WO2023216083A1

WO2023216083A1 - 认证方法、装置、介质和芯片

Info

Publication number: WO2023216083A1
Application number: PCT/CN2022/091815
Authority: WO
Inventors: 梁浩然; 陆伟
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-05-09
Filing date: 2022-05-09
Publication date: 2023-11-16
Also published as: CN117378231A

Abstract

本公开涉及一种认证方法、装置、介质和芯片。该方法包括：从一个或多个第一实体中，确定请求通信的目标实体；根据该目标实体确定第一权限请求参数；根据该第一权限请求参数向第一代理实体发送应用会话建立请求消息；响应于接收到第一代理实体发送的应用会话建立响应消息，确定用户设备与目标实体是否具有第一通信权限；在用户设备与目标实体具有第一通信权限的情况下，通过第一代理实体进行身份认证。其中，该应用会话建立请求消息用于指示第一代理实体根据第一权限请求参数确定用户设备与目标实体是否具有第一通信权限；第一实体包括提供应用功能的实体，第一代理实体包括提供认证功能的实体，该第一代理实体为该第一实体提供认证代理功能。

Description

认证方法、装置、介质和芯片

技术领域

本公开涉及通信技术领域，具体地，涉及一种认证方法、装置、介质和芯片。

背景技术

在无线通信系统中，3GPP(3rd Generation Partnership Project，第三代合作伙伴项目)定义了用户设备(User Equipment，UE)与应用功能之间的会话安全保护功能，并且提出了基于应用的密钥管理方法，简称为AKMA(Authentication and Key Management for Applications based on 3GPP credentials，基于3GPP凭证的应用认证和密钥管理)。

在相关技术中，用户设备可以基于AKMA与应用功能AF(Application Function)实体进行消息交互，确定该用户设备对该应用功能AF实体的访问权限，以便与应用功能AF实体建立安全会话，这会增加应用功能AF实体的负荷，降低AF实体的效率。

发明内容

为克服相关技术中存在的上述问题，本公开提供一种认证方法、装置、介质和芯片。

根据本公开实施例的第一方面，提供一种认证方法，应用于用户设备，所述方法包括：

从一个或多个第一实体中，确定请求通信的目标实体；

根据所述目标实体确定第一权限请求参数；

根据所述第一权限请求参数向第一代理实体发送应用会话建立请求消息；所述应用会话建立请求消息用于指示所述第一代理实体根据所述第一权限请求参数确定所述用户设备与所述目标实体是否具有第一通信权限；所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

响应于接收到所述第一代理实体发送的应用会话建立响应消息，确定所述用户设备与所述目标实体是否具有第一通信权限；

在所述用户设备与所述目标实体具有第一通信权限的情况下，通过所述第一代理实体进行身份认证。

根据本公开实施例的第二方面，提供一种认证方法，应用于第一代理实体，所述方法包括：

接收用户设备发送的应用会话建立请求消息；所述应用会话建立请求消息包括第一权限请求参数，所述应用会话建立请求消息用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

根据所述第一权限请求参数确定所述用户设备与所述目标实体是否具有第一通信权限；

在所述用户设备与所述目标实体具有第一通信权限的情况下，向用户设备发送应用会话建立响应消息，以及，对所述用户设备进行身份认证。

根据本公开实施例的第三方面，提供一种认证方法，应用于第二实体，所述方法包括：

接收第一代理实体发送的第一密钥请求消息；所述第一密钥请求消息包括第二权限请求参数，所述第二权限请求参数为所述第一代理实体根据所述用户设备发送的第一权限请求参数确定的参数，所述第一权限请求参数用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

根据所述第二权限请求参数获取第一待定密钥信息；

根据所述第一待定密钥信息向所述第一代理实体发送的第一密钥响应消息。

根据本公开实施例的第四方面，提供一种认证方法，应用于第三实体，所述方法包括：

接收第二实体发送的第三密钥请求消息；所述第三密钥请求消息包括第三权限请求参数，所述第三权限请求参数为所述第二实体根据第二权限请求参数确定的参数，所述第二权限请求参数为第一代理实体根据所述用户设备发送的第一权限请求参数确定的参数，所述第一权限请求参数用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

根据所述第三权限请求参数，确定所述用户设备与所述目标实体是否具有第一通信权限；

在所述用户设备与所述目标实体具有第一通信权限的情况下，获取第三待定密钥信息；

根据所述第三待定密钥信息，向所述第二实体发送第三密钥响应消息，所述第三密钥响应消息包括所述第三待定密钥信息。

根据本公开实施例的第五方面，提供一种认证方法，应用于第一实体，所述第一实体为一个或多个；所述方法包括：

响应于接收到第一代理实体发送的认证结果通知消息，与用户设备进行通信；所述认证结果通知消息用于指示所述目标实体与所述用户设备具有通信权限，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能。

根据本公开实施例的第六方面，提供一种认证装置，应用于用户设备，所述装置包括：

目标实体确定模块，被配置为从一个或多个第一实体中，确定请求通信的目标实体；

参数确定模块，被配置为根据所述目标实体确定第一权限请求参数；

第一消息发送模块，被配置为根据所述第一权限请求参数向第一代理实体发送应用会话建立请求消息；所述应用会话建立请求消息用于指示所述第一代理实体根据所述第一权限请求参数确定所述用户设备与所述目标实体是否具有第一通信权限；所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

第一消息接收模块，被配置为响应于接收到所述第一代理实体发送的应用会话建立响应消息，确定所述用户设备与所述目标实体是否具有第一通信权限；

认证模块，被配置为在所述用户设备与所述目标实体具有第一通信权限的情况下，通过所述第一代理实体进行身份认证。

根据本公开实施例的第七方面，提供一种认证装置，应用于第一代理实体，所述装置包括：

第一代理接收模块，被配置为接收用户设备发送的应用会话建立请求消息；所述应用会话建立请求消息包括第一权限请求参数，所述应用会话建立请求消息用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

第一代理确定模块，被配置为根据所述第一权限请求参数确定所述用户设备与所述目标实体是否具有第一通信权限；

第一代理发送模块，被配置为在所述用户设备与所述目标实体具有第一通信权限的情况下，向用户设备发送应用会话建立响应消息，以及，对所述用户设备进行身份认证。

根据本公开实施例的第八方面，提供一种认证装置，应用于第二实体，所述装置包括：

第二接收模块，被配置为接收第一代理实体发送的第一密钥请求消息；所述第一密钥请求消息包括第二权限请求参数，所述第二权限请求参数为所述第一代理实体根据所述用户设备发送的第一权限请求参数确定的参数，所述第一权限请求参数用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

第二密钥获取模块，被配置为根据所述第二权限请求参数获取第一待定密钥信息；

第二发送模块，被配置为根据所述第一待定密钥信息向所述第一代理实体发送的第一密钥响应消息。

根据本公开实施例的第九方面，提供一种认证装置，应用于第三实体，所述装置包括：

第三接收模块，被配置为接收第二实体发送的第三密钥请求消息；所述第三密钥请求消息包括第三权限请求参数，所述第三权限请求参数为所述第二实体根据第二权限请求参数确定的参数，所述第二权限请求参数为第一代理实体根据所述用户设备发送的第一权限请求参数确定的参数，所述第一权限请求参数用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

第三确定模块，被配置为根据所述第三权限请求参数，确定所述用户设备与所述目标实体是否具有第一通信权限；

第三密钥模块，被配置为在所述用户设备与所述目标实体具有第一通信权限的情况下，获取第三待定密钥信息；

第三发送模块，被配置为根据所述第三待定密钥信息，向所述第二实体发送第三密钥响应消息，所述第三密钥响应消息包括所述第三待定密钥信息。

根据本公开实施例的第十方面，提供一种认证装置，应用于第一实体，所述第一实体为一个或多个；所述装置包括：

第一通信模块，被配置为响应于接收到第一代理实体发送的认证结果通知消息，与用户设备进行通信；所述认证结果通知消息用于指示所述目标实体与所述用户设备具有通信权限，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能。

根据本公开实施例的第十一方面，提供一种认证装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行本公开第一方面所提供的认证方法的步骤。

根据本公开实施例的第十二方面，提供一种认证装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行本公开第二方面所提供的认证方法的步骤。

根据本公开实施例的第十三方面，提供一种认证装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行本公开第三方面所提供的认证方法的步骤。

根据本公开实施例的第十四方面，提供一种认证装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行本公开第四方面所提供的认证方法的步骤。

根据本公开实施例的第十五方面，提供一种认证装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行本公开第五方面所提供的认证方法的步骤。

根据本公开实施例的第十六方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时实现本公开第一方面所提供的认证方法的步骤。

根据本公开实施例的第十七方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时实现本公开第二方面所提供的认证方法的步骤。

根据本公开实施例的第十八方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时实现本公开第三方面所提供的认证方法的步骤。

根据本公开实施例的第十九方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时实现本公开第四方面所提供的认证方法的步骤。

根据本公开实施例的第二十方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时实现本公开第五方面所提供的认证方法的步骤。

根据本公开实施例的第二十一方面，提供一种芯片，包括：处理器和接口；所述处理器用于读取指令以执行本公开第一方面所提供的认证方法的步骤。

根据本公开实施例的第二十二方面，提供一种芯片，包括：处理器和接口；所述处理器用于读取指令以执行本公开第二方面所提供的认证方法的步骤。

根据本公开实施例的第二十三方面，提供一种芯片，包括：处理器和接口；所述处理器用于读取指令以执行本公开第三方面所提供的认证方法的步骤。

根据本公开实施例的第二十四方面，提供一种芯片，包括：处理器和接口；所述处理器用于读取指令以执行本公开第四方面所提供的认证方法的步骤。

根据本公开实施例的第二十五方面，提供一种芯片，包括：处理器和接口；所述处理器用于读取指令以执行本公开第五方面所提供的认证方法的步骤。

本公开的实施例提供的技术方案可以包括以下有益效果：从一个或多个第一实体中，确定请求通信的目标实体；根据该目标实体确定第一权限请求参数；根据该第一权限请求参数向第一代理实体发送应用会话建立请求消息；响应于接收到第一代理实体发送的应用会话建立响应消息，确定用户设备与目标实体是否具有第一通信权限；在用户设备与目标实体具有第一通信权限的情况下，通过第一代理实体进行身份认证。其中，该应用会话建立请求消息用于指示第一代理实体根据第一权限请求参数确定用户设备与目标实体是否具有第一通信权限；该第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，该第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为该第一实体提供认证代理功能。这样，针对3GPP运营商域外的非可信的第一实体，通过第一代理实体确定用户设备与第一实体是否具有第一通信权限，并在具有第一通信权限的情况下进行用户设备的身份验证，可以将第一实体的一部分功能通过第一代理实体实现，从而降低第一实体的负荷，提高第一实体的效率，并且，用户设备通过统一的第一代理实体实现与一个或多个第一实体的权限认证与身份认证，也降低了用户设备进行认证的复杂度，提高了用户设备的效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是根据一示例性实施例示出的一种本公开实施例适用的通信系统的示意图。

图2是根据一示例性实施例示出的一种5G通信系统的示意图。

图3是根据一示例性实施例示出的一种认证方法的流程图。

图4是根据一示例性实施例示出的一种认证方法的流程图。

图5是根据一示例性实施例示出的一种认证方法的流程图。

图6是根据一示例性实施例示出的一种认证方法的流程图。

图7是根据一示例性实施例示出的一种认证方法的流程图。

图8是根据一示例性实施例示出的一种认证方法的流程图。

图9是根据一示例性实施例示出的一种认证方法的流程图。

图10是根据一示例性实施例示出的一种认证方法的流程图。

图11是根据一示例性实施例示出的一种认证方法的流程图。

图12是根据一示例性实施例示出的一种认证方法的流程图。

图13是根据一示例性实施例示出的一种认证装置的框图。

图14是根据一示例性实施例示出的一种认证装置的框图。

图15是根据一示例性实施例示出的一种认证装置的框图。

图16是根据一示例性实施例示出的一种认证装置的框图。

图17是根据一示例性实施例示出的一种认证装置的框图。

图18是根据一示例性实施例示出的一种认证装置的框图。

图19是根据一示例性实施例示出的一种认证装置的框图。

图20是根据一示例性实施例示出的一种认证装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

需要说明的是，本公开中所有获取信号、信息或数据的动作都是在遵照所在地国家相应的数据保护法规政策的前提下，并获得由相应装置所有者给予授权的情况下进行的。

在本公开中，使用的术语如“第一”、“第二”等是用于区别类似的对象，而不必理解为特定的顺序或先后次序。另外，在未作相反说明的情况下，在参考附图的描述中，不同附图中的同一标记表示相同的要素。

在本公开的描述中，除非另有说明，“多个”是指两个或多于两个，其它量词与之类似；“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个；“和/或”是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A，B可以是单数或者复数。

在本公开实施例中尽管在附图中以特定的顺序描述操作，但是不应将其理解为要求按照所示的特定顺序或是串行顺序来执行这些操作，或是要求执行全部所示的操作以得到期望的结果。在特定环境中，多任务和并行处理可能是有利的。

在相关技术中，用户设备可以基于AKMA与应用功能AF(Application Function)实体进行消息交互，确定该用户设备对该应用功能AF实体的访问权限，以便与应用功能AF实体建立安全会话。但是，由于多个用户设备引起的消息交互会增加应用功能AF实体的负荷，降低应用功能AF实体的效率，并且，在网络中存在多个应用功能AF实体的情况下，UE直接与AF进行消息交互以确定访问权限，对于UE来讲，也会降低效率。

为了解决上述问题，本公开提供了一种认证方法、装置、介质和芯片。

下面首先介绍本公开实施例的实施环境。

本公开的实施例可以应用于4G(the 4th Generation，第四代)网络系统，例如长期演进(Long Term Evolution，LTE)系统，或者，也可以应用于在5G(the 5th Generation，第五代)网络系统，如采用新型无线入技术(New Radio Access Technology，New RAT)的接入网；云无线接入网(Cloud Radio Access Network，CRAN)等通信系统。

图1是根据一示例性实施例示出的一种本公开实施例适用的通信系统的示意图，需要说明的是，本公开实施例并不限于图1所示的系统中，此外，图1中的实体可以是硬件，也可以是从功能上划分的软件或者以上二者结合后的结构。图1中所示的实体可以是任意通信网络架构中的实体，该通信网络可以是4G网络、5G网络或6G网络等。

如图1所示，该通信系统可以包括：第一实体101、第二实体102、第三实体103、第一代理实体110和用户设备160，其中，第一实体101可以为一个或多个，例如，该第一实体101可以包括：第一实体1011、第一实体1012、……、第一实体101n等。第一代理实体110可以与该一个或多个第一实体101相连接(例如，通过有线网络、无线网络或二者的结合相连接)，该第一代理实体可以与第二实体相连接，该第二实体可以与第三实体相连接，该用户设备可以与第一代理实体和第三实体相连接。

在一些实施例中，该第一实体101可以包括提供应用功能的实体，该第一代理实体110可以包括提供认证代理功能的实体，该第二实体102可以包括提供网络开放功能的实体，该第三实体103可以包括提供AKMA授权及应用密钥推演功能的实体，例如该第三实体103可以是提供AKMA锚点功能并对用户设备与第一实体的通信权限进行认证的功能实体。

在一些实施例中，第一实体可以包括3GPP运营商域外的非可信的提供应用功能的实体，第一代理实体可以包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为第一实体提供认证代理功能，该第一实体可以包括一个或多个。

示例地，第一实体可以包括：应用功能AF(Application Function)实体或应用服务器SCS/AS(Services Capability Server/Application Server)；第一代理实体可以包括认证代理AP(AKMA Authentication Proxy)实体；第二实体可以包括：网络开放功能NEF(Network Exposure Function)实体或业务能力开放功能SCEF(Service Capability Exposure Function)实体；第三实体可以包括：AKMA锚点功能AAnF(AKMA Anchor Function)实体。

图2是根据一示例性实施例示出的一种5G通信系统的示意图，如图2所示，该通信系统是图1所示通信系统在5G网络中的具体应用，该通信系统可以包括AF实体1010、AP实体1100、NEF实体1020、UE(User Equipment，用户设备)1600。

图3是根据一示例性实施例示出的一种认证方法，可以应用于上述通信系统中的用户设备。如图3所示，该方法可以包括：

S301、用户设备从一个或多个第一实体中，确定请求通信的目标实体。

示例地，该第一实体可以包括提供应用功能的实体，例如应用功能AF实体。用户设备可以根据用户功能需求确定请求通信的AF实体。

S302、用户设备根据该目标实体确定第一权限请求参数。

在一些实施例中，可以首先获取目标实体的第一目标实体标识，根据该第一目标实体标识确定第一权限参数。

示例地，该第一目标实体标识可以包括目标实体的FQDN(Fully Qualified Domain Name，全限定域名)、IP(Internet Protocol，网际互连协议)地址和端口号(PortNumber)中的一项或多项。

在一些实施例中，可以根据该第一目标实体标识和表征用户设备身份的用户设备标识，获取该第一权限请求参数。

其中，该用户设备标识可以包括用户设备对应的密钥标识A-KID，该密钥标识A-KID可以是用户设备在注册接入该通信系统时，根据用户设备的硬件信息和通信系统发送的注册信息生成的，该密钥标识A-KID可以在该通信系统中唯一标识一个用户设备。

示例地，可以将该第一目标实体标识和该用户设备对应的密钥标识A-KID，作为该第一权限请求参数。

S303、用户设备根据该第一权限请求参数向第一代理实体发送应用会话建立请求消息。

其中，该应用会话建立请求消息可以用于指示第一代理实体根据该第一权限请求参数确定用户设备与目标实体是否具有第一通信权限。

在一些实施例中，第一代理实体与一个或多个第一实体相连接。示例地，可以在一个信任域或一个边缘节点中设置统一的第一代理实体，该第一代理实体可以与该信任域或该边缘节点中的每个第一实体相连接。在用户设备请求与该信任域或该边缘节点中的目标实体通信的情况下，可以想该第一代理实体发送应用会话建立请求消息(例如Application Session Establishment Request message)。

在一些实施例中，用户设备可以预先配置了第一代理实体的代理域名(例如FQDN)，通过该FQDN，用户设备可以与第一代理实体进行消息交互或数据传输。

S304、用户设备响应于接收到第一代理实体发送的应用会话建立响应消息，确定用户设备与目标实体是否具有第一通信权限。

在一些实施例中，用户设备可以在接收到该应用会话建立响应消息的情况下，确定用户设备与目标实体具有第一通信权限。

反之，若用户设备在预设时间内未接收到该应用会话建立响应消息，则可以确定用户设备与目标实体不具有第一通信权限。

在另一些实施例中，用户设备可以在接收到应用会话建立响应消息，且该应用会话建立响应消息中包含成功指示信息的情况下，确定用户设备与目标实体具有第一通信权限。

反之，若用户设备接收到的该应用会话建立响应消息中未包含成功指示信息，或者包含失败指示信息，则可以确定用户设备与目标实体不具有第一通信权限。该成功指示信息可以是预先设置的任意指示信息。

在另外一些实施例中，用户设备可以在接收到应用会话建立响应消息，且该应用会话建立响应消息中不包含失败指示信息的情况下，确定用户设备与目标实体具有第一通信权限。

反之，若用户设备接收到的该应用会话建立响应消息中包含失败指示信息，则可以确定用户设备与目标实体不具有第一通信权限。该失败指示信息可以是预先设置的任意错误码。

S305、在用户设备与目标实体具有第一通信权限的情况下，用户设备通过第一代理实体进行身份认证。

示例地，用户设备可以根据目标实体的FQDN生成该目标实体对应的实体密钥K _AF，并根据该实体密钥K _AF与第一代理实体进行身份认证。

需要说明的是，用户设备进行身份认证的方式可以参考相关技术中的实现，例如可以根据目标实体对应的实体密钥信息进行身份认证，也可以根据用户设备对应的用户密钥信息和目标实体对应的实体密钥信息进行身份认证，本公开对此不作限定。

采用上述方法，从一个或多个第一实体中，确定请求通信的目标实体；根据该目标实体确定第一权限请求参数；根据该第一权限请求参数向第一代理实体发送应用会话建立请求消息；响应于接收到第一代理实体发送的应用会话建立响应消息，确定用户设备与目标实体是否具有第一通信权限；在用户设备与目标实体具有第一通信权限的情况下，通过第一代理实体进行身份认证。其中，该应用会话建立请求消息用于指示第一代理实体根据第一权限请求参数确定用户设备与目标实体是否具有第一通信权限；该第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，该第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为该第一实体提供认证代理功能。这样，针对3GPP运营商域外的非可信的第一实体，通过第一代理实体确定用户设备与第一实体是否具有第一通信权限，并在具有第一通信权限的情况下进行用户设备的身份验证，可以将第一实体的一部分功能通过第一代理实体实现，从而降低第一实体的负荷，提高第一实体的效率，并且，用户设备通过统一的第一代理实体实现与一个或多个第一实体的权限认证与身份认证，也降低了用户设备进行认证的复杂度，提高了用户设备的效率。

在一些实施例中，上述第一通信权限可以包括以下一项或多项：

权限一、用户设备对目标实体具有访问权限。

权限二、用户设备对第一代理实体具有访问权限。

权限三、第一代理实体对目标实体具有代理权限。

权限四、目标实体对用户设备的用户标识具有获取权限。

示例地，可以在确定用户设备对目标实体具有访问权限的情况下，确定用户设备与目标实体具有第一通信权限；也可以在确定用户设备对第一代理实体具有访问权限，且第一代理实体对目标实体具有代理权限的情况下，确定用户设备与目标实体具有第一通信权限；也可以在确定用户设备对目标实体具有访问权限、用户设备对第一代理实体具有访问权限，且第一代理实体对目标实体具有代理权限的情况下，确定用户设备与目标实体具有第一通信权限。

在一些实施例中，用户设备与目标实体具有第一通信权限可以包括：用户设备对第一代理实体具有访问权限，且第一代理实体对目标实体具有代理权限；例如，在第一代理实体与目标实体的FQDN相同的情况下，可以使用该第一通信权限。

在另一些实施例中，用户设备与目标实体具有第一通信权限可以包括：用户设备对目标实体具有访问权限，和，用户设备对第一代理实体具有访问权限，和，第一代理实体对目标实体具有代理权限；例如，在第一代理实体与目标实体的FQDN不同的情况下，可以使用该第一通信权限。

在一些实施例中，上述第一实体可以包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；上述第一代理实体可以包括3GPP运营商域外的非可信认证代理AP实体。

这样，用户设备可以通过AP与运营商域外的AF实体进行通信。

在一些实施例中，在通过第一代理实体进行身份认证成功之后，用户设备即可以与目标实体进行通信。

示例地，用户设备可以直接与目标实体通信，也可以通过第一代理实体与目标实体进行通信，例如通过第一代理实体转发用户设备与目标实体之间的通信消息。

在另一些实施例中，在通过第一代理实体进行身份认证成功之后，用户设备还可以确定第一代理实体的代理域名与目标实体的第一域名是否相同，在代理域名与第一域名不同的情况下，可以与目标实体进行通信。

反之，在代理域名与第一域名相同的情况下，可以通过用户设备与代理实体之间的安全会话进一步确定用户设备与目标实体是否具有第二通信权限；在具有第二通信权限的情况下，可以与目标实体进行通信。

需要说明的是，上述代理域名可以为该第一代理实体对应的全限定域名FQDN，第一域名可以为该目标实体对应的全限定域名FQDN。在某些场景下，第一代理实体与目标实体可以使用相同的FQDN，而使用不同的IP地址或端口号，在该场景下，上述第一通信权限能够表征用户设备对该FQDN具有访问权限，但并不一定能够表征用户设备对IP地址或端口号对应的目标实体具有访问权限，此时，可以通过用户设备与代理实体之间的安全会话进一步确定用户设备与目标实体是否具有第二通信权限。

图4是根据一示例性实施例示出的一种认证方法，可以应用于用户设备。如图4所示，该方法可以包括：

S401、在用户设备与目标实体具有第一通信权限的情况下，用户设备通过第一代理实体进行身份认证。

S402、在通过第一代理实体进行身份认证成功之后，用户设备与第一代理实体建立安全会话。

示例地，该安全会话可以是TLS(Transport Layer Security，传输层安全性)会话，通过TLS会话可以对用户设备与第一代理实体之间的通信实现保密性和数据完整性。

S403、用户设备获取第一代理实体的代理域名和目标实体的第一域名。

在一些实施例中，该代理域名可以为该第一代理实体对应的全限定域名FQDN，该第一域名可以为该目标实体对应的全限定域名FQDN。

S404、在代理域名与第一域名相同的情况下，用户设备通过安全会话确定用户设备与目标实体是否具有第二通信权限。

S405、在确定用户设备与目标实体具有第二通信权限的情况下，用户设备与目标实体进行通信。

同样地，用户设备可以直接与目标实体通信，也可以通过第一代理实体与目标实体进行通信，例如通过第一代理实体转发用户设备与目标实体之间的通信消息。

这样，通过对第一通信权限和第二通信权限的认证，在第一代理实体与目标实体的FQDN相同的情况下，也可以确定该用户设备对目标实体具有访问权限，从而进一步增强安全性。

在一些实施例中，上述S404步骤中通过安全会话确定用户设备与目标实体是否具有第二通信权限，可以包括以下步骤：

首先，用户设备通过上述安全会话，向第一代理实体发送目标实体服务请求消息。

示例地，该目标实体服务请求消息可以包括第二目标实体标识，该第二目标实体标识为用户设备根据第一目标实体标识获取的受保护的实体标识；该目标实体服务请求消息用于指示第一代理实体根据第二目标实体标识确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，上述第二目标实体标识为根据安全会话(例如TLS会话)的要求，对目标实体对应的第一目标实体标识进行保护后确定的标识。

在另一些实施例中，也可以直接将该第一目标实体标识作为该第二目标实体标识，将该第二目标实体标识通过安全会话进行传输，以实现对第一目标实体标识的保护，以避免实体标识在传输过程中被篡改。

然后，用户设备响应于接收到第一代理实体发送的目标实体服务响应消息，确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，用户设备可以在接收到该目标实体服务响应消息的情况下，确定用户设备与目标实体具有第二通信权限。

反之，若用户设备在预设时间内未接收到该目标实体服务响应消息，则可以确定用户设备与目标实体不具有第二通信权限。

在另一些实施例中，用户设备可以在接收到目标实体服务响应消息，且该目标实体服务响应消息中包含成功指示信息的情况下，确定用户设备与目标实体具有第二通信权限。

反之，若用户设备接收到的该目标实体服务响应消息中未包含成功指示信息，或者包含失败指示信息，则可以确定用户设备与目标实体不具有第二通信权限。该成功指示信息可以是预先设置的任意指示信息。

在另外一些实施例中，用户设备可以在接收到目标实体服务响应消息，且该目标实体服务响应消息中不包含失败指示信息的情况下，确定用户设备与目标实体具有第二通信权限。

反之，若用户设备接收到的该目标实体服务响应消息中包含失败指示信息，则可以确定用户设备与目标实体不具有第二通信权限。该失败指示信息可以是预先设置的任意错误码。该失败指示信息可以是预先设置的任意错误码。

这样，用户设备可以通过安全会话确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，上述第二通信权限可以包括以下权限中的一项或多项：

权限六、用户设备对目标实体具有访问权限。

权限七、第一代理实体对目标实体具有代理权限。

权限八、目标实体对用户设备的用户标识具有获取权限。

这样，可以通过用户设备与第一代理实体之间的安全会话，确定用户设备与目标实体是否具有第二通信权限，进一步提高认证的可靠性。

图5是根据一示例性实施例示出的一种认证方法，可以应用于上述通信系统中的第一代理实体。如图5所示，该方法可以包括：

S501、第一代理实体接收用户设备发送的应用会话建立请求消息。

其中，应用会话建立请求消息包括第一权限请求参数，应用会话建立请求消息用于指示第一代理实体根据第一权限请求参数确定用户设备与目标实体是否具有第一通信权限，目标实体为用户设备从一个或多个第一实体中确定的请求通信的实体，第一实体可以包括3GPP运营商域外的非可信的提供应用功能的实体，第一代理实体可以包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为第一实体提供认证代理功能，该第一实体可以包括一个或多个。

