用于缺乏网络覆盖的情况下的设备到设备通信的系统和方法与流程

本申请要求于2013年6月28日提交的美国专利申请序列号No.13/930669的优先权，该申请要求于2012年9月28日提交的美国临时专利申请序列号No.61/707784的优先权，通过引用将它们的内容全文并入本文。

技术领域

实施例涉及电子装置。一些实施例涉及电子通信产品。

背景技术：

在典型的通信设置中，蜂窝电话或者其他类型的移动通信装置通过使用网络来与其他装置进行通信。在很多情况下，希望移动通信装置在具有或者不具有网络的情况下，以安全的方式直接与一个或多个其他移动通信装置进行通信。

附图说明

在不一定按比例绘制的附图中，类似的附图标记可以描述不同的视图中的类似部件。具有不同的字母后缀的类似的附图标记可以表示类似的部件的不同示例。在附图的图中作为示例而非限制地示出了一些实施例，其中：

图1A和图1B呈现了1:1通信和分组通信的概要；

图2呈现了1:1通信的示例性系统架构；

图3是示出了1:1通信的实施例的操作的流程图；

图4呈现了用于分组通信的示例性系统架构；

图5呈现了用于分组通信的实施例的操作的流程图；

图6是示出了能够执行实施例的示例机器的框图。

具体实施方式

下述说明和附图充分地示出了具体的实施例，从而使本领域的技术人员能够对其进行实践。其他实施例可以结合结构、逻辑、电、处理以及其他改变。示例仅代表可能的变型。各个部件和功能都是任选的，除非有明确的要求，并且操作的顺序可以变化。一些实施例的部分和特征可以被包括在其他实施例的部分或特征中或者被其他实施例的部分或特征所替代。权利要求中阐述的实施例涵盖这些权利要求的所有可用的等效物。

在下述具体实施方式中，阐述了很多具体的细节，以便提供对本发明的透彻理解。但是，本领域技术人员应当理解，可以在没有这些具体细节的情况下来实践本发明。在其他示例中，没有对公知的方法、过程、部件、以及电路进行详细地描述，以免使本发明难以理解。

尽管本发明的实施例不受这方面的限制，但是文中使用的术语“多个”和“多种”可以包括例如“若干个”或者“两个或更多个”。说明书中可能通篇使用“多个”或“多种”来描述两个或更多部件、装置、元件、单元、参数等。例如，“多个装置”可以包括两个或更多装置。

第三代合作伙伴计划(3GPP)是1998年12月确立的协作协议，用于将被称为“组织合作伙伴”的很多电信标准体汇聚到一起，所述的组织合作伙伴当前包括无线工业及商贸联合会(ARIB)、中国通信标准化协会(CCSA)、欧洲电信标准化协会(ETSI)、电信工业解决方案联盟(ATTS)、电信技术协会(TTA)、以及电信技术委员会(TTC)。3GPP于1998年12月由“第三代合作伙伴计划协议”的签署而正式设立。

3GPP基于演进GSM核心网以及它们所支持的无线接入技术(例如，用于频分双工(FDD)和时分双工(TDD)两者的通用陆地无线接入(UTRA))提供了全球适用的标准作为第三代通用移动系统的技术规范和技术报告。3GPP还提供了用于全球移动通信系统(GSM)的维护和开发的标准作为包括演进无线接入技术(例如，通用分组无线服务(GPRS)和用于GSM演进的增强型数据率(EDGE))在内的技术规范和技术报告。通常公众可以从3GPP组织中获得可用的与移动电话相关的现行标准的技术规范。

3GPP目前正在研究3G移动系统的演进，并且正在考虑涉及对UTRA网络(UTRAN)的演进的贡献(观点和建议)。由3GPP研究组所认定的一组高级要求包括：降低每比特成本；提高服务供应(即，以更低的成本更高的质量提供更多的服务)；使用现有的频带和新的频带的灵活性；具有开放接口的简化架构；以及降低的/合理的终端功耗。

对UTRA & UTRAN长期演进(UTRAN-LTE，又被称为3GPP-LTE和E-UTRA)的研究开始于2004年12月，其目标是开发出一种使3GPP无线接入技术朝向高数据率、低延迟和分组优化的无线接入技术演进的框架。所述研究考虑了对无线接口物理层(下行链路和上行链路)的修改，例如，支持高达20MHz的灵活传输带宽的手段、引入新的传输方案、以及改进的多天线技术。3GPP-LTE是基于结合了正交频分复用(OFDM)技术的无线接口的。OFDM是一种数字多载波调制格式，其使用了大量密集间隔的正交子载波，以用于携带相应的用户数据信道。每一个子载波都利用常规的调制方案(例如，正交振幅调制(QAM))以与射频(RF)传输速率相比时(相对)较低的符号速率来进行调制。在实践中，使用快速傅里叶变换(FFT)算法来生成OFDM信号。

在传统的通信场景中，在装置(例如，用户设备(“UE”))与另一装置或UE进行通信时，所述通信首先通过网络行进。例如，在3GPP-LTE网络中，这样的通信将从一个UE通过演进节点B(“eNB”)行进至另一UE。在WiFi网络中，这样的通信可以通过接入点(“AP”)行进。基于邻近的服务(ProSe)也被称为设备到设备通信(D2D)，其允许装置在不需要通过网络行进的通信的情况下与另一装置直接通信。这样的业务在整个网络或者网络的部分停用的紧急情况下，可能是尤其重要的。这样的紧急情况可以包括自然灾害、大范围停电、恐怖袭击等。这样的业务尤其可以用于首要应答者，例如，警察、消防员、紧急医疗技术人员(EMT)等。存在为首要应答者设立单独的3GPP网络(例如，首要应答者网络管理局(FirsfNet))的若干建议。但是应当理解本说明书不受此限制。

存在ProSe通信的两种基本类型：1:1 ProSe通信和ProSe分组通信。参考图1A，其示出了1:1 ProSe通信的示例性实例。将装置102和装置104布置为相互直接通信，而不需要首先引导所述通信通过经由eNB、接入点、基站等的网络。

参考图1B，其示出了ProSe分组通信的示例性实例。将装置152布置为直接与装置154和装置156进行通信，而不需要首先引导通信通过eNB、基站、或其他类似的装置。类似地，尽管图1B中未示出，但是装置154和装置156能够直接相互通信，而不需要首先引导通信通过网络。应当理解，在ProSe分组中可能存在附加的装置。但是，在图1B中未示出这样的装置。

再次参考图1A，可能存在如下情况，其中，期望装置102和装置104能够相互发现并且进行直接通信。所述系统应当能够对装置102和104进行授权，用于经由利用网络的信令(如果网络覆盖可用)或者经由每一个装置的通用用户身份模块(USIM)中可用的配置(如果网络覆盖不可用)来建立数据会话。

D2D通信链路的两种候选技术是WiFi(例如，WiFi直连)或者新的基于LTE的技术，文中将后者称为“LTE直连”。尽管本说明书的各个部分可能具体参考了WiFi直连，但是应当理解也可以将实施例与LTE直连以及当前存在或者可以在未来开发的其他D2D通信链路技术一起使用。

在WiFi直连中，D2D链路上的多播信道等效于802.11标准中定义的多播802.11链路层通信。出于这一目的，ProSe分组成员将首先加入同一802.11基本服务组(BSS)。接收装置还应当能够接收ProSe分组通信传输，而不管发送装置是否已经发现了所述接收装置。因此，本文假设系统架构将提供一种保护在ProSe分组通信信道上发送的用户平面数据的方式，所述ProSe分组通信信道允许接收装置甚至在其被发现之前(即，在所述接收装置在D2D层处加入到ProSe分组之前)就对所述数据进行译码。

参考图2，其呈现了用于1:1 ProSe通信的示例性系统架构。这里，装置202和装置204经由D2D链路210和应用层通信会话220两者相互耦合。可以将D2D链路实现为WiFi-直连链路。可以在应用层使用基于SIP的对等(P2P)客户端来建立和释放P2P语音和数据会话，从而建立通信会话。

参考图3，其呈现了示出1:1通信会话的建立的示例性流程图。第一设备和第二设备使用当前本领域已知的或者未来开发的各种技术来相互发现(302)。其后，第一设备和第二设备相互协商，以确定哪个站将变为群组所有者，以及哪个站将变为客户端(304)。

经由WiFi直连的通信是非对称的，这是因为所述装置中的一个所起的作用类似于802.11接入点的作用，并且所述装置中的一个被称为P2P群组所有者(“GO”)。另一装置担任P2P客户端的角色。再次参考图2，装置202是P2P客户端，而装置204是P2P GO。哪个装置成为P2P客户端，以及哪个装置成为P2P GO的确定可能以当前存在或者可能在未来开发的几种不同方式中的一种发生。例如，可以存在与每一个装置相关联的GO意图值。在这种情况下，具有更高GO意图值的装置可以成为GO。在GO意图值受限的情况下，可以使用其他标准来确定GO。

其后，客户端将开始与GO进行相互认证的过程(306)。所述认证以与802.11站(STA)使用的以与802.11接入点(AP)进行认证的方式类似的方式而发生。认证过程的目的在于使每一个装置确认另一装置是所述网络的授权成员。可以使用各种类型的凭证作为认证过程的部分。例如，授权装置可以具有由公共证书管理机构(CA)颁发的证书。在涉及只能由首要应答者可访问的专用网的使用情况中，CA可以向由首要应答者拥有的所有装置颁发证书。其后，如果装置泄密(例如，装置丢失或者被盗)，那么CA可以撤消颁发给该装置的证书，以便将不再对泄密的装置进行授权。

证书可以是用户特定的或者可以是装置特定的，或者具有两种特定性。在一个实施例中，证书可以包括在应用层上的用户全局标识符以及在D2D链路层上的装置的链路标识符。尽管可以使用很多种不同的用户全局标识符，但是在一个实施例中，证书包括用户的会话初始协议(SIP)统一资源标识符(URI)。尽管可以将很多种不同的链路标识符用于所述装置，但是在一个实施例中，所述证书包括所述装置的介质访问控制(MAC)地址。作为基于证书的802.1x认证过程的部分，导出了公共成对主密钥(PMK1)。所述认证过程可以使用各种不同方法中的一个。在一个实施例中，可以使用可扩展的认证协议传输层安全(EAP-TLS)来生成PMK1。PMK1接下来可以用于在会话期间的数据帧的保密和完整性保护。在替代方案中，可以在会话期间生成另一个成对主密钥。再次参考图2，PMKI被示出为在链路215处在装置202和装置204之间是共享的。

在应用层处，还对SIP信令进行保护。这可以通过使用可以由PMK1导出的另一对成对主密钥(PMK2)而发生。所述导出可以利用密钥导出函数(KDF)完成。KDF的示例包括基于密码的密钥导出函数(PBKDF2)和脚本(scrypt)。当超出覆盖范围时使用基于SIP的P2P客户端的原因在于，所述通信在经由网络基础设施建立(例如，重新使用由3GPP定义的IP多媒体子系统)时还可以是基于SIP的。此外，对于两种使用情况(在覆盖范围内和覆盖范围外)而言，均可以使用SIP URI作为全局用户标识符。再次参考图2，PMK2被示出在链路225处在装置202和装置204之间是共享的。

重新参考图1B，其示出了多播帧是如何在WiFi直连中的P2P分组内进行发送的。在P2P分组150内呈现的是装置152、装置154、以及装置156。在图1B中，装置154被分配了P2P GO的角色，装置152和装置156二者充当P2P客户端。

装置152将多播帧(即，目的地址为多播MAC地址的帧)作为单播帧发送至P2P GO(装置154)。使用由在装置152和装置154之间共享的成对主密钥(PMK3)生成的成对临时密钥(PTK)来对所述帧进行保护。

然后，装置154重新发送该帧作为可以由所述P2P分组的所有成员接收和译码的多播帧，所述P2P分组的所有成员包括装置156以及可能存在于所述网络内但是图1B中未示出的任何其他装置。利用由分组主密钥(GMK)生成的分组临时密钥(GTK)来对所述帧进行保护，所述分组主密钥通常由P2P GO生成，并且分发给所有的P2P分组成员。

参考图4，其呈现了在ProSe分组通信中使用的示例性系统架构。尽管ProSe分组通信通常涉及相互直接通信的两个以上的装置，但是在图4中只示出了两个这样的装置。应当理解，可以连接附加的装置，但是并未示出，以避免使图4杂乱无章。虚线450下面的部分是指缺乏网络覆盖的ProSe分组通信。虚线450上面的部分是指存在网络覆盖的ProSe分组通信，在对图5进行讨论之后，下文将对其做进一步的详细描述。

在图4中，示出了装置460和装置470之间的连接。装置470是P2P GO，而装置460是P2P客户端。D2D链路480被实现为WiFi直连链路。D2D链路480将运行于装置460上的D2D链路客户端462与运行于装置470上的D2D链路客户端472耦合在一起。基于开放移动联盟(OMA)的蜂窝网上的即按即说(PoC)的客户端464在应用层上使用，从而在担任P2P客户端角色的装置中建立和释放P2P语音和数据会话。基于OMA PoC的服务器软件474在担任P2P GO(装置470)的角色的装置中使用。所述OMA PoC服务器软件托管OMA PoC控制功能和OMA PoC参与功能的功能性，正如在OMA PoC版本2.1的规范中定义的。PoC客户端464和PoC服务器474经由PoC连接496相互通信。

在应用层上，假定每一个客户端都是经由OMA PoC分组会话标识符(例如，SIP URI)识别的OMA PoC分组会话的成员。在D2D链路层上，为所述OMA PoC分组会话给出了专用的D2D分组标识符。在WiFi直连的情况中，所述D2D分组标识符可以是用于分发属于所述OMA PoC分组的数据帧的多播地址。

如有必要，可以使用能够由PMK3490导出的成对主密钥(PMK4)492来保护OMA PoC客户端和OMA PoC服务器之间的SIP消息。

为了在D2D链路上建立信任关系，P2P分组成员拥有某些参数。例如，P2P GO可以拥有所有活动的多播分组参与方的D2D链路层标识符。此外，针对每一个成员，P2P GO可以拥有与所述分组成员共享的成对主密钥(PMK3)。类似地，P2P分组内的所有P2P客户端都可以拥有P2P GO的D2D链路层标识符以及其相对应的PMK3。所述分组内的所有装置(P2P GO和P2P客户端二者)都可以拥有由P2P群组所有者中的参与PoC功能使用的多播PoC信道的D2D链路层标识符(文中称为D2D_ID分组)，以用于将数据帧分发给所有的OMA PoC分组成员。此外，该分组内的所有装置还可以拥有用于生成分组临时密钥(GTK)的分组主密钥(GMK)494，以用于保护多播D2D信道。所述装置能够随时自主地导出当前的GTK。这可以通过各种不同的方式(例如，基于时间戳)来执行。可以使用所述不同的方式，使得该分组内的装置甚至能够在由P2P GO发现之前对D2D帧进行译码。

可以将所述信息全部配置到单独的装置中。但是，这样的解决方案可能不能很好地升级。基于证书的认证系统可能更具有可升级性。在基于证书的认证中，证书可以是用户特定的和装置特定的二者，并且可以包括下述参数：1)在应用层中用户的全局标识符(例如，SIP URI)；2)在D2D层中装置的链路标识符(例如，所述装置内的WLAN“子装置”的全局管理的MAC地址和/或类似的不可修改的硬件标识符)；3)用户所属的预先布置的PoC分组会话标识符(SIP URI)(可选)；4)相对应的D2D多播信道标识符(D2D_ID分组＝多播MAC地址)；以及5)用于保护多播D2D信道的分组主密钥(GMK)。

参考图5，其呈现了示出ProSe分组通信的总体建立的流程图。出于图5的目的，应当假定在ProSe分组内已经存在一个P2P群组所有者。P2P群组所有者的建立方式可能以各种不同方式中的一种方式发生，其可以是现在已知的或未来开发的二者。

P2P客户端发现P2P GO(502)。在由P2P客户端发现P2P GO之后，P2P客户端触发基于证书的802.1X认证过程(504)。其可以以各种不同的方式中的一种方式发生，所述方式可以是现在已知的(例如，经由EAP-TLS)或未来开发的二者。在认证过程期间，导出成对主密钥(PMK3)(506)。其后，从PMK3导出成对主密钥(PMK4)(508)。如上所述，使用PMK 4来对OMA PoC客户端和OMA PoC服务器之间的SIP信令消息进行加密。

在基于证书的认证过程中，P2P客户端断定其D2D链路层标识(D2D_ID)以及其应用层标识(例如，SIP URI)，以及如下事实：P2P客户端属于分别利用在应用层和D2D链路层的SIP URI和D2D多播信道标识符(多播MAC地址)两者识别出的OMA PoC分组会话。

在基于证书的认证过程中，P2P客户端还断定知道分组主密钥(GMK)，所述分组主密钥将用于生成分组临时密钥(GTK)，以用于保护多播D2D信道。在任何时间点上，P2P分组成员能够自主地利用算法从GMK导出当前有效的GTK(例如，使用那天的当前的时间)。在导出PMK3和PMK4之后，所述装置能够开始在ProSe分组内发送和接收信号(510)。

包括虚线450以上部分的图4的部分是当D2D通信链路在网络覆盖下建立时，用于公共安全的ProSe分组通信的系统架构的示例。如上文详细描述的，虚线450以下的部分是在没有可用的网络覆盖时的使用情况。与虚线450以下处于覆盖范围外的情况形成对照的是，在虚线450的上面，所述装置能够在网络基础设施上相互通信(信令和用户数据二者)。这样的通信在OMA PoC架构上使用。装置460和470的每一个都能够向OMA PoC服务器440进行通信。

假设属于同一OMA PoC分组的装置已经与中央OMA PoC服务器440建立了OMA PoC分组会话。在某一点上，分组成员和/或网络可以判断所有的分组成员都处于附近，并且应该能够在D2D通信链路上与其他分组成员进行通信。在WiFi直连实施例中，所述分组成员中的一个成为P2P GO。其他分组成员担任P2P客户端的角色，并且通过下述方式中的一个与P2P GO单独地建立安全的D2D链路。

在一个方法中，如上文参考图5所描述的，每一个P2P客户端与P2P群组所有者执行基于证书的认证。换句话说，不管所述装置处于网络覆盖范围内还是处于网络覆盖范围外，都可以使用用于安全的D2D链路建立的相同的机制。

在替代方案中，网络中的集中式实体(例如，PoC实体440)向网络中的每一个装置分发信息(下文将详细描述)。所分发的信息允许每一个P2P客户端与P2P GO建立安全的链路。对于这一选择而言，由网络分发的信息由几个参数构成。P2P群组所有者接收所有活动的多播分组参与方的D2D链路层标识符(图4中的D2D_ID(A))。此外，对于每一个分组成员而言，P2P GO接收与该分组成员共享的成对主密钥(PMK3(A))。P2P客户端接收P2P群组所有者的D2D链路层标识符(图4中的D2D_ID(GO))以及其相对应的PMK3(图4中的PMK3(A))。

所述装置的每一个(即，P2P群组所有者和P2P客户端二者)接收由P2P群组所有者中的参与PoC功能使用的多播PoC信道的D2D链路层标识符(图4中的D2D_ID分组)，以用于向所有的OMA PoC分组成员分发数据帧。此外，所述装置中的每一个接收GMK，即用于生成分组临时密钥(GTK)的分组主密钥，以用于保护多播D2D信道。如上所述，所述装置应当能够随时以各种不同的方法中的一个自主地导出当前的GTK。例如，当前的GTK可能是基于时间戳导出的。

在网络覆盖下用于1:1ProSe通信建立的网络解决方案(未示出)甚至更为简单，以便辅助安全的D2D链路的建立，提供给任一装置的网络辅助信息包括期望与其连接的装置的D2D_ID以及成对主密钥(PMK1)。可以经由SIP或经由各种其他不同的实体(可以是当前存在的或可以是未来出现的)来提供所述信息。

覆盖范围内和覆盖范围外之间的转换

不管D2D通信链路在网络覆盖下是如何建立的，处于1:1通信或者分组通信中的装置都能够持续使用相同的成对主密钥，即使当它们移出了网络覆盖时，也是如此。类似地，对于使用基于证书的认证而在网络覆盖之外建立的D2D链路而言，如果装置在网络覆盖内返回建立的通信，那么它们能够持续使用相同的成对主密钥。

但是，如果当前成对主密钥的有效性在装置离开原始的环境之后(即在装置离开网络覆盖，然后再次进入网络覆盖时)失效，那么则需要后退至用于对其当前环境有效的密钥更新的选项。示例性情况是装置在没有网络覆盖的时间段内变为泄密的。使用该装置的人将这一事实报告给证书管理机构，所述证书管理机构将撤消该装置的证书。但是，直到其他装置进入网络覆盖为止，它们可能都不会感知被撤消的证书。因而，可以希望装置一旦重新进入网络覆盖就检查证书。

对其他D2D技术的适用性

基于WiFi直连技术(到目前为止其只是用作描述本提议的基础)的D2D链路具有固有的非对称性，这是因为其指定了专门的“特权装置”，即，该装置担任P2P GO的角色。

参考图2中描绘的1:1 ProSe通信架构，对特权装置(GO)的指定是特定于WiFi直连操作的；不使用用于D2D技术的WiFi直连的实施例可以具有也可以没有这样的特权装置。不管替代的D2D技术是什么，这样的技术都还将依赖于D2D链路层标识符(类似于WiFi直连中的MAC地址)以及预先共享的秘密，以确保D2D链路的安全。因此，基于证书的解决方案和协助于网络的解决方案二者都仍然适用。

参考图4中描绘的ProSe分组通信架构，所述特权装置(即，P2P群组所有者)在上层具有附加的特权功能，例如，OMA PoC服务器功能。我们期望支持ProSe分组通信的任何替代D2D技术都将需要依赖于类似的特权装置，在这种情况下，先前描述的用于ProSe分组通信的解决方案将仍然适用。

文中描述的示例可以包括逻辑或者一些部件、模块或机构，或者在其上进行操作。模块是能够执行指定的操作的有形的实体(例如，硬件)，并且可以以某种方式进行配置或布置。在示例中，电路可以以指定的方式(例如，内置地或者相对于诸如其他电路之类的外部实体)被布置为模块。在示例中，一个或多个计算机系统(例如，独立的客户端或服务器计算机系统)或者一个或多个硬件处理器的整体或部分可以通过固件或者软件(例如，指令、应用部分、或者应用)被配置为工作以执行指定的操作的模块。在示例中，所述软件可以存在于机器可读介质上。在示例中，所述软件当由所述模块的下层硬件执行时，使得硬件执行指定的操作。

因此，术语“模块”被理解为涵盖有形实体，即进行物理构造、并且进行特殊配置(例如，硬连线)、或者进行临时性(例如，暂时性)配置(例如，编程)，从而以指定的方式工作或者执行文中描述的任何操作的部分或全部的实体。考虑对模块进行临时性配置的示例，不需要在任何时刻都及时地使所述模块中的每一个都被实例化。例如，在模块包括使用软件配置的通用硬件处理器的情况下，所述通用硬件处理器可以在不同的时间被配置为相应的不同模块。软件可以相应地对硬件处理器进行配置，从而例如使其在某一时间实例处构成特定的模块，并且在另一不同的时间实例处构成不同的模块。

图6是示出了可以在其上执行文中讨论的技术(例如，方法)中的任何一个或多个的示例性机器600的框图。在替代实施例中，机器600可以作为独立的装置工作或者可以连接至(例如，联网至)其他机器。在网络化部署中，机器600可以在服务器—客户端网络环境中以服务器机器、客户端机器或者两者的能力工作。在示例中，机器600可以在对等(P2P)(或其他分布式)网络环境中充当对等机。机器600可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、智能电话、网络器具、网络路由器、开关或电桥、专用导航装置、膝上型计算机、电视或者能够执行指令(以顺序方式或其他方式)的任何机器，其中，所述指令指定了要由该机器采取的操作。此外，尽管只示出了单个机器，但是还应当将术语“机器”理解为包括机器的任何集合，所述机器单独地或者联合地执行指令的集合(或者多个集合)，以履行文中讨论的方法中的任何一个或多个，例如，云计算、软件即服务(SaaS)、其他计算机群集配置。

机器(例如，计算机系统)600可以包括硬件处理器602(例如，中央处理单元(CPU)、图形处理单元(GPU)、硬件处理器核心、或者它们的任何组合)、主存储器604、以及静态存储器606，它们中的一些或全部可以经由互连链路(例如，总线)608相互通信。机器600还可以包括显示装置610、数字字母混合输入装置612(例如，键盘)、以及用户界面(UI)导航装置614(例如，鼠标或触摸板)。在示例中，所述显示装置610、输入装置612、以及UI导航装置614可以是完成所有三项任务的触摸屏显示器。机器600可以附加地包括大容量存储装置(例如，闪速存储器)616、信号发生装置(例如，扬声器)、网络接口装置620、以及一个或多个传感器621，例如，全球定位系统(GPS)传感器、罗盘、加速度计、或其他传感器。机器600可以包括输出控制器628，例如，串行(例如，通用串行总线(USB))、并行或者其他有线或无线(例如，红外(IR)、蓝牙或近场通信)连接，从而与一个或多个外围装置(例如，打印机、读卡器等)进行通信或对其加以控制。

所述大容量存储装置616可以包括其上存储了数据结构或指令624(例如，软件)的一个或多个集合的机器可读介质622，所述数据结构或指令624的一个或多个集合体现了文中描述的技术或功能中的任何一个或多个，或者由文中描述的技术或功能中的任何一个或多个所使用。在指令624由机器600执行期间，指令624还可以完全或者至少部分地驻留于主存储器604内，驻留于静态存储器606内，或者驻留于硬件处理器602内。在示例中，硬件处理器602、主存储器604、静态存储器606、或者大容量存储装置616中的一个或者任何组合可以构成机器可读介质。

尽管机器可读介质622被示出为单个介质，但是术语“机器可读介质”可以包括被布置为存储一个或多个指令624的单个介质或多个媒介(例如，集中式或分布式数据库、和/或相关联的高速缓存和服务器)。

术语“机器可读介质”可以包括能够存储、编码或携带由机器600执行的指令的任何介质以及使得机器600执行本公开的技术中的任何一个或多个的任何介质，或者能够存储、编码或携带由这样的指令所使用的数据结构或者与这样的指令相关联的数据结构的任何介质。非限制性的机器可读介质的示例可以包括固态存储器、以及光学和磁介质。在示例中，具有质量的机器可读介质包括具有多个有静止质量的颗粒的机器可读介质。有质量的机器可读介质的具体示例可以包括：非易失性存储器，例如，半导体存储装置(例如，电可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM))、和闪速存储装置；磁盘，例如，内部硬盘和可移除盘；磁光盘；以及CD-ROM、DVD-ROM和蓝光盘。

还可以使用传输介质经由利用多个传输协议(例如，帧中继、互联网协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超级文本传输协议(HTTP)等)中的任何一个的网络接口装置620在通信网络626上对指令624进行发送或接收。示例性的通信网络可以包括局域网(LAN)、广域网(WAN)、分组数据网络(例如，互联网)、移动电话网络(例如，蜂窝网络)、普通老式电话(POSTS)网络、和无线数据网络(例如，被称为的电气与电子工程师协会(IEEE)802.11标准族、被称为的IEEE 802.16标准族)、对等(P2P)网络等。在示例中，网络接口装置620可以包括用于连接至通信网络626的一个或多个物理插孔(例如，以太网插孔、同轴插孔、或者电话插孔)或者一个或多个天线。在示例中，网络接口装置620可以包括多个天线，用于使用单输入多输出(SIMO)、多输入多输出(MIMO)、或者多输入单输出(MISO)技术中的至少一个来进行无线通信。应当将术语“传输介质”理解为包括能够存储、编码或携带用于由机器600执行的指令的任何无形介质，并且包括有助于这样的软件的通信的数字或模拟通信信号或者其他无形介质。

下面的示例属于进一步实施例。

示例1包括用于在1:1的基于邻近的服务(ProSe)通信会话中使第一移动设备与第二移动设备耦合的方法，其包括：所述第一移动设备发现第二移动设备的存在；在第一移动设备和第二移动设备之间进行协商，以确定第一移动设备和第二移动设备中的哪一个将变成通信会话的群组所有者，以及哪一个将变成通信会话的客户端；并且其中，当所述第一移动设备是客户端时，所述方法包括实施与群组所有者的相互认证；当所述第一设备是群组所有者时，所述方法包括接收来自客户端的认证信息；并且所述第一移动设备和第二移动设备之间的连接是经由设备到设备(D2D)链路的。

在示例2中，示例1的主题可以可选地包括，其中，实施相互认证包括：生成成对主密钥；并且其中所述方法还包括：使用所述成对主密钥来保护经由所述D2D链路行进的所述第一移动设备和所述第二移动设备之间的传输。

在示例3中，示例1的主题还可以可选地包括：在第一移动设备和第二移动设备之间建立应用层通信会话。

在示例4中，示例3的主题还可以可选地包括：生成成对主密钥；并且其中，所述方法还包括：使用所述成对主密钥来保护经由所述通信会话行进的所述第一移动设备和所述第二移动设备之间的传输。

在示例5中，示例1的主题还可以可选地包括，实施相互认证还包括：所述第二设备验证由第一设备拥有的第一证书；以及所述第一设备验证由所述第二设备拥有的第二证书；其中，所述第一证书包括标识所述第一设备的第一链路标识符；所述第二证书包括标识第二设备的第二链路标识符；将所述第一证书布置为确认所述第一设备是被授权的；并且将所述第二证书布置为确认所述第二设备是被授权的。

在示例6中，示例5的主题可以可选地包括附加的特征，其中：所述第一链路标识符包括所述第一设备的介质访问控制(MAC)地址；并且所述第二链路标识符包括所述第二设备的MAC地址。

在示例7中，示例5的主题可以可选地包括，其中：所述第一证书还包括属于所述第一设备的用户的全局标识符；所述第二证书还包括属于所述第二设备的用户的全局标识符。

在示例8中，示例1的主题可以可选地包括，其中，所述D2D链路是WiFi直接连接。

在示例9中，示例1的主题可以可选地包括，其中，所述D2D链路是LTE直接连接。

在示例10中，示例1的主题可以可选地包括，其中，将第一移动设备布置为在缺乏网络覆盖的情况下与第二移动设备进行通信。

示例11是用于在基于邻近的服务(ProSe)的分组通信会话中使第一移动设备与第二移动设备耦合的方法，其包括：所述第一移动设备发现第二移动设备的存在；在第一移动设备和第二移动设备之间进行协商，以确定第一移动设备和第二移动设备中的哪一个将变成通信会话的群组所有者，以及哪一个将变成通信会话的客户端；启动基于证书的认证过程；在第一移动设备和第二移动设备之间建立设备到设备的连接；以及在第一移动设备和第二移动设备之间建立蜂窝网上的即按即说(PoC)连接。

在示例12中，示例11的主题可以可选地包括，其中，启动基于证书的认证过程包括：使第一移动设备和第二移动设备两者断定D2D链路层标识和应用层标识；使第一移动设备通过提供属于某一分组的应用层标识和属于该分组的链路层标识而断定其属于该分组；使第一移动设备断定其知道分组主密钥；从所述分组主密钥导出分组临时密钥；以及使用所述分组临时密钥来保护第一设备在PoC连接上发送的多播帧。

在示例13中，示例11的主题可以可选地包括，其中，第一移动设备能够在缺乏网络覆盖的情况下与第二移动设备进行通信。

在示例14中，示例11的主题可以可选地包括，群组所有者接收来自通信会话的客户端的单播帧；并且使群组所有者将所述单播帧作为多播帧而重新发送。

在示例15中，示例11的主题可以可选地包括，当网络连接可用时向PoC服务器发送数据；以及当网络连接可用时从PoC服务器接收数据。

在示例16中，示例15的主题可以可选地包括，其中，启动基于证书的认证过程包括：使群组所有者接收成为分组通信会话的部分的客户端的D2D链路标识符；使群组所有者接收与第二移动设备共享的成对主密钥；以及使用所述成对主密钥向和从所述第二移动设备发送和接收数据。

在示例17中，示例15的主题可以可选地包括，其中，启动基于证书的认证过程包括：使客户端接收群组所有者的D2D链路标识符；使客户端接收与群组所有者共享的成对主密钥；以及使用所述成对主密钥向和从所述群组所有者发送和接收数据。

在示例18中，示例16或17的主题可以可选地包括：接收PoC连接的D2D链路标识符。

示例19是用于在基于邻近的服务(ProSe)的1:1通信会话中进行通信的移动设备，其包括：处理器；耦合至所述处理器并且被布置为经由天线组件发送和接收信号的收发机；其中，将所述处理器布置为：发现第二移动设备的存在；与第二移动设备进行协商，以确定所述移动设备和第二移动设备中的哪一个将变成通信会话的群组所有者，以及哪一个将变成通信会话的客户端；以及当所述移动设备是通信会话的客户端时，实施与群组所有者的相互认证；其中，所述第一移动设备和第二移动设备之间的连接是经由设备到设备(D2D)链路的。

在示例20中，示例19的主题可以可选地包括，其中，所述移动设备是被布置为经由第三代合作伙伴计划长期演进(3GPP-LTE)信令发送和接收信号的用户设备(UE)。

在示例21中，示例19的主题可以可选地包括，其中，D2D链路是经由WiFi直接连接的。

在示例22中，示例19的主题可以可选地包括，其中，D2D链路是经由LTE直接连接的。

示例23是一种包括指令的机器可读介质，所述指令用于在基于邻近的服务(ProSe)的1:1通信会话中使第一移动设备与第二移动设备耦合，当由第一计算设备执行所述指令时，使所述第一计算设备用于：发现第二计算设备的存在；与第二计算设备之间进行协商，以确定所述第一计算设备和第二计算设备中的哪一个将变成通信会话的群组所有者，以及哪一个将变成通信会话的客户端；并且其中，当所述第一计算设备是客户端时，启动与第二计算设备的相互认证；当第一移动设备是群组所有者时，所述指令使所述第一计算设备从所述第二计算设备接收相互认证信息；并且所述第一移动设备和第二移动设备之间的连接是经由设备到设备(D2D)链路的。

在示例24中，示例23的主题可以可选地包括，其中，所述介质还包括如下指令，当被执行时使得所述第一计算设备用于：在所述第一计算设备和第二计算设备之间建立通信会话。

在示例25中，示例24的主题可以可选地包括，其中，所述介质还包括如下指令，当被执行时，使得所述第一计算设备用于：生成成对主密钥；并且使用所述成对主密钥来保护经由所述D2D链路行进的所述第一计算设备和第二计算设备之间的传输。

尽管已经在本文中示出和描述了本发明的某些特征，但本领域的普通技术人员可以想到很多修改、替代、改变、以及等效方案。因此，应当理解，所附的权利要求是要覆盖落在本发明的范围内的所有这样的修改和变化。

上面的具体实施方式部分包括对附图的参考，所述附图构成了所述具体实施方式的一部分。附图作为举例说明示出了可以实践的具体实施例。文中又将这些实施例称为“示例”。这样的示例可以包括除了示出和描述的元件以外的元件。但是还可以设想包括所示出和描述的元件的示例。此外，还设想了或相对于特定示例(或其一个或多个方面)或者相对于文中示出或描述的其他示例(或其一个或多个方面)而使用所示出或描述的元件(或者其一个或多个方面)的任何组合或置换的示例。

通过引用将本文中参考的公开文献、专利、以及专利文献的全部条款并入本文，就像通过引用而将其单独地并入本文一样。在本文和通过引用而并入的文献之间的用法存在不一致的事件中，所并入的参考文献中的用法是对本文的用法的补充；对于不可调和的不一致性而言，以本文中的用法为准。

在本文中，术语“一”或“一个”，正如在专利文件中所常见的，用于包括一个或多于一个，其独立于任何其他实例或“至少一个”或者“一个或多个”的用法。在本文中，术语“或”用于指非互斥性的，或者使得“A或B”包括“A而非B”、“B而非A”以及“A和B”，除非另行指出。在所附的权利要求中，将术语“包括”和“其中”分别用作相应的术语“包含”和“在其中”的简明英语等效物。而且，在下述权利要求中，术语“包括”和“包含”是开放性的，即，除了包括在权利要求中列举在这样的术语之后的元件之外还包括其他元件的系统、装置、制品或过程仍然被认为落在该权利要求的范围内。此外，在下述权利要求中，术语“第一”、“第二”和“第三”等仅用作标签，而不是要暗示其对象的数字顺序。

上述说明是举例示出性而非限制性的。例如，可以将上文所述的示例(或者其一个或多个方面)与其他示例结合使用。例如，可以由本领域的技术人员在回顾上述说明时使用其他实施例。所述摘要允许读者快速地确定本技术公开的实质，例如从而遵守美国的37 C.F.R.§1.72(b)。提交所述摘要的前提是，不使用其来解释或限制权利要求的范围和含义。同样，在上面的具体实施方式中，可以将各种特征聚集到一起，从而使本公开流线化。但是，权利要求可能没有阐述文中公开的每一特征，这是因为实施例可以以所述特征的子集为特征。此外，实施例可以包括比特定的示例中公开的特征更少的特征。由此，下述的权利要求据此被并入到具体实施方式中，权利要求本身代表独立的实施例。应当参考所附的权利要求连同赋予这样的权利要求的等效物的全范围来确定文中公开的实施例的范围。