一种网络接入认证的方法和系统与流程

文档序号：21988593发布日期：2020-08-25 19:27阅读：253来源：国知局

本发明涉及通信技术领域，具体涉及一种网络接入认证的方法和系统。

背景技术：

随着移动网的高速发展，很对新兴行业也在不断的发展和完善，例如车联网行业。车联网是第五代移动通信网络(5thgenerationmobilenetworks，5g)时代来临后的典型应用，它充分利用了5g的低时延、高速率等特点为人们提供了更好的行车服务。但是，在一些特殊区域，例如地下停车场等区域，移动蜂窝网络的信号覆盖较差，导致车联网服务的质量变差。为了让用户获得质量好的车联网服务，这些区域会提供wlan网络或者专有网络以供车联网用户接入。

不过，由于这些区域一般都是公共区域，存在的wlan网络或者专有网络质量良莠不齐，一些wlan网络或者专有网络可能存在安全隐患。因此，车联网用户在这些区域使用网络时的安全性无法得到保障，存在一定经济损失风险，造成用户体验差。

技术实现要素：

为此，本发明提供一种网络接入认证的方法和系统，以解决现有技术中由于一些特殊区域提供的wlan网络或者专有网络可能存在安全隐患而导致的车联网用户在接入网络时安全性低、使用体验差的问题。

为了实现上述目的，本发明第一方面提供一种网络接入认证的方法，该方法包括：

发送接入认证请求至运营商核心网系统；

接收所述运营商核心网系统根据所述接入认证请求生成并发送的系统加密报文；

根据所述系统加密报文生成终端加密报文，并发送至所述运营商核心网系统，以使所述运营商核心网系统根据所述终端加密报文验证第一用户终端的用户属性通过后，向区块链网络发送用户合法广播信息；

从所述区块链网络接收所述用户合法广播信息；

从所述区块链网络接收第二用户终端根据所述用户合法广播信息发送的验证广播信息；

根据所述用户合法广播信息和所述验证广播信息接入所述区块链网络。

优选地，上述根据所述系统加密报文生成终端加密报文的步骤，包括：

根据所述系统加密报文获取初始报文；其中，所述系统加密报文包括第一加密报文、加密授权接入条件和系统私钥签名；

利用终端服务密码加密所述初始报文，生成第二加密报文；其中，所述终端服务密码存储于第一用户终端；

查询区块链账本，以获取所述运营商核心网系统的系统公钥；

利用所述系统公钥加密所述第二加密报文，生成所述终端加密报文。

优选地，上述根据所述系统加密报文获取初始报文的步骤，包括：

验证所述系统私钥签名；

当所述系统私钥签名验证通过后，利用属性密钥解密所述加密授权接入条件，以获取会话密钥；所述属性密钥是根据第一用户终端的用户属性获得的密钥；所述会话密钥是所述运营商核心网系统生成的用于加密所述初始报文的密钥；

根据所述会话密钥解密所述第一加密报文，以获取所述初始报文。

优选地，上述根据所述用户合法广播信息和所述验证广播信息接入所述区块链网络的步骤，包括：

从所述用户合法广播信息中提取当前可接入网络信息；所述当前可接入网络信息包含当前位置信息和当前网络信息；

验证所述验证广播信息的第二用户终端私钥签名；其中，所述验证广播信息包含第二用户终端私钥签名、第二用户终端信息和历史已接入网络信息；所述历史已接入网络信息包括历史位置信息和历史网络信息；

当所述第二用户终端私钥签名验证通过后，提取所述第二用户终端信息和历史已接入网络信息；

根据所述第二用户终端信息判断所述第二用户终端是否为通信录好友；

当判断所述第二用户终端为通信录好友时，对比所述历史已接入网络信息和当前可接入网络信息是否一致；

当所述历史网络信息和当前网络接入信息一致时向所述区块链网络发送接入请求，以接入所述区块链网络。

本发明第二方面提供一种网络接入认证的方法，该方法包括：

接收来自第一用户终端的接入认证请求；

根据所述接入认证请求生成系统加密报文，并发送至所述第一用户终端；

接收所述第一用户终端根据所述系统加密报文生成并返回的终端加密报文；

根据所述终端加密报文验证所述第一用户终端的用户属性；

当所述用户属性验证通过后，向区块链网络发送用户合法广播信息，以使所述第一用户终端根据从区块链网络接收的所述用户合法广播信息和验证广播信息接入所述区块链网络；所述验证广播信息是第二用户终端根据所述用户合法广播信息向所述区块链网络发送的广播信息。

优选地，上述根据所述接入认证请求生成系统加密报文的步骤，包括：

根据所述接入认证请求生成初始报文；

利用会话密钥加密所述初始报文以生成第一加密报文；

利用运营商核心网系统私钥对所述第一加密报文进行私钥签名以生成系统私钥签名；

获取基站的属性描述证书；

根据所述属性描述证书生成授权接入条件；

对所述授权接入条件进行加密生成加密授权接入条件；

根据所述第一加密报文、所述加密授权接入条件和所述系统私钥签名生成所述系统加密报文。

优选地，上述根据所述接入认证请求生成初始报文的步骤之前，还包括：

根据所述接入认证请求判断所述第一用户终端对应的用户是否为运营商核心网系统的用户；

当判断所述第一用户终端对应的用户是运营商核心网系统的用户时，生成所述会话密钥。

优选地，上所述根据所述终端加密报文验证所述第一用户终端的用户属性的步骤，包括：

利用运营商核心网系统的系统私钥解密所述终端加密报文，以获取第二加密报文；

利用运营商服务密码解密所述第二加密报文以获取解密报文；其中，所述运营商服务密码存储于运营商核心网系统；

判断所述解密报文是否为所述初始报文；

当所述解密报文为所述初始报文时，所述第一用户终端的用户属性验证通过。

本发明第三方面提供一种网络接入认证的系统，该系统包括：

第一终端发送模块，用于发送接入认证请求至运营商核心网系统；

第一终端接收模块，用于接收所述运营商核心网系统根据所述接入认证请求生成并发送的系统加密报文；

第一终端生成模块，根据所述系统加密报文生成终端加密报文；

第二终端发送模块，用于发送所述终端加密报文至所述运营商核心网系统，以使所述运营商核心网系统根据所述终端加密报文验证第一用户终端的用户属性通过后，向区块链网络发送用户合法广播信息；

第二终端接收模块，用于从所述区块链网络接收所述用户合法广播信息；

第三终端接收模块，从所述区块链网络接收第二用户终端根据所述用户合法广播信息发送的验证广播信息；

网络接入模块，用于根据所述用户合法广播信息和所述验证广播信息接入所述区块链网络。

本发明第四方面提供一种网络接入认证的系统，该系统包括：

第一系统接收模块，用于接收来自第一用户终端的接入认证请求；

第一系统生成模块，用于根据所述接入认证请求生成系统加密报文；

第一系统发送模块，用于发送所述系统加密报文至所述第一用户终端；

第二系统接收模块，用于接收所述第一用户终端根据所述系统加密报文生成并返回的终端加密报文；

属性验证模块，用于根据所述终端加密报文验证所述第一用户终端的用户属性；

第二系统发送模块，用于当所述用户属性验证通过后，向区块链网络发送用户合法广播信息，以使所述第一用户终端根据从区块链网络接收的所述用户合法广播信息和验证广播信息接入所述区块链网络；所述验证广播信息是第二用户终端根据所述用户合法广播信息向所述区块链网络发送的广播信息。

本发明具有如下优点：

本实施例提供一种网络接入认证的方法，首先发送接入认证请求至运营商核心网系统；其次，接收该运营商核心网系统根据接入认证请求生成并发送的系统加密报文；然后，根据该系统加密报文生成终端加密报文，并发送至运营商核心网系统，以使该运营商核心网系统根据终端加密报文验证第一用户终端的用户属性通过后，向区块链网络发送用户合法广播信息，保障了能够接入该区块链网络的用户均为同一属性，以降低用户接入网络的安全风险；最后，从该区块链网络接收用户合法广播信息并接收第二用户终端根据所述用户合法广播信息发送的验证广播信息后，根据该用户合法广播信息和验证广播信息接入区块链网络，即其他可信任的用户终端共同验证了该区块链网络的可靠性。本方法通过运营商核心网系统和其他用户终端的双重验证避免了用户接入不安全的网络造成损失，提升了用户体验，增加了用户进行网络接入的安全性。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。

图1为本发明实施例提供的一种网络接入认证的方法的流程图；

图2为本发明实施例提供的一种网络接入认证的方法的流程图；

图3为本发明实施例提供的一种网络接入认证的系统的结构示意图；

图4为本发明实施例提供的一种网络接入认证的系统的结构示意图；

图5为本发明实施例提供的一种网络接入认证的方法的流程图。

在附图中：

31：第一终端发送模块32：第一终端接收模块

33：第一终端生成模块34：第二终端发送模块

35：第二终端接收模块36：第三终端接收模块

37：网络接入模块41：第一系统接收模块

42：第一系统生成模块43：第一系统发送模块

44：第二系统接收模块45：属性验证模块

46：第二系统发送模块

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

为了增加车联网用户进行网络接入的安全性，提升车联网用户的用户体验，本实施例提供一种网络接入认证的方法，以使车联网用户安全地接入到由移动通信网络、wlan网络和企业专网等组成的区块链网络中。需要说明的是，本实施例涉及的区块链网络的节点包括：用户终端、企业专网基站、wlan基站、运营商基站和运营商核心网系统等节点。

本实施例提供一种网络接入认证的方法，应用于第一用户终端，如图1所示，该方法包括以下步骤：

s101，发送接入认证请求至运营商核心网系统。

其中，运营商核心网系统是区块链网络的节点之一；接入认证请求是第一用户终端发出的使运营商核心网系统对该第一用户终端的用户属性是否满足区块链网络的接入条件进行认证的请求。

在一个实施方式中，当车联网用户行驶到没有5g网络信号覆盖的区域时，为了获取质量好的车联网服务，第一用户终端会搜索该处是否有wlan信号和企业专网信号。当第一用户终端搜索到该处有wlan信号和企业专网信号时，第一用户终端发送经过第一终端私钥签名后的接入认证请求至运营商核心网系统。其中，接入认证请求包含第一用户终端的终端标识、用户号码、当前位置信息、wlan名称、企业专网名称、企业专网频点和用户终端的用户属性。需要说明的是，该当前位置信息用经纬度表示。

s102，接收运营商核心网系统根据接入认证请求生成并发送的系统加密报文。

其中，系统加密报文包括第一加密报文、加密授权接入条件和系统私钥签名。

s103，根据系统加密报文生成终端加密报文，并发送至运营商核心网系统，以使运营商核心网系统根据终端加密报文验证第一用户终端的用户属性通过后，向区块链网络发送用户合法广播信息。

在一个实施方式中，第一用户终端根据系统加密报文生成终端加密报文的步骤包括：

首先，第一用户终端根据系统加密报文获取初始报文。其中，系统加密报文包括第一加密报文、加密授权接入条件和系统私钥签名；初始报文是运营商核心网系统根据接入认证请求生成的报文，该初始报文在生成后由运营商核心网系统加密成为系统加密报文中第一加密报文。在本实施方式中，第一用户终端根据系统加密报文获取初始报文的具体步骤包括：首先，第一用户终端验证系统加密报文中的系统私钥签名；当该系统私钥签名验证通过后，第一用户终端利用属性密钥解密系统加密报文中的加密授权接入条件，以获取会话密钥。其中，属性密钥是第一用户终端根据第一用户终端的用户属性获得的密钥，该属性密钥保存在第一用户终端中；会话密钥是运营商核心网系统生成的用于加密初始报文的密钥。需要说明的是，只有第一用户终端的用户属性符合运营商核心网系统的授权接入条件，第一用户终端的属性密钥才能解密系统加密报文中的加密授权接入条件，例如，当运营商核心网系统的授权接入条件为“车联网用户”时，只有车联网用户的用户终端对应的属性密钥才能解密该加密授权接入条件，获得会话密钥。最后，第一用户终端根据该会话密钥解密第一加密报文，以获取初始报文。

其次，第一用户终端利用终端服务密码加密初始报文，生成第二加密报文。需要说明的是，该终端服务密码存储于第一用户终端。该终端服务密码与运营商核心网系统的系统服务密码是一对密码。

然后，第一用户终端查询区块链账本，以获取所述运营商核心网系统的系统公钥。

最后，第一用户终端利用该系统公钥加密第二加密报文，生成终端加密报文。

需要说明的是，由上述实施方式中第一用户终端根据系统加密报文生成终端加密报文的步骤可知，只有符合运营商核心网系统的授权接入条件的用户终端才能够根据系统加密报文生成终端加密报文，即只有第一用户终端的用户属性为车联网用户时，第一用户终端才可以根据系统加密报文生成终端加密报文，并发送至区块链网络。因此，本实施例通过步骤s103能够保障接入该区块链网络的用户均为同一属性，降低了用户接入网络的安全风险。

在一个实施方式中，为了防止非法用户终端截获利用合法用户终端生成的终端加密报文以欺骗运营商核心网系统，第一用户终端生成终端加密报文之后，还需要使用第一终端私钥对该终端加密报文进行私钥签名，然后将私钥签名后的终端加密报文发送至运营商核心网系统，以使运营商核心网系统验证私钥签名合法、根据终端加密报文验证第一用户终端的用户属性通过后，向区块链网络发送用户合法广播信息。

s104，从区块链网络接收用户合法广播信息。

其中，用户合法广播信息用于向区块链网络的其他节点证实第一用户终端对应的用户的合法身份，以使第一用户终端可以接入该区块链网络。该用户合法广播信息包含第一用户终端的终端标识、用户号码、用户属性、用户身份确认信息、网络接入授权许可和当前可接入网络信息。该当前可接入网络信息包含当前位置信息和当前网络信息，其中，当前位置信息用经纬度表示。

s105，从区块链网络接收第二用户终端根据用户合法广播信息发送的验证广播信息。

其中，第二用户终端是该区块链网络的节点之一。由第二用户终端发送的验证广播信息包含第二用户终端私钥签名、第二用户终端信息和历史已接入网络信息。该第二用户终端信息包含第二用户终端的终端标识、用户号码和用户属性；历史已接入网络信息包含历史位置信息和历史网络信息。

需要说明的是，在一些实施方式中，第一用户终端还可以接收第三用户终端根据用户合法广播信息发送的验证广播信息。

s106，根据用户合法广播信息和验证广播信息接入区块链网络。

在一个实施方式中国，第一用户终端根据用户合法广播信息和验证广播信息接入区块链网络的步骤包括：

首先，第一用户终端从用户合法广播信息中提取当前可接入网络信息。其中，当前可接入网络信息包含当前位置信息和当前网络信息。该当前位置信息是第一用户终端的位置信息，用经纬度表示。当前网络信息是第一用户终端可接入的网络的信息，包含wlan名称、企业专网名称和企业专网频点等信息。

其次，第一用户终端验证该验证广播信息的第二用户终端私钥签名。需要说明的是，验证广播信息包含第二用户终端私钥签名、第二用户终端信息和历史已接入网络信息。

然后，当第二用户终端私钥签名验证通过后，第一用户终端提取第二用户终端信息和历史已接入网络信息。其中，历史已接入网络信息包括历史位置信息和历史网络信息；该历史位置信息用经纬度表示；该历史网络信息包含第二用户终端在历史位置信息对应的位置接入并使用过的网络信息，例如wlan名称、企业专网名称和企业专网频点等信息。

再然后，第一用户终端根据第二用户终端信息判断第二用户终端是否为通信录好友。其中，第二用户终端信息包含该第二用户终端的终端标识、用户号码和用户属性。在一个实施方式中，第一用户终端通过第二用户终端的用户号码确认第二用户终端是否为自己的通信录好友。第一用户终端判断第二用户终端为通信录好友，则说明第二用户终端为可信任的用户终端。

进一步地，当第一用户终端判断第二用户终端为通信录好友时，对比历史已接入网络信息和当前可接入网络信息是否一致。其中，历史已接入网络信息包含历史位置信息和历史网络信息；当前可接入网络信息包含当前位置信息和当前网络信息。在本实施方式中，第一用户终端对比历史已接入网络信息和当前可接入网络信息是否一致的步骤包括：第一用户终端对比当前位置信息和历史位置信息，如果当前位置信息和历史位置信息在同一预设区域，或者当前位置信息包含的经纬和纬度分别与历史位置信息包含的经度与维度相差不超过预设阈值时，对比当前网络信息和历史网络信息中wlan名称或者企业专网名称、企业专网频点等信息是否相同，相同则确认历史已接入网络信息和当前可接入网络信息一致。

需要说明的是，当第一用户终端判断第二用户终端为通信录好友且历史网络信息和当前网络接入信息一致时，说明第二用户终端也曾经接入并使用过运营商核心网系统当前为第一用户终端提供的网络，即其他可信任的用户终端共同验证了该区块链网络为可信网络。

最后，当历史网络信息和当前网络接入信息一致时，第一用户终端向区块链网络发送接入请求，以接入区块链网络。

本实施例还提供一种网络接入认证的方法，应用于运营商核心网系统，如图2所示，该方法包括以下步骤：

步骤s201，接收来自第一用户终端的接入认证请求。

其中，接入认证请求是第一用户终端发出的使运营商核心网系统对该第一用户终端的用户属性是否满足区块链网络的接入条件进行认证的请求。该接入认证请求包含第一用户终端的终端标识、用户号码、当前位置信息、wlan名称、企业专网名称、企业专网频点和用户终端的用户属性。需要说明的是，该当前位置信息用经纬度表示。

步骤s202，根据接入认证请求生成系统加密报文，并发送至第一用户终端。

在一个实施方式中，运营商核心网系统根据接入认证请求生成系统加密报文的步骤包括：

第一步，运营商核心网系统根据接入认证请求判断第一用户终端对应的用户是否为运营商核心网系统的用户，当判断第一用户终端对应的用户是运营商核心网系统的用户时，生成会话密钥。由于会话密钥是运营商核心网系统在接收第一用户终端的接入认证请求、并判断第一用户终端对应的用户是运营商核心网系统的用户之后生成的，因此，其他非法终端难以根据区块链网络中的历史信息获取该会话密钥，保证了运营商核心网系统与第一用户终端进行会话的通信安全。

第二步，根据接入认证请求生成初始报文并利用会话密钥加密初始报文以生成第一加密报文。

第三步，利用运营商核心网系统私钥对第一加密报文进行私钥签名以生成系统私钥签名。

第四步，获取基站的属性描述证书。其中，基站包含wlan基站和企业专网基站等，用于为区块链网络提供网络接入服务；属性描述证书是存储该区块链网络的接入条件的文件，该接入条件是区块链网络建立时由区块链网络进行定义生成的。

第五步，根据该属性描述证书生成授权接入条件。具体的，运营商核心网系统获取基站的属性描述证书后，从该属性描述证书中获取接入条件，并根据该接入条件生成授权接入条件。该授权接入条件是运营商核心网系统向符合该接入条件的用户终端进行授权的条件。

第六步，对授权接入条件进行加密生成加密授权接入条件。需要说明的是，该加密授权接入条件需要通过第一用户终端的属性密钥进行解密，当属性密钥正确时，运营商核心网系统向第一用户终端授予会话密钥，保证了获得运营商核心网系统授权的用户终端的属性均为同一属性，提升了区块链网络的安全性。在一个实施方式中，属性描述证书中的接入条件为：用户终端的为运营商用户、且用户卡号是车联网用户的卡号，根据该属性描述证书生成授权接入条件并加密生成加密授权接入条件后，只有符合该接入条件的第一用户终端的属性密钥才能解密该加密授权接入条件，获得会话密钥。

第七步，根据第一加密报文、加密授权接入条件和系统私钥签名生成系统加密报文。

步骤s203，接收第一用户终端根据系统加密报文生成并返回的终端加密报文。

步骤s204，根据终端加密报文验证第一用户终端的用户属性。

在一个实施方式中，运营商核心网系统根据终端加密报文验证第一用户终端的用户属性的步骤，包括：

首先，运营商核心网系统利用系统私钥解密终端加密报文，以获取第二加密报文。

其次，运营商核心网系统利用运营商服务密码解密第二加密报文以获取解密报文。其中，运营商服务密码存储于运营商核心网系统。

然后，运营商核心网系统判断解密报文是否为初始报文。其中，初始报文是运营商核心网系统根据接收的第一用户终端的接入认证请求生成的报文。

最后，当解密报文为初始报文时，第一用户终端的用户属性验证通过。需要说明的是，运营商核心网系统在接收第一用户终端的接入认证请求并根据该接入认证请求生成的初始报文后，向第一用户终端返回包含该初始报文的系统加密报文，只有用户属性符合运营商系统要求的第一用户终端才能从系统加密报文中获得初始报文，因此，当解密报文为初始报文时，第一用户终端的用户属性验证通过。

步骤s205，当用户属性验证通过后，向区块链网络发送用户合法广播信息，以使第一用户终端根据从区块链网络接收的用户合法广播信息和验证广播信息接入区块链网络。

其中，第二用户终端是区块链网络的节点之一，验证广播信息是第二用户终端根据用户合法广播信息向区块链网络发送的广播信息，即其他可信任的用户终端共同验证了该区块链网络的可靠性。该用户合法广播信息用于向区块链网络的其他节点证实第一用户终端对应的用户的合法身份，以使第一用户终端可以接入该区块链网络。该用户合法广播信息包含第一用户终端的终端标识、用户号码、用户属性、用户身份确认信息、网络接入授权许可和当前可接入网络信息。

本实施例提供一种网络接入认证的方法，首先接收来自第一用户终端的接入认证请求；其次，根据该接入认证请求生成系统加密报文，并发送至第一用户终端；然后，接收第一用户终端根据该系统加密报文生成并返回的终端加密报文，并根据该终端加密报文验证第一用户终端的用户属性，保障了能够接入该区块链网络的用户均为同一属性，以降低用户接入网络的安全风险；最后，当所述用户属性验证通过后，向区块链网络发送用户合法广播信息，以使所述第一用户终端根据从区块链网络接收的所述用户合法广播信息和验证广播信息接入所述区块链网络，该验证广播信息是第二用户终端根据用户合法广播信息向区块链网络发送的广播信息，即其他可信任的用户终端共同验证了该区块链网络的可靠性。本方法通过运营商核心网系统和其他用户终端的双重验证避免了用户接入不安全的网络造成损失，提升了用户体验，增加了用户进行网络接入的安全性。

本实施例还提供一种网络接入认证的系统，应用于第一用户终端，如图3所示，该系统包括：第一终端发送模块31、第一终端接收模块32、第一终端生成模块33、第二终端发送模块34、第二终端接收模块35、第三终端接收模块36和网络接入模块37。

其中，第一终端发送模块31，用于发送接入认证请求至运营商核心网系统。

在一个实施方式中，当车联网用户行驶到没有5g网络信号覆盖的区域时，为了获取质量好的车联网服务，第一用户终端会搜索该处是否有wlan信号和企业专网信号。当第一用户终端搜索到该处有wlan信号和企业专网信号时，第一用户终端的第一终端发送模块31发送经过第一终端私钥签名后的接入认证请求至运营商核心网系统。其中，接入认证请求包含第一用户终端的终端标识、用户号码、当前位置信息、wlan名称、企业专网名称、企业专网频点和用户终端的用户属性。需要说明的是，该当前位置信息用经纬度表示。

第一终端接收模块32，用于接收运营商核心网系统根据接入认证请求生成并发送的系统加密报文。其中，系统加密报文包括第一加密报文、加密授权接入条件和系统私钥签名。

第一终端生成模块33，用于根据系统加密报文生成终端加密报文。

在一个实施方式中，网络接入认证的系统还包括：第一终端获取模块、第一终端加密模块和第一终端查询模块。第一终端生成模块33根据系统加密报文生成终端加密报文的具体步骤包括：首先，第一终端获取模块根据系统加密报文获取初始报文。其中，系统加密报文包括第一加密报文、加密授权接入条件和系统私钥签名；初始报文是运营商核心网系统根据接入认证请求生成的报文，该初始报文在生成后由运营商核心网系统加密成为系统加密报文中第一加密报文。其次，第一终端加密模块利用终端服务密码加密初始报文，生成第二加密报文。需要说明的是，该终端服务密码存储于第一用户终端。该终端服务密码与运营商核心网系统的系统服务密码是一对密码。然后，第一终端查询模块查询区块链账本，以获取运营商核心网系统的系统公钥。最后，第一终端生成模块33利用该系统公钥加密第二加密报文，生成终端加密报文。

需要说明的是，由上述实施方式可知，只有符合运营商核心网系统的授权接入条件的用户终端才能够根据系统加密报文生成终端加密报文，即只有第一用户终端的用户属性为车联网用户时，第一用户终端才可以根据系统加密报文生成终端加密报文，并发送至区块链网络。因此，本实施例能够保障接入该区块链网络的用户均为同一属性，降低了用户接入网络的安全风险。

第二终端发送模块34，用于发送终端加密报文至运营商核心网系统，以使运营商核心网系统根据终端加密报文验证第一用户终端的用户属性通过后，向区块链网络发送用户合法广播信息。

第二终端接收模块35，用于从区块链网络接收所述用户合法广播信息。其中，用户合法广播信息用于向区块链网络的其他节点证实第一用户终端对应的用户的合法身份，以使第一用户终端可以接入该区块链网络。该用户合法广播信息包含第一用户终端的终端标识、用户号码、用户属性、用户身份确认信息、网络接入授权许可和当前可接入网络信息。该当前可接入网络信息包含当前位置信息和当前网络信息，其中，当前位置信息用经纬度表示。

第三终端接收模块36，从区块链网络接收第二用户终端根据用户合法广播信息发送的验证广播信息。其中，第二用户终端是该区块链网络的节点之一。由第二用户终端发送的验证广播信息包含第二用户终端私钥签名、第二用户终端信息和历史已接入网络信息。该第二用户终端信息包含第二用户终端的终端标识、用户号码和用户属性；历史已接入网络信息包含历史位置信息和历史网络信息。需要说明的是，在一些实施方式中，第三终端接收模块36还可以接收第三用户终端根据用户合法广播信息发送的验证广播信息。

网络接入模块37，用于根据用户合法广播信息和验证广播信息接入区块链网络。

在一个实施方式中，网络接入认证的系统还包括：第一终端提取模块、第一终端验证模块、第二终端提取模块、第一终端判断模块和第一终端对比模块。网络接入模块37根据用户合法广播信息和验证广播信息接入区块链网络的具体步骤包括：

首先，第一终端提取模块从用户合法广播信息中提取当前可接入网络信息。其中，当前可接入网络信息包含当前位置信息和当前网络信息。该当前位置信息是第一用户终端的位置信息，用经纬度表示。当前网络信息是第一用户终端可接入的网络的信息，包含wlan名称、企业专网名称和企业专网频点等信息。

其次，第一终端验证模块验证该验证广播信息的第二用户终端私钥签名。需要说明的是，验证广播信息包含第二用户终端私钥签名、第二用户终端信息和历史已接入网络信息。然后，当第二用户终端私钥签名验证通过后，第二终端提取模块提取第二用户终端信息和历史已接入网络信息。其中，历史已接入网络信息包括历史位置信息和历史网络信息；该历史位置信息用经纬度表示；该历史网络信息包含第二用户终端在历史位置信息对应的位置接入并使用过的网络信息，例如wlan名称、企业专网名称和企业专网频点等信息。

再然后，第一终端判断模块根据第二用户终端信息判断第二用户终端是否为通信录好友。其中，第二用户终端信息包含该第二用户终端的终端标识、用户号码和用户属性。在一个实施方式中，第一用户终端通过第二用户终端的用户号码确认第二用户终端是否为自己的通信录好友。第一用户终端判断第二用户终端为通信录好友，则说明第二用户终端为可信任的用户终端。

进一步地，当第一用户终端的第一终端判断模块判断第二用户终端为通信录好友时，第一终端对比模块对比历史已接入网络信息和当前可接入网络信息是否一致。其中，历史已接入网络信息包含历史位置信息和历史网络信息；当前可接入网络信息包含当前位置信息和当前网络信息。在本实施方式中，第一用户终端对比历史已接入网络信息和当前可接入网络信息是否一致的步骤包括：第一用户终端对比当前位置信息和历史位置信息，如果当前位置信息和历史位置信息在同一预设区域，或者当前位置信息包含的经纬和纬度分别与历史位置信息包含的经度与维度相差不超过预设阈值时，对比当前网络信息和历史网络信息中wlan名称或者企业专网名称、企业专网频点等信息是否相同，相同则确认历史已接入网络信息和当前可接入网络信息一致。需要说明的是，当第一终端判断模块判断第二用户终端为通信录好友且历史网络信息和当前网络接入信息一致时，说明第二用户终端也曾经接入并使用过运营商核心网系统当前为第一用户终端提供的网络，即其他可信任的用户终端共同验证了该区块链网络为可信网络。

最后，当历史网络信息和当前网络接入信息一致时，网络接入模块37向区块链网络发送接入请求，以接入区块链网络。

本实施例提供的应用于第一用户终端的网络接入认证的系统中各模块的工作方式与应用于第一用户终端的网络接入认证的的方法中各步骤对应，因此，应用于第一用户终端的网络接入认证的系统中各模块的详细工作方式可参见本实施例提供的应用于第一用户终端的网络接入认证的方法。

本实施例提供一种网络接入认证的系统，首先第一终端发送模块31发送接入认证请求至运营商核心网系统；其次，第一终端接收模块32接收该运营商核心网系统根据接入认证请求生成并发送的系统加密报文；然后，第一终端生成模块33根据该系统加密报文生成终端加密报文，并由第二终端发送模块34发送至运营商核心网系统，以使该运营商核心网系统根据终端加密报文验证第一用户终端的用户属性通过后，向区块链网络发送用户合法广播信息，保障了能够接入该区块链网络的用户均为同一属性，以降低用户接入网络的安全风险；最后，第二终端接收模块35从该区块链网络接收用户合法广播信息、第三终端接收模块36接收第二用户终端根据所述用户合法广播信息发送的验证广播信息后，网络接入模块37根据该用户合法广播信息和验证广播信息接入区块链网络，即其他可信任的用户终端共同验证了该区块链网络的可靠性。本方法通过运营商核心网系统和其他用户终端的双重验证避免了用户接入不安全的网络造成损失，提升了用户体验，增加了用户进行网络接入的安全性。

本实施例还提供一种网络接入认证的系统，应用于运营商核心网系统，如图4所示，该系统包括：第一系统接收模块41、第一系统生成模块42、第一系统发送模块43、第二系统接收模块44、属性验证模块45和第二系统发送模块46。

其中，第一系统接收模块41，用于接收来自第一用户终端的接入认证请求。其中，接入认证请求是第一用户终端发出的使运营商核心网系统对该第一用户终端的用户属性是否满足区块链网络的接入条件进行认证的请求。该接入认证请求包含第一用户终端的终端标识、用户号码、当前位置信息、wlan名称、企业专网名称、企业专网频点和用户终端的用户属性。需要说明的是，该当前位置信息用经纬度表示。

第一系统生成模块42，用于根据接入认证请求生成系统加密报文。

在一个实施方式中，网络接入认证的系统还包括：第一系统判断模块、第二系统生成模块、第三系统生成模块、系统私钥签名模块、第一系统获取模块、第四系统生成模块和第一系统加密模块。在本实施方式中，第一系统生成模块42根据接入认证请求生成系统加密报文的步骤包括：

第一步，第一系统判断模块根据接入认证请求判断第一用户终端对应的用户是否为运营商核心网系统的用户，当第一系统判断模块判断第一用户终端对应的用户是运营商核心网系统的用户时，第二系统生成模块生成会话密钥。由于会话密钥是运营商核心网系统在接收第一用户终端的接入认证请求、并判断第一用户终端对应的用户是运营商核心网系统的用户之后生成的，因此，其他非法终端难以根据区块链网络中的历史信息获取该会话密钥，保证了运营商核心网系统与第一用户终端进行会话的通信安全。

第二步，第三系统生成模块根据接入认证请求生成初始报文并利用会话密钥加密初始报文以生成第一加密报文。

第三步，系统私钥签名模块利用运营商核心网系统私钥对第一加密报文进行私钥签名以生成系统私钥签名。

第四步，第一系统获取模块获取基站的属性描述证书。其中，基站包含wlan基站和企业专网基站等，用于为区块链网络提供网络接入服务；属性描述证书是存储该区块链网络的接入条件的文件，该接入条件是区块链网络建立时由区块链网络进行定义生成的。

第五步，第四系统生成模块根据该属性描述证书生成授权接入条件。具体的，第一系统获取模块获取基站的属性描述证书后，从该属性描述证书中获取接入条件，第四系统生成模块根据该接入条件生成授权接入条件。该授权接入条件是运营商核心网系统向符合该接入条件的用户终端进行授权的条件。

第六步，第一系统加密模块对授权接入条件进行加密生成加密授权接入条件。需要说明的是，该加密授权接入条件需要通过第一用户终端的属性密钥进行解密，当属性密钥正确时，运营商核心网系统向第一用户终端授予会话密钥，保证了获得运营商核心网系统授权的用户终端的属性均为同一属性，提升了区块链网络的安全性。在一个实施方式中，属性描述证书中的接入条件为：用户终端的为运营商用户、且用户卡号是车联网用户的卡号，根据该属性描述证书生成授权接入条件并加密生成加密授权接入条件后，只有符合该接入条件的第一用户终端的属性密钥才能解密该加密授权接入条件，获得会话密钥。

第七步，第一系统生成模块42根据第一加密报文、加密授权接入条件和系统私钥签名生成系统加密报文。

第一系统发送模块43，用于发送系统加密报文至第一用户终端。

第二系统接收模块44，用于接收第一用户终端根据系统加密报文生成并返回的终端加密报文。

属性验证模块45，用于根据终端加密报文验证第一用户终端的用户属性。

第二系统发送模块46，用于当用户属性验证通过后，向区块链网络发送用户合法广播信息，以使第一用户终端根据从区块链网络接收的用户合法广播信息和验证广播信息接入区块链网络；验证广播信息是第二用户终端根据用户合法广播信息向区块链网络发送的广播信息。

本实施例提供的应用于运营商核心网系统的网络接入认证的系统中各模块的工作方式与应用于运营商核心网系统的网络接入认证的方法中各步骤对应，因此，应用于运营商核心网系统的网络接入认证的系统中各模块的详细工作方式可参见本实施例提供的应用于运营商核心网系统的网络接入认证的方法。

本实施例提供一种网络接入认证的系统，首先第一系统接收模块41接收来自第一用户终端的接入认证请求；其次，第一系统生成模块42根据该接入认证请求生成系统加密报文，并且第一系统发送模块43发送该系统加密报文至第一用户终端；然后，第二系统接收模块44接收第一用户终端根据该系统加密报文生成并返回的终端加密报文后，属性验证模块45根据该终端加密报文验证第一用户终端的用户属性，保障了能够接入该区块链网络的用户均为同一属性，以降低用户接入网络的安全风险；最后，当所述用户属性验证通过后，第二系统发送模块46向区块链网络发送用户合法广播信息，以使所述第一用户终端根据从区块链网络接收的所述用户合法广播信息和验证广播信息接入所述区块链网络，该验证广播信息是第二用户终端根据用户合法广播信息向区块链网络发送的广播信息，即其他可信任的用户终端共同验证了该区块链网络的可靠性。本方法通过运营商核心网系统和其他用户终端的双重验证避免了用户接入不安全的网络造成损失，提升了用户体验，增加了用户进行网络接入的安全性。

本实施例还提供一种网络接入认证的方法，如图5所示，该方法包括以下步骤：

s501，第一用户终端发送接入认证请求至运营商核心网系统。

s502，运营商核心网系统接收来自第一用户终端的接入认证请求。

s503，运营商核心网系统根据接入认证请求生成系统加密报文，并发送至第一用户终端。

s504，第一用户终端接收系统加密报文。

s505，第一用户终端根据系统加密报文生成终端加密报文，并发送至运营商核心网系统。

s506，运营商核心网系统接收终端加密报文。

s507，运营商核心网系统根据终端加密报文验证第一用户终端的用户属性。

s508，当用户属性验证通过后，运营商核心网系统向区块链网络发送用户合法广播信息。

s509，第二用户终端接收用户合法广播信息，并根据该用户合法广播信息生成验证广播信息。

其中，第二用户终端是区块链网络的节点之一。用户合法广播信息用于向区块链网络的其他节点证实第一用户终端对应的用户的合法身份，以使第一用户终端可以接入该区块链网络。该用户合法广播信息包含第一用户终端的终端标识、用户号码、用户属性、用户身份确认信息、网络接入授权许可和当前可接入网络信息。验证广播信息包含第二用户终端私钥签名、第二用户终端信息和历史已接入网络信息。该第二用户终端信息包含第二用户终端的终端标识、用户号码和用户属性；历史已接入网络信息包含历史位置信息和历史网络信息。

在一个实施方式中，第二用户终端根据该用户合法广播信息生成验证广播信息之前，还包括：第二用户终端验证该用户合法广播信息的私钥签名通过后，从该用户合法广播信息中提取第一用户终端的终端标识、用户号码、用户属性、用户身份确认信息、网络接入授权许可和当前可接入网络信息。

s510，第二用户终端发送验证广播信息至区块链网络。

s511，第一用户终端接收用户合法广播信息。

s512，第一用户终端接收验证广播信息。

s513，第一用户终端根据用户合法广播信息和验证广播信息接入区块链网络。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：肖征荣;张猛;田新雪;邢建兵
技术所有人：中国联合网络通信集团有限公司
我是此专利的发明人

上一篇：挖掘机用高稳定耐高压油封的制作方法
上一篇：一种基于历史数据周期性描述列表的电费收入预测方法与流程

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。