WO2024065334A1

WO2024065334A1 - 一种用户设备ue的授权令牌的生成方法/装置/设备及存储介质

Info

Publication number: WO2024065334A1
Application number: PCT/CN2022/122340
Authority: WO
Inventors: 陆伟; 商正仪
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-09-28
Filing date: 2022-09-28
Publication date: 2024-04-04
Also published as: CN118104258A

Abstract

本公开提出一种UE的授权令牌的生成方法/装置/设备及存储介质，所述方法包括：接收第一UE和/或第二UE发送的发现请求消息，所述发现请求消息用于为第一UE和/或第二UE请求授权令牌，所述授权令牌用于对UE所声明的UE角色进行授权验证；向所述第一UE和/或第二UE发送发现响应消息，所述发现响应消息包括所述网络设备为所述第一UE和/或所述第二UE生成的授权令牌。本公开提供的方法避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。

Description

一种用户设备UE的授权令牌的生成方法/装置/设备及存储介质

技术领域

本公开涉及通信技术领域，尤其涉及一种UE的授权令牌的生成方法/装置/设备及存储介质。

背景技术

通信系统中，在进行测距(Ranging)服务和/或侧行链路(Sidelink，SL)定位服务时，通常需要由多个用户设备(User Equipment，UE)来分别扮演不同的角色参与完成服务，其中，UE角色可以包括参考UE(如侧行链路参考UE(SL Reference UE))、目标UE(Target UE)、辅助UE(Assistant UE)、定位UE(Located UE)、作为服务器的UE(如作为侧行链路定位服务器的UE(SL Positioning Server UE))、客户端UE(如侧行链路定位客户端UE(SL Positioning Client UE))等。

相关技术中，在执行服务之前，UE通常需要先发现对端UE。其中，在发现过程中，UE与对端UE之间会传输各自扮演的角色。

但是，在发现过程中，UE可能会欺骗对端UE，例如UE的角色为目标UE，但其向对端UE声明的UE角色(即该UE向对端UE传输的该UE的角色)为：服务器UE，此时可能会影响服务执行的准确性。以及，若UE欺骗成功，还会进一步造成信息泄露的不安全问题。

发明内容

本公开提出的UE的授权令牌的生成方法/装置/设备及存储介质，用为UE对UE所声明的UE角色进行授权验证，以确保服务执行的准确度和信息安全性。

第一方面，本公开实施例提供一种UE的授权令牌的生成方法，该方法被网络设备执行，包括：

接收第一UE和/或第二UE发送的发现请求消息，所述发现请求消息用于为第一UE和/或第二UE请求授权令牌，所述授权令牌用于对UE所声明的UE角色进行授权验证；

向所述第一UE和/或第二UE发送发现响应消息，所述发现响应消息包括所述网络设备为所述第一UE和/或所述第二UE生成的授权令牌。

本公开中，网络设备可以接收第一UE和/或第二UE发送的发现请求消息，该发现请求消息用于为第一UE和/或第二UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证；之后，网络设备可以向第一UE和/或第二UE发送发现响应消息，该发现响应消息包括网络设备为第一UE和/或第二UE生成的授权令牌。由此可知，本公开中，UE可以获取网络设备为UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。

第二方面，本公开实施例提供一种UE的授权令牌的生成方法，该方法被第一UE执行，包括：

向网络设备发送发现请求消息，所述发现请求消息用于为第一UE请求授权令牌，所述授权令牌用于对第一UE所声明的UE角色进行授权验证；

接收所述网络设备发送的发现响应消息，所述发现响应消息包括所述第一UE的授权令牌。

第三方面，本公开实施例提供一种UE的授权令牌的生成方法，该方法被第二UE执行，包括：

向网络设备发送发现请求消息，所述发现请求消息用于为第二UE请求授权令牌，所述授权令牌用于对第二UE所声明的UE角色进行授权验证；

接收所述网络设备发送的发现响应消息，所述发现响应消息包括第二UE的授权令牌。

第四方面，本公开实施例提供一种UE的授权令牌的生成方法，该方法被第一UE的DDNMF网元或所述第一UE的PKMF网元执行，包括：

接收第一UE发送的发现请求消息，所述发现请求消息用于为第一UE请求授权令牌，所述授权令牌用于对第一UE所声明的UE角色进行授权验证；

向服务器或UDM网元发送第一授权请求消息；

接收所述服务器或UDM网元发送的第一授权响应消息，所述第一授权响应消息包括所述服务器或UDM网元生成的所述第一UE的授权令牌，或者包括所述第一授权信息，所述第一授权信息包括第一UE的授权相关的信息；

向所述第一UE发送发现响应消息，所述发现响应消息包括第一UE的授权令牌。

第五方面，本公开实施例提供一种UE的授权令牌的生成方法，该方法被第二UE的DDNMF网元或所述第二UE的PKMF网元执行，包括：

接收第二UE发送的发现请求消息，所述发现请求消息用于为第二UE请求授权令牌，所述授权令牌用于对第二UE所声明的UE角色进行授权验证；

向服务器或UDM网元发送第一授权请求消息；

接收所述服务器或UDM网元发送的第一授权响应消息，所述第一授权响应消息包括所述服务器或UDM网元生成的第二UE的授权令牌，或者所述第二授权信息，所述第二授权信息包括第二UE的授权相关的信息；

向所述第二UE发送发现响应消息，所述发现响应消息包括所述第二UE的授权令牌。

第六方面，本公开实施例提供一种UE的授权令牌的生成方法，该方法被服务器或UDM网元执行，包括：

接收第一UE和/或第二UE的DDNMF网元或PKMF网元发送的第一授权请求消息，所述第一授权请求消息用于为第一UE和/或第二UE请求授权令牌，所述授权令牌用于对UE所声明的UE角色进行授权验证；

向所述第一UE和/或第二UE的DDNMF网元或PKMF网元发送第一授权响应消息，所述第一授权响应消息包括所述第一UE和/或第二UE的授权令牌，或者所述第一授权信息和/或第二授权信息；其中，所述第一授权信息包括第一UE的授权相关的信息，所述第二授权信息包括第二UE的授权相关的信息。

第七方面，本公开实施例提供一种通信装置，包括：

收发模块，用于接收第一UE和/或第二UE发送的发现请求消息，所述发现请求消息用于为第一UE和/或第二UE请求授权令牌，所述授权令牌用于对UE所声明的UE角色进行授权验证；

所述收发模块，还用于向所述第一UE和/或第二UE发送发现响应消息，所述发现响应消息包括所述网络设备为所述第一UE和/或所述第二UE生成的授权令牌。

第八方面，本公开实施例提供一种通信装置，包括：

收发模块，用于向网络设备发送发现请求消息，所述发现请求消息用于为第一UE请求授权令牌，所述授权令牌用于对第一UE所声明的UE角色进行授权验证；

所述收发模块，还用于接收所述网络设备发送的发现响应消息，所述发现响应消息包括所述第一UE的授权令牌。

第九方面，本公开实施例提供一种通信装置，包括：

收发模块，用于向网络设备发送发现请求消息，所述发现请求消息用于为第二UE请求授权令牌，所述授权令牌用于对第二UE所声明的UE角色进行授权验证；

所述收发模块，还用于接收所述网络设备发送的发现响应消息，所述发现响应消息包括第二UE的授权令牌。

第十方面，本公开实施例提供一种通信装置，包括：

收发模块，用于接收第一UE发送的发现请求消息，所述发现请求消息用于为第一UE请求授权令牌，所述授权令牌用于对第一UE所声明的UE角色进行授权验证；

所述收发模块，还用于向服务器或UDM网元发送第一授权请求消息；

所述收发模块，还用于接收所述服务器或UDM网元发送的第一授权响应消息，所述第一授权响应消息包括所述服务器或UDM网元生成的所述第一UE的授权令牌，或者包括所述第一授权信息，所述第一授权信息包括第一UE的授权相关的信息；

所述收发模块，还用于向所述第一UE发送发现响应消息，所述发现响应消息包括第一UE的授权令牌。

第十一方面，本公开实施例提供一种通信装置，包括：

收发模块，用于接收第二UE发送的发现请求消息，所述发现请求消息用于为第二UE请求授权令牌，所述授权令牌用于对第二UE所声明的UE角色进行授权验证；

所述收发模块，还用于接收所述服务器或UDM网元发送的第一授权响应消息，所述第一授权响应消息包括所述服务器或UDM网元生成的第二UE的授权令牌，或者所述第二授权信息，所述第二授权信息包括第二UE的授权相关的信息；

所述收发模块，还用于向所述第二UE发送发现响应消息，所述发现响应消息包括所述第二UE的授权令牌。

第十一方面，本公开实施例提供一种通信装置，包括：

收发模块，用于接收第一UE和/或第二UE的DDNMF网元或PKMF网元发送的第一授权请求消息，所述第一授权请求消息用于为第一UE和/或第二UE请求授权令牌，所述授权令牌用于对UE所声明的UE角色进行授权验证；

所述收发模块，用于向所述第一UE和/或第二UE的DDNMF网元或PKMF网元发送第一授权响应消息，所述第一授权响应消息包括所述第一UE和/或第二UE的授权令牌，或者所述第一授权信息和/或第二授权信息；其中，所述第一授权信息包括第一UE的授权相关的信息，所述第二授权信息包括第二UE的授权相关的信息。

第十三方面，本公开实施例提供一种通信装置，该通信装置包括处理器，当该处理器调用存储器中的计算机程序时，执行上述第一方面至第六方面任一所述的方法。

第十四方面，本公开实施例提供一种通信装置，该通信装置包括处理器和存储器，该存储器中存储有计算机程序；所述处理器执行该存储器所存储的计算机程序，以使该通信装置执行上述第一方面至第六方面任一所述的方法。

第十五方面，本公开实施例提供一种通信装置，该装置包括处理器和接口电路，该接口电路用于接收代码指令并传输至该处理器，该处理器用于运行所述代码指令以使该装置执行上述第一方面至第六方面任一所述的方法。

第十六方面，本公开实施例提供一种通信系统，该系统包括第七方面所述的通信装置至第十二方面所述的通信装置，或者，该系统包括第十三方面所述的通信装置，或者，该系统包括第十四方面所述的通信装置，或者，该系统包括第十五方面所述的通信装置。

第十七方面，本公开实施例提供一种计算机可读存储介质，用于储存为上述基站所用的指令，当所述指令被执行时，使所述终端设备执行上述第一方面至第六方面的任一方面所述的方法。

第十八方面，本公开还提供一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面至第六方面的任一方面所述的方法。

第十九方面，本公开提供一种芯片系统，该芯片系统包括至少一个处理器和接口，用于支持基站实现第一方面至第六方面的任一方面所述的方法所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存源辅节点必要的计算机程序和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第二十方面，本公开提供一种计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面至第五方面的任一方面所述的方法。

第二十一方面，本公开提供一种通信系统，其特征在于，包括：

第一UE，用于发送发现请求消息；

第二UE，用于发送发现请求消息；

网络设备，用于发送发现响应消息，所述发现响应消息包括所述网络设备为所述第一UE和/或第二UE确定的角色；

所述第一UE还用于：接收所述发现响应消息，所述发现响应消息包括所述网络设备为第一UE确定的角色；

所述第二UE还用于：接收所述发现响应消息，所述发现响应消息包括所述网络设备为第二UE确定的角色。

附图说明

本公开上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1a和图1b为本公开实施例提供的一些通信系统的架构示意图；

图2a-2m为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图3为本公开再一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图4为本公开又一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图5为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图6为本公开再一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图7为本公开又一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图8为本公开一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图9a-9b为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图10为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图11为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图12为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图13为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图14为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图15为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图16a-16c为本公开另一个实施例所提供的UE的授权令牌的生成方法的流程示意图；

图17为本公开另一个实施例所提供的通信装置的结构示意图；

图18为本公开另一个实施例所提供的通信装置的结构示意图；

图19为本公开另一个实施例所提供的通信装置的结构示意图；

图20为本公开另一个实施例所提供的通信装置的结构示意图；

图21a为本公开另一个实施例所提供的通信装置的结构示意图；

图21b为本公开另一个实施例所提供的通信装置的结构示意图；

图22为本公开另一个实施例所提供的通信系统的结构示意图；

图23是本公开一个实施例所提供的一种通信装置的框图；

图24为本公开一个实施例所提供的一种芯片的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”及“若”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面详细描述本公开的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的要素。下面通过参考附图描述的实施例是示例性的，旨在用于解释本公开，而不能理解为对本公开的限制。

为了便于理解，首先介绍本申请涉及的术语。

1、统一数据管理功能(Unified Data Management，UDM)网元

负责用户标识、签约数据、鉴权数据的管理、用户的服务网元注册管理(比如当前为终端提供业务的移动性管理功能(Access and Mobility Management Function，AMF)网元、网元和会话管理功能(Session Management Function，SMF)网元等，如当用户切换了访问的AMF时，UDM还会向旧的AMF发起注销消息，要求旧的AMF删除用户相关信息)。

为了更好的理解本公开实施例公开的一种UE的授权令牌的生成方法，下面首先对本公开实施例适用的通信系统进行描述。

请参见图1a，图1a为本公开实施例提供的通信系统的架构示意图。如图1a所示，该通信系统可包括但不限于一个网络设备13，以及至少两个UE(如第一UE11、第二UE12)。

需要说明的是，本公开实施例的技术方案可以应用于各种通信系统。例如：长期演进(long term evolution，LTE)系统、第五代(5th generation，5G)移动通信系统、5G新空口(new radio，NR)系统，或者其他未来的新型移动通信系统等。

网络设备13例如可以包括接入网设备(例如基站)和核心网设备，其中，本公开实施例中的接入网设备是网络侧的一种用于发射或接收信号的实体。例如，接入网设备可以为演进型基站(evolved NodeB，eNB)、发送接收点(transmission reception point，TRP)、NR系统中的下一代基站(next generation NodeB，gNB)、其他未来移动通信系统中的基站或无线保真(wireless fidelity，WiFi)系统中的接入节点等。本公开的实施例对接入网设备所采用的具体技术和具体设备形态不做限定。本公开实施例提供的接入网设备可以是由集中单元(central unit，CU)与分布式单元(distributed unit，DU)组成的，其中，CU也可以称为控制单元(control unit)，采用CU-DU的结构可以将接入网设备，例如基站的协议层拆分开，部分协议层的功能放在CU集中控制，剩下部分或全部协议层的功能分布在DU中，由CU集中控制DU。

以及，核心网设备是部署在核心网中的设备，核心网网元是部署在核心网中的网元，两者的功能是提供用户连接、对用户的管理以及对业务完成承载，作为承载网络提供到外部网络的接口。

本公开实施例中的第一UE11和第二UE12是用户侧的一种用于接收或发射信号的实体，如手机。终端设备也可以称为终端设备(terminal)、用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端设备(mobile terminal，MT)等。终端设备可以是具备通信功能的汽车、智能汽车、手机(mobile phone)、穿戴式设备、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self-driving)中的无线终端设备、远程手术(remote medical surgery)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smart home)中的无线终端设备等等。本公开的实施例对终端设备所采用的具体技术和具体设备形态不做限定。

如图1b所示，该通信系统中核心网设备例如可以包括第一UE的邻近通信服务名称管理功能(directdiscovery name management function，DDNMF)/邻近通信服务密钥管理功能(ProSe key management function，PKMF)网元、第二UE的DDNMF/PKMF网元、服务器/UDM网元。

其中，第一UE的DDNMF/PKMF网元和第二UE的DDNMF/PKMF网元可以相同，也可以不同。

可以理解的是，本公开实施例描述的通信系统是为了更加清楚的说明本公开实施例的技术方案，并不构成对于本公开实施例提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本公开实施例提供的技术方案对于类似的技术问题，同样适用。

下面参考附图对本公开实施例所提供的UE的授权令牌的生成方法/装置/设备及存储介质进行详细描述。

需要说明的是，下述各个消息(包括请求消息、响应消息等)的命名仅为方便方案，命名本身并不构成对该消息功能的限定。

图2a为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由网络设备执行，如图2a所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201a、接收第一UE和/或第二UE发送的发现请求消息，该发现请求消息用于为第一UE和/或第二UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。

在本公开的一个实施例之中，上述的UE所声明的UE角色可以理解为：UE发现过程中UE间传输的角色。例如，第一UE与第二UE发现过程中，第一UE向第二UE传输的第一UE的角色即为第一UE声明的UE角色，第二UE向第一UE传输的第二UE的角色即为第二UE声明的UE角色。

其中，在本公开的一个实施例之中，第一UE发送的发现请求消息中可以包括有以下至少一种：

第一UE对应的测距或侧行链路定位应用程序用户标识(Ranging Application User ID，RAUID)；

第一UE请求发现的服务的标识；

第一UE的能力。

在本公开的另一个实施例之中，第二UE发送的发现请求消息中可以包括以下至少一种：

第二UE对应的RAUID；

第二UE请求发现的服务的标识；

第二UE的能力。

其中，上述的RAUID用于标识UE，以便网络设备知晓是哪个UE发送的发现请求消息。

上述的UE请求发现的服务例如可以为测距服务和/或侧行链路定位服务。

上述的UE的能力例如可以为UE支持的测距服务能力和/或UE支持的侧行链路定位服务能力。

步骤202a、向第一UE和/或第二UE发送发现响应消息，该发现响应消息包括网络设备为第一UE和/或第二UE生成的授权令牌。

其中，在本公开的一个实施例之中，该第一UE和/或第二UE的授权令牌至少可以指示网络设备(如服务器或UDM网元)为第一UE和/或第二UE授权的角色；以及，该第一UE和/或第二UE的授权令牌可以用于：在发现过程中第一UE和/或第二UE的对端UE对接收到的由第一UE和/或第二UE传输的第一UE和/或第二UE的角色进行授权验证。

需要说明的是，在本公开的一个实施例之中，上述的网络设备为第一UE和/或第二UE授权的角色可以是网络设备基于UE的能力、UE请求发现的服务的标识以及UE的签约信息确定的。当网络设备为第一UE和/或第二UE授权了角色后，会向第一UE和/或第二UE发送该角色，以便后续第一UE和第二UE之间可以交互传输各自的角色，实现第一UE和第二UE的相互发现。但是，在第一UE与第二UE之间实际交互各自的角色时，第一UE和/或第二UE可能会欺骗对端UE，如向对端UE声明的UE的角色并非是网络设备授权的角色，由此可能会影响服务执行的准确性。以及，若第一UE和/或第二UE欺骗成功，则还会进一步造成信息泄露的不安全问题。

基于此为了解决上述问题，本公开实施例中，网络设备可以为第一UE和/或第二UE生成能够指示网络设备为第一UE和/或第二UE授权的角色的授权令牌，并且使得第一UE与第二UE在发现过程中互相交互各自的授权令牌，以便第一UE和/或第二UE的对端UE能够基于第一UE和/或第二UE的授权令牌来对第一UE和/或第二UE声明的UE角色进行授权验证，以避免在发现过程中，第一UE和/或第二UE用其他的非网络设备授权的角色来欺骗对端UE，从而提升了服务执行的准确性，还提升了信息安全性。

其中，在本公开的一个实施例之中，网络设备可以基于UE的能力、UE请求发现的服务的标识以及UE的签约信息中的至少一种来为第一UE和/或第二UE生成授权令牌。其中，上述签约信息可以为服务协议和/或UE订阅，该签约信息中注册有各个UE在测距服务和/或侧行链路定位服务中的授权相关的信息(如可以包括各个UE在测距服务和/或侧行链路定位服务中所被允许的角色)。以及，关于本步骤中网络设备如何为第一UE和/或第二UE生成授权令牌的详细介绍会在后续实施例描述。

进一步地，在本公开的一个实施例之中，该发现响应消息中还可以携带有网络设备为第一UE请求发现的服务生成的密钥信息和/或第二UE请求发现的服务对应生成的密钥信息，其中，第一UE请求发现的服务对应的密钥信息与第二UE请求发现的服务对应的密钥信息相同。该密钥信息用于：对第一UE后续发现第二UE的过程进行安全保护，以确保该第一UE和/或第二UE在后续发现过程中传输第一UE和/或第二UE的角色以及第一UE和/或第二UE的授权令牌时，不相关UE无法监听或篡改第一UE和/或第二UE的角色，以及无法获取第一UE和/或第二UE的授权令牌，从而防止了不相关UE冒充该第一UE和/或第二UE的角色来欺骗对端UE，可以避免后续服务执行的过程中其他不相关UE干扰，提升了服务执行的准确性，还提升了信息安全性。其中，不相关UE例如包括请求发现的服务与第一UE和第二UE请求发现的服务不同的UE、未请求服务的UE、未被网络设备授权角色的UE、未从网络设备处获取到授权令牌的UE、未从网络设备处获取到该密钥信息的UE等。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，网络设备可以接收第一UE和/或第二UE发送的发现请求消息，该发现请求消息用于为第一UE和/或第二UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证；之后，网络设备可以向第一UE和/或第二UE发送发现响应消息，该发现响应消息包括网络设备为第一UE和/或第二UE生成的授权令牌。由此可知，本公开中，UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

图2b为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第一UE执行，如图2b所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201b、向网络设备发送发现请求消息，该发现请求消息用于为第一UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。

步骤202b、接收网络设备发送的发现响应消息，发现响应消息包括第一UE的授权令牌。

可选的，在本公开的一个实施例之中，该第一UE的授权令牌至少可以指示网络设备为第一UE授权的角色；第一UE的授权令牌可以用于：在发现过程中第一UE的对端UE对接收到的由第一UE传输的第一UE的角色进行授权验证。其中，关于基于授权令牌的验证过程会在后续实施例进行详细说明。

其中，关于步骤201b-202b的详细介绍可以参考上述实施例描述。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，第一UE可以向网络设备发送发现请求消息，该发现请求消息用于为第一UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证；之后，第一UE可以接收网络设备发送的发现响应消息，该发现响应消息包括第一UE的授权令牌。由此可知，本公开中，UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

图2c为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第一UE执行，如图2c所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201c、广播第一发现消息，该第一发现消息包括第一UE的授权令牌。

其中，在本公开的一个实施例之中该第一发现消息中还可以包括有第一UE的角色，同时，第一UE会广播由第一UE请求发现的服务所对应的密钥信息保护第一发现消息，基于第二UE请求发现的服务所对应的密钥信息与第一UE请求发现的服务所对应的安全密钥相同，由此第二UE可以利用相同的密钥信息成功验证出第一UE广播的第一发现消息，实现与第一UE的成功发现，之后，第二UE即可验证第二UE的角色与第一UE的角色是否匹配，以及基于第一UE的授权令牌对第一发现消息中包括的第一UE的角色进行授权。

具体的，在本公开的一个实施例之中，UE的角色例如可以包括：参考UE(如侧行链路参考UE(SL Reference UE))、目标UE(Target UE)、辅助UE(Assistant UE)、定位UE(Located UE)、作为服务器的UE(如作为侧行链路定位服务器的UE(SL Positioning Server UE))、客户端UE(如侧行链路定位客户端UE(SL Positioning Client UE))等。其中，上述目标UE可以为被定位或被测距的UE；上述定位UE可以为要获取目标UE的定位位置的UE；上述参考UE可以为：基于该参考UE的位置或参考UE与目标UE之间的距离能够确定出目标UE的定位位置或测距距离的UE；上述辅助UE可以为：在测距服务或侧行链路定位服务中用于协助转发消息的UE；上述作为服务器的UE可以为：具有定位计算能力或测距计算能力的UE；上述的客户端UE可以为：能够在测距服务或侧行链路定位服务中充当客户端的UE。

在此基础上，上述的第一UE的角色和第二UE的角色在两UE请求发现的服务中匹配可以理解为：第一UE的角色与第二UE的角色相互配合可以完成两UE请求发现的服务。其中，对于测距服务而言，相互配合能完成测距服务的两个角色一般为：目标UE和参考UE；对于侧行链路定位服务而言，相互配合能完成侧行链路定位服务的两个角色一般为：定位UE和目标UE。基于此，当两UE请求发现的服务为测距服务1时，若第一UE的角色为：目标UE，第二UE的角色为：参考UE，则说明第一UE的角色和第二UE的角色在两UE请求发现的服务中相互匹配。

在本公开的另一个实施例之中，第一UE的角色和第二UE的角色在两UE请求发现的服务中不匹配可以理解为：第一UE的角色与第二UE的角色相互配合无法完成两UE请求发现的服务。示例的，假设两UE请求发现的服务为测距服务1时，其中，第一UE的角色为：目标UE，第二UE的角色也为：目标UE，则说明第一UE的角色和第二UE的角色在两UE请求发现的服务中不匹配。

由上述内容可知，第二UE通过确定第二UE的角色与第一发现消息中包括的第一UE的角色是否能相互配合完成两UE请求发现的服务，就可以验证出第二UE的角色与第一UE的角色是否匹配。

进一步地，在本公开的一个实施例之中，上述的基于第一UE的授权令牌对第一发现消息中包括的第一UE的角色进行授权的方法可以包括：基于第一UE的授权令牌确定出网络设备为第一UE授权的角色，比对第一UE的授权令牌指示的网络设备为第一UE授权的角色与第一发现消息中包括的第一UE的角色是否一致，若一致，则确定第二UE对第一发现消息中包括的第一UE的角色授权成功，即第一UE未欺骗第二UE，若不一致，则确定第二UE对第一发现消息中包括的第一UE的角色授权失败，即第一UE未欺骗第二UE。

需要说明的是，在本公开一个实施例之中，若第一UE的角色和第二UE的角色相互匹配，且第二UE基于第一UE的授权令牌对第一发现消息中包括的第一UE的角色授权成功，则后续第二UE可以与第一UE建立连接以完成请求的服务，否则，第二UE不与第一UE建立连接。

步骤202c、接收第二UE发送第一响应消息。

可选的，所述第一响应消息为根据所述第二UE请求发现的服务所对应的密钥信息保护。

进一步地，在本公开的一个实施例之中，该第一响应消息为第二UE基于第一UE的授权令牌对第一UE声明的角色验证成功后发送的。关于该部分内容在后续实施例会进行详细介绍。

图2d为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第一UE执行，如图2d所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201d、接收第二UE广播的第二发现消息，第二发现消息包括第二UE的授权令牌。

其中，第二发现消息由第二UE请求发现的服务所对应的密钥信息保护，以及第二发现消息中还可以包括第二UE的角色。

步骤202d、当根据所述第二UE的授权令牌验证所述第二UE声明的角色为所述网络设备授权的角色时，向所述第二UE发送第二响应消息。

具体的，在本公开的一个实施例之中，第一UE接收到第二UE发送的第二响应消息后，会解码验证第二发现消息；响应于验证成功，确定第二UE的角色与第一UE的角色是否匹配，以及基于第二UE的授权令牌对第二发现消息中包括的第二UE的角色进行授权。

其中，可以是利用密钥信息验证第二发现消息，以及关于此部分的原理可以参考上述实施例描述。

进一步地，需要说明的是，当第二UE请求发现的服务与第一UE请求发现的服务相同时，若第一UE的角色与第二UE的角色还相互匹配，则说明该第一UE和第二UE能够完成两UE所请求发现的服务，基于此，当第一UE解码验证了第二发现消息后，可以进一步确定第一UE的角色与第二UE的角色是否相互匹配，以便知晓该第一UE和第二UE是否可以完成两UE请求的服务，若能完成，则基于第二UE的授权令牌对第二发现消息中包括的第二UE的角色进行授权，若授权成功，则两UE后续可进行发现过程以建立连接，若不能完成，则忽略。

其中，关于第一UE的角色与第二UE的角色相互匹配，以及基于授权令牌进行授权的相关介绍可以参考上述实施例描述。

响应于第一UE的角色与第二UE的角色相互匹配，且对第二发现消息中包括的第二UE的角色授权成功，向第二UE发送第二响应消息，第二响应消息由第一UE请求发现的服务所对应的密钥信息保护，第二响应消息中包括第一UE的授权令牌和/或第一UE的角色。

其中，上述步骤201d-202d为第一UE和第二UE的发现过程，当两UE相互发现之后，即可建立连接以实现服务。

图2e为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第二UE执行，如图2e所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201e、向网络设备发送发现请求消息，发现请求消息用于为第二UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证；

步骤202e、接收网络设备发送的发现响应消息，发现响应消息包括第二UE的授权令牌。

可选的，第二UE的授权令牌至少指示网络设备为第二UE授权的角色；

第二UE的授权令牌用于：在发现过程中第二UE的对端UE对接收到的由第二UE传输的第二UE的角色进行授权验证。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，第二UE可以向网络设备发送发现请求消息，该发现请求消息用于为第二UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证；之后，第二UE可以接收网络设备发送的发现响应消息，该发现响应消息包括第二UE的授权令牌。由此可知，本公开中，UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

图2f为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第二UE执行，如图2f所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201f、接收第一UE广播的第一发现消息，第一发现消息包括第一UE的授权令牌。

步骤202f、当根据所述第一UE的授权令牌验证所述第一UE声明的角色为所述网络设备授权的角色时，向所述第一UE发送第一响应消息。

其中，第二UE接收到第一发现消息后所执行的动作与上述的第一UE接收到第二发现消息后所执行的动作类同，本公开在此不再赘述。

此外，关于本实施例的其他详细介绍可以参考上述实施例描述。

图2g为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第二UE执行，如图2g所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201g、广播第二发现消息，第二发现消息包括第二UE的授权令牌。

步骤202g、接收第一UE发送的第二响应消息，第二响应消息包括第一UE的授权令牌。

步骤203g、根据所述第一UE的授权令牌验证所述第一UE声明的角色是否为所述网络设备授权的角色。

其中，关于本实施例的详细介绍可以参考上述实施例描述。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，第二UE可以向网络设备发送发现请求消息，该发现请求消息用于为第二UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证；之后，第二UE可以接收网络设备发送的发现响应消息，该发现响应消息包括第二 UE的授权令牌。由此可知，本公开中，UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

进一步地，在本公开的一个实施例之中，上述的网络侧设备可以包括：第一网元、第二网元和第三网元，其中，该第一网元包括第一UE的DDNMF网元或第一UE的PKMF网元，第二网元包括第二UE的DDNMF网元或第二UE的PKMF网元，第三网元包括接近服务的服务器或UDM网元。基于此，以下对第一网元、第二网元、第三网元、第一UE、第二UE交互时的具体步骤进行介绍。

图2h为本公开实施例所提供的一种UE的授权令牌的生成方法的交互流程示意图，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201h、第一网元接收第一UE发送的发现请求消息；

步骤202h、第一网元向第三网元发送第一授权请求消息；

步骤203h、第三网元向第一网元发送第一授权响应消息，该第一授权响应消息包括第三网元生成的第一UE的授权令牌。

其中，在本公开的一个实施例之中，第三网元生成第一UE的授权令牌的前提应当为：第三网元能够为第一UE成功授权角色。具体的，在本公开的一个实施例之中，第三网元可以先根据第一UE的能力，以及第三网元存储的第一UE的签约信息确定是否能为第一UE授权角色，响应于能为第一UE授权角色，则进一步为第一UE生成授权令牌。

其中，上述的第三网元根据第一UE的能力，以及第三网元存储的第一UE的签约信息确定是否能为第一UE授权角色的方法可以包括：

由前述内容可知，该签约信息中注册有各个UE在测距服务和/或侧行链路定位服务中所被允许的角色，基于此，第三网元通过查找签约信息即可确定出某UE在测距服务和/或侧行链路定位服务中所被允许的角色，之后再结合UE的能力，确定UE所被允许的角色中，是否有该UE的能力支持实现的角色确定，若有，则确定能成功为第一UE授权角色，否则，确定不能为第一UE授权角色。

示例的，假设两UE请求发现的服务为：测距服务，则第三网元基于第一UE的标识从服务协议中查找出第一UE在测距服务中所被允许的角色为：目标UE和服务UE，和/或，第三网元可以基于第一UE的标识确定出该第一UE的订阅，并从该第一UE的订阅中查找出第一UE在侧行链路定位服务中所被允许的角色为：目标UE和服务UE。此时，若第三网元基于第一UE的能力确定出第一UE在测距服务中支持实现的角色为目标UE和定位UE，则可以得知：UE所被允许的角色中存在该UE的能力支持实现的角色，从而可以确定第三网元能成功为第一UE授权角色，由此第三网元可以进一步为第一UE生成授权令牌。

在本公开的一个实施例之中，上述的第三网元为第一UE生成授权令牌的方法可以包括：基于第一UE请求发现的服务以及第一UE的签约信息来为第一UE生成授权令牌。具体的，第三网元可以基于第一UE请求发现的服务从第一UE的签约信息(如服务协议和/或第一UE的订阅)中确定出第一UE请求发现的服务所对应的授权相关的信息，再基于该第一UE请求发现的服务所对应的授权相关的信息来为第一UE生成授权令牌。

步骤204h、第一网元向第一UE发送发现响应消息。

综上所述，本公开提供了一种对UE的授权令牌的生成方法，其中，UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

图2i为本公开实施例所提供的一种UE的授权令牌的生成方法的交互流程示意图，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201i、第一网元接收第一UE发送的发现请求消息；

步骤202i、第一网元向第三网元发送第一授权请求消息；

步骤203i、第三网元向第一网元发送第一授权响应消息，该第一授权响应消息包括第三网元确定的第一授权信息，第一授权信息包括第一UE的授权相关的信息。

其中，在本公开的一个实施例之中，第三网元确定第一授权信息的前提应当为：第三网元能够为第一UE成功授权角色。具体的，在本公开的一个实施例之中，第三网元可以先根据第一UE的能力，以及第三网元存储的第一UE的签约信息确定是否能为第一UE授权角色，响应于能为第一UE授权角色，则进一步确定第一授权信息。

其中，关于第三网元确定是否能为第一UE授权角色的方法、以及第三网元为第一UE确定第一授权信息的方法可以参见上述实施例描述。

步骤204i、第一网元基于第一授权信息生成第一UE的授权令牌。

步骤205i、第一网元向第一UE发送发现响应消息。

图2j为本公开实施例所提供的一种UE的授权令牌的生成方法的交互流程示意图，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201j、第二网元接收第二UE发送的发现请求消息；

步骤202j、第二网元向第三网元发送第一授权请求消息；

步骤203j、第三网元向第二网元发送第一授权响应消息，第一授权响应消息包括第三网元生成的第二UE的授权令牌。

步骤204j、第二网元向第二UE发送发现响应消息。

图2k为本公开实施例所提供的一种UE的授权令牌的生成方法的交互流程示意图，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201k、第二网元接收第二UE发送的发现请求消息；

步骤202k、第二网元向第三网元发送第一授权请求消息；

步骤203k、第三网元向第二网元发送第一授权响应消息，第一授权响应消息包括第三网元确定的第二授权信息，第二授权信息包括第二UE的授权相关的信息。

步骤204k、第二网元向第一网元发送监听请求消息；

步骤205k、第一网元向第三网元发送第二授权请求消息；

步骤206k、第三网元向第一网元发送第二授权响应消息，第二授权响应消息包括第三授权信息，第三授权信息至少指示第一UE的角色和第二UE的角色在两UE请求发现的服务中的匹配关系。

步骤207k、第一网元向第二网元发送监听响应消息，监听响应消息包括第三授权信息。

步骤208k、第二网元基于第二授权信息以及第三授权信息生成第二UE的授权令牌。

步骤209k、第二网元向第二UE发送发现响应消息。

进一步地，上述的UE的授权令牌的生成方法是以网络设备、第一UE以及第二UE的视角撰写的。但由上述内容可知，网络设备可以包括有第一UE的DDNMF网元或第一UE的PKMF网元，第二UE的DDNMF网元或第二UE的PKMF网元，第三网元包括接近服务的服务器或UDM网元，基于此，以下分别以UE的授权令牌的生成方法中的第一UE的DDNMF网元或第一UE的PKMF网元的视角、第二UE的DDNMF网元或第二UE的PKMF网元的视角、服务器或UDM网元的视角、第一UE与DDNMF/PKMF网元交互时的视角、第二UE与DDNMF/PKMF网元交互时的视角来介绍本公开的方法。

图2L为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第一UE的DDNMF网元或第一UE的PKMF网元执行，如图2所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201L、接收第一UE发送的发现请求消息(Discovery Request message)，发现请求消息用于为第一UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证。

步骤202L、向服务器或UDM网元发送第一授权请求消息(Authorization Request)。

具体的，在本公开的一个实施例之中，该向服务器或UDM网元发送第一授权请求消息的方法可以为：先将第一UE对应的RAUID转换为能被服务器或UDM网元识别的第一标识，该第一标识用于指示第一UE；再将第一标识、第一UE请求发现的服务、第一UE的能力中的至少一种携带于第一授权请求消息中发送至服务器或UDM网元。

进一步地，在本公开的一个实施例之中，该服务器例如可以为：测距或侧行链路定位服务器(Ranging/SL positioning服务器)。

步骤203L、接收服务器或UDM网元发送的第一授权响应消息(Authorization Response)，该第一授权响应消息包括服务器或UDM网元生成的第一UE的授权令牌。

可选的，第一UE的授权令牌用于：在发现过程中第一UE的对端UE对接收到的由第一UE传输的第一UE的角色进行授权验证。

步骤204L、向第一UE发送发现响应消息(Discovery Request)，该发现响应消息包括第一UE的授权令牌。

其中，在本公开的一个实施例之中，该发现响应消息中还可以包括和第一UE的DDNMF网元或第一UE的PKMF网元为第一UE请求发现的服务生成的密钥信息(Discovery Security Material)。该密钥信息的相关介绍可以参考上述实施例描述。

进一步地，在本公开的一个实施例之中，当第一UE的DDNMF网元或第一UE的PKMF网元接收到第一UE的角色时，第一UE的DDNMF网元或第一UE的PKMF网元还会进一步确定第一UE需执行的服务所对应的应用程序代码，并将第一UE需执行的服务所对应的应用程序代码携带于发现响应消息中发送至第一UE，该应用程序代码可以用于：第一UE基于该应用程序代码发现与第一UE执行相同服务的其他UE。

此外，在本公开的一个实施例之中，当该第一UE的DDNMF网元或第一UE的PKMF网元接收到的第一授权响应消息指示授权失败时，则该第一UE的DDNMF网元或第一UE的PKMF网元不会生成密钥信息和应用程序代码，且向第一UE发送用于指示拒绝第一UE的发现请求的发现响应消息。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，第一UE的DDNMF网元或第一UE的PKMF网元会接收第一UE发送的发现请求消息，该发现请求消息用于为第一UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证；之后，会向服务器或UDM网元发送第一授权请求消息；并接收服务器或UDM网元发送的第一授权响应消息，该第一授权响应消息包括服务器或UDM网元生成的第一UE的授权令牌；最后，第一UE的DDNMF网元或第一UE的PKMF网元会向第一UE发送发现响应消息，发现响应消息包括的授权令牌。由此可知，本公开中UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

图2m为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第一UE的DDNMF网元或第一UE的PKMF网元执行，如图2所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤201m、接收第一UE发送的发现请求消息(Discovery Request message)，发现请求消息用于为第一UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证。

步骤202m、向服务器或UDM网元发送第一授权请求消息(Authorization Request)。

步骤203m、接收服务器或UDM网元发送的第一授权响应消息(Authorization Response)，该第一授权响应消息包括服务器或UDM网元确定的第一授权信息，第一授权信息包括第一UE的授权相关的信息。

步骤204m、基于第一授权信息为第一UE生成授权令牌。

步骤205m、向第一UE发送发现响应消息(Discovery Request)，该发现响应消息包括第一UE的授权令牌。

图3为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第一UE的DDNMF网元或第一UE的PKMF网元执行，如图3所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤301、接收第二UE的DDNMF网元或第二UE的PKMF网元发送的监听请求消息(Monitor Request message)。

其中，在本公开的一个实施例之中，该监听请求消息可以为：第二UE的DDNMF网元或第二UE的PKMF网元获取到服务器或UDM网元确定的第二UE的角色之后发送至第一UE的DDNMF网元或第一UE的PKMF网元的，该监听请求消息包括第二UE的角色、第二UE请求发现的服务、用于指示第二UE的第二标识中的至少一种。关于第二UE的DDNMF网元或第二UE的PKMF网元获取服务器或UDM网元确定的第二UE的角色的具体流程与第一UE的DDNMF网元或第一UE的PKMF网元获取第一UE的角色的具体流程类似，参见后续第二UE的DDNMF网元或第二UE的PKMF网元侧实施例介绍。

步骤302、响应于第二UE请求发现的服务与第一UE请求发现的服务相同，向服务器或UDM网元发送第二授权请求消息，该第二授权请求消息中包括第一UE的角色、第二UE的角色和两UE请求发现的服务。

步骤303、接收服务器或UDM网元发送的第二授权响应消息，第二授权响应消息包括第三授权信息，第三授权信息至少指示第一UE和第二UE在两UE请求发现的服务中的匹配关系。

其中，在本公开的一个实施例之中，该第二授权响应中包括第三授权信息的前提为：服务器或UDM网元确定第一UE的角色与第二UE的角色相互匹配。

步骤304、向第二UE的DDNMF网元或第二UE的PKMF网元发送监听响应消息(Monitor Response message)，该监听响应消息中包括第三授权信息。

其中，在本公开的一个实施例之中，通过向第二UE的DDNMF网元或第二UE的PKMF网元发送该第三授权信息，以便第二UE的DDNMF网元或第二UE的PKMF网元可以基于该第三授权信息生成第二UE的授权令牌。

在本公开的一个实施例之中，该监听响应消息中还携带有第一UE的DDNMF网元或第一UE的PKMF网元为第一UE请求发现的相同服务所生成的密钥信息，这样可以使得，第二UE请求发现的服务所对应的密钥信息与第一UE请求发现的服务所对应的密钥信息相同。

需要说明的是，在本公开的一个实施例之中，当第一UE的角色和第二UE的角色相互匹配时，则说明第一UE和第二UE相互配合可以完成两UE请求发现的服务。则此时，第一UE的DDNMF网元或第一UE的PKMF网元应当为第二UE请求发现的服务生成与其为第一UE请求发现的服务生成的安全发现密钥相同的安全发现密钥，以便后续第二UE可以基于相同的安全发现密钥来成功验证第一UE 在发现过程中所传输的信息，从而确保两UE能成功相互发现，以成功完成两UE请求发现的服务。

此外，在本公开的一个实施例之中，当第一UE的DDNMF网元或第一UE的PKMF网元从服务器或UDM网元处接收到的第二授权响应消息指示第一UE的角色和第二UE的角色在两UE请求发现的服务中不匹配，则第一UE的DDNMF网元或第一UE的PKMF网元应向第二UE的DDNMF网元或第二UE的PKMF网元发送指示拒绝监听请求的监听响应消息。

图4为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第二UE的DDNMF网元或第二UE的PKMF网元执行，如图4所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤401、接收第二UE发送的发现请求消息，发现请求消息用于为第二UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证。

可选的，在本公开的一个实施例之中，发现请求消息中可以包括以下至少一种：

第二UE对应的RAUID；

第二UE请求发现的服务；

第二UE的能力。

其中，上述的RAUID用于指示UE，以便网络设备知晓是哪个UE发送的发现请求消息。

步骤402、向服务器或UDM网元发送第一授权请求消息。

可选的，向服务器或UDM网元发送第一授权请求消息可以包括：

将第二UE对应的RAUID转换为能被服务器或UDM网元识别的第二标识，第二标识用于指示第二UE；

将第二标识、第二UE请求发现的服务、第二UE的能力中的至少一种携带于授权请求消息中发送至服务器或UDM网元。

步骤403、接收服务器或UDM网元发送的第一授权响应消息，第一授权响应消息包括服务器或UDM网元生成的第二UE的授权令牌。

可选的，第二UE的授权令牌用于：在发现过程中第二UE的对端UE对接收到的由第二UE传输的第二UE的角色进行授权验证。

步骤404、向第二UE发送发现响应消息，发现响应消息包括第二UE的授权令牌。

其中，该发现响应消息中还可以携带有和第一UE的DDNMF网元或第二UE的PKMF网元为第二UE请求发现的服务生成的密钥信息。

上述的步骤401-404的原理与前述的图2实施例中的步骤201-204的原理雷同，其他可参考前述实施例介绍。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，第二UE的DDNMF网元或第二UE的PKMF网元会接收第二UE发送的发现请求消息，该发现请求消息用于为第二UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证；之后，会向服务器或UDM网元发送第一授权请求消息；并接收服务器或UDM网元发送的第一授权响应消息，该第一授权响应消息包括服务器或UDM网元生成的第二UE的授权令牌；最后，第二UE的DDNMF网元或第二UE的PKMF网元会向第二UE发送发现响应消息，发现响应消息包括的授权令牌。由此可知，本公开中UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

图5为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第二UE的DDNMF网元或第二UE的PKMF网元执行，如图4所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤501、接收第二UE发送的发现请求消息，发现请求消息用于为第二UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证。

步骤502、向服务器或UDM网元发送第一授权请求消息。

步骤503、接收服务器或UDM网元发送的第一授权响应消息，第一授权响应消息包括服务器或UDM网元确定的第二授权信息，第二授权信息包括第二UE的授权相关的信息。

步骤504、向第一UE的DDNMF网元或第一UE的PKMF网元发送监听请求消息，该监听请求消息中携带有第二UE的角色、第二UE请求发现的服务、用于指示第二UE的第二标识中的至少一种。

需要说明的是，在本公开的一个实施例之中，第二UE实质是知晓对端UE(即第一UE)是哪个UE的，基于此，第二UE在向第二UE的DDNMF网元或第二UE的PKMF网元发送发现请求消息时，还可以在该发现请求消息中携带指示第一UE，或者，指示第一UE的DDNMF网元或PKMF网元的指示信息，以便第二UE的DDNMF网元或第二UE的PKMF网元能够基于该指示信息确定出其需要向哪一个UE的DDNMF网元或PKMF网元来发送该监听请求消息，以此确保第二UE的DDNMF网元或PKMF网元能够成功向第一UE的DDNMF网元或PKMF网元发送该监听请求消息。

步骤505、接收第一UE的DDNMF网元或第一UE的PKMF网元发送的监听响应消息，监听响应消息包括第三授权信息，第三授权信息至少指示第一UE和第二UE在两UE请求发现的服务中的匹配关系。

其中，在本公开的一个实施例之中，该监听响应消息中还携带有第二UE请求发现的服务所对应的密钥信息；其中，该密钥信息为：第一UE的DDNMF网元或第一UE的PKMF网元接收到服务器或UDM网元发送的用于指示第一UE的角色和第二UE的角色相互匹配的第二授权响应消息之后，发送至第二UE的DDNMF网元或第二UE的PKMF网元的，且该第二UE请求发现的服务所对应的密钥信息与第一UE请求发现的服务所对应的安全密钥相同。

步骤506、基于第二授权信息以及第三授权信息生成第二UE的授权令牌。

步骤507、向第二UE发送发现响应消息，发现响应消息包括第二UE的授权令牌。

关于步骤501-507的详细介绍可以参考前述实施例描述，本公开实施例在此不做赘述。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，第二UE的DDNMF网元或第二UE的PKMF网元会接收第二UE发送的发现请求消息，该发现请求消息用于为第二UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证；之后，会向服务器或UDM网元发送第一授权请求消息；并接收服务器或UDM网元发送的第一授权响应消息，该第一授权响应消息包括服务器或 UDM网元生成的第二UE的授权令牌；最后，第二UE的DDNMF网元或第二UE的PKMF网元会向第二UE发送发现响应消息，发现响应消息包括的授权令牌。由此可知，本公开中UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

图6为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由服务器或UDM网元执行，如图6所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤601、接收第一UE和/或第二UE的DDNMF网元或PKMF网元发送的第一授权请求消息，第一授权请求消息用于为第一UE和/或第二UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证。

可选的，第一授权请求消息中包括以下至少一种：

用于指示第一UE和/或第二UE的标识；

第一UE和/或第二UE请求发现的服务；

第一UE和/或第二UE的能力。

步骤602、向第一UE和/或第二UE的DDNMF网元或PKMF网元发送第一授权响应消息，第一授权响应消息包括第一UE和/或第二UE的授权令牌，或者第一授权信息和/或第二授权信息；其中，第一授权信息包括第一UE的授权相关的信息，第二授权信息包括第二UE的授权相关的信息。

其中，关于步骤601-602的详细原理介绍可以参考前述实施例描述。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，服务器或UDM网元会接收第一UE和/或第二UE的DDNMF网元或PKMF网元发送的第一授权请求消息，第一授权请求消息用于为第一UE和/或第二UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证；之后，服务器或UDM网元会向第一UE和/或第二UE的DDNMF网元或PKMF网元发送第一授权响应消息，第一授权响应消息包括第一UE和/或第二UE的授权令牌，或者第一授权信息和/或第二授权信息；其中，第一授权信息包括第一UE的授权相关的信息，第二授权信息包括第二UE的授权相关的信息。由此可知，本公开中可以为UE生成授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。

图7为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由服务器或UDM网元执行，如图7所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤701、基于服务器或UDM网元为第一UE和/或第二UE授权的角色生成第一UE和/或第二UE的授权令牌。

图8为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由服务器或UDM网元执行，如图8所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤801、基于第一UE和/或第二UE的签约信息确定第一授权信息和/或第二授权信息。

图9a为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第一UE执行，如图9a所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤901a、接收第一UE的DDNMF网元或第一UE的PKMF网元发送的第二授权请求消息。

步骤902a、基于第一UE的签约信息和第二UE的签约信息确定第三授权信息。

步骤903a、向第一UE的DDNMF网元或第一UE的PKMF网元发送第二授权响应消息，第二授权响应消息包括第三授权信息，第三授权信息至少指示第一UE和第二UE在两UE请求发现的服务中的匹配关系。

图9b为本公开实施例所提供的一种UE的角色授权方法的流程示意图，该方法由第一UE执行，如图9b所示，该UE的角色授权方法可以包括以下步骤：

步骤901b、向第一UE的DDNMF网元或第一UE的PKMF网元发送发现请求消息，发现请求消息用于为第一UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证；

步骤902b、接收第一UE的DDNMF网元或第一UE的PKMF网元发送的发现响应消息，发现响应消息包括第一UE的授权令牌、第一UE的角色和第一UE请求发现的服务所对应的密钥信息。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，第一UE会向第一UE的DDNMF网元或第一UE的PKMF网元发送发现请求消息，发现请求消息用于为第一UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证；第一UE会接收第一UE的DDNMF网元或第一UE的PKMF网元发送的发现响应消息，发现响应消息包括第一UE的授权令牌。由此可知，本公开中UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

图10为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第一UE执行，如图10所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤1001、广播第一发现消息，该第一发现消息由第一UE请求发现的服务所对应的密钥信息保护，第一发现消息中包括第一UE的角色、第一UE的授权令牌第一UE请求发现的服务所对应的应用程序代码。

其中，在本公开的一个实施例之中，第一UE通过广播由第一UE请求发现的服务所对应的密钥信息保护的第一发现消息，则基于第二UE请求发现的服务所对应的密钥信息与第一UE请求发现的服务所对应的安全密钥形同，由此第二UE可以利用相同的密钥信息成功验证出第一UE广播的第一发现消息，实现与第一UE的成功发现，之后，第二UE即可验证第二UE的角色与第一UE的角色是否匹配，以及，通过第一UE的授权令牌对第一广播消息中包括的第一UE的角色验证时授权，以便确保后续是否与第一UE建立连接。

图11为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第一UE执行，如图11所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤1101、接收第二UE广播的第二发现消息，该第二发现消息由第二UE请求发现的服务所对应的密钥信息保护，该二发现消息中包括第二UE的角色、第二UE的授权令牌第二UE请求发现的服务所对应的应用程序代码。

步骤1102、基于第一UE请求发现的服务所对应的密钥信息解码验证第二发现消息；响应于验证成功，确定第二UE请求发现的服务所对应的应用程序代码与第一UE请求发现的服务所对应的应用程序代码是否一致，若一致，确定第二UE的角色与第一UE的角色是否匹配，以及基于第二UE的授权令牌对第二发现消息中包括的第二UE的角色进行授权。

其中，关于第一UE利用密钥信息验证第二发现消息的原理可以参考上述实施例描述，上述的第二UE请求发现的服务所对应的应用程序代码与第一UE请求发现的服务所对应的应用程序代码一致则说明，两UE请求发现的服务相同，则此时可以进一步确定两UE的角色是否匹配，以及基于第二UE的授权令牌对第二发现消息中包括的第二UE的角色进行授权，若匹配且授权成功，则说明两UE配合可以完成两UE请求发现的服务且第二UE未欺骗第一UE，则两UE可以建立连接以完成服务，若不匹配，则说明两UE无法完成两UE请求发现的服务，或者，若授权未成功，则说明第二UE欺骗了第一UE，此时，两UE不建立建立。

步骤1103、响应于第一UE的角色与第二UE的角色相互匹配，且对第二发现消息中包括的第二 UE的角色授权成功，向第二UE发送第一响应消息，第一响应消息由第一UE请求发现的服务所对应的密钥信息保护，第一响应消息中包括第一UE的授权令牌、第一UE的角色和第一UE请求发现的服务所对应的应用程序代码。

其中，上述步骤1101-1103为第一UE和第二UE的发现过程，当两UE相互发现之后，即可建立连接以实现服务。

图12为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第二UE执行，如图12所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤1201、向第二UE的DDNMF网元或第二UE的PKMF网元发送发现请求消息，发现请求消息用于为第一UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证；

步骤1202、接收第二UE的DDNMF网元或第二UE的PKMF网元发送的发现响应消息，发现响应消息包括第一UE的授权令牌、第二UE的角色和第二UE请求发现的服务所对应的密钥信息。

综上所述，在本公开实施例提供的UE的授权令牌的生成方法之中，在本公开实施例提供的UE的授权令牌的生成方法之中，第二UE会向第二UE的DDNMF网元或第二UE的PKMF网元发送发现请求消息，发现请求消息用于为第二UE请求授权令牌，授权令牌用于对UE所声明的UE角色进行授权验证；第二UE会接收第二UE的DDNMF网元或第二UE的PKMF网元发送的发现响应消息，发现响应消息包括第二UE的授权令牌。由此可知，本公开中UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

图13为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第二UE执行，如图13所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤1301、接收第一UE广播的第一发现消息，第一发现消息由第一UE请求发现的服务所对应的密钥信息保护，第一发现消息包括第一UE的授权令牌、第一UE的角色和第一UE请求发现的服务所对应的应用程序代码。

步骤1302、基于第二UE请求发现的服务所对应的密钥信息解码验证第一发现消息；响应于验证成功，确定第一UE请求发现的服务所对应的应用程序代码与第二UE请求发现的服务所对应的应用程序代码是否一致，若一致，确定第二UE的角色与第一UE的角色是否匹配，以及基于第一UE的授权令牌对第一发现消息中包括的第一UE的角色进行授权。

图14为本公开实施例所提供的一种UE的授权令牌的生成方法的流程示意图，该方法由第二UE执行，如图14所示，该UE的授权令牌的生成方法可以包括以下步骤：

步骤1401、广播第二发现消息，第二发现消息由第二UE请求发现的服务所对应的密钥信息保护，第二发现消息包括第二UE的授权令牌、第二UE的角色和第二UE请求发现的服务所对应的应用程序代码。

步骤1402、接收第一UE发送的第一响应消息，第一响应消息由第一UE请求发现的服务所对应的密钥信息保护，第一响应消息中包括第一UE的授权令牌、第一UE的角色和第一UE请求发现的服务所对应的应用程序代码。

步骤1403、基于第二UE请求发现的服务所对应的密钥信息解码验证第一响应消息；响应于验证成功，确定第二UE的角色与第一UE的角色是否匹配，以及基于第一UE的授权令牌对第一响应消息中包括的第一UE的角色进行授权。

以下对UE的授权令牌的生成方法的交互流程进行介绍：

图15为本公开实施例所提供的一种UE的授权令牌的生成方法的交互流程示意图，如图15所示，包括：

1.A-UE(可以为上述实施例的第一UE)向其5G DDNMF/PKMF发送包含测距应用程序用户ID(RAUID)的发现请求消息，以获取测距应用程序代码以宣布并获得相关的密钥信息。此外，A-UE应在发现请求消息中包括其UE测距服务能力(即上述实施例中的“第一UE的能力”，例如，充当目标/服务器UE的能力)。

2.A-UE的5G DDNMF/PKMF向A-UE的测距/SL定位服务器或UDM发送第一授权请求消息，用于宣布授权，其中包含从A-UE接收到的UE对测距服务的能力。

3.测距/SL定位服务器检查服务协议或A-UE的UDM检查A-UE的订阅，以确定是否允许A-UE扮演与其能力相对应的角色(例如，是否A-UE被允许充当目标/服务器UE)。然后A-UE的测距/SL定位服务器或UDM根据订阅或服务协议中的授权相关信息为A-UE生成一个授权令牌(Auth-Token)。

4.如果UE能力和允许的角色之间存在匹配(例如，允许A-UE充当目标UE或允许A-UE充当目标UE和服务器UE)，则测距/SL定位服务器或A-UE的UDM向5G DDNMF/PKMF返回包含A-UE的角色和A-UE的授权令牌的第一授权响应消息。如果UE能力和允许的角色不匹配(例如，A-UE既不允许作为目标UE也不允许作为服务器UE)，Ranging/SL定位服务器或UDM A-UE返回包含失败原因的第一授权响应消息。

5.如果与Ranging/SL定位服务器或A-UE的UDM授权成功，则A-UE的5G DDNMF/PKMF在发现响应消息中返回测距应用程序代码和对应的密钥信息。密钥信息为A-UE提供必要的信息以保护测距应用代码的传输，并与测距应用代码一起存储。A-UE的5G DDNMF/PKMF还包括在发现响应消息中从Ranging/SL定位服务器或A-UE的UDM接收到的A-UE的角色和A-UE的授权令牌。如果与A-UE的Ranging/SL定位服务器或UDM的授权失败，则A-UE的5G DDNMF/PKMF不生成密钥信息并拒绝来自A-UE的发现请求。

6.M-UE(可以为上述实施例的第二UE)向其5G DDNMF/PKMF发送包含测距应用程序用户ID(RAUID)的发现请求消息，以获取测距应用程序代码以宣布并获得相关的密钥信息。此外，M-UE应在发现请求消息中包含其UE测距服务能力(即上述实施例中的“第二UE的能力”，例如，充当参考/定位UE的能力)。

7.M-UE的5G DDNMF/PKMF向Ranging/SL定位服务器或M-UE的UDM发送第一授权请求消息，其中包含从M-UE接收到的测距服务的UE能力。

8.Ranging/SL定位服务器检查服务协议或M-UE的UDM检查M-UE的订阅，以确定是否允许M-UE扮演与其能力相对应的角色(例如，是否允许M-UE充当参考/定位UE)。然后M-UE的测距/SL定位服务器或UDM根据订阅或服务协议中的授权相关信息为M-UE生成一个授权令牌(Auth-Token)。

9.如果UE能力和允许的角色之间存在匹配(例如，允许M-UE充当参考UE或允许A-UE充当参考UE和定位UE)，则测距/SL定位服务器或M-UE的UDM向5G DDNMF/PKMF返回第一授权响应消息，其中包含M-UE的角色和M-UE的授权令牌。如果UE能力和允许的角色不匹配(例如，M-UE既不允许作为参考UE也不允许作为定位UE)，Ranging/SL定位服务器或UDM M-UE返回包含失败原因的第一授权响应消息。

10.如果向Ranging/SL定位服务器或A-UE的UDM授权成功，则M-UE的5G DDNMF/PKMF通过发送监控请求消息联系A-UE的5G DDNMF/PKMF。如果与A-UE的Ranging/SL定位服务器或UDM的授权失败，则M-UE的5G DDNMF/PKMF拒绝M-UE的Discovery Request，不执行以下步骤。

11.A-UE的5G DDNMF/PKMF向Ranging/SL定位服务器发送第二授权请求消息，其中包含M-UE和A-UE的角色。

12.Ranging/SL定位服务器检查M-UE和A-UE的角色在请求的服务中是否相互匹配(例如，对于两个UE之间的测距服务，两UE的角色是否分别是Target UE和Reference UE，或者是否分别是定位UE和目标UE，若是，则用于两个UE之间的Ranging/SL定位服务)。

13.Ranging/SL定位服务器返回第二授权响应消息，指示授权是否成功。

14.如果与Ranging/SL定位服务器的授权成功，则A-UE的5G DDNMF/PKMF向M-UE的5G DDNMF/PKMF响应一个监听响应消息，包括测距应用程序代码和对应的密钥信息(该安全密钥与向A-UE反馈的安全密钥相同)。密钥信息提供了M-UE撤消A-UE应用的保护所需的信息(即验证A-UE传输的消息时所需的信息)。如果与Ranging/SL定位服务器的授权失败，则A-UE的5G DDNMF/PKMF拒绝来自M-UE的5G DDNMF/PKMF的监听请求消息，不执行以下步骤。

15.M-UE的5G DDNMF/PKMF在发现响应消息中返回密钥信息，以及从测距/SL定位服务器或M-UE的UDM接收到的M-UE的角色和M-UE的授权令牌。

图16a为本公开实施例所提供的一种UE的授权令牌的生成方法的交互流程示意图，如图16a所示，包括：

图16a实施例的步骤步骤1～2与图15的步骤1～2相同。

3.测距/SL定位服务器检查服务协议或A-UE的UDM检查A-UE的订阅，以确定是否允许A-UE扮演与其能力相对应的角色(例如，是否A-UE被允许充当目标/服务器UE)。

4.如果A-UE能力和允许的角色之间存在匹配(例如，允许A-UE充当目标UE或允许A-UE充当目标UE和服务器UE)，则测距/SL定位服务器或A-UE的UDM向5G DDNMF/PKMF返回第一授权响应，其中包含匹配的A-UE角色和A-UE的订阅或服务协议中的授权相关信息(即上述的第一授权信息)。

5.A-UE的5G DDNMF/PKMF根据接收到的授权相关信息(即上述的第一授权信息)为A-UE生成授权令牌。

图16a实施例的步骤步骤6与图15的步骤5相同；

图16a实施例的步骤步骤7-8与图15的步骤6-7相同；

9.Ranging/SL定位服务器检查服务协议或M-UE的UDM检查M-UE的订阅，以确定是否允许M-UE扮演与其能力相对应的角色(例如，是否允许M-UE充当参考/定位UE)。

10.如果M-UE能力和允许的角色之间存在匹配(例如，允许M-UE充当参考UE或允许A-UE充当参考UE和定位UE)，则测距/SL定位服务器或M-UE的UDM向5G DDNMF/PKMF返回授权响应，其中包含M-UE的匹配角色以及M-UE的订阅或服务协议中的授权相关信息(即上述的第二授权信息)。

图16a实施例的步骤步骤11-13与图15的步骤10-12相同；

14.Ranging/SL定位服务器或UDM返回第二授权响应，指示授权是否成功。该响应还可以包括关于所请求服务中的A-UE和M-UE之间的关联的更多授权信息(即上述实施例的第三授权信息)。

15.如果与Ranging/SL定位服务器的授权成功，则A-UE的5G DDNMF/PKMF向M-UE的5G DDNMF/PKMF响应一个监听响应消息，包括相应的密钥信息和授权信息关于请求服务中A-UE和M-UE之间的关联(即上述的第三授权信息)。

16.M-UE的5G DDNMF/PKMF基于在步骤#10和#15中接收到的授权相关信息(即上述实施例的第二授权信息和第三授权信息)为M-UE生成授权令牌。

图16a实施例的步骤步骤17与图15的步骤15相同。

以下对第一UE和第二UE的发现过程的交互流程进行介绍：

图16b为本公开实施例所提供的一种UE的授权令牌的生成方法的交互流程示意图，如图16b所示，包括：

步骤1.A-UE开始第一发现消息。A-UE形成公告消息并用密钥信息保护它。公告消息还包含允许其行动的A-UE的角色以及由网络提供的A-UE的授权令牌。

步骤2.M-UE侦听并接收包含A-UE的授权令牌的第一发现消息，并使用密钥信息验证该消息。

步骤3.M-UE检查A-UE的角色，并确定A-UE的角色是否是它所监视的角色，例如：如果A-UE的角色是目标UE，并且作为参考UE的M-UE可以确定它找到了匹配项。然后，M-UE使用从A-UE接收到的A-UE的授权令牌进一步授权A-UE声明的UE角色(即第一发现消息中包括的A-UE的角色)。

图16c为本公开实施例所提供的一种UE的授权令牌的生成方法的交互流程示意图，如图16c所示，包括：

1.M-UE形成第二发现消息并使用密钥信息保护它后广播。该第二发现消息还包含允许M-UE执行的角色及其由网络提供的M-UE的授权令牌。

2.A-UE监听第二发现消息，并用密钥信息验证该消息，然后A-UE检查第二发现消息中M-UE的角色，并确定第二发现消息中M-UE的角色是否为它监视。例如，如果M-UE的角色是目标UE，并且作为已定位UE的A-UE可以确定它找到了匹配项。然后，A-UE使用从M-UE接收到的M-UE的授权令牌进一步授权M-UE的第二发现消息中包含的角色。

3.A-UE向M-UE返回第一响应消息，其中包含A-UE的角色以及网络提供的A-UE的授权令牌。

4.M-UE使用密钥信息验证发现第一响应消息，然后M-UE检查第一响应消息中的A-UE角色，并确定A-UE角色是否是它请求的角色，然后，M-UE使用从A-UE接收到的A-UE的授权令牌进一步授权A-UE的第一响应消息中声明的UE角色。

图17为本公开实施例所提供的一种通信装置的结构示意图，如图17所示，装置可以包括：

综上所述，在本公开实施例提供的通信装置之中，网络设备可以接收第一UE和/或第二UE发送的发现请求消息，该发现请求消息用于为第一UE和/或第二UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证；之后，网络设备可以向第一UE和/或第二UE发送发现响应消息，该发现响应消息包括网络设备为第一UE和/或第二UE生成的授权令牌。由此可知，本公开中，UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

可选的，在本公开的一个实施例之中，所述第一UE和/或所述第二UE的授权令牌至少指示服务器或统一数据管理UDM网元为所述第一UE和/或所述第二UE授权的角色；

可选的，在本公开的一个实施例之中，所述第一UE的授权令牌用于：在发现过程中所述第一UE的对端UE对所述第一UE声明的第一UE的角色进行授权验证；

所述第二UE的授权令牌用于：在发现过程中所述第二UE的对端UE对所述第二UE声明的第二UE的角色进行授权验证。。

可选的，在本公开的一个实施例之中，所述发现请求消息中包括以下至少一种：

应用程序用户标识RAUID；

服务的标识；

所述第一UE和/或第二UE的能力。

可选的，在本公开的一个实施例之中，所述网络侧设备包括：第一网元、第二网元和第三网元，所述第一网元包括所述第一UE的邻近通信服务名称管理功能DDNMF网元或第一UE的邻近通信服务密钥管理功能PKMF网元，所述第二网元包括所述第二UE的DDNMF网元或第二UE的PKMF网元，所述第三网元包括测距定位业务的服务器或统一数据管理UDM网元。

可选的，在本公开的一个实施例之中，

所述第一网元接收所述第一UE发送的发现请求消息；

所述第一网元向所述第一UE发送发现响应消息；

所述第一网元向第三网元发送第一授权请求消息；

所述第三网元向所述第一网元发送第一授权响应消息，所述第一授权响应消息包括第三网元生成的第一UE的授权令牌，或者第三网元确定的第一授权信息，所述第一授权信息包括第一UE的授权相关的信息。

可选的，在本公开的一个实施例之中，第一网元基于所述第一授权信息生成第一UE的授权令牌。

可选的，在本公开的一个实施例之中，所述第二网元接收所述第二UE发送的发现请求消息；

所述第二网元向所述第二UE发送发现响应消息；

所述第二网元向第三网元发送第一授权请求消息；

所述第三网元向所述第二网元发送第一授权响应消息，所述第一授权响应消息包括第三网元生成的第二UE的授权令牌；或者第三网元确定的第二授权信息，所述第二授权信息包括第二UE的授权相关的信息。

可选的，在本公开的一个实施例之中，所述第二网元向第一网元发送监听请求消息；

所述第一网元向第三网元发送第二授权请求消息；

第三网元向所述第一网元发送第二授权响应消息，所述第二授权响应消息包括第三授权信息，所述第三授权信息至少指示所述第一UE的角色和所述第二UE的角色在两UE请求发现的服务中的匹配关系；

第一网元向第二网元发送监听响应消息，所述监听响应消息包括所述第三授权信息。

图18为本公开实施例所提供的一种通信装置的结构示意图，如图18所示，装置可以包括：

综上所述，在本公开实施例提供的通信装置之中，第一UE可以向网络设备发送发现请求消息，该发现请求消息用于为第一UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证；之后，第一UE可以接收网络设备发送的发现响应消息，该发现响应消息包括第一UE的授权令牌。由此可知，本公开中，UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全。

可选的，在本公开的一个实施例之中，所述第一UE的授权令牌至少指示所述网络设备为所述第一UE授权的角色。

可选的，在本公开的一个实施例之中，所述装置还用于：

广播第一发现消息，用于发现邻近的UE，其中，所述第一发现消息包括所述第一UE的授权令牌；

接收到所述第二UE发送第一响应消息；所述第一响应消息为所述第二UE根据所述第一UE的授权令牌确定所述第一UE声明的角色后发送的。

可选的，在本公开的一个实施例之中，所述第一发现消息为根据所述第一UE请求发现的服务所对应的密钥信息保护；和/或，

所述第一响应消息为根据所述第二UE请求发现的服务所对应的密钥信息保护。

可选的，在本公开的一个实施例之中，所述装置还用于：

接收第二UE广播的第二发现消息，所述第二发现消息包括所述第二UE的授权令牌；

当根据所述第二UE的授权令牌验证所述第二UE声明的角色为所述网络设备授权的角色时，向所述第二UE发送第二响应消息。

可选的，在本公开的一个实施例之中，

所述第二发现消息还包括所述第二UE的角色；

在所述向所述第二UE发送第二响应消息之前，所述装置还用于：

确定所述第二UE的角色与所述第一UE的角色匹配。

可选的，在本公开的一个实施例之中，所述第二响应消息携带所述第一UE的授权令牌，用于所述第二UE确定所述第一UE声明的角色是否为所述网络设备授权的角色。

可选的，在本公开的一个实施例之中，所述第二发现消息为根据所述第二UE请求发现的服务所对应的密钥信息保护；和/或，

所述第二响应消息为根据所述第一UE请求发现的服务所对应的密钥信息保护。

图19为本公开实施例所提供的一种通信装置的结构示意图，如图19所示，装置可以包括：

综上所述，在本公开实施例提供的通信装置之中，第二UE可以向网络设备发送发现请求消息，该发现请求消息用于为第二UE请求授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证；之后，第二UE可以接收网络设备发送的发现响应消息，该发现响应消息包括第二UE的授权令牌。由此可知，本公开中，UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

可选的，在本公开的一个实施例之中，所述装置还用于：

接收第一UE广播的第一发现消息，所述第一发现消息包括所述第一UE的授权令牌；

当根据所述第一UE的授权令牌验证所述第一UE声明的角色为所述网络设备授权的角色时，向所述第一UE发送第一响应消息。

可选的，在本公开的一个实施例之中，所述第一发现消息还包括所述第一UE的角色；

所述装置还用于：

确定所述第二UE的角色与所述第一UE的角色是否匹配。

可选的，在本公开的一个实施例之中，所述装置还用于：

广播第二发现消息，用于发现邻近的UE，所述第二发现消息包括所述第二UE的授权令牌；

接收所述第一UE发送的第二响应消息，所述第二响应消息包括所述第一UE的授权令牌；

根据所述第一UE的授权令牌验证所述第一UE声明的角色是否为所述网络设备授权的角色。

可选的，在本公开的一个实施例之中，所述第二响应消息还包括所述第一UE的角色；

所述装置还用于：

确定所述第二UE的角色与所述第一UE的角色是否匹配。

图20为本公开实施例所提供的一种通信装置的结构示意图，如图20所示，装置可以包括：

综上所述，在本公开实施例提供的通信装置之中，第一UE的DDNMF网元或第一UE的PKMF网元会接收第一UE发送的发现请求消息，该发现请求消息用于为第一UE请求授权令牌，所述授权令牌用于对第一UE所声明的UE角色进行授权验证；之后，会向服务器或UDM网元发送第一授权请求消息；并接收服务器或UDM网元发送的第一授权响应消息，该第一授权响应消息包括服务器或UDM网元生成的第一UE的授权令牌；最后，第一UE的DDNMF网元或第一UE的PKMF网元会向第一UE发送发现响应消息，发现响应消息包括的授权令牌。由此可知，本公开中UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

可选的，在本公开的一个实施例之中，所述第一UE的授权令牌至少指示服务器或UDM网元为所述第一UE授权的角色；

所述第一UE的授权令牌用于：在发现过程中所述第一UE的对端UE对接收到的由所述第一UE传输的第一UE的角色进行授权验证。

所述第一UE对应的RAUID；

所述第一UE请求发现的服务；

所述第一UE支持的用于服务的能力。

可选的，在本公开的一个实施例之中，所述装置还用于：

基于所述第一授权信息为所述第一UE生成授权令牌。

可选的，在本公开的一个实施例之中，所述装置还用于：

接收第二UE的DDNMF网元或第二UE的PKMF网元发送的监听请求消息；

向服务器或UDM网元发送第二授权请求消息；

接收服务器或UDM网元发送的第二授权响应消息，所述第二授权响应消息包括第三授权信息，所述第三授权信息至少指示所述第一UE和所述第二UE在两UE请求发现的服务中的匹配关系；

向第二UE的DDNMF网元或第二UE的PKMF网元发送监听响应消息，所述监听响应消息包括所述第三授权信息。

图21a为本公开实施例所提供的一种通信装置的结构示意图，如图21a所示，装置可以包括：

所述收发模块，还用于接收所述服务器或UDM网元发送的第一授权响应消息，所述第一授权响应消息包括所述服务器或UDM网元生成的所述第二UE的授权令牌，或者包括所述第二授权信息，所述第二授权信息包括第二UE的授权相关的信息；

所述收发模块，还用于向所述第二UE发送发现响应消息，所述发现响应消息包括第二UE的授权令牌。

综上所述，在本公开实施例提供的通信装置之中，第二UE的DDNMF网元或第二UE的PKMF 网元会接收第二UE发送的发现请求消息，该发现请求消息用于为第二UE请求授权令牌，所述授权令牌用于对第二UE所声明的UE角色进行授权验证；之后，会向服务器或UDM网元发送第一授权请求消息；并接收服务器或UDM网元发送的第一授权响应消息，该第一授权响应消息包括服务器或UDM网元生成的第二UE的授权令牌；最后，第二UE的DDNMF网元或第二UE的PKMF网元会向第二UE发送发现响应消息，发现响应消息包括的授权令牌。由此可知，本公开中UE可以获取到网络设备为该UE生成的授权令牌，该授权令牌用于对UE所声明的UE角色进行授权验证。基于此，当后续UE之间进行发现过程时，两UE可以交互各自的授权令牌，以便两UE均可以基于对端UE的授权令牌来对对端UE声明的UE角色进行授权验证，从而避免了UE间的相互欺骗，提升了服务执行的准确性，还提升了信息安全性。同时，由于还会向UE发送UE请求发现的服务对应的密钥信息，该密钥信息可以用于：对UE后续发现其他UE的过程进行安全保护，以确保该UE在后续发现过程中传输UE的角色和UE的授权令牌时，不相关UE无法监听或篡改UE的角色，以及无法获取到UE的授权令牌，从而防止了不相关UE冒充该UE的角色，避免了后续服务执行的过程中其他不相关UE干扰，进一步提升了服务执行的准确性和信息安全性。

可选的，在本公开的一个实施例之中，所述第二UE的授权令牌至少指示服务器或UDM网元为所述第二UE授权的角色；

所述第二UE的授权令牌用于：在发现过程中所述第二UE的对端UE对接收到的由所述第二UE传输的第二UE的角色进行授权验证。

所述第二UE对应的RAUID；

所述第二UE请求发现的服务；

所述第二UE支持的用于服务的能力。

可选的，在本公开的一个实施例之中，所述装置还用于：

向第一UE的DDNMF网元或第一UE的PKMF网元发送监听请求消息；

接收第一UE的DDNMF网元或第一UE的PKMF网元发送的监听响应消息，所述监听响应消息包括第三授权信息，所述第三授权信息至少指示所述第一UE和所述第二UE在两UE请求发现的服务中的匹配关系；

基于所述第二授权信息以及所述第三授权信息生成第二UE的授权令牌。

图21b为本公开实施例所提供的一种通信装置的结构示意图，如图21b所示，装置可以包括：

综上所述，在本公开实施例提供的通信装置之中，服务器或UDM网元会接收第一UE和/或第二UE的DDNMF网元或PKMF网元发送的第一授权请求消息，该第一授权请求消息用于为第一UE和/或第二UE请求发现的服务请求授权角色；并会基于第一授权请求消息确定第一UE和/或第二UE的角色；之后，服务器或UDM网元会向第一UE和/或第二UE的DDNMF网元或PKMF网元发送第一授权响应消息，该第一授权响应消息包括所述第一UE和/或第二UE的角色。由此可知，本公开提供了一种对第一UE和/或第二UE在其请求发现的服务中授权角色方法，其中，该第一UE和/或第二UE的角色可以是服务器或UDM网元基于第一UE和/或第二UEUE的能力以及第一UE和/或第二UE在第一UE和/或第二UE请求发现的服务中所能被允许的角色确定的，从而可以保证能为该第一UE和/或第二UE正确授权角色，确保了服务执行时的准确性。

可选的，在本公开的一个实施例之中，所述装置还用于：

基于所述服务器或UDM网元为所述第一UE和/或第二UE授权的角色生成所述第一UE和/或第二UE的授权令牌。

可选的，在本公开的一个实施例之中，所述装置还用于：

基于所述第一UE和/或第二UE的签约信息确定所述第一授权信息和/或第二授权信息。

可选的，在本公开的一个实施例之中，所述装置还用于：

接收所述第一UE的DDNMF网元或第一UE的PKMF网元发送的第二授权请求消息；

向所述第一UE的DDNMF网元或第一UE的PKMF网元发送第二授权响应消息，所述第二授权响应消息包括第三授权信息，所述第三授权信息至少指示所述第一UE和所述第二UE在两UE请求发现的服务中的匹配关系。

可选的，在本公开的一个实施例之中，所述装置还用于：

基于所述第一UE的签约信息和第二UE的签约信息确定第三授权信息。

图22为本公开实施例所提供的一种通信系统的结构示意图，如图22所示，可以包括：

第一UE，用于发送发现请求消息；

第二UE，用于发送发现请求消息；

网络设备，用于发送发现响应消息，所述发现响应消息包括所述网络设备为所述第一UE和/或第二UE生成的授权令牌；

所述第一UE还用于：接收所述发现响应消息，所述发现响应消息包括所述网络设备为第一UE生成的授权令牌；

所述第二UE还用于：接收所述发现响应消息，所述发现响应消息包括所述网络设备为第二UE生成的授权令牌。

请参见图23，图23是本申请实施例提供的一种通信装置2300的结构示意图。通信装置2300可以是基站，也可以是终端设备，也可以是支持基站实现上述方法的芯片、芯片系统、或处理器等，还可以是支持终端设备实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

通信装置2300可以包括一个或多个处理器2301。处理器2301可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置(如，基站、基带芯片，终端设备、终端设备芯片，DU或CU等)进行控制，执行计算机程序，处理计算机程序的数据。

可选的，通信装置2300中还可以包括一个或多个存储器2302，其上可以存有计算机程序2304，处理器2301执行所述计算机程序2304，以使得通信装置2300执行上述方法实施例中描述的方法。可选的，所述存储器2302中还可以存储有数据。通信装置2300和存储器2302可以单独设置，也可以集成在一起。

可选的，通信装置2300还可以包括收发器2305、天线2306。收发器2305可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器2305可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。

可选的，通信装置2300中还可以包括一个或多个接口电路2307。接口电路2307用于接收代码指令并传输至处理器2301。处理器2301运行所述代码指令以使通信装置2300执行上述方法实施例中描述的方法。

在一种实现方式中，处理器2301中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，处理器2301可以存有计算机程序2303，计算机程序2303在处理器2301上运行，可使得通信装置2300执行上述方法实施例中描述的方法。计算机程序2303可能固化在处理器2301 中，该种情况下，处理器2301可能由硬件实现。

在一种实现方式中，通信装置2300可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的通信装置可以是基站或者终端设备，但本申请中描述的通信装置的范围并不限于此，而且通信装置的结构可以不受图23的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是：

(1)独立的集成电路IC，或芯片，或，芯片系统或子系统；

(2)具有一个或多个IC的集合，可选的，该IC集合也可以包括用于存储数据，计算机程序的存储部件；

(3)ASIC，例如调制解调器(Modem)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、基站、云设备、人工智能设备等等；

(6)其他等等。

对于通信装置可以是芯片或芯片系统的情况，可参见图24所示的芯片的结构示意图。图24所示的芯片包括处理器2401和接口2402。其中，处理器2401的数量可以是一个或多个，接口2402的数量可以是多个。

可选的，芯片还包括存储器2403，存储器2403用于存储必要的计算机程序和数据。

本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本申请实施例保护的范围。

本申请还提供一种可读存储介质，其上存储有指令，该指令被计算机执行时实现上述任一方法实施例的功能。

本申请还提供一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解：本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围，也表示先后顺序。

本申请中的至少一个还可以描述为一个或多个，多个可以是两个、三个、四个或者更多个，本申请不做限制。在本申请实施例中，对于一种技术特征，通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征，该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。

本申请中各表所示的对应关系可以被配置，也可以是预定义的。各表中的信息的取值仅仅是举例，可以配置为其他值，本申请并不限定。在配置信息与各参数的对应关系时，并不一定要求必须配置各表中示意出的所有对应关系。例如，本申请中的表格中，某些行示出的对应关系也可以不配置。又例如，可以基于上述表格做适当的变形调整，例如，拆分，合并等等。上述各表中标题示出参数的名称也可以采用通信装置可理解的其他名称，其参数的取值或表示方式也可以通信装置可理解的其他取值或表示方式。上述各表在实现时，也可以采用其他的数据结构，例如可以采用数组、队列、容器、栈、线性表、指针、链表、树、图、结构体、类、堆、散列表或哈希表等。

本申请中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种UE的授权令牌的生成方法，其特征在于，被网络设备执行，所述方法包括：

接收第一UE和/或第二UE发送的发现请求消息，所述发现请求消息用于为第一UE和/或第二UE请求授权令牌，所述授权令牌用于对UE所声明的UE角色进行授权验证；

向所述第一UE和/或第二UE发送发现响应消息，所述发现响应消息包括所述网络设备为所述第一UE和/或所述第二UE生成的授权令牌。
如权利要求1所述的方法，其特征在于，所述第一UE和/或所述第二UE的授权令牌至少指示服务器或统一数据管理UDM网元为所述第一UE和/或所述第二UE授权的角色。
如权利要求1所述的方法，其特征在于，所述第一UE的授权令牌用于：在发现过程中所述第一UE的对端UE对所述第一UE声明的第一UE的角色进行授权验证；

和/或，

所述第二UE的授权令牌用于：在发现过程中所述第二UE的对端UE对所述第二UE声明的第二UE的角色进行授权验证。
如权利要求1所述的方法，其特征在于，所述发现请求消息中包括以下至少一种：

应用程序用户标识RAUID；

服务的标识；

所述第一UE和/或第二UE的能力。
如权利要求1-4任一项所述的方法，其特征在于，所述网络侧设备包括：第一网元、第二网元和第三网元，所述第一网元包括所述第一UE的邻近通信服务名称管理功能DDNMF网元或第一UE的邻近通信服务密钥管理功能PKMF网元，所述第二网元包括所述第二UE的DDNMF网元或第二UE的PKMF网元，所述第三网元包括测距定位业务的服务器或UDM网元。
如权利要求5所述的方法，其特征在于，

所述网络设备接收所述第一UE发送的发现请求消息，包括：

所述第一网元接收所述第一UE发送的发现请求消息；

所述网络设备向所述第一UE发送发现响应消息，包括：

所述第一网元向所述第一UE发送发现响应消息；

所述方法还包括：

所述第一网元向第三网元发送第一授权请求消息；

所述第三网元向所述第一网元发送第一授权响应消息，所述第一授权响应消息包括第三网元生成的第一UE的授权令牌，或者第三网元确定的第一授权信息，所述第一授权信息包括第一UE的授权相关的信息。
如权利要求6所述的方法，其特征在于，所述方法还包括：

第一网元基于所述第一授权信息生成第一UE的授权令牌。
如权利要求5所述的方法，其特征在于，

所述网络设备接收所述第二UE发送的发现请求消息，包括：

所述第二网元接收所述第二UE发送的发现请求消息；

所述网络设备向所述第二UE发送发现响应消息，包括：

所述第二网元向所述第二UE发送发现响应消息；

所述方法还包括：

所述第二网元向第三网元发送第一授权请求消息；

所述第三网元向所述第二网元发送第一授权响应消息，所述第一授权响应消息包括第三网元生成的第二UE的授权令牌；或者第三网元确定的第二授权信息，所述第二授权信息包括第二UE的授权相关的信息。
如权利要求8所述的方法，其特征在于，所述方法还包括：

所述第二网元向第一网元发送监听请求消息；

所述第一网元向第三网元发送第二授权请求消息；

第三网元向所述第一网元发送第二授权响应消息，所述第二授权响应消息包括第三授权信息，所述第三授权信息至少指示所述第一UE的角色和所述第二UE的角色在两UE请求发现的服务中的匹配关系；

第一网元向第二网元发送监听响应消息，所述监听响应消息包括所述第三授权信息。
如权利要求9所述的方法，其特征在于，所述方法还包括：

所述第二网元基于所述第二授权信息以及所述第三授权信息生成第二UE的授权令牌。
一种UE的授权令牌的生成方法，其特征在于，被第一UE执行，所述方法包括：

向网络设备发送发现请求消息，所述发现请求消息用于为第一UE请求授权令牌，所述授权令牌用于对所述第一UE所声明的UE角色进行授权验证；

接收所述网络设备发送的发现响应消息，所述发现响应消息包括所述第一UE的授权令牌。
如权利要求11所述的方法，其特征在于，所述第一UE的授权令牌至少指示所述网络设备为所述第一UE授权的角色。
如权利要求11所述的方法，其特征在于，所述方法还包括：

广播第一发现消息，用于发现邻近的UE，其中，所述第一发现消息包括所述第一UE的授权令牌；

接收到所述第二UE发送第一响应消息；所述第一响应消息为所述第二UE根据所述第一UE的授权令牌确定所述第一UE声明的角色后发送的。
如权利要求13所述的方法，其特征在于，所述第一发现消息为根据所述第一UE请求发现的服务所对应的密钥信息保护；和/或，

所述第一响应消息为根据所述第二UE请求发现的服务所对应的密钥信息保护。
如权利要求11所述的方法，其特征在于，所述方法还包括：

接收第二UE广播的第二发现消息，所述第二发现消息包括所述第二UE的授权令牌；

当根据所述第二UE的授权令牌验证所述第二UE声明的角色为所述网络设备授权的角色时，向所述第二UE发送第二响应消息。
如权利要求15所述的方法，其特征在于，

所述第二发现消息还包括所述第二UE的角色；

在所述向所述第二UE发送第二响应消息之前，所述方法还包括：

确定所述第二UE的角色与所述第一UE的角色匹配。
如权利要求15或16所述的方法，其特征在于，所述第二响应消息携带所述第一UE的授权令牌，用于所述第二UE确定所述第一UE声明的角色是否为所述网络设备授权的角色。
如权利要求15所述的方法，其特征在于，所述第二发现消息为根据所述第二UE请求发现的服务所对应的密钥信息保护；和/或，

所述第二响应消息为根据所述第一UE请求发现的服务所对应的密钥信息保护。
一种UE的授权令牌的生成方法，其特征在于，被第二UE执行，所述方法包括：

向网络设备发送发现请求消息，所述发现请求消息用于为第二UE请求授权令牌，所述授权令牌用于对第二UE所声明的UE角色进行授权验证；

接收所述网络设备发送的发现响应消息，所述发现响应消息包括第二UE的授权令牌。
如权利要求19所述的方法，其特征在于，所述第二UE的授权令牌至少指示服务器或UDM网元为所述第二UE授权的角色。
如权利要求19所述的方法，其特征在于，所述方法还包括：

接收第一UE广播的第一发现消息，所述第一发现消息包括所述第一UE的授权令牌；

当根据所述第一UE的授权令牌验证所述第一UE声明的角色为所述网络设备授权的角色时，向所述第一UE发送第一响应消息。
如权利要求19所述的方法，其特征在于，

所述第一发现消息还包括所述第一UE的角色；

在所述向所述第一UE发送第一响应消息之前，所述方法还包括：

确定所述第二UE的角色与所述第一UE的角色是否匹配。
如权利要求21所述的方法，其特征在于，所述第一发现消息为根据所述第一UE请求发现的服务所对应的密钥信息保护；和/或，

所述第一响应消息为根据所述第二UE请求发现的服务所对应的密钥信息保护。
如权利要求19所述的方法，其特征在于，所述方法还包括：

广播第二发现消息，用于发现邻近的UE，所述第二发现消息包括所述第二UE的授权令牌；

接收所述第一UE发送的第二响应消息，所述第二响应消息包括所述第一UE的授权令牌；

根据所述第一UE的授权令牌验证所述第一UE声明的角色是否为所述网络设备授权的角色。
如权利要求24所述的方法，其特征在于，

所述第二响应消息还包括所述第一UE的角色；

所述方法还包括：

确定所述第二UE的角色与所述第一UE的角色是否匹配。
一种UE的授权令牌的生成方法，其特征在于，被第一UE的DDNMF网元或所述第一UE的PKMF网元执行执行，所述方法包括：

接收第一UE发送的发现请求消息，所述发现请求消息用于为第一UE请求授权令牌，所述授权令牌用于对第一UE所声明的UE角色进行授权验证；

向服务器或UDM网元发送第一授权请求消息；

接收所述服务器或UDM网元发送的第一授权响应消息，所述第一授权响应消息包括所述服务器或UDM网元生成的所述第一UE的授权令牌，或者包括所述第一授权信息，所述第一授权信息包括第一UE的授权相关的信息；

向所述第一UE发送发现响应消息，所述发现响应消息包括第一UE的授权令牌。
如权利要求26所述的方法，其特征在于，所述第一UE的授权令牌至少指示服务器或UDM网元为所述第一UE授权的角色。
如权利要求26所述的方法，其特征在于，所述第一UE的授权令牌用于：在发现过程中所述第一UE的对端UE对接收到的由所述第一UE传输的第一UE的角色进行授权验证。
如权利要求26所述的方法，其特征在于，所述发现请求消息中包括以下至少一种：

所述第一UE对应的RAUID；

所述第一UE请求发现的服务；

所述第一UE支持的用于服务的能力。
如权利要求26所述的方法，其特征在于，所述方法还包括：

基于所述第一授权信息为所述第一UE生成授权令牌。
如权利要求26所述的方法，其特征在于，所述方法还包括：

接收第二UE的DDNMF网元或第二UE的PKMF网元发送的监听请求消息；

向服务器或UDM网元发送第二授权请求消息；

接收服务器或UDM网元发送的第二授权响应消息，所述第二授权响应消息包括第三授权信息，所述第三授权信息至少指示所述第一UE和所述第二UE在两UE请求发现的服务中的匹配关系；

向第二UE的DDNMF网元或第二UE的PKMF网元发送监听响应消息，所述监听响应消息包括所述第三授权信息。
一种UE的授权令牌的生成方法，其特征在于，被第二UE的DDNMF网元或第二UE的PKMF网元执行，所述方法包括：

接收第二UE发送的发现请求消息，所述发现请求消息用于为第二UE请求授权令牌，所述授权令牌用于对第二UE所声明的UE角色进行授权验证；

向服务器或UDM网元发送第一授权请求消息；

接收所述服务器或UDM网元发送的第一授权响应消息，所述第一授权响应消息包括所述服务器或 UDM网元生成的第二UE的授权令牌，或者所述第二授权信息，所述第二授权信息包括第二UE的授权相关的信息；

向所述第二UE发送发现响应消息，所述发现响应消息包括所述第二UE的授权令牌。
如权利要求32所述的方法，其特征在于，所述第二UE的授权令牌至少指示服务器或UDM网元为所述第二UE授权的角色。
如权利要求32所述的方法，其特征在于，所述第二UE的授权令牌用于：在发现过程中所述第二UE的对端UE对接收到的由所述第二UE传输的第二UE的角色进行授权验证。
如权利要求32所述的方法，其特征在于，所述发现请求消息中包括以下至少一种：

所述第二UE对应的RAUID；

所述第二UE请求发现的服务；

所述第二UE支持的用于服务的能力。
如权利要求32所述的方法，其特征在于，所述方法还包括：

向第一UE的DDNMF网元或第一UE的PKMF网元发送监听请求消息；

接收第一UE的DDNMF网元或第一UE的PKMF网元发送的监听响应消息，所述监听响应消息包括第三授权信息，所述第三授权信息至少指示所述第一UE和所述第二UE在两UE请求发现的服务中的匹配关系；

基于所述第二授权信息以及所述第三授权信息生成第二UE的授权令牌。
一种UE的授权令牌的生成方法，其特征在于，被服务器或UDM网元执行，所述方法包括：

接收第一UE和/或第二UE的DDNMF网元或PKMF网元发送的第一授权请求消息，所述第一授权请求消息用于为第一UE和/或第二UE请求授权令牌，所述授权令牌用于对UE所声明的UE角色进行授权验证；

向所述第一UE和/或第二UE的DDNMF网元或PKMF网元发送第一授权响应消息，所述第一授权响应消息包括所述第一UE和/或第二UE的授权令牌，或者所述第一授权信息和/或第二授权信息；其中，所述第一授权信息包括第一UE的授权相关的信息，所述第二授权信息包括第二UE的授权相关的信息。
如权利要求37所述的方法，其特征在于，所述方法还包括：

基于所述服务器或UDM网元为所述第一UE和/或第二UE授权的角色生成所述第一UE和/或第二UE的授权令牌。
如权利要求37所述的方法，其特征在于，所述方法还包括：

基于所述第一UE和/或第二UE的签约信息确定所述第一授权信息和/或第二授权信息。
如权利要求39所述的方法，其特征在于，所述方法还包括：

接收所述第一UE的DDNMF网元或第一UE的PKMF网元发送的第二授权请求消息；

向所述第一UE的DDNMF网元或第一UE的PKMF网元发送第二授权响应消息，所述第二授权响应消息包括第三授权信息，所述第三授权信息至少指示所述第一UE和所述第二UE在两UE请求发现的服务中的匹配关系。
如权利要求40所述的方法，其特征在于，所述方法还包括：

基于所述第一UE的签约信息和第二UE的签约信息确定第三授权信息。
一种通信装置，被配置在网络设备中，包括：

收发模块，用于接收第一UE和/或第二UE发送的发现请求消息，所述发现请求消息用于为第一UE和/或第二UE请求授权令牌，所述授权令牌用于对UE所声明的UE角色进行授权验证；

所述收发模块，还用于向所述第一UE和/或第二UE发送发现响应消息，所述发现响应消息包括所述网络设备为所述第一UE和/或所述第二UE生成的授权令牌。
一种通信装置，被配置在第一UE中，包括：

收发模块，用于向网络设备发送发现请求消息，所述发现请求消息用于为第一UE请求授权令牌，所述授权令牌用于对第一UE所声明的UE角色进行授权验证；

所述收发模块，还用于接收所述网络设备发送的发现响应消息，所述发现响应消息包括所述第一UE的授权令牌。
一种通信装置，被配置在第二UE中，包括：

收发模块，用于向网络设备发送发现请求消息，所述发现请求消息用于为第二UE请求授权令牌，所述授权令牌用于对第二UE所声明的UE角色进行授权验证；

所述收发模块，还用于接收所述网络设备发送的发现响应消息，所述发现响应消息包括第二UE的授权令牌。
一种通信装置，被配置在第一UE的DDNMF网元或所述第一UE的PKMF网元执行中，包括：

收发模块，用于接收第一UE发送的发现请求消息，所述发现请求消息用于为第一UE请求授权令牌，所述授权令牌用于对第一UE所声明的UE角色进行授权验证；

所述收发模块，还用于向服务器或UDM网元发送第一授权请求消息；

所述收发模块，还用于接收所述服务器或UDM网元发送的第一授权响应消息，所述第一授权响应消息包括所述服务器或UDM网元生成的所述第一UE的授权令牌，或者包括所述第一授权信息，所述第一授权信息包括第一UE的授权相关的信息；

所述收发模块，还用于向所述第一UE发送发现响应消息，所述发现响应消息包括第一UE的授权令牌。
一种通信装置，被配置在被第二UE的DDNMF网元或第二UE的PKMF网元中，包括：

收发模块，用于接收第二UE发送的发现请求消息，所述发现请求消息用于为第二UE请求授权令牌，所述授权令牌用于对第二UE所声明的UE角色进行授权验证；

所述收发模块，还用于向服务器或UDM网元发送第一授权请求消息；

所述收发模块，还用于接收所述服务器或UDM网元发送的第一授权响应消息，所述第一授权响应消息包括所述服务器或UDM网元生成的第二UE的授权令牌，或者所述第二授权信息，所述第二授权信息包括第二UE的授权相关的信息；

所述收发模块，还用于向所述第二UE发送发现响应消息，所述发现响应消息包括所述第二UE的授权令牌。
一种通信装置，被配置在服务器或UDM网元执行，包括：

收发模块，用于接收第一UE和/或第二UE的DDNMF网元或PKMF网元发送的第一授权请求消息，所述第一授权请求消息用于为第一UE和/或第二UE请求授权令牌，所述授权令牌用于对UE所声明的UE角色进行授权验证；

所述收发模块，用于向所述第一UE和/或第二UE的DDNMF网元或PKMF网元发送第一授权响应消息，所述第一授权响应消息包括所述第一UE和/或第二UE的授权令牌，或者所述第一授权信息和/或第二授权信息；其中，所述第一授权信息包括第一UE的授权相关的信息，所述第二授权信息包括第二UE的授权相关的信息。
一种通信装置，其特征在于，所述装置包括处理器和存储器，其中，所述存储器中存储有计算机程序，所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求1至10中任一项所述的方法，或所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求11至18中任一项所述的方法，或所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求19至25中任一项所述的方法，或所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求26至31中任一项所述的方法，或所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求32至36中任一项所述的方法，或所述处理器执行所述存储器中存储的计算机程序，以使所述装置执行如权利要求37至41中任一项所述的方法。
一种通信装置，其特征在于，包括：处理器和接口电路，其中

所述接口电路，用于接收代码指令并传输至所述处理器；

所述处理器，用于运行所述代码指令以执行如权利要求1至10中任一项所述的方法，或用于运行所述代码指令以执行如权利要求11至18中任一项所述的方法，或用于运行所述代码指令以执行如权利要求19至25中任一项所述的方法，或用于运行所述代码指令以执行如权利要求26至31中任一项所述的方法，或用于运行所述代码指令以执行如权利要求32至36中任一项所述的方法，或用于运行所述代码指令以执行如权利要求37至41中任一项所述的方法。
一种通信系统，其特征在于，包括：

第一UE，用于发送发现请求消息；

第二UE，用于发送发现请求消息；

网络设备，用于发送发现响应消息，所述发现响应消息包括所述网络设备为所述第一UE和/或第二UE生成的授权令牌；

所述第一UE还用于：接收所述发现响应消息，所述发现响应消息包括所述网络设备为第一UE生成的授权令牌；

所述第二UE还用于：接收所述发现响应消息，所述发现响应消息包括所述网络设备为第二UE生成的授权令牌。
一种计算机可读存储介质，用于存储有指令，当所述指令被执行时，使如权利要求1至10中任一项所述的方法被实现，或当所述指令被执行时，使如权利要求11至18中任一项所述的方法被实现，或当所述指令被执行时，使如权利要求19至25中任一项所述的方法被实现，或当所述指令被执行时，使如权利要求26至31中任一项所述的方法被实现，或当所述指令被执行时，使如权利要求32至36中任一项所述的方法被实现，或当所述指令被执行时，使如权利要求37至41中任一项所述的方法被实现。