WO2023245520A1

WO2023245520A1 - 一种定位服务的直接通信方法及装置

Info

Publication number: WO2023245520A1
Application number: PCT/CN2022/100579
Authority: WO
Inventors: 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-06-22
Filing date: 2022-06-22
Publication date: 2023-12-28
Also published as: CN117616788A

Abstract

本公开实施例公开了一种定位服务的直接通信方法，可应用于通信技术领域，其中，由第一终端设备执行的方法包括：响应于确定与第二终端设备间共享单播链路通信根密钥K NRP，向第二终端设备发送直接通信请求消息，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。由此，第二终端设备即可根据安全上下文生成机制，生成用于定位服务的安全上下文，从而实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

Description

一种定位服务的直接通信方法及装置

技术领域

本公开涉及通信技术领域，尤其涉及一种定位服务的直接通信方法及装置。

背景技术

针对支持测距Ranging或侧链(sidelink，SL)定位的增强型5G通信系统架构，如何对测距或侧链定位过程进行安全保护是目前亟需解决的问题。

发明内容

本公开实施例提供一种定位服务的直接通信方法及装置。

第一方面，本公开实施例提供一种定位服务的直接通信方法，该方法由第一终端设备执行，方法包括：响应于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向所述第二终端设备发送直接通信请求消息，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

本公开中，第一终端设备在确定要启动与第二终端设备间的测距或侧链定位服务时，若其与第二终端设备间已经存在PC5直连通信链路，则可以直接将用于生成用于定位服务的安全上下文的信息发送给第二终端设备，从而第二终端设备即可根据安全上下文生成机制，生成用于定位服务的安全上下文，从而实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

第二方面，本公开实施例提供一种定位服务的直接通信方法，该方法由第二终端设备执行，方法包括：接收第一终端设备发送的直接通信请求消息，所述直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

本公开中，第二终端设备在接收到第一终端设备发送的包含用于生成用于定位服务的安全上下文信息后，即可生成用于定位服务的安全保护的密钥。由此，实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

第三方面，本公开实施例提供一种通信装置，所述装置包括：

收发模块，用于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向所述第二终端设备发送直接通信请求消息，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

第四方面，本公开实施例提供一种通信装置，所述装置包括：

收发模块，用于接收第一终端设备发送的直接通信请求消息，所述直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

第五方面，本公开实施例提供一种通信装置，该通信装置包括处理器和存储器，该存储器中存储有计算机程序；所述处理器执行该存储器所存储的计算机程序，以使该通信装置执行上述第一方面所述的方法。

第六方面，本公开实施例提供一种通信装置，该通信装置包括处理器和存储器，该存储器中存储有计算机程序；所述处理器执行该存储器所存储的计算机程序，以使该通信装置执行上述第二方面所述的方法。

第七方面，本公开实施例提供一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第一方面所述的方法。

第八方面，本公开实施例提供一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第二方面所述的方法。

第九方面，本公开实施例提供一种定位服务的直接通信系统，该系统包括第三方面所述的通信装置及第三方面所述的通信装置；或者，该系统包括第五方面所述的通信装置及第六方面所述的通信装置；或者，该系统包括第七方面所述的通信装置及第八方面所述的通信装置。

第十方面，本发明实施例提供一种计算机可读存储介质，用于储存为上述终端设备所用的指令，当所述指令被执行时，使所述终端设备执行上述第一方面所述的方法。

第十一方面，本发明实施例提供一种计算机可读存储介质，用于储存为上述终端设备所用的指令，当所述指令被执行时，使所述终端设备执行上述第二方面所述的方法。

第十二方面，本公开还提供一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第十三方面，本公开还提供一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

第十四方面，本公开提供一种芯片系统，该芯片系统包括至少一个处理器和接口，用于支持终端设备实现第一方面所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存终端设备必要的计算机程序和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十五方面，本公开提供一种芯片系统，该芯片系统包括至少一个处理器和接口，用于支持网络设备实现第二方面所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存终端设备必要的计算机程序和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十六方面，本公开提供一种计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第十七方面，本公开提供一种计算机程序，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

附图说明

为了更清楚地说明本公开实施例或背景技术中的技术方案，下面将对本公开实施例或背景技术中所需要使用的附图进行说明。

图1是本公开实施例提供的一种通信系统的架构示意图；

图2是本公开实施例提供的一种定位服务的直接通信方法的流程示意图；

图3是本公开实施例提供的另一种定位服务的直接通信方法的流程示意图；

图4是本公开实施例提供的另一种定位服务的直接通信方法的流程示意图；

图5是本公开实施例提供的另一种定位服务的直接通信方法的流程示意图；

图5a是安全上下文中各密钥间的关系示意图；

图6是本公开实施例提供的又一种定位服务的直接通信方法的流程示意图；

图7是本公开实施例提供的又一种定位服务的直接通信方法的流程示意图；

图8是本公开实施例提供的又一种定位服务的直接通信方法的流程示意图；

图9是本公开实施例提供的又一种定位服务的直接通信方法的流程示意图；

图10是本公开实施例提供的又一种定位服务的直接通信方法的流程示意图；

图11是本公开实施例提供的又一种定位服务的直接通信方法的流程示意图；

图12是本公开实施例提供的一种定位服务的直接通信方法的交互示意图；

图13是本公开实施例提供的一种通信装置的结构示意图；

图14是本公开实施例提供的另一种通信装置的结构示意图；

图15是本公开实施例提供的一种芯片的结构示意图。

具体实施方式

现结合附图和具体实施方式对本公开实施例进一步说明。

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

取决于语境，如在此所使用的词语“如果”及“响应于”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面详细描述本公开的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的要素。下面通过参考附图描述的实施例是示例性的，旨在用于解释本公开，而不能理解为对本公开的限制。

为了便于理解，首先介绍本公开涉及的术语。

1、长期凭证(long term credentials)

长期凭证，是作为PC5单播链路的安全根提供给终端设备的凭据。它们用于通过身份验证和密钥建立过程导出相关服务的根密钥。

2、K _NRP

K _NRP为终端设备间共享单播链路通信的根密钥。其为终端设备根据邻近服务(proximity service，ProSe)或车用无线通信技术(vehicle to everything，V2X)服务的安全机制生成的根密钥。

为了更好的理解本公开实施例公开的一种传输配置指示状态的指示方法，下面首先对本公开实施例适用的通信系统进行描述。

请参见图1，图1为本公开实施例提供的一种通信系统的架构示意图。该通信系统可包括但不限于一个网络设备，和一个终端设备，图1所示的设备数量和形态仅用于举例并不构成对本公开实施例的限定，实际应用中可以包括两个或两个以上的网络设备，两个或两个以上的终端设备。图1所示的通信系统以包括一个网络设备11，及两个终端设备，终端设备12和终端设备13为例。

需要说明的是，本公开实施例的技术方案可以应用于各种通信系统。例如：长期演进(long term evolution，LTE)系统、第五代(5th generation，5G)移动通信系统、5G新空口(new radio，NR)系统，或者其他未来的新型移动通信系统等。

本公开实施例中的网络设备11是网络侧的一种用于发射或接收信号的实体。例如，可以分别为演进型基站(evolved NodeB，eNB)、传输点(transmission reception point，TRP)、NR系统中的下一代基站(next generation NodeB，gNB)、其他未来移动通信系统中的基站或无线保真(wireless fidelity，WiFi)系统中的接入节点等。本公开的实施例对网络设备所采用的具体技术和具体设备形态不做限定。本公开实施例提供的网络设备可以是由集中单元(central unit，CU)与分布式单元(distributed unit，DU)组成的，其中，CU也可以称为控制单元(control unit)，采用CU-DU的结构可以将网络设备，例如基站的协议层拆分开，部分协议层的功能放在CU集中控制，剩下部分或全部协议层的功能分布在DU中，由CU集中控制DU。本公开中，TRP还可以替换为射频拉远头Remote Radio Head，或天线面板等。

本公开实施例中的终端设备12和终端设备13是用户侧的一种用于接收或发射信号的实体，如手机。终端设备也可以称为终端设备(terminal)、用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端设备(mobile terminal，MT)等。终端设备可以是具备通信功能的汽车、智能汽车、手机(mobile phone)、穿戴式设备、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self-driving)中的无线终端设备、远程手术(remote medical surgery)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smart home)中的无线终端设备等等。本公开的实施例对终端设备所采用的具体技术和具体设备形态不做限定。

可以理解的是，本公开实施例描述的通信系统是为了更加清楚的说明本公开实施例的技术方案，并不构成对于本公开实施例提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本公开实施例提供的技术方案对于类似的技术问题，同样适用。目前，针对增强型5G架构，提出了一种用于在终端设备直接传输测距能力、辅助数据和位置信息，以进行测距或侧链定位的测距或侧链定位协议(Ranging/Sidelink Positioning Protocol，RSPP)过程。还提出了在PC5接口上承载一个新的SR5接口，以支持测距或侧链定位服务功能(Ranging/Sidelink Positioning function，SPRF)，以下简称定位服务。由于RSPP或SR5(以下简称RSPP/SR5)建立在相关规定的现有PC5直接通信协议之上，因此RSPP/SR5上的直接通信的安全保护可以依赖于PC5直接通信的现有安全保护。并且用于直接通信的PC5链路安全的激活依赖于网络设备向终端设备提供的PC5安全策略。而PC5安全策略是基于在终端设备之间运行的ProSe或V2X(以下简称ProSe/V2X)应用程序或服务的安全需求定义的，即网络设备提供的PC5安全策略与终端设备支持和请求的ProSe/V2X应用程序/服务相关联。

然而由于测距或侧链定位服务的安全需求，与ProSe/V2X应用程序或服务的安全需求可能不同，因此，如果在终端设备启动(测距或侧链)定位服务之前已经建立了PC5直接通信链路，例如，一对终端设备之前已经为ProSe/V2X应用程序/服务建立了PC5直接通信，但是为ProSe/V2X应用/服务建立的现有PC5直接通信链路的安全保护，可能不支持将在同一对终端设备之间使用的测距/侧链定位服务的安全要求。因此，本公开中，提出在使定位服务重用为先前的ProSe/V2X服务建立的PC5直接通信链路的基础上，重新生成用于定位服务安全的安全上下文，以对定位服务进行安全保护。

需要说明的是，本公开中，任一个实施例提供的一种定位服务的直接通信方法可以单独执行，或是结合其他实施例中的可能的实现方法一起被执行，还可以结合相关技术中的任一种技术方案一起被执行。

需要说明的是，本公开中，假设测距或侧链定位服务的安全策略，已经由网络设备配置给了终端设备。

请参见图2，图2是本公开实施例提供的一种定位服务的直接通信方法的流程示意图，该方法由第一终端设备执行。如图2所示，该方法可以包括但不限于如下步骤：

步骤201，响应于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向第二终端设备发送直接通信请求消息，其中，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

可选的，安全上下文(security context)中可以包括用于定位服务的根密钥K _NRR、由K _NRR派生的会话根密钥K _{NRR_SESS}等。

可选的，用于生成用于定位服务的安全上下文的信息，可以包括以下各项：

第一密钥建立信息(key establishment information，Key_Est_Info)、第一终端设备支持的第一候选安全算法列表、第一随机数，第一会话根密钥密钥K _{NRR_SESS}标识ID的第一最高有效位(Most significant bit，MSB)及第一候选信令安全策略。

其中，密钥建立信息可以为定位服务应用层配置的，用于生成定位服务的密钥的一种信息。另外第一候选安全算法列表中，包含第一终端设备支持的可用的各种算法标识，或者算法名称等等，从而第二用的设备即可根据第一终端设备支持的可用的安全算法及自身支持的安全算法，来确定生成用于定位服务的安全上下文时，采用的安全算法。

另外，第一随机数为第一终端设备为当前生成用于定位服务的安全上下文随机生成的随机数。第一MSB可以为第一终端设备根据定位服务的指示生成的；或者，也可以为其从预设的数据库中选择的数值，其中，预设的数据库可以为定位服务应用层预先配置或生成的数据库，本公开对此不做限定。本公开中，第二终端设备可以根据第一MSB及其他信息，确定其生成的第二K _{NRR_SESS}的标识。

第一候选信令安全策略为网络设备预先配置给终端设备的，其可以包含对信令安全相关的参数配置信息。比如，可以包含用于进行信令完整性保护的参数，或者，还可以包含用于进行信令加密保护的参数等等，本公开对此不做限定。

可选的，为了保证定位服务结果的准确性和可靠性，本公开中，网络设备配置给第一终端设备的第一候选信令安全策略中，信令完整性保护的参数为“需要”，信令加密保护的参数可以为“需要”、“不需要”或者“推荐”等。

若信令加密保护的参数为“需要”，则第一终端设备与第二终端设备在生成用于定位服务的安全上下文时，就需要生成用于进行信令加密保护的密钥。或者，若该参数为“不需要”，则第一终端设备与第二终端设备在生成用于定位服务的密钥时，就不应生成用于进行信令加密保护的密钥。或者，若指示该参数为“推荐”的参数，则第一终端设备与第二终端设备在生成用于定位服务的密钥时，可以生成或不生成用于进行信令加密保护的密钥，等等，本公开对此不做限定。

可选的，由于本公开中，定位服务不共享ProSe/V2X服务的根密钥K _NRP，从而直连通信请求消息中可以不包含K _NRP。

请参见图3，图3是本公开实施例提供的一种定位服务的直接通信方法的流程示意图，该方法由第一终端设备执行。如图3所示，该方法可以包括但不限于如下步骤：

步骤301，接收网络设备发送的定位服务安全策略，其中，定位服务安全策略中包含信令安全策略及用户面安全策略。

可选的，第一终端设备可以接收策略控制功能(Policy control function，PCF)网元通过控制平面，在服务授权和信息提供过程中发送的定位服务安全策略的配置数据。

或者，第一终端设备也可以接收直接发现名称管理功能(Direct discovery name management function，DDNMF)网元，在发现过程中发送的定位服务安全策略的配置数据。

或者，第一终端设备也可以接收邻近服务密钥管理功能(prose key management function，PKMF)，在发现过程中发送的定位服务安全策略的配置数据。

可选的，PKMF和DDNMF可以在通过用户平面为终端设备提供定位服务的安全策略。

可选的，安全策略的配置数据中可以包含：信令完整性保护参数，信令加密保护对应的第一选择参数，用户面完整性保护参数，及用户面加密包含对应的第二选择参数，所述第一选择参数用于表征是否需执行所述信令加密保护，第二选择参数用于表征是否需执行所述用户面加密保护。

本公开中，终端设备在接收到安全策略的配置数据后，即可根据该配置数据中包含的参数，对测距或侧链定位服务过程进行保护。例如，第一选择参数表征不需要执行信令加密保护，则第一终端设备即可在定位服务过程中，不需要对传输的信令进行加密；或者，第二选择参数表征需要执行用户面加密保护，则第一终端设备即可在定位服务过程中，需要对传输的用户面数据进行加密，等等，本公开对此不做限定。

本公开中，网络设备可以提前向可以进行侧链通信的终端设备发送定位服务安全策略，之后终端设备即可根据该定位服务安全策略，对定位服务的直接通信过程进行保护。

步骤302，响应于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向第二终端设备发送直接通信请求消息，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

可选的，直接通信请求消息中可以包含上述定位服务安全策略。

其中，步骤302的具体实现过程，可以参照本公开任一实施例的详细描述，此处不再赘述。

本公开中，终端设备在接收到网络设备发送的定位服务安全策略后，在要启动定位服务时，若其与第二终端设备间存在共享的单播链路通信根密钥K _NRP，则直接向第二终端设备发送直接通信请求消息，以请求生成用于定位服务的安全上下文。由此，实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

请参见图4，图4是本公开实施例提供的一种定位服务的直接通信方法的流程示意图，该方法由第一终端设备执行。如图4所示，该方法可以包括但不限于如下步骤：

步骤401，接收网络设备发送的定位服务安全策略，其中，定位服务安全策略中包含信令安全策略及用户面安全策略。

步骤402，响应于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向第二终端设备发送直接通信请求消息，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

其中，步骤401及步骤402的具体实现过程，可以参照本公开任一实施例的详细描述，此处不再赘述。

步骤403，接收第二终端设备发送的直接安全模式命令消息，其中，直接安全模式命令消息中包括第二密钥建立信息、第二随机数、第一安全算法。

其中，第二密钥建立信息，为第二终端设备侧的用于生成用于定位服务的安全上下文的一种信息，其可以为定位服务应用层配置的。需要说明的是，由于该第二密钥建立信息为生成用于定位服务的安全上下文的一个参数，而该定位服务为第一终端设备与第二终端设备协作实现的，因此第二终端设备侧的第二密钥建立信息，与第一终端设备的第一密钥建立信息相同。

第二随机数，为第二终端设备为生成用于定位服务的安全上下文时随机生成的随机数。第一安全算法，为第二终端设备根据第一候选安全算法列表及自身支持的第二候选安全算法列表，选择的用于生成定位服务安全上下文的安全算法。

可选的，由于直接安全模式命令消息是第二终端设备在生成了用于进行信令完整性保护的第二完整性密钥NRRIK后发送的，因此，该直接安全模式命令消息可以为第二终端设备进行了完整性保护处理后的消息，从而保证了第一终端设备接收的消息完整、可靠。

步骤404，响应于所述第二密钥建立信息与所述第一密钥建立信息匹配，基于所述第二密钥建立信息、所述第二随机数、第一随机数及所述第一安全算法，生成用于进行信令完整性保护的第一NRRIK。

本公开中，第一终端设备在确定第二密钥建立信息与第一密钥建立信息匹配的情况下，即可基于用于生成用于定位服务的密钥的参数，来生成定位服务上下文中的相关密钥。

可选的，第一终端设备可以首先基于第二密钥建立信息及预置的长期凭证(long term credentials)，计算用于定位服务的第一根密钥K _NRR；之后，再基于第一根密钥K _NRR、第二随机数、第一随机数，生成第一会话根密钥K _{NRR_SESS}，再基于第一会话根密钥K _{NRR_SESS}和第一安全算法中包含的信令完整性算法的标识，生成用于进行信令完整性保护的第一NRRIK。

可选的，预置的长期凭证，为定位服务应用预先配置的。该预置的长期凭证与生成所述K _NRP的长期凭证可以相同或不同。

步骤405，向第二终端设备发送直接安全模式完成消息，其中，直接安全模式完成消息中包含第一K _NRR ID的第一LSB及第一候选用户面安全策略。

可选的，由于第一终端设备已经生成了用于进行信令完整性保护的第一NRRIK后发送的，因此，第一终端设备可以对该直接安全模式完成消息进行完整性保护处理后再发送给第二终端设备，从而保证了第二终端设备接收的消息完整、可靠。

其中，第一终端设备，可以根据定位服务的指示的生成规则，生成第一K _NRR ID的第一LSB；或者，也可以从定位服务阈值的数据库中，选择一个数据作为第一K _NRR ID的第一LSB。其中，K _NRR ID用于唯一的标识第一终端设备生成的K _NRR。本公开中，第二终端设备可以根据第一LSB及其他信息，确定其生成的第一K _NRR的ID。第一K _NRR ID用于唯一的标识该第一K _NRR。另外，第一候选用户面安全策略，为网络设备预先配置给终端设备的，其可以包含对用户面数据安全相关的参数配置信息。比如，可以包含用于进行用户面完整性保护的参数，或者，还可以包含用于进行用户面加密保护的参数等等，本公开对此不做限定。

步骤406，接收第二终端设备发送的直接通信接收消息，其中，直连通信接收消息中包含第二安全算法。

步骤407，基于所述第一K _NRR、第二随机数、第一随机数及所述第二安全算法中包含的用户面完整性算法的标识，生成用于进行用户面完整性保护的第一完整性密钥NRRIK。

本公开中，第一终端设备在向第二终端设备发送了直接安全模式完成消息后，第二终端设备即可根据该消息中的第一候选用户面安全策略及自身支持的第二候选用户面安全策略，确定用户面待使用的安全策略，进而再选择可用的第二安全算法，以生成用于进行用户面完整性保护的密钥。进而再把第二安全算法发送给第一终端设备，以使第一终端设备基于选中的安全算法，生成用于进行用户面完整性保护的第二NRRIK。

可选的，由于直接通信接收消息为第二终端设备在生成用于进行用户面完整性保护的密钥后发送的，因此该消息也可以为第二终端设备进行了完整性保护处理后的消息，从而保证第一终端设备收到的消息完整、准确。

本公开中，第一终端设备在接收到网络设备配置的定位服务安全策略后，在要启动定位服务时，若其与第二终端设备间存在共享的单播链路通信根密钥K _NRP，则直接向第二终端设备发送直接通信请求消息，之后通过与第二终端设备间的信息交互，生成用于定位服务的用于信令的安全密钥及用于用户面的安全密钥。由此，实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

请参见图5，图5是本公开实施例提供的一种定位服务的直接通信方法的流程示意图，该方法由第一终端设备执行。如图5所示，该方法可以包括但不限于如下步骤：

步骤501，接收网络设备发送的定位服务安全策略，其中，定位服务安全策略中包含信令安全策略及用户面安全策略。

步骤502，响应于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向第二终端设备发送直接通信请求消息，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

步骤503，接收第二终端设备发送的直接安全模式命令消息，其中，直接安全模式命令消息中包括第二密钥建立信息、第二随机数、第一安全算法。

步骤504，响应于所述第二密钥建立信息与所述第一密钥建立信息匹配，基于所述第二密钥建立信息、所述第二随机数、第一随机数及所述第一安全算法，生成用于进行信令完整性保护的第一NRRIK。

其中，步骤501至步骤502的具体实现过程，可以参照本公开任一实施例的详细描述，此处不再赘述。

步骤505，响应于第一安全算法中包含信令加密算法，基于第一K _{NRR_SES}S及所述信令加密算法的标识，生成用于进行信令加密的第一加密密钥NRREK。

本公开中，若第二终端设备根据第一候选信令安全策略及自身支持的第二候选信令安全策略，确定定位服务过程中需要进行信令加密保护，则可以选中用于信令加密保护的信令加密算法，并将其与信令完整性保护算法一同发送给第一终端设备。之后第一终端设备即可基于信令加密算法的标识、第一K _NRR _{_SESS}，生成用于信令加密的第一NRREK，以实现对定位服务过程中的信令进行加密保护。

可选的，第一终端设备在生成了第一K _NRR、第一K _{NRR_SESS}后，即可将第一K _NRR、第一K _{NRR_SESS}分别与对应的标识进行关联存储。

可选的，直接安全模式命令消息中还包括：第二K _NRRID的第二MSB，及第二K _{NRR_SESS}ID的第二最低有效位LSB。

相应的，第一终端设备可以：首先确定第一K _NRR ID的第一LSB；之后，再基于第二MSB及第一LSB，生成第一K _NRR的ID；并基于第二LSB及第一MSB，生成第一K _{NRR_SESS}的ID；之后即可将第一K _NRR与第一K _NRR的ID、第一K _{NRR_SESS}与第一K _{NRR_SESS}的ID进行关联存储。

其中，第一终端设备，可以根据定位服务应用层的指示，生成第一K _NRR ID的第一LSB；或者，也可以从定位服务应用预先配置的数据库中选择第一K _NRR ID的第一LSB。

步骤506，向第二终端设备发送直接安全模式完成消息，其中，直接安全模式完成消息中包含第二LSB及第一候选用户面安全策略。

步骤507，接收第二终端设备发送的直接通信接收消息，其中，直连通信接收消息中包含第二安全算法。

步骤508，基于第一K _NRR、第二随机数、第一随机数及第二安全算法中包含的用户面完整性算法的标识，生成用于进行用户面完整性保护的第二NRRIK。

步骤509，响应于第二安全算法中包含用户面加密算法，基于第一K _NRR、第二随机数、第一随机数及用户面加密算法的标识，生成用于进行用户面加密的第二NRREK。

其中，步骤506至步骤507的具体实现过程，可以参照本公开任一实施例的相关描述，此处不再赘述。

下面结合图5a，以预置的长期凭证与生成K _NRP的长期凭证相同为例，对各个密钥间的关系进行说明。图5a是安全上下文中各密钥间的关系示意图。

如图5a可知，K _NRR和K _NRP，分别为基于同一个长期凭证通过不同的安全算法得到的两个根密钥。之后基于K _NRR，通过派生处理，即可得到K _{NRR_SESS}，进而再基于K _{NRR_SESS}，结合完整性保护算法，即可得到NRRIK，基于K _{NRR_SESS}，结合加密保护算法，即可得到NRREK。同样的，基于K _NRP，通过派生处理，即可得到K _{NRP_SESS}，进而再基于K _{NRP_SESS}，结合完整性保护算法，即可得到NRPIK，基于K _{NRP_SESS}，结合加密保护算法，即可得到NRPEK。

需要说明的是，K _NRR与K _NRP也可以基于不同的长期凭证生成，本公开对此不做限定。

也就是说，ProSe/V2X服务与定位服务，可以基于不同的安全上下文，使用相同的PC5直播通信链路。

本公开中，第一终端设备在接收到网络设备配置的定位服务安全策略后，在要启动定位服务时，若其与第二终端设备间存在共享的单播链路通信根密钥K _NRP，则直接向第二终端设备发送直接通信请求消息，之后通过与第二终端设备间的信息交互，生成用于定位服务的完整性保护的密钥及加密保护的密钥。由此，实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

请参见图6，图6是本公开实施例提供的一种定位服务的直接通信方法的流程示意图，该方法由第一终端设备执行。如图6所示，该方法可以包括但不限于如下步骤：

步骤601，接收网络设备发送的定位服务安全策略，其中，定位服务安全策略中包含信令安全策略及用户面安全策略。

步骤602，响应于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向第二终端设备发送直接通信请求消息，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

其中，步骤步骤601至步骤602的具体实现过程，可以参照本公开任一实施例的相关描述，此处不再赘述。

步骤603，接收第二终端设备发送的直接认证和密钥建立消息，其中，直接认证和密钥建立消息中包含第二密钥建立信息。

步骤604，在第二密钥建立信息与所述第一密钥建立信息匹配的情况下，向所述第二终端设备发送直接认证和密钥建立消息响应消息。

本公开中，仅第一终端设备与第二终端设备之间完成了直接认证后，才能建立用于对定位服务过程进行保护的安全上下文。因此，第二终端设备在接收到第一终端设备发送的直接通信请求消息后，即可启动服务的认证和密钥建立过程，即向第一终端设备发送直接认证和密钥建立消息。

相应的，第一终端设备在确定收到的第二终端设备的第二密钥建立信息与自身的第一密钥建立信息匹配的情况下，即可确定认证通过，从而即可返回直接认证和密钥建立消息响应消息，以指示认证通过，可以启动密钥建立过程。

可选的，若第一终端设备在确定第二密钥建立信息与第一密钥建立信息未匹配，则也可以通过直接认证和密钥建立消息响应消息，向第二终端设备指示认证未通过，本公开对此不做限定。

步骤605，接收第二终端设备发送的直接安全模式命令消息，其中，直接安全模式命令消息中包括第二密钥建立信息、第二随机数、第一安全算法。

步骤606，响应于所述第二密钥建立信息与所述第一密钥建立信息匹配，基于所述第二密钥建立信息、所述第二随机数、第一随机数及所述第一安全算法，生成用于进行信令完整性保护的第一完整性密钥。

步骤607，响应于第一安全算法中包含信令加密算法，基于第一K _{NRR_SESS}及所述信令加密算法的标识，生成用于进行信令加密的第一加密密钥NRREK。

步骤608，向第二终端设备发送直接安全模式完成消息，其中，直接安全模式完成消息中包含第二LSB及第一候选用户面安全策略。

步骤609，接收第二终端设备发送的直接通信接收消息，其中，直连通信接收消息中包含第二安全算法。

步骤610，基于所述第一K _NRR、第二随机数、第一随机数及所述第二安全算法中包含的用户面完整性算法的标识，生成用于进行用户面完整性保护的第二完整性密钥。

步骤611，响应于第二安全算法中包含用户面加密算法，基于第一K _NRR、第二随机数、第一随机数及用户面加密算法的标识，生成用于进行用户面加密的第二加密密钥。

其中，步骤605至步骤611的具体实现过程，可以参照本公开任一实施例的相关描述，此处不再赘述。

请参见图7，图7是本公开实施例提供的又一种定位服务的直接通信方法的流程示意图，该方法由第二终端设备执行。如图7所示，该方法可以包括但不限于如下步骤：

步骤701，接收第一终端设备发送的直接通信请求消息，直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

可选的，安全上下文(security context)中可以包括用于定位服务的根密钥K _NRR，由K _NRR派生的会话根密钥K _{NRR_sess}等。

第一密钥建立信息(key establishment information，Key_Est_Info)、第一终端设备支持的第一候选安全算法列表、第一随机数，第一会话根密钥K _{NRR_SESS}标识ID的第一最高有效位(Most significant bit，MSB)及第一候选信令安全策略。

其中，密钥建立信息，可以为定位服务应用层配置的，用于生成定位服务的密钥的一种信息。另外第一候选安全算法列表中，包含第一终端设备支持的可用的各种算法标识，或者算法名称等等，从而第二用的设备即可根据第一终端设备支持的可用的安全算法及自身支持的安全算法，来确定生成用于定位服务的安全上下文时，采用的安全算法。

另外，第一随机数，为第一终端设备为当前生成用于定位服务的安全上下文随机生成的随机数。第一MSB可以为第一终端设备根据定位服务的指示生成的；或者，也可以为其从预设的数据库中选择的数值，其中，预设的数据库可以为定位服务应用层预先配置或生成的数据库，本公开对此不做限定。本公开中，第二终端设备可以根据第一MSB及其他信息，确定其生成的会话根密钥K _{NRR_SESS}的标识。

第一候选信令安全策略，为网络设备预先配置给终端设备的，其可以包含对信令安全相关的参数配置信息。比如，可以包含用于进行信令完整性保护的参数，或者，还可以包含用于进行信令加密保护的参数等等，本公开对此不做限定。

可选的，为了保证定位服务结果的准确性和可靠性，本公开中，网络设备配置给第一终端设备的第一候选信令安全策略中，信令完整性保护的参数为“需要”，信令加密保护的参数可以为“需要”，或者，也可以为“不需要”，或者也可以为“推荐”。

本公开中，第二终端设备在接收到第一终端设备发送的包含用于生成用于定位服务的安全上下文信息后，即可生成用于定位服务的安全密钥。由此，实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

请参见图8，图8是本公开实施例提供的一种定位服务的直接通信方法的流程示意图，该方法由第二终端设备执行。如图8所示，该方法可以包括但不限于如下步骤：

步骤801，接收网络设备发送的定位服务安全策略，其中，所定位服务安全策略中包含信令安全策略及用户面安全策略。

步骤802，接收第一终端设备发送的直接通信请求消息，直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

其中，步骤801和步骤802的具体实现过程，可以参照本公开任一实施例的详细描述，此处不再赘述。

本公开中，第二终端设备在接收到网络设备发送的定位服务安全策略及第一终端设备发送的用于生成用于定位服务的安全上下文的信息后，即可根据自身定位服务安全策略及第一终端设备侧的定位服务安全策略，确定当前待执行的安全策略，进而基于该待执行的安全策略及其他相关参数，生成用于定位服务的安全上下文。

本公开中，第二终端设备在接收到网络设备配置的定位服务安全策略及第一终端设备发送的包含用于生成用于定位服务的安全上下文信息后，即生成用于定位服务的安全密钥。由此，实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

请参见图9，图9是本公开实施例提供的一种定位服务的直接通信方法的流程示意图，该方法由第二终端设备执行。如图9所示，该方法可以包括但不限于如下步骤：

步骤901，接收网络设备发送的定位服务安全策略，其中，所定位服务安全策略中包含信令安全策略及用户面安全策略。

步骤902，接收第一终端设备发送的直接通信请求消息，直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

步骤903，响应于所第一密钥建立信息与自身的第二密钥建立信息匹配，生成用于进行信令完整性保护的第二完整性密钥NRRIK。

可选的，第二终端设备在确定第一密钥建立信息与自身的第二密钥建立信息匹配后，即可根据自身的第二候选信令安全策略及第一终端设备端的第一候选信令安全策略，生成用于信令完整性保护的第二NRRIK。

可选的，终端设备可以先根据自身的第二候选信令安全策略及第一候选信令安全策略，确定待使用的信令安全策略；然后再根据待使用的信令安全策略、自身支持的第二候选安全算法列表及第一候选安全算法列表，确定第一安全算法；进而再根据第一随机数、自身产生的第二随机数及第一安全算法，生成用于进行信令完整性保护的第二NRRIK。

可选的，第二终端设备可以首先基于第二密钥建立信息及预置的长期凭证，计算用于定位服务第二根密钥K _NRR；然后再基于第二K _NRR、第二随机数、第一随机数，生成第二会话根密钥K _{NRR_SESS}；之后再基于第二K _{NRR_SESS}及第一安全算法中包含的信令完整性算法的标识，生成用于信令完整性保护的第二完整性密钥NRRIK。

步骤904，向第一终端设备发送直接安全模式命令消息，其中，直接安全模式命令消息中包括第二密钥建立信息、第二随机数及所述第一安全算法。

可选的，由于直接安全模式命令消息，为第二终端设备在生成了用于进行信令完整性保护的完整性密钥后发送的，因此，该直接安全模式命令消息，可以为第二终端设备进行了完整性保护处理后的消息，从而保证了第一终端设备接收的消息完整、可靠。

即本公开中，第二终端设备可以利用进行信令完整性保护的第二NRRIK，对直接安全模式命令消息进行完整性保护。

步骤905，接收第一终端设备发送的直接安全模式完成消息，其中，直接安全模式完成消息中包含第一K _NRR ID的第一LSB及第一候选用户面安全策略。

其中，第一终端设备，可以根据定位服务的指示的生成规则，生成第一K _NRR ID的第一LSB；或者，也可以从定位服务阈值的数据库中，选择一个数据作为第一K _NRR ID的第一LSB。其中，第一K _NRR ID用于唯一的标识第一终端设备生成的第一K _NRR。本公开中，第二终端设备可以根据第一LSB及其他信息，确定其生成的第二K _NRR的ID。第二K _NRR ID用于唯一的标识该第二终端设备生成的第二K _NRR。

另外，第一候选用户面安全策略，为网络设备预先配置给终端设备的，其可以包含对用户面数据安全相关的参数配置信息。比如，可以包含用于进行用户面完整性保护的参数，或者，还可以包含用于进行用户面加密保护的参数等等，本公开对此不做限定。

可选的，第二终端设备，在接收到第一终端设备发送的第一K _NRR ID的第一LSB后，即可确定第二根密钥K _NRR ID的第二MSB及第二会话根密钥K _{NRR_SESS} ID的第二LSB；进而再基于第二MSB及第一LSB，生成第二K _NRR的ID；并基于第二LSB及所述第一MSB，生成第二K _{NRR_SESS}的ID；然后再将第二K _NRR与第二K _NRR的ID、第二K _{NRR_SESS}与第二K _{NRR_SESS}的ID进行关联存储。

其中，第二终端设备，可以根据定位服务应用层的指示，分别生成第二K _NRR ID的第二MSB及第二K _{NRR_SESS} ID的第二LSB；或者，也可以从定位服务应用预先配置的数据库中，分别选择第二K _NRR ID的第二LSB及第二K _{NRR_SESS} ID的第二LSB，本公开对此不做限定。

步骤906，根据自身的第二候选用户面安全策略及第一候选用户面安全策略，确定待使用的用户面安全策略及第二安全算法。

可选的，第二终端设备，可以首先根据第一候选用户面安全策略及第一候选用户面安全策略，确定待使用的用户面安全策略。进而再基于确定的待使用的用户面安全策略，及其与第一终端设备分别支持的安全算法列表，确定第二安全算法。

步骤907，基于所第二K _NRR、第二随机数、第一随机数及第二安全算法中包含的用户面完整性算法的标识，生成用于进行用户面完整性保护的第二NRRIK。

步骤908，向第一终端设备发送直接通信接收消息，其中，直接通信接收消息中包含第二安全算法。

其中，上述步骤906至步骤908的详细实现过程，可以参照本公开任一实施例对应处的相关描述，此处不再赘述。

本公开中，第二终端设备在接收到网络设备配置的定位服务安全策略及第一终端设备发送的包含用于生成用于定位服务的安全上下文信息后，即可通过与第一终端设备间的信息交互，生成用于定位服务的安全密钥。由此，实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

请参见图10，图10是本公开实施例提供的一种定位服务的直接通信方法的流程示意图，该方法由第二终端设备执行。如图10所示，该方法可以包括但不限于如下步骤：

步骤1001，接收网络设备发送的定位服务安全策略，其中，所定位服务安全策略中包含信令安全策略及用户面安全策略。

步骤1002，接收第一终端设备发送的直接通信请求消息，直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

步骤1003，响应于第一密钥建立信息与自身的第二密钥建立信息匹配，生成用于进行信令完整性保护的第二完整性密钥NRRIK及用于进行信令加密保护的第二加密密钥NRREK。

可选的，第二终端设备在确定第一密钥建立信息与自身的第二密钥建立信息匹配后，即可根据自身的第二候选信令安全策略及第一终端设备端的第一候选信令安全策略，确定待执行的信令安全策略。进而再基于待执行的信令安全策略，结合自身的第二安全算法列表及第一终端设备支持的第一安全算法列表，选择第一安全算法。

若第一安全算法中即包含信令完整性算法，又包括信令加密算法，则可以基于第二K _{NRR_SESS}、及信令完整性算法的标识，生成用于进行信令完整性保护的第二NRRIK。同时，基于第二K _{NRR_SESS}及信令加密算法的标识，生成用于进行信令加密的第二NRREK。

步骤1004，向第一终端设备发送直接安全模式命令消息，其中，直接安全模式命令消息中包括第二密钥建立信息、第二随机数及所述第一安全算法。

步骤1005，接收第一终端设备发送的直接安全模式完成消息，其中，直接安全模式完成消息中包含第一K _NRR ID的第一LSB及第一候选用户面安全策略。

步骤1006，根据自身的第二候选用户面安全策略及第一候选用户面安全策略，确定待使用的用户面安全策略及第二安全算法。

步骤1007，基于所第二K _NRR、第二随机数、第一随机数及第二安全算法的标识，生成用于进行用户面完整性保护的第二NRRIK及用于进行用户面加密保护的第二NRREK。

可选的，第二终端设备在确定第二安全算法后，若第二安全算法中包含用户面加密算法，则可以基于第二K _{NRR_SESS}及用户面加密算法的标识，生成用于进行用户面加密的第二NRREK。

步骤1008，向第一终端设备发送直接通信接收消息，其中，直接通信接收消息中包含第二安全算法。

其中，上述各步骤的详细实现过程，可以参照本公开任一实施例对应处的相关描述，此处不再赘述。

本公开中，第二终端设备在接收到网络设备配置的定位服务安全策略及第一终端设备发送的包含用于生成用于定位服务的安全上下文信息后，即可通过与第一终端设备间的信息交互，生成用于定位服务的完整性保护和加密性保护的密钥。由此，实现了第一终端设备与第二终端设备之间，在重用已存在的 PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

请参见图11，图11是本公开实施例提供的一种定位服务的直接通信方法的流程示意图，该方法由第二终端设备执行。如图11所示，该方法可以包括但不限于如下步骤：

步骤1101，接收第一终端设备发送的直接通信请求消息，直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

步骤1102，响应于所第一密钥建立信息与自身的第二密钥建立信息匹配，向第一终端设备发送直接认证和密钥建立消息，其中，所述直接认证和密钥建立消息中包含第二密钥建立信息。

步骤1103，接收第一终端设备发送的直接认证和密钥建立消息响应消息。

步骤1104，生成用于进行信令完整性保护的第二完整性密钥NRRIK及用于进行信令加密保护的第二加密密钥NRREK。

步骤1105，向第一终端设备发送直接安全模式命令消息，其中，直接安全模式命令消息中包括第二密钥建立信息、第二随机数及所述第一安全算法。

步骤1106，接收第一终端设备发送的直接安全模式完成消息，其中，直接安全模式完成消息中包含第一K _NRR ID的第一LSB及第一候选用户面安全策略。

步骤1107，根据自身的第二候选用户面安全策略及第一候选用户面安全策略，确定待使用的用户面安全策略及第二安全算法。

步骤1108，基于所第二K _NRR、第二随机数、第一随机数及第二安全算法的标识，生成用于进行用户面完整性保护的第二NRRIK及用于进行用户面加密保护的第二NRREK。

步骤1109，向第一终端设备发送直接通信接收消息，其中，直接通信接收消息中包含第二安全算法。

本公开中，第二终端设备在接收到网络设备配置的定位服务安全策略及第一终端设备发送的包含用于生成用于定位服务的安全上下文信息后，即可通过与第一终端设备间的信息交互，生成用于定位服务的完整性保护和加密性保护的密钥。由此，实现了第一终端设备与第二终端设备之间，在重用已存在的PC5直连通信链路的基础上，可以对定位服务进行可靠的安全保护。

下面结合图12所示的信令交互示意图对本公开提出的定位服务的直接通信方法进行进一步说明。

请参见图12，图12是本公开实施例提供的一种定位服务的直接通信方法的信令交互示意图。如图12所示，该方法可以包括但不限于如下步骤：

步骤1201，第一终端设备确定与第二终端设备间共享单播链路通信根密钥K _NRP，向第二终端设备发送直接通信请求消息，直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

步骤1202，定位服务的认证过程。

步骤1203，响应于第一密钥建立信息与自身的第二密钥建立信息匹配，第二终端设备生成用于进行信令完整性保护的第二NRRIK及用于进行信令加密保护的第二NRREK。

步骤1204，第二终端设备向第一终端设备发送直接安全模式命令消息。

直接安全模式命令消息中包括：第二密钥建立信息、第二随机数、第一安全算法、第二K _NRRID的第二MSB及第二K _{NRR_SESS} ID的第二LSB。

步骤1205，响应于第一密钥建立信息与自身的第二密钥建立信息匹配，第一终端设备生成用于进行信令完整性保护的第一NRRIK及用于进行信令加密保护的第一NRREK。

步骤1206，第一终端设备向第二终端设备发送直接安全模式完成消息。

步骤1207，第二终端设备根据第一终端设备的第一候选用户面安全策略及自身的第二候选用户面安全策略，决定要用户的安全策略及第二安全算法，并计算用于用户面完整性保护的第二NRRIK和用于用户面加密保护的第二NRREK。

步骤1208，第二终端设备向第一终端设备发送直接通信接受消息，其中，所述直接通信接受消息包括第二安全算法。

步骤1209，第一终端设备基于第二安全算法，计算用于用户面完整性保护的第一NRRIK和用于用户面加密保护的第一NRREK。

图13为本公开实施例提供的一种通信装置1300的结构示意图。图13所示的通信装置1300可包括处理模块1301及收发模块1302。

可以理解的是，通信装置1300可以是终端设备，也可以是终端设备中的装置，还可以是能够与终端设备匹配使用的装置。

可选的，通信装置1300在第一终端设备侧，其中：

收发模块1302，用于响应于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向所述第二终端设备发送直接通信请求消息，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

可选的，所述直连通信请求消息中未包含所述K _NRP。

可选的，所述用于生成用于定位服务的安全上下文的信息，包括以下至少一项：

第一密钥建立信息；所述第一终端设备支持的第一候选安全算法列表；第一随机数；第一会话根密钥K _{NRR_SESS}标识ID的第一最高有效位MSB；以及第一候选信令安全策略。

可选的，上述收发模块1302，还用于：

接收所述第二终端设备发送的直接安全模式命令消息，其中，所述直接安全模式命令消息中包括第二密钥建立信息、第二随机数、第一安全算法；

所述装置还包括：

处理模块1301，用于响应于所述第二密钥建立信息与所述第一密钥建立信息匹配，基于所述第二密钥建立信息、所述第二随机数、第一随机数及所述第一安全算法，生成用于进行信令完整性保护的第一完整性密钥NRRIK。

可选的，上述处理模块1301，用于：

基于所述第二密钥建立信息及预置的长期凭证，计算用于定位服务的第一根密钥K _NRR；

基于所述第一K _NRR、第二随机数、所述第一随机数，生成所述第一K _{NRR_SESS}；

基于所述第一K _{NRR_SESS}和所述第一安全算法中包含的信令完整性算法的标识，生成用于进行信令完整性保护的第一NRRIK。

可选的，所述预置的长期凭证与生成所述K _NRP的长期凭证相同或不同。

可选的，上述处理模块1301，还用于：

响应于所述第一安全算法中包含信令加密算法，基于所述第一K _{NRR_SESS}及所述信令加密算法的标识，生成用于进行信令加密的第一加密密钥NRREK。

可选的，所述直接安全模式命令消息中还包括：第二根密钥K _NRRID的第二MSB，及第二K _{NRR_SESS}ID的第二最低有效位LSB。

可选的，上述处理模块1301，还用于：

确定所述第一K _NRRID的第一LSB；

基于所述第二MSB及所述第一LSB，生成所述第一K _NRR的ID；

基于所述第二LSB及所述第一MSB，生成所述第一K _{NRR_SESS}的ID；

将所述第一K _NRR与所述第一K _NRR的ID、所述第一K _{NRR_SESS}与所述第一K _{NRR_SESS}的ID进行关联存储。

可选的，上述收发模块1302，还用于：

向所述第二终端设备发送直接安全模式完成消息，其中，直接安全模式完成消息中包含所述第一LSB及第一候选用户面安全策略；

接收所述第二终端设备发送的直接通信接收消息，其中，所述直连通信接收消息中包含第二安全算法；

上述处理模块1301，还用于基于所述第一K _NRR、第二随机数、第一随机数及所述第二安全算法中包含的用户面完整性算法的标识，生成用于进行用户面完整性保护的第一NRRIK。

可选的，上述处理模块1301，还用于：

响应于所述第二安全算法中包含用户面加密算法，基于所述第一K _NRR、第二随机数、所述第一随机数及所述用户面加密算法的标识，生成用于进行用户面加密的第一NRREK。

可选的，上述收发模块1302，还用于：

接收网络设备发送的定位服务安全策略，其中，所述定位服务安全策略中包含信令安全策略及用户面安全策略。

可选的，上述收发模块1302，用于：

接收策略控制功能PCF网元通过控制平面，在服务授权和信息提供过程中发送的所述定位服务安全策略的配置数据；或者，

接收直接发现名称管理功能DDNMF网元，在发现过程中发送的定位服务安全策略的配置数据；或者，

接收邻近服务密钥管理功能PKMF网元，在发现过程中发送的定位服务安全策略的配置数据。

可选的，所述安全策略的配置数据中包含：信令完整性保护参数，信令加密保护对应的第一选择参数，用户面完整性保护参数，及用户面加密包含对应的第二选择参数，所述第一选择参数用于表征是否需执行所述信令保密保护，所述第二选择参数用于表征是否需执行所述用户面保密保护。

可选的，上述收发模块1302，还用于：

接收所述第二终端设备发送的直接认证和密钥建立消息，其中，所述直接认证和密钥建立消息中包含第二密钥建立信息；

在所述第二密钥建立信息与所述第一密钥建立信息匹配的情况下，向所述第二终端设备发送直接认证和密钥建立消息响应消息。

可选的，通信装置1300在第二终端设备侧，其中：

收发模块1302，用于接收第一终端设备发送的直接通信请求消息，所述直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。

可选的，所述直接通信请求消息中未包含所述K _NRP。

可选的，所述用于生成用于定位服务的安全上下文的信息，包括以下至少一项：第一密钥建立信息；所述第一终端设备支持的第一候选安全算法列表；第一随机数；第一会话根密钥K _{NRR_SESS}标识ID的第一最高有效位MSB，以及第一候选信令安全策略。

可选的，还包括处理模块1301，用于：

响应于所述第一密钥建立信息与自身的第二密钥建立信息匹配，根据自身的第二候选信令安全策略及所述第一候选信令安全策略，确定待使用的信令安全策略；

根据所述待使用的信令安全策略、自身支持的第二候选安全算法列表及所述第一候选安全算法列表，确定第一安全算法；

根据所述第一随机数、自身产生的第二随机数及所述第一安全算法，生成用于进行信令完整性保护的第二完整性密钥NRRIK；

上述收发模块1302，还用于向所述第一终端设备发送直接安全模式命令消息，其中，所述直接安全模式命令消息中包括第二密钥建立信息、第二随机数及所述第一安全算法。

可选的，上述处理模块1301，用于：

基于所述第二密钥建立信息及预置的长期凭证，计算用于定位服务第二根密钥K _NRR；

基于所述第二K _NRR、第二随机数、所述第一随机数，生成第二K _{NRR_SESS}；

基于所述第二K _{NRR_SESS}及所述第一安全算法中包含的信令完整性算法的标识，生成所述第二NRRIK。

可选的，所述预设的长期凭证与生成所述K _NRP的长期凭证相同或不同。

可选的，上述处理模块1301，还用于：

响应于所述第一安全算法中包含信令加密算法，基于所述第二K _{NRR_SESS}及所述信令加密算法的标识，生成用于进行信令加密的第二加密密钥NRREK。

可选的，上述处理模块1301，还用于：

利用所述进行信令完整性保护的第二NRRIK，对所述直接安全模式命令消息进行完整性保护。

可选的，所述直接安全模式命令消息中还包括：第二根密钥K _NRRID的第二MSB，及第二K _{NRR_SESS} ID的第二最低有效位LSB。

可选的，上述收发模块1302，还用于：

接收所述第一终端设备发送的直接安全模式完成消息，其中，直接安全模式完成消息中包含第一K _NRR ID的第一LSB及第一候选用户面安全策略；

上述处理模块1301，还用于根据自身的第二候选用户面安全策略及所述第一候选用户面安全策略，确定待使用的用户面安全策略及第二安全算法；

上述处理模块1301，还用于基于所述第二K _{NRR_SESS}及所述第二安全算法中包含的用户面完整性算法的标识，生成用于进行用户面完整性保护的第二完整性密钥；

上述收发模块1302，还用于向所述第一终端设备发送直接通信接收消息，其中，所述直接通信接收消息中包含第二安全算法。

可选的，上述处理模块1301，还用于：

确定所述第二根密钥K _NRRID的第二MSB及所述第二会话根密钥K _{NRR_SESS}ID的第二LSB；

基于所述第二MSB及所述第一LSB，生成所述第二K _NRR的ID；

基于所述第二LSB及所述第一MSB，生成所述第二K _{NRR_SESS}的ID；

将所述第二K _NRR与所述第二K _NRR的ID、所述第二K _{NRR_SESS}与所述第二K _{NRR_SESS}的ID进行关联存储。

可选的，上述处理模块1301，还用于：

响应于所述第二安全算法中包含用户面加密算法，基于所述第二K _{NRR_SESS}及所述用户面加密算法的标识，生成用于进行用户面加密的第二NRREK。

可选的，上述收发模块1302，还用于：

请参见图14，图14是本公开实施例提供的另一种通信装置1400的结构示意图。通信装置1400可以是终端设备，还可以是支持终端设备实现上述方法的芯片、芯片系统、或处理器。该装置可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

通信装置1400可以包括一个或多个处理器1401。处理器1401可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置(如，基站、基带芯片，终端设备、终端设备芯片，DU或CU等)进行控制，执行计算机程序，处理计算机程序的数据。

可选的，通信装置1400中还可以包括一个或多个存储器1402，其上可以存有计算机程序1404，处理器1401执行所述计算机程序1404，以使得通信装置1400执行上述方法实施例中描述的方法。可选的，所述存储器1402中还可以存储有数据。通信装置14100和存储器1402可以单独设置，也可以集成在一起。

可选的，通信装置1400还可以包括收发器1405、天线1406。收发器1405可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器1405可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。

可选的，通信装置1400中还可以包括一个或多个接口电路11407。接口电路1407用于接收代码指令并传输至处理器1401。处理器1401运行所述代码指令以使通信装置1400执行上述方法实施例中描述的方法。

通信装置1400为第一终端设备：处理器1401用于执行图2中的步骤201；图4中的步骤404、步骤404；图5中步骤504、步骤508、步骤509；图6中的步骤606、步骤607、610、步骤611等。

通信装置1400为第二终端设备：收发器1405，用于执行图7中的步骤71，图8中的步骤801、步骤802；图9中的步骤901、步骤902、步骤904、步骤905、步骤908；图10中的步骤1001、步骤1002、步骤1004、步骤1005、步骤1008；图11中的步骤1101、步骤1102、步骤1103、步骤1105、步骤1106、步骤1107等。

在一种实现方式中，处理器1401中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，处理器1401可以存有计算机程序1403，计算机程序1403在处理器1401上运行，可使得通信装置1400执行上述方法实施例中描述的方法。计算机程序1403可能固化在处理器1401中，该种情况下，处理器1401可能由硬件实现。

在一种实现方式中，通信装置1400可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本公开中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的通信装置可以是远端终端设备，但本公开中描述的通信装置的范围并不限于此，而且通信装置的结构可以不受图14的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是：

(1)独立的集成电路IC，或芯片，或，芯片系统或子系统；

(2)具有一个或多个IC的集合，可选的，该IC集合也可以包括用于存储数据，计算机程序的存储部件；

(3)ASIC，例如调制解调器(Modem)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等；

(6)其他等等。

对于通信装置可以是芯片或芯片系统的情况，可参见图15所示的芯片的结构示意图。图15所示的芯片包括处理器1501和接口1503。其中，处理器1501的数量可以是一个或多个，接口1503的数量可以是多个。

对于芯片用于实现本公开实施例中终端设备的功能的情况：

处理器1501，用于执行图2中的步骤201；图4中的步骤404、步骤404；图5中步骤504、步骤508、步骤509；图6中的步骤606、步骤607、610、步骤611等。

接口1503，用于执行图7中的步骤71，图8中的步骤801、步骤802；图9中的步骤901、步骤902、步骤904、步骤905、步骤908；图10中的步骤1001、步骤1002、步骤1004、步骤1005、步骤1008；图11中的步骤1101、步骤1102、步骤1103、步骤1105、步骤1106、步骤1107等。

可选的，芯片还包括存储器1503，存储器1503用于存储必要的计算机程序和数据。

本领域技术人员还可以了解到本公开实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本公开实施例保护的范围。

本公开还提供一种可读存储介质，其上存储有指令，该指令被计算机执行时实现上述任一方法实施例的功能。

本公开还提供一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时，全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解：本公开中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本公开实施例的范围，也表示先后顺序。

本公开中的至少一个还可以描述为一个或多个，多个可以是两个、三个、四个或者更多个，本公开不做限制。在本公开实施例中，对于一种技术特征，通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征，该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。

本公开中各表所示的对应关系可以被配置，也可以是预定义的。各表中的信息的取值仅仅是举例，可以配置为其他值，本公开并不限定。在配置信息与各参数的对应关系时，并不一定要求必须配置各表中示意出的所有对应关系。例如，本公开中的表格中，某些行示出的对应关系也可以不配置。又例如，可以基于上述表格做适当的变形调整，例如，拆分，合并等等。上述各表中标题示出参数的名称也可以采用通信装置可理解的其他名称，其参数的取值或表示方式也可以通信装置可理解的其他取值或表示方式。上述各表在实现时，也可以采用其他的数据结构，例如可以采用数组、队列、容器、栈、线性表、指针、链表、树、图、结构体、类、堆、散列表或哈希表等。

本公开中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本公开的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以所述权利要求的保护范围为准。

Claims

一种定位服务的直接通信方法，由第一终端设备执行，其特征在于，所述方法包括：

响应于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向所述第二终端设备发送直接通信请求消息，其中，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。
如权利要求1所述的方法，其特征在于，所述直连通信请求消息中未包含所述K _NRP。
如权利要求1所述的方法，其特征在于，所述用于生成用于定位服务的安全上下文的信息，包括以下中的至少一项：

第一密钥建立信息；

所述第一终端设备支持的第一候选安全算法列表；

第一随机数；

第一会话根密钥K _{NRR_SESS}标识ID的第一最高有效位MSB；以及

第一候选信令安全策略。
如权利要求3所述的方法，其特征在于，所述方法还包括：

接收所述第二终端设备发送的直接安全模式命令消息，其中，所述直接安全模式命令消息中包括第二密钥建立信息、第二随机数、第一安全算法；

响应于所述第二密钥建立信息与所述第一密钥建立信息匹配，基于所述第二密钥建立信息、所述第二随机数、第一随机数及所述第一安全算法，生成用于进行信令完整性保护的第一完整性密钥NRRIK。
如权利要求4所述的方法，其特征在于，所述基于所述第二密钥建立信息、所述第二随机数、第一随机数及所述第一安全算法，生成用于进行信令完整性保护的第一完整性密钥NRRIK，包括：

基于所述第二密钥建立信息及预置的长期凭证，计算用于定位服务的第一根密钥K _NRR；

基于所述第一根密钥K _NRR、第二随机数、所述第一随机数，生成所述第一会话根密钥K _{NRR_SESS}；

基于所述第一会话根密钥K _{NRR_SESS}和所述第一安全算法中包含的信令完整性算法的标识，生成用于进行信令完整性保护的第一完整性密钥NRRIK。
如权利要求5所述的方法，其特征在于，所述预置的长期凭证与生成所述K _NRP的长期凭证相同或不同。
如权利要求4所述的方法，其特征在于，所述方法还包括：

响应于所述第一安全算法中包含信令加密算法，基于所述第一会话根密钥K _{NRR_SESS}及所述信令加密算法的标识，生成用于进行信令加密的第一加密密钥NRREK。
如权利要求4所述的方法，其特征在于，所述直接安全模式命令消息中还包括：第二根密钥K _NRRID的第二MSB，及第二K _{NRR_SESS}ID的第二最低有效位LSB。
如权利要求8所述的方法，其特征在于，所述方法还包括：

确定所述第一K _NRRID的第一LSB；

基于所述第二MSB及所述第一LSB，生成所述第一K _NRR的ID；

基于所述第二LSB及所述第一MSB，生成所述第一K _{NRR_SESS}的ID；

将所述第一K _NRR与所述第一K _NRR的ID、所述第一K _{NRR_SESS}与所述第一K _{NRR_SESS}的ID进行关联存储。
如权利要求9所述的方法，其特征在于，所述方法还包括：

向所述第二终端设备发送直接安全模式完成消息，其中，直接安全模式完成消息中包含所述第一LSB及第一候选用户面安全策略；

接收所述第二终端设备发送的直接通信接收消息，其中，所述直连通信接收消息中包含第二安全算法；

基于所述第一K _{NRR_SESS}及所述第二安全算法中包含的用户面完整性算法的标识，生成用于进行用户面完整性保护的第一NRRIK。
如权利要求10所述的方法，其特征在于，所述方法还包括：

响应于所述第二安全算法中包含用户面加密算法，基于所述第一K _{NRR_SESS}及所述用户面加密算法的标识，生成用于进行用户面加密的第一NRREK。
如权利要求1-11任一所述的方法，其特征在于，所述方法还包括：

接收网络设备发送的定位服务安全策略，其中，所述定位服务安全策略中包含信令安全策略及用户面安全策略。
如权利要求11所述的方法，其特征在于，所述接收网络设备发送的定位服务安全策略，包括：

接收策略控制功能PCF网元通过控制平面，在服务授权和信息提供过程中发送的所述定位服务安全策略的配置数据；或者，

接收直接发现名称管理功能DDNMF网元，在发现过程中发送的定位服务安全策略的配置数据；或者，

接收邻近服务密钥管理功能PKMF网元，在发现过程中发送的定位服务安全策略的配置数据。
如权利要求13所述的方法，其特征在于，所述安全策略的配置数据中包含：信令完整性保护参数，信令加密保护对应的第一选择参数，用户面完整性保护参数，及用户面加密包含对应的第二选择参数，所述第一选择参数用于表征是否需执行所述信令保密保护，所述第二选择参数用于表征是否需执行所述用户面保密保护。
一种定位服务的直接通信方法，由第二终端设备执行，其特征在于，所述方法包括：

接收第一终端设备发送的直接通信请求消息，所述直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。
如权利要求15所述的方法，其特征在于，所述直接通信请求消息中未包含所述K _NRP。
如权利要求15所述的方法，其特征在于，所述用于生成用于定位服务的安全上下文的信息，包括以下中的至少一项：

第一密钥建立信息；

所述第一终端设备支持的第一候选安全算法列表；

第一随机数；

第一会话根密钥K _{NRR_SESS}标识ID的第一最高有效位MSB；以及，

第一候选信令安全策略。
如权利要求17所述的方法，其特征在于，所述方法还包括：

响应于所述第一密钥建立信息与自身的第二密钥建立信息匹配，根据自身的第二候选信令安全策略及所述第一候选信令安全策略，确定待使用的信令安全策略；

根据所述待使用的信令安全策略、自身支持的第二候选安全算法列表及所述第一候选安全算法列表，确定第一安全算法；

根据所述第一随机数、自身产生的第二随机数及所述第一安全算法，生成用于进行信令完整性保护的第二完整性密钥NRRIK；

向所述第一终端设备发送直接安全模式命令消息，其中，所述直接安全模式命令消息中包括第二密钥建立信息、第二随机数及所述第一安全算法。
如权利要求18所述的方法，其特征在于，所述根据所述第一随机数、自身产生的第二随机数及所述第一安全算法，生成用于进行信令完整性保护的第二完整性密钥NRRIK，包括：

基于所述第二密钥建立信息及预置的长期凭证，计算用于定位服务第二根密钥K _NRR；

基于所述第二K _NRR、第二随机数、所述第一随机数，生成第二K _{NRR_SESS}；

基于所述第二K _{NRR_SESS}及所述第一安全算法中包含的信令完整性算法的标识，生成所述第二NRRIK。
如权利要求19所述的方法，其特征在于，所述预设的长期凭证与生成所述K _NRP的长期凭证相同或不同。
如权利要求19所述的方法，其特征在于，所述方法还包括：

响应于所述第一安全算法中包含信令加密算法，基于所述第二K _{NRR_SESS}及所述信令加密算法的标识，生成用于进行信令加密的第二加密密钥NRREK。
如权利要求18所述的方法，其特征在于，所述直接安全模式命令消息中还包括：第二根密钥K _NRRID的第二MSB，及第二K _{NRR_SESS}ID的第二最低有效位LSB。
如权利要求18所述的方法，其特征在于，所述方法还包括：

接收所述第一终端设备发送的直接安全模式完成消息，其中，直接安全模式完成消息中包含第一 K _NRRID的第一LSB及第一候选用户面安全策略；

根据自身的第二候选用户面安全策略及所述第一候选用户面安全策略，确定待使用的用户面安全策略及第二安全算法；

基于所述第二K _{NRR_SESS}及所述第二安全算法中包含的用户面完整性算法的标识，生成用于进行用户面完整性保护的第二完整性密钥；

向所述第一终端设备发送直接通信接收消息，其中，所述直接通信接收消息中包含第二安全算法。
如权利要求23所述的方法，其特征在于，所述方法还包括：

确定所述第二根密钥K _NRRID的第二MSB及所述第二K _{NRR_SESS}ID的第二LSB；

基于所述第二MSB及所述第一LSB，生成所述第二K _NRR的ID；

基于所述第二LSB及所述第一MSB，生成所述第二K _{NRR_SESS}的ID；

将所述第二K _NRR与所述第二K _NRR的ID、所述第二K _{NRR_SESS}与所述第二K _{NRR_SESS}的ID进行关联存储。
如权利要求23所述的方法，其特征在于，所述方法还包括：

响应于所述第二安全算法中包含用户面加密算法，基于所述第二K _{NRR_SESS}及所述用户面加密算法的标识，生成用于进行用户面加密的第二NRREK。
如权利要求15-25任一所述的方法，其特征在于，所述方法还包括：

接收网络设备发送的定位服务安全策略，其中，所述定位服务安全策略中包含信令安全策略及用户面安全策略。
一种通信装置，其特征在于，所述装置包括：

收发模块，用于响应于确定与第二终端设备间共享单播链路通信根密钥K _NRP，向所述第二终端设备发送直接通信请求消息，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。
一种通信装置，其特征在于，所述装置包括：

收发模块，用于接收第一终端设备发送的直接通信请求消息，所述直接通信请求消息为所述第一终端设备在确定与第二终端设备间共享单播链路通信根密钥K _NRP后发送的，所述直接通信请求消息中包含用于生成用于定位服务的安全上下文的信息。
一种通信装置，其特征在于，所述装置包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求1至14中任一项所述的方法，或者执行如权利要求15至26中任一项所述的方法。
一种计算机可读存储介质，用于存储有指令，当所述指令被执行时，使如权利要求1至14中任一项所述的方法被实现，或者执行如权利要求15至26中任一项所述的方法。