知財求人 - 