WO2022068474A1

WO2022068474A1 - ProSe通信组的通信方法、装置及存储介质

Info

Publication number: WO2022068474A1
Application number: PCT/CN2021/114506
Authority: WO
Inventors: 周巍
Original assignee: 大唐移动通信设备有限公司
Priority date: 2020-09-29
Filing date: 2021-08-25
Publication date: 2022-04-07
Also published as: CN114339622A; CN114339622B

Abstract

本申请实施例提供一种ProSe通信组的通信方法、装置及存储介质，方法包括：接收第一UE通过应用服务器建立ProSe应用下的ProSe通信组时所发送的第一组通信密钥请求消息；当第一组通信密钥请求消息中包含有第一UE的身份信息和第一授权令牌时，基于第一UE的身份信息和第一授权令牌生成组通信密钥；当第一组通信密钥请求消息中包含有第一UE的身份信息和ProSe通信组的属性信息时，基于第一UE的身份信息和属性信息从应用服务器中得到密钥生成授权并生成组通信密钥；向第一UE发送第一组通信密钥响应消息，其中第一组通信密钥响应消息中包含有组通信密钥。本申请实施例实现了ProSe通信组的安全通信。

Description

ProSe通信组的通信方法、装置及存储介质

交叉引用

本申请引用于2020年09月29日提交的专利名称为“一种ProSe通信组的通信方法、装置及存储介质”的第2020110525800号中国专利申请。该专利申请通过引用被全部并入本申请。

技术领域

本申请涉及通信技术领域，具体涉及一种ProSe通信组的通信方法、装置及存储介质。

背景技术

在第四代移动通信技术(4th generation mobile communication technology，4G)中，近距离服务(Proximity Services，ProSe)仅支持公共安全应用，而在第五代移动通信技术(5th generation mobile networks，5G)中，ProSe将支持公共安全应用和商业服务应用。在公共安全应用中，ProSe通信组的建立是静态的，也就是组是事先建立的，成员也是事先就加入组中。而在商业应用中，组可能是动态建立的，组成员也可能是动态加入组或从组中移除，例如，临近的终端(UE)通过PC5接口建立一个互动游戏组。

目前正在进行5G ProSe架构和5G ProSe安全的研究工作，但是还没有提出关于ProSe通信组的安全通信的技术方案。

发明内容

本申请实施例提供一种ProSe通信组的通信方法、装置及存储介质，以解决ProSe通信组如何进行安全通信的问题。

第一方面，本申请实施例提供一种ProSe通信组的通信方法，应用于密钥管理功能实体，包括：

接收第一用户设备UE通过应用服务器建立近距离服务ProSe应用下的ProSe通信组时所发送的第一组通信密钥请求消息，其中所述第一组通信密钥请求消息中包含有第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息；

当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述第一授权令牌时，基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥；

当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息时，基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

向所述第一UE发送第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第一授权令牌中包括：所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息，且所述第一UE的角色信息为组管理员。

第二方面，本申请实施例提供一种ProSe通信组的通信方法，应用于第一用户设备UE，包括：

当第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第一组通信密钥请求消息；其中所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

接收所述密钥管理功能实体所发送的第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

基于所述组通信密钥与后续加入所述ProSe通信组的组成员进行通信；

第三方面，本申请实施例提供一种ProSe通信组的通信方法，应用于第二用户设备UE，包括：

当第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第二组通信密钥请求消息；其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和应用服务器为所述第二UE所颁发的第二授权令牌，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥，或者所述组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

接收所述密钥管理功能实体所发送的第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

基于所述组通信密钥与所述ProSe通信组中的成员进行通信；

所述第二授权令牌中包括：所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息，且所述第二UE的角色信息为组成员。

第四方面，本申请实施例提供一种ProSe通信组的通信装置，包括存储器，收发机，处理器：

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

第五方面，本申请实施例提供一种ProSe通信组的通信装置，包括存储器，收发机，处理器：

当第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第一组通信密钥请求消息；其中所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第一UE 的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

第六方面，本申请实施例提供一种ProSe通信组的通信装置，包括存储器，收发机，处理器：

基于所述组通信密钥与所述ProSe通信组中的成员进行通信；

第七方面，本申请实施例提供一种ProSe通信组的通信装置，应用于密钥管理功能实体，包括：

接收模块，用于接收第一用户设备UE通过应用服务器建立近距离服务ProSe应用下的ProSe通信组时所发送的第一组通信密钥请求消息，其中所述第一组通信密钥请求消息中包含有第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息；

第一生成模块，用于当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述第一授权令牌时，基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥；

第二生成模块，用于当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息时，基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

发送模块，用于向所述第一UE发送第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

第八方面，本申请实施例提供一种ProSe通信组的通信装置，应用于第一用户设备UE，包括：

发送模块，用于当第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第一组通信密钥请求消息；其中所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

接收模块，用于接收所述密钥管理功能实体所发送的第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

通信模块，用于基于所述组通信密钥与后续加入所述ProSe通信组的组成员进行通信；

第九方面，本申请实施例提供一种ProSe通信组的通信装置，应用于第二用户设备UE，包括：

发送模块，用于当第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第二组通信密钥请求消息；其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和应用服务器为所述第二UE所颁发的第二授权令牌，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥，或者所述组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

接收模块，用于接收所述密钥管理功能实体所发送的第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

通信模块，用于基于所述组通信密钥与所述ProSe通信组中的成员进行通信；

第十方面，本申请实施例提供一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使处理器执行第一方面、第二方面或第三方面所述的方法。

本申请实施例提供的ProSe通信组的通信方法、装置及存储介质，密钥管理功能实体通过接收第一UE所发送的第一组通信密钥请求消息，且在第一组通信密钥请求消息中包含有第一UE的身份信息和第一授权令牌时，直接基于第一UE的身份信息和第一授权令牌生成组通信密钥，并在第一组通信密钥请求消息中包含有第一UE的身份信息和ProSe通信组的属性信息时从应用服务器中得到密钥生成授权后再生成组通信密钥，实现了针对第一组通信密钥请求消息中所包含的不同信息进行不同的组通信密钥生成过程，从而在密钥管理功能实体基于第一授权令牌生成组通信密钥时避免了应用服务器与密钥管理功能实体之间的后台交互过程，且保证了ProSe通信组的安全通信，在密钥管理功能实体基于ProSe通信组的属性信息从应用服务器中得到密钥生成授权后再生成组通信密钥时，使得应用服务器不必再向第一UE颁发授权令牌，减少了UE与网络实体之间的传输参数，即减少了UE开销，并保证了ProSe通信组的安全通信。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例中应用于密钥管理功能实体的ProSe通信组的通信方法的步骤流程图；

图2为本申请实施例中应用于第一UE的ProSe通信组的通信方法的步骤流程图；

图3为本申请实施例中应用于第二UE的ProSe通信组的通信方法的步骤流程图；

图4为本申请实施例中建立ProSe通信组安全通信的示意图之一；

图5为本申请实施例中建立ProSe通信组安全通信的示意图之二；

图6为本申请实施例中应用于密钥管理功能实体的ProSe通信组的通信装置的模块框图；

图7为本申请实施例中应用于第一UE的ProSe通信组的通信装置的模块框图；

图8为本申请实施例中应用于第二UE的ProSe通信组的通信装置的模块框图；

图9为本申请实施例中ProSe通信组的通信装置的结构示意图之一；

图10为本申请实施例中ProSe通信组的通信装置的结构示意图之二；

图11为本申请实施例中ProSe通信组的通信装置的结构示意图之三。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，并不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供的技术方案可以适用于多种系统，例如5G系统。例如适用的系统可以是全球移动通讯(global system of mobile communication，GSM)系统、码分多址(code division multiple access，CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access，WCDMA)通用分组无线业务(general packet radio service，GPRS)系统、长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)系统、高级长期演进(long term evolution advanced，LTE-A)系统、通用移动系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)系统、5G新空口(New Radio,NR)系统等。这多种系统中均包括终端设备和网络设备。系统中还可以包括核心网部分，例如演进的分组系统(Evloved Packet System,EPS)、5G系统(5GS)等。

本申请实施例涉及的用户设备，可以是指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备等。无线用户设备可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网(Core Network,CN)进行通信，无线用户设备可以是移动终端设备，如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(Personal Communication Service，PCS)电话、无绳电话、会话发起协议(Session Initiated Protocol，SIP)话机、无线本地环路(Wireless Local Loop，WLL)站、个人数字助理(Personal Digital Assistant，PDA)等设备。无线用户设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户装置(user device)，本申请实施例中并不限定。由于用户设备与其它网络设备(例如核心网设备、接入网设备(即基站))一起构成一个可支持通信的网络，在本申请中，用户设备也视为一种网络设备。

此外，应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。

下面对本申请进行具体说明。

如图1所示，为本申请实施例中应用于密钥管理功能实体的ProSe通信组的通信方法的步骤流程图，该方法包括如下步骤：

步骤101：接收第一UE通过应用服务器建立ProSe应用下的ProSe通信组时所发送的第一组通信密钥请求消息。

具体的，在用户设备(简称UE)、应用服务器和密钥管理功能实体中配置有与动态的ProSe通信组相关的参数，例如UE中配置有应用服务器和密钥管理功能实体的地址信息，应用服务器中配置有与ProSe通信组通信相关的UE签约信息，密钥管理功能实体中配置有与UE建立安全关联的密钥信息和组通信安全相关的安全策略。

具体的，当第一UE想要在某个ProSe应用下建立一个ProSe通信组，且通过应用服务器建立ProSe应用下的ProSe通信组时，基于通信组内需要安全通信的需求，第一UE可以向密钥管理功能实体发送第一组通信密钥请求消息，此时密钥管理功能实体接收第一UE所发送的第一组通信密钥请求消息。

其中，第一组通信密钥请求消息中包含有第一UE的身份信息和应用服务器为第一UE所颁发的第一授权令牌，或者第一组通信密钥请求消息中包含有第一UE的身份信息和ProSe通信组的属性信息。

具体的，ProSe通信组的属性信息包括：ProSe通信组的组标识信息、ProSe应用的标识信息和ProSe通信组的有效期信息；

第一授权令牌中包括：第一UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第一UE在ProSe通信组中的角色信息，且第一UE的角色信息为组管理员，表示该ProSe通信组由第一UE建立。

UE的身份信息指在ProSe通信组中唯一标识组通信成员的标识信息，例如第一UE的身份信息可以为第一UE的标识，也可以是该第一UE在ProSe应用中的用户标识，在此不对此进行具体限定。

当然，在此需要说明的是，第一授权令牌中还可以包括第一授权令牌的有效期和令牌保护机制等授权信息，在此不再进行具体限定。

这样，通过在ProSe通信组的属性信息中包括ProSe通信组的组标识信息、ProSe应用的标识信息和ProSe通信组的有效期信息，使得密钥管理功能实体和应用服务器均能够通过该属性信息对ProSe通信组进行识别，且能够明确ProSe通信组的期限。此外，通过在第一授权令牌中包括上述信息，使得密钥管理功能实体能够通过该第一授权令牌中的信息验证第一UE的身份是否合法，且第一UE的角色信息使得密钥管理功能实体能够确定该ProSe通信组是否由第一UE建立，从而使得密钥管理功能实体能够确定是否需要生成该ProSe通信组的组通信密钥。

步骤102：当第一组通信密钥请求消息中包含有第一UE的身份信息和第一授权令牌时，基于第一UE的身份信息和第一授权令牌生成组通信密钥。

具体的，当密钥管理功能实体检测到第一组通信密钥请求消息中包括第一UE的身份信息和第一授权令牌时，密钥管理功能实体可以通过该第一UE的身份信息验证第一UE的身份且检查第一授权令牌，即可以直接结合第一UE的身份信息和第一授权令牌检查第一UE是否为应用服务器的签约UE，并在检查到是时基于安全策略生成组通信密钥，保证了组通信密钥生成过程的安全性。

具体的，密钥管理功能实体还可以存储由第一授权令牌中得到的ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息以及自身所生成的组通信密钥，以便将组通信密钥提供给后续来申请的ProSe通信组的组成员。

步骤103：当第一组通信密钥请求消息中包含有第一UE的身份信息和ProSe通信组的属性信息时，基于第一UE的身份信息和属性信息从应用服务器中得到密钥生成授权并生成组通信密钥。

具体的，当密钥管理功能实体检测到第一组通信密钥请求消息中包括第一UE的身份信息和ProSe通信组的属性信息时，由于ProSe通信组的属性信息并不是应用服务器颁发的能够证明第一UE合法身份的证明信息，因此密钥管理功能实体并不能直接通过第一UE的身份信息和ProSe通信组的属性信息判断第一UE是否为应用服务器的签约UE。此时，密钥管理功能实体可以基于该第一UE的身份信息和ProSe通信组的属性信息向应用服务器确定该第一UE的身份并申请密钥生成授权，当密钥管理功能实体基于该第一UE的身份信息和ProSe通信组的属性信息从应用服务器中得到密钥生成授权时再生成组通信密钥。

这样，密钥管理功能实体可以在后台通过与应用服务器的交互过程确定是否生成组通信密钥，从而使得应用服务器不必再向第一UE颁发授权令牌，减少了UE与网络实体之间的传输参数的同时，保证了组通信密钥的安全生成过程，即减少了UE开销且保证了ProSe通信组的安全通信。

步骤104：向第一UE发送第一组通信密钥响应消息。

具体的，第一组通信密钥响应消息中包含有组通信密钥，这使得第一UE在获取到组通信密钥后能够基于该组通信密钥与ProSe通信组中的组成员进行通信，保证了第一UE所建立的动态ProSe通信组的通信安全。

本实施例中的密钥管理功能实体通过接收第一UE所发送的第一组通信密钥请求消息，且在第一组通信密钥请求消息中包含有第一UE的身份信息和第一授权令牌时，直接基于第一UE的身份信息和第一授权令牌生成组通信密钥，并在第一组通信密钥请求消息中包含有第一UE的身份信息和ProSe通信组的属性信息时从应用服务器中得到密钥生成授权后再生成组通信密钥，实现了针对第一组通信密钥请求消息中所包含的不同信息进行不同的组通信密钥生成过程，从而在密钥管理功能实体基于第一授权令牌生成组通信密钥时避免了应用服务器与密钥管理功能实体之间的后台交互过程，且保证了ProSe通信组的安全通信，在密钥管理功能实体基于ProSe通信组的属性信息从应用服务器中得到密钥生成授权后再生成组通信密钥时，使得应用服务器不必再向第一UE颁发授权令牌，减少了UE与网络实体之间的传输参数，即减少了UE开销，并保证了ProSe通信组的安全通信。

可选地，在本实施例中，密钥管理功能实体基于第一UE的身份信息和ProSe通信组的属性信息从应用服务器中得到密钥生成授权并生成组通信密钥时，可以先向应用服务器发送第一授权请求消息，其中第一授权请求消息中包含有第一UE的身份信息、ProSe通信组的组标识信息和ProSe应用的标识信息，以使应用服务器基于第一UE的身份信息、ProSe通信组的组标识信息和ProSe应用的标识信息确定第一UE是否属于ProSe通信组，然后接收应用服务器在确定第一UE属于ProSe通信组时所发送的第一授权响应消息，其中第一授权响应消息中包含有第一UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第一UE在ProSe通信组中的角色信息。

具体的，密钥管理功能实体在获取密钥生成授权时，可以将第一UE的身份信息以及ProSe通信组的属性信息中所包括的ProSe通信组的组标识信息和ProSe应用的标识信息发送给应用服务器。此时由于第一UE为通过应用服务器建立ProSe通信组，应用服务器中记录有第一UE所建立的ProSe通信组的属性信息以及第一UE的身份信息，因此应用服务器可以将第一授权请求消息中的第一UE身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息与自身所记录的信息进行对比，从而确定第一UE是否属于该ProSe通信组，即验证第一UE身份的合法性。然后，当应用服务器基于该第一授权请求消息中所包含的信息确定第一UE属于所述ProSe通信组时，可以向密钥管理功能实体发送第一授权响应消息，且该第一授权响应消息中包含第一UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第一UE在ProSe通信组中的角色信息。此时密钥管理功能实体接收该第一授权响应消息，并通过ProSe通信组的有效期信息确定ProSe通信组的有效期，通过第一UE的角色信息确定是生成组通信密钥还是直接查找已有ProSe通信组的组通信密钥，当然由于第一UE的角色信息为组管理员，说明该ProSe通信组是由第一UE新建的，因此密钥管理功能实体生成组通信密钥。

这样，通过上述密钥管理功能实体和应用服务器之间的后台交互过程，实现了由应用服务器向密钥管理功能实体确定密钥生成授权的过程，避免了第一UE通过由应用服务器所颁发的第一授权令牌向密钥管理功能实体申请组通信密钥时，第一UE与应用服务器以及密钥管理功能实体之间交互参数较多的问题，减少了第一UE与网络实体之间的交互参数，减少了第一UE的开销。

另外，可选地，在本实施例中，在存在第二UE加入第一UE所建立的ProSe通信组时，同样需要向密钥管理功能实体申请组通信密钥以进行ProSe通信组内的安全通信，此时该申请过程可以包括如下步骤：

步骤A1：接收第二UE在加入ProSe通信组时所发送的第二组通信密钥请求消息。

具体的，当第二UE在加入ProSe通信组后，基于通信组内需要安全通信的需求，第二UE可以向密钥管理功能实体发送第二组通信密钥请求消息，此时密钥管理功能实体接收第二UE所发送的第二组通信密钥请求消息。

其中，第二组通信密钥请求消息中包含有第二UE的身份信息和应用服务器为第二UE所颁发的第二授权令牌，或者第二组通信密钥请求消息中包含有第二UE的身份信息和ProSe通信组的属性信息。

第二授权令牌中包括：第二UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第二UE在ProSe通信组中的角色信息，且第二UE的角色信息为组成员。

当然，在此需要说明的是，第二授权令牌中还可以包括第二授权令牌的有效期和令牌保护机制等授权信息，在此不再进行具体限定。

这样，通过在第二授权令牌中包括上述信息，使得密钥管理功能实体能够通过该第二授权令牌中的信息验证第二UE是否属于通过应用服务器所建立的ProSe通信组，且第二UE的角色信息使得密钥管理功能实体能够确定第二UE是否为后续加入ProSe通信组的组成员，从而使得密钥管理功能实体能够确定是否仅需要获取已生成的该ProSe通信组的组通信密钥。

步骤A2：当第二组通信密钥请求消息中包含有第二UE的身份信息和第二授权令牌时，基于第二UE的身份信息和第二授权令牌获取所述ProSe通信组的组通信密钥。

具体的，当密钥管理功能实体检测到第二组通信密钥请求消息中包括第二UE的身份信息和第二授权令牌时，密钥管理功能实体可以通过该第二UE的身份信息验证第二UE的身份且检查第二授权令牌，即可以直接结合第二UE的身份信息和第二授权令牌检查第二UE是否为ProSe通信组的组成员，并在检查到是时根据ProSe通信组信息检索到之前生成的组通信密钥。

步骤A3：当第二组通信密钥请求消息中包含有第二UE的身份信息和ProSe通信组的属性信息时，基于第二UE的身份信息和属性信息从应用服务器中得到密钥颁发授权并获取ProSe通信组的组通信密钥。

具体的，当密钥管理功能实体检测到第二组通信密钥请求消息中包括第二UE的身份信息和ProSe通信组的属性信息时，由于ProSe通信组的属性信息并不是应用服务器颁发的能够证明第二UE合法身份的证明信息，因此密钥管理功能实体并不能直接通过第二UE的身份信息和ProSe通信组的属性信息判断第二UE是否为应用服务器的签约UE。此时，密钥管理功能实体可以基于该第二UE的身份信息和ProSe通信组的属性信息向应用服务器查询该第二UE的身份并申请密钥颁发授权，当应用服务器基于该第二UE的身份信息和ProSe通信组的属性信息确定第二UE属于之前建立的ProSe通信组的组成员时，密钥管理功能实体从应用服务器中得到密钥颁发授权，并检索获取之前生成的ProSe通信组的组通信密钥。

这样，密钥管理功能实体可以在后台通过与应用服务器的交互过程确定是否向第二UE颁发组通信密钥，从而使得应用服务器不必再向第二UE颁发授权令牌，减少了UE与网络实体之间的传输参数的同时，保证了组通信密钥的安全分发过程，即减少了UE开销且保证了ProSe通信组的安全通信。

步骤A4：向第二UE发送第二组通信密钥响应消息。

具体的，第二组通信密钥响应消息中包含有组通信密钥，这使得第二UE在获取到组通信密钥后能够基于该组通信密钥与ProSe通信组中的其他成员进行通信，保证了ProSe通信组的通信安全。

本实施例中的密钥管理功能实体通过接收第二UE所发送的第二组通信密钥请求消息，且在第二组通信密钥请求消息中包含有第二UE的身份信息和第二授权令牌时，直接基于第二UE的身份信息和第二授权令牌检索之前生成的组通信密钥，并在第二组通信密钥请求消息中包含有第二UE的身份信息和ProSe通信组的属性信息时从应用服务器中得到密钥颁发授权后再检索获取组通信密钥，实现了针对第而组通信密钥请求消息中所包含的不同信息进行不同的组通信密钥获取过程，使得密钥管理功能实体基于第二授权令牌获取组通信密钥时避免了应用服务器与密钥管理功能实体之间的后台交互过程，且保证了ProSe通信组的安全通信，并使得密钥管理功能实体基于ProSe通信组的属性信息从应用服务器中得到密钥颁发授权后再获取之前生成的组通信密钥时，应用服务器不必再向第二UE颁发授权令牌，减少了UE与网络实体之间的传输参数，即减少了UE开销，并保证了ProSe通信组的安全通信。

可选地，在本实施例中，密钥管理功能实体基于第二UE的身份信息和属性信息从应用服务器中得到密钥颁发授权时，可以先向应用服务器发送第二授权请求消息，其中第二授权请求消息中包含有第二UE的身份信息、ProSe通信组的组标识信息和ProSe应用的标识信息，以使应用服务器基于第二UE的身份信息、ProSe通信组的组标识信息和ProSe应用的标识信息确定第二UE是否属于ProSe通信组，然后接收应用服务器在确定第二UE属于ProSe通信组时所发送的第二授权响应消息，其中第二授权响应消息中包含有第二UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第二UE在ProSe通信组中的角色信息。

具体的，密钥管理功能实体在获取密钥颁发授权时，可以将第二UE的身份信息以及ProSe通信组的属性信息中所包括的ProSe通信组的组标识信息和ProSe应用的标识信息发送给应用服务器。此时由于第二UE为通过应用服务器加入的ProSe通信组，应用服务器中记录有第二UE的身份信息以及第二UE所加入的ProSe通信组，因此应用服务器可以将第二授权请求消息中的第二UE身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息与自身所记录的信息进行对比，从而确定第二UE是否属于该ProSe通信组，即验证第二UE身份的合法性。然后，当应用服务器基于该第二授权请求消息中所包含的信息确定第二UE属于所述ProSe通信组且角色信息为组成员时，可以向密钥管理功能实体发送第二授权响应消息，且该第二授权响应消息中包含第二UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第二UE在ProSe通信组中的角色信息。此时密钥管理功能实体接收该第二授权响应消息，并通过ProSe通信组的有效期信息确定ProSe通信组的有效期，通过第二UE的角色信息确定是生成组通信密钥还是直接查找已有ProSe通信组的组通信密钥，当然由于第二UE的角色信息为组成员，说明第二UE是加入已建立的ProSe通信组，因此密钥管理功能实体检索并获取之前生成的组通信密钥。

这样，通过上述密钥管理功能实体和应用服务器之间的后台交互过程，实现了由应用服务器向密钥管理功能实体确定密钥颁发授权的过程，避免了第二UE通过由应用服务器所颁发的第二授权令牌向密钥管理功能实体申请组通信密钥时，第二UE与应用服务器以及密钥管理功能实体之间交互参数较多的问题，减少了第二UE与网络实体之间的交互参数，减少了第二UE的开销。

另外，可选地，在本实施例中，第一UE可以根据需要进行组通信密钥的更新，此时组通信密钥的更新过程可以包括如下步骤：

密钥管理功能实体接收第一UE所发送的第一组通信密钥更新请求消息，其中第一组通信密钥更新请求消息中包含有ProSe通信组的组成员列表；然后基于第一组通信密钥更新请求消息向第一UE发送更新后的组通信密钥；接收第二UE所发送的第二组通信密钥更新请求消息，并在基于组成员列表确定第二UE为ProSe通信组的组成员时，向第二UE发送更新后的组通信密钥。

具体的，当第一UE决定需要进行组通信密钥更新时，可以向密钥管理功能实体发送第一组通信密钥更新请求消息，该消息中包含有组成员列表，从而使得密钥管理功能实体能够存储组成员列表并生成新的组通信密钥。然后密钥管理功能实体将更新后的组通信密钥发送给第一UE，且第一UE将需要更新组通信密钥的信息通知给ProSe通信组的组成员。再然后，作为组成员的第二UE可以向密钥管理功能实体发送第二组通信密钥更新请求消息，此时密钥管理功能实体在基于组成员列表确定第二UE为ProSe通信组的组成员时，将更新后的组通信密钥发送给第二UE，从而实现了ProSe通信组的组通信密钥更新过程，使得ProSe通信组的成员之间可以使用更新后的组通信密钥进行安全的组通信。

本实施例通过上述过程实现了ProSe通信组的动态建立过程，且保证了ProSe通信组之间通过组通信密钥进行安全通信。

此外，如图2所示，为本申请实施例应用于第一UE的ProSe通信组的通信方法的步骤流程图，该方法包括如下步骤：

步骤201：当第一UE通过应用服务器建立一ProSe应用下的ProSe 通信组时，向密钥管理功能实体发送第一组通信密钥请求消息。

具体的，第一组通信密钥请求消息中包含有第一UE的身份信息和应用服务器为第一UE所颁发的第一授权令牌，以使密钥管理功能实体基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥；或者第一组通信密钥请求消息中包含有第一UE的身份信息和ProSe通信组的属性信息，以使密钥管理功能实体基于第一UE的身份信息和属性信息从应用服务器中得到密钥生成授权并生成组通信密钥。

此外，具体的，ProSe通信组的属性信息包括：ProSe通信组的组标识信息、ProSe应用的标识信息和ProSe通信组的有效期信息；

第一授权令牌中包括：第一UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第一UE在ProSe通信组中的角色信息，且第一UE的角色信息为组管理员。

在此需要说明的是，上述过程可以参见密钥功能实体侧接收第一组通信密钥请求消息的过程，在此不再进行赘述。

步骤202：接收密钥管理功能实体所发送的第一组通信密钥响应消息。

具体的，密钥管理功能实体在接收到第一组通信密钥请求消息后可以生成组通信密钥，并向第一UE发送第一组通信密钥响应消息。此时，第一UE接收该第一组通信密钥响应消息。

具体的，第一组通信密钥响应消息中包含有组通信密钥，从而使得第一UE能够基于该组通信密钥进行组内的安全通信。

步骤203：基于组通信密钥与后续加入ProSe通信组的组成员进行通信。

具体的，第一UE基于组通信密钥与后续加入ProSe通信组的组成员进行通信，保证了ProSe通信组的安全通信。

这样，本实施例中的第一UE在通过应用服务器建立ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第一组通信密钥请求消息，并接收密钥管理功能实体基于该第一组通信密钥请求消息所发送的组通信密钥，使得ProSe通信组能够基于该组通信密钥进行组内通信，保证了ProSe通信组的安全性。

此外，可选地，在本实施例中，第一UE通过应用服务器建立一ProSe 应用下的ProSe通信组时，可以当第一UE需要在ProSe应用下建立ProSe通信组时，向应用服务器发送组通信建立请求，其中组通信建立请求中包含有第一UE的身份信息和ProSe应用的标识信息；然后接收应用服务器基于组通信建立请求所发送的组通信建立响应消息，其中组通信建立响应消息中包含有所建立的ProSe通信组的属性信息，或者包含有所建立的ProSe通信组的属性信息和第一授权令牌。

具体的，第一UE想要在某个ProSe应用下建立一个ProSe通信组时，可以先向应用服务器发送组通信建立请求，且该请求中包含有第一UE的身份信息和ProSe应用的标识信息。应用服务器可以基于签约信息检测第一UE是否可以建立一个ProSe通信组，若可以则建立一个ProSe通信组。具体的，该ProSe通信组具有唯一的一个ProSe通信组的组标识、ProSe应用的标识、组成员列表和组有效期等属性，组成员列表中的组成员包含有UE身份信息和UE的角色信息等属性，组成员的角色有组管理员和组成员，请求创建ProSe通信组的UE的角色为组管理员，后续加入ProSe通信组的UE的角色为组成员。

然后，应用服务器可以将ProSe通信组的属性信息和第一授权令牌发送给第一UE，或者仅将ProSe通信组的属性信息发送给第一UE。具体的，第一UE可以使用该第一授权令牌向负责管理组通信密钥的密钥管理功能实体申请用于组内安全通信的组通信密钥，当然密钥管理功能实体能够解析第一授权令牌的安全机制，验证令牌是否正确和有效。

这样，通过上述过程实现了ProSe通信组的建立过程。

此外，可选地，在本实施例中，第一UE还需要查找能够加入至ProSe通信组的组成员。此时，组成员加入的过程可以包括如下步骤：

步骤B1：第一UE通过广播方式发送组通信发现请求消息，组通信发现请求消息中包含有ProSe应用的标识信息和第一UE的身份信息。

具体的，第一UE可以通过PC5接口以广播方式发送组通信发现请求消息，并该消息中包含ProSe应用的标识信息和第一UE的身份信息，从而使得其他UE能够基于第一UE的身份信息查找到第一UE，并基于ProSe应用的标识信息确定是否加入ProSe通信组。

步骤B2：接收第二UE基于组通信发现请求消息所发送的组通信发现响应消息。

具体的，第二UE通过PC5接口接收到第一UE的组通信发现请求消息之后，若确定加入ProSe通信组，则向第一UE发送组通信发现响应消息，其中该组通信发现响应消息中包含有ProSe应用的标识信息和第二UE的身份信息。

步骤B3：向第二UE发送组通信发现接受消息。

具体的，第一UE接收到第二UE的组通信发现响应消息之后，若同意第二UE加入ProSe通信组，则向第二UE发送组通信发现接受消息，且组通信发现接受消息中包含有ProSe应用的标识信息和ProSe通信组的组标识信息，以使第二UE基于ProSe应用的标识信息和ProSe通信组的组标识信息加入ProSe通信组。

步骤B4：接收第二UE在加入ProSe通信组后所发送的组通信发现完成消息。

具体的，当第二UE加入ProSe通信组且获得组通信密钥之后，可以向第一UE发送组通信发现完成消息，从而使得第一UE能够获知可以与第二UE进行安全通信。

这样，通过上述过程实现了第一UE发现组成员以及将组成员加入至ProSe通信组的过程，实现了PorSe通信组中的成员的动态加入过程，即实现了ProSe通信组的动态建立过程。

在此需要说明的是，上述过程可以在第一UE接收密钥管理功能实体所发送的第一组通信密钥响应消息之后执行，即在第一UE建立起ProSe通信组且得到组通信密钥之后进行，从而保证了在后续UE加入后即可进行组内通信。此外，上述过程中的步骤B1和步骤B2也可以在第一UE通过应用服务器建立ProSe应用下的ProSe通信组之前进行，步骤B3和步骤B4在第一UE建立ProSe通信组之后进行，即允许当第一UE发现有组成员可以一起建立ProSe通信组之前进行组成员发现过程，从而避免了在第一UE建立ProSe通信组后但无组员情况的发生，避免了无效ProSe通信组的产生。

另外，可选地，在本实施例中，第一UE可以根据需要随时进行组通信密钥的更新，此时第一UE发起的组通信密钥的更新过程可以包括如下步骤：

第一UE向密钥管理功能实体发送第一组通信密钥更新请求消息，其中第一组通信密钥更新请求消息中包含有ProSe通信组的组成员列表；然后接收密钥管理功能实体基于第一组通信密钥更新请求消息所发送的更新后的组通信密钥；再然后向ProSe通信组的组成员发送密钥更新通知消息，以使ProSe通信组的组成员更新组通信密钥。

在此需要说明的是，上述组通信密钥的更新过程可以参见密钥管理功能实体侧的相关内容，在此不再进行赘述。

这样，本实施例通过上述过程实现了ProSe通信组的动态建立过程，且保证了ProSe通信组之间能够通过组通信密钥进行安全通信。

此外，如图3所示，为本申请实施例中应用于第二UE的ProSe通信组的通信方法的步骤流程图，该方法包括如下步骤：

步骤301：当第二UE加入第一UE所建立的ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第二组通信密钥请求消息。

具体的，当第二UE在加入ProSe通信组后，基于通信组内需要安全通信的需求，第二UE可以向密钥管理功能实体发送第二组通信密钥请求消息。

其中，第二组通信密钥请求消息中包含有第二UE的身份信息和应用服务器为第二UE所颁发的第二授权令牌，以使密钥管理功能实体基于第二UE的身份信息和第二授权令牌获取ProSe通信组的组通信密钥；或者组通信密钥请求消息中包含有第二UE的身份信息和ProSe通信组的属性信息，以使密钥管理功能实体基于第二UE的身份信息和属性信息从应用服务器中得到密钥颁发授权并获取ProSe通信组的组通信密钥。

在此需要说明的是，上述过程可以参见密钥功能实体侧接收第二组通信密钥请求消息的过程，在此不再进行赘述。

步骤302：接收密钥管理功能实体所发送的第二组通信密钥响应消息。

具体的，密钥管理功能实体在接收到第二组通信密钥请求消息后可以获取组通信密钥，并向第二UE发送第二组通信密钥响应消息。此时，第二UE接收该第二组通信密钥响应消息。

具体的，第二组通信密钥响应消息中包含有组通信密钥，从而使得第二UE能够基于该组通信密钥进行组内的安全通信。

步骤303：基于组通信密钥与ProSe通信组中的成员进行通信。

具体的，第二UE基于组通信密钥与ProSe通信组中的其他成员进行通信，保证了ProSe通信组的安全通信。

这样，本实施例中的第二UE在加入到ProSe通信组时向密钥管理功能实体发送第二组通信密钥请求消息，并接收密钥管理功能实体基于该第二组通信密钥请求消息所发送的组通信密钥，使得ProSe通信组能够基于该组通信密钥进行组内通信，保证了ProSe通信组的安全性。

可选地，在本实施例中，第二UE加入第一UE所建立的ProSe应用下的ProSe通信组时，可以向应用服务器发送组通信加入请求，其中组通信加入请求中包含有第二UE的身份信息、ProSe应用的标识信息和ProSe通信组的标识信息；然后接收应用服务器基于组通信加入请求所发送的组通信加入响应消息，其中组通信加入响应消息中包含有ProSe通信组的属性信息，或者包含有ProSe通信组的属性信息和第二授权令牌。

在此需要说明的是，上述第二UE加入ProSe通信组的过程可以参见第一UE侧方法实施例的相关内容，在此不再进行赘述。

此外，可选地，本实施例中第一UE还需要查找能够加入至ProSe通信组的组成员。此时，作为组成员的第二UE的发现过程可以包括如下步骤：

接收第一UE通过广播方式所发送的组通信发现请求消息，组通信发现请求消息中包含有ProSe应用的标识信息和第一UE的身份信息；然后基于组通信发现请求消息向第一UE发送组通信发现响应消息，其中组通信发现响应消息中包含有ProSe应用的标识信息和第二UE的身份信息；再然后接收第一UE所发送的组通信发现接受消息，其中组通信发现接受消息中包含有ProSe应用的标识信息和ProSe通信组的组标识信息；最后当基于ProSe应用的标识信息和ProSe通信组的组标识信息加入ProSe通信组时向第一UE发送组通信发现完成消息。

在此需要说明的是，上述过程可以参见第一UE侧方法实施例的相关内容，在此不再进行赘述。

另外，可选地，第二UE还可以更新组通信密钥，此时更新过程可以包括如下步骤：

第二UE接收第一UE所发送的密钥更新通知消息，然后基于密钥更新通知消息向密钥管理功能实体发送第二组通信密钥更新请求消息，最后接收密钥管理功能实体在确定第二UE为ProSe通信组的组成员时所发送的更新后的组通信密钥。

在此需要说明的是，上述第二UE的组通信密钥更新过程可以参见密钥管理功能实体侧和第一UE侧的相关内容，在此不再进行赘述。

这样本实施例通过上述过程实现了第二UE加入第一UE所建立的ProSe通信组的过程，并且实现了ProSe通信组的安全通信。

下面通过具体实施例对本申请进行具体说明。

实施例一：如图4所示，为ProSe通信组建立安全通信的流程图之一，该过程包括如下步骤：

在UE、应用服务器和密钥管理功能实体中预配置与动态ProSe通信组通信相关的参数。例如，在UE中配置应用服务器和密钥管理功能实体的地址信息，与密钥管理功能实体建立安全关联的密钥信息；在应用服务器中配置与ProSe通信组通信相关的UE签约信息；在密钥管理功能实体中配置与UE建立安全关联的密钥信息和组通信安全相关的安全策略。

1、第一UE为发起ProSe通信组的UE，当第一UE需要在某个ProSe应用下建立一个ProSe通信组时，向应用服务器发送组通信建立请求，该请求中包含有第一UE的身份信息和ProSe应用的标识信息。

2、应用服务器基于签约信息检查第一UE是否可以建立一个ProSe通信组。若可以，则应用服务器建立一个ProSe通信组，为该组设置一个唯一的组标识，并为第一UE生成授权令牌。然后，应用服务器向第一UE发送组通信建立响应消息，其中组通信建立响应消息中包含有所建立的ProSe通信组的属性信息和第一授权令牌。ProSe通信组的属性信息包括： ProSe通信组的组标识信息、ProSe应用的标识信息和ProSe通信组的有效期信息；第一授权令牌中包括：第一UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第一UE在ProSe通信组中的角色信息，且第一UE的角色信息为组管理员。此外，第一授权令牌中还可以包含令牌有效期和令牌保护机制等信息。应用服务器存储ProSe通信组的创建信息和组的信息，以便将来加入新的组成员。

3、第一UE向密钥管理功能实体发送第一组通信密钥请求消息，其中包含有第一UE的身份信息和第一授权令牌。

4、密钥管理功能实体认证用户身份，检查授权令牌，基于安全策略生成组通信密钥，并将组通信密钥通过第一组通信密钥响应消息提供给第一UE。密钥管理功能实体应存储ProSe应用的标识信息、ProSe通信组的标识信息、生成的组通信密钥和组有效期等，以便将组密钥提供给之后来申请的组成员。

5、第一UE通过PC5接口以广播方式发送组通信发现请求消息，该请求消息中包含有ProSe应用的标识信息和第一UE的身份信息。

6、第二UE通过PC5接口接收到第一UE的组通信发现请求消息。第二UE决定加入该组通信，且向第一UE发送组通信发现响应消息，该响应消息中包含有ProSe应用的标识信息和第二UE的身份信息。

7、第一UE向第二UE发送发现接受消息，其中包含有ProSe应用的标识信息和ProSe通信组的标识信息。

8、第二UE向应用服务器发送组通信加入请求消息，其中包含有第二UE的身份信息、ProSe应用的标识信息和ProSe通信组的标识信息。

9、应用服务器检查第二UE是否可以作为组的成员，若可以则向第二UE颁发第二授权令牌。应用服务器向第二UE发送组通信加入响应消息，其中包含有ProSe通信组的属性信息和第二授权令牌。其中属性信息包括ProSe通信组的标识信息、ProSe应用的标识信息和ProSe通信组的有效期等；第二授权令牌中包含有第二UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第二UE在所述ProSe通信组中的角色信息，且第二UE的角色信息为组管理员。此外，第二授权令牌还可以包含令牌有效期和令牌保护机制等信息。应用服务器更新存储的组的信息。

10、第二UE向密钥管理功能实体发送第二组通信密钥请求消息，其中包含有第二UE的身份信息和第二授权令牌。

11、密钥管理功能实体认证用户身份，检查第二授权令牌，根据组信息检索到之前生成的的组通信密钥，并将组通信密钥通过第二组通信密钥响应提供给第二UE。

12、第二UE向第一UE发送发现完成消息。

13、此时ProSe通信组中的组成员之间可以进行安全的组通信。

14、当组管理员第一UE决定需要进行组通信密钥更新时，第一UE向密钥管理功能实体发送第一组通信密钥更新请求，请求中包含组成员列表。密钥管理功能实体存储组成员列表，并生成新的组通信密钥。

15、组管理员第一UE将需要更新密钥的信息通知组成员第二UE。

16、组成员第二UE向密钥管理功能实体发送第二组通信密钥更新请求。密钥管理功能实体基于组管理员第一UE提供的组成员列表向组成员第二UE提供新的组通信密钥。

17、等组通信密钥更新完成后，组成员之间可以使用新的组通信密钥进行安全的组通信。

实施例二：如图5所示，为ProSe通信组建立安全通信的流程图之二，该过程包括如下步骤：

2、应用服务器基于签约信息检查第一UE是否可以建立一个ProSe通信组。若可以，则应用服务器建立一个ProSe通信组，为该组设置一个唯一的组标识。然后，应用服务器向第一UE发送组通信建立响应消息，其中组通信建立响应消息中包含有所建立的ProSe通信组的属性信息。ProSe通信组的属性信息包括：ProSe通信组的组标识信息、ProSe应用的标识信息和ProSe通信组的有效期信息。应用服务器存储ProSe通信组的创建信息和组的信息，以便将来加入新的组成员。

3、第一UE向密钥管理功能实体发送第一组通信密钥请求消息，其中包含有第一UE的身份信息和ProSe通信组的属性信息。

4、密钥管理功能实体向应用服务器发送第一授权请求消息，其中第一授权请求消息中包含有第一UE的身份信息、ProSe通信组的组标识信息和ProSe应用的标识信息。

5、应用服务器利用第一UE的身份信息、ProSe通信组的组标识信息和ProSe应用的标识信息确定第一UE在ProSe通信组中的角色信息，并向密钥管理功能实体发送第一授权响应消息，其中第一授权响应消息中包含有第一UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第一UE在ProSe通信组中的角色信息。

6、密钥管理功能实体将组通信密钥通过第一组通信密钥响应消息提供给第一UE。

7、第一UE通过PC5接口以广播方式发送组通信发现请求消息，该请求消息中包含有ProSe应用的标识信息和第一UE的身份信息。

8、第二UE通过PC5接口接收到第一UE的组通信发现请求消息。第二UE决定加入该组通信，且向第一UE发送组通信发现响应消息，该响应消息中包含有ProSe应用的标识信息和第二UE的身份信息。

9、第一UE向第二UE发送发现接受消息，其中包含有ProSe应用的标识信息和ProSe通信组的标识信息。

10、第二UE向应用服务器发送组通信加入请求消息，其中包含有第二UE的身份信息、ProSe应用的标识信息和ProSe通信组的标识信息。

11、应用服务器检查第二UE是否可以作为组的成员，若可以则向第二UE发送组通信加入响应消息，其中包含有ProSe通信组的属性信息。应用服务器更新存储的组的信息。

12、第二UE向密钥管理功能实体发送第二组通信密钥请求消息，其中包含有第二UE的身份信息和ProSe通信组的属性信息。

13、密钥管理功能实体向应用服务器发送第二授权请求消息，其中第二授权请求消息中包含有第二UE的身份信息、ProSe通信组的组标识信息和ProSe应用的标识信息。

14、应用服务器利用第二UE的身份信息、ProSe通信组的组标识信息和ProSe应用的标识信息确定第二UE在ProSe通信组中的角色信息，并向密钥管理功能实体发送第二授权响应消息，其中第二授权响应消息中包含有第二UE的身份信息、ProSe通信组的组标识信息、ProSe应用的标识信息、ProSe通信组的有效期信息和第二UE在ProSe通信组中的角色信息。

15、密钥管理功能实体根据组信息获取之前生成的组通信密钥，并将获取的组通信密钥通过第二组通信密钥响应消息提供给第二UE。

16、第二UE向第一UE发送发现完成消息。

17、此时ProSe通信组中的组成员之间可以进行安全的组通信。

18、当组管理员第一UE决定需要进行组通信密钥更新时，第一UE向密钥管理功能实体发送第一组通信密钥更新请求，请求中包含组成员列表。密钥管理功能实体存储组成员列表，并生成新的组通信密钥。

19、组管理员第一UE将需要更新密钥的信息通知组成员第二UE。

20、组成员第二UE向密钥管理功能实体发送第二组通信密钥更新请求。密钥管理功能实体基于组管理员第一UE提供的组成员列表向组成员第二UE提供新的组通信密钥。

21、等组通信密钥更新完成后，组成员之间可以使用新的组通信密钥进行安全的组通信。

这样，本申请通过上述任一实施例均实现了ProSe通信组的安全通信。

此外，图6是本申请实施例中应用于密钥通信功能实体的ProSe通信组的通信装置的模块框图，该装置包括：

接收模块601，用于接收第一用户设备UE通过应用服务器建立近距离服务ProSe应用下的ProSe通信组时所发送的第一组通信密钥请求消息，其中所述第一组通信密钥请求消息中包含有第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息；

第一生成模块602，用于当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述第一授权令牌时，基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥；

第二生成模块603，用于当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息时，基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

发送模块604，用于向所述第一UE发送第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

可选地，第二生成模块603具体用于：向所述应用服务器发送第一授权请求消息，其中所述第一授权请求消息中包含有所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第一UE是否属于所述ProSe通信组；

接收所述应用服务器在确定所述第一UE属于所述ProSe通信组时所发送的第一授权响应消息，其中所述第一授权响应消息中包含有所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息。

可选地，接收模块601还用于，接收第二UE在加入所述ProSe通信组时所发送的第二组通信密钥请求消息，其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述应用服务器为所述第二UE所颁发的第二授权令牌，或者所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息；

第一生成模块602还用于，当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述第二授权令牌时，基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥；

第二生成模块603还用于，当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息时，基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

发送模块604还用于，向所述第二UE发送第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

其中，所述第二授权令牌中包括：所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息，且所述第二UE的角色信息为组成员。

可选地，第二生成模块603还用于，向所述应用服务器发送第二授权请求消息，其中所述第二授权请求消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第二UE是否属于所述ProSe通信组；

接收所述应用服务器在确定所述第二UE属于所述ProSe通信组时所发送的第二授权响应消息，其中所述第二授权响应消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息。

可选地，装置还包括密钥更新模块(图中未示出)，用于接收所述第一UE所发送的第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；

基于所述第一组通信密钥更新请求消息向所述第一UE发送更新后的组通信密钥；

接收第二UE所发送的第二组通信密钥更新请求消息，并在基于所述组成员列表确定所述第二UE为所述ProSe通信组的组成员时，向所述第二UE发送更新后的组通信密钥。

在此需要说明的是，上述装置能够实现密钥管理功能实体侧方法实施例的所有步骤并能够达到相同的有益效果，在此不再进行赘述。

此外，图7是本申请实施例中应用于第一UE的ProSe通信组的通信装置的模块框图，该装置包括：

发送模块701，用于当第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第一组通信密钥请求消息；其中所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

接收模块702，用于接收所述密钥管理功能实体所发送的第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

通信模块703，用于基于所述组通信密钥与后续加入所述ProSe通信组的组成员进行通信；

可选地，所述第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组，包括：

当所述第一UE需要在所述ProSe应用下建立ProSe通信组时，向所述应用服务器发送组通信建立请求，其中所述组通信建立请求中包含有所述第一UE的身份信息和所述ProSe应用的标识信息；

接收所述应用服务器基于所述组通信建立请求所发送的组通信建立响应消息，其中所述组通信建立响应消息中包含有所建立的ProSe通信组的属性信息，或者包含有所建立的ProSe通信组的属性信息和所述第一授权令牌。

可选地，装置还包括终端发现模块(图中未示出)，用于通过广播方式发送组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE的身份信息；

接收第二UE基于所述组通信发现请求消息所发送的组通信发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二UE的身份信息；

向所述第二UE发送组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息，以使所述第二UE基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组；

接收所述第二UE在加入所述ProSe通信组后所发送的组通信发现完成消息。

可选地，装置还包括密钥更新模块(图中未示出)，用于向所述密钥管理功能实体发送第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；

接收所述密钥管理功能实体基于所述第一组通信密钥更新请求消息所发送的更新后的组通信密钥；

向所述ProSe通信组的组成员发送密钥更新通知消息，以使所述ProSe通信组的组成员更新组通信密钥。

在此需要说明的是，上述装置能够实现第一UE侧方法实施例的所有步骤并能够达到相同的有益效果，在此不再进行赘述。

此外，图8是本申请实施例中应用于第二UE的ProSe通信组的通信装置的模块框图，该装置包括：

发送模块801，用于当第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第二组通信密钥请求消息；其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和应用服务器为所述第二UE所颁发的第二授权令牌，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥，或者所述组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

接收模块802，用于接收所述密钥管理功能实体所发送的第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

通信模块803，用于基于所述组通信密钥与所述ProSe通信组中的成员进行通信；

可选地，所述第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组，包括：

向所述应用服务器发送组通信加入请求，其中所述组通信加入请求中包含有所述第二UE的身份信息、ProSe应用的标识信息和所述ProSe通信组的标识信息；

接收所述应用服务器基于所述组通信加入请求所发送的组通信加入响应消息，其中所述组通信加入响应消息中包含有所述ProSe通信组的属性信息，或者包含有所述ProSe通信组的属性信息和所述第二授权令牌。

可选地，装置还包括终端加入模块(图中未示出)，用于接收所述第一UE通过广播方式所发送的组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE的身份信息；

基于所述组通信发现请求消息向所述第一UE发送组通信发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二UE的身份信息；

接收所述第一UE所发送的组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息；

当基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组时向所述第一UE发送组通信发现完成消息。

可选地，装置还包括密钥更新模块(图中未示出)，用于接收所述第一UE所发送的密钥更新通知消息；

基于所述密钥更新通知消息向所述密钥管理功能实体发送第二组通信密钥更新请求消息；

接收所述密钥管理功能实体在确定所述第二UE为所述ProSe通信组的组成员时所发送的更新后的组通信密钥。

在此需要说明的是，上述装置能够实现第二UE侧方法实施例的所有步骤并能够达到相同的有益效果，在此不再进行赘述。

图9是本申请实施例提供的一种ProSe通信组的通信装置的结构示意图之一，包括收发机900，处理器910，存储器920。

其中，在图9中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器910代表的一个或多个处理器和存储器920代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机900可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器910负责管理总线架构和通常的处理，存储器920可以存储处理器910在执行操作时所使用的数据。

处理器910可以是中央处埋器(CPU)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或复杂可编程逻辑器件(Complex Programmable Logic Device，CPLD)，处理器也可以采用多核架构。

存储器920，用于存储计算机程序；收发机900，用于在所述处理器的控制下收发数据；处理器910，用于读取所述存储器中的计算机程序并执行以下操作：

接收第一用户设备UE通过应用服务器建立近距离服务ProSe应用下的ProSe通信组时所发送的第一组通信密钥请求消息，其中所述第一组通信密钥请求消息中包含有第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息；当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述第一授权令牌时，基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥；当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息时，基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；向所述第一UE发送第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；所述第一授权令牌中包括：所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息，且所述第一UE的角色信息为组管理员。

可选地，所述基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权，包括：

向所述应用服务器发送第一授权请求消息，其中所述第一授权请求消息中包含有所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第一UE是否属于所述ProSe通信组；接收所述应用服务器在确定所述第一UE属于所述ProSe通信组时所发送的第一授权响应消息，其中所述第一授权响应消息中包含有所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息。

可选地，处理器910还用于执行以下操作：接收第二UE在加入所述ProSe通信组时所发送的第二组通信密钥请求消息，其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述应用服务器为所述第二UE所颁发的第二授权令牌，或者所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息；当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述第二授权令牌时，基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥；当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息时，基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；向所述第二UE发送第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

可选地，所述基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权，包括：

向所述应用服务器发送第二授权请求消息，其中所述第二授权请求消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第二UE是否属于所述ProSe通信组；接收所述应用服务器在确定所述第二UE属于所述ProSe通信组时所发送的第二授权响应消息，其中所述第二授权响应消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息。

可选地，处理器910还用于执行以下操作：接收所述第一UE所发送的第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；基于所述第一组通信密钥更新请求消息向所述第一UE发送更新后的组通信密钥；接收第二UE所发送的第二组通信密钥更新请求消息，并在基于所述组成员列表确定所述第二UE为所述ProSe通信组的组成员时，向所述第二UE发送更新后的组通信密钥。

上述实施例能够实现密钥管理功能实体侧的所有步骤并能够达到相同的技术效果，在此不再进行赘述。

图10是本申请实施例提供的一种ProSe通信组的通信装置的结构示意图之二，包括收发机1000，处理器1010，存储器1020。

其中，在图10中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1010代表的一个或多个处理器和存储器1020代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1000可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器1010负责管理总线架构和通常的处理，存储器1020可以存储处理器1010在执行操作时所使用的数据。

处理器1010可以是中央处埋器(CPU)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或复杂可编程逻辑器件(Complex Programmable Logic Device，CPLD)，处理器也可以采用多核架构。

存储器1020，用于存储计算机程序；收发机1000，用于在所述处理器的控制下收发数据；处理器1010，用于读取所述存储器中的计算机程序并执行以下操作：

当第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe 通信组时，向密钥管理功能实体发送第一组通信密钥请求消息；其中所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

接收所述密钥管理功能实体所发送的第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；基于所述组通信密钥与后续加入所述ProSe通信组的组成员进行通信；

当所述第一UE需要在所述ProSe应用下建立ProSe通信组时，向所述应用服务器发送组通信建立请求，其中所述组通信建立请求中包含有所述第一UE的身份信息和所述ProSe应用的标识信息；接收所述应用服务器基于所述组通信建立请求所发送的组通信建立响应消息，其中所述组通信建立响应消息中包含有所建立的ProSe通信组的属性信息，或者包含有所建立的ProSe通信组的属性信息和所述第一授权令牌。

可选地，处理器1010还用于执行以下操作：

通过广播方式发送组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE的身份信息；接收第二UE基于所述组通信发现请求消息所发送的组通信发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二 UE的身份信息；向所述第二UE发送组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息，以使所述第二UE基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组；接收所述第二UE在加入所述ProSe通信组后所发送的组通信发现完成消息。

可选地，处理器1010还用于执行以下操作：

向所述密钥管理功能实体发送第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；接收所述密钥管理功能实体基于所述第一组通信密钥更新请求消息所发送的更新后的组通信密钥；向所述ProSe通信组的组成员发送密钥更新通知消息，以使所述ProSe通信组的组成员更新组通信密钥。

上述实施例能够实现第一UE侧的所有步骤并能够达到相同的技术效果，在此不再进行赘述。

图11是本申请实施例提供的一种ProSe通信组的通信装置的结构示意图之三，包括收发机1100，处理器1110，存储器1120。

其中，在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1110代表的一个或多个处理器和存储器1120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1100可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器1110负责管理总线架构和通常的处理，存储器1120可以存储处理器1110在执行操作时所使用的数据。

处理器1110可以是中央处埋器(CPU)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或复杂可编程逻辑器件(Complex Programmable Logic Device，CPLD)，处理器也可以采用多核架构。

存储器1120，用于存储计算机程序；收发机1100，用于在所述处理器的控制下收发数据；处理器1110，用于读取所述存储器中的计算机程序并执行以下操作：

接收所述密钥管理功能实体所发送的第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；基于所述组通信密钥与所述ProSe通信组中的成员进行通信；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；所述第二授权令牌中包括：所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息，且所述第二UE的角色信息为组成员。

向所述应用服务器发送组通信加入请求，其中所述组通信加入请求中包含有所述第二UE的身份信息、ProSe应用的标识信息和所述ProSe通信组的标识信息；接收所述应用服务器基于所述组通信加入请求所发送的组通信加入响应消息，其中所述组通信加入响应消息中包含有所述ProSe通信组的属性信息，或者包含有所述ProSe通信组的属性信息和所述第二授权令牌。

可选地，处理器1110还用于执行以下操作：

接收所述第一UE通过广播方式所发送的组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE 的身份信息；基于所述组通信发现请求消息向所述第一UE发送组通信发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二UE的身份信息；接收所述第一UE所发送的组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息；当基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组时向所述第一UE发送组通信发现完成消息。

可选地，处理器1110还用于执行以下操作：

接收所述第一UE所发送的密钥更新通知消息；基于所述密钥更新通知消息向所述密钥管理功能实体发送第二组通信密钥更新请求消息；接收所述密钥管理功能实体在确定所述第二UE为所述ProSe通信组的组成员时所发送的更新后的组通信密钥。

上述实施例能够实现第二UE侧的所有步骤并能够达到相同的技术效果，在此不再进行赘述。

需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

在此需要说明的是，本申请实施例提供的上述装置，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

另一方面，本申请实施例还提供一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器执行上述实施例中所述的方法并能达到相同的技术效果，在此不再进行赘述。

所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、和半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。

由上述实施例可见，处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器执行上述ProSe通信组的通信方法。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机可执行指令实现流程图和/或方框图中的每一流程和/或方框、和流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机可执行指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些处理器可执行指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的处理器可读存储器中，使得存储在该处理器可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些处理器可执行指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种ProSe通信组的通信方法，应用于密钥管理功能实体，其特征在于，包括：

接收第一用户设备UE通过应用服务器建立近距离服务ProSe应用下的ProSe通信组时所发送的第一组通信密钥请求消息，其中所述第一组通信密钥请求消息中包含有第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息；

当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述第一授权令牌时，基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥；

当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息时，基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

向所述第一UE发送第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第一授权令牌中包括：所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息，且所述第一UE的角色信息为组管理员。
根据权利要求1所述的ProSe通信组的通信方法，其特征在于，所述基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权，包括：

向所述应用服务器发送第一授权请求消息，其中所述第一授权请求消息中包含有所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第一UE是否属于所述ProSe通信组；

接收所述应用服务器在确定所述第一UE属于所述ProSe通信组时所发送的第一授权响应消息，其中所述第一授权响应消息中包含有所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息。
根据权利要求1所述的ProSe通信组的通信方法，其特征在于，还包括：

接收第二UE在加入所述ProSe通信组时所发送的第二组通信密钥请求消息，其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述应用服务器为所述第二UE所颁发的第二授权令牌，或者所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息；

当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述第二授权令牌时，基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥；

当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息时，基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

向所述第二UE发送第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

其中，所述第二授权令牌中包括：所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息，且所述第二UE的角色信息为组成员。
根据权利要求3所述的ProSe通信组的通信方法，其特征在于，所述基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权，包括：

向所述应用服务器发送第二授权请求消息，其中所述第二授权请求消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第二UE是否属于所述ProSe通信组；

接收所述应用服务器在确定所述第二UE属于所述ProSe通信组时所发送的第二授权响应消息，其中所述第二授权响应消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息。
根据权利要求1所述的ProSe通信组的通信方法，其特征在于，还包括：

接收所述第一UE所发送的第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；

基于所述第一组通信密钥更新请求消息向所述第一UE发送更新后的组通信密钥；

接收第二UE所发送的第二组通信密钥更新请求消息，并在基于所述组成员列表确定所述第二UE为所述ProSe通信组的组成员时，向所述第二UE发送更新后的组通信密钥。
一种ProSe通信组的通信方法，应用于第一用户设备UE，其特征在于，包括：

当第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第一组通信密钥请求消息；其中所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

接收所述密钥管理功能实体所发送的第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

基于所述组通信密钥与后续加入所述ProSe通信组的组成员进行通信；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第一授权令牌中包括：所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息，且所述第一UE的角色信息为组管理员。
根据权利要求6所述的ProSe通信组的通信方法，其特征在于，所述第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组，包括：

当所述第一UE需要在所述ProSe应用下建立ProSe通信组时，向所述应用服务器发送组通信建立请求，其中所述组通信建立请求中包含有所述第一UE的身份信息和所述ProSe应用的标识信息；

接收所述应用服务器基于所述组通信建立请求所发送的组通信建立响应消息，其中所述组通信建立响应消息中包含有所建立的ProSe通信组的属性信息，或者包含有所建立的ProSe通信组的属性信息和所述第一授权令牌。
根据权利要求6所述的ProSe通信组的通信方法，其特征在于，还包括：

通过广播方式发送组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE的身份信息；

接收第二UE基于所述组通信发现请求消息所发送的组通信发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二UE的身份信息；

向所述第二UE发送组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息，以使所述第二UE基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组；

接收所述第二UE在加入所述ProSe通信组后所发送的组通信发现完成消息。
根据权利要求6所述的ProSe通信组的通信方法，其特征在于，还包括：

向所述密钥管理功能实体发送第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；

接收所述密钥管理功能实体基于所述第一组通信密钥更新请求消息所发送的更新后的组通信密钥；

向所述ProSe通信组的组成员发送密钥更新通知消息，以使所述ProSe通信组的组成员更新组通信密钥。
一种ProSe通信组的通信方法，应用于第二用户设备UE，其特征在于，包括：

当第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第二组通信密钥请求消息；其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和应用服务器为所述第二UE所颁发的第二授权令牌，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥，或者所述组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

接收所述密钥管理功能实体所发送的第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

基于所述组通信密钥与所述ProSe通信组中的成员进行通信；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第二授权令牌中包括：所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息，且所述第二UE的角色信息为组成员。
根据权利要求10所述的ProSe通信组的通信方法，其特征在于，所述第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组，包括：

向所述应用服务器发送组通信加入请求，其中所述组通信加入请求中包含有所述第二UE的身份信息、ProSe应用的标识信息和所述ProSe通信组的标识信息；

接收所述应用服务器基于所述组通信加入请求所发送的组通信加入响应消息，其中所述组通信加入响应消息中包含有所述ProSe通信组的属性信息，或者包含有所述ProSe通信组的属性信息和所述第二授权令牌。
根据权利要求10所述的ProSe通信组的通信方法，其特征在于，还包括：

接收所述第一UE通过广播方式所发送的组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE的身份信息；

基于所述组通信发现请求消息向所述第一UE发送组通信发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二UE的身份信息；

接收所述第一UE所发送的组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息；

当基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组时向所述第一UE发送组通信发现完成消息。
根据权利要求10所述的ProSe通信组的通信方法，其特征在于，还包括：

接收所述第一UE所发送的密钥更新通知消息；

基于所述密钥更新通知消息向所述密钥管理功能实体发送第二组通信密钥更新请求消息；

接收所述密钥管理功能实体在确定所述第二UE为所述ProSe通信组的组成员时所发送的更新后的组通信密钥。
一种ProSe通信组的通信装置，其特征在于，包括存储器，收发机，处理器：

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

接收第一用户设备UE通过应用服务器建立近距离服务ProSe应用下的ProSe通信组时所发送的第一组通信密钥请求消息，其中所述第一组通信密钥请求消息中包含有第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息；

当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述第一授权令牌时，基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥；

当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息时，基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

向所述第一UE发送第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第一授权令牌中包括：所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息，且所述第一UE的角色信息为组管理员。
根据权利要求14所述的ProSe通信组的通信装置，其特征在于，所述基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权，包括：

向所述应用服务器发送第一授权请求消息，其中所述第一授权请求消息中包含有所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第一UE是否属于所述ProSe通信组；

接收所述应用服务器在确定所述第一UE属于所述ProSe通信组时所发送的第一授权响应消息，其中所述第一授权响应消息中包含有所述第一 UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息。
根据权利要求14所述的ProSe通信组的通信装置，其特征在于，还包括：

接收第二UE在加入所述ProSe通信组时所发送的第二组通信密钥请求消息，其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述应用服务器为所述第二UE所颁发的第二授权令牌，或者所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息；

当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述第二授权令牌时，基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥；

当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息时，基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

向所述第二UE发送第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

其中，所述第二授权令牌中包括：所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息，且所述第二UE的角色信息为组成员。
根据权利要求16所述的ProSe通信组的通信装置，其特征在于，所述基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权，包括：

向所述应用服务器发送第二授权请求消息，其中所述第二授权请求消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第二UE是否属于所述ProSe通信组；

接收所述应用服务器在确定所述第二UE属于所述ProSe通信组时所发送的第二授权响应消息，其中所述第二授权响应消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息。
根据权利要求14所述的ProSe通信组的通信装置，其特征在于，还包括：

接收所述第一UE所发送的第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；

基于所述第一组通信密钥更新请求消息向所述第一UE发送更新后的组通信密钥；

接收第二UE所发送的第二组通信密钥更新请求消息，并在基于所述组成员列表确定所述第二UE为所述ProSe通信组的组成员时，向所述第二UE发送更新后的组通信密钥。
一种ProSe通信组的通信装置，其特征在于，包括存储器，收发机，处理器：

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

当第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第一组通信密钥请求消息；其中所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

接收所述密钥管理功能实体所发送的第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

基于所述组通信密钥与后续加入所述ProSe通信组的组成员进行通信；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第一授权令牌中包括：所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息，且所述第一UE的角色信息为组管理员。
根据权利要求19所述的ProSe通信组的通信装置，其特征在于，所述第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组，包括：

当所述第一UE需要在所述ProSe应用下建立ProSe通信组时，向所述应用服务器发送组通信建立请求，其中所述组通信建立请求中包含有所述第一UE的身份信息和所述ProSe应用的标识信息；

接收所述应用服务器基于所述组通信建立请求所发送的组通信建立响应消息，其中所述组通信建立响应消息中包含有所建立的ProSe通信组的属性信息，或者包含有所建立的ProSe通信组的属性信息和所述第一授权令牌。
根据权利要求19所述的ProSe通信组的通信装置，其特征在于，还包括：

通过广播方式发送组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE的身份信息；

接收第二UE基于所述组通信发现请求消息所发送的组通信发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二UE的身份信息；

向所述第二UE发送组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息，以使所述第二UE基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组；

接收所述第二UE在加入所述ProSe通信组后所发送的组通信发现完成消息。
根据权利要求19所述的ProSe通信组的通信装置，其特征在于，还包括：

向所述密钥管理功能实体发送第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；

接收所述密钥管理功能实体基于所述第一组通信密钥更新请求消息所发送的更新后的组通信密钥；

向所述ProSe通信组的组成员发送密钥更新通知消息，以使所述ProSe通信组的组成员更新组通信密钥。
一种ProSe通信组的通信装置，其特征在于，包括存储器，收发机，处理器：

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

当第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第二组通信密钥请求消息；其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和应用服务器为所述第二UE所颁发的第二授权令牌，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥，或者所述组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

接收所述密钥管理功能实体所发送的第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

基于所述组通信密钥与所述ProSe通信组中的成员进行通信；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第二授权令牌中包括：所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息，且所述第二UE的角色信息为组成员。
根据权利要求23所述的ProSe通信组的通信装置，其特征在于，所述第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组，包括：

向所述应用服务器发送组通信加入请求，其中所述组通信加入请求中包含有所述第二UE的身份信息、ProSe应用的标识信息和所述ProSe通信组的标识信息；

接收所述应用服务器基于所述组通信加入请求所发送的组通信加入响应消息，其中所述组通信加入响应消息中包含有所述ProSe通信组的属性信息，或者包含有所述ProSe通信组的属性信息和所述第二授权令牌。
根据权利要求23所述的ProSe通信组的通信装置，其特征在于，还包括：

接收所述第一UE通过广播方式所发送的组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE的身份信息；

基于所述组通信发现请求消息向所述第一UE发送组通信发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二UE的身份信息；

接收所述第一UE所发送的组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息；

当基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组时向所述第一UE发送组通信发现完成消息。
根据权利要求23所述的ProSe通信组的通信装置，其特征在于，还包括：

接收所述第一UE所发送的密钥更新通知消息；

基于所述密钥更新通知消息向所述密钥管理功能实体发送第二组通信密钥更新请求消息；

接收所述密钥管理功能实体在确定所述第二UE为所述ProSe通信组的组成员时所发送的更新后的组通信密钥。
一种ProSe通信组的通信装置，应用于密钥管理功能实体，其特征在于，包括：

接收模块，用于接收第一用户设备UE通过应用服务器建立近距离服务ProSe应用下的ProSe通信组时所发送的第一组通信密钥请求消息，其中所述第一组通信密钥请求消息中包含有第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息；

第一生成模块，用于当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述第一授权令牌时，基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥；

第二生成模块，用于当所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息时，基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

发送模块，用于向所述第一UE发送第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第一授权令牌中包括：所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息，且所述第一UE的角色信息为组管理员。
根据权利要求27所述的ProSe通信组的通信装置，其特征在于，所述第二生成模块具体用于：

向所述应用服务器发送第一授权请求消息，其中所述第一授权请求消息中包含有所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第一UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第一UE是否属于所述ProSe通信组；

接收所述应用服务器在确定所述第一UE属于所述ProSe通信组时所发送的第一授权响应消息，其中所述第一授权响应消息中包含有所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息。
根据权利要求27所述的ProSe通信组的通信装置，其特征在于，所述接收模块还用于：接收第二UE在加入所述ProSe通信组时所发送的第二组通信密钥请求消息，其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述应用服务器为所述第二UE所颁发的第二授权令牌，或者所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息；

所述第一生成模块还用于：当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述第二授权令牌时，基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥；

所述第二生成模块还用于：当所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息时，基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

所述发送模块还用于：向所述第二UE发送第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

其中，所述第二授权令牌中包括：所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息，且所述第二UE的角色信息为组成员。
根据权利要求29所述的ProSe通信组的通信装置，其特征在于，所述第二生成模块还用于：

向所述应用服务器发送第二授权请求消息，其中所述第二授权请求消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息，以使所述应用服务器基于所述第二UE的身份信息、所述ProSe通信组的组标识信息和所述ProSe应用的标识信息确定所述第二UE是否属于所述ProSe通信组；

接收所述应用服务器在确定所述第二UE属于所述ProSe通信组时所发送的第二授权响应消息，其中所述第二授权响应消息中包含有所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息。
根据权利要求27所述的ProSe通信组的通信装置，其特征在于，还包括密钥更新模块，用于：

接收所述第一UE所发送的第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；

基于所述第一组通信密钥更新请求消息向所述第一UE发送更新后的组通信密钥；

接收第二UE所发送的第二组通信密钥更新请求消息，并在基于所述组成员列表确定所述第二UE为所述ProSe通信组的组成员时，向所述第二UE发送更新后的组通信密钥。
一种ProSe通信组的通信装置，应用于第一用户设备UE，其特征在于，包括：

发送模块，用于当第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第一组通信密钥请求消息；其中所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述应用服务器为所述第一UE所颁发的第一授权令牌，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述第一授权令牌生成组通信密钥，或者所述第一组通信密钥请求消息中包含有所述第一UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第一UE的身份信息和所述属性信息从所述应用服务器中得到密钥生成授权并生成组通信密钥；

接收模块，用于接收所述密钥管理功能实体所发送的第一组通信密钥响应消息，其中所述第一组通信密钥响应消息中包含有所述组通信密钥；

通信模块，用于基于所述组通信密钥与后续加入所述ProSe通信组的组成员进行通信；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第一授权令牌中包括：所述第一UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第一UE在所述ProSe通信组中的角色信息，且所述第一UE的角色信息为组管理员。
根据权利要求32所述的ProSe通信组的通信装置，其特征在于，所述第一UE通过应用服务器建立一近距离服务ProSe应用下的ProSe通信组，包括：

当所述第一UE需要在所述ProSe应用下建立ProSe通信组时，向所述应用服务器发送组通信建立请求，其中所述组通信建立请求中包含有所述第一UE的身份信息和所述ProSe应用的标识信息；

接收所述应用服务器基于所述组通信建立请求所发送的组通信建立响应消息，其中所述组通信建立响应消息中包含有所建立的ProSe通信组的属性信息，或者包含有所建立的ProSe通信组的属性信息和所述第一授权令牌。
根据权利要求32所述的ProSe通信组的通信装置，其特征在于，还包括终端发现模块，用于：

通过广播方式发送组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE的身份信息；接收第二UE基于所述组通信发现请求消息所发送的组通信发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二UE的身份信息；

向所述第二UE发送组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息，以使所述第二UE基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组；接收所述第二UE在加入所述ProSe通信组后所发送的组通信发现完成消息。
根据权利要求32所述的ProSe通信组的通信装置，其特征在于，还包括密钥更新模块，用于：

向所述密钥管理功能实体发送第一组通信密钥更新请求消息，其中所述第一组通信密钥更新请求消息中包含有所述ProSe通信组的组成员列表；

接收所述密钥管理功能实体基于所述第一组通信密钥更新请求消息所发送的更新后的组通信密钥；

向所述ProSe通信组的组成员发送密钥更新通知消息，以使所述ProSe通信组的组成员更新组通信密钥。
一种ProSe通信组的通信装置，应用于第二用户设备UE，其特征在于，包括：

发送模块，用于当第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组时，向密钥管理功能实体发送第二组通信密钥请求消息；其中所述第二组通信密钥请求消息中包含有所述第二UE的身份信息和应用服务器为所述第二UE所颁发的第二授权令牌，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述第二授权令牌获取所述ProSe通信组的组通信密钥，或者所述组通信密钥请求消息中包含有所述第二UE的身份信息和所述ProSe通信组的属性信息，以使所述密钥管理功能实体基于所述第二UE的身份信息和所述属性信息从所述应用服务器中得到密钥颁发授权并获取所述ProSe通信组的组通信密钥；

接收模块，用于接收所述密钥管理功能实体所发送的第二组通信密钥响应消息，其中所述第二组通信密钥响应消息中包含有所述组通信密钥；

通信模块，用于基于所述组通信密钥与所述ProSe通信组中的成员进行通信；

其中，所述ProSe通信组的属性信息包括：所述ProSe通信组的组标识信息、所述ProSe应用的标识信息和所述ProSe通信组的有效期信息；

所述第二授权令牌中包括：所述第二UE的身份信息、所述ProSe通信组的组标识信息、所述ProSe应用的标识信息、所述ProSe通信组的有效期信息和所述第二UE在所述ProSe通信组中的角色信息，且所述第二UE的角色信息为组成员。
根据权利要求36所述的ProSe通信组的通信装置，其特征在于，所述第二UE加入第一UE所建立的近距离服务ProSe应用下的ProSe通信组，包括：

向所述应用服务器发送组通信加入请求，其中所述组通信加入请求中包含有所述第二UE的身份信息、ProSe应用的标识信息和所述ProSe通信组的标识信息；

接收所述应用服务器基于所述组通信加入请求所发送的组通信加入响应消息，其中所述组通信加入响应消息中包含有所述ProSe通信组的属性信息，或者包含有所述ProSe通信组的属性信息和所述第二授权令牌。
根据权利要求36所述的ProSe通信组的通信装置，其特征在于，还包括终端加入模块，用于：

接收所述第一UE通过广播方式所发送的组通信发现请求消息，所述组通信发现请求消息中包含有所述ProSe应用的标识信息和所述第一UE的身份信息；基于所述组通信发现请求消息向所述第一UE发送组通信发发现响应消息，其中所述组通信发现响应消息中包含有所述ProSe应用的标识信息和所述第二UE的身份信息；

接收所述第一UE所发送的组通信发现接受消息，其中所述组通信发现接受消息中包含有所述ProSe应用的标识信息和所述ProSe通信组的组标识信息；当基于所述ProSe应用的标识信息和所述ProSe通信组的组标识信息加入所述ProSe通信组时向所述第一UE发送组通信发现完成消息。
根据权利要求36所述的ProSe通信组的通信装置，其特征在于，还包括密钥更新模块，用于：

接收所述第一UE所发送的密钥更新通知消息；

基于所述密钥更新通知消息向所述密钥管理功能实体发送第二组通信密钥更新请求消息；

接收所述密钥管理功能实体在确定所述第二UE为所述ProSe通信组的组成员时所发送的更新后的组通信密钥。
一种处理器可读存储介质，其特征在于，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使处理器执行权利要求1至5任一项所述的ProSe通信组的通信方法，或执行权利要求6至9任一项所述的ProSe通信组的通信方法，或执行权利要求10至13任一项所述的ProSe通信组的通信方法。