用户设备之间进行安全通信的方法及装置与流程

本发明涉及通信技术领域，尤其涉及一种用户设备之间进行安全通信的方法及装置。

背景技术：

prose(proximityservice，近距离业务)是3gpp(3rdgenerationpartnershipproject，第3代合作伙伴)最新定义的基于lte(longtermevolution，长期演进)技术的ue(userequipment，用户设备)之间通信的技术。

ue之间在prose场景下进行通信时，可通过网络辅助在ue间进行通信，也可以直接在ue间进行通信，无论哪种通信场景，ue间直接进行通信时，都需要进行双向认证以确认对端身份真实性，并生成密钥保证通信数据的安全性。

一般的，当前技术中ue之间进行双向认证时，在有ip协议层的两个实体间的双向认证，认证过程在ip层完成并生成密钥，认证过程中生成的密钥能保护ip层及以上层通信数据的安全，但是在prose通信场景下，ue间进行通信时还可能有控制面和用户面等下层的通信数据，在ip层生成的密钥无法保护下层通信数据的安全性，ue之间进行通信的安全性较低。

技术实现要素：

本发明实施例提供一种用户设备之间进行安全通信的方法及装置，以提高ue之间通信的安全性。

第一方面，提供一种用户设备之间进行安全通信的方法，包括：

第一用户设备与第二用户设备分别配置证书；

所述第一用户设备与所述第二用户设备，基于所述证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥；

所述第一用户设备与所述第二用户设备，根据所述第一密钥进行密钥推演，得到加密密钥和完保密钥；

利用所述加密密钥和所述完保密钥对所述第一用户设备与所述第二用户设备之间的通信数据进行安全保护。

结合第一方面，在第一种可能的实现方式中，配置证书，包括：

本地配置证书，或者通过网络向证书颁发机构注册证书；

所述证书包括：当前用户设备所属本地公用陆地移动网络hplmn的证书，以及与当前用户设备进行认证的各个目标用户设备所属本地公用陆地移动网络hplmn的根证书。

结合第一方面、第一方面的第一种可能实现方式，在第二种可能的实现方式中，基于所述证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥，包括：

根据所述证书在ip层基于因特网密钥交换ike，进行双向认证，协商生成ip层密钥，作为所述第一密钥。

结合第一方面、第一方面的第一种可能实现方式，在第三种可能的实现方式中，基于所述证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥，包括：

将证书携带在无线传输信令中向对端用户设备发送，并进行证书的认证；

当证书认证通过后，将自身推演生成的通信密钥作为所述第一密钥，或者获取对端用户设备发送的通信密钥作为所述第一密钥，所述通信密钥推演的输入参数包括组标识id和/或随机数，所述组标识id为用户设备之间进行通信时所属通信组的标识。

结合第一方面的第三种可能实现方式，在第四种可能的实现方式中，将证书携带在无线传输信令中向对端用户设备发送之前，还包括：

与对端用户设备进行迪菲-赫尔曼dh交换，协商出共享密钥；

利用所述共享密钥对所述证书或所述证书的标识进行加密。

结合第一方面，在第五种可能的实现方式中，所述根据所述第一密钥进行密钥推演，得到加密密钥和完保密钥，包括：

根据所述第一密钥、以及当前用户设备的ip地址和/或对端用户设备的ip地址，进行密钥推演，得到加密密钥和完保密钥。

第二方面，提供一种用户设备之间进行安全通信的方法，包括：

对与当前用户设备进行通信的对端用户设备进行认证；

当认证通过后，生成第一随机数，根据组标识id和所述第一随机数生成通信密钥，所述组标识id为当前用户设备与对端用户设备进行通信时所属通信组的标识；

根据所述通信密钥，推演当前用户设备与对端用户设备之间进行单播通信时的加密密钥和/或完保密钥，并利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。

结合第二方面，在第一种可能的实现方式中，利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，该方法还包括：

利用对端用户设备的公钥，对所述第一随机数进行加密；

将加密后的所述第一随机数发送给所述对端用户设备，并接收所述对端用户设备发送第二随机数，所述第二随机数为所述对端用户设备对加密后的第一随机数解密后，并利用当前用户设备的公钥，重新加密的随机数；

确定所述第二随机数与所述第一随机数相同。

结合第二方面，在第二种可能的实现方式中，利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，该方法还包括：

利用共享密钥，对所述第一随机数进行加密；

将加密后的所述第一随机数发送给所述对端用户设备，接收所述对端用户设备发送第二随机数，所述第二随机数为所述对端用户设备对加密后的第一随机数解密后并利用共享密钥，重新加密的随机数；

确定所述第二随机数与所述第一随机数相同。

结合第二方面、第二方面的第一种可能实现方式或第二方面的第二种可能实现方式，在第三种可能的实现方式中，根据组标识id和所述第一随机数生成通信密钥之后，该方法还包括：

利用共享密钥或对端用户设备的公钥，对所述通信密钥进行加密；

将加密后的通信密钥发送给所述对端用户设备，指示所述对端用户设备根据加密后的通信密钥，推演与当前用户设备之间进行单播通信时的加密密钥和/或完保密钥，并利用推演的加密密钥和/或完保密钥，对与当前用户设备之间进行单播通信时的通信数据进行安全保护。

结合第二方面、第二方面的第一种可能实现方式或第二方面的第二种可能实现方式，在第四种可能的实现方式中，利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，该方法还包括：

利用共享密钥或对端用户设备的公钥，对所述加密密钥和/或完保密钥进行加密；

将加密后的加密密钥和/或完保密钥发送给所述对端用户设备，指示所述对端用户设备对所述加密后的加密密钥和/或完保密钥进行解密，并使用解密后的加密密钥和/或完保密钥对与当前用户设备之间进行单播通信时的通信数据进行安全保护。

第三方面，提供一种用户设备之间进行安全通信的方法，包括：

对与当前用户设备进行通信的对端用户设备进行认证；

当认证通过后，生成随机序列，根据所述随机序列获取组播密钥；

根据所述组播密钥，确定当前用户设备与对端用户设备之间进行组播通信时的加密密钥和/或完保密钥，并利用所述加密密钥和/或完保密钥对当前用户设备与对端用户设备之间进行组播通信时的通信数据进行安全保护。

结合第三方面，在第一种可能的实现方式中，确定当前用户设备与对端用户设备之间进行组播通信时的加密密钥和/或完保密钥之后，该方法还包括：

利用共享密钥或对端用户设备的公钥，对所述加密密钥和/或完保密钥进行加密；

将加密后的加密密钥和/或完保密钥发送给所述对端用户设备，并指示所述对端用户设备对加密后的加密密钥和/或完保密钥解密，并使用解密后的加密密钥和/或完保密钥对与当前用户设备进行组播通信时的通信数据进行安全保护。

第四方面提供一种用户设备之间进行安全通信的方法，包括：

对与当前用户设备进行通信的对端用户设备进行认证；

当认证通过后，获取所述对端用户设备发送的通信密钥，所述通信密钥为所述对端用户设备根据组标识id和/或第一随机数生成的密钥，所述组标识id为当前用户设备与对端用户设备进行通信时所属通信组的标识；

根据所述通信密钥推演加密密钥和/或完保密钥，利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。

第五方面，提供一种安全通信装置，包括配置单元、认证单元、密钥生成单元和数据保护单元，其中，

所述配置单元，对第一用户设备与第二用户设备分别配置证书，并将配置的证书向所述认证单元传输；

所述认证单元，接收所述配置单元传输的证书，并基于所述证书，对所述第一用户设备与所述第二用户设备进行双向认证并协商密钥，获取证书认证后生成的第一密钥，并将该生成的第一密钥向所述密钥生成单元发送；

所述密钥生成单元，接收认证单元发送的第一密钥，并根据所述第一密钥进行密钥推演，得到加密密钥和完保密钥，将得到的加密密钥和完保密钥向所述数据保护单元发送；

所述数据保护单元，利用密钥生成单元发送的所述加密密钥和所述完保密钥对所述第一用户设备与所述第二用户设备之间的通信数据进行安全保护。

结合第五方面，在第一种可能的实现方式中，所述配置单元，具体用于：

本地配置证书，或者通过网络向证书颁发机构注册证书；

所述证书包括：当前用户设备所属本地公用陆地移动网络hplmn的证书，以及与当前用户设备进行认证的各个目标用户设备所属本地公用陆地移动网络hplmn的根证书。

结合第五方面或者第五方面的第一种可能实现方式，在第二种可能的实现方式中，所述认证单元，具体用于：

根据所述证书在ip层基于因特网密钥交换ike，进行双向认证，协商生成ip层密钥，作为所述第一密钥。

结合第五方面或者第五方面的第一种可能实现方式，在第三种可能的实现方式中，所述认证单元，具体用于：

将证书携带在无线传输信令中向对端用户设备发送，并进行证书的认证；

当证书认证通过后，将自身推演生成的通信密钥作为所述第一密钥，或者获取对端用户设备发送的通信密钥作为所述第一密钥，所述通信密钥推演的输入参数包括组标识id和/或随机数，所述组标识id为用户设备之间进行通信时所属通信组的标识。

结合第五方面的第三种可能实现方式，在第四种可能的实现方式中，所述认证单元，还用于：

将证书携带在无线传输信令中向对端用户设备发送之前，与对端用户设备进行迪菲-赫尔曼dh交换，协商出共享密钥；

利用所述共享密钥对所述证书或所述证书的标识进行加密。

结合第五方面，在第五种可能的实现方式中，所述密钥生成单元，具体用于：

根据所述第一密钥、以及当前用户设备的ip地址和/或对端用户设备的ip地址，进行密钥推演，得到加密密钥和完保密钥。

第六方面，提供一种通信装置，包括认证单元、密钥生成单元和数据保护单元，其中，

所述认证单元，用于对与当前用户设备进行通信的对端用户设备进行认证，当认证通过后，向所述密钥生成单元发送认证通过的信息；

所述密钥生成单元，当接收到所述认证单元发送的认证通过的信息时，生成第一随机数，根据组标识id和所述第一随机数生成通信密钥，所述组标识id为当前用户设备与对端用户设备进行通信时所属通信组的标识；并根据所述通信密钥，推演当前用户设备与对端用户设备之间进行单播通信时的加密密钥和/或完保密钥，将推演得到的加密密钥和/或完保密钥向所述数据保护单元发送；

所述数据保护单元，利用所述密钥生成单元推演得到的所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。

结合第六方面，在第一种可能的实现方式中，所述数据保护单元，还用于：

在利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，利用对端用户设备的公钥，对所述第一随机数进行加密；

将加密后的所述第一随机数发送给所述对端用户设备，并接收所述对端用户设备发送第二随机数，所述第二随机数为所述对端用户设备对加密后的第一随机数解密后，并利用当前用户设备的公钥，重新加密的随机数；

确定所述第二随机数与所述第一随机数相同。

结合第六方面，在第二种可能的实现方式中，所述数据保护单元，还用于：

在利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，利用共享密钥，对所述第一随机数进行加密；

将加密后的所述第一随机数发送给所述对端用户设备，接收所述对端用户设备发送第二随机数，所述第二随机数为所述对端用户设备对加密后的第一随机数解密后并利用共享密钥，重新加密的随机数；

确定所述第二随机数与所述第一随机数相同。

结合第六方面、第六方面的第一种可能实现方式或第六方面的第二种可能实现方式，在第三种可能的实现方式中，所述密钥生成单元，还用于：根据组标识id和所述第一随机数生成通信密钥之后，利用共享密钥或对端用户设备的公钥，对所述通信密钥进行加密；将加密后的通信密钥发送给所述对端用户设备，指示所述对端用户设备根据加密后的通信密钥，推演与当前用户设备之间进行单播通信时的加密密钥和/或完保密钥；

所述数据保护单元，还用于，利用对端用户设备推演得到的加密密钥和/或完保密钥，对与当前用户设备之间进行单播通信时的通信数据进行安全保护。

结合第六方面、第六方面的第一种可能实现方式或第六方面的第二种可能实现方式，在第四种可能的实现方式中，所述数据保护单元，还用于：

在利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，利用共享密钥或对端用户设备的公钥，对所述加密密钥和/或完保密钥进行加密；

