CN111918289B - 终端接入方法、装置和服务器 - Google Patents

终端接入方法、装置和服务器 Download PDF

Info

Publication number
CN111918289B
CN111918289B CN202010910404.XA CN202010910404A CN111918289B CN 111918289 B CN111918289 B CN 111918289B CN 202010910404 A CN202010910404 A CN 202010910404A CN 111918289 B CN111918289 B CN 111918289B
Authority
CN
China
Prior art keywords
authentication code
access
base station
access authentication
micro base
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010910404.XA
Other languages
English (en)
Other versions
CN111918289A (zh
Inventor
肖征荣
邢建兵
田新雪
张猛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202010910404.XA priority Critical patent/CN111918289B/zh
Publication of CN111918289A publication Critical patent/CN111918289A/zh
Application granted granted Critical
Publication of CN111918289B publication Critical patent/CN111918289B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了终端接入方法、装置和服务器。该方法包括:响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文;将所述接入认证码密文通过所述微基站广播至所在的区块链网络;获取运营商核心网系统基于所述接入认证码密文生成并在区块链网络中广播的第一身份验证信息;获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息;若所述第一身份验证信息和所述第二身份验证信息一致,则向所述微基站发送允许接入信息,以供所述微基站基于所述允许接入信息为所述用户终端提供网络接入服务。本发明能够避免用户终端身份认证的过程中用户终端对应的用户数据泄露,提高了微基站联盟的安全性,提升了用户体验。

