一种信息处理方法、装置、设备及可读存储介质与流程

1.本发明涉及通信技术领域，尤其涉及一种信息处理方法、装置、设备及可读存储介质。


背景技术：

2.邻近通信在3gpp标准中定定义为proximity-based services(prose，基于邻近的服务)。该服务包括邻近发现和邻近通信。prose发现是确定具有prose功能的ue(user equipment，用户设备)处于彼此邻近区域的过程。对ue来说，一个具备prose能力的ue确认附近有另一个具备prose能力的ue的过程，可以借助网络，也可以不借助网络。例如，一个具备prose能力的ue(可称为prose ue)可使用ue的能力或nr(new radio，新空口)技术来发现另一个具备prose能力的ue。prose通信是能够在两个或两个以上的具有prose功能的ue之间建立新的通信路径的服务。
3.对于prose的使用需要得到运营商的授权，运营商也可以向具有prose功能的ue提供配置数据，例如，邻近准则，可用于prose发现。
4.prose架构中，pc3接口为ue端和prose功能端之间的接口。pc3接口依赖于核心网(即基于ip的接口)。它用于授权prose直接发现和核心网的prose发现需求，执行prose应用代码的分配工作，其中，该应用代码与用于prose直接发现的prose应用id一致。prose功能为ue提供prose功能的配置信息。
5.网络通过pc3接口为prose ue提供授权和配置信息，因此，pc3接口上传递的数据需要得到完整性保护、机密性保护和重放保护。
6.在现有技术的邻近通信安全保护中，pc3接口使用gba(generic bootstrapping architecture，通用引导架构)方式保护，但gba/gaa(generic authentication architecture，即通用认证架构)通用的认证框架比较复杂。5g网络引入的多种类型的终端，尤其是对于计算和处理能力有限的iot(internet of thing，物联网)设备，将无法运行此功能或者将会耗费极大的资源。因此，对于该类终端设备将会由于无法使用gba/gaa而导致prose功能和ue之间的pc3接口不能得到有效的保护。


技术实现要素：

7.本发明实施例提供一种信息处理方法、装置、设备及可读存储介质，以保证ue在执行prose配置时的安全性。
8.第一方面，本发明实施例提供了一种信息处理方法，应用于邻近通信功能，包括：
9.获取第一信息；
10.根据所述第一信息，确定所述邻近通信功能和ue之间的pc3接口的应用层保护方法；
11.其中，所述第一信息包括：ue的签约信息，网络的应用安全策略，ue的请求信息中的一项；
12.其中，所述应用层保护方法包括：akma(authentication and key management for applications，应用层认证和密钥管理)。
13.其中，如果所述第一信息包括所述ue的签约信息，所述根据第一信息，确定邻近通信功能和用户设备ue之间的pc3接口的应用层保护方法，包括：
14.从udm(统unified data management，统一数据管理实体)获取所述ue的prose的签约信息；
15.如果所述ue的签约信息表示所述ue签约了prose，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
16.其中，如果所述第一信息包括所述网络的应用安全策略，所述根据第一信息，确定邻近通信功能和用户设备ue之间的pc3接口的应用层保护方法，包括：
17.接收所述ue的会话请求；
18.向pcf(policy control function，策略控制功能实体)请求网络的应用安全策略，并接收所述pcf的第一信息；
19.根据所述第一信息，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
20.其中，如果所述第一信息包括所述网络的应用安全策略，所述根据第一信息，确定邻近通信功能和用户设备ue之间的pc3接口的应用层保护方法，包括：
21.接收所述ue的会话请求；
22.根据所述会话请求以及预配置的网络的应用安全策略，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
23.其中，如果所述第一信息包括所述ue的请求信息，所述根据第一信息，确定邻近通信功能和用户设备ue之间的pc3接口的应用层保护方法，包括：
24.接收所述ue的请求信息，在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma；
25.如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能支持akma，则确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma；
26.如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法，并将重新确定的所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法通知给ue；或者，如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则向所述ue发送失败响应。
27.其中，所述方法还包括：
28.确定邻近通信的认证密钥。
29.其中，所述确定邻近通信的认证密钥，包括：
30.接收所述ue的注册请求，在所述注册请求中携带第二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥；
31.根据所述注册请求，从ausf(authentication server function，鉴权服务功能)获取所述第一密钥，其中，所述第一密钥是ausf计算得到的。
32.其中，在所述从鉴权服务功能ausf获取所述第一密钥之后，所述方法还包括：
33.根据所述注册请求从所述ausf获取第二密钥，所述注册请求中还包括第三指示和第四指示，所述第三指示用于表示所述ue支持akma，所述第四指示为邻近服务指示，所述第二密钥为用于邻近通信的密钥。
34.其中，所述确定邻近通信的认证密钥，包括：
35.从邻近服务器或akma锚点功能aanf获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的第一密钥。
36.其中，所述确定邻近通信的认证密钥，包括：
37.从邻近服务器获取或aanf(akma anchor function，akma锚点功能)获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的密钥；
38.根据所述第二认证密钥k
af
计算第二密钥，所述第二密钥为用于邻近通信的密钥。
39.其中，在所述根据所述第二认证密钥k
af
计算第二密钥之后，所述方法还包括：
40.计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。
41.第二方面，本发明实施例还提供了一种信息处理方法，应用于ue，包括：
42.向邻近通信功能发送请求信息，所述请求信息用于使得所述邻近通信功能确定述邻近通信功能和ue之间的pc3接口的应用层保护方法；
43.其中，所述应用层保护方法包括：akma。
44.在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma；所述方法还包括：
45.接收邻近通信功能重新确定的所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法，其中，所述邻近通信功能在不支持akma的情况下，重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法；
46.或者，接收所述邻近通信功能的失败响应，其中，所述失败响应是所述邻近通信功能在不支持akma的情况下发送的。
47.其中，在所述向邻近通信功能发送请求信息之后，所述方法还包括：
48.确定邻近通信的认证密钥。
49.其中，所述确定邻近通信的认证密钥，包括：
50.向所述邻近通信功能发送注册请求，在所述注册请求中携带第二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥；
51.计算第一密钥。
52.其中，所述注册请求还包括第三指示和第四指示，所述第三指示用于表示所述ue支持akma，所述第四指示为邻近服务指示；在所述计算第一密钥之后，所述方法还包括：
53.计算第二密钥，所述第二密钥为用于邻近通信的密钥。
54.其中，所述确定邻近通信的认证密钥，包括：
55.生成第二认证密钥k
af
，所述第二认证密钥为pc3接口的密钥；或者
56.从aanf获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的密钥。
57.其中，所述方法还包括：
58.根据所述第二认证密钥k
af
计算第二密钥，所述第二密钥为用于邻近通信的密钥；
59.计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。
60.第三方面，本发明实施例提供了一种信息处理装置，应用于邻近通信功能，包括：
61.第一获取模块，用于获取第一信息；
62.第一确定模块，用于根据所述第一信息，确定所述邻近通信功能和ue之间的pc3接口的应用层保护方法；
63.其中，所述第一信息包括：ue的签约信息，网络的应用安全策略，ue的请求信息中的一项；
64.其中，所述应用层保护方法包括：akma。
65.第四方面，本发明实施例提供了一种信息处理装置，应用于ue，包括：
66.第一发送模块，用于向邻近通信功能发送请求信息，所述请求信息用于使得所述邻近通信功能确定述邻近通信功能和ue之间的pc3接口的应用层保护方法；
67.其中，所述应用层保护方法包括：akma。
68.第五方面，本发明实施例提供了一种信息处理设备，应用于邻近通信功能，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器，用于读取存储器中的程序，执行下列过程：
69.获取第一信息；
70.根据所述第一信息，确定所述邻近通信功能和ue之间的pc3接口的应用层保护方法；
71.其中，所述第一信息包括：ue的签约信息，网络的应用安全策略，ue的请求信息中的一项；
72.其中，所述应用层保护方法包括：akma。
73.其中，如果所述第一信息包括所述ue的签约信息，所述处理器还用于读取存储器中的程序，执行下列过程：
74.从udm获取所述ue的prose的签约信息；
75.如果所述ue的签约信息表示所述ue签约了prose，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
76.其中，如果所述第一信息包括所述网络的应用安全策略，所述处理器还用于读取存储器中的程序，执行下列过程：
77.接收所述ue的会话请求；
78.根据所述会话请求，向pcf请求网络的应用安全策略，并接收所述pcf的第一信息；
79.根据所述第一信息，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
80.其中，如果所述第一信息包括所述网络的应用安全策略，所述处理器还用于读取存储器中的程序，执行下列过程：
81.接收所述ue的会话请求；
82.根据所述会话请求以及预配置的网络的应用安全策略，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
83.其中，如果所述第一信息包括所述ue的请求信息，所述处理器还用于读取存储器中的程序，执行下列过程：
84.接收所述ue的请求信息，在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma；
85.如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能支持akma，则确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma；
86.如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法，并将重新确定的所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法通知给ue；或者，如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则向所述ue发送失败响应。
87.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
88.确定邻近通信的认证密钥。
89.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
90.接收所述ue的注册请求，在所述注册请求中携带第二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥；
91.根据所述注册请求，从鉴权服务功能ausf获取所述第一密钥，其中，所述第一密钥是ausf计算得到的。
92.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
93.根据所述注册请求从所述ausf获取第二密钥，所述注册请求中还包括第三指示和第四指示，所述第三指示用于表示所述ue支持akma，所述第四指示为邻近服务指示，所述第二密钥为用于邻近通信的密钥。
94.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
95.从邻近服务器或akma锚点功能aanf获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的第一密钥。
96.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
97.从邻近服务器获取或akma锚点功能aanf获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的密钥；
98.根据所述第二认证密钥k
af
计算第二密钥，所述第二密钥为用于邻近通信的密钥。
99.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
100.计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。
101.第六方面，本发明实施例提供了一种信息处理设备，应用于ue，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器，用于读取存储器中的程序，执行下列过程：
102.向邻近通信功能发送请求信息，所述请求信息用于使得所述邻近通信功能确定述邻近通信功能和ue之间的pc3接口的应用层保护方法；
103.其中，所述应用层保护方法包括：akma。
104.在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma；所述处理器还用于读取存储器中的程序，执行下列过程：
105.接收邻近通信功能重新确定的所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法，其中，所述邻近通信功能在不支持akma的情况下，重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法；
106.或者，接收所述邻近通信功能的失败响应，其中，所述失败响应是所述邻近通信功
能在不支持akma的情况下发送的。
107.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
108.确定邻近通信的认证密钥。
109.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
110.向所述邻近通信功能发送注册请求，在所述注册请求中携带二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥；
111.计算第一密钥。
112.其中，所述注册请求还包括第三指示和第四指示，所述第三指示用于表示所述ue支持akma，所述第四指示为邻近服务指示；所述处理器还用于读取存储器中的程序，执行下列过程：
113.计算第二密钥，所述第二密钥为用于邻近通信的密钥。
114.其中，所述处理器还用于读取存储器中的程序，执行下列过程：
115.计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。
116.第七方面，本发明实施例提供了一种可读存储介质，用于存储程序，所述程序被处理器执行时实现如上所述的信息处理方法中的步骤。
117.在本发明实施例中，对于不支持gba的ue，可在ue和邻近通信功能之间通过akma等方式进行pc3接口的保护，从而可保证ue在执行prose配置时的安全性。
附图说明
118.图1是本发明实施例提供的信息处理方法的流程图之一；
119.图2是本发明实施例提供的信息处理方法的流程图之二；
120.图3是本发明实施中ue和网络设备之间协商应用层保护方法的过程示意图；
121.图4是本发明实施中生成密钥的过程示意图之一；
122.图5是本发明实施中生成密钥的过程示意图之二；
123.图6是本发明实施中生成密钥的过程示意图之三；
124.图7是本发明实施中生成密钥的过程示意图之四；
125.图8是本发明实施例提供的信息处理装置的结构图之一；
126.图9是本发明实施例提供的信息处理装置的结构图之二；
127.图10是本发明实施例提供的信息处理设备的结构图之一；
128.图11是本发明实施例提供的信息处理设备的结构图之二。
具体实施方式
129.本发明实施例中术语“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
130.本技术实施例中术语“多个”是指两个或两个以上，其它量词与之类似。
131.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，并不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例，都属于本技术保护的范围。
132.参见图1，图1是本发明实施例提供的信息处理方法的流程图，应用于邻近通信功能，如图1所示，包括以下步骤：
133.步骤101、获取第一信息。
134.其中，所述第一信息包括：ue的签约信息，网络的应用安全策略，ue的请求信息中的一项。
135.步骤102、根据所述第一信息，确定所述邻近通信功能和ue之间的pc3接口的应用层保护方法。
136.其中，所述应用层保护方法包括：akma(authentication and key management for applications，应用层认证和密钥管理)。
137.如果第一信息包括的内容不同，那么，邻近通信功能可通过不同的方式获得应用层保护方法。
138.如果所述第一信息包括所述ue的签约信息，邻近通信功能可从udm(统unified data management，统一数据管理实体)获取所述ue的prose的签约信息。如果所述ue的签约信息表示所述ue签约了prose，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
139.如果所述第一信息包括所述网络的应用安全策略，邻近通信功能可接收所述ue的会话请求。根据所述会话请求，邻近通信功能向pcf(policy control function，策略控制功能实体)请求网络的应用安全策略，并接收所述pcf的第一信息，并根据所述第一信息，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
140.如果所述第一信息包括所述网络的应用安全策略，邻近通信功能可接收所述ue的会话请求，并根据所述会话请求以及预配置的网络的应用安全策略，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
141.如果所述第一信息包括所述ue的请求信息，邻近通信功能可接收所述ue的请求信息，在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma。如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能支持akma，则确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma；
142.如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法，并将重新确定的所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法通知给ue；或者，如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则向所述ue发送失败响应。其中，重新确定的应用层保护方法可以是其他任意的保护方法，本发明实施例对此不做限定。
143.在本发明实施例中，对于不支持gba的ue，可在ue和邻近通信功能之间通过akma等方式进行pc3接口的保护，从而可保证ue在执行prose配置时的安全性。
144.在上述实施例的基础上，为进一步加强对pc3接口的保护，本发明实施例的方法还可包括：
145.确定邻近通信的认证密钥。
146.在本发明实施例中，邻近通信的认证密钥可包括：pc3接口的第一密钥，用于邻近
通信的第二密钥，以及用于pc3接口的加密和完整性保护的第三密钥等。
147.对于pc3接口的第一密钥，邻近通信功能可接收所述ue的注册请求，在所述注册请求中携带第二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥，并根据所述注册请求，从ausf获取所述第一密钥，其中，所述第一密钥是ausf计算得到的。其中，ausf在计算第一密钥时，可根据k
ausf
、字符串“prose”以及supi(subscription permanent identifier，签约永久标识)获得。
148.在生成第一密钥的基础上，邻近通信功能可根据所述注册请求从所述ausf获取第二密钥，所述注册请求中还包括第三指示和第四指示，所述第三指示用于表示所述ue支持akma，所述第四指示为邻近服务指示，所述第二密钥为用于邻近通信的密钥。其中，ausf在计算第二密钥时，可根据k
akma
、字符串“prose”等获得。
149.可选的，对于pc3接口的第一密钥，邻近通信功能还可从邻近服务器或akma锚点功能aanf获取第二认证密钥k
af
，将所述第二认证密钥作为pc3接口的第一密钥。其中，邻近服务器从aanf获得该第二认证密钥k
af
，并将其发送给邻近通信功能。也即，pc3接口的第一密钥可通过第二认证密钥k
af
来实现。
150.可选的，邻近通信功能还可根据所述第二认证密钥k
af
计算第二密钥，所述第二密钥为用于邻近通信的密钥。在计算第二密钥时，可根据k
af
，字符串“prose”以及af id(prose应用功能的标识)获得。
151.此外，邻近通信功能还可计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。
152.例如，邻近通信功能可基于pc3接口的第一密钥和字符串“enc”获得用于pc3接口的加密的密钥，基于pc3接口的第一密钥和字符串“int”获得用于pc3接口的完整性保护的密钥。
153.参见图2，图2是本发明实施例提供的信息处理方法的流程图，应用于ue，如图2所示，包括以下步骤：
154.步骤201、向邻近通信功能发送请求信息，所述请求信息用于使得所述邻近通信功能确定述邻近通信功能和ue之间的pc3接口的应用层保护方法；
155.其中，所述应用层保护方法包括：akma。
156.在本发明实施例中，对于不支持gba的ue，可在ue和邻近通信功能之间通过akma等方式进行pc3接口的保护，从而可保证ue在执行prose配置时的安全性。
157.可选的，在步骤201之后，所述方法还可包括：
158.在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma；所述方法还包括：
159.接收邻近通信功能重新确定的所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法，其中，所述邻近通信功能在不支持akma的情况下，重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法；
160.或者，接收所述邻近通信功能的失败响应，其中，所述失败响应是所述邻近通信功能在不支持akma的情况下发送的。
161.在上述实施例的基础上，为进一步加强对pc3接口的保护，本发明实施例的方法还可包括：
162.确定邻近通信的认证密钥。
163.可选的，ue可向所述邻近通信功能发送注册请求，在所述注册请求中携带第二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥，并计算第一密钥。具体的，ue可根据k
ausf
、字符串“prose”以及supi获得第一密钥。
164.在计算了第一密钥的基础上，所述注册请求还包括第三指示和第四指示，所述第三指示用于表示所述ue支持akma，所述第四指示为邻近服务指示。ue还可计算第二密钥，所述第二密钥为用于邻近通信的密钥。在计算第二密钥时，可根据k
af
，字符串“prose”以及af id(prose应用的标识)获得。
165.或者，ue还可生成第二认证密钥k
af
，所述第二认证密钥作为pc3接口的第一密钥；或者从aanf获取第二认证密钥k
af
，所述第二认证密钥作为pc3接口的第一密钥。
166.ue在计算第二认证密钥k
af
时，可根据k
akma
和af id(prose应用的标识)获得。
167.此外，ue还可根据所述第二认证密钥k
af
计算第二密钥，所述第二密钥为用于邻近通信的密钥，以及计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。在计算第二密钥时，可根据k
af
，字符串“prose”以及af id(prose应用的标识)获得。
168.例如，ue可基于pc3接口的第一密钥和字符串“enc”获得用于pc3接口的加密的密钥，基于pc3接口的第一密钥和字符串“int”获得用于pc3接口的完整性保护的密钥。
169.参见图3，图3是本发明实施中ue和网络设备之间协商应用层保护方法的过程示意图。如图3所示，该实施例可包括：
170.步骤301、ue向prose function发起pc3的会话请求，在该会话请求中没有指示ue所希望的所使用的应用层保护方法。
171.步骤302、prose function向pcf(policy control function，策略控制功能实体)请求网络的应用安全策略。
172.步骤303、pcf根据ue的信息(ue的能力信息)、udr(unified data repository，统一数据存储库)中保存的af(application function，应用功能)的签约信息，即应用安全策略，对某类应用采用akma/gba/其他保护方式进行选择决策，决定对邻近通信的pc3接口采用的应用层保护方法。若pcf选择采用akma方式，则pcf指示prose function采用akma进行邻近发现的安全保护。其中，应用安全策略中包括应用保护方法以及应用id。
173.步骤304、prose function也可以根据预配置的网络策略决定针对该ue的应用层保护方法，如使用gba或者akma或者其他保护方式。
174.其中，步骤302-303和步骤304是两种并列的实现方式。在具体应用中，具体采用哪种方式，可取决于最终的实现。
175.步骤305、prose function在会话响应中告知ue采用的应用层保护方法，即安全保护方式。
176.参见图4，图4是本发明实施中生成密钥的过程示意图。如图4所示，该实施例可包括：
177.步骤401、ue在注册请求中携带prose指示[pau]，指示希望通过主认证中的k
ausf
产生pc3接口的密钥，以保护pc3接口。
[0178]
具体的，在ue发起的与prose function的会话请求指示[pau]，告知prose function需要向核心网获取用于保护pc3接口的密钥。
[0179]
步骤402、prose function在收到ue的会话请求后，向ausf(authentication server function，鉴权服务功能)请求密钥。
[0180]
步骤403、ausf向udm(unified data management，统一数据管理)验证ue的prose的服务授权。若ausf确认该ue已经签约prose服务，则可基于k
ausf
计算pc3接口的密钥，ausf将计算pc3接口的密钥。在计算该密钥的过程中可通过pros app id作为参数。
[0181]
步骤404、ausf将pc3接口的密钥发送给prose function。
[0182]
prose function收到该密钥后可保存。
[0183]
步骤405、prose function向ue发送注册接受(registration accept)消息。
[0184]
步骤406、ue计算pc3接口的密钥。
[0185]
可选的，在上述过程中，如果ue在注册请求中携带akma指示之外，还附加了prose service服务指示，则说明ue希望告知ausf基于akma的k
akma
密钥计算prose的密钥。那么，ausf计算prose的专用密钥之后，将其发送给prose function。ue同步计算prose的专用密钥。
[0186]
参见图5，图5是本发明实施中生成密钥的过程示意图。如图5所示，该实施例可包括：
[0187]
步骤501、ue向prose function发起pc3的发现请求。
[0188]
步骤502、prose function向udm确认ue的prose的签约信息。若ue签约了prose，且prose function决定选择akma作为保护pc3接口的方法，则prose function将向prose server发请求需要获取akma密钥，并且发送【pak】指示给ue，指示采用akma方式保护pc3接口。
[0189]
步骤503、ue将基于k
ausf
计算k
akma
，进而计算k
af
。
[0190]
步骤504、prose server向aanf请求k
af
。
[0191]
步骤505、prose server向prose function发送k
af
。
[0192]
ue与prose function基于k
af
作为建立tls(transport layer security，传输层安全)的共享密钥。
[0193]
参见图6，图6是本发明实施中生成密钥的过程示意图。如图6所示，该实施例可包括：
[0194]
步骤601、ue向prose function发送会话请求，如果会话请求中携带akma的指示，指示希望通过akma进行prose的保护，即在ue发起的与prose function的会话请求指示[akma]。
[0195]
步骤602、prose function根据该指示，向aanf请求基于akma密钥计算的k
af
，并指示确认通过akma的应用密钥保护prose pc3接口。
[0196]
步骤603、aanf将k
af
密钥发给prose function。
[0197]
步骤604、若网络支持akma服务功能，prose function向ue发送会话响应，确认采用akma方式进行pc3的保护。若网络不支持akma服务功能或者akma签约即将到期，则prose function向ue返回会话响应失败，指示ue不能采用akma方式保护pc3接口，此时将不再执行步骤605。图中以prose function向ue发送会话响应为例进行图示。
[0198]
步骤605、ue计算k
af
密钥，并基于k
af
作为prose pc3接口建立tls的psk(pre-shared key，预共享密钥)。
[0199]
参见图7，图7是本发明实施中生成密钥的过程示意图。如图7所示，该实施例可包括：
[0200]
步骤701、ue向prose function发送会话请求，如果会话请求中携带akma的指示，指示希望通过akma进行prose的保护，即在ue发起的与prose function的会话请求指示[akma]。
[0201]
步骤702、若网络支持akma服务功能，prose function根据该指示，向aanf请求基于akma密钥计算的k
af
，并指示确认通过akma的应用密钥保护prose pc3接口，同时将prose参数发给ue，使得ue通过该参数计算prose pc3接口的专用密钥(用于pc3接口的密钥)。若网络不支持akma服务功能或者akma签约即将到期，则prose function向ue返回会话响应失败，指示ue不能采用akma方式保护pc3接口。此时步骤703～步骤706将不再执行。图中以网络支持akma服务功能为例进行图示。
[0202]
步骤703、aanf将k
af
密钥发给prose function。
[0203]
步骤704、prose function向ue发送会话响应，告知ue计算k
af
。
[0204]
步骤705、prose function基于k
af
计算prose的专用密钥(用于prose通信的密钥)。
[0205]
步骤706、ue基于k
af
计算prose的专用密钥。
[0206]
可选的，ue与prose function计算用于pc3接口的加密和完整性保护的密钥。
[0207]
通过以上描述可以看出，在本发明实施例，提供了一种对于计算能力有限或者不支持gba功能的ue在执行prose配置时的安全保护方法，从而可保证ue在执行prose配置时的安全性。
[0208]
本发明实施例还提供了一种信息处理装置，应用于邻近通信功能。参见图8，图8是本发明实施例提供的信息处理装置的结构图。由于信息处理装置解决问题的原理与本发明实施例中信息处理方法相似，因此该信息处理装置的实施可以参见方法的实施，重复之处不再赘述。
[0209]
如图8所示，信息处理装置800包括：第一获取模块801，用于获取第一信息；第一确定模块802，用于根据所述第一信息，确定所述邻近通信功能和ue之间的pc3接口的应用层保护方法；
[0210]
其中，所述第一信息包括：ue的签约信息，网络的应用安全策略，ue的请求信息中的一项；
[0211]
其中，所述应用层保护方法包括：akma。
[0212]
可选的，如果所述第一信息包括所述ue的签约信息，所述第一确定模块802包括：第一获取子模块，用于从udm获取所述ue的prose的签约信息；第一确定子模块，用于如果所述ue的签约信息表示所述ue签约了prose，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
[0213]
可选的，如果所述第一信息包括所述网络的应用安全策略，所述第一确定模块802包括：第一接收子模块，用于接收所述ue的会话请求；第一发送子模块，用于向策略控制功能实体pcf请求网络的应用安全策略，并接收所述pcf的第一信息；第一确定子模块，用于根据所述第一信息，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
[0214]
可选的，如果所述第一信息包括所述网络的应用安全策略，所述第一确定模块802
包括：第一接收子模块，用于接收所述ue的会话请求；第一确定子模块，用于根据所述会话请求以及预配置的网络的应用安全策略，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
[0215]
可选的，如果所述第一信息包括所述ue的请求信息，所述第一确定模块802包括：第一接收子模块，用于接收所述ue的请求信息，在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma；第一确定子模块，用于如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能支持akma，则确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma；第二确定子模块，用于如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法，并将重新确定的所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法通知给ue；或者，如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则向所述ue发送失败响应。
[0216]
可选的，所述装置还可包括：
[0217]
第二确定模块，用于确定邻近通信的认证密钥。
[0218]
可选的，所述第二确定模块包括：第一接收子模块，用于接收所述ue的注册请求，在所述注册请求中携带第二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥；第一获取子模块，用于根据所述注册请求，从ausf获取所述第一密钥，其中，所述第一密钥是ausf计算得到的。
[0219]
可选的，所述装置还可包括：第一获取模块，用于根据所述注册请求从所述ausf获取第二密钥，所述注册请求中还包括第三指示和第四指示，所述第三指示用于表示所述ue支持akma，所述第四指示为邻近服务指示，所述第二密钥为用于邻近通信的密钥。
[0220]
可选的，所述第二确定模块用于，从邻近服务器或akma锚点功能aanf获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的第一密钥。
[0221]
可选的，所述装置还可包括：第一计算模块，用于根据所述第二认证密钥k
af
计算第二密钥，所述第二密钥为用于邻近通信的密钥。
[0222]
可选的，所述装置还可包括：第二计算模块，用于计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。
[0223]
本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
[0224]
本发明实施例还提供了一种信息处理装置，应用于ue。参见图9，图9是本发明实施例提供的信息处理装置的结构图。由于信息处理装置解决问题的原理与本发明实施例中信息处理方法相似，因此该信息处理装置的实施可以参见方法的实施，重复之处不再赘述。
[0225]
如图9所示，信息处理装置900包括：第一发送模块901，用于向邻近通信功能发送请求信息，所述请求信息用于使得所述邻近通信功能确定述邻近通信功能和ue之间的pc3接口的应用层保护方法；
[0226]
其中，所述应用层保护方法包括：akma。
[0227]
可选的，在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma；所述装置还可包括：
[0228]
第一接收模块，用于接收邻近通信功能重新确定的所述邻近通信功能和所述ue之
间的pc3接口的应用层保护方法，其中，所述邻近通信功能在不支持akma的情况下，重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法；或者，接收所述邻近通信功能的失败响应，其中，所述失败响应是所述邻近通信功能在不支持akma的情况下发送的。
[0229]
可选的，所述装置还可包括：第一确定模块，用于确定邻近通信的认证密钥。
[0230]
可选的，所述第一确定模块，包括：第一发送子模块，用于向所述邻近通信功能发送注册请求，在所述注册请求中携带第二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥；第一计算子模块，用于计算第一密钥。
[0231]
可选的，所述注册请求还包括第三指示和第四指示，所述第三指示用于表示所述ue支持akma，所述第四指示为邻近服务指示；所述装置还可包括：第二计算子模块，用于计算第二密钥，所述第二密钥为用于邻近通信的密钥。
[0232]
可选的，所述第一确定模块用于生成第二认证密钥k
af
，所述第二认证密钥为pc3接口的密钥；或者，从aanf获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的密钥。
[0233]
可选的，所述装置还可包括：
[0234]
第一计算模块，用于根据所述第二认证密钥k
af
计算第二密钥，所述第二密钥为用于邻近通信的密钥；第二计算模块，用于计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。
[0235]
本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
[0236]
需要说明的是，本技术实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0237]
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0238]
如图10所示，本发明实施例的信息处理设备，应用于邻近通信功能，包括：处理器1000，用于读取存储器1020中的程序，执行下列过程：
[0239]
获取第一信息；
[0240]
根据所述第一信息，确定所述邻近通信功能和用户设备ue之间的pc3接口的应用层保护方法；
[0241]
其中，所述第一信息包括：ue的签约信息，网络的应用安全策略，ue的请求信息中的一项；
[0242]
其中，所述应用层保护方法包括：akma。
[0243]
收发机1010，用于在处理器1000的控制下接收和发送数据。
[0244]
其中，在图10中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1000代表的一个或多个处理器和存储器1020代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1010可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。处理器1000负责管理总线架构和通常的处理，存储器1020可以存储处理器1000在执行操作时所使用的数据。
[0245]
处理器1010可以是中央处埋器(cpu)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或复杂可编程逻辑器件(complex programmable logic device，cpld)，处理器也可以采用多核架构。
[0246]
处理器1000负责管理总线架构和通常的处理，存储器1020可以存储处理器1000在执行操作时所使用的数据。
[0247]
如果所述第一信息包括所述ue的签约信息，处理器1000还用于读取所述程序，执行如下步骤：
[0248]
从udm获取所述ue的prose的签约信息；
[0249]
如果所述ue的签约信息表示所述ue签约了prose，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
[0250]
如果所述第一信息包括所述网络的应用安全策略，处理器1000还用于读取所述程序，执行如下步骤：
[0251]
接收所述ue的会话请求；
[0252]
根据所述会话请求，向pcf请求网络的应用安全策略，并接收所述pcf的第一信息；
[0253]
根据所述第一信息，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
[0254]
如果所述第一信息包括所述网络的应用安全策略，处理器1000还用于读取所述程序，执行如下步骤：
[0255]
接收所述ue的会话请求；
[0256]
根据所述会话请求以及预配置的网络的应用安全策略，确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma。
[0257]
如果所述第一信息包括所述ue的请求信息，处理器1000还用于读取所述程序，执行如下步骤：
[0258]
接收所述ue的请求信息，在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma；
[0259]
如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能支持akma，则确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法为akma；
[0260]
如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法，并将重新确定的所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法通知给ue；或者，
如果根据所述请求信息以及预配置的网络的应用安全策略确定邻近通信功能不支持akma，则向所述ue发送失败响应。
[0261]
处理器1000还用于读取所述程序，执行如下步骤：
[0262]
确定邻近通信的认证密钥。
[0263]
处理器1000还用于读取所述程序，执行如下步骤：
[0264]
接收所述ue的注册请求，在所述注册请求中携带第二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥；
[0265]
根据所述注册请求，从鉴权服务功能ausf获取所述第一密钥，其中，所述第一密钥是ausf计算得到的。
[0266]
处理器1000还用于读取所述程序，执行如下步骤：
[0267]
根据所述注册请求从所述ausf获取第二密钥，所述注册请求中还包括第三指示和第四指示，所述第三指示用于表示所述ue支持akma，所述第四指示为邻近服务指示，所述第二密钥为用于邻近通信的密钥。
[0268]
处理器1000还用于读取所述程序，执行如下步骤：
[0269]
从邻近服务器或akma锚点功能aanf获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的第一密钥。
[0270]
处理器1000还用于读取所述程序，执行如下步骤：
[0271]
从邻近服务器获取或akma锚点功能aanf获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的密钥；
[0272]
根据所述第二认证密钥k
af
计算第二密钥，所述第二密钥为用于邻近通信的密钥。
[0273]
处理器1000还用于读取所述程序，执行如下步骤：
[0274]
计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。
[0275]
本发明实施例提供的设备，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
[0276]
如图11所示，本发明实施例的信息处理设备，应用于ue，包括：处理器1100，用于读取存储器1120中的程序，执行下列过程：
[0277]
向邻近通信功能发送请求信息，所述请求信息用于使得所述邻近通信功能确定述邻近通信功能和ue之间的pc3接口的应用层保护方法；
[0278]
其中，所述应用层保护方法包括：akma。
[0279]
收发机1110，用于在处理器1100的控制下接收和发送数据。
[0280]
其中，在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1100代表的一个或多个处理器和存储器1120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1110可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备，用户接口1130还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
[0281]
处理器1100负责管理总线架构和通常的处理，存储器1120可以存储处理器1100在执行操作时所使用的数据。
[0282]
处理器1110可以是中央处埋器(cpu)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或复杂可编程逻辑器件(complex programmable logic device，cpld)，处理器也可以采用多核架构。
[0283]
在所述请求信息中携带第一指示，所述第一指示用于表示所述ue支持akma；处理器1100还用于读取所述程序，执行如下步骤：
[0284]
接收邻近通信功能重新确定的所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法，其中，所述邻近通信功能在不支持akma的情况下，重新确定所述邻近通信功能和所述ue之间的pc3接口的应用层保护方法；
[0285]
或者，接收所述邻近通信功能的失败响应，其中，所述失败响应是所述邻近通信功能在不支持akma的情况下发送的。
[0286]
处理器1100还用于读取所述程序，执行如下步骤：
[0287]
确定邻近通信的认证密钥。
[0288]
向所述邻近通信功能发送注册请求，在所述注册请求中携带第二指示，所述第二指示用于表示需要通过第一认证密钥k
ausf
产生pc3接口的第一密钥；
[0289]
计算第一密钥。
[0290]
处理器1100还用于读取所述程序，执行如下步骤：
[0291]
计算第二密钥，所述第二密钥为用于邻近通信的密钥。
[0292]
处理器1100还用于读取所述程序，执行如下步骤：
[0293]
生成第二认证密钥k
af
，所述第二认证密钥为pc3接口的密钥；或者
[0294]
从aanf获取第二认证密钥k
af
，所述第二认证密钥为pc3接口的密钥。
[0295]
处理器1100还用于读取所述程序，执行如下步骤：
[0296]
根据所述第二认证密钥k
af
计算第二密钥，所述第二密钥为用于邻近通信的密钥；
[0297]
计算第三密钥，所述第三密钥用于pc3接口的加密和完整性保护。
[0298]
本发明实施例提供的设备，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
[0299]
本发明实施例还提供一种可读存储介质，可读存储介质上存储有程序，该程序被处理器执行时实现上述信息处理方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的可读存储介质，可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(mo)等)、光学存储器(例如cd、dvd、bd、hvd等)、以及半导体存储器(例如rom、eprom、eeprom、非易失性存储器(nand flash)、固态硬盘(ssd))等。
[0300]
需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
[0301]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下
前者是更佳的实施方式。根据这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁盘、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
[0302]
上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。