WO2023143251A1

WO2023143251A1 - 通信方法及装置

Info

Publication number: WO2023143251A1
Application number: PCT/CN2023/072627
Authority: WO
Inventors: 吴义壮; 雷骜; 李�赫
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2022-01-30
Filing date: 2023-01-17
Publication date: 2023-08-03
Anticipated expiration: 2024-07-30
Also published as: EP4422236A1; US20240305983A1; CN116567620A; CA3239348A1; EP4422236A4; AU2023211342A1; AU2023211342B2

Abstract

本申请提供一种通信方法及装置，涉及通信领域，用以确保临近业务中继通信的安全。该方法中，通过数据管理网元提供的临近业务认证信息#1，远端终端和网络可以彼此认证对方并生成用于远端终端和中继终端通信的临近业务密钥，进一步的，远端终端设备和中继终端设备基于该临近业务密钥推演PC5连接(即远端终端和中继终端间的连接)的通信保护密钥，可以包含加密密钥和完整性保护密钥中的至少一个，以确保临近业务中继通信安全，避免出现因被攻击而导致用户信息泄露等情况。

Description

通信方法及装置

本申请要求于2022年01月30日提交国家知识产权局、申请号为202210114688.0、申请名称为“通信方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，尤其涉及一种通信方法及装置。

背景技术

在通信系统中，如果某个用户设备(user equipment，UE)1处于网络覆盖之外、或与接入网(radio access network，RAN)设备间通信信号不好、或需要其他UE协助传输数据时，UE1可以通过另一个UE(例如UE2)的辅助，从网络侧获取业务。例如，UE1与UE2在空口建立临近业务通信5(ProSe communication 5，PC5)接口连接，以通过PC5连接与网络侧通信。这种情况下，UE1可认为是临近业务(proximity based services，ProSe)远端(remote)UE，或者简称为远端UE。UE2可认为是临近业务UE到网络的中继(ProSe UE-to-network relay)，或者简称为中继UE。远端UE通过中继UE与网络侧之间的通信可以认为是ProSe中继通信。

然而，ProSe中继通信存在安全风险，容易被攻击，导致用户信息泄露。

发明内容

本申请实施例提供一种通信方法及装置，用以确保ProSe中继通信的安全，避免出现因被攻击而导致用户信息泄露等情况。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种通信方法。该通信方法包括：认证服务网元向数据管理网元发送认证请求消息#1，并接收来自数据管理网元的认证响应消息#1。认证请求消息#1用于请求认证远端终端，认证响应消息#1包括：临近业务ProSe认证信息#1，ProSe认证信息#1包括如下至少一项：用于远端终端认证网络的信息、或用于认证远端终端的信息。在远端终端认证网络通过的情况下，认证服务网元接收来自接入和移动管理网元的认证请求消息#2，该认证请求消息#2用于请求认证远端终端。如此，在认证远端终端通过的情况下，例如认证服务网元认证远端终端通过，或者认证服务网元和接入和移动管理网元都认证远端终端通过，认证服务网元向接入和移动管理网元发送认证响应消息#2。其中，认证请求消息#2用于请求认证远端终端；认证响应消息#2包括：ProSe密钥，ProSe密钥用于中继终端与远端终端的通信。

基于第一方面所述的方法可知，通过数据管理网元提供的ProSe认证信息#1，远端终端和网络可以彼此认证对方。在双方都认证通过的情况下，便可生成用于远端UE和中继UE通信的ProSe密钥，以便基于ProSe密钥推演PC5连接(即远端UE和中继UE间的连接)的通信保护密钥，例如加密密钥和完整性保护密钥，以确保ProSe中继通信安全，避免出现因被攻击而导致用户信息泄露等情况。

可选地，远端终端和中继终端可以基于ProSe密钥推演PC5连接的通信保护密钥，例如，远端终端和中继终端可以基于ProSe密钥推演一个会话密钥，然后远端终端和中继终端基于会话密钥进一步推演通信保护密钥(如加密密钥和完整性保护密钥)，本申请不限制。

一种可能的设计方案中，ProSe认证信息#1可以为如下至少一项：认证与密钥协商AKA的ProSe认证向量#1、或扩展认证协议请求EAP-AKA’的ProSe的认证向量。也就是说，远端UE与网络之间的认证可以基于对已有认证方法，例如5G AKA或EAP-AKA’增强实现，以实现在不引入新的认证方法的情况下，确保ProSe中继通信安全。

可选地，AKA的ProSe认证向量#1或EAP-AKA’的ProSe的认证向量可以包括如下至少一项：用于远端终端认证网络的信息、用于认证服务网元认证远端终端的信息、或用于确定ProSe密钥的信息。可以看出，认证向量不仅可用于远端UE与网络之间的认证，还用于确定ProSe密钥。以便AUSF网元在确定认证通过的情况下，可以根据认证向量推演ProSe密钥，无需额外获取，以提高认证效率和密钥推演效率。

可选地，在认证服务网元向数据管理网元发送认证请求消息#1之前，第一方面所述的方法还可以包括：认证服务网元接收来自接入和移动管理网元的认证请求消息#3。相应的，在认证服务网元接收来自数据管理网元的认证响应消息#1之后，在认证服务网元接收来自接入和移动管理网元的认证请求消息#2之前，第一方面所述的方法还可以包括：认证服务网元向接入和移动管理网元发送认证响应消息#3。认证响应消息#3可以包括：ProSe认证信息#2，ProSe认证信息#2包括：用于远端终端认证网络的信息。可选地，ProSe认证信息#2还可以包括：用于网络认证远端终端的信息。也就是说，ProSe中继通信的认证可以由接入和移动管理网元触发，例如在业务有需求的情况下触发，以便认证服务网元可以有针对性地执行认证，确保认证的有效性。

进一步的，ProSe认证信息#2可根据ProSe认证信息#1确定。ProSe认证信息#2可以为如下至少一项：AKA的ProSe认证向量#2、或EAP请求消息或AKA’挑战消息。例如，如果采用增强的AKA认证机制，则AKA的ProSe认证向量#2可根据AKA的ProSe认证向量#1确定，无需引入新的功能，从而降低网元复杂度。如果采用增强的EAP-AKA’认证机制，则EAP请求消息或AKA’挑战消息可根据EAP-AKA’的ProSe的认证向量确定，无需引入新的功能，从而降低网元复杂度。

进一步的，AKA的ProSe认证向量#2可以包括：用于接入和移动管理网元认证远端终端的信息。如此，AKA的ProSe认证向量#2还可用于接入和移动管理网元从服务网的角度认证远端终端，从而可以提高认证的全面性，进一步确保ProSe中继通信安全。

可选地，认证请求消息#3可用于请求认证远端终端。比如，请求认证服务网元认证远端终端，用以触发认证服务网元执行ProSe通信的认证流程，确保认证的可靠性。

进一步的，认证请求消息#3可以包括如下至少一项：远端终端的用户隐藏标识SUCI、服务网络名称、中继服务码RSC、随机值#1、或ProSe中继通信指示信息。其中，服务网络名称、RSC或ProSe中继通信指示信息中的任一项可用于指示认证为ProSe中继通信的认证，以触发认证服务网元执行ProSe通信的认证流程，确保认证的准确性和可靠性，避免对现有流程的影响。服务网络名称、RSC、或随机值#1中的任一项可用于确定ProSe密钥，以便AUSF网元在确定认证通过的情况下，可以直接根据这些参数推演ProSe密钥，无需额外获取，以提高密钥推演效率。

进一步的，在认证服务网元向接入和移动管理网元发送认证响应消息#2之前，第一方面所述的方法还可以包括：若认证请求消息#3中包括：RSC和随机值#1，则认证服务网元保存RSC和随机值#1，以便后续密钥推演时可直接使用，无需再次获取，以进一步提高密钥推演效率。

进一步的，用于确定ProSe密钥的信息包括：中间密钥。在认证服务网元向接入和移动管理网元发送认证响应消息#2之前，第一方面所述的方法还可以包括：在认证远端终端通过的情况下，认证服务网元根据如下至少一项：服务网络名称、RSC、随机值#1、随机值#2和中间密钥，确定ProSe密钥。也就是说，认证服务网元可以根据业务场景以及密钥隔离等需求，选择合适的参数来确定ProSe密钥，以适应更多业务场景。例如，根据RSC、随机值#1、随机值#2和中间密钥确定ProSe密钥。或者，根据服务网络名称、随机值#1、随机值#2和中间密钥确定ProSe密钥。其中，中间密钥也可以是根据ProSe认证向量确定的。

一种可能的设计方案中，认证请求消息#2可以包括如下至少一项：远端终端确定的认证响应信息、用于确定ProSe密钥的RSC、或用于确定ProSe密钥的随机值#1。认证响应信息用于认证远端终端。也就是说，接入和移动管理网元可以在确定远端终端认证通过的情况下，才向认证服务网元发送用于推演ProSe密钥的参数，例如RSC和/或随机值#1，从而实现按需提供必要的参数，无需预存信息，防止资源浪费。

可选地，认证响应消息#2可以包括：随机值#2。随机值#2用于确定ProSe密钥，以便远端终端在确定认证通过的情况下，可以直接根据随机值#2推演ProSe密钥，保证为远端UE的不同ProSe通信推演不同的密钥，实现密钥的隔离。

进一步地，认证响应消息#2还可以包括如下至少一项：远端终端的用户隐藏标识SUPI、或EAP成功消息。其中，EAP成功消息可以用于指示网络认证远端终端成功。该远端终端的SUPI可以用于指示中继终端需要向网络上报远端UE的信息。

一种可能的设计方案中，认证服务网元跳过推演用于远端终端与网络之间通信的密钥，以防止生成冗余的信息，造成资源的浪费。

可选地，认证请求消息#1可以包括如下至少一项：远端终端的SUCI、或ProSe中继通信指示信息。ProSe中继通信指示信息用于指示认证为ProSe中继通信的认证，以触发数据管理网元发选择ProSe中继通信对应的认证向量，确保ProSe中继通信认证的可靠性。

第二方面，提供一种通信方法。该通信方法包括：接入和移动管理网元向认证服务网元发送认证请求消息#3，并接收来自认证服务网元的认证响应消息#3。认证响应消息#3包括：ProSe认证信息#2，ProSe认证信息#2包括：用于远端终端认证网络的信息。可选地，ProSe认证信息#2还可以包括：用于网络认证远端终端的信息。如此，在远端终端认证网络通过的情况下，接入和移动管理网元向认证服务网元发送认证请求消息#2，并在认证远端终端通过的情况下，接收来自认证服务网元的认证响应消息#2，以向中继终端发送ProSe密钥。其中，认证请求消息#2用于请求认证远端终端。认证响应消息#2包括：ProSe密钥，ProSe密钥用于中继终端与远端终端的通信。

一种可能的设计方案中，ProSe认证信息#2可以为如下至少一项：AKA的ProSe认证向量#2、或EAP请求消息或AKA’挑战消息。

可选地，AKA的ProSe认证向量#2可包括如下至少一项：用于远端终端认证网络的信息、或用于接入和移动管理网元认证远端终端的信息。

可选地，EAP请求消息或AKA’挑战消息可包括：用于远端终端认证网络的信息。

一种可能的设计方案中，在接入和移动管理网元接收来自认证服务网元的认证响应消息#3之后，在接入和移动管理网元向认证服务网元发送认证请求消息#2之前，第二方面所述的方法还可以包括：接入和移动管理网元向中继终端发送用于远端终端认证网络的信息，接收来自中继终端的远端终端确定的认证响应信息，认证响应信息用于认证远端终端。其中，用于远端终端认证网络的信息可以用于指示中继终端向远端终端转发ProSe中继通信的认证数据，即用于远端终端认证网络的信息，避免中继终端执行其他操作，例如自行认证，确保ProSe中继通信认证的可靠性。

一种可能的设计方案中，在接入和移动管理网元向中继终端发送用于远端终端认证网络的信息之前，接入和移动管理网元跳过获取密钥集标识和反降级参数。或者接入和移动管理网元跳过生成密钥集标识和反降级参数。

可选地，在ProSe认证信息#2可以包括：用于接入和移动管理网元认证远端终端的信息的情况下，在接入和移动管理网元接收来自中继终端的远端终端认证响应消息之后，在接入和移动管理网元向认证服务网元发送认证请求消息#2之前，第二方面所述方法还可以包括：接入和移动管理网元根据远端终端确定的认证响应消息，以及用于接入和移动管理网元认证远端终端的信息，确定远端终端认证通过。

可选地，用于远端终端认证网络的信息和远端终端确定的认证响应信息为通过通信密钥保护的信息，通信密钥用于中继终端与网络的通信，以确保中继终端与网络之间的通信安全。例如，通信密钥为中继终端与接入和移动管理网元之间建立的非接入层安全密钥，该非接入层安全密钥可以包含加密密钥和完整性保护密钥。

可选地，认证请求消息#2可以包括如下至少一项：远端终端确定的认证响应消息、用于确定ProSe密钥的RSC、或用于确定ProSe密钥的随机值#1。该认证响应消息用于认证远端终端。

可选地，认证响应消息#2可以包括：随机值#2，随机值#2用于确定ProSe密钥。

进一步的，认证响应消息#2还可以包括如下至少一项：远端终端的SUPI、或EAP成功消息。

进一步的，在接入和移动管理网元接收来自认证服务网元的认证响应消息#2之后，第二方面所述的方法还可以包括：接入和移动管理网元向中继终端发送随机值 #2。也就是说，接入和移动管理网元可以在网络认证远端终端通过后，才向远端终端发送用于推演ProSe密钥的参数，也即随机值#2，从而实现按需提供必要的参数，无需预存信息，防止资源浪费。

一种可能的设计方案中，在接入和移动管理网元向认证服务网元发送认证请求消息#3之前，第二方面所述的方法还可以包括：接入和移动管理网元确定未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥(如KAUSF)。换言之，只有在远端终端没有执行过认证的情况下或不存在用于推演ProSe密钥的密钥，才执行ProSe中继通信的认证流程，避免因重复执行认证流程而导致资源浪费。当然，在对远端终端执行过认证的情况下，可使用认证服务网元上已有的密钥(如KAUSF)推演ProSe密钥，无需再次执行ProSe中继通信认证。

可选地，接入和移动管理网元确定未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥，可以包括：接入和移动管理网元接收来自中继终端的远端终端指示信息，远端终端指示信息用于指示远端终端未执行认证或不存在用于推演ProSe密钥的密钥。接入和移动管理网元根据远端终端指示信息，确定未对远端终端执行过ProSe中继通信的认证。

可选地，接入和移动管理网元确定未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥，可以包括：接入和移动管理网元向数据管理网元发送认证服务网元获得请求消息，并接收来自数据管理网元的认证服务网元获得响应消息。其中，认证服务网元获得请求消息用于请求认证服务网元的标识，该认证服务网元用于远端终端的ProSe中继通信认证。认证服务网元获得响应消息未携带该认证服务网元的标识，用以表示未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥。接入和移动管理网元根据认证服务网元获得响应消息，确定未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥。

可以看出，在远端终端指示其是否执行过认证的情况下或不存在用于推演ProSe密钥的密钥，接入和移动管理网元可根据远端终端的指示信息，而不用再与其他网元交互，便可确定是否执行ProSe中继通信的认证。或者，远端终端可以不指示其是否执行过ProSe中继通信的认证，由接入和移动管理网元根据数据管理网元反馈的信息确定，如此可以降低远端终端与接入和移动管理网元之间的通信开销，提高通信效率。

此外，第二方面所述的方法的其他技术效果可以参考第一方面所述的方法中的技术效果，不再赘述。

第三方面，提供一种通信方法。该通信方法包括：数据管理网元接收来自认证服务网元的认证请求消息#1，并向认证服务网元发送认证响应消息#1。认证响应消息#1包括：ProSe认证信息#1。ProSe认证信息#1包括如下至少一项：用于远端终端认证网络的信息、或用于认证远端终端的信息。

一种可能的设计方案中，ProSe认证信息#1可以为如下至少一项：AKA的ProSe认证向量#1、或EAP-AKA’的ProSe的认证向量。

可选地，AKA的ProSe认证向量#1或EAP-AKA’的ProSe的认证向量可以包括如下至少一项：用于远端终端认证网络的信息、用于认证服务网元认证远端终端的信息、或用于确定ProSe密钥的信息。

可选地，在数据管理网元接收来自认证服务网元的认证请求消息#1之前，第三方面所述的方法还可以包括：数据管理网元接收来自接入和移动管理网元的认证服务网元获得请求消息，并向接入和移动管理网元发送认证服务网元获得响应消息。其中，认证服务网元获得请求消息用于请求认证服务网元的标识，该认证服务网元用于远端终端的ProSe中继通信认证。认证服务网元获得响应消息未携带该认证服务网元的标识，用以表示未对远端终端执行过ProSe中继通信的认证。

一种可能的设计方案中，在数据管理网元向认证服务网元发送认证响应消息#1之前，第三方面所述的方法还可以包括：数据管理网元确定远端终端授权获取中继服务。也就是说，在确定远端终端有中继通信的权限的基础上，才对其进行ProSe中继通信认证，避免无效认证。

一种可能的设计方案中，在数据管理网元向认证服务网元发送认证响应消息#1之前，第三方面所述的方法还可以包括：数据管理网元根据认证请求消息#1，确定ProSe认证信息#1。

一种可能的设计方案中，在数据管理网元向认证服务网元发送认证响应消息#1之前，第三方面所述的方法还可以包括：数据管理网元确定未对远端终端执行过认证，或确定不存在用于推演ProSe密钥的密钥，或确定不存在为远端终端服务的AUSF网元。换言之，只有在远端终端没有执行过认证，或不存在用于推演ProSe密钥的密钥，或不存在为远端终端服务的AUSF网元的情况下，才执行ProSe中继通信的认证流程，避免因重复执行认证流程而导致资源浪费。当然，在对远端终端执行过认证的情况下，数据管理网元可以请求认证服务网元使用已有的密钥(如KAUSF)推演ProSe密钥，无需再次执行ProSe中继通信认证。

此外，第三方面所述的方法的其他技术效果，可以参考第一方面或第二方面所述的方法中的技术效果，不再赘述。

第四方面，提供一种通信方法。该通信方法包括：中继终端接收来自接入和移动管理网元的用于远端终端认证网络的信息，并向接入和移动管理网元发送远端终端确定的认证响应信息。远端终端确定的认证响应信息用于认证远端终端。如此，中继终端接收来自接入和移动管理网元的ProSe密钥，ProSe密钥用于中继终端与远端终端的通信。

一种可能的设计方案中，用于远端终端认证网络的信息和远端终端确定的认证响应信息为通过通信密钥保护的消息，通信密钥用于中继终端与网络的通信。例如，通信密钥为中继终端与接入和移动管理网之间建立的非接入层安全密钥，该非接入层安全密钥可以包含加密密钥和完整性保护密钥。

一种可能的设计方案中，在中继终端接收来自接入和移动管理网元的用于远端终端认证网络的信息之后，在中继终端向接入和移动管理网元发送远端终端确定的认证响应信息之前，第四方面所述的方法还可以包括：中继终端向远端终端发送用于远端终端认证网络的信息，并接收来自远端终端的远端终端确定的认证响应信息。也就是说，中继终端可以主动与远端终端交互，以确保远端终端能够认证网络，并向网络反馈自身的认证响应消息，确保网络也能够认证远端终端。

可选地，用于远端终端认证网络的信息承载在消息中，该消息的名称或携带的指示信息，可以指示需要由远端终端执行ProSe中继通信的认证流程或指示请求认证远端UE。如此，中继终端向远端终端发送用于远端终端认证网络的信息，可以包括：中继终端根据消息，向远端终端发送用于远端终端认证网络的信息，以确保ProSe中继通信认证的可靠性。例如，中继终端根据该消息的名称或消息中包含的指示信息，向远端终端发送用于远端终端认证网络的信息。

一种可能的设计方案中，在中继终端向接入和移动管理网元发送的ProSe通信认证响应消息之后，第四方面所述的方法还可以包括：中继终端接收来自接入和移动管理网元的随机值#2，并向远端终端发送随机值#2。随机值#2用于确定ProSe密钥。

此外，第四方面所述的方法的其他技术效果，可以参考第一方面或第二方面所述的方法中的技术效果，不再赘述。

第五方面，提供一种通信方法。该通信方法包括：远端终端接收来自中继终端的用于远端终端认证网络的信息。如此，在远端终端确定认证网络通过的情况下，远端终端向中继终端发送远端终端确定的认证响应信息，该认证响应信息用于认证远端终端。

一种可能的设计方案中，在远端终端向中继终端发送远端终端确定的认证响应信息之后，方法还包括：远端终端接收来自中继终端的随机值#2，以根据如下至少一项：服务网络名称、RSC、随机值#1、随机值#2和中间密钥，确定ProSe密钥，该ProSe密钥用于中继终端与远端终端的通信。

一种可能的设计方案中，在远端终端向中继终端发送远端终端确定的认证响应信息之后，方法还包括：远端终端跳过推演用于远端终端与网络通信的密钥，如跳过KSEAF的推演。

此外，第五方面所述的方法的其他技术效果，可以参考第一方面或第二方面所述的方法中的技术效果，不再赘述。

第六方面，提供一种通信装置。该通信装置包括：用于执行第一方面所述的通信方法的模块，例如接收模块和发送模块。

可选地，发送模块和接收模块也可以集成为一个模块，如收发模块。其中，收发模块用于实现第六方面所述的通信装置的发送功能和接收功能。

可选地，第六方面所述的通信装置还可以包括处理模块。其中，处理模块用于实现该通信装置的处理功能。

可选地，第六方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第一方面所述的通信方法。

需要说明的是，第六方面所述的通信装置可以是网络设备，例如认证服务网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第六方面所述的通信装置的技术效果可以参考第一方面所述的通信方法的技术效果，此处不再赘述。

第七方面，提供一种通信装置。该通信装置包括：用于执行第二方面所述的通信方法的模块，例如接收模块和发送模块。

可选地，发送模块和接收模块也可以集成为一个模块，如收发模块。其中，收发模块用于实现第七方面所述的通信装置的发送功能和接收功能。

可选地，第七方面所述的通信装置还可以包括处理模块。其中，处理模块用于实现该通信装置的处理功能。

可选地，第七方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第二方面所述的通信方法。

需要说明的是，第七方面所述的通信装置可以是网络设备，例如接入和移动管理网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第七方面所述的通信装置的技术效果可以参考第二方面所述的通信方法的技术效果，此处不再赘述。

第八方面，提供一种通信装置。该通信装置包括：用于执行第三方面所述的通信方法的模块，例如接收模块和发送模块。

可选地，发送模块和接收模块也可以集成为一个模块，如收发模块。其中，收发模块用于实现第八方面所述的通信装置的发送功能和接收功能。

可选地，第八方面所述的通信装置还可以包括处理模块。其中，处理模块用于实现该通信装置的处理功能。

可选地，第八方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第三方面所述的通信方法。

需要说明的是，第八方面所述的通信装置可以是网络设备，例如数据管理网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第八方面所述的通信装置的技术效果可以参考第三方面所述的通信方法的技术效果，此处不再赘述。

第九方面，提供一种通信装置。该通信装置包括：用于执行第四方面所述的通信方法的模块，例如接收模块和发送模块。

可选地，发送模块和接收模块也可以集成为一个模块，如收发模块。其中，收发模块用于实现第九方面所述的通信装置的发送功能和接收功能。

可选地，第九方面所述的通信装置还可以包括处理模块。其中，处理模块用于实现该通信装置的处理功能。

可选地，第九方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第四方面所述的通信方法。

需要说明的是，第九方面所述的通信装置可以是终端，例如中继终端，也可以是可设置于终端中的芯片(系统)或其他部件或组件，还可以是包含终端的装置，本申请对此不做限定。

此外，第九方面所述的通信装置的技术效果可以参考第四方面所述的通信方法的技术效果，此处不再赘述。

第十方面，提供一种通信装置。该通信装置包括：用于执行第五方面所述的通信方法的模块，例如接收模块和发送模块。

可选地，发送模块和接收模块也可以集成为一个模块，如收发模块。其中，收发模块用于实现第十方面所述的通信装置的发送功能和接收功能。

可选地，第十方面所述的通信装置还可以包括处理模块。其中，处理模块用于实现该通信装置的处理功能。

可选地，第十方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第五方面所述的通信方法。

需要说明的是，第十方面所述的通信装置可以是终端，例如远端终端，也可以是可设置于终端中的芯片(系统)或其他部件或组件，还可以是包含终端的装置，本申请对此不做限定。

此外，第十方面所述的通信装置的技术效果可以参考第五方面所述的通信方法的技术效果，此处不再赘述。

第十一方面，提供一种通信装置。该通信装置包括：处理器，该处理器用于执行第一方面至第五方面中任意一种可能的实现方式所述的通信方法。

在一种可能的设计方案中，第十一方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十一方面所述的通信装置与其他通信装置通信。

在一种可能的设计方案中，第十一方面所述的通信装置还可以包括存储器。该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储第一方面至第五方面中任一方面所述的通信方法所涉及的计算机程序和/或数据。

在本申请中，第十一方面所述的通信装置可以为第一方面、第二方面或第三方面中的网络设备，或第四方面或第五方面中的终端，或者可设置于该终端或网络设备中的芯片(系统)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十一方面所述的通信装置的技术效果可以参考第一方面至第五方面中任意一种实现方式所述的通信方法的技术效果，此处不再赘述。

第十二方面，提供一种通信装置。该通信装置包括：处理器，该处理器与存储器耦合，该处理器用于执行存储器中存储的计算机程序，以使得该通信装置执行第一方面至第五方面中任意一种可能的实现方式所述的通信方法。

在一种可能的设计方案中，第十二方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第八方面所述的通信装置与其他通信装置通信。

在本申请中，第十二方面所述的通信装置可以为第一方面、第二方面或第三方面中的网络设备，或第四方面或第五方面中的终端，或者可设置于该终端或网络设备中的芯片(系统)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十二方面所述的通信装置的技术效果可以参考第一方面至第五方面中任意一种实现方式所述的通信方法的技术效果，此处不再赘述。

第十三方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机程序，当该处理器执行该计算机程序时，以使该通信装置执行第一方面至第五方面中的任意一种实现方式所述的通信方法。

在一种可能的设计方案中，第十三方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十三方面所述的通信装置与其他通信装置通信。

在本申请中，第十三方面所述的通信装置可以为第一方面、第二方面或第三方面中的网络设备，或第四方面或第五方面中的终端，或者可设置于该终端或网络设备中的芯片(系统)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十三方面所述的通信装置的技术效果可以参考第一方面至第五方面中任意一种实现方式所述的通信方法的技术效果，此处不再赘述。

第十四方面，提供了一种通信装置，包括：处理器；该处理器用于与存储器耦合，并读取存储器中的计算机程序之后，根据该计算机程序执行如第一方面至第五方面中的任意一种实现方式所述的通信方法。

在一种可能的设计方案中，第十四方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十四方面所述的通信装置与其他通信装置通信。

在本申请中，第十四方面所述的通信装置可以为第一方面、第二方面或第三方面中的网络设备，或第四方面或第五方面中的终端，或者可设置于该终端或网络设备中的芯片(系统)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十四方面所述的通信装置的技术效果可以参考第一方面至第五方面中任意一种实现方式所述的通信方法的技术效果，此处不再赘述。

第十五方面，提供一种通信系统。该通信系统包括：第四方面或第五方面所述的一个或多个终端设备，例如中继终端和远程终端，以及第一方面、第二方面或第三方面所述一个或多个网络设备，例如认证服务网络、接入和移动管理网元和数据管理网元。

第十六方面，提供一种计算机可读存储介质，包括：计算机程序或指令；当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面至第五方面中任意一种可能的实现方式所述的通信方法。

第十七方面，提供一种计算机程序产品，包括计算机程序或指令，当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面至第五方面中任意一种可能的实现方式所述的通信方法。

附图说明

图1为5G的架构示意图；

图2为层3中继架构的架构示意图；

图3为层2中继架构的架构示意图；

图4为ProSe通信建立安全连接的流程示意图；

图5为主认证流程的流程示意图一；

图6为主认证流程的流程示意图二；

图7为本申请实施例提供的通信系统的架构示意图；

图8为本申请实施例提供的通信方法的流程示意图一；

图9为本申请实施例提供的通信方法的流程示意图二；

图10为本申请实施例提供的通信方法的流程示意图三；

图11为本申请实施例提供的通信方法的流程示意图四；

图12为本申请实施例提供的通信方法的流程示意图五；

图13为本申请实施例提供的通信方法的流程示意图六；

图14为本申请实施例提供的通信方法的流程示意图七；

图15为本申请实施例提供的通信装置的结构示意图一；

图16为本申请实施例提供的通信装置的结构示意图二。

具体实施方式

方便理解，下面先介绍本申请实施例所涉及的技术术语。

1、第五代(5th generation，5G)移动通信系统：

图1为5G系统的架构示意图，如图1所示，5G系统包括：接入网(access network，AN)和核心网(core network，CN)，还可以包括：终端。

上述终端可以为具有收发功能的终端，或为可设置于该终端的芯片或芯片系统。该终端也可以称为用户设备(uesr equipment，UE)、接入终端、用户单元(subscriber unit)、用户站、移动站(mobile station，MS)、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机(mobile phone)、蜂窝电话(cellular phone)、智能电话(smart phone)、平板电脑(Pad)、无线数据卡、个人数字助理电脑(personal digital assistant，PDA)、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machine type communication，MTC)终端、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的路边单元(road side unit，RSU)等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。

上述AN用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括：接入网设备，也可以称为无线接入网设备(radio access network，RAN)设备。

RAN设备可以是为终端提供接入的设备，主要负责空口侧的无线资源管理、服务质量(quality of service，QoS)管理、数据压缩和加密等功能。RAN设备可以包括5G，如新空口(new radio，NR)系统中的gNB，或，5G中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB、传输点(transmission and reception point，TRP或者transmission point，TP)或传输测量功能(transmission measurement function，TMF)的网络节点，如基带单元(building base band unit，BBU)，或，集中单元(centralized unit，CU)或分布单元(distributed unit，DU)、具有基站功能的RSU，或者有线接入网关，或者5G的核心网网元。或者，RAN设备还可以包括无线保真(wireless fidelity，WiFi)系统中的接入点(access point，AP)，无线中继节点、无线回传节点、各种形式的宏基站、微基站(也称为小站)、中继站、接入点、可穿戴设备、车载设备等等。或者，RAN设备可以也可以包括下一代移动通信系统，例如6G的接入网设备，例如6G基站，或者在下一代移动通信系统中，该网络设备也可以有其他命名方式，其均涵盖在本申请实施例的保护范围以内，本申请对此不做任何限定。

CN主要负责维护移动网络的签约数据，为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元：用户面功能(user plane function，UPF)网元、认证服务功能(authentication server function，AUSF)网元、接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、网络切片选择功能(network slice selection function，NSSF)网元、网络开放功能(network exposure function，NEF)网元、网络功能仓储功能(NF repository function，NRF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、应用功能(application function，AF)网元、以及网络切片和独立非公共网络(standalone non-public network，SNPN)的鉴权授权功能(network slice-specific and SNPN authentication and authorization function，NSSAAF)网元。

其中，UPF网元主要负责用户数据处理(转发、接收、计费等)。例如，UPF网元可以接收来自数据网络(data network，DN)的用户数据，通过接入网设备向终端转发该用户数据。UPF网元也可以通过接入网设备接收来自终端的用户数据，并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议(internet protocol，IP)多媒体业务(IP multi-media srvice，IMS)、互联网(internet)等。DN可以为运营商外部网络，也可以为运营商控制的网络，用于向终端设备提供业务服务。

AUSF网元可用于执行终端的安全认证。

AMF网元主要负责移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。

SMF网元主要负责移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议(internet protocol，IP)地址，选择提供报文转发功能的UPF等。

PCF网元主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略，例如服务质量(quality of service，QoS)策略、切片选择策略等。

NSSF网元可用于为终端选择网络切片。

NEF网元可用于支持能力和事件的开放。

UDM网元可用于存储用户数据，例如签约数据、鉴权/授权数据等。

AF网元主要支持与CN交互来提供服务，例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。

NSSAAF网元可用于支持切片认证和授权，以及支持使用凭据持有者的凭据访问独立非公共网络。NSSAAF网元可以通过认证、授权和计费代理(authentication，authorization，and accounting proxy，AAA-P)与认证、授权和计费服务器(authentication，authorization，and accounting server，AAA-S)交互。

SCP(Service Communication Proxy，服务通信代理)网元可用于实现网络功能之间的通信转发，还可以用于实现负载均衡和网络功能选择等。

2、近距离通信：

随着移动通信的高速发展，新业务类型，如视频聊天、虚拟现实(virtual reality，VR)/增强现实(augmented AR)等数据业务的普遍应用，提高了用户对带宽的需求。对此，近距离通信，例如设备到设备(device-to-device，D2D)通信是一种解决方案。

D2D通信允许UE之间直接进行通信，例如通过PC5接口进行通信，实现数据面和控制面的信息传输。这样，用户在小区(cell)网络的控制下便可与其他小区用户共享频谱资源，有效提高频谱资源的利用率。D2D通信包括：一对多通信(one to many communication)，以及一对一通信(One to one communication)。一对多通信通常对应于组播和广播通信，一对一通信通常对应于单播通信。在一对一通信中，若发送方UE与接收方UE在近距离范围内，通过相互发现后可以直接通信。

3、临近业务(proximity based services，ProSe)通信：

ProSe通信又称为近距离业务通信，是D2D通信中的一种典型业务场景。ProSe通信可以包含临近业务直接通信、临近业务UE到网络中继通信。针对临近业务UE到网络中继通信(可简称ProSe中继通信)，在某个UE(记为UE1)处于网络覆盖之外、或与RAN设备间的通信信号不好、或需要其他UE(记为UE2)协助传输数据的情况下，UE1可以通过UE2的辅助，从网络获取业务。此时，UE1可称为临近业务远端UE(ProSe remote UE)，或者5G临近业务远端UE(5G ProSe remote UE)，或者简称为远端UE(remote UE)。UE2可为称为临近业务UE到网络中继(ProSe UE-to-network relay)，或者5G临近业务UE到网络中继(5G ProSe UE-to-network relay)，或者简称为中继UE(relay UE)。中继UE可用于提供支持远端UE连接到网络的ProSe功能，以便远端UE可通过中继UE提供的ProSe功能与DN通信，即ProSe中继通信。

为支持ProSe功能，第三代合作伙伴计划(3rd generation partnership project，3GPP)引入了层3中继架构和层2中继架构。下面分别介绍。

图2为层3中继架构的架构示意图。如图2所示，远端UE与中继UE建立PC5 连接，中继UE通过RAN设备接入核心网(5GC)。这样，远端UE通过PC5连接，以及中继UE接入的核心网，从DN获得业务，实现ProSe通信。例如，中继UE可以建立或修改针对于远端UE的协议数据单元(protocol data unit，PDU)会话，并通知SMF网元将远端UE的相关信息存储在会话管理(session management，SM)上下文中。这样，远端UE便能够通过中继UE的PDU会话从DN获得业务，实现ProSe通信。或者，中继UE也可以建立或修改针对于远端UE的PDU会话，以便远端UE可通过该PDU会话进行密钥交换协议(internet key exchange,IKE)流程与非3GPP互通功能(non-3GPP interworking function,N3IWF)建立信令的互联网安全协议(internet protocol security，IPsec)隧道，并执行非接入层(non-access stratum，NAS)注册流程。这样，远端UE便能够通过中继UE建立的PDU会话和N3IWF建立远端UE的PDU会话，并从DN获得业务，实现ProSe中继通信。此外，中继UE可以位于家乡公共陆地移动网(public land mobile network，PLMN)，也可以位于拜访PLMN，对此不做具体限定。

图3为层2中继架构的架构示意图。如图3所示，远端UE与中继UE建立PC5连接，中继UE与RAN设备建立Uu口连接。RAN设备可以与远端UE接入的核心网连接，以及也可以与中继UE接入的核心网连接。这种情况下，远端UE与中继UE建立PC5连接后，远端UE通过建立的PC5连接与RAN建立无线资源连接，进一步与核心网建立非接入层(non-stradum,NAS)连接，从而可以建立PDU会话，从DN获取业务，实现ProSe中继通信。例如，远端UE可通过中继UE接入网络并建立或修改远端UE自身的PDU会话，以通过该PDU会话从DN获得业务，实现ProSe中继通信。此外，远端UE接入的核心网与中继UE接入的核心网可以是相同的PLMN，或者不同的PLMN，对此不做具体限定。

需要说明的是，在层2中继架构中，远端UE可以称为5G ProSe层2远端UE、ProSe层2远端UE、或层2远端UE。类似的，在层3中继架构中，远端UE可以称为5G ProSe层3远端UE、ProSe层3远端UE、或层3远端UE。下文提到的远端UE可以理解为层2中继架构或层3中继架构中的远端UE，其命名也可以相应替换。同理，在层2中继架构中，中继UE可以称为5G ProSe层2中继UE、ProSe层2中继UE、或层2中继UE。类似的，在层3中继架构中，中继UE可以称为5G ProSe层3中继UE、ProSe层3中继UE、或层3中继UE。在没有特别说明的情况下，下文提到的中继UE可以理解为层2中继架构或层3中继架构中的中继UE，其命名也可以相应替换。

4、ProSe中继通信的安全：

为确保ProSe中继通信的安全，远端UE与中继UE之间应当建立安全的PC5连接。图4为建立安全的ProSe中继通信的流程示意图，如图4所示，该流程包括如下步骤：

S401，远端UE注册到网络，并与网络之间执行认证和授权。

S402，中继UE注册到网络，并与网络之间执行认证和授权。

需要指出的是，远端UE可以通过服务远端UE的AMF网元(记为远端AMF网元)注册到网络。中继UE可以通过服务中继UE的AMF网元(记为中继AMF网元)注册到网络。远端AMF网元与中继AMF网元可以是相同的网元，或者不同的网元，对此不做具体限定。

S403，远端UE执行中继发现流程。

远端UE若要采用ProSe中继通信，则通过执行中继发现流程来发现中继UE。

S404，远端UE向中继UE发送直接通信请求(direct communication request)消息。相应的，中继UE接收来自远端UE的直接通信请求消息。

直接通信请求消息可用于远端UE请求与中继UE通信。直接通信请求消息可包括远端UE的如下参数：安全能力、安全策略、用户隐藏标识(subscription concealed identifier，SUCI)、中继通信码(relay service code，RSC)、以及Nonce_1。其中，安全能力用于指示远端UE支持的加密和/或完整性保护算法。安全策略用于指示是否开启安全保护，其中安全保护包含加密保护和/或完整性保护示。例如安全策略可以包含加密为必须的或推荐的或不需要的；和/或完整性保护为必须的，或推荐的或不需要的。RSC用于标识中继UE可为远端UE提供的一个连接服务。Nonce_1为由远端UE生成的随机数，用于推演远端UE和中继UE之间安全通信的密钥K_{NR_ProSe}。远端UE和中继UE基于K_{NR_ProSe}生成用于通信的安全密钥，如加密密钥和/或完整性密钥。

S405，中继UE向中继AMF网元发送中继密钥请求(relay key request)消息。相应的，中继AMF网元接收来自中继UE向的中继密钥请求消息。

中继密钥请求消息主要用于中继UE请求中继通信，或者说请求ProSe通信的密钥。中继密钥请求消息可以包括：中继UE的标识、远端UE的SUCI、RSC、以及Nonce_1。

S406，中继AMF网元验证中继UE。

中继AMF网元根据中继UE的标识验证中继UE，以确定中继UE授权作为中继提供服务。

S407，中继AMF网元向远端AUSF网元发送UE认证请求(Kausf_UEAuthentication_Authenticate Request)消息。相应的，远端AUSF网元接收来自中继AMF网元的UE认证请求消息。

其中，UE认证请求消息可以包括：远端UE的SUCI、RSC、以及Nonce_1。

S408，远端AUSF网元执行UE认证获得(Nudm_UEAuthentication_Get)流程。

远端AUSF网元可以根据UE认证请求消息，执行UE认证获得流程，以从远端UDM网元获得认证向量。远端UDM网元可以是服务远端UE的UDM网元。

S409，远端AUSF网元执行针对远端UE的主认证流程(Primary authentication of Remote UE)。

S410，远端UE确定5GPRUK和5GPRUK ID。

远端UE通过主认证流程认证网络通过后，可以确定5GPRUK和5GPRUK ID。例如，远端UE可根据主认证流程中推演得到的密钥，例如K_AUSF推演得到5GPRUK和5GPRUK ID。5GPRUK用于推演远端UE和中继UE之间安全通信的密钥。5GPRUK ID用于定位5GPRUK。

S411，远端AUSF网元确定5GPRUK和5GPRUK ID。

远端AUSF网元通过主认证流程认证远端UE通过后，也可以确定5GPRUK和5GPRUK ID。例如，远端AUSF网元也可根据主认证流程中推演得到的密钥，例如K_AUSF推演得到5GPRUK和5GPRUK ID。此外，S411与S410的执行顺序不限定。

S412，远端AUSF网元推演K_{NR_ProSe}。

远端AUSF网元通过主认证流程认证远端UE通过后，可根据5GPRUK、Nonce_1和Nonce_2推演K_{NR_ProSe}。Nonce_2为由远端AUSF网元生成的随机数。

S413，远端AUSF网元向中继AMF网元发送UE认证响应(Nausf_UEAuthentication_Authenticate response)消息。相应的，中继AMF网元接收来自远端AUSF网元的UE认证响应消息。

UE认证响应消息为UE认证请求消息的响应消息，用于指示ProSe通信认证通过。UE认证响应消息可以包括：K_{NR_ProSe}、5GPRUK ID、以及Nonce_2。

S414，中继AMF网元向中继UE发送中继密钥响应(Relay Key Response)消息。相应的，中继UE接收来自中继AMF网元的中继密钥响应消息。

其中，中继密钥响应消息主要用于为中继UE配置K_{NR_ProSe}。中继密钥响应消息可以包括：K_{NR_ProSe}、5GPRUK ID、以及Nonce_2。

S415，中继UE向远端UE发送直接安全模式命令(direct security mode commend)消息。相应的，远端UE接收来自中继UE的直接安全模式命令消息。

直接安全模式命令消息用于指示远端UE确定K_{NR_ProSe}。直接安全模式命令消息可以包括：5GPRUK ID、以及Nonce_2。

S416，远端UE推演K_{NR_ProSe}。

远端UE在接收到直接安全模式命令消息后，可以根据5GPRUK ID定位用于建立PC5连接的5GPRUK，从而根据5GPRUK、Nonce_1和Nonce_2推演K_{NR_ProSe}。

S417，远端UE向中继UE发送直接安全模式命令完成(direct security mode commend complete)消息。相应的，远端UE接收来自中继UE的直接安全模式命令完成消息。

可以看出，3GPP大致定义了ProSe通信的安全流程，即需要通过主认证流程来对ProSe通信进行认证，并在认证通过后推演K_{NR_ProSe}，以确保ProSe通信安全。方便理解，下面介绍主认证流程。

图5为3GPP中主认证流程的流程示意图一，如图5所示，该流程包括如下步骤：

S501，UE向安全锚点功能(security anchor function，SEAF)发送N1消息。相应的，SEAF接收来自UE的N1消息。

SEAF可以部署在AMF网元或者其他任何可能的网元上，或者独立部署，对此不做具体限定。N1消息可以是注册请求(register request)消息，用于UE请求注册到网络。N1消息中可以包括：UE的标识，例如，SUCI，或者5G-全球唯一临时UE标识(globally unique temporary UE identity，GUTI)。

S502，SEAF向AUSF网元发送UE认证请求(Nausf_UEAuthentication_Authenticate Request)消息。相应的，AUSF网元接收来自SEAF的UE认证请求消息。

UE认证请求消息用于请求AUSF网元执行认证流程。UE认证请求消息中可以包括：SUCI或用户永久标识(subscription permanent identifier，SUPI)、服务网络名称(service network name，SN-name)。

其中，SEAF接收到N1消息后，可确定5G-GUTI有效，且需要重新认证UE。那么，SEAF应当在UE认证请求消息中携带SUPI，否则应当携带SUCI。

S503，AUSF网元向UDM网元发送UE认证获得请求(Nudm_UEAuthentication_Get Request)消息。相应的，UDM网元接收来自AUSF网元UE认证获得请求消息。

UE认证获得请求消息用于请求UDM网元生成认证向量，以便后续认证使用。UE认证获得请求消息中可以包括：SUCI或SUPI、服务网络名称。

其中，AUSF网元接收到UE认证请求消息后，可验证服务网络名称，例如将UE认证请求消息中携带的服务网络名称与预期的服务网络名称比较。如果UE认证请求消息中携带的服务网络名称与预期的服务网络名称匹配，则AUSF网元确定SEAF有权使用该服务网络名称，向UDM网元发送UE认证获得请求消息。如果UE认证请求消息中携带的服务网络名称与预期的服务网络名称不匹配，则AUSF网元确定SEAF无权使用该服务网络名称，流程结束，并向SEAF发送消息，用以指示该服务网络未授权。

S504，UDM网元选择认证方式。

如果UE认证获得请求消息中携带的是SUCI，则UDM网元可以调用用户隐藏标识解密功能(subscription identifier de-concealing function，SIDF)解析SUCI，获得SUPI。UDM网元，或者UDM网元可以调用认证凭证存储和处理功能(authentication credential repository and processing function，ARPF)根据SUPI选择签约用户数据里支持的认证方法。该流程中UDM网元/ARPF确定选择5G认证与密钥协商(authentication and key agreement，AKA)机制。

S505，UDM网元生成认证向量。

UDM网元/ARPF可以生成5G AKA机制对应的认证向量，例如5G家乡环境认证向量(5G home environment authentication vector，5G HE AV)。认证向量可以包括：随机数(RAND)、认证令牌(authentication token，AUTN)、XRES*和K_AUSF。其中，RAND和AUTN用于UE认证网络。XRES*可用于AUSF网元认证UE。K_AUSF可用于保护发送给的UE的信息，还可用于密钥推演，以获得后续用于通信的密钥，例如K_AMF。XRES*和K_AUSF可由根密钥和RAND推演得到。

具体的，UDM网元/ARPF可以生成一些参数，包括：消息验证码(MAC)、期待的响应(XRES)、加密密钥(CK)、完整性密钥(IK)、以及匿名密钥(AK)。MAC由序列号(SQN)、RAND、AMF和根密钥经f1算法计算得到。XRES由RAND和根密钥经算法f2计算得到。CK由根密钥和RAND经f3算法计算得到。IK由根密钥和RAND经f4算法计算得到。AK由根密钥和RAND经f5算法计算得到。在此基础上，UDM网元/ARPF可以得到AUTN，AUTN包括：AK与SQN异或(SQN异或AK)与AMF和MAC串联 UDM网元/ARPF可以根据XRES和RAND推演XRES*,推演的过程中还使用下面参数，如服务网络名称、服务网络名称的长度，RAND的长度。UDM网元/ARPF还可以根据IK和CK推演K_AUSF。至此，认证向量包含的参数均被推演出，也即生成认证向量。

S506，UDM网元向AUSF网元发送UE认证获得响应(Nudm_UEAuthentication_Get Response)消息。相应的，AUSF网元接收来自UDM网元的UE认证获得响应消息。

其中，UE认证获得响应消息为上述UE认证获得请求消息的响应消息。UE认证获得响应消息中可以包括：认证向量和指示信息，该指示信息用以指示该认证向量用于5G AKA。可选地，如果UE认证获得请求消息中携带的是SUCI，则UE认证获得响应消息中还可以包括：SUPI。

S507，AUSF网元储存XRES*，推演HXRES*以及K_SEAF。

AUSF网元接收到UE认证获得响应消息后，可储存XRES*，或者XRES*和SUPI，以便后续认证使用。AUSF网元可根据XRES*推演HXRES*，该HXRES*可用于SEAF认证UE。AUSF网元还可根据K_AUSF推演K_SEAF，该K_SEAF可用于SEAF的密钥推演，以获得K_AMF。

S508，AUSF网元向SEAF发送UE认证响应(Nausf_UEAuthentication_Authenticate Response)消息。相应的，SEAF接收来自AUSF网元的UE认证响应消息。

UE认证响应消息为上述UE认证请求消息的响应消息。UE认证响应消息中可以包括：认证向量，例如5G服务环境认证向量(5G serving environment authentication vector，5G SE AV)。认证向量可以包括：RAND、AUTN、以及HXRES*。也就是说，AUSF网元将认证向量中的XRES*替换为HXRES*，并移除认证向量中的KAUSF，得到认证向量。

S509，SEAF向UE发送认证请求(authenticate request)消息。相应的，UE接收来自SEAF的认证请求消息。

认证请求消息可以是NAS消息，用于请求UE认证网络。认证请求消息可以包括：RAND、AUTN、5G密钥集标识(key set identifier in 5G，ngKSI)、以及不同架构之间的反降级(anti-bidding down between architectures，ABBA)参数。ngKSI可以由SEAF确定，用于UE和AMF网元标识KAMF和部分原生安全上下文。ABBA参数可以由SEAF确定，用于推演K_AMF。

S510，UE推演RES*。

RES*用于认证UE。

其中，UE可以包括：移动设备(mobile equipment，ME)和全球用户识别卡(universal subscriber identity module，USIM)。UE接收到认证请求消息后，USIM可根据RAND和自身的根密钥，验证AUTN。如果USIM验证AUTN失败，则表示UE认证网络失败，流程结束。如果USIM验证AUTN通过，则表示UE认证网络通过。在此基础上，USIM可以利用根密钥和RAND推演RES、以及CK和IK，并向ME发送RES、以及CK和IK。ME可以根据CK和IK推演K_AUSF，再根据K_AUSF推演K_SEAF。ME还可以根据RES推演RES*，然后执行S511。

S511，UE向SEAF发送认证响应(authenticate response)消息。相应的，SEAF接收来自UE的认证响应消息。

认证响应消息可以是NAS消息，用于响应上述认证请求消息。认证响应消息中可以包括：RES*。

S512，SEAF认证UE。

SEAF接收到认证响应消息后，可根据RES*推演HRES*，以比较HRES*和先前获得的HXRES*。如果HRES*和HXRES*不匹配，则表示认证UE失败，认证流程结束。如果HRES*和HXRES*匹配，则表示认证UE通过，或者说从服务网的角度认为认证通过，然后执行S513。

S513，SEAF向AUSF网元发送UE认证请求消息。相应的，AUSF网元接收来自SEAF的UE认证请求消息。

UE认证请求消息用于请求认证UE。UE认证请求消息中可以包括：RES*。

S514，AUSF网元认证UE。

AUSF网元接收到UE认证请求消息后，可比较RES*与先前保存的XRES*。如果RES*和XRES*不匹配，则表示认证UE失败，流程结束。如果RES*和XRES*匹配，则表示认证UE通过，或者说从归属网的角度认为认证通过，然后执行S515。AUSF网元还可以根据本地网络运营商的策略确定存储K_AUSF。

S515，AUSF网元向SEAF发送UE认证响应消息。相应的，SEAF接收来自AUSF网元的UE认证响应消息。

UE认证响应消息为UE认证请求消息的响应消息，用于指示认证UE通过。UE认证响应消息中可以包括：K_SEAF。可选地，如果UE认证请求消息中携带的是SUCI，则UE认证响应消息中还可以包括：SUPI。其中，SEAF接收到UE认证响应消息后，可根据K_SEAF、ABBA参数、以及SUPI，推演K_AMF，并向AMF网元发送ngKSI和K_AMF。

如果UE认证请求消息中携带的是SUCI，即SUCI用于此认证，则SEAF应当在接收到UE认证响应消息后，即包含SUPI的UE认证响应消息，才向AMF网元提供ngKSI和K_AMF，以便在此之前，服务网不会为UE提供通信服务。

另外，UE在确定认证通过后，也可根据K_SEAF、ABBA参数、以及SUPI自行推演K_AMF。至此，UE和AMF网元都获得了相同的密钥，即K_AMF，双方可使用该密钥进一步推演加密密钥和/或完整性保护密钥，并使用推演的密钥用对UE与AMF网元之间的信息进行安全保护，保证通信安全。

图6为3GPP中主认证流程的流程示意图二，如图6所示，该流程包括如下步骤：

S601，UE向SEAF发送N1消息。相应的，SEAF接收来自UE的N1消息。

S602，SEAF向AUSF网元发送UE认证请求消息。相应的，AUSF网元接收来自SEAF的UE认证请求消息。

S603，AUSF网元向UDM网元发送UE认证获得请求消息。相应的，UDM网元接收来自AUSF网元UE认证获得请求消息。

其中，S601-S603的具体实现原理与上述S501-S503类似，可参考理解，不再赘述。

S604，UDM网元选择认证方式。

如果UE认证请求消息中携带的是SUCI，则UDM网元可以调用SIDF解析SUCI，获得SUPI。UDM网元，或者UDM网元可以调用ARPF根据SUPI选择签约用户数据里支持的认证方法。该流程中UDM网元/ARPF确定选择扩展认证协议(extensible authentication protocol，EAP)-AKA’机制。

S605，UDM网元生成认证向量。

UDM网元/ARPF可以生成EAP-AKA’机制对应的认证向量，例如转换的认证向量AV’(transformed authentication vector)。认证向量可以包括：RAND、AUTN、XRES、以及CK’和IK’。其中，RAND、AUTN和XRES的具体实现原理可以参考上述S505中的相关介绍，不再赘述。CK’和IK’可由根密钥和RAND推演得到。例如，UDM网元/ARPF推演出CK和IK，再根据CK和IK推演CK’和IK’。CK和IK的具体实现原理可以参考上述S505中的相关介绍，不再赘述。

S606，UDM网元向AUSF网元发送UE认证获得响应消息。相应的，AUSF网元接收来自UDM网元的UE认证获得响应消息。

其中，UE认证获得响应消息用于响应上述UE认证获得请求消息。UE认证获得响应消息中可以包括：认证向量和指示信息，该指示信息用以指示该认证向量用于EAP-AKA’。可选地，如果UE认证获得请求消息中携带的是SUCI，则UE认证获得响应消息中还可以包括：SUPI。

S607，AUSF网元向SEAF发送UE认证响应消息。相应的，SEAF接收来自AUSF网元的UE认证响应消息。

UE认证响应消息用于响应上述UE认证请求消息。UE认证响应消息中可以包括：EAP请求(EAP-Request)消息/AKA’挑战(AKA'-Challenge)消息。EAP请求消息/AKA’挑战消息可以是根据UE认证获得响应消息确定的，消息中包括：RAND和AUTN。

S608，SEAF向UE发送认证请求消息。相应的，UE接收来自SEAF的认证请求消息。

认证请求消息可以是NAS消息，用于请求UE认证网络。认证请求消息中可以包括：EAP请求消息/AKA’挑战消息。也就是说，SEAF接收到UE认证响应消息后，可以将UE认证响应消息中的EAP请求消息/AKA’挑战消息继续封装到认证请求消息中，以向UE透传该EAP请求消息/AKA’挑战消息。此外，SEAF的认证请求消息中还可以包括：ngKSI、以及ABBA参数。ngKSI和ABBA参数的具体实现原理与上述S509中类似，可参考理解，不再赘述。此外，在EAP-AKA’认证过程中，SEAF向UE发送的ngKSI值和ABBA参数不能更改。

S609，UE推演RES。

RES用于认证UE。

UE可以包括：ME和USIM。UE接收到认证请求消息后，USIM可根据RAND和自身的根密钥，验证AUTN。如果USIM验证AUTN失败，则表示UE认证网络失败，认证流程结束。如果USIM验证AUTN通过，则表示UE认证网络通过。在此基础上，USIM可以利用根密钥和RAND，推演RES、以及CK和IK，并向ME发送RES、以及CK和IK。ME可以根据CK和IK推演CK’和IK’。

S610，UE向SEAF发送认证响应消息。相应的，SEAF接收来自UE的认证响应消息。

认证响应消息可以是NAS消息，用于响应上述认证请求消息。认证响应消息中可以包括：EAP响应(EAP-response)消息/AKA’挑战消息。EAP响应消息/AKA’挑战消息中可以包括：RES。

S611，SEAF向AUSF网元发送UE认证请求消息。相应的，AUSF网元接收来自SEAF的UE认证请求消息。

UE认证请求消息用于请求认证UE。UE认证请求消息中可以包括：EAP响应消息/AKA’挑战消息。也就是说，SEAF接收到认证响应消息后，可以将认证响应消息中的EAP响应消息/AKA’挑战消息继续封装到UE认证请求消息中，以向AUSF网元透传该EAP响应消息/AKA’挑战消息。

S612，AUSF网元认证UE。

AUSF网元接收到UE认证请求消息后，可将EAP响应消息/AKA’挑战消息中的RES与本地保存的XRES比较。如果RES和XRES不匹配，则表示认证UE失败，认证流程结束。如果RES和XRES匹配，则表示认证UE通过，然后执行S614。

S613，AUSF网元向SEAF发送UE认证响应消息。相应的，SEAF接收来自AUSF网元的UE认证响应消息。

UE认证响应消息为UE认证请求消息的响应消息。UE认证响应消息中可以包括：EAP成功(EAP success)消息，用以指示认证通过，以及还可以包括：K_SEAF。可选地，如果UE认证请求消息中携带的是SUCI，则UE认证响应消息中还可以包括：SUPI。可以理解，AUSF网元确定认证通过后，可根据CK’和IK’推演EMSK，根据EMSK确定K_SEAF，具体的，AUSF网元确定EMSK的前256位作为K_AUSF，然后根据K_AUSF推演K_SEAF。相应的，SEAF接收到UE认证响应消息后，可根据K_SEAF、ABBA参数、以及SUPI，推演K_AMF，并向AMF网元发送ngKSI和K_AMF。

需要指出的是，如果UE认证请求消息中携带的是SUCI，即SUCI用于认证，则SEAF应当在接收到UE认证响应消息后，即包含SUPI的UE认证响应消息，才向AMF网元提供ngKSI和K_AMF，以便在此之前，服务网不会为UE提供通信服务。

S614，SEAF向UE发送N1消息。相应的，UE接收来自SEAF的N1消息。

N1消息中可以包括：EAP成功消息、ngKSI和ABBA参数。这样，UE在确定认证通过后，也可根据K_SEAF、ABBA参数、以及SUPI自行推演K_AMF。至此，UE和AMF网元都获得了相同的密钥，即K_AMF，双方可使用该密钥进一步推演加密密钥和/或完整性保护密钥，并使用推演的密钥用对UE与AMF网元之间的信息进行安全保护，保证通信安全。

如图5和图6所示，以上介绍了目前3GPP定义的主认证流程。该主认证流程主要定义了UE和网络如何执行认证并建立相同的密钥，如K_AMF。如图4基于主认证流程的ProSe中继通信流程，有两个UE，包括：远端UE和中继UE。这种情况下， AUSF网元使用主认证流程认证ProSe中继通信场景下的远端UE，根据现有流程AUSF网络在认证过程中可以为远端UE存储K_AUSF，推演用于UE和网络安全通信的K_SEAF。但在中继通信场景下，远端UE并不会与中继AMF网元建立非接入层连接，也不会通过中继AMF网元注册到网络，因此无需建立UE与网络之间的安全上下文。并且中继通信场景下，需要建立的是远端UE和中继UE的安全通信，即需要为中继UE推演需要的密钥，现有认证流程无法支持AUSF网元实现该功能。此外，中继通信场景下，远端UE与网络之间的认证流程是通过中继UE和中继AMF执行，在中继UE接收到认证请求时，根据现有的流程，中继UE会解析认证请求，并执行网络验证，由于认证参数是基于远端UE的根密钥确定，中继UE验证网络会失败，导致流程终结，导致无法建立通信连接。

综上，针对上述技术问题，本申请实施例提出了如下技术方案，用以实现建立安全的ProSe中继通信。下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如无线保真(wireless fidelity，WiFi)系统，车到任意物体(vehicle to everything，V2X)通信系统、设备间(device-todevie，D2D)通信系统、车联网通信系统、第4代(4th generation，4G)移动通信系统，如长期演进(long term evolution，LTE)系统、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)移动通信系统，如新空口(new radio，NR)系统，以及未来的通信系统，如第六代(6th generation，6G)移动通信系统等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例的”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例中，“信息(information)”，“信号(signal)”，“消息(message)”，“信道(channel)”、“信令(singaling)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是匹配的。“的(of)”，“相应的(corrEAPonding，relevant)”和“对应的(corrEAPonding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是匹配的。此外，本申请提到的“/”可以用于表示“或”的关系。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图7中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性的，图7为本申请实施例提供的通信方法所适用的一种通信系统的架构示意图。

如图7所示，该通信系统可以适用于上述5G架构下的中继架构(层2中继架构或者层3中继架构)，主要包括：远端UE、中继UE、AMF网元、AUSF网元、以及UDM网元。其中，远端UE、中继UE、AMF网元、AUSF网元、以及UDM网元的相关功能，可以参考上述1、5G移动通信系统、2、近距离通信、以及3、ProSe通信中的相关介绍，不再赘述。在本申请实施例的通信系统中，远端UE通过中继UE接入后，可触发AUSF网元对远端UE进行认证并建立安全通信。

下面将结合图8-图14，通过方法实施例具体介绍远端UE、中继UE、AMF网元、AUSF网元、以及UDM网元之间的交互流程。为方便理解，下面先介绍本申请实施例主要所涉及的一些信元，如下表1所示。

表1

下面介绍本申请实施例所应用的各种场景。

场景1：

示例性的，图8为本申请实施例提供的通信方法的流程示意图一。该通信方法主要适用于远端UE、中继UE、AMF网元、AUSF网元、以及UDM网元之间的通信。AMF网元可以包括：中继AMF网元和远端AMF网元，二者可以是同一或不同的AMF网元，对此不做具体限定。AUSF网元可以是远端AUSF网元，如AUSF网元是根据远端UE的标识确定的，用于支持对远端UE的认证，或者也可以其他任何可能形态的AUSF网元，对此不做具体限定。UDM网元可以是远端UDM网元，如该UDM网元是根据远端UE的标识确定的，用于为远端UE生成认证向量，或者也可以其他任何可能形态的UDM网元，对此不做具体限定。在场景1中，UDM根据来自的AUSF网元的请求确定基于5G AKA建立安全的ProSe中继通信(也可以称为ProSe中继通信的5G AKA流程，简称5G ProSe AKA)。在增强的5G AKA的认证流程中，AMF网元、AUSF网元与UDM网元之间可通过使用已经服务操作(即service operation)进行交互。

具体的，如图8所示，该通信方法的流程如下：

S801，远端UE注册到网络，从网络获取ProSe通信策略信息。

S802，中继UE注册到网络，从网络获取ProSe通信策略信息。

其中，ProSe通信策略信息用于支持UE执行ProSe直接发现、建立ProSe直接通信、执行ProSe中继UE发现、建立中继通信连接中的一个或多个服务。S801为可选步骤，即在执行中继通信流程中之前，远端UE可以执行S801，获得ProSe通信策略信息，并基于该ProSe通信策略信息执行中继发现和建立直接通信连接。或者，在执行中继通信流程中之前，远端UE未接入网络获取ProSe通信策略信息，则远端UE基于本地预配置的ProSe通信策略信息执行中继发现和建立直接通信连接。

S803，远端UE执行中继发现流程。

远端UE若要采用ProSe中继通信，可通过执行中继发现流程来发现中继UE。

S804，远端UE向中继UE发送直接通信请求消息。相应的，中继UE接收来自远端UE的直接通信请求消息。

直接通信请求消息可用于远端UE请求与中继UE通信，包括：远端UE的SUCI、RSC、以及Nonce_1。

S805，中继UE向中继AMF网元发送中继密钥请求消息。相应的，中继AMF网元接收来自中继UE的中继密钥请求消息。

中继密钥请求消息主要用于中继UE请求中继通信的密钥，或者说请求ProSe中继通信的密钥，请求包括：远端UE的SUCI、RSC、以及Nonce_1。可选的，中继密钥请求消息中还可以包括：中继UE的标识，如5G GUTI。

S806，中继AMF网元验证中继UE。

具体的，中继AMF网元可根据来自UDM网元的中继UE的签约信息，判断中继UE是否授权作为中继提供服务。

其中，S803-S806的具体实现原理与上述S403-S406类似，可参考理解，不再赘述。

S807，中继AMF网元向AUSF网元发送UE认证请求消息#1。相应的，AUSF网元接收来自中继AMF网元的UE认证请求消息#1。

中继AMF网元可根据远端UE的SUCI选择AUSF网元，如中继AMF网元与NRF网元交互确定服务的AUSF网元，或者根据本地存储的AUSF网元信息确定服务的AUSF网元。如此，中继AMF网元可根据来自中继UE的中继密钥请求消息，确定向被选中的AUSF网元发送UE认证请求消息#1。例如，中继AMF网元可以根据消息名称，确定向AUSF网元发送UE认证请求消息#1。

UE认证请求消息#1可以为Kausf_UEAuthentication_Authenticate Request消息。UE认证请求消息#1可以用于请求触发建立ProSe中继通信安全的认证流程(简称为触发ProSe认证)，以保证AUSF推演用于保护中继通信安全的密钥，避免AUSF执行错误的流程。该ProSe的认证用于远端UE通过中继UE与网络执行双向认证，并建立远端UE和中继UE之间安全通信的密钥。UE认证请求消息#1包含远端UE的SUCI，服务网络名称，还可以包括如下至少一项：RSC、Nonce_1或ProSe中继通信指示信息#1(例如，ProSe ind)。RSC或Nonce_1或ProSe中继通信指示信息#1或者服务网络名称都可用于指示请求的是ProSe认证，或者说指示认证用于认证远端UE。也就是说，UE认证请求消息#1可以通过其携带的信元来指示请求触发ProSe认证。该信元可以是新的信元或者已有信元，针对已有信元，可以通过使用新的值来指示。

具体的，一种可能的方式中，UE认证请求消息#1中可以包括：远端UE的SUCI、服务网络名称、以及ProSe中继通信指示信息#1，以通过ProSe中继通信指示信息#1其用于请求或者说用于触发ProSe认证。在此基础上，中继AMF网元可以在后续确定远端UE认证通过的情况下，再向AUSF网元发送RSC和Nonce_1，以使AUSF网元推演中继通信密钥，例如ProSe密钥。

或者，另一种可能的方式中，UE认证请求消息#1中可以包括：远端UE的SUCI、RSC、Nonce_1、以及服务网络名称，以通过RSC和/或Nonce_1指示其用于请求ProSe认证。

或者，又一种可能的方式中，UE认证请求消息#1中可以包括：远端UE的SUCI、服务网络名称、RSC、Nonce_1、以及ProSe中继通信指示信息#1，以通过显示的ProSe中继通信指示信息#1请求ProSe认证。

上述三种可能的方式中，服务网络名称可以为5G:SN ID或5G:ProSe或者5G:ProSe||SN ID。

或者，再一种可能的方式中，UE认证请求消息#1中可以包括：远端UE的SUCI、服务网络名称、RSC、Nonce_1。服务网络名称设置为5G:ProSe5G或者ProSe||SN ID，AUSF网元可根据该特定的服务网络名称确定为ProSe认证。

或者，还一种可能的方式中，UE认证请求消息#1中可以包括：远端UE的 SUCI、服务网络名称。服务网络名称设置为5G:ProSe或5G:ProSe||SN ID，AUSF网元可根据该特定的服务网络名称确定为ProSe认证。这种方式中，中继AMF网元在接收到下述的ProSe通信认证响应消息后，再向AUSF网元发送RSC和Nonce_1，以使AUSF网元推演ProSe密钥。

此外，若AUSF网元接收了来自AMF网元的RSC和Nonce_1，则AUSF保存RSC和Nonce_1，用于后续ProSe密钥推演。

可以理解，上述通过SN名的设置来指示的认证方式仅为一些示例，其具体的实现方式不限，下文中的相关介绍也可以参考理解，不再赘述。

S808，AUSF网元向UDM网元发送UE认证获得请求消息。相应的，UDM网元接收来自AUSF网元的UE认证获得请求消息。

AUSF网元可以根据UE认证请求消息#1，向UDM网元发送UE认证获得请求消息。UE认证获得请求消息可以为Nudm_UEAuthentication_Request请求消息。UE认证获得请求消息可用于请求ProSe认证的数据。UE认证获得请求消息中可以包括：远端UE的SUCI、服务网络名称。

若UE认证请求消息#1包括：远端UE的SUCI、服务网络名称、以及ProSe中继通信指示信息#1，则UE认证获得请求消息还可以包含：ProSe中继通信指示信息#2。ProSe中继通信指示信息#2用于请求ProSe认证的数据，或者说指示获取用于认证远端UE的认证数据。也即，UE认证获得请求消息可以通过其携带显示的信元，例如ProSe中继通信指示信息#2，指示其用于请求ProSe认证的数据。其中，AUSF网元可复用该ProSe中继通信指示信息#1，将其封装到UE认证获得请求消息中。此时，ProSe中继通信指示信息#1与ProSe中继通信指示信息#2可以为同一指示信息。或者，AUSF网元也可根据UE认证请求消息#1中的ProSe中继通信指示信息#1，生成ProSe中继通信指示信息#2。此时，ProSe中继通信指示信息#1与ProSe中继通信指示信息#2可以为不同的指示信息。

若UE认证请求消息#1包括：远端UE的SUCI、RSC、Nonce_1、以及服务网络名称，则UE认证获得请求消息还可以包含：RSC，Nonce_1、或ProSe中继通信指示信息#2。其中，RSC，Nonce_1或ProSe中继通信指示信息#2用于获取ProSe认证的数据，或者说用于获取认证远端UE的认证数据。

若UE认证请求消息#1包括：远端UE的SUCI、服务网络名称、RSC、Nonce_1、以及ProSe中继通信指示信息#1，则UE认证获得请求消息还可以包含：RSC，Nonce_1或ProSe中继通信指示信息#2。其中，RSC，Nonce_1或ProSe中继通信指示信息#2用于获取ProSe认证的数据，或者说用于获取认证远端UE的认证数据。

若UE认证请求消息#1包括：远端UE的SUCI、服务网络名称、RSC、Nonce_1，服务网络名称设置为5G:ProSe或5G:ProSe||SN ID，AUSF网元根据该特定的服务网络名称确定为ProSe认证，则UE认证获得请求消息还可以包含：RSC，Nonce_1。此时，服务网络名称用于指示获取ProSe认证的数据，或者用于指示获取认证远端UE的认证数据。

若UE认证请求消息#1包括：远端UE的SUCI、服务网络名称，服务网络名称设置为5G:ProSe或5G:ProSe||SN ID，AUSF根据该特定的服务网络名称确定为ProSe认证，则服务网络名称用于指示获取ProSe认证的数据，或者用于指示获取认证远端UE的认证数据。

可以理解，上述UE认证请求消息#1中包括的各种参数组合仅为示例，不作为限定，其他组合也可以参考理解，不再赘述。

S809，UDM网元生成ProSe中继通信的认证向量。

UDM网元接收到UE认证获得请求消息后，可根据ProSe中继通信指示信息#2、或RSC、或服务网络名称，确定获取ProSe认证的数据。

具体的，UDM网元，或者UDM网元可以调用SIDF，解析SIDF解析SUCI获取SUPI。UDM网元可以根据SUPI对应的签约用户数据和请求消息，确定ProSe中继通信的认证机制，例如确定使用ProSe中继通信的5G AKA，也即5G ProSe AKA。如此，UDM网元可以生成ProSe中继通信的认证向量，例如，5G ProSe AKA的认证向量#1(5G ProSe AKA HE AV)。5G ProSe AKA的认证向量#1可以包括：RAND、AUTN、XRES*、以及K_AUSF。RAND和AUTN可以由UDM网元确定，用于远端UE认证网络。其中XRES*可由UDM网元或ARPF根据XRES推演得到，用于AUSF网元认证远端UE。XRES可由UDM网元或ARPF根据根密钥(K)和RAND推演得到。K_AUSF由UDM网元或ARPF根据IK、CK和服务网络名称推演得到，用于推演ProSe密钥。

可以理解，上述介绍了5G ProSe AKA的认证向量#1的一些实现方式，5G ProSe AKA的认证向量#1还可以替换为其他任何的可能的实现方式。例如，5G ProSe AKA的认证向量#1包括：RAND、AUTN、XRES以及K_PROSE。其中，XRES仍可由UDM网元或ARPF根据根密钥和RAND推演得到。K_PROSE可由UDM网元或ARPF根据IK、CK、服务网络名称和字符串(PROSE)推演得到，用于推演ProSe密钥。或者，UDM网元或ARPF先推演得到K_AUSF，再根据K_AUSF推演K_PROSE，具体的推演方法不限制。又例如，5G ProSe AKA的认证向量#1包括：RAND、AUTN、XRES*以及K_PROSE。

可选地，UDM网元确定ProSe中继通信的认证机制也可以为：如果UE认证获得请求消息中携带有新的信元(如ProSe中继通信指示信息#2或RSC)，则UDM网元确定使用5G ProSeAKA。或者通过携带新的SN名，如5G：PROSE或5G:ProSe||SN ID，使得UDM网元确定使用5G ProSe AKA。

可选地，在确定执行ProSe认证基础上，UDM网元可以根据SUPI对应的签约用户数据，判断用户是否授权使用中继通信。如果确定用户授权使用中继通信，则授权检查通过，流程继续。否则，UDM网元向AUSF网元发送用于指示认证失败的响应消息，流程结束。可以理解，UDM网元执行判断用户是否授权使用中继通信的流程，与上述UDM网元执行确定ProSe中继通信的认证机制的流程之间的顺序可以不限定。

需要指出的是，ProSe中继通信的5G AKA仅为本申请实施例中的一种示例性命名方式，其也可以替换为其他任何可能的命名方式，例如5G ProSe中继通信的AKA、或5G ProSe AKA等，对此不做任何限定。同理，5G AKA的ProSe认证向量 #1也仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如5G AKA ProSe认证向量#1、5G ProSe AKA认证向量#1、或5G ProSe AKA的认证向量#1等，对此不做任何限定。

S810，UDM网元向AUSF网元发送UE认证获得响应消息。相应的，UDM网元接收来自AUSF网元的UE认证获得响应消息。

UE认证获得响应消息可以用于响应上述UE认证获得请求消息。UE认证获得响应消息中可以包括：5G ProSe AKA的认证向量#1，可选地，还可以包括：SUPI。UE认证获得响应消息还可以指示：该5G ProSe AKA的认证向量#1为用于ProSe中继通信的认证向量。例如，在UE认证获得响应消息已有指示信息指示认证向量用于5G AKA的基础上，可在UE认证获得响应消息中新增指示信息，用以指示5G AKA支持ProSe中继通信。或者，在UE认证获得响应消息中新增指示信息，用以指示认证向量用于5G ProSe认证和密钥管理。即认证向量用于远端UE与网络之间执行双向认证，以及建立远端UE和中继UE之间安全通信的密钥。

S811，AUSF网元储存XRES*，推演HXRES*。

AUSF网元接收到UE认证获得响应消息后，可储存XRES*，可选地，还存储SUPI。

一种可能的实现方式中，AUSF网元可根据XRES*推演HXRES*，该HXRES*可用于中继AMF网元认证远端UE。在ProSe中继通信认证流程中，AUSF网元不推演K_SEAF，以防止生成冗余的信息，造成资源的浪费。

或者，另一种可能的实现方式中，AUSF网元可以不推演HXRES*，下述S812中发送给中继AMF网元的认证向量中可包含AUTN和RAND，不包含HXRES*，使得中继AMF网元后续可以不执行服务网的认证流程。或者，若来自UDM网元的认证向量中包含XRES，下述S812中向中继AMF网元发送的认证向量中也可包含AUTN和RAND，不包含HXRES，使得中继AMF网元后续可以不执行服务网的认证流程。此处不限制。

可以理解，上述两种实现方式都可以防止网元资源的浪费。

S812，AUSF网元向中继AMF网元发送UE认证响应消息#1。相应的，中继AMF网元接收来自AUSF网元的UE认证响应消息#1。

UE认证响应消息#1为上述UE认证请求消息#1的响应消息。UE认证响应消息#1中可以包括：5G AKA的ProSe认证向量#2(5G ProSe AKA SE AV)。5G AKA的ProSe认证向量#1可以包括：RAND、AUTN、以及HXRES*。也就是说，AUSF网元可以将5G AKA的ProSe认证向量#1中的XRES*替换为HXRES*，以及移除5G AKA的ProSe认证向量#1中的K_AUSF，得到5G AKA的ProSe认证向量#2。

此外，根据上述S811中的介绍，一种可能的实现方式中，5G AKA的ProSe认证向量#2可以包括：RAND和AUTN，不包括：HXRES或HXRES*。

可选地，UE认证响应消息#1中也可以包括：指示信息，用以指示认证向量用于认证远端UE。

需要指出的是，5G AKA的ProSe认证向量#2也仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如5G AKA ProSe认证向量#2、5G ProSe AKA认证向量#2、或5G ProSe AKA的认证向量#2等，对此不做任何限定。

S813，中继AMF网元向中继UE发送ProSe通信认证请求消息。相应的，中继UE接收来自中继AMF网元的ProSe通信认证请求消息。

ProSe通信认证请求消息可用于指示对远端UE认证，或者说指示中继UE向远端UE发送认证数据，以避免中继UE接收到ProSe通信认证请求消息后自行执行认证，防止认证失败，无法建立通信连接。ProSe通信认证请求消息可以通过其消息类型或其携带的指示信息进行指示。当然，也可通过已有消息(如认证请求消息)携带指示信息指示中继UE向远端UE发送认证数据，或指示对远端UE进行认证，此处不限制。ProSe通信认证请求消息中可以包括：RAND和AUTN(认证数据)，也即中继AMF网元可以从5G ProSe AKA的认证向量#2中获得的RAND和AUTN，并将其封装到ProSe通信认证请求消息中。RAND和AUTN用于远端UE认证网络。

可选地，中继AMF网元向中继UE发送ProSe通信认证请求消息前，中继AMF跳过获取ngKSI和ABBA参数。或者，中继AMF网元跳过生成ngKSI和ABBA参数。中继AMF网元不向中继UE发送ngKSI和ABBA参数，也即ProSe通信认证请求消息不包含ngKSI和ABBA参数。

需要指出的是，ProSe通信认证请求消息仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如ProSe认证请求消息、远端UE ProSe认证请求消息、或已有的认证请求等等。此外，S813的具体实现也可以是在已有消息中引入新的容器信元，容器中包含RAND和AUTN。若中继UE接收到包含该容器的消息，则执行S814。

S814，中继UE向远端UE发送远端UE认证请求消息。相应的，远端UE接收来自中继UE的远端UE认证请求消息。

远端UE认证请求消息可用于指示认证远端UE，或者说指示远端UE执行ProSe认证，确保远端UE与网络执行认证并推演ProSe密钥，建立远端UE和中继UE之间的安全通信。例如，远端UE认证请求消息可以通过其消息类型，或其携带的指示信息，指示远端UE执行ProSe认证。当然，也可通过已有消息携带指示信息来指示认证远端UE，或者说指示远端UE执行ProSe认证，此处不限制。远端UE认证请求消息中可以包括：RAND和AUTN。也就是说，中继UE接收到ProSe通信认证请求消息后，可将ProSe通信认证请求消息携带的RAND和AUTN，继续封装到远端UE认证请求消息中，以便远端UE认证使用。

需要指出的是，远端UE认证请求消息仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如远端UE ProSe通信认证请求消息、或远端UE ProSe认证请求消息等等。此外，若中继UE接收的为上述容器，则直接向远端UE转发该容器。

S815，远端UE推演RES*。

其中，该RES*可用于认证远端UE。

远端UE可以包括：ME和USIM。远端UE接收到远端UE认证请求消息后，USIM可根据RAND和自身的根密钥，验证AUTN。如果USIM验证AUTN失败，则表示UE认证网络失败，流程结束。如果USIM验证AUTN通过，则表示UE认证网络通过。在UE认证网络通过后，USIM可以利用根密钥和RAND推演RES、以及CK和IK，并向ME发送RES、以及CK和IK。ME可以根据CK和IK推演K_AUSF，以及根据RES推演RES*，然后执行S816。在ProSe认证中，ME可以不推演K_SEAF，以提高认证效率。

需要说明的是，如上述S809和S811中的相关介绍可知，若网络侧使用新的密钥推演方法或新的认证参数的推演方法，则远端UE也使用和网络侧相同的方法执行密钥推演或认证参数推演，以及其他认证数据的生成。

S816，远端UE向中继UE发送远端UE认证响应消息。相应的，中继UE接收来自远端UE的远端UE认证响应消息。

远端UE认证响应消息为远端UE认证请求消息的响应消息。可选地，ProSe通信认证响应消息可用于指示其为远端UE的认证响应消息，例如可以通过消息的类型或消息中包含的信元指示且为远端UE的认证响应消息。远端UE认证响应消息中可以包括：RES*。

需要指出的是，远端UE认证响应消息仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如远端UE ProSe通信认证响应消息、或远端UE ProSe认证响应消息等等。

S817，中继UE向中继AMF网元发送ProSe通信认证响应消息。相应的，中继AMF网元接收来自中继UE的ProSe通信认证响应消息。

ProSe通信认证响应消息为上述ProSe通信认证请求消息的响应消息。ProSe通信认证响应消息中可以包括：RES*。也就是说，中继UE可以从远端UE认证响应消息中获得RES*，将其继续封装到ProSe通信认证响应消息中。

需要指出的是，ProSe通信认证响应消息仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如ProSe认证响应消息、或远端UE ProSe认证响应消息等等。

S818，中继AMF网元认证远端UE。

中继AMF网元接收到ProSe通信认证响应消息后，可根据接收到的RES*推演HRES*，以比较HRES*和S812获得的HXRES*。如果HRES*和HXRES*不匹配，例如HRES*和HXRES*不相同，则表示认证远端UE失败，认证流程结束。如果HRES*和HXRES*匹配，例如HRES*和HXRES*相同，则表示认证UE通过，或者说从服务网的角度认为认证通过，然后执行S819。

可以理解，若S811不推演HXRES*，则中继AMF网元无需推演HRES*，也无需执行服务网的认证。

S819，中继AMF网元向AUSF网元发送UE认证请求消息#2。相应的，AUSF网元接收来自中继AMF网元的UE认证请求消息#2。

UE认证请求消息#2可用于请求对远端UE进行ProSe认证。例如，UE认证请求消息#2可以通过新的指示信息指示对远端UE进行认证。UE认证请求消息#2中可以包括：RES*。也就是说，中继AMF网元在认证远端UE通过后，可将RES*封装到UE认证请求消息#2中，然后向AUSF网元发送UE认证请求消息#2。可选地，如果 S807中的UE认证请求消息#1未携带RSC和Nonce_1，则UE认证请求消息#2中还可以包括：RSC和Nonce_1，即中继AMF网元还可以将RSC和Nonce_1封装到UE认证请求消息#2中。或者，在S807中的UE认证请求消息#1携带RSC和Nonce_1的情况下，UE认证请求消息#2中仍可以包括：RSC和Nonce_1。此时，RSC和Nonce_1也可以用于指示对远端UE进行认证。

S820，AUSF网元认证远端UE。

AUSF网元接收到UE认证请求消息#2后，可比较RES*与先前保存的XRES*。如果RES*和XRES*不匹配，例如RES*和XRES*不相同，则表示认证远端UE失败，流程结束。如果RES*和XRES*匹配，例如RES*和XRES*相同，则表示认证远端UE通过，或者说从归属网的角度认为认证通过。在此基础上，AUSF网元可以生成Nonce_2，根据先前保存的K_AUSF、RSC、Nonce_1和Nonce_2，推演ProSe密钥(K_{NR_ProSe})，用于远端UE与中继UE的通信使用。例如，AUSF网元可以先根据K_AUSF和RSC推演一个中间密钥，再根据中间密钥、Nonce_1和Nonce_2推演ProSe密钥。或者，AUSF网元可以直接根据K_AUSF、RSC、Nonce_1以及Nonce_2，推演ProSe密钥。或者，AUSF网元还可以采用其他任何可能的方式推演ProSe密钥，对此不做具体限定。

可选地，AUSF网元认证远端UE通过后，AUSF网元可以根据认证为ProSe认证，确定跳过向UDM网元发送认证结果的流程，即不向UDM网元发送认证结果，而执行下述S821，以向中继AMF网元发送UE认证响应消息#2，从而保证仅执行必要的流程，防止资源浪费。

可选地，在确定认证远端UE的情况下，AUSF网元执行上述ProSe密钥推演的过程。

需要指出的是，ProSe密钥仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如ProSe通信密钥。此外，如果上述5GAKA的ProSe认证向量#1中的密钥为K_PROSE，则AUSF网元应当使用K_PROSE来推演ProSe密钥，即K_AUSF替换为K_PROSE。

S821，AUSF网元向中继AMF网元发送UE认证响应消息#2。相应的，中继AMF网元接收来自AUSF网元的UE认证响应消息#2。

UE认证响应消息#2为UE认证请求消息#2的响应消息，可用于指示认证远端UE通过。UE认证响应消息#2中可以包括：ProSe密钥和Nonce_2。也就是说，AUSF网元确定远端UE认证通过后，可将ProSe密钥和Nonce_2封装到UE认证响应消息#2中，然后向中继AMF网元发送UE认证响应消息#2。

可选地，UE认证响应消息#2中还可以包括：远端UE的SUPI。该远端UE的SUPI可用于指示中继UE向网络侧上报执行远端UE的信息。

S822，中继AMF网元向中继UE发送中继密钥响应消息。相应的，中继UE接收来自中继AMF网元的中继密钥响应消息。

中继密钥响应消息为上述中继密钥请求消息的响应消息，可以包括：ProSe密钥和Nonce_2，可选地，还可以包括：远端UE的SUPI。也就是说，中继AMF网元接收到UE认证响应消息#2后，可根据UE认证响应消息#2，获得ProSe密钥和 Nonce_2，可选地，还可以获得远端UE的SUPI，并将其封装到中继密钥响应消息中，以向中继UE发送中继密钥响应消息。相应的，中继UE可以存储ProSe密钥，可选地，还可以存储远端UE的SUPI。

S823，中继UE向远端UE发送直接安全模式命令消息。相应的，远端UE接收来自中继UE的直接安全模式命令消息。

直接安全模式命令消息可用于指示建立PC5安全。直接安全模式命令消息中可以包括：Nonce_2。也就是说，中继UE接收到中继密钥响应消息后，可从中获得Nonce_2，然后将其封装到直接安全模式命令消息中，从而向远端UE发送直接安全模式命令消息。

S824，远端UE推演ProSe密钥。

远端UE可以使用与AUSF相同的方式推演ProSe密钥，即根据先前推演得到的K_AUSF、RSC、Nonce_1和Nonce_2，推演ProSe密钥。此外，如果远端UE上述推演的密钥为K_PROSE，则远端UE应当使用K_PROSE来推演ProSe密钥，即K_AUSF替换为K_PROSE。

S825，远端UE向中继UE发送直接安全模式命令完成消息。相应的，中继UE接收来自远端UE的直接安全模式命令完成消息。

直接安全模式命令完成消息为上述直接安全模式命令消息的响应消息，用以指示远端UE已确定ProSe密钥。

至此，远端UE和中继UE都获得了相同的ProSe密钥，可以基于ProSe密钥推演PC5连接的会话密钥，例如加密密钥和完整性保护密钥，以确保ProSe中继通信安全。由于中继AMF网元、AUSF网元与UDM网元之间的交互可通过复用已有服务操作实现，在不引入新的服务操作的情况实现远端UE与网络之间的认证，以及生成中继UE和远端UE之间的安全通信的密钥。

需要指出的是，图8所示的流程中提到的消息#1、消息#2、向量#1、向量#2等等，仅用于命名上的区分，不作为任何限定。

场景2：

示例性的，图9为本申请实施例提供的通信方法的流程示意图二。该通信方法主要适用于远端UE、中继UE、AMF网元、AUSF网元、以及UDM网元之间的通信。AMF网元可以包括：中继AMF网元和远端AMF网元，二者可以是同一或不同的AMF网元，对此不做具体限定。AUSF网元可以是远端AUSF网元，如AUSF网元是根据远端UE的标识确定的，用于支持对远端UE的认证，或者也可以其他任何可能形态的AUSF网元，对此不做具体限定。UDM网元可以是远端UDM网元，如该UDM网元是根据远端UE的标识确定的，用于为远端UE生成认证向量，或者也可以其他任何可能形态的UDM网元，对此不做具体限定。在场景2中，根据来自的AUSF的请求确定基于增强的5G AKA建立安全的ProSe中继通信(也可以称为ProSe中继通信的5G AKA流程，简称5G ProSe AKA)。在ProSe中继通信的5G AKA的认证流程中，AMF网元、AUSF网元与UDM网元之间可通过新的服务操作或新的服务名称进行交互。

具体的，如图9所示，该通信方法的流程如下：

S901，远端UE注册到网络，从网络获取ProSe通信策略信息。

S902，中继UE注册到网络，从网络获取ProSe通信策略信息。

其中，S901-S902的具体实现原理与上述S801-S802类似，可参考理解，不再赘述。

S903，远端UE执行中继发现流程。

S904，远端UE向中继UE发送直接通信请求消息。相应的，中继UE接收来自远端UE的直接通信请求消息。

S905，中继UE向中继AMF网元发送中继密钥请求消息。相应的，中继AMF网元接收来自中继UE的中继密钥请求消息。

中继密钥请求消息主要用于中继UE请求中继通信，或者说请求ProSe中继通信的密钥，包括：远端UE的SUCI、RSC、以及Nonce_1。可选地，中继密钥请求消息中还可以包括：中继UE的标识，如5G GUTI。

S906，中继AMF网元验证中继UE。

具体的，中继AMF网元根据来自UDM网元的中继UE的签约信息，判断中继UE是否授权作为中继提供服务。

其中，S903-S906的具体实现原理与上述S403-S406类似，可参考理解，不再赘述。

S907，中继AMF网元向AUSF网元发送ProSe UE认证请求(Nausf_ProSeUEAuthentication_Authenticate Request或Nausf_UEAuthentication_ProSeAuthenticate Request)消息#1。相应的，AUSF网元接收来自中继AMF网元的ProSe UE认证请求消息#1。

中继AMF网元可根据远端UE的SUCI选择AUSF网元，如中继AMF网元与NRF网元交互确定服务的AUSF网元，或者根据本地存储的AUSF网元信息确定服务的AUSF网元。如此，中继AMF网元可根据来自中继UE的中继密钥请求消息，确定向被选中的AUSF网元发送ProSe UE认证请求消息#1。例如，中继AMF网元可以根据消息名称，确定向AUSF网元发送ProSe UE认证请求消息#1。

ProSe UE认证请求消息#1可以用于请求建立ProSe中继通信安全的认证流程(可简称触发ProSe认证)，或者说触发ProSe认证，以保证AUSF推演用于保护中继通信安全的密钥，避免AUSF执行错误的流程。例如，ProSe UE认证请求消息#1可以通过自身服务类型、服务操作、或服务名称，指示其用于请求ProSe认证。该ProSe认证用于远端UE通过中继UE与网络执行双向认证，并建立远端UE和中继UE之间安全通信的密钥。ProSe UE认证请求消息#1可以包括如下至少一项：远端UE的SUCI、RSC、Nonce_1、或服务网络名称。

具体的，一种可能的方式中，ProSe UE认证请求消息#1中可以包括：远端UE的SUCI、以及服务网络名称。在此基础上，中继AMF网元可以在后续确定远端UE认证通过的情况下，再向AUSF网元发送RSC和Nonce_1，以进一步按需提供参数。或者，另一种可能的方式中，ProSe UE认证请求消息#1中可以包括：远端UE的SUCI、RSC、Nonce_1、以及服务网络名称。

上述服务网络名称可以为5G:SN ID或5G:ProSe或者5G:ProSe||SN ID。若使用5G:ProSe或者5G:ProSe||SN ID，可以保证AV向量与直接认证的不同，达到安全隔离的密钥。

需要指出的是，通过ProSe UE认证请求消息这一名称指示新的服务名称或服务操作仅为一种示例，其也可以替换为其他任何可能的命名，例如5G ProSe UE认证请求消息、ProSe通信UE认证请求消息、或5G ProSe通信UE认证请求消息等等，对此不做任何限定。

S908，AUSF网元向UDM网元发送ProSe UE认证获得请求

(Nudm_ProSeUEAuthentication_Get Request或Nudm_UEAuthentication_GetProSeAV)消息。相应的，UDM网元接收来自AUSF网元的ProSe UE认证获得请求消息。

AUSF网元可以根据ProSe UE认证请求消息#1，向UDM网元发送ProSe UE认证获得请求消息。ProSe UE认证获得请求消息可用于请求ProSe认证(触发ProSe认证)。例如，ProSe UE认证获得请求消息可以通过自身服务类型、服务操作、或服务名称，指示其用于请求ProSe认证。ProSe UE认证获得请求消息中可以包括：远端UE的SUCI。

可以理解，ProSe UE认证获得请求消息的上述实现方式仅为一些示例，不作为限定。例如，ProSe UE认证获得请求消息仍可以携带上述ProSe中继通信指示信息#2，以通过ProSe中继通信指示信息#2指示其用于请求ProSe认证。ProSe中继通信指示信息#2的具体实现原理可以参考上述S808中的相关介绍，不再赘述。

需要指出的是，通过ProSe UE认证获得请求消息这一名称指示新的服务名称或服务操作仅为一种示例，其也可以替换为其他任何可能的命名，例如5G ProSe UE认证获得请求消息、ProSe通信UE认证获得请求消息、或5G ProSe通信UE认证获得请求消息等等，对此不做任何限定。

S909，UDM网元生成ProSe中继通信的认证向量。

UDM网元可根据ProSe UE认证获得请求消息，确定执行ProSe认证。在此基础上，UDM网元，或者UDM网元可以调用SIDF，解析SIDF解析SUCI获取SUPI。UDM网元可以根据SUPI对应的签约用户数据，确定ProSe中继通信的认证机制，例如确定使用ProSe中继通信的5G AKA，也即5G ProSe AKA。如此，UDM网元可以生成ProSe中继通信的认证向量，具体实现原理可以参考上述S809中的相关介绍，不再赘述。

可选地，在确定执行ProSe认证的基础上，UDM网元可以根据SUPI对应的签约用户数据，判断用户是否授权使用中继通信，具体实现原理也可以参考上述S809中的相关介绍，不再赘述。

S910，UDM网元向AUSF网元发送ProSe UE认证获得响应(Nudm_ProSeUEAuthentication_Get Response或Nudm_ProSeUEAuthentication_GetProSeAV Response)消息。相应的，UDM网元接收来自AUSF网元的ProSe UE认证获得响应消息。

ProSe UE认证获得响应消息为上述ProSe UE认证获得请求消息的响应消息。ProSe UE认证获得响应消息中可以包括：5G ProSe AKA的认证向量#1，可选地，还可以包括：SUPI。ProSe UE认证获得响应消息还可以指示该5G ProSe AKA的认证向量#1为支持ProSe中继通信的5G AKA认证向量。例如，ProSe UE认证获得响应消息可以通过自身消息类型、服务操作、或服务名称，指示认证向量用于5G AKA，5G AKA支持ProSe中继通信。或者，ProSe UE认证获得响应消息也可以通过携带的指示信息，指示认证向量用于5G AKA，5G AKA支持ProSe中继通信。

需要指出的是，通过ProSe UE认证获得响应消息这一名称指示新的服务名称或服务操作仅为一种示例，其也可以替换为其他任何可能的命名方式，例如5G ProSe UE认证响应请求消息、ProSe通信UE认证获得响应消息、或5G ProSe通信UE认证获得响应消息等等，对此不做任何限定。

S911，AUSF网元储存XRES*，推演HXRES*。

其中，S911的具体实现原理与上述S811类似，可参考理解，不再赘述。

S912，AUSF网元向中继AMF网元发送ProSe UE认证响应(Nausf_ProSeUEAuthentication_Authenticate response或Nausf_UEAuthentication_ProSeAuthenticate response)消息#1。相应的，中继AMF网元接收来自AUSF网元的ProSe UE认证响应消息#1。

ProSe UE认证响应消息#1为上述ProSe UE认证请求消息#1的响应消息。ProSe UE认证响应消息#1中可以包括：5G ProSe AKA的认证向量#2，具体实现原理可以参考上述S812中的相关介绍，不再赘述。ProSe UE认证响应消息#1还可以指示该5G ProSe AKA的认证向量#2为支持ProSe中继通信的5G AKA。例如，ProSe UE认证响应消息#1可以通过自身消息类型、服务操作、或服务名称，指示认证向量用于5G AKA，5G AKA支持ProSe中继通信。或者，ProSe UE认证响应消息#1也可以通过携带的指示信息，指示认证向量用于5G AKA，5G AKA支持ProSe中继通信。

需要指出的是，通过ProSe UE认证响应消息这一名称指示新的服务名称或服务操作仅为一种示例，其也可以替换为其他任何可能的命名方式，例如5G ProSe UE认证响应消息、ProSe通信UE认证响应消息、或5G ProSe通信UE认证响应消息等等，对此不做任何限定。

S913，中继AMF网元向中继UE发送ProSe通信认证请求消息。相应的，中继UE接收来自中继AMF网元的ProSe通信认证请求消息。

S914，中继UE向远端UE发送远端UE认证请求消息。相应的，远端UE接收来自中继UE的远端UE认证请求消息。

S915，远端UE推演RES*。

S916，远端UE向中继UE发送远端UE认证响应消息。相应的，远端UE接收来自中继UE的远端UE认证响应消息。

S917，中继UE向中继AMF网元发送ProSe通信认证响应消息。相应的，中继AMF网元接收来自中继UE的ProSe通信认证响应消息。

S918，中继AMF网元认证远端UE。

其中，S913-S918的具体实现原理与S813-S818类似，可以参考理解，不再赘述。

S919，中继AMF网元向AUSF网元发送ProSe UE认证请求消息#2。相应的，AUSF网元接收来自中继AMF网元的ProSe UE认证请求消息#2。

ProSe UE认证请求消息#2可用于请求对远端UE进行ProSe认证，包括：RES*。也就是说，中继AMF网元在认证远端UE通过后，可将RES*封装到ProSe UE认证请求消息#2中，然后向AUSF网元发送ProSe UE认证请求消息#2。可选地，如果S907中的UE认证请求消息#1未携带RSC和Nonce_1，则ProSe UE认证请求消息#2中还可以包括：RSC和Nonce_1，即中继AMF网元还可以将RSC和Nonce_1封装到ProSe UE认证请求消息#2中。或者，在S907中的ProSe UE认证请求消息#1携带RSC和Nonce_1的情况下，ProSe UE认证请求消息#2中仍可以包括：RSC和Nonce_1。

S920，AUSF网元认证远端UE。

其中，S920的具体实现原理与S820类似，可以参考理解，不再赘述。

S921，AUSF网元向中继AMF网元发送ProSe UE认证响应消息#2。相应的，中继AMF网元接收来自AUSF网元的ProSe UE认证响应消息#2。

ProSe UE认证响应消息#2为ProSe UE认证请求消息#2的响应消息，可用于指示认证远端UE通过。ProSe UE认证响应消息#2中可以包括：ProSe密钥和Nonce_2。

S922，中继AMF网元向中继UE发送中继密钥响应消息。相应的，中继UE接收来自中继AMF网元的中继密钥响应消息。

S923，中继UE向远端UE发送直接安全模式命令消息。相应的，远端UE接收来自中继UE的直接安全模式命令消息。

S924，远端UE推演ProSe密钥。

S925，远端UE向中继UE发送直接安全模式命令完成消息。相应的，中继UE接收来自远端UE的直接安全模式命令完成消息。

其中，S921-S925的具体实现原理与S821-S825类似，可以参考理解，不再赘述。

至此，远端UE和中继UE都获得了相同的ProSe密钥，可以基于ProSe密钥推演PC5连接的会话密钥，例如加密密钥和完整性保护密钥，以确保ProSe中继通信安全。由于中继AMF网元、AUSF网元与UDM网元之间的交互可通过新的信令实现，实现与已有认证流程解耦，避免认证流程对ProSe认证产生影响。

需要指出的是，图9所示的流程中提到的消息#1、消息#2、向量#1、向量#2等等，仅用于命名上的区分，不作为任何限定。

场景3：

示例性的，图10为本申请实施例提供的通信方法的流程示意图三。该通信方法主要适用于远端UE、中继UE、AMF网元、AUSF网元、以及UDM网元之间的通信。AMF网元可以包括：中继AMF网元和远端AMF网元，二者可以是同一或不同的AMF网元，对此不做具体限定。AUSF网元可以是远端AUSF网元，如AUSF网元是根据远端UE的标识确定的，用于支持对远端UE的认证，或者也可以其他任何可能形态的AUSF网元，对此不做具体限定。UDM网元可以是远端UDM网元，如该UDM网元是根据远端UE的标识确定的，用于为远端UE生成认证向量，或者也可以其他任何可能形态的UDM网元，对此不做具体限定。在场景3中，UDM网元根据来自的AUSF网元的请求确定基于EAP AKA’建立安全的ProSe中继通信(也可以称为ProSe中继通信的EAP-AKA’流程，简称ProSe EAP-AKA’)。在ProSe中继通信的EAP-AKA’的认证流程中，AMF网元、AUSF网元与UDM网元之间可通过使用已有服务操作进行交互。

具体的，如图10所示，该通信方法的流程如下：

S1001，远端UE注册到网络，从网络获取ProSe通信策略信息。

S1002，中继UE注册到网络，从网络获取ProSe通信策略信息。

其中，S1001-S1002的具体实现原理与上述S801-S802类似，可参考理解，不再赘述。

S1003，远端UE执行中继发现流程。

S1004，远端UE向中继UE发送直接通信请求消息。相应的，中继UE接收来自远端UE的直接通信请求消息。

S1005，中继UE向中继AMF网元发送中继密钥请求消息。相应的，中继AMF网元接收来自中继UE的中继密钥请求消息。

中继密钥请求消息主要用于中继UE请求中继通信的密钥，或者说请求ProSe中继通信的密钥，包括：远端UE的SUCI、RSC、以及Nonce_1。可选地，中继密钥请求消息中还可以包括：中继UE的标识，如5G GUTI。

S1006，中继AMF网元验证中继UE。

其中，S1003-S1006的具体实现原理与上述S403-S406类似，可参考理解，不再赘述。

S1007，中继AMF网元向AUSF网元发送UE认证请求消息#1。相应的，AUSF网元接收来自中继AMF网元的UE认证请求消息#1。

S1008，AUSF网元向UDM网元发送UE认证获得请求消息。相应的，UDM网元接收来自AUSF网元的UE认证获得请求消息。

其中，S1007-S1008的具体实现原理与上述S807-S808类似，可参考理解，不再赘述。

S1009，UDM网元生成ProSe中继通信的认证向量。

UDM网元可根据UE认证获得请求消息，确定获取ProSe认证的数据。具体的，UDM网元，或者UDM网元可以调用SIDF，解析SIDF解析SUCI获取SUPI。UDM网元可以根据SUPI对应的签约用户数据和请求消息，确定ProSe中继通信的认证机制，例如确定使用ProSe中继通信的EAP-AKA’。如此，UDM网元可以生成ProSe中继通信的认证向量，例如，EAP-AKA’的ProSe认证向量(EAP-AKA’ProSe AV)。EAP-AKA’的ProSe认证向量可以包括：RAND、AUTN、XRES、以及CK’和IK’。其中，RAND、AUTN以及XRES的具体实现原理可以参考上述S809中的相关介绍，不再赘述。CK’和IK’可由根密钥和RAND推演得到，用于推演ProSe密钥。例如，UDM网元/ARPF可以根密钥和RAND推演CK和IK，再根据CK和IK推演CK’和IK’。可以理解，采用CK’和IK’仅为一种示例，CK’和IK也可以替换其他任何可能的密钥，例如根据CK和IK，以及新的SN或新的参数，如PROSE字符推演K_PROSE。

可选地，UDM网元确定ProSe中继通信的认证机制也可以为：如果UE认证获得请求消息中携带有ProSe中继通信指示信息#2，则UDM网元确定使用ProSe中继通信的EAP-AKA’。这种情况下，UDM网元无需查询签约用户数据，可提高认证效率。

需要指出的是，ProSe中继通信的EAP-AKA’仅为本申请实施例中的一种示例性命名方式，其也可以替换为其他任何可能的命名方式，例如5G ProSe中继通信的EAP-AKA’、或5G ProSe EAP-AKA’等，对此不做任何限定。同理，EAP-AKA’的ProSe认证向量也仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如EAP-AKA’ProSe认证向量、ProSe EAP-AKA’认证向量、或ProSe中继通信的EAP-AKA’认证向量等，对此不做任何限定。

S1010，UDM网元向AUSF网元发送UE认证获得响应消息。相应的，UDM网元接收来自AUSF网元的UE认证获得响应消息。

UE认证获得响应消息为上述UE认证获得请求消息的响应消息。UE认证获得响应消息中可以包括：EAP-AKA’的ProSe认证向量，可选地，还可以包括：SUPI。UE认证获得响应消息还可以指示：该EAP-AKA’的ProSe认证向量为支持ProSe中继通信的5G AKA认证向量。例如，在UE认证获得响应消息已有指示信息指示认证向量用于EAP-AKA’基础上，可在UE认证获得响应消息中新增指示信息，用以指示EAP-AKA’支持ProSe中继通信。或者，在UE认证获得响应消息中新增指示信息，用以指示认证向量用于EAP-AKA’，EAP-AKA’支持ProSe中继通信。

S1011，AUSF网元储存XRES。

AUSF网元接收到UE认证获得响应消息后，可储存XRES，可选地，还存储SUPI，以便后续认证使用。在ProSe认证中，AUSF网元可以不推演K_SEAF，以防止生成冗余的信息，造成资源的浪费。

S1012，AUSF网元向中继AMF网元发送UE认证响应消息#1。相应的，中继AMF网元接收来自AUSF网元的UE认证响应消息#1。

UE认证响应消息#1为上述UE认证请求消息#1的响应消息。UE认证响应消息#1中可以包括：EAP请求消息/AKA’挑战消息。EAP请求消息/AKA’挑战消息可以是根据UE认证获得响应消息#1确定的NAS消息，包括：RAND和AUTN。

S1013，中继AMF网元向中继UE发送ProSe通信认证请求消息。相应的，中继UE接收来自中继AMF网元的ProSe通信认证请求消息。

ProSe通信认证请求消息可用于指示用于对远端UE进行认证，或者说指示中继UE向远端UE发送认证数据，以避免中继UE接收到ProSe通信认证请求消息后自行执行认证，防止认证失败，无法建立通信连接。例如，ProSe通信认证请求消息可以通过其消息类型，或其携带的指示信息，指示中继UE向远端UE发送认证数据，或者说指式对远端UE进行认证。当然，也可通过已有消息(如认证请求消息)携带指示信息来指示中继UE向远端UE发送认证数据，此处不限制。ProSe通信认证请求消息中可以包括：EAP请求消息/AKA’挑战消息(认证数据)。也就是说，中继AMF网元接收到UE认证响应消息#1后，可将UE认证响应消息#1中的EAP请求消息/AKA’挑战消息，继续封装到ProSe通信认证请求消息中，从而向中继UE透传该EAP请求消息/AKA’挑战消息。

S1014，中继UE向远端UE发送远端UE认证请求消息。相应的，远端UE接收来自中继UE的远端UE认证请求消息。

远端UE认证请求消息可用于指示远端UE执行ProSe认证，或者说认证远端UE，确保远端UE与网络执行认证并推演ProSe密钥，建立远端UE和中继UE之间的安全通信。例如，ProSe通信认证请求消息可以通过其消息类型，或其携带的指示信息，指示远端UE执行ProSe认证，或者说认证远端UE。当然，也可通过已有消息携带指示信息来指示远端UE执行ProSe认证，此处不限制。ProSe通信认证请求消息中可以包括：EAP请求消息/AKA’挑战消息，以便远端UE执行ProSe认证使用。也就是说，中继UE接收到ProSe通信认证请求消息后，可将ProSe通信认证请求消息中的EAP请求消息/AKA’挑战消息，继续封装到远端UE认证请求消息中，以向远端UE透传该EAP请求消息/AKA’挑战消息，以便远端UE认证使用。

S1015，远端UE推演RES。

其中，远端UE可以包括：ME和USIM。UE接收到远端UE认证请求消息后，USIM可根据RAND和自身的根密钥，验证AUTN。如果USIM验证AUTN失败，则表示远端UE认证网络失败，流程结束。如果USIM验证AUTN通过，则表示远端UE认证网络通过。在此基础上，USIM可以利用根密钥和RAND，推演RES、以及CK和IK，并向ME发送RES、以及CK和IK。ME可以根据CK和IK推演CK’和IK’，然后执行S1016。

需要说明的是，如上述S1009和S1111中的相关介绍可知，若网络侧使用新的密钥推演方法或新的认证参数的推演方法，则远端UE也使用和网络侧相同的方法执行密钥推演或认证参数推演，以及其他认证数据的生成。

S1016，远端UE向中继UE发送远端UE认证响应消息。相应的，远端UE接收来自中继UE的远端UE认证响应消息。

远端UE认证响应消息为上述远端UE认证请求消息的响应消息。可选地，ProSe通信认证响应消息可用于指示其为远端UE的认证响应消息。例如，ProSe通信认证响应消息可以通过消息的类型或消息中包含的信元，指示其为远端UE的认证响应消息。远端UE认证响应消息中可以包括：EAP响应消息/AKA’挑战消息。EAP响应消息/AKA’挑战消息中可以包括：RES。

S1017，中继UE向中继AMF网元发送ProSe通信认证响应消息。相应的，中继AMF网元接收来自中继UE的ProSe通信认证响应消息。

ProSe通信认证响应消息为上述ProSe通信认证请求消息的响应消息。可选地，ProSe通信认证响应消息用于指示其为远端UE的认证响应消息。例如，ProSe通信认证响应消息可以通过消息的类型或消息中包含的信元，指示其为远端UE的认证响应消息。ProSe通信认证响应消息中可以包括：EAP响应消息/AKA’挑战消息。也就是说，中继UE可以从远端UE认证响应消息中获得EAP响应消息/AKA’挑战消息，将其继续封装到ProSe通信认证响应消息中，以向AUSF网元透传该EAP响应消息/AKA’挑战消息。

S1018，中继AMF网元向AUSF网元发送UE认证请求消息#2。相应的，AUSF网元接收来自中继AMF网元的UE认证请求消息#2。

UE认证请求消息#2可用于请求对远端UE进行认证。例如，UE认证请求消息#2可以通过新的指示信息指示对远端UE进行认证。UE认证请求消息#2中可以包括：EAP响应消息/AKA’挑战消息。也就是说，中继AMF网元可以从ProSe通信认证响应消息中获得EAP响应消息/AKA’挑战消息，将其封装到UE认证请求消息#2中，以向AUSF网元透传该EAP响应消息/AKA’挑战消息。可选地，如果S1007中的UE认证请求消息#1未携带RSC和Nonce_1，则UE认证请求消息#2中还可以包括：RSC和Nonce_1，即中继AMF网元还可以将RSC和Nonce_1封装到UE认证请求消息#2中。或者，在S1007中的UE认证请求消息#1携带RSC和Nonce_1的情况下，UE认证请求消息#2中仍可以包括：RSC和Nonce_1。此时，RSC和Nonce_1也可以用于指示对远端UE进行认证。

S1019，AUSF网元认证远端UE。

AUSF网元接收到UE认证请求消息#2后，可从中获得EAP响应消息/AKA’挑战消息，并进一步获得RES。AUSF网元可以比较RES与先前保存的XRES。如果RES和XRES不匹配，例如RES和XRES不相同，则表示认证远端UE失败，流程结束。如果RES和XRES匹配，例如RES和XRES*相同，则表示认证远端UE通过。在此基础上，AUSF网元可以生成Nonce_2，根据先前保存的CK’、IK’、RSC、Nonce_1以及Nonce_2，推演ProSe密钥，用于远端UE与中继UE的通信使用。

具体的，AUSF网元可以根据CK’和IK’推演EMSK，根据EMSK确定K_AUSF，例如确定EMSK的前256位作为K_AUSF，且不推演K_SEAF。AUSF网元可以根据K_AUSF、RSC、Nonce_1以及Nonce_2，推演ProSe密钥。例如，AUSF网元可以先根据K_AUSF和RSC推演一个中间密钥，再根据中间密钥、Nonce_1和Nonce_2推演ProSe密钥。或者，AUSF网元可以直接根据K_AUSF、RSC、Nonce_1以及Nonce_2，推演ProSe密钥。或者，AUSF网元还可以采用其他任何可能的方式推演ProSe密钥，对此不做具体限定。

S1020，AUSF网元向中继AMF网元发送UE认证响应消息#2。相应的，中继AMF网元接收来自AUSF网元的UE认证响应消息#2。

UE认证响应消息#2为UE认证请求消息#2的响应消息。UE认证响应消息#2中可以包括：EAP成功消息，用以指示认证通过，以及还可以包括：ProSe密钥和Nonce_2。也就是说，AUSF网元确定远端UE认证通过后，可生成EAP成功消息，并将EAP成功消息、ProSe密钥和Nonce_2封装到UE认证响应消息#2中，然后向中继AMF网元发送UE认证响应消息#2。

S1021，中继AMF网元向中继UE发送中继密钥响应消息。相应的，中继UE接收来自中继AMF网元的中继密钥响应消息。

中继密钥响应消息为上述中继密钥请求消息的响应消息，可以包括：EAP成功消息、ProSe密钥和Nonce_2，可选地，还可以包括：远端UE的SUPI。也就是说，中继AMF网元接收到UE认证响应消息#2后，可根据UE认证响应消息#2，获得EAP成功消息、ProSe密钥和Nonce_2，可选地，还可以获得远端UE的SUPI，并将其封装到中继密钥响应消息中，以向中继UE发送中继密钥响应消息。相应的，中继UE可以存储ProSe密钥，可选地，还可以存储远端UE的SUPI。

S1022，中继UE向远端UE发送直接安全模式命令消息。相应的，远端UE接收来自中继UE的直接安全模式命令消息。

直接安全模式命令消息可用于建立PC5安全。直接安全模式命令消息中可以包括：EAP成功消息和Nonce_2。也就是说，中继UE接收到中继密钥响应消息后，可从中获得EAP成功消息和Nonce_2，然后将其封装到直接安全模式命令消息中，从而向远端UE发送直接安全模式命令消息。

S1023，远端UE推演ProSe密钥。

远端UE可以使用与AUSF相同的方式推演ProSe密钥，即根据先前推演得到的CK’和IK’，以及RSC、Nonce_1和Nonce_2，推演ProSe密钥。

S1024，远端UE向中继UE发送直接安全模式命令完成消息。相应的，中继UE接收来自远端UE的直接安全模式命令完成消息。

需要指出的是，图10所示的流程中提到的消息#1、消息#2等等，仅用于命名上的区分，不作为任何限定。

场景4：

示例性的，图11为本申请实施例提供的通信方法的流程示意图四。该通信方法主要适用于远端UE、中继UE、AMF网元、AUSF网元、以及UDM网元之间的通信。AMF网元可以包括：中继AMF网元和远端AMF网元，二者可以是同一或不同的AMF网元，对此不做具体限定。AUSF网元可以是远端AUSF网元，如AUSF网元是根据远端UE的标识确定的，用于支持对远端UE的认证，或者也可以其他任何可能形态的AUSF网元，对此不做具体限定。UDM网元可以是远端UDM网元，如该UDM网元是根据远端UE的标识确定的，用于为远端UE生成认证向量，或者也可以其他任何可能形态的UDM网元，对此不做具体限定。在场景4中，UDM网元根据来自的AUSF网元的请求确定基于EAP AKA’建立安全的ProSe中继通信(也可以称为ProSe中继通信的EAP-AKA’流程，简称ProSe EAP-AKA’)或者新的EAP AKA。在ProSe中继通信的5G EAP-AKA’的认证流程中，AMF网元、AUSF网元与UDM网元之间可通过新的服务操作或服务名称进行交互。

具体的，如图11所示，该通信方法的流程如下：

S1101，远端UE注册到网络，从网络获取ProSe通信策略信息。

S1102，中继UE注册到网络，从网络获取ProSe通信策略信息。

其中，S1101-S1102的具体实现原理与上述S801-S802类似，可参考理解，不再赘述。

S1103，远端UE执行中继发现流程。

S1104，远端UE向中继UE发送直接通信请求消息。相应的，中继UE接收来自远端UE的直接通信请求消息。

S1105，中继UE向中继AMF网元发送中继密钥请求消息。相应的，中继AMF网元接收来自中继UE的中继密钥请求消息。

S1106，中继AMF网元验证中继UE。

其中，S1103-S1106的具体实现原理与上述S403-S406类似，可参考理解，不再赘述。

S1107，中继AMF网元向AUSF网元发送ProSe UE认证请求消息#1。相应的，AUSF网元接收来自中继AMF网元的ProSe UE认证请求消息#1。

S1108，AUSF网元向UDM网元发送ProSe UE认证获得请求消息。相应的， UDM网元接收来自AUSF网元的ProSe UE认证获得请求消息。

其中，S1107-S1108的具体实现原理与上述S907-S908类似，可参考理解，不再赘述。

S1109，UDM网元生成ProSe中继通信的认证向量。

UDM网元可根据ProSe UE认证获得请求消息，确定执行ProSe认证。在此基础上，UDM网元，或者UDM网元可以调用SIDF，解析SIDF解析SUCI获取SUPI。UDM网元可以根据SUPI对应的签约用户数据，确定ProSe中继通信的认证机制，例如确定使用ProSe中继通信的EAP-AKA’。如此，UDM网元可以生成ProSe中继通信的认证向量，具体实现原理可以参考上述S1109中的相关介绍，不再赘述。

S1110，UDM网元向AUSF网元发送ProSe UE认证获得响应消息。相应的，UDM网元接收来自AUSF网元的ProSe UE认证获得响应消息。

ProSe UE认证获得响应消息为应上述ProSe UE认证获得请求消息的响应消息。ProSe UE认证获得响应消息中可以包括：EAP-AKA’的ProSe认证向量，可选地，还可以包括：SUPI。ProSe UE认证获得响应消息还可以指示：该EAP-AKA’的ProSe认证向量为支持ProSe中继通信的EAP-AKA’认证向量。例如，ProSe UE认证获得响应消息可以通过自身消息类型，指示认证向量用于EAP-AKA’，EAP-AKA’支持ProSe中继通信。或者，ProSe UE认证获得响应消息也可以通过携带的指示信息，指示认证向量用于EAP-AKA’，EAP-AKA’支持ProSe中继通信。

S1111，AUSF网元储存XRES。

AUSF网元接收到ProSe UE认证获得响应消息后，可储存XRES，可选地，还存储SUPI，以便后续认证使用。在ProSe认证中，AUSF网元可以不推演K_SEAF，以防止生成冗余的信息，造成资源的浪费。

S1112，AUSF网元向中继AMF网元发送ProSe UE认证响应消息#1。相应的，中继AMF网元接收来自AUSF网元的ProSe UE认证响应消息#1。

ProSe UE认证响应消息#1为上述ProSe UE认证请求消息#1的响应消息。ProSe UE认证响应消息#1中可以包括：EAP请求消息/AKA’挑战消息。EAP请求消息/AKA’挑战消息可以是根据UE认证获得响应消息#1确定的NAS消息，包括：RAND和AUTN。

S1113，中继AMF网元向中继UE发送ProSe通信认证请求消息。相应的，中继UE接收来自中继AMF网元的ProSe通信认证请求消息。

S1114，中继UE向远端UE发送远端UE认证请求消息。相应的，远端UE接收来自中继UE的远端UE认证请求消息。

S1115，远端UE推演RES。

S1116，远端UE向中继UE发送远端UE认证响应消息。相应的，远端UE接收来自中继UE的远端UE认证响应消息。

S1117，中继UE向中继AMF网元发送ProSe通信认证响应消息。相应的，中继 AMF网元接收来自中继UE的ProSe通信认证响应消息。

其中，S1113-S1117的具体实现原理与S1013-S1017类似，可以参考理解，不再赘述。

S1118，中继AMF网元向AUSF网元发送ProSe UE认证请求消息#2。相应的，AUSF网元接收来自中继AMF网元的ProSe UE认证请求消息#2。

ProSe UE认证请求消息#2可用于请求对远端UE进行ProSe认证，包括：EAP响应消息/AKA’挑战消息。也就是说，中继AMF网元可以从ProSe通信认证响应消息中获得EAP响应消息/AKA’挑战消息，将其封装到ProSe UE认证请求消息#2中，以向AUSF网元透传该EAP响应消息/AKA’挑战消息。可选地，如果S1107中的ProSe UE认证请求消息#1未携带RSC和Nonce_1，则ProSe UE认证请求消息#2中还可以包括：RSC和Nonce_1，即中继AMF网元还可以将RSC和Nonce_1封装到ProSe UE认证请求消息#2中。或者，在S1107中的ProSe UE认证请求消息#1携带RSC和Nonce_1的情况下，ProSe UE认证请求消息#2中仍可以包括：RSC和Nonce_1。

S1119，AUSF网元认证远端UE。

其中，S1119的具体实现原理与S1019类似，可以参考理解，不再赘述。

S1120，AUSF网元向中继AMF网元发送ProSe UE认证响应消息#2。相应的，中继AMF网元接收来自AUSF网元的ProSe UE认证响应消息#2。

ProSe UE认证响应消息#2为ProSe UE认证请求消息#2的响应消息。ProSe UE认证响应消息#2中可以包括：EAP成功消息，用以指示认证通过，以及还可以包括：ProSe密钥和Nonce_2。也就是说，AUSF网元确定远端UE认证通过后，可生成EAP成功消息，并将EAP成功消息、ProSe密钥和Nonce_2封装到ProSe UE认证响应消息#2中，然后向中继AMF网元发送ProSe UE认证响应消息#2。

S1121，中继AMF网元向中继UE发送中继密钥响应消息。相应的，中继UE接收来自中继AMF网元的中继密钥响应消息。

S1122，中继UE向远端UE发送直接安全模式命令消息。相应的，远端UE接收来自中继UE的直接安全模式命令消息。

S1123，远端UE推演ProSe密钥。

S1124，远端UE向中继UE发送直接安全模式命令完成消息。相应的，中继UE接收来自远端UE的直接安全模式命令完成消息。

需要指出的是，图11所示的流程中提到的消息#1、消息#2等等，仅用于命名上的区分，不作为任何限定。

场景5：

示例性的，图12为本申请实施例提供的通信方法的流程示意图五。该通信方法主要适用于远端UE、中继UE、AMF网元、AUSF网元、以及UDM网元之间的通信。AMF网元可以包括：中继AMF网元和远端AMF网元，二者可以是同一或不同的AMF网元，对此不做具体限定。AUSF网元可以是中继AUSF网元，或者也可以其他任何可能形态的AUSF网元，对此不做具体限定。UDM网元可以是中继UDM网元，或者也可以其他任何可能形态的UDM网元，对此不做具体限定。在场景5中，远端UE或者中继AMF网元可以判断是否执行过ProSe认证。在执行过对远端UE认证的情况下，可使用中继AUSF网元上已有的密钥(如K_AUSF)推演ProSe密钥，无需再次执行Prose认证。

具体的，如图12所示，该通信方法的流程如下：

S1201，远端UE注册到网络，从网络获取ProSe通信策略信息。

S1202，中继UE注册到网络，从网络获取ProSe通信策略信息。

S1203，远端UE执行中继发现流程。

其中，S1102的具体实现原理与上述S403类似，可参考理解，不再赘述。

S1204，远端UE确定认证指示信息。

认证指示信息可以用于指示远端UE是否与网络执行过主认证流程，或者用于确定是否执行ProSe认证。例如，认证指示信息包括：1比特(bit)。这1比特的取值为1，表示远端UE执行过主认证流程，或确定无需执行ProSe认证，或确定使用现有的K_AUSF。这1比特的取值为0，表示远端UE未执行过主认证，或确定执行ProSe认证。或者，这1比特的取值为1，表示远端UE未执行主认证，或确定执行ProSe认证流程。这1比特的取值为0，表示远端UE执行过主认证，或确定无需执行ProSe认证，或确定使用现有的K_AUSF。

其中，远端UE通过中继发现流程发现中继UE后，可判断本地是否储存有上述用于推演ProSe密钥的密钥，例如K_AUSF。如果储存有上述K_AUSF，则表示远端UE执行过ProSe认证，生成对应取值的认证指示信息。否则，如果未储存上述K_AUSF，则表示远端UE未执行ProSe认证，生成对应取值的认证指示信息。

可选地，用于推演ProSe密钥的密钥为K_AUSF仅为一种示例，K_AUSF可替换为其他的密钥，例如上述K_PROSE。或者，用于推演ProSe密钥的密钥也可以分别存储在远端UE和网络中。例如，在远端UE与网络执行ProSe认证之后，该密钥便可以分别存储在远端UE和网络中。此处不限制。

S1204为可选步骤，即远端UE通过认证指示信息直接指示其是否执行过认证，其仅为一种示例性的方式。例如，可选地，远端UE也可通过是否生成指示认证指示信息，来对应指示其是否执行过认证。这种情况下，后续的设备可通过信令中是否携带认证指示信息，来判断远端UE是否执行过认证。如果信令中携带有认证指示信息，则用以显示指示远端UE执行过认证。如果信令中未携带认证指示信息，则用以隐式指示远端UE未执行认证。或者，如果信令中携带有认证指示信息，则用以显示指示远端UE未执行认证。如果信令中未携带认证指示信息，则用以隐式指示远端UE执行过认证。又例如，可选地，远端UE可以不指示其是否执行过ProSe认证，由中继AMF网元自行确定。

需要指出的是，通过认证指示信息这一命名来指示其是否执行过认证仅为一种示例，其也可以替换为其他任何可能的命名，例如指示信息、或ProSe指示信息等等，对此不做任何限定。

S1205，远端UE向中继UE发送直接通信请求消息。相应的，中继UE接收来自远端UE的直接通信请求消息。

直接通信请求消息可用于远端UE请求与中继UE通信，包括：远端UE的SUCI、RSC、以及Nonce_1。可选地，直接通信请求消息中还可以包括：认证指示信息。

S1206，中继UE向中继AMF网元发送中继密钥请求消息。相应的，中继AMF网元接收来自中继UE的中继密钥请求消息。

中继密钥请求消息主要用于中继UE请求中继通信，或者说请求ProSe中继通信的密钥，包括：远端UE的SUCI、RSC、以及Nonce_1。可选地，中继密钥请求消息中还可以包括中继UE的标识，如5G GUTI。远端UE的SUCI、RSC以及Nonce_1可以参考上述S405中的相关介绍，不再赘述。可选地，在直接通信请求消息中携带有认证指示信息的情况下，中继密钥请求消息中还可以包括：认证指示信息。也就是说，中继UE接收到直接通信请求消息，并从中获得认证指示信息后，可将认证指示信息继续封装到中继密钥请求消息中，然后向中继AMF网元发送中继密钥请求消息。

S1207，中继AMF网元验证中继UE。

其中，S1207的具体实现原理与上述S406类似，可参考理解，不再赘述。

S1208，中继AMF网元确定是否发起ProSe认证。

中继AMF网元可以根据中继密钥请求消息中的认证指示信息，或者根据中继密钥请求消息中是否有携带认证指示信息，确定是否发起ProSe认证。这种情况下，如果中继AMF网元确定不发起ProSe认证，则从UDM网元获得AUSF网元的标识，以从AUSF网元获得ProSe密钥，也即S1209-S1216。否则，如果中继AMF网元确定发起ProSe认证，则执行ProSe认证，也即S1217。

可以理解，S1208为可选步骤，在远端UE未指示其是否执行过认证的情况下，中继AMF网元可跳过S1208执行S1209，以根据是否能够从UDM网元获得AUSF网元的标识，确定远端UE是否执行过认证或网络有可用的密钥(如K_AUSF)，也即确定是否发起ProSe通信认证。如果中继AMF网元确定不发起ProSe认证，则执行S1211-S1216。否则，如果中继AMF网元确定发起ProSe认证，则执行S1217。

S1209，中继AMF网元向UDM网元发送AUSF获得请求(Nudm_AUSFIdGet Request)消息。相应的，UDM网元接收来自中继AMF网元的AUSF获得请求消息。

其中，AUSF获得请求消息用于请求UDM网元反馈AUSF网元的标识，例如AUSF网元的ID(instance Id)，或AUSF网元的IP地址(如IPv4地址、IPv6地址或前缀)。AUSF获得请求消息中可以包括：远端UE的SUCI。如此，UDM网元可以从中获得远端UE的SUCI，以根据该SUCI查找AUSF网元的标识。例如，UDM 网元，或者UDM网元可以调用SIDF解析该SUCI获得SUPI，从而根据SUPI获取存储在UDM网元中的远端UE的上下文，以判断是否能够从上下文中获取AUSF网元的标识。

可选的，UDM网元也可以根据SUPI对应的签约用户数据，判断用户是否授权使用中继通信，具体实现原理也可以参考上述S809中的相关介绍，不再赘述。

需要指出的是，AUSF获得请求消息仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如AUSF标识获得请求消息、或AUSF地址获得请求消息等等，对此不做任何限定。

S1210，UDM网元向中继AMF网元发送AUSF获得响应(Nudm_AUSFIdGet Response)消息。相应的，UDM网元接收来自中继AMF网元的AUSF获得响应消息。

AUSF获得响应消息为上述AUSF获得请求消息的响应消息。AUSF获得响应消息中可以包括：AUSF网元的标识，可选地，还可以包括：SUPI。

其中，如果远端UE执行过认证，或者说远端UE本地存储了K_AUSF，那么远端UE的上下文中应当储存有当初认证远端UE的AUSF网元的标识。这种情况下，UDM网元能够从远端UE的上下文中获取AUSF网元的标识，并将其封装到AUSF获得响应消息中，然后向中继AMF网元发送该AUSF获得响应消息。否则，如果远端UE未执行ProSe认证，那么远端UE的上下文中没有AUSF网元的标识。这种情况下，UDM网元无法从远端UE的上下文中获取AUSF网元的标识，而直接向中继AMF网元发送AUSF获得响应消息。

可以理解，在远端UE指示其执行过主认证的情况下，通过执行S1209-S1210，中继AMF网元应当能够获得AUSF网元的标识。

需要指出的是，AUSF获得响应消息仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如AUSF标识获得响应消息、或AUSF地址获得响应消息等等，对此不做任何限定。

S1211，中继AMF网元向AUSF网元发送ProSe密钥请求(Nausf_ProSe_Key Request)消息。相应的，AUSF网元接收来自中继AMF网元的ProSe密钥请求消息。

中继AMF网元可以根据AUSF网元的标识，向AUSF网元发送ProSe密钥请求消息。ProSe密钥请求消息主要用于请求ProSe密钥，包括：SUPI、RSC以及Nonce_1。AUSF网元接收到ProSe密钥请求消息后，可从中获得RSC以及Nonce_1。这样，AUSF网元可以根据先前认证远端UE时确定K_AUSF、本次生成的Nonce_2、以及RSC和Nonce_1，推演ProSe密钥。其中，推演ProSe密钥的具体实现原理可以参考上述S820中的相关介绍，不再赘述。

需要指出的是，ProSe密钥请求消息仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如ProSe通信密钥请求消息，对此不做任何限定。

S1212，AUSF网元向中继AMF网元发送ProSe密钥响应(Nausf_ProSe_Key Response)消息。相应的，中继AMF网元接收来自AUSF网元的ProSe密钥响应消息。

ProSe密钥响应消息为上述ProSe密钥请求消息的响应消息，包括：ProSe密钥和Nonce_2。此外，ProSe密钥响应消息也仅为本申请实施例中的一种示例性的命名方式，其也可以替换为其他任何可能的命名方式，例如ProSe通信密钥响应消息，对此不做任何限定。

S1213，中继AMF网元向中继UE发送中继密钥响应消息。相应的，中继UE接收来自中继AMF网元的中继密钥响应消息。

S1214，中继UE向远端UE发送直接安全模式命令消息。相应的，远端UE接收来自中继UE的直接安全模式命令消息。

S1215，远端UE推演ProSe密钥。

S1216，远端UE向中继UE发送直接安全模式命令完成消息。相应的，中继UE接收来自远端UE的直接安全模式命令完成消息。

其中，S1213-S1216的具体实现原理与S822-S825类似，可参考理解，不再赘述。

至此，远端UE和中继UE都获得了相同的ProSe密钥，可以基于ProSe密钥推演PC5连接的会话密钥，例如加密密钥和完整性保护密钥，以确保ProSe中继通信安全。此外，在远端UE执行过ProSe认证的情况，AUSF网元无需认证即可推演ProSe密钥，以有效提高设备运行效率。

S1217，ProSe认证。

通过执行ProSe认证可建立中继UE和远端UE的安全通信。

其中，S1217可以为场景1中的S807-S822、或者场景2中的S907-S922、或者场景3中的S1007-S1021、或者场景4中的S1107-S1121，具体实现原理与场景1-场景4类似，可参考理解，不再赘述。

场景6：

示例性的，图13为本申请实施例提供的通信方法的流程示意图六。该通信方法主要适用于远端UE、中继UE、AMF网元、AUSF网元、以及UDM网元之间的通信。AMF网元可以包括：中继AMF网元和远端AMF网元，二者可以是同一或不同的AMF网元，对此不做具体限定。AUSF网元可以包括：中继AUSF网元和远端AUSF网元，二者可以是不同的AUSF网元。UDM网元可以是远端UDM网元，或者也可以其他任何可能形态的UDM网元，对此不做具体限定。在场景6中，UDM网元可以判断远端UE是否执行过认证。在执行过认证的情况下，可直接推演ProSe密钥，无需再次认证。

具体的，如图13所示，该通信方法的流程如下：

S1301，远端UE注册到网络，从网络获取ProSe通信策略信息。

S1302，中继UE注册到网络，从网络获取ProSe通信策略信息。

其中，S1301-S1302的具体实现原理与上述S801-S802类似，可参考理解，不再赘述。

S1303，远端UE执行中继发现流程。

S1304，远端UE向中继UE发送直接通信请求消息。相应的，中继UE接收来自远端UE的直接通信请求消息。

S1305，中继UE向中继AMF网元发送中继密钥请求消息。相应的，中继AMF网元接收来自中继UE的中继密钥请求消息。

中继密钥请求消息主要用于中继UE请求中继通信，或者说请求ProSe中继通信的密钥，包括：中继UE的SUCI、远端UE的SUCI、RSC、以及Nonce_1。

S1306，中继AMF网元验证中继UE。

其中，S1303-S1306的具体实现原理与上述S403-S406类似，可参考理解，不再赘述。

S1307，中继AMF网元向中继AUSF网元UE认证请求消息/发送ProSe UE认证请求消息。相应的，中继AUSF网元接收来自中继AMF网元的UE认证请求消息#1/ProSe UE认证请求消息#1。

其中，UE认证请求消息的具体实现原理可以参考上述S807中的相关介绍，ProSe UE认证请求消息的具体实现原理可以参考上述S1007中的相关介绍，不再赘述。

S1308，中继AUSF网元向UDM网元发送UE认证获得请求消息/ProSe UE认证获得请求消息。相应的，UDM网元接收来自中继AUSF网元的UE认证获得请求消息/ProSe UE认证获得请求消息。

其中，UE认证获得请求消息的具体实现原理可以参考上述S808中的相关介绍，ProSe UE认证获得请求消息的具体实现原理可以参考上述S1008中的相关介绍，不再赘述。

S1309，UDM网元确定远端UE是否执行过认证，或确定是否有服务的AUSF实例。

UDM网元接收到UE认证获得请求消息/ProSe UE认证获得请求消息，可从中获得远端UE的SUCI，以根据该SUCI查找远端AUSF网元的标识。例如，UDM网元，或者UDM网元可以调用SIDF解析该SUCI获得SUPI，从而根据SUPI获取存储在UDM网元中的远端UE的上下文，以判断是否能够从上下文中获取远端AUSF网元的标识。这种情况下，如果UDM网元能够获取远端AUSF网元的标识，则表示远端UE执行过认证，有服务的AUSF实例，可直接从该远端AUSF网元获得ProSe密钥，即S1310-S1317，无需再次认证。否则，如果UDM网元无法获取远端AUSF网元的标识，则表示远端UE未执行主认证，没有服务的AUSF实例，需要执行ProSe认证，即S1318。

S1310，UDM网元向远端AUSF网元发送ProSe密钥请求消息。相应的，远端AUSF网元接收来自UDM网元的ProSe密钥请求消息。

UDM网元可以根据远端AUSF网元的标识，向远端AUSF网元发送ProSe密钥请求消息。ProSe密钥请求消息主要用于请求ProSe密钥，包括：SUPI、RSC以及Nonce_1。远端AUSF网元接收到ProSe密钥请求消息后，可从中获得RSC以及 Nonce_1。这样，远端AUSF网元可以根据先前认证远端UE时确定K_AUSF、本次生成的Nonce_2、以及RSC和Nonce_1，推演ProSe密钥。其中，推演ProSe密钥的具体实现原理可以参考上述S820中的相关介绍，不再赘述。

S1311，远端AUSF网元向UDM网元发送ProSe密钥响应消息。相应的，UDM网元接收来自远端AUSF网元的ProSe密钥响应消息。

ProSe密钥响应消息为上述ProSe密钥请求消息的响应消息，可以包括：ProSe密钥和Nonce_2。

S1312，UDM网元向中继AUSF网元发送UE认证获得响应消息/ProSe UE认证获得响应消息。相应的，中继A USF网元接收来自UDM网元的UE认证获得响应消息/ProSe UE认证获得响应消息。

UE认证获得响应消息/ProSe UE认证获得响应消息中可以包括：ProSe密钥和Nonce_2。UE认证获得响应消息的具体实现原理也可以参考上述S810中的相关介绍，ProSe UE认证获得响应消息的具体实现原理也可以参考上述S1010中的相关介绍，不再赘述。

S1313，中继AUSF网元向中继AMF网元发送UE认证响应消息/ProSe UE认证响应消息。相应的，中继AMF网元接收来自中继AUSF网元的UE认证响应消息/ProSe UE认证响应消息。

UE认证响应消息/ProSe UE认证响应消息中可以包括：ProSe密钥和Nonce_2。UE认证响应消息的具体实现原理也可以参考上述S812中的相关介绍，ProSe UE认证响应消息的具体实现原理也可以参考上述S1012中的相关介绍，不再赘述。

S1314，中继AMF网元向中继UE发送中继密钥响应消息。相应的，中继UE接收来自中继AMF网元的中继密钥响应消息。

S1315，中继UE向远端UE发送直接安全模式命令消息。相应的，远端UE接收来自中继UE的直接安全模式命令消息。

S1316，远端UE推演ProSe密钥。

S1317，远端UE向中继UE发送直接安全模式命令完成消息。相应的，中继UE接收来自远端UE的直接安全模式命令完成消息。

其中，S1314-S1317的具体实现原理与S822-S825类似，可参考理解，不再赘述。

至此，远端UE和中继UE都获得了相同的ProSe密钥，可以基于ProSe密钥推演PC5连接的会话密钥，例如加密密钥和完整性保护密钥，以确保ProSe中继通信安全。此外，在远端UE执行过ProSe认证的情况，远端AUSF网元无需认证即可推演ProSe密钥，以有效提高设备运行效率。

S1318，ProSe认证。

通过执行ProSe认证可建立中继UE和远端UE的安全通信。

其中，S1318可以为场景1中的S809-S822、或者场景2中的S909-S922、或者场景3中的S1009-S1021、或者场景4中的S1109-S1121，具体实现原理与场景1-场景4类似，可参考理解，不再赘述。

以上结合场景1-场景6介绍了本申请实施例提供的通信方法在各个场景下的具体流程。下面结合图14介绍本申请实施例提供的通信方法在各个场景下的整体流程。

示例性的，图14为本申请实施例提供的通信方法的流程示意图七。该通信方法可以适用于远端终端、中继终端、接入和移动管理网元、认证服务网元、以及数据管理网元之间的通信。其中，远端终端可以是上述场景1-场景6中的远端UE。中继终端可以是上述场景1-场景6中的中继UE。接入和移动管理网元可以是上述场景1-场景6中的中继AMF网元。认证服务网元可以是上述场景1-场景6中的AUSF网元。数据管理网元可以是上述场景1-场景6中的UDM网元。

如图14所示，该通信方法的流程如下：

S1401，接入和移动管理网元向认证服务网元发送认证请求消息#3。相应的，认证服务网元接收来自接入和移动管理网元的认证请求消息#3。

认证请求消息#3可用于请求认证远端终端。比如，请求认证服务网元认证远端终端，用以触发认证服务网元执行ProSe通信的认证流程，确保认证的正确性和可靠性。认证请求消息#3包括：远端终端的SUCI，还可以包括如下至少一项：服务网络名称、RSC、随机值#1(例如上述Nonce_1)或ProSe中继通信指示信息(例如上述ProSe中继通信指示信息#1)。其中，服务网络名称、RSC或ProSe中继通信指示信息中的任一项可用于指示认证为ProSe中继通信的认证，以触发认证服务网元执行ProSe通信的认证流程，确保认证的准确性和可靠性，避免对现有流程的影响。服务网络名称、RSC、或随机值#1中的任一项可用于确定ProSe密钥，以便AUSF网元在确定认证通过的情况下，可以直接根据这些参数推演ProSe密钥，无需额外获取，以提高密钥推演效率。认证请求消息#3具体可以为上述UE认证请求消息#1，或者ProSe UE认证请求消息#1，具体实现原理可以参考上述S807、S907、S1007、或S1107中的相关介绍，不再赘述。

可选地，若认证请求消息#3中包括：RSC和随机值#1，则认证服务网元还可以保存RSC和随机值#1，以便后续密钥推演时可直接使用，无需再次获取，以进一步提高密钥推演效率。

S1402，认证服务网元向数据管理网元发送认证请求消息#1。相应的，数据管理网元接收来自认证服务网元的认证请求消息#1。

认证请求消息#1可以用于请求认证远端终端。例如，认证请求消息#1包括如下至少一项：远端终端的SUCI、服务网络名称、RSC或ProSe中继通信指示信息，例如ProSe中继通信指示信息为上述ProSe中继通信指示信息#2，ProSe中继通信指示信息用于指示认证为ProSe中继通信的认证。如此，认证请求消息#1触发数据管理网元获取ProSe中继通信对应的认证向量，确保ProSe中继通信认证的正确性和可靠性。认证请求消息#1可以为上述UE认证获得请求消息，或者ProSe UE认证获得请求消息，具体实现原理可以参考上述S808、S908、S1008、或S1108中的相关介绍，不再赘述。

可选地，认证服务网元向数据管理网元发送认证请求消息#1还可以包括：认证服务网元根据来自移动与接入管理网元的认证请求消息#3生成认证请求消息#1，然后向数据管理网元发送认证请求消息#1。

S1403，数据管理网元向认证服务网元发送认证响应消息#1。相应的，认证服务网元接收来自数据管理网元的认证响应消息#1。

认证响应消息#1可以为上述UE认证获得响应消息，或者ProSe UE认证获得响应消息。认证响应消息#1包括：ProSe认证信息#1。ProSe认证信息#1可以包括如下至少一项：用于远端终端认证网络的信息、或用于认证远端终端的信息。

具体的，ProSe认证信息#1可以为如下至少一项：AKA的ProSe认证向量#1(例如5G AKA的ProSe认证向量#1)、或EAP-AKA’的ProSe的认证向量。也就是说，远端UE与网络之间的认证可以基于对已有认证方法，例如5G AKA或EAP-AKA’增强实现，以实现在不引入新的认证方法的情况下，确保ProSe中继通信安全。

在ProSe认证信息#1为AKA的ProSe认证向量#1的情况下，其可以包括如下至少一项：用于远端终端认证网络的信息，例如上述RAND和AUTN、用于认证服务网元认证远端终端的信息，例如上述XRES*、或用于确定ProSe密钥的信息，例如上述K_AUSF。

或者，在ProSe认证信息#1为EAP-AKA’的ProSe的认证向量的情况下，其可以包括如下至少一项：用于远端终端认证网络的信息，例如上述RAND和AUTN、用于认证服务网元认证远端终端的信息，例如上述XRES、或用于确定ProSe密钥的信息，例如上述CK和IK。

可选地，认证响应消息#1还可以包括：指示信息，用于指示ProSe认证信息#1为认证方法对应的认证信息，如指示认证信息为EAP-AKA’机制的认证信息或5G AKA机制的认证信息。可选地，该指示信息还用于指示认证信息为用于ProSe通信的认证信息，或者说支持ProSe通信的认证。也就是说，该指示信息可以用于指示认证信息为支持的ProSe中继通信的EAP-AKA’或5G AKA的认证信息，也即增强的EAP-AKA’或AKA的认证信息。其中，增强的EAP-AKA’机制或5G AKA机制可以理解为：在认证流程中，有任一参与认证的网元使用新的认证向量生成方法确定认证向量、使用新的消息、使用新的服务操作、或者新增信元，则可认为是增强的EAP-AKA’机制或5G AKA机制。

可选地，在S1403之前，数据管理网元还可以确定远端终端授权获取中继服务。也就是说，在确定远端终端有使用中继通信的权限的基础上，才对其进行ProSe中继通信认证，避免无效认证。以及，在S1403之前，数据管理网元可以根据认证请求消息#1，确定ProSe认证信息#1。

可选地，在S1403之前，若触发ProSe中继通信的认证，或者说认证远端终端的流程，则数据管理网元可以选择支持的ProSe中继通信的EAP-AKA’机制或5G AKA机制，也即增强的EAP-AKA’机制或AKA机制。数据管理网元也可以选择已有的EAP-AKA’机制或5G AKA机制，保证针对ProSe中继通信场景，相关网元仅需要支持一种流程的增强逻辑即可实现，降低复杂度。其中，数据管理网元选择的已有的EAP-AKA’机制或5G AKA机制可以理解为：数据管理网元使用已有的方法推演认证向量和使用已有的服务操作等。

此外，S1403的具体实现原理可以参考上述S809-S810、S909-S910、S1009-S1010、或S1109-S1110中的相关介绍，不再赘述。

S1404，认证服务网元向接入和移动管理网元发送认证响应消息#3。相应的，接入和移动管理网元接收来自认证服务网元的认证响应消息#3。

认证响应消息#3可以为上述UE认证响应消息#1，或者ProSe UE认证响应消息#1。认证响应消息#3包括：ProSe认证信息#2。ProSe认证信息#2包括：用于远端终端认证网络的信息。可选地，ProSe认证信息#2还可以包括：用于网络认证远端终端的信息。也就是说，ProSe中继通信的认证可以由接入和移动管理网元触发，例如在业务有需求的情况下触发，以便认证服务网元可以有针对性地执行认证，确保认证的有效性。

具体的，ProSe认证信息#2可根据ProSe认证信息#1确定。ProSe认证信息#2可以为如下至少一项：AKA的ProSe认证向量#2(例如5G AKA的ProSe认证向量#2)、或EAP请求消息或AKA’挑战消息。例如，如果采用已有的AKA认证机制，则AKA的ProSe认证向量#2可根据AKA的ProSe认证向量#1确定，无需引入新的功能，从而降低网元复杂度。如果采用增强的EAP-AKA’认证机制，则EAP请求消息或AKA’挑战消息可根据EAP-AKA’的ProSe的认证向量确定，无需引入新的功能，从而降低网元复杂度。

在ProSe认证信息#2为AKA的ProSe认证向量#2的情况下，其可包括如下至少一项：用于远端终端认证网络的信息，例如RAND和AUTN、或用于接入和移动管理网元认证远端终端的信息，例如上述HXRES*。如此，AKA的ProSe认证向量#2不仅可用于远端终端认证网络，还可用于接入和移动管理网元从服务网的角度认证远端终端，从而可以提高认证的全面性，进一步确保ProSe中继通信安全。

或者，在ProSe认证信息#2为EAP请求消息或AKA’挑战消息的情况下，其可包括：用于远端终端认证网络的信息，例如RAND和AUTN。也就是说，认证服务网元将ProSe认证信息#1中用于远端终端认证网络的信息，封装到EAP请求消息或AKA’挑战消息中，可实现将该消息作为容器向接入和移动管理网元发送，以便接入和移动管理网元直接透传该消息，以提高处理效率，降低开销。

可选地，认证服务网元跳过推演用于远端终端与网络之间通信的密钥，例如K_SEAF，以防止生成冗余的信息，造成资源的浪费或对现有机制的影响。例如，认证服务网元可以根据本地存储的信息(如RSC或Nonce_1)或接收到的认证响应消息#1，确定跳过推演用于远端终端与网络通信的密钥。

此外，S1404的具体实现原理可以参考上述S811-S812、S911-S912、S1011-S1012、或S1111-S1112中的相关介绍，不再赘述。

S1405，接入和移动管理网元向中继终端发送用于远端终端认证网络的信息。相应的，中继终端接收来自接入和移动管理网元的用于远端终端认证网络的信息。

用于远端终端认证网络的信息可以包括：RAND和AUTN的EAP请求消息/AKA’挑战消息，或者直接包括：RAND和AUTN，或者包括：容器，该容器中包括：RAND和AUTN。用于远端终端认证网络的信息可以承载在消息中。例如，ProSe通信认证请求消息，或者其他任何可能的消息中，对此不做具体限定。该消息的名称或携带的指示信息，可用于指示需要由远端终端执行ProSe中继通信的认证流程。如此，中继终端可以根据该消息，向远端终端发送用于远端终端认证网络的信息，避免中继终端执行其他操作，例如自行认证，确保ProSe中继通信认证的可靠性。此外，该消息为通过通信密钥保护的消息，也即该用于远端终端认证网络的信息为通过通信密钥保护的信息。该通信密钥用于中继终端与网络的通信，以确保中继终端与网络之间的通信安全。

可选地，接入和移动管理网元向中继终端发送远端终端认证网络的信息前，接入和移动管理网元跳过获取ngKSI和ABBA参数，或者接入和移动管理网元跳过生成密钥集标识和反降级参数。接入和移动管理网元不向中继终端发送ngKSI和ABBA参数。

此外，S1405的具体实现原理可以参考上述S813、S913、S1013、或S1113中的相关介绍，不再赘述。

S1406，中继终端向远端终端发送用于远端终端认证网络的信息。相应的，远端终端接收来自中继终端的用于远端终端认证网络的信息。

用于远端终端认证网络的信息可以包括：携带有RAND和AUTN的EAP请求消息/AKA’挑战消息，或者直接包括：RAND和AUTN，或者包括：容器，该容器中包括：RAND和AUTN。用于远端终端认证网络的信息可以承载在消息中，例如远端终端认证请求消息，或者其他任何可能的消息中，对此不做具体限定。可选地，该消息的名称或携带的指示信息，可以指示需要由远端终端执行ProSe中继通信的认证流程或指示请求认证远端UE。如此，中继终端向远端终端发送用于远端终端认证网络的信息，可以包括：中继终端根据消息，向远端终端发送用于远端终端认证网络的信息，以确保ProSe中继通信认证的可靠性。例如，中继终端根据该消息的名称或消息中包含的指示信息，向远端终端发送用于远端终端认证网络的信息。此外，该消息可以为上述远端UE认证请求消息，具体实现原理可以参考上述S814、S914、S1014、或S1114中的相关介绍，不再赘述。

S1407，远端终端向中继终端发送远端终端确定的认证响应信息。相应的，中继终端接收来自远端终端的认证响应信息。

远端终端确定的认证响应信息用于认证远端终端，例如上述RES或RES*。也就是说，中继终端可以主动与远端终端交互，以确保远端终端能够认证网络，并向网络反馈自身的认证响应消息，确保网络也能够认证远端终端。该远端终端确定的认证响应信息可以承载在远端终端认证响应消息，或者其他任何可能的消息中，对此不做具体限定。远端终端认证响应消息可以为上述远端UE认证响应消息，具体实现原理可以参考上述S815-S816、S915-S916、S1015-S1016、或S1115-S1116中的相关介绍，不再赘述。

可选地，远端终端跳过推演用于远端终端与网络之间通信的密钥，例如K_SEAF。

S1408，中继终端向接入和移动管理网元发送远端终端确定的认证响应信息。相应的，接入和移动管理网元接收来自中继终端的远端终端确定的认证响应信息。

远端终端确定的认证响应信息用于认证远端终端，例如上述RES或RES*。该远端终端确定的认证响应信息可以承载在ProSe通信认证响应消息，或者其他任何可能的消息中，对此不做具体限定。ProSe通信认证响应消息为通过通信密钥保护的消息，也即该远端终端确定的认证响应信息为通过通信密钥保护的信息，以确保中继终端与网络之间的通信安全。例如，通信密钥为中继终端与接入和移动管理网元之间建立的非接入层安全密钥，该非接入层安全密钥可以包含加密密钥和完整性保护密钥。此外，S1408的具体实现原理可以参考上述S817、S917、S1017、或S1117中的相关介绍，不再赘述。

S1409，接入和移动管理网元向认证服务网元发送认证请求消息#2。相应的，认证服务网元接收来自接入和移动管理网元的认证请求消息#2。

认证请求消息#2用于请求认证远端终端。认证请求消息#2可以包括如下至少一项：远端终端确定的认证响应信息、用于确定ProSe密钥的RSC、或用于确定ProSe密钥的随机值#1，认证响应消息用于认证远端终端。也就是说，接入和移动管理网元可以在确定远端终端认证通过的情况下，才向认证服务网元发送用于推演ProSe密钥的参数，例如RSC和/或随机值#1，从而实现按需提供必要的参数，无需预存信息，防止资源浪费。认证请求消息#2可以为上述UE认证请求消息#2，或者ProSe UE认证请求消息#2，具体实现原理可以参考上述S819、S919、S1018、或S1118中的相关介绍，不再赘述。

可选地，在S1409之前，认证服务网元还可以保存RSC和随机值#1，以便后续密钥推演时可直接使用，无需再次获取，以进一步提高密钥推演效率。例如，用于确定ProSe密钥的信息包括中间密钥，例如K_AUSF，或者CK’和IK’，或者K_PROSE。在认证远端终端通过的情况下，认证服务网元根据如下至少一项：服务网络名称、RSC、随机值#1、随机值#2和中间密钥，确定ProSe密钥。也就是说，认证服务网元可以根据业务场景以及密钥隔离等需求，选择合适的参数来确定ProSe密钥，以适应更多业务场景。例如，根据RSC、随机值#1、随机值#2和中间密钥确定ProSe密钥。例如，根据服务网络名称、随机值#1、随机值#2和中间密钥确定ProSe密钥。例如，根据中间密钥、RSC和远端终端的SUPI推演临近业务中间密钥，再根据临近业务中间密钥、随机值#1和随机值#2确定ProSe密钥，或者还可以通过其他组合方式确定ProSe密钥，这里不一一列举。

S1410，认证服务网元向接入和移动管理网元发送认证响应消息#2。相应的，接入和移动管理网元接收来自认证服务网元的发送认证响应消息#2。

认证响应消息#2中包括：ProSe密钥。该ProSe密钥用于中继终端与远端终端的通信。可选地，认证响应消息#2中还可以包括：随机值#2。随机值#2用于确定ProSe密钥，以便远端终端在确定认证通过的情况下，可以直接根据随机值#2推演ProSe密钥，保证为远端UE的不同ProSe通信推演不同的密钥，实现密钥的隔离。认证请求消息#2可以为上述UE认证响应消息#2，或者ProSe UE认证响应消息#2，具体实现原理可以参考上述S820-S821、S920-S921、S1019-S1020、或S1119-S1120中的相关介绍，不再赘述。

可选地，认证响应消息#2中还可以包括如下至少一项：远端终端的用户隐藏标识SUPI、或EAP成功消息。EAP成功消息可以用于指示网络认证远端终端成功。该远端终端的SUPI用于指示中继终端需要向网络上报远端UE的信息。

S1411，接入和移动管理网元向中继终端发送ProSe密钥。相应的，中继终端接收来自接入和移动管理网元的ProSe密钥。

可选地，接入和移动管理网元还可以向中继终端发送远端终端的SUPI，用以指示中继终端需要向网络上报远端UE的信息。

可选地，接入和移动管理网元还可以向中继终端发送EAP成功消息，用以指示网络认证远端终端成功。

其中，S1411的具体实现原理可以参考上述S822、S922、S1021、或S1121中的相关介绍，不再赘述。

之后，可选地，远端终端和中继终端可以基于ProSe密钥推演PC5连接的通信保护密钥，例如，远端终端和中继终端可以基于ProSe密钥推演一个会话密钥，然后远端终端和中继终端基于会话密钥进一步推演通信保护密钥(如加密密钥和完整性保护密钥)，本申请不限制。

可选地，第一种可能的应用场景，如果为AKA的ProSe认证，则在S1408之后，以及在S1409之前，接入和移动管理网元可以根据远端终端确定的认证响应消息(上述基于RES*推演的XRES*)，以及用于接入和移动管理网元认证远端终端的信息(上述HXRES*)，确定远端终端认证通过。即实现接入和移动管理网元从服务网的角度认证远端终端，从而可以提高认证的全面性，进一步确保ProSe中继通信安全。第一种可能的应用场景的具体实现原理，也可以参考上述S818或S918中的相关介绍，不再赘述。

可选地，第二可能的应用场景，在S1410之后，接入和移动管理网元可以向中继终端发送随机值#2。相应的，中继终端可以接收来自接入和移动管理网元的随机值#2。如此，中继终端可以向远端终端发送随机值#2，以便远端终端接收来自中继终端的随机值#2，以根据如下至少一项：服务网络名称、RSC、随机值#1、随机值#2和中间密钥，确定ProSe密钥。可以看出，接入和移动管理网元可以在网络认证远端终端通过后，才向远端终端发送用于推演ProSe密钥的参数，也即随机值#2，避免这些参数在认证通过前提前暴露，确保认证通过前的通信安全。此外，第二可能的应用场景的具体实现原理，也可以参考上述S822-S825、S922-S925、S1021-S1023、或1121-S1124中的相关介绍，不再赘述。

可选地，第三可能的应用场景，在S1401之前，接入和移动管理网元确定未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥(如K_AUSF)。换言之，只有在远端终端没有执行过认证的情况下或不存在用于推演ProSe密钥的密钥，才执行ProSe中继通信的认证流程，避免因重复执行认证流程而导致资源浪费。当然，在对远端终端执行过认证的情况下，可使用认证服务网元上已有的密钥(如K_AUSF)推演ProSe密钥，无需再次执行ProSe中继通信认证。

具体的，接入和移动管理网元确定未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥，可以包括：接入和移动管理网元接收来自中继终端的远端终端指示信息，远端终端指示信息用于指示远端终端未执行认证或不存在用于推演ProSe密钥的密钥。接入和移动管理网元根据远端终端指示信息，确定未对远端终端执行过ProSe中继通信的认证。

或者，接入和移动管理网元确定未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥，可以包括：接入和移动管理网元向数据管理网元发送认证服务网元获得请求消息，并接收来自数据管理网元的认证服务网元获得响应消息。其中，认证服务网元获得请求消息用于请求认证服务网元的标识，该认证服务网元用于远端终端的ProSe中继通信认证。认证服务网元获得响应消息未携带该认证服务网元的标识，用以表示未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥。接入和移动管理网元根据认证服务网元获得响应消息，确定未对远端终端执行过认证或不存在用于推演ProSe密钥的密钥。

此外，第三可能的应用场景的具体实现原理，也可以参考上述场景5中的相关介绍，不再赘述。

可选地，第四可能的应用场景，在S1403之前，数据管理网元确定未对远端终端执行过认证，或确定不存在用于推演ProSe密钥的密钥，或确定为远端终端服务的AUSF网元。换言之，只有在远端终端没有执行过认证，或不存在用于推演ProSe密钥的密钥，或不存在为远端终端服务的AUSF网元的情况下，才执行ProSe中继通信的认证流程，避免因重复执行认证流程而导致资源浪费。当然，在对远端终端执行过认证的情况下，数据管理网元可以请求认证服务网元使用已有的密钥(如K_AUSF)推演ProSe密钥，无需再次执行ProSe中继通信认证。

此外，第四可能的应用场景的具体实现原理，也可以参考上述场景6中的相关介绍，不再赘述。

综上，基于图8-图14中任一项所示的通信方法，通过数据管理网元提供的ProSe认证信息#1，远端终端和网络可以彼此认证对方。在双方都认证通过的情况下，便可生成用于远端UE和中继UE通信的ProSe密钥，以便基于ProSe密钥推演PC5连接(即远端UE和中继UE间的连接)的通信保护密钥，例如加密密钥和完整性保护密钥，以确保ProSe中继通信安全，避免出现因被攻击而导致用户信息泄露等情况。

以上结合图8-图14详细说明了本申请实施例提供的通信方法。以下结合图15-图16详细说明用于执行本申请实施例提供的通信方法的通信装置。

示例性地，图15是本申请实施例提供的通信装置的结构示意图一。如图15所示，通信装置1500包括：接收模块1501和发送模块1502。为了便于说明，图15仅示出了该通信装置的主要部件。

一些实施例中，通信装置1500可适用于图7中所示出的通信系统中，执行图8-图13中所示出的通信方法中AUSF网元的功能，或者适用于图7中所示出的通信系统中，执行图14中所示出的通信方法中认证服务网元的功能。

其中，发送模块1502，用于向数据管理网元发送认证请求消息#1。接收模块1501，用于接收来自数据管理网元的认证响应消息#1。认证请求消息#1用于请求认证远端终端，认证响应消息#1包括：临近业务ProSe认证信息#1，ProSe认证信息#1包括如下至少一项：用于远端终端认证网络的信息、或用于认证远端终端的信息。如此，在远端终端认证网络通过的情况下，接收模块1501，还用于接收来自接入和移动管理网元的认证请求消息#2，并在认证远端终端通过的情况下，发送模块1502，还用于向接入和移动管理网元发送认证响应消息#2。其中，认证请求消息#2用于请求认证远端终端；认证响应消息#2包括：ProSe密钥，ProSe密钥用于中继终端与远端终端的通信。

一种可能的设计方案中，ProSe认证信息#1可以为如下至少一项：第5代通信系统认证与密钥协商AKA的ProSe认证向量#1、或扩展认证协议请求EAP-AKA’的ProSe的认证向量。

可选地，接收模块1501，还用于在发送模块1502向数据管理网元发送认证请求消息#1之前，接收来自接入和移动管理网元的认证请求消息#3。相应的，在认证服务网元接收来自数据管理网元的认证响应消息#1之后，发送模块1502，还用于在接收模块1501接收来自接入和移动管理网元的认证请求消息#2之前，向接入和移动管理网元发送认证响应消息#3。认证响应消息#3可以包括：ProSe认证信息#2，ProSe认证信息#2包括：用于远端终端认证网络的信息。

进一步的，ProSe认证信息#2可根据ProSe认证信息#1确定。ProSe认证信息#2可以为如下至少一项：AKA的ProSe认证向量#2、或EAP请求消息或AKA’挑战消息。其中，AKA的ProSe认证向量#2可根据AKA的ProSe认证向量#1确定。EAP请求消息或AKA’挑战消息可根据EAP-AKA’的ProSe的认证向量确定。

进一步的，AKA的ProSe认证向量#2可以包括如下至少一项：用于远端终端认证网络的信息、或用于接入和移动管理网元认证远端终端的信息。

进一步的，EAP请求消息或AKA’挑战消息可以包括：用于远端终端认证网络的信息。

可选地，认证请求消息#3可用于请求认证远端终端。

进一步的，认证请求消息#3可以包括如下至少一项：远端终端的用户隐藏标识SUCI、服务网络名称、中继服务码RSC、随机值#1、或ProSe中继通信指示信息。其中，服务网络名称、RSC或ProSe中继通信指示信息中的任一项可用于指示认证为ProSe中继通信的认证。服务网络名称、RSC、或随机值#1中的任一项可用于确定ProSe密钥。

进一步的，通信装置1500还可以包括：处理模块(图15中未示出)。处理模块，用于在发送模块1502向接入和移动管理网元发送认证响应消息#2之前，若认证请求消息#3中包括：RSC和随机值#1，则保存RSC和随机值#1。

进一步的，用于确定ProSe密钥的信息包括：中间密钥。处理模块，还用于在发送模块1502向接入和移动管理网元发送认证响应消息#2之前，在认证远端终端通过的情况下，根据如下至少一项：服务网络名称、RSC、随机值#1、随机值#2和中间密钥，确定ProSe密钥。

一种可能的设计方案中，认证请求消息#2可以包括如下至少一项：远端终端确定的认证响应信息、用于确定ProSe密钥的RSC、或用于确定ProSe密钥的随机值#1，认证响应消息用于认证远端终端。

可选地，认证响应消息#2可以包括：随机值#2。随机值#2用于确定ProSe密钥。

一种可能的设计方案中，认证服务网元跳过推演用于远端终端与网络之间通信的密钥。

可选地，接收模块1501和发送模块1502也可以集成为一个模块，如收发模块(图15中未示出)。其中，收发模块用于实现通信装置1500的发送功能和接收功能。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得通信装置1500可以执行图8-图13中任一项所示出的通信方法中AUSF网元的功能，或者执行图14所示出的通信方法中认证服务网元的功能。

应理解，通信装置1500中涉及的处理模块可以由处理器或处理器相关电路组件实现，可以为处理器或处理单元；收发模块可以由收发器或收发器相关电路组件实现，可以为收发器或收发单元。

需要说明的是，通信装置1500可以是网络设备，例如AUSF网元或者认证服务网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，通信装置1500的技术效果可以参考图8-图14中任一项所示出的通信方法的技术效果，此处不再赘述。

另一些实施例中，通信装置1500可适用于图7中所示出的通信系统中，执行图8-图13中所示出的通信方法中中继AMF网元的功能，或者适用于图7中所示出的通信系统中，执行图14中所示出的通信方法中接入和移动管理网元的功能。

其中，发送模块1502，用于向认证服务网元发送认证请求消息#3，接收模块1501，用于接收来自认证服务网元的认证响应消息#3。认证响应消息#3包括：ProSe认证信息#2，ProSe认证信息#2包括：用于远端终端认证网络的信息。如此，在远端终端认证网络通过的情况下，发送模块1502，还用于向认证服务网元发送认证请求消息#2，并在认证远端终端通过的情况下，接收模块1501，还用于接收来自认证服务网元的认证响应消息#2，以便发送模块1502向中继终端发送ProSe密钥。其中，认证请求消息#2用于请求认证远端终端。认证响应消息#2包括：ProSe密钥，ProSe密钥用于中继终端与远端终端的通信。

一种可能的设计方案中，在接收模块1501接收来自认证服务网元的认证响应消息#3之后，在发送模块1502向认证服务网元发送认证请求消息#2之前，发送模块1502，还用于向中继终端发送用于远端终端认证网络的信息，接收模块1501，还用于接收来自中继终端的远端终端确定的认证响应信息。该认证响应信息用于认证远端终端。

可选地，在ProSe认证信息#2可以包括：用于接入和移动管理网元认证远端终端的信息的情况下，通信装置1500还可以包括：处理模块(图15中未示出)。处理模块，还用于在接收模块1501接收来自中继终端的远端终端认证响应消息之后，以及在发送模块1502向认证服务网元发送认证请求消息#2之前，根据远端终端确定的认证响应消息，以及用于接入和移动管理网元认证远端终端的信息，确定远端终端认证通过。

可选地，用于远端终端认证网络的信息和远端终端确定的认证响应信息为通过通信密钥保护的信息，通信密钥用于中继终端与网络的通信。

可选地，认证请求消息#2可以包括如下至少一项：远端终端确定的认证响应消息、用于确定ProSe密钥的RSC、或用于确定ProSe密钥的随机值#1，认证响应消息用于认证远端终端。

进一步的，发送模块1502，还用于在接收模块1501接收来自认证服务网元的认证响应消息#2之后，向中继终端发送随机值#2。

一种可能的设计方案中，处理模块，还用于在发送模块1502向认证服务网元发送认证请求消息#3之前，确定未对远端终端执行过ProSe中继通信的认证。

可选地，接收模块1501，还用于接收来自中继终端的远端终端指示信息，远端终端指示信息用于指示远端终端未执行ProSe执行通信的认证。处理模块，还用于根据远端终端指示信息，确定未对远端终端执行过ProSe中继通信的认证。

可选地，发送模块1502，还用于向数据管理网元发送认证服务网元获得请求消息，接收模块1501，还用于接收来自数据管理网元的认证服务网元获得响应消息。其中，认证服务网元获得请求消息用于请求认证服务网元的标识，该认证服务网元用于远端终端的ProSe中继通信认证。认证服务网元获得响应消息未携带该认证服务网元的标识，用以表示未对远端终端执行过ProSe中继通信的认证。如此，处理模块，还用于根据认证服务网元获得响应消息，确定未对远端终端执行过ProSe中继通信的认证。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得通信装置1500可以执行图8-图13中任一项所示出的通信方法中中继AMF网元的功能，或者执行图14所示出的通信方法中接入和移动管理网元的功能。

需要说明的是，通信装置1500可以是网络设备，例如中继AMF网元或者接入和移动管理网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

又一些实施例中，通信装置1500可适用于图7中所示出的通信系统中，执行图8-图13中所示出的通信方法中UDM网元的功能，或者适用于图7中所示出的通信系统中，执行图14中所示出的通信方法中数据管理网元的功能。

其中，接收模块1501，用于接收来自认证服务网元的认证请求消息#1，发送模块1502，用于向认证服务网元发送认证响应消息#1。认证响应消息#1包括：ProSe认证信息#1。ProSe认证信息#1包括如下至少一项：用于远端终端认证网络的信息、或用于认证远端终端的信息。

可选地，在接收模块1501接收来自认证服务网元的认证请求消息#1之前，第三方面所述的方法还可以包括：接收模块1501，还用于接收来自接入和移动管理网元的认证服务网元获得请求消息，发送模块1502，还用于向接入和移动管理网元发送认证服务网元获得响应消息。其中，认证服务网元获得请求消息用于请求认证服务网元的标识，该认证服务网元用于远端终端的ProSe中继通信认证。认证服务网元获得响应消息未携带该认证服务网元的标识，用以表示未对远端终端执行过ProSe中继通信的认证。

一种可能的设计方案中，通信装置1500还可以包括：处理模块(图15中未示出)。处理模块，还用于在发送模块1502向认证服务网元发送认证响应消息#1之前，确定远端终端授权获取中继服务。

一种可能的设计方案中，处理模块，还用于在发送模块1502向认证服务网元发送认证响应消息#1之前，根据认证请求消息#1，确定ProSe认证信息#1。

一种可能的设计方案中，处理模块，还用于在发送模块1502向认证服务网元发送认证响应消息#1之前，确定未对远端终端执行过ProSe中继通信的认证。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得通信装置1500可以执行图8-图13中任一项所示出的通信方法中UDM网元的功能，或者执行图14所示出的通信方法中数据管理网元的功能。

需要说明的是，通信装置1500可以是网络设备，例如UDM网元或者数据管理网元，也可以是可设置于网络设备中的芯片(系统)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

再一些实施例中，通信装置1500可适用于图7中所示出的通信系统中，执行图8-图13中所示出的通信方法中中继UE的功能，或者适用于图7中所示出的通信系统中，执行图14中所示出的通信方法中中继终端的功能。

其中，接收模块1501，用于接收来自接入和移动管理网元的用于远端终端认证网络的信息，发送模块1502，用于向接入和移动管理网元发送远端终端确定的认证响应信息。该认证响应信息用于认证远端终端。如此，接收模块1501，还用于接收来自接入和移动管理网元的ProSe密钥，ProSe密钥用于中继终端与远端终端的通信。

一种可能的设计方案中，用于远端终端认证网络的信息和远端终端确定的认证响应信息为通过通信密钥保护的信息，通信密钥用于中继终端与网络的通信。

一种可能的设计方案中，在接收模块1501接收来自接入和移动管理网元的用于远端终端认证网络的信息之后，在发送模块1502向接入和移动管理网元发送远端终端确定的认证响应信息之前，发送模块1502，还用于向远端终端发送用于远端终端认证网络的信息，接收模块1501，还用于接收来自远端终端的远端终端确定的认证响应信息。

可选地，用于远端终端认证网络的信息可以承载在消息中，该消息的名称或携带的指示信息，可以指示需要由远端终端执行ProSe中继通信的认证流程。如此，处理模块，还用于根据消息，控制发送模块1502向远端终端发送用于远端终端认证网络的信息。

一种可能的设计方案中，在发送模块1502向接入和移动管理网元发送的ProSe通信认证响应消息之后，接收模块1501，还用于接收来自接入和移动管理网元的随机值#2，发送模块，还用于向远端终端发送随机值#2。随机值#2用于确定ProSe密钥，该ProSe密钥用于中继终端与远端终端的通信。

可选地，接收模块1501和发送模块1502也可以集成为一个模块，如收发模块 (图15中未示出)。其中，收发模块用于实现通信装置1500的发送功能和接收功能。

可选地，通信装置1500还可以包括处理模块(图15中未示出)，该处理模块用于实现该通信装置1500的处理功能。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得通信装置1500可以执行图8-图13中任一项所示出的通信方法中中继UE的功能，或者执行图14所示出的通信方法中中继终端的功能。

需要说明的是，通信装置1500可以是终端，例如中继UE或者中继终端，也可以是可设置于终端中的芯片(系统)或其他部件或组件，还可以是包含终端的装置，本申请对此不做限定。

还一些实施例中，通信装置1500可适用于图7中所示出的通信系统中，执行图8-图13中所示出的通信方法中远端UE的功能，或者适用于图7中所示出的通信系统中，执行图14中所示出的通信方法中远端终端的功能。

其中，接收模块1501，用于接收来自中继终端的用于远端终端认证网络的信息。如此，在确定认证网络通过的情况下，发送模块1502，用于向中继终端发送远端终端确定的认证响应信息，该认证响应信息用于认证远端终端。

一种可能的设计方案中，通信装置1500还可以包括：处理模块(图15中未示出)。在发送模块1502向中继终端发送远端终端确定的认证响应信息之后，接收模块1501，还用于接收来自中继终端的随机值#2，处理模块，还用于根据如下至少一项：服务网络名称、RSC、随机值#1、随机值#2和中间密钥，确定ProSe密钥。

可选地，通信装置1500还可以包括存储模块(图15中未示出)，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得通信装置1500可以执行图8-图13中任一项所示出的通信方法中远端UE的功能，或者执行图14所示出的通信方法中远端终端的功能。

需要说明的是，通信装置1500可以是终端，例如远端UE或者远端终端，也可以是可设置于终端中的芯片(系统)或其他部件或组件，还可以是包含终端的装置，本申请对此不做限定。

示例性地，图16为本申请实施例提供的通信装置的结构示意图二。该通信装置可以是终端或网络设备，也可以是可设置于终端或网络设备的芯片(系统)或其他部件或组件。如图16所示，通信装置1600可以包括处理器1601。可选地，通信装置1600还可以包括存储器1602和/或收发器1603。其中，处理器1601与存储器1602和收发器1603耦合，如可以通过通信总线连接。

下面结合图16对通信装置1600的各个构成部件进行具体的介绍：

其中，处理器1601是通信装置1600的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器1601是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

可选地，处理器1601可以通过运行或执行存储在存储器1602内的软件程序，以及调用存储在存储器1602内的数据，执行通信装置1600的各种功能，例如执行上述图8-图14所示的通信方法。

在具体的实现中，作为一种实施例，处理器1601可以包括一个或多个CPU，例如图16中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，通信装置1600也可以包括多个处理器，例如图16中所示的处理器1601和处理器1604。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，所述存储器1602用于存储执行本申请方案的软件程序，并由处理器1601来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器1602可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1602可以和处理器1601集成在一起，也可以独立存在，并通过通信装置1600的接口电路(图16中未示出)与处理器1601耦合，本申请实施例对此不作具体限定。

收发器1603，用于与其他通信装置之间的通信。例如，通信装置1600为终端，收发器1603可以用于与网络设备通信，或者与另一个终端设备通信。又例如，通信装置1600为网络设备，收发器1603可以用于与终端通信，或者与另一个网络设备通信。

可选地，收发器1603可以包括接收器和发送器(图16中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器1603可以和处理器1601集成在一起，也可以独立存在，并通过通信装置1600的接口电路(图16中未示出)与处理器1601耦合，本申请实施例对此不作具体限定。

需要说明的是，图16中示出的通信装置1600的结构并不构成对该通信装置的限定，实际的通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，通信装置1600的技术效果可以参考上述方法实施例所述的通信方法的技术效果，此处不再赘述。

本申请实施例提供一种通信系统。该通信系统包括上述方法实施例中的一个或多个终端，以及上述方法实施例中一个或多个网络设备。

应理解，在本申请实施例中的处理器可以是中央处理单元(central processing unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random access memory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种通信方法，其特征在于，所述方法包括：

认证服务网元向数据管理网元发送认证请求消息#1，所述认证请求消息#1用于请求认证远端终端的信息；

所述认证服务网元接收来自所述数据管理网元的认证响应消息#1，所述认证响应消息#1包括：临近业务ProSe认证信息#1，所述ProSe认证信息#1包括如下至少一项：用于远端终端认证网络的信息、或用于认证所述远端终端的信息；

在所述远端终端认证网络通过的情况下，所述认证服务网元接收来自接入和移动管理网元的认证请求消息#2，所述认证请求消息#2用于请求认证所述远端终端；

在认证所述远端终端通过的情况下，所述认证服务网元向所述接入和移动管理网元发送认证响应消息#2，所述认证响应消息#2包括：ProSe密钥，所述ProSe密钥用于中继终端与所述远端终端的通信。
根据权利要求1所述的方法，其特征在于，所述ProSe认证信息#1为如下至少一项：认证与密钥协商AKA的ProSe认证向量#1、或扩展认证协议请求EAP-AKA’的ProSe的认证向量。
根据权利要求2所述的方法，其特征在于，所述AKA的ProSe认证向量#1或所述EAP-AKA’的ProSe的认证向量包括如下至少一项：用于所述远端终端认证网络的信息、用于所述认证服务网元认证所述远端终端的信息、或用于确定所述ProSe密钥的信息。
根据权利要求2或3所述的方法，其特征在于，在所述认证服务网元向数据管理网元发送认证请求消息#1之前，所述方法还包括：

所述认证服务网元接收来自所述接入和移动管理网元的认证请求消息#3；

相应的，在所述认证服务网元接收来自所述数据管理网元的认证响应消息#1之后，在所述认证服务网元接收来自接入和移动管理网元的认证请求消息#2之前，所述方法还包括：

所述认证服务网元向所述接入和移动管理网元发送认证响应消息#3，所述认证响应消息#3包括：ProSe认证信息#2，所述ProSe认证信息#2包括：用于所述远端终端认证网络的信息。
根据权利要求4所述的方法，其特征在于，所述ProSe认证信息#2根据所述ProSe认证信息#1确定，所述ProSe认证信息#2为如下至少一项：AKA的ProSe认证向量#2、或EAP请求消息或AKA’挑战消息；所述AKA的ProSe认证向量#2根据所述AKA的ProSe认证向量#1确定，所述EAP请求消息或AKA’挑战消息根据所述EAP-AKA’的ProSe的认证向量确定。
根据权利要求5所述的方法，其特征在于，所述AKA的ProSe认证向量#2包括：用于所述接入和移动管理网元认证所述远端终端的信息。
根据权利要求4-6中任一项所述的方法，其特征在于，所述认证请求消息#3用于请求认证所述远端终端。
根据权利要求7所述的方法，其特征在于，所述认证请求消息#3包括如下至少一项：所述远端终端的用户隐藏标识SUCI、服务网络名称、中继服务码RSC、随机值#1、或ProSe中继通信指示信息；所述服务网络名称、所述RSC或所述ProSe中继通信指示信息中的任一项用于指示认证为ProSe中继通信的认证；所述服务网络名称、所述RSC或所述随机值#1中的任一项用于确定所述ProSe密钥。
根据权利要求8所述的方法，其特征在于，在所述认证服务网元向所述接入和移动管理网元发送认证响应消息#2之前，所述方法还包括：

若所述认证请求消息#3中包括：所述RSC和所述随机值#1，则所述认证服务网元保存所述RSC和所述随机值#1。
根据权利要求9所述的方法，其特征在于，所述用于确定所述ProSe密钥的信息包括：中间密钥，在所述认证服务网元向所述接入和移动管理网元发送认证响应消息#2之前，所述方法还包括：

在认证所述远端终端通过的情况下，所述认证服务网元根据如下至少一项：所述服务网络名称、所述RSC、所述随机值#1、随机值#2和所述中间密钥，确定所述ProSe密钥。
根据权利要求1-7中任一项所述的方法，其特征在于，所述认证请求消息#2包括如下至少一项：所述远端终端确定的认证响应消息、用于确定所述ProSe密钥的RSC、或用于确定所述ProSe密钥的随机值#1，所述认证响应消息用于认证所述远端终端。
根据权利要求1-9、11中任一项所述的方法，其特征在于，所述认证响应消息#2包括：随机值#2，所述随机值#2用于确定所述ProSe密钥。
根据权利要求12所述的方法，其特征在于，所述认证响应消息#2还包括如下至少一项：远端终端的用户隐藏标识SUPI、或EAP成功消息。
根据权利要求1-7中任一项所述的方法，其特征在于，所述认证请求消息#1包括如下至少一项：所述远端终端的SUCI、或ProSe中继通信指示信息，所述ProSe中继通信指示信息用于指示认证为ProSe中继通信的认证。
根据权利要求1-14中任一项所述的方法，其特征在于，所述认证服务网元跳过推演用于远端终端与网络之间通信的密钥。
一种通信方法，其特征在于，所述方法包括：

中继终端接收来自接入和移动管理网元的用于远端终端认证网络的信息；

所述中继终端向所述接入和移动管理网元发送所述远端终端确定的认证响应信息，所述认证响应信息用于认证所述远端终端；

所述中继终端接收来自所述接入和移动管理网元的ProSe密钥，所述ProSe密钥用于所述中继终端与所述远端终端的通信。
根据权利要求16所述的方法，其特征在于，所述远端终端认证网络的信息和所述远端终端确定的认证响应信息为通过通信密钥保护的信息，所述通信密钥用于所述中继终端与网络的通信。
根据权利要求16或17所述的方法，其特征在于，在所述中继终端接收来自接入和移动管理网元的用于所述远端终端认证网络的信息之后，在所述中继终端向所述接入和移动管理网元发送所述远端终端确定的认证响应信息之前，所述方法还包括：

所述中继终端向所述远端终端发送所述用于所述远端终端认证网络的信息；

所述中继终端接收来自所述远端终端的所述认证响应信息。
根据权利要求18所述的方法，其特征在于，所述用于所述远端终端认证网络的信息承载在消息中，所述中继终端向所述远端终端发送所述用于所述远端终端认证网络的信息，包括：

所述中继终端根据所述消息，向所述远端终端发送所述用于所述远端终端认证网络的信息。
根据权利要求16-19中任一项所述的方法，其特征在于，在所述中继终端向所述接入和移动管理网元发送所述远端终端确定的认证响应信息之后，所述方法还包括：

所述中继终端接收来自所述接入和移动管理网元的随机值#2；

所述中继终端向所述远端终端发送所述随机值#2，所述随机值#2用于确定所述ProSe密钥。
一种通信方法，其特征在于，所述方法包括：

远端终端接收来自中继终端的用于所述远端终端认证网络的信息；

在所述远端终端确定认证网络通过的情况下，所述远端终端向所述中继终端发送所述远端终端确定的认证响应信息，所述认证响应信息用于认证所述远端终端。
根据权利要求21所述的方法，其特征在于，在所述远端终端向所述中继终端发送所述远端终端确定的认证响应信息之后，所述方法还包括：

所述远端终端接收来自所述中继终端的随机值#2；

所述远端终端根据如下至少一项：服务网络名称、RSC、随机值#1、所述随机值#2和中间密钥，确定ProSe密钥，所述ProSe密钥用于所述中继终端与所述远端终端的通信。
一种通信方法，其特征在于，所述方法包括：

数据管理网元接收来自认证服务网元的认证请求消息#1，所述认证请求消息#1用于请求认证远端终端的信息；

所述数据管理网元向所述认证服务网元发送认证响应消息#1，所述认证响应消息#1包括：临近业务ProSe认证信息#1；所述ProSe认证信息#1包括如下至少一项：用于远端终端认证网络的信息、或用于认证远端终端的信息。
根据权利要求23所述的方法，其特征在于，所述ProSe认证信息#1为如下至少一项：认证与密钥协商AKA的ProSe认证向量#1、或扩展认证协议请求EAP-AKA’的ProSe的认证向量。
根据权利要求24所述的方法，其特征在于，所述AKA的ProSe认证向量#1或所述EAP-AKA’的ProSe的认证向量包括如下至少一项：用于所述远端终端认证网络的信息、用于所述认证服务网元认证所述远端终端的信息、或用于确定所述ProSe密钥的信息。
根据权利要求23-25中任一项所述的方法，其特征在于，在所述数据管理网元向所述认证服务网元发送认证响应消息#1之前，所述方法还包括：

所述数据管理网元确定所述远端终端授权获取中继服务。
一种通信方法，其特征在于，所述方法包括：

认证服务网元向数据管理网元发送认证请求消息#1，所述认证请求消息#1用于请求认证远端终端的信息；

所述数据管理网元接收来自认证服务网元的认证请求消息#1，并向所述认证服务网元发送认证响应消息#1，所述认证响应消息#1包括：临近业务ProSe认证信息#1，所述ProSe认证信息#1包括如下至少一项：用于远端终端认证网络的信息、或用于认证所述远端终端的信息；

所述认证服务网元接收来自所述数据管理网元的认证响应消息#1；

在所述远端终端认证网络通过的情况下，接入和移动管理网元向所述认证服务网元发送认证请求消息#2，所述认证请求消息#2用于请求认证所述远端终端；

所述认证服务网元接收来自所述接入和移动管理网元的所述认证请求消息#2；

在认证所述远端终端通过的情况下，所述认证服务网元向所述接入和移动管理网元发送认证响应消息#2，所述认证响应消息#2包括：ProSe密钥，所述ProSe密钥用于中继终端与所述远端终端的通信；

所述接入和移动管理网元接收来自所述认证服务网元的所述认证响应消息#2。
根据权利要求27所述的方法，其特征在于，所述ProSe认证信息#1为如下至少一项：认证与密钥协商AKA的ProSe认证向量#1、或扩展认证协议请求EAP-AKA’的ProSe的认证向量。
根据权利要求28所述的方法，其特征在于，所述AKA的ProSe认证向量#1或所述EAP-AKA’的ProSe的认证向量包括如下至少一项：用于所述远端终端认证网络的信息、用于所述认证服务网元认证所述远端终端的信息、或用于确定所述ProSe密钥的信息。
一种通信方法，其特征在于，所述方法包括：

中继终端接收来自接入和移动管理网元的用于远端终端认证网络的信息；

所述远程终端接收来自所述中继终端的用于所述远端终端认证网络的信息；

在所述远端终端确定认证网络通过的情况下，所述远端终端向所述中继终端发送所述远端终端确定的认证响应信息，所述认证响应信息用于认证所述远端终端；

所述中继终端向所述接入和移动管理网元发送所述远端终端确定的认证响应信息，并接收来自所述接入和移动管理网元的临近业务ProSe密钥，所述ProSe密钥用于所述中继终端与所述远端终端的通信。
根据权利要求30所述的方法，其特征在于，所述远端终端认证网络的信息和所述远端终端确定的认证响应信息为通过通信密钥保护的信息，所述通信密钥用于所述中继终端与网络的通信。
一种通信装置，其特征在于，所述通信装置包括：用于执行如权利要求1-15中任一项所述的通信方法的模块。
一种通信装置，其特征在于，所述通信装置包括：用于执行如权利要求16-20中任一项所述的通信方法的模块。
一种通信装置，其特征在于，所述通信装置包括：用于执行如权利要求21或 22所述的通信方法的模块。
一种通信装置，其特征在于，所述通信装置包括：用于执行如权利要求23或26所述的通信方法的模块。
一种通信装置，其特征在于，所述通信装置包括：处理器；其中，

所述处理器，用于执行如权利要求1-26中任一项所述的通信方法。
一种通信装置，其特征在于，所述通信装置包括：处理器和存储器；所述存储器用于存储计算机指令，当所述处理器执行该指令时，以使所述通信装置执行如权利要求1-26中任一项所述的通信方法。
一种通信系统，其特征在于，所述通信系统包括：如权利要求1-13中任一项所述的认证服务网元、如权利要求13-18中任一项所述的中继终端、以及如权利要求21或22所述的远端终端。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-26中任一项所述的通信方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括：计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-26中任一项所述的通信方法。