CN114024692A - 签约方法、装置及系统 - Google Patents

Abstract

本申请实施例提供一种签约方法、装置及系统，可以由运营商网络委托第三方设备签约终端设备，从而实现海量终端设备的签约，降低运营商网络的开销与压力。该方法包括：第三方设备向区块链节点发送第一消息，该第一消息包括第一终端设备的第一签约信息和第一消息的数字签名。区块链节点在该第一消息的数字签名验证通过后，将第一签约信息记录为第一交易，并向第三方设备发送该第一交易的区块链地址。第三方设备接收到该第一交易的区块链地址后，向第一终端设备发送该第一交易的区块链地址和第一终端设备的标识。

Description

签约方法、装置及系统

技术领域

本申请涉及通信领域，尤其涉及签约方法、装置及系统。

背景技术

在第五代(5th generation，5G)技术的大规模发展和规划过程中，工业通信是其中重要的分支。工业物联网(industrial internet of things，IIoT)等方向的标准和解决方案的研究，将驱使具有网络连接功能的工业终端大量融入到通信网络中，从而导致运营商，尤其是大运营商，面临管理海量工业终端的签约、注册的问题。

然而，工业终端的数目巨大，且由于设备更新、升级等原因其生存周期较短，因此，大运营商对海量工业终端提供签约服务的代价是不可估量的，从而，如何对海量的工业终端进行签约，是目前亟待解决的问题。

发明内容

本申请实施例提供签约方法、装置及系统，可以由运营商网络委托第三方设备签约终端设备，从而实现海量终端设备的签约，降低运营商网络的开销与压力。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，提供一种签约方法，该签约方法包括：第三方设备向区块链节点发送第一消息，该第三方设备是运营商网络授权的用于签约终端设备的设备，第一消息包括第一终端设备的第一签约信息和第一消息的数字签名，该第一签约信息用于第一终端设备在服务网络的认证鉴权，第一消息的数字签名用于区块链节点验证第一消息；第三方设备接收区块链节点对第一消息的反馈信息，该反馈信息把控第一交易的区块链地址，第一交易用于记录第一签约信息；第三方设备向第一终端设发送第一交易的区块链地址和第一终端设备的标识。

基于该方案，由第三方设备向第一终端设备发送第一交易的区块链地址，而第一交易记录了第一终端设备的第一签约信息，可以使得第一终端设备根据第一交易的区块链地址获取其第一签约信息，这一过程可以认为第三方设备完成了对第一终端设备的签约，因此，本申请的方案可以实现第三方设备在运营商网络授权的情况下，以委托的方式自主签约终端设备，运营商网络在将签约任务委托给第三方设备(或第三方网络)后，在终端设备的签约过程中，不进行任何参与，从而降低运营商网络签约终端设备的开销与压力。另一方面，第三方设备对终端设备进行签约时，需要通过区块链节点进行验证，可以有效防止第三方设备违规签约终端设备。

在一些可能的设计中，第一签约信息包括以下一项或多项：该第一终端设备的标识、第一智能合约的标识、或第二智能合约的标识，该第一智能合约用于记录第一信息，该第一信息用于指示运营商网络对第三方设备的授权签约信任关系，该第二智能合约用于记录第二信息，该第二信息用于指示第三方设备对第一终端设备的信任关系。

在一些可能的设计中，第一信息包括第三方设备的公钥。

在一些可能的设计中，第一信息还包括以下一项或多项：允许第三方设备签约的终端设备的最大数目、允许第三方设备签约的终端设备接入的服务网络的信息、或允许第三方设备为终端设备分配的移动用户国际用户码标识MSISDN的范围。基于该可能的设计，通过上述最大数目、服务网络的信息、或MSISDN的范围，可以实现运营商设备对第三方设备的签约能力和权限的限制。

在一些可能的设计中，在该第一信息包括允许第三方设备签约的终端设备的最大数目的情况下，该第一智能合约还用于记录计数器的值，该计数器的初始值为该最大数目。

在一些可能的设计中，第一终端设备的标识为以下多项中的一项：第一终端设备的一般公共订阅标识GPSI、由该GPSI唯一确定的标识、第一终端设备的MSISDN、或者由该MSISDN唯一确定的标识。

在一些可能的设计中，第二信息包括该第三方设备对应的鉴权服务功能网元的路由信息，该鉴权服务功能网元用于在第一终端设备的认证鉴权过程中从第三方设备对应的统一数据管理网元处获取认证向量。

在一些可能的设计中，该方法还可以包括：第三方设备向区块链节点发送第二消息，该第二消息包括第二信息和该第二消息的数字签名，该第二消息的数字签名用于区块链节点验证该第二消息。

第二方面，提供一种签约方法，该签约方法包括：区块链节点接收来自第三方设备的第一消息，第三方设备是运营商网络授权的用于签约终端设备的设备，该第一消息包括第一终端设备的第一签约信息和该第一消息的数字签名，该第一签约信息用于第一终端设备在服务网络的认证鉴权；区块链节点验证该第一消息的数字签名；在该第一消息的数字签名验证通过的情况下，区块链节点将该第一签约信息记录为第一交易；区块链节点向第三方设备发送该第一交易的区块链地址。

基于该方案，由区块链节点向第三方设备发送第一交易的区块链地址，从而使得第三方设备可以向第一终端设备发送第一交易的区块链地址，而第一交易记录了第一终端设备的第一签约信息，可以使得第一终端设备根据第一交易的区块链地址获取其第一签约信息，这一过程可以认为第三方设备完成了对第一终端设备的签约，因此，本申请的方案可以实现第三方设备在运营商网络授权的情况下，以委托的方式自主签约终端设备，运营商网络在将签约任务委托给第三方设备(或第三方网络)后，在终端设备的签约过程中，不进行任何参与，从而降低运营商网络签约终端设备的开销与压力。另一方面，第三方设备对终端设备进行签约时，通过区块链节点进行验证，可以有效防止第三方设备违规签约终端设备。

在一些可能的设计中，该第一签约信息包括以下一项或多项：该第一终端设备的标识、第一智能合约的标识、或第二智能合约的标识，该第一智能合约用于记录第一信息，该第一信息用于指示该运营商网络对第三方设备的授权签约信任关系，该第二智能合约用于记录第二信息，该第二信息用于指示第三方设备对该第一终端设备的信任关系。

在一些可能的设计中，该第一终端设备的标识为以下多项中的一项：第一终端设备的GPSI、由该GPSI唯一确定的标识、第一终端设备的MSISDN、或者由该MSISDN唯一确定的标识。

在一些可能的设计中，在第一信息包括第三方设备的公钥的情况下，区块链节点验证第一消息的数字签名，可以包括：区块链节点根据第三方设备的公钥验证第一消息的数字签名。

在一些可能的设计中，第一信息还包括以下一项或多项：允许第三方设备签约的终端设备的最大数目、允许第三方设备签约的终端设备接入的服务网络的信息、或允许第三方设备为终端设备分配的移动用户国际用户码标识MSISDN的范围。基于该可能的设计，通过上述最大数目、服务网络的信息、或MSISDN的范围，可以实现运营商设备对第三方设备的签约能力和权限的限制。

在一些可能的设计中，区块链节点将第一签约信息记录为第一交易，可以包括：区块链节点调用第一智能合约；在通过第一智能合约确定第三方设备当前签约的终端设备的数目小于或等于该最大数目的情况下，区块链节点将第一签约信息记录为第一交易。

在一些可能的设计中，在该第一智能合约还用于记录计数器的值，该计数器的初始值为允许第三方设备签约的终端设备的最大数目的情况下，通过该第一智能合约确定第三方设备当前签约的终端设备的数目小于或等于该最大数目，可以包括：在通过第一智能合约确定该计数器的值不为零的情况下，确定第三方设备当前签约的终端设备的数目小于或等于该最大数目。

在一些可能的设计中，该方法还可以包括：区块链节点更新计数器的值。基于该可能的设计，可以更新第三方设备剩余的可签约的终端设备的数目，从而对第三方设备签约终端设备的数目进行限制。

在一些可能的设计中，在该第一智能合约记录的该第一信息包括允许该第三方设备为终端设备分配的MSISDN的范围的情况下，通过该第一智能合约确定第三方设备当前签约的终端设备的数目小于或等于该最大数目，包括：在通过该第一智能合约确定第一终端设备的MSISDN未被占用，且位于允许第三方设备为终端设备分配的MSISDN的范围内的情况下，确定第三方设备当前签约的终端设备的数目小于或等于该最大数目。

在一些可能的设计中，该方法还可以包括：区块链节点在第一智能合约中记录第一终端设备的MSISDN。

在一些可能的设计中，第二信息包括第三方设备对应的鉴权服务功能网元的路由信息，该鉴权服务功能网元用于在第一终端设备的认证鉴权过程中从该第三方设备对应的统一数据管理网元处获取认证向量。

在一些可能的设计中，该方法还可以包括：区块链节点接收来自该第三方设备的第二消息，该第二消息包括第二信息和该第二消息的数字签名；区块链节点验证该第二消息的数字签名；在该第二消息的数字签名验证通过的情况下，区块链节点生成该第二智能合约。

在一些可能的设计中，该方法还可以包括：区块链节点接收来自运营商设备的第三消息，该第三消息包括第一信息和该第三消息的数字签名，该运营商设备属于运营商网络；区块链节点验证该第三消息的数字签名；在该第三消息的数字签名验证通过的情况下，区块链节点生成该第一智能合约。

基于该两种可能的设计，可以利用区块链节点的智能合约记录运营商设备对第三方设备的委托签约信任关系、以及第三方设备对终端设备的信任关系，使得后续通过第三方设备签约的终端设备在附着到服务网络时，服务网络能够通过智能合约可信地查询这两种信任关系，从而使得第三方设备签约的终端设备能够接入服务网络。

第三方面，基于上述签约方法，提供一种认证鉴权方法，该方法包括：安全锚点功能网元接收来自第一终端设备的第一认证请求信息，该安全锚点功能网元属于服务网络，该第一认证请求信息包括第一交易的区块链地址和第一终端设备的标识，该第一交易用于记录第一签约信息，该第一签约信息用于第一终端设备在该服务网络的认证鉴权；安全锚点功能网元根据第一交易的区块链地址和第一终端设备的标识获取第三信息，该第三信息包括第一终端设备的移动用户国际用户码标识MSISDN、运营商网络对第三方设备的授权签约信任关系、以及第三方设备对应的鉴权服务功能网元的路由信息；安全锚点功能网元根据该运营商网络对第三方设备的授权签约信任关系和该鉴权服务功能网元的路由信息，向该鉴权服务功能网元发送第四消息，该第四消息包括第一终端设备的MSISDN和该第四消息的数字签名。

基于该方案，可以实现第三方设备签约的终端设备的认证和鉴权。此外，认证和鉴权过程对于终端设备来说是透明的，仍然使用基于对称秘钥的AKA过程，仅是在信令上有微小差别，对终端设备的改动较小，更利于终端设备的后向兼容。

在一些可能的设计中，安全锚点功能网元根据第一交易的区块链地址和第一终端设备的标识获取第三信息，可以包括：安全锚点功能网元向区块链节点发送第一交易的区块链地址和第一终端设备的标识；安全锚点功能网元接收来自区块链节点的该第三信息。

第四方面，提供一种签约方法，该签约方法包括：第三方设备向区块链节点发送第五消息，该第五消息用于请求调用第三智能合约验证第三方设备对第一终端设备的签约有效性，该第三智能合约用于记录运营商网络对第三方设备授权的签约规则；第三方设备接收区块链节点对该第五消息的反馈信息，该反馈信息用于指示第三方设备对第一终端设备的签约有效；第三方设备根据该反馈信息向第一终端设备发送签约信息，该签约信息用于第一终端设备在服务网络的认证鉴权。

基于该方案，由第三方设备向第一终端设备发送签约信息，可以认为第三方设备完成了对第一终端设备的签约，因此，本申请的方案可以实现第三方设备在运营商网络授权的情况下，以委托的方式自主签约终端设备，运营商网络在将签约任务委托给第三方设备(或第三方网络)后，在终端设备的签约过程中，不进行任何参与，从而降低运营商网络签约终端设备的开销与压力。另一方面，第三方设备对终端设备进行签约时，需要通过区块链节点进行验证，在验证第三方设备对第一终端设备的签约有效的情况下，向第一终端设备发送签约信息，即在区块链节点验证通过的情况下，完成对第一终端设备的签约，可以有效防止第三方设备违规签约终端设备。

此外，第一终端设备的认证鉴权过程可以沿用现有的AKA过程，无需进行任何更改，服务网络可以直接从第一统一数据管理网元处获取认证向量完成第一终端设备的认证鉴权，无需多次调用区块链节点的智能合约，可以降低区块链节点的处理压力。

在一些可能的设计中，该签约规则包括该三方设备的公钥和一个或多个统一数据管理网元的路由信息，该统一数据管理网元属于运营商网络，该统一数据管理网元用于记录第三方设备签约的终端设备的签约信息。

在一些可能的设计中，该签约规则还包括以下一项或多项：允许第三方设备签约的终端设备的最大数目、允许第三方设备签约的终端设备接入的服务网络的信息、或允许第三方设备为终端设备分配的移动用户国际用户码标识MSISDN的范围。基于该可能的设计，通过上述最大数目、服务网络的信息、或MSISDN的范围，可以实现运营商设备对第三方设备的签约能力和权限的限制。

在一些可能的设计中，该第五消息包括签约记录的哈希摘要、第四信息、以及该第五消息的数字签名，该签约记录包括该第四信息和第一签约信息，该第四信息为需通过第三智能合约核查的信息，该第一签约信息包括该签约信息的部分或全部信息，该第五消息的数字签名用于该区块链节点验证该第五消息。

在一些可能的设计中，在该签约规则包括该一个或多个统一数据管理网元的路由信息的情况下，该第四信息包括第一统一数据管理网元的路由信息，该第一统一数据管理网元属于该一个或多个统一数据管理网元，该第一统一数据管理网元为该第三方设备为该第一终端设备选择的统一数据管理网元。

在一些可能的设计中，该方法还可以包括：第三方设备向第一统一数据管理网元发送第一终端设备的签约信息。

在一些可能的设计中，在该签约规则包括允许第三方设备为终端设备分配的MSISDN的范围的情况下，该第四信息包括第一终端设备的移动用户国际用户码标识MSISDN。

在一些可能的设计中，该第三智能合约的初始合约用于记录运营商网络设置的签约规则集合；该方法还包括：第三方设备向区块链节点发送第六消息，该第六消息用于调用该第三智能合约的初始合约申请运营商网络对第三方设备授权的签约规则。

第五方面，提供一种签约方法，该签约方法包括：区块链节点接收来自第三方设备的第五消息，该第五消息用于请求调用第三智能合约验证第三方设备对第一终端设备的签约有效性，该第三智能合约用于记录运营商网络对第三方设备授权的签约规则；区块链节点调用第三智能合约验证第三方设备对第一终端设备的签约有效性；在第三方设备对第一终端设备的签约有效的情况下，区块链节点向第三方设备发送对第五消息的反馈信息，该反馈信息用于指示第三方设备对第一终端设备的签约有效。

基于该方案，由区块链节点向第三方设备反馈其对第一终端设备的签约有效，从而第三方设备向第一终端设备发送签约信息，可以认为第三方设备完成了对第一终端设备的签约，因此，本申请的方案可以实现第三方设备在运营商网络授权的情况下，以委托的方式自主签约终端设备，运营商网络在将签约任务委托给第三方设备(或第三方网络)后，在终端设备的签约过程中，不进行任何参与，从而降低运营商网络签约终端设备的开销与压力。另一方面，第三方设备对终端设备进行签约时，需要通过区块链节点进行验证，在验证第三方设备对第一终端设备的签约有效的情况下，向第一终端设备发送签约信息，即在区块链节点验证通过的情况下，完成对第一终端设备的签约，可以有效防止第三方设备违规签约终端设备。

此外，第一终端设备的认证鉴权过程可以沿用现有的AKA过程，无需进行任何更改，服务网络可以直接从第一统一数据管理网元处获取认证向量完成第一终端设备的认证鉴权，无需多次调用区块链节点的智能合约，可以降低区块链节点的处理压力。

在一些可能的设计中，该签约规则包括第三方设备的公钥和一个或多个统一数据管理网元的路由信息，该统一数据管理网元属于运营商网络，该统一数据管理网元用于记录第三方设备签约的终端设备的签约信息。

在一些可能的设计中，该签约规则还包括以下一项或多项：允许第三方设备签约的终端设备的最大数目、允许第三方设备签约的终端设备接入的服务网络的信息、或允许第三方设备为终端设备分配的移动用户国际用户码标识MSISDN的范围。基于该可能的设计，通过上述最大数目、服务网络的信息、或MSISDN的范围，可以实现运营商设备对第三方设备的签约能力和权限的限制。

在一些可能的设计中，该第五消息包括签约记录的哈希摘要、第四信息、以及第五消息的数字签名，该签约记录包括第四信息和第一签约信息，该第四信息为需通过第三智能合约核查的信息，该第一签约信息包括签约信息的部分或全部信息，该第五消息的数字签名用于区块链节点验证该第五消息。

在一些可能的设计中，在该签约规则包括一个或多个统一数据管理网元的路由信息的情况下，该第四信息包括第一统一数据管理网元的路由信息，该第一统一数据管理网元属于该一个或多个统一数据管理网元，该第一统一数据管理网元为第三方设备为第一终端设备选择的统一数据管理网元。

在一些可能的设计中，在该签约规则包括允许第三方设备为终端设备分配的MSISDN的范围的情况下，该第四信息包括第一终端设备的移动用户国际用户码标识MSISDN。

在一些可能的设计中，在第三方设备对第一终端设备的签约有效的情况下，该方法还包括：区块链节点在第三智能合约中记录上述签约记录的哈希摘要。

在一些可能的设计中，该第三智能合约的初始合约用于记录运营商网络设置的签约规则集合；该方法还包括：区块链节点接收来自第三方设备的第六消息；区块链节点根据该第六消息在该第三智能合约中记录运营商网络对第三方设备授权的签约规则。

第六方面，提供一种签约方法，该方法包括：第一统一数据管理网元接收来自第三方设备的第一终端设备的签约信息；该第一统一数据管理网元根据该签约信息向区块链节点发送第七消息，该第七消息用于查询第三智能合约是否记录有签约记录的哈希摘要；该第一统一数据管理网元接收来自该区块链节点的第八消息，该第八消息用于指示该第三智能合约记录有该签约记录的哈希摘要；该第一统一数据管理网元根据该第八消息记录该签约信息。基于该方案，可以将第三方设备签约的终端设备的签约信息记录在运营商网络的统一数据管理网元中。

第七方面，提供了一种通信装置用于实现上述任一方面中的方法。该通信装置可以为上述第一方面和第四方面中的第三方设备，或者包含上述第三方设备的装置，或者是上述第三方设备中包含的装置，比如系统芯片；或者，该通信装置可以为上述第二方面和第五方面中的区块链节点，或者包含上述区块链节点的装置，或者是上述区块链节点中包含的装置，比如系统芯片；或者，该通信装置可以为上述第三方面中的安全锚点功能网元，或者包含上述安全锚点功能网元的装置，或者是上述安全锚点功能网元中包含的装置，比如系统芯片；或者，该通信装置可以为上述第六方面中的第一统一数据管理网元，或者包含上述第一统一数据管理网元的装置，或者上述第一统一数据管理网元中包含的装置，比如系统芯片。所述通信装置包括实现上述方法相应的模块、单元、或手段(means)，该模块、单元、或means可以通过硬件实现，软件实现，或者通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块或单元。

第八方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机指令，当该处理器执行该指令时，以使该通信装置执行上述任一方面所述的方法。该通信装置可以为上述第一方面和第四方面中的第三方设备，或者包含上述第三方设备的装置，或者是上述第三方设备中包含的装置，比如系统芯片；或者，该通信装置可以为上述第二方面和第五方面中的区块链节点，或者包含上述区块链节点的装置，或者是上述区块链节点中包含的装置，比如系统芯片；或者，该通信装置可以为上述第三方面中的安全锚点功能网元，或者包含上述安全锚点功能网元的装置，或者是上述安全锚点功能网元中包含的装置，比如系统芯片；或者，该通信装置可以为上述第六方面中的第一统一数据管理网元，或者包含上述第一统一数据管理网元的装置，或者上述第一统一数据管理网元中包含的装置，比如系统芯片。

第九方面，提供了一种通信装置，包括：处理器；所述处理器用于与存储器耦合，并读取存储器中的指令之后，根据所述指令执行如上述任一方面所述的方法。该通信装置可以为上述第一方面和第四方面中的第三方设备，或者包含上述第三方设备的装置，或者是上述第三方设备中包含的装置，比如系统芯片；或者，该通信装置可以为上述第二方面和第五方面中的区块链节点，或者包含上述区块链节点的装置，或者是上述区块链节点中包含的装置，比如系统芯片；或者，该通信装置可以为上述第三方面中的安全锚点功能网元，或者包含上述安全锚点功能网元的装置，或者是上述安全锚点功能网元中包含的装置，比如系统芯片；或者，该通信装置可以为上述第六方面中的第一统一数据管理网元，或者包含上述第一统一数据管理网元的装置，或者上述第一统一数据管理网元中包含的装置，比如系统芯片。

第十方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当所述指令在通信装置上运行时，使得通信装置可以执行上述任一方面所述的方法。该通信装置可以为上述第一方面和第四方面中的第三方设备，或者包含上述第三方设备的装置，或者是上述第三方设备中包含的装置，比如系统芯片；或者，该通信装置可以为上述第二方面和第五方面中的区块链节点，或者包含上述区块链节点的装置，或者是上述区块链节点中包含的装置，比如系统芯片；或者，该通信装置可以为上述第三方面中的安全锚点功能网元，或者包含上述安全锚点功能网元的装置，或者是上述安全锚点功能网元中包含的装置，比如系统芯片；或者，该通信装置可以为上述第六方面中的第一统一数据管理网元，或者包含上述第一统一数据管理网元的装置，或者上述第一统一数据管理网元中包含的装置，比如系统芯片。

第十一方面，提供了一种包含指令的计算机程序产品，当所述指令在通信装置上运行时，使得所述通信装置可以执行上述任一方面所述的方法。该通信装置可以为上述第一方面和第四方面中的第三方设备，或者包含上述第三方设备的装置，或者是上述第三方设备中包含的装置，比如系统芯片；或者，该通信装置可以为上述第二方面和第五方面中的区块链节点，或者包含上述区块链节点的装置，或者是上述区块链节点中包含的装置，比如系统芯片；或者，该通信装置可以为上述第三方面中的安全锚点功能网元，或者包含上述安全锚点功能网元的装置，或者是上述安全锚点功能网元中包含的装置，比如系统芯片；或者，该通信装置可以为上述第六方面中的第一统一数据管理网元，或者包含上述第一统一数据管理网元的装置，或者上述第一统一数据管理网元中包含的装置，比如系统芯片。

第十二方面，提供了一种通信装置(例如，该通信装置可以是芯片或芯片系统)，该通信装置包括处理器，用于实现上述任一方面中所涉及的功能。在一种可能的设计中，该通信装置还包括存储器，该存储器，用于保存必要的程序指令和数据。该通信装置是芯片系统时，可以由芯片构成，也可以包含芯片和其他分立器件。

第十三方面，提供了一种芯片，该芯片包括处理器和通信接口，该通信接口用于与所示芯片之外的模块通信，该处理器用于运行计算机程序或指令，使得安装该芯片的装置可以执行上述第一方面或任一设计所述的方法。

其中，第七方面至第十三方面中任一种设计方式所带来的技术效果可参见上述第一方面或第二方面或第三方面或第四方面或第五方面或第六方面中不同设计方式所带来的技术效果，此处不再赘述。

第十四方面，提供一种通信系统，该通信系统包括上述方面所述的第三方设备以及上述方面所述的区块链节点。

本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。

附图说明

图1为本申请实施例提供的一种区块的结构示意图；

图2为本申请实施例提供的一种区块链的结构示意图；

图3为本申请实施例提供的一种智能合约的模型示意图；

图4为本申请实施例提供的一种通信系统的结构示意图；

图5为本申请实施例提供的另一种通信系统的结构示意图；

图6为本申请实施例提供的又一种通信系统的结构示意图；

图7为本申请实施例提供的一种通信设备的结构示意图；

图8为本申请实施例提供的一种记录签约信任关系的流程示意图；

图9为本申请实施例提供的一种签约方法的流程示意图；

图10为本申请实施例提供的一种认证鉴权的流程示意图；

图11为本申请实施例提供的另一种签约方法的流程示意图；

图12为本申请实施例提供的一种第三方设备的结构示意图；

图13为本申请实施例提供的一种区块链节点的结构示意图；

图14为本申请实施例提供的一种安全锚点功能网元的结构示意图；

图15为本申请实施例提供的一种统一数据管理网元的结构示意图。

具体实施方式

为了方便理解本申请实施例的技术方案，首先给出本申请相关技术的简要介绍如下。

区块链：

数据以区块(block)为单位产生和存储，各个区块按序链接成的链式(chain)数据结构可以理解为区块链(Blockchain)。

可以理解的，区块也是一种数据结构，存储区块的设备(或节点)可以称为区块链节点或维护节点或共识节点。其中，该设备也可以理解为维护整条区块链副本的设备。

区块链中所有区块链节点共同参与区块链系统的数据验证、存储和维护，这可以理解为区块链的共识机制。新区块的创建需得到所有区块链节点的共识确认，一旦某个区块被所有区块链节点共识后加入到各自的区块链副本上，该区块将不可被更改。这是区块链技术能成为安全分布式账本，实现密码学货币的重要原因。

示例性的，如图1所示，一个区块包括区块体和区块头。区块头存储版本号、该区块的哈希值、使之和前序区块形成链式结构的必要信息(如上一区块的哈希值)、时间戳等信息；区块体存储交易记录，交易记录根据具体的应用场景，可以分为转账记录、智能合约记录、清算记录、数据记录等。

示例性的，假设一条区块链包括3个区块，其结构可以如图2所示。其中，将区块1的哈希值记为A，由于区块1为第一个区块，不指向前一个区块，因此其存储的上一区块的哈希值为0。区块2的哈希值记为B，由于其前一个区块为区块1，因此其存储的上一区块的哈希值为A。区块3的哈希值记为C，由于其前一个区块为区块2，因此其存储的上一区块的哈希值为B。

智能合约：

智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易，这些交易可追踪且不可逆转。

从技术角度来说，智能合约是由事件驱动的、具有状态的、存储和运行在区块链上的程序，能够自主执行全部或部分与合约有关的操作。

示例性的，智能合约的模型可以如图3所示。交易者向智能合约输入数据和/或事件后，智能合约自主判断输入的数据和/或事件是否满足预置响应条件，若是，根据预置响应规则，执行相应的动作。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

此外，本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

如图4所示，为本申请实施例提供的一种通信系统400，该通信系统400包括第三方设备20和区块链节点30。

其中，第三方设备20属于第三方网络，或者说第三方设备部署于第三方网络中。该第三方网络为区别于运营商网络的网络，例如为第三方企业网络。第三方网络是运营商网络授权的能够签约终端设备的网络，从而，第三方设备20可以理解为是运营商网络授权的用于签约终端设备的设备。

可选的，区块链节点30可以包括区块链系统中的一个或多个区块链节点。

基于图4所示的系统，本申请一种可能的实现方式中：

第三方设备20用于向区块链节点30发送第一消息，该第三方设备20是运营商网络授权的用于签约终端设备的设备，该第一消息包括第一终端设备的第一签约信息和第一消息的数字签名，该第一签约信息用于第一终端设备在服务网络的认证鉴权，第一消息的数字签名用于区块链节点验证第一消息。

区块链节点30用于接收来自第三方设备20的第一消息；区块链节点30还用于验证第一消息的数字签名；在第一消息的数字签名验证通过的情况下，区块链节点30还用于将第一签约信息记录为第一交易，并向第三方设备发送第一交易的区块链地址。

第三方设备20还用于接收来自区块链节点30对于第一消息的反馈信息，该反馈信息包括第一交易的区块链地址，该第一交易用于记录第一签约信息；第三方设备20还用于向第一终端设备发送该第一交易的区块链地址。

基于该方案，由第三方设备向第一终端设备发送第一交易的区块链地址，而第一交易记录了第一终端设备的第一签约信息，可以使得第一终端设备根据第一交易的区块链地址获取其第一签约信息，这一过程可以认为第三方设备完成了对第一终端设备的签约，因此，本申请的方案可以实现第三方设备在运营商网络授权的情况下，以委托的方式自主签约终端设备，运营商网络在将签约任务委托给第三方设备(或第三方网络)后，在终端设备的签约过程中，不进行任何参与，从而降低运营商网络签约终端设备的开销与压力。另一方面，第三方设备对终端设备进行签约时，需要通过区块链节点进行验证，可以有效防止第三方设备违规签约终端设备。

另一种可能的实现方式中：

第三方设备20用于向区块链节点30发送第五消息，该第五消息用于请求调用第三智能合约验证第三方设备对第一终端设备的签约有效性，该第三智能合约用于记录运营商网络对第三方设备20授权的签约规则。

区块链节点30用于接收来自第三方设备20的该第五消息；区块链节点30还用于调用第三智能合约验证第三方设备20对第一终端设备的签约有效性；在第三方设备20对第一终端设备的签约有效的情况下，区块链节点30还用于向第三方设备20发送第五消息的反馈信息，该反馈信息用于指示第三方设备对第一终端设备的签约有效。

第三方设备20还用于接收区块链节点30对第五消息的反馈信息，并用于根据该反馈信息向第一终端设备发送签约信息，该签约信息用于第一终端设备在服务网络的认证授权。

基于该方案，由第三方设备向第一终端设备发送签约信息，可以认为第三方设备完成了对第一终端设备的签约，因此，本申请的方案可以实现第三方设备在运营商网络授权的情况下，以委托的方式自主签约终端设备，运营商网络在将签约任务委托给第三方设备(或第三方网络)后，在终端设备的签约过程中，不进行任何参与，从而降低运营商网络签约终端设备的开销与压力。另一方面，第三方设备对终端设备进行签约时，需要通过区块链节点进行验证，在验证第三方设备对第一终端设备的签约有效的情况下，向第一终端设备发送签约信息，即在区块链节点验证通过的情况下，完成对第一终端设备的签约，可以有效防止第三方设备违规签约终端设备。

可选的，如图5所示，本申请实施例提供的通信系统400中除包括第三方设备20和区块链节点30外，还可以包括第一终端设备40、运营商设备50、第一统一数据管理网元60中的一项或多项。其中，运营商设备50属于运营商网络，第一统一数据管理网元60属于运营商网络，或者说，运营商设备50和/或第一统一数据管理网元部署于运营商网络中。

可选的，本申请实施例还提供一种通信系统600用于第一终端设备在服务网络的认证鉴权。如图6所示，该通信系统包括第一终端设备40、安全锚点功能网元70、以及鉴权服务功能网元80。

其中，安全锚点功能网元70属于服务网络，或者说，安全锚点功能网元70部署于服务网络中；鉴权服务功能网元80属于第三方网络，或者说，鉴权服务功能网元80部署于第三方网络中。

可选的，该通信系统600还可以包括区块链节点30、区块链处理功能网元90、第二统一数据管理网元100中的一项或多项。

其中，区块链处理功能网元90属于服务网络，或者说，区块链处理功能网元90部署于服务网络中；第二统一数据管理网元100属于第三方网络，或者说，第二统一数据管理网元100部署于第三方网络中。

需要说明的是，本申请对各个设备(或网元)之间是否能够通信以及通信方式不做任何限定，图4至图6仅是示例性的示出各个设备之间的通信关系。在图4至图6中，两个设备之间没有连线并不代表这两个设备不能通信。

可选的，图4或图5所示的通信系统400、图6所示的通信系统600可以应用于目前的4G网络、4.5G网络、5G网络以及未来其它的网络，本申请实施例对此不作具体限定。

可选的，如图5所示的通信系统400或图6所示的通信系统600应用于目前的第五代(5th generation，5G)网络时，第一统一数据管理网元60和第二统一数据管理网元100可以是5G网络中的统一数据管理(unified data management，UDM)网元。安全锚点功能网元70可以是5G网络中的安全锚点功能(secure anchor function，SEAF)网元。鉴权服务功能网元80可以是5G网络中的鉴权服务器功能(authentication server function，AUSF)网元。区块链处理功能网元90可以是5G网络中的区块链处理功能(blockchain handlingfunction，BCHF)网元。

需要说明的是，本申请中的AUSF网元、UDM网元、SEAF网元、BCHF网元等仅是一个名字，名字对设备本身不构成限定。在5G网络以及未来其它的网络中，AUSF网元、UDM网元、SEAF网元、BCHF网元所对应的网元或实体也可以是其他的名字，本申请实施例对此不作具体限定。例如，该UDM网元还有可能被替换为用户归属服务器(home subscriber server，HSS)或者用户签约数据库(user subscription database，USD)或者数据库实体，等等，在此进行统一说明，以下不再赘述。

可选的，本申请实施例中的第一终端设备可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备、工业物联网(industrial internet of things，IIoT)中的设备或连接到无线调制解调器的其它处理设备；还可以包括用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant，PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordlessphone)或者无线本地环路(wireless local loop，WLL)台、机器类型通信(machine typecommunication,MTC)终端、用户设备(user equipment，UE)，移动台(mobile station，MS)，终端设备(terminal device)等。

可选的，本申请实施例中的第三方设备20、区块链节点30、第一终端设备40、运营商设备50、第一统一数据管理网元60、安全锚点功能网元70、以及鉴权服务功能网元80、区块链处理功能网元90、或者第二统一数据管理网元100可以由一个设备实现，也可以由多个设备共同实现，还可以是一个设备内的一个功能模块，本申请实施例对此不作具体限定。可以理解的是，上述功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

例如，本申请实施例中的第三方设备20、区块链节点30、第一终端设备40、运营商设备50、第一统一数据管理网元60、安全锚点功能网元70、以及鉴权服务功能网元80、区块链处理功能网元90、或者第二统一数据管理网元100可以通过图7所示的通信设备来实现。

图7所示为本申请实施例提供的通信设备的硬件结构示意图。该通信设备700包括至少一个处理器701，通信线路702，存储器703以及至少一个通信接口704。

处理器701可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

通信线路702可包括一通路，在上述组件之间传送信息。

通信接口704，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local areanetworks，WLAN)等。

存储器703可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路702与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器703用于存储执行本申请方案的计算机执行指令，并由处理器701来控制执行。处理器701用于执行存储器703中存储的计算机执行指令，从而实现本申请下述实施例提供的签约方法。

可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

在具体实现中，作为一种实施例，处理器701可以包括一个或多个CPU，例如图7中的CPU0和CPU1。

在具体实现中，作为一种实施例，通信设备700可以包括多个处理器，例如图7中的处理器701和处理器708。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，通信设备700还可以包括输出设备705和输入设备706。输出设备705和处理器701通信，可以以多种方式来显示信息。例如，输出设备705可以是液晶显示器(liquid crystal display，LCD)，发光二极管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备706和处理器701通信，可以以多种方式接收用户的输入。例如，输入设备706可以是鼠标、键盘、触摸屏设备或传感设备等。

上述的通信设备700可以是一个通用设备或者是一个专用设备。在具体实现中，通信设备700可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digitalassistant，PDA)、移动手机、平板电脑、无线终端设备、嵌入式设备或有图7中类似结构的设备。本申请实施例不限定通信设备700的类型。

下面将结合图1至图7，通过具体实施例对本申请实施例提供的签约方法进行展开说明。

需要说明的是，本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请实施例对此不作具体限定。

为了实现对海量终端设备的签约，本申请提出一种签约方法，该签约方法中，运营商网络委托第三方设备(或网络)签约终端设备。

本申请的一种实施场景下，在第三方设备签约终端设备前，运营商网络需对第三方设备进行授权，如图8所示，该过程可以包括如下步骤：

S801、运营商设备与第三方设备建立授权签约信任关系。

也就是说，运营商设备授权第三方设备签约终端设备。

其中，运营商设备属于运营商网络，第三方设备属于第三方网络，可参考上述相关说明，在此不再赘述。

其中，在该步骤S801中，运营商设备获取第三方设备的公钥，该第三方设备的公钥可以作为运营商设备对第三方设备授权的凭证。

可选的，该第三方设备的公钥可以是第三方网络用于与运营商网络通信的公钥。也就是说，部署于第三方网络中的设备与部署于运营商网络中的设备可以使用该公钥进行安全通信，例如，运营商网络中的设备可以使用该公钥对发往第三方设备的数据进行加密，第三方设备使用该公钥对应的私钥对加密数据进行解密，从而达到数据的机密性保护；或者，第三方网络中的设备可以使用该公钥对应的私钥对其发送的数据进行签名，运营商网络中的设备使用该公钥验证签名的有效性，以确认数据传输过程中是否被篡改。

可选的，该步骤S801具体可以包括如下步骤S801a和步骤S801b：

S801a、第三方设备向运营商设备发送消息a。相应的，运营商设备接收来自第三方设备的消息a。

其中，该消息a可以用于请求运营商设备授权第三方设备签约终端设备。该消息a包括第三方设备的公钥。

S801b、运营商设备向第三方设备发送消息b。相应的，第三方设备接收来自运营商设备的消息b。

其中，该消息b可以用于指示运营商设备允许第三方设备签约终端设备。

可选的，运营商设备收到消息a后，可以确定是否授权第三方设备签约终端设备，若是，可以向第三方设备发送该消息b。

可选的，该消息b还可以包括以下一项或多项：允许第三方设备签约的终端设备的最大数目、允许第三方设备签约的终端设备接入的服务网络的信息(例如服务网络名称或服务网络类型)、或者允许第三方设备为终端设备分配的移动用户国际用户码标识(mobilesubscriber international ISDN number，MSISDN)的范围。其中，ISDN指综合业务数字网(integrated service digital network)。

可选的，该“MSISDN的范围”也可以称为“号段”，二者可以相互替换，本申请实施例对此不做具体限定。

可选的，在消息b中包括允许第三方设备为终端设备分配的MSISDN的范围的情况下，该MSISDN的范围可以隐式指示允许第三方设备签约的终端设备的最大数目，即该最大数目可以为该MSISDN范围中包括的MSISDN的个数，此时，消息b中可以不包括允许第三方设备签约的终端设备的最大数目。

可选的，在消息b中包括允许第三方设备签约的终端设备的最大数目和允许第三方设备为终端设备分配的MSISDN的范围的情况下，该最大数目与该MSISDN范围中包括的MSISDN的个数相同。

基于该方案，通过上述最大数目、服务网络的信息、或MSISDN的范围，可以实现运营商设备对第三方设备的签约能力和权限的限制。

可以理解的是，在通过其他方式实现该步骤S801时，运营商设备同样可以限制第三方设备的签约能力和权限，本申请对该步骤S801的实现方式不做具体限定。

可选的，该步骤S801也可以理解为运营商网络与第三方网络建立授权签约信任关系，即运营商网络授权第三方网络签约终端设备。即上述第三方设备与运营商设备之间的交互可以从宏观上理解为第三方网络与运营商网络之间的交互。

S802、运营商设备向区块链节点发送消息c。相应的，区块链节点接收来自运营商设备的消息c。

其中，该消息c包括第一信息和消息c的数字签名。该第一信息用于指示运营商网络对第三方设备的授权签约信任关系。该消息c的数字签名用于区块链节点验证该消息c。该消息c的数字签名例如可以是根据运营商设备的公钥生成的数字签名，例如，使用运营商设备的公钥对应的私钥生成的数字签名。

其中，第一信息包括第三方设备的公钥。

可选的，该第一信息还可以包括以下一项或多项：允许第三方设备签约的终端设备的最大数目、允许第三方设备签约的终端设备接入的服务网络的信息(例如服务网络名称或服务网络类型)、或者允许第三方设备为终端设备分配的MSISDN的范围。

可选的，运营商设备向区块链节点发送消息c，也可以理解为运营商设备发起一次交易，该消息c的数字签名可以认为是本次交易的数字签名。

需要说明的是，本申请实施例中的消息c也可以称为第三消息，本申请还涉及第一消息和第二消息，将在后续实施例中说明，在此不予赘述。

S803、区块链节点验证消息c的数字签名。

可选的，区块链节点可以使用运营商设备的公钥验证消息c的数字签名。在消息c的数字签名验证通过的情况下，执行下述步骤S804。

可选的，区块链节点验证消息c的数字签名，可以也理解为区块链节点验证本次交易的有效性。在验证通过的情况下，说明本次交易有效。

S804、区块链节点生成第一智能合约。

其中，第一智能合约用于记录第一信息。

可选的，在第一信息包括允许第三方设备签约的终端设备的最大数目或允许第三方设备为终端设备分配的MSISDN的范围的情况下，第一智能合约还用于记录计数器的值，该计数器可以用于判断第三方设备签约的终端设备的数目是否超过该最大数目，该计数器的初始值为该最大数目。

S805、第三方设备向区块链节点发送消息d。相应的，区块链节点接收来自第三方设备的消息d。

其中，该消息d包括第二信息和消息d的数字签名。该消息d的数字签名用于区块链节点验证该消息d，该消息d的数字签名例如可以是根据第三方设备的公钥生成的数字签名，例如，使用第三方设备的公钥对应的私钥生成的数字签名。

其中，该第二信息用于指示第三方设备对认证向量等认证相关信息的获取源的信任关系，即在第三方设备签约的终端设备的认证鉴权过程中，可以根据该第二信息所承载的路由信息获取该终端设备的认证向量等认证相关信息。由于在第三方设备签约的终端设备的认证鉴权过程中，可以根据第二信息获取终端设备的认证向量等认证相关信息，从而，也可以认为该第二信息用于指示第三方设备对待签约的终端设备的信任关系。

以第三方设备待签约的任一终端设备为第一终端设备为例，该第二信息可以用于指示第三方设备对第一终端设备的信任关系。

其中，第二信息包括第三方设备对应的鉴权服务功能网元的路由信息，该鉴权服务功能网元用于在第一终端设备的认证鉴权过程中，从第三方设备对应的统一数据管理网元处获取认证向量。

可选的，该第三方设备对应的鉴权服务功能网元和该第三方设备对应的统一数据管理网元属于第三方网络。该第三方设备对应的统一数据管理网元可以为上述图6所示的第二统一数据管理网元100。

可选的，第三方设备向区块链节点发送消息d，也可以理解为第三方设备发起一次交易，该消息d的数字签名可以认为是本次交易的数字签名。

需要说明的是，本申请实施例中的消息d也可以称为第二消息，在此统一说明，下述实施例中不再赘述。

S806、区块链节点验证消息d的数字签名。

可选的，区块链节点可以使用第三方设备的公钥验证消息d的数字签名。在消息d的数字签名验证通过的情况下，执行下述步骤S807。

可选的，区块链节点验证消息d的数字签名，可以也理解为区块链节点验证本次交易的有效性。在验证通过的情况下，说明本次交易有效。

S807、区块链节点生成第二智能合约。

其中，第二智能合约用于记录第二信息。

需要说明的是，上述步骤S805-S807与步骤S801-S804没有必然的先后关系，可以先执行步骤S805-S807，再执行步骤S801-S804；或者，可以先执行步骤S801-S804，再执行步骤S805-S807；或者，可以同时执行步骤S801-S804、以及步骤S805-S807，本申请实施例对此不做具体限定。

基于上述方案，可以利用区块链节点的智能合约记录运营商设备对第三方设备的委托签约信任关系、以及第三方设备对终端设备的信任关系，使得后续通过第三方设备签约的终端设备在附着到服务网络时，服务网络能够通过智能合约可信地查询这两种信任关系，从而使得第三方设备签约的终端设备能够接入服务网络。

基于图8所示的过程，如图9所示，为本申请实施例提供的一种签约方法，该签约方法包括如下步骤：

S901、第三方设备向区块链节点发送消息e。相应的，区块链节点接收来自第三方设备的消息e。

其中，该消息e包括第一终端设备的第一签约信息和消息e的数字签名，该第一签约信息用于第一终端设备在服务网络的认证鉴权，消息e的数字签名用于区块链节点验证消息e，该消息e的数字签名例如可以是根据第三方设备的公钥生成的数字签名。

可选的，该第一签约信息包括以下一项或多项：第一终端设备的标识、第一智能合约的标识、或第二智能合约的标识。第一智能合约和第二智能合约可参考图8所示的实施例中的相关说明，在此不再赘述。

本申请下述实施例中以第一签约信息包括第一终端设备的标识、第一智能合约的标识、以及第二智能合约的标识为例进行说明。

可选的，第一智能合约的标识可以是区块链节点在生成第一智能合约后发送给第三方设备的。同样，第二智能合约的标识也可以是区块链节点在生成第二智能合约后发送给第三方设备的。

可选的，终端设备的标识可以为以下多项中的一项：第一终端设备的一般公共订阅标识(generic public subscription identifier，GPSI)、由第一终端设备的GPSI唯一确定的标识、第一终端设备的MSISDN、或者由第一终端设备的MSISDN唯一确定的标识。

可选的，标识由第一终端设备的GPSI唯一确定可以理解为：输入的GPSI相同则输出的该由GPSI确定的标识恒定不变。同样，标识由第一终端设备的MSISDN唯一确定可以理解为：输入的MSISDN相同则输出的由该MSISDN确定的标识恒定不变。

可选的，在第一智能合约记录的第一信息中不包括允许第三方设备签约的终端设备的最大数目，包括允许第三方设备为终端设备分配的MSISDN的范围的情况下，即在允许第三方设备签约的终端设备的最大数目由MSISDN的范围隐式指示的情况下，该第一终端设备的标识可以为第一终端设备的MSISDN或者为由第一终端设备的MSISDN唯一确定的标识，且该第一终端设备的MSISDN在该MSISDN的范围内。

可选的，第三方设备可以在第一终端设备有签约需求时执行该步骤S901，或者可以在其他情况下执行该步骤S901，本申请对触发执行步骤S901的条件不做任何限定。

需要说明的是，本申请实施例中的消息e也可以称为第一消息，在此统一说明，下述实施例不再赘述。

S902、区块链节点验证消息e的数字签名。

可选的，在第一智能合约记录的第一信息包括第三方设备的公钥的情况下，区块链节点验证消息e的数字签名可以包括：区块链节点根据第三方设备的公钥验证消息e的数字签名。

可选的，区块链节点在收到消息e后，可以根据消息e中第一签约信息包括的第一智能合约的标识调用第一智能合约，从第一智能合约中获取第三方设备的公钥，再根据第三方设备的公钥验证消息e的数字签名。

在消息e的数字签名验证通过的情况下，执行下述步骤S903。

S903、区块链节点将第一签约信息记录为第一交易。

可选的，区块链节点将第一签约信息记录为第一交易，可以包括：区块链节点调用第一智能合约，在区块链节点通过第一智能合约确定第三方设备当前签约的终端设备的数目小于或等于允许第三方设备签约的终端设备的最大数目的情况下，区块链节点将第一签约信息记录为第一交易。

可选的，在第一智能合约记录的第一信息包括的内容不同的情况下，区块链节点通过第一智能合约确定第三方设备当前签约的终端设备的数目小于或等于允许第三方设备签约的终端设备的最大数目的方式也可能不同。

一种可能的实现方式中，在第一信息包括允许第三方设备签约的终端设备的最大数目，第一智能合约还用于记录计数器的值的情况下，通过第一智能合约确定第三方设备当前签约的终端设备的数目小于或等于允许该最大数目，可以包括：区块链节点检查第一智能合约记录的该计数器的值是否为零，在该计数器的值不为零的情况下，区块链节点确定第三方设备当前签约的终端设备的数目小于或等于该最大数目。

可选的，在确定第三方设备当前签约的终端设备的数目小于或等于该最大数目后，区块链节点还更新计数器的值，例如将计数器的值减1，用于更新第三方设备剩余的可签约的终端设备的数目。

可选的，在该可能的实现方式中，在第一签约信息包括第一终端设备的标识不为第一终端设备的MSISDN的情况下，区块链节点还在第一智能合约中记录第一终端设备的标识与第一终端设备的MSISDN的映射关系，即通过第一终端设备的标识能够查询到第一终端设备的MSISDN。该映射关系可以用于在后续第一终端设备的认证鉴权过程中向服务网络返回第一终端设备的MSISDN，将在后续实施例中详细说明，此处不予赘述。

另一种可能的实现方式中，在第一信息包括允许第三方设备为终端设备分配的MSISDN的范围的情况下，通过第一智能合约确定第三方设备当前签约的终端设备的数目小于或等于允许该最大数目，可以包括：区块链节点通过第一智能合约查询第一终端设备的MSISDN是否被占用，在第一终端设备的MSISDN未被占用，且位于允许第三方设备为终端设备分配的MSISDN的范围内的情况下，区块链节点确定第三方设备当前签约的终端设备的数目小小于或等于该最大数目。

可以理解的是，在该实现方式中，第一签约信息包括的第一终端设备的标识为第一终端设备的MSISDN或为由第一终端设备的MSISDN唯一确定的标识。

可选的，区块链节点还可以在第一智能合约中记录第一终端设备的MSISDN，用于记录该MSISDN的范围中已经被占用的MSISDN，在第三方设备后续签约其他终端设备时，可以根据记录的已经被占用的MSISDN判断其他终端设备的MSISDN是否被占用。

S904、区块链节点向第三方设备发送第一交易的区块链地址。相应的，第三方设备接收来自区块链节点的第一交易的区块链地址。

可选的，区块链节点可以在区块链系统中的各个区块链节点达成共识后，向第三方设备发送第一交易的区块链地址。

S905、第三方设备向第一终端设备发送第一交易的区块链地址和第一终端设备的标识。相应的，第一终端设备接收来自第三方设备的第一交易的区块链地址和第一终端设备的标识。

其中，该第一终端设备的标识即为第一签约信息中包括的第一终端设备的标识。

可选的，第三方设备还向第一终端设备发送第二签约信息，该第二签约信息包括共享秘钥K、序列号(sequence number，SQN)、或用户永久身份标识(subscriptionpermanent identifier，SUPI)中的一项或多项。

可选的，第三方设备还可以将第一终端设备的第二签约信息发送给第三方设备对应的统一数据管理网元，即终端设备的第二签约数据写入第三设备的统一数据管理网元中。

在步骤S905完成后，可以理解为第三方设备完成了对第一终端设备的签约，或者说，第三方设备与第一终端设备建立了签约关系。

基于该方案，由第三方设备向第一终端设备发送第一交易的区块链地址，而第一交易记录了第一终端设备的第一签约信息，可以使得第一终端设备根据第一交易的区块链地址获取其第一签约信息，这一过程可以认为第三方设备完成了对第一终端设备的签约，因此，本申请的方案可以实现第三方设备在运营商网络授权的情况下，以委托的方式自主签约终端设备，运营商网络在将签约任务委托给第三方设备(或第三方网络)后，在终端设备的签约过程中，不进行任何参与，从而降低运营商网络签约终端设备的开销与压力。另一方面，第三方设备对终端设备进行签约时，需要通过区块链节点进行验证，可以有效防止第三方设备违规签约终端设备。

基于图9所示的签约方法，本申请还提供一种第一终端设备连接到服务网络时，与服务网络之间的认证鉴权流程，如图10所示，该认证鉴权流程可以包括如下步骤：

S1001、第一终端设备向安全锚点功能网元发送第一认证请求信息。相应的，安全锚点功能网元接收来自第一终端设备的第一认证请求信息。

其中，该安全锚点功能网元属于服务网络，或者说，安全锚点功能网元部署于服务网络中。

其中，第一认证请求信息包括第一交易的区块链地址和第一终端设备的标识。第一交易的相关说明可参考上述实施例中的相关描述，在此不再赘述。

S1002、安全锚点功能网元通过区块链处理功能网元向区块链节点发送第一交易的区块链地址和第一终端设备的标识。相应的，区块链节点通过区块链处理功能网元接收来自安全锚点功能网元的第一交易的区块链地址和第一终端设备的标识。

其中，该区块链处理功能网元属于服务网络，或者说，区块链处理功能网元部署于服务网络中。

S1003、区块链节点通过区块链处理功能网元向安全锚点功能网元发送第三信息。相应的，安全锚点功能网元通过区块链处理功能网元接收来自区块链节点的第三信息。

其中，该第三信息包括第一终端设备的MSISDN、运营商网络对第三方设备的授权信任关系、以及第三方设备对应的鉴权服务功能网元的路由信息，该鉴权服务功能网元属于第三方网络。

可选的，运营商网络对第三方设备的授权签约信任关系可以通过第三方设备的公钥指示，即区块链节点可以向安全锚点功能网元返回第三方设备的公钥。

可选的，区块链节点收到第一交易的地址信息后，可以查询第一交易，根据第一交易中记录的第一智能合约的标识调用第一智能合约，通过第一智能合约确认运营商网络对第三方设备的委托签约信任关系，从而向安全锚点功能网元返回该委托签约信任关系。

可选的，在第一终端设备的标识不为MSISDN的情况下，区块链节点还通过第一智能合约中记录的第一终端设备的标识与MSISDN的映射关系，确定第一终端设备的MSISDN。

可选的，区块链节点还可以根据第一交易中记录的第二智能合约的标识调用第二智能合约，通过第二智能合约获取第三方设备对应的鉴权服务功能网元的路由信息。

可以理解的，上述步骤S1002和步骤S1003可以理解为安全锚点功能网元根据第一交易的区块链地址和第一终端设备的标识获取第三信息的过程。

S1004、安全锚点功能网元向鉴权服务功能网元发送消息f。相应的，鉴权服务功能网元接收来自安全锚点功能网元的消息f。

其中，安全锚点功能网元向鉴权服务功能网元发送消息f，可以包括：安全锚点功能网元根据运营商网络对第三方设备的授权签约信任关系和该鉴权服务功能网元的路由信息，向该鉴权服务功能网元发送消息f。

其中，该消息f包括第一终端设备的MSISDN和消息f的数字签名。可选的，该消息f还可以包括服务网络的服务网络名称。

可选的，该消息f的数字签名可以是根据服务网络的公钥生成的数字签名，例如，使用该公钥对应的私钥生成的数字签名；或者，可以是根据安全锚点功能网元和鉴权服务功能网元之间建立安全关联后协商的秘钥生成的数字签名。

可选的，安全锚点功能网元和鉴权服务功能网元之间建立安全关联可以为：安全锚点功能网元和鉴权服务功能网元通过前期握手建立安全通道，例如，因特网协议安全协议(internet protocol security，IPSEC)通道或传输层安全协议(transport layersecurity，TLS)通道。

需要说明的是，本申请实施例中的消息f也可以称为第四消息，在此统一说明，下述实施例中不再赘述。

S1005、鉴权服务功能网元验证消息f的数字签名。鉴权服务功能网元可以通过如下两种方式验证消息f的数字签名：

一种可能的实现方式中，若安全锚点功能网元与鉴权服务功能网元之间建立了安全关联，鉴权服务功能网元可以通过二者建立安全关联后协商的秘钥验证消息f的数字签名。

另一种可能的实现方式中，若安全锚点功能网元与鉴权服务功能网元之间未建立安全关联，鉴权服务功能网元可以通过服务网络的公钥验证消息f的数字签名。在该场景下，鉴权服务功能网元可以向区块链节点查询服务网络的公钥以验证消息f的数字签名。

可选的，区块链节点记录的服务网络的公钥可以理解为区块链节点记录的运营商网络对服务网络的信任关系。该信任关系可以是运营商网络上报给区块链节点的。

可选的，在该可能的实现方式中，消息f的数字签名验证通过后，鉴权服务功能网元可以和安全锚点功能网元建立安全关联，使得后续有第三方设备签约的终端设备连接到服务网络时，安全锚点功能网元和鉴权服务功能网元之间可以采用安全关联的方式通信。

该步骤中，若消息f的数字签名验证通过，执行下述步骤S1006。

S1006、鉴权服务功能网元从统一数据管理网元处获取第一终端设备的认证向量。

其中，该统一数据管理网元为第三方设备对应的统一数据管理网元，其属于第三方网络，或者说部署于第三方网络中。

S1007、鉴权服务功能网元、安全锚点功能网元、以及第一终端设备等执行认证和秘钥协商(authentiacation and key agreement，AKA)鉴权。

可选的，步骤S1007的详细过程可参考现有的AKA鉴权过程，在此不予赘述。

通过该方案，可以实现第三方设备签约的终端设备的认证和鉴权。此外，认证和鉴权过程对于终端设备来说是透明的，仍然使用基于对称秘钥的AKA过程，仅是在信令上有微小差别，对终端设备的改动较小，更利于终端设备的后向兼容。

在本申请的另一种实施场景下，本申请还提供一种签约方法，如图11所示，该签约方法可以包括如下步骤：

S1101、区块链节点确定第三智能合约。

可选的，在本申请实施例的不同实施场景下，区块链节点确定第三智能合约的方式也不同，示例性的：

一种可能的实现方式中，在该步骤S1101之前，运营商设备和第三方设备可以建立授权签约信任关系，之后，运营商设备可以向区块链节点上报该授权签约信任关系，使得区块链节点根据该授权签约信任关系生成第三智能合约。

其中，该签约规则包括第三方设备的公钥和一个或多个统一数据管理网元的路由信息，该一个或多个统一数据管理网元属于运营商网络，该一个或多个统一数据管理网元用于记录第三方设备签约的终端设备的签约信息。

可选的，该签约规则还可以包括以下一项或多项：允许第三方设备签约的终端设备的最大数目、允许第三方设备签约的终端设备接入的服务网络的信息、或允许第三方设备为终端设备分配的MSISDN的范围。

另一种可能的实现方式中，运营商在区块链节点中设置的智能合约不指定被委托方，而是定义交易明细。在这种模式下，第三方设备和运营商无需预先建立授权签约信任关系，而是以交易代替信任，允许任何第三方设备在无运营商信任的情况下以购买或租用的方式获得签约终端设备的资质，这一过程可以包括如下步骤：

S1011a、区块链节点根据运营商设备的要求生成第三智能合约的初始合约，或者说，运营商设备在区块链节点中设置第三智能合约的初始合约，该初始合约用于记录运营商网络设置的签约规则集合。

可选的，该签约规则集合可以包括一个或多个统一数据管理网元的路由信息，该一个或多个统一数据管理网元属于运营商网络，该一个或多个统一数据管理网元用于记录获得签约终端设备的资质的设备所签约的终端设备的签约信息。

可选的，该签约规则集合还可以包括以下一项或多项：一个或多个服务网络的信息、一个或多个MSISDN的范围(或者说一个或多个号段)、各个MSISDN的范围中一个MSISDN的单价等。

可选的，区块链节点或运营商可以将该签约规则集合发送给第三方设备，以便于第三方设备根据该签约规则集合申请签约资质。

S1011b、第三方设备向区块链节点发送第二交易的信息。相应的，区块链节点接收来自第三方设备的第二交易的信息。

可选的，第三方设备可以根据上述签约规则集合向区块链节点发送第二交易的信息，该第二交易的信息用于申请签约资质，或者说用于调用第三智能合约的初始合约申请运营商网络对第三方设备授权的签约规则。

可选的，该第二交易的信息包括第三方设备的公钥、第一统一数据管理网元的路由信息、以及第二交易的信息的数字签名。

其中，该第一统一数据管理网元为第三方设备选择的上述签约规则集合包括的一个会多个统一数据管理网元中的统一数据管理网元。第一统一数据管理网元用于记录第三方设备签约的终端设备的签约信息。

可选的，该第二交易的信息还可以包括第三方设备申请签约的终端设备的数目、第三方设备签约的终端设备接入的服务网络的信息、第三方设备为终端设备分配的MSISDN的范围、或支付金额数等。该支付金额数可以为第三方设备为终端分配的MSISDN的范围包括的MSISDN的个数乘以该MSISDN范围下的MSISDN的单价。

也就是说，该步骤S1011b中，第三方设备通过区块链节点向运营商申请签约终端设备的签约规则，或者说申请签约终端设备的资质或权限。

其中，申请的该签约规则包括第一统一数据管理网元。可选的，申请的该签约规则还可以包括第三方设备签约的终端设备的数目、第三方设备签约的终端设备接入的服务网络、或第三方设备为终端设备分配的MSISDN的范围。

S1011c、区块链节点验证第二交易的有效性。

其中，该第二交易的有效性验证包括第二交易的信息的数字签名的验证和第三方设备申请的签约规则的验证。

可选的，第三方设备申请的签约规则的验证可以包括验证第三方设备申请的签约规则是否包含于第三智能合约的初始合约记录的签约规则集合中。例如，验证签约规则集合中是否包括第一统一数据管理网元的路由信息，或者，验证签约规则集合是否包括第三方设备签约的终端设备接入的服务网络等。

可选的，在第二交易的有效性验证通过后，区块链节点可以执行下述步骤S1101d。

S1101d、区块链节点在第三智能合约的初始合约中记录第三方设备申请的签约规则，得到第三智能合约。

可以理解的，步骤S1101d后，可以认为第三智能合约记录了运营商设备对第三方设备授权的签约规则。

可以理解的，从运营商的角度来说，运营商对第三方设备授权的签约规则可以包括第一统一数据管理网元。可选的，该签约规则还可以包括允许第三方设备签约的终端设备的最大数目、允许第三方设备签约的终端设备接入的服务网络的信息、或允许第三方设备为终端设备分配的MSISDN的范围。其中，允许第三方设备签约的终端设备的最大数目，即为第三方设备申请签约的终端设备的数目。

可选的，上述步骤S1101b中，第三方设备可以通过第六消息向区块链节点发送第二交易的信息，即第三方设备向区块链节点发送第六消息，区块链节点接收来自第三方设备的第六消息，该第六消息包括第二交易的信息。相应的，上述步骤S1101c-S110d可以理解为区块链节点根据第六消息在第三智能合约中记录运营商网络对第三方设备授权的签约规则的过程。

可选的，在上述两种可能的实现方式中，第三智能合约还可以记录计数器的值，该计数器的初始值为允许第三方设备签约的终端设备的最大数目。

其中，在区块链节点确定第三智能合约，或者说，在第三方设备得到运营商授权签约后，即可签约终端设备，即执行下述步骤。

S1102、第三方设备向区块链节点发送消息g。相应的，区块链节点接收来自第三方设备的消息g。

其中，该消息g用于请求调用第三智能合约验证第三方设备对第一终端设备的签约有效性。第三智能合约可参见上述相关说明，在此不再赘述。

可选的，第三方设备可以在第一终端设备有签约需求时执行该步骤S1102，或者可以在其他情况下执行该步骤S1102，本申请对触发执行步骤S1102的条件不做任何限定。

可选的，该消息g可以包括签约记录的哈希摘要、第四信息、以及该消息g的数字签名。其中，该签约记录包括第四信息和第一签约信息，该第四信息为需通过第三智能合约核查的信息，第一签约信息包括签约信息的部分或全部信息，消息g的数字签名用于区块链节点验证该消息g。

其中，签约信息为第三方设备为第一终端设备生成的用于第一终端设备在服务网络的认证鉴权的信息。

需要说明的是，在第一签约信息包括该签约信息的部分信息的情况下，第四信息包括该签约信息的另一部分信息。也就是说，该签约信息的另一部分信息需通过第三智能合约核查。

示例性的，以签约记录包括某个统一数据管理网元的路由信息、第一终端设备的MSISDN、第一终端设备的SUPI、共享秘钥K、以及序列号SQN为例，假设该签约信息包括第一终端设备的MSISDN、第一终端设备的SUPI、共享秘钥K、以及序列号SQN，需通过第三智能合约的第四信息包括统一数据管理网元的路由信息、第一终端设备的MSISDN，该消息g的载荷(或消息体)可以为：MSISDN+UDM info+Hash(MSISDN+UDM info+SUPI+K+SQN)，UDM info表示该统一数据管理网元的路由信息，Hash(X)表示X的哈希摘要。

可以理解的是，在该示例中，第一签约信息包括的部分签约信息为第一终端设备的SUPI、共享秘钥K、以及序列号SQN，第四信息包括的另一部分签约信息为第一终端设备的MSISDN。

其中，需通过第三智能合约核查的第四信息是根据运营商网络对第三方设备授权的签约规则确定的。

例如，在运营商网络对第三方设备授权的签约规则包括一个或多个统一数据管理网元的路由信息的情况下，第四信息包括第一统一数据管理网元的路由信息，该第一统一数据管理网元为第三方设备选择的上述签约规则集合包括的一个或多个统一数据管理网元中的统一数据管理网元。第一统一数据管理网元用于记录第三方设备签约的终端设备的签约信息。

或者，在运营商网络对第三方设备授权的签约规则包括允许第三方设备为终端设备分配的范围的情况下，第四信息包括第一终端设备的MSISDN。

需要说明的是，本申请实施例中，消息g也可以称为第五消息，在此统一说明，下述实施例不再赘述。

S1103、区块链节点调用第三智能合约验证第三方设备对第一终端设备的签约有效性。

可选的，第三方设备对第一终端设备的签约有效性的验证可以理解为区块链节点验证第三方设备对第一终端设备的签约是否符合运营商网络对第三方设备授权的签约规则。

可选的，区块链节点调用第三智能合约验证第三方设备对第一终端设备的签约有效性可以包括区块链节点对消息g的数字签名的验证，进一步地包括区块链节点对第四信息的验证。

示例性的，区块链节点调用第三智能合约验证第三方设备对第一终端设备的签约有效性，可以包括：区块链节点使用第三智能合约记录的签约规则所记录的第三方设备的公钥验证消息g的数字签名，在消息g的数字签名验证通过的情况下，区块链节点根据该签约规则验证第四信息。

可选的，消息g的数字签名验证通过，且第四信息包括的参数符合运营商网络对第三方设备授权的签约规则的情况下，区块链节点确定第三方设备对第一终端设备的签约有效。此时，可以执行下述步骤S1104。

可选的，若第三智能合约记录了计数器的值，区块链节点还需验证该计数器的值是否为零。在确定该计数器的值不为零后，执行下述步骤S1104。区块链节点还可以更新该计数器的值，例如将该计数器的值减1。

可选的，在区块链节点确定第三方设备对第一终端设备的签约有效后，区块链节点可以在第三智能合约中记录签约记录的哈希摘要，用于第一统一数据管理网元确认签约信息的写入权限。

S1104、区块链节点向第三方设备发送对消息g的反馈信息。相应的，第三方设备接收来自区块链节点对消息g的反馈信息。

其中，该反馈信息用于指示第三方设备对第一终端设备的签约有效。

可选的，区块链节点可以在区块链系统中的各个区块链节点达成共识后，向第三方设备发送对消息g的反馈信息。

S1105、第三方设备向第一终端设备发送签约信息。相应的，第一终端设备接收来自第三方设备的签约信息。

其中，该签约信息与步骤S1102中的签约信息相同。

基于该方案，由第三方设备向第一终端设备发送签约信息，可以认为第三方设备完成了对第一终端设备的签约，因此，本申请的方案可以实现第三方设备在运营商网络授权的情况下，以委托的方式自主签约终端设备，运营商网络在将签约任务委托给第三方设备(或第三方网络)后，在终端设备的签约过程中，不进行任何参与，从而降低运营商网络签约终端设备的开销与压力。另一方面，第三方设备对终端设备进行签约时，需要通过区块链节点进行验证，在验证第三方设备对第一终端设备的签约有效的情况下，向第一终端设备发送签约信息，即在区块链节点验证通过的情况下，完成对第一终端设备的签约，可以有效防止第三方设备违规签约终端设备。

可选的，在本申请的一种实施场景下，该签约方法还包括以下步骤：

S1106、第三方设备向第一统一数据管理网元发送第一终端设备的签约信息。相应的，第一统一数据管理网元接收来自第三方设备的签约信息。

可选的，第一统一数据管理网元收到该签约信息后，将该签约信息和第一统一数据管理网元的路由信息确定为签约记录，并生成该签约记录的哈希摘要。

可以理解的，第一统一数据管理网元生成的该签约记录的哈希摘要与步骤S1102中的签约记录的哈希摘要相同。

S1107、第一统一数据管理网元向区块链节点发送消息h。相应的，区块链节点接收来自第一统一数据管理网元的消息h。

其中，该消息h用于查询第三智能合约是否记录有该签约记录的哈希摘要。

可选的，区块链节点收到该消息h后，可以调用第三智能合约验证其是否记录有该签约记录的哈希摘要，在确定第三智能合约记录有该签约信息的哈希摘要的情况下，执行下述步骤S1008。

S1108、区块链节点向第一统一数据管理网元发送消息i。相应的，第一统一数据管理网元接收来自区块链节点的消息i。

其中，该消息i用于指示第三智能合约记录有该签约记录的哈希摘要。

S1109、第一统一数据管理网元根据消息i记录该签约信息。

可选的，第一统一数据管理网元根据消息i记录签约信息可以理解为消息i为第一统一数据管理网元记录签约信息的触发条件。

至此，可以将第一终端设备的签约数据记录至第一统一数据管理网元，即写入运营商网络中的统一数据管理网元。

需要说明的是，本申请实施例中，消息h也可以称为第七消息，消息i也可以称为第八消息，在此统一说明，下述实施例中不再赘述。

基于该方案，虽然运营商的UDM需要记录下来每个第三方设备签约的终端设备的签约信息，但是不需要负责这些签约本身的认证等过程。

基于该图11所示的签约方法，第一终端设备的认证鉴权过程可以沿用现有的AKA过程，无需进行任何更改，服务网络可以直接从第一统一数据管理网元处获取认证向量完成第一终端设备的认证鉴权，无需多次调用区块链节点的智能合约，可以降低区块链节点的处理压力。

其中，上述图8至图11所示的各个步骤中各个设备的动作可以由图7所示的通信设备700中的处理器701调用存储器703中存储的应用程序代码以指令该通信设备执行，本实施例对此不作任何限制。

可以理解的是，以上各个实施例中，由第三方设备实现的方法和/或步骤，也可以由可用于第三方设备的部件(例如芯片或者电路)实现；由区块链节点实现的方法和/或步骤，也可以由可用于区块链节点的部件(例如芯片或者电路)实现；由安全锚点功能网元实现的方法和/或步骤，也可以由可用于安全锚点功能网元的部件(例如芯片或者电路)实现；由第一统一数据管理网元实现的方法和/或步骤，也可以由可用于第一统一数据管理网元的部件(例如芯片或者电路)实现。

上述主要从各个设备之间交互的角度对本申请实施例提供的方案进行了介绍。相应的，本申请实施例还提供了通信装置，该通信装置用于实现上述各种方法。该通信装置可以为上述方法实施例中的第三方设备设备，或者包含上述第三方设备的装置，或者是上述第三方设备中包含的装置，比如系统芯片；或者，该通信装置可以为上述方法实施例中的区块链节点，或者包含上述区块链节点的装置，或者上述区块链节点中包含的装置；或者，该通信装置可以为上述方法实施例中的安全锚点功能网元，或者包含上述安全锚点功能网元的装置，或者是上述安全锚点功能网元中包含的装置，比如系统芯片；或者，该通信装置可以为上述方法实施例中的第一统一数据管理网元，或者包含上述第一统一数据管理网元的装置，或者上述第一统一数据管理网元中包含的装置，比如系统芯片。

可以理解的是，该通信装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法实施例中对通信装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

比如，以通信装置为上述方法实施例中的第三方设备为例。图12示出了一种第三方设备120的结构示意图。该第三方设备120包括收发模块1201和处理模块1202。所述收发模块1201，也可以称为收发单元用以实现发送和/或接收功能，例如可以是收发电路，收发机，收发器或者通信接口。

在一种可能的实现方式中：

处理模块1202，用于通过收发模块1201向区块链节点发送第一消息，其中，该第三方设备120是运营商网络授权的用于签约终端设备的设备，该第一消息包括第一终端设备的第一签约信息和第一消息的数字签名，该第一签约信息用于第一终端设备在服务网络的认证鉴权，第一消息的数字签名用于区块链节点验证第一消息；

处理模块1202，还用于通过收发模块1201接收来自区块链节点对第一消息的反馈信息，该反馈信息包括第一交易的区块链地址，该第一交易用于记录第一签约信息；

处理模块1202，还用于通过收发模块1201向第一终端设备发送第一交易的区块链地址和第一终端设备的标识。

可选的，处理模块1202，还用于通过收发模块1201向区块链节点发送第二消息，该第二消息包括第二信息和第二消息的数字签名，该第二消息的数字签名用于区块链节点验证第二消息。

在另一种可能的实现方式中：

处理模块1202，还用于通过收发模块1201向区块链节点发送第五消息，该第五消息用于请求调用第三智能合约验证该第三方设备对第一终端设备的签约有效性，该第三智能合约用于记录运营商网络对该第三方设备授权的签约规则；

处理模块1202，还用于通过收发模块1201接收该区块链节点对该第五消息的反馈信息，该反馈信息用于指示该第三方设备对该第一终端设备的签约有效；

处理模块1202，还用于根据该反馈信息通过收发模块1201向该第一终端设备发送签约信息，该签约信息用于该第一终端设备在服务网络的认证鉴权。

可选的，处理模块1202，还用于通过收发模块1201向第一统一数据管理网元发送签约信息。

可选的，第三智能合约的初始合约用于记录运营商网络设置的签约规则集合。处理模块1202，还用于通过收发模块1201向区块链节点发送第六消息，该第六消息用于调用第三智能合约申请运营商网络对第三方设备授权的签约规则。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在本实施例中，该第三方设备120以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到该第三方设备120可以采用图7所示的通信设备的形式。

比如，图7所示的通信设备中的处理器701可以通过调用存储器703中存储的计算机执行指令，使得通信设备执行上述方法实施例中的签约方法。

具体的，图12中的收发模块1201和处理模块1202的功能/实现过程可以通过图7所示的通信设备中的处理器701调用存储器703中存储的计算机执行指令来实现。或者，图12中的处理模块1202的功能/实现过程可以通过图7所示的通信设备中的处理器701调用存储器703中存储的计算机执行指令来实现，图12中的收发模块1201的功能/实现过程可以通过图7所示的通信设备中的通信接口704来实现。

由于本实施例提供的第三方设备120可执行上述的签约方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

或者，比如，以通信装置为上述方法实施例中的区块链节点为例。图13示出了一种区块链节点130的结构示意图。该区块链节点130包括收发模块1301和处理模块1302。所述收发模块1301，也可以称为收发单元用以实现发送和/或接收功能，例如可以是收发电路，收发机，收发器或者通信接口。

一种可能的实现方式中：

收发模块1301，用于接收来自第三方设备的第一消息，该第三方设备是运营商网络授权的用于签约终端设备的设备，该第一消息包括第一终端设备的第一签约信息和该第一消息的数字签名，该第一签约信息用于第一终端设备在服务网络的认证鉴权；

处理模块1302，用于验证第一消息的数字签名；

处理模块1302，还用于在该第一消息的数字签名验证通过的情况下，将第一签约信息记录为第一交易；

收发模块1301，还用于向第三方设备发送第一交易的区块链地址。

可选的，在第一信息包括第三方设备的公钥的情况下，处理模块1302，用于验证第一消息的数字签名，包括：处理模块1302，用于根据第三方设备的公钥验证该第一消息的数字签名。

可选的，处理模块1302，还用于在该第一消息的数字签名验证通过的情况下，将第一签约信息记录为第一交易，包括：处理模块1302，还用于在该第一消息的数字签名验证通过的情况下调用该第一智能合约；处理模块1302，还用于在通过该第一智能合约确定该第三方设备当前签约的终端设备的数目小于或等于该最大数目的情况下，将该第一签约信息记录为该第一交易。

可选的，在该第一智能合约还用于记录计数器的值，该计数器的初始值为该最大数目的情况下，处理模块1302，还用于通过该第一智能合约确定该第三方设备当前签约的终端设备的数目小于或等于该最大数目，包括：处理模块1302，用于在通过该第一智能合约确定该计数器的值不为零的情况下，确定该第三方设备当前签约的终端设备的数目小于或等于该最大数目。

可选的，处理模块1302，还用于更新计数器的值。

可选的，在该第一智能合约记录的该第一信息包括允许该第三方设备为终端设备分配的MSISDN的范围的情况下，处理模块1302，还用于通过该第一智能合约确定该第三方设备当前签约的终端设备的数目小于或等于该最大数目，包括：处理模块1302，用于在通过该第一智能合约确定该第一终端设备的MSISDN未被占用，且位于该允许该第三方设备为终端设备分配的MSISDN的范围内的情况下，确定该第三方设备当前签约的终端设备的数目小于或等于该最大数目。

可选的，处理模块1302，还用于在第一智能合约中记录第一终端设备的MSISDN。

可选的，收发模块1301，还用于结束来自第三方设备的第二消息，该第二消息包括第二信息和第二消息的数字签名；处理模块1302，还用于验证第二消息的数字签名；处理模块1302，还用于在第二消息的数字签名验证通过的情况下，生成第二智能合约。

可选的，收发模块1301，还用于接收来自运营商设备的第三消息，该第三消息包括第一信息和第三消息的数字签名，该运营商设备的属于运营商网络；处理模块1302，还用于验证第三消息的数字签名；处理模块1302，还用于在第三消息的数字签名验证通过的情况下，生成第一智能合约。

在另一种可能的实现方式中：

收发模块1301，用于接收来自第三方设备的第五消息，该第五消息用于请求调用第三智能合约验证该第三方设备对第一终端设备的签约有效性，该第三智能合约用于记录运营商网络对该第三方设备授权的签约规则；

处理模块1302，用于调用该第三智能合约验证该第三方设备对该第一终端设备的签约有效性；

收发模块1301，还用于在该第三方设备对该第一终端设备的签约有效的情况下，该区块链节点向该第三方设备发送对该第五消息的反馈信息，该反馈信息用于指示该第三方设备对该第一终端设备的签约有效。

可选的，在第三方设备对第一终端设备的签约有效的情况下，处理模块1302，还用于在第三智能合约中记录签约记录的哈希摘要。

可选的，第三智能合约的初始合约用于记录运营商网络设备的签约规则集合的情况下，收发模块1301，还用于接收来自第三方设备的第六消息；处理模块1302，还用于根据第六消息在第三智能合约中记录运营商网络对第三方设备授权的签约规则。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在本实施例中，该区块链节点130以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到该区块链节点130可以采用图7所示的通信设备的形式。

比如，图7所示的通信设备中的处理器701可以通过调用存储器703中存储的计算机执行指令，使得通信设备执行上述方法实施例中的签约方法。

具体的，图13中的收发模块1301和处理模块1302的功能/实现过程可以通过图7所示的通信设备中的处理器701调用存储器703中存储的计算机执行指令来实现。或者，图13中的处理模块1302的功能/实现过程可以通过图7所示的通信设备中的处理器701调用存储器703中存储的计算机执行指令来实现，图13中的收发模块1301的功能/实现过程可以通过图7所示的通信设备中的通信接口704来实现。

由于本实施例提供的区块链节点130可执行上述的签约方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

或者，比如，以通信装置为上述方法实施例中的安全锚点功能网元为例。图14示出了一种安全锚点功能网元140的结构示意图。该安全锚点功能网元140包括收发模块1401和处理模块1402。所述收发模块1401，也可以称为收发单元用以实现发送和/或接收功能，例如可以是收发电路，收发机，收发器或者通信接口。

其中：

收发模块1401，用于接收来自第一终端设备的第一认证请求信息，该安全锚点功能网元属于服务网络，该第一认证请求信息包括第一交易的区块链地址和第一终端设备的标识，该第一交易用于记录第一签约信息，该第一签约信息用于第一终端设备在该服务网络的认证鉴权；

处理模块1402，用于根据第一交易的区块链地址和第一终端设备的标识获取第三信息，该第三信息包括第一终端设备的移动用户国际用户码标识MSISDN、运营商网络对第三方设备的授权签约信任关系、以及第三方设备对应的鉴权服务功能网元的路由信息；

收发模块1401，还用于根据该运营商网络对第三方设备的授权签约信任关系和该鉴权服务功能网元的路由信息，向该鉴权服务功能网元发送第四消息，该第四消息包括第一终端设备的MSISDN和该第四消息的数字签名。

可选的，处理模块1402，用于根据第一交易的区块链地址和第一终端设备的标识获取第三信息，可以包括：处理模块1402，用于通过收发模块1401向区块链节点发送第一交易的区块链地址和第一终端设备的标识；处理模块1402，还用于通过收发模块1401接收来自区块链节点的第三信息。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在本实施例中，该安全锚点功能网元140以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到该安全锚点功能网元140可以采用图7所示的通信设备的形式。

比如，图7所示的通信设备中的处理器701可以通过调用存储器703中存储的计算机执行指令，使得通信设备执行上述方法实施例中的签约方法。

具体的，图14中的收发模块1401和处理模块1402的功能/实现过程可以通过图7所示的通信设备中的处理器701调用存储器703中存储的计算机执行指令来实现。或者，图14中的处理模块1402的功能/实现过程可以通过图7所示的通信设备中的处理器701调用存储器703中存储的计算机执行指令来实现，图14中的收发模块1401的功能/实现过程可以通过图7所示的通信设备中的通信接口704来实现。

由于本实施例提供的安全锚点功能网元140可执行上述的签约方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

或者，比如，以通信装置为上述方法实施例中的统一数据管理网元为例。图15示出了一种统一数据管理网元150的结构示意图。该统一数据管理网元150包括收发模块1501和处理模块1502。所述收发模块1501，也可以称为收发单元用以实现发送和/或接收功能，例如可以是收发电路，收发机，收发器或者通信接口。

其中：

收发模块1501，用于接收来自第三方设备的第一终端设备的签约信息；

收发模块1501，还用于根据该签约信息向区块链节点发送第七消息，该第七消息用于查询第三智能合约是否记录有签约记录的哈希摘要；

收发模块1501，还用于接收来自该区块链节点的第八消息，该第八消息用于指示该第三智能合约记录有该签约记录的哈希摘要；

处理模块1502，用于根据该第八消息记录该签约信息。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在本实施例中，该统一数据管理网元150以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到该统一数据管理网元150可以采用图7所示的通信设备的形式。

比如，图7所示的通信设备中的处理器701可以通过调用存储器703中存储的计算机执行指令，使得通信设备执行上述方法实施例中的签约方法。

具体的，图15中的收发模块1501和处理模块1502的功能/实现过程可以通过图7所示的通信设备中的处理器701调用存储器703中存储的计算机执行指令来实现。或者，图15中的处理模块1502的功能/实现过程可以通过图7所示的通信设备中的处理器701调用存储器703中存储的计算机执行指令来实现，图15中的收发模块1501的功能/实现过程可以通过图7所示的通信设备中的通信接口704来实现。

由于本实施例提供的统一数据管理网元150可执行上述的签约方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

可选的，本申请实施例还提供了一种通信装置(例如，该通信装置可以是芯片或芯片系统)，该通信装置包括处理器，用于实现上述任一方法实施例中的方法。在一种可能的设计中，该通信装置还包括存储器。该存储器，用于保存必要的程序指令和数据，处理器可以调用存储器中存储的程序代码以指令该通信装置执行上述任一方法实施例中的方法。当然，存储器也可以不在该通信装置中。该通信装置是芯片系统时，可以由芯片构成，也可以包含芯片和其他分立器件，本申请实施例对此不作具体限定。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。本申请实施例中,计算机可以包括前面所述的装置。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (30)

1.一种签约方法，其特征在于，所述方法包括：

第三方设备向区块链节点发送第一消息，所述第三方设备是运营商网络授权的用于签约终端设备的设备，所述第一消息包括第一终端设备的第一签约信息和所述第一消息的数字签名，所述第一签约信息用于所述第一终端设备在服务网络的认证鉴权，所述第一消息的数字签名用于所述区块链节点验证所述第一消息；

所述第三方设备接收所述区块链节点对所述第一消息的反馈信息，所述反馈信息包括第一交易的区块链地址，所述第一交易用于记录所述第一签约信息；

所述第三方设备向所述第一终端设备发送所述第一交易的区块链地址和所述第一终端设备的标识。

2.根据权利要求1所述的方法，其特征在于，所述第一签约信息包括以下一项或多项：所述第一终端设备的标识、第一智能合约的标识、或第二智能合约的标识，所述第一智能合约用于记录第一信息，所述第一信息用于指示所述运营商网络对所述第三方设备的授权签约信任关系，所述第二智能合约用于记录第二信息，所述第二信息用于指示所述第三方设备对所述第一终端设备的信任关系。

3.根据权利要求2所述的方法，其特征在于，所述第一信息包括所述第三方设备的公钥；

所述第一信息还包括以下一项或多项：允许所述第三方设备签约的终端设备的最大数目、允许所述第三方设备签约的终端设备接入的服务网络的信息、或允许所述第三方设备为终端设备分配的移动用户国际用户码标识MSISDN的范围。

4.根据权利要求3所述的方法，其特征在于，在所述第一信息包括允许所述第三方设备签约的终端设备的最大数目的情况下，所述第一智能合约还用于记录计数器的值，所述计数器的初始值为所述最大数目。

5.根据权利要求2-4任一项所述的方法，其特征在于，所述第二信息包括所述第三方设备对应的鉴权服务功能网元的路由信息，所述鉴权服务功能网元用于在所述第一终端设备的认证鉴权过程中从所述第三方设备对应的统一数据管理网元处获取认证向量。

6.一种签约方法，其特征在于，所述方法包括：

区块链节点接收来自第三方设备的第一消息，所述第三方设备是运营商网络授权的用于签约终端设备的设备，所述第一消息包括第一终端设备的第一签约信息和所述第一消息的数字签名，所述第一签约信息用于所述第一终端设备在服务网络的认证鉴权；

所述区块链节点验证所述第一消息的数字签名；

在所述第一消息的数字签名验证通过的情况下，所述区块链节点将所述第一签约信息记录为第一交易；

所述区块链节点向所述第三方设备发送所述第一交易的区块链地址。

7.根据权利要求6所述的方法，其特征在于，所述第一签约信息包括以下一项或多项：所述第一终端设备的标识、第一智能合约的标识、或第二智能合约的标识，所述第一智能合约用于记录第一信息，所述第一信息用于指示所述运营商网络对所述第三方设备的授权签约信任关系，所述第二智能合约用于记录第二信息，所述第二信息用于指示所述第三方设备对所述第一终端设备的信任关系。

8.根据权利要求7所述的方法，其特征在于，所述第一信息包括所述第三方设备的公钥；

所述区块链节点验证所述第一消息的数字签名，包括：

所述区块链节点根据所述第三方设备的公钥验证所述第一消息的数字签名。

9.根据权利要求8所述的方法，其特征在于，所述第一信息还包括以下一项或多项：允许所述第三方设备签约的终端设备的最大数目、允许所述第三方设备签约的终端设备接入的服务网络的信息、或允许所述第三方设备为终端设备分配的移动用户国际用户码标识MSISDN的范围。

10.根据权利要求9所述的方法，其特征在于，所述区块链节点将所述第一签约信息记录为第一交易，包括：

所述区块链节点调用所述第一智能合约；

在通过所述第一智能合约确定所述第三方设备当前签约的终端设备的数目小于或等于所述最大数目的情况下，所述区块链节点将所述第一签约信息记录为所述第一交易。

11.根据权利要求10所述的方法，其特征在于，在所述第一智能合约还用于记录计数器的值，所述计数器的初始值为所述最大数目的情况下，通过所述第一智能合约确定所述第三方设备当前签约的终端设备的数目小于或等于所述最大数目，包括：

在通过所述第一智能合约确定所述计数器的值不为零的情况下，确定所述第三方设备当前签约的终端设备的数目小于或等于所述最大数目。

12.根据权利要求10所述的方法，其特征在于，在所述第一智能合约记录的所述第一信息包括允许所述第三方设备为终端设备分配的MSISDN的范围的情况下，通过所述第一智能合约确定所述第三方设备当前签约的终端设备的数目小于或等于所述最大数目，包括：

在通过所述第一智能合约确定所述第一终端设备的MSISDN未被占用，且位于所述允许所述第三方设备为终端设备分配的MSISDN的范围内的情况下，确定所述第三方设备当前签约的终端设备的数目小于或等于所述最大数目。

13.根据权利要求7-12任一项所述的方法，其特征在于，所述第二信息包括所述第三方设备对应的鉴权服务功能网元的路由信息，所述鉴权服务功能网元用于在所述第一终端设备的认证鉴权过程中从所述第三方设备对应的统一数据管理网元处获取认证向量。

14.一种签约方法，其特征在于，所述方法包括：

第三方设备向区块链节点发送第五消息，所述第五消息用于请求调用第三智能合约验证所述第三方设备对第一终端设备的签约有效性，所述第三智能合约用于记录运营商网络对所述第三方设备授权的签约规则；

所述第三方设备接收所述区块链节点对所述第五消息的反馈信息，所述反馈信息用于指示所述第三方设备对所述第一终端设备的签约有效；

所述第三方设备根据所述反馈信息向所述第一终端设备发送签约信息，所述签约信息用于所述第一终端设备在服务网络的认证鉴权。

15.根据权利要求14所述的方法，其特征在于，所述签约规则包括所述第三方设备的公钥和一个或多个统一数据管理网元的路由信息，所述统一数据管理网元属于所述运营商网络，所述统一数据管理网元用于记录所述第三方设备签约的终端设备的签约信息。

16.根据权利要求15所述的方法，其特征在于，所述签约规则还包括以下一项或多项：允许所述第三方设备签约的终端设备的最大数目、允许所述第三方设备签约的终端设备接入的服务网络的信息、或允许所述第三方设备为终端设备分配的移动用户国际用户码标识MSISDN的范围。

17.根据权利要求15或16所述的方法，其特征在于，所述第五消息包括签约记录的哈希摘要、第四信息、以及所述第五消息的数字签名，所述签约记录包括所述第四信息和第一签约信息，所述第四信息为需通过所述第三智能合约核查的信息，所述第一签约信息包括所述签约信息的部分或全部信息，所述第五消息的数字签名用于所述区块链节点验证所述第五消息。

18.根据权利要求17所述的方法，其特征在于，在所述签约规则包括所述一个或多个统一数据管理网元的路由信息的情况下，所述第四信息包括第一统一数据管理网元的路由信息，所述第一统一数据管理网元属于所述一个或多个统一数据管理网元，所述第一统一数据管理网元为所述第三方设备为所述第一终端设备选择的统一数据管理网元。

19.根据权利要求18所述的方法，其特征在于，所述方法还包括：

所述第三方设备向所述第一统一数据管理网元发送所述签约信息。

20.根据权利要求17-19任一项所述的方法，其特征在于，在所述签约规则包括允许所述第三方设备为终端设备分配的MSISDN的范围的情况下，所述第四信息包括所述第一终端设备的移动用户国际用户码标识MSISDN。

21.一种签约方法，其特征在于，所述方法包括：

区块链节点接收来自第三方设备的第五消息，所述第五消息用于请求调用第三智能合约验证所述第三方设备对第一终端设备的签约有效性，所述第三智能合约用于记录运营商网络对所述第三方设备授权的签约规则；

所述区块链节点调用所述第三智能合约验证所述第三方设备对所述第一终端设备的签约有效性；

在所述第三方设备对所述第一终端设备的签约有效的情况下，所述区块链节点向所述第三方设备发送对所述第五消息的反馈信息，所述反馈信息用于指示所述第三方设备对所述第一终端设备的签约有效。

22.根据权利要求21所述的方法，其特征在于，所述签约规则包括所述第三方设备的公钥和一个或多个统一数据管理网元的路由信息，所述统一数据管理网元属于所述运营商网络，所述统一数据管理网元用于记录所述第三方设备签约的终端设备的签约信息。

23.根据权利要求22所述的方法，其特征在于，所述签约规则还包括以下一项或多项：允许所述第三方设备签约的终端设备的最大数目、允许所述第三方设备签约的终端设备接入的服务网络的信息、或允许所述第三方设备为终端设备分配的移动用户国际用户码标识MSISDN的范围。

24.根据权利要求22或23所述的方法，其特征在于，所述第五消息包括签约记录的哈希摘要、第四信息、以及所述第五消息的数字签名，所述签约记录包括所述第四信息和第一签约信息，所述第四信息为需通过所述第三智能合约核查的信息，所述第一签约信息包括所述签约信息的部分或全部信息，所述第五消息的数字签名用于所述区块链节点验证所述第五消息。

25.根据权利要求24所述的方法，其特征在于，在所述签约规则包括所述一个或多个统一数据管理网元的路由信息的情况下，所述第四信息包括第一统一数据管理网元的路由信息，所述第一统一数据管理网元属于所述一个或多个统一数据管理网元，所述第一统一数据管理网元为所述第三方设备为所述第一终端设备选择的统一数据管理网元。

26.根据权利要求24或25所述的方法，其特征在于，在所述签约规则包括允许所述第三方设备为终端设备分配的MSISDN的范围的情况下，所述第四信息包括所述第一终端设备的移动用户国际用户码标识MSISDN。

27.根据权利要求24-26任一项所述的方法，其特征在于，在所述第三方设备对所述第一终端设备的签约有效的情况下，所述方法还包括：

所述区块链节点在所述第三智能合约中记录所述签约记录的哈希摘要。

28.一种通信装置，其特征在于，所述通信装置包括：处理器；

当所述通信装置运行时，所述处理器执行存储器存储的计算机执行指令，以使所述通信装置执行如权利要求1-5中任一项所述的方法，或者，以使所述通信装置执行如权利要求6-13中任一项所述的方法，或者，以使所述通信装置执行如权利要求14-20中任一项所述的方法，或者，以使所述通信装置执行如权利要求21-27中任一项所述的方法。

29.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机指令，当所述计算机指令在通信装置上运行时，使得所述通信装置执行如权利要求1-5中任一项所述的方法，或者，以使所述通信装置执行如权利要求6-13中任一项所述的方法，或者，以使所述通信装置执行如权利要求14-20中任一项所述的方法，或者，以使所述通信装置执行如权利要求21-27中任一项所述的方法。

30.一种芯片，其特征在于，所述芯片包括处理器和通信接口，所述通信接口用于与所述芯片之外的模块通信，所述处理器用于运行计算机程序或指令，以实现如权利要求1-5中任一项所述的方法，或者，以实现如权利要求6-13中任一项所述的方法，或者，以实现如权利要求14-20中任一项所述的方法，或者，以实现如权利要求21-27中任一项所述的方法。

Images