WO2019104690A1 - 移动网络接入认证方法、装置、存储介质及区块链节点 - Google Patents

Abstract

一种移动网络接入认证方法、装置、存储介质及区块链节点，用以解决现有移动网络接入认证技术可靠性较低的技术问题。所述方法认证服务器，认证服务器是区块链网络中的节点，该方法包括：接收用户设备发送的认证请求，认证请求包括第一区块链地址以及身份信息；根据第一区块链地址查询区块链，确定区块链是否存储与身份信息相符的身份验证信息，其中，移动网络的支持系统在用户设备注册时，将用户设备的身份验证信息写入区块链中；在区块链中存储有与身份信息相符的身份验证信息时，基于认证算法对用户设备进行认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。

Description

移动网络接入认证方法、装置、存储介质及区块链节点 技术领域

本公开涉及信息技术领域，尤其涉及一种移动网络接入认证方法、装置、存储介质及区块链节点。

背景技术

目前，移动网络的接入认证都是由移动网络的运营商控制的，以4G网络为例，其接入认证流程具体为：运营商发行SIM卡，SIM卡和HSS(Home Subscriber Server，归属签约用户服务器)中预存有对称密钥，SIM卡用户设备附着到移动网络时，MME(Mobility Management Entity，移动管理实体)向HSS发送鉴权信息请求，HSS使用对称密钥产生鉴权集(包括随机数和期望挑战响应XRES)并发送给MME，MME向SIM卡用户设备发送携带有随机数的鉴权请求，并接收SIM卡用户设备基于预存的对称密钥和随机数生成的用户端挑战响应RES，若接收到的用户端挑战响应RES与鉴权集中的期望挑战响应XRES一致，则接入认证成功。

由上述流程可知，HSS作为分区域中心化部署的服务器，若其出现问题而停止服务，将造成归属地为该HSS区域的用户设备无法接入移动网络，影响移动网络接入认证的可靠性。

发明内容

本公开的主要目的是提供一种移动网络接入认证方法及装置，以解决现有移动网络接入技术中由于中心化部署导致的可靠性较低的技术问题。

为了实现上述目的，本公开第一方面提供一种移动网络接入认证方法，所述方法应用于认证服务器，所述认证服务器是区块链网络中的节点，所述方法包括：

接收用户设备发送的认证请求，所述认证请求包括第一区块链地址以及身份信息；

根据所述第一区块链地址查询所述区块链，确定所述区块链是否存储与所述身份信息相符的身份验证信息，其中，移动网络的支持系统在用户设备注册时，将用户设备的身份验证信息写入区块链中，若所述区块链中存储有与所述身份信息相符的身份验证信息，则表明所述身份信息表示的目标用户设备已在移动网络注册；

在所述区块链中存储有与所述身份信息相符的身份验证信息时，基于认证算法对所述用户设备进行认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。

本公开第二方面提供一种移动网络接入认证方法，所述方法应用于用户 设备，所述用户设备是区块链网络中的节点，所述方法包括：

向认证服务器发送认证请求，所述认证请求包括第一区块链地址以及身份信息，所述第一区块链地址和所述身份信息用于所述认证服务器确认所述身份信息表示的目标用户设备是否已在移动网络注册；

在确认所述身份信息表示的目标用户设备已在所述移动网络注册后，基于认证算法与所述认证服务器完成对所述用户设备的身份认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。

本公开第三方面提供一种移动网络接入认证装置，所述装置应用于认证服务器，所述认证服务器是区块链网络中的节点，所述装置包括：第一接收模块，用于接收用户设备发送的认证请求，所述认证请求包括第一区块链地址以及身份信息；查询模块，用于根据所述第一区块链地址查询所述区块链，确定所述区块链是否存储与所述身份信息相符的身份验证信息，其中，移动网络的支持系统在用户设备注册时，将用户设备的身份验证信息写入区块链中，若所述区块链中存储有与所述身份信息相符的身份验证信息，则表明所述身份信息表示的目标用户设备已在移动网络注册。

第一认证模块，用于在所述区块链中存储有与所述身份信息相符的身份验证信息时，基于认证算法对所述用户设备进行认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。

本公开第四方面提供一种移动网络接入认证装置，所述装置应用于用户设备，所述用户设备是区块链网络中的节点，所述装置包括：

第二发送模块，用于向认证服务器发送认证请求，所述认证请求包括第一区块链地址以及身份信息，所述第一区块链地址和所述身份信息用于所述认证服务器确认所述身份信息表示的目标用户设备是否已在移动网络注册；

第二认证模块，用于在确认所述身份信息表示的目标用户设备已在所述移动网络注册后，基于认证算法与所述认证服务器完成对所述用户设备的身份认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。

本公开第五方面提供一种非临时性计算机可读存储介质，所述非临时性计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行本公开第一方面所述的方法。

本公开第六方面提供一种区块链节点，包括：

本公开第五方面所述的非临时性计算机可读存储介质；以及

一个或者多个处理器，用于执行所述非临时性计算机可读存储介质中的程序。

本公开第七方面提供一种非临时性计算机可读存储介质，所述非临时性计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行本公开第二方面所述的方法。

本公开第八方面提供一种区块链节点，包括：

本公开第七方面所述的非临时性计算机可读存储介质；以及

一个或者多个处理器，用于执行所述非临时性计算机可读存储介质中的程序。

采用上述技术方案，认证服务器通过查询用户设备在移动网络注册时写入区块链的身份验证信息验证用户设备是否在移动网络注册，并在确认用户设备在移动网络注册后，基于认证算法对用户设备进行认证，这样，区块链的去中心化可以避免中心化部署的HSS出现问题而导致接入认证受到影响，提高了移动网络接入认证的可靠性。

本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例提供的一种应用于认证服务器的移动网络接入认证方法的流程图；

图2为本公开实施例提供的一种应用于用户设备的移动网络接入认证方法的流程图；

图3为本公开实施例提供的一种认证服务器对用户设备认证的方法的流程图；

图4为本公开实施例提供的一种用户设备对认证服务器认证的方法的流程图；

图5为本公开实施例提供的一种实施环境的示意图；

图6为本公开实施例提供的一种移动网络接入认证方法的流程示意图；

图7为本公开实施例提供的一种应用于认证服务器的移动网络接入认证装置的结构示意图；

图8为本公开实施例提供的另一种应用于认证服务器的移动网络接入认证装置的结构示意图；

图9为本公开实施例提供的一种应用于用户设备的移动网络接入认证装置的结构示意图；

图10为本公开实施例提供的另一种应用于用户设备的移动网络接入认证装置的结构示意图；

图11为本公开实施例提供的一种区块链节点的结构示意图；

图12为本公开实施例提供的另一种区块链节点的结构示意图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了使本领域技术人员更容易理解本公开实施例提供的技术方案，下面首先对涉及到的相关技术进行简单介绍。

区块链是由区块链网络中所有节点共同参与维护的去中心化分布式数据库系统，它是由一系列基于密码学方法产生的数据块组成，每个数据块即为区块链中的一个区块。根据产生时间的先后顺序，区块被有序地链接在一起，形成一个数据链条，被形象地称为区块链。区块链由其特别的区块和交易产生、验证协议，具有不可更改，不可伪造、完全可追溯的安全特性。

区块链技术中涉及到的相关概念说明：

区块链节点：区块链网络基于P2P(Peer to Peer，对等网络)网络，每个参与交易和区块存储、验证、转发的P2P网络节点都是一个区块链网络中的节点。

用户身份：区块链中的用户身份使用公钥表示，并且公钥和私钥是成对出现的，其中，私钥由用户掌握而不发布到上述的区块链网络中，公钥通过特定的哈希和编码后成为“地址”，“地址”代表了用户，并且公钥和“地址”可随意发布在区块链网络中。值得一提的是，用户身份和区块链节点不存在一一对应关系，用户可以在任意一个区块链节点上使用自己的私钥。

区块链数据写入：区块链节点通过向区块链网络发布“交易”(Transaction)实现向区块链写入数据。交易中包含用户使用自己私钥对交易的签名，以证明用户的身份。交易被“矿工”(执行PoW区块链共识竞争机制的区块链节点)记录入产生的新区块，然后发布到区块链网络，并被其他区块链节点验证通过和接受后，交易数据即被写入区块链。

本公开实施例基于区块链技术提供一种移动网络接入认证方法，该方法应用于认证服务器，如图1所示，该方法包括：

在步骤S101中，接收用户设备发送的认证请求，该认证请求包括第一区块链地址以及身份信息。

在步骤S102中，根据第一区块链地址查询区块链，确定区块链中是否存储与身份信息相符的身份验证信息。

其中，认证服务器是区块链网络中的节点，存储有由多个区块组成的区块链，每个区块用于存储信息，确保了该认证服务器至少具备参与区块链查询的功能。

此外，用户设备在接入移动网络前可以通过移动网络的支持系统在移动网络注册，其中，移动网络的支持系统是区块链网络中的节点，存储有由多 个区块组成的区块链，每个区块用于存储信息，确保了该支持系统至少具备参与区块链交易的功能。用户设备的注册过程为：用户设备将其身份验证信息发送给支持系统，该身份验证信息可以包括用户设备的公钥以及用户设备在区块链网络中的地址，支持系统将接收到的用户设备的身份验证信息写入到区块链中，这样，基于用户设备的区块链地址即可查询到区块链中存储的属于该用户设备账户下的所有信息，进一步可以确定该账户下的所有信息中是否存储与身份信息相符的身份验证信息。另外，支持系统还可以将区块链的启动节点bootnode信息发送给用户设备，以便用户设备根据所述bootnode信息基于区块链协议接入区块链网络。

在本公开实施例的一种可能的实现方式中，所述区块链网络中可以只允许移动网络的支持系统或者该支持系统授权的其它节点向区块链中写入用户设备的身份验证信息，例如，该区块链可以为一许可链，移动网络运营商可以授权给可信任的节点为用户设备提供注册服务。

用户设备自身的身份验证信息可以包括用户设备自身的公钥、IMSI(International Mobile Subscriber Identity，国际移动用户识别码)、归属地、状态等信息。则用户设备的身份信息可以为用户设备的IMSI。示例地，以用户设备的身份信息是其IMSI示意，认证服务器根据第一区块链地址查询区块链，若查询到第一区块链地址下存在该用户设备的IMSI且该IMSI有效，则可以确定用户设备已在移动网络注册。

可选地，若认证服务器根据用户设备发送的认证请求中的区块链地址未查询到区块链中存在与认证请求中的身份信息相符的身份验证信息或者查询到区块链中存在的与认证请求中的身份信息相符的身份验证信息无效时，则表明该用户设备未在移动网络注册或者已注销，因而可以拒绝响应所述认证请求。

在步骤S103中，在确定区块链中存储有与身份信息相符的身份验证信息时，基于认证算法对用户设备进行认证，其中，若认证成功，则表明该用户设备为身份信息表示的目标用户设备。

在确定区块链中存储有与身份信息相符的身份验证信息时，认证服务器可基于认证算法，与用户设备进行交互完成对用户设备进行认证，避免了未在移动网络注册的用户设备伪冒已在移动网络注册的用户设备的身份信息接入移动网络。

这样，采用本公开实施例提供的技术方案，由于无需部署中心化的节点(如现有技术中的HSS)参与接入认证，因此可以避免中心化节点停止服务而致使用户设备无法接入移动网络的问题出现，提高了接入认证的可靠性。同时，可以简化中心化节点的复杂程度。

本公开实施例还提供一种移动网络接入认证方法，该方法应用于用户设备，如图2所示，该方法包括：

在步骤S201中，向认证服务器发送认证请求，认证请求包括第一区块链地址以及身份信息，第一区块链地址和身份信息用于认证服务器确认身份信息表示的目标用户设备是否已在移动网络注册。

在步骤S202中，在确认身份信息表示的目标用户设备已在移动网络注册后，基于认证算法与认证服务器完成对用户设备的身份认证，其中，若认证成功，则表明该用户设备为身份信息表示的目标用户设备。

其中，用户设备可按照附着流程连接到认证服务器，并根据启动节点信息，通过区块链连接协议，例如采用轻节点协议或RPC的方式连接到区块链网络。

值得说明的是，在现有移动网络附着流程中，用户设备没有完成认证是无法访问移动网络的，从而也无法连接到区块链网络中。因此，为了解决该问题，在本发明中，可将区块链节点部署在核心网中，并默认开放用户设备对核心网中的区块链节点的网络通信能力。

此外，用户设备在移动网络的注册过程以及基于认证算法与认证服务器完成对其身份认证的过程可以参照对图1提供的移动网络接入认证方法的描述，此处不再赘述。

为了避免现有技术中对称加密算法中容易出现的HSS存储的用户密钥丢失而造成用户设备被假冒的安全问题，本公开实施例中，认证服务器与用户设备可以基于非对称加密算法进行双向认证，即包括认证服务器对用户设备进行认证和用户设备对认证服务器进行认证。接下来，通过具体的实施方式对这两个认证进行详细说明。

在一种可能的实现方式中，用户设备的身份信息可以包括第一公钥(即用户设备自己的公钥)。相应地，如图3所示，认证服务器对用户设备进行认证方法，包括：

在步骤S301中，认证服务器向用户设备发送第一认证挑战，第一认证挑战包括第一随机数。

在步骤S302中，用户设备根据其私钥对第一随机数进行签名，得到第一签名信息。

在步骤S303中，用户设备将包括第一签名信息的第一认证挑战响应发送给认证服务器。

在步骤S304中，认证服务器根据第一公钥对第一签名信息进行签名验证。

采用上述方法，用户设备在移动网络注册时通过移动网络的支持系统将其公钥(第一公钥)写入到区块链中，认证服务器根据用户设备的第一区块链地址查询区块链可得到该第一公钥。这样，认证服务器在获得第一公钥后，可以根据该第一公钥对用户设备发送的第一签名信息进行签名认证，若签名认证成功则可确定请求认证的用户设备掌握了与第一公钥对应的私钥，由此 可表明该用户设备为身份信息表示的目标用户设备。

由于区块链中写入的信息具备不可篡改的特性，从而使得认证服务器可以根据真实可信的第一公钥，验证用户设备是否为其身份信息表示目标用户设备，从而保证了用户设备不可冒充。

在另一种可能的实施方式中，用户设备发送的认证请求还可以包括第二随机数，相应地，如图4所示，用户设备对认证服务器进行认证的方法包括：

在步骤S401中，认证服务器根据其私钥对第二随机数进行签名，得到第二签名信息。

在步骤S402中，认证服务器将包括第二签名信息以及认证服务器的第二区块链地址的第二认证挑战响应发送给用户设备。

在步骤S403中，用户设备根据第二区块链地址从区块链中查询认证服务器的公钥并对第二签名信息进行签名验证。

其中，认证服务器的公钥也可以是在移动网络注册时由支持系统写入区块链，例如认证服务器首先生成成对出现的私钥和公钥，并通过将公钥通过特定的哈希和编码后生成第二区块链地址。其中，私钥由其自己掌握而不发布到网络中，而向支持系统发送包括其公钥的第二认证请求，支持系统接收到第二认证请求时将认证服务器的公钥写入区块链中，由此，认证服务器便完成了区块链网络注册。

采用上述方法，认证服务器在注册时通过移动网络的支持系统将其公钥写入到区块链中，用户设备根据认证服务器的第二区块链地址查询区块链可得到认证服务器的公钥。这样，用户设备根据认证服务器的公钥对认证服务器的第二签名信息进行签名认证，若签名认证成功则可确定请求认证的认证服务器掌握了与该公钥对应的私钥，由此可表明该认证服务器合法。

由于区块链中写入的信息具备不可篡改的特性，从而使得用户设备可以根据真实可信的认证服务器的公钥，验证请求认证的认证服务器是否合法，从而保证了认证服务器不可冒充。

为了使本领域技术人员更加理解本公开实施例提供的技术方案，下面以结合图5说明本公开实施例提供的移动网络接入认证方法。

图5是本公开实施例提供的一种实施环境的示意图，如图5所示，该实施环境包括用户设备501、认证服务器502、以及移动网络的支持系统503，其中，认证服务器502可以是eNodeB或者MME(Mobility Management Entity，移动管理实体)，移动网络的支持系统503可以是OSS(Operation Support System，运营支撑系统)或BSS(Business Support System，业务支撑系统)，且eNodeB、MME、用户设备UE、OSS/BSS均为区块链网络中的节点。结合图5，本公开实施例提供的一种移动网络接入认证方法如图6所示，包括：

在步骤S601中，用户设备501向移动网络的支持系统503发送第一注 册请求，该第一注册请求包括用户设备501的身份验证信息。

在步骤S602中，移动网络的支持系统503将用户设备501的身份验证信息写入区块链中。

在步骤S603中，支持系统503将区块链的启动节点信息发送给用户设备501。

在步骤S604中，认证服务器502向移动网络的支持系统503发送第二注册请求，该第二注册请求包括认证服务器502的公钥。

在步骤S605中，支持系统503将认证服务器502的公钥写入区块链中。

应理解，用户设备与认证服务器的注册为两个独立的过程，不受时间以及步骤先后顺序的限制，上述方法步骤只是为了简单描述。

在步骤S606中，用户设备501按照附着流程连接到认证服务器502。

在用户设备501和认证服务器502均完成注册后，用户设备501可以连接到认证服务器502上认证。其中，用户设备UE可以连接到eNodeB上进行认证，也可以连接到MME上进行认证，也就是说，本公开所述的认证服务器具体可以为eNodeB或者MME。值得说明的是，在eNodeB上认证可以减小eNodeB与MME之间的信息交互，节约核心网资源，并减小核心网协议的复杂度。

在步骤S607中，用户设备501向认证服务器502发送认证请求。

其中，认证请求可以包括用户设备501的第一区块链地址ADDRESS(A)、身份信息和第二随机数RAND(A)。在该实施例中，以身份信息为用户设备501的公钥PK(A)示意。

在步骤S608中，认证服务器502根据第一区块链地址查询区块链，确定区块链中是否存储与身份信息相符的身份验证信息。

认证服务器502根据ADDRESS(A)查询区块链，得到区块链中存储的身份验证信息，若该身份验证信息中有PK(A)，则表明该身份验证信息与用户设备501发送的身份信息相符，可确定该身份信息标识的目标用户设备已在移动网络注册，进一步地，执行步骤S609；若未查询到区块链中存储有与用户设备的身份信息相符的身份验证信息或者区块链中存储的与用户设备的身份信息相符的身份验证信息无效时，则表明该用户设备未在移动网络注册或者已注销，则拒绝响应用户设备501的认证请求，结束对用户设备501的认证。

在步骤S609中，认证服务器502向用户设备501发送包括第一随机数的第一认证挑战。

在确认区块链中存储有与身份信息相符的身份验证信息后，认证服务器502生成第一随机数RAND(B)并向用户设备501发送包括RAND(B)的第一认证挑战。

在步骤S610中，用户设备501根据其私钥对第一随机数进行签名，得 到第一签名信息。

在步骤S611中，用户设备501将包括第一签名信息的第一认证挑战响应发送给认证服务器502。

在步骤S612中，认证服务器502根据第一公钥对第一签名信息进行签名验证。

如上所述，认证服务器502根据第一区块链地址ADDRESS(A)查询区块链得到用户设备501的公钥PK(A)，根据公钥PK(A)对第一签名信息SIGN(A)进行验证，若签名验证成功，则表明用户设备501掌握与该公钥PK(A)对应的私钥，因此可确定用户设备501为身份信息表示的目标用户设备，则执行步骤S613；否则，可确定用户设备402被冒充，则结束对用户设备501的认证。

由于区块链中写入的信息具备不可篡改的特性，从而使得认证服务器502可以根据真实可信的公钥PK(A)，验证用户设备402是否为身份信息表示的目标用户设备，从而保证了用户设备402不可冒充。

在步骤S613中，认证服务器502根据其私钥对第二随机数进行签名，得到第二签名信息。

在步骤S614中，认证服务器502将包括第二签名信息以及认证服务器的第二区块链地址的第二认证挑战响应发送给用户设备501。

在步骤S615中，用户设备501根据第二区块链地址从区块链中查询认证服务器的公钥并对第二签名信息进行签名验证。

在用户设备501通过认证后，认证服务器502根据自己的私钥对第二随机数RAND(A)进行签名，得到第二签名信息SIGN(B)并向用户设备501发送携带有第二签名信息SIGN(B)和第二区块链地址ADDRESS(B)的第二认证挑战响应。

用户设备501根据ADDRESS(B)查询区块链，得到区块链中存储的认证服务器502的公钥PK(B)，并根据公钥PK(B)对第二签名信息SIGN(B)进行验证。若签名验证成功，则表明认证服务器502掌握与该公钥PK(B)对应的私钥，因此可确定认证服务器502合法；否则，可确定认证服务器502被冒充。

由于区块链中写入的信息具备不可篡改的特性，从而使得用户设备501可以根据真实可信的公钥PK(B)，验证认证服务器502是否合法，从而保证了认证服务器502不可冒充。

在第二签名信息验证成功后，用户设备501便完成了对认证服务器502的认证。

值得说明的是，对于上述方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制。其次，本领域技术人员也应该知悉，说明书中所描述的实 施例均属于优选实施例，所涉及的动作并不一定是本发明所必须的。

此外，在本公开的实施例中，由于区块链中所记录的用户设备信息和认证服务器信息是接入认证的关键数据，其添加和修改必须受到权限控制，以实现对数据写入的保护。因此，在本公开实施例的一个实施例中，区块链可采用许可链，即不同的运营商具有各自的许可链，属于同一运营商的认证服务器和用户设备分别是该许可链上的节点。在许可链的权限控制上，限制不同区块链账户是否具有对某些数据的写入和修改权限。例如，对移动网络的支持系统中的区块链账户仅配置写入和修改权限，而对用户设备和认证服务器上的区块链账户仅配置读取权限。

在另一个实施例中，可以通过编写特定的智能合约，通过该智能合约实现信息的存储。智能合约提供注册、修改、注销、查询等接口，并将注册、修改、注销、查询等接口的调用权限仅分配给移动网络的支持系统中的区块链账户，而对与用户设备和认证服务器上的区块链账户仅分配查询接口调用的权限。

其中，智能合约是一段计算机执行程序，满足可准确自动执行，基于区块链的智能合约包括事务处理和保存的机制，以及一个完备的状态机，用于接受和处理各种智能合约。如果自动状态机中某个或某几个动作的触发条件满足，则由状态机根据预设信息选择合约动作自动执行。

此外，考虑到认证服务器可能与用户设备属于不同的运营商，每一运营商具有各自的许可链，当用户设备需要跨运营商漫游认证时，需要给某些节点上的区块链账户提供同时访问多条链的能力。例如当A运营商的用户设备需要漫游到B运营商的移动网络时，A运营商需要向B运营商提供A运营商的区块链的访问能力，从而让B运营商的认证服务器能够访问A运营商区块链中的相关信息。这样，相对于现有技术中用户设备漫游时必须到其归属地的HSS上进行鉴权集的产生，可以实现用户设备漫游时的就近认证，提高接入认证效率。

在一个实施例中，针对上述区块链为私有链的情况，A运营商可给B运营商的相关区块链账户配置A运营商的许可链的接入和数据读取权限，具体地址，可以是为B运营商配置所需数量的许可链全节点。

在另一个实施例中，针对上述智能合约的情况，可将查询接口的调用权限配置给B运营商的所需区块链账户。

由此，相对于现有技术中用户设备漫游时必须到其归属地的第三方机构上进行认证信息的产生，可以提高移动网络接入认证的效率。

本公开实施例还提供一种移动网络接入认证装置70，该装置70应用于认证服务器，其中，认证服务器是区块链网络中的节点，如图7所示，该装置70包括：

第一接收模块71，用于接收用户设备发送的认证请求，所述认证请求包 括第一区块链地址以及身份信息。

查询模块72，用于根据所述第一区块链地址查询所述区块链，确定所述区块链是否存储与所述身份信息相符的身份验证信息，其中，移动网络的支持系统在用户设备注册时，将用户设备的身份验证信息写入区块链中，若所述区块链中存储有与所述身份信息相符的身份验证信息，则表明所述身份信息表示的目标用户设备已在移动网络注册。

第一认证模块73，用于在所述区块链中存储有与所述身份信息相符的身份验证信息时，基于认证算法对所述用户设备进行认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。

可选地，如图8所示，所述第一认证模块73包括：

第一认证子模块731，用于基于非对称加密算法与所述用户设备进行双向认证。

可选地，如图8所示，所述身份验证信息包括第一公钥，所述第一认证模块包括：

第一发送子模块732，用于向所述用户设备发送第一认证挑战，所述第一认证挑战包括第一随机数；

第一接收子模块733，用于接收所述用户设备发送的第一认证挑战响应，所述第一认证挑战响应包括第一签名信息，其中，所述第一签名信息是所述用户设备的私钥签名所述第一随机数得到的；

第一签名验证子模块734，用于根据所述第一公钥对所述第一签名信息进行签名验证，其中，若签名验证成功则表明所述用户设备为所述身份信息表示的目标用户设备。

可选地，如图8所示，所述认证请求还包括第二随机数；

所述装置70还包括：

第一签名模块74，用于根据所述认证服务器的私钥对所述第二随机数进行签名，得到第二签名信息；

第一发送模块75，用于将包括所述第二签名信息以及所述认证服务器的第二区块链地址的第二认证挑战响应发送给所述用户设备，所述第二区块链地址用于所述用户设备从所述区块链中查询公钥对所述第二签名信息进行验证，其中，所述认证服务器的公钥是所述支持系统写入所述区块链中的。

可选地，如图8所示，所述装置70还包括：

拒绝响应模块76，用于在确认所述区块链中不存在与所述用户设备的身份信息相符的身份验证信息或者所述区块链中存储的与所述用户设备的身份信息相符的身份验证信息无效时，拒绝响应所述认证请求。

所属本领域的技术人员应该清楚地了解到，为描述的方便和简洁，上述描述的客户端的各模块的具体工作过程，可以参考前述方法实施例中对应的过程，此处不再赘述。

另外，上述对客户端组成模块进行的划分，仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。并且，各个模块的物理实现也可以有多种方式，本发明对此不做限定。

本公开实施例还提供一种移动网络接入认证装置80，该装置80应用于用户设备，其中，用户设备是区块链网络中的节点，如图9所示，该装置80包括：

第二发送模块81，用于向认证服务器发送认证请求，所述认证请求包括第一区块链地址以及身份信息，所述第一区块链地址和所述身份信息用于所述认证服务器确认所述身份信息表示的目标用户设备是否已在移动网络注册；

第二认证模块82，用于在确认所述身份信息表示的目标用户设备已在所述移动网络注册后，基于认证算法与所述认证服务器完成对所述用户设备的身份认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。

可选地，如图10所示，所述第二认证模块82包括：

第二接收子模块821，用于接收所述认证服务器发送的第一认证挑战，所述第一认证挑战包括第一随机数；

第一签名子模块822，用于根据所述用户设备的私钥对所述第一随机数进行签名，得到第一签名信息；

第二发送子模块823，用于将包括所述第一签名信息的第一认证挑战响应发送给所述认证服务器，其中，所述第一签名信息用于所述认证服务器对所述用户设备进行认证。

可选地，如图10所示，所述认证请求还包括第二随机数；

所述装置80还包括：

第二接收模块83，用于接收所述认证服务器发送的第二认证挑战响应，所述第二认证挑战响应包括第二签名信息以及所述认证服务器的第二区块链地址，其中，所述第二签名信息是所述认证服务器的私钥签名所述第二随机数得到的；

第一签名验证模块84，用于根据所述第二区块链地址从所述区块链中查询所述认证服务器的公钥并对所述第二签名信息进行签名验证，其中，若签名验证成功则表明所述认证服务器合法。

可选地，如图10所示，所述装置80还包括：

第三发送模块85，用于向移动网络的支持系统发送注册请求，所述注册请求包括所述用户设备的身份验证信息，其中，所述支持系统是区块链网络中的节点；

第二接收模块86，用于接收所述支持系统发送的所述区块链的启动节点信息，所述启动节点信息用于所述用户设备基于区块链协议接入区块链网 络。

所属本领域的技术人员应该清楚地了解到，为描述的方便和简洁，上述描述的客户端的各模块的具体工作过程，可以参考前述方法实施例中对应的过程，此处不再赘述。

另外，上述对客户端组成模块进行的划分，仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。并且，各个模块的物理实现也可以有多种方式，本发明对此不做限定。

相应地，本公开实施例还提供一种非临时性计算机可读存储介质，所述非临时性计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行权上述应用于认证服务器的移动网络接入认证方法。

相应地，本公开实施例还提供一种区块链节点，包括上述非临时性计算机可读存储介质；以及一个或者多个处理器，用于执行所述非临时性计算机可读存储介质中的程序。

相应地，本公开实施例还提供一种非临时性计算机可读存储介质，所述非临时性计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行权上述应用于用户设备的移动网络接入认证方法。

相应地，本公开实施例还提供一种区块链节点，包括上述非临时性计算机可读存储介质；以及一个或者多个处理器，用于执行所述非临时性计算机可读存储介质中的程序。

本公开实施例还提供一种区块链节点90，该区块链节点90可以是如上所述的认证服务器，例如eNodeB或MME，如图11所示，该区块链节点90包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述移动网络接入认证方法。

区块链节点90还可以包括一个电源组件926被配置为执行区块链节点90的电源管理，一个有线或无线网络接口950被配置为将区块链节点90连接到网络，和一个输入输出(I/O)接口958。区块链节点90可以操作基于存储在存储器932的操作系统，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM或类似。

本公开实施例还提供一种区块链节点100，该区块链节点100可以是如上所述的用户设备，例如移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

如图12所示，该区块链节点100可以包括以下一个或多个组件：处理组件102，存储器104，电力组件106，多媒体组件108，音频组件110，输入/输出(I/O)的接口112，传感器组件114，以及通信组件116。

处理组件102通常控制区块链节点100的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件102可以包括一个或多个处理器120来执行指令，以完成上述的移动网络接入认证方法的全部或部分步骤。此外，处理组件102可以包括一个或多个模块，便于处理组件102和其他组件之间的交互。例如，处理组件102可以包括多媒体模块，以方便多媒体组件108和处理组件102之间的交互。

存储器104被配置为存储各种类型的数据以支持在区块链节点100的操作。这些数据的示例包括用于在区块链节点100上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器104可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电力组件106为区块链节点100的各种组件提供电力。电力组件106可以包括电源管理系统，一个或多个电源，及其他与为区块链节点100生成、管理和分配电力相关联的组件。

多媒体组件108包括在所述区块链节点100和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件108包括一个前置摄像头和/或后置摄像头。当区块链节点100处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件110被配置为输出和/或输入音频信号。例如，音频组件110包括一个麦克风(MIC)，当区块链节点100处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器104或经由通信组件116发送。在一些实施例中，音频组件110还包括一个扬声器，用于输出音频信号。

I/O接口112为处理组件102和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件114包括一个或多个传感器，用于为区块链节点100提供各个方面的状态评估。例如，传感器组件114可以检测到区块链节点100的打开/关闭状态，组件的相对定位，例如所述组件为区块链节点100的显示器和 小键盘，传感器组件114还可以检测区块链节点100或区块链节点100一个组件的位置改变，用户与区块链节点100接触的存在或不存在，区块链节点100方位或加速/减速和区块链节点100的温度变化。传感器组件114可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件114还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件114还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件116被配置为便于区块链节点100和其他设备之间有线或无线方式的通信。区块链节点100可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件116经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件116还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，区块链节点100可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述移动网络接入认证方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器104，上述指令可由区块链节点100的处理器120执行以完成上述移动网络接入认证方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (22)

1. 一种移动网络接入认证方法，其特征在于，所述方法应用于认证服务器，所述认证服务器是区块链网络中的节点，所述方法包括：

   接收用户设备发送的认证请求，所述认证请求包括第一区块链地址以及身份信息；

   根据所述第一区块链地址查询所述区块链，确定所述区块链是否存储与所述身份信息相符的身份验证信息，其中，移动网络的支持系统在用户设备注册时，将用户设备的身份验证信息写入区块链中，若所述区块链中存储有与所述身份信息相符的身份验证信息，则表明所述身份信息表示的目标用户设备已在移动网络注册；

   在所述区块链中存储有与所述身份信息相符的身份验证信息时，基于认证算法对所述用户设备进行认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。
2. 根据权利要求1所述的方法，其特征在于，所述基于认证算法对所述用户设备进行认证，包括：

   基于非对称加密算法与所述用户设备进行双向认证。
3. 根据权利要求1所述的方法，其特征在于，所述身份验证信息包括一公钥，所述基于认证算法对所述用户设备进行认证，包括：

   向所述用户设备发送第一认证挑战，所述第一认证挑战包括第一随机数；

   接收所述用户设备发送的第一认证挑战响应，所述第一认证挑战响应包括第一签名信息，其中，所述第一签名信息是所述用户设备的私钥签名所述第一随机数得到的；

   根据所述第一公钥对所述第一签名信息进行签名验证，其中，若签名验证成功则表明所述用户设备为所述身份信息表示的目标用户设备。
4. 根据权利要求1所述的方法，其特征在于，所述认证请求还包括第二随机数；

   所述方法还包括：

   根据所述认证服务器的私钥对所述第二随机数进行签名，得到第二签名信息；

   将包括所述第二签名信息以及所述认证服务器的第二区块链地址的第二认证挑战响应发送给所述用户设备，所述第二区块链地址用于所述用户设备从所述区块链中查询公钥对所述第二签名信息进行签名验证，其中，所述认证服务器的公钥是所述支持系统写入所述区块链中的。
5. 根据权利要求1-4中任一项所述的方法，其特征在于，所述方法还包括：

   在确认所述区块链中不存在与所述用户设备的身份信息相符的身份验证信息或者所述区块链中存储的与所述用户设备的身份信息相符的身份验证信息无效时，拒绝响应所述认证请求。
6. 一种移动网络接入认证方法，其特征在于，所述方法应用于用户设备，所述用户设备是区块链网络中的节点，所述方法包括：

   向认证服务器发送认证请求，所述认证请求包括第一区块链地址以及身份信息，所述第一区块链地址和所述身份信息用于所述认证服务器确认所述身份信息表示的目标用户设备是否已在移动网络注册；

   在确认所述身份信息表示的目标用户设备已在所述移动网络注册后，基于认证算法与所述认证服务器完成对所述用户设备的身份认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。
7. 根据权利要求6所述的方法，其特征在于，所述基于认证算法与所述认证服务器完成对所述用户设备的身份认证，包括：

   接收所述认证服务器发送的第一认证挑战，所述第一认证挑战包括第一随机数；

   根据所述用户设备的私钥对所述第一随机数进行签名，得到第一签名信息；

   将包括所述第一签名信息的第一认证挑战响应发送给所述认证服务器，其中，所述第一签名信息用于所述认证服务器对所述用户设备进行认证。
8. 根据权利要求7所述的方法，其特征在于，所述认证请求还包括第二随机数；

   所述方法还包括：

   接收所述认证服务器发送的第二认证挑战响应，所述第二认证挑战响应包括第二签名信息以及所述认证服务器的第二区块链地址，其中，所述第二签名信息是所述认证服务器的私钥签名所述第二随机数得到的；

   根据所述第二区块链地址从所述区块链中查询所述认证服务器的公钥并对所述第二签名信息进行签名验证，其中，若签名验证成功则表明所述认证服务器合法。
9. 根据权利要求6-8中任一项所述的方法，其特征在于，在所述向认证服务器发送认证请求之前，所述方法还包括：

   向移动网络的支持系统发送注册请求，所述注册请求包括所述用户设备 的身份验证信息，其中，所述支持系统是区块链网络中的节点；

   接收所述支持系统发送的所述区块链的启动节点信息，所述启动节点信息用于所述用户设备基于区块链协议接入区块链网络。
10. 一种移动网络接入认证装置，其特征在于，所述装置应用于认证服务器，所述认证服务器是区块链网络中的节点，所述装置包括：第一接收模块，用于接收用户设备发送的认证请求，所述认证请求包括第一区块链地址以及身份信息；查询模块，用于根据所述第一区块链地址查询所述区块链，确定所述区块链是否存储与所述身份信息相符的身份验证信息，其中，移动网络的支持系统在用户设备注册时，将用户设备的身份验证信息写入区块链中，若所述区块链中存储有与所述身份信息相符的身份验证信息，则表明所述身份信息表示的目标用户设备已在移动网络注册；

    第一认证模块，用于在所述区块链中存储有与所述身份信息相符的身份验证信息时，基于认证算法对所述用户设备进行认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。
11. 根据权利要求10所述的装置，其特征在于，所述第一认证模块包括：

    第一认证子模块，用于基于非对称加密算法与所述用户设备进行双向认证。
12. 根据权利要求10所述的装置，其特征在于，所述身份验证信息包括第一公钥，所述第一认证模块包括：

    第一发送子模块，用于向所述用户设备发送第一认证挑战，所述第一认证挑战包括第一随机数；

    第一接收子模块，用于接收所述用户设备发送的第一认证挑战响应，所述第一认证挑战响应包括第一签名信息，其中，所述第一签名信息是所述用户设备的私钥签名所述第一随机数得到的；

    第一签名验证子模块，用于根据所述第一公钥对所述第一签名信息进行签名验证，其中，若签名验证成功则表明所述用户设备为所述身份信息表示的目标用户设备。
13. 根据权利要求10所述的装置，其特征在于，所述认证请求还包括第二随机数；

    所述装置还包括：

    第一签名模块，用于根据所述认证服务器的私钥对所述第二随机数进行签名，得到第二签名信息；

    第一发送模块，用于将包括所述第二签名信息以及所述认证服务器的第 二区块链地址的第二认证挑战响应发送给所述用户设备，所述第二区块链地址用于所述用户设备从所述区块链中查询公钥对所述第二签名信息进行验证，其中，所述认证服务器的公钥是所述支持系统写入所述区块链中的。
14. 根据权利要求10-13中任一项所述的装置，其特征在于，所述装置还包括：

    拒绝响应模块，用于在确认所述区块链中不存在与所述用户设备的身份信息相符的身份验证信息或者所述区块链中存储的与所述用户设备的身份信息相符的身份验证信息无效时，拒绝响应所述认证请求。
15. 一种移动网络接入认证装置，其特征在于，所述装置应用于用户设备，所述用户设备是区块链网络中的节点，所述装置包括：

    第二发送模块，用于向认证服务器发送认证请求，所述认证请求包括第一区块链地址以及身份信息，所述第一区块链地址和所述身份信息用于所述认证服务器确认所述身份信息表示的目标用户设备是否已在移动网络注册；

    第二认证模块，用于在确认所述身份信息表示的目标用户设备已在所述移动网络注册后，基于认证算法与所述认证服务器完成对所述用户设备的身份认证，其中，若认证成功，则表明所述用户设备为所述身份信息表示的目标用户设备。
16. 根据权利要求15所述的装置，其特征在于，所述第二认证模块包括：

    第二接收子模块，用于接收所述认证服务器发送的第一认证挑战，所述第一认证挑战包括第一随机数；

    第一签名子模块，用于根据所述用户设备的私钥对所述第一随机数进行签名，得到第一签名信息；

    第二发送子模块，用于将包括所述第一签名信息的第一认证挑战响应发送给所述认证服务器，其中，所述第一签名信息用于所述认证服务器对所述用户设备进行认证。
17. 根据权利要求16所述的装置，其特征在于，所述认证请求还包括第二随机数；

    所述装置还包括：

    第二接收模块，用于接收所述认证服务器发送的第二认证挑战响应，所述第二认证挑战响应包括第二签名信息以及所述认证服务器的第二区块链地址，其中，所述第二签名信息是所述认证服务器的私钥签名所述第二随机数得到的；

    第一签名验证模块，用于根据所述第二区块链地址从所述区块链中查询 所述认证服务器的公钥并对所述第二签名信息进行签名验证，其中，若签名验证成功则表明所述认证服务器合法。
18. 根据权利要求15-17中任一项所述的装置，其特征在于，所述装置还包括：

    第三发送模块，用于向移动网络的支持系统发送注册请求，所述注册请求包括所述用户设备的身份验证信息，其中，所述支持系统是区块链网络中的节点；

    第二接收模块，用于接收所述支持系统发送的所述区块链的启动节点信息，所述启动节点信息用于所述用户设备基于区块链协议接入区块链网络。
19. 一种非临时性计算机可读存储介质，其特征在于，所述非临时性计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行权利要求1-5中任一项所述的方法。
20. 一种区块链节点，其特征在于，包括：

    权利要求19所述的非临时性计算机可读存储介质；以及

    一个或者多个处理器，用于执行所述非临时性计算机可读存储介质中的程序。
21. 一种非临时性计算机可读存储介质，其特征在于，所述非临时性计算机可读存储介质中包括一个或多个程序，所述一个或多个程序用于执行权利要求6-9中任一项所述的方法。
22. 一种区块链节点，其特征在于，包括：

    权利要求21所述的非临时性计算机可读存储介质；以及

    一个或者多个处理器，用于执行所述非临时性计算机可读存储介质中的程序。

Images