ホーム > 特許ランキング > 達闥機器人股▲分▼有限公司
知財求人 - 知財ポータルサイト「IP Force」
特表2023-509806モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-03-10
(54)【発明の名称】モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器
(51)【国際特許分類】
H04L 9/08 20060101AFI20230303BHJP
H04W 12/069 20210101ALI20230303BHJP
【FI】
H04L9/08 F
H04W12/069
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2021577675
(86)(22)【出願日】2021-09-23
(85)【翻訳文提出日】2022-01-27
(86)【国際出願番号】 CN2021120009
(87)【国際公開番号】W WO2022111016
(87)【国際公開日】2022-06-02
(31)【優先権主張番号】202011359296.8
(32)【優先日】2020-11-27
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】521562245
【氏名又は名称】達闥機器人股▲分▼有限公司
【住所又は居所原語表記】Building 8, No. 207, Zhongqing Road, Minhang District, Shanghai 200245, China
(74)【代理人】
【識別番号】110000291
【氏名又は名称】弁理士法人コスモス国際特許商標事務所
(72)【発明者】
【氏名】謝 輝
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA33
5K067DD17
5K067HH22
5K067HH23
5K067HH36
(57)【要約】
システムは、第1事業者に属する、ブロックチェーンネットワークに位置する第1ネットワーク認証サービスノード及び第1証明書発行ノードを含み、第1証明書発行ノードは、第1ネットワーク認証サービスノードのアイデンティティを表すための第1認証証明書を第1ネットワーク認証サービスノードに発行し、ユーザ機器アイデンティティを表すための第1UE証明書を第1事業者のユーザ機器に発行し、第1UE証明書取り消し情報及と第1証明書発行ノードのアイデンティティを表す第1CA証明書をブロックチェーンに記憶するために用いられ、第1ネットワーク認証サービスノードは、ブロックチェーンから第1UE証明書取り消し情報と第1CA証明書を取得し、ユーザ機器の第1アクセス認証メッセージを受信した場合、ユーザ機器と双方向のアイデンティティ認証を行い、認証が完了した場合、ユーザ機器をモバイルネットワークにアクセスさせるために用いられる。
【特許請求の範囲】
【請求項1】
モバイルネットワークアクセスシステムであって、第1の事業者に属する、ブロックチェーンネットワークに位置する第1のネットワーク認証サービスノード及び第1の証明書発行ノードを含み、
前記第1の証明書発行ノードは、前記第1のネットワーク認証サービスノードのアイデンティティを表すための第1の認証証明書を前記第1のネットワーク認証サービスノードに発行し、且つ、該第1の事業者のユーザ機器のアイデンティティを表すための第1のUE証明書を前記第1の事業者のユーザ機器に発行し、第1のUE証明書取り消し情報、及び前記第1の証明書発行ノードのアイデンティティを表す第1のCA証明書をブロックチェーンに記憶するために用いられ、
前記第1のネットワーク認証サービスノードは、前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得し、前記第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該第1の事業者のユーザ機器と双方向のアイデンティティ認証を行い、前記双方向のアイデンティティ認証が完了した場合、該第1の事業者のユーザ機器を前記モバイルネットワークにアクセスさせるために用いられる、ことを特徴とするモバイルネットワークアクセスシステム。
【請求項2】
第2の事業者に属する、前記ブロックチェーンネットワークに位置する第2のネットワーク認証サービスノード及び第2の証明書発行ノードをさらに含み、前記第1の証明書発行ノードは、さらに、前記第2の証明書発行ノードにより発行された第1のローミング許可証明書を前記ブロックチェーンに書き込むために用いられ、
前記第2の証明書発行ノードは、前記第2のネットワーク認証サービスノードのアイデンティティを表すための第2の認証証明書を前記第2のネットワーク認証サービスノードに発行し、該第2の事業者のユーザ機器のアイデンティティを表すための第2のUE証明書を前記第2の事業者のユーザ機器に発行し、第2のUE証明書取り消し情報及び前記第2の証明書発行ノードのアイデンティティを表す第2のCA証明書をブロックチェーンに記憶し、前記第1の証明書発行ノードにより発行された第2のローミング許可証明書を前記ブロックチェーンに書き込むために用いられる、ことを特徴とする請求項1に記載のシステム。
【請求項3】
前記第1のCA証明書及び前記第1の証明書発行ノードにより第1の事業者のユーザ機器に発行された前記第1のUE証明書は、該第1の事業者のユーザ機器のアイデンティティ識別カードに予め格納されており、前記第1の証明書発行ノードにより前記第1のネットワーク認証サービスノードにより発行された前記第1の認証証明書は、前記第1のネットワーク認証サービスノードに予め格納されているか、又は、前記ブロックチェーンに記憶されている、ことを特徴とする請求項1又は2に記載のシステム。
【請求項4】
モバイルネットワークアクセス方法であって、前記方法は、請求項1~3のいずれか1項に記載のシステムにおける第1のネットワーク認証サービスノードに適用され、
前記方法は、
前記第1のUE証明書を含む、前記第1の事業者のユーザ機器により送信された第1のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得するステップと、
前記第1のCA証明書における公開鍵に基づいて、前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のUE証明書取り消し情報に基づいて前記第1のUE証明書が取り消されたか否かを決定するステップと、
前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第1のUE証明書が取り消されていない場合、第2のアクセス認証メッセージを前記第1の事業者のユーザ機器に送信するステップであって、前記第2のアクセス認証メッセージは、前記第1の認証証明書を含み、前記第1の認証証明書は、前記第1の事業者のユーザ機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第1の事業者のユーザ機器を前記モバイルネットワークにアクセスさせるために用いられるステップとを含む、ことを特徴とするモバイルネットワークアクセス方法。
【請求項5】
前記方法は、請求項2に記載のシステムにおける第1のネットワーク認証サービスノードに適用され、前記方法は、
前記第2のUE証明書を含む、前記第2の事業者のユーザ機器により送信された第3のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のCA証明書、前記第1のローミング許可証明書、前記第2のローミング許可証明書を取得するステップと、
前記第1のCA証明書、前記第2のUE証明書、前記第1のローミング許可証明書及び前記第2のローミング許可証明書を取得した場合、前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第2のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記第2の事業者のユーザ機器に第4のアクセス認証メッセージを送信するステップであって、前記第4のアクセス認証メッセージは、前記第1の認証証明書及び前記第1のローミング許可証明書を含み、前記第1の認証証明書及び前記第1のローミング許可証明書は、前記第2の事業者のユーザ機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第2の事業者のユーザ機器を前記モバイルネットワークにアクセスさせるために用いられるステップとをさらに含む、ことを特徴とする請求項4に記載の方法。
【請求項6】
モバイルネットワークアクセス方法であって、前記方法は、第1の事業者のユーザ機器に適用され、
前記方法は、
請求項1~3のいずれか1項に記載のシステムにおける前記第1のネットワーク認証サービスノードである第1のネットワーク認証サービスノードに、前記第1のUE証明書を含む第1のアクセス認証情報を送信するステップと、
前記第1の認証証明書を含む、前記第1のネットワーク認証サービスノードにより送信された第2のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1の認証証明書が前記第1の発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1の認証証明書が前記第1の発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとを含む、ことを特徴とするモバイルネットワークアクセス方法。
【請求項7】
前記方法は、請求項2に記載のシステムにおける前記第2のネットワーク認証サービスノードである第2のネットワーク認証サービスノードに、前記第2のUE証明書を含む第5のアクセス認証情報を送信するステップと、
前記第2の認証証明書及び前記第1のローミング許可証明書を含む、前記第2のネットワーク認証サービスノードにより送信された第6のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとをさらに含む、ことを特徴とする請求項6に記載の方法。
【請求項8】
コンピュータプログラムが記憶されているネットワーク認証サーバの記憶媒体であって、該プログラムがプロセッサにより実行されると、請求項4又は5に記載の方法のステップを実現する、ことを特徴とするネットワーク認証サーバの記憶媒体。
【請求項9】
コンピュータプログラムが記憶されているユーザ機器の記憶媒体であって、該プログラムがプロセッサにより実行されると、請求項6又は7に記載の方法のステップを実現する、ことを特徴とするユーザ機器の記憶媒体。
【請求項10】
コンピュータプログラムが記憶されているメモリと、前記メモリにおける前記コンピュータプログラムを実行することで、請求項4又は5に記載の方法のステップを実現するためのプロセッサとを含む、ことを特徴とするネットワーク認証サーバ。
【請求項11】
ユーザ機器であって、コンピュータプログラムが記憶されているメモリと、
前記メモリにおける前記コンピュータプログラムを実行することで、請求項6又は7に記載の方法のステップを実現するためのプロセッサとを含む、ことを特徴とする、ユーザ機器。
【請求項12】
コンピュータ読み取り可能なコードを含むコンピュータプログラムであって、前記コンピュータ読み取り可能なコードが計算処理機器上で実行されると、前記計算処理機器に請求項4又は5に記載の方法を実行させるか、又は、前記計算処理機器に請求項6又は7に記載の方法を実行させる、コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2020年11月27日出願の中国出願202011359296.8号に基づく優先権を主張し、上記中国出願に記載された全ての内容を援用して本明細書に組み込まれるものである。
【0002】
本開示は、情報技術分野に関し、具体的には、モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器に関する。
【背景技術】
【0003】
2G/3G/4Gモバイル通信ネットワークでは、UE(User Equipment ユーザ機器)がモバイルネットワークにアクセスする認証は、対称パスワードメカニズムに基づいて行われており、すなわち、暗号化(Encryption)と復号化(Decryption)は同一の鍵を使用し、モバイル事業者とユーザ機器は同一の鍵を使用するため、モバイル通信のセキュリティが保証できない。また、ユーザーは、対称暗号化アルゴリズムを用いてモバイルネットワークへのアクセス要求を行うたびに、他人が知らないユニックな鍵を使用する必要があり、モバイル事業者及びユーザ機器の持った鍵の数が幾何学的に増加し、モバイル事業者及びユーザ機器が鍵を管理する負担が増加する。
【0004】
したがって、5Gモバイル通信ネットワークでは、公開鍵(Public Key)及び秘密鍵(Private Key)の鍵ペアを用いる非対称パスワードメカニズムに基づくアクセス認証方法が導入されている。秘密鍵は、ユニックな鍵であり、モバイル事業者により安全に保管され、漏洩してはいけない。公開鍵は、アクセスを要求する任意のユーザー機器に送信され、非対称暗号化メカニズムは、鍵ペアを用いて暗号化を行い、モバイル通信のセキュリティを向上させ、鍵管理の負担を減らすことができる。しかし、当該非対称暗号化メカニズムは、鍵ペアを用いるが、ユーザ機器は認証サーバの公開鍵を不正に取得すると、モバイルネットワークに不正にアクセスすることができ、モバイルネットワークアクセスのセキュリティも同様に低くなる。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本開示の目的は、端末機器がモバイルネットワークにアクセスするセキュリティが低い問題を解決するために、モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器を提供することである。
【課題を解決するための手段】
【0006】
上記目的を実現するために、本開示の実施例の第1の態様では、モバイルネットワークアクセスシステムが提供され、前記システムは、第1の事業者に属する、ブロックチェーンネットワークに位置する第1のネットワーク認証サービスノード及び第1の証明書発行ノードを含み、
前記第1の証明書発行ノードは、前記第1のネットワーク認証サービスノードのアイデンティティを表すための第1の認証証明書を前記第1のネットワーク認証サービスノードに発行し、該第1の事業者のユーザ機器のアイデンティティを表すための第1のUE証明書を前記第1の事業者のユーザ機器に発行し、第1のUE証明書取り消し情報、及び前記第1の証明書発行ノードのアイデンティティを表す第1のCA証明書をブロックチェーンに記憶するために用いられ、
前記第1のネットワーク認証サービスノードは、前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得し、前記第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該第1の事業者のユーザ機器と双方向のアイデンティティ認証を行い、前記双方向のアイデンティティ認証が完了した場合、該第1の事業者のユーザ機器を前記モバイルネットワークにアクセスさせるために用いられる。
前記第1の証明書発行ノードは、前記第1のネットワーク認証サービスノードのアイデンティティを表すための第1の認証証明書を前記第1のネットワーク認証サービスノードに発行し、該第1の事業者のユーザ機器のアイデンティティを表すための第1のUE証明書を前記第1の事業者のユーザ機器に発行し、第1のUE証明書取り消し情報、及び前記第1の証明書発行ノードのアイデンティティを表す第1のCA証明書をブロックチェーンに記憶するために用いられ、
前記第1のネットワーク認証サービスノードは、前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得し、前記第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該第1の事業者のユーザ機器と双方向のアイデンティティ認証を行い、前記双方向のアイデンティティ認証が完了した場合、該第1の事業者のユーザ機器を前記モバイルネットワークにアクセスさせるために用いられる。
【0007】
前記システムは、第2の事業者に属する、前記ブロックチェーンネットワークに位置する第2のネットワーク認証サービスノード及び第2の証明書発行ノードをさらに含み、
前記第1の証明書発行ノードは、さらに、前記第2の証明書発行ノードにより発行された第1のローミング許可証明書を前記ブロックチェーンに書き込むために用いられ、
前記第2の証明書発行ノードは、前記第2のネットワーク認証サービスノードのアイデンティティを表すための第2の認証証明書を前記第2のネットワーク認証サービスノードに発行し、該第2の事業者のユーザ機器のアイデンティティを表すための第2のUE証明書を前記第2の事業者のユーザ機器に発行し、第2のUE証明書取り消し情報及び前記第2の証明書発行ノードのアイデンティティを表す第2のCA証明書をブロックチェーンに記憶し、前記第1の証明書発行ノードにより発行された第2のローミング許可証明書を前記ブロックチェーンに書き込むために用いられることが好ましい。
前記第1の証明書発行ノードは、さらに、前記第2の証明書発行ノードにより発行された第1のローミング許可証明書を前記ブロックチェーンに書き込むために用いられ、
前記第2の証明書発行ノードは、前記第2のネットワーク認証サービスノードのアイデンティティを表すための第2の認証証明書を前記第2のネットワーク認証サービスノードに発行し、該第2の事業者のユーザ機器のアイデンティティを表すための第2のUE証明書を前記第2の事業者のユーザ機器に発行し、第2のUE証明書取り消し情報及び前記第2の証明書発行ノードのアイデンティティを表す第2のCA証明書をブロックチェーンに記憶し、前記第1の証明書発行ノードにより発行された第2のローミング許可証明書を前記ブロックチェーンに書き込むために用いられることが好ましい。
【0008】
前記第1のCA証明書及び前記第1の証明書発行ノードにより第1の事業者のユーザ機器に発行された前記第1のUE証明書は、該第1の事業者のユーザ機器のアイデンティティ識別カードに予め格納されており、
前記第1の証明書発行ノードにより前記第1のネットワーク認証サービスノードにより発行された前記第1の認証証明書は、前記第1のネットワーク認証サービスノードに予め格納されているか、又は、前記ブロックチェーンに記憶されていることが好ましい。
前記第1の証明書発行ノードにより前記第1のネットワーク認証サービスノードにより発行された前記第1の認証証明書は、前記第1のネットワーク認証サービスノードに予め格納されているか、又は、前記ブロックチェーンに記憶されていることが好ましい。
【0009】
本開示の実施例の第2の態様では、モバイルネットワークアクセス方法が提供され、前記方法は第1の態様に記載のシステムにおける第1のネットワーク認証サービスノードに適用され、前記方法は、
前記第1のUE証明書を含む、前記第1の事業者のユーザ機器により送信された第1のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得するステップと、
前記第1のCA証明書における公開鍵に基づいて、前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のUE証明書取り消し情報に基づいて前記第1のUE証明書が取り消されたか否かを決定するステップと、
前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第1のUE証明書が取り消されていない場合、第2のアクセス認証メッセージを前記第1の事業者のユーザ機器に送信するステップであって、前記第2のアクセス認証メッセージは、前記第1の認証証明書を含み、前記第1の認証証明書は、前記第1の事業者のユーザ機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第1の事業者のユーザ機器を前記モバイルネットワークにアクセスさせるために用いられるステップとを含む。
前記第1のUE証明書を含む、前記第1の事業者のユーザ機器により送信された第1のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得するステップと、
前記第1のCA証明書における公開鍵に基づいて、前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のUE証明書取り消し情報に基づいて前記第1のUE証明書が取り消されたか否かを決定するステップと、
前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第1のUE証明書が取り消されていない場合、第2のアクセス認証メッセージを前記第1の事業者のユーザ機器に送信するステップであって、前記第2のアクセス認証メッセージは、前記第1の認証証明書を含み、前記第1の認証証明書は、前記第1の事業者のユーザ機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第1の事業者のユーザ機器を前記モバイルネットワークにアクセスさせるために用いられるステップとを含む。
【0010】
前記方法は、前記モバイルネットワークアクセスシステムにおける第1のネットワーク認証サービスノードに適用され、前記方法は、
前記第2のUE証明書を含む、前記第2の事業者のユーザ機器により送信された第3のアクセス認証情報を受信するステップと、
前記第2のUE証明書を含む、前記第2の事業者のユーザ機器により送信された第3のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のCA証明書、前記第1のローミング許可証明書、前記第2のローミング許可証明書を取得するステップと、
前記第1のCA証明書、前記第2のUE証明書、前記第1のローミング許可証明書及び前記第2のローミング許可証明書を取得した場合、前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第2のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記第2の事業者のユーザ機器に第4のアクセス認証メッセージを送信するステップであって、前記第4のアクセス認証メッセージは、前記第1の認証証明書及び前記第1のローミング許可証明書を含み、前記第1の認証証明書及び前記第1のローミング許可証明書は、前記第2の事業者のユーザ機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第2の事業者のユーザ機器を前記モバイルネットワークにアクセスさせるために用いられるステップとをさらに含むことが好ましい。
前記第2のUE証明書を含む、前記第2の事業者のユーザ機器により送信された第3のアクセス認証情報を受信するステップと、
前記第2のUE証明書を含む、前記第2の事業者のユーザ機器により送信された第3のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のCA証明書、前記第1のローミング許可証明書、前記第2のローミング許可証明書を取得するステップと、
前記第1のCA証明書、前記第2のUE証明書、前記第1のローミング許可証明書及び前記第2のローミング許可証明書を取得した場合、前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第2のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記第2の事業者のユーザ機器に第4のアクセス認証メッセージを送信するステップであって、前記第4のアクセス認証メッセージは、前記第1の認証証明書及び前記第1のローミング許可証明書を含み、前記第1の認証証明書及び前記第1のローミング許可証明書は、前記第2の事業者のユーザ機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第2の事業者のユーザ機器を前記モバイルネットワークにアクセスさせるために用いられるステップとをさらに含むことが好ましい。
【0011】
本開示の実施例の第3の態様では、モバイルネットワークアクセス方法が提供され、前記方法は、第1の事業者のユーザ機器に適用され、前記方法は、
第1の態様に記載のシステムにおける前記第1のネットワーク認証サービスノードである第1のネットワーク認証サービスノードに、前記第1のUE証明書を含む第1のアクセス認証情報を送信するステップと、
前記第1の認証証明書を含む、前記第1のネットワーク認証サービスノードにより送信された第2のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1の認証証明書が前記第1の発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1の認証証明書が前記第1の発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとをさらに含む。
第1の態様に記載のシステムにおける前記第1のネットワーク認証サービスノードである第1のネットワーク認証サービスノードに、前記第1のUE証明書を含む第1のアクセス認証情報を送信するステップと、
前記第1の認証証明書を含む、前記第1のネットワーク認証サービスノードにより送信された第2のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1の認証証明書が前記第1の発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1の認証証明書が前記第1の発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとをさらに含む。
【0012】
前記方法は、
前記モバイルネットワークアクセスシステムにおける前記第2のネットワーク認証サービスノードである第2のネットワーク認証サービスノードに、前記第2のUE証明書を含む第5のアクセス認証情報を送信するステップと、
前記第2の認証証明書及び前記第1のローミング許可証明書を含む、前記第2のネットワーク認証サービスノードにより送信された第6のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとをさらに含むことが好ましい。
前記モバイルネットワークアクセスシステムにおける前記第2のネットワーク認証サービスノードである第2のネットワーク認証サービスノードに、前記第2のUE証明書を含む第5のアクセス認証情報を送信するステップと、
前記第2の認証証明書及び前記第1のローミング許可証明書を含む、前記第2のネットワーク認証サービスノードにより送信された第6のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとをさらに含むことが好ましい。
【0013】
本開示の実施例の第4の態様では、コンピュータプログラムが記憶されているネットワーク認証サーバの記憶媒体が提供され、該プログラムがプロセッサにより実行されると、第2の態様に記載の方法のステップを実現する。
【0014】
本開示の実施例の第5の態様では、コンピュータプログラムが記憶されているユーザ機器の記憶媒体が提供され、該プログラムがプロセッサにより実行されると、第3の態様に記載の方法のステップを実現する。
【0015】
本開示の実施例の第6の態様では、ネットワーク認証サーバが提供され、前記ネットワーク認証サーバは、
コンピュータプログラムが記憶されているメモリと、
前記メモリにおける前記コンピュータプログラムを実行することで、第2の態様に記載の方法のステップを実現するためのプロセッサとを含む。
コンピュータプログラムが記憶されているメモリと、
前記メモリにおける前記コンピュータプログラムを実行することで、第2の態様に記載の方法のステップを実現するためのプロセッサとを含む。
【0016】
本開示の実施例の第7の態様では、ユーザ機器が提供され、前記ユーザ機器は、
コンピュータプログラムが記憶されているメモリと、
前記メモリにおける前記コンピュータプログラムを実行することで、第3の態様に記載の方法のステップを実現するためのプロセッサとを含む。
コンピュータプログラムが記憶されているメモリと、
前記メモリにおける前記コンピュータプログラムを実行することで、第3の態様に記載の方法のステップを実現するためのプロセッサとを含む。
【0017】
本開示の実施例の第8の態様では、コンピュータ読み取り可能なコードを含むコンピュータプログラムが提供され、前記コンピュータ読み取り可能なコードが計算処理機器上で実行されると、前記計算処理機器に本開示の第2の態様又は第3の態様の実施例に係る方法を実行させる。
【発明の効果】
【0018】
本発明の上記技術手段によって、以下の有益な効果を少なくとも実現することができる。
第1のネットワーク認証サービスノードのアイデンティティを表すための第1の認証証明書を第1の証明書発行ノードを介して第1のネットワーク認証サービスノードに発行し、該第1の事業者のユーザ機器のアイデンティティを表すための第1のUE証明書を第1の事業者のユーザ機器に発行し、第1のUE証明書取り消し情報、及び前記第1の証明書発行ノードのアイデンティティを表す第1のCA証明書をブロックチェーンに記憶し、第1のネットワーク認証サービスノードを介してブロックチェーンから第1のUE証明書取り消し情報及び第1のCA証明書を取得し、第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該第1の事業者のユーザ機器と双方向のアイデンティティ認証を行い、双方向のアイデンティティ認証が完了した場合、該第1の事業者のユーザ機器をモバイルネットワークにアクセスさせる。第1の事業者のユーザ機器は、近所でモバイルネットワークのアクセス認証を行うことができ、モバイルネットワークアクセスのセキュリティを向上させる。また、プライベートなまたは分離して配置されたモバイルネットワークにおいて端末機器のアクセスを実現でき、モバイルネットワークアクセスされる利便性を向上させる。
第1のネットワーク認証サービスノードのアイデンティティを表すための第1の認証証明書を第1の証明書発行ノードを介して第1のネットワーク認証サービスノードに発行し、該第1の事業者のユーザ機器のアイデンティティを表すための第1のUE証明書を第1の事業者のユーザ機器に発行し、第1のUE証明書取り消し情報、及び前記第1の証明書発行ノードのアイデンティティを表す第1のCA証明書をブロックチェーンに記憶し、第1のネットワーク認証サービスノードを介してブロックチェーンから第1のUE証明書取り消し情報及び第1のCA証明書を取得し、第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該第1の事業者のユーザ機器と双方向のアイデンティティ認証を行い、双方向のアイデンティティ認証が完了した場合、該第1の事業者のユーザ機器をモバイルネットワークにアクセスさせる。第1の事業者のユーザ機器は、近所でモバイルネットワークのアクセス認証を行うことができ、モバイルネットワークアクセスのセキュリティを向上させる。また、プライベートなまたは分離して配置されたモバイルネットワークにおいて端末機器のアクセスを実現でき、モバイルネットワークアクセスされる利便性を向上させる。
【0019】
本開示の他の特徴及び利点については、以下の発明を実施するための形態部分において詳細に説明する。
【0020】
図面は、本開示の更なる理解を提供するためのものであり、明細書の一部を構成するものであり、以下の具体的な実施形態とともに本開示を説明するためのものであるが、本開示に対する制限を構成するものではない。
【図面の簡単な説明】
【0021】
【図1】例示的な実施例によるモバイルネットワークアクセスシステムのブロック図である。
【図2】1つの例示的な実施例による別のモバイルネットワークアクセスシステムのブロック図である。
【図3】1つの例示的な実施例によるモバイルネットワークのアクセス方法のフローチャートである。
【図4】1つの例示的な実施例による別のモバイルネットワークのアクセス方法のフローチャートである。
【図5】1つの例示的な実施例によるモバイルネットワークのアクセス方法のフローチャートである。
【図6】1つの例示的な実施例による別のモバイルネットワークのアクセス方法のフローチャートである。
【図7】1つの例示的な実施例による電子機器700のブロック図である。
【図8】1つの例示的な実施例による電子機器1900のブロック図である。
【図9】1つの本開示の実施例に係る計算処理機器の構造模式図である。
【図10】1つの本開示の実施例に係る、本開示の方法に基づくプログラムコードを実現するための携帯型または固定型記憶部の模式図である。
【発明を実施するための形態】
【0022】
以下、本開示の特定の実施形態について、図面を用いて詳細に説明する。本明細書に記載された特定の実施形態は、本開示を説明および解釈するためにのみ使用され、本開示を制限するためには使用されないことを理解されたい。
【0023】
なお、本開示において、明細書、特許請求の範囲及び図面における用語の「第1」、「第2」などは、特定の順序又は前後順序を記述することとして理解されることなく、類似の対象を区別するために用いられる。同様に、用語の「S301」、「S401」などは、特定の順序又は前後順序に応じて方法のステップを実行するとして理解されることなく、ステップを区別するために用いられる。
【0024】
本開示に係るモバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器を説明する前に、まず、本開示のアプリケーションシーンについて説明する。本開示に係るモバイルネットワークアクセスシステムは、ユーザ機器がEAP-TLS認証プロトコルによって認証に成功すると、事業者のモバイルネットワークにアクセスすることを可能とし、ユーザ機器は、たとえば、スマートフォン、スマート時計、スマートハンドリングなどのモバイル通信機能を備えた電子機器であってもよい。
【0025】
発明者らは、関連技術では、アクセス認証時に非対称鍵を用いるが、ユーザ機器は認証サーバの公開鍵を不正に取得すると、モバイルネットワークに不正にアクセスでき、モバイルネットワークのアクセスセキュリティが同様に低いことを発見した。また、関連技術では、UEは、対応するモバイルネットワークのアクセスしかサポートできず、異なる事業者のモバイルネットワークの間をローミングすることができず、従って、UEは、対応する事業者のモバイルネットワークがない場合、UEのいる領域には他の事業者のモバイルネットワークが存在しても、該モバイルネットワークにアクセスできないため、UEはモバイルネットワークに容易にアクセスできなくなってしまう。
【0026】
上記技術課題を解決するために、本開示は、モバイルネットワークアクセスシステムを提供する。図1は、1つの例示的な実施例によるモバイルネットワークアクセスシステムのブロック図であり、該システム100は、モバイルネットワークのアクセスを実行するために用いられる。図1に示すように、前記システム100は、第1の事業者に属する、ブロックチェーンネットワークに位置する第1のネットワーク認証サービスノード110及び第1の証明書発行ノード120を含む。
【0027】
第1の証明書発行ノード120は、第1のネットワーク認証サービスノード110のアイデンティティを表すための第1の認証証明書を第1のネットワーク認証サービスノード110に発行し、該ユーザ機器のアイデンティティを表すための第1のUE証明書を第1の事業者のユーザ機器に発行し、第1のUE証明書取り消し情報、及び前記第1の証明書発行ノードのアイデンティティを表す第1のCA証明書をブロックチェーンに記憶するために用いられ、
第1のネットワーク認証サービスノード110は、ブロックチェーンから第1のUE証明書取り消し情報及び第1のCA証明書を取得し、第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該ユーザ機器と双方向のアイデンティティ認証を行い、双方向のアイデンティティ認証が完了した場合、該ユーザ機器を前記モバイルネットワークにアクセスさせるために用いられる。
第1のネットワーク認証サービスノード110は、ブロックチェーンから第1のUE証明書取り消し情報及び第1のCA証明書を取得し、第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該ユーザ機器と双方向のアイデンティティ認証を行い、双方向のアイデンティティ認証が完了した場合、該ユーザ機器を前記モバイルネットワークにアクセスさせるために用いられる。
【0028】
第1のネットワーク認証サービスノード110は、AUSF(Authentication Server Function、認証サーバ機能)であってもよく、第1のネットワーク認証サービスノード110は、ブロックチェーンのいずれかのブロックチェーンノードと通信接続し、ブロックチェーンから第1のUE証明書取り消し情報及び第1のCA証明書を取得することができる。
【0029】
第1のネットワーク認証サービスノード110は、EAP-TLSの認証プロトコルによって第1の事業者のユーザ機器と双方向のアイデンティティ認証を行うことができることが好ましい。第1の事業者のユーザ機器は、距離が最も近い第1のネットワーク認証サービスノード110と通信を確立し、さらに双方向のアイデンティティ認証を行うことができる。
【0030】
第1の証明書発行ノード120は、さらに、対応する第1のUE証明書の無効化を表すための第1のUE証明書取り消し情報を発行するために用いられることが好ましい。
【0031】
第1のCA証明書及び第1の証明書発行ノード120によりユーザ機器に発行された第1のUE証明書は、該ユーザ機器のアイデンティティ識別カードに予め格納されていることが好ましい。具体的には、該アイデンティティ識別カードは、出荷時に、第1の証明書発行ノード120により発行された第1のUE証明書が記憶されているUSIMカードであってもよい。さらに、該USIMカードをユーザ機器にインストールした後、ユーザ機器は、該第1のUE証明書に基づいて秘密鍵を生成することができる。該アイデンティティ識別カードは、eSIMカードであってもよく、ユーザーが事業者プランを選択すると、ユーザ機器は、該第1のUE証明書に基づいて秘密鍵を生成することができる。
【0032】
第1のネットワーク認証サービスノード110及び第1の証明書発行ノード120をブロックチェーンネットワークの1つのノードとしてもよい。
【0033】
第1の証明書発行ノード120により第1のネットワーク認証サービスノード110に発行された第1の認証証明書は、第1のネットワーク認証サービスノード110に予め格納されているか、又は、前記ブロックチェーンに記憶されていることが好ましい。
【0034】
一例として、第1の証明書発行ノード120は、それ自体のアイデンティティを表す第1のCA証明書をブロックチェーンに記憶し、該第1のCA証明書を任意の第1のネットワーク認証サービスノード110に記憶してもよい。また、第1の証明書発行ノード120は、第1のCA証明書に対応する、第1の事業者のユーザ機器のアイデンティティを表す第1のUE証明書を発行する。これによって、第1の事業者のユーザ機器は、EAP-TLSの認証プロトコルによって第1のネットワーク認証サービスノード110とアクセス認証を行うとき、第1のUE証明書と第1のCA証明書とをマッチングすることができる。
【0035】
さらに、第1の事業者は、第1の証明書発行ノード120を介して第1のUE証明書取り消し情報を発行することができ、これによって、ブロックチェーン又は第1のネットワーク認証サービスノード110は、複数の第1のUE証明書取り消し情報に基づいて取り消しリストを構築することができ、第1の事業者のユーザ機器の第1のアクセス認証情報を受信した場合に、第1のネットワーク認証サービスノード110は、取り消しリストによって、該第1の事業者のユーザ機器のアクセス資格がキャンセルされたか否かを決定することができる。
【0036】
第1のネットワーク認証サービスノード110は、取り消しリストに該第1の事業者のユーザ機器の第1のUE証明書取り消し情報があると決定した場合、ユーザ機器の取り消し情報を生成し、該ユーザ機器に該ユーザ機器の取り消し情報をフィードバックする。これによって、ユーザーは、該ユーザ機器の第1のUE証明書が取り消されたことをタイムリーに知ることができる。
【0037】
さらに、第1のネットワーク認証サービスノード110は、取り消しリストに該第1の事業者のユーザ機器の第1のUE証明書取り消し情報がないと決定し、第1のUE証明書と第1のCA証明書とが互いにマッチングする場合、該ユーザ機器を前記モバイルネットワークにアクセスさせる。
【0038】
第1のネットワーク認証サービスノードのアイデンティティを表すための第1の認証証明書を第1の証明書発行ノードを介して第1のネットワーク認証サービスノードに発行し、該ユーザ機器のアイデンティティを表すための第1のUE証明書を第1の事業者のユーザ機器に発行し、第1のUE証明書取り消し情報、及び前記第1の証明書発行ノードのアイデンティティを表す第1のCA証明書をブロックチェーンに記憶し、第1のUE証明書取り消し情報及び第1のCA証明書を第1のネットワーク認証サービスノードを介してブロックチェーンから取得し、第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該ユーザ機器と双方向のアイデンティティ認証を行い、双方向のアイデンティティ認証が完了した場合、該ユーザ機器を前記モバイルネットワークにアクセスさせる。第1の事業者のユーザ機器は、近所でモバイルネットワークアクセス認証を行い、モバイルネットワークアクセスのセキュリティを向上させることができる。また、プライベートなまたは分離して配置されたモバイルネットワークにおいて端末機器のアクセスを実現し、モバイルネットワークアクセスの利便性を向上させることができる。
【0039】
また、参照図とする図2は、別のモバイルネットワークアクセスシステムのブロック図であり、図2に示すように、前記システム100は、第2の事業者に属する、ブロックチェーンネットワークに位置する第2のネットワーク認証サービスノード130及び第2の証明書発行ノード140をさらに含み、
第1の証明書発行ノード120は、さらに、第2の証明書発行ノード140に発行された第1のローミング許可証明書をブロックチェーンに書き込むために用いられ、
第2の証明書発行ノード140は、第2のネットワーク認証サービスノード130のアイデンティティを表すための第2の認証証明書を第2のネットワーク認証サービスノード130に発行し、該ユーザ機器のアイデンティティを表すための第2のUE証明書を第2の事業者のユーザ機器に発行し、第2のUE証明書取り消し情報、及び第2の証明書発行ノード140のアイデンティティを表す第2のCA証明書をブロックチェーンに記憶し、第1の証明書発行ノード120に発行された第2のローミング許可証明書をブロックチェーンに書き込むために用いられる。
第1の証明書発行ノード120は、さらに、第2の証明書発行ノード140に発行された第1のローミング許可証明書をブロックチェーンに書き込むために用いられ、
第2の証明書発行ノード140は、第2のネットワーク認証サービスノード130のアイデンティティを表すための第2の認証証明書を第2のネットワーク認証サービスノード130に発行し、該ユーザ機器のアイデンティティを表すための第2のUE証明書を第2の事業者のユーザ機器に発行し、第2のUE証明書取り消し情報、及び第2の証明書発行ノード140のアイデンティティを表す第2のCA証明書をブロックチェーンに記憶し、第1の証明書発行ノード120に発行された第2のローミング許可証明書をブロックチェーンに書き込むために用いられる。
【0040】
第1のネットワーク認証サービスノード110、第1の証明書発行ノード120第2のネットワーク認証サービスノード130及び第2の証明書発行ノード140をブロックチェーンネットワークの1つのノードとしてもよい。
【0041】
具体的な実施では、第1の事業者及び第2の事業者は、ローミングプロトコルを実現する必要があり、第1の事業者は、第1の証明書発行ノード120を介して第2の証明書発行ノード140に第1のローミング許可証明書を発行し、第2の事業者は、第2の証明書発行ノード140を介して第1の証明書発行ノード120に第2のローミング許可証明書を発行する。第1の証明書発行ノード120は、第1のローミング許可証明書をブロックチェーンにアップロードして記憶し、第2の証明書発行ノード140は、第2のローミング許可証明書をブロックチェーンにアップロードして記憶する。
【0042】
さらに、第2の証明書発行ノード140は、第2の証明書発行ノード140のアイデンティティを表す第2のCA証明書を発行し、ユーザ機器のUSIMカード内には、第1の証明書発行ノード120により発行された第1のUE証明書及び第2の証明書発行ノード140により発行された第2のUE証明書が予め格納されている。
【0043】
さらに、第1の証明書発行ノード120は、発行した第1のUE証明書取り消し情報をブロックチェーンネットワークに書き込み、第2の証明書発行ノード140は、発行した第2のUE証明書取り消し情報もブロックチェーンネットワークに書き込み、さらに、ブロックチェーンネットワークにおいて、複数の第1のUE証明書取り消し情報及び複数の第2のUE証明書取り消し情報に基づいて、取り消しリストを構築する。さらに、任意のネットワーク認証サービスノードが任意のユーザ機器により送信されたアクセス認証情報を受信した場合に、対応するネットワーク認証サービスノードは、ブロックチェーンの取り消しリストに、対応するUE証明書取り消し情報があるか否かを決定でき、それにより、該ユーザ機器の第1のUE証明書又は第2のUE証明書が取り消されたか否かを決定する。
【0044】
ただし、本開示の実施例のシステムは、第5の世代のモバイル通信ネットワークに限定されるものではなく、同様な証明書ベースの認証アクセス方式を採用する他のシナリオにおいても、単一サービス対象又はサービス対象間のアクセス認証を実現するために、このシステムを採用することができる。
【0045】
上記システムを採用すると、UEが異なる事業者のモバイルネットワークをローミングして近所にアクセスすることを実現し、EAP-TLS認証方式では、UEが異なる事業者のモバイルネットワークをローミングすることをサポートしない欠点を補い、また、アクセス認証には、UE帰属先まで認証しなければならないことによる不便やリソースオーバーヘッドを回避し、端末機器がモバイルネットワークにアクセスする利便性を向上させることができる。
【0046】
同一の発明構想に基づいて、本開示は、モバイルネットワークアクセスシステムにおける第1のネットワーク認証サービスノードに適用されるモバイルネットワークのアクセス方法をさらに提供する。図3は、1つの例示的な実施例によるモバイルネットワークのアクセス方法のフローチャートである。図3を参照すると、前記方法は、以下のステップS301~ステップS304を含む。
【0047】
ステップS301において、第1の事業者のユーザ機器により送信された第1のアクセス認証情報を受信する。
【0048】
前記第1のアクセス認証情報は、前記第1のUE証明書を含む。
【0049】
ステップS302において、ブロックチェーンから第1のUE証明書取り消し情報及び第1のCA証明書を取得する。
【0050】
ステップS303において、第1のCA証明書における公開鍵に基づいて、第1のUE証明書が第1の証明書発行ノードにより発行されたものであるか否かを認証し、第1のUE証明書取り消し情報に基づいて、第1のUE証明書が取り消されたか否かを決定する。
【0051】
ステップS304において、第1のUE証明書が第1の証明書発行ノードにより発行されたものであり、かつ第1のUE証明書が取り消されていないと決定した場合、第1の事業者のユーザ機器に第2のアクセス認証メッセージを送信する。
【0052】
第2のアクセス認証メッセージは、第1の認証証明書を含み、第1の認証証明書は、第1の事業者のユーザ機器が第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、アイデンティティ認証に成功した場合、第1の事業者のユーザ機器をモバイルネットワークにアクセスさせるために用いられる。
【0053】
具体的な実施では、第1のネットワーク認証サービスノードは、第1のアクセス認証情報から第1のUE証明書を抽出し、さらに第1のUE証明書に基づいて、ブロックチェーンの取り消しリストに該第1の事業者のユーザ機器のUE証明書取り消し情報があるか否かを検索する。
【0054】
第1のネットワーク認証サービスノードは、ブロックチェーンの取り消しリストに該第1の事業者のユーザ機器のUE証明書取り消し情報があると決定した場合、該第1の事業者のユーザ機器が取り消されたと決定し、対応するユーザ機器の取り消し情報をさらに生成し、該ユーザ機器に該ユーザ機器の取り消し情報をフィードバックすることが好ましい。これによって、ユーザーは、該ユーザ機器の第1のUE証明書が取り消されたことをタイムリーに知ることができ、該ユーザ機器はモバイルネットワークにアクセスできない。
【0055】
さらに、第1のネットワーク認証サービスノードは、ブロックチェーンの取り消しリストに該第1の事業者のUE証明書取り消し情報がないと決定した場合、該第1の事業者のユーザ機器が取り消されていないと決定する。
【0056】
さらに、第1のネットワーク認証サービスノードは、該第1の事業者のユーザ機器が取り消されていないと決定した場合、第1のCA証明書から公開鍵を取得し、該公開鍵に基づいて、第1のUE証明書が第1の証明書発行ノードにより発行されたものであるか否かを認証する。たとえば、該公開鍵に基づいて、第1のUE証明書の秘密鍵を認証し、該公開鍵と秘密鍵とがマッチングする場合、第1のUE証明書が第1の証明書発行ノードにより発行されたものであると決定する。
【0057】
さらに、第1のネットワーク認証サービスノードは、第1のUE証明書が第1の証明書発行ノードにより発行されたものであると決定した場合、第2のアクセス認証メッセージを生成し、第1の事業者のユーザ機器に該第2のアクセス認証メッセージを送信することにより、第1の事業者のユーザ機器は、第1の認証証明書の秘密鍵に基づいて、第1のネットワーク認証サービスノードのアイデンティティを認証する。それにより、第1のネットワーク認証サービスノードは、第1の事業者のユーザ機器のアイデンティティを認証することを実現する。これによって、モバイルネットワークアクセスのセキュリティ及び利便性を向上させることができる。
【0058】
【0059】
ステップS401において、第2の事業者のユーザ機器により送信された第3のアクセス認証情報を受信する。
【0060】
前記第3のアクセス認証情報は、前記第2のUE証明書を含む。
【0061】
ステップS402において、ブロックチェーンから第1のCA証明書、第1のローミング許可証明書、及び第2のローミング許可証明書を取得する。
【0062】
ステップS403において、第1のCA証明書、第2のUE証明書、第1のローミング許可証明書及び第2のローミング許可証明書を取得した場合、第1のCA証明書における公開鍵に基づいて、第1のローミング許可証明書が第1の証明書発行ノードにより発行されたものであるか否かを認証し、第2のローミング許可証明書における第2の証明書発行ノードの公開鍵に基づいて、第2のUE証明書が第2の証明書発行ノードにより発行されたものであるか否かを認証する。
【0063】
ステップS404において、第1のローミング許可証明書が第1の証明書発行ノードにより発行されたものであり、かつ第2のUE証明書が第2の証明書発行ノードにより発行されたものであると決定した場合、第2の事業者のユーザ機器に第4のアクセス認証メッセージを送信する。
【0064】
第4のアクセス認証メッセージは、第1の認証証明書及び第1のローミング許可証明書を含み、第1の認証証明書及び第1のローミング許可証明書は、第2の事業者のユーザ機器が第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、アイデンティティ認証に成功した場合、第2の事業者のユーザ機器をモバイルネットワークにアクセスさせるために用いられる。
【0065】
具体的な実施では、第2の事業者のユーザ機器のアイデンティティ識別カードには、第1の証明書発行ノードにより発行された第1のUE証明書及び第2の証明書発行ノードにより発行された第2のUE証明書が予め格納されている。一例として、USIMカードが第2の事業者のユーザ機器にインストールされた後、第2の事業者のユーザ機器は、該第1のUE証明書に基づいて第1の秘密鍵を生成し、該第2のUE証明書に基づいて第2の秘密鍵を生成する。第2の事業者のユーザ機器は、EAP-TLSの認証プロトコルに基づいて、第1の事業者の第1のネットワーク認証サービスノードに第3のアクセス認証情報を送信し、第1のネットワーク認証サービスノードは、該第3のアクセス認証情報を受信した場合に、第3のアクセス認証情報から第2のUE証明書を抽出する。
【0066】
さらに、第2のUE証明書を抽出した場合、ブロックチェーンから第1のCA証明書、第1のローミング許可証明書、及び第2のローミング許可証明書を取得し、さらに第1のCA証明書における公開鍵に基づいて、第1のローミング許可証明書が第1の証明書発行ノードにより発行されたものであるか否かを認証し、第2のローミング許可証明書における第2の証明書発行ノードの公開鍵に基づいて、第2のUE証明書が第2の証明書発行ノードにより発行されたものであるか否かを認証する。
【0067】
たとえば、第1のCA証明書における公開鍵に基づいて、第1のローミング許可証明書の秘密鍵を認証することができ、該公開鍵と秘密鍵とがマッチングする場合、第1のローミング許可証明書が第1の証明書発行ノードにより発行されたものであると決定し、第2のローミング許可証明書における第2の証明書発行ノードの公開鍵に基づいて、第2のUE証明書の秘密鍵を認証し、該公開鍵と秘密鍵とがマッチングする場合、第2のUE証明書が第2の証明書発行ノードにより発行されたものであると決定する。
【0068】
さらに、第1のネットワーク認証サービスノードは、第4のアクセス認証メッセージを生成し、該第4のアクセス認証メッセージを第2の事業者のユーザ機器に送信することにより、第2の事業者のユーザ機器は、第1の認証証明書の秘密鍵及び第1のローミング許可証明書の秘密鍵に基づいて、第1のネットワーク認証サービスノードのアイデンティティを認証する。
【0069】
さらに、第1のローミング許可証明書が第1の証明書発行ノードにより発行されたものではないと決定し、すなわち、第1のCA証明書における公開鍵と第1のローミング許可証明書の秘密鍵とがマッチングしない場合、又は、第2のUE証明書が第2の証明書発行ノードにより発行されたものではなく、すなわち、第2のローミング許可証明書における第2の証明書発行ノードの公開鍵と第2のUE証明書の秘密鍵とがマッチングしない場合、第1のネットワーク認証サービスノードは、不正アクセス情報を生成し、第2の事業者のユーザ機器に該不正アクセス情報を送信し、それによって、ユーザーは、アクセス認証に失敗した情報をタイムリーに知る。
【0070】
ただし、第1の事業者のユーザ機器は、アイデンティティ識別カードには、第1の証明書発行ノードにより発行された第1のUE証明書及び第2の証明書発行ノードにより発行された第2のUE証明書が予め格納されてもよく、さらに第2の事業者の第2のネットワーク認証サービスノードにアクセス認証メッセージを送信し、さらに第1の事業者のユーザ機器を第2の事業者のモバイルネットワークにローミングさせる。
【0071】
上記技術手段を採用すると、第2の事業者のユーザ機器を第1の事業者のモバイルネットワークにローミングしてアクセスさせることができ、それにより、UEが異なる事業者のモバイルネットワークをローミングして近所にアクセスすることを実現し、端末機器がモバイルネットワークにアクセスする利便性を向上させる。
【0072】
同一の発明構想に基づいて、本開示は、第1の事業者のユーザ機器に適用される、モバイルネットワークのアクセス方法をさらに提供し、図5は、1つの例示的な実施例によるモバイルネットワークのアクセス方法のフローチャートである。図5を参照すると、前記方法は、以下のステップS501~ステップS504を含む。
【0073】
ステップS501において、第1のネットワーク認証サービスノードに第1のアクセス認証情報を送信する。
【0074】
第1のネットワーク認証サービスノードは、モバイルネットワークアクセスシステム100における第1のネットワーク認証サービスノード110であり、第1のアクセス認証情報は、第1のUE証明書を含む。
【0075】
ステップS502において、前記第1の認証証明書を含む、第1のネットワーク認証サービスノードにより送信された第2のアクセス認証メッセージを受信する。
【0076】
ステップS503において、予め設定された第1のCA証明書における公開鍵に基づいて、第1の認証証明書が第1の発行ノードにより発行されたものであるか否かを認証する。
【0077】
ステップS504において、第1の認証証明書が第1の発行ノードにより発行されたものであると決定した場合、モバイルネットワークにアクセスする。
【0078】
一例として、ユーザ機器にUSIMカードを装着した後、又は、ユーザ機器がモバイルネットワークから切断された後に、モバイルネットワークに再アクセスすると、第1の事業者のユーザ機器は、第1のネットワーク認証サービスノードに第1のアクセス認証情報を送信する。
【0079】
さらに、第1のネットワーク認証サービスノードにより送信された第2のアクセス認証メッセージを受信した場合に、第2のアクセス認証メッセージから第1の認証証明書を抽出し、第1の認証証明書を認証する。たとえば、予め設定された第1のCA証明書における公開鍵に基づいて、第1の認証証明書の秘密鍵を認証し、第1のCA証明書における公開鍵と第1の認証証明書の秘密鍵とが互いにマッチングする場合、第1の認証証明書が第1の発行ノードにより発行されたものであると決定する。さらに、第1の事業者のユーザ機器が第1のネットワーク認証サービスノードのアイデンティティを認証をする。さらに、第1の事業者のユーザ機器を第1の事業者のモバイルネットワークにアクセスさせる。
【0080】
さらに、第1の認証証明書が第1の発行ノードにより発行されたものではないと決定した場合、第1の事業者のユーザ機器を第1の事業者のモバイルネットワークにアクセスさせない。これにより、モモバイルネットワークアクセスのセキュリティ及び利便性を向上できる。
【0081】
【0082】
ステップS601において、第2のネットワーク認証サービスノードに第5のアクセス認証情報を送信する。
【0083】
第2のネットワーク認証サービスノードは、モバイルネットワークアクセスシステム100における第2のネットワーク認証サービスノード130であり、第5のアクセス認証情報は、第2のUE証明書を含む。
【0084】
ステップS602において、第2の認証証明書及び第1のローミング許可証明書を含む、第2のネットワーク認証サービスノードにより送信された第6のアクセス認証メッセージを受信する。
【0085】
ステップS603において、予め設定された第1のCA証明書における公開鍵に基づいて、第1のローミング許可証明書が第1の証明書発行ノードにより発行されたものであるか否かを認証し、第1のローミング許可証明書における第2の証明書発行ノードの公開鍵に基づいて、第2の認証証明書が第2の証明書発行ノードにより発行されたものであるか否かを認証する。
【0086】
ステップS604において、第1のローミング許可証明書が第1の証明書発行ノードにより発行されたものであり、かつ第2の認証証明書が第2の証明書発行ノードにより発行されたものであると決定した場合、モバイルネットワークにアクセスする。
【0087】
具体的な実施では、第1の事業者のユーザ機器は、USIMカードには、第1の証明書発行ノードにより発行された第1のUE証明書及び第2の証明書発行ノードにより発行された第2のUE証明書が予め格納されており、第1の事業者のユーザ機器が第2の事業者のモバイルネットワークにローミングしてアクセスすべきであると決定した場合、第2のUE証明書に基づいて第5のアクセス認証情報を生成し、第2のネットワーク認証サービスノードに第5のアクセス認証情報を送信する。
【0088】
さらに、第6のアクセス認証メッセージを受信した場合に、第6のアクセス認証メッセージから第2の認証証明書及び第1のローミング許可証明書を抽出し、予め設定された第1のCA証明書における公開鍵に基づいて、第1のローミング許可証明書の秘密鍵を認証し、第1のCA証明書における公開鍵と第1のローミング許可証明書の秘密鍵とが互いにマッチングすると決定した場合、第1のローミング許可証明書が第1の証明書発行ノードにより発行されたものであると決定する。
【0089】
さらに、第1のローミング許可証明書における第2の証明書発行ノードの公開鍵に基づいて、第2の認証証明書の秘密鍵を認証し、第1のローミング許可証明書における第2の証明書発行ノードの公開鍵と第2の認証証明書の秘密鍵とが互いにマッチングすると決定した場合、第2の認証証明書が第2の証明書発行ノードにより発行されたものであると決定する。
【0090】
さらに、第1のローミング許可証明書が第1の証明書発行ノードにより発行されたものではないと決定した場合、又は、第2の認証証明書が第2の証明書発行ノードにより発行されたものではないと決定した場合、第1の事業者のユーザ機器を第2の事業者のモバイルネットワークにアクセスさせない。
【0091】
第2の事業者のユーザ機器は、同一の方法を用いて第1の事業者のモバイルネットワークにローミングしてアクセスすることができる。ここでは詳しく説明しない。
【0092】
上記技術手段を用いることによって、第1の事業者のユーザ機器は、第2の事業者の第2のネットワーク認証サービスノードにアクセス認証メッセージを送信し、さらに第1の事業者のユーザ機器を第2の事業者のモバイルネットワークにローミングさせることができ、モバイルネットワークにアクセスする利便性を向上させる。
【0093】
同一の発明構想に基づいて、本開示の実施例は、電子機器700をさらに提供し、図7は、1つの例示的な実施例による電子機器700のブロック図である。該電子機器700は、上記のユーザ機器として提供されてもよく、図7に示すように、該電子機器700は、プロセッサ701及びメモリ702を含むことができる。該電子機器700は、マルチメディアユニット703、入力/出力(I/O)インタフェース704、及び通信ユニット705のうちの1つまたは複数を含むことができる。
【0094】
プロセッサ701は、上記のユーザ機器側のモバイルネットワークのアクセス方法の全てまたは一部のステップを完了するように、電子機器700の全体的な動作を制御するために使用される。メモリ702は、電子機器700における動作をサポートするための様々なタイプのデータを記憶するために使用され、これらのデータは、例えば、電子機器700上で動作するための任意のアプリケーションまたは方法の命令と、連絡先データ、送受信されたメッセージ、ピクチャ、オーディオ、ビデオなどのアプリケーション関連データとを含むことができる。メモリ702は、静的ランダムアクセスメモリ(Static Random Access Memory、SRAMと略称)、電気的消去可能プログラマブル読取り専用メモリ(Electrically Erasable Programmable Read-Only Memory、EEPROMと略称)、消去可能プログラマブル読取り専用メモリ(Erasable Programmable Read-Only Memory、EPROMと略称)、プログラマブルリードオンリーメモリ(Programmable Read-Only Memory、PROMと略称)、リードオンリーメモリ(Read-Only Memory、ROMと略称)、磁気メモリ、フラッシュメモリ、磁気ディスクまたは光ディスクなどの、任意の種類の揮発性または不揮発性記憶装置またはそれらの組み合わせによって実現することができる。マルチメディアユニット703は、スクリーンおよびオーディオユニットを含むことができる。スクリーンは、例えばタッチスクリーンであってもよく、オーディオユニットは、オーディオ信号を出力および/または入力するために用いられてもよい。例えば、オーディオユニットは、外部のオーディオ信号を受信するためのマイクを含むことができる。受信されたオーディオ信号は、さらに、メモリ702に記憶されるか、又は、通信ユニット705を介して送信される。オーディオユニットは、オーディオ信号を出力するための少なくとも1つのスピーカをさらに含む。I/Oインタフェース704は、プロセッサ701と他のインタフェースモジュールとの間に提供されるインタフェースであり、上記他のインタフェースモジュールは、キーボード、マウス、ボタンなどであってもよい。これらのボタンは、仮想ボタンまたは実体ボタンであってもよい。通信ユニット705は、該電子機器700と他の機器との間に行われる有線又は無線通信に用いられる。無線通信は、例えば、Wi-Fi、ブルートゥース(登録商標)、近距離無線通信(Near Field Communication、NFCと略称)、2G、3G、4G、NB-IOT、eMTC、又は他の5Gなど、またはそれらのうちの1つまたは複数の組み合わせであるが、ここでは限定しない。従って、対応する該通信ユニット705は、をWi-Fiモジュール、ブルートゥースモジュール、NFCモジュールなどを含むことができる。
【0095】
1つの例示的な実施例では、電子機器700は、1つ又は複数のアプリケーション専用集積回路(Application Specific Integrated Circuit、ASICと略称)、デジタル信号プロセッサ(Digital Signal Processor、DSPと略称)、デジタル信号処理機器(Digital Signal Processing Device、DSPDと略称)、プログラマブルロジックデバイス(Programmable Logic Device、PLDと略称)、フィールドプログラマブルゲートアレイ(Field Programmable Gate Array、FPGAと略称)、コントローラ、マイクロコントローラ、マイクロプロセッサー又は他の電子部品によって実現され、上記のユーザ機器側のモバイルネットワークのアクセス方法を実行するために用いられる。
【0096】
別の例示的な実施例では、プログラム命令を含むコンピュータ読み取り可能な記憶媒体をさらに提供し、該プログラム命令がプロセッサにより実行されると、上記のユーザ機器側のモバイルネットワークのアクセス方法のステップを実現する。たとえば、該コンピュータ読み取り可能な記憶媒体は、上記プログラム命令を含むメモリ702であってもよく、上記プログラム命令は、電子機器700のプロセッサ701により実行されて、上記のユーザ機器側のモバイルネットワークのアクセス方法を実行してもよい。
【0097】
同一の発明構想に基づいて、本開示の実施例は、電子機器1900をさらに提供し、図8は、1つの例示的な実施例による電子機器1900のブロック図である。電子機器1900は、モバイルネットワークアクセスシステムにおける第1のネットワーク認証サービスノードとして提供されることが好ましい。図8を参照すると、電子機器1900は、1つ又は複数のプロセッサ1922と、プロセッサ1922によって実行可能なコンピュータプログラムを記憶するためのメモリ1932とを含む。メモリ1932に記憶されたコンピュータプログラムは、1組の命令にそれぞれ対応する1つ以上のモジュールを含むことができる。また、プロセッサ1922は、該コンピュータプログラムを実行して、上記の第1のネットワーク認証サービスノード側のモバイルネットワークのアクセス方法を実行するように構成されてもよい。
【0098】
また、電子機器1900は、電源ユニット1926及び通信ユニット1950さらに含むことができ、該電源ユニット1926は、電子機器1900の電源管理を実行するように構成されてもよく、該通信ユニット1950は、電子機器1900の有線又は無線通信などの通信を実現するように構成されてもよい。また、該電子機器1900は、、入力/出力(I/O)インタフェース1958をさらに含むことができる。電子機器1900は、Windows ServerTM、Mac OS XTM、UnixTM、Linux(登録商標)TMなどの、メモリ1932に記憶されているオペレーティングシステムを操作できる。
【0099】
別の例示的な実施例では、プログラム命令を含むコンピュータ読み取り可能な記憶媒体をさらに提供し、該プログラム命令がプロセッサにより実行されると、上記の第1のネットワーク認証サービスノード側のモバイルネットワークのアクセス方法のステップを実現する。たとえば、該コンピュータ読み取り可能な記憶媒体は、上記プログラム命令を含むメモリ1932であってもよく、上記プログラム命令は、電子機器1900のプロセッサ1922により実行されて、上記の第1のネットワーク認証サービスノード側のモバイルネットワークのアクセス方法を実行してもよい。
【0100】
別の例示的な実施例では、プログラマブルの装置によって実行可能なコンピュータプログラムを含むコンピュータプログラム製品をさらに提供し、該コンピュータプログラムは、該プログラマブルの装置により実行されると、上記の第1のネットワーク認証サービスノード側のモバイルネットワークのアクセス方法を実行するためのコード部分を有する。
【0101】
上記実施例を実現するために、本開示は、計算処理機器をさらに提供し、この計算処理機器は、
コンピュータ読み取り可能なコードが記憶されているメモリと、
前記1つ又は複数のプロセッサにより実行されると、前記計算処理機器に前述したモバイルネットワークのアクセス方法を実行させるための1つ又は複数のプロセッサとを含む。
コンピュータ読み取り可能なコードが記憶されているメモリと、
前記1つ又は複数のプロセッサにより実行されると、前記計算処理機器に前述したモバイルネットワークのアクセス方法を実行させるための1つ又は複数のプロセッサとを含む。
【0102】
上記実施例を実現するために、本開示は、コンピュータ読み取り可能なコードを含むコンピュータプログラムをさらに提供し、前記コンピュータ読み取り可能なコードが計算処理機器上で実行されると、前記計算処理機器に前述したモバイルネットワークのアクセス方法を実行させる。
【0103】
本開示に記載のコンピュータ読み取り可能な記憶媒体は、前述したコンピュータプログラムが記憶されている。
【0104】
図9は、本開示の実施例に係る計算処理機器の構造模式図である。該計算処理機器は、通常、プロセッサ1110及びメモリ1130の形態のコンピュータプログラム製品又はコンピュータ読み取り可能な媒体を含む。メモリ1130は、フラッシュメモリ、EEPROM(電気的消去可能なプログラマブル読取り専用メモリ)、EPROM、ハードディスク、ROMなどの電子メモリであってもよい。メモリ1130は、上述した方法のいずれかの方法のステップを実行するプログラムコード1151用の記憶領域1150を有する。例えば、プログラムコード用の記憶領域1150は、上述した方法の様々なステップを実現するための各プログラムコード1151を含むことができる。これらのプログラムコードは、1つまたは複数のコンピュータプログラム製品から1つまたは複数のコンピュータプログラム製品から読み取られるか、または書き込まれることができる。これらのコンピュータプログラム製品には、ハードディスク、コンパクトディスク(CD)、メモリカード、またはフロッピーディスクなどのプログラムコードキャリアが含まれる。このようなコンピュータプログラム製品は、通常、図10に示すような携帯型または固定型記憶部である。この記憶部は、図9の計算処理機器におけるメモリ1130と同様な構成を有する記憶セグメント、記憶領域などであってもよい。プログラムコードは、例えば適切な形式で圧縮することができる。一般に、記憶部は、コンピュータ読み取り可能コード1151’、すなわち、例えば1110のようなプロセッサによって読み取リ可能なコードを含み、これらのコードは、サーバによって実行されると、サーバに上述した方法の各ステップを実行させる。
【0105】
以上、図面に関連して本開示の好適な実施形態について詳細に説明したが、本開示は上記実施形態における具体的な詳細に限定されるものではなく、本開示の技術的構想の範囲内において、本開示の技術的手段に対して種々な簡単変形を行うことができ、これらの簡単変形はいずれも本開示の保護範囲に属する。
【0106】
なお、上述した実施の形態で説明した各具体的な技術的特徴は、矛盾しない場合には、任意の適切な態様で組み合わせることができ、不要な重複を避けるために、本開示では、種々の可能な組み合わせの態様については、別途説明しない。
【0107】
また、本開示の様々な異なる実施形態を任意の組み合わせることができ、本開示の要旨から逸脱しない限り、同様に本開示に開示された内容と見なすべきである。
【0108】
実施例
1、モバイルネットワークアクセスシステムであって、第1の事業者に属する、ブロックチェーンネットワークに位置する第1のネットワーク認証サービスノード及び第1の証明書発行ノードを含み、
前記第1の証明書発行ノードは、前記第1のネットワーク認証サービスノードのアイデンティティを表すための第1の認証証明書を前記第1のネットワーク認証サービスノードに発行し、該ユーザ機器のアイデンティティを表すための第1のUE証明書を前記第1の事業者のユーザ機器に発行し、第1のUE証明書取り消し情報、及び前記第1の証明書発行ノードのアイデンティティを表す第1のCA証明書をブロックチェーンに記憶するために用いられ、
前記第1のネットワーク認証サービスノードは、前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得し、前記第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該ユーザ機器と双方向のアイデンティティ認証を行い、前記双方向のアイデンティティ認証が完了した場合、該ユーザ機器を前記モバイルネットワークにアクセスさせるために用いられる、モバイルネットワークアクセスシステム。
1、モバイルネットワークアクセスシステムであって、第1の事業者に属する、ブロックチェーンネットワークに位置する第1のネットワーク認証サービスノード及び第1の証明書発行ノードを含み、
前記第1の証明書発行ノードは、前記第1のネットワーク認証サービスノードのアイデンティティを表すための第1の認証証明書を前記第1のネットワーク認証サービスノードに発行し、該ユーザ機器のアイデンティティを表すための第1のUE証明書を前記第1の事業者のユーザ機器に発行し、第1のUE証明書取り消し情報、及び前記第1の証明書発行ノードのアイデンティティを表す第1のCA証明書をブロックチェーンに記憶するために用いられ、
前記第1のネットワーク認証サービスノードは、前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得し、前記第1の事業者のユーザ機器の第1のアクセス認証メッセージを受信した場合に、該ユーザ機器と双方向のアイデンティティ認証を行い、前記双方向のアイデンティティ認証が完了した場合、該ユーザ機器を前記モバイルネットワークにアクセスさせるために用いられる、モバイルネットワークアクセスシステム。
【0109】
2、前記システムは、第2の事業者に属する、前記ブロックチェーンネットワークに位置する第2のネットワーク認証サービスノード及び第2の証明書発行ノードをさらに含み、
前記第1の証明書発行ノードは、さらに、前記第2の証明書発行ノードにより発行された第1のローミング許可証明書を前記ブロックチェーンに書き込むために用いられ、
前記第2の証明書発行ノードは、前記第2のネットワーク認証サービスノードのアイデンティティを表すための第2の認証証明書を前記第2のネットワーク認証サービスノードに発行し、該ユーザ機器のアイデンティティを表すための第2のUE証明書を前記第2の事業者のユーザ機器に発行し、第2のUE証明書取り消し情報、及び前記第2の証明書発行ノードのアイデンティティを表す第2のCA証明書をブロックチェーンに記憶し、前記第1の証明書発行ノードにより発行された第2のローミング許可証明書を前記ブロックチェーンに書き込むために用いられる、実施例1に記載のシステム。
前記第1の証明書発行ノードは、さらに、前記第2の証明書発行ノードにより発行された第1のローミング許可証明書を前記ブロックチェーンに書き込むために用いられ、
前記第2の証明書発行ノードは、前記第2のネットワーク認証サービスノードのアイデンティティを表すための第2の認証証明書を前記第2のネットワーク認証サービスノードに発行し、該ユーザ機器のアイデンティティを表すための第2のUE証明書を前記第2の事業者のユーザ機器に発行し、第2のUE証明書取り消し情報、及び前記第2の証明書発行ノードのアイデンティティを表す第2のCA証明書をブロックチェーンに記憶し、前記第1の証明書発行ノードにより発行された第2のローミング許可証明書を前記ブロックチェーンに書き込むために用いられる、実施例1に記載のシステム。
【0110】
3、前記第1のCA証明書及び前記第1の証明書発行ノードによりユーザ機器に発行された前記第1のUE証明書は、該ユーザ機器のアイデンティティ識別カードに予め格納されており、
前記第1の証明書発行ノードにより前記第1のネットワーク認証サービスノードにより発行された前記第1の認証証明書は、前記第1のネットワーク認証サービスノードに予め格納されているか、又は、前記ブロックチェーンに記憶されている、実施例1又は2に記載のシステム。
前記第1の証明書発行ノードにより前記第1のネットワーク認証サービスノードにより発行された前記第1の認証証明書は、前記第1のネットワーク認証サービスノードに予め格納されているか、又は、前記ブロックチェーンに記憶されている、実施例1又は2に記載のシステム。
【0111】
4、モバイルネットワークアクセス方法であって、前記方法はモバイルネットワークアクセスシステムにおける第1のネットワーク認証サービスノードに適用され、
前記方法は、
前記第1のUE証明書を含む、前記第1の事業者のユーザ機器により送信された第1のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得するステップと、
前記第1のCA証明書における公開鍵に基づいて、前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のUE証明書取り消し情報に基づいて前記第1のUE証明書が取り消されたか否かを決定するステップと、
前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第1のUE証明書が取り消されていないと決定した場合、前記第1の事業者の前記ユーザー機器に第2のアクセス認証メッセージを送信するステップであって、前記第2のアクセス認証メッセージは、前記第1の認証証明書を含み、前記第1の認証証明書は、前記第1の事業者の前記ユーザー機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第1の事業者の前記ユーザー機器を前記モバイルネットワークにアクセスさせるために用いられるステップとを含む、モバイルネットワークアクセス方法。
前記方法は、
前記第1のUE証明書を含む、前記第1の事業者のユーザ機器により送信された第1のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のUE証明書取り消し情報及び前記第1のCA証明書を取得するステップと、
前記第1のCA証明書における公開鍵に基づいて、前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のUE証明書取り消し情報に基づいて前記第1のUE証明書が取り消されたか否かを決定するステップと、
前記第1のUE証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第1のUE証明書が取り消されていないと決定した場合、前記第1の事業者の前記ユーザー機器に第2のアクセス認証メッセージを送信するステップであって、前記第2のアクセス認証メッセージは、前記第1の認証証明書を含み、前記第1の認証証明書は、前記第1の事業者の前記ユーザー機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第1の事業者の前記ユーザー機器を前記モバイルネットワークにアクセスさせるために用いられるステップとを含む、モバイルネットワークアクセス方法。
【0112】
5.前記方法は、実施例2における第1のネットワーク認証サービスノードに適用され、
前記方法は、
前記第2のUE証明書を含む、前記第2の事業者のユーザ機器により送信された第3のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のCA証明書、前記第1のローミング許可証明書、前記第2のローミング許可証明書を取得するステップと、
前記第1のCA証明書、前記第2のUE証明書、前記第1のローミング許可証明書及び前記第2のローミング許可証明書を取得した場合、前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第2のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記第2の事業者の前記ユーザー機器に第4のアクセス認証メッセージを送信するステップであって、前記第4のアクセス認証メッセージは、前記第1の認証証明書及び前記第1のローミング許可証明書を含み、前記第1の認証証明書及び前記第1のローミング許可証明書は、前記第2の事業者の前記ユーザー機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第2の事業者の前記ユーザー機器を前記モバイルネットワークにアクセスさせるために用いられるステップとをさらに含む、実施例4に記載の方法。
前記方法は、
前記第2のUE証明書を含む、前記第2の事業者のユーザ機器により送信された第3のアクセス認証情報を受信するステップと、
前記ブロックチェーンから前記第1のCA証明書、前記第1のローミング許可証明書、前記第2のローミング許可証明書を取得するステップと、
前記第1のCA証明書、前記第2のUE証明書、前記第1のローミング許可証明書及び前記第2のローミング許可証明書を取得した場合、前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第2のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2のUE証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記第2の事業者の前記ユーザー機器に第4のアクセス認証メッセージを送信するステップであって、前記第4のアクセス認証メッセージは、前記第1の認証証明書及び前記第1のローミング許可証明書を含み、前記第1の認証証明書及び前記第1のローミング許可証明書は、前記第2の事業者の前記ユーザー機器が前記第1のネットワーク認証サービスノードに対してアイデンティティ認証を行い、前記アイデンティティ認証に成功した場合、前記第2の事業者の前記ユーザー機器を前記モバイルネットワークにアクセスさせるために用いられるステップとをさらに含む、実施例4に記載の方法。
【0113】
6、モバイルネットワークアクセス方法であって、前記方法は第1の事業者のユーザ機器に適用され、
前記方法は、
実施例1~3のいずれかに記載のシステムにおける前記第1のネットワーク認証サービスノードである第1のネットワーク認証サービスノードに、前記第1のUE証明書を含む第1のアクセス認証情報を送信するステップと、
前記第1の認証証明書を含む、前記第1のネットワーク認証サービスノードにより送信された第2のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1の認証証明書が前記第1の発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1の認証証明書が前記第1の発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとを含む、モバイルネットワークアクセス方法。
前記方法は、
実施例1~3のいずれかに記載のシステムにおける前記第1のネットワーク認証サービスノードである第1のネットワーク認証サービスノードに、前記第1のUE証明書を含む第1のアクセス認証情報を送信するステップと、
前記第1の認証証明書を含む、前記第1のネットワーク認証サービスノードにより送信された第2のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1の認証証明書が前記第1の発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1の認証証明書が前記第1の発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとを含む、モバイルネットワークアクセス方法。
【0114】
7、実施例2に記載のシステムにおける前記第2のネットワーク認証サービスノードである第2のネットワーク認証サービスノードに、前記第2のUE証明書を含む第5のアクセス認証情報を送信するステップと、
前記第2の認証証明書及び前記第1のローミング許可証明書を含む、前記第2のネットワーク認証サービスノードにより送信された第6のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとをさらに含む、実施例6に記載の方法。
前記第2の認証証明書及び前記第1のローミング許可証明書を含む、前記第2のネットワーク認証サービスノードにより送信された第6のアクセス認証メッセージを受信するステップと、
予め設定された前記第1のCA証明書における公開鍵に基づいて、前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであるか否かを認証し、前記第1のローミング許可証明書における前記第2の証明書発行ノードの公開鍵に基づいて、前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであるか否かを認証するステップと、
前記第1のローミング許可証明書が前記第1の証明書発行ノードにより発行されたものであり、かつ前記第2の認証証明書が前記第2の証明書発行ノードにより発行されたものであると決定した場合、前記モバイルネットワークにアクセスするステップとをさらに含む、実施例6に記載の方法。
【0115】
8、コンピュータプログラムが記憶されているネットワーク認証サーバの記憶媒体であって、該プログラムがプロセッサにより実行されると、実施例4又は5に記載のモバイルネットワークのアクセス方法のステップを実現する、ネットワーク認証サーバの記憶媒体。
【0116】
9、コンピュータプログラムが記憶されているユーザ機器の記憶媒体であって、該プログラムがプロセッサにより実行されると、実施例6又は7に記載のモバイルネットワークのアクセス方法のステップを実現する、ユーザ機器の記憶媒体。
【0117】
10、ネットワーク認証サーバであって、
コンピュータプログラムが記憶されているメモリと、
前記メモリにおける前記コンピュータプログラムを実行することで、実施例4又は5に記載のモバイルネットワークのアクセス方法のステップを実現するためのプロセッサとを含む、ネットワーク認証サーバ。
コンピュータプログラムが記憶されているメモリと、
前記メモリにおける前記コンピュータプログラムを実行することで、実施例4又は5に記載のモバイルネットワークのアクセス方法のステップを実現するためのプロセッサとを含む、ネットワーク認証サーバ。
【0118】
11、ユーザ機器であって、
コンピュータプログラムが記憶されているメモリと、
前記メモリにおける前記コンピュータプログラムを実行することで、実施例6又は7に記載のモバイルネットワークのアクセス方法のステップを実現するためのプロセッサとを含む、ユーザ機器。
コンピュータプログラムが記憶されているメモリと、
前記メモリにおける前記コンピュータプログラムを実行することで、実施例6又は7に記載のモバイルネットワークのアクセス方法のステップを実現するためのプロセッサとを含む、ユーザ機器。
【0119】
12、コンピュータ読み取り可能なコードを含むコンピュータプログラムであって、前記コンピュータ読み取り可能なコードが計算処理機器上で実行されると、前記計算処理機器に実施例4又は5に記載の方法を実行させるか、又は、前記計算処理機器に実施例6又は7に記載の方法を実行させる、コンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【国際調査報告】