接入控制方法、装置、网络侧设备、终端及区块链节点制造方法及图纸

本发明专利技术提供了一种接入控制方法、装置、网络侧设备、终端及区块链节点，其中，接入控制方法包括：接收终端发送的对应于访问请求的待验证相关信息；所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；根据所述位置信息，从区块链中获取所述预设信息；根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；根据所述属性信息，向所述终端反馈针对接入控制的请求响应。本方案能够支撑实现采用区块链进行接入控制的方案，而以区块链的方式向客户提供属性验证服务，可以避免类似传统认证服务器遭受DDoS攻击导致的单点失败的问题。单点失败的问题。单点失败的问题。

【技术实现步骤摘要】
接入控制方法、装置、网络侧设备、终端及区块链节点


[0001]本专利技术涉及通信
，尤其涉及一种接入控制方法、装置、网络侧设备、终端及区块链节点。

技术介绍

[0002]访问控制指系统对用户身份及其所属的策略组限制其使用数据资源能力的手段。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
[0003]访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。例如，系统管理员控制用户对服务器、目录、文件等网络资源的访问。为了达到上述目的，访问控制需要完成两个任务：识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。
[0004]访问控制功能可以在客体实现，也可以部署集中的设备实施访问控制。对于前者，对客体设备要求较高，如果访问量比较大，将严重影响客体性能。集中部署的访问控制功能是目前常用的技术手段，访问主体向集中的访问控制系统发起请求，在经过认证和授权之后，访问主体向客体发起访问。
[0005]也可以理解为，传统技术中，访问控制系统是中心化设备；但是，其被暴露在网络中，容易遭受DDoS(Distributed Denial of Service，分布式拒绝服务)等网络攻击。一旦控制器受到网络攻击停止服务，有可能导致整个系统无法正常运行。
[0006]也就是，现有技术中存在传统认证服务器遭受DDoS攻击导致的单点失败问题。

技术实现思路

[0007]本专利技术的目的在于提供一种接入控制方法、装置、网络侧设备、终端及区块链节点，以解决现有技术中存在传统认证服务器遭受DDoS攻击导致单点失败的问题。
[0008]为了解决上述技术问题，本专利技术实施例提供一种接入控制方法，应用于第一网络侧设备，包括：
[0009]接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；
[0010]根据所述位置信息，从区块链中获取所述预设信息；
[0011]根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；
[0012]在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；
[0013]根据所述属性信息，向所述终端反馈针对接入控制的请求响应；
[0014]其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一用户标识信息，或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥
信息，或者所述第二用户标识信息以及所述终端的公钥的散列值。
[0015]可选的，所述接收终端发送的对应于访问请求的待验证相关信息，包括：
[0016]接收所述终端发送的访问请求，所述访问请求中携带有待验证相关信息；或者，
[0017]接收所述终端发送的访问请求；
[0018]根据所述访问请求，向所述终端反馈随机数；
[0019]接收所述终端根据所述随机数发送的待验证相关信息。
[0020]可选的，在所述预设信息包括所述终端的公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：
[0021]利用所述公钥信息对所述私钥签名信息进行验证；
[0022]所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：
[0023]在验证通过的情况下，根据所述公钥信息，从区块链账本中获取对应的第三用户标识信息；
[0024]在获取到所述第三用户标识信息的情况下，从区块链账本中获取所述第三用户标识信息对应的属性信息作为所述终端的属性信息。
[0025]可选的，在所述预设信息包括所述第一用户标识信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：
[0026]根据所述第一用户标识信息，得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息；
[0027]根据所述终端的公钥信息，对所述待验证的公钥信息以及所述私钥签名信息进行验证；
[0028]所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：
[0029]在验证通过的情况下，根据所述第一用户标识信息，从区块链账本中获取所述终端的属性信息。
[0030]可选的，在所述预设信息包括所述第二用户标识信息以及公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：
[0031]利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二用户标识信息，从区块链账本中获取已存储的所述终端的公钥信息；根据获取的所述终端的公钥信息，对所述预设信息中的公钥信息进行验证；或者，
[0032]利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二用户标识信息，从区块链账本中获取已存储的所述终端的公钥的散列值；根据所述预设信息中的公钥信息，得到待验证的散列值；根据获取的所述终端的公钥的散列值，对所述待验证的散列值进行验证。
[0033]可选的，在所述预设信息包括所述第二用户标识信息以及公钥的散列值的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：
[0034]根据所述第二用户标识信息，从区块链账本中获取已存储的所述终端的公钥信息；
[0035]根据所述预设信息中的公钥的散列值，得到待验证的公钥信息；
[0036]根据所述待验证的公钥信息，对所述私钥签名信息进行验证；并根据获取的所述终端的公钥信息，对所述待验证的公钥信息进行验证。
[0037]可选的，所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：
[0038]在验证通过的情况下，根据所述第二用户标识信息，从区块链账本中获取所述终端的属性信息。
[0039]可选的，所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息，或者，采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息。
[0040]可选的，在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳；
[0041]所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：
[0042]确认所述时间戳是否处于有效期内；
[0043]在所述时间戳处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息，对所述终端进行验证。
[0044]可选的，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项；
[0045]所述根据所述私钥签名信息以及所述预设信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种接入控制方法，应用于第一网络侧设备，其特征在于，包括：接收终端发送的对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；根据所述位置信息，从区块链中获取所述预设信息；根据所述私钥签名信息以及所述预设信息，对所述终端进行验证；在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息；根据所述属性信息，向所述终端反馈针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一用户标识信息，或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息，或者所述第二用户标识信息以及所述终端的公钥的散列值。2.根据权利要求1所述的接入控制方法，其特征在于，所述接收终端发送的对应于访问请求的待验证相关信息，包括：接收所述终端发送的访问请求，所述访问请求中携带有待验证相关信息；或者，接收所述终端发送的访问请求；根据所述访问请求，向所述终端反馈随机数；接收所述终端根据所述随机数发送的待验证相关信息。3.根据权利要求1所述的接入控制方法，其特征在于，在所述预设信息包括所述终端的公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：利用所述公钥信息对所述私钥签名信息进行验证；所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：在验证通过的情况下，根据所述公钥信息，从区块链账本中获取对应的第三用户标识信息；在获取到所述第三用户标识信息的情况下，从区块链账本中获取所述第三用户标识信息对应的属性信息作为所述终端的属性信息。4.根据权利要求1所述的接入控制方法，其特征在于，在所述预设信息包括所述第一用户标识信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：根据所述第一用户标识信息，得到待验证的公钥信息以及从区块链账本中获取已存储的所述终端的公钥信息；根据所述终端的公钥信息，对所述待验证的公钥信息以及所述私钥签名信息进行验证；所述在验证通过的情况下，根据所述预设信息，从区块链账本中获取所述终端的属性信息，包括：在验证通过的情况下，根据所述第一用户标识信息，从区块链账本中获取所述终端的属性信息。5.根据权利要求1所述的接入控制方法，其特征在于，在所述预设信息包括所述第二用户标识信息以及公钥信息的情况下，所述根据所述私钥签名信息以及所述预设信息，对所
述终端进行验证，包括：利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二用户标识信息，从区块链账本中获取已存储的所述终端的公钥信息；根据获取的所述终端的公钥信息，对所述预设信息中的公钥信息进行验证；或者，利用所述预设信息中的公钥信息对所述私钥签名信息进行验证；并根据所述第二用户标识信息，从区块链账本中获取已存储的所述终端的公钥的散列值；根据所述预设信息中的公钥信息，得到待验证的散列值；根据获取的所述终端的公钥的散列值，对所述待验证的散列值进行验证。6.根据权利要求1所述的接入控制方法，其特征在于，在所述预设信息包括所述第二用户标识信息以及公钥的散列值的情况下，所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：根据所述第二用户标识信息，从区块链账本中获取已存储的所述终端的公钥信息；根据所述预设信息中的公钥的散列值，得到待验证的公钥信息；根据所述待验证的公钥信息，对所述私钥签名信息进行验证；并根据获取的所述终端的公钥信息，对所述待验证的公钥信息进行验证。7.根据权利要求1或2所述的接入控制方法，其特征在于，所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息，或者，采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息；在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳；所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：确认所述时间戳是否处于有效期内；在所述时间戳处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息，对所述终端进行验证。8.根据权利要求1所述的接入控制方法，其特征在于，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项；所述根据所述私钥签名信息以及所述预设信息，对所述终端进行验证，包括：根据所述有效期信息，确认所述第一信息是否处于有效期内；在所述第一信息处于有效期内的情况下，根据所述私钥签名信息以及所述预设信息中除所述有效期信息外的其他信息，对所述终端进行验证。9.根据权利要求1所述的接入控制方法，其特征在于，与所述终端相关的至少一个认证信息在所述区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；在根据所述属性信息，向所述终端反馈针对接入控制的请求响应之前，还包括：使用所述第一网络侧设备的私钥对所述公钥加密的所述第一密钥进行解密，得到所述第一密钥；根据所述第一密钥，针对从所述区块链账本中获取的所述加密信息进行解密，得到所述至少一个认证信息；
其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。10.根据权利要求9所述的接入控制方法，其特征在于，所述至少一个认证信息还包括：所述终端对应的时间戳；和/或，第二信息的有效期信息；其中，所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳；所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。11.一种接入控制方法，应用于终端，其特征在于，包括：向第一网络侧设备发送对应于访问请求的待验证相关信息；其中，所述待验证相关信息包括所述终端的私钥签名信息以及预设信息在区块链中的位置信息；接收所述第一网络侧设备反馈的针对接入控制的请求响应；其中，所述预设信息包括所述终端的公钥信息，或者根据所述终端的公钥得到的第一用户标识信息，或者与所述终端的公钥无关的第二用户标识信息以及所述终端的公钥信息，或者所述第二用户标识信息以及所述终端的公钥的散列值。12.根据权利要求11所述的接入控制方法，其特征在于，所述向第一网络侧设备发送对应于访问请求的待验证相关信息，包括：向第一网络侧设备发送访问请求，所述访问请求中携带有待验证相关信息；或者，向第一网络侧设备发送访问请求；接收所述第一网络侧设备根据所述访问请求反馈的随机数；根据所述随机数，向所述第一网络侧设备发送待验证相关信息。13.根据权利要求11或12所述的接入控制方法，其特征在于，所述私钥签名信息包括采用所述终端的私钥对时间戳的第一签名信息，或者，采用所述终端的私钥对所述第一网络侧设备响应于访问请求发送的随机数的第二签名信息；在所述私钥签名信息包括第一签名信息的情况下，所述待验证相关信息还包括所述时间戳。14.根据权利要求11所述的接入控制方法，其特征在于，所述预设信息还包括第一信息的有效期信息；所述第一信息包括所述终端的属性信息、所述第一用户标识信息以及所述第二用户标识信息中的至少一项。15.根据权利要求11所述的接入控制方法，其特征在于，与所述终端相关的至少一个认证信息在区块链账本中存储为采用第一密钥加密的加密信息；所述待验证相关信息还包括使用所述第一网络侧设备的公钥加密的所述第一密钥；其中，所述至少一个认证信息包括：所述终端的属性信息、根据所述终端的公钥得到的第一用户标识信息或与所述终端的公钥无关的第二用户标识信息或与所述终端的公钥对应的第三用户标识信息，以及，所述终端的公钥信息或者所述终端的公钥的散列值中的至少一个。16.根据权利要求15所述的接入控制方法，其特征在于，所述至少一个认证信息还包
括：所述终端对应的时间戳；和/或，第二信息的有效期信息；其中，所述时间戳为采用所述终端的私钥进行签名以得到第一签名信息的时间戳；所述第二信息包括所述属性信息、第一用户标识信息、第二用户标识信息以及第三用户标识信息中的至少一项。17.根据权利要求11所述的接入控制方法，其特征在于，在向第一网络侧设备发送对应于访问请求的待验证相...

【专利技术属性】
技术研发人员：阎军智，杨波，粟栗，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：