WO2019184924A1 - 身份管理方法、设备、通信网络及存储介质 - Google Patents

身份管理方法、设备、通信网络及存储介质 Download PDF

Info

Publication number
WO2019184924A1
WO2019184924A1 PCT/CN2019/079784 CN2019079784W WO2019184924A1 WO 2019184924 A1 WO2019184924 A1 WO 2019184924A1 CN 2019079784 W CN2019079784 W CN 2019079784W WO 2019184924 A1 WO2019184924 A1 WO 2019184924A1
Authority
WO
WIPO (PCT)
Prior art keywords
plane node
control plane
transaction data
key
authentication unit
Prior art date
Application number
PCT/CN2019/079784
Other languages
English (en)
French (fr)
Inventor
吴义镇
黄亚达
关贺
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Priority to EP19777798.0A priority Critical patent/EP3742696B1/en
Publication of WO2019184924A1 publication Critical patent/WO2019184924A1/zh
Priority to US17/009,145 priority patent/US11784788B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0655Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash managed centrally
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/308Payment architectures, schemes or protocols characterised by the use of specific devices or networks using the Internet of Things
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

提供了一种身份管理方法、设备、通信网络及存储介质,属于通信技术领域。方法包括:第一控制平面节点为用户设备生成第一身份标识及第一公钥和第一私钥;根据第一控制平面节点的第二私钥对第一身份标识和第一公钥进行签名,得到第一交易数据;在区块链网络中广播第一交易数据,第一交易数据用于区块链网络中的共识计算,从而向区块链网络注册第一交易数据,实现了用户设备身份标识的注册,能适用于IoT场景,并且所发放的身份标识不会受到运营商管理设备的限制,可以对区块链网络中的多个运营商的管理设备开放,无需一个用户设备对不同的运营商注册多个身份标识,避免浪费不必要的管理成本,节省了身份标识资源。

Description

身份管理方法、设备、通信网络及存储介质
本申请要求申请日为2018年3月27日、申请号为201810259814.5、发明名称为“身份管理方法、设备、通信网络及存储介质”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本公开涉及通信技术领域,特别涉及一种身份管理方法、设备、通信网络及存储介质。
背景技术
区块链网络是一种全新的分布式架构,区块链网络中的各个节点独立对等,各自存储独立完整的数据,并将数据以顺序相连的方式组成链式数据结构,节点与节点之间利用共识机制实现高一致性,利用点对点传输技术实现数据同步。区块链网络具有全公开和防篡改的特性,已广泛应用于多种领域中。
目前的长期演进技术(Long Term Evolution,简称LTE)通信网络提出了一种分布式的HSS实现方案(Distributed Home Subscriber Server,简称dHSS),能够利用区块链网络实现用户设备的身份注册。参见图1,通信网络中包括用户设备和区块链网络,区块链网络中包括移动网络运营商(Mobile Network Operator,简称MNO)的管理设备,该管理设备生成用户设备的身份标识j及相互对应的公钥
Figure PCTCN2019079784-appb-000001
和私钥
Figure PCTCN2019079784-appb-000002
根据管理设备的私钥
Figure PCTCN2019079784-appb-000003
对身份标识j及公钥
Figure PCTCN2019079784-appb-000004
进行签名,得到交易数据,将该交易数据封装成身份注册消息,将该身份注册消息向区块链网络进行注册,从而使区块链网络中的每个节点根据管理设备的公钥
Figure PCTCN2019079784-appb-000005
对交易数据进行验证,验证通过时将该交易数据存储至区块链网络的每个节点。并且,管理设备向用户设备下发该用户设备的身份标识j和私钥
Figure PCTCN2019079784-appb-000006
由用户设备进行存储。
用户设备的身份标识需要由管理设备集中注册,无法适用于包含海量用户设备的物联网(Internet of Things,简称IoT)场景。而且,所发放的身份标识由管理设备独有,对除MNO以外的其他运营商不开放,导致一个用户设备针对不同的运营商需要注册多个独立的身份标识,带来了额外的管理成本。
发明内容
本公开提供了一种身份管理方法、设备、通信网络及存储介质,可以解决相关技术存在的问题。所述技术方案如下:
第一方面,提供了一种身份管理方法,应用于通信网络,所述通信网络包括用户设备和区块链网络,所述区块链网络包括至少一个控制平面节点和至少一个数据平面节点,所述方法包括:
所述至少一个控制平面节点中的第一控制平面节点,为所述用户设备生成第一身份标识及第一公钥和第一私钥;
所述第一控制平面节点根据所述第一控制平面节点的第二私钥对所述第一身份标识和所述第一公钥进行签名,得到第一交易数据;
所述第一控制平面节点在所述区块链网络中广播所述第一交易数据,所述第一交易数据用于所述区块链网络中的共识计算。
在第一方面的第一种可能实现方式中,所述方法还包括:
所述至少一个控制平面节点中的第二控制平面节点接收所述第一交易数据;
所述第二控制平面节点根据所述第一控制平面节点的第二公钥对所述第一交易数据进行验证,并在所述验证通过后,对所述第一交易数据进行共识计算。
在第一方面的第二种可能实现方式中,所述方法还包括:
当所述第二控制平面节点确定所述第一交易数据中的所述第一身份标识为新的身份标识时,根据所述第二控制平面节点的私钥对所述第一交易数据进行签名,将所述第一交易数据签名后得到的签名数据发送给所述至少一个控制平面节点中的另一个控制平面节点或者所述至少一个数据平面节点。
在第一方面的第三种可能实现方式中,所述方法还包括:
所述至少一个控制平面节点中的一个控制平面节点将所述第一交易数据以及所述共识计算产生的签名数据发送到所述至少一个数据平面节点中进行存储。
在第一方面的第四种可能实现方式中,所述方法还包括:
所述第一控制平面节点根据所述第二私钥对所述第一控制平面节点的第二身份标识和第二公钥进行签名,得到第二交易数据;
所述第一控制平面节点在所述区块链网络中广播所述第二交易数据,所述第二交易数据用于所述第一控制平面节点注册为所述区块链网络的节点。
在第一方面的第五种可能实现方式中,所述通信网络还包括认证单元,所述方法还包括:
所述认证单元接收所述用户设备发送的第一身份标识信息;
所述认证单元根据所述第一身份标识信息,查询所述第一身份标识对应的所述第一交易数据;
所述认证单元对所述第一交易数据进行验证,验证通过后产生第一密钥,根据所述第一公钥对所述第一密钥进行加密,得到第一加密密文;
所述认证单元向所述用户设备发送所述第一加密密文以及所述认证单元的身份管理交易数据;
所述认证单元接收所述用户设备发送的第二加密密文,所述第二加密密文中包含所述第一密钥和第二密钥,用于对所述用户设备的认证;
所述认证单元根据所述认证单元的第三私钥对所述第二加密密文进行解密,得到所述第一密钥和所述第二密钥;
所述认证单元根据所述第一公钥对所述第二密钥进行加密,得到第三加密密文,向所述用户设备发送所述第三加密密文,所述第三加密密文用于所述认证单元的认证。
在第一方面的第六种可能实现方式中,所述方法还包括:
所述用户设备向所述认证单元发送第一身份标识信息;
所述用户设备接收所述认证单元发送的第一加密密文以及所述认证单元的身份管理交易数据;
所述用户设备根据所述第一私钥对所述第一加密密文进行解密,得到所述第一密钥,并对所述身份管理交易数据进行验证,若验证通过则产生第二密钥;
所述用户设备根据所述认证单元的第三公钥对所述第一密钥和所述第二密钥进行加密,得到所述第二加密密文,并向所述认证单元发送所述第二加密密文;
所述用户设备接收所述认证单元发送的第三加密密文,根据所述第一私钥对所述第三加 密密文进行解密,得到所述第二密钥。
在第一方面的第七种可能实现方式中,所述方法还包括:
所述至少一个控制平面节点中的一个控制平面节点为所述认证单元配置第三身份标识及所述第三公钥和所述第三私钥,根据所述一个控制平面节点的私钥对所述第三身份标识和所述第三公钥进行签名,得到所述认证单元的身份管理交易数据,并向所述认证单元发送所述身份管理交易数据;
所述一个控制平面节点包含在所述通信网络的运营商管理设备中。
在第一方面的第八种可能实现方式中,所述第一控制平面节点包含在物联网IoT行业客户实体中,所述第二控制平面节点包含在所述通信网络的运营商管理设备中或第三方服务器中。
第二方面,提供了一种控制平面节点,应用于通信网络,所述通信网络包括用户设备和区块链网络,所述区块链网络包括所述控制平面节点和至少一个数据平面节点,所述控制平面节点包括:
生成模块,用于为所述用户设备生成第一身份标识及第一公钥和第一私钥;
第一签名模块,用于根据所述控制平面节点的第二私钥对所述第一身份标识和所述第一公钥进行签名,得到第一交易数据;
第一广播模块,用于在所述区块链网络中广播所述第一交易数据,所述第一交易数据用于所述区块链网络中的共识计算。
在第二方面的第一种可能实现方式中,所述控制平面节点还包括:
发送模块,用于将所述第一交易数据以及所述共识计算产生的签名数据发送到所述至少一个数据平面节点中进行存储。
在第二方面的第二种可能实现方式中,所述控制平面节点还包括:
第二签名模块,用于根据所述第二私钥对所述控制平面节点的第二身份标识和所述第二公钥进行签名,得到第二交易数据;
第二广播模块,用于在所述区块链网络中广播所述第二交易数据,所述第二交易数据用于所述控制平面节点注册为所述区块链网络的节点。
在第二方面的第三种可能实现方式中,所述控制平面节点包含在物联网IoT行业客户实体中。
第三方面,提供了一种控制平面节点,应用于通信网络,所述通信网络包括用户设备和区块链网络,所述区块链网络包括所述控制平面节点和至少一个其他控制平面节点和至少一个数据平面节点,所述控制平面节点包括:
接收模块,用于接收第一交易数据,所述第一交易数据根据除所述控制平面节点之外的第一控制平面节点的第二私钥对用户设备的第一身份标识和第一公钥进行签名得到;
共识计算模块,用于根据所述第一控制平面节点的第二公钥对所述第一交易数据进行验证,并在所述验证通过后,对所述第一交易数据进行共识计算。
在第三方面的第一种可能实现方式中,所述共识计算模块,还用于当确定所述第一交易数据中的所述第一身份标识为新的身份标识时,根据所述控制平面节点的私钥对所述第一交易数据进行签名,将所述第一交易数据签名后得到的签名数据发送给所述至少一个控制平面节点中的另一个控制平面节点或者所述至少一个数据平面节点。
在第三方面的第二种可能实现方式中,所述控制平面节点还包括:
发送模块,用于将所述第一交易数据以及所述共识计算产生的签名数据发送到所述至少一个数据平面节点中进行存储。
在第三方面的第三种可能实现方式中,所述控制平面节点还包括:
签名模块,用于为认证单元配置第三身份标识及第三公钥和第三私钥,根据所述控制平面节点的私钥对所述第三身份标识和所述第三公钥进行签名,得到所述认证单元的身份管理交易数据;
发送模块,用于向所述认证单元发送所述身份管理交易数据;
所述控制平面节点包含在所述通信网络的运营商管理设备中。
在第三方面的第四种可能实现方式中,所述控制平面节点包含在所述通信网络的运营商管理设备中或第三方服务器中。
第四方面,提供了一种认证单元,其特征在于,应用于通信网络,所述通信网络包括用户设备、区块链网络和所述认证单元,所述区块链网络包括至少一个控制平面节点和至少一个数据平面节点,所述认证单元包括:
接收模块,用于接收所述用户设备发送的第一身份标识信息;
查询模块,用于根据所述第一身份标识信息,查询第一身份标识对应的第一交易数据;
加密模块,用于对所述第一交易数据进行验证,验证通过后产生第一密钥,根据所述用户设备的第一公钥对所述第一密钥进行加密,得到第一加密密文;
发送模块,用于向所述用户设备发送所述第一加密密文以及所述认证单元的身份管理交易数据;
所述接收模块,还用于接收所述用户设备发送的第二加密密文,所述第二加密密文中包含所述第一密钥和第二密钥,用于对所述用户设备的认证;
解密模块,用于根据所述认证单元的第三私钥对所述第二加密密文进行解密,得到所述第一密钥和所述第二密钥;
所述加密模块,还用于根据所述第一公钥对所述第二密钥进行加密,得到第三加密密文,向所述用户设备发送所述第三加密密文,所述第三加密密文用于所述认证单元的认证。
第五方面,提供了一种通信装置,应用于通信网络,所述通信网络包括通信装置、区块链网络和认证单元,所述区块链网络包括至少一个控制平面节点和至少一个数据平面节点,所述通信装置包括:
发送模块,用于向所述认证单元发送第一身份标识信息;
接收模块,用于接收所述认证单元发送的第一加密密文以及所述认证单元的身份管理交易数据;
解密模块,用于根据第一私钥对所述第一加密密文进行解密,得到第一密钥,并对所述身份管理交易数据进行验证,若验证通过则产生第二密钥;
加密模块,用于根据所述认证单元的第三公钥对所述第一密钥和所述第二密钥进行加密,得到所述第二加密密文,并向所述认证单元发送所述第二加密密文;
所述接收模块,还用于接收所述认证单元发送的第三加密密文;
所述解密模块,还用于根据所述第一私钥对所述第三加密密文进行解密,得到所述第二密钥。
第六方面,提供了一种控制平面节点,应用于通信网络,所述通信网络包括用户设备和区块链网络,所述区块链网络包括至少一个控制平面节点和至少一个数据平面节点,所述控 制平面节点包括处理器,所述处理器与存储器耦合,所述存储器存储有至少一条指令,所述处理器用于调用所述指令,执行以下操作:
为所述用户设备生成第一身份标识及第一公钥和第一私钥;
根据所述控制平面节点的第二私钥对所述第一身份标识和所述第一公钥进行签名,得到第一交易数据;
在所述区块链网络中广播所述第一交易数据,所述第一交易数据用于所述区块链网络中的共识计算。
在第六方面的第一种可能实现方式中,所述处理器用于调用所述指令,执行以下操作:
将所述第一交易数据以及所述共识计算产生的签名数据发送到所述至少一个数据平面节点中进行存储。
在第六方面的第二种可能实现方式中,所述处理器还用于调用所述指令,执行以下操作:
根据所述第二私钥对所述控制平面节点的第二身份标识和所述第二公钥进行签名,得到第二交易数据;
在所述区块链网络中广播所述第二交易数据,所述第二交易数据用于所述控制平面节点注册为所述区块链网络的节点。
在第六方面的第三种可能实现方式中,所述控制平面节点包含在物联网IoT行业客户实体中。
第七方面,提供了一种控制平面节点,应用于通信网络,所述通信网络包括用户设备和区块链网络,所述区块链网络包括所述控制平面节点和至少一个其他控制平面节点和至少一个数据平面节点,所述控制平面节点包括处理器,所述处理器与存储器耦合,所述存储器存储有至少一条指令,所述处理器用于调用所述指令,执行以下操作:
接收第一交易数据,所述第一交易数据根据除所述控制平面节点之外的第一控制平面节点的第二私钥对所述用户设备的第一身份标识和第一公钥进行签名得到;
根据所述第一控制平面节点的第二公钥对所述第一交易数据进行验证,并在所述验证通过后,对所述第一交易数据进行共识计算。
在第七方面的第一种可能实现方式中,所述处理器用于调用所述指令,执行以下操作:
当确定所述第一交易数据中的所述第一身份标识为新的身份标识时,根据所述控制平面节点的私钥对所述第一交易数据进行签名,将所述第一交易数据签名后得到的签名数据发送给所述至少一个控制平面节点中的另一个控制平面节点或者所述至少一个数据平面节点。
在第七方面的第二种可能实现方式中,所述处理器用于调用所述指令,执行以下操作:
将所述第一交易数据以及所述共识计算产生的签名数据发送到所述至少一个数据平面节点中进行存储。
在第七方面的第三种可能实现方式中,所述处理器用于调用所述指令,执行以下操作:
为认证单元配置第三身份标识及第三公钥和第三私钥,根据所述控制平面节点的私钥对所述第三身份标识和所述第三公钥进行签名,得到所述认证单元的身份管理交易数据,并向所述认证单元发送所述身份管理交易数据;
所述控制平面节点包含在所述通信网络的运营商管理设备中。
在第七方面的第四种可能实现方式中,所述控制平面节点包含在所述通信网络的运营商管理设备中或第三方服务器中。
第八方面,提供了一种认证单元,应用于通信网络,所述通信网络包括用户设备、区块 链网络和所述认证单元,所述区块链网络包括至少一个控制平面节点和至少一个数据平面节点,所述认证单元包括处理器,所述处理器与存储器耦合,所述存储器存储有至少一条指令,所述处理器用于调用所述指令,执行以下操作:
接收所述用户设备发送的第一身份标识信息;
根据所述第一身份标识信息,查询第一身份标识对应的第一交易数据;
对所述第一交易数据进行验证,验证通过后产生第一密钥,根据所述用户设备的第一公钥对所述第一密钥进行加密,得到第一加密密文;
向所述用户设备发送所述第一加密密文以及所述认证单元的身份管理交易数据;
接收所述用户设备发送的第二加密密文,所述第二加密密文中包含所述第一密钥和第二密钥,用于对所述用户设备的认证;
根据所述认证单元的第三私钥对所述第二加密密文进行解密,得到所述第一密钥和所述第二密钥;
根据所述第一公钥对所述第二密钥进行加密,得到第三加密密文,向所述用户设备发送所述第三加密密文,所述第三加密密文用于所述认证单元的认证。
第九方面,提供了一种通信装置,应用于通信网络,所述通信网络包括所述通信装置、区块链网络和认证单元,所述区块链网络包括至少一个控制平面节点和至少一个数据平面节点,所述通信装置包括处理器,所述处理器与存储器耦合,所述存储器存储有至少一条指令,所述处理器用于调用所述指令,执行以下操作:
向所述认证单元发送第一身份标识信息;
接收所述认证单元发送的第一加密密文以及所述认证单元的身份管理交易数据;
根据第一私钥对所述第一加密密文进行解密,得到第一密钥,并对所述身份管理交易数据进行验证,若验证通过则产生第二密钥;
根据所述认证单元的第三公钥对所述第一密钥和所述第二密钥进行加密,得到所述第二加密密文,并向所述认证单元发送所述第二加密密文;
接收所述认证单元发送的第三加密密文,根据所述第一私钥对所述第三加密密文进行解密,得到所述第二密钥。
第十方面,提供了一种通信网络,其特征在于,所述通信网络包括:如第八方面所述的认证单元;如第九方面所述的通信装置;区块链网络,所述区块链网络包括:如第六方面所述的控制平面节点、如第七方面所述的控制平面节点以及至少一个数据平面节点。
第十一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令,当所述计算机可读存储介质在计算机上运行时,
使得所述计算机执行如第六方面所述的控制平面节点所执行的操作;或者,
使得所述计算机执行如第七方面所述的控制平面节点所执行的操作;或者,
使得所述计算机执行如第八方面所述的认证单元所执行的操作;或者,
使得所述计算机执行如第九方面所述的通信装置所执行的操作。
第十四方面,提供了一种计算机程序产品,所述计算机程序产品包括至少一条指令,当所述计算机程序产品在计算机上运行时,
使得所述计算机执行如第六方面所述的控制平面节点所执行的操作;或者,
使得所述计算机执行如第七方面所述的控制平面节点所执行的操作;或者,
使得所述计算机执行如第八方面所述的认证单元所执行的操作;或者,
使得所述计算机执行如第九方面所述的通信装置所执行的操作。
本公开实施例提供的技术方案带来的有益效果是:
本公开实施例中,由区块链网络中的第一控制平面节点为用户设备生成第一身份标识及第一公钥和第一私钥,根据第二私钥对第一身份标识和第一公钥进行签名,得到用户设备的第一交易数据,并在区块链网络中广播第一交易数据,从而向区块链网络注册第一交易数据。实现了身份标识的注册,能适用于IoT场景,并且所发放的身份标识不会受到运营商管理设备的限制,可以对区块链网络中的多个运营商的管理设备开放,无需一个用户设备对不同的运营商注册多个身份标识,避免浪费不必要的管理成本,节省了身份标识资源。
本公开实施例实现了将控制平面节点和数据平面节点分离,可以避免每个节点既要进行控制平面的共识计算又要进行数据平面的存储操作,提高了节点的操作效率,提升了可扩展性和隐私性。
本公开实施例通过部署认证单元,由认证单元与用户设备实现双向认证,无需用户设备与核心网进行过多的交互,避免了给核心网带来严重的控制信令负载,提升了网络性能,而且无需对基站进行改进,实施难度较小。
附图说明
图1是相关技术提供的一种通信网络的结构示意图;
图2是本公开实施例提供的一种区块链的示意图;
图3是本公开实施例提供的一种通信网络的结构示意图;
图4是本公开实施例提供的另一种通信网络的结构示意图;
图5是本公开实施例提供的另一种通信网络的结构示意图;
图6是本公开实施例提供的一种区块链网络的初始化方法的流程图;
图7是本公开实施例提供的一种区块链网络的初始化方法的流程图;
图8是本公开实施例提供的一种身份管理方法的流程图;
图9是本公开实施例提供的一种身份管理方法的流程图;
图10是本公开实施例提供的一种身份管理方法的流程图;
图11是本公开实施例提供的一种身份管理方法的示例性操作流程图;
图12是本公开实施例提供的一种身份管理方法的流程图;
图13是本公开实施例提供的一种身份管理方法的流程图;
图14是本公开实施例提供的一种IoT行业客户实体和第三方服务器的身份管理过程的示意图;
图15是本公开实施例提供的一种认证方法的流程图;
图16是本公开实施例提供的一种控制平面节点的结构示意图;
图17是本公开实施例提供的另一种控制平面节点的结构示意图;
图18是本公开实施例提供的一种控制平面节点的结构示意图;
图19是本公开实施例提供的另一种控制平面节点的结构示意图;
图20是本公开实施例提供的一种认证单元的结构示意图;
图21是本公开实施例提供的另一种认证单元的结构示意图;
图22是本公开实施例提供的一种通信装置的结构示意图;
图23是本公开实施例提供的另一种通信装置的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚,下面将结合附图对本公开实施方式作进一步地详细描述。
首先,对本公开实施例涉及的区块链网络进行如下介绍:
区块链网络中的节点是指能够进行验证数据、存储数据、转发数据、验证数据等操作的基本单元,将区块链网络中的数据称为交易数据,各个节点各自存储独立完整的交易数据,实现了分布式存储,并且各个节点均可对交易数据进行维护和管理,利用点对点传输技术实现交易数据的同步。
区块链网络中的节点包括控制平面节点和数据平面节点两种。控制平面节点用于执行控制平面的操作,各个控制平面节点实现对交易数据的共识计算。数据平面节点用于执行数据平面的操作,存储已完成共识计算的交易数据。一种可能实现方式中,当某一节点注册为区块链网络的控制平面节点时,可以默认注册为区块链网络的数据平面节点,除这些默认注册的数据平面节点之外,还可以单独注册其他的数据平面节点,以保证数据平面节点的数量足够多。
例如,区块链网络中包括IoT行业客户实体、运营商管理设备和第三方服务器,这三个设备均可作为控制平面节点,对请求注册的交易数据进行共识计算,还可以作为数据平面节点,对已共识计算完成的交易数据进行存储。
第一、点对点传输:区块链网络中的各个节点是独立、对等的,节点与节点之间通过点对点传输技术实现交易数据的同步。不同节点可以是不同的物理机器,也可以是云端上不同的实例。
第二、共识计算:共识计算是指通过节点间的交互,对数据、行为、流程等方面达成一致的过程,共识算法是指共识计算过程的协议和规则等,各个节点根据共识算法实现共识计算过程,最终达成一致的共识结果。例如,针对请求注册的某一交易数据,各个节点根据共识算法确定该交易数据验证通过。
第三、分布式数据存储:区块链网络中的各个数据平面节点将交易数据存储于区块中,将多个区块按照时间顺序相连组成链式数据结构,分别存储有独立、完整的交易数据,保证了交易数据全公开。分布式的数据存储方式依赖于区块链网络中各个地位独立对等的节点,需要各个节点通过共识计算来实现高一致性的存储。
参见图2,区块是指将一条或多条交易数据以“块”的形式组织,区块的大小可以根据实际的应用场景定义。而链是指一种数据结构,该链式数据结构中将区块按照时间顺序相连。在区块链中每个区块包含区块头和区块体,区块体包含交易数据,区块头包含区块中所有交易数据的根哈希值与前一区块的区块头的哈希值。区块链的数据结构可以保证存储的交易数据不可篡改。
第四、密码学原理:各个节点之间采用密码学技术实现交易数据的传播,以密码学技术结合共识计算的方式保证了交易数据不可篡改不可伪造。
图3是本公开实施例提供的一种通信网络的结构示意图,参见图3,该通信网络包括:用户设备301和区块链网络302,区块链网络302包括至少一个控制平面节点3021和至少一个数据平面节点3022。
该用户设备301可以为多种类型的设备,如手机、计算机、水表、电表、摄像机、智能交通工具、无人机、智能手表等。实际上,该通信网络可以对多种行业开放,并接入多种行业的用户设备301,不同行业的用户设备301的类型可以相同,也可以不同。
当某一控制平面节点3021在区块链网络中广播交易数据时,该至少一个控制平面节点301会对该交易数据进行共识计算,共识计算完成后,会将交易数据存储于至少一个数据平面节点3022中。其中,该至少一个控制平面节点可以包括多种类型的设备,分别用于实现不同的功能。
在一种可能实现方式中,该至少一个控制平面节点3021可以包括IoT行业客户实体。IoT行业客户实体用于对该行业的用户设备301进行管理,主要是实现用户设备301的身份标识的生成、发放和管理过程,并且,IoT行业客户实体作为区块链网络的控制平面节点,用于将交易数据注册到区块链网络中,并对要注册的交易数据进行共识计算,还可以作为区块链网络的数据平面节点,用于存储所注册的交易数据。实际上,针对每种行业,可以设置相应的IoT行业客户实体,并通过IoT行业客户实体接入相应行业的用户设备301,不同行业的IoT行业客户实体不同。
例如,手机行业的IoT行业客户实体可以为手机生成、注册并发放身份标识,从而将手机接入到通信网络中,而自来水行业的IoT行业客户实体可以为水表生成、注册并发放身份标识,从而将水表接入到通信网络中。
在另一种可能实现方式中,该至少一个控制平面节点3021还可以包括运营商管理设备。其中,运营商管理设备作为区块链网络的控制平面节点,用于对要注册的交易数据进行共识计算,还可以作为区块链网络的数据平面节点,用于存储所注册的交易数据。且运营商管理设备属于运营商,由运营商进行维护管理。实际上,该区块链网络中可以包括不同运营商的管理设备,从而能够将交易数据开放给多个运营商。那么对于用户设备来说,一个用户设备针对不同的运营商可以仅注册一个通用的身份标识,而无需再注册多个身份标识,降低了管理成本,节省了身份标识资源。
在另一种可能实现方式中,该至少一个控制平面节点3021还可以包括第三方服务器。其中,第三方服务器作为区块链网络的控制平面节点,用于对要注册的交易数据进行共识计算,还可以作为区块链网络的数据平面节点,用于存储所注册的交易数据。另外,第三方服务器还用于为接入该通信网络的用户设备301提供应用层的多种服务。
在另一种可能实现方式中,参见图4,该通信网络还可以包括认证单元303,在用户设备301的接入过程中,该认证单元303通过与用户设备301和区块链网络中的控制平面节点3021进行交互,可以实现对用户设备301的接入鉴权和认证。
需要说明的是,区块链网络中的节点可以作为控制平面节点,这些控制平面节点一起参与区块链控制平面的共识计算过程,主要是依据预设规则判定请求注册的设备身份标识是否为合法的身份标识。另外区块链网络中的节点还可以作为数据平面节点,这些数据平面节点一起参与区块链数据平面的数据存储过程,主要是将控制平面节点共识计算通过的身份标识进行有序地存储。
参见图5,本公开实施例提供了一种包括分布式的身份发放、接入鉴权与认证、访问控制、漫游管理功能的区块链网络,该区块链网络具有四个对外的接口,包括行业客户、移动网络运营商、认证实体以及第三方应用,从而能够将IoT行业客户实体、运营商管理设备、认证单元以及第三方服务器作为区块链网络的直接参与方,并作为区块链网络的节点。
图6是本公开实施例提供的一种身份管理方法的流程图,本公开实施例对区块链网络的初始化过程进行说明,执行主体为初始化区块链网络的设备。参见图6,该方法包括:
601、任一设备创建本端的身份标识、公钥和私钥,并创建区块链网络,将该设备注册为 区块链网络的节点。
其中,身份标识用于唯一确定该设备,可以表示该设备的身份,可以为该设备的设备编号、网络地址等。不同设备的身份标识不同,每个设备的身份标识可以由运营商管理设备按照预设规则进行分配或者由设备本端按照预设规则生成。区块链网络中设置有预设规则,该预设规则用于规定节点的身份标识需符合的规则,如IoT行业客户实体、运营商管理设备的身份标识应当如何设置等,该预设规则还可以用于规定请求接入的用户设备的身份标识需符合的规则,根据该预设规则可以确定请求注册的身份标识是否合法,是否能通过验证。
区块链网络采用非对称加密技术实现可信的信息传播,该设备可以为本端创建相互对应的公钥和私钥,用公钥加密的数据只能用私钥解密,用私钥加密的数据只能用公钥解密,因此后续可以将公钥开放给区块链网络中的节点,由区块链网络中的节点根据公钥对该设备根据私钥进行签名后得到的数据进行验证。
初始化时,该设备创建区块链网络,将本端注册为区块链网络的节点,此时该设备既是区块链网络的控制平面节点,也是数据平面节点。
602、根据私钥对身份标识和公钥进行签名,得到交易数据。
例如,该设备创建配置信息{身份标识ID O,公钥
Figure PCTCN2019079784-appb-000007
私钥
Figure PCTCN2019079784-appb-000008
根据
Figure PCTCN2019079784-appb-000009
对ID o
Figure PCTCN2019079784-appb-000010
进行签名,得到的交易数据为sig
Figure PCTCN2019079784-appb-000011
{ID O
Figure PCTCN2019079784-appb-000012
}。
603、将交易数据存储于该设备中。
初始化时,该区块链网络中仅有该设备这一个数据平面节点,因此在该设备中存储当前注册的交易数据。
之后,该区块链网络中还可以注册新的控制平面节点和数据平面节点,每注册一个新的控制平面节点,后续要请求注册交易数据时,该新的控制平面节点可以对请求注册的交易数据进行共识计算。而每注册一个新的数据平面节点,会将已存储的交易数据写入到该新的数据平面节点中,从而保证区块链网络的每个数据平面节点中存储的交易数据同步。
在一种可能实现方式中,区块链网络中设置有预设规则,该预设规则用于规定请求注册的交易数据需通过的共识算法,只有交易数据共识计算完成才能注册成功。因此,控制平面节点可以按照该预设规则创建身份标识及相互对应的公钥和私钥,后续区块链网络中添加的其他控制平面节点会根据预设规则对交易数据进行共识计算。具体包括:
第一种、区块链网络中的一个控制平面节点确定该交易数据中的身份标识为新的身份标识时,根据本端节点的私钥对交易数据进行签名,将交易数据签名后得到的签名数据发送给下一个控制平面节点,由下一个控制平面节点继续进行签名,直至预设数量的控制平面节点进行签名后共识计算完成,或者,直至预设比例的控制平面节点进行签名后共识计算完成,则将交易数据和交易数据签名后得到的签名数据写入到区块链网络的每个数据平面节点中进行存储。
其中,该预设数量和该预设比例可以根据该预设规则确定,足够数量或者足够比例的控制平面节点验证身份标识为新的身份标识,并达到一致后,表示该身份标识的签名数量已经达到了区块链网络的共识计算的容错能力,此时身份标识即可注册成功。仅在足够数量或者足够比例的控制平面节点达成共识后才允许写入交易数据,保证了交易数据的安全性和不可篡改的特性。
例如,区块链网络中的控制平面节点包括IoT行业客户实体和第三方服务器,IoT行业客户实体的配置信息为{身份标识ID V,公钥
Figure PCTCN2019079784-appb-000013
私钥
Figure PCTCN2019079784-appb-000014
}、第三方服务器的配置信息为{身 份标识ID S,公钥
Figure PCTCN2019079784-appb-000015
私钥
Figure PCTCN2019079784-appb-000016
},则IoT行业客户实体对交易数据进行签名后得到签名数据为sig
Figure PCTCN2019079784-appb-000017
sig
Figure PCTCN2019079784-appb-000018
{ID o
Figure PCTCN2019079784-appb-000019
},之后第三方服务器进行签名后得到的签名数据为sig{
Figure PCTCN2019079784-appb-000020
sig
Figure PCTCN2019079784-appb-000021
}{ID o
Figure PCTCN2019079784-appb-000022
},将交易数据sig
Figure PCTCN2019079784-appb-000023
{ID O
Figure PCTCN2019079784-appb-000024
}和签名数据sig{
Figure PCTCN2019079784-appb-000025
sig
Figure PCTCN2019079784-appb-000026
}{ID o
Figure PCTCN2019079784-appb-000027
}写入到每个数据平面节点中。
第二种、区块链网络中的一个控制平面节点当确定交易数据中的身份标识为新的身份标识时,根据预设规则中的共识算法对交易数据进行计算,得到计算结果,根据本端节点的私钥对交易数据进行签名,将交易数据签名后得到的签名数据发送给下一个与IoT行业客户实体关联的控制平面节点,由下一个控制平面节点继续进行共识计算及签名,直至预设数量的控制平面节点得到预设规则中的正确计算结果并进行签名后共识计算完成,或者,直至预设比例的控制平面节点得到预设规则中的正确计算结果并进行签名后共识计算完成,则将交易数据和交易数据签名后得到的签名数据写入到区块链网络的每个数据平面节点中。
该预设规则中不仅可以包括预设数量和预设比例,还可以包括共识算法,该共识算法用于确定对交易数据进行共识计算的方式,并将共识计算得到的计算结果作为判定控制平面节点是否对交易数据达成共识的判断结果,那么只有进行共识计算后得到正确计算结果的交易数据才能注册成功。
因此,每个控制平面节点确定交易数据中的身份标识为新的身份标识时,会根据共识算法对交易数据进行计算,得到计算结果,并根据本端节点的私钥进行签名,只有当预设数量的控制平面节点得到预设规则中的正确计算结果并进行签名后共识计算完成,或者,当预设比例的控制平面节点得到预设规则中的正确计算结果并进行签名后共识计算完成。
其中,该预设数量和该预设比例可以根据该预设规则确定,足够数量或者足够比例的控制平面节点验证身份标识为新的身份标识并通过进行共识计算,得到了一致且正确的计算结果后,即可注册成功,并且进行共识计算的控制平面节点进行签名可以保证交易数据的安全。
在此过程中,如果一些控制平面节点对交易数据进行计算得到错误计算结果,表示该交易数据没有通过验证,即使该控制平面节点根据本端节点的私钥进行了签名,但是该签名数据也不予考虑,从而增加伪造的交易数据的共识计算难度,保证了交易数据的安全性。
需要说明的是,上述创建区块链网络的设备可以包含在运营商管理设备、IoT行业客户实体或者其他类型的设备中。
以该设备包含在运营商管理设备中为例,参见图7,该运营商管理设备创建区块链网络的过程可以包括如下步骤:
701、运营商管理设备创建身份标识、公钥和私钥,并创建区块链网络,将运营商管理设备注册为区块链网络的节点。
702、根据该私钥对该身份标识和该公钥进行签名,得到交易数据。
703、将该交易数据存储于运营商管理设备中。
具体过程与上述图6所示实施例的过程类似,在此不再赘述。
图8是本公开实施例提供的一种身份管理方法的流程图,本公开实施例的执行主体为第一控制平面节点,对第一控制平面节点注册为区块链网络的节点的过程进行说明。参见图8,该方法包括:
801、第一控制平面节点根据第二私钥对第二身份标识和第二公钥进行签名,得到第二交易数据。
本公开实施例以第一控制平面节点为例,在第一控制平面节点还未注册成为区块链网络 的节点时,第一控制平面节点创建第二身份标识及第二公钥和第二私钥,第二身份标识用于唯一确定该第一控制平面节点,用于表示该第一控制平面节点的身份,可以为该第一控制平面节点的设备编号、网络地址等。不同控制平面节点的身份标识不同,每个控制平面节点的身份标识可以由运营商按照预设规则进行分配。
第一控制平面节点为本端创建相互对应的第二公钥和第二私钥,用第二公钥加密的数据只能用第二私钥解密,用第二私钥加密的数据只能用第二公钥解密,因此可以将第二公钥开放给区块链网络中的节点,由区块链网络中的节点根据第二公钥对第一控制平面节点根据第二私钥进行签名后得到的数据进行验证。
802、第一控制平面节点在区块链网络中广播第二交易数据。
通过广播第二交易数据,可以将第二交易数据发送给区块链网络中的其他控制平面节点,从而由区块链网络中已注册的控制平面节点对第二交易数据进行共识计算。
在一种可能实现方式中,第一控制平面节点得到第二交易数据后,将第二交易数据封装成第二身份注册消息,在区块链网络中广播该第二身份注册消息。
例如,第一控制平面节点创建配置信息{身份标识ID V,公钥
Figure PCTCN2019079784-appb-000028
私钥
Figure PCTCN2019079784-appb-000029
},根据
Figure PCTCN2019079784-appb-000030
对ID V
Figure PCTCN2019079784-appb-000031
进行签名,得到的第二交易数据为sig
Figure PCTCN2019079784-appb-000032
{ID V
Figure PCTCN2019079784-appb-000033
},并将该第二交易数据封装成注册(register)消息,在区块链网络中进行广播。
803、区块链网络中已注册的每个控制平面节点根据第二公钥对第二交易数据进行验证,验证通过后根据预设规则对第二交易数据进行共识计算。
804、区块链网络中的一个控制平面节点共识计算完成后将第二交易数据发送到区块链网络的数据平面节点中进行存储,则第一控制平面节点注册为区块链网络的节点。
在一种可能实现方式中,如果第一控制平面节点在区块链网络中广播第二身份注册消息,则其他控制平面节点接收到第二身份注册消息,解封装后得到第二交易数据。
对于区块链网络中已注册的每个控制平面节点,该控制平面节点获取到第二交易数据后,根据第二公钥对第二交易数据进行验证,验证第二交易数据是否为合法数据,当验证通过后根据预设规则对第二交易数据进行共识计算,共识计算完成后将第二交易数据发送给至少一个控制平面节点中的另一个控制平面节点,直至最后一个控制平面节点共识计算完成后将第二交易数据写入到区块链网络的数据平面节点中。
在一种可能实现方式中,该共识计算过程包括:
第一种、一个控制平面节点当确定第二交易数据中的身份标识为新的身份标识时,根据本端节点的私钥对第二交易数据进行签名,将第二交易数据签名后得到的签名数据发送给下一个控制平面节点,由下一个控制平面节点继续进行签名,直至预设数量的控制平面节点进行签名后共识计算完成,或者,直至预设比例的控制平面节点进行签名后共识计算完成,则由区块链网络中的一个控制平面节点将第二交易数据和第二交易数据签名后得到的签名数据发送到区块链网络的每个数据平面节点中进行存储。
第二种、一个控制平面节点当确定第二交易数据中的身份标识为新的身份标识时,根据预设规则中的共识算法对第二交易数据进行计算,得到计算结果,根据本端节点的私钥对第二交易数据进行签名,将第二交易数据签名后得到的签名数据发送给下一个控制平面节点,由下一个控制平面节点继续进行共识计算及签名,直至预设数量的控制平面节点得到预设规则中的正确计算结果并进行签名后共识计算完成,或者,直至预设比例的控制平面节点得到预设规则中的正确计算结果并进行签名后共识计算完成,则由区块链网络中的一个控制平面 节点将第二交易数据和第二交易数据签名后得到的签名数据发送到区块链网络的每个数据平面节点中进行存储。
此时第一控制平面节点的身份标识注册成功,该第一控制平面节点注册成为了区块链网络的节点,如第一控制平面节点注册成为区块链网络的控制平面节点,或者第一控制平面节点注册成为区块链网络的数据平面节点,或者第一控制平面节点注册成为区块链网络的控制平面节点,并默认注册成为区块链网络的数据平面节点。
其中,发送该第二交易数据和第二交易数据签名后得到的签名数据的控制平面节点可以为进行共识计算的最后一个控制平面节点,或者也可以为区块链网络中的其他控制平面节点,如用于控制写入交易数据的控制平面节点等。
需要说明的一点是,区块链网络包括至少一个控制平面节点和至少一个数据平面节点,第一控制平面节点注册第二身份标识时,可以由区块链网络中的每个控制平面节点对第二交易数据进行共识计算,共识计算完成后将第二交易数据存储于区块链网络中的每个数据平面节点中。或者实际应用中针对任一行业的第一控制平面节点,可以设置与第一控制平面节点关联的控制平面节点和数据平面节点,表示这些控制平面节点用于对第一控制平面节点所属行业内的交易数据进行共识计算,这些数据平面节点用于对第一控制平面节点所属行业内的交易数据进行存储,从而将不同的行业的控制平面节点及数据平面节点进行区分,则由与第一控制平面节点关联的控制平面节点对第一控制平面节点所属行业内的交易数据进行共识计算,由与第一控制平面节点关联的数据平面节点对第一控制平面节点所属行业内的交易数据进行存储。
需要说明的第二点是,本公开实施例中,控制平面节点可以作为数据平面节点,而数据平面节点可以是控制平面节点,也可以不是控制平面节点。并且,控制平面节点与行业相关联,而数据平面节点执行统一的存储操作,可以与行业无关。本公开实施例提供的方法,实现了将控制平面节点和数据平面节点分离,可以避免每个节点既要进行控制平面的共识计算又要进行数据平面的存储操作,提高了节点的操作效率,提升了可扩展性和隐私性。
需要说明的第三点是,第一控制平面节点可以包含在多种类型的设备中,如IoT行业客户实体、第三方服务器、运营商管理设备等。
图9是本公开实施例提供的一种身份管理方法的流程图,本公开实施例以该第一控制平面节点包含在IoT行业客户实体中为例,对IoT行业客户实体注册为区块链网络的节点的过程进行说明的过程进行说明。参见图9,该方法包括:
901、IoT行业客户实体根据私钥对身份标识和公钥进行签名,得到IoT行业客户实体的交易数据。
IoT行业客户实体的身份标识、公钥和私钥可以由IoT行业客户实体按照预设规则生成,或者由运营商管理设备按照预设规则进行分配。
实际应用中,针对一个行业可以设置一个IoT行业客户实体,则可以设置不同行业的IoT行业客户实体,每个行业的IoT行业客户实体可以在通过区块链网络的审核之后获得合法的注册权限,从而能够注册到区块链网络中,其中,该注册权限可以为电子证书等。
902、IoT行业客户实体在区块链网络中广播该交易数据。
在一种可能实现方式中,IoT行业客户实体得到交易数据后,将交易数据封装成身份注册消息,在区块链网络中广播身份注册消息。
903、区块链网络中已注册的每个控制平面节点根据IoT行业客户实体的公钥对交易数据 进行验证,验证通过后根据预设规则对交易数据进行共识计算。
在一种可能实现方式中,如果IoT行业客户实体在区块链网络中广播身份注册消息,则区块链网络中已注册的控制平面节点接收该身份注册消息后,解封装得到交易数据。
904、区块链网络中的一个控制平面节点共识计算完成后将交易数据发送到区块链网络的数据平面节点中进行存储,则IoT行业客户实体注册为区块链网络的节点。
例如,IoT行业客户实体注册为区块链网络的控制平面节点,或者注册为区块链网络的数据平面节点,或者注册为区块链网络的控制平面节点和数据平面节点。
图10是本公开实施例提供的一种身份管理方法的流程图,本公开实施例以该第一控制平面节点包含在第三方服务器中为例,对第三方服务器注册为区块链网络的节点的过程进行说明的过程进行说明。参见图10,该方法包括:
1001、第三方服务器根据私钥对身份标识和公钥进行签名,得到交易数据。其中,该第三方服务器用于提供第三方功能,例如视频通话功能、社交功能等。第三方服务器的身份标识、公钥和私钥可以由第三方服务器按照预设规则生成,或者由运营商管理设备按照预设规则进行分配。
1002、第三方服务器在区块链网络中广播交易数据。
在一种可能实现方式中,第三方服务器得到交易数据后,将交易数据封装成身份注册消息,在区块链网络中广播身份注册消息。
例如,第三方服务器创建配置信息{身份标识ID S,公钥
Figure PCTCN2019079784-appb-000034
私钥
Figure PCTCN2019079784-appb-000035
},根据
Figure PCTCN2019079784-appb-000036
对ID S
Figure PCTCN2019079784-appb-000037
进行签名,得到的交易数据为sig
Figure PCTCN2019079784-appb-000038
{ID S
Figure PCTCN2019079784-appb-000039
},并将该交易数据封装成register注册消息,在区块链网络中进行广播。
1003、区块链网络中已注册的每个控制平面节点根据公钥对交易数据进行验证,验证通过后根据预设规则对交易数据进行共识计算。
在一种可能实现方式中,如果第三方服务器在区块链网络中广播身份注册消息,则区块链网络中已注册的控制平面节点接收该身份注册消息后,解封装得到交易数据。
1004、区块链网络中的一个控制平面节点共识计算完成后将交易数据发送到区块链网络的数据平面节点中进行存储,则第三方服务器注册为区块链网络的节点。
例如,第三方服务器注册为区块链网络的控制平面节点,或者注册为区块链网络的数据平面节点,或者注册为区块链网络的控制平面节点和数据平面节点。
IoT行业客户实体和第三方服务器的身份注册过程可以如图11所示,参见图11,每个节点可以通过控制平面节点的共识计算和验证,并写入到数据平面节点中。
图12是本公开实施例提供的一种身份管理方法的流程图,本公开实施例对用户设备注册身份标识的过程进行说明。参见图12,该方法包括:
1201、第一控制平面节点为用户设备生成第一身份标识及第一公钥和第一私钥。
其中,第一身份标识用于唯一确定该用户设备,可以表示该用户设备的身份,可以为该用户设备的设备编号、用户账号等。不同用户设备的身份标识不同,每个用户设备的身份标识可以由第一控制平面节点按照预设规则生成。
第一控制平面节点为用户设备创建相互对应的第一公钥和第一私钥,用第一公钥加密的数据只能用第一私钥解密,用第一私钥加密的数据只能用第一公钥解密,因此可以将第一公钥开放给区块链网络中的节点,在用户设备与区块链网络中的节点进行交互的过程中,由用户设备根据第一私钥进行加密,由区块链网络中的节点根据第一公钥进行解密。
1202、第一控制平面节点根据第二私钥对第一身份标识和第一公钥进行签名,得到第一交易数据。
1203、第一控制平面节点在区块链网络中广播第一交易数据。
在一种可能实现方式中,第一控制平面节点得到第一交易数据后,将第一交易数据封装成第一身份注册消息,在区块链网络中广播该第一身份注册消息。
例如,第一控制平面节点为用户设备创建配置信息{身份标识ID T,公钥
Figure PCTCN2019079784-appb-000040
私钥
Figure PCTCN2019079784-appb-000041
},根据
Figure PCTCN2019079784-appb-000042
对ID T
Figure PCTCN2019079784-appb-000043
进行签名,得到的第一交易数据为sig
Figure PCTCN2019079784-appb-000044
{ID T
Figure PCTCN2019079784-appb-000045
},并将该第一交易数据封装成register注册消息,在区块链网络中进行广播。
1204、区块链网络中已注册的第二控制平面节点接收第一交易数据,根据第一控制平面节点的第二公钥对第一交易数据进行验证,并在验证通过后对第一交易数据进行共识计算。
在一种可能实现方式中,如果第一控制平面节点在区块链网络中广播第一身份注册消息,则第二控制平面节点接收到第一身份注册消息,解封装后得到第一交易数据。
该第二控制平面节点获取到第一交易数据后,根据第二公钥对第一交易数据进行验证,验证第一交易数据是否为合法数据,当验证通过后根据预设规则对第一交易数据进行共识计算,共识计算完成后将第一交易数据发送给至少一个控制平面节点中的另一个控制平面节点,直至最后一个控制平面节点共识计算完成后将第一交易数据写入到区块链网络中的数据平面节点中。
其中,第二控制平面节点可以为区块链网络中除第一控制平面节点以外的任一控制平面节点,如可以包含在运营商管理设备中或第三方服务器中。
并且,第二控制平面节点也可以采用与第一控制平面节点类似的方式注册成为区块链网络的节点,注册过程可以包括:第二控制平面节点根据本端的私钥对身份标识和公钥进行签名,得到第二控制平面节点的交易数据,在区块链网络中广播该交易数据,则区块链网络中已注册的每个控制平面节点根据该第二控制平面节点的公钥对该交易数据进行验证,验证通过后对该交易数据进行共识计算,共识计算完成后将第二交易数据发送到区块链网络中的数据平面节点进行存储,则第二控制平面节点注册为区块链网络的节点。
1205、区块链网络中的一个控制平面节点共识计算完成后将第一交易数据发送到区块链网络中的数据平面节点中进行存储。
在一种可能实现方式中,该共识计算过程包括:
第一种、一个控制平面节点当确定第一交易数据中的身份标识为新的身份标识时,根据本端节点的私钥对第一交易数据进行签名,将第一交易数据签名后得到的签名数据发送给下一个控制平面节点,由下一个控制平面节点继续进行签名,直至预设数量的控制平面节点进行签名后共识计算完成,或者,直至预设比例的控制平面节点进行签名后共识计算完成,则将第一交易数据和第一交易数据签名后得到的签名数据发送到区块链网络的每个数据平面节点中进行存储。
第二种、一个控制平面节点当确定第一交易数据中的身份标识为新的身份标识时,根据预设规则中的共识算法对第一交易数据进行计算,得到计算结果,根据本端节点的私钥对第一交易数据进行签名,将第一交易数据签名后得到的签名数据发送给下一个控制平面节点,由下一个控制平面节点继续进行共识计算及签名,直至预设数量的控制平面节点得到预设规则中的正确计算结果并进行签名后共识计算完成,或者,直至预设比例的控制平面节点得到预设规则中的正确计算结果并进行签名后共识计算完成,则将第二交易数据和第二交易数据 签名后得到的签名数据发送到区块链网络的每个数据平面节点中进行存储。
另外,发送该第二交易数据和第二交易数据签名后得到的签名数据的控制平面节点可以为进行共识计算的最后一个控制平面节点,或者也可以为该第一控制平面节点,即进行共识计算的最后一个控制平面节点将第二交易数据签名后得到的签名数据发送给第一控制平面节点,由第一控制平面节点将第二交易数据以及签名数据发送到数据平面节点中进行存储。或者也可以为第二控制平面节点,图12仅是以发送该第二交易数据和第二交易数据签名后得到的签名数据的控制平面节点为第二控制平面节点为例。
1206、第一控制平面节点向用户设备下发第一身份标识和第一私钥,由用户设备存储第一身份标识和第一私钥。
第一控制平面节点将用户设备的身份标识注册到区块链网络后,还可以向用户设备下发第一身份标识和第一私钥,后续用户设备可以存储第一身份标识和第一私钥,并在与区块链网络进行交互的过程中通过第一身份标识来表明用户设备的身份,根据第一私钥对交互的数据进行加密,以保证数据的安全性。
其中,下发第一身份标识和第一私钥时,可以由第一控制平面节点在线发送给用户设备,或者也可以离线下发给用户设备,例如将第一身份标识和第一私钥存储于客户识别模块(Subscriber Identity Module,简称SIM)卡中,用户设备配置SIM卡后即可获取到第一身份标识和第一私钥。
另外,上述实施例仅是以第一控制平面节点注册用户设备的身份标识为例进行说明,而除上述注册过程之外,第一控制平面节点还可以对用户设备的身份标识进行更新、撤销等操作,相应地,第一控制平面节点生成另一交易数据,并将该交易数据注册到区块链网络中。例如,更新身份标识时,第一控制平面节点可以根据新的身份标识生成一条交易数据,注册到区块链网络中,则区块链网络中既会存储第一交易数据,还会存储之后生成的交易数据,以表示身份标识已经进行了更新。或者,第一控制平面节点在生成第一交易数据时,用户设备的身份标识的状态为注册状态,后续验证通过写入到数据平面节点时,可以将用户设备的身份标识的状态更改为认证状态,后续第一控制平面节点要撤销用户设备的身份标识时,第一控制平面节点可以生成一条交易数据,这条交易数据中用户设备的身份标识的状态更改为撤销状态,并将新的交易数据注册到区块链网络中,则区块链网络中既会存储第一交易数据,还会存储之后生成的交易数据,以表示身份标识已经撤销。
相关技术中,用户设备的身份由移动网络运营商集中发放并基于dHSS进行分布式地管理,导致移动网络运营商维护连接的成本较高,因此不适用于海量设备的IoT场景。而且,用户设备的身份由移动网络运营商独有,对产业链的上下游行业不开放,导致一个用户设备针对不同的运营商需要注册多个独立的身份标识,带来了额外的管理成本。另外,区块链网络中的控制平面节点与数据平面节点不解耦,会导致区块链网络中的每个节点既需要对交易数据进行控制平面的共识计算,也需要进行数据平面的存储操作,导致每个节点的操作效率很低。
本公开实施例提供的方法,通过第一控制平面节点为用户设备生成第一身份标识及第一公钥和第一私钥,根据第二私钥对第一身份标识和第一公钥进行签名,得到用户设备的第一交易数据,并向区块链网络广播第一交易数据,实现了由第一控制平面节点进行身份标识的注册,降低了管理设备的维护成本,能适用于IoT场景,并且所发放的身份标识不会受到管理设备的限制,可以对多个运营商的管理设备开放,无需一个用户设备对不同的运营商注册 多个身份标识,避免浪费不必要的管理成本,节省了身份标识资源。进一步地,将控制平面节点与数据平面节点分离,可以避免每个节点既要进行控制平面的共识计算又要进行数据平面的存储操作,提高了节点的操作效率。
在一种可能实现方式中,该第一控制平面节点可以包含在IoT行业客户实体中,也即是通过IoT行业客户实体可以为用户设备发放、注册并管理身份标识。图13是本公开实施例提供的一种身份管理方法的流程图,图14是本公开实施例提供的一种身份注册方法的示例性操作流程图,本公开实施例对IoT行业客户实体为用户设备注册身份标识的过程进行说明。参见图13,该方法包括:
1301、IoT行业客户实体为用户设备生成第一身份标识及相互对应的第一公钥和第一私钥。
1302、IoT行业客户实体根据第二私钥对第一身份标识和第一公钥进行签名,得到用户设备的第一交易数据。
1303、IoT行业客户实体在区块链网络中广播第一交易数据。
在一种可能实现方式中,IoT行业客户实体得到第一交易数据后,将第一交易数据封装成第一身份注册消息,在区块链网络中广播第一身份注册消息。
1304、第二控制平面节点接收第一交易数据,根据IoT行业客户实体的第二公钥对第一交易数据进行验证,验证通过后根据预设规则对第一交易数据进行共识计算。
在一种可能实现方式中,如果IoT行业客户实体在区块链网络中广播第一身份注册消息,则第二控制平面节点接收该第一身份注册消息后,解封装得到第一交易数据。
1305、区块链网络中的一个控制平面节点共识计算完成后将第一交易数据发送到区块链网络中的数据平面节点中进行存储。
1306、IoT行业客户实体向用户设备下发第一身份标识和第一私钥,由用户设备存储第一身份标识和第一私钥。
图15是本公开实施例提供的一种认证方法的流程图,本公开实施例的执行主体为用户设备、基站、认证单元和区块链网络中的控制平面节点,本公开实施例对用户设备进行认证的过程进行说明。参见图15,该方法包括:
1501、用户设备向基站发送第一身份标识信息。
1502、基站向认证单元转发该第一身份标识信息。
本公开实施例中,引入认证单元来作为网络的认证节点单元,与区块链网络直接进行交互以实现对用户设备身份的认证。该认证单元在实现形式上可以是独立的硬件网元,也可以是软件功能模块等,且该认证单元的部署位置非常灵活,可以根据需求部署在接入网或者核心网。
为使用户设备能够接入移动网络运营商的网络,将用户设备的第一身份标识注册到区块链网络中,在区块链网络中进行共识计算完成后,即可存储第一交易数据。后续用户设备要接入移动网络运营商的网络时,向移动网络运营商的基站发起第一身份标识信息,此时基站无需进行认证,将第一身份标识信息转发给认证单元即可。
在另一实施例中,用户设备还可以通过其他的网元向认证单元发送第一身份标识信息,而不限定于基站。
1503、认证单元接收该第一身份标识信息,根据第一身份标识信息,查询第一身份标识对应的第一交易数据,对第一交易数据进行验证,验证通过后产生第一密钥,根据第一公钥 对第一密钥进行加密,得到第一加密密文。
1504、认证单元向用户设备发送第一加密密文以及认证单元的身份管理交易数据。
本公开实施例中,区块链网络中的一个控制平面节点可以为认证单元配置第三身份标识、第三公钥和第三私钥,其中,第三身份标识用于唯一确定该认证单元,可以表示该认证单元的身份,可以为该认证单元的设备编号、网络地址等。不同认证单元的身份标识不同,每个认证单元的身份标识可以按照预设规则进行分配。而用第三公钥加密的数据只能用第三私钥解密,用第三私钥加密的数据只能用第三公钥解密,因此后续可以将第三公钥开放给区块链网络中的节点,由区块链网络中的节点根据第三公钥对认证单元根据第三私钥进行签名后得到的数据进行验证。
配置第三身份标识、第三公钥和第三私钥后,管理设备根据本端的私钥对第三身份标识和第三公钥进行签名,得到认证单元的身份管理交易数据,并向区块链网络注册身份管理交易数据,注册过程与注册第一交易数据的过程类似,在此不再赘述。且管理设备会向认证单元下发该身份管理交易数据,由认证单元存储该身份管理交易数据。该下发过程可以在线进行,也可以离线进行。
认证单元接收到用户设备发送的第一身份标识信息时,根据第一身份标识信息确定第一身份标识。其中该第一身份标识信息可以为第一身份标识本身,也可以为用来标识第一身份标识的标识,根据该标识信息可以确定第一身份标识。之后,可以先从本地存储的交易数据中查询第一身份标识对应的第一交易数据,如果成功查询到,则继续进行后续步骤,或者如果本地存储的交易数据中不包括第一身份标识对应的第一交易数据,则认证单元向区块链网络查询第一身份标识对应的第一交易数据,从而获取到第一身份标识对应的第一交易数据。例如认证单元可以向区块链网络中的控制平面节点进行查询,控制平面节点将第一身份标识对应的第一交易数据发送给认证单元,或者查询不到第一交易数据时,向认证单元发送查询失败消息。
认证单元获取到第一交易数据后,根据运营商管理设备的公钥对第一交易数据进行验证,如果验证通过,表示该第一交易数据已经通过运营商管理设备的验证,已获得运营商管理设备的签名,则认证单元确定验证通过。验证通过后产生第一密钥,后续该第一密钥可以用于在用户设备的空口通信过程中进行保护,例如第一密钥用于对基站与用户设备之间的空口通信过程进行数据完整性保护。之后,根据第一公钥对第一密钥进行加密,得到第一加密密文,向用户设备发送第一加密密文和身份管理交易数据。其中,第一公钥可以由运营商管理设备下发给认证单元。
在另一实施例中,如果认证单元对第一交易数据验证未通过时,确定认证失败。
1505、用户设备接收到第一加密密文以及身份管理交易数据时,根据第一私钥对第一加密密文进行解密,得到第一密钥,并对身份管理交易数据进行验证,验证通过时产生第二密钥,根据第三公钥对第一密钥和第二密钥进行加密,得到第二加密密文。
用户设备根据第一私钥对第一加密密文进行解密,并根据运营商管理设备的公钥对身份管理交易数据进行验证,如果解密得到第一密钥,表示认证单元已经获得了正确的第一公钥,认证单元已经过管理设备的认证,如果身份管理交易数据验证通过,表示认证单元的身份也已经获得了运营商管理设备的认证。此时,用户设备产生第二密钥,后续该第二密钥可以用于在用户设备的空口通信过程中进行保护,例如可以用于对基站与用户设备之间的空口通信过程中对数据进行加密保护,并根据第三公钥对第一密钥和第二密钥进行加密,得到第二加 密密文,第二加密密文用于对用户设备的认证。
在另一实施例中,如果对身份管理交易数据进行验证时,验证未通过,则认证失败,用户设备重新选择新的网络进行接入。
1506、用户设备向认证单元发送第二加密密文。
1507、认证单元接收第二加密密文,根据第三私钥对第二加密密文进行解密,得到第一密钥和第二密钥,则完成对用户设备的认证。
认证单元根据第三私钥对第二加密密文进行解密成功后,得到第一密钥和第二密钥,此时确定用户设备提供的第一密钥与认证单元产生的第一密钥相同,则确定用户设备通过认证。
1508、认证单元根据第一公钥对第二密钥进行加密,得到第三加密密文,向用户设备发送第三加密密文。
1509、用户设备接收第三加密密文,根据第一私钥对第三加密密文进行解密,得到第二密钥,则完成对认证单元的认证。
第三加密密文用于认证单元的认证,用户设备根据第一私钥对第三加密密文进行解密成功后,得到第二密钥,此时确定认证单元提供的第二密钥与用户设备产生的第二密钥相同,则确定认证单元通过认证,此时用户设备与认证单元的双向认证过程完成。
相关技术中,用户设备接入网络时,需要与核心网进行交互,完成一系列的认证、鉴权操作,带来了严重的控制信令负载,尤其是海量的IoT设备接入到网络时控制信令负载会更为严重,而且利用基站与用户设备进行双向认证时,还需要基站支持新的认证机制,导致对基站的改进难度较大。而本公开实施例提供的方法,通过部署认证单元,由认证单元与用户设备实现双向认证,无需用户设备与核心网进行过多的交互,避免了给核心网带来严重的控制信令负载,提升了网络性能,而且无需对基站进行改进,实施难度较小。
图16是本公开实施例提供的一种控制平面节点的结构示意图,参见图16,该控制平面节点应用于上述实施例示出的通信网络中,该控制平面节点包括:
生成模块1601,用于为用户设备生成第一身份标识及第一公钥和第一私钥;第一签名模块1602,用于根据控制平面节点的第二私钥对第一身份标识和第一公钥进行签名,得到第一交易数据;第一广播模块1603,用于在区块链网络中广播第一交易数据,第一交易数据用于区块链网络中的共识计算。
在第一种可能实现方式中,控制平面节点还包括:发送模块,用于将第一交易数据以及共识计算产生的签名数据发送到至少一个数据平面节点中进行存储。
在第二种可能实现方式中,控制平面节点还包括:第二签名模块,用于根据第二私钥对控制平面节点的第二身份标识和第二公钥进行签名,得到第二交易数据;第二广播模块,用于在区块链网络中广播第二交易数据,第二交易数据用于控制平面节点注册为区块链网络的节点。
在第三种可能实现方式中,控制平面节点包含在物联网IoT行业客户实体中。
图17是本公开实施例提供的一种控制平面节点的结构示意图,参见图17,该控制平面节点应用于上述实施例示出的通信网络中,该控制平面节点包括处理器1701,处理器1701与存储器耦合,存储器存储有至少一条指令,处理器1701用于调用指令,执行上述实施例中第一控制平面节点所执行的操作。
在一种可能实现方式中,该控制平面节点包括处理器、存储器和发射器,发射器用于执行广播第一交易数据或第二交易数据的步骤。
图18是本公开实施例提供的一种控制平面节点的结构示意图,参见图18,该控制平面节点应用于上述实施例示出的通信网络中,该控制平面节点包括:
接收模块1801,用于接收第一交易数据,第一交易数据根据除该控制平面节点之外的第一控制平面节点的第二私钥对用户设备的第一身份标识和第一公钥进行签名得到;共识计算模块1802,用于根据第一控制平面节点的第二公钥对第一交易数据进行验证,并在验证通过后,对第一交易数据进行共识计算。
在第一种可能实现方式中,共识计算模块1802,还用于当确定第一交易数据中的第一身份标识为新的身份标识时,根据控制平面节点的私钥对第一交易数据进行签名,将第一交易数据签名后得到的签名数据发送给至少一个控制平面节点中的另一个控制平面节点或者至少一个数据平面节点。
在第二种可能实现方式中,控制平面节点还包括:发送模块,用于将第一交易数据以及共识计算产生的签名数据发送到至少一个数据平面节点中进行存储。
在第三种可能实现方式中,控制平面节点还包括:签名模块,用于为认证单元配置第三身份标识及第三公钥和第三私钥,根据控制平面节点的私钥对第三身份标识和第三公钥进行签名,得到认证单元的身份管理交易数据;发送模块,用于向认证单元发送身份管理交易数据;其中,该控制平面节点包含在通信网络的运营商管理设备中。
在第四种可能实现方式中,控制平面节点包含在通信网络的运营商管理设备中或第三方服务器中。
图19是本公开实施例提供的一种控制平面节点的结构示意图,参见图19,该控制平面节点应用于上述实施例示出的通信网络中,该控制平面节点包括处理器1901,处理器1901与存储器耦合,存储器存储有至少一条指令,处理器1901用于调用指令,执行上述实施例中第二控制平面节点所执行的操作。
在一种可能实现方式中,该控制平面节点包括处理器、存储器、接收器,接收器用于执行接收第一交易数据的步骤,发射器用于执行发送交易数据及签名数据、认证单元的身份管理交易数据的步骤。
图20是本公开实施例提供的一种认证单元的结构示意图,参见图20,该认证单元应用于上述实施例示出的通信网络中,该认证单元包括:
接收模块2001,用于接收用户设备发送的第一身份标识信息;查询模块2002,用于根据第一身份标识信息,查询第一身份标识对应的第一交易数据;加密模块2003,用于对第一交易数据进行验证,验证通过后产生第一密钥,根据用户设备的第一公钥对第一密钥进行加密,得到第一加密密文;发送模块2004,用于向用户设备发送第一加密密文以及认证单元的身份管理交易数据;接收模块2001,还用于接收用户设备发送的第二加密密文,第二加密密文中包含第一密钥和第二密钥,用于对用户设备的认证;解密模块2005,用于根据认证单元的第三私钥对第二加密密文进行解密,得到第一密钥和第二密钥;加密模块2003,还用于根据第一公钥对第二密钥进行加密,得到第三加密密文,向用户设备发送第三加密密文,第三加密密文用于认证单元的认证。
图21是本公开实施例提供的一种认证单元的结构示意图,参见图21,该认证单元应用于上述实施例示出的通信网络中,该认证单元包括处理器2101,处理器2101与存储器耦合,存储器存储有至少一条指令,处理器2101用于调用指令,执行上述实施例中认证单元所执行的操作。
在一种可能实现方式中,该认证单元包括处理器、存储器、接收器,接收器用于执行接收步骤,发射器用于执行发送步骤。
图22是本公开实施例提供的一种通信装置的结构示意图,参见图22,该通信装置包括:
发送模块2201,用于向认证单元发送第一身份标识信息;接收模块2202,用于接收认证单元发送的第一加密密文以及认证单元的身份管理交易数据;解密模块2203,用于根据第一私钥对第一加密密文进行解密,得到第一密钥,并对身份管理交易数据进行验证,若验证通过则产生第二密钥;加密模块2204,用于根据认证单元的第三公钥对第一密钥和第二密钥进行加密,得到第二加密密文,并向认证单元发送第二加密密文;接收模块2202,还用于接收认证单元发送的第三加密密文;解密模块2203,还用于根据第一私钥对第三加密密文进行解密,得到第二密钥。
该通信装置可以是用户设备,也可以是用于实现上述功能的芯片系统、软硬件功能模块等。
图23是本公开实施例提供的一种通信装置的结构示意图,参见图23,该通信装置应用于上述实施例示出的通信网络中,该通信装置包括处理器2301,处理器2301与存储器耦合,存储器存储有至少一条指令,处理器2301用于调用指令,执行上述实施例中用户设备所执行的操作。
在一种可能实现方式中,该通信装置包括处理器、存储器、接收器,接收器用于执行接收步骤,发射器用于执行发送步骤。
本公开实施例还提供了一种计算机可读存储介质,计算机可读存储介质中存储有至少一条指令,当计算机可读存储介质在计算机上运行时,使得计算机执行如上述实施例中的控制平面节点所执行的操作;或者,使得计算机执行如上述实施例中的认证单元所执行的操作;或者,使得计算机执行如上述实施例中的用户设备所执行的操作。
本公开实施例还提供了一种计算机程序产品,计算机程序产品包括至少一条指令,当计算机程序产品在计算机上运行时,使得计算机执行如上述实施例中的控制平面节点所执行的操作;或者,使得计算机执行如上述实施例中的认证单元所执行的操作;或者,使得计算机执行如上述实施例中的用户设备所执行的操作。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本公开的可选实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (25)

  1. 一种身份管理方法,其特征在于,应用于通信网络,所述通信网络包括用户设备和区块链网络,所述区块链网络包括至少一个控制平面节点和至少一个数据平面节点,所述方法包括:
    所述至少一个控制平面节点中的第一控制平面节点,为所述用户设备生成第一身份标识及第一公钥和第一私钥;
    所述第一控制平面节点根据所述第一控制平面节点的第二私钥对所述第一身份标识和所述第一公钥进行签名,得到第一交易数据;
    所述第一控制平面节点在所述区块链网络中广播所述第一交易数据,所述第一交易数据用于所述区块链网络中的共识计算。
  2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
    所述至少一个控制平面节点中的第二控制平面节点接收所述第一交易数据;
    所述第二控制平面节点根据所述第一控制平面节点的第二公钥对所述第一交易数据进行验证,并在所述验证通过后,对所述第一交易数据进行共识计算。
  3. 根据权利要求2所述的方法,其特征在于,所述方法还包括:
    当所述第二控制平面节点确定所述第一交易数据中的所述第一身份标识为新的身份标识时,根据所述第二控制平面节点的私钥对所述第一交易数据进行签名,将所述第一交易数据签名后得到的签名数据发送给所述至少一个控制平面节点中的另一个控制平面节点或者所述至少一个数据平面节点。
  4. 根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
    所述至少一个控制平面节点中的一个控制平面节点将所述第一交易数据以及所述共识计算产生的签名数据发送到所述至少一个数据平面节点中进行存储。
  5. 根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
    所述第一控制平面节点根据所述第二私钥对所述第一控制平面节点的第二身份标识和第二公钥进行签名,得到第二交易数据;
    所述第一控制平面节点在所述区块链网络中广播所述第二交易数据,所述第二交易数据用于所述第一控制平面节点注册为所述区块链网络的节点。
  6. 根据权利要求1-5任一项所述的方法,其特征在于,所述通信网络还包括认证单元,所述方法还包括:
    所述认证单元接收所述用户设备发送的第一身份标识信息;
    所述认证单元根据所述第一身份标识信息,查询所述第一身份标识对应的所述第一交易数据;
    所述认证单元对所述第一交易数据进行验证,验证通过后产生第一密钥,根据所述第一公钥对所述第一密钥进行加密,得到第一加密密文;
    所述认证单元向所述用户设备发送所述第一加密密文以及所述认证单元的身份管理交易数据;
    所述认证单元接收所述用户设备发送的第二加密密文,所述第二加密密文中包含所述第一密钥和第二密钥,用于对所述用户设备的认证;
    所述认证单元根据所述认证单元的第三私钥对所述第二加密密文进行解密,得到所述第一密钥和所述第二密钥;
    所述认证单元根据所述第一公钥对所述第二密钥进行加密,得到第三加密密文,向所述用户设备发送所述第三加密密文,所述第三加密密文用于所述认证单元的认证。
  7. 根据权利要求6所述的方法,其特征在于,所述方法还包括:
    所述用户设备向所述认证单元发送第一身份标识信息;
    所述用户设备接收所述认证单元发送的第一加密密文以及所述认证单元的身份管理交易数据;
    所述用户设备根据所述第一私钥对所述第一加密密文进行解密,得到所述第一密钥,并对所述身份管理交易数据进行验证,若验证通过则产生第二密钥;
    所述用户设备根据所述认证单元的第三公钥对所述第一密钥和所述第二密钥进行加密,得到所述第二加密密文,并向所述认证单元发送所述第二加密密文;
    所述用户设备接收所述认证单元发送的第三加密密文,根据所述第一私钥对所述第三加密密文进行解密,得到所述第二密钥。
  8. 根据权利要求6或7所述的方法,其特征在于,所述方法还包括:
    所述至少一个控制平面节点中的一个控制平面节点为所述认证单元配置第三身份标识及所述第三公钥和所述第三私钥,根据所述一个控制平面节点的私钥对所述第三身份标识和所述第三公钥进行签名,得到所述认证单元的身份管理交易数据,并向所述认证单元发送所述身份管理交易数据;
    所述一个控制平面节点包含在所述通信网络的运营商管理设备中。
  9. 根据权利要求1-8任一项所述的方法,其特征在于,所述第一控制平面节点包含在物联网IoT行业客户实体中,所述第二控制平面节点包含在所述通信网络的运营商管理设备中或第三方服务器中。
  10. 一种控制平面节点,其特征在于,应用于通信网络,所述通信网络包括用户设备和区块链网络,所述区块链网络包括所述控制平面节点和至少一个数据平面节点,所述控制平面节点包括处理器,所述处理器与存储器耦合,所述存储器存储有至少一条指令,所述处理器用于调用所述指令,执行以下操作:
    为所述用户设备生成第一身份标识及第一公钥和第一私钥;
    根据所述控制平面节点的第二私钥对所述第一身份标识和所述第一公钥进行签名,得到第一交易数据;
    在所述区块链网络中广播所述第一交易数据,所述第一交易数据用于所述区块链网络中的共识计算。
  11. 根据权利要求10所述的控制平面节点,其特征在于,所述处理器用于调用所述指令,执行以下操作:
    将所述第一交易数据以及所述共识计算产生的签名数据发送到所述至少一个数据平面节点中进行存储。
  12. 根据权利要求10-11任一项所述的控制平面节点,其特征在于,所述处理器还用于调用所述指令,执行以下操作:
    根据所述第二私钥对所述控制平面节点的第二身份标识和所述第二公钥进行签名,得到 第二交易数据;
    在所述区块链网络中广播所述第二交易数据,所述第二交易数据用于所述控制平面节点注册为所述区块链网络的节点。
  13. 根据权利要求10-12任一项所述的控制平面节点,其特征在于,所述控制平面节点包含在物联网IoT行业客户实体中。
  14. 一种控制平面节点,其特征在于,应用于通信网络,所述通信网络包括用户设备和区块链网络,所述区块链网络包括所述控制平面节点和至少一个其他控制平面节点和至少一个数据平面节点,所述控制平面节点包括处理器,所述处理器与存储器耦合,所述存储器存储有至少一条指令,所述处理器用于调用所述指令,执行以下操作:
    接收第一交易数据,所述第一交易数据根据除所述控制平面节点之外的第一控制平面节点的第二私钥对所述用户设备的第一身份标识和第一公钥进行签名得到;
    根据所述第一控制平面节点的第二公钥对所述第一交易数据进行验证,并在所述验证通过后,对所述第一交易数据进行共识计算。
  15. 根据权利要求14所述的控制平面节点,其特征在于,所述处理器用于调用所述指令,执行以下操作:
    当确定所述第一交易数据中的所述第一身份标识为新的身份标识时,根据所述控制平面节点的私钥对所述第一交易数据进行签名,将所述第一交易数据签名后得到的签名数据发送给所述至少一个控制平面节点中的另一个控制平面节点或者所述至少一个数据平面节点。
  16. 根据权利要求14-15任一项所述的控制平面节点,其特征在于,所述处理器用于调用所述指令,执行以下操作:
    将所述第一交易数据以及所述共识计算产生的签名数据发送到所述至少一个数据平面节点中进行存储。
  17. 根据权利要求14-16任一项所述的控制平面节点,其特征在于,所述处理器用于调用所述指令,执行以下操作:
    为认证单元配置第三身份标识及第三公钥和第三私钥,根据所述控制平面节点的私钥对所述第三身份标识和所述第三公钥进行签名,得到所述认证单元的身份管理交易数据,并向所述认证单元发送所述身份管理交易数据;
    所述控制平面节点包含在所述通信网络的运营商管理设备中。
  18. 根据权利要求14-17任一项所述的控制平面节点,其特征在于,所述控制平面节点包含在所述通信网络的运营商管理设备中或第三方服务器中。
  19. 一种认证单元,其特征在于,应用于通信网络,所述通信网络包括用户设备、区块链网络和所述认证单元,所述区块链网络包括至少一个控制平面节点和至少一个数据平面节点,所述认证单元包括处理器,所述处理器与存储器耦合,所述存储器存储有至少一条指令,所述处理器用于调用所述指令,执行以下操作:
    接收所述用户设备发送的第一身份标识信息;
    根据所述第一身份标识信息,查询第一身份标识对应的第一交易数据;
    对所述第一交易数据进行验证,验证通过后产生第一密钥,根据所述用户设备的第一公钥对所述第一密钥进行加密,得到第一加密密文;
    向所述用户设备发送所述第一加密密文以及所述认证单元的身份管理交易数据;
    接收所述用户设备发送的第二加密密文,所述第二加密密文中包含所述第一密钥和第二密钥,用于对所述用户设备的认证;
    根据所述认证单元的第三私钥对所述第二加密密文进行解密,得到所述第一密钥和所述第二密钥;
    根据所述第一公钥对所述第二密钥进行加密,得到第三加密密文,向所述用户设备发送所述第三加密密文,所述第三加密密文用于所述认证单元的认证。
  20. 一种通信装置,其特征在于,应用于通信网络,所述通信网络包括所述通信装置、区块链网络和认证单元,所述区块链网络包括至少一个控制平面节点和至少一个数据平面节点,所述通信装置包括处理器,所述处理器与存储器耦合,所述存储器存储有至少一条指令,所述处理器用于调用所述指令,执行以下操作:
    向所述认证单元发送第一身份标识信息;
    接收所述认证单元发送的第一加密密文以及所述认证单元的身份管理交易数据;
    根据第一私钥对所述第一加密密文进行解密,得到第一密钥,并对所述身份管理交易数据进行验证,若验证通过则产生第二密钥;
    根据所述认证单元的第三公钥对所述第一密钥和所述第二密钥进行加密,得到所述第二加密密文,并向所述认证单元发送所述第二加密密文;
    接收所述认证单元发送的第三加密密文,根据所述第一私钥对所述第三加密密文进行解密,得到所述第二密钥。
  21. 一种通信网络,其特征在于,所述通信网络包括:
    如权利要求19所述的认证单元;
    如权利要求20所述的通信装置;
    区块链网络,所述区块链网络包括:如权利要求10-13任一项所述的控制平面节点、如权利要求14-18任一项所述的控制平面节点以及至少一个数据平面节点。
  22. 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,当所述计算机可读存储介质在计算机上运行时,使得所述计算机执行如权利要求10-13任一项所述的控制平面节点所执行的操作。
  23. 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,当所述计算机可读存储介质在计算机上运行时,使得所述计算机执行如权利要求14-18任一项所述的控制平面节点所执行的操作。
  24. 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,当所述计算机可读存储介质在计算机上运行时,使得所述计算机执行如权利要求19所述的认证单元所执行的操作。
  25. 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,当所述计算机可读存储介质在计算机上运行时,使得所述计算机执行如权利要求20所述的通信装置所执行的操作。
PCT/CN2019/079784 2018-03-27 2019-03-27 身份管理方法、设备、通信网络及存储介质 WO2019184924A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP19777798.0A EP3742696B1 (en) 2018-03-27 2019-03-27 Identity management method, equipment, communication network, and storage medium
US17/009,145 US11784788B2 (en) 2018-03-27 2020-09-01 Identity management method, device, communications network, and storage medium

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201810259814.5A CN110311883B (zh) 2018-03-27 2018-03-27 身份管理方法、设备、通信网络及存储介质
CN201810259814.5 2018-03-27

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US17/009,145 Continuation US11784788B2 (en) 2018-03-27 2020-09-01 Identity management method, device, communications network, and storage medium

Publications (1)

Publication Number Publication Date
WO2019184924A1 true WO2019184924A1 (zh) 2019-10-03

Family

ID=68062555

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2019/079784 WO2019184924A1 (zh) 2018-03-27 2019-03-27 身份管理方法、设备、通信网络及存储介质

Country Status (4)

Country Link
US (1) US11784788B2 (zh)
EP (1) EP3742696B1 (zh)
CN (1) CN110311883B (zh)
WO (1) WO2019184924A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111031100A (zh) * 2019-11-21 2020-04-17 上海交通大学 一种扩展的区块链存储方法、系统及介质
CN111163467A (zh) * 2019-12-30 2020-05-15 全链通有限公司 5g用户终端接入5g网络的方法、用户终端设备及介质
CN111414428A (zh) * 2020-04-24 2020-07-14 远光软件股份有限公司 基于区块链的数据合并抵消方法
CN111431931A (zh) * 2020-04-12 2020-07-17 中信银行股份有限公司 节点共识方法及装置
CN113572616A (zh) * 2021-06-25 2021-10-29 华能招标有限公司 基于分布式的招投标平台认证方法、装置及相关设备
CN114172923A (zh) * 2021-12-08 2022-03-11 中国联合网络通信集团有限公司 数据传输方法、通信系统及通信装置
CN117010650A (zh) * 2023-08-11 2023-11-07 山东金洲科瑞节能科技有限公司 一种基于物联网的设备运行自动化监测系统及方法

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190361869A1 (en) * 2018-05-24 2019-11-28 Imagerights International, Inc. Systems, devices, and methods for tracking creation and modification of digital records
CN111222169B (zh) * 2019-10-10 2023-04-18 深圳创链数据科技有限公司 一种基于区块链技术的智能设备认证系统及方法
CN110955909B (zh) * 2019-10-12 2022-08-05 四川九洲电器集团有限责任公司 个人数据保护方法及区块链节点
CN110933672B (zh) * 2019-11-29 2021-11-30 华为技术有限公司 一种密钥协商方法及电子设备
CN111125763B (zh) * 2019-12-24 2022-09-20 百度在线网络技术(北京)有限公司 隐私数据的处理方法、装置、设备和介质
CN111148213B (zh) * 2019-12-30 2023-02-03 全链通有限公司 5g用户终端的注册方法、用户终端设备及介质
CN113065951A (zh) * 2020-01-02 2021-07-02 苏州同济区块链研究院有限公司 基于区块链的交易方法、系统、装置、设备及介质
WO2022000482A1 (en) * 2020-07-03 2022-01-06 Alipay (Hangzhou) Information Technology Co., Ltd. System and method for providing privacy and security protection in blockchain-based private transactions
CN111934919B (zh) * 2020-07-28 2022-02-08 厦门潭宏信息科技有限公司 一种网络融合及其组网方法、设备及存储介质
CN112016923A (zh) * 2020-08-28 2020-12-01 北京大学深圳研究生院 基于区块链的网内跨域身份管理方法、系统以及算力网络
CN112560098A (zh) * 2020-12-22 2021-03-26 广州技象科技有限公司 一种电力物联网的业务数据管理方法及装置
CN113162915B (zh) * 2021-03-16 2023-01-20 中国工商银行股份有限公司 基于区块链的交易方法、节点、电子设备、介质和系统
CN112948784A (zh) * 2021-03-23 2021-06-11 中国信息通信研究院 物联网终端身份认证方法、计算机存储介质及电子设备
CN114024780B (zh) * 2022-01-06 2022-03-18 北京交研智慧科技有限公司 一种基于物联网设备的节点信息处理方法及装置
CN114760062B (zh) * 2022-03-14 2023-10-20 湖南天河国云科技有限公司 基于区块链的无人机集群协同作战数据隐私保护方法
CN115150071A (zh) * 2022-06-20 2022-10-04 中国联合网络通信集团有限公司 身份认证方法、装置、设备及存储介质
CN114900321B (zh) * 2022-07-14 2022-10-14 云上人和物联科技有限公司 一种自主实名电子身份凭证生成系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170345019A1 (en) * 2016-05-27 2017-11-30 Chronicled, Inc. Open registry for internet of things
CN107547514A (zh) * 2017-07-17 2018-01-05 招商银行股份有限公司 身份认证方法、系统及计算机可读存储介质
CN107579817A (zh) * 2017-09-12 2018-01-12 广州广电运通金融电子股份有限公司 基于区块链的用户身份验证方法、装置及系统
EP3292484A1 (en) * 2015-05-05 2018-03-14 Shocard, Inc. Identity management service using a block chain
WO2018049656A1 (zh) * 2016-09-18 2018-03-22 深圳前海达闼云端智能科技有限公司 基于区块链的身份认证方法、装置、节点及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050138429A1 (en) * 2002-06-06 2005-06-23 Fujitsu Limited Data communication intermediation program and apparatus for promoting authentication processing in cooperation with purchaser portable terminal having personal identification information and communication function
GB2536044A (en) * 2015-03-05 2016-09-07 Bell Identification Bv Method and apparatus for authenticating and processing secure transactions using a mobile device
US9667600B2 (en) 2015-04-06 2017-05-30 At&T Intellectual Property I, L.P. Decentralized and distributed secure home subscriber server device
KR101661933B1 (ko) * 2015-12-16 2016-10-05 주식회사 코인플러그 블록체인을 기반으로 하는 공인인증서 인증시스템 및 이를 이용한 인증방법
CN105701372B (zh) * 2015-12-18 2019-04-09 布比(北京)网络技术有限公司 一种区块链身份构建及验证方法
US11551207B2 (en) * 2016-08-30 2023-01-10 Paypal, Inc. Expedited virtual currency transaction system
CN107317672A (zh) * 2017-05-10 2017-11-03 广东网金控股股份有限公司 一种轻量终端机区块链系统
US11836720B2 (en) * 2018-03-12 2023-12-05 The Pen Infinitely scalable cryptocurrency system with fast, secure verification

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3292484A1 (en) * 2015-05-05 2018-03-14 Shocard, Inc. Identity management service using a block chain
US20170345019A1 (en) * 2016-05-27 2017-11-30 Chronicled, Inc. Open registry for internet of things
WO2018049656A1 (zh) * 2016-09-18 2018-03-22 深圳前海达闼云端智能科技有限公司 基于区块链的身份认证方法、装置、节点及系统
CN107547514A (zh) * 2017-07-17 2018-01-05 招商银行股份有限公司 身份认证方法、系统及计算机可读存储介质
CN107579817A (zh) * 2017-09-12 2018-01-12 广州广电运通金融电子股份有限公司 基于区块链的用户身份验证方法、装置及系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111031100A (zh) * 2019-11-21 2020-04-17 上海交通大学 一种扩展的区块链存储方法、系统及介质
CN111163467A (zh) * 2019-12-30 2020-05-15 全链通有限公司 5g用户终端接入5g网络的方法、用户终端设备及介质
CN111431931A (zh) * 2020-04-12 2020-07-17 中信银行股份有限公司 节点共识方法及装置
CN111414428A (zh) * 2020-04-24 2020-07-14 远光软件股份有限公司 基于区块链的数据合并抵消方法
CN113572616A (zh) * 2021-06-25 2021-10-29 华能招标有限公司 基于分布式的招投标平台认证方法、装置及相关设备
CN114172923A (zh) * 2021-12-08 2022-03-11 中国联合网络通信集团有限公司 数据传输方法、通信系统及通信装置
CN114172923B (zh) * 2021-12-08 2023-07-07 中国联合网络通信集团有限公司 数据传输方法、通信系统及通信装置
CN117010650A (zh) * 2023-08-11 2023-11-07 山东金洲科瑞节能科技有限公司 一种基于物联网的设备运行自动化监测系统及方法
CN117010650B (zh) * 2023-08-11 2024-01-12 山东金洲科瑞节能科技有限公司 一种基于物联网的设备运行自动化监测系统及方法

Also Published As

Publication number Publication date
CN110311883A (zh) 2019-10-08
EP3742696B1 (en) 2023-03-01
EP3742696A4 (en) 2021-02-17
EP3742696A1 (en) 2020-11-25
US20200396060A1 (en) 2020-12-17
CN110311883B (zh) 2020-11-10
US11784788B2 (en) 2023-10-10

Similar Documents

Publication Publication Date Title
WO2019184924A1 (zh) 身份管理方法、设备、通信网络及存储介质
CN107852405B (zh) 用于服务层的内容安全性的装置
CN109314705B (zh) 使用组加密密钥的用于大规模可伸缩动态多点虚拟私有网络的系统、装置和方法
KR101985179B1 (ko) 블록체인 기반의 ID as a Service
WO2019041809A1 (zh) 基于服务化架构的注册方法及装置
CN107733654B (zh) 一种基于组合密钥的智能设备固件更新和正式用户证书分发方法
CN108259413B (zh) 一种获取证书、鉴权的方法及网络设备
US20180262352A1 (en) Secure Authentication of Remote Equipment
US11038699B2 (en) Method and apparatus for performing multi-party secure computing based-on issuing certificate
WO2014114080A1 (zh) 数据加密保护方法及系统
WO2022100356A1 (zh) 身份认证系统、方法、装置、设备及计算机可读存储介质
US11838409B2 (en) Method and apparatus for transferring data in a publish-subscribe system
CN112787806A (zh) 一种基于ibe的工业互联网终端通用安全服务系统
KR102266654B1 (ko) Mqtt-sn 프로토콜의 보안을 위한 mqtt-sn 보안 관리 방법 및 시스템
Xu et al. A certificateless encryption scheme based on blockchain
US20230299973A1 (en) Service registration method and device
US20200366474A1 (en) Private key generation method and device
Asami et al. Moderator-controlled information sharing by identity-based aggregate signatures for information centric networking
WO2022206247A1 (zh) 一种证书查询方法及装置
CN112468983B (zh) 一种低功耗的电力物联网智能设备接入认证方法及其辅助装置
Sultan et al. A secure access and accountability framework for provisioning services in named data networks
US11570008B2 (en) Pseudonym credential configuration method and apparatus
CN114978698A (zh) 网络接入方法、目标终端、凭证管理网元及验证网元
KR101165350B1 (ko) 유비쿼터스 컴퓨팅 네트워크 환경에서 커뮤니티 컴퓨팅을 위한 디바이스 멤버 인증방법
US11792023B2 (en) Communication apparatus, communication system, and communication method

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19777798

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2019777798

Country of ref document: EP

Effective date: 20200820

NENP Non-entry into the national phase

Ref country code: DE