CN110224838B - 基于区块链的数据管理方法、装置及存储介质 - Google Patents
基于区块链的数据管理方法、装置及存储介质 Download PDFInfo
- Publication number
- CN110224838B CN110224838B CN201910500891.XA CN201910500891A CN110224838B CN 110224838 B CN110224838 B CN 110224838B CN 201910500891 A CN201910500891 A CN 201910500891A CN 110224838 B CN110224838 B CN 110224838B
- Authority
- CN
- China
- Prior art keywords
- server
- management node
- management
- information
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 238000003860 storage Methods 0.000 title claims abstract description 33
- 238000013523 data management Methods 0.000 title claims abstract description 27
- 238000007726 management method Methods 0.000 claims abstract description 426
- 238000013475 authorization Methods 0.000 claims abstract description 95
- 238000012795 verification Methods 0.000 claims abstract description 31
- 238000012550 audit Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 8
- 239000000126 substance Substances 0.000 claims description 2
- 238000013507 mapping Methods 0.000 description 22
- 239000000463 material Substances 0.000 description 16
- 238000010586 diagram Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 12
- 230000003993 interaction Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 8
- 239000003795 chemical substances by application Substances 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 208000034840 pagnamenta type spondylometaphyseal dysplasia Diseases 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 239000002689 soil Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Abstract
本发明提供的一种基于区块链的数据管理方法、装置及存储介质,该方法应用于管理服务器,包括:接收管理节点发送的注册请求消息,注册请求消息包括管理节点的相关信息,相关信息包括如下中的至少一个:管理节点的标识信息、管理节点的公钥和归属运营主体信息;管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器;在管理节点的相关信息验证通过时,向管理节点分配标识信息和签名信息;接收管理节点发送的第一签名数据,第一签名数据为管理节点根据标识信息和签名信息生成的数据;将第一签名数据存储到区块链中。本发明提供的数据管理方法、装置及存储介质,可实现各管理节点快速共享信息的需求。
Description
技术领域
本发明涉及数据管理领域,尤其涉及一种基于区块链的数据管理方法、装置及存储介质。
背景技术
随着智能科技与物联网的迅速发展,嵌入式通用集成电路卡EUICC(EmbeddedUniversal Integrated Circuit Card)即内嵌式SIM卡,是对传统SIM卡的基础上进行改进,EUICC为直接嵌入到电路板上,不需要设置独立卡槽,这样,一方面可以节省空间,增强智能设备的防水、防尘和抗震性,适应物联网水下、土壤中以及沙漠等复杂环境中的要求;另一方面,无需人工参与插拔SIM卡,同时EUICC还可以基于互联网按需下载用户数据,并可以进行远程控制,进而使得智能设备的使用更为便利。基于此,对EUICC的管理也越来越受到本领域技术人员重视。
现有技术中,图1为一种EUICC的体系架构,如图1所示,该管理体系中主要包括EUICC的服务商、EUICC的运营商、EUICC的卡商、EUICC的证书授权中心以及EUICC等管理节点。
图2为一种EUICC的证书发布的管理流程图,图3为一种EUICC的终端认证的管理流程图;如图2所示,EUICC的卡商与服务商向证书机构的证书授权中心提交证书申请。证书机构的证书授权中心在卡商与服务商申请成功后,为卡商与服务商签发相关证书。由EUICC卡商(Embedded Universal Manufacturer,EUM)批量生成终端证书,并将终端证书预置到EUICC中,EUICC被批量交付至终端厂商,进而终端厂商将EUICC焊接到智能终端中。如图3所示,当终端客户拿到终端后,将会向运营商提交签约申请,运营商经过审核,终端用户通过申请后,运营商将会向服务商提供码号资源,此时,服务商将会通知EUICC设备下载码号数据。EUICC设备会向服务商发起下载码号数据的申请,服务商经过核查EUICC设备证书的有效性,若经过核查后确认该证书有效,则EUICC设备将会下载相应的码号数据。
由于现有技术中,卡商、运营商、证书授权中心和终端厂商等管理主体只负责其内部的管理,各个管理主体之间并没有信息或数据的交互,若其中一个管理主体中的信息或数据进行了更新,其他的管理主体将不能及时地获得到更新后的信息或数据,且各个管理主体之间的信息不能实现共享。
发明内容
本发明实施例提供一种基于区块链的数据管理方法、装置及存储介质,可实现各管理节点快速共享信息的需求。
根据本发明实施例的第一方面,提供一种基于区块链的数据管理方法,该方法包括:
接收管理节点发送的注册请求消息,所述注册请求消息包括所述管理节点的相关信息,所述相关信息包括如下中的至少一个:所述管理节点的标识信息、所述管理节点的公钥和归属运营主体信息中的至少一个;所述管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器;
在所述管理节点的相关信息验证通过时,向所述管理节点分配标识信息和签名信息;
接收所述管理节点发送的第一签名数据,所述第一签名数据为所述管理节点根据所述标识信息和所述签名信息生成的数据;
将所述第一签名数据存储到区块链中。
可选的,所述方法还包括:
接收所述管理节点发送的配置数据,所述配置数据中包括所述管理节点的标识信息和所述管理节点的公钥中的至少一个;
在所述配置数据验证通过时,向所述管理节点发送通知消息;所述通知消息用于指示所述管理节点对所述配置数据进行签名;
接收所述管理节点发送的第二签名数据,所述第二签名数据为所述管理节点对所述配置数据进行签名之后得到的数据;
将所述第二签名数据存储到区块链中。
可选的,所述管理节点包括授权服务器或终端厂商服务器;
所述方法还包括:
接收所述授权服务器或所述终端厂商服务器发送的第三签名数据,所述第三签名数据为所述授权服务器或所述终端厂商服务器对嵌入式SIM卡EUICC证书信息进行签名后得到的数据,所述EUICC证书信息为所述卡商服务器发送给所述授权服务器或所述终端厂商服务器的;
将所述第三签名数据存储到区块链中。
可选的,所述管理节点包括运营商服务器;
所述方法还包括:
接收所述运营商服务器发送的第四签名数据,所述第四签名数据为所述运营商服务器对EUICC终端信息进行签名后得到的数据,所述EUICC终端信息为所述终端厂商服务器发送给所述运营商服务器的;
将所述第四签名数据存储到区块链中。
可选的,所述管理节点包括运营商服务器;
所述方法还包括:
接收所述运营商服务器发送的第五签名数据,所述第五签名数据为所述运营商服务器对EUICC终端下载的号码数据进行签名后得到的数据;
将所述第五签名数据存储到区块链中。
可选的,所述管理节点包括运营商服务器和授权服务器;
所述方法还包括:
接收所述运营商服务器发送的挂失请求消息;所述挂失请求消息用于对终端进行挂失处理,所述挂失请求消息中包括所述终端的标识信息;
根据所述挂失请求消息,向所述授权服务器发送第一消息,所述第一消息中包括所述终端的标识信息,所述第一消息用于指示所述授权服务器吊销所述终端的EUICC证书;
接收所述授权服务器发送的第二消息,所述第二消息用于表示所述终端的EUICC证书吊销成功;
根据所述第二消息,向所述运营商服务器发送挂失响应消息,所述挂失响应消息用于表示所述终端挂失成功。
可选的,所述根据所述第二消息,向所述运营商服务器发送挂失响应消息之后,所述方法还包括:
接收所述运营商服务器发送的第六签名数据,所述第六签名数据为所述运营商服务器对吊销的所述终端的EUICC证书进行签名后得到的数据;
将所述第六签名数据存储到区块链中。
根据本发明实施例的第二方面,提供一种基于区块链的数据管理装置,所述装置包括:
接收模块,用于接收管理节点发送的注册请求消息,所述注册请求消息包括所述管理节点的相关信息,所述相关信息包括如下中的至少一个:所述管理节点的标识信息、所述管理节点的公钥和归属运营主体信息中的至少一个;所述管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器;
分配模块,用于在所述管理节点的相关信息验证通过时,向所述管理节点分配标识信息和签名信息;
所述接收模块,还用于接收所述管理节点发送的第一签名数据,所述第一签名数据为所述管理节点根据所述标识信息和所述签名信息生成的数据;
存储模块,用于将所述第一签名数据存储到区块链中。
可选的,所述装置还包括:第一发送模块;其中,
所述接收模块,还用于接收所述管理节点发送的配置数据,所述配置数据中包括所述管理节点的标识信息和所述管理节点的公钥中的至少一个;
所述第一发送模块,用于在所述配置数据验证通过时,向所述管理节点发送通知消息;所述通知消息用于指示所述管理节点对所述配置数据进行签名;
所述接收模块,还用于接收所述管理节点发送的第二签名数据,所述第二签名数据为所述管理节点对所述配置数据进行签名之后得到的数据;
所述存储模块,还用于将所述第二签名数据存储到区块链中。
可选的,所述管理节点包括授权服务器或终端厂商服务器;
所述接收模块,还用于接收所述授权服务器或所述终端厂商服务器发送的第三签名数据,所述第三签名数据为所述授权服务器或所述终端厂商服务器对嵌入式SIM卡EUICC证书信息进行签名后得到的数据,所述EUICC证书信息为所述卡商服务器发送给所述授权服务器或所述终端厂商服务器的;
所述存储模块,还用于将所述第三签名数据存储到区块链中。
可选的,所述管理节点包括运营商服务器;
所述接收模块,还用于接收所述运营商服务器发送的第四签名数据,所述第四签名数据为所述运营商服务器对EUICC终端信息进行签名后得到的数据,所述EUICC终端信息为所述终端厂商服务器发送给所述运营商服务器的;
所述存储模块,还用于将所述第四签名数据存储到区块链中。
可选的,所述管理节点包括运营商服务器;
所述接收模块,还用于接收所述运营商服务器发送的第五签名数据,所述第五签名数据为所述运营商服务器对EUICC终端下载的号码数据进行签名后得到的数据;
所述存储模块,还用于将所述第五签名数据存储到区块链中。
可选的,所述管理节点包括运营商服务器和授权服务器;所述装置还包括:第二发送模块;
所述接收模块,还用于接收所述运营商服务器发送的挂失请求消息;所述挂失请求消息用于对终端进行挂失处理,所述挂失请求消息中包括所述终端的标识信息;
所述第二发送模块,用于根据所述挂失请求消息,向所述授权服务器发送第一消息,所述第一消息中包括所述终端的标识信息,所述第一消息用于指示所述授权服务器吊销所述终端的EUICC证书;
所述接收模块,还用于接收所述授权服务器发送的第二消息,所述第二消息用于表示所述终端的EUICC证书吊销成功;
所述第二发送模块,还用于根据所述第二消息,向所述运营商服务器发送挂失响应消息,所述挂失响应消息用于表示所述终端挂失成功。
可选的,所述接收模块,还用于接收所述运营商服务器发送的第六签名数据,所述第六签名数据为所述运营商服务器对吊销的所述终端的EUICC证书进行签名后得到的数据;
所述存储模块,还用于将所述第六签名数据存储到区块链中。
根据本发明实施例的第三方面,提供一种管理服务器,包括:
处理器;
存储器;以及
计算机程序;
其中,所述计算机程序被存储在所述存储器中,并且被配置为由所述处理器执行,所述计算机程序包括用于执行第一方面所述的方法的指令。
根据本发明实施例的第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序使得管理服务器执行第一方面所述的方法。
本发明实施例提供的基于区块链的数据管理方法、装置及存储介质,该方法应用于管理服务器,通过接收管理节点发送的注册请求消息,注册请求消息包括管理节点的相关信息,相关信息包括如下中的至少一个:管理节点的标识信息、所述管理节点的公钥和归属运营主体信息中的;管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器;并在管理节点的相关信息验证通过时,向管理节点分配标识信息和签名信息;接收管理节点发送的第一签名数据,第一签名数据为管理节点根据标识信息和签名信息生成的数据;最终将第一签名数据存储到区块链中。由于通过各个管理节点向管理服务器发送注册请求消息,使得管理服务器中存储有各个管理节点分配标识信息和签名信息,并将生成数据的各个管理节点信息存储在区块链中,这样可以通过管理服务器中的区块链加速关键信息与数据流转速度,进而实现信息的共享,同时还可以通过区块链实现数据的实时查询。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为一种EUICC的体系架构。
图2为一种EUICC的证书发布的管理流程图。
图3为一种EUICC的终端认证的管理流程图。
图4为本发明实施例提供的一种EUICC的管理体系的架构图。
图5为本发明实施例提供的一种EUICC的管理体系的功能结构图。
图6为本发明实施例提供的一种EUICC的管理体系中管理服务器和终端厂商服务器的交互示意图。
图7是本发明根据一示例性实施例示出的一种基于区块链的数据管理方法的流程图。
图8是根据一示例性实施例示出的一种管理主体的注册的流程图。
图9是本发明根据另一示例性实施例示出的一种基于区块链的数据管理方法的流程图。
图10是本发明根据一示例性实施例示出的一种管理主体的生成配置数据的流程图。
图11是本发明根据又一示例性实施例示出的一种基于区块链的数据管理方法的流程图。
图12是本发明根据一示例性实施例示出的一种EUICC证书的发布的流程图。
图13是本发明根据一示例性实施例示出的一种终端认证的流程图。
图14是本发明根据一示例性实施例示出的一种终端用户挂失EUICC证书的流程图。
图15是根据一示例性实施例示出的一种终端吊销EUICC证书的流程图。
图16是本发明根据一示例性实施例示出的一种基于区块链的数据管理装置的框图。
图17是本发明根据又一示例性实施例示出的一种基于区块链的数据管理装置的框图。
图18是本发明根据另一示例性实施例示出的一种基于区块链的数据管理装置的框图。
图19为本发明实施例提供的一种管理服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”及“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供的基于区块链的数据管理方法适用于EUICC的管理中,现有技术中,如图1所示,图中的实线部分为管理体系中有所体现的部分,虚线部分为在该体系中没有明确的部分,也即在该管理体系中证书授权中心与其他管理节点没有任何交集。在实际的工业化生产过程中,虽然有终端厂商的参与,但是在EUICC管理体系中并没体现,也即,在EUICC的管理体系中缺失了终端厂商的管理系统等节点,导致信息网络的不完整。另外,在现有技术中的管理体系中证书机构的证书授权中心只有在申请阶段参与管理,这样使得证书授权中心与其他各个管理节点之间的关联出现了缺失,导致证书收权管理中心的管理并未实现闭环管理,进而导致各管理节点之间的信息交互较延迟。也即各个管理主体之间并没有信息或数据的交互,若其中的一个管理主体中的信息或数据进行了更新,其他的管理主体将不能及时地获得到更新后的信息或数据,且各个管理主体之间的信息不能实现共享。
考虑到上述的技术问题,本发明实施例提出了一种基于区块链的数据管理方法,通过接收管理节点发送的注册请求消息,注册请求消息包括管理节点的相关信息,相关信息包括如下中的至少一个:管理节点的标识信息、所述管理节点的公钥和归属运营主体信息中的;管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器;并在管理节点的相关信息验证通过时,向管理节点分配标识信息和签名信息;接收管理节点发送的第一签名数据,第一签名数据为管理节点根据标识信息和签名信息生成的数据;最终将第一签名数据存储到区块链中。由于通过各个管理节点向管理服务器发送注册请求消息,使得管理服务器中存储有各个管理节点分配标识信息和签名信息,并将生成数据的各个管理节点信息存储在区块链中,这样可以通过管理服务器中的区块链加速关键信息与数据流转速度,进而实现信息的共享,同时还可以通过区块链实现数据的实时查询。
在介绍具体的实施例之前,先对EUICC的管理体系进行详细介绍,图4为本发明实施例提供的一种EUICC的管理体系的架构图,图5为本发明实施例提供的一种EUICC的管理体系的功能结构图,图6为本发明实施例提供的一种EUICC的管理体系中管理服务器和终端厂商服务器的交互示意图。
如图4所示,将EUICC的管理体系中相关主体划分为管理平面与业务平面。其中管理平面包含管理服务器、授权服务器、卡商服务器、运营商服务器(服务商和运营商)、终端厂商服务器等管理主体。业务平面包含证书发行机构(Certificate Issuer,CI)、卡商EUM、服务商SERVERS、移动网络运营商(Mobile Network Operator,MNO)和终端管理系统(Devices Management System,DMS)等业务运营主体。进一步的,除管理服务器以外,管理平面中的管理主体分别映射到业务平面中的业务运营主体,管理主体用于指导业务运营主体的运营,二者之间的信息交互方式可以自定义。其中管理服务器与终端厂商服务器是较现有技术中新增的主体。针对现有技术中各管理主体之间缺乏的信息通道的情况,基于区块链技术,将所有管理主体作为节点,通过在区块链表中存储公开的基础数据,使得所有管理主体中的信息保持一致。进一步通过补充信息传送机制,实现EUICC的闭环管理;另外,各管理主体中还存储私有信息,通过生产与消费EUICC证书吊销消息的方法,来满足海量终端的应用、多CI的环境以及各管理主体敏感信息的保密以及大数据离境限制等需求。基于采用数字签名验证消息与区块链数据的真实有效完整。
通过将管理服务器设计为管理平面与业务平面的架构,可以将管理职责与日常运营分离,可以支撑海量终端应用、多个管理服务器、多个同类型管理主体,多个运营主体,以及敏感信息保密或大数据离境限制等复杂环境。
如图4所示,管理服务器负责管理授权服务器、卡商服务器、运营商服务器、终端厂商服务器等管理主体,并为各管理主体的资质审核,颁发EUICC证书以及吊销EUICC证书提供实时消息和区块链服务。具体的,授权服务器负责管理证书机构CI,并存储卡商EUM、服务商SERVERS、安全传输协议(Transport Layer Security,TLS)证书的信息,并指导证书机构CI吊销卡商EUM、服务商、TLS以及EUICC的证书,并向指定的管理主体推送上述证书的状态信息。服务商是指远程SIM卡配置(Remote SIM Provisioning,RSP)或机器对机器通信(Machine to Machine,M2M)的服务商,用于负责管理服务商SERVERS(SMDP+、SM-DP和SM-SR),指导SERVERS运营RSP或M2M的业务。卡商服务器负责管理EUM,指导EUM生成EUICC证书,并将其保存后向其他管理主体发布必要的信息。运营商服务器负责管理MNO,指导MNO与终端客户签订服务协议,并提供支持RSP或M2M的业务电信服务,存储并向其他管理主体发布必要的信息。终端厂商服务器负责管理DMS,保存EUICC以及DEVICE终端的款型等信息,并向其他管理主体发布必要信息。
如图5所示,管理服务器由认证中心、管理中心、消息队列引擎、区块链引擎组成。认证中心负责审核其他管理主体的资质、签发和吊销EUICC证书,并与其他管理主体进行信息的实时交互,例如,确认各管理主体是否正确或信息是否完整有效。管理中心负责接收认证中心送达的信息,根据信息的类型,将认证中心确认的信息分派给消息队列引擎与区块链引擎进行处理。区块链引擎负责管理区块链中的信息,将各管理主体送达的基础数据组织成为区块链表,以用于快速检索数据的内存映射表,并根据数据所有者的要求对数据进行加密,确保所有管理主体中的区块链信息一致。消息队列引擎负责管理消息队列,基于区块链内存映射表(附区块链索引)明确送达地址,并进行重组消息,而其他管理主体可以作为消息的生产者与消费者,如EUICC证书的发布或EUICC证书的吊销。
通过将EUICC相关的管理主体进行注册数据、配置数据、终端认证、挂失和吊销证书等纳入区块链,加速嵌入式SIM卡(Embedded SIM,ESIM)生态系统关键信息与数据的流转速度。又通过在管理服务器中新增管理机构节点,由认证中心、管理中心、消息队列引擎、区块链引擎组成。管理服务器负责管理授权服务器、卡商服务器、运营商服务器和终端厂商服务器等管理主体的资质审核、颁发接入证书和吊销管理主体接入证书,可以提供实时消息和区块链服务。
如图6所示,以终端厂商服务器为例(其他管理主体类似),终端厂商服务器由认证单元、业务管理、消息处理单元和区块链单元组成。其中认证单元负责保存公钥、私钥和EUICC接入证书等信息,与管理服务器中的认证中心可以进行信息的实时交互,例如,确认主体是否正确或信息是否完整有效。业务管理负责从DMS获取相关信息(获取信息的方式可以自定),根据认证单元送达的信息类型,将认证单元确认的信息分派给消息处理单元与区块链引擎单元进行处理。区块链单元负责根据业务管理的基础数据生成区块链表,并经由管理服务器,使得生成的区块链表与管理服务器中的区块链信息保持一致。消息处理单元负责根据业务管理的要求生成信息,并处理管理服务器定向发送的信息。
但是,在现实环境中存在多个卡商服务器、运营商服务器和终端厂商服务器,考虑到复杂的商业环境,与之对应,多个业务运营主体可能归属同一管理主体,如可能同时存在多个授权服务器,授权服务器设立多个证书机构CI,同一卡商服务器设立多个EUM等,不同管理主体与业务运营主体可以通过名称、标识(Identity,ID)、对象标识符(ObjectIdentifier,OID)或公钥等信息进行区分。
基于区块链技术,将所有管理主体作为节点,区块链表存储公开的基础数据,所有管理主体中区块链单元中的信息保持一致。公开的基础数据包含管理主体及其归属的业务运营主体的注册数据、用于不同管理主体协调生产的配置数据、吊销终端的数据和吊销证书的数据等。为了快速查询数据,基于区块链生成的内存映射表,与区块链数据相对应,可以在内存映射表内每条数据添加摘要值,以实现数据的快速查询。
下面以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图7是本发明根据一示例性实施例示出的一种基于区块链的数据管理方法的流程图,该方法应用于管理服务器,如图7所示,本实施例的方法可以包括:
步骤701、接收管理节点发送的注册请求消息,注册请求消息包括管理节点的相关信息,相关信息包括如下中的至少一个:管理节点的标识信息、管理节点的公钥和归属运营主体信息中的至少一个;管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器。
在本步骤中,为了支持EUICC产业,其核心业务流程至少包含:管理主体的注册、生成配置数据、EUICC发布、终端认证及用户挂失终端等。
在本步骤中,管理主体的注册用于实现管理主体的接入认证,并将相关的注册公开信息纳入区块链。其中,管理节点为各个管理主体,管理服务器接收各个管理主体的注册请求消息,其中,请求消息中包括各个管理主体的标识信息、公钥或归属运营主体信息中的至少一个,管理主体的标识信息为管理主体的名称、ID或OID,公钥为各个管理主体与管理服务器或各个管理主体之间进行信息交互时标识身份的秘钥,归属运营主体为管理主体的业务运营主体的归属方。
具体的,图8是根据一示例性实施例示出的一种管理主体的注册的流程图,如图8所示,管理主体向管理服务提交注册材料,以使管理服务器对管理主体提交的注册材料进行审核,主要对提交的材料的真实性和有效性进行审核,并判断是否需要其他管理主体来确认提交材料信息的相关内容。例如,在授权服务器在进行注册时,在向管理服务器提交注册材料的同时,还需要两家以上的运营商服务器主体进行确认。
步骤702、在管理节点的相关信息验证通过时,向管理节点分配标识信息和签名信息。
在本步骤中,管理服务器通过对管理主体提交的注册材料进行审核,若审核通过,则说明该管理主体提交的材料真实与有效,且在接收到其他管理主体的确认信息后,管理服务器将会向该管理主体分配标识信息和签名信息。
继续参考图8所示,管理服务器接收通过其他管理主体对提交的材料反馈的信息,并结合管理服务器审核的结果进行判定管理主体提交的注册材料是否能通过,若经管理服务器审核通过后,管理服务器将会对注册的管理主体分配ID。
步骤703、接收管理节点发送的第一签名数据,第一签名数据为管理节点根据标识信息和签名信息生成的数据。
在本步骤中,当分配给管理主体ID和签名数据后,将ID和签名数据生成第一签名数据,管理服务器接收管理主体发送的第一签名数据后,管理服务器将会对接收到的第一签名数据进行审核,主要审核接收到的管理主体的ID和签名信息与分配给管理主体的是否一致,若一致,则说明管理主体提交的ID和签名信息审核通过。
步骤704、将第一签名数据存储到区块链中。
在本步骤中,若管理主体提交的ID和签名信息经过管理服务器再次审核无误后,则说明管理主体已经通过审核,此时,管理服务器将会把第一签名数据存储在区块链中,并对区块链及内存映射表进行数据的更新,以使区块链及内存映射表中的数据为最新数据,保证后续通过区块链及内存映射表查询的数据的准确性,管理主体在区块链中的注册信息显示可以为:
标号 | 服务商名称 | 服务商ID | 服务商公钥 | SERVERS数量 | SERVERS1名称 | SERVERS1 OID | 摘要 | 管理机构签名 |
管理主体在内存映射表中的注册信息显示可以为:
行号 | 服务商名称 | 服务商ID | 服务商公钥 | SERVERS数量 | SERVERS1名称 | SERVERS1 0ID | 摘要 | 区块链标号 |
其中,内存映射表中每条数据的“区块链标号”字段指向区块链数据的“标号”字段,另外,在区块链表和内存映射表中两条数据的“摘要”字段内容应一致,并且其他对应的相关字段内容保持一致,且每条数据是以包含有时间戳的管理服务器对应的签名信息结束。
在本实施例中,将摘要信息纳入区块链表,基于摘要信息与本地数据配合,以实现信息查询的方法;基于数字摘要算法,设计内存映射表的结构,可以实现内存映射表与区块链数据项内容的快速核对,将区块链数据操作转换为基于内存映射表的操作,从而显著提升区块链数据查询速度。
本发明实施例提供的基于区块链的数据管理方法,该方法应用于管理服务器,通过接收管理节点发送的注册请求消息,注册请求消息包括管理节点的相关信息,相关信息包括如下中的至少一个:管理节点的标识信息、所述管理节点的公钥和归属运营主体信息中的;管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器;并在管理节点的相关信息验证通过时,向管理节点分配标识信息和签名信息;接收管理节点发送的第一签名数据,第一签名数据为管理节点根据标识信息和签名信息生成的数据;最终将第一签名数据存储到区块链中。由于通过各个管理节点向管理服务器发送注册请求消息,使得管理服务器中存储有各个管理节点分配标识信息和签名信息,并将生成数据的各个管理节点信息存储在区块链中,这样可以通过管理服务器中的区块链加速关键信息与数据流转速度,进而实现信息的共享,同时还可以通过区块链实现数据的实时查询。
在管理主体已向管理服务器注册成功后,若管理主体需要更改配置信息,或者相关管理主体协同完成特定款型终端测试,建立终端生产配置基础数据时,则需要生成配置数据,并将生成的配置数据更新到区块链中,具体的,图9是本发明根据另一示例性实施例示出的一种基于区块链的数据管理方法的流程图,如图9所示,本实施例的方法可以包括:
步骤901、接收管理节点发送的配置数据,配置数据中包括管理节点的标识信息和管理节点的公钥中的至少一个。
在本步骤中,配置数据为建立终端生产配置的基础数据,可以包括管理节点的标识信息和管理节点的公钥中的至少一个,其中,管理节点的标识信息可以为管理节点的名称和管理节点的ID等,管理节点的公钥为管理主体与管理服务器或其他管理主体之间进行信息交互时标识身份的秘钥。
在将配置数据更新到区块链中之前,管理节点需要先向管理服务器提交配置数据,该配置数据即需要存储在区块链的数据,管理服务器对管理主体提交的配置数据进行审核。图10是本发明根据一示例性实施例示出的一种管理主体的生成配置数据的流程图,如图10所示,管理服务器进行审核,主要对提交的配置数据的真实性和有效性进行审核。同时,还判断是否需要其他管理主体来确认提交配置数据信息的相关内容,也即还需要其他管理主体对配置数据的信息确认。例如,终端厂商服务器声明某一款内置的EUICC证书的终端需要卡商服务器、运营商服务器和授权服务器的测试,也即在管理服务器对终端厂商服务器节点的配置数据进行审核的同时,管理服务器将配置数据转发给卡商服务器、运营商服务器和授权服务器,以使卡商服务器、运营商服务器和授权服务器对配置数据进行进一步的确认。
步骤902、在配置数据验证通过时,向管理节点发送通知消息;通知消息用于指示管理节点对配置数据进行签名。
在本步骤中,管理服务器通过对管理主体提交的配置数据进行审核,若对配置数据验证通过,则说明该管理主体提交的配置数据真实与有效,且在接收到其他管理主体的确认信息后,此时,管理服务器将会向该管理主体发送通知消息。其中,通知消息用于指示管理节点对配置数据进行签名。
继续参考图10所示,管理服务器接收通过其他管理主体对配置数据确认的反馈信息,管理服务器将会汇总确认信息中的配置数据,并将确认后的配置数据发送至管理主体,管理主体将接收到的确认后的配置数据生成签名数据。
步骤903、接收管理节点发送的第二签名数据,第二签名数据为管理节点对配置数据进行签名之后得到的数据。
在本步骤中,管理节点将生成的第二签名数据发送的至管理服务器,该第二签名数据为管理节点根据管理服务器确认后的配置数据生成的签名数据。
步骤904、将第二签名数据存储到区块链中。
在本步骤中,管理服务器将接收到的第二签名数据存储在区块链中,生成区块连数据,并更新内存映射表数据。具体的,管理节点在区块链中的配置数据显示可以为:
标号 | 终端商名称 | 终端商ID | 终端款型 | 卡商ID | 运营商ID | 服务商ID | 证书机构ID | 摘要 | 管理机构签名 |
管理主体在内存映射表中的配置数据显示可以为:
行号 | 终端商名称 | 终端商ID | 终端款型 | 卡商ID | 运营商ID | 服务商ID | 证书机构ID | 摘要 | 区块链标号 |
本实施例,管理服务器通过对管理节点提交的配置数据进行审核后,并将确认后的配置数据进行汇总后,发送给管理主体,管理主体将接收到的确认后的配置数据生成第二签名数据,并将第二签名数据发送至管理服务器,管理服务器将第二签名数据存储在区块链中,通过将管理主体的配置数据存储在区块链中,以使其他管理主体和管理服务器对改变后的配置数据可以进行查询,保证了数据的实时更新,提高了查询到的数据的准确性。
图11是本发明根据一示例性实施例示出的一种基于区块链的数据管理方法的流程图,当管理节点包括授权服务器或终端厂商服务器时,如何基于区块链进行数据管理的过程,作详细的介绍,如图11所示,本实施例的方法可以包括:
步骤1101、接收授权服务器或终端厂商服务器发送的第三签名数据,第三签名数据为授权服务器或终端厂商服务器对嵌入式SIM卡EUICC证书信息进行签名后得到的数据,EUICC证书信息为卡商服务器发送给授权服务器或终端厂商服务器的。
在EUICC的管理体系中有终端厂商服务器与授权服务器的参与的过程,可以为EUICC证书的发布流程,当然在EUICC证书的发布过程中,还需要其他的管理主体参与,通过多个管理主体之间的相互配合,才能完成EUICC终端的生产过程。
具体的,图12是本发明根据一示例性实施例示出的一种EUICC证书的发布的流程图,如图12所示,卡商服务器和运营商服务器向授权服务器申请证书的相关材料,授权服务器对提交的申请材料进行审核,主要审核申请材料的真实性和有效性。若审核通过,授权服务器将会指导证书机构CI向卡商服务器签发相应数字证书,并明确授权给卡商服务器的EUICC证书的范围与数量,进而卡商服务器指导ECU批量生成EUICC证书并植入到EUICC芯片中,并同时可以植入多个证书机构CI。EUICC识别码(EUICC Identifier,EID)号段是面向卡商服务器分配的EUICC唯一标识,且EID号段存在于EUICC证书中。进而卡商服务器可以根据实际情况选择向授权服务器反馈EUICC证书的摘要信息或详细信息,授权服务器根据反馈的信息,生成EUICC相应证书区块链数据。同时卡商服务器向终端厂商服务器批量供应已植入EUICC证书的EUICC芯片,终端厂商服务器接收EUICC芯片并对其进行查验内置的EUICC证书。具体为:向授权服务器和卡商服务器进行查验,授权服务器提供查验服务以及卡商服务器提供摘要信息,终端厂商服务器进行判别查验是否通过。若终端厂商服务器查验EUICC证书合格,则终端厂商服务器将组织生产EUICC终端,并签发生成区块链数据。
在本步骤中,管理服务器接收授权服务器或终端厂商服务器发送的第三签名数据,其中,第三签名数据就包括了授权服务器生成EUICC相应证书区块链数据以及终端厂商服务器签发终端生成区块链数据。
值得一提的是,授权服务器可以自行决定证书的签发及授权签发,与管理服务器和其他管理主体无关,并且授权服务器签发EUICC证书区块链数据。终端厂商服务器自行决定终端的生产与组织,与管理服务器和其他管理主体无关,并且终端厂商服务器签发终端的区块链数据。
步骤1102、将第三签名数据存储到区块链中。
在本步骤中,管理服务器将接收到的第三签名数据存储在区块链中,生成区块链数据,并更新内存映射表数据。具体的,EUICC证书发布在区块链中的信息显示可以为:
标号 | CI ID | 卡商ID | 证书数量 | EUM OID | 项目代号 | 终端款型 | EID号段 | 摘要 | 证书机构签名 |
EUICC证书发布在内存映射表中的信息显示可以为:
行号 | CI ID | 卡商ID | 证书数量 | EUM OID | 项目代号 | 终端款型 | EID号段 | 摘要 | 区块链标号 |
EUICC终端生产在区块链中的信息显示可以为:
标号 | 终端商ID | 项目代号 | 终端款型 | 卡商ID | EUM OID | 芯片批次 | 数量 | CI ID | 摘要 | 终端商签名 |
EUICC终端生产在内存映射表中的信息显示可以为:
行号 | 终端商ID | 项目代号 | 终端款型 | 卡商ID | EUM OID | 芯片批次 | 数量 | CI ID | 摘要 | 区块链标号 |
EUICC证书发布在区块链和内存映射表中的“证书数量”数据项可选配置或者进行加密;EUICC终端生产在区块链和内存映射表中,如果选用多个CI,需要依次增加“CI ID”数据项。另外,其中的“数量”数据项(即芯片数量)可选配置或者加密。
本实施例,管理服务器通过接收授权服务器或终端厂商服务器发送的第三签名数据,第三签名数据种包含有授权服务器生成EUICC相应证书区块链数据以及终端厂商服务器签发终端生成区块链数据,将第三签名数据存储在区块链中,且增加了终端厂商服务器对数据的管理,使得区块链终端的数据更为完善。同时,在EUICC证书发布的过程中,设计了卡商服务器向授权服务器反馈摘要信息的方法,进而实现了EUICC证书管理的闭环控制。
可选的,当管理节点包括运营商服务器时;基于区块链的数据管理方法还包括:
接收运营商服务器发送的第四签名数据,第四签名数据为运营商服务器对EUICC终端信息进行签名后得到的数据,EUICC终端信息为终端厂商服务器发送给运营商服务器的;将所述第四签名数据存储到区块链中。
具体的,当终端厂商服务器将EUICC证书定制至终端后,终端厂商服务器可以将批量的EUICC终端发给运营商服务器。此时,运营商服务器接收终端厂商服务器发送的EUICC终端的同时,接收EUICC终端的相关数据信息,运营商服务器并将接收到的数据生成签名数据。进一步的,运营商服务器将生成的第四签名数据发送至管理服务器,管理服务器将接收的第四签名数据存储在区块链中。例如,图13是本发明根据一示例性实施例示出的一种终端认证的流程图,如图13所示,运营商服务器接收到终端厂商服务器发送的批量EUICC的终端后,对EUICC的终端进行清点入库,并登记终端的款型与数量,进而运营商服务器对EUICC的终端的信息签发生成区块链。例如,终端入库的区块链中的数据的显示信息可以为:
标号 | 终端商ID | 终端款型 | 终端批次 | 数量 | 项目代号 | MNO ID | DMS ID | 摘要 | 运营商签名 |
终端入库的内存映射表中的数据的显示信息可以为:
行号 | 终端商ID | 终端款型 | 终端批次 | 数量 | 项目代号 | MN0 ID | DMS ID | 摘要 | 区块链标号 |
可选的,当管理节点包括运营商服务器;基于区块链的数据管理方法还包括:
接收运营商服务器发送的第五签名数据,第五签名数据为运营商服务器对EUICC终端下载的号码数据进行签名后得到的数据;将第五签名数据存储到区块链中。
继续参考图13,终端认证主要用于说明终端用户与运营商服务器的签约,进而使用EUICC终端下载码号数据的全过程。具体的,终端客户通过向运营商服务器提交签约申请,运营商服务器对用户提交的申请材料进行审核,确认终端用户的身份信息,以及提交材料的真实性及有效性,并进一步的判别该签约用户是否为已挂失终端。若该用户为非挂失终端,则确定该用户审核通过,运营商服务器向服务商提供EUICC的号码资源,服务商将会通知EUICC的终端设备下载号码资源。此时,EUICC的终端设备会向服务商提出下载号码资源的申请,服务商通过审核EUICC证书的有效性,判断审核是否通过。若审核通过后,EUICC终端将会下载相应的号码数据,进而服务商签发生成区块链数据;其中,服务商可以为运营商服务器中的负责某些业务的运营。
在本步骤中,管理服务器通过接收运营商服务器发送的第五签名数据,其中,第五签名数据中包括有已经通过服务商审核后EUICC终端下载的数据信息,并将第五签名数据存储在区块链中,例如,终端激活在区块链中的数据的显示信息可以为:
标号 | 服务商ID | SERVERS ID | 项目代号 | 终端商ID | 终端款型 | MNOID | EID | IMEI | CI ID | 摘要 | 服务商签名 |
终端激活在区块链中的数据的显示信息可以为:
行号 | 服务商ID | SERVERS ID | 项目代号 | 终端商ID | 终端款型 | MNOID | EID | IMEI | CI ID | 摘要 | 区块链标号 |
在EUICC终端丢失的情形下,终端用户需要向运营商服务器进行挂失,具体的用户挂失终端EUICC证书可以通过下面实施例进行说明。
图14是本发明根据一示例性实施例示出的一种终端用户挂失EUICC证书的流程图,如图14所示,若管理节点包括运营商服务器和授权服务器;本实施例的方法可以包括:
步骤1401、接收运营商服务器发送的挂失请求消息;挂失请求消息用于对终端进行挂失处理,挂失请求消息中包括终端的标识信息。
具体的,图15是根据一示例性实施例示出的一种终端吊销EUICC证书的流程图,如图15所示,用户向运营商服务器提交EUICC终端挂失申请,运营商服务器认证用户的身份,并对提交的申请挂失的材料进行审核。若审核通过,运营商服务器将会向管理服务器发起终端挂失请求消息,管理服务器审核终端挂失申请的有效性。根据请求消息,通过查阅终端入库信息以及激活信息与请求消息是否一致,以避免恶意挂失操作的行为,进而管理服务器签发终端挂失区块链数据。例如,挂失终端在区块链的数据显示可以为:
标号 | 终端商ID | 终端款型 | 终端批次 | IMEI | EID | MNOID | DMS ID | 摘要 | 管理机构签名 |
挂失终端在内存映射表中的数据显示可以为:
行号 | 终端商ID | 终端款型 | 终端批次 | IMEI | EID | MNO ID | DMS ID | 摘要 | 区块链标号 |
步骤1402、根据挂失请求消息,向授权服务器发送第一消息,第一消息中包括终端的标识信息,第一消息用于指示授权服务器吊销终端的EUICC证书。
在本步骤中,根据挂失的请求消息,管理服务器向授权服务器发送第一消息,在第一消息中包含有终端的标识信息,该标识信息可以为EUICC证书的标识信息,第一消息用于指示吊销EUICC证书。
具体的,继续参考图15,在管理服务器对挂失的终端审核通过后,又向授权服务器申请吊销终端的EUICC证书,授权服务器通过核查挂失证书的信息,并判定是否存储有详细信息。若授权服务器没有存储详细信息,授权服务器将向卡商服务器进行确认,卡商服务器确认后将会反馈确认信息。
步骤1403、接收授权服务器发送的第二消息,第二消息用于表示终端的EUICC证书吊销成功。
在本步骤中,授权服务器根据接收到的第一消息,对挂失信息进行核查,并与授权服务器中存储的信息进行判定是否一致。同时核查是否存储有挂失的EUICC证书的详细信息,若没有存储详细信息,可以通过向卡商服务器进行进一步的确认,以确保挂失的EUICC证书数据的准确性。进而向管理服务器发送第二消息,用于表示终端的EUICC证书吊销成功。
具体的,继上述例子,若授权服务器中存储有详细信息,将会向管理服务器发送吊销证书的消息,进而,管理服务器签发生成吊销证书的消息。
步骤1404、根据第二消息,向运营商服务器发送挂失响应消息,挂失响应消息用于表示终端挂失成功。
在本步骤中,管理服务器将终端的EUICC证书吊销成功的消息发送至运营商服务器,其中的响应消息表示了终端EUICC证书挂失成功。
可选的,接收运营商服务器发送的第六签名数据,第六签名数据为运营商服务器对吊销的终端的EUICC证书进行签名后得到的数据;将第六签名数据存储到区块链中。
具体的,运营商服务器根据接收到的挂失响应消息,对吊销的终端的EUICC证书的相关信息进行签名,生成第六签名数据。进而运营商服务器将第六签名数据发送至管理服务器,并存储在区块链中。
具体的,如图15所示,管理服务器向服务商发送吊销证书的消息的同时,并签发吊销证书区块链,服务商根据接收到的吊销证书消息,对该消息进行处理,并存储该吊销证书的消息。管理服务器签发吊销证书区块链,例如,吊销终端EUICC证书在区块链中的数据可以显示为:
标号 | EUMID | 证书机构ID | 证书序列 | 终端商ID | 证书公钥 | MNOID | EID | IMEI | CI ID | 摘要 | 管理机构签名 |
吊销终端EUICC证书在内存映射表中的数据可以显示为:
行号 | EUMID | 证书机构ID | 证书序列 | 终端商ID | 证书公钥 | MNOID | EID | IMEI | CI ID | 摘要 | 区块链标号 |
在本实施例中,管理服务器签发终端挂失区块链数据,并申请对应的授权服务器吊销EUICC证书,授权服务器确认相关信息后,吊销EUICC证书。为了方便服务商可以快速获取吊销证书消息,避免轮询多个证书机构CI,授权服务器采用消息推送的方式,经管理服务器向各服务商转发吊销证书消息,随后管理授权服务器生成吊销证书区块链数据。当终端厂商服务器和运营商服务器批量挂失终端时,可以跳过运营商服务器审核的步骤,直接从终端厂商服务器和运营商服务器向管理服务器发起终端挂失申请。
图16是本发明根据一示例性实施例示出的一种基于区块链的数据管理装置的框图,如图16所示,本实施例的装置可以包括:接收模块11和分配模块12和存储模块13,其中,
接收模块11,用于接收管理节点发送的注册请求消息,注册请求消息包括管理节点的相关信息,相关信息包括如下中的至少一个:管理节点的标识信息、管理节点的公钥和归属运营主体信息中的至少一个;管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器;
分配模块12,用于在管理节点的相关信息验证通过时,向管理节点分配标识信息和签名信息;
接收模块11,还用于接收管理节点发送的第一签名数据,第一签名数据为管理节点根据标识信息和签名信息生成的数据;
存储模块13,用于将第一签名数据存储到区块链中。
本实施例的装置,可以用于执行图7所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
可选的,基于区块链的数据管理装置还包括:第一发送模块14,如图17所示,其中,
接收模块11,还用于接收所述管理节点发送的配置数据,所述配置数据中包括所述管理节点的标识信息和所述管理节点的公钥中的至少一个;
第一发送模块14,用于在所述配置数据验证通过时,向所述管理节点发送通知消息;所述通知消息用于指示所述管理节点对所述配置数据进行签名;
接收模块11,还用于接收所述管理节点发送的第二签名数据,所述第二签名数据为所述管理节点对所述配置数据进行签名之后得到的数据;
存储模块13,还用于将所述第二签名数据存储到区块链中。
可选的,管理节点包括授权服务器或终端厂商服务器;
接收模块11,还用于接收授权服务器或终端厂商服务器发送的第三签名数据,第三签名数据为授权服务器或终端厂商服务器对嵌入式SIM卡EUICC证书信息进行签名后得到的数据,所述EUICC证书信息为卡商服务器发送给授权服务器或终端厂商服务器的;
存储模块13,还用于将第三签名数据存储到区块链中。
可选的,管理节点包括运营商服务器;
接收模块11,还用于接收运营商服务器发送的第四签名数据,第四签名数据为运营商服务器对EUICC终端信息进行签名后得到的数据,EUICC终端信息为终端厂商服务器发送给运营商服务器的;
存储模块13,还用于将第四签名数据存储到区块链中。
可选的,管理节点包括运营商服务器;
接收模块11,还用于接收运营商服务器发送的第五签名数据,第五签名数据为运营商服务器对EUICC终端下载的号码数据进行签名后得到的数据;
存储模块13,还用于将第五签名数据存储到区块链中。
可选的,管理节点包括运营商服务器和授权服务器;所述装置还包括:第二发送模块15;如图18所示。
接收模块11,还用于接收运营商服务器发送的挂失请求消息;挂失请求消息用于对终端进行挂失处理,挂失请求消息中包括终端的标识信息;
第二发送模块15,用于根据挂失请求消息,向授权服务器发送第一消息,第一消息中包括终端的标识信息,第一消息用于指示授权服务器吊销终端的EUICC证书;
接收模块11,还用于接收授权服务器发送的第二消息,第二消息用于表示终端的EUICC证书吊销成功;
第二发送模块15,还用于根据第二消息,向运营商服务器发送挂失响应消息,挂失响应消息用于表示终端挂失成功。
可选的,接收模块11,还用于接收运营商服务器发送的第六签名数据,第六签名数据为运营商服务器对吊销的终端的EUICC证书进行签名后得到的数据;
存储模块13,还用于将第六签名数据存储到区块链中。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图19为本发明实施例提供的一种管理服务器的结构示意图。图19显示的管理服务器仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图19所示,该管理服务器可以包括发送器60、处理器61、存储器62和至少一个通信总线63。通信总线63用于实现元件之间的通信连接。存储器62可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,存储器62中可以存储各种程序,用于完成各种处理功能以及实现本实施例的方法步骤。另外,该管理服务器还可以包括接收器64,本实施例中的接收器64可以为相应的具有通信功能和接收信息功能的输入接口,本实施例中的发送器60可以为相应的具有通信功能和发送信息功能的输出接口。可选的,该发送器60和接收器64可以集成在一个通信接口中,也可以分别为独立的两个通信接口。
另外,存储器62中存储有计算机程序,并且被配置为由处理器61执行,该计算机程序包括用于执行如上图7所示实施例的方法的指令或者执行如上图7所示实施例的方法的指令。
本发明实施例还提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机程序,计算机程序使得管理服务器执行前述图7所示实施例提供的图片处理方法。其中,上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (16)
1.一种基于区块链的数据管理方法,其特征在于,应用于管理服务器,所述方法包括:
接收管理节点发送的注册请求消息,所述注册请求消息包括所述管理节点的相关信息,所述相关信息包括如下中的至少一个:所述管理节点的第一标识信息、所述管理节点的公钥和归属运营主体信息中的至少一个;所述管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器;
对所述管理节点的相关信息进行审核,得到第一审核结果;
根据所述第一审核结果确定所述管理节点的相关信息是否验证通过,或者,根据所述第一审核结果和第二审核结果,确定所述管理节点的相关信息是否验证通过;所述第二审核结果为从其他管理节点接收到的其他管理节点对所述管理节点的相关信息的审核结果;
在所述管理节点的相关信息验证通过时,向所述管理节点分配第二标识信息和签名信息;
接收所述管理节点发送的第一签名数据,所述第一签名数据为所述管理节点根据所述第二标识信息和所述签名信息生成的数据;
将所述第一签名数据存储到区块链中。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述管理节点发送的配置数据,所述配置数据中包括所述管理节点的第一标识信息和所述管理节点的公钥中的至少一个;
在所述配置数据验证通过时,向所述管理节点发送通知消息;所述通知消息用于指示所述管理节点对所述配置数据进行签名;
接收所述管理节点发送的第二签名数据,所述第二签名数据为所述管理节点对所述配置数据进行签名之后得到的数据;
将所述第二签名数据存储到区块链中。
3.根据权利要求1所述的方法,其特征在于,所述管理节点包括授权服务器或终端厂商服务器;
所述方法还包括:
接收所述授权服务器或所述终端厂商服务器发送的第三签名数据,所述第三签名数据为所述授权服务器或所述终端厂商服务器对嵌入式SIM卡EUICC证书信息进行签名后得到的数据,所述EUICC证书信息为所述卡商服务器发送给所述授权服务器或所述终端厂商服务器的;
将所述第三签名数据存储到区块链中。
4.根据权利要求1所述的方法,其特征在于,所述管理节点包括运营商服务器;
所述方法还包括:
接收所述运营商服务器发送的第四签名数据,所述第四签名数据为所述运营商服务器对EUICC终端信息进行签名后得到的数据,所述EUICC终端信息为所述终端厂商服务器发送给所述运营商服务器的;
将所述第四签名数据存储到区块链中。
5.根据权利要求1所述的方法,其特征在于,所述管理节点包括运营商服务器;
所述方法还包括:
接收所述运营商服务器发送的第五签名数据,所述第五签名数据为所述运营商服务器对EUICC终端下载的号码数据进行签名后得到的数据;
将所述第五签名数据存储到区块链中。
6.根据权利要求1所述的方法,其特征在于,所述管理节点包括运营商服务器和授权服务器;
所述方法还包括:
接收所述运营商服务器发送的挂失请求消息;所述挂失请求消息用于对终端进行挂失处理,所述挂失请求消息中包括所述终端的标识信息;
根据所述挂失请求消息,向所述授权服务器发送第一消息,所述第一消息中包括所述终端的标识信息,所述第一消息用于指示所述授权服务器吊销所述终端的EUICC证书;
接收所述授权服务器发送的第二消息,所述第二消息用于表示所述终端的EUICC证书吊销成功;
根据所述第二消息,向所述运营商服务器发送挂失响应消息,所述挂失响应消息用于表示所述终端挂失成功。
7.根据权利要求6所述的方法,其特征在于,所述根据所述第二消息,向所述运营商服务器发送挂失响应消息之后,所述方法还包括:
接收所述运营商服务器发送的第六签名数据,所述第六签名数据为所述运营商服务器对吊销的所述终端的EUICC证书进行签名后得到的数据;
将所述第六签名数据存储到区块链中。
8.一种基于区块链的数据管理装置,其特征在于,所述装置包括:
接收模块,用于接收管理节点发送的注册请求消息,所述注册请求消息包括所述管理节点的相关信息,所述相关信息包括如下中的至少一个:所述管理节点的第一标识信息、所述管理节点的公钥和归属运营主体信息中的至少一个;所述管理节点包括如下服务器中的至少一种:授权服务器、卡商服务器、运营商服务器和终端厂商服务器;
审核模块,用于对所述管理节点的相关信息进行审核,得到第一审核结果;根据所述第一审核结果确定所述管理节点的相关信息是否验证通过,或者,根据所述第一审核结果和第二审核结果,确定所述管理节点的相关信息是否验证通过;所述第二审核结果为从其他管理节点接收到的其他管理节点对所述管理节点的相关信息的审核结果;分配模块,用于在所述管理节点的相关信息验证通过时,向所述管理节点分配第二标识信息和签名信息;
所述接收模块,还用于接收所述管理节点发送的第一签名数据,所述第一签名数据为所述管理节点根据所述第二标识信息和所述签名信息生成的数据;
存储模块,用于将所述第一签名数据存储到区块链中。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:第一发送模块;其中,
所述接收模块,还用于接收所述管理节点发送的配置数据,所述配置数据中包括所述管理节点的第一标识信息和所述管理节点的公钥中的至少一个;
所述第一发送模块,用于在所述配置数据验证通过时,向所述管理节点发送通知消息;所述通知消息用于指示所述管理节点对所述配置数据进行签名;
所述接收模块,还用于接收所述管理节点发送的第二签名数据,所述第二签名数据为所述管理节点对所述配置数据进行签名之后得到的数据;
所述存储模块,还用于将所述第二签名数据存储到区块链中。
10.根据权利要求8所述的装置,其特征在于,所述管理节点包括授权服务器或终端厂商服务器;
所述接收模块,还用于接收所述授权服务器或所述终端厂商服务器发送的第三签名数据,所述第三签名数据为所述授权服务器或所述终端厂商服务器对嵌入式SIM卡EUICC证书信息进行签名后得到的数据,所述EUICC证书信息为所述卡商服务器发送给所述授权服务器或所述终端厂商服务器的;
所述存储模块,还用于将所述第三签名数据存储到区块链中。
11.根据权利要求8所述的装置,其特征在于,所述管理节点包括运营商服务器;
所述接收模块,还用于接收所述运营商服务器发送的第四签名数据,所述第四签名数据为所述运营商服务器对EUICC终端信息进行签名后得到的数据,所述EUICC终端信息为所述终端厂商服务器发送给所述运营商服务器的;
所述存储模块,还用于将所述第四签名数据存储到区块链中。
12.根据权利要求8所述的装置,其特征在于,所述管理节点包括运营商服务器;
所述接收模块,还用于接收所述运营商服务器发送的第五签名数据,所述第五签名数据为所述运营商服务器对EUICC终端下载的号码数据进行签名后得到的数据;
所述存储模块,还用于将所述第五签名数据存储到区块链中。
13.根据权利要求8所述的装置,其特征在于,所述管理节点包括运营商服务器和授权服务器;所述装置还包括:第二发送模块;
所述接收模块,还用于接收所述运营商服务器发送的挂失请求消息;所述挂失请求消息用于对终端进行挂失处理,所述挂失请求消息中包括所述终端的标识信息;
所述第二发送模块,用于根据所述挂失请求消息,向所述授权服务器发送第一消息,所述第一消息中包括所述终端的标识信息,所述第一消息用于指示所述授权服务器吊销所述终端的EUICC证书;
所述接收模块,还用于接收所述授权服务器发送的第二消息,所述第二消息用于表示所述终端的EUICC证书吊销成功;
所述第二发送模块,还用于根据所述第二消息,向所述运营商服务器发送挂失响应消息,所述挂失响应消息用于表示所述终端挂失成功。
14.根据权利要求13所述的装置,其特征在于,
所述接收模块,还用于接收所述运营商服务器发送的第六签名数据,所述第六签名数据为所述运营商服务器对吊销的所述终端的EUICC证书进行签名后得到的数据;
所述存储模块,还用于将所述第六签名数据存储到区块链中。
15.一种管理服务器,其特征在于,包括:
处理器;
存储器;以及
计算机程序;
其中,所述计算机程序被存储在所述存储器中,并且被配置为由所述处理器执行,所述计算机程序包括用于执行权利要求1-7任一项所述的方法的指令。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序使得管理服务器执行权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910500891.XA CN110224838B (zh) | 2019-06-11 | 2019-06-11 | 基于区块链的数据管理方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910500891.XA CN110224838B (zh) | 2019-06-11 | 2019-06-11 | 基于区块链的数据管理方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110224838A CN110224838A (zh) | 2019-09-10 |
CN110224838B true CN110224838B (zh) | 2022-04-15 |
Family
ID=67816458
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910500891.XA Active CN110224838B (zh) | 2019-06-11 | 2019-06-11 | 基于区块链的数据管理方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110224838B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110798478B (zh) * | 2019-11-06 | 2022-04-15 | 中国联合网络通信集团有限公司 | 数据处理方法及设备 |
CN110851825B (zh) * | 2019-11-20 | 2022-04-15 | 恒宝股份有限公司 | 一种eSIM卡及其工作方法 |
CN111132156B (zh) * | 2019-12-30 | 2023-04-14 | 全链通有限公司 | 5g用户终端的注册方法、用户终端设备及介质 |
CN113014676B (zh) * | 2021-04-21 | 2023-11-03 | 联通雄安产业互联网有限公司 | 一种基于sim卡的物联网数据存储到区块链的系统及方法 |
CN115175170B (zh) * | 2022-06-30 | 2023-06-02 | 中国联合网络通信集团有限公司 | Usim数据自主上链实现方法、终端、usim及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102572805A (zh) * | 2010-10-28 | 2012-07-11 | 苹果公司 | 通过无线网络传输电子标识组件的方法和装置 |
CN107180350A (zh) * | 2017-03-31 | 2017-09-19 | 唐晓领 | 一种基于区块链的多方共享交易元数据的方法、装置及系统 |
CN108924821A (zh) * | 2018-08-10 | 2018-11-30 | 江苏恒宝智能系统技术有限公司 | 一种管理与运营商无关应用的方法及其eUICC卡 |
WO2019108438A1 (en) * | 2017-11-30 | 2019-06-06 | Mocana Corporation | System and method for securing data transport between a non-ip endpoint device that is connected to a gateway device and a connected service |
-
2019
- 2019-06-11 CN CN201910500891.XA patent/CN110224838B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102572805A (zh) * | 2010-10-28 | 2012-07-11 | 苹果公司 | 通过无线网络传输电子标识组件的方法和装置 |
CN107180350A (zh) * | 2017-03-31 | 2017-09-19 | 唐晓领 | 一种基于区块链的多方共享交易元数据的方法、装置及系统 |
WO2019108438A1 (en) * | 2017-11-30 | 2019-06-06 | Mocana Corporation | System and method for securing data transport between a non-ip endpoint device that is connected to a gateway device and a connected service |
CN108924821A (zh) * | 2018-08-10 | 2018-11-30 | 江苏恒宝智能系统技术有限公司 | 一种管理与运营商无关应用的方法及其eUICC卡 |
Also Published As
Publication number | Publication date |
---|---|
CN110224838A (zh) | 2019-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110224838B (zh) | 基于区块链的数据管理方法、装置及存储介质 | |
US11784788B2 (en) | Identity management method, device, communications network, and storage medium | |
EP3688634B1 (en) | System and method for implementing a resolver service for decentralized identifiers | |
US11076295B2 (en) | Remote management method, and device | |
EP2243311B1 (en) | Method and system for mobile device credentialing | |
EP3843364A1 (en) | Method, device, and apparatus for processing cloud service in cloud system | |
CN110601816B (zh) | 一种区块链系统中轻量级节点控制方法及装置 | |
CN107580790A (zh) | 用于提供简档的方法和装置 | |
US9883320B2 (en) | Method for processing request message in wireless communication system and apparatus therefor | |
EP3824594B1 (en) | Apparatus and method for ssp device and server to negotiate digital certificates | |
JPWO2018037453A1 (ja) | 認証システム、ならびに、プログラム | |
EP2288072A2 (en) | Encryption key distribution method in mobile broadcasting system and system for the same | |
CN103098438A (zh) | 证书撤销 | |
CN111866042B (zh) | 一种同步电信账号变更的方法及装置 | |
CN105007164A (zh) | 一种集中式安全控制方法及装置 | |
KR102014108B1 (ko) | eUICC 기기에 SIM 프로파일을 제공하기 위한 방법 및 RSP 서버 장치 | |
CN111259356B (zh) | 授权方法、辅助授权组件、管理服务器和计算机可读介质 | |
CN102497367A (zh) | 一种送达过程可证明的电子文书送达方法及系统 | |
CN111639369A (zh) | 数据共享方法、设备、存储介质及数据共享系统 | |
EP2096569A1 (en) | System and method for shared resource owner based access control | |
CN112099964A (zh) | 接口的调用方法、装置、存储介质及电子装置 | |
CN107318100B (zh) | 用于绑定手机号码的方法、装置及系统 | |
CN105656995A (zh) | 基于分布式处理的数据共享方法和系统 | |
CN114006708A (zh) | 基于区块链的密钥中心认证方法和设备 | |
CN112988412A (zh) | 基于区块链网络的边缘缓存方法、基站和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |