WO2022143498A1

WO2022143498A1 - 接入控制方法、装置、网络侧设备、终端及区块链节点

Info

Publication number: WO2022143498A1
Application number: PCT/CN2021/141520
Authority: WO
Inventors: 阎军智; 杨波; 粟栗
Original assignee: ***通信有限公司研究院; ***通信集团有限公司
Priority date: 2020-12-29
Filing date: 2021-12-27
Publication date: 2022-07-07
Also published as: EP4274192A1; JP2024501326A; CN114697061B; US20240064021A1; CN114697061A

Abstract

本公开提供了一种接入控制方法、装置、网络侧设备、终端及区块链节点，其中，接入控制方法包括：接收终端发送的对应于访问请求的待验证相关信息；所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；根据所述位置信息，从区块链中获取所述预设信息；根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；根据所述属性信息，向所述终端反馈针对接入控制的请求响应。

Description

接入控制方法、装置、网络侧设备、终端及区块链节点

相关申请的交叉引用

本公开主张在2020年12月29日在中国提交的中国专利申请号No.202011591112.0的优先权，其全部内容通过引用包含于此。

技术领域

本公开涉及通信技术领域，尤其涉及一种接入控制方法、装置、网络侧设备、终端及区块链节点。

背景技术

访问控制指***对用户身份及其所属的策略组限制其使用数据资源能力的手段。访问控制是***保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。

访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。例如，***管理员控制用户对服务器、目录、文件等网络资源的访问。为了达到上述目的，访问控制需要完成两个任务：识别和确认访问***的用户、决定该用户可以对某一***资源进行何种类型的访问。

访问控制功能可以在客体实现，也可以部署集中的设备实施访问控制。对于前者，对客体设备要求较高，如果访问量比较大，将严重影响客体性能。集中部署的访问控制功能是目前常用的技术手段，访问主体向集中的访问控制***发起请求，在经过认证和授权之后，访问主体向客体发起访问。

也可以理解为，传统技术中，访问控制***是中心化设备；但是，其被暴露在网络中，容易遭受分布式拒绝服务(Distributed Denial of Service，DDoS)等网络攻击。一旦控制器受到网络攻击停止服务，有可能导致整个***无法正常运行。

也就是，相关技术中存在传统认证服务器遭受DDoS攻击导致的单点失败问题。

发明内容

本公开的目的在于提供一种接入控制方法、装置、网络侧设备、终端及区块链节点，以解决相关技术中存在传统认证服务器遭受DDoS攻击导致单点失败的问题。

为了解决上述技术问题，本公开实施例提供一种接入控制方法，应用于第一网络侧设备，包括：

接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

根据所述位置信息，从区块链中获取所述预设信息；

根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；

在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；

根据所述属性信息，向所述终端反馈针对接入控制的请求响应；

其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值。

可选的，所述接收终端发送的对应于访问请求的待验证相关信息，包括：

接收所述终端发送的访问请求，所述访问请求中携带有待验证相关信息；或者，

接收所述终端发送的访问请求；

根据所述访问请求，向所述终端反馈随机数；

接收所述终端根据所述随机数发送的待验证相关信息。

可选的，在所述预设信息包括所述终端的公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

利用所述公钥信息对所述私钥签名信息进行验证；

所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：

在验证通过的情况下，根据所述公钥信息，从区块链账本中获取对应的第三终端标识信息；

在获取到所述第三终端标识信息的情况下，从区块链账本中获取所述第三终端标识信息对应的属性信息作为所述终端的属性信息。

可选的，在所述预设信息包括所述第一终端标识信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

根据所述第一终端标识信息，得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息；

根据所述终端的公钥信息，对所述待验证的公钥信息以及所述私钥签名信息进行验证；

在验证通过的情况下，根据所述第一终端标识信息，从区块链账本中获取所述终端的属性信息。

可选的，在所述预设信息包括所述第二终端标识信息以及公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二终端标识信息，从区块链账本中获取已存储的所述终端的公钥信息；根据获取的所述终端的公钥信息，对所述预设信息中的公钥信息进行验证；或者，

利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二终端标识信息，从区块链账本中获取已存储的所述终端的公钥的散列值；根据所述预设信息中的公钥信息，得到待验证的散列值；根据获取的所述终端的公钥的散列值，对所述待验证的散列值进行验证。

可选的，在所述预设信息包括所述第二终端标识信息以及公钥的散列值的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

根据所述第二终端标识信息，从区块链账本中获取已存储的所述终端的公钥信息；

根据所述预设信息中的公钥的散列值，得到待验证的公钥信息；

根据所述待验证的公钥信息，对所述私钥签名信息进行验证；并根据获取的所述终端的公钥信息，对所述待验证的公钥信息进行验证。

可选的，所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：

在验证通过的情况下，根据所述第二终端标识信息，从区块链账本中获取所述终端的属性信息。

可选的，所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息，或者，采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。

可选的，在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳；

所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

确认所述时间戳是否处于有效期内；

在所述时间戳处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息，对所述终端进行验证。

可选的，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述属性信息、所述第一终端标识信息以及所述第二终端标识信息中的至少一项；

根据所述有效期信息，确认所述第一信息是否处于有效期内；

在所述第一信息处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息，对所述终端进行验证。

可选的，与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；

在根据所述属性信息，向所述终端反馈针对接入控制的请求响应之前，还包括：

使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密，得到所述第一密钥；

根据所述第一密钥，针对从所述区块链账本中获取的所述加密信息进行解密，得到所述至少一个认证信息；

其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。

可选的，所述至少一个认证信息还包括：所述终端对应的时间戳；和/或，

第二信息的有效期信息；

其中，所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳；

所述第二信息包括所述属性信息、第一终端标识信息、第二终端标识信息以及第三终端标识信息中的至少一项。

本公开实施例还提供了一种接入控制方法，应用于终端，包括：

向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

接收所述第一网络侧设备反馈的针对接入控制的请求响应；

可选的，所述向第一网络侧设备发送对应于访问请求的待验证相关信息，包括：

向第一网络侧设备发送访问请求，所述访问请求中携带有待验证相关信息；或者，

向第一网络侧设备发送访问请求；

接收所述第一网络侧设备根据所述访问请求反馈的随机数；

根据所述随机数，向所述第一网络侧设备发送待验证相关信息。

可选的，在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳。

可选的，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述终端的属性信息、所述第一终端标识信息以及所述第二终端标识信息中的至少一项。

可选的，与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；

第二信息的有效期信息；

可选的，在向第一网络侧设备发送对应于访问请求的待验证相关信息之前，还包括：

向第一区块链节点发送所述终端的待认证信息；

其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息。

本公开实施例还提供了一种接入控制方法，应用于第一区块链节点，包括：

接收终端发送的待认证信息；

对所述待认证信息进行认证；

在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；

其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息；

所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。

第二信息的有效期信息；

可选的，所述在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中，包括：

随机生成用于加密的第一密钥；

使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。

可选的，在随机生成用于加密的第一密钥之后，还包括：

使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。

可选的，所述对所述待认证信息进行认证，包括：

根据第一预设策略，将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证；

接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息；

根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果。

可选的，所述对所述待认证信息进行认证，包括：

根据第一预设策略，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证；

接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息；

根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。

可选的，所述对所述待认证信息进行认证，包括：

将所述待认证信息发送给第二区块链节点；

接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息；并根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果；和/或，

接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息；并根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。

本公开实施例还提供了一种接入控制方法，应用于第二区块链节点，包括：

接收第一区块链节点发送的终端的待认证信息；

将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息，反馈给所述第一区块链节点；和/或，

将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证，并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息，反馈给所述第一区块链节点；

其中，所述用户凭证信息包括终端标识信息。

本公开实施例还提供了一种接入控制方法，应用于第二网络侧设备，包括：

接收区块链节点发送的待认证的终端的用户凭证信息；

对所述用户凭证信息进行认证，得到第一认证结果，并使用第三签名信息进行签名；

将所述第一认证结果以及第三签名信息反馈给所述区块链节点；

其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点；

所述用户凭证信息包括终端标识信息。

本公开实施例还提供了一种接入控制方法，应用于第三网络侧设备，包括：

接收区块链节点发送的待认证的终端的属性信息；

对所述属性信息进行认证，得到第二认证结果，并使用第四签名信息进行签名；

将所述第二认证结果以及第四签名信息反馈给所述区块链节点；

其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点。

本公开实施例还提供了一种接入控制装置，应用于第一网络侧设备，包括：

第一接收模块，用于接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

第一获取模块，用于根据所述位置信息，从区块链中获取所述预设信息；

第一验证模块，用于根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；

第二接收模块，用于在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；

第一反馈模块，用于根据所述属性信息，向所述终端反馈针对接入控制的请求响应；

接收所述终端发送的访问请求；

根据所述访问请求，向所述终端反馈随机数；

接收所述终端根据所述随机数发送的待验证相关信息。

利用所述公钥信息对所述私钥签名信息进行验证；

确认所述时间戳是否处于有效期内；

所述接入控制装置还包括：

第一解密模块，用于在根据所述属性信息，向所述终端反馈针对接入控制的请求响应之前，使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密，得到所述第一密钥；

第二解密模块，用于根据所述第一密钥，针对从所述区块链账本中获取的所述加密信息进行解密，得到所述至少一个认证信息；

第二信息的有效期信息；

本公开实施例还提供了一种接入控制装置，应用于终端，包括：

第一发送模块，用于向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

第三接收模块，用于接收所述第一网络侧设备反馈的针对接入控制的请求响应；

向第一网络侧设备发送访问请求；

接收所述第一网络侧设备根据所述访问请求反馈的随机数；

第二信息的有效期信息；

可选的，还包括：

第二发送模块，用于在向第一网络侧设备发送对应于访问请求的待验证相关信息之前，向第一区块链节点发送所述终端的待认证信息；

本公开实施例还提供了一种接入控制装置，应用于第一区块链节点，包括：

第四接收模块，用于接收终端发送的待认证信息；

第一认证模块，用于对所述待认证信息进行认证；

第一存储模块，用于在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；

第二信息的有效期信息；

随机生成用于加密的第一密钥；

可选的，还包括：

第一处理模块，用于在随机生成用于加密的第一密钥之后，使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。

可选的，所述对所述待认证信息进行认证，包括：

将所述待认证信息发送给第二区块链节点；

本公开实施例还提供了一种接入控制装置，应用于第二区块链节点，包括：

第五接收模块，用于接收第一区块链节点发送的终端的待认证信息；

第二处理模块，用于将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息，反馈给所述第一区块链节点；和/或，

第三处理模块，用于将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证，并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息，反馈给所述第一区块链节点；

其中，所述用户凭证信息包括终端标识信息。

本公开实施例还提供了一种接入控制装置，应用于第二网络侧设备，包括：

第六接收模块，用于接收区块链节点发送的待认证的终端的用户凭证信息；

第四处理模块，用于对所述用户凭证信息进行认证，得到第一认证结果，并使用第三签名信息进行签名；

第二反馈模块，用于将所述第一认证结果以及第三签名信息反馈给所述区块链节点；

所述用户凭证信息包括终端标识信息。

本公开实施例还提供了一种接入控制装置，应用于第三网络侧设备，包括：

第七接收模块，用于接收区块链节点发送的待认证的终端的属性信息；

第五处理模块，用于对所述属性信息进行认证，得到第二认证结果，并使用第四签名信息进行签名；

第三反馈模块，用于将所述第二认证结果以及第四签名信息反馈给所述区块链节点；

本公开实施例还提供了一种网络侧设备，所述网络侧设备为第一网络侧设备，包括：处理器和收发机；

所述处理器，用于通过所述收发机接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

根据所述位置信息，从区块链中获取所述预设信息；

根据所述属性信息，通过所述收发机向所述终端反馈针对接入控制的请求响应；

接收所述终端发送的访问请求；

根据所述访问请求，向所述终端反馈随机数；

接收所述终端根据所述随机数发送的待验证相关信息。

利用所述公钥信息对所述私钥签名信息进行验证；

确认所述时间戳是否处于有效期内；

所述处理器还用于：

在根据所述属性信息，向所述终端反馈针对接入控制的请求响应之前，使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密，得到所述第一密钥；

第二信息的有效期信息；

本公开实施例还提供了一种终端，包括：处理器和收发机；

所述处理器，用于通过所述收发机向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

通过所述收发机接收所述第一网络侧设备反馈的针对接入控制的请求响应；

向第一网络侧设备发送访问请求；

接收所述第一网络侧设备根据所述访问请求反馈的随机数；

第二信息的有效期信息；

可选的，所述处理器还用于：

在向第一网络侧设备发送对应于访问请求的待验证相关信息之前，通过所述收发机向第一区块链节点发送所述终端的待认证信息；

本公开实施例还提供了一种区块链节点，所述区块链节点为第一区块链节点，包括：处理器和收发机；

所述处理器，用于通过所述收发机接收终端发送的待认证信息；

对所述待认证信息进行认证；

第二信息的有效期信息；

随机生成用于加密的第一密钥；

可选的，所述处理器还用于：

在随机生成用于加密的第一密钥之后，使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。

可选的，所述对所述待认证信息进行认证，包括：

将所述待认证信息发送给第二区块链节点；

本公开实施例还提供了一种区块链节点，所述区块链节点为第二区块链节点，包括：处理器和收发机；

所述处理器，用于通过所述收发机接收第一区块链节点发送的终端的待认证信息；

通过所述收发机将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息，反馈给所述第一区块链节点；和/或，

通过所述收发机将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证，并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息，反馈给所述第一区块链节点；

其中，所述用户凭证信息包括终端标识信息。

本公开实施例还提供了一种网络侧设备，所述网络侧设备为第二网络侧设备，包括：处理器和收发机；

所述处理器，用于通过所述收发机接收区块链节点发送的待认证的终端的用户凭证信息；

通过所述收发机将所述第一认证结果以及第三签名信息反馈给所述区块链节点；

所述用户凭证信息包括终端标识信息。

本公开实施例还提供了一种网络侧设备，所述网络侧设备为第三网络侧设备，包括：处理器和收发机；

所述处理器，用于通过所述收发机接收区块链节点发送的待认证的终端的属性信息；

通过所述收发机将所述第二认证结果以及第四签名信息反馈给所述区块链节点；

本公开实施例还提供了一种网络侧设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器执行所述程序时实现上述第一网络侧设备侧的接入控制方法；或者，所述处理器执行所述程序时实现上述第二网络侧设备侧的接入控制方法；或者，所述处理器执行所述程序时实现上述第三网络侧设备侧的接入控制方法。

本公开实施例还提供了一种终端，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器执行所述程序时实现上述终端侧的接入控制方法。

本公开实施例还提供了一种区块链节点，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器执行所述程序时实现上述第一区块链节点侧的接入控制方法；或者，所述处理器执行所述程序时实现上述第二区块链节点侧的接入控制方法。

本公开实施例还提供了一种可读存储介质，其上存储有程序，该程序被处理器执行时实现上述第一网络侧设备侧的接入控制方法中的步骤；或者，该程序被处理器执行时实现上述终端侧的接入控制方法中的步骤；或者，该程序被处理器执行时实现上述第一区块链节点侧的接入控制方法中的步骤；或者，该程序被处理器执行时实现上述第二区块链节点侧的接入控制方法中的步骤；或者，该程序被处理器执行时实现上述第二网络侧设备侧的接入控制方法中的步骤；或者，该程序被处理器执行时实现上述第三网络侧设备侧的接入控制方法中的步骤。

本公开的上述技术方案的有益效果如下：

上述方案中，所述接入控制方法通过接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；根据所述位置信息，从区块链中获取所述预设信息；根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；根据所述属性信息，向所述终端反馈针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

附图说明

为了更清楚地说明本公开实施例的技术方案，下面将对本公开实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例的接入控制方法流程示意图一；

图2为本公开实施例的接入控制方法流程示意图二；

图3为本公开实施例的接入控制方法流程示意图三；

图4为本公开实施例的接入控制方法流程示意图四；

图5为本公开实施例的接入控制方法流程示意图五；

图6为本公开实施例的接入控制方法流程示意图六；

图7为本公开实施例的接入控制方法实现架构示意图；

图8a为本公开实施例的接入控制方法具体实现流程示意图一；

图8b为本公开实施例的接入控制方法具体实现流程示意图二；

图9为本公开实施例的待认证信息认证架构示意图一；

图10为本公开实施例的待认证信息认证架构示意图二；

图11为本公开实施例的接入控制装置结构示意图一；

图12为本公开实施例的接入控制装置结构示意图二；

图13为本公开实施例的接入控制装置结构示意图三；

图14为本公开实施例的接入控制装置结构示意图四；

图15为本公开实施例的接入控制装置结构示意图五；

图16为本公开实施例的接入控制装置结构示意图六；

图17为本公开实施例的网络侧设备结构示意图一；

图18为本公开实施例的终端结构示意图；

图19为本公开实施例的区块链节点结构示意图一；

图20为本公开实施例的区块链节点结构示意图二；

图21为本公开实施例的网络侧设备结构示意图二；

图22为本公开实施例的网络侧设备结构示意图三。

具体实施方式

为使本公开要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本公开针对相关的技术中存在传统认证服务器遭受DDoS攻击导致单点失败的问题，提供一种接入控制方法，应用于第一网络侧设备，如图1所示，包括：

步骤11：接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

步骤12：根据所述位置信息，从区块链中获取所述预设信息；

步骤13：根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；

步骤14：在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；

步骤15：根据所述属性信息，向所述终端反馈针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值。

具体的，步骤15可以为根据所述属性信息以及终端标识信息，向所述终端反馈针对接入控制的请求响应；所述终端标识信息可以为上述的第一终端标识信息、第二终端标识信息或第三终端标识信息。

本公开实施例提供的所述接入控制方法通过接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；根据所述位置信息，从区块链中获取所述预设信息；根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；根据所述属性信息，向所述终端反馈针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，所述接收终端发送的对应于访问请求的待验证相关信息，包括：接收所述终端发送的访问请求，所述访问请求中携带有待验证相关信息；或者，接收所述终端发送的访问请求；根据所述访问请求，向所述终端反馈随机数；接收所述终端根据所述随机数发送的待验证相关信息。

本公开实施例中，在所述预设信息包括所述终端的公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：利用所述公钥信息对所述私钥签名信息进行验证；所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：在验证通过的情况下，根据所述公钥信息，从区块链账本中获取对应的第三终端标识信息；在获取到所述第三终端标识信息的情况下，从区块链账本中获取所述第三终端标识信息对应的属性信息作为所述终端的属性信息。

其中，所述根据所述属性信息，向所述终端反馈针对接入控制的请求响应，可以包括：根据所述第三终端标识信息以及属性信息，向所述终端反馈针对接入控制的请求响应。

本公开实施例中，在所述预设信息包括所述第一终端标识信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：根据所述第一终端标识信息，得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息；根据所述终端的公钥信息，对所述待验证的公钥信息以及所述私钥签名信息进行验证；所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：在验证通过的情况下，根据所述第一终端标识信息，从区块链账本中获取所述终端的属性信息。

其中，所述根据所述属性信息，向所述终端反馈针对接入控制的请求响应，包括：根据所述第一终端标识信息以及属性信息，向所述终端反馈针对接入控制的请求响应。

本公开实施例中，在所述预设信息包括所述第二终端标识信息以及公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二终端标识信息，从区块链账本中获取已存储的所述终端的公钥信息；根据获取的所述终端的公钥信息，对所述预设信息中的公钥信息进行验证；或者，利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二终端标识信息，从区块链账本中获取已存储的所述终端的公钥的散列值；根据所述预设信息中的公钥信息，得到待验证的散列值；根据获取的所述终端的公钥的散列值，对所述待验证的散列值进行验证。

其中，在所述预设信息包括所述第二终端标识信息以及公钥的散列值的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：根据所述第二终端标识信息，从区块链账本中获取已存储的所述终端的公钥信息；根据所述预设信息中的公钥的散列值，得到待验证的公钥信息；根据所述待验证的公钥信息，对所述私钥签名信息进行验证；并根据获取的所述终端的公钥信息，对所述待验证的公钥信息进行验证。

本公开实施例中，所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：在验证通过的情况下，根据所述第二终端标识信息，从区块链账本中获取所述终端的属性信息。

其中，所述根据所述属性信息，向所述终端反馈针对接入控制的请求响应，包括：根据所述第二终端标识信息以及属性信息，向所述终端反馈针对接入控制的请求响应。

本公开实施例中，所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息，或者，采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。

其中，在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳；所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：确认所述时间戳是否处于有效期内；在所述时间戳处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息，对所述终端进行验证。

具体可根据时间戳自身确认确定时间戳是否处于有效期内，但并不以此为限。

本公开实施例中，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述属性信息、所述第一终端标识信息以及所述第二终端标识信息中的至少一项；所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：根据所述有效期信息，确认所述第一信息是否处于有效期内；在所述第一信息处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息，对所述终端进行验证。

关于“根据所述有效期信息，确认所述第一信息是否处于有效期内”具体可以为：首先根据区块链账本上存储的有效期信息(第二信息的有效期信息)，核对预设信息中的有效期信息；在核对通过的情况下，根据所述有效期信息，确认所述第一信息是否处于有效期内。

其中，与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；在根据所述属性信息，向所述终端反馈针对接入控制的请求响应之前，还包括：使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密，得到所述第一密钥；根据所述第一密钥，针对从所述区块链账本中获取的所述加密信息进行解密，得到所述至少一个认证信息；其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。

进一步的，所述至少一个认证信息还包括：所述终端对应的时间戳；和/或，第二信息的有效期信息；其中，所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳；所述第二信息包括所述属性信息、第一终端标识信息、第二终端标识信息以及第三终端标识信息中的至少一项。

本公开实施例还提供了一种接入控制方法，应用于终端，如图2所示，包括：

步骤21：向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

步骤22：接收所述第一网络侧设备反馈的针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值。

本公开实施例提供的所述接入控制方法通过向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；接收所述第一网络侧设备反馈的针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，所述向第一网络侧设备发送对应于访问请求的待验证相关信息，包括：向第一网络侧设备发送访问请求，所述访问请求中携带有待验证相关信息；或者，向第一网络侧设备发送访问请求；接收所述第一网络侧设备根据所述访问请求反馈的随机数；根据所述随机数，向所述第一网络侧设备发送待验证相关信息。

其中，在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳。

本公开实施例中，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述终端的属性信息、所述第一终端标识信息以及所述第二终端标识信息中的至少一项。

其中，与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。

本公开实施例中，在向第一网络侧设备发送对应于访问请求的待验证相关信息之前，还包括：向第一区块链节点发送所述终端的待认证信息；其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息。

本公开实施例还提供了一种接入控制方法，应用于第一区块链节点，如图3所示，包括：

步骤31：接收终端发送的待认证信息；

步骤32：对所述待认证信息进行认证；

步骤33：在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息；所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。

步骤32具体可以为：利用共识机制，对所述待认证信息进行认证。

本公开实施例提供的所述接入控制方法通过接收终端发送的待认证信息；对所述待认证信息进行认证；在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息；所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，所述在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中，包括：随机生成用于加密的第一密钥；使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。

进一步的，在随机生成用于加密的第一密钥之后，还包括：使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。

针对采用多平台认证的情况：本公开实施例中，所述对所述待认证信息进行认证，包括：根据第一预设策略，将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证；接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息；根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果；和/或，

所述对所述待认证信息进行认证，包括：根据第一预设策略，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证；接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息；根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。

其中，第一预设策略、第三预设策略和/或第三预设策略为预置的策略或在智能合约中约定的策略。

针对通过中间节点以采用多平台认证的情况：本公开实施例中，所述对所述待认证信息进行认证，包括：将所述待认证信息发送给第二区块链节点；接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息；并根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果；和/或，接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息；并根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。

其中，第三预设策略和/或第三预设策略为预置的策略或在智能合约中约定的策略。

本公开实施例还提供了一种接入控制方法，应用于第二区块链节点，如图4所示，包括：

步骤41：接收第一区块链节点发送的终端的待认证信息；

步骤42：将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息，反馈给所述第一区块链节点；和/或，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证，并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息，反馈给所述第一区块链节点；其中，所述用户凭证信息包括终端标识信息。

本公开实施例提供的所述接入控制方法通过接收第一区块链节点发送的终端的待认证信息；将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息，反馈给所述第一区块链节点；和/或，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证，并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息，反馈给所述第一区块链节点；其中，所述用户凭证信息包括终端标识信息；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

本公开实施例还提供了一种接入控制方法，应用于第二网络侧设备，如图5所示，包括：

步骤51：接收区块链节点发送的待认证的终端的用户凭证信息；

步骤52：对所述用户凭证信息进行认证，得到第一认证结果，并使用第三签名信息进行签名；

步骤53：将所述第一认证结果以及第三签名信息反馈给所述区块链节点；其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点；所述用户凭证信息包括终端标识信息。

本公开实施例提供的所述接入控制方法通过接收区块链节点发送的待认证的终端的用户凭证信息；对所述用户凭证信息进行认证，得到第一认证结果，并使用第三签名信息进行签名；将所述第一认证结果以及第三签名信息反馈给所述区块链节点；其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点；所述用户凭证信息包括终端标识信息；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

本公开实施例还提供了一种接入控制方法，应用于第三网络侧设备，如图6所示，包括：

步骤61：接收区块链节点发送的待认证的终端的属性信息；

步骤62：对所述属性信息进行认证，得到第二认证结果，并使用第四签名信息进行签名；

步骤63：将所述第二认证结果以及第四签名信息反馈给所述区块链节点；其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点。

本公开实施例提供的所述接入控制方法通过接收区块链节点发送的待认证的终端的属性信息；对所述属性信息进行认证，得到第二认证结果，并使用第四签名信息进行签名；将所述第二认证结果以及第四签名信息反馈给所述区块链节点；其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

下面结合第一网络侧设备、第二网络侧设备、第三网络侧设备、终端、第一区块链节点以及第二区块链节点等多侧对本公开实施例提供的所述接入控制方法进行进一步说明。

针对上述技术问题，本公开实施例提供了一种接入控制方法，具体可实现为采用区块链实现接入控制的方法，涉及以区块链的方式向客户提供认证和验证服务，从而可以避免传统认证服务器遭受DDoS攻击导致的单点失败问题。

本公开实施例提供的接入控制方法的实现架构具体可如图7所示，其中涉及：用户(对应于上述终端)、区块链***(对应于上述区块链，包含第一区块链节点以及第二区块链节点)以及应用(对应于上述第一网络侧设备)；具体的区块链***中的区块链网络节点由多个认证节点组成，其中认证节点主要负责对用户身份(对应于上述用户凭证信息)进行认证，并对用户的属性(对应于上述属性信息)进行认证，并将认证后的结果记录到区块链账本中；用户在访问业务***(对应于上述第一网络侧设备)时，业务***在区块链查询用户身份及属性信息。用户(客户端)和业务***(具体为该***中的应用(服务器))都拥有自己的公钥和私钥。

本方案中，用户(客户端)首先向区块链***提交认证请求(对应于上述待认证信息)，其中包括身份认证信息(对应于上述用户凭证信息)和属性信息，区块链***中的认证节点分别对身份认证信息和属性信息进行认证，并将经过认证和共识的信息记录到区块链账本，主要流程如下：

操作1.用户(客户端)向区块链***提交身份认证信息和/或属性信息；

操作2.区块链节点(即上述第一区块链节点)对上述信息(身份认证信息和/或属性信息)进行认证(具体可为认证这些信息的正确性)；

操作3.上述信息经区块链节点认证和共识之后，区块链节点将用户ID(对应于上述用户凭证信息，具体可对应于上述第一终端标识信息、第二终端标识信息或第三终端标识信息)和/或用户公钥散列值和/或用户公钥、用户属性信息(即上述终端的属性信息)、有效期(即上述有效期信息)等记录到区块链账本中；

可选地，为防止信息泄露，可以对数据进行加密存储。例如：记需要记录的数据明文为info，记录到区块链账本中的密文为：

(Epk_C(K),Ek(info))，其中pk_C为用户的公钥。其中，E表示加密、E的下标表示所使用的密钥、括号内表示数据；K为区块链节点随机生成的第一密钥。

操作4.用户向应用服务器(对应于上述第一网络侧设备)发起访问请求：

a)方式一(时间戳签名)：其中包括时间戳，用户私钥对时间戳的签名(即上述第一签名信息)，用户ID和/或用户公钥散列值和/或用户公钥、用户属性信息、有效期等信息在区块链中的位置(即上述位置信息)，如果操作3未记录用户公钥(而是记录了散列值)，则本操作中还需携带用户公钥。

b)方式二(随机数签名)：请求不携带用户信息，应用服务器返回随机数，用户对使用私钥对随机数签名(即上述第二签名信息)，并将签名以及用户ID和/或用户公钥散列值和/或用户公钥、用户属性信息、有效期等信息在区块链中的位置发送给应用服务器，如果操作3未记录用户公钥，则本操作中还需携带用户公钥。

此外，如果对数据进行了加密存储，上述两种方式中，访问请求还应包含解密密钥(即上述使用所述第一网络侧设备的公钥加密的所述第一密钥)：

(Epk_S(K))，其中pk_S为应用服务器的公钥。

操作5.应用服务器在区块链账本中查询相关信息，对用户(客户端)进行验证：

a)方式一(时间戳签名)：使用用户公钥验证对时间戳的签名是否正确，时间戳是否在有效期内，验证用户公钥或散列值是否与账本中记录的一致(或匹配)。若验证成功，则说明该用户即账本中的用户，账本中记录的属性信息即该用户的属性，应用服务器可以进一步利用该属性和用户ID进行访问授权(控制接入)。

b)方式二(随机数签名)：使用用户公钥验证对随机数的签名是否正确，验证用户公钥或散列值是否与账本中记录的一致(或匹配)。若验证成功，则说明该用户即账本中的用户，账本中记录的属性信息即该用户的属性，应用服务器可以进一步利用该属性和用户ID进行访问授权。

此外，如果对数据进行了加密存储，上述两种方式中，应用服务器还应使用服务器私钥解密得出K，进一步对账本中的密文进行解密：

DK(Ek(info))，得出info，即用户信息(用户ID)及属性信息，其中D表示解密。

具体的，一些实施例中，本公开实施例提供的所述接入控制方法可如图8a所示(第一网络侧设备以应用服务器(网关)为例)，包括：

步骤81：用户(客户端)向区块链节点(即上述第一区块链节点)发送认证请求(对应于上述待认证信息)；

步骤82：区块链节点执行认证操作；

步骤83：认证通过，记录到区块链账本(用户ID和/或公钥，属性信息)；

步骤84：区块链节点向用户(客户端)反馈认证响应；

步骤85：用户(客户端)向应用服务器(网关)发送访问请求；

步骤86：应用服务器(网关)向区块链账本查询用户认证信息及属性信息；

步骤87：应用服务器(网关)根据查询到的信息对用户(客户端)进行验证；

步骤88：应用服务器(网关)向用户(客户端)反馈请求响应。

另一些实施例中，本公开实施例的接入控制方法还可应用于软件定义边界(Software Defined Perimeter，SDP)场景，具体实现流程可参见图8b(第一网络侧设备以SDP连接接受主机(Accepting SDP Hosts，AH)为例)，该方法包括：

步骤810：SDP连接发起主机(Initiating SDP Hosts，IH)向区块链节点(即上述第一区块链节点)发送认证请求(对应于上述待认证信息)；

步骤820：区块链节点执行认证操作；

步骤830：认证通过，记录到区块链账本(IH的ID和/或公钥，属性信息)；

步骤840：区块链节点向IH反馈认证响应；

步骤850：IH向AH发送访问请求；

步骤860：AH向区块链账本查询IH认证信息及属性信息；

步骤870：AH根据查询到的信息对IH进行验证；

步骤880：AH向IH反馈请求响应。

此外，上述操作2认证过程中，如果身份认证信息和属性信息需要由不同的节点进行认证，那么具体流程可如下：

方式一，该方式需要为认证信息(即身份认证信息)和属性信息制定认证策略(包含上述第一预设策略、第二预设策略以及第三预设策略)，策略中应包括信息转发策略(即上述第一预设策略)，如图9所示：

a)区块链节点在接收的身份认证信息和属性信息之后，根据策略，分别将认证信息和属性信息转发至相应的认证节点(对应于上述将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证)；不同的认证节点可以认证不同的认证信息或者属性信息，比如属性认证节点1认证属性1，属性认证节点2认证属性2，在此不作限定。

b)认证信息认证节点和属性认证节点分别对上述信息进行认证，对认证结果进行签名；

具体的，认证信息认证节点可以是认证服务器；例如用户提交了用户名口令认证信息，区块链节点将认证信息转发至认证信息认证节点，认证信息认证节点对用户名口令进行认证。这里认证信息认证节点1和2可以类比为微信和支付宝，用户提交哪个口令，区块链节点就把认证信息提交给相应的认证信息认证节点。

c)认证信息认证节点和属性认证节点返回验证结果(对应于上述第一认证结果、第二认证结果)及其对结果的签名(对应于上述第三签名信息、第四签名信息)；

d)区块链节点根据接收到的认证结果以及签名，确定最终认证结果(对应于上述第一最终结果、第二最终结果)。

方式二，该方式需要使用中间节点(即上述第二区块链节点)，如图10所示：

a)区块链节点(即上述第一区块链节点)在接收的身份认证信息和属性信息之后，将认证信息和属性信息转发至中间节点；

b)中间节点将认证信息和属性信息转发至相应的认证节点(对应于上述将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证)；不同的认证节点可以认证不同的认证信息或者属性信息，比如属性认证节点1认证属性1，属性认证节点2认证属性2，在此不作限定。

c)认证信息认证节点和属性认证节点分别对上述信息进行认证，对认证结果进行签名；

d)认证信息认证节点和属性认证节点将认证结果(对应于上述第一认证结果、第二认证结果)及其对结果的签名(对应于上述第三签名信息、第四签名信息)发送至中间节点；

e)区块链节点从中间节点获取认证结果以及签名，确定最终认证结果(对应于上述第一最终结果、第二最终结果)。

这种方式可以可降低开销，减少信息交互。

下面对本公开实施例提供的方案进行举例说明。

举例1：统一认证(本举例中针对上述操作5提供另一实现方式)；

该举例中，区块链充当统一认证平台的角色，用户向区块链***提交认证请求，区块链节点(对应于上述第一区块链节点)对用户进行认证，并将用户信息、公钥信息及属性信息记录到区块链账本中。当用户向应用***提交访问请求时，应用***需要验证用户签名，确保用户公钥正确性，之后根据公钥在区块链中查询用户信息及属性信息，实现对用户的认证。

1.用户向区块链发起认证请求，携带待认证信息；

2.区块链***对用户提供的待认证信息进行认证，认证通过后，将用户的身份或者属性信息记录到区块链账本中；

3.用户向应用***发起访问请求，其中携带用户私钥对时间戳的签名，或者应用***向用户发送一随机数，用户使用私钥对随机数进行签名并发送给应用***。可选地，请求中还可以携带用户身份或属性信息在区块链中记录的位置。

4.访问请求中携带公钥的情况下，应用***可以直接用公钥验证用户的签名，如果签名正确，就可以使用公钥在区块链中查询用户的身份(用户ID)和属性信息。

5.应用***可以进一步利用该属性以及用户的身份进行访问授权。

举例2：双重认证(对应于上述图9和图10的认证方式)；

在某些高安全级别的应用场景，需要对用户身份实施非常严格认证措施，例如，需要有两个或多个认证机构提供的认证信息。该实施例中，用户具有两个认证平台(例如微信平台和支付宝平台)的认证信息，用户向区块链***提交认证请求，该请求中可以包括多个认证平台(例如微信平台和支付宝平台)的认证数据，区块链节点提取到用户认证数据，并将用户认证数据以图9或图10中的方式分别发送给相应的认证平台进行认证，认证平台根据用户的认证数据对用户进行认证，并将认证结果返回给区块链节点。区块链节点根据收到的认证结果，利用预置的策略或在智能合约中约定的策略对认证结果进行处理。由于认证节点可以获取到上述两个认证平台对用户的认证结果，从而可以实现对用户身份的双重认证。

由上可知，本公开实施例提供的方案，具体涉及一种基于区块链的接入控制方法：用户(客户端)向区块链***提交认证请求；区块链对认证信息和属性信息进行认证，并将经过认证和共识的信息记录到区块链账本；用户在访问业务***时，业务***在区块链查询用户身份及属性信息。

其中，具体的可以是：用户(客户端)向区块链***提交认证请求，其中包括认证信息和属性信息；区块链节点向相应的认证信息认证节点和属性信息认证节点发送认证请求；相应的认证信息认证节点和属性信息认证节点认证请求，并反馈认证结果；区块链节点处理认证结果。

综上所述，本公开实施例提供的方案能够避免单点失败问题；且使用智能合约实现认证授权，节点在被篡改的情况下不影响正常业务。

本公开实施例还提供了一种接入控制装置，应用于第一网络侧设备，如图11所示，包括：

第一接收模块111，用于接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

第一获取模块112，用于根据所述位置信息，从区块链中获取所述预设信息；

第一验证模块113，用于根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；

第二接收模块114，用于在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；

第一反馈模块115，用于根据所述属性信息，向所述终端反馈针对接入控制的请求响应；

本公开实施例提供的所述接入控制装置通过接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；根据所述位置信息，从区块链中获取所述预设信息；根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；根据所述属性信息，向所述终端反馈针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，在所述预设信息包括所述第一终端标识信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：根据所述第一终端标识信息，得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息；根据所述终端的公钥信息，对所述待验证的公钥信息以及所述私钥签名信息进行验证；所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：在验证通过的情况下，根据所述第一终端标识信息，从区块链账本中获取所述终端的属性信息。

其中，所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息，或者，采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。

本公开实施例中，在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳；所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：确认所述时间戳是否处于有效期内；在所述时间戳处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息，对所述终端进行验证。

其中，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述属性信息、所述第一终端标识信息以及所述第二终端标识信息中的至少一项；所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：根据所述有效期信息，确认所述第一信息是否处于有效期内；在所述第一信息处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息，对所述终端进行验证。

本公开实施例中，与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；所述接入控制装置还包括：第一解密模块，用于在根据所述属性信息，向所述终端反馈针对接入控制的请求响应之前，使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密，得到所述第一密钥；第二解密模块，用于根据所述第一密钥，针对从所述区块链账本中获取的所述加密信息进行解密，得到所述至少一个认证信息；其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。

其中，上述第一网络侧设备侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种接入控制装置，应用于终端，如图12所示，包括：

第一发送模块121，用于向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

第三接收模块122，用于接收所述第一网络侧设备反馈的针对接入控制的请求响应；

本公开实施例提供的所述接入控制装置通过向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；接收所述第一网络侧设备反馈的针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

进一步的，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述终端的属性信息、所述第一终端标识信息以及所述第二终端标识信息中的至少一项。

进一步的，所述的接入控制装置，还包括：第二发送模块，用于在向第一网络侧设备发送对应于访问请求的待验证相关信息之前，向第一区块链节点发送所述终端的待认证信息；其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息。

其中，上述终端侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种接入控制装置，应用于第一区块链节点，如图13所示，包括：

第四接收模块131，用于接收终端发送的待认证信息；

第一认证模块132，用于对所述待认证信息进行认证；

第一存储模块133，用于在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；

本公开实施例提供的所述接入控制装置通过接收终端发送的待认证信息；对所述待认证信息进行认证；在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息；所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

进一步的，所述的接入控制装置，还包括：第一处理模块，用于在随机生成用于加密的第一密钥之后，使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。

其中，所述对所述待认证信息进行认证，包括：根据第一预设策略，将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证；接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息；根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果。

本公开实施例中，所述对所述待认证信息进行认证，包括：根据第一预设策略，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证；接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息；根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。

其中，所述对所述待认证信息进行认证，包括：将所述待认证信息发送给第二区块链节点；接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息；并根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果；和/或，接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息；并根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。

其中，上述第一区块链节点侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种接入控制装置，应用于第二区块链节点，如图14所示，包括：

第五接收模块141，用于接收第一区块链节点发送的终端的待认证信息；

第二处理模块142，用于将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息，反馈给所述第一区块链节点；和/或，

第三处理模块143，用于将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证，并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息，反馈给所述第一区块链节点；

其中，所述用户凭证信息包括终端标识信息。

本公开实施例提供的所述接入控制装置通过接收第一区块链节点发送的终端的待认证信息；将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息，反馈给所述第一区块链节点；和/或，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证，并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息，反馈给所述第一区块链节点；其中，所述用户凭证信息包括终端标识信息；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，上述第二区块链节点侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种接入控制装置，应用于第二网络侧设备，如图15所示，包括：

第六接收模块151，用于接收区块链节点发送的待认证的终端的用户凭证信息；

第四处理模块152，用于对所述用户凭证信息进行认证，得到第一认证结果，并使用第三签名信息进行签名；

第二反馈模块153，用于将所述第一认证结果以及第三签名信息反馈给所述区块链节点；

所述用户凭证信息包括终端标识信息。

本公开实施例提供的所述接入控制装置通过接收区块链节点发送的待认证的终端的用户凭证信息；对所述用户凭证信息进行认证，得到第一认证结果，并使用第三签名信息进行签名；将所述第一认证结果以及第三签名信息反馈给所述区块链节点；其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点；所述用户凭证信息包括终端标识信息；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，上述第二网络侧设备侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种接入控制装置，应用于第三网络侧设备，如图16所示，包括：

第七接收模块161，用于接收区块链节点发送的待认证的终端的属性信息；

第五处理模块162，用于对所述属性信息进行认证，得到第二认证结果，并使用第四签名信息进行签名；

第三反馈模块163，用于将所述第二认证结果以及第四签名信息反馈给所述区块链节点；

本公开实施例提供的所述接入控制装置通过接收区块链节点发送的待认证的终端的属性信息；对所述属性信息进行认证，得到第二认证结果，并使用第四签名信息进行签名；将所述第二认证结果以及第四签名信息反馈给所述区块链节点；其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，上述第三网络侧设备侧的接入控制方法的所述实现实施例均适用于该接入控制装置的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种网络侧设备，所述网络侧设备为第一网络侧设备，如图17所示，包括：处理器171和收发机172；

所述处理器171，用于通过所述收发机172接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

根据所述位置信息，从区块链中获取所述预设信息；

根据所述属性信息，通过所述收发机172向所述终端反馈针对接入控制的请求响应；

本公开实施例提供的所述网络侧设备通过接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；根据所述位置信息，从区块链中获取所述预设信息；根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；根据所述属性信息，向所述终端反馈针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

本公开实施例中，与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；所述处理器还用于：在根据所述属性信息，向所述终端反馈针对接入控制的请求响应之前，使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密，得到所述第一密钥；根据所述第一密钥，针对从所述区块链账本中获取的所述加密信息进行解密，得到所述至少一个认证信息；其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。

其中，上述第一网络侧设备侧的接入控制方法的所述实现实施例均适用于该网络侧设备的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种终端，如图18所示，包括：处理器181和收发机182；

所述处理器181，用于通过所述收发机182向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

通过所述收发机182接收所述第一网络侧设备反馈的针对接入控制的请求响应；

本公开实施例提供的所述终端通过向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；接收所述第一网络侧设备反馈的针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

本公开实施例中，所述向第一网络侧设备发送对应于访问请求的待验证相关信息，包括：向第一网络侧设备发送访问请求，所述访问请求中携带有待验证相关信息；或者，向第一网络侧设备发送访问请求；接收所述第一网络侧设备根据所述访问请求反馈的随机数；根据所述随机数，向所述第一网络侧设备发送待验证相关信息。

本公开实施例中，在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳。

其中，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述终端的属性信息、所述第一终端标识信息以及所述第二终端标识信息中的至少一项。

本公开实施例中，与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。

本公开实施例中，所述处理器还用于：在向第一网络侧设备发送对应于访问请求的待验证相关信息之前，通过所述收发机向第一区块链节点发送所述终端的待认证信息；其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息。

其中，上述终端侧的接入控制方法的所述实现实施例均适用于该终端的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种区块链节点，所述区块链节点为第一区块链节点，如图19所示，包括：处理器191和收发机192；

所述处理器191，用于通过所述收发机192接收终端发送的待认证信息；

对所述待认证信息进行认证；

本公开实施例提供的所述区块链节点通过接收终端发送的待认证信息；对所述待认证信息进行认证；在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息；所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，所述至少一个认证信息还包括：所述终端对应的时间戳；和/或，第二信息的有效期信息；其中，所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳；所述第二信息包括所述属性信息、第一终端标识信息、第二终端标识信息以及第三终端标识信息中的至少一项。

本公开实施例中，所述在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中，包括：随机生成用于加密的第一密钥；使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。

其中，所述处理器还用于：在随机生成用于加密的第一密钥之后，使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。

本公开实施例中，所述对所述待认证信息进行认证，包括：根据第一预设策略，将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证；接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息；根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果。

其中，所述对所述待认证信息进行认证，包括：根据第一预设策略，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证；接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息；根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。

本公开实施例中，所述对所述待认证信息进行认证，包括：将所述待认证信息发送给第二区块链节点；接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息；并根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果；和/或，接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息；并根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。

其中，上述第一区块链节点侧的接入控制方法的所述实现实施例均适用于该区块链节点的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种区块链节点，所述区块链节点为第二区块链节点，如图20所示，包括：处理器201和收发机202；

所述处理器201，用于通过所述收发机202接收第一区块链节点发送的终端的待认证信息；

通过所述收发机202将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息，反馈给所述第一区块链节点；和/或，

通过所述收发机202将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证，并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息，反馈给所述第一区块链节点；

其中，所述用户凭证信息包括终端标识信息。

本公开实施例提供的所述区块链节点通过接收第一区块链节点发送的终端的待认证信息；将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证，并接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息，反馈给所述第一区块链节点；和/或，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证，并接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息，反馈给所述第一区块链节点；其中，所述用户凭证信息包括终端标识信息；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，上述第二区块链节点侧的接入控制方法的所述实现实施例均适用于该区块链节点的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种网络侧设备，所述网络侧设备为第二网络侧设备，如图21所示，包括：处理器211和收发机212；

所述处理器211，用于通过所述收发机212接收区块链节点发送的待认证的终端的用户凭证信息；

通过所述收发机212将所述第一认证结果以及第三签名信息反馈给所述区块链节点；

所述用户凭证信息包括终端标识信息。

本公开实施例提供的所述网络侧设备通过接收区块链节点发送的待认证的终端的用户凭证信息；对所述用户凭证信息进行认证，得到第一认证结果，并使用第三签名信息进行签名；将所述第一认证结果以及第三签名信息反馈给所述区块链节点；其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点；所述用户凭证信息包括终端标识信息；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，上述第二网络侧设备侧的接入控制方法的所述实现实施例均适用于该网络侧设备的实施例中，也能达到对应相同的技术效果。

本公开实施例还提供了一种网络侧设备，所述网络侧设备为第三网络侧设备，如图22所示，包括：处理器221和收发机222；

所述处理器221，用于通过所述收发机222接收区块链节点发送的待认证的终端的属性信息；

通过所述收发机222将所述第二认证结果以及第四签名信息反馈给所述区块链节点；

本公开实施例提供的所述网络侧设备通过接收区块链节点发送的待认证的终端的属性信息；对所述属性信息进行认证，得到第二认证结果，并使用第四签名信息进行签名；将所述第二认证结果以及第四签名信息反馈给所述区块链节点；其中，所述区块链节点为第一区块链节点或与所述第一区块链节点通信的第二区块链节点；能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。

其中，上述第三网络侧设备侧的接入控制方法的所述实现实施例均适用于该网络侧设备的实施例中，也能达到对应相同的技术效果。

其中，上述第一网络侧设备侧、第二网络侧设备侧或第三网络侧设备侧的接入控制方法的所述实现实施例均适用于该网络侧设备的实施例中，也能达到对应相同的技术效果。

其中，上述第一区块链节点侧或第二区块链节点侧的接入控制方法的所述实现实施例均适用于该区块链节点的实施例中，也能达到对应相同的技术效果。

其中，上述第一网络侧设备侧、终端侧、第一区块链节点侧、第二区块链节点侧、第二网络侧设备侧或第三网络侧设备侧的接入控制方法的所述实现实施例均适用于该可读存储介质的实施例中，也能达到对应相同的技术效果。

需要说明的是，此说明书中所描述的许多功能部件都被称为模块，以便更加特别地强调其实现方式的独立性。

本公开实施例中，模块可以用软件实现，以便由各种类型的处理器执行。举例来说，一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块，举例来说，其可以被构建为对象、过程或函数。尽管如此，所标识模块的可执行代码无需物理地位于一起，而是可以包括存储在不同位里上的不同的指令，当这些指令逻辑上结合在一起时，其构成模块并且实现该模块的规定目的。

实际上，可执行代码模块可以是单条指令或者是许多条指令，并且甚至可以分布在多个不同的代码段上，分布在不同程序当中，以及跨越多个存储器设备分布。同样地，操作数据可以在模块内被识别，并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集，或者可以分布在不同位置上(包括在不同存储设备上)，并且至少部分地可以仅作为电子信号存在于***或网络上。

在模块可以利用软件实现时，考虑到现有硬件工艺的水平，所以可以以软件实现的模块，在不考虑成本的情况下，本领域技术人员都可以搭建对应的硬件电路来实现对应的功能，所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本公开的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本公开所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本公开实施例方案的目的。

另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本公开各个实施例所述的方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

可以理解的是，本公开实施例描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，模块、单元、子模块、子单元等可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits，ASIC)、数字信号处理器(Digital Signal Processing，DSP)、数字信号处理设备(DSP Device，DSPD)、可编程逻辑设备(Programmable Logic Device，PLD)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本公开所述功能的其它电子单元或其组合中。

以上所述的是本公开的优选实施方式，应当指出对于本技术领域的普通人员来说，在不脱离本公开所述原理前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本公开的保护范围。

Claims

一种接入控制方法，应用于第一网络侧设备，其中，所述方法包括：

接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

根据所述位置信息，从区块链中获取所述预设信息；

根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；

在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；

根据所述属性信息，向所述终端反馈针对接入控制的请求响应；

其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值。
根据权利要求1所述的接入控制方法，其中，所述接收终端发送的对应于访问请求的待验证相关信息，包括：

接收所述终端发送的访问请求，所述访问请求中携带有待验证相关信息；或者，

接收所述终端发送的访问请求；

根据所述访问请求，向所述终端反馈随机数；

接收所述终端根据所述随机数发送的待验证相关信息。
根据权利要求1所述的接入控制方法，其中，在所述预设信息包括所述终端的公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

利用所述公钥信息对所述私钥签名信息进行验证；

所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：

在验证通过的情况下，根据所述公钥信息，从区块链账本中获取对应的第三终端标识信息；

在获取到所述第三终端标识信息的情况下，从区块链账本中获取所述第三终端标识信息对应的属性信息作为所述终端的属性信息。
根据权利要求1所述的接入控制方法，其中，在所述预设信息包括所述第一终端标识信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

根据所述第一终端标识信息，得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息；

根据所述终端的公钥信息，对所述待验证的公钥信息以及所述私钥签名信息进行验证；

所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：

在验证通过的情况下，根据所述第一终端标识信息，从区块链账本中获取所述终端的属性信息。
根据权利要求1所述的接入控制方法，其中，在所述预设信息包括所述第二终端标识信息以及公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二终端标识信息，从区块链账本中获取已存储的所述终端的公钥信息；根据获取的所述终端的公钥信息，对所述预设信息中的公钥信息进行验证；或者，

利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二终端标识信息，从区块链账本中获取已存储的所述终端的公钥的散列值；根据所述预设信息中的公钥信息，得到待验证的散列值；根据获取的所述终端的公钥的散列值，对所述待验证的散列值进行验证。
根据权利要求1所述的接入控制方法，其中，在所述预设信息包括所述第二终端标识信息以及公钥的散列值的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

根据所述第二终端标识信息，从区块链账本中获取已存储的所述终端的公钥信息；

根据所述预设信息中的公钥的散列值，得到待验证的公钥信息；

根据所述待验证的公钥信息，对所述私钥签名信息进行验证；并根据获取的所述终端的公钥信息，对所述待验证的公钥信息进行验证。
根据权利要求1或2所述的接入控制方法，其中，所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息，或者，采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息；

在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳；

所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

确认所述时间戳是否处于有效期内；

在所述时间戳处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息，对所述终端进行验证。
根据权利要求1所述的接入控制方法，其中，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述属性信息、所述第一终端标识信息以及所述第二终端标识信息中的至少一项；

所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：

根据所述有效期信息，确认所述第一信息是否处于有效期内；

在所述第一信息处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息，对所述终端进行验证。
根据权利要求1所述的接入控制方法，其中，与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；

在根据所述属性信息，向所述终端反馈针对接入控制的请求响应之前，还包括：

使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密，得到所述第一密钥；

根据所述第一密钥，针对从所述区块链账本中获取的所述加密信息进行解密，得到所述至少一个认证信息；

其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
根据权利要求9所述的接入控制方法，其中，所述至少一个认证信息还包括：所述终端对应的时间戳；和/或，

第二信息的有效期信息；

其中，所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳；

所述第二信息包括所述属性信息、第一终端标识信息、第二终端标识信息以及第三终端标识信息中的至少一项。
一种接入控制方法，应用于终端，其中，所述方法包括：

向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

接收所述第一网络侧设备反馈的针对接入控制的请求响应；

其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值。
根据权利要求11所述的接入控制方法，其中，所述向第一网络侧设备发送对应于访问请求的待验证相关信息，包括：

向第一网络侧设备发送访问请求，所述访问请求中携带有待验证相关信息；或者，

向第一网络侧设备发送访问请求；

接收所述第一网络侧设备根据所述访问请求反馈的随机数；

根据所述随机数，向所述第一网络侧设备发送待验证相关信息。
根据权利要求11或12所述的接入控制方法，其中，所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息，或者，采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息；

在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳。
根据权利要求11所述的接入控制方法，其中，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述终端的属性信息、所述第一终端标识信息以及所述第二终端标识信息中的至少一项。
根据权利要求11所述的接入控制方法，其中，与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；

其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
根据权利要求15所述的接入控制方法，其中，所述至少一个认证信息还包括：所述终端对应的时间戳；和/或，

第二信息的有效期信息；

其中，所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳；

所述第二信息包括所述属性信息、第一终端标识信息、第二终端标识信息以及第三终端标识信息中的至少一项。
根据权利要求11所述的接入控制方法，其中，在向第一网络侧设备发送对应于访问请求的待验证相关信息之前，还包括：

向第一区块链节点发送所述终端的待认证信息；

其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息。
一种接入控制方法，应用于第一区块链节点，其中，所述方法包括：

接收终端发送的待认证信息；

对所述待认证信息进行认证；

在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；

其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息；

所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
根据权利要求18所述的接入控制方法，其中，所述至少一个认证信息还包括：所述终端对应的时间戳；和/或，

第二信息的有效期信息；

其中，所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳；

所述第二信息包括所述属性信息、第一终端标识信息、第二终端标识信息以及第三终端标识信息中的至少一项。
根据权利要求18所述的接入控制方法，其中，所述在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中，包括：

随机生成用于加密的第一密钥；

使用所述第一密钥对所述至少一个认证信息进行加密后存储在区块链账本中。
根据权利要求20所述的接入控制方法，其中，在随机生成用于加密的第一密钥之后，还包括：

使用所述终端的公钥对所述第一密钥加密后存储在区块链账本中。
根据权利要求18所述的接入控制方法，其中，所述对所述待认证信息进行认证，包括：

根据第一预设策略，将所述待认证信息中的用户凭证信息发送给至少一个第二网络侧设备进行认证；

接收所述至少一个第二网络侧设备反馈的第一认证结果以及对应的第三签名信息；

根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果。
根据权利要求18所述的接入控制方法，其中，所述对所述待认证信息进行认证，包括：

根据第一预设策略，将所述待认证信息中的属性信息发送给至少一个第三网络侧设备进行认证；

接收所述至少一个第三网络侧设备反馈的第二认证结果以及对应的第四签名信息；

根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。
根据权利要求18所述的接入控制方法，其中，所述对所述待认证信息进行认证，包括：

将所述待认证信息发送给第二区块链节点；

接收所述第二区块链节点反馈的与所述待认证信息中的用户凭证信息对应的第一认证结果以及对应的第三签名信息；并根据第二预设策略、所述第一认证结果以及第三签名信息，得到所述用户凭证信息是否认证通过的第一最终结果；和/或，

接收所述第二区块链节点反馈的与所述待认证信息中的属性信息对应的第二认证结果以及对应的第四签名信息；并根据第三预设策略、所述第二认证结果以及第四签名信息，得到所述属性信息是否认证通过的第二最终结果。
一种接入控制装置，应用于第一网络侧设备，其中，所述接入控制装置包括：

第一接收模块，用于接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

第一获取模块，用于根据所述位置信息，从区块链中获取所述预设信息；

第一验证模块，用于根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；

第二接收模块，用于在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；

第一反馈模块，用于根据所述属性信息，向所述终端反馈针对接入控制的请求响应；

其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值。
一种接入控制装置，应用于终端，其中，所述接入控制装置包括：

第一发送模块，用于向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

第三接收模块，用于接收所述第一网络侧设备反馈的针对接入控制的请求响应；

其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值。
一种接入控制装置，应用于第一区块链节点，其中，所述接入控制装置包括：

第四接收模块，用于接收终端发送的待认证信息；

第一认证模块，用于对所述待认证信息进行认证；

第一存储模块，用于在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；

其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息；

所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
一种网络侧设备，所述网络侧设备为第一网络侧设备，包括：处理器和收发机；

所述处理器，用于通过所述收发机接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

根据所述位置信息，从区块链中获取所述预设信息；

根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；

在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；

根据所述属性信息，通过所述收发机向所述终端反馈针对接入控制的请求响应；

其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值。
一种终端，包括：处理器和收发机；

所述处理器，用于通过所述收发机向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；

通过所述收发机接收所述第一网络侧设备反馈的针对接入控制的请求响应；

其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一终端标识信息，或者与所述终端的公钥无关的第二终端标识信息以及所述终端的公钥信息，或者所述第二终端标识信息以及所述终端的公钥的散列值。
一种区块链节点，所述区块链节点为第一区块链节点，包括：处理器和收发机；

所述处理器，用于通过所述收发机接收终端发送的待认证信息；

对所述待认证信息进行认证；

在认证通过的情况下，将与所述待认证信息对应的至少一个认证信息存储在区块链账本中；

其中，所述待认证信息包括用户凭证信息和/或属性信息；所述用户凭证信息包括终端标识信息；

所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一终端标识信息或与所述终端的公钥无关的第二终端标识信息或与所述终端的公钥对应的第三终端标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。
一种网络侧设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；其中，所述处理器执行所述程序时实现如权利要求1至10中任一项所述的接入控制方法。
一种终端，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；其中，所述处理器执行所述程序时实现如权利要求11至17中任一项所述的接入控制方法。
一种区块链节点，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；其中，所述处理器执行所述程序时实现如权利要求18至24中任一项所述的接入控制方法。
一种可读存储介质，其上存储有程序，其中，该程序被处理器执行时实现如权利要求1至10中任一项所述的接入控制方法中的步骤；或者，

该程序被处理器执行时实现如权利要求11至17中任一项所述的接入控制方法中的步骤；或者，

该程序被处理器执行时实现如权利要求18至24中任一项所述的接入控制方法中的步骤。