WO2018126452A1

WO2018126452A1 - 授权验证方法和装置

Info

Publication number: WO2018126452A1
Application number: PCT/CN2017/070477
Authority: WO
Inventors: 应江威; 邓强; 黄正磊
Original assignee: 华为技术有限公司
Priority date: 2017-01-06
Filing date: 2017-01-06
Publication date: 2018-07-12
Also published as: CN109716810B; EP3557898A4; EP3557898A1; WO2018126534A1; EP3849227A1; US20190335332A1; CN109716810A; EP3557898B1

Abstract

本申请实施例提供一种授权验证方法和装置。其中，该方法包括：中继设备接收远端设备发送的包括远端设备的标识的通信请求，根据该通信请求生成第一请求消息并发送给中继设备的移动管理实体，中继设备的移动管理实体根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证，并在判断关联关系验证通过后生成第一响应消息，以及向中继设备发送第一响应消息。该技术方案利用层2中继对远端设备和中继设备进行授权验证，降低了网络配置需求、减少了网络开销、提高了验证效率。

Description

授权验证方法和装置

技术领域

本申请涉及无线通信技术领域，尤其涉及一种授权验证方法和装置。

背景技术

在演进分组系统(Evolved Packet System，简称EPS)中，可穿戴设备等远端设备通过中继设备连接到网络中，从而达到降低远端设备功耗的目的。在远端设备通过中继设备连接到网络中时，远端设备需要用到中继设备的无线承载，故网络上需要完成远端设备与中继设备之间数据承载关系的映射，因此，需要网络来验证远端设备和中继设备的合法性以及远端设备和中继设备的关联关系。

现有技术中，当中继设备是层3中继时，网络中没有存储远端设备的上下文关系，基站与网络之间不存在远端设备的数据通道，此时基站与网络通过中继设备的数据通道对远端设备的数据进行传输。此时，网络通过如下方式实现远端设备和中继设备之间关联关系的验证。具体的，首先，远端设备从短距离功能实体(Proximity Service Function，简称PF)获取中继发现参数和密钥管理功能实体(ProSe key Management Function，简称PKMF)的地址，然后根据PKMF地址从PKMF获取发现安全参数，以及向PKMF发送密钥请求以获取用于中继通信的根密钥；其次，中继设备从PF获取中继发现参数和PKMF的地址，并从PKMF获取发现安全参数；进而如果远端设备需要通过中继设备接入网络，则远端设备与中继设备基于从PF获取的参数进行发现过程；然后，在成功完成发现过程后，远端设备向中继设备发送通信请求，从而触发中继设备向PKMF中继发送授权和密钥请求，PKMF对远端设备是否允许通过中继设备接入网络进行授权检查并生成短距离通信密钥，并向中继设备反馈包含通信密钥、密钥生成参数等内容的密钥响应。中继设备将密钥生成参数转发给远端设备，远端设备根据密钥生成参数生成通信密钥，若远端设备侧生成的通信密钥与中继设备接收到的通信密钥一致则表明认证和授权检查通过，从而远端设备可通过中继设备连接到网络。

然而，远端设备也可通过层2中继连接到网络，由于层2中继的协议栈结构与层3中继的不同，当中继设备选用层2中继时，基站与核心网络上为远端设备建立了相应的上下文信息以及远端设备的数据通道，此时若仍然采用层3中继对应的授权验证方法来验证远端设备与中继设备之间的关联关系，会要求执行上述层3方案的复杂繁琐的参数配置流程和授权检查流程，使得整个认证和授权过程的网络配置需求高、网络开销大、验证效率低。

发明内容

本申请实施例提供一种授权验证方法和装置，以解决远端设备和中继设备之间的关联关系认证和授权过程网络配置需求高、网络开销大、验证效率低的问题。

本申请实施例第一方面提供一种授权验证方法，该方法是从中继设备的移动管理实体的角度描述，该方法包括：中继设备的移动管理实体接收中继设备发送的包括远端设备的标识的第一请求消息，并根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证，以及在判断该关联关系验证通过后，生成第一响应消息，将该第一响应消息发送给中继设备，其中，根据第一请求消息，触发对远端设备和中继设备的关联关系的验证，包括：向远端设备的移动管理实体发送包括远端设备的标识的第二请求消息，并接收远端设备的移动管理实体根据第二请求消息对远端设备进行安全处理后发送的第二响应消息。

该方法针对层2中继设备，设计了一套远端设备与中继设备的关联关系验证方案，在中继设备的移动管理实体侧根据从中继设备发送来的第一请求消息触发对远端设备和中继设备的关联关系的验证，可选的，可以在中继设备的移动管理实体侧实现关联关系验证，也可以在远端设备的移动管理实体侧实现关联关系验证，这样能够避免现有层3中继方案中所需执行的复杂繁琐的参数配置流程和授权检查流程，使得本申请的层2解决方案与现有层3解决方案相比，降低了网络配置需求、减少了网络开销、提高了验证效率。

可选的，所述中继设备的移动管理实体根据所述第一请求消息，触发对所述远端设备和所述中继设备的关联关系的验证，还包括：中继设备的移动管理实体根据所述第一请求消息获取第一授权信息，并根据远端设备的标识、中继设备的标识以及该第一授权信息，验证是否允许远端设备通过中继设备接入网络。可选的，当中继设备的移动管理实体自身来验证远端设备和中继设备的关联关系时，其需要首先获取中继设备的上下文，从上下文中获取与该中继设备有授权关系的远端设备列表，即第一授权信息，进而实现关联关系的验证。当中继设备的移动管理实体获知远端设备的标识、中继设备的标识以及上述第一授权信息后，判断该第一授权信息中是否包含中继设备与远端设备的关联关系，当该第一授权信息中包含中继设备与远端设备的关联关系时，表明允许该远端设备通过该中继设备接入网络，否则，不允许该远端设备通过该中继设备接入网络。

可选的，所述中继设备的移动管理实体根据所述第一请求消息获取第一授权信息，包括：在所述中继设备成功注册到网络之后，根据所述中继设备的标识从用户数据管理实体和/或近距离功能实体获取所述第一授权信息。也即，在中继设备成功注册到网络之后，网络中用户数据管理实体和/或近距离功能实体中均存储有中继设备的与远端设备相关的第一授权信息。对于用户数据管理实体中的中继设备与远端设备相关的第一授权信息，中继设备的移动管理实体直接从用户数据管理实体获取上述第一授权信息。而对于中继设备的移动管理实体从近距离功能实体获取该第一授权信息的方式，可以为：当中继设备的移动管理实体可直接与近距离功能实体通信时，即两者之间存在直接接口，中继设备的移动管理实体直接从近距离功能实体获取上述第一授权信息；而当中继设备的移动管理实体不能直接与近距离功能实体通信时，即两者之间不存在直接接口，则近距离功能实体通过HSS将上述第一授权信息发送给中继设备的移动管理实体。

可选的，若第一请求消息，还包括：中继服务码；则中继设备的移动管理实体根据第一请求消息，触发对远端设备和中继设备的关联关系的验证，包括：中继设备的移动管理实体根据远端设备的标识、中继设备的标识、中继服务码以及第一授权信息，验证是否允许远端设备通过中继设备接入网络。

当远端设备发送给中继设备的通信请求中还包括中继服务码时，中继设备整合生成的第一请求消息中也包括中继服务码，该中继服务码用于表征远端设备要请求的业务类型，不同的中继服务码对应不同的业务类型，因此，中继设备的移动管理实体验证远端设备与中继设备的关联关系时，还依据中继服务码，此时的第一授权信息为中继设备有授权关系的远端设备以及对应的中继服务码的关系列表。

可选的，本申请的授权验证方法，还包括：中继设备的移动管理实体向近距离功能实体发送包括远端设备的标识、中继设备的标识的第三请求消息，以使近距离功能实体根据第三请求消息验证是否允许远端设备通过中继设备接入网络。作为一种示例，关于终端设备的移动管理实体触发对远端设备和中继设备的关联关系验证的实现方式，除了中继设备的移动管理实体可自身进行验证、以及向远端设备的移动管理实体发送第二请求消息，以使该远端设备的移动管理实体验证外，中继设备的移动管理实体还可向近距离功能实体发送第三请求消息，以使该近距离功能实体进行验证。

可选的，本申请的授权验证方法，还包括：中继设备的移动管理实体接收远端设备的移动管理实体发送的密钥和生成该密钥所需的安全参数，并将该密钥和生成密钥所需的安全参数发送给所述中继设备。

远端设备想要通过中继设备接入到网络中，远端设备和中继设备需要具有保护两者之间通信的密钥，所以，中继设备的移动管理实体还需要接收远端设备的移动管理实体发送的密钥和生成该密钥所需的安全参数，并将其发送给中继设备，以使中继设备持有该密钥和生成该密钥的所需的安全参数。

可选的，当中继设备的移动管理实体、远端设备的移动管理实体或者近距离功能实体对远端设备和中继设备关联关系的验证通过时，但中继设备的移动管理实体接收到的第二响应消息中未携带用于保护远端设备和中继设备两者通信安全的密钥以及生成密钥所需的安全参数，那么中继设备的移动管理实体向安全功能实体发送密钥请求消息，安全功能实体则根据该密钥请求消息中远端设备的标识，查找并获取用于保护远端设备和中继设备之间通信安全的密钥和生成该密钥所需的安全参数，以及将该密钥和生成密钥所需的安全参数反馈给中继设备的移动管理实体，最后中继设备的移动管理实体再将密钥和生成该密钥所需的安全参数反馈给中继设备，以使中继设备对该密钥和安全参数进行相应处理。

这样，即使中继设备的移动管理实体生成的第一响应消息中未携带用于保护远端设备和中继设备两者通信安全的密钥以及生成密钥所需的安全参数，中继设备也能获取到用于保护远端设备和中继设备之间通信安全的密钥和生成密钥所需的安全参数，从而保证远端设备可通过该中继设备接入网络

可选的，在第一请求消息还包括：远端设备的非接入层消息、非接入层消息的校验码时，第二请求消息还包括：远端设备的非接入层消息、非接入层消息的校验码。此时，远端设备的移动管理实体还可对远端设备的非接入层消息进行验证，具体的是根据远端设备的非接入层上下文信息对远端设备的非接入层消息的校验码进行验证。

本申请实施例第二方面提供一种授权验证方法，该方法是从远端设备的移动管理实体的角度描述，该方法包括：远端设备的移动管理实体接收中继设备的移动管理实体发送的包括远端设备的标识的第二请求消息，并根据第二请求消息对远端设备进行安全处理，以及在远端设备进行安全处理后，向中继设备的移动管理实体发送的第二响应消息。

作为一种示例，在中继设备的移动管理实体触发对远端设备和中继设备的关联关系的验证时，该远端设备的移动管理实体可接收中继设备的移动管理实体发送的第二请求消息，并根据第二请求消息对远端设备进行安全处理或者对远端设备与中继设备的关联关系进行进一步验证处理，以及根据安全处理的结果生成第二响应消息，并将该第二响应消息反馈给中继设备的移动管理实体。通过远端设备的移动管理实体对授权关系进行验证，降低了网络配置需求，减少了网络开销、提高了验证效率。

可选的，远端设备的移动管理实体根据第二请求消息对远端设备进行安全处理，包括：远端设备的移动管理实体根据第二请求消息获取第二授权信息，根据远端设备的标识、中继设备的标识以及第二授权信息，验证是否允许远端设备通过中继设备接入网络。可选的，远端设备的移动管理实体根据第二请求消息获取第二授权信息，包括：所述远端设备的移动管理实体在所述远端设备成功注册到网络之后，根据所述远端设备的标识从用户数据管理实体和/或近距离功能实体获取所述第二授权信息；该远端设备再根据第二请求消息中的远端设备标识，查找并获取其上下文信息中的第二授权信息。

远端设备的移动管理实体在远端设备成功注册到网络之后，网络中用户数据管理实体和/或近距离功能实体中存储有远端设备与中继设备相关的第二授权信息，便可根据远端设备的标识从用户数据管理实体和/或近距离功能实体获取第二授权信息，进而可根据远端设备的标识、中继设备的标识以及获取的第二授权信息，判断该第二授权信息中是否包含远端设备与中继设备的关联关系。当第二授权信息中包含远端设备与中继设备的关联关系时，表明允许该远端设备通过该中继设备接入网络，否则，不允许该远端设备通过该中继设备接入网络。可选地，第二授权信息为与远端设备有授权关系的中继设备的列表。

可选的，若第二请求消息，还包括：中继服务码；则远端设备的移动管理实体根据第二请求消息对所述远端设备进行安全处理，包括：远端设备的移动管理实体根据所述远端设备的标识、所述中继设备的标识、所述中继服务码以及所述第二授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。此时，第二授权信息为与远端设备有授权关系的中继设备以及对应的中继服务码的关系列表。这样远端设备的移动管理实体在判定远端设备和中继设备的关联关系时，在判定条件中增加了中继服务码，即增加了远端设备请求业务的业务类型，判定结果更准确。

可选的，远端设备的移动管理实体根据第二请求消息对远端设备进行安全处理，包括：远端设备的移动管理实体根据第二请求消息中的远端设备的标识，获取远端设备的非接入层上下文信息，并根据非接入层上下文信息对远端设备的非接入层消息的校验码进行验证，此时第二请求消息包括：远端设备的非接入层消息、非接入层消息的校验码以及远端设备的标识。

在本实施例中，在第一请求消息还包括：远端设备的非接入层消息、非接入层消息的校验码时，第二请求消息中也包括：远端设备的非接入层消息、非接入层消息的校验码。此时，远端设备的移动管理实体还可对远端设备的非接入层消息进行验证，具体的是根据远端设备的非接入层上下文信息对远端设备的非接入层消息的校验码进行验证，这样通过检查非接入层消息的完整性从而完成远端设备和中继设备的安全认证。

可选的，所述授权验证方法，还包括：远端设备的移动管理实体根据第二请求消息中远端设备的标识，获取远端设备的非接入层上下文信息，根据所述非接入层上下文信息生成用于保护远端设备和中继设备之间通信安全的密钥，将该密钥和生成所述密钥所需的安全参数发送给中继设备的移动管理实体。

在本实施例中，为了保证远端设备与中继设备的通信安全，远端设备的移动管理实体根据需要通信的远端设备的标识获取该远端设备的非接入层上下文消息，该非接入层上下文消息中存储有生成密钥所需的安全参数。此外，由于远端设备的移动管理实体与中继设备之间一般不直接通信，所以，当远端设备的移动管理实体中生成用于保护远端设备和中继设备之间通信安全的密钥之后，需要将该密钥和生成密钥所需的安全参数发送给中继设备的移动管理实体，进而使其发送给中继设备。

可选的，所述授权验证方法，还包括：远端设备的移动管理实体向安全功能实体发送包括远端设备的标识的密钥请求消息，以使得安全功能实体根据该密钥请求消息，获取用于保护远端设备和中继设备之间通信安全的密钥和生成所述密钥所需的安全参数，并将其反馈给远端设备的移动管理实体，进而通过中继设备的移动管理实体发送给中继设备。

可选地，当中继设备的移动管理实体、远端设备的移动管理实体或者近距离功能实体对远端设备和中继设备的关联关系验证通过，但远端设备的NAS消息完整性校验没有通过，或者远端设备的NAS消息没有完整性保护，或者第一请求消息和第二请求消息没有携带远端设备的NAS消息，则可以通过安全功能实体获取用于保护远端设备和中继设备之间通信安全的密钥和生成该密钥所需的安全参数，能够保证远端设备和中继设备之间的正常通信。

本申请实施例第三方面提供一种授权验证方法，该方法是从中继设备的角度描述，该方法包括：中继设备接收远端设备发送的包括远端设备的标识的通信请求，根据该通信请求，生成第一请求消息，并将第一请求消息发送给中继设备的移动管理实体，以及接收中继设备的移动管理实体在判断关联关系验证通过后发送的第一响应消息，根据所述第一响应消息向所述远端设备发送通信响应。

本方法在通信响应表征验证关系通过，且远端设备生成了用于保护远端设备和中继设备两者通信安全的密钥时，远端设备则可通过该中继设备连接到网络中，实现方案简单，网络开销小，验证效率低。

可选的，该授权验证方法，还包括：中继设备接收中继设备的移动管理实体发送的用于保护远端设备和中继设备之间通信安全的密钥和生成所述密钥所需的安全参数时，上述根据所述第一响应消息向所述远端设备发送通信响应，包括：中继设备将安全参数通过通信响应发送给所述远端设备，以使远端设备根据安全参数生成用于保护远端设备和中继设备之间通信安全的密钥。

中继设备接收到密钥和生成密钥所需的安全参数后，则其自己保存该密钥，并且通过通信响应的形式将生成密钥所需的安全参数发送给远端设备，这样远端设备则可根据该安全参数自己生成保护远端设备和中继设备之间通信安全的密钥。如果远端设备侧的密钥与中继设备侧的密钥一致，则表明远端设备和中继设备之间的认证和授权检查成功，远端设备可以通过中继设备发送数据到网络。

本申请实施例第四方面提供一种授权验证方法，该方法是从网络侧设备的角度描述，该网络侧设备可以是中继设备的移动管理实体，也可以是远端设备的移动管理实体，还可以是近距离功能实体，该方法包括：网络侧设备接收中继设备发送的包括远端设备的标识的第一请求消息，根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证，并在判断该关联关系验证通过后，向中继设备发送第一响应消息。

当远端设备的移动管理实体和中继设备的移动管理实体为同一个移动管理实体时，可以将上述远端设备的移动管理实体和中继设备的移动管理实体称为网络侧设备，也即，本实施例中的网络侧设备可通过远端设备的移动管理实体、中继设备的移动管理实体其中的任意一个实现。当然，在一实施例中，该网络侧设备也可通过近距离功能实体实现。

可选的，上述网络侧设备根据所述第一请求消息，触发对所述远端设备和中继设备的关联关系的验证，包括：所述网络侧设备根据第一请求消息，获取第一授权信息，并根据远端设备的标识、中继设备的标识以及第一授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。其中，网络侧设备根据第一请求消息，获取第一授权信息，包括：在中继设备、远端设备成功注册到网络之后，网络侧设备从用户数据管理实体和/或近距离功能实体获取第一授权信息并存储在远端设备上下文信息中和/或中继设备上下文信息中；然后，网络侧设备根据第一请求消息中的远端设备标识和/或中继设备标识查找获取第一授权信息。

在一种实施例中，当该网络侧设备为中继设备的移动管理实体时，该网络侧设备在中继设备成功注册到网络之后，根据中继设备的标识从用户数据管理实体和/或近距离功能实体获取第一授权信息，此时，第一授权信息指的是中继设备的授权信息。

在另一种实施例中，当该网络侧设备为远端设备的移动管理实体时，该网络侧设备在远端设备成功注册到网络之后，根据远端设备的标识从用户数据管理实体和/或近距离功能实体获取该第一授权信息，此时，第一授权信息指的是远端设备的授权信息。

在再一种实施例中，当该网络侧设备为近距离功能实体时，该网络侧设备在远端设备、中继设备成功注册到网络之后，根据中继设备的标识、远端设备的标识分别从用户数据管理实体和/或近距离功能实体获取第一授权信息，此时，第一授权信息既包括远端设备的授权信息，也包括中继设备的授权信息。

可选的，若第一请求消息，还包括：中继服务码；则网络侧设备根据第一请求消息，触发对远端设备和中继设备的关联关系的验证，包括：网络侧设备根据远端设备的标识、中继设备的标识、中继服务码以及第一授权信息，验证是否允许远端设备通过中继设备接入网络。

可选的，网络侧设备根据第一请求消息，触发对远端设备和中继设备的关联关系的验证，包括：网络侧设备向第一移动管理实体发送第二请求消息，以使第一移动管理实体根据第二请求消息验证是否允许远端设备通过中继设备接入网络；此时，网络侧设备为中继设备的移动管理实体时，第一移动管理实体为近距离功能实体或远端设备的移动管理实体；或者网络侧设备为远端设备的移动管理实体时，第一移动管理实体为近距离功能实体或中继设备的移动管理实体；或者网络侧设备为近距离功能实体时，第一移动管理实体为远端设备的移动管理实体或中继设备的移动管理实体。

可选的，在第一请求消息中包括远端设备的非接入层消息以及非接入层消息的校验码时，第二请求消息包括：远端设备的非接入层消息、非接入层消息的校验码以及远端设备的标识，则网络侧设备根据第一请求消息，触发对远端设备和中继设备的关联关系的验证，包括：网络侧设备向远端设备的移动管理实体发送第二请求消息，以使远端设备的移动管理实体根据第二请求消息对远端设备进行安全处理；此时，网络侧设备为中继设备的移动管理实体，或者网络侧设备为近距离功能实体。

可选的，网络侧设备为远端设备的移动管理实体时，网络侧设备接收中继设备发送的第一请求消息，包括：网络侧设备接收中继设备通过基站转发处理的第一请求消息，该第一请求消息还包括：中继设备的标识。

可选的，第一请求消息包括远端设备的非接入层消息以及非接入层消息的校验码，网络侧设备根据第一请求消息，触发对远端设备和中继设备的关联关系的验证，包括：网络侧设备根据远端设备的标识，获取远端设备的非接入层上下文信息，并根据所述非接入层上下文信息对非接入层消息的校验码进行验证。

可选的，该授权验证方法还包括：网络侧设备向第一移动管理实体发送第二请求消息，以使第一移动管理实体根据远端设备的标识，获取远端设备的非接入层上下文信息，并根据非接入层上下文信息生成用于保护远端设备和中继设备之间通信安全的密钥，以及将密钥和生成该密钥所需的安全参数反馈给网络侧设备，网络侧设备将密钥和生成该密钥所需的安全参数发送给中继设备，从而使中继设备将安全参数返回给远端设备，使远端设备根据安全参数生成用于保护远端设备和中继设备之间通信安全的所述密钥；此时，网络侧设备为中继设备的移动管理实体，第一移动管理实体为近距离功能实体或远端设备的移动管理实体。

可选的，该授权验证方法还包括：网络侧设备根据远端设备的标识，获取远端设备的非接入层上下文信息，并根据非接入层上下文信息生成用于保护所述远端设备和所述中继设备之间通信安全的密钥，以及将该密钥和生成密钥所需的安全参数反馈给中继设备的移动管理实体并转发给中继设备，以使中继设备将所述安全参数返回给远端设备，从而使远端设备根据安全参数生成用于保护所述远端设备和所述中继设备之间通信安全的所述密钥；此时，网络侧设备为远端设备的移动管理实体或者近距离功能实体。

可选的，所述密钥由所述远端设备的移动管理实体根据所述远端设备的基础安全密钥生成。

可选的，所述中继设备的移动管理实体中存储有所述中继设备的上下文信息，所述远端设备的移动管理实体中存储有所述远端设备的上下文信息，近距离功能实体中存储有所述中继设备的上下文信息和所述远端设备的上下文信息。

可选的，该授权验证方法还包括：网络侧设备向安全功能实体发送包括远端设备的标识的密钥请求消息，以使得安全功能实体根据所述密钥请求消息，获取用于保护远端设备和中继设备之间通信安全的密钥和生成所述密钥所需的安全参数，并将密钥和生成该密钥所需的安全参数反馈给网络侧设备，所述密钥请求消息，包括：所述远端设备的标识。

本申请实施例第五方面提供一种授权验证装置，所述装置包括用于执行上述第一方面以及第一方面的各种实现方式所提供的方法的模块或手段(means)。

本申请实施例第六方面提供一种授权验证装置，所述装置包括用于执行上述第二方面以及第二方面的各种实现方式所提供的方法的模块或手段(means)。

本申请实施例第七方面提供一种授权验证装置，所述装置包括用于执行上述第三方面以及第三方面的各种实现方式所提供的方法的模块或手段(means)。

本申请实施例第八方面提供一种授权验证装置，所述装置包括用于执行上述第四方面以及第四方面的各种实现方式所提供的方法的模块或手段(means)。

本申请实施例第九方面提供一种授权验证装置，所述装置包括处理器和存储器，存储器用于存储程序，处理器调用存储器存储的程序，以执行本申请第一方面提供的方法。

本申请实施例第十方面提供一种授权验证装置，所述装置包括处理器和存储器，存储器用于存储程序，处理器调用存储器存储的程序，以执行本申请第二方面提供的方法。

本申请实施例第十一方面提供一种授权验证装置，所述装置包括处理器和存储器，存储器用于存储程序，处理器调用存储器存储的程序，以执行本申请第三方面提供的方法。

本申请实施例第十二方面提供一种授权验证装置，所述装置包括处理器和存储器，存储器用于存储程序，处理器调用存储器存储的程序，以执行本申请第四方面提供的方法。

本申请实施例第十三方面提供一种授权验证装置，包括用于执行以上第一方面的方法的至少一个处理元件(或芯片)。

本申请实施例第十四方面提供一种授权验证装置，包括用于执行以上第二方面的方法的至少一个处理元件(或芯片)。

本申请实施例第十五方面提供一种授权验证装置，包括用于执行以上第三方面的方法的至少一个处理元件(或芯片)。

本申请实施例第十六方面提供一种授权验证装置，包括用于执行以上第四方面的方法的至少一个处理元件(或芯片)。

本申请实施例第十七方面提供一种程序，该程序在被处理器执行时用于执行以上第一方面的方法。

本申请实施例第十八方面提供一种程序产品，例如计算机可读存储介质，包括第十七方面的程序。

本申请实施例第十九方面提供一种程序，该程序在被处理器执行时用于执行以上第二方面的方法。

本申请实施例第二十方面提供一种程序产品，例如计算机可读存储介质，包括第十九方面的程序。

本申请实施例第二十一方面提供一种程序，该程序在被处理器执行时用于执行以上第三方面的方法。

本申请实施例第二十二方面提供一种程序产品，例如计算机可读存储介质，包括第二十一方面的程序。

本申请实施例第二十三方面提供一种程序，该程序在被处理器执行时用于执行以上第四方面的方法。

本申请实施例第二十四方面提供一种程序产品，例如计算机可读存储介质，包括第二十三方面的程序。

在以上各个方面中，中继设备接收远端设备发送包括终端设备的标识的通信请求，并根据该通信请求，生成第一请求消息以及将第一请求消息发送给中继设备的移动管理实体，中继设备的移动管理实体接收该第一请求消息，并触发对远端设备和中继设备的关联关系的验证，可选的，以及中继设备的移动管理实体向远端设备的移动管理实体发送第二请求消息，远端设备的移动管理实体接收该第二请求消息，并根据该第二请求消息对远端设备进行安全处理，以及在对远端设备进行安全处理后，向中继设备的移动管理实体发送的第二响应消息，中继设备的移动管理实体接收该第二响应消息，并在判断上述关联关系验证通过后生成第一响应消息，并发送给中继设备，中继设备根据该第一响应消息向远端设备发送通信响应。本申请的技术方案针对层2中继设备，设计了一套远端设备与中继设备的关联关系验证方案，避免了现有层3中继方案中所需执行的复杂繁琐的参数配置流程和授权检查流程，使得本申请的层2解决方案和现有层3解决方案相比，降低了网络配置需求、减少了网络开销、提高了验证效率。

附图说明

图1为本申请实施例提供的授权验证方法实施例一的交互图；

图2为本申请实施例提供的授权验证方法实施例二的流程图；

图3为本申请实施例提供的授权验证方法实施例三的流程图；

图4为本申请实施例提供的授权验证方法实施例四的流程图；

图5为本申请实施例提供的授权验证方法实施例五的流程图；

图6为本申请实施例提供的授权验证方法实施例六的交互图；

图7为本申请实施例提供的授权验证方法实施例七的交互图；

图8为本申请实施例提供的授权验证方法实施例八的流程图；

图9为本申请实施例提供的授权验证方法实施例九的流程图；

图10为本申请实施例提供的授权验证方法实施例十的流程图；

图11为本申请实施例提供的授权验证方法实施例十一的交互图；

图12为本申请实施例提供的授权验证方法实施例十二的交互图；

图13为本申请实施例提供的授权验证方法实施例十三的交互图；

图14为本申请实施例提供的授权验证方法实施例十四的交互图；

图15为本申请实施例提供的授权验证方法实施例十五的交互图；

图16为本申请实施例提供的一种授权验证装置的结构示意图；

图17为本申请实施例提供的另一种授权验证装置的结构示意图；

图18为本申请实施例提供的再一种授权验证装置的结构示意图；

图19为本申请实施例提供的又一种授权验证装置的结构示意图；

图20为本申请实施例提供的又一种授权验证装置的结构示意图；

图21为本申请实施例提供的又一种授权验证装置的结构示意图；

图22为本申请实施例提供的又一种授权验证装置的结构示意图；

图23为本申请实施例提供的又一种授权验证装置的结构示意图。

具体实施方式

以下，对本申请实施例中的部分用语进行解释说明，以便于本领域技术人员理解：

远端设备：可以是一种无线终端，其可以指向用户提供语音和/或其他业务数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。为了降低功耗，远端设备一般通过中继设备接入到网络中。远端设备也可以称为系统、订户单元(Subscriber Unit)、订户站(Subscriber Station)、移动站(Mobile Station)、移动台(Mobile)、远程站(Remote Station)、远程终端(Remote Terminal)、接入终端(Access Terminal)、用户终端(User Terminal)、用户代理(User Agent)、用户设备(User Device or User Equipment)，在此不作限定。

中继设备：也称网络中继器，连接在远端设备与网络中间的仪器设备，可以是在无线网络层面(如PDCP层)为远端设备的网络连接提供中继的设备，也可以是连接在远端设备与网络中间的仪器设备，它可以对传输的信号进行放大并可重发，从而可以避免信号在传输过程中的衰减，有效地提高传输的可靠性。中继设备也可以被理解为在物理层面建设性地实现网络的互联设备，本申请实施例并不对中继设备的具体表现形式进行限定。

移动性管理实体(Mobile Managenment Entity，简称MME)：主要功能是支持非接入层(Non Access stratum，简称NAS)信令及其安全、跟踪区域列表的管理、分组数据网络网关(Packet Data Network Gateway，简称P-GW)和服务网关(Serving Gateway，简称S-GW)的选择、跨MME切换时进行MME的选择、在向2G/3G接入系统切换过程中进行服务GPRS支持节点(Service GPRS Support Node，简称SGSN)的选择、用户的鉴权、漫游控制以及承载管理、3GPP不同接入网络的核心网络节点之间的移动性管理，以及UE在空闲状态下可达性管理。本申请实施例中的MME可以包括中继设备的MME、远端设备的MME，中继设备的MME指的是当前服务该中继设备的MME，远端设备的MME指的是当前服务该远端设备的MME，从功能上来说，两个MME没有区别，因此，当前服务中继设备的MME与当前服务远端设备的MME可以是同一个MME，本申请所有实施例中的涉及的MME一般指此类MME。本申请也不排除另一类MME，即，中继设备的MME指的是专门用于服务中继设备的MME，远端设备的MME指的是专门用于服务远端设备的MME，此时从功能上来说，两个MME可能有所区别；当然也可以包括集成中继设备的MME和远端设备的MME功能于一体的MME。这些MME可以用于验证是否允许远端设备通过中继设备接入网络。该MME还可以是未来5G网络中的移动性管理功能实体，如访问移动性管理功能实体(access and mobility management function，简称AMF)。

基站：又称为无线接入网(Radio Access Network，RAN)设备，是一种将终端接入到无线网络的设备，可以是全球移动通讯(Global System of Mobile communication，简称GSM)或码分多址(Code Division Multiple Access，简称CDMA)中的基站(Base Transceiver Station，简称BTS)，也可以是宽带码分多址(Wideband Code Division Multiple Access，简称WCDMA)中的基站(NodeB，简称NB)，还可以是长期演进(Long Term Evolution，简称LTE)中的演进型基站(Evolutional Node B，简称eNB或eNodeB)，或者中继站或接入点，或者未来5G网络中的基站等，在此并不限定。

本申请实施例中，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

本申请所有实施例中，如果当前服务中继设备的MME与当前服务远端设备的MME是同一个MME时，则两个MME之间的交互可以省略或者属于MME内部交互。

图1为本申请实施例提供的授权验证方法实施例一的交互图。本申请实施例以中继设备的移动管理实体、终端设备移动管理实体以及中继设备的交互进行说明。如图1所示，本申请实施例提供的授权验证方法可以包括如下步骤：

步骤101、中继设备接收远端设备发送的通信请求。

作为一种示例，该通信请求包括：远端设备的标识。

可选的，该通信请求中还包括以下内容中的一个或几个：远端设备的非接入层消息、中继服务码(Relay service code)、第一随机数。可选的，该第一随机数是远端设备生成的，可以直接携带在通信请求中。可选地，如果存在第一随机数，所述第一随机数还可以包含在远端设备的非接入层消息中，而不是直接携带在通信请求中。

在本申请实施例中，远端设备可选为可穿戴设备(wearable device，简称WD)，该远端设备(WD)希望通过中继设备(relay)连接到网络中，从而需要在允许远端设备通过中继设备接入到网络之前，实现对中继设备和远端设备的关联关系验证。

可选的，在中继设备接收远端设备发送的通信请求之前，中继设备和远端设备需完成以下发现过程，具体的，中继设备和远端设备均需要接入到网络中获取用于发现过程的配置参数，从而根据这些配置参数实现远端设备和中继设备之间的互相发现过程。

可选的，远端设备向中继设备发送通信请求，该通信请求中至少需携带远端设备的标识。

作为一种示例，远端设备的标识可以直接包含在通信请求中。作为另一种示例，若通信请求还包含远端设备的NAS消息，则远端设备的标识也可以被远端设备封装在自己的NAS消息中，此时，通信请求中包含的远端设备的NAS消息中包括该远端设备的标识。作为再一种示例，远端设备的标识还可以同时包含在通信请求中以及通信请求中的远端设备的NAS消息中。因此，通信请求包含远端设备的标识的实现形式可以有多种，本申请实施例并不对其进行限定。

在本申请实施例中，可选地，远端设备的NAS消息中携带有MAC-I校验值，用于远端设备的MME根据远端设备的NAS安全上下文进行完整性保护，远端设备的MME可以通过验证该NAS消息的MAC-I来认证远端设备。

值得说明的是，本申请实施例所述的远端设备的标识可能包含至少两种不同的形式，其中，一种形式适用于进行授权验证，另一种形式适用于中继设备的移动管理实体寻找远端设备的移动管理实体以及用于获取远端设备的上下文信息。例如，可选地，通信请求中的远端设备标识包括标识1，该标识1用于中继设备的移动管理实体寻找远端设备的移动管理实体；通信请求中的远端设备标识包括标识2，该标识2用于中继设备的移动管理实体或者远端设备的移动管理实体实现对中继设备和远端设备的关联关系进行授权验证；包含在远端设备的NAS消息中的远端设备标识包括标识3，标识3用于获取远端设备的上下文信息，可选地，标识1和标识3可以是同一个标识。本实施例中并没有对远端设备的标识的具体形式进行区分。

可选的，标识1和标识3可以是全球唯一临时UE标识(Globally Unique Temporary UE Identity，简称GUTI)，或国际移动用户识别码(International Mobile Subscriber Identity，简称IMSI)，或者临时识别码(Temporary Mobile Subscriber Identity，简称TMSI)等。可选地，标识2可以是近距离功能实体分配的标识。

步骤102、中继设备根据通信请求，生成第一请求消息。

该第一请求消息包括：远端设备的标识。可选的，该第一请求消息为中继设备(relay)和移动管理实体(MME)之间的非接入层(NAS)消息。

作为一种示例，中继设备接收到远端设备的通信请求之后，可以将该通信请求的相关内容封装到自己的第一请求消息中。

作为另一种示例，中继设备还可以既将通信请求的相关内容封装到自己的第一请求消息中，也将验证远端设备与中继设备的关联关系所需要的其他相关参数整合到第一请求消息中，例如，可选地，该第一请求消息中还可以包括中继设备的标识。

具体的，封装到第一请求消息中的相关内容，包括步骤101中的远端设备的标识，还可能包括步骤101中的远端设备的NAS消息。可选的，在步骤101中的通信请求还包括中继服务码(Relay service code)或者第一随机数时，封装到第一请求消息中的相关内容还包括该中继服务码或者第一随机数。中继服务码用于表征远端设备要请求的业务类型，用于远端设备和中继设备关联关系的验证。第一随机数是远端设备生成的，用于后续密钥的生成，关于密钥的具体生成方式参见后续步骤502中的记载。其中，第一随机数的携带方式可以参考步骤101中所述的方式。

步骤103、中继设备将该第一请求消息发送给中继设备的移动管理实体。

当中继设备根据通信请求生成第一请求消息后，便发送给中继设备的移动管理实体，由中继设备的移动管理实体根据第一请求消息的内容触发对远端设备和中继设备的关联关系进行验证。

步骤104、中继设备的移动管理实体接收第一请求消息。

该第一请求消息中的内容参见步骤102中的记载。

步骤105、中继设备的移动管理实体根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证。

可选的，在本申请的一实施例中，当中继设备的移动管理实体接收到中继设备发送的第一请求消息之后，可以执行如下多种操作中的任意一种。第一种操作：中继设备的移动管理实体根据第一请求消息中的内容触发自身对远端设备和中继设备的关联关系的验证；第二种操作：中继设备的移动管理实体将第一请求消息中内容发送给远端设备的移动管理实体或者近距离功能实体，以使远端设备的移动管理实体或者近距离功能实体进行进一步的安全处理；第三种操作：执行第一种操作和第二种操作对应的内容。

可选地，中继设备的移动管理实体在按照第三种操作执行时，本申请实施例并不限定第一种操作和第二种操作的执行顺序。例如，第一种操作中继设备的移动管理实体根据第一请求消息中的内容触发自身对远端设备和中继设备的关联关系的验证，可以放在如下步骤105d中执行，可选地，远端设备和中继设备的关联关系的验证可能用到如下步骤105c步骤中返回的信息，如远端设备的标识IMSI。

步骤106、中继设备的移动管理实体在判断关联关系验证通过后，生成第一响应消息，并向中继设备发送该第一响应消息。

可选的，在本申请实施例中，中继设备的移动管理实体判断关联关系验证通过，具体可以包括如下至少一种：中继设备的移动管理实体自身判断得出远端设备和中继设备的关联关系验证通过、远端设备的移动管理实体判断远端设备和中继设备的关联关系验证通过，或者近距离功能实体判断得出远端设备和中继设备的关联关系验证通过。

作为一种示例，当远端设备和中继设备的关联关系验证仅需要在中继设备的移动管理实体、远端设备的移动管理实体或者近距离功能实体中的任意一处验证，并且关联关系验证通过时，会生成第一响应消息，并将该第一响应消息反馈给中继设备。

作为另一种示例，当远端设备和中继设备的关联关系验证需要在中继设备的移动管理实体、远端设备的移动管理实体或者近距离功能实体中的任意两处、或者三处验证时，只有对应的两处或者三处均验证通过，才表明关联关系验证通过，此时，中继设备的移动管理实体生成第一响应消息，并反馈给中继设备。

步骤107、中继设备接收该第一响应消息。

作为一种示例，在远端设备和中继设备的关联关系验证通过时，该第一响应消息中可以携带用于保护远端设备和中继设备两者通信安全的密钥以及生成密钥所需的安全参数。

作为另一种示例，在远端设备和中继设备的关联关系验证通过时，但远端设备的NAS消息完整性校验没有通过，或者远端设备的NAS消息没有完整性保护，或者第一请求消息和第二请求消息没有携带远端设备的NAS消息，那么MME(中继设备的MME或者远端设备的MME)则向安全功能实体发送密钥请求消息，以获取用于保护远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数。

作为再一种示例，在远端设备和中继设备的关联关系验证失败时，该第一响应消息中可以包含失败的原因等参数。

值得说明的是，上述关于第一响应消息的具体包含内容，本申请实施例并不对其进行限定。

步骤108、中继设备根据第一响应消息向远端设备发送通信响应。

可选的，中继设备会根据接收到的第一响应消息将远端设备与中继设备之间的关联关系验证的结果生成通信响应发送给终端设备，该通信响应作为上述通信请求的结果一种表现形式。可选地，若第一响应消息中携带有用于保护远端设备和中继设备两者通信安全的密钥以及生成密钥所需的安全参数，则通信响应中包含生成密钥所需的安全参数，以使得远端设备同样生成用于保护远端设备和中继设备两者通信安全的密钥。

当通信响应表征验证关系通过，且远端设备生成了用于保护远端设备和中继设备两者通信安全的密钥时，远端设备则可通过该中继设备连接到网络中。

可选的，在本申请的一实施例中，上述步骤105，可通过步骤105a实现，相应的，本申请实施例的授权验证方法，还包括步骤105b～步骤105d。

步骤105a、中继设备的移动管理实体向远端设备的移动管理实体发送第二请求消息。

该第二请求消息包括：远端设备的标识。

作为一种示例，在中继设备的移动管理实体触发对远端设备和中继设备的关联关系的验证时，还可根据第一请求消息中远端设备的标识向远端设备的移动管理实体发送第二请求消息，以使远端设备的移动管理实体根据第二请求消息对远端设备进行安全处理或者对远端设备与中继设备的关联关系进行进一步验证处理。

可选地，该第二请求消息还包括：中继设备的标识。该中继设备的标识和远端设备的标识用于远端设备的MME实现对中继设备和远端设备的关联关系进行授权验证。

可选的，该第二请求消息中中继设备的标识可以通过如下方式中的任意一种方式获取到：其一，中继设备的移动管理实体可以从其内部存储的中继设备上下文信息中获取，进而将其封装到第二请求消息中；其二，当第一请求消息中包含中继设备的标识时，中继设备的移动管理实体也可以从上报的第一请求消息中获取到。关于中继设备的标识的具体获取方式本申请实施例并不具体限定。

可选地，该第二请求消息还包括：从第一请求消息中获取的远端设备的NAS消息。可选的，该第二请求消息还包括远端设备生成的第一随机数。其中，NAS消息的内容，以及第一随机数的携带方式可以参考步骤101中的所述方法。

可选地，第一请求消息中包括远端设备的标识，该远端设备的标识用于中继设备的MME寻找远端设备的MME，具体的，中继设备的MME根据该远端设备的标识确定远端设备的MME，进而向其发送第二请求消息。此处，远端设备的标识的具体体现形式参见步骤101中的记载，此处不再赘述，

步骤105b、远端设备的移动管理实体接收第二请求消息，并根据第二请求消息对远端设备进行安全处理。

可选的，如果第二请求消息包括：从第一请求消息中获取的远端设备的非接入层(NAS)消息，该安全处理可以包括对远端设备的NAS消息的完整性验证。

可选地，该安全处理也可以包括根据第二请求消息中的中继设备的标识和/或远端设备的标识，对远端设备和中继设备的关联关系的验证。

可选地，远端设备的MME还可以根据第二请求消息中远端设备的标识，获取远端设备的非接入层上下文信息，并根据该非接入层上下文信息生成用于保护远端设备和中继设备之间通信安全的密钥。可选的，该标识可以是GUTI，或TMSI，或IMSI等；具体的，可参见步骤101中的记载，此处不再赘述。关于远端设备的标识的获取方式，远端设备的MME可以直接从第二请求消息中直接获取，或者从第二请求消息中携带的远端设备的NAS消息中获取。

可选地，在远端设备和中继设备的关联关系验证通过时，但远端设备的NAS消息完整性校验没有通过，或者远端设备的NAS消息没有完整性保护，或者第一请求消息和第二请求消息没有携带远端设备的NAS消息，那么远端设备的MME则向安全功能实体发送密钥请求消息，以获取用于保护远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数。

可选地，在步骤105b中，远端设备的MME生成的(第一)密钥可以直接作为PC5口通信密钥用于PC5口的通信保护，即Relay根据接收到的(第一)密钥直接对通信响应进行安全保护(如，完整性保护)，则相应地，WD也根据接收到的生成密钥所需的安全参数生成(第一)密钥，即PC5口通信密钥，然后对通信响应消息进行安全验证(如，完整性验证)。可选地，PC5口通信密钥也可以为Relay根据步骤105c中远端设备的MME所生成的(第一)密钥再进一步生成的(第二)密钥，即Relay根据接收到的(第一)密钥生成(第二)密钥，作为PC5口通信密钥，对通信响应进行安全保护(如，完整性保护)，则相应地，WD根据接收到的生成密钥所需的安全参数生成(第一)密钥后，再根据(第一)密钥生成(第二)密钥，该(第二)密钥即为PC5口通信密钥，然后对通信响应消息进行安全验证(如，完整性验证)。

步骤105c、远端设备的移动管理实体在对远端设备进行安全处理后，向中继设备的移动管理实体发送的第二响应消息。

远端设备的移动管理实体根据第二请求消息的内容对远端设备进行安全处理后，根据安全处理的结果生成第二响应消息，并将该第二响应消息反馈给中继设备的移动管理实体。

可选的，当远端设备的MME生成了用于保护远端设备和中继设备之间通信安全的密钥时，该第二响应消息中包含有密钥和生成该密钥所需的安全参数。

可选的，中继设备的移动管理实体接收的密钥和生成密钥所需的安全参数相当于第二响应消息内容的一种表现形式。可选的，该第二响应消息可以包含远端设备的移动管理实体生成的非接入层消息。可选地，该第二响应消息中的非接入层消息使用远端设备的NAS安全上下文进行完整性保护，并通过中继设备的移动管理实体发送给中继设备进而发送给远端设备，以使得远端设备通过对所述非接入层消息的完整性验证来认证网络。可选地，所述密钥生成参数可以包含在所述非接入层消息中。

步骤105d、中继设备的移动管理实体接收该第二响应消息。

本申请实施例提供的授权验证方法，中继设备接收远端设备发送的通信请求，该通信请求中包括终端设备的标识，并根据该通信请求，生成第一请求消息以及将第一请求消息发送给中继设备的移动管理实体，中继设备的移动管理实体接收该第一请求消息，并触发对远端设备和中继设备的关联关系的验证，以及向远端设备的移动管理实体发送第二请求消息，远端设备的移动管理实体接收该第二请求消息，并根据该第二请求消息对远端设备进行安全处理，以及在对远端设备进行安全处理后，向中继设备的移动管理实体发送的第二响应消息，中继设备的移动管理实体接收该第二响应消息，并在判断上述关联关系验证通过后生成第一响应消息，并发送给中继设备，中继设备根据该第一响应消息向远端设备发送通信响应。本申请的技术方案，针对层2中继设备，设计了一套远端设备与中继设备的关联关系验证方案，避免了现有层3中继方案中所需执行的复杂繁琐的参数配置流程和授权检查流程，使得本申请的层2解决方案和现有层3解决方案相比，降低了网络配置需求、减少了网络开销、提高了验证效率。

在图1所示实施例的基础上，图2为本申请实施例提供的授权验证方法实施例二的流程图。如图2所示，在本申请实施例提供的授权验证方法中，上述步骤105(中继设备的移动管理实体根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证)还可包括如下步骤：

步骤201、中继设备的移动管理实体根据第一请求消息获取第一授权信息。

具体的，当中继设备的移动管理实体自身来验证远端设备和中继设备的关联关系时，其需要首先获取中继设备的上下文，从上下文中获取与该中继设备有授权关系的远端设备列表，即第一授权信息。

可选的，作为一种示例，中继设备的移动管理实体在中继设备成功注册到网络之后，根据中继设备的标识从用户数据管理实体和/或近距离功能实体获取该第一授权信息。

在本实施例中，当中继设备成功注册到网络之后，网络中用户数据管理实体和/或近距离功能实体中均存储有中继设备与远端设备相关的第一授权信息。对于用户数据管理实体中的中继设备与远端设备相关的第一授权信息，中继设备的移动管理实体直接从用户数据管理实体(例如，归属用户服务器(Home Subscriber Server，简称HSS)，或者，5G系统中的用户数据管理实体(User data manangement，简称UDM))获取上述第一授权信息。而对于中继设备的移动管理实体从近距离功能实体获取该第一授权信息的方式，可以为：当中继设备的移动管理实体可直接与近距离功能实体通信时，即两者之间存在直接接口，中继设备的移动管理实体直接从近距离功能实体获取上述第一授权信息；而当中继设备的移动管理实体不能直接与近距离功能实体通信时，即两者之间不存在直接接口，则近距离功能实体通过HSS将上述第一授权信息发送给中继设备的移动管理实体。

步骤202、中继设备的移动管理实体根据远端设备的标识、中继设备的标识以及上述第一授权信息，验证是否允许远端设备通过该中继设备接入网络。

在关联关系验证之前，中继设备的移动管理实体首先获取中继设备的标识。关于中继设备的标识的获取方式，具体可参见上述步骤105a中记载，即，可选的，中继设备的移动管理实体可以从其内部存储列表中获取或者中继设备的移动管理实体从上报的第一请求消息中获取，此处不再赘述。

当中继设备的移动管理实体获知远端设备的标识、中继设备的标识以及上述第一授权信息后，判断该第一授权信息中是否包含中继设备与远端设备的关联关系，当该第一授权信息中包含中继设备与远端设备的关联关系时，表明允许该远端设备通过该中继设备接入网络，否则，不允许该远端设备通过该中继设备接入网络。

本申请实施例提供的授权验证方法，当中继设备的移动管理实体根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证时，可根据第一请求消息获取第一授权信息，进而根据远端设备的标识、中继设备的标识以及上述第一授权信息，验证是否允许远端设备通过该中继设备接入网络。这样关联关系验证方法简单，容易实现。

可选的，在图1所示实施例的基础上，作为一种示例，当第一请求消息，还包括：中继服务码时，上述步骤105可通过如下可能实现方式实现，具体如下：

中继设备的移动管理实体根据第一请求消息获取第一授权信息，并根据远端设备的标识、中继设备的标识、中继服务码以及第一授权信息，验证是否允许该远端设备通过中继设备接入网络。此时，第一授权信息为与中继设备有授权关系的远端设备以及对应的中继服务码的关系列表。

当远端设备发送给中继设备的通信请求中还包括中继服务码时，中继设备整合生成的第一请求消息中也包括中继服务码，该中继服务码用于表征远端设备要请求的业务类型，不同的中继服务码对应不同的业务类型，所以，在本实施例中，中继设备的移动管理实体验证远端设备与中继设备的关联关系时，还依据中继服务码。具体的，中继设备的移动管理实体根据远端设备的标识、中继设备的标识、中继服务码以及第一授权信息，验证是否允许该远端设备通过中继设备接入网络。

实际上，该步骤是对图2所示实施例的进一步限定，只是判定条件增加了中继服务码。对于第一授权信息的获取方式参见步骤201中的记载，对于中继设备的标识的获取方式参见步骤105a中的记载，此处不再赘述。

可选的，在上述实施例的基础上，本申请实施例提供的授权验证方法，还包括如下步骤。

中继设备的移动管理实体向近距离功能实体发送第三请求消息，以使近距离功能实体根据该第三请求消息验证是否允许远端设备通过中继设备接入网络。

其中，第三请求消息包括：远端设备的标识、中继设备的标识。

作为一种示例，关于终端设备的移动管理实体触发对远端设备和中继设备的关联关系验证的实现方式，除了中继设备的移动管理实体可自身进行验证、以及向远端设备的移动管理实体发送第二请求消息，以使该远端设备的移动管理实体验证外，中继设备的移动管理实体还可向近距离功能实体发送第三请求消息，以使该近距离功能实体进行验证。

值得说明的是，该第三请求消息中至少包括远端设备的标识、中继设备的标识。可选的，第三请求消息中远端设备的标识、中继设备的标识可以从上报的第一请求消息中获取到。可选的，当通信请求中包括中继服务码时，第一请求消息、第二请求消息以及第三请求消息中均可能包括中继服务码。可选的，中继服务码用于表征远端设备要请求的业务类型，参与到远端设备和中继设备关联关系的验证中。

进一步的，在上述任一实施例的基础上，图3为本申请实施例提供的授权验证方法实施例三的流程图。如图3所示，本申请实施例提供的授权验证方法还包括如下步骤：

步骤301、中继设备的移动管理实体向安全功能实体发送密钥请求消息，以使得该安全功能实体根据密钥请求消息，获取用于保护远端设备和中继设备之间通信安全的密钥和生成密钥所需的安全参数，并将密钥和生成密钥所需的安全参数反馈给中继设备的移动管理实体。

该所述密钥请求消息，包括：远端设备的标识。

步骤302、中继设备的移动管理实体将密钥和生成该密钥所需的安全参数发送给中继设备。

作为一种示例，当中继设备的移动管理实体、远端设备的移动管理实体或者近距离功能实体对远端设备和中继设备关联关系的验证通过时，但中继设备的移动管理实体接收到的第二响应消息中未携带用于保护远端设备和中继设备两者通信安全的密钥以及生成密钥所需的安全参数，那么中继设备的移动管理实体向安全功能实体发送密钥请求消息，安全功能实体则根据该密钥请求消息中远端设备的标识，查找并获取用于保护远端设备和中继设备之间通信安全的密钥和生成该密钥所需的安全参数，以及将该密钥和生成密钥所需的安全参数反馈给中继设备的移动管理实体，最后中继设备的移动管理实体再将密钥和生成该密钥所需的安全参数反馈给中继设备，以使中继设备对该密钥和安全参数进行相应处理。

这样，即使中继设备的移动管理实体接收到的第二响应消息中未携带用于保护远端设备和中继设备两者通信安全的密钥以及生成密钥所需的安全参数，中继设备也能获取到用于保护远端设备和中继设备之间通信安全的密钥和生成密钥所需的安全参数，从而保证远端设备可通过该中继设备接入网络。

在图1所示实施例的基础上，图4为本申请实施例提供的授权验证方法实施例四的流程图。如图4所示，在本申请实施例提供的授权验证方法中，上述步骤105b(远端设备的移动管理实体接收第二请求消息，并根据第二请求消息对远端设备进行安全处理)可具体包括如下步骤：

步骤401、远端设备的移动管理实体根据第二请求消息获取第二授权信息。

具体的，远端设备的移动管理实体在远端设备成功注册到网络之后，根据远端设备的标识从用户数据管理实体和/或近距离功能实体获取第二授权信息。

本步骤与上述步骤201类似，区别在于步骤201用于获取与该中继设备有授权关系的远端设备列表，即第一授权信息，而本步骤用于获取与该远端设备有授权关系的中继设备列表，即第二授权信息。类似的，当远端设备成功注册到网络之后，网络中用户数据管理实体和/或近距离功能实体中均存储有远端设备的与中继设备相关的第二授权信息。对于用户数据管理实体中的中继设备与远端设备相关的第二授权信息，远端设备的移动管理实体直接从用户数据管理实体获取上述第二授权信息。而对于远端设备的移动管理实体从近距离功能实体获取该第二授权信息的方式，可以为：在远端设备的移动管理实体与近距离功能实体之间存在直接接口时，远端设备的移动管理实体直接从近距离功能实体获取上述第二授权信息；而当远端设备的移动管理实体与近距离功能实体通信之间不存在直接接口时，则远端设备的移动管理实体通过HSS从近距离功能实体中获取该第二授权信息。

步骤402、远端设备的移动管理实体根据远端设备的标识、中继设备的标识以及第二授权信息，验证是否允许远端设备通过中继设备接入网络。

与上述步骤202类似，远端设备的移动管理实体在验证远端设备和中继设备的关联关系时，远端设备的移动管理实体根据远端设备的标识、中继设备的标识以及获取的第二授权信息，判断该第二授权信息中是否包含远端设备与中继设备的关联关系。当第二授权信息中包含远端设备与中继设备的关联关系时，表明允许该远端设备通过该中继设备接入网络，否则，不允许该远端设备通过该中继设备接入网络。

作为一种示例，在第二请求消息，还包括：中继服务码时，上述步骤105b(远端设备的移动管理实体接收第二请求消息，并根据第二请求消息对远端设备进行安全处理)的具体实现方式如下：

远端设备的移动管理实体根据远端设备的标识、中继设备的标识、中继服务码以及第二授权信息，验证是否允许远端设备通过中继设备接入网络。此时，第二授权信息为与远端设备有授权关系的中继设备以及对应的中继服务码的关系列表。

该步骤是对上述步骤402的进一步说明，判定条件增加了中继服务码，即增加了远端设备请求业务的业务类型，关于具体的判定方式与中继设备的移动管理实体根据远端设备的标识、中继设备的标识、中继服务码以及第一授权信息对远端设备和中继设备的关联关系进行验证的方式类似，此处不再赘述。

可选的，如图4所示，在本申请实施例提供的授权验证方法中，上述步骤105b还包括如下步骤：

步骤403：远端设备的移动管理实体根据第二请求消息中的远端设备的标识，获取远端设备的非接入层上下文信息，并根据非接入层上下文信息对远端设备的非接入层消息的校验码进行验证。

其中，第二请求消息包括：远端设备的非接入层消息、非接入层消息的校验码。

在本实施例中，在第一请求消息还包括：远端设备的非接入层消息、非接入层消息的校验码时，第二请求消息中也包括：远端设备的非接入层消息、非接入层消息的校验码。此时，远端设备的移动管理实体还可对远端设备的非接入层消息进行验证，具体的是根据远端设备的非接入层上下文信息对远端设备的非接入层消息的校验码进行验证。

值得说明的是，上述步骤401、步骤402和步骤403的执行均是远端设备的移动管理实体对远端设备进行安全处理的一种可选方式，也即，在一实施例中，远端设备的移动管理实体可以执行步骤401、步骤402和步骤403中的一个或多个，而且，在执行多个步骤时，本申请实施例也不限定每个步骤的执行顺序。

本申请实施例提供的授权验证方法，远端设备的移动管理实体不仅根据第二请求消息获取第二授权信息，还在第二请求消息还包括中继服务码时，根据远端设备的标识、中继设备的标识、中继服务码以及第二授权信息，验证是否允许远端设备通过中继设备接入网络，此外，还根据第二请求消息中的远端设备的标识，获取远端设备的非接入层上下文信息，并根据非接入层上下文信息对远端设备的非接入层消息的校验码进行验证，这样通过检查非接入层消息的完整性从而完成远端设备和中继设备的安全认证。

进一步的，在上述实施例的基础上，图5为本申请实施例提供的授权验证方法实施例五的流程图。如图5所示，在本申请实施例提供的授权验证方法中，还包括：

步骤501、远端设备的移动管理实体根据第二请求消息中远端设备的标识，获取远端设备的非接入层上下文信息。

在本实施例中，为了保证远端设备与中继设备的通信安全，远端设备的移动管理实体根据需要通信的远端设备的标识获取该远端设备的非接入层上下文消息，该非接入层上下文消息中存储有生成密钥所需的安全参数。

步骤502、远端设备的移动管理实体根据该非接入层上下文信息生成用于保护远端设备和中继设备之间通信安全的密钥。

为了实现远端设备和中继设备的通信安全，远端设备的移动管理实体可根据该非接入层上下文信息生成用于保护远端设备和中继设备之间通信安全的密钥。可选的，在远端设备发送的通信请求中附带第一随机数时，远端设备的移动管理实体将第一随机数作为生成该密钥的输入参数。其中，第一随机数是远端设备生成的。可选地，在远端设备的移动管理实体生成第二随机数时，远端设备的移动管理实体将第二随机数作为生成该密钥的输入参数。可选的，第一随机数是被封装在随通信请求由远端设备发送给中继设备，随后被中继设备封装到第一请求消息中发送给中继设备的移动管理实体，最后被中继设备的移动管理实体通过第二请求消息发送给远端设备的移动管理实体。

可选地，远端设备的移动管理实体根据远端设备的标识获取远端设备NAS消息的安全上下文，然后基于NAS消息的安全上下文生成用于保护远端设备和中继设备之间通信安全的密钥，即，密钥生成参数为远端设备NAS消息的安全上下文中的参数。可选地，进一步地，生成密钥所需的安全参数可以为远端设备NAS消息的安全上下文中的密钥Kasme。可选地，生成密钥所需的安全参数还可以包括其它参数，比如，MME-WD生成的第二随机数，和/或WD生成的第一随机数。

步骤503、远端设备的移动管理实体将该密钥和生成密钥所需的安全参数发送给中继设备的移动管理实体。

具体的，由于远端设备的移动管理实体与中继设备之间一般不直接通信，所以，当远端设备的移动管理实体中生成用于保护远端设备和中继设备之间通信安全的密钥之后，需要将该密钥和生成密钥所需的安全参数发送给中继设备的移动管理实体，进而使其发送给中继设备。可选的，由于第一随机数是远端设备自己生成的，其可后续生成密钥时不需获取，所以，本申请实施例中所述的生成密钥所需的安全参数主要包括第二随机数，且该第二随机数被封装在远端设备的移动管理实体的非接入层消息中。

相应的，在中继设备的移动管理实体和中继设备侧，均还需要执行相应的接收操作。具体参照步骤504所示的内容。

步骤504、中继设备的移动管理实体接收远端设备的移动管理实体发送的密钥和生成密钥所需的安全参数。

步骤505、中继设备的移动管理实体将密钥和生成该密钥所需的安全参数发送给中继设备。

远端设备想要通过中继设备接入到网络中，远端设备和中继设备需要具有保护两者之间通信的密钥，所以，中继设备的移动管理实体还需要将接收到的密钥和生成该密钥所需的安全参数发送给中继设备，以使中继设备持有该密钥和生成该密钥的所需的安全参数。

步骤506、中继设备接收用于保护该远端设备和中继设备之间通信安全的密钥和生成密钥所需的安全参数。

相应的，上述步骤108可替换为步骤507：

步骤507：中继设备将安全参数通过通信响应发送给远端设备，以使远端设备根据安全参数生成用于保护远端设备和中继设备之间通信安全的密钥。

当中继设备接收到密钥和生成密钥所需的安全参数后，则其自己保存该密钥，并且通过通信响应的形式将生成密钥所需的安全参数发送给远端设备，这样远端设备则可根据该安全参数自己生成保护远端设备和中继设备之间通信安全的密钥。如果远端设备侧的密钥与中继设备侧的密钥一致，则表明远端设备和中继设备之间的认证和授权检查成功，远端设备可以通过中继设备发送数据到网络。

本申请实施例提供的授权验证方法，远端设备的移动管理实体根据第二请求消息中远端设备的标识，生成用于保护远端设备和中继设备之间通信安全的密钥，并将该密钥和生成密钥所需的安全参数发送给中继设备的移动管理实体，中继设备的移动管理实体将接收到的密钥和生成该密钥所需的安全参数发送给中继设备，中继设备再将安全参数通过通信响应发送给远端设备，以使远端设备根据安全参数生成用于保护远端设备和中继设备之间通信安全的密钥，这样远端设备在通过中继设备接入网络时，使可通过利用密钥保护短距离通信的安全，安全性高。

可选的，在本申请实施例提供的授权验证请求中，当中继设备的移动管理实体、远端设备的移动管理实体或者近距离功能实体对远端设备和中继设备的关联关系验证通过，但远端设备的移动管理实体并没有执行上述步骤502中生成密钥的操作，也即当远端设备发送给中继设备的通信请求中不携带远端设备的NAS消息，或者远端设备发送给中继设备的通信请求中携带远端设备的NAS消息但该NAS消息的完整性校验失败，或者远端设备发送给中继设备的通信请求中携带远端设备的NAS消息没有完整性保护，那么远端设备的移动管理实体还可执行如下操作：

远端设备的移动管理实体向安全功能实体发送密钥请求消息，以使得安全功能实体根据密钥请求消息，获取用于保护远端设备和中继设备之间通信安全的密钥和生成该密钥所需的安全参数，并将其反馈给远端设备的移动管理实体。

其中，密钥请求消息，包括：远端设备标识。

该步骤与上述图3所示实施例中中继设备的移动管理实体向安全功能实体发送密钥请求消息，以获取保护远端设备和中继设备之间通信安全的密钥和生成密钥所需的安全参数的步骤类似，此处不再赘述。

结合以上实施例，下述实施例对授权验证方法的完整流程进行说明。在下图中远端设备以可穿戴设备(WD)、中继设备(Relay)、远端设备的移动管理实体(MME-WD)、中继设备的移动管理实体(MME-relay)、基站(eNB)、归属用户服务器(Home Subscriber Server，简称HSS)以及近距离功能实体(ProSe Function，简称PF)等进行说明。

图6为本申请实施例提供的授权验证方法实施例六的交互图。如图6所示，本申请实施例提供的授权验证方法，包括：

步骤601、WD和Relay成功注册到网络。

步骤602、WD向Relay发送通信请求。

该通信请求中包含远端设备的NAS消息，关于通信请求中的其他内容参照图1所示实施例中步骤101的记载，此处不再赘述。

步骤603、Relay生成了第一请求消息，并将该第一请求消息发给MME-relay。

具体的，Relay将WD的通信请求中的内容封装到自己的NAS消息中，即生成了第一请求消息。可选的，该第一请求消息为中继设备(relay)和移动管理实体(MME)之间的NAS消息。

步骤604、MME-relay根据该第一请求消息验证Relay和WD的关联关系。

可选的，当MME-relay接收到Relay发送的第一请求消息之后，可以执行如下多种操作中的任意一种或几种。第一种操作：MME-relay根据第一请求消息中的内容触发自身对Relay和WD的关联关系的验证；第二种操作：MME-relay将第一请求消息中内容发送给MME-WD或者PF，以使MME-WD或者PF进行进一步的安全处理；第三种操作：执行第一种操作和第二种操作对应的内容。

对于MME-relay根据该第一请求消息验证Relay和WD的关联关系的具体实现参见图1所示实施例中步骤105中的记载，此处不再赘述。

步骤605、MME-relay向MME-WD发送第二请求消息。

关于第二请求消息中的内容参见图1所示实施例中步骤105a的记载，此处不再赘述。

其中，MME-relay可以根据第一请求消息中携带的WD ID找到对应的MME-WD。

步骤606、MME-WD验证第二请求消息的完整性，对Relay和WD的关联关系进行验证，生成密钥。

可选的，MME-WD接收到第二请求消息之后，可以执行如下操作中的一种或几种：验证第二请求消息的完整性、对Relay和WD的关联关系进行验证、生成密钥。该密钥是用于保护远端设备和中继设备之间通信安全的密钥。

其中，该密钥可以是PC5口通信密钥，生成密钥所需的安全参数包括：第一随机数(可选的)、MME-WD生成的第二随机数(可选的)、基础密钥(例如，Kasme)以及中继服务码(Relay service code)(可选的)，可选的，第二随机数封装在第二NAS消息中最终返回给WD。关于密钥生成的具体操作参见图5所示实施例中的步骤502，此处不再赘述。

步骤607、MME-WD将密钥和生成密钥所需的安全参数返回给MME-relay。

可选的，在MME-WD生成用于保护远端设备和中继设备之间通信安全的密钥时，MME-WD则将其返回给MME-relay。或者在MME-WD对Relay和WD的关联关系验证时，将验证后的结果反馈给MME-relay。

可选的，生成密钥所需的安全参数主要指远端设备的移动管理实体生成的第二随机数。此时，可选地，MME-WD将该第二随机数封装在自己的NAS消息中发送给MME-relay。

步骤608、MME-relay通过第一响应消息将密钥和生成密钥所需的安全参数返回给relay。

步骤609、relay接收该密钥和生成密钥所需的安全参数，将生成密钥所需的安全参数通过通信响应发给WD。

当relay接收到密钥(比如，PC5通信密钥)和生成密钥所需的安全参数，则表明对WD和relay的认证和授权通过，WD可以通过relay进行业务。

步骤610、WD对通信响应进行完整性验证，根据生成密钥所需的安全参数生成密钥。

可选地，通信响应中包括远端设备的移动性管理实体生成的第二NAS消息，则具体的，WD对通信响应中的第二NAS消息进行完整性验证。

可选地，在步骤606中，MME-WD生成的(第一)密钥可以直接作为PC5口通信密钥用于PC5口的通信保护，即Relay根据接收到的(第一)密钥直接对通信响应进行安全保护(如，完整性保护)，则相应地，WD也根据接收到的生成密钥所需的安全参数生成(第一)密钥，即PC5口通信密钥，然后对通信响应消息进行安全验证(如，完整性验证)。可选地，PC5口通信密钥也可以为Relay根据步骤606中MME-WD所生成的(第一)密钥再进一步生成的(第二)密钥，即Relay根据接收到的(第一)密钥生成(第二)密钥，作为PC5口通信密钥，对通信响应进行安全保护(如，完整性保护)，则相应地，WD根据接收到的生成密钥所需的安全参数生成(第一)密钥后，再根据(第一)密钥生成(第二)密钥，该(第二)密钥即为PC5口通信密钥，然后对通信响应消息进行安全验证(如，完整性验证)。

可选的，关于远端设备和中继设备的关联关系可以采用好友列表或者业务类型的形式表示：

好友列表：比如，Relay ID：WD1 ID、WD2 ID、……。

业务类型：比如，WD ID：(relay service code1:service1-1,service1-2,…)；(relay service code2:service2-1,service2-2,…)；……。

值得说明的是，上述关联关系还可以是其它类型的权限，本申请实施例不作限定。

此外，本申请的授权验证方法可能还需要注意如下几点：

可选地，第一：步骤604和步骤606中的关联关系验证，可能只需要执行其中一个，也可能两处都执行。

可选地，第二：用于保护远端设备和中继设备之间通信安全的密钥是可选的，即步骤606中可能不需要生成密钥。此时，上述第一随机数和第二随机数也不需要生成及传递，但是，远端设备的NAS消息和MME-WD的NAS消息还是需要传递的，作用是通过检查远端设备的NAS消息的完整性来完成WD和relay之间的安全认证。

可选地，第三：如果用于保护远端设备和中继设备之间通信安全的密钥需要生成，可选的，WD和MME-WD之间的交互也可能不需要封装在NAS消息中，即第一随机数和WD ID不需要封装在远端设备的NAS消息中，第二随机数也不需要封装在MME-WD的NAS消息中。

可选地，第四：若WD ID不包含在通信请求中的远端设备的NAS消息中，则在步骤604和步骤605中，第一请求消息和第二请求中的远端设备的NAS消息中也不包括WD ID，此时，步骤605中，WD ID作为通信请求的一个信元。

本实施例中各步骤的实现原理参见图1至图5所示实施例中的相关记载，此处不再赘述。

图7为本申请实施例提供的授权验证方法实施例七的交互图。如图7所示，本申请实施例提供的授权验证方法与图6所示实施例类似，区别仅在于PF也可进行授权验证。可选的，如图7所示，上述图6中的步骤604可替换为步骤701～703，步骤606替换为步骤704。

步骤701、MME-relay根据第一请求消息向PF发送第三请求消息。

其中，第三请求消息包括：远端设备的标识、中继设备的标识。可选的，第三请求消息中还包括中继服务码。

步骤702、PF对Relay和WD的关联关系进行验证并生成第三响应消息。

具体的，PF根据第三请求消息对Relay和WD的关联关系进行验证。可选的，网络中用户数据管理实体和/或近距离功能实体中均存储有中继设备与远端设备相关的第一授权信息以及远端设备与中继设备相关的第二授权信息，因此，当PF接收到第三请求消息后，其根据远端设备的标识和中继设备的标识对中继设备与远端设备的关联关系进行验证。

步骤703、PF向MME-relay反馈第三响应消息。

该第三响应消息是PF验证的结果。

步骤704、MME-WD验证第二请求消息的完整性，并生成用于保护远端设备和中继设备之间通信安全的密钥和生成密钥所需的安全参数。

关于MME-WD对第二请求消息完整性的验证和密钥的生成方法参见图5所示实施例中步骤501和步骤502中的记载，此处不再赘述。

值得说明的是，本申请的授权验证方法除了需要注意图6所示实施例需要注意的几点之外，还需要注意：

Relay APP ID(中继设备客户端的标识)：WD1 app ID(第一远端设备客户端的标识)、WD2 app ID、……。

可选的，图8为本申请实施例提供的授权验证方法实施例八的流程图。如图8所示，本申请实施例提供的授权验证方法，包括：

步骤801、网络侧设备接收中继设备发送的第一请求消息。

该第一请求消息包括：远端设备的标识。

步骤802、网络侧设备根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证。

步骤803、该网络侧设备在判断上述关联关系验证通过后，向中继设备发送第一响应消息。

值得说明的是，当上述实施例中远端设备的移动管理实体和中继设备的移动管理实体集成到同一个移动管理实体上时，可以将上述远端设备的移动管理实体和中继设备的移动管理实体称为网络侧设备，也即，本实施例中的网络侧设备可通过远端设备的移动管理实体、中继设备的移动管理实体其中的任意一个实现。

可选的，在本申请的另一实施例中，该网络侧设备也可通过近距离功能实体实现。

在本申请实施例中，中继设备的移动管理实体根据接收到的中继设备发送的第一请求消息触发对远端设备和中继设备的关联关系的验证，具体参见图1所示实施例中步骤101至步骤106的记载，远端设备的移动管理实体对远端设备和中继设备的关联关系的验证，具体参见图1所示实施例中步骤105a至步骤105d的记载，其实现原理和技术效果与图1所示实施例中的远端设备的移动管理实体、中继设备的移动管理实体的实现方案类似，此处不再赘述。近距离功能实体对远端设备和中继设备的关联关系的验证与中继设备的移动管理实体、远端设备的验证方法类似，此处也不再赘述。

可选的，在图8所示实施例的基础上，图9为本申请实施例提供的授权验证方法实施例九的流程图。如图9所示，在本申请实施例提供的授权验证方法中，上述步骤802(网络侧设备根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证)，包括：

步骤901、网络侧设备根据第一请求消息，获取第一授权信息。

具体的，在中继设备、远端设备成功注册到网络之后，该网络侧设备根据第一请求消息，从用户数据管理实体和/或近距离功能实体获取第一授权信息。

在一种实施例中，当该网络侧设备为中继设备的移动管理实体时，该网络侧设备在中继设备成功注册到网络之后，根据中继设备的标识从用户数据管理实体和/或近距离功能实体获取第一授权信息，此时，第一授权信息指的是中继设备的授权信息。可选的，中继设备的授权信息的具体获取方法参见步骤201中的记载，此处不再赘述。

在另一种实施例中，当该网络侧设备为远端设备的移动管理实体时，该网络侧设备在远端设备成功注册到网络之后，根据远端设备的标识从用户数据管理实体和/或近距离功能实体获取该第一授权信息，此时，第一授权信息指的是远端设备的授权信息。可选的，远端设备的授权信息的具体获取方法参见步骤401中的记载，此处不再赘述。

步骤902、网络侧设备根据远端设备的标识、中继设备的标识以及第一授权信息，验证是否允许远端设备通过所述中继设备接入网络。

本实施例的技术方案，与图2所示实施例中中继设备验证是否允许远端设备通过中继设备接入网络的技术方案，或者与图4所示实施例中远端设备验证是否允许远端设备通过中继设备接入网络的技术方案类似，具体参见图2和图4所示实施例中的记载，此处不再赘述。

进一步的，当上述第一请求消息，还包括：中继服务码时，上述步骤802(网络侧设备根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证)可替换为如下步骤：

网络侧设备根据远端设备的标识、中继设备的标识、中继服务码以及第一授权信息，验证是否允许远端设备通过中继设备接入网络。

可选的，在网络侧设备为中继设备的移动管理实体时，该步骤的具体实现方案参见步骤202中的记载，在网络侧设备为远端设备的移动管理实体时，该步骤的具体实现方案参见步骤402中的记载，近距离功能实体的验证方法类似，具体可参见图2和图4所示实施例中的记载，此处不再赘述。

作为一种示例，在图8所示的实施例中，上述步骤802(网络侧设备根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证)，可包括如下步骤：

网络侧设备向第一移动管理实体发送第二请求消息，以使第一移动管理实体根据该第二请求消息验证是否允许远端设备通过中继设备接入网络。

在本实施例中，当网络侧设备通过不同方式实现时，第一移动管理实体也不相同，关于多种可能组合方式具体如下：

第一种方式：网络侧设备为中继设备的移动管理实体时，该第一移动管理实体为近距离功能实体或远端设备的移动管理实体；或者

第二种方式：网络侧设备为远端设备的移动管理实体时，该第一移动管理实体为近距离功能实体或中继设备的移动管理实体；或者

第二种方式：网络侧设备为近距离功能实体时，第一移动管理实体为远端设备的移动管理实体或中继设备的移动管理实体。

该步骤是远端设备和中继设备的关联关系验证在中继设备的移动管理实体、远端设备的移动管理实体或者近距离功能实体中的任意两处执行时的方案，每处验证操作的均相互独立，具体验证方法参见图9所示实施例中的记载，此处不再赘述。

可选的，在本申请图8或图9中的任一实施例中，在第一请求消息中包括远端设备的非接入层消息以及非接入层消息的校验码时，第二请求消息中也包括：远端设备的非接入层消息、该非接入层消息的校验码。

相应的，上述步骤802(网络侧设备根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证)，包括：

网络侧设备向远端设备的移动管理实体发送第二请求消息，以使远端设备的移动管理实体根据该第二请求消息对远端设备进行安全处理。

其中，该网络侧设备为中继设备的移动管理实体，或者该网络侧设备为近距离功能实体。

当网络侧设备为中继设备的移动管理实体或近距离功能实体中的任意一个时，中继设备的移动管理实体或近距离功能实体还向远端设备的移动管理实体发送第二请求消息，从而使远端设备的移动管理实体根据该第二请求消息对远端设备进行安全处理。对远端设备的安全处理参见图1所示实施例中步骤105a至步骤105d中的记载，此处不再赘述。

可选的，在本申请图8或图9中的任一实施例中，作为一种示例，若网络侧设备为远端设备的移动管理实体，则上述步骤801(网络侧设备接收中继设备发送的第一请求消息)通过如下可能实现方式实现：

网络侧设备接收中继设备通过基站转发处理的第一请求消息，该第一请求消息还包括：中继设备的标识。

在一种可行实现方式中，中继设备还可将第一请求消息发送给基站，经过基站选择对应的远端设备的移动管理实体，并通过初始远端设备信息上报远端设备的标识、中继设备的标识等相关内容。

当网络侧设备为远端设备的移动管理实体，且第一请求消息包括远端设备的非接入层消息以及非接入层消息的校验码时，上述步骤802(网络侧设备根据该第一请求消息，触发对远端设备和中继设备的关联关系的验证)的一种可能实现方式如下：

网络侧设备根据远端设备的标识，获取该远端设备的非接入层上下文信息，并根据非接入层上下文信息对非接入层消息的校验码进行验证。

具体的，远端设备和远端设备的移动管理实体之间约定有一套完整性保护密钥和一套NAS算法、NAS消息计算器(上行和下行)，远端设备的移动管理实体将完整性保护密钥、NAS消息计算器的数值、NAS消息本身等作为NAS算法的输入，其会生成一个校验值(mac-integrity)，置于NAS消息的末尾。同理，远端设备也执行上述NAS算法的操作，也会产生一个校验值，远端设备将这两个校验值进行比较，若两者一致，则表明完整性校验通过，否则表明完整性校验未通过。

可选的，由于近距离功能实体和远端设备的移动管理实体均能够根据远端设备的标识生成用于保护远端设备和中继设备之间通信安全的密钥，那么，当网络侧设备为中继设备的移动管理实体时，将近距离功能实体和远端设备的移动管理实体上位成第一移动管理实体进行说明，故本申请实施例提供的授权验证方法，还包括如下步骤，具体参见图10所示实施例。

图10为本申请实施例提供的授权验证方法实施例十的流程图。如图10所示，本申请实施例提供的授权验证方法，还包括：

步骤1001、网络侧设备向第一移动管理实体发送第二请求消息。

步骤1002、该第一移动管理实体根据第二请求消息中远端设备的标识，获取远端设备的非接入层上下文信息，并根据该非接入层上下文信息生成用于保护远端设备和中继设备之间通信安全的密钥。

步骤1003、第一移动管理实体将该密钥和生成密钥所需的安全参数反馈给网络侧设备。

步骤1004、网络侧设备将接收到的密钥和生成密钥所需的安全参数发送给中继设备。

步骤1005、中继设备将生成密钥所需的安全参数返回给远端设备。

步骤1006、远端设备根据接收到的安全参数生成用于保护远端设备和中继设备之间通信安全的所述密钥。

本实施例提供的授权验证方法，以第一移动管理实体(近距离功能实体或远端设备的移动管理实体)生成用于保护远端设备和中继设备之间通信安全的密钥进行说明，其实现原理与有益效果与图5所示实施例的技术方案类似，具体参见图5所示实施例，此处不再赘述。

可选的，当网络侧设备为远端设备的移动管理实体或者近距离功能实体时，其自身可执行密钥生成的方式，具体操作如下所示：

网络侧设备根据远端设备的标识，获取远端设备的非接入层上下文信息，并根据该非接入层上下文信息生成用于保护远端设备和中继设备之间通信安全的密钥，以及将密钥和生成密钥所需的安全参数反馈给中继设备的移动管理实体并转发给中继设备，以使中继设备将该安全参数返回给远端设备，进而使远端设备根据安全参数生成用于保护远端设备和中继设备之间通信安全的密钥。

其中，网络侧设备为远端设备的移动管理实体或者近距离功能实体。

可选的，上述密钥由远端设备的移动管理实体根据远端设备的基础安全密钥生成。

此外，中继设备的移动管理实体中存储有中继设备的上下文信息，远端设备的移动管理实体中存储有远端设备的上下文信息，近距离功能实体中存储有中继设备的上下文信息和远端设备的上下文信息。

进一步的，在上述各实施例的基础上，本申请实施例提供的授权验证方法，还包括：

网络侧设备向安全功能实体发送密钥请求消息，以使得该安全功能实体根据密钥请求消息，获取用于保护远端设备和中继设备之间通信安全的密钥和生成密钥所需的安全参数，并将密钥和生成密钥所需的安全参数反馈给网络侧设备，该密钥请求消息，包括：远端设备的标识。

该步骤是在网络侧设备判断出远端设备和中继设备的关联关系验证通过，但网络侧设备最后得到的响应消息中未携带用于保护远端设备和中继设备两者通信安全的密钥以及生成密钥所需的安全参数，那么，其则直接向安全功能实体发送密钥请求消息，进而使安全功能实体获取用于保护远端设备和中继设备之间通信安全的密钥和生成密钥所需的安全参数，从而保证远端设备可通过该中继设备接入网络。

下面结合上述实施例，列举详细的示例对授权验证方法进行具体说明：

与图6和图7所示实施例类似，以下各图中远端设备为可穿戴设备(WD)、中继设备(Relay)、远端设备的移动管理实体(MME-WD)、中继设备的移动管理实体(MME-relay)、基站(eNB)、归属用户服务器(Home Subscriber Server，简称HSS)以及近距离功能实体(ProSe Function，简称PF)等进行说明。

图11为本申请实施例提供的授权验证方法实施例十一的交互图。如图11所示，本申请实施例提供的授权验证方法与图6所示实施例类似，具体步骤如下：

步骤1101、WD和Relay成功注册到网络。

步骤1102、WD向Relay发送通信请求。

该通信请求中携带远端设备的标识(WD ID)。可选的，该通信请求中还包括第一NAS消息(WD的NAS消息)和/或中继服务码(Relay service code)。关于通信请求中的具体内容参见图1所示实施例中步骤101中的记载，此处不再赘述。

步骤1103、Relay给基站(eNB)发送RRC信令。

其中，RRC信令中包括上述通信请求中的相关内容。可选的，RRC信令中还包括relay的标识。

步骤1104、eNB发起与MME-WD的S1-AP连接建立，并通过初始远端设备消息将RRC信令中的相关内容发送给MME-WD。

步骤1105、MME-WD验证第一NAS消息的完整性，对Relay和WD的关联关系进行验证。

可选的，MME-WD接收到第一NAS消息之后的具体操作可参见图6所示实施例中步骤604的记载，此处不再赘述。当通信请求中包括第一NAS消息时，MME-WD验证第一NAS消息的完整性。关于完整性校验的具体实现参见步骤403中的记载此处不再赘述。

步骤1106、MME-WD向MME-relay发送WD ID、Relay ID。

可选的，MME-WD还可能向MME-relay发送包含验证Relay和WD的关联关系所需要的其他相关参数。此外，MME-WD还可能向MME-relay发送中继服务码等内容。

步骤1107、MME-relay对Relay和WD的关联关系进行验证，并向MME-WD反馈第二响应消息。

步骤1108、MME-WD生成密钥。

具体的，MME-WD根据WD ID获取生成密钥所需的安全参数，然后生成用于保护WD和Relay之间通信安全的密钥。

关于密钥具体生成的方法以及所需要的安全参数具体可参见步骤502中的记载，此处不再赘述。

步骤1109、MME-WD将密钥和生成密钥所需的安全参数返回给eNB。

可选的，MME-WD通过初始上下文请求将密钥和生成密钥所需的安全参数返回给eNB。

步骤1110、eNB建立WD和Relay的承载映射和绑定。

步骤1111、eNB将密钥和生成密钥所需的安全参数反馈给Relay，eNB与Relay之间实现无线控制协议连接配置。

步骤1112、eNB将生成密钥所需的安全参数反馈给WD，eNB与WD之间实现无线控制协议连接配置。

步骤1113、WD根据生成密钥所需的安全参数生成密钥。

步骤1114、WD向eNB发送无线控制协议连接配置完成的消息。

步骤1115、eNB向MME-WD反馈初始上下文完成消息。

本实施例中各步骤的实现原理参见上述实施例中的相关记载，此处不再赘述。

值得说明的是，本申请的授权验证方法还可能需要注意如下几点：

可选的，第一：步骤1105和步骤1107中的关联关系验证，可能只需要执行其中一个，也可能两处都执行。

可选的，第二：用于保护远端设备和中继设备之间通信安全的密钥是可选的，即步骤1108中可能不需要生成密钥。此时，WD生成的第一随机数和MME-WD生成的第二随机数也不需要生成及传递，但是，远端设备的NAS消息和MME-WD的NAS消息还是需要传递的，作用是通过检查远端设备的NAS消息的完整性来完成WD和relay之间的安全认证。

可选的，第三：如果用于保护远端设备和中继设备之间通信安全的密钥需要生成，可选的，WD和MME-WD之间的交互也可能不需要封装在NAS消息中，即第一随机数和WD ID不需要封装在远端设备的NAS消息中，第二随机数也不需要封装在MME-WD的NAS消息中。

可选的，第四：若WD ID不包含在通信请求中的远端设备的NAS消息中，则在步骤604和步骤605中，第一请求消息和第二请求中的远端设备的NAS消息中也不包括WD ID。

图12为本申请实施例提供的授权验证方法实施例十二的交互图。如图12所示，本申请实施例提供的授权验证方法与图11所示实施例类似，区别仅在于PF也可进行授权验证。具体的，如图12所示，上述图11中的步骤1106可替换为步骤1201、步骤1107可替换为步骤1202。

步骤1201、MME-WD向PF发送WD ID、Relay ID。

可选的，与上述步骤1106类似，MME-WD还可能向PF发送包含验证Relay和WD的关联关系所需要的其他相关参数。此外，MME-WD还可能向MME-relay发送中继服务码等内容。

步骤1202、PF对Relay和WD的关联关系进行验证，并向MME-WD反馈第二响应消息。

关于PF对Relay和WD的关联关系验证的具体实现方案参见上述步骤702中的记载，此处不再赘述。

值得说明的是，本申请实施例提供的授权验证方法，还可能需要注意如下几点：

可选的，第一：用于保护远端设备和中继设备之间通信安全的密钥是可选的，即步骤1108中可能不需要生成密钥。此时，WD生成的第一随机数和MME-WD生成的第二随机数也不需要生成及传递，但是，远端设备的NAS消息和MME-WD的NAS消息还是需要传递的，作用是通过检查远端设备的NAS消息的完整性来完成WD和relay之间的安全认证。

可选的，第二：如果用于保护远端设备和中继设备之间通信安全的密钥需要生成，可选的，WD和MME-WD之间的交互也可能不需要封装在NAS消息中，即第一随机数和WD ID不需要封装在远端设备的NAS消息中，第二随机数也不需要封装在MME-WD的NAS消息中。

可选的，第三：若WD ID不包含在通信请求中的远端设备的NAS消息中，则在步骤604和步骤605中，第一请求消息和第二请求中的远端设备的NAS消息中也不包括WD ID。

图13为本申请实施例提供的授权验证方法实施例十三的交互图。如图13所示，本申请实施例提供的授权验证方法，具体步骤如下：

步骤1301、WD和Relay成功注册到网络。

步骤1302、PF或者HSS上发生了授权信息的更新。

可选的，PF和/或HSS可能会发生relay相关的第一授权信息更新，和/或WD相关的第二授权信息更新。

步骤1303、MME-WD和/或MME-relay实现授权信息的更新。

可选的，PF和/或HSS将更新的第一授权信息配置到MME-relay上。

可选的，PF和/或HSS将更新的第二授权信息配置到MME-WD上。

步骤1304、MME-WD存储WD相关的第二授权信息。MME-relay存储relay相关的第一授权信息。

步骤1305、WD和Relay之间实现通信接口的发现过程。

步骤1306、WD向Relay发送通信请求。

该通信请求中携带远端设备的标识(WD ID)。可选的，该通信请求中还包括第一NAS消息(WD的NAS消息)和/或中继服务码(Relay service code)。关于通信请求中的其他内容参照图1所示实施例中步骤101的记载，此处不再赘述。

步骤1307、Relay生成第一请求消息，并将该第一请求消息发送给PF。

步骤1308、PF对Relay和WD的关联关系进行验证，并生成密钥。

可选的，PF接收到第一请求消息后，可执行如下操作中的一种或几种：第一，PF对Relay和WD的关联关系进行验证；第二，PF生成密钥。可选的，该密钥是用于保护WD和Relay之间通信的安全密钥。

步骤1309、PF将密钥和生成密钥所需的安全参数反馈给Relay。

可选的，PF通过第一响应消息将密钥和生成密钥所需的安全参数反馈给Relay。

步骤1310、Relay将生成密钥所需的安全参数反馈给WD。

在一实施例中，Relay通过通信响应将生成密钥所需的安全参数反馈给 WD。

步骤1311、WD向MME-WD发送服务请求。

可选的，该服务请求中携带WD-ID、relay-ID。可选地，该服务请求中还携带中继服务码。

步骤1312、MME-WD对Relay和WD的关联关系进行验证。

可选的，该步骤还可以通过MME-relay对Relay和WD的关联关系进行验证，或者该步骤通过MME-WD和MME-relay两者对Relay和WD的关联关系进行验证。

可选地，如果步骤1308中没有生成密钥，则MME-WD生成用于保护WD和Relay之间通信的安全密钥。

步骤1313、MME-WD向eNB发送建立初始上下文请求，该初始上下文请求中携带WD-ID和relay-ID。

步骤1314、eNB完成WD和Relay的承载映射和绑定。

步骤1315、eNB与Relay之间实现无线控制协议连接配置。

步骤1316、eNB与WD之间实现无线控制协议连接配置。

步骤1317、eNB向MME-WD反馈初始上下文完成消息。

本实施例中各步骤的实现原理和技术效果参见上述所示实施例中的相关记载，此处不再赘述。

图14为本申请实施例提供的授权验证方法实施例十四的交互图。如图14所示，本申请实施例提供的授权验证方法与图6所示实施例类似，具体包括如下步骤：

步骤1401、WD和Relay成功注册到网络。

步骤1402、WD向MME-WD发送远端设备的NAS消息。

该远端设备的NAS消息中携带远端设备的标识(WD ID)、中继设备的标识(Relay ID)。可选地，该远端设备的NAS消息中还包括中继服务码(Relay service code)和/或第一随机数。

步骤1403、MME-WD验证远端设备的NAS消息的完整性，并对Relay和WD的关联关系进行验证。

可选的，MME-WD可以执行如下操作中的一种或几种：验证远端设备的NAS消息的完整性、对Relay和WD的关联关系进行验证。

步骤1404、MME-WD向MME-relay发送第一授权验证请求消息。

步骤1405、MME-relay验证Relay和WD的关联关系，并向MME-WD反馈第一授权验证响应消息。

对于MME-relay验证Relay和WD的关联关系的具体实现参见图1所示实施例中步骤105中的记载，此处不再赘述。

步骤1406、MME-WD生成密钥。

具体的，MME-WD根据WD ID生成用于保护WD和Relay之间通信安全的密钥和生成密钥所需的安全参数。关于密钥生成的具体操作参见图5所示实施例中的步骤502，此处不再赘述

步骤1407、MME-WD将密钥和生成密钥所需的安全参数返回给eNB。

可选的，MME-WD通过配对请求将密钥和生成密钥所需的安全参数返回给eNB。

步骤1408、eNB建立WD和Relay的承载映射和绑定。

步骤1409、eNB将密钥和生成密钥所需的安全参数反馈给Relay，eNB与Relay之间实现无线控制协议连接配置。

步骤1410、eNB向MME-WD反馈配对响应。

步骤1411、MME-WD将生成密钥所需的安全参数反馈给WD。

步骤1412、WD根据生成密钥所需的安全参数，生成密钥。

步骤1413、WD向Relay发送通信请求。

步骤1414、Relay向WD反馈通信响应。

可选的，第一：步骤1403和步骤1405中的关联关系验证，可能只需要执行其中一个，也可能两处都执行。

可选的，第二：用于保护远端设备和中继设备之间通信安全的密钥是可选的，即步骤1406中可能不需要生成密钥。此时，生成密钥所需要的WD生成的第一随机数和MME-WD生成的第二随机数也不需要生成及传递。

图15为本申请实施例提供的授权验证方法实施例十五的交互图。如图15所示，本申请实施例提供的授权验证方法与图14所示实施例类似，区别仅在于PF也可进行授权验证。具体的，如图15所示，上述图14中的步骤1403可替换为步骤1501～1504。

步骤1501、MME-WD验证远端设备的NAS消息的完整性。

关于MME-WD对远端设备的NAS消息的完整性验证参见图5所示实施例中步骤501中的记载，此处不再赘述。

步骤1502、MME-WD向PF发送第二授权验证请求消息。

MME-WD根据远端设备的NAS消息向PF发送第二授权验证请求消息。

步骤1503、PF对Relay和WD的关联关系进行验证，生成第二授权验证响应消息。

可选的，PF根据授权验证请求消息对Relay和WD的关联关系进行验证。

步骤1504、PF向MME-WD反馈第二授权验证响应消息。

其中，第三请求消息中携带的内容与第一请求消息中的内容一致。

本实施例中各步骤的实现原理和技术效果参见图1至图5所示实施例中的相关记载，此处不再赘述。

图16为本申请实施例提供的一种授权验证装置的结构示意图。该装置可以位于中继设备的移动管理实体中，如图16所示，本实施例的装置可以包括：接收模块1601、处理模块1602和发送模块1603。

其中，接收模块1601，用于接收中继设备发送的第一请求消息，该第一请求消息包括：远端设备的标识。

处理模块1602，用于根据所述第一请求消息，触发对所述远端设备和所述中继设备的关联关系的验证。

发送模块1603，用于在处理模块1602判断所述关联关系验证通过后，生成第一响应消息，向所述中继设备发送所述第一响应消息。

该发送模块1603，还用于向所述远端设备的移动管理实体发送第二请求消息，所述第二请求消息包括：远端设备的标识。

该接收模块1601，还用于接收所述远端设备的移动管理实体根据所述第二请求消息对所述远端设备进行安全处理后发送的第二响应消息。

本实施例的装置，可以用于执行图1所示方法实施例中中继设备的移动管理实体的技术方案，其实现原理和技术效果类似，此处不再赘述。

可选的，所述处理模块1602，具体用于根据所述第一请求消息获取第一授权信息，并根据所述远端设备的标识、所述中继设备的标识以及所述第一授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。

可选的，所述处理模块1602，具体用于在所述中继设备成功注册到网络之后，根据所述中继设备的标识从用户数据管理实体和近距离功能实体中的任意一个或两个中获取所述第一授权信息。

进一步的，在上述第一请求消息，还包括：中继服务码时，上述处理模块1602，具体用于根据所述第一请求消息获取第一授权信息，并根据所述远端设备的标识、所述中继设备的标识、所述中继服务码以及所述第一授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。

作为一种示例，所述接收模块1601，还用于接收所述远端设备的移动管理实体发送的密钥和生成所述密钥所需的安全参数。

所述发送模块1603，还用于将所述密钥和生成所述密钥所需的安全参数发送给所述中继设备。

可选的，在一实施例中，所述发送模块1603，还用于向安全功能实体发送密钥请求消息，以使得所述安全功能实体根据所述密钥请求消息，获取用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数，并将所述密钥和生成所述密钥所需的安全参数反馈给所述中继设备的移动管理实体，所述密钥请求消息，包括：所述远端设备的标识。

可选的，在另一实施例中，所述发送模块1603，还用于向近距离功能实体发送第三请求消息，以使所述近距离功能实体根据所述第三请求消息验证是否允许所述远端设备通过所述中继设备接入网络，所述第三请求消息包括：远端设备的标识、中继设备的标识。

进一步的，在上述各实施例中，当第一请求消息还包括：远端设备的非接入层消息、非接入层消息的校验码时，所述第二请求消息还包括：所述远端设备的非接入层消息、所述非接入层消息的校验码。

上述装置可用于执行上述方法实施例提供的方法，具体实现方式和技术效果类似，这里不再赘述。

图17为本申请实施例提供的另一种授权验证装置的结构示意图。该装置可以位于远端设备的移动管理实体中。如图17所示，本实施例的装置可以包括：接收模块1701、处理模块1702和发送模块1703。

该接收模块1701，用于接收中继设备的移动管理实体发送的第二请求消息，所述第二请求消息包括：远端设备的标识。

处理模块1702，用于所述远端设备的移动管理实体根据所述第二请求消息对所述远端设备进行安全处理。

发送模块1703，用于在所述处理模块1702对所述远端设备进行安全处理后，向所述中继设备的移动管理实体发送的第二响应消息。

本实施例的装置，可以用于执行图1所示方法实施例中远端设备的移动管理实体的技术方案，其实现原理和技术效果类似，此处不再赘述。

可选的，在一实施例中，所述处理模块1702，具体用于根据所述第二请求消息获取第二授权信息，并根据所述远端设备的标识、所述中继设备的标识以及所述第二授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。

作为一种示例，该处理模块1702，具体用于在所述远端设备成功注册到网络之后，根据所述远端设备的标识从用户数据管理实体和/或近距离功能实体获取所述第二授权信息。

可选的，在另一实施例中，当第二请求消息，还包括：中继服务码时，所述处理模块1702，用于根据所述第二请求消息获取第二授权信息，并根据所述远端设备的标识、所述中继设备的标识、所述中继服务码以及所述第二授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。

可选的，在再一实施例中，所述处理模块1702，具体用于根据所述第二请求消息中的所述远端设备的标识，获取所述远端设备的非接入层上下文信息，并根据所述非接入层上下文信息对所述远端设备的非接入层消息的校验码进行验证，所述第二请求消息包括：所述远端设备的非接入层消息、所述非接入层消息的校验码以及所述远端设备的标识。

可选的，在又一实施例中，所述处理模块1702，还用于根据所述第二请求消息中所述远端设备的标识，获取所述远端设备的非接入层上下文信息，根据所述非接入层上下文信息生成用于保护所述远端设备和所述中继设备之间通信安全的密钥；

所述发送模块1703，还用于将所述密钥和生成所述密钥所需的安全参数发送给所述中继设备的移动管理实体。

可选的，在又一实施例中，所述发送模块1703，还用于向安全功能实体发送密钥请求消息，以使得所述安全功能实体根据所述密钥请求消息，获取用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数，并将所述密钥和生成所述密钥所需的安全参数反馈给所述远端设备的移动管理实体，所述密钥请求消息，包括：所述远端设备标识。

图18为本申请实施例提供的再一种授权验证装置的结构示意图。该装置可以位于中继设备中。如图18所示，本实施例的装置可以包括：接收模块1801、处理模块1802和发送模块1803。

接收模块1801，用于接收远端设备发送的通信请求，所述通信请求包括：远端设备的标识。

处理模块1802，用于根据所述通信请求，生成第一请求消息，所述第一请求消息包括：远端设备的标识。

发送模块1803，用于将所述第一请求消息发送给所述中继设备的移动管理实体。

所述接收模块1801，还用于接收所述中继设备的移动管理实体在判断所述关联关系验证通过后发送的第一响应消息。

所述发送模块1803，还用于根据所述第一响应消息向所述远端设备发送通信响应。

本实施例的装置，可以用于执行图1所示方法实施例中中继设备的技术方案，其实现原理和技术效果类似，此处不再赘述。

可选的，在本申请的一实施例中，所述接收模块1801，还用于接收所述中继设备的移动管理实体发送的用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数.

所述发送模块1803，还用于将所述安全参数通过所述通信响应发送给所述远端设备，以使所述远端设备根据所述安全参数生成用于保护所述远端设备和所述中继设备之间通信安全的所述密钥。

图19为本申请实施例提供的又一种授权验证装置的结构示意图。该装置可以位于中继设备的移动管理实体中，也可以位于远端设备的移动管理实体，还可以位于近距离功能实体中。如图19所示，本实施例的装置可以包括：接收模块1901、处理模块1902和发送模块1903。

接收模块1901，用于接收中继设备发送的第一请求消息，所述第一请求消息包括：远端设备的标识；

处理模块1902，用于根据所述第一请求消息，触发对所述远端设备和所述中继设备的关联关系的验证；

发送模块1903，用于在所述处理模块1902判断所述关联关系验证通过后，向所述中继设备发送第一响应消息。

可选的，在本申请的一实施例中，所述处理模块1902，具体用于根据第一请求消息，获取第一授权信息，并根据所述远端设备的标识、所述中继设备的标识以及所述第一授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。

作为一种示例，所述处理模块1902，具体用于在所述中继设备、所述远端设备成功注册到网络之后，根据第一请求消息，从用户数据管理实体和近距离功能实体中的任意一个或两个中获取所述第一授权信息。

可选的，在本申请的另一实施例中，当所述第一请求消息，还包括：中继服务码时，所述处理模块1902，具体用于根据第一请求消息，获取第一授权信息，并根据所述远端设备的标识、所述中继设备的标识、所述中继服务码以及所述第一授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。

可选的，在本申请的再一实施例中，所述发送模块1903，还用于向第一移动管理实体发送第二请求消息，以使所述第一移动管理实体根据所述第二请求消息验证是否允许所述远端设备通过所述中继设备接入网络。

在该实施例中，当该授权验证装置位于中继设备的移动管理实体中时，所述第一移动管理实体为近距离功能实体或所述远端设备的移动管理实体；或者当该授权验证装置位于远端设备的移动管理实体中时，所述第一移动管理实体为近距离功能实体或所述中继设备的移动管理实体；或者当该授权验证装置位于近距离功能实体时，所述第一移动管理实体为所述远端设备的移动管理实体或所述中继设备的移动管理实体。

可选的，在本申请的又一实施例中，在第一请求消息中包括所述远端设备的非接入层消息以及所述非接入层消息的校验码时，所述第二请求消息包括：所述远端设备的非接入层消息、所述非接入层消息的校验码以及所述远端设备的标识时，所述处理模块1902，用于向所述远端设备的移动管理实体发送第二请求消息，以使所述远端设备的移动管理实体根据所述第二请求消息对所述远端设备进行安全处理。

在本实施例中，该授权验证装置可以位于中继设备的移动管理实体中，或者该授权验证装置可以位于近距离功能实体中。

可选的，在本申请的又一实施例中，当该授权验证装置位于远端设备的移动管理实体中时，所述接收模块1901，具体用于接收所述中继设备通过所述基站转发处理的所述第一请求消息，所述第一请求消息还包括：所述中继设备的标识。

可选的，在本申请的上述实施例中，当所述第一请求消息包括所述远端设备的非接入层消息以及所述非接入层消息的校验码时，所述处理模块1902，具体用于根据所述远端设备的标识，获取所述远端设备的非接入层上下文信息，并根据所述非接入层上下文信息对所述非接入层消息的校验码进行验证。

可选的，在本申请的又一实施例中，所述发送模块1903，还用于向所述第一移动管理实体发送第二请求消息，以使所述第一移动管理实体根据所述远端设备的标识，获取所述远端设备的非接入层上下文信息，并根据所述非接入层上下文信息生成用于保护所述远端设备和所述中继设备之间通信安全的密钥，以及将所述密钥和生成所述密钥所需的安全参数反馈给该授权验证装置。

所述发送模块1903，还用于将所述密钥和生成所述密钥所需的安全参数发送给所述中继设备，以使所述中继设备将所述安全参数返回给所述远端设备，使所述远端设备根据所述安全参数生成用于保护所述远端设备和所述中继设备之间通信安全的所述密钥。

在本实施例中，该授权验证装置可以位于中继设备的移动管理实体中，所述第一移动管理实体为近距离功能实体或所述远端设备的移动管理实体。

可选的，在本申请的又一实施例中，所述处理模块1902，还用于根据所述远端设备的标识，获取所述远端设备的非接入层上下文信息，并根据所述非接入层上下文信息生成用于保护所述远端设备和所述中继设备之间通信安全的密钥，以及将所述密钥和生成所述密钥所需的安全参数反馈给所述中继设备的移动管理实体并转发给所述中继设备，以使所述中继设备将所述安全参数返回给所述远端设备，使所述远端设备根据所述安全参数生成用于保护所述远端设备和所述中继设备之间通信安全的所述密钥。

在本实施例中，该授权验证装置可以位于远端设备的移动管理实体或者近距离功能实体中。

可选的，在本申请的上述实施例中，所述密钥由所述远端设备的移动管理实体根据所述远端设备的基础安全密钥生成。

可选的，在本申请的上述实施例中，所述中继设备的移动管理实体中存储有所述中继设备的上下文信息，所述远端设备的移动管理实体中存储有所述远端设备的上下文信息，近距离功能实体中存储有所述中继设备的上下文信息和所述远端设备的上下文信息。

可选的，在本申请的又一实施例中，所述发送模块1903，还用于向安全功能实体发送密钥请求消息，以使得所述安全功能实体根据所述密钥请求消息，获取用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数，并将所述密钥和生成所述密钥所需的安全参数反馈给所述网络侧设备，所述密钥请求消息，包括：所述远端设备的标识。

另外，本申请实施例提供的授权验证装置，还可以实现上述各种可选实施例中用于授权验证装置的方法的各个步骤，具体实现原理和有益效果请参照上述方法实施例，此处不再赘述。

需要说明的是，应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。例如，确定模块可以为单独设立的处理元件，也可以集成在上述装置的某一个芯片中实现，此外，也可以以程序代码的形式存储于上述装置的存储器中，由上述装置的某一个处理元件调用并执行以上确定模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。这里所述的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

例如，以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器(digital singnal processor，简称DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(Central Processing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

图20为本申请实施例提供的又一种授权验证装置的结构示意图。本实例提供的授权验证装置，包括：处理器2001、存储器2002、收发器2003、通信接口2004和系统总线2005，存储器2002和通信接口2004通过系统总线2005与处理器2001和收发器2003连接并完成相互间的通信，存储器2002用于存储计算机执行指令，通信接口2004用于和其他设备进行通信，处理器2001和收发器2003用于运行计算机执行指令，使授权验证装置执行如上应用于授权验证方法中中继设备的移动管理实体的各个步骤。

具体的，在上述图16中，接收模块1601和发送模块1603对应收发器2003，处理模块1602对应处理器2001等。

图21为本申请实施例提供的又一种授权验证装置的结构示意图。本实例提供的授权验证装置，包括：处理器2101、存储器2102、收发器2103、通信接口2104和系统总线2105，存储器2102和通信接口2104通过系统总线2105与处理器2101和收发器2103连接并完成相互间的通信，存储器2102用于存储计算机执行指令，通信接口2104用于和其他设备进行通信，处理器2101和收发器2103用于运行计算机执行指令，使授权验证装置执行如上应用于授权验证方法中远端设备的移动管理实体的各个步骤。

具体的，在上述图17中，接收模块1701和发送模块1703对应收发器2103，处理模块1702对应处理器2101等。

图22为本申请实施例提供的又一种授权验证装置的结构示意图。本实例提供的授权验证装置，包括：处理器2201、存储器2202、收发器2203、通信接口2204和系统总线2205，存储器2202和通信接口2204通过系统总线2205与处理器2201和收发器2203连接并完成相互间的通信，存储器2202用于存储计算机执行指令，通信接口2204用于和其他设备进行通信，处理器2201和收发器2203用于运行计算机执行指令，使授权验证装置终端认证装置执行如上应用于授权验证方法中中继设备的各个步骤。

具体的，在上述图18中，接收模块1801和发送模块1803对应收发器2203，处理模块1802对应处理器2201等。

图23为本申请实施例提供的又一种授权验证装置的结构示意图。本实例提供的授权验证装置，包括：处理器2301、存储器2302、收发器2303、通信接口2304和系统总线2305，存储器2302和通信接口2304通过系统总线2305与处理器2301和收发器2303连接并完成相互间的通信，存储器2302用于存储计算机执行指令，通信接口2304用于和其他设备进行通信，处理器2301和收发器2303用于运行计算机执行指令，使授权验证装置执行如上应用于授权验证方法中网络侧设备的各个步骤。

具体的，在上述图19中，接收模块1901和发送模块1903对应收发器2303，处理模块1902对应处理器2301等。

上述图20至图23中提到的系统总线可以是外设部件互连标准(Peripheral Pomponent Interconnect，简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，简称EISA)总线等。该系统总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信接口用于实现数据库访问装置与其他设备(例如客户端、读写库和只读库)之间的通信。存储器可能包含随机存取存储器(Random Access Memory，简称RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processing，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现场可编程门阵列(Field－Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

Claims

一种授权验证方法，其特征在于，包括：

中继设备的移动管理实体接收中继设备发送的第一请求消息，所述第一请求消息包括：所述中继设备对应的远端设备的标识；

所述中继设备的移动管理实体根据所述第一请求消息，触发对所述远端设备和所述中继设备的关联关系的验证；

所述中继设备的移动管理实体在判断所述关联关系验证通过后，生成第一响应消息，向所述中继设备发送所述第一响应消息；

所述中继设备的移动管理实体根据所述第一请求消息，触发对所述远端设备和所述中继设备的关联关系的验证，包括：

所述中继设备的移动管理实体向所述远端设备的移动管理实体发送第二请求消息，所述第二请求消息包括：远端设备的标识；

所述中继设备的移动管理实体接收所述远端设备的移动管理实体根据所述第二请求消息对所述远端设备进行安全处理后发送的第二响应消息。
根据权利要求1所述的方法，其特征在于，所述中继设备的移动管理实体根据所述第一请求消息，触发对所述远端设备和所述中继设备的关联关系的验证，还包括：

所述中继设备的移动管理实体根据所述第一请求消息获取第一授权信息；

所述中继设备的移动管理实体根据所述远端设备的标识、所述中继设备的标识以及所述第一授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。
根据权利要求2所述的方法，其特征在于，所述中继设备的移动管理实体根据所述第一请求消息获取第一授权信息，包括：

所述中继设备的移动管理实体在所述中继设备成功注册到网络之后，根据所述中继设备的标识从用户数据管理实体和/或近距离功能实体获取所述第一授权信息。
根据权利要求2或3所述的方法，其特征在于，所述第一请求消息，还包括：中继服务码；

所述中继设备的移动管理实体根据所述第一请求消息，触发对所述远端设备和所述中继设备的关联关系的验证，包括：

所述中继设备的移动管理实体根据所述远端设备的标识、所述中继设备的标识、所述中继服务码以及所述第一授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。
根据权利要求1～4任一项所述的方法，其特征在于，所述方法，还包括：

所述中继设备的移动管理实体向近距离功能实体发送第三请求消息，以使所述近距离功能实体根据所述第三请求消息验证是否允许所述远端设备通过所述中继设备接入网络，所述第三请求消息包括：远端设备的标识、中继设备的标识。
根据权利要求1～5任一项所述的方法，其特征在于，所述方法，还包括：

所述中继设备的移动管理实体接收所述远端设备的移动管理实体发送的密钥和生成所述密钥所需的安全参数；

所述中继设备的移动管理实体将所述密钥和生成所述密钥所需的安全参数发送给所述中继设备。
根据权利要求1～6任一项所述的方法，其特征在于，所述方法还包括：

所述中继设备的移动管理实体向安全功能实体发送密钥请求消息，以使得所述安全功能实体根据所述密钥请求消息，获取用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数，并将所述密钥和生成所述密钥所需的安全参数反馈给所述中继设备的移动管理实体，所述密钥请求消息，包括：所述远端设备的标识；

所述中继设备的移动管理实体将所述密钥和生成所述密钥所需的安全参数发送给所述中继设备。
根据权利要求1所述方法，其特征在于，在所述第一请求消息还包括：所述远端设备的非接入层消息、所述非接入层消息的校验码时，所述第二请求消息还包括：所述远端设备的非接入层消息、所述非接入层消息的校验码。
一种授权验证方法，其特征在于，包括：

远端设备的移动管理实体接收中继设备的移动管理实体发送的第二请求消息，所述第二请求消息包括：远端设备的标识；

所述远端设备的移动管理实体根据所述第二请求消息对所述远端设备进行安全处理；

所述远端设备的移动管理实体在对所述远端设备进行安全处理后，向所述中继设备的移动管理实体发送的第二响应消息。
根据权利要求9所述的方法，其特征在于，所述远端设备的移动管理实体根据所述第二请求消息对所述远端设备进行安全处理，包括：

所述远端设备的移动管理实体根据所述第二请求消息获取第二授权信息；

所述远端设备的移动管理实体根据所述远端设备的标识、所述中继设备的标识以及所述第二授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。
根据权利要求10所述的方法，其特征在于，所述远端设备的移动管理实体根据所述第二请求消息获取第二授权信息，包括：

所述远端设备的移动管理实体在所述远端设备成功注册到网络之后，根据所述远端设备的标识从用户数据管理实体和/或近距离功能实体获取所述第二授权信息。
根据权利要求10或11所述的方法，其特征在于，所述第二请求消息，还包括：中继服务码；

所述远端设备的移动管理实体根据第二请求消息对所述远端设备进行安全处理，包括：

所述远端设备的移动管理实体根据所述远端设备的标识、所述中继设备的标识、所述中继服务码以及所述第二授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。
根据权利要求9～12任一项所述的方法，其特征在于，所述远端设备的移动管理实体根据第二请求消息对所述远端设备进行安全处理，包括：

所述远端设备的移动管理实体根据所述第二请求消息中的所述远端设备的标识，获取所述远端设备的非接入层上下文信息，并根据所述非接入层上下文信息对所述远端设备的非接入层消息的校验码进行验证，所述第二请求消息包括：所述远端设备的非接入层消息、所述非接入层消息的校验码以及所述远端设备的标识。
根据权利要求9～13任一项所述的方法，其特征在于，所述方法，还包括：

所述远端设备的移动管理实体根据所述第二请求消息中所述远端设备的标识，获取所述远端设备的非接入层上下文信息；

所述远端设备的移动管理实体根据所述非接入层上下文信息生成用于保护所述远端设备和所述中继设备之间通信安全的密钥；

所述远端设备的移动管理实体将所述密钥和生成所述密钥所需的安全参数发送给所述中继设备的移动管理实体。
根据权利要求9～14任一项所述的方法，其特征在于，所述方法还包括：

所述远端设备的移动管理实体向安全功能实体发送密钥请求消息，以使得所述安全功能实体根据所述密钥请求消息，获取用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数，并将所述密钥和生成所述密钥所需的安全参数反馈给所述远端设备的移动管理实体，所述密钥请求消息，包括：所述远端设备标识。
一种授权验证方法，其特征在于，包括：

中继设备接收远端设备发送的通信请求，所述通信请求包括：远端设备的标识；

所述中继设备根据所述通信请求，生成第一请求消息，并将所述第一请求消息发送给所述中继设备的移动管理实体，所述第一请求消息包括：远端设备的标识；

所述中继设备接收所述中继设备的移动管理实体在判断所述关联关系验证通过后发送的第一响应消息；

所述中继设备根据所述第一响应消息向所述远端设备发送通信响应。
根据权利要求16所述的方法，其特征在于，所述方法，还包括：

所述中继设备接收所述中继设备的移动管理实体发送的用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数；

所述中继设备根据所述第一响应消息向所述远端设备发送通信响应，包括：

所述中继设备将所述安全参数通过所述通信响应发送给所述远端设备，以使所述远端设备根据所述安全参数生成用于保护所述远端设备和所述中继设备之间通信安全的所述密钥。
一种授权验证装置，其特征在于，包括：

接收模块，用于接收中继设备发送的第一请求消息，所述第一请求消息包括：远端设备的标识；

处理模块，用于根据所述第一请求消息，触发对所述远端设备和所述中继设备的关联关系的验证；

发送模块，用于在所述处理模块判断所述关联关系验证通过后，生成第一响应消息，向所述中继设备发送所述第一响应消息；

所述发送模块，还用于向所述远端设备的移动管理实体发送第二请求消息，所述第二请求消息包括：远端设备的标识；

所述接收模块，还用于接收所述远端设备的移动管理实体根据所述第二请求消息对所述远端设备进行安全处理后发送的第二响应消息。
根据权利要求18所述的装置，其特征在于，所述处理模块，具体用于根据所述第一请求消息获取第一授权信息，并根据所述远端设备的标识、所述中继设备的标识以及所述第一授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。
根据权利要求18所述的装置，其特征在于，所述第一请求消息，还包括：中继服务码；则所述处理模块，具体用于根据所述第一请求消息获取第一授权信息，并根据所述远端设备的标识、所述中继设备的标识、所述中继服务码以及所述第一授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。
根据权利要求18～20任一项所述的装置，其特征在于，所述接收模块，还用于接收所述远端设备的移动管理实体发送的密钥和生成所述密钥所需的安全参数；

所述发送模块，还用于将所述密钥和生成所述密钥所需的安全参数发送给所述中继设备。
根据权利要求18～20任一项所述的装置，其特征在于，所述发送模块，还用于向安全功能实体发送密钥请求消息，以使得所述安全功能实体根据所述密钥请求消息，获取用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数，并将所述密钥和生成所述密钥所需的安全参数反馈给所述中继设备的移动管理实体，所述密钥请求消息，包括：所述远端设备的标识；

所述发送模块，还用于将所述密钥和生成所述密钥所需的安全参数发送给所述中继设备。
一种授权验证装置，其特征在于，包括：

接收模块，用于接收中继设备的移动管理实体发送的第二请求消息，所述第二请求消息包括：远端设备的标识；

处理模块，用于所述远端设备的移动管理实体根据所述第二请求消息对所述远端设备进行安全处理；

发送模块，用于在所述处理模块对所述远端设备进行安全处理后，向所述中继设备的移动管理实体发送的第二响应消息。
根据权利要求23所述的装置，其特征在于，所述处理模块，具体用于根据所述第二请求消息获取第二授权信息，并根据所述远端设备的标识、所述中继设备的标识以及所述第二授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。
根据权利要求23所述的装置，其特征在于，所述第二请求消息，还包括：中继服务码；则所述处理模块，用于根据所述第二请求消息获取第二授权信息，并根据所述远端设备的标识、所述中继设备的标识、所述中继服务码以及所述第二授权信息，验证是否允许所述远端设备通过所述中继设备接入网络。
根据权利要求23～25任一项所述的装置，其特征在于，所述处理模块，具体用于根据所述第二请求消息中的所述远端设备的标识，获取所述远端设备的非接入层上下文信息，并根据所述非接入层上下文信息对所述远端设备的非接入层消息的校验码进行验证，所述第二请求消息包括：所述远端设备的非接入层消息、所述非接入层消息的校验码以及所述远端设备的标识。
根据权利要求23～26任一项所述的装置，其特征在于，所述处理模块，还用于根据所述第二请求消息中所述远端设备的标识，获取所述远端设备的非接入层上下文信息，根据所述非接入层上下文信息生成用于保护所述远端设备和所述中继设备之间通信安全的密钥；

所述发送模块，还用于将所述密钥和生成所述密钥所需的安全参数发送给所述中继设备的移动管理实体。
根据权利要求23～26任一项所述的装置，其特征在于，所述发送模块，还用于向安全功能实体发送密钥请求消息，以使得所述安全功能实体根据所述密钥请求消息，获取用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数，并将所述密钥和生成所述密钥所需的安全参数反馈给所述远端设备的移动管理实体，所述密钥请求消息，包括：所述远端设备标识。
一种授权验证装置，其特征在于，包括：

接收模块，用于接收远端设备发送的通信请求，所述通信请求包括：远端设备的标识；

处理模块，用于根据所述通信请求，生成第一请求消息，所述第一请求消息包括：远端设备的标识；

发送模块，用于将所述第一请求消息发送给所述中继设备的移动管理实体；

所述接收模块，还用于接收所述中继设备的移动管理实体在判断所述关联关系验证通过后发送的第一响应消息；

所述发送模块，还用于根据所述第一响应消息向所述远端设备发送通信响应。
根据权利要求29所述的装置，其特征在于，所述接收模块，还用于接收所述中继设备的移动管理实体发送的用于保护所述远端设备和所述中继设备之间通信安全的密钥和生成所述密钥所需的安全参数；

所述发送模块，还用于将所述安全参数通过所述通信响应发送给所述远端设备，以使所述远端设备根据所述安全参数生成用于保护所述远端设备和所述中继设备之间通信安全的所述密钥。