CN112291064B - 认证***,注册及认证方法、装置,存储介质及电子设备 - Google Patents
认证***,注册及认证方法、装置,存储介质及电子设备 Download PDFInfo
- Publication number
- CN112291064B CN112291064B CN202011080623.6A CN202011080623A CN112291064B CN 112291064 B CN112291064 B CN 112291064B CN 202011080623 A CN202011080623 A CN 202011080623A CN 112291064 B CN112291064 B CN 112291064B
- Authority
- CN
- China
- Prior art keywords
- authentication
- mobile terminal
- certificate
- public key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开涉及一种认证***,注册及认证方法、装置,存储介质及电子设备。该认证***包括:用户管理服务器、认证单元,用户管理服务器和认证单元为同一区块链网络中的不同节点,每一节点存储有由多个区块组成的区块链;认证单元用于,在接收到移动终端发起的认证请求的情况下,根据认证请求中的SIM公钥存储地址从区块链中获取SIM公钥,并根据SIM公钥对认证请求中的第一签名信息进行签名验证,在对第一签名信息进行签名验证通过的情况下,向移动终端反馈包括认证单元的证书的回复信息;认证单元还用于,在接收到移动终端对回复信息认证通过的信息时,将移动终端接入移动通信网络。采用这种***,可以提升移动终端接入移动通信网络时的认证安全性。
Description
技术领域
本公开涉及通信技术领域,具体地,涉及一种认证***,注册及认证方法、装置,存储介质及电子设备。
背景技术
随着物联网技术的快速发展,移动通信网络的应用范围日益扩大。移动通信服务***为了保障***及已接入网络的用户设备的安全,需要通过严谨的身份认证流程对请求接入的用户设备进行身份认证。在移动通信服务***对用户设备进行身份认证通过的情况下,将该用户设备接入移动通信网络。
目前,用户设备接入移动通信网络的前提条件是,使每一用户设备具备一个国际移动用户识别码(International Mobile Subscriber Identification Number,简称IMSI)和一个密钥K,该密钥K是对称密钥。每一用户设备的密钥K既存储在该用户设备上,也存储在移动通信服务***的用户服务器(Home Subscriber Server,简称HSS)中。相关技术中,在用户设备初始附着过程中,即在用户设备连接到移动通信服务***的过程中,用户设备发起携带其IMSI的认证请求,移动通信服务***在接收到该认证请求后使用与IMSI相关联的密钥K加密一个挑战信息,并将该挑战信息发送给该用户设备。该用户设备利用其存储的密钥K应答该挑战信息,在应答成功之后该用户设备接入移动通信服务***。这个初始附着过程具体由移动通信服务***的移动管理实体服务器(Mobile Management Entity,简称MME)来完成。而正是由于使用MME作为HSS的前端来完成初始附着过程的认证过程,因而每个用户设备的认证请求实际无需到达HSS。虽然HSS是移动通信服务***侧唯一知道密钥的实体,但MME存储有HSS使用密钥生成的数据结构。而即便MME不能从数据结构中导出密钥,但这些数据结构已经足以让MME验证用户设备的身份。
发明内容
本公开的目的是提供一种认证***,注册及认证方法、装置,存储介质及电子设备,以提升用户设备/移动终端接入移动通信网络时的认证安全性。
为了实现上述目的,本公开实施例的第一部分,提供一种接入移动通信网络的认证***,包括用户管理服务器、认证单元,所述用户管理服务器和所述认证单元为同一区块链网络中的不同节点,每一所述节点存储有区块链中的多个区块;
所述认证单元用于,在接收到移动终端发起的认证请求的情况下,根据所述认证请求中的SIM公钥存储地址从所述区块链中获取SIM公钥,并根据所述SIM公钥对所述认证请求中的第一签名信息进行签名验证,在对所述第一签名信息进行签名验证通过的情况下,向所述移动终端反馈包括所述认证单元的证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述用户管理服务器将所述移动终端注册请求中携带的所述SIM公钥存储在所述区块链后发送给所述移动终端的,所述认证请求中的所述第一签名信息是用所述移动终端的SIM私钥签名后的信息;
所述认证单元还用于,在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
可选地,所述认证单元为移动管理服务器或无线接入基站。
可选地,所述认证单元还用于:
在根据所述认证请求中的所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述认证请求中的所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
可选地,所述移动终端发起的所述认证请求中还包括发起该认证请求的时间戳,所述认证单元还用于:
若确定所述认证请求中的所述时间戳与所述认证单元当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
可选地,所述移动终端发起的所述认证请求中还包括随机数,所述回复信息中还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
可选地,所述用户管理服务器用于,接收所述认证单元的注册请求,并根据所述注册请求中携带的认证公钥生成所述认证单元的所述证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
所述用户管理服务器还用于,将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址;
所述认证单元还用于存储所述证书存储地址。
可选地,所述认证单元还用于,在向所述移动终端反馈所述回复信息之前,根据所述证书存储地址从所述区块链获取所述证书。
根据本公开实施例的第二部分,提供一种接入移动通信网络的注册方法,所述方法应用于认证***的用户管理服务器,所述用户管理服务器是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述方法包括:
接收移动终端的注册请求,所述移动终端的注册请求中携带所述移动终端的SIM公钥;
将所述SIM公钥存储在所述区块链;并,
向所述移动终端反馈所述SIM公钥在所述区块链中的SIM公钥存储地址,以使所述移动终端存储所述SIM公钥存储地址。
可选地,所述方法还包括:
接收所述认证***的认证单元的注册请求,所述认证单元的注册请求中携带所述认证单元的认证公钥,其中,所述认证单元为所述区块链网络中的节点;
根据所述认证公钥生成所述认证单元的证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址,以使所述认证单元存储所述证书存储地址。
根据本公开实施例的第三部分,提供一种接入移动通信网络的认证方法,所述方法应用于认证***的认证单元,所述认证单元是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述方法包括:
接收移动终端发起的认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在所述区块链后发送给所述移动终端的;
根据所述SIM公钥存储地址从所述区块链获取所述SIM公钥;
根据所述SIM公钥对所述第一签名信息进行签名验证,并在对所述第一签名信息进行签名验证通过的情况下,向所述移动终端反馈包括所述认证单元的证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份;
在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
可选地,所述方法还包括:
在根据所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
可选地,所述第一信息中还包括发起该认证请求的时间戳,所述方法还包括:
若确定所述时间戳与所述认证单元当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
可选地,所述第一信息中还包括随机数,所述回复信息还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
根据本公开实施例的第四部分,提供一种接入移动通信网络的认证方法,所述方法应用于移动终端,所述方法包括:
发起认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在区块链后发送给所述移动终端的;
在接收到所述认证***的认证单元反馈的回复信息的情况下,对所述回复信息进行验证,并在验证通过的情况下向所述认证单元发送认证通过的信息,以接入所述移动通信网络,其中,所述回复信息是在所述认证单元根据所述第一信息中的所述SIM公钥存储地址从所述区块链中获取到所述SIM公钥后,用所述SIM公钥对所述第一签名信息进行签名验证通过的情况下生成的。
可选地,所述第一信息还包括随机数和发起所述认证请求的时间戳,所述回复信息包括所述认证单元的证书,以及第二签名信息,所述第二签名信息是所述认证单元用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述对所述回复信息进行验证包括:
用所述移动终端上预先存储的所述认证***的***公钥解析所述证书,得到所述证书中所述认证单元的认证公钥和证书的过期时间;
在根据所述证书的过期时间确定所述证书未过期的情况下,用所述***公钥验证所述证书,在证书验证通过的情况下,用所述认证公钥对所述回复信息中的所述第二签名信息进行签名验证。
根据本公开实施例的第五部分,提供一种接入移动通信网络的注册装置,所述装置用于认证***的用户管理服务器,所述用户管理服务器是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述装置包括:
第一接收模块,用于接收移动终端的注册请求,所述移动终端的注册请求中携带所述移动终端的SIM公钥;
第一存储模块,用于将所述SIM公钥存储在所述区块链中;
第一反馈模块,用于向所述移动终端反馈所述SIM公钥在所述区块链中的SIM公钥存储地址,以使所述移动终端存储所述SIM公钥存储地址。
可选地,所述装置还包括:
第三接收模块,用于接收认证单元的注册请求,所述认证单元的注册请求中携带所述认证单元的认证公钥;
生成模块,用于根据所述认证公钥生成所述认证单元的证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
第二存储模块,用于将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址,以使所述认证单元存储所述证书存储地址。
根据本公开实施例的第六部分,提供一种接入移动通信网络的认证装置,所述装置用于认证***的认证单元,所述认证单元是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述装置包括:
第二接收模块,用于接收移动终端发起的认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在所述区块链后发送给所述移动终端的;
第一获取模块,用于根据所述SIM公钥存储地址从所述区块链获取所述SIM公钥;
第二反馈模块,用于根据所述SIM公钥对所述第一签名信息进行签名验证,并在对所述第一签名信息进行签名验证通过的情况下,向所述移动终端反馈包括所述认证单元的证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份;
接入模块,用于在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
可选地,所述装置还包括:
第三反馈模块,用于在根据所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
可选地,所述认证请求中还包括发起该认证请求的时间戳,所述装置还包括:
第四反馈模块,用于若确定所述时间戳与所述认证单元当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
可选地,所述认证请求中还包括随机数,所述回复信息还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
根据本公开实施例的第七部分,提供一种接入移动通信网络的认证装置,所述装置应用于移动终端,所述装置包括:
发起模块,用于发起认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在区块链后发送给所述移动终端的;
验证模块,用于在接收到所述认证***的认证单元反馈的回复信息的情况下,对所述回复信息进行验证,并在验证通过的情况下向所述认证单元发送认证通过的信息,以接入所述移动通信网络,其中,所述回复信息是在所述认证单元根据所述第一信息中的所述SIM公钥存储地址从所述区块链中获取到所述SIM公钥后,用所述SIM公钥对所述第一签名信息进行签名验证通过的情况下生成的。
可选地,所述第一信息还包括随机数和发起所述认证请求的时间戳,所述回复信息包括所述认证单元的证书,以及第二签名信息,所述第二签名信息是所述认证单元用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述验证模块,具体用于用所述移动终端上预先存储的所述认证***的***公钥解析所述证书,得到所述证书中所述认证单元的认证公钥和证书的过期时间;在根据所述证书的过期时间确定所述证书未过期的情况下,用所述***公钥验证所述证书,在证书验证通过的情况下,用所述认证公钥对所述回复信息中的所述第二签名信息进行签名验证。
根据本公开实施例的第八部分,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第二部分或第三部分中任一项所述方法的步骤。
根据本公开实施例的第九部分,提供一种电子设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现上述第二部分至第四部分中任一项所述方法的步骤。
采用上述技术方案,至少能够达到如下技术效果:
通过认证***的认证单元对移动终端进行身份认证,并且在认证单元对移动终端认证通过的情况下,向移动终端发送用于该移动终端认证该认证单元身份的回复信息。认证单元在接收到移动终端对该回复信息认证通过的消息之后,将该移动终端接入移动通信网络。这种利用认证单元对移动终端进行身份认证,且利用移动终端对认证单元进行身份认证的双向认证方式,与相关技术相比较,进一步提升了移动终端接入移动通信网络时的认证安全性。并且,本公开的这种利用公钥和私钥(即非对称密钥)进行身份认证的方式,与相关技术中使用对称密钥进行身份认证的方式相比安全性更高。此外,本公开的这种将SIM公钥存储在区块链的方式与相关技术中将对称密钥K存储在HSS的方式相比较,因本公开存储在区块链上的SIM公钥不可被更改而安全性更高。因此,采用本公开的技术方案提升了移动终端接入移动通信网络时的认证安全性,使得只有合法的移动终端才能被接入合法的移动通信网络。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是根据本公开一示例性实施例示出的一种接入移动通信网络的认证***的框图。
图2是根据本公开一示例性实施例示出的另一种接入移动通信网络的认证***的框图。
图3是根据本公开一示例性实施例示出的一种移动终端接入移动通信网络的认证***的示意图。
图4是根据本公开一示例性实施例示出的一种接入移动通信网络的注册方法的流程图。
图5是根据本公开一示例性实施例示出的一种接入移动通信网络的认证方法的流程图。
图6是根据本公开一示例性实施例示出的另一种接入移动通信网络的认证方法的流程图。
图7是根据本公开一示例性实施例示出的一种移动终端接入移动通信网络的认证方法的流程图。
图8是根据本公开一示例性实施例示出的一种接入移动通信网络的注册装置的框图。
图9是根据本公开一示例性实施例示出的一种接入移动通信网络的认证装置的框图。
图10是根据本公开一示例性实施例示出的另一种接入移动通信网络的认证装置的框图。
图11是根据本公开一示例性实施例示出的一种移动终端的框图。
图12是根据本公开一示例性实施例示出的一种电子设备的框图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
为了使本领域普通技术人员更加容易理解本公开的技术方案,下面首先对本公开具体实施方式涉及到的技术名词进行简单解释。
区块链,是一种去中心化、去信任化、开放性的分布式数据库。区块链具有不可更改,不可伪造、完全可追溯的安全特性。区块链的不可更改性是指存储在区块链上的数据不能被改变。区块链由区块链网络中所有节点共同参与维护,它由一系列基于密码学方法产生的数据块组成,每个数据块即为区块链中的一个区块。根据产生时间的先后顺序,区块被有序地链接在一起,形成一个数据链条,被形象地称为区块链。区块链网络中的每一节点都是一台计算机。通常,任一数据在区块链网络的所有节点上都会被复制。
对称密钥,对称密钥加密又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,对称加密的一大缺点是密钥的管理与分配,换句话说,如何把密钥发送到需要解密消息的对象的手里是一个问题。在发送密钥的过程中,密钥有很大的风险会被黑客拦截。
非对称密钥,非对称密钥加密又称公钥密钥加密。非对称加密为数据的加密与解密提供了一个非常安全的方法,它使用了一对密钥,即公钥(public key)和私钥(privatekey)。私钥只能由一方安全保管,不能外泄。而公钥则可以发给任何人。非对称加密使用这对密钥中的一个进行加密/签名,而解密则需要另一个密钥。
用户管理服务器,在本公开中具体可以为基站子***(Base Station Subsystem,简称:BSS),BSS是传统的蜂窝电话网络的一个组成部分,负责处理一个移动电话和网络交换子***之间的通信流量和信令。BSS负责通过空中接口进行通话信道的转码、向移动电话分配无线电信道、寻呼、传输以及其它和无线电网络相关的任务。或者用户管理服务器可以为运营支撑***(Operation support system,简称OSS),或者用户管理服务器还可以为运营和业务支撑***(Business and Operation support system,简称BOSS)服务器。
移动管理服务器,又称移动性管理服务器,具体指移动性管理实体(MobileManagement Entity,简称MME),是3GPP协议LTE接入网络的关键控制节点,它负责空闲模式的用户设备(User Equipment,简称UE)的定位、传呼过程、中继,简单的说MME是负责信令处理部分。MME具备接入控制如安全和许可控制、移动性管理、附着与去附着、会话管理功能、SGW与PGW的选择等功能。
附着,指移动终端在进行实际业务之前必须完成在网络中的注册过程。附着成功的终端将获得网络分配的IP地址,为终端提供永久在线的IP连接。
无线接入基站(Evolved Node B,简称eNodeB/eNB),即演进型Node B,LTE中基站的名称。它涉及到bearer激活/关闭过程,并且当一个UE初始化并且连接时为这个UE选择一个SGW(Serving GateWay)。通过和HSS交互认证用户,为用户分配一个临时ID。MME为2G、3G等接入网络提供了控制函数接口。
图1是根据本公开一示例性实施例示出的一种接入移动通信网络的认证***的框图,如图1所示,认证***100包括用户管理服务器110、认证单元120,所述用户管理服务器110和所述认证单元120为同一区块链网络中的不同节点,每一所述节点存储有区块链中的多个区块;
所述认证单元120用于,在接收到移动终端发起的认证请求的情况下,根据所述认证请求中的SIM公钥存储地址从所述区块链中获取SIM公钥,并根据所述SIM公钥对所述认证请求中的第一签名信息进行签名验证,在对所述第一签名信息进行签名验证通过的情况下,向所述移动终端反馈包括所述认证单元的证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述用户管理服务器将所述移动终端注册请求中携带的所述SIM公钥存储在所述区块链后发送给所述移动终端的,所述认证请求中的所述第一签名信息是用所述移动终端的SIM私钥签名后的信息;所述认证单元120还用于,在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
其中,移动终端又称为移动通信终端,是指可以在移动中使用的计算机设备,包括手机、平板电脑、智能手环等。
具体地,在移动终端初始附着到移动通信服务***的过程中,即在移动终端接入移动通信网络的过程中,移动终端发起认证请求,该认证请求中包括该移动终端的SIM公钥存储地址,以及利用移动终端的SIM私钥对SIM公钥存储地址进行签名后的第一签名信息。其中,该移动终端存储的SIM公钥存储地址是在该移动终端注册时,认证***100中的用户管理服务器110将该移动终端注册请求中携带的SIM公钥存储在区块链后发送给该移动终端的。
认证单元120在接收到该移动终端发起的认证请求的情况下,根据该认证请求中的SIM公钥存储地址从区块链中获取SIM公钥。接着,认证单元120根据获取到的SIM公钥对该认证请求中的第一签名信息进行签名验证。由于第一签名信息是该移动终端用其SIM私钥签名后的信息,因此,认证单元120可以根据SIM公钥对该第一签名信息进行签名验证。进一步地,认证单元120在对该第一签名信息进行签名验证通过的情况下,认证单元120向该移动终端反馈包括该认证单元120的证书的回复信息。
移动终端接收到认证单元120反馈的包括该认证单元120的证书的回复信息时,移动终端对该认证单元120的证书进行签名认证,以确定该认证单元120的身份是否合法。在移动终端对该认证单元120的证书进行认证通过的情况下,移动终端向认证单元120发送对回复信息认证通过的信息。
认证单元120在接收到该移动终端对该回复信息认证通过的信息时,认证单元120将移动终端接入移动通信网络。
采用这种方法,通过认证***的认证单元对移动终端进行身份认证,并且在认证单元对移动终端认证通过的情况下,向移动终端发送用于该移动终端认证该认证单元身份的回复信息。认证单元在接收到移动终端对该回复信息认证通过的消息之后,将该移动终端接入移动通信网络。这种利用认证单元对移动终端进行身份认证,且利用移动终端对认证单元进行身份认证的双向认证方式,与相关技术相比较,进一步提升了移动终端接入移动通信网络时的认证安全性。并且,本公开的这种利用公钥和私钥(即非对称密钥)进行身份认证的方式,与相关技术中使用对称密钥进行身份认证的方式相比安全性更高。此外,本公开的这种将SIM公钥存储在区块链的方式与相关技术中将对称密钥K存储在HSS的方式相比较,因本公开存储在区块链上的SIM公钥不可被更改而安全性更高。因此,采用本公开的技术方案提升了移动终端接入移动通信网络时的认证安全性,使得只有合法的移动终端才能被接入合法的移动通信网络。
可选地,如图2所示,所述认证单元120为移动管理服务器121或无线接入基站122。
一种可实现的实施方式,当认证单元120在接收到移动终端对回复信息认证通过的信息时,可以通过移动管理服务器121或所述无线接入基站122为移动终端分配IP地址,使移动终端接入移动通信网络,实现向该移动终端提供永久IP在线连接。
当认证单元120为无线接入基站122时,本公开的上述技术方案与相关技术中通过MME对移动终端进行身份认证的方式相比较,使得对移动终端的认证过程前置到无线接入基站122。这种方式能够减少移动管理服务器121对大量移动终端进行身份认证时的压力。并且,一种可实现的实施方式,通过移动管理服务器121和无线接入基站122对移动终端进行身份认证,可以在移动终端附着/去附着的高并发时,缓解认证***100的压力,进而保障认证***100的安全。
可选地,所述认证单元120还用于:
在根据所述认证请求中的所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述认证请求中的所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
不难理解的是,若认证单元120根据移动终端的认证请求携带的SIM公钥存储地址从区块链中未获取到SIM公钥,则说明该移动终端并未向该认证***100进行注册,即该移动终端为不合法用户。在确定该移动终端为不合法用户的情况下,确定对该移动终端的认证请求认证失败,此种情况下,认证单元120向移动终端反馈认证失败的信息并中断后续流程。
而若认证单元120根据移动终端的认证请求携带的SIM公钥存储地址从区块链中获取到SIM公钥,则说明该SIM公钥存储地址为移动终端向该认证***100进行注册后的有效地址。进一步地,认证单元120根据获取到的SIM公钥对该移动终端认证请求中的第一签名信息进行签名验证,若对该第一签名信息进行签名验证未通过的情况下,说明获取到的SIM公钥与该第一签名信息使用的签名SIM私钥不匹配。即该SIM公钥存储地址可能为该移动终端窃取的其他移动终端的信息。此种情况下,确定该移动终端为不合法用户,认证单元120向移动终端反馈认证失败的信息并中断后续流程。
可选地,所述移动终端发起的所述认证请求中还包括发起该认证请求的时间戳,所述认证单元120还用于:若确定所述认证请求中的所述时间戳与所述认证单元120当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
一种可能的情况,当移动终端发起的认证请求中的时间戳与认证单元120当前时间戳的差值超过预设阈值,则该移动终端发起的认证请求很可能为从其他终端中窃取/拦截的认证请求,因而在这种情况下,认证单元120可以向该移动终端反馈认证失败的信息,并中断后续流程。
一种可实现的实施方式,当认证请求中的时间戳为未用SIM私钥签名的时间戳时,认证单元120可以在根据SIM公钥对认证请求中的第一签名信息进行签名验证之前,先判断移动终端发起的认证请求中的时间戳与认证单元当前时间戳的差值是否超过预设阈值。若移动终端发起的认证请求中的时间戳与认证单元当前时间戳的差值超过预设阈值,则认证单元120向该移动终端反馈认证失败的信息,并中断后续流程。若确定移动终端发起的认证请求中的时间戳与认证单元120当前时间戳的差值未超过预设阈值,则认证单元120再根据SIM公钥对认证请求中的第一签名信息进行签名验证。在对该第一签名信息进行签名验证通过的情况下,向移动终端反馈表征认证成功的回复信息。
其中,需说明的是,移动终端的认证请求中可以包括SIM公钥存储地址、时间戳以及使用SIM私钥对SIM公钥存储地址和时间戳签名后的第一签名信息。
可选地,所述移动终端发起的所述认证请求中还包括随机数,所述回复信息中还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
应当理解的是,当移动终端接收到的回复信息中的随机数和时间戳与该移动终端发起认证请求时的随机数和时间戳不同时,说明认证单元120不可信。此种情况下,移动终端对认证单元120发送的回复信息认证失败。
而当移动终端接收到的回复信息中的随机数和时间戳与该移动终端发起认证请求时的随机数和时间戳相同时,说明发送该回复信息的认证单元120可靠。此种情况下,移动终端确定认证单元120发送的回复信息与该移动终端发起的认证请求对应。进一步地,在移动终端对认证单元120发送的回复信息认证通过的情况下,向认证单元120发送表征对该回复信息认证通过的信息,以使认证单元120允许该移动终端接入移动通信网络。
其中,需说明的是,移动终端的认证请求中可以包括SIM公钥存储地址、时间戳、随机数以及使用SIM私钥对SIM公钥存储地址、时间戳、随机数签名后的第一签名信息。
可选地,所述用户管理服务器110用于,接收所述认证单元120的注册请求,并根据所述注册请求中携带的认证公钥生成所述认证单元的所述证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;所述用户管理服务器110还用于,将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址;所述认证单元120还用于存储所述证书存储地址。
具体地,用户管理服务器110接收到认证单元120的注册请求时,根据认证单元120的注册请求中携带的认证公钥生成认证单元的证书。具体地,生成的证书中包括认证单元120的认证公钥和为该认证单元120设置的证书的过期时间。并且,用户管理服务器110还可以用认证***100的***私钥对生成的证书进行签名。
进一步地,用户管理服务器110在生成认证单元120的证书之后,将该证书存储在区块链,并将向认证单元120反馈该证书在区块链中的证书存储地址。认证单元120接收到用户管理服务器110反馈的证书存储地址之后,认证单元120存储该证书存储地址。
由于认证单元的证书中包括该证书的过期时间,因而一种可实现的实施方式,认证***的用户管理服务器110可以周期性检测每一认证单元的证书是否过期。在确定某一认证单元的证书过期时,重新为该某一认证单元生成新的证书,或者向该某一认证单元发送证书过期的提示信息,以使该某一认证单元重新向用户管理服务器110进行注册。而当用户管理服务器110为认证单元生成新的证书时,将该新的证书存储在区块链,并向认证单元反馈该新的证书存储地址。
值得说明的是,当证书为用户管理服务器110用认证***100的***私钥签名后的证书时,需要移动终端预先存储认证***的***公钥,以使移动终端在接收到认证单元120向移动终端反馈的包括认证单元的证书的回复信息后,移动终端可以利用该预先存储的***公钥对该用***私钥签名后的证书进行解析,从而对该证书进行签名验证。
详细地,移动终端对回复信息进行认证的具体过程可以为:
首先,用该移动终端上预先存储的认证***的***公钥解析该回复信息中的证书,得到该证书中认证单元的认证公钥和证书的过期时间。
其次,根据证书的过期时间判断该证书是否过期,在确定该证书过期的情况下,移动终端对该回复信息认证不通过。在确定该证书未过期的情况下,进一步地,用预先存储的***公钥验证该证书,具体地证书验证方式与相关技术中的证书验证方法相类似,此处不再赘述。
