PC5根密钥处理方法、装置、AUSF及远程终端与流程

pc5根密钥处理方法、装置、ausf及远程终端
技术领域
1.本发明涉及通信技术领域，尤其是指一种pc5接口的根密钥处理方法、装置、ausf及远程终端。


背景技术：

2.目前正在开发5g邻近服务(proximity service，prose)系统，指用户数据可不经网络中转而直接在终端之间传输。因为5g网络架构不同于4g网络架构，并且5g prose系统支持的功能也与4g prose不同，因此4g prose中网络中继(ue-to-network relay)的安全技术不适用于5g prose系统。
3.目前5g prose安全研究中包括两个技术方案。
4.技术方案一：每次远程终端(remote ue)注册到网络，均新生成pc5通信密钥。密钥由接入和移动性管理功能(access and mobility management function，amf)基于amf密钥生成。
5.技术方案二：鉴权服务器网元(authentication server function，ausf)为远程终端生成一个密钥标识，然后在需要pc5通信时，根据请求生成一个中继密钥。
6.针对技术方案一，由于每次终端注册都需要进行pc5密钥生成，效率低下，漫游场景方案不完整。密钥在amf中生成没有在ausf中合理。
7.而针对技术方案二，没有考虑远程终端使用签约隐藏标识符(subscription concealed identifier，suci)的场景，路由关系复杂且不实用；且该技术方案没有根密钥的概念。


技术实现要素：

8.本发明实施例的目的在于提供一种pc5接口的根密钥处理方法、装置、ausf及远程终端，以解决现有5g prose安全的技术方案效率低下或没有根密钥概念的问题。
9.为了解决上述问题，本发明实施例提供一种pc5根密钥处理方法，该方法包括：
10.远程终端的鉴权服务器网元ausf接收中继终端通过所述中继终端的目标网元发送的中继密钥请求消息；
11.所述ausf根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥；
12.所述ausf生成第一随机数，根据所述第一随机数以及所述pc5根密钥，生成中继终端和远程终端之间安全通信的中继密钥；
13.所述ausf通过中继终端的目标网元向所述中继终端发送中继密钥响应消息；所述中继密钥响应消息中包括：所述中继密钥，所述第一随机数。
14.其中，在所述中继密钥请求消息中包括pc5根密钥的标识的情况下，
15.所述ausf根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥，包括：
16.所述ausf向统一数据管理网元udm发送第一请求消息，所述第一请求消息中包括：远程终端的supi以及pc5根密钥的标识；
17.所述ausf接收所述udm发送的第一响应消息，所述第一响应消息中包括：所述pc5根密钥的标识对应的pc5根密钥。
18.其中，在所述中继密钥请求消息中不包括pc5根密钥的标识，或者，所述ausf确定更新所述远程终端的pc5根密钥的情况下，
19.所述ausf根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥，包括：
20.所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
21.所述中继密钥响应消息还包括：pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识。
22.其中，所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识之后，所述方法还包括：
23.所述ausf将所述pc5根密钥以及所述pc5根密钥的标识发送给所述远程终端的udm，由所述远程终端的udm进行存储。
24.其中，所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识，包括：
25.所述ausf生成第二随机数，根据所述第二随机数和所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
26.或者，
27.所述ausf生成第二随机数，根据所述第二随机数、所述远程终端的ausf密钥以及所述远程终端生成的第三随机数，生成pc5根密钥以及所述pc5根密钥的标识。
28.其中，所述方法还包括：
29.利用所述pc5根密钥或者所述pc5根密钥的派生密钥，生成对pc5根密钥生成信息进行完整性保护的消息验证码；
30.所述中继密钥响应消息中还包括：所述消息验证码；或者，所述中继密钥响应消息中还包括：所述消息验证码以及生成所述消息验证码所需的参数。
31.其中，在所述中继密钥请求消息中包括pc5根密钥的标识的情况下，
32.ausf接收中继终端通过所述中继终端的目标网元发送的中继密钥请求消息之前，所述方法包括：
33.所述ausf接收远程终端通过所述远程终端的接入网元发送的pc5根密钥请求消息；
34.所述ausf根据所述pc5根密钥请求消息，对所述远程终端进行授权检查；
35.在确定所述远程终端为被授权的远程终端的情况下，所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
36.所述ausf通过所述远程终端的接入网元向所述远程终端发送pc5根密钥响应消息，所述pc5根密钥响应消息中包括所述pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识。
37.其中，所述ausf根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥，包括：
38.所述ausf根据所述中继密钥请求消息，对远程终端进行授权检查；
39.在确定所述远程终端为被授权的远程终端的情况下，所述ausf获取所述远程终端的pc5根密钥。
40.其中，所述中继密钥请求消息中包括：远程终端的用户永久标识符supi，或者，所述远程终端的签约隐藏标识符suci。
41.本发明实施例还提供一种pc5根密钥处理方法，该方法包括：
42.远程终端向中继终端发送直接通信密钥请求消息；
43.所述远程终端接收所述中继终端反馈的直接通信密钥响应消息，所述直接通信密钥响应消息中包括所述远程终端的ausf生成中继密钥使用的第一随机数；
44.所述远程终端根据所述第一随机数和pc5根密钥，生成所述中继终端和远程终端之间安全通信的中继密钥。
45.其中，在所述远程终端存储了pc5根密钥以及所述pc5根密钥的标识的情况下，
46.所述直接通信密钥请求消息中包括：所述pc5根密钥的标识。
47.其中，在所述远程终端未存储pc5根密钥以及pc5根密钥的标识的情况下，所述直接通信密钥响应消息中还包括：pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识；
48.所述方法还包括：
49.所述远程终端根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥。
50.其中，生成所述pc5根密钥所需的参数包括：所述ausf生成pc5根密钥使用的第二随机数；
51.所述远程终端根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥，包括：
52.所述远程终端根据所述远程终端的ausf密钥以及所述第二随机数，生成所述pc5根密钥；
53.或者，
54.所述远程终端根据所述远程终端的ausf密钥、所述第二随机数以及所述远程终端生成的第三随机数，生成所述pc5根密钥。
55.其中，所述中继密钥响应消息中还包括：所述消息验证码；或者，所述中继密钥响应消息中还包括：所述消息验证码以及生成所述消息验证码所需的参数；所述消息验证码用于对pc5根密钥生成信息进行完整性保护。
56.其中，在所述远程终端存储了pc5根密钥以及所述pc5根密钥的标识的情况下，所述远程终端向中继终端发送直接通信密钥请求消息之前，所述方法还包括：
57.所述远程终端通过所述远程终端的接入网元向所述远程终端的ausf发送pc5根密钥请求消息；
58.所述远程终端接收所述ausf通过所述远程终端的接入网元反馈的pc5根密钥响应消息，所述pc5根密钥响应消息中包括所述pc5根密钥生成信息；所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识；
59.所述远程终端根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥。
60.其中，所述直接通信密钥请求消息中包括：所述远程终端的suci，或，所述远程终端的guti。
61.本发明实施例还提供一种pc5根密钥处理装置，应用于远程终端的鉴权服务器网元ausf，包括：
62.第一接收单元，用于接收中继终端通过所述中继终端的目标网元发送的中继密钥请求消息；
63.第一获取单元，用于根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥；
64.第一生成单元，用于生成第一随机数，根据所述第一随机数以及所述pc5根密钥，生成中继终端和远程终端之间安全通信的中继密钥；
65.第一发送单元，用于通过中继终端的目标网元向所述中继终端发送中继密钥响应消息；所述中继密钥响应消息中包括：所述中继密钥，所述第一随机数。
66.本发明实施例还提供一种鉴权服务器网元ausf，包括存储器，收发机，处理器；存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：
67.接收中继终端通过所述中继终端的目标网元发送的中继密钥请求消息；
68.根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥；
69.生成第一随机数，根据所述第一随机数以及所述pc5根密钥，生成中继终端和远程终端之间安全通信的中继密钥；
70.通过中继终端的目标网元向所述中继终端发送中继密钥响应消息；所述中继密钥响应消息中包括：所述中继密钥，所述第一随机数。
71.本发明实施例还提供一种pc5根密钥处理装置，应用于远程终端，包括：
72.第二发送模块，用于向中继终端发送直接通信密钥请求消息；
73.第二接收模块，用于接收所述中继终端反馈的直接通信密钥响应消息，所述直接通信密钥响应消息中包括所述远程终端的ausf生成中继密钥使用的第一随机数；
74.第二生成模块，用于根据所述第一随机数和pc5根密钥，生成所述中继终端和远程终端之间安全通信的中继密钥。
75.本发明实施例还提供一种远程终端，包括存储器，收发机，处理器；存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：
76.向中继终端发送直接通信密钥请求消息；
77.接收所述中继终端反馈的直接通信密钥响应消息，所述直接通信密钥响应消息中包括所述远程终端的ausf生成中继密钥使用的第一随机数；
78.根据所述第一随机数和pc5根密钥，生成所述中继终端和远程终端之间安全通信的中继密钥。
79.本发明实施例还提供一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器执行如上所述的方法。
80.本发明的上述技术方案至少具有如下有益效果：
81.本发明实施例的pc5接口的根密钥处理方法、装置、ausf及远程终端中，pc5根密钥
由远程终端的ausf生成，该ausf在对远程终端完成认证后，使用该远程终端的ausf密钥生成，符合5g系统中对ausf的定位。ausf生成的pc5根密钥存储在udm中，需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
附图说明
82.图1表示本发明实施例提供的pc5根密钥处理方法的步骤流程图之一；
83.图2表示本发明实施例提供的pc5根密钥处理方法中远程终端直接接入网络预先获取pc5根密钥的交互示意图；
84.图3表示本发明实施例提供的pc5根密钥处理方法的步骤流程图之二；
85.图4表示本发明实施例提供的pc5根密钥处理方法的应用示例的交互示意图；
86.图5表示本发明实施例提供的pc5根密钥处理装置的结构示意图之一；
87.图6表示本发明实施例提供的ausf的结构示意图；
88.图7表示本发明实施例提供的pc5根密钥处理装置的结构示意图之二；
89.图8表示本发明实施例提供的远程终端的结构示意图。
具体实施方式
90.为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。
91.本发明实施例中术语“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
92.本技术实施例中术语“多个”是指两个或两个以上，其它量词与之类似。
93.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，并不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
94.本技术实施例提供的技术方案可以适用于多种系统，尤其是5g系统。例如适用的系统可以是全球移动通讯(global system of mobile communication，gsm)系统、码分多址(code division multiple access，cdma)系统、宽带码分多址(wideband code division multiple access，wcdma)通用分组无线业务(general packet radio service，gprs)系统、长期演进(long term evolution，lte)系统、lte频分双工(frequency division duplex，fdd)系统、lte时分双工(time division duplex，tdd)系统、高级长期演进(long term evolution advanced，lte-a)系统、通用移动系统(universal mobile telecommunication system，umts)、全球互联微波接入(worldwide interoperability for microwave access，wimax)系统、5g新空口(new radio,nr)系统等。这多种系统中均包括终端设备和网络设备。系统中还可以包括核心网部分，例如演进的分组系统(evloved packet system,eps)、5g系统(5gs)等。
95.本技术实施例涉及的远程终端和/或中继终端，可以是指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理
设备等。在不同的系统中，远程终端和/或中继终端的名称可能也不相同，例如在5g系统中，远程终端和/或中继终端可以称为用户设备(user equipment，ue)。无线终端设备可以经无线接入网(radio access network,ran)与一个或多个核心网(core network,cn)进行通信，无线终端设备可以是移动终端设备，如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personal communication service，pcs)电话、无绳电话、会话发起协议(session initiated protocol，sip)话机、无线本地环路(wireless local loop，wll)站、个人数字助理(personal digital assistant，pda)等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户装置(user device)，本技术实施例中并不限定。
96.如图1所示，本发明实施例提供一种pc5根密钥处理方法，该方法包括：
97.步骤101，远程终端的鉴权服务器网元ausf接收中继终端通过所述中继终端的目标网元发送的中继密钥请求消息；
98.本步骤中，远程终端在需要与中继终端进行pc5通信的情况下，向中继终端发送直接通信密钥请求消息，接收到直接通信密钥请求消息的中继终端通过其接入的目标网元向ausf发送中继密钥请求消息。
99.步骤102，所述ausf根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥；其中，该pc5根密钥也可以称为：远程终端与中继终端之间的pc5接口的根密钥。该pc5根密钥用于辅助生成远程终端和中继终端之间的中继密钥。
100.步骤103，所述ausf生成第一随机数，根据所述第一随机数以及所述pc5根密钥，生成中继终端和远程终端之间安全通信的中继密钥；
101.本步骤中，ausf生成中继密钥时除了根据第一随机数和pc5根密钥，还可以结合远程终端生成的第三随机数和/或远程终端的中继服务代码(relay service code)。在ausf能够获取到第三随机数和/或中继服务代码的情况下，ausf根据第一随机数、pc5根密钥、第三随机数以及中继服务代码，生成中继密钥。
102.步骤104，所述ausf通过中继终端的目标网元向所述中继终端发送中继密钥响应消息；所述中继密钥响应消息中包括：所述中继密钥，所述第一随机数。
103.其中，中继终端的目标网元可以是中继终端的amf，或者，中继终端的amf以及中继终端的密钥管理功能网元(prose key management function，pkmf)。pkmf经amf与远程终端的ausf进行通信。
104.进一步的，本发明的上述实施例中，中继终端接收到中继密钥响应消息后，通过直接安全模式命令(direct security mode command)向远程终端发送用于生成中继密钥的第一随机数。远程终端利用pc5根密钥和第一随机数，采用与ausf相同的方法生成中继密钥，从而中继终端和远程终端之间可基于上述中继密钥实现pc5安全通信。
105.本发明的至少一个实施例中，若远程终端已经拥有一个pc5根密钥，则直接通信密钥请求消息中可以携带该pc5根密钥的标识(pc5 key id)，相应的，中继密钥请求消息中则
携带该pc5根密钥的标识；若远程终端未拥有pc5根密钥，则直接通信密钥请求消息中无法携带该pc5根密钥的标识，相应的，中继密钥请求消息中也无法携带pc5根密钥的标识。
106.作为一个可选实施例，在所述中继密钥请求消息中包括pc5根密钥的标识的情况下，步骤102包括：
107.所述ausf向统一数据管理网元udm发送第一请求消息，所述第一请求消息中包括：远程终端的supi以及pc5根密钥的标识；
108.所述ausf接收所述udm发送的第一响应消息，所述第一响应消息中包括：所述pc5根密钥的标识对应的pc5根密钥。
109.换言之，若远程终端提供了pc5根密钥的标识，且网络决定无需更新远程终端的pc5根密钥，则ausf向udm请求pc5根密钥的标识对应的pc5根密钥，udm获取指定的pc5根密钥并返回给ausf。
110.本发明实施例中，ausf生成的pc5根密钥存储在udm中，需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
111.作为另一个可选实施例，在所述中继密钥请求消息中不包括pc5根密钥的标识，或者，所述ausf确定更新所述远程终端的pc5根密钥的情况下(即使中继密钥请求消息中包括pc5根密钥的标识，ausf也可以决定不使用该pc5根密钥的标识对应的pc5根密钥，即更新远程终端的pc5根密钥)，步骤102包括：
112.所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
113.所述中继密钥响应消息还包括：pc5根密钥生成信息(pc5 key info)，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识。
114.例如，生成所述pc5根密钥所需的参数包括：ausf生成的用于生成pc5根密钥的随机数。
115.可选的，所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识，包括：
116.所述ausf生成第二随机数，根据所述第二随机数和所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
117.或者，
118.所述ausf生成第二随机数，根据所述第二随机数、所述远程终端的ausf密钥以及所述远程终端生成的第三随机数，生成pc5根密钥以及所述pc5根密钥的标识。
119.进一步的，在所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识之后，所述方法还包括：
120.所述ausf将所述pc5根密钥以及所述pc5根密钥的标识发送给所述远程终端的udm，由所述远程终端的udm进行存储。
121.换言之，ausf每次生成pc5根密钥以及pc5根密钥的标识后，将新生成的pc5根密钥以及pc5根密钥的标识存储在udm中。需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
122.作为又一个可选实施例，所述方法还包括：
123.利用所述pc5根密钥或者所述pc5根密钥的派生密钥，生成对pc5根密钥生成信息
进行完整性保护的消息验证码(message authentication code，mac)；
124.所述中继密钥响应消息中还包括：所述消息验证码；或者，所述中继密钥响应消息中还包括：所述消息验证码以及生成所述消息验证码所需的参数。
125.需要说明的是，若中继密钥请求消息中包括pc5根密钥的标识，则表明远程终端已经拥有一个pc5根密钥；而关于远程终端如何拥有一个pc5根密钥，本发明实施例提供两种方式：
126.方式一：在远程终端不能与网络直接连接的情况下，向中继终端不包括pc5根密钥的标识的直接通信密钥请求消息，中继终端通过目标网元向ausf发送不包括pc5根密钥的标识的中继密钥请求消息，ausf为远程终端生成pc5根密钥和pc5根密钥的标识，并通过pc5根密钥生成信息发送给远程终端。
127.方式二：在远程终端能够与网络直接连接的情况下，通过远程终端接入的网元预先获得pc5根密钥和pc5根密钥的标识。
128.针对方式二，所述方法包括：
129.所述ausf接收远程终端通过所述远程终端的接入网元(例如远程终端的amf)发送的pc5根密钥请求消息；
130.所述ausf根据所述pc5根密钥请求消息，对所述远程终端进行授权检查；
131.在确定所述远程终端为被授权的远程终端的情况下，所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
132.所述ausf通过所述远程终端的接入网元向所述远程终端发送pc5根密钥响应消息，所述pc5根密钥响应消息中包括所述pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识。
133.如图2所示，远程终端预先获取pc5根密钥和pc5根密钥的标识的流程如下：
134.步骤21，远程终端注册并认证到网络；
135.步骤22，远程终端通过远程终端的amf向远程终端的ausf发送pc5根密钥请求消息，该pc5根密钥请求消息中可以包括远程终端的guti或suci，ausf可以根据远程终端的guti或suci获取远程终端的supi；
136.步骤23，ausf根据远程终端的supi对远程终端进行授权检查；
137.步骤24，ausf确定远程终端为被授权终端的情况下，ausf根据远程终端的ausf密钥导出pc5根密钥，生成pc5根密钥的标识和pc5根密钥生成信息；
138.步骤25，ausf将pc5根密钥和pc5根密钥的标识存储到远程终端的udm；
139.步骤26，ausf通过远程终端的amf向远程终端发送pc5根密钥响应消息，该pc5根密钥响应消息中包括pc5根密钥生成信息；
140.步骤27，远程终端根据pc5根密钥生成信息，导出pc5根密钥以及pc5根密钥的标识，并存储。
141.本发明的至少一个实施例中，步骤102包括：
142.所述ausf根据所述中继密钥请求消息，对远程终端进行授权检查；
143.在确定所述远程终端为被授权的远程终端的情况下，所述ausf获取所述远程终端的pc5根密钥；
144.其中，所述中继密钥请求消息中包括：远程终端的用户永久标识符supi，或者，所
述远程终端的签约隐藏标识符suci。
145.具体的，ausf根据中继密钥请求消息，确定远程终端的supi((subscription permanent identifier，sim卡的用户永久标识符)；ausf根据远程终端的supi对远程终端进行授权检查。
146.其中，若中继请求消息中包括suci，ausf确定远程终端的supi的方式包括：则远程终端的ausf向udm请求一个认证向量(authentication vector，av)；udm返回一个av，以及远程终端的supi。
147.若中继请求消息中包括远程终端的supi，则远程终端的supi由中继终端的目标网元根据远程终端的guti(globally unique temporary ue identity，全球唯一临时ue标识)获得。
148.需要说明的是，若远程终端提供的是远程终端的suci，则远程终端的ausf，中继终端的amf和远程终端需通过中继终端执行初始认证(primary authentication)过程，在此做详细描述。
149.综上，本发明实施例中，pc5根密钥由远程终端的ausf生成，该ausf在对远程终端完成认证后，使用该远程终端的ausf密钥生成，符合5g系统中对ausf的定位。ausf生成的pc5根密钥存储在udm中，需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
150.如图3所示，本发明实施例还提供一种pc5根密钥处理方法，该方法包括：
151.步骤301，远程终端向中继终端发送直接通信密钥请求消息；
152.本步骤中，远程终端在需要与中继终端进行pc5通信的情况下，向中继终端发送直接通信密钥请求消息，接收到直接通信密钥请求消息的中继终端通过其接入的目标网元向ausf发送中继密钥请求消息；所述ausf根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥；所述ausf生成第一随机数，根据所述第一随机数以及所述pc5根密钥，生成中继终端和远程终端之间安全通信的中继密钥。
153.步骤302，所述远程终端接收所述中继终端反馈的直接通信密钥响应消息，所述直接通信密钥响应消息中包括所述远程终端的ausf生成中继密钥使用的第一随机数；
154.本步骤中，中继终端接收到中继密钥响应消息后，通过直接通信密钥响应消息向远程终端发送用于生成中继密钥的第一随机数。其中，直接通信密钥响应消息为直接安全模式命令(direct security mode command)。
155.步骤303，所述远程终端根据所述第一随机数和pc5根密钥，生成所述中继终端和远程终端之间安全通信的中继密钥。
156.进一步的，中继终端还可以生成一个第四随机数，并将第四随机数携带在直接通信密钥响应消息中发送给远程终端，中继终端可以使用中继密钥、第四随机数以及远程终端生成的第三随机数，生成会话密钥(session key)，并使用会话密钥保护direct security mode command消息。远程终端也使用中继密钥、第四随机数以及远程终端生成的第三随机数，生成会话密钥(session key)，并使用会话密钥保护直接安全模式完成(direct security mode complete)消息。最后，远程终端和中继终端使用协商出的会话密钥进行安全通信。
157.本发明的至少一个实施例中，若远程终端已经拥有一个pc5根密钥，则直接通信密
钥请求消息中可以携带该pc5根密钥的标识(pc5 key id)，相应的，中继密钥请求消息中则携带该pc5根密钥的标识；若远程终端未拥有pc5根密钥，则直接通信密钥请求消息中无法携带该pc5根密钥的标识，相应的，中继密钥请求消息中也无法携带pc5根密钥的标识。
158.作为一个可选实施例，在所述远程终端存储了pc5根密钥以及所述pc5根密钥的标识的情况下，
159.所述直接通信密钥请求消息中包括：所述pc5根密钥的标识。
160.此种情况下，步骤303中远程终端生成中继密钥时使用的是：远程终端本地存储的pc5根密钥。
161.作为另一个可选实施例，在所述远程终端未存储pc5根密钥以及pc5根密钥的标识的情况下，所述直接通信密钥响应消息中还包括：pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识；
162.所述方法还包括：
163.所述远程终端根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥。
164.此种情况下，步骤303中远程终端生成中继密钥时使用的是：远程终端根据ausf密钥以及ausf发送的生成pc5根密钥所需的参数生成的pc5根密钥。
165.例如，生成所述pc5根密钥所需的参数包括：所述ausf生成pc5根密钥使用的第二随机数。
166.可选的，远程终端使用与ausf相同的方法生成pc5根密钥，例如：
167.根据远程终端的ausf密钥以及ausf生成的第二随机数，生成pc5根密钥；
168.或者，
169.根据远程终端的ausf密钥、ausf生成的第二随机数以及远程终端生成的第三随机数，生成pc5根密钥。
170.作为又一个可选实施例，所述中继密钥响应消息中还包括：所述消息验证码；或者，所述中继密钥响应消息中还包括：所述消息验证码以及生成所述消息验证码所需的参数；所述消息验证码用于对pc5根密钥生成信息进行完整性保护。远程终端利用消息验证码验证pc5根密钥生成信息的完整性，在确认完整性的前提下，再根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥。
171.需要说明的是，若中继密钥请求消息中包括pc5根密钥的标识，则表明远程终端已经拥有一个pc5根密钥；而关于远程终端如何拥有一个pc5根密钥，本发明实施例提供两种方式：
172.方式一：在远程终端不能与网络直接连接的情况下，向中继终端不包括pc5根密钥的标识的直接通信密钥请求消息，中继终端通过目标网元向ausf发送不包括pc5根密钥的标识的中继密钥请求消息，ausf为远程终端生成pc5根密钥和pc5根密钥的标识，并通过pc5根密钥生成信息发送给远程终端。
173.方式二：在远程终端能够与网络直接连接的情况下，通过远程终端接入的网元预先获得pc5根密钥和pc5根密钥的标识。其具体流程如图2所示，在此不再重复赘述。
174.针对方式二，即在所述远程终端存储了pc5根密钥以及所述pc5根密钥的标识的情况下，步骤301之前，所述方法还包括：
175.所述远程终端通过所述远程终端的接入网元向所述远程终端的ausf发送pc5根密钥请求消息；
176.所述远程终端接收所述ausf通过所述远程终端的接入网元反馈的pc5根密钥响应消息，所述pc5根密钥响应消息中包括所述pc5根密钥生成信息；所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识；
177.所述远程终端根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥。
178.作为一个可选实施例，所述直接通信密钥请求消息中包括：所述远程终端的suci，或，所述远程终端的全球唯一临时终端标识guti。
179.若直接通信密钥请求消息中包括远程终端的guti，则远程终端的supi由中继终端的目标网元根据远程终端的guti(globally unique temporary ue identity，全球唯一临时ue标识)获得。
180.若直接通信密钥请求消息中包括远程终端的suci，远程终端的ausf向udm请求一个认证向量(authentication vector，av)；udm返回一个av，以及远程终端的supi。进一步的，若远程终端提供的是远程终端的suci，则远程终端的ausf，中继终端的amf和远程终端需通过中继终端执行初始认证(primary authentication)过程，在此做详细描述。
181.综上，本发明实施例中，pc5根密钥由远程终端的ausf生成，该ausf在对远程终端完成认证后，使用该远程终端的ausf密钥生成，符合5g系统中对ausf的定位。ausf生成的pc5根密钥存储在udm中，需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
182.为了更清楚的描述本发明实施例提供的pc5根密钥处理方法，下面结合一应用示例对pc5根密钥的获取流程进行描述，如图4所示：
183.步骤41，远程终端生成一个随机数3，然后向中继终端发送一个直接通信密钥请求。请求中包含有：suci或guti；可选的，该请求中还包括：pc5根密钥标识(pc5 key id)，中继服务代码(relay service code)，随机数3。若远程终端已经注册至网络，则请求中应包含guti(globally unique temporary ue identity，全球唯一临时ue标识)，否则，应包含suci(subscription concealed identifier，签约隐藏标识符)；若远程终端已经拥有一个pc5根密钥，则请求中包含有该pc5根密钥的标识(pc5 key id)。
184.步骤42，中继终端向其amf(或者中继终端通过pkmf向amf)发送中继密钥请求(relay key request)。请求中包含有远程终端提供的suci或guti；可选的，还包括：pc5 key id，relay service code，随机数3。中继密钥将用于在远程终端和中继终端之间建立安全的一对一直接通信(one-to-one direct communication)。
185.步骤43，中继终端的amf(或pkmf)检查中继终端是否被授权为中继ue。若中继终端被授权为中继终端，则amf继续执行下面的操作。
186.步骤44，若远程终端提供了guti，则中继终端的amf应基于guti获得对应的supi。中继终端的amf向远程终端的ausf发送中继密钥请求(relay key request)。请求中包含有远程终端提供的suci或amf获取的supi；可选的，还包括relay key id，relay service code，随机数3。
187.步骤45，如果中继密钥请求中包含有suci，则远程终端的ausf向远程终端的udm请
求一个认证向量(authentication vector，av)。
188.步骤46，远程终端的udm返回一个av，以及远程终端的supi。
189.步骤47，远程终端的ausf基于远程终端的supi检查远程终端是否被授权为远程终端。若远程终端被授权为远程终端，则继续执行下面的操作。
190.步骤48，若远程终端提供了pc5 key id，则远程终端的ausf向udm请求pc5根密钥。请求消息中包含有：supi，pc5 key id。
191.步骤49，udm获取指定的pc5根密钥，并返回给ausf。
192.步骤50，若远程终端提供的是suci，则远程终端的ausf，中继终端的amf和远程终端通过中继终端执行初始认证(primary authentication)过程。
193.步骤51，若远程终端没有提供pc5 key id，或者网络决定更新远程终端的pc5根密钥，则远程终端的ausf利用远程终端的密钥kausf导出新的pc5根密钥。ausf为该pc5根密钥生成新的根密钥标识pc5 key id；ausf生成pc5根密钥生成信息(pc5 key info)。pc5 key info中提供了生成新pc5 key所需的参数，例如ausf生成的用于生成pc5根密钥的随机数等，该密钥的生成还可使用来自远程终端的信息，例如随机数3。可选的，pc5 key info还可以被完整性保护，例如使用新生成的根密钥或其派生密钥生成消息验证码(message authentication code，mac)，此时，还应将指示如何生成mac的信息和mac本身发送给远程终端。
194.步骤52，远程终端的ausf将新生成的pc5根密钥和pc5 key id存储在udm中。
195.步骤53，远程终端的ausf生成一个用于生成中继密钥的随机数1(relay key freshness)；利用pc5根密钥，随机数1及其他参数，例如随机数3，relay service code等导出中继密钥(relay key)。
196.步骤54，远程终端的ausf将relay key，随机数1，pc5 key info(如果存在)发送给中继终端的amf。
197.步骤55，中继终端的amf将relay key，随机数1，pc5 key info(如果存在)发送给中继终端。
198.步骤56，中继终端生成一个随机数4，并将随机数1，随机数4，pc5 key info(如果存在)通过直接安全模式命令(direct security mode command)发送给远程终端。中继终端可使用中继密钥，随机数3，随机数4等参数生成会话密钥(session key)，并使用会话密钥保护direct security mode command消息。
199.步骤57，若消息中包含有pc5 key info，则远程终端利用本地的密钥kausf及pc5 key info中的参数，采用与ausf相同的方法导出pc5根密钥，并从pc5 key info中获得该pc5根密钥的标识(pc5 key id)。远程终端存储pc5根密钥和pc5 key id。
200.步骤58，远程终端利用pc5根密钥，随机数1等参数，采用与ausf相同的方法导出中继密钥。
201.步骤59，远程终端向中继终端发送直接安全模式完成(direct security mode complete)消息。远程终端可使用中继密钥，随机数3，随机数4等参数生成会话密钥(session key)，并使用会话密钥保护direct security mode complete消息。
202.步骤60，远程终端和中继终端使用协商出的会话密钥进行安全通信。
203.本发明实施例中，pc5根密钥由远程终端的ausf生成，该ausf在对远程终端完成认
证后，使用该远程终端的ausf密钥生成，符合5g系统中对ausf的定位。ausf生成的pc5根密钥存储在udm中，需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
204.如图5所示，本发明实施例还提供一种pc5根密钥处理装置，应用于远程终端的鉴权服务器网元ausf，包括：
205.第一接收单元501，用于接收中继终端通过所述中继终端的目标网元发送的中继密钥请求消息；
206.第一获取单元502，用于根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥；
207.第一生成单元503，用于生成第一随机数，根据所述第一随机数以及所述pc5根密钥，生成中继终端和远程终端之间安全通信的中继密钥；
208.第一发送单元504，用于通过中继终端的目标网元向所述中继终端发送中继密钥响应消息；所述中继密钥响应消息中包括：所述中继密钥，所述第一随机数。
209.作为一个可选实施例，在所述中继密钥请求消息中包括pc5根密钥的标识的情况下，
210.所述第一获取单元包括：
211.第一子单元，用于向统一数据管理网元udm发送第一请求消息，所述第一请求消息中包括：远程终端的supi以及pc5根密钥的标识；
212.第二子单元，用于接收所述udm发送的第一响应消息，所述第一响应消息中包括：所述pc5根密钥的标识对应的pc5根密钥。
213.作为一个可选实施例，在所述中继密钥请求消息中不包括pc5根密钥的标识，或者，所述ausf确定更新所述远程终端的pc5根密钥的情况下，
214.所述第一获取单元包括：
215.第三子单元，用于基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
216.所述中继密钥响应消息还包括：pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识。
217.作为一个可选实施例，所述装置还包括：
218.第一存储单元，用于将所述pc5根密钥以及所述pc5根密钥的标识发送给所述远程终端的udm，由所述远程终端的udm进行存储。
219.作为一个可选实施例，第三子单元进一步用于：
220.生成第二随机数，根据所述第二随机数和所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
221.或者，
222.生成第二随机数，根据所述第二随机数、所述远程终端的ausf密钥以及所述远程终端生成的第三随机数，生成pc5根密钥以及所述pc5根密钥的标识。
223.作为一个可选实施例，所述装置还包括：
224.第三生成单元，用于利用所述pc5根密钥或者所述pc5根密钥的派生密钥，生成对pc5根密钥生成信息进行完整性保护的消息验证码；
225.所述中继密钥响应消息中还包括：所述消息验证码；或者，所述中继密钥响应消息中还包括：所述消息验证码以及生成所述消息验证码所需的参数。
226.作为一个可选实施例，在所述中继密钥请求消息中包括pc5根密钥的标识的情况下，所述装置包括：
227.第三接收单元，用于接收远程终端通过所述远程终端的接入网元发送的pc5根密钥请求消息；
228.第一检查单元，用于根据所述pc5根密钥请求消息，对所述远程终端进行授权检查；
229.第四生成单元，用于在确定所述远程终端为被授权的远程终端的情况下，基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
230.第三发送单元，用于通过所述远程终端的接入网元向所述远程终端发送pc5根密钥响应消息，所述pc5根密钥响应消息中包括所述pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识。
231.作为一个可选实施例，第一获取单元包括：
232.第二检查子单元，用于根据所述中继密钥请求消息，对远程终端进行授权检查；
233.获取子单元，用于在确定所述远程终端为被授权的远程终端的情况下，所述ausf获取所述远程终端的pc5根密钥。
234.作为一个可选实施例，所述中继密钥请求消息中包括：远程终端的用户永久标识符supi，或者，所述远程终端的签约隐藏标识符suci。
235.本发明实施例中，pc5根密钥由远程终端的ausf生成，该ausf在对远程终端完成认证后，使用该远程终端的ausf密钥生成，符合5g系统中对ausf的定位。ausf生成的pc5根密钥存储在udm中，需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
236.其中，方法和装置是基于同一申请构思的，由于方法和装置解决问题的原理相似，因此装置和方法的实施可以相互参见，重复之处不再赘述。
237.如图6所示，本发明实施例还提供一种鉴权服务器网元ausf，包括存储器620，收发机610，处理器600；存储器620，用于存储计算机程序；收发机610，用于在所述处理器600的控制下收发数据；处理器600，用于读取所述存储器620中的计算机程序并执行以下操作：
238.接收中继终端通过所述中继终端的目标网元发送的中继密钥请求消息；
239.根据所述中继密钥请求消息，获取所述远程终端的pc5根密钥；
240.生成第一随机数，根据所述第一随机数以及所述pc5根密钥，生成中继终端和远程终端之间安全通信的中继密钥；
241.通过中继终端的目标网元向所述中继终端发送中继密钥响应消息；所述中继密钥响应消息中包括：所述中继密钥，所述第一随机数。
242.作为一个可选实施例，在所述中继密钥请求消息中包括pc5根密钥的标识的情况下，处理器600还用于读取所述存储器620中的计算机程序并执行以下操作：
243.所述ausf向统一数据管理网元udm发送第一请求消息，所述第一请求消息中包括：远程终端的supi以及pc5根密钥的标识；
244.所述ausf接收所述udm发送的第一响应消息，所述第一响应消息中包括：所述pc5
根密钥的标识对应的pc5根密钥。
245.作为一个可选实施例，在所述中继密钥请求消息中不包括pc5根密钥的标识，或者，所述ausf确定更新所述远程终端的pc5根密钥的情况下，处理器600还用于读取所述存储器620中的计算机程序并执行以下操作：
246.所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
247.所述中继密钥响应消息还包括：pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识。
248.作为一个可选实施例，所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识之后，处理器600还用于读取所述存储器620中的计算机程序并执行以下操作：
249.所述ausf将所述pc5根密钥以及所述pc5根密钥的标识发送给所述远程终端的udm，由所述远程终端的udm进行存储。
250.作为一个可选实施例，处理器600还用于读取所述存储器620中的计算机程序并执行以下操作：
251.所述ausf生成第二随机数，根据所述第二随机数和所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
252.或者，
253.所述ausf生成第二随机数，根据所述第二随机数、所述远程终端的ausf密钥以及所述远程终端生成的第三随机数，生成pc5根密钥以及所述pc5根密钥的标识。
254.作为一个可选实施例，处理器600还用于读取所述存储器620中的计算机程序并执行以下操作：
255.利用所述pc5根密钥或者所述pc5根密钥的派生密钥，生成对pc5根密钥生成信息进行完整性保护的消息验证码；
256.所述中继密钥响应消息中还包括：所述消息验证码；或者，所述中继密钥响应消息中还包括：所述消息验证码以及生成所述消息验证码所需的参数。
257.作为一个可选实施例，在所述中继密钥请求消息中包括pc5根密钥的标识的情况下，处理器600还用于读取所述存储器620中的计算机程序并执行以下操作：
258.所述ausf接收远程终端通过所述远程终端的接入网元发送的pc5根密钥请求消息；
259.所述ausf根据所述pc5根密钥请求消息，对所述远程终端进行授权检查；
260.在确定所述远程终端为被授权的远程终端的情况下，所述ausf基于所述远程终端的ausf密钥，生成pc5根密钥以及所述pc5根密钥的标识；
261.所述ausf通过所述远程终端的接入网元向所述远程终端发送pc5根密钥响应消息，所述pc5根密钥响应消息中包括所述pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识。
262.作为一个可选实施例，处理器600还用于读取所述存储器620中的计算机程序并执行以下操作：
263.所述ausf根据所述中继密钥请求消息，对远程终端进行授权检查；
264.在确定所述远程终端为被授权的远程终端的情况下，所述ausf获取所述远程终端的pc5根密钥。
265.作为一个可选实施例，所述中继密钥请求消息中包括：远程终端的用户永久标识符supi，或者，所述远程终端的签约隐藏标识符suci。
266.其中，在图6中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器600代表的一个或多个处理器和存储器620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机610可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器600负责管理总线架构和通常的处理，存储器620可以存储处理器600在执行操作时所使用的数据。
267.处理器600可以是中央处埋器(cpu)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或复杂可编程逻辑器件(complex programmable logic device，cpld)，处理器也可以采用多核架构。
268.本发明实施例中，pc5根密钥由远程终端的ausf生成，该ausf在对远程终端完成认证后，使用该远程终端的ausf密钥生成，符合5g系统中对ausf的定位。ausf生成的pc5根密钥存储在udm中，需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
269.需要说明的是，本发明实施例提供的ausf是能够执行上述pc5根密钥处理方法的ausf，则上述pc5根密钥处理方法的所有实施例均适用于该ausf，且均能达到相同或相似的有益效果。
270.如图7所示，本发明实施例还提供一种pc5根密钥处理装置，应用于远程终端，包括：
271.第二发送单元701，用于向中继终端发送直接通信密钥请求消息；
272.第二接收单元702，用于接收所述中继终端反馈的直接通信密钥响应消息，所述直接通信密钥响应消息中包括所述远程终端的ausf生成中继密钥使用的第一随机数；
273.第二生成单元703，用于根据所述第一随机数和pc5根密钥，生成所述中继终端和远程终端之间安全通信的中继密钥。
274.作为一个可选实施例，在所述远程终端存储了pc5根密钥以及所述pc5根密钥的标识的情况下，
275.所述直接通信密钥请求消息中包括：所述pc5根密钥的标识。
276.作为一个可选实施例，在所述远程终端未存储pc5根密钥以及pc5根密钥的标识的情况下，所述直接通信密钥响应消息中还包括：pc5根密钥生成信息，所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识；
277.所述装置还包括：
278.第五生成单元，用于根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥。
279.作为一个可选实施例，生成所述pc5根密钥所需的参数包括：所述ausf生成pc5根
密钥使用的第二随机数；
280.所述第五生成单元进一步用于：
281.根据所述远程终端的ausf密钥以及所述第二随机数，生成所述pc5根密钥；
282.或者，
283.根据所述远程终端的ausf密钥、所述第二随机数以及所述远程终端生成的第三随机数，生成所述pc5根密钥。
284.作为一个可选实施例，所述中继密钥响应消息中还包括：所述消息验证码；或者，所述中继密钥响应消息中还包括：所述消息验证码以及生成所述消息验证码所需的参数；所述消息验证码用于对pc5根密钥生成信息进行完整性保护。
285.作为一个可选实施例，在所述远程终端存储了pc5根密钥以及所述pc5根密钥的标识的情况下，所述远程终端向中继终端发送直接通信密钥请求消息之前，所述装置还包括：
286.第三发送单元，用于通过所述远程终端的接入网元向所述远程终端的ausf发送pc5根密钥请求消息；
287.第六接收单元，用于接收所述ausf通过所述远程终端的接入网元反馈的pc5根密钥响应消息，所述pc5根密钥响应消息中包括所述pc5根密钥生成信息；所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识；
288.第六生成单元，用于根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥。
289.作为一个可选实施例，所述直接通信密钥请求消息中包括：所述远程终端的suci，或，所述远程终端的全球唯一临时终端标识guti。
290.本发明实施例中，pc5根密钥由远程终端的ausf生成，该ausf在对远程终端完成认证后，使用该远程终端的ausf密钥生成，符合5g系统中对ausf的定位。ausf生成的pc5根密钥存储在udm中，需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
291.其中，方法和装置是基于同一申请构思的，由于方法和装置解决问题的原理相似，因此装置和方法的实施可以相互参见，重复之处不再赘述。
292.如图8所示，本发明实施例还提供一种远程终端，包括存储器820，收发机810，处理器800；存储器820，用于存储计算机程序；收发机810，用于在所述处理器800的控制下收发数据；处理器800，用于读取所述存储器820中的计算机程序并执行以下操作：
293.向中继终端发送直接通信密钥请求消息；
294.接收所述中继终端反馈的直接通信密钥响应消息，所述直接通信密钥响应消息中包括所述远程终端的ausf生成中继密钥使用的第一随机数；
295.根据所述第一随机数和pc5根密钥，生成所述中继终端和远程终端之间安全通信的中继密钥。
296.作为一个可选实施例，在所述远程终端存储了pc5根密钥以及所述pc5根密钥的标识的情况下，
297.所述直接通信密钥请求消息中包括：所述pc5根密钥的标识。
298.作为一个可选实施例，在所述远程终端未存储pc5根密钥以及pc5根密钥的标识的情况下，所述直接通信密钥响应消息中还包括：pc5根密钥生成信息，所述pc5根密钥生成信
息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识；处理器800还用于读取所述存储器820中的计算机程序并执行以下操作：
299.所述远程终端根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥。
300.作为一个可选实施例，生成所述pc5根密钥所需的参数包括：所述ausf生成pc5根密钥使用的第二随机数；所述处理器800还用于读取所述存储器820中的计算机程序并执行以下操作：
301.根据所述远程终端的ausf密钥以及所述第二随机数，生成所述pc5根密钥；
302.或者，
303.根据所述远程终端的ausf密钥、所述第二随机数以及所述远程终端生成的第三随机数，生成所述pc5根密钥。
304.作为一个可选实施例，所述中继密钥响应消息中还包括：所述消息验证码；或者，所述中继密钥响应消息中还包括：所述消息验证码以及生成所述消息验证码所需的参数；所述消息验证码用于对pc5根密钥生成信息进行完整性保护。
305.作为一个可选实施例，在所述远程终端存储了pc5根密钥以及所述pc5根密钥的标识的情况下，所述远程终端向中继终端发送直接通信密钥请求消息之前，处理器800还用于读取所述存储器820中的计算机程序并执行以下操作：
306.所述远程终端通过所述远程终端的接入网元向所述远程终端的ausf发送pc5根密钥请求消息；
307.所述远程终端接收所述ausf通过所述远程终端的接入网元反馈的pc5根密钥响应消息，所述pc5根密钥响应消息中包括所述pc5根密钥生成信息；所述pc5根密钥生成信息包括：生成所述pc5根密钥所需的参数以及所述pc5根密钥的标识；
308.所述远程终端根据所述远程终端的ausf密钥以及生成所述pc5根密钥所需的参数，生成所述pc5根密钥。
309.作为一个可选实施例，所述直接通信密钥请求消息中包括：所述远程终端的suci，或，所述远程终端的全球唯一临时终端标识guti。
310.其中，在图8中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器800代表的一个或多个处理器和存储器820代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机810可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括，这些传输介质包括无线信道、有线信道、光缆等传输介质。针对不同的用户设备，用户接口830还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
311.处理器800负责管理总线架构和通常的处理，存储器820可以存储处理器800在执行操作时所使用的数据。
312.可选的，处理器800可以是cpu(中央处埋器)、asic(application specific integrated circuit，专用集成电路)、fpga(field－programmable gate array，现场可编程门阵列)或cpld(complex programmable logic device，复杂可编程逻辑器件)，处理器
也可以采用多核架构。
313.处理器通过调用存储器存储的计算机程序，用于按照获得的可执行指令执行本技术实施例提供的任一所述方法。处理器与存储器也可以物理上分开布置。
314.本发明实施例中，pc5根密钥由远程终端的ausf生成，该ausf在对远程终端完成认证后，使用该远程终端的ausf密钥生成，符合5g系统中对ausf的定位。ausf生成的pc5根密钥存储在udm中，需要该pc5根密钥的实体可以通过ausf使用该pc5根密钥的标识获取，不用每次都重新生成，提高了系统效率。
315.需要说明的是，本发明实施例提供的远程终端是能够执行上述pc5根密钥处理方法的远程终端，则上述pc5根密钥处理方法的所有实施例均适用于该远程终端，且均能达到相同或相似的有益效果。
316.需要说明的是，本技术实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
317.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
318.本发明实施例还提供一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器执行如上所述的方法实施例；所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(mo)等)、光学存储器(例如cd、dvd、bd、hvd等)、以及半导体存储器(例如rom、eprom、eeprom、非易失性存储器(nand flash)、固态硬盘(ssd))等。
319.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
320.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机可执行指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机可执行指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用
于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
321.这些处理器可执行指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的处理器可读存储器中，使得存储在该处理器可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
322.这些处理器可执行指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
323.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。