WO2016169232A1

WO2016169232A1 - 一种d2d业务组播的认证方法、装置和系统

Info

Publication number: WO2016169232A1
Application number: PCT/CN2015/092118
Authority: WO
Inventors: 彭锦; 朱进国; 游世林; 林兆骥
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-04-23
Filing date: 2015-10-16
Publication date: 2016-10-27
Also published as: CN106162618A

Abstract

本发明实施例公布了一种D2D业务组播的认证方法、装置和系统，所述的认证方法包括：接收终端发送的密钥请求消息；对所述终端的安全能力进行验证；当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。

Description

一种D2D业务组播的认证方法、装置和系统

技术领域

本发明实施例涉及但不限于移动通信领域，尤其涉及一种D2D业务组播的认证方法、装置和系统。

背景技术

临近区域的终端利用设备到设备(Device to Device，简称为D2D)直接通信能够给终端带来很多好处，比如更高的速率，更低的延迟以及更小的功耗，同时也极大地提高了运营商的无线资源效率，D2D的中继(Relay)模式有利于运营商提高无线覆盖；对于应用来说利用D2D通讯过程中的临近信息可以开发出更加吸引人的新业务。公共安全(Public Safety)系统也可以利用D2D技术实现没有无线覆盖的情况下终端之间的通讯。

图1是相关技术中与3GPP(3rd Generation Partnership Project，第三代合作伙伴计划)相关的D2D Relay架构示意图，如图1所示，涉及网元的功能说明如下：

远终端：也称为用户设备(User Equipment，简称为UE)，该终端处于无移动信号覆盖之内，支持通过PC5接口和其他终端进行D2D发现和通信，远终端也可以通过Relay节点和网络进行通信；

Relay节点：该节点是一个终端，处于有移动信号覆盖之内，支持其他远终端通过该终端和网络通信，Relay节点支持Relay发现广播，远终端通过读取该广播信息，选择合适的Relay节点并通过该节点和网络进行通信；

基站：为Relay节点提供无线覆盖，也可以为Relay节点进行D2D发现或者通信时候进行无线资源授权和分配，在进行eMBMS(Evolved Multimedia Broadcast Multicast Service，增强型多媒体广播多播业务)广播的时候，基站通过广播进行下行数据发送，有利于节约空口资源，基站和终端或中继节点之间的空中接口为Uu口；

核心网：主要负责Relay节点的注册、分配IP(Internet Protocol，网络互连协议)地址以及承载建立，Relay节点通过核心网和外部网络进行通信，基站和核心网之间接口为S1接口；

集群通信服务器：集群服务主要功能包括集群业务组的管理、呼叫建立、释放和管理等功能，UE和集群通信服务器之间为PC1接口，UE利用该接口向集群通信服务器发起注册，并从集群通信服务器获得业务相关信息，UE也通过该接口向集群通信服务器发起组呼叫、请求话权等功能。

D2D业务可以利用中继节点向远终端提供eMBMS组播业务，相关的流程如图2所示，包括：

201，远终端发现中继节点，应用向远终端提供TMGI(Temporary Mobile Group Identity，临时移动组标识)，其中所述应用安装远终端上，可以跟集群通信服务器交互；

202，远终端向中继节点发送TMGI监听请求消息，消息中包括TMGI参数；

203，中继节点向远终端回送TMGI监听响应消息，消息中包括ProSe(Proximity-based Services，基于邻近的业务)层2组标识和TMGI定时器等参数；

204，中继节点监听到TMGI广播；

205，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

206，远终端可以通过中继节点的中继接收广播内容。

在以上的流程中，中继节点和远终端之间使用D2D组播方式进行通讯，这要求中继节点和远终端加入同一个D2D组播组，并获取该组的群组密钥。但是，远终端没有网络覆盖，无法跟网络交互完成加入群组和获取群组密钥的过程，因此无法提供安全的eMBMS业务。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供一种D2D业务组播的认证方法、装置和系统，实现在D2D业务中中继节点向远终端进行组播的认证。

本发明实施例提供了一种设备到设备D2D业务组播的认证方法，包括：

接收终端发送的密钥请求消息；

对所述终端的安全能力进行验证；

当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。

可选地，所述方法还包括：当所述终端的安全能力不支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带失败标识和失败原因信息。

可选地，所述接收终端发送的密钥请求消息之后，所述方法还包括：与基于邻近的业务ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。

可选地，所述接收终端发送的密钥请求消息之前，所述方法还包括：

接收所述终端发送的临时移动组标识TMGI监听请求消息；

根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组；

当不存在与所述TMGI对应的ProSe组时，向ProSe功能实体发送群组请求消息；并接收所述ProSe功能实体发送群组响应消息，所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息；向所述终端发送TMGI监听响应消息；

当存在与所述TMGI对应的ProSe组时，向所述终端发送TMGI监听响应消息。

可选地，所述向所述终端发送密钥响应消息之后，所述方法还包括：向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。

可选地，其中，所述密钥请求消息包括：待接入D2D组标识和终端安全能力参数；或者包括临时移动组标识TMGI参数和终端安全能力参数；或者包括待接入D2D组标识、所述终端标识和终端安全能力参数。

可选地，其中，所述群组密钥信息包括：所述D2D组成员标识、ProSe组密钥PGK标识、PGK和待接入D2D组的安全算法；或者包括待接入D2D组标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法和TMGI定时器参数；或者包括所述D2D组成员标识、ProSe多媒体互联网密钥PMK标识、PMK和待接入D2D组的安全算法；或者包括所述终端标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法。

本发明实施例还提供一种设备到设备D2D业务组播的认证方法，包括：

向中继节点发送密钥请求消息；

接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。

可选地，所述向中继节点发送密钥请求消息之前，所述方法还包括：

向所述中继节点发送临时移动组标识TMGI监听请求消息；

接收所述中继节点返回的TMGI监听响应消息。

本发明实施例还提供一种设备到设备D2D业务组播的认证装置，设置在中继节点，包括：

第一接收模块，设置为接收终端发送的密钥请求消息；

验证模块，设置为对所述终端的安全能力进行验证；以及

第一发送模块，设置为当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。

可选地，其中，所述第一发送模块还设置为当所述终端的安全能力不支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带失败标识和失败原因信息。

可选地，所述装置还包括交互模块，

所述交互模块，设置为与基于邻近的业务ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。

可选地，所述装置还包括确定模块，

所述第一接收模块，还设置为接收所述终端发送的临时移动组标识TMGI监听请求消息；

所述确定模块，设置为根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组；

所述第一发送模块，还设置为当不存在与所述TMGI对应的ProSe组时，向ProSe功能实体发送群组请求消息；

所述第一接收模块，还设置为接收所述ProSe功能实体发送群组响应消息，所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息；

所述第一发送模块，还设置为向所述终端发送TMGI监听响应消息。

可选地，其中，所述第一发送模块，还设置为向所述终端发送密钥响应消息之后，向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。

本发明实施例还提供一种设备到设备D2D业务组播的认证装置，设置在终端，包括：

第二发送模块，设置为向中继节点发送密钥请求消息；以及

第二接收模块，设置为接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。

可选地，其中，所述第二发送模块，还设置为向所述中继节点发送临时移动组标识TMGI监听请求消息；

所述第二接收模块，还设置为接收所述中继节点返回的TMGI监听响应消息。

本发明实施例还提供一种设备到设备D2D业务组播的认证系统，包括上述的中继节点和上述的终端。

本发明实施例还提供一种计算机可读存储介质，存储有程序指令，当该程序指令被执行时可实现上述方法。

本发明实施例通过中继节点具有ProSe管理功能实体的功能，或者终端通过中继节点与ProSe密钥管理功能实体交互，向终端分配D2D组密钥，实现了使用D2D中继节点向终端提供安全的eMBMS组播业务。由此增强了ProSe系统功能和安全性。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1是D2D业务Relay架构示意图；

图2是相关技术利用中继节点向远终端提供eMBMS组播业务的流程图；

图3是本发明应用实施例一利用中继节点向远终端提供安全的eMBMS组播业务的基本流程图；

图4是本发明应用实施例二利用中继节点向远终端提供安全的eMBMS组播业务，合并监听请求和密钥请求消息的流程图；

图5是本发明应用实施例三利用中继节点向远终端提供安全的eMBMS组播业务，使用MIKEY发送PGK等参数的流程图；

图6是本发明应用实施例四利用中继节点向远终端提供安全的eMBMS组播业务，ProSe密钥管理功能实体独立设置的流程图；

图7是本发明实施例中继节点侧D2D业务组播的认证方法的流程图；

图8是本发明实施例终端侧D2D业务组播的认证方法的流程图；

图9本发明实施例中继节点侧D2D业务组播的认证装置的结构示意图；

图10是本发明实施例终端侧D2D业务组播的认证装置的结构示意图。

本发明的实施方式

下面结合附图对本发明实施例进行说明，需要说明的是，在不冲突的情况下，本申请中的实施例和实施例中的特征可以相互任意组合。

如图7所示，本发明实施例提供的一种设备到设备D2D业务组播的认证方法，应用于中继节点，包括：

Sa、接收终端发送的密钥请求消息；

Sb、对所述终端的安全能力进行验证；

Sc、当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。

Sc中如果所述终端的安全能力不支持待接入D2D组的安全算法，向所述终端发送密钥响应消息，所述密钥响应消息携带失败标识和失败原因信息。

可选地，Sa之后还包括：与ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。

在D2D业务中中继节点向终端进行组播的认证，中继节点可具有ProSe密钥管理功能实体的功能，或者终端通过中继节点与ProSe密钥管理功能实体交互。终端向中继节点请求组密钥，用于D2D组播通讯。中继节点接收eMBMS组播，将内容转换为D2D组播发送。实现了使用D2D中继节点向远终端提供安全的eMBMS组播业务。由此增强了ProSe系统功能和安全性。

可选地，Sa之前还包括：

接收所述终端发送的临时移动组标识TMGI监听请求消息；

可选地，Sc之后还包括：向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。

当所述密钥请求消息包括：待接入D2D组标识和终端安全能力参数；所述群组密钥信息包括：所述D2D组成员标识、PGK(ProSe Group Key，ProSe组密钥)标识、PGK和待接入D2D组的安全算法。

当所述密钥请求消息包括临时移动组标识TMGI参数和终端安全能力参数；所述群组密钥信息包括待接入D2D组标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法和TMGI定时器参数；或者包括所述D2D组成员标识、PMK(ProSe MIKEY Key，ProSe多媒体互联网密钥)标识、PMK和待接入D2D组的安全算法。

当所述密钥请求消息包括待接入D2D组标识、终端标识和终端安全能力参数；所述群组密钥信息包括终端标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法。

其中，MIKEY消息由RFC(Remote Function Call，远程函数调用)3830定义，MIKEY消息可以在两个实体间建立安全连接，用于传送密钥等重要数据，PGK为ProSe组的共享密钥，PMK用于MIKEY消息加密的密钥。

如图8所示，本发明实施例提供的一种设备到设备D2D业务组播的认证方法，应用于终端，包括：

Sd、向中继节点发送密钥请求消息；

Se、接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。

可选地，Sd之前还包括：

向所述中继节点发送临时移动组标识TMGI监听请求消息；

接收所述中继节点返回的TMGI监听响应消息。

如图9所示，本发明实施例提供的一种设备到设备D2D业务组播的认证装置，设置在中继节点，包括：

第一接收模块110，设置为接收终端发送的密钥请求消息；

验证模块120，设置为对所述终端的安全能力进行验证；以及

第一发送模块130，设置为当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。

所述第一发送模块130还设置为当所述终端的安全能力不支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带失败标识和失败原因信息。

可选地，上述认证装置还包括交互模块140，所述交互模块140，设置为与ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。

可选地，上述认证装置还包括确定模块150，

所述第一接收模块110，还设置为接收所述终端发送的临时移动组标识TMGI监听请求消息；

所述确定模块150，设置为根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组；

所述第一发送模块130，还设置为当不存在与所述TMGI对应的ProSe组时，向ProSe功能实体发送群组请求消息；

所述第一接收模块110，还设置为接收所述ProSe功能实体发送群组响应消息，所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息；

所述第一发送模块130，还设置为向所述终端发送TMGI监听响应消息。

可选地，所述第一发送模块130，还设置为向所述终端发送密钥响应消息之后，向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。

如图10所示、本发明实施例提供的一种设备到设备D2D业务组播的认证装置，设置在终端，包括：

第二发送模块210，设置为向中继节点发送密钥请求消息；以及

第二接收模块220，设置为接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。

可选地，所述第二发送模块210，还设置为向所述中继节点发送临时移动组标识TMGI监听请求消息；

所述第二接收模块220，还设置为接收所述中继节点返回的TMGI监听响应消息。

本发明实施例还提供一种设备到设备D2D业务组播的认证系统，包括上述的中继节点和终端。

应用实施例一：

如图3所示，利用中继节点向远终端提供安全的eMBMS组播业务的基本流程如下所示：

301，远终端发现中继节点，应用向远终端提供TMGI；

302，远终端向中继节点发送TMGI监听请求消息，消息中包括TMGI参数；

303，中继节点向远终端回送TMGI监听响应消息，消息中包括ProSe层2组标识和TMGI定时器等参数；

304，远终端向中继节点发送密钥请求消息，消息中包括ProSe层2组标识和终端安全能力等参数；

305，中继节点进行算法检查，确定远终端的安全能力是否支持组安全算法；

306，中继节点向远终端回送密钥响应消息，消息中包括组成员标识、PGK标识、PGK和算法等参数；

307，中继节点监听到TMGI广播；

308，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

309，远终端可以通过中继节点的中继接收广播内容。

应用实施例二：

如图4所示，利用中继节点向远终端提供安全的eMBMS组播业务，合并监听请求和密钥请求消息的流程如下所示：

401，远终端发现中继节点，应用向远终端提供TMGI；

402，远终端向中继节点发送TMGI监听与密钥请求消息，消息中包括TMGI参数和终端安全能力等参数；

403，中继节点进行算法检查，确定远终端的安全能力是否支持组安全算法；

404，中继节点向远终端回送TMGI监听与密钥响应消息，消息中包括ProSe层2组标识、组成员标识、PGK标识、PGK、算法和TMGI定时器等参数；

405，中继节点监听到TMGI广播；

406，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

407，远终端可以通过中继节点的中继接收广播内容。

应用实施例三：

如图5所示，利用中继节点向远终端提供安全的eMBMS组播业务，使用MIKEY发送PGK等参数的流程如下所示：

501，远终端发现中继节点，应用向远终端提供TMGI；

502，远终端向中继节点发送TMGI监听请求消息，消息中包括TMGI参数；

503，中继节点向远终端回送TMGI监听响应消息，消息中包括ProSe层2组标识和TMGI定时器等参数；

504，远终端向中继节点发送密钥请求消息，消息中包括ProSe层2组标识和终端安全能力等参数；

505，中继节点进行算法检查，确定远终端的安全能力是否支持组安全算法；

506，中继节点向远终端回送密钥响应消息，消息中包括组成员标识、PMK标识、PMK和算法等参数；

507，中继节点使用MIKEY消息向远终端发送PGK、PGK标识和定时器等参数；

508，中继节点监听到TMGI广播；

509，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

510，远终端可以通过中继节点的中继接收广播内容。

应用实施例四：

如图6所示，利用中继节点向远终端提供安全的eMBMS组播业务，ProSe密钥管理功能实体独立设置的流程如下所示：

601，远终端发现中继节点，应用向远终端提供TMGI；

602，远终端向中继节点发送TMGI监听请求消息，消息中包括终端标识和TMGI等参数；中继节点检查是否存在与该TMGI对应的ProSe组，或是否存在已分配而尚未使用的ProSe组，如有，则转至步骤605；如无，则转至步骤603；

603，可选地，中继节点向ProSe功能实体发送群组请求消息，消息中包括中继节点终端标识和远终端终端标识；

604，可选地，ProSe功能实体为该中继节点和远终端分配ProSe群组，ProSe密钥管理功能实体为该群组生成PGK；ProSe功能实体向中继节点回送群组响应消息，消息中包括ProSe层2组标识参数；

605，中继节点向远终端回送TMGI监听响应消息，消息中包括ProSe层2组标识和TMGI定时器等参数；

604，远终端向通过中继节点向ProSe密钥管理功能实体发送密钥请求消息，消息中包括ProSe层2组标识、终端标识和终端安全能力等参数；

605，ProSe密钥管理功能实体进行算法检查，确定远终端的安全能力是否支持组安全算法；

606，ProSe密钥管理功能实体通过中继节点向远终端回送密钥响应消息，消息中包括远终端的终端标识、组成员标识、PGK标识、PGK和算法等参数；

607，中继节点监听到TMGI广播；

608，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

609，远终端可以通过中继节点的中继接收广播内容。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，上述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明实施例不限制于任何特定形式的硬件和软件的结合。

虽然所揭示的实施方式如上，但只是为了便于理解本发明技术方案而采用的实施方式，并非用于限定本发明。

工业实用性

通过中继节点具有ProSe管理功能实体的功能，或者终端通过中继节点与ProSe密钥管理功能实体交互，向终端分配D2D组密钥，实现了使用D2D中继节点向终端提供安全的eMBMS组播业务。由此增强了ProSe系统功能和安全性。

Claims

一种设备到设备D2D业务组播的认证方法，包括：

接收终端发送的密钥请求消息；

对所述终端的安全能力进行验证；

当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。
如权利要求1所述的方法，所述方法还包括：当所述终端的安全能力不支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带失败标识和失败原因信息。
如权利要求1所述的方法，所述接收终端发送的密钥请求消息之后，所述方法还包括：与基于邻近的业务ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。
如权利要求3所述的方法，所述接收终端发送的密钥请求消息之前，所述方法还包括：

接收所述终端发送的临时移动组标识TMGI监听请求消息；

根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组；

当不存在与所述TMGI对应的ProSe组时，向ProSe功能实体发送群组请求消息；并接收所述ProSe功能实体发送群组响应消息，所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息；向所述终端发送TMGI监听响应消息；

当存在与所述TMGI对应的ProSe组时，向所述终端发送TMGI监听响应消息。
如权利要求1所述的方法，所述向所述终端发送密钥响应消息之后，所述方法还包括：向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。
如权利要求1所述的方法，其中：所述密钥请求消息包括：待接入 D2D组标识和终端安全能力参数；或者包括临时移动组标识TMGI参数和终端安全能力参数；或者包括待接入D2D组标识、所述终端标识和终端安全能力参数。
如权利要求1所述的方法，其中：所述群组密钥信息包括：所述D2D组成员标识、ProSe组密钥PGK标识、PGK和待接入D2D组的安全算法；或者包括待接入D2D组标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法和TMGI定时器参数；或者包括所述D2D组成员标识、ProSe多媒体互联网密钥PMK标识、PMK和待接入D2D组的安全算法；或者包括所述终端标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法。
一种设备到设备D2D业务组播的认证方法，包括：

向中继节点发送密钥请求消息；

接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。
如权利要求8所述的方法，所述向中继节点发送密钥请求消息之前，所述方法还包括：

向所述中继节点发送临时移动组标识TMGI监听请求消息；

接收所述中继节点返回的TMGI监听响应消息。
一种设备到设备D2D业务组播的认证装置，其特征在于，设置在中继节点，包括：

第一接收模块，设置为接收终端发送的密钥请求消息；

验证模块，设置为对所述终端的安全能力进行验证；以及

第一发送模块，设置为当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。
如权利要求10所述的装置，其中：所述第一发送模块还设置为当所述终端的安全能力不支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带失败标识和失败原因信息。
如权利要求10所述的装置，所述装置还包括交互模块，所述交互模块，设置为与基于邻近的业务ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。
如权利要求12所述的装置，所述装置还包括确定模块，

所述第一接收模块，还设置为接收所述终端发送的临时移动组标识TMGI监听请求消息；

所述确定模块，设置为根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组；

所述第一发送模块，还设置为当不存在与所述TMGI对应的ProSe组时，向ProSe功能实体发送群组请求消息；

所述第一接收模块，还设置为接收所述ProSe功能实体发送群组响应消息，所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息；

所述第一发送模块，还设置为向所述终端发送TMGI监听响应消息。
如权利要求10所述的装置，其中：所述第一发送模块，还设置为向所述终端发送密钥响应消息之后，向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。
一种设备到设备D2D业务组播的认证装置，其特征在于，设置在终端，包括：

第二发送模块，设置为向中继节点发送密钥请求消息；以及

第二接收模块，设置为接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。
如权利要求15所述的装置，其中：

所述第二发送模块，还设置为向所述中继节点发送临时移动组标识TMGI监听请求消息；

所述第二接收模块，还设置为接收所述中继节点返回的TMGI监听响应消息。
一种设备到设备D2D业务组播的认证系统，包括权利要求10至14任一所述的中继节点和权利要求15至16任一所述的终端。
一种计算机可读存储介质，存储有程序指令，当该程序指令被执行时可实现权利要求1-7任一项所述的方法。
一种计算机可读存储介质，存储有程序指令，当该程序指令被执行时可实现权利要求8-9任一项所述的方法。