CN117560669A - 一种鉴权方法、通信装置和系统 - Google Patents

Abstract

本申请实施例提供了一种鉴权方法，其中，该方法包括：无线接入网设备接收来自于中继设备的鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；所述无线接入网设备发送鉴权响应，所述鉴权响应包括对所述中继设备的鉴权结果。本申请技术方案能够实现中继设备与网络的双向鉴权，保证网络需要认证的中继设备是合法的，并且中继设备需要认证接入的网络也是合法的。

Description

一种鉴权方法、通信装置和系统

技术领域

本申请涉及通信技术领域，更具体地，涉及一种鉴权方法、通信装置和系统。

背景技术

通信系统中，射频(radio frequency，RF)中继器是一种非再生类型的中继节点，可对接收到的信号进行放大转发，并且成本低、结构简单、易部署、功耗低。第五代移动通信技术(5th generation mobile communication technology，5G)中的RF中继器也可以称为新空口(new radio，NR)中继器。若基站可以控制NR中继器进行“智能”放大转发，这种NR中继器称为网络控制中继器(network-controlled repeater，NCR)或者智能中继器(smartrepeater，SR)，也称智能直放站。

目前，NCR与网络或者基站的连接存在一定的安全问题，非法NCR设备可能接入到运营商网络，或者NCR设备可能会被非法网络使用。

因此，如何实现NCR与网络或者基站的安全连接是目前亟需解决的技术问题。

发明内容

本申请提供一种鉴权方法、通信装置和系统，能够实现NCR与基站或者网络的双向鉴权，保证网络或者基站需要认证的NCR设备是合法的，并且NCR需要认证接入的网络或者基站也是合法的。

第一方面，提供了一种鉴权方法，该方法包括：无线接入网设备接收来自于中继设备的鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；所述无线接入网设备发送鉴权响应，所述鉴权响应包括对所述中继设备的鉴权结果。

本申请提供的技术方案中，无线接入网设备可以根据中继设备的身份信息对中继设备进行鉴权，保证接入的中继设备是合法的，提高了网络的安全性。

可选的，鉴权响应可以包括该中继设备鉴权成功的结果，或者是包括该中继设备鉴权失败的结果。

结合第一方面，在第一方面的某些实现方式中，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

可选的，中继设备的身份信息可以包括中继设备的永久身份标识或者对该永久身份标识加密后的隐藏身份标识，例如用户永久标识符(subscriptionpermanentidentifier，SUPI)或者用户隐藏标识(subscription concealed identifier，SUCI)。

本申请提供的技术方案中，无线接入网设备可以根据中继设备的身份信息对中继设备进行鉴权，保证接入的中继设备是合法的，提高了网络的安全性。

结合第一方面，在第一方面的某些实现方式中，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为智能中继器(network-controlled repeater，NCR)。

可选的，中继设备的身份信息除了包括中继设备的临时身份标识、类型指示信息中的一个或者多个以外，还可以包括中继设备的永久身份标识或者对该永久身份标识加密后的隐藏身份标识。

本申请提供的技术方案中，无线接入网设备可以根据中继设备的身份信息对中继设备进行鉴权，保证接入的中继设备是合法的，提高了网络的安全性。

结合第一方面，在第一方面的某些实现方式中，所述鉴权请求信息通过随机接入过程中的无线资源控制建立请求消息、无线资源控制建立完成消息中的任意一个或多个携带。

可选的，鉴权请求信息可以通过随机接入过程中的无线资源控制建立请求(RRCSetupRequest，也称Msg3)消息、无线资源控制建立完成(RRCSetupComplete，也称Msg5)消息中的任意一个或多个携带。

示例性地，当鉴权请求信息通过Msg3消息携带时，可以在建立原因(establishmentcause)信元(information element，IE)中添加新的赋值。例如，利用“ncr-MT-Access”IE来指示发起鉴权请求的是NCR的移动终端(mobile terminal，MT)模块。通过“InitialUE–Identity”IE来携带NCR的的身份标识信息NCR-MT ID，该身份标识信息可以为临时身份标识、永久身份标识或者隐藏身份标识，其将“ng-5G-S-TMSI-Part1”字段赋值为NCR-MT ID。

示例性地，当鉴权请求信息通过Msg5消息携带时，新增加“ncr-NodeIndication”字段，用来告诉无线接入网设备完成随机接入的设备是NCR-MT，NCR-MT的身份标识信息可以包含在Msg3的InitialUE–Identity IE中。

本申请提供的技术方案中，无线接入网设备可以根据中继设备的身份信息对中继设备进行鉴权，保证接入的中继设备是合法的，提高了网络的安全性。

结合第一方面，在第一方面的某些实现方式中，在所述无线接入网设备发送鉴权响应之前，所述方法还包括：所述无线接入网设备向操作管理维护(operations,administration and maintenance，OAM)发送所述鉴权请求信息，所述OAM用于对所述中继设备进行身份认证；所述无线接入网设备接收来自于所述OAM的所述鉴权响应。

可选的，gNB可以读取鉴权请求信息，也可以不读取鉴权请求信息，直接将该鉴权请求信息发送给OAM功能实体进行鉴权。

OAM根据第一鉴权请求中NCR的身份信息对NCR进行身份认证、授权。3GPP OAM功能有鉴权功能，可参考现有TS 28.533OAM鉴权流程，本申请不再赘述。OAM对中继设备鉴权完成后，会发送鉴权响应给无线接入网设备，鉴权响应包含该中继设备鉴权成功或者失败的结果。

无线接入网设备根据鉴权响应中包括的对中继设备的鉴权结果，决定是否允许中继设备接入，并把鉴权结果转发给中继设备。若鉴权响应中包括中继设备鉴权失败的结果，则无线接入网设备拒绝中继设备的接入，并把包含鉴权失败的结果转发给中继设备。若鉴权响应中包括中继设备鉴权成功的结果，则无线接入网设备把包含鉴权成功的结果转发给中继设备，并为中继设备的接入做配置。

示例性地，无线接入网设备为5G基站(next-generation nodeB，gNB)，中继设备为NCR。gNB在中继设备的初始接入完成后，gNB的集中单元(central unit，CU)需要向gNB的分布单元(distributed unit，DU)发送指示信息，指示该设备是NCR。该指示信息通过CU与DU之间的F1接口消息携带，例如，通过用户上下文建立请求(UE context setuprequest)消息携带。这是由于携带NCR身份指示信息的无线资源控制(radio resource control，RRC)层消息是由CU解封装、读取和处理的，DU并不知道接入的设备是NCR设备，而后续需要DU为NCR做配置。

本申请提供的基于OAM的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述无线接入网设备获取所述中继设备的鉴权密钥；所述无线接入网设备根据第一随机数和所述鉴权密钥，生成第一鉴权信息；所述无线接入网设备向所述中继设备发送所述第一随机数；所述无线接入网设备接收来自于所述中继设备的第二鉴权信息；所述无线接入网设备将所述第一鉴权信息与所述第二鉴权信息进行比对。

可选的，第一随机数可以利用随机数发生器产生，或者可以通过其他途径获取，本申请对此不作限定。可选的，无线接入网设备可以从OAM获取中继设备的所述鉴权密钥。

应理解，第二鉴权信息为中继设备根据无线接入网设备发送的第一随机数和自己的鉴权密钥生成。无线接入网设备接收到中继设备发来的第二鉴权信息后可以将第一鉴权信息与第二鉴权信息进行比对，看是否一致。

本申请提供的无线接入网(radio access network，RAN)侧双向鉴权流程沿用了核心网密钥推演的鉴权模式，可剔除不合法的中继设备，只需要增强RAN的功能，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：若所述第一鉴权信息与所述第二鉴权信息一致，则所述无线接入网设备允许所述中继设备接入；若所述第一鉴权信息与所述第二鉴权信息不一致，则所述无线接入网设备拒绝所述中继设备接入。

示例性地，第一鉴权信息为预期响应数(expectedresponse，XRES)，第二鉴权信息为响应数(response，RES)。若RES与XRES不同，则验证失败，不允许中继设备接入该无线接入网设备，并将该中继设备的信息加入到黑名单中。若RES与XRES相同，则验证成功，无线接入网设备继续后续配置流程。

本申请提供的RAN侧双向鉴权流程沿用了核心网密钥推演的鉴权模式，可剔除不合法的中继设备，只需要增强RAN的功能，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述无线接入网设备根据多个第二随机数和所述鉴权密钥，生成第三鉴权信息；所述无线接入网设备向所述中继设备发送所述第三鉴权信息和所述多个第二随机数。

示例性地，第三鉴权信息为消息认证码(message authentication code，MAC)，MAC可以由中继设备的鉴权密钥和多个第二随机数用f1算法计算得来。无线接入网设备向中继设备发送MAC和该多个第二随机数供中继设备对其进行鉴权。

本申请提供的RAN侧双向鉴权流程沿用了核心网密钥推演的鉴权模式，可剔除不合法的网络设备，只需要增强RAN的功能，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述无线接入网设备接收所述中继设备的设备证书信息；所述无线接入网设备根据所述设备证书信息对所述中继设备进行鉴权。

示例性地，该设备证书信息可以包括预置的设备证书，中继设备的公钥，设备信息和中继设备的私钥对该设备证书的签名。

本申请实施例提供的方法可以基于中继设备的设备证书信息完成鉴权，可剔除不合法的中继设备，便于运营商、设备商使用私有信令实现，鉴权不需要核心网参与，避免对核心网网元功能进行升级。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述无线接入网设备的集中单元CU向所述无线接入网设备的分布单元DU发送类型指示信息，所述类型指示信息用于指示所述中继设备为NCR。

无线接入网设备在中继设备的初始接入完成后，无线接入网设备的集中单元需要向分布单元发送指示信息，指示该中继设备是NCR。该指示信息通过CU与DU之间的F1接口消息携带，例如，通过UE context setuprequest消息携带。这是由于携带NCR身份指示信息的RRC层消息是由CU解封装、读取和处理的，DU并不知道接入的设备是NCR设备，而后续需要DU为NCR做配置。

本申请提供的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

第二方面，提供了一种鉴权方法，该方法包括：中继设备向无线接入网设备发送鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；所述中继设备接收鉴权响应，所述鉴权响应包括对所述中继设备的鉴权结果。

本申请提供的技术方案中，无线接入网设备可以根据中继设备发送的身份信息对中继设备进行鉴权，保证接入的中继设备是合法的，提高了网络的安全性。

可选的，鉴权响应可以包括该中继设备鉴权成功的结果，或者是包括该中继设备鉴权失败的结果。

结合第一方面，在第一方面的某些实现方式中，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

可选的，中继设备的身份信息可以包括中继设备的永久身份标识或者对该永久身份标识加密后的隐藏身份标识，例如SUPI或者SUCI。

本申请提供的技术方案中，无线接入网设备可以根据中继设备的身份信息对中继设备进行鉴权，保证接入的中继设备是合法的，提高了网络的安全性。

结合第二方面，在第二方面的某些实现方式中，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为NCR。

可选的，中继设备的身份信息除了包括中继设备的临时身份标识、类型指示信息中的一个或者多个以外，还可以包括中继设备的永久身份标识或者对该永久身份标识加密后的隐藏身份标识。

本申请提供的技术方案中，无线接入网设备可以根据中继设备的身份信息对中继设备进行鉴权，保证接入的中继设备是合法的，提高了网络的安全性。

结合第二方面，在第二方面的某些实现方式中，所述鉴权请求信息通过随机接入过程中的无线资源控制建立请求消息、无线资源控制建立完成消息中的任意一个或多个携带。

可选的，鉴权请求信息可以通过随机接入过程中的Msg3消息、Msg5消息中的任意一个或多个携带。

示例性地，当鉴权请求信息通过Msg3消息携带时，可以在建立原因IE中添加新的赋值。例如，利用“ncr-MT-Access”IE来指示发起鉴权请求的是NCR的MT模块。通过“InitialUE–Identity”IE来携带NCR的的身份标识信息NCR-MT ID，该身份标识信息可以为临时身份标识、永久身份标识或者隐藏身份标识，其将“ng-5G-S-TMSI-Part1”字段赋值为NCR-MT ID。

示例性地，当鉴权请求信息通过Msg5消息携带时，新增加“ncr-NodeIndication”字段，用来告诉无线接入网设备完成随机接入的设备是NCR-MT，NCR-MT的身份标识信息可以包含在Msg3的InitialUE–Identity IE中。

本申请提供的技术方案中，无线接入网设备可以根据中继设备的身份信息对中继设备进行鉴权，保证接入的中继设备是合法的，提高了网络的安全性。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：所述中继设备接收来自于所述无线接入网设备的第一随机数；所述中继设备根据所述第一随机数和所述中继设备的鉴权密钥，生成第二鉴权信息；所述中继设备向所述无线接入网设备发送所述第二鉴权信息。

应理解，中继设备接收到从无线接入网设备发来的第一随机数后，可以根据该第一随机数和自己的鉴权密钥生成第二鉴权信息。无线接入网设备接收到中继设备发来的第二鉴权信息后可以将第一鉴权信息与第二鉴权信息进行比对，看是否一致。

可选的，若第一鉴权信息与第二鉴权信息一致，则无线接入网设备允许中继设备接入；若第一鉴权信息与所述第二鉴权信息不一致，则无线接入网设备拒绝中继设备接入。

示例性地，第一鉴权信息为XRES，第二鉴权信息为RES。若RES与XRES不同，则验证失败，不允许中继设备接入该无线接入网设备，并将该中继设备的信息加入到黑名单中。若RES与XRES相同，则验证成功，无线接入网设备继续后续配置流程。

本申请提供的RAN侧双向鉴权流程沿用了核心网密钥推演的鉴权模式，可剔除不合法的中继设备，只需要增强RAN的功能，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：所述中继设备接收来自于所述无线接入网设备的第三鉴权信息和多个第二随机数；所述中继设备根据所述多个第二随机数和所述鉴权密钥，生成第四鉴权信息；所述中继设备将所述第三鉴权信息与所述第四鉴权信息进行比对。

应理解，中继设备接收到来自于无线接入网设备的第三鉴权信息和多个第二随机数后，可以根据该多个第二随机数和自己的鉴权密钥生成第四鉴权信息。示例性地，第四鉴权信息为MAC，MAC可以由中继设备的鉴权密钥和多个第二随机数用f1算法计算得来。

可选的，若所述第三鉴权信息与所述第四鉴权信息一致，则所述无线接入网设备鉴权成功；若所述第三鉴权信息与所述第四鉴权信息不一致，则所述无线接入网设备鉴权失败。

中继设备将第三鉴权信息与第四鉴权信息进行比对，若第三鉴权信息和第四鉴权信息不同，则验证失败，中继设备拒绝接入该无线接入网设备以及当前小区，并将该无线接入网设备和/或当前小区的身份标识号(identity document，ID)加入到黑名单中，或者在历史小区信息中标记出来，中继设备重新发起初始接入流程。应理解，中继设备可以在随机接入的过程中获取该无线接入网设备及该小区的ID。若第三鉴权信息和第四鉴权信息相同，则验证成功，即无线接入网设备鉴权成功。

本申请提供的RAN侧双向鉴权流程沿用了核心网密钥推演的鉴权模式，可剔除不合法的网络设备，只需要增强RAN的功能，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：所述中继设备向所述无线接入网设备发送所述中继设备的设备证书信息。

示例性地，该设备证书信息可以包括预置的设备证书，中继设备的公钥，设备信息和中继设备的私钥对该设备证书的签名。中继设备向无线接入网设备发送设备证书信息供无线接入网设备对其鉴权。

本申请实施例提供的方法可以基于中继设备的设备证书信息完成鉴权，可剔除不合法的中继设备，便于运营商、设备商使用私有信令实现，鉴权不需要核心网参与，避免对核心网网元功能进行升级。

第三方面，提供了一种鉴权方法，该方法包括：核心网接收来自于中继设备的鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；所述核心网向所述中继设备发送鉴权响应，所述鉴权响应包括所述核心网对所述中继设备进行的鉴权结果。

本申请实施例中，中继设备可以采用终端设备的鉴权方式。示例性地，可以利用5G认证与密钥协商(authentication and key agreement，AKA)协议鉴权，或者可扩展认证协议-认证和密钥协商(extensible authentication protocol-authentication and keyagreement，EAP-AKA)协议鉴权。中继设备与核心网统一数据管理功能(unified datamanagement，UDM)网元、鉴权服务功能(authentication server function，AUSF)网元、接入和移动性管理功能(access and mobility management function，AMF)网元之间通过无线接入网设备透传非接入层(non-access stratum，NAS)消息，完成双向鉴权。

本申请提供的基于用户设备(user equipment，UE)的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

结合第三方面，在第三方面的某些实现方式中，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

可选的，中继设备的身份信息可以包括中继设备的永久身份标识或者对该永久身份标识加密后的隐藏身份标识，例如SUPI或者SUCI。

本申请提供的基于UE的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

结合第三方面，在第三方面的某些实现方式中，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为NCR。

可选的，中继设备的身份信息除了包括中继设备的临时身份标识、类型指示信息中的一个或者多个以外，还可以包括中继设备的永久身份标识或者对该永久身份标识加密后的隐藏身份标识。

本申请提供的基于UE的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。并且鉴权主要步骤按照现有的鉴权流程，降低了对当前协议的影响。

结合第三方面，在第三方面的某些实现方式中，所述鉴权请求信息通过随机接入过程中的无线资源控制建立请求消息、无线资源控制建立完成消息中的任意一个或多个携带。

可选的，鉴权请求信息可以通过随机接入过程中的Msg3消息、Msg5消息中的任意一个或多个携带。

示例性地，当鉴权请求信息通过Msg3消息携带时，可以在建立原因IE中添加新的赋值。例如，利用“ncr-MT-Access”IE来指示发起鉴权请求的是NCR的MT模块。通过“InitialUE–Identity”IE来携带NCR的的身份标识信息NCR-MT ID，该身份标识信息可以为临时身份标识、永久身份标识或者隐藏身份标识，其将“ng-5G-S-TMSI-Part1”字段赋值为NCR-MT ID。

示例性地，当鉴权请求信息通过Msg5消息携带时，新增加“ncr-NodeIndication”字段，用来告诉无线接入网设备完成随机接入的设备是NCR-MT，NCR-MT的身份标识信息可以包含在Msg3的InitialUE–Identity IE中。

本申请提供的基于UE的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

结合第三方面，在第三方面的某些实现方式中，所述方法还包括：若所述鉴权响应包括所述中继设备鉴权成功的结果，所述核心网向无线接入网设备发送类型指示信息，所述类型指示信息用于指示所述中继设备为NCR。

应理解，由于无线接入网设备可能无法读取NAS消息，因此，NCR鉴权通过后，需要核心网向无线接入网设备发送鉴权响应来告知无线接入网设备接入的设备是NCR。

可选的，核心网和NCR的鉴权完成后，核心网可以通过多种方式来告知无线接入网设备该鉴权设备为NCR设备。示例性地，核心网功能网元AMF或者AUSF向gNB发送鉴权响应来告诉gNB该鉴权设备是NCR设备。

或者，UDM可以根据NCR的SUPI获取NCR的签约信息，通过该签约信息得知接入的设备为NCR设备，然后，UDM向AMF发送鉴权响应，AMF再向无线接入网设备转发该鉴权响应，指示鉴权设备是NCR设备。

或者，UDM先发送鉴权响应给AUSF，AUSF转发鉴权响应给AMF，AMF再将鉴权响应发送给无线接入网设备，告诉无线接入网设备该鉴权设备是NCR设备。

应理解，由于携带NCR身份指示信息的鉴权响应是在无线接入网设备的CU进行读取和处理的。因此，在NCR初始接入完成后，CU需要向DU发送指示信息，指示该接入设备是NCR，方便DU为NCR做配置。NCR身份指示信息通过CU与DU之间的F1接口消息携带，示例性地，可以通过UE context setuprequest消息携带。

本申请实施例提供的基于UE的核心网鉴权方式，可以保护NCR设备和运营商网络的安全，避免非法设备接入到运营商网络或者NCR设备被非法网络使用。

第四方面，提供了一种鉴权方法，该方法包括：中继设备向核心网发送鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；所述中继设备接收鉴权响应，所述鉴权响应包括所述核心网对所述中继设备进行的鉴权结果。

本申请实施例中，中继设备可以采用终端设备的鉴权方式。示例性地，可以利用5GAKA协议鉴权，或者EAP-AKA协议鉴权。中继设备与核心网UDM、AUSF、AMF网元之间通过无线接入网设备透传NAS消息，完成双向鉴权。

本申请提供的基于UE的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

结合第四方面，在第四方面的某些实现方式中，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

可选的，中继设备的身份信息可以包括中继设备的永久身份标识或者对该永久身份标识加密后的隐藏身份标识，例如SUPI或者SUCI。

本申请提供的基于UE的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

结合第四方面，在第四方面的某些实现方式中，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为NCR。

可选的，中继设备的身份信息除了包括中继设备的临时身份标识、类型指示信息中的一个或者多个以外，还可以包括中继设备的永久身份标识或者对该永久身份标识加密后的隐藏身份标识。

本申请提供的基于UE的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

结合第四方面，在第四方面的某些实现方式中，所述鉴权请求信息通过随机接入过程中的无线资源控制建立请求消息、无线资源控制建立完成消息中的任意一个或多个携带。

可选的，鉴权请求信息可以通过随机接入过程中的Msg3消息、Msg5消息中的任意一个或多个携带。

示例性地，当鉴权请求信息通过Msg3消息携带时，可以在建立原因IE中添加新的赋值。例如，利用“ncr-MT-Access”IE来指示发起鉴权请求的是NCR的MT模块。通过“InitialUE–Identity”IE来携带NCR的的身份标识信息NCR-MT ID，该身份标识信息可以为临时身份标识、永久身份标识或者隐藏身份标识，其将“ng-5G-S-TMSI-Part1”字段赋值为NCR-MT ID。

示例性地，当鉴权请求信息通过Msg5消息携带时，新增加“ncr-NodeIndication”字段，用来告诉无线接入网设备完成随机接入的设备是NCR-MT，NCR-MT的身份标识信息可以包含在Msg3的InitialUE–Identity IE中。

本申请提供的基于UE的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

第五方面，提供了一种鉴权方法，该方法包括：中继设备向无线接入网设备发送第一随机数；所述中继设备接收来自于所述无线接入网设备的第一响应数；所述中继设备根据所述无线接入网设备的公钥对所述第一响应数进行验证。

可选的，第一响应数可以是中继设备利用随机数生成器生成的，或者，也可以预先配置好第一随机数，或者也可以从可靠的第三方获取第一随机数，本申请对获得第一随机数的具体方式不作限定。

中继设备向无线接入网设备发送第一随机数，可选的，中继设备还可以同时向无线接入网设备发送中继设备的公钥S2、鉴权方式指示中的任意一个或多个。应理解，鉴权方式指示包括单向鉴权指示和双向鉴权指示。

示例性地，第一随机数、公钥S2和鉴权方式指示可以通过RRCSetupRequest消息携带。

无线接入网设备在接收到中继设备发来的第一随机数后，可以根据第一随机数与无线接入网设备的私钥G1生成第一响应数。示例性地，无线接入网设备可以使用G1对第一随机数加扰或者加密得到第一响应数。中继设备根据第一响应数对无线接入网设备鉴权。

可选的，若所述验证能够获得所述第一随机数，则所述无线接入网设备鉴权成功；若所述验证不能获得所述第一随机数，则所述无线接入网设备鉴权失败。

示例性地，中继设备使用无线接入网设备的公钥G2来验证第一响应数。具体的，中继设备使用公钥G2对第一响应数解扰或解密，若可以得到第一随机数，则代表验证成功，否则验证失败。若验证失败，则认为无线接入网设备鉴权失败，中继设备拒绝接入该无线接入网设备以及当前小区，并将该无线接入网设备的ID和/或该小区ID加入到黑名单中，或者在历史小区信息中标记出来，中继设备重新发起初始接入流程。应理解，中继设备可以在随机接入的过程中获取该无线接入网设备及该小区的ID。

本申请实施例提供的中继设备与无线接入网设备在RAN侧的双向鉴权机制，可剔除不合法的中继设备和不合法的无线接入网设备，并且RAN侧鉴权流程简单，能够快速完成中继设备的鉴权以及初始接入，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第五方面，在第五方面的某些实现方式中，所述第一随机数通过随机接入过程中的无线资源控制建立请求消息携带。

可选的，第一随机数可以通过随机接入过程中的Msg3消息携带。

本申请实施例提供的中继设备与无线接入网设备在RAN侧的双向鉴权机制，可剔除不合法的中继设备和不合法的无线接入网设备，并且RAN侧鉴权流程简单，能够快速完成中继设备的鉴权以及初始接入，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第五方面，在第五方面的某些实现方式中，所述方法还包括：所述中继设备向所述无线接入网设备发送第二响应数，所述第二响应数根据所述第一响应数和所述中继设备的私钥生成；所述中继设备接收鉴权响应，所述鉴权响应包括所述无线接入网对所述中继设备进行的鉴权结果。

中继设备可以根据第一响应数和中继设备的私钥S1生成第二响应数。示例性地，中继设备可以使用中继设备的私钥S1对第一响应数进行加扰或加密得到第二响应数。第二响应数用于无线接入网设备对中继设备鉴权。

示例性地，第二响应数可以通过RRCSetupComplete消息携带。无线接入网设备收到第二响应数后可以使用中继设备的公钥S2来验证第二响应数。具体的，无线接入网设备使用公钥S2对第二响应数解扰或解密，若可以得到第一响应数，则代表验证成功，否则验证失败。

本申请实施例提供的中继设备与无线接入网设备在RAN侧的双向鉴权机制，可剔除不合法的中继设备和不合法的无线接入网设备，并且RAN侧鉴权流程简单，能够快速完成中继设备的鉴权以及初始接入，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第五方面，在第五方面的某些实现方式中，在所述中继设备根据所述无线接入网设备的公钥对所述第一响应数进行验证之前，所述方法还包括：所述中继设备接收来自于所述无线接入网设备的第一身份哈希值，所述第一身份哈希值为所述无线接入网设备的身份哈希值；所述中继设备确认区块链网络中存在所述第一身份哈希值，所述区块链网络用于管理所述无线接入网设备的身份信息。

示例性地，可以在中继设备与无线接入网设备上引入区块链控制器。应理解，区块链网络存在第三方的身份提供商对在区块链上注册的用户的身份进行管控。中继设备与无线接入网设备作为客户在区块链上进行注册，生成公钥和私钥对。

应理解，无线接入网设备的身份哈希值可以是无线接入网设备在区块链网络上注册时生成的，该第一身份哈希值会在区块链上保存，即无线接入网设备的身份哈希值可以在区块链上找到。

中继设备接收到无线接入网设备发来的第一身份哈希值后，首先根据第一身份哈希值在区块链上查询，确认是否真实存在。如果可以在区块链上找到该第一身份哈希值，则代表该无线接入网设备真实存在，若不能在区块链上找到该第一身份哈希值，则代表该无线接入网设备不存在。

若该无线接入网设备真实存在，中继设备使用无线接入网设备的公钥G2来验证第一响应数。

本申请实施例将区块链功能引入到RAN架构中，实现基于区块链认证的双向鉴权，能够克服传统鉴权的安全风险问题，可以剔除不合法设备，且鉴权不需要核心网参与，避免了对核心网网元功能进行升级。

结合第五方面，在第五方面的某些实现方式中，所述方法还包括：所述中继设备向所述无线接入网设备发送第二身份哈希值，所述第二身份哈希值为所述中继设备的身份哈希值。

中继设备可以向无线接入网设备发送中继设备的身份哈希值。应理解，中继设备的身份哈希值可以是中继设备在区块链网络上注册时生成的，该第二身份哈希值会在区块链上保存，即第二身份哈希值可以在区块链上找到。

可选的，中继设备还可以同时向无线接入网设备发送中继设备的公钥S2。

可选的，第二身份哈希值和中继设备的公钥S2可以作为RAN智能控制器(RANintelligent controller，RIC)容器，通过RRCSetupRequest消息携带。

本申请实施例将区块链功能引入到RAN架构中，实现基于区块链认证的双向鉴权，能够克服传统鉴权的安全风险问题，可以剔除不合法设备，且鉴权不需要核心网参与，避免了对核心网网元功能进行升级。

在第五方面以及第五方面的任一种可能实现方式中任一项所述的方法中，中继设备与无线接入网设备可以预先获取自己的私钥以及对方的公钥，除了相互发送公钥以外，还可以通过以下方式：

在一种可能的方式中，无线接入网设备、中继设备双方预先配置好鉴权信息，该鉴权信息包含无线接入网设备、中继设备各自的私钥。或者预先安装好运营商颁发的证书，该证书包含无线接入网设备、中继设备各自的私钥，可选的，还可以包括对方的公钥。

在一种可能的方式中，OAM可以为中继设备预配中继设备的私钥S1和公钥S2，可选的，OAM还可以为中继设备预配无线接入网设备的公钥G2。同理，OAM可以为无线接入网设备预配无线接入网设备的私钥G1和公钥G2，可选的，OAM还可以为无线接入网设备预配中继设备的公钥S2。

在一种可能的方式中，中继设备可以向OAM申请私钥S1和公钥S2，可选的，还可以向OAM申请无线接入网设备的公钥G2。同理，无线接入网设备可以向OAM申请私钥G1和公钥G2，可选的，还可以向OAM申请中继设备的公钥S2。

在一种可能的方式中，网络管理设备，或者称网管，来帮助无线接入网设备获取无线接入网设备的证书，以及帮助中继设备获取中继设备的证书，并向中继设备提供无线接入网设备公钥G2、向无线接入网设备提供中继设备的公钥S2。

第六方面，提供了一种鉴权方法，该方法包括：无线接入网设备接收来自于中继设备的第一随机数；所述无线接入网设备向所述中继设备发送第一响应数，所述第一响应数根据所述无线接入网设备的私钥和所述第一随机数生成。

可选的，第一响应数可以是中继设备利用随机数生成器生成的，或者，也可以预先配置好第一随机数，或者也可以从可靠的第三方获取第一随机数，本申请对获得第一随机数的具体方式不作限定。

无线接入网设备在接收到中继设备发来的第一随机数后，可以根据第一随机数与无线接入网设备的私钥G1生成第一响应数。示例性地，无线接入网设备可以使用G1对第一随机数加扰或者加密得到第一响应数。

中继设备根据第一响应数对无线接入网设备鉴权。示例性地，中继设备使用无线接入网设备的公钥G2来验证第一响应数。具体的，中继设备使用公钥G2对第一响应数解扰或解密，若可以得到第一随机数，则代表验证成功，否则验证失败。若验证失败，则认为无线接入网设备鉴权失败，中继设备拒绝接入该无线接入网设备以及当前小区，并将该无线接入网设备的ID和/或该小区ID加入到黑名单中，或者在历史小区信息中标记出来，中继设备重新发起初始接入流程。应理解，中继设备可以在随机接入的过程中获取该无线接入网设备及该小区的ID。

本申请实施例提供的中继设备与无线接入网设备在RAN侧的双向鉴权机制，可剔除不合法的中继设备和不合法的无线接入网设备，并且RAN侧鉴权流程简单，能够快速完成中继设备的鉴权以及初始接入，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第六方面，在第六方面的某些实现方式中，所述第一随机数通过随机接入过程中的无线资源控制建立请求消息携带。

可选的，第一随机数可以通过随机接入过程中的Msg3消息携带。

本申请实施例提供的中继设备与无线接入网设备在RAN侧的双向鉴权机制，可剔除不合法的中继设备和不合法的无线接入网设备，并且RAN侧鉴权流程简单，能够快速完成中继设备的鉴权以及初始接入，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第六方面，在第六方面的某些实现方式中，所述方法还包括：所述无线接入网设备接收来自于所述中继设备的第二响应数；所述无线接入网设备根据所述中继设备的公钥对所述第二响应数进行验证；所述无线接入网设备向所述中继设备发送鉴权响应，所述鉴权响应包括所述无线接入网对所述中继设备进行的鉴权结果。

第二响应数为中继设备根据第一响应数和中继设备的私钥S1生成。示例性地，中继设备可以使用私钥S1对第一响应数进行加扰或加密得到第二响应数，然后将第二响应数发送给无线接入网设备用于无线接入网设备对中继设备鉴权。

可选的，若所述验证能够获得所述第一响应数，则所述无线接入网设备允许所述中继设备接入；若所述验证不能获得所述第一响应数，则所述无线接入网设备拒绝所述中继设备接入。

示例性地，无线接入网设备使用中继设备的公钥S2来验证第二响应数。具体的，无线接入网设备使用公钥S2对第二响应数解扰或解密，若可以得到第一响应数，则代表验证成功，否则验证失败。若验证失败，则认为中继设备鉴权失败，无线接入网设备拒绝中继设备的接入，发送鉴权响应通知中继设备鉴权未通过，并将该中继设备的ID加入到黑名单中。若使用公钥S2验证成功，无线接入网设备向中继设备发送鉴权响应通知中继设备鉴权通过。

示例性地，鉴权响应可以通过无线资源控制重配置(RRCReconfiguration)消息携带。

本申请实施例提供的中继设备与无线接入网设备在RAN侧的双向鉴权机制，可剔除不合法的中继设备和不合法的无线接入网设备，并且RAN侧鉴权流程简单，能够快速完成中继设备的鉴权以及初始接入，不需要核心网参与，避免了对核心网网元功能进行升级。

结合第六方面，在第六方面的某些实现方式中，所述方法还包括：所述无线接入网设备向所述中继设备发送第一身份哈希值，所述第一身份哈希值为所述无线接入网设备的身份哈希值。

示例性地，可以在中继设备与无线接入网设备上引入区块链控制器。应理解，区块链网络存在第三方的身份提供商对在区块链上注册的用户的身份进行管控。中继设备与无线接入网设备作为客户在区块链上进行注册，生成公钥和私钥对。

应理解，无线接入网设备的身份哈希值可以是无线接入网设备在区块链网络上注册时生成的，该第一身份哈希值会在区块链上保存，即无线接入网设备的身份哈希值可以在区块链上找到。

中继设备接收到无线接入网设备发来的第一身份哈希值后，首先根据第一身份哈希值在区块链上查询，确认是否真实存在。如果可以在区块链上找到该第一身份哈希值，则代表该无线接入网设备真实存在，若不能在区块链上找到该第一身份哈希值，则代表该无线接入网设备不存在。

本申请实施例将区块链功能引入到RAN架构中，实现基于区块链认证的双向鉴权，能够克服传统鉴权的安全风险问题，可以剔除不合法设备，且鉴权不需要核心网参与，避免了对核心网网元功能进行升级。

结合第六方面，在第六方面的某些实现方式中，在所述无线接入网设备向所述中继设备发送第一鉴权请求之前，所述方法还包括：所述无线接入网设备接收来自于所述中继设备的第二身份哈希值，所述第二身份哈希值为所述中继设备的身份哈希值；所述无线接入网设备确认区块链网络中存在所述第二身份哈希值，所述区块链网络用于管理所述中继设备的身份信息。

中继设备可以向无线接入网设备发送中继设备的身份哈希值。应理解，中继设备的身份哈希值可以是中继设备在区块链网络上注册时生成的，该第二身份哈希值会在区块链上保存，即第二身份哈希值可以在区块链上找到。

可选的，中继设备还可以同时向无线接入网设备发送中继设备的公钥S2。

可选的，第二身份哈希值和中继设备的公钥S2可以作为RAN智能控制器(RANintelligent controller，RIC)容器，通过RRCSetupRequest消息携带。

无线接入网设备接收到中继设备发来的第二身份哈希值后，首先根据第二身份哈希值在区块链上查询，确认是否真实存在。如果可以在区块链上找到该第二身份哈希值，则代表该中继设备真实存在，若不能在区块链上找到该第二身份哈希值，则代表该中继设备不存在。

本申请实施例将区块链功能引入到RAN架构中，实现基于区块链认证的双向鉴权，能够克服传统鉴权的安全风险问题，可以剔除不合法设备，且鉴权不需要核心网参与，避免了对核心网网元功能进行升级。

结合第六方面，在第六方面的某些实现方式中，所述方法还包括：所述无线接入网设备的集中单元向所述无线接入网设备的分布单元发送类型指示信息，所述类型指示信息用于指示所述中继设备为NCR。

无线接入网设备在中继设备的初始接入完成后，无线接入网设备的集中单元需要向分布单元发送指示信息，指示该中继设备是NCR。该指示信息通过CU与DU之间的F1接口消息携带，例如，通过UE context setuprequest消息携带。这是由于携带NCR身份指示信息的RRC层消息是由CU解封装、读取和处理的，DU并不知道接入的设备是NCR设备，而后续需要DU为NCR做配置。

本申请提供的鉴权方式，可以保护中继设备和运营商网络的安全，避免非法设备接入到运营商网络或者中继设备被非法网络使用，提高了网络的安全性。

在第六方面以及第六方面的任一种可能实现方式中任一项所述的方法中，中继设备与无线接入网设备可以预先获取自己的私钥以及对方的公钥，除了相互发送公钥以外，还可以通过以下方式：

在一种可能的方式中，无线接入网设备、中继设备双方预先配置好鉴权信息，该鉴权信息包含无线接入网设备、中继设备各自的私钥。或者预先安装好运营商颁发的证书，该证书包含无线接入网设备、中继设备各自的私钥，可选的，还可以包括对方的公钥。

在一种可能的方式中，OAM可以为中继设备预配中继设备的私钥S1和公钥S2，可选的，OAM还可以为中继设备预配无线接入网设备的公钥G2。同理，OAM可以为无线接入网设备预配无线接入网设备的私钥G1和公钥G2，可选的，OAM还可以为无线接入网设备预配中继设备的公钥S2。

在一种可能的方式中，中继设备可以向OAM申请私钥S1和公钥S2，可选的，还可以向OAM申请无线接入网设备的公钥G2。同理，无线接入网设备可以向OAM申请私钥G1和公钥G2，可选的，还可以向OAM申请中继设备的公钥S2。

在一种可能的方式中，网管帮助无线接入网设备获取无线接入网设备的证书，以及帮助中继设备获取中继设备的证书，并向中继设备提供无线接入网设备公钥G2、向无线接入网设备提供中继设备的公钥S2。

第七方面，提供了一种鉴权方法，该方法包括：无线接入网设备的集中单元向所述无线接入网设备的分布单元发送类型指示信息，所述类型指示信息用于指示接入所述无线接入网设备的中继设备为NCR。

应理解，第七方面提供的鉴权方法可以在第一方面至第六方面，以及第一方面至第六方面任一种可能实现方式中任一项所述的方法之后进行。

第八方面，提供了一种通信装置，包括至少一个处理器，该至少一个处理器用于执行存储器中存储的计算机程序，以使得所述装置实现如第一方面至第七方面，以及第一方面至第七方面的任一种可能实现方式中任一项所述的方法。

第九方面，提供了一种通信系统，包括：无线接入网设备和中继设备；所述无线接入网设备执行如第一方面以及第一方面的任一种可能实现方式中任一项所述的方法，以及，中继设备执行如第二方面以及第二方面的任一种可能实现方式中任一项所述的方法。

第十方面，提供了一种通信系统，包括：核心网和中继设备；所述核心网执行如第三方面以及第三方面的任一种可能实现方式中任一项所述的方法，以及，所述中继设备执行执行如第四方面以及第四方面的任一种可能实现方式中任一项所述的方法。

第十一方面，提供了一种通信系统，包括：无线接入网设备和中继设备；所述中继设备执行如第五方面以及第五方面的任一种可能实现方式中任一项所述的方法，以及，所述无线接入网设备执行如第六方面以及第六方面的任一种可能实现方式中任一项所述的方法。

第十二方面，提供了一种计算机可读存储介质，存储有计算机程序或指令，该计算机程序或指令用于实现第一方面至第七方面，以及第一方面至第七方面的任一种可能实现方式中所述的方法。

第十三方面，提供了一种计算机程序产品，当所述计算机程序产品在计算机上运行时，使得所述计算机执行第一方面至第七方面，以及第一方面至第七方面的任一种可能实现方式中所述的方法。

附图说明

图1是一种通信系统的场景示意图。

图2是本申请实施例提供的一种NCR与普通中继器的架构示意图。

图3是本申请实施例提供的一种鉴权方法的网络架构示意图。

图4是本申请实施例提供的一种鉴权方法的示意性流程图。

图5是本申请实施例提供的另一种鉴权方法的示意性流程图。

图6是本申请实施例提供的另一种鉴权方法的示意性流程图。

图7是本申请实施例提供的另一种鉴权方法的示意性流程图。

图8是本申请实施例提供的另一种鉴权方法的示意性流程图。

图9是本申请实施例提供的一种基于O-RAN架构的无线接入网设备的结构示意图。

图10是本申请实施例提供的另一种鉴权方法的示意性流程图。

图11是本申请实施例提供的另一种鉴权方法的示意性流程图。

图12是本申请实施例提供的一种用户在区块链注册的示意性流程图。

图13是本申请实施例提供的一种用户在区块链登录的示意性流程图。

图14是本申请实施例提供的基于区块链管理功能的无线接入网设备的架构示意图。

图15是本申请实施例提供的另一种基于区块链管理功能的无线接入网设备的架构示意图。

图16是本申请实施例提供的另一种基于区块链管理功能的无线接入网设备的架构示意图。

图17是本申请实施例提供的另一种鉴权方法的示意性流程图。

图18是本申请实施例提供的另一种鉴权方法的示意性流程图。

图19是本申请实施例提供的一种通信装置的示意性框图。

图20是本申请实施例提供的一种通信设备的示意性框图。

具体实施方式

覆盖是蜂窝网络的基本功能，在信号覆盖差的区域部署中继节点可扩大网络覆盖范围。射频(radio frequency，RF)中继器(repeater)是一种非再生类型的中继节点，可对接收到的信号进行放大转发，并且成本低、结构简单、易部署、功耗低。RF中继器已在第二代(second generation，2G)、第三代(third generation，3G)、第四代(fourth generation，4G)网络中部署，是改善网络覆盖最简单且最具成本效益的方案。第五代移动通信技术(5thgeneration mobile communication technology，5G)采用更高的频段来获取大带宽，例如sub-6吉赫兹(GHz)和毫米波频段。但高频无线电路径损耗和穿透损耗很大，使得覆盖区域较小，并且在覆盖区域内可能存在死点，因而更需要中继器来扩大覆盖范围。

5G RF中继器也称为新空口(new radio，NR)中继器，支持5G FR1(frequencyrange1)频段和FR2(frequency range 2)频段。由于5G还支持时分双工(time divisionduplex，TDD)、带宽可配(bandwidth part)、大规模多输入多输出以及混合波束赋形(beamforming)等技术，因此NR中继器也需要支持上述能力。第三代合作伙伴计划(3rdgeneration partnership project，3GPP)在R17标准中规定：NR中继器不支持对用户的自适应波束赋形，而是使用固定传输方向的静态波束赋形，并且手动管理。当移动设备(userequipment，UE)遭遇强干扰，静态波束赋形的方案性能会很差。RF中继器和NR中继器通常只由射频单元(radio unit，RU)模块组成。

下面将结合附图，对本申请实施例中的技术方案进行描述。显然，所描述的实施例是本申请的一部分实施例，而不是全部实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本申请保护的范围。

需要说明的是，本申请中各个实体或者模块之间的消息名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请对此不作具体限定。

图1是一种通信系统的场景示意图。

若5G基站(next-generation nodeB，gNB)获取NR中继器的发送时序(timing)信息、收发波束信息、带宽信息、开关信息等控制信息，那么gNB可以控制NR中继器进行“智能”放大转发。这种NR中继器称为网络控制的直放站(network-controlled repeater，NCR)或者智能直放站(smart repeater，SR)，也称网络控制中继器、智能直放站、智能中继器。NCR支持上下行感知、动态TDD、可配带宽、波束感知、波束赋形、上下行(downlink/uplink)功控以及动态开关等。特别是具有自适应波束赋形能力。

图2是本申请实施例提供的一种NCR与普通中继器的架构示意图。

如图2所示，110为普通中继器，120为NCR。NCR120与普通中继器110在架构上有所不同，除了有RU模块，还新增了一个单独的移动终端(mobile terminal，MT)模块，用来专门接收来自gNB的控制信令，或者向gNB反馈信令。

图3是本申请实施例提供的一种鉴权方法的网络架构示意图，本申请提供的一种鉴权方法可以用于该网络架构中，当然也可以用于未来的网络架构中，比如第六代(6thgeneration，6G)网络架构等，本申请对此不作具体限定。

gNB为5G基站，支持NCR120中继通信，支持MT模块的初始接入、鉴权、配置等过程。

UE为用户设备，通过NCR120与gNB通信。

MT为NCR120的移动终端模块，接收来自gNB的控制信令，对NCR120的RU模块进行配置。

RU为NCR120的射频模块，由MT模块控制，转发gNB或UE的上行或下行信号给对方。

回程链路(backhaul link)130为NCR120与gNB的连接通道，用来接收gNB信号或转发UE信号。

接入链路(access link)140为UE与NCR120的连接通道，用来转发gNB信号或接收UE信号。

NCR120由一个MT模块和一个RU模块组成，并通过回程链路130与gNB通信，以及通过接入链路140与UE通信。在gNB的控制下，NCR120将gNB发送的下行信号放大转发给UE，将UE发送的上行信号放大转发给gNB，实现覆盖增强。

应理解，NCR设备可能有两种形态，即NCR可以作为网络设备部署在室外或者基站侧，也可以作为终端设备部署在家庭和室内。无论是哪种形态，为了保护NCR设备和运营商网络的安全，需要在NCR-MT接入到网络的过程中，设置认证或者鉴权流程，以防非法用户接入到运营商网络或者NCR设备被非法网络使用。非法网络一般使用伪基站来仿冒正常移动通信信号，伪基站是一套独立的通信网络系统，具备移动通信基站的一部分功能，出于某些特定目的使移动设备自动接入，获取设备内的个人隐私信息后又会使设备重选回归实际通信网络。

3GPP标准给出的鉴权是核心网鉴权，而NCR设备如果作为网络设备的形态，可能仅需无线接入网(radio access network，RAN)侧可见，也可能由运营商私人管理，或者由操作管理和维护(operations,administration and maintenance，OAM)网元管理。因此，也需要设计基于OAM的鉴权以及基于RAN架构的鉴权机制，并且鉴权机制需要计算友好，降低资源受限设备的功耗和接入时延。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通讯(globalsystem of mobile communication，GSM)系统、码分多址(code division multipleaccess，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、LTE频分双工(frequencydivision duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwideinteroperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)系统、第六代(6th generation，6G)系统或新无线(new radio，NR)等。

为了便于理解本申请的技术方案，下文将对与本申请相关的概念或者相关技术做出简要描述。

UE：可以称终端设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备可以是一种向用户提供语音/数据连通性的设备，例如，具有无线连接功能的手持式设备、车载设备等。目前，一些终端的举例可以为：手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑(如笔记本电脑、掌上电脑等)、移动互联网设备(mobile internet device，MID)、虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、蜂窝电话、无绳电话、SIP电话、WLL站、PDA、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，5G网络中的终端设备或者PLMN中的终端设备等。此外，终端设备还可以是物联网(internetof things，IoT)系统中的终端设备。IoT是未来信息技术发展的重要组成部分，其主要技术特点是将物品通过通信技术与网络连接，从而实现人机互连，物物互连的智能化网络。IoT技术可以通过例如窄带(narrow band)NB技术，做到海量连接，深度覆盖，终端省电。此外，终端设备还可以包括智能打印机、火车探测器、加油站等传感器，主要功能包括收集数据(部分终端设备)、接收网络设备的控制信息与下行数据，并发送电磁波，向网络设备传输上行数据。应理解，终端设备可以是任何可以接入网络的设备。终端设备与接入网设备之间可以采用某种空口技术相互通信。

网络控制的直放站(network-controlled repeater，NCR)：也称为智能直放站、智能中继器，或者也可以称作智能直放站(smart repeater，SR)，NCR支持上下行感知、动态TDD、可配带宽、波束感知、波束赋形、上下行(downlink/uplink)功控以及动态开关等。特别是具有自适应波束赋形能力。NCR与普通中继器在架构上也有所不同，除了有RU模块，还新增了一个单独的MT模块，用来专门接收来自基站的控制信令，或者向基站反馈信令。

网管设备：网管设备可以是位于下一代核心网(next generation core，NGC)或者5G核心网(5G core，5GC)中的功能网元。示例性地，可以为操作、管理和维护网元(operation,administration and maintenance，OAM)。网管设备可以包括网元管理系统(element management system，EMS)，网络管理系统(network management system，NMS)。或者，网管设备也可以是部署在5GC后面的骨干网中的功能网元，或者，网管设备还可以部署在其他位置，本申请并不限定网管设备具体部署的位置。

鉴权(authentication)：鉴权包括单向鉴权和双向鉴权。

单向鉴权：指通信网络对用户的鉴权，能够防止未授权用户的接入，但无法防止用户接入未授权的网络节点。

双向鉴权：用户和移动通信网络之间进行双向认证。双向鉴权包括用户鉴权和网络鉴权两个方面，用户鉴权指的是网络对用户进行鉴权，防止非法用户占用网络资源。网络鉴权指的是用户对网络进行鉴权，防止用户接入了非法的网络，被骗取关键信息。

无线接入网(radio access network，RAN)：无线接入网是基于无线通信技术实现接入网络功能的接入网。无线接入网能够管理无线资源，为终端提供无线接入或者空口接入服务，进而完成控制信号和用户数据在终端和核心网之间的转发。本申请中该接入网可以通过接入网设备实现。本申请中的无线接入网(radio access network，RAN)设备包括但不限于：5G中的下一代基站(gnodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base stationcontroller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，homeevolved nodeB，或home node B，HNB)、基带单元(base band unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等。无线接入网设备还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该接入设备可以为中继站、接入点、车载设备、可穿戴设备以及5G网络中的接入设备或者未来演进的公共陆地移动网(public land mobile network，PLMN)网络中的接入设备等，可以是无线局域网(wireless local area network，WLAN)中的接入点(access point，AP)，也可以是下一代无线(next radio，NR)系统中的gNB，本申请实施例并不限定。

开放式无线接入网(open radio access network，O-RAN)：开放式无线接入网的使命是搭建一个开放、虚拟化和智能的RAN体系结构，从而创造一个包含多家厂商、各家厂商的产品之间可以互操作且具有竞争力的生态系统。O-RAN联盟是一个全球性的社区，其成员将共同为未来的O-RAN标准和规范、参考体系结构、以及网络各个组件之间的接口制定统一的发展路线图。

区块链(blockchain)：一个又一个区块组成的链条。每一个区块中保存了一定的信息，它们按照各自产生的时间顺序连接成链条。这个链条被保存在所有的服务器中，只要整个系统中有一台服务器可以工作，整条区块链就是安全的。这些服务器在区块链系统中被称为节点，它们为整个区块链系统提供存储空间和算力支持。如果要修改区块链中的信息，必须征得半数以上节点的同意并修改所有节点中的信息，而这些节点通常掌握在不同的主体手中，因此篡改区块链中的信息是一件极其困难的事。相比于传统的网络，区块链具有两大核心特点：一是数据难以篡改、二是去中心化。基于这两个特点，区块链所记录的信息更加真实可靠，可以帮助解决人们互不信任的问题。此外，区块链作为一种去中心化的数字加密技术，可用于构建去中心化的数字身份认证与管理体系，并且具有多方共识、难以篡改、公开透明、可追溯等特点。

统一数据管理功能(unified data management，UDM)：可以理解为统一数据管理网元在5G架构中的命名。其中，统一数据管理网元主要包括以下功能：统一数据管理，支持第三代合作伙伴计划(3rd generation partnership project，3GPP)鉴权和密钥协商机制中的鉴权信任状处理，用户身份处理，接入授权，注册和移动性管理，签约管理，短消息管理等。

鉴权服务功能(authentication server function，AUSF)：主要用于用户鉴权等。

接入和移动性管理功能(access and mobility management function，AMF)：可以理解为移动性管理网元在5G架构中的命名。其中，移动性管理网元主要包括以下功能：连接管理、移动性管理、注册管理、接入鉴权和授权、可达性管理、安全上下文管理等接入和移动性相关的功能。

图4是本申请实施例提供的一种鉴权方法的示意性流程图。

网管设备可以包括网元管理系统(element management system，EMS)，网络管理系统(network management system，NMS)。示例性地，网管设备可以为OAM。网管设备可以是位于下一代核心网(next generation core，NGC)或者5G核心网(5G core，5GC)中的功能网元。或者，网管设备也可以是部署在5GC后面的骨干网中的功能网元，或者，网管设备还可以部署在其他位置，本申请并不限定网管设备具体部署的位置。

示例性地，中继设备可以是NCR，无线接入网设备可以是gNB，网管设备可以是OAM。NCR可以包括RU模块和MT模块。下述NCR的执行动作可以由MT模块来完成，或者也可以利用能够完成下述功能的模块来完成，本申请对此不作限定。本申请实施例用NCR-MT来代表NCR的MT模块。

210，中继设备向无线接入网设备发送鉴权请求信息。

中继设备向无线接入网设备发送鉴权请求信息，鉴权请求信息可以包括中继设备的身份信息。可选的，鉴权请求信息可以包括中继设备的永久身份标识或者对该永久身份标识加密后的隐藏身份标识，例如用户永久标识符(subscriptionpermanent identifier，SUPI)或者用户隐藏标识(subscription concealed identifier，SUCI)。

可选的，中继设备的身份信息可以包括中继设备的临时身份标识、中继设备的设备类型指示信息中的任意一个或者多个。或者，中继设备的身份信息除了包括中继设备的临时身份标识、中继设备的设备类型指示信息中的一个或者多个以外，还可以包括SUPI或者SUCI。应理解，设备类型指示信息用于指示该中继设备为NCR。

可选的，无线接入网设备可以读取鉴权请求信息，也可以不读取鉴权请求信息，直接将该鉴权请求信息发送给OAM进行鉴权。

可选的，鉴权请求信息可以通过随机接入过程中的无线资源控制建立请求(RRCSetupRequest，也称Msg3)消息、无线资源控制建立完成(RRCSetupComplete，也称Msg5)消息中的任意一个或多个携带。

示例性地，当鉴权请求信息通过Msg3消息携带时，可以在建立原因(establishmentcause)信元(information element，IE)中添加新的赋值。本申请实施例利用“ncr-MT-Access”IE替换原本Msg3消息中的spare6，来指示发起鉴权请求的设备是NCR-MT。本申请实施例通过“InitialUE–Identity”IE来携带NCR的的身份标识信息NCR-MT ID，该身份标识信息可以为临时身份标识、永久身份标识或者隐藏身份标识，其将“ng-5G-S-TMSI-Part1”字段赋值为NCR-MT ID。示例性地，Msg3消息内容如下所示：

示例性地，当鉴权请求信息通过Msg5消息携带时，新增加“ncr-NodeIndication”字段，用来告诉gNB完成随机接入的设备是NCR-MT，NCR-MT的身份标识信息可以包含在Msg3的InitialUE–Identity IE中。Msg5消息内容如下所示，“ncr-NodeIndication-r18”的值用于指示NCR设备是否完成随机接入。关于其他字段的解释可以参考TS 38.331v16.5.0标准，本申请不再赘述。

/>

213，无线接入网设备向网管设备发送鉴权请求信息。

无线接入网设备根据NCR发送的鉴权请求信息，向OAM发起鉴权请求。OAM根据第一鉴权请求中NCR的身份信息对NCR进行身份认证、授权。3GPP OAM功能有鉴权功能，可参考现有TS 28.533OAM鉴权流程，本申请不再赘述。

215，网管设备向无线接入网设备发送鉴权响应。

OAM对NCR的鉴权完成后，OAM向gNB发送鉴权响应，鉴权响应包括OAM对NCR的鉴权结果。示例性地，可以包括NCR鉴权成功的结果，也可以包括NCR鉴权失败的结果。

220，无线接入网设备向中继设备发送鉴权响应。

无线接入网设备根据鉴权响应中包括的对NCR的鉴权结果，决定是否允许NCR接入，并把鉴权结果转发给NCR。

若鉴权响应中包括NCR鉴权失败的结果，则无线接入网设备拒绝NCR的接入，并把包含鉴权失败的结果转发给NCR。

若鉴权响应中包括NCR鉴权成功的结果，则无线接入网设备把包含鉴权成功的结果转发给NCR，并为NCR的接入做配置。

示例性地，该无线接入网设备为gNB。在NCR的初始接入完成后，gNB的集中单元(central unit，CU)需要向gNB的分布单元(distributed unit，DU)发送指示信息，指示该设备是NCR。该指示信息通过CU与DU之间的F1接口消息携带，例如，通过用户上下文建立请求(UE context setuprequest)消息携带。这是由于携带NCR身份指示信息的无线资源控制(radio resource control，RRC)层消息是由CU解封装、读取和处理的，DU并不知道接入的设备是NCR设备，而后续需要DU为NCR做配置。

应理解，上述实施例中，用NCR代表中继设备，用gNB代表无线接入网设备仅为示例，不应理解为本申请的限制。

图5是本申请实施例提供的另一种鉴权方法的示意性流程图。

310，NCR与核心网设备双向鉴权。

示例性地，NCR可以采用UE的鉴权方式。示例性地，可以利用5G认证与密钥协商(authentication and key agreement，AKA)协议鉴权，或者可扩展认证协议-认证和密钥协商(extensible authentication protocol-authentication and key agreement，EAP-AKA)协议鉴权。

NCR与核心网网元UDM、AUSF、AMF之间通过gNB透传非接入层(non-accessstratum，NAS)消息，完成双向鉴权。

应理解，上述NCR的执行动作可以由MT模块来完成，或者也可以利用能够完成上述功能的模块来完成，本申请对此不作限定。

320，核心网网元向NCR发送鉴权响应。

由于gNB无法读取NAS消息，因此，NCR鉴权通过后，需要核心网向gNB发送鉴权响应来告知gNB接入的设备是NCR。

核心网和NCR的鉴权完成后，核心网可以通过多种方式来告知gNB该鉴权设备为NCR设备。示例性地，核心网功能网元AMF或者AUSF向gNB发送鉴权响应来告诉gNB该鉴权设备是NCR设备。

或者，UDM可以根据NCR-MT的SUPI获取NCR-MT的签约信息，通过该签约信息得知接入的设备为NCR设备，然后，UDM向AMF发送鉴权响应，AMF再向gNB转发该鉴权响应，指示鉴权设备是NCR设备。

或者，UDM先发送鉴权响应给AUSF，AUSF转发鉴权响应给AMF，AMF再将鉴权响应发送给gNB，告诉gNB该鉴权设备是NCR设备。

应理解，由于携带NCR身份指示信息的鉴权响应是在gNB的CU进行读取和处理的。因此，在NCR初始接入完成后，CU需要向DU发送指示信息，指示该接入设备是NCR，方便DU为NCR做配置。NCR身份指示信息通过CU与DU之间的F1接口消息携带，示例性地，可以通过UEcontext setuprequest消息携带。

应理解，上述实施例中，用NCR代表中继设备，用gNB代表无线接入网设备仅为示例，不应理解为本申请的限制。

需要说明的是，图5中包括的各个网元的命名仅是一个名字，名字对网元本身的功能不构成限定。在5G网络以及未来其它的网络中，上述各个网元也可以是其他的名字，本申请对此不作具体限定。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能是其他命名，等等，在此进行统一说明，以下不再赘述。

本领域技术人员可以理解，图5所示的网元之间的交互只是一种示例性描述，实际上5G系统还可以包括其他与图中示意的网元进行交互的网元，在此不予赘述。

本申请实施例提供的基于OAM的鉴权方式和基于UE的核心网鉴权方式，可以保护NCR设备和运营商网络的安全，避免非法设备接入到运营商网络或者NCR设备被非法网络使用。

图6是本申请实施例提供的另一种鉴权方法的示意性流程图。

本申请实施例提供一种gNB与NCR基于各自公钥和私钥完成快速双向鉴权的方案，该鉴权在NCR初始接入过程中完成。其中，NCR的私钥为S1，公钥为S2。gNB的私钥为G1，公钥为G2。

下述NCR的执行动作可以由MT模块来完成，或者也可以利用能够完成下述功能的模块来完成，本申请对此不作限定。

410，NCR生成第一随机数。

可选的，NCR可以利用随机数生成器来生成第一随机数，或者，也可以预先配置好第一随机数，或者也可以从可靠的第三方获取第一随机数，本申请对获得第一随机数的具体方式不作限定。

420，NCR向gNB发送第一随机数。

示例性地，NCR可以向gNB发送第一随机数。可选的，NCR还可以同时向gNB发送NCR的公钥S2、鉴权方式指示中的任意一个或多个。应理解，鉴权方式指示包括在核心网鉴权的指示、在无线接入网鉴权的指示、单向鉴权指示或者双向鉴权指示。

可选的，第一随机数、NCR公钥S2和鉴权方式指示可以通过RRCSetupRequest消息携带。

430，gNB生成第一响应数。

gNB在接收到NCR发来的第一随机数后，可以根据第一随机数与gNB私钥G1生成第一响应数。示例性地，gNB可以使用G1对第一随机数加扰或者加密得到第一响应数。

第一响应数用于NCR对gNB鉴权。

440，gNB向NCR发送第一响应数。

gNB向NCR发送第一响应数，可选的，gNB还可以同时向NCR发送gNB的公钥G2。

示例性地，第一响应数、gNB的公钥G2可以通过随机接入过程中的无线资源控制建立(RRCSetup，也称Msg4)消息携带。

450，NCR验证第一响应数，生成第二响应数。

NCR使用gNB的公钥G2来验证第一响应数。具体的，NCR使用公钥G2对第一响应数解扰或解密，若可以得到第一随机数，则代表验证成功，否则验证失败。

若验证失败，则认为gNB鉴权失败，NCR拒绝接入该gNB以及当前小区，并将该gNB的身份标识号(identity document，ID)和/或该小区ID加入到黑名单中，或者在历史小区信息中标记出来，NCR重新发起初始接入流程。应理解，NCR可以在随机接入的过程中获取该gNB及该小区的ID。

若使用公钥G2验证成功，则NCR根据第一响应数和NCR的私钥S1生成第二响应数。示例性地，NCR可以使用私钥S1对第一响应数进行加扰或加密得到第二响应数。第二响应数用于gNB对NCR鉴权。

460，NCR向gNB发送第二响应数。

示例性地，第二响应数可以通过RRCSetupComplete消息携带。

470，gNB验证第二响应数。

gNB使用NCR的公钥S2来验证第二响应数。具体的，gNB使用公钥S2对第二响应数解扰或解密，若可以得到第一响应数，则代表验证成功，否则验证失败。

若验证失败，则认为NCR鉴权失败，gNB拒绝NCR的接入，并将该NCR的ID加入到黑名单中。

若使用公钥S2验证成功，则进行步骤480。

480，gNB向NCR发送鉴权响应。

gNB向NCR发送鉴权响应通知NCR是否鉴权通过，该鉴权响应包括对NCR的鉴权结果。

示例性地，鉴权响应可以通过无线资源控制重配置(RRCReconfiguration)消息携带。

应理解，420、440、460和480步骤中的响应数和随机数等可以称为鉴权信息，上述鉴权信息可能包含在其它RRC消息中，或者包含在RRC消息中的容器(container)中发送，本申请对发送的消息名称和格式不作限定。

本申请实施例中，NCR与gNB需要预先获取自己的私钥以及对方的公钥，除了相互发送公钥以外，还可以通过以下方式：

在一种可能的方式中，gNB、NCR双方预先配置好鉴权信息，该鉴权信息包含gNB、NCR各自的私钥。或者预先安装好运营商颁发的证书，该证书包含gNB、NCR各自的私钥，可选的，还可以包括对方的公钥。

在一种可能的方式中，OAM可以为NCR预配NCR的私钥S1和公钥S2，可选的，OAM还可以为NCR预配gNB的公钥G2。同理，OAM可以为gNB预配gNB的私钥G1和公钥G2，可选的，OAM还可以为gNB预配NCR的公钥S2。

在一种可能的方式中，NCR可以向OAM申请私钥S1和公钥S2，可选的，还可以向OAM申请gNB的公钥G2。同理，gNB可以向OAM申请私钥G1和公钥G2，可选的，还可以向OAM申请NCR的公钥S2。

在一种可能的方式中，网络管理设备帮助gNB获取gNB的证书，以及帮助NCR获取NCR的证书，并向NCR提供gNB公钥G2、向gNB提供NCR的公钥S2。

应理解，上述实施例中，用NCR代表中继设备，用gNB代表无线接入网设备仅为示例，不应理解为本申请的限制。

图7是本申请实施例提供的另一种鉴权方法的示意性流程图。图7与图6流程类似，区别在于，图6中NCR与gNB的双向鉴权在NCR初始接入过程中完成，图7中NCR与gNB的双向鉴权可以从随机接入过程的Msg4开始执行。

401，NCR向gNB发送RRCSetupRequest消息，可选的，RRCSetupRequest消息中可以携带NCR的临时身份标识、NCR设备类型指示信息中的任意一个或多个。

403，gNB通过RRCSetup消息发起针对NCR的鉴权请求，并指示鉴权方式。

应理解，图7中的410-480步骤与图6中的相同，本申请不再重复赘述。

可选的，401和403步骤中消息携带的信息也可能包含在其它RRC消息中，或者包含在RRC消息中的容器(container)中发送，本申请对发送的消息名称和格式不作限定。

本申请实施例提供的鉴权方法在RAN侧完成双向鉴权，能够快速完成NCR的鉴权以及初始接入，不需要核心网参与，避免了对核心网网元功能进行升级。

应理解，上述实施例中，用NCR代表中继设备，用gNB代表无线接入网设备仅为示例，不应理解为本申请的限制。

图8是本申请实施例提供的另一种鉴权方法的示意性流程图。

本申请实施例提供基于NCR鉴权密钥的gNB与NCR快速双向鉴权方案。将5G AKA鉴权功能从AMF、AUSF、UDM移动到gNB侧，在NCR初始接入过程中，完成双向鉴权。

510，NCR向gNB发送鉴权请求信息。

NCR向gNB发送鉴权请求信息，鉴权请求信息可以包括NCR的身份信息。可选的，NCR的身份信息可以包括NCR的永久身份标识或者对该永久身份标识加密后的隐藏身份标识，例如SUPI或者SUCI。可选的，鉴权请求信息还可以包括NCR的公钥S2。

示例性地，鉴权请求信息可以通过随机接入过程中的RRCSetupRequest消息携带，其中的用户身份(ue-Identity)IE携带NCR的永久身份标识或者对该永久身份标识加密后的隐藏身份标识。

520，gNB生成鉴权向量。

gNB获取NCR的个人身份鉴权键(key identity，KI)，生成鉴权向量。KI也可以称为鉴权密钥。其中，鉴权向量包括：随机数(randomchallenge，RAND)、鉴权令牌(authenticationtoken，AUTN)和预期响应数(expectedresponse，XRES)。

RAND：由AUSF中的随机数发生器产生，用来计算预期响应数XRES。

XRES：由随机数RAND与鉴权密钥KI生成，作为NCR合法性检查的参数，用于和NCR产生的RES进行比较，决定对NCR认证是否通过。

AUTN：提供信息给NCR，使NCR可以用它来对gNB进行鉴权。鉴权令牌AUTN包括匿名密钥(anonymity key，AK)加密的随机数序列号(Sequence number，SQN)、整权管理域(authenticationmanagementfunction，AMF)、消息认证码(message authentication code，MAC)。其中，AK由随机数RAND与鉴权密钥KI生成，AK可以为48位的匿名密钥。应理解，AK与XRES的用途、生成算法不同。MAC由RAND、KI、AUTH-AMF和SQN用f1算法计算得来。

应理解，由于接入和移动性管理功能(access and mobility managementfunction，AMF)和整权管理域(authenticationmanagementfunction，AMF)缩写相同，因此本申请中，用AMF代表接入和移动性管理功能，用AUTH-AMF代表整权管理域。

530，gNB向NCR发送随机数RAND、鉴权令牌AUTN。

gNB向NCR发送随机数RAND、鉴权令牌AUTN供NCR对其进行鉴权。示例性地，gNB可以向NCR发送RRCSetup消息，由该消息携带随机数RAND、鉴权令牌AUTN，其中，鉴权令牌AUTN包括AK加密的随机数SQN、AUTN-AMF、MAC。

540，NCR对gNB鉴权，生成响应数RES。

NCR使用自身鉴权密钥KI和接收的RAND、AUTN-AMF和SQN计算出MAC值，验证与gNB下发的MAC是否相符。

若NCR计算出的MAC值与gNB下发的MAC不同，则验证失败，NCR拒绝接入该gNB以及当前小区，并将gNB ID和/或当前小区ID加入到黑名单中，或者在历史小区信息中标记出来，NCR重新发起初始接入流程。应理解，NCR可以在随机接入的过程中获取该gNB及该小区的ID。

若NCR计算出的MAC值与gNB下发的MAC相同，则验证成功，即NCR对gNB鉴权成功，进而NCR使用自身鉴权密钥KI以及接收的RAND生成响应数(response，RES)。

550，NCR向gNB发送响应数RES。

NCR向gNB发送响应数RES供gNB对其进行鉴权。示例性地，NCR可以向gNB发送RRCSetupComplete消息，携带响应数RES。

560，gNB对比RES与XRES。

gNB接收响应数RES，并对比预期响应数XRES。

若响应数RES与XRES不同，则验证失败，不允许NCR接入，并将该NCR-ID加入到黑名单中。

若响应数RES与XRES相同，则验证成功，继续后续配置流程。

570，gNB向NCR发送鉴权响应。

若NCR鉴权成功，gNB向NCR发送鉴权响应，通知NCR鉴权成功的结果。然后在gNB侧进行密钥推演，完成与NCR的空口安全模式。

可选地，上述鉴权交互的信息可以通过其它RRC消息，或者作为容器包含在RRC消息中发送，本申请对发送的消息名称和格式不作限定。

本申请实施例中，NCR与gNB需要预先配置好鉴权信息，例如鉴权密钥KI。示例性地，可选的配置方法包括：

在一种可能的方式中，gNB侧预先配置好NCR鉴权信息，例如NCR的签约信息。

在一种可能的方式中，OAM可以向gNB预配，或者，gNB向OAM申请NCR的鉴权密钥KI。

在一种可能的方式中，若OAM没有配置NCR鉴权信息，则OAM可以根据SUCI从UDM获取鉴权密钥KI。示例性地，若RRC消息中携带NCR-MT身份标识SUCI，OAM可以根据SUCI获取KI，可选的，OAM可以向UDM获取，或者OAM可以通过AMF向UDM获取。

在一种可能的方式中，gNB通过网络管理设备来获取NCR的鉴权密钥KI。

应理解，上述实施例中，用NCR代表中继设备，用gNB代表无线接入网设备仅为示例，不应理解为本申请的限制。

图9是本申请实施例提供的一种基于O-RAN架构的无线接入网设备的结构示意图。

无线接入网设备600包括集中单元640、分布单元650和智能控制器610。其中，智能控制器610可以是RAN智能控制器(RAN intelligent controller，RIC)，集中单元640可以是gNB的CU模块，分布单元650可以是gNB的DU模块。集中单元640和分布单元650通过3GPP标准定义的F1接口通信，分布单元650和智能控制器610通过O-RAN标准定义的E2接口通信。

可选的，智能控制器610也可以部署在无线接入网设备600之外，或者，智能控制器610还可以部署在其他位置，本申请并不限定智能控制器610具体部署的位置。

智能控制器610为本申请实施例利用O-RAN架构，为无线接入网设备600配置的功能实体。智能控制器610包括鉴权管理功能610和其他功能620。智能控制器610的RIC协议层位于RRC层之上，相关消息作为RIC容器，包含在RRC消息中。

图10是本申请实施例提供的另一种鉴权方法的示意性流程图。

图10中gNB的结构与图9对应。CU代表集中单元640，DU代表分布单元650，RIC代表智能控制器610。示例性地，本申请实施例在NCR的初始接入过程中，智能控制器610与NCR完成双向鉴权。具体鉴权流程以及交互信息与图6和图7过程类似，只是gNB侧鉴权功能实体由RIC实现。

本申请中，无线接入网设备可以包括RIC。例如，RIC可以部署在gNB之外或者gNB之内，本申请并不限定RIC具体部署的位置。

下述NCR的执行动作可以由MT模块来完成，或者也可以利用能够完成下述功能的模块来完成，本申请对此不作限定。

710，NCR生成第一随机数。

可选的，NCR可以利用随机数生成器来生成第一随机数，或者，也可以预先配置好第一随机数，或者也可以从可靠的第三方获取第一随机数，本申请对获得第一随机数的具体方式不作限定。

720，NCR向gNB发送第一随机数。

示例性地，NCR可以向gNB发送第一随机数。可选的，NCR还可以同时向gNB发送NCR的公钥S2、鉴权方式指示中的任意一个或多个。应理解，鉴权方式指示包括单向鉴权指示和双向鉴权指示。

可选的，第一随机数、NCR公钥S2和鉴权方式指示可以通过RRCSetupRequest消息携带。当RRCSetupRequest消息携带第一随机数时，该消息也可以称为鉴权请求消息。

730，gNB生成第一响应数。

gNB在接收到NCR发来的第一随机数后，可以根据第一随机数与gNB私钥G1生成第一响应数。示例性地，gNB可以使用G1对第一随机数加扰或者加密得到第一响应数。第一响应数用于NCR对gNB鉴权。

740，gNB向NCR发送第一响应数。

gNB向NCR发送第一响应数，可选的，gNB还可以同时向NCR发送gNB的公钥G2。

示例性地，第一响应数、gNB的公钥G2可以通过随机接入过程中的无线资源控制建立(RRCSetup，也称Msg4)消息携带。

750，NCR验证第一响应数，生成第二响应数。

NCR使用gNB的公钥G2来验证第一响应数。具体的，NCR使用公钥G2对第一响应数解扰或解密，若可以得到第一随机数，则代表验证成功，否则验证失败。

可选的，若RIC不提供gNB的公钥G2，则OAM可以向NCR预配，或者NCR向OAM申请gNB的公钥，或者网络管理设备参与来获取gNB的证书并向NCR提供gNB的公钥。

若验证失败，则认为gNB鉴权失败，NCR拒绝接入该gNB以及当前小区，并将该gNB的ID和/或该小区ID加入到黑名单中，或者在历史小区信息中标记出来，NCR重新发起初始接入流程。应理解，NCR可以在随机接入的过程中获取该gNB及该小区的ID。

若使用公钥G2验证成功，则NCR根据第一响应数和NCR的私钥S1生成第二响应数。示例性地，NCR可以使用私钥S1对第一响应数进行加扰或加密得到第二响应数。第二响应数用于gNB对NCR鉴权。

760，NCR向gNB发送第二响应数。

示例性地，第二响应数可以通过RRCSetupComplete消息携带。

770，gNB验证第二响应数。

gNB使用NCR的公钥S2来验证第二响应数。具体的，NCR使用公钥S2对第二响应数解扰或解密，若可以得到第一响应数，则代表验证成功，否则验证失败。

可选的，若NCR不提供公钥S2，则OAM可以向RIC预配，或者RIC可以向OAM申请NCR的公钥。或者，通过网管参与获取NCR的证书并向RIC提供NCR公钥。

若验证失败，则认为NCR鉴权失败，gNB拒绝NCR的接入，并将该NCR的ID加入到黑名单中。

若使用公钥S2验证成功，则进行步骤780。

780，gNB向NCR发送鉴权响应。

gNB向NCR发送鉴权响应通知NCR是否鉴权通过，该鉴权响应包括对NCR的鉴权结果。

若770步骤验证成功，则gNB继续后续配置流程。CU向DU发送指示信息，指示该设备是NCR设备，以便DU对NCR进行配置。

应理解，上述鉴权信息可能包含在其它RRC消息中，或者包含在RRC消息中的容器(container)中发送，本申请对发送的消息名称和格式不作限定。

应理解，上述实施例中，用NCR代表中继设备，用gNB代表无线接入网设备仅为示例，不应理解为本申请的限制。

图11是本申请实施例提供的另一种鉴权方法的示意性流程图。

传统身份认证方式存在一定缺陷，可能会造成用户数据与隐私的泄露。在身份认证的过程中，网络服务提供者需要不同程度的收集用户数据，这其中一部分服务商或出于主观恶意或受自身能力限制，可能会泄露用户数据与用户隐私。此类事件层出不穷，有逐渐泛滥的趋势。并且，现有的身份认证方式效率低下，维度单一。各个服务提供商或认证机构间互为数据孤岛，难以打通。这导致了用户同一个信息需要反复在不同的地方重复认证，用户很难重用已有的认证信息。且用户的认证信息都是零散碎片化的，无法完整地反映用户的身份特质，信息的碎片化也导致了个人无法有效地管理自己的身份信息。

区块链(blockchain，BC)作为一种去中心化的数字加密技术，可用于构建去中心化的数字身份认证与管理体系，并且具有多方共识、难以篡改、公开透明、可追溯等特点。区块链技术能够在开放的不可信网络中，在所有节点之间就单个数据值或单个状态达成一致。利用区块链技术可以极大改善传统身份认证的问题。示例性地，利用地址账户及密码学工具，可以将用户真实身份信息与认证凭据隔离，避免验证过程中产生的数据泄露。通过验证信息与地址账户绑定，用户能够更好的管理和使用自己的认证信息。利用区块链技术的联通特性，可以打通不同验证机构与信息使用方，使身份认证的过程更加的高效，身份特质更加全面。

图12是本申请实施例提供的一种用户在区块链注册的示意性流程图。

用户向身份提供商发起注册请求过程，在自己的设备上生成公私钥对作为自己的身份密钥，并设置一个唯一的用户名称与之绑定，把用户名称、公钥以及一些基本的个人信息，例如经过私钥加密后的“身份证明材料”记录在区块链上。

图13是本申请实施例提供的一种用户在区块链登录的示意性流程图。

用户通过应用请求登陆某服务，服务方(或者称商家)给用户发送身份认证请求，用户通过签名认证请求来产生登陆凭证。“登录属性”为用户身份信息。服务方验证登陆凭证合法则允许登陆。服务方可进一步要求获取解密个人信息的密钥来获取基本用户信息。

本申请实施例在NCR与gNB架构中引入区块链控制器(blockchain controller，BCC)，通过区块链来完成NCR与gNB的双向鉴权。示例性地，图14至图16为无线接入网设备引入区块链管理功能的架构示意图。

图14是本申请实施例提供的基于区块链管理功能的无线接入网设备的架构示意图。

在一种可能的架构中，可以将区块链管理功能嵌入无线接入网设备的集中单元850。示例性地，集中单元850可以是gNB的CU模块，分布单元860可以是gNB的DU模块。集中单元850包括连接管理810，服务质量(quality of service，QoS)820，移动管理830和区块链管理840等功能。集中单元850与分布单元860通过F1接口通信。

图15是本申请实施例提供的另一种基于区块链管理功能的无线接入网设备的架构示意图。

在一种可能的架构中，可以将区块链控制器870作为独立逻辑实体。示例性地，集中单元873可以是gNB的CU模块，分布单元875可以是gNB的DU模块，集中单元873与分布单元875通过F1接口通信。区块链控制器870可以对无线接入网设备的身份进行管理。

图16是本申请实施例提供的另一种基于区块链管理功能的无线接入网设备的架构示意图。

在一种可能的架构中，可以将区块链管理功能885嵌入无线接入网设备880的智能控制器881。无线接入网设备880包括集中单元887、分布单元889和智能控制器881。示例性地，集中单元887可以是gNB的CU模块，分布单元889可以是gNB的DU模块，智能控制器881可以是RIC。集中单元887和分布单元889通过F1接口通信，分布单元889和智能控制器881通过E2接口通信。其中，智能控制器881包括区块链管理功能885和其他功能883。

可选的，基于现有的RAN架构协议栈，BCC的区块链控制协议层可以通过多种方式实现。示例性地，可以复用RRC层协议，或者单独构建BCC协议层，位于RRC层之上，或者也可以构建BCC协议，与RRC层并列。

示例性地，可以在NCR的MT模块引入BCC。应理解，在NCR的MT模块引入BCC的架构示意图类似图14至图16，本申请不再重复赘述。

下面对图11所示的鉴权方法进行详细描述。可选的，RIC区块链控制器也可以部署在gNB之外，或者，RIC区块链控制器还可以部署在其他位置，本申请并不限定RIC区块链控制器具体部署的位置。

910，区块链注册，生成公私钥对。

示例性地，在NCR的MT模块与gNB的RIC上引入BCC控制器。应理解，区块链存在第三方的身份提供商对在区块链上注册的用户的身份进行管控。NCR与gNB作为客户在区块链上进行注册，生成公钥和私钥对。其中，NCR的私钥为S1，公钥为S2。gNB的私钥为G1，公钥为G2。

920，NCR生成第一随机数。

可选的，NCR可以利用随机数生成器来生成第一随机数，或者，也可以预先配置好第一随机数，或者也可以从可靠的第三方获取第一随机数，本申请对获得第一随机数的具体方式不作限定。

930，NCR向gNB发送第一随机数、NCR身份哈希值。

示例性地，NCR可以向gNB发送第一随机数和NCR身份哈希值。应理解，NCR身份哈希值可以是NCR在区块链上注册时生成的，该NCR身份哈希值会在区块链上保存，即NCR身份哈希值可以在区块链上找到。

可选的，NCR还可以同时向gNB发送NCR的公钥S2。

可选的，第一随机数、NCR身份哈希值和NCR公钥S2可以作为RIC容器，通过RRCSetupRequest消息携带。应理解，当第一随机数、NCR身份哈希值和NCR公钥S2作为RIC容器时，这些信息仅RIC可读。

940，gNB确认NCR身份，生成第一响应数。

gNB接收到NCR发来的第一随机数和NCR身份哈希值后，首先根据NCR身份哈希值在区块链上查询，确认是否真实存在。如果可以在区块链上找到该NCR身份哈希值，则代表该NCR真实存在，若不能在区块链上找到该NCR身份哈希值，则代表该NCR不存在。

若该NCR真实存在，gNB可以根据第一随机数与gNB私钥G1生成第一响应数。示例性地，gNB可以使用G1对第一随机数进行加扰或者加密得到第一响应数。第一响应数用于NCR对gNB鉴权。

950，gNB向NCR发送第一响应数、gNB身份哈希值。

gNB向NCR发送第一响应数和gNB身份哈希值。可选的，gNB还可以同时向NCR发送gNB的公钥G2。

可选的，第一响应数、gNB身份哈希值和gNB的公钥G2可以作为RIC容器，通过RRCSetup消息携带。应理解，当第一响应数、gNB身份哈希值和gNB的公钥G2作为RIC容器时，这些信息仅RIC可读。

960，NCR确认gNB身份，生成第二响应数。

NCR接收到gNB发来的第一响应数和gNB身份哈希值后，首先根据gNB身份哈希值在区块链上查询，确认是否真实存在。如果可以在区块链上找到该gNB身份哈希值，则代表该gNB真实存在，若不能在区块链上找到该gNB身份哈希值，则代表该gNB不存在。

若该gNB真实存在，NCR使用gNB的公钥G2来验证第一响应数。具体的，NCR使用公钥G2对第一响应数解扰或解密，若可以得到第一随机数，则代表验证成功，否则验证失败。

若验证失败，则认为gNB鉴权失败，NCR拒绝接入该gNB以及当前小区，并将该gNB的ID和/或该小区ID加入到黑名单中，或者在历史小区信息中标记出来，NCR重新发起初始接入流程。应理解，NCR可以在随机接入的过程中获取该gNB及该小区的ID。

若使用公钥G2验证成功，则NCR根据第一响应数和NCR的私钥S1生成第二响应数。示例性地，NCR可以使用私钥S1对第一响应数进行加扰或加密得到第二响应数。第二响应数用于gNB对NCR鉴权。

970，NCR向gNB发送第二响应数。

示例性地，第二响应数可以通过RRCSetupComplete消息携带。

可选的，第二响应数可以作为RIC容器，通过RRCSetupComplete消息携带。应理解，当第二响应数作为RIC容器时，这些信息仅RIC可读。

980，gNB验证第二响应数。

gNB使用NCR的公钥S2来验证第二响应数。具体的，NCR使用公钥S2对第二响应数解扰或解密，若可以得到第一响应数，则代表验证成功，否则验证失败。

若验证失败，则认为NCR鉴权失败，gNB拒绝NCR的接入，并将该NCR的ID加入到黑名单中。

若使用公钥S2验证成功，则进行步骤480。

990，gNB向NCR发送鉴权响应。

gNB向NCR发送鉴权响应通知NCR是否鉴权通过，该鉴权响应包括对NCR的鉴权结果。若980步骤验证成功，则gNB继续后续配置流程。

本申请实施例将区块链功能引入到RAN架构中，实现基于区块链认证的双向鉴权，能够克服传统鉴权的安全风险问题，并且鉴权过程不需要核心网参与，避免了对核心网网元功能进行升级。

应理解，上述实施例中，用NCR代表中继设备，用gNB代表无线接入网设备仅为示例，不应理解为本申请的限制。

图17是本申请实施例提供的另一种鉴权方法的示意性流程图。

本申请实施例提供的方法可以基于NCR的设备证书信息完成双向鉴权。下述NCR的执行动作可以由MT模块来完成，或者也可以利用能够完成下述功能的模块来完成，本申请对此不作限定。

1010，NCR向gNB发送鉴权请求信息。

NCR向gNB发送鉴权请求信息，鉴权请求信息包括NCR的身份信息。示例性地，鉴权请求信息可以包括NCR-MT的ID，NCR-MT代表NCR的MT模块。

可选的，鉴权请求信息可以通过RRCSetupRequest消息携带，或者可以通过运营商和设备制造商的私有信令实现。

1020，gNB向NCR发送鉴权命令信息。

gNB向NCR发送鉴权命令信息，该鉴权命令信息可以指示鉴权方式。示例性地，鉴权命令信息可以指示gNB对NCR进行的鉴权方式为私有鉴权方式或者是标准鉴权方式。

1030，生成设备证书信息。

NCR可以生成或者提取设备证书信息，示例性地的，可以生成华为(HW)设备证书文件。NCR的设备证书信息可以包括预置的设备证书DevcertHW，NCR的公钥K-public，设备信息ESN和NCR的私钥K-private对该设备证书的签名。

1040，NCR向gNB发送设备证书信息。

NCR向gNB发送生成的设备证书信息。

1050，设备证书信息校验。

gNB接收到设备证书信息之后，可以获取证书颁发中心(certificationauthority，CA)的NCR设备根证书，然后对NCR的设备证书信息进行证书校验，签名校验，校验ESN与设备预置证书的一致性，可选的，还可以生成校验后证书。

证书校验指的是使用NCR根证书公钥验证NCR设备证书信息，确定来自同一设备商。例如，利用根证书RootcertHW中的公钥校验NCR设备证书信息中的预置的设备证书(DevcertHW)的签名，以确定来自HW。

签名校验指的是使用NCR证书公钥K-public校验NCR私钥对证书的签名，以确定NCR公钥和私钥的匹配关系，保证信息完整性。

生成校验后证书指的是生成序列号、NCR的公钥K-public、ESN、CA私钥对该校验后证书的签名，CA根证书。应理解，CA根证书可以是CA的公钥。

可选的，gNB接收到设备证书信息之后，还可以转发给CA，由CA来完成对NCR设备证书和签名的校验，然后将校验结果转发给gNB。

1060，gNB向NCR发送鉴权响应。

gNB向NCR发送鉴权响应，鉴权响应包括CA的标识和CA校验证书。

1070，NCR校验证书。

CA或者gNB给NCR签发的检验后证书中包含NCR重新生成的公钥K-public，CA的私钥签名，同时携带CA根证书等信息。其中，公钥K-public用于NCR确认该NCR证书。NCR使用CA根证书的公钥可以对该CA私钥签名进行验证，确认该证书合法，同时校验证书合法。

应理解，上述实施例中，用NCR代表中继设备，用gNB代表无线接入网设备仅为示例，不应理解为本申请的限制。

图18是本申请实施例提供的另一种鉴权方法的示意性流程图。

无线接入网设备1090包括集中单元1091和分布单元1093。无线接入网设备首先根据NCR发来的鉴权请求对其进行鉴权，若NCR鉴权成功，无线接入网设备的集中单元1091需要向分布单元1093发送指示信息，指示该设备是NCR。该指示信息可以通过集中单元1091与分布单元1093之间的F1接口消息携带，例如，通过UE context setuprequest消息携带。这是由于携带NCR身份指示信息的RRC层消息是由集中单元1091解封装、读取和处理的，分布单元1093并不知道接入的设备是NCR设备，而后续需要分布单元1093为NCR做配置。

应理解，本申请中的无线接入网设备、中继设备、核心网网元也可以称之为通信装置或通信设备，其可以是一个通用设备或者是一个专用设备，本申请对此不作具体限定。

可选的，本申请中的无线接入网设备、中继设备、NCR的MT模块的相关功能可以由一个设备实现，也可以由多个设备共同实现，还可以是由一个设备内的一个或多个功能模块实现，本申请对此不作具体限定。

可以理解的是，上述功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是硬件与软件的结合，或者是平台(例如，云平台)上实例化的虚拟化功能。

应理解，上述实施例中，用NCR代表中继设备，用gNB代表无线接入网设备仅为示例，不应理解为本申请的限制。

可选的，除了NCR，普通移动终端也可以采取RAN侧鉴权机制，这样可以简化海量无线设备入网流程，实现快速鉴权，尤其对于工业物联网、大规模传感器场景有优势。

以上描述了根据本申请实施例的鉴权方法，下面分别结合图19和图20描述根据本申请实施例的通信装置。

本申请提供了一种通信装置，包括：收发单元，用于接收来自于中继设备的鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；该收发单元，还用于发送鉴权响应，所述鉴权响应包括对所述中继设备的鉴权结果。

可选的，在某些实现方式中，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

可选的，在某些实现方式中，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为智能中继器NCR。

可选的，在某些实现方式中，所述鉴权请求信息通过随机接入过程中的无线资源控制建立请求消息、无线资源控制建立完成消息中的任意一个或多个携带。

可选的，在某些实现方式中，该收发单元，还用于向网络操作维护管理功能实体OAM发送所述鉴权请求信息，所述OAM用于对所述中继设备进行身份认证；该收发单元，还用于接收来自于所述OAM的所述鉴权响应。

可选的，在某些实现方式中，该收发单元，还用于获取所述中继设备的鉴权密钥；该通信装置还包括处理单元，用于根据第一随机数和所述鉴权密钥，生成第一鉴权信息；该收发单元，还用于向所述中继设备发送所述第一随机数，接收来自于所述中继设备的第二鉴权信息；该处理单元，还用于将所述第一鉴权信息与所述第二鉴权信息进行比对。

可选的，若所述第一鉴权信息与所述第二鉴权信息一致，则所述无线接入网设备允许所述中继设备接入；若所述第一鉴权信息与所述第二鉴权信息不一致，则所述无线接入网设备拒绝所述中继设备接入。

可选的，在某些实现方式中，该收发单元，还用于从OAM获取所述中继设备的所述鉴权密钥。

可选的，在某些实现方式中，该处理单元，还用于根据多个第二随机数和所述鉴权密钥，生成第三鉴权信息；该收发单元，还用于向所述中继设备发送所述第三鉴权信息和所述多个第二随机数。

可选的，在某些实现方式中，该收发单元，还用于接收所述中继设备的设备证书信息；该处理单元，还用于根据所述设备证书信息对所述中继设备进行鉴权。

可选的，在某些实现方式中，该收发单元，还用于所述无线接入网设备的集中单元向所述无线接入网设备的分布单元发送类型指示信息，所述类型指示信息用于指示所述中继设备为NCR。

本申请还提供了一种通信装置，包括：收发单元，用于向无线接入网设备发送鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；该收发单元，还用于接收鉴权响应，所述鉴权响应包括对所述中继设备的鉴权结果。

可选的，在某些实现方式中，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

可选的，在某些实现方式中，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为NCR。

可选的，在某些实现方式中，所述鉴权请求信息通过随机接入过程中的无线资源控制建立请求消息、无线资源控制建立完成消息中的任意一个或多个携带。

可选的，在某些实现方式中，该收发单元，还用于接收来自于所述无线接入网设备的第一随机数；该通信装置还包括处理单元，用于根据所述第一随机数和所述中继设备的鉴权密钥，生成第二鉴权信息；该收发单元，还用于向所述无线接入网设备发送所述第二鉴权信息。

可选的，在某些实现方式中，该收发单元，还用于接收来自于所述无线接入网设备的第三鉴权信息和多个第二随机数；该处理单元，还用于根据所述多个第二随机数和所述鉴权密钥，生成第四鉴权信息；该处理单元，还用于将所述第三鉴权信息与所述第四鉴权信息进行比对。

若所述第三鉴权信息与所述第四鉴权信息一致，则所述无线接入网设备鉴权成功；若所述第三鉴权信息与所述第四鉴权信息不一致，则所述无线接入网设备鉴权失败。

可选的，在某些实现方式中，该收发单元还用于向所述无线接入网设备发送所述中继设备的设备证书信息。

本申请还提供了一种通信装置，包括：收发单元，用于接收来自于中继设备的鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；该收发单元，还用于向所述中继设备发送鉴权响应，所述鉴权响应包括所述核心网对所述中继设备进行的鉴权结果。

可选的，在某些实现方式中，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

可选的，在某些实现方式中，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为NCR。

可选的，在某些实现方式中，所述鉴权请求信息通过随机接入过程中的无线资源控制建立请求消息、无线资源控制建立完成消息中的任意一个或多个携带。

可选的，在某些实现方式中，如果所述核心网设备对所述中继设备鉴权成功，该收发单元，还用于向无线接入网设备发送类型指示信息，所述类型指示信息用于指示所述中继设备为NCR。

可选的，在某些实现方式中，述核心网设备为AMF或者AUSF。

可选的，在某些实现方式中，UDM向该AMF或者该AUSF发送该类型指示信息。

本申请还提供了一种通信装置，包括：收发单元，用于向核心网发送鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；该收发单元，还用于接收鉴权响应，所述鉴权响应包括所述核心网对所述中继设备进行的鉴权结果。

可选的，在某些实现方式中，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

可选的，在某些实现方式中，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为NCR。

可选的，在某些实现方式中，所述鉴权请求信息通过随机接入过程中的无线资源控制建立请求消息、无线资源控制建立完成消息中的任意一个或多个携带。

本申请还提供了一种通信装置，包括：收发单元，用于向无线接入网设备发送第一随机数；该收发单元，还用于接收来自于所述无线接入网设备的第一响应数；该通信装置，还包括处理单元，用于根据所述无线接入网设备的公钥对所述第一响应数进行验证。

若所述验证能够获得所述第一随机数，则所述无线接入网设备鉴权成功；若所述验证不能获得所述第一随机数，则所述无线接入网设备鉴权失败。

可选的，在某些实现方式中，所述第一随机数通过随机接入过程中的无线资源控制建立请求消息携带。

可选的，在某些实现方式中，该收发单元，还用于向所述无线接入网设备发送第二响应数，所述第二响应数根据所述第一响应数和所述中继设备的私钥生成；该收发单元，还用于接收鉴权响应，所述鉴权响应包括所述无线接入网对所述中继设备进行的鉴权结果。

可选的，在某些实现方式中，该收发单元还用于接收来自于所述无线接入网设备的第一身份哈希值，所述第一身份哈希值为所述无线接入网设备的身份哈希值；该处理单元，用于确认区块链网络中存在所述第一身份哈希值，所述区块链网络用于管理所述无线接入网设备的身份信息。

可选的，在某些实现方式中，该收发单元还用于向所述无线接入网设备发送第二身份哈希值，所述第二身份哈希值为所述中继设备的身份哈希值。

本申请还提供了一种通信装置，包括：收发单元，用于接收来自于中继设备的第一随机数；该收发单元，还用于向所述中继设备发送第一响应数，所述第一响应数根据所述无线接入网设备的私钥和所述第一随机数生成。

可选的，在某些实现方式中，所述第一随机数通过随机接入过程中的无线资源控制建立请求消息携带。

可选的，在某些实现方式中，该收发单元，还用于接收来自于所述中继设备的第二响应数；该通信装置，还包括处理单元，用于根据所述中继设备的公钥对所述第二响应数进行验证；该收发单元，还用于向所述中继设备发送鉴权响应，所述鉴权响应包括所述无线接入网对所述中继设备进行的鉴权结果。

若所述验证能够获得所述第一响应数，则所述无线接入网设备允许所述中继设备接入；若所述验证不能获得所述第一响应数，则所述无线接入网设备拒绝所述中继设备接入。

可选的，在某些实现方式中，该收发单元还用于向所述中继设备发送第一身份哈希值，所述第一身份哈希值为所述无线接入网设备的身份哈希值。

可选的，在某些实现方式中，该收发单元还用于接收来自于所述中继设备的第二身份哈希值，所述第二身份哈希值为所述中继设备的身份哈希值；该处理单元，还用于确认区块链网络中存在所述第二身份哈希值，所述区块链网络用于管理所述中继设备的身份信息。

可选的，在某些实现方式中，该收发单元还用于所述无线接入网设备的集中单元向所述无线接入网设备的分布单元发送类型指示信息，所述类型指示信息用于指示所述中继设备为NCR。

本申请还提供了一种通信装置，包括：收发单元，用于无线接入网设备的集中单元向所述无线接入网设备的分布单元发送类型指示信息，所述类型指示信息用于指示接入所述无线接入网设备的中继设备为NCR。

图19是本申请实施例提供的一种通信装置的示意性框图。如图所示，该通信装置1100可以包括：收发单元1110和处理单元1120。

在一种可能的设计中，该通信装置1100可以是上文方法实施例中的中继设备，也可以是用于实现上文方法实施例中中继设备功能的芯片。

示例性地，该通信装置1100可以是上文方法实施例中的NCR，也可以是用于实现上文方法实施例中NCR功能的芯片。

应理解，该通信装置1100可对应于根据本申请实施例中的中继设备，该通信装置1100可以包括用于执行图4、图5至图8、图10、图11、图17、图18中的中继设备执行的方法的单元。并且，该通信装置1100中的各单元和上述其他操作和/或功能分别为了实现图4、图5至图8、图10、图11、图17、图18中的相应流程。

作为一种示例性描述，该通信装置1100能够实现前述方法实施例中图4、图5至图8、图10、图11、图17、图18中涉及中继设备有关的动作、步骤或者方法。

应理解，上述内容仅作为示例性理解，该通信装置1100还能够实现上述方法实施例中的其他与中继设备相关的步骤、动作或者方法，在此不再赘述。

应理解，各单元或者设备执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1100可以是上文方法实施例中的无线接入网设备，也可以是用于实现上文方法实施例中无线接入网设备功能的芯片。

示例性地，该通信装置1100可以是上文方法实施例中的gNB，也可以是用于实现上文方法实施例中gNB功能的芯片。

应理解，该通信装置1100可以包括用于执行图4、图5至图8、图10、图11、图17、图18中gNB执行的方法的单元。并且，该通信装置1100中的各单元和上述其他操作和/或功能分别为了实现图4、图5至图8、图10、图11、图17、图18中的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

应理解，上述内容仅作为示例性理解，该通信装置1100还能够实现上述方法实施例中的其他与图4、图5至图8、图10、图11、图17、图18相关的步骤、动作或者方法，在此不再赘述。

应理解，各装置或者单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该通信装置1100可以是上文方法实施例中的核心网设备，也可以是用于实现上文方法实施例中核心网功能的芯片。

应理解，该通信装置1100可对应于根据本申请实施例中的核心网，该通信装置1100可以包括用于执行图4和图5中的网管设备或者核心网设备执行的方法的单元。并且，该通信装置1100中的各单元和上述其他操作和/或功能分别为了实现图4和图5中的相应流程。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，该通信装置1100中的收发单元1110可对应于图20中示出的通信设备1200中的收发器1220，该通信装置1100中的处理单元1120可对应于图20中示出的通信设备1200中的处理器1210。

还应理解，当该通信装置1100为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。

收发单元1110用于实现通信装置1100的信号的收发操作，处理单元1120用于实现通信装置1100的信号的处理操作。

可选地，该通信装置1100还包括存储单元1130，该存储单元1130用于存储指令。

图20是本申请实施例提供的一种通信设备的示意性框图。如图所示，该通信设备1200包括：至少一个处理器1210和收发器1220。该处理器1210与存储器耦合，用于执行存储器中存储的指令，以控制收发器1220发送信号和/或接收信号。可选地，该通信设备1200还包括存储器1230，用于存储指令。

应理解，上述处理器1210和存储器1230可以合成一个处理装置，处理器1210用于执行存储器1230中存储的程序代码来实现上述功能。具体实现时，该存储器1230也可以集成在处理器1210中，或者独立于处理器1210。

还应理解，收发器1220可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器1220还可以进一步包括天线，天线的数量可以为一个或多个。收发器1220有可以是通信接口或者接口电路。

当该通信设备1200为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路或通信接口；处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。本申请实施例还提供了一种处理装置，包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(applicationspecific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(networkprocessor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logicdevice，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由中继设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由中继设备执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由无线接入网设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由无线接入网设备执行的方法。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由核心网设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由核心网设备执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由中继设备执行的方法。

本申请实施例还提供一种通信系统，该通信系统由中继设备和无线接入网设备组成，其中该中继设备用于执行前述方法实施例中由中继设备执行的方法的步骤，以及该无线接入网设备用于执行前述方法实施例中由无线接入网设备执行的方法的步骤。

可选地，该通信系统还可以包括核心网设备，其用于执行前述方法实施例中由核心网设备执行的方法的步骤。

所属领域的技术人员可以清楚地了解到，为描述方便和简洁，上述提供的任一种通信装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定，只要能够通过运行记录有本申请实施例提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可。例如，本申请实施例提供的方法的执行主体可以是中继设备或无线接入网设备，或者，是中继设备或无线接入网设备中能够调用程序并执行程序的功能模块。

本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。

其中，计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质(或者说计算机可读介质)例如可以包括但不限于：磁性介质或磁存储器件(例如，软盘、硬盘(如移动硬盘)、磁带)、光介质(例如，光盘、压缩盘(compact disc，CD)、数字通用盘(digital versatiledisc，DVD)等)、智能卡和闪存器件(例如，可擦写可编程只读存储器(erasableprogrammable read-only memory，EPROM)、卡、棒或钥匙驱动器等)、或者半导体介质(例如固态硬盘(solid state disk，SSD)等、U盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)等各种可以存储程序代码的介质。

本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于：无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM可以包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，上述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。

另外，在本申请各个实施例中的各功能单元可以集成在一个单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。

当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，计算机可以是个人计算机，服务器，或者网络设备等。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。关于计算机可读存储介质，可以参考上文描述。

应理解，在本申请实施例中，编号“第一”、“第二”…仅仅为了区分不同的对象，比如为了区分不同的网络设备，并不对本申请实施例的范围构成限制，本申请实施例并不限于此。

还应理解，在本申请中，“当…时”、“若”以及“如果”均指在某种客观情况下网元会做出相应的处理，并非是限定时间，且也不要求网元实现时一定要有判断的动作，也不意味着存在其它限定。

还应理解，在本申请各实施例中，“A对应的B”表示B与A相关联，根据A可以确定B。但还应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

还应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (30)

1.一种鉴权方法，其特征在于，包括：

无线接入网设备接收来自于中继设备的鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；

所述无线接入网设备发送鉴权响应，所述鉴权响应包括对所述中继设备的鉴权结果。

2.根据权利要求1所述的方法，其特征在于，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

3.根据权利要求1或2所述的方法，其特征在于，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为智能中继器NCR。

4.根据权利要求1至3任一项所述的方法，其特征在于，所述鉴权请求信息通过随机接入过程中的无线资源控制RRC建立请求消息、无线资源控制RRC建立完成消息中的任意一个或多个携带。

5.根据权利要求1或3所述的方法，其特征在于，在所述无线接入网设备发送鉴权响应之前，所述方法还包括：

所述无线接入网设备向网络操作管理维护功能实体OAM发送所述鉴权请求信息；

所述无线接入网设备接收来自于所述OAM的所述鉴权响应。

6.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述无线接入网设备获取所述中继设备的鉴权密钥；

所述无线接入网设备根据第一随机数和所述鉴权密钥，生成第一鉴权信息；

所述无线接入网设备向所述中继设备发送所述第一随机数；

所述无线接入网设备接收来自于所述中继设备的第二鉴权信息；

所述无线接入网设备将所述第一鉴权信息与所述第二鉴权信息进行比对。

7.根据权利要求6所述的方法，其特征在于，包括：

若所述第一鉴权信息与所述第二鉴权信息一致，则所述无线接入网设备允许所述中继设备接入；

若所述第一鉴权信息与所述第二鉴权信息不一致，则所述无线接入网设备拒绝所述中继设备接入。

8.根据权利要求6或7所述的方法，其特征在于，所述无线接入网设备获取所述中继设备的鉴权密钥，包括：

所述无线接入网设备从网络操作管理维护功能实体OAM获取所述中继设备的所述鉴权密钥。

9.根据权利要求6至8任一项所述的方法，其特征在于，所述方法还包括：

所述无线接入网设备根据多个第二随机数和所述鉴权密钥，生成第三鉴权信息；

所述无线接入网设备向所述中继设备发送所述第三鉴权信息和所述多个第二随机数。

10.根据权利要求1或3所述的方法，其特征在于，所述方法还包括：

所述无线接入网设备获取所述中继设备的设备证书信息；

所述无线接入网设备根据所述设备证书信息对所述中继设备进行鉴权。

11.根据权利要求1至10任一项所述的方法，其特征在于，所述方法还包括：

所述无线接入网设备的集中单元CU向所述无线接入网设备的分布单元DU发送类型指示信息，所述类型指示信息用于指示所述中继设备为智能中继器NCR。

12.一种鉴权方法，其特征在于，包括：

中继设备向无线接入网设备发送鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息；

所述中继设备接收鉴权响应，所述鉴权响应包括对所述中继设备的鉴权结果。

13.根据权利要求12所述的方法，其特征在于，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

14.根据权利要求12或13所述的方法，其特征在于，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为智能中继器NCR。

15.根据权利要求12至14任一项所述的方法，其特征在于，所述鉴权请求信息通过随机接入过程中的无线资源控制RRC建立请求消息、无线资源控制RRC建立完成消息中的任意一个或多个携带。

16.根据权利要求12或14所述的方法，其特征在于，所述方法还包括：

所述中继设备接收来自于所述无线接入网设备的第一随机数；

所述中继设备根据所述第一随机数和所述中继设备的鉴权密钥，生成第二鉴权信息；

所述中继设备向所述无线接入网设备发送所述第二鉴权信息。

17.根据权利要求16所述的方法，其特征在于，所述方法还包括：

所述中继设备接收来自于所述无线接入网设备的第三鉴权信息和多个第二随机数；

所述中继设备根据所述多个第二随机数和所述鉴权密钥，生成第四鉴权信息；

所述中继设备将所述第三鉴权信息与所述第四鉴权信息进行比对。

18.根据权利要求17所述的方法，其特征在于，包括：

若所述第三鉴权信息与所述第四鉴权信息一致，则所述无线接入网设备鉴权成功；

若所述第三鉴权信息与所述第四鉴权信息不一致，则所述无线接入网设备鉴权失败。

19.根据权利要求12或14所述的方法，其特征在于，所述方法还包括：

所述中继设备向所述无线接入网设备发送所述中继设备的设备证书信息。

20.一种鉴权方法，其特征在于，包括：

核心网设备接收来自于中继设备的鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为智能中继器NCR；

所述核心网设备向所述中继设备发送鉴权响应，所述鉴权响应包括所述核心网设备对所述中继设备进行的鉴权结果。

21.根据权利要求20所述的方法，其特征在于，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

22.根据权利要求20或21所述的方法，其特征在于，所述鉴权请求信息通过随机接入过程中的无线资源控制RRC建立请求消息、无线资源控制RRC建立完成消息中的任意一个或多个携带。

23.根据权利要求20至22任一项所述的方法，其特征在于，所述方法还包括：

如果所述核心网设备对所述中继设备鉴权成功，所述核心网设备向无线接入网设备发送类型指示信息，所述类型指示信息用于指示所述中继设备为智能中继器NCR。

24.根据权利要求23所述的方法，其特征在于，所述核心网设备为接入移动性管理功能网元AMF或者鉴权服务功能网元AUSF。

25.根据权利要求24所述的方法，其特征在于，所述方法还包括：

统一数据管理功能网元UDM向所述AMF或者所述AUSF发送所述类型指示信息。

26.一种鉴权方法，其特征在于，包括：

中继设备向核心网设备发送鉴权请求信息，所述鉴权请求信息包括所述中继设备的身份信息，所述中继设备的身份信息包括所述中继设备的临时身份标识、类型指示信息中的任意一个或多个，所述类型指示信息用于指示所述中继设备为智能中继器NCR；

所述中继设备接收鉴权响应，所述鉴权响应包括所述核心网设备对所述中继设备进行的鉴权结果。

27.根据权利要求26所述的方法，其特征在于，所述中继设备的身份信息包括所述中继设备的永久身份标识或者对所述永久身份标识加密后的隐藏身份标识。

28.根据权利要求26或27所述的方法，其特征在于，所述鉴权请求信息通过随机接入过程中的无线资源控制RRC建立请求消息、无线资源控制RRC建立完成消息中的任意一个或多个携带。

29.一种通信装置，其特征在于，包括至少一个处理器，所述至少一个处理器用于执行存储器中存储的计算机程序，以使得所述装置实现如权利要求1至28中任一项所述的方法。

30.一种计算机可读存储介质，其特征在于，存储有计算机程序或指令，所述计算机程序或指令用于实现权利要求1至28中任一项所述的方法。