WO2024031725A1

WO2024031725A1 - 中继通信的安全机制校验方法和装置、设备及存储介质

Info

Publication number: WO2024031725A1
Application number: PCT/CN2022/112327
Authority: WO
Inventors: 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-08-12
Filing date: 2022-08-12
Publication date: 2024-02-15
Also published as: CN117882410A

Abstract

本公开提供一种中继通信的安全机制校验方法和装置、设备及存储介质。上述方法包括：接收终端设备发送的第一请求消息，第一请求消息携带有第一信息，第一信息用于指示终端设备的中继服务对应的第一安全机制；确定中继设备的中继服务对应的第二安全机制；确定第一安全机制与第二安全机制是否匹配；根据匹配情况，发送第二消息。以此方式，本公开可以实现对中继通信的安全机制的验证。

Description

中继通信的安全机制校验方法和装置、设备及存储介质

技术领域

本公开涉及无线通信技术领域，尤其涉及一种中继通信的安全机制校验方法和装置、设备及存储介质。

背景技术

当前，对于基于邻近服务(proximity based services，ProSe)中继通信中的安全性，可以采用基于用户面的安全机制或者基于控制面的安全机制在终端设备和中继设备之间建立针对PC5接口(即直连通信接口)的发现和通信的安全性。该中继设备也被称为U2N(user-to-network，用户到网络)中继设备。针对ProSe U2N中继服务，终端设备可以在基于用户面的安全机制和基于控制面的安全机制之间择一实施。

然而，在终端设备和中继设备被配置采用基于控制面的安全机制的情况下，终端设备仍可能继续采用基于用户面的安全机制来发送直连通信请求，或者中继设备在接收到直连通信请求之后仍然可能采用基于用户面的安全机制。对于这些情形，相关技术中并没有提出对应的解决方案。

那么，如何避免中继通信相关的终端设备和中继设备采用不合适的安全机制是一个亟待解决的问题。

发明内容

本公开提供了一种中继通信的安全机制校验方法和装置、设备及存储介质，以实现对中继通信的安全机制的验证。

在第一方面，本公开提供一种中继通信的安全机制校验方法。该方法可以应用于中继设备。上述方法包括：接收终端设备发送的第一请求消息，第一请求消息携带有第一信息，第一信息用于指示终端设备的中继服务对应的第一安全机制；确定中继设备的中继服务对应的第二安全机制；确定第一安全机制与第二安全机制是否匹配；根据匹配情况，发送第二消息。

在一些可能的实施方式中，第一信息可以包括中继服务的中继服务代码(relay service code，RSC)以及第一安全机制对应的密钥参数。

在一些可能的实施方式中，第一安全机制可以为基于控制面的安全机制或基于用户面的安全机制，第二安全机制可以为基于用户面的安全机制。

在一些可能的实施方式中，确定中继设备的中继服务对应的第二安全机制的操作可以包括：接收中继设备关联的核心网功能发送的第二信息，第二信息用于指示中继服务和对应的安全机制；根据第二信息，确定第二安全机制。

在一些可能的实施方式中，根据匹配情况发送第二消息的操作可以包括：在确定第一安全机制与第二安全机制不匹配的情况下，向终端设备发送第二消息，第二消息用于指示拒绝第一请求消息。

在一些可能的实施方式中，根据匹配情况发送第二消息的操作可以包括：在确定第一安全机制与第二安全机制匹配的情况下，向中继设备关联的网络功能发送第二消息，第二消息携带有第三信息，第三信息用于指示中继设备的中继服务对应的第二安全机制。

在一些可能的实施方式中，第三信息可以包括中继服务的RSC以及第二安全机制对应的密钥参数。

在一些可能的实施方式中，在向第一网络功能发送第二消息之后，上述方法还可以包括：接收中继设备关联的网络功能发送的第三消息，第三消息用于指示中继设备关联的核心网功能的中继服务对应的第三安全机制与第二安全机制不匹配；根据第三消息，向终端设备发送第二消息，第二消息用于指示拒绝第一请求消息。

在第二方面，本公开提供一种中继通信的安全机制校验方法。该方法可以应用于网络功能。上述方法包括：接收第三请求消息，第三请求消息携带有第四信息，第四信息用于指示终端设备的中继服务对应的第一安全机制或中继设备的中继服务对应的第二安全机制；根据第四信息，向核心网功能发送第四请求消息，第四请求消息用于请求核心网功能的中继服务对应的第三安全机制；接收核心网功能发送的第五消息，第五消息用于指示第三安全机制；确定第一安全机制或第二安全机制与第三安全机制是否匹配。

在一些可能的实施方式中，第四信息可以包括中继服务的RSC以及第一安全机制对应的密钥参数，或第四信息可以包括中继服务的RSC以及第二安全机制对应的密钥参数。

在一些可能的实施方式中，第四请求消息可以携带有中继服务的RSC。

在一些可能的实施方式中，第一安全机制可以为基于控制面的安全机制或基于用户面的安全机制，第三安全机制可以为基于用户面的安全机制。

在一些可能的实施方式中，上述方法还可以包括：在确定第一安全机制或第二安全机制与第三安全机制不匹配的情况下，发送第六消息，第六消息用于指示第一安全机制或第二安全机制与第三安全机制不匹配。

在一些可能的实施方式中，网络功能可以为中继设备关联的基于邻近服务密钥管理功能(ProSe key management function，PKMF)，核心网功能可以为中继设备关联的策略控制功能(policy control function，PCF)。

在一些可能的实施方式中，网络功能可以为终端设备关联的PKMF，核心网功能可以为终端设备关联的PCF。

在第三方面，本公开提供一种中继通信的安全机制校验方法。该方法可以应用于核心网功能。上述方法包括：接收网络功能发送的第四请求消息，第四请求消息用于请求核心网功能的中继服务对应的第三安全机制；响应于第四请求消息，向网络功能发送第五消息，第五消息用于指示第三安全机制。

在一些可能的实施方式中，网络功能可以为中继设备关联的PKMF，核心网功能可以为中继设备关联的PCF。

在第四方面，本公开提供一种中继通信的安全机制校验装置。该装置可以设置于中继设备。上述装置包括：接收模块，配置为接收终端设备发送的第一请求消息，第一请求消息携带有第一信息，第一信息用于指示终端设备的中继服务对应的第一安全机制；处理模块，配置为确定中继设备的中继服务对应的第二安全机制，以及确定第一安全机制与第二安全机制是否匹配；发送模块，配置为根据匹配情况，发送第二消息。

在一些可能的实施方式中，第一信息可以包括中继服务的RSC以及第一安全机制对应的密钥参数。

在一些可能的实施方式中，接收模块可以配置为：接收中继设备关联的核心网功能发送的第二信息，第二信息用于指示中继服务和对应的安全机制；处理模块可以配置为：根据第二信息，确定第二安全机制。

在一些可能的实施方式中，发送模块可以配置为：在确定第一安全机制与第二安全机制不匹配的情况下，向终端设备发送第二消息，第二消息用于指示拒绝第一请求消息。

在一些可能的实施方式中，发送模块可以配置为：在确定第一安全机制与第二安全机制匹配的情况下，向中继设备关联的网络功能发送第二消息，第二消息携带有第三信息，第三信息用于指示中继设备的中继服务对应的第二安全机制。

在一些可能的实施方式中，接收模块还可以配置为：接收中继设备关联的网络功能发送的第三消息，第三消息用于指示中继设备关联的核心网功能的中继服务对应的第三安全机制与第二安全机制不匹配；发送模块还可以配置为：根据第三消息，向终端设备发送第二消息，第二消息用于指示拒绝第一请求消息。

在第五方面，本公开提供一种中继通信的安全机制校验装置。该装置可以设置于网络功能。上述装置包括：接收模块，配置为接收第三请求消息，第三请求消息携带有第四信息，第四信息用于指示终端设备的中继服务对应的第一安全机制或中继设备的中继服务对应的第二安全机制；发送模块，配置为根据第四信息，向核心网功能发送第四请求消息，第四请求消息用于请求核心网功能的中继服务对应的第三安全机制。接收模块还配置为：接收核心网功能发送的第五消息，第五消息用于指示第三安全机制。上述装置还包括：处理模块，配置为确定第一安全机制或第二安全机制与第三安全机制是否匹配。

在一些可能的实施方式中，发送模块还可以配置为：在确定第一安全机制或第二安全机制与第三安全机制不匹配的情况下，发送第六消息，第六消息用于指示第一安全机制或第二安全机制与第三安全机制不匹配。

在第六方面，本公开提供一种中继通信的安全机制校验装置。该装置可以设置于核心网功能。上述装置包括：接收模块，配置为接收网络功能发送的第四请求消息，第四请求消息用于请求核心网功能的中继服务对应的第三安全机制；发送模块，配置为响应于第四请求消息，向网络功能发送第五消息，第五消息用于指示第三安全机制。

第七方面，本公开提供一种通信***，包括网络功能和核心网功能。网络功能配置为：根据第四信息，向核心网功能发送第四请求消息，第四信息用于指示终端设备的中继服务对应的第一安全机制或中继设备的中继服务对应的第二安全机制，第四请求消息用于请求核心网功能的中继服务对应的第三安全机制；确定第一安全机制或第二安全机制与第三安全机制是否匹配。核心网功能配置为：根据第四请求消息，向网络功能发送第五消息，第五消息用于指示第三安全机制。

在一些可能的实施方式中，网络功能还可以配置为：接收第三请求消息，第三请求消息携带有第四信息。

在一些可能的实施方式中，网络功能还可以配置为：在确定第一安全机制或第二安全机制与第三安全机制不匹配的情况下，发送第六消息，第六消息用于指示第一安全机制或第二安全机制与第三安全机制不匹配。

第八方面，本公开提供一种电子设备，包括：存储器；处理器，与存储器连接，被配置为执行存储在存储器上的计算机可执行指令，以实现如第一方面至第三方面及其可能的实施方式中任一项所述的中继通信的安全机制校验方法。

第九方面，本公开提供一种计算机存储介质，计算机存储介质存储有计算机可执行指令，计算机可执行指令被处理器执行后能够实现如第一方面至第三方面及其可能的实施方式中任一项所述的中继通信的安全机制校验方法。

在本公开中，一方面对终端设备的中继服务对应的安全机制进行验证，另一方面对中继设备的中继服务对应的安全机制进行验证，从而实现对中继通信的安全机制的验证，确保了进行中继通信的终端设备和中继设备采用正确配置的安全机制。

应当理解的是，本公开的第四方面至第九方面与本公开的第一方面至第三方面的技术方案一致，各方面及对应的可行实施方式所取得的有益效果相似，不再赘述。

附图说明

图1为本公开实施例中的通信***的结构示意图；

图2为本公开实施例中的一种中继通信的安全机制校验方法的流程示意图；

图3为本公开实施例中的另一种中继通信的安全机制校验方法的流程示意图；

图4为本公开实施例中的又一种中继通信的安全机制校验方法的流程示意图；

图5为本公开实施例中的中继服务的安全机制的校验流程的实施流程示意图；

图6为本公开实施例中的一种中继通信的安全机制校验装置的结构示意图；

图7为本公开实施例中的另一种中继通信的安全机制校验装置的结构示意图；

图8为本公开实施例中的一种电子设备的结构示意图；

图9为本公开实施例中的一种终端设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语“第一”、“第二”、“第三”等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，“第一信息”也可以被称为“第二信息”，类似地，“第二信息”也可以被称为“第一信息”。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

进一步地，在本公开实施例的描述中，“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系。例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本公开实施例的描述中，“多个”可以指两个或多于两个。

图1为本公开实施例中的通信***的结构示意图。如图1所示，上述通信***100可以包括5G接入网(AN)和5G核心网(5GC)。其中，5G接入网可以包括下一代无线接入网(next generation radio access network，NG-RAN)101，NG-RAN 101通过Uu接口与UE(user equipment，用户设备)通信。UE可以包括中继设备102A和终端设备102B。5G核心网103可以包括：接入和移动性管理功能(access and mobility management function，AMF)1031，用户面功能(user plane function，UPF)1032，会话管理功能(session management function，SMF)1033，策略控制功能(policy control function，PCF)1034，5G邻近服务密钥管理功能(5G ProSe key management function，5G PKMF)1036等。

在本公开实施例中，上述通信***还可以包括其他网元，本公开实施例对此不作具体限定。

其中，在上述通信***中，终端设备可以通过第三代伙伴计划(3rd generation partnership project，3GPP)技术接入5G核心网。具体的，终端设备可以通过3GPP接入网设备接入5G核心网。

在上述通信***中，PCF 1034具有策略控制功能，主要负责针对会话、业务流的计费策略、服务质量(quality of service，QoS)带宽保障及策略等相关的策略决策。

SMF 1033具有会话管理功能，主要进行会话管理、PCF下发控制策略的执行、用户面功能(user plane function，UPF)的选择、UE的互联网协议(internet protocol，IP)地址分配等功能。

AMF 1031具有接入和移动性管理功能，主要进行移动性管理、接入鉴权/授权等功能。此外，还负责在UE与PCF间传递用户策略。

UPF 1032为用户面功能实体，作为和数据网络的接口，完成用户面(UP)数据转发、基于会话/流级的计费统计，带宽限制等功能。

5G PKMF 1036为用户面功能实体，用于实现ProSe安全性管理等功能。在本公开实施例中，5G PKMF也可以被称为PKMF。

其中各接口功能描述如下：

N7：PCF 1034与SMF 1033之间的接口，用于下发分组数据单元(packet data unit，PDU)会话粒度以及业务数据流粒度的控制策略。

N3：UPF 1032与NG-RAN 101之间的通信接口。

N15：PCF 1034与AMF 1031之间的接口，用于下发UE策略及接入控制相关策略。

N4：SMF 1033与UPF 1032之间的接口，用于控制面与UP之间传递信息，包括控制面向UP的转发规则、QoS控制规则、流量统计规则等的下发以及UP的信息上报。

N11：SMF 1033与AMF 1031之间的接口，用于传递NG-RAN 101和UPF 1034之间的PDU会话隧道信息、传递发送给UE的控制消息、传递发送给NG-RAN 101的无线资源控制信息等。

