CN112448928A - 一种获取凭据的方法及装置 - Google Patents
一种获取凭据的方法及装置 Download PDFInfo
- Publication number
- CN112448928A CN112448928A CN201910819804.7A CN201910819804A CN112448928A CN 112448928 A CN112448928 A CN 112448928A CN 201910819804 A CN201910819804 A CN 201910819804A CN 112448928 A CN112448928 A CN 112448928A
- Authority
- CN
- China
- Prior art keywords
- terminal
- request message
- access target
- identifier
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Abstract
本申请涉及终端领域,公开了一种获取凭据的方法及装置,用以解决目前获取凭据的方式应用范围小的问题。方法包括:终端向区块链发送第一请求消息,第一请求消息用于获取终端的第一访问目标的第一标识,第一请求消息中包括终端的标识;终端接收区块链发送的针对第一请求消息的第一响应消息,第一响应消息包括第一令牌,第一令牌包括第一标识;终端根据第一标识,向第一访问目标发送第二请求消息,第二请求消息用于获取访问第一访问目标的凭据,第二请求消息包括终端的标识和第一令牌;终端接收第一访问目标发送的第二响应消息,第二响应消息包括用于访问第一访问目标的凭据。适应于物联网场景、其他场景,应用范围大。
Description
技术领域
本申请实施例涉及终端领域,尤其涉及一种获取凭据的方法及装置。
背景技术
接入控制在蜂窝网络中扮演着非常重要的角色,起到了保护频谱资源和通信资源的作用,是蜂窝网络为终端提供移动通信服务的前提。终端要想接入移动运营商(mobilenetwork operator,MNO)(以下简称运营商)的蜂窝网络,需要获取访问运营商的凭据。在现有技术中,通过在实体的客户识别模块(subscriber identity model,SIM)卡中内置访问运营商的凭据的方式,接入运营商的网络。
如果用户想要更改运营商,则需要更换SIM卡。在物联网场景下,物联网终端的数量巨大,如果更换SIM卡,工作量巨大,且物联网终端通常为传感器等小型设备,使用SIM卡将限制物联网终端的空间和设计。并且部分物联网终端由于其自身的特点,在很多情况下,无法使用SIM卡。例如工业物联网终端需要工作在极端的环境里,高温,潮湿,灰尘,剧烈震动等都会使SIM卡接触不良,或极易损坏。
并且终端访问服务提供商时,也需要先获取到访问服务提供商的凭据。在物联网场景下,访问服务提供商的凭据一般为用户名和密码,用户名和密钥无法在终端出厂时配置到终端中,需要用户在终端中输入。在物理网场景下,物理网终端的数量较大,如果人工输入用户名和密钥,人工成本太大。
基于此,现有的获取凭据的方式,限制了应用范围。
发明内容
本申请实施例提供一种获取凭据的方法及装置,用以解决目前获取凭据应用范围小的问题。
第一方面,提供了一种获取凭据的方法,所述方法的执行主体可以是终端,所述方法包括:终端可以向区块链发送第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识,其中,第一访问目标包括但不限于服务提供商和/或运营商;进而,所述终端可以接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一访问目标的第一标识;然后所述终端可以根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述终端的标识和所述第一令牌;进而,所述终端还可以接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息,所述第二响应消息包括用于访问所述第一访问目标的凭据。终端通过区块链获取访问运营商的凭据,进而可以根据凭据接入运营商的网络。终端通过区块链获取访问服务提供商的凭据,进而可以根据凭据接入服务提供平台。
终端通过向区块链发送请求消息获取到第一访问目标的第一标识,进而根据第一标识连接第一访问目标,向第一访问目标请求访问第一访问目标的凭据。终端不依赖于实体的SIM卡,可以通过区块链这个桥梁自动获取访问运营商的凭据,也可以在不输入用户名和密码的前提下,自动获取访问服务提供商的凭据。从而可以适应于物联网场景,以及其他场景,应用范围大。
在一种可能的实现中,所述终端还可以与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。该双向身份认证的过程可以是终端向第一访问目标发送第二请求消息之前进行的。
通过终端与第一访问目标的双向身份认证,可以避免攻击者冒充所述终端获取访问第一访问目标的凭据,保证了信息的安全性。在双向身份认证的过程中,所述终端与第一访问目标间还可以推演安全密钥,可以便于保证后续终端与第一访问目标间信息传递的安全性。
在一种可能的实现中,所述第二响应消息可以具有完整性保护和/或加密保护。所述第二响应消息可以是采用终端与第一访问目标进行双向身份认证过程中推演出的密钥进行安全保护的,通过对第二响应消息进行安全保护,可以避免攻击者盗取、篡改访问第一访问目标的凭据,保证了信息的安全性。
在一种可能的实现中,所述终端还可以向所述区块链进行身份认证。该过程可以是终端在向区块链发送第一请求消息之前进行的。该过程可以避免攻击者冒充所述终端获取访问第一访问目标的凭据,以及定购信息,保证了信息的安全性。
第二方面,提供了一种获取凭据的方法,所述方法的执行主体可以是区块链,所述方法包括:区块链可以接收终端发送的第一请求消息,所述第一请求消息可以用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识,其中,第一访问目标包括但不限于服务提供商和/或运营商;进而,所述区块链可以向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识,其中,所述第一令牌与所述终端的标识关联。
区块链告知终端第一访问目标的第一标识,且为了避免攻击者篡改第一访问目标的第一标识,还将第一标识放置在第一令牌中告知终端。以便终端根据第一标识向第一访问目标获取凭据。终端不依赖于实体的SIM卡,可以通过区块链这个桥梁自动获取访问运营商的凭据,也可以在不输入用户名和密码的前提下,自动获取访问服务提供商的凭据。从而可以适应于物联网场景,以及其他场景,应用范围大。
在一种可能的实现中,所述区块链还可以接收所述第一访问目标发送的第三请求消息,所述第三请求消息中包括所述终端的标识和所述第一令牌,所述第三请求消息用于请求验证所述第一令牌是否有效;所述区块链在验证所述令牌是否有效后,可以向所述第一访问目标发送针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示。
区块链进而还可以验证终端发送给第一访问目标的第一令牌是否有效,并向第一访问目标发送第一令牌是否有效的指示,从而可以使第一访问目标根据所述第一令牌是否有效的指示,决定是否将访问第一访问目标的凭据发送给终端。
在一种可能的实现中,区块链还可以接收所述第一访问目标写入的所述第一访问目标的第一标识和用户的标识,及所述第一标识和用户的标识的对应关系,所述用户为向第一访问目标订购网络或服务的用户。区块链还可以接收销售商写入的所述用户的标识和所述终端的标识,及所述用户的标识和所述终端的标识的对应关系。进一步地,区块链在接收到终端发送的第一请求消息后,可以根据第一请求消息中的终端的标识,查找用户的标识,进而根据用户的标识,查找第一访问目标的第一标识。
第三方面,提供了一种获取凭据的方法,所述方法的执行主体为第一访问目标,所述方法包括:第一访问目标可以接收终端发送的第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述终端的标识和区块链为所述终端分配的第一令牌,所述第一令牌包括所述第一访问目标的第一标识,其中,第一访问目标包括但不限于服务提供商和/或运营商;然后所述第一访问目标在确定所述第一令牌有效的情况下,可以向所述终端发送针对所述第二请求消息的第二响应消息,所述第二响应消息包括用于访问所述第一访问目标的凭据。终端通过区块链获取访问运营商的凭据,进而可以根据凭据接入运营商的网络。终端通过区块链获取访问服务提供商的凭据,进而可以根据凭据接入服务提供平台。
第一访问目标在接收到终端发送的获取访问第一访问目标的凭据的请求消息后,可以向区块链验证终端发送的第一令牌是否有效,如果有效,则可以将访问第一访问目标的凭据告知终端。终端不依赖于实体的SIM卡,可以通过区块链这个桥梁自动获取访问运营商的凭据,也可以在不输入用户名和密码的前提下,自动获取访问服务提供商的凭据。从而可以适应于物联网场景,以及其他场景,应用范围大。
在一种可能的实现中,所述第一访问目标可以向所述区块链发送第三请求消息,所述第三请求消息用于请求验证所述第一令牌是否有效,所述第三请求消息中包括所述终端的标识和所述第一令牌;所述第一访问目标还可以接收所述区块链发送的针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示,所述第一访问目标根据所述用于指示所述第一令牌是否有效的指示确定第一令牌是否有效。
在一种可能的实现中,所述第一访问目标还可以与所述终端进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。该双向身份认证的过程可以是终端向第一访问目标发送第二请求消息之前进行的。
通过终端与第一访问目标的双向身份认证,可以避免攻击者冒充所述终端获取访问第一访问目标的凭据,保证了信息的安全性。在双向身份认证的过程中,所述终端与第一访问目标间还可以推演安全密钥,可以便于保证后续终端与第一访问目标间信息传递的安全性。
在一种可能的实现中,所述第二响应消息具有完整性保护和/或加密保护。所述第二响应消息可以是采用终端与第一访问目标进行双向身份认证过程中推演出的密钥进行安全保护的,通过对第二响应消息进行安全保护,可以避免攻击者盗取、篡改访问第一访问目标的凭据,保证了信息的安全性。
在一种可能的实现中,所述第一访问目标可以将所述第一访问目标的第一标识和用户的标识,及所述第一标识与所述用户的标识的对应关系写入所述区块链。销售商还可以将用户的标识和所述终端的标识,及所述用户的标识和所述终端的标识的对应关系。以便区块链根据终端的标识,查找用户的标识,进而根据用户的标识,查找第一访问目标的第一标识。
第四方面,提供了一种获取凭据的方法,执行主体为终端,所述方法包括:终端可以向区块链发送第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识,其中,第一访问目标包括但不限于服务提供商和/或运营商;进而,所述终端还可以收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识;然后,所述终端可以根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述终端的标识和所述用户的标识;进而所述终端接收所述第一访问目标发送的第三响应消息,所述第三响应消息包括用于访问所述第一访问目标的凭据。所述第三响应消息是所述第一访问目标向用户的标识对应的其他终端发送针对所述第二请求消息的第二响应消息后,且在接收到所述用户的标识对应的其它终端发送的第三请求消息后,发送给所述终端的;所述第二响应消息用于询问所述用户是否允许所述终端访问所述第一访问目标,所述第三请求消息用于指示所述用户允许所述终端访问所述第一访问目标。用户的标识对应的其他与所述终端可以相同,也可以不同。终端通过区块链获取访问运营商的凭据,进而可以根据凭据接入运营商的网络。终端通过区块链获取访问服务提供商的凭据,进而可以根据凭据接入服务提供平台。
终端通过向区块链发送请求消息获取到第一访问目标的第一标识,进而根据第一标识连接第一访问目标,向第一访问目标请求访问第一访问目标的凭据。终端不依赖于实体的SIM卡,可以通过区块链这个桥梁自动获取访问运营商的凭据,也可以在不输入用户名和密码的前提下,自动获取访问服务提供商的凭据。从而可以适应于物联网场景,以及其他场景,应用范围大。
在一种可能的实现中,在所述其他终端与所述终端相同的情况下,所述终端还可以接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息,所述终端可以基于所述第二响应信息进行提示,例如以短信形式显示,或以通知消息形式显示,或发出提示音等。用户可以针对所述提示,在终端上进行操作。所述终端还可以在接收到用户针对所述提示执行的确认访问所述第一访问目标的操作的情况下,向所述第一访问目标发送所述第三请求消息。
通过进行提示,可以使用户感知终端想要访问运营商和/或服务提供商,提高用户体验。
在一种可能的实现中,所述终端还可以与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。该双向身份认证的过程可以是终端向第一访问目标发送第二请求消息之前进行的。
通过终端与第一访问目标的双向身份认证,可以避免攻击者冒充所述终端获取访问第一访问目标的凭据,保证了信息的安全性。在双向身份认证的过程中,所述终端与第一访问目标间还可以推演安全密钥,可以便于保证后续终端与第一访问目标间信息传递的安全性。
在一种可能的实现中,所述第三响应消息具有完整性保护和/或加密保护。所述第三响应消息可以是采用终端与第一访问目标进行双向身份认证过程中推演出的密钥进行安全保护的,通过对第三响应消息进行安全保护,可以避免攻击者盗取、篡改访问第一访问目标的凭据,保证了信息的安全性。
在一种可能的实现中,所述终端还可以向所述区块链进行身份认证。该过程可以是终端在向区块链发送第一请求消息之前进行的。该过程可以避免攻击者冒充所述终端获取访问第一访问目标的凭据,保证了信息的安全性。
第五方面,提供了一种获取凭据的方法,所述方法的执行主体为区块链,所述方法包括:区块链可以接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;进而所述区块链可以向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识。
区块链告知终端第一访问目标的第一标识和用户的标识,从而可以使终端向第一访问目标请求凭据。终端不依赖于实体的SIM卡,可以通过区块链这个桥梁自动获取访问运营商的凭据,也可以在不输入用户名和密码的前提下,自动获取访问服务提供商的凭据。从而可以适应于物联网场景,以及其他场景,应用范围大。
在一种可能的实现中,区块链还可以接收所述第一访问目标写入的所述第一访问目标的第一标识和用户的标识,及所述第一标识和用户的标识的对应关系,所述用户为向第一访问目标订购网络或服务的用户。区块链还可以接收销售商写入的所述用户的标识和所述终端的标识,及所述用户的标识和所述终端的标识的对应关系。进一步地,区块链在接收到终端发送的第一请求消息后,可以根据第一请求消息中的终端的标识,查找用户的标识,进而根据用户的标识,查找第一访问目标的第一标识。
第六方面,提供了一种获取凭据的方法,所述方法的执行主体为第一访问目标,所述方法包括:第一访问目标可以接收终端发送的第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述终端的标识和用户的标识,其中,第一访问目标包括但不限于服务提供商和/或运营商;进而,所述第一访问目标可以向所述终端发送针对所述第二请求消息的第二响应消息,所述第二响应消息就可以包括所述第一访问目标的信息和所述用户的标识,所述第二响应消息用于询问所述用户是否允许所述终端访问所述第一访问目标;然后,所述第一访问目标还可以接收所述终端发送的第三请求消息,在所述第三请求消息用于指示所述用户允许所述终端访问所述第一访问目标的情况下,还可以向所述终端发送针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于访问所述第一访问目标的凭据。终端通过区块链获取访问运营商的凭据,进而可以根据凭据接入运营商的网络。终端通过区块链获取访问服务提供商的凭据,进而可以根据凭据接入服务提供平台。
第一访问目标在接收到终端发送的获取访问第一访问目标的凭据的请求消息后,可以向订购所述第一访问目标的服务或网络的用户发送验证,确认所述用户是否要访问所述第一访问目标。如果确认访问,则可以将访问第一访问目标的凭据告知终端。终端不依赖于实体的SIM卡,可以通过区块链这个桥梁自动获取访问运营商的凭据,也可以在不输入用户名和密码的前提下,自动获取访问服务提供商的凭据。从而可以适应于物联网场景,以及其他场景,应用范围大。
在一种可能的实现中,所述第一访问目标还可以与所述终端进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。该双向身份认证的过程可以是终端向第一访问目标发送第二请求消息之前进行的。
通过终端与第一访问目标的双向身份认证,可以避免攻击者冒充所述终端获取访问第一访问目标的凭据,保证了信息的安全性。在双向身份认证的过程中,所述终端与第一访问目标间还可以推演安全密钥,可以便于保证后续终端与第一访问目标间信息传递的安全性。
在一种可能的实现中,所述第三响应消息具有完整性保护和/或加密保护。所述第三响应消息可以是采用终端与第一访问目标进行双向身份认证过程中推演出的密钥进行安全保护的,通过对第三响应消息进行安全保护,可以避免攻击者盗取、篡改访问第一访问目标的凭据,保证了信息的安全性。
在一种可能的实现中,所述第一访问目标可以将所述第一访问目标的第一标识和用户的标识,及所述第一标识与所述用户的标识的对应关系写入所述区块链。销售商还可以将用户的标识和所述终端的标识,及所述用户的标识和所述终端的标识的对应关系。以便区块链根据终端的标识,查找用户的标识,进而根据用户的标识,查找第一访问目标的第一标识。
第七方面,提供了一种获取凭据的方法,所述方法的执行主体为其他终端,该其他终端可以是多个终端的管理设备,所述其他终端与所述第四方面中的终端不同,所述方法包括:其它终端可以接收第一访问目标发送的第二响应消息,并基于所述第二响应信息进行提示,其中,所述第二响应消息可以包括终端的标识,所述第二响应消息用于询问用户是否允许所述终端访问所述第一访问目标;例如以短信形式进行提示,或以通知消息形式进行提示,或发出提示音等。用户可以针对所述提示,在其它终端上进行操作。所述其它终端可以在接收到用户针对所述提示进行的允许所述终端访问所述第一访问目标的操作的情况下,向所述第一访问目标发送第三请求消息,其中,所述第三请求消息用于确认所述用户允许所述终端访问所述第一访问目标。通过进行提示,可以使用户感知终端想要访问运营商和/或服务提供商,提高用户体验。
第八方面,提供了一种获取凭据的方法,所述方法的执行主体为终端,所述方法包括:终端可以向区块链发送第一请求消息,所述第一请求消息用于获取访问所述终端的第一访问目标的凭据,所述第一请求消息中包括所述终端的标识;进而所述终端可以接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述终端的公钥加密后的用于访问所述第一访问目标的凭据。所述第一访问目标包括但不限于所述终端的服务提供商和运营商中一种或多种。
终端可以直接从区块链处获取到访问第一访问目标的凭据,高效快捷。且终端不依赖于实体的SIM卡,可以通过区块链这个桥梁自动获取访问运营商的凭据,也可以在不输入用户名和密码的前提下,自动获取访问服务提供商的凭据。从而可以适应于物联网场景,以及其他场景,应用范围大。
第九方面,提供了一种获取凭据的方法,所述方法的执行主体是区块链,所述方法包括:区块链可以接收终端发送的第一请求消息,所述第一请求消息用于获取访问所述终端的第一访问目标的凭据,所述第一请求消息中包括所述终端的标识;进而所述区块链可以向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述终端的公钥加密后的用于访问所述第一访问目标的凭据。
区块链将访问第一访问目标的凭据直接告知终端,使终端可以高效快速地获取凭据。且终端不依赖于实体的SIM卡,可以通过区块链这个桥梁自动获取凭据,从而可以适应于物联网场景,以及其他场景,应用范围大。
在一种可能的实现中,所述区块链还可以向所述第一访问目标发送采用所述第一访问目标的公钥加密后的用于访问所述第一访问目标的凭据。
区块链将访问第一访问目标的凭据直接告知第一访问目标,终端可以通过凭据访问第一访问目标。并且对该凭据进行加密,可以避免攻击者盗取和篡改。
在一种可能的实现中,所述区块链还可以接收所述第一访问目标写入的所述第一访问目标的公钥、用户的标识,及所述第一访问目标的公钥和所述用户的标识的对应关系。
第十方面,提供了一种获取凭据的方法,所述方法的执行主体为第一访问目标,所述方法包括:第一访问目标接收区块链发送的采用所述第一访问目标的公钥加密后的用于访问所述第一访问目标的凭据。
第一访问目标从区块链出获取访问第一访问目标的凭据,终端可以通过凭据访问第一访问目标。并且对该凭据进行加密,可以避免攻击者盗取和篡改。
在一种可能的实现中,所述第一访问目标包括但不限于服务提供商、运营商中一种或多种。
在一种可能的实现中,所述第一访问目标还可以将所述第一访问目标的公钥、用户的标识,及第一访问目标的公钥和用户标识的对应关系写入所述区块链。
第十一方面,提供了一种获取凭据的装置,该装置具有实现上述各方面和各方面的任一种可能的实现中方法的功能模块。所述功能模块可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能的实现中,该装置可以是芯片或者集成电路。
在一种可能的实现中,该装置包括收发器、处理器,所述装置可以通过处理器和收发器执行上述各方面和各方面中任一种可能的实现中的方法。
在一种可能的实现中,该装置还可以包括存储器;所述存储器,用于存储计算机程序。
第十二方面,提供一种计算机可读存储介质,所述计算机存储介质中存储有计算机可读指令,当所述计算机可读指令被运行时,使得装置可以执行上述各方面和各方面的任一可能的实现中的方法。
第十三方面,提供一种计算机程序产品,当所述计算机程序产品被运行时,使得装置可以执行上述各方面和各方面的任一可能的实现中的方法。
第十四方面,提供一种芯片,所述芯片与存储器耦合,所述芯片用于读取并执行所述存储器中存储的软件程序,以实现上述各方面和各方面的任一可能的实现中的方法。
第十五方面,提供了一种获取凭据的装置,所述装置可以包括:处理模块、收发模块和存储模块。
所述存储模块可以用于存储计算机程序;
所述处理模块可以用于执行所述存储模块存储的计算机程序,通过所述收发模块向区块链发送第一请求消息,所述第一请求消息用于获取所述装置的第一访问目标的第一标识,所述第一请求消息中包括所述装置的标识;并接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识;以及根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述装置的标识和所述第一令牌;以及接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息,所述第二响应消息包括用于访问所述第一访问目标的凭据。
在一种可能的实现中,所述第一访问目标为所述装置的服务提供商、运营商中一种或多种。
在一种可能的实现中,所述处理模块还可以用于与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第二响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理模块还可以用于在通过所述收发模块向区块链发送第一请求消息之前,向所述区块链进行身份认证。
第十六方面,提供了一种获取凭据的装置,所述装置可以包括:处理模块、收发模块和存储模块。
所述存储模块可以用于存储计算机程序;
所述处理模块可以用于执行所述存储模块存储的计算机程序,通过所述收发模块向区块链发送第一请求消息,所述第一请求消息用于获取所述装置的第一访问目标的第一标识,所述第一请求消息中包括所述装置的标识;并接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识;以及根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述装置的标识和所述用户的标识;以及接收所述第一访问目标发送的第三响应消息,所述第三响应消息包括用于访问所述第一访问目标的凭据,其中,所述第三响应消息是所述第一访问目标向用户的标识对应的其他终端发送针对所述第二请求消息的第二响应消息后,且在接收到所述用户的标识对应的其它终端发送的第三请求消息后,发送给所述装置的;所述第二响应消息用于询问所述用户是否访问所述第一访问目标,所述第三请求消息用于确认所述用户访问所述第一访问目标。
在一种可能的实现中,如果所述其他终端与所述装置相同;
所述收发模块还可以用于接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息;
所述处理模块还可以用于基于所述第二响应信息进行提示;在接收到用户针对所述提示执行的确认访问所述第一访问目标的操作的情况下,通过收发模块向所述第一访问目标发送所述第三请求消息。
在一种可能的实现中,所述处理模块还可以用于与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第三响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理模块还可以用于在通过所述收发模块向区块链发送第一请求消息之前,向所述区块链进行身份认证。
第十七方面,提供了一种获取凭据的装置,所述装置可以包括:处理模块、收发模块和存储模块。
所述存储模块可以用于存储计算机程序;
所述处理模块可以用于执行所述存储模块存储的计算机程序,通过所述收发模块向区块链发送第一请求消息,所述第一请求消息用于获取访问所述装置的第一访问目标的凭据,所述第一请求消息中包括所述装置的标识;以及接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述装置的公钥加密的用于访问所述第一访问目标的凭据。
第十八方面,提供了一种获取凭据的装置,所述装置可以包括:处理模块、收发模块和存储模块。
所述存储模块可以用于存储计算机程序;
所述处理模块可以用于执行所述存储模块存储的计算机程序,通过所述收发模块接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;并向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识,其中,所述第一令牌与所述终端的标识关联。
在一种可能的实现中,所述收发模块还可以用于接收所述第一访问目标发送的第三请求消息,所述第三请求消息中包括所述终端的标识和所述第一令牌,所述第三请求消息用于请求验证所述第一令牌是否有效;以及向所述第一访问目标发送针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示。
在一种可能的实现中,所述收发模块还可以用于接收所述第一访问目标写入的所述第一访问目标的第一标识和用户的标识,及其对应关系,和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
第十九方面,提供了一种获取凭据的装置,所述装置可以包括:处理模块、收发模块和存储模块。
所述存储模块可以用于存储计算机程序;
所述处理模块可以用于执行所述存储模块存储的计算机程序,通过所述收发模块接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;以及向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识。
在一种可能的实现中,所述收发模块还可以用于接收所述第一访问目标写入的所述第一访问目标的第一标识、所述用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
第二十方面,提供了一种获取凭据的装置,所述装置可以包括:处理模块、收发模块和存储模块。
所述存储模块可以用于存储计算机程序;
所述处理模块可以用于执行所述存储模块存储的计算机程序,通过所述收发模块接收终端发送的第一请求消息,所述第一请求消息用于获取访问所述终端的第一访问目标的凭据,所述第一请求消息中包括所述终端的标识;以及向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述终端的公钥加密的用于访问所述第一访问目标的凭据。
在一种可能的实现中,所述收发模块还可以用于向所述第一访问目标发送采用所述第一访问目标的公钥加密的用于访问所述第一访问目标的凭据。
在一种可能的实现中,所述收发模块还可以用于接收所述第一访问目标写入的所述第一访问目标的公钥、用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
附图说明
图1为本申请实施例中提供的一种应用场景示意图;
图2为本申请实施例中提供的一种系统架构示意图;
图3为本申请实施例中提供的一种获取凭据的流程示意图;
图4为本申请实施例中提供的一种获取凭据的流程示意图;
图5为本申请实施例中提供的一种获取凭据的流程示意图;
图6为本申请实施例中提供的一种获取凭据的装置示意图;
图7为本申请实施例中提供的一种获取凭据的装置示意图;
图8为本申请实施例中提供的一种获取凭据的装置示意图;
图9为本申请实施例中提供的一种获取凭据的装置示意图;
图10为本申请实施例中提供的一种获取凭据的装置示意图;
图11为本申请实施例中提供的一种获取凭据的装置示意图。
具体实施方式
下面将结合附图,对本申请实施例进行详细描述。
本申请实施例描述的业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
为便于理解本申请实施例,接下来以图1所示的应用场景进行介绍,用户购买终端,例如购买的终端为手机,用户可以在手机上安装一个多个APP,例如微信,QQ,爱奇艺等。用户要想使用手机上安装的APP,例如通过微信向好友发送消息,或者通过爱奇艺观看视频,终端需要接入网络,终端通过网络访问服务提供商(service provider,SP)(例如微信的服务提供商或爱奇艺的服务提供商),请求服务,以便于用户使用APP。
再例如,用户购买的终端为V2X终端,例如,电表,电表可以检测用电量,并自动向电网的服务平台上报用电量,以避免人工抄写用电量。电表要想向电网的服务平台上报用电量,电表也需要接入网络。向电网的服务平台上报用电量即访问服务提供商。
终端在接入网络时,可以是采用WIFI的方式接入网络,也可以是终端上安装运营商提供的实体的SIM卡,终端与实体的SIM卡的运营商进行双向身份认证后,接入运营商的蜂窝网络。
以下介绍目前终端与实体SIM卡的运营商进行双向身份认证的过程。SIM卡和运营商保存相同的根密钥,终端可以将根密钥作为认证的凭据与运营商进行双向身份认证。以下介绍基于SIM卡的凭据配置(credential provisioning)过程:运营商向SIM卡的生产商提供国际移动用户识别码(international mobile subscriber identification number,IMSI),用户的档案(profile)和运营商档案(profile)等信息,其中用户的档案可以是用户的类型,例如个人用户,集体用户,电厂物联网用户等。运营商的档案可以是运营商的代码、公钥等信息。SIM卡的生产商在收到这些信息后,为每个IMSI生成一个对应的根密钥,并将IMSI和根密钥写入到实体的SIM卡中。SIM卡的生产商将IMSI、根密钥、及其对应关系告知运营商。运营商将获取到的IMSI、根密钥、及其对应关系进行保存。用户从运营商处购买SIM卡,用户将SIM卡插入终端后,终端便可以利用SIM中储存的IMSI和根密钥与运营商进行双向身份认证,从而接入和使用运营商的网络。
上述介绍的基于SIM卡的凭据配置方式的整个过程都是线下进行的,链条长,环节多,周期长,运输和维护成本高,且双向身份认证的凭据是通过实体的SIM卡发放给用户的。如果用户更改运营商,则需要更换SIM卡。在物联网场景下,物联网终端的数量巨大,如果更换SIM卡,工作量巨大,且物联网终端通常为传感器等小型设备,使用SIM卡将限制物联网终端的空间和设计。并且部分物联网终端由于其自身的特点,在很多情况下,无法使用SIM卡。例如工业物联网终端需要工作在极端的环境里,高温,潮湿,灰尘,剧烈震动等都会使SIM卡接触不良,或极易损坏。
基于此,具有远程凭据配置功能的eSIM卡,或称为嵌入式通用集成电路卡(embedded Universal Integrated Circuit Card,EUICC)应运而生,eSIM可以直接焊接在物联网终端中保证稳定性。物联网终端激活时,eSIM卡可以远程下载运营商的凭据。具体过程为:eSIM卡的运营商将访问运营商的凭据告知eSIM卡的生产商,eSIM卡的生产商将凭据告知证书管理机构,证书管理机构将运营商的凭据对应的证书颁发给eSIM的生产商,eSIM的生产商在生产eSIM卡时将证书内置于eSIM卡中。证书管理机构还向运营商的远程凭据配置服务器颁发凭据对应的证书。eSIM卡可以先使用内置的证书与运营商的远程凭据配置服务器相互认证,在相互认证通过后建立安全通道,请求下载运营商的凭据。远程凭据配置服务器由运营商部署,和运营商之间有安全通道。运营商可以将凭据经由远程凭据配置服务器下载到eSIM卡中。
在物联网场景下,由于物联网终端的生产商不知道物联网终端会被用在哪个运营商的网络里,因此eSIM卡在出厂无法配置运营商的凭据对应的证书。并且运营商需要部署远程凭据配置服务器,并需向证书管理机构获取证书,这将增加运营商的运营和维护成本。
并且终端访问服务提供商时,也需要先获取到访问服务提供商的凭据。在物联网场景下,访问服务提供商的凭据一般为用户名和密码,用户名和密钥无法在终端出厂时配置到终端中,需要用户在终端中输入。在物理网场景下,物理网终端的数量较大,如果人工输入用户名和密钥,人工成本太大。
基于此,本申请实施例提供了多种获取凭据的方法,该方法可以实现在终端开箱(第一次开机或激活)后,在不插入SIM卡的前提下,就可以自动获取访问运营商的凭据,自动接入运营商网络,避免购买SIM卡才能接入运营商的网络。该方法也可以实现在终端开箱(第一次开机或激活)后,在不输入用户名和密码的前提下,就可以自动获取访问服务提供商的凭据,自动接入服务提供商平台,使用服务提供商的服务。
本申请实施例还提供获取凭据的装置,其中,方法、装置是基于同一技术构思的,由于方法、装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
为便于理解本申请实施例,以下对本申请实施例的部分用语进行解释说明,以便于本领域技术人员理解。
1)、终端,又称之为用户设备(user equipment,UE)、移动台(mobile station,MS)、移动终端(mobile terminal,MT)等,是一种向用户提供语音和/或数据连通性的设备。例如,终端设备包括具有无线连接功能的手持式设备、车载设备、物联网设备,V2X(vehicle-to-everything)系统中的设备等。目前,终端设备可以是:手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device,MID)、可穿戴设备,虚拟现实(virtual reality,VR)设备、增强现实(augmented reality,AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端,或智慧家庭(smart home)中的无线终端等。
2)、区块链:是一个去中心化的数据库。狭义来讲,区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构,并以密码学方式保证的不可篡改和不可伪造的分布式账本。广义来讲,区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。
3)、智能合约(smart contract):智能合约是以区块链技术为基础,能够自我执行的条约;一旦满足条件,就可以自动触发行为。智能合约是一段自动化脚本代码,可以部署在区块链上运行。智能合约有自己的账户,在时间或事件的驱动下能自动执行一些功能,如可以在相互之间传递信息,修改区块链的状态比如账户信息等。
4)、联盟链:区块链被划分为公有链,私有链和联盟链。联盟链仅针对联盟成员开放全部或部分功能,联盟链上的读写权限、记账规则等,都按联盟规则来“私人定制”。联盟链上的共识过程由预先选好的节点控制,一般来说,联盟链适用于机构间的交易、结算、或清算等企业对企业(business-to-business,B2B)场景。
5)、国际移动用户识别码(international mobile subscriber identificationnumber,IMSI):是区别移动用户的标志,储存在客户识别模块(subscriber identitymodel,SIM)卡中,可用于区别移动用户的有效信息。
6)、统一资源定位符(uniform resource locator,URL):表示从网络中上获得的资源的位置和访问方法,是网络中标准资源的地址。网络中每个文件有一个唯一的URL。
7)、在非对称加密技术中,有一对密钥,分别为私钥和公钥,私钥由密钥对所有者持有,不可公布;公钥由密钥对持有者公布给他人的。用公钥加密的数据只能使用对应的私钥解密,用私钥加密的数据也只能使用对应的公钥解密。
8)、摘要:对需要传输的数据,进行哈希(HASH)运算得到。
9)、签名:使用私钥对需要传输的数据的摘要进行加密,得到的密文被称为该次传输过程的签名。
10)、签名验证:接收端接收到数据后,采用公钥对签名进行解密,得到摘要;然后使用与发送端同样的HASH算法计算摘要值;再将计算出的摘要值与解密得到的摘要进行对比,如果二者一致,则说明数据没有被篡改,如果不一致,则说明数据被篡改。
11)、证书:在签名的过程中,每一个发送端有一个公钥,接收端则需要保存大量的公钥,以便进行签名验证。接收端管理大量的公钥会耗费非常多资源,且公钥有可能被篡改。基于此,可以由证书管理机构(certificate authority,CA)来管理发送端的公钥,对发送端的公钥进行认证和加密,认证加密后的公钥,即是证书。证书中包含很多信息,最重要的是申请者的公钥。这样,申请者拿到证书后,在发送数据时,使用私钥生成签名,将签名、证书和数据一起发给接收端。接收端可以使用证书管理机构的“统一密钥对”中的公钥(也称为CA根证书)对证书解密,以获取证书中的公钥。然后采用证书中的公钥解密发送方发过来的签名,得到摘要。并使用与发送端同样的HASH算法计算摘要值;再将计算出的摘要值与解密得到的摘要进行对比,以验证数据内容的完整性。
其中,CA根证书可以是数据接收端到CA证书管理机构下载并安装到相应的收取数据的客户端上的,客户端例如浏览器。CA根证书只需要安装一次。
12)、令牌:Token是一种凭证,类似cookie,Token是由生成者签名的一个凭证,并有完整性保护,无法被纂改。
本申请中的“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本申请中所涉及的多个,是指两个或两个以上。
在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
另外,在本申请实施例中,“示例的”一词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或实现方案不应被解释为比其它实施例或实现方案更优选或更具优势。确切而言,使用示例的一词旨在以具体方式呈现概念。
为了便于理解本申请,如图2所示,先介绍一下本申请的系统架构示意图。该系统中包括:终端、区块链、运营商MNO)服务提供商SP,用户(User),销售商(Retailer);其中,区块链可以是多方所建立的联盟链。销售商将终端卖给用户时,可以将销售信息写入区块链。用户向运营商订购网络(例如订购2个G的流量)时,运营商可以将用户的订购信息写入区块链。用户向服务提供商订购服务(例如注册微信,同意哪个条款,或者电表检测用电量)时,服务提供商也可以将用户的订购信息写入区块链。
运营商写入区块链的信息可以包括:
运营商的标识,例如,运营商的公钥或由公钥经过转换形成的地址(MNOaddr);
用户的标识,例如,用户的公钥或由公钥经过转换形成的地址(Uaddr);
用户订购的内容(subscription info),例如,连接数,连接速度等。
可选的,运营商写入区块链的信息还可以包括该记录所包含信息的哈希值(transaction Hash);该记录创建的时间(timestamp)。
服务提供商写入区块链的信息可以包括:
服务提供商的标识,例如,服务提供商的公钥或由公钥经过转换形成的地址(SPaddr);
用户的标识,例如,用户的公钥或由公钥经过转换形成的地址(Uaddr);
用户订购的内容(subscription Info),例如,购买哪些服务,服务内容等。
可选的,服务提供商写入区块链的信息还可以包括该记录所包含信息的哈希值(transaction Hash);该记录创建的时间(timestamp)。
销售商写入区块链的信息可以包括:
销售商的标识,例如销售商的公钥或由公钥经过转换形成的地址(Raddr):
用户的标识,例如,用户的公钥或由公钥经过转换形成的地址(Uaddr);
终端的标识(device ID)。
可选的,销售商写入区块链的信息还可以包括该记录所包含信息的哈希值(transaction Hash);该记录创建的时间(timestamp);
上述描述的终端的销售商,可能是终端的生产商(manufacturer)。如果终端被多次售卖,则上述描述的销售商不同于生产商。终端在每次售卖的过程中,售卖方都可以将销售信息写入区块链,写入的信息主要包括售卖方的标识,购买方的标识。可选的,该系统中还可以包括终端的生产商、批发商(wholesaler)等。生产商将终端卖给批发商时,将销售信息写入区块链。批发商将终端卖给销售商时,将销售信息写入区块链。
生成商写入区块链的信息可以包括:该记录所包含信息的哈希值(transactionHash);该记录创建的时间(timestamp);生产商的标识,例如,生产商的公钥或由公钥经过转换形成的地址(Maddr);批发商的标识,例如,批发商的公钥或由公钥经过转换形成的地址(Raddr);终端的标识等。
批发商写入区块链的信息可以包括:该记录所包含信息的哈希值(transactionHash);该记录创建的时间(timestamp);批发商的标识,例如,批发商的公钥或由公钥经过转换形成的地址(Maddr);销售商的标识,例如,销售商的公钥或由公钥经过转换形成的地址(Raddr);终端的标识等。
根据上述描述的运营商写入区块链的信息可以得出,用户在向运营商订购网络时,运营商不考虑是针对哪个终端订购的,只考虑是哪个用户订购的。根据上述描述的服务提供商写入区块链的信息可以得出,用户在向服务提供商订购服务时,服务提供商不考虑是针对哪个终端订购的,只考虑是针对哪个用户订购的。需要注意的是,如果用户购买了一个终端,则用户订购的运营商的网络和/或服务提供商的服务是被这一个终端使用。在物联网场景下,如果用户购买了多个终端,多个终端可以是进行同一业务的终端,例如检测用电量。用户在向运营商订购网络和/或向服务提供商订购服务时,是针对同一业务进行订购的,多个终端可以看作是一个整体。多个终端共同使用针对同一业务订购的网络,以及针对同一业务订购的服务。
终端在出厂时,可以内置终端的标识,区块链的URL,以及用于向区块链进行身份认证的证书。在终端初次使用(开机或激活)时,终端可以通过区块链的URL,访问区块链,从区块链处查找到购买该终端的用户,并可以查找到用户订购的运营商的标识,用户订购的服务提供商的标识。进而终端可以向服务提供商请求凭据,向运营商请求凭据。终端可以通过区块链这个桥梁,自动获取访问运营商的凭据,自动接入运营商网络,还可以自动获取访问服务提供商的凭据,自动接入服务提供商平台,使用服务提供商的服务。
以下通过具体的实施例详细说明终端通过区块链获取凭据的过程。
如图3所示,提供了一种凭据获取的方法,流程如下:
步骤301:终端向区块链发送第一请求消息,相应的,区块链接收终端发送的第一请求消息。所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识。
终端在初次使用(开机或激活)时,可以根据内置的区块链URL访问(或称为接入)区块链,并向区块链发起查询操作,例如可以查询购买所述终端的用户订购的运营商和/或服务提供商。具体的,终端可以向区块链发送第一请求消息,请求获取第一访问目标的第一标识,第一访问目标可以是购买所述终端的用户订购的访问目标,例如运营商和/或服务提供商,当然第一访问目标可以包括但不限于运营商和服务提供商。为了便于区别链查询第一访问目标的第一标识,第一请求消息中还可以包括终端的标识。
需要注意的是,终端可以先接入无密钥的网络,向区块链发送第一请求消息。
步骤302:所述区块链向所述终端发送针对所述第一请求消息的第一响应消息,相应的,所述终端接收所述区块链发送的第一响应消息,所述第一响应消息包括第一令牌,所述令第一牌包括所述第一访问目标的第一标识;其中,所述第一令牌与所述终端的标识关联。
用户在购买终端时,用户的标识和终端的标识已被对应写入区块链。用户第一访问目标订购服务或网络时,用户的标识和第一访问目标的第一标识也被对应写入区块链。例如,第一访问目标为运营商,用户在向运营商订购网络时,运营商将用户的标识和运营商的标识对应写入区块链。再例如,第一访问目标为服务提供商,用户在向服务提供商订购服务时,服务提供商将用户的标识和服务提供商的标识对应写入区块链。此处的标识可以是公钥,也可以是由公钥经过转换形成的地址。
区块链在接收到终端发送的第一请求消息后,可以根据第一请求消息包括的终端的标识,查找第一访问目标的第一标识。具体的,根据第一请求消息包括的终端的标识,查找购买该终端的用户的标识,并根据查找到的用户的标识,查询该用户的标识对应的第一访问目标的第一标识,例如用户订购的运营商的标识和/或用户订购的服务提供商的标识。区块链可以将查找到的第一访问目标的第一标识反馈给终端。
为了防止攻击者篡改第一标识,区块链可以通过令牌Token的方式向终端反馈第一访问目标的第一标识,示例的,区块链向终端发送针对所述第一请求消息的第一响应消息,第一响应消息包括第一令牌,所述第一令牌包括所述第一访问目标的第一标识。可选的,第一令牌中还可以包括用户的标识。第一令牌中可以表明终端和用户的绑定关系,也就是终端的标识与用户的标识的对应关系,区块链可以是通过对应表进行绑定,也可以是通过标注进行绑定。该过程可用智能合约实现。第一令牌可以保存在智能合约的状态中。
步骤303:所述终端根据所述第一标识,向所述第一访问目标发送第二请求消息,相应的,所述第一访问目标接收终端发送的第二请求消息。所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述终端的标识和所述第一令牌。
终端在接收到区块链发送的第一令牌后,可以根据第一令牌中的所述第一标识,访问(或称为接入、连接)第一访问目标,并向所述第一访问目标发送第二请求消息,用于获取访问所述第一访问目标的凭据。为了使第一访问目标信任所述终端,所述终端还可以在第一请求消息中携带终端的标识和所述第一令牌。
步骤306:所述第一访问目标在确定所述第一令牌有效的情况下,向所述终端发送针对所述第二请求消息的第二响应消息,相应的,所述终端接收所述第一访问目标发送的第二响应消息。所述第二响应消息包括用于访问所述第一访问目标的凭据。
第一访问目标在确定所述第一令牌有效的情况下,可以向终端反馈访问所述第一访问目标的凭据,则终端获得了访问第一访问目标的凭据。第一访问目标可以自身验证第一令牌是否有效,示例的,区块链在生成第一令牌时,可以在第一令牌中携带有效时间,第一访问目标可以验证接收第一令牌的时间是否已经超过有效时间,如果没有,则认为第一令牌有效。
当然第一访问目标也可以向区块链验证第一令牌是否有效,可选的,步骤304:所述第一访问目标向所述区块链发送第三请求消息,相应的,所述区块链接收所述第一访问目标发送的第三请求消息,所述第三请求消息中包括所述终端的标识和所述第一令牌,所述第三请求消息用于请求验证所述第一令牌是否有效。
第一访问目标在接收到终端发送的第二请求消息后,可以向区块链验证第二请求消息中的第一令牌是否有效。如果第一令牌有效,则可以将访问第一访问目标的凭据发送给终端。如果令牌无效,则不可以将访问第一访问目标的凭据发送给终端。第一访问目标可以去区块链中查询智能合约最新的状态,来确保第一令牌是否有效。
可选的,步骤305:所述区块链向所述第一访问目标发送针对所述第三请求消息的第三响应消息,相应的,所述第一访问目标接收所述区块链发送的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示。
区块链在接收到第一访问目标发送的第三请求消息后,可以验证所述第一令牌是否有效,并将第一令牌是否有效的结果告知第一访问目标。
区块链在验证第一令牌是否有效时,可以是进行签名验证,如果签名验证通过,则说明第一令牌有效。区块链在生成第一令牌时,还可以为第一令牌设置有效时间,则区块链在验证第一令牌是否有效时,还可以验证接收第一令牌的时间是否已经超过有效时间。区块链在生成第一令牌时,还可以对第一令牌进行加密保护和/或进行完整性保护,在验证第一令牌是否有效时,还可以验证是否能够解密成功,和/或完整性保护是否被破坏。
区块链在验证第一令牌是否有效时,包括但不限于上述描述的方式,还可以参照现有的验证令牌是否有效的方式,不再详细赘述。
第一访问目标在接收到第三响应消息后,可以根据第三响应消息中的指示,确定第一令牌是否有效。第一访问目标在确定所述第一令牌有效的情况下,可以向终端反馈访问所述第一访问目标的凭据,则终端获得了访问第一访问目标的凭据。
通过上述方法,可以实现在终端开箱(第一次开机或激活)后,在不插入SIM卡的前提下,就可以自动获取访问运营商的凭据,自动接入运营商网络,避免购买SIM卡才能接入运营商的网络。该方法也可以实现在终端开箱(第一次开机或激活)后,在不输入用户名和密码的前提下,就可以自动获取访问服务提供商的凭据,自动接入服务提供商平台,使用服务提供商的服务。上述方法可以适应于物联网场景,以及其他场景,应用范围大。
为了避免攻击者冒充所述终端获取访问第一访问目标的凭据,以及避免攻击者获取到购买所述终端的用户订购的网络或服务,以及保证信息的安全性。如图3所示,终端在向区块链发起查询操作之前,例如向区块链发送用于获取第一访问目标(例如运营商和/或服务提供商)的第一标识的第一请求消息之前,还可以向区块链进行身份认证(deviceattestation)。具体的,终端将终端的标识发送给区块链,并利用出厂时内置的用于向区块链进行身份认证的证书,向区块链进行身份认证。
终端利用内置的证书向区块链进行身份认证的过程可以参照现有的利用证书进行身份认证的过程,不再详细赘述。
另外,需要说明的是,由于区块链的URL是出厂时内置到终端中的,所以终端认为自身访问的区块链一定是安全的,所以区块链无需向终端进行身份认证。
为了避免攻击者冒充所述终端盗取、篡改访问第一访问目标的凭据,保证信息的安全性。如图3所示,终端在向第一访问目标(例如运营商和/或服务提供商)发送第二请求消息,请求获取访问第一访问目标的凭据之前,所述终端与所述第一访问目标间可以进行双向身份认证,相互核实对方的身份。双向身份认证的过程具体可以参见3GPP AKA的标准流程,此处不再详细赘述。
在双向身份认证的过程中,所述终端与第一访问目标间还可以推演安全密钥,例如加密保护密钥、完整性保护密钥。安全密钥可以便于保证后续终端与第一访问目标间信息传递的安全性。示例的,为了避免攻击者篡改访问第一访问目标的凭据,第一访问目标向终端发送的第二响应消息可以具有完整性保护和/或加密保护,具体可以是采用上述进行双向身份认证时,推演的完整性保护密钥和/或加密保护密钥进行安全保护的。通过对第二响应消息进行安全保护,可以避免攻击者盗取、篡改访问第一访问目标的凭据,保证了信息的安全性。
进一步地,终端在接收到第二响应消息后,可以对第二响应消息进行安全校验,例如,采用预先推演出的加密保护密钥对第二响应消息进行解密,还可以使用预先推演出的完整性保护密钥对第二响应消息进行完整性校验。如果安全校验通过,终端设备可以保存该凭据为第一访问目标的凭据,以后就可以使用该凭据访问第一访问目标了。
上述图3所示的实施例中,用户是没有感知的,终端可以快速、高效地获取到凭据。以下参见图4介绍的另一个实施例,用户可以感知到终端需要连接用户订购的运营商的网络和使用用户订购的服务提供商的服务。
步骤401:终端向区块链发送第一请求消息,相应的,区块链接收终端发送的第一请求消息。所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识。
步骤401与步骤301相同,重复之处不再进行赘述。
步骤402:所述区块链向所述终端发送针对所述第一请求消息的第一响应消息,相应的,所述终端接收所述区块链发送的第一响应消息,所述第一响应消息包括所述第一访问目标的第一标识和用户的标识。
区块链查找第一标识和用户的标识的过程可参见步骤302的描述,重复之处不再进行赘述。
步骤403:所述终端根据所述第一标识,向所述第一访问目标发送第二请求消息,相应的,所述第一访问目标接收终端发送的第二请求消息。所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述终端的标识和所述用户的标识。
步骤404:所述第一访问目标向用户的标识对应的其他终端发送针对所述第二请求消息的第二响应消息,相应的,所述其他终端接收所述第一访问目标发送的所述第二响应消息。所述第二响应消息用于询问所述用户是否允许所述终端访问所述第一访问目标。
第一访问目标在接收到终端发送的获取凭据的第二请求消息后,可以根据第二请求消息中的用户的标识向对应的用户发起查询,向对应的用户询问所述终端(发送第二请求消息的终端)是否要访问第一访问目标。可选的,所述第二响应消息中可以包括所述终端的标识,还可以包括第一访问目标的相关信息,例如第一标识,或者第一访问目标的名称或者其他信息。如果第一访问目标为某个运营商,第一访问目标的名称例如中国移动,中国电信,或者中国联通。
需要注意的是,第一访问目标是向用户的标识(例如地址)发送第二响应消息,用户可能会选择在所述终端上登录用户的标识,用以接收第二请求消息,也可能是在其他设备上登录用户的标识,用以接收第二请求消息。则用户的标识对应的其他终端可以是发送第二请求消息的终端,也可以是多个终端的管理设备。在图4中,所述其他终端不同于所述终端。
步骤405:所述其他终端基于所述第二响应消息进行提示,并确定是否接收到用户针对所述提示进行的操作。
所述其他终端在接收所述第二响应消息后,可以基于所述第二响应消息进行提示,例如以短信形式进行提示,或以通知消息形式进行提示。在文字提示的同时,还可以发出提示音等。用户可以针对所述其他终端做出的提示,在所述其它终端上进行操作,以表达是否允许发送第二请求消息的终端访问所述第一访问目标的意愿。例如,如果以短信形式进行提示,用户可以回复短信,表达自己的意愿。再例如,如果以通知消息进行提示,通知消息中可以显示两个虚拟按键,一个虚拟按键用于指示用户允许发送第二请求消息的终端访问第一访问目标,另一个虚拟按键用于指示用户不允许发送第二请求消息的终端访问第一访问目标,用户可以点击任一虚拟按键,表达自己的意愿。
步骤406:所述其它终端可以在接收到用户针对所述提示进行的允许所述终端访问所述第一访问目标的操作的情况下,向所述第一访问目标发送第三请求消息,相应的,所述第一访问目标接收所述第三请求消息。所述第三请求消息用于指示所述用户允许所述终端访问所述第一访问目标。
如果用户允许发送第二请求消息的终端访问第一访问目标,则用户可以在其它终端上做出相应的操作。为了方便描述,可以将用户允许所述终端访问所述第一访问目标的操作称为第一操作,则其它终端可以在接收到用户针对所述提示进行的第一操作的情况下,向所述第一访问目标发送用于指示所述用户允许所述终端访问所述第一访问目标的第三请求消息。
另外,如果用户不允许发送第二请求消息的终端访问第一访问目标,则用户可以不在其它终端上进行操作,也就是忽略所述其他终端做出的提示,或者用户在其它终端上做出相应的第二操作,以表达不允许发送第二请求消息的终端访问第一访问目标的意愿。其它终端可以在接收到用户针对所述提示进行的第二操作的情况下,向所述第一访问目标发送第四请求消息,所述第四请求消息用于指示所述用户不允许所述终端访问所述第一访问目标。
步骤407:所述第一访问目标向所述终端发送针对所述第三请求消息的第三响应消息,相应的,所述终端接收所述第一访问目标发送的第三响应消息。所述第三响应消息包括用于访问所述第一访问目标的凭据。
第一访问目标在接收到第三响应消息后,在第三响应消息指示用户允许终端访问第一访问目标的情况下,第一访问目标可以向终端反馈访问所述第一访问目标的凭据,则终端获得了访问第一访问目标的凭据。
通过上述方法,可以实现在终端开箱(第一次开机或激活)后,在不插入SIM卡的前提下,就可以自动获取访问运营商的凭据,自动接入运营商网络,避免购买SIM卡才能接入运营商的网络。该方法也可以实现在终端开箱(第一次开机或激活)后,在不输入用户名和密码的前提下,就可以自动获取访问服务提供商的凭据,自动接入服务提供商平台,使用服务提供商的服务。上述方法可以适应于物联网场景,以及其他场景,应用范围大。
并且在该实施例中,其他终端进行提示,由用户选择是否允许终端访问第一访问目标(例如,运营商和/或服务提供商),一方面可以避免其它用户的设备使用当前用户订购的服务或网络,另一方面可以使当前用户感知终端想要访问运营商和/或服务提供商,提高用户体验。
为了避免攻击者冒充所述终端获取访问第一访问目标的凭据,以及避免攻击者获取到购买所述终端的用户订购的网络或服务,以及保证信息的安全性。如图4所示,终端在向区块链发起查询操作之前,例如向区块链发送用于获取第一访问目标(例如运营商和/或服务提供商)的第一标识的第一请求消息之前,还可以向区块链进行身份认证(deviceattestation)。具体的,终端将终端的标识发送给区块链,并利用出厂时内置的用于向区块链进行身份认证的证书,向区块链进行身份认证。
终端利用内置的证书向区块链进行身份认证的过程可以参照现有的利用证书进行身份认证的过程,不再详细赘述。
另外,需要说明的是,由于区块链的URL是出厂时内置到终端中的,所以终端认为自身访问的区块链一定是安全的,所以区块链无需向终端进行身份认证。
为了避免攻击者冒充所述终端盗取、篡改访问第一访问目标的凭据,保证信息的安全性。如图4所示,终端在向第一访问目标(例如运营商和/或服务提供商)发送第二请求消息,请求获取访问第一访问目标的凭据之前,所述终端与所述第一访问目标间可以进行双向身份认证,相互核实对方的身份。双向身份认证的过程具体可以参见3GPP AKA的标准流程,此处不再详细赘述。
在双向身份认证的过程中,所述终端与第一访问目标间还可以推演安全密钥,例如加密保护密钥、完整性保护密钥。安全密钥可以便于保证后续终端与第一访问目标间信息传递的安全性。示例的,为了避免攻击者篡改访问第一访问目标的凭据,第一访问目标向终端发送的第三响应消息可以具有完整性保护和/或加密保护,具体可以是采用上述进行双向身份认证时,推演的完整性保护密钥和/或加密保护密钥进行安全保护的。通过对第三响应消息进行安全保护,可以避免攻击者盗取、篡改访问第一访问目标的凭据,保证了信息的安全性。
进一步地,终端在接收到第三响应消息后,可以对第三响应消息进行安全校验,例如,采用预先推演出的加密保护密钥对第三响应消息进行解密,还可以使用预先推演出的完整性保护密钥对第三响应消息进行完整性校验。如果安全校验通过,终端设备可以保存该凭据为第一访问目标的凭据,以后就可以使用该凭据访问第一访问目标了。
如图5所示,为本申请提供了另一获取凭据的流程,在该实施例中,可以利用智能合约,由区块链给终端颁发访问运营商和服务提供商的凭据。
步骤501:终端可以向区块链发送第一请求消息,相应的,区块链接收终端发送的第一请求消息。所述第一请求消息用于获取访问所述终端的第一访问目标的凭据,所述第一请求消息中包括所述终端的标识。
终端初次使用(开机或激活)时,可以根据内置的区块链URL访问(或称为接入)区块链,并向区块链发起查询操作,例如可以查询购买所述终端的用户订购的运营商和/或服务提供商,还可以查询访问运营商和/或服务提供商的凭据。具体的,终端可以向区块链发送第一请求消息,请求获取访问第一访问目标的凭据,第一访问目标可以是购买所述终端的用户订购的访问目标,例如运营商和/或服务提供商,当然第一访问目标可以包括但不限于运营商和服务提供商。为了便于区别链查询第一访问目标的凭据,第一请求消息中还可以包括终端的标识。
步骤502:区块链向终端发送第一请求消息的第一响应消息,相应的,所述终端接收区块链发送的第一响应消息。所述第一响应消息包括采用所述终端的公钥加密后的用于访问所述第一访问目标的凭据。
用户在购买终端时,用户的标识和终端的标识已被对应写入区块链。用户第一访问目标订购服务或网络时,用户的标识和第一访问目标的第一标识(例如公钥)也被对应写入区块链。例如,第一访问目标为运营商,用户在向运营商订购网络时,运营商将用户的标识和运营商的标识(例如公钥)对应写入区块链。再例如,第一访问目标为服务提供商,用户在向服务提供商订购服务时,服务提供商将用户的标识和服务提供商的标识(例如公钥)对应写入区块链。
区块链在接收到终端发送的第一请求消息后,可以根据第一请求消息包括的终端的标识,查找第一访问目标的公钥。具体的,根据第一请求消息包括的终端的标识,查找购买该终端的用户的标识,并根据查找到的用户的标识,查询该用户的标识对应的第一访问目标的公钥,例如用户订购的运营商的公钥和/或用户订购的服务提供商的公钥。区块链在查找到第一访问目标的公钥后,就可以知道第一访问目标是哪个了。进而区块链可以查找智能合约中当前保存的用于访问第一访问目标的凭据。智能合约中保存的用于访问第一访问目标的凭据,可以是智能合约生成的,也可以是第一访问目标生成后写入所述智能合约的。可选的,第一访问目标可以向区块链部署智能合约,智能合约可以用于生成访问第一访问目标的凭据。
如果智能合约中未保存用于访问第一访问目标的凭据,智能合约可以立即为所述终端生成访问所述第一访问目标的凭据。
进而区块链可以将用于访问第一访问目标的凭据反馈给所述终端。为了避免攻击者的攻击,区块链还可以对所述用于访问第一访问目标的凭据进行加密保护,例如可以采用所述终端的公钥对所述用于访问所述第一访问目标的凭据进行加密。用于访问第一访问目标的凭据可以理解为终端的标识和一个密钥Key,及两者的对应关系。可选的,终端在向区块链发送的第一请求消息之前,还可以将终端的公钥发送给区块链。
终端可以直接从区块链处获取到访问第一访问目标的凭据,高效快捷。且终端不依赖于实体的SIM卡,可以通过区块链这个桥梁自动获取凭据,从而可以适应于物联网场景,以及其他场景,应用范围大。
如果由区块链生成用于访问第一访问目标的凭据,可选的,步骤503:所述区块链还可以向所述第一访问目标发送采用所述第一访问目标的公钥加密后的用于访问所述第一访问目标的凭据。区块链将凭据加密后发送给第一访问目标,可以避免攻击者的攻击。
为了避免攻击者冒充所述终端获取访问第一访问目标的凭据,以及避免攻击者获取到购买所述终端的用户订购的网络或服务,以及保证信息的安全性。如图5所示,终端在向区块链发起查询操作之前,例如向区块链发送用于获取访问第一访问目标(例如运营商和/或服务提供商)的凭据的第一请求消息之前,还可以向区块链进行身份认证(deviceattestation)。具体的,终端将终端的标识发送给区块链,并利用出厂时内置的用于向区块链进行身份认证的证书,向区块链进行身份认证。
终端在向区块链进行身份认证时,可以告知区块链终端的公钥,示例的,终端的公钥包含在终端出厂时内置的用于向区块链进行身份认证的证书中。
终端利用内置的证书向区块链进行身份认证的过程可以参照现有的利用证书进行身份认证的过程,不再详细赘述。
另外,需要说明的是,由于区块链的URL是出厂时内置到终端中的,所以终端认为自身访问的区块链一定是安全的,所以区块链无需向终端进行身份认证。
以上介绍的多种实施例不仅可以实现终端在开箱后的,在不插入SIM卡的前提下,就可以自动获取访问运营商的凭据,自动接入运营商网络,避免购买SIM卡才能接入运营商的网络。该方法也可以实现在终端开箱(第一次开机或激活)后,在不输入用户名和密码的前提下,就可以自动获取访问服务提供商的凭据,自动接入服务提供商平台,使用服务提供商的服务。还具有防盗功能。因为区块链中把用户的标识和设备的标识进行了关联,被盗的设备无法将盗窃者和设备关联,所以设备被盗后,盗窃者也无法使用。
此外,还具有区块链溯源功能,即可追溯终端生产、流通、交易信息等。
另外,上述多种实施例不仅可以应用于物联网终端的蜂窝网、服务网的接入。还可以应用任意终端自动获取凭据的场景。此外,上述多个实施例中,均设定物联网终端出厂时,内置向区块链进行身份验证的证书。上述多个实施例也同样适用于物联网终端中没有内置证书,而是使用了可信安全模块(Trust Platform Module,TPM)的场景。其中,可信安全模块里内置公钥、私钥,可以替代证书。
如图6所示,提供了一种获取凭据的装置600,所述装置可以是终端侧的装置,例如可以是终端本身,也可以是终端中的芯片。所述装置包括:处理器601、收发器603和存储器602。
所述装置600可以执行图2中终端执行的操作,示例的:
所述存储器602,用于存储计算机程序;
所述处理器601,用于执行所述存储器602存储的计算机程序,通过所述收发器603向区块链发送第一请求消息,所述第一请求消息用于获取所述装置的第一访问目标的第一标识,所述第一请求消息中包括所述装置的标识;并接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识;以及根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述装置的标识和所述第一令牌;以及接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息,所述第二响应消息包括用于访问所述第一访问目标的凭据。
在一种可能的实现中,所述第一访问目标为所述装置的服务提供商、运营商中一种或多种。
在一种可能的实现中,所述处理器601,还用于与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第二响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理器601,还用于在通过所述收发器603向区块链发送第一请求消息之前,向所述区块链进行身份认证。
所述装置600可以执行图3中终端执行的操作,示例的:
所述存储器602,用于存储计算机程序;
所述处理器601,用于执行所述存储器602存储的计算机程序,通过所述收发器603向区块链发送第一请求消息,所述第一请求消息用于获取所述装置的第一访问目标的第一标识,所述第一请求消息中包括所述装置的标识;并接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识;以及根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述装置的标识和所述用户的标识;以及接收所述第一访问目标发送的第三响应消息,所述第三响应消息包括用于访问所述第一访问目标的凭据,其中,所述第三响应消息是所述第一访问目标向用户的标识对应的其他终端发送针对所述第二请求消息的第二响应消息后,且在接收到所述用户的标识对应的其它终端发送的第三请求消息后,发送给所述装置的;所述第二响应消息用于询问所述用户是否访问所述第一访问目标,所述第三请求消息用于确认所述用户访问所述第一访问目标。
在一种可能的实现中,如果所述其他终端与所述装置相同;
所述收发器603,还用于接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息;
所述处理器601,还用于基于所述第二响应信息进行提示;在接收到用户针对所述提示执行的确认访问所述第一访问目标的操作的情况下,通过收发器603向所述第一访问目标发送所述第三请求消息。
在一种可能的实现中,所述处理器601,还用于与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第三响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理器601,还用于在通过所述收发器603向区块链发送第一请求消息之前,向所述区块链进行身份认证。
所述装置600可以执行图4中终端执行的操作,示例的:
所述存储器602,用于存储计算机程序;
所述处理器601,用于执行所述存储器602存储的计算机程序,通过所述收发器603向区块链发送第一请求消息,所述第一请求消息用于获取访问所述装置的第一访问目标的凭据,所述第一请求消息中包括所述装置的标识;以及接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述装置的公钥加密的用于访问所述第一访问目标的凭据。
如图7所示,提供了一种获取凭据的装置700,所述装置可以是终端侧的装置,例如可以是终端本身,也可以是终端中的芯片。所述装置包括:处理模块701、收发模块703和存储模块702。
所述装置700可以执行图2中终端执行的操作,示例的:
所述存储模块702,用于存储计算机程序;
所述处理模块701,用于执行所述存储模块702存储的计算机程序,通过所述收发模块703向区块链发送第一请求消息,所述第一请求消息用于获取所述装置的第一访问目标的第一标识,所述第一请求消息中包括所述装置的标识;并接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识;以及根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述装置的标识和所述第一令牌;以及接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息,所述第二响应消息包括用于访问所述第一访问目标的凭据。
在一种可能的实现中,所述第一访问目标为所述装置的服务提供商、运营商中一种或多种。
在一种可能的实现中,所述处理模块701,还用于与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第二响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理模块701,还用于在通过所述收发模块703向区块链发送第一请求消息之前,向所述区块链进行身份认证。
所述装置700可以执行图3中终端执行的操作,示例的:
所述存储模块702,用于存储计算机程序;
所述处理模块701,用于执行所述存储模块702存储的计算机程序,通过所述收发模块703向区块链发送第一请求消息,所述第一请求消息用于获取所述装置的第一访问目标的第一标识,所述第一请求消息中包括所述装置的标识;并接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识;以及根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述装置的标识和所述用户的标识;以及接收所述第一访问目标发送的第三响应消息,所述第三响应消息包括用于访问所述第一访问目标的凭据,其中,所述第三响应消息是所述第一访问目标向用户的标识对应的其他终端发送针对所述第二请求消息的第二响应消息后,且在接收到所述用户的标识对应的其它终端发送的第三请求消息后,发送给所述装置的;所述第二响应消息用于询问所述用户是否访问所述第一访问目标,所述第三请求消息用于确认所述用户访问所述第一访问目标。
在一种可能的实现中,如果所述其他终端与所述装置相同;
所述收发模块703,还用于接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息;
所述处理模块701,还用于基于所述第二响应信息进行提示;在接收到用户针对所述提示执行的确认访问所述第一访问目标的操作的情况下,通过收发模块703向所述第一访问目标发送所述第三请求消息。
在一种可能的实现中,所述处理模块701,还用于与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第三响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理模块701,还用于在通过所述收发模块703向区块链发送第一请求消息之前,向所述区块链进行身份认证。
所述装置700可以执行图4中终端执行的操作,示例的:
所述存储模块702,用于存储计算机程序;
所述处理模块701,用于执行所述存储模块702存储的计算机程序,通过所述收发模块703向区块链发送第一请求消息,所述第一请求消息用于获取访问所述装置的第一访问目标的凭据,所述第一请求消息中包括所述装置的标识;以及接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述装置的公钥加密的用于访问所述第一访问目标的凭据。
如图8所示,提供了一种获取凭据的装置800,所述装置可以是区块链侧的装置,例如可以是运行区块链的设备本身,也可以是运行区块链的设备中的芯片。所述装置包括:处理器801、收发器803和存储器802。
所述装置800可以执行图2中区块链执行的操作,示例的:
所述存储器802,用于存储计算机程序;
所述处理器801,用于执行所述存储器802存储的计算机程序,通过所述收发器803接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;并向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识,其中,所述第一令牌与所述终端的标识关联。
在一种可能的实现中,所述收发器803,还用于接收所述第一访问目标发送的第三请求消息,所述第三请求消息中包括所述终端的标识和所述第一令牌,所述第三请求消息用于请求验证所述第一令牌是否有效;以及向所述第一访问目标发送针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示。
在一种可能的实现中,所述收发器803,还用于接收所述第一访问目标写入的所述第一访问目标的第一标识和用户的标识,及其对应关系,和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
所述装置800可以执行图3中区块链执行的操作,示例的:
所述存储器802,用于存储计算机程序;
所述处理器801,用于执行所述存储器802存储的计算机程序,通过所述收发器803接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;以及向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识。
在一种可能的实现中,所述收发器803,还用于接收所述第一访问目标写入的所述第一访问目标的第一标识、所述用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
所述装置800可以执行图4中区块链执行的操作,示例的:
所述存储器802,用于存储计算机程序;
所述处理器801,用于执行所述存储器802存储的计算机程序,通过所述收发器803接收终端发送的第一请求消息,所述第一请求消息用于获取访问所述终端的第一访问目标的凭据,所述第一请求消息中包括所述终端的标识;以及向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述终端的公钥加密的用于访问所述第一访问目标的凭据。
在一种可能的实现中,所述收发器803,还用于向所述第一访问目标发送采用所述第一访问目标的公钥加密的用于访问所述第一访问目标的凭据。
在一种可能的实现中,所述收发器803,还用于接收所述第一访问目标写入的所述第一访问目标的公钥、用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
如图9所示,提供了一种获取凭据的装置900,所述装置可以是区块链侧的装置,例如可以是运行区块链的设备本身,也可以是运行区块链的设备中的芯片。所述装置包括:处理模块901、收发模块903和存储模块902。
所述装置900可以执行图2中区块链执行的操作,示例的:
所述存储模块902,用于存储计算机程序;
所述处理模块901,用于执行所述存储模块902存储的计算机程序,通过所述收发模块903接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;并向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识,其中,所述第一令牌与所述终端的标识关联。
在一种可能的实现中,所述收发模块903,还用于接收所述第一访问目标发送的第三请求消息,所述第三请求消息中包括所述终端的标识和所述第一令牌,所述第三请求消息用于请求验证所述第一令牌是否有效;以及向所述第一访问目标发送针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示。
在一种可能的实现中,所述收发模块903,还用于接收所述第一访问目标写入的所述第一访问目标的第一标识和用户的标识,及其对应关系,和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
所述装置900可以执行图3中区块链执行的操作,示例的:
所述存储模块902,用于存储计算机程序;
所述处理模块901,用于执行所述存储模块902存储的计算机程序,通过所述收发模块903接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;以及向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识。
在一种可能的实现中,所述收发模块903,还用于接收所述第一访问目标写入的所述第一访问目标的第一标识、所述用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
所述装置900可以执行图4中区块链执行的操作,示例的:
所述存储模块902,用于存储计算机程序;
所述处理模块901,用于执行所述存储模块902存储的计算机程序,通过所述收发模块903接收终端发送的第一请求消息,所述第一请求消息用于获取访问所述终端的第一访问目标的凭据,所述第一请求消息中包括所述终端的标识;以及向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述终端的公钥加密的用于访问所述第一访问目标的凭据。
在一种可能的实现中,所述收发模块903,还用于向所述第一访问目标发送采用所述第一访问目标的公钥加密的用于访问所述第一访问目标的凭据。
在一种可能的实现中,所述收发模块903,还用于接收所述第一访问目标写入的所述第一访问目标的公钥、用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
如图10所示,提供了一种获取凭据的装置1000,所述装置可以是第一访问目标(运营商和/或服务提供商)侧的装置,例如可以是第一访问目标本身,也可以是第一访问目标中的芯片。所述装置包括:处理器1001、收发器1003和存储器1002。
所述装置1000可以执行图2中装置执行的操作,示例的:
所述存储器1002,用于存储计算机程序;
所述处理器1001,用于执行所述存储器1002存储的计算机程序,通过所述收发器1003接收终端发送的第二请求消息,所述第二请求消息用于获取访问所述装置的凭据,所述第二请求消息中包括所述终端的标识和区块链为所述终端分配的第一令牌,所述第一令牌包括所述装置的第一标识;所述处理器1001在确定所述第一令牌有效的情况下,可以通过所述收发器1003向所述终端发送针对所述第二请求消息的第二响应消息,所述第二响应消息包括用于访问所述装置的凭据。
在一种可能的实现中,所述收发器1003,还可以向所述区块链发送第三请求消息,所述第三请求消息用于请求验证所述第一令牌是否有效,所述第三请求消息中包括所述终端的标识和所述第一令牌;以及接收所述区块链发送的针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示。
在一种可能的实现中,所述处理器1001还可以与所述终端进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第二响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理器1001还可以将所述装置的第一标识和用户的标识,及所述第一标识与所述用户的标识的对应关系写入所述区块链。
所述装置1000可以执行图3中装置执行的操作,示例的:
所述存储器1002,用于存储计算机程序;
所述处理器1001,用于执行所述存储器1002存储的计算机程序,通过所述收发器1003接收终端发送的第二请求消息,所述第二请求消息用于获取访问所述装置的凭据,所述第二请求消息中包括所述终端的标识和用户的标识,以及向所述终端发送针对所述第二请求消息的第二响应消息,所述第二响应消息用于询问所述用户是否允许所述终端访问所述装置;并接收所述终端发送的第三请求消息,在所述第三请求消息用于指示所述用户允许所述终端访问所述装置的情况下,还可以向所述终端发送针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于访问所述装置的凭据。
在一种可能的实现中,所述处理器1001,还可以与所述终端进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第三响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理器1001,还可以将所述装置的第一标识和用户的标识,及所述第一标识与所述用户的标识的对应关系写入所述区块链。
所述装置1000可以执行图4中装置执行的操作,示例的:
所述存储器1002,用于存储计算机程序;
所述处理器1001,用于执行所述存储器1002存储的计算机程序,通过所述收发器1003接收区块链发送的采用所述装置的公钥加密后的用于访问所述装置的凭据。
在一种可能的实现中,所述处理器1001还可以将所述装置的公钥、用户的标识,及装置的公钥和用户的标识的对应关系写入所述区块链。
如图11所示,提供了一种获取凭据的装置1100,所述装置可以是第一访问目标(运营商和/或服务提供商)侧的装置,例如可以是第一访问目标本身,也可以是第一访问目标中的芯片。所述装置包括:处理模块1101、收发模块1103和存储模块1102。
所述装置1100可以执行图2中装置执行的操作,示例的:
所述存储模块1102,用于存储计算机程序;
所述处理模块1101,用于执行所述存储模块1102存储的计算机程序,通过所述收发模块1103接收终端发送的第二请求消息,所述第二请求消息用于获取访问所述装置的凭据,所述第二请求消息中包括所述终端的标识和区块链为所述终端分配的第一令牌,所述第一令牌包括所述装置的第一标识;以及所述处理模块1101在确定所述第一令牌有效的情况下,可以通过所述收发模块1103向所述终端发送针对所述第二请求消息的第二响应消息,所述第二响应消息包括用于访问所述装置的凭据。
在一种可能的实现中,所述收发模块1103,还用于向所述区块链发送第三请求消息,所述第三请求消息用于请求验证所述第一令牌是否有效,所述第三请求消息中包括所述终端的标识和所述第一令牌;以及接收所述区块链发送的针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示。
在一种可能的实现中,所述处理模块1101还可以与所述终端进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第二响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理模块1101还可以将所述装置的第一标识和用户的标识,及所述第一标识与所述用户的标识的对应关系写入所述区块链。
所述装置1100可以执行图3中装置执行的操作,示例的:
所述存储模块1102,用于存储计算机程序;
所述处理模块1101,用于执行所述存储模块1102存储的计算机程序,通过所述收发模块1103接收终端发送的第二请求消息,所述第二请求消息用于获取访问所述装置的凭据,所述第二请求消息中包括所述终端的标识和用户的标识,以及向所述终端发送针对所述第二请求消息的第二响应消息,所述第二响应消息用于询问所述用户是否允许所述终端访问所述装置;并接收所述终端发送的第三请求消息,在所述第三请求消息用于指示所述用户允许所述终端访问所述装置的情况下,还可以向所述终端发送针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于访问所述装置的凭据。
在一种可能的实现中,所述处理模块1101,还可以与所述终端进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
在一种可能的实现中,所述第三响应消息具有完整性保护和/或加密保护。
在一种可能的实现中,所述处理模块1101,还可以将所述装置的第一标识和用户的标识,及所述第一标识与所述用户的标识的对应关系写入所述区块链。
所述装置1100可以执行图4中装置执行的操作,示例的:
所述存储模块1102,用于存储计算机程序;
所述处理模块1101,用于执行所述存储模块1102存储的计算机程序,通过所述收发模块1103接收区块链发送的采用所述装置的公钥加密后的用于访问所述装置的凭据。
在一种可能的实现中,所述处理模块1101还可以将所述装置的公钥、用户的标识,及装置的公钥和用户的标识的对应关系写入所述区块链。
本申请实施例还提供了一种获取凭据的系统,所述系统可以包括执行如图2所示的流程中的终端、区块链和第一访问目标。
本申请实施例还提供了一种获取凭据的系统,所述系统可以包括执行如图3所示的流程中的终端、区块链和第一访问目标。
本申请实施例还提供了一种获取凭据的系统,所述系统可以包括执行如图4所示的流程中的终端、区块链和第一访问目标。
处理器可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。
处理器还可以进一步包括硬件芯片或其他通用处理器。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)及其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等或其任意组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。应注意,本申请描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本申请实施例提供了一种计算机存储介质,存储有计算机程序,该计算机程序包括用于执行上述获取凭据的方法。
本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述提供的获取凭据的方法。
本申请实施例提供的任一种获取凭据的装置还可以是一种芯片。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包括有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。
Claims (38)
1.一种获取凭据的方法,其特征在于,所述方法包括:
终端向区块链发送第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;
所述终端接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识;
所述终端根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述终端的标识和所述第一令牌;
所述终端接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息,所述第二响应消息包括用于访问所述第一访问目标的凭据。
2.如权利要求1所述的方法,其特征在于,所述第一访问目标为所述终端的服务提供商、运营商中一种或多种。
3.如权利要求1所述的方法,其特征在于,还包括:
所述终端与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
4.如权利要求3所述的方法,其特征在于,所述第二响应消息具有完整性保护和/或加密保护。
5.如权利要求1所述的方法,其特征在于,终端在向区块链发送第一请求消息之前,还包括:
所述终端向所述区块链进行身份认证。
6.一种获取凭据的方法,其特征在于,所述方法包括:
区块链接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;
所述区块链向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识,其中,所述第一令牌与所述终端的标识关联。
7.如权利要求6所述的方法,其特征在于,还包括:
所述区块链接收所述第一访问目标发送的第三请求消息,所述第三请求消息中包括所述终端的标识和所述第一令牌,所述第三请求消息用于请求验证所述第一令牌是否有效;
所述区块链向所述第一访问目标发送针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示。
8.如权利要求6所述的方法,其特征在于,还包括:
接收所述第一访问目标写入的所述第一访问目标的第一标识和用户的标识,及其对应关系,和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
9.一种获取凭据的方法,其特征在于,所述方法包括:
终端向区块链发送第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;
所述终端接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识;
所述终端根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述终端的标识和所述用户的标识;
所述终端接收所述第一访问目标发送的第三响应消息,所述第三响应消息包括用于访问所述第一访问目标的凭据,其中,所述第三响应消息是所述第一访问目标向用户的标识对应的其他终端发送针对所述第二请求消息的第二响应消息后,且在接收到所述用户的标识对应的其它终端发送的第三请求消息后,发送给所述终端的;所述第二响应消息用于询问所述用户是否允许所述终端访问所述第一访问目标,所述第三请求消息用于指示所述用户允许所述终端访问所述第一访问目标。
10.如权利要求9所述的方法,其特征在于,如果所述其他终端与所述终端相同,还包括:
所述终端接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息,并基于所述第二响应信息进行提示;
所述终端在接收到用户针对所述提示执行的确认访问所述第一访问目标的操作的情况下,向所述第一访问目标发送所述第三请求消息。
11.如权利要求9所述的方法,其特征在于,还包括:
所述终端与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
12.如权利要求11所述的方法,其特征在于,所述第三响应消息具有完整性保护和/或加密保护。
13.如权利要求9所述的方法,其特征在于,终端在向区块链发送第一请求消息之前,还包括:
所述终端向所述区块链进行身份认证。
14.一种获取凭据的方法,其特征在于,所述方法包括:
区块链接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;
所述区块链向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识。
15.如权利要求14所述的方法,其特征在于,还包括:
接收所述第一访问目标写入的所述第一访问目标的第一标识、所述用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
16.一种获取凭据的方法,其特征在于,所述方法包括:
终端向区块链发送第一请求消息,所述第一请求消息用于获取访问所述终端的第一访问目标的凭据,所述第一请求消息中包括所述终端的标识;
所述终端接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述终端的公钥加密的用于访问所述第一访问目标的凭据。
17.一种获取凭据的方法,其特征在于,所述方法包括:
区块链接收终端发送的第一请求消息,所述第一请求消息用于获取访问所述终端的第一访问目标的凭据,所述第一请求消息中包括所述终端的标识;
所述区块链向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述终端的公钥加密的用于访问所述第一访问目标的凭据。
18.如权利要求17所述的方法,其特征在于,还包括:
所述区块链向所述第一访问目标发送采用所述第一访问目标的公钥加密的用于访问所述第一访问目标的凭据。
19.如权利要求17所述的方法,其特征在于,还包括:
接收所述第一访问目标写入的所述第一访问目标的公钥、用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
20.一种获取凭据的装置,其特征在于,所述装置包括:存储器、处理器和收发器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述存储器存储的计算机程序,通过所述收发器向区块链发送第一请求消息,所述第一请求消息用于获取所述装置的第一访问目标的第一标识,所述第一请求消息中包括所述装置的标识;并接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识;以及根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述装置的标识和所述第一令牌;以及接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息,所述第二响应消息包括用于访问所述第一访问目标的凭据。
21.如权利要求20所述的装置,其特征在于,所述第一访问目标为所述装置的服务提供商、运营商中一种或多种。
22.如权利要求20所述的装置,其特征在于,所述处理器,还用于与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
23.如权利要求22所述的装置,其特征在于,所述第二响应消息具有完整性保护和/或加密保护。
24.如权利要求20所述的装置,其特征在于,所述处理器,还用于在通过所述收发器向区块链发送第一请求消息之前,向所述区块链进行身份认证。
25.一种获取凭据的装置,其特征在于,所述装置包括:存储器、处理器和收发器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述存储器存储的计算机程序,通过所述收发器接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;并向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括第一令牌,所述第一令牌包括所述第一标识,其中,所述第一令牌与所述终端的标识关联。
26.如权利要求25所述的装置,其特征在于,所述收发器,还用于接收所述第一访问目标发送的第三请求消息,所述第三请求消息中包括所述终端的标识和所述第一令牌,所述第三请求消息用于请求验证所述第一令牌是否有效;以及向所述第一访问目标发送针对所述第三请求消息的第三响应消息,所述第三响应消息包括用于指示所述第一令牌是否有效的指示。
27.如权利要求25所述的装置,其特征在于,所述收发器,还用于接收所述第一访问目标写入的所述第一访问目标的第一标识和用户的标识,及其对应关系,和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
28.一种获取凭据的装置,其特征在于,所述装置包括:存储器、处理器和收发器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述存储器存储的计算机程序,通过所述收发器向区块链发送第一请求消息,所述第一请求消息用于获取所述装置的第一访问目标的第一标识,所述第一请求消息中包括所述装置的标识;并接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识;以及根据所述第一标识,向所述第一访问目标发送第二请求消息,所述第二请求消息用于获取访问所述第一访问目标的凭据,所述第二请求消息中包括所述装置的标识和所述用户的标识;以及接收所述第一访问目标发送的第三响应消息,所述第三响应消息包括用于访问所述第一访问目标的凭据,其中,所述第三响应消息是所述第一访问目标向用户的标识对应的其他终端发送针对所述第二请求消息的第二响应消息后,且在接收到所述用户的标识对应的其它终端发送的第三请求消息后,发送给所述装置的;所述第二响应消息用于询问所述用户是否允许所述终端访问所述第一访问目标,所述第三请求消息用于指示所述用户允许所述终端访问所述第一访问目标。
29.如权利要求28所述的装置,其特征在于,如果所述其他终端与所述装置相同;
所述收发器,还用于接收所述第一访问目标发送的针对所述第二请求消息的第二响应消息;
所述处理器,还用于基于所述第二响应信息进行提示;在接收到用户针对所述提示执行的确认访问所述第一访问目标的操作的情况下,通过收发器向所述第一访问目标发送所述第三请求消息。
30.如权利要求28所述的装置,其特征在于,所述处理器,还用于与所述第一访问目标进行双向身份认证,以及推演完整性保护密钥和/或加密保护密钥。
31.如权利要求30所述的装置,其特征在于,所述第三响应消息具有完整性保护和/或加密保护。
32.如权利要求28所述的装置,其特征在于,所述处理器,还用于在通过所述收发器向区块链发送第一请求消息之前,向所述区块链进行身份认证。
33.一种获取凭据的装置,其特征在于,所述装置包括:存储器、处理器和收发器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述存储器存储的计算机程序,通过所述收发器接收终端发送的第一请求消息,所述第一请求消息用于获取所述终端的第一访问目标的第一标识,所述第一请求消息中包括所述终端的标识;以及向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括用户的标识和所述第一标识。
34.如权利要求33所述的装置,其特征在于,所述收发器,还用于接收所述第一访问目标写入的所述第一访问目标的第一标识、所述用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
35.一种获取凭据的装置,其特征在于,所述装置包括:存储器、处理器和收发器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述存储器存储的计算机程序,通过所述收发器向区块链发送第一请求消息,所述第一请求消息用于获取访问所述装置的第一访问目标的凭据,所述第一请求消息中包括所述装置的标识;以及接收所述区块链发送的针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述装置的公钥加密的用于访问所述第一访问目标的凭据。
36.一种获取凭据的装置,其特征在于,所述装置包括:存储器、处理器和收发器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述存储器存储的计算机程序,通过所述收发器接收终端发送的第一请求消息,所述第一请求消息用于获取访问所述终端的第一访问目标的凭据,所述第一请求消息中包括所述终端的标识;以及向所述终端发送针对所述第一请求消息的第一响应消息,所述第一响应消息包括采用所述终端的公钥加密的用于访问所述第一访问目标的凭据。
37.如权利要求36所述的装置,其特征在于,所述收发器,还用于向所述第一访问目标发送采用所述第一访问目标的公钥加密的用于访问所述第一访问目标的凭据。
38.如权利要求36所述的装置,其特征在于,所述收发器,还用于接收所述第一访问目标写入的所述第一访问目标的公钥、用户的标识,及其对应关系;和/或接收销售商写入的所述用户的标识和所述终端的标识,及其对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910819804.7A CN112448928B (zh) | 2019-08-31 | 2019-08-31 | 一种获取凭据的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910819804.7A CN112448928B (zh) | 2019-08-31 | 2019-08-31 | 一种获取凭据的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112448928A true CN112448928A (zh) | 2021-03-05 |
| CN112448928B CN112448928B (zh) | 2022-04-05 |
Family
ID=74735188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910819804.7A Active CN112448928B (zh) | 2019-08-31 | 2019-08-31 | 一种获取凭据的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112448928B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486747A (zh) * | 2014-12-19 | 2015-04-01 | 北京奇艺世纪科技有限公司 | 一种跨终端帐号登录的方法及装置 |
| CN108270571A (zh) * | 2017-12-08 | 2018-07-10 | 西安电子科技大学 | 基于区块链的物联网身份认证系统及其方法 |
| WO2018219181A1 (zh) * | 2017-05-31 | 2018-12-06 | 华为技术有限公司 | 确定终端设备的标识的方法和装置 |
| CN109257336A (zh) * | 2018-08-24 | 2019-01-22 | 维沃移动通信有限公司 | 一种基于区块链的密码信息处理方法、终端设备 |
| CN110177088A (zh) * | 2019-05-08 | 2019-08-27 | 矩阵元技术(深圳)有限公司 | 一种临时身份认证方法、装置及系统 |
-
2019
- 2019-08-31 CN CN201910819804.7A patent/CN112448928B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486747A (zh) * | 2014-12-19 | 2015-04-01 | 北京奇艺世纪科技有限公司 | 一种跨终端帐号登录的方法及装置 |
| WO2018219181A1 (zh) * | 2017-05-31 | 2018-12-06 | 华为技术有限公司 | 确定终端设备的标识的方法和装置 |
| CN108270571A (zh) * | 2017-12-08 | 2018-07-10 | 西安电子科技大学 | 基于区块链的物联网身份认证系统及其方法 |
| CN109257336A (zh) * | 2018-08-24 | 2019-01-22 | 维沃移动通信有限公司 | 一种基于区块链的密码信息处理方法、终端设备 |
| CN110177088A (zh) * | 2019-05-08 | 2019-08-27 | 矩阵元技术(深圳)有限公司 | 一种临时身份认证方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112448928B (zh) | 2022-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109462588B (zh) | 一种基于区块链的去中心化数据交易方法及系统 | |
| US11076290B2 (en) | Assigning an agent device from a first device registry to a second device registry | |
| CN110493261B (zh) | 基于区块链的验证码获取方法、客户端、服务器及存储介质 | |
| US10911424B2 (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
| US20200090169A1 (en) | Method and apparatus for facilitating electronic payments using a wearable device | |
| US20170208049A1 (en) | Key agreement method and device for verification information | |
| CN109314703B (zh) | 用于管理连接设备的状态的方法 | |
| EP3425842B1 (en) | Communication system and communication method for certificate generation | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN108650220B (zh) | 发放、获取移动终端证书及汽车端芯片证书的方法、设备 | |
| KR20190028787A (ko) | 그래픽 코드 정보를 제공 및 획득하기 위한 방법 및 디바이스, 그리고 단말 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN115412269A (zh) | 业务处理方法、装置、服务器及存储介质 | |
| CN107026730B (zh) | 数据处理方法、装置及系统 | |
| CN108322886B (zh) | 终端定位数据的鉴权方法和装置 | |
| WO2017044677A1 (en) | Method and apparatus for facilitating electronic payments using a wearable device | |
| CN113766496A (zh) | 智能设备的跨平台绑定方法、系统及相关设备 | |
| CN115150109A (zh) | 认证方法、装置及相关设备 | |
| CN111510421B (zh) | 数据处理方法、装置、电子设备和计算机可读存储介质 | |
| US20190349348A1 (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
| CN112448928B (zh) | 一种获取凭据的方法及装置 | |
| CN112418850A (zh) | 一种基于区块链的交易方法、装置及电子设备 | |
| CN114238915A (zh) | 数字证书添加方法、装置、计算机设备和存储介质 | |
| CN112926972B (zh) | 一种基于区块链的信息处理方法、区块链系统及终端 | |
| CN110798321A (zh) | 一种基于区块链的物品信息服务方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |