一种中继通信方法、通信装置及通信设备

本公开涉及无线通信技术领域，尤其涉及一种中继通信方法、通信装置及通信设备。

在第五代移动网络(5th generation mobile networks，5G)技术中，近邻服务(proximity based services，ProSe)使对等终端能够通过终端到终端中继相互通信。这种技术可以称为终端到终端中继(5G ProSe UE-to-UE Relay)。这意味着，如果源终端不能直接到达目标终端，源终端将尝试发现一个中继终端以到达目标终端，这也可能触发中继发现目标终端。事实上，作为不受信任节点的中继终端可能会受到损害，从而使对等终端之间的信息的安全性(即完整性和机密性)受到损害。

那么，如何提供终端到终端的安全中继通信是一个亟待解决的技术问题。

发明内容

本公开提供了一种中继通信方法、通信装置及通信设备，以提供终端到终端的安全中继通信。

根据本公开的第一方面提供一种中继通信方法，该方法可以应用于通信系统中的中继终端。该方法可以包括：中继终端接收来自第一远程终端发送的第一直连通信请求消息；中继终端根据第一长期凭证，与第一远程终端建立安全的第一直连通信链路，第一长期凭证是由网络设备对中继终端鉴权通过时向中继终端发送的；其中，第一直连通信链路用于传输第一远程终端与第二远程终端之间的传输信息。

在一些可能的实施方式中，第一远程终端和第二远程终端为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，第一直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中还包括以下至少之一：第一远程终端的安全能力信息，第一远程终端的安全能力信息用于指示第一远程终端支持的安全算法；中继服务代码；近邻服务代码；第一随机数。

在一些可能的实施方式中，方法还包括：中继终端向网络设备发送第一请求消息，第一请求消息携带有第一长期凭证标识；中继终端接收来自网络设备的第一响应消息，第一响应消息携带有第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中携带有用于第一共享密钥标识；方法还包括：中继终端根据第一共享密钥标识，确定第一共享密钥，第一共享密钥用于中继终端与第一远程终端之间的安全通信。

在一些可能的实施方式中，方法包括：中继终端确定第一共享密钥有效。

在一些可能的实施方式中，方法还包括：中继终端向第二远程终端发送第二直连通信请求消息；中 继终端根据第一长期凭证，与第二远程终端建立安全的第二直连通信链路；其中，第二直连通信链路用于传输传输信息。

在一些可能的实施方式中，第二直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第二直连通信请求消息中携带有中继终端的安全能力信息，中继终端的安全能力信息用于指示中继终端支持的安全算法。

在一些可能的实施方式中，第二直连通信请求消息中还包括以下至少之一：中继服务代码；近邻服务代码；第二随机数。

在一些可能的实施方式中，方法还包括：中继终端确定存在第二共享密钥，第二共享密钥用于中继终端与第二远程终端之间的安全通信；中继终端将第二共享密钥标识承载于第二直连通信请求消息进行发送，第二共享密钥标识用于标识第二共享密钥。

在一些可能的实施方式中，中继终端确定存在第二共享密钥，包括：中继终端确定存在有效的第二共享密钥。

在一些可能的实施方式中，方法还包括：中继终端接收第二远程终端的第二直连通信接受消息；中继终端向第一远程终端发送第一直连通信接受消息。

在一些可能的实施方式中，中继终端的标识为以下之一：中继终端的近邻服务应用标识；中继终端的终端标识。

根据本公开的第二方面提供一种中继通信方法，该方法可以应用于该方法可以应用于通信系统中的第一远程终端。该方法包括：第一远程终端向中继终端发送第一直连通信请求消息，中继终端具有第一长期凭证，第一长期凭证是由网络设备对中继终端鉴权通过时向中继终端发送的；第一远程终端与中继终端建立安全的第一直连通信链路，第一直连通信链路用于传输第一远程终端与第二远程终端之间的传输信息。

在一些可能的实施方式中，第一远程终端和第二远程终端为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，方法还包括：第一远程终端发现第二远程终端，并选择中继终端。

在一些可能的实施方式中，第一直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中还包括以下至少之一：第一远程终端的安全能力信息，第一远程终端的安全能力信息用于指示第一远程终端支持的安全算法；中继服务代码；近邻服务代码；第一随机数。

在一些可能的实施方式中，方法还包括：第一远端终端确定存在第一共享密钥，第一共享密钥用于中继终端与第一远程终端之间的安全通信；中继终端将第一共享密钥标识承载于第一直连通信请求消息进行发送，第一共享密钥标识用于标识第一共享密钥。

在一些可能的实施方式中，第一远端终端确定存在第一共享密钥，包括：中继终端确定存在有效的第一共享密钥。

在一些可能的实施方式中，方法还包括：第一远程终端接收中继终端发送的第一直连通信接受消 息。

根据本公开的第三方面提供一种中继通信方法，该方法可以应用于该方法可以应用于通信系统中的网络设备。该方法包括：第二远程终端接收中继终端发送第二直连通信请求消息，中继终端具有第一长期凭证，第一长期凭证是由网络设备对中继终端鉴权通过时向中继终端发送的；第二远程终端与中继终端建立安全的第二直连通信链路，第二直连通信链路用于传输第二远程终端与第一远程终端之间的传输信息。

在一些可能的实施方式中，第一远程终端和第二远程终端为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，方法还包括：第二远程终端发现第一远程终端，并选择中继终端。

在一些可能的实施方式中，第二直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第二直连通信请求消息中携带有中继终端的安全能力信息，中继终端的安全能力信息用于指示中继终端支持的安全算法。

在一些可能的实施方式中，第二直连通信请求消息中还包括以下至少之一：中继服务代码；近邻服务代码；第二随机数。

在一些可能的实施方式中，第二直连通信请求消息中携带有用于第二共享密钥标识；方法还包括：第二远程终端根据第二共享密钥标识，确定第二共享密钥，第二共享密钥用于第二远程终端与中继终端之间的安全通信。

在一些可能的实施方式中，方法还包括：第二远程终端确定第二共享密钥有效。

在一些可能的实施方式中，方法还包括：第二远程终端向中继终端发送第二直连通信接受消息。

根据本公开的第四方面提供一种中继通信方法，该方法可以应用于该方法可以应用于通信系统中的网络设备。该方法包括：网络设备接收第一请求消息，第一请求消息用于请求第一长期凭证；网络设备对中继终端进行鉴权；在鉴权通过的情况下，网络设备向中继终端发送第一长期凭证；其中，第一长期凭证用于中继终端与对等的第一远程终端和第二远程终端建立安全的直连通信链路，直连通信链路用于中继第一远程终端与第二远程终端之间的传输信息。

在一些可能的实施方式中，方法还包括：网络设备为第一远程终端和第二远程终端设置第一长期凭证；网络设备分别向第一远程终端和第二远程终端发送第一长期凭证标识以及第一长期凭证，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，网络设备对中继终端进行鉴权，包括：网络设备确定中继终端是否被授权提供基于近邻服务订阅数据的中继服务。

在一些可能的实施方式中，网络设备确定中继终端是否被授权提供基于近邻服务订阅数据的中继服务，包括：网络设备向中继终端的统一数据管理功能(unified data management，UDM)实体请求中继终端的签约信息，签约信息用于表示中继终端是否被授权提供中继服务；网络设备接收UDM实体发送的签约信息；网络设备根据签约信息，确定中继终端是否被授权提供中继服务。

在一些可能的实施方式中，网络设备确定中继终端是否被授权提供基于近邻服务订阅数据的中继服务，包括：网络设备确定本地是否存储有中继终端的授权信息，授权信息用于表示中继终端被授权提 供中继服务。

在一些可能的实施方式中，方法还包括：网络设备由近邻服务应用服务器获得第一长期凭证，或网络设备获得本地存储第一长期凭证。

根据本公开的第五方面提供一种通信装置，该通信装置可以为通信系统中的中继终端或者中继终端的芯片或者片上系统，还可以为中继终端中用于实现上述各个实施例所述的方法的功能模块。该通信装置可以实现上述各实施例中中继终端所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。该装置可以包括：接收模块，被配置为接收来自第一远程终端发送的第一直连通信请求消息；处理模块，被配置为根据第一长期凭证，与第一远程终端建立安全的第一直连通信链路，第一长期凭证是由网络设备对中继终端鉴权通过时向中继终端发送的；其中，第一直连通信链路用于传输第一远程终端与第二远程终端之间的传输信息。

在一些可能的实施方式中，第一远程终端和第二远程终端为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，第一直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中还包括以下至少之一：第一远程终端的安全能力信息，第一远程终端的安全能力信息用于指示第一远程终端支持的安全算法；中继服务代码；近邻服务代码；第一随机数。

在一些可能的实施方式中，装置还包括：发送模块，被配置为向网络设备发送第一请求消息，第一请求消息携带有第一长期凭证标识；接收模块，被配置为接收来自网络设备的第一响应消息，第一响应消息携带有第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中携带有用于第一共享密钥标识；处理模块，被配置为根据第一共享密钥标识，确定第一共享密钥，第一共享密钥用于中继终端与第一远程终端之间的安全通信。

在一些可能的实施方式中，处理模块，被配置为确定第一共享密钥有效。

在一些可能的实施方式中，装置还包括：发送模块，被配置为向第二远程终端发送第二直连通信请求消息；处理模块，被配置为根据第一长期凭证，与第二远程终端建立安全的第二直连通信链路；其中，第二直连通信链路用于传输传输信息。

在一些可能的实施方式中，第二直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第二直连通信请求消息中携带有中继终端的安全能力信息，中继终端的安全能力信息用于指示中继终端支持的安全算法。

在一些可能的实施方式中，第二直连通信请求消息中还包括以下至少之一：中继服务代码；近邻服务代码；第二随机数。

在一些可能的实施方式中，处理模块，被配置为确定存在第二共享密钥，第二共享密钥用于中继终端与第二远程终端之间的安全通信；发送模块，被配置为将第二共享密钥标识承载于第二直连通信请求消息进行发送，第二共享密钥标识用于标识第二共享密钥。

在一些可能的实施方式中，处理模块，被配置为确定存在有效的第二共享密钥。

在一些可能的实施方式中，装置还包括：发送模块；接收模块，被配置为接收第二远程终端的第二直连通信接受消息；发送模块，被配置为向第一远程终端发送第一直连通信接受消息。

在一些可能的实施方式中，中继终端的标识为以下之一：中继终端的近邻服务应用标识；中继终端的终端标识。

根据本公开的第六方面提供一种通信装置，该通信装置可以为通信系统中的第一远程终端或者第一远程终端的芯片或者片上系统，还可以为第一远程终端中用于实现上述各个实施例所述的方法的功能模块。该通信装置可以实现上述各实施例中第一远程终端所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。该装置可以包括：发送模块，被配置为向中继终端发送第一直连通信请求消息，中继终端具有第一长期凭证，第一长期凭证是由网络设备对中继终端鉴权通过时向中继终端发送的；处理模块，被配置为与中继终端建立安全的第一直连通信链路，第一直连通信链路用于传输第一远程终端与第二远程终端之间的传输信息。

在一些可能的实施方式中，第一远程终端和第二远程终端为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，处理模块，还被配置为发现第二远程终端，并选择中继终端。

在一些可能的实施方式中，第一直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中还包括以下至少之一：第一远程终端的安全能力信息，第一远程终端的安全能力信息用于指示第一远程终端支持的安全算法；中继服务代码；近邻服务代码；第一随机数。

在一些可能的实施方式中，装置还包括：处理模块，被配置为确定存在第一共享密钥，第一共享密钥用于中继终端与第一远程终端之间的安全通信；发送模块，被配置为将第一共享密钥标识承载于第一直连通信请求消息进行发送，第一共享密钥标识用于标识第一共享密钥。

在一些可能的实施方式中，处理模块，被配置为确定存在有效的第一共享密钥。

在一些可能的实施方式中，装置还包括：接收模块，被配置为接收中继终端发送的第一直连通信接受消息。

根据本公开的第七方面提供一种通信装置，该通信装置可以为通信系统中的第二远程终端或者第二远程终端的芯片或者片上系统，还可以为第二远程终端中用于实现上述各个实施例所述的方法的功能模块。该通信装置可以实现上述各实施例中第二远程终端所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。该装置可以包括：接收模块，被配置为接收中继终端发送第二直连通信请求消息，中继终端具有第一长期凭证，第一长期凭证是由网络设备对中继终端鉴权通过时向中继终端发送的；处理模块，被配置为与中继终端建立安全的第二直连通信链路，第二直连通信链路用于传输第二远程终端与第一远程终端之间的传输信息。

在一些可能的实施方式中，第一远程终端和第二远程终端为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，处理模块，还被配置为发现第一远程终端，并选择中继终端。

在一些可能的实施方式中，第二直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用 于标识第一长期凭证。

在一些可能的实施方式中，第二直连通信请求消息中携带有中继终端的安全能力信息，中继终端的安全能力信息用于指示中继终端支持的安全算法。

在一些可能的实施方式中，第二直连通信请求消息中还包括以下至少之一：中继服务代码；近邻服务代码；第二随机数。

在一些可能的实施方式中，第二直连通信请求消息中携带有用于第二共享密钥标识；处理模块，还被配置为根据第二共享密钥标识，确定第二共享密钥，第二共享密钥用于第二远程终端与中继终端之间的安全通信。

在一些可能的实施方式中，处理模块，还被配置为确定第二共享密钥有效。

在一些可能的实施方式中，装置还包括：发送模块，被配置为向中继终端发送第二直连通信接受消息。

根据本公开的第八方面提供一种通信装置，该通信装置可以为通信系统中的网络设备或者网络设备的芯片或者片上系统，还可以为网络设备中用于实现上述各个实施例所述的方法的功能模块。该通信装置可以实现上述各实施例中网络设备所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。该装置可以包括：接收模块，被配置为接收第一请求消息，第一请求消息用于请求第一长期凭证；处理模块，被配置为网络设备对中继终端进行鉴权；发送模块，被配置为在鉴权通过的情况下，网络设备向中继终端发送第一长期凭证；其中，第一长期凭证用于中继终端与对等的第一远程终端和第二远程终端建立安全的直连通信链路，直连通信链路用于中继第一远程终端与第二远程终端之间的传输信息；

在一些可能的实施方式中，处理模块，被配置为为第一远程终端和第二远程终端设置第一长期凭证；发送模块，被配置为分别向第一远程终端和第二远程终端发送第一长期凭证标识以及第一长期凭证，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，处理模块，被配置为确定中继终端是否被授权提供基于近邻服务订阅数据的中继服务。

在一些可能的实施方式中，发送模块，被配置为向中继终端的UDM实体请求中继终端的签约信息，签约信息用于表示中继终端是否被授权提供中继服务；接收模块，被配置为接收UDM实体发送的签约信息；处理模块，被配置为根据签约信息，确定中继终端是否被授权提供中继服务。

在一些可能的实施方式中，处理模块，被配置为确定本地是否存储有中继终端的授权信息，授权信息用于表示中继终端被授权提供中继服务。

在一些可能的实施方式中，处理模块，被配置为由近邻服务应用服务器获得第一长期凭证，或获得本地存储第一长期凭证。

根据本公开的第九方面提供一种通信设备，如中继终端，包括：存储器和处理器；处理器与存储器连接，被配置为通执行存储在存储器上的计算机可执行指令，以实现如上述第一方面及其任一可能的实施方式所述的中继通信方法。

根据本公开的第十方面提供一种通信设备，如第一远程终端，包括：存储器和处理器；处理器与 存储器连接，被配置为通执行存储在存储器上的计算机可执行指令，以实现如上述第二方面及其任一可能的实施方式所述的中继通信方法。

根据本公开的第十一方面提供一种通信设备，如第二远程终端，包括：存储器和处理器；处理器与存储器连接，被配置为通执行存储在存储器上的计算机可执行指令，以实现如上述第三方面及其任一可能的实施方式所述的中继通信方法。

根据本公开的第十二方面提供一种通信设备，如网络设备，包括：存储器和处理器；处理器与存储器连接，被配置为通执行存储在存储器上的计算机可执行指令，以实现如上述第四方面及其任一可能的实施方式所述的中继通信方法。

根据本公开的第十三方面提供一种计算机可读存储介质，计算机可读存储介质中存储有指令；当指令在计算机上运行时，用于执行如上述第一至四方面及其任一可能的实施方式所述的中继通信方法。

根据本公开的第十四方面提供一种计算机程序或计算机程序产品，当计算机程序产品在计算机上被执行时，使得计算机实现如上述第一至四方面及其任一可能的实施方式所述的中继通信方法。

在本公开中，中继UE通过分别与对等UEs建立安全的直连通信链路，在UE1和UE2之间建立安全的层3(L3)U2U链路，以实现5G ProSe U2U Relay。

应当理解的是，本公开的第五至十四方面与本公开的第一至四方面的技术方案一致，各方面及对应的可行实施方式所取得的有益效果相似，不再赘述。

图1为本公开实施例中的一种通信系统的示意图；

图2为本公开实施例中的直连单播链路的密钥层次结构示意图；

图3为本公开实施例中的第一种中继通信方法的实施流程示意图；

图4为本公开实施例中的一种中继UE与UE1建立安全的直连通信链路的实施流程示意图；

图5为本公开实施例中的一种中继UE与UE2建立安全的直连通信链路的实施流程示意图；

图6为本公开实施例中的一种中继UE向网络设备请求长期凭证的实施流程示意图；

图7为本公开实施例中的第二种中继通信方法的实施流程示意图；

图8为本公开实施例中的中继UE侧的中继通信方法的实施流程示意图；

图9为本公开实施例中的UE1侧的中继通信方法的实施流程示意图；

图10为本公开实施例中的UE2侧的中继通信方法的实施流程示意图；

图11为本公开实施例中的网络设备侧的中继通信方法的实施流程示意图；

图12为本公开实施例中的一种通信装置的结构示意图；

图13为本公开实施例中的一种通信设备的结构示意图；

图14为本公开实施例中的一种终端设备的结构示意图；

图15为本公开实施例中的一种网络设备的结构示意图。

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系。例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本公开的描述中，“多个”是指两个或多于两个。

应当理解，尽管在本公开实施例可能采用术语“第一”、“第二”、“第三”等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，“第一信息”也可以被称为“第二信息”，类似地，“第二信息”也可以被称为“第一信息”。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

5G(第五代移动通信技术)网络中定义了5G ProSe终端到终端中继(5G ProSe UE-to-UE Relay，简称为5G ProSe U2U Relay)技术，中继终端提供中继功能以支持5G ProSe远程终端之间的连接。

在本公开实施例中，远程终端为对等终端，网络为对等终端配置相同的长期凭证以及长期凭证标识。

本公开实施例提供一种通信系统。该通信系统可以为基于蜂窝移动通信技术的通信系统，如5G(第五代移动通信技术)系统。图1为本公开实施例中的一种通信系统的示意图，参见图1，该通信系统100可以包括：第一远程(remote)终端101、终端到终端中继(UE-to-UE Relay，简称为U2U Relay)102、第二远程(remote)终端103。这里，终端到终端中继(UE-to-UE Relay)102可以采用中继(relay)终端实现的。可选的，第一远程终端101、UE-to-UE Relay 102以及第二远程终端103之间存在PC5接口。

其中，上述远程UE和中继UE可以为一种具有无线通信功能的终端，可以部署在陆地上，包括室内或室外、手持、可穿戴或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。上述终端可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端装置、增强现实(augmented reality，AR)终端装置、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。终端也可以是具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备等。在不同的网络中终端装置可以叫做不同的名称，例如：终端装置、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置、蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol，SIP)电话、无线本地环路(wireless local loop， WLL)站、个人数字处理(personal digital assistant，PDA)、5G网络或未来演进网络中的终端等。在本公开实施例中，终端可以称为用户设备(user equipment，UE)。

进一步地，上述通信系统还可以包括网络设备104，网络设备104可以为远程UE以及中继UE进行安全性配置，如配置密钥等。这里，网络设备104可以为包括以下之一：策略控制功能(policy control function，PCF)实体、5G直连发现名称管理功能(direct discovery name management function，DDNMF)实体、5G近邻服务密钥管理功能(ProSe key management function，PKMF)实体、ProSe应用服务器(Prose Application Server)。可以理解的，上述网络设备104可以设置于5G核心网(5GC)中。当然，网络设备104还可以包括上述功能实体的各种演进版本，以及能够实现上述功能的其他功能实体，本公开实施例对此不做具体限定。

需要说明的是，上述各通信设备的功能以及接口仅为示例性的，各个网络设备在应用于本公开实施例中时，并非全部功能都是必需的。核心网的全部或者部分设备可以是物理上的设备，也可以是虚拟化的设备，在此不做限定。当然，本公开实施例中的通信系统还可以包括未在图1中示出的其他设备，在此不做限定。

目前，在上述通信系统中，ProSe使对等终端(即peer UEs)能够通过5G ProSe UE-to-UE Relay相互通信。这意味着，如果源终端(即source UE)不能直接到达目标终端(即target UE)，source UE将尝试发现一个中继终端(relay UE)以到达target UE，这也触发relay UE发现target UE。但是，作为不受信任节点的relay UE可能会受到损害，从而使peer UEs之间的信息的安全性(即完整性和机密性)受到损害。那么，如何提供安全的5G ProSe UE-to-UE Relay是一个亟待解决的技术问题。

为了解决上述问题，本公开实施例提供一种中继通信方法，该通信方法可以应用于上述通信系统。

在本公开实施例中，第一远程终端和第二远程终端为peer UEs，可以记为UE1和UE2。其中，UE1为source UE，UE2为target UE。网络设备可以为中继UE、UE1或UE2的PKMF实体、5G DDNMF实体等。其中，5G DDNMF实体可以包括中继UE的DDNMF实体、UE1的DDNMF实体或者UE2的DDNMF实体。

在一些可能的实施方式中，网络设备(如5G DDNMF实体或PKMF实体)可以预先为对等的UE1和UE2配置相同的长期凭证(long term credential)以及用于表示长期凭证的长期凭证标识(long term credential ID)。长期凭证为UE1和UE2的根密钥，用于生成安全通信机制中的后续密钥。例如，UE1的DDNMF实体为UE1配置长期凭证标识a以及对应的长期凭证A，同样的，UE2的DDNMF实体为UE2配置长期凭证标识a以及对应的长期凭证A。这里，“长期凭证”也可以描述为“长期证书”、“长期密钥”等。

在另一些可能的实施方式中，UE1和UE2可以在出厂时预置相同的上述长期凭证以及上述长期凭证标识。

图2为本公开实施例中的直连单播链路的密钥层次结构示意图，参见图2，不同的密钥层次如下：

长期凭证，是提供给UE并构成直连单播链路安全通信机制的根凭证。该长期凭证可以包括对称密钥或公钥/私钥对。认证信令(authentication signalling)在UEs之间交换以导出K

K

K

NRPEK和NRPIK，是直连单播通信的加密性密钥(NRPEK)和直连单播通信的完整性密钥(NRPIK)，分别用于选择的机密性和完整性算法中，用于保护PC5-S信令、PC5无线资源控制(radio resource control，RRC)信令、PC5用户平面数据等。NRPEK和NRPIK派生自K

下面结合上述通信系统对本公开实施例提供的中继通信方法进行说明。

需要说明的是，UE1和UE2与中继UE首先使用发现参数和发现安全材料执行发现(discovery)和中继选择(relay selection)过程，然后，再执行建立直连通信链路的过程。假设，UE1和UE2在发现和中继选择过程后，已发现对方并选择了同一个U2U Relay，即UE1和UE2选择同一中继UE。然后，UE1和UE2之间建立U2U Relay链路。

图3为本公开实施例中的第一种中继通信方法的实施流程示意图，参见图3中实线，该通信方法可以包括：

S301，UE 1向中继UE发送第一直连通信请求消息(如Direct Connection Request 1)。

其中，第一直连通信请求消息中可以携带有第一长期凭证标识(如长期凭证标识a)，长期凭证标识a用于标识长期凭证A，长期凭证A能够为中继UE、UE1以及UE2提供用于安全通信共享密钥，如K

应理解的，UE1在需要向UE2发送传输信息时，UE1可以向中继UE发送第一直连通信请求消息，以请求与中继UE请求直连通信链路，进而触发与UE2进行直连通信。

在一些可能的实施方式中，第一直连通信请求消息中还可以包括以下至少之一：UE1的安全能力信息(security capabilities)、中继服务代码(relay service code，RSC)、近邻服务代码(ProSe code)以及随机数1(即第一随机数，可以记为nonce 1)。其中，UE1的安全能力信息用于指示UE1支持的安全算法。中继UE能够根据UE1的安全能力信息和自身的安全策略，确定选择的安全算法，以供后续对中继UE与UE1之间的信令进行完整性和/或机密性的验证。

S302，中继UE根据长期凭证A，与UE1建立安全的直连通信链路。

应理解的，中继UE通过S301接受到长期凭证标识a后，可以获得长期凭证A。然后，中继UE根据长期凭证A分别与UE1建立安全的直连通信链路(即第一直连通信链路，也可以记为直连通信链路A)，以及根据长期凭证A与UE2建立安全直连通信链路(即第二直连通信链路，也可以记为直连通信链路B)。

在一实施例中，参见图3中虚线，在S302之后，上述方法还包括S303至S304。

S303，中继UE向UE2发送第二直连通信请求消息(如Direct Connection Request 2)。

应理解的，与第一直连通信请求消息类似，第二直连通信请求消息可以携带有长期凭证标识a。

在一实施例中，第二直连通信请求消息中还可以包括以下至少之一：中继UE的安全能力信息、RSC、ProSe Code、随机数3(即第二随机数，可以记为nonce 3)。其中，中继UE的安全能力信息用于指示中继UE支持的安全算法。UE2能够根据中继UE的安全能力信息和自身的安全策略，确定选择的安全算法，以供后续对中继UE与UE2之间的信令进行完整性和/或机密性的验证。

S304，UE2根据长期凭证A，与中继UE建立安全的直连通信链路。

应理解的，中继UE在与UE1建立直连通信链路A之后，向UE2发送第二直连通信请求消息，以触发中继UE与UE2建立直连通信链路B的过程。UE2根据长期凭证标识a，获得长期凭证A，进而与中继UE建立安全的直连通信链路B。

在一些可能的实施方式中，上述长期凭证A可以是由网络设备(如中继UE的DDNMF或PKMF)对中继UE鉴权通过时向中继UE发送的。示例性的，中继UE在S301之前建立过同业务类型的直连通信链路，该直连通信链路使用与S301中相同的长期凭证A，那么，在上次建立直连通信链路的过程中，中继UE可以获得网络设备在对中继UE鉴权通过后发送的长期凭证A，并保存。那么，在S301之后，中继UE可以根据长期凭证A分别与UE1和UE2建立安全的直连通信链路。或者，中继UE在S301之后，向网络设备请求长期凭证A，并获得网络设备在对中继UE鉴权通过后发送的长期凭证A。接下来，中继UE可以根据长期凭证A分别与UE1和UE2建立安全的直连通信链路。

在上述S302和S304中，中继UE、UE1以及UE2采用长期凭证A派生(derive)用于安全通信的共享密钥K(即第一共享密钥)和K'(即第二共享密钥)。其中，共享密钥K用于UE1与中继UE之间的安全通信，共享密钥K'用于UE2与中继UE之间的安全通信。示例性的，共享密钥K可以为K

需要说明的是，由于UE1和UE2的安全能力不同、支持的安全策略不同等因素，共享密钥K与共享密钥K'可以相同，也可以不同。

在一些可能的实施方式中，图4为本公开实施例中的一种中继UE与UE1建立安全的直连通信链路的实施流程示意图，参见图4，上述S302可以包括S401至S403。

S401，中继UE向UE1发送第一直连安全模式命令消息(如Direct Security Mode Command message 1)。

其中，第一直连安全模式命令消息携带有选择的安全算法(Chosen_algs)以及随机数2(可以记为nonce 2)。这里，Chosen_algs是中继UE根据UE1的安全能力以及中继UE的直连通信链路安全策略确定的。

这里，直连通信链路安全策略可以为以下之一：直连通信链路的控制面机密性安全策略、直连通信链路的控制面完整性安全策略、直连通信链路的用户面机密性安全策略或者直连通信链路的用户面 完整性安全策略。

在一实施例中，上述安全策略可以分为开启(required)、不开启(not needed)和可选(preferred)三种。“required”为需要开启安全，“not needed”为不需要开启安全，“preferred”偏好开启或者称为可选开启，即可以开启安全但也可以不开启安全，在此统一说明，以下不再赘述。

示例性的，以直连通信链路的控制面机密性安全策略为例，直连通信链路的控制面机密性安全策略包括：直连通信链路的控制面机密性保护开启(required)、直连通信链路的控制面机密性保护不开启(not needed)、或者直连通信链路的控制面机密性保护可选(preferred)。直连通信链路的控制面完整性安全策略、直连通信链路的用户面机密性安全策略以及直连通信链路的用户面完整性安全策略的示例可参考直连通信链路的控制面机密性保护策略的示例，在此不再赘述。

S402，UE1基于选择的安全策略，对第一直连安全模式命令消息进行完整性验证。

应理解的，UE1响应第一直连安全模式命令消息，根据选择的安全算法(Chosen_algs)以及随机数2，对第一直连安全模式命令消息进行进行完整性验证，并在验证通过的情况下，执行S403。

S403，UE1向中继UE发送第一直连安全模式完成消息(如Direct Security Mode Complete message 1)。

需要说明的是，在上述S403之后，中继UE并不向UE1发送第一直连通信请求消息的响应消息，如第一直连通信接受消息，而是直接发起与UE2建立直连通信链路B的过程。

在一些可能的实施方式中，与上述S401至S403类似，图5为本公开实施例中的一种中继UE与UE2建立安全的直连通信链路的实施流程示意图，参见图5，上述S304可以包括S501至S503。

S501，UE2向中继UE发送第二直连安全模式命令消息(如Direct Security Mode Command message 2)。

其中，第二直连安全模式命令消息携带有选择的安全算法(Chosen_algs')以及随机数4(可以记为nonce 4)。这里，Chosen_algs'是UE2根据中继UE的安全能力以及UE2的直连通信链路安全策略确定的。

S502，中继UE基于选择的安全策略，对第二直连安全模式命令消息进行完整性验证。

应理解的，UE2响应第二直连安全模式命令消息，根据选择的安全算法(Chosen_algs')以及随机数4，对第二直连安全模式命令消息进行进行完整性验证，并在验证通过的情况下，执行S503。

S503，中继UE向UE2发送第二直连安全模式完成消息(如Direct Security Mode Complete message 2)。

需要说明的是，上述S302和S304中建立直连通信链路A和B的过程，可以参见3GPP TS 33.536中记载的内容，在此不做赘述。

在一些可能的实施例中，在S503之后，UE2可以向中继UE发送第一直连通信接受消息(如Direct Communication Accept message 1)，以向中继UE指示直连通信链路B建立完成，然后，中继UE响应于第一直连通信接受消息，向UE1发送第二直连通信接受消息(如Direct Communication Accept message 2)，以向中继UE指示直连通信链路A建立完成。

通过上述步骤，UE1与UE2之间直连通信链路建立完成，UE1与UE2可以进行5G ProSe U2URelay通信。

在一可能的实施例中，仍参见图3中虚线，在S304之后，中继UE还可以执行S305。

S305，中继UE通过直连通信链路A和直连通信链路B中继UE1和UE2之间的传输信息。

应理解的，中继UE在通过S302和S304建立直连通信链路A和直连通信链路B之后，可以为UE1和UE2提供U2U Relay服务，以中继UE1与UE2之间的传输信息(也可以称为traffic，或者描述为传输流量)。示例性的，UE1可以将发送给UE2的传输信息先发送给中继UE，由中继UE中继给UE2；类似的，UE2也可以将发送给UE1的传输信息先发送给中继UE，由中继UE中继给UE1。

至此，实现了UE1与UE2可以进行5G ProSe U2U Relay通信。

在一些可能的实施例中，如果UE1具有与中继UE尝试通信的共享密钥K(即现有K

可选的，UE1在S301中发送第一直连通信请求消息之前，可以先确认自身存在中继UE的共享密钥K。然后，UE1将共享密钥标识k携带于第一直连通信请求消息发送给中继UE，使得中继UE能够根据共享密钥标识k，确定共享密钥K。

相应的，如果中继UE具有与UE2尝试通信的现有共享密钥K'(即现有K'

可选的，中继UE在S303中发送第二直连通信请求消息之前，可以先确认自身存在UE2的共享密钥K'。然后，中继UE将共享密钥标识k'携带于第二直连通信请求消息发送给UE2，使得UE2能够根据共享密钥标识k'，确定共享密钥K'。

需要说明的是，共享密钥标识的发送方需要先确认共享密钥是有效的，再向接收方发送。或者共享密钥的接收方在收到共享密钥后，需要确认共享密钥是否有效，仅在有效时，使用该共享密钥。这里，共享密钥有效也可以描述为共享密钥处于有效期且被安全策略允许使用。

在一些可能的实施方式中，响应于上述长期凭证A可以是由网络设备对中继UE鉴权通过时向中继UE发送的，那么，在S301之后，上述方法还可以包括中继UE向网络设备请求长期凭证A的过程。当中继UE请求到长期凭证A后，可以执行S302至S305。

图6为本公开实施例中的一种中继UE向网络设备请求长期凭证的实施流程示意图，参见图6，在S301之后和S302之前，上述方法还可以包括：S601至S603。

S601，中继UE向网络设备(如中继UE的5G DDNMF实体)发送第一请求消息(如ProSe key request)。

其中，第一请求消息用于向网络设备请求长期凭证A。

在实际应用中，第一请求消息也可以描述为密钥请求消息(key request)、长期密钥请求消息(long term key request)、长期凭证请求消息(long term confidential request)等。

在一些可能的实施方式中，第一请求消息中可以携带有以下至少之一：中继UE标识(如Relay UE ID)、长期凭证标识a、RSC或ProSe code。

示例性的，中继UE标识可以设置为U2U Relay ProSe应用标识(application ID)、中继UE的用户隐藏标识符(subscription concealed identifier，SUCI)等。

S602，网络设备对中继UE进行鉴权。

应理解的，网络设备在收到中继UE的请求之后，根据中继UE标识、长期凭证标识a、RSC或ProSe code，确定中继UE是否被授权提供该业务类型下的Prose中继服务。这里，“中继UE被授权提供该业务类型下的Prose中继服务”也可以描述为“中继UE被授权提供基于ProSe订阅数据的该业务类型下的Prose中继服务”。

在一些可能的实施方式中，网络设备可以根据中继UE标识、长期凭证标识a、RSC或ProSecode，可以先查找本地是否保存有中继UE的授权信息，以确定中继UE是否被授权提供该业务类型下的Prose中继服务。若有，则表示中继UE被授权提供该业务类型下的Prose中继服务；若没有，则表示中继UE未被授权提供该业务类型下的Prose中继服务。

在一些可能的实施方式中，网络设备可以向中继UE的统一数据管理功能(unified data management，UDM)实体请求中继UE的签约信息。如果UDM中保存有中继UE的签约信息，则UDM向网络设备反馈中继UE的签约信息。如果UDM实体向网络设备反馈的中继UE签约信息中有该业务类型下的Prose授权信息，则表示中继UE被授权提供该业务类型下的Prose中继服务，反之，则表示中继UE不被授权提供该业务类型下的Prose中继服务。

在一些可能的实施方式中，网络设备还可以先查看本地是否存在中继UE的授权信息。如果网络设备本地没有保存中继UE的授权信息，网络设备再向中继UE的UDM实体请求中继UE的签约信息。

当然，网络设备还可以通过其他方式对中继UE进行鉴权，本公开实施例对此不作具体限定。

S603，网络设备向中继UE发送第一响应消息(如ProSe key response)。

其中，第一响应消息中可以携带有长期凭证A和长期凭证标识a。

在实际应用中，第一请求消息也可以描述为密钥响应消息(key response)、长期密钥响应消息(long term key response)、长期凭证请求消息(long term confidential response)等。

在一些可能的实施方式中，在上述S601至S603中，如果网络设备本地存储有长期凭证A，网络设备可以从本地获取长期凭证A，并提供给中继UE。或者，如果长期凭证A存储在近邻服务应用(ProSe Application)服务器(sever)中，网络设备可以从ProSe Application server获取长期凭证A，再提供给中继UE。当然，网络设备还可以通过其他方式获得长期凭证A，本公开实施例对此不足具体限定。

至此，实现5G UE-to-UE Relay。

下面以具体示例对上述中继通信方法进行说明。

假设，通信系统中存在中继UE、UE1、UE2以及5G DDNMF实体。5G DDNMF实体可以包括中继UE的DDNMF实体、UE1的DDNMF实体和UE2的DDNMF实体。

图7为本公开实施例中的第二种中继通信方法的实施流程示意图，参见图7所示，该中继通信过程可以包括：

S701，5G DDNMF实体分别向UE1和UE2提供发现和中继安全材料，如长期凭证标识a和长期凭证A。

S702，UE1和UE2使用发现参数和发现安全材料执行发现和中继选择过程，UE1和UE2选择同一中继UE。

S703，UE1向中继UE发送Direct Connection Request 1。

其中，Direct Connection Request 1可以包括长期凭证标识a和共享密钥标识k。进一步地，Direct Connection Request 1还可以包括：UE1的安全能力信息、RSC、ProSe code、nonce 1。

S704，中继UE向5G DDNMF实体发送ProSe key request。

其中，ProSe key request中包括：中继UE标识、长期凭证标识a、RSC或ProSe code。

S705，5G DDNMF实体确定中继UE被授权提供该业务类型下的Prose中继服务。

S706，5G DDNMF实体向中继UE发送ProSe key response。

其中，ProSe key response携带有长期凭证标识a和长期凭证A。

S707，中继UE向UE1发送Direct Security Mode Command message 1。

其中，Direct Security Mode Command message 1携带有Chosen_algs和nonce 2。

S708，UE1向中继UE发送Direct Security Mode Complete message 1。

S709，中继UE向UE2发送Direct Connection Request 2。

其中，Direct Connection Request 2可以包括长期凭证标识a和共享密钥标识k'。进一步地，Direct Connection Request 2还可以包括：中继UE的安全能力信息、RSC、ProSe code、nonce 4。

S710，UE2向中继UE发送Direct Security Mode Command message 2。

其中，Direct Security Mode Command message 2携带有Chosen_algs'和nonce 2。

S711，中继UE向UE2发送Direct Security Mode Complete message 2。

S712，UE2向中继UE发送Direct Connection Request 2。

S713，中继UE向UE1发送Direct Connection Request 1。

S714，中继UE中继UE1和UE2之间的传输信息(traffic)。

在本公开实施例中，中继UE通过分别与对等UEs建立安全的直连通信链路，在UE1和UE2之间建立安全的L3U2U链路，以实现5G ProSe U2U Relay。进一步地，通过对中继UE与UE1和UE2之间的直连通信链路的安全保护，保证5G ProSe U2U Relay上的传输信息的完整性和机密性。进一步地，通过长期凭证，确保远程UE可以识别充当中继UE的恶意攻击者。进一步地，确保5G PKMF可以安全地向Remote UE和U2U Relay UE提供安全参数。

在一些可能的实施方式中，本公开实施例还提供一种中继通信方法，可以应用于通信系统中的中继UE侧。

图8为本公开实施例中的中继UE侧的中继通信方法的实施流程示意图，参见图8中实线，该方法可以包括：

S801，中继UE接收来自UE1发送的第一直连通信请求消息；

S802，中继UE根据第一长期凭证，与UE1建立安全的第一直连通信链路，第一长期凭证是由网 络设备对中继UE鉴权通过时向中继UE发送的；其中，第一直连通信链路用于传输UE1与UE2之间的传输信息。

在一些可能的实施方式中，参见图8中虚线，上述方法还包括：

S803，中继UE向UE2发送第二直连通信请求消息；

S804，中继UE根据第一长期凭证，与UE2建立安全的第二直连通信链路；其中，第二直连通信链路用于传输传输信息。

在一些可能的实施方式中，UE1和UE2为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，第一直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中还包括以下至少之一：UE1的安全能力信息，UE1的安全能力信息用于指示UE1支持的安全算法；RSC；ProSe Code；第一随机数。

在一些可能的实施方式中，上述方法还包括：中继UE向网络设备发送第一请求消息，第一请求消息携带有第一长期凭证标识；中继UE接收来自网络设备的第一响应消息，第一响应消息携带有第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中携带有用于第一共享密钥标识；方法还包括：中继UE根据第一共享密钥标识，确定第一共享密钥，第一共享密钥用于中继UE与UE1之间的安全通信。

在一些可能的实施方式中，上述方法还包括：中继UE确定第一共享密钥有效。

在一些可能的实施方式中，第二直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第二直连通信请求消息中携带有中继UE的安全能力信息，中继UE的安全能力信息用于指示中继UE支持的安全算法。

在一些可能的实施方式中，第二直连通信请求消息中还包括以下至少之一：RSC；ProSe Code；第二随机数。

在一些可能的实施方式中，上述方法还包括：中继UE确定存在第二共享密钥，第二共享密钥用于中继UE与UE2之间的安全通信；中继UE将第二共享密钥标识承载于第二直连通信请求消息进行发送，第二共享密钥标识用于标识第二共享密钥。

在一些可能的实施方式中，中继UE确定存在第二共享密钥，包括：中继UE确定存在有效的第二共享密钥。

在一些可能的实施方式中，上述方法还包括：中继UE接收UE2的第二直连通信接受消息；中继UE向UE1发送第一直连通信接受消息。

在一些可能的实施方式中，中继UE的标识为以下之一：中继UE的近邻服务应用标识；中继UE的终端标识。

在一些可能的实施方式中，本公开实施例还提供一种中继通信方法，可以应用于通信系统中的中继UE1侧。

需要说明的是，上述S801至S804的实施过程可以参见图3至7实施例中中继UE侧的具体描述，为了说明书简洁，在此不再赘述。

图9为本公开实施例中的UE1侧的中继通信方法的实施流程示意图，参见图9，该方法可以包括：

S901，UE1向中继UE发送第一直连通信请求消息，中继UE具有第一长期凭证，第一长期凭证是由网络设备对中继UE鉴权通过时向中继UE发送的；

S902，UE1与中继UE建立安全的第一直连通信链路，第一直连通信链路用于传输UE1与UE2之间的传输信息。

在一些可能的实施方式中，UE1和UE2为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，上述方法还包括：UE1发现UE2，并选择中继UE。

在一些可能的实施方式中，第一直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中还包括以下至少之一：UE1的安全能力信息，UE1的安全能力信息用于指示UE1支持的安全算法；RSC；ProSe Code；第一随机数。

在一些可能的实施方式中，上述方法还包括：第一远端终端确定存在第一共享密钥，第一共享密钥用于中继UE与UE1之间的安全通信；中继UE将第一共享密钥标识承载于第一直连通信请求消息进行发送，第一共享密钥标识用于标识第一共享密钥。

在一些可能的实施方式中，第一远端终端确定存在第一共享密钥，包括：中继UE确定存在有效的第一共享密钥。

在一些可能的实施方式中，上述方法还包括：UE1接收中继UE发送的第一直连通信接受消息。

在一些可能的实施方式中，本公开实施例还提供一种中继通信方法，可以应用于通信系统中的中继UE2侧。

需要说明的是，上述S901至S902的实施过程可以参见图3至7实施例中UE1侧的具体描述，为了说明书简洁，在此不再赘述。

图10为本公开实施例中的UE2侧的中继通信方法的实施流程示意图，参见图10，该方法可以包括：

S1001，UE2接收中继UE发送第二直连通信请求消息，中继UE具有第一长期凭证，第一长期凭证是由网络设备对中继UE鉴权通过时向中继UE发送的；

S1002，UE2与中继UE建立安全的第二直连通信链路，第二直连通信链路用于传输UE2与UE1之间的传输信息。

在一些可能的实施方式中，UE1和UE2为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，上述方法还包括：UE2发现UE1，并选择中继UE。

在一些可能的实施方式中，第二直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第二直连通信请求消息中携带有中继UE的安全能力信息，中继UE的安全能力信息用于指示中继UE支持的安全算法。

在一些可能的实施方式中，第二直连通信请求消息中还包括以下至少之一：RSC；ProSe Code；第二随机数。

在一些可能的实施方式中，第二直连通信请求消息中携带有用于第二共享密钥标识；方法还包括：UE2根据第二共享密钥标识，确定第二共享密钥，第二共享密钥用于UE2与中继UE之间的安全通信。

在一些可能的实施方式中，上述方法还包括：UE2确定第二共享密钥有效。

在一些可能的实施方式中，上述方法还包括：UE2向中继UE发送第二直连通信接受消息。

在一些可能的实施方式中，本公开实施例还提供一种中继通信方法，可以应用于通信系统中的中继网络设备侧。

需要说明的是，上述S1001至S1002的实施过程可以参见图3至7实施例中UE2侧的具体描述，为了说明书简洁，在此不再赘述。

图11为本公开实施例中的网络设备侧的中继通信方法的实施流程示意图，参见图11，该方法可以包括：

S1101，网络设备接收第一请求消息，第一请求消息用于请求第一长期凭证；

S1102，网络设备对中继UE进行鉴权；

S1103，在鉴权通过的情况下，网络设备向中继UE发送第一长期凭证；其中，第一长期凭证用于中继UE与对等的UE1和UE2建立安全的直连通信链路，直连通信链路用于中继UE1与UE2之间的传输信息。

在一些可能的实施方式中，上述方法还包括：网络设备为UE1和UE2设置第一长期凭证；网络设备分别向UE1和UE2发送第一长期凭证标识以及第一长期凭证，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，网络设备对中继UE进行鉴权，包括：网络设备确定中继UE是否被授权提供基于近邻服务订阅数据的中继服务。

在一些可能的实施方式中，网络设备确定中继UE是否被授权提供基于近邻服务订阅数据的中继服务，包括：网络设备向中继UE的UDM实体请求中继UE的签约信息，签约信息用于表示中继UE是否被授权提供中继服务；网络设备接收UDM实体发送的签约信息；网络设备根据签约信息，确定中继UE是否被授权提供中继服务。

在一些可能的实施方式中，网络设备确定中继UE是否被授权提供基于近邻服务订阅数据的中继服务，包括：网络设备确定本地是否存储有中继UE的授权信息，授权信息用于表示中继UE被授权提供中继服务。

在一些可能的实施方式中，上述方法还包括：网络设备由近邻服务应用服务器获得第一长期凭证，或网络设备获得本地存储第一长期凭证。

需要说明的是，上述S1101至S1103的实施过程可以参见图3至7实施例中网络设备侧的具体描述，为了说明书简洁，在此不再赘述。

基于相同的发明构思，本公开实施例提供一种通信装置，图12为本公开实施例中的一种通信装置的结构示意图，参见图12所示，该通信装置1200可以包括：处理模块1201、接收模块1202以及发 送模块1203。

在一些可能的实施例中，该通信装置可以为通信系统中的中继终端或者中继终端的芯片或者片上系统，还可以为中继终端中用于实现上述各个实施例所述的方法的功能模块。该通信装置可以实现上述各实施例中中继终端所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。

相应的，接收模块1203，被配置为接收来自第一远程终端发送的第一直连通信请求消息；处理模块1201，被配置为根据第一长期凭证，与第一远程终端建立安全的第一直连通信链路，第一长期凭证是由网络设备对中继终端鉴权通过时向中继终端发送的；其中，第一直连通信链路用于传输第一远程终端与第二远程终端之间的传输信息。

在一些可能的实施方式中，第一远程终端和第二远程终端为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，第一直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中还包括以下至少之一：第一远程终端的安全能力信息，第一远程终端的安全能力信息用于指示第一远程终端支持的安全算法；中继服务代码；近邻服务代码；第一随机数。

在一些可能的实施方式中，装置还包括：发送模块1203，被配置为向网络设备发送第一请求消息，第一请求消息携带有第一长期凭证标识；接收模块1203，被配置为接收来自网络设备的第一响应消息，第一响应消息携带有第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中携带有用于第一共享密钥标识；处理模块1201，被配置为根据第一共享密钥标识，确定第一共享密钥，第一共享密钥用于中继终端与第一远程终端之间的安全通信。

在一些可能的实施方式中，处理模块1201，被配置为确定第一共享密钥有效。

在一些可能的实施方式中，装置还包括：发送模块1203，被配置为向第二远程终端发送第二直连通信请求消息；处理模块1201，被配置为根据第一长期凭证，与第二远程终端建立安全的第二直连通信链路；其中，第二直连通信链路用于传输传输信息。

在一些可能的实施方式中，第二直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第二直连通信请求消息中携带有中继终端的安全能力信息，中继终端的安全能力信息用于指示中继终端支持的安全算法。

在一些可能的实施方式中，第二直连通信请求消息中还包括以下至少之一：中继服务代码；近邻服务代码；第二随机数。

在一些可能的实施方式中，处理模块1201，被配置为确定存在第二共享密钥，第二共享密钥用于中继终端与第二远程终端之间的安全通信；发送模块1203，被配置为将第二共享密钥标识承载于第二直连通信请求消息进行发送，第二共享密钥标识用于标识第二共享密钥。

在一些可能的实施方式中，处理模块1201，被配置为确定存在有效的第二共享密钥。

在一些可能的实施方式中，装置还包括：发送模块；接收模块1203，被配置为接收第二远程终端的第二直连通信接受消息；发送模块1203，被配置为向第一远程终端发送第一直连通信接受消息。

在一些可能的实施方式中，中继终端的标识为以下之一：中继终端的近邻服务应用标识；中继终端的终端标识。

在一些可能的实施方式中，该通信装置可以为通信系统中的第一远程终端或者第一远程终端的芯片或者片上系统，还可以为第一远程终端中用于实现上述各个实施例所述的方法的功能模块。该通信装置可以实现上述各实施例中第一远程终端所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。

相应的，发送模块1203，被配置为向中继终端发送第一直连通信请求消息，中继终端具有第一长期凭证，第一长期凭证是由网络设备对中继终端鉴权通过时向中继终端发送的；处理模块1201，被配置为与中继终端建立安全的第一直连通信链路，第一直连通信链路用于传输第一远程终端与第二远程终端之间的传输信息。

在一些可能的实施方式中，第一远程终端和第二远程终端为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，处理模块1201，还被配置为发现第二远程终端，并选择中继终端。

在一些可能的实施方式中，第一直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第一直连通信请求消息中还包括以下至少之一：第一远程终端的安全能力信息，第一远程终端的安全能力信息用于指示第一远程终端支持的安全算法；中继服务代码；近邻服务代码；第一随机数。

在一些可能的实施方式中，装置还包括：处理模块1201，被配置为确定存在第一共享密钥，第一共享密钥用于中继终端与第一远程终端之间的安全通信；发送模块1203，被配置为将第一共享密钥标识承载于第一直连通信请求消息进行发送，第一共享密钥标识用于标识第一共享密钥。

在一些可能的实施方式中，处理模块1201，被配置为确定存在有效的第一共享密钥。

在一些可能的实施方式中，装置还包括：接收模块1203，被配置为接收中继终端发送的第一直连通信接受消息。

在一些可能的实施方式中，该通信装置可以为通信系统中的第二远程终端或者第二远程终端的芯片或者片上系统，还可以为第二远程终端中用于实现上述各个实施例所述的方法的功能模块。该通信装置可以实现上述各实施例中第二远程终端所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。

相应的，接收模块1203，被配置为接收中继终端发送第二直连通信请求消息，中继终端具有第一长期凭证，第一长期凭证是由网络设备对中继终端鉴权通过时向中继终端发送的；处理模块1201，被配置为与中继终端建立安全的第二直连通信链路，第二直连通信链路用于传输第二远程终端与第一远程终端之间的传输信息。

在一些可能的实施方式中，第一远程终端和第二远程终端为配置有第一长期凭证的对等终端。

在一些可能的实施方式中，处理模块1201，还被配置为发现第一远程终端，并选择中继终端。

在一些可能的实施方式中，第二直连通信请求消息携带有第一长期凭证标识，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，第二直连通信请求消息中携带有中继终端的安全能力信息，中继终端的安全能力信息用于指示中继终端支持的安全算法。

在一些可能的实施方式中，第二直连通信请求消息中还包括以下至少之一：中继服务代码；近邻服务代码；第二随机数。

在一些可能的实施方式中，第二直连通信请求消息中携带有用于第二共享密钥标识；处理模块1201，还被配置为根据第二共享密钥标识，确定第二共享密钥，第二共享密钥用于第二远程终端与中继终端之间的安全通信。

在一些可能的实施方式中，处理模块1201，还被配置为确定第二共享密钥有效。

在一些可能的实施方式中，装置还包括：发送模块1203，被配置为向中继终端发送第二直连通信接受消息。

在一些可能的实施方式中，该通信装置可以为通信系统中的网络设备或者网络设备的芯片或者片上系统，还可以为网络设备中用于实现上述各个实施例所述的方法的功能模块。该通信装置可以实现上述各实施例中网络设备所执行的功能，这些功能可以通过硬件执行相应的软件实现。这些硬件或软件包括一个或多个上述功能相应的模块。

相应的，接收模块1203，被配置为接收第一请求消息，第一请求消息用于请求第一长期凭证；处理模块1201，被配置为网络设备对中继终端进行鉴权；发送模块1203，被配置为在鉴权通过的情况下，网络设备向中继终端发送第一长期凭证；其中，第一长期凭证用于中继终端与对等的第一远程终端和第二远程终端建立安全的直连通信链路，直连通信链路用于中继第一远程终端与第二远程终端之间的传输信息；

在一些可能的实施方式中，处理模块1201，被配置为为第一远程终端和第二远程终端设置第一长期凭证；发送模块1203，被配置为分别向第一远程终端和第二远程终端发送第一长期凭证标识以及第一长期凭证，第一长期凭证标识用于标识第一长期凭证。

在一些可能的实施方式中，处理模块1201，被配置为确定中继终端是否被授权提供基于近邻服务订阅数据的中继服务。

在一些可能的实施方式中，发送模块1203，被配置为向中继终端的UDM实体请求中继终端的签约信息，签约信息用于表示中继终端是否被授权提供中继服务；接收模块1203，被配置为接收UDM实体发送的签约信息；处理模块1201，被配置为根据签约信息，确定中继终端是否被授权提供中继服务。

在一些可能的实施方式中，处理模块1201，被配置为确定本地是否存储有中继终端的授权信息，授权信息用于表示中继终端被授权提供中继服务。

在一些可能的实施方式中，处理模块1201，被配置为由近邻服务应用服务器获得第一长期凭证，或获得本地存储第一长期凭证。

需要说明的是，处理模块1201、接收模块1202以及发送模块1203的具体实现过程可参考图3至图7实施例的详细描述，为了说明书的简洁，这里不再赘述。

本公开实施例中提到的接收模块1202可以为接收接口、接收电路或者接收器等；发送模块1203可以为发送接口、发送电路或者发送器等；处理模块1201可以为一个或者多个处理器。

基于相同的发明构思，本公开实施例提供一种通信设备，该通信设备可以为上述一个或者多个实施例中所述的中继终端、第一远程终端、第二远程终端或者网络设备。图13为本公开实施例中的一种通信设备的结构示意图，参见图13所示，通信设备1300，采用了通用的计算机硬件，包括处理器1301、存储器1302、总线1303、输入设备1304和输出设备1305。

在一些可能的实施方式中，存储器1302可以包括以易失性和/或非易失性存储器形式的计算机存储媒体，如只读存储器和/或随机存取存储器。存储器1302可以存储操作系统、应用程序、其他程序模块、可执行代码、程序数据、用户数据等。

输入设备1304可以用于向通信设备输入命令和信息，输入设备1304如键盘或指向设备，如鼠标、轨迹球、触摸板、麦克风、操纵杆、游戏垫、卫星电视天线、扫描仪或类似设备。这些输入设备可以通过总线1303连接至处理器1301。

输出设备1305可以用于通信设备输出信息，除了监视器之外，输出设备1305还可以为其他外围输出设各，如扬声器和/或打印设备，这些输出设备也可以通过总线1303连接到处理器1301。

通信设备可以通过天线1306连接到网络中，例如连接到局域网(local area network，LAN)。在联网环境下，控制备中存储的计算机执行指令可以存储在远程存储设备中，而不限于在本地存储。

当通信设备中的处理器1301执行存储器1302中存储的可执行代码或应用程序时，通信设备以执行以上实施例中的UE侧或者网络设备侧的中继通信方法，具体执行过程参见上述实施例，在此不再赘述。

此外，上述存储器1302中存储有用于实现图12中的处理模块1201、接收模块1202以及发送模块1203的功能的计算机执行指令。图12中的处理模块1201、接收模块1202以及发送模块1203的功能/实现过程均可以通过图13中的处理器1301调用存储器1302中存储的计算机执行指令来实现，具体实现过程和功能参考上述相关实施例。

基于相同的发明构思，本公开实施例提供一种终端设备，如中继终端、第一远程终端或第二远程终端，与上述一个或者多个实施例中的中继UE、UE1及UE2一致。可选的，终端设备可以为移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

图14为本公开实施例中的一种终端设备的结构示意图，参见图14所示，终端设备1400可以包括以下一个或多个组件：处理组件1401、存储器1402、电源组件1403、多媒体组件1404、音频组件1405、输入/输出(I/O)的接口1406、传感器组件1407以及通信组件1408。

处理组件1401通常控制终端设备1400的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件1401可以包括一个或多个处理器910来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件1401可以包括一个或多个模块，便于处理组件1401和其他组件之间的交互。例如，处理组件1401可以包括多媒体模块，以方便多媒体组件1404和处理组件1401之间的交互。

存储器1402被配置为存储各种类型的数据以支持在终端设备1400的操作。这些数据的示例包括用于在终端设备1400上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器1402可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件1403为终端设备1400的各种组件提供电力。电源组件1403可以包括电源管理系统，一个或多个电源，及其他与为终端设备1400生成、管理和分配电力相关联的组件。

多媒体组件1404包括在终端设备1400和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件1404包括一个前置摄像头和/或后置摄像头。当终端设备1400处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件1405被配置为输出和/或输入音频信号。例如，音频组件1405包括一个麦克风(MIC)，当终端设备1400处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1402或经由通信组件1408发送。在一些实施例中，音频组件1405还包括一个扬声器，用于输出音频信号。

I/O接口1406为处理组件1401和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件1407包括一个或多个传感器，用于为终端设备1400提供各个方面的状态评估。例如，传感器组件1407可以检测到终端设备1400的打开/关闭状态，组件的相对定位，例如组件为终端设备1400的显示器和小键盘，传感器组件1407还可以检测终端设备1400或终端设备1400一个组件的位置改变，用户与终端设备1400接触的存在或不存在，终端设备1400方位或加速/减速和终端设备1400的温度变化。传感器组件1407可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件1407还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件1407还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件1408被配置为便于终端设备1400和其他设备之间有线或无线方式的通信。终端设备1400可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件1408经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件1408还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，终端设备1400可以被一个或多个应用专用集成电路(ASIC)、数字信号处理 器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

基于相同的发明构思，本公开实施例提供一种网络设备，如5G DDNMF实体、PKMF实体等，与上述一个或者多个实施例中的网络设备一致。

图15为本公开实施例中的一种网络设备的结构示意图，参见图15所示，网络设备1500可以包括处理组件1501，其进一步包括一个或多个处理器，以及由存储器1502所代表的存储器资源，用于存储可由处理组件1501的执行的指令，例如应用程序。存储器1502中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1501被配置为执行指令，以执行上述方法前述应用在所述网络设备的任一方法。

网络设备1500还可以包括一个电源组件1503被配置为执行网络设备1500的电源管理，一个有线或无线网络接口1504被配置为将网络设备1500连接到网络，和一个输入输出(I/O)接口1505。网络设备1500可以操作基于存储在存储器1502的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

基于相同的发明构思，本公开实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令；当指令在计算机上运行时，用于执行上述一个或者多个实施例中终端设备侧或者网络设备侧的中继通信方法。

基于相同的发明构思，本公开实施例还提供一种计算机程序或计算机程序产品，当计算机程序产品在计算机上被执行时，使得计算机实现上述一个或者多个实施例中终端设备侧或者网络设备侧的中继通信方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。