[发明专利]认证方法、装置及系统

说明书

本申请实施例提供认证方法，装置及系统，可以简化第三方应用的配置。方法包括：区块链系统接收来自应用服务器的第一消息，该第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息；区块链系统根据第一标识，确定该终端设备的用户上下文；区块链系统根据终端设备的用户上下文，以及终端设备使用第一密钥加密的参数和/或消息，为应用服务器对应的第三方应用验证终端设备的合法性。本申请适用于通信技术领域。

技术领域

本申请涉及通信技术领域，尤其涉及认证方法，装置及系统。

背景技术

现有技术中，基于安全通信的考虑，终端设备接入移动网络时，需要执行一次鉴权流程。在终端设备接入移动网络后，若终端设备需要访问第三方应用，还需要再执行一次鉴权流程。也就是说，若终端设备能够访问第三方应用，则终端设备需要支持两种鉴权方式(一次移动网络接入鉴权，一次应用接入鉴权)，只有两次鉴权成功后，终端设备才能访问第三方应用。为简化终端设备的实现，目前提出了应用层鉴权和密钥管理(authenticationand key management for applications，AKMA)架构。如图1所示，在AKMA架构中，AKMA鉴权功能(AKMA authentication function，AAuF)网元为认证服务功能(AuthenticationServer Function)网元与AKMA应用功能(AKMA application function，AApF)网元之间的代理，AApF网元通过AAuF网元寻找AUSF网元。其中，当终端设备接入移动网络时，终端设备和AUSF网元之间鉴权成功后，AUSF网元和终端设备协商生成终端设备与AUSF网元之间的密钥，并基于该密钥生成用于终端设备和AApF网元安全通信的密钥。进而，AApF网元可以从AUSF网元获得用于终端设备和AApF网元安全通信的密钥，并在终端设备访问第三方应用时使用该密钥。也就是说，AKMA架构重用移动网络对终端设备鉴权的结果，仅需在终端设备接入移动网络时执行一次鉴权流程即可实现安全通信。

然而，在第三方应用的用户属于多个运营商从而应用服务器需要和多个运营商设备进行交互的场景下，比如多个专网组成联盟的情况下，应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址。此外，当有专网加入或者退出联盟时，AApF网元上还要新增或者删除专网中AAuF网元的接口以及接口地址，这显然增加了第三方应用的实现复杂度。

发明内容

本申请实施例提供认证方法，装置及系统，可以简化第三方应用的配置。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，提供一种认证方法，该方法包括：区块链系统接收来自应用服务器的第一消息，该第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息；区块链系统根据该第一标识，确定该终端设备的用户上下文；区块链系统根据该终端设备的用户上下文，以及该终端设备使用第一密钥加密的参数和/或消息，为该应用服务器对应的第三方应用验证该终端设备的合法性。一方面，本申请实施例中，在区块链系统为第三方应用验证终端设备合法，这样可以在终端设备访问第三方应用不合法时，及时终止访问流程，避免了终端设备访问第三方应用不合法时，继续执行后续流程(如继续为第三方应用对应的应用服务器和终端设备之间的通信提供安全密钥)所造成的资源消耗与信令浪费。另一方面，相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式，由于本申请实施例可以由区块链系统提供统一的跨域认证接口，使得应用服务器通过该接口与区块链系统交互，通过区块链系统进行安全操作(如为第三方应用验证终端设备的合法性)，因此不仅简化了第三方应用的配置，而且避免了第三方应用方和运营商一一谈判，并部署网元规划路由的问题，提高了第三方应用方的效率。

在一种可能的实现方式中，该终端设备的用户上下文中包括该第一密钥，区块链系统根据该第一标识，确定该终端设备的用户上下文包括：区块链系统根据该第一标识，确定该第一密钥。