Description

终端接入方法、装置和服务器
技术领域
本发明涉及通信技术领域,具体涉及终端接入方法、装置和服务器。
背景技术
当前用户终端通过其归属运营商网络侧的身份验证之后,才能够接入到第五代移动通信网络(5th generation mobile networks,5G)的微基站联盟的基站。但是,如果有攻击者拦截到了用户终端在验证过程中发送给运营商的数据,就有可能造成用户终端对应的用户的用户数据泄露,给微基站联盟和用户带来安全隐患。
发明内容
为此,本发明提供终端接入方法、装置和服务器,以解决现有技术中由于用户终端在接入微基站联盟的过程中存在用户数据泄露而导致的微基站联盟安全性低、用户体验差问题。
为了实现上述目的,本发明第一方面提供一种终端接入方法,应用于微基站管理服务器,该方法包括:
响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文;
将所述接入认证码密文通过所述微基站广播至所在的区块链网络;
获取运营商核心网系统基于所述接入认证码密文生成并在区块链网络中广播的第一身份验证信息;
获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息;
若所述第一身份验证信息和所述第二身份验证信息一致,则向所述微基站发送允许接入信息,以供所述微基站基于所述允许接入信息为所述用户终端提供网络接入服务。
优选地,上述响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文的步骤包括:
响应于用户终端通过微基站发送的接入请求消息,生成接入认证码;
利用系统密钥加密所述接入认证码,生成系统加密接入认证码;
对所述系统加密接入认证码进行签名,生成服务器签名;
获取微基站的属性描述证书,并基于所述属性描述证书生成授权接入条件;
对所述授权接入条件进行加密,生成加密授权接入条件;
根据所述系统加密接入认证码、所述服务器签名和所述加密授权接入条件生成所述接入认证码密文。
优选地,上述第一身份验证信息为所述运营商核心网系统基于所述接入认证码密文获取接入认证码后,对所述接入认证码和预存的用户终端的运营商服务密码进行同态加密生成的信息。
优选地,上述第二身份验证信息为所述用户终端基于所述接入认证码密文获取接入认证码后,对所述接入认证码和预存的运营商服务密码进行同态加密生成的信息。
优选地,上述获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息之前,还包括:
对所述接入认证码密文进行同态加密,获得同态加密接入认证码密文;
将所述同态加密接入认证码密文发送给所述用户终端,以供所述用户终端对所述同态加密接入认证码密文进行同态解密得到所述接入认证码密文。
优选地,上述将所述同态加密接入认证码密文发送给所述用户终端的步骤,包括:
将所述同态加密接入认证码密文拆分为两个部分;
将其中一部分所述同态加密接入认证码密文通过移动通信网络发送给所述用户终端;
将另一部分所述同态加密接入认证码密文通过直连通信链路发送给所述用户终端。
优选地,上述第二身份验证信息包括第一部分和第二部分;
所述获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息的步骤,包括:
获取所述用户终端通过所述微基站发送的所述第一部分和所述第二部分;
将所述第一部分和所述第二部分进行同态运算,获得所述第二身份验证信息。
本发明第二方面提供一种终端接入装置,应用于微基站管理服务器,该装置包括:
第一生成模块,用于响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文;
第一广播模块,用于将所述接入认证码密文通过所述微基站广播至所在的区块链网络;
第一获取模块,用于获取运营商核心网系统基于所述接入认证码密文生成并在区块链网络中广播的第一身份验证信息;
第二获取模块,用于获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息;
第一发送模块,用于若所述第一身份验证信息和所述第二身份验证信息一致,则向所述微基站发送允许接入信息,以供所述微基站基于所述允许接入信息为所述用户终端提供网络接入服务。
优选地,上述装置还包括:
第一加密模块,用于在所述第二获取模块获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息之前,对所述接入认证码密文进行同态加密,获得同态加密接入认证码密文;
第二发送模块,用于将所述同态加密接入认证码密文发送给所述用户终端,以供所述用户终端对所述同态加密接入认证码密文进行同态解密得到所述接入认证码密文。
优选地,上述第二发送模块,包括:
发送处理子模块,用于将所述同态加密接入认证码密文拆分为两个部分;
移动网络发送子模块,用于将其中一部分所述同态加密接入认证码密文通过移动通信网络发送给所述用户终端;
直连链路发送子模块,用于将另一部分所述同态加密接入认证码密文通过直连通信链路发送给所述用户终端。
本发明第三方面提供一种服务器,包括上述第二方面提供的终端接入装置。
本发明具有如下优点:
本发明提供终端接入方法、装置和服务器。首先,响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文,并将该接入认证码密文通过微基站广播至所在的区块链网络;然后,获取运营商核心网系统基于接入认证码密文生成并在区块链网络中广播的第一身份验证信息,还获取用户终端基于接入认证码密文生成并通过微基站发送的第二身份验证信息;最后,若第一身份验证信息和第二身份验证信息一致,则向微基站发送允许接入信息,以供微基站基于允许接入信息为用户终端提供网络接入服务,即只需通过获取的第一身份验证信息和第二身份验证信息就可以实现用户终端身份认证,避免了用户终端身份认证的过程中用户终端对应的用户数据泄露,提高了微基站联盟的安全性,提升了用户体验。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明实施例提供的一种终端接入方法的流程图;
图2为本发明实施例提供的一种生成接入认证码密文的方法的流程图;
图3为本发明实施例提供的一种终端接入装置的结构示意图;
图4为本发明实施例提供的一种第二发送模块的结构示意图。
在附图中:
31:第一生成模块 32:第一广播模块
33:第一获取模块 34:第二获取模块
35:第一发送模块 41:发送处理子模块
42:移动网络发送子模块 43:直连链路发送子模块
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
当前用户终端通过其归属运营商网络侧的身份验证之后,才能够接入到第五代移动通信网络(5th generation mobile networks,5G)的微基站联盟的基站。但是,如果有攻击者拦截到了用户终端在验证过程中发送给运营商的数据,就有可能造成用户终端对应的用户的用户数据泄露,给微基站联盟和用户带来安全隐患。
为了解决上述难题,本发明实施例提供一种终端接入方法,应用于微基站管理服务器,如图1所示,该方法包括以下步骤:
步骤S101,响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文。
其中,接入请求消息包含用户终端的终端标识、用户终端对应的用户标识、用户属性以及用户终端的互联网协议(Internet Protocol,IP)地址。该用户属性包含运营商标识和微基站联盟连接许可标识,运营商标识用于标识用户所归属的运营商,微基站联盟连接许可标识用于标识用户是否被允许接入微基站联盟的微基站;该IP地址是运营商核心网系统为该用户终端分配的地址。例如,用户终端为移动终端、平板电脑等,移动终端可以是5G手机终端等,用户终端对应的用户标识可以是手机号码。
在一个实施方式中,用户终端进入5G网络覆盖较差的区域,并搜索到该区域存在5G微基站联盟的微基站的网络信号后,用户终端可以通过该5G微基站联盟中的微基站向该5G微基站联盟中的微基站管理服务器发送接入请求消息。
需要说明的是,5G微基站联盟包含多个归属于不同运营商的运营商核心网系统,以及该运营商核心网系统对应的自有基站、微基站。另外,该5G微基站联盟还包括微基站管理服务器,微基站管理服务器负责完成用户终端接入该5G微基站联盟的微基站时的身份认证。
用户在签约运营商时,运营商在运营商核心网系统的统一数据管理功能实体(Unified Data Management,UDM)的用户签约数据中增加用户属性。其中,用户属性包含运营商标识和微基站联盟连接许可标识。在一个实施方式中,归属于不同运营商的运营商核心网系统共同设置5G微基站联盟的接入条件,并将该接入条件加密后存储在属性描述证书中。具体地,该接入条件配置为具有预设运营商标识和预设的微基站联盟连接许可标识的用户才允许接入微基站联盟的基站。
运营商核心网系统将该属性描述证书发送至微基站管理服务器,以供微基站管理服务器负责完成用户终端接入该5G微基站联盟时的身份认证。如果用户终端的身份认证通过,该5G微基站联盟基于通过认证的用户终端对应的接入请求消息生成属性凭证,并存储经私钥签名后的属性凭证至属性凭证集合中。用户终端下一次请求接入该5G微基站联盟时,用户终端是否能接入取决于用户终端对应的接入请求消息中的信息与属性凭证集合中相对应解密后的属性凭证是否匹配。如果匹配,则用户终端能够接入5G微基站联盟;如果不匹配,则用户终端不能接入5G微基站联盟,或者用户终端需要在该5G微基站联盟重新发起身份认证,即用户终端需要重新通过该5G微基站联盟中的微基站向该5G微基站联盟中的微基站管理服务器发送接入请求消息。
在一个实施方式中,图2示出了微基站管理服务器响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文即步骤S101的一种具体实施方式,如图2所示,步骤S101包括以下步骤:
步骤S201,响应于用户终端通过微基站发送的接入请求消息,生成接入认证码。
在一些实施例中,微基站管理服务器为了提高用户终端身份认证过程中信息的安全性,生成的该接入认证码可以为任意随机数(例如12345678)。
步骤S202,利用系统密钥加密接入认证码,生成系统加密接入认证码。
其中,系统密钥是微基站管理服务器生成的用于加密该接入认证码的密码。
步骤S203,对该系统加密接入认证码进行签名,生成服务器签名。
在一些实施例中,微基站管理服务器利用自己的服务器私钥对该系统加密接入认证码进行签名,生成服务器签名。
步骤S204,获取微基站的属性描述证书,并基于属性描述证书生成授权接入条件。
其中,属性描述证书是存储该微基站所属的5G微基站联盟的接入条件的文件。该接入条件是该5G微基站联盟预先设置的接入5G微基站联盟中微基站的条件。
在一些实施例中,微基站管理服务器基于属性描述证书生成授权接入条件的步骤,包括:微基站管理服务器获取微基站的属性描述证书后,从该属性描述证书中获取接入条件,并根据该接入条件生成授权接入条件。该授权接入条件是微基站管理服务器向符合该接入条件的用户终端进行授权的条件。
步骤S205,对该授权接入条件进行加密,生成加密授权接入条件。
需要说明的是,该加密授权接入条件需要通过用户终端的属性密钥进行解密,只有用户终端对应的用户属性符合上述的接入条件,该用户终端的属性密钥才能解密该加密授权接入条件。其中,用户属性包含运营商标识和微基站联盟连接许可标识。如前所述,接入条件配置为具有预设运营商标识和预设的微基站联盟连接许可标识的用户才允许接入微基站联盟的基站,也即授权接入条件为:用户终端对应的用户属性中运营商标识为预设运营商标识,且微基站联盟连接许可标识为预设许可标识(例如为1)。该预设运营商标识为5G微基站联盟中包含的任意一个运营商所对应的标识,例如运营商A的标识、运营商B的标识或者运营商C的标识。属性密钥是用户终端根据对应的用户属性获得的密钥,该属性密钥保存在用户终端中。
步骤S206,根据系统加密接入认证码、服务器签名和加密授权接入条件生成接入认证码密文。
其中,接入认证码密文包含系统加密接入认证码、服务器签名和加密授权接入条件,即接入认证码密文由系统加密接入认证码、服务器签名和加密授权接入条件组成。
需要说明的是,由于该接入认证码密文是微基站管理服务器接收到用户终端通过微基站发送的接入请求消息后生成的,因此,非法节点无法通过微基站管理服务器历史发送的历史接入认证码密文获得与本次用户终端接入认证相关的接入认证码密文。而且,由于该接入认证码密文中系统加密接入认证码、服务器签名和加密授权接入条件均为加密状态,即使非法节点截获该接入认证码密文,也无法利用该接入认证码密文获得接入认证码,提高了微基站管理服务器在对用户终端进行身份验证过程中的信息安全。
微基站管理服务器生成接入认证码密文之后,执行下述步骤S102。
步骤S102,将接入认证码密文通过微基站广播至所在的区块链网络。
在一个实施方式中,微基站管理服务器将接入认证码密文发送至微基站。例如,微基站管理服务器通过移动通信网络将该接入认证码密文将接入认证码密文发送至微基站,微基站获取该接入认证码密文;或者微基站管理服务器广播该接入认证码密文至区块链网络,由微基站从区块链网络中获取该接入认证码密文。
微基站获取该接入认证码密文之后,将该接入认证码密文、用户终端对应的用户标识(例如手机号码)和微基站自己的微基站标识打包后广播至所在的区块链网络中。在一些实施例中,为了防止非法节点冒充微基站,微基站在将接入认证码密文、用户终端对应的用户标识(例如手机号码)和微基站自己的微基站标识打包后,利用微基站私钥进行私钥签名,并将打包并签名后的接入认证码密文、用户终端对应的用户标识和微基站标识广播至区块链网络。
在一个实施方式中,微基站将打包并签名后的接入认证码密文、用户终端对应的用户标识和微基站标识广播至区块链网络之后,运营商核心网系统从区块链网络中获取打包并签名的接入认证码密文、用户终端对应的用户标识和微基站标识。运营商核心网系统基于接入认证码密文生成第一身份验证信息。
在一些实施例中,运营商核心网系统基于接入认证码密文生成第一身份验证信息的步骤包括:运营商核心网系统验证微基站的签名正确后提取用户终端对应的用户标识。运营商核心网系统判断该用户标识对应的用户为自己下属的用户时,查询自己的系统内存,获得该用户标识对应的运营商服务密码。另外,运营商核心网系统还提取接入认证码密文,并基于该接入认证码密文获得接入认证码,例如,运营商核心网系统利用预存的微基站管理服务器生成的系统密钥解密该接入认证码密文中的系统加密接入认证码,获得接入认证码。最后,运营商核心网系统对该接入认证码和预存的用户终端的运营商服务密码进行同态加密生成第一身份验证信息。
在一个实施方式中,运营商核心网系统为了增加接入认证码的安全性,先利用用户终端的运营商服务密码对该接入认证码进行第一次加密,然后对经第一次加密的接入认证码进行预设的属性加密,然后将经属性加密后的接入认证码与用户终端的预存的运营商服务密码进行同态加密,生成第一身份验证信息,并将该第一身份验证信息通过微基站发送给微基站管理服务器。
运营商核心网系统将该第一身份验证信息广播至区块链网络。在一个实施方式中,运营商核心网系统为了方便微基站管理服务器进行用户终端的身份认证过程,还将上述的微基站标识、该用户终端对应的用户标识和第一身份验证信息打包,并利用运营商核心网系统的系统私钥进行签名后通过自有基站(例如5G基站gNB)广播至区块链网络中。
步骤S103,获取运营商核心网系统基于接入认证码密文生成并在区块链网络中广播的第一身份验证信息。
具体地,通过微基站获取运营商核心网系统基于接入认证码密文生成并在区块链网络中广播的第一身份验证信息。在一个实施方式中,第一身份验证信息为运营商核心网系统基于接入认证码密文获取接入认证码后,对接入认证码和预存的用户终端的运营商服务密码进行同态加密生成的信息。
步骤S104,获取用户终端基于接入认证码密文生成并通过微基站发送的第二身份验证信息。
在一个实施方式中,第二身份验证信息为用户终端基于接入认证码密文获取接入认证码后,对该接入认证码和预存的运营商服务密码进行同态加密生成的信息。
在一个实施方式中,微基站管理服务器获取用户终端基于接入认证码密文生成并通过微基站发送的第二身份验证信息之前,即步骤S104之前,还包括:首先,微基站管理服务器对接入认证码密文进行同态加密,获得同态加密接入认证码密文,例如,微基站管理服务器利用用户终端的公钥对该接入认证码密文进行同态加密。然后,微基站管理服务器将该同态加密接入认证码密文发送给用户终端,以供用户终端对同态加密接入认证码密文进行同态解密得到接入认证码密文。
在一个实施方式中,微基站管理服务器将同态加密接入认证码密文发送给用户终端的步骤,包括:首先,微基站管理服务器将同态加密接入认证码密文拆分为两个部分,例如同态加密接入认证码密文为ABCDWXYZ,拆分为两个部分后,其中一部分为ABCZ,另一部分则为DWXY。然后,微基站管理服务器将其中一部分同态加密接入认证码密文(例如ABCZ)通过移动通信网络发送给用户终端,将另一部分同态加密接入认证码密文(例如DWXY)通过直连通信链路(例如设备直连通信(Device-to-Device Communication,D2D)链路)发送给用户终端。
需要说明的是,由于同态加密接入认证码密文经过同态加密过程,因此,即使将同态加密接入认证码密文拆分后通过不同渠道发送,也不会造成同态加密接入认证码密文的数据损坏。而且,微基站管理服务器将同态加密接入认证码密文拆分后通过不同渠道发送,有效提高了发送该同态加密接入认证码密文过程的安全性。
用户终端获取微基站管理服务器发送的同态加密接入认证码密文。在一个实施方式中,用户终端通过移动通信网络获取被微基站管理服务器拆分为两个部分的其中一部分同态加密接入认证码密文,还通过直连通信链路获取另一部分同态加密接入认证码密文。用户终端将获得的两部分同态加密接入认证码密文进行同态运算,获得完整的同态加密接入认证码密文。
在一个实施方式中,用户终端利用自己的用户终端私钥解密该同态加密接入认证码密文,获得接入认证码密文。其中,如前所述,接入认证码密文包含系统加密接入认证码、服务器签名和加密授权接入条件。然后,用户终端基于该接入认证码密文获得接入认证码。例如,用户终端从接入认证码密文中提取系统加密接入认证码、服务器签名和加密授权接入条件。用户终端首先验证服务器签名是否通过,在验证服务器签名通过后,利用属性密钥解密该加密授权接入条件,获得系统密钥。其中,属性密钥是是用户终端根据对应的用户属性从运营商核心网系统获得的密钥,该属性密钥保存在用户终端中。需要说明的是,只有用户终端对应的用户属性符合授权接入条件,该用户终端的属性密钥才能解密该加密授权接入条件。用户终端在获得系统密钥后,利用该系统密码解密该系统加密接入认证码,获得接入认证码。
在一个实施方式中,用户终端获得接入认证码之后,对该接入认证码和预存的运营商服务密码进行同态加密,生成第二身份验证信息,并将该第二身份验证信息通过微基站发送给微基站管理服务器。即,在本实施方式中,第二身份验证信息为用户终端基于接入认证码密文获取接入认证码后,对该接入认证码和预存的运营商服务密码进行同态加密生成的信息。
在一个实施方式中,用户终端为了增加接入认证码的安全性,先利用运营商服务密码对该接入认证码进行第一次加密,然后对经第一次加密的接入认证码进行预设的属性加密,然后将经属性加密后的接入认证码与预存的运营商服务密码进行同态加密,生成第二身份验证信息,并将该第二身份验证信息通过微基站发送给微基站管理服务器。
在一个实施方式中,用户终端为了提高发送第二身份验证信息过程的安全性,将第二身份验证信息拆分为第一部分和第二部分,将第一部分通过直连通信链路发送给微基站,以供微基站将第一部分转发给微基站管理服务器;将第二部分通过移动通信网络发送给微基站,以供微基站将第二部分转发给微基站管理服务器。
在一个实施方式中,微基站管理服务器获取用户终端基于接入认证码密文生成并通过微基站发送的第二身份验证信息(第二身份验证信息包括第一部分和第二部分)的步骤,即步骤S104,包括:微基站管理服务器首先获取用户终端通过微基站发送的第一部分和第二部分,然后将第一部分和第二部分进行同态运算,获得第二身份验证信息。
微基站管理服务器通过上述步骤S103和步骤S104分别获得第一身份验证信息和第二身份验证信息之后,判断该第一身份验证信息和第二身份验证信息是否一致。若第一身份验证信息和第二身份验证信息不一致,说明第一身份验证信息中接入认证码和第二身份验证信息中接入认证码不一致,和/或,第一身份验证信息中运营商服务密码和第二身份验证信息中运营商服务密码不一致,即该第二身份验证信息对应的用户终端可能是非法终端,该用户终端的身份认证不通过。
步骤S105,若第一身份验证信息和第二身份验证信息一致,则向微基站发送允许接入信息,以供微基站基于所述允许接入信息为用户终端提供网络接入服务。
需要说明的是,若微基站管理服务器判断第一身份验证信息和第二身份验证信息一致,说明第一身份验证信息和第二身份验证信息中包含的接入认证码和运营商服务密码完全一致,该用户终端为合法用户终端,该用户终端的身份认证通过。
还需要说明的是,在一个实施方式中,由于第一身份验证信息为运营商核心网系统对接入认证码和预存的用户终端的运营商服务密码进行同态加密生成的信息,第二身份验证信息为用户终端对该接入认证码和预存的运营商服务密码进行同态加密生成的信息,因此,微基站管理服务器无需解密第一身份验证信息和第二身份验证信息,只需通过获取的第一身份验证信息和第二身份验证信息就可以实现用户终端身份认证,避免了用户终端身份认证的过程中用户终端对应的用户数据(例如用户终端的运营商服务密码)泄露,提高了微基站联盟的安全性,提升了用户体验,推动了5G微基站联盟的发展。
在一个实施方式中,微基站管理服务器基于通过验证的用户终端对应的接入请求消息生成属性凭证,并存储自己的私钥签名后的属性凭证至属性凭证集合中。该属性凭证集合可以是该微基站管理服务器所在的5G微基站联盟的白名单。用户终端下一次请求接入该5G微基站联盟的微基站时,用户终端是否能接入该微基站取决于用户终端对应的接入请求消息中的信息与属性凭证集合中相对应解密后的属性凭证是否匹配。如果匹配,则用户终端能够接入5G微基站联盟的微基站;如果不匹配,则用户终端不能接入5G微基站联盟的微基站,或者用户终端需要重新发起身份认证。
本发明实施例提供的终端接入方法,首先,响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文,并将该接入认证码密文通过微基站广播至所在的区块链网络;然后,获取运营商核心网系统基于接入认证码密文生成并在区块链网络中广播的第一身份验证信息,还获取用户终端基于接入认证码密文生成并通过微基站发送的第二身份验证信息;最后,若第一身份验证信息和第二身份验证信息一致,则向微基站发送允许接入信息,以供微基站基于允许接入信息为用户终端提供网络接入服务,即只需通过获取的第一身份验证信息和第二身份验证信息就可以实现用户终端身份认证,避免了用户终端身份认证的过程中用户终端对应的用户数据泄露,提高了微基站联盟的安全性,提升了用户体验。
本发明实施例还提供一种终端接入装置,应用于微基站管理服务器,如图3所示,该装置包括:第一生成模块31、第一广播模块32、第一获取模块33、第二获取模块34和第一发送模块35。
其中,第一生成模块31,用于响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文。其中,接入请求消息包含用户终端的终端标识、用户终端对应的用户标识(例如手机号码)、用户属性以及用户终端的互联网协议(Internet Protocol,IP)地址。该用户属性包含运营商标识和微基站联盟连接许可标识;该IP地址是运营商核心网系统为该用户终端分配的地址。
在一个实施方式中,为了提高了终端接入装置在对用户终端进行身份验证过程中的信息安全,终端接入装置还包括第二生成模块、第二加密模块、第一签名模块、第三获取模块、第三生成模块和第二加密模块。其中,第二生成模块用于响应于用户终端通过微基站发送的接入请求消息,生成接入认证码;第二加密模块用于利用系统密钥加密接入认证码,生成系统加密接入认证码;第一签名模块用于对该系统加密接入认证码进行签名,生成服务器签名。第三获取模块用于获取微基站的属性描述证书;第三生成模块用于基于该属性描述证书生成授权接入条件;第二加密模块对该授权接入条件进行加密,生成加密授权接入条件。最后,上述第一生成模块31根据系统加密接入认证码、服务器签名和加密授权接入条件生成接入认证码密文。
第一广播模块32,用于将接入认证码密文通过微基站广播至所在的区块链网络。
第一获取模块33,用于获取运营商核心网系统基于接入认证码密文生成并在区块链网络中广播的第一身份验证信息。其中,第一身份验证信息为运营商核心网系统基于接入认证码密文获取接入认证码后,对接入认证码和预存的用户终端的运营商服务密码进行同态加密生成的信息。
第二获取模块34,用于获取用户终端基于接入认证码密文生成并通过微基站发送的第二身份验证信息。其中,第二身份验证信息为用户终端基于接入认证码密文获取接入认证码后,对该接入认证码和预存的运营商服务密码进行同态加密生成的信息。
在一个实施方式中,第二获取模块34还用于获取用户终端基于接入认证码密文生成并通过微基站发送的第二身份验证信息(第二身份验证信息包括第一部分和第二部分),具体包括:第二获取模块34首先获取用户终端通过微基站发送的第一部分和第二部分,然后将第一部分和第二部分进行同态运算,获得第二身份验证信息。
在一个实施方式中,终端接入装置还包括:第一加密模块和第二发送模块。其中,第一加密模块用于在第二获取模块34获取用户终端基于接入认证码密文生成并通过微基站发送的第二身份验证信息之前,对接入认证码密文进行同态加密,获得同态加密接入认证码密文。第二发送模块用于将该同态加密接入认证码密文发送给用户终端,以供用户终端对该同态加密接入认证码密文进行同态解密得到接入认证码密文。
在一个实施方式中,为了避免信息泄露,如图4所示,本发明实施例提供一种第二发送模块,该第二发送模块包括:发送处理子模块41、移动网络发送子模块42和直连链路发送子模块43。
其中,发送处理子模块41,用于将同态加密接入认证码密文拆分为两个部分。移动网络发送子模块42,用于将其中一部分同态加密接入认证码密文通过移动通信网络发送给用户终端。直连链路发送子模块43,用于将另一部分同态加密接入认证码密文通过直连通信链路发送给用户终端。需要说明的是,由于同态加密接入认证码密文经过同态加密过程,因此,即使将同态加密接入认证码密文拆分后通过不同渠道发送,也不会造成同态加密接入认证码密文的数据损坏。而且,将同态加密接入认证码密文拆分后通过不同渠道发送,有效提高了发送该同态加密接入认证码密文过程的安全性。
在一个实施方式中,终端接入装置还包括第一判断模块。该第一判断模块用于判断上述第一身份验证信息和第二身份验证信息是否一致。若第一判断模块判断第一身份验证信息和第二身份验证信息不一致,说明第一身份验证信息中接入认证码和第二身份验证信息中接入认证码不一致和/或第一身份验证信息中运营商服务密码和第二身份验证信息中运营商服务密码不一致,即该第二身份验证信息对应的用户终端可能是非法终端,该用户终端的身份认证不通过。
第一发送模块35,用于若第一判断模块判断第一身份验证信息和第二身份验证信息一致,则向微基站发送允许接入信息,以供微基站基于允许接入信息为用户终端提供网络接入服务。
需要说明的是,若第一判断模块判断第一身份验证信息和第二身份验证信息一致,说明第一身份验证信息和第二身份验证信息中包含的接入认证码和运营商服务密码完全一致,该用户终端为合法用户终端,该用户终端的身份认证通过。
还需要说明的是,由于第一身份验证信息为运营商核心网系统对接入认证码和预存的用户终端的运营商服务密码进行同态加密生成的信息,第二身份验证信息为用户终端对该接入认证码和预存的运营商服务密码进行同态加密生成的信息,因此,终端接入装置无需解密第一身份验证信息和第二身份验证信息,只需通过获取的第一身份验证信息和第二身份验证信息就可以实现用户终端身份认证,避免了用户终端身份认证的过程中用户终端对应的用户数据泄露(例如用户终端的运营商服务密码),提高了微基站联盟的安全性,提升了用户体验,推动了5G微基站联盟的发展。
本实施例提供的应用于微基站管理服务器的终端接入装置的各模块的工作方式与应用于微基站管理服务器的终端接入方法中各步骤对应,因此,应用于微基站管理服务器的终端接入装置中各模块的详细工作方式可参见本实施例提供的应用于微基站管理服务器的终端接入方法。
本发明实施例所提供的终端接入装置,第一生成模块用于响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文,第一广播模块用于将该接入认证码密文通过微基站广播至所在的区块链网络;第一获取模块用于获取运营商核心网系统基于接入认证码密文生成并在区块链网络中广播的第一身份验证信息,第二获取模块用于获取用户终端基于接入认证码密文生成并通过微基站发送的第二身份验证信息;第一发送模块用于若第一身份验证信息和第二身份验证信息一致,则向微基站发送允许接入信息,以供微基站基于允许接入信息为用户终端提供网络接入服务,即只需通过获取的第一身份验证信息和第二身份验证信息就可以实现用户终端身份认证,避免了用户终端身份认证的过程中用户终端对应的用户数据泄露,提高了微基站联盟的安全性,提升了用户体验。
本发明实施例还提供另一种终端接入装置,应用于用户终端,该装置包括:第一终端获取模块、第一终端解密模块、第二终端解密模块、第一终端提取模块、第一终端签名验证模块、第一终端加密模块和第一终端发送模块。
其中,第一终端获取模块用于获取微基站管理服务器发送的同态加密接入认证码密文。在一个实施方式中,第一终端获取模块通过移动通信网络获取被微基站管理服务器拆分为两个部分的其中一部分同态加密接入认证码密文,还通过直连通信链路获取另一部分同态加密接入认证码密文。第一终端获取模块将获得的两部分同态加密接入认证码密文进行同态运算,获得完整的同态加密接入认证码密文。
在一个实施方式中,第一终端解密模块利用自己的用户终端私钥解密该同态加密接入认证码密文,获得接入认证码密文。其中,接入认证码密文包含加密接入认证码、服务器签名和加密授权接入条件。然后,第二终端解密模块基于该接入认证码密文获得接入认证码。例如,第一终端提取模块从接入认证码密文中提取系统加密接入认证码、服务器签名和加密授权接入条件。第一终端签名验证模块首先验证服务器签名是否通过,在第一终端签名验证模块验证服务器签名通过后,第二终端解密模块利用属性密钥解密该加密授权接入条件,获得系统密钥。其中,属性密钥是是用户终端根据对应的用户属性从运营商核心网系统获得的密钥,该属性密钥保存在用户终端中。需要说明的是,只有用户终端对应的用户属性符合授权接入条件,该用户终端的属性密钥才能解密该加密授权接入条件。第二终端解密模块在获得系统密钥后,利用该系统密码解密该系统加密接入认证码,获得接入认证码。然后,第一终端加密模块对该接入认证码和预存的运营商服务密码进行同态加密,生成第二身份验证信息,第一终端发送模块将该第二身份验证信息通过微基站发送给微基站管理服务器。
在一个实施方式中,第一终端发送模块包括终端发送处理子模块、终端直连发送子模块和终端移动网络发送子模块。为了提高发送第二身份验证信息过程的安全性,终端发送处理子模块将第二身份验证信息拆分为第一部分和第二部分,终端直连发送子模块将第一部分通过直连通信链路发送给微基站,以供微基站将第一部分转发给微基站管理服务器;终端移动网络发送子模块将第二部分通过移动通信网络发送给微基站,以供微基站将第二部分转发给微基站管理服务器。
本发明实施例提供又一种终端接入装置,应用于运营商核心网系统,该装置包括:第一系统获取模块、第一系统生成模块和第一系统广播模块。
其中,第一系统获取模块用于获取微基站管理服务器通过微基站广播的接入认证码密文。
在一个实施方式中,微基站将微基站管理服务器发送的该接入认证码密文、用户终端对应的用户标识(例如手机号码)和微基站自己的微基站标识打包并签名后广播至所在的区块链网络中。第一系统获取模块从区块链网络中获取打包并签名的接入认证码密文、用户终端对应的用户标识和微基站标识,第一系统生成模块基于其中的接入认证码密文生第一身份验证信息。
在一些实施例中,终端接入装置还包括:第一系统签名验证模块、第一系统提取模块、第一系统判断模块、第一系统查询模块和第二系统获取模块。其中,第一系统签名验证模块验证微基站的签名正确后,第一系统提取模块提取用户终端对应的用户标识。第一系统判断模块判断该用户标识对应的用户为自己下属的用户时,第一系统查询模块查询自己的系统内存,获得该用户标识对应的运营商服务密码。另外,第一系统提取模块还提取接入认证码密文,第二系统获取模块基于该接入认证码密文获得接入认证码,例如,第二系统获取模块利用预存的微基站服务器生成的系统密钥解密该接入认证码密文中的系统加密接入认证码,获得接入认证码。最后,上述第一系统生成模块对该接入认证码和预存的用户终端的运营商服务密码进行同态加密生成第一身份验证信息。
第一系统广播模块将该第一身份验证信息广播至区块链网络。在一个实施方式中,第一系统广播模块为了方便微基站管理服务器进行用户终端的身份认证过程,还将上述的微基站标识、该用户终端对应的用户标识同第一身份验证信息打包,并利用运营商核心网系统的系统私钥进行签名后通过自有基站广播至区块链网络中。
本发明实施例还提供一种服务器,该服务器包括上述实施例所提供的任意一种终端接入装置。关于该服务器包括的终端接入装置的具体相关描述,可参见前述实施例的相应的描述,此处不再赘述。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (11)

1.一种终端接入方法,应用于微基站管理服务器,其特征在于,所述方法包括:
响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文;
将所述接入认证码密文通过所述微基站广播至所在的区块链网络;
获取运营商核心网系统基于所述接入认证码密文生成并在区块链网络中广播的第一身份验证信息;
获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息;
若所述第一身份验证信息和所述第二身份验证信息一致,则向所述微基站发送允许接入信息,以供所述微基站基于所述允许接入信息为所述用户终端提供网络接入服务。
2.根据权利要求1所述的方法,其特征在于,所述响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文的步骤包括:
响应于用户终端通过微基站发送的接入请求消息,生成接入认证码;
利用系统密钥加密所述接入认证码,生成系统加密接入认证码;
对所述系统加密接入认证码进行签名,生成服务器签名;
获取微基站的属性描述证书,并基于所述属性描述证书生成授权接入条件;
对所述授权接入条件进行加密,生成加密授权接入条件;
根据所述系统加密接入认证码、所述服务器签名和所述加密授权接入条件生成所述接入认证码密文。
3.根据权利要求1所述的方法,其特征在于,所述第一身份验证信息为所述运营商核心网系统基于所述接入认证码密文获取接入认证码后,对所述接入认证码和预存的用户终端的运营商服务密码进行同态加密生成的信息。
4.根据权利要求1所述的方法,其特征在于,所述第二身份验证信息为所述用户终端基于所述接入认证码密文获取接入认证码后,对所述接入认证码和预存的运营商服务密码进行同态加密生成的信息。
5.根据权利要求1所述的方法,其特征在于,所述获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息之前,还包括:
对所述接入认证码密文进行同态加密,获得同态加密接入认证码密文;
将所述同态加密接入认证码密文发送给所述用户终端,以供所述用户终端对所述同态加密接入认证码密文进行同态解密得到所述接入认证码密文。
6.根据权利要求5所述的方法,其特征在于,所述将所述同态加密接入认证码密文发送给所述用户终端的步骤,包括:
将所述同态加密接入认证码密文拆分为两个部分;
将其中一部分所述同态加密接入认证码密文通过移动通信网络发送给所述用户终端;
将另一部分所述同态加密接入认证码密文通过直连通信链路发送给所述用户终端。
7.根据权利要求4所述的方法,其特征在于,所述第二身份验证信息包括第一部分和第二部分;
所述获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息的步骤,包括:
获取所述用户终端通过所述微基站发送的所述第一部分和所述第二部分;
将所述第一部分和所述第二部分进行同态运算,获得所述第二身份验证信息。
8.一种终端接入装置,应用于微基站管理服务器,其特征在于,所述装置包括:
第一生成模块,用于响应于用户终端通过微基站发送的接入请求消息,生成接入认证码密文;
第一广播模块,用于将所述接入认证码密文通过所述微基站广播至所在的区块链网络;
第一获取模块,用于获取运营商核心网系统基于所述接入认证码密文生成并在区块链网络中广播的第一身份验证信息;
第二获取模块,用于获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息;
第一发送模块,用于若所述第一身份验证信息和所述第二身份验证信息一致,则向所述微基站发送允许接入信息,以供所述微基站基于所述允许接入信息为所述用户终端提供网络接入服务。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第一加密模块,用于在所述第二获取模块获取所述用户终端基于所述接入认证码密文生成并通过所述微基站发送的第二身份验证信息之前,对所述接入认证码密文进行同态加密,获得同态加密接入认证码密文;
第二发送模块,用于将所述同态加密接入认证码密文发送给所述用户终端,以供所述用户终端对所述同态加密接入认证码密文进行同态解密得到所述接入认证码密文。
10.根据权利要求9所述的装置,其特征在于,所述第二发送模块,包括:
发送处理子模块,用于将所述同态加密接入认证码密文拆分为两个部分;
移动网络发送子模块,用于将其中一部分所述同态加密接入认证码密文通过移动通信网络发送给所述用户终端;
直连链路发送子模块,用于将另一部分所述同态加密接入认证码密文通过直连通信链路发送给所述用户终端。
11.一种服务器,其特征在于,包括权利要求8-10中任一项所述的终端接入装置。
CN202010910404.XA 2020-09-02 2020-09-02 终端接入方法、装置和服务器 Active CN111918289B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010910404.XA CN111918289B (zh) 2020-09-02 2020-09-02 终端接入方法、装置和服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010910404.XA CN111918289B (zh) 2020-09-02 2020-09-02 终端接入方法、装置和服务器

Publications (2)

Publication Number Publication Date
CN111918289A CN111918289A (zh) 2020-11-10
CN111918289B true CN111918289B (zh) 2022-08-26

Family

ID=73267389

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010910404.XA Active CN111918289B (zh) 2020-09-02 2020-09-02 终端接入方法、装置和服务器

Country Status (1)

Country Link
CN (1) CN111918289B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113114623B (zh) * 2021-03-12 2022-09-06 深圳市广和通无线股份有限公司 数据连接方法、装置、终端设备和计算机可读存储介质
CN113194471B (zh) * 2021-05-21 2023-04-07 中国联合网络通信集团有限公司 基于区块链网络的无线网络接入方法、装置和终端
CN113316150A (zh) * 2021-05-21 2021-08-27 中国联合网络通信集团有限公司 无线网络接入方法、终端及无线接入设备
CN113347686A (zh) * 2021-05-21 2021-09-03 中国联合网络通信集团有限公司 无线网络接入方法、无线接入设备及终端

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107734502B (zh) * 2017-09-07 2020-02-21 京信通信系统(中国)有限公司 基于区块链的微基站通信管理方法、系统及设备
ES2822165T3 (es) * 2017-10-27 2021-04-29 Deutsche Telekom Ag Método para el establecimiento y el funcionamiento de una red dedicada en una red de telefonía móvil y red de cadena de bloques entre operadores
CN110602691B (zh) * 2019-10-18 2022-07-22 中国联合网络通信集团有限公司 一种基于区块链网络的移动通信方法及装置
CN111246471B (zh) * 2020-01-10 2023-02-21 中国联合网络通信集团有限公司 终端接入方法及装置
CN111194034B (zh) * 2020-01-10 2022-09-02 中国联合网络通信集团有限公司 一种认证方法及装置

Also Published As

Publication number Publication date
CN111918289A (zh) 2020-11-10

Similar Documents

Publication Publication Date Title
CN111918289B (zh) 终端接入方法、装置和服务器
CN111246471B (zh) 终端接入方法及装置
CN111050314A (zh) 客户端注册方法、装置及系统
US20110113250A1 (en) Security integration between a wireless and a wired network using a wireless gateway proxy
CN111194034B (zh) 一种认证方法及装置
CN111083697B (zh) 接入方法、终端、微基站和接入系统
CN111050322A (zh) 基于gba的客户端注册和密钥共享方法、装置及系统
CN110545252B (zh) 一种认证和信息保护的方法、终端、控制功能实体及应用服务器
CN111212425B (zh) 一种接入方法和服务器、终端
CN111601280B (zh) 一种接入验证方法及装置
CN111901795B (zh) 接入方法及核心网设备、微基站管理服务器
CN111212426A (zh) 终端的接入方法及终端、微基站、接入系统
CN111246476B (zh) 一种微基站用户的验证方法和装置
CN102264068B (zh) 共享密钥协商方法与系统、网络平台及终端
CN111988777B (zh) 一号双终端业务的处理方法及核心网设备、服务器
CN112601218B (zh) 无线网络配置方法和装置
CN111770496B (zh) 一种5g-aka鉴权的方法、统一数据管理网元及用户设备
CN111800791B (zh) 认证方法及核心网设备、终端
CN111885600B (zh) 双卡终端的接入方法、终端及服务器
CN111918292B (zh) 一种接入方法及装置
JP7404540B2 (ja) プライバシー情報伝送方法、装置、コンピュータ機器及びコンピュータ読み取り可能な媒体
WO2009004590A2 (en) Method, apparatus, system and computer program for key parameter provisioning
CN107426724B (zh) 智能家电接入无线网络的方法及系统及终端及认证服务器
CN112437434B (zh) 一种接入方法及装置
CN113194471B (zh) 基于区块链网络的无线网络接入方法、装置和终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant