一种实现跨管理域身份和权限信息共享的方法技术

本发明专利技术公开了一种实现跨管理域身份和权限信息共享的方法，各权威机构共同组建管理信息共享区块链系统，每个权威机构构建一个区块链节点，参与组建区块链系统并备份区块链账本；每个权威机构的管理系统与自己拥有的区块链节点对接，控制区块链节点对区块链进行操作；在个体跨域访问过程中，权威机构管理系统与区块链节点之间、权威机构管理系统之间进行相互协商。本发明专利技术规避传统点对点跨域管理信息分享的缺点，实现身份权限管理信息和行为记录的可信分布式存储、更新，为各个权威机构管理系统提供个体身份权限和行为记录的统一查询渠道，并对权威机构管理系统之间的结算形成支撑。

A method for sharing information and identity in cross domain management domain

This invention discloses a method to realize the sharing of identity and authority information across the management domain. The authority organizations jointly organize the management information sharing block chain system, each authority constructs a block chain node, participates in the formation of block chain system and backups the block chain books; each authority's management system has its own ownership. The block chain node is butted and the block chain nodes are controlled to operate the block chain. In the process of individual cross domain access, the authority management system and the block chain node and the authority management system are negotiated with each other. The invention avoids the shortcomings of the traditional point to point cross domain management information sharing, realizes the trusted distributed storage and update of the identity authority management information and behavior records, provides a unified query channel for the individual authority management system to provide individual identity rights and behavior records, and forms a support for the settlement of the authority management system. Support.

【技术实现步骤摘要】
一种实现跨管理域身份和权限信息共享的方法
本专利技术涉及一种实现跨管理域身份和权限信息共享的方法。
技术介绍
近几年来，大规模部署的商用移动通信系统已经从2/3G进化到了4G；根据业界共识，2020年5G会开始进行商用部署。与4G相比，5G将4G的控制面和用户面进一步分离，同时在终端、接入网、核心网中引入了网络切片的概念，在切片中使用NFV和SDN等多种技术，允许运营商、租户能够完全贴合业务功能、性能需求的构建专属网络切片。网络切片的引入，使得同一租户可以租用同一运营商的不同子切片，也可租用不同运营商的子切片，这也是国际标准化组织提出的5G预设商业模式之一；因此在5G时代，某一运营商的SIM卡，将可以访问其他运营商所管辖的网络切片中的资源，且会更加频繁。由此产生的管理信息跨域共享挑战并不是新问题，传统解决方法是依靠点对点协商完成。例如，在2/3/4G时代，终端SIM卡在跨管理域实现资源访问的场景下，语音/短信业务一般走运营商之间的协议专线实现互通，数据业务是走数据专线或者采用互联网协议进行中转，运营商之间的信任建立一般是依靠单独、离散的合约以及边界设备层面的对接，记账一般是双方各自在边界处记账，各自维护一本账本。就单个SIM卡而言，身份、权限的信息在运营商之间存在多份，记账记录也存在多份，不仅开销是多份的，也容易造成身份权限信息的失步问题、记账信息的可信度问题；同时由于采用的点对点方式，一方如果出现信息丢失，那么记账账本完全由另一方提供，容易产生纠纷；如果通过双机热备等方式提升鲁棒性，那么会进一步造成了软硬件成本的飙升。在5G时代沿用传统的跨域信息共享解决方法并不可取，这是由于：首先，5G引入了网络切片技术，同时终端数量呈几何倍数增长，且分属于不同的运营商管理；实体运营商、虚拟运营商、租户、网络切片数量的增多，加上海量的SIM卡，同时考虑到理论上一张SIM卡存在访问其他运营商所管辖切片资源的可能，均使得一对一的交互协商成本呈几何数量放大，如继续延用4G时代的点对点跨域管理信息共享的方式，会带来极大的管理、维护、结算成本提升。其次，由于4G时代点对点协商结果只存在于交互的运营商双方，这种由利益相关方分别采用两个账本的记录方法，在双方有利益冲突或意见分歧时，容易造成各执一词，因此账本的可信问题也更容易在实体/虚拟运营商之间、租户与运营商之间引起纠纷，不利于跨域资费记账。再次，从安全性角度出发，5G时代也需要新的跨域信息共享解决方案。这是由于主导5G标准化的3GPP对安全非常重视。3GPPTR33.899规范要求隶属于一个管理域的终端与切片、切片内部网元之间均要在通信前进行相互认证和授权；由此引申，在SIM卡跨域资源访问的场景下，被访问资源所属的5G实体运营商或虚拟运营商，有权向提出访问请求的SIM卡所属的运营商，提出身份证明及访问权限挑战，根据其回答以决定是否允许其跨域访问，然后再开始后续的访问和计费。因此，迫切需要一种新的跨管理域实现身份和权限共享的方法，以满足5G移动通信技术发展中的安全管理需要。
技术实现思路
为了克服现有技术的上述缺点，本专利技术提供了一种实现跨管理域身份和权限信息共享的方法，旨在规避传统点对点跨域管理信息分享的缺点，实现身份权限管理信息和行为记录的可信分布式存储、更新，为各个权威机构管理系统提供个体身份权限和行为记录的统一查询渠道，并对权威机构管理系统之间的结算形成支撑。本专利技术解决其技术问题所采用的技术方案是：一种实现跨管理域身份和权限信息共享的方法，各权威机构共同组建管理信息共享区块链系统，每个权威机构构建一个区块链节点，参与组建区块链系统并备份区块链账本；每个权威机构的管理系统与自己拥有的区块链节点对接，控制区块链节点对区块链进行操作；各个权威机构的管理系统通过区块链节点使用区块链相互之间共享管理信息；每个权威机构的区块链节点拥有该权威机构用于区块链操作的私钥，并知晓其他权威机构用于区块链操作的公钥；在个体跨域访问过程中，权威机构管理系统与区块链节点之间、权威机构管理系统之间进行相互协商。与现有技术相比，本专利技术的积极效果是：其一，采用可信平台系统统一了跨域管理信息的数据来源，优化了权威机构之间的互联，变权威机构之间私下的一对一协商方式为权威机构与可信平台之间的统一协商，较之传统点对点跨域管理信息共享方式更好的解决了多权威机构、海量个体场景下的跨域管理、维护、结算成本上升问题。其二，通过引入区块链技术，实现了权威机构之间可共享管理信息和账本的可信分布式存储、更新，较之传统点对点跨域管理信息共享方式，规避了单点失效的情况，提升了信息共享过程的鲁棒性。其三，方法中将身份信息、权限信息上链，一旦达成共识后，不可篡改，足以为后续的跨域访问提供鉴权用的个体身份凭据，满足了跨域访问需要进行身份鉴别的安全性要求。其四，方法中将跨域访问记录上链，一旦达成共识后，不可篡改，足以为后续的计费提供可信记录，避免了各权威机构之间的纠纷。其五，该方法适用范围广，不仅适用于4G/5G移动通信网络中为各个运营商提供SIM卡跨管理域访问资源过程中的可信身份权限证明以及行为记录，还适用于其他有利益区分的权威机构之间共享管理信息的场景,具有较大的实用价值。附图说明本专利技术将通过例子并参照附图的方式说明，其中：图1为系统结构示意图；图2为权威机构间共享信息示意图；图3为创建个体管理信息共享钱包流程图；图4为更新个体的身份、权限信息流程图；图5为更新跨域访问行为记录流程图；图6为查询个体管理信息共享条目流程图；图7为无效化个体管理信息共享流程图；图8为各方交互流程图。具体实施方式针对传统点对点跨域管理信息分享方式不能适应5G移动通信系统管理需求的问题，本专利技术提供了一种实现跨管理域身份和权限信息共享的方法，以便于在5G时代多运营实体并存、海量终端在线的情况下实现管理信息的可信共享。本专利技术的关键在于使用一套机制及流程以应用区块链技术解决管理信息跨域共享的问题，而不在于区块链技术本身。本专利技术适用于在由多个权威机构组成的联盟中，以及同一权威机构内各利益实体之间跨域共享管理信息；这里的“权威机构”指代具有某种利益且具有自主管理、执行能力的运营实体，包括但不限于：移动通信系统运营商、银行、大型企业、物联网服务提供商、行政机构等等；这里的“联盟”是指如上所述的多个权威机构因利益合作、信息沟通等原因，以权威机构为单位，参与组成的联合体；这里的“同一权威机构内各利益实体”是指隶属于同一权威机构，但因地域、行政分级、职能划分等因素，划分出来的分支机构、职能部门；这里的“跨域”在联盟场景下指的是跨越各权威机构的管理域，在同一权威机构场景下指的是跨越各利益实体的管理域。如图1所示，使用区块链技术实现跨管理域身份和权限信息共享的系统中，各权威机构共同组建管理信息共享区块链系统；每个权威机构需构建一个区块链节点，参与组建区块链系统并备份区块链账本；每个权威机构的管理系统与自己拥有的区块链节点对接，通过特定接口控制区块链节点对区块链进行操作；每个权威机构的管理系统通过区块链节点使用区块链相互之间共享管理信息，应遵循本专利技术所述方法规定的内容及流程；该区块链建议不对外公开发布，链上内容仅联盟内成员权威机构可访问；每个权威机构的区块链节点拥有该权威机构本文档来自技高网...

【技术保护点】
一种实现跨管理域身份和权限信息共享的方法，其特征在于：各权威机构共同组建管理信息共享区块链系统，每个权威机构构建一个区块链节点，参与组建区块链系统并备份区块链账本；每个权威机构的管理系统与自己拥有的区块链节点对接，控制区块链节点对区块链进行操作；各个权威机构的管理系统通过区块链节点使用区块链相互之间共享管理信息；每个权威机构的区块链节点拥有该权威机构用于区块链操作的私钥，并知晓其他权威机构用于区块链操作的公钥；在个体跨域访问过程中，权威机构管理系统与区块链节点之间、权威机构管理系统之间进行相互协商。

【技术特征摘要】
1.一种实现跨管理域身份和权限信息共享的方法，其特征在于：各权威机构共同组建管理信息共享区块链系统，每个权威机构构建一个区块链节点，参与组建区块链系统并备份区块链账本；每个权威机构的管理系统与自己拥有的区块链节点对接，控制区块链节点对区块链进行操作；各个权威机构的管理系统通过区块链节点使用区块链相互之间共享管理信息；每个权威机构的区块链节点拥有该权威机构用于区块链操作的私钥，并知晓其他权威机构用于区块链操作的公钥；在个体跨域访问过程中，权威机构管理系统与区块链节点之间、权威机构管理系统之间进行相互协商。2.根据权利要求1所述的一种实现跨管理域身份和权限信息共享的方法，其特征在于：权威机构的管理系统控制区块链节点对区块链进行如下操作：(一)创建个体管理信息共享钱包；(二)更新个体管理信息共享条目；(三)查询个体管理信息共享条目；(四)无效化个体管理信息共享；(五)重激活个体管理信息共享。3.根据权利要求2所述的一种实现跨管理域身份和权限信息共享的方法，其特征在于：在个体跨域访问过程中，权威机构管理系统与区块链节点之间、权威机构管理系统之间进行相互协商的流程为：1)个体需要进行跨域访问时，向所属权威机构管理系统提出开通跨域访问申请，由所属权威机构管理系统与其他权威机构的管理系统，以及该权威机构的区块链节点进行交互，为该个体创建个体管理信息共享钱包；2)当某个体随后尝试进行跨域访问其他权威机构资源时，需向其所属的权威机构管理系统提出跨域访问请求，个体所属的权威机构管理系统检查该个体在自身管理系统中是否具有有效的区块链地址信息且是否处于有效状态：如无则拒绝该个体的访问请求；如均有效，则进入下一步；3)该个体所属权威机构管理系统将通过区块链节点查询个体管理信息共享条目，如果查询结果表示该个体无权访问相关资源，则拒绝该个体访问请求；如有权访问，则进入下一步；4)个体所属的权威机构管理系统将个体区块链地址连同跨域资源访问请求发给资源所属的权威机构管理系统；5)资源所属的权威机构管理系统收到跨域访问请求后，根据传来的区块链地址，指示自身接口的区块链节点，查询该个体的共享信息并进行鉴权，如合法，则配置自身资源以准备迎接该个体的跨域访问，并将允许访问的确认，发回给个体所属的权威机构管理系统；6)个体所属的权威机构管理系统收到确认后，与资源所属权威机构管理系统协商建立用户面的业务跨域访问会话，并为该会话配置自身资源，并将确认信息和资源使用指示信息发送给对应个体；7)个体收到所属权威机构管理系统允许访问的确认后，根据资源使用指示信息进行跨域访问；8)个体跨域访问结束后，双方权威机构回收相关资源，访问资源所属的权威机构管理系统通知个体所属的权威机构更新个体跨域访问行为记录并进行确认。4.根据权利要求3所述的一种实现跨管理域身份和权限信息共享的方法，其特征在于：创建个体管理信息共享钱包的流程为：(1)有跨域访问需求的个体向所属权威机构管理系统提出申请；(2)该个体所属权威机构管理系统与资源所属的权威机构管理系统就该个体共享的身份和权限进行协商：若未达成一致，则个体所属权威机构管理系统记录该事件，并向个体及管理员给出告警提示；若达成一致，则进入下一步；(3)该个体所属权威机构管理系统将协商内容通过接口告知该权威机构区块链节点，该权威机构区块链节点在区块链上创建该个体对应的钱包，并使用共享管理信息作为钱包中初始条目的内容，同时在条目中附上该权威机构的数字签名；(4)该权威机构的区块链节点通过区块链广播该操作，链内其他权威机构的区块链节点参与共识投票：若未达成区块链共识，则个体所属权威机构管理系统记录该事件，并向个体及管理员给出告警提示；若达成区块链共识，则钱包及条目自动记入区块链并生效，然后进入下一步；(5)个体所属权威机构区块链节点保存该个体钱包的区块链地址，并与该个体相关联，然后通知对应管理系统共识达成，并告知该地址；(6)个体所属权威机构管理系统保存该地址信息，并将该地址信息与该个体其他信息在管理系统中相关联，最后通知该个体其申请已通过。5.根据权利要求3所述的一种实现跨管理域身份和权限信息共享的方法，其特征在于：更新个体管理信息共享条...

【专利技术属性】
技术研发人员：张力，田永春，王俊，
申请(专利权)人：中国电子科技集团公司第三十研究所，成都卫士通信息产业股份有限公司，
类型：发明
国别省市：四川,51