S502、第一代理实体根据第一权限请求参数确定用户设备与目标实体是否具有第一通信权限。

这样，针对3GPP运营商域外的非可信的第一实体，通过第一代理实体确定用户设备与第一实体是否具有第一通信权限，并在具有第一通信权限的情况下进行用户设备的身份验证，可以将第一实体的一部分功能通过第一代理实体实现，从而降低第一实体的负荷，提高第一实体的效率，并且，用户设备通过统一的第一代理实体实现与一个或多个第一实体的权限认证与身份认证，也降低了用户设备进行认证的复杂度，提高了用户设备的效率。

在一些实施例中，第一代理实体可以通过与第二实体的密钥请求消息交互确定用户设备与目标实体是否具有第一通信权限。例如，可以包括以下步骤：

首先，第一代理实体根据第一权限请求参数确定第二权限请求参数。

在一些实施例中，可以将第一权限请求参数和第一代理实体对应的代理实体标识，作为第二权限请求参数。示例地，若第一权限请求参数包括目标实体的第一目标实体标识和用户设备对应的密钥标识A-KID，则第二权限请求参数可以包括第一目标实体标识、密钥标识A-KID和第一代理实体对应的代理实体标识。

在另一些实施例中，可以将该第一权限请求参数作为第二权限请求参数。

其次，第一代理实体向第二实体发送第一密钥请求消息。

示例地，该第二实体可以包括提供网络开放功能的实体。该第一密钥请求消息可以包括上述第二权限请求参数。

再次，第一代理实体接收第二实体发送的第一密钥响应消息。

该第一密钥响应消息可以包括第一待定密钥信息，第一待定密钥信息为第二实体根据第二权限请求参数获取的密钥信息。

在一些实施例中，该第一待定密钥信息可以包括目标实体对应的应用密钥K _AF。

在另一些实施例中，该第一待定密钥信息可以包括目标实体对应的应用密钥K _AF和密钥有效时间K _AF expiration time。

在一些实施例中，该第一密钥响应消息还可以包括用户设备的第一用户标识，该第一用户标识可以是用于表征用户设备的任意标识，例如，可以是用户设备对应的通用公共用户标识GPSI(Generic Public Subscription Identifier)。

最后，第一代理实体根据第一待定密钥信息，确定用户设备与目标实体是否具有第一通信权限。

示例地，在该第一待定密钥信息包括目标实体对应的应用密钥K _AF的情况下，可以确定用户设备与目标实体具有第一通信权限。反之，在该第一待定密钥信息不包括目标实体对应的应用密钥K _AF，或者，该第一待定密钥信息不包括有效的应用密钥K _AF，或者，在预设时间内未收到该第一待定密钥信息的情况下，可以确定用户设备与目标实体不具有第一通信权限。

这样，第一代理实体通过与第二实体进行交互，可以确定用户设备与目标实体是否具有第一通信权限。

在另一些实施例中，在该第一代理实体存储有用户设备通信权限策略的情况下，可以直接根据第一权限请求参数确定用户设备与目标实体是否具有第一通信权限。

S503、在用户设备与目标实体具有第一通信权限的情况下，第一代理实体向用户设备发送应用会话建立响应消息，以及，对用户设备进行身份认证。

在一些实施例中，第一代理实体可以通过发送该应用会话建立响应消息，指示用户设备与目标实体具有第一通信权限；反之，通过不发送该应用会话建立响应消息，指示用户设备与目标实体不具有第一通信权限。

在另一些实施例中，第一代理实体可以在该应用会话建立响应消息中包含成功指示信息，通过该成功指示信息，指示用户设备与目标实体具有第一通信权限；反之，通过在该应用会话建立响应消息中不包含成功指示信息，指示用户设备与目标实体不具有第一通信权限。其中该成功指示信息可以是预先设置的任意指示信息。

在另外一些实施例中，在用户设备与目标实体不具有第一通信权限的情况下，第一代理实体可以在该应用会话建立响应消息中包含失败指示信息，指示用户设备与目标实体不具有第一通信权限；反之，在用户设备与目标实体具有第一通信权限的情况下，第一代理实体可以通过在该应用会话建立响应消息中不包含失败指示信息，指示用户设备与目标实体具有第一通信权限。

采用上述方法，可以基于第一代理实体实现对用户设备与第一实体的通信权限的认证，从而可以减少第一实体进行权限认证引起的负荷过高的问题。

权限一、用户设备对目标实体具有访问权限；

权限二、用户设备对第一代理实体具有访问权限；

权限三、第一代理实体对目标实体具有代理权限。

权限四、目标实体对用户设备的用户标识具有获取权限。

在一些实施例中，上述第一实体可以包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；上述第一代理实体可以包括3GPP运营商域外的非可信认证代理AP实体；上述第二实体可以包括：网络开放功能NEF实体或业务能力开放功能SCEF实体。

在一些实施例中，在第一代理实体对用户设备进行身份认证成功的情况下，第一代理实体可以向目标实体发送认证结果通知消息。

其中，该认证结果通知消息用于指示目标实体与用户设备具有通信权限。

进一步地，该认证结果通知消息还可以包括用户设备对应的第一用户标识，示例地，在第一密钥响应消息中包括用户设备对应的第一用户标识的情况下，第一代理实体可以通过认证结果通知消息，向目标实体发送第一用户标识。

需要说明的是，该第一用户标识可以是用于表征用户设备的任意标识，例如，可以为用户设备对应的通用公共用户标识GPSI。

这样，第一代理实体可以对用户设备与第一实体的通信权限进行验证，在用户设备与第一实体具有通信权限的情况下，指示用户设备与第一实体进行通信。

在另一些实施例中，在第一代理实体对用户设备进行身份认证成功的情况下，第一代理实体可以获取第一代理实体的代理域名和目标实体的第一域名；在代理域名与第一域名不同的情况下，向目标实体发送认证结果通知消息，以便指示目标实体与用户设备具有通信权限或者进行通信。

反之，在代理域名与第一域名相同的情况下，第一代理实体则暂时不向目标实体发送认证结果通知消息；先等待用户设备与目标实体是否具有第二通信权限，在确定用户设备与目标实体具有第二通信权限后，再向目标实体发送认证结果通知消息。

示例地，第一代理实体可以根据用户设备发送的目标实体服务请求消息，进一步确定用户设备与目标实体是否具有第二通信权限。

同样需要说明的是，上述代理域名可以是该第一代理实体对应的全限定域名FQDN，第一域名可以是该目标实体对应的全限定域名FQDN。在某些场景下，第一代理实体与目标实体可以使用相同的FQDN，而使用不同的IP地址或端口号，在该场景下，上述第一通信权限能够表征用户设备对该FQDN具有访问权限，但并不一定能够表征用户设备对IP地址或端口号对应的目标实体具有访问权限，此时，可以通过用户设备与代理实体之间的安全会话进一步确定用户设备与目标实体是否具有第二通信权限。

图6是根据一示例性实施例示出的一种认证方法，可以应用于第一代理实体。如图6所示，该方法可以包括：

S601、在对用户设备进行身份认证成功之后，第一代理实体与用户设备建立安全会话。

示例地，该安全会话可以是TLS(Transport Layer Security，传输层安全性)会话，通过TLS会话可以对第一代理实体与用户设备之间的通信实现保密性和数据完整性。

S602、第一代理实体通过安全会话，接收用户设备发送的目标实体服务请求消息。

目标实体服务请求消息包括第二目标实体标识，第二目标实体标识为用户设备根据目标实体的第一目标实体标识获取的受保护的实体标识，目标实体服务请求消息为用户设备在确定第一代理实体的代理域名与目标实体的第一域名相同的情况下发送的消息。

S603、第一代理实体根据第二目标实体标识确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，在第二目标实体标识与第一目标实体标识相同的情况下，可以确定用户设备与目标实体具有第二通信权限。

在另一些实施例中，在第二目标实体标识与第一目标实体标识不同的情况下，第一代理实体可以通过与第二实体的密钥请求消息交互确定用户设备与目标实体是否具有第二通信权限。例如，可以包括以下步骤：

首先，第一代理实体向第二实体发送第二密钥请求消息。

其次，第一代理实体接收第二实体发送的第二密钥响应消息。

最后，第一代理实体根据第二密钥响应消息确定用户设备与目标实体是否具有第二通信权限。

示例地，该第二密钥请求消息可以包括密钥标识A-KID、第二目标实体标识和第一代理实体对应的代理实体标识；该第二密钥请求消息可以用于指示第二实体根据第二密钥请求消息确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，该第二密钥请求消息可以包括授权指示参数。该授权指示参数可以用于指示第二实体根据第二密钥请求消息确定用户设备与目标实体是否具有第二通信权限。同样地，该第二密钥响应消息也可以包括授权指示参数，用于表征该第二密钥响应消息是对该第二密钥请求消息的响应。

在一些实施例中，该第二密钥响应消息还可以包括授权结果参数。该授权结果参数可以用于指示授权成功或授权失败。第一代理实体根据该授权结果参数确定用户设备与目标实体是否具有第二通信权限。示例地，在该授权结果参数为授权成功的情况下，可以确定用户设备与目标实体具有第二通信权限；反之，在该授权结果参数为授权失败，或者，该第二密钥响应消息未包括授权结果参数的情况下，可以确定用户设备与目标实体不具有第二通信权限。

S604、第一代理实体向用户设备发送目标实体服务响应消息。

目标实体服务响应消息用于指示用户设备与目标实体是否具有第二通信权限。

在一些实施例中，第一代理实体可以通过发送该目标实体服务响应消息，指示用户设备与目标实体具有第二通信权限；反之，通过不发送该目标实体服务响应消息，指示用户设备与目标实体不具有第二通信权限。

在另一些实施例中，第一代理实体可以在该目标实体服务响应消息中包含成功指示信息，通过该成功指示信息，指示用户设备与目标实体具有第二通信权限；反之，通过在该目标实体服务响应消息中不包含成功指示信息，指示用户设备与目标实体不具有第二通信权限。其中该成功指示信息可以是预先设置的任意指示信息。

在另外一些实施例中，在用户设备与目标实体不具有第二通信权限的情况下，第一代理实体可以在该目标实体服务响应消息中包含失败指示信息，指示用户设备与目标实体不具有第二通信权限；反之，在用户设备与目标实体具有第二通信权限的情况下，第一代理实体可以通过在该目标实体服务响应消息中不包含失败指示信息，指示用户设备与目标实体具有第二通信权限。该失败指示信息可以是预先设置的任意错误码。

这样，第一代理实体可以通过安全会话确定用户设备与目标实体是否具有第二通信权限，并将权限认证结果发送至目标设备。

权限六、用户设备对目标实体具有访问权限。

权限七、第一代理实体对目标实体具有代理权限。

权限八、目标实体对用户设备的用户标识具有获取权限。

在一些实施例中，在根据第二密钥响应消息确定用户设备与目标实体具有第二通信权限的情况下，第一代理实体可以向目标实体发送认证结果通知消息。

进一步地，该认证结果通知消息还可以包括用户设备对应的第一用户标识，示例地，在第二密钥响应消息中包括用户设备对应的第一用户标识的情况下，第一代理实体可以通过认证结果通知消息，向目标实体发送第一用户标识。

这样，第一代理实体可以通过安全会话对用户设备与第一实体的第二通信权限进行验证，进一步提高认证的可靠性，并在用户设备与第一实体具有第二通信权限的情况下，指示用户设备与第一实体进行通信。

图7是根据一示例性实施例示出的一种认证方法，可以应用于第二实体。如图7所示，该方法可以包括：

S701、第二实体接收第一代理实体发送的第一密钥请求消息。

其中，第一密钥请求消息包括第二权限请求参数，第二权限请求参数为第一代理实体根据用户设备发送的第一权限请求参数确定的参数，第一权限请求参数用于指示第一代理实体根据第一权限请求参数确定用户设备与目标实体是否具有第一通信权限，目标实体为用户设备从一个或多个第一实体中确定的请求通信的实体，第一实体可以包括3GPP运营商域外的非可信的提供应用功能的实体，第一代理实体可以包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为第一实体提供认证代理功能，该第一实体可以包括一个或多个。

S702、第二实体根据第二权限请求参数获取第一待定密钥信息。

在一些实施例中，第二实体可以通过与第三实体的密钥请求消息交互确定用户设备与目标实体是否具有第一通信权限，并获取该第一待定密钥信息。例如，可以包括以下步骤：

首先，第二实体根据第二权限请求参数确定第三权限请求参数。

其次，第二实体根据该第三权限请求参数向第三实体发送第三密钥请求消息。示例地，第三密钥请求消息中可以包括第三权限请求参数。

再次，第二实体接收第三实体发送的第三密钥响应消息。示例地，第三密钥响应消息包括第三待定密钥信息，第三待定密钥信息为第三实体根据第三权限请求参数确定用户设备与目标实体具有第一通信权限的情况下获取的密钥信息。

最后，第二实体根据第三待定密钥信息，获取第一待定密钥信息。

这样，第二实体通过与第三实体进行交互，可以获取第一待定密钥信息。

在一些实施例中，上述第二实体可以包括提供网络开放功能的实体，上述第三实体可以包括提供AKMA授权及应用密钥推演功能的实体。

在一些实施例中，上述第二权限请求参数可以包括第一代理实体对应的代理实体标识，第二实体可以根据预先设置的策略(例如配置参数)确定具有为该第一代理实体服务的权限的第三实体。

在一些实施例中，上述第二权限请求参数可以包括用户设备对应的密钥标识A-KID、目标实体对应的第一目标实体标识和第一代理实体对应的代理实体标识；第二实体可以将第二权限请求参数作为第三权限请求参数。

在一些实施例中，第三待定密钥信息包括目标实体对应的实体密钥信息；第二实体可以将目标实体对应的实体密钥信息作为第一待定密钥信息。

在一些实施例中，该目标实体对应的实体密钥信息中可以包括目标实体对应的应用密钥K _AF。

在另一些实施例中，该目标实体对应的实体密钥信息中可以包括目标实体对应的应用密钥K _AF和密钥有效时间K _AF expiration time。

在一些实施例中，该第三密钥响应消息还可以包括用户设备的第二用户标识，第二实体可以根据第二用户标识确定第一用户标识；并根据第一待定密钥信息和第一用户标识，向第一代理实体发送第一密钥响应消息。例如，可以在第一密钥响应消息中包括该第一待定密钥信息和该第一用户标识

在一些实施例中，该第二用户标识可以是在3GPP运营商域内表征该用户设备的标识；该第一用户标识可以是3GPP运营商域外表征该用户设备的标识。示例地，该第二用户标识可以是用户设备对应的用户永久标识SUPI(Subscription Permanent Identifier)；该第一用户标识可以是用户设备对应的通用公共用户标识GPSI(Generic Public Subscription Identifier)。

该第二实体可以根据预设标识对应关系，确定第二用户标识对应的第一用户标识；该预设标识对应关系包括第二用户标识与第一用户标识的对应关系。

这样，第二实体通过与第三实体进行交互，可以获取用户设备对应的第一用户标识。

在另一些实施例中，在该第二实体存储有用户设备通信权限策略的情况下，可以直接根据第二权限请求参数确定用户设备与目标实体是否具有第一通信权限，并获取该第一待定密钥信息。

S703、第二实体根据第一待定密钥信息向第一代理实体发送第一密钥响应消息。

示例地，该第一密钥响应消息可以包括第一待定密钥信息，以便第一代理实体根据第一待定密钥信息，确定用户设备与目标实体是否具有第一通信权限。

这样，第二实体可以确定用户设备与目标实体是否具有第一通信权限，并通过第一待定密钥信息通知第一代理实体。

在一些实施例中，第一通信权限包括以下一项或多项：

用户设备对目标实体具有访问权限；

用户设备对第一代理实体具有访问权限；

第一代理实体对目标实体具有代理权限

目标实体对用户设备的用户标识具有获取权限。

图8是根据一示例性实施例示出的一种认证方法，可以应用于第二实体。如图8所示，在向第一代理实体发送第一密钥响应消息之后，该方法还可以包括：

S801、第二实体接收第一代理实体发送的第二密钥请求消息。

第二密钥请求消息为第一代理实体在确定在第二目标实体标识与目标实体对应的第一目标实体标识不同的情况下，向第二实体发送的消息；第二目标实体标识为用户设备根据目标实体的第一目标实体标识获取的受保护的实体标识。

S802、第二实体根据第二密钥请求消息确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，第二实体可以通过与第三实体的密钥请求消息交互确定用户设备与目标实体是否具有第二通信权限。例如，可以包括以下步骤：

首先，第二实体向第三实体发送第四密钥请求消息。

其次，第二实体接收第三实体发送的第四密钥响应消息。

最后，第二实体根据第四密钥响应消息确定用户设备与目标实体是否具有第二通信权限。

示例地，第二密钥请求消息可以包括密钥标识A-KID、第二目标实体标识和第一代理实体对应的代理实体标识；第四密钥请求消息也可以包括密钥标识A-KID、第二目标实体标识和代理实体标识。该第四密钥请求消息可以用于指示第三实体根据密钥标识A-KID、第二目标实体标识和代理实体标识，确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，第二密钥请求消息和第四密钥请求消息可以均包括授权指示参数，该授权指示参数可以用于指示第三实体根据第四密钥请求消息确定用户设备与目标实体是否具有第二通信权限。同样地，该第二密钥响应消息也可以包括授权指示参数，用于表征该第二密钥响应消息是对该第二密钥请求消息的响应；该第四密钥响应消息也可以包括授权指示参数，用于表征该第四密钥响应消息是对该第四密钥请求消息的响应。

在一些实施例中，该第四密钥响应消息还可以包括授权结果参数。该授权结果参数可以用于指示授权成功或授权失败。

S803、第二实体向第一代理实体发送第二密钥响应消息。

第二密钥响应消息用于通知第一代理实体用户设备与目标实体是否具有第二通信权限。

在一些实施例中，该第二实体也可以将根据第四密钥响应消息中的授权结果参数生成第二密钥响应消息，例如，在第二密钥响应消息中包含该授权结果参数，这样，可以将该授权结果参数转发至第一代理实体，以便第一代理实体根据该授权结果参数确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，该第四密钥响应消息还可以包括用户设备对应的第二用户标识，第二实体可以根据第二用户标识确定第一用户标识；并根据第一用户标识向第一代理实体发送第二密钥响应消息。例如，可以在第二密钥响应消息中包括该第一用户标识。

第二实体可以根据预设标识对应关系，确定第二用户标识对应的第一用户标识；该预设标识对应关系包括第二用户标识与第一用户标识的对应关系。

在一些实施例中，第二通信权限包括以下一项或多项：

用户设备对目标实体具有访问权限；

第一代理实体对目标实体具有代理权限；

目标实体对用户设备的用户标识具有获取权限。

在一些实施例中，上述第三实体可以包括：AKMA锚点功能AAnF实体。

图9是根据一示例性实施例示出的一种认证方法，可以应用于第三实体。如图9所示，该方法可以包括：

S901、第三实体接收第二实体发送的第三密钥请求消息。

其中，第三密钥请求消息包括第三权限请求参数，第三权限请求参数为第二实体根据第二权限请求参数确定的参数，第二权限请求参数为第一代理实体根据用户设备发送的第一权限请求参数确定的参数，第一权限请求参数用于指示第一代理实体根据第一权限请求参数确定用户设备与目标实体是否具有第一通信权限，目标实体为用户设备从一个或多个第一实体中确定的请求通信的实体，第一实体可以包括3GPP运营商域外的非可信的提供应用功能的实体，第一代理实体可以包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为第一实体提供认证代理功能，该第一实体可以包括一个或多个。

S902、第三实体根据第三权限请求参数，确定用户设备与目标实体是否具有第一通信权限。

在一些实施例中，该第三权限请求参数可以包括第一代理实体对应的代理实体标识。第三实体接收到第三权限请求参数后，可以根据预设策略确定第三实体是否具有为第一代理实体服务的权限。该预设策略可以包括预先配置的参数。

在确定第三实体具有为第一代理实体服务的权限的情况下，根据该第三权限请求参数，确定用户设备与目标实体是否具有第一通信权限。

反之，在确定第三实体不具有为第一代理实体服务的权限的情况下，可以终止流程，不再检查不再用户设备与目标实体是否具有第一通信权限。此时，第三实体可以向第二实体发送失败指示，以便第二实体进行相应的失败处理；或者，第三实体也直接停止处理，不发送任何消息。

在一些实施例中，第三权限请求参数包括用户设备对应的密钥标识A-KID、目标实体的第一目标实体标识和第一代理实体对应的代理实体标识。在本步骤中，确定用户设备与目标实体是否具有第一通信权限的方式包括以下一项或多项：

方式一、根据密钥标识A-KID和第一目标实体标识，确定用户设备对目标实体是否具有访问权限。

方式二、根据密钥标识A-KID和代理实体标识，确定用户设备对第一代理实体是否具有访问权限。

方式三、根据代理实体标识和第一目标实体标识，确定第一代理实体对目标实体是否具有代理权限。

方式四、根据密钥标识A-KID和第二目标实体标识，确定目标实体对用户设备的用户标识是否具有获取权限。

方式五、根据密钥标识A-KID确定用户设备是否具有使用AKMA的权限。

在一些实施例中，第三实体可以在确定用户设备对第一代理实体和目标实体均具有访问权限，且第一代理实体对目标实体具有代理权限的情况下，确定用户设备与目标实体具有第一通信权限。

在另一些实施例中，第三实体可以在确定用户设备对目标实体均具有访问权限，且第一代理实体对目标实体具有代理权限的情况下，确定用户设备与目标实体具有第一通信权限。

S903、第三实体在用户设备与目标实体具有第一通信权限的情况下，获取第三待定密钥信息。

示例地，可以根据目标实体对应的实体密钥信息，获取第三待定密钥信息。

S904、第三实体根据第三待定密钥信息向第二实体发送第三密钥响应消息。

示例地，第三密钥响应消息可以包括第三待定密钥信息，以便第二实体根据该第三待定密钥信息获取第一待定密钥信息，并将第一待定密钥信息发送至第一代理实体。第一代理实体可以根据第一待定密钥信息确定用户设备与目标实体是否具有第一通信权限。所述第三密钥响应消息可以包括所述第三待定密钥信息。

这样，第三实体可以确定用户设备与目标实体是否具有第一通信权限，并通过第三待定密钥信息通知第二实体。

在一些实施例中，该第三密钥响应消息还可以包括用户设备的第二用户标识，示例地，第三实体可以获取用户设备对应的第二用户标识；并根据第三待定密钥信息和第二用户标识，向第二实体发送的第三密钥响应消息。

第三实体也可以在确定目标实体具有获取用户标识的权限的情况下，通过第三密钥响应消息，向第二实体发送第三待定密钥信息和用户设备对应的第二用户标识。

在一些实施例中，该第二用户标识可以是在3GPP运营商域内表征该用户设备的标识；示例地，该第二用户标识可以是用户设备对应的用户永久标识SUPI。

在一些实施例中，上述第一实体可以包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；上述第一代理实体可以包括3GPP运营商域外的非可信认证代理AP实体；上述第二实体可以包括：网络开放功能NEF实体或业务能力开放功能SCEF实体；上述第三实体可以包括：AKMA锚点功能AAnF实体。

图10是根据一示例性实施例示出的一种认证方法，可以应用于第三实体。如图10所示，在向第二实体发送第三密钥响应消息之后，该方法还可以包括：

S1001、第三实体接收第二实体发送的第四密钥请求消息。

S1002、第三实体根据第四密钥请求消息，确定用户设备与目标实体是否具有第二通信权限。

S1003、第三实体向第二实体发送第四密钥响应消息。

其中，第四密钥响应消息用于通知第二实体用户设备与目标实体是否具有第二通信权限。

在一些实施例中，第四密钥请求消息可以包括第一代理实体对应的代理实体标识。第三实体接收到第四密钥请求消息后，可以根据预设策略确定第三实体是否具有为第一代理实体服务的权限。该预设策略可以包括预先配置的参数。

在确定第三实体具有为第一代理实体服务的权限的情况下，根据第四密钥请求消息，确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，第四密钥请求消息可以包括密钥标识A-KID、第二目标实体标识和第一代理实体对应的代理实体标识，第二目标实体标识为用户设备根据目标实体的第一目标实体标识获取的受保护的实体标识；上述S1002步骤确定用户设备与目标实体是否具有第二通信权限的方式可以包括以下一项或多项：

方式六、根据密钥标识A-KID和第二目标实体标识，确定用户设备对目标实体是否具有访问权限；

方式七、根据代理实体标识和第二目标实体标识，确定第一代理实体对目标实体是否具有代理权限。

方式八、根据密钥标识A-KID和第二目标实体标识，确定目标实体对用户设备的用户标识是否具有获取权限。

在一些实施例中，第三实体可以在确定用户设备对目标实体具有访问权限，且第一代理实体对目标实体具有代理权限的情况下，确定用户设备与目标实体具有第二通信权限。

在一些实施例中，第四密钥请求消息包括授权指示参数，授权指示参数用于指示第三实体根据第四密钥请求消息确定用户设备与目标实体是否具有第二通信权限。同样地，该第四密钥响应消息也可以包括授权指示参数，用于表征该第四密钥响应消息是对该第四密钥请求消息的响应。

在一些实施例中，该第四密钥响应消息还可以包括授权结果参数。该授权结果参数可以用于指示授权成功或授权失败。示例地，第三实体可以根据用户设备与目标实体是否具有第二通信权限，确定该授权结果参数的取值。例如，第三实体在确定用户设备与目标实体具有第二通信权限的情况下，可以将该授权结果参数设置为授权成功(例如1)；在确定用户设备与目标实体不具有第二通信权限的情况下，可以将该授权结果参数的取值设置为授权失败(例如0)。

在另一些实施例中，第三实体可以通过在第四密钥响应消息不包含该授权结果信息以指示用户设备与目标实体不具有第二通信权限。例如，在第三实体确定用户设备与目标实体不具有第二通信权限的情况下，可以在第四密钥响应消息中不包含该授权结果信息；反之，在确定用户设备与目标实体具有第二通信权限的情况下，可以在第四密钥响应消息中包含该授权结果信息。

在一些实施例中，该第四密钥响应消息还可以包括用户设备对应的第二用户标识。示例地，第三实体可以在确定所述目标实体具有获取用户标识的权限的情况下，根据用户设备对应的第二用户标识，向第二实体发送第四密钥响应消息。该第二用户标识可以是用户设备对应的用户永久标识SUPI。

图11是根据一示例性实施例示出的一种认证方法，可以应用于第一实体。如图11所示，该方法还可以包括：

S1101、第一实体接收到第一代理实体发送的认证结果通知消息。

S1102、第一实体响应于接收到第一代理实体发送的认证结果通知消息，与用户设备进行通信。

其中，该认证结果通知消息用于指示目标实体与用户设备具有通信权限，第一代理实体与第一实体相连接，第一实体和第一代理实体均为3GPP运营商域外的非可信的功能实体。

需要说明的是，第一实体可以等待用户设备发起通信；第一实体也可以主动与用户设备发起通信，本公开对此不作限定。

在一些实施例中，认证结果通知消息包括用户设备的第一用户标识。该第一用户标识可以是3GPP运营商域外表征该用户设备的标识。示例地，该第一用户标识为该用户设备对应的通用公共用户标识GPSI。

在一些实施例中，第一实体包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；第一代理实体包括3GPP运营商域外的非可信认证代理AP实体。

这样，第一实体可以根据第一代理实体的认证结果通知消息，确定用户设备与第一实体是否具有第一通信权限，从而可以降低第一实体的负荷，提高第一实体的效率。

图12是根据一示例性实施例示出的一种认证方法，如图12所示，该方法可以包括：

S1201、用户设备向第一代理实体发送应用会话建立请求消息。

示例地，该应用会话建立请求消息可以包括第一权限请求参数，该第一权限请求参数可以包括用户设备的密钥标识A-KID和目标实体的第一目标实体标识Target AF ID。该目标实体可以是用户设备从一个或多个第一实体中确定的请求通信的实体。

在一些实施例中，用户设备可以通过通信系统中的预设功能实体获取密钥标识A-KID，该预设功能实体可以包括鉴权服务功能AUSF(Authentication Server Function)实体

S1202、第一代理实体响应于接收到该应用会话建立请求消息，向第二实体发送第一密钥请求消息。

其中，该第一密钥请求消息可以包括第二权限请求参数。

在一些实施例中，第一代理实体可以接收用户设备发送的应用会话建立请求消息，根据该应用会话建立请求消息中的第一权限请求参数确定第二权限请求参数。

示例地，在第一权限请求参数包括用户设备的密钥标识A-KID和目标实体的第一目标实体标识Target AF ID的情况下，可以确定第二权限请求参数包括密钥标识A-KID、第一目标实体标识Target AF ID和该第一代理实体的代理实体标识。

S1203、第二实体响应于接收到该第一密钥请求消息，向第三实体发送第三密钥请求消息。

其中，该第三密钥请求消息可以包括第三权限请求参数。

在一些实施例中，第二实体可以接收第一代理实体发送的第一密钥请求消息，根据该第一密钥请求消息中的第二权限请求参数确定第三权限请求参数。

示例地，可以直接将第二权限请求参数作为第三权限请求参数。例如，在第二权限请求参数包括密钥标识A-KID、第一目标实体标识Target AF ID和该第一代理实体的代理实体标识的情况下，可以将密钥标识A-KID、第一目标实体标识Target AF ID和该第一代理实体的代理实体标识作为该第三权限请求参数。

S1204、第三实体在根据第三密钥请求消息确定用户设备与目标实体具有第一通信权限的情况下，获取第三待定密钥信息。

其中，该第三实体可以基于预设权限策略对用户设备和目标实体的通信权限进行认证，以确定用户设备与目标实体是否具有第一通信权限，示例地：

在一些实施例中，第三实体确定用户设备与目标实体是否具有第一通信权限的方式可以包括以下一项或多项：

在另一些实施例中，第三实体可以在确定用户设备对目标实体均具有访问权限，且第一代理实体对目标实体具有代理权限的情况下，确定用户设备与目标实体具有第一通信权限。示例地，第三实体可以通过以下步骤确定用户设备与目标实体是否具有第一通信权限：

S11、根据代理实体标识和第一目标实体标识，确定第一代理实体对目标实体是否具有代理权限。

若确定第一代理实体对目标实体不具有代理权限，则直接确定用户设备与目标实体不具有第一通信权限，不再执行S12步骤。反之，若确定第一代理实体对目标实体具有代理权限，则继续执行是S12步骤。

S12、根据密钥标识A-KID和第一目标实体标识，确定用户设备对目标实体是否具有访问权限。

若确定用户设备对目标实体不具有访问权限，则直接确定用户设备与目标实体不具有第一通信权限，不再执行S13步骤。反之，若确定用户设备对目标实体具有访问权限，则继续执行是S13步骤。

S13、根据密钥标识A-KID确定用户设备是否具有使用AKMA的权限。

在确定用户设备具有使用AKMA的权限的情况下，可以确定用户设备与目标实体具有第一通信权限。反之，在确定用户设备不具有使用AKMA的权限的情况下，可以确定用户设备与目标实体不具有第一通信权限。

需要说明的是，该第三待定密钥信息可以包括目标实体对应的实体密钥信息。

S1205、第三实体根据第三待定密钥信息向第二实体发送第三密钥响应消息。

示例地，该第三密钥响应消息中可以包括目标实体对应的应用密钥K _AF和密钥有效时间K _AF expiration time。

在一些实施例中，该第三密钥响应消息还可以包括用户设备的第二用户标识，该第二用户标识可以是在3GPP运营商域内表征该用户设备的标识；示例地，该第二用户标识可以是用户设备对应的用户永久标识SUPI。

S1206、第二实体根据第三密钥响应消息，向第一代理实体发送第一密钥响应消息。

示例地，该第一密钥响应消息中可以包括目标实体对应的应用密钥K _AF和密钥有效时间K _AF expiration time。

在第三密钥响应消息包括用户设备的第二用户标识(例如SUPI)的情况下，第二实体可以根据第二用户标识(例如SUPI)获取第一用户标识(例如GPSI)，并在第一密钥响应消息中包含该第一用户标识。

S1207、第一代理实体向用户设备发送应用会话建立响应消息。

第一代理实体获取该第一密钥响应消息中的应用密钥K _AF的情况下，可以确定用户设备与目标实体具有第一通信权限，此时，第一代理实体可以向用户设备发送应用会话建立响应消息。

S1208、用户设备通过第一代理实体进行身份认证。

用户设备可以在确定用户设备与目标实体具有第一通信权限的情况下，通过第一代理实体进行身份认证。示例地，用户设备可以根据目标实体的FQDN生成该目标实体对应的实体密钥K _AF，并根据该实体密钥K _AF与第一代理实体进行身份认证。

S1209a、第一代理实体向目标实体发送认证结果通知消息。

在第一密钥响应消息中包括用户设备的第一用户标识(例如SUPI)的情况下，第一代理实体可以在该认证结果通知消息中包括该第一用户标识。以便目标应用获取用户设备的标识信息。

在一些实施例中，在第一代理实体对用户设备进行身份认证成功的情况下，第一代理实体可以向目标实体发送认证结果通知消息(执行该S1209a步骤，不再继续执行S1209b及之后的步骤)。

在另一些实施例中，在第一代理实体对用户设备进行身份认证成功的情况下，第一代理实体可以获取第一代理实体的代理域名和目标实体的第一域名；在代理域名与第一域名不同的情况下，向目标实体发送认证结果通知消息(执行该S1209a步骤，不再继续执行S1209b及之后的步骤)，以便指示目标实体与用户设备具有通信权限或者进行通信。

在另一些实施例中，在代理域名与第一域名相同的情况下，第一代理实体可以则暂时不向目标实体发送认证结果通知消息；先等待用户设备与目标实体是否具有第二通信权限，在确定用户设备与目标实体具有第二通信权限后，再向目标实体发送认证结果通知消息。也就是不执行S1209a步骤，继续执行S1209b及之后的步骤。

S1209b、用户设备与第一代理实体建立安全会话。

该安全会话可以包括TLS会话。

S1210、用户设备向第一代理实体发送目标实体服务请求消息。

其中，该目标实体服务请求消息包括第二目标实体标识，第二目标实体标识为用户设备根据目标实体的第一目标实体标识获取的受保护的实体标识。

在一些实施例中，该目标实体服务请求消息可以包括密钥标识A-KID和第二目标实体标识。

在一些实施例中，在第二目标实体标识与第一目标实体标识相同的情况下，可以确定用户设备与目标实体具有第二通信权限，则可以向目标实体发送认证结果通知消息，并向用户设备发送目标实体服务响应消息。也就是执行该S1211a和S1218步骤，无需执行S1211b步骤至S1217步骤。

在另一些实施例中，在第二目标实体标识与第一目标实体标识不同的情况下，第一代理实体可以通过与第二实体的密钥请求消息交互确定用户设备与目标实体是否具有第二通信权限。也就是不执行S1211a步骤，继续执行S1211b及之后的步骤。

S1211a、第一代理实体向目标实体发送认证结果通知消息。

S1211b、第一代理实体向第二实体发送第二密钥请求消息。

在一些实施例中，该第二密钥请求消息可以包括密钥标识A-KID、第二目标实体标识和第一代理实体对应的代理实体标识；该第二密钥请求消息可以用于指示第二实体根据第二密钥请求消息确定用户设备与目标实体是否具有第二通信权限。

在一些实施例中，该第二密钥请求消息还可以包括授权指示参数，该授权指示参数可以用于指示第二实体根据第二密钥请求消息确定用户设备与目标实体是否具有第二通信权限。

S1213、第二实体根据第二密钥请求消息向第三实体发送第四密钥请求消息。

在一些实施例中，第四密钥请求消息可以包括密钥标识A-KID、第二目标实体标识和第一代理实体对应的代理实体标识。

在一些实施例中，该第四密钥请求消息也可以包括授权指示参数，该授权指示参数可以用于指示第三实体根据第四密钥请求消息确定用户设备与目标实体是否具有第二通信权限。

S1214、第三实体根据第四密钥请求消息，确定用户设备与目标实体是否具有第二通信权限。

示例地，第三实体确定用户设备与目标实体是否具有第二通信权限的方式可以包括以下一项或多项：

S1215、第三实体向第四实体发送第四密钥响应消息。

在一些实施例中，该第四密钥响应消息还可以包括用户设备的第二用户标识，该第二用户标识可以是在3GPP运营商域内表征该用户设备的标识；示例地，该第二用户标识可以是用户设备对应的用户永久标识SUPI。

在一些实施例中，该第四密钥响应消息还可以包括授权结果参数。示例地，第三实体可以在确定用户设备与目标实体是否具有第二通信权限的情况下，在第四密钥响应消息中包含该授权结果参数。

S1216、第二实体根据该第四密钥响应消息向第一代理实体发送第二密钥响应消息。

在第四密钥响应消息包括用户设备的第二用户标识(例如SUPI)的情况下，第二实体可以根据第二用户标识(例如SUPI)获取第一用户标识(例如GPSI)，并在第二密钥响应消息中包含该第一用户标识。

在第四密钥响应消息包括授权结果参数的情况下，第二实体也可以在第二密钥响应消息中包括该授权结果参数。

S1217、第一代理实体向目标实体发送认证结果通知消息。

示例地，第一代理实体可以根据该第二密钥响应消息向目标实体发送认证结果通知消息，例如，第一代理实体在根据该第二密钥响应消息确定用户设备与目标实体具有第二通信权限的情况下，可以向目标实体发送认证结果通知消息。

在一些实施例中，该第二密钥响应消息中可以包括授权结果参数，第一代理实体可以根据该授权结果参数确定用户设备与目标实体具有第二通信权限。

在第二密钥响应消息包括用户设备的第一用户标识(例如SUPI)的情况下，第一代理实体可以在该认证结果通知消息中包括该第一用户标识。以便目标应用获取用户设备的标识信息。

S1218、第一代理实体向用户设备发送目标实体服务响应消息。

该目标实体服务响应消息用于指示用户设备与目标实体是否具有第二通信权限。

示例的，第一代理实体可以根据该第二密钥响应消息向用户设备发送目标实体服务响应消息，例如，第一代理实体在根据第二密钥响应消息中的授权结果参数，确定用户设备与目标实体具有第二通信权限的情况下向用户设备发送目标实体服务响应消息。

在一些实施例中，上述第一实体可以包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；上述第一代理实体可以包括3GPP运营商域外的非可信认证代理AP实体；上述第二实体可以包括：网络开放功能NEF实体或业务能力开放功能SCEF实体；上述第三实体可以包括：AKMA锚点功能AAnF 实体。

这样，针对3GPP运营商域外的非可信的第一实体，通过第一代理实体确定用户设备与第一实体是否具有通信权限，并在具有第一通信权限的情况下进行用户设备的身份验证，可以将第一实体的一部分功能通过第一代理实体实现，从而降低第一实体的负荷，提高第一实体的效率，并且，用户设备通过统一的第一代理实体实现与一个或多个第一实体的权限认证与身份认证，也降低了用户设备进行认证的复杂度，提高了用户设备的效率。

图13是根据一示例性实施例示出的一种认证装置1300的框图，该认证装置可以应用于用户设备。如图13所示，该装置1300可以包括：

目标实体确定模块1301，被配置为从一个或多个第一实体中，确定请求通信的目标实体；

参数确定模块1302，被配置为根据该目标实体确定第一权限请求参数；

第一消息发送模块1303，被配置为根据该第一权限请求参数向第一代理实体发送应用会话建立请求消息；该应用会话建立请求消息用于指示该第一代理实体根据该第一权限请求参数确定该用户设备与该目标实体是否具有第一通信权限；该第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，该第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为该第一实体提供认证代理功能；

第一消息接收模块1304，被配置为响应于接收到该第一代理实体发送的应用会话建立响应消息，确定该用户设备与该目标实体是否具有第一通信权限；

认证模块，被配置为在该用户设备与该目标实体具有第一通信权限的情况下，通过该第一代理实体进行身份认证。

可选地，该参数确定模块1302，被配置为将该目标实体的第一目标实体标识和该用户设备对应的密钥标识A-KID作为该第一权限请求参数。

可选地，该第一通信权限包括以下一项或多项：

该用户设备对该目标实体具有访问权限；

该用户设备对该第一代理实体具有访问权限；

该第一代理实体对该目标实体具有代理权限；

目标实体对用户设备的用户标识具有获取权限。

图14是根据一示例性实施例示出的一种认证装置1300的框图，如图14所示，该装置还可以包括：

用户通信模块1305，被配置为在通过该第一代理实体进行身份认证成功之后，与该第一代理实体建立安全会话；获取该第一代理实体的代理域名和该目标实体的第一域名；在该代理域名与该第一域名相同的情况下，通过该安全会话确定该用户设备与该目标实体是否具有第二通信权限；在确定该用户设备与该目标实体具有第二通信权限的情况下，与该目标实体进行通信。

可选地，该用户通信模块1305，被配置为通过该安全会话，向该第一代理实体发送目标实体服务请求消息；该目标实体服务请求消息包括第二目标实体标识，该第二目标实体标识为该用户设备根据该第一目标实体标识获取的受保护的实体标识，该目标实体服务请求消息用于指示该第一代理实体根据该第二目标实体标识确定该用户设备与该目标实体是否具有第二通信权限；响应于接收到该第一代理实体发送的目标实体服务响应消息，确定该用户设备与该目标实体是否具有第二通信权限。

可选地，该第二通信权限包括以下一项或多项：

该用户设备对该目标实体具有访问权限；

该第一代理实体对该目标实体具有代理权限；

该目标实体对用户设备的用户标识具有获取权限。

可选地，该第一消息接收模块1304，被配置为在接收到该应用会话建立响应消息的情况下，确定该用户设备与该目标实体具有第一通信权限；或者，在接收到该应用会话建立响应消息，且该会话建立响应消息中包含成功指示信息的情况下，确定该用户设备与该目标实体具有第一通信权限。

可选地，该第一实体包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；该第一代理实体包括3GPP运营商域外的非可信认证代理AP实体。

图15是根据一示例性实施例示出的一种认证装置1500的框图，该认证装置可以应用于第一代理实体。如图15所示，该装置1500可以包括：

第一代理接收模块1501，被配置为接收用户设备发送的应用会话建立请求消息；该应用会话建立请求消息包括第一权限请求参数，该应用会话建立请求消息用于指示该第一代理实体根据第一权限请求参数确定该用户设备与目标实体是否具有第一通信权限，该目标实体为该用户设备从一个或多个第一实体中确定的请求通信的实体，该第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，该第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为该第一实体提供认证代理功能；

第一代理确定模块1502，被配置为根据该第一权限请求参数确定该用户设备与该目标实体是否具有第一通信权限；

第一代理发送模块1503，被配置为在该用户设备与该目标实体具有第一通信权限的情况下，向用户设备发送应用会话建立响应消息，以及，对该用户设备进行身份认证。

可选地，该第一权限请求参数包括该目标实体的第一目标实体标识和该用户设备对应的密钥标识A-KID。

可选地，该第一通信权限包括以下一项或多项：

该用户设备与该目标实体具有访问权限；

该用户设备对该第一代理实体具有访问权限；

该第一代理实体对该目标实体具有代理权限；

该目标实体对用户设备的用户标识具有获取权限。

可选地，该第一代理确定模块1502，被配置为根据该第一权限请求参数确定第二权限请求参数；向第二实体发送第一密钥请求消息；该第一密钥请求消息包括该第二权限请求参数；接收该第二实体发送的第一密钥响应消息；该第一密钥响应消息包括第一待定密钥信息，该第一待定密钥信息为该第二实体根据该第二权限请求参数获取的密钥信息；根据该第一待定密钥信息，确定该用户设备与该目标实体是否具有第一通信权限。

可选地，该第一代理确定模块1502，被配置为将该第一权限请求参数和该第一代理实体对应的代理实体标识，作为该第二权限请求参数。

可选地，该第一代理确定模块1502，被配置为在该第一待定密钥信息包括该目标实体对应的实体密钥信息的情况下，确定该用户设备与该目标实体具有第一通信权限。

可选地，该第一代理发送模块1503，被配置为在对该用户设备进行身份认证成功的情况下，向该目标实体发送认证结果通知消息；该认证结果通知消息用于指示该目标实体与该用户设备具有通信权限。

可选地，该第一代理发送模块1503，被配置为获取该第一代理实体的代理域名和该目标实体的第一域名；在该代理域名与该第一域名不同的情况下，向该目标实体发送认证结果通知消息。

可选地，该第一代理发送模块1503，被配置为在该第一密钥响应消息中包括用户设备对应的第一用户标识的情况下，通过该认证结果通知消息，向该目标实体发送该第一用户标识。

可选地，该第一用户标识为该用户设备对应的通用公共用户标识GPSI。

图16是根据一示例性实施例示出的一种认证装置1500的框图，如图16所示，该装置还可以包括：

第一代理通信模块1504，被配置为在对该用户设备进行身份认证成功之后，与该用户设备建立安全会话；通过该安全会话，接收该用户设备发送的目标实体服务请求消息；该目标实体服务请求消息包括第二目标实体标识，该第二目标实体标识为用户设备根据该目标实体的第一目标实体标识获取的受保护的实体标识，该目标实体服务请求消息为该用户设备在确定该第一代理实体的代理域名与该目标实体的第一域名相同的情况下发送的消息；根据该第二目标实体标识确定该用户设备与该目标实体是否具有第二通信权限；向该用户设备发送目标实体服务响应消息；该目标实体服务响应消息用于指示该用户设备与该目标实体是否具有第二通信权限。

可选地，该第二通信权限包括以下一项或多项：

该用户设备对该目标实体具有访问权限；

该第一代理实体对该目标实体具有代理权限；

该目标实体对用户设备的用户标识具有获取权限。

可选地，该第一代理通信模块1504，被配置为在该第二目标实体标识与该第一目标实体标识相同的情况下，确定该用户设备与该目标实体具有第二通信权限。

可选地，该第一代理通信模块1504，被配置为在该第二目标实体标识与该第一目标实体标识不同的情况下，向第二实体发送第二密钥请求消息；该第二密钥请求消息包括该密钥标识A-KID、该第二目标实体标识和该第一代理实体对应的代理实体标识；该第二密钥请求消息用于指示该第二实体确定该用户设备与该目标实体是否具有第二通信权限；接收该第二实体发送的第二密钥响应消息；根据该第二密钥响应消息确定该用户设备与该目标实体是否具有第二通信权限。

可选地，该第二密钥请求消息还包括授权指示参数，该授权指示参数用于指示该第二实体根据该第二密钥请求消息确定该用户设备与该目标实体是否具有第二通信权限。

可选地，该第一代理确定模块1502，被配置为在根据该第二密钥响应消息确定该用户设备与该目标实体具有第二通信权限的情况下，向该目标实体发送认证结果通知消息；该认证结果通知消息用于指示该目标实体与该用户设备具有通信权限。

可选地，该第一代理确定模块1502，被配置为在该第二密钥响应消息中包括该用户设备对应的第一用户标识的情况下，通过该认证结果通知消息，向该目标实体发送该第一用户标识。

可选地，在该第一待定密钥信息包括应用密钥K _AF和密钥有效时间。

可选地，该第二实体包括：网络开放功能NEF实体或业务能力开放功能SCEF实体。

图17是根据一示例性实施例示出的一种认证装置1700的框图，该认证装置可以应用于第二实体。如图17所示，该装置1700可以包括：

第二接收模块1701，被配置为接收第一代理实体发送的第一密钥请求消息；该第一密钥请求消息包括第二权限请求参数，该第二权限请求参数为该第一代理实体根据该用户设备发送的第一权限请求参数确定的参数，该第一权限请求参数用于指示该第一代理实体根据第一权限请求参数确定该用户设备与目标实体是否具有第一通信权限，该目标实体为该用户设备从一个或多个第一实体中确定的请求通信的实体，该第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，该第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为该第一实体提供认证代理功能；

第二密钥获取模块1702，被配置为根据该第二权限请求参数获取第一待定密钥信息；

第二发送模块1703，被配置为根据该第一待定密钥信息向该第一代理实体发送第一密钥响应消息。

可选地，该第二密钥获取模块1702，被配置为根据该第二权限请求参数确定第三权限请求参数；根据该第三权限请求参数向第三实体发送第三密钥请求消息；接收该第三实体发送的第三密钥响应消息；该第三密钥响应消息包括第三待定密钥信息，该第三待定密钥信息为该第三实体根据该第三权限请求参数确定该用户设备与该目标实体具有第一通信权限的情况下获取的密钥信息；根据该第三待定密钥信息，获取该第一待定密钥信息。

可选地，该第一通信权限包括以下一项或多项：

该用户设备与该目标实体具有访问权限；

该用户设备对该第一代理实体具有访问权限；

该第一代理实体对该目标实体具有代理权限；

该目标实体对用户设备的用户标识具有获取权限。

可选地，该第二权限请求参数包括该用户设备对应的密钥标识A-KID、目标实体对应的第一目标实体标识和该第一代理实体对应的代理实体标识；该第二密钥获取模块1702，被配置为将该第二权限请求参数作为该第三权限请求参数。

可选地，该第三待定密钥信息包括该目标实体对应的实体密钥信息；该第二密钥获取模块1702，被配置为将该目标实体对应的实体密钥信息作为该第一待定密钥信息。

可选地，该实体密钥信息包括应用密钥K _AF和密钥有效时间。

可选地，该第三密钥响应消息还包括该用户设备对应的第二用户标识；该第二发送模块1703，被配置为根据该第二用户标识确定第一用户标识；根据该第一待定密钥信息和该第一用户标识，向该第一代理实体发送第一密钥响应消息。

可选地，该第一用户标识为该用户设备对应的通用公共用户标识GPSI；该第二用户标识为该用户设备对应的用户永久标识SUPI。

可选地，该第二密钥获取模块1702，被配置为在根据该第一待定密钥信息向该第一代理实体发送第一密钥响应消息之后，接收第一代理实体发送的第二密钥请求消息；该第二密钥请求消息为该第一代理实体在确定在第二目标实体标识与该目标实体对应的第一目标实体标识不同的情况下，向第二实体发送的消息；该第二目标实体标识为该用户设备根据目标实体的第一目标实体标识获取的受保护的实体标识；根据该第二密钥请求消息确定该用户设备与该目标实体是否具有第二通信权限；向该第一代理实体发送第二密钥响应消息；该第二密钥响应消息用于通知该第一代理实体该用户设备与该目标实体是否具有第二通信权限。

可选地，该第二通信权限包括以下一项或多项：

该用户设备对该目标实体具有访问权限；

该第一代理实体对该目标实体具有代理权限；

该目标实体对用户设备的用户标识具有获取权限。

可选地，该第二密钥请求消息包括该密钥标识A-KID、第二目标实体标识和该第一代理实体对应的代理实体标识；该第二密钥获取模块1702，被配置为向第三实体发送第四密钥请求消息；该第四密钥请求消息包括该密钥标识A-KID、该第二目标实体标识和该代理实体标识；接收该第三实体发送的第四密钥响应消息；根据该第四密钥响应消息确定该用户设备与该目标实体是否具有第二通信权限。

可选地，该第二密钥请求消息和该第四密钥请求消息均包括授权指示参数，该授权指示参数用于指示该第三实体根据该第四密钥请求消息确定该用户设备与该目标实体是否具有第二通信权限。

可选地，该第三实体包括：AKMA锚点功能AAnF实体。

可选地，该第一实体包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；该第一代理实体包括3GPP运营商域外的非可信认证代理AP实体；该第二实体包括：网络开放功能NEF实体或业务能力开放功能SCEF实体。

图18是根据一示例性实施例示出的一种认证装置1800的框图，该认证装置可以应用于第三实体。如图18所示，该装置1800可以包括：

第三接收模块1801，被配置为接收第二实体发送的第三密钥请求消息；该第三密钥请求消息包括第三权限请求参数，该第三权限请求参数为该第二实体根据第二权限请求参数确定的参数，该第二权限请求参数为第一代理实体根据该用户设备发送的第一权限请求参数确定的参数，该第一权限请求参数用于指示该第一代理实体根据第一权限请求参数确定该用户设备与目标实体是否具有第一通信权限，该目标实体为该用户设备从一个或多个第一实体中确定的请求通信的实体，该第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，该第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，该第一代理实体为该第一实体提供认证代理功能；

第三确定模块1802，被配置为根据该第三权限请求参数，确定该用户设备与该目标实体是否具有第一通信权限；

第三密钥模块1803，被配置为在该用户设备与该目标实体具有第一通信权限的情况下，获取第三待定密钥信息；

第三发送模块1804，被配置为根据该第三待定密钥信息，向该第二实体发送第三密钥响应消息。

可选地，该第三权限请求参数包括该用户设备对应的密钥标识A-KID、目标实体的第一目标实体标识和该第一代理实体对应的代理实体标识；该第三确定模块1802，被配置为通过以下一项或多项，确定该用户设备与该目标实体是否具有第一通信权限：

根据该密钥标识A-KID和该第一目标实体标识，确定该用户设备对该目标实体是否具有访问权限；

根据该密钥标识A-KID和该代理实体标识，确定该用户设备对该第一代理实体是否具有访问权限；

根据该代理实体标识和该第一目标实体标识，确定该第一代理实体对该目标实体是否具有代理权限；

根据密钥标识A-KID和第二目标实体标识，确定目标实体对用户设备的用户标识是否具有获取权限。

可选地，该第三密钥模块1803，被配置为根据该目标实体对应的实体密钥信息，获取该第三待定密钥信息。

可选地，该第三发送模块1804，被配置为在确定目标实体具有获取用户标识的权限的情况下，通过第三密钥响应消息，向第二实体发送第三待定密钥信息和用户设备对应的第二用户标。。

可选地，该第二用户标识为该用户设备对应的用户永久标识SUPI。

可选地，第三确定模块1802，还被配置为在向该第二实体发送第三密钥响应消息之后，接收该第二实体发送的第四密钥请求消息；根据第四密钥请求消息确定该用户设备与该目标实体是否具有第二通信权限；向该第二实体发送第四密钥响应消息；该第四密钥响应消息用于通知该第二实体该用户设备与该目标实体是否具有第二通信权限。

可选地，该第四密钥请求消息包括该密钥标识A-KID、第二目标实体标识和该第一代理实体对应的代理实体标识，该第二目标实体标识为该用户设备根据目标实体的第一目标实体标识获取的受保护的实体标识；

该第三确定模块1802，被配置为通过以下一项或多项，确定该用户设备与该目标实体是否具有第二通信权限：

根据该密钥标识A-KID和该第二目标实体标识，确定该用户设备对该目标实体是否具有访问权限；

根据该代理实体标识和该第二目标实体标识，确定该第一代理实体对该目标实体是否具有代理权限；

可选地，该第四密钥请求消息包括授权指示参数，该授权指示参数用于指示该第三实体根据该第四密钥请求消息确定该用户设备与该目标实体是否具有第二通信权限。

可选地，该第三确定模块1802，被配置为在确定目标实体具有获取用户标识的权限的情况下，根据该用户设备对应的第二用户标识，向该第二实体发送第四密钥响应消息。

可选地，该第一实体包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；该第一代理实体包括3GPP运营商域外的非可信认证代理AP实体；该第二实体包括：网络开放功能NEF实体或业务能力开放功能SCEF实体；该第三实体包括：AKMA锚点功能AAnF实体。

图19是根据一示例性实施例示出的一种认证装置1900的框图，该认证装置可以应用于第一实体。如图19所示，该装置1900可以包括：

第一通信模块1901，被配置为响应于接收到第一代理实体发送的认证结果通知消息，与用户设备进行通信；该认证结果通知消息用于指示该目标实体与该用户设备具有通信权限，该第一代理实体与该第一实体相连接，该第一实体和该第一代理实体均为3GPP运营商域外的非可信的功能实体。

可选地，该认证结果通知消息包括该用户设备的第一用户标识。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图20是根据一示例性实施例示出的一种认证装置的框图。示例地，该认证装置2000可以是终端设备，例如移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等；该认证装置2000也可以是服务器，，例如本地服务器或云服务器；该认证装置2000也可以是图1所示的用户设备、该认证装置2000也可以是图1所示通信系统中的任一网络实体，例如第一实体、第一代理实体、第二实体或第三实体。

参照图20，该装置2000可以包括以下一个或多个组件：处理组件2002，存储器2004，以及通信组件2006。

处理组件2002通常控制装置2000的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件2002可以包括一个或多个处理器2020来执行指令，以完成上述的认证方法的全部或部分步骤。此外，处理组件2002可以包括一个或多个模块，便于处理组件2002和其他组件之间的交互。例如，处理组件2002可以包括多媒体模块，以方便多媒体组件和处理组件2002之间的交互。

存储器2004被配置为存储各种类型的数据以支持在装置2000的操作。这些数据的示例包括用于在装置2000上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器2004可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

通信组件2006被配置为便于装置2000和其他设备之间有线或无线方式的通信。装置2000可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件2006经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件2006还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，装置2000可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述认证方法。

上述装置2000除了可以是独立的电子设备外，也可以是独立电子设备的一部分，例如在一种实施例中，该电子设备可以是集成电路(Integrated Circuit，IC)或芯片，其中该集成电路可以是一个IC，也可以是多个IC的集合；该芯片可以包括但不限于以下种类：GPU(Graphics Processing Unit，图形处理器)、CPU(Central Processing Unit，中央处理器)、FPGA(Field Programmable Gate Array，可编程逻辑阵列)、DSP(Digital Signal Processor，数字信号处理器)、ASIC(Application Specific Integrated Circuit，专用集成电路)、SOC(System on Chip，SoC，片上系统或系统级芯片)等。上述的集成电路或芯片中可以用于执行可执行指令(或代码)，以实现上述认证方法。其中该可执行指令可以存储在该集成电路或芯片中，也可以从其他的装置或设备获取，例如该集成电路或芯片中包括处理器、存储器，以及用于与其他的装置通信的接口。该可执行指令可以存储于该处理器中，当该可执行指令被处理器执行时实现上述认证方法；或者，该集成电路或芯片可以通过该接口接收可执行指令并传输给该处理器执行，以实现上述认证方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器2004，上述指令可由装置2000的处理器2020执行以完成上述认证方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

在另一示例性实施例中，还提供一种计算机程序产品，该计算机程序产品包含能够由可编程的装置执行的计算机程序，该计算机程序具有当由该可编程的装置执行时用于执行上述认证方法的代码部分。

本领域技术人员在考虑说明书及实践本公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims

一种认证方法，其特征在于，应用于用户设备，所述方法包括：

从一个或多个第一实体中，确定请求通信的目标实体；

根据所述目标实体确定第一权限请求参数；

根据所述第一权限请求参数向第一代理实体发送应用会话建立请求消息；所述应用会话建立请求消息用于指示所述第一代理实体根据所述第一权限请求参数确定所述用户设备与所述目标实体是否具有第一通信权限；所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

响应于接收到所述第一代理实体发送的应用会话建立响应消息，确定所述用户设备与所述目标实体是否具有第一通信权限；

在所述用户设备与所述目标实体具有第一通信权限的情况下，通过所述第一代理实体进行身份认证。
根据权利要求1所述的方法，其特征在于，所述根据所述目标实体确定第一权限请求参数包括：

将所述目标实体的第一目标实体标识和所述用户设备对应的密钥标识A-KID作为所述第一权限请求参数。
根据权利要求1所述的方法，其特征在于，所述第一通信权限包括以下一项或多项：

所述用户设备对所述目标实体具有访问权限；

所述用户设备对所述第一代理实体具有访问权限；

所述第一代理实体对所述目标实体具有代理权限；

所述目标实体对所述用户设备的用户标识具有获取权限。
根据权利要求1所述的方法，其特征在于，在通过所述第一代理实体进行身份认证成功之后，所述方法还包括：

与所述第一代理实体建立安全会话；

获取所述第一代理实体的代理域名和所述目标实体的第一域名；

在所述代理域名与所述第一域名相同的情况下，通过所述安全会话确定所述用户设备与所述目标实体是否具有第二通信权限；

在确定所述用户设备与所述目标实体具有第二通信权限的情况下，与所述目标实体进行通信。
根据权利要求4所述的方法，其特征在于，所述通过所述安全会话确定所述用户设备与所述目标实体是否具有第二通信权限包括：

通过所述安全会话，向所述第一代理实体发送目标实体服务请求消息；所述目标实体服务请求消息包括第二目标实体标识，所述第二目标实体标识为所述用户设备根据所述第一目标实体标识获取的受保护的实体标识，所述目标实体服务请求消息用于指示所述第一代理实体根据所述第二目标实体标识确定所述用户设备与所述目标实体是否具有第二通信权限；

响应于接收到所述第一代理实体发送的目标实体服务响应消息，确定所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求4所述的方法，其特征在于，所述第二通信权限包括以下一项或多项：

所述用户设备对所述目标实体具有访问权限；

所述第一代理实体对所述目标实体具有代理权限；

所述目标实体对所述用户设备的用户标识具有获取权限。
根据权利要求1所述的方法，其特征在于，所述响应于接收到所述第一代理实体发送的应用会话建立响应消息，确定所述用户设备与所述目标实体是否具有第一通信权限包括：

在接收到所述应用会话建立响应消息的情况下，确定所述用户设备与所述目标实体具有第一通信权限；或者，

在接收到所述应用会话建立响应消息，且所述会话建立响应消息中包含成功指示信息的情况下，确定所述用户设备与所述目标实体具有第一通信权限。
根据权利要求1至7中任一项所述的方法，其特征在于，所述第一实体包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；所述第一代理实体包括3GPP运营商域外的非可信认证代理AP实体。
一种认证方法，其特征在于，应用于第一代理实体，所述方法包括：

接收用户设备发送的应用会话建立请求消息；所述应用会话建立请求消息包括第一权限请求参数，所述应用会话建立请求消息用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

根据所述第一权限请求参数确定所述用户设备与所述目标实体是否具有第一通信权限；

在所述用户设备与所述目标实体具有第一通信权限的情况下，向用户设备发送应用会话建立响应消息，以及，对所述用户设备进行身份认证。
根据权利要求9所述的方法，其特征在于，所述第一权限请求参数包括所述目标实体的第一目标实体标识和所述用户设备对应的密钥标识A-KID。
根据权利要求9所述的方法，其特征在于，所述第一通信权限包括以下一项或多项：

所述用户设备对所述目标实体具有访问权限；

所述用户设备对所述第一代理实体具有访问权限；

所述第一代理实体对所述目标实体具有代理权限；

所述目标实体对所述用户设备的用户标识具有获取权限。
根据权利要求9所述的方法，其特征在于，所述根据所述第一权限请求参数确定所述用户设备与所述目标实体是否具有第一通信权限包括：

根据所述第一权限请求参数确定第二权限请求参数；

向第二实体发送第一密钥请求消息；所述第一密钥请求消息包括所述第二权限请求参数；所述第二实体包括提供网络开放功能的实体；

接收所述第二实体发送的第一密钥响应消息；所述第一密钥响应消息包括第一待定密钥信息，所述第一待定密钥信息为所述第二实体根据所述第二权限请求参数获取的密钥信息；

根据所述第一待定密钥信息，确定所述用户设备与所述目标实体是否具有第一通信权限。
根据权利要求12所述的方法，其特征在于，所述根据所述第一权限请求参数确定第二权限请求参数包括：

将所述第一权限请求参数和所述第一代理实体对应的代理实体标识，作为所述第二权限请求参数。
根据权利要求12所述的方法，其特征在于，所述根据所述第一待定密钥信息，确定所述用户设备与所述目标实体是否具有第一通信权限包括：

在所述第一待定密钥信息包括所述目标实体对应的实体密钥信息的情况下，确定所述用户设备与所述目标实体具有第一通信权限。
根据权利要求12所述的方法，其特征在于，在对所述用户设备进行身份认证成功的情况下，所述方法还包括：

向所述目标实体发送认证结果通知消息；所述认证结果通知消息用于指示所述目标实体与所述用户设备具有通信权限。
根据权利要求15所述的方法，其特征在于，所述向所述目标实体发送认证结果通知消息包括：

获取所述第一代理实体的代理域名和所述目标实体的第一域名；

在所述代理域名与所述第一域名不同的情况下，向所述目标实体发送认证结果通知消息。
根据权利要求15所述的方法，其特征在于，所述向所述目标实体发送认证结果通知消息包括：

在所述第一密钥响应消息中包括用户设备对应的第一用户标识的情况下，通过所述认证结果通知消息，向所述目标实体发送所述第一用户标识。
根据权利要求17所述的方法，其特征在于，所述第一用户标识为所述用户设备对应的通用公共用户标识GPSI。
根据权利要求9所述的方法，其特征在于，在对所述用户设备进行身份认证成功之后，所述方法还包括：

与所述用户设备建立安全会话；

通过所述安全会话，接收所述用户设备发送的目标实体服务请求消息；所述目标实体服务请求消息包括第二目标实体标识，所述第二目标实体标识为用户设备根据所述目标实体的第一目标实体标识获取的受保护的实体标识，所述目标实体服务请求消息为所述用户设备在确定所述第一代理实体的代理域名与所述目标实体的第一域名相同的情况下发送的消息；

根据所述第二目标实体标识确定所述用户设备与所述目标实体是否具有第二通信权限；

向所述用户设备发送目标实体服务响应消息；所述目标实体服务响应消息用于指示所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求19所述的方法，其特征在于，所述第二通信权限包括以下一项或多项：

所述用户设备对所述目标实体具有访问权限；

所述第一代理实体对所述目标实体具有代理权限；

所述目标实体对所述用户设备的用户标识具有获取权限。
根据权利要求19所述的方法，其特征在于，所述根据所述第二目标实体标识确定所述用户设备与所述目标实体是否具有第二通信权限包括：

在所述第二目标实体标识与所述第一目标实体标识相同的情况下，确定所述用户设备与所述目标实体具有第二通信权限。
根据权利要求19所述的方法，其特征在于，所述根据所述第二目标实体标识确定所述用户设备与所述目标实体是否具有第二通信权限包括：

在所述第二目标实体标识与所述第一目标实体标识不同的情况下，向第二实体发送第二密钥请求消息；所述第二密钥请求消息包括所述密钥标识A-KID、所述第二目标实体标识和所述第一代理实体对应的代理实体标识；所述第二密钥请求消息用于指示所述第二实体确定所述用户设备与所述目标实体是否具有第二通信权限；

接收所述第二实体发送的第二密钥响应消息；

根据所述第二密钥响应消息确定所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求22所述的方法，其特征在于，所述第二密钥请求消息还包括授权指示参数，所述授权指示参数用于指示所述第二实体根据所述第二密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求22所述的方法，其特征在于，在根据所述第二密钥响应消息确定所述用户设备与所述目标实体具有第二通信权限的情况下，所述方法还包括：

向所述目标实体发送认证结果通知消息；所述认证结果通知消息用于指示所述目标实体与所述用户设备具有通信权限。
根据权利要求24所述的方法，其特征在于，所述向所述目标实体发送认证结果通知消息包括：

在所述第二密钥响应消息中包括所述用户设备对应的第一用户标识的情况下，通过所述认证结果通知消息，向所述目标实体发送所述第一用户标识。
根据权利要求25所述的方法，其特征在于，所述第一用户标识为所述用户设备对应的通用公共用户标识GPSI。
根据权利要求12所述的方法，其特征在于，在所述第一待定密钥信息包括应用密钥K _AF和密钥有效时间。
根据权利要求12所述的方法，其特征在于，所述第二实体包括：网络开放功能NEF实体或业务能力开放功能SCEF实体。
根据权利要求9至28中任一项所述的方法，其特征在于，所述第一实体包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；所述第一代理实体包括3GPP运营商域外的非可信认证代理AP实体。
一种认证方法，其特征在于，应用于第二实体，所述方法包括：

接收第一代理实体发送的第一密钥请求消息；所述第一密钥请求消息包括第二权限请求参数，所述第二权限请求参数为所述第一代理实体根据所述用户设备发送的第一权限请求参数确定的参数，所述第一权限请求参数用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

根据所述第二权限请求参数获取第一待定密钥信息；

根据所述第一待定密钥信息向所述第一代理实体发送的第一密钥响应消息。
根据权利要求30所述的方法，其特征在于，所述根据所述第二权限请求参数获取第一待定密钥信息包括：

根据所述第二权限请求参数确定第三权限请求参数；

根据该第三权限请求参数向第三实体发送第三密钥请求消息；所述第三实体包括提供AKMA授权及应用密钥推演功能的实体；

接收所述第三实体发送的第三密钥响应消息；所述第三密钥响应消息包括第三待定密钥信息，所述第三待定密钥信息为所述第三实体根据所述第三权限请求参数确定所述用户设备与所述目标实体具有第一通信权限的情况下获取的密钥信息；

根据所述第三待定密钥信息，获取所述第一待定密钥信息。
根据权利要求31所述的方法，其特征在于，所述第一通信权限包括以下一项或多项：

所述用户设备对所述目标实体具有访问权限；

所述用户设备对所述第一代理实体具有访问权限；

所述第一代理实体对所述目标实体具有代理权限；

所述目标实体对所述用户设备的用户标识具有获取权限。
根据权利要求31所述的方法，其特征在于，所述第二权限请求参数包括所述用户设备对应的密钥标识A-KID、目标实体对应的第一目标实体标识和所述第一代理实体对应的代理实体标识；所述根据所述第二权限请求参数确定第三权限请求参数包括：

将所述第二权限请求参数作为所述第三权限请求参数。
根据权利要求31所述的方法，其特征在于，所述第三待定密钥信息包括所述目标实体对应的实体密钥信息；所述根据所述第三待定密钥信息，获取所述第一待定密钥信息包括：

将所述目标实体对应的实体密钥信息作为所述第一待定密钥信息。
根据权利要求34所述的方法，其特征在于，所述实体密钥信息包括应用密钥K _AF和密钥有效时间。
根据权利要求31所述的方法，其特征在于，所述第三密钥响应消息还包括所述用户设备对应的第二用户标识；所述根据所述第一待定密钥信息向所述第一代理实体发送的第一密钥响应消息包括：

根据所述第二用户标识确定第一用户标识；

根据所述第一待定密钥信息和所述第一用户标识，向所述第一代理实体发送的第一密钥响应消息。
根据权利要求36所述的方法，其特征在于，所述第一用户标识为所述用户设备对应的通用公共用户标识GPSI；所述第二用户标识为所述用户设备对应的用户永久标识SUPI。
根据权利要求30所述的方法，其特征在于，在根据所述第一待定密钥信息向所述第一代理实体发送的第一密钥响应消息之后，所述方法还包括：

接收第一代理实体发送的第二密钥请求消息；所述第二密钥请求消息为所述第一代理实体在确定在第二目标实体标识与所述目标实体对应的第一目标实体标识不同的情况下，向第二实体发送的消息；所述第二目标实体标识为所述用户设备根据目标实体的第一目标实体标识获取的受保护的实体标识；

根据所述第二密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限；

向所述第一代理实体发送的第二密钥响应消息；所述第二密钥响应消息用于通知所述第一代理实体所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求38所述的方法，其特征在于，所述第二通信权限包括以下一项或多项：

所述用户设备对所述目标实体具有访问权限；

所述第一代理实体对所述目标实体具有代理权限；

所述目标实体对所述用户设备的用户标识具有获取权限。
根据权利要求38所述的方法，其特征在于，所述第二密钥请求消息包括所述密钥标识A-KID、第二目标实体标识和所述第一代理实体对应的代理实体标识；所述根据所述第二密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限包括：

向第三实体发送第四密钥请求消息；所述第四密钥请求消息包括所述密钥标识A-KID、所述第二目标实体标识和所述代理实体标识；

接收所述第三实体发送的第四密钥响应消息；

根据所述第四密钥响应消息确定所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求40所述的方法，其特征在于，所述第二密钥请求消息和所述第四密钥请求消息均包括授权指示参数，所述授权指示参数用于指示所述第三实体根据所述第四密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求31所述的方法，其特征在于，所述第三实体包括：AKMA锚点功能AAnF实体。
根据权利要求30至42中任一项所述的方法，其特征在于，所述第一实体包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；所述第一代理实体包括3GPP运营商域外的非可信认证代理AP实体；所述第二实体包括：网络开放功能NEF实体或业务能力开放功能SCEF实体。
一种认证方法，其特征在于，应用于第三实体，所述方法包括：

接收第二实体发送的第三密钥请求消息；所述第三密钥请求消息包括第三权限请求参数，所述第三权限请求参数为所述第二实体根据第二权限请求参数确定的参数，所述第二权限请求参数为第一代理实体根据所述用户设备发送的第一权限请求参数确定的参数，所述第一权限请求参数用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

根据所述第三权限请求参数，确定所述用户设备与所述目标实体是否具有第一通信权限；

在所述用户设备与所述目标实体具有第一通信权限的情况下，获取第三待定密钥信息；

根据所述第三待定密钥信息，向所述第二实体发送第三密钥响应消息，所述第三密钥响应消息包括所述第三待定密钥信息。
根据权利要求44所述的方法，其特征在于，所述第三权限请求参数包括所述用户设备对应的密钥标识A-KID、目标实体的第一目标实体标识和所述第一代理实体对应的代理实体标识；所述根据所述第三权限请求参数，确定所述用户设备与所述目标实体是否具有第一通信权限包括以下一项或多项：

根据所述密钥标识A-KID和所述第一目标实体标识，确定所述用户设备对所述目标实体是否具有访问权限；

根据所述密钥标识A-KID和所述代理实体标识，确定所述用户设备对所述第一代理实体是否具有访问权限；

根据所述代理实体标识和所述第一目标实体标识，确定所述第一代理实体对所述目标实体是否具有代理权限；

根据所述密钥标识A-KID和所述第二目标实体标识，确定所述目标实体对所述用户设备的用户标识是否具有获取权限。
根据权利要求44所述的方法，其特征在于，所述获取第三待定密钥信息包括：

根据所述目标实体对应的实体密钥信息，获取所述第三待定密钥信息。
根据权利要求44所述的方法，其特征在于，所述根据所述第三待定密钥信息，向所述第二实体发送第三密钥响应消息包括：

在确定所述目标实体具有获取用户标识的权限的情况下，通过第三密钥响应消息，向所述第二实体发送第三待定密钥信息和所述用户设备对应的第二用户标识。
根据权利要求47所述的方法，其特征在于，所述第二用户标识为所述用户设备对应的用户永久标识SUPI。
根据权利要求44所述的方法，其特征在于，在向所述第二实体发送第三密钥响应消息之后，所述方法还包括：

接收所述第二实体发送的第四密钥请求消息；

根据所述第四密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限；

向所述第二实体发送第四密钥响应消息；所述第四密钥响应消息用于通知所述第二实体所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求49所述的方法，其特征在于，所述第四密钥请求消息包括所述密钥标识A-KID、第二目标实体标识和所述第一代理实体对应的代理实体标识，所述第二目标实体标识为所述用户设备根据目标实体的第一目标实体标识获取的受保护的实体标识；所述根据第四密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限包括以下一项或多项：

根据所述密钥标识A-KID和所述第二目标实体标识，确定所述用户设备对所述目标实体是否具有访问权限；

根据所述代理实体标识和所述第二目标实体标识，确定所述第一代理实体对所述目标实体是否具有代理权限；

根据所述密钥标识A-KID和所述第二目标实体标识，确定所述目标实体对所述用户设备的用户标识是否具有获取权限。
根据权利要求49所述的方法，其特征在于，所述第四密钥请求消息包括授权指示参数，所述授权指示参数用于指示所述第三实体根据所述第四密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求49所述的方法，其特征在于，所述向所述第二实体发送第四密钥响应消息包括：

在确定所述目标实体具有获取用户标识的权限的情况下，根据所述用户设备对应的第二用户标识，向所述第二实体发送第四密钥响应消息。
根据权利要求52所述的方法，其特征在于，所述第二用户标识为所述用户设备对应的用户永久标识SUPI。
根据权利要求49所述的方法，其特征在于，在根据所述第四密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限之前，所述方法还包括：

根据预设策略确定所述第三实体是否具有为第一代理实体服务的权限；

所述根据所述第四密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限包括：

在所述第三实体是否具有为第一代理实体服务的权限的情况下，根据所述第四密钥请求消息确定所述用户设备与所述目标实体是否具有第二通信权限。
根据权利要求44所述的方法，其特征在于，在根据所述第三权限请求参数，确定所述用户设备与所述目标实体是否具有第一通信权限之前，所述方法还包括：

根据预设策略确定所述第三实体是否具有为第一代理实体服务的权限；

所述根据所述第三权限请求参数，确定所述用户设备与所述目标实体是否具有第一通信权限包括：

在所述第三实体是否具有为第一代理实体服务的权限的情况下，根据所述第三权限请求参数，确定所述用户设备与所述目标实体是否具有第一通信权限。
根据权利要求44至55中任一项所述的方法，其特征在于，所述第一实体包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；所述第一代理实体包括3GPP运营商域外的非可信认证代理AP实体；所述第二实体包括：网络开放功能NEF实体或业务能力开放功能SCEF实体；所述第三实体包括：AKMA锚点功能AAnF实体。
一种认证方法，其特征在于，应用于第一实体，所述第一实体为一个或多个；所述方法包括：

响应于接收到第一代理实体发送的认证结果通知消息，与用户设备进行通信；所述认证结果通知消息用于指示所述目标实体与所述用户设备具有通信权限，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能。
根据权利要求57所述的方法，其特征在于，所述认证结果通知消息包括所述用户设备的第一用户标识。
根据权利要求58所述的方法，其特征在于，所述第一用户标识为所述用户设备对应的通用公共用户标识GPSI。
根据权利要求57至59中任一项所述的方法，其特征在于，所述第一实体包括：3GPP运营商域外的非可信应用功能AF实体、或者、3GPP运营商域外的非可信应用服务器SCS/AS实体；所述第一代理实体包括3GPP运营商域外的非可信认证代理AP实体。
一种认证装置，其特征在于，应用于用户设备，所述装置包括：

目标实体确定模块，被配置为从一个或多个第一实体中，确定请求通信的目标实体；

参数确定模块，被配置为根据所述目标实体确定第一权限请求参数；

第一消息发送模块，被配置为根据所述第一权限请求参数向第一代理实体发送应用会话建立请求消息；所述应用会话建立请求消息用于指示所述第一代理实体根据所述第一权限请求参数确定所述用户设备与所述目标实体是否具有第一通信权限；所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP 运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

第一消息接收模块，被配置为响应于接收到所述第一代理实体发送的应用会话建立响应消息，确定所述用户设备与所述目标实体是否具有第一通信权限；

认证模块，被配置为在所述用户设备与所述目标实体具有第一通信权限的情况下，通过所述第一代理实体进行身份认证。
一种认证装置，其特征在于，应用于第一代理实体，所述装置包括：

第一代理接收模块，被配置为接收用户设备发送的应用会话建立请求消息；所述应用会话建立请求消息包括第一权限请求参数，所述应用会话建立请求消息用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

第一代理确定模块，被配置为根据所述第一权限请求参数确定所述用户设备与所述目标实体是否具有第一通信权限；

第一代理发送模块，被配置为在所述用户设备与所述目标实体具有第一通信权限的情况下，向用户设备发送应用会话建立响应消息，以及，对所述用户设备进行身份认证。
一种认证装置，其特征在于，应用于第二实体，所述装置包括：

第二接收模块，被配置为接收第一代理实体发送的第一密钥请求消息；所述第一密钥请求消息包括第二权限请求参数，所述第二权限请求参数为所述第一代理实体根据所述用户设备发送的第一权限请求参数确定的参数，所述第一权限请求参数用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

第二密钥获取模块，被配置为根据所述第二权限请求参数获取第一待定密钥信息；

第二发送模块，被配置为根据所述第一待定密钥信息向所述第一代理实体发送的第一密钥响应消息。
一种认证装置，其特征在于，应用于第三实体，所述装置包括：

第三接收模块，被配置为接收第二实体发送的第三密钥请求消息；所述第三密钥请求消息包括第三权限请求参数，所述第三权限请求参数为所述第二实体根据第二权限请求参数确定的参数，所述第二权限请求参数为第一代理实体根据所述用户设备发送的第一权限请求参数确定的参数，所述第一权限请求参数用于指示所述第一代理实体根据第一权限请求参数确定所述用户设备与目标实体是否具有第一通信权限，所述目标实体为所述用户设备从一个或多个第一实体中确定的请求通信的实体，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能；

第三确定模块，被配置为根据所述第三权限请求参数，确定所述用户设备与所述目标实体是否具有第一通信权限；

第三密钥模块，被配置为在所述用户设备与所述目标实体具有第一通信权限的情况下，获取第三待定密钥信息；

第三发送模块，被配置为根据所述第三待定密钥信息，向所述第二实体发送第三密钥响应消息，所述第三密钥响应消息包括所述第三待定密钥信息。
一种认证装置，其特征在于，应用于第一实体，所述装置包括：

第一通信模块，被配置为响应于接收到第一代理实体发送的认证结果通知消息，与用户设备进行通信；所述认证结果通知消息用于指示所述目标实体与所述用户设备具有通信权限，所述第一实体包括3GPP运营商域外的非可信的提供应用功能的实体，所述第一代理实体包括3GPP运营商域外的非可信的提供认证功能的实体，所述第一代理实体为所述第一实体提供认证代理功能。
一种认证装置，其特征在于，所述装置包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行权利要求1至8中任一项所述方法的步骤，或者，所述处理器被配置为执行权利要求9至29中任一项所述方法的步骤，或者，所述处理器被配置为执行权利要求30至43中任一项所述方法的步骤，或者，所述处理器被配置为执行权利要求44至56中任一项所述方法的步骤，或者，所述处理器被配置为执行权利要求57至60中任一项所述方法的步骤。
一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，所述计算机程序指令被处理器执行时实现权利要求1至8中任一项所述方法的步骤，或者，所述计算机程序指令被处理器执行时实现权利要求9至29中任一项所述方法的步骤，或者，所述计算机程序指令被处理器执行时实现权利要求30至43中任一项所述方法的步骤，或者，所述计算机程序指令被处理器执行时实现权利要求44至56中任一项所述方法的步骤，或者，所述计算机程序指令被处理器执行时实现权利要求57至60中任一项所述方法的步骤。
一种芯片，其特征在于，包括处理器和接口；所述处理器用于读取指令以执行权利要求1至8中任一项所述方法的步骤，或者，所述处理器用于读取指令以执行权利要求9至29中任一项所述方法的步骤，或者，所述处理器用于读取指令以执行权利要求30至43中任一项所述方法的步骤，或者，所述处理器用于读取指令以执行权利要求44至56中任一项所述方法的步骤，或者，所述处理器用于读取指令以执行权利要求57至60中任一项所述方法的步骤。