通信方法和通信装置与流程

本技术涉及通信领域，并且更具体地，涉及一种通信方法和通信装置。

背景技术：

1、在通信系统，例如第五代(5th generation，5g)通信系统中，随着移动通信的高速发展，新业务类型，如视频聊天、虚拟现实(virtual reality，vr)、增强现实(augmentedreality，ar)等数据业务的普遍使用提高了用户对通信的需求。示例性的，设备到设备通信允许用户设备(user equipment，ue)之间直接进行通信，特别是针对一对多的场景，能够有效的提高通信效率。

2、然而，当前设备之间的通信可能因为攻击者的恶意篡改信息，导致网络安全无法得到保障。因此，亟需采取额外的措施来应对，以减少潜在的安全风险。

技术实现思路

1、本技术提供一种通信方法和通信装置，能够减少潜在的安全风险，提高网络通信安全。

2、第一方面，提供了一种通信方法，该方法可以由第一通信装置(例如发送者ue)执行，或者，也可以由用于第一通信装置的芯片或电路执行，本技术对此不作限定。为了便于描述，下面以由第一通信装置执行为例进行说明。

3、可选地，本技术实施例中的第一通信装置和第二通信装置可以是终端设备，例如手机、汽车、无人机、可穿戴设备等，也可以是终端设备中的芯片。另外，终端设备也可以称为用户设备，因此通信装置也可以是用户设备，或者用户设备中的芯片。本技术对此不作具体限定。

4、该方法包括：第一通信装置获取邻近服务组对应的安全策略，第一通信装置根据安全策略，确定是否对待发送的第一消息中携带的载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，第一通信装置向第二通信装置发送第一消息。其中，安全策略包括机密性安全策略和/或完整性安全策略，机密性安全策略用于指示针对邻近服务组的消息是否开启机密性安全保护，完整性安全策略用于指示针对邻近服务组的消息是否开启完整性安全保护，邻近服务组包括至少两个成员，且第一通信装置是至少两个成员中的一个，其他字段包括以下一项或者多项：邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息、完整性指示信息或者消息认证码(messageauthentication code，mac)，机密性指示信息用于指示机密性安全保护是否开启，完整性指示信息用于指示完整性安全保护是否开启，安全保护包括机密性安全保护和/或完整性安全保护。

5、根据本技术提供的方案，通过重新定义第一消息的格式，包括载荷字段和其他字段，并根据邻近服务组对应的安全策略确定是否对载荷字段进行安全保护，以及对其他字段进行赋值，同时，将邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息解耦，能够避免安全策略为机密性不需要但完整性需要的场景下完整性校验失败的情况，提高网络通信安全，减少潜在的安全风险。

6、结合第一方面，在第一方面的某些实现方式中，对第一消息中除载荷字段外的其他字段进行赋值，包括：在机密性安全策略指示机密性安全保护不开启，且完整性安全策略指示完整性安全保护开启的情况下，第一通信装置将mac设置为非零，且将邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数中的至少一个设置为非零。

7、基于上述方案，针对机密性安全策略指示机密性安全保护不开启，且完整性安全策略指示完整性安全保护开启，将mac设置为非零，将邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数中的至少一个设置为非零，能够避免后续接收者ue无法进行完整性校验或者导致完整性校验失败的情况发生，能够避免接收者ue被欺骗，保障通信安全，降低网络潜在的安全风险。

8、结合第一方面，在第一方面的某些实现方式中，对第一消息中除载荷字段外的其他字段进行赋值，包括：在机密性安全策略指示机密性安全保护不开启，且完整性安全策略指示完整性安全保护开启的情况下，第一通信装置将机密性指示信息设置为零。

9、基于上述方案，针对机密性安全策略指示机密性安全保护不开启，且完整性安全策略指示完整性安全保护开启，将mac设置为非零，将机密性指示信息设置为零，能够避免后续接收者ue无法进行完整性校验或者导致完整性校验失败的情况发生，能够避免接收者ue被欺骗，保障通信安全，降低网络潜在的安全风险。

10、在本技术实施例中，第一消息中的邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数是否取值为0不再与机密性安全保护是否开启完全绑定。换句话说，当机密性安全保护不开启(或关闭)时，可以通过该机密性指示信息来指示或确定，对应的，邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数的取值可以为0，也可以为非0，本技术对此不作具体限定。当机密性安全保护开启时，也可以通过该机密性指示信息来指示或确定，此时邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数的取值可以为非0。

11、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据安全策略，确定是否对待发送的第一消息中携带的载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在机密性安全策略指示机密性安全保护开启的情况下，第一通信装置确定对待发送的第一消息中携带的载荷字段进行机密性安全保护，以及将第一消息中携带的邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息中的至少一个的取值设置为非零。

12、基于上述方案，针对机密性安全策略指示机密性安全保护开启，第一通信装置将第一消息中携带的邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息中的至少一个的取值设置为非零。

13、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据安全策略，确定是否对待发送的第一消息中携带的载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在完整性安全策略指示完整性安全保护开启的情况下，第一通信装置确定对待发送的第一消息中携带的载荷字段进行完整性安全保护，以及将第一消息中携带的mac的取值设置为非零。

14、基于上述方案，针对完整性安全策略指示完整性安全保护开启，第一通信装置将第一消息中携带的mac的取值设置为非零。

15、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据安全策略，确定是否对待发送的第一消息中携带的载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在机密性安全策略指示机密性安全保护不开启的情况下，第一通信装置确定对待发送的第一消息中携带的载荷字段不进行机密性安全保护，以及将第一消息中携带的邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息中的至少一个的取值设置为零。

16、基于上述方案，针对机密性安全策略指示机密性安全保护不开启，第一通信装置将第一消息中携带的邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息中的至少一个的取值设置为零。

17、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据安全策略，确定是否对待发送的第一消息中携带的载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在完整性安全策略指示完整性安全保护不开启的情况下，第一通信装置确定对待发送的第一消息中携带的载荷字段不进行完整性安全保护，以及将第一消息中携带的mac的取值设置为零。

18、基于上述方案，针对完整性安全策略指示完整性安全保护不开启，第一通信装置将第一消息中携带的mac的取值设置为零。

19、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据安全策略，确定是否对待发送的第一消息中携带的载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：第一通信装置根据本地策略和安全策略，确定对第一消息中携带的载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，本地策略指示第一通信装置对载荷字段进行安全保护的触发条件。

20、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据本地策略和安全策略，确定对载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在安全策略指示可选开启安全保护的情况下，第一通信装置根据本地策略，确定对载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值。

21、基于上述方案，针对安全策略指示可选开启安全保护，第一通信装置根据本地策略，确定对载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值。

22、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据本地策略和安全策略，确定对载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在机密性安全策略指示可选开启机密性安全保护，且第一通信装置的类型为路边单元的情况下，第一通信装置确定对载荷字段不进行机密性安全保护，以及将其他字段中携带的机密性指示信息的取值设置为零，或者将邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数中的至少一个设置为零。

23、基于上述方案，针对机密性安全策略指示可选开启机密性安全保护，且第一通信装置的类型为路边单元，第一通信装置将其他字段中携带的机密性指示信息的取值设置为零，或者将邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数中的至少一个设置为零。

24、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据本地策略和安全策略，确定对载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在机密性安全策略指示可选开启机密性安全保护，且第一通信装置的类型为汽车的情况下，第一通信装置确定对载荷字段进行机密性安全保护，以及将其他字段中携带的机密性指示信息的取值设置为非零，或者，第一通信装置将邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数中的至少一个设置为非零。

25、基于上述方案，针对机密性安全策略指示可选开启机密性安全保护，且第一通信装置的类型为汽车，第一通信装置将其他字段中携带的机密性指示信息的取值设置为非零，或者，第一通信装置将邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数中的至少一个设置为非零。

26、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据本地策略和安全策略，确定对载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在完整性安全策略指示可选开启完整性安全保护，且邻近服务组中的至少两个成员的类型为路边单元的情况下，第一通信装置确定对载荷字段不进行完整性安全保护，以及将其他字段中携带的mac的取值设置为零。

27、基于上述方案，针对完整性安全策略指示可选开启完整性安全保护，且邻近服务组中的至少两个成员的类型为路边单元，第一通信装置确定对载荷字段不进行完整性安全保护，以及将其他字段中携带的mac的取值设置为零。

28、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据本地策略和安全策略，确定对载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在完整性安全策略指示可选开启完整性安全保护，且邻近服务组中的至少两个成员的类型为汽车的情况下，第一通信装置确定对载荷字段进行完整性安全保护，以及第一通信装置将其他字段中携带的mac的取值设置为非零。

29、基于上述方案，针对完整性安全策略指示可选开启完整性安全保护，且邻近服务组中的至少两个成员的类型为汽车，第一通信装置确定对载荷字段进行完整性安全保护，以及第一通信装置将其他字段中携带的mac的取值设置为非零。

30、结合第一方面，在第一方面的某些实现方式中，第一通信装置根据安全策略，确定是否对待发送的第一消息中携带的载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，包括：在机密性安全策略指示机密性安全保护不开启，且完整性安全策略指示完整性安全保护不开启的情况下，第一通信装置将邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数中的至少一个设置为非零。

31、结合第一方面，在第一方面的某些实现方式中，机密性指示信息携带在第一通信装置的分组数据汇聚协议(packet data convergence protocol，pdcp)数据包的信息头中。

32、结合第一方面，在第一方面的某些实现方式中，第一通信装置获取邻近服务组对应的安全策略，包括：第一通信装置向密钥管理功能网元发送请求消息，请求消息包括邻近服务组的组标识和第一通信装置的安全能力，请求消息用于请求获取与组标识关联的安全策略；第一通信装置接收来自密钥管理功能网元的安全策略。

33、可选的，安全策略是预配置的。

34、第二方面，提供了一种通信方法，该方法可以由第二通信装置(例如接收者ue)执行，或者，也可以由用于第二通信装置的芯片或电路执行，本技术对此不作限定。为了便于描述，下面以由第二通信装置执行为例进行说明。

35、该方法包括：第二通信装置接收来自第一通信装置的第一消息，第一消息包括载荷字段和其他字段，第二通信装置根据邻近服务组对应的安全策略，确定是否对载荷字段进行解安全保护。其中，其他字段包括以下一项或者多项：邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息、完整性指示信息或者消息认证码mac，机密性指示信息用于指示机密性安全保护是否开启，完整性指示信息用于指示完整性安全保护是否开启，安全策略包括机密性安全策略和/或完整性安全策略，机密性安全策略用于指示针对邻近服务组的消息是否开启机密性安全保护，完整性安全策略用于指示针对邻近服务组的消息是否开启完整性安全保护，邻近服务组包括至少两个成员，且第二通信装置是至少两个成员中的一个，解安全保护包括解密和/或完整性校验。

36、根据本技术提供的方案，通过重新定义第一消息的格式，包括载荷字段和其他字段，并根据邻近服务组对应的安全策略确定是否对载荷字段进行安全保护，以及对其他字段进行赋值，同时，将邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息解耦，能够避免安全策略为机密性不需要但完整性需要的场景下完整性校验失败的情况，提高网络通信安全，减少潜在的安全风险。

37、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据邻近服务组对应的安全策略，确定是否对载荷字段进行解安全保护，包括：在机密性安全策略指示机密性安全保护开启的情况下，第二通信装置确定对载荷字段进行解密；和/或，在完整性安全策略指示完整性安全保护开启的情况下，第二通信装置确定对载荷字段进行完整性校验。

38、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据邻近服务组对应的安全策略，确定是否对载荷字段进行解安全保护，包括：在机密性安全策略指示机密性安全保护不开启的情况下，第二通信装置确定对载荷字段不进行解密；和/或，在完整性安全策略指示完整性安全保护不开启的情况下，第二通信装置确定对载荷字段不进行完整性校验。

39、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据邻近服务组对应的安全策略，确定是否对载荷字段进行解安全保护，包括：第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护。

40、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在完整性安全策略指示完整性安全保护开启，且其他字段中未携带mac或者其他字段中携带的mac的取值为零的情况下，第二通信装置确定载荷字段的完整性校验失败，或者第二通信装置丢弃第一消息。

41、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在完整性安全策略指示完整性安全保护开启，且其他字段中携带的mac的取值为非零的情况下，第二通信装置确定对载荷字段进行完整性校验。

42、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在完整性安全策略指示完整性安全保护不开启，且其他字段中携带的mac的取值不为零的情况下，第二通信装置确定对载荷字段不进行完整性校验。

43、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在完整性安全策略指示完整性安全保护不开启，且其他字段中未携带mac或者其他字段中携带的mac的取值为零的情况下，第二通信装置确定对载荷字段不进行完整性校验。

44、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在完整性安全策略指示可选开启完整性安全保护的情况下，且其他字段中携带的mac的取值为非零的情况下，第二通信装置确定对载荷字段进行完整性校验。

45、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在完整性安全策略指示可选开启完整性安全保护的情况下，且其他字段中未携带mac或者其他字段中携带的mac的取值为零的情况下，第二通信装置确定对载荷字段不进行安全保护。

46、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在机密性安全策略指示机密性安全保护不开启，且其他字段中携带的邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数中的至少一个的取值为非零的情况下，第二通信装置确定对载荷字段不进行解密。

47、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在机密性安全策略指示机密性安全保护不开启，且其他字段中携带的机密性指示信息指示机密性安全保护开启的情况下，第二通信装置确定对载荷字段不进行解密。

48、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在机密性安全策略指示机密性安全保护开启，且机密性指示信息指示机密性安全保护不开启的情况下，第二通信装置确定对载荷字段进行解密。

49、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在机密性安全策略指示机密性安全保护可选开启，且机密性指示信息指示机密性安全保护不开启的情况下，第二通信装置确定对载荷字段不进行解密。

50、结合第二方面，在第二方面的某些实现方式中，第二通信装置根据安全策略和其他字段，确定是否对载荷字段进行解安全保护，包括：在机密性安全策略指示机密性安全保护可选开启，且机密性指示信息指示机密性安全保护开启的情况下，第二通信装置确定对载荷字段进行解密。

51、结合第二方面，在第二方面的某些实现方式中，机密性指示信息携带在第一通信装置的pdcp数据包的信息头中。

52、结合第二方面，在第二方面的某些实现方式中，第二通信装置获取邻近服务组对应的安全策略，具体为：第二通信装置向密钥管理功能网元发送请求消息，请求消息包括邻近服务组的组标识和第二通信装置的安全能力，请求消息用于请求获取与组标识关联的安全策略；第二通信装置接收来自密钥管理功能网元的安全策略。

53、可选的，安全策略是预配置的。

54、上述第二方面及第二方面的某些实现方式的有益效果可以对应参考第一方面相关的描述，在此不予赘述。

55、第三方面，提供了一种第一通信装置，例如发送者ue。该装置包括：获取单元，用于获取邻近服务组对应的安全策略。例如，获取单元可以是收发单元，用于从网络侧接收该安全策略。处理单元，用于根据安全策略，确定是否对待发送的第一消息中携带的载荷字段进行安全保护，以及对第一消息中除载荷字段外的其他字段进行赋值，第一通信装置向第二通信装置发送第一消息。其中，安全策略包括机密性安全策略和/或完整性安全策略，机密性安全策略用于指示针对邻近服务组的消息是否开启机密性安全保护，邻近服务组包括至少两个成员，且第一通信装置是至少两个成员中的一个，其他字段包括以下一项或者多项：邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息、或者消息认证码mac，机密性指示信息用于指示机密性安全保护是否开启，安全保护包括机密性安全保护和/或完整性安全保护。

56、该收发单元可以执行前述第一方面中的接收和发送的处理，处理单元可以执行前述第一方面中除了接收和发送之外的其他处理。

57、第四方面，提供了一种第二通信装置，例如接收者ue。该装置包括：收发单元，用于接收来自第一通信装置的第一消息，第一消息包括载荷字段和其他字段。处理单元，用于根据邻近服务组对应的安全策略，确定是否对载荷字段进行解安全保护。其中，其他字段包括以下一项或者多项：邻近服务组密钥的标识、邻近服务组传输密钥的标识、新鲜性参数、机密性指示信息、或者消息认证码mac，机密性指示信息用于指示机密性安全保护是否开启，安全策略包括机密性安全策略和/或完整性安全策略，机密性安全策略用于指示针对邻近服务组的消息是否开启机密性安全保护，邻近服务组包括至少两个成员，且第二通信装置是至少两个成员中的一个，解安全保护包括解密和/或完整性校验。

58、该收发单元可以执行前述第二方面中的接收和发送的处理，处理单元可以执行前述第二方面中除了接收和发送之外的其他处理。

59、第五方面，提供了一种通信装置，包括收发器、处理器和存储器，该处理器用于控制收发器收发信号，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得该通信装置执行上述第一方面或第二方面及其任一种可能实现方式中的方法。

60、可选地，所述处理器为一个或多个，所述存储器为一个或多个。

61、可选地，所述存储器可以与所述处理器集成在一起，或者所述存储器与处理器分离设置。

62、可选地，该通信装置还包括发射机(发射器)和接收机(接收器)。

63、第六方面，提供了一种通信系统，包括：前述的第一通信装置、第二通信装置、密钥管理功能网元中的一个或多个。

64、第七方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序或代码，所述计算机程序或代码在计算机上运行时，使得所述计算机执行上述第一方面或第二方面及其任一种可能实现方式中的方法。

65、第八方面，提供了一种芯片，包括至少一个处理器，所述至少一个处理器与存储器耦合，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得安装有该芯片系统的通信装置执行上述第一方面或第二方面及其任一种可能实现方式中的方法。

66、其中，该芯片可以包括用于发送信息或数据的输入电路或者接口，以及用于接收信息或数据的输出电路或者接口。

67、第九方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码被通信装置运行时，使得所述通信装置执行上述第一方面或第二方面及其任一种可能实现方式中的方法。