WO2023201551A1

WO2023201551A1 - 信息处理方法及装置、通信设备及存储介质

Info

Publication number: WO2023201551A1
Application number: PCT/CN2022/087779
Authority: WO
Inventors: 商正仪; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-04-19
Filing date: 2022-04-19
Publication date: 2023-10-26
Also published as: CN117256166A

Abstract

本公开实施例提供一种信息处理方法及装置、通信设备及存储介质。由第一远端UE执行的信息处理方法，可包括：获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护（S1110）；根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护（S1120）。

Description

信息处理方法及装置、通信设备及存储介质

技术领域

本公开涉及无线通信技术领域但不限于无线通信技术领域，尤其涉及一种信息处理方法及装置、通信设备及存储介质。

背景技术

邻近业务(Proximity based service，Prose)允许对等端终端通过用户设备(User Equipment，UE)-到(to)-UE中继进行通信。这意味着，如果源UE无法直接到达目标UE，源UE将尝试发现UE-to-UE中继到达目标UE，且在源UE通过中继UE与目标UE通信之前，源UE需要通过中继UE来发现目标UE。事实上，UE-to-UE中继作为一个不受信任中间传输节点可能会受到损害，从而导致对等UE之间信息的安全性受到损害。

恶意的中继UE与源UE和目标UE建立单播链路，可能会对终端进行中间人攻击(Man-in-the-Middle Attack，MITM)。因此，通过UE-to-UE中继进行通信的对端终端之间需要实现端到端连接的安全性。

直连发现名字管理功能(Direct Discovery Name Management Function，DDNMF)是一种可以向UE提供必要的安全信息以保护发现消息的网元。且该DDNMF可与邻近业务服务器(Prose Application Server)交互，以授权发现请求。

发明内容

本公开实施例提供一种信息处理方法及装置、通信设备及存储介质。

本公开实施例第一方面提供一种信息处理方法，其中，由第一远端用户设备UE执行，所述方法包括：

获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的信息完整性保护。

本公开实施例第二方面提供一种信息处理方法，由中继UE执行，所述方法包括：

根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE 相互发现的信息完整性保护。

本公开实施例第三方面提供一种信息处理方法，其中，由DDNMF执行，所述方法还包括：

接收远端UE和/或中继UE发送的请求消息；

根据所述请求消息，向所述远端UE和/或中继UE发送第一密钥；所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护，还用于生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的信息完整性保护。

本公开实施例第四方面提供一种信息处理装置，其中，所述装置包括：

第一获取模块，被配置为获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

第一生成模块，被配置为根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的信息完整性保护。

本公开实施例第五方面提供一种信息处理装置，所述装置包括：

第二获取模块，被配置为获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

第三生成模块，被配置为根据所述第一密钥生成第二密钥，其中，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的信息完整性保护。

本公开实施例第六方面提供一种信息处理装置，其中，所述装置还包括：

第三接收模块，被配置为接收远端UE和/或中继UE发送的请求消息；

第三发送模块，被配置为根据所述请求消息，向所述远端UE和/或中继UE发送第一密钥；所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护，还用于生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的信息完整性保护。

本公开实施例第七方面提供一种通信设备，包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，其中，所述处理器运行所述可执行程序时执行如前述第一方面至第三方面任意一个方面提供的信息处理方法。

本公开实施例第八方面提供一种计算机存储介质，所述计算机存储介质存储有可执行程序；所述可执行程序被处理器执行后，能够实现前述的第一方面至第三方面任意一个方面提供的信息处理方法。

本公开实施例提供的技术方案，与UE相关的策略，是根据UE的物理状态信息确定的，如此确定的控制UE的数据流的策略，不会仅仅兼顾网络状况而忽略了UE的物理状况，减少制定的策略与UE的物理状况不符导致的网络资源浪费和/或UE的通信质量差的现象，提升了UE的通信质量，并减少了网络资源浪费。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开实施例。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明实施例，并与说明书一起用于解释本发明实施例的原理。

图1是根据一示例性实施例示出的一种无线通信系统的结构示意图；

图2是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图3是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图4是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图5是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图6是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图7是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图8是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图9是根据一示例性实施例示出的一种信息处理方法的流程示意图；

图10是根据一示例性实施例示出的一种信息处理装置的结构示意图；

图11是根据一示例性实施例示出的一种信息处理装置的结构示意图；

图12是根据一示例性实施例示出的一种信息处理装置的结构示意图；

图13是根据一示例性实施例示出的一种UE的结构示意图；

图14是根据一示例性实施例示出的一种通信设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明实施例相一致的所有实施方式。相反，它们仅是本发明实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于蜂窝移动通信技术的通信系统，该无线通信系统可以包括：若干个UE11以及若干个接入设备12。

其中，UE11可以是指向用户提供语音和/或数据连通性的设备。UE11可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，UE11可以是物联网UE，如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网UE的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)、移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远端UE(remote terminal)、接入UE(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户UE(user equipment，UE)。或者，UE11也可以是无人飞行器的设备。或者，UE11也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线通信设备。或者，UE11也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

接入设备12可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口(new radio，NR)系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代系统。其中，5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network，新一代无线接入网)。或者，MTC系统。

其中，接入设备12可以是4G系统中采用的演进型接入设备(eNB)。或者，接入设备12也可以是5G系统中采用集中分布式架构的接入设备(gNB)。当接入设备12采用集中分布式架构时，通常包括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对接入设备12的具体实现方式不加以限定。

接入设备12和UE11之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

如图2所示，本公开实施例提供一种信息处理方法，其中，由第一远端UE执行，所述方法包括：

S1110：获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

S1120：根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的信息完整性保护。

该第一远端UE可为UE到UE之间中继通信的源UE或者目标UE。

第一密钥可为第一远端UE通过中继UE与网络设备时使用的完整性保护密钥，可以用于第一远端UE通过中继UE向网络发送数据时进行完整性保护的密钥，或者，用于中继UE向第一远端UE转发网络设备提供的数据时进行完整性保护的密钥。

所述第一密钥的长度可为128比特、256比特、64比特或者512比特等。

在一些实施例中，示例性地，利用密钥推导函数依据所述第一密钥推导出所述第二密钥。进一步地，利用密钥推导函数依据所述第一密钥自身和所述第一密钥的长度推导出所述第二密钥。

在本公开实施例中，会根据第一密钥生成第二密钥，该第二密钥可以用于两个远端UE之间通过中继UE之间相互发现的完整性保护，从而确保两个远端UE之间相互发现的安全性。

如图3所示，本公开实施例提供一种信息处理方法，其中，由第一远端UE执行，所述方法包括：

S1210：获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

S1220：向所述中继UE发送第一随机数；

S1230：接收中继UE发送的第二随机数；

S1240：根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥。

此处第一远端UE和中继UE之间交互的随机数与所述第一密钥一同作为生成(或者说推导)所述第二密钥的输入参数。

故在一些实施例中，所述S1240可包括：根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥。

具体地如，所述S1240可包括：根据所述第一随机数自身、所述第一随机数的长度、第二随机数自身、所述第二随机数的长度以及所述第一密钥，生成所述第二密钥。

所述第一随机数的长度和所述第二随机数的长度都可分别为：第一随机数写成二进制之后的比特数和第二随机数写成二进制的比特数。

在另一些实施例中，所述S1240还可包括：

根据所述第一密钥、所述第一远端UE和第二远端UE之间进行完整性保护算法的标识，生成所述第二密钥。示例性地，根据第一密钥、第一密钥的长度、所述标识自身以及所述标识的长度，生成第二密钥。

当然以上仅仅是对生成第二密钥的举例，具体实现时不局限于上述举例。

在一些实施例中，所述方法还包括：

接收所述中继UE发送的认证方式的标识信息；

所述根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥，包括：

根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥。

中继UE发送的用于供第一远端UE和第二远端UE之间相互发现使用的认证方式，该认证方式的标识信息同样可以作为第二密钥的输入参数。

该认证方式，用于所述第一远端UE和所述第二远端UE之间建立端到端连接时的相互认证。

示例性地，所述根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥，包括：

根据所述第一随机数、所述第二随机数、所述标识信息、所述标识信息的长度以及所述第一密钥，生成所述第二密钥。

例如，根据所述第一随机数、所述第二随机数、所述标识信息、所述标识信息的长度以及所述第一密钥，生成所述第二密钥，可包括：根据所述第一随机数、所述第一随机数的长度、所述第二随机数、所述第二随机数的长度、所述标识信息、所述标识信息的长度以及所述第一密钥，生成所述第二密钥。

所述认证方式可有多种，不同的认证方式可以生成不同的第二密钥。第一远端UE和第二远端UE之间相互发现之后认证方式也不同。通过认证方式的第一远端UE和第二远端UE可为互为信任的UE。

如图4所示，本公开实施例提供一种信息处理方法，其中，由第一远端UE执行，所述方法包括：

S1310：当认证方式为预定方式时，向中继UE发送第一消息，其中，所述第一消息使用第二密钥进行完整性保护；该第二密钥可以前述任意技术方案确定的密钥；

S1320：接收所述中继UE转发的第二远端UE发送的第二消息；

S1330：根据所述第二密钥对所述第二消息进行完整性保护验证；

S1340；当所述第二消息通过完整性保护验证时，确定通过所述中继UE建立所述第一远端UE与所述第二远端UE之间端到端连接。

在所述预定方式包括但不限于：网络密钥交换协议版本2(Internet Key Exchange Protocol Version2(IKEv2)时，第一远端UE会向中继UE发送第一消息。

该第一消息使用所述第二密钥进行完整性保护，如此，中继UE收到所述第一消息之后，先通过第二密钥对所述第一消息进行完整性保护，若所述第一消息完整性保护通过，则中继会UE向第二远端UE转发所述第一消息。如此，中继UE使用第二密钥发现第一远端UE的第一消息被篡改了，则第一远端UE收到的可能拒绝消息或者提示信息。该拒绝消息指示拒绝建立第一远端UE和第二远端UE之间的端到端连接。该提示信息可用于提示第一消息被篡改了，中继UE接收到的第一消息没有通过完整性保护验证。

若第一远端UE为UE到UE之间中继通信的源UE，则第二远端UE为目标UE；若第一远端UE为UE到UE之间中继通信目标UE，则第二远端UE为源UE。

当然也可与可能是第一UE先接收到中继UE的第二消息，第一UE再发送第一消息。

在本公开实施例中，第一远端UE会使用第二密钥对第二消息进行完整性保护。在校验通过之后，通过中继UE建立第一远端UE和第二远端UE之间的端到端连接。

在一些实施例中，所述第二消息包括校验值1；所述根据所述第二密钥对所述第二消息进行完整性保护，包括：

使用所述第二密钥和完整性保护算法对所述第二消息除所述校验值1以外的内容进行计算，得到校验值2；

比对所述校验值1和所述校验值2；

若所述校验值1和所述校验值2相同，则确定第二消息通过完整性保护验证。

在一些实施例中，所述第二消息还可携带有证书发送指示符，用于指示向第二远端UE返回所述第一远端UE的证书。若第一远端UE接收到该证书发送指示符，若确定与第二远端UE建立安全的端到端连接，则会在端到端连接的建立过程的信息交互时，将第一远端UE的证书返回给第二远端UE。

当所述第二消息通过完整性保护验证时，确定通过所述中继UE建立所述第一远端UE与所述第二远端UE之间端到端连接，包括：

当所述第二消息通过完整性保护验证时，通过所述中继UE向所述第二远端UE发送连接建立请求，并接收所述第二远端UE基于所述连接建立请求返回的连接建立响应；

或者，

接收到所述第二远端UE的连接建立请求，若所述第二消息通过完整性保护验证，向所述第二远端UE发送指示同意连接建立的连接建立响应，以与第二远端UE建立端到端连接。

在一些实施例中，第二密钥的引入可以使得第一远端UE和第二远端UE之间的消息得到完整性保护，如此第一远端UE和第二远端UE通过该端到端连接进行信息的安全性。

在一个实施例中，该端到端连接可为：基于PC5接口的端到端连接。

在一些实施例中，所述方法还包括：

根据所述第一消息携带的第一随机数、第一密钥交换信息和所述第二消息携带的第二随机数、第二密钥交换信息，生成密钥种子；

根据所述密钥种子，生成完整性保护密钥和机密性保护密钥，其中，所述完整性保护密钥和机密性保护密钥，用于第一远端UE和所述第二远端UE通过所述中继UE建立端到端通信的完整性保护和机密性保护。

在本公开实施例中，第一密钥交换信息可为生成所述密钥种子的一个多个参数。

示例性地，所述密钥种子可为第一远端UE和第二远端UE之间使用非对称机密性保护或非对称完整性保护的私钥种子。当然以上仅仅是举例。

在上述密钥种子生成之后，根据密钥种子生成完整性保护密钥和机密性保护密钥。

完整性保护密钥可用于第一远端UE和第二远端UE通过中继UE传输信息的完整性保护。

机密性保护密钥可用于第一远端UE和第二远端UE通过中继UE传输信息的加密保护。

在一些实施例中，所述确定通过所述中继UE建立所述第一远端UE与所述第二远端UE之间端到端连接，包括：

向所述第二远端UE发送第三消息；其中，所述第三消息，用所述完整性保护密钥和机密性保护密钥分别进行完整性保护和所述机密性保护；

接收与所述第三消息对应的第四消息，其中，所述完整性保护密钥，用于对所述第四消息进行完整性保护，且所述机密性保护密钥用于解密所述第四消息。

此处的第三消息和第四消息中的一个可为连接建立请求，另一个为连接建立响应。当然此处仅仅是第三消息和第四消息的举例，具体实现时不局限于该举例。

该第三消息和第四消息可以没有一定的先后顺序，例如，第一远端UE可以先接收第四消息再发送第三消息；或者，第一远端UE先发第三消息再接收第四消息，或者，第一远端UE在接收第四消息的同时发送所述第三消息。

所述第三消息至少包括以下至少之一：

所述第一远端UE的证书；

证书发送指示符，用于指示返回所述第二远端UE的证书；

第一校验值，所述第一校验值用于供所述第二远端UE校验所述第一消息、所述第二随机数和所述第一远端UE的标识是否被所述第一远端UE正确接收。

在一个实施例中，所述第三消息，至少可包括：所述第一远端UE的标识。

所述第一远端UE的标识可为：第一远端UE的设备标识和/或应用标识。

该设备标识包括：第一远端UE的签约用户隐式标识(Subscription Concealed Identifier，SUCI)、签约用户永久标识(Subscription Permanent Identifier，SUPI)或者全球临时UE标识(5G Globally Unique Temporary UE Identity，5G-GUTI)。所述应用标识可为各种邻近业务((Proximity Based Service，ProSe)的应用的标识(Identifier，ID)。

在另一个实施例中，所述第三消息至少可包括：第一远端UE的标识和第一校验值。所述第一校验值用于供所述第二远端UE校验所述第一消息、所述第二随机数和所述第一远端UE的标识是否被所述第一远端UE正确接收。该第一校验值可是根据密钥种子生成的。

在一个实施例中，所述第三消息还可包括：

所述第一远端UE的证书；和/或，

证书发送指示符，用于指示返回所述第二远端UE的证书；

所述第一远端UE的证书被携带在第三消息中发送给第二远端UE，后续第一远端UE和第二远端UE之间建立端到端连接之后，可以通过证书用于相互之间的身份认证。

第三消息还包括：证书发送指示符向第二远端UE给第一远端UE返回证书，方便后续第一远端UE将接收到所述第二远端UE发送的证书。

在一个实施例中，若第三消息携带有证书指示符，第二远端UE向所述第一远端发送证书；若所述第三消息没有携带证书发送指示符，则第二远端UE可以不用向所述第一远端发送证书。

在另一个实施例中，所述证书发送指示符对应于一个或多个比特；若证书指示符对应的比特具有第一取值时，则第二远端UE可以不用向所述第一远端发送证书；若证书指示符对应的比特具有第二取值时，则第二远端UE可以不用向所述第一远端发送证书。第二取值不同于第一取值。

在一个实施例中，根据协议约定或者出厂配置可以默认：第一远端UE和第二远端UE进行消息交互时需要交互证书。

在另一个实施例中，根据协议约定或者出厂配置可以默认，第一远端UE和第二远端UE没有明确指示需要交互证书时，则相互之间不交互证书。

在一些实施例中，所述第四消息，包括以下至少之一：

所述第二远端UE的标识；

所述第二远端UE的证书；

第二校验值，所述第二校验值，用于供所述第一远端UE校验所述第二消息、所述第一随机数和所述第二远端UE的标识是否被所述第二远端UE正确接收。

同样地，所述第四消息可至少包括：第二远端UE的标识。第二远端UE的设备标识和/或应用标识。该设备标识包括：第二远端UE的签约用户隐式标识(Subscription Concealed Identifier，SUCI)、签约用户永久标识(Subscription Permanent Identifier，SUPI)或者全球临时UE标识(5G Globally Unique Temporary UE Identity，5G-GUTI)。在一些实施例中，所述第一远端UE的标识包括：所述第一远端UE的受限邻近业务应用用户标识(RPAUID)和所述第一远端UE的邻近业务应用的标识；和/或，所述第二远端UE的标识包括：所述第二远端UE的RPAUID和所述第二远端UE的邻近业务应用的标识。

以上仅仅是对第一远端UE和第二远端UE建立端到端连接时交互的标识包括但不限于RPAUID和邻近业务应用的标识。

值得注意是：第四消息中的第二远端UE的证书是可选内容。

在一些实施例中，所述方法还包括：

当所述第一消息被所述第二远端UE正确接收且所述第二消息被所述第一远端UE正确接收，确定建立所述第一远端UE和所述第二远端UE之间的端到端连接。

此处为通过第一消息和第二消息交互，确定是否建立第一远端UE和第二远端UE之间的端都断连接，若确定建立第一远端UE和第二远端UE之间的端到端连接，则启动第一远端UE和第二远端UE之间的端到端连接。具体如何建立端到端连接，可以通过一条或多条消息的交互，实现第一远端UE和第二远端UE之间安全的端到端连接的建立。

若第一消息和第二消息被两个远端UE的正确接收，可以认为第一远端UE和第二远端UE完成相互认证，可用于建立第一远端UE和第二远端UE之间的端到端连接。

在一些实施例中，所述第一密钥为：所述第一远端UE向所述中继UE发送数据使用的完整性保护密钥；或者，所述第一密钥为：所述中继UE向所述第一远端UE发送数据使用的完整性保护密钥。

如图5所示，本公开实施例提供一种信息处理方法，其中，由第一远端UE执行，所述方法包括：

S1410：向DDNMF发送请求消息；

S1420：基于所述请求消息返回的响应消息，其中，所述响应消息包括：第一密钥，该第一密钥用于确定第二密钥；所述第二密钥用于供第一远端UE和第二远端UE之间相互发现的完整性保护。

该第一密钥可为DDNMF生成的，如此，第一远端UE可以直接向DDNMF请求得到。示例性地，第一远端UE通过中继UE向DDNMF发送请求消息，并通过该中继UE接收到DDNMF返回的响应消息。该中继UE可为：UE到网络(User Equipment to Network)的中继设备。

如图6所示，本公开实施例提供一种信息处理方法，由中继UE执行，所述方法包括：

S2110：获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护。

S2120：根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的信息完整性保护。

该中继UE可为提供中继服务的任意UE。该中继UE可为位于网络覆盖范围内的UE。

该中继UE可为位于第一远端UE和第二远端UE之间的UE。

在本公开实施例中，中继UE可以本地查询预先获取的第一密钥，或者从DDNMF请求所述第一密钥。

所述第一密钥可为第一远端UE通过该中继UE与网络设备进行通信时，供UE完整性保护的密钥。

在接收到第一密钥之后，中继UE会本地推导出第二密钥。

在一些实施例中，所述方法包括：

接收所述第一远端UE的第一随机数；

向所述第一远端UE发送第二随机数；

所述S2120可包括：根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥。

在一些实施例中，根据所述第一随机数、所述第二随机数、所述第一密钥以及密钥推导函数，推导所述第二密钥。

示例性地，所述根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥，可包括：根据所述第一随机数、所述第二随机数、所述标识信息、所述标识信息的长度以及所述第一密钥，生成所述第二密钥。

示例性地，所述方法还包括：

向所述第一远端UE发送认证方式的标识信息，其中，所述认证方式，用于所述第一远端UE和所述第二远端UE之间建立端到端连接时的相互认证。

该认证方式的标识信息指示了两个远端之间建立端到端连接相互认证的方式。该认证方式除了上述IKEv2以外，还可以IKEv1，还可以是其他的私有认证协议等，此处就不再一一举例了。

在一些实施例中，所述根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥，包括：

示例性地，所述根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥，可包括：根据第一随机数、第一随机数的长度、第二随机数、第二随机数的程度、标识信息自身、标识信息的长度以及第一密钥生成所述第二密钥。

如图7所示，本公开实施例提供一种信息处理方法，由中继UE执行，所述方法包括：

S2210：向DDNMF发送请求消息；

S2220：基于所述请求消息返回的响应消息，其中，所述响应消息包括：第一密钥。该第一密钥用于远端UE和中继UE之间通信的完整性保护；所述第一密钥还用于生成第二密钥；所述第二密钥用于供第一远端UE和第二远端UE之间相互发现的完整性保护。

在本公开实施例中，所述中继UE获取第一密钥的方式，是向DDNMF请求的，通过向DDNMF发送请求消息，则会收到DDNMF返回的响应消息，该响应消息可包括第一密钥。

如图8所示，本公开实施例提供一种信息处理方法，其中，由DDNMF执行，所述方法还包括：

S3110：接收UE发送的请求消息；所述UE为中继UE和/或远端UE；

S3120：根据所述请求消息，向所述UE发送第一密钥；所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护，还用于生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。

DDNMF会接收到请求消息，该请求消息包括远端UE和/或中继UE发送的请求消息之后，会在接收到请求消息之后，会向UE返回第一密钥，该第一密钥可以用于远端UE和中继UE推导出第二密钥。该第二密钥可以用于供两个远程UE基于中继UE建立安全地的端到端通信。

在源UE和目标UE之间通过中继UE建立安全的端到端连接。该中继UE可为：UE到UE的中继设备。通过中继UE接入到ProSe业务。

通过中继UE提供完整性保护和机密性保护的信息。

确保远端UE可以监控和识别中继UE的恶意攻击。

当远程UE和UE-to-UE中继UE处于网络覆盖范围时，将从网络侧获取UE之间相互发现的安全信息(该安全信息还可以称之为发现安全信息)。这些安全信息是具有时效性，这些安全信息过期后安全信息就失效了。如果UE没有有效的安全信息，远程UE和UE-to-UE Relay需要连接到ProSe应用服务器(Application Server)并获取新的安全信息，才能使用5G ProSe UE-to-UE中继业务。

如图9所示，本公开实施例提供的信息处理方法，可包括：

步骤1a-1c涉及远端UE1和远端UE2。

步骤1a.远程UE向5G DDNMF(该DDNMF为远程UE的DDNMF)发送请求消息(该请求消息还可以称之为发现请求信息)，以获得发现查询过滤器(s)来监控查询、用于宣告的ProSe响应码(ProSe Response Code)等相关安全信息。此外，发现请求消息可包含远程UE的安全能力信息，该安全能力信息可包含UE支持的加密算法列表。

步骤1b.远程UE的5G DDNMF可能会根据5G DDNMF的配置情况，向ProSe应用服务器确定远程UE是否具有宣告的权限。

步骤1c.远程UE的5G DDNMF将返回每个发现过滤器对应的ProSe响应码、发送码安全参数(Code-Send-SecParams)、发现查询过滤器、接收码安全参数(Code-Rcv-SecParams)，以及当前时刻信息(CURRENT_TIME)、最大偏移量(MAX_OFFSET)和选择的PC5加密算法的算法信息。该算法信息可至少包括：算法标识。

发送码安全参数提供必要的信息来保护ProSe响应码的传输，并与ProSe响应码一起存储。

接收代码安全参数提供远程UE需要的信息，以验证应用于ProSe查询代码的保护。

远程UE对当前时刻信息(CURRENT_TIME)以及最大偏移量(MAX_OFFSET)进行重放攻击验证。

远程UE的5G DDNMF在发现响应消息中会携带选择的PC5加密算法。5G DDNMF根据步骤1a中接收到的PC5UE的安全能力信息和ProSe码确定所选择的PC5加密算法。UE将存储接收到的PC5加密算法和ProSe响应码。

值得注意的是：以上步骤1a-1c在5G远程UE是位于网络覆盖内时执行。

当远端UE处于漫游状态时，远端UE的归属地移动通信网(Home Public Land Mobile Network，HPLMN)和拜访地移动通信网(Visited Public Land Mobile Network，VPLMN)中的5G DDNMF可能会交换消息。

步骤2a-2f涉及UE-to-UE(即涉及中继UE)。

步骤2a.UE-to-UE中继向5G DDNMF发送包含PC5UE安全能力信息的发现请求消息，请求DDNMF允许UE-to-UE中继被发现且向一个或多个远程UE提供中继服务。

步骤2 b.UE-to-UE中继的5G DDNMF(该DDNMF为UE-to-UE中继的DDNMF)向ProSe应用服务器(Application Server)发送授权请求。如果允许UE-to-UE中继发现至少一个远程UE，那么ProSe应用服务器(Application Server)将返回一个授权响应。

步骤2 c.如果发现请求中携带授权，同时远程UE和UE-to-UE中继的PLMN ID不同，UE-to-UE中继的5G DDNMF会和远程UE的5G DDNMF进行交互。UE-to-UE中继的5G DDNMF向远程UE的5G DDNMF发送发现请求消息，该发现请求消息可包括：远程UE的安全能力信息。

步骤2 d.远程UE的5G DDNMF可能与ProSe应用服务器(Application Server)交互授权消息。

如果步骤2a中的PC5UE安全能力信息包括所选的PC5加密算法的算法信息，则远端UE的5G DDNMF向UE-to-UE中继的5G DDNMF响应一个发现响应消息，该发现响应消息可包括ProSe查询码及其相关的发送码安全参数，响应码及其相关的接收码安全参数和选择的PC5加密算法的算法信息。代码发送安全参数提供保护ProSe查询代码所需的信息。接收码安全参数包括ProSe响应码的完整性保护密钥(DUIK)，该完整性保护密钥用于验证远程UE应用的保护。该DUIK为前述第一密钥的一种。

步骤2 f.UE-to-UE中继(即图9中的中继UE)的5G DDNMF返回发现响应过滤器和接收码安全参数、ProSe查询代码、发送码安全参数以及CURRENT_TIME和MAX_OFFSET参数和选择的 PC5加密算法的算法信息。UE-to-UE中继根据CURRENT_TIME和MAX_OFFSET确定是否发现响应消息是否有受到重放攻击。UE-to-UE中继存储发现响应过滤器及接收码安全参数、ProSe查询代码及发送码安全参数以及所选的PC5加密算法的算法标识和ProSe码。

步骤2a-2f是在5G UE-to-UE中继在网络覆盖内时执行的。

当UE-to-UE中继处于漫游状态时，HPLMN和VPLMN中的5G DDNMF可能会交换认证消息。

步骤3a至步骤3d发生在PC5的发现流程中。

步骤3a.远端UE发送询问请求(Query Request)消息，该询问请求消息可包含了ProSe询问码(ProSe Query Code)、支持的U2U中继认证方式列表和用于获取(Negotiation User Integrity Key，NUIK)的随机数1(Nonce 1)。

在发现时隙内，如果系统提供的基于UTC的计数器在远端UE的ProSe时钟的MAX_OFFSET范围内，并且有效定时器(Validity Timer)没有过期，远端UE也会侦听响应消息。远端UE计算一个32位的消息完整确认值(Message Integrity Check，MIC)来保护查询请求。

步骤3b.在发现时隙内如果系统提供的基于UTC的计数器在UE-to-UE中继的ProSe时钟的MAX_OFFSET范围内，UE-to-UE中继将侦听满足其发现过滤器的请求消息，则会监听到对应的远端UE。

步骤3c.UE-to-UE中继发送与发现的ProSe查询码相关的ProSe响应码、所选的U2U中继认证方式和用于派生NUIK的随机数2(Nonce 2)。NUIK既可以根据接收码参数中的DUIK计算，也可以根据发送码参数中的DUIK计算，这需要提前确定。计算出的NUIK与一个有效时间相关联，如果有效时间过期后NUIK就失效了。UE-to-UE中继形成响应消息并计算一个32位MIC来保护查询响应。UE-to-UE中继根据ProSe询问码(Query Code)和接收到的终端支持的认证方式来选择U2U中继认证方式。

步骤3d.远端UE侦听满足其发现筛选器的响应消息。远端UE使用存储的DUIK自行检查响应消息的完整性，并导出NUIK以保护协商消息。

计算出的NUIK与一个过期时间(或者有效时间)相关联，过期后NUIK就失效了。

远端UE需要存储所选择的认证方式，该认证方式在UE-to-UE中继场景中用于建立端到端IPsec连接。

如果远端UE1和远端UE2选择IKEv2协议建立端到端连接，则执行步骤4a-4d。该端到端连接可为：基于互联网安全协议(Internet Protocol Security，IPSec)的连接。

步骤4a.远端UE1向UE-to-UE中继发送IKE_SA_INIT_Request。具体地如，远程UE1形成请求消息(IKE_SA_INIT_Request)，并使用随机数1(NUIK1)进行保护。一旦收到此IKE_SA_INIT_Request，UE-to-UE中继使用与远端UE1共享的NUIK1验证IKE_SA_INIT_Request，然后使用与远端UE2共享的随机数2(NUIK2)保护此IKE_SA_INIT_Request，并将使用NUK2保护的IKE_SA_INIT_Request发送给远端UE2。

步骤4 b.远端UE2通过UE-to-UE中继向远端UE1响应IKE_SA_INIT_Response消息。IKE_SA_INIT_Response消息先被远端UE2使用NUIK2保护，再被UE-to-UE中继使用NUIK1保护。根据随机数(nonces)和IKE_SA_INIT交换过程中交换的狄菲-赫尔曼(Diffie-Hellman)共享秘密，计算密钥种子(SKEYSEED)。该密钥种子，可用于计算另一个完整性保护密钥，用于后续完整性保护。步骤4c.远端UE1表明自己的身份，例如通过RPAUID和Prose应用程序ID的组合来标识该远端UE1，该UE1的ID用ID1代表。使用ID1有效负载和完整性保护使用认证(AUTH)有效负载的第一个消息的内容。远程UE1还在证书(Certificate，CERT)有效载荷中发送其证书，并在证书指示符(CERTREQ)有效载荷中发送其信任锚的列表。远程UE1形成IKE_Auth_Request消息，并使用SKEYSEED派生出来的密钥进行保护。

步骤4d.远端UE2使用ID2有效载荷声明UE2的身份，并向远端UE1发送一个或多个证书，验证其身份RPAUID，并使用认证(AUTH)有效载荷保护第二个消息的完整性。远端UE2生成IKE_Auth_Response消息，并使用密钥种子(SKEYSEED)派生出的密钥进行保护。

值得注意的是：步骤4c和4d中交换的证书是由Prose应用(Application，APP)提供的。

远程UE和/或中继UE应能够根据可用的ProSe发现密钥派生出IKE初始协商密钥。该ProSe发现密钥即为前述第一密钥的一种。

远程UE应能够将其U2U中继认证方法列表发送到中继UE。

中继UE应能够选择并发送所选择的U2U中继认证方法到远程UE。

远程UE应能够存储从中继UE接收到的所选择的U2U中继认证方法。

远程UE应能够通过检查查询响应的完整性来确保UE到UE中继的真实性。

远程UE和中继UE应能够保护IKE初始协商消息。

中继UE应能够在源远端UE和目标远端UE之间转发协商消息。

5G DDNMF可向中继UE和/或远端UE提供UE到UE中继使用的安全信息和参数。

如图10所示，本公开实施例提供一种信息处理装置，其中，所述装置包括：

第一获取模块110，被配置为获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

第一生成模块120，被配置为根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。

本公开实施例提供的信息处理装置可包含在第一远端UE内。

在一些实施例中，所述第一获取模块110以及第一生成模块120可为程序模块；所述程序模块被处理器执行之后，能够获取所述第一密钥并生成所述第二密钥。

在另一些实施例中，所述第一获取模块110以及第一生成模块120可为软硬结合模块；所述软硬结合模块包括但不限于可编程阵列；所述可编程阵列包括但不限于：现场可编程阵列和/或复杂可编程阵列。

在还有一些实施例中，所述第一获取模块110以及第一生成模块120可为纯硬件模块；该纯硬件模块包括但不限于专用集成电路。

在一些实施例中，所述装置包括：

第一发送模块，被配置为向所述中继UE发送第一随机数；

第一接收模块，被配置为接收中继UE发送的第二随机数；

所述第一生成模块120，被配置为根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥。

在一些实施例中，所述第一接收模块，被配置为接收所述中继UE发送的认证方式的标识信息；

所述第一生成模块120，被配置为根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥。

在一些实施例中，所述第一生成模块120，被配置为根据所述第一随机数、所述第二随机数、所述标识信息、所述标识信息的长度以及所述第一密钥，生成所述第二密钥。

在一些实施例中，所述第一发送模块，被配置为当所述认证方式为预定方式时，向所述中继UE发送第一消息，其中，所述第一消息使用所述第二密钥进行完整性保护；

所述第一接收模块，被配置为接收所述中继UE转发的第二远端UE发送的第二消息；

所述装置还包括：

第一校验模块，被配置为根据所述第二密钥对所述第二消息进行完整性保护验证；

第一建立模块，被配置为当所述第二消息通过完整性保护验证时，确定通过所述中继UE建立所述第一远端UE与所述第二远端UE之间端到端连接。

在一些实施例中，所述装置还包括：

第二生成模块，被配置为根据所述第一消息携带的第一随机数、第一密钥交换信息和所述第二消息携带的第二随机数、第二密钥交换信息，生成密钥种子；

第三生成模块，被配置为根据所述密钥种子，生成完整性保护密钥和机密性保护密钥，其中，所述完整性保护密钥和机密性保护密钥，用于第一远端UE和所述第二远端UE通过所述中继UE建立端到端通信的完整性保护和机密性保护。

在一些实施例中，所述第一发送模块，被配置为向所述第二远端UE发送第三消息；其中，所述第三消息，用所述完整性保护密钥和机密性保护密钥分别进行完整性保护和所述机密性保护；

所述第一接收模块，被配置为接收与所述第三消息对应的第四消息，其中，所述完整性保护密钥，用于对所述第四消息进行完整性保护，且所述机密性保护密钥用于解密所述第四消息。

在一些实施例中，所述第三消息，包括以下至少之一：

所述第一远端UE的标识；

所述第一远端UE的证书；

证书发送指示符，用于指示返回所述第二远端UE的证书；

在一些实施例中，所述第四消息，包括以下至少之一：

所述第二远端UE的标识；

所述第二远端UE的证书；

证书发送指示符，用于指示返回所述第二远端UE的证书；

在一些实施例中，所述第一UE的标识包括：所述第一远端UE的受限邻近业务应用用户标识RPAUID和所述第一远端UE的邻近业务应用的标识；

和/或，

所述第二远端UE的标识包括：所述第二远端UE的RPAUID和所述第二远端UE的邻近业务应用的标识。

在一些实施例中，所述装置还包括：

第一确定模块，被配置为当所述第一消息被所述第二远端UE正确接收且所述第二消息被所述第一远端UE正确接收，确定建立所述第一远端UE和所述第二远端UE之间的端到端连接。

在一些实施例中，所述第一密钥为：所述第一远端UE向所述中继UE发送数据使用的完整性保护密钥；

或者，

所述第一密钥为：所述中继UE向所述第一远端UE发送数据使用的完整性保护密钥。

在一些实施例中，所述第一获取模块110，被配置为向直连发现名字管理功能DDNMF发送请求消息；基于所述请求消息返回的响应消息，其中，所述响应消息包括：第一密钥。

如图11所示，本公开实施例提供一种信息处理装置，所述装置包括：

第二获取模块210，被配置为获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

第三生成模块220，被配置为根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。

该信息处理装置可包括在中继UE中。

在一些实施例中，所述第二获取模块210以及第三生成模块220可为程序模块；所述程序模块被处理器执行之后，能够获取所述第一密钥并生成所述第二密钥。

在另一些实施例中，所述第二获取模块210以及第三生成模块220可为软硬结合模块；所述软硬结合模块包括但不限于可编程阵列；所述可编程阵列包括但不限于：现场可编程阵列和/或复杂可编程阵列。

在还有一些实施例中，所述第二获取模块210以及第三生成模块220可为纯硬件模块；该纯硬件模块包括但不限于专用集成电路。

在一些实施例中，所述装置包括：

第二接收模块，被配置为接收所述第一远端UE的第一随机数；

第二发送模块，被配置为向所述第一远端UE发送第二随机数；

所述第三生成模块220，被配置为根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥。

在一些实施例中，所述第二发送模块，被配置为向所述第一远端UE发送认证方式的标识信息，其中，所述认证方式，用于所述第一远端UE和所述第二远端UE之间建立端到端连接之间认证。

在一些实施例中，所述第二生成模块，被配置为根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥。

在一些实施例中，所述第二获取模块210，被配置为向直连发现名字管理功能DDNMF发送请求消息；基于所述请求消息返回的响应消息，其中，所述响应消息包括：第一密钥。

如图12所示，本公开实施例提供一种信息处理装置，其中，所述装置还包括：

第三接收模块310，被配置为接收远端UE和/或中继UE发送的请求消息；

第三发送模块320，被配置为根据所述请求消息，向所述远端UE和/或中继UE发送第一密钥；所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护，还用于生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。

该信息处理装置可包括在DDNMF中。

在一些实施例中，所述第三接收模块310以及第三发送模块320可为程序模块；所述程序模块被处理器执行之后，能够执行上述操作。

在另一些实施例中，所述第三接收模块310以及第三发送模块320可为软硬结合模块；所述软硬结合模块包括但不限于可编程阵列；所述可编程阵列包括但不限于：现场可编程阵列和/或复杂可编程阵列。

在还有一些实施例中，所述第三接收模块310以及第三发送模块320可为纯硬件模块；该纯硬件模块包括但不限于专用集成电路。

本公开实施例提供一种通信设备，包括：

用于存储处理器可执行指令的存储器；

处理器，分别存储器连接；

其中，处理器被配置为执行前述任意技术方案提供的信息处理方法。

处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在通信设备掉电之后能够继续记忆存储其上的信息。

这里，所述通信设备包括：UE或者网元，该网元可为前述DDNMF。该UE可为中继UE和/或远程UE。

所述处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序，例如，如图2至图9所示的方法的至少其中之一。

图13是根据一示例性实施例示出的一种UE800的框图。例如，UE 800可以是移动电话，计算机，数字广播用户设备，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图13，UE800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制UE800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以生成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在UE800的操作。这些数据的示例包括用于在UE800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为UE800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为UE800生成、管理和分配电力相关联的组件。

多媒体组件808包括在所述UE800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当UE800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当UE800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为UE800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如所述组件为UE800的显示器和小键盘，传感器组件814还可以检测UE800或UE800一个组件的位置改变，用户与UE800接触的存在或不存在，UE800方位或加速/减速和UE800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于UE800和其他设备之间有线或无线方式的通信。UE800可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，UE800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由UE800的处理器820执行以生成上述方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

如图14所示，本公开一实施例示出一种接入设备的结构。例如，通信设备900可以被提供为一网络侧设备。该通信设备可为前述的接入网元和/或网络功能等各种网元。

参照图14，通信设备900包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述方法前述应用在所述接入设备的任意方法，例如，如图2至图9任意一个所示方法。

通信设备900还可以包括一个电源组件926被配置为执行通信设备900的电源管理，一个有线或无线网络接口950被配置为将通信设备900连接到网络，和一个输入输出(I/O)接口958。通信设备900可以操作基于存储在存储器932的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种信息处理方法，其中，由第一远端用户设备UE执行，所述方法包括：

获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。
根据权利要求1所述的方法，其中，所述方法包括：

向所述中继UE发送第一随机数；

接收中继UE发送的第二随机数；

所述根据所述第一密钥生成第二密钥，包括：

根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥。
根据权利要求2所述的方法，其中，所述方法还包括：

接收所述中继UE发送的认证方式的标识信息；

所述根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥，包括：

根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥。
根据权利要求3所述的方法，其中，所述根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥，包括：

根据所述第一随机数、所述第二随机数、所述标识信息、所述标识信息的长度以及所述第一密钥，生成所述第二密钥。
根据权利要求3或4所述的方法，其中，所述方法还包括：

当所述认证方式为预定方式时，向所述中继UE发送第一消息，其中，所述第一消息使用所述第二密钥进行完整性保护；

接收所述中继UE转发的第二远端UE发送的第二消息；

根据所述第二密钥对所述第二消息进行完整性保护验证；

当所述第二消息通过完整性保护验证时，确定通过所述中继UE建立所述第一远端UE与所述第二远端UE之间端到端连接。
根据权利要求5所述的方法，其中，所述方法还包括：

根据所述第一消息携带的第一随机数、第一密钥交换信息和所述第二消息携带的第二随机数、第二密钥交换信息，生成密钥种子；

根据所述密钥种子，生成完整性保护密钥和机密性保护密钥，其中，所述完整性保护密钥和机密性保护密钥，用于第一远端UE和所述第二远端UE通过所述中继UE建立端到端通信的完整性保护和机密性保护。
根据权利要求6所述的方法，其中，所述确定通过所述中继UE建立所述第一远端UE与所述第二远端UE之间端到端连接，包括：

向所述第二远端UE发送第三消息；其中，所述第三消息，用所述完整性保护密钥和机密性保护密钥分别进行完整性保护和所述机密性保护；

接收与所述第三消息对应的第四消息，其中，所述完整性保护密钥，用于对所述第四消息进行完整性保护，且所述机密性保护密钥用于解密所述第四消息。
根据权利要求7所述的方法，其中，所述第三消息，包括以下至少之一：

所述第一远端UE的标识；

所述第一远端UE的证书；

证书发送指示符，用于指示返回所述第二远端UE的证书；

第一校验值，所述第一校验值用于供所述第二远端UE校验所述第一消息、所述第二随机数和所述第一远端UE的标识是否被所述第一远端UE正确接收。
根据权利要求7或8所述的方法，其中，所述第四消息，包括以下至少之一：

所述第二远端UE的标识；

所述第二远端UE的证书；

证书发送指示符，用于指示返回所述第二远端UE的证书；

第二校验值，所述第二校验值，用于供所述第一远端UE校验所述第二消息、所述第一随机数和所述第二远端UE的标识是否被所述第二远端UE正确接收。
根据权利要求8所述的方法，其中，所述第一UE的标识包括：所述第一远端UE的受限邻近业务应用用户标识RPAUID和所述第一远端UE的邻近业务应用的标识；

和/或，

所述第二远端UE的标识包括：所述第二远端UE的RPAUID和所述第二远端UE的邻近业务应用的标识。
根据权利要求9所述的方法，其中，所述方法还包括：

当所述第一消息被所述第二远端UE正确接收且所述第二消息被所述第一远端UE正确接收，确定建立所述第一远端UE和所述第二远端UE之间的端到端连接。
根据权利要求1至11任一项所述的方法，其中，所述第一密钥为：所述第一远端UE向所述中继UE发送数据使用的完整性保护密钥；

或者，

所述第一密钥为：所述中继UE所述第一远端UE发送数据使用的完整性保护密钥。
根据权利要求1至12任一项所述的方法，其中，所述获取第一密钥，包括：

向直连发现名字管理功能DDNMF发送请求消息；

基于所述请求消息返回的响应消息，其中，所述响应消息包括：第一密钥。
一种信息处理方法，由中继UE执行，所述方法包括：

获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。
根据权利要求14所述方法，其中，所述方法包括：

接收所述第一远端UE的第一随机数；

向所述第一远端UE发送第二随机数；

所述根据所述第一密钥生成第二密钥，包括：

根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥。
根据权利要求15所述的方法，其中，所述方法还包括：

向所述第一远端UE发送认证方式的标识信息，其中，所述认证方式，用于所述第一远端UE和所述第二远端UE之间建立端到端连接之间认证。
根据权利要求16所述的方法，其中，所述根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥，包括：

根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥。
根据权利要求14至17任一项所述的方法，其中，所述获取第一密钥，包括：

向直连发现名字管理功能DDNMF发送请求消息；

基于所述请求消息返回的响应消息，其中，所述响应消息包括：第一密钥。
一种信息处理方法，其中，由DDNMF执行，所述方法还包括：

接收远端UE和/或中继UE发送的请求消息；

根据所述请求消息，向所述远端UE和/或中继UE发送第一密钥；所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护，还用于生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。
一种信息处理装置，其中，所述装置包括：

第一获取模块，被配置为获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

第一生成模块，被配置为根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。
根据权利要求20所述的装置，其中，所述装置包括：

第一发送模块，被配置为向所述中继UE发送第一随机数；

第一接收模块，被配置为接收中继UE发送的第二随机数；

所述第一生成模块，被配置为根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥。
根据权利要求21所述的装置，其中，所述第一接收模块，被配置为接收所述中继UE发送的认证方式的标识信息；

所述第一生成模块，被配置为根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥。
根据权利要求22所述的装置，其中，所述第一生成模块，被配置为根据所述第一随机数、所述第二随机数、所述标识信息、所述标识信息的长度以及所述第一密钥，生成所述第二密钥。
根据权利要求22或23所述的装置，其中，

所述第一发送模块，被配置为当所述认证方式为预定方式时，向所述中继UE发送第一消息，其中，所述第一消息使用所述第二密钥进行完整性保护；

所述第一接收模块，被配置为接收所述中继UE转发的第二远端UE发送的第二消息；

所述装置还包括：

第一校验模块，被配置为根据所述第二密钥对所述第二消息进行完整性保护验证；

第一建立模块，被配置为当所述第二消息通过完整性保护验证时，确定通过所述中继UE建立所述第一远端UE与所述第二远端UE之间端到端连接。
根据权利要求24所述的装置，其中，所述装置还包括：

第二生成模块，被配置为根据所述第一消息携带的第一随机数、第一密钥交换信息和所述第二消息携带的第二随机数、第二密钥交换信息，生成密钥种子；

第三生成模块，被配置为根据所述密钥种子，生成完整性保护密钥和机密性保护密钥，其中，所述完整性保护密钥和机密性保护密钥，用于第一远端UE和所述第二远端UE通过所述中继UE建立端到端通信的完整性保护和机密性保护。
根据权利要求25所述的装置，其中，

所述第一发送模块，被配置为向所述第二远端UE发送第三消息；其中，所述第三消息，用所述完整性保护密钥和机密性保护密钥分别进行完整性保护和所述机密性保护；

所述第一接收模块，被配置为接收与所述第三消息对应的第四消息，其中，所述完整性保护密钥，用于对所述第四消息进行完整性保护，且所述机密性保护密钥用于解密所述第四消息。
根据权利要求26所述的装置，其中，所述第三消息，包括以下至少之一：

所述第一远端UE的标识；

所述第一远端UE的证书；

证书发送指示符，用于指示返回所述第二远端UE的证书；

第一校验值，所述第一校验值用于供所述第二远端UE校验所述第一消息、所述第二随机数和所述第一远端UE的标识是否被所述第一远端UE正确接收。
根据权利要26或27所述的方法，其中，所述第四消息，包括以下至少之一：

所述第二远端UE的标识；

所述第二远端UE的证书；

证书发送指示符，用于指示返回所述第二远端UE的证书；

第二校验值，所述第二校验值，用于供所述第一远端UE校验所述第二消息、所述第一随机数和所述第二远端UE的标识是否被所述第二远端UE正确接收。
根据权利要求27所述的装置，其中，所述第一UE的标识包括：所述第一远端UE的受限邻近业务应用用户标识RPAUID和所述第一远端UE的邻近业务应用的标识；

和/或，

所述第二远端UE的标识包括：所述第二远端UE的RPAUID和所述第二远端UE的邻近业务应用的标识。
根据权利要求27所述的装置，其中，所述装置还包括：

第一确定模块，被配置为当所述第一消息被所述第二远端UE正确接收且所述第二消息被所述第一远端UE正确接收，确定建立所述第一远端UE和所述第二远端UE之间的端到端连接。
根据权利要求20至30任一项所述的装置，其中，所述第一密钥为：所述第一远端UE向所述中继UE发送数据使用的完整性保护密钥；

或者，

所述第一密钥为：所述中继UE所述第一远端UE发送数据使用的完整性保护密钥。
根据权利要求20至31任一项所述的装置，其中，所述第一获取模块，被配置为向直连发现名字管理功能DDNMF发送请求消息；基于所述请求消息返回的响应消息，其中，所述响应消息包括：第一密钥。
一种信息处理装置，所述装置包括：

第二获取模块，被配置为获取第一密钥，其中，所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护；

第三生成模块，被配置为根据所述第一密钥生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。
根据权利要求33所述装置，其中，所述装置包括：

第二接收模块，被配置为接收所述第一远端UE的第一随机数；

第二发送模块，被配置为向所述第一远端UE发送第二随机数；

所述第三生成模块，被配置为根据所述第一随机数、所述第二随机数和所述第一密钥，生成所述第二密钥。
根据权利要求34所述的装置，其中，所述第二发送模块，被配置为向所述第一远端UE发送认证方式的标识信息，其中，所述认证方式，用于所述第一远端UE和所述第二远端UE之间建立端到端连接之间认证。
根据权利要求35所述的装置，其中，所述第二生成模块，被配置为根据所述第一随机数、所述第二随机数、所述第一密钥以及所述标识信息，生成所述第二密钥。
根据权利要求33至36任一项所述的装置，其中，所述第二获取模块，被配置为向直连发现名字管理功能DDNMF发送请求消息；基于所述请求消息返回的响应消息，其中，所述响应消息包括：第一密钥。
一种信息处理装置，其中，所述装置还包括：

第三接收模块，被配置为接收远端UE和/或中继UE发送的请求消息；

第三发送模块，被配置为根据所述请求消息，向所述远端UE和/或中继UE发送第一密钥；所述第一密钥，用于所述第一远端UE和所述中继UE之间通信的完整性保护，还用于生成第二密钥，其中，所述第二密钥，用于两个远端UE之间通过中继UE相互发现的完整性保护。
一种通信设备，包括处理器、收发器、存储器及存储在存储器上并能够有所述处理器运行的可执行程序，其中，所述处理器运行所述可执行程序时执行如权利要求1至13、14至18、或19任一项提供的方法。
一种计算机存储介质，所述计算机存储介质存储有可执行程序；所述可执行程序被处理器执行后，能够实现如权利要求1至13、14至18、或19任一项提供的方法。