一种机卡绑定方法、装置、设备及计算机可读存储介质与流程

1.本发明涉及通信技术领域，尤其涉及一种机卡绑定方法、装置、设备及计算机可读存储介质。


背景技术：

2.随着移动通信技术的发展，尤其是使用移动通信网络的物联网终端的迅速普及应用，由于其数量巨大且通常享受运营商低廉的资费，这些物联网终端中配置的sim(subscriber identity module，用户身份识别模块)卡容易被挪至其他通信终端使用。
3.为防止此类事件发生，通信运营商可采用在网络侧配置和维护终端和sim卡绑定关系。现有技术中提供了一种使用数字证书进行机卡绑定的技术方案，终端配置有一个ca(certificate authority，证书颁发机构)机构签发的数字证书以及对应的私钥。网络侧存储有私钥对于sim卡信息(例如imsi(international mobile subscriber identity，国际移动用户识别码))的签名，网络侧请求终端对imsi进行签名，然后校验签名的正确性，从而实现对终端和sim卡绑定关系的校验。
4.但是，在这种方式中，设备商难以选择合适的ca机构，从而导致了机卡绑定以及校验的效率较低。


技术实现要素：

5.本发明实施例提供一种机卡绑定方法、装置、设备及计算机可读存储介质，以提高机卡绑定的效率。
6.第一方面，本发明实施例提供了一种机卡绑定方法，应用于终端，包括：
7.从bsf(bootstrapping server function，引导服务功能)获取用于标识gba(generic bootstrapping architecture，通用引导架构)过程的令牌信息；
8.生成用于标识机卡绑定的数字证书；
9.向区块链节点发送数字证书提交请求，所述数字证书提交请求用于使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中；
10.其中，所述数字证书提交请求中包括以下信息：
11.所述令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及sim(subscriber identity module，用户身份识别模块)卡的信息。
12.其中，所述生成用于标识机卡绑定的数字证书，包括：
13.根据业务标识确定数字证书方式；
14.在确定采用区块链数字证书方式的情况下，生成公私钥对；
15.利用所述公私钥对生成所述用于标识机卡绑定的数字证书。
16.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
17.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
18.其中，在所述向区块链节点发送数字证书提交请求之后，所述方法还包括：
19.从认证服务器获取接入随机数；
20.利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行签名；
21.向所述认证服务器发送所述签名，所述终端的标识信息，所述sim卡的信息，以及所述用于标识机卡绑定的数字证书的信息，以使得所述认证服务器对所述用于标识机卡绑定的数字证书进行认证。
22.其中，在所述向区块链节点发送数字证书提交请求之后，所述方法还包括：
23.向所述向区块链节点发送机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名。
24.第二方面，本发明实施例还提供一种机卡绑定方法，应用于区块链节点，包括：
25.接收终端发送的数字证书提交请求；
26.根据所述数字证书提交请求，将用于标识机卡绑定的数字证书存储到区块链中；
27.其中，所述数字证书提交请求中包括以下信息：
28.所述终端从bsf获取的令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息，以及sim卡的信息。
29.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
30.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
31.其中，所述根据所述数字证书提交请求，将用于标识机卡绑定的数字证书存储到区块链中，包括：
32.根据所述数字证书提交请求，对所述用于标识机卡绑定的数字证书进行验证；
33.在验证通过的情况下，将所述用于标识机卡绑定的数字证书存储到区块链中。
34.其中，所述根据所述数字证书提交请求，对所述用于标识机卡绑定的数字证书进行验证，包括：
35.对所述数字证书提交请求进行验证；
36.在对所述数字证书提交请求验证通过的情况下，对所述用于标识机卡绑定的数字证书进行验证。
37.其中，所述对所述数字证书提交请求进行验证，包括：
38.如果所述数字证书提交请求包括所述用于标识终端身份的数字证书，则验证所述用于标识终端身份的数字证书与所述终端的标识信息的一致性；
39.在所述一致性满足预设要求的情况下，根据所述用于标识终端身份的数字证书，在区块链中查找所述用于标识终端身份的数字证书对应的目标数字证书以及所述目标数字证书的状态信息；
40.验证所述签名；
41.在所述状态信息表示所述用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
42.其中，所述对所述数字证书提交请求进行验证，包括：
43.如果所述数字证书提交请求包括所述用于标识终端身份的数字证书的标识信息，则从区块链中获取用于标识终端身份的数字证书；
44.验证所述从区块链中获取的用于标识终端身份的数字证书与所述终端的标识信息的一致性；
45.在所述一致性满足预设要求的情况下，根据从所述区块链中获取的用于标识终端身份的数字证书，在区块链中查找所述从区块链中获取的用于标识终端身份的数字证书的状态信息；
46.验证所述签名；
47.在所述状态信息表示所述从区块链中获取的用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
48.其中，所述对所述用于标识机卡绑定的数字证书进行验证，包括：
49.向bsf发送所述令牌信息；
50.从所述bsf获取sim卡的标识信息；
51.将从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息进行比较，得到比较结果；
52.在所述比较结果表示从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息一致的情况下，对所述用于标识机卡绑定的数字证书的验证通过。
53.其中，所述方法还包括：
54.接收认证服务器发送的对所述用于标识机卡绑定的数字证书的证书状态查询请求；
55.向所述认证服务器发送证书状态。
56.其中，所述方法还包括：
57.接收所述终端发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名；
58.对所述签名进行验证；
59.在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
60.其中，所述方法还包括：
61.接收证书撤销网元发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述证书撤销网元的私钥对所述机卡解绑请求的签名；
62.对所述签名进行验证；
63.在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
64.第三方面，本发明实施例提供了一种机卡绑定方法，应用于bsf，包括：
65.向终端发送获取用于标识gba过程的令牌信息，以使所述终端向区块链节点发送所述令牌信息；
66.接收区块链节点发送的令牌信息；
67.根据所述区块链节点发送的令牌信息，向所述区块链节点发送sim卡的标识信息，使得所述区块链节点将用于标识机卡绑定的数字证书存储到区块链中。
68.第四方面，本发明实施例提供了一种机卡绑定方法，应用于认证服务器，包括：
69.向终端发送接入随机数；
70.接收所述终端发送的签名，所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息，其中，所述签名是所述终端利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行的签名；
71.验证所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息的一致性；
72.在所述一致性满足预设要求的情况下，向区块链节点查询所述用于标识机卡绑定的数字证书的状态信息；
73.在所述状态信息表示所述用于标识机卡绑定的数字证书有效的情况下，对所述签名进行验证；
74.在所述签名的验证准确的情况下，通过对所述用于标识机卡绑定的数字证书的认证。
75.第五方面，本发明实施例提供了一种机卡绑定装置，应用于终端，包括：
76.第一获取模块，用于从bsf获取用于标识gba过程的令牌信息；
77.第一生成模块，用于生成用于标识机卡绑定的数字证书；
78.第一发送模块，用于向区块链节点发送数字证书提交请求，所述数字证书提交请求用于使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中；
79.其中，所述数字证书提交请求中包括以下信息：
80.所述令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及sim卡的信息。
81.其中，所述第一生成模块包括：
82.第一确定子模块，用于根据业务标识确定数字证书方式；
83.第一生成子模块，用于在确定采用区块链数字证书方式的情况下，生成公私钥对；
84.第二生成子模块，用于利用所述公私钥对生成所述用于标识机卡绑定的数字证书。
85.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
86.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
87.其中，所述装置还包括：
88.第二获取模块，用于从认证服务器获取接入随机数；
89.第一签名模块，用于利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行签名；
90.第二发送模块，用于向所述认证服务器发送所述签名，所述终端的标识信息，所述sim卡的信息，以及所述用于标识机卡绑定的数字证书的信息，以使得所述认证服务器对所述用于标识机卡绑定的数字证书进行认证。
91.其中，所述装置还包括：
92.第三发送模块，用于向所述向区块链节点发送机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名。
93.第六方面，本发明实施例提供了一种机卡绑定装置，应用于区块链节点，包括：
94.第一接收模块，用于接收终端发送的数字证书提交请求；
95.第一存储模块，用于根据所述数字证书提交请求，将用于标识机卡绑定的数字证书存储到区块链中；
96.其中，所述数字证书提交请求中包括以下信息：
97.所述终端从bsf获取的令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息，以及sim卡的信息。
98.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
99.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
100.其中，所述第一存储模块包括：
101.第一验证子模块，用于根据所述数字证书提交请求，对所述用于标识机卡绑定的数字证书进行验证；
102.第一存储子模块，用于在验证通过的情况下，将所述用于标识机卡绑定的数字证书存储到区块链中。
103.其中，所述第一验证子模块包括：
104.第一验证单元，用于对所述数字证书提交请求进行验证；
105.第二验证单元，用于在对所述数字证书提交请求验证通过的情况下，对所述用于标识机卡绑定的数字证书进行验证。
106.其中，所述第一验证单元包括：
107.第一验证子单元，用于如果所述数字证书提交请求包括所述用于标识终端身份的数字证书，则验证所述用于标识终端身份的数字证书与所述终端的标识信息的一致性；
108.第一查找子单元，用于在所述一致性满足预设要求的情况下，根据所述用于标识终端身份的数字证书，在区块链中查找所述用于标识终端身份的数字证书对应的目标数字证书以及所述目标数字证书的状态信息；
109.第二验证子单元，用于验证所述签名；
110.第三验证子单元，用于在所述状态信息表示所述用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
111.其中，所述第一验证单元包括：
112.第一获取子单元，用于如果所述数字证书提交请求包括所述用于标识终端身份的数字证书的标识信息，则从区块链中获取用于标识终端身份的数字证书；
113.第四验证子单元，用于验证所述从区块链中获取的用于标识终端身份的数字证书与所述终端的标识信息的一致性；
114.第二查找子单元，用于在所述一致性满足预设要求的情况下，根据从所述区块链中获取的用于标识终端身份的数字证书，在区块链中查找所述从区块链中获取的用于标识终端身份的数字证书的状态信息；
115.第五验证子单元，用于验证所述签名；
116.第六验证子单元，用于在所述状态信息表示所述从区块链中获取的用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
117.其中，所述装置还包括：
118.第一发送模块，用于向bsf发送所述令牌信息；
119.第一获取模块，用于从所述bsf获取sim卡的标识信息；
120.第一比较模块，用于将从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息进行比较，得到比较结果；
121.第一验证模块，用于在所述比较结果表示从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息一致的情况下，对所述用于标识机卡绑定的数字证书的验证通过。
122.其中，所述装置还包括：
123.第二接收模块，用于接收认证服务器发送的对所述用于标识机卡绑定的数字证书的证书状态查询请求；
124.第二发送模块，用于向所述认证服务器发送证书状态。
125.其中，所述装置还包括：
126.第三接收模块，用于接收所述终端发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名；
127.第二验证模块，用于对所述签名进行验证；
128.第一处理模块，用于在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
129.其中，所述装置还包括：
130.第四接收模块，用于接收证书撤销网元发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述证书撤销网元的私钥对所述机卡解绑请求的签名；
131.第三验证模块，用于对所述签名进行验证；
132.第二处理模块，用于在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
133.第七方面，本发明实施例提供了一种机卡绑定装置，应用于bsf，包括：
134.第一发送模块，用于向终端发送获取用于标识gba过程的令牌信息，以使所述终端
向区块链节点发送所述令牌信息；
135.第一接收模块，用于接收区块链节点发送的令牌信息；
136.第二发送模块，用于根据所述区块链节点发送的令牌信息，向所述区块链节点发送sim卡的标识信息，使得所述区块链节点将用于标识机卡绑定的数字证书存储到区块链中。
137.第八方面，本发明实施例提供了一种机卡绑定装置，应用于认证服务器，包括：
138.第一发送模块，用于向终端发送接入随机数；
139.第一接收模块，用于接收所述终端发送的签名，所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息，其中，所述签名是所述终端利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行的签名；
140.第一验证模块，用于验证所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息的一致性；
141.第一查询模块，用于在所述一致性满足预设要求的情况下，向区块链节点查询所述用于标识机卡绑定的数字证书的状态信息；
142.第二验证模块，用于在所述状态信息表示所述用于标识机卡绑定的数字证书有效的情况下，对所述签名进行验证；
143.第三验证模块，用于在所述签名的验证准确的情况下，通过对所述用于标识机卡绑定的数字证书的认证。
144.第九方面，本发明实施例提供了一种机卡绑定装置，应用于终端，包括：处理器和收发器；
145.所述收发器，用于从bsf获取用于标识gba过程的令牌信息；
146.所述处理器，用于生成用于标识机卡绑定的数字证书；
147.所述收发器，用于向区块链节点发送数字证书提交请求，所述数字证书提交请求用于使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中；
148.其中，所述数字证书提交请求中包括以下信息：
149.所述令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及sim卡的信息。
150.其中，所述处理器还用于：
151.根据业务标识确定数字证书方式；
152.在确定采用区块链数字证书方式的情况下，生成公私钥对；
153.利用所述公私钥对生成所述用于标识机卡绑定的数字证书。
154.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
155.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
156.其中，所述处理器还用于：
157.从认证服务器获取接入随机数；
158.利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行签
名；
159.向所述认证服务器发送所述签名，所述终端的标识信息，所述sim卡的信息，以及所述用于标识机卡绑定的数字证书的信息，以使得所述认证服务器对所述用于标识机卡绑定的数字证书进行认证。
160.其中，所述收发器还用于：
161.向所述向区块链节点发送机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名。
162.第十方面，本发明实施例提供了一种机卡绑定装置，应用于区块链节点，包括：处理器和收发器；
163.所述收发器，用于接收终端发送的数字证书提交请求；
164.所述处理器，用于根据所述数字证书提交请求，将用于标识机卡绑定的数字证书存储到区块链中；
165.其中，所述数字证书提交请求中包括以下信息：
166.所述终端从bsf获取的令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息，以及sim卡的信息。
167.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
168.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
169.其中，所述处理器还用于：
170.根据所述数字证书提交请求，对所述用于标识机卡绑定的数字证书进行验证；
171.在验证通过的情况下，将所述用于标识机卡绑定的数字证书存储到区块链中。
172.其中，所述处理器还用于：
173.对所述数字证书提交请求进行验证；
174.在对所述数字证书提交请求验证通过的情况下，对所述用于标识机卡绑定的数字证书进行验证。
175.其中，所述处理器还用于：
176.如果所述数字证书提交请求包括所述用于标识终端身份的数字证书，则验证所述用于标识终端身份的数字证书与所述终端的标识信息的一致性；
177.在所述一致性满足预设要求的情况下，根据所述用于标识终端身份的数字证书，在区块链中查找所述用于标识终端身份的数字证书对应的目标数字证书以及所述目标数字证书的状态信息；
178.验证所述签名；
179.在所述状态信息表示所述用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
180.其中，所述处理器还用于：
181.如果所述数字证书提交请求包括所述用于标识终端身份的数字证书的标识信息，
则从区块链中获取用于标识终端身份的数字证书；
182.验证所述从区块链中获取的用于标识终端身份的数字证书与所述终端的标识信息的一致性；
183.在所述一致性满足预设要求的情况下，根据从所述区块链中获取的用于标识终端身份的数字证书，在区块链中查找所述从区块链中获取的用于标识终端身份的数字证书的状态信息；
184.验证所述签名；
185.在所述状态信息表示所述从区块链中获取的用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
186.其中，所述处理器还用于：
187.向bsf发送所述令牌信息；
188.从所述bsf获取sim卡的标识信息；
189.将从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息进行比较，得到比较结果；
190.在所述比较结果表示从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息一致的情况下，对所述用于标识机卡绑定的数字证书的验证通过。
191.其中，所述处理器还用于：
192.接收认证服务器发送的对所述用于标识机卡绑定的数字证书的证书状态查询请求；
193.向所述认证服务器发送证书状态。
194.其中，所述处理器还用于：
195.接收所述终端发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名；
196.对所述签名进行验证；
197.在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
198.其中，所述处理器还用于：
199.接收证书撤销网元发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述证书撤销网元的私钥对所述机卡解绑请求的签名；
200.对所述签名进行验证；
201.在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
202.第十一方面，本发明实施例提供了一种机卡绑定装置，应用于bsf，包括：处理器和收发器；
203.所述收发器，用于向终端发送获取用于标识gba过程的令牌信息，以使所述终端向区块链节点发送所述令牌信息；接收区块链节点发送的令牌信息；根据所述区块链节点发送的令牌信息，向所述区块链节点发送sim卡的标识信息，使得所述区块链节点将用于标识
机卡绑定的数字证书存储到区块链中。
204.第十二方面，本发明实施例提供了一种机卡绑定装置，应用于认证服务器，包括：处理器和收发器；
205.所述收发器，用于向终端发送接入随机数；接收所述终端发送的签名，所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息，其中，所述签名是所述终端利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行的签名；
206.所述处理器，用于验证所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息的一致性；
207.所述处理器，还用于在所述一致性满足预设要求的情况下，向区块链节点查询所述用于标识机卡绑定的数字证书的状态信息；
208.所述处理器，还用于在所述状态信息表示所述用于标识机卡绑定的数字证书有效的情况下，对所述签名进行验证；
209.所述处理器，还用于在所述签名的验证准确的情况下，通过对所述用于标识机卡绑定的数字证书的认证。
210.第十三方面，本发明实施例还提供一种通信设备，包括：收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如上所述的机卡绑定方法中的步骤。
211.第十四方面，本发明实施例还提供一种可读存储介质，所述可读存储介质上存储程序，所述程序被处理器执行时实现如上所述的机卡绑定方法中的步骤。
212.在本发明实施例中，终端生成标识机卡绑定的数字证书，并向区块链节点发送数字证书提交请求，从而使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中。因此，利用本发明实施例的方案，无需搭建ca系统以及维护，终端也无需选择ca机构，从而提高了机卡绑定的效率。
附图说明
213.图1是本发明实施例提供的机卡绑定方法的流程图之一；
214.图2是本发明实施例提供的机卡绑定方法的流程图之二；
215.图3是本发明实施例提供的机卡绑定方法的流程图之三；
216.图4是本发明实施例提供的机卡绑定方法的流程图之四；
217.图5是本发明实施例提供的机卡绑定方法的流程图之五；
218.图6是本发明实施例提供的机卡绑定校验过程的流程图；
219.图7是本发明实施例提供的解除机卡绑定关系的流程图；
220.图8是本发明实施例提供的解除机卡绑定关系的流程图；
221.图9是本发明实施例提供的机卡绑定装置的结构图之一；
222.图10是本发明实施例提供的机卡绑定装置的结构图之二；
223.图11是本发明实施例提供的机卡绑定装置的结构图之三；
224.图12是本发明实施例提供的机卡绑定装置的结构图之四；
225.图13是本发明实施例提供的机卡绑定装置的结构图之五。
具体实施方式
226.本发明实施例中术语“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
227.本技术实施例中术语“多个”是指两个或两个以上，其它量词与之类似。
228.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，并不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
229.参见图1，图1是本发明实施例提供的机卡绑定方法的流程图，应用于终端，如图1所示，包括以下步骤：
230.步骤101、从bsf获取用于标识gba过程的令牌信息。
231.其中，所述令牌信息例如可以是b-tid(bootstrapping transaction identifier，引导过程标识符)。
232.步骤102、生成用于标识机卡绑定的数字证书。
233.具体的，在此步骤中，终端根据业务标识确定数字证书方式。其中，所述数字证书方式包括传统的数字证书方式和区块链数字证书方式。在确定采用区块链数字证书方式的情况下，生成公私钥对，并利用所述公私钥对生成所述用于标识机卡绑定的数字证书。
234.其中，所述业务标识可以由网络侧配置也可以由终端设置。在具体应用中，如果是采用区块链数字证书方式，那么终端产生公私钥对，使用公私钥对产生自签名的数字证书，即用于标识机卡绑定的数字证书。其中，证书名称中包含终端固有的用于标识终端身份的数字证书的信息(例如，证书id、证书名称、证书散列值等)，终端的标识信息(例如，终端id、imei(international mobile equipment identity，国际移动设备识别码)等)，同时包含sim卡的标识信息(例如，sim卡号，对应的手机号码或其散列值等)。
235.步骤103、向区块链节点发送数字证书提交请求，所述数字证书提交请求用于使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中。
236.其中，所述数字证书提交请求中包括以下信息：
237.所述令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及sim卡的信息。
238.此外，为了进一步提高安全性，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
239.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
240.在本发明实施例中，终端生成标识机卡绑定的数字证书，并向区块链节点发送数字证书提交请求，从而使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中。因此，利用本发明实施例的方案，无需搭建ca系统以及维护，终端也无需选择ca机构，从而提高了机卡绑定的效率。
241.此外，在上述实施例的基础上，还可进行用于标识机卡绑定的数字证书的认证，从而进一步提高安全性。此时，所述终端从认证服务器获取接入随机数，并利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行签名。然后，终端向所述认证服务器发送所述签名，所述终端的标识信息，所述sim卡的信息，以及所述用于标识机卡绑定的数字证书的信息，以使得所述认证服务器对所述用于标识机卡绑定的数字证书进行认证。
242.此外，在上述实施例的基础上，还可解除机卡绑定关系，从而提高资源的利用率。此时，所述终端向所述向区块链节点发送机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名。
243.参见图2，图2是本发明实施例提供的机卡绑定方法的流程图，应用于区块链节点，如图2所示，包括以下步骤：
244.步骤201、接收终端发送的数字证书提交请求。
245.其中，所述数字证书提交请求中包括以下信息：
246.所述终端从bsf获取的令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息，以及sim卡的信息。
247.此外，为了进一步提高安全性，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
248.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
249.步骤202、根据所述数字证书提交请求，将用于标识机卡绑定的数字证书存储到区块链中。
250.具体的，在此步骤中，区块链节点可根据所述数字证书提交请求，对所述用于标识机卡绑定的数字证书进行验证，并在验证通过的情况下，将所述用于标识机卡绑定的数字证书存储到区块链中。
251.在对所述用于标识机卡绑定的数字证书进行验证的过程中，区块链节点可对所述数字证书提交请求进行验证，然后，在对所述数字证书提交请求验证通过的情况下，对所述用于标识机卡绑定的数字证书进行验证。
252.在对所述数字证书提交请求进行验证的过程中，可分以下两种情况：
253.情况一、所述数字证书提交请求包括所述用于标识终端身份的数字证书：
254.在这种情况下，如果所述数字证书提交请求包括所述用于标识终端身份的数字证书，则验证所述用于标识终端身份的数字证书与所述终端的标识信息的一致性。
255.在所述一致性满足预设要求的情况下，区块链节点根据所述用于标识终端身份的数字证书，在区块链中查找所述用于标识终端身份的数字证书对应的目标数字证书以及所述目标数字证书的状态信息。之后，区块链节点验证所述签名，并在所述状态信息表示所述用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。其中，所述目标证书为区块链中存储的用于标识终端身份的数字证书。
256.其中，所述预设要求例如可以是用于标识终端身份的数字证书与所述终端的标识
信息的一致。
257.情况二、所述数字证书提交请求包括所述用于标识终端身份的数字证书的标识信息：
258.在这种情况下，如果所述数字证书提交请求包括所述用于标识终端身份的数字证书的标识信息，区块链节点则从区块链中获取用于标识终端身份的数字证书，并验证所述从区块链中获取的用于标识终端身份的数字证书与所述终端的标识信息的一致性。
259.在所述一致性满足预设要求的情况下，区块链节点根据从所述区块链中获取的用于标识终端身份的数字证书，在区块链中查找所述从区块链中获取的用于标识终端身份的数字证书的状态信息。之后，区块链节点验证所述签名，并在所述状态信息表示所述从区块链中获取的用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
260.其中，所述预设要求例如可以是从区块链中获取的用于标识终端身份的数字证书与所述终端的标识信息的一致。
261.在对所述用于标识机卡绑定的数字证书进行验证的过程中，区块链节点向bsf发送所述令牌信息，并从所述bsf获取sim卡的标识信息。之后，区块链节点将从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息进行比较，得到比较结果。
262.在所述比较结果表示从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息一致的情况下，区块链节点对所述用于标识机卡绑定的数字证书的验证通过。
263.在本发明实施例中，终端生成标识机卡绑定的数字证书，并向区块链节点发送数字证书提交请求，从而使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中。因此，利用本发明实施例的方案，无需搭建ca系统以及维护，终端也无需选择ca机构，从而提高了机卡绑定的效率。
264.此外，在上述实施例的基础上，还可进行用于标识机卡绑定的数字证书的认证，从而进一步提高安全性。此时，区块链节点可接收认证服务器发送的对所述用于标识机卡绑定的数字证书的证书状态查询请求，并向所述认证服务器发送证书状态，以实现对用于标识机卡绑定的数字证书的认证。
265.此外，在上述实施例的基础上，还可解除机卡绑定关系，从而提高资源的利用率。
266.具体的，区块链节点可接收所述终端发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名。之后，区块链节点可对所述签名进行验证，并在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
267.或者，区块链节点可接收证书撤销网元发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述证书撤销网元的私钥对所述机卡解绑请求的签名。之后，区块链节点可对所述签名进行验证，并在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
268.其中，所述证书撤销网元可以是逻辑网元，也可以部署在运营商网络中。
269.参见图3，图3是本发明实施例提供的机卡绑定方法的流程图，应用于bsf，如图3所示，包括以下步骤：
270.步骤301、向终端发送获取用于标识gba过程的令牌信息，以使所述终端向区块链节点发送所述令牌信息。
271.其中，所述令牌信息例如可以是b-tid。
272.步骤302、接收区块链节点发送的令牌信息。
273.步骤303、根据所述区块链节点发送的令牌信息，向所述区块链节点发送sim卡的标识信息，使得所述区块链节点将用于标识机卡绑定的数字证书存储到区块链中。
274.在本发明实施例中，终端生成标识机卡绑定的数字证书，并向区块链节点发送数字证书提交请求，从而使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中。因此，利用本发明实施例的方案，无需搭建ca系统以及维护，终端也无需选择ca机构，从而提高了机卡绑定的效率。
275.参见图4，图4是本发明实施例提供的机卡绑定方法的流程图，应用于认证服务器，如图4所示，包括以下步骤：
276.步骤401、向终端发送接入随机数。
277.步骤402、接收所述终端发送的签名，所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息，其中，所述签名是所述终端利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行的签名。
278.步骤403、验证所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息的一致性。
279.步骤404、在所述一致性满足预设要求的情况下，向区块链节点查询所述用于标识机卡绑定的数字证书的状态信息。
280.具体的，在此步骤中，认证服务器可向区块链节点发送证书状态查询请求，然后，接收区块链节点发送的证书状态信息。
281.步骤405、在所述状态信息表示所述用于标识机卡绑定的数字证书有效的情况下，对所述签名进行验证。
282.步骤406、在所述签名的验证准确的情况下，通过对所述用于标识机卡绑定的数字证书的认证。
283.在本发明实施例中，终端生成标识机卡绑定的数字证书，并向区块链节点发送数字证书提交请求，从而使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中。因此，利用本发明实施例的方案，无需搭建ca系统以及维护，终端也无需选择ca机构，从而提高了机卡绑定的效率。
284.为解决现有技术中的问题，在本发明实施例中，采用区块链和gba技术，利用数字证书实现终端设备与sim卡的绑定。首先，设备配置有基于区块链的设备证书，在首次入网进行机卡绑定的过程中，利用gba技术确保sim卡信息的正确，利用区块链数字证书验证设备信息的正确性，进而将带有机卡绑定的新数字证书记录到区块链中。通过本发明实施例的方案，可以实现机卡绑定信息的分布式存储和分布式校验，降低对集中化部署设备的需求，同时避免传统数字证书方式无法连接互联网验证证书撤销状态的问题。
285.在具体应用中，终端配置有用于标识终端身份的数字证书，该数字证书能够反映出终端的标识信息，例如数字证书中含有终端的标识信息(例如id，imei等)或其散列值。终端还需能够根据业务参数或者业务标识判断采用传统数字证书方式还是区块链数字证书方式，且终端支持gba认证。以下详细描述一下本发明实施例的具体实现过程。
286.在终端首次入网时进行终端与sim卡绑定。参见图5，图5是本发明实施例提供的机卡绑定方法的流程图。如图5所示，该方法可包括：
287.步骤501、gba引导过程。终端完成gba引导过程，终端与bsf之间产生ks和b-tid。该过程为现有标准过程。
288.步骤502、终端生成用于标识机卡绑定的数字证书。
289.终端根据业务标识判断采用传统数字证书方式还是区块链数字证书方式，该业务标识可以由网络配置，也可以由终端设置。如果是采用区块链数字证书方式，那么终端产生公私钥对，使用公私钥对产生自签名数字证书。
290.其中，证书名称中包含终端固有的用于标识终端身份的数字证书的信息(例如，证书id、证书名称、证书散列值等)，终端的标识信息(例如，终端id、imei等)，同时包含sim卡的标识信息(例如，sim卡号，对应的手机号码或其散列值等)。
291.步骤503、终端生成数字证书提交请求，并将数字证书提交请求发送给区块链节点。
292.其中，数字证书提交请求包括：用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者其标识信息(例如，证书id、证书名称、证书散列值等)，终端的标识信息(例如，终端id、imei等)，sim卡的标识信息(例如sim卡号，对应的手机号码或其散列值等)，使用对应标识终端身份数字证书的私钥对上述信息的签名，以及用于标识gba过程的token信息(如b-tid)。
293.步骤504、区块链节点验证数字证书提交请求。包括：
294.(1)区块链节点利用用于标识终端身份的数字证书或者其标识信息，以及终端的标识信息，验证用于标识终端身份的数字证书与终端的标识信息的一致性。
295.此外，如果步骤503的数字证书提交请求中只包括用于标识终端身份的数字证书的标识信息，那么，区块链节点需要根据标识信息从区块链中获取相应的数字证书，之后再验证用于标识终端身份的数字证书与终端的标识信息的一致性。
296.(2)区块链节点利用数字证书提交请求中携带的用于标识终端身份的数字证书或者其标识信息，在区块链中找到相应的证书及其状态信息，并验证数字证书提交请求的签名。若证书状态有效，且签名正确，则验证通过。
297.步骤505、区块链节点验证用于标识机卡绑定的数字证书。
298.具体的，区块链节点向bsf发送收到的token信息。bsf通过token检索出相应的sim标识信息，将sim卡的标识信息(例如sim卡号，对应的手机号码或其散列值等)返回至对应的区块链节点。区块链节点验证数字证书提交请求中的sim卡的标识信息是否与bsf返回的sim卡的标识信息一致。若一致则验证通过；否则验证不通过。
299.步骤506、区块链节点将通过验证的用于标识机卡绑定的数字证书记录到区块链中。
300.终端接入网络时，网络侧利用终端配置的用于标识机卡绑定的数字证书进行认
证。参见图6，图6是本发明实施例提供的机卡绑定校验过程的流程图。如图6所示，该方法可包括：
301.步骤601、终端向网络侧认证服务器提交接入请求。
302.步骤602、认证服务器向终端发送随机数。
303.步骤603、终端利用用于标识机卡绑定信息的数字证书对应的私钥，对上述随机数进行签名。
304.步骤604、将签名、终端的标识信息(例如终端id、imei等)、sim卡的标识信息(例如sim卡号或其散列值，对应的手机号码或其散列值等)，用于标识机卡绑定信息的数字证书信息(例如证书、证书id，证书散列值等)发送给认证服务器。
305.步骤605、认证服务器验证终端的标识信息、sim卡的标识信息，和用于标识机卡绑定信息的数字证书信息的一致性。
306.步骤606、若信息一致，则认证服务器利用用于标识机卡绑定信息的数字证书信息，向区块链节点发送证书状态查询请求。
307.步骤607、区块链节点向认证服务器返回数字证书状态。
308.步骤608、若验证成功，则机卡绑定校验通过。
309.如果区块链节点返回结果显示证书有效，则使用证书验证随机数签名的正确性。
310.其中，该区块链节点可以部署在内网和互联网边界，从而内网设备可以向该区块链节点进行查询访问，以解决内网设备无法使用传统ocsp(online certificate status protocol，在线证书状态协议)/crl(certificate revocation list，证书吊销列表)方式查询证书有效性的问题。
311.如果需要解除机卡绑定关系，那么需将用于标识机卡绑定信息的数字证书撤销即可。该流程可以由终端发起，也可以由证书撤销网元发起，该证书撤销网元是一个逻辑网元，可以部署在运营商网络。
312.参见图7，图7是本发明实施例提供的解除机卡绑定关系的流程图。在该实施例中，终端发起解除机卡绑定关系。如图7所示，该方法可包括：
313.步骤701、终端向区块链节点发送机卡解绑请求，该请求中携带有用于标识机卡绑定信息的数字证书的信息，以及利用用于标识机卡绑定信息的数字证书对应的私钥对该请求的签名。
314.步骤702、区块链节点接收到机卡解绑请求之后，验证签名的正确性。若签名正确，则在区块链中将待解绑的用于标识机卡绑定信息的数字证书的状态更新为撤销。
315.参见图8，图8是本发明实施例提供的解除机卡绑定关系的流程图。在该实施例中，证书撤销网元发起解除机卡绑定关系。如图8所示，该方法可包括：
316.步骤801、证书撤销网元向区块链节点发起机卡解绑请求，该请求中带有用于标识机卡绑定信息的数字证书的信息，以及使用证书撤销节点的私钥对请求的签名。
317.步骤802、区块链节点接收到机卡解绑请求之后，验证签名的正确性。若签名正确，则在区块链中将待解绑的用于标识机卡绑定信息的数字证书的状态更新为撤销。
318.通过以上的描述可以看出，利用本发明实施例的方案，可以实现机卡绑定信息的分布式存储和分布式查询，从而可避免集中式网元存在的性能瓶颈。而且，在本发明实施例中，无需搭建ca系统，可降低ca系统的建设和维护成本，并提高处理效率。
319.本发明实施例还提供了一种机卡绑定装置，应用于终端。参见图9，图9是本发明实施例提供的机卡绑定装置的结构图。如图9所示，机卡绑定装置900包括：第一获取模块901，用于从bsf获取用于标识gba过程的令牌信息；第一生成模块902，用于生成用于标识机卡绑定的数字证书；第一发送模块903，用于向区块链节点发送数字证书提交请求，所述数字证书提交请求用于使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中。
320.其中，所述数字证书提交请求中包括以下信息：
321.所述令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及sim卡的信息。
322.其中，所述第一生成模块包括：
323.第一确定子模块，用于根据业务标识确定数字证书方式；
324.第一生成子模块，用于在确定采用区块链数字证书方式的情况下，生成公私钥对；
325.第二生成子模块，用于利用所述公私钥对生成所述用于标识机卡绑定的数字证书。
326.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
327.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
328.其中，所述装置还包括：
329.第二获取模块，用于从认证服务器获取接入随机数；
330.第一签名模块，用于利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行签名；
331.第二发送模块，用于向所述认证服务器发送所述签名，所述终端的标识信息，所述sim卡的信息，以及所述用于标识机卡绑定的数字证书的信息，以使得所述认证服务器对所述用于标识机卡绑定的数字证书进行认证。
332.其中，所述装置还包括：
333.第三发送模块，用于向所述向区块链节点发送机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名。
334.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
335.本发明实施例还提供了一种机卡绑定装置，应用于区块链节点。参见图10，图10是本发明实施例提供的机卡绑定装置的结构图。如图10所示，机卡绑定装置1000包括：第一接收模块1001，用于接收终端发送的数字证书提交请求；第一存储模块1002，用于根据所述数字证书提交请求，将用于标识机卡绑定的数字证书存储到区块链中。
336.其中，所述数字证书提交请求中包括以下信息：
337.所述终端从bsf获取的令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息，以及sim卡的信息。
338.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
339.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
340.其中，所述第一存储模块包括：
341.第一验证子模块，用于根据所述数字证书提交请求，对所述用于标识机卡绑定的数字证书进行验证；
342.第一存储子模块，用于在验证通过的情况下，将所述用于标识机卡绑定的数字证书存储到区块链中。
343.其中，所述第一验证子模块包括：
344.第一验证单元，用于对所述数字证书提交请求进行验证；
345.第二验证单元，用于在对所述数字证书提交请求验证通过的情况下，对所述用于标识机卡绑定的数字证书进行验证。
346.其中，所述第一验证单元包括：
347.第一验证子单元，用于如果所述数字证书提交请求包括所述用于标识终端身份的数字证书，则验证所述用于标识终端身份的数字证书与所述终端的标识信息的一致性；
348.第一查找子单元，用于在所述一致性满足预设要求的情况下，根据所述用于标识终端身份的数字证书，在区块链中查找所述用于标识终端身份的数字证书对应的目标数字证书以及所述目标数字证书的状态信息；
349.第二验证子单元，用于验证所述签名；
350.第三验证子单元，用于在所述状态信息表示所述用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
351.其中，所述第一验证单元包括：
352.第一获取子单元，用于如果所述数字证书提交请求包括所述用于标识终端身份的数字证书的标识信息，则从区块链中获取用于标识终端身份的数字证书；
353.第四验证子单元，用于验证所述从区块链中获取的用于标识终端身份的数字证书与所述终端的标识信息的一致性；
354.第二查找子单元，用于在所述一致性满足预设要求的情况下，根据从所述区块链中获取的用于标识终端身份的数字证书，在区块链中查找所述从区块链中获取的用于标识终端身份的数字证书的状态信息；
355.第五验证子单元，用于验证所述签名；
356.第六验证子单元，用于在所述状态信息表示所述从区块链中获取的用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
357.其中，所述装置还包括：
358.第一发送模块，用于向bsf发送所述令牌信息；
359.第一获取模块，用于从所述bsf获取sim卡的标识信息；
360.第一比较模块，用于将从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息进行比较，得到比较结果；
361.第一验证模块，用于在所述比较结果表示从所述bsf获取的sim卡的标识信息和所
述数字证书提交请求中的sim的标识信息一致的情况下，对所述用于标识机卡绑定的数字证书的验证通过。
362.其中，所述装置还包括：
363.第二接收模块，用于接收认证服务器发送的对所述用于标识机卡绑定的数字证书的证书状态查询请求；
364.第二发送模块，用于向所述认证服务器发送证书状态。
365.其中，所述装置还包括：
366.第三接收模块，用于接收所述终端发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名；
367.第二验证模块，用于对所述签名进行验证；
368.第一处理模块，用于在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
369.其中，所述装置还包括：
370.第四接收模块，用于接收证书撤销网元发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述证书撤销网元的私钥对所述机卡解绑请求的签名；
371.第三验证模块，用于对所述签名进行验证；
372.第二处理模块，用于在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
373.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
374.本发明实施例还提供了一种机卡绑定装置，应用于bsf。参见图11，图11是本发明实施例提供的机卡绑定装置的结构图。如图11所示，机卡绑定装置1100包括：第一发送模块1101，用于向终端发送获取用于标识gba过程的令牌信息，以使所述终端向区块链节点发送所述令牌信息；第一接收模块1102，用于接收区块链节点发送的令牌信息；第二发送模块1103，用于根据所述区块链节点发送的令牌信息，向所述区块链节点发送sim卡的标识信息，使得所述区块链节点将用于标识机卡绑定的数字证书存储到区块链中。
375.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
376.本发明实施例还提供了一种机卡绑定装置，应用于bsf。参见图12，图12是本发明实施例提供的机卡绑定装置的结构图。如图12所示，机卡绑定装置1200包括：第一发送模块1201，用于向终端发送接入随机数；第一接收模块1202，用于接收所述终端发送的签名，所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息，其中，所述签名是所述终端利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行的签名；第一验证模块1203，用于验证所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息的一致性；第一查询模块1204，用于在所述一致性满足预设要求的情况下，向区块链节点查询所述用于标识机卡绑定的数字证书的状态信息；第二验证模块1205，用于在所述状态信息表示所述用于标识机卡绑定的数字证书有效的情况下，对所
述签名进行验证；第三验证模块1206，用于在所述签名的验证准确的情况下，通过对所述用于标识机卡绑定的数字证书的认证。
377.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
378.本发明实施例还提供了一种机卡绑定装置，应用于终端。参见图13，图13是本发明实施例提供的机卡绑定装置的结构图。如图13所示，机卡绑定装置1300包括：处理器1301和收发器1302。
379.其中，所述收发器1302，用于从bsf获取用于标识gba过程的令牌信息；
380.所述处理器1301，用于生成用于标识机卡绑定的数字证书；
381.所述收发器1302，用于向区块链节点发送数字证书提交请求，所述数字证书提交请求用于使得区块链节点将所述用于标识机卡绑定的数字证书存储到区块链中；
382.其中，所述数字证书提交请求中包括以下信息：
383.所述令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及sim卡的信息。
384.其中，所述处理器1301还用于：
385.根据业务标识确定数字证书方式；
386.在确定采用区块链数字证书方式的情况下，生成公私钥对；
387.利用所述公私钥对生成所述用于标识机卡绑定的数字证书。
388.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
389.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
390.其中，所述处理器1301还用于：
391.从认证服务器获取接入随机数；
392.利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行签名；
393.向所述认证服务器发送所述签名，所述终端的标识信息，所述sim卡的信息，以及所述用于标识机卡绑定的数字证书的信息，以使得所述认证服务器对所述用于标识机卡绑定的数字证书进行认证。
394.其中，所述收发器1302还用于：
395.向所述向区块链节点发送机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名。
396.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
397.本发明实施例还提供了一种机卡绑定装置，应用于区块链节点。再次参见图13，所述收发器1302，用于接收终端发送的数字证书提交请求；所述处理器1301，用于根据所述数字证书提交请求，将用于标识机卡绑定的数字证书存储到区块链中。
398.其中，所述数字证书提交请求中包括以下信息：
399.所述终端从bsf获取的令牌信息，所述用于标识机卡绑定的数字证书，用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息，以及sim卡的信息。
400.其中，所述数字证书提交请求中还包括：利用用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息对应的私钥，对以下信息的签名：
401.所述用于标识机卡绑定的数字证书，所述用于标识终端身份的数字证书或者所述用于标识终端身份的数字证书的标识信息，所述终端的标识信息以及所述sim卡的信息。
402.其中，所述处理器1301还用于：
403.根据所述数字证书提交请求，对所述用于标识机卡绑定的数字证书进行验证；
404.在验证通过的情况下，将所述用于标识机卡绑定的数字证书存储到区块链中。
405.其中，所述处理器1301还用于：
406.对所述数字证书提交请求进行验证；
407.在对所述数字证书提交请求验证通过的情况下，对所述用于标识机卡绑定的数字证书进行验证。
408.其中，所述处理器1301还用于：
409.如果所述数字证书提交请求包括所述用于标识终端身份的数字证书，则验证所述用于标识终端身份的数字证书与所述终端的标识信息的一致性；
410.在所述一致性满足预设要求的情况下，根据所述用于标识终端身份的数字证书，在区块链中查找所述用于标识终端身份的数字证书对应的目标数字证书以及所述目标数字证书的状态信息；
411.验证所述签名；
412.在所述状态信息表示所述用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
413.其中，所述处理器1301还用于：
414.如果所述数字证书提交请求包括所述用于标识终端身份的数字证书的标识信息，则从区块链中获取用于标识终端身份的数字证书；
415.验证所述从区块链中获取的用于标识终端身份的数字证书与所述终端的标识信息的一致性；
416.在所述一致性满足预设要求的情况下，根据从所述区块链中获取的用于标识终端身份的数字证书，在区块链中查找所述从区块链中获取的用于标识终端身份的数字证书的状态信息；
417.验证所述签名；
418.在所述状态信息表示所述从区块链中获取的用于标识终端身份的数字证书有效且所述签名正确的情况下，对所述数字证书提交请求的验证通过。
419.其中，所述处理器1301还用于：
420.向bsf发送所述令牌信息；
421.从所述bsf获取sim卡的标识信息；
422.将从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信
息进行比较，得到比较结果；
423.在所述比较结果表示从所述bsf获取的sim卡的标识信息和所述数字证书提交请求中的sim的标识信息一致的情况下，对所述用于标识机卡绑定的数字证书的验证通过。
424.其中，所述处理器1301还用于：
425.接收认证服务器发送的对所述用于标识机卡绑定的数字证书的证书状态查询请求；
426.向所述认证服务器发送证书状态。
427.其中，所述处理器1301还用于：
428.接收所述终端发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述用于标识机卡绑定的数字证书对应的私钥对所述机卡解绑请求的签名；
429.对所述签名进行验证；
430.在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
431.其中，所述处理器1301还用于：
432.接收证书撤销网元发送的机卡解绑请求，其中，所述机卡解绑请求中包括所述用于标识机卡绑定的数字证书的信息，以及，利用所述证书撤销网元的私钥对所述机卡解绑请求的签名；
433.对所述签名进行验证；
434.在所述签名正确的情况下，根据所述机卡解绑请求，将所述用于标识机卡绑定的数字证书的状态更新为撤销。
435.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
436.本发明实施例还提供了一种机卡绑定装置，应用于bsf。再次参见图13，所述收发器1302，用于向终端发送获取用于标识gba过程的令牌信息，以使所述终端向区块链节点发送所述令牌信息；接收区块链节点发送的令牌信息；根据所述区块链节点发送的令牌信息，向所述区块链节点发送sim卡的标识信息，使得所述区块链节点将用于标识机卡绑定的数字证书存储到区块链中。
437.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
438.本发明实施例还提供了一种机卡绑定装置，应用于认证服务器。再次参见图13，所述收发器1302，用于向终端发送接入随机数；接收所述终端发送的签名，所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息，其中，所述签名是所述终端利用所述用于标识机卡绑定的数字证书对应的私钥，对所述接入随机数进行的签名；
439.所述处理器1301，用于验证所述终端的标识信息，sim卡的信息，以及用于标识机卡绑定的数字证书的信息的一致性；
440.所述处理器1301，还用于在所述一致性满足预设要求的情况下，向区块链节点查询所述用于标识机卡绑定的数字证书的状态信息；
441.所述处理器1301，还用于在所述状态信息表示所述用于标识机卡绑定的数字证书
有效的情况下，对所述签名进行验证；
442.所述处理器1301，还用于在所述签名的验证准确的情况下，通过对所述用于标识机卡绑定的数字证书的认证。
443.本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
444.本发明实施例还提供一种通信设备，包括：收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现上述方法中的步骤。
445.本发明实施例还提供一种可读存储介质，可读存储介质上存储有程序，该程序被处理器执行时实现上述方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的可读存储介质，可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(mo)等)、光学存储器(例如cd、dvd、bd、hvd等)、以及半导体存储器(例如rom、eprom、eeprom、非易失性存储器(nand flash)、固态硬盘(ssd))等。
446.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
447.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。根据这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁盘、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
448.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。