WO2024092735A1

WO2024092735A1 - 通信控制方法、系统及装置、通信设备及存储介质

Info

Publication number: WO2024092735A1
Application number: PCT/CN2022/129933
Authority: WO
Inventors: 商正仪; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-11-04
Filing date: 2022-11-04
Publication date: 2024-05-10

Abstract

本公开实施例提供一种通信控制方法、系统及装置、通信设备及存储介质，其中，通信控制方法，由第一UE执行，所述方法包括：广播直接通信请求DCR消息；所述DCR消息携带的信息通过所述安全信息保护；通过响应所述DCR消息的中继终端与第二UE建立通信连接。

Description

通信控制方法、系统及装置、通信设备及存储介质

技术领域

本公开涉及无线通信技术领域但不限于无线通信技术领域，尤其涉及一种通信控制方法、系统及装置、通信设备及存储介质。

背景技术

5G邻近服务(Proximity Service，ProSe)可以在对等(peer)用户设备(User Equipment，UE)在无法直接连接时，通过UE到UE的中继终端(UE to UE Relay，U2U Relay)实现通信。示例性的，在测距或侧行链路定位服务(Ranging/Sidelink Positioning Service)中，当两个UE间无法直接测距或侧行链路定位时，可通过充当中继终端的辅助UE(Assistance UE)完成。相关技术中，U2U中继的安全性较低，U2U的中继终端往往作为不受信任节点建立通信连接，导致U2U中继通信存在一定安全风险，从而可能损害对等UE之间的信息传输安全性。

发明内容

本公开实施例提供一种通信控制方法、系统及装置、通信设备及存储介质。

本公开实施例第一方面提供一种通信控制方法，由第一UE执行，所述方法包括：

广播直接通信请求(Direct Communication Request，DCR)消息；所述DCR消息携带的信息通过安全信息保护；

通过响应所述DCR消息的中继终端与第二UE建立通信连接。

本公开实施例第二方面提供一种通信控制方法，由中继终端执行，所述方法包括：

获取第一UE广播的DCR消息；所述DCR消息携带的信息通过安全信息保护；

响应于所述DCR消息建立所述第一UE与第二UE的通信连接。

本公开实施例第三方面提供一种通信控制方法，由第二UE执行，所述方法包括：

当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过所述中继终端与第一UE建立通信连接；所述DCR消息携带的信息通过所述安全信息保护。

本公开实施例第四方面提供一种通信控制方法，由第一功能网元执行，所述方法包括：

向第一功能网元关联的第一UE和/或第二UE提供安全信息；所述安全信息用于第一UE和第二UE通过中继终端建立通信连接。

本公开实施例第五方面提供一种通信控制方法，由第二功能网元执行，所述方法包括：

向第二功能网元关联的中继终端提供安全信息；所述安全信息用于第一UE和第二UE通过所述中继终端建立通信连接。

本公开实施例第六方面提供一种通信控制系统，所述系统包括：第一UE、中继终端、第二UE、第一功能网元以及第二功能网元；

所述第一UE，用于广播DCR消息；所述DCR消息携带的信息通过安全信息保护；通过响应所述DCR消息的中继终端与第二UE建立通信连接；

所述中继终端，用于获取第一UE广播的DCR消息；所述DCR消息携带的信息通过安全信息保护；响应于所述DCR消息建立所述第一UE与第二UE的通信连接；

所述第二UE，用于当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过所述中继终端与第一UE建立通信连接；所述DCR消息携带的信息通过所述安全信息保护；

所述第一功能网元，用于向第一功能网元关联的第一UE和/或第二UE提供安全信息；所述安全信息用于第一UE和第二UE通过中继终端建立通信连接；

所述第二功能网元，用于向第二功能网元关联的中继终端提供安全信息；所述安全信息用于第一UE和第二UE通过所述中继终端建立通信连接。

本公开实施例第七方面提供一种通信控制装置，应用于第一UE，所述装置包括：

第一建立单元，被配置为广播DCR消息；所述DCR消息携带的信息通过安全信息保护；

第二建立单元，被配置为通过响应所述DCR消息的中继终端与第二UE建立通信连接。

本公开实施例第八方面提供一种通信控制装置，应用于中继终端，所述装置包括：

第一处理单元，被配置为获取第一UE广播的DCR消息；所述DCR消息携带的信息通过安全信息保护；

第二处理单元，被配置为响应于所述DCR消息建立所述第一UE与第二UE的通信连接。

本公开实施例第九方面提供一种通信控制装置，应用于第二UE，所述装置包括：

连接单元，被配置为当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过所述中继终端与第一UE建立通信连接；所述DCR消息携带的信息通过所述安全信息保护。

本公开实施例第十方面提供一种通信控制装置，应用于第一功能网元，所述装置包括：

执行单元，被配置为向第一功能网元关联的第一UE和/或第二UE提供安全信息；所述安全信息用于第一UE和第二UE通过中继终端建立通信连接。

本公开实施例第十一方面提供一种通信控制装置，应用于第二功能网元，所述装置包括：

操作单元，被配置为向第二功能网元关联的中继终端提供安全信息；所述安全信息用于第一UE和第二UE通过所述中继终端建立通信连接。

本公开实施例第十二方面提供一种通信设备，包括处理器、收发器、存储器及存储在存储器上并能够有所述处理器运行的可执行程序，其中，所述处理器运行所述可执行程序时执行如前述任意实施例提供的通信控制方法。

本公开实施例第十三方面提供一种计算机存储介质，所述计算机存储介质存储有可执行程序；所述可执行程序被处理器执行后，能够实现前述任意实施例提供的通信控制方法。

本公开实施例提供的技术方案，广播DCR消息；所述DCR消息携带的信息通过安全信息保护；通过响应所述DCR消息的中继终端与第二UE建立通信连接。如此，通过安全信息保护用于建立通信链路的DCR消息，可以提高基于中继终端的第一UE与第二UE间的通信链路安全性。在此基础上，通过广播DCR消息代替向选中的中继终端单独发送DCR消息，可以节省当前需要连接第二UE的第一UE选择中继终端产生的资源开销。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开实施例。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明实施例，并与说明书一起用于解释本发明实施例的原理。

图1是根据一示例性实施例示出的一种无线通信系统的结构示意图；

图2是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图3是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图4是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图5是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图6是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图7是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图8是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图9是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图10是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图11是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图12是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图13是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图14是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图15是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图16是根据一示例性实施例示出的一种通信控制方法的流程示意图；

图17是根据一示例性实施例示出的一种通信控制装置的结构示意图；

图18是根据一示例性实施例示出的一种通信控制装置的结构示意图；

图19是根据一示例性实施例示出的一种通信控制装置的结构示意图；

图20是根据一示例性实施例示出的一种通信控制装置的结构示意图；

图21是根据一示例性实施例示出的一种通信控制装置的结构示意图；

图22是根据一示例性实施例示出的一种终端的结构示意图；

图23是根据一示例性实施例示出的一种通信设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明实施例相一致的所有实施方式。相反，它们仅是本发明实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于蜂窝移动通信技术的通信系统，该无线通信系统可以包括：若干个终端11以及若干个接入设备12。

其中，终端11可以是指向用户提供语音和/或数据连通性的设备。终端11可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，终端11可以是物联网终端，如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网终端的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)、移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程终端(remote terminal)、接入终端(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户终端(user equipment，终端)。或者，终端11也可以是无人飞行器的设备。或者，终端11也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线通信设备。或者，终端11也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

接入设备12可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口(new radio，NR)系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代系统。其中，5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network，新一代无线接入网)。或者，MTC系统。

其中，接入设备12可以是4G系统中采用的演进型接入设备(eNB)。或者，接入设备12也可以是5G系统中采用集中分布式架构的接入设备(gNB)。当接入设备12采用集中分布式架构时，通常包括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对接入设备12的具体实现方式不加以限定。

接入设备12和终端11之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

可选的，上述无线通信系统还可以包含网络管理设备13。若干个接入设备12分别与网络管理设备13相连。其中，网络管理设备13可以是无线通信系统中的核心网设备，比如，该网络管理设备13可以是演进的数据分组核心网(Evolved Packet Core，EPC)中的移动性管理实体(Mobility Management Entity，MME)。或者，该网络管理设备也可以是其它的核心网设备，比如服务网关(Serving GateWay，SGW)、公用数据网网关(Public Data Network GateWay，PGW)、策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)或者归属签约用户服务器(Home Subscriber Server，HSS)等。对于网络管理设备13的实现形态，本公开实施例不做限定。

示例性的，终端11可以用于执行通信连接，例如，终端11可包括第一UE即源UE，也可以包括第二UE即目标UE，还可以包括中继终端。接入设备12可以包括第一功能网元和/或第二功能网元，其中，第一功能网元可至少用于向第一UE和/或第二UE提供数据处理等服务，第二功能网元可至少用于向中继终端提供数据处理等服务。第一功能网元与第二功能网元可以是同一个功能网元，也可以是不同的功能网元。示例性的，第一功能网元可以是直接发现命名管理功能(Direct Discovery Name Management Function，DDNMF)或者密钥管理功能(ProSe Key Management Function，PKMF)，或者也可以是其他功能网元。第二功能网元可以是DDNMF或者PKMF，也可以是其他功能网元。网络管理设备13可以包括ProSe应用服务器，与第一功能网元和/或第二功能网元建立通信连接以实现第一功能网元和/或第二功能网元请求的鉴权等处理。

示例性的，终端11还可以用于测距/侧行链路定位服务，例如，终端11可以包括第一UE即参考UE，也可以包括第二UE即目标UE，还可以包括中继终端作为辅助UE。接入设备12可以包括第一功能网元和/或第二功能网元。网络管理设备13可以包括ProSe应用服务器，与第一功能网元和/或第二功能网元建立通信连接以实现第一功能网元和/或第二功能网元请求的鉴权等处理。

在本公开实施例中，第一UE为需要与其他UE建立通信连接的UE，例如可以为源UE或者测距或侧行链路服务中的参考UE。第一UE包括但不限于手机、可穿戴设备、车载终端、路侧单元(RSU，Road Side Unit)、智能家居终端、工业用传感设备和/或医疗设备等。直接通信请求DCR消息用于请求建立与其他UE的直接通信连接，例如建立通过中继终端的直连通信接口(PC5)单播通信等。

在本公开实施例中，第一UE与第二UE可以为需要建立通信连接的对等(peer)用户设备，例如，第一UE可以为需要发起连接的源UE，第二UE可以为第一UE需要连接的目标UE，中继终端可以为用于为无法直接连接的第一UE和第二UE提供中继服务的终端，例如中继终端也可以为UE或其他设备。这里，本公开实施例中的通信控制方法还可应用于测距或侧行链路定位服务中，此时第一UE可以为参考UE，第二UE可以为待测距或待定位的目标UE，中继终端可以为辅助UE。

在本公开实施例中，中继终端为可以提供U2U中继服务的终端，例如可以为中继UE等，也可以为提供测距或侧行链路定位服务的辅助UE。在本公开实施例中，中继终端可以为能够获取到第一UE广播的DCR消息的任一中继终端，例如处于第一UE的信号覆盖范围内的第一中继终端或第二中继终端。

如图2所示，本公开实施例提供一种通信控制方法，由第一UE执行，方法可包括：

S110：广播DCR消息；DCR消息携带的信息通过安全信息保护。

在一个实施例中，广播DCR消息；DCR消息携带的信息通过安全信息保护，其中，DCR消息携带的信息，可包括以下至少之一：第一UE的标识信息以及安全能力、第二UE的标识信息、中继业务代码(Relay Service Code，RSC)、凭证标识(Identity，ID)以及第一随机数。这里，标识信息可以为UE的用户信息ID(User Info ID)、UE的受限ProSe应用程序用户ID(Restricted ProSe Application User ID，RPAUID)、UE的ProSe远端UE密钥ID(ProSe Remote User Key ID，PRUK ID)、签约用户隐式标识(Subscription Concealed Identifier，SUCI)或者其他标识。第二UE为第一UE需要建立通信连接的UE，例如可以为目标UE。RSC为当前中继服务对应的RSC。凭证ID可以为在第一UE中配置或者向第一UE提供的长期凭证ID，例如由网络侧的策略控制功能(Policy Control Function，PCF)、直接发现命名管理功能(Direct Discovery Name Management Function， DDNMF)、密钥管理功能(ProSe Key Management Function，PKMF)或者ProSe应用服务器等提供的长期凭证ID。

在一个实施例中，DCR消息携带的信息通过安全信息保护，可包括：DCR消息携带的部分或全部信息通过安全信息保护。例如，DCR消息携带的第一UE的标识信息和第二UE的标识信息通过安全信息保护。

在一个实施例中，广播DCR消息；DCR消息携带的第一UE的标识信息以及第二UE的标识信息通过用于发现的安全信息保护，例如可以通过基于安全算法的安全参数对第一UE和第二UE的用户信息ID进行保护。

在一个实施例中，广播DCR消息；DCR消息携带的信息通过安全信息保护，其中，安全信息可以包括：安全参数和/或安全算法。安全参数可以为RSC对应的代码安全参数(Code Security Parameters)、代码发送安全参数(Code-Sending Security Parameters)、代码接收安全参数(Code-Receving Security Parameters)等，安全算法可以为RSC对应的发现加密算法等。DCR消息携带的信息通过用于发现的安全信息保护，例如可以为DCR消息携带的信息通过基于安全算法的安全参数进行保护等。

这里，标识信息可以包括UE的用户信息ID(User Information ID)、UE的受限ProSe应用程序用户ID(Restricted ProSe Application User ID，RPAUID)、UE的ProSe远端UE密钥ID(ProSe Remote User Key ID，PRUK ID)、签约用户隐式标识(Subscription Concealed Identifier，SUCI)或者其他标识，RSC为当前中继服务对应的代码。凭证ID可以为在第一UE中配置或者向第一UE提供的长期凭证ID，例如由网络侧的策略控制功能(Policy Control Function，PCF)、DDNMF、PKMF或者ProSe应用服务器等提供的长期凭证ID。

在一个实施例中，广播DCR消息；DCR消息携带的信息通过安全信息保护，其中，安全信息可以包括：安全参数和/或安全算法。DCR消息携带的信息通过安全信息保护，可以为DCR消息携带的信息通过基于安全算法的安全参数进行保护。

在一个实施例中，广播DCR消息；DCR消息携带的信息通过安全信息保护，其中，DCR消息携带的第一UE的标识信息以及第二UE的标识信息可通过用于发现的安全信息保护。例如，安全信息可以包括：安全参数和/或安全算法，DCR消息携带的第一UE的标识信息以及第二UE的标识信息可以通过基于安全算法的安全参数进行保护。

在一个实施例中，在预设范围内广播DCR消息；DCR消息携带的信息通过安全信息保护。例如，预设范围可以为第一UE的信号覆盖范围，在预设范围内广播DCR消息可包括：向信号覆盖范围内的所有中继终端广播DCR消息。其中，DCR消息用于请求建立与第二UE的直接通信连接，例如建立通过中继终端的PC5单播通信。

如此，通过用于发现的安全信息保护用于建立通信链路的DCR消息，提高基于中继设备的第一UE与第二UE间的通信链路安全性。在此基础上，通过广播DCR消息代替向选中的中继终端单独发送DCR消息，可以节省当前需要连接第二UE的第一UE选择中继终端产生的资源开销。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

在一个实施例中，方法可包括：通过响应DCR消息的中继终端与第二UE建立通信连接。

如图3所示，本公开实施例提供一种通信控制方法，由第一UE执行，方法可包括：

S111：广播DCR消息；DCR消息携带的信息通过安全信息保护；

S120：通过响应DCR消息的中继终端与第二UE建立通信连接。

在一个实施例中，广播DCR消息；DCR消息携带的信息通过安全信息保护；通过响应DCR消息的中继终端与第二UE建立通信连接，其中，响应DCR消息的中继终端，可以为接收到广播的DCR消息的中继终端中的一个或多个中继终端，例如位于第一UE的信号覆盖范围内的一个或多个中继终端。

在一个实施例中，广播DCR消息；DCR消息携带的信息通过安全信息保护；在多个响应DCR消息的中继终端中的一个目标中继终端发起的直接认证以及密钥生成过程完成后，接收目标中继终端发送的安全模式命令消息；验证安全模式命令消息的完整性，并在验证通过后向目标中继终端返回安全模式完成消息；当接收到目标中继终端发送的直接通信接受消息，通过目标中继终端与第二UE建立无线资源控制层(L3)PC5通信链路。

需要说明的是，对于广播DCR消息部分内容的说明，请参考前述S110部分内容的说明，此处不再赘述。

如图4所示，本公开实施例提供一种通信控制方法，由第一UE执行，方法可包括：

S101：请求获取安全信息。

在一个实施例中，向第一UE关联的第一功能网元请求获取安全信息。

在一个实施例中，向第一UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第一UE的标识信息以及安全能力。

在一个实施例中，请求获取安全信息；接收携带安全信息的消息。

在一个实施例中，请求获取安全信息；接收携带安全信息的消息；广播DCR消息；DCR消息携带的信息通过安全信息保护。

在一个实施例中，步骤S101可与前述的步骤S110或S111结合，或者可与步骤S110以及步骤S120结合，或者也可与步骤S110以及S120结合。可选地，S101也可与步骤S110或S111的任一具体实施方式结合。

如图5所示，本公开实施例提供一种通信控制方法，由第一UE执行，方法可包括：

S102：接收携带安全信息的消息。

在本公开实施例中，安全信息可用于通过中继终端建立第一UE与第二UE的通信连接。

在一个实施例中，接收第一UE关联的第一功能网元发送的携带安全信息的消息。

在一个实施例中，接收第一UE关联的第一功能网元发送的响应消息；响应消息携带与RSC匹配的安全信息。这里，RSC可以为当前中继服务对应的代码。

在一个实施例中，步骤S102可与前述步骤S101结合，或者，也可以与S101的任一具体实施方式结合。例如，方法可包括：请求获取安全信息；接收携带安全信息的消息。或者，方法可包括：向第一UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第一UE的标识信息以及安全能力；接收携带安全信息的消息。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。示例性的，步骤S102可与前述的步骤S110或S111结合，或者也可与步骤S110以及步骤S120结合，或者也可与步骤S110以及S120结合。可选地，S102也可与步骤S110或S111的任一具体实施方式结合。

本公开实施例提供一种通信控制方法，由第一UE执行，方法可包括：

请求获取安全信息；

接收携带安全信息的消息。

在一个实施例中，请求获取安全信息；接收第一UE关联的第一功能网元发送的携带安全信息的消息。

在一个实施例中，请求获取安全信息；接收第一UE关联的第一功能网元发送的响应消息；响应消息携带与RSC匹配的安全信息。这里，RSC可以为当前中继服务对应的代码。

在一个实施例中，向第一UE关联的第一功能网元请求获取安全信息；接收第一UE关联的第一功能网元发送的携带安全信息的消息。

在一个实施例中，向第一UE关联的第一功能网元请求获取安全信息；接收第一UE关联的第一功能网元发送的响应消息；响应消息携带与RSC匹配的安全信息。这里，RSC可以为当前中继服务对应的代码。

在本公开实施例中，响应消息携带的安全信息以及保护DCR消息携带的信息的安全信息，可以为用于发现的安全信息，例如包括用于发现的安全参数和/或用于发现的安全算法等。

在一个实施例中，向第一UE关联的DDNMF或PKMF发送预设消息，预设消息至少携带以下之一：RSC、第一UE的标识信息以及安全能力。其中，预设消息可以为用于请求获取用于发现的安全信息发现请求消息，预设消息中携带的RSC可以为当前中继服务对应的代码。

在一个实施例中，向第一UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第一UE的标识信息以及安全能力；其中，安全能力为第一UE的安全能力，例如可以为第一UE在发现阶段对应的第一安全能力。在第一安全能力中可以记录第一UE支持的安全算法，例如可以以安全算法列表的形式记录等。

在一个实施例中，接收第一功能网元返回的响应消息，其中，响应消息可以为第一功能网元基于发现请求消息返回的发现响应消息。在响应消息中可以携带第一功能网元获取的与预设消息中RSC匹配的用于发现的安全信息，例如，与RSC匹配的安全信息可以包括：中继终端在发现请求过程中确定的与RSC匹配的用于发现的安全信息。

在一个实施例中，接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；其中，与RSC匹配的安全信息，可以为与RSC以及第一UE的安全能力匹配的安全信息。例如，与RSC匹配的安全信息中的安全算法，可以为第一UE的安全能力中的安全算法列表中的一种安全算法。

在一个实施例中，接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；或者，还可以接收第一功能网元返回的拒绝消息，其中，拒绝消息指示第一UE没有被授权使用该RSC对应的中继服务。

向第一UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第一UE的标识信息以及安全能力；

接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；

广播DCR消息；DCR消息携带的信息通过安全信息保护。

在一个实施例中，向第一UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第一UE的标识信息以及安全能力；接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；在接收到第一功能网元返回的响应消息后，通过安全信息保护DCR消息中的第一UE和第二UE的标识信息，并广播DCR消息；DCR消息携带的信息通过安全信息保护。

在一个实施例中，向第一UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第一UE的标识信息以及安全能力；将至少一个中继终端的标识信息存入应用容器(application container)供第一功能网元读取；中继终端的标识信息用于供第一功能网元获取对应的安全参数和/或安全算法；接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；广播DCR消息；DCR消息携带的信息通过安全信息保护。其中，中继终端的标识信息关联的第二功能网元可以与第一UE关联的第一功能网元相同，也可以与第一功能网元不同。即，中继终端的标识信息关联的公共陆地移动网络(Public Land Mobile Network，PLMN)ID可以与第一UE关联的PLMN ID相同，也可以不同。

在一个实施例中，向第一UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第一UE的标识信息以及安全能力；接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；广播DCR消息；DCR消息携带的信息通过安全信息保护；通过响应DCR消息的中继终端与第二UE建立通信连接。

在一个实施例中，向第一UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第一UE的标识信息以及安全能力；向第一功能网元提供至少一个中继终端的标识信息；中继终端的标识信息用于供第一功能网元获取对应的安全参数和/或安全算法；接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；广播DCR消息；DCR消息携带的信息通过安全信息保护；通过响应DCR消息的中继终端与第二UE建立通信连接。如此，通过直接提供中继终端的标识信息，可供第一功能网元直接获取对应的安全参数和/或安全算法，从而确保第一UE获取到和中继终端相同的与RSC匹配的安全信息。

在一个实施例中，通过响应DCR消息的中继终端与第二UE建立通信连接，可包括：在多个响应DCR消息的中继终端中的一个目标中继终端发起的直接认证以及密钥生成过程完成后，接收目标中继终端发送的安全模式命令消息；验证安全模式命令消息的完整性，并在验证通过后向目标中继终端返回安全模式完成消息；当接收到目标中继终端发送的直接通信接受消息，通过目标中继终端与第二UE建立通信连接。其中，目标中继终端发起的直接认证以及密钥生成过程，可以用于生成中间密钥(Knrp)。第一UE接收的安全模式命令消息，可以为基于中间密钥生成的完整性密钥保护的安全模式命令消息。

在一个实施例中，通过响应DCR消息的中继终端与第二UE建立通信连接，可包括：在多个响应DCR消息的中继终端中的一个目标中继终端发起的直接认证以及密钥生成过程完成后，接收目标中继终端发送的安全模式命令消息；基于中间密钥生成的完整性密钥和/或安全算法验证安全模式命令消息的完整性，并在验证通过后向目标中继终端返回安全模式完成消息；当接收到目标中继终端发送的直接通信接受消息，通过目标中继终端与第二UE建立通信连接。这里的安全算法可以为用于保护通信的安全算法，该安全算法可以为与前述实施例中获取的用于发现的安全信息中的安全算法不同，例如可以为PC5安全算法等，也可以为与前述实施例中获取的用于发现的安全信息中的安全算法相同。

在一个实施例中，第一UE向目标中继终端返回的安全模式完成消息，用于指示第一UE响应接入U2U中继通信。

在一个实施例中，通过目标中继终端与第二UE建立通信连接，可以为通过目标中继终端与第二UE建立无线资源控制层(L3)PC5通信链路等。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。示例性的，前述步骤S102可以与步骤S110、S101以及S120组合成新的技术方案，也可以与步骤S110、S111以及步骤S101中的任意一个步骤或者任意一个具体实施方式结合。

如图6所示，本公开实施例提供一种通信控制方法，由中继终端执行，方法可包括：

S201：请求获取安全信息。

在一个实施例中，向中继终端关联的第二功能网元请求获取安全信息。

在一个实施例中，向中继终端关联的第二功能网元发送预设消息；预设消息至少携带以下之一：RSC、中继终端的标识信息以及安全能力。

在一个实施例中，请求获取安全信息；接收携带安全信息的消息；获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护。

在一个实施例中，请求获取安全信息；接收携带安全信息的消息；获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；基于DCR消息建立第一UE与第二UE的通信连接。

如图7所示，本公开实施例提供一种通信控制方法，由中继终端执行，方法可包括：

S202：接收携带安全信息的消息。

在一个实施例中，步骤S202可与前述步骤S201结合，或者，也可以与S201的任一具体实施方式结合。例如，方法可包括：请求获取安全信息；接收携带安全信息的消息。或者，方法可包括：向中继终端关联的第二功能网元发送预设消息；预设消息至少携带以下之一：RSC、中继终端的标识信息以及安全能力；接收携带安全信息的消息。

在一个实施例中，步骤S202可与前述的步骤S101、S102、S110及S120结合形成新的技术方案，也可以与S201结合后与步骤S101、S102、S110及S120结合组成技术方案。

在一个实施例中，接收中继终端关联的第二功能网元发送的携带安全信息的消息。

在一个实施例中，接收中继终端关联的第二功能网元发送的响应消息；响应消息携带与RSC匹配的安全信息。这里，RSC可以为当前中继服务对应的代码。

本公开实施例提供一种通信控制方法，由中继终端执行，方法可包括：

请求获取安全信息；

接收携带安全信息的消息。

在一个实施例中，请求获取安全信息；接收中继终端关联的第二功能网元发送的携带安全信息的消息。

在一个实施例中，请求获取安全信息；接收中继终端关联的第二功能网元发送的响应消息；响应消息携带与RSC匹配的安全信息。这里，RSC可以为当前中继服务对应的代码。

在一个实施例中，向中继终端关联的第二功能网元请求获取安全信息；接收中继终端关联的第二功能网元发送的携带安全信息的消息。

在一个实施例中，向中继终端关联的第二功能网元请求获取安全信息；接收中继终端关联的第二功能网元发送的响应消息；响应消息携带与RSC匹配的安全信息。这里，RSC可以为当前中继服务对应的代码。

如图8所示，本公开实施例提供一种通信控制方法，由中继终端执行，方法可包括：

S210：获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护。

在一个实施例中，获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护，其中，DCR消息携带的第一UE的标识信息以及第二UE的标识信息可通过用于发现的安全信息保护。例如，安全信息可以包括：安全参数和/或安全算法，DCR消息携带的第一UE的标识信息以及第二UE的标识信息可以通过基于安全算法的安全参数进行保护。

在一个实施例中，获取第一UE在预设范围内广播的DCR消息；DCR消息携带的信息通过安全信息保护。例如，预设范围可以为第一UE的信号覆盖范围，在预设范围内广播DCR消息可包括：向信号覆盖范围内的所有中继终端广播DCR消息。其中，DCR消息用于请求建立与第二UE的直接通信连接，例如建立通过中继终端的PC5单播通信。

在一个实施例中，获取信号覆盖范围内第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护。其中，DCR消息用于请求建立第一UE与第二UE的通信连接，例如建立通过中继终端的PC5通信。

需要说明的是，关于DCR消息以及安全信息的内容及解释请参考步骤S110部分作出的解释和说明，此处不再赘述。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。前述实施例中记载的技术特征在不矛盾的情况下可以任意排列组合以及交换顺序，可以任意组合成新的方法技术方案。示例性的，前述步骤中的S201和S202可与S101、S102组成技术方案，且S101和S102组成的子方案可以与S201和S202组成的子方案互换先后顺序等。

获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护。

响应于DCR消息建立第一UE与第二UE的通信连接。

在一个实施例中，获取安全信息；获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；响应于DCR消息建立第一UE与第二UE的通信连接。

在一个实施例中，在中继终端的发现请求过程中获取用于发现的安全信息；获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；响应于DCR消息建立第一UE与第二UE的通信连接。例如可以为向中继终端关联的第二功能网元发起的发现请求过程。例如，中继终端在发现请求过程中确定安全信息，可以包括中继终端向关联的第二功能网元发送用于请求发现请求消息，并接收第二功能网元返回的安全信息。其中，中继终端关联的第二功能网元可以为中继终端关联的DDNMF或者PKMF等。发现请求消息中可以携带以下至少之一：中继终端支持的RSC、中继终端的标识信息以及安全能力。这里，用于发现的安全信息可以包括：安全参数和/或安全算法，其中，安全参数可以为RSC对应的代码安全参数、代码发送安全参数、代码接收安全参数等，安全算法可以为RSC对应的发现加密算法等。DCR消息携带的信息通过用于发现的安全信息保护，例如可以为DCR消息携带的信息通过基于安全算法的安全参数进行保护等。

在一个实施例中，向中继终端关联的第二功能网元发送预设消息；预设消息至少携带以下之一：中继终端的标识信息、RSC以及安全能力；接收第二功能网元基于预设消息返回的安全信息；获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；响应于DCR消息建立第一UE与第二UE的通信连接。这里，向中继终端关联的第二功能网元发送预设消息，可以为向中继终端关联的DDNMF或PKMF发送预设消息，其中，预设消息可以为用于请求提供安全信息的发现请求消息。安全能力为中继终端的安全能力，例如可以为中继终端在发现阶段对应的第一安全能力。第一安全能力可以为PC5安全能力，在第一安全能力中可以记录中继终端支持的安全算法，例如可以以安全算法列表的形式记录等。

在一个实施例中，标识信息可以为用户信息ID，例如用户信息ID可以为网络访问标识符(Network Access Identifier，NAI)格式或者64位字符串格式等。用户信息ID可以指示对应的PLMN，例如用户信息ID中可以包含归属网络标识符(Home Public Land Mobile Network ID，HPLMN ID)。当用户信息ID为NAI格式时，例如为“username@realm”，则“realm”部分可以包括HPLMN ID。

在一个实施例中，向中继终端关联的第二功能网元发送预设消息；预设消息至少携带以下之一：中继终端的标识信息、RSC以及安全能力；接收第二功能网元基于预设消息返回的安全信息以及预设参数；获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；响应于DCR消息建立第一UE与第二UE的通信连接。其中，预设参数可以指示当前时刻和/或消息偏移量等，例如可包括CURRENT_TIME参数和MAX_OFFSET参数。

在一个实施例中，中继终端接收的第二功能网元基于预设消息返回的安全信息，可以为与中继终端发送的预设消息中的RSC和安全能力匹配的安全信息，例如，安全信息中的安全算法可以与中继终端发送的预设消息中的RSC匹配，且属于中继终端的安全能力记录的中继终端支持的安全算法列表。

在一个实施例中，获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；响应于DCR消息且在多个响应DCR消息的中继终端中被选中为目标中继终端后，建立第一UE与第二UE的通信连接。其中，在多个响应DCR消息的中继终端中被选中为目标中继终端，可以为在多个响应DCR消息的中继终端中被第二UE选中为目标中继终端。

在一个实施例中，获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；响应于DCR消息，在与第一UE和第二UE完成直接认证以及密钥生成过程后，与第二UE建立通信连接。

在一个实施例中，获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；基于安全参数校验DCR消息；若校验成功且DCR消息携带的RSC与中继终端的RSC一致，则广播新的DCR消息；新的DCR消息至少携带以下之一：第一UE的标识信息以及安全能力、第二UE的标识信息、中继终端的标识信息以及RSC、凭证ID以及第二随机数；当检测到接收新的DCR消息的第二UE的反馈消息，建立第一UE与第二UE的通信连接。

在一个实施例中，获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；基于安全参数校验DCR消息，并基于RSC确定中继终端是否被授权提供该RSC对应的中继服务；若校验成功且DCR消息携带的RSC与中继终端的RSC一致，则广播新的DCR消息；新的DCR消息至少携带以下之一：第一UE的标识信息以及安全能力、第二UE的标识信息、中继终端的标识信息以及RSC、凭证ID以及第二随机数；当检测到接收新的DCR消息的第二UE的反馈消息，建立第一UE与第二UE的通信连接。例如，ProSe用于将DCR消息中的RSC与中继终端支持的RSC相对比。

在一个实施例中，若校验成功且DCR消息携带的RSC与中继终端的RSC一致，则广播新的DCR消息，可以包括：若校验成功且中继终端被授权提供该中继服务，则当DCR消息携带的RSC与中继终端支持的RSC一致时，广播新的DCR消息。其中，新的DCR消息可以为中继终端在接收到第一UE广播的DCR消息中加入了中继终端的标识信息。

在一个实施例中，新的DCR消息携带的信息可通过用于发现的安全信息保护，例如，可通过基于安全算法的安全参数保护。

在一个实施例中，新的DCR消息中第一UE的标识信息、第二UE的标识信息以及中继终端的标识信息可通过用于发现的安全信息保护，例如，可通过基于安全算法的安全参数保护。

在一个实施例中，检测到接收新的DCR消息的第二UE的消息，可以为检测到接收新的DCR消息的第二UE选择中继终端为用于提供中继服务的目标中继终端。例如，当第一UE信号覆盖范围内有第一中继终端和第二中继终端，第一中继终端和第二中继终端广播新的DCR消息后，若第二UE选择第二中继终端为目标中继终端，则第二中继终端可以接收到第二UE的消息，并用于建立第一UE和第二UE间的通信连接。

在一个实施例中，获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；基于安全参数校验DCR消息；若校验成功且DCR消息携带的RSC与中继终端的RSC一致，则广播新的DCR消息；新的DCR消息至少携带以下之一：第一UE的标识信息以及安全能力、第二UE的标识信息、中继终端的标识信息以及RSC、凭证ID以及第二随机数；当检测到接收新的DCR消息的第二UE的反馈消息，在与第二UE的直接认证以及密钥生成过程完成后，响应于第二UE的安全模式命令消息，向第二UE返回安全模式完成消息；响应于第二UE的直接通信接受消息，在与第一UE的直接认证以及密钥生成过程完成后，向第一UE发送安全模式命令消息；当接收到第一UE返回的安全模式完成消息，向第一UE发送直接通信接受消息，并建立第一UE与第二UE的通信连接。

这里，中继终端已确定为目标中继终端，目标中继终端与第二UE的直接认证以及密钥生成过程可以在与第一UE的直接认证以及密钥生成过程之前完成。第二UE的安全模式命令消息，可以包含第二UE选择的安全算法，这里的安全算法可以为用于保护目标中继设备与第二UE间通信连接的算法，例如可以为与UE发现阶段的安全信息中的第一安全算法相同或者不同的第二安全算法。第二安全算法也可以用于保护安全模式命令消息，例如第二安全算法可以为PC5安全算法等。

在一个实施例中，目标中继终端与第二UE的直接认证以及密钥生成过程，可以用于生成中间密钥(Knrp)。第二UE的安全模式命令消息，可以为第二UE基于中间密钥生成的完整性密钥保护的安全模式命令消息。

在一个实施例中，获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；基于安全参数校验DCR消息；若校验成功且DCR消息携带的RSC与中继终端的RSC一致，则广播新的DCR消息；新的DCR消息至少携带以下之一：第一UE的标识信息以及安全能力、第二UE的标识信息、中继终端的标识信息以及RSC、凭证ID以及第二随机数；当检测到接收新的DCR消息的第二UE的反馈消息，在与第二UE的直接认证以及密钥生成过程完成后，响应于第二UE的安全模式命令消息，验证安全模式命令消息的完整性；若验证通过则向第二UE返回安全模式完成消息；响应于第二UE的直接通信接受消息，在与第一UE的直接认证以及密钥生成过程完成后，向第一UE发送安全模式命令消息；当接收到第一UE返回的安全模式完成消息，向第一UE发送直接通信接受消息，并建立第一UE与第二UE的通信连接。这里，验证安全模式命令消息的完整性，可以包括基于中间密钥对应的完整性密钥和/或安全算法验证安全模式命令消息的完整性。这里的安全算法可以为用于保护通信的安全算法，该安全算法可以为与前述实施例中获取的用于发现的安全信息中的安全算法不同，例如可以为PC5安全算法等，也可以为与前述实施例中获取的用于发现的安全信息中的安全算法相同。

在一个实施例中，响应于第二UE的直接通信接受消息，中继终端可以发起与第一UE的直接认证以及密钥生成过程。目标中继终端与第一UE的直接认证以及密钥生成过程，可以用于生成中间密钥(Knrp)。向第一UE发送的安全模式命令消息，可以为中继终端基于中间密钥生成的完整性密钥保护的安全模式命令消息。

在一个实施例中，建立第一UE与第二UE的通信连接，可以为建立第一UE与第二UE的L3PC5通信链路等。

如此，通过用于发现的安全信息保护用于建立通信链路的DCR消息，可以提高基于U2U中继的第一UE与第二UE间的通信安全性，在发现及链路建立阶段提高整体的安全性。在此基础上，通过广播DCR消息代替向选中的中继终端单独发送DCR消息，可以节省当前需要连接第二UE的第一UE选择中继终端产生的资源开销。

需要说明的是，关于DCR消息以及安全信息的内容及解释请参考步骤S110部分作出的解释和说明，关于获取第一UE广播的DCR消息部分的内容请参考步骤S210部分作出的解释和说明，此处不再赘述。

如图9所示，本公开实施例提供一种通信控制方法，由第二UE执行，方法可包括：

S301：请求获取安全信息。

在一个实施例中，向第二UE关联的第一功能网元请求获取安全信息。

在一个实施例中，向第二UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第二UE的标识信息以及安全能力。

如图10所示，本公开实施例提供一种通信控制方法，由第二UE执行，方法可包括：

S302：接收携带安全信息的消息。

在本公开实施例中，安全信息可用于通过中继终端建立第二UE与第二UE的通信连接。

在一个实施例中，接收第二UE关联的第一功能网元发送的携带安全信息的消息。

在一个实施例中，接收第二UE关联的第一功能网元发送的响应消息；响应消息携带与RSC匹配的安全信息。这里，RSC可以为第二UE提供的中继服务对应的RSC。

本公开实施例提供一种通信控制方法，由第二UE执行，方法可包括：

请求获取安全信息；

接收携带安全信息的消息。

在一个实施例中，请求获取安全信息；接收第二UE关联的第一功能网元发送的携带安全信息的消息。

在一个实施例中，请求获取安全信息；接收第二UE关联的第一功能网元发送的响应消息；响应消息携带与RSC匹配的安全信息。这里，RSC可以为第二UE提供的中继服务对应的RSC。

在一个实施例中，向第二UE关联的第一功能网元请求获取安全信息；接收第二UE关联的第一功能网元发送的携带安全信息的消息。

在一个实施例中，向第二UE关联的第一功能网元请求获取安全信息；接收第二UE关联的第一功能网元发送的响应消息；响应消息携带与RSC匹配的安全信息。这里，RSC可以为第二UE提供的中继服务对应的RSC。

如图11所示，本公开实施例提供一种通信控制方法，由第二UE执行，方法可包括：

S310：接收多个中继终端基于第一UE的DCR消息广播的新的DCR消息；DCR消息携带的信息通过安全信息保护。

在一个实施例中，向第二UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第二UE的标识信息以及安全能力；接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；安全信息包括：中继终端在发现请求过程中确定的安全信息；接收多个中继终端基于第一UE的DCR消息广播的新的DCR消息；DCR消息携带的信息通过安全信息保护。第二UE关联的第一功能网元可以为第二UE关联的DDNMF或者PKMF等。预设消息中可以携带以下至少之一：RSC、第二UE的标识信息以及安全能力。

这里，向第二UE关联的第一功能网元发送预设消息，可以为向第二UE关联的DDNMF或PKMF发送预设消息，其中，预设消息可以为用于获取安全信息的发现请求消息，预设消息中携带的RSC可以为第二UE支持的中继服务对应的RSC，该RSC可以用于确定符合第二UE指定或期望的中继服务的中继终端。响应消息可以为第一功能网元基于发现请求消息返回的发现响应消息。在响应消息中可以携带第一功能网元获取的与预设消息中RSC匹配的安全信息。与RSC匹配的安全信息，还可以与RSC以及第二UE的安全能力匹配的安全信息。例如，与RSC匹配的安全信息中的安全算法，可以属于第二UE的安全能力记录的第二UE支持的安全算法列表。

在一个实施例中，安全能力为第二UE的安全能力，例如可以为第二UE在发现阶段对应的第一安全能力。第一安全能力可以为PC5安全能力，在第一安全能力中可以记录第二UE支持的安全算法，例如可以以安全算法列表的形式记录等。

在一个实施例中，第二UE接收第一功能网元返回的响应消息，或者，第二UE还可以接收第一功能网元返回的拒绝消息，其中，拒绝消息指示第二UE没有被授权使用该RSC对应的中继服务。

在一个实施例中，向第二UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第二UE的标识信息以及安全能力；将至少一个中继终端的标识信息存入应用容器(application container)供第一功能网元读取；中继终端的标识信息用于供第一功能网元获取对应的安全参数和/或安全算法；接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；安全信息包括：中继终端在发现请求过程中确定的安全信息；接收多个中继终端基于第一UE的DCR消息广播的新的DCR消息；DCR消息携带的信息通过安全信息保护。其中，中继终端的标识信息关联的第二功能网元可以与第一UE关联的第一功能网元相同，也可以与第一功能网元不同。即，中继终端的标识信息关联的公共陆地移动网络(Public Land Mobile Network，PLMN)ID可以与第一UE关联的PLMN ID相同，也可以不同。

如此，通过中继终端发现阶段的安全信息保护用于建立通信链路的DCR消息，可以提高基于U2U中继的第一UE与第二UE间的通信安全性，在发现及链路建立阶段提高整体的安全性。在此基础上，通过广播DCR消息代替向选中的中继终端单独发送DCR消息，可以节省当前需要连接第二UE的第一UE选择中继终端产生的资源开销。

向第二UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：RSC、第二UE的标识信息以及安全能力；

接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；安全信息包括：中继终端在发现请求过程中确定的安全信息；

当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过中继终端与第一UE建立通信连接；DCR消息携带的信息通过安全信息保护。

在一个实施例中，当接收到信号覆盖范围内的多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过中继终端与第一UE建立通信连接；DCR消息携带的信息通过安全信息保护。

在本公开实施例中，当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过中继终端与第一UE建立通信连接；DCR消息携带的信息通过安全信息保护。其中，DCR消息用于请求建立第一UE与第二UE的通信连接，例如建立通过中继终端的PC5通信。

这里，关于安全信息以及DCR消息的限定以及说明请具体参见步骤S310部分的相关说明，在此不再赘述。

在一个实施例中，当接收到信号覆盖范围内的多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全参数验证新的DCR消息；若验证成功，则基于多个中继终端的性能参数，在多个中继终端中确定一个目标中继终端；通过目标中继终端与第一UE建立通信连接；DCR消息携带的信息通过安全信息保护。这里，多个中继终端可以为多个接收到第一UE的DCR消息的中继终端，或者，也可以为多个广播新的DCR消息的中继终端。例如，第二UE在接收到的新的DCR消息对应的多个中继终端中，选择一个目标中继终端。其中，中继终端的性能参数可以包括服务质量(Quality of Service，QoS)等。

在一个实施例中，通过目标中继终端与第一UE建立通信连接，可以包括：向确定的目标中继终端发送反馈消息，并通过目标中继终端与第一UE建立通信连接。

在一个实施例中，通过目标中继终端与第一UE建立通信连接，包括：在与目标中继终端的直接认证以及密钥生成过程完成后，向目标中继终端发送安全模式命令消息；当接收到目标中继终端返回的安全模式完成消息，发送直接通信接受消息；在目标中继终端与第一UE完成直接认证以及密钥生成过程完成后，通过目标中继终端与第一UE建立通信连接。这里，与目标中继终端的直接认证以及密钥生成过程，可以为向目标中继终端发送反馈消息后目标中继终端发起的。在与目标中继终端的直接认证以及密钥生成过程完成后，第二UE可以获取根密钥。

在一个实施例中，当接收到信号覆盖范围内的多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全参数验证新的DCR消息；若验证成功，则在多个中继终端中确定一个目标中继终端；在与目标中继终端的直接认证以及密钥生成过程完成后，基于根密钥导出保密密钥(New Radio PC5Encryption Key，NRPEK)和完整性密钥(New Radio PC5Integrity Key，NRPIK)；基于NRPEK和NRPIK生成安全模式命令消息，并向目标中继终端发送安全模式命令消息；当接收到目标中继终端返回的安全模式完成消息，发送直接通信接受消息；在目标中继终端与第一UE完成直接认证以及密钥生成过程完成后，通过目标中继终端与第一UE建立通信连接。

在一个实施例中，安全模式命令消息可以包含第二UE选择的安全算法，这里的安全算法可以为用于保护第一UE与第二UE间通信连接的算法，例如可以为与UE发现阶段的安全信息中的第一安全算法不同的第二安全算法，第二安全算法也可以用于保护安全模式命令消息，例如第二安全算法可以为PC5安全算法等。

如图12所示，本公开实施例提供一种通信控制方法，由第一功能网元执行，方法可包括：

S410：向第一功能网元关联的第一UE和/或第二UE提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在本公开实施例中，第一功能网元可以为第一UE和/或第二UE关联的DDNMF或PKMF等功能，第一UE关联的第一功能网元可以与第二UE关联的第一功能网元相同，也可以不同。安全信息可以用于保护第一UE广播的DCR消息中的信息。

在一个实施例中，向第一UE和/或第二UE返回响应消息；响应消息携带与RSC匹配且与第一UE和/或第二UE的安全能力匹配的安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，安全信息可以包括：安全参数以及安全算法，其中，安全参数可以为RSC对应的代码安全参数、代码发送安全参数、代码接收安全参数等，安全算法可以为RSC对应的发现加密算法等。DCR消息携带的信息通过安全信息保护，例如可以为DCR消息携带的信息通过基于安全算法的安全参数进行保护等。

在一个实施例中，安全信息可以包括：中继终端在发现请求过程中确定的安全信息，安全信息可以为第一功能网元向中继终端关联的第二功能网元获取的，例如第一功能网元在发现请求过程中接收到中继终端的标识信息，则向该标识信息关联的第二功能网元获取存储的安全信息。

在一个实施例中，在第一UE和/或第二UE的发现请求过程中，向第一UE和/或第二UE提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

如图13所示，本公开实施例提供一种通信控制方法，由第一功能网元执行，方法可包括：

S401：接收第一功能网元关联的第一UE和/或第二UE的预设消息；预设消息至少携带以下之一：RSC、第一UE和/或第二UE的标识信息以及安全能力。

在一个实施例中，步骤S401可与步骤S410组合，形成的方法包括：接收第一功能网元关联的第一UE和/或第二UE的预设消息；预设消息至少携带以下之一：RSC、第一UE和/或第二UE的标识信息以及安全能力；向第一功能网元关联的第一UE和/或第二UE提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

这里，预设消息可以为用于请求接入U2U中继服务的发现请求消息，预设消息中携带的RSC可以为第一UE和/或第二UE支持的中继服务对应的RSC，该RSC可以用于确定符合第一UE和/或第二UE支持的中继服务的中继终端。安全能力为第一UE的安全能力，例如可以为第一UE在发现阶段对应的第一安全能力。第一安全能力可以为直连通信接口PC5安全能力，在第一安全能力中可以记录第一UE支持的安全算法，例如可以以安全算法列表的形式记录等。与RSC匹配的安全信息，可以包括与RSC对应的安全参数和/或安全算法。

在一个实施例中，响应消息携带的安全信息可以为中继终端在发现请求过程中确定的用于发现的安全信息。

向第一UE和/或第二UE返回响应消息；响应消息携带与RSC匹配的安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，接收第一功能网元关联的第一UE和/或第二UE的预设消息；预设消息至少携带以下之一：RSC、第一UE和/或第二UE的标识信息以及安全能力；向第一UE和/或第二UE返回响应消息；响应消息携带与RSC匹配且与第一UE和/或第二UE的安全能力匹配的安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。例如，向第一UE返回的响应消息携带的安全算法，属于第一UE的安全能力指示的安全算法列表；向第二UE返回的响应消息携带的安全算法，属于第二UE的安全能力指示的安全算法列表。

在一个实施例中，接收第一功能网元关联的第一UE和/或第二UE的预设消息；预设消息至少携带以下之一：RSC、第一UE和/或第二UE的标识信息以及安全能力；向第一UE和/或第二UE返回响应消息；响应消息携带与RSC匹配的安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接；若不存在与预设消息中的RSC匹配的安全信息，则向第一UE和/或第二UE返回拒绝消息。其中，拒绝消息用于指示第一UE和/或第二UE没有被授权使用该RSC对应的中继服务。

在一个实施例中，基于第一UE和/或第二UE的标识信息，向ProSe应用服务器发送鉴权请求；若接收到ProSe应用服务器返回的鉴权通过消息，则确定安全信息；向第一功能网元关联的第一UE和/或第二UE提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，将携带第一UE和/或第二UE的标识信息的鉴权请求发送至ProSe应用服务器；若接收到ProSe应用服务器返回的鉴权通过消息，则确定安全信息；向第一功能网元关联的第一UE和/或第二UE提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。例如，鉴权请求可以携带第一UE和/或第二UE的用户信息ID。

在一个实施例中，ProSe应用服务器返回的鉴权通过消息，可以指示第一UE和/或第二UE具备访问U2U中继服务的权限，则可以继续确定对应的安全信息进行中继服务。

在一个实施例中，基于第一UE和/或第二UE的标识信息，向ProSe应用服务器发送鉴权请求；若接收到ProSe应用服务器返回的鉴权通过消息，则获取中继终端在发现请求过程中确定的安全信息；向第一功能网元关联的第一UE和/或第二UE提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，基于第一UE和/或第二UE的标识信息，向ProSe应用服务器发送鉴权请求；若接收到ProSe应用服务器返回的鉴权通过消息，则获取第一UE和/或第二UE提供的至少一个中继终端的标识信息；在中继终端的标识信息指示的PLMN与第一功能网元对应的PLMN不同时，向中继终端的标识信息关联的第二功能网元获取中继终端在发现请求过程中确定的安全参数以及安全算法；在中继终端的标识信息指示的PLMN与第一功能网元对应的PLMN相同时，在第一功能网元的本地存储中查询中继终端在发现请求过程中确定的安全参数以及安全算法。若向第二功能网元获取的安全算法与第一UE和/或第二UE的安全能力匹配，则基于安全参数、安全算法以及安全算法对应的RSC确定安全信息；向第一功能网元关联的第一UE和/或第二UE提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

需要说明的是，关于DCR消息以及安全信息的内容及解释可参考步骤S110部分作出的解释和说明，此处不再赘述。

如图14所示，本公开实施例提供一种通信控制方法，由第二功能网元执行，方法可包括：

S510：向第二功能网元关联的中继终端提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，基于第二功能网元关联的中继终端发送的发现请求消息，向第二功能网元关联的中继终端提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。其中，发现请求消息中可以携带以下至少之一：中继终端对应的RSC、中继终端的标识信息以及安全能力。

如图15所示，本公开实施例提供一种通信控制方法，由第二功能网元执行，方法可包括：

S501：接收第二功能网元关联的中继终端的预设消息；预设消息至少携带以下之一：中继终端的标识信息、RSC以及安全能力。

在一个实施例中，步骤S501可与步骤S510结合，形成的技术方案包括：接收第二功能网元关联的中继终端的预设消息；预设消息至少携带以下之一：中继终端的标识信息、RSC以及安全能力；向第二功能网元关联的中继终端提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，ProSe应用服务器返回的鉴权通过消息，可以指示中继终端具备提供U2U中继服务的权限，则可以继续确定对应的安全信息进行中继服务。

在一个实施例中，接收第二功能网元关联的中继终端的预设消息；预设消息至少携带以下之一：中继终端的标识信息、RSC以及安全能力；基于安全能力指示的中继终端支持的算法列表，确定中继终端的安全算法；将携带中继终端的标识信息以及RSC的鉴权请求发送至ProSe应用服务器；若接收到ProSe应用服务器返回的鉴权通过消息，基于安全算法、中继终端的安全参数以及RSC确定安全信息；向中继终端返回安全信息以及中继终端对应的RSC。

在一个实施例中，接收第二功能网元关联的中继终端的预设消息；预设消息至少携带以下之一：中继终端的标识信息、RSC以及安全能力；基于安全能力指示的中继终端支持的算法列表，确定中继终端的安全算法；将携带中继终端的标识信息以及RSC的鉴权请求发送至ProSe应用服务器；若接收到ProSe应用服务器返回的鉴权通过消息，基于安全算法、中继终端的安全参数以及RSC确定安全信息；向中继终端返回安全信息以及中继终端对应的RSC，并将安全信息与中继终端的RSC共同存储。例如，第二功能网元可以以绑定关系或映射关系等形式存储于本地。

本公开实施例提供一种通信控制方法，由ProSe应用服务器执行，方法包括：

当接收到第一功能网元发送的鉴权请求，基于鉴权请求中的第一UE和/或第二UE的标识信息，确定第一UE和/或第二UE是否具备访问U2U中继服务的权限；

若具备，则向第一功能网元返回鉴权通过消息；

和/或，当接收到第二功能网元发送的鉴权请求，基于鉴权请求中的中继终端的标识信息以及RSC，确定中继终端是否具备提供U2U中继服务的权限；

若具备，则向第二功能网元返回鉴权通过消息。

本公开实施例提供一种通信控制方法，方法包括：

第一功能网元向第一功能网元关联的第一UE和/或第二UE提供安全信息；

和/或，第二功能网元向第二功能网元关联的中继终端提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，第一功能网元接收第一功能网元关联的第一UE和/或第二UE的预设消息；预设消息至少携带以下之一：RSC、第一UE和/或第二UE的标识信息以及安全能力；向第一UE和/或第二UE返回响应消息；响应消息携带与RSC匹配的安全信息；

和/或，第二功能网元接收第二功能网元关联的中继终端的预设消息；预设消息至少携带以下之一：中继终端的标识信息、RSC以及安全能力；基于安全能力指示的中继终端支持的算法列表，确定中继终端的安全算法；基于中继终端的标识信息以及RSC，向邻近服务ProSe应用服务器发送鉴权请求；若接收到ProSe应用服务器返回的鉴权通过消息，基于安全算法、中继终端的安全参数以及RSC确定安全信息；向中继终端返回安全信息。

需要说明的是，关于第一功能网元执行的动作和相关说明可参考步骤S410及其相关步骤，关于第二功能网元执行的动作和相关说明可参考步骤S510及其相关步骤。

本公开实施例提供一种通信控制方法，方法包括：

中继终端向中继终端关联的第二功能网元请求获取安全信息；

第二功能网元向第二功能网元关联的中继终端提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，中继终端向中继终端关联的第二功能网元发送预设消息；预设消息至少携带以下之一：RSC、中继终端的标识信息以及安全能力；第二功能网元向第二功能网元关联的中继终端提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，中继终端向中继终端关联的第二功能网元发送预设消息；预设消息至少携带以下之一：RSC、中继终端的标识信息以及安全能力；第二功能网元基于预设消息进行鉴权后，向第二功能网元关联的中继终端提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，接收第二功能网元关联的中继终端的预设消息；预设消息至少携带以下之一：中继终端的标识信息、RSC以及安全能力；基于安全能力指示的中继终端支持的算法列表，确定中继终端的安全算法；将携带中继终端的标识信息以及RSC的鉴权请求发送至ProSe应用服务器；若接收到ProSe应用服务器返回的鉴权通过消息，基于安全算法、中继终端的安全参数以及RSC确定安全信息；向中继终端返回安全信息以及中继终端对应的RSC，并将安全信息与中继终端的RSC共同存储。

本公开实施例提供一种通信控制方法，方法包括：

第一功能网元基于第一UE和/或第二UE的标识信息，向ProSe应用服务器发送鉴权请求；若接收到ProSe应用服务器返回的鉴权通过消息，则向第一功能网元关联的第一UE和/或第二UE提供安全信息；

第二功能网元基于中继终端的标识信息以及RSC，向ProSe应用服务器发送鉴权请求；若接收到ProSe应用服务器返回的鉴权通过消息，向中继终端返回安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接；

ProSe应用服务器当接收到第一功能网元发送的鉴权请求，基于鉴权请求中的第一UE和/或第二UE的标识信息，确定第一UE和/或第二UE是否具备访问U2U中继服务的权限；若具备，则向第一功能网元返回鉴权通过消息；和/或，当接收到第二功能网元发送的鉴权请求，基于鉴权请求中的中继终端的标识信息以及RSC，确定中继终端是否具备提供U2U中继服务的权限；若具备，则向第二功能网元返回鉴权通过消息。

本公开实施例提供一种通信控制方法，方法包括：

第一UE广播DCR消息；DCR消息携带的信息通过安全信息保护；安全信息包括：安全参数和 /或安全算法；

第一中继终端与第二中继终端获取第一UE广播的DCR消息，并基于安全参数校验DCR消息；若校验成功则广播新的DCR消息；

第二UE获取第一中继终端与第二中继终端广播的新的DCR消息，并确定第二中继终端为目标中继终端；

第二中继终端建立第一UE与第二UE的通信连接。

在一个实施例中，第一UE广播DCR消息；DCR消息携带的信息通过安全信息保护；在多个响应DCR消息的中继终端中的一个目标中继终端发起的直接认证以及密钥生成过程完成后，接收目标中继终端发送的安全模式命令消息；基于中间密钥生成的完整性密钥和/或安全算法验证安全模式命令消息的完整性，并在验证通过后向目标中继终端返回安全模式完成消息；当接收到目标中继终端发送的直接通信接受消息，通过目标中继终端与第二UE建立通信连接；

第一中继终端获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；基于安全参数校验DCR消息；若校验成功且DCR消息携带的RSC与第一中继终端的RSC一致，则广播新的DCR消息；新的DCR消息至少携带以下之一：第一UE的标识信息以及安全能力、第二UE的标识信息、中继终端的标识信息以及RSC、凭证ID以及第二随机数；

第二中继终端获取第一UE广播的DCR消息，DCR消息携带的信息通过安全信息保护；基于安全参数校验DCR消息；若校验成功且DCR消息携带的RSC与第二中继终端的RSC一致，则广播新的DCR消息；

第二UE获取第一中继终端与第二中继终端广播的新的DCR消息；基于安全参数验证新的DCR消息；若验证成功，则基于第一中继终端与第二中继终端的性能参数，确定第二中继终端为目标中继终端；向目标中继终端发送反馈消息；

第二中继终端接收到反馈消息后建立第一UE与第二UE的通信连接。

需要说明的是，关于第一UE执行的动作和相关说明可参考步骤S110及其相关步骤，关于第一中继终端及第二中继终端执行的动作和相关说明可参考步骤S210及其相关步骤，关于第二UE执行的动作和相关说明可参考步骤S310及其相关步骤。

本公开实施例提供一种通信控制系统，包括：第一UE、中继终端、第二UE、第一功能网元和/或第二功能网元；

第一UE，用于广播DCR消息；DCR消息携带的信息通过安全信息保护；通过响应DCR消息的中继终端与第二UE建立通信连接；

中继终端，用于获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；响应于DCR消息建立第一UE与第二UE的通信连接；

第二UE，用于当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过中继终端与第一UE建立通信连接；DCR消息携带的信息通过安全信息保护；

第一功能网元，至少用于向第一功能网元关联的第一UE和/或第二UE提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接；

第二功能网元，至少用于向第二功能网元关联的中继终端提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一个实施例中，第一功能网元与第二功能网元可以为同一个功能网元，也可以为不同的功能网元。当第一功能网元与第二功能网元为同一个功能网元时，通信控制系统可以包含第一功能网元或第二功能网元，此时第一功能网元或第二功能网元均可用于向关联的第一UE和/或第二UE提供安全信息以及向第二功能网元关联的中继终端提供安全信息；当第一功能网元与第二功能网元为不同的功能网元时，通信控制系统可以包含第一功能网元和第二功能网元。

需要说明的是，关于第一UE执行的动作和相关说明可参考步骤S110及其相关步骤，关于第一中继终端及第二中继终端执行的动作和相关说明可参考步骤S210及其相关步骤，关于第二UE执行的动作和相关说明可参考步骤S310及其相关步骤，关于第一功能网元执行的动作和相关说明可参考步骤S410及其相关步骤，关于第二功能网元执行的动作和相关说明可参考步骤S510及其相关步骤。

需要说明的是，前述实施例中记载的技术特征在不矛盾的情况下可以任意排列组合以及交换顺序，可以任意组合成新的方法技术方案。

如图16所示，本公开实施例提供一种通信控制方法，可应用于U2U中继通信，也可用于测距/侧行链路定位服务。在测距/侧行链路定位服务中，第一UE即源UE可以作为参考UE，第二UE即目标UE可以作为目标用户设备，中继终端可以作为辅助UE。

本公开实施例提供一种通信控制方法，包括：

中继终端向第二功能网元DDNMF或PKMF发送包含其用户信息ID、中继服务代码(RSC)的发现请求消息，以便获得相关联的安全信息。此外，中继终端包括PC5安全能力，该安全能力包含发现请求消息中指示的中继终端支持的安全算法列表。

在一个实施例中，用户信息ID采用NAI格式或64位字符串的形式。如果用户信息ID为NAI格式，例如“username@realm”，则“realm”部分应包括归属网络标识符(即HPLMN ID)。

本公开实施例提供一种通信控制方法，包括：

第二功能网元可以基于用户信息ID和RSC与ProSe应用服务器交互以检查中继终端的授权。

本公开实施例提供一种通信控制方法，包括：

中继终端对应的HPLMN中的第二功能网元DDNMF返回相应的代码安全参数以及CURRENT_TIME和MAX_OFFSET参数。代码安全参数为中继终端提供必要的信息，以保护DCR消息中的信息，并与RSC一起存储。中继终端的第二功能网元应在发现响应消息中包括所选的第一安全算法。第二功能网元基于RSC和所接收的安全能力来确定所选择的第一安全算法。中继终端将所选择的第一安全算法与RSC一起存储。

本公开实施例提供一种通信控制方法，包括：

源UE和/或目标UE向关联的第一功能网元DDNMF发送包含RSC、用户信息ID及其安全能力的发现请求消息，以便被允许使用U2U中继服务。

本公开实施例提供一种通信控制方法，包括：

源UE和/或目标UE关联的第一功能网元DDNMF向ProSe应用服务器发送鉴权请求。如果基于权限设置，允许用户信息ID访问U2U中继服务，则ProSe应用服务器返回鉴权响应，例如鉴权通过消息。

本公开实施例提供一种通信控制方法，包括：

如果鉴权通过并且安全能力包括所选择的第一安全算法，则第一功能网元用发现响应消息进行响应，该发现响应消息包括RSC、相应的代码安全参数和基于存储的信息/密钥所选择的第一安全算法。

在一个实施例中，源UE和/或目标UE可以在应用容器中提供中继终端的用户信息ID。如果中继终端的用户信息ID中的PLMN ID指示与第一功能网元不同的PLMN，则源UE和/或目标UE关联的第一功能网元DDNMF联系中继终端的用户信息ID中的PLMN ID所指示的PLMN对应的第二功能网元DDNMF(即中继终端的HPLMN中的5G DDNMF)以获得相应的代码安全参数。

本公开实施例提供一种通信控制方法，包括：

源UE需要经由中继终端与目标UE建立通信。源UE广播直接通信请求DCR消息，该直接通信请求消息包含源UE的用户信息ID和目标UE的信息ID、RSC、凭证ID、第一随机数1及其安全能力。该消息将由第一中继终端和第二中继终端接收。源UE和/或目标UE的用户信息ID受基于所选的第一安全算法的代码安全参数保护。

在一个实施例中，在U2U发现和链路建立过程之前，源UE和/或目标UE和中继终端都可以被提供或预配置有长期凭证和长期凭证ID。长期凭证和长期凭证ID也可以由网络(例如PCF/5G DDNMF/5G PKMF/ProSe服务器)提供给UE。

本公开实施例提供一种通信控制方法，包括：

第一中继终端和第二中继终端使用代码安全参数验证DCR消息，并检查RSC。如果他们被授权提供的中继服务对应的RSC包括DCR消息中的RSC，则在其附近广播新的直接通信请求消息。中继终端广播的新的直接通信请求消息，包括源UE的用户信息ID、目标UE的信息ID和中继终端的信息ID、凭证ID、第二随机数1’及其的安全能力。中继终端存储源UE的标识信息(例如，源UE的用户信息ID)与新的直接通信请求之间的关联。源UE、目标UE以及中继终端的用户信息ID由基于所选的第一安全算法的代码安全参数保护。

本公开实施例提供一种通信控制方法，包括：

目标UE接收来自第一中继终端和第二中继终端的新的直接通信请求。目标UE通过使用代码安全参数验证DCR消息，并基于QoS等指标选择第二中继终端，则可以启动目标UE与第二中继终端的直接认证和密钥建立过程，以生成第一中间密钥Knrp。

本公开实施例提供一种通信控制方法，包括：

目标UE从Knrp导出会话密钥(Knrp-SESS)，然后根据PC5安全策略导出保密密钥(NRPEK)和完整性密钥(NRPIK)。目标UE向第二中继终端发送直接安全模式命令消息，该消息应包括所选的第二安全算法以及nonce 2'，并进行保护。

本公开实施例提供一种通信控制方法，包括：

验证通过后，第二中继终端用直接安全模式完成消息向目标UE作出响应。

本公开实施例提供一种通信控制方法，包括：

若从第二中继终端接收到直接安全模式完成消息，目标UE将直接通信接受消息发送到第二中继终端。

本公开实施例提供一种通信控制方法，包括：

可以发起与源UE的直接认证和密钥建立过程，得到第二中间密钥Knrp’。

本公开实施例提供一种通信控制方法，包括：

第二中继终端从Knrp’导出会话密钥(Knrp-SeSS’)，然后根据PC5安全策略导出保密密钥(NRPEK’)和完整性密钥(NRPIK’)。第二中继终端向源UE发送直接安全模式命令消息，该消息应包括所选的PC5安全算法、随机数2，并进行保护。

本公开实施例提供一种通信控制方法，包括：

验证通过后源UE用直接安全模式完成消息来响应第二中继终端。

本公开实施例提供一种通信控制方法，包括：

第二中继终端向源UE发送直接通信接受消息。

本公开实施例提供一种通信控制方法，包括：

通过第二中继终端在源UE和目标UE之间建立安全L3PC5链路。第二中继终端可以在对等ProSe UE之间中继业务。

如图17所示，本公开实施例提供一种通信控制装置，应用于第一UE，装置包括：

第一建立单元110，被配置为广播DCR消息；DCR消息携带的信息通过安全信息保护；

第二建立单元120，被配置为通过响应DCR消息的中继终端与第二UE建立通信连接。

在一些实施例中，第一建立单元110被配置为：

向第一UE关联的第一功能网元发送预设消息；预设消息至少携带以下之一：中继服务代码RSC、第一UE的标识信息以及安全能力；

接收第一功能网元返回的响应消息；响应消息携带与RSC匹配的安全信息；安全信息包括：中继终端在发现请求过程中确定的安全信息。

在一些实施例中，安全信息包括：安全参数和/或安全算法。

在一些实施例中，装置还包括：

第三建立单元，被配置为向第一功能网元提供至少一个中继终端的标识信息；中继终端的标识信息用于供第一功能网元获取对应的安全参数和/或安全算法。

在一些实施例中，DCR消息携带的信息包括以下至少之一：第一UE的标识信息以及安全能力、第二UE的标识信息、RSC、凭证ID以及第一随机数。

在一些实施例中，第二建立单元120，被配置为：

在多个响应DCR消息的中继终端中的一个目标中继终端发起的直接认证以及密钥生成过程完成后，接收目标中继终端发送的安全模式命令消息；

验证安全模式命令消息的完整性，并在验证通过后向目标中继终端返回安全模式完成消息；

当接收到目标中继终端发送的直接通信接受消息，通过目标中继终端与第二UE建立通信连接。

在一些实施例中，第一功能网元包括：直接发现命名管理功能DDNMF或者密钥管理功能PKMF。

如图18所示，本公开实施例提供一种通信控制装置，应用于中继终端，装置包括：

第一处理单元210，被配置为获取第一UE广播的DCR消息；DCR消息携带的信息通过安全信息保护；

第二处理单元220，被配置为响应于DCR消息建立第一UE与第二UE的通信连接。

在一些实施例中，第一处理单元210，被配置为：

向中继终端关联的第二功能网元发送预设消息；预设消息至少携带以下之一：中继终端的标识信息、RSC以及安全能力；

接收第二功能网元基于预设消息返回的安全信息。

在一些实施例中，安全信息包括：安全参数和/或安全算法。

在一些实施例中，第二处理单元220，被配置为：

基于安全参数校验DCR消息；

若校验成功且DCR消息携带的RSC与中继终端的RSC一致，则广播新的DCR消息；新的DCR消息至少携带以下之一：第一UE的标识信息以及安全能力、第二UE的标识信息、中继终端的标识信息以及RSC、凭证ID以及第二随机数；

当检测到接收新的DCR消息的第二UE的反馈消息，建立第一UE与第二UE的通信连接。

在一些实施例中，第二处理单元220，被配置为：

在与第二UE的直接认证以及密钥生成过程完成后，响应于第二UE的安全模式命令消息，向第二UE返回安全模式完成消息；

响应于第二UE的直接通信接受消息，在与第一UE的直接认证以及密钥生成过程完成后，向第一UE发送安全模式命令消息；

当接收到第一UE返回的安全模式完成消息，向第一UE发送直接通信接受消息，并建立第一UE与第二UE的通信连接。

在一些实施例中，第二功能网元包括：DDNMF或者PKMF。

如图19所示，本公开实施例提供一种通信控制装置，应用于第二UE，装置包括：

连接单元310，被配置为当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过中继终端与第一UE建立通信连接；DCR消息携带的信息通过安全信息保护。

在一些实施例中，连接单元310，还被配置为：

在一些实施例中，安全信息包括：安全参数和/或安全算法。

在一些实施例中，连接单元310，还被配置为：

向第一功能网元提供至少一个中继终端的标识信息；中继终端的标识信息用于供第一功能网元获取对应的安全参数和/或安全算法。

在一些实施例中，连接单元310，被配置为：

基于安全参数验证新的DCR消息；

若验证成功，则在多个中继终端中确定一个目标中继终端；

通过目标中继终端与第一UE建立通信连接。

在一些实施例中，连接单元310，被配置为：

在与目标中继终端的直接认证以及密钥生成过程完成后，向目标中继终端发送安全模式命令消息；

当接收到目标中继终端返回的安全模式完成消息，发送直接通信接受消息；

在目标中继终端与第一UE完成直接认证以及密钥生成过程完成后，通过目标中继终端与第一UE建立通信连接。

如图20所示，本公开实施例提供一种通信控制装置，应用于第一功能网元，装置包括：

执行单元410，被配置为向第一功能网元关联的第一UE和/或第二UE提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一些实施例中，执行单元410，被配置为：

接收第一功能网元关联的第一UE和/或第二UE的预设消息；预设消息至少携带以下之一：RSC、第一UE和/或第二UE的标识信息以及安全能力；

向第一UE和/或第二UE返回响应消息；响应消息携带与RSC匹配的安全信息；安全信息包括：中继终端在发现请求过程中确定的安全信息。

在一些实施例中，安全信息包括：安全参数和/或安全算法。

在一些实施例中，执行单元410，还被配置为：

基于第一UE和/或第二UE的标识信息，向邻近服务ProSe应用服务器发送鉴权请求；

若接收到ProSe应用服务器返回的鉴权通过消息，则确定安全信息。

在一些实施例中，执行单元410，被配置为：

获取第一UE和/或第二UE提供的至少一个中继终端的标识信息；

向中继终端的标识信息关联的第二功能网元获取发现请求过程中确定的安全参数以及安全算法；

若向第二功能网元获取的安全算法与第一UE和/或第二UE的安全能力匹配，则基于安全参数、安全算法以及安全算法对应的RSC确定安全信息。

如图21所示，本公开实施例提供一种通信控制装置，应用于第二功能网元，装置包括：

操作单元510，被配置为向第二功能网元关联的中继终端提供安全信息；安全信息用于第一UE和第二UE通过中继终端建立通信连接。

在一些实施例中，操作单元510，被配置为：

接收第二功能网元关联的中继终端的预设消息；预设消息至少携带：中继终端的标识信息、RSC以及安全能力；

基于安全能力指示的中继终端支持的算法列表，确定中继终端的安全算法；

基于中继终端的标识信息以及RSC，向邻近服务ProSe应用服务器发送鉴权请求；

若接收到ProSe应用服务器返回的鉴权通过消息，基于安全算法、中继终端的安全参数以及RSC确定安全信息；

向中继终端返回安全信息。

本公开实施例提供一种通信设备，包括：

用于存储处理器可执行指令的存储器；

处理器，分别存储器连接；

其中，处理器被配置为执行前述任意技术方案提供的信息处理方法。

处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在通信设备掉电之后能够继续记忆存储其上的信息。

这里，通信设备包括：终端或者网元，该网元可为前述第一网元至第四网元中的任意一个。

处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序，例如，如图2至图16所示的方法的至少其中之一。

图22是根据一示例性实施例示出的一种终端800的框图。例如，终端800可以是移动电话，计算机，数字广播用户设备，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图22，终端800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制终端800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以生成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在终端800的操作。这些数据的示例包括用于在终端800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为终端800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为终端800生成、管理和分配电力相关联的组件。

多媒体组件808包括在终端800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当终端800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当终端800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为终端800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如组件为终端800的显示器和小键盘，传感器组件814还可以检测终端800或终端800一个组件的位置改变，用户与终端800接触的存在或不存在，终端800方位或加速/减速和终端800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于终端800和其他设备之间有线或无线方式的通信。终端800可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，终端800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由终端800的处理器820执行以生成上述方法。例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

如图23所示，本公开一实施例示出一种通信设备900的结构。例如，通信设备900可以被提供为一网络侧设备。该通信设备900可为前述基站。

参照图23，通信设备900包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述方法前述应用在基站执行的任意方法，例如，如图2至图16所示的方法的至少其中之一。

通信设备900还可以包括一个电源组件926被配置为执行通信设备900的电源管理，一个有线或无线网络接口950被配置为将通信设备900连接到网络，和一个输入输出(I/O)接口958。通信设备900可以操作基于存储在存储器932的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由所附的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种通信控制方法，其中，由第一UE执行，所述方法包括：

广播直接通信请求DCR消息；所述DCR消息携带的信息通过安全信息保护；

通过响应所述DCR消息的中继终端与第二UE建立通信连接。
根据权利要求1所述的方法，其中，所述方法还包括：

向第一UE关联的第一功能网元发送预设消息；所述预设消息至少携带以下之一：中继服务代码RSC、所述第一UE的标识信息以及安全能力；

接收所述第一功能网元返回的响应消息；所述响应消息携带与所述RSC匹配的安全信息；所述安全信息包括：中继终端在发现请求过程中确定的安全信息。
根据权利要求2所述的方法，其中，所述安全信息包括：安全参数和/或安全算法。
根据权利要求3所述的方法，其中，所述方法还包括：

向所述第一功能网元提供至少一个中继终端的标识信息；所述中继终端的标识信息用于供所述第一功能网元获取对应的安全参数和/或安全算法。
根据权利要求2至4任一项所述的方法，其中，所述第一功能网元包括：直接发现命名管理功能DDNMF或者密钥管理功能PKMF。
根据权利要求1所述的方法，其中，所述DCR消息携带的信息包括以下至少之一：第一UE的标识信息以及安全能力、第二UE的标识信息、RSC、凭证ID以及第一随机数。
根据权利要求1所述的方法，其中，所述通过响应所述DCR消息的中继终端与第二UE建立通信连接，包括：

在多个响应所述DCR消息的中继终端中的一个目标中继终端发起的直接认证以及密钥生成过程完成后，接收所述目标中继终端发送的安全模式命令消息；

验证所述安全模式命令消息的完整性，并在验证通过后向所述目标中继终端返回安全模式完成消息；

当接收到所述目标中继终端发送的直接通信接受消息，通过所述目标中继终端与第二UE建立通信连接。
一种通信控制方法，其中，由中继终端执行，所述方法包括：

获取第一UE广播的DCR消息；所述DCR消息携带的信息通过安全信息保护；

响应于所述DCR消息建立所述第一UE与第二UE的通信连接。
根据权利要求8所述的方法，其中，所述方法还包括：

向中继终端关联的第二功能网元发送预设消息；所述预设消息至少携带以下之一：所述中继终端的标识信息、RSC以及安全能力；

接收所述第二功能网元基于所述预设消息返回的安全信息。
根据权利要求9所述的方法，其中，所述安全信息包括：安全参数和/或安全算法。
根据权利要求10所述的方法，其中，所述响应于所述DCR消息建立所述第一UE与第二UE的通信连接，包括：

基于所述安全参数校验所述DCR消息；

若校验成功且所述DCR消息携带的RSC与所述中继终端的RSC一致，则广播新的DCR消息；所述新的DCR消息至少携带以下之一：第一UE的标识信息以及安全能力、第二UE的标识信息、所述中继终端的标识信息以及RSC、凭证ID以及第二随机数；

当检测到接收所述新的DCR消息的第二UE的反馈消息，建立所述第一UE与第二UE的通信连接。
根据权利要求11所述的方法，其中，所述建立所述第一UE与第二UE的通信连接，包括：

在与第二UE的直接认证以及密钥生成过程完成后，响应于所述第二UE的安全模式命令消息，向所述第二UE返回安全模式完成消息；

响应于所述第二UE的直接通信接受消息，在与第一UE的直接认证以及密钥生成过程完成后，向所述第一UE发送安全模式命令消息；

当接收到所述第一UE返回的安全模式完成消息，向所述第一UE发送直接通信接受消息，并建立所述第一UE与第二UE的通信连接。
根据权利要求9至12任一项所述的方法，其中，所述第二功能网元包括：DDNMF或者PKMF。
根据权利要求8所述的方法，其中，所述DCR消息携带的信息包括以下至少之一：第一UE的标识信息以及安全能力、第二UE的标识信息、RSC、凭证ID以及第一随机数。
一种通信控制方法，其中，由第二UE执行，所述方法包括：

当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过所述中继终端与第一UE建立通信连接；所述DCR消息携带的信息通过所述安全信息保护。
根据权利要求15所述的方法，其中，所述方法还包括：

向第二UE关联的第一功能网元发送预设消息；所述预设消息至少携带以下之一：RSC、所述第二UE的标识信息以及安全能力；

接收所述第一功能网元返回的响应消息；所述响应消息携带与所述RSC匹配的安全信息；所述安全信息包括：中继终端在发现请求过程中确定的安全信息。
根据权利要求15或16所述的方法，其中，所述安全信息包括：安全参数和/或安全算法。
根据权利要求17所述的方法，其中，所述方法还包括：

向所述第一功能网元提供至少一个中继终端的标识信息；所述中继终端的标识信息用于供所述第一功能网元获取对应的安全参数和/或安全算法。
根据权利要求17所述的方法，其中，所述基于安全信息通过所述中继终端与第一UE建立通信连接，包括：

基于安全参数验证所述新的DCR消息；

若验证成功，则在多个中继终端中确定一个目标中继终端；

通过所述目标中继终端与第一UE建立通信连接。
根据权利要求19所述的方法，其中，所述通过所述目标中继终端与第一UE建立通信连接，包括：

在与所述目标中继终端的直接认证以及密钥生成过程完成后，向所述目标中继终端发送安全模式命令消息；

当接收到所述目标中继终端返回的安全模式完成消息，发送直接通信接受消息；

在所述目标中继终端与第一UE完成直接认证以及密钥生成过程完成后，通过所述目标中继终端与第一UE建立通信连接。
一种通信控制方法，其中，由第一功能网元执行，所述方法包括：

向第一功能网元关联的第一UE和/或第二UE提供安全信息；所述安全信息用于第一UE和第二UE通过中继终端建立通信连接。
根据权利要求21所述的方法，其中，所述向第一功能网元关联的第一UE和/或第二UE提供安全信息，包括：

接收第一功能网元关联的第一UE和/或第二UE的预设消息；所述预设消息至少携带以下之一：RSC、所述第一UE和/或第二UE的标识信息以及安全能力；

向所述第一UE和/或第二UE返回响应消息；所述响应消息携带与所述RSC匹配的安全信息；所述安全信息包括：中继终端在发现请求过程中确定的安全信息。
根据权利要求22所述的方法，其中，所述安全信息包括：安全参数和/或安全算法。
根据权利要求22所述的方法，其中，所述方法还包括：

基于所述第一UE和/或第二UE的标识信息，向邻近服务ProSe应用服务器发送鉴权请求；

若接收到所述ProSe应用服务器返回的鉴权通过消息，则确定安全信息。
根据权利要求24所述的方法，其中，所述确定安全信息，包括：

获取所述第一UE和/或第二UE提供的至少一个中继终端的标识信息；

向所述中继终端的标识信息关联的第二功能网元获取发现请求过程中确定的安全参数以及安全算法；

若向所述第二功能网元获取的安全算法与所述第一UE和/或第二UE的安全能力匹配，则基于所述安全参数、安全算法以及所述安全算法对应的RSC确定安全信息。
一种通信控制方法，其中，由第二功能网元执行，所述方法包括：

向第二功能网元关联的中继终端提供安全信息；所述安全信息用于第一UE和第二UE通过所述中继终端建立通信连接。
根据权利要求26所述的方法，其中，所述向第二功能网元关联的中继终端提供安全信息，包括：

接收所述第二功能网元关联的中继终端的预设消息；所述预设消息至少携带以下之一：所述中继终端的标识信息、RSC以及安全能力；

基于所述安全能力指示的所述中继终端支持的算法列表，确定所述中继终端的安全算法；

基于所述中继终端的标识信息以及RSC，向邻近服务ProSe应用服务器发送鉴权请求；

若接收到所述ProSe应用服务器返回的鉴权通过消息，基于所述安全算法、所述中继终端的安全参数以及所述RSC确定安全信息；

向所述中继终端返回所述安全信息。
一种通信控制系统，其中，所述系统包括：第一UE、中继终端、第二UE、第一功能网元以及第二功能网元；

所述第一UE，用于广播DCR消息；所述DCR消息携带的信息通过安全信息保护；通过响应所述DCR消息的中继终端与第二UE建立通信连接；

所述中继终端，用于获取第一UE广播的DCR消息；所述DCR消息携带的信息通过安全信息保护；响应于所述DCR消息建立所述第一UE与第二UE的通信连接；

所述第二UE，用于当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过所述中继终端与第一UE建立通信连接；所述DCR消息携带的信息通过所述安全信息保护；

所述第一功能网元，用于向第一功能网元关联的第一UE和/或第二UE提供安全信息；所述安全信息用于第一UE和第二UE通过中继终端建立通信连接；

所述第二功能网元，用于向第二功能网元关联的中继终端提供安全信息；所述安全信息用于第一UE和第二UE通过所述中继终端建立通信连接。
一种通信控制装置，其中，应用于第一UE，所述装置包括：

第一建立单元，被配置为广播DCR消息；所述DCR消息携带的信息通过安全信息保护；

第二建立单元，被配置为通过响应所述DCR消息的中继终端与第二UE建立通信连接。
一种通信控制装置，其中，应用于中继终端，所述装置包括：

第一处理单元，被配置为获取第一UE广播的DCR消息；所述DCR消息携带的信息通过安全信息保护；

第二处理单元，被配置为响应于所述DCR消息建立所述第一UE与第二UE的通信连接。
一种通信控制装置，其中，应用于第二UE，所述装置包括：

连接单元，被配置为当接收到多个中继终端基于第一UE的DCR消息广播的新的DCR消息，基于安全信息通过所述中继终端与第一UE建立通信连接；所述DCR消息携带的信息通过所述安全信息保护。
一种通信控制装置，其中，应用于第一功能网元，所述装置包括：

执行单元，被配置为向第一功能网元关联的第一UE和/或第二UE提供安全信息；所述安全信息用于第一UE和第二UE通过中继终端建立通信连接。
一种通信控制装置，其中，应用于第二功能网元，所述装置包括：

操作单元，被配置为向第二功能网元关联的中继终端提供安全信息；所述安全信息用于第一UE和第二UE通过所述中继终端建立通信连接。
一种通信设备，包括处理器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序，其中，所述处理器运行所述可执行程序时执行如权利要求1至27中任一项提供的方法。
一种计算机存储介质，所述计算机存储介质存储有可执行程序；所述可执行程序被处理器执行后，能够实现如权利要求1至27中任一项提供的方法。