CN114697061B - 接入控制方法、装置、网络侧设备、终端及区块链节点 - Google Patents

接入控制方法、装置、网络侧设备、终端及区块链节点 Download PDF

Info

Publication number
CN114697061B
CN114697061B CN202011591112.0A CN202011591112A CN114697061B CN 114697061 B CN114697061 B CN 114697061B CN 202011591112 A CN202011591112 A CN 202011591112A CN 114697061 B CN114697061 B CN 114697061B
Authority
CN
China
Prior art keywords
information
terminal
public key
user identification
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011591112.0A
Other languages
English (en)
Other versions
CN114697061A (zh
Inventor
阎军智
杨波
粟栗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN202011591112.0A priority Critical patent/CN114697061B/zh
Priority to US18/259,518 priority patent/US20240064021A1/en
Priority to PCT/CN2021/141520 priority patent/WO2022143498A1/zh
Priority to JP2023539818A priority patent/JP2024501326A/ja
Priority to EP21914235.3A priority patent/EP4274192A1/en
Publication of CN114697061A publication Critical patent/CN114697061A/zh
Application granted granted Critical
Publication of CN114697061B publication Critical patent/CN114697061B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种接入控制方法、装置、网络侧设备、终端及区块链节点,其中,接入控制方法包括:接收终端发送的对应于访问请求的待验证相关信息;所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;根据所述位置信息,从区块链中获取所述预设信息;根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;根据所述属性信息,向所述终端反馈针对接入控制的请求响应。本方案能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

Description

接入控制方法、装置、网络侧设备、终端及区块链节点
技术领域
本发明涉及通信技术领域,尤其涉及一种接入控制方法、装置、网络侧设备、终端及区块链节点。
背景技术
访问控制指***对用户身份及其所属的策略组限制其使用数据资源能力的手段。访问控制是***保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。例如,***管理员控制用户对服务器、目录、文件等网络资源的访问。为了达到上述目的,访问控制需要完成两个任务:识别和确认访问***的用户、决定该用户可以对某一***资源进行何种类型的访问。
访问控制功能可以在客体实现,也可以部署集中的设备实施访问控制。对于前者,对客体设备要求较高,如果访问量比较大,将严重影响客体性能。集中部署的访问控制功能是目前常用的技术手段,访问主体向集中的访问控制***发起请求,在经过认证和授权之后,访问主体向客体发起访问。
也可以理解为,传统技术中,访问控制***是中心化设备;但是,其被暴露在网络中,容易遭受DDoS(Distributed Denial of Service,分布式拒绝服务)等网络攻击。一旦控制器受到网络攻击停止服务,有可能导致整个***无法正常运行。
也就是,现有技术中存在传统认证服务器遭受DDoS攻击导致的单点失败问题。
发明内容
本发明的目的在于提供一种接入控制方法、装置、网络侧设备、终端及区块链节点,以解决现有技术中存在传统认证服务器遭受DDoS攻击导致单点失败的问题。
为了解决上述技术问题,本发明实施例提供一种接入控制方法,应用于第一网络侧设备,包括:
接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
根据所述位置信息,从区块链中获取所述预设信息;
根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;
在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;
根据所述属性信息,向所述终端反馈针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
可选的,所述接收终端发送的对应于访问请求的待验证相关信息,包括:
接收所述终端发送的访问请求,所述访问请求中携带有待验证相关信息;或者,
接收所述终端发送的访问请求;
根据所述访问请求,向所述终端反馈随机数;
接收所述终端根据所述随机数发送的待验证相关信息。
可选的,在所述预设信息包括所述终端的公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
利用所述公钥信息对所述私钥签名信息进行验证;
所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述公钥信息,从区块链账本中获取对应的第三用户标识信息;
在获取到所述第三用户标识信息的情况下,从区块链账本中获取所述第三用户标识信息对应的属性信息作为所述终端的属性信息。
可选的,在所述预设信息包括所述第一用户标识信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述第一用户标识信息,得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息;
根据所述终端的公钥信息,对所述待验证的公钥信息以及所述私钥签名信息进行验证;
所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述第一用户标识信息,从区块链账本中获取所述终端的属性信息。
可选的,在所述预设信息包括所述第二用户标识信息以及公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据获取的所述终端的公钥信息,对所述预设信息中的公钥信息进行验证;或者,
利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥的散列值;根据所述预设信息中的公钥信息,得到待验证的散列值;根据获取的所述终端的公钥的散列值,对所述待验证的散列值进行验证。
可选的,在所述预设信息包括所述第二用户标识信息以及公钥的散列值的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;
根据所述预设信息中的公钥的散列值,得到待验证的公钥信息;
根据所述待验证的公钥信息,对所述私钥签名信息进行验证;并根据获取的所述终端的公钥信息,对所述待验证的公钥信息进行验证。
可选的,所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述第二用户标识信息,从区块链账本中获取所述终端的属性信息。
可选的,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
可选的,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳;
所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
确认所述时间戳是否处于有效期内;
在所述时间戳处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息,对所述终端进行验证。
可选的,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项;
所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述有效期信息,确认所述第一信息是否处于有效期内;
在所述第一信息处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息,对所述终端进行验证。
可选的,与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;
在根据所述属性信息,向所述终端反馈针对接入控制的请求响应之前,还包括:
使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密,得到所述第一密钥;
根据所述第一密钥,针对从所述区块链账本中获取的所述加密信息进行解密,得到所述至少一个认证信息;
其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
可选的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
本发明实施例还提供了一种接入控制方法,应用于终端,包括:
向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
接收所述第一网络侧设备反馈的针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
可选的,所述向第一网络侧设备发送对应于访问请求的待验证相关信息,包括:
向第一网络侧设备发送访问请求,所述访问请求中携带有待验证相关信息;或者,
向第一网络侧设备发送访问请求;
接收所述第一网络侧设备根据所述访问请求反馈的随机数;
根据所述随机数,向所述第一网络侧设备发送待验证相关信息。
可选的,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
可选的,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳。
可选的,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述终端的属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项。
可选的,与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;
其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
可选的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
可选的,在向第一网络侧设备发送对应于访问请求的待验证相关信息之前,还包括:
向第一区块链节点发送所述终端的待认证信息;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种接入控制方法,应用于第一区块链节点,包括:
接收终端发送的待认证信息;
对所述待认证信息进行认证;
在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;
所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
可选的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
可选的,所述在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中,包括:
随机生成用于加密的第一密钥;
使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。
可选的,在随机生成用于加密的第一密钥之后,还包括:
使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。
可选的,所述对所述待认证信息进行认证,包括:
根据第一预设策略,将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证;
接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息;
根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果。
可选的,所述对所述待认证信息进行认证,包括:
根据第一预设策略,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证;
接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息;
根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
可选的,所述对所述待认证信息进行认证,包括:
将所述待认证信息发送给第二区块链节点;
接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息;并根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果;和/或,
接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息;并根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
本发明实施例还提供了一种接入控制方法,应用于第二区块链节点,包括:
接收第一区块链节点发送的终端的待认证信息;
将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息,反馈给所述第一区块链节点;和/或,
将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证,并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息,反馈给所述第一区块链节点;
其中,所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种接入控制方法,应用于第二网络侧设备,包括:
接收区块链节点发送的待认证的终端的用户凭证信息;
对所述用户凭证信息进行认证,得到第一认证结果,并使用第三签名信息进行签名;
将所述第一认证结果以及第三签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;
所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种接入控制方法,应用于第三网络侧设备,包括:
接收区块链节点发送的待认证的终端的属性信息;
对所述属性信息进行认证,得到第二认证结果,并使用第四签名信息进行签名;
将所述第二认证结果以及第四签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点。
本发明实施例还提供了一种接入控制装置,应用于第一网络侧设备,包括:
第一接收模块,用于接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
第一获取模块,用于根据所述位置信息,从区块链中获取所述预设信息;
第一验证模块,用于根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;
第二接收模块,用于在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;
第一反馈模块,用于根据所述属性信息,向所述终端反馈针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
可选的,所述接收终端发送的对应于访问请求的待验证相关信息,包括:
接收所述终端发送的访问请求,所述访问请求中携带有待验证相关信息;或者,
接收所述终端发送的访问请求;
根据所述访问请求,向所述终端反馈随机数;
接收所述终端根据所述随机数发送的待验证相关信息。
可选的,在所述预设信息包括所述终端的公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
利用所述公钥信息对所述私钥签名信息进行验证;
所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述公钥信息,从区块链账本中获取对应的第三用户标识信息;
在获取到所述第三用户标识信息的情况下,从区块链账本中获取所述第三用户标识信息对应的属性信息作为所述终端的属性信息。
可选的,在所述预设信息包括所述第一用户标识信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述第一用户标识信息,得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息;
根据所述终端的公钥信息,对所述待验证的公钥信息以及所述私钥签名信息进行验证;
所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述第一用户标识信息,从区块链账本中获取所述终端的属性信息。
可选的,在所述预设信息包括所述第二用户标识信息以及公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据获取的所述终端的公钥信息,对所述预设信息中的公钥信息进行验证;或者,
利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥的散列值;根据所述预设信息中的公钥信息,得到待验证的散列值;根据获取的所述终端的公钥的散列值,对所述待验证的散列值进行验证。
可选的,在所述预设信息包括所述第二用户标识信息以及公钥的散列值的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;
根据所述预设信息中的公钥的散列值,得到待验证的公钥信息;
根据所述待验证的公钥信息,对所述私钥签名信息进行验证;并根据获取的所述终端的公钥信息,对所述待验证的公钥信息进行验证。
可选的,所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述第二用户标识信息,从区块链账本中获取所述终端的属性信息。
可选的,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
可选的,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳;
所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
确认所述时间戳是否处于有效期内;
在所述时间戳处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息,对所述终端进行验证。
可选的,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项;
所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述有效期信息,确认所述第一信息是否处于有效期内;
在所述第一信息处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息,对所述终端进行验证。
可选的,与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;
所述接入控制装置还包括:
第一解密模块,用于在根据所述属性信息,向所述终端反馈针对接入控制的请求响应之前,使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密,得到所述第一密钥;
第二解密模块,用于根据所述第一密钥,针对从所述区块链账本中获取的所述加密信息进行解密,得到所述至少一个认证信息;
其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
可选的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
本发明实施例还提供了一种接入控制装置,应用于终端,包括:
第一发送模块,用于向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
第三接收模块,用于接收所述第一网络侧设备反馈的针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
可选的,所述向第一网络侧设备发送对应于访问请求的待验证相关信息,包括:
向第一网络侧设备发送访问请求,所述访问请求中携带有待验证相关信息;或者,
向第一网络侧设备发送访问请求;
接收所述第一网络侧设备根据所述访问请求反馈的随机数;
根据所述随机数,向所述第一网络侧设备发送待验证相关信息。
可选的,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
可选的,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳。
可选的,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述终端的属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项。
可选的,与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;
其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
可选的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
可选的,还包括:
第二发送模块,用于在向第一网络侧设备发送对应于访问请求的待验证相关信息之前,向第一区块链节点发送所述终端的待认证信息;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种接入控制装置,应用于第一区块链节点,包括:
第四接收模块,用于接收终端发送的待认证信息;
第一认证模块,用于对所述待认证信息进行认证;
第一存储模块,用于在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;
所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
可选的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
可选的,所述在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中,包括:
随机生成用于加密的第一密钥;
使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。
可选的,还包括:
第一处理模块,用于在随机生成用于加密的第一密钥之后,使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。
可选的,所述对所述待认证信息进行认证,包括:
根据第一预设策略,将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证;
接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息;
根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果。
可选的,所述对所述待认证信息进行认证,包括:
根据第一预设策略,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证;
接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息;
根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
可选的,所述对所述待认证信息进行认证,包括:
将所述待认证信息发送给第二区块链节点;
接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息;并根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果;和/或,
接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息;并根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
本发明实施例还提供了一种接入控制装置,应用于第二区块链节点,包括:
第五接收模块,用于接收第一区块链节点发送的终端的待认证信息;
第二处理模块,用于将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息,反馈给所述第一区块链节点;和/或,
第三处理模块,用于将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证,并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息,反馈给所述第一区块链节点;
其中,所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种接入控制装置,应用于第二网络侧设备,包括:
第六接收模块,用于接收区块链节点发送的待认证的终端的用户凭证信息;
第四处理模块,用于对所述用户凭证信息进行认证,得到第一认证结果,并使用第三签名信息进行签名;
第二反馈模块,用于将所述第一认证结果以及第三签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;
所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种接入控制装置,应用于第三网络侧设备,包括:
第七接收模块,用于接收区块链节点发送的待认证的终端的属性信息;
第五处理模块,用于对所述属性信息进行认证,得到第二认证结果,并使用第四签名信息进行签名;
第三反馈模块,用于将所述第二认证结果以及第四签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点。
本发明实施例还提供了一种网络侧设备,所述网络侧设备为第一网络侧设备,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
根据所述位置信息,从区块链中获取所述预设信息;
根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;
在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;
根据所述属性信息,通过所述收发机向所述终端反馈针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
可选的,所述接收终端发送的对应于访问请求的待验证相关信息,包括:
接收所述终端发送的访问请求,所述访问请求中携带有待验证相关信息;或者,
接收所述终端发送的访问请求;
根据所述访问请求,向所述终端反馈随机数;
接收所述终端根据所述随机数发送的待验证相关信息。
可选的,在所述预设信息包括所述终端的公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
利用所述公钥信息对所述私钥签名信息进行验证;
所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述公钥信息,从区块链账本中获取对应的第三用户标识信息;
在获取到所述第三用户标识信息的情况下,从区块链账本中获取所述第三用户标识信息对应的属性信息作为所述终端的属性信息。
可选的,在所述预设信息包括所述第一用户标识信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述第一用户标识信息,得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息;
根据所述终端的公钥信息,对所述待验证的公钥信息以及所述私钥签名信息进行验证;
所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述第一用户标识信息,从区块链账本中获取所述终端的属性信息。
可选的,在所述预设信息包括所述第二用户标识信息以及公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据获取的所述终端的公钥信息,对所述预设信息中的公钥信息进行验证;或者,
利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥的散列值;根据所述预设信息中的公钥信息,得到待验证的散列值;根据获取的所述终端的公钥的散列值,对所述待验证的散列值进行验证。
可选的,在所述预设信息包括所述第二用户标识信息以及公钥的散列值的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;
根据所述预设信息中的公钥的散列值,得到待验证的公钥信息;
根据所述待验证的公钥信息,对所述私钥签名信息进行验证;并根据获取的所述终端的公钥信息,对所述待验证的公钥信息进行验证。
可选的,所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述第二用户标识信息,从区块链账本中获取所述终端的属性信息。
可选的,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
可选的,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳;
所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
确认所述时间戳是否处于有效期内;
在所述时间戳处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息,对所述终端进行验证。
可选的,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项;
所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述有效期信息,确认所述第一信息是否处于有效期内;
在所述第一信息处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息,对所述终端进行验证。
可选的,与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;
所述处理器还用于:
在根据所述属性信息,向所述终端反馈针对接入控制的请求响应之前,使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密,得到所述第一密钥;
根据所述第一密钥,针对从所述区块链账本中获取的所述加密信息进行解密,得到所述至少一个认证信息;
其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
可选的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
本发明实施例还提供了一种终端,包括:处理器和收发机;
所述处理器,用于通过所述收发机向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
通过所述收发机接收所述第一网络侧设备反馈的针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
可选的,所述向第一网络侧设备发送对应于访问请求的待验证相关信息,包括:
向第一网络侧设备发送访问请求,所述访问请求中携带有待验证相关信息;或者,
向第一网络侧设备发送访问请求;
接收所述第一网络侧设备根据所述访问请求反馈的随机数;
根据所述随机数,向所述第一网络侧设备发送待验证相关信息。
可选的,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
可选的,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳。
可选的,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述终端的属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项。
可选的,与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;
其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
可选的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
可选的,所述处理器还用于:
在向第一网络侧设备发送对应于访问请求的待验证相关信息之前,通过所述收发机向第一区块链节点发送所述终端的待认证信息;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种区块链节点,所述区块链节点为第一区块链节点,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收终端发送的待认证信息;
对所述待认证信息进行认证;
在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;
所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
可选的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
可选的,所述在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中,包括:
随机生成用于加密的第一密钥;
使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。
可选的,所述处理器还用于:
在随机生成用于加密的第一密钥之后,使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。
可选的,所述对所述待认证信息进行认证,包括:
根据第一预设策略,将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证;
接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息;
根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果。
可选的,所述对所述待认证信息进行认证,包括:
根据第一预设策略,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证;
接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息;
根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
可选的,所述对所述待认证信息进行认证,包括:
将所述待认证信息发送给第二区块链节点;
接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息;并根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果;和/或,
接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息;并根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
本发明实施例还提供了一种区块链节点,所述区块链节点为第二区块链节点,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收第一区块链节点发送的终端的待认证信息;
通过所述收发机将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息,反馈给所述第一区块链节点;和/或,
通过所述收发机将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证,并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息,反馈给所述第一区块链节点;
其中,所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种网络侧设备,所述网络侧设备为第二网络侧设备,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收区块链节点发送的待认证的终端的用户凭证信息;
对所述用户凭证信息进行认证,得到第一认证结果,并使用第三签名信息进行签名;
通过所述收发机将所述第一认证结果以及第三签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;
所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种网络侧设备,所述网络侧设备为第三网络侧设备,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收区块链节点发送的待认证的终端的属性信息;
对所述属性信息进行认证,得到第二认证结果,并使用第四签名信息进行签名;
通过所述收发机将所述第二认证结果以及第四签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点。
本发明实施例还提供了一种网络侧设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述第一网络侧设备侧的接入控制方法;或者,所述处理器执行所述程序时实现上述第二网络侧设备侧的接入控制方法;或者,所述处理器执行所述程序时实现上述第三网络侧设备侧的接入控制方法。
本发明实施例还提供了一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述终端侧的接入控制方法。
本发明实施例还提供了一种区块链节点,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述第一区块链节点侧的接入控制方法;或者,所述处理器执行所述程序时实现上述第二区块链节点侧的接入控制方法。
本发明实施例还提供了一种可读存储介质,其上存储有程序,该程序被处理器执行时实现上述第一网络侧设备侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述终端侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述第一区块链节点侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述第二区块链节点侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述第二网络侧设备侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述第三网络侧设备侧的接入控制方法中的步骤。
本发明的上述技术方案的有益效果如下:
上述方案中,所述接入控制方法通过接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;根据所述位置信息,从区块链中获取所述预设信息;根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;根据所述属性信息,向所述终端反馈针对接入控制的请求响应;其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
附图说明
图1为本发明实施例的接入控制方法流程示意图一;
图2为本发明实施例的接入控制方法流程示意图二;
图3为本发明实施例的接入控制方法流程示意图三;
图4为本发明实施例的接入控制方法流程示意图四;
图5为本发明实施例的接入控制方法流程示意图五;
图6为本发明实施例的接入控制方法流程示意图六;
图7为本发明实施例的接入控制方法实现架构示意图;
图8为本发明实施例的接入控制方法具体实现流程示意图;
图9为本发明实施例的待认证信息认证架构示意图一;
图10为本发明实施例的待认证信息认证架构示意图二;
图11为本发明实施例的接入控制装置结构示意图一;
图12为本发明实施例的接入控制装置结构示意图二;
图13为本发明实施例的接入控制装置结构示意图三;
图14为本发明实施例的接入控制装置结构示意图四;
图15为本发明实施例的接入控制装置结构示意图五;
图16为本发明实施例的接入控制装置结构示意图六;
图17为本发明实施例的网络侧设备结构示意图一;
图18为本发明实施例的终端结构示意图;
图19为本发明实施例的区块链节点结构示意图一;
图20为本发明实施例的区块链节点结构示意图二;
图21为本发明实施例的网络侧设备结构示意图二;
图22为本发明实施例的网络侧设备结构示意图三。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的技术中存在传统认证服务器遭受DDoS攻击导致单点失败的问题,提供一种接入控制方法,应用于第一网络侧设备,如图1所示,包括:
步骤11:接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
步骤12:根据所述位置信息,从区块链中获取所述预设信息;
步骤13:根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;
步骤14:在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;
步骤15:根据所述属性信息,向所述终端反馈针对接入控制的请求响应;其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
具体的,步骤15可以为根据所述属性信息以及用户标识信息,向所述终端反馈针对接入控制的请求响应;所述用户标识信息可以为上述的第一用户标识信息、第二用户标识信息或第三用户标识信息。
本发明实施例提供的所述接入控制方法通过接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;根据所述位置信息,从区块链中获取所述预设信息;根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;根据所述属性信息,向所述终端反馈针对接入控制的请求响应;其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,所述接收终端发送的对应于访问请求的待验证相关信息,包括:接收所述终端发送的访问请求,所述访问请求中携带有待验证相关信息;或者,接收所述终端发送的访问请求;根据所述访问请求,向所述终端反馈随机数;接收所述终端根据所述随机数发送的待验证相关信息。
本发明实施例中,在所述预设信息包括所述终端的公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:利用所述公钥信息对所述私钥签名信息进行验证;所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:在验证通过的情况下,根据所述公钥信息,从区块链账本中获取对应的第三用户标识信息;在获取到所述第三用户标识信息的情况下,从区块链账本中获取所述第三用户标识信息对应的属性信息作为所述终端的属性信息。
其中,所述根据所述属性信息,向所述终端反馈针对接入控制的请求响应,可以包括:根据所述第三用户标识信息以及属性信息,向所述终端反馈针对接入控制的请求响应。
本发明实施例中,在所述预设信息包括所述第一用户标识信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:根据所述第一用户标识信息,得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息;根据所述终端的公钥信息,对所述待验证的公钥信息以及所述私钥签名信息进行验证;所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:在验证通过的情况下,根据所述第一用户标识信息,从区块链账本中获取所述终端的属性信息。
其中,所述根据所述属性信息,向所述终端反馈针对接入控制的请求响应,包括:根据所述第一用户标识信息以及属性信息,向所述终端反馈针对接入控制的请求响应。
本发明实施例中,在所述预设信息包括所述第二用户标识信息以及公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据获取的所述终端的公钥信息,对所述预设信息中的公钥信息进行验证;或者,利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥的散列值;根据所述预设信息中的公钥信息,得到待验证的散列值;根据获取的所述终端的公钥的散列值,对所述待验证的散列值进行验证。
其中,在所述预设信息包括所述第二用户标识信息以及公钥的散列值的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据所述预设信息中的公钥的散列值,得到待验证的公钥信息;根据所述待验证的公钥信息,对所述私钥签名信息进行验证;并根据获取的所述终端的公钥信息,对所述待验证的公钥信息进行验证。
本发明实施例中,所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:在验证通过的情况下,根据所述第二用户标识信息,从区块链账本中获取所述终端的属性信息。
其中,所述根据所述属性信息,向所述终端反馈针对接入控制的请求响应,包括:根据所述第二用户标识信息以及属性信息,向所述终端反馈针对接入控制的请求响应。
本发明实施例中,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
其中,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳;所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:确认所述时间戳是否处于有效期内;在所述时间戳处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息,对所述终端进行验证。
具体可根据时间戳自身确认确定时间戳是否处于有效期内,但并不以此为限。
本发明实施例中,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项;所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:根据所述有效期信息,确认所述第一信息是否处于有效期内;在所述第一信息处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息,对所述终端进行验证。
关于“根据所述有效期信息,确认所述第一信息是否处于有效期内”具体可以为:首先根据区块链账本上存储的有效期信息(第二信息的有效期信息),核对预设信息中的有效期信息;在核对通过的情况下,根据所述有效期信息,确认所述第一信息是否处于有效期内。
其中,与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;在根据所述属性信息,向所述终端反馈针对接入控制的请求响应之前,还包括:使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密,得到所述第一密钥;根据所述第一密钥,针对从所述区块链账本中获取的所述加密信息进行解密,得到所述至少一个认证信息;其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
进一步的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,第二信息的有效期信息;其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
本发明实施例还提供了一种接入控制方法,应用于终端,如图2所示,包括:
步骤21:向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
步骤22:接收所述第一网络侧设备反馈的针对接入控制的请求响应;其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
本发明实施例提供的所述接入控制方法通过向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;接收所述第一网络侧设备反馈的针对接入控制的请求响应;其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,所述向第一网络侧设备发送对应于访问请求的待验证相关信息,包括:向第一网络侧设备发送访问请求,所述访问请求中携带有待验证相关信息;或者,向第一网络侧设备发送访问请求;接收所述第一网络侧设备根据所述访问请求反馈的随机数;根据所述随机数,向所述第一网络侧设备发送待验证相关信息。
本发明实施例中,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
其中,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳。
本发明实施例中,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述终端的属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项。
其中,与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
进一步的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,第二信息的有效期信息;其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
本发明实施例中,在向第一网络侧设备发送对应于访问请求的待验证相关信息之前,还包括:向第一区块链节点发送所述终端的待认证信息;其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息。
本发明实施例还提供了一种接入控制方法,应用于第一区块链节点,如图3所示,包括:
步骤31:接收终端发送的待认证信息;
步骤32:对所述待认证信息进行认证;
步骤33:在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
步骤32具体可以为:利用共识机制,对所述待认证信息进行认证。
本发明实施例提供的所述接入控制方法通过接收终端发送的待认证信息;对所述待认证信息进行认证;在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
进一步的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,第二信息的有效期信息;其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
其中,所述在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中,包括:随机生成用于加密的第一密钥;使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。
进一步的,在随机生成用于加密的第一密钥之后,还包括:使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。
针对采用多平台认证的情况:本发明实施例中,所述对所述待认证信息进行认证,包括:根据第一预设策略,将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证;接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息;根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果;和/或,
所述对所述待认证信息进行认证,包括:根据第一预设策略,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证;接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息;根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
其中,第一预设策略、第三预设策略和/或第三预设策略为预置的策略或在智能合约中约定的策略。
针对通过中间节点以采用多平台认证的情况:本发明实施例中,所述对所述待认证信息进行认证,包括:将所述待认证信息发送给第二区块链节点;接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息;并根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果;和/或,接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息;并根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
其中,第三预设策略和/或第三预设策略为预置的策略或在智能合约中约定的策略。
本发明实施例还提供了一种接入控制方法,应用于第二区块链节点,如图4所示,包括:
步骤41:接收第一区块链节点发送的终端的待认证信息;
步骤42:将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息,反馈给所述第一区块链节点;和/或,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证,并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息,反馈给所述第一区块链节点;其中,所述用户凭证信息包括用户标识信息。
本发明实施例提供的所述接入控制方法通过接收第一区块链节点发送的终端的待认证信息;将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息,反馈给所述第一区块链节点;和/或,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证,并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息,反馈给所述第一区块链节点;其中,所述用户凭证信息包括用户标识信息;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
本发明实施例还提供了一种接入控制方法,应用于第二网络侧设备,如图5所示,包括:
步骤51:接收区块链节点发送的待认证的终端的用户凭证信息;
步骤52:对所述用户凭证信息进行认证,得到第一认证结果,并使用第三签名信息进行签名;
步骤53:将所述第一认证结果以及第三签名信息反馈给所述区块链节点;其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;所述用户凭证信息包括用户标识信息。
本发明实施例提供的所述接入控制方法通过接收区块链节点发送的待认证的终端的用户凭证信息;对所述用户凭证信息进行认证,得到第一认证结果,并使用第三签名信息进行签名;将所述第一认证结果以及第三签名信息反馈给所述区块链节点;其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;所述用户凭证信息包括用户标识信息;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
本发明实施例还提供了一种接入控制方法,应用于第三网络侧设备,如图6所示,包括:
步骤61:接收区块链节点发送的待认证的终端的属性信息;
步骤62:对所述属性信息进行认证,得到第二认证结果,并使用第四签名信息进行签名;
步骤63:将所述第二认证结果以及第四签名信息反馈给所述区块链节点;其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点。
本发明实施例提供的所述接入控制方法通过接收区块链节点发送的待认证的终端的属性信息;对所述属性信息进行认证,得到第二认证结果,并使用第四签名信息进行签名;将所述第二认证结果以及第四签名信息反馈给所述区块链节点;其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
下面结合第一网络侧设备、第二网络侧设备、第三网络侧设备、终端、第一区块链节点以及第二区块链节点等多侧对本发明实施例提供的所述接入控制方法进行进一步说明。
针对上述技术问题,本发明实施例提供了一种接入控制方法,具体可实现为采用区块链实现接入控制的方法,涉及以区块链的方式向客户提供认证和验证服务,从而可以避免传统认证服务器遭受DDoS攻击导致的单点失败问题。
本发明实施例提供的接入控制方法的实现架构具体可如图7所示,其中涉及:用户(对应于上述终端)、区块链***(对应于上述区块链,包含第一区块链节点以及第二区块链节点)以及应用(对应于上述第一网络侧设备);具体的区块链***中的区块链网络节点由多个认证节点组成,其中认证节点主要负责对用户身份(对应于上述用户凭证信息)进行认证,并对用户的属性(对应于上述属性信息)进行认证,并将认证后的结果记录到区块链账本中;用户在访问业务***(对应于上述第一网络侧设备)时,业务***在区块链查询用户身份及属性信息。用户(客户端)和业务***(具体为该***中的应用(服务器))都拥有自己的公钥和私钥。
本方案中,用户(客户端)首先向区块链***提交认证请求(对应于上述待认证信息),其中包括身份认证信息(对应于上述用户凭证信息)和属性信息,区块链***中的认证节点分别对身份认证信息和属性信息进行认证,并将经过认证和共识的信息记录到区块链账本,主要流程如下:
操作1.用户(客户端)向区块链***提交身份认证信息和/或属性信息;
操作2.区块链节点(即上述第一区块链节点)对上述信息(身份认证信息和/或属性信息)进行认证(具体可为认证这些信息的正确性);
操作3.上述信息经区块链节点认证和共识之后,区块链节点将用户ID(对应于上述用户凭证信息,具体可对应于上述第一用户标识信息、第二用户标识信息或第三用户标识信息)和/或用户公钥散列值和/或用户公钥、用户属性信息(即上述终端的属性信息)、有效期(即上述有效期信息)等记录到区块链账本中;
可选地,为防止信息泄露,可以对数据进行加密存储。例如:记需要记录的数据明文为info,记录到区块链账本中的密文为:
(Epk_C(K),Ek(info)),其中pk_C为用户的公钥。其中,E表示加密、E的下标表示所使用的密钥、括号内表示数据;K为区块链节点随机生成的第一密钥。
操作4.用户向应用服务器(对应于上述第一网络侧设备)发起访问请求:
a)方式一(时间戳签名):其中包括时间戳,用户私钥对时间戳的签名(即上述第一签名信息),用户ID和/或用户公钥散列值和/或用户公钥、用户属性信息、有效期等信息在区块链中的位置(即上述位置信息),如果操作3未记录用户公钥(而是记录了散列值),则本操作中还需携带用户公钥。
b)方式二(随机数签名):请求不携带用户信息,应用服务器返回随机数,用户对使用私钥对随机数签名(即上述第二签名信息),并将签名以及用户ID和/或用户公钥散列值和/或用户公钥、用户属性信息、有效期等信息在区块链中的位置发送给应用服务器,如果操作3未记录用户公钥,则本操作中还需携带用户公钥。
此外,如果对数据进行了加密存储,上述两种方式中,访问请求还应包含解密密钥(即上述使用所述第一网络侧设备的公钥加密的所述第一密钥):
(Epk_S(K)),其中pk_S为应用服务器的公钥。
操作5.应用服务器在区块链账本中查询相关信息,对用户(客户端)进行验证:
a)方式一(时间戳签名):使用用户公钥验证对时间戳的签名是否正确,时间戳是否在有效期内,验证用户公钥或散列值是否与账本中记录的一致(或匹配)。若验证成功,则说明该用户即账本中的用户,账本中记录的属性信息即该用户的属性,应用服务器可以进一步利用该属性和用户ID进行访问授权(控制接入)。
b)方式二(随机数签名):使用用户公钥验证对随机数的签名是否正确,验证用户公钥或散列值是否与账本中记录的一致(或匹配)。若验证成功,则说明该用户即账本中的用户,账本中记录的属性信息即该用户的属性,应用服务器可以进一步利用该属性和用户ID进行访问授权。
此外,如果对数据进行了加密存储,上述两种方式中,应用服务器还应使用服务器私钥解密得出K,进一步对账本中的密文进行解密:
DK(Ek(info)),得出info,即用户信息(用户ID)及属性信息,其中D表示解密。
具体的,本发明实施例提供的所述接入控制方法可如图8所示(第一网络侧设备以应用服务器(网关)为例),包括:
步骤81:用户(客户端)向区块链节点(即上述第一区块链节点)发送认证请求(对应于上述待认证信息);
步骤82:区块链节点执行认证操作;
步骤83:认证通过,记录到区块链账本(用户ID和/或公钥,属性信息);
步骤84:区块链节点向用户(客户端)反馈认证响应;
步骤85:用户(客户端)向应用服务器(网关)发送访问请求;
步骤86:应用服务器(网关)向区块链账本查询用户认证信息及属性信息;
步骤87:应用服务器(网关)根据查询到的信息对用户(客户端)进行验证;
步骤88:应用服务器(网关)向用户(客户端)反馈请求响应。
此外,上述操作2认证过程中,如果身份认证信息和属性信息需要由不同的节点进行认证,那么具体流程可如下:
方式一,该方式需要为认证信息(即身份认证信息)和属性信息制定认证策略(包含上述第一预设策略、第二预设策略以及第三预设策略),策略中应包括信息转发策略(即上述第一预设策略),如图9所示:
a)区块链节点在接收的身份认证信息和属性信息之后,根据策略,分别将认证信息和属性信息转发至相应的认证节点(对应于上述将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证);不同的认证节点可以认证不同的认证信息或者属性信息,比如属性认证节点1认证属性1,属性认证节点2认证属性2,在此不作限定。
b)认证信息认证节点和属性认证节点分别对上述信息进行认证,对认证结果进行签名;
具体的,认证信息认证节点可以是认证服务器;例如用户提交了用户名口令认证信息,区块链节点将认证信息转发至认证信息认证节点,认证信息认证节点对用户名口令进行认证。这里认证信息认证节点1和2可以类比为微信和支付宝,用户提交哪个口令,区块链节点就把认证信息提交给相应的认证信息认证节点。
c)认证信息认证节点和属性认证节点返回验证结果(对应于上述第一认证结果、第二认证结果)及其对结果的签名(对应于上述第三签名信息、第四签名信息);
d)区块链节点根据接收到的认证结果以及签名,确定最终认证结果(对应于上述第一最终结果、第二最终结果)。
方式二,该方式需要使用中间节点(即上述第二区块链节点),如图10所示:
a)区块链节点(即上述第一区块链节点)在接收的身份认证信息和属性信息之后,将认证信息和属性信息转发至中间节点;
b)中间节点将认证信息和属性信息转发至相应的认证节点(对应于上述将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证);不同的认证节点可以认证不同的认证信息或者属性信息,比如属性认证节点1认证属性1,属性认证节点2认证属性2,在此不作限定。
c)认证信息认证节点和属性认证节点分别对上述信息进行认证,对认证结果进行签名;
具体的,认证信息认证节点可以是认证服务器;例如用户提交了用户名口令认证信息,区块链节点将认证信息转发至认证信息认证节点,认证信息认证节点对用户名口令进行认证。这里认证信息认证节点1和2可以类比为微信和支付宝,用户提交哪个口令,区块链节点就把认证信息提交给相应的认证信息认证节点。
d)认证信息认证节点和属性认证节点将认证结果(对应于上述第一认证结果、第二认证结果)及其对结果的签名(对应于上述第三签名信息、第四签名信息)发送至中间节点;
e)区块链节点从中间节点获取认证结果以及签名,确定最终认证结果(对应于上述第一最终结果、第二最终结果)。
这种方式可以可降低开销,减少信息交互。
下面对本发明实施例提供的方案进行举例说明。
举例1:统一认证(本举例中针对上述操作5提供另一实现方式);
该举例中,区块链充当统一认证平台的角色,用户向区块链***提交认证请求,区块链节点(对应于上述第一区块链节点)对用户进行认证,并将用户信息、公钥信息及属性信息记录到区块链账本中。当用户向应用***提交访问请求时,应用***需要验证用户签名,确保用户公钥正确性,之后根据公钥在区块链中查询用户信息及属性信息,实现对用户的认证。
1.用户向区块链发起认证请求,携带待认证信息;
2.区块链***对用户提供的待认证信息进行认证,认证通过后,将用户的身份或者属性信息记录到区块链账本中;
3.用户向应用***发起访问请求,其中携带用户私钥对时间戳的签名,或者应用***向用户发送一随机数,用户使用私钥对随机数进行签名并发送给应用***。可选地,请求中还可以携带用户身份或属性信息在区块链中记录的位置。
4.访问请求中携带公钥的情况下,应用***可以直接用公钥验证用户的签名,如果签名正确,就可以使用公钥在区块链中查询用户的身份(用户ID)和属性信息。
5.应用***可以进一步利用该属性以及用户的身份进行访问授权。
举例2:双重认证(对应于上述图9和图10的认证方式);
在某些高安全级别的应用场景,需要对用户身份实施非常严格认证措施,例如,需要有两个或多个认证机构提供的认证信息。该实施例中,用户具有两个认证平台(例如微信平台和支付宝平台)的认证信息,用户向区块链***提交认证请求,该请求中可以包括多个认证平台(例如微信平台和支付宝平台)的认证数据,区块链节点提取到用户认证数据,并将用户认证数据以图9或图10中的方式分别发送给相应的认证平台进行认证,认证平台根据用户的认证数据对用户进行认证,并将认证结果返回给区块链节点。区块链节点根据收到的认证结果,利用预置的策略或在智能合约中约定的策略对认证结果进行处理。由于认证节点可以获取到上述两个认证平台对用户的认证结果,从而可以实现对用户身份的双重认证。
由上可知,本发明实施例提供的方案,具体涉及一种基于区块链的接入控制方法:用户(客户端)向区块链***提交认证请求;区块链对认证信息和属性信息进行认证,并将经过认证和共识的信息记录到区块链账本;用户在访问业务***时,业务***在区块链查询用户身份及属性信息。
其中,具体的可以是:用户(客户端)向区块链***提交认证请求,其中包括认证信息和属性信息;区块链节点向相应的认证信息认证节点和属性信息认证节点发送认证请求;相应的认证信息认证节点和属性信息认证节点认证请求,并反馈认证结果;区块链节点处理认证结果。
综上所述,本发明实施例提供的方案能够避免单点失败问题;且使用智能合约实现认证授权,节点在被篡改的情况下不影响正常业务。
本发明实施例还提供了一种接入控制装置,应用于第一网络侧设备,如图11所示,包括:
第一接收模块111,用于接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
第一获取模块112,用于根据所述位置信息,从区块链中获取所述预设信息;
第一验证模块113,用于根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;
第二接收模块114,用于在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;
第一反馈模块115,用于根据所述属性信息,向所述终端反馈针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
本发明实施例提供的所述接入控制装置通过接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;根据所述位置信息,从区块链中获取所述预设信息;根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;根据所述属性信息,向所述终端反馈针对接入控制的请求响应;其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,所述接收终端发送的对应于访问请求的待验证相关信息,包括:接收所述终端发送的访问请求,所述访问请求中携带有待验证相关信息;或者,接收所述终端发送的访问请求;根据所述访问请求,向所述终端反馈随机数;接收所述终端根据所述随机数发送的待验证相关信息。
本发明实施例中,在所述预设信息包括所述终端的公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:利用所述公钥信息对所述私钥签名信息进行验证;所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:在验证通过的情况下,根据所述公钥信息,从区块链账本中获取对应的第三用户标识信息;在获取到所述第三用户标识信息的情况下,从区块链账本中获取所述第三用户标识信息对应的属性信息作为所述终端的属性信息。
其中,在所述预设信息包括所述第一用户标识信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:根据所述第一用户标识信息,得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息;根据所述终端的公钥信息,对所述待验证的公钥信息以及所述私钥签名信息进行验证;所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:在验证通过的情况下,根据所述第一用户标识信息,从区块链账本中获取所述终端的属性信息。
本发明实施例中,在所述预设信息包括所述第二用户标识信息以及公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据获取的所述终端的公钥信息,对所述预设信息中的公钥信息进行验证;或者,利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥的散列值;根据所述预设信息中的公钥信息,得到待验证的散列值;根据获取的所述终端的公钥的散列值,对所述待验证的散列值进行验证。
其中,在所述预设信息包括所述第二用户标识信息以及公钥的散列值的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据所述预设信息中的公钥的散列值,得到待验证的公钥信息;根据所述待验证的公钥信息,对所述私钥签名信息进行验证;并根据获取的所述终端的公钥信息,对所述待验证的公钥信息进行验证。
本发明实施例中,所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:在验证通过的情况下,根据所述第二用户标识信息,从区块链账本中获取所述终端的属性信息。
其中,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
本发明实施例中,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳;所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:确认所述时间戳是否处于有效期内;在所述时间戳处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息,对所述终端进行验证。
其中,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项;所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:根据所述有效期信息,确认所述第一信息是否处于有效期内;在所述第一信息处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息,对所述终端进行验证。
本发明实施例中,与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;所述接入控制装置还包括:第一解密模块,用于在根据所述属性信息,向所述终端反馈针对接入控制的请求响应之前,使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密,得到所述第一密钥;第二解密模块,用于根据所述第一密钥,针对从所述区块链账本中获取的所述加密信息进行解密,得到所述至少一个认证信息;其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
进一步的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,第二信息的有效期信息;其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
其中,上述第一网络侧设备侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种接入控制装置,应用于终端,如图12所示,包括:
第一发送模块121,用于向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
第三接收模块122,用于接收所述第一网络侧设备反馈的针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
本发明实施例提供的所述接入控制装置通过向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;接收所述第一网络侧设备反馈的针对接入控制的请求响应;其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,所述向第一网络侧设备发送对应于访问请求的待验证相关信息,包括:向第一网络侧设备发送访问请求,所述访问请求中携带有待验证相关信息;或者,向第一网络侧设备发送访问请求;接收所述第一网络侧设备根据所述访问请求反馈的随机数;根据所述随机数,向所述第一网络侧设备发送待验证相关信息。
本发明实施例中,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
其中,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳。
进一步的,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述终端的属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项。
其中,与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
进一步的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,第二信息的有效期信息;其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
进一步的,所述的接入控制装置,还包括:第二发送模块,用于在向第一网络侧设备发送对应于访问请求的待验证相关信息之前,向第一区块链节点发送所述终端的待认证信息;其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息。
其中,上述终端侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种接入控制装置,应用于第一区块链节点,如图13所示,包括:
第四接收模块131,用于接收终端发送的待认证信息;
第一认证模块132,用于对所述待认证信息进行认证;
第一存储模块133,用于在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;
所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
本发明实施例提供的所述接入控制装置通过接收终端发送的待认证信息;对所述待认证信息进行认证;在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
进一步的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,第二信息的有效期信息;其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
其中,所述在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中,包括:随机生成用于加密的第一密钥;使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。
进一步的,所述的接入控制装置,还包括:第一处理模块,用于在随机生成用于加密的第一密钥之后,使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。
其中,所述对所述待认证信息进行认证,包括:根据第一预设策略,将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证;接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息;根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果。
本发明实施例中,所述对所述待认证信息进行认证,包括:根据第一预设策略,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证;接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息;根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
其中,所述对所述待认证信息进行认证,包括:将所述待认证信息发送给第二区块链节点;接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息;并根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果;和/或,接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息;并根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
其中,上述第一区块链节点侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种接入控制装置,应用于第二区块链节点,如图14所示,包括:
第五接收模块141,用于接收第一区块链节点发送的终端的待认证信息;
第二处理模块142,用于将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息,反馈给所述第一区块链节点;和/或,
第三处理模块143,用于将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证,并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息,反馈给所述第一区块链节点;
其中,所述用户凭证信息包括用户标识信息。
本发明实施例提供的所述接入控制装置通过接收第一区块链节点发送的终端的待认证信息;将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息,反馈给所述第一区块链节点;和/或,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证,并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息,反馈给所述第一区块链节点;其中,所述用户凭证信息包括用户标识信息;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,上述第二区块链节点侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种接入控制装置,应用于第二网络侧设备,如图15所示,包括:
第六接收模块151,用于接收区块链节点发送的待认证的终端的用户凭证信息;
第四处理模块152,用于对所述用户凭证信息进行认证,得到第一认证结果,并使用第三签名信息进行签名;
第二反馈模块153,用于将所述第一认证结果以及第三签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;
所述用户凭证信息包括用户标识信息。
本发明实施例提供的所述接入控制装置通过接收区块链节点发送的待认证的终端的用户凭证信息;对所述用户凭证信息进行认证,得到第一认证结果,并使用第三签名信息进行签名;将所述第一认证结果以及第三签名信息反馈给所述区块链节点;其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;所述用户凭证信息包括用户标识信息;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,上述第二网络侧设备侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种接入控制装置,应用于第三网络侧设备,如图16所示,包括:
第七接收模块161,用于接收区块链节点发送的待认证的终端的属性信息;
第五处理模块162,用于对所述属性信息进行认证,得到第二认证结果,并使用第四签名信息进行签名;
第三反馈模块163,用于将所述第二认证结果以及第四签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点。
本发明实施例提供的所述接入控制装置通过接收区块链节点发送的待认证的终端的属性信息;对所述属性信息进行认证,得到第二认证结果,并使用第四签名信息进行签名;将所述第二认证结果以及第四签名信息反馈给所述区块链节点;其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,上述第三网络侧设备侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种网络侧设备,所述网络侧设备为第一网络侧设备,如图17所示,包括:处理器171和收发机172;
所述处理器171,用于通过所述收发机172接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
根据所述位置信息,从区块链中获取所述预设信息;
根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;
在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;
根据所述属性信息,通过所述收发机172向所述终端反馈针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
本发明实施例提供的所述网络侧设备通过接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;根据所述位置信息,从区块链中获取所述预设信息;根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;根据所述属性信息,向所述终端反馈针对接入控制的请求响应;其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,所述接收终端发送的对应于访问请求的待验证相关信息,包括:接收所述终端发送的访问请求,所述访问请求中携带有待验证相关信息;或者,接收所述终端发送的访问请求;根据所述访问请求,向所述终端反馈随机数;接收所述终端根据所述随机数发送的待验证相关信息。
本发明实施例中,在所述预设信息包括所述终端的公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:利用所述公钥信息对所述私钥签名信息进行验证;所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:在验证通过的情况下,根据所述公钥信息,从区块链账本中获取对应的第三用户标识信息;在获取到所述第三用户标识信息的情况下,从区块链账本中获取所述第三用户标识信息对应的属性信息作为所述终端的属性信息。
其中,在所述预设信息包括所述第一用户标识信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:根据所述第一用户标识信息,得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息;根据所述终端的公钥信息,对所述待验证的公钥信息以及所述私钥签名信息进行验证;所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:在验证通过的情况下,根据所述第一用户标识信息,从区块链账本中获取所述终端的属性信息。
本发明实施例中,在所述预设信息包括所述第二用户标识信息以及公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据获取的所述终端的公钥信息,对所述预设信息中的公钥信息进行验证;或者,利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥的散列值;根据所述预设信息中的公钥信息,得到待验证的散列值;根据获取的所述终端的公钥的散列值,对所述待验证的散列值进行验证。
其中,在所述预设信息包括所述第二用户标识信息以及公钥的散列值的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据所述预设信息中的公钥的散列值,得到待验证的公钥信息;根据所述待验证的公钥信息,对所述私钥签名信息进行验证;并根据获取的所述终端的公钥信息,对所述待验证的公钥信息进行验证。
本发明实施例中,所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:在验证通过的情况下,根据所述第二用户标识信息,从区块链账本中获取所述终端的属性信息。
其中,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
本发明实施例中,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳;所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:确认所述时间戳是否处于有效期内;在所述时间戳处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息,对所述终端进行验证。
其中,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项;所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:根据所述有效期信息,确认所述第一信息是否处于有效期内;在所述第一信息处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息,对所述终端进行验证。
本发明实施例中,与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;所述处理器还用于:在根据所述属性信息,向所述终端反馈针对接入控制的请求响应之前,使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密,得到所述第一密钥;根据所述第一密钥,针对从所述区块链账本中获取的所述加密信息进行解密,得到所述至少一个认证信息;其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
进一步的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,第二信息的有效期信息;其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
其中,上述第一网络侧设备侧的接入控制方法的所述实现实施例均适用于该网络侧设备的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种终端,如图18所示,包括:处理器181和收发机182;
所述处理器181,用于通过所述收发机182向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
通过所述收发机182接收所述第一网络侧设备反馈的针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
本发明实施例提供的所述终端通过向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;接收所述第一网络侧设备反馈的针对接入控制的请求响应;其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
本发明实施例中,所述向第一网络侧设备发送对应于访问请求的待验证相关信息,包括:向第一网络侧设备发送访问请求,所述访问请求中携带有待验证相关信息;或者,向第一网络侧设备发送访问请求;接收所述第一网络侧设备根据所述访问请求反馈的随机数;根据所述随机数,向所述第一网络侧设备发送待验证相关信息。
其中,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
本发明实施例中,在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳。
其中,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述终端的属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项。
本发明实施例中,与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
进一步的,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,第二信息的有效期信息;其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
本发明实施例中,所述处理器还用于:在向第一网络侧设备发送对应于访问请求的待验证相关信息之前,通过所述收发机向第一区块链节点发送所述终端的待认证信息;其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息。
其中,上述终端侧的接入控制方法的所述实现实施例均适用于该终端的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种区块链节点,所述区块链节点为第一区块链节点,如图19所示,包括:处理器191和收发机192;
所述处理器191,用于通过所述收发机192接收终端发送的待认证信息;
对所述待认证信息进行认证;
在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;
所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
本发明实施例提供的所述区块链节点通过接收终端发送的待认证信息;对所述待认证信息进行认证;在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,第二信息的有效期信息;其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
本发明实施例中,所述在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中,包括:随机生成用于加密的第一密钥;使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。
其中,所述处理器还用于:在随机生成用于加密的第一密钥之后,使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。
本发明实施例中,所述对所述待认证信息进行认证,包括:根据第一预设策略,将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证;接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息;根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果。
其中,所述对所述待认证信息进行认证,包括:根据第一预设策略,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证;接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息;根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
本发明实施例中,所述对所述待认证信息进行认证,包括:将所述待认证信息发送给第二区块链节点;接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息;并根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果;和/或,接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息;并根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
其中,上述第一区块链节点侧的接入控制方法的所述实现实施例均适用于该区块链节点的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种区块链节点,所述区块链节点为第二区块链节点,如图20所示,包括:处理器201和收发机202;
所述处理器201,用于通过所述收发机202接收第一区块链节点发送的终端的待认证信息;
通过所述收发机202将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息,反馈给所述第一区块链节点;和/或,
通过所述收发机202将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证,并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息,反馈给所述第一区块链节点;
其中,所述用户凭证信息包括用户标识信息。
本发明实施例提供的所述区块链节点通过接收第一区块链节点发送的终端的待认证信息;将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证,并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息,反馈给所述第一区块链节点;和/或,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证,并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息,反馈给所述第一区块链节点;其中,所述用户凭证信息包括用户标识信息;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,上述第二区块链节点侧的接入控制方法的所述实现实施例均适用于该区块链节点的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种网络侧设备,所述网络侧设备为第二网络侧设备,如图21所示,包括:处理器211和收发机212;
所述处理器211,用于通过所述收发机212接收区块链节点发送的待认证的终端的用户凭证信息;
对所述用户凭证信息进行认证,得到第一认证结果,并使用第三签名信息进行签名;
通过所述收发机212将所述第一认证结果以及第三签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;
所述用户凭证信息包括用户标识信息。
本发明实施例提供的所述网络侧设备通过接收区块链节点发送的待认证的终端的用户凭证信息;对所述用户凭证信息进行认证,得到第一认证结果,并使用第三签名信息进行签名;将所述第一认证结果以及第三签名信息反馈给所述区块链节点;其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;所述用户凭证信息包括用户标识信息;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,上述第二网络侧设备侧的接入控制方法的所述实现实施例均适用于该网络侧设备的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种网络侧设备,所述网络侧设备为第三网络侧设备,如图22所示,包括:处理器221和收发机222;
所述处理器221,用于通过所述收发机222接收区块链节点发送的待认证的终端的属性信息;
对所述属性信息进行认证,得到第二认证结果,并使用第四签名信息进行签名;
通过所述收发机222将所述第二认证结果以及第四签名信息反馈给所述区块链节点;
其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点。
本发明实施例提供的所述网络侧设备通过接收区块链节点发送的待认证的终端的属性信息;对所述属性信息进行认证,得到第二认证结果,并使用第四签名信息进行签名;将所述第二认证结果以及第四签名信息反馈给所述区块链节点;其中,所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点;能够支撑实现采用区块链进行接入控制的方案,而以区块链的方式向客户提供属性验证服务,可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。
其中,上述第三网络侧设备侧的接入控制方法的所述实现实施例均适用于该网络侧设备的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种网络侧设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述第一网络侧设备侧的接入控制方法;或者,所述处理器执行所述程序时实现上述第二网络侧设备侧的接入控制方法;或者,所述处理器执行所述程序时实现上述第三网络侧设备侧的接入控制方法。
其中,上述第一网络侧设备侧、第二网络侧设备侧或第三网络侧设备侧的接入控制方法的所述实现实施例均适用于该网络侧设备的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述终端侧的接入控制方法。
其中,上述终端侧的接入控制方法的所述实现实施例均适用于该终端的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种区块链节点,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述第一区块链节点侧的接入控制方法;或者,所述处理器执行所述程序时实现上述第二区块链节点侧的接入控制方法。
其中,上述第一区块链节点侧或第二区块链节点侧的接入控制方法的所述实现实施例均适用于该区块链节点的实施例中,也能达到对应相同的技术效果。
本发明实施例还提供了一种可读存储介质,其上存储有程序,该程序被处理器执行时实现上述第一网络侧设备侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述终端侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述第一区块链节点侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述第二区块链节点侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述第二网络侧设备侧的接入控制方法中的步骤;或者,该程序被处理器执行时实现上述第三网络侧设备侧的接入控制方法中的步骤。
其中,上述第一网络侧设备侧、终端侧、第一区块链节点侧、第二区块链节点侧、第二网络侧设备侧或第三网络侧设备侧的接入控制方法的所述实现实施例均适用于该可读存储介质的实施例中,也能达到对应相同的技术效果。
需要说明的是,此说明书中所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同位里上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于***或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述原理前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (34)

1.一种接入控制方法,应用于第一网络侧设备,其特征在于,包括:
接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
根据所述位置信息,从区块链中获取所述预设信息;
根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;
在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;
根据所述属性信息,向所述终端反馈针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
2.根据权利要求1所述的接入控制方法,其特征在于,所述接收终端发送的对应于访问请求的待验证相关信息,包括:
接收所述终端发送的访问请求,所述访问请求中携带有待验证相关信息;或者,
接收所述终端发送的访问请求;
根据所述访问请求,向所述终端反馈随机数;
接收所述终端根据所述随机数发送的待验证相关信息。
3.根据权利要求1所述的接入控制方法,其特征在于,在所述预设信息包括所述终端的公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
利用所述公钥信息对所述私钥签名信息进行验证;
所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述公钥信息,从区块链账本中获取对应的第三用户标识信息;
在获取到所述第三用户标识信息的情况下,从区块链账本中获取所述第三用户标识信息对应的属性信息作为所述终端的属性信息。
4.根据权利要求1所述的接入控制方法,其特征在于,在所述预设信息包括所述第一用户标识信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述第一用户标识信息,得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息;
根据所述终端的公钥信息,对所述待验证的公钥信息以及所述私钥签名信息进行验证;
所述在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息,包括:
在验证通过的情况下,根据所述第一用户标识信息,从区块链账本中获取所述终端的属性信息。
5.根据权利要求1所述的接入控制方法,其特征在于,在所述预设信息包括所述第二用户标识信息以及公钥信息的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;根据获取的所述终端的公钥信息,对所述预设信息中的公钥信息进行验证;或者,
利用所述预设信息中的公钥信息对所述私钥签名信息进行验证;并根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥的散列值;根据所述预设信息中的公钥信息,得到待验证的散列值;根据获取的所述终端的公钥的散列值,对所述待验证的散列值进行验证。
6.根据权利要求1所述的接入控制方法,其特征在于,在所述预设信息包括所述第二用户标识信息以及公钥的散列值的情况下,所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述第二用户标识信息,从区块链账本中获取已存储的所述终端的公钥信息;
根据所述预设信息中的公钥的散列值,得到待验证的公钥信息;
根据所述待验证的公钥信息,对所述私钥签名信息进行验证;并根据获取的所述终端的公钥信息,对所述待验证的公钥信息进行验证。
7.根据权利要求1或2所述的接入控制方法,其特征在于,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息;
在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳;
所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
确认所述时间戳是否处于有效期内;
在所述时间戳处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息,对所述终端进行验证。
8.根据权利要求1所述的接入控制方法,其特征在于,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项;
所述根据所述私钥签名信息以及所述预设信息,对所述终端进行验证,包括:
根据所述有效期信息,确认所述第一信息是否处于有效期内;
在所述第一信息处于有效期内的情况下,根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息,对所述终端进行验证。
9.根据权利要求1所述的接入控制方法,其特征在于,与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;
在根据所述属性信息,向所述终端反馈针对接入控制的请求响应之前,还包括:
使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密,得到所述第一密钥;
根据所述第一密钥,针对从所述区块链账本中获取的所述加密信息进行解密,得到所述至少一个认证信息;
其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
10.根据权利要求9所述的接入控制方法,其特征在于,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
11.一种接入控制方法,应用于终端,其特征在于,包括:
向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
接收所述第一网络侧设备根据属性信息反馈的针对接入控制的请求响应;其中,所述属性信息是所述第一网络侧设备在根据所述私钥签名信息以及所述预设信息对所述终端验证通过的情况下,根据所述预设信息,从区块链账本中获取的;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
12.根据权利要求11所述的接入控制方法,其特征在于,所述向第一网络侧设备发送对应于访问请求的待验证相关信息,包括:
向第一网络侧设备发送访问请求,所述访问请求中携带有待验证相关信息;或者,
向第一网络侧设备发送访问请求;
接收所述第一网络侧设备根据所述访问请求反馈的随机数;
根据所述随机数,向所述第一网络侧设备发送待验证相关信息。
13.根据权利要求11或12所述的接入控制方法,其特征在于,所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息,或者,采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息;
在所述私钥签名信息包括第一签名信息的情况下,所述待验证相关信息还包括所述时间戳。
14.根据权利要求11所述的接入控制方法,其特征在于,所述预设信息还包括第一信息的有效期信息;所述第一信息包括所述终端的属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项。
15.根据权利要求11所述的接入控制方法,其特征在于,与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息;所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥;
其中,所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
16.根据权利要求15所述的接入控制方法,其特征在于,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
17.根据权利要求11所述的接入控制方法,其特征在于,在向第一网络侧设备发送对应于访问请求的待验证相关信息之前,还包括:
向第一区块链节点发送所述终端的待认证信息;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息。
18.一种接入控制方法,应用于第一区块链节点,其特征在于,包括:
接收终端发送的待认证信息;
对所述待认证信息进行认证;
在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;
所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
19.根据权利要求18所述的接入控制方法,其特征在于,所述至少一个认证信息还包括:所述终端对应的时间戳;和/或,
第二信息的有效期信息;
其中,所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳;
所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。
20.根据权利要求18所述的接入控制方法,其特征在于,所述在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中,包括:
随机生成用于加密的第一密钥;
使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。
21.根据权利要求20所述的接入控制方法,其特征在于,在随机生成用于加密的第一密钥之后,还包括:
使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。
22.根据权利要求18所述的接入控制方法,其特征在于,所述对所述待认证信息进行认证,包括:
根据第一预设策略,将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证;
接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息;
根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果。
23.根据权利要求18所述的接入控制方法,其特征在于,所述对所述待认证信息进行认证,包括:
根据第一预设策略,将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证;
接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息;
根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
24.根据权利要求18所述的接入控制方法,其特征在于,所述对所述待认证信息进行认证,包括:
将所述待认证信息发送给第二区块链节点;
接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息;并根据第二预设策略、所述第一认证结果以及第三签名信息,得到所述用户凭证信息是否认证通过的第一最终结果;和/或,
接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息;并根据第三预设策略、所述第二认证结果以及第四签名信息,得到所述属性信息是否认证通过的第二最终结果。
25.一种接入控制装置,应用于第一网络侧设备,其特征在于,包括:
第一接收模块,用于接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
第一获取模块,用于根据所述位置信息,从区块链中获取所述预设信息;
第一验证模块,用于根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;
第二接收模块,用于在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;
第一反馈模块,用于根据所述属性信息,向所述终端反馈针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
26.一种接入控制装置,应用于终端,其特征在于,包括:
第一发送模块,用于向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
第三接收模块,用于接收所述第一网络侧设备根据属性信息反馈的针对接入控制的请求响应;其中,所述属性信息是所述第一网络侧设备在根据所述私钥签名信息以及所述预设信息对所述终端验证通过的情况下,根据所述预设信息,从区块链账本中获取的;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
27.一种接入控制装置,应用于第一区块链节点,其特征在于,包括:
第四接收模块,用于接收终端发送的待认证信息;
第一认证模块,用于对所述待认证信息进行认证;
第一存储模块,用于在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;
所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
28.一种网络侧设备,所述网络侧设备为第一网络侧设备,其特征在于,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收终端发送的对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
根据所述位置信息,从区块链中获取所述预设信息;
根据所述私钥签名信息以及所述预设信息,对所述终端进行验证;
在验证通过的情况下,根据所述预设信息,从区块链账本中获取所述终端的属性信息;
根据所述属性信息,通过所述收发机向所述终端反馈针对接入控制的请求响应;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
29.一种终端,其特征在于,包括:处理器和收发机;
所述处理器,用于通过所述收发机向第一网络侧设备发送对应于访问请求的待验证相关信息;其中,所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息;
通过所述收发机接收所述第一网络侧设备根据属性信息反馈的针对接入控制的请求响应;其中,所述属性信息是所述第一网络侧设备在根据所述私钥签名信息以及所述预设信息对所述终端验证通过的情况下,根据所述预设信息,从区块链账本中获取的;
其中,所述预设信息包括所述终端的公钥信息,或者根据所述终端的公钥得到的第一用户标识信息,或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息,或者所述第二用户标识信息以及所述终端的公钥的散列值。
30.一种区块链节点,所述区块链节点为第一区块链节点,其特征在于,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收终端发送的待认证信息;
对所述待认证信息进行认证;
在认证通过的情况下,将与所述待认证信息对应的至少一个认证信息存储在区块链账本中;
其中,所述待认证信息包括用户凭证信息和/或属性信息;所述用户凭证信息包括用户标识信息;
所述至少一个认证信息包括:所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息,以及,所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
31.一种网络侧设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求1至10中任一项所述的接入控制方法。
32.一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求11至17中任一项所述的接入控制方法。
33.一种区块链节点,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求18至24中任一项所述的接入控制方法。
34.一种可读存储介质,其上存储有程序,其特征在于,该程序被处理器执行时实现如权利要求1至10中任一项所述的接入控制方法中的步骤;或者,
该程序被处理器执行时实现如权利要求11至17中任一项所述的接入控制方法中的步骤;或者,
该程序被处理器执行时实现如权利要求18至24中任一项所述的接入控制方法中的步骤。
CN202011591112.0A 2020-12-29 2020-12-29 接入控制方法、装置、网络侧设备、终端及区块链节点 Active CN114697061B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN202011591112.0A CN114697061B (zh) 2020-12-29 2020-12-29 接入控制方法、装置、网络侧设备、终端及区块链节点
US18/259,518 US20240064021A1 (en) 2020-12-29 2021-12-27 Access control method, apparatus, network side device, terminal and blockchain node
PCT/CN2021/141520 WO2022143498A1 (zh) 2020-12-29 2021-12-27 接入控制方法、装置、网络侧设备、终端及区块链节点
JP2023539818A JP2024501326A (ja) 2020-12-29 2021-12-27 アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
EP21914235.3A EP4274192A1 (en) 2020-12-29 2021-12-27 Access control method and apparatus, and network-side device, terminal and blockchain node

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011591112.0A CN114697061B (zh) 2020-12-29 2020-12-29 接入控制方法、装置、网络侧设备、终端及区块链节点

Publications (2)

Publication Number Publication Date
CN114697061A CN114697061A (zh) 2022-07-01
CN114697061B true CN114697061B (zh) 2023-05-09

Family

ID=82132066

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011591112.0A Active CN114697061B (zh) 2020-12-29 2020-12-29 接入控制方法、装置、网络侧设备、终端及区块链节点

Country Status (5)

Country Link
US (1) US20240064021A1 (zh)
EP (1) EP4274192A1 (zh)
JP (1) JP2024501326A (zh)
CN (1) CN114697061B (zh)
WO (1) WO2022143498A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277021A (zh) * 2022-07-29 2022-11-01 蚂蚁区块链科技(上海)有限公司 一种防范网络攻击的方法及装置
CN116032591B (zh) * 2022-12-23 2024-07-19 迈普通信技术股份有限公司 一种哑终端仿冒识别方法及***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108064440A (zh) * 2017-05-25 2018-05-22 深圳前海达闼云端智能科技有限公司 基于区块链的fido认证方法、装置及***
CN110493007A (zh) * 2019-09-06 2019-11-22 腾讯科技(深圳)有限公司 一种基于区块链的信息验证方法、装置、设备及存储介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101919586B1 (ko) * 2017-05-10 2018-11-16 주식회사 코인플러그 블록체인 기반의 사물 인터넷 기기에 대한 비용을 결제하는 방법, 이를 이용한 서버, 서비스 제공 단말, 및 사용자 전자 지갑
WO2019104690A1 (zh) * 2017-11-30 2019-06-06 深圳前海达闼云端智能科技有限公司 移动网络接入认证方法、装置、存储介质及区块链节点
KR102254499B1 (ko) * 2018-03-30 2021-05-21 주식회사 코인플러그 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
KR102118947B1 (ko) * 2018-12-31 2020-06-16 주식회사 코인플러그 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
CN109495516A (zh) * 2019-01-07 2019-03-19 国网江苏省电力有限公司无锡供电分公司 基于区块链的电力物联网终端接入方法
CN111601280B (zh) * 2020-05-14 2022-08-19 中国联合网络通信集团有限公司 一种接入验证方法及装置
CN111949953B (zh) * 2020-06-23 2021-10-22 卓尔智联(武汉)研究院有限公司 基于区块链的身份认证方法、***、装置和计算机设备
CN112039872B (zh) * 2020-08-28 2022-07-05 武汉见邦融智科技有限公司 基于区块链的跨域匿名认证方法及***

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108064440A (zh) * 2017-05-25 2018-05-22 深圳前海达闼云端智能科技有限公司 基于区块链的fido认证方法、装置及***
CN110493007A (zh) * 2019-09-06 2019-11-22 腾讯科技(深圳)有限公司 一种基于区块链的信息验证方法、装置、设备及存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
S Ding,J Cao,C Li,K Fan,H Li.A novel attribute-based access control scheme using blockchain for IOT.《IEEE》.2019,全文. *
周艺华 ; 李洪明 ; .基于区块链的数据管理方案.信息安全研究.2020,(01),全文. *
胡兆鹏 ; 丁卫平 ; 高瞻 ; 朱晓辉 ; 王杰华 ; .一种基于区块链技术的多阶段级联无线安全认证方案.计算机科学.(12),全文. *

Also Published As

Publication number Publication date
EP4274192A1 (en) 2023-11-08
JP2024501326A (ja) 2024-01-11
CN114697061A (zh) 2022-07-01
WO2022143498A1 (zh) 2022-07-07
US20240064021A1 (en) 2024-02-22

Similar Documents

Publication Publication Date Title
US6490679B1 (en) Seamless integration of application programs with security key infrastructure
CA2619420C (en) Distributed single sign-on service
CN108964885B (zh) 鉴权方法、装置、***和存储介质
US8607045B2 (en) Tokencode exchanges for peripheral authentication
US7644278B2 (en) Method for securely creating an endorsement certificate in an insecure environment
US7694329B2 (en) Secure delegation using public key authentication
US8024488B2 (en) Methods and apparatus to validate configuration of computerized devices
US8893242B2 (en) System and method for pool-based identity generation and use for service access
US20140109179A1 (en) Multiple server access management
US20010020274A1 (en) Platform-neutral system and method for providing secure remote operations over an insecure computer network
US7571311B2 (en) Scheme for sub-realms within an authentication protocol
US20120311330A1 (en) Method and system for single sign-on
CN108173827B (zh) 基于区块链思维的分布式sdn控制平面安全认证方法
KR101817152B1 (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
CN114697061B (zh) 接入控制方法、装置、网络侧设备、终端及区块链节点
CN114629713B (zh) 身份验证方法、装置及***
CN108521424A (zh) 面向异构终端设备的分布式数据处理方法
CN114764492A (zh) 基于区块链的sdp访问控制方法及***
CN108616517A (zh) 高可靠云平台服务提供方法
CN114039748A (zh) 身份验证方法、***、计算机设备和存储介质
CN114765551A (zh) 基于区块链的sdp访问控制方法及装置
CN107483462B (zh) 一种外发u盘的操作权限管理***及方法
CN108449358A (zh) 基于云的低延时安全计算方法
TWI824239B (zh) 透過伺服器檢核密碼錯誤次數以完成作業之系統、裝置及方法
KR102162108B1 (ko) Nfv 환경을 위한 lw_pki 시스템 및 그 시스템을 이용한 통신방법.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant