CN110505627B - 一种基于接入节点组的认证方法及装置 - Google Patents
一种基于接入节点组的认证方法及装置 Download PDFInfo
- Publication number
- CN110505627B CN110505627B CN201810476202.1A CN201810476202A CN110505627B CN 110505627 B CN110505627 B CN 110505627B CN 201810476202 A CN201810476202 A CN 201810476202A CN 110505627 B CN110505627 B CN 110505627B
- Authority
- CN
- China
- Prior art keywords
- access node
- group
- appointed
- consensus
- node group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种基于接入节点组的认证方法及装置。该方法包括:LSC接收服务请求,该服务请求用于请求指定接入节点为指定终端提供服务;LSC向该指定接入节点发送区块链共识计算指令,并接收该指定接入节点根据该区块链共识计算指令返回的共识结果;LSC根据所述共识结果,确定该指定接入节点是否可信,并在确认该指定接入节点可信后将该指定接入节点加入用于为所述指定终端提供服务的接入节点组,并将该接入节点组的组标识发送给所述指定接入节点;选取所述接入节点组中的优选接入节点,并触发所述优选接入节点与所述指定终端进行鉴权认证,所述鉴权认证的认证结果基于区块链传播机制在所述接入节点组内的接入节点间传播。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种基于接入节点组的认证方法及装置。
背景技术
未来网络中,移动数据业务在热点地区的数据流量增长迅速,用于提高单位面积内接入节点(access points,APs)密度的超密集组网(ultra dense network,UDN)技术被认为是解决5G网络中热点地区移动数据流量飞速增长的有效手段。UDN场景中,接入节点的数量可能与终端(user equipment,UE,也称用户设备)具有相当的密度,这对未来5G网络架构和安全机制提出了新的挑战。
以用户为中心的超密集网络(user-centric ultra-dense network,UUDN)致力于组织一组接入节点,以形成可动态变化的接入节点组(dynamic APsgroup,APG),跟随UE的移动并无感知地为每一个UE提供服务,让用户感觉有一个移动的网络覆盖一直伴随着它。接入节点组可以看作是无中心的,其成员随时可能发生变化,成员之间独立平等。
现有4G网络中的鉴权与密钥协商算法(authentication and key agreement,AKA)是针对UE与固定的移动性管理实体(mobility management entity,MME)之间进行安全鉴别,以及UE与固定的演进型节点B(evolved Node B,eNB)或家庭基站(home eNode B,HeNB)之间进行加密通信。在未来5G系统,尤其是UDN场景或UUDN场景下,现有4G网络中的安全接入鉴权算法已不能满足UE快速并安全接入到一个无中心的动态接入节点组的访问需求。
发明内容
本申请实施例提供一种基于接入节点组的认证方法及装置。
第一方面,提供一种基于接入节点组的认证方法,该包括:本地服务中心(localservice centre,LSC)接收服务请求,所述服务请求用于请求指定接入节点为指定终端提供服务;所述LSC向所述指定接入节点发送区块链共识计算指令,并接收所述指定接入节点根据所述区块链共识计算指令返回的共识结果;所述LSC根据所述共识结果,确定所述指定接入节点是否可信,并在确认所述指定接入节点可信后将所述指定接入节点加入用于为所述指定终端提供服务的接入节点组,并将所述接入节点组的组标识发送给所述指定接入节点;所述LSC选取所述接入节点组中的优选接入节点,并触发所述优选接入节点与所述指定终端进行鉴权认证,所述鉴权认证的认证结果基于区块链传播机制在所述接入节点组内的接入节点间传播。
根据上述方案,一方面利用区块链共识算法得到的共识结果,在无中心的接入节点中为终端选取可信的接入节点,从而组成安全的接入节点组,以提高接入节点组的安全性和成员的可靠性;另一方面,选取接入节点组中的优选接入节点,通过该优选接入节点与终端进行认证和鉴权,并基于区块链传播机制将认证结果在接入节点组内传播,使接入节点组中的成员均能够识别终端,从而减少终端在接入节点组成员间移动时的频繁认证,实现平滑接入与安全访问。
在一种可能的实现方式中,所述LSC选取所述接入节点组中的优选节点,包括:所述LSC选取所述接入节点组中被选入该接入节点组次数最多的接入节点,并将所述被选入该接入节点组次数最多的接入节点确定为所述接入节点组中的优选接入节点。
根据上述方案,接入节点组中被选入该接入节点组次数最多的接入节点,可信度最高,被选中的概率也最大,通常为相关参数如信号强度、带宽、延迟等综合因素较优的节点,因此选取该接入节点作为优选接入节点,可以提高可靠性。
在一种可能的实现方式中,所述LSC根据所述共识结果,确定所述指定接入节点是否可信,包括:所述LSC根据所述指定接入节点返回的共识结果,进行共识计算;所述LSC用自己计算得到的共识结果与所述指定接入节点返回的共识结果进行比较,若共识结果相匹配,则确定所述指定接入节点可信。
在一种可能的实现方式中,所述LSC接收服务请求之后,还包括:所述LSC获取所述接入节点组的中间密钥;所述将所述接入节点组的组标识发送给所述指定接入节点,包括:所述LSC用所述接入节点组的中间密钥推演出所述接入节点组的完整性保护秘钥,根据所述完整性保护密钥对所述组标识进行完整性保护,并将完整性保护后的组标识发送给所述指定接入节点。
根据上述方案,使用接入节点组的密钥对该接入节点组的组标识进行完整性保护,可以提高安全性。
在一种可能的实现方式中,所述区块链共识计算指令携带区块链共识算法指示信息,以向接入节点指示所使用的区块链共识算法。
第二方面,提高一种LSC装置,包括:接收模块,用于接收服务请求,所述服务请求用于请求指定接入节点为指定终端提供服务;共识结果获取模块,用于向所述指定接入节点发送区块链共识计算指令,并接收所述指定接入节点根据所述区块链共识计算指令返回的共识结果;接入节点组加入模块,用于根据所述共识结果,确定所述指定接入节点是否可信,并在确认所述指定接入节点可信后将所述指定接入节点加入用于为所述指定终端提供服务的接入节点组,并将所述接入节点组的组标识发送给所述指定接入节点;优选接入节点选取模块,用于选取所述接入节点组中的优选接入节点,并触发所述优选接入节点与所述指定终端进行鉴权认证,所述鉴权认证的认证结果基于区块链传播机制在所述接入节点组内的接入节点间传播。
在一种可能的实现方式中,所述优选接入节点选取模块,具体用于:选取所述接入节点组中被选入该接入节点组次数最多的接入节点,并将所述被选入该接入节点组次数最多的接入节点确定为所述接入节点组中的优选接入节点。
在一种可能的实现方式中,所述接入节点组加入模块,具体用于:根据所述指定接入节点返回的共识结果,进行共识计算;用自己计算得到的共识结果与所述指定接入节点返回的共识结果进行比较,若共识结果相匹配,则确定所述指定接入节点可信。
第三方面,提高一种通信装置,包括:处理器、存储器和网络接口;所述处理器,用于读取所述存储器中的程序,执行:通过所述网络接口接收服务请求,所述服务请求用于请求指定接入节点为指定终端提供服务;通过所述网络接口向所述指定接入节点发送区块链共识计算指令,并接收所述指定接入节点根据所述区块链共识计算指令返回的共识结果;根据所述共识结果,确定所述指定接入节点是否可信,并在确认所述指定接入节点可信后将所述指定接入节点加入用于为所述指定终端提供服务的接入节点组,并通过所述网络接口将所述接入节点组的组标识发送给所述指定接入节点;选取所述接入节点组中的优选接入节点,并触发所述优选接入节点与所述指定终端进行鉴权认证,所述鉴权认证的认证结果基于区块链传播机制在所述接入节点组内的接入节点间传播。
在一种可能的实现方式中,所述处理器,具体用于:选取所述接入节点组中被选入该接入节点组次数最多的接入节点,并将所述被选入该接入节点组次数最多的接入节点确定为所述接入节点组中的优选接入节点。
在一种可能的实现方式中,所述处理器,具体用于:根据所述指定接入节点返回的共识结果,进行共识计算;用自己计算得到的共识结果与所述指定接入节点返回的共识结果进行比较,若共识结果相匹配,则确定所述指定接入节点可信。
在一种可能的实现方式中,所述处理器,还用于:接收服务请求之后,获取所述接入节点组的中间密钥;所述处理器,具体用于:用所述接入节点组的中间密钥推演出所述接入节点组的完整性保护秘钥,根据所述完整性保护密钥对所述组标识进行完整性保护,并通过所述网络接口将完整性保护后的组标识发送给所述指定接入节点。
在一种可能的实现方式中,所述区块链共识计算指令携带区块链共识算法指示信息。
第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述第一方面中任一项所述的方法。
附图说明
图1为本申请实施例涉及的网络架构示意图;
图2为本申请实施例提供的基于接入节点组的认证方法流程框图;
图3为本申请实施例提供的基于接入节点组的认证方法信令交互示意图;
图4为本申请实施例提供的LSC装置的结构示意图;
图5为本申请实施例提供的通信装置的结构示意图。
具体实施方式
在UDN或UUDN网络场景下,终端接入一组由接入节点动态组成的接入节点组。由于接入节点组的动态性和无中心化,接入节点组中的成员相互独立、多样性及部署的自主化,以及一个接入节点可能归属多个接入节点组,故此不能排除非法接入节点的加入以及合法接入节点被假冒的问题,从而可能对终端及网络实体实施安全攻击,如终端被劫持接入到非法接入节点上等由此带来的安全威胁。因此,终端要进行安全可信的接入,在终端周围形成一个安全可信的接入节点组是必不可少的前提。
本申请实施例提出了一种终端接入去中心化接入节点组的安全认证机制,可以解决无中心条件下如何保证接入节点组的可信生成的问题,以使得终端快速接入到接入节点组并平滑地在接入节点组成员之间安全移动访问。本申请实施例可以针对未来5G网络,尤其是UDN或UUDN网络场景,使终端接入一组由接入节点动态组成的接入节点组。
本申请实施例借助区块链共识机制来形成安全的接入节点组。区块链(blockchain)是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构,并以密码学方式保证的不可篡改和不可伪造的分布式账本技术。区块链技术核心是基于共识机制解决去中心化环境下的信任安全问题。目前,根据不同的应用场景,如公有链、联盟链等,已经设计产生了多种共识算法,比如包括:工作量证明算法(proof of work,PoW)、权益证明算法(proof of stake,PoS)、股权授权证明算法(dPoS)、投注共识(casper)、实用拜占庭容错算法(practical byzantine fault tolerance,PBFT)、消逝时间量证明算法(PoET)等。
下面结合附图对本申请实施例进行详细描述。
参见图1,为本申请实施例涉及的网络架构示意图。该网络架构中包括终端、接入节点、本地服务中心(local service centre,LSC)和认证服务器等组成部分。
其中,终端又称之为用户设备(user equipment,UE)、移动台(mobile station,MS)、移动终端(mobile terminal,MT)等,是一种向用户提供语音和/或数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。目前,一些终端的举例为:手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internetdevice,MID)、可穿戴设备,虚拟现实(virtual reality,VR)设备、增强现实(augmentedreality,AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。
接入节点是网络中将终端接入到无线网络的部分。接入节点(或设备)为无线接入网中的节点(或设备),又可以称为基站。目前,一些接入节点的举例为:gNB、传输接收点(transmission reception point,TRP)、演进型节点B(evolved Node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(Node B,NB)、基站控制器(base stationcontroller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,homeevolved NodeB,或home Node B,HNB)、基带单元(base band unit,BBU),或无线保真(wireless fidelity,Wifi)接入点(access point,AP)等。另外,在一种网络结构中,接入节点可以包括集中单元(centralized unit,CU)节点和分布单元(distributed unit,DU)节点。
认证服务器可以由网络服务中心(network service center,NSC)和认证鉴权中心(Authentication Center,AuC)合设而成,表示为NSC/AuC,用于进行认证鉴权。
LSC用于管理接入节点基于区块链技术的共识机制为终端生成接入节点组以及对认证结果(鉴权向量)进行定向传播,实现无中心接入节点组的安全生成以及终端的安全快速接入认证。
需要说明的是,LSC的命名方式仅为示例,本申请实施例对此不做限制。
参见图2,为本申请实施例提供的基于接入节点组的认证方法流程框图。如图所示,该流程可包括:
S201:LSC接收服务请求,所述服务请求用于请求指定接入节点为指定终端提供服务。
其中,LSC接收到的服务请求可能来自于接入节点,也可能来自于终端。具体地,可能存在以下几种情况:
情况1:当接入节点接收到终端发送的接入请求后,可向LSC发送服务请求,以请求为该终端提供服务。
比如,当终端初始接入网络时,可发送接入请求。根据终端周围的接入节点数量、密度以及与该终端的距离,在与该终端一定距离范围内的接入节点能够接收到该终端发送的接入请求。接收到该终端的接入请求的接入节点,均可向LSC发送服务请求,以请求加入该终端的接入节点组。该终端的接入节点组中的接入节点,可为该终端提供网络服务。
情况2:已接入网络的终端探测到周围有新的接入节点时,可向该接入节点发送接入请求。该接入节点可向LSC发送服务请求。
比如,当终端接收到周围的接入节点发送的信号后,若判断该信号中携带的接入节点组标识与该终端所在的接入节点组的组标识不同,或者判断该信号中未携带接入节点组的组标识,则认为该接入节点为新的接入节点,则可向该接入节点发送接入请求,以触发该接入节点向LSC发送服务请求。
情况3:已接入网络的终端探测到周围有新的接入节点时,可向LSC发送服务请求,以请求允许该接入节点为该终端提供服务。
情况4:接入节点探测到有终端进入其覆盖范围时,可向LSC发送服务请求,以请求为该终端提供服务。
可选地,所述服务请求中可包含终端的上下文。其中,上下文即请求向量内容,上下文的内容可包括如发送者标识、随机数、时间戳等。
S202:LSC向上述指定接入节点发送区块链共识计算指令,并接收上述指定接入节点根据区块链共识计算指令返回的共识结果。
该步骤中,LSC针对接收到的每个服务请求,可分别向相应的接入节点发送区块链共识计算指令,以指示相应的接入节点进行区块链共识计算,并将共识结果返回给LSC。
可选地,可以预先约定默认的区块链共识算法,也可以由LSC指定区块链共识算法。如果由LSC指定区块链共识算法,则可选地,区块链共识计算指令携带区块链共识算法指示信息,以使接入节点根据该指示信息所指示的区块链共识算法进行共识计算。其中,可使用的区块链共识算法包括但不限于:工作量认证算法(POW)、权益证明算法(POS)、实用拜占庭容错算法(PBFT)、授权拜占庭容错算法(delegated BFT,dBFT)或验证池算法(POOL)等。
具体实施时,可根据需要,预先约定或由LSC指定使用哪种区块链共识算法。其中,PBFT算法较为适应UDN或UUDN网络场景,本申请实施例中可使用该算法进行共识计算。
可选地,LSC接收服务请求之后,还可以获取相应接入节点组(即该指定终端所在的接入节点组)的中间密钥等信息。接入节点组的中间密钥可作为推演接入节点组的完整性保护密钥的参数。
具体地,LSC可通过以下方式获取接入节点组的中间密钥等信息:向认证服务器发送接入节点组密钥请求,接收认证服务器根据该接入节点组密钥请求返回的接入节点组密钥响应,该响应中携带接入节点组的中间密钥等信息。
可选地,LSC可将获取到的接入节点组的中间密钥等信息保存在本地,当后续再次接收到服务请求后,可从本地获取所请求服务的终端所在的接入节点组的中间密钥等信息。
S203:LSC根据接收到的共识结果,确定所述指定接入节点是否可信,并在确认该接入节点可信后,将该接入节点加入用于为该指定终端提供服务的接入节点组,并将该接入节点组的组标识发送给该接入节点。
由于安全原因,接入节点中可能存在不可信接入节点,比如假冒接入节点。而传统区块链共识算法中,共识结果可以用来确定哪个接入节点可以拥有帐本写入权,但不能用于判断接入节点是否可信。因此本申请实施例中,一方面,各接入节点进行区块链共识计算并将共识结果上报给LSC,另一方面,LSC根据接入节点上报的结果,进行最终的共识计算得到该LSC所计算得到的最终共识结果,并用自己计算得到的最终共识结果与各接入节点返回的共识结果进行比较;若某个接入节点上报的共识结果与LSC计算得到的最终共识结果相匹配(比如两者一致),则认为该接入节点是基于共识可信的,可以作为接入节点组中的一个成员从而为该指定终端提供网络服务,因此将该接入节点加入用于为该指定终端提供服务的接入节点组。
以实用拜占庭容错算法为例,该算法要求在有3f+1个节点的分布式系统中,失效节点数量不超过f个。实用拜占庭容错算法的每一轮包括3个阶段:预准备阶段、准备阶段和确认阶段。在预准备阶段,由主节点发布包含待验证记录的预准备消息。接收到预准备消息后,每一个节点进入准备阶段。在准备阶段,主节点向所有节点发送包含待验证记录的准备消息,每一个节点验证其正确性,将正确记录保存下来并发送给其他节点。直到某一个节点接收到2f个不同节点发送的与预准备阶段接收的记录一致的正确记录,则该节点向其他节点广播确认消息,进人确认阶段。在确认阶段,直到每个诚实节点接收到2f+1个确认消息,共识计算过程终止,各节点对该记录达成一致。
可选地,本申请实施例中,可对参与共识计算的接入节点进行标识,比如对参与共识计算的接入节点进行编号,记为AP[i],i为正整数。若标记为AP[i]的接入节点的共识结果与LSC基于共识算法计算出的共识结果一致,则表明该接入节点是基于共识可信的,否则该接入节点不可信。在一次共识计算后,被确认为可信的接入节点的编号可能不再连续。
进一步地,可对确认为可信的接入节点进行重新标识(编号)。即在一次共识计算后,将被确认为可信的接入节点以一个新区块AP[k]进行标识,形成接入节点组,其中,k=[1..m](m<=n),n为参与共识计算的接入节点的总数量。
本申请实施例中,接入节点组可分配有唯一组标识,不同终端对应不同的接入节点组,不同接入节点组的组标识不同,一个接入节点可以属于一个或多个接入节点组。在确定出可信接入节点后,LSC可将该可信接入节点所属的接入节点组的组标识发送给该可信接入节点。
可选地,LSC可用该接入节点组的中间密钥推演得到该接入节点组的完整性保护密钥,使用该完整性保护密钥对该接入节点组的组标识进行完整性保护,并将完整性保护后的组标识发送给该接入节点组中的成员,以提高安全性。
需要说明的是,一个终端的接入节点组中的接入节点,在物理上可能处于该终端的周围,没有顺序和方向的约束,即该接入节点组是无中心的。
S204:LSC选取接入节点组中的优选接入节点,并触发该优选接入节点与该指定终端进行鉴权认证,该鉴权认证的认证结果基于区块链传播机制在该接入节点组内的接入节点间传播。
随着终端的移动,邻近该终端并可服务于该终端的接入节点也发生动态变化,不断的基于上述共识机制进行共识计算,生成新的接入节点组,从而动态刷新接入节点组中的成员。其中,部分接入节点可能被多次选取为接入节点组的成员。本申请实施例中,可标记接入节点组中各节点被选取的次数,并将接入节点组中标记被选取次数最多的接入节点作为该接入节点组中的优选接入节点。选取出的优选节点用来与终端进行鉴权认证。
进一步地,如果接入节点组中标记被选取次数最多的接入节点的数量为多个,则可以从中选取一个接入节点作为优选接入节点,比如从中随机选取一个接入节点作为优选接入节点。
进一步地,如果该终端初始接入网络,请求为该终端服务的接入节点在第一次共识计算过程中,接入节点组中不存在被选取为组成员次数最多的接入节点,因此可将接入节点组中的一个接入节点作为该接入节点组中的优选接入节点,比如可以将最先被选取的接入节点作为该接入节点组中的优选接入节点。
LSC选取出优选接入节点后,可向该优选节点发送指令和/或向该终端发送指令(向终端发送的指令中可包含该优选节点的信息),以触发该优选节点与终端进行双向鉴权认证。优选节点与终端之间的双向鉴权认证过程可采用类似4GLTE系统中的身份验证和密钥协议(authentication and key agreement,AKA)鉴权认证过程。如果双向鉴权认证通过,则优选节点将获得认证结果(鉴权向量)。
优选节点获得认证结果(鉴权向量)后,该认证结果(鉴权向量)可通过区块链传播机制,在该优选节点所在的接入节点组中的接入节点间传播,即实现接入节点组的定向传播。根据区块链传播机制,区块链网络采用广播方式公布交易信息,优选接入节点将认证结果(鉴权向量)广播到所在接入节点组中的接入节点,接入节点验证通过后将该认证结果(鉴权向量)通过区块链的广播机制进行广播,认证结果(鉴权向量)会以极快的速度被全链上的接入节点(即该接入节点组中的接入节点)接收。接入节点间通过区块链安全机制(比如Hash验证)检测该认证结果(鉴权向量)是否被篡改,以保证认证结果(鉴权向量)的安全。所有收到定向广播的接入节点保存认证结果(鉴权向量)。
当终端移动到接入节点组中的接入节点所在的范围内时,该终端可直接出示认证结果(鉴权向量)并与接入节点中保存的认证结果(鉴权向量)进行快速校验(不再进行双向鉴权的全过程),若校验通过则接入节点可为该终端提供网络服务,使得用户能够无感知地接入到下一个接入节点,即使得用户处于一个无缝覆盖服务范围内,直到该接入节点组撤销。
随着终端的移动,上述过程可以重复进行,使得该终端的接入节点组成员不断更新,从而为该终端提供网络服务,使用户获得更好的体验和密集流量的支撑。
比如,终端移动进入另一新的AP覆盖的区域内后,一定范围内的接入节点向LSC发送服务请求,以申请作为成员加入该终端的接入节点组,从而触发如图2所示的流程,使得该终端的接入节点组成员得到更新。
通过以上描述可以看出,本申请实施例中,一方面利用区块链技术通过共识机制及反向筛选方法,将无中心的接入节点组织形成安全的接入节点组,可以提高接入节点组的安全性和成员的可靠性;另一方面,在终端与接入节点组中的优选接入节点进行接入认证的基础上,进一步采用区块链的传播机制,将认证结果在接入节点组内的成员中共享,使接入节点组中的成员均能够识别终端,从而减少终端在接入节点组成员间移动时的频繁认证,实现平滑接入与安全访问。本申请实施例不仅可适应密集接入节点无中心场景的安全需求,还可以在保障用户安全的同时提升用户体验。
图3以UE初始接入的场景为例,描述了基于接入节点组的认证方法的信令交互过程。
参见图3,为本申请实施例提供的基于接入节点组(access point group,APG)的认证方法的信令交互示意图。图中的“APs”表示多个AP。如图所示,该流程可包括:
301:UE发起初始接入请求。
302:该UE周围一定范围内的接入节点(access point,AP)在收到该UE发送的接入请求后,向LSC发送服务请求,以申请为该UE服务。可选地,该服务请求可携带UE上下文,该UE上下文中可包括该UE的标识等信息。
303:LSC在接收到AP发送的上述服务请求后,向NSC/AuC发送APG密钥请求,用于请求获取APG的中间密钥。
该步骤中,LSC可根据服务请求中的UE上下文,向NSC/AuC发送APG密钥求获取请求,以请求获取该UE所属的APG的中间密钥等参数。
304:NSC/AuC接收到LSC发送的APG密钥请求后,向LSC返回APG密钥响应,该响应携带有LSC请求获取的APG的中间密钥等参数。
305:LSC向上述发送服务请求的AP发送区块链共识计算指令。
306~307:接收到区块链共识计算指令的AP进行共识计算,并将共识结果发送给LSC。
308:LSC根据共识结果,为该UE生成APG,并向APG成员发送APG组标识。APG成员为基于共识可信的AP。
可选地,LSC将该APG的成员信息以及组标识,发送给该UE,完成该UE的APG的建立过程。
309:LSC从APG成员中选取优选接入节点,并指示该优选接入节点与UE进行双向认证鉴权,或指示该UE与该优选接入节点进行双向认证鉴权。
具体地,LSC选取出优选接入节点后,指示该优选接入节点向该UE发送接入节点组标识响应,该UE接收到该响应后向该优选接入节点发送AKA认证请求,该优选接入节点向NSC/AuC发送AKA认证请求,以触发UE与该优选接入节点之间的双向认证。
310:优选接入节点与UE通过NSC/AuC进行双向认证鉴权,鉴权通过后,优选接入节点获得鉴权向量。
311:优选节点将鉴权向量发送给APG组内的其他成员。该鉴权向量在该APG内基于区块链传播机制进行定向传输。
上述流程中各步骤的具体实现方式,可参见图2流程中的相关描述。其中,301~302对应于图2中的S201,305~307对应于图2中的S202,308对应于图2中的S203,309~311对应于图2中的S204。
需要说明的是,图3所示流程中步骤的执行顺序仅为示例,比如,LSC向上述发送服务请求的AP发送区块链共识计算指令的步骤,也可发生在303之前。
参见图4,为本申请实施例提供的LSC装置的结构示意图。该LSC装置可实现前述实施例描述的流程。
如图4所示,该装置可包括:接收模块401、共识结果获取模块402、接入节点组加入模块403、优选接入节点选取模块404。
接收模块401用于接收服务请求,所述服务请求用于请求指定接入节点为指定终端提供服务。共识结果获取模块402用于向所述指定接入节点发送区块链共识计算指令,并接收所述指定接入节点根据所述区块链共识计算指令返回的共识结果。接入节点组加入模块403用于根据所述共识结果,确定所述指定接入节点是否可信,并在确认所述指定接入节点可信后将所述指定接入节点加入用于为所述指定终端提供服务的接入节点组,并将所述接入节点组的组标识发送给所述指定接入节点。优选接入节点选取模块404用于选取所述接入节点组中的优选接入节点,并触发所述优选接入节点与所述指定终端进行鉴权认证,所述鉴权认证的认证结果基于区块链传播机制在所述接入节点组内的接入节点间传播。
可选地,优选接入节点选取模块404,具体用于:选取所述接入节点组中被选入该接入节点组次数最多的接入节点,并将所述被选入该接入节点组次数最多的接入节点确定为所述接入节点组中的优选接入节点。
可选地,接入节点组加入模块403,具体用于:根据所述指定接入节点返回的共识结果,进行共识计算;用自己计算得到的共识结果与所述指定接入节点返回的共识结果进行比较,若共识结果相匹配,则确定所述指定接入节点可信。
可选地,该LSC装置还可包括密钥获取模块,用于在接收服务请求之后,获取所述接入节点组的中间密钥。相应地,接入节点组加入模块403具体用于:用所述接入节点组的中间密钥推演出所述接入节点组的完整性保护秘钥,根据所述完整性保护密钥对所述组标识进行完整性保护,并将完整性保护后的组标识发送给所述指定接入节点。
可选地,所述区块链共识计算指令携带区块链共识算法指示信息。
参见图5,为本申请实施例提供的通信装置的结构示意图。该通信装置可实现前述实施例描述的流程。如图所示,该通信装置可包括:处理器501、存储器502、网络接口503以及总线接口504。
处理器501负责管理总线架构和通常的处理,存储器502可以存储处理器501在执行操作时所使用的数据。网络接口503用于在处理器801的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器501代表的一个或多个处理器和存储器502代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口504提供接口。处理器501负责管理总线架构和通常的处理,存储器502可以存储处理器501在执行操作时所使用的数据。
本发明实施例揭示的流程,可以应用于处理器501中,或者由处理器501实现。在实现过程中,处理流程的各步骤可以通过处理器501中的硬件的集成逻辑电路或者软件形式的指令完成。处理器501可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器502,处理器501读取存储器502中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器501,用于读取存储器502中的程序并执行前述LSC实现的流程。
基于相同的技术构思,本申请实施例还提供了一种计算机可读存储介质。所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行前述实施例中LSC所执行的流程。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种基于接入节点组的认证方法,其特征在于,包括:
本地服务中心LSC接收服务请求,所述服务请求用于请求指定接入节点为指定终端提供服务;
所述LSC向所述指定接入节点发送区块链共识计算指令,并接收所述指定接入节点根据所述区块链共识计算指令返回的共识结果;
所述LSC根据所述指定接入点返回的共识结果,进行共识计算;所述LSC用自己计算得到的共识结果与所述指定接入节点返回的共识结果进行比较,若共识结果相匹配,则确定所述指定接入节点可信,并将所述指定接入节点加入用于为所述指定终端提供服务的接入节点组,并将所述接入节点组的组标识发送给所述指定接入节点;
所述LSC选取所述接入节点组中的优选接入节点,并触发所述优选接入节点与所述指定终端进行鉴权认证,所述鉴权认证的认证结果基于区块链传播机制在所述接入节点组内的接入节点间传播。
2.如权利要求1所述的方法,其特征在于,所述LSC选取所述接入节点组中的优选节点,包括:
所述LSC选取所述接入节点组中被选入该接入节点组次数最多的接入节点,并将所述被选入该接入节点组次数最多的接入节点确定为所述接入节点组中的优选接入节点。
3.如权利要求1所述的方法,其特征在于:
所述LSC接收服务请求之后,还包括:
所述LSC获取所述接入节点组的中间密钥;
所述将所述接入节点组的组标识发送给所述指定接入节点,包括:
所述LSC用所述接入节点组的中间密钥推演出所述接入节点组的完整性保护密钥,根据所述完整性保护密钥对所述组标识进行完整性保护,并将完整性保护后的组标识发送给所述指定接入节点。
4.如权利要求1至3中任一项所述的方法,其特征在于,所述区块链共识计算指令携带区块链共识算法指示信息。
5.一种本地服务中心LSC装置,其特征在于,包括:
接收模块,用于接收服务请求,所述服务请求用于请求指定接入节点为指定终端提供服务;
共识结果获取模块,用于向所述指定接入节点发送区块链共识计算指令,并接收所述指定接入节点根据所述区块链共识计算指令返回的共识结果;
接入节点组加入模块,用于根据所述指定接入节点返回的共识结果,进行共识计算;用自己计算得到的共识结果与所述指定接入节点返回的共识结果进行比较,若共识结果相匹配,则确定所述指定接入节点可信,并将所述指定接入节点加入用于为所述指定终端提供服务的接入节点组,并将所述接入节点组的组标识发送给所述指定接入节点;
优选接入节点选取模块,用于选取所述接入节点组中的优选接入节点,并触发所述优选接入节点与所述指定终端进行鉴权认证,所述鉴权认证的认证结果基于区块链传播机制在所述接入节点组内的接入节点间传播。
6.如权利要求5所述的装置,其特征在于,所述优选接入节点选取模块,具体用于:
选取所述接入节点组中被选入该接入节点组次数最多的接入节点,并将所述被选入该接入节点组次数最多的接入节点确定为所述接入节点组中的优选接入节点。
7.一种通信装置,其特征在于,包括:处理器、存储器和网络接口;所述处理器,用于读取所述存储器中的程序,执行:
通过所述网络接口接收服务请求,所述服务请求用于请求指定接入节点为指定终端提供服务;
通过所述网络接口向所述指定接入节点发送区块链共识计算指令,并接收所述指定接入节点根据所述区块链共识计算指令返回的共识结果;
根据所述指定接入节点返回的共识结果,进行共识计算;用自己计算得到的共识结果与所述指定接入节点返回的共识结果进行比较,若共识结果相匹配,则确定所述指定接入节点可信,并将所述指定接入节点加入用于为所述指定终端提供服务的接入节点组,并通过所述网络接口将所述接入节点组的组标识发送给所述指定接入节点;
选取所述接入节点组中的优选接入节点,并触发所述优选接入节点与所述指定终端进行鉴权认证,所述鉴权认证的认证结果基于区块链传播机制在所述接入节点组内的接入节点间传播。
8.如权利要求7所述的装置,其特征在于,所述处理器,具体用于:
选取所述接入节点组中被选入该接入节点组次数最多的接入节点,并将所述被选入该接入节点组次数最多的接入节点确定为所述接入节点组中的优选接入节点。
9.如权利要求7所述的装置,其特征在于:
所述处理器,还用于:接收服务请求之后,获取所述接入节点组的中间密钥;
所述处理器,具体用于:用所述接入节点组的中间密钥推演出所述接入节点组的完整性保护秘钥,根据所述完整性保护密钥对所述组标识进行完整性保护,并通过所述网络接口将完整性保护后的组标识发送给所述指定接入节点。
10.如权利要求7至9中任一项所述的装置,其特征在于,所述区块链共识计算指令携带区块链共识算法指示信息。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如权利要求1至4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810476202.1A CN110505627B (zh) | 2018-05-17 | 2018-05-17 | 一种基于接入节点组的认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810476202.1A CN110505627B (zh) | 2018-05-17 | 2018-05-17 | 一种基于接入节点组的认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110505627A CN110505627A (zh) | 2019-11-26 |
| CN110505627B true CN110505627B (zh) | 2022-05-06 |
Family
ID=68584523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810476202.1A Active CN110505627B (zh) | 2018-05-17 | 2018-05-17 | 一种基于接入节点组的认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110505627B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111163466B (zh) * | 2019-12-30 | 2022-12-16 | 全链通有限公司 | 5g用户终端接入区块链的方法、用户终端设备及介质 |
| CN111132156B (zh) * | 2019-12-30 | 2023-04-14 | 全链通有限公司 | 5g用户终端的注册方法、用户终端设备及介质 |
| CN111246474B (zh) * | 2020-01-10 | 2022-08-23 | 中国联合网络通信集团有限公司 | 一种基站认证方法及装置 |
| CN114867016A (zh) * | 2021-02-03 | 2022-08-05 | 北京邮电大学 | 一种节点认证方法、系统及装置 |
| CN116156500A (zh) * | 2021-11-23 | 2023-05-23 | 大唐移动通信设备有限公司 | 设备鉴权方法及装置 |
| CN116437354A (zh) * | 2021-12-31 | 2023-07-14 | 华为技术有限公司 | 一种网络资源管理方法及通信装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3570114B2 (ja) * | 1996-10-21 | 2004-09-29 | 富士ゼロックス株式会社 | データ検証方法およびデータ検証システム |
| CN103384392B (zh) * | 2012-05-04 | 2016-06-15 | 中兴通讯股份有限公司 | 一种移动终端接入无线接入点的方法和无线接入点 |
| US10412056B2 (en) * | 2015-07-24 | 2019-09-10 | Futurewei Technologies, Inc. | Ultra dense network security architecture method |
| CN107734502B (zh) * | 2017-09-07 | 2020-02-21 | 京信通信系统(中国)有限公司 | 基于区块链的微基站通信管理方法、系统及设备 |
-
2018
- 2018-05-17 CN CN201810476202.1A patent/CN110505627B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110505627A (zh) | 2019-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110505627B (zh) | 一种基于接入节点组的认证方法及装置 | |
| EP3503595B1 (en) | Provision of location-specific user information | |
| CN106134232B (zh) | 设备到设备发现中的认证 | |
| CN109428874B (zh) | 基于服务化架构的注册方法及装置 | |
| CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
| CN111865872B (zh) | 一种网络切片内终端安全策略实现方法及设备 | |
| CN113225176B (zh) | 密钥获取方法及装置 | |
| US9516501B2 (en) | Authentication in a communications system | |
| CN110139271A (zh) | 一种将智能家居设备批量配置入网的方法、系统及装置 | |
| CN108012267A (zh) | 一种网络认证方法、相关设备及系统 | |
| WO2016077013A1 (en) | Method to authenticate peers in an infrastructure-less peer-to-peer network | |
| CN108112012A (zh) | 一种群组终端的网络认证方法及装置 | |
| CN110636495B (zh) | 一种雾计算系统中的终端用户安全漫游认证的方法 | |
| CN105144766A (zh) | 用于ue的mtc组的广播中的组认证 | |
| CN108076016B (zh) | 车载设备之间的认证方法及装置 | |
| CN115567931A (zh) | 一种密钥生成方法及装置 | |
| WO2018113402A1 (zh) | 一种加入接入节点组的方法及设备 | |
| CN110073681B (zh) | 用于物联网设备的方法、装置和计算机可读介质 | |
| CN107005913A (zh) | 邻近服务通信的验证方法、用户设备及邻近服务功能实体 | |
| TWI685267B (zh) | 一種接入控制的方法及設備 | |
| EP3627361B1 (en) | Media content control | |
| CN112235290B (zh) | 基于区块链的物联网设备管理方法及第一物联网设备 | |
| CN110087338B (zh) | 一种窄带物联网进行鉴权的方法及设备 | |
| CN111343611B (zh) | 一种信息同步的方法和装置 | |
| CN108513289A (zh) | 一种终端标识的处理方法、装置及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210527 Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing Applicant after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Applicant before: Telecommunications Science and Technology Research Institute Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |