WO2023142095A1

WO2023142095A1 - Ue发现消息保护方法、装置、通信设备及存储介质

Info

Publication number: WO2023142095A1
Application number: PCT/CN2022/075131
Authority: WO
Inventors: 梁浩然; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-01-29
Filing date: 2022-01-29
Publication date: 2023-08-03
Also published as: CN116897550A

Abstract

本公开实施例提供了一种UE发现消息保护方法、装置、通信设备及存储介质；UE发现消息保护方法，包括：在第一UE位于网络覆盖范围外时监听第一公告消息；其中，第一公告消息包括：基于发现密钥加密的发现消息、及指示LTK的LTK ID；基于与LTK ID对应的LTK，确定发现密钥；其中，LTK为第一UE在网络覆盖范围内时接收的。

Description

UE发现消息保护方法、装置、通信设备及存储介质

技术领域

本公开涉及但不限于通信技术领域，尤其涉及一种UE发现消息保护方法、装置、通信设备及存储介质。

背景技术

在无线通信系统中，例如在第5代移动通信技术(5G)系统中，有些用户设备(User Equipment，UE)在5G网络覆盖范围内，有些UE在5G网络覆盖范围外。而无论UE是否在5G网络覆盖范围内，均可支持测距业务。

在测距目标UE之前，观察者UE(observer UE)需要利用测距的发现消息来检测和识别附近的目标UE。对于B类受限测距发现过程，发现者UE(discoverer UE)在直连通信(PC5)接口上宣告一条发现消息，该发现消息可包含关于感兴趣发现的内容。接收消息的发现者UE可以使用与发现者UE的发送的发现消息相关的一些信息进行响应。在没有隐私保护机制的B类受限测距发现过程中，发现消息包含参与测距过程的UE的隐私。在5G网络通信中，可通过向启用测距的UE提供具有有效期的发现密钥，从而在所有启用测距的UE被5G网络覆盖时帮助保护发现消息。

然而，在部分5G网络覆盖场景中，当启用测距的UE具有过期的发现密钥而其未被5G网络覆盖时，发现消息无法得到保护；如此会使得该发现密钥存在被泄露的风险以及降低用户的体验。

发明内容

本公开实施例公开提供一种发现消息保护方法、装置、通信设备及存储介质。

根据本公开的第一方面，提供一种UE发现消息保护方法，由第一UE执行，包括：

在第一UE位于网络覆盖范围外时监听第一公告消息；其中，第一公告消息包括：基于发现密钥加密的发现消息、及指示长期密钥(Long-Term Key，LTK)的LTK标识信息(ID)；

基于与LTK ID对应的LTK，确定发现密钥；其中，LTK为第一UE在网络覆盖范围内时接收的。

根据本公开的第二方面，提供一种UE发现消息保护方法，由第二UE执行，包括：

在第二UE位于网络覆盖范围内时发送第一公告消息，其中，第一公告消息包括：基于发现密钥加密的发现消息，及指示LTK的LTK ID；

其中，LTK ID，用于位于网络覆盖范围外的第一UE确定与LTK ID对应的LTK；LTK用于第一UE确定发现密钥。

根据本公开的第三方面，提供一种UE发现消息保护方法，由测距密钥管理功能网元(Ranging Key Management Function，RKMF)执行，包括：

接收携带第一UE的标识的LTK请求；

向第一UE发送基于LTK请求确定的LTK及LTK ID；其中，LTK及LTK ID，用于位于网络覆盖范围外的第一UE监听到第二UE发送的第一公告消息后，基于第一公告消息中的LTK ID确定加密第一公告消息中发现消息的发现密钥。

根据本公开的第四方面，提供一种UE发现消息保护装置，应用于第一UE，包括：

第一接收模块，被配置为在第一UE位于网络覆盖范围外时监听第一公告消息；其中，第一公告消息包括：基于发现密钥加密的发现消息、及指示LTK的LTK ID；

第一处理模块，被配置为基于与LTK ID对应的LTK，确定发现密钥；其中，LTK为第一UE在网络覆盖范围内时接收的。

根据本公开的第五方面，提供一种UE发现消息保护装置，应用于第二UE，包括：

第二发送模块，被配置为在第二UE位于网络覆盖范围内时发送第一公告消息，其中，第一公告消息包括：基于发现密钥加密的发现消息，及指示LTK的LTK ID；

根据本公开的第六方面，提供一种UE发现消息保护装置，应用于RKMF，包括：

第三接收模块，被配置为接收携带第一UE的标识的LTK请求；

第三发送模块，被配置为向第一UE发送基于LTK请求确定的LTK及LTK ID；其中，LTK及LTK ID，用于位于网络覆盖范围外的第一UE监听到第二UE发送的第一公告消息后，基于第一公告消息中的LTK ID确定加密第一公告消息中发现消息的发现密钥。

根据本公开的第七方面，提供一种通信设备，通信设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，处理器被配置为：用于运行可执行指令时，实现本公开任意实施例的UE发现消息保护方法。

根据本公开的第八方面，提供一种计算机存储介质，计算机存储介质存储有计算机可执行程序，可执行程序被处理器执行时实现本公开任意实施例的UE发现消息保护方法。

本公开实施例提供的技术方案可以包括以下有益效果：

在本公开实施例中，可以通过第一UE在位于网络覆盖范围外时监听第一公告消息；其中，第一公告消息包括：基于发现密钥加密的发现消息、及指示LTK的LTK ID；基于与LTK ID对应的LTK，确定发现密钥；其中，LTK为第一UE在网络覆盖范围内时接收的。如此可以使得第一UE位于网络覆盖范围外时，仍然能够监听到第一公告消息，并基于在网络覆盖范围内时接收的LTK解密确定发现密钥；从而可以实现对发现消息等的解密。如此本公开实施例可以使得在网络覆盖范围外的第一UE获取到网络覆盖范围内的UE发送加密的发现消息，能够实现对发现消息的保护，即能够提供一种部分网络覆盖场景下(例如部分5G网络覆盖场景下)发现消息的保护；从而也可以提升用户体验。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开实施例。

附图说明

图1是一种无线通信系统的结构示意图。

图2是根据一示例性实施例示出的一种位置确定的示意图。

图3是根据一示例性实施例示出的一种网络覆盖的示意图。

图4是根据一示例性实施例示出的一种网络覆盖的示意图。

图5是根据一示例性实施例示出的一种网络覆盖的示意图。

图6是根据一示例性实施例示出的一种UE发现消息保护方法的流程图。

图7是根据一示例性实施例示出的一种UE发现消息保护方法的流程图。

图8是根据一示例性实施例示出的一种UE发现消息保护方法的流程图。

图9是根据一示例性实施例示出的一种UE发现消息保护方法的流程图。

图10是根据一示例性实施例示出的一种UE发现消息保护方法的流程图。

图11是根据一示例性实施例示出的一种UE发现消息保护装置的框图。

图12是根据一示例性实施例示出的一种UE发现消息保护装置的框图。

图13是根据一示例性实施例示出的一种UE发现消息保护装置的框图。

图14是根据一示例性实施例示出的一种UE的框图。

图15是根据一示例性实施例示出的一种基站的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于蜂窝移动通信技术的通信系统，该无线通信系统可以包括：若干个用户设备110以及若干个基站120。

其中，用户设备110可以是指向用户提供语音和/或数据连通性的设备。用户设备110可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，用户设备110可以是物联网用户设备，如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网用户设备的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程用户设备(remote terminal)、接入用户设备(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户设备(user equipment)。或者，用户设备110也可以是无人飞行器的设备。或者，用户设备110也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线用户设备。或者，用户设备110也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

基站120可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代系统。其中，5G系统中的接入网可以称为新一代无线接入网(New Generation-Radio Access Network，NG-RAN)。

其中，基站120可以是4G系统中采用的演进型基站(eNB)。或者，基站120也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站120采用集中分布式架构时，通常包括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体接入控制(Medium Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对基站120的具体实现方式不加以限定。

基站120和用户设备110之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

在一些实施例中，用户设备110之间还可以建立E2E(End to End，端到端)连接。比如车联网通信(vehicle to everything，V2X)中的车对车(vehicle to vehicle，V2V)通信、车对路边设备(vehicle to Infrastructure，V2I)通信和车对人(vehicle to pedestrian，V2P)通信等场景。

这里，上述用户设备可认为是下面实施例的终端设备。

在一些实施例中，上述无线通信系统还可以包含网络管理设备130。

若干个基站120分别与网络管理设备130相连。其中，网络管理设备130可以是无线通信系统中的核心网设备，比如，该网络管理设备130可以是演进的数据分组核心网(Evolved Packet Core，EPC)中的移动性管理实体(Mobility Management Entity，MME)。或者，该网络管理设备也可以是其它的核心网设备，比如服务网关(Serving GateWay，SGW)、公用数据网网关(Public Data Network GateWay，PGW)、策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)或者归属签约用户服务器(Home Subscriber Server，HSS)等。对于网络管理设备130的实现形态，本公开实施例不做限定。

为了便于本领域内技术人员理解，本公开实施例列举了多个实施方式以对本公开实施例的技术方案进行清晰地说明。当然，本领域内技术人员可以理解，本公开实施例提供的多个实施例，可以被单独执行，也可以与本公开实施例中其他实施例的方法结合后一起被执行，还可以单独或结合后与其他相关技术中的一些方法一起被执行；本公开实施例并不对此作出限定。

为了更好地理解本公开任一个实施例所描述的技术方案，首先，对相关技术中定位进行说明：

在一个实施例中，测距业务是指通过直接通信连接确定以下的至少一种信息：两个UE之间的距离；和/或确定一个UE到另一个UE的方向。

在一个实施例中，如图2所示，观察者UE有一个参考平面和参考方向。目标UE到观察者UE的方向是：观察者UE和目标UE的连线与参考方向的夹角。该夹角由方位角方向和/或仰角方向表示。目标UE的方位角方向是：参考方向与从观察者UE到目标UE的直线投影在与垂直于天顶的参考方向相同的平面上形成的角度方向。目标UE的仰角方向为两者在竖直方向上(水平面上方)的角度方向。

在一个实施例中，无论是否在5G网络覆盖范围内，均可支持测距业务。如图3所示，提供了5G网络覆盖的图示；UE1和UE2均在5G网络覆盖范围内。图4提供了部分5G网络覆盖的图示；UE1在5G网络覆盖范围内及UE2在5G网络覆盖范围外。图5提供了不具有5G网络覆盖的图示；UE1和UE2均不在5G网络覆盖范围内。在一个实施例中，若使用许可波段进行测距，则可以完全由操作员控制。

在本公开的所有实施例中，第一UE可以为宣告UE，其可以为观察者UE或发现者UE；第二UE可以为监听UE，其可以为观察者UE或发现者UE。或，第一UE可以为监听UE，其可以为观察者UE或发现者UE；第二UE可以为宣告UE，其可以为观察者UE或发现者UE。在本公开的所有实施例中，第一UE发送第一宣告消息时，第二UE监听第一宣告消息；第二UE发送第二宣告消息时，第一UE监听第二宣告消息。第一UE、第二UE可以互为监听UE或发送UE，第一UE、第二UE也可以均是发现者UE或观察者UE。

如图6所示，本公开实施例公开提供一种UE发现消息保护方法，由第一UE执行，包括：

步骤S61：在第一UE位于网络覆盖范围外时监听第一公告消息；其中，第一公告消息包括：基于发现密钥加密的发现消息、及指示LTK的LTK ID；

步骤S62：基于与LTK ID对应的LTK，确定发现密钥；其中，LTK为第一UE在网络覆盖范围内时接收的。

该步骤S61中监听第一公告消息，可包括：监听第二UE发送的第一公告消息。

在一个实施例中，第一UE、第二UE均可以是但不限于是各种移动终端或者固定终端；例如第一UE、第二UE均可以是但不限于是手机、计算机、服务器、可穿戴设备、游戏控制平台或多媒体设备等。

在一个实施例中，第一UE位于网络覆盖范围外，第二UE位于网络覆盖范围内。在另一个实施例中，第一UE位于网络覆盖范围外，第二UE位于网络覆盖范围内；且第二UE位于第一UE的附近的UE。

在一个实施例中，网络覆盖可以是指各种网络的覆盖；例如，网络覆盖可以是但不限于是4G网络覆盖、5G网络覆盖或者其它演进型网络覆盖等。示例性的，第一UE位于5G网络覆盖范围外时，发送第一公告消息。

该步骤S62中确定发现密钥，可以是确定解密发现消息的发现密钥。

该第一公告消息，包括但不限于以下至少之一：

基于发现密钥加密的发现消息；

指示LTK的LTK ID；

安全算法标识，用于标识第一公告消息所使用的安全算法；

用于标识第一公告消息的测距查询码；

随机数，用于与LTK一起，确定发现密钥；

时间戳，用于指示发现密钥的有效期。

这里，随机数，也可用于与发现密钥一起解密发现消息。

该发现消息，包括以下至少之一：

时间戳，用于指示发现密钥的有效期；

测距层ID，用于指示需要测距的目标UE；

测距要求信息，用于指示测距的测距要求。

该发现消息，也可包括：目标测距层ID，用于指示需要测距的在网络覆盖范围外的目标UE。

在一个实施例中，时间戳可以被包括在第一公告消息的发现消息中。如此，需要解密发现消息才能获取到时间戳。

在另一个实施例中，时间戳被包括在第一公告消息但不被包括在发现消息中。如此，可以仅需要完整性验证第一公告消息后便可获取到时间戳，有利于在不解密发现消息的条件下对该第一公告消息进行重发攻击的判定。

在一个实施例中，安全算法可以是任意一种加密算法，在此不作限制。

在一个实施例中，该测距查询码可用于标识第一公告消息中指示的目标UE。例如，不同的第一公告消息对应的测距查询码不同；该不同的第一公告消息中测距层ID可以相同或者不同。

在一个实施例中，若测距查询码被包括在加密的发现消息中，则该测距查询码可用于指示需要测距的目标UE；若测距查询码被包括在第一公告消息中但不包括在加密的发现消息中，则该测距查询码可用于指示第一公告消息。

该发现密钥，包括以下至少之一：

测距机密性保护密钥(Ranging Encryption Key，REK)，用于加密发现消息；

测距完整性保护密钥(Ranging Integrity Key，RIK)，用于保护第一公告消息的完整性。

这里，该发现消息包括敏感信息。该敏感信息为发现消息中至少部分消息。例如该发现消息包括测距层ID及测距要求信息；该敏感信息可以是测距要求信息中测距时间。

在一个实施例中，REK，可用于加密发现消息中敏感信息。

例如，若敏感信息为发现消息中部分消息，如该发现消息包括测距层ID及测距要求信息，该敏感信息可以是测距要求信息中测距时间；则REK可用于对该测距时间加密，以及不对测距要求信息中测距时间以外的其它信息以及测距层ID加密。

又如，若敏感信息为发现消息中全部消息，该REK可用于加密整个发现消息。

该步骤S61中基于发现密钥加密的发现消息，可以是：基于发现密钥中REK加密的发现消息。

该步骤S61中监听第一公告消息，包括：在直接通信(PC5)接口监听第一公告消息。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，包括：在第一UE位于网络覆盖范围外时，在PC5接口监听第一公告消息。

该步骤S62，可以是：基于LTK ID，确定关于LTK ID对应的LTK；基于LTK，确定发现密钥。这里，该第一UE中可以保存LTK ID与LTK的对应关系。示例性的，第一UE可以预先获取到LTK ID与LTK的对应关系；若第一UE从第一公告消息中获取到LTK ID，则可以基于该LTK ID与该对应关系，确定与该LTK ID对应的LTK。

在本公开实施例中，可以通过第一UE在第一UE位于网络覆盖范围外时监听第一公告消息，其中，第一公告消息包括：基于发现密钥加密的发现消息、及指示LTK的LTK ID；并基于与LTK ID对应的LTK，确定发现密钥。如此可以使得第一UE位于网络覆盖范围外时，仍然能够监听到第一公告消息，并基于在网络覆盖范围内时接收的LTK解密确定发现密钥；从而可以实现对发现消息等的解密。如此本公开实施例可以使得在网络覆盖范围外的第一UE获取到网络覆盖范围内的UE发送加密的发现消息，能够实现对发现消息的保护，即能够提供一种部分网络覆盖场景下(例如部分5G网络覆盖场景下)发现消息的保护；从而也可以提升用户体验。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，可包括：

在网络覆盖范围内时，向测距密钥管理功能网元(Ranging Key Management Function，RKMF)发送携带第一UE的标识的LTK请求；

在网络覆盖范围内时，接收RKMF基于LTK请求返回的LTK及LTK ID。

该LTK请求携带第一UE的标识；该第LTK请求用于请求第一UE的LTK和/或与LTK对应的LTK ID。

如此，在本公开实施例中，第一UE在位于网络覆盖范围内时，可以从网络覆盖范围内的RKMF获取到LTK；如此便于后续基于LTK生成的发现密钥给发现消息解密。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

在一些实施例中，该方法包括：基于在网络覆盖范围内时接收的配置信息，确定第一UE是否有权监听；其中，配置信息，包括：各UE的监听权限；

该步骤S61中监听第一公告消息，包括：基于第一UE有权监听，监听第一公告消息。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，包括：

基于在网络覆盖范围内时接收的配置信息，确定第一UE是否有权监听；其中，配置信息，包括：各UE的监听权限；

基于第一UE有权监听，在第一UE位于网络覆盖范围外时监听第一公告消息。

该配置信息可以为：服务配置文件。该配置信息可由应用层定义。

在一个实施例中，第一UE有权监听可以是：有权监听任意UE的公告消息；或者有权预定UE的公告消息；或者，有权监听第二UE的公告消息。这里，第二UE位于网络覆盖范围内。

在一个实施例中，配置信息，包括：各UE的监听权限。例如，配置信息包括：至少一个第一UE及对应的第一UE的监听权限。该监听权限，包括但不限于以下至少之一：第一UE有权监听；第一UE无权监听；第一UE有权监听第一UE；及第一UE无权监听第一UE。这里，该第一UE有权监听，可以是：第一UE有权监听网络覆盖范围内的所有UE或者任意UE等。

示例性的，若配置信息包括：至少一个第一UE的标识及对应的第一UE的监听权限。第一UE在超出网络覆盖范围内时，基于第一UE的标识及配置信息，确定第一UE是否有监听权限；若第一UE确定出第一UE有监听第二UE的权限，则可以在PC5接口监听第二UE发送的第一公告消息。

如此，第一UE可以在确定出第一UE有监听权限时，才监听第二UE发送的第一公告消息；如此，可以进一步针对部分网络覆盖场景下发现消息的保护。

该步骤S62中，基于LTK ID对应的LTK，确定发现密钥，包括：

基于LTK ID对应的LTK，确定中间密钥(KD)；基于KD确定的临时密钥(KD-SESS)；基于 KD-SESS，确定发现密钥中的REK和/或RIK。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，包括：基于LTK ID对应的LTK，确定KD；基于KD确定的KD-SESS；基于KD-SESS，确定发现密钥中的REK和/或RIK。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，包括：基于LTK ID对应的LTK及随机数，确定KD；基于KD及随机数，确定KD-SESS；基于KD-SESS及随机数，确定发现密钥中REK和/或RIK。

如此，在本公开实施例中，第一UE可以通过在位于网络覆盖范围内接收的LTK，确定出用于解密发现消息的发现密钥，从而有利于完成对发现消息的解密。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，包括：基于发现密钥，解密第一公告消息。

该基于发现密钥，解密第一公告消息，包括：基于发现密钥中RIK，对第一公告消息进行完整性验证；和/或，基于发现密钥中REK，解密发现消息。

这里，解密发现消息，包括：解密发现消息中敏感信息。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，包括：基于发现密钥中REK，解密发现消息。

如图7所示，本公开实施例提供一种UE发现消息保护方法，由第一UE执行，包括：

步骤S71：基于RIK确定第一公告消息为完整的，基于REK，解密发现消息。

这里，第一UE确定出发现密钥中RIK及REK后，可以基于RIK对第一公告消息进行完整性验证；若完整性验证成功，确定第一公告消息为完整的，则第一UE基于REK解密发现消息。

基于从第一公告消息获取的时间戳和/随机数，确定第一公告消息是否被重放攻击；

基于第一公告消息未被重放攻击，确定发送第二公告消息；或者，基于第一公告消息被重放攻击，确定不发送第二公告消息；其中，第二公告消息包括与测距查询码对应的测距响应码。

这里，解密第一公告消息，包括：对第一公告消息进行完整性验证和/或对发现消息进行解密。

若时间戳包括在第一公告消息但未包括在发现消息中，则可以直接从第一公告消息中获取到时间戳；若时间戳包括在第一公告消息的发现消息时，则需要解密发现消息以获取到时间戳。

示例性的，第一UE若确定当前时间不在时间戳指示的有效期内，和/或若之前接收到过与第一公告消息中的随机数相同的随机数，则确定第一公告消息被重放攻击。

示例性的，第一UE若确定当前时间在时间戳指示的有效期内，和/或若之前未接收到与第一公告消息中的数据数相同的随机数，则确定第一公告消息未被重放攻击。

该测距响应码，可用于指示第一UE接收到第一公告消息。

如此，在本公开实施例中，第一UE还可以从第一公告消息中获取到时间戳和/或随机数，确定第一公告消息是否被重放攻击；从而可以提升对发现消息的保护力度。且若第一公告消息未被重放攻击时，可以通过发送第二公告消息以通知第二UE：第一UE已接收到第一公告消息；或者，若第一供公告消息已被重放攻击时，可以通过不发送第二公告消息以告知第二UE：第一UE未成功获取到第一公告消息。

在一些实施例中，方法还包括：在接收到第一公告消息后，发送第二公告消息。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，包括：发送第二公告消息，其中，第二公告消息中携带与测距查询码对应的测距响应码。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，包括：在PC5接口发送第一二公告消息。

在一些实施例中，第一公告消息包括：测距查询码，用于标识第一公告消息；

方法包括：基于测距查询码与预先配置的测距查询过滤器匹配，发送第二公告消息；其中，第二公告消息包括与测距查询码对应的测距响应码。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，可包括：基于测距查询码与预先配置的测距查询过滤器匹配，发送第二公告消息；其中，第二公告消息包括与测距查询码对应的测距响应码。

这里，测距查询过滤器，可用于过滤第一公告消息。若第一UE预先配置的测距查询过滤器与第一公告消息中测距查询码匹配，确定第一公告消息为需要监听的第一公告消息。

如此，在本公开实施例中，第一UE还可以通过测距查询过滤器过滤掉不匹配的测距查询码对应的第一公告消息，使得第一UE可以接收准确的第一公告消息。

该发送第二公告消息，包括：发送使用REK和/或RIK保护后的第二公告消息。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，可包括：在PC5接口发送使用REK和/或RIK保护后的第二公告消息。

这里，使用REK和/或RIK保护后的第二公告消息，包括：使用REK对第二公告消息中敏感信息加密，和/或，使用RIK对第二公告消息进行完整性保护。

这里，可以理解的是，保护包括完整性保护和/或机密性保护；该机密性保护是第一UE自定义的。

这里，给第二公开消息加密的发现密钥，与给第一公告消息解密的发现密钥是一致的。如此，当第二UE接收到第二公告消息后，也可以用加密第一公告消息的发现密钥给第二公告消息进行解密。

在本公开实施例中，第一UE也可以对第二公告消息进行加密后公告，如此也可以提升第二公告消息的保密性。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，可包括：发送第二公告消息；其中，第二公告消息包括与测距查询码对应的测距响应码。

在一些实现方式中，第二公告消息为：使用REK和/或RIK保护的第二公告消息。该第二公告消息可以参考本公开其他实施例的表述，在此不再赘述。

在一些实现方式中，该测距查询码可以为通过第一公告消息获得的。

以下一种UE发现消息保护方法，是由第二UE执行，与上述由第一UE执行的UE发现消息保护方法的描述是类似的；且对于由第二UE执行的UE发现消息保护方法实施例中未披露的技术细节，请参照由第一UE执行的UE发现消息保护方法示例的描述，在此不做详细描述说明。

如图8所示，本公开实施例提供一种UE发现消息保护方法，由第二UE执行，包括：

步骤S81：在第二UE位于网络覆盖范围内时发送第一公告消息，其中，第一公告消息包括：基于发现密钥加密的发现消息，及指示LTK的LTK ID；

在本公开的一些实施例中，第一公告消息为步骤S61中第一公告消息；发现消息、发现密钥分别为步骤S61中发现消息、发现密钥；LTK ID为步骤S61中LTK ID。

例如，该第一公告消息，包括但不限于以下至少之一：

基于发现密钥加密的发现消息；

指示LTK的LTK ID；

安全算法标识，用于标识第一公告消息所使用的安全算法；

用于标识第一公告消息的测距查询码；

随机数，用于与LTK一起，确定发现密钥；

时间戳，用于指示发现密钥的有效期。

这里，随机数，也用于与发现密钥一起解密发现消息。

例如，该发现消息，包括但不限于以下至少之一：

时间戳，用于指示发现密钥的有效期；

测距层ID，用于指示需要测距的目标UE；

测距要求信息，用于指示测距的测距要求。

例如，该发现密钥，包括以下至少之一：

REK，用于加密发现消息；

RIK，用于保护第一公告消息的完整性。

这里，第二UE用于加密发现消息的发现密钥是从RKMF中获取的，或者是从RKMF中获取的KD生成的。

该步骤S81中发送第一公告消息，包括：在PC5接口发送第一公告消息。

本公开实施例提供一种UE发现消息保护方法，由第二UE执行，可包括：在PC5接口发送第一公告消息。

如此，在本公开实施例中，可以通过位于网路覆盖范围内的第二UE发送第一公告消息，以使得位于网络覆盖范围外的第一UE能够监听到第一公告消息、并基于在网络覆盖范围内时接收的LTK解密确定发现密钥而实现对发现消息等的解密。如此本公开实施例可以使得在网络覆盖范围外的第一UE获取到网络覆盖范围内的UE发送加密的发现消息，能够实现对发现消息的保护，即能够提供一种部分网络覆盖场景下(例如部分5G网络覆盖场景下)发现消息的保护；从而也可以提升用户体验。

该步骤S81中发送第一公告消息，可包括：基于接收到RKMF发送的发现响应，发送第一公告消息；其中，发现响应用于指示第二UE有权宣告。

本公开实施例提供一种UE发现消保护方法，由第二UE执行，可包括；基于接收到RKMF发送的发现响应，发送第一公告消息；其中，发现响应用于指示第二UE有权宣告。

在一些实施例中，在接收发现响应之前，还包括：向RKMF发送携带第二UE的标识的发现请求，其中，发现请求用于请求第二UE是否有权宣告。

本公开实施例提供一种UE发现消息保护方法，由第一UE执行，可包括：向RKMF发送携带第二UE的标识的发现请求，其中，发现请求用于请求第二UE是否有权宣告。

该发现请求包括：测距层ID，用于指示需要测距的目标UE，或者用于发现的目标UE。

在一个实施例中，该目标UE，也即第二UE确定是否有权监听和/或有权宣告针对的UE。

该发现响应，包括以下至少之一：

测距查询码，用于标识第一公告消息；

测距响应过滤器，用于匹配测距响应码；

随机数，用于与LTK一起，确定发现密钥。

该发现响应，包括以下之一：

LTK ID、及与LTK ID对应的发现密钥；

LTK ID、及随机数；

LTK ID、和生成发现密钥的KD、及与KD对应的随机数。

示例性的，第二UE需要公告消息时，向RKMF发送携带第二标识的发现请求，以请求第二UE是否有权宣告；若RKMF确定出第二UE有权宣告时，向第二UE发送发现响应；则第二UE可基于发现响应，在PC5接口发送第一公告消息。

如此，在本公开实施例中，第二UE可以向RKMF请求宣告第一公告消息的权限，且当确定第二UE有公告权限时才进行第一公告消息的公告；如此，也可以提高第一公告消息保密性。

且，若指示第二UE有权宣告的发现响应可以携带发现密钥或者生成发现密钥的KD或者随机数等，则可以通过一个发现响应实现指示第二UE有权宣告及发送发现密钥等的两个功能；如此可以提高信令的利用率及降低通信设备的功耗等。

本公开实施例提供一种UE发现消息保护方法，由第二UE执行，可包括：基于KD，确定KD-SESS；基于KD-SESS，确定发现密钥。

本公开实施例提供一种UE发现消息保护方法，由第二UE执行，可包括：基于KD及随机数，确定KD-SESS；基于KD-SESS及随机数，确定发现密钥。这里，确定发现密钥，可以是：确定发现密钥中REK和/或RIK。

如此，在本实施例中，若从RKMF获取的是KD，则可以基于KD生成发现密钥。如此也可以将由KD生成发现密钥的过程应用到第二UE中，从而可以减轻RKMF的工作负担。

本公开实施例提供一种UE发现消息保护方法，由第二UE执行，可包括：基于REK，加密发现消息；和/或，基于RIK，对第一公告消息进行完整性保护。

本公开实施例提供一种UE发现消息保护方法，由第二UE执行，可包括：基于测距响应过滤器监听第二公告消息，其中，第二公告消息中包括与测距查询码对应的测距响应码。

这里，该第二公告消息也可以为基于REK和/或RIK进行保护后的公告消息。例如，第二公告消息中敏感信息使用REK加密，第二公告消息使用RIK进行完整性保护。

以上实施方式，具体可以第一UE侧的表述，在此不再赘述。

本公开实施例提供一种UE发现消息保护方法，由第二UE执行，可包括：接收第二公告消息；其中，第二公告消息包括与测距查询码对应的测距响应码。

在一些实现方式中，第二公告消息为：使用REK和/或RIK保护的第二公告消息。

以下一种UE发现消息保护方法，是由RKMF执行，与上述由第一UE和/或第二UE执行的UE发现消息保护方法的描述是类似的；且对于由RKMF执行的UE发现消息保护方法实施例中未披露的技术细节，请参照由第一UE和/或第二UE执行的UE发现消息保护方法示例的描述，在此不做详细描述说明。

如图9所示，本公开实施例提供一种UE发现消息保护方法，由RKMF执行，包括：

步骤S91：接收携带第一UE的标识的LTK请求；

步骤S92：向第一UE发送基于LTK请求确定的LTK及LTK ID；其中，LTK及LTK ID，用于位于网络覆盖范围外的第一UE监听到第二UE发送的第一公告消息后，基于第一公告消息中的LTK ID确定加密第一公告消息中发现消息的发现密钥。

在本公开的一些实施例中，LTK请求为上述实施例中的LTK请求；第一公告消息为步骤S61中第一公告消息；发现消息、发现密钥分别为步骤S61中发现消息、发现密钥；LTK ID为步骤S61中LTK ID。例如，发现密钥，包括：REK和/或RIK。

本公开实施例提供一种UE发现消息保护方法，由RKMF执行，包括：

接收第二UE发送的发现请求；其中，发现请求包括第二UE的标识，用于请求第二UE是否有权宣告；

基于第二UE的标识确定出第二UE有权宣告，向第二UE发送发现响应，其中，发现响应用于指示第二UE有权宣告。

这里，RKMF可以基于发现请求中第二UE的标识及配置信息，确定第二UE是否有权宣告。该配置信息包括：至少一个UE的标识及对应的公告权限。该配置信息包括：服务配置文件；该配置信息可由应用层定义。

本公开实施例提供一种UE发现消息保护方法，由RKMF执行，包括：基于LTK，确定发现密钥或者生成发现密钥的KD。

在本公开的一些实施例中，发现响应可为上述实施例中发现响应。

例如，该发现响应包括以下之一：

LTK ID、及与LTK ID对应的发现密钥；

LTK ID、及随机数；

LTK ID、和生成发现密钥的KD、及与KD对应的随机数。

又如，该发现响应包括以下至少之一：

测距查询码，用于标识第一公告消息；

测距响应过滤器，用于匹配测距响应码；

随机数，用于与LTK一起，确定发现密钥。

在一个实施例中，RKMF可基于发现请求及配置信息，确定第二UE有权宣告的目标UE。该目标UE可认为是需要测距的目标UE。

在一些实施例中，发现请求包括：测距层ID，用于指示需要测距的目标UE；

方法包括：

向统一数据管理网元(Unified Data Management，UDM)发送验证信息，其中，验证信息中包括测距层ID；

接收UDM基于验证信息返回的验证结果，其中，验证结果，包括：目标测距层ID；其中，目标测距层ID，用于指示测距层ID中指示的在网络覆盖范围外的目标UE。

向UDM发送验证信息，其中，验证信息中包括测距层ID；

这里，验证信息，用于请求验证测距层ID中指示的目标UE是否在网络覆盖范围内。这里，目标UE可包括第一UE；测距层ID可包括第一UE的标识。

这里，测距层ID中指示的目标UE，包括：位于网络覆盖范围内的目标ID和/或位于网络覆盖范围外的目标ID。目标测距层ID中指示的目标UE，包括：位于网络覆盖范围外的目标UE。

示例性的，RKMF接收到第二UE发送的发现请求，获取发现请求中的测距层ID；并将测距层ID携带在验证信息中发送给UDM；其中，测距层ID至少包括第一UE的标识。这里，UDM可基于检查目标UE的状态，确定目标UE是否在网络覆盖范围内；若确定至少部分目标UE在网络覆盖范围外，则确定向RKMF发送验证结果；该验证结果包括目标测距层ID，该目标测距层ID，包括位于网络覆盖范围内的该至少部分目标UE。

在上述示例中，UDM也可以用于检测目标UE的状态，确定各目标UE是否在网络覆盖范围内；并将各目标UE是否在网络覆盖范围内的验证结果发送给RKMF。

如此，在本公开实施例中，RKMF可以基于第二UE的发现请求，通过向UDM发送验证信息以验证发现请求中指示的目标UE是否位于网络覆盖范围外；若是，则确定第二UE可以发送第一公告消息以使得有权监听的UE进行监听。如此，可以针对网络覆盖范围外的UE进行发现消息的发送。

该基于LTK，确定发现密钥或者生成发现密钥的KD，包括：

基于第一UE的标识被包括在目标测距层ID中，且第一UE的可用密钥失效，基于LTK确定发现密钥或者生成发现密钥的KD。

在本公开实施例中，任意一种导致可用密钥失效的方式均可；例如，该可用密钥失效可以是但不限于是：可用密钥的有效期到期。

本公开实施例提供一种UE发现消息保护方法，由RKMF执行，可包括：基于第一UE的标识被包括在目标测距层ID中，且第一UE的可用密钥失效，基于LTK确定发现密钥或者生成发现密钥的KD。

本公开实施例提供一种UE发现消息保护方法，由RKMF执行，可包括：基于第一UE的标识被包括在目标测距层ID中，且第一UE的可用密钥的有效期到期，基于LTK确定发现密钥或者生成发现密钥的KD。

这里，第一UE的标识被包括在目标测距层ID中，即，第一UE是目标UE中其中之一的UE。

这里，第一UE的可用密钥是：第一UE在网络覆盖范围内时接收到的发现密钥。例如，可以是第一UE在网络覆盖范围内接收到的RKMF发送的发现密钥。

如此，在本公开实施例中，RKMF可以在确定第一UE位于网络覆盖范围外且在网络覆盖范围时接收到的发现密钥到期时，才基于LTK确定发现密钥或者生成发现密钥的中间密钥。如此才使得第二UE发送给第一UE的加密的发现消息，基于新的发现密钥解密。如此，可以降低由于第一UE仍在网络覆盖范围内和/或第一UE的可用密钥还未失效时无需更新发现密钥时，而更新发现密钥所带来的资源的浪费；可以节省网络资源及通信设备的功耗等。

以上实施方式，具体可以第一UE侧的表述，在此不再赘述。

以下一种UE发现消息保护方法，是由UDM执行，与上述由第一UE、第二UE和/或RKMF执行的UE发现消息保护方法的描述是类似的；且对于由UDM执行的UE发现消息保护方法实施例中未披露的技术细节，请参照由第一UE、第二UE、和/或RKMF执行的UE发现消息保护方法示例的描述，在此不做详细描述说明。

本公开实施例提供一种UE发现消息保护方法，由UDM执行，可包括：

接收RKMF发送的验证信息，其中，验证信息中包括测距层ID；验证信息用于请求验证测距层ID中指示的目标UE是否在网络覆盖范围内；

向RKMF发送验证结果，其中，验证结果，包括：目标测距层ID；其中，目标测距层ID，用于指示测距层ID中指示的在网路覆盖范围外的目标UE。

基于测距层ID，确定测距层ID对应目标UE是否在网络覆盖范围内；

基于在网络覆盖范围外的目标UE的标识，确定目标测距层ID。

这里，UDM也可以基于第一UE的标识及目标测距层ID，确定第一UE是否为网络覆盖范围外。若第一UE的标识包括在目标测距层ID中，确定第一UE在网络覆盖范围外。

以上实施方式，具体可以第一UE侧的表述，在此不再赘述。

为了进一步解释本公开任意实施例，以下提供几个具体实施例。

示例一：

首先对UE发现消息保护方法的应用场景做以下说明：在5G网络覆盖下的安全测距发现过程的场景，可引入UE发现消息保护方法；该UE发现消息保护方法中，可按照应按照3GPP TS 33.501中所述设置安全算法标识。这里，离开5G网络覆盖范围的第一UE已经由网络设备预先配置或提供可发现的目标UE的信息。这里，为了保护UE和RKMF之间的通信，UE和RKMF应支持3GPP TS 33.503第5.2.5条中的安全条件和步骤。这里，第二UE支持第一UE使用的安全算法。

如图10所示，本公开实施例提供一种UE发现消息保护方法，由通信设备执行，通信设备包括：第一UE、第二UE、RKMF及UDM；方法包括：

步骤S1001：第一UE在5G网络覆盖范围内时，发送LTK请求；

在一个可选实施例中，第一UE在5G网络覆盖范围内，发送携带第一UE的标识的LTK请求，以从RKMF获取LTK。

步骤S1002：第一UE在5G网络覆盖范围内时，接收LTK响应；

在一个可选实施例中，在步骤S132之前，RKMF接收到LTK请求后，生成并发送第一UE的LTK及LTK ID。

在一个可选实施例中，第一UE在5G网络覆盖范围内时，接收RKMF发送的LTK响应；其中，LTK响应包括：与第一UE的标识对应的LTK及LTK ID。

步骤S1003：确定有权在PC5接口监听；

在一个可选实施例中，第一UE在接收到LTK及LTK ID时，基于在5G网络覆盖范围内时获得的配置信息，确定在5G网络覆盖范围外时有权监听。

步骤S1004：发送发现请求；

在一个可选实施例中，第二UE在5G网络覆盖范围内；第二UE通过向RKMF发送携带第二UE的标识的发现请求，以请求在PC5接口公告。

步骤S1005：发现授权；

在一个可选实施例中，RKMF基于发现请求及服务配置文件发现目标UE；服务配置文件可由应用层定义。

步骤S1006：发送5G网络覆盖范围的状态请求；

在一个可选实施例中，为了验证第二UE的所有目标UE是否在5G网络覆盖范围内，RKMF将测距层ID发送给UDM。这里，测距层ID，包括目标UE的标识。

步骤S1007：发送5G网络覆盖范围的状态响应；

在一个可选实施例中，UDM检测所有目标UE的状态，并将验证结果发送给RKMF。若第一UE是第二UE的目标UE中之一，UDM确定第一UE位于5G网络覆盖范围外。

这里，该验证结果，可认为是状态响应；这里，UDM确定目标UE是位于5G网络覆盖范围时，发送携带目标测距层ID的验证结果，该目标测距层ID，指示测距层ID中指示的在网络覆盖范围外的目标UE。

步骤S1008：生成KD；

在一个可选实施例中，RKMF根据UDM发送的状态响应，若确定RKMF分配给第一UE的发现密钥失效，RKMF为第一UE生成新的发现密钥。RMKF基于TS 33.220附录B中规定的密钥生成函数(KDF)，基于第一UE的LTK生成第一UE的KD。

步骤S1009：接收发现响应；

在一个可选实施例中，RKMF向第二UE发送发现响应，包括：第一UE的LTK ID、测距查询码、测距响应过滤器、KD、用于派生发现密钥的随机数(nonce)及安全算法标识。

步骤S1010：在PC5接口宣告第一公告消息；

第一公告消息，包括：测距查询码、时间戳、测距层ID及测距要求信息；第一公告消息还包括：LTK ID和用于派生发现密钥的随机数。这里，该测距查询码、时间戳、目标测距层ID及测距要求信息的其中至少之一为上述实施例中发现消息中的信息。

在一个可选实施例中，第二UE首先利用REK加密第一公告消息中敏感信息；然后利用RIK对包括加密后的敏感信息的发现消息、第一UE的LTK ID、用于派生发现密钥的随机数进行完整性保护，以获得第一公告消息；第二UE在PC5接口宣告第一公告消息。该敏感信息为发现消息中至少部分信息。

步骤S1011：生成发现密钥；

在一个可选实施例中，第一UE在接收到来自第二UE的第一公告消息时，基于随机数和LTK，计算REK和RIK。第一UE使用新生成的RIK，首先验证第一公告消息的完整性。如果第一公告消息被修改，第一UE将中止第二UE的第一公告消息。然后第一UE解密第一公告消息。此外，第一 UE可检查完整性保护的时间戳和随机数；若时间戳和/或随机指示存在重放攻击，第一UE中止第二UE的第一公告消息。

步骤S1012：在PC5接口宣告第二公告消息；

在一个可选实施例中，第一UE若确定第二UE的测距查询码与第一UE预先配置的测距查询过滤器匹配，则在PC5接口公告包括相应的测距响应码的第二公告消息。第二公告消息也受REK和RIK保护。

步骤S1013：在PC5接口进行监听。

在一个可选实施例中，第二UE使用RKMF发送的测距响应过滤器在PC5接口上进行监听。

示例二：

本公开实施例提供一种密钥派生方法。

步骤A：基于LTK计算KD，应使用以下参数构成KDF的输入：

FC＝0x58；

P0＝Nonce_1；

L0＝length of Nonce_1(i.e.0x00 0x03)；

P1＝Nonce_2；

L1＝length of Nonce_2(i.e.0x00 0x10)；

P2＝Nonce_3；

L2＝length of Nonce_3(i.e.0x00 0x10)。

这里，输入密钥应为256位LTK。

步骤B：基于KD计算KD-SESS，应使用以下参数构成KDF的输入：

FC＝0x5E；

P0＝Nonce_4；

L0＝length of Nonce_4(i.e.0x00 0x10)；

P1＝Nonce_5；

L1＝length of Nonce_5(i.e.0x00 0x10)。

这里，输入密钥应为256位KD。

步骤C：基于KD-SESS计算RIK或REK，应使用以下参数形成KDF的输入：

FC＝0x5B；

P0＝0x00 if REK is being derived or 0x01 if RIK is being derived；

L0＝length of P0(i.e.0x00 0x01)；

P1＝algorithm identity；

L1＝length of algorithm identity(i.e.0x00 0x01)；

NOTE:Void。

这里，输入密钥应为256位KD-SESS。

这里，对于长度为n位的输入密钥，其中n小于或等于256；KDF输出的256位中的n个最低有效位应用作输入密钥。

如图11所示，本公开实施例提供一种UE发现消息保护装置，应用于第一UE，包括：

第一接收模块51，被配置为在第一UE位于网络覆盖范围外时监听第一公告消息；其中，第一公告消息包括：基于发现密钥加密的发现消息、及指示LTK的LTK ID；

第一处理模块52，被配置为基于与LTK ID对应的LTK，确定发现密钥；其中，LTK为第一UE在网络覆盖范围内时接收的。

本公开实施例提供一种UE发现消息保护装置，应用于第一UE，可包括：

第一处理模块52，被配置为基于在网络覆盖范围内时接收的配置信息，确定第一UE是否有权监听；其中，配置信息，包括：各UE的监听权限；

第一接收模块51，被配置为基于第一UE有权监听，监听第一公告消息。

本公开实施例提供一种UE发现消息保护装置，应用于第一UE，可包括：第一接收模块51，被配置为在PC5接口监听第一公告消息。

第一发送模块，被配置为在网络覆盖范围内时，向RKMF发送携带第一UE的标识的LTK请求；

第一接收模块51，被配置为在网络覆盖范围内时，接收RKMF基于LTK请求返回的LTK及LTK ID。

在一些实施例中，发现消息，包括以下至少之一：

测距层ID，用于指示需要测距的目标UE；

测距要求信息，用于指示测距的测距要求。

在一些实施例中，发现密钥至少包括以下之一：

REK，用于加密发现消息；

RIK，用于保护第一公告消息的完整性。

本公开实施例提供一种UE发现消息保护装置，应用于第一UE，可包括：第一处理模块52，被配置为基于RIK确定第一公告消息为完整的，基于REK，解密发现消息。

本公开实施例提供一种UE发现消息保护装置，应用于第一UE，可包括：第一处理模块52，被配置为基于从第一公告消息获取的时间戳和/随机数，确定第一公告消息是否被重放攻击；

第一处理模块52，被配置为基于第一公告消息未被重放攻击，确定发送第二公告消息；其中，第二公告消息包括与测距查询码对应的测距响应码。

第一处理模块52，被配置为基于第一公告消息被重放攻击，确定不发送第二公告消息。

在一些实施例中，第一公告消息包括：测距查询码，用于标识第一公告消息。

本公开实施例提供一种UE发现消息保护装置，应用于第一UE，可包括：第一发送模块，被配置为基于测距查询码与预先配置的测距查询过滤器匹配，发送第二公告消息；其中，第二公告消息包括与测距查询码对应的测距响应码。

本公开实施例提供一种UE发现消息保护装置，应用于第一UE，可包括：第一发送模块，被配置为发送使用REK和/或RIK保护后的第二公告消息。

本公开实施例中提供一种UE发现消息保护装置，应用于第一UE，可包括：第一发送模块，被配置为发送第二公告消息；其中，第二公告消息包括与测距查询码对应的测距响应码。

在一些实施例中，第二公告消息为：使用REK和/或RIK保护的第二公告消息。

如图12所示，本公开实施例提供一种UE发现消息保护装置，应用于第二UE，包括：

第二发送模块61，被配置为在第二UE位于网络覆盖范围内时发送第一公告消息，其中，第一公告消息包括：基于发现密钥加密的发现消息，及指示LTK的LTK ID；

本公开实施例提供一种UE发现消息保护装置，应用于第二UE，可包括：第二发送模块61，被配置为在PC5接口发送第一公告消息。

本公开实施例提供一种UE发现消息保护装置，应用于第二UE，可包括：第二发送模块61，被配置为基于接收到RKMF发送的发现响应，发送第一公告消息；其中，发现响应用于指示第二UE有权宣告。

本公开实施例提供一种UE发现消息保护装置，应用于第二UE，可包括：第二发送模块61，被配置为向RKMF发送携带第二UE的标识的发现请求，其中，发现请求用于请求第二UE是否有权宣告。

在一些实施例中，发现响应，包括以下之一：

LTK ID、及与LTK ID对应的发现密钥；

LTK ID、及随机数；

LTK ID、和生成发现密钥的KD、及与KD对应的随机数。

本公开实施例提供一种UE发现消息保护装置，应用于第二UE，可包括：第二处理模块，被配置为基于KD，确定KD-SESS；基于KD-SESS，确定发现密钥。

本公开实施例提供一种UE发现消息保护装置，应用于第二UE，可包括：第二处理模块，被配置为基于KD及随机数，确定KD-SESS；基于KD-SESS及随机数，确定发现密钥。

在一些实施例中，发现密钥包括：REK和/或RIK；

本公开实施例提供一种UE发现消息保护装置，应用于第二UE，可包括：第二处理模块，被配置为基于REK，加密发现消息；基于RIK，对第一公告消息进行完整性保护。

在一些实施例中，发现响应，包括以下至少之一：

测距查询码，用于标识第一公告消息；

测距响应过滤器，用于匹配测距响应码；

随机数，用于与LTK一起，确定发现密钥。

本公开实施例提供一种UE发现消息保护装置，应用于第二UE，可包括：第二接收模块，被配置为基于测距响应过滤器监听第二公告消息，其中，第二公告消息中包括与测距查询码对应的测距响应码。

在一些实施例中，发现消息，还包括以下至少之一：

测距层ID，用于指示需要测距的目标UE；

测距要求信息，用于指示测距的测距要求。

本公开实施例提供一种UE发现消息保护装置，应用于第二UE，可包括：接收第二公告消息；其中，第二公告消息包括与测距查询码对应的测距响应码。

如图13所示，本公开实施例提供一种UE发现消息保护装置，应用于RKMF，包括：

第三接收模块71，被配置为接收携带第一UE的标识的LTK请求；

第三发送模块72，被配置为向第一UE发送基于LTK请求确定的LTK及LTK ID；其中，LTK及LTK ID，用于位于网络覆盖范围外的第一UE监听到第二UE发送的第一公告消息后，基于第一公告消息中的LTK ID确定加密第一公告消息中发现消息的发现密钥。

本公开实施例提供一种UE发现消息保护装置，应用于RKMF，可包括：

第三接收模块71，被配置为接收第二UE发送的发现请求；其中，发现请求包括第二UE的标识，用于请求第二UE是否有权宣告；

第三处理模块，被配置为基于第二UE的标识确定出第二UE有权宣告，向第二UE发送发现响应，其中，发现响应用于指示第二UE有权宣告。

本公开实施例提供一种UE发现消息保护装置，应用于RKMF，可包括：第三处理模块，被配置为基于LTK，确定发现密钥或者生成发现密钥的KD；

其中，发现响应包括以下之一：LTK ID、及与LTK ID对应的发现密钥；LTK ID、及随机数；及LTK ID、和生成发现密钥的KD、及与KD对应的随机数。

在一些实施例中，发现响应，包括以下至少之一：

测距查询码，用于标识第一公告消息；

测距响应过滤器，用于匹配测距响应码；

随机数，用于与LTK一起，确定发现密钥。

在一些实施例中，发现请求包括：测距层ID，用于指示需要测距的目标UE。

第三发送模块72，被配置为向统一数据管理网元UDM发送验证信息，其中，验证信息中包括测距层ID；

第三接收模块71，被配置为接收UDM基于验证信息返回的验证结果；其中，验证结果，包括：目标测距层ID；其中，目标测距层ID，用于指示测距层ID中指示的在网络覆盖范围外的目标UE。

本公开实施例提供一种UE发现消息保护装置，应用于RKMF，可包括：第三处理模块，被配置为基于第一UE的标识被包括在目标测距层ID中，且第一UE的可用密钥的有效期到期，基于LTK确定发现密钥或者生成发现密钥的KD。

本公开实施例提供一种发现消息保护装置，应用于UDM中，可包括：

第四接收模块，被配置为接收RKMF发送的验证信息，其中，验证信息中包括测距层ID；验证信息用于请求验证测距层ID中指示的目标UE是否在网络覆盖范围内；

第四发送模块，被配置为向RKMF发送验证结果，其中，验证结果，包括：目标测距层ID；其中，目标测距层ID，用于指示测距层ID中指示的在网路覆盖范围外的目标UE。

本公开实施例提供一种UE发现消息保护装置，应用于UDM中，可包括：

第四处理模块，被配置为基于测距层ID，确定测距层ID对应目标UE是否在网络覆盖范围内；基于在网络覆盖范围外的目标UE的标识，确定目标测距层ID。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的装置，可以被单独执行，也可以与本公开实施例中一些装置或相关技术中的一些装置一起被执行。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本公开实施例提供一种通信设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，处理器被配置为：用于运行可执行指令时，实现本公开任意实施例的定位方法。

在一个实施例中，通信设备可以包括但不限于至少之一：核心网设备、接入网设备、及UE。该UE可以为上述实施例中第一UE或者第二UE；核心网设备可以为上述实施例中RKMF。

其中，处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在用户设备掉电之后能够继续记忆存储其上的信息。

处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序，例如，如图6至图10所示的方法的至少其中之一。

本公开实施例还提供一种计算机存储介质，计算机存储介质存储有计算机可执行程序，可执行程序被处理器执行时实现本公开任意实施例的定位方法。例如，如图6至图10所示的方法的至少其中之一。

关于上述实施例中的装置或者存储介质，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图14是根据一示例性实施例示出的一种用户设备800的框图。例如，用户设备800可以是移动电话，计算机，数字广播用户设备，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图14，用户设备800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制用户设备800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在用户设备800的操作。这些数据的示例包括用于在用户设备800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为用户设备800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为用户设备800生成、管理和分配电力相关联的组件。

多媒体组件808包括在所述用户设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当用户设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当用户设备800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为用户设备800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如所述组件为用户设备800的显示器和小键盘，传感器组件814还可以检测用户设备800或用户设备800一个组件的位置改变，用户与用户设备800接触的存在或不存在，用户设备800方位或加速/减速和用户设备800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于用户设备800和其他设备之间有线或无线方式的通信。用户设备800可以接入基于通信标准的无线网络，如WiFi，4G或5G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，用户设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由用户设备800的处理器820执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

如图15所示，本公开一实施例示出一种基站的结构。例如，基站900可以被提供为一网络侧设备。参照图15，基站900包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述方法前述应用在所述基站的任意方法，例如，如图4至图10所示方法。

基站900还可以包括一个电源组件926被配置为执行基站900的电源管理，一个有线或无线网络接口950被配置为将基站900连接到网络，和一个输入输出(I/O)接口958。基站900可以操作基于存储在存储器932的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM,LinuxTM， FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种UE发现消息保护方法，其中，由第一用户设备UE执行，包括：

在所述第一UE位于网络覆盖范围外时监听第一公告消息；其中，所述第一公告消息包括：基于发现密钥加密的发现消息、及指示长期密钥LTK的LTK标识信息ID；

基于与所述LTK ID对应的LTK，确定所述发现密钥；其中，所述LTK为所述第一UE在网络覆盖范围内时接收的。
根据权利要求1所述的方法，其中，所述方法包括：

基于在网络覆盖范围内时接收的配置信息，确定所述第一UE是否有权监听；其中，所述配置信息，包括：各UE的监听权限；

所述监听第一公告消息，包括：

基于所述第一UE有权监听，监听所述第一公告消息。
根据权利要求1所述的方法，其中，所述监听第一公告消息，包括：

在直接通信PC5接口监听所述第一公告消息。
根据权利要求1所述的方法，其中，所述方法包括：

在网络覆盖范围内时，向测距密钥管理功能网元RKMF发送携带所述第一UE的标识的LTK请求；

在网络覆盖范围内时，接收所述RKMF基于所述LTK请求返回的所述LTK及所述LTK ID。
根据权利要求1至4任一项所述的方法，其中，所述发现消息，包括以下至少之一：

测距层ID，用于指示需要测距的目标UE；

测距要求信息，用于指示测距的测距要求。
根据权利要求1至4任一项所述的方法，其中，所述发现密钥至少包括以下之一：

测距机密性保护密钥REK，用于加密所述发现消息；

测距完整性保护密钥RIK，用于保护第一公告消息的完整性。
根据权利要求6所述的方法，其中，所述方法包括：

基于所述RIK确定所述第一公告消息为完整的，基于所述REK，解密所述发现消息。
根据权利要求7所述的方法，其中，所述方法还包括：

基于从所述第一公告消息获取的时间戳和/随机数，确定所述第一公告消息是否被重放攻击；

基于所述第一公告消息未被重放攻击，确定发送第二公告消息；或者，

基于所述第一公告消息被重放攻击，确定不发送所述第二公告消息；

其中，所述第二公告消息包括与所述测距查询码对应的测距响应码。
根据权利要求1所述的方法，其中，所述第一公告消息包括：测距查询码，用于标识所述第一公告消息；

所述方法包括：

基于所述测距查询码与预先配置的测距查询过滤器匹配，发送第二公告消息；其中，所述第二公告消息包括与所述测距查询码对应的测距响应码。
根据权利要求8或9所述的方法，其中，所述发送第二公告消息，包括：

发送使用所述REK和/或所述RIK保护后的所述第二公告消息。
一种UE发现消息保护方法，其中，由第二用户设备UE执行，包括：

在所述第二UE位于网络覆盖范围内时发送第一公告消息，其中，所述第一公告消息包括：基于发现密钥加密的发现消息，及指示长期密钥LTK的LTK标识信息ID；

其中，所述LTK ID，用于位于网络覆盖范围外的所述第一UE确定与所述LTK ID对应的LTK；所述LTK用于所述第一UE确定所述发现密钥。
根据权利要求11所述的方法，其中，所述发送所述第一公告消息，包括：

在直连通信PC5接口发送所述第一公告消息。
根据权利要求11或12所述的方法，其中，所述发送第一公告消息，包括：

基于接收到测距密钥管理功能网元RKMF发送的发现响应，发送所述第一公告消息；其中，所述发现响应用于指示所述第二UE有权宣告。
根据权利要求13所述的方法，其中，所述方法包括：

向所述RKMF发送携带所述第二UE的标识的发现请求，其中，所述发现请求用于请求所述第二UE是否有权宣告。
根据权利要求13所述的方法，其中，所述发现响应，包括以下之一：

所述LTK ID、及与所述LTK ID对应的所述发现密钥；

所述LTK ID、及随机数；

所述LTK ID、和生成所述发现密钥的所述KD、及与所述KD对应的随机数。
根据权利要求15所述的方法，其中，所述方法包括：

基于所述KD，确定临时密钥KD-SESS；

基于所述KD-SESS，确定所述发现密钥。
根据权利要求16所述的方法，其中，所述发现密钥包括：测距机密性保护密钥REK和/或测距完整性保护密钥RIK；

所述方法包括以下至少之一：

基于所述REK，加密所述发现消息；

基于所述RIK，对所述第一公告消息进行完整性保护。
根据权利要求13所述的方法，其中，所述发现响应，包括以下至少之一：

测距查询码，用于标识所述第一公告消息；

测距响应过滤器，用于匹配测距响应码；

随机数，用于与所述LTK一起，确定所述发现密钥。
根据权利要求18所述的方法，其中，所述方法还包括：

基于所述测距响应过滤器监听第二公告消息，其中，所述第二公告消息中包括与所述测距查询码对应的测距响应码。
根据权利要求11所述的方法，其中，所述发现消息，还包括以下至少之一：

测距层ID，用于指示需要测距的目标UE；

测距要求信息，用于指示测距的测距要求。
一种UE发现消息保护方法，其中，由测距密钥管理功能网元RKMF执行，包括：

接收携带所述第一UE的标识的LTK请求；

向所述第一UE发送基于所述LTK请求确定的LTK及LTK ID；其中，所述LTK及LTK ID，用于位于网络覆盖范围外的所述第一UE监听到所述第二UE发送的第一公告消息后，基于所述第一公告消息中的LTK ID确定加密所述第一公告消息中发现消息的发现密钥。
根据权利要求21所述的方法，其中，所述方法包括：

接收所述第二UE发送的发现请求；其中，所述发现请求包括第二UE的标识，用于请求所述第二UE是否有权宣告；

基于所述第二UE的标识确定出所述第二UE有权宣告，向所述第二UE发送发现响应，其中，所述发现响应用于指示所述第二UE有权宣告。
根据权利要求22所述的方法，其中，所述方法包括：

基于所述LTK，确定所述发现密钥或者生成所述发现密钥的中间密钥KD；

其中，所述发现响应包括以下之一：

所述LTK ID、及与所述LTK ID对应的所述发现密钥；

所述LTK ID、及随机数；

所述LTK ID、和生成所述发现密钥的所述KD、及与所述KD对应的随机数。
根据权利要求23所述的方法，其中，所述发现响应，包括以下至少之一：

测距查询码，用于标识所述第一公告消息；

测距响应过滤器，用于匹配测距响应码；

随机数，用于与所述KD一起，确定所述发现密钥。
根据权利要求22或23所述的方法，其中，所述发现请求包括：测距层ID，用于指示需要测距的目标UE；

所述方法包括：

向统一数据管理网元UDM发送验证信息，其中，所述验证信息中包括所述测距层ID；

接收所述UDM基于所述验证信息返回的验证结果；其中，所述验证结果，包括：目标测距层ID；所述目标测距层ID，用于指示所述测距层ID中指示的网络覆盖范围外的所述目标UE。
根据权利要求25所述的方法，其中，所述基于所述LTK，确定所述发现密钥或者生成所述发现密钥的中间密钥KD，包括：

基于所述第一UE的标识被包括在所述目标测距层ID中，且所述第一UE的可用密钥失效，基于所述LTK确定发现密钥或者生成所述发现密钥的中间密钥KD。
一种UE发现消息保护装置，其中，应用于第一用户设备UE，包括：

第一接收模块，被配置为在所述第一UE位于网络覆盖范围外时监听第一公告消息；其中，所述第一公告消息包括：基于发现密钥加密的发现消息、及指示长期密钥LTK的LTK标识信息ID；

第一处理模块，被配置为基于与所述LTK ID对应的LTK，确定所述发现密钥；其中，所述LTK为所述第一UE在网络覆盖范围内时接收的。
一种UE发现消息保护装置，其中，应用于第二用户设备UE，包括：

第二发送模块，被配置为在所述第二UE位于网络覆盖范围内时发送第一公告消息，其中，所述第一公告消息包括：基于发现密钥加密的发现消息，及指示长期密钥LTK的LTK标识信息ID；

其中，所述LTK ID，用于位于网络覆盖范围外的所述第一UE确定与所述LTK ID对应的LTK；所述LTK用于所述第一UE确定所述发现密钥。
一种UE发现消息保护装置，其中，应用于测距密钥管理功能网元RKMF，包括：

第三接收模块，被配置为接收携带所述第一UE的标识的LTK请求；

第三发送模块，被配置为向所述第一UE发送基于所述LTK请求确定的LTK及LTK ID；其中，所述LTK及LTK ID，用于位于网络覆盖范围外的所述第一UE监听到所述第二UE发送的第一公告消息后，基于所述第一公告消息中的LTK ID确定加密所述第一公告消息中发现消息的发现密钥。
一种通信设备，其中，所述通信设备，包括：

处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为：用于运行所述可执行指令时，实现权利要求1至10、或者权利要求11至20、或者权利要求21至26任一项所述的UE发现消息保护方法。
一种计算机存储介质，其中，所述计算机存储介质存储有计算机可执行程序，所述可执行程序被处理器执行时实现权利要求1至10、或者权利要求11至20、或者权利要求21至26任一项所述的UE发现消息保护方法。