WO2022068541A1 - 一种鉴权方法及其装置 - Google Patents

Abstract

本申请实施例公开了一种鉴权方法及其装置，可以应用于中继接入场景。该方法包括：第一设备接收来自第二设备的第一请求，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定目标远端设备是否具有接入网络的权限；该第一设备发送第一信息至该第二设备，该第一信息用于指示该目标远端设备是否具有接入网络的权限。在本申请实施例中，可以确定目标远端设备是否具有接入网络的权限，有利于提高网络安全性。

Description

一种鉴权方法及其装置

本申请要求于2020年9月30日提交中国专利局、申请号为202011070319.3、申请名称为“一种鉴权方法及其装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种鉴权方法及其装置。

背景技术

中继(relay)技术是现代无线通信系统中的关键技术之一。采用中继技术，有利于提升系统容量。图1a是中继通信的场景示意图，由图1a可知，在网络覆盖范围外的设备(称为远端设备)，可以通过在网络覆盖范围内的设备(称为中继设备)接入网络。进一步的，远端设备可以获取各种通信业务。在图1a中，虚线圆表示基站的覆盖范围。

但是，随着中继技术的不断发展，通过中继设备接入网络的远端设备越来越多，会使得网络安全性较低。例如：远端设备希望通过中继设备接入一种网络业务，提供这种业务的网络会验证所有接入设备是否有权限接入，但是远端设备是通过中继设备接入的，可以绕过网络的验证。

发明内容

本申请实施例提供一种鉴权方法及其装置，可以确定目标远端设备是否具有接入网络的权限，有利于提高网络安全性。

第一方面，本申请实施例提供一种鉴权方法，该方法包括：第一设备接收来自第二设备的第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该第一设备发送第一信息至该第二设备，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

在该技术方案中，可以确定目标远端设备是否具有接入网络的权限，以防止不能接入的远端设备接入网络，从而有利于提高网络安全性。

在一种实现方式中，该方法还可以包括：第一设备确定该目标远端设备是否具有接入网络的权限。

在一种实现方式中，第一设备确定该目标远端设备是否具有接入网络的权限的具体实施方式可以为：若目标远端设备的标识存在于目标标识列表中，则第一设备确定该目标远端设备具有接入网络的权限；该目标标识列表包括一个或多个目标标识，目标标识用于指示具有接入网络的权限的远端设备。

在一种实现方式中，第一请求还包括网络标识，前述第一信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限；在第二设备为终端设备的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接该网络标识所指示的网络的权限。

在一种实现方式中，该方法还可以包括：该第一设备向第三设备发送鉴权请求，该鉴权请求包括目标远端设备的标识，该鉴权请求用于请求确定该目标远端设备是否具有接入网络的权限；该第一设备接收来自该第三设备的鉴权结果信息，该鉴权结果信息用于指示该目标远端设备是否具有接入网络的权限。

在一种实现方式中，在该目标远端设备的标识存在于目标标识列表中的情况下，该鉴权结果信息用于指示该目标远端设备具有接入网络的权限，该目标标识列表包括一个或多个目标标识，该目标标识用于指示具有接入网络的权限的远端设备。

在一种实现方式中，第一请求和鉴权请求还包括网络标识，该鉴权请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限；该第一信息和该鉴权结果信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限；在该第二设备为终端设备的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限。

在一种实现方式中，第一请求还用于请求为目标远端设备分配网络地址；在该目标远端设备具有接入网络的权限的情况下，前述第一信息可以包括为该目标远端设备分配的目标网络地址。

在一种实现方式中，该方法还可以包括：第一设备向第四设备发送网络地址分配请求，该网络地址分配请求用于请求获取第一数量的网络地址；该第一设备从该第四设备接收第一数量的网络地址；该第一数量的网络地址是在第一数量小于或等于第二数量的情况下发送的；其中，该第二数量为具有接入网络的权限的远端设备的数量；该第一数量的网络地址包括前述目标网络地址。

在该技术方案中，一方面，可以避免分配大于第二数量的网络地址用于中继接入，即可以避免分配的网络地址数量大于所需的网络地址数量的情况，有利于避免浪费网络地址。另一方面，当第四设备为负责分配网络地址的设备，且第一数量为多个时，第四设备通过一次性分配多个网络地址，可以避免以下情况：不同远端设备在发起网络接入请求的情况下，第一设备针对每个远端设备需要重新向第四设备请求为该远端设备分配网络地址。因此，通过一次性分配多个网络地址，有利于减少第一设备与第四设备之间不必要的交互，从而有利于节省资源。

第二方面，本申请实施例提供另一种鉴权方法，该方法包括：第二设备向第一设备发送第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该第二设备接收来自该第一设备的第一信息，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

在该技术方案中，可以确定目标远端设备是否具有接入网络的权限，以防止不能接入的远端设备接入网络，从而有利于提高网络安全性。

在一种实现方式中，第一请求还包括网络的标识，前述第一信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限；在第二设备为终端设备的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限。

在一种实现方式中，第一请求还用于请求为目标远端设备分配网络地址；在该目标远端 设备具有接入网络的权限的情况下，第一信息包括为该目标远端设备分配的目标网络地址。

第三方面，本申请实施例提供了一种通信装置，该通信装置具有实现上述第一方面所述的方法示例中第一设备的部分或全部功能，比如通信装置的功能可具备本申请中的部分或全部实施例中的功能，也可以具备单独实施本申请中的任一个实施例的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种实现方式中，该通信装置的结构中可包括处理单元和通信单元，所述处理单元被配置为支持通信装置执行上述方法中相应的功能。所述通信单元用于支持通信装置与其他设备之间的通信。所述通信装置还可以包括存储单元，所述存储单元用于与处理单元和发送单元耦合，其保存通信装置必要的计算机程序和数据。

在一种实现方式中，所述通信装置包括：处理单元，用于调用通信单元接收来自第二设备的第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理单元还用于调用通信单元发送第一信息至该第二设备，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

作为示例，处理单元可以为处理器，通信单元可以为收发器或通信接口，存储单元可以为存储器。

在一种实现方式中，所述通信装置包括：处理器，用于调用收发器接收来自第二设备的第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理器还用于调用收发器发送第一信息至该第二设备，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

第四方面，本申请实施例提供了另一种通信装置，该通信装置具有实现上述第二方面所述的方法示例中第二设备的部分或全部功能，比如通信装置的功能可具备本申请中的部分或全部实施例中的功能，也可以具备单独实施本申请中的任一个实施例的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种实现方式中，该通信装置的结构中可包括处理单元和通信单元，所述处理单元被配置为支持通信装置执行上述方法中相应的功能。所述通信单元用于支持通信装置与其他设备之间的通信。所述通信装置还可以包括存储单元，所述存储单元用于与处理单元和发送单元耦合，其保存通信装置必要的计算机程序和数据。

在一种实现方式中，所述通信装置包括：处理单元，用于调用通信单元向第一设备发送第一请求，该第一请求包括目标远端设备的标识，在该通信装置为终端设备中的装置的情况下，该第一请求用于该目标远端设备请求接入网络；在该通信装置为网元中的装置的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理单元还用于调用通信单元接收来自第一设备的第一信息，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

作为示例，处理单元可以为处理器，通信单元可以为收发器或通信接口，存储单元可以为存储器。

在一种实现方式中，所述通信装置包括：处理器，用于调用收发器向第一设备发送第一请求，该第一请求包括目标远端设备的标识，在该通信装置为终端设备中的装置的情况下， 该第一请求用于该目标远端设备请求接入网络；在该通信装置为网元中的装置的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理器还用于调用收发器接收来自第一设备的第一信息，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

第五方面，本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被通信装置执行时使该通信装置执行上述第一方面的方法。

第六方面，本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被通信装置执行时使该通信装置执行上述第二方面的方法。

第七方面，本申请还提供了一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第八方面，本申请还提供了一种包括计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

第九方面，本申请提供了一种芯片系统，该芯片系统包括至少一个处理器和接口，用于支持第一设备实现第一方面所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存第一设备必要的计算机程序和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十方面，本申请提供了一种芯片系统，该芯片系统包括至少一个处理器和接口，用于支持第二设备实现第二方面所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存第二设备必要的计算机程序和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

附图说明

图1a是本申请实施例提供的一种中继通信的场景示意图；

图1b是本申请实施例提供的一种通信系统的架构示意图；

图2a是本申请实施例提供的一种鉴权方法的流程示意图；

图2b是本申请实施例提供的一种第一设备请求第四设备分配IP地址的过程的示意图；

图2c是本申请实施例提供的一种第一设备请求第五设备分配IP地址的过程的示意图；

图3a是本申请实施例提供的另一种鉴权方法的流程示意图；

图3b是本申请实施例提供的一种预先为远端设备(包括目标远端设备)分配IP地址的场景示意图；

图4a是本申请实施例提供的又一种鉴权方法的流程示意图；

图4b是本申请实施例提供的一种负责鉴权的设备、负责为目标远端设备分配IP地址的设备均为第三设备的场景示意图；

图4c是本申请实施例提供的一种负责鉴权的设备、负责为目标远端设备分配IP地址的设备为不同设备的场景示意图；

图5是本申请实施例提供的一种通信装置的结构示意图；

图6是本申请实施例提供的另一种通信装置的结构示意图；

图7是本申请实施例提供的一种芯片的结构示意图。

具体实施方式

为了更好的理解本申请实施例公开的一种鉴权方法，下面首先对本申请实施例适用的通信系统进行描述。

请参见图1b，图1b为本申请实施例提供的一种通信系统的架构示意图。该通信系统可包括但不限于一个网络设备、一个第一设备和一个第二设备，图1b所示的设备数量和形态用于举例并不构成对本申请实施例的限定，实际应用中可以包括两个或两个以上的网络设备、两个或两个以上的第一设备，两个或两个以上的第二设备。图1b所示的通信系统以包括一个网络设备、一个第一设备和一个第二设备为例。

在本申请实施例中，第二设备可以为终端设备或者网元。其中，该终端设备可以指希望接入网络的目标远端设备；或者该终端设备可以指中继设备，该中继设备为接收到该目标远端设备的网络接入请求的中继设备。其中，该网元可以指会话管理功能(session management function，SMF)网元或者其他核心网网元。本申请实施例对该网元所采用的具体技术和具体设备形态不做限定。SMF可以用于负责移动网络中的会话管理，如会话建立、修改、释放。具体的，SMF可以用于为用户分配网际协议(internet protocol，IP)地址、选择提供报文转发功能的用户面功能(user plane function，UPF)网元等。

第二设备为该目标远端设备时，第一设备可以为中继设备。此时，第二设备向第一设备发送的第一请求用于目标远端设备请求接入网络，即目标远端设备向中继设备发送的第一请求用于目标远端设备请求接入网络。

第二设备为中继设备时，第一设备可以为服务于该中继设备的网元(如SMF)。此时，第二设备向第一设备发送的第一请求用于目标远端设备请求接入网络，即中继设备向服务于该中继设备的网元(如SMF)，发送的第一请求用于目标远端设备请求接入网络。

第二设备为服务于该中继设备的网元(如SMF)时，第一设备可以为权限管理设备。其中，权限管理设备可以用于记录某远端设备是否具有接入网络的权限，或者用于记录某远端设备是否具有通过中继设备接入网络的权限。该权限管理设备可以为鉴权、授权和计费(authentication、authorization、accounting，AAA)服务器，简称3A服务器。或者，该权限管理设备可以为应用功能(application function，AF)网元。

本申请实施例中的远端设备为处于网络覆盖范围外的终端设备，中继设备为处于网络覆盖范围内的终端设备。其中，终端设备是用户侧的一种用于接收或发射信号的实体，如手机。终端设备也可以称为终端(terminal)、用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)等。终端设备可以是手机(mobile phone)、穿戴式设备、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、物联网中的无线终端等等。本申请的实施例对终端设备所采用的具体技术和具体设备形态不做限定。需要说明的是，在本申请实施例中，中继设备可以仅用于辅助远端设备接入网络。或者，中继设备 还可以具有普通终端设备的功能。

需要说明的是，图1b中以第一设备为中继设备、第二设备为目标远端设备为例进行介绍，并不构成对本申请实施例的限定。

在图1b中，第一设备可以用于接收来自第二设备的第一请求，并向该第二设备发送第一信息。其中，该第一请求包括目标远端设备的标识，在该第二设备为终端设备(如图1b中的目标远端设备)的情况下，该第一请求用于该目标远端设备请求接入网络；该第一信息用于指示该目标远端设备是否具有接入网络的权限。目标远端设备为希望接入网络的远端设备。目标远端设备的标识用于唯一标识该目标远端设备，本申请对于标识的形式不做限定。

在图1b中，圆形区域为网络设备的网络覆盖范围，应用于本申请实施例中，该圆形区域可以用于指示目标远端设备希望接入的网络的覆盖范围。

第一设备接收到该第一请求表示：目标远端设备希望接入网络。第一设备接收到第一请求后，可以确定该目标远端设备是否具有接入网络的权限，并向该第二设备发送第一信息。通过实施本申请实施例，可以确定目标远端设备是否具有接入网络的权限，从而有利于提高网络安全性。

本申请实施例所涉及的网络(即远端设备(包括目标远端设备)希望接入的网络)可以指数据网络、局域网(local area network，LAN)、核心网(如4G核心网、5G核心网等)或者其他类型的网络，本申请实施例对此不做限定。

在一种实现方式中，若目标远端设备具有接入网络的权限，且该目标远端设备具有网络地址(如目标网络地址)，则该目标远端设备可以通过该目标网络地址向该网络发送信息，以获取网络服务。目标远端设备通过该目标网络地址向该网络发送信息是指：目标远端设备通过该目标网络地址向中继设备发送信息，该中继设备将该信息发送至该网络。在另一种实现方式中，若目标远端设备具有接入网络的权限，该第一设备还可以向第二设备发送为该目标远端设备分配的目标网络地址。通过这种方式，在目标远端设备具有接入网络的权限的情况下，为该目标远端设备分配网络地址，可以防止不能接入的远端设备接入网络，从而有利于提高网络安全性。

需要说明的是，本申请实施例提及的网络地址可以指网际协议(internet protocol，IP)地址或者媒体访问控制(media access control address，MAC)。本申请实施例中以网络地址为IP地址为例进行介绍，并不构成对本申请实施例。与分配IP地址相关的内容中，也适用于分配MAC地址。

需要说明的是，在本申请实施例中，目标远端设备可以通过中继设备接入网络。相应的，本申请实施例中将提及的鉴权请求可以用于请求确定目标远端设备是否具有通过中继设备接入网络的权限。同理，本申请实施例中将提及的鉴权结果信息可以用于指示目标远端设备是否具有通过中继设备接入网络的权限。在该第二设备为网元的情况下，该第一请求可以用于请求确定该目标远端设备是否具有接入网络的权限，即该第一请求用于请求对目标远端设备进行鉴权。在此情况下，可选的，该第一请求具体可以用于请求确定目标远端设备是否具有通过中继设备接入网络的权限。同理，第一请求对应的响应信息(即第一信息)可以用于指示目标远端设备是否具有通过中继设备接入网络的权限。换言之，在本申请实施例中提及的接入网络的权限可以指：通过中继设备接入网络的权限。另外，在本申请实施例中，接入网络的权限可以描述为接入网络权限。

还需要说明的是，在本申请实施例中，远端设备和中继设备之间可以通过近距离业务(proximity service，ProSe)通信技术进行通信。近距离通信技术可以包括但不限于：设备到 设备(device to device，D2D)通信、无线保真(wireless fidelity，WiFi)通信、蓝牙(blueteeth)通信。

可以理解的是，第二设备不为目标远端设备的情况下，第二设备在接收到该第一信息之后，还可以将该第一信息发送至该目标远端设备。例如，第二设备为中继设备，第一设备为为SMF网元的情况下，该中继设备在接收到该第一信息之后，还可以将该第一信息发送至目标远端设备。第二设备不为目标远端设备的情况下，第二设备在接收该目标IP地址之后，还可以将该目标IP地址发送至该目标远端设备。

本申请实施例中的网络设备是网络侧的一种用于发射或接收信号的实体。例如，网络设备可以为演进型基站(evolved NodeB，eNB)、传输点(transmission reception point，TRP)、NR系统中的下一代基站(next generation NodeB，gNB)、其他未来移动通信系统中的基站或无线保真(wireless fidelity，WiFi)系统中的接入节点等。本申请的实施例对网络设备所采用的具体技术和具体设备形态不做限定。

需要说明的是，本申请实施例的技术方案可以应用于各种通信系统。例如：长期演进(long term evolution，LTE)系统、第五代(5th generation，5G)移动通信系统、5G新空口(new radio，NR)系统。可选的，本申请实施例的方法还适用于未来演进的各种通信系统。

可以理解的是，本申请实施例描述的通信系统是为了更加清楚的说明本申请实施例的技术方案，并不构成对本申请实施例提供的技术方案的限定，本领域技术人员可知，随着系统架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

下面结合附图对本申请提供的鉴权方法及其装置进行详细地介绍。

请参见图2a，图2a是本申请实施例提供的一种鉴权方法的流程示意图。其中，步骤S201的执行主体为第二设备，或者为第二设备中的芯片，步骤S202的执行主体为第一设备，或者为第一设备中的芯片，以下以第一设备、第二设备为鉴权方法的执行主体为例进行说明。如图2a所示，该方法可以包括但不限于如下步骤：

步骤S201：第二设备向第一设备发送第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限。

在本申请实施例中，目标远端设备在需要接入网络(或者目标远端设备在需要通过中继设备接入网络)的情况下，可以向中继设备发送请求以请求接入网络。对于该目标远端设备而言，其发送请求的目的在于接入网络，而并非主动请求网络或者其他设备(如中继设备)对该目标远端设备进行鉴权。需要说明的是，在本申请实施例中，请求对该目标远端设备进行鉴权指的是：请求确定该目标远端设备是否具有接入网络的权限。

在第二设备为中继设备，第一设备为服务于该中继设备的网元(如SMF)的情况下，第二设备发送第一请求的目的可以在于请求将目标远端设备接入网络。对于第一设备而言，为了提高网络安全性，在接收到该第一请求的情况下，可以确定该目标远端设备是否具有接入网络的权限，进而在确定其具有网络接入权限的情况下，才允许该目标远端设备接入。

在第二设备为服务于该中继设备的网元(如SMF)，第一设备可以为权限管理设备的情况下，第二设备发送第一请求以请求确定该目标远端设备是否具有接入网络的权限。可以避免不具有接入网络的权限的远端设备接入网络，从而有利于提高网络的安全性。

步骤S202：第一设备发送第一信息至该第二设备，该第一信息用于指示该目标远端设备 是否具有接入网络的权限。

在本申请实施例中，第一设备在接收到该第一请求之后，可以触发针对该目标远端设备的鉴权流程。针对目标远端设备的鉴权流程，用于确定该目标远端设备是否具有接入网络的权限。若该目标远端设备具有接入网络的权限，则该第一设备向该第二设备发送的第一信息用于指示该目标远端设备具有接入网络的权限。若该目标远端设备不具有接入网络的权限，则该第一信息用于指示该目标远端设备不具有接入网络的权限。通过这种方式，增加了目标远端设备接入网络的鉴权机制(即确定目标远端设备是否具有接入网络的权限)，可以防止不能接入的远端设备接入网络，从而有利于提高网络安全性。

在一种实现方式中，前述第一请求还可以用于请求为目标远端设备分配网络地址；在该目标远端设备具有接入网络的权限的情况下，该第一信息可以包括为该目标远端设备分配的目标网络地址。换言之，若该目标远端设备具有接入网络的权限，则该第一设备可以向该第二设备发送为该目标远端设备分配的目标网络地址。可选的，若该目标远端设备不具有接入网络的权限，则该第一设备可以不向该第二设备发送目标网络地址。通过这种方式，在目标远端设备具有接入网络的权限的情况下，为该目标远端设备分配网络地址，可以防止不能接入的远端设备接入网络，从而有利于提高网络安全性。

在一种实现方式中，在前述第一请求还可以用于请求为目标远端设备分配网络地址的情况下，第一信息可以包括显式的指示信息或者隐式的指示信息，该指示信息用于指示该目标远端设备是否具有接入网络的权限。例如，若该第一信息中包括目标网络地址，第二设备在接收到该第一信息后，可以确定目标远端设备具有接入网络的权限。此时，该第一信息中的指示信息为隐式指示信息。若该第一信息中不包括目标网络地址，第二设备在接收到该第一信息后，可以确定目标远端设备不具有接入网络的权限。此时，该第一信息中的指示信息为隐式指示信息。

又如，该第一信息中的指示信息为一字段或者包括1比特的二进制位(表示为0或1)。该指示信息的值为1的情况下，该指示信息用于指示该目标远端设备具有接入网络的权限；该指示信息的值为0的情况下，该第二指示信息用于指示该目标远端设备不具有接入网络的权限。此时，该第一信息中的指示信息为显式指示信息。或者，该指示信息的值为0的情况下，该指示信息用于指示该目标远端设备具有接入网络的权限；该指示信息的值为1的情况下，该第二指示信息用于指示该目标远端设备不具有接入网络的权限。此时，该第一信息中的指示信息为显式指示信息。

在一种实现方式中，第一设备自身可以对该目标远端设备进行鉴权，其鉴权流程具体可参见图3a实施例中的描述。在另一种实现方式中，第一设备可以请求第三设备对该目标远端设备进行鉴权，其鉴权流程具体可参见图4a实施例中的描述。

在本申请实施例中，远端设备可以通过某一个指定的中继设备接入网络，或者可以通过多个指定的中继设备中的任一个接入网络，或者，可以通过任意支持中继技术的设备接入网络。在一种实现方式中，本申请实施例可以不限定目标远端设备具体通过哪个中继设备接入网络。此时，针对目标远端设备的鉴权流程可以用于：确定该目标远端设备是否具有通过中继技术接入网络的权限。在另一种实现方式中，目标远端设备仅能通过某个或者某些指定中继设备接入网络。此时，针对目标远端设备的鉴权流程可以用于：确定目标远端设备在请求接入网络的过程中所涉及的中继设备是否为前述指定中继设备，以及该目标远端设备是否具有通过中继技术接入网络的权限。若目标远端设备在请求接入网络的过程中所涉及的中继设备为前述指定中继设备，且该目标远端设备具有通过中继技术接入网络的权限，则表示目标 远端设备鉴权通过，即表示目标远端设备具有通过中继设备接入网络的权限。若目标远端设备在请求接入网络的过程中所涉及的中继设备不为前述指定中继设备，和/或，该目标远端设备不具有通过中继技术接入网络的权限，则表示目标远端设备鉴权失败，即表示目标远端设备不具有通过中继设备接入网络的权限。

在本申请实施例中，一个中继设备可以辅助一个或多个远端设备接入网络。可选的，一个中继设备可以辅助有限数量的远端设备接入网络。在一种实现方式中，一个中继设备所能辅助接入网络的远端设备是指定的某一些远端设备，不同中继设备所能辅助接入网络的远端设备可以相同也可以不同。在此情况下，针对目标远端设备的鉴权流程可以用于：确定目标远端设备在请求接入网络的过程中所涉及的中继设备能辅助接入网络的远端设备，是否包括该目标远端设备。若包括，则表示目标远端设备鉴权通过，即表示目标远端设备具有通过该中继设备接入网络的权限。若不包括，则表示目标远端设备鉴权失败，即表示目标远端设备不具有通过该中继设备接入网络的权限。

在一种实现方式中，可以由该第一设备为该目标远端设备分配目标网络地址。例如，当第一设备为SMF或者3A服务器时，可以为该目标远端设备分配目标网络地址。在另一种实现方式中，第一设备可以请求其他设备(如第四设备或第五设备)为目标远端设备分配目标网络地址。例如，当第一设备为中继设备时，可以请求SMF或者3A服务器为目标远端设备分配目标网络地址。

在一种实现方式中，负责分配网络地址的设备(第一设备、第四设备或第五设备)可以预先为具有接入网络权限的各个远端设备分配网络地址。换言之，可一次性分配多个网络地址。在此情况下，在分配网络地址时，可能具有接入网络权限的所有远端设备或者部分远端设备还未发起网络接入请求。换言之，在远端设备不具有接入网络的需求的情况下，也可以为该远端设备分配网络地址。需要说明的是，远端设备在发起网络接入请求后，需要在该远端设备鉴权通过，且该远端设备具有网络地址的情况下，才能成功接入网络，以获取网络服务。还需要说明的是，远端设备是否具有网络地址与该远端设备是否鉴权通过可以解耦(或者相互独立)。在另一种实现方式中，负责分配网络地址的设备(第一设备、第四设备或第五设备)可以为具有接入网络权限、且已发起网络接入请求的远端设备分配网络地址。换言之，可以在该远端设备具有接入网络的需求的情况下，为该远端设备分配网络地址。需要说明的是，在第二设备为目标远端设备的情况下，该第二设备发送的第一请求即为上述网络接入请求。在本申请实施例中提及的网络接入请求，用于该网络接入请求的发送方请求接入网络。

在一种实现方式中，第一设备分配网络地址的过程如下：第一设备为该目标远端设备分配目标网络地址，并将该目标网络地址发送至第二设备。相应的，第二设备在接收到该目标网络地址之后，可以将该目标网络地址发送至目标远端设备。例如，第一设备为SMF，第二设备为中继设备时，该中继设备在接收到目标网络地址后，可以将该目标网络地址发送至目标远端设备。又如，第一设备为3A服务器，第二设备为SMF时，SMF在接收到目标网络地址后，可以将该目标网络地址发送至中继设备。相应的，中继设备可以将来自SMF的目标网络地址发送至目标远端设备。

在另一种实现方式中，第一设备分配网络地址的过程如下：第一设备为多个远端设备(包括目标远端设备)分别分配网络地址(包括为目标网络地址)，并将分配的网络地址发送至第二设备。相应的，第二设备可以在该多个远端设备中的某个远端设备需要接入网络的情况下(例如该远端设备发起网络接入请求的情况下)，将接收到的且与该远端设备对应的网络地址发送至该远端设备。例如，第一设备为远端设备1分配网络地址1，为远端设备2分配网络 地址2，为远端设备3分配网络地址3，并将分配的网络地址(即网络地址1、网络地址2和网络地址3)发送至第二设备。相应的，第二设备可以在远端设备1发起网络接入请求的情况下，将网络地址1发送至该远端设备1。同理，第二设备可以在远端设备2发起网络接入请求的情况下，将网络地址2发送至该远端设备2。第二设备可以在远端设备3发起网络接入请求的情况下，将网络地址3发送至该远端设备3。需要说明的是，在本申请实施例中，两设备间可以直接通信，也可以通过其他设备或网元间接通信，本申请实施例对两设备之间的通信方式不做限定。例如，第一设备为SMF，第二设备为中继设备时，该中继设备在接收到网络地址后，可以将该网络地址直接发送至相应的远端设备。又如，第一设备为3A服务器，第二设备为SMF时，SMF在接收到网络地址后，可以通过中继设备将该网络地址发送至对应的远端设备。

在一种实现方式中，第一设备请求第四设备分配网络地址的过程可以如图2b所示，包括但不限于步骤s1～步骤s2：

步骤s1：第一设备向第四设备发送网络地址分配请求(也可以称为第一网络地址分配请求)，该网络地址分配请求用于请求获取第一数量的网络地址；其中第一数量可以为一个或多个；

步骤s2：在该第一数量小于或等于第二数量的情况下，该第四设备将第一数量的网络地址发送至该第一设备；其中，该第二数量为具有接入网络的权限的远端设备的数量；该第一数量的网络地址包括前述目标网络地址。

第二数量为具有接入网络的权限的远端设备的数量，即最多有第二数量个远端设备可以接入网络。或者，第二数量为具有通过中继设备接入网络的权限的远端设备的数量，即最多有第二数量个远端设备可以通过中继设备接入网络。需要说明的是，此时不限定各个远端设备具体通过哪个中继设备接入网络。在该第一数量小于或等于第二数量的情况下，该第四设备将第一数量的网络地址发送至该第一设备，一方面，可以避免分配大于第二数量的网络地址用于中继接入，即可以避免分配的网络地址数量大于所需的网络地址数量的情况，有利于避免浪费网络地址。另一方面，当第四设备为负责分配网络地址的设备，且第一数量为多个时，第四设备通过一次性分配多个网络地址，可以避免以下情况：不同远端设备在发起网络接入请求的情况下，第一设备针对每个远端设备需要重新向第四设备请求为该远端设备分配网络地址。因此，通过一次性分配多个网络地址，有利于减少第一设备与第四设备之间不必要的交互，从而有利于节省资源。

在一种实现方式中，第一数量可以由网络配置(例如，在系统消息或专有信令中下发)，或者可以由协议约定，或者可以由第一设备默认设置，或者可以由用户设置以及更改，本申请实施例对此不做限定。在一种实现方式中，第二数量可以由第六设备预先告知第四设备，或者，可以由第四设备向第六设备请求获取。该第六设备可以为统一数据管理(unified data management，UDM)网元，或者前述权限管理网元。在另一种实现方式中，第二数量可以由前述网络对应的配置信息确定，或者，可以由网络配置(例如，在系统消息或专有信令中下发)，或者可以由协议约定，或者可以由第四设备默认设置，或者可以由用户设置以及更改，本申请实施例对此不做限定。网络对应的配置信息可以指示可接入该网络的远端设备的数量(即第二数量)。

在另一种实现方式中，前述网络地址分配请求可以包括用于指示目标中继设备的指示信息；该目标中继设备可以为前述目标远端设备在请求接入网络的过程中所涉及的中继设备。此时，前述第二数量具体可以为具有通过该目标中继设备接入网络的权限的远端设备的数量。 在一种实现方式中，不同中继设备所能辅助接入网络的远端设备的数量可以相同也可以不同。换言之，以中继设备包括中继设备1和中继设备2为例，具有通过中继设备1接入网络的权限的远端设备的数量，与具有通过中继设备2接入网络的权限的远端设备的数量，可以相同也可以不同。

在一种实现方式中，当第四设备为SMF时，该网络地址分配请求可以包含于会话建立请求中，该会话建立请求可以用于请求创建关于第一设备的会话。关于第一设备的会话可以用于传输第一设备发送的信息。本申请实施例中提及的会话可以指协议数据单元(protocol data unit，PDU)会话。

需要说明的是，本申请实施例对第一设备接收前述第一请求和执行步骤s1的顺序不做限定。例如，第一设备可以在接收到该第一请求之后执行步骤s1；或者，可以在接收到该第一请求之前执行步骤s1；或者，可以在接收到该第一请求之前执行步骤s1以及接收前述第一数量的网络地址；或者，可以同时执行步骤s1和接收该第一请求。

在一种实现方式中，第一设备请求第五设备分配网络地址的过程可以如图2c所示，包括但不限于步骤s1’～步骤s2’：

步骤s1’：第一设备向第五设备发送第二网络地址分配请求，该第二网络地址分配请求用于请求为前述目标远端设备分配网络地址；

步骤s2’：该第五设备将为该目标远端设备分配的目标网络地址(如目标IP地址)发送至该第一设备。

在一种实现方式中，第一设备可以在该目标远端设备具有接入网络的权限的情况下，向第五设备发送第二网络地址分配请求。通过这种方式，可以避免如下情况：在目标远端设备不具有接入网络的权限的情况下，请求第五设备分配目标网络地址。即使第五设备分配了目标网络地址，第一设备也不会将该目标网络地址发送至目标远端设备。因此，在目标远端设备具有接入网络的权限的情况下，向第五设备发送第二网络地址分配请求，有利于避免第一设备与第五设备之间不必要的通信过程，从而有利于避免资源浪费。

在一种实现方式中，当第五设备为SMF时，该第二网络地址分配请求可以包含于会话建立请求中，该会话建立请求可以用于请求创建关于第一设备的会话。或者，该第二网络地址分配请求可以包含于会话更新请求中，在此情况下，网络中已经创建有关于第一设备的会话，因此SMF在接收到该第二网络地址分配请求后，无需创建新的关于第一设备的会话。在本申请实施例中，第四设备和第五设备可以为相同设备或者不同设备。

在一种实现方式中，若第一设备为中继设备，且第二设备为目标远端设备，在该第一设备接收到来自该第二设备的第一数据包，且关于该第一设备的会话建立成功的情况下，该第一设备可以对该第一数据包进行处理，得到第二数据包；并通过该会话传输该第二数据包。其中，该第一数据包的源IP地址为前述为目标远端设备分配的IP地址(即目标IP地址)，该第二数据包的源IP地址为该第一设备的IP地址。

在一种实现方式中，第一设备可以对该第一数据包进行处理的具体实施方式可以为：第一设备将第一数据包的源IP地址从目标IP地址更改为第一设备的IP地址。或者，第一设备对第一数据包进行封装处理，封装处理中为该第一数据包添加的源IP地址为第一设备的IP地址。此时，封装处理后的第一数据包(即第二数据包)携带有两个源IP地址，其中，外层封装的源IP地址为第一设备的IP地址，内层封装的源IP地址为目标IP地址。这样便于在接收到针对该第二数据包的反馈数据包(携带两个目的IP地址，外层封装的目的IP地址为第一设备的IP地址，内层封装的目的IP地址为目标IP地址)的情况下，可以根据内层封装的 目标IP地址，将该反馈数据包发送至IP地址为该目标IP地址的远端设备(即目标远端设备)。在本申请实施例中，第一设备通过该会话传输该第二数据包是指：第一设备通过该会话将该第二数据包传输至用户面功能(user plane function，UPF)网元。

需要说明的是，在本申请实施例中，为远端设备分配的IP地址(包括目标IP地址)可以为公网IP地址或者私网IP地址。为远端设备分配的IP地址(包括目标IP地址)可以为IPv4地址或者IPv6地址。本申请实施例对此不做限定。

在一种实现方式中，负责分配网络地址的设备(如SMF或者3A服务器)在为远端设备分配网络地址后，还可以将为远端设备分配的网络地址发送至UPF。UPF在接收到该网络地址后，可以配置该网络地址作为N6接口报文收发的信息。这样使得N6接口可以成功识别需要发送给远端设备的信息，进而将需要发送给远端设备的信息发送至远端设备。其中，5G协议中的N6接口协议对应的是UPF和数据网络(data network，DN)之间的接口协议。在一种实现方式中，UPF还可以存储有远端设备的网络地址与(与该远端设备对应的)中继设备的网络地址之间的对应关系。其中，与远端设备对应的中继设备可以指：该远端设备通过该中继设备接入网络。UPF存储有该对应关系，以便根据该对应关系将需要发送给远端设备的信息，路由至与该远端设备对应的中继设备，进而通过中继设备将需要发送给远端设备的信息发送至该远端设备。

通过实施本申请实施例，增加了目标远端设备接入网络的鉴权机制，可以确定目标远端设备是否具有接入网络的权限，以防止不能接入的远端设备接入网络，从而有利于提高网络安全性。

请参见图3a，图3a是本申请实施例提供的另一种鉴权方法的流程示意图，该方法详细描述了第一设备如何对目标远端设备进行鉴权。其中，步骤S301的执行主体为第二设备，或者为第二设备中的芯片，步骤S302～步骤S303的执行主体为第一设备，或者为第一设备中的芯片，以下以第一设备、第二设备为鉴权方法的执行主体为例进行说明。如图3a所示，该方法可以包括但不限于如下步骤：

步骤S301：第二设备向第一设备发送第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限。

需要说明的是，步骤S301的执行过程可参见图2a中步骤S201的具体描述，此处不再赘述。

步骤S302：若该目标远端设备的标识存在于目标标识列表中，则该第一设备确定该目标远端设备具有接入网络的权限；其中，该目标标识列表包括一个或多个目标标识，目标标识用于指示具有接入网络的权限的远端设备。

在本申请实施例中，针对目标远端设备的鉴权流程可以在第一设备本地完成。其鉴权流程具体如下：第一设备在接收到第一请求后，确定该目标远端设备是否具有接入网络的权限。在一种实现方式中，第一设备可以通过但不限于如下方式确定该目标远端设备是否具有接入网络的权限：(1)根据该目标远端设备当前所处位置是否在允许接入网络的位置区域内，确定该目标远端设备是否具有接入网络的权限。若处于，则可以确定该目标远端设备具有接入网络的权限；若不处于，则可以确定该目标远端设备不具有接入网络的权限。其中，允许接入网络的位置区域可以为第一跟踪区域，该第一跟踪区域可以通过跟踪域的代码(tracking area code，TAC)确定。目标远端设备处于该第一跟踪区域的情况下可以允许该目标远端设 备接入网络。目标远端设备不处于该第一跟踪区域的情况下可以允许该目标远端设备接入网络。(2)根据该目标远端设备的能力，确定该目标远端设备是否具有接入网络的权限。其中，目标远端设备的能力可以包括：是否具备以太通信能力，是否具备交换机能力等。若具有能力，则可以确定该目标远端设备具有接入网络的权限；若不具有能力，则可以确定该目标远端设备不具有接入网络的权限。(3)根据网络针对该目标远端设备的签约是否有效，确定该目标远端设备是否具有接入网络的权限。其中，网络针对该目标远端设备的签约是否有效可以表征该目标远端设备是否被允许接入该网络。若网络针对该目标远端设备的签约有效，则可以确定该目标远端设备具有接入网络的权限；若网络针对该目标远端设备的签约无效，则可以确定该目标远端设备不具有接入网络的权限。(4)根据目标远端设备的标识是否存在于目标标识列表中，确定该目标远端设备是否具有接入网络的权限。若存在，则表明目标远端设备具有接入网络的权限。若不存在，则表明目标远端设备不具有接入网络的权限。

其中，目标标识列表可以存储于第一设备本地。在一种实现方式中，第一设备中的目标标识列表可以由前述权限管理设备(如3A服务器、AF)预先为第一设备配置。或者，目标标识列表可以由权限管理设备预先发送给第一设备。

在一种实现方式中，每个网络可以对应一个标识列表。针对某网络，与该网络对应的标识列表可以用于指示具有接入该网络的权限的各个远端设备。中继设备存储有标识列表1和标识列表2，标识列表1与网络1对应，用于指示具有接入该网络1的权限的各个远端设备；标识列表2与网络2对应，用于指示具有接入该网络2的权限的各个远端设备。若远端设备1请求接入网络1，远端设备2请求接入网络2，中继设备针对远端设备1的鉴权流程为：中继设备判断远端设备1的标识是否存在于标识列表1中，若存在，则表明远端设备1具有接入网络1的权限。若不存在，则表明远端设备1不具有接入网络1的权限。中继设备针对远端设备2的鉴权流程为：中继设备1判断远端设备2的标识是否存在于标识列表2中，若存在，则表明远端设备2具有接入网络2的权限。若不存在，则表明远端设备2不具有接入网络2的权限。在一种实现方式中，针对某网络，与该网络对应的标识列表可以用于指示具有通过中继设备接入该网络的权限的各个远端设备。在一种实现方式中，不同远端设备可以请求通过同一中继设备接入不同的网络。例如，远端设备1可以请求通过中继设备1接入网络1，远端设备2可以请求通过该中继设备1或者中继设备2接入网络2。

在本申请实施例中，前述网络(即远端设备(包括目标远端设备)希望接入的网络)可以指数据网络、局域网(local area network，LAN)、核心网(如4G核心网、5G核心网等)或者其他类型的网络，本申请实施例对此不做限定。需要说明的是，中继设备可以在侧行链路(sidelink，SL)接口上广播该中继设备能够接入的网络标识，以便远端设备可以根据自身希望接入的网络，向能够接入该网络的中继设备发起网络接入请求。侧链路还可以称为侧链路或直通链路。

在一种实现方式中，前述第一请求还可以包括网络标识，此时，前述第一信息具体可以用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限。在第二设备为终端设备(如目标远端设备或者终端设备)的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限。其中，网络标识用于唯一标识一个网络。可以理解的是，该网络标识可以为数据网络的标识、局域网(local area network，LAN)的标识、核心网(如4G核心网、5G核心网等)的标识或者其他类型的网络的标识，本申请实施例对此不做限定。

若第一设备根据目标远端设备的标识是否存在于目标标识列表中，确定该目标远端设备是否具有接入网络的权限，那么该目标标识列表可以与该网络标识关联，此时，该目标标识具体可以用于指示具有接入该网络标识所指示的网络的权限的远端设备。

结合前述内容可知，一个网络标识可以关联一个标识列表，针对某网络，与该网络标识关联的标识列表可以用于指示具有接入该网络标识所指示的网络的权限的各个远端设备。因此，第一设备在接收到该第一请求后，针对目标远端设备的鉴权流程为：获取与该第一请求中的网络标识关联的目标标识列表，判断目标远端设备的标识是否存在于该目标标识列表中，若存在，则表明目标远端设备具有接入(该网络标识所指示的)网络的权限。若不存在，则表明目标远端设备不具有接入该网络的权限。

通过这种方式，可以避免不具有接入该网络的权限的设备接入该网络。当该网络标识为LAN的标识的情况下，可以避免不属于该LAN的成员加入LAN会话。

步骤S303：第一设备发送第一信息至该第二设备，该第一信息用于指示该目标远端设备具有接入网络的权限。

具体的，若该目标远端设备具有接入网络(如数据网络或者LAN)的权限，则该第一设备可以向该第二设备发送的第一信息用于指示该目标远端设备具有接入网络的权限。若该目标远端设备不具有接入网络(如数据网络或者LAN)的权限，则该第一设备向该第二设备发送的第一信息用于指示该目标远端设备不具有接入网络的权限。在一种实现方式中，若该目标远端设备具有接入网络(如数据网络或者LAN)的权限，则该第一设备可以向该第二设备发送为该目标远端设备分配的目标网络地址。若该目标远端设备不具有接入网络(如数据网络或者LAN)的权限，则该第一设备可以不向该第二设备发送该目标网络地址。需要说明的是，关于第一设备如何获取为远端设备分配的网络地址(包括目标网络地址)的内容可参见图2a实施例中的相关描述，此处不再赘述。还需要说明的是，步骤S303的执行过程可参见图2a中步骤S202的具体描述，此处不再赘述。

在本申请实施例中，为远端设备分配网络地址的设备可以为第一设备，或者，第一设备可以请求其他设备(如第四设备或第五设备)为远端设备分配网络地址。

在一种实现方式中，远端设备的网络地址可以预先分配好，且存储于第一设备中。在远端设备(如目标远端设备)鉴权通过后，该第一设备可以将为该目标远端设备分配的网络地址(即目标网络地址)发送至第二设备。需要说明的是，本申请实施例中所描述的某设备鉴权通过，指的是确定该设备具有接入网络的权限。同理，本申请实施例中所描述的某设备鉴权失败，指的是确定该设备不具有接入网络的权限。

以第一设备为中继设备，第二设备为目标远端设备，第四设备为SMF，第六设备为UDM，且第一数量为多个为例，预先为远端设备(包括目标远端设备)分配网络地址的场景示意图可以如图3b所示。其中，目标远端设备向中继设备发送第一请求，表示该目标远端设备希望接入网络。此时该第一请求用于该目标远端设备请求接入网络，还用于请求为目标远端设备分配网络地址。由图3b可知，中继设备可以在接收到第一请求之前，通过向SMF发网络地址分配请求，以预先请求SMF为多个(即第一数量)远端设备(包括目标远端设备)分别分配网络地址。SMF在接收到该网络地址分配请求后，可以从UDM中获取第二数量，并在第一数量小于或等于第二数量的情况下，为前述多个远端设备中各个远端设备分配网络地址，并将为各个远端设备分配的网络地址发送至中继设备。这样当中继设备接收到第一请求，且对目标远端设备鉴权通过(如目标远端设备的标识存在于目标标识列表中)后，即可从本地存储器中获取SMF为该目标远端设备分配的目标网络地址，并将该目标网络地址携带于第一 信息(该第一信息用于指示该目标远端设备具有接入网络的权限)中发送至该目标远端设备。

在另一种实现方式中，第一设备可以在确定目标远端设备鉴权通过后，再触发为该目标远端设备分配网络地址的流程。例如，当为远端设备分配网络地址的设备为第一设备时，该第一设备可以在确定目标远端设备鉴权通过后，再为该目标远端设备分配网络地址。又如，当第一设备请求其他设备(如第四设备或第五设备)为远端设备分配网络地址时，该第一设备可以在确定目标远端设备鉴权通过后，再请求该其他设备(如第四设备或第五设备)为远端设备分配网络地址。通过这种方式，可以避免触发了为远端设备分配网络地址的流程，但是该远端设备的鉴权结果为鉴权失败的情况，从而有利于避免资源浪费。

通过实施本申请实施例，增加了目标远端设备接入网络的鉴权机制，可以确定目标远端设备是否具有接入网络的权限，以防止不能接入的远端设备接入网络，从而有利于提高网络安全性。

请参见图4a，图4a是本申请实施例提供的又一种鉴权方法的流程示意图，该方法详细描述了第三设备如何对目标远端设备进行鉴权。其中，步骤S401的执行主体为第二设备，或者为第二设备中的芯片，步骤S402和步骤S404的执行主体为第一设备，或者为第一设备中的芯片，步骤S403的执行主体为第三设备，或者为第三设备中的芯片。以下以第一设备、第二设备、第三设备为鉴权方法的执行主体为例进行说明。如图4a所示，该方法可以包括但不限于如下步骤：

步骤S401：第二设备向第一设备发送第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限。

需要说明的是，步骤S401的执行过程可参见图2a中步骤S201的具体描述，此处不再赘述。

步骤S402：该第一设备向第三设备发送鉴权请求，该鉴权请求包括该目标远端设备的标识，该鉴权请求用于请求确定该目标远端设备是否具有接入网络的权限。

在本申请实施例中，第一设备可以请求第三设备对目标远端设备进行鉴权。第三设备对目标远端设备进行鉴权的流程(或方法)与图3a实施例中第一设备对目标远端设备进行鉴权的流程(或方法)相同，区别在于图3a实施例中第一设备作为鉴权主体，而在图4a实施例中第三设备作为鉴权主体。步骤S402的执行过程可参见图3a实施例中第一设备作为鉴权主体的相关内容，此处不再赘述。

步骤S403：该第三设备向该第一设备发送鉴权结果信息，该鉴权结果信息用于指示该目标远端设备是否具有接入网络的权限。

具体的，该第三设备接收到鉴权请求后，可以确定该目标远端设备是否具有接入网络的权限。第三设备可以通过但不限于如下方式确定该目标远端设备是否具有接入网络的权限：(1)根据该目标远端设备当前所处位置是否在允许接入网络的位置区域内，确定该目标远端设备是否具有接入网络的权限。(2)根据该目标远端设备的能力，确定该目标远端设备是否具有接入网络的权限。(3)根据网络针对该目标远端设备的签约是否有效，确定该目标远端设备是否具有接入网络的权限。(4)根据目标远端设备的标识是否存在于目标标识列表中，确定该目标远端设备是否具有接入网络的权限。其详细过程可参见图3a实施例中步骤S302中的具体描述，此处不再赘述。

需要说明的是，当第三设备作为鉴权主体时，为了告知第一设备目标远端设备是否鉴权 通过，第三设备在对目标远端设备鉴权完成后，可以向第一设备发送鉴权结果信息，以指示该目标远端设备是否鉴权通过(即该目标远端设备是否具有接入网络的权限)。具体的，若目标远端设备鉴权通过，则向第一设备发送的鉴权结果信息用于指示目标远端设备具有接入网络的权限；若目标远端设备鉴权失败，则向第一设备发送的鉴权结果信息用于指示该目标远端设备不具有接入网络的权限。

在本申请实施例中，远端设备希望接入的网络可以为数据网络、局域网或者其他类型的网络。在一种实现方式中，前述第一请求和鉴权请求还可以包括网络标识，该鉴权请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限；该第一信息和该鉴权结果信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限。在该第二设备为终端设备(如目标远端设备或者中继设备)的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元(如SMF网元)的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限。

若第三设备根据目标远端设备的标识是否存在于目标标识列表中，确定该目标远端设备是否具有接入网络的权限，那么该目标标识列表与该网络标识关联，此时，目标标识列表中的目标标识具体可以用于指示具有接入该网络标识所指示的网络的权限的远端设备。

步骤S404：第一设备发送第一信息至该第二设备，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

具体的，第一设备接收到鉴权结果信息后，可以向第二设备发送第一信息。此时，鉴权结果信息和第一信息所指示的内容一致，即鉴权结果信息和第一信息均用于指示该目标远端设备具有接入网络的权限，或者，鉴权结果信息和第一信息均用于指示该目标远端设备不具有接入网络的权限。

在一种实现方式中，若鉴权结果信息用于指示该目标远端设备具有接入网络的权限，则第一设备还可以将为目标远端设备分配的目标网络地址发送至第二设备，以便第二设备将该目标网络地址发送至该目标远端设备。其中，该目标网络地址可以与第一信息一起发送(如目标网络地址携带于第一信息中)，或者分开发送，本申请实施例对此不做限定。若鉴权结果信息用于指示该目标远端设备不具有接入网络的权限，则第一设备可以不向该第二设备发送该目标网络地址，或者，可以不触发为该目标远端设备分配网络地址的流程。

在一种实现方式中，可以在确定目标远端设备鉴权通过后，再触发为该目标远端设备分配网络地址的流程。在一种实现方式中，可以由第一设备触发为该目标远端设备分配网络地址的流程；或者，可以由负责鉴权的设备(如第三设备)触发为该目标远端设备分配网络地址的流程。在一种实现方式中，负责鉴权的设备、负责为目标远端设备分配网络地址的设备可以为同一设备；或者，可以为不同设备，本申请实施例对此不做限定。

在一种实现方式中，第一设备向第三设备发送的鉴权请求还可以用于请求为目标远端设备分配网络地址；相应的，前述鉴权结果信息可以包括为该目标远端设备分配的目标网络地址。换言之，第三设备除了用于对目标远端设备进行鉴权，还可以用于为该目标远端设备分配网络地址。

参见图4b，为负责鉴权的设备、负责为目标远端设备分配网络地址的设备均为第三设备的场景示意图。图4b以第一设备为中继设备，第二设备为目标远端设备，第三设备为SMF为例。其中，目标远端设备向中继设备发送第一请求，表示该目标远端设备希望接入网络。此时该第一请求用于该目标远端设备请求接入网络，还用于请求为目标远端设备分配网络地 址。由图4b可知，中继设备在接收到第一请求之后，通过向SMF发送鉴权请求，以请求该SMF对目标远端设备进行鉴权，以及在鉴权通过的情况下为该目标远端设备分配网络地址。相应的，SMF对目标远端设备鉴权通过(如目标远端设备的标识存在于目标标识列表中)后，即可为该目标远端设备分配目标网络地址，并将该目标网络地址携带于鉴权结果信息(该鉴权结果信息用于指示该目标远端设备具有接入网络的权限)中发送至第一设备。然后第一设备可以将该目标网络地址携带于第一信息(该第一信息用于指示该目标远端设备具有接入网络的权限)发送至目标远端设备。在此过程中，SMF既用于对目标远端设备进行鉴权，还用于为该目标远端设备分配网络地址。

在另一种实现方式中，第一设备向第三设备发送的鉴权请求还用于请求为目标远端设备分配网络地址的情况下，第三设备发送给第一设备的鉴权结果信息(该鉴权结果信息用于指示该目标远端设备具有接入网络的权限)还可以用于指示第一设备为目标远端设备分配网络地址。相应的，第一设备接收到该鉴权结果信息后，可以为该远端设备分配网络地址。

参见图4c，为负责鉴权的设备、负责为目标远端设备分配网络地址的设备为不同设备的场景示意图。图4c以第一设备为SMF，第二设备为中继设备，第三设备为权限管理设备为例。其中，目标远端设备向中继设备发送网络地址分配请求1，该网络地址分配请求1包括目标远端设备的标识，该网络地址分配请求1用于请求为该目标远端设备分配网络地址。即目标远端设备向中继设备发送网络地址分配请求1表示该目标远端设备希望接入网络。由图4c可知，中继设备在接收到网络地址分配请求1之后，通过向SMF发送第一请求(包括目标远端设备的标识)，以用于指示目标远端终端请求接入网络，并请求为目标远端设备分配网络地址。此时，SMF可以向权限管理设备发送鉴权请求，以请求该权限管理设备对目标远端设备进行鉴权，在鉴权通过后，权限管理设备向SMF发送的鉴权结果信息可以用于指示目标远端设备鉴权通过以及指示SMF为该目标远端设备分配网络地址。可以理解的是，SMF接收到鉴权结果信息即可为目标远端设备分配目标网络地址，并将该目标网络地址携带于第一信息(该第一信息用于指示该目标远端设备具有接入网络的权限)中反馈给中继设备，然后由中继设备将该目标网络地址反馈给目标远端设备。

在一种实现方式中，图4c中的鉴权请求还可以用于请求权限管理设备在对目标远端设备鉴权通过后，为该远端设备分配网络地址。权限管理设备在对该目标远端设备鉴权通过后，可以继续为该目标远端设备分配网络地址，或者，也可以授权或指示SMF为目标远端设备分配网络地址。在此过程中，对目标远端设备进行鉴权的设备为权限管理设备，为目标远端设备分配网络地址的设备为SMF。

需要说明的是，步骤S404的其余执行过程可参见图2a中步骤S202的具体描述，此处不再赘述。

通过实施本申请实施例，增加了目标远端设备接入网络的鉴权机制，可以过确定目标远端设备是否具有接入网络的权限，以防止不能接入的远端设备接入网络，从而有利于提高网络安全性。

上述本申请提供的实施例中，分别从第一设备和第二设备的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能，第一设备和第二设备可以包括硬件结构、软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能可以以硬件结构、软件模块、或者硬件结构加软件模块的方式来执行。

请参见图5，为本申请实施例提供的一种通信装置50的结构示意图。图5所示的通信装置50可包括处理单元501和通信单元502。通信单元502可包括发送单元和/或接收单元，发送单元用于实现发送功能，接收单元用于实现接收功能，通信单元502可以实现发送功能和/或接收功能。通信单元也可以描述为收发单元。

通信装置50可以是第一设备，也可以第一设备中的装置，还可以是能够与第一设备匹配使用的装置。或者，通信装置50可以是第二设备，也可以第二设备中的装置，还可以是能够与第二设备匹配使用的装置。

通信装置50为第一设备：处理单元501，用于调用通信单元502接收来自第二设备的第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理单元501还用于调用通信单元502发送第一信息至该第二设备，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

在一种实现方式中，处理单元501还可以用于：确定该目标远端设备是否具有接入网络的权限。

在一种实现方式中，处理单元501还可以用于：若目标远端设备的标识存在于目标标识列表中，则确定该目标远端设备具有接入网络的权限；该目标标识列表包括一个或多个目标标识，目标标识用于指示具有接入网络的权限的远端设备。

在一种实现方式中，第一请求还包括网络标识，前述第一信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限；在第二设备为终端设备的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接该网络标识所指示的网络的权限。

在一种实现方式中，该处理单元501还用于调用通信单元502向第三设备发送鉴权请求，该鉴权请求包括目标远端设备的标识，该鉴权请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理单元501还用于调用通信单元502接收来自该第三设备的鉴权结果信息，该鉴权结果信息用于指示该目标远端设备是否具有接入网络的权限。

在一种实现方式中，在该目标远端设备的标识存在于目标标识列表中的情况下，该鉴权结果信息用于指示该目标远端设备具有接入网络的权限，该目标标识列表包括一个或多个目标标识，该目标标识用于指示具有接入网络的权限的远端设备。

在一种实现方式中，第一请求和鉴权请求还包括网络标识，该鉴权请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限；该第一信息和该鉴权结果信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限；在该第二设备为终端设备的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限。

在一种实现方式中，第一请求还用于请求为目标远端设备分配网络地址；在该目标远端设备具有接入网络的权限的情况下，前述第一信息可以包括为该目标远端设备分配的目标网络地址。

在一种实现方式中，该处理单元501还用于调用通信单元502向第四设备发送网络地址分配请求，该网络地址分配请求用于请求获取第一数量的网络地址；该处理单元501还用于调用通信单元502从该第四设备接收第一数量的网络地址；该第一数量的网络地址是在第一 数量小于或等于第二数量的情况下发送的；其中，该第二数量为具有接入网络的权限的远端设备的数量；该第一数量的网络地址包括前述目标网络地址。

通信装置50为第二设备：处理单元501，用于调用通信单元502向第一设备发送第一请求，该第一请求包括目标远端设备的标识，在该通信装置50为终端设备中的装置的情况下，该第一请求用于该目标远端设备请求接入网络；在该通信装置50为网元中的装置的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理单元501还用于调用通信单元502接收来自第一设备的第一信息，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

在一种实现方式中，第一请求还包括网络标识，前述第一信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限；在通信装置50为终端设备中的装置的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该通信装置50为网元中的装置的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限。

在一种实现方式中，第一请求还用于请求为目标远端设备分配网络地址；在该目标远端设备具有接入网络的权限的情况下，第一信息包括为该目标远端设备分配的目标网络地址。

请参见图6，图6是本申请实施例提供的另一种通信装置60的结构示意图。通信装置60可以是第一设备或第二设备，也可以是支持第一设备实现上述方法的芯片、芯片系统、或处理器等，也可以是支持第二设备实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

通信装置60可以包括一个或多个处理器601。处理器601可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置(如，远端设备、远端设备芯片，中继设备、中继设备芯片，SMF、SMF芯片，DU或CU等)进行控制，执行计算机程序，处理计算机程序的数据。

通信装置60还可以包括收发器602、天线603。收发器602可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器602可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。

可选的，通信装置60中可以包括一个或多个存储器604，其上可以存有计算机程序605，该计算机程序可在通信装置60上被运行，使得通信装置60执行上述方法实施例中描述的方法。可选的，该存储器604中还可以存储有数据。通信装置60和存储器604可以单独设置，也可以集成在一起。

通信装置60为第一设备：处理器601用于执行图3a中的步骤S302。收发器602用于执行图2a中的步骤S202；或者图2b中的步骤s1；或者图2c中的步骤s1’；或者图3a中的步骤S303；或图4a中的步骤S402和S404。

通信装置60为第二设备：收发器602用于执行图2a中的步骤S201；或者图3a中的步骤S301；或图4a中的步骤S401。

在一种实现方式中，处理器601中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可 以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，处理器601可以存有计算机程序606，计算机程序606在处理器601上运行，可使得通信装置60执行上述方法实施例中描述的方法。计算机程序606可能固化在处理器601中，该种情况下，处理器601可能由硬件实现。

在一种实现方式中，通信装置60可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的通信装置可以是第一设备或第二设备，但本申请中描述的通信装置的范围并不限于此，而且通信装置的结构可以不受图6的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是：

(1)独立的集成电路IC，或芯片，或，芯片系统或子系统；

(2)具有一个或多个IC的集合，可选的，该IC集合也可以包括用于存储数据，计算机程序的存储部件；

(3)ASIC，例如调制解调器(Modem)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端、智能终端、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等；

(6)其他等等。

对于通信装置可以是芯片或芯片系统的情况，可参见图7所示的芯片的结构示意图。图7所示的芯片包括处理器701和接口702。其中，处理器701的数量可以是一个或多个，接口702的数量可以是多个。

对于芯片用于实现本申请实施例中第一设备的功能的情况：

处理器701，用于调用接口702接收来自第二设备的第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理器701还用于调用接口702发送第一信息至该第二设备，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

在一种实现方式中，处理器701还可以用于：确定该目标远端设备是否具有接入网络的权限。

在一种实现方式中，处理器701还可以用于：若目标远端设备的标识存在于目标标识列表中，确定该目标远端设备具有接入网络的权限；该目标标识列表包括一个或多个目标标识，目标标识用于指示具有接入网络的权限的远端设备。

在一种实现方式中，第一请求还包括网络标识，前述第一信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限；在第二设备为终端设备的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元的 情况下，该第一请求具体用于请求确定该目标远端设备是否具有接该网络标识所指示的网络的权限。

在一种实现方式中，该处理器701还用于调用接口702向第三设备发送鉴权请求，该鉴权请求包括目标远端设备的标识，该鉴权请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理器701还用于调用接口702接收来自该第三设备的鉴权结果信息，该鉴权结果信息用于指示该目标远端设备是否具有接入网络的权限。

在一种实现方式中，在该目标远端设备的标识存在于目标标识列表中的情况下，该鉴权结果信息用于指示该目标远端设备具有接入网络的权限，该目标标识列表包括一个或多个目标标识，该目标标识用于指示具有接入网络的权限的远端设备。

在一种实现方式中，第一请求和鉴权请求还包括网络标识，该鉴权请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限；该第一信息和该鉴权结果信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限；在该第二设备为终端设备的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限。

在一种实现方式中，第一请求还用于请求为目标远端设备分配网络地址；在该目标远端设备具有接入网络的权限的情况下，前述第一信息可以包括为该目标远端设备分配的目标网络地址。

在一种实现方式中，该处理器701还用于调用接口702向第四设备发送网络地址分配请求，该网络地址分配请求用于请求获取第一数量的网络地址；该处理器701还用于调用接口702从该第四设备接收第一数量的网络地址；该第一数量的网络地址是在第一数量小于或等于第二数量的情况下发送的；其中，该第二数量为具有接入网络的权限的远端设备的数量；该第一数量的网络地址包括前述目标网络地址。

对于芯片用于实现本申请实施例中第二设备的功能的情况：

处理器701，用于调用接口702向第一设备发送第一请求，该第一请求包括目标远端设备的标识，在该第二设备为终端设备的情况下，该第一请求用于该目标远端设备请求接入网络；在该第二设备为网元的情况下，该第一请求用于请求确定该目标远端设备是否具有接入网络的权限；该处理器701还用于调用接口702接收来自该第一设备的第一信息，该第一信息用于指示该目标远端设备是否具有接入网络的权限。

在一种实现方式中，第一请求还包括局域网网络标识所指示的网络的标识，前述第一信息具体用于指示该目标远端设备是否具有接入该网络标识所指示的网络的权限；在第二设备为终端设备的情况下，该第一请求具体用于该目标远端设备请求接入该网络标识所指示的网络；在该第二设备为网元的情况下，该第一请求具体用于请求确定该目标远端设备是否具有接入该网络标识所指示的网络的权限。

在一种实现方式中，第一请求还用于请求为目标远端设备分配网络地址；在该目标远端设备具有接入网络的权限的情况下，第一信息包括为该目标远端设备分配的目标网络地址。

可选的，芯片还包括存储器703，存储器703用于存储必要的计算机程序和数据。

本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本 申请实施例保护的范围。

本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序包括程序指令，该程序指令被计算机执行时实现上述任一方法实施例的功能。

上述计算机可读存储介质包括但不限于快闪存储器、硬盘、固态硬盘。

本申请还提供了一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解：本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围，也表示先后顺序。

本申请中的至少一个还可以描述为一个或多个，多个可以是两个、三个、四个或者更多个，本申请不做限制。在本申请实施例中，对于一种技术特征，通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征，该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。

本申请中各表所示的对应关系可以被配置，也可以是预定义的。各表中的信息的取值仅仅是举例，可以配置为其他值，本申请并不限定。在配置信息与各参数的对应关系时，并不一定要求必须配置各表中示意出的所有对应关系。例如，本申请中的表格中，某些行示出的对应关系也可以不配置。又例如，可以基于上述表格做适当的变形调整，例如，拆分，合并等等。上述各表中标题示出参数的名称也可以采用通信装置可理解的其他名称，其参数的取值或表示方式也可以通信装置可理解的其他取值或表示方式。上述各表在实现时，也可以采用其他的数据结构，例如可以采用数组、队列、容器、栈、线性表、指针、链表、树、图、结构体、类、堆、散列表或哈希表等。

本申请中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (17)

1. 一种鉴权方法，其特征在于，所述方法包括：

   第一设备接收来自第二设备的第一请求，所述第一请求包括目标远端设备的标识；在所述第二设备为终端设备的情况下，所述第一请求用于所述目标远端设备请求接入网络；在所述第二设备为网元的情况下，所述第一请求用于请求确定所述目标远端设备是否具有接入网络的权限；

   所述第一设备发送第一信息至所述第二设备，所述第一信息用于指示所述目标远端设备是否具有接入网络的权限。
2. 如权利要求1所述的方法，其特征在于，所述方法还包括：

   所述第一设备确定所述目标远端设备是否具有接入网络的权限。
3. 如权利要求2所述的方法，其特征在于，所述第一设备确定所述目标远端设备是否具有接入网络的权限，包括：

   若所述目标远端设备的标识存在于目标标识列表中，则第一设备确定所述目标远端设备具有接入网络的权限；所述目标标识列表包括一个或多个目标标识，所述目标标识用于指示具有接入网络的权限的远端设备。
4. 如权利要求1～3中任一项所述的方法，其特征在于，所述第一请求还包括网络标识；所述第一信息具体用于指示所述目标远端设备是否具有接入所述网络标识所指示的网络的权限；在所述第二设备为终端设备的情况下，所述第一请求具体用于所述目标远端设备请求接入所述网络标识所指示的网络；在所述第二设备为网元的情况下，所述第一请求具体用于请求确定所述目标远端设备是否具有接入所述网络标识所指示的网络的权限。
5. 如权利要求1所述的方法，其特征在于，所述方法还包括：

   所述第一设备向第三设备发送鉴权请求，所述鉴权请求包括所述目标远端设备的标识，所述鉴权请求用于请求确定所述目标远端设备是否具有接入网络的权限；

   所述第一设备接收来自所述第三设备的鉴权结果信息，所述鉴权结果信息用于指示所述目标远端设备是否具有接入网络的权限。
6. 如权利要求5所述的方法，其特征在于，在所述目标远端设备的标识存在于目标标识列表中的情况下，所述鉴权结果信息用于指示所述目标远端设备具有接入网络的权限，所述目标标识列表包括一个或多个目标标识，所述目标标识用于指示具有接入网络的权限的远端设备。
7. 如权利要求5或6所述的方法，其特征在于，所述第一请求和所述鉴权请求还包括网络标识，所述鉴权请求具体用于请求确定所述目标远端设备是否具有接入所述网络标识所指示的网络的权限；所述第一信息和所述鉴权结果信息具体用于指示所述目标远端设备是否具有接入所述网络标识所指示的网络的权限；在所述第二设备为终端设备的情况下，所述第一请求具体用于所述目标远端设备请求接入所述网络标识所指示的网络；在所述第二设备为网元的情况下，所述第一请求具体用于请求确定所述目标远端设备是否具有接入所述网络标识所指示的网络的权限。
8. 如权利要求1～7中任一项所述的方法，其特征在于，所述第一请求还用于请求为所述目标远端设备分配网络地址；在所述目标远端设备具有接入网络的权限的情况下，所述第一信息包括为所述目标远端设备分配的目标网络地址。
9. 如权利要求8所述的方法，其特征在于，所述方法还包括：

   所述第一设备向第四设备发送网络地址分配请求，所述网络地址分配请求用于请求获取第一数量的网络地址；

   所述第一设备从所述第四设备接收所述第一数量的网络地址；所述第一数量的网络地址是在所述第一数量小于或等于第二数量的情况下发送的；其中，所述第二数量为具有接入网络的权限的远端设备的数量；所述第一数量的网络地址包括所述目标网络地址。
10. 一种鉴权方法，其特征在于，所述方法包括：

    第二设备向第一设备发送第一请求，所述第一请求包括目标远端设备的标识；在所述第二设备为终端设备的情况下，所述第一请求用于所述目标远端设备请求接入网络；在所述第二设备为网元的情况下，所述第一请求用于请求确定所述目标远端设备是否具有接入网络的权限；

    所述第二设备接收来自所述第一设备的第一信息，所述第一信息用于指示所述目标远端设备是否具有接入网络的权限。
11. 如权利要求10所述的方法，其特征在于，所述第一请求还包括网络标识，所述第一信息具体用于指示所述目标远端设备是否具有接入所述网络标识所指示的网络的权限；在所述第二设备为终端设备的情况下，所述第一请求具体用于所述目标远端设备请求接入所述网络标识所指示的网络；在所述第二设备为网元的情况下，所述第一请求具体用于请求确定所述目标远端设备是否具有接入所述网络标识所指示的网络的权限。
12. 如权利要求10或11所述的方法，其特征在于，所述第一请求还用于请求为所述目标远端设备分配网络地址；在所述目标远端设备具有接入网络的权限的情况下，所述第一信息包括为所述目标远端设备分配的目标网络地址。
13. 一种通信装置，其特征在于，包括用于执行如权利要求1～9中任一项所述的方法的单元。
14. 一种通信装置，其特征在于，包括用于执行如权利要求10～12中任一项所述的方法的单元。
15. 一种通信装置，其特征在于，所述装置包括处理器和存储器，所述存储器中存储有程序指令，所述处理器执行所述存储器中存储的程序指令，以使所述装置执行如权利要求1～9中任一项所述的方法。
16. 一种通信装置，其特征在于，所述装置包括处理器和存储器，所述存储器中存储有程序指令，所述处理器执行所述存储器中存储的程序指令，以使所述装置执行如权利要求10～12中任一项所述的方法。
17. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被通信装置执行时使所述通信装置执行如权利要求1～9或10～12中任一项所述的方法。

Images