WO2023070685A1

WO2023070685A1 - 中继通信的方法、装置、通信设备及存储介质

Info

Publication number: WO2023070685A1
Application number: PCT/CN2021/128008
Authority: WO
Inventors: 洪伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2021-11-01
Filing date: 2021-11-01
Publication date: 2023-05-04
Also published as: CN116391448A

Abstract

本公开实施例提供了一种中继通信方法，其中，方法由第一网络节点执行，方法包括：向第一终端发送安全策略信息；其中，安全策略信息，至少用于：第二终端通过第一终端与网络进行中继通信时，第一终端和第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。

Description

中继通信的方法、装置、通信设备及存储介质

技术领域

本公开涉及无线通信技术领域但不限于无线通信技术领域，尤其涉及一种中继通信的方法、装置、通信设备及存储介质。

背景技术

中继通信是在远端终端由于网络信号覆盖等原因不能够与网络进行通信时，可以利用中继终端的中继功能与网络继续通信。在一种场景下，远端终端可以将需要传输至网络的数据先传输给中继终端后，由中继终端将该据传输给网络；或者，网络可以将需要传输至远端终端的数据先传输给中继终端后，由中继终端将该数据传输给远端终端，从而实现远端终端和网络之间的通信。

相关技术中，在进行中继通信的过程中，需要对远端终端与网络之间传输的数据进行安全性保护以减少安全隐患。

发明内容

本公开实施例公开了一种中继通信的方法、装置、通信设备及存储介质。

根据本公开实施例的第一方面，提供一种中继通信方法，其中，所述方法由第一网络节点执行，所述方法包括：

向第一终端发送安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。

根据本公开实施例的第二方面，提供一种中继通信方法，其中，所述方法由第一终端执行，所述方法包括：

接收第一网络节点发送的安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。

根据本公开实施例的第三方面，提供一种中继通信方法，其中，所述方法由第二终端执行，所述方法包括：

接收第一终端发送的安全策略信息；

根据本公开实施例的第四方面，提供一种中继通信方法，其中，所述方法由第二网络节点执行，所述方法包括：

从所述第一网络节点获取安全策略信息；

根据本公开实施例的第五方面，提供一种中继通信方法，其中，所述方法由基站执行，所述方法包括：

接收第二网络节点发送的安全策略信息；

根据本公开实施例的第六方面，提供一种中继通信装置，其中，装置包括：

发送模块，用于向第一终端发送安全策略信息；

根据本公开实施例的第七方面，提供一种中继通信装置，其中，所述装置包括：

接收模块，用于接收第一网络节点发送的安全策略信息；

根据本公开实施例的第八方面，提供一种中继通信装置，其中，所述装置包括：

接收模块，用于接收第一终端发送的安全策略信息；

根据本公开实施例的第九方面，提供一种中继通信装置，其中，所述装置包括：

获取模块，用于从所述第一网络节点获取安全策略信息；

根据本公开实施例的第十方面，提供一种中继通信装置，其中，所述装置包括：

接收模块，用于接收第二网络节点发送的用安全策略信息；

根据本公开实施例的第十一方面，提供一种通信设备，所述通信设备，包括：

处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为：用于运行所述可执行指令时，实现本公开任意实施例所述的方法。

根据本公开实施例的第十二方面，提供一种计算机存储介质，所述计算机存储介质存储有计算机可执行程序，所述可执行程序被处理器执行时实现本公开任意实施例所述的方法。

在本公开实施例中，向第一终端发送安全策略信息；其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。如此，在第二终端通过所述第一终端与网络进行中继通信时，就可以基于所述安全策略信息对第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面进行安全性保护，相较于在进行中继服务数据传输时不能执行安全保护的方式，可以使得第二终端与网络之间的中继数据的传输更加安全。

附图说明

图1是根据一示例性实施例示出的一种无线通信系统的结构示意图。

图2是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图3是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图4是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图5是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图6是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图7是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图8是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图9是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图10是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图11是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图12是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图13是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图14是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图15是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图16是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图17是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图18是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图19是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图20是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图21是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图22是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图23是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图24是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图25是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图26是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图27是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图28是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图29是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图30是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图31是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图32是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图33是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图34是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图35是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图36是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图37是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图38是根据一示例性实施例示出的一种中继通信方法的流程示意图。

图39是根据一示例性实施例示出的一种中继通信装置的示意图。

图40是根据一示例性实施例示出的一种中继通信装置的示意图。

图41是根据一示例性实施例示出的一种中继通信装置的示意图。

图42是根据一示例性实施例示出的一种中继通信装置的示意图。

图43是根据一示例性实施例示出的一种中继通信装置的示意图。

图44是根据一示例性实施例示出的一种终端的结构示意图。

图45是根据一示例性实施例示出的一种基站的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

出于简洁和便于理解的目的，本文在表征大小关系时，所使用的术语为“大于”或“小于”。但对于本领域技术人员来说，可以理解：术语“大于”也涵盖了“大于等于”的含义，“小于”也涵盖了“小于等于”的含义。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于移动通信技术的通信系统，该无线通信系统可以包括：若干个用户设备110以及若干个基站120。

其中，用户设备110可以是指向用户提供语音和/或数据连通性的设备。用户设备110可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，用户设备110可以是物联网用户设备，如传感器设备、移动电话和具有物联网用户设备的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程用户设备(remote terminal)、接入用户设备(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户设备(user equipment)。或者，用户设备110也可以是无人飞行器的设备。或者，用户设备110也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线用户设备。或者，用户设备110也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

基站120可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代系统。其中，5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network，新一代无线接入网)。

其中，基站120可以是4G系统中采用的演进型基站(eNB)。或者，基站120也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站120采用集中分布式架构时，通常包括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对基站120的具体实现方式不加以限定。

基站120和用户设备110之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

在一些实施例中，用户设备110之间还可以建立E2E(End to End，端到端)连接。比如车联网通信(vehicle to everything，V2X)中的V2V(vehicle to vehicle，车对车)通信、V2I(vehicle to Infrastructure，车对路边设备)通信和V2P(vehicle to pedestrian，车对人)通信等场景。

这里，上述用户设备可认为是下面实施例的终端设备。

在一些实施例中，上述无线通信系统还可以包含网络管理设备130。

若干个基站120分别与网络管理设备130相连。其中，网络管理设备130可以是无线通信系统中的核心网设备，比如，该网络管理设备130可以是演进的数据分组核心网(Evolved Packet Core，EPC)中的移动性管理实体(Mobility Management Entity，MME)。或者，该网络管理设备也可以是其它的核心网设备，比如服务网关(Serving GateWay，SGW)、公用数据网网关(Public Data Network GateWay，PGW)、策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)或者归属签约用户服务器(Home Subscriber Server，HSS)等。对于网络管理设备130的实现形态，本公开实施例不做限定。

为了便于本领域内技术人员理解，本公开实施例列举了多个实施方式以对本公开实施例的技术方案进行清晰地说明。当然，本领域内技术人员可以理解，本公开实施例提供的多个实施例，可以被单独执行，也可以与本公开实施例中其他实施例的方法结合后一起被执行，还可以单独或结合后与其他相关技术中的一些方法一起被执行；本公开实施例并不对此作出限定。

为了更好地理解本公开任一个实施例所描述的技术方案，首先，对相关技术中的中继通信的应用场景进行说明：

在一个实施例中，为用户到网络中继提供控制面和用户面的解决方案。针对基于用户面的解决方案，5G邻近通信业务(ProSe,Proximity-based Service)密钥管理功能(PKMF，ProSe Key Management Function)用于支持ProSe间接或者中继通信的PC5连接的安全密钥管理。在LTE中，为了确保LTE ProSe安全，引入了PKMF，用于ProSe间接或者中继通信的安全密钥管理，依赖于核心网络用户面的参考点PC8被用于向终端传输安全参数。

在一个实施例中，策略控制功能(PCF，Policy Control Function)用于在服务授权期间为ProSe直接通信提供PC5策略以保护PC5连接。相关技术中，没有关于如何为ProSe间接或者中继通信提供PC5安全策略的解决方案。由于引入5G PKMF为终端提供5G中ProSe间接或者中继通信的安全参数，本公开可以是旨在由5G PKMF通过用户面向终端提供PC5安全策略，以保护ProSe中继通信的PC5用户面安全。通过引入PKMF为ProSe中继通信的PC5连接提供PC5安全策略的功能。5G PKMF可以为ProSe中继通信正确配置PC5安全策略。5G PKMF可以将配置的PC5安全策略安全地提供给远程UE和中继UE。远程UE和中继UE上的PC5安全策略可以为请求的ProSe中继服务正确激活安全保护。

在一个实施例中，对于通过U2N中继的ProSe间接通信，需要建立PC5连接来承载远程UE和中继UE之间的信令和用户数据。PC5控制平面安全可以通过直接安全模式命令过程在远程UE和中继UE之间的PC5直接通信建立期间建立。

在一个实施例中，当远端终端向网络请求间接通信时，PC5用户面安全仅用于保护对端终端之间交换的ProSe业务数据。同时，它用于保护由远程终端请求的中继终端提供的连接服务。进一步地，中继终端提供的连通性服务用于支持网络通过中继终端向远程终端提供的中继服务。因此，用于ProSe中继通信的PC5用户面安全需要与网络提供的特定中继服务的用户面安全要求保持一致，对于加密和完整性保护，可以有“REQUIRED”或“PREFERRED”或“NOT NEEDED”。

在一个实施例中，PC5控制面安全始终是必需的，无需为远程终端请求的特定中继服务配置PC5控制面安全策略。PC5用户面安全策略与网络为远程终端请求的特定中继服务设置的用户面安全策略相同。

如图2所示，本实施例中提供一种中继通信方法，其中，该方法由第一网络节点执行，该方法包括：

步骤21、向第一终端发送安全策略信息；

其中，安全策略信息，至少用于：第二终端通过第一终端与网络进行中继通信时，第一终端和第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。

这里，本公开所涉及的网络节点可以是核心网网元。例如，第一网络节点可以是PKMF。第二网络节点可以是会话管理功能(SMF，Session Management Function)。

这里，本公开所涉及的终端可以是但不限于是手机、可穿戴设备、车载终端、路侧单元(RSU，Road Side Unit)、智能家居终端、工业用传感设备和/或医疗设备等。

本公开中涉及的基站可以是终端接入网络的接入设备。这里，基站可以为各种类型的基站，例如，第三代移动通信(3G)网络的基站、第四代移动通信(4G)网络的基站、第五代移动通信(5G)网络的基站或其它演进型基站。

在一个实施例中，用户面安全性保护，包括：用户面数据的完整性保护和/或加密。例如，第一终端与第二终端之间的传输数据需要进行用户面数据的完整性保护和加密。需要说明的是，第一终端和第二终端之间基于PC5协议进行通信。

在一个实施例中，第一网络节点向第一终端发送安全策略信息。第一终端在接收到安全策略信息后会将安全策略信息转发给第二终端。

在一个实施例中，第二终端向第一终端发送直接通信请求消息。第一终端在接收到该直接通信请求消息后，向第一网络节点发送密钥请求消息。第一网络节点在接收到该密钥请求消息后，会向第一终端发送携带安全策略信息的密钥响应消息。第一终端在接收到该密钥响应消息后，会向第二终端发送携带安全策略信息的直接安全模式命令消息。

这里，第一网络节点可以是根据中继服务代码(RSC，Relay Service Code)以及RSC和安全策略之间的映射关系，确定安全策略信息。这里，不同的RSC可以是对应不同的安全策略信息。可以是预先将不同的安全策略和RSC之间的对应关系以列表形式进行存储，第一网络节点在确定目标RSC后，就可以通过查询列表的形式从列表中获得目标RSC对应的安全策略信息。

在一个实施例中，第一网络节点接收第一终端发送的RSC。在接收到该RSC后，确定第一终端是否被授权中继服务。若确定第一终端被授权提供中继服务，基于该RSC以及RSC和安全策略之间的映射关系，确定安全策略信息。需要说明的是，安全策略信息的确定可以是但不限于是上述方式。

这里，第一终端和第二终端在获取到该安全策略信息后，在第一终端和第二终端之间进行中继服务的数据的传输时，就可以基于该安全策略信息执行安全性保护。

在一个实施例中，第一终端从邻近通信服务名称管理功能(DDNMF，Direct Discovery Name Management Function)获取发现参数、PKMF地址和发现安全参数。第二终端从DDNMF获取发现参数、PKMF地址和发现安全参数。第一终端和第二终端会基于发现参数和发现安全参数执行发现流程。需要说明的是，DDNMF可以是包含在第一网络节点中，也可以是单独部署。

在本公开实施例中，向第一终端发送安全策略信息；其中，安全策略信息，至少用于：第二终端通过第一终端与网络进行中继通信时，第一终端和第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。如此，在第二终端通过第一终端与网络进行中继通信时，就可以基于安全策略信息对第一终端和第二终端之间基于PC5传输的中继服务数据的用户面进行安全性保护，相较于在进行中继服务数据传输时不能执行安全保护的方式，可以使得第二终端与网络之间的中继数据的传输更加安全。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

如图3所示，本实施例中提供一种中继通信方法，其中，该方法由第一网络节点执行，该方法包括：

步骤31、接收第一终端发送的中继服务代码RSC；

步骤32、响应于确定第一终端被授权提供中继服务，基于RSC以及RSC和安全策略之间的映射关系，确定安全策略信息。

在一个实施例中，第一网络节点接收第一终端发送的携带RSC的密钥请求消息。确定第一终端是否被授权中继服务。若确定第一终端被授权提供中继服务，基于该RSC以及RSC和安全策略之间的映射关系，确定安全策略信息。需要说明的是，密钥请求消息中还可以携带邻近通信业务中继用户密钥PRUK标识和/或第一新鲜性参数。

在一个实施例中，当中继服务的服务类型不同时，第一终端发送的RSC不同。不同的RSC对应的安全策略信息不同。在一个实施例中，第一RSC对应第一安全策略信息，第二RSC对应第二安全策略信息。当中继服务的服务类型为第一服务类型时，第一终端发送的RSC为第一RSC，则第一网络节点在接收到第一RSC后，可以基于第一RSC确定安全策略信息为第一安全策略信息。

如图4所示，本实施例中提供一种中继通信方法，其中，该方法由第一网络节点执行，该方法包括：

步骤41、接收第一终端发送的携带RSC的密钥请求消息。

在一个实施例中，第一终端在接收到第二终端发送的携带RSC的直接通信请求后，向第一网络节点发送携带RSC的密钥请求消息。其中，直接通信请求消息还可以携带PRUK标识和/或第一新鲜性参数。

在一个实施例中，接收第一终端发送的携带RSC的密钥请求消息。确定第一终端是否被授权中继服务。若确定第一终端被授权提供中继服务，基于该RSC以及RSC和安全策略之间的映射关系，确定安全策略信息。需要说明的是，密钥请求消息中还可以携带PRUK标识和/或第一新鲜性参数。

如图5所示，本实施例中提供一种中继通信方法，其中，该方法由第一网络节点执行，该方法包括：

步骤51、针对密钥请求消息向第一终端发送携带安全策略信息的密钥响应消息。

在一个实施例中，第二终端向第一终端发送直接通信请求消息。第一终端在接收到该直接通信请求消息后，向第一网络节点发送密钥请求消息。第一网络节点在接收到该密钥请求消息后，会向第一终端发送携带安全策略信息的密钥响应消息。第一终端在接收到该密钥响应消息后，会向第二终端发送携带安全策略信息的直接安全模式命令消息。需要说明的是，所述密钥响应消息还携带K _NRP和/或第二新鲜性参数，其中，所述K _NRP用于生成会话密钥。

如图6所示，本实施例中提供一种中继通信方法，其中，该方法由第一网络节点执行，该方法包括：

步骤61、接收第二终端发送的远端用户密钥请求消息。

这里，远端用户密钥请求消息用于请求获取PRUK和/或PRUK ID。

在第一网络节点接收到第二终端发送的远端用户密钥请求消息后，确定第二终端是否被授权中继服务，响应于确定第二终端被授权中继服务，向第二终端发送携带PRUK和PRUK ID的消息。

如图7所示，本实施例中提供一种中继通信方法，其中，该方法由第一网络节点执行，该方法包括：

步骤71、确定第二终端是否获得接收中继服务的授权；

步骤72、响应于第二终端获得接收中继服务的授权，向第二终端发送邻近通信业务中继用户密钥PRUK和/或PRUK标识。

在一个实施例中，接收第二终端发送的远端用户密钥请求消息。确定第二终端是否获得接收中继服务的授权。响应于第二终端获得接收中继服务的授权，向第二终端发送邻近通信业务中继用户密钥PRUK和/或PRUK标识；或者，响应于第二终端未获得接收中继服务的授权，不向第二终端发送邻近通信业务中继用户密钥PRUK和/或PRUK标识。

如图8所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤81、接收第一网络节点发送的安全策略信息；

在一个实施例中，第一网络节点接收第一终端发送的RSC，其中，RSC是第二终端发送给第一终端的。在接收到该RSC后，确定第一终端是否被授权中继服务。若确定第一终端被授权提供中继服务，基于该RSC以及RSC和安全策略之间的映射关系，确定安全策略信息。需要说明的是，安全策略信息的确定可以是但不限于是上述方式。

如图9所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤91、接收第二终端发送的RSC；

其中，RSC，用于供第一网络节点确定安全策略信息。

在一个实施例中，第一终端接收第二终端发送的携带RSC的直接通信请求。第一终端在接收到该直接通信请求消息后，向第一网络节点发送携带RSC的密钥请求消息。第一网络节点在接收到该密钥请求消息后，会向第一终端发送携带安全策略信息的密钥响应消息。第一终端在接收到该密钥响应消息后，会向第二终端发送携带安全策略信息的直接安全模式命令消息。需要说明的是，直接通信请求还可以携带PRUK标识和/或第一新鲜性参数。密钥响应消息还携带K _NRP和/或第二新鲜性参数，其中，K _NRP用于生成会话密钥。

这里，第一网络节点可以是根据RSC以及RSC和安全策略之间的映射关系，确定安全策略信息。这里，不同的RSC可以是对应不同的安全策略信息。可以是预先将不同的安全策略和RSC之间的对应关系以列表形式进行存储，在确定目标RSC后，就可以通过查询列表的形式从列表中获得所述目标RSC对应的安全策略信息。

如图10所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤101、接收第二终端发送的携带RSC的直接通信请求消息。

在一个实施例中，接收第二终端发送的携带RSC的直接通信请求消息。第一终端在接收到该直接通信请求消息后，向第一网络节点发送携带RSC的密钥请求消息。第一网络节点在接收到该密钥请求消息后，会向第一终端发送携带安全策略信息的密钥响应消息。第一终端在接收到该密钥响应消息后，会向第二终端发送携带安全策略信息的直接安全模式命令消息。需要说明的是，直接通信请求还可以携带PRUK标识和/或第一新鲜性参数。密钥响应消息还携带K _NRP和/或第二新鲜性参数，其中，K _NRP用于生成会话密钥。

本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：向第一网络节点发送RSC。

这里，可以是向第一网络节点发送携带RSC的密钥请求消息。在一个实施例中，密钥请求消息，还携带PRUK标识和/或第一新鲜性参数。

如图11所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤111、接收第一网络节点发送的携带所述安全策略信息的密钥响应消息。

在一个实施例中，第一网络节点在接收到该密钥请求消息后，会向第一终端发送携带安全策略信息的密钥响应消息。第一终端在接收到该密钥响应消息后，会向第二终端发送携带安全策略信息的直接安全模式命令消息。需要说明的是，密钥响应消息还携带K _NRP和/或第二新鲜性参数，其中，K _NRP用于生成会话密钥。

如图12所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤121、向第二终端发送安全策略信息。

在一个实施例中，第二终端向第一终端发送直接通信请求消息。第一终端在接收到该直接通信请求消息后，向第一网络节点发送密钥请求消息。第一网络节点在接收到该密钥请求消息后，会向第一终端发送携带安全策略信息的密钥响应消息。第一终端在接收到该密钥响应消息后，会向第二终端发送携带安全策略信息的直接安全模式命令消息。这里，第一终端和第二终端在获取到该安全策略信息后，在第一终端和第二终端之间进行中继服务的数据的传输时，就可以基于该安全策略信息执行安全性保护。

如图13所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤131、向第二终端发送携带安全策略信息的直接安全模式命令消息。

需要说明的是，直接安全模式命令消息还携带K _NRP和/或第二新鲜性参数；K _NRP用于生成会话密钥。在一个实施例中，安全模式命令消息通过基于K _NRP生成的会话密钥进行完整性保护。

如图14所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤141、接收第二终端发送的直接安全模式完成消息。

在一个实施例中，向第二终端发送携带安全策略信息的直接安全模式命令消息，其中，直接安全模式命令消息还携带K _NRP和/或第二新鲜性参数；安全模式命令消息通过基于K _NRP生成的会话密钥进行完整性保护。在第二终端接收到该直接安全模式命令消息后，会执行直接安全模式命令消息的完整性验证。响应于完整性验证成功，确定第一终端被授权提供中继服务，会向第一终端发送直接安全模式完成消息。

如图15所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤151、接收基站发送的指示Uu接口的用户面安全激活状态的消息。

在一个实施例中，基站可以接收第二网络节点发送的安全策略信息并基于该安全策略信息激活Uu接口的用户面安全性保护。向第一终端发送指示Uu接口的用户面安全激活状态的消息。第一终端在接收基站发送的指示Uu接口的用户面安全激活状态的消息后，确定Uu接口的用户面安全激活状态与第一网络节点提供的安全策略信息指示的安全策略是否匹配。响应于Uu接口用户面安全激活状态与第一网络节点提供的安全策略信息指示的安全策略匹配，激活Uu接口和/或PC5接口上的用户面安全保护；或者，响应于Uu接口用户面安全激活状态与安全策略信息不匹配，向基站发送指示错误的响应消息。

如图16所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤161、确定Uu接口的用户面安全激活状态与第一网络节点提供的安全策略信息指示的安全策略是否匹配；

步骤162、响应于Uu接口用户面安全激活状态与第一网络节点提供的安全策略信息指示的安全策略匹配，激活Uu接口和/或PC5接口上的用户面安全保护；或者，响应于Uu接口用户面安全激活状态与安全策略信息不匹配，向基站发送指示错误的响应消息。

如图17所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤171、向第二终端发送直接通信接受消息，其中，直接通信接收消息携带PC5接口用户面安全激活状态。

在一个实施例中，第一终端向第二终端发送直接通信接受消息，其中，直接通信接收消息携带PC5接口的用户面安全激活状态。第二终端确定PC5接口用户面安全激活状态是否与安全策略信息指示的安全策略匹配；响应于PC5接口用户面安全激活状态与安全策略信息指示的安全策略匹配，第二终端激活PC5接口的用户面安全性保护；或者，响应于PC5接口用户面安全激活状态与安全策略信息指示的安全策略不匹配，第二终端向第一终端发送指示错误的响应消息。

如图18所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤181、响应于接收到直接安全模式完成消息，向第二网络节点发送发起协议数据单元PDU会话建立流程的请求消息。

在一实施例中，响应于接收到直接安全模式完成消息，向第二网络节点发送发起协议数据单元PDU会话建立流程的请求消息。响应于接收到第一终端发送的发起协议数据单元PDU会话建立流程的请求消息，第二网络节点从第一网络节点获取安全策略信息。将安全策略信息指示的安全策略设置为第一终端请求的PDU会话的用户面安全策略。

如图19所示，本实施例中提供一种中继通信方法，其中，该方法由第一终端执行，该方法包括：

步骤191、从第一网络节点获取以下信息中的至少之一：发现参数、所述第一网络节点的地址和发现安全参数。

在一个实施例中，第一终端从邻近通信服务名称管理功能获取发现参数、PKMF地址和发现安全参数。第二终端从DDNMF获取发现参数、PKMF地址和发现安全参数。第一终端和第二终端会基于发现参数和发现安全参数执行发现流程。需要说明的是，DDNMF可以是包含在第一网络节点中，也可以是单独部署。

如图20所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤201、接收第一终端发送的安全策略信息；

如图21所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤211、向第一终端发送RSC；

其中，RSC，用于供第一网络节点确定安全策略信息。

在一个实施例中，第二终端向第一终端发送RSC。第一终端向第一网络节点发送携带RSC的密钥请求消息。确定第一终端是否被授权中继服务。若确定第一终端被授权提供中继服务，基于该RSC以及RSC和安全策略之间的映射关系，确定安全策略信息。需要说明的是，密钥请求消息中还可以携带邻近通信业务中继用户密钥PRUK标识和/或第一新鲜性参数。

如图22所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤221、向第一终端发送携带RSC的直接通信请求消息。

在一个实施例中，直接通信请求消息还携带PRUK标识和/或第一新鲜性参数。

如图23所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤231、接收第一终端发送的携带安全策略信息的直接安全模式命令消息。

如图24所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤241、执行直接安全模式命令消息的完整性验证；

步骤242、响应于完整性验证成功，确定第一终端被授权提供中继服务；

步骤243、响应于完整性验证成功，向第一终端发送直接安全模式完成消息。

在一个实施例中，第一终端向第二终端发送携带安全策略信息的直接安全模式命令消息，其中，直接安全模式命令消息还携带K _NRP和/或第二新鲜性参数；安全模式命令消息通过基于K _NRP生成的会话密钥进行完整性保护。在第二终端接收到该直接安全模式命令消息后，会执行直接安全模式命令消息的完整性验证。响应于完整性验证成功，确定第一终端被授权提供中继服务，会向第一终端发送直接安全模式完成消息。

如图25所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤251、接收第一终端发送的直接通信接受消息，其中，直接通信接受消息携带PC5接口的用户面安全激活状态。

如图26所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤261、确定PC5接口用户面安全激活状态是否与安全策略信息指示的安全策略匹配；

步骤262、响应于PC5接口用户面安全激活状态与安全策略信息指示的安全策略匹配，激活PC5接口的用户面安全性保护；或者，响应于PC5接口用户面安全激活状态与安全策略信息指示的安全策略不匹配，向第一终端发送指示错误的响应消息。

如图27所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤271、向第一终端的第一网络节点发送远端用户密钥请求消息。

这里，远端用户密钥请求消息用于请求获取PRUK和/或PRUK ID。

如图28所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤281、接收第一网络节点针对远端用户密钥请求消息发送的PRUK和/或PRUK标识。

如图29所示，本实施例中提供一种中继通信方法，其中，该方法由第二终端执行，该方法包括：

步骤291、从第一网络节点获取以下信息中的至少之一：发现参数、所述第一网络节点的地址和发现安全参数。

如图30所示，本实施例中提供一种中继通信方法，其中，该方法由第二网络节点执行，该方法包括：

步骤301、从第一网络节点获取安全策略信息；

这里，第一网路节点可以是根据中继服务代码(RSC，Relay Service Code)以及RSC和安全策略之间的映射关系，确定安全策略信息。这里，不同的RSC可以是对应不同的安全策略信息。可以是预先将不同的安全策略和RSC之间的对应关系以列表形式进行存储，第一网络节点在确定目标RSC后，就可以通过查询列表的形式从列表中获得目标RSC对应的安全策略信息。

在一个实施例中，第一终端从邻近通信服务名称管理功能(DDNMF，Direct Discovery Name Management Function)获取发现参数、PKMF地址和发现安全参数。第二终端从 DDNMF获取发现参数、PKMF地址和发现安全参数。第一终端和第二终端会基于发现参数和发现安全参数执行发现流程。需要说明的是，DDNMF可以是包含在第一网络节点中，也可以是单独部署。

如图31所示，本实施例中提供一种中继通信方法，其中，该方法由第二网络节点执行，该方法包括：

步骤311、响应于接收到第一终端发送的发起协议数据单元PDU会话建立流程的请求消息，从第一网络节点获取所述安全策略信息。

在一实施例中，响应于接收到直接安全模式完成消息，第一终端向第二网络节点发送发起协议数据单元PDU会话建立流程的请求消息。响应于接收到第一终端发送的发起协议数据单元PDU会话建立流程的请求消息，第二网络节点从第一网络节点获取安全策略信息。将安全策略信息指示的安全策略设置为第一终端请求的PDU会话的用户面安全策略。

如图32所示，本实施例中提供一种中继通信方法，其中，该方法由第二网络节点执行，该方法包括：

步骤321、将安全策略信息指示的安全策略设置为第一终端请求的PDU会话的用户面安全策略。

步骤322、向基站发送安全策略信息。

在一个实施例中，响应于接收到直接安全模式完成消息，向第二网络节点发送发起协议数据单元PDU会话建立流程的请求消息。响应于接收到第一终端发送的发起协议数据单元PDU会话建立流程的请求消息，第二网络节点从第一网络节点获取安全策略信息。将安全策略信息指示的安全策略设置为第一终端请求的PDU会话的用户面安全策略。向基站发送安全策略信息。

如图33所示，本实施例中提供一种中继通信方法，其中，该方法由基站执行，该方法包括：

步骤331、接收第二网络节点发送的安全策略信息；

在一实施例中，响应于接收到直接安全模式完成消息，向第二网络节点发送发起协议数据单元PDU会话建立流程的请求消息。响应于接收到第一终端发送的发起协议数据单元PDU会话建立流程的请求消息，第二网络节点从第一网络节点获取安全策略信息。将安全策略信息指示的安全策略设置为第一终端请求的PDU会话的用户面安全策略。向基站发送安全策略信息。基站在接收到安全策略信息后，基于安全策略信息激活Uu接口的用户面安全性保护。

在一个实施例中，基站还会向第一终端发送指示Uu接口的用户面安全激活状态的消息。第一终端在接收基站发送的指示Uu接口的用户面安全激活状态的消息后，确定Uu接口的用户面安全激活状态与第一网络节点提供的安全策略信息指示的安全策略是否匹配。响应于Uu接口用户面安全激活状态与第一网络节点提供的安全策略信息指示的安全策略匹配，激活Uu接口和/或PC5接口上的用户面安全保护；或者，响应于Uu接口用户面安全激活状态与安全策略信息不匹配，向基站发送指示错误的响应消息。

如图34所示，本实施例中提供一种中继通信方法，其中，该方法由基站执行，该方法包括：

步骤341、基于安全策略信息激活Uu接口的用户面安全性保护。

这里，用户面安全性保护包括完整性保护和加密。

如图35所示，本实施例中提供一种中继通信方法，其中，该方法由基站执行，该方法包括：

步骤351、向第一终端发送指示Uu接口的用户面安全激活状态的消息。

在一个实施例中，基站可以接收第二网络节点发送的安全策略信息并基于该安全策略信息激活Uu接口的用户面安全性保护。向第一终端发送指示Uu接口的用户面安全激活状态的消息。

如图36所示，本实施例中提供一种中继通信方法，其中，该方法由基站执行，该方法包括：

步骤361、接收第一终端发送的指示错误的响应消息，其中，所述指示错误的响应消息用于指示所述Uu接口用户面安全激活状态与所述安全策略信息指示的安全策略不匹配。

在一个实施例中，基站会向第一终端发送指示Uu接口的用户面安全激活状态的消息。第一终端在接收基站发送的指示Uu接口的用户面安全激活状态的消息后，确定Uu接口的用户面安全激活状态与第一网络节点提供的安全策略信息指示的安全策略是否匹配。响应于Uu接口用户面安全激活状态与第一网络节点提供的安全策略信息指示的安全策略匹配，激活Uu接口和/或PC5接口上的用户面安全保护；或者，响应于Uu接口用户面安全激活状态与安全策略信息不匹配，向基站发送指示错误的响应消息。

为了更好地理解本公开实施例，以下通过2个示例性实施例对本公开技术方案进行进一步说明：

示例1：

请参见图37，本实施例中提供一种中继通信方法，该方法包括：

步骤1a、第二终端从邻近通信业务名称管理功能获取发现参数和第一网络节点的地址。

步骤2a、第二终端从邻近通信业务名称管理功能获取发现安全参数。

步骤3a、第一终端从邻近通信业务名称管理功能获取发现参数和第一网络节点的地址。

步骤4a、第一终端从邻近通信业务名称管理功能获取发现安全参数。

步骤5a、第二终端向第一终端的第一网络节点发送远端密钥请求消息。

步骤6a、第一网络节点针对密钥请求消息向第一终端发送携带安全策略信息的密钥响应消息。其中，密钥响应消息携带邻近通信业务中继用户密钥PRUK和PRUK标识。

步骤7a、执行发现过程。步骤8a、第二终端向第一终端发送直接通信请求消息，其中，直接通信请求消息携带PRUK标识、中继服务码RSC和第一新鲜性参数。

步骤9a、第一终端向第一网络节点发送密钥请求消息，其中，密钥请求消息携带PRUK标识、中继服务码RSC和第一新鲜性参数。

步骤10a、第一网络节点针对密钥请求消息向第一终端发送携带安全策略信息的密钥响应消息，其中，密钥响应消息携带K _NRP和第二新鲜性参数。这里，可以是第一网络节点(可以是PKMF)收到密钥请求消息后，5G PKMF会检查U2N中继(可以是第一终端)是否被授权充当远程UE(可以是第二终端)的中继。如果U2N中继被授权提供中继服务，5G PKMF生成第二新鲜性参数并导出K _NRP。同时，5G PKMF根据接收到的RSC及其支持的所有中继服务的PC5UP安全策略配置列表，为中继服务选择PC5UP安全策略。然后，PKMF向U2N中继发送包含K _NRP、新鲜度参数2(第二新鲜性参数)和请求的中继服务的PC5UP安全策略的密钥响应消息。如此，U2N中继就配置了中继服务的PC5UP安全策略。

步骤11a、第一终端向第二终端发送携带安全策略信息的直接安全模式命令消息，其中，直接安全模式命令消息还携带K _NRP和第二新鲜性参数。这里，可以是U2N中继向远端UE发送Direct Security Mode Command消息，消息中包含K _NRP、K _NRP新鲜度参数2和请求中继服务的PC5UP安全策略。直接安全模式命令消息使用源自KNRP的会话密钥KNRP-SESS进行完整性保护，因此所请求中继服务的PC5UP安全策略通过PC5链路受到保护。

步骤12a、修改第一终端授权。这里，可以是远程UE以与U2N中继相同的方式导出K _NRP和会话密钥KNRP-SESS，并处理直接安全模式命令。然后，远程UE验证直接安全模式命令消息的完整性。如果成功，则向远端UE保证U2N中继被授权提供中继服务。然后，远程UE存储从U2N中继接收到的中继服务的PC5用户面UP安全策略。

步骤13a、第二终端向第一终端发送直接安全模式完成消息。这里，可以是远程UE以直接安全模式完成消息响应U2N中继。直接安全模式完成消息被加密并受到完整性保护。

步骤14a、修改第二终端授权。这里，可以是在接收和处理直接安全模式完成消息时，U2N中继验证直接安全模式完成消息的完整性。如果成功，则U2N中继保证远程UE被授权获得中继服务。

步骤15a、完成其余的中继服务流程。这里，可以是远程UE和U2N中继通过安全PC5链路继续中继服务的其余过程。

示例2：

在U2N Relay(对应第一终端)确认Remote UE(对应第二终端)在成功验证来自Remote UE的Direct Security Mode Complete消息后，被授权获得Relay服务后，U2N Relay向SMF发起新的PDU会话建立流程。

请参见图38，本实施例中提供一种中继通信方法，该方法包括：

步骤1b、从第一网络节点获取安全策略信息。这里，可以是SMF(对应第二网络节点)从5G PKMF获取U2N Relay中继的服务的UP安全策略。

步骤2b、将所述安全策略信息指示的安全策略设置为第一终端请求的PDU会话的用户面安全策略。这里，可以是SMF将中继服务的UP安全策略设置为请求的PDU会话的UP安全策略，并将UP安全策略提供给NG-RAN。

步骤3b、基于安全策略信息激活Uu接口的用户面安全性保护。这里，可以是U2N中继检查接收到的Uu UP安全激活状态是否与5G PKMF提供的PC5UP安全策略匹配。如果它们匹配，则U2N中继激活其Uu接口和PC5接口上的UP安全。如果它们不匹配，则U2N中继向NG-RAN返回错误消息。

需要说明的是，该方法还可以包括：U2N中继向Remote UE发送Direct Communication Accept消息，接受PC5连接建立，包括其PC5UP安全激活状态。整个消息受PC5信令安全保护，因此从中继发送的PC5UP安全激活指示受到保护。同时，U2N中继向其SMF发送远程UE报告。

该方法还可以包括：远程UE检查接收到的PC5UP安全激活状态是否与5G PKMF提供的PC5UP安全策略匹配。如果它们匹配，则远程UE激活其PC5UP安全性。如果它们不匹配，则远程UE向U2N中继返回错误消息。

该方法还可以包括：通过PC5链路和Uu链路在远程UE和网络之间中继的服务数据现在根据中继服务的UP安全策略进行保护发送。

需要说明的是，示例1和示例2可以结合执行。

如图39所示，本公开实施例中提供一种中继通信装置，其中，装置包括：

发送模块391，用于向第一终端发送安全策略信息；

如图40所示，本公开实施例中提供一种中继通信装置，其中，装置包括：

接收模块401，用于接收第一终端发送的安全策略信息；

如图41所示，本公开实施例中提供一种中继通信装置，其中，装置包括：

接收模块411，用于接收第一终端发送的安全策略信息；

如图42所示，本公开实施例中提供一种中继通信装置，其中，装置包括：

获取模块421，用于从第一网络节点获取安全策略信息；

如图43所示，本公开实施例中提供一种中继通信装置，其中，装置包括：

接收模块431，用于接收第二网络节点发送的用安全策略信息；

本公开实施例提供一种通信设备，通信设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，处理器被配置为：用于运行可执行指令时，实现应用于本公开任意实施例的方法。

其中，处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在通信设备掉电之后能够继续记忆存储其上的信息。

处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序。

本公开实施例还提供一种计算机存储介质，其中，计算机存储介质存储有计算机可执行程序，可执行程序被处理器执行时实现本公开任意实施例的方法。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

如图44所示，本公开一个实施例提供一种终端的结构。

参照图44所示终端800本实施例提供一种终端800，该终端具体可是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图44，终端800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制终端800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在终端800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为终端800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为终端800生成、管理和分配电力相关联的组件。

多媒体组件808包括在终端800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当终端800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为终端800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如组件为终端800的显示器和小键盘，传感器组件814还可以检测终端800或终端800一个组件的位置改变，用户与终端800接触的存在或不存在，终端800方位或加速/减速和终端800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于终端800和其他设备之间有线或无线方式的通信。终端800可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，终端800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由终端800的处理器820执行以完成上述方法。例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

如图45所示，本公开一实施例示出一种基站的结构。例如，基站900可以被提供为一网络侧设备。参照图45，基站900包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述方法前述应用在所述基站的任意方法。

基站900还可以包括一个电源组件926被配置为执行基站900的电源管理，一个有线或无线网络接口950被配置为将基站900连接到网络，和一个输入输出(I/O)接口958。基站900可以操作基于存储在存储器932的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种中继通信方法，其中，所述方法由第一网络节点执行，所述方法包括：

向第一终端发送安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
根据权利要求1所述的方法，其中，所述方法还包括：

接收第一终端发送的中继服务代码RSC；

响应于确定所述第一终端被授权提供中继服务，基于所述RSC以及RSC和安全策略之间的映射关系，确定所述安全策略信息。
根据权利要求2所述的方法，其中，所述接收第一终端发送的中继服务代码RSC，包括：

接收第一终端发送的携带所述RSC的密钥请求消息。
根据权利要求3所述的方法，其中，所述密钥请求消息，还携带PRUK标识和/或第一新鲜性参数。
根据权利要求3所述的方法，其中，所述向第一终端发送安全策略信息，包括：

针对所述密钥请求消息向第一终端发送携带所述安全策略信息的密钥响应消息。
根据权利要求5所述的方法，其中，所述密钥响应消息还携带K _NRP和/或第二新鲜性参数，其中，所述K _NRP用于生成会话密钥。
根据权利要求1所述的方法，其中，所述方法还包括：

接收第二终端发送的远端用户密钥请求消息。
根据权利要求7所述的方法，其中，所述方法还包括：

确定所述第二终端是否获得接收中继服务的授权；

响应于所述第二终端获得接收中继服务的授权，向所述第二终端发送邻近通信业务中继用户密钥PRUK和/或PRUK标识。
一种中继通信方法，其中，所述方法由第一终端执行，所述方法包括：

接收第一网络节点发送的安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
根据权利要求9所述的方法，其中，所述方法还包括：

接收所述第二终端发送的RSC；

其中，所述RSC，用于供所述第一网络节点确定所述安全策略信息。
根据权利要求10所述的方法，其中，所述接收所述第二终端发送的RSC，包括：

接收所述第二终端发送的携带所述RSC的直接通信请求消息。
根据权利要求11所述的方法，其中，所述直接通信请求消息还携带PRUK标识和/或第一新鲜性参数。
根据权利要求10所述的方法，其中，所述方法还包括：

向第一网络节点发送所述RSC。
根据权利要求13所述的方法，其中，所述向第一网络节点发送所述RSC，包括：

向第一网络节点发送携带所述RSC的密钥请求消息。
根据权利要求14所述的方法，其中，所述密钥请求消息，还携带PRUK标识和/或第一新鲜性参数。
根据权利要求15所述的方法，其中，所述接收第一网络节点发送的安全策略信息，包括：

接收第一网络节点发送的携带所述安全策略信息的密钥响应消息。
根据权利要求16所述的方法，其中，所述密钥响应消息还携带K _NRP和/或第二新鲜性参数，其中，所述K _NRP用于生成会话密钥。
根据权利要求9所述的方法，其中，所述方法还包括：

向第二终端发送所述安全策略信息。
根据权利要求18所述的方法，其中，所述向第二终端发送所述安全策略信息，包括：

向所述第二终端发送携带所述安全策略信息的直接安全模式命令消息。
根据权利要求19所述的方法，其中，所述直接安全模式命令消息还携带K _NRP和/或第二新鲜性参数；所述K _NRP用于生成会话密钥。
根据权利要求19所述的方法，其中，所述安全模式命令消息通过基于K _NRP生成的会话密钥进行完整性保护。
根据权利要求19所述的方法，其中，所述方法还包括：

接收第二终端发送的直接安全模式完成消息。
根据权利要求9所述的方法，其中，所述方法还包括：

接收基站发送的指示Uu接口的用户面安全激活状态的消息。
根据权利要求23所述的方法，其中，所述方法还包括：

确定所述Uu接口的用户面安全激活状态与第一网络节点提供的安全策略信息指示的安全策略是否匹配；

响应于所述Uu接口用户面安全激活状态与第一网络节点提供的所述安全策略信息指示的安全策略匹配，激活Uu接口和/或PC5接口上的用户面安全保护；或者，响应于所述Uu接口用户面安全激活状态与所述安全策略信息不匹配，向所述基站发送指示错误的响应消息。
根据权利要求9所述的方法，其中，所述方法还包括：

向所述第二终端发送直接通信接受消息，其中，所述直接通信接收消息携带PC5接口用户面安全激活状态。
根据权利要求25所述的方法，其中，所述方法还包括：

接收第二终端发送的指示错误的响应消息，其中，所述指示错误的响应消息用于指示所述PC5接口用户面安全激活状态与所述安全策略信息指示的安全策略不匹配。
根据权利要求9所述的方法，其中，所述方法还包括：

响应于接收到直接安全模式完成消息，向第二网络节点发送发起协议数据单元PDU会话建立流程的请求消息。
根据权利要求9所述的方法，其中，所述方法还包括：

从第一网络节点获取以下信息中的至少之一：发现参数、所述第一网络节点的地址和发现安全参数。
一种中继通信方法，其中，所述方法由第二终端执行，所述方法包括：

接收第一终端发送的安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
根据权利要求29所述的方法，其中，所述方法还包括：

向所述第一终端发送RSC；

其中，所述RSC，用于供所述第一网络节点确定所述安全策略信息。
根据权利要求30所述的方法，其中，所述向第一终端发送RSC，包括：

向所述第一终端发送携带所述RSC的直接通信请求消息。
根据权利要求31所述的方法，其中，所述直接通信请求消息还携带PRUK标识和/或第一新鲜性参数。
根据权利要求29所述的方法，其中，所述接收第一终端发送的安全策略信息，包括：

接收所述第一终端发送的携带所述安全策略信息的直接安全模式命令消息。
根据权利要求33所述的方法，其中，所述直接安全模式命令消息还携带K _NRP和/或第二新鲜性参数。
根据权利要求34所述的方法，其中，所述直接安全模式命令消息通过基于K _NRP生成的会话密钥进行完整性保护。
根据权利要求35所述的方法，其中，所述方法还包括：

执行所述直接安全模式命令消息的完整性验证；

响应于完整性验证成功，确定所述第一终端被授权提供中继服务。
根据权利要求36所述的方法，其中，所述方法还包括：

响应于完整性验证成功，向所述第一终端发送直接安全模式完成消息。
根据权利要求29所述的方法，其中，所述方法还包括：

接收第一终端发送的直接通信接受消息，其中，所述直接通信接受消息携带PC5接口的用户面安全激活状态。
根据权利要求38所述的方法，其中，所述方法还包括：

确定所述PC5接口用户面安全激活状态是否与所述安全策略信息指示的安全策略匹配；

响应于所述PC5接口用户面安全激活状态与所述安全策略信息指示的安全策略匹配，激活PC5接口的用户面安全性保护；或者，响应于所述PC5接口用户面安全激活状态与所述安全策略信息指示的安全策略不匹配，向第一终端发送指示错误的响应消息。
根据权利要求29所述的方法，其中，所述方法还包括：

向所述第一终端的第一网络节点发送远端用户密钥请求消息。
根据权利要求40所述的方法，其中，所述方法还包括：

接收第一网络节点针对所述远端用户密钥请求消息发送的PRUK和/或PRUK标识。
根据权利要求29所述的方法，其中，所述方法还包括：

从第一网络节点获取以下信息中的至少之一：发现参数、所述第一网络节点的地址和发现安全参数。
一种中继通信方法，其中，所述方法由第二网络节点执行，所述方法包括：

从所述第一网络节点获取安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
根据权利要求43所述的方法，其中，所述从所述第一网络节点获取安全策略信息，包括：

响应于接收到所述第一终端发送的发起协议数据单元PDU会话建立流程的请求消息，从所述第一网络节点获取所述安全策略信息。
根据权利要求43所述的方法，其中，所述方法还包括：

将所述安全策略信息指示的安全策略设置为第一终端请求的PDU会话的用户面安全策略。
根据权利要求45所述的方法，其中，所述方法还包括：

向基站发送所述安全策略信息。
一种中继通信方法，其中，所述方法由基站执行，所述方法包括：

接收第二网络节点发送的安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
根据权利要求47所述的方法，其中，所述方法还包括：

基于所述安全策略信息激活Uu接口的用户面安全性保护。
根据权利要求48所述的方法，其中，所述方法还包括：

向第一终端发送指示Uu接口用户面安全激活状态的消息。
根据权利要求49所述的方法，其中，所述方法还包括：

接收第一终端发送的指示错误的响应消息，其中，所述指示错误的响应消息用于指示所述Uu接口用户面安全激活状态与所述安全策略信息指示的安全策略不匹配。
一种中继通信装置，其中，装置包括：

发送模块，用于向第一终端发送安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
一种中继通信装置，其中，所述装置包括：

接收模块，用于接收第一网络节点发送的安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
一种中继通信装置，其中，所述装置包括：

接收模块，用于接收第一终端发送的安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
一种中继通信装置，其中，所述装置包括：

获取模块，用于从所述第一网络节点获取安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
一种中继通信装置，其中，所述装置包括：

接收模块，用于接收第二网络节点发送的用安全策略信息；

其中，所述安全策略信息，至少用于：第二终端通过所述第一终端与网络进行中继通信时，第一终端和所述第二终端之间基于PC5传输的中继服务数据的用户面安全性保护。
一种通信设备，其中，包括：

存储器；

处理器，与所述存储器连接，被配置为通过执行存储在所述存储器上的计算机可执行指令，并能够实现权利要求1至8、9至28、29至42、43至46或者47至50任一项所述的方法。
一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令被处理器执行后能够实现权利要求1至8、9至28、29至42、43至46或者47至50任一项所述的方法。