例提供的一种安全策略获取方法示意图；

图4为本申请实施例提供的安全通信方法示意图；

图5为本申请实施例提供的另一种安全通信方法示意图；

图6为本申请实施例提供的另一种安全通信方法示意图；

图7～图8为本申请实施例提供的一种通信装置的结构示意图。

具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地详细描述。

下面先介绍本申请涉及到的术语的定义。

1、PC5连接与PC5连接建立流程：

本申请实施例中的PC5连接是指基于PC5接口的终端设备之间的通信连接。

本申请实施例中的PC5连接建立流程用于在支持PC5接口的至少2个终端设备之间建立通信连接。其中，PC5连接建立完成后，至少2个终端设备可以利用PC5连接进行控制面信令协商和/或用户面数据传递。本申请实施例中的PC5连接建立流程可以包括PC5单播连接建立(one-to-one communication)流程和PC5多播连接建立(one-to-many communication)流程。PC5单播连接建立流程用于在支持PC5接口的2个终端设备之间建立通信连接，PC5多播连接建立流程用于在支持PC5接口的2个以上终端设备之间建立通信连接。本申请下述实施例均是示例性的以2个终端设备之间建立通信连接为例进行说明，即本申请下述实施例均是示例性的以PC5单播连接建立流程为例进行说明。PC5多播连接建立流程中任意2个终端设备之间建立通信连接的方式可参考PC5单播连接建立流程中2个终端设备之间建立通信连接的流程，在此统一说明，以下不再赘述。

2、安全策略：

安全策略是用于描述是否开启安全保护的策略，可用于确定安全保护方法。本申请实施例中用于不同场景的安全策略包括PC5用户面安全策略和PC5控制面安全策略中的至少一种，其中，PC5用户面安全策略包括PC5连接中的用户面机密性保护策略和PC5连接中的用户面完整性保护策略中的至少一种；PC5控制面安全策略包括PC5连接中的控制面机密性保护策略和PC5连接中的控制面完整性保护策略中的至少一种；也就是说，安全策略至少包括以下至少一种：

PC5连接中的控制面机密性保护策略；

PC5连接中的控制面完整性保护策略；

PC5连接中的用户面机密性保护策略；

或者，PC5连接中的用户面完整性保护策略。

其中，控制面机密性保护即保护信令在传输过程中的机密性；控制面完整性保护即保护信令在传输过程中的完整性；用户面机密性保护即保护用户面数据在传输过程中的机密性；用户面完整性保护即保护用户面数据在传输过程中的完整。本申请实施例中，完整性是指获取到的信令或数据与原始的信令或数据一致，没有被修改，因此，完整性保护是为了使得攻击者“攻击不成”。机密性是指无法被直接看出真实内容，因此机密性保护是为了使得攻击者“读不懂”。此外，本申请实施例中的机密性保护也可以称为加密保护，在此统一说明，以下不再赘述。

本申请实施例中，PC5连接中的控制面机密性保护策略与PC5连接中的控制面完整性保护策略属于PC5连接中的PC5控制面安全策略；PC5连接中的用户面机密性保护策略与PC5连接中的用户面完整性保护策略属于PC5连接中的PC5用户面安全策略，在此统一说明，以下不再赘述。

本申请实施例中，安全策略共分有开启(REQUIRED)，不开启(NOT NEEDED)和可选(PREFERRED)三种。或者，REQUIRED翻译为需要开启安全，NOT NEEDED翻译为不需要开启安全，PREFERRED翻译为偏好开启或者称为可选开启，即可以开启安全但也可以不开启安全，在此统一说明，以下不再赘述。

示例性的，以PC5连接中的控制面机密性保护策略为例，则PC5连接中的控制面机密性保护策略包括：PC5连接中的控制面机密性保护开启(REQUIRED)、PC5连接中的控制面机密性保护不开启(NOT NEEDED)、或者PC5连接中的控制面机密性保护可选(PREFERRED)。PC5连接中的控制面机密性保护策略、PC5连接中的用户面机密性保护策略、或者PC5连接中的用户面完整性保护策略的示例可参考PC5连接中的控制面机密性保护策略的示例，在此不再赘述。

需要说明的是，本申请实施例中，安全策略在被发送时，一般情况下只会选择三种策略(REQUIRED、NOT NEEDED和PREFERRED)中的一种策略发送，在某些特殊的场景下可能会选择至少2种发送，并且其中一个是PREFERRED。比如，在发送NOT NEEDED和PREFERRED时，代表倾向不开启安全保护；在发送REQUIRED和PREFERRED时，则代表倾向开启安全保护。

需要说明的是，本申请实施例中，PC5连接中的控制面机密性保护策略、PC5连接中的控制面完整性保护策略、PC5连接中的用户面机密性保护策略；或者，PC5连接中的用户面完整性保护策略中的多种保护策略可以相同，本申请实施例对此不做具体限定。

3、安全能力：

本申请实施例中的安全能力包括以下至少一种：

PC5连接中支持的一个或者多个控制面机密性保护算法；

PC5连接中支持的一个或者多个控制面完整性保护算法；

PC5连接中支持的一个或者多个用户面机密性保护算法；

或者，PC5连接中支持的一个或者多个用户面完整性保护算法。

其中，控制面机密性保护算法是指一种用于保护控制面的机密性保护算法。控制面完整性保护算法是指一种用于保护控制面的完整性保护算法。用户面机密性保护算法是指一种用于保护用户面的机密性保护算法。用户面完整性保护算法是指一种用于保护控制面的用户面保护算法。其中，PC5连接中支持的一个或者多个控制面机密性保护算法与PC5连接中支持的一个或者多个控制面完整性保护算法属于PC5连接中的控制面安全能力；PC5连接中支持的一个或者多个用户面机密性保护算法与PC5连接中支持的一个或者多个用户面完整性保护算法属于PC5连接中的用户面安全能力，在此统一说明，以下不再赘述。

需要说明的是，本申请实施例中，PC5连接中支持的一个或者多个控制面机密性保护算法、PC5连接中支持的一个或者多个控制面完整性保护算法、PC5连接中支持的一个或者多个用户面机密性保护算法、或者PC5连接中支持的一个或者多个用户面完整性保护算法中的多种保护算法可以相同或者存在共同项，本申请实施例对此不做具体限定。

4、安全算法，可以包括用户面安全算法(即用户面使用的安全算法)和信令面安全算法(即信令面使用的安全算法)。用户面使用的安全算法用于保护用户面数据，可以包括用户面加密算法和用户面完整性算法。信令面使用的安全算法用于保护信令，可以包括信令面加密算法和信令面完整性算法。

5、安全密钥，可以包括用户面安全密钥和信令面安全密钥。其中，用户面安全密钥用于保护用户面数据，可以包括用户面加密密钥和用户面完整性保护密钥。信令面安全密钥用于保护信令，例如可以是保护无线资源控制(radio resource control，RRC)信令的密钥，即RRC密钥，RRC密钥可以包括RRC加密密钥和RRC完整性保护密钥。

6、激活用户面/信令面安全，指的是在确定出用户面/信令面安全保护方法的情况下，可以开始使用用户面/信令面安全算法和用户面/信令面安全密钥来激活该用户面/信令面安全，即可以开始使用用户面/信令面安全保护方法、用户面/信令面安全算法和用户面/信令面安全密钥来对将要传输的用户面数据/信令进行安全保护。例如，确定的用户面安全保护方法为开启用户面机密性保护+不开启用户面完整性保护，用户面加密算法为加密算法A，用户面加密密钥为密钥K，则对于将要传输的用户面数据，采用加密算法A和密钥K对该用户面数据进行用户面机密性保护。激活用户面安全保护方法可以达到的效果是执行激活用户面安全的节点可以开始对用户面数据进行安全保护和开始对用户面数据进行解安全保护。需要理解的是，安全保护和解安全保护这两个动作可能是进一步分开激活的。比如基站在发送安全激活消息后，则基站激活解安全保护；基站再收到安全激活确认消息后，基站激活安全保护。

7、安全保护与解安全保护：

本申请实施例中的安全保护是指使用安全保护方法对用户面数据/控制面信令进行保护；本申请实施例中的解安全保护是指根据安全保护方法还原用户面数据/控制面信令。其中，这里的安全保护方法包括机密性保护和/或完整性保护是否开启，在此统一说明，以下不再赘述。

具体的，当机密性保护开启时，可以使用加密密钥和加密算法对用户面数据/控制面信令进行加密保护；当完整性保护开启时，可以使用完整性保护密钥和完整性保护算法对用户面数据/控制面信令进行完整性保护。当然，本申请实施例中，当完整性保护不开启时，也可以使用消息完整性检验码(message Integrity check，MIC)对用户面数据/控制面信令进行完整性保护，本申请实施例对此不作具体限定。其中，MIC的相关说明参考后续实施例，在此不再赘述。此外，需要说明的是，当需要对用户面数据/控制面信令进行加密保护和完整性保护时，可以对用户面数据/控制面信令先进行加密保护，再进行完整性保护；也可以对用户面数据/控制面信令先进行完整性保护，再进行加密保护，本申请实施例不限定加密保护和完整性保护的执行顺序，在此统一说明，以下不再赘述。

具体的，当机密性保护开启时，可以使用加密密钥和加密算法对用户面数据/控制面信令进行解密；当完整性保护开启时，可以使用完整性保护密钥和完整性保护算法对用户面数据/控制面信令进行完整性保护验证。当然，本申请实施例中，当完整性保护不开启时，若使用MIC对用户面数据/控制面信令进行完整性保护，则相应的，可以使用期望MIC对用户面数据/控制面信令进行完整性保护验证，本申请实施例对此不作具体限定。其中，期望MIC的相关说明参考后续实施例，在此不再赘述。此外，可以理解的是，当同时对用户面数据/控制面信令进行机密性保护和完整性保护时，如果用户面数据/控制面信令先被机密性保护，再被完整性保护，则解安全保护的顺序是先进行完整性保护验证、再对加密后的用户面数据/控制面信令进行解密；如果用户面数据/控制面信令先被完整性保护，再被加密，则解安全保护的顺序是先对加密后的用户面数据/控制面信令进行解密，再进行完整性保护验证，在此统一说明，以下不再赘述。

PC5连接的控制面使用的安全保护方法，用于保护PC5连接的控制面信令中传递的全部参数或部分参数。其中，PC5连接的控制面使用的安全保护方法例如可以包括PC5连接的控制面的机密性保护和/或完整性保护是否开启。

PC5连接的用户面使用的安全保护方法，用于保护PC5连接的部分或全部用户面数据。其中，PC5连接的用户面使用的安全保护方法例如可以包括PC5连接的用户面的机密性保护和/或完整性保护是否开启。

需要说明的是，本申请实施例中，PC5连接的控制面使用的安全保护方法也可以称之为PC5连接的控制面信令使用的安全保护方法；PC5连接的用户面使用的安全保护方法也可以称之为PC5连接的用户面数据使用的安全保护方法，在此统一说明，以下不再赘述。

参阅图1A所示，一种本申请适用的具体的控制面系统架构示意图。该系统架构中的网元包括终端设备(user equipment，UE)，图1A中示例性的绘制了四个UE，分别为UE A、UE B、UE C、UE D。系统架构还包括无线接入网(radio access network，RAN)、接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、用户面功能(user plane function，UPF)网元、统一数据管理(unified data management，UDM)网元、统一数据仓储(unified data repository，UDR)网元、应用功能(application function，AF)网元、数据网络(data network，DN)、能力开放网元(network exposure function，NEF)网元、5G直连通信发现名称管理功能(5G direct discovery name management function，5GDDNMF)网元、策略控制功能(policy control function，PCF)网元、邻近业务应用服务器(ProSe application server)等。其中，AMF网元、SMF网元、UDM网元、NEF网元、PCF网元等网元属于第五代移动通信技术(5th generation mobile networks，5G)网络架构中的核心网网元，这里仅示例性的展示了部分核心网网元，该系统架构中还可以包括其他核心网网元。

终端设备是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。在本申请实施例中的终端设备可以为能够在邻近业务(proximity service，ProSe)场景下进行通信的终端设备，该终端设备具备邻近业务应用(ProSe application)功能，具备ProSe application功能的终端设备间可以通过PC5口通信。

本申请实施例中涉及三种终端设备，分别为第一终端设备、中继设备和第二终端设备，第一终端设备可以请求其他终端设备(包括第二终端设备)为第一终端设备提供邻近业务，第二终端设备在能够为第一终端设备提供邻近业务时，为第一终端设备提供邻近业务，第二终端设备和第一终端设备可以进行直接通信，也可以通过中继设备进行通信。

在不同发现场景中，提供邻近业务的第二终端设备和需要邻近业务的第一终端设备的名称不同，这里介绍两种发现场景，分别为开放邻近业务发现(open ProSe discovery)场景和受限邻近业务发现(restricted ProSe discovery)场景。开放邻近业务发现场景和受限邻近业务发现场景的相关描述可参考现有技术，在此不再赘述。

举个例子，比如一个用户A使用终端设备A打游戏，用户A没有明确的游戏伙伴，只要“随机”找到一个游戏伙伴就行，该场景为开放邻近业务场景。若用户A使用终端设备A打游戏有明确的伙伴，则用户A可以通过终端设备A“指定”一个伙伴，只有他指定的伙伴才能接入游戏，其他的则不行，该场景为受限邻近业务发现场景。

可选的，本申请实施例中，发现场景中的发现模式包括模式A(model A)或模式B(model B)。model A和model B的区别在于发现场景中终端设备发起发现(discovery) 方式不同。

model A的含义是“我在这”，model A中涉及的终端设备分为播报方UE(announcing UE)和监听方UE(monitoring UE)，announcing UE广播“我在这”，monitoring UE接收到announcing UE广播的消息后根据是否符合自己业务需求确定是否与announcing UE建立连接。

model B的含义是“谁在那？/你在哪？”，model B中涉及的终端设备分为被发现者UE(discoveree UE)和发现者UE(discoverer UE)，discoverer UE发起请求，该请求中包括特定的信息，如谁在那？/你在哪？”，discoveree UE接收到discoverer UE发起的请求之后根据自己是否可以提供业务服务来确定是否回复该请求，若回复响应，说明“我在这”。本申请实施例中，开放邻近业务发现场景只适用于model A发现模式，而受限邻近业务发现场景适用于model A和model B两种发现模式。

本申请实施例中，网络侧(如核心网网元或5G DDNMF网元)可以根据第一终端设备或第二终端设备上报给网络侧的邻近业务信息确定第一终端设备或第二终端设备类型，例如，第一终端设备或第二终端设备上报给网络侧的邻近业务信息包括的发现命令能够指示第一终端设备或第二终端设备是一个announcing UE还是一个monitoring UE；是一个响应终端设备(response UE)还是一个请求终端设备(queryUE)。其中，announcing UE与monitoring UE为上述model A中的两端终端设备，Response UE与QueryUE分别对应上述model B中的discoveree UE和discoverer UE。

在申请实施例中，第二终端设备在向第一终端设备提供邻近业务之前，需要先验证下第一终端设备的身份，确定第二终端设备是否为一个真正需要邻近业务的终端设备。具体的，第二终端设备可以将从第一终端设备获取的消息完整码发上报给核心网网元或5G DDNMF网元，其中，该消息完整码是基于第一终端设备的发现密钥生成的，第一终端设备的发现密钥是利用从核心网网元或5G DDNMF网元获取的密钥生成参数生成的。由核心网网元或5G DDNMF网元基于第二终端设备上报的消息完整码和5G DDNMF网元根据第一终端设备的发现密钥计算的期望消息完整码进行验证。第二终端设备也可以从核心网网元或5G DDNMF网元获得与第一终端设备的发现密钥，由第二终端设备计算期望消息完整码进行验证。

类似的，第一终端设备在接受第二终端设备提供的邻近业务之前，也可以先验证下第二终端设备的身份，确定第二终端设备是否为一个真正能提供邻近业务的终端设备。具体方式与第二终端设备验证第一终端设备的身份的方式类似。

RAN的主要功能是控制用户通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲，它驻留某个设备之间(如移动电话、一台计算机，或任何远程控制机)，并提供与其核心网的连接。

AMF网元负责终端的接入管理和移动性管理，在实际应用中，其包括了LTE中网络框架中MME里的移动性管理功能，并加入了接入管理功能。

可选的，AMF网元还能够利用Kamf生成终端设备的发现密钥，将终端设备的发现密钥发送给5GDDNMF网元或其他网元(如ProSe application server)。

其中，Kamf为终端设备的一种根密钥，是终端设备在注册到网络时，网络侧(如AMF网元)为终端设备分配的，分别保存在终端设备和AMF侧的密钥。

SMF网元负责会话管理，如用户的会话建立等。

PCF网元是由运营商提供的控制面功能，用于向SMF网元提供会话的策略。策略可以包括计费相关策略、QoS相关策略和授权相关策略等。

UPF网元是用户面的功能网元，主要负责连接外部网络，其包括了LTE的服务网关(serving gateway，SGW)和公用数据网网关(public data network gateway，PDN-GW)的相关功能。

DN负责为终端提供服务的网络，如一些DN为终端提供上网功能，另一些DN为终端提供短信功能等等。

UDM网元可存储用户的签约信息，实现类似于4G中的HSS，在本申请实施例中，UDM能够根据UE的匿名化标识或临时标识确定UE的用户永久性标识(subscription permanent identifier，SUPI)。

UDR网元主要用来存储用户的签约信息、策略数据、用于开放的结构化数据、应用数据。

AF网元可以是第三方的应用控制平台，也可以是运营商自己的设备，AF网元可以为多个应用服务器提供服务。

NEF网元将其他网元的能力和事件开放给第三方合作伙伴或AF网元。它为AF网元提供了一种安全地向第三代合作伙伴计划(3rd generation partnership project,3GPP)网络提供信息的方法，NEF网元可以验证和授权并协助限制AF网元。此外，NEF网元还可以将AF网元交换的信息和核心网功能网元交换的信息进行转换。

邻近业务应用服务器(ProSe application server)，存储邻近业务的用户标识，还可以对发现场景中的终端设备进行验证。还可以存储为终端设备预配置的密钥，该密钥是与邻近业务相关的密钥。

在实际应用中，邻近业务应用服务器(ProSe application server)可以为AF网元，也即具备Prose Application server的功能的AF网元。这样，Prose application server与UE可以通过UE-RAN-UPF-AF的路径，进行用户面通信。Prose application server还可以通过NEF网元与其他核心网网元进行通信。比如通过NEF网元与PCF网元通信。

5GDDNMF网元在开放邻近业务发现场景中，可以分配邻近业务应用标识(ProSe application ID)和邻近业务应用代码(ProSe application code)，以及处理邻近业务应用标识(ProSe application ID)和邻近业务应用代码(ProSe application code)之间的映射。5GDDNMF网元在受限邻近业务发现场景中，可以跟ProSe application server通过PC2口通信，用于处理发现请求(discovery request)的授权，分配受限邻近业务应用标识(ProSe discovery UE ID)和受限的邻近业务代码(ProSe restricted code)，以及处理邻近业务应用标识(ProSe discovery UE ID)和受限的邻近业务代码(ProSe restricted code)之间的映射。其中，邻近业务应用代码(ProSe application code)和受限的邻近业务代码(ProSe restricted code)均可以作为本申请实施例中提及的邻近业务临时标识。

在本申请实施例中，5GDDNMF网元增加了安全功能，能够验证终端设备(如第一终端设备和第二终端设备)的身份。例如，5GDDNMF网元在接收到第二终端设备上报的来自第一终端设备的消息完整码后，可以利用第一终端设备的发现密钥生成期望消息完整码，在确定消息完整码和期望消息完整码一致后，通知第二终端设备对第一终端设备验证成功。

需要说明的是，这里仅是以5GDDNMF网元增加了安全功能为例进行说明，该安全功能也可以增加在其他网元中，如核心网网元或ProSe application Server，由其他网元与终端设备交互，验证其他终端设备的身份。

尽管未示出，核心网网元还包括认证服务功能(authentication server function，AUSF)网元、应用程序的身份验证和密钥管理锚点功能(authentication and key management for applications(AKMA)anchor function，AAnF)网元、引导服务功能(bootstrapping server function，BSF)等，AUSF网元具有鉴权服务功能，在本申请实施例中AUSF网元能够利用终端设备的Kausf生成终端设备的发现密钥，将终端设备的发现密钥发送给5GDDNMF网元。类似的，AAnF网元能够利用Kakma生成终端设备的发现密钥，将终端设备的发现密钥发送给5GDDNMF网元。引导服务功能(bootstrapping server function，BSF)网元能够利用Ks生成终端设备的发现密钥，将终端设备的发现密钥发送给5GDDNMF网元。

其中，Kausf、Kakma、或Ks也作为生成终端设备的发现密钥所使用根密钥，这些密钥是终端设备在注册到网络时，网络侧为终端设备分配的，保存在网络侧的密钥，且该密钥与终端设备自己生成的、保存在终端设备侧的密钥相同。

图1B为本申请适用的具体的用户面系统架构示意图。其中的网元的功能的介绍可以参考图1A中对应的网元的功能的介绍，不再赘述。用户面架构主要是指UEA通过用户面与5G DDNMF交互，即UE先接入5GC完成用户面建立，然后UEA与5G DDNMF通过用户面交互。

图1B与图1A的主要区别在于：UE A连接5G DDNMF的方式不同，控制面架构主要是指UE通过控制面与5G DDNMF交互，即，UE通过NAS消息先查找到AMF，然后AMF转发NAS消息给5G DDNMF。

图2A为UE到网络中继(UE-to-Network Relay)系统架构，该系统架构中显示一个UE可以有2种方式、3条路径接入网络。2种方式分别是UE和网络直连方式(即图中所示的路径#1)和UE通过中继(Relay)接入网络方式(即图中所示的路径#2和路径#3)。

另外，图2B示出UE-1和UE-2通过中继进行通信的架构。此时中继(Relay)作为UE-1和UE-2之间通信的媒介，通过中继，UE-1和UE-2就可以进行通信了。

目前，针对图2B所示的UE-1和UE-2通过中继进行通信的场景，由于当前并没有定义中继两端的链路(如图2B所示的第一PC5链路和第二PC5链路，或第一PC5链路和Uu链路)之间的安全保护方法的激活结果的关系，当安全激活发生在分段的情况下(如UE-1的安全终结点策略采用跳到跳(hop-to-hop)安全)，可能会发生两段链路的安全保护不一致。示例性地，假设中继两端的链路的安全保护分别为：UE-1到中继之间的第一PC5链路为有用户面机密性保护开启，用户面完整性保护开启；但是中继到UE-2之间的第二PC5链路为用户面机密性保护不开启，用户面完整性保护开启。这样就造成了用户面数据只有在第一PC5链路才会进行机密性保护，也就是说，攻击者可以从中继到UE-2之间的链路中非法获得用户面数据，因此，UE-1到中继之间的第一PC5链路的机密性保护就失去了意义，而且还浪费了UE1和中继的处理性能。可见，目前UE到网络中继(UE-to-Network Relay)这一系统的通信方式尚存在安全性不足的问题。

为此，本申请实施例提供一种安全通信方法，该方法包括：中继设备根据中继设备与第二终端设备之间的第二PC5链路的用户面保护方法，确定中继设备与第一终端设备之间的第一PC5链路的用户面保护方法，从而保证两段链路的用户面安全保护结果的一致性。以避免因两段PC5链路所使用的用户面安全保护方法不一致，导致用户面安全保护失败的问题。

接下来结合附图介绍本申请实施例提供的技术方案。

在本申请的各个实施例中，可能涉及到的标识包括但不限于以下的至少一种：

1、终端标识。

终端标识可以包括国际移动用户识别码(international mobile subscriber identification number，IMSI)、永久设备标识(permanet equipment identifier，PEI)、用户永久性标识(subscriber permanent identifier，SUPI)、用户隐藏标识(subscriber concealed identifier，SUCI)、临时移动用户标识(temporary mobile subscriber identity，TMSI)、IP多媒体公共标识(IP multimedia public identity，IMPU)、媒体接入控制(media access control，MAC)地址、IP地址、手机号码或全球唯一临时UE标识(globally unique temporary UE identity，GUTI)中的至少一项。例如终端标识只包括IMSI，或者只包括PEI和SUPI，或者只包括PEI、TMSI和IMPU，或者包括IMSI、PEI、SUPI、SUCI、TMSI、IMPU、MAC地址、IP地址、手机号码和GUTI，等等，在此不作限制。在后续的实施例中，统一用UEID来表示终端标识。

其中，PEI为终端设备的固定标识；IMSI为在LTE系统中用户的唯一永久标识；SUPI为5G系统中用户的永久标识；SUCI为对SUPI进行加密后得到的用户标识。

下面结合附图，对本申请实施例提供的一种安全通信方法进行说明，本申请实施例提供的安全通信方法包括两部分，第一部分：安全策略配置方法；第二部分：中继设备或第二终端设备决定PC5链路的用户面安全保护方法和控制面安全保护方法。下面对两部分分别进行说明：

第一部分：

参见图3，对本申请实施例提供的一种安全策略配置方法进行说明，该方法包括：

步骤301，终端设备向AMF发送NAS消息，该消息用于触发AMF向终端设备提供预置数据，该预置数据用于后续近距离通信(prose)场景下的PC5链路建立。

具体地，终端设备可以通过RAN将该NAS消息发送给AMF。

示例性地，该NAS消息可以是终端设备的安全策略预置数据请求(UE policy provisioning request)消息。该消息中可以包括终端设备的终端标识(如5G-GUTI))、终端设备的近距离通信角色指示信息(如remote indication和/或relay indication)。

其中，终端标识用于网络侧设备确定是哪个终端设备发起的请求。比如，网络设备可以通过5G-GUTI确定出UE的SUPI，并且根据UE的SUPI获得UE的网络侧数据，比如近距离(Prose)通信场景下的签约数据。

近距离通信角色指示信息用于网络侧设备确定该UE在Prose场景下可以作为哪种类型的UE接入网络。比如说，UE是作为一个普通UE接入网络；还是可以作为服务于其它UE的中继接入网络，以便于为其它UE转发与接入网之间的数据(或者为其它UE转发和另一个UE之间的数据)；还是可以作为一个远端(remote)UE接入网络，远端UE是指一个UE需要通过中继才能与另一个UE(或者网络)实现连接并且交互数据。换句话说，远端UE在没有中继UE的辅助下，是无法连接到网络(或者连接到另一个UE)的。

示例性地，近距离通信角色指示信息的指示方式可能存在如下几种可能的实现方式。

第一种可能的实现方式：将近距离通信角色指示信息设置为“0”表示不需要作为中继，此时“0”在网络侧的理解可以有2种：(1)、该UE可以作为远端UE，但不作为中继UE，此时可以理解为所有UE都可以作为远端UE；(2)、该UE既不可以作为远端UE，又不可以作为中继。本实施例不限制具体理解方式。设置为“1”表示可以作为中继。此时“1”在网络侧的理解可以有2种：(1)、该UE只能作为中继；(2)、该UE既可以作为远端UE，又可以作为中继。本实施例不限制具体理解方式。

第二种可能的实现方式：将近距离通信角色指示信息设置为“00”表示不需要作为远端UE，也不需要作为中继；设置为“01”代表不可以作为远端UE，但是可以作为中继；设置为“10”代表可以作为远端UE，但是不可以作为中继；设置为“11”代表既可以作为远端UE，又可以作为中继。

第三种可能的实现方式：近距离通信角色指示信息还可以是字符串，比如“远端(remote)”、“中继(relay)”、“远端和中继(remote&Relay)”。本实施例不限制可以同时出现的字符串的个数。也就是说，在只有可以使用“远端(remote)”、“中继(relay)”者2个字符串的情况下，这2个字符串可以同时传递，表示UE可以同时作为2个角色。如果只出现一种，则表示只能作为一种角色。在3种字符串都支持的情况下，则“远端(remote)”代表该UE只能作为远端UE，“中继(relay)”表示该UE只能作为中继UE，“远端和中继(remote&Relay)”该UE既可以作为远端UE，又可以作为中继UE。

步骤302，AMF检查该终端设备的授权信息。

具体地，AMF需要检查该终端设备传递的身份指示信息是否合法，即是否可以做一个远端UE(Remote UE)，或者是，AMF需要检查该终端设备是否可以作为中继，再或者，当近距离通信角色指示信息指示该终端设备既可以作为远端UE，也可以作为中继时，AMF需要同时做上述两种身份的检查。

具体的，一种检查授权的实现方式可以是：AMF与UDM进行交互，从UDM获得该终端设备的Prose通信场景下的签约数据。AMF根据签约数据确定该终端设备是否可以作为中继和/或远端UE。当然，AMF也可以从PCF获取终端设备的签约数据，或者通过能力开放网元从Prose应用服务器获取终端设备的签约数据，本实施例对此并不作限制。

另一种检查授权的实现方式可以是：AMF可以从PCF获取终端设备的授权信息的检查结果。即PCF与UDM进行交互，从UDM获得该终端设备的Prose场景下的签约数据。PCF根据签约数据确定该终端设备是否可以作为中继和/或远端UE，然后PCF将检查结果发送至AMF。当然，PCF也可以者通过能力开放网元从Prose应用服务器或者其它设备上获取终端设备的签约数据，本实施例对此并不作限制。

步骤303，当AMF对终端设备的授权检查成功后，AMF向PCF发送请求消息，该消息用于请求终端设备的安全策略预置数据。

示例性地，AMF向PCF发送(pcf_UEPolicyControl_Update)消息，该消息中包括终端设备的近距离通信角色指示信息(如remote UE indication/relay UE indication)。可选地，该消息中还携带终端设备的近距离(Prose)通信相关信息(如UE的Prose身份信息：Prose User ID，Prose应用信息，Prose APP ID等)。

步骤304，PCF确定终端设备的安全策略。

具体地，PCF根据终端设备的近距离通信角色指示信息，当确定该终端设备可以作为中继时，PCF确定该终端设备作为中继(中继身份)所使用的安全策略；当确定该终端设备可以作为远端UE时，PCF确定该终端设备作为远端UE(远端身份)所使用的安全策略。当确定该终端设备为普通UE时，PCF确定该终端设备作为普通UE所使用的安全策略。其中，安全策略可以包括PC5控制面安全策略和/或PC5用户面安全策略。当确定该终端设备既可以作为中继，又可以作为远端UE时，PCF可以分别确定该终端设备作为中继所使用的安全策略，以及作为远端UE所使用的安全策略。

在一种可能的实施例中，PCF可以进一步与其他网元(比如5G DDNMF)交互，以获取更多该终端设备的Prose相关信息。比如Prose APP Code，Prose APP Code用于UE之间发现的。

步骤305，PCF向AMF发送响应消息，该响应消息包括终端设备的安全策略。

具体地，PCF向AMF回复Nafm_Communication_N1N2MessageTransfer消息，该消息中包括普通身份的安全策略和非普通身份的安全策略中的至少一种类型。其中，非普通身份就包括中继身份或者远端身份。

一种可能的情况下，若该消息只携带一种安全策略，则表示该安全策略不仅可以被用于普通接入，还可以被用于远端(remote)身份和/或中继身份接入(如果UE支持这些身份的话)。

另一种可能的情况下，如果该消息携带两种安全策略，则一种代表普通身份使用的安全策略，另一种代表非普通身份使用的安全策略。

再一种可能的情况下，如果该消息携带三种安全策略，则分别代表普通身份使用的安全策略、远端身份使用的安全策略和中继身份使用的安全策略。

在本申请实施例中，在所有UE都可以作为远端身份的情况下，那么远端身份也可以属于普通身份的一种，此时非普通身份就只包含中继身份。如果不是所有的UE都可以使用远端身份，那么非普通身份就包括中继身份和远端身份。

步骤306，AMF向UE转发该终端设备的安全策略。

步骤307，终端设备接收该安全策略，并保存至本地设备中。

需要说明的是，上述PCF也可以是其它能够提供安全的网元，所谓提供安全策略的网元是网络侧分配策略的网元或功能实体，比如5G中的PCF，4G中的(policy and charging rules function)策略与计费规则功能单元，PCRF)，和未来网络中继承相关功能的网元。

在一种可能的实施例中，在上述步骤304中，PCF所确定的终端设备的安全策略可以有多种粒度。比如，可以是PCF粒度，即向该PCF请求的所有终端设备均对应相同的安全策略；再比如，可以是UE粒度，即不同的终端设备可能对应不同的安全策略；再比如，可以是APP粒度，即不同的APP ID对应的终端设备可能对应不同的安全策略；再比如，可以是UE+APP粒度，即不同的UE+APP绑定关系，终端设备可能对应不同的安全策略。

需要说明的是，虽然安全策略可以分为普通身份的安全策略和非普通身份的安全策略，但是不同身份的终端设备的安全策略可以相同，也可以不同。例如远端UE和中继UE这两种身份的终端设备对应的安全策略可以相同，也可以不同。

另外，安全策略也可以分别与远端或中继的身份绑定后进行存储，即存储两种身份的安全策略。比如，UE1的安全策略包括远端身份的安全策略和中继身份的安全策略。比如，普通身份的安全策略包括控制面机密性保护为PREFERRED，控制面完整性保护为REQUIRED，用户面机密性保护为NOT NEEDED，用户面完整性保护为REQUIRED；非普通身份的安全策略包括控制面机密性保护为PREFERRED，控制面完整性保护为PREFERRED，用户面机密性保护为PREFERRED，用户面完整性保护为PREFERRED。当然，如果UE1的不同身份的安全策略一样，也可以只存储一种身份的安全策略。比如，控制面机密性保护为PREFERRED，控制面完整性保护为PREFERRED，用户面机密性保护为PREFERRED，用户面完整性保护为PREFERRED。本实施例不限制存储方式，即在具体的实施过程中，可以只使用其中一种实现方式，也可以多种实现方式并存。

在一种可能的实施例中，一种保证链路建立的方法是：在安全策略的配置方式中，普通身份使用的安全策略(类似于V2X中端对端通信(one-to-one communication)流程中使用的安全策略)可以包括开启和不开启两种状态。比如，控制面机密性保护为开启，控制面完整性保护为可选，用户面完整性保护为不开启，用户面机密性保护为可选。非普通身份使用的安全策略为只包含可选的安全策略，即只包含“PREFERRED”状态，不包含“REQUIRED”状态和“NOT NEEDED”状态。

这样做的好处是，保证有中继的通信场景下的消息链路是可以建立的。因为在现有技术中，如果图2B所示的UE-1、UE-2和中继之间任意二者的安全策略如果是截然相反的状态(如UE-1的控制面机密性安全策略是REQUIRED状态，UE-2的控制面机密性安全策略是NOT NEEDED状态)，那么UE-2或者中继会释放掉连接，因此链路无法建立。因此，如果中继的安全策略中包括不开启和可选两种状态，则可能因为中继有很明确的安全策略，而导致中继场景下的消息链路无法建立。

另一种保证链路建立的方法是：具有共同属性的UE分配相同的但不含有“PREFERRED”状态的安全策略。具有共同属性是指业务粒度相同，或者其它属性信息相同，其它属性信息可以是某种可以把一部分UE归类到一起的属性信息。这样的话，只会在这些UE范围内使用中继建立业务，那么进而可以保证不会因为中继而无法建立链路。

此外，在一种可能的实施例中，PCF还存储有安全终结点策略、安全算法策略中的至少一种，PCF所确定终端设备的安全策略还可以包括终端设备的安全终结点策略、终端设备安全算法策略中的至少一种。

1)安全终结点策略是安全终结点是应该或者倾向放在中继上，还是不应该或者不倾向放在中继上。其中，“应该”是一种强制性动作，必须要满足的意思。“倾向”的含义是优选，可以不满足。

比如，当比特位信息只有1位时，并且值为0时，表示安全终结点应该或倾向放在中继上，当值为1时，表示安全终结点不应该或者不倾向放在中继上。再比如，当比特位信息为至少2位时，00表示安全终结点必须放在中继上，01表示安全终结点倾向放在中继上，10表示安全终结点倾向不放在中继上，11表示安全终结点必须不放在中继上。再比如，还可以用字符串“end”、“hop”、“prefer”分别表示必须不放在中继上，必须放在中继上和倾向放在中继上。

2)安全算法策略是指应该或者倾向使用128bit的算法还是使用256bit的算法。可以使用比特位指示信息表示，也可以使用字符串表示。

比如，当比特位信息只有1位时，0代表应该或者倾向使用128bit算法，1代表应该或者倾向使用256bit算法。再比如，当比特位信息为至少2位时，00表示必须用128bit算法，01表示倾向用128bit算法，10表示倾向用256bit算法，11表示必须用256bit算法。再比如，还可以用字符串128、256、prefer分别表示必须用128bit算法，必须用256bit算法或者都可以。

上述安全终结点策略和安全算法策略可以使用与安全策略相同的粒度信息，也就是说这些策略与安全策略的粒度相同；也可以使用与安全策略不同的粒度信息，也就是说这些策略与安全策略的粒度不同。本实施例不做规定。

其中，安全策略的粒度信息是指安全策略可以作用的范围。比如当安全策略是APP ID粒度的时候，那就意味着某一个APP ID对应的安全策略不可以被用在其他APP ID上。再比如，当安全策略是UE粒度的，那就意味着这个UE的所有业务都使用相同的安全策略。本发明不限制PCF为UE存储单一的安全策略，即PCF可以为某些UE只存储UE粒度的安全策略。也可以为UE只存储APP ID粒度的安全策略。也可以为UE存储不同粒度的安全策略。比如为一个UE存储某一个APP ID对应的安全策略和除了这个APP ID外的对应的安全策略，此时可以将除了这个APP ID外的对应的安全策略理解为UE粒度的。

可选地，在上述步骤305中，响应消息中还可以携带安全策略的粒度信息。比如每个Prose APP ID有对应的安全策略，当安全策略与粒度信息结合在一起时，那么就出现了以下几种可能的表示方法，下列表示方法可以用于UE和PCF的存储，用于步骤305消息中的传递的信远的表示方法，本申请实施例不限制其使用场景。

1)、{普通身份的安全策略，非普通身份的安全策略＝(Prose APP ID-1的安全策略，Prose APP ID-2的安全策略，默认安全策略)}；该方法的意思是有一个普通身份的安全策略。该安全策略在UE不作为远端UE和中继UE下使用。在所有UE都可以作为远端UE的情况下，那么该安全策略就是只在UE不作为中继UE的情况下使用的安全策略。还包括有一个Prose APP ID为1的非普通身份的安全策略和Prose APP ID为2的非普通身份的安全策略和默认的非普通身份的安全策略。当非普通身份包括远端身份和中继身份2种时，此时Prose APP ID-1的安全策略可以包括至少1种非普通身份的安全策略，比如针对Prose APP ID-1，那么可以只包括的Prose APP ID-1对应的中继身份的安全策略，还可以既包括Prose APP ID-1对应的中继身份的安全策略又包括Prose APP ID-1的远端身份的安全策略。需要说明的是，该方法Prose APP ID代表的是安全策略对应的粒度信息。因此可以理解为若PC5安全粒度不是Prose APP ID的粒度，则可以将Prose APP ID替换为安全策略对应的粒度。比如，若是UE粒度，则可以将Prose APP ID改成SUPI。

如果Prose APP ID-1的安全策略只包含一种安全策略，则可以理解为该安全策略在可以用被2种身份使用。

若进一步地表示为：{普通身份的安全策略，非普通身份的安全策略＝(Prose APP ID-1的中继身份的安全策略，Prose APP ID-2的远端身份的安全策略，默认安全策略)}，则可以理解为包括了Prose APP ID-1的中继身份的安全策略，Prose APP ID-2的远端身份的安全策略和默认的除了Prose APP ID-1和Prose APP ID-2之外的非普通身份的安全策略。此时，如果该UE在Prose APP ID-1下可以使用远端身份，则该远端身份的安全策略就是默认的非普通身份的安全策略。同理，如果Prose APP ID-2可以使用中继身份，则其中继身份的安全策略就是默认的非普通身份的安全策略。

2)、或者{Prose APP ID-1＝(普通身份的安全策略，非普通身份的安全策略)，{Prose APP ID-2＝(普通身份的安全策略，非普通身份的安全策略)，默认安全策略}；该表示方法中，Prose APP ID-1和Prose APP ID-2代表粒度信息。该方法表示在Prose APP ID-1可以使用的普通身份的安全策略和非普通身份的安全策略，和Prose APP ID-2可以使用的普通身份的安全策略和非普通身份的安全策略是什么。以及其他APP的任何身份都可以使用的默认的安全策略。详细描述可以参考方法1)中的描述。

3)、或者{Prose APP ID-2＝(普通身份的安全策略，非普通身份的安全策略)，非普通身份的默认安全策略，普通身份的默认安全策略}。该方法表示Prose APP ID-2可以使用的普通身份的安全策略和非普通身份的安全策略和在其他Prose APP下普通身份可以使用的默认的安全策略和非普通身份可以使用的默认的安全策略。详细描述可以参考方法1)中的描述。

4){普通身份的安全策略，非普通身份的安全策略}，该方法表示UE粒度的情况下，该UE的普通身份使用的安全策略和非普通身份使用的安全策略。其中，非普通身份的安全策略可以包括远端身份的安全策略和中继身份的安全策略中的至少一种。究竟携带哪种要根据UE请求时携带的身份指示信息确定。如果2种身份都携带，则2种非普通身份的安全策略都需要携带。

5){普通身份的安全策略，中继身份的安全策略}，该表示方法表示UE粒度的情况下，该UE的普通身份的安全策略和中继身份的安全策略。该表示方法适用于所有UE都有远端身份，则远端身份就是普通身份中的一种，即，可以复用普通身份的安全策略。

6){安全策略}，该表示方法表示UE粒度的情况下，该UE的普通身份的安全策略、远端身份和中继身份使用相同的的安全策略。

其中，非普通身份的安全策略包括中继身份的安全策略、远端身份的安全策略中的至少一种。

本申请实施例中，实现了在终端设备通过中继通信的场景下，PCF为终端设备配置安全策略，例如优先将中继的安全策略配置为PREFERRED的安全策略，这样可以保证中继PC5链路的建立，另外还包括安全策略可以有粒度信息，用于保证安全策略的作用范围。需要说明的是，安全策略和粒度的绑定关系多种多样，本申请实施例仅是给出一些参考实例，本申请实施例不限制安全策略和粒度的使用方式。

第二部分：

结合第一部分，本申请实施例提供一种安全通信方法，请参见图4，为该方法的流程图。在下文的介绍过程中，以该方法应用于图2A或图2B所示的网络架构为例。另外，该方法可由第一通信装置执行，该第一通信装置可以是终端设备，或为能够支持终端设备实现该方法所需的功能的通信装置，例如终端设备包括的部件，或者终端设备中的芯片系统等。

为了便于介绍，在下文中，以该方法由终端设备执行为例，对本申请实施例提供的小区选择方法进行详细介绍。

图4为本申请实施例提供的一种安全通信方法流程示意图，该方法可以包括如下步骤。

步骤401、第一终端设备广播第一直连通信请求(direct communication request，DCR)消息。

其中，该第一DCR消息中携带第一终端设备的PC5控制面安全策略。

在一种可能的实施例中，该第一DCR消息中还可以携带第一终端设备的安全终结点策略，该安全终结点策略用于确定安全终结点是否在中继上。例如，当该第一DCR消息中携带“hop-by-hop”安全终结点策略，则安全终结点在中继上；当该第一DCR消息中携带“end-to-end”安全终结点策略，则安全终结点不在中继上。可选地，在一种可能的实施例中，该第一DCR消息中还可以安全算法策略。

所述第一DCR消息中携带的第一终端设备的PC5控制面安全策略为远端身份的PC5控制面安全策略。当第一终端只从网络侧获得一个PC5控制面安全策略的情况下，所述第一DCR消息中携带的第一终端设备的PC5控制面安全策略根据图3所述实施例从网络侧获取到PC5控制面安全策略。

在一种可能的实施例中，该第一DCR消息中还可以携带第一终端设备的PC5控制面安全策略的粒度信息(如APP ID)，该粒度信息，用于第一终端设备的PC5控制面安全策略的作用范围。

其中，该第一DCR消息是广播消息，会被不同的中继接收到。该PC5控制面安全策略可以包括普通身份的PC5控制面安全策略和非普通身份的PC5控制面安全策略中的至少一种。

在一种可能的实施例中，该消息中还可以携带第一终端设备支持的PC5控制面安全算法，以便于第二终端设备确定第二PC5链路的PC5控制面安全算法。

步骤402，至少一个中继接收到第一DCR消息后，向第二终端设备发送第二DCR消息。第二DCR消息由至少一个中继生成并发送。

在一种实现方式中，第二DCR消息可以直接就是第一DCR消息，即至少一个中继直接向第二终端设备转发第一DCR消息。

在另一种实现方式中，第二DCR消息也可以包含中继的相关信息和第一终端设备的相关信息。第一终端设备的相关信息来自第一DCR消息。第一终端设备的相关信息可以是全部第一DCR消息或第一DCR消息的一部分内容。中继的相关信息可以包括中继的PC5控制面安全策略、中继的PC5控制面安全算法等。

在一种可能的实施例中，中继在向第二终端设备转发该第二DCR消息之前，需要先判断该中继是否能够为第一终端设备服务。需要说明的是，该判断过程可以发生在上述步骤401之前，该判断过程也可以发生在上述步骤401之后。比如，第一终端设备发送第二DCR消息之前，中继能够通过发现(discovery)流程确定是否能够为第一终端设备服务，如果可以服务，则中继会接收该第一DCR消息并生成第二DCR消息，如果不可以，中继直接拒收该第一DCR消息。再比如，在没有discovery(发现)流程的情况下，该中继在收到该第一DCR消息后先根据消息中的信息判断是否可以为第一终端服务，如果可以，则中继接收该第一DCR消息并生成第二DCR消息，如果不可以，中继直接拒收该第一DCR消息。比如通过消息中携带的应用层ID信息判断。本实施例不限制，至少一个中继的个数，可以是一个，或者是两个以上。

在一种可能的实施例中，至少一个中继判断是否可以支持第一终端设备的控制面安全策略，如果可以支持则生成第二DCR消息并发送第二DCR消息给第二终端设备。如果不支持，则不需要为第一终端设备生成第二DCR消息。具体地，至少一个中继判断中继的PC5控制面机密性保护策略和PC5控制面完整性保护策略是否与第一终端设备的PC5控制面机密性安全策略相冲突。比如，假设第一终端设备的PC5控制面安全策略为PC5控制面机密性保护为NOT NEEDED和第一终端设备的PC5控制面完整性保护是REQUIRED，那么第一终端设备不可以选择PC5控制面机密性保护为REQUIRED，或者PC5控制面完整性保护为NOT NEEDED的中继。这里，NOT NEEDED和REQUIRED是冲突的。

在一种可能的实施例中，中继还可以向第二终端设备发送中继的PC5控制面安全策略、安全终结点策略和安全算法策略中的至少一个。需要说明的是，上述与中继相关的安全策略等承载方式因第二DCR消息的格式不同而不同。比如，当中继发送的第二DCR消息就是直接转发第一终端设备的DCR消息是，那么上述与中继相关的安全策略可以承载在中继向第二终端设备转发的DCR消息中，或者，当第一DCR消息或者第一DCR消息的一部分作为第二DCR消息的一个container(内容)、一个IE或一些IE时，上述与中继相关的安全策略可以承载在其与第一DCR消息不相关的IE中，本实施例不做限制。需要说明的是：第二DCR消息还可以携带第一终端设备支持的控制面安全算法和/或中继支持的控制面安全算法。具体携带方法可以参考上述关于安全策略携带方法的相关描述。

步骤403，第二终端设备从至少一个中继中确定用于为第一终端服务的中继。

需要说明的是，本实施例中，该步骤403是可选的步骤。一种可能的情况下，在只有一个中继向第二终端设备转发DCR消息时，上述步骤403可以不用执行。这时，第二终端设备只需要在判断该中继是否支持该业务，若是，则确定该中继为可以为第一终端服务的中继。比如，第二终端设备根据是否对消息中携带的应用信息感兴趣进行判断。

另一种可能的情况下，在有两个以上的中继向第二终端设备转发DCR消息时，第二终端设备根据收到的第一终端设备的PC5控制面安全策略、至少两个中继的PC5控制面安全策略、第二终端设备的PC5控制面安全策略、第一终端设备的安全终结点策略、至少两个中继的安全终结点策略、第二终端设备的安全终结点策略、第一终端设备的安全算法策略、至少两个中继的安全算法策略、第二终端设备的安全算法策略中的至少一种，从至少两个中继中确定为第一终端服务的中继。

需要说明的是，在一种可能的实现方式中，因不同中继向第二终端设备转发DCR消息的顺序有先有后，所以，第二终端设备可以根据接收到来自不同中继的转发消息先后顺序，从至少两个中继中确定一个为第一终端服务的中继。例如，假设第二终端设备最先收到来自第一中继发送的第二DCR消息，则第二终端设备可以根据一终端设备的PC5控制面安全策略、第一中继的PC5控制面安全策略、第二终端设备的PC5控制面安全策略、第一终端设备的安全终结点策略、第一中继的安全终结点策略、第二终端设备的安全终结点策略、第一终端设备的安全算法策略、第一中继的安全算法策略、第二终端设备的安全算法策略中的至少一种，确定该第一中继是否可用用于建立PC5链路。若是，则确定第一中继为目标中继，即可用于建立PC5链路；如果不可以，则再根据接收时间先后次序，对其它中继依次执行上述判断。

在另一种可能的实现方式中，第二终端设备可以随机选择一个中继发送的第二DCR消息进行判断。以此类推，直至确定满足条件的目标中继。本申请实施例不限制具体的判断的中继的选择顺序。

具体地，第二终端设备可以采用如下至少一种方式确定目标中继。

方式一，第二终端设备根据第二终端设备的安全终结点确定目标中继。

示例性的，如果第二终端设备的预配置的或者从网络侧得到的安全终结点策略是跳到跳(hop-by-hop)，那么，第二终端设备只能从至少两个中继中选择一个支持“hop-by-hop”或者支持PREFERRED的安全策略的目标中继。再比如，如果第二终端设备的预配置的或者从网络侧得到的安全终结点策略是点到点(End-to-End)，那么，第二终端设备只能从至少两个中继中选择一个支持End-to-End或者支持PREFERRED的安全策略目标中继。

方式二，第二终端设备根据每种组合下的各个终端设备的PC5控制面安全策略确定中继。

其中，假设有两个中继(第一中继和第二中继)向第二终端设备发送第二DCR消息，那么就存在两种组合，第一种组合包括第一终端设备、第一中继和第二终端设备；第二种组合包括第一终端设备、第二中继和第二终端设备。

示例性地，如果第二终端设备预配置的PC5控制面安全策略包括不开启的PC5控制面安全策略(是指控制面机密性保护和控制面完整性保护至少有一个是NOT NEEDED的)，那么第二终端设备不可以选择与第二终端设备预配置的PC5控制面安全策略相冲突(是指对应的控制面机密性保护和控制面完整性保护至少有一个是REQUIRED)的中继。比如，假设第二终端设备的PC5控制面安全策略为PC5控制面机密性保护为NOT NEEDED和PC5控制面完整性保护是REQUIRED，那么第二终端设备不可以选择PC5控制面机密性保护为REQUIRED，或者PC5控制面完整性保护为NOT NEEDED的中继。这里，NOT NEEDED和REQUIRED就是冲突的。进一步地，可选地，如果第二终端设备先判断安全终结点是hop-by-hop，那么再按上述步骤选择中继。反之，如果第二终端设备的预配置安全终结点是End-to-End安全，则选择中继的时候不需要参考中继的PC5控制面安全策略。此时，可以按照3GPP标准TS 33.536中的5.3.3.1.4.3章节确定与第一终端设备的控制面安全保护方法。

方式三，第二终端设备根据每种组合下的各个设备的PC5控制面安全策略、第二终端设备的PC5用户面安全策略和第二终端设备的PC5用户面安全策略一起确定中继。

换句话来说，如果在用户面安全保护不可以高于控制面安全保护的原则下，为了保障PC5连接的建立，第二终端设备在选择中继的时候可以参考使用第二终端设备的PC5用户面安全策略。其中，用户面安全保护不可以高于控制面安全保护的具体含义包括以下几个方面：1)如果控制面机密性保护激活，那么用户面机密性保护可以激活、也可以不激活。2)如果控制面完整性保护激活，那么用户面完整性保护可以激活，也可以不激活。3)如果控制面机密性保护不激活，那么用户面机密性保护不激活。4)如果控制面完整性保护不激活，那么用户面完整性保护不激活。

具体地，原则一：如果第二终端设备的PC5用户面安全策略有“REQUIRED”状态，那么相应第二终端设备选择的中继的PC5控制面安全策略也应该为“REQUIRED”状态。示例性地，如果第二终端设备的PC5的用户面机密性保护和/或用户面完整性保护为“REQUIRED”状态，那么第二终端设备只能选择PC5的控制面机密性保护和/或控制面完整性保护为“REQUIRED”的中继。原则二：如果第二终端设备的PC5用户面安全有“NOT NEEDED”状态，那么相应的第二终端设备选择的中继的PC5控制面安全策略不可以为“REQUIRED”。示例性地。如果PC5的用户面机密性保护和/或用户面完整性保护为“NOT NEEDED”状态，那么第二终端设备只能选择PC5的控制面机密性保护和/或控制面完整性保护不为“REQUIRED”的中继。

方式四，第二终端设备根据中继的安全算法策略和第二终端设备的安全算法策略确定中继。

具体地，原则一，在第二终端设备只支持128-bit算法的情况下，第二终端设备不可以选择一个只支持256-bit算法的中继；原则二，在第二终端设备只支持256-bit算法的情况下，第二终端设备不可以选择一个只支持128-bit算法的中继。

需要说明的是，本申请实施例并不限制PC5用户面安全策略、PC5控制面安全策略和安全终结点策略这3种策略的执行先后顺序，同时因为有些安全策略是可选的，因此可以不执行，本申请实施例也不限制三种安全策略的结合和使用方法。

需要补充说明的是：如果安全终结点策略是标准规定好的，即标准规定了只能使用hop-by-hop或者End-to-End，那么安全终结点策略就是不需要的，并且在执行其它步骤的时候要默认按照相关的规定执行。

假设第一终端设备发送的第一DCR消息中包括第一终端设备的安全终结点策略为“hop-by-hop”安全策略，目标中继为第一中继，则下文中以安全终结点位于目标中继上进行说明。

步骤404，在第二终端设备确定第一中继后，与该第一中继发起鉴权流程。

需要说明的是，本实施例中，该步骤404是本实施例的可选步骤。

该鉴权流程的作用是完成第二终端设备和第一中继之间的相互信任，并生成保护控制面和用户面密钥的根密钥。具体描述可以参考标准TS33.536章节中5.3.3.1.4.3的描述。

示例性地，第二终端设备向第一中继发送直连通信密钥鉴权(Direct Auth and Key Establishment)消息，触发第二终端设备和第一中继之间的鉴权流程。

可选地，第一中继可以确定Direct Auth and Key Establishment消息是发给自身的，并且第一中继在收到消息后会发起与第二终端设备进行鉴权和密钥生成流程。具体地，第一中继可以按照如下至少2种方式确定，一种方式是：Direct Auth and Key Establishment消息中包括指示信息，或指示信息随着Direct Auth and Key Establishment消息发送给第二终端设备(此时可以理解为指示信息在Direct Auth and Key Establishment消息外)，该指示信息用于指示鉴权和密钥分发是在第二终端设备和第一中继之间执行。比如，用一个比特位指示该消息是发给第一中继的，还是发给第一终端设备的。具体地，当比特位指示信息为“0”时，表示发给第一中继的，当是“1”时，则是发给第一终端设备的。另一种方式是：第一中继通过该Direct Auth and Key Establishment消息的格式确定鉴权和密钥分发是在第二终端设备和第一中继之间执行。比如，Direct Auth and Key Establishment作为一个container的一部分发给第一中继，则第一中继将container中的Direct Auth and Key Establishment消息发个第一终端设备，此时，第一中继可能不知道container中的内容，即不知道是Direct Auth and Key Establishment消息。也就是说，第一中继仅仅是看到container就转发了。再比如，Direct Auth and Key Establishment直接发送给了第一中继，那么第一中继自动判断这条消息是发给第一中继的，而不是发给第一终端设备的。

需要补充说明的是：如果安全终结点策略是标准规定好的，即标准规定了只能使用hop-by-hop或者End-to-End，那么第一中继不需要确定Direct Auth and Key Establishment消息是发给自身的，还是发给第一终端设备的。即在标准规定是hop-by-hop情况下，第一中继会知晓Direct Auth and Key Establishment消息是发给自身的，在End-to-End情况下，第一中继会知晓Direct Auth and Key Establishment消息是发给第一终端设备的。知晓方法不限制本申请实施例不限制需要说明的是，在第二终端设备的PC5控制面安全策略为“NOT NEEDED”状态的情况下，以及在第一中继的PC5控制面安全策略、第一终端设备的PC5控制面安全策略与第二终端设备的PC5控制面安全策略发生冲突的情况下，不会发起上述步骤404，且第二终端设备向至少一个中继回复失败消息，用于拒绝DCR流程的建立。

步骤405，第二终端设备确定第二PC5链路的PC5控制面安全保护方法，和选择第二PC5链路的PC5控制面安全算法。

此步骤可以发生在步骤403之后，步骤404之前。

具体地，第二终端设备可以按照如下方式中的至少一种方式确定第二PC5链路的PC5控制面安全保护方法：

方式一，第二终端设备根据第一中继的PC5控制面安全策略和第二终端设备的PC5控制面安全策略确定第二PC5链路的PC5控制面安全保护方法。具体地确定方法可以参考标准TS33.536章节中5.3.3.1.4.3的描述。

示例性地，第一中继的PC5控制面完整性保护为可选，第一中继的PC5控制面机密性保护为开启，第二终端设备PC5控制面完整性保护为开启，第二终端设备PC5控制面机密性保护为开启，则第二终端设备确定第二PC5链路的PC5控制面完整性保护为开启，第二PC5链路的PC5控制面机密性保护为开启。

方式二，第二终端设备除了根据第一中继的PC5控制面安全策略和第二终端设备的PC5控制面安全策略，还要结合第一终端设备的PC5控制面安全策略确定第二PC5链路的PC5控制面安全保护方法。这样，第一中继和第二终端设备之间的PC5控制面安全保护方法，和第一中继与第一终端设备之间的PC5控制面安全保护方法可以是相同的。

具体地，当其中一个控制面面完整性保护为REQUIRED，则控制面完整性保护确定为需要激活。当其中一个控制面机密性保护为REQUIRED，则控制面机密性保护确定为需要激活。其中一个控制面面完整性保护为NOT NEEDED，则控制面完整性保护确定为不需要激活。当其中一个控制面机密性保护为NOT NEEDED，则控制面机密性保护确定为不需要激活。当所有控制面面完整性保护为PREFERRED，则控制面完整性保护确定为可以激活，也可以不激活。当其中一个控制面机密性保护为PREFERRED，则控制面机密性保护确定可以激活，也可以不激活。

方式三，第二终端设备根据第一中继的PC5控制面安全策略和第二终端设备的PC5控制面安全策略，还可以结合第二终端设备的PC5用户面安全策略，确定PC5控制面安全保护方法。

示例性，如果第二终端设备确定第二终端设备的PC5用户面安全策略有“REQUIRED”状态，同时，第一中继的PC5控制面安全策略可以支持REQUIRED(比如为PREFEER，或者REQUIRED)，并且第二终端设备的PC5控制面安全策略可以支持REQUIRED(比如为PREFEER，或者REQUIRED)，则将第二PC5链路的PC5控制面安全策略确定为开启状态。具体地，如果第二终端设的PC5用户面完整性保护为REQUIRED，则第二终端设备将控制面完整性保护确定为开启。如果第二终端设的用户面完整性保护为PREFERRED，则控制面完整性保护的确定方法还需要参考第二终端设备的用户面机密性保护。即如果此时第二终端设备的用户面机密性保护为REQUIRED，则第一控制面完整性保护方法确定为开启,控制面机密性保护为REQUIRED；如果此时第二终端设备的用户面机密性保护为PREFERRED或者NOT NEEDED，则第二终端设备可以将控制面完整性保护确定为开启或者不开启，控制面机密性保护可以确定为开启或不开启。如果第二终端设的用户面完整性保护为NOT NEEDED，则控制面完整性保护的确定方法还需要参考第二终端设备的用户面机密性保护。即如果此时第二终端设备的用户面机密性保护为REQUIRED，则拒接连接建立；如果此时第二终端设备的用户面机密性保护为PREFERRED或者NOTE NEEDED，则第二终端设备可以将控制面完整性保护确定为开启或者不开启，将控制面机密性保护确定为开启或者不开启。

在确定了是否激活第二PC5链路的PC5控制面安全保护方法后，第二终端设备可以选择PC5控制面的安全算法。该安全算法包括机密性保护算法和/或完整性保护算法。如果确定第二PC5链路的PC5控制面完整性保护需要激活，则需要选择一个非空的PC5控制面完整性安全算法；如在确定第二PC5链路的PC5控制面完整性保护激活，且确定第二PC5链路的PC5控制面机密性保护需要激活的情况下，需要选择一个非空的PC5控制面机密性保护算法和非空的PC5控制面完整性保护算法；如果确定第二PC5链路的PC5控制面完整性保护不激活，则不需要选择PC5控制面完整性波保护算法。可选地，如果有安全算法策略，那么第二终端设备根据安全算法策略选择128bit算法还是256bit算法。具体选择方法可以参考标准TS33.536章节中5.3.3.1.4.3的描述。

步骤406，第二终端设备向第一中继发送第二PC5链路的PC5控制面安全算法。

在执行步骤406前，第二终端设备激活步骤405中确定的安全保护方法。具体地，如果PC5控制面完整性保护开启，则开始使用PC5控制面完整性保护算法和PC5控制面完性保护密钥对步骤406消息做完整性保护。如果PC5控制面机密性保护确定为开启，则开始使用选择的PC5控制面机密性保护算法和PC5控制面机密性密钥准备对收到的消息进行解机密性保护。其中，PC5控制面算法和PC5控制面密钥可以参考标准TS 33.536章节5.3.3.1.4.3中提到的相关控制面算法和控制面密钥。

确定PC5控制面安全算法的方法是：第二终端设备存储有控制面完整性保护算法优先级列表，第二终端设备可以从步骤402中携带的第一终端设备和/或第一中继的支持的控制面安全算法中选择一个优先级最高的同时支持的控制面安全算法。比如，如果第一终端设备支持NIA0(Nextgeneration Integrity Algorithm,下一代完整性保护算法)，NIA1，NIA2，NIA3第一中继支持NIA0，NIA2，NIA3第二终端设备的优先级列表为NIA1，NIA3，NIA2。在只考虑第一终端设备和第二终端设备的情况下，选择的控制面完整性保护算法为NIA1。在只考虑第一中继和第二终端设备的情况下，选择的控制面完整性保护算法为NIA3。在考虑第一中继、第一终端设备和第二终端设备的情况下，选择的控制面完整性保护算法为NIA2。再比如，如果第一终端设备支持NEA0(Nextgeneration EncryptionAlgorithm,下一代加密算法)，NEA1，NEA2，NEA3第一中继支持NEA0，NEA2，NEA3第二终端设备的优先级列表为NEA1，NEA3，NEA2。在只考虑第一终端设备和第二终端设备的情况下，选择的控制面完整性保护算法为NEA1。在只考虑第一中继和第二终端设备的情况下，选择的控制面完整性保护算法为NEA3。在考虑第一中继、第一终端设备和第二终端设备的情况下，选择的控制面完整性保护算法为NEA2。

示例性地，第二终端设备发送直连安全通信模式信令(direct security mode command，DSMC)消息至第一中继，该消息中携带第二终端设备确定第二PC5链路的控制面安全算法。具体携带方法可以参考标准TS33.536章节中5.3.3.1.4.3的描述。

步骤407，第一中继根据接收到的第二PC5链路的控制面安全算法，激活第二PC5链路的控制面安全。具体地，第一中继根据步骤406中携带的PC5控制面算法激活第二PC5链路的控制面安全保护。具体激活方法可以参考标准TS33.536章节中5.3.3.1.4.3的描述。

示例性地，如果第二PC5链路的控制面安全算法包括不为空完整性保护算法和为空的机密性保护算法，则第一中继开启第二PC5链路的控制面完整性保护，不开启第二PC5链路的控制面机密性保护。具体激活方法可以参考标准TS33.536章节中5.3.3.1.4.3的描述。

步骤408，第一中继与该第一终端设备进行鉴权流程。示例性地，第一中继向第一终端设备发送Direct Auth and Key Establishment消息，发起鉴权和密钥生成流程，具体可以参考步骤404中的描述，在此不再重复赘述。

在一种可能的实施例中，可选地，在步骤408前，第一中继需要判断第一终端设备的控制面安全策略是不是可以被第一中继冲突，当不冲突时，第一中继执行下述步骤。否则，则释放连接。如果第一中继在步骤402中已经做出判断，则不需要再次执行这个判断过程。

步骤409，第一中继确定第一PC5链路的PC5控制面安全算法，以及激活第一PC5链路的控制面安全。

其中，第一PC5链路指的是第一终端设备和第一中继之间的PC5链路。

一种可能的实施例中，第一中继可以使用第一中继和第二终端设备之间的控制面安全保护方法，作为第一PC5链路的PC5控制面安全保护方法。具体地，第一中继可以根据第步骤407的决定结果，将决定结果用在第一PC5链路上。

另一种可能的实施例中，第一中继可以自己确定第一终端设备和第一中继之间的控制面安全保护方法，作为第一PC5链路的PC5控制面安全保护方法。该安全保护方法可能与第一中继和第二终端设备之间的控制面安全保护方法相同，也可能不同。即第一链路和第二链路是彼此独立的。

进一步地，可选地，第一中继在确定是否激活第一PC5链路的控制面安全保护方法前，第一中继校验该控制面安全保护方法是否与第一终端设备的PC5控制面安全策略冲突，如果冲突则释放连接，如果不冲突则将第一中继和第二终端设备之间的控制面安全保护方法确定为第一PC5链路的PC5控制面安全保护方法。

当确定了PC5控制面安全保护方法之后，进一步地，第一中继选择第一PC5链路的PC5控制面安全算法，以及激活第一PC5链路的控制面安全。方式一，第一中继可以确定第二终端设备所选择的控制面安全算法是否可以直接使用，如果可以直接使用的话，就将第二终端设备作为第一PC5链路的PC5控制面安全算法。如果不行，则再进行算法选择。进一步确定方法主要是看第二终端设备选择的算法是不是第一中继支持的优先级最高的，如果是，则确定可以使用。如果不是，则第一中继要选择UE-1支持的，同时第一中继优先级最高的安全算法(一个机密性保护算法和、或一个完整性保护算法)。方式二，第一中继按步骤406的描述确定第一PC5链路的安全算法。

步骤410，第一中继向第一终端设备发送第一PC5链路的控制面安全算法。

在步骤410之前，第一中继激活第一终端设备和第一中继之间的控制面安全保护。激活方法可以参考步骤406。

示例性地，第一中继发送Direct Security Mode Command消息给第一终端设备，该消息中携带第一PC5链路的控制面安全算法。

步骤411，第一终端设备根据接收到的控制面安全算法激活第一PC5链路的PC5控制面安全。

本申请实施例中，上述步骤401至步骤411是终端设备之间的PC5链路的控制面安全保护方法的确定过程，按照上述方法可以保证第一PC5链路和第二PC5链路的控制面安全的一致性，能够实现对于中继两侧的控制面安全保护的协同处理，可以使得中继两侧的链路要么均激活控制面完整性保护方法，要么均不激活控制面完整性保护方法，和/或，使得中继两侧的链路要么均激活控制面机密性保护方法，要么均不激活控制面机密性保护方法，从而使中继两侧的链路在安全保护处理方式上保持一致。以避免因第二PC5链路所使用的控制面安全保护的优先级较高，导致第一PC5链路的控制面安全保护失败的问题，或者避免因第一PC5链路所使用的控制面安全保护的优先级较高，导致第二PC5链路的控制面安全保护失败的问题。

下述步骤412至步骤419为终端设备之间的PC5链路的用户面安全保护方法的确定过程。

步骤412，第一终端设备向第一中继发送第一PC5链路的DSMP消息。

示例性地，第一终端设备回复直连安全通信模式信令(direct security mode command，DSMC)消息给第一中继，该DSMP消息用于响应Direct Security Mode Command消息，该消息中可以携带第一终端设备的PC5用户面安全策略。

步骤413，第一中继发送第二PC5链路的DSMP消息给第二终端设备。

可选地，该第二PC5链路的DSMP消息中还可以携带第一中继的PC5用户面安全策略，或者第一中继还向第二终端设备发送第一中继的PC5用户面安全策略。也就是说，第二PC5链路的DSMP消息中携带第一终端的PC5用户面安全策略和第一中继的PC5用户面安全策略。

该第二PC5链路DSMP消息也可以是第一中继发送新的DSMP消息，该新的DSMP消息中携带第一中继的PC5用户面安全策略。

需要说明的是，一种可能实现方法是：第一中继将第一PC5链路的DSMP消息中的第一终端设备的PC5用户面安全策略替换成第一中继的PC5用户面安全策略。

步骤414，第二终端设备根据来自第一中继的PC5用户面安全策略和第二终端设备的PC5用户面安全策略，确定第二PC5链路的PC5用户面安全保护方法，并确定第二PC5链路的PC5用户面安全算法。

具体地，第二终端设备可以按照如下方式中的至少一种方式确定是否激活第二PC5链路的PC5用户面安全保护方法：

方式A，第二终端设备根据第一中继的PC5用户面安全策略和第二终端设备的PC5用户面安全策略，确定是否激活第二PC5链路的PC5用户面安全保护方法。具体携带方法可以参考标准TS33.536章节中5.3.3.1.4.2的描述。

方式B，第二终端设备除了根据第一中继的PC5用户面安全策略和第二终端设备的PC5用户面安全策略，还要结合第一终端设备的PC5用户面安全策略确定是否激活第二PC5链路的PC5用户面安全保护方法。这样，第一中继和第二终端设备之间的PC5用户面安全保护方法，和第一中继与第一终端设备之间的PC5用户面安全保护方法是相同的。具体地，如果有任意两个用户面机密性保护策略和、或用户面完整性保护策略是冲突的(一个是NOT NEEDED，一个是REQUIRED)，则需要拒绝连接。比如假设第一终端设备的用户面机密性策略是NOT NEEDED，但是第二中终端设备的用户面机密性保护策略是REQUIRED，则第二终端设备释放连接。当任意两个用户面机密性保护策略和、或用户面完整性保护策略均没有冲突的时，如果有REQUIRED，则开启REQUIRED对应的安全。比如，第一终端设备的用户面机密性策略是REQUIRED，或者第二中终端设备的用户面机密性保护策略是REQUIRED，则第二终端设备开启用户面机密性保护。如果第一终端设备的用户面机密性保护策略、第二终端设备的用户面机密性保护策略、第一中继的用户面安全策略都是PREFERRED的情况下，第二终端设备可以决定用户面机密性保护开启，也可以决定用户面机密性保护不开启。当任意两个用户面机密性保护策略和、或用户面完整性保护策略均没有冲突的时，如果有NOT NEEDED，则不开启对应的安全。比如，第一终端设备的用户面机密性策略是NOT NEEDED，或者第二中终端设备的用户面机密性保护策略是NOT NEEDED，则第二终端设备不开启用户面机密性保护。进一步地，在激活了第二PC5链路控制面安全之后，可选地，用户面安全开启方法要参考激活了的第二PC5链路控制面安全保护方法。具体地，如果控制面机密性保护开启，则用户面机密性保护可以开启也可以不开启。如果控制面机密性保护不开启，则用户面机密性保护不开启。如果控制面完整性保护开启，则用户面完整性保护可以开启也可以不开启。如果控制面完整性保护不开启，则用户面完整性保护不开启。

在确定了第二PC5链路的PC5用户面安全保护方法后，第二终端设备可以确定PC5用户面的安全算法。一种可能的实现方式是：重用选择的PC5控制面安全算法为PC5用户面安全算法。另一种实现方式为：重新选择PC5用户面安全算法。该安全算法包括机密性保护算法和/或完整性保护算法。可选地，如果有安全算法策略，那么第二终端设备根据安全算法策略选择128bit算法还是256bit算法。

步骤415，第二终端设备向第一中继发送第一信息。

第一信息用于指示第二PC5链路的用户面安全保护方法。示例性地，第一信息为第二PC5链路的用户面安全激活指示。

具体地，第二终端设备发送直连通信接受(direct communication accept)消息至第一中继。该消息中携带该第二PC5链路的用户面安全激活指示。用户面安全激活指示的定义可以参考标准TS33.536章节中5.3.3.1.4.2的描述。

示例性地，若第二终端设备确定的第二PC5链路的用户面安全保护方法为第二PC5链路的用户面机密性保护不开启，第二PC5链路的用户面完整性保护开启，那么该用户面安全激活指示用于指示激活第二PC5链路的用户面完整性保护，不激活第二PC5链路用户面机密性保护。

步骤416，第一中继按照第一信息，激活第二PC5链路的用户面安全保护。

接续上例，第一中继收到用户面安全激活指示之后，根据用户名安全激活指示激活第一中继激活第二PC5链路的用户面完整性保护，不激活第一中继激活第二PC5链路的用户面机密性保护。

步骤417，第一中继向第一终端设备发送第二信息。

示例性地，第二信息用于指示第一PC5链路的用户面安全保护方法。

一种可能的情况下，该第二信息为第一信息，即第一中继向第一终端设备转发第一信息。

在另一种可能的情况下，第一中继根据第二PC5链路的用户面安全保护方法，确定第一PC5链路的PC5用户面安全保护方法，并生成第二信息，该第二信息和第一信息是相同的。

接续上例，第一中继确定第一PC5链路的PC5用户面安全保护方法也是开启用户面完整性保护，不开启用户面机密性保护。

步骤418，第一终端设备根据第二信息，激活第一PC5链路的用户面安全。

接续上例，若第一PC5链路的用户面安全激活指示第一PC5链路的用户面完整性保护开启，第一终端设备激活第一PC5链路的用户面完整性保护，第一PC5链路的用户面机密性保护不开启。

需要说明的是，上述步骤401至步骤411所示的控制面安全保护确定流程，与步骤412至步骤419所示的用户面安全保护确定流程可以是解耦的，即可以是分别单独执行的。

当上述两个流程单独执行时，可能存在第一中继在激活第一PC5链路的PC5控制面安全保护方法时没有依据第二终端设备所确定的第一PC5链路的PC5控制面安全保护方法，这时第一中继需要在确定第一PC5链路的用户面安全保护方法之前，先确定是否可以支持第二终端设备所确定的第二PC5链路的用户面安全保护方法，如果不能支持，则不满足用户面安全保护方法一致的要求，那么第一中继需要释放该连接，则直连通信链路建立失败。

图5为本申请实施例提供的一种安全通信方法流程示意图，该方法仍由第一通信装置执行，该方法可以包括如下步骤。

步骤501、第一终端设备广播第一直连通信请求(direct communication request，DCR)消息。

具体内容可以参见上述步骤401。

步骤502，至少一个中继接收到第一DCR消息后，向第二终端设备发送第二DCR消息。

具体内容可以参见上述步骤402。

步骤503，第二终端设备从至少一个中继确定用于建立第二PC5链路的第一中继。

具体内容可以参见上述步骤403。

在本申请实施例中，第一DCR消息包括第一终端设备的安全终结点策略为“end-to-end”安全，则本实施例的下文中，按照第二终端设备确定安全终结点位于第一终端设备展开论述。

步骤504a，在第二终端设备确定第一中继后，与该第一中继发起鉴权流程。

该步骤中，第二终端发送的消息中包括指示信息，该指示信息用于指示鉴权和密钥分发是在第二终端设备和第一终端设备之间执行，具体内容可以参见上述步骤404。

步骤504b，第一中继向第一终端设备发起鉴权流程。

本实施例中，第一终端设备和第一中继确定第二终端设备使用的安全终结点策略是End-to-End安全之后，之后的步骤中，第一中继接收来自第二终端设备的消息后，不再进行解析，而是直接发送至第一终端设备，这样做的好处是可以减小通信延时。

其中，第一中继识别End-to-End的方法可以参考步骤404的相关描述。

步骤505，第二终端设备确定第一终端设备和第二终端设备之间的PC5链路的PC5控制面安全保护方法，和选择所述第一终端设备和所述第二终端设备之间的PC5链路的PC5控制面安全算法。

具体地，第二终端设备根据第一终端设备的控制面安全策略和第二终端设备的控制面安全策略，确定第一终端设备和第一终端设备之间的PC5链路的PC5控制面安全保护方法。示例性，第一终端设备的PC5控制面完整性保护为REQUIRED，第一终端设备的PC5控制面机密性保护为REQUIRED，第二终端设备的PC5控制面完整性保护为REQUIRED，第二终端设备的PC5控制面机密性保护为NOT NEEDED，则第二终端设备确定开启第一终端设备和第二终端设备之间的PC5链路的PC5控制面安全完整性保护，不开启第一终端设备和第二终端设备之间的PC5链路的PC5控制面安全机密性保护。

在一种可能的实施例中，第二终端设备还可以根据第一终端设备的用户面安全策略和第二终端设备的用户面安全策略，以及第一终端设备的控制面安全算法和第二终端设备的控制面安全算法，确定第一终端设备和第一终端设备之间的PC5链路的PC5控制面安全算法。

步骤506，第二终端设备向第一终端设备发送选择的PC5控制面安全算法。

所述PC5控制面安全算法用于第一终端设备和第二终端设备保护第一终端设备和第二终端设备之间的PC5链路。

示例性地，第二终端设备发送直连安全通信模式信令(direct security mode command，DSMC)消息至第一终端设备，该消息中携带第二终端设备确定第二PC5链路的控制面安全算法。

步骤507，第一终端设备根据接收到的所述PC5链路的控制面安全算法，激活第一终端设备和所述第二终端设备之间的PC5链路的PC5控制面安全。

本申请实施例中，上述步骤501至步骤508是终端设备之间的PC5链路的控制面安全保护方法的确定过程，按照上述方法可以确定第一终端设备和第二终端设备之间PC5链路的控制面安全保护方法，能够实现各个设备在控制面安全保护的处理方式上保持一致。

下述步骤508至步骤511为终端设备之间的PC5链路的用户面安全保护方法的确定过程。

步骤508，第一终端设备向第二终端设备发送第一DSMP消息。

示例性地，第一终端设备发送第一直连安全通信模式信令(direct security mode complete，DSMP)消息给第二终端设备，该第一DSMP消息用于响应Direct Security Mode Command消息，该消息中可以携带第一终端设备的PC5用户面安全策略。

具体内容可以参见上述步骤412。

步骤509，第二终端设备根据来自第一终端设备的PC5用户面安全策略和第二终端设备的PC5用户面安全策略，确定第一终端设备和第二终端设备之间的PC5链路的PC5用户面安全保护方法。

具体地，第二终端设备根据第一终端设备的用户面安全策略和第二终端设备的用户面安全策略，确定第一终端设备和第一终端设备之间的PC5链路的PC5用户面安全保护方法。示例性，第一终端设备的PC5用户面完整性保护为REQUIRED，第一终端设备的PC5用户面机密性保护为REQUIRED，第二终端设备的PC5用户面完整性保护为REQUIRED-，第二终端设备的PC5用户面机密性保护为NOT NEEDED，则第二终端设备确定开启第一终端设备和第二终端设备之间的PC5链路的PC5用户面安全完整性保护，不开启第一终端设备和第二终端设备之间的PC5链路的PC5用户面安全机密性保护。

在确定了第二PC5链路的PC5用户面安全保护方法后，第二终端设备可以选择PC5用户面的安全算法。该安全算法包括机密性保护算法和/或完整性保护算法。可选地，如果有安全算法策略，那么第二终端设备根据安全算法策略选择128bit算法还是256bit算法。

步骤510，第二终端设备向第一终端设备发送第三信息。

示例性地，该第三信息包括该第一终端设备和第二终端设备之间的PC5链路的用户面安全激活指示信息。所述用户面安全激活指示信息用于指示第一终端设备和第二终端设备之间的PC5链路的用户面安全保护方法。

示例性地，第二终端设备发送直连通信接受(direct communication accept)消息至第一终端设备。该消息中携带该用户面安全激活指示。

步骤511，第一终端设备确定第一终端设备和第二终端设备之间的PC5链路的用户面安全保护方法，并激活第一终端设备和第二终端之间的PC5链路的用户面安全。

本申请实施例中，上述步骤509至步骤512是终端设备之间的PC5链路的用户面安全保护方法的确定过程，按照上述方法可以确定第一终端设备和第二终端设备之间PC5链路的用户面安全保护方法，能够实现各个设备在用户面安全保护的处理方式上保持一致。

图6为本申请实施例提供的一种安全通信方法流程示意图，该方法可以包括如下步骤。

步骤601、第一终端设备广播直连通信请求(direct communication request，DCR)。

具体内容可以参见上述步骤401。

需要说明的是，本实施例采用hop-by-hop安全，因此安全终结点的位置位于中继，本实施例下文中是按照安全终结点的位置位于中继的情况下进行论述的。

步骤602a，每个接收到DCR消息的中继，均根据第一终端设备的PC5控制面安全策略和中继自身的PC5控制面安全策略，确定出第一PC5链路PC5控制面安全保护方法。

具体地，如果第一终端设备和中继的PC5控制面完整性保护有REQUIRED的，则确定开启PC5控制面完整性保护。如果第一终端设备和中继的PC5控制面完整性保护有NOT NEEDED的，则确定不开启PC5控制完整性保护。如果第一终端设备和中继的PC5控制面机密性保护有REQUIRED的，则确定开启PC5控制面机密性保护。如果第一终端设备和中继的PC5控制面机密性保护有NOT NEEDED的，则确定不开启PC5控制面机密性保护。如果第一终端设备和中继的PC5控制面完整性保护都是PREFERRED的，则可以确定开启PC5控制面完整性保护，也可以确定不开启控制面完整性保护。如果第一终端设备和中继的PC5控制面机密性保护都是PREFERRED的，则可以确定开启PC5控制面机密性保护，也可以确定不开启控制面机密性保护。

具体地方法可以参考标准TS33.5365.3.3.1.4.3的描述。

具体地，各个中继都可以按照上述步骤406确定第一PC5链路PC5控制面安全保护方法。

步骤602b，每个接收到第一DCR消息的中继，均向第二终端设备发送第二DCR消息，其中，所述第二DCR消息包括自身确定的第一PC5链路PC5控制面安全保护方法。

一种可能的实施例中，每个中继自身确定的第一PC5链路的PC5控制面安全保护方法可以被赋予安全策略的格式，然后每个中继可以使用自身确定的第一PC5链路的PC5控制面安全保护方法替代DCR消息中第一终端设备的PC5控制面安全策略。具体地，如果确定控制面完整性保护开启，则传递控制面完整性保护为REQUIRED的PC5控制面安全策略，如果控制面完整性保护不开启，则传递控制面完整性保护为NOT NEEDED的PC5控制面安全策略。如果确定控制面机密性保护开启，则传递控制面机密性保护为REQUIRED的PC5控制面安全策略，如果控制面机密性保护不开启，则传递控制面机密性保护为NOT NEEDED的PC5控制面安全策略。示例性地，第一终端设备在第一DCR消息中携带的是PC5控制面机密性保护为“PREFERRED”状态，PC5控制面完整性保护为“PREFERRED”状态。第一中继根据第一中继的PC5控制面安全策略和第一终端设备的PC5控制面安全策略，确定第二PC5链路的控制面完整性保护为“REQUIRED”状态，控制面机密性保护为“REQUIRED”状态。那么第一中继可以将第二DCR消息中的第一终端设备的PC5控制面安全策略替换为控制面机密性保护为“REQUIRED”状态，控制面完整性保护为 “REQUIRED”状态。

在另一种可能的实施例中，每个中继发送的DCR消息中还包括指示消息，该指示信息用于指示安全终结点的位置位于中继。

一种可能的实施例中，每个中继自身确定的第一PC5链路的PC5控制面安全保护方法可以被赋予指示信息格式或字符串格式。比如，“00”表示控制面机密性保护不开启，控制面完整性保护不开启，“01”表示控制面机密性保护不开启，控制面完整性保护开启；或者“enabled，enabled”指示信息。比如传递“enabled，disabled”则代表开启控制面完整性保护，不开启控制面机密性保护第二终端设备则可以根据收到的DCR消息，确定中继所选择的或者第二终端设备自身可以使用的PC5控制面安全策略。

在一种可选的方式中，第二DCR消息在携带自身确定的第一PC5链路的PC5控制面安全保护方法的同时，也可以按照步骤402一样携带至少一种PC5安全算法策略。

步骤603，第二终端设备从至少一个中继选择为第一终端服务的中继。

需要说明的是，本实施例中，该步骤403是可选的步骤。一种可能的情况下，在只有一个中继向第二终端设备转发DCR消息时，上述步骤403可以不用执行。这时，第二终端设备只需要在判断该中继是否支持该业务，若是，则确定该中继为第一终端服务的中继。比如，第二终端设备根据是否对消息中携带的应用信息感兴趣进行判断。

另一种可能的情况下，在有两个以上的中继向第二终端设备发送第二DCR消息时，第二终端设备根据收到的第一PC5链路的PC5控制面安全保护方法，确定第二终端设备支持哪个中继所述确定的第一PC5链路的控制面安全保护方法，第二终端设备从中选择一个中继作为目标中继，例如选择第一中继作为目标中继。

其中，步骤604至步骤611同上述步骤404至步骤411，在此不再重复赘述。

需要说明的是，在步骤605中，第二终端设备根据步骤602b中携带的中继自身确定的第一PC5链路的PC5控制面安全保护方法，和第二终端设备的PC5控制面安全保护策略，确定第二PC5链路的PC5控制面安全保护方法。具体地，如果以安全策略的形式传递，则第二终端设备根据第二DCR消息中携带的安全策略确定第二PC5链路的PC5控制面安全保护方法。如果以指示信息的方式传递，则第二终端设备根据指示信息确定第二PC5链路的PC5控制面安全策略。

在第二终端设备确定第二PC5链路的安全策略后，在发送步骤606前，激活第二PC5链路的PC5控制面安全。

本申请实施例中，上述步骤601至步骤611是终端设备之间的PC5链路的控制面安全保护方法的确定过程，按照上述方法可以保证第一PC5链路和第二PC5链路的控制面安全的一致性，能够实现对于中继两侧的控制面安全保护的协同处理，可以使得中继两侧的链路要么均激活控制面完整性保护方法，要么均不激活控制面完整性保护方法，和/或，使得中继两侧的链路要么均激活控制面机密性保护方法，要么均不激活控制面机密性保护方法，从而使中继两侧的链路在安全保护处理方式上保持一致。以避免因第二PC5链路所使用的控制面安全保护的优先级较高，导致第一PC5链路的控制面安全保护失败的问题，或者避免因第一PC5链路所使用的控制面安全保护的优先级较高，导致第二PC5链路的控制面安全保护失败的问题。

下述步骤612至步骤618为终端设备之间的PC5链路的用户面安全的确定过程。

步骤612，第一终端设备向第一中继发送第一PC5链路的DSMP消息。

示例性地，第一终端设备回复直连安全通信模式信令(direct security mode complete，DSMP)消息给第一中继，该DSMP消息用于响应Direct Security Mode Command消息，该消息中可以携带第一终端设备的PC5用户面安全策略。

步骤613，第一中继根据第一终端设备的PC5用户面安全策略和第一中继自身的PC5用户面安全策略，确定出第一PC5链路PC5用户面安全保护方法。

步骤614，第一中继发送第二PC5链路的DSMP消息，该消息包括第一中继确定的第一PC5链路的PC5用户面安全保护方法。具体地，用户面安全保护方法的传递方法可以参考步骤602b的相关描述。

步骤615，第二终端设备确定第二PC5链路的PC5用户面安全保护方法。

第二终端设备根据中继自身确定的第一PC5链路的PC5用户面安全保护方法和第二终端设备的PC5用户面安全策略，确定第二PC5链路的PC5用户面安全保护方法。具体地，如果以安全策略的形式传递，则第二终端设备根据第二DCR消息中携带的安全策略确定第二PC5链路的PC5用户面安全保护方法。如果以指示信息的方式传递，则第二终端设备根据指示信息确定第二PC5链路的PC5用户面安全保护方法。

步骤617至步骤619同上述步骤417至步骤419，在此不再重复赘述。

可见，本申请实施例中，是由中继确定第一终端设备和第二终端设备之间的PC5链路的控制面安全性和用户面安全。按照上述方法可以保证第一终端设备和第二终端设备之间PC5链路的控制面/用户面安全的一致性，能够实现对于中继两侧的控制面/用户面安全保护的协同处理，可以使得中继两侧的链路要么均激活控制面/用户面完整性保护方法，要么均不激活控制面/用户面完整性保护方法，和/或，使得中继两侧的链路要么均激活控制面/用户面机密性保护方法，要么均不激活控制面/用户面机密性保护方法，从而使中继两侧的链路在安全保护处理方式上保持一致。

针对于上述实施例可以分别在不同场景中单独实施，或者也可以在同一场景中结合实施，又或者，不同实施例中所涉及的不同方案也可以结合实施，具体不做限定。

本申请实施例中所描述的各个流程图的步骤编号仅为执行流程的一种示例，并不构成对步骤执行的先后顺序的限制，本申请实施例中相互之间没有时序依赖关系的步骤之间没有严格的执行顺序。

上述本申请提供的实施例中，从终端作为执行主体的角度对本申请实施例提供的安全通信方法进行了介绍。为了实现上述本申请实施例提供的安全通信方法中的各功能，终端可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。

与上述实施例的构思相同，本申请实施例还提供一种通信装置700，该通信装置700用于实现上述方法中第一终端设备、第二终端设备和中继的功能。示例地，该第一通信装置700可以是第一终端设备，也可以是第一终端设备中的装置。该装置可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。一示例中，如图7所示，通信装置700包括处理单元701和收发单元702。

针对上述图4所示的发明构思，该通信装置700用于实现上述方法中第二终端设备的功能：

收发单元702用于接收来自中继的关于第一终端设备的第一请求消息；所述第一请求消息包括所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略。

处理单元701，用于根据所述第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略、所述中继的PC5用户面安全策略，确定第一信息；

所述收发单元702，还用于向所述中继发送所述第一信息，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；其中，所述第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同；

在一种实施例中，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法，包括：

在一种实施例中，所述收发单元702，还用于接收来自中继的关于所述第一终端设备的第二请求消息，所述第二请求消息包括所述第一终端设备的PC5控制面安全策略所述中继的PC5控制面安全策略；

所述处理单元701，还用于根据所述第二终端设备的PC5控制面安全策略、所述第一终端设备的PC5控制面安全策略和所述中继的PC5控制面安全策略，确定第二PC5链路的控制面安全算法；

所述收发单元702，还用于向所述中继发送所述第二PC5链路的控制面安全算法，所述控制面安全算法用于指示所述第二PC5链路的控制面安全和所述第一PC5链路的控制面安全，其中，所述第一PC5链路的控制面安全保护方法和第二PC5链路上激活的控制面安全保护方法相同。

在一些实施例中，所述第二请求消息中还包括安全终结点策略的指示，所述安全终结点策略的指示用于指示安全终结点位于所述中继上。

在一些实施例中，述控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法，包括

在一些实施例中，所述处理单元701根据所述第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略，确定第一信息，具体用于：

在一些实施例中，所述第二PC5链路的用户面安全保护方法不高于所述第二PC5链路的控制面安全保护方法，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法，包括：

关于处理单元701、收发单元702的具体执行过程和有益效果，可参见上述图4所示的方法实施例中的记载。

针对上述图6所示的发明构思，该通信装置700用于实现上述方法中第二终端设备的功能：

收发单元702用于请求包括安全终结点策略的指示，所述安全终结点策略的指示用于指示安全终结点位于中继上；

收发单元702，用于接收来自所述至少一个中继所确定的第一PC5链路的PC5控制面安全保护方法和第二PC5链路的PC5控制面安全保护方法；

处理单元701，用于根据所述第二终端设备的PC5控制面安全策略，以及所述至少一个中继所确定的第一PC5链路的PC5控制面安全保护方法和第二PC5链路的PC5控制面安全保护方法，确定目标中继；

所述收发单元702，还用于接收来自所述目标中继所确定的第一PC5链路的PC5用户面安全保护方法和第二PC5链路的PC5用户面安全保护方法；

所述处理单元701，还用于根据来自所述目标中继的第一PC5链路的PC5用户面安全保护反复，和所述第二终端设备的PC用户面安全保护方法，确定第一信息；

所述收发单元702，还用于所述第二终端设备向所述中继发送所述第一信息，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；其中，所述第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同；

在一些实施例中，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法，包括：

在一些实施例中，所述处理单元，还用于根据来自所述目标中继所确定的第一PC5链路的PC5用户面安全保护方法和第二PC5链路的PC5用户面安全保护方法，确定所述第二PC5链路的控制面安全算法，；

所述收发单元702，还用于向所述中继发送第二PC5链路的控制面安全算法，所述第二PC5链路的控制面安全算法用于指示所述第二PC5链路的控制面安全和所述第一PC5链路的控制面安全。

在一些实施例中，所述第二PC5链路的控制面安全算法用于指示所述第二PC5链路的控制面安全和所述第一PC5链路的控制面安全，包括：

在一些实施例中，所述处理单元701根据来自所述目标中继的第一PC5链路的PC5用户面安全保护方法，和所述第二终端设备的PC用户面安全策略，确定第一信息，具体用于：

根据来自所述目标中继的第一PC5链路的PC5用户面安全保护方法，以及所述第二PC5链路的控制面安全算法，确定所述第一信息；

在一些实施例中，所述第二PC5链路的用户面安全保护方法不高于所述第二PC5链路的控制面安全，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法，包括：

关于处理单元701、收发单元702的具体执行过程和有益效果，可参见上述图6所示的方法实施例中的记载。

针对上述图4至图6所示的发明构思，该通信装置700用于实现上述方法中第二终端设备的功能：

收发单元702，用于通过至少一个中继接收来自第一终端设备的直连通信请求；

处理单元701，用于根据安全策略辅助信息，从所述至少一个中继中确定目标中继；

收发单元701，用于通过所述目标中继与所述第一终端设备通信。

在一些实施例中，所述安全策略辅助信息包括所述至少一个中继的PC控制面安全策略；

所述处理单元701，根据安全策略辅助信息，从所述至少一个中继中确定目标中继，具体用于：

从所述至少一个中继中选择一个包括可选的PC5控制面安全策略的目标中继。

在一些实施例中，所述安全策略辅助信息包括所述至少一个中继的PC控制面安全策略，以及所述第二终端设备的PC5控制面安全策略；

所述处理单元701，具体用于根据从所述至少一个中继中，选择一个中继的PC控制面安全策略与所述第二终端设备的PC5控制面安全策略不冲突的目标中继。

所述处理单元701，具体用于所述第二终端设备根据安全策略辅助信息，从所述至少一个中继中，选择一个中继的PC用户面安全保护方法的安全等级不高于所述第二终端设备的PC控制面安全保护方法的安全等级的目标中继。

在一些实施例中所述安全策略辅助信息是策略控制功能网元预先配置的。

针对上述图4所示的发明构思，该通信装置700用于实现上述方法中中继的功能：

收发单元702，用于向第二终端设备发送关于第一终端设备的第一请求消息；所述第一请求消息包括所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略；

收发单元702，用于接收来自第二终端设备的第一信息，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；其中，所述第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同；

处理单元701，用于根据所述第一信息，激活所述第二PC5链路的用户面安全保护方法，以及激活第一PC5链路的用户面安全保护方法；

在一些实施例中，所述收发单元702，还用于向所述第二终端设备发送所述第一终端设备的控制面安全策略和所述中继的控制面安全策略，第一终端设备的控制面安全策略和所述中继的控制面安全策略用于确定所述第二PC5链路的控制面安全算法；

所述收发单元702，还用于接收来自第二终端设备的所述第二PC5链路的控制面安全算法，所述控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法；

所述处理单元701，还用于根据所述第二PC5链路的控制面安全算法，激活所述第二PC5链路的控制面安全保护方法，以及所述第一PC5链路的控制面安全保护方法，其中，所述第一PC5链路的控制面安全保护方法和第二PC5链路上激活的控制面安全保护方法相同。

在一些实施例中，所述中继的PC5控制面安全保护方法的安全等级不高于所述第二链路的PC5用户面安全保护方法的安全等级。

在一些实施例中，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法的安全等级；第二PC5链路的用户面安全保护方法的安全等级不高于所述第二PC5链路的控制面安全保护方法的安全等级。

针对上述图6所示的发明构思，该通信装置700用于实现上述方法中中继的功能：

收发单元702，用于向第二终端设备发送自第一终端设备的直连通信请求；所述直连通信请求包括安全终结点策略的指示，所述安全终结点策略的指示用于指示安全终结点位于中继上；

处理单元701，用于根据所述中继的PC5用户面安全策略和所述第一终端设备的PC用户面安全策略，确定第一PC5链路的PC5用户面安全保护方法；

收发单元702，还用于向所述第二终端设备，发送所述第一PC5链路的PC5用户面安全保护方法；

收发单元702，还用于接收来自所述第二终端设备的第一信息，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；

所述处理单元701，还用于根据所述第一信息，激活所述第二PC5链路的用户面安全保护方法，以及激活第一PC5链路的用户面安全保护方法；所述第二PC5链路的用户面安全保护方法和所述第一PC5链路的用户面安全保护方法相同；

在一些实施例中，所述收发单元702，还用于接收来自所述第一终端设备的第二请求消息，所述第二请求消息包括所述第一终端设备的PC5控制面安全策略所述中继的PC5控制面安全策略；

所述处理单元701，还用于根据所述中继的PC5控制面安全策略和所述第一终端设备的PC5控制面安全策略，确定所述第一PC5链路的PC5控制面安全保护方法和所述第二PC5链路的PC5控制面安全保护方法；

所述收发单元702，还用于向所述第二终端设备发送所述第一PC5链路的PC5控制面安全保护方法和所述第二PC5链路的PC5控制面安全保护方法；

所述收发单元702，还用于接收来自所述第二终端设备的所述第二PC5链路的控制面安全算法，所述控制面安全算法用于指示所述第二PC5链路的控制面安全和所述第一PC5链路的控制面安全，所述控制面安全算法是根据所述第一PC5链路的PC5控制面安全保护方法和所述第二PC5链路的PC5控制面安全保护方法确定的；

所述处理单元701，还用于根据所述第二PC5链路的控制面安全算法，激活所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法。

在一些实施例中，所述控制面安全算法用于指示所述第二PC5链路的控制面安全和所述第一PC5链路的控制面安全保护方法，包括：

在一些实施例中，所述第二PC5链路的用户面安全保护方法的安全等级不高于所述第二PC5链路的控制面安全保护方法的安全等级，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法的安全等级。

本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

又一示例中，如图8所示，该通信装置700包括至少一个处理器810和存储器820。其中，存储器820中存储有计算机程序。存储器820和处理器810耦合。本申请实施例中的耦合是装置、单元或模块之间的间隔耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。作为另一种实现，存储器820还可以位于通信装置700之外。处理器810可以和存储器820协同操作。处理器810可以调用存储器820中存储的计算机程序。所述至少一个存储器中的至少一个可以包括于处理器中。

在一些实施例中，通信装置700还可以包括通信接口830，用于通过传输介质和其它设备进行通信，从而用于通信装置700中的装置可以和其它设备进行通信。示例性地，通信接口830可以是收发器、电路、总线、模块或其它类型的通信接口，该其它设备可以是其它终端。处理器810利用通信接口830收发信息，并用于实现上述实施例中的方法。示例性的，通信接口830用于接收资源指示信息。又示例性的，通信接口830用于发送数据。

在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储计算机程序和/或数据。

本申请实施例提供的方法中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机计算机程序时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，简称DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何介质或者是包含一个或多个介质集成的服务器、数据中心等数据存储设备。所述介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，简称DVD))、或者半导体介质(例如，SSD)等。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种安全通信方法，其特征在于，包括：

接收来自中继的关于第一终端设备的第一请求消息；所述第一请求消息包括所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略；

根据第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略、所述中继的PC5用户面安全策略，确定第一信息；

向所述中继发送所述第一信息，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；其中，所述第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同；

其中，所述第一PC5链路为所述中继与所述第一终端设备之间的PC5链路；所述第二PC5链路为所述中继与所述第二终端设备之间的PC5链路。
根据权利要求1所述的方法，其特征在于，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法，包括：

所述第一信息用于指示：所述第一PC5链路的用户面完整性保护和所述第二PC5链路的用户面完整性保护均开启或均不开启，和/或，所述第一PC5链路的用户面机密性保护和所述第二PC5链路的用户面机密性保护均开启或均不开启。
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

接收来自中继的关于所述第一终端设备的第二请求消息，所述第二请求消息包括所述第一终端设备的PC5控制面安全策略所述中继的PC5控制面安全策略；

根据所述第二终端设备的PC5控制面安全策略、所述第一终端设备的PC5控制面安全策略和所述中继的PC5控制面安全策略，确定第二PC5链路的控制面安全算法；

所述第二终端设备向所述中继发送所述第二PC5链路的控制面安全算法，所述控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法，其中，所述第一PC5链路的控制面安全保护方法和第二PC5链路上激活的控制面安全保护方法相同。
根据权利要求3所述的方法，其特征在于，所述第二请求消息中还包括安全终结点策略的指示，所述安全终结点策略的指示用于指示安全终结点位于所述中继上。
根据权利要求3所述的方法，其特征在于，所述控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法，包括

所述控制面安全算法用于指示：所述第一PC5链路的控制面完整性保护和所述第二PC5链路的控制面完整性保护均开启或均不开启，和/或，所述第一PC5链路的控制面机密性保护和所述第二PC5链路的控制面机密性保护均开启或均不开启。
根据权利要求3至5任一项所述的方法，其特征在于，包括：

根据所述第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略，确定第一信息，包括：

根据所述第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略，以及所述第二PC5链路的控制面安全算法，确定所述第一信息；

其中，所述第二PC5链路的用户面安全保护方法的安全等级不高于所述第二PC5链路的控制面安全保护方法的安全等级，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法的安全等级。
根据权利要求6所述的方法，其特征在于，所述第二PC5链路的用户面安全保护方法不高于所述第二PC5链路的控制面安全保护方法，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法，包括：

当第三PC5链路的控制面机密性保护开启，则所述第三PC5链路的用户面机密性保护开启或不开启；

当所述第三PC5链路的控制面机密性保护不开启，则所述第三PC5链路的用户面机密性保护不开启；

当所述第三PC5链路的控制面完整性保护开启，则所述第三PC5链路的用户面完整性保护开启或不开启；

当所述第三PC5链路的控制面完整性保护不开启，则所述第三PC5链路的用户面完整性保护不开启；

其中，所述第三PC5链路为所述第二PC5链路或者所述第一PC5链路。
一种通信装置，其特征在于，包括：

收发单元，用于接收来自中继的关于第一终端设备的第一请求消息；所述第一请求消息包括所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略；

处理单元，用于根据第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略、所述中继的PC5用户面安全策略，确定第一信息；

所述收发单元，还用于向所述中继发送所述第一信息，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法；其中，所述第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法相同；

其中，所述第一PC5链路为所述中继与所述第一终端设备之间的PC5链路；所述第二PC5链路为所述中继与所述第二终端设备之间的PC5链路。
根据权利要求8所述的装置，其特征在于，所述第一信息用于指示第一PC5链路的用户面安全保护方法和第二PC5链路的用户面安全保护方法，包括：

所述第一信息用于指示：所述第一PC5链路的用户面完整性保护和所述第二PC5链路的用户面完整性保护均开启或均不开启，和/或，所述第一PC5链路的用户面机密性保护和所述第二PC5链路的用户面机密性保护均开启或均不开启。
根据权利要求8或9所述的装置，其特征在于，

所述收发单元，还用于接收来自中继的关于所述第一终端设备的第二请求消息，所述第二请求消息包括所述第一终端设备的PC5控制面安全策略所述中继的PC5控制面安全策略；

所述处理单元，还用于根据所述第二终端设备的PC5控制面安全策略、所述第一终端设备的PC5控制面安全策略和所述中继的PC5控制面安全策略，确定第二PC5链路的控制面安全算法；

所述收发单元，还用于向所述中继发送所述第二PC5链路的控制面安全算法，所述控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法，其中，所述第一PC5链路的控制面安全保护方法和第二PC5链路上激活的控制面安全保护方法相同。
根据权利要求10所述的装置，其特征在于，所述第二请求消息中还包括安全终结点策略的指示，所述安全终结点策略的指示用于指示安全终结点位于所述中继上。
根据权利要求10所述的装置，其特征在于，所述控制面安全算法用于指示所述第二PC5链路的控制面安全保护方法和所述第一PC5链路的控制面安全保护方法，包括所述控制面安全算法用于指示：所述第一PC5链路的控制面完整性保护和所述第二PC5链路的控制面完整性保护均开启或均不开启，和/或，所述第一PC5链路的控制面机密性保护和所述第二PC5链路的控制面机密性保护均开启或均不开启。
根据权利要求10至12任一项所述的装置，其特征在于，

所述处理单元根据所述第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略，确定第一信息，具体用于：

根据所述第二终端设备的PC5用户面安全策略、所述第一终端设备的PC5用户面安全策略和所述中继的PC5用户面安全策略，以及所述第二PC5链路的控制面安全算法，确定所述第一信息；

其中，所述第二PC5链路的用户面安全保护方法的安全等级不高于所述第二PC5链路的控制面安全保护方法的安全等级，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法的安全等级。
根据权利要求13所述的装置，其特征在于，所述第二PC5链路的用户面安全保护方法不高于所述第二PC5链路的控制面安全保护方法，所述第一PC5链路的用户面安全保护方法的安全等级不高于所述第一PC5链路的控制面安全保护方法，包括：

当第三PC5链路的控制面机密性保护开启，则所述第三PC5链路的用户面机密性保护开启或不开启；

当所述第三PC5链路的控制面机密性保护不开启，则所述第三PC5链路的用户面机密性保护不开启；

当所述第三PC5链路的控制面完整性保护开启，则所述第三PC5链路的用户面完整性保护开启或不开启；

当所述第三PC5链路的控制面完整性保护不开启，则所述第三PC5链路的用户面完整性保护不开启；

其中，所述第三PC5链路为所述第二PC5链路或者所述第一PC5链路。
一种通信装置，其特征在于，所述通信装置用于执行如权利要求1至7中任一项所述的方法。
一种通信装置，其特征在于，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得所述通信装置执行如权利要求1至7中任一项所述的方法。
一种芯片系统，其特征在于，包括：处理单元和与所述处理单元耦合的通信单元，所述处理单元用于运行计算机程序或指令，以使得处理单元执行如权利要求1至7中任意一项所述的方法。
一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序或指令，当所述计算机程序或指令被通信装置执行时，实现如权利要求1至7中任一项所述的方法。