接着,在对证书进行验证通过的情况下,用解析得到的认证公钥对回复信息中的第二签名信息进行签名验证,以确定该回复信息是否与移动终端发起的认证请求对应。
可选地,所述认证单元120还用于,在向所述移动终端反馈所述回复信息之前,根据所述证书存储地址从所述区块链获取所述证书。
具体地,认证单元120在向移动终端反馈回复信息之前,可以根据证书存储地址从区块链获取证书,然后向移动终端反馈包括该证书的回复信息。
图3是根据本公开一示例性实施例示出的一种移动终端接入移动通信网络的认证***的示意图。如图3所示,无线接入基站122作为认证***100与移动终端之间的桥梁,使移动终端与认证***100建立通信连接。
在一种可实现的实施方式中,无线接入基站122可以与移动管理服务器121连接,当无线接入基站122接收到移动终端发起的认证请求时,无线接入基站122将该认证请求转发至移动管理服务器121进行认证处理。
图4是根据本公开一示例性实施例示出的一种接入移动通信网络的注册方法的流程图,所述方法应用于认证***的用户管理服务器,例如前述认证***100的用户管理服务器110,所述用户管理服务器是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,如图4所示,所述方法包括以下步骤:
S31、接收移动终端的注册请求,所述移动终端的注册请求中携带所述移动终端的SIM公钥;
S32、将所述SIM公钥存储在所述区块链;
S33、向所述移动终端反馈所述SIM公钥在所述区块链中的SIM公钥存储地址,以使所述移动终端存储所述SIM公钥存储地址。
采用这种方法,将移动终端的SIM公钥存储在区块链中,可以避免该移动终端的SIM公钥被篡改。进而可以提升移动终端在接入移动通信网络时身份认证的可靠性。
可选地,所述方法还包括:
接收所述认证***的认证单元的注册请求,所述认证单元的注册请求中携带所述认证单元的认证公钥,其中,所述认证单元为所述区块链网络中的节点;根据所述认证公钥生成所述认证单元的证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址,以使所述认证单元存储所述证书存储地址。
图5是根据本公开一示例性实施例示出的一种接入移动通信网络的认证方法的流程图,所述方法应用于认证***的认证单元,例如,前述认证***100的认证单元120,所述认证单元是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,如图5所示,所述方法包括以下步骤:
S41、接收移动终端发起的认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在所述区块链后发送给所述移动终端的;
S42、根据所述SIM公钥存储地址从所述区块链获取所述SIM公钥;
S43、根据所述SIM公钥对所述第一签名信息进行签名验证,并在对所述第一签名信息进行签名验证通过的情况下,向所述移动终端反馈包括所述认证单元的证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份;
S44、在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
采用这种方法,这种利用认证单元对移动终端进行身份认证,且利用移动终端对认证单元进行身份认证的双向认证方式,与相关技术相比较,进一步提升了移动终端接入移动通信网络时的认证安全性。并且,本公开的这种利用公钥和私钥(即非对称密钥)进行身份认证的方式,与相关技术中使用对称密钥进行身份认证的方式相比安全性更高。此外,本公开的这种将SIM公钥存储在区块链的方式与相关技术中将对称密钥K存储在HSS的方式相比较,因本公开存储在区块链上的SIM公钥不可被更改而安全性更高。因此,采用本公开的技术方案提升了移动终端接入移动通信网络时的认证安全性,使得只有合法的移动终端才能被接入合法的移动通信网络。
可选地,所述方法还包括:
在根据所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
可选地,所述第一信息还包括发起该认证请求的时间戳,所述方法还包括:
若确定所述时间戳与所述认证单元当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
可选地,所述第一信息还包括随机数,所述回复信息还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
图6是根据本公开一示例性实施例示出的另一种接入移动通信网络的认证方法的流程图,所述方法应用于移动终端,如图6所示,所述方法包括以下步骤:
S51、发起认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在区块链后发送给所述移动终端的;
S52、在接收到所述认证***的认证单元反馈的回复信息的情况下,对所述回复信息进行验证,并在验证通过的情况下向所述认证单元发送认证通过的信息,以接入所述移动通信网络,其中,所述回复信息是在所述认证单元根据所述第一信息中的所述SIM公钥存储地址从所述区块链中获取到所述SIM公钥后,用所述SIM公钥对所述第一签名信息进行签名验证通过的情况下生成的。
采用这种方法,这种利用认证单元对移动终端进行身份认证,且利用移动终端对认证单元进行身份认证的双向认证方式,与相关技术相比较,进一步提升了移动终端接入移动通信网络时的认证安全性。并且,本公开的这种利用公钥和私钥(即非对称密钥)进行身份认证的方式,与相关技术中使用对称密钥进行身份认证的方式相比安全性更高。此外,本公开的这种将SIM公钥存储在区块链的方式与相关技术中将对称密钥K存储在HSS的方式相比较,因本公开存储在区块链上的SIM公钥不可被更改而安全性更高。因此,采用本公开的技术方案提升了移动终端接入移动通信网络时的认证安全性,使得只有合法的移动终端才能被接入合法的移动通信网络。
可选地,所述第一信息还包括随机数和发起所述认证请求的时间戳,所述回复信息包括所述认证单元的证书,以及第二签名信息,所述第二签名信息是所述认证单元用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述对所述回复信息进行验证包括:
用所述移动终端上预先存储的所述认证***的***公钥解析所述证书,得到所述证书中所述认证单元的认证公钥和证书的过期时间;
在根据所述证书的过期时间确定所述证书未过期的情况下,用所述***公钥验证所述证书,在证书验证通过的情况下,用所述认证公钥对所述回复信息中的所述第二签名信息进行签名验证。
图7是根据本公开一示例性实施例示出的一种移动终端接入移动通信网络的认证方法的流程图。如图7所示,包括以下步骤:
S61、移动终端产生随机数,获取时间戳、SIM公钥存储地址、IMSI信息,并将随机数、时间戳、SIM公钥存储地址、IMSI信息作为第一信息。
其中,IMSI指国际移动用户识别码,英语为IMSI,International MobileSubscriber Identity。IMSI是用于区分蜂窝网络中不同用户的且在所有蜂窝网络中不重复的识别码。
S62、移动终端使用SIM私钥对所述第一信息进行签名得到第一签名信息。
S63、移动终端发起认证请求,所述认证请求中包括所述第一信息和所述第一签名信息。
S64、认证单元接收所述移动终端发起的所述认证请求,所述认证请求中包括所述第一信息和所述第一签名信息。
S65、认证单元根据所述第一信息中所述SIM公钥存储地址从所述区块链获取所述SIM公钥。
S66、认证单元在根据所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,向所述移动终端反馈认证失败的信息。
S67、认证单元在根据所述SIM公钥存储地址从所述区块链中获取到所述SIM公钥的情况下,判断所述第一信息中的时间戳与认证单元当前时间戳的差值是否超过预设阈值。
S68、认证单元在确定所述第一信息中所述时间戳与所述认证单元当前时间戳的差值超过预设阈值的情况下,向所述移动终端反馈认证失败的信息。
S69、认证单元在确定所述第一信息中所述时间戳与所述认证单元当前时间戳的差值未超过预设阈值的情况下,根据获取到的所述SIM公钥对所述第一签名信息进行签名验证。
S610、认证单元在对所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
S611、认证单元在对所述第一签名信息进行签名验证通过的情况下,从区块链中获取所述认证单元的证书,并根据所述认证单元的认证私钥对所述时间戳和所述随机数进行签名,得到第二签名信息,将所述证书和所述第二签名信息发送给所述移动终端,其中,所述证书用认证***的***私钥签名。
S612、移动终端接收所述认证单元反馈的所述证书和所述第二签名信息。
S613、移动终端用所述移动终端上预先存储的所述认证***的***公钥解析所述证书,得到所述证书中所述认证单元的认证公钥和证书的过期时间。
S614、移动终端在根据所述证书的过期时间确定所述证书未过期的情况下,用所述***公钥验证所述证书,在证书验证通过的情况下,用所述认证公钥对所述回复信息中的所述第二签名信息进行签名验证;
S615、移动终端在对所述回复信息中的所述第二签名信息进行签名验证通过的情况下,向所述认证单元发送认证通过的信息。
S616、认证单元在接收到所述移动终端发送的认证通过的信息时,将所述移动终端接入移动通信网络。
上述各步骤的具体实施方式已经在有关该方法的认证***100的实施例中进行了详细的阐述,此处不再赘述。
图8是根据本公开一示例性实施例示出的一种接入移动通信网络的注册装置的框图,所述装置600用于认证***的用户管理服务器,例如用于前述认证***100的用户管理服务器110,所述用户管理服务器是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述装置600包括:
第一接收模块610,用于接收移动终端的注册请求,所述移动终端的注册请求中携带所述移动终端的SIM公钥;
第一存储模块620,用于将所述SIM公钥存储在所述区块链中;
第一反馈模块630,用于向所述移动终端反馈所述SIM公钥在所述区块链中的SIM公钥存储地址,以使所述移动终端存储所述SIM公钥存储地址。
采用这种装置,将移动终端的SIM公钥存储在区块链中,可以避免该移动终端的SIM公钥被篡改。进而可以提升移动终端在接入移动通信网络时身份认证的可靠性。
可选地,所述装置600还包括:
第三接收模块,用于接收认证单元的注册请求,所述认证单元的注册请求中携带所述认证单元的认证公钥;
生成模块,用于根据所述认证公钥生成所述认证单元的证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
第二存储模块,用于将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址,以使所述认证单元存储所述证书存储地址。
图9是根据本公开一示例性实施例示出的一种接入移动通信网络的认证装置的框图,所述装置900用于认证***的认证单元,例如用于前述认证***100的认证单元120,所述认证单元是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述装置900包括:
第二接收模块710,用于接收移动终端发起的认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在所述区块链后发送给所述移动终端的;
第一获取模块720,用于根据所述SIM公钥存储地址从所述区块链获取所述SIM公钥;
第二反馈模块730,用于根据所述SIM公钥对所述第一签名信息进行签名验证,并在对所述第一签名信息进行签名验证通过的情况下,向所述移动终端反馈包括所述认证单元的证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份;
接入模块740,用于在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
采用这种装置,这种利用认证单元对移动终端进行身份认证,且利用移动终端对认证单元进行身份认证的双向认证方式,与相关技术相比较,进一步提升了移动终端接入移动通信网络时的认证安全性。并且,本公开的这种利用公钥和私钥(即非对称密钥)进行身份认证的方式,与相关技术中使用对称密钥进行身份认证的方式相比安全性更高。此外,本公开的这种将SIM公钥存储在区块链的方式与相关技术中将对称密钥K存储在HSS的方式相比较,因本公开存储在区块链上的SIM公钥不可被更改而安全性更高。因此,采用本公开的技术方案提升了移动终端接入移动通信网络时的认证安全性,使得只有合法的移动终端才能被接入合法的移动通信网络。
可选地,所述装置900还包括:
第三反馈模块,用于在根据所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
可选地,所述认证请求中还包括发起该认证请求的时间戳,所述装置还包括:
第四反馈模块,用于若确定所述时间戳与所述认证单元当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
可选地,所述认证请求中还包括随机数,所述回复信息还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
图10是根据本公开一示例性实施例示出的另一种接入移动通信网络的认证装置的框图,所述装置800应用于移动终端,所述装置800包括:
发起模块810,用于发起认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在区块链后发送给所述移动终端的;
验证模块820,用于在接收到所述认证***的认证单元反馈的回复信息的情况下,对所述回复信息进行验证,并在验证通过的情况下向所述认证单元发送认证通过的信息,以接入所述移动通信网络,其中,所述回复信息是在所述认证单元根据所述第一信息中的所述SIM公钥存储地址从所述区块链中获取到所述SIM公钥后,用所述SIM公钥对所述第一签名信息进行签名验证通过的情况下生成的。
可选地,所述第一信息还包括随机数和发起所述认证请求的时间戳,所述回复信息包括所述认证单元的证书,以及第二签名信息,所述第二签名信息是所述认证单元用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述验证模块,具体用于用所述移动终端上预先存储的所述认证***的***公钥解析所述证书,得到所述证书中所述认证单元的认证公钥和证书的过期时间;在根据所述证书的过期时间确定所述证书未过期的情况下,用所述***公钥验证所述证书,在证书验证通过的情况下,用所述认证公钥对所述回复信息中的所述第二签名信息进行签名验证。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本公开实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述实施例中的接入移动通信网络的认证或注册方法的步骤。
图11是根据本公开一示例性实施例示出的一种移动终端700的框图。如图11所示,该移动终端700可以包括:处理器701,存储器702。该移动终端700还可以包括多媒体组件703,输入/输出(I/O)接口704,以及通信组件705中的一者或多者。
其中,处理器701用于控制该移动终端700的整体操作,以完成上述的接入移动通信网络的认证方法中的全部或部分步骤。存储器702用于存储各种类型的数据以支持在该移动终端700的操作,这些数据例如可以包括用于在该移动终端700上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器702可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件703可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器702或通过通信组件705发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口704为处理器701和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件705用于该移动终端700与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G、4G、NB-IOT、eMTC、或其他5G等等,或它们中的一种或几种的组合,在此不做限定。因此相应的该通信组件705可以包括:Wi-Fi模块,蓝牙模块,NFC模块等等。
在一示例性实施例中,移动终端700可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的接入移动通信网络的认证方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的接入移动通信网络的认证方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器702,上述程序指令可由移动终端700的处理器701执行以完成上述的接入移动通信网络的认证方法。
图12是根据本公开一示例性实施例示出的一种电子设备1900的框图。例如,电子设备1900可以被提供为一服务器。参照图12,电子设备1900包括处理器1922,其数量可以为一个或多个,以及存储器1932,用于存储可由处理器1922执行的计算机程序。存储器1932中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器1922可以被配置为执行该计算机程序,以执行上述认证单元或用户管理服务器侧的接入移动通信网络的注册或认证方法。
另外,电子设备1900还可以包括电源组件1926和通信组件1950,该电源组件1926可以被配置为执行电子设备1900的电源管理,该通信组件1950可以被配置为实现电子设备1900的通信,例如,有线或无线通信。此外,该电子设备1900还可以包括输入/输出(I/O)接口1958。电子设备1900可以操作基于存储在存储器1932的操作***,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的认证单元或用户管理服务器侧的接入移动通信网络的注册或认证方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器1932,上述程序指令可由电子设备1900的处理器1922执行以完成上述的认证单元或用户管理服务器侧的接入移动通信网络的注册或认证方法。
在另一示例性实施例中,还提供一种计算机程序产品,该计算机程序产品包含能够由可编程的装置执行的计算机程序,该计算机程序具有当由该可编程的装置执行时用于执行上述的认证单元或用户管理服务器侧的接入移动通信网络的注册或认证方法的代码部分。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
实施例
1、一种接入移动通信网络的认证***,包括用户管理服务器、认证单元,所述用户管理服务器和所述认证单元为同一区块链网络中的不同节点,每一所述节点存储有区块链中的多个区块;
所述认证单元用于,在接收到移动终端发起的认证请求的情况下,根据所述认证请求中的SIM公钥存储地址从所述区块链中获取SIM公钥,并根据所述SIM公钥对所述认证请求中的第一签名信息进行签名验证,在对所述第一签名信息进行签名验证通过的情况下,向所述移动终端反馈包括所述认证单元的证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述用户管理服务器将所述移动终端注册请求中携带的所述SIM公钥存储在所述区块链后发送给所述移动终端的,所述认证请求中的所述第一签名信息是用所述移动终端的SIM私钥签名后的信息;
所述认证单元还用于,在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
2、根据实施例1所述的***,所述认证单元为移动管理服务器或无线接入基站。
3、根据实施例1所述的***,所述认证单元还用于:
在根据所述认证请求中的所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述认证请求中的所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
4、根据实施例1-3中任一项所述的***,所述移动终端发起的所述认证请求中还包括发起该认证请求的时间戳,所述认证单元还用于:
若确定所述认证请求中的所述时间戳与所述认证单元当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
5、根据实施例4所述的***,所述移动终端发起的所述认证请求中还包括随机数,所述回复信息中还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
6、根据实施例1所述的***,所述用户管理服务器用于,接收所述认证单元的注册请求,并根据所述注册请求中携带的认证公钥生成所述认证单元的所述证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
所述用户管理服务器还用于,将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址;
所述认证单元还用于存储所述证书存储地址。
7、根据实施例6所述的***,所述认证单元还用于,在向所述移动终端反馈所述回复信息之前,根据所述证书存储地址从所述区块链获取所述证书。
8、一种接入移动通信网络的注册方法,所述方法应用于认证***的用户管理服务器,所述用户管理服务器是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述方法包括:
接收移动终端的注册请求,所述移动终端的注册请求中携带所述移动终端的SIM公钥;
将所述SIM公钥存储在所述区块链;并,
向所述移动终端反馈所述SIM公钥在所述区块链中的SIM公钥存储地址,以使所述移动终端存储所述SIM公钥存储地址。
9、根据实施例8所述的方法,所述方法还包括:
接收所述认证***的认证单元的注册请求,所述认证单元的注册请求中携带所述认证单元的认证公钥,其中,所述认证单元为所述区块链网络中的节点;
根据所述认证公钥生成所述认证单元的证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址,以使所述认证单元存储所述证书存储地址。
10、一种接入移动通信网络的认证方法,所述方法应用于认证***的认证单元,所述认证单元是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述方法包括:
接收移动终端发起的认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在所述区块链后发送给所述移动终端的;
根据所述SIM公钥存储地址从所述区块链获取所述SIM公钥;
根据所述SIM公钥对所述第一签名信息进行签名验证,并在对所述第一签名信息进行签名验证通过的情况下,向所述移动终端反馈包括所述认证单元的证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份;
在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
11、根据实施例10所述的方法,所述方法还包括:
在根据所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
12、根据实施例10所述的方法,所述第一信息还包括发起该认证请求的时间戳,所述方法还包括:
若确定所述时间戳与所述认证单元当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
13、根据实施例12所述的方法,所述第一信息还包括随机数,所述回复信息还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
14、一种接入移动通信网络的认证方法,所述方法应用于移动终端,所述方法包括:
发起认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在区块链后发送给所述移动终端的;
在接收到所述认证***的认证单元反馈的回复信息的情况下,对所述回复信息进行验证,并在验证通过的情况下向所述认证单元发送认证通过的信息,以接入所述移动通信网络,其中,所述回复信息是在所述认证单元根据所述第一信息中的所述SIM公钥存储地址从所述区块链中获取到所述SIM公钥后,用所述SIM公钥对所述第一签名信息进行签名验证通过的情况下生成的。
15、根据实施例14所述的方法,所述第一信息还包括随机数和发起所述认证请求的时间戳,所述回复信息包括所述认证单元的证书,以及第二签名信息,所述第二签名信息是所述认证单元用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述对所述回复信息进行验证包括:
用所述移动终端上预先存储的所述认证***的***公钥解析所述证书,得到所述证书中所述认证单元的认证公钥和证书的过期时间;
在根据所述证书的过期时间确定所述证书未过期的情况下,用所述***公钥验证所述证书,在证书验证通过的情况下,用所述认证公钥对所述回复信息中的所述第二签名信息进行签名验证。
16、一种接入移动通信网络的注册装置,所述装置用于认证***的用户管理服务器,所述用户管理服务器是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述装置包括:
第一接收模块,用于接收移动终端的注册请求,所述移动终端的注册请求中携带所述移动终端的SIM公钥;
第一存储模块,用于将所述SIM公钥存储在所述区块链中;
第一反馈模块,用于向所述移动终端反馈所述SIM公钥在所述区块链中的SIM公钥存储地址,以使所述移动终端存储所述SIM公钥存储地址。
17、一种接入移动通信网络的认证装置,所述装置用于认证***的认证单元,所述认证单元是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述装置包括:
第二接收模块,用于接收移动终端发起的认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在所述区块链后发送给所述移动终端的;
第一获取模块,用于根据所述SIM公钥存储地址从所述区块链获取所述SIM公钥;
第二反馈模块,用于根据所述SIM公钥对所述第一签名信息进行签名验证,并在对所述第一签名信息进行签名验证通过的情况下,向所述移动终端反馈包括所述认证单元的证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份;
接入模块,用于在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
18、一种接入移动通信网络的认证装置,所述装置应用于移动终端,所述装置包括:
发起模块,用于发起认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在区块链后发送给所述移动终端的;
验证模块,用于在接收到所述认证***的认证单元反馈的回复信息的情况下,对所述回复信息进行验证,并在验证通过的情况下向所述认证单元发送认证通过的信息,以接入所述移动通信网络,其中,所述回复信息是在所述认证单元根据所述第一信息中的所述SIM公钥存储地址从所述区块链中获取到所述SIM公钥后,用所述SIM公钥对所述第一签名信息进行签名验证通过的情况下生成的。
19、一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现实施例8-15中任一项所述方法的步骤。
20、一种电子设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现实施例8-15中任一项所述方法的步骤。
Claims (17)
1.一种接入移动通信网络的认证***,其特征在于,包括用户管理服务器、认证单元,所述用户管理服务器和所述认证单元为同一区块链网络中的不同节点,每一所述节点存储有区块链中的多个区块;
所述认证单元用于,在接收到移动终端发起的认证请求的情况下,根据所述认证请求中的SIM公钥存储地址从所述区块链中获取SIM公钥,并根据所述SIM公钥对所述认证请求中的第一签名信息进行签名验证,在对所述第一签名信息进行签名验证通过的情况下,根据证书存储地址从所述区块链获取证书,向所述移动终端反馈包括所述认证单元的所述证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述用户管理服务器将所述移动终端注册请求中携带的所述SIM公钥存储在所述区块链后发送给所述移动终端的,所述认证请求中的所述第一签名信息是用所述移动终端的SIM私钥签名后的信息;
所述认证单元还用于,在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络;
其中,所述用户管理服务器用于,接收所述认证单元的注册请求,并根据所述注册请求中携带的认证公钥生成所述认证单元的所述证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
所述用户管理服务器还用于,将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址;
所述认证单元还用于存储所述证书存储地址。
2.根据权利要求1所述的***,其特征在于,所述认证单元为移动管理服务器或无线接入基站。
3.根据权利要求1所述的***,其特征在于,所述认证单元还用于:
在根据所述认证请求中的所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述认证请求中的所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
4.根据权利要求1-3中任一项所述的***,其特征在于,所述移动终端发起的所述认证请求中还包括发起该认证请求的时间戳,所述认证单元还用于:
若确定所述认证请求中的所述时间戳与所述认证单元当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
5.根据权利要求4所述的***,其特征在于,所述移动终端发起的所述认证请求中还包括随机数,所述回复信息中还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
6.一种接入移动通信网络的注册方法,其特征在于,所述方法应用于认证***的用户管理服务器,所述用户管理服务器是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述方法包括:
接收移动终端的注册请求,所述移动终端的注册请求中携带所述移动终端的SIM公钥;
将所述SIM公钥存储在所述区块链;并,
向所述移动终端反馈所述SIM公钥在所述区块链中的SIM公钥存储地址,以使所述移动终端存储所述SIM公钥存储地址,其中,所述移动终端存储的所述SIM公钥存储地址用于:所述移动终端将所述SIM公钥存储地址携带在发送给所述认证***的认证单元的认证请求中,以使所述认证单元能够根据所述认证请求中的所述SIM公钥存储地址从所述区块链中获取所述SIM公钥,并使所述认证单元能够根据获取到的所述SIM公钥对所述认证请求中的第一签名信息进行签名验证,所述认证请求中的所述第一签名信息是所述移动终端用所述移动终端的SIM私钥签名后的信息;
接收所述认证***的认证单元的注册请求,所述认证单元的注册请求中携带所述认证单元的认证公钥,其中,所述认证单元为所述区块链网络中的节点;
根据所述认证公钥生成所述认证单元的证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址,以使所述认证单元存储所述证书存储地址,其中,所述认证单元存储的所述证书存储地址用于:所述认证单元在对所述第一签名信息进行签名验证通过的情况下,所述认证单元能够根据所述证书存储地址从所述区块链获取所述证书,以使所述认证单元能够向所述移动终端反馈包括所述认证单元的所述证书的回复信息。
7.一种接入移动通信网络的认证方法,其特征在于,所述方法应用于认证***的认证单元,所述认证单元是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述方法包括:
接收移动终端发起的认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在所述区块链后发送给所述移动终端的;
根据所述SIM公钥存储地址从所述区块链获取所述SIM公钥;
根据所述SIM公钥对所述第一签名信息进行签名验证,并在对所述第一签名信息进行签名验证通过的情况下,根据证书存储地址从所述区块链获取证书,向所述移动终端反馈包括所述认证单元的所述证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份,其中,所述证书存储地址是在所述认证单元注册时,所述用户管理服务器根据所述认证单元发送的认证公钥生成所述证书,并将所述证书存储在所述区块链后发送给所述认证单元的,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
在根据所述SIM公钥存储地址从所述区块链中未获取到所述SIM公钥的情况下,或者,在根据所述SIM公钥对所述第一签名信息进行签名验证未通过的情况下,向所述移动终端反馈认证失败的信息。
9.根据权利要求7所述的方法,其特征在于,所述第一信息还包括发起该认证请求的时间戳,所述方法还包括:
若确定所述时间戳与所述认证单元当前时间戳的差值超过预设阈值,则向所述移动终端反馈认证失败的信息。
10.根据权利要求9所述的方法,其特征在于,所述第一信息还包括随机数,所述回复信息还包括第二签名信息,所述第二签名信息是用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述回复信息中的所述第二签名信息用于所述移动终端验证所述回复信息是否与所述认证请求对应。
11.一种接入移动通信网络的认证方法,其特征在于,所述方法应用于移动终端,所述方法包括:
发起认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在区块链后发送给所述移动终端的;
在接收到所述认证***的认证单元反馈的回复信息的情况下,对所述回复信息进行验证,并在验证通过的情况下向所述认证单元发送认证通过的信息,以接入所述移动通信网络,其中,所述回复信息是在所述认证单元根据所述第一信息中的所述SIM公钥存储地址从所述区块链中获取到所述SIM公钥后,用所述SIM公钥对所述第一签名信息进行签名验证通过的情况下生成的,所述回复信息包括所述认证单元根据证书存储地址从所述区块链获取到的所述认证单元的证书,其中,所述证书存储地址是在所述认证单元注册时,所述用户管理服务器根据所述认证单元发送的认证公钥生成所述证书,并将所述证书存储在所述区块链后发送给所述认证单元的,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书。
12.根据权利要求11所述的方法,其特征在于,所述第一信息还包括随机数和发起所述认证请求的时间戳,所述回复信息还包括第二签名信息,所述第二签名信息是所述认证单元用所述认证单元的认证私钥对所述随机数和所述时间戳进行签名后的信息,所述对所述回复信息进行验证包括:
用所述移动终端上预先存储的所述认证***的***公钥解析所述证书,得到所述证书中所述认证单元的认证公钥和证书的过期时间;
在根据所述证书的过期时间确定所述证书未过期的情况下,用所述***公钥验证所述证书,在证书验证通过的情况下,用所述认证公钥对所述回复信息中的所述第二签名信息进行签名验证。
13.一种接入移动通信网络的注册装置,其特征在于,所述装置用于认证***的用户管理服务器,所述用户管理服务器是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述装置包括:
第一接收模块,用于接收移动终端的注册请求,所述移动终端的注册请求中携带所述移动终端的SIM公钥;
第一存储模块,用于将所述SIM公钥存储在所述区块链中;
第一反馈模块,用于向所述移动终端反馈所述SIM公钥在所述区块链中的SIM公钥存储地址,以使所述移动终端存储所述SIM公钥存储地址,其中,所述移动终端存储的所述SIM公钥存储地址用于:所述移动终端将所述SIM公钥存储地址携带在发送给所述认证***的认证单元的认证请求中,以使所述认证单元能够根据所述认证请求中的所述SIM公钥存储地址从所述区块链中获取所述SIM公钥,并使所述认证单元能够根据获取到的所述SIM公钥对所述认证请求中的第一签名信息进行签名验证,所述认证请求中的所述第一签名信息是所述移动终端用所述移动终端的SIM私钥签名后的信息;
第三接收模块,用于接收认证单元的注册请求,所述认证单元的注册请求中携带所述认证单元的认证公钥;
生成模块,用于根据所述认证公钥生成所述认证单元的证书,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
第二存储模块,用于将所述证书存储在所述区块链,并向所述认证单元反馈所述证书在所述区块链中的证书存储地址,以使所述认证单元存储所述证书存储地址,其中,所述认证单元存储的所述证书存储地址用于:所述认证单元在对所述第一签名信息进行签名验证通过的情况下,所述认证单元能够根据所述证书存储地址从所述区块链获取所述证书,以使所述认证单元能够向所述移动终端反馈包括所述认证单元的所述证书的回复信息。
14.一种接入移动通信网络的认证装置,其特征在于,所述装置用于认证***的认证单元,所述认证单元是区块链网络中的节点,每一所述节点存储有区块链中的多个区块,所述装置包括:
第二接收模块,用于接收移动终端发起的认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,所述认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在所述区块链后发送给所述移动终端的;
第一获取模块,用于根据所述SIM公钥存储地址从所述区块链获取所述SIM公钥;
第二反馈模块,用于根据所述SIM公钥对所述第一签名信息进行签名验证,并在对所述第一签名信息进行签名验证通过的情况下,根据证书存储地址从所述区块链获取证书,向所述移动终端反馈包括所述认证单元的所述证书的回复信息,所述证书用于所述移动终端认证所述认证单元的身份,其中,所述证书存储地址是在所述认证单元注册时,所述用户管理服务器根据所述认证单元发送的认证公钥生成所述证书,并将所述证书存储在所述区块链后发送给所述认证单元的,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书;
接入模块,用于在接收到所述移动终端对所述回复信息认证通过的信息时,将所述移动终端接入所述移动通信网络。
15.一种接入移动通信网络的认证装置,其特征在于,所述装置应用于移动终端,所述装置包括:
发起模块,用于发起认证请求,所述认证请求中包括第一信息和第一签名信息,所述第一信息包括所述移动终端的SIM公钥存储地址,所述第一签名信息是用所述移动终端的SIM私钥对所述第一信息进行签名后的信息,其中,所述SIM公钥存储地址是在所述移动终端注册时,认证***的用户管理服务器将所述移动终端注册请求中携带的SIM公钥存储在区块链后发送给所述移动终端的;
验证模块,用于在接收到所述认证***的认证单元反馈的回复信息的情况下,对所述回复信息进行验证,并在验证通过的情况下向所述认证单元发送认证通过的信息,以接入所述移动通信网络,其中,所述回复信息是在所述认证单元根据所述第一信息中的所述SIM公钥存储地址从所述区块链中获取到所述SIM公钥后,用所述SIM公钥对所述第一签名信息进行签名验证通过的情况下生成的,所述回复信息包括所述认证单元根据证书存储地址从所述区块链获取到的所述认证单元的证书,其中,所述证书存储地址是在所述认证单元注册时,所述用户管理服务器根据所述认证单元发送的认证公钥生成所述证书,并将所述证书存储在所述区块链后发送给所述认证单元的,其中,所述证书包括所述认证公钥和所述证书的过期时间,且所述证书是所述用户管理服务器用所述认证***的***私钥签名后的证书。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求6-12中任一项所述方法的步骤。
17.一种电子设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现权利要求6-12中任一项所述方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011080623.6A CN112291064B (zh) | 2020-10-10 | 2020-10-10 | 认证***,注册及认证方法、装置,存储介质及电子设备 |
PCT/CN2021/119710 WO2022073420A1 (zh) | 2020-10-10 | 2021-09-22 | 认证***,注册及认证方法、装置,存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011080623.6A CN112291064B (zh) | 2020-10-10 | 2020-10-10 | 认证***,注册及认证方法、装置,存储介质及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112291064A CN112291064A (zh) | 2021-01-29 |
CN112291064B true CN112291064B (zh) | 2022-08-30 |
Family
ID=74422448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011080623.6A Active CN112291064B (zh) | 2020-10-10 | 2020-10-10 | 认证***,注册及认证方法、装置,存储介质及电子设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN112291064B (zh) |
WO (1) | WO2022073420A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112291064B (zh) * | 2020-10-10 | 2022-08-30 | 达闼机器人股份有限公司 | 认证***,注册及认证方法、装置,存储介质及电子设备 |
CN113194471B (zh) * | 2021-05-21 | 2023-04-07 | 中国联合网络通信集团有限公司 | 基于区块链网络的无线网络接入方法、装置和终端 |
US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
CN114520976B (zh) * | 2022-04-20 | 2022-07-01 | 北京时代亿信科技股份有限公司 | 用户身份识别卡的认证方法及装置、非易失性存储介质 |
CN115242479B (zh) * | 2022-07-15 | 2023-10-31 | 东软集团股份有限公司 | 基于区块链网关的通信方法、装置、存储介质及电子设备 |
CN115396165B (zh) * | 2022-08-15 | 2024-05-14 | 中国联合网络通信集团有限公司 | 一种文件管理方法、装置、电子设备及存储介质 |
CN115967563B (zh) * | 2022-12-23 | 2024-05-28 | 四川启睿克科技有限公司 | 一种基于区块链的能源数据采集上链方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证***及其注册和登录方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2366141B (en) * | 2001-02-08 | 2003-02-12 | Ericsson Telefon Ab L M | Authentication and authorisation based secure ip connections for terminals |
CN103491540B (zh) * | 2013-09-18 | 2016-05-25 | 东北大学 | 一种基于身份凭证的无线局域网双向接入认证***及方法 |
WO2019104690A1 (zh) * | 2017-11-30 | 2019-06-06 | 深圳前海达闼云端智能科技有限公司 | 移动网络接入认证方法、装置、存储介质及区块链节点 |
US10826704B2 (en) * | 2018-08-31 | 2020-11-03 | Hewlett Packard Enterprise Development Lp | Blockchain key storage on SIM devices |
CN110493237A (zh) * | 2019-08-26 | 2019-11-22 | 深圳前海环融联易信息科技服务有限公司 | 身份管理方法、装置、计算机设备及存储介质 |
CN112291064B (zh) * | 2020-10-10 | 2022-08-30 | 达闼机器人股份有限公司 | 认证***,注册及认证方法、装置,存储介质及电子设备 |
-
2020
- 2020-10-10 CN CN202011080623.6A patent/CN112291064B/zh active Active
-
2021
- 2021-09-22 WO PCT/CN2021/119710 patent/WO2022073420A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证***及其注册和登录方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2022073420A1 (zh) | 2022-04-14 |
CN112291064A (zh) | 2021-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112291064B (zh) | 认证***,注册及认证方法、装置,存储介质及电子设备 | |
KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
US9485232B2 (en) | User equipment credential system | |
EP3605942B1 (en) | Key agreement for wireless communication | |
EP2528268B3 (en) | Cyptographic key generation | |
US7472273B2 (en) | Authentication in data communication | |
US9654284B2 (en) | Group based bootstrapping in machine type communication | |
US8881235B2 (en) | Service-based authentication to a network | |
US20070178886A1 (en) | Authentication Method And Related Method For Transmitting Information | |
KR20160078426A (ko) | 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치 | |
JP2012034381A (ja) | Gaaのための汎用鍵の決定メカニズム | |
KR20010021127A (ko) | 통신 시스템 및 그와 통신하는 유닛간에 키를 갱신하는방법 및 시스템 | |
US10897707B2 (en) | Methods and apparatus for direct communication key establishment | |
CN112640385B (zh) | 用于在si***中使用的非si设备和si设备以及相应的方法 | |
JP2023162296A (ja) | コアネットワークへの非3gppデバイスアクセス | |
KR20080093449A (ko) | Cdma 네트워크에서 gsm 인증 | |
KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
WO2007025484A1 (fr) | Procede de negociation de mise a jour pour cle d'autorisation et dispositif associe | |
CN108271154B (zh) | 一种认证方法及装置 | |
CN111770496B (zh) | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 | |
WO2017022643A1 (ja) | 通信システム、通信装置、通信方法及びプログラム | |
US11974131B2 (en) | Systems and methods for seamless cross-application authentication | |
RU2779029C1 (ru) | Доступ не отвечающего спецификациям 3gpp устройства к базовой сети | |
CN117678255A (zh) | 边缘启用器客户端标识认证过程 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 201111 Building 8, No. 207, Zhongqing Road, Minhang District, Shanghai Applicant after: Dayu robot Co.,Ltd. Address before: 200245 2nd floor, building 2, no.1508, Kunyang Road, Minhang District, Shanghai Applicant before: Dalu Robot Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |