WO2023245354A1

WO2023245354A1 - 安全保护方法、装置、通信设备及存储介质

Info

Publication number: WO2023245354A1
Application number: PCT/CN2022/099915
Authority: WO
Inventors: 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-06-20
Filing date: 2022-06-20
Publication date: 2023-12-28
Also published as: CN118575496A

Abstract

本公开实施例提供了一种基于测距直连链路定位协议测距直连链路定位协议的安全保护方法，其中，方法由网络功能执行，方法包括：向终端发送测距直连链路定位协议安全策略信息；其中，测距直连链路定位协议安全策略信息指示终端执行测距直连链路定位协议流程的安全策略（步骤31）。

Description

安全保护方法、装置、通信设备及存储介质

技术领域

本公开涉及无线通信技术领域但不限于无线通信技术领域，尤其涉及一种基于测距直连链路定位协议的安全保护方法、装置、通信设备及存储介质。

背景技术

在支持测距或者直连链路(SL，Sidelink)定位的增强型第五代移动通信(5G，5th Generation Mobile Communication Technology)架构的方案中，提出了一种基于测距直连链路定位协议的方案，该协议用于在终端之间传输用于测距或者SL定位的测距能力信息、辅助数据信息和/或定位信息。相关技术中，测距或者直连链路定位业务的安全要求如何正确应用于终端之间的测距直连链路定位协议层有待研究。

发明内容

本公开实施例公开了一种基于测距直连链路定位协议的安全保护方法、装置、通信设备及存储介质。

根据本公开实施例的第一方面，提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由网络功能执行，所述方法包括：

向终端发送测距直连链路定位协议安全策略信息；

其中，所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。

在一个实施例中，所述测距直连链路定位协议安全策略信息指示至少一个测距直连链路定位服务和测距直连链路定位协议安全策略之间的映射关系。

在一个实施例中，所述测距直连链路定位协议安全策略信息包括以下至少之一：

信令完整性保护信息，用于指示以下测距直连链路定位协议策略：

终端仅在PC5接口受完整性保护时才接受连接；

信令加密保护信息，用于指示以下之一的测距直连链路定位协议策略：

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。

在一个实施例中，所述网络功能为策略控制功能PCF，并且所述向终端发送测距直连链路定位协议安全策略信息，包括：

在服务授权与配置流程中，向所述终端发送测距直连链路定位协议安全策略信息。

在一个实施例中，所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF，并且所述向终端发送测距直连链路定位协议安全策略信息，包括：

在终端发现流程中，向所述终端发送测距直连链路定位协议安全策略信息。

根据本公开实施例的第二方面，提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，所述方法包括：

接收网络功能发送的测距直连链路定位协议安全策略信息；

其中，所述测距直连链路定位协议安全策略信息指示：所述终端执行测距直连链路定位协议流程的安全策略。

终端仅在PC5接口受完整性保护时才接受连接；

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。

在一个实施例中，所述网络功能为策略控制功能PCF，并且所述接收网络功能发送的测距直连链路定位协议安全策略信息，包括：

在服务授权与配置流程中，接收所述网络功能发送的测距直连链路定位协议安全策略信息。

在一个实施例中，所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF，并且所述接收网络功能发送的测距直连链路定位协议安全策略信息，包括：

在终端发现流程中，接收所述网络功能发送的测距直连链路定位协议安全策略信息。

在一个实施例中，所述终端为发起直接通信的第一终端；所述方法还包括：

响应于所述第一终端发现第二终端，确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。

在一个实施例中，所述方法还包括：

基于所述测距直连链路定位协议安全策略信息，选择发送给所述第二终端的所述第一终端的测距直连链路定位协议安全策略。

在一个实施例中，所述方法还包括：

向所述第二终端发送所述第一终端的所述测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，所述向所述第二终端发送所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息，包括：

通过直接通信请求消息向所述第二终端发送所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，接收所述第二终端发送的所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，通过直接安全模式命令消息接收所述第二终端发送的所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，所述终端为被发现的直接通信的第二终端；所述方法还包括：

接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，所述接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息，包括：

通过直接通信请求消息接收所述第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，所述方法还包括以下中的至少一项：

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端只建立不受完整性保护的连接，拒绝所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端只建立不受加密保护的连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端仅在PC5接口受加密保护时才接受连接，拒绝所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端仅在PC5接口受加密保护时才接受连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端只建立不受加密保护的连接，拒绝所述直接通信请求消息。

在一个实施例中，所述方法还包括：

所述第二终端发起与所述第一终端之间的直接认证和/或密钥建立流程。

在一个实施例中，所述方法还包括以下中的至少一项：

响应于所述第一终端的测距直连链路定位协议安全策略和所述第二终端的测距直连链路定位协议安全策略均指示：终端只建立不受加密保护的连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略和所述第二终端的测距直连链路定位协议安全策略均指示：终端仅在PC5接口受加密保护时才接受连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端只建立不受加密保护的连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端只建立不受加密保护的连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端仅在PC5接口受加密保护时才接受连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息，且所述第二终端的测距直连链路定位协议安全策略指示：终端仅在PC5接口受加密保护时才接受连接，接受所述直接通信请求消息。

在一个实施例中，所述方法还包括：

响应于确定使用测距直连链路定位协议安全策略，基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。

在一个实施例中，所述方法还包括：

向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，所述向所述第一终端发送所述安全算法的信息，包括：

通过直接安全模式命令消息向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，所述直接安全模式命令消息基于完整性保护选择的安全算法进行完整性保护。

根据本公开实施例的第三方面，提供一种基于测距直连链路定位协议测距直连链路定位协议的安全保护装置，其中，所述装置包括：

发送模块，被配置为向终端发送测距直连链路定位协议安全策略信息；

根据本公开实施例的第四方面，提供一种基于测距直连链路定位协议的安全保护装置，其中，所述装置包括：

接收模块，被配置为接收网络功能发送的测距直连链路定位协议安全策略信息；

根据本公开实施例的第五方面，提供一种通信设备，所述通信设备，包括：

处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为：用于运行所述可执行指令时，实现本公开任意实施例所述的方法。

根据本公开实施例的第六方面，提供一种计算机存储介质，所述计算机存储介质存储有计算机可执行程序，所述可执行程序被处理器执行时实现本公开任意实施例所述的方法。

在本公开实施例中，网络功能向终端发送测距直连链路定位协议安全策略信息；其中，所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。这里，由于所述测距直连链路定位协议安全策略信息指示了所述终端执行测距直连链路定位协议流程的安全策略，所述终端在接收到所述测距直连链路定位协议安全策略信息后，就可以基于所述测距直连链路定位协议安全策略信息指示的安全策略执行测距直连链路定位协议流程，相较于不基于安全策略执行测距直连链路定位协议流程的方式，提升了终端间测距或者直连链路通信的安全性。

附图说明

图1是根据一示例性实施例示出的一种无线通信系统的结构示意图。

图2是根据一示例性实施例示出的协议层的示意图。

图3是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图4是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图5是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图6是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图7是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图8是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图9是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图10是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图11是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图12是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图13是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图14是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图15是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。

图16是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护装置的示意图。

图17是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护装置的示意图。

图18是根据一示例性实施例示出的一种终端的结构示意图。

图19是根据一示例性实施例示出的一种基站的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

出于简洁和便于理解的目的，本文在表征大小关系时，所使用的术语为“大于”或“小于”。但对于本领域技术人员来说，可以理解：术语“大于”也涵盖了“大于等于”的含义，“小于”也涵盖了“小于等于”的含义。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于移动通信技术的通信系统，该无线通信系统可以包括：若干个用户设备110以及若干个基站120。

其中，用户设备110可以是指向用户提供语音和/或数据连通性的设备。用户设备110可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，用户设备110可以是物联网用户设备，如传感器设备、移动电话和具有物联网用户设备的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程用户设备(remote terminal)、接入用户设备(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户设备(user equipment)。或者，用户设备110也可以是无人飞行器的设备。或者，用户设备110也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线用户设备。或者，用户设备110也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

基站120可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代系统。其中，5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network，新一代无线接入网)。

其中，基站120可以是4G系统中采用的演进型基站(eNB)。或者，基站120也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站120采用集中分布式架构时，通常包括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对基站120的具体实现方式不加以限定。

基站120和用户设备110之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

在一些实施例中，用户设备110之间还可以建立E2E(End to End，端到端)连接。比如车联网通信(vehicle to everything，V2X)中的V2V(vehicle to vehicle，车对车)通信、V2I(vehicle to Infrastructure，车对路边设备)通信和V2P(vehicle to pedestrian，车对人)通信等场景。

这里，上述用户设备可认为是下面实施例的终端设备。

在一些实施例中，上述无线通信系统还可以包含网络管理设备130。

若干个基站120分别与网络管理设备130相连。其中，网络管理设备130可以是无线通信系统中的核心网设备，比如，该网络管理设备130可以是演进的数据分组核心网(Evolved Packet Core，EPC)中的移动性管理实体(Mobility Management Entity，MME)。或者，该网络管理设备也可以是其它的核心网设备，比如服务网关(Serving GateWay，SGW)、公用数据网网关(Public Data Network GateWay，PGW)、策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)或者归属签约用户服务器(Home Subscriber Server，HSS)等。对于网络管理设备130的实现形态，本公开实施例不做限定。

为了便于本领域内技术人员理解，本公开实施例列举了多个实施方式以对本公开实施例的技术方案进行清晰地说明。当然，本领域内技术人员可以理解，本公开实施例提供的多个实施例，可以被单独执行，也可以与本公开实施例中其他实施例的方法结合后一起被执行，还可以单独或结合后与其他相关技术中的一些方法一起被执行；本公开实施例并不对此作出限定。

为了更好地理解本公开任一个实施例所描述的技术方案，首先，对相关技术中的应用场景进行说明：

在一个实施例中，基于测距或者SL定位协议(RSPP，Ranging/Sidelink Positioning Protocol)的流程类似于基于非接入层(NAS，Non-Access Stratum)的终端和定位管理功能(LMF，Location Management Function)之间的长期演进定位协议(LPP，Long Term Evolution Positioning Protocol)流程，并且在PC5接口直接通信协议的顶层的上层，用于终端之间的测距或SL定位控制信令的交互。为实现测距或者SL定位操作的控制，需要执行以下程序：

1、测距或者SL定位设备发现；

2、测距或者SL定位流程的直接通信建立；

3、测距或者SL定位流程。

在一个实施例中，请参见图2，对于测距或者SL定位的设备发现和直接通信建立，提出了模型A和模型B直接发现，将被重新用作测距或者SL定位设备发现的基础，并且现有单播模式5G邻近服务ProSe直接通信建立流程被重新使用。

由于RSPP建立在PC5接口直接通信协议之上，因此，RSPP直接通信的安全保护可以依赖于PC5接口直接通信的安全保护，据此直接通信的PC5接口链路安全激活依赖于网络提供给终端的PC5安全策略。PC5安全策略是根据在终端之间运行的特定邻近服务ProSe应用程序或者服务的安全要求定义的，即网络提供的PC5接口安全策略通过终端与ProSe支持和请求的ProSe应用程序或者服务相关联。

但是，当重用PC5接口直接通信的安全激活机制进行RSPP保护时，RSPP的安全策略可能与ProSe应用程序或者服务的安全策略不同，因为测距或者SL定位服务很可能与ProSe应用程序或者服务不同。因此，测距或者SL定位业务的安全要求如何正确应用于终端之间的RSPP层保护有待研究。

在一个实施例中，基于PC5链路的安全策略可以由网络通过配置需要安全保护的ProSe应用程序或者服务列表以及列表中每个ProSe应用程序的PC5接口安全策略实现，即PC5接口安全策略基于相应ProSe应用程序或者服务的安全要求实现。

在一个实施例中，RSPP用于控制测距或者SL定位服务的操作，携带终端之间交互的协调和配置信息(例如，测距能力和测距辅助数据)和测距或SL定位的测量结果。如果配置信息或测量结果被攻击者通过空口篡改，测距或SL定位服务将无法提供正确的终端定位数据。因此，终端之间通过RSPP交互的控制信令需要进行完整性保护。由于位置测量结果可用于推导相关终端的位置，这些终端可能不希望其位置信息泄露给不参与测距或SL定位服务的第三方。因此，为了保护所涉及的终端的位置信息，终端之间通过RSPP交互的控制信令也需要保密。

如图3所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由网络功能执行，所述方法包括：

步骤31、向终端发送测距直连链路定位协议安全策略信息；

这里，本公开所涉及的终端可以是但不限于是手机、可穿戴设备、车载终端、路侧单元(RSU，Road Side Unit)、智能家居终端、工业用传感设备和/或医疗设备等。在一些实施例中，该终端可以是Redcap终端或者预定版本的新空口NR终端(例如，R17的NR终端)。

本公开实施例中，网络功能可以是策略控制功能(PCF，policy control function)、5G邻近通信密钥管理功能(PKMF，ProSe Key Management Function)或者5G邻近服务名称管理功能(DDNMF，Direct Discovery Name Management Function)。

在一个实施例中，通过基站向终端发送测距直连链路定位协议安全策略信息；其中，所述测距直连链路定位协议安全策略信息指示：所述终端执行测距直连链路定位协议流程的安全策略。

本公开中涉及的接入网设备可以是基站，例如，第三代移动通信(3G)网络的基站、第四代移动通信(4G)网络的基站、第五代移动通信(5G)网络的基站或其它演进型基站。

这里，测距直连链路定位协议可以是与测距或者SL定位关联的协议。测距直连链路定位协议可以是测距或者SL定位协议(RSPP，Ranging/Sidelink Positioning Protocol)。

在一个实施例中，向终端发送RSPP安全策略信息；其中，所述RSPP安全策略信息指示：所述终端在PC5接口或者PC5-S接口上执行RSPP流程的安全策略。

在一个实施例中，向终端发送RSPP安全策略信息；其中，所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。这里，不同的测距直连链路定位服务可以对应相同的RSPP安全策略；或者，不同的测距直连链路定位服务可以对应不同的RSPP安全策略。需要说明的是，终端在接收到所述RSPP安全策略信息后，可以将所述映射关系存储在预定区域，例如，通过列表的形式存储在预定区域，以方便查询。如此，在终端确定需要发起的测距直连链路定位服务后，就可以通过查询列表的方式，基于所述测距直连链路定位服务和所述映射关系，确定RSPP安全策略。

在一个实施例中，向终端发送RSPP安全策略信息；其中，所述RSPP安全策略信息包括以下至少之一：

信令完整性保护信息，用于指示以下RSPP策略：

终端仅在PC5接口受完整性保护时才接受连接；

信令加密保护信息，用于指示以下之一的RSPP策略：

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。

这里，可以通过标识符“REQUIRED”指示终端仅在PC5接口受完整性保护时才接受连接和终端仅在PC5接口受加密保护时才接受连接。可以通过标识符“NOT NEEDED”指示终端只建立不受加密保护的连接。可以通过标识符“PREFERRED”指示终端会尝试建立加密保护且会接收不受加密保护的连接。其中，指示符“PREFERRED”的一种用途是在不立即更新所有相关终端的情况下可更改安全策略。

在一个实施例中，RSPP安全策略与邻近服务ProSe应用程序或者服务的安全策略可以是分开配置的。

需要说明的是，由于RSPP是一种信令协议，并且承载在PC5-S接口上，因此，RSPP安全策略中没有配置用户面安全策略。

在一个实施例中，所述网络功能为策略控制功能PCF；在服务授权与配置流程中，向所述终端发送RSPP安全策略信息。

在一个实施例中，所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF；在终端发现流程中，向所述终端发送RSPP安全策略信息。

在本公开实施例中，网络功能向终端发送RSPP安全策略信息；其中，所述RSPP安全策略信息指示所述终端执行RSPP流程的安全策略。这里，由于所述RSPP安全策略信息指示了所述终端执行RSPP流程的安全策略，所述终端在接收到所述RSPP安全策略信息后，就可以基于所述RSPP安全策略信息指示的安全策略执行RSPP流程，相较于不基于安全策略执行RSPP流程的方式，提升了终端间测距或者直连链路通信的安全性。。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

如图4所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由网络功能执行，所述网络功能为策略控制功能PCF；所述方法包括：

步骤41、在服务授权与配置流程中，向所述终端发送测距直连链路定位协议安全策略信息。

在一个实施例中，在服务授权与配置流程中，向所述终端发送RSPP安全策略信息，其中，所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。

在一个实施例中，在服务授权与配置流程中，向所述终端发送RSPP安全策略信息，其中，所述RSPP安全策略信息包括以下至少之一：

信令完整性保护信息，用于指示以下RSPP策略：

终端仅在PC5接口受完整性保护时才接受连接；

信令加密保护信息，用于指示以下之一的RSPP策略：

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。

如图5所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由网络功能执行，所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF；所述方法包括：

步骤51、在终端发现流程中，向所述终端发送测距直连链路定位协议安全策略信息。

在一个实施例中，在终端发现流程中，向所述终端发送RSPP安全策略信息，其中，所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。

在一个实施例中，在终端发现流程中，向所述终端发送RSPP安全策略信息，其中，所述RSPP安全策略信息包括以下至少之一：

信令完整性保护信息，用于指示以下RSPP策略：

终端仅在PC5接口受完整性保护时才接受连接；

信令加密保护信息，用于指示以下之一的RSPP策略：

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。

如图6所示，本实施例提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，所述方法包括：

步骤61、接收网络功能发送的测距直连链路定位协议安全策略信息；

本公开实施例中，网络功能可以是策略控制功能(PCF，policy control function)、5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF。

在一个实施例中，接收网络功能通过基站发送的测距直连链路定位协议安全策略信息；其中，所述测距直连链路定位协议安全策略信息指示：所述终端执行RSPP流程的安全策略。

在一个实施例中，接收网络功能发送的RSPP安全策略信息；其中，所述RSPP安全策略信息指示：所述终端在PC5接口或者PC5-S接口上执行RSPP流程的安全策略。

在一个实施例中，接收网络功能发送的RSPP安全策略信息；其中，所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。这里，不同的测距直连链路定位服务可以对应相同的RSPP安全策略；或者，不同的测距直连链路定位服务可以对应不同的RSPP安全策略。需要说明的是，终端在接收到所述RSPP安全策略信息后，可以将所述映射关系存储在预定区域，例如，通过列表的形式存储在预定区域，以方便查询。如此，在终端确定需要发起的测距直连链路定位服务后，就可以通过查询列表的方式，基于所述测距直连链路定位服务和所述映射关系，确定RSPP安全策略。

在一个实施例中，接收网络功能发送的RSPP安全策略信息；其中，所述RSPP安全策略信息包括以下至少之一：

信令完整性保护信息，用于指示以下RSPP策略：

终端仅在PC5接口受完整性保护时才接受连接；

信令加密保护信息，用于指示以下之一的RSPP策略：

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。

在一个实施例中，所述网络功能为策略控制功能PCF；在服务授权与配置流程中，接收网络功能发送的RSPP安全策略信息。

在一个实施例中，所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF；在终端发现流程中，接收网络功能发送的RSPP安全策略信息。

在一个实施例中，所述终端为发起直接通信的第一终端；接收网络功能发送的RSPP安全策略信息；其中，所述RSPP安全策略信息指示：所述终端执行RSPP流程的安全策略。响应于所述第一终端发现第二终端，确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。

在一个实施例中，所述终端为发起直接通信的第一终端；接收网络功能发送的RSPP安全策略信息；其中，所述RSPP安全策略信息指示：所述终端执行RSPP流程的安全策略。响应于所述第一终端发现第二终端，确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。基于所述RSPP安全策略信息，选择发送给所述第二终端的所述第一终端的RSPP安全策略。向所述第二终端发送所述第一终端的所述RSPP安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，通过直接通信请求消息向所述第二终端发送所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，所述终端为被发现的直接通信的第二终端；接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，通过直接通信请求消息接收所述第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，所述终端为被发现的直接通信的第二终端；接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于所述第一终端的RSPP安全策略指示：终端只建立不受完整性保护的连接，拒绝所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端只建立不受加密保护的连接，且所述第二终端的RSPP安全策略指示：终端仅在PC5接口受加密保护时才接受连接，拒绝所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端仅在PC5接口受加密保护时才接受连接，且所述第二终端的RSPP安全策略指示：终端只建立不受加密保护的连接，拒绝所述直接通信请求消息。

在一个实施例中，所述终端为被发现的直接通信的第二终端；接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于基于RSPP安全策略确定拒绝所述直接通信请求消息，所述第二终端发起与所述第一终端之间的直接认证和/或密钥建立流程。

在一个实施例中，所述终端为被发现的直接通信的第二终端；接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于所述第一终端的RSPP安全策略和所述第二终端的RSPP安全策略均指示：终端只建立不受加密保护的连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略和所述第二终端的RSPP安全策略均指示：终端仅在PC5接口受加密保护时才接受连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端只建立不受加密保护的连接，且所述第二终端的RSPP安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，且所述第二终端的RSPP安全策略指示：终端只建立不受加密保护的连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端仅在PC5接口受加密保护时才接受连接，且所述第二终端的RSPP安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息，且所述第二终端的RSPP安全策略指示：终端仅在PC5接口受加密保护时才接受连接，接受所述直接通信请求消息。

在一个实施例中，所述终端为被发现的直接通信的第二终端；接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于基于RSPP安全策略确定接受所述直接通信请求消息，确定使用RSPP安全策略。响应于确定使用RSPP安全策略，基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。

在一个实施例中，所述终端为被发现的直接通信的第二终端；接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于基于RSPP安全策略确定接受所述直接通信请求消息，确定使用RSPP安全策略。响应于确定使用RSPP安全策略，基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。向所述第一终端发送所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，通过直接安全模式命令消息向所述第一终端发送所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。

如图7所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，网络功能为策略控制功能PCF；所述方法包括：

步骤71、在服务授权与配置流程中，接收所述网络功能发送的测距直连链路定位协议安全策略信息。

在一个实施例中，所述网络功能为策略控制功能PCF；在服务授权与配置流程中，接收网络功能发送的RSPP安全策略信息。其中，所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。或者，所述RSPP安全策略信息包括以下至少之一：

信令完整性保护信息，用于指示以下RSPP策略：

终端仅在PC5接口受完整性保护时才接受连接；

信令加密保护信息，用于指示以下之一的RSPP策略：

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。

应理解，本实施例中的终端可以为发起直接通信的第一终端或者被发现的直接通信的第二终端。

如图8所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，网络功能为所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF；所述方法包括：

步骤81、在终端发现流程中，接收所述网络功能发送的测距直连链路定位协议安全策略信息。

在一个实施例中，所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF；在终端发现流程中，接收网络功能发送的RSPP安全策略信息。其中，所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。或者，所述RSPP安全策略信息包括以下至少之一：

信令完整性保护信息，用于指示以下RSPP策略：

终端仅在PC5接口受完整性保护时才接受连接；

信令加密保护信息，用于指示以下之一的RSPP策略：

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。

如图9所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，其中，所述终端发起直接通信的第一终端，所述方法包括：

步骤91、响应于所述第一终端发现第二终端，确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。

应理解，所述第一终端发起直接通信的终端，所述第二终端为被发现的直接通信的终端，已经在前述实施例中对第一终端和第二终端进行了详细的描述，在此不再赘述。

在一个实施例中，接收网络功能发送的RSPP安全策略信息；其中，所述RSPP安全策略信息指示：所述终端执行RSPP流程的安全策略。响应于接收到所述RSPP安全策略信息且所述第一终端发现第二终端，确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。

如图10所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，其中，所述终端发起直接通信的第一终端，所述方法包括：

步骤101、基于所述RSPP安全策略信息，选择发送给所述第二终端的所述第一终端的测距直连链路定位协议安全策略。

在一个实施例中，接收网络功能发送的RSPP安全策略信息；其中，所述RSPP安全策略信息指示：所述终端执行RSPP流程的安全策略。响应于接收到所述RSPP安全策略信息且所述第一终端发现第二终端，确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。基于所述RSPP安全策略信息，选择发送给所述第二终端的所述第一终端的RSPP安全策略。

应理解，所述第一终端发起直接通信的终端，所述第二终端为被发现的直接通信的终端，已经在前述实施例中对第一终端和第二终端进行了详细的描述，在此不再赘述。需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

如图11所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，其中，所述终端发起直接通信的第一终端，所述方法包括：

步骤111、向所述第二终端发送所述第一终端的所述测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，接收网络功能发送的RSPP安全策略信息；其中，所述RSPP安全策略信息指示：所述终端执行RSPP流程的安全策略。响应于接收到所述RSPP安全策略信息且所述第一终端发现第二终端，确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。基于所述RSPP安全策略信息，选择发送给所述第二终端的所述第一终端的RSPP安全策略。向所述第二终端发送所述第一终端的所述RSPP安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，向所述第二终端发送所述第一终端的所述RSPP安全策略和/或所述第一终端的安全能力信息。接收所述第二终端发送的所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。

需要说明的是，在某些场景下，第一终端也可以不发送第一终端的安全能力信息。可以理解的是，在某些场景下，第一终端无需向第二终端提供第一终端的安全能力信息，例如，第二终端预存有第一终端的安全能力信息。在此不做限定。

需要说明的是，第一终端需要向所述第二终端发送所述第一终端的所述测距直连链路定位协议安全策略。

如图12所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，所述终端为被发现的直接通信的第二终端；所述方法包括：

步骤121、接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

在一个实施例中，接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于所述第一终端的RSPP安全策略指示：终端只建立不受完整性保护的连接，拒绝所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端只建立不受加密保护的连接，且所述第二终端的RSPP安全策略指示：终端仅在PC5接口受加密保护时才接受连接，拒绝所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端仅在PC5接口受加密保护时才接受连接，且所述第二终端的RSPP安全策略指示：终端只建立不受加密保护的连接，拒绝所述直接通信请求消息。

在一个实施例中，接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于所述第一终端的RSPP安全策略和所述第二终端的RSPP安全策略均指示：终端只建立不受加密保护的连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略和所述第二终端的RSPP安全策略均指示：终端仅在PC5接口受加密保护时才接受连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端只建立不受加密保护的连接，且所述第二终端的RSPP安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，且所述第二终端的RSPP安全策略指示：终端只建立不受加密保护的连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端仅在PC5接口受加密保护时才接受连接，且所述第二终端的RSPP安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息；或者，响应于所述第一终端的RSPP安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息，且所述第二终端的RSPP安全策略指示：终端仅在PC5接口受加密保护时才接受连接，接受所述直接通信请求消息。

如图13所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，所述终端为被发现的直接通信的第二终端；所述方法包括：

步骤131、响应于确定使用测距直连链路定位协议安全策略，基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。

如图14所示，本实施例中提供一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，所述终端为被发现的直接通信的第二终端；所述方法包括：

步骤141、向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。

为了更好地理解本公开实施例，以下通过一个示例性实施例对本公开技术方案做进一步说明：

示例1：

请参见图15、本实施例中提供一种基于测距直连链路定位协议RSPP的安全保护方法，包括：

步骤a1：UE_1选择发送给UE_2的RSPP安全策略。支持测距或者SL定位的UE还必须支持ProSe或者V2X。因此，可以为UE提供用于ProSe/V2X服务的PC5安全策略和用于测距或者SL定位服务的RSPP安全策略。在这种情况下，在两个UE发现彼此进行测量或者SL定位后，通过PC5发起直接通信的UE(UE_1)应能够确定为测距或者SL定位服务而不是ProSe服务建立直接通信，以便UE_1能够选择发送给接收UE(UE_2)的RSPP安全策略，而不是针对ProSe/V2X服务的PC5安全策略。

步骤a2：在初始连接时，UE_1在发送给UE_2的直接通信请求(Direct Communication Request)消息中包含其RSPP安全策略(而不是PC5安全策略)，以及UE_1的安全能力(UE_1将为此连接接受的算法列表)。需要说明的是，在某些场景下，UE_1的安全能力的信息也可以不通过直接通信请求发送。可以理解的是，在某些场景下，UE_1无需向UE_2提供安全能力的信息，例如，UE_2预存有UE_1的安全能力的信息。在此不做限定。

步骤a3：安全策略比较和拒绝；如果UE_1的RSPP完整性安全策略是“NOT NEEDED”，则UE_2将拒绝直接通信请求。如果UE_1的RSPP加密安全策略是“NOT NEEDED”，而UE_2的RSPP加密安全策略是“REQUIRED”，则UE_2也应拒绝直接通信请求。如果UE_1的RSPP加密安全策略是“REQUIRED”，而UE_2的RSPP加密安全策略是“NOT NEEDED”，则UE_2也应拒绝直接通信请求。UE_2可以与UE_1发起直接认证和密钥建立过程。

步骤a4：安全策略比较和接受；如果UE_1和UE_2的RSPP加密安全策略都是“NOT NEEDED”或UE_1和UE_2的RSPP加密安全策略都是“REQUIRED”，则UE_2接受直接通信请求。如果UE_1的RSPP加密安全策略是“NOT NEEDED”且UE_2的RSPP加密安全策略是“PREFERRED”，或者UE_1的RSPP加密安全策略是“PREFERRED”且UE_2的RSPP加密安全策略是“NOT NEEDED”。一旦决定了要使用RSPP安全策略，UE_2根据接收到的UE_1的安全能力和自身的安全能力选择完整性和加密的安全算法。

步骤a5：UE_2在直接安全模式命令消息中返回选择的算法。UE_1的RSPP安全策略和UE_1的安全能力也返回给UE_1，以避免降价攻击。该消息使用完整性选择的算法进行完整性保护。

步骤a6：与V2X安全定义的用户面安全策略协商不同，发起测距或者SL定位服务的直接通信请求的UE_1不应在直接安全模式完成消息中包含任何不属于RSPP安全策略中。此消息受所选算法的保护。

步骤a7：UE_2向UE_1发送直接交互接受Direct Communication Accept消息。

如图16所示，本实施例中提供一种基于测距直连链路定位协议的安全保护装置，其中，所述装置包括：

发送模块161，被配置为向终端发送测距直连链路定位协议安全策略信息；

如图17所示，本实施例中提供一种基于测距直连链路定位协议测距直连链路定位协议的安全保护装置，其中，所述装置包括：

接收模块171，被配置为接收网络功能发送的测距直连链路定位协议安全策略信息；

本公开实施例提供一种通信设备，通信设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，处理器被配置为：用于运行可执行指令时，实现应用于本公开任意实施例的方法。

其中，处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在通信设备掉电之后能够继续记忆存储其上的信息。

处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序。

本公开实施例还提供一种计算机存储介质，其中，计算机存储介质存储有计算机可执行程序，可执行程序被处理器执行时实现本公开任意实施例的方法。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

如图18所示，本公开一个实施例提供一种终端的结构。

参照图18所示终端800本实施例提供一种终端800，该终端具体可是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图18，终端800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制终端800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在终端800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为终端800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为终端800生成、管理和分配电力相关联的组件。

多媒体组件808包括在终端800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当终端800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为终端800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如组件为终端800的显示器和小键盘，传感器组件814还可以检测终端800或终端800一个组件的位置改变，用户与终端800接触的存在或不存在，终端800方位或加速/减速和终端800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于终端800和其他设备之间有线或无线方式的通信。终端800可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，终端800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由终端800的处理器820执行以完成上述方法。例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

如图19所示，本公开一实施例示出一种基站的结构。例如，基站900可以被提供为一网络侧设备。参照图19，基站900包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述方法前述应用在所述基站的任意方法。

基站900还可以包括一个电源组件926被配置为执行基站900的电源管理，一个有线或无线网络接口950被配置为将基站900连接到网络，和一个输入输出(I/O)接口958。基站900可以操作基于存储在存储器932的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由网络功能执行，所述方法包括：

向终端发送测距直连链路定位协议安全策略信息；

其中，所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
根据权利要求1所述的方法，其中，所述测距直连链路定位协议安全策略信息指示至少一个测距直连链路定位服务和测距直连链路定位协议安全策略之间的映射关系。
根据权利要求1所述的方法，其中，所述测距直连链路定位协议安全策略信息包括以下至少之一：

信令完整性保护信息，用于指示以下测距直连链路定位协议策略：

终端仅在PC5接口受完整性保护时才接受连接；

信令加密保护信息，用于指示以下之一的测距直连链路定位协议策略：

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。
根据权利要求1所述的方法，其中，所述网络功能为策略控制功能PCF，并且所述向终端发送测距直连链路定位协议安全策略信息，包括：

在服务授权与配置流程中，向所述终端发送测距直连链路定位协议安全策略信息。
根据权利要求1所述的方法，其中，所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF，并且

所述向终端发送测距直连链路定位协议安全策略信息，包括：

在终端发现流程中，向所述终端发送测距直连链路定位协议安全策略信息。
一种基于测距直连链路定位协议的安全保护方法，其中，所述方法由终端执行，所述方法包括：

接收网络功能发送的测距直连链路定位协议安全策略信息；

其中，所述测距直连链路定位协议安全策略信息指示：所述终端执行测距直连链路定位协议流程的安全策略。
根据权利要求6所述的方法，其中，所述测距直连链路定位协议安全策略信息指示至少一个测距直连链路定位服务和测距直连链路定位协议安全策略之间的映射关系。
根据权利要求6所述的方法，其中，所述测距直连链路定位协议安全策略信息包括以下至少之一：

信令完整性保护信息，用于指示以下测距直连链路定位协议策略：

终端仅在PC5接口受完整性保护时才接受连接；

信令加密保护信息，用于指示以下之一的测距直连链路定位协议策略：

终端仅在PC5接口受加密保护时才接受连接；

终端只建立不受加密保护的连接；

终端会尝试建立加密保护且会接收不受加密保护的连接。
根据权利要求6所述的方法，其中，所述网络功能为策略控制功能PCF，并且

所述接收网络功能发送的测距直连链路定位协议安全策略信息，包括：

在服务授权与配置流程中，接收所述网络功能发送的测距直连链路定位协议安全策略信息。
根据权利要求6所述的方法，其中，所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF，并且所述接收网络功能发送的测距直连链路定位协议安全策略信息，包括：

在终端发现流程中，接收所述网络功能发送的测距直连链路定位协议安全策略信息。
根据权利要求6所述的方法，其中，所述终端为发起直接通信的第一终端；所述方法还包括：

响应于所述第一终端发现第二终端，确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。
根据权利要求11所述的方法，其中，所述方法还包括：

基于所述测距直连链路定位协议安全策略信息，选择发送给所述第二终端的所述第一终端的测距直连链路定位协议安全策略。
根据权利要求12所述的方法，其中，所述方法还包括：

向所述第二终端发送所述第一终端的所述测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
根据权利要求13所述的方法，其中，所述向所述第二终端发送所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息，包括：

通过直接通信请求消息向所述第二终端发送所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
根据权利要求13所述的方法，其中，所述方法还包括：

接收所述第二终端发送的所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
根据权利要求15所述的方法，其中，所述接收所述第二终端发送的所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息，包括：

通过直接安全模式命令消息接收所述第二终端发送的所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
根据权利要求6所述的方法，其中，所述终端为被发现的直接通信的第二终端；所述方法还包括：

接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
根据权利要求17所述的方法，其中，所述接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息，包括：

通过直接通信请求消息接收所述第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
根据权利要求17所述的方法，其中，所述方法还包括以下中的至少一项：

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端只建立不受完整性保护的连接，拒绝所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端只建立不受加密保护的连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端仅在PC5接口受加密保护时才接受连接，拒绝所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端仅在PC5接口受加密保护时才接受连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端只建立不受加密保护的连接，拒绝所述直接通信请求消息。
根据权利要求17所述的方法，其中，所述方法还包括以下中的至少一项：

响应于所述第一终端的测距直连链路定位协议安全策略和所述第二终端的测距直连链路定位协议安全策略均指示：终端只建立不受加密保护的连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略和所述第二终端的测距直连链路定位协议安全策略均指示：终端仅在PC5接口受加密保护时才接受连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端只建立不受加密保护的连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端只建立不受加密保护的连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端仅在PC5接口受加密保护时才接受连接，且所述第二终端的测距直连链路定位协议安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息；

响应于所述第一终端的测距直连链路定位协议安全策略指示：终端会尝试建立加密保护且会接收不受加密保护的连接，接受所述直接通信请求消息，且所述第二终端的测距直连链路定位协议安全策略指示：终端仅在PC5接口受加密保护时才接受连接，接受所述直接通信请求消息。
根据权利要求20所述的方法，其中，所述方法还包括：

响应于确定使用测距直连链路定位协议安全策略，基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。
根据权利要求21所述的方法，其中，所述方法还包括：

向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
根据权利要求22所述的方法，其中，所述向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息，包括：

通过直接安全模式命令消息向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
根据权利要求23所述的方法，其中，所述直接安全模式命令消息基于完整性保护选择的安全算法进行完整性保护。
一种基于测距直连链路定位协议的安全保护装置，其中，所述装置包括：

发送模块，被配置为向终端发送测距直连链路定位协议安全策略信息；

其中，所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
一种基于测距直连链路定位协议的安全保护装置，其中，所述装置包括：

接收模块，被配置为接收网络功能发送的测距直连链路定位协议安全策略信息；

其中，所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
一种通信设备，其中，包括：

存储器；

处理器，与所述存储器连接，被配置为通过执行存储在所述存储器上的计算机可执行指令，并能够实现权利要求1至5或者6至24任一项所述的方法。
一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令被处理器执行后能够实现权利要求1至5或者6至24任一项所述的方法。