N2：AMF 1031与NG-RAN 101之间的接口，用于传递核心网侧至NG-RAN 101的无线承载控制信息等。

N8：AMF 1031与UDM 1035间的接口，用于AMF 1031向UDM 1035获取接入与移动性管理相关签约数据与鉴权数据，以及AMF 1031向UDM 1035注册UE当前移动性管理相关信息等。

N10：SMF 1033与UDM 1035间的接口，用于SMF 1033向UDM 1035获取会话管理相关签约数据，以及SMF 1033向UDM 1035注册UE当前会话相关信息等。

Nx：5G PKMF 1036与PCF 1034之间的接口。

上述用户设备可以是具有无线通信功能的设备。UE可以部署在陆地上，包括室内或室外、手持、可穿戴或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。上述UE可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端装置、增强现实(augmented reality，AR)终端装置、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。UE也可以是具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备等。可选的，在不同的网络中UE还可以叫做不同的名称，例如：终端装置、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置、蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)、5G网络或未来演进网络中的终端设备等。

上述接入网设备可以为接入网侧用于支持终端接入无线通信***的设备。例如，可以是5G接入技术通信***中的下一代基站(next generation NodeB，gNB)、发送接收点(transmission reception point，TRP)、中继节点(relay node)、接入点(access point，AP)等。

需要说明的是，在图1所示的通信***中，各设备的功能以及接口仅为示例性的，各个设备在应用于本公开实施例中时，并非全部功能都是必需的。核心网的全部或者部分设备可以是物理上的实体设备，也可以是虚拟化的设备，在此不做限定。当然，本公开实施例中的通信***还可以包括未在图1中示出的其他设备，在此不做限定。

当前，对于ProSe中继通信中的安全性，可以采用基于用户面的安全机制或者基于控制面的安全机制在终端设备和中继设备之间建立针对PC5接口的发现和通信的安全性。针对ProSe U2N中继服务，终端设备可以在基于用户面的安全机制和基于控制面的安全机制之间择一实施。在由PCF向终端设备(例如，remote UE)和中继设备(例如，relay UE)分别提供的ProSe U2N中继发现(ProSe U2N relay discovery)参数中包括了控制面安全指示符(control plane security indicator)。若控制面安全指示符针对一RSC，则该控制面安全指示符指示采用基于控制面的安全机制(或称为安全流程)。

在向终端设备和中继设备提供针对RSC的控制面安全指示符、并且终端设备和中继设备针对于控制面安全指示符关联的RSC彼此发现的情况下，终端设备可能依然使用基于用户面的安全机制来通过PC5接口发送直接通信请求，或者接收到该直接通信请求的中继设备可能依然使用基于用户面的安全机制来建立针对中继服务的PC5通信安全行。在上述情况下，终端设备或者中继设备因为采用的安全机制不正确而进行错误操作。在相关技术中并没有提出对应的解决方案，能够验证终端设备和中继设备是否正确采用了为所请求的中继服务分配的安全机制。

为此，如何避免中继通信相关的终端设备和中继设备采用不合适的安全机制是一个亟待解决的问题。

为了解决上述问题，本公开实施例提供一种中继通信的安全机制校验方法。

图2为本公开实施例中的一种中继通信的安全机制校验方法的流程示意图。该方法可以应用于中继设备。如图2所示，上述方法包括S201至S204。

在S201，接收终端设备发送的第一请求消息。

其中，第一请求消息携带有第一信息，并且第一信息用于指示终端设备的中继服务对应的第一安全机制。

在一实施例中，第一请求消息可以是直连通信请求(direct communication request，DCR)消息。

在一实施例中，第一信息可以包括RSC以及第一安全机制对应的密钥参数。RSC是中继服务码，可以用于标识中继服务。第一安全机制对应的密钥参数可以是K _NRP freshness parameter 1。

可以理解的是，RSC可以是终端设备在服务认证和信息提供流程中从终端设备关联的核心网功能(例如，PCF)获取的。在一示例中，在终端设备从核心网功能获取RSC的同时，还可以从核心网功能获取控制面安全指示符。控制面安全指示符可以是针对特定的RSC提供的，用于指示RSC对应的中继服务采用基于控制面的安全机制。

在一实施例中，第一信息还可以包括基于邻近服务远端用户密钥(ProSe remote user key，PRUK)标识信息，例如，PRUK ID。PRUK标识信息用于对邻近服务远端用户密钥进行标识。可以理解的是，PRUK标识信息可以由终端设备从终端设备关联的网络功能(例如，PKMF)获得。此外，终端设备还可以从网络功能获得PRUK标识信息所标识的PRUK。

在一实施例中，第一安全机制可以为基于控制面的安全机制或基于用户面的安全机制。在一示例中，在终端设备获取到控制面安全指示符(即针对RSC提供有控制面安全指示符)的情况下，第一安全机制可以是基于控制面的安全机制。在一示例中，在终端设备没有获取到控制面安全指示符(即针对RSC并未提供控制面安全指示符)的情况下，第一安全机制可以是基于用户面的安全机制。

在实际应用中，第一信息中的至少部分信息可以用于指示终端设备的中继服务对应的第一安全机制。在一示例中，第一信息中第一安全机制对应的密钥参数可以单独用于指示第一安全机制为基于用户面的安全机制。在一示例中，第一信息中PRUK标识信息可以单独用于指示第一安全机制为基于用户面的安全机制。在一示例中，第一信息中第一安全机制对应的密钥参数以及PRUK标识信息可以共同用于指示第一安全机制为基于用户面的安全机制。

在S202，确定终端设备的中继服务对应的第二安全机制。

在一实施例中，第二安全机制可以为基于用户面的安全机制。具体地，S202中确定终端设备的中继服务对应的第二安全机制可以包括以下两个步骤。

在第一步骤中，接收中继设备关联的核心网功能发送的第二信息。

其中，第二信息用于指示中继服务和对应的安全机制。

可以理解的是，中继设备可以在服务认证和信息提供流程中从中继设备关联的核心网功能(例如，PCF)获取到第二信息。第二信息可以包括RSC。在一示例中，在终端设备从核心网功能获取RSC的同时，还可以从核心网功能获取控制面安全指示符。

在第二步骤中，根据第二信息，确定第二安全机制。

需要说明的是，第二安全机制可以理解为是中继设备针对中继服务采用的安全机制，也可以理解为是网络为中继服务配置的安全机制。网络向中继设备配置针对中继服务对应的安全机制，往往意味着中继设备针对中继服务会采用网络配置的安全机制。

在一实施例中，中继设备接收到的第二信息中并未包含控制面安全指示符，则中继设备确定RSC对应的第二安全机制为基于用户面的安全机制。在一示例中，中继设备接收到的第二信息包含有控制面安全指示符，但是中继设备可能依然确定RSC对应的第二安全机制为基于用户面的安全机制。

在S203，确定第一安全机制与第二安全机制是否匹配。

如上所述，在S201中确定了第一安全机制，并且在S202中确定的第二安全机制。之后，可以对第一安全机制和第二安全机制进行匹配。在一示例中，第一安全机制可以是基于控制面的安全机制，第二安全机制可以是基于用户面的安全机制，则可以确定第一安全机制和第二安全机制是不匹配的。在一示例中，第一安全机制可以是基于用户面的安全机制，第二安全机制可以是基于用户面的安全机制，则可以确定第一安全机制和第二安全机制是匹配的。通过以上匹配，能够得到第一安全机制与第二安全机制之间的匹配情况。

在S204，根据匹配情况，发送第二消息。

可以理解的是，根据匹配情况的不同，第二消息可以是不同的，并且第二消息的发送对象也可以是不同的。

在一示例中，在匹配情况为第一安全机制与第二安全机制不匹配的情况下，中继设备可以向终端设备发送第二消息。此时，第二消息可以用于指示拒绝第一请求消息。例如，第二消息可以是直连通信拒绝(direct communication reject)消息。

在一示例中，在匹配情况为第一安全机制与第二安全机制匹配的情况下，中继设备可以向网络功能发送第二消息。第二消息携带有第三信息。第三信息用于指示中继设备的中继服务对应的第二安全机制。例如，第二消息可以是密钥请求(key request)消息。

在实际应用中，第三信息可以包括第一信息中的全部或部分内容。例如，第三信息可以包括RSC以及第一安全机制对应的密钥参数。又例如，第三信息还可以包括PRUK标识信息。可以理解的是，因为中继设备已经确定第一安全机制与第二安全机制是匹配的，所以第三信息中的第一安全机制对应的密钥参数(以及可能的PRUK标识信息)虽然表示的是第一安全机制，但也间接地指示了中继设备的中继服务对应的第二安全机制。此外，在一实施例中，第三信息可以包括RSC以及第二安全机制对应的密钥参数。

在一实施例中，在确定第一安全机制与第二安全机制匹配并且中继设备向网络功能发送第二消息之后，上述方法还可以包括：接收中继设备关联的网络功能发送的第三消息，第三消息用于指示中继设备关联的核心网功能的中继服务对应的第三安全机制与第二安全机制不匹配；根据第三消息，向终端设备发送第二消息，第二消息用于指示拒绝所述第一请求消息。

可以理解的是，在中继设备向网络功能发送第二消息之后，可以从网络功能接收到第三消息。第三消息可以指示第三安全机制与第二安全机制不匹配。在一示例中，第三消息还可以携带有导致第三安全机制与第二安全机制不匹配的失败原因(failure cause)。例如，失败原因可以是第二安全机制与第三安全机制不匹配，或者可以是其他更加具体的原因。

图3为本公开实施例中的另一种中继通信的安全机制校验方法的流程示意图。该方法可以应用于网络功能。如图3所示，上述方法包括S301至S304。

在S301，接收第三请求消息。

其中，第三请求消息携带有第四信息，第四信息用于指示终端设备的中继服务对应的第一安全机制或中继设备的中继服务对应的第二安全机制。

在一实施例中，第四信息可以包括中继服务的RSC以及第一安全机制对应的密钥参数。在一实施例中，第四信息可以包括中继服务的RSC以及第二安全机制对应的密钥参数。

在一实施例中，第三请求消息可以是密钥请求消息。

此外，网络功能可以是PKMF。在一实施例中，网络功能可以是中继设备关联的PKMF。在一实施例中，网络功能可以是终端设备关联的PKMF。另外，网络功能可以是位于核心网内的核心网功能，也可以是位于核心网外的非核心网功能。本公开实施例对此不做具体限定。

在S302，根据第四信息，向核心网功能发送第四请求消息。

其中，第四请求消息用于请求核心网功能的中继服务对应的第三安全机制。

可以理解的是，核心网功能可以是PCF或者其他核心网功能。核心网功能的中继服务对应的第三安全机制是网络侧针对中继服务配置的安全机制。换言之，第三安全机制即为中继服务的RSC对应的安全机制。第三安全机制可以是基于用户面的安全机制，也可以是基于控制面的安全机制。

在S303，接收核心网功能发送的第五消息。

其中，第五消息用于指示第三安全机制。

网络功能在向核心网功能发送第四请求消息之后，可以接收到来自核心网功能的第五消息。

在S304，确定第一安全机制或第二安全机制与第三安全机制是否匹配。

网络设备可以根据第五消息，确定第一安全机制或第二安全机制与第三安全机制是否匹配。

在一实施例中，在确定第一安全机制或第二安全机制与第三安全机制不匹配的情况下，网络功能可以发送第六消息。第六消息用于指示第一安全机制或第二安全机制与第三安全机制不匹配。

在一实施例中，在确定第一安全机制或第二安全机制与第三安全机制匹配的情况下，网络功能可以继续后续的流程，例如，发送消息，或者进行下一步处理。

在实际应用中，网络功能可以是与终端设备关联的，也可以是与中继设备关联的；对应地，核心网功能可以是与终端设备关联的，也可以是与中继设备关联的。

在一实施例中，网络功能可以是与中继设备关联的PKMF，核心网功能可以是与中继设备关联的 PCF。在此情况下，对S301至S303进行具体说明。

对于S301，PKMF可以接收中继设备发送的第三请求消息。第三请求消息中的第四信息可以用于指示中继设备的中继服务对应的第二安全机制。可以理解的是，在此情况下，第三请求消息可以是上述由中继设备发送的第二消息。

对于S302，PKMF可以向PCF发送第四请求消息。第四请求消息用于请求PCF的中继服务对应的第三安全机制。

对于S303，PKMF可以接收PCF发送的第五消息。具体地，第五消息可以指示第三安全机制。

对于S304，PKMF可以确定第二安全机制与第三安全机制是否匹配。

此外，在第二安全机制与第三安全机制不匹配的情况下，PKMF可以向中继设备发送第六消息。第六消息用于指示第二安全机制与第三安全机制不匹配。在一实施例中，第六消息可以是密钥响应(key response)消息。在一实施例中，第六消息还可以携带有失败原因。例如，失败原因可以是第二安全机制与第三安全机制不匹配，或者可以是其他更加具体的原因。

在一实施例中，网络功能可以是与终端设备关联的PKMF，核心网功能可以是与中继设备关联的PCF。在此情况下，对S301至S303进行具体说明。

对于S301，PKMF可以接收中继设备关联的PKMF发送的第三请求消息。第三请求消息中的第四信息可以用于指示终端设备的中继服务对应的第一安全机制。可以理解的是，在此情况下，第三请求消息可以是上述由中继设备关联的PKMF发送的请求消息，例如，密钥请求消息。

对于S304，PKMF可以确定第一安全机制与第三安全机制是否匹配。

此外，在第一安全机制与第三安全机制不匹配的情况下，PKMF可以向与终端设备关联的PKMF发送第六消息。第六消息用于指示第一安全机制与第三安全机制不匹配。在一实施例中，第六消息可以是密钥响应消息。在一实施例中，第六消息还可以携带有失败原因。例如，失败原因可以是第一安全机制与第三安全机制不匹配，或者可以是其他更加具体的原因。

图4为本公开实施例中的又一种中继通信的安全机制校验方法的流程示意图。该方法可以应用于核心网功能。如图4所示，上述方法包括S401至S402。

在S401，接收网络功能发送的第四请求消息。

需要说明的是，核心网功能可以是PCF。在一实施例中，核心网功能可以是中继设备关联的PCF。在一实施例中，核心网功能可以是中继设备关联的PCF。需要说明的是，核心网功能还可以是其他核心网功能，本公开实施例对此不做具体限定。

此外，网络功能可以是PKMF。在一实施例中，网络功能可以是中继设备关联的PKMF。在一实施例中，网络功能可以是中继设备关联的PKMF。需要说明的是，网络功能还可以是其他网络功能，本公开实施例对此不做具体限定。

在S402，响应于第四请求消息，向网络功能发送第五消息。

其中，第五消息用于指示第三安全机制。

具体地，响应于第四请求消息，核心网功能将匹配情况携带在第五消息中发送给网络功能。

需要说明的是，在S401至S403中，由核心网功能确定第一安全机制或第二安全机制与核心网功能的中继服务对应的第三安全机制是否匹配。然而，核心网功能也可以不确定第一安全机制或第二安全机制与核心网功能的中继服务对应的第三安全机制是否匹配，而是仅仅将第三安全机制通过第五消息发送给网络功能，以供网络功能确定第一安全机制或第二安全机制与核心网功能的中继服务对应的第三安全机制是否匹配。

在本公开实施例中，一方面对终端设备的中继服务对应的安全机制进行验证，另一方面对中继设备的中继服务对应的安全机制进行验证，从而实现对中继通信的安全机制的验证，确保了进行中继通信的终端设备和中继设备采用正确配置的安全机制。

为了促进对本公开实施例中的技术方案的理解，以下结合具体实施例对中继通信的安全机制校验方法进行说明。图5为本公开实施例中的中继服务的安全机制的校验流程的实施流程示意图。本公开实施例中的中继通信的安全机制校验方法适用在该中继服务流程中。

在图5所示的实施例中，终端设备可以是远端UE，中继设备可以是U2N中继，与中继设备关联的网络功能可以是第一PKMF，与中继设备关联的核心网功能可以是第一PCF，与终端设备关联的网络功能可以是第二PKMF，并且与终端设备关联的核心网功能可以是第二PCF。

如图5所示，中继服务流程可以包括S501至S516。

在S501，远端UE获取发现安全资料。

其中，远端UE可以通过PC8接口(或称为PC8参考点)第二PKMF建立安全连接。

可以理解的是，为了建立安全连接，远端UE可以在服务认证和信息提供流程中从第二PCF获取第二PKMF的地址、以及发现参数。发现参数可以包括RSC，并且还可以包括控制面安全指示符。

在一实施例中，控制面安全指示符可以是第二PCF为中继服务配置的，并且用于指示针对中继服务采用基于控制面的安全机制。

在一实施例中，远端UE还可以从第二PKMF获取发现安全资料(discovery security materials)。

在S502，U2N中继获取发现安全资料。

其中，U2N中继可以通过PC8接口(或称为PC8参考点)第一PKMF建立安全连接。

可以理解的是，为了建立安全连接，U2N中继可以在服务认证和信息提供流程中从第一PCF获取第一PKMF的地址、以及发现参数。发现参数可以包括RSC，并且还可以包括控制面安全指示符。

在一实施例中，控制面安全指示符可以是第一PCF为中继服务配置的，并且用于指示针对中继服务采用基于控制面的安全机制。

在S503，远端UE向第二PKMF发送PRUK请求消息。

其中，PRUK请求消息用于向第二PKMF请求PRUK。

在一实施例中，在远端UE已经具有来自第二PKMF的PRUK的情况下，PRUK请求消息可以携带有该PRUK的PRUK ID。

在S504，远端UE接收第二PKMF发送的PRUK响应消息。

其中，第二PKMF校验远端UE是否被授权接收U2N中继服务。在确定远端UE得到授权的情况下，第二PKMF向远端UE发送PRUK响应消息。PRUK响应消息中携带有PRUK和PRUK ID。

在S505，远端UE与U2N中继进行发现流程。

其中，远端UE与U2N中继可以基于发现参数和发现安全资料进行发现流程。

在S506中，远端UE向U2N中继发送DCR消息。

其中，DCR消息(也可以称为第一请求消息)用于请求提供直接通信。

在一实施例中，DCR消息可以携带有RSC以及远端UE的中继服务的安全机制(也可以称为第一安全机制)的密钥参数(即K _NRP freshness parameter 1)。

在一实施例中，DCR消息还可以携带有PRUK ID。在一实施例中，DCR消息还可以携带有SUCI(subscription concealed identifier，订阅隐私标识符)。

在S507，U2N中继校验安全机制。

其中，U2N中继对远端UE对中继服务采用的安全机制与U2N中继对中继服务采用的安全机制(也可以称为第二安全机制)进行匹配，从而实现安全机制的校验。

可以理解的是，在一方面，U2N中继确定自身对中继服务采用的安全机制。在一实施例中，在U2N中继确定与接收到的RSC关联的控制面安全指示符并基于该控制面安全指示符配置的情况下，该安全机制是基于控制面的安全机制。在一实施例中，在U2N中继并未接收到与RSC关联的控制面安全指示符的情况下，该安全机制是基于用户面的安全机制。

在另一方面，U2N中继确定远端UE对中继服务采用的安全机制。该安全机制可以是基于控制面的安全机制或者基于用户面的安全机制。在一实施例中，在S506中U2N中继接收到DCR消息之后，在DCR包括PRUK ID和/或密钥参数的情况下，U2N中继可以确定远端UE通过基于用户面的安全流程发起DCR。在此情况下，U2N中继可以确定远端UE对中继服务采用的安全机制为基于用户面的安全机制。否则，U2N中继可以确定远端UE对中继服务采用的安全机制为基于控制面的安全机制。

之后，U2N中继将远端UE对中继服务采用的安全机制与U2N中继对中继服务采用的安全机制进行匹配。

需要说明的是，S507中U2N中继对于安全机制的校验并不是必需的。在一些情况下，在S506之后，U2N可以不进行安全机制的校验，而是直接执行S508。

在S508，U2N中继向第一PKMF发送密钥请求消息。

其中，在S507中确定匹配情况为匹配的情况下，U2N中继可以向第一PKMF发送密钥请求消息(也可以称为第二消息，或第三请求消息)。密钥请求消息用于请求与安全机制对应的密钥参数。

在一实施例中，密钥请求消息可以携带有PRUK ID或SUCI、RSC、远端UE的中继服务的安全机制的密钥参数。

在S509，U2N中继向远端UE发送直连通信拒绝消息。

其中，在S507中确定匹配情况为不匹配的情况下，U2N中继可以向远端UE发送直连通信拒绝消息(也可以称为第二消息)。直连通信拒绝消息用于指示拒绝DCR消息。

在S510，第一PKMF与第一PCF校验安全机制。

其中，第一PKMF可以与第一PCF进行交互，以实现对安全机制的校验。可以理解的是，第一PCF本地存储有中继服务的RSC对应的安全机制。在一实施例中，第一PKMF与第一PCF校验安全机制可以通过以下方式实现：第一PKMF可以向第一PCF发送请求消息(也可以称为第四请求消息)。该请求消息用于请求第一PCF的中继服务对应的安全机制(也可以称为第三安全机制)。第一PCF在接收到该请求消息之后，可以将U2N中继的中继服务对应的安全机制通过响应消息(也可以称为第五消息)发送给第一PKMF。第一PKMF在接收到响应消息之后，将其中携带的安全机制与U2N中继的中继服务对应的安全机制进行匹配。如此，第一PKMF能够确认U2N中继的中继服务对应的安全机制与第一PCF的中继服务对应的安全机制之间的匹配情况。

在一实施例中，第一PKMF向第一PCF发送的请求消息可以携带有中继服务的RSC，以便于第一PCF在本地确定该中继服务的RSC对应的安全机制(即为该RSC分配的安全机制)。

在S511，第一PKMF向第二PKMF发送密钥请求消息。

其中，在S510中的匹配情况为匹配的情况下，第一PKMF向第二PKMF发送密钥请求消息。

在S512，第一PKMF向U2N中继发送密钥响应消息。

其中，在S510中的匹配情况为不匹配的情况下，第一PKMF向U2N中继发送密钥响应消息(也可以称为第六消息)。密钥响应消息用于指示拒绝来自U2N中继的密钥请求消息。

在一实施例中，密钥请求消息可以携带有失败原因。

在S513，U2N中继向远端UE发送直连通信拒绝消息。

其中，在S512中接收到密钥响应消息之后，U2N中继根据密钥响应消息向远端UE发送直连通信拒绝消息(也可以称为第二消息)。

在S514，第二PKMF与第二PCF校验安全机制。

其中，第二PKMF可以与第二PCF进行交互，以实现对安全机制的校验。可以理解的是，第二PCF本地存储有中继服务的RSC对应的安全机制。在一实施例中，第二PKMF与第二PCF校验安全机制可以通过以下方式实现：第二PKMF可以向第二PCF发送请求消息(也可以称为第四请求消息)。该请求消息用于请求第二PCF的中继服务对应的安全机制(也可以称为第三安全机制)。第二PCF在接收到该请求消息之后，可以将远端UE的中继服务对应的安全机制通过响应消息(也可以称为第五消息)发送给第二PKMF。第二PKMF在接收到响应消息之后，将其中携带的安全机制与远端UE的中继服务对应的安全机制进行匹配。如此，第一PKMF能够确认远端UE的中继服务对应的安全机制与第二PCF的中继服务对应的安全机制之间的匹配情况。

在一实施例中，第二PKMF向第二PCF发送的请求消息可以携带有中继服务的RSC，以便于第二PCF在本地确定该中继服务的RSC对应的安全机制(即为该RSC分配的安全机制)。

在S515，第二PKMF向第一PKMF发送密钥响应消息。

其中，在S514中的匹配情况为不匹配的情况下，第二PKMF向第一PKMF发送密钥响应消息(也可以称为第六消息)。密钥响应消息用于指示拒绝来自U2N中继的密钥请求消息。

在一实施例中，密钥请求消息可以携带有失败原因。

在S516，第一PKMF向U2N中继发送密钥响应消息。

其中，在S517中接收到来自第二PKMF的密钥响应消息之后，第一PKMF向U2N中继发送密钥响应消息。密钥响应消息用于指示拒绝来自U2N中继的密钥请求消息。

在一实施例中，密钥请求消息可以携带有失败原因。

在S517，U2N中继向远端UE发送直连通信拒绝消息。

需要说明的是，S514至S517是可以选的。换言之，在一些情况下，在S511中从第一PKMF接收到密钥请求消息之后，可以直接执行S518，而不需要第二PKMF进行安全机制的验证。

在S518，第二PKMF向第一PKMF发送密钥响应消息。

其中，在S510中的匹配情况为匹配的情况下，第二PKMF向第一PKMF发送密钥响应消息。

在一实施例中，密钥响应消息可以携带有密钥参数。例如，密钥参数可以包括K _NRP和/或K _NRP freshness parameter 2。

在S519，第一PKMF向U2N中继发送密钥响应消息。

其中，在S518中接收到来自第二PKMF的密钥响应消息之后，第一PKMF向U2N中继发送密钥响应消息。

在S520，U2N中继向远端UE发送直连安全机制命令。

其中，直连安全机制命令中携带有K _NRP freshness parameter 2。

在S521，远端UE对U2N中继进行验证。

其中，在S520中接收到直连安全机制命令(direct security mode command)之后，远端UE至少基于本地的PRUK、RSC、K _NRP freshness parameter 1以及从直连安全机制命令中获得的K _NRP freshness parameter 1，对直连安全机制命令进行验证，从而确保U2N中继被授权用于提供中继服务。

在S522，远端UE向U2N中继发送直连安全机制完成消息。

其中，针对接收到的直连安全机制命令，远端UE向U2N中继发送直连安全机制完成消息(direct security mode complete)。

在S523，U2N中继对远端UE进行验证。

其中，在S522中接收到直连安全机制完成消息之后，U2N中继对直连安全机制完成消息进行验证，以确保远端UE被授权使用中继服务。

在S524，U2N中继向远端UE发送直连通信接受消息。

其中，在S523中完成验证之后，U2N确认远端UE被授权使用中继服务，并向远端UE发送直连通信接受(direct communication accept)消息。

至此，图5所示的中继服务的安全机制的校验流程完成。

基于相同的发明构思，本公开实施例还提供一种中继通信的安全机制校验装置。该装置可以设置在以上所述的中继设备侧或网络功能侧，或者其中的芯片或者片上***，还可以为其中用于实现上述各个实施例所述的方法的功能模块。该装置可以实现上述各实施例中的中继设备或者网络功能功能所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。图6为本公开实施例中的一种中继通信的安全机制校验装置的结构示意图。如图6所示，该装置600可以包括：接收装置610、处理装置620、以及发送装置630。

在一实施例中，图6所示的中继通信的安全机制校验装置可以设置在中继设备。接收装置610配置为接收终端设备发送的第一请求消息，第一请求消息携带有第一信息，第一信息用于指示终端设备的中继服务对应的第一安全机制。处理装置620配置为确定中继设备的中继服务对应的第二安全机制，以及确定第一安全机制与第二安全机制是否匹配。发送装置630配置为根据匹配情况，发送第二消息。

在一些可能的实施方式中，接收模块610可以配置为：接收中继设备关联的核心网功能发送的第二信息，第二信息用于指示中继服务和对应的安全机制；处理模块620可以配置为：根据第二信息，确定第二安全机制。

在一些可能的实施方式中，发送模块630可以配置为：在确定第一安全机制与第二安全机制不匹配的情况下，向终端设备发送第二消息，第二消息用于指示拒绝第一请求消息。

在一些可能的实施方式中，发送模块630可以配置为：在确定第一安全机制与第二安全机制匹配的情况下，向中继设备关联的网络功能发送第二消息，第二消息携带有第三信息，第三信息用于指示中继设备的中继服务对应的第二安全机制。

在一些可能的实施方式中，接收模块610还可以配置为：接收中继设备关联的网络功能发送的第三消息，第三消息用于指示中继设备关联的核心网功能的中继服务对应的第三安全机制与第二安全机制不匹配；发送模块630还可以配置为：根据第三消息，向终端设备发送第二消息，第二消息用于指示拒绝第一请求消息。

在一实施例中，图6所示的中继通信的安全机制校验装置可以设置在网络功能。接收模块610配置为接收第三请求消息，第三请求消息携带有第四信息，第四信息用于指示终端设备的中继服务对应的第一安全机制或中继设备的中继服务对应的第二安全机制。发送模块630配置为根据第四信息，向核心网功能发送第四请求消息，第四请求消息用于请求核心网功能的中继服务对应的第三安全机制。接收模块610还配置为：接收核心网功能发送的第五消息，第五消息用于指示第三安全机制。处理模块620配置为确定第一安全机制或第二安全机制与第三安全机制是否匹配。

在一些可能的实施方式中，发送模块620还可以配置为：在确定第一安全机制或第二安全机制与第三安全机制不匹配的情况下，发送第六消息，第六消息用于指示第一安全机制或第二安全机制与第三安全机制不匹配。

基于相同的发明构思，本公开实施例还提供一种中继通信的安全机制校验装置。该装置可以设置在以上所述的核心网功能，或者其中的芯片或者片上***，还可以为其中用于实现上述各个实施例所述的方法的功能模块。该装置可以实现上述各实施例中核心网功能所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。图7为本公开实施例中的一种中继通信的安全机制校验装置的结构示意图。如图7所示，该装置可以包括：接收装置710、以及发送装置720。

在一实施例中，图7所示的中继通信的安全机制校验装置可以设置在核心网功能。接收装置710配置为接收网络功能发送的第四请求消息，第四请求消息用于请求核心网功能的中继服务对应的第三安全机制。发送装置620配置为响应于第四请求消息，向网络功能发送第五消息，第五消息用于指示第三安全机制。

需要说明的是，接收模块、处理模块和发送模块的具体实现过程可参考图2至图6对应实施例的详细描述，为了说明书的简洁，这里不再赘述。

本公开实施例中提到的接收模块可以为接收接口、接收电路或者接收器等；发送模块可以为发送接口、发送电路或者发送器等；处理模块可以为一个或者多个处理器。

基于相同的发明构思，本公开实施例还提供一种通信***。该通信***包括网络功能和核心网功能。网络功能配置为：根据第四信息，向核心网功能发送第四请求消息，第四信息用于指示终端设备的中继服务对应的第一安全机制或中继设备的中继服务对应的第二安全机制，第四请求消息用于请求核心网功能的中继服务对应的第三安全机制；确定第一安全机制或第二安全机制与第三安全机制是否匹配。核心网功能配置为：根据第四请求消息，向网络功能发送第五消息，第五消息用于指示第三安全机制。

基于相同的发明构思，本公开实施例提供一种电子设备，该电子设备可以为上述一个或者多个实施例中所述的中继设备、网络功能、或者核心网功能。图8为本公开实施例中的一种电子设备的结构示意图。如图8所示，电子设备800，采用了通用的计算机硬件，包括处理器801、存储器802、总线803、输入设备804和输出设备805。

在一些可能的实施方式中，存储器802可以包括以易失性和/或非易失性存储器形式的计算机存储媒体，如只读存储器和/或随机存取存储器。存储器802可以存储操作***、应用程序、其他程序模块、可执行代码、程序数据、用户数据等。

输入设备804可以用于向电子设备输入命令和信息，输入设备804如键盘或指向设备，如鼠标、轨迹球、触摸板、麦克风、操纵杆、游戏垫、***天线、扫描仪或类似设备。这些输入设备可以通过总线803连接至处理器801。

输出设备805可以用于电子设备输出信息，除了监视器之外，输出设备805还可以为其他***输出设各，如扬声器和/或打印设备，这些输出设备也可以通过总线803连接到处理器801。

电子设备可以通过天线806连接到网络中，例如连接到局域网(local area network，LAN)。在联网环境下，控制备中存储的计算机执行指令可以存储在远程存储设备中，而不限于在本地存储。

当电子设备800中的处理器801执行存储器802中存储的可执行代码或应用程序时，电子设备以执行以上实施例中的中继设备侧、网络功能侧、或者核心网功能侧的中继通信的安全机制校验方法，具体执行过程参见上述实施例，在此不再赘述。

此外，上述存储器802中存储有用于实现图6中的接收模块610、处理模块620和发送模块630的功能的计算机执行指令。图6中的接收模块610、处理模块620和发送模块630的功能/实现过程均可以通过图8中的处理器801调用存储器802中存储的计算机执行指令来实现，具体实现过程和功能参考上述相关实施例。

此外，上述存储器802中存储有用于实现图7中的接收模块710和发送模块720的功能的计算机执行指令。图7中的接收模块710和发送模块720的功能/实现过程均可以通过图8中的处理器801调用存储器802中存储的计算机执行指令来实现，具体实现过程和功能参考上述相关实施例。

基于相同的发明构思，本公开实施例提供一种终端设备，该终端设备与上述一个或者多个实施例中的终端设备一致。可选的，终端设备可以为移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

图9为本公开实施例中的一种终端设备的结构示意图。如图9所示，终端设备900可以包括以下一个或多个组件：处理组件901、存储器902、电源组件903、多媒体组件904、音频组件905、输入/输出(I/O)的接口906、传感器组件907以及通信组件908。

处理组件901通常控制终端设备900的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件901可以包括一个或多个处理器910来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件901可以包括一个或多个模块，便于处理组件901和其他组件之间的交互。例如，处理组件901可以包括多媒体模块，以方便多媒体组件904和处理组件901之间的交互。

存储器902被配置为存储各种类型的数据以支持在设备900的操作。这些数据的示例包括用于在终端设备900上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器902可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件903为终端设备900的各种组件提供电力。电源组件903可以包括电源管理***，一个或多个电源，及其他与为终端设备900生成、管理和分配电力相关联的组件。

多媒体组件904包括在终端设备900和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件904包括一个前置摄像头和/或后置摄像头。当设备900处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜***或具有焦距和光学变焦能力。

音频组件905被配置为输出和/或输入音频信号。例如，音频组件905包括一个麦克风(MIC)，当终端设备900处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器902或经由通信组件908发送。在一些实施例中，音频组件905还包括一个扬声器，用于输出音频信号。

I/O接口906为处理组件901和***接口模块之间提供接口，上述***接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件907包括一个或多个传感器，用于为终端设备900提供各个方面的状态评估。例如，传感器组件907可以检测到设备900的打开/关闭状态，组件的相对定位，例如组件为终端设备900的显示器和小键盘，传感器组件907还可以检测终端设备900或终端设备900一个组件的位置改变，用户与终端设备900接触的存在或不存在，终端设备900方位或加速/减速和终端设备900的温度变化。传感器组件907可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件907还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件907还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件908被配置为便于终端设备900和其他设备之间有线或无线方式的通信。终端设备900可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G或4G或5G或未来演进版本，或它们的组合。在一个示例性实施例中，通信组件908经由广播信道接收来自外部广播管理***的广播信号或广播相关信息。在一个示例性实施例中，通信组件908还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，终端设备900可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

基于相同的发明构思，本公开实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令；当指令在计算机上运行时，用于执行上述一个或者多个实施例中的中继设备侧、网络功能侧或者核心网功能侧的中继通信的安全机制校验方法。

基于相同的发明构思，本公开实施例还提供一种计算机程序或计算机程序产品，当计算机程序产品在计算机上被执行时，使得计算机实现上述一个或者多个实施例中的中继设备侧、网络功能侧或者核心网功能侧的中继通信的安全机制校验方法。

本领域技术人员在考虑说明书及实践本公开后，将容易想到本公开的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开中未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims

一种中继通信的安全机制校验方法，应用于中继设备，并且包括：

接收终端设备发送的第一请求消息，所述第一请求消息携带有第一信息，所述第一信息用于指示所述终端设备的中继服务对应的第一安全机制；

确定与所述中继设备的所述中继服务对应的第二安全机制；

确定所述第一安全机制与所述第二安全机制是否匹配；

根据匹配情况，发送第二消息。
根据权利要求1所述的方法，其中，所述第一信息包括所述中继服务的中继服务代码RSC以及所述第一安全机制对应的密钥参数。
根据权利要求1所述的方法，其中，所述第一安全机制为基于控制面的安全机制或基于用户面的安全机制，所述第二安全机制为基于用户面的安全机制。
根据权利要求1所述的方法，其中，所述确定所述中继设备的所述中继服务对应的第二安全机制，包括：

接收所述中继设备关联的核心网功能发送的第二信息，所述第二信息用于指示所述中继服务和对应的安全机制；

根据所述第二信息，确定所述第二安全机制。
根据权利要求1所述的方法，其中，所述根据匹配情况，发送第二消息，包括：

在确定所述第一安全机制与所述第二安全机制不匹配的情况下，向所述终端设备发送所述第二消息，所述第二消息用于指示拒绝所述第一请求消息。
根据权利要求1所述的方法，其中，所述根据所述匹配情况，发送第二消息包括：

在确定所述第一安全机制与所述第二安全机制匹配的情况下，向所述中继设备关联的网络功能发送所述第二消息，所述第二消息携带有第三信息，所述第三信息用于指示所述中继设备的所述中继服务对应的第二安全机制。
根据权利要求6所述的方法，其中，所述第三信息包括所述中继服务的中继服务代码RSC以及所述第二安全机制对应的密钥参数。
根据权利要求6所述的方法，其中，在所述向第一网络功能发送第二消息之后，所述方法还包括：

接收所述中继设备关联的网络功能发送的第三消息，所述第三消息用于指示所述中继设备关联的核心网功能中所述中继服务对应的第三安全机制与所述第二安全机制不匹配；

根据所述第三消息，向所述终端设备发送所述第二消息，所述第二消息用于指示拒绝所述第一请求消息。
一种中继通信的安全机制校验方法，应用于网络功能，并且包括：

接收第三请求消息，所述第三请求消息携带有第四信息，所述第四信息用于指示终端设备的中继服务对应的第一安全机制或中继设备的所述中继服务对应的第二安全机制；

根据所述第四信息，向核心网功能发送第四请求消息，所述第四请求消息用于请求所述核心网功能中所述中继服务对应的第三安全机制；

接收所述核心网功能发送的第五消息，所述第五消息用于指示所述第三安全机制；

确定所述第一安全机制或所述第二安全机制与所述第三安全机制是否匹配。
根据权利要求9所述的方法，其中，所述第四信息包括所述中继服务的中继服务代码RSC以及所述第一安全机制对应的密钥参数，或所述第四信息包括所述中继服务的RSC以及所述第二安全机制对应的密钥参数。
根据权利要求9所述的方法，其中，所述第四请求消息携带有所述中继服务的RSC。
根据权利要求9所述的方法，其中，所述第一安全机制为基于控制面的安全机制或基于用户面的安全机制，所述第三安全机制为基于用户面的安全机制。
根据权利要求9所述的方法，其中，所述方法还包括：

在确定所述第一安全机制或所述第二安全机制与所述第三安全机制不匹配的情况下，发送第六消息，所述第六消息用于指示所述第一安全机制或所述第二安全机制与所述第三安全机制不匹配。
根据权利要求9所述的方法，其中，所述网络功能为所述中继设备关联的基于邻近服务密钥管理功能PKMF，所述核心网功能为所述中继设备关联的策略控制功能PCF。
根据权利要求9所述的方法，其中，所述网络功能为所述终端设备关联的PKMF，所述核心网功能为所述终端设备关联的PCF。
一种中继通信的安全机制校验方法，应用于核心网功能，并且包括：

接收网络功能发送的第四请求消息，所述第四请求消息用于请求所述核心网功能的中继服务对应的第三安全机制；

响应于所述第四请求消息，向所述网络功能发送第五消息，所述第五消息用于指示所述第三安全机制。
根据权利要求16所述的方法，其中，所述第四请求消息携带有所述中继服务的中继服务代码RSC。
根据权利要求16所述的方法，其中，所述第三安全机制为基于用户面的安全机制。
根据权利要求16所述的方法，其中，所述网络功能为所述中继设备关联的PKMF，所述核心网功能为所述中继设备关联的PCF。
根据权利要求16所述的方法，其中，所述网络功能为所述终端设备关联的PKMF，所述核心网功能为所述终端设备关联的PCF。
一种中继通信的安全机制校验装置，设置于中继设备，并且包括：

接收模块，配置为接收终端设备发送的第一请求消息，所述第一请求消息携带有第一信息，所述第一信息用于指示所述终端设备的中继服务对应的第一安全机制；

处理模块，配置为确定所述中继设备的所述中继服务对应的第二安全机制，确定所述第一安全机制与所述第二安全机制是否匹配；

发送模块，配置为根据匹配情况，发送第二消息。
一种中继通信的安全机制校验装置，设置于网络功能，并且包括：

接收模块，配置为接收第三请求消息，所述第三请求消息携带有第四信息，所述第四信息用于指示终端设备的中继服务对应的第一安全机制或中继设备的所述中继服务对应的第二安全机制；

发送模块，配置为根据所述第四信息，向核心网功能发送第四请求消息，所述第四请求消息用于请求所述核心网功能中所述中继服务对应的第三安全机制；

其中，所述接收模块还配置为：接收所述核心网功能发送的第五消息，所述第五消息用于指示所述第三安全机制；

处理模块，配置为确定所述第一安全机制或所述第二安全机制与所述第三安全机制是否匹配。
一种中继通信的安全机制校验装置，设置于核心网功能，并且包括：

接收模块，配置为接收网络功能发送的第四请求消息，所述第四请求消息用于请求所述核心网功能的中继服务对应的第三安全机制；

发送模块，配置为向所述网络功能发送第五消息，所述第五消息用于指示所述第三安全机制。
一种通信***，包括：

网络功能，配置为：

根据第四信息，向核心网功能发送第四请求消息，所述第四信息用于指示终端设备的中继服务对应的第一安全机制或中继设备的所述中继服务对应的第二安全机制，所述第四请求消息用于请求所述核心网功能中所述中继服务对应的第三安全机制；

确定所述第一安全机制或所述第二安全机制与所述第三安全机制是否匹配；

核心网功能，配置为：

响应于所述第四请求消息，向所述网络功能发送第五消息，所述第五消息用于指示所述第三安全机制。
一种终端设备，包括：存储器；处理器，与所述存储器连接，被配置为执行存储在所述存储器上的计算机可执行指令，以实现如权利要求1至20中任一项所述的方法。
一种计算机存储介质，其中，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令被处理器执行后能够实现如权利要求1至20中任一项所述的方法。