认证方法、系统、电子设备和计算机可读存储介质与流程

1.本公开涉及通信技术领域，尤其涉及一种认证方法、系统、电子设备和计算机可读存储介质。


背景技术：

2.为了保证接入网络系统的终端是正常且安全的，在终端接入时，网络系统通常需要对该终端进行认证。相关网络的终端认证流程中ausf和udm的寻址是基于服务发现流程或静态配置来实现的，需要基于用户号段来进行寻址。随着移动业务的丰富，现网中的接入终端的类型也越来越多，此外，未来6g网络将实现空天地一体化的泛在连接，移动运营商设备和卫星运营商设备等多运营商设备共同构成未来移动网络，同时考虑到基站建设的成本问题，同一区域可能只存在一家运营商的基站节点，因此用户身份认证过程中需要更加灵活的寻址方式。


技术实现要素：

3.本公开的目的在于提供一种认证方法、系统、电子设备以及计算机可读存储介质，能够根据目标设备的接入方式和用户标识，动态的为该目标设备确定认证服务器和签约数据库，从而通过该认证服务器和签约数据库对目标设备进行认证。
4.本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
5.本公开实施例提供了一种认证方法，其中目标区块链中存储有至少一个认证服务器地址和至少一个签约数据库地址，所述至少一个认证服务器包括目标认证服务器，所述至少一个签约数据库地址包括目标签约数据库地址；其中，所述方法包括：目标接入控制网元接收目标设备发送的注册请求；所述目标接入控制网元根据所述注册请求确定所述目标设备的目标用户标识、和所述目标设备接入网络系统的目标接入方式；所述目标接入控制网元向目标区块链请求与所述目标接入方式对应的目标认证服务器地址和与所述目标用户标识对应的目标签约数据库地址；所述目标接入控制网元根据所述目标认证服务器地址向目标服务器发送携带所述目标签约数据库地址的认证请求，以便所述目标认证服务器根据所述目标签约数据库地址访问目标签约数据库以获得所述目标设备对应的目标签约数据，从而根据所述目标签约数据对所述目标设备进行认证。
6.在一些实施例中，所述注册请求携带所述目标设备的目标安全令牌，所述目标安全令牌是由目标运营平台下发的目标随机数生成；其中，所述目标接入控制网元向目标区块链请求与所述目标接入方式对应的目标认证服务器地址和与所述目标用户标识对应的目标签约数据库地址，包括：所述目标接入控制网元向所述目标区块链发送所述目标设备的目标用户标识、所述目标安全令牌以及所述目标接入方式；所述目标区块链根据所述目标用户标识确定与所述目标设备对应的目标权限凭证，所述目标权限凭证是根据所述目标运营平台下发给所述目标设备的目标随机数生成的；若所述目标区块链确定所述目标权限
凭证与所述目标安全令牌匹配，则确定与所述目标接入方式对应的目标认证服务器地址、和与所述目标用户标识对应的目标签约数据库地址；所述目标区块链将与所述目标接入方式对应的目标认证服务器地址、和与所述目标用户标识对应的目标签约数据库地址返回给所述目标接入控制网元。
7.在一些实施例中，所述目标接入控制网元向所述目标区块链发送所述目标设备的目标用户标识、所述目标安全令牌以及所述目标接入方式，包括：所述目标接入控制网元向目标区块链网元发送携带所述目标设备的目标用户标识、所述目标安全令牌以及所述目标接入方式的认证请求；所述目标区块链网元根据所述认证请求向所述目标区块链发送所述目标设备的目标用户标识、所述目标安全令牌以及所述目标接入方式，以向所述目标区块链请求与所述目标接入方式对应的目标认证服务器地址和与所述目标用户标识对应的目标签约数据库地址。
8.在一些实施例中，所述目标接入控制网元向目标区块链请求与所述目标接入方式对应的目标认证服务器地址和与所述目标用户标识对应的目标签约数据库地址，包括：所述目标接入控制网元向目标区块链请求与所述目标接入方式对应的目标认证服务器地址、与所述目标用户标识对应的目标签约数据库地址、和与所述目标设备的签约数据对应的目标密钥；其中，所述目标接入控制网元根据所述目标认证服务器地址向目标服务器发送携带所述目标签约数据库地址的认证请求，以便所述目标认证服务器根据所述目标签约数据库地址访问目标签约数据库以获得所述目标设备对应的目标签约数据，包括：所述目标接入控制网元将所述认证请求、所述目标签约数据库地址和所述目标密钥发送给所述目标认证服务器地址对应的目标认证服务器，以便所述目标认证服务器根据所述目标签约数据库地址访问目标签约数据库以通过所述目标密钥获得所述目标设备对应的目标签约数据。
9.在一些实施例中，在目标接入控制网元接收目标设备发送的注册请求之前，所述方法包括：目标运营平台为所述目标设备进行签约开卡；所述目标运营平台为通过目标密钥对所述目标设备对应的目标签约数据进行加密以获得目标签约密文；所述目标运营平台将所述目标设备对应的目标用户标识和所述目标签约密文发送至目标签约数据库以进行存储；所述目标运营平台为接收所述目标签约数据库返回的目标签约数据库地址和所述目标用户标识；所述目标运营平台将所述目标用户标识、所述目标签约数据库地址以及所述目标密钥发送给所述目标区块链，以便所述目标区块链将所述目标用户标识、所述目标签约数据库地址以及所述目标密钥进行关联存储。
10.在一些实施例中，所述方法还包括：所述目标运营平台为所述目标设备生成一目标随机数；所述目标运营平台根据所述目标随机数生成一目标权限凭证；所述目标运营平台将所述目标权限凭证发送给所述目标区块链，以便所述目标区块链将所述目标权限凭证与所述目标用户标识进行关联存储。
11.在一些实施例中，在目标接入控制网元接收目标设备发送的注册请求之前，所述方法包括：目标运营平台获取多个接入方式，所述多个接入方式包括所述目标接入方式；所述目标运营平台获取多个认证服务器的多个认证服务器地址，所述多个认证服务器地址包括所述目标认证服务器地址；所述目标运营平台根据各个认证服务器的认证方式为各个接入方式分别确定对应的目标认证服务器地址。
12.本公开实施例提供了一种认证系统，所述认证系统包括目标区块链，所述目标区
块链中存储有至少一个认证服务器地址和至少一个签约数据库地址，所述至少一个认证服务器包括目标认证服务器，所述至少一个签约数据库地址包括目标签约数据库地址；所述认证系统还包括目标接入控制网元，用于目标接入控制网元接收目标设备发送的注册请求；根据所述注册请求确定所述目标设备的目标用户标识、和所述目标设备接入网络系统的目标接入方式；向目标区块链请求与所述目标接入方式对应的目标认证服务器地址和与所述目标用户标识对应的目标签约数据库地址；根据所述目标认证服务器地址向目标服务器发送携带所述目标签约数据库地址的认证请求，以便所述目标认证服务器根据所述目标签约数据库地址访问目标签约数据库以获得所述目标设备对应的目标签约数据，从而根据所述目标签约数据对所述目标设备进行认证。
13.本公开实施例提出一种电子设备，该电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述电子设备执行，使得所述电子设备上述任一项所述的认证方法。
14.本公开实施例提出一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如上述任一项所述的认证方法。
15.本公开实施例提供的认证方法、装置及电子设备和计算机可读存储介质，在目标设备发送注册请求时，可以根据该目标设备的目标接入方式和目标用户标识，为该目标设备动态的匹配对应的目标认证服务器地址和目标签约数据库地址，以通过该目标服务器地址对应的目标服务器和目标签约数据库地址对应的目标签约数据库对目标设备进行认证。通过上述认证方法可以为不同接入方式的设备动态的适配不同的认证服务器，并且无需依赖用户号段即可适配签约数据库。
16.应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。
附图说明
17.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1是根据相关技术示出的一种认证方法。
19.图2是根据一示例性实施例示出的一种认证方法的流程图。
20.图3是根据一示例性实施例示出的一种认证系统。
21.图4是根据一示例性实施例示出的一种认证方法的时序图。
22.图5是根据一示例性实施例示出的一种认证方法的时序图。
23.图6示出了适于用来实现本公开实施例的电子设备的结构示意图。
具体实施方式
24.现在将参考附图更全面地描述示例实施例。然而，示例实施例能够以多种形式实施，且不应被理解为限于在此阐述的实施例；相反，提供这些实施例使得本公开将全面和完整，并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示
相同或类似的部分，因而将省略对它们的重复描述。
25.本公开所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
26.附图仅为本公开的示意性图解，图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
27.附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和步骤，也不是必须按所描述的顺序执行。例如，有的步骤还可以分解，而有的步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
28.本说明书中，用语“一个”、“一”、“该”、
“”
和“至少一个”用以表示存在一个或多个要素/组成部分/等；用语“包含”、“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等；用语“第一”、“第二”和“第三”等仅作为标记使用，不是对其对象的数量限制。
29.为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述，需要说明的是，在不冲突的情况下，本技术的实施例及实施例中的特征可以相互组合。
30.需要事先说明的是，本公开的命名(例如目标接入控制网元、区块链网元等)是基于功能特点来命名的，如果以其他的命名方法来实现相同或者类似的功能，依然属于本公开的保护范围。
31.目前移动网络系统中的认证过程如图1所示：
32.1.用户终端ue向amf(authentication management function，认证管理功能)发送nas消息(一种5g消息)，包含suci(subscription concealed identifier，订阅隐藏标识符)或5g-guti(5g globally unique temporary ue identity，5g全局唯一标识)以进行注册。
33.2.amf向ausf(authentication server function，认证服务功能)发送认证请求，包含suci/supi(subscription permanent identifier，用户永久标识)和服务网络名。
34.3.ausf向udm(unified data management，统一数据管理功能)发送认证请求，包含suci/supi和服务网络名。
35.4.udm解析suci获得supi，确定认证方式，从而进行认证处理。
36.ausf和udm在认证时是基于用户标识(即用户的号码前缀或号段)被amf寻址的。
37.针对目前的5g身份认证中udm/ausf的路由寻址仅能通过用户号段来实现，缺乏灵活性和可扩展性的问题。
38.本公开提供了一种认证方法。在移动网络在对设备进行认证之前，可以允许目标运营平台通过以下方法为目标设备签约开卡。
39.目标运营平台为目标设备进行签约开卡；目标运营平台通过目标密钥对目标设备对应的目标签约数据进行加密以获得目标签约密文；目标运营平台将目标设备对应的目标用户标识和目标签约密文发送至目标签约数据库以进行存储；目标运营平台接收目标签约数据库返回的目标签约数据库地址和目标用户标识；目标运营平台将目标用户标识、目标签约数据库地址以及目标密钥发送给目标区块链，以便目标区块链将目标用户标识、目标签约数据库地址以及目标密钥进行关联存储。
40.其中，不同的运营商可能会对应不同的运营平台，本公开对此步骤限制。
41.在本实施例中通过区块链进行数据存储，在保证数据透明、公正的基础上，还使得数据流转过程可追溯；同时使用目标密钥对目标签约数据进行加密，一方面使得数据安全可靠不会被篡改，另一方面在认证过程中，可以保证只有目标签约数据对应的设备才能持有目标密钥对目标密文进行解密，从而保证了认证过程中的安全性。
42.另外，目标运营平台还会为目标设备生成一目标随机数，然后根据目标随机数生成一目标权限凭证，最后将目标权限凭证发送给目标区块链，以便目标区块链将目标权限凭证与目标用户标识进行关联存储。
43.再者，目标运营平台还会获取多个接入方式，该多个接入方式包括目标接入方式；目标运营平台可以获取多个认证服务器的多个认证服务器地址，多个认证服务器地址包括目标认证服务器地址；目标运营平台可以根据各个认证服务器的认证方式为各个接入方式分别确定对应的认证服务器地址。
44.在一些实施例中，当目标运营平台为各个接入方式确定了对应的认证服务器地址后，会将各个认证服务器地址及其对应的接入方式关联存储在目标区块链中。
45.其中，多个接入方式可以包括天基接入(例如卫星)、地基接入(例如基站)、空基接入(例如飞机、无人机、热气球等)，本公开对此不做限制。
46.在本公开中，可以为不同的接入方式使用不同的认证技术设置不同的认证服务器，当然也可以为不同的接入方式设置相同的认证服务器，本公开对此不做限制。总之，每一接入方式均有一个认证服务器与之对应。
47.通过上述方法，目标区块链中可以存储有至少一个认证服务器地址和至少一个签约数据库地址，其中至少一个认证服务器包括目标认证服务器，至少一个签约数据库地址包括目标签约数据库地址，每个认证服务器均与至少一个接入方式对应(即通过接入方式可以匹配出一个认证服务器地址)，每个签约数据库均与至少一个用户标识对应(即一个签约数据库中可以存储多个用户标识对应的签约数据，通过用户标识可以匹配出一个签约数据库地址)。
48.图2是根据一示例性实施例示出的一种认证方法的流程图。
49.参照图2，本公开实施例提供的认证方法可以包括以下步骤。
50.步骤s202，目标接入控制网元接收目标设备发送的注册请求。
51.在一些实施例中，目标设备可以在首次接入目标移动网络时向目标移动网络中的目标接入控制网元发送注册请求。
52.目标控制网元可以是目标移动网网络系统中的任一设备，例如可以是5g网络中的amf网元等，本公开对此不做限制。
53.目标设备可以是手机、电脑、笔记本等任意需要通信的电子设备，本公开对此不做
限制。
54.步骤s204，目标接入控制网元根据注册请求确定目标设备对应的目标用户标识、和目标设备接入网络系统的目标接入方式。
55.在一些实施例中，上述目标接入方式可以是天基接入、地基接入、空基接入、固网接入等任意一种接入方式，本公开对此不做限制。
56.步骤s206，目标接入控制网元向目标区块链请求与目标接入方式对应的目标认证服务器地址和与目标用户标识对应的目标签约数据库地址。
57.在一些实施例中，目标接入控制网元可以根据目标接入方式向目标区块链请求对应的认证服务器地址，可以根据目标用户标识向目标区块链请求对应的签约数据库地址。
58.目标区块链可以根据预先存储的接入方式与认证服务器地址的关联关系，在至少一个认证服务器地址中确定与目标接入方式对应的目标认证服务器地址，可以根据预先存储的用户标识与签约数据库地址的关联关系，在至少一个签约数据库中确定与目标用户标识对应的目标签约数据库地址，并将该目标认证服务器地址和目标签约数据库地址返回给目标接入控制网元。
59.在一些实施例中，目标设备发送的注册请求还可以携带目标设备的目标安全令牌，目标安全令牌由目标运营平台下发的目标随机数生成。那么，目标接入控制网元向目标区块链请求与目标接入方式对应的目标认证服务器地址和目标签约数据库地址时，目标接入控制网元向目标区块链发送目标设备的目标用户标识、目标安全令牌以及目标接入方式；目标区块链根据目标用户标识确定与目标设备对应的目标权限凭证，目标权限凭证是根据目标运营平台下发给目标设备的目标随机数生成的；若目标区块链确定目标权限凭证与目标安全令牌匹配，则确定与目标接入方式对应的目标认证服务器地址、和与目标用户标识对应的目标签约数据库地址；目标区块链将与目标接入方式对应的目标认证服务器地址、和与目标用户标识对应的目标签约数据库地址返回给目标接入控制网元。
60.上述过程通过目标安全令牌与目标权限凭证进行比对，可以保证整个认证过程的安全性，避免非法获得数据。
61.在另外一些实施例中，目标接入控制网元向目标区块链发送目标设备的目标用户标识、目标安全令牌以及目标接入方式可以包括目标接入控制网元向目标区块链网元发送携带目标用户标识、目标安全令牌以及目标接入方式的认证请求；目标区块链网元根据认证请求向目标区块链发送目标用户标识、目标安全令牌以及目标接入方式，以向目标区块链请求与目标接入方式对应的目标认证服务器地址和与目标用户标识对应的目标签约数据库地址。
62.其中，目标区块链网元可以是目标区块链中的某个节点。该目标该区块链网元可以位于目标网络中，例如可以就是目标接入控制网元，当然也可以是与目标接入控制网元相互独立的设备，本公开对此不做限制。
63.步骤s208，目标接入控制网元根据目标认证服务器地址向目标服务器发送携带目标签约数据库地址的认证请求，以便目标认证服务器根据目标签约数据库地址访问目标签约数据库以获得目标设备对应的目标签约数据，从而根据目标签约数据对目标设备进行认证。
64.在一些实施例中，目标接入控制网元可以请求目标认证服务器地址对应的目标认
证服务器访问目标签约数据库地址对应的目标签约数据库，以获得目标设备对应的签约数据，从而对目标设备进行认证处理。
65.在一些实施例中，目标接入控制网元向目标区块链请求与目标接入方式对应的目标认证服务器地址和与目标用户标识对应的目标签约数据库地址，包括：目标接入控制网元向目标区块链请求与目标接入方式对应的目标认证服务器地址、与目标用户标识对应的目标签约数据库地址、和与目标设备的签约数据对应的目标密钥；
66.那么，目标接入控制网元根据目标认证服务器地址向目标服务器发送携带目标签约数据库地址的认证请求，以便目标认证服务器根据目标签约数据库地址访问目标签约数据库以获得目标设备对应的目标签约数据可以包括：目标接入控制网元将认证请求、目标签约数据库地址和目标密钥发送给目标认证服务器地址对应的目标认证服务器，以便目标认证服务器根据目标签约数据库地址访问目标签约数据库以通过目标密钥获得目标设备对应的目标签约数据。
67.上述过程可以通过目标密钥对目标签约数据进行加解密，提高了数据传输的安全性，避免了非法获取数据。
68.本实施例提供的技术方案，引入区块链技术，将认证服务器地址和签约数据库地址记录在区块链上；终端将安全令牌通过区块链网元传递给区块链，区块链确定安全令牌和权限凭证一致后返回签约数据库和认证服务器的存储地址以及密钥；接入控制网元向区块链发送认证请求时携带接入类型和用户标识，区块链根据不同的接入类型反馈不同的认证服务器，并根据不同的用户标识返回不同的签约数据库地址。针对不同的接入方式，可能由不同的运营商提供服务，因此可能有不同的认证服务器，针对不同的用户标识，可能由不同的签约数据库提供服务，因此可能有不同的签约数据库。若由同一运营商提供服务，针对不同的接入技术可能使用不同的认证服务器，而签约数据库可以统一或不同。
69.通过这种方法，解决了跨运营商提供服务时身份认证的路由寻址问题，同时支持根据接入类型灵活选择独立的签约数据库和认证服务器，为未来(例如6g)异构网络的融合提供了一种解决方案。
70.如图3所示，本公开提供的认证方法所对应的认证系统可以包括各运营商的网络设备、认证服务器、签约数据库等设备，这些设备之间可以通过区块链网络进行交互，实现去中心化的分布式部署。
71.网络设备中存在与区块链进行交互的区块链网元，运营商的运营平台将目标用户标识与签约数据库地址的对应关系、接入方式与认证服务器的对应关系、以及用户标识与密钥的关联关系记录在区块链中，区块链网元从区块链处获取与设备的接入方式对应的认证服务器地址和与用户标识对应的签约数据库地址以及其他信息，通过此方法完成身份认证过程中的寻址流程。
72.在一些实施例中，运营商的运营平台可以为用户开卡，将用户卡对应的用户签约数据加密，将目标用户标识和加密后的用户签约数据存储到签约数据库中并返回存储位置；运营商平台根据不同的接入方式选择不同的认证服务器并返回接入方式对应的认证服务器的存储地址。运营平台将上述返回的信息以及解密密钥记录在区块链上。运营平台生成随机数发给终端，根据随机数生成权限凭证发给区块链，区块链将其存储到本地。
73.在一些实施例中，通过区块链完成认证服务器和签约数据库的寻址流程。终端设
备根据随机数生成安全令牌，将注册请求和安全令牌发送给接入控制网元。接入控制网元判断终端的接入方式后向区块链网元发送认证请求。区块链网元向区块链查询认证所需数据，同时向其发送安全令牌。区块链确定安全令牌和权限凭证一致后，向区块链网元返回签约数据库和认证服务器的存储地址以及密钥。区块链网元将其传递给接入控制网元，接入控制网元根据认证服务器的存储地址寻址，发送认证请求，同时携带签约数据库的地址和密钥。认证服务器根据收到的签约数据库地址进行寻址，将认证请求和签约数据的解密密钥发送给签约数据库。终端与网络完成认证过程并向终端返回认证结果。
74.图3所示系统对应的认证方法具体可以通过图4和图5所示时序图进行说明。
75.首先，将相关数据写入区块链的流程可以如图4所示：
76.1、运营商的运营平台为用户开卡，将用户卡对应的用户签约数据加密，将目标用户标识和加密后的用户签约数据存储到签约数据库中。
77.2、签约数据库将目标用户标识对应的签约数据的存储位置返回给运营平台。
78.3、运营平台根据不同的接入方式选择不同的认证服务器，由运营平台将接入方式与相应的认证服务器关联。
79.4、认证服务器返回接入方式对应的认证服务器的存储地址。
80.注：步骤1、2和步骤3、4的先后顺序不受限制，步骤3、4可以先于1、2或者同时执行。
81.5、运营平台将上述返回的信息以及解密密钥记录在区块链上。
82.注：存储地址和解密密钥可以作为整体共同存储到区块链上或者分别存储到区块链上。
83.6、运营平台将用户卡相关信息提供给终端。用户卡是移动用户在网络中的唯一身份标识，在终端接入网络时提供用户标识、根据卡存储的认证参数(如密钥k)及算法进行运算并提供认证响应。
84.注：可以通过usim(universal subscriber identity module，全球用户识别卡)卡写入和ota数据写入两种方式。usim写入方式可令移动设备通过me-uicc(me：移动设备，uicc：universal integrated circuit card，通用集成电路卡)机卡接口get identity命令获取usim生成的suci；ota(over the air，空中下载技术)数据写入是指通过ota数据短信方式与卡认证系统进行卡认证配置数据的同步。
85.7、运营平台生成第一随机数发给终端。
86.8、运营平台根据第一随机数生成权限凭证。
87.注：可以采用对随机数进行哈希加密的方式生成权限凭证，或者将用户标识和随机数共同进行哈希加密的方式生成权限凭证。
88.9、运营平台将权限凭证发给区块链。
89.10、区块链将权限凭证存储到本地，然后更新自身存储信息。
90.其次，通过区块链完成认证服务器和签约数据库的寻址流程可以如图5所示：
91.1、终端设备根据第一随机数生成安全令牌。
92.2、终端设备将注册请求和安全令牌发送给接入控制网元。
93.3、接入控制网元判断终端的接入方式，可以是卫星接入、固网接入、移动接入等。
94.4、接入控制网元向区块链网元发送身份认证请求，包括终端的用户标识、接入方式和安全令牌。
95.5、区块链网元向区块链查询身份认证所需数据，同时向其发送安全令牌。
96.6、区块链确定安全令牌与本地存储的权限凭证是否相同，然后根据目标设备的目标用户标识返回签约数据库地址，根据接入类型返回认证服务器的地址。
97.注：不同的接入类型如卫星、固网、蜂窝网等可能由不同的运营商提供服务，因此可能有不同的认证服务器和签约数据库。另外，同一运营商，针对不同的接入方式可能采用不同的认证技术，可能由不同的认证服务器完成认证，其中签约数据库可以统一，也可以不同，本方法支持全部的实现方式。
98.7、区块链确定安全令牌和权限凭证一致后，向区块链网元返回签约数据库和认证服务器的存储地址以及密钥。
99.8、区块链网元将签约数据库和认证服务器的存储地址以及密钥发送给接入控制网元。
100.9、接入控制网元根据认证服务器的存储地址找到对应的认证服务器，发送认证请求，同时携带签约数据库的地址和密钥。
101.10、认证服务器根据收到的签约数据库地址进行寻址。
102.11、找到用户对应的签约数据库后，将认证请求和签约数据的解密密钥发送给签约数据库。
103.12、签约数据库根据收到的密钥对加密数据进行解密。
104.13、终端与网络完成认证授权过程，例如5g中使用的eap-aka’认证(一种认证方式)过程或5g aka认证(一种认证方式)过程
105.14、向终端返回认证结果，完成认证过程。
106.注：本方法适用于5g/6g网络，在5g网络中的一种实施例即amf为接入控制网元，ausf为认证服务器，udm为签约数据库。
107.本实施例提供的技术方案，使用区块链技术解决归属认证服务器和签约数据库的寻址问题，大大提升了运营商之间数据共享的可靠性和灵活性。
108.针对多接入场景，本实施例提供的技术方案可以根据接入类型的不同选择不同的认证服务器，签约数据库可以统一或不同，支持不同的实现方式。
109.本公开还提供了一种认证系统，该认证系统可任意包括目标区块链，目标区块链中存储有至少一个认证服务器地址和至少一个签约数据库地址，至少一个认证服务器包括目标认证服务器，至少一个签约数据库地址包括目标签约数据库地址；认证系统还包括目标接入控制网元，用于目标接入控制网元接收目标设备发送的注册请求；根据注册请求确定目标设备的目标用户标识、和目标设备接入网络系统的目标接入方式；向目标区块链请求与目标接入方式对应的目标认证服务器地址和与目标用户标识对应的目标签约数据库地址；根据目标认证服务器地址向目标服务器发送携带目标签约数据库地址的认证请求，以便目标认证服务器根据目标签约数据库地址访问目标签约数据库以获得目标设备对应的目标签约数据，从而根据目标签约数据对目标设备进行认证。
110.在一些实施例中，注册请求携带目标设备的目标安全令牌，目标安全令牌是由目标运营平台下发的目标随机数生成；其中，目标接入控制网元向目标区块链请求与目标接入方式对应的目标认证服务器地址和与目标用户标识对应的目标签约数据库地址，包括：
111.目标接入控制网元向目标区块链发送目标设备的目标用户标识、目标安全令牌以
及目标接入方式；
112.目标区块链根据目标用户标识确定与目标设备对应的目标权限凭证，目标权限凭证是根据目标运营平台下发给目标设备的目标随机数生成的；
113.若目标区块链确定目标权限凭证与目标安全令牌匹配，则确定与目标接入方式对应的目标认证服务器地址、和与目标用户标识对应的目标签约数据库地址；
114.在一些实施例中，目标接入控制网元向目标区块链发送目标设备的目标用户标识、目标安全令牌以及目标接入方式包括：目标接入控制网元向目标区块链网元发送携带目标用户标识、目标安全令牌以及目标接入方式的认证请求；目标区块链网元根据认证请求向目标区块链发送目标用户标识、目标安全令牌以及目标接入方式，以向目标区块链请求与目标接入方式对应的目标认证服务器地址和与目标用户标识对应的目标签约数据库地址。
115.在一些实施例中，目标接入控制网元向目标区块链请求与目标接入方式对应的目标认证服务器地址和与目标用户标识对应的目标签约数据库地址包括：目标接入控制网元向目标区块链请求与目标接入方式对应的目标认证服务器地址、与目标用户标识对应的目标签约数据库地址、和与目标设备的签约数据对应的目标密钥；其中，目标接入控制网元根据目标认证服务器地址向目标服务器发送携带目标签约数据库地址的认证请求，以便目标认证服务器根据目标签约数据库地址访问目标签约数据库以获得目标设备对应的目标签约数据，包括：目标接入控制网元将认证请求、目标签约数据库地址和目标密钥发送给目标认证服务器地址对应的目标认证服务器，以便目标认证服务器根据目标签约数据库地址访问目标签约数据库以通过目标密钥获得目标设备对应的目标签约数据。
116.在一些实施例中，在目标接入控制网元接收目标设备发送的注册请求之前，方法包括：目标运营平台为目标设备进行签约开卡；目标运营平台为通过目标密钥对目标设备对应的目标签约数据进行加密以获得目标签约密文；目标运营平台将目标设备对应的目标用户标识和目标签约密文发送至目标签约数据库以进行存储；目标运营平台接收目标签约数据库返回的目标签约数据库地址和目标用户标识；目标运营平台将目标用户标识、目标签约数据库地址以及目标密钥发送给目标区块链，以便目标区块链将目标用户标识、目标签约数据库地址以及目标密钥进行关联存储。
117.在一些实施例中，目标运营平台还用于为目标设备生成一目标随机数；目标运营平台根据目标随机数生成一目标权限凭证；目标运营平台将目标权限凭证发送给目标区块链，以便目标区块链将目标权限凭证与目标用户标识进行关联存储。
118.在一些实施例中，在目标接入控制网元接收目标设备发送的注册请求之前，还包括：目标运营平台获取多个接入方式，多个接入方式包括目标接入方式；目标运营平台获取多个认证服务器的多个认证服务器地址，多个认证服务器地址包括目标认证服务器地址；目标运营平台根据各个认证服务器的认证方式为各个接入方式分别确定对应的目标认证服务器地址。
119.附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所
标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
120.此外，上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。
121.图6示出了适于用来实现本公开实施例的电子设备的结构示意图。需要说明的是，图6示出的电子设备600仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
122.如图6所示，电子设备600包括中央处理单元(cpu)601，其可以根据存储在只读存储器(rom)602中的程序或者从储存部分608加载到随机访问存储器(ram)603中的程序而执行各种适当的动作和处理。在ram 603中，还存储有电子设备600操作所需的各种程序和数据。cpu 601、rom 602以及ram 603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。
123.以下部件连接至i/o接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分607；包括硬盘等的储存部分608；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入储存部分608。
124.特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(cpu)601执行时，执行本技术的系统中限定的上述功能。
125.需要说明的是，本公开所示的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机
可读存储介质以外的任何计算机可读存储介质，该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
126.作为另一方面，本技术还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备可实现功能包括：目标接入控制网元接收目标设备发送的注册请求；
127.所述目标接入控制网元根据所述注册请求确定所述目标设备对应的目标用户标识、和所述目标设备接入网络系统的目标接入方式；所述目标接入控制网元向目标区块链请求与所述目标接入方式对应的目标认证服务器地址和与所述目标用户标识对应的目标签约数据库地址；所述目标接入控制网元根据所述目标认证服务器地址向目标服务器发送携带所述目标签约数据库地址的认证请求，以便所述目标认证服务器根据所述目标签约数据库地址访问目标签约数据库以获得所述目标设备对应的目标签约数据，从而根据所述目标签约数据对所述目标设备进行认证。
128.根据本技术的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述实施例的各种可选实现方式中提供的方法。
129.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，本公开实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中，包括若干指令用以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者智能设备等)执行根据本公开实施例的方法，例如图3所示的步骤。
130.本领域技术人员在考虑说明书及实践在这里公开的公开后，将容易想到本公开的其他实施例。本公开旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由权利要求指出。
131.应当理解的是，本公开并不限于这里已经示出的详细结构、附图方式或实现方法，相反，本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。