临时组的密钥传输方法、装置、终端及网络侧设备与流程

1.本发明涉及通信技术领域，尤其是指一种临时组的密钥传输方法、装置、终端及网络侧设备。


背景技术：

2.mc(mission critical，关键任务)群组业务使用群组密钥gmk(group master key，群组主密钥)对每个群组业务内容进行安全保护，每个gmk为该群组成员所共享。当一个群组在gms(group management server，群组管理服务器)创建之后，gms需要将该群组的gmk分发到相应各个群组成员的mc service client(mission critical service client，关键任务业务客户端)中，其中，mc service client在mc service ue(mission critical service user equipment，关键任务业务用户设备)上。gms创建群组后掌握一个群组和其包含的群组成员用户关系，群组成员用户以mc service id标识。
3.gms向kms(key management server，密钥管理服务器)请求gmk和gmk对应的标识gmk id用于一个群组，kms负责生成和配置密钥和相关信息并发送给gms。gms对gmk进行加密后负责分发给该群组成员。
4.然而，现有技术仅能针对基于预定义动态重组的临时组建组过程提供密钥分发，而不适用于ad-hoc模式的临时组呼呼叫流程。


技术实现要素：

5.本发明的目的在于提供一种临时组的密钥传输方法、装置、终端及网络侧设备，以解决现有技术中密钥传输方法无法兼容基于预定义动态重组的临时组呼和ad-hoc模式的临时组呼的问题。
6.为了达到上述目的，本发明提供一种临时组的密钥传输方法，由网络侧设备执行，包括：
7.在第一终端发送的第一请求满足第一预设条件的情况下，向群组管理服务器gms发送重组请求；其中，所述重组请求携带有所述第一请求对应的临时组成员标识信息；
8.接收所述gms根据所述重组请求发送的第一响应信息；其中，所述第一响应信息携带有临时组标识；
9.生成与所述临时组标识对应的随机数，所述随机数用于所述第一终端和第二终端确定所述第一请求对应的会话密钥；其中，所述第二终端为所述临时组成员标识信息对应的终端。
10.其中，在向群组管理服务器gms发送重组请求之前，所述方法还包括：
11.向密钥管理服务器kms发送密钥材料请求；
12.接收所述kms根据所述密钥材料请求发送的第二响应信息；其中，所述第二响应信息包括临时组密钥和临时组密钥标识。
13.其中，所述第一请求携带有所述临时组成员标识信息。
14.其中，所述第一预设条件为以下其中一项：
15.所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；
16.所述第一请求为预定义动态重组请求。
17.其中，在所述第一请求为第一组呼呼叫请求的情况下，所述方法在生成与所述临时组标识对应的随机数之后，还包括：
18.向所述第二终端发送第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有所述随机数、所述临时组标识和所述第一组呼呼叫请求对应的呼叫类型；
19.接收所述第二终端根据所述第二组呼呼叫请求发送的第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
20.向所述第一终端发送第四响应信息；其中，所述第四响应信息用于指示所述第一请求对应的临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
21.其中，在所述第一请求为预定义动态重组请求的情况下，所述方法在生成与所述临时组标识对应的随机数之后，还包括：
22.向所述第二终端发送所述预定义动态重组请求；
23.接收所述第二终端根据所述预定义动态重组请求发送的第五响应信息；
24.建立所述第二终端与所述临时组标识之间的组关联关系；
25.向所述第一终端发送第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
26.其中，所述方法还包括：
27.接收所述第一终端发送的第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
28.向所述临时组标识关联的第二终端发送第四组呼呼叫请求；其中，所述第四组呼呼叫请求携带有所述随机数和所述临时组标识；
29.接收所述第二终端根据所述预定义动态重组请求发送的第七响应信息；其中，所述第七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
30.向所述第一终端发送第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
31.其中，所述方法还包括：
32.在与所述gms通信时，利用预设密钥对临时组密钥和临时组密钥标识进行加密。
33.本发明实施例还提供一种临时组的密钥传输方法，由第一终端执行，包括：
34.向网络侧设备发送第一请求；其中，所述第一请求携带有临时组成员标识信息；
35.接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在所述第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
36.获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
37.根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
38.其中，所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；或者，
39.所述第一请求为预定义动态重组请求。
40.其中，在所述第一请求为第一组呼呼叫请求的情况下，所述获取随机数，包括：
41.接收所述网络侧设备发送的第四响应信息；其中，所述第四响应信息用于所述第一请求对应的指示临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
42.其中，在所述第一请求为预定义动态重组请求的情况下，所述获取随机数，包括：
43.接收所述网络侧设备发送的第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
44.其中，在接收所述网络侧设备发送的第六响应信息之后，所述方法还包括：
45.向所述网络侧设备发送第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
46.接收所述网络侧设备发送的第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
47.其中，在接收gms发送的群组配置请求之后，所述方法还包括：
48.根据所述群组配置请求，向所述gms发送第十响应信息；其中，所述第十响应信息用于指示所述第一终端已接受所述群组配置请求。
49.本发明实施例还提供一种临时组的密钥传输方法，由第二终端执行，包括：
50.接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
51.获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
52.根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
53.其中，在接收gms发送的群组配置请求之后，所述方法还包括：
54.根据所述群组配置请求，向所述gms发送第九响应信息；其中，所述第九响应信息用于指示所述第二终端已接受所述群组配置请求。
55.其中，所述获取随机数，包括：
56.接收网络侧设备发送的第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有随机数、所述临时组标识和呼叫类型。
57.其中，所述方法还包括：
58.向所述网络侧设备发送第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
59.其中，所述方法还包括：
60.接收网络侧设备发送的预定义动态重组请求；
61.根据所述预定义动态重组请求，向所述网络侧设备发送第五响应信息。
62.其中，所述获取随机数，包括：
63.接收网络侧设备发送的第四组呼呼叫请求；其中，所述第四组呼呼叫请求携带有随机数和所述临时组标识。
64.其中，所述方法还包括：
65.根据所述第四组呼呼叫请求，向所述网络侧设备发送第七响应信息；其中，所述第七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
66.本发明实施例还提供一种临时组的密钥传输方法，由gms执行，包括：
67.接收网络侧设备发送的重组请求；其中，所述重组请求携带有临时组成员标识信息、临时组密钥和临时组密钥标识；
68.根据所述重组请求，向所述临时组成员标识信息对应的第一终端和第二终端发送群组配置请求；其中，所述群组配置请求携带有临时组标识、所述临时组密钥和所述临时组密钥标识；
69.接收所述第二终端根据所述群组配置请求发送的第九响应信息，以及接收所述第一终端根据所述群组配置请求发送的第十响应信息；
70.向所述网络侧设备发送第一响应信息；其中，所述第一响应信息携带有临时组标识。
71.其中，所述方法还包括：
72.在与所述网络侧设备通信时，利用预设密钥对所述临时组密钥和临时组密钥标识进行加密。
73.本发明实施例还提供一种临时组的密钥传输方法，由kms执行，包括：
74.接收网络侧设备发送的密钥材料请求；
75.向所述网络侧设备发送第二响应信息；其中，所述第二响应信息包括临时组密钥及其对应的临时组密钥标识。
76.本发明实施例还提供一种网络侧设备，包括存储器，收发机，处理器：
77.存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：
78.在第一终端发送的第一请求满足第一预设条件的情况下，向群组管理服务器gms发送重组请求；其中，所述重组请求携带有所述第一请求对应的临时组成员标识信息；
79.接收所述gms根据所述重组请求发送的第一响应信息；其中，所述第一响应信息携带有临时组标识；
80.生成与所述临时组标识对应的随机数，所述随机数用于所述第一终端和第二终端确定所述第一请求对应的会话密钥；其中，所述第二终端为所述临时组成员标识信息对应的终端。
81.其中，在向群组管理服务器gms发送重组请求之前，所述方法还包括：
82.向密钥管理服务器kms发送密钥材料请求；
83.接收所述kms根据所述密钥材料请求发送的第二响应信息；其中，所述第二响应信息包括临时组密钥和临时组密钥标识。
84.其中，所述第一请求携带有所述临时组成员标识信息。
85.其中，所述第一预设条件为以下其中一项：
86.所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；
87.所述第一请求为预定义动态重组请求。
88.其中，在所述第一请求为第一组呼呼叫请求的情况下，在生成与所述临时组标识对应的随机数之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
89.向所述第二终端发送第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有所述随机数、所述临时组标识和所述第一组呼呼叫请求对应的呼叫类型；
90.接收所述第二终端根据所述第二组呼呼叫请求发送的第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
91.向所述第一终端发送第四响应信息；其中，所述第四响应信息用于指示所述第一请求对应的临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
92.其中，在所述第一请求为预定义动态重组请求的情况下，在生成与所述临时组标识对应的随机数之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
93.向所述第二终端发送所述预定义动态重组请求；
94.接收所述第二终端根据所述预定义动态重组请求发送的第五响应信息；
95.建立所述第二终端与所述临时组标识之间的组关联关系；
96.向所述第一终端发送第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
97.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
98.接收所述第一终端发送的第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
99.向所述临时组标识关联的第二终端发送第四组呼呼叫请求；其中，所述第四组呼呼叫请求携带有所述随机数和所述临时组标识；
100.接收所述第二终端根据所述预定义动态重组请求发送的第七响应信息；其中，所述第七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
101.向所述第一终端发送第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
102.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
103.在与所述gms通信时，利用预设密钥对临时组密钥和临时组密钥标识进行加密。
104.本发明实施例还提供一种临时组的密钥传输装置，应用于网络侧设备，包括：
105.第一请求单元，用于在第一终端发送的第一请求满足第一预设条件的情况下，向群组管理服务器gms发送重组请求；其中，所述重组请求携带有所述第一请求对应的临时组成员标识信息；
106.第一接收单元，用于接收所述gms根据所述重组请求发送的第一响应信息；其中，所述第一响应信息携带有临时组标识；
107.生成与所述临时组标识对应的随机数，所述随机数用于所述第一终端和第二终端确定所述第一请求对应的会话密钥；其中，所述第二终端为所述临时组成员标识信息对应
的终端。
108.本发明实施例还提供一种终端，所述终端为第一终端，包括存储器，收发机，处理器：
109.存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：
110.向网络侧设备发送第一请求；其中，所述第一请求携带有临时组成员标识信息；
111.接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在所述第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
112.获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
113.根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
114.其中，所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；或者，
115.所述第一请求为预定义动态重组请求。
116.其中，在所述第一请求为第一组呼呼叫请求的情况下，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
117.接收所述网络侧设备发送的第四响应信息；其中，所述第四响应信息用于所述第一请求对应的指示临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
118.其中，在所述第一请求为预定义动态重组请求的情况下，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
119.接收所述网络侧设备发送的第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
120.其中，在接收所述网络侧设备发送的第六响应信息之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
121.向所述网络侧设备发送第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
122.接收所述网络侧设备发送的第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
123.其中，在接收gms发送的群组配置请求之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
124.根据所述群组配置请求，向所述gms发送第十响应信息；其中，所述第十响应信息用于指示所述第一终端已接受所述群组配置请求。
125.本发明实施例还提供一种临时组的密钥传输装置，应用于第一终端，包括：
126.第一呼叫单元，用于向网络侧设备发送第一请求；其中，所述第一请求携带有临时组成员标识信息；
127.第一重组单元，用于接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在所述第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
128.获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
129.根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
130.本发明实施例还提供一种终端，所述终端为第二终端，包括存储器，收发机，处理器：
131.存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：
132.接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
133.获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
134.根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
135.其中，在接收gms发送的群组配置请求之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
136.根据所述群组配置请求，向所述gms发送第九响应信息；其中，所述第九响应信息用于指示所述第二终端已接受所述群组配置请求。
137.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
138.接收网络侧设备发送的第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有随机数、所述临时组标识和呼叫类型。
139.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
140.向所述网络侧设备发送第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
141.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
142.接收网络侧设备发送的预定义动态重组请求；
143.根据所述预定义动态重组请求，向所述网络侧设备发送第五响应信息。
144.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
145.接收网络侧设备发送的第四组呼呼叫请求；其中，所述第四组呼呼叫请求携带有随机数和所述临时组标识。
146.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
147.根据所述第四组呼呼叫请求，向所述网络侧设备发送第七响应信息；其中，所述第
七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
148.本发明实施例还提供一种临时组的密钥传输装置，应用于第二终端，包括：
149.第二接收单元，用于接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
150.第二获取单元，用于获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
151.第二确定单元，用于根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
152.本发明实施例还提供一种gms，包括存储器，收发机，处理器：
153.存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：
154.接收网络侧设备发送的重组请求；其中，所述重组请求携带有临时组成员标识信息、临时组密钥和临时组密钥标识；
155.根据所述重组请求，向所述临时组成员标识信息对应的第一终端和第二终端发送群组配置请求；其中，所述群组配置请求携带有临时组标识、所述临时组密钥和所述临时组密钥标识；
156.接收所述第二终端根据所述群组配置请求发送的第九响应信息，以及接收所述第一终端根据所述群组配置请求发送的第十响应信息；
157.向所述网络侧设备发送第一响应信息；其中，所述第一响应信息携带有临时组标识。
158.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
159.在与所述网络侧设备通信时，利用预设密钥对所述临时组密钥和临时组密钥标识进行加密。
160.本发明实施例还提供一种临时组的密钥传输装置，应用于gms，包括：
161.第四接收单元，用于接收网络侧设备发送的重组请求；其中，所述重组请求携带有临时组成员标识信息、临时组密钥和临时组密钥标识；
162.第二发送单元，用于根据所述重组请求，向所述临时组成员标识信息对应的第一终端和第二终端发送群组配置请求；其中，所述群组配置请求携带有临时组标识、所述临时组密钥和所述临时组密钥标识；
163.第五接收单元，用于接收所述第二终端根据所述群组配置请求发送的第九响应信息，以及接收所述第一终端根据所述群组配置请求发送的第十响应信息；
164.第一响应单元，用于向所述网络侧设备发送第一响应信息；其中，所述第一响应信息携带有临时组标识。
165.本发明实施例还提供一种kms，包括存储器，收发机，处理器：
166.存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处
理器，用于读取所述存储器中的计算机程序并执行以下操作：
167.接收网络侧设备发送的密钥材料请求；
168.向所述网络侧设备发送第二响应信息；其中，所述第二响应信息包括临时组密钥及其对应的临时组密钥标识。
169.本发明实施例还提供一种临时组的密钥传输装置，应用于kms，包括：
170.第三接收单元，用于接收网络侧设备发送的密钥材料请求；
171.第二响应单元，用于向所述网络侧设备发送第二响应信息；其中，所述第二响应信息包括临时组密钥及其对应的临时组密钥标识。
172.本发明实施例还提供一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器如上所述的方法。
173.本发明的上述技术方案至少具有如下有益效果：
174.本发明实施例的上述技术方案，临时组业务相关安全信息(随机数、临时组密钥和临时组密钥标识)在业务控制服务器生成，进而能够在后续群组呼叫过程中将临时组业务相关安全信息下发给终端，而无需要关注群组呼叫对象是否已归属到一个群组中，进而能够兼容基于预定义动态重组的临时组呼和ad-hoc模式的临时组呼，应用面更广。
附图说明
175.图1为本技术实施例的无线通信系统架构示意图；
176.图2表示现有技术中3gpp mc系统架构示意图；
177.图3表示本发明实施例密钥传输方法流程示意图一；
178.图4表示本发明实施例密钥传输方法用于ad-hoc模式的临时组组呼的流程示意图；
179.图5表示本发明实施例预定义动态重组的密钥传输方法流程示意图之一；
180.图6表示本发明实施例预定义动态重组的密钥传输方法流程示意图之二；
181.图7表示本发明实施例密钥传输方法流程示意图二；
182.图8表示本发明实施例密钥传输方法流程示意图三；
183.图9表示本发明实施例密钥传输方法流程示意图四；
184.图10表示本发明实施例密钥传输方法流程示意图五；
185.图11表示本发明实施例网络侧设备结构示意图；
186.图12表示本发明实施例终端结构示意图；
187.图13表示本发明实施例临时组的密钥传输装置结构示意图一；
188.图14表示本发明实施例临时组的密钥传输装置结构示意图二；
189.图15表示本发明实施例临时组的密钥传输装置结构示意图三；
190.图16表示本发明实施例临时组的密钥传输装置结构示意图四；
191.图17表示本发明实施例临时组的密钥传输装置结构示意图五。
具体实施方式
192.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，并不是全部的实施例。基于
本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
193.本技术实施例中术语“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
194.本技术实施例中术语“多个”是指两个或两个以上，其它量词与之类似。
195.在此说明，本技术实施例提供的技术方案可以适用于多种系统，尤其是5g系统。例如适用的系统可以是全球移动通讯(global system of mobile communication，gms)系统、码分多址(code division multiple access，cdma)系统、宽带码分多址(wideband code division multiple access，wcdma)通用分组无线业务(general packet radio service，gprs)系统、长期演进(long term evolution，lte)系统、lte频分双工(frequency division duplex，fdd)系统、lte时分双工(time division duplex，tdd)系统、高级长期演进(long term evolution advanced，lte-a)系统、通用移动系统(universal mobile telecommunication system，umts)、全球互联微波接入(worldwide interoperability for microwave access，wimax)系统、5g新空口(new radio,nr)系统等。这多种系统中均包括终端和网络设备。系统中还可以包括核心网部分，例如演进的分组系统(evloved packet system,eps)、5g系统(5gs)等。
196.图1示出本技术实施例可应用的一种无线通信系统的框图。无线通信系统包括终端和网络设备。
197.本技术实施例涉及的终端，可以是指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备等。在不同的系统中，终端的名称可能也不相同，例如在5g系统中，终端可以称为用户设备(user equipment，ue)。无线终端可以经无线接入网(radio access network,ran)与一个或多个核心网(core network，cn)进行通信，无线终端可以是移动终端，如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者，车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personal communication service，pcs)电话、无绳电话、会话发起协议(session initiated protocol，sip)话机、无线本地环路(wireless local loop，wll)站、个人数字助理(personal digital assistant，pda)等设备。无线终端也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户装置(user device)，本技术实施例中并不限定。
198.本技术实施例涉及的网络设备，可以是基站，该基站可以包括多个为终端提供服务的小区。根据具体应用场合不同，基站又可以称为接入点，或者，可以是接入网中在空中接口上通过一个或多个扇区与无线终端通信的设备，或者，其它名称。网络设备可用于将收到的空中帧与网际协议(internet protocol，ip)分组进行相互更换，作为无线终端与接入网的其余部分之间的路由器，其中接入网的其余部分可包括网际协议(ip)通信网络。网络设备还可协调对空中接口的属性管理。例如，本技术实施例涉及的网络设备可以是全球移
动通信系统(global system for mobile communications，gms)或码分多址接入(code division multiple access，cdma)中的网络设备(base transceiver station，bts)，也可以是带宽码分多址接入(wide-band code division multiple access，wcdma)中的网络设备(nodeb)，还可以是长期演进(long term evolution，lte)系统中的演进型网络设备(evolutional node b，enb或e-nodeb)、5g网络架构(next generation system)中的5g基站(gnb)，也可以是家庭演进基站(home evolved node b，henb)、中继节点(relay node)、家庭基站(femto)、微微基站(pico)等，本技术实施例中并不限定。在一些网络结构中，网络设备可以包括集中单元(centralized unit，cu)节点和分布单元(distributed unit，du)节点，集中单元和分布单元也可以地理上分开布置。
199.网络设备与终端之间可以各自使用一或多根天线进行多输入多输出(multi input multi output,mimo)传输，mimo传输可以是单用户mimo(single user mimo,su-mimo)或多用户mimo(multiple user mimo,mu-mimo)。根据根天线组合的形态和数量，mimo传输可以是2d-mimo、3d-mimo、fd-mimo或massive-mimo，也可以是分集传输或预编码传输或波束赋形传输等。
200.下面首先对本技术实施例提供的方案涉及的内容进行介绍。
201.关于3gpp(3rd generation partnership project，国际标准组织第三代合作伙伴计划)mcptt的架构及现有安全方案：
202.如图2所示，为3gpp mc service系统的架构，其中，mc service server(mission critical service server，关键任务业务服务器)负责mc业务控制，包括呼叫建立，将被呼叫用户关联到群组，向gms(group management server，群组管理服务器)查询群组成员；mc service server相应的客户端为mc service client(mcptt server、mcvideo server、mcdata server分别对应mcptt client、mcvideo client、mcdata client)，client与server间分别通过mcptt-1、mcvideo-1、mcdata-cap-1接口通信。
203.gms负责群组建立、删除；群组成员的管理、更新(即增、删和改)；群组配置信息下发到组成员；群组密钥(gmk)下发到组成员；分配和维护群组标识(即群组id)。gms相应的客户端为group management client(gmc)，与gms之间通过csc-2接口通信。
204.kms(key management server，密钥管理服务器)负责向mc service server(通过csc-9接口)和gms(通过csc-10接口)提供群组端到端加密的密钥和相关安全信息。kms相应的客户端为key management client(kmc)，与kms之间通过csc-8接口通信。
205.然而，现有技术中的临时组密钥分发方案需要以下限制条件：
206.仅适用于预定义动态重组的密钥分发，不适用与其他临时组；
207.临时组成员需要预先属于一个存在的群组，终端已经由gms分发了一个默认群组密钥gmk；
208.临时组成员必须属于预先定义的一个默认组，不适应应急或特殊场景下临时对不同组的用户发起临时组呼，适用场景比较局限；
209.由终端生成群组的安全信息(随机数)，相对于由业务控制服务器生成安全信息具有更大安全风险，容易被盗取或篡改；按现有标准定义，只有单呼的情况可以由终端侧生成安全信息，因而不符合当前架构中对群组业务需要集中控制的功能需求。
210.基于以上，本技术实施例提供了一种临时组的密钥传输方法、装置、终端及网络侧
设备，用以解决现有技术中密钥传输方法无法兼容基于预定义动态重组的临时组呼和ad-hoc模式的临时组呼的问题。
211.其中，方法、装置、终端及网络侧设备是基于同一申请构思的，由于方法、装置、终端及网络侧设备解决问题的原理相似，因此方法、装置、终端及网络侧设备的实施可以相互参见，重复之处不再赘述。
212.如图3所示，本技术实施例提供的一种临时组的密钥传输方法，由网络侧设备执行，包括：
213.步骤301：在第一终端发送的第一请求满足第一预设条件的情况下，向群组管理服务器gms发送重组请求；其中，所述重组请求携带有所述第一请求对应的临时组成员标识信息。
214.可选地，所述重组请求还携带有所述第一请求对应的临时组密钥和临时组密钥标识。
215.该步骤中，在网络设备接收到的该第一请求满足第一预设条件的情况下，即可触发临时组密钥(即t-gmk)、临时组标识(即t-gid)和随机数(即rand)的生成及下发过程。如此，只要第一终端向网络设备发送满足第一预设条件的第一请求，即可利用本发明实施例的临时组的密钥传输方法完成临时组呼叫中所需安全信息的生成及下发，因此该方法可以适用于不同临时组呼叫模型。
216.步骤302：接收所述gms根据所述重组请求发送的第一响应信息；其中，所述第一响应信息携带有临时组标识。
217.gms收到重组请求后，可以触发对临时组成员的群组密钥下发过程，并为临时组分配一个临时组标识(即t-gid)，gms向网络侧设备发送第一响应信息(即regroup notification response)，该第一响应信息携带有t-gid。
218.步骤303：生成与所述临时组标识对应的随机数，所述随机数用于所述第一终端和第二终端确定所述第一请求对应的会话密钥；其中，所述第二终端为所述临时组成员标识信息对应的终端。
219.本技术实施例提供的密钥传输方法，可以在临时组呼叫建立过程中直接触发临时组密钥、随机数和临时组标识的生成和下发，能够适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
220.本技术实施例中，网络侧设备可以是mcptt server、mcvideo server或mc service server。需要说明的是，网络侧设备为mcptt server时，对应的终端为mcptt client，对应的临时组成员标识为mcptt id，对应的群组标识为mcptt group id；网络侧设备为mcvideo server时，对应的终端为mcvideo client，对应的临时组成员标识为mcvideo id，对应的群组标识为mcvideo group id；网络侧设备为mc service server时，对应的终端为mc service client，对应的临时组成员标识为mc service id，对应的群组标识为mc service group id。本技术实施例中，以网络侧设备为mcptt server、终端为mcptt client为例来进行说明。
221.还需要说明的是，现有技术中，gmc都位于终端上，mcx server没有gmc的逻辑功能。而本技术实施例中的网络侧设备(mcptt server)，其在逻辑上也可以包含gms的客户端逻辑实体，即群组管理客户端(group management client，gmc)。
222.本技术实施例中，所述第一预设条件为以下其中一项：
223.所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；
224.所述第一请求为预定义动态重组请求。
225.该实施例中，在该第一请求满足第一预设条件的情况下，即可触发临时组密钥(即t-gmk)、临时组标识(即t-gid)和随机数(即rand)的生成及下发过程。因此此，只要第一终端向网络设备发送满足第一预设条件的第一请求，即可利用本发明实施例的临时组的密钥传输方法完成临时组呼叫中所需安全信息的生成及下发，可以适用于不同临时组呼叫模型。
226.也就是说，本技术实施例中，网络侧设备(即mcx server，例如mcptt server、mcvideo server或mc service server)可以由呼叫请求类型直接触发临时密钥的生成和分发。或者，网络侧设备可以向gms通知重组，并触发gms下发群组密钥信息到mcx client。
227.本技术实施例中，在向群组管理服务器gms发送重组请求之前，所述方法还包括：
228.向密钥管理服务器kms发送密钥材料请求；
229.接收所述kms根据所述密钥材料请求发送的第二响应信息；其中，所述第二响应信息包括临时组密钥和临时组密钥标识。
230.该实施例中，通过向kms发送密钥材料请求(即request for key material)，可以请求kms生成一个与第一请求对应的临时组密钥(即t-gmk)，以及相应的临时密钥标识(即t-gmk id)，还可以生成与临时组密钥相关的配置信息(例如，密钥更新周期等)。kms向网络设备发出响应，即向网络设备发送第二响应信息，可以携带t-gmk和t-gmk id，以及还可能携带有相关的配置信息。
231.本技术实施例中，由呼叫控制实体(即mcx server，例如mcptt server、mcvideo server或mc service server)决定会话密钥相关信息(例如rand)，由密钥管理实体(即kms)决定密钥信息(即t-gmk和t-gmk id)，由群组管理实体(即gms)下发群组安全信息(例如t-gid)，这样，符合现有架构对实体角色的定义，能够最大化重用现有实体的功能，原子化功能清晰，业务可扩展性强。
232.本发明实施例，可适用于将任意用户拉入临时组，而这些用户并不需限定属于同一群组，因此，本发明实施例中的临时组成员的范围比现有方案更大，因此，能够满足更多场景(如紧急呼叫)的需要。
233.本技术实施例中，所述第一请求携带有所述临时组成员标识信息。
234.这里，临时组成员标识信息即第一请求对应的临时组呼的呼叫对象的标识信息。
235.本技术实施例中，在所述第一请求为第一组呼呼叫请求的情况下，所述方法在生成与所述临时组标识对应的随机数之后，还包括：
236.向所述第二终端发送第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有所述随机数、所述临时组标识和所述第一组呼呼叫请求对应的呼叫类型；
237.接收所述第二终端根据所述第二组呼呼叫请求发送的第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
238.向所述第一终端发送第四响应信息；其中，所述第四响应信息用于指示所述第一请求对应的临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
configuration request)，如图4中6a所示，该群组配置请求携带t-gid、t-gmk和t-gmk id。第一终端和第二终端收到群组配置请求后，向gms发送群组配置通知响应(即notify group configuration response)，如图4中6b所示。
249.步骤7，gms向mcptt server响应重组，即向网络侧设备发送第一响应信息(即regroup notification response)，该第一响应信息携带有t-gid。mcptt server生成一个针对该临时组呼的随机数(rand)。
250.步骤8，mcptt server将临时组成员与t-gid做组关联(即affiliate user to group)，即mcptt server建立第二终端与t-gid之间的组关联关系。
251.步骤9，mcptt server向被呼叫的临时组用户(即临时组成员标识信息对应的终端)发送组呼呼叫请求(即第二组呼呼叫请求)，该第二组呼呼叫请求携带rand，t-gid和call type。
252.步骤10，client(即终端)通知用户即将加入临时组呼。
253.步骤11，client发出响应(例如第二终端发送第三响应信息)，该第三响应信息用于指示第二终端(例如mcptt client 2、mcptt client3)加入临时组呼成功。
254.步骤12，mcptt server生成用于推演组呼会话密钥的随机数(即rand)，向mcptt client 1发出响应，携带t-gid和rand。
255.步骤13，第一终端和根据第二终端t-gid、t-gmk和rand推演出本次临时组呼的会话密钥(即calculate session key)，即确定所述第一请求对应的会话密钥(即session key)。
256.本技术实施例中，在所述第一请求为预定义动态重组请求的情况下，所述方法在生成与所述临时组标识对应的随机数之后，还包括：
257.向所述第二终端发送所述预定义动态重组请求；
258.接收所述第二终端根据所述预定义动态重组请求发送的第五响应信息；
259.建立所述第二终端与所述临时组标识之间的组关联关系；
260.向所述第一终端发送第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
261.本技术实施例中，所述方法还包括：
262.接收所述第一终端发送的第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
263.向所述临时组标识关联的第二终端发送第四组呼呼叫请求；其中，所述第四组呼呼叫请求携带有所述随机数和所述临时组标识；
264.接收所述第二终端根据所述预定义动态重组请求发送的第七响应信息；其中，所述第七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
265.向所述第一终端发送第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
266.本技术实施例中，mcx server能够为临时组呼生成密钥相关信息(例如随机数)，并通过组呼请求(group call request)将该信息下发到mcx client。
267.本技术实施例中，所述方法还包括：在与所述gms通信时，利用预设密钥对临时组密钥和临时组密钥标识进行加密。
response)，如图5中7b、7c所示。
281.步骤8，gms向mcptt server响应重组，即向网络侧设备发送第一响应信息(即regroup notification response)，该第一响应信息携带有t-gid。mcptt server生成一个针对该临时组呼的随机数(rand)。
282.步骤9，mcptt server生成用于推演组呼会话密钥的随机数rand。
283.步骤10，收到群组配置请求的用户(即终端)确认加入动态重组。
284.步骤11，可选地，收到请求的mcptt clients接受动态重组请求，并向mcptt server发送响应，即第二终端根据所述预定义动态重组请求发送第五响应信息。
285.步骤12，mcptt server建立动态重组的用户(即第二终端)与所述临时组标识之间的组关联关系；
286.步骤13，mcptt server向mcptt client 1发送的预定义动态重组响应(preconfigured regroup response，即第六响应信息)中携带t-gid和rand。
287.步骤14，第一终端(例如mcptt client 1)和第二终端(例如mcptt client 2、mcptt client 3)根据t-gid，t-gmk和rand推演出用于后续临时组呼的会话密钥(即calculate session key)，即确定所述第一请求对应的会话密钥(即session key)。
288.基于预定义的动态重组进行之后，后续的临时组呼过程如图6所示，关于组呼呼叫的流程说明如下：
289.步骤1，mcptt client 1决定对群组标识(即mcptt group id)对应的用户(即第二终端，例如mcptt client 2、mcptt client 3)发起组呼。
290.步骤2，mcptt client 1向mcptt server发送第三组呼呼叫请求(即group call request)基于预定义动态重组流程中获取的临时组标识(即t-gid)；
291.步骤3，mcptt server向gms解析组id。需要说明的是，对于基于动态重组的临时组呼不涉及本步骤。
292.步骤4，mcptt server向临时组标识对应的mcptt clients转发组呼呼叫请求，即向所述临时组标识关联的第二终端发送第四组呼呼叫请求。其中，mcptt server通过该第四组呼呼叫请求可携带rand，也可以不携带rand，还需要说明的是，这个rand可以是不同于预定义动态重组流程中生成的rand。
293.步骤5，收到呼叫请求的用户确认加入第一请求对应的临时组呼，即接收第二终端发送的用于指示第二终端已加入该临时组呼的第七响应信息。
294.步骤6，收到呼叫请求的mcptt clients接受组呼请求，向mcptt server发送第七响应信息.步骤6中group call response携带t-gid和可选的rand。
295.步骤7，mcptt server向mcptt client 1发送第八响应信息，指示临时组呼建立成功。
296.步骤8，第一终端和根据第二终端t-gid、t-gmk和rand推演出本次临时组呼的会话密钥(即calculate session key)，即确定所述第一请求对应的会话密钥(即session key)。
297.步骤9，临时组用户(即该临时组呼相关的第一终端和第二终端)之间进行业务数据传输。
298.本技术实施例提供的密钥传输方法，临时组业务相关安全信息在业务控制服务器
(即网络侧设备)生成并在群组呼叫过程中下发，更加符合现有架构对实体角色的定义，能够适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
299.如图7所示，本技术实施例还提供了一种临时组的密钥传输方法，由第一终端执行，包括：
300.步骤701：向网络侧设备发送第一请求；其中，所述第一请求携带有临时组成员标识信息。
301.该步骤中，第一终端通过向网络设备(例如mcptt server)发送第一请求，来发起组呼呼叫请求(即group call request)。
302.步骤702：接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在所述第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
303.步骤703：获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
304.步骤704：根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
305.本技术实施例中，网络侧设备可以是mcptt server、mcvideo server或mc service server。需要说明的是，网络侧设备为mcptt server时，对应的终端为mcptt client，对应的临时组成员标识为mcptt id，对应的群组标识为mcptt group id；网络侧设备为mcvideo server时，对应的终端为mcvideo client，对应的临时组成员标识为mcvideo id，对应的群组标识为mcvideo group id；网络侧设备为mc service server时，对应的终端为mc service client，对应的临时组成员标识为mc service id，对应的群组标识为mc service group id。本技术实施例中，以网络侧设备为mcptt server、终端为mcptt client为例来进行说明。
306.本技术实施例中，所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；或者，所述第一请求为预定义动态重组请求。
307.该实施例中，所述第一请求为第一组呼呼叫请求时的具体情况可以是：第一终端通过向网络设备(例如mcptt server)发送第一请求，来发起组呼呼叫请求(即group call request)。其中，该第一请求携带临时组成员标识信息(即mcptt id list)和呼叫类型(即call type)。这里，mcptt id list为临时发起的组呼对象，即第一请求对应的组呼对象，call type指示该呼叫(即第一请求)的呼叫类型为ad-hoc模式的临时组呼。
308.所述第一请求为预定义动态重组请求时的具体情况可以是：第一终端确定用于进行动态重组的mcptt用户标识列表(即mcptt id list，临时组成员标识信息)及重组用的群组标识(即mcptt group id)。这里，该用户可以为该群组标识中的部分用户或全部用户。第一终端向网络侧设备(例如mcptt server)发送预定义动态重组请求(即preconfigured regroup request)，即第一终端向mcptt server发送第一请求，第一请求为预定义动态重组请求。其中，该预定义动态重组请求携带临时组成员标识信息。
309.本技术实施例中，在所述第一请求为第一组呼呼叫请求的情况下，所述获取随机数，包括：
310.接收所述网络侧设备发送的第四响应信息；其中，所述第四响应信息用于所述第一请求对应的指示临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
311.本技术实施例中，在所述第一请求为预定义动态重组请求的情况下，所述获取随机数，包括：
312.接收所述网络侧设备发送的第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
313.本技术实施例中，在接收所述网络侧设备发送的第六响应信息之后，所述方法包括：
314.向所述网络侧设备发送第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
315.接收所述网络侧设备发送的第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
316.本技术实施例中，在接收gms发送的群组配置请求之后，所述方法还包括：
317.根据所述群组配置请求，向所述gms发送第十响应信息；其中，所述第十响应信息用于指示所述第一终端已接受所述群组配置请求。
318.该实施例中，第一终端收到群组配置请求后，向gms发送群组配置通知响应(即notify group configuration response)，即向所述gms发送第十响应信息，告知gms第二终端已接受所述群组配置请求。
319.本技术实施例提供的密钥传输方法，通过向网络侧设备发送满足第一预设条件第一请求，即可触发临时组密钥、临时组标识和随机数的生成及下发过程，从而可以适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
320.如图8所示，本技术实施例还提供了一种临时组的密钥传输方法，由第二终端执行，包括：
321.步骤801：接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
322.步骤802：获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
323.步骤803：根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
324.本技术实施例中，第二终端可以利用获取到的临时组标识、临时组密钥、临时组密钥标识和随机数，确定临时组呼的会话密钥，从而实现与其他终端之间的集群通信。
325.本技术实施例中，在接收gms发送的群组配置请求之后，所述方法还包括：
326.根据所述群组配置请求，向所述gms发送第九响应信息；其中，所述第九响应信息
用于指示所述第二终端已接受所述群组配置请求。
327.该实施例中，第二终端收到群组配置请求后，向gms发送群组配置通知响应(即notify group configuration response)，即向所述gms发送第九响应信息，告知gms第二终端已接受所述群组配置请求。
328.本技术实施例中，所述获取随机数，包括：
329.接收网络侧设备发送的第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有随机数、所述临时组标识和呼叫类型。
330.本技术实施例中，所述方法还包括：
331.向所述网络侧设备发送第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
332.该实施例中，第二终端(例如mcptt client 2、mcptt client3)可以发送第三响应信息，告知网络侧设备第二终端成功加入临时组呼。
333.其中，所述方法还包括：
334.接收网络侧设备发送的预定义动态重组请求；
335.根据所述预定义动态重组请求，向所述网络侧设备发送第五响应信息。
336.该实施例中，收到预定义动态重组请求的mcptt clients可以接受动态重组请求，并向mcptt server发送响应，即第二终端根据所述预定义动态重组请求发送第五响应信息。
337.本技术实施例中，所述方法还包括：
338.接收网络侧设备发送的第四组呼呼叫请求；其中，所述第四组呼呼叫请求携带有随机数和所述临时组标识。
339.本技术实施例中，所述方法还包括：
340.根据所述第四组呼呼叫请求，向所述网络侧设备发送第七响应信息；其中，所述第七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
341.该实施例中，第二终端(例如mcptt client 2、mcptt client3)，在收到呼叫请求后可以接受组呼请求，向网络侧设备发送第七响应信息，告知网络侧设备第二终端成功加入临时组呼。
342.本技术实施例提供的密钥传输方法，可以利用获取到的临时组标识、临时组密钥、临时组密钥标识和随机数，确定临时组呼的会话密钥，从而实现与其他终端之间的集群通信。
343.如图9所示，本技术实施例还提供了一种临时组的密钥传输方法，由gms执行，包括：
344.步骤901：接收网络侧设备发送的重组请求；其中，所述重组请求携带有临时组成员标识信息、临时组密钥和临时组密钥标识；
345.步骤902：根据所述重组请求，向所述临时组成员标识信息对应的第一终端和第二终端发送群组配置请求；其中，所述群组配置请求携带有临时组标识、所述临时组密钥和所述临时组密钥标识。
346.该步骤中，gms收到重组请求(即regroup notification)后，可以触发对临时组成员的群组密钥(即第一请求对应的临时组密钥)下发过程，并为临时组分配一个临时组标识
(t-gid)。gms向第一终端(例如mcptt client 1)和第二终端(例如mcptt client 2、mcptt client 3)发送群组配置请求(即notify group configuration request)，该群组配置请求携带t-gid、t-gmk和t-gmk id。这样，第一终端和第二终端在收到群组配置请求后，可以向gms发送群组配置通知响应(即notify group configuration response)。
347.步骤903：接收所述第二终端根据所述群组配置请求发送的第九响应信息，以及接收所述第一终端根据所述群组配置请求发送的第十响应信息。
348.该步骤中，在接收到第一终端和第二终端根据群组配置请求反馈的相应响应信息后，可确定终端已接受该群组配置请求。
349.步骤904：向所述网络侧设备发送第一响应信息；其中，所述第一响应信息携带有临时组标识。
350.该步骤中，gms向网络侧设备(例如mcptt server)响应重组，即向网络侧设备发送第一响应信息(即regroup notification response)，该第一响应信息携带有t-gid。mcptt server生成一个针对该临时组呼的随机数(rand)。
351.本技术实施例中，网络侧设备可以是mcptt server、mcvideo server或mc service server。需要说明的是，网络侧设备为mcptt server时，对应的终端为mcptt client，对应的临时组成员标识为mcptt id，对应的群组标识为mcptt group id；网络侧设备为mcvideo server时，对应的终端为mcvideo client，对应的临时组成员标识为mcvideo id，对应的群组标识为mcvideo group id；网络侧设备为mc service server时，对应的终端为mc service client，对应的临时组成员标识为mc service id，对应的群组标识为mc service group id。本技术实施例中，以网络侧设备为mcptt server、终端为mcptt client为例来进行说明。
352.本技术实施例中，所述方法还包括：
353.在与所述网络侧设备通信时，利用预设密钥对所述临时组密钥和临时组密钥标识进行加密。
354.例如，gms和mcptt server之间可以用事先存在的共享密钥对t-gmk及其相关信息进行加密。
355.本技术实施例提供的密钥传输方法，临时组标识在gms中产生并下发，更加符合现有架构对实体角色的定义，可以适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
356.如图10所示，本技术实施例还提供了一种临时组的密钥传输方法，由kms执行，包括：
357.步骤1001：接收网络侧设备发送的密钥材料请求；
358.步骤1002：向所述网络侧设备发送第二响应信息；其中，所述第二响应信息包括临时组密钥及其对应的临时组密钥标识。
359.该发明实施例中，kms可以在接收到网络侧设备发送的密钥材料请求(即request for key material)后，生成一个临时组密钥(即t-gmk)，并分配与t-gmk相应的临时密钥标识(即t-gmk id)，还可以生成与临时组密钥相关的配置信息(例如，密钥更新周期等)，并向mcptt server发出对密钥材料请求的响应(即provision for key material)，即发送第二响应信息，该第二响应信息携带上述信息(即t-gmk和t-gmk id，还可能包括相关的配置信
息)。
360.本技术实施例中，网络侧设备可以是mcptt server、mcvideo server或mc service server。需要说明的是，网络侧设备为mcptt server时，对应的终端为mcptt client，对应的临时组成员标识为mcptt id，对应的群组标识为mcptt group id；网络侧设备为mcvideo server时，对应的终端为mcvideo client，对应的临时组成员标识为mcvideo id，对应的群组标识为mcvideo group id；网络侧设备为mc service server时，对应的终端为mc service client，对应的临时组成员标识为mc service id，对应的群组标识为mc service group id。本技术实施例中，以网络侧设备为mcptt server、终端为mcptt client为例来进行说明。
361.本技术实施例提供的密钥传输方法，临时组的相关安全信息在kms中产生，更加符合现有架构对实体角色的定义，可以适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
362.如图11所示，本技术实施例还提供了一种网络侧设备，包括存储器1101，收发机1102，处理器1103：
363.存储器1101，用于存储计算机程序；收发机1102，用于在所述处理器1103的控制下收发数据；处理器1103，用于读取所述存储器1101中的计算机程序并执行以下操作：
364.在第一终端发送的第一请求满足第一预设条件的情况下，向群组管理服务器gms发送重组请求；其中，所述重组请求携带有所述第一请求对应的临时组成员标识信息；
365.接收所述gms根据所述重组请求发送的第一响应信息；其中，所述第一响应信息携带有临时组标识；
366.生成与所述临时组标识对应的随机数，所述随机数用于所述第一终端和第二终端确定所述第一请求对应的会话密钥；其中，所述第二终端为所述临时组成员标识信息对应的终端。
367.具体的，收发机1102，用于在处理器1103的控制下接收和发送数据。
368.其中，在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1103代表的一个或多个处理器和存储器1101代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1102可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器1103负责管理总线架构和通常的处理，存储器1101可以存储处理器1103在执行操作时所使用的数据。
369.处理器1103可以是中央处埋器(cpu)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或复杂可编程逻辑器件(complex programmable logic device，cpld)，处理器也可以采用多核架构。
370.其中，在向群组管理服务器gms发送重组请求之前，所述方法还包括：
371.向密钥管理服务器kms发送密钥材料请求；
372.接收所述kms根据所述密钥材料请求发送的第二响应信息；其中，所述第二响应信息包括临时组密钥和临时组密钥标识。
373.其中，所述第一请求携带有所述临时组成员标识信息。
374.其中，所述第一预设条件为以下其中一项：
375.所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；
376.所述第一请求为预定义动态重组请求。
377.其中，在所述第一请求为第一组呼呼叫请求的情况下，在生成与所述临时组标识对应的随机数之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
378.向所述第二终端发送第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有所述随机数、所述临时组标识和所述第一组呼呼叫请求对应的呼叫类型；
379.接收所述第二终端根据所述第二组呼呼叫请求发送的第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
380.向所述第一终端发送第四响应信息；其中，所述第四响应信息用于指示所述第一请求对应的临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
381.其中，在所述第一请求为预定义动态重组请求的情况下，在生成与所述临时组标识对应的随机数之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
382.向所述第二终端发送所述预定义动态重组请求；
383.接收所述第二终端根据所述预定义动态重组请求发送的第五响应信息；
384.建立所述第二终端与所述临时组标识之间的组关联关系；
385.向所述第一终端发送第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
386.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
387.接收所述第一终端发送的第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
388.向所述临时组标识关联的第二终端发送第四组呼呼叫请求；其中，所述第四组呼呼叫请求携带有所述随机数和所述临时组标识；
389.接收所述第二终端根据所述预定义动态重组请求发送的第七响应信息；其中，所述第七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
390.向所述第一终端发送第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
391.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
392.在与所述gms通信时，利用预设密钥对临时组密钥和临时组密钥标识进行加密。
393.本技术实施例提供的网络侧设备，临时组业务相关安全信息在业务控制服务器(即网络侧设备)生成并在群组呼叫过程中下发，更加符合现有架构对实体角色的定义，能够适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
394.如图12所示，本技术实施例还提供了一种终端，所述终端为第一终端，包括存储器1220，收发机1210，处理器1200：
395.存储器1220，用于存储计算机程序；收发机1210，用于在所述处理器1200的控制下
收发数据；处理器1200，用于读取所述存储器1220中的计算机程序并执行以下操作：
396.向网络侧设备发送第一请求；其中，所述第一请求携带有临时组成员标识信息；
397.接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在所述第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
398.获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
399.根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
400.具体的，收发机1210，用于在处理器1200的控制下接收和发送数据。
401.其中，在图12中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1200代表的一个或多个处理器和存储器1220代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1210可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括，这些传输介质包括无线信道、有线信道、光缆等传输介质。针对不同的用户设备，用户接口1230还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
402.处理器1200负责管理总线架构和通常的处理，存储器1220可以存储处理器600在执行操作时所使用的数据。
403.可选的，处理器1200可以是cpu(中央处埋器)、asic(application specific integrated circuit，专用集成电路)、fpga(field－programmable gate array，现场可编程门阵列)或cpld(complex programmable logic device，复杂可编程逻辑器件)，处理器也可以采用多核架构。
404.处理器通过调用存储器存储的计算机程序，用于按照获得的可执行指令执行本技术实施例提供的任一所述方法。处理器与存储器也可以物理上分开布置。
405.其中，所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；或者，
406.所述第一请求为预定义动态重组请求。
407.其中，在所述第一请求为第一组呼呼叫请求的情况下，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
408.接收所述网络侧设备发送的第四响应信息；其中，所述第四响应信息用于所述第一请求对应的指示临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
409.其中，在所述第一请求为预定义动态重组请求的情况下，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
410.接收所述网络侧设备发送的第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
411.其中，在接收所述网络侧设备发送的第六响应信息之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
412.向所述网络侧设备发送第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
413.接收所述网络侧设备发送的第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
414.其中，在接收gms发送的群组配置请求之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
415.根据所述群组配置请求，向所述gms发送第十响应信息；其中，所述第十响应信息用于指示所述第一终端已接受所述群组配置请求。
416.本技术实施例提供的终端，通过向网络侧设备发送满足第一预设条件第一请求，即可触发临时组密钥、临时组标识和随机数的生成及下发过程，从而可以适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
417.如图12所示，本技术实施例还提供了一种终端，所述终端为第二终端，包括存储器1220，收发机1210，处理器1200：
418.存储器1220，用于存储计算机程序；收发机1210，用于在所述处理器1200的控制下收发数据；处理器1200，用于读取所述存储器1220中的计算机程序并执行以下操作：
419.接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
420.获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
421.根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
422.具体的，收发机1210，用于在处理器1200的控制下接收和发送数据。
423.其中，在图12中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1200代表的一个或多个处理器和存储器1220代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1210可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括，这些传输介质包括无线信道、有线信道、光缆等传输介质。针对不同的用户设备，用户接口1230还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
424.处理器1200负责管理总线架构和通常的处理，存储器1220可以存储处理器600在执行操作时所使用的数据。
425.可选的，处理器1200可以是cpu(中央处埋器)、asic(application specific integrated circuit，专用集成电路)、fpga(field－programmable gate array，现场可编
程门阵列)或cpld(complex programmable logic device，复杂可编程逻辑器件)，处理器也可以采用多核架构。
426.处理器通过调用存储器存储的计算机程序，用于按照获得的可执行指令执行本技术实施例提供的任一所述方法。处理器与存储器也可以物理上分开布置。
427.其中，在接收gms发送的群组配置请求之后，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
428.根据所述群组配置请求，向所述gms发送第九响应信息；其中，所述第九响应信息用于指示所述第二终端已接受所述群组配置请求。
429.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
430.接收网络侧设备发送的第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有随机数、所述临时组标识和呼叫类型。
431.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
432.向所述网络侧设备发送第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
433.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
434.接收网络侧设备发送的预定义动态重组请求；
435.根据所述预定义动态重组请求，向所述网络侧设备发送第五响应信息。
436.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
437.接收网络侧设备发送的第四组呼呼叫请求；其中，所述第四组呼呼叫请求携带有随机数和所述临时组标识。
438.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
439.根据所述第四组呼呼叫请求，向所述网络侧设备发送第七响应信息；其中，所述第七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
440.本技术实施例提供的终端，可以利用获取到的临时组标识、临时组密钥、临时组密钥标识和随机数，确定临时组呼的会话密钥，从而实现与其他终端之间的集群通信。
441.本技术实施例还提供了一种gms，其可采用如图11所示的相同结构，包括存储器1101，收发机1102，处理器1103：
442.存储器1101，用于存储计算机程序；收发机1102，用于在所述处理器1103的控制下收发数据；处理器1103，用于读取所述存储器1101中的计算机程序并执行以下操作：
443.接收网络侧设备发送的重组请求；其中，所述重组请求携带有临时组成员标识信息、临时组密钥和临时组密钥标识；
444.根据所述重组请求，向所述临时组成员标识信息对应的第一终端和第二终端发送群组配置请求；其中，所述群组配置请求携带有临时组标识、所述临时组密钥和所述临时组密钥标识；
445.接收所述第二终端根据所述群组配置请求发送的第九响应信息，以及接收所述第一终端根据所述群组配置请求发送的第十响应信息；
446.向所述网络侧设备发送第一响应信息；其中，所述第一响应信息携带有临时组标识。
447.具体的，收发机1102，用于在处理器1103的控制下接收和发送数据。
448.其中，在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1103代表的一个或多个处理器和存储器1101代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1102可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器1103负责管理总线架构和通常的处理，存储器1101可以存储处理器1103在执行操作时所使用的数据。
449.处理器1103可以是中央处埋器(cpu)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或复杂可编程逻辑器件(complex programmable logic device，cpld)，处理器也可以采用多核架构。
450.其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：
451.在与所述网络侧设备通信时，利用预设密钥对所述临时组密钥和临时组密钥标识进行加密。
452.本技术实施例提供的gms，临时组标识在gms中产生并下发，更加符合现有架构对实体角色的定义，可以适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
453.本技术实施例还提供了一种kms，其可采用如图11所示的相同结构，包括存储器1101，收发机1102，处理器1103：
454.存储器1101，用于存储计算机程序；收发机1102，用于在所述处理器1103的控制下收发数据；处理器1103，用于读取所述存储器1101中的计算机程序并执行以下操作：
455.接收网络侧设备发送的密钥材料请求；
456.向所述网络侧设备发送第二响应信息；其中，所述第二响应信息包括临时组密钥及其对应的临时组密钥标识。
457.具体的，收发机1102，用于在处理器1103的控制下接收和发送数据。
458.其中，在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1103代表的一个或多个处理器和存储器1101代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1102可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器1103负责管理总线架构和通常的处理，存储器1101可以存储处理器1103在执行操作时所使用的数据。
459.处理器1103可以是中央处埋器(cpu)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或复杂可编程逻辑器件(complex programmable logic device，cpld)，处理器也可以采用多核架构。
460.本技术实施例提供的kms，临时组的相关安全信息在kms中产生，更加符合现有架构对实体角色的定义，可以适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
461.如图13所示，本技术实施例还提供了一种密钥传输装置，应用于网络侧设备，包括：
462.第一请求单元131，用于在第一终端发送的第一请求满足第一预设条件的情况下，向群组管理服务器gms发送重组请求；其中，所述重组请求携带有所述第一请求对应的临时组成员标识信息；
463.第一接收单元132，用于接收所述gms根据所述重组请求发送的第一响应信息；其中，所述第一响应信息携带有临时组标识；
464.第一生成单元133，用于生成与所述临时组标识对应的随机数，所述随机数用于所述第一终端和第二终端确定所述第一请求对应的会话密钥；其中，所述第二终端为所述临时组成员标识信息对应的终端。
465.本技术实施例中，所述密钥传输装置还包括：
466.密钥请求单元，用于向密钥管理服务器kms发送密钥材料请求；
467.密钥接收单元，用于接收所述kms根据所述密钥材料请求发送的第二响应信息；其中，所述第二响应信息包括临时组密钥和临时组密钥标识。
468.本技术实施例中，所述第一请求携带有所述临时组成员标识信息。
469.本技术实施例中，所述第一预设条件为以下其中一项：
470.所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；
471.所述第一请求为预定义动态重组请求。
472.本技术实施例中，所述密钥传输装置还包括：
473.第二组呼单元，用于向所述第二终端发送第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有所述随机数、所述临时组标识和所述第一组呼呼叫请求对应的呼叫类型；
474.第六接收单元，用于接收所述第二终端根据所述第二组呼呼叫请求发送的第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
475.第一发送单元，用于向所述第一终端发送第四响应信息；其中，所述第四响应信息用于指示所述第一请求对应的临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
476.本技术实施例中，所述密钥传输装置还包括：
477.重组请求单元，用于向所述第二终端发送所述预定义动态重组请求；
478.第七接收单元，用于接收所述第二终端根据所述预定义动态重组请求发送的第五响应信息；
479.关联建立单元，用于建立所述第二终端与所述临时组标识之间的组关联关系；
480.第三发送单元，用于向所述第一终端发送第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
481.本技术实施例中，所述密钥传输装置还包括：
482.第八接收单元，用于接收所述第一终端发送的第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
483.第四发送单元，用于向所述临时组标识关联的第二终端发送第四组呼呼叫请求；
其中，所述第四组呼呼叫请求携带有所述随机数和所述临时组标识；
484.第九接收单元，用于接收所述第二终端根据所述预定义动态重组请求发送的第七响应信息；其中，所述第七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼；
485.第五发送单元，用于向所述第一终端发送第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
486.本技术实施例中，所述密钥传输装置还包括：
487.第一加密单元，用于在与所述gms通信时，利用预设密钥对临时组密钥和临时组密钥标识进行加密。
488.在此需要说明的是，本技术实施例提供的上述装置，能够实现上述网络侧设备的密钥传输方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
489.本技术实施例提供的密钥传输装置，临时组业务相关安全信息在业务控制服务器(即网络侧设备)生成并在群组呼叫过程中下发，更加符合现有架构对实体角色的定义，能够适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
490.如图14所示，本技术实施例还提供了一种密钥传输装置，应用于第一终端，包括：
491.第一呼叫单元141，用于向网络侧设备发送第一请求；其中，所述第一请求携带有临时组成员标识信息；
492.第一重组单元142，用于接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在所述第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
493.第一获取单元143，用于获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
494.第一确定单元144，用于根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
495.本技术实施例中，所述第一请求为第一组呼呼叫请求，且所述第一组呼呼叫请求对应的呼叫类型为ad-hoc模式的临时组呼；或者，所述第一请求为预定义动态重组请求。
496.本技术实施例中，所述第一获取单元143包括：
497.第一接收子单元，用于接收所述网络侧设备发送的第四响应信息；其中，所述第四响应信息用于所述第一请求对应的指示临时组呼建立成功；所述第四响应信息携带有临时组标识和随机数。
498.本技术实施例中，所述第一获取单元143包括：
499.第二接收子单元，用于接收所述网络侧设备发送的第六响应信息；其中，所述第六响应信息携带有临时组标识和随机数。
500.本技术实施例中，所述密钥传输装置还包括：
501.第六发送单元，用于向所述网络侧设备发送第三组呼呼叫请求；其中，所述第三组呼呼叫请求携带有所述临时组标识；
502.第十接收单元，用于接收所述网络侧设备发送的第八响应信息；其中，所述第八响应信息携带有临时组标识，所述第八响应信息用于指示临时组呼建立成功。
503.本技术实施例中，所述密钥传输装置还包括：
504.第七发送单元，用于根据所述群组配置请求，向所述gms发送第十响应信息；其中，所述第十响应信息用于指示所述第一终端已接受所述群组配置请求。
505.在此需要说明的是，本技术实施例提供的上述装置，能够实现上述第一终端侧的密钥传输方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
506.本技术实施例提供的密钥传输方法，通过向网络侧设备发送满足第一预设条件第一请求，即可触发临时组密钥、临时组标识和随机数的生成及下发过程，从而可以适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
507.如图15所示，本技术实施例还提供了一种密钥传输装置，应用于第二终端，包括：
508.第二接收单元151，用于接收gms发送的群组配置请求；其中，所述群组配置请求携带有临时组标识、临时组密钥和临时组密钥标识，所述群组配置请求是根据网络侧设备发送的重组请求发送的，所述重组请求是所述网络侧设备在第一请求满足第一预设条件的情况下发送的，所述重组请求携带有所述第一请求对应的临时组成员标识信息、临时组密钥和临时组密钥标识；
509.第二获取单元152，用于获取随机数；其中，所述随机数与所述gms发送的第一响应信息中的临时组标识相对应，所述第一响应信息是所述gms根据所述网络侧设备发送的重组请求发送的；
510.第二确定单元153，用于根据所述临时组标识、所述临时组密钥、临时组密钥标识和所述随机数，确定所述第一请求对应的会话密钥。
511.本技术实施例中，所述密钥传输装置还包括：
512.第八发送单元，用于根据所述群组配置请求，向所述gms发送第九响应信息；其中，所述第九响应信息用于指示所述第二终端已接受所述群组配置请求。
513.本技术实施例中，所述第二获取单元152包括：
514.第二接收子单元，用于接收网络侧设备发送的第二组呼呼叫请求；其中，所述第二组呼呼叫请求携带有随机数、所述临时组标识和呼叫类型。
515.本技术实施例中，所述密钥传输装置还包括：
516.第九发送单元，用于向所述网络侧设备发送第三响应信息；其中，所述第三响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
517.本技术实施例中，所述密钥传输装置还包括：
518.第十一接收单元，用于接收网络侧设备发送的预定义动态重组请求；
519.第十发送单元，用于根据所述预定义动态重组请求，向所述网络侧设备发送第五响应信息。
520.本技术实施例中，所述第二获取单元152包括：
521.第三接收子单元，用于接收网络侧设备发送的第四组呼呼叫请求；其中，所述第四组呼呼叫请求携带有随机数和所述临时组标识。
522.本技术实施例中，所述密钥传输装置还包括：
523.第十一发送单元，用于根据所述第四组呼呼叫请求，向所述网络侧设备发送第七响应信息；其中，所述第七响应信息用于指示所述第二终端已加入所述第一请求对应的临时组呼。
524.在此需要说明的是，本技术实施例提供的上述装置，能够实现上述第二终端侧的密钥传输方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
525.本技术实施例提供的密钥传输方法，可以利用获取到的临时组标识、临时组密钥、临时组密钥标识和随机数，确定临时组呼的会话密钥，从而实现与其他终端之间的集群通信。
526.如图16所示，本技术实施例还提供了一种密钥传输装置，应用于gms，包括：
527.第四接收单元161，用于接收网络侧设备发送的重组请求；其中，所述重组请求携带有临时组成员标识信息、临时组密钥和临时组密钥标识；
528.第二发送单元162，用于根据所述重组请求，向所述临时组成员标识信息对应的第一终端和第二终端发送群组配置请求；其中，所述群组配置请求携带有临时组标识、所述临时组密钥和所述临时组密钥标识；
529.第五接收单元163，用于接收所述第二终端根据所述群组配置请求发送的第九响应信息，以及接收所述第一终端根据所述群组配置请求发送的第十响应信息；
530.第一响应单元164，用于向所述网络侧设备发送第一响应信息；其中，所述第一响应信息携带有临时组标识。
531.本技术实施例中，所述密钥传输装置还包括：
532.第二加密单元，用于在与所述网络侧设备通信时，利用预设密钥对所述临时组密钥和临时组密钥标识进行加密。
533.在此需要说明的是，本技术实施例提供的上述装置，能够实现上述gms侧的密钥传输方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
534.本技术实施例提供的密钥传输装置，临时组标识在gms中产生并下发，更加符合现有架构对实体角色的定义，可以适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
535.如图17所示，本技术实施例还提供了一种密钥传输装置，应用于kms，包括：
536.第三接收单元171，用于接收网络侧设备发送的密钥材料请求；
537.第二响应单元172，用于向所述网络侧设备发送第二响应信息；其中，所述第二响应信息包括临时组密钥及其对应的临时组密钥标识。
538.在此需要说明的是，本技术实施例提供的上述装置，能够实现上述kms侧的密钥传输方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
539.本技术实施例提供的密钥传输装置，临时组的相关安全信息在kms中产生，更加符
合现有架构对实体角色的定义，可以适用于现有的临时组呼叫模型(包括ad-hoc临时组呼叫和动态重组呼叫)，相较于现有的技术方案，应用面更广。
540.需要说明的是，本技术实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
541.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者，说对现有技术做出贡献的部分或者，该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者，网络设备等)或处理器(processor)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者，光盘等各种可以存储程序代码的介质。
542.本技术实施例还提供了一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器执行上述网络侧设备侧的密钥传输方法；或者，所述计算机程序用于使所述处理器执行上述kms侧的密钥传输方法；或者，所述计算机程序用于使所述处理器执行上述第一终端侧的密钥传输方法；或者，所述计算机程序用于使所述处理器执行上述第二终端侧的密钥传输方法；或者，所述计算机程序用于使所述处理器执行上述gms侧的密钥传输方法。
543.所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(mo)等)、光学存储器(例如cd、dvd、bd、hvd等)、以及半导体存储器(例如rom、eprom、eeprom、非易失性存储器(nand flash)、固态硬盘(ssd))等。
544.其中，上述网络侧设备侧、kms侧、第一终端侧、第二终端侧或gms侧的密钥传输方法的所述实现实施例均适用于该处理器可读存储介质的实施例中，也能达到相同的技术效果。
545.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
546.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机可执行指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机可执行指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装
置。
547.这些处理器可执行指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的处理器可读存储器中，使得存储在该处理器可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
548.这些处理器可执行指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
549.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。