将加密后的加密密钥和/或完保密钥发送给所述对端用户设备，指示所述对端用户设备对所述加密后的加密密钥和/或完保密钥进行解密，并使用解密后的加密密钥和/或完保密钥对与当前用户设备之间进行单播通信时的通信数据进行安全保护。

第七方面，提供一种通信装置，包括认证单元、密钥生成单元和数据保护单元，其中，

所述认证单元，用于对与当前用户设备进行通信的对端用户设备进行认证，当认证通过后，向所述密钥生成单元发送认证通过的信息；

所述密钥生成单元，用于当接收到所述认证单元发送的认证通过的信息时，生成随机序列，根据所述随机序列获取组播密钥；根据所述组播密钥，确定当前用户设备与对端用户设备之间进行组播通信时的加密密钥和/或完保密钥，将推演得到的加密密钥和/或完保密钥向所述数据保护单元发送；

所述数据保护单元，利用所述密钥生成单元推演得到的所述加密密钥和/或完保密钥对当前用户设备与对端用户设备之间进行组播通信时的通信数据进行安全保护。

结合第七方面，在第一种可能的实现方式中，所述数据保护单元，还用于：

确定当前用户设备与对端用户设备之间进行组播通信时的加密密钥和/或完保密钥之后，利用共享密钥或对端用户设备的公钥，对所述加密密钥和/或完保密钥进行加密；

将加密后的加密密钥和/或完保密钥发送给所述对端用户设备，并指示所述对端用户设备对加密后的加密密钥和/或完保密钥解密，并使用解密后的加密密钥和/或完保密钥对与当前用户设备进行组播通信时的通信数据进行安全保护。

第八方面，提供一种通信装置，包括：认证单元、密钥生成单元和数据保护单元，其中，

所述认证单元，用于对与当前用户设备进行通信的对端用户设备进行认证，当认证通过后，向所述密钥生成单元发送认证通过的信息；

所述密钥生成单元，当接收到所述认证单元发送的认证通过的信息后，获取所述对端用户设备发送的通信密钥，根据所述通信密钥推演加密密钥和/或完保密钥，将推演得到的加密密钥和/或完保密钥向所述数据保护单元发送，所述通信密钥为所述对端用户设备根据组标识id和/或第一随机数生成的密钥，所述组标识id为当前用户设备与对端用户设备进行通信时所属通信组的标识；

所述数据保护单元，利用所述密钥生成单元推演得到的所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。

本发明实施例提供的用户设备之间进行安全通信的方法及装置，基于证书进行双向认证并协商密钥，根据证书认证后生成的第一密钥进行密钥推演，得到加密密钥和完保密钥，并利用加密密钥和完保密钥对通信数据进行安全保护，能够对用户设备之间进行通信中的全部通信数据进行安全保护，进而为用户设备之间的通信提供安全保证。

附图说明

图1为本发明实施例提供的认证方法流程示意图；

图2为本发明实施例提供的基于ike认证的示意图；

图3为本发明实施例提供的基于ike认证的另一示意图；

图4为proseue工作在公共安全领域利用组播或广播通信示意图；

图5a-图5b为本发明实施例中ue与go之间认证示意图；

图6a-图6b为本发明实施例中ue与go之间认证另一示意图；

图7为本发明实施例提供的通信装置结构示意图；

图8为本发明实施例提供的又一通信装置结构示意图；

图9为本发明实施例提供的通信控制器构成示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

如图1所示为本发明实施例一提供的ue之间通信场景下，ue之间进行安全通信过程示意图，包括：

s101：第一ue与第二ue分别配置证书。

本发明实施例中，第一ue与第二ue进行证书配置时，可采用本地配置方式，也可采用通过网络连接向证书颁发机构注册证书的方式。

s102：基于证书认证并协商密钥，获取认证后生成的第一密钥。

本发明实施例中进行通信的第一ue和第二ue基于s101中配置的证书，进行双向认证以及协商密钥，并分别获取认证后生成的第一密钥。

s103：根据获取的第一密钥进行密钥推演，得到加密密钥和完保密钥。

s104：利用s103中得到的加密密钥和完保密钥对通信数据进行安全保护。

本发明实施例中，基于证书进行ue之间的双向认证，并根据证书认证后生成的第一密钥进行密钥推演，得到加密密钥和完保密钥，利用加密密钥和完保密钥对第一ue与第二ue之间的通信数据进行安全保护，为ue间直接通信的通信场景中设备之间的通信提供安全保证。

本发明实施例中，以prose通信场景为例进行说明，ue进行证书配置时，可通过e-utran(evolveduniversalterrestrialradioaccessnetwork,演进通用陆地无线接入网)网络与证书颁发机构连接，注册证书，也可采用本地配置方式，注册证书。并且进行证书配置时，配置自身所属hplmn(homepubliclandmobilenetwork，本地公用陆地移动网络)颁发的证书，以及其它可能与当前ue进行证书认证的目标ue所属的hplmn根证书，进而实现在不同安全域内ue之间的证书认证。

进一步的，本发明实施例中proseue基于证书进行双向认证时，可在ip层基于ike(internetkeyexchange，因特网密钥交换)进行双向认证，，协商生成ip层密钥，作为所述第一密钥；也可在无线信令中携带证书，进行双向认证，当证书认证通过后，将自身推演生成的通信密钥作为第一密钥，或者获取对端用户设备发送的通信密钥作为第一密钥，其中，通信密钥推演的输入参数包括组标识id和/或随机数，该组标识为用户设备之间进行单播通信时所属通信组的标识。

本发明以下实施例将结合具体的应用场景对实施例一涉及的认证方法进行详细说明。

实施例二

本发明实施例二中ue之间在ip层基于ike进行认证，并且ue通过e-utran网络与证书颁发机构连接，注册自己所属hplmn的证书，以及可能的目标ue所属的其他plmn根证书，因此本发明实施例二适用于有网络覆盖的prose通信场景，具体实现过程如图2所示，包括：

s201：ue1与prosefunction(近距离业务功能实体)建立网络连接并建立安全关联。

具体的，本发明实施例中ue1在出厂之前会预置厂商证书，以及prosefunction根证书，ue1接入e-utran网络，获得ip网络连接，与prosefunction建立网络连接实现双向认证，并建立安全关联。

s202：ue1获取prose信息，并注册hplmn的证书，以及目标用户设备ue所属的各个plmn根证书列表。

具体的，ue1从prosefunction获得prose配置信息，注册ue1在hplmn的证书。另外，prosefunction会根据ue1请求的plmnid向其他plmn的prosefunction(或证书颁发机构)请求各目标ue所属的plmn的根证书，prosefunction得到响应以后，向ue1提供各个plmn根证书，使ue1注册通过prosefunction实体配置目标用户设备ue所属的证书。

s203：ue2采用与ue1相同的方法，通过prosefunction实体配置hplmn的证书，以及目标用户设备ue所属的各个plmn根证书组成的根证书列表。

s204：ue1与ue2在ip层基于ike进行证书认证，建立安全关联隧道ipsec，并依据ipsec生成ip层密钥kd。

具体的，本发明实施例中ue1与ue2在ip层基于ike进行证书认证，建立ipsec，依据ipsec生成ip层密钥kd，获取ip层密钥kd作为推演加密密钥和完保密钥的第一密钥。

s205a：ue1根据ipsec生成的ip层密钥kd进行密钥推演，得到加密密钥kenc和完保密钥kint。

s205b：ue2根据ipsec生成的ip层密钥kd进行密钥推演，得到加密密钥kenc和完保密钥kint。

具体的，进行加密密钥kenc和完保密钥kint推演时，可根据ipsec生成的ip层密钥kd、以及当前ue的ip地址和/或对端ue的ip地址进行密钥推演，当然还可以根据例如ip头部信息等其他标识信息进行密钥推演。例如ue1进行加密密钥kenc和完保密钥kint推演时，可根据ipsec生成的ip层密钥kd、以及ue1的ip地址和/或ue2的ip地址进行密钥推演。

需要说明的是，s205a和s205b执行过程不分先后，也可以是同时进行的，当推演得到加密密钥kenc和完保密钥kint，可将加密密钥kenc和完保密钥kint发送给ip层以下的安全层，该安全层可以是接入侧、非接入层或者其它层。

s206：利用s205a和s205b中得到的加密密钥kenc和完保密钥kint，对通信数据进行安全保护。

具体的，ue1与ue2之间通过激活过程协商算法，启动安全保护，利用s205a和s205b中得到的加密密钥kenc和完保密钥kint，对ue1与ue2之间的通信数据进行安全保护。

本发明实施例中ue1与ue2进行证书注册时，不仅注册hplmn的证书，还注册可能的目标ue所属的plmn的根证书，使得不同安全域中的ue可以进行证书认证，并且基于ike进行证书认证，根据证书认证后生成的ip层密钥进行密钥推演，得到加密密钥和完保密钥，利用加密密钥和完保密钥对通信数据进行安全保护，能够为prose通信场景中ue之间的通信提供安全保证。

实施例三

本发明实施例三中ue间在ip层基于ike进行证书认证，并且ue通过本地配置方式，注册自己所属hplmn的证书，以及可能目标ue所属的其他plmn根证书，因此本发明实施例三中注册证书时，不需要接入网络，因此本发明实施例三提供的认证方法，适用于有网络覆盖和无网络覆盖的prose通信场景，具体实现过程如图3所示，包括：

s301a：ue1通过本地配置方式，注册ue1的hplmn证书以及可能的目标ue的prose应用所属plmn的根证书。

s301b：ue2通过本地配置方式，注册ue2的hplmn证书以及可能目标ue的prose应用所属plmn的根证书。

具体的，本发明实施例中ue1和ue2在出厂之前会预置厂商证书，以及prosefunction根证书。

s302：ue1与ue2在ip层基于ike进行证书认证，建立安全关联隧道ipsec，并依据ipsec生成ip层密钥kd。

具体的，本发明实施例中ue1与ue2在ip层基于ike进行证书认证，建立ipsec，依据ipsec生成ip层密钥kd，获取ip层密钥kd作为推演加密密钥和完保密钥的第一密钥。

s303a：ue1根据ipsec生成的ip层密钥kd进行密钥推演，得到加密密钥kenc和完保密钥kint。

s303b：ue2根据ipsec生成的ip层密钥kd进行密钥推演，得到加密密钥kenc和完保密钥kint。

需要说明的是，s303a和s303b执行过程不分先后，也可以是同时进行的，当推演得到加密密钥kenc和完保密钥kint，可将加密密钥kenc和完保密钥kint发送给ip层以下的安全层，该安全层可以是接入侧、非接入层或者其它层。

s304：利用s303a和s303b中得到的加密密钥kenc和完保密钥kint，对通信数据进行安全保护。

具体的，ue1与ue2之间通过激活过程协商算法，启动安全保护，利用s303a和s303b中得到的加密密钥kenc和完保密钥kint，对ue1与ue2之间的通信数据进行安全保护。

本发明实施例中ue1与ue2进行证书注册时，不仅注册hplmn的证书，还注册可能的目标ue所属的plmn的根证书，使得不同安全域中的ue可以进行证书认证，并且基于ike进行证书认证，根据证书认证后生成的ip层密钥进行密钥推演，得到加密密钥和完保密钥，利用加密密钥和完保密钥对通信数据进行安全保护，能够为prose通信场景中ue之间的通信提供安全保证。

进一步的，为对ue之间直接进行通信时的通信数据进行安全保护，本发明实施例以下将对完成ue认证后生成密钥的过程进行详细说明。

本发明实施例仍以ue工作在prose场景下为例进行说明，proseue工作在公共安全通信领域，通常以组播或广播方式在ue与go(groupowner，组长)之间进行通信，如图4所示。ue与go之间基于证书或者共享密钥完成认证后，go生成适应单播通信场景下的加密密钥和/或完保密钥，以及适应组播通信场景下的加密密钥和/或完保密钥。

进一步的，ue与go进行单播通信时，当ue加入go所管属的通信组时，go会为该通信组生成一个组标识id，本发明实施例中ue与go进行单播通信时，go完成与其进行通信的对端ue认证后，生成第一随机数，并根据组标识id和该第一随机数生成go与对端ue共享的通信密钥，然后根据该通信密钥，推演其与对端ue之间进行单播通信时的加密密钥和/或完保密钥。ue对go进行认证后，获取go发送的通信密钥，并根据该通信密钥推演生成加密密钥和完保密钥，该通信密钥为go根据组标识id和/或随机数生成的密钥。ue与go进行组播通信时，获取组播密钥，该组播密钥是根据go生成的随机序列生成的，可以是go对第一个验证通过的ue后，生成的密钥，也可以是预先设置的密钥，并根据该获取的组播密钥，确定与组内所有ue之间进行组播通信时的加密密钥和/或完保密钥。

更进一步的，本发明实施例中go对与其进行通信的ue验证通过后，可利用对端设备公钥或者协商出的共享密钥，对随机数、通信密钥和组播密钥进行加密，然后发送给ue，由ue自身推演生成二者通信所需的加密密钥和/或完保密钥，也可利用对端设备公钥或者协商出的共享密钥，对生成的加密密钥和/或完保密钥，作为与go进行通信的加密密钥和/或完保密钥。

本发明以下将结合具体的应用场景对ue与go之间进行认证后，生成密钥的过程进行详细说明。

实施例四

本发明实施例四以proseue工作在公共安全通信领域，go向ue发送根密钥，由ue自身推演加密密钥和完保密钥为例进行说明，如图5a所示。

s401：ue和go分别进行证书注册。

本发明实施例中ue和go进行证书注册时，可根据实际的网络覆盖情况，采用本地配置方式，或者通过prosefunction实体配置所属hplmn的证书、以及可能目标用户设备ue所属的各个plmn根证书组成的根证书列表。

具体的，当ue位于网络覆盖范围内，则可采用本地配置方式或通过prosefunction实体配置方式，注册证书，当ue位于网络覆盖范围外时，则只能通过本地配置方式，进行证书的注册。

s402：ue和go进行dh(diffie-hellman，迪菲-赫尔曼)交换过程，协商出共享密钥kdh。

具体的，本发明实施例中s402为可选步骤，若执行了s402，则利用协商出的共享密钥对证书认证过程中的证书进行加密。

s403：ue将自己的证书发给go。

具体的，本发明实施例中，ue将自己的证书携带在无线信令请求中向go发送，例如证书可以放在ue的直接连接请求里。

s404：go基于ue证书对ue进行认证，并推演通信密钥kgroup|unicast。

具体的，本发明实施例中go对ue验证通过后，则生成第一随机数nonce，并根据组id(identity，标识)和nonce值推演出ue和go之间的通信密钥kgroup|unicast，利用组id和nonce值推演通信密钥kgroup|unicast可以按照密钥推演函数kgroup|unicast＝kdf(groupid，nonce)，进行推演。

本发明实施例中将组id作为推演通信密钥kgroup|unicast的输入参数，能够保证ue每次入组的密钥不同，并引入nonce值作为推演通信密钥kgroup|unicast的输入参数，能保证组内各个ue的组通信密钥不同。

更进一步的，本发明实施例中，go对ue验证通过后，可生成随机序列，根据该随机序列获取组内的组播密钥kgroup|ubroadcast。

进一步的，本发明实施例中可用ue的公钥加密nonce，kgroup|unicast和/或kgroup|broadcast。

s405：将go证书发送给ue。

进一步的，本发明实施例中若s404中用ue的公钥加密nonce，kgroup|unicast和/或kgroup|broadcast，则将加密的nonce，kgroup|unicast和/或kgroup|broadcast发送给ue。

s406：ue验证go证书，用私钥解密并获取nonce，kgroup|unicast和/或kgroup|broadcast，利用go公钥加密nonce，得到第二随机数nonce。

s407：ue将nonce发回给go。

本发明实施例中s407为可选步骤，将加密后的随机数发送给对端设备，目的是为了使对端设备通过该加密后的随机数验证第一密钥是否被篡改。

s408a：ue根据通信密钥kgroup|unicast推演加密密钥kenc和完保密钥kint，并用推演出的加密密钥kenc和完保密钥kint对ue与go之间的通信数据进行保护。

具体的，本发明实施例中若s404中go利用ue的公钥对通信密钥kgroup|unicast进行了加密，并在s405中将加密后的通信密钥kgroup|unicast发送给ue，则ue对加密后的通信密钥kgroup|unicast进行解密，利用解密后的通信密钥kgroup|unicast推演与go进行单播通信时的加密密钥和/或完保密钥，利用推演的加密密钥和/或完保密钥，对与go之间进行单播通信时的通信数据进行安全保护。

s408b：go根据通信密钥kgroup|unicast推演加密密钥kenc和完保密钥kint，并用推演出的加密密钥kenc和/或完保密钥kint对ue与go之间的通信数据进行保护。

进一步的，本发明实施例中若执行了s407，则go验证第二随机数nonce是否与第一随机数nonce相同，若该go接收到的nonce为之前发送给ue的nonce，则表明该通信过程中，密钥没有被更改，则可利用s408b中生成的加密密钥和/或完保密钥，对go与ue间进行通信的通信数据进行安全保护。若该go接收到的nonce不是之前发送给ue的nonce，即第二随机数与第一随机数不一致，则表明之前发送的通信密钥kgroup|unicast及nonce为被修改过，则go重新生成通信密钥kgroup|unicast，并执行s405及以下步骤，即采用通信密钥kgroup|unicast作为根密钥，重新推演实际通信使用的加密密钥kenc和完保密钥kint，对ue与go之间的通信数据进行保护。

进一步的，本发明实施例中go还可生成加密密钥和/或完保密钥后，将生成的加密密钥和/或完保密钥，利用ue的公钥进行加密后发送给ue，指示ue对该加密的加密密钥和/或完保密钥进行解密，利用解密后的加密密钥和/或完保密钥对二者之间的通信数据进行安全保护，如图5b所示，本发明实施例中当go完成对ue的验证后，根据组标识id和/或随机数生成通信密钥kgroup|unicast，根据通信密钥kgroup|unicast，推演与ue之间进行单播通信时的加密密钥和/或完保密钥，利用ue的公钥对生成的加密密钥和/或完保密钥进行加密，并将加密后的加密密钥和/或完保密钥发送给ue，ue对该加密的加密密钥和/或完保密钥进行解密，并利用解密后的加密密钥和/或完保密钥其与go之间的通信数据进行加密。

本发明实施例中将证书携带在无线信令请求中，利用对端设备的公钥对证书认证过程以及密钥分发过程进行加密，并在推演通信密钥时，将证书组id和nonce作为输入参数，保证组内各个ue的组通信密钥不同，不同ue与go之间通信数据的安全性，并且通过nonce的验证通信密钥是否被篡改，进一步保证了通信数据的安全性。

实施例五

本发明实施例五在无线信令中携带证书，进行证书的认证，当证书认证通过后，获取对端设备生成的通信密钥作为第一密钥，本发明实施例中将证书携带在无线传输信令中进行证书的认证之前，还包括：与对端设备进行dh交换，协商出共享密钥；利用协商出的共享密钥对证书进行加密，以保证证书的安全性。

本发明实施例的实施过程如图6a所示，包括：

s501：ue和go分别进行证书注册。

本发明实施例中ue和go进行证书注册时，可根据实际的网络覆盖情况，采用本地配置方式，或者通过prosefunction实体配置所属hplmn的证书、以及可能目标用户设备ue所属的各个plmn根证书组成的根证书列表。

具体的，当ue位于网络覆盖范围内，则可采用本地配置方式或通过prosefunction实体配置方式，注册证书，当ue位于网络覆盖范围外时，则只能通过本地配置方式，进行证书的注册。

s502：ue和go进行dh交换过程，协商出共享密钥kdh。

具体的，本发明实施例中ue和go进行dh交换过程，协商出共享密钥kdh，利用协商出的共享密钥对后续的证书认证过程以及密钥分发过程进行加密。

s503：ue将自己的证书发给go。

具体的，本发明实施例中，ue将自己的证书携带在无线信令请求中向go发送，例如证书可以放在ue的直接连接请求里。

s504：go基于收到的ue证书完成对ue的认证，并推演通信密钥kgroup|unicast。

具体的，本发明实施例中go对ue验证通过后，go生成随机数nonce，并根据组id(identity，身份标识)和nonce值推演出ue和go之间的通信密钥kgroup|unicast。利用组id和nonce值推演通信密钥kgroup|unicast可以按照密钥推演函数kgroup|unicast＝kdf(groupid，nonce)，进行推演。

本发明实施例中将组id作为推演通信密钥kgroup|unicast的输入参数，能够保证ue每次入组的密钥不同，并引入nonce值作为推演通信密钥kgroup|unicast的输入参数，能保证组内各个ue的组通信密钥不同。

更进一步的，本发明实施例中，当推演出通信密钥kgroup|unicast后，可获取组内的广播密钥kgroup|ubroadcast，用s502中推演出的共享密钥kdh加密nonce，kgroup|unicast和/或kgroup|broadcast，执行s505。

s505：将go证书，加密的nonce，kgroup|unicast，kgroup|broadcast发送给ue。

s506：ue基于go证书完成对go的验证，获取nonce，kgroup|unicast，kgroup|broadcast，并利用共享密钥kdh加密nonce，得到第二随机数nonce。

s507：ue将第二随机数nonce发回给go。

本发明实施例中s507为可选步骤，将加密随机数发送给go，目的是为了使go通过该加密nonce是否与其之前发送给ue的第一随机数nonce值一致，判断对通信数据进行保护的密钥是否被篡改。

s508a：ue根据通信密钥kgroup|unicast推演加密密钥kenc和/或完保密钥kint，并用推演出的加密密钥kenc和完保密钥kint对ue与go之间的通信数据进行保护。

s508b：go根据通信密钥kgroup|unicast推演加密密钥kenc和/或完保密钥kint，并用推演出的加密密钥kenc和完保密钥kint对ue与go之间的通信数据进行保护。

具体的，本发明实施例中go根据通信密钥kgroup|unicast推演进行单播通信时所需的加密密钥kenc和/或完保密钥kint，并用组播密钥kgroup|broadcast推演组播通信时所需的加密密钥kenc和/或完保密钥kint。

进一步的，本发明实施例中若执行了s507，则go验证第二随机数nonce是否与第一随机数nonce相同，若该go接收到的第二随机数nonce与第一随机数相同，则表明第二随机数nonce为之前发送给ue的第一随机数nonce，则表明该通信过程中，密钥没有被更改，则可利用s508b生成的加密密钥和/或完保密钥，作为go与ue间进行通信的加密密钥和完保密钥，对go与ue间进行通信的通信数据进行安全保护。若该go接收到的第二随机数nonce不是之前发送给ue的第一随机数nonce，则表明之前发送的通信密钥kgroup|unicast及nonce为被修改过，则go重新生成通信密钥kgroup|unicast，并执行s505及以下步骤，即采用通信密钥kgroup|unicast作为根密钥，重新推演实际通信使用的加密密钥kenc和完保密钥kint，对ue与go之间的通信数据进行保护。

进一步的，本发明实施例中go还可生成加密密钥和/或完保密钥后，将生成的加密密钥和/或完保密钥，利用共享密钥kdh进行加密后发送给ue，指示ue对该加密的加密密钥和/或完保密钥进行解密，利用解密后的加密密钥和/或完保密钥对二者之间的通信数据进行安全保护，如图6b所示。

本发明实施例中，当go完成对ue的验证后，根据组标识id和/或随机数生成通信密钥kgroup|unicast，根据通信密钥kgroup|unicast，确定与ue之间进行单播通信时的加密密钥和/或完保密钥；利用协商出的共享密钥kdh对生成的加密密钥和/或完保密钥进行加密，并将加密后的加密密钥和/或完保密钥发送给ue，指示ue对该加密的加密密钥和/或完保密钥进行解密，并利用解密后的加密密钥和/或完保密钥其与go之间的通信数据进行加密。

同样的，本发明实施例中若go与ue之间进行组播通信，则go对ue认证通过后，则根据生成的随机序列获取组播密钥，并将该组播密钥加密后发送给ue，由ue自己推演加密密钥和/或完保密钥，或者根据该组播密钥生成与ue进行组播通信所需的加密密钥和/或完保密钥，并利用共享密钥或者ue的公钥对加密密钥和/或完保密钥加密后发送给ue，ue直接利用解密后的加密密钥和/或完保密钥对其与go之间进行通信的通信数据进行安全保护，可再次参阅图5a-图5b以及图6a-图6b。

本发明实施例中将证书携带在无线信令请求中，利用协商出的共享密钥对证书认证过程以及密钥分发过程进行加密，并在推演通信密钥时，将证书组id和nonce作为输入参数，使得组内各个ue的组通信密钥不同，保证不同ue与go之间通信数据的安全性，并且通过nonce的验证通信密钥是否被篡改，进一步保证了通信数据的安全性。

实施例六

本发明实施例六基于实施例一至实施例三提供的用户设备之间进行安全通信的方法，提供一种通信装置，如图7所示，该通信装置包括：配置单元601、认证单元602、密钥生成单元603和数据保护单元604，其中，

配置单元601，对第一用户设备与第二用户设备分别配置证书，并将配置的证书向认证单元602传输；

认证单元602，接收配置单元601传输的证书，并基于证书，对第一用户设备与第二用户设备进行双向认证并协商密钥，获取证书认证后生成的第一密钥，并将该生成的第一密钥向密钥生成单元603发送；

密钥生成单元603，接收认证单元602发送的第一密钥，并根据第一密钥进行密钥推演，得到加密密钥和完保密钥，将得到的加密密钥和完保密钥向数据保护单元604发送；

数据保护单元604，利用密钥生成单元603发送的加密密钥和完保密钥对第一用户设备与第二用户设备之间的通信数据进行安全保护。

其中，在第一种可能的实现方式中，配置单元601，具体用于：

本地配置证书，或者通过网络向证书颁发机构注册证书；

证书包括：当前用户设备所属本地公用陆地移动网络hplmn的证书，以及与当前用户设备进行认证的各个目标用户设备所属本地公用陆地移动网络hplmn的根证书。

其中，在第二种可能的实现方式中，认证单元602，具体用于：

根据证书在ip层基于因特网密钥交换ike，进行双向认证，协商生成ip层密钥，作为第一密钥。

其中，在第三种可能的实现方式中，认证单元602，具体用于：

将证书携带在无线传输信令中向对端用户设备发送，并进行证书的认证；

当证书认证通过后，将自身推演生成的通信密钥作为第一密钥，或者获取对端用户设备发送的通信密钥作为第一密钥，通信密钥推演的输入参数包括组标识id和/或随机数，组标识id为用户设备之间进行通信时所属通信组的标识。

其中，在第四种可能的实现方式中，认证单元602，还用于：

将证书携带在无线传输信令中向对端用户设备发送之前，与对端用户设备进行迪菲-赫尔曼dh交换，协商出共享密钥；

利用共享密钥对证书或证书的标识进行加密。

其中，在第五种可能的实现方式中，密钥生成单元603，具体用于：

根据第一密钥、以及当前用户设备的ip地址和/或对端用户设备的ip地址，进行密钥推演，得到加密密钥和完保密钥。

本发明实施例中用户设备进行证书注册时，不仅注册hplmn的证书，还注册可能的目标设备所属的plmn的根证书，使得不同安全域中的用户设备可以进行证书认证，并且基于ike进行证书认证，根据证书认证后生成的ip层密钥进行密钥推演，得到加密密钥和完保密钥，利用加密密钥和完保密钥对通信数据进行安全保护，能够为用户设备之间进行通信提供安全保证。

实施例七

结合实施例四至实施例五涉及的用户设备之间进行安全通信的方法，本发明实施例提供一种通信装置，如图8所示，该通信装置包括认证单元701、密钥生成单元702和数据保护单元703，其中，

认证单元701，用于对与当前用户设备进行通信的对端用户设备进行认证，当认证通过后，向密钥生成单元702发送认证通过的信息；

密钥生成单元702，当接收到认证单元701发送的认证通过的信息时，生成第一随机数，根据组标识id和第一随机数生成通信密钥，组标识id为当前用户设备与对端用户设备进行通信时所属通信组的标识；并根据通信密钥，推演当前用户设备与对端用户设备之间进行单播通信时的加密密钥和/或完保密钥，将推演得到的加密密钥和/或完保密钥向数据保护单元703发送；

数据保护单元703，利用密钥生成单元702推演得到的加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。

其中，在第一种可能的实现方式中，数据保护单元703604，还用于：

在利用加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，利用对端用户设备的公钥，对第一随机数进行加密；

将加密后的第一随机数发送给对端用户设备，并接收对端用户设备发送第二随机数，第二随机数为对端用户设备对加密后的第一随机数解密后，并利用当前用户设备的公钥，重新加密的随机数；

确定第二随机数与第一随机数相同。

其中，在第二种可能的实现方式中，数据保护单元703，还用于：

在利用加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，利用共享密钥，对第一随机数进行加密；

将加密后的第一随机数发送给对端用户设备，接收对端用户设备发送第二随机数，第二随机数为对端用户设备对加密后的第一随机数解密后并利用共享密钥，重新加密的随机数；

确定第二随机数与第一随机数相同。

其中，在第三种可能的实现方式中，密钥生成单元702，还用于：根据组标识id和第一随机数生成通信密钥之后，利用共享密钥或对端用户设备的公钥，对通信密钥进行加密；将加密后的通信密钥发送给对端用户设备，指示对端用户设备根据加密后的通信密钥，推演与当前用户设备之间进行单播通信时的加密密钥和/或完保密钥；

数据保护单元703，还用于，利用对端用户设备推演得到的加密密钥和/或完保密钥，对与当前用户设备之间进行单播通信时的通信数据进行安全保护。

其中，在第四种可能的实现方式中，数据保护单元703，还用于：

在利用加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，利用共享密钥或对端用户设备的公钥，对加密密钥和/或完保密钥进行加密；

将加密后的加密密钥和/或完保密钥发送给对端用户设备，指示对端用户设备对加密后的加密密钥和/或完保密钥进行解密，并使用解密后的加密密钥和/或完保密钥对与当前用户设备之间进行单播通信时的通信数据进行安全保护。

本发明实施例另一方面还提供一种通信装置，包括认证单元701、密钥生成单元702和数据保护单元703，可再次参阅图8，其中，

认证单元701，用于对与当前用户设备进行通信的对端用户设备进行认证，当认证通过后，向密钥生成单元702发送认证通过的信息；

密钥生成单元702，用于当接收到认证单元701发送的认证通过的信息时，生成随机序列，根据随机序列获取组播密钥；根据组播密钥，确定当前用户设备与对端用户设备之间进行组播通信时的加密密钥和/或完保密钥，将推演得到的加密密钥和/或完保密钥向数据保护单元703发送；

数据保护单元703，利用密钥生成单元702推演得到的加密密钥和/或完保密钥对当前用户设备与对端用户设备之间进行组播通信时的通信数据进行安全保护。

其中，在第一种可能的实现方式中，数据保护单元703，还用于：

确定当前用户设备与对端用户设备之间进行组播通信时的加密密钥和/或完保密钥之后，利用共享密钥或对端用户设备的公钥，对加密密钥和/或完保密钥进行加密；

将加密后的加密密钥和/或完保密钥发送给对端用户设备，并指示对端用户设备对加密后的加密密钥和/或完保密钥解密，并使用解密后的加密密钥和/或完保密钥对与当前用户设备进行组播通信时的通信数据进行安全保护。

本发明实施例还提供一种通信装置，包括：认证单元701、密钥生成单元702和数据保护单元703，可再次参阅图8，其中，

认证单元701，用于对与当前用户设备进行通信的对端用户设备进行认证，当认证通过后，向密钥生成单元702发送认证通过的信息；

密钥生成单元702，当接收到认证单元701发送的认证通过的信息后，获取对端用户设备发送的通信密钥，根据通信密钥推演加密密钥和/或完保密钥，将推演得到的加密密钥和/或完保密钥向数据保护单元703发送，通信密钥为对端用户设备根据组标识id和/或第一随机数生成的密钥，组标识id为当前用户设备与对端用户设备进行通信时所属通信组的标识；

数据保护单元703，利用密钥生成单元702推演得到的加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。

本发明实施例中将证书携带在无线信令请求中，利用对端设备的公钥或者协商出的共享密钥，对证书认证过程以及密钥分发过程进行加密，并在推演通信密钥时，将证书组id和nonce作为输入参数，保证组内各个ue的组通信密钥不同，不同ue与go之间通信数据的安全性，并且通过nonce的验证通信密钥是否被篡改，进一步保证了通信数据的安全性。

需要说明的是，本发明实施例六和实施例七提供的通信装置，可以是独立的部件，也可以是集成于其他部件中，例如本发明实施例提供的上述通信装置可以是现有通信网络中的用户设备ue，也可以是集成于用户设备ue内的新的部件。

需要说明的是，本发明实施例中的通信装置的各个模块/单元的功能实现以及交互方式可以进一步参照相关方法实施例的描述。

实施例八

本发明实施例八基于上述实施例涉及的用户设备之间进行安全通信的方法及装置，还提供一种通信控制器，如图9所示，该通信控制器包括收发器801，存储器802和处理器803，其中，

收发器801，用于接收用户设备发送的进行安全通信的指示信息，并将该指示信息发送给处理器803；

存储器802，用于存储应用程序；

处理器803，用于调用存储器802存储的应用程序，执行如下操作：

接收到用户设备发送的指示信息后，对第一用户设备与第二用户设备分别配置证书，基于配置的证书，对第一用户设备和第二用户设备进行双向认证并协商密钥，获取证书认证后生成的第一密钥；根据第一密钥进行密钥推演，得到加密密钥和完保密钥；利用加密密钥和完保密钥对第一用户设备与第二用户设备之间的通信数据进行安全保护。

进一步的，处理器803还用于：本地配置证书，或者通过网络向证书颁发机构注册证书；配置的证书包括：当前用户设备所属本地公用陆地移动网络hplmn的证书，以及与当前用户设备进行认证的各个目标用户设备所属本地公用陆地移动网络hplmn的根证书。

进一步的，处理器803，还用于：对与当前用户设备进行通信的对端用户设备进行认证；当认证通过后，生成第一随机数，根据组标识id和第一随机数生成通信密钥；根据通信密钥，推演当前用户设备与对端用户设备之间进行单播通信时的加密密钥和/或完保密钥，并利用加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。

进一步的，处理器803，还用于：对与当前用户设备进行通信的对端用户设备进行认证；当认证通过后，生成随机序列，根据随机序列获取组播密钥；根据组播密钥，确定当前用户设备与对端用户设备之间进行组播通信时的加密密钥和/或完保密钥，并利用加密密钥和/或完保密钥对当前用户设备与对端用户设备之间进行组播通信时的通信数据进行安全保护。

更进一步的，处理器803，还用于：对与当前用户设备进行通信的对端用户设备进行认证；当认证通过后，获取对端用户设备发送的通信密钥，通信密钥为对端用户设备根据组标识id和/或第一随机数生成的密钥，组标识id为当前用户设备与对端用户设备进行通信时所属通信组的标识；根据通信密钥推演加密密钥和/或完保密钥，利用加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。

本发明实施例提供的通信控制器，处理器对用户设备之间进行安全通信处理时，基于证书进行安全认证，并且注册证书时不仅注册当前用户设备所属的hplmn证书，还注册目标用户设备所述的hplmn的根证书，能够实现不同安全域之间用户设备的认证。

进一步的，本发明实施例中处理器对用户设备之间进行安全通信处理时，在生成密钥时，生成通信密钥与组播密钥，通信密钥根据组标识和随机数生成，保证每次入组的用户设备生成的通信密钥都不同，进一步保证通信的安全性。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。