CN114978635A - 跨域认证方法及装置、用户注册方法及装置 - Google Patents
跨域认证方法及装置、用户注册方法及装置 Download PDFInfo
- Publication number
- CN114978635A CN114978635A CN202210517048.4A CN202210517048A CN114978635A CN 114978635 A CN114978635 A CN 114978635A CN 202210517048 A CN202210517048 A CN 202210517048A CN 114978635 A CN114978635 A CN 114978635A
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- edge computing
- computing node
- cross
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本申请的实施例提供了一种跨域认证方法及装置、用户注册方法及装置,该跨域认证方法包括:接收终端发送的跨域访问请求;基于跨域访问请求中携带的唯一身份ID,从区块链中获取终端对应的第一认证令牌,第一认证令牌是终端在本地边缘计算节点中完成注册后,由本地边缘计算节点生成并存储至区块链上的;基于第一认证令牌对终端进行访问权限认证;若认证通过,则向终端返回表征认证成功的通知消息,以使终端基于通知消息访问跨域边缘计算节点。本申请实施例的技术方案可以通过区块链的本身不可伪造的特性,提高身份验证的可信度与安全性,且区块链还具有去中心化的特性,对身份验证的效率也相应提高。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种跨域认证方法及装置、用户注册方法及装置。
背景技术
在边缘计算环境下,一个边缘计算节点的用户需要通过另一个边缘计算节点的认证,之后才能访问另一个边缘计算节点的数据,此过程也被称为跨域访问。但随着互联网技术的不断升级,互联网的开放性导致其存在许多的安全漏洞、威胁和隐私问题,因此如何提高边缘计算节点针对用户在跨域访问时的进行访问权限认证的可信性成为亟待解决的问题。
发明内容
为解决上述技术问题,本申请的实施例提供了一种跨域认证方法及装置、用户注册方法及装置、计算机可读存储介质及电子设备。
根据本申请实施例的一个方面,提供了一种跨域认证方法,所述方法应用于区块链系统,所述区块链系统包括本地边缘计算节点和跨域边缘计算节点,所述方法由所述跨域边缘计算节点执行,所述方法包括:接收终端发送的跨域访问请求;基于所述跨域访问请求中携带的唯一身份ID,从区块链中获取所述终端对应的第一认证令牌,所述第一认证令牌是所述终端在所述本地边缘计算节点中完成注册后,由所述本地边缘计算节点生成并存储至所述区块链上的,或者是所述终端在所述区块链系统包含的其它边缘计算节点中通过访问权限认证后,由所述其它边缘节点生成并存储至所述区块链上的;基于所述第一认证令牌对所述终端进行访问权限认证;若认证通过,则向所述终端返回表征认证成功的通知消息,以使所述终端基于所述通知消息访问所述跨域边缘计算节点。
根据本申请实施例的一个方面,提供了一种用户注册方法,所述方法应用于区块链系统,所述区块链系统包括本地边缘计算节点和跨域边缘计算节点,所述方法由所述本地边缘计算节点执行,所述方法包括:接收终端发送的注册请求;在对所述注册请求中携带的用户信息认证通过后,生成所述终端对应的唯一身份ID,并将所述唯一身份ID返回至所述终端,以使所述终端向所述跨域边缘计算节点发起携带有所述唯一身份ID的跨域访问请求;生成所述终端对应的第一认证令牌;基于所述第一认证令牌与所述唯一身份ID生成新区块,并将所述新区块存储至区块链上,以使所述跨域边缘计算节点从区块链中获取所述终端对应的第一认证令牌,并基于所述第一认证令牌对所述终端进行访问权限认证,以在访问权限认证通过后实现所述终端的跨域访问。
根据本申请实施例的一个方面,提供了一种跨域认证装置,所述装置应用于区块链系统,所述区块链系统包括本地边缘计算节点和跨域边缘计算节点,所述装置包括:接收模块,配置为接收终端发送的跨域访问请求;获取模块,配置为基于所述跨域访问请求中携带的唯一身份ID,从区块链中获取所述终端对应的第一认证令牌,所述第一认证令牌是所述终端在所述本地边缘计算节点中完成注册后,由所述本地边缘计算节点生成并存储至所述区块链上的,或者是所述终端在所述区块链系统包含的其它边缘计算节点中通过访问权限认证后,由所述其它边缘节点生成并存储至所述区块链上的;认证模块,配置为基于所述第一认证令牌对所述终端进行访问权限认证;确认模块,配置为若认证通过,则向所述终端返回表征认证成功的通知消息,以使所述终端基于所述通知消息访问所述跨域边缘计算节点。
在本申请的一些实施例中,基于前述方案,所述获取模块还配置为:根据所述唯一身份ID从所述区块链中获取所述终端最近一次与所述区块链系统中包含的边缘计算节点进行交易所产生的区块;获取所述区块中存储的第一认证令牌。
在本申请的一些实施例中,基于前述方案,所述认证模块还配置为:从所述区块链上获取所述边缘计算节点的公钥,并通过所述边缘计算节点的公钥对所述第一认证令牌进行解密,以获得包含所述本地边缘计算节点与所述终端之间的关联关系的认证标识;判断所述跨域边缘计算节点对应的可信用户列表是否指示允许与所述本地边缘计算节点关联的所述终端访问;若判断为是,则确定所述终端通过访问权限认证。
在本申请的一些实施例中,基于前述方案,所述跨域认证装置,还包括:加密模块,配置为在确定所述终端通过访问权限认证之后,使用自身私钥对所述认证标识进行加密,得到第二认证令牌;根据所述第二认证令牌与所述唯一身份ID生成新区块,并将所述新区块存储至所述区块链上。
根据本申请实施例的一个方面,提供了一种用户注册装置,所述装置应用于区块链系统,所述区块链系统包括本地边缘计算节点和跨域边缘计算节点,所述装置包括:接收模块,配置为接收终端发送的注册请求;确认模块,配置为在对所述注册请求中携带的用户信息认证通过后,生成所述终端对应的唯一身份ID,并将所述唯一身份ID返回至所述终端,以使所述终端向所述跨域边缘计算节点发起携带有所述唯一身份ID的跨域访问请求;处理模块,配置为生成所述终端对应的第一认证令牌。上传模块,配置为基于所述第一认证令牌与所述唯一身份ID生成新区块,并将所述新区块存储至区块链上,以使所述跨域边缘计算节点从区块链中获取所述终端对应的第一认证令牌,并基于所述第一认证令牌对所述终端进行访问权限认证,以在访问权限认证通过后实现所述终端的跨域访问。
在本申请的一些实施例中,基于前述方案,所述处理模块还配置为:建立所述本地边缘计算节点与所述终端之间的关联关系,以得到所述本地边缘计算节点对应的认证标识;使用自身私钥对所述认证标识进行加密,以得到所述第一认证令牌。
根据本申请实施例的一个方面,提供了一种存储介质,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行如上述实施例中所述的跨域认证方法。
根据本申请实施例的一个方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述电子设备实现如上述实施例中所述的跨域认证方法。
本申请实施例的技术方案中,一方面,在终端通过本地边缘计算节点注册的认证后,本地边缘计算节点为终端生成对应的唯一身份ID以及第一认证令牌生成新区块,并将新区块上传至区块链进行保存,由此基于区块链的本身不可伪造的特性,提高了用于进行访问权限认证的第一认证令牌的可信度与安全性;另一方面,基于区块链去中心化的特性,跨域边缘计算节点在接收到终端发送的跨域访问请求时,可以基于跨域访问请求中携带的唯一身份ID,直接从区块链中获取终端对应的第一认证令牌,以便于跨域边缘计算节点基于第一认证令牌对终端进行访问权限认证,也提高了访问权限认证的效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术者来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本申请涉及的一种实施环境的架构示意图。
图2是本申请的一示例性实施例示出的一种用户注册方法的流程图。
图3是本申请涉及的另一种实施环境的架构示意图。
图4是图2所示实施例中步骤S220在一示例实施例中的流程图。
图5是本申请的另一示例性实施例示出的一种用户注册方法的流程图。
图6是本申请涉及的一种区块的结构示意图。
图7是本申请的一示例性实施例示出的一种跨域认证方法的流程图。
图8是图7所示实施例中步骤S510在一示例实施例中的流程图。
图9是图7所示实施例中步骤S520在一示例实施例中的流程图。
图10是本申请的另一示例性实施例示出的一种跨域认证方法的流程图。
图11是本申请的又一示例性实施例示出的一种跨域认证方法的流程图。
图12是本申请的一示例性实施例示出的跨域认证装置的框图。
图13是本申请的一示例性实施例示出的用户注册装置的框图。
图14是本申请的一示例性实施例示出的电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
需要说明的是:在本文中提及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
首先说明的是,本申请的实施例涉及区块链(Blockchain)技术。区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。区块链是指一套去中心化、具备分布式存储特点的基础架构,具体是一种按照时间顺序将数据区块用类似链表的方式组成的数据结构,能够安全存储有先后关系的、能在系统内进行验证的数据,并以密码学方式保证数据不可篡改和不可伪造。简单的讲,区块链就是去中心化的分布式账本,每一条链相当于一个独立的账本。
图1是一示例性的区块链系统的架构示意图。如图1所示,区块链系统可以包括节点设备10a、节点设备10b、节点设备10c、节点设备10d。其中,节点设备10a、节点设备10b、节点设备10c、节点设备10d均为图1所示的区块链系统100中的区块链节点(简称为节点),这些节点可以为接入该区块链系统100中的任意形式的计算设备,如服务器、用户终端等。图1所示的节点设备10a、节点设备10b、节点设备10c、节点设备10d之间也可以通过网络通信的形式连接形成区块链系统100。
应当理解,图1所示的区块链系统架构中的这些节点之间可以组成点对点(P2P,PeerTo Peer)网络,这里的P2P协议可以是一个运行在传输控制协议(TCP,TransmissionContro lProtocol)协议之上的应用层协议。
区块链系统100中的每个节点均可以用于维护同一区块链账本(即图1所示的区块链账本10e),该区块链账本10e对应的区块链上可以预先部署多个智能合约,比如,可以预先部署:代理合约、权限管理合约、数据合约、代理管理合约等具有不同数据处理功能的智能合约。应理解,智能合约也是指计算机化的协议,其可以执行某个合约的条款,通过部署在区块链账本上的用于在满足一定条件时而执行的代码实现,根据实际的业务需求代码用于完成自动化的交易。
可以理解的是,在图1所示的区块链系统架构中所涉及的区块链的类型具体可以包括:公有链(Public Blockchain)、私有链(Private Blockchain)和联盟链(ConsortiumBlockchain),不同的区块链应用场景下所采用的区块链的类型可能不同。其中,公有链是指可以对外公开,任何人可以加入并访问的区块链;公有链上的区块可以被任何人查看,任何人也可以在公有链上发起交易,还可以随时参与公有链的共识过程。私有链是指可以在私有组织内部使用,在区块链上的读写权限、参与记账权限可以按照私有组织的规则来制定;通常用于企业内部的数据管理、审计等。联盟链是指参与联盟链的联盟成员在区块链上的读写权限、参与记账权可以按照联盟规则来制定;一般用于机构间的交易、结算或清算等场景。
在图1所示实施环境中,区块链系统100中的每个节点可以组合为分散式运算框架,在该框架下,将应用程序、数据资料与服务的运算,由网络中心节点,移往网络逻辑上的边缘节点来处理,相当于区块链系统100中的节点可以部署为边缘计算节点。相比于集中部署、离用户侧较远的云计算服务,构成的边缘计算网络架构更能够接近用户或数据源的网络边缘侧,为融合网络、计算、存储、应用能力的网络架构和开放平台。
在图1所示的实施环境实现为边缘计算环境的场景下,图1所示节点也部署为边缘计算节点,示例性的,边缘计算节点10b为距离终端11a最近的边缘计算节点,终端11a一般访问边缘计算节点10b来获取数据,但有些情况下也需要访问边缘计算节点10c来获取数据,但边缘计算节点10c需针对终端11a进行访问权限认证,认证通过之后才能允许终端11a访问边缘计算节点10c中的数据,此过程也称为跨域访问。
在跨域访问的过程中,可将终端距离终端最近的边缘节点称为终端对应的本地边缘计算节点,而将其它的边缘计算节点称为终端对应的跨域边缘计算节点。也即对于如上的终端11a来说,可将边缘计算节点10b称为本地边缘计算节点,将边缘计算节点10c称为跨域边缘计算节点。
跨域访问过程中由于互联网技术的不断升级,互联网的开放性导致其存在许多的安全漏洞、威胁和隐私问题。因此,如何提高一个边缘计算节点的终端11a在跨域访问另一个边缘计算节点的进行访问权限认证的可信性成为亟待解决的问题。
为解决现有技术中存在的问题,本申请的实施例提出了对应的用户注册方法、跨域认证方法,以及提出相应的用户注册装置与跨域认证装置,还提出一种电子设备和一种计算机可读存储介质,以下将针对这些实施例的内容进行详细描述。
本申请实施例的技术方案提出的一种用户注册方法,具体参照图2所示。该方法可以由区块链系统中的本地边缘计算节点来执行,本地边缘计算节点由终端与区块链系统中各边缘计算节点的距离进行判定选取,在此不做限制。该方法至少包括步骤S200至步骤S230,详细介绍如下:
在步骤S200中,接收终端发送的注册请求。
在本申请的实施方式中,终端若初次接入区块链系统中的本地边缘计算节点,则需要先在本地边缘计算节点中进行注册,从而终端向本地边缘计算节点发起注册请求,本地边缘计算节点便对终端发送的注册请求进行接收,以识别接入的终端。其中,终端包括但不限于智能手机、平板、笔记本电脑、计算机、车载终端等电子设备。
在步骤S210中,在对注册请求中携带的用户信息认证通过后,生成终端对应的唯一身份ID,并将唯一身份ID返回至终端,以使终端向跨域边缘计算节点发起携带有唯一身份ID的跨域访问请求。
需要说明的是,用户信息包括但不限于序列号、IMEI(International MobileEquipment Identity,国际移动设备身份码)、IMSI(International Mobile SubscriberIdentification Number,国际移动用户识别码)、ICCID(Integrate circuit cardidentity,集成电路卡识别码)等。
在本申请的实施方式中,接收到终端发送的注册请求后,可以根据注册请求中携带的用户信息对终端进行认证,若终端认证通过,则生成终端对应的唯一身份ID,并将唯一身份ID返回至终端。
其中,根据注册请求中携带的用户信息对终端进行认证的方式,可以通过先在本地边缘计算节点中预设用于判断终端能否接入的注册要求,例如,将注册要求设置为网络制式为5G或4G,以满足终端与边缘计算节点之间传输速率的要求,从而仅当终端的网络制式为5G或4G时,便满足预设的注册要求,以通过对终端的认证。
还需要说明的是,唯一身份ID用于表征终端已通过区块链系统中边缘计算节点的认证,而区块链系统中的每个边缘计算节点可以提前预置一些基本功能,例如,图3所示的边缘计算节点中包括的用于生成边缘计算节点自身的密钥对的属性数据库,用于对数据进行加密或对密文进行解密的加解密服务器,因此唯一身份ID的生成方式可以在对终端对应的用户信息认证通过后,由本地边缘计算节点的属性数据库生成的私钥对终端对应的用户信息加密后生成。
在步骤S220中,生成终端对应的第一认证令牌。
在本申请的实施方式中,终端通过本地边缘计算节点的认证后,本地边缘计算节点便可以基于终端对应的用户信息生成终端对应的第一认证令牌,其中,第一认证令牌是用于表征终端通过本地边缘计算节点认证的凭证。
在步骤S230中,基于第一认证令牌与唯一身份ID生成新区块,并将新区块存储至区块链上,以使跨域边缘计算节点从区块链中获取终端对应的第一认证令牌,并基于第一认证令牌对终端进行访问权限认证,以在访问权限认证通过后实现终端的跨域访问。
需要说明的是,区块用于存储交易记录的哈希值,交易记录的产生条件包括但不限于终端在本地边缘计算节点的用户信息认证成功。
在本申请的实施方式中,生成第一认证令牌之后,可以基于第一认证令牌与唯一身份ID生成新区块,并将新区块存储至区块链上,以便于使跨域边缘计算节点从区块链中获取终端对应的第一认证令牌,并基于第一认证令牌对终端进行访问权限认证,从而在访问权限认证通过后实现终端的跨域访问。
其中,基于第一认证令牌与唯一身份ID生成新区块的过程中,在一个示例中,可以将终端的基本信息以及终端通过本地边缘计算节点的用户信息认证的时间均添加至新区块中,以便于后续对区块进行维护或查询。
其次,将新区块存储至区块链上的方式,可以先通过在区块链中预设置如图3所示的分布式区块账本,再将新区块存储至分布式区块账本中,以便于区块链系统中的其他边缘计算节点对区块进行读取与写入。
通过上述实施方式,终端在通过本地边缘计算节点的用户信息认证后,便可以获取到本地边缘计算节点生成的唯一身份ID,且本地边缘计算节点在生成了终端对应的第一认证令牌之后,基于第一认证令牌与唯一身份ID生成新区块,并将新区快存储至区块链上,从而使得终端在访问跨域边缘计算节点时,便可以通过唯一身份ID向跨域边缘计算节点发送跨域访问请求,同时跨域边缘计算节点可以通过从区块链中获取终端对应的第一认证令牌,并基于第一认证令牌对终端进行访问权限认证,以在访问权限认证通过后实现终端的跨域访问。详细的跨域访问过程请参见后续实施例中的记载,在此不赘述。
参见图4,图4是在图2所示实施例中步骤S220在一示例性实施例中的流程图。如图4所示,生成终端对应的第一认证令牌的过程,可以包括步骤S300至步骤S310,详细介绍如下:
在步骤S300中,建立本地边缘计算节点与终端之间的关联关系,以得到本地边缘计算节点对应的认证标识。
在本申请的实施方式中,终端通过本地边缘计算节点的用户信息认证之后,本地边缘计算节点可以建立本地边缘计算节点与终端之间的关联关系,以得到终端在本地边缘计算节点中获得的对应认证标识。
建立本地边缘计算节点与终端之间的关联关系的方式可以根据需要灵活设置,在一个示例中,可以在边缘计算节点中预先设置用于记录注册通过的终端对应的信息的表格,例如,在边缘计算节点中预先设置如图3所示的可信用户列表,若终端通过边缘计算节点的认证,则基于终端的用户信息生成用户识别码,并将该用户识别码添加至可信用户列表中,以建立本地边缘计算节点与终端之间的关联关系,从而便于通过该可信用户列表中的用户识别码即可确定通过该边缘计算节点的终端的用户信息。
根据上述示例,可以将可信用户列表作为认证标识,从而便可得到通过该边缘计算节点注册的终端信息。
在另一个示例中,可以在边缘计算节点中预先设置认证标识数据库,从而若终端通过边缘计算节点的认证,则基于终端的用户信息生成用户识别码,并将该用户识别码添加至认证标识数据库中,以建立本地边缘计算节点与终端之间的关联关系,从而便于通过从认证标识数据库中的用户识别码即可确定通过该边缘计算节点的终端的用户信息。
根据上述示例,可以将认证标识数据库的地址信息作为认证标识,从而便可得到通过该边缘计算节点注册的终端信息。
在步骤S310中,使用自身私钥对认证标识进行加密,以得到第一认证令牌。
其中,本地边缘计算节点的自身私钥是由本地边缘计算节点预设置的属性数据库生成的。
在本申请的实施方式中,得到本地边缘计算节点对应的认证标识之后,可以使用自身私钥对认证标识进行加密,从而得到第一认证令牌,提高第一认证令牌的可信性与安全性。
参见图5所示。图5是本申请的一个实施例示出的用户注册方法的流程图,如图5所示,该用户注册方法至少包括步骤S410至步骤S460,详细介绍如下:
步骤S410,终端向本地边缘计算节点发送携带有终端对应的用户信息的注册请求。
步骤S420,本地边缘计算节点在基于注册请求中携带的用户信息完成对终端的认证后,本地边缘计算节点基于终端对应的用户信息生成uid,并将uid记录在可信用户列表中。
其中,根据注册请求中携带的用户信息对终端进行认证的方式,可以通过先在本地边缘计算节点中预设用于判断终端能否接入的注册要求,从而便于以终端对应的用户信息是否满足注册要求作为判断终端通过认证的条件。uid为终端对应的用户识别码,将uid记录在可信用户列表中,以建立本地边缘计算节点与终端之间的关联关系。
步骤S430,本地边缘计算节点计算生成公钥Kpub和私钥Kpri,使用私钥Kpri给终端uid加密,生成Certuid。
其中,本地边缘计算节点的公钥Kpub和私钥Kpri可以由预设置的属性数据库对密钥对进行计算生成。Certuid为终端用于表征终端已通过区块链系统中边缘计算节点的认证,即终端对应的唯一身份ID。
步骤S440,本地边缘计算节点向终端返回携带有Certuid的密文。
步骤S450,本地边缘计算节点计算AUTHuid。
本地边缘计算节点计算得到AUTHuid的方式,示例性的可以通过本地边缘计算节点对应的私钥对可信用户列表进行加密计算生成。
例如,本地边缘计算节点为ECj时,则可以通过下列计算公式得出AUTHuid:
AUTHuid=Encrypt(Kpri-j,ECj&&uid)
其中,AUTHuid表示本地边缘计算节点对应的第一认证令牌,Kpri-j表示本地边缘计算节点对应的私钥,ECj&&uid表示本地边缘计算节点对应的可信用户列表。
步骤S460,本地边缘计算节点生成新区块,且将新区快上传至区块链系统。
本地边缘计算节点可以基于唯一身份ID、第一认证令牌、本地边缘计算节点对应的信息、当前时间等生成新区块,且将新区块上传至区块链系统,以通过区块链系统将新区块更新至各个边缘计算节点,从而跨域边缘计算节点便可以根据唯一身份ID获取终端对应的区块进行访问权限认证。
生成的新区块,例如图6所示,该区块中Certuid表示本地边缘计算节点为终端生成的唯一身份ID,AUTHuid表示本地边缘计算节点生成的终端对应的第一认证令牌,Puid:该终端对应的权限等级,Cruid:该终端对应的信用等级,TimeStampuid:该终端在通过本地边缘计算节点认证时的时间戳。
本申请实施例的技术方案还提出了一种跨域认证方法,具体参照图7所示。该方法可以由区块链系统中的跨域边缘计算节点来执行,跨域边缘计算节点可以为区块链系统中除本地边缘计算节点的其他边缘计算节点中的任一节点,在此不做限制。该方法至少包括步骤S500至步骤S530,详细介绍如下:
在步骤S500中,接收终端发送的跨域访问请求。
本实施例描述的是终端先通过了本地边缘计算节点的注册认证后,对区块链系统中除本地边缘计算节点之外的其他边缘计算节点的数据进行访问的过程。
其中,跨域访问请求即表示终端向区块链系统中除本地边缘计算节点以外的其他边缘计算节点的数据进行访问所发出的请求。
在步骤S510中,基于跨域访问请求中携带的唯一身份ID,从区块链中获取终端对应的第一认证令牌。
需要说明的是,跨域访问请求是由通过本地边缘计算节点注册认证的终端在有访问其他边缘计算节点的数据的需求时所发起的,跨域访问请求中携带有终端对应的唯一身份ID。
第一认证令牌可以是终端在本地边缘计算节点中完成注册后,由本地边缘计算节点生成并存储至区块链上的,例如参照图4所示实施例中的生成终端对应的第一认证令牌生成的过程,也可以是,终端在区块链系统包含的其它边缘计算节点中通过访问权限认证后,由其它边缘节点生成并存储至区块链上的,例如,参照图1所示,若注册在本地边缘计算节点10b的终端访问跨域边缘计算节点10c之前,还访问了其他边缘计算节点10d,则终端在通过了其他边缘计算节点10d的访问权限认证后,其他边缘计算节点10d便基于自身私钥对终端对应的认证标识进行加密,以生成第一认证令牌,且根据第一认证令牌与唯一身份ID生成新区块,并上传至区块链进行存储。
在本申请的实施方式中,在接收到终端发送的跨域访问请求后,由于第一认证令牌为终端通过本地边缘计算节点认证或通过其他边缘计算节点访问权限认证的凭证,因此为便于对终端的访问权限进行认证,可以基于跨域访问请求中携带的唯一身份ID,从区块链中获取终端对应的第一认证令牌,从而便于跨域边缘计算节点根据该第一认证令牌进行访问权限认证。
跨链边缘计算节点基于跨域访问请求中携带的唯一身份ID,从区块链中获取终端对应的第一认证令牌的方式可以根据需要灵活设置,在一个示例中,可以根据唯一身份ID从区块链的分布式区块账本中查询包含唯一身份ID的区块,再从区块中获取终端对应的第一认证令牌。
在步骤S520中,基于第一认证令牌对终端进行访问权限认证。
需要说明的是,访问权限认证用于判断终端是否拥有访问该边缘计算节点的数据的权限。
在本申请的实施方式中,在获取到第一认证令牌之后,为了确定终端是否有权限访问跨域边缘计算节点的数据,便基于第一认证令牌对终端进行访问权限认证。
基于第一认证令牌对终端进行访问权限认证的方式,示例性的,可以通过对加密的第一认证令牌进行解密,得到第一认证令牌中的包含的认证标识,通过认证标识中的本地边缘计算节点与终端之间的关联关系,判断跨域边缘计算节点对应的可信用户列表中是否指示允许与本地边缘计算节点关联的终端进行访问,若判断为是,则确定终端通过访问权限认证。
在步骤S530中,若认证通过,则向终端返回表征认证成功的通知消息,以使终端基于通知消息访问跨域边缘计算节点。
在本申请的实施方式中,在基于第一认证令牌对终端进行访问权限认证的过程中,若认证未通过,则向终端返回表征认证失败的通知消息,以拒绝终端的接入;若认证通过,则向终端返回表征认证成功的通知消息,以使终端基于通知消息访问跨域边缘计算节点。
通过上述实施方式,基于终端在本地边缘计算节点通过注册认证后生成并上传存储在区块链上的新区块,使得终端在访问跨域边缘计算节点时,跨域边缘节点便可以通过获取区块链上的区块,对终端的访问权限进行验证,从而根据区块链的本身不可伪造的特性,提高区块中存储的用于进行访问权限认证的第一认证令牌的可信度与安全性,同时区块链还具有去中心化的特性,对访问权限认证的效率也相应提高。
参见图8,图8是在图7所示实施例中步骤S510在一示例性实施例中的流程图。如图8所示,基于跨域访问请求中携带的唯一身份ID,从区块链中获取终端对应的第一认证令牌的过程,可以包括步骤S600至步骤S610,详细介绍如下:
在步骤S600中,根据唯一身份ID从区块链中获取终端最近一次与区块链系统中包含的边缘计算节点进行交易所产生的区块。
需要说明的是,边缘计算节点进行的交易包括终端在边缘计算节点上进行注册,终端通过边缘计算节点的访问权限认证等。
在本申请的实施方式中,由于终端在本地边缘计算节点注册后可能也对其他边缘计算节点进行了访问,因此可以根据唯一身份ID从区块链中获取终端最近一次与区块链系统中包含的边缘计算节点进行交易所产生的区块,应理解,该最近一次与终端进行交易的边缘计算节点可以是本地边缘计算节点,也可以是除本地边缘计算节点以外的其他边缘计算节点,终端在其他边缘计算节点进行访问时,该其他边缘计算节点也可被称为跨域边缘计算节点。。
在步骤S610中,获取区块中存储的第一认证令牌。
其中,第一认证令牌是边缘计算节点对终端注册认证成功后或进行访问权限认证成功后,基于自身私钥对认证标识进行加密后生成的。
在本申请的实施方式中,在根据唯一身份ID从区块链中获取到终端最近一次与边缘计算节点进行交易所产生的区块后,便可以从区块中获取存储的第一认证令牌。
通过上述实施方式,以降低访问权限认证的计算开销,保障了访问权限认证的速率。
参见图9,图9是在图7所示实施例中步骤S520在一示例性实施例中的流程图。如图9所示,基于第一认证令牌对终端进行访问权限认证的过程,可以包括步骤S700至步骤S720,详细介绍如下:
在步骤S700中,从区块链上获取边缘计算节点的公钥,并通过边缘计算节点的公钥对第一认证令牌进行解密,以获得包含本地边缘计算节点与终端之间的关联关系的认证标识。
需要说明的是,公钥是由边缘计算节点预设置的属性数据库生成的。
其次,第一认证令牌是通过边缘计算节点的私钥进行加密,从而需要与私钥配对的公钥对其第一认证令牌进行解密。
在本申请的实施方式中,跨域边缘计算节点获取到第一认证令牌后,从区块链上获取边缘计算节点的公钥,也就是说,可以在区块链上对边缘计算节点的公钥预先存储,如图3所示的密钥数据库,通过密钥数据库对区块链系统中所有边缘计算节点公钥进行存储,并通过边缘计算节点的公钥对第一认证令牌进行解密,以获得本地边缘计算节点与终端之间的关联关系的认证标识。
其中,通过边缘计算节点的公钥对第一认证令牌进行解密的实施方式可以根据需要灵活设置,在一个示例中,可以通过如图3所示的区块链系统上的加解密服务器实施根据边缘计算节点的公钥对第一认证令牌进行解密的流程,从而确保解密过程的安全性。在另一个示例中,也可以通过如图3所示的边缘计算节点上的加解密服务器实施根据边缘计算节点的公钥对第一认证令牌进行解密的流程,从而在靠近终端侧进行解密,提高密文的解密速率,降低计算数据传输时延。
在步骤S710中,判断跨域边缘计算节点对应的可信用户列表是否指示允许与本地边缘计算节点关联的终端访问。
需要说明的是,可信用户列表用于存储通过该边缘计算节点注册的终端的用户识别码以及允许其他边缘计算节点下终端访问的条件。
在本申请的实施方式中,获得认证标识后,便可以判断跨域边缘计算节点的对应的可信用户列表是否指示允许与本地边缘计算节点关联的终端访问。
例如,先从认证标识中获取本地边缘计算节点为终端生成的用户识别码,再根据用户识别码确定终端对应的信息,从而基于可信用户列表中预设的允许其他边缘计算节点下终端访问的条件对其终端对应的信息进行判断。
在步骤S720中,若判断为是,则确定终端通过访问权限认证。
在本申请的实施方式中,根据认证标识判断跨域边缘计算节点是否允许终端访问的过程中,若终端对应的信息符合跨域边缘计算节点的可信用户列表中允许本地边缘计算节点下终端访问的条件,则判断为是,从而确定终端通过访问权限认证,若终端的用户信息不符合可信用户列表中允许本地边缘计算节点下终端访问的条件,则判断为否,从而指示该终端访问权限认证失败。
通过上述实施方式,在获取到第一认证令牌后,通过从区块链上获取边缘计算节点的公钥对第一认证令牌进行解密,以获得包含本地边缘计算节点与终端之间的关联关系的认证标识,从而判断跨域边缘计算节点对应的可信用户列表是否指示允许与本地边缘计算节点关联的终端访问,以达到加强身份验证的强度,提高整体的安全性的目的。
参见图10。图10是本申请的一个实施例示出的跨域认证方法的流程图,该方法还可以包括步骤S800至步骤S810,详细介绍如下:
在步骤S800中,在确定终端通过访问权限认证之后,使用自身私钥对认证标识进行加密,得到第二认证令牌。
在本申请的实施方式中,为了进一步加强整体的安全性,在确定终端通过访问权限认证之后,便可以使用自身私钥对认证标识进行加密,得到第二认证令牌。
其中,自身私钥是由跨域边缘计算节点对应的属性数据库生成的。
在步骤S810中,根据第二认证令牌与唯一身份ID生成新区块,并将新区块存储至区块链系统上。
在本申请的实施方式中,加密得到第二认证令牌之后,可以根据第二认证令牌与唯一身份ID生成新区块,并上传至区块链系统进行存储,以便于区块链系统对终端的访问记录进行更新,同时,通过区块链系统将新区块同步至各个边缘计算节点中,达到了利用区块链去中心化的技术特点对需要同步的边缘计算节点对应的信息、终端对应的用户信息以及终端的访问记录进行更新,且提升该同步信息的可信度。
图11是本申请的一个示例性应用场景示出的跨域认证方法的流程图,如图11所示,该跨域认证方法至少包括步骤S910至步骤S980,详细介绍如下:
步骤S910,终端向跨域边缘计算节点发送携带有Certuid的跨域访问请求。
需要说明的是,终端是通过本地边缘计算节点注册且获取到本地边缘计算节点返回的Certuid后,才能向跨域边缘计算节点发起跨域访问请求。
步骤S920,跨域边缘计算节点根据Certuid获取最近一次注册/认证的边缘计算节点ECj信息和AUTHuid。
跨域边缘计算节点可以根据Certuid从区块链中获取最近一次与终端产生交易的边缘计算节点所生成的区块,若边缘计算节点为ECj,则可以从该区块中获取边缘计算节点ECj对应的信息以及边缘计算节点ECj生成的AUTHuid。
步骤S930,跨域边缘计算节点获取最近一次边缘计算节点对应的公钥,对AUTHuid解密获得Ecj&uid。
由于区块链系统中存储有各个边缘计算节点的公钥,因此跨域边缘计算节点可以从区块链系统中直接获取边缘计算节点ECj的公钥,对AUTHuid解密获得Ecj&uid。
步骤S940,跨域边缘计算节点判断Ecj&uid是否在可信用户列表。
根据唯一身份ID对终端进行访问权限认证。
其中,跨域边缘计算节点根据解密获得的本地边缘计算节点与终端关联关系的认证标识,即Ecj&uid,从认证标识中获取终端对应的用户识别码,判断跨域边缘计算节点对应的可信用户列表中是否允许本地边缘计算节点关联终端对应的用户识别码进行访问,从而达到对终端进行访问权限认证的目的。
若访问权限认证未通过,则执行步骤S950。
步骤S950;跨域边缘计算节点向终端返回跨域访问请求失败的消息。
若访问权限认证通过,则执行步骤S960、步骤S970、步骤S980。
步骤S960,跨域边缘计算节点向终端返回允许访问的消息。
步骤S970,跨域边缘计算节点计算AUTHuid。
跨域边缘计算节点计算得到AUTHuid的方式,示例性的可以通过跨域边缘计算节点对应的私钥对本地边缘计算节点的可信用户列表进行加密计算生成。
步骤S980,跨域边缘计算节点生成新区块,并上传至区块链系统。
跨域边缘计算节点可以基于计算出的AUTHuid、唯一身份ID、跨域边缘计算节点对应的信息,当前时间等生成新区块。
通过上传至区块链系统,以便于区块链系统将新的区块同步到区块链系统中的各个边缘计算节点中,从而同步终端的访问记录,便于终端进行下次跨域访问权限认证。
以下介绍本申请的装置实施例,可以用于执行本申请上述实施例中的跨域认证方法。对于本申请装置实施例中未披露的细节,请参照本申请上述的跨域访问方法的实施例。
图12示出了根据本申请的一个实施例的跨域认证1000的框图。
参照图12所示,根据本申请实施例的一个实施例,提供了一种跨域认证装置1000,装置应用于区块链系统,区块链系统包括本地边缘计算节点和跨域边缘计算节点,装置包括:接收模块1010,配置为接收终端发送的跨域访问请求;获取模块1020,配置为基于跨域访问请求中携带的唯一身份ID,从区块链中获取终端对应的第一认证令牌,第一认证令牌是终端在本地边缘计算节点中完成注册后,由本地边缘计算节点生成并存储至区块链上的,或者是终端在区块链系统包含的其它边缘计算节点中通过访问权限认证后,由其它边缘节点生成并存储至区块链上的;认证模块1030,配置为基于第一认证令牌对终端进行访问权限认证;确认模块1040,配置为若认证通过,则向终端返回表征认证成功的通知消息,以使终端基于通知消息访问跨域边缘计算节点。
在本申请的一些实施例中,基于前述方案,获取模块1020,还配置为:根据唯一身份ID从区块链中获取终端最近一次与区块链系统中包含的边缘计算节点进行交易所产生的区块;获取区块中存储的第一认证令牌。
在本申请的一些实施例中,基于前述方案,认证模块1030,还配置为:从区块链上获取边缘计算节点的公钥,并通过边缘计算节点的公钥对第一认证令牌进行解密,以获得包含本地边缘计算节点与终端之间的关联关系的认证标识;判断跨域边缘计算节点对应的可信用户列表是否指示允许与本地边缘计算节点关联的终端访问;若判断为是,则确定终端通过访问权限认证。
在本申请的一些实施例中,基于前述方案,跨域认证装置1000,还包括:加密模块,配置为在确定终端通过访问权限认证之后,使用自身私钥对认证标识进行加密,得到第二认证令牌;根据第二认证令牌与唯一身份ID生成新区块,并将新区块存储至区块链上。
需要说明的是,上述实施例所提供的跨域认证装置1000与上述实施例所提供的跨域认证方法属于同一构思,其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述,此处不再赘述。
以下介绍本申请的另一装置实施例,可以用于执行本申请上述实施例中的用户注册方法。对于本申请装置实施例中未披露的细节,请参照本申请上述的跨域认证方法的实施例。
图13示出了根据本申请的一个实施例的用户注册装置1100的框图。
参照图13所示,根据本申请实施例的一个实施例,提供了一种用户注册装置1100,装置应用于区块链系统,区块链系统包括本地边缘计算节点和跨域边缘计算节点,装置包括:接收模块1110,配置为接收终端发送的注册请求;确认模块1120,配置为在对注册请求中携带的用户信息认证通过后,生成终端对应的唯一身份ID,并将唯一身份ID返回至终端,以使终端向跨域边缘计算节点发起携带有唯一身份ID的跨域访问请求;处理模块1130,配置为生成终端对应的第一认证令牌。上传模块1140,配置为基于第一认证令牌与所述唯一身份ID生成新区块,并将新区块存储至区块链上,以使跨域边缘计算节点从区块链中获取终端对应的第一认证令牌,并基于第一认证令牌对终端进行访问权限认证,以在访问权限认证通过后实现终端的跨域访问。
在本申请的一些实施例中,基于前述方案,处理模块1130,还配置为:建立本地边缘计算节点与终端之间的关联关系,以得到本地边缘计算节点对应的认证标识;使用自身私钥对认证标识进行加密,以得到第一认证令牌。
需要说明的是,上述实施例所提供的用户注册装置1100与上述实施例所提供的用户注册方法属于同一构思,其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述,此处不再赘述。
图14示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图14示出的电子设备的计算机系统1200仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图14所示,计算机系统1200包括中央处理单元(Central Processing Unit,CPU)1201,其可以根据存储在只读存储器(Read-Only Memory,ROM)1202中的程序或者从存储部分1208加载到随机访问存储器(Random Access Memory,RAM)1203中的程序而执行各种适当的动作和处理,例如执行上述实施例中所述的方法。在RAM 1203中,还存储有系统操作所需的各种程序和数据。CPU 1201、ROM 1202以及RAM 1203通过总线1204彼此相连。输入/输出(Input/Output,I/O)接口1205也连接至总线1204。
以下部件连接至I/O接口1205:包括键盘、鼠标等的输入部分1206;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1207;包括硬盘等的存储部分1208;以及包括诸如LAN(Local AreaNetwork,局域网)卡、调制解调器等的网络接口卡的通信部分1209。通信部分1209经由诸如因特网的网络执行通信处理。驱动器1210也根据需要连接至I/O接口1205。可拆卸介质1211,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1210上,以便于从其上读出的计算机程序根据需要被安装入存储部分1208。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中,该计算机程序可以通过通信部分1209从网络上被下载和安装,和/或从可拆卸介质1211被安装。在该计算机程序被中央处理单元(CPU)1201执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (10)
1.一种跨域认证方法,其特征在于,所述方法应用于区块链系统,所述区块链系统包括本地边缘计算节点和跨域边缘计算节点,所述方法由所述跨域边缘计算节点执行,所述方法包括:
接收终端发送的跨域访问请求;
基于所述跨域访问请求中携带的唯一身份ID,从区块链中获取所述终端对应的第一认证令牌,所述第一认证令牌是所述终端在所述本地边缘计算节点中完成注册后,由所述本地边缘计算节点生成并存储至所述区块链上的,或者是所述终端在所述区块链系统包含的其它边缘计算节点中通过访问权限认证后,由所述其它边缘节点生成并存储至所述区块链上的;
基于所述第一认证令牌对所述终端进行访问权限认证;
若认证通过,则向所述终端返回表征认证成功的通知消息,以使所述终端基于所述通知消息访问所述跨域边缘计算节点。
2.根据权利要求1所述的方法,其特征在于,所述基于所述跨域访问请求中携带的唯一身份ID,从区块链中获取所述终端对应的第一认证令牌,包括:
根据所述唯一身份ID从所述区块链中获取所述终端最近一次与所述区块链系统中包含的边缘计算节点进行交易所产生的区块;
获取所述区块中存储的第一认证令牌。
3.根据权利要求1所述的方法,其特征在于,所述基于所述第一认证令牌对所述终端进行访问权限认证,包括:
从所述区块链上获取所述边缘计算节点的公钥,并通过所述边缘计算节点的公钥对所述第一认证令牌进行解密,以获得包含所述本地边缘计算节点与所述终端之间的关联关系的认证标识;
判断所述跨域边缘计算节点对应的可信用户列表是否指示允许与所述本地边缘计算节点关联的所述终端访问;
若判断为是,则确定所述终端通过访问权限认证。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述终端通过访问权限认证之后,使用自身私钥对所述认证标识进行加密,得到第二认证令牌;
根据所述第二认证令牌与所述唯一身份ID生成新区块,并将所述新区块存储至所述区块链上。
5.一种用户注册方法,其特征在于,所述方法应用于区块链系统,所述区块链系统包括本地边缘计算节点和跨域边缘计算节点,所述方法由所述本地边缘计算节点执行,所述方法包括:
接收终端发送的注册请求;
在对所述注册请求中携带的用户信息认证通过后,生成所述终端对应的唯一身份ID,并将所述唯一身份ID返回至所述终端,以使所述终端向所述跨域边缘计算节点发起携带有所述唯一身份ID的跨域访问请求;
生成所述终端对应的第一认证令牌;
基于所述第一认证令牌与所述唯一身份ID生成新区块,并将所述新区块存储至区块链上,以使所述跨域边缘计算节点从区块链中获取所述终端对应的第一认证令牌,并基于所述第一认证令牌对所述终端进行访问权限认证,以在访问权限认证通过后实现所述终端的跨域访问。
6.根据权利要求5所述的方法,其特征在于,所述生成所述终端对应的第一认证令牌,包括:
建立所述本地边缘计算节点与所述终端之间的关联关系,以得到所述本地边缘计算节点对应的认证标识;
使用自身私钥对所述认证标识进行加密,以得到所述第一认证令牌。
7.一种跨域认证装置,其特征在于,所述装置应用于区块链系统,所述区块链系统包括本地边缘计算节点和跨域边缘计算节点,所述装置包括:
接收模块,配置为接收终端发送的跨域访问请求;
获取模块,配置为基于所述跨域访问请求中携带的唯一身份ID,从区块链中获取所述终端对应的第一认证令牌,所述第一认证令牌是所述终端在所述本地边缘计算节点中完成注册后,由所述本地边缘计算节点生成并存储至所述区块链上的,或者是所述终端在所述区块链系统包含的其它边缘计算节点中通过访问权限认证后,由所述其它边缘节点生成并存储至所述区块链上的;
认证模块,配置为基于所述第一认证令牌对所述终端进行访问权限认证;
确认模块,配置为若认证通过,则向所述终端返回表征认证成功的通知消息,以使所述终端基于所述通知消息访问所述跨域边缘计算节点。
8.一种用户注册装置,其特征在于,所述装置应用于区块链系统,所述区块链系统包括本地边缘计算节点和跨域边缘计算节点,所述装置包括:
接收模块,配置为接收终端发送的注册请求;
确认模块,配置为在对所述注册请求中携带的用户信息认证通过后,生成所述终端对应的唯一身份ID,并将所述唯一身份ID返回至所述终端,以使所述终端向所述跨域边缘计算节点发起携带有所述唯一身份ID的跨域访问请求;
处理模块,配置为生成所述终端对应的第一认证令牌。
上传模块,配置为基于所述第一认证令牌与所述唯一身份ID生成新区块,并将所述新区块存储至区块链上,以使所述跨域边缘计算节点从区块链中获取所述终端对应的第一认证令牌,并基于所述第一认证令牌对所述终端进行访问权限认证,以在访问权限认证通过后实现所述终端的跨域访问。
9.一种存储介质,其特征在于,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行权利要求1-6中的任一项所述方法。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述电子设备实现如权利要求1至6中任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210517048.4A CN114978635B (zh) | 2022-05-11 | 2022-05-11 | 跨域认证方法及装置、用户注册方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210517048.4A CN114978635B (zh) | 2022-05-11 | 2022-05-11 | 跨域认证方法及装置、用户注册方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978635A true CN114978635A (zh) | 2022-08-30 |
| CN114978635B CN114978635B (zh) | 2023-10-03 |
Family
ID=82980989
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210517048.4A Active CN114978635B (zh) | 2022-05-11 | 2022-05-11 | 跨域认证方法及装置、用户注册方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978635B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116319096A (zh) * | 2023-05-19 | 2023-06-23 | 浪潮通信信息系统有限公司 | 算力网络操作系统的访问系统、方法、装置、设备及介质 |
| CN117113312A (zh) * | 2023-10-19 | 2023-11-24 | 江西省教育评估监测研究院 | 一种基于身份基础数据库的身份管理方法及系统 |
| CN117294447A (zh) * | 2023-10-18 | 2023-12-26 | 河北省科学院应用数学研究所 | 基于区块链的可信认证方法及装置、终端设备、存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170187726A1 (en) * | 2015-12-24 | 2017-06-29 | Zeta (Better World Technology Pvt. Ltd.) | Cross-domain message authentication |
| EP3474172A1 (de) * | 2017-10-19 | 2019-04-24 | Bundesdruckerei GmbH | Zugangskontrolle unter verwendung einer blockchain |
| CN110138805A (zh) * | 2019-06-02 | 2019-08-16 | 四川虹微技术有限公司 | 设备认证方法、访问方法、秘钥处理方法及装置、区块链 |
| US20200084202A1 (en) * | 2018-11-14 | 2020-03-12 | Ned M. Smith | Attestation token sharing in edge computing environments |
| CN111355745A (zh) * | 2020-03-12 | 2020-06-30 | 西安电子科技大学 | 基于边缘计算网络架构的跨域身份认证方法 |
| CN111371730A (zh) * | 2018-12-26 | 2020-07-03 | 中国科学院沈阳自动化研究所 | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 |
| KR102189301B1 (ko) * | 2020-04-22 | 2020-12-11 | 주식회사 한국정보보호경영연구소 | 블록체인 기반 보안이 강화된 클라우드 서비스 제공 시스템 및 방법 |
| CN113132117A (zh) * | 2021-06-18 | 2021-07-16 | 国网电子商务有限公司 | 一种基于区块链的跨域分布式身份认证方法及系统 |
| WO2021196098A1 (en) * | 2020-04-01 | 2021-10-07 | Nokia Technologies Oy | Method and apparatus for trust management in integrated networks based on blockchain |
| CN113938477A (zh) * | 2021-09-07 | 2022-01-14 | 西安电子科技大学 | 一种基于区块链的跨域图片传播访问控制方法及系统 |
-
2022
- 2022-05-11 CN CN202210517048.4A patent/CN114978635B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170187726A1 (en) * | 2015-12-24 | 2017-06-29 | Zeta (Better World Technology Pvt. Ltd.) | Cross-domain message authentication |
| EP3474172A1 (de) * | 2017-10-19 | 2019-04-24 | Bundesdruckerei GmbH | Zugangskontrolle unter verwendung einer blockchain |
| US20200084202A1 (en) * | 2018-11-14 | 2020-03-12 | Ned M. Smith | Attestation token sharing in edge computing environments |
| CN111371730A (zh) * | 2018-12-26 | 2020-07-03 | 中国科学院沈阳自动化研究所 | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 |
| CN110138805A (zh) * | 2019-06-02 | 2019-08-16 | 四川虹微技术有限公司 | 设备认证方法、访问方法、秘钥处理方法及装置、区块链 |
| CN111355745A (zh) * | 2020-03-12 | 2020-06-30 | 西安电子科技大学 | 基于边缘计算网络架构的跨域身份认证方法 |
| WO2021196098A1 (en) * | 2020-04-01 | 2021-10-07 | Nokia Technologies Oy | Method and apparatus for trust management in integrated networks based on blockchain |
| KR102189301B1 (ko) * | 2020-04-22 | 2020-12-11 | 주식회사 한국정보보호경영연구소 | 블록체인 기반 보안이 강화된 클라우드 서비스 제공 시스템 및 방법 |
| CN113132117A (zh) * | 2021-06-18 | 2021-07-16 | 国网电子商务有限公司 | 一种基于区块链的跨域分布式身份认证方法及系统 |
| CN113938477A (zh) * | 2021-09-07 | 2022-01-14 | 西安电子科技大学 | 一种基于区块链的跨域图片传播访问控制方法及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116319096A (zh) * | 2023-05-19 | 2023-06-23 | 浪潮通信信息系统有限公司 | 算力网络操作系统的访问系统、方法、装置、设备及介质 |
| CN116319096B (zh) * | 2023-05-19 | 2023-09-05 | 浪潮通信信息系统有限公司 | 算力网络操作系统的访问系统、方法、装置、设备及介质 |
| CN117294447A (zh) * | 2023-10-18 | 2023-12-26 | 河北省科学院应用数学研究所 | 基于区块链的可信认证方法及装置、终端设备、存储介质 |
| CN117294447B (zh) * | 2023-10-18 | 2024-03-19 | 河北省科学院应用数学研究所 | 基于区块链的可信认证方法及装置、终端设备、存储介质 |
| CN117113312A (zh) * | 2023-10-19 | 2023-11-24 | 江西省教育评估监测研究院 | 一种基于身份基础数据库的身份管理方法及系统 |
| CN117113312B (zh) * | 2023-10-19 | 2024-01-16 | 江西省教育评估监测研究院 | 一种基于身份基础数据库的身份管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978635B (zh) | 2023-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10917246B2 (en) | System and method for blockchain-based cross-entity authentication | |
| US11038670B2 (en) | System and method for blockchain-based cross-entity authentication | |
| EP3788523B1 (en) | System and method for blockchain-based cross-entity authentication | |
| CN111970129B (zh) | 一种基于区块链的数据处理方法、设备以及可读存储介质 | |
| CN109327528B (zh) | 一种基于区块链的节点管理方法和装置 | |
| EP4120114A1 (en) | Data processing method and apparatus, smart device and storage medium | |
| CN109584066B (zh) | 基于区块链的隐私交易及其应用方法和装置 | |
| EP3726804B1 (en) | Device authentication method, service access control method, device, and non-transitory computer-readable recording medium | |
| CN110046996B (zh) | 数据处理方法和装置 | |
| US9621355B1 (en) | Securely authorizing client applications on devices to hosted services | |
| EP3454238A1 (en) | Registration and authorization method, device and system | |
| CN114978635B (zh) | 跨域认证方法及装置、用户注册方法及装置 | |
| US11539526B2 (en) | Method and apparatus for managing user authentication in a blockchain network | |
| CN109614813B (zh) | 基于区块链的隐私交易方法、装置及其应用方法、装置 | |
| CN111742531B (zh) | 简档信息共享 | |
| CN110611657A (zh) | 一种基于区块链的文件流处理的方法、装置及系统 | |
| JP2023503607A (ja) | 自動デジタル証明書検証のための方法およびデバイス | |
| US20210241270A1 (en) | System and method of blockchain transaction verification | |
| CN112235301B (zh) | 访问权限的验证方法、装置和电子设备 | |
| US20200329023A1 (en) | Conducting secure interactions utilizing reliability information | |
| CN113472790A (zh) | 基于https协议的信息传输方法、客户端及服务器 | |
| US20210306135A1 (en) | Electronic device within blockchain based pki domain, electronic device within certification authority based pki domain, and cryptographic communication system including these electronic devices | |
| CN114051031A (zh) | 基于分布式身份的加密通讯方法、系统、设备及存储介质 | |
| US11943210B2 (en) | System and method for distributed, keyless electronic transactions with authentication | |
| CN113328854A (zh) | 基于区块链的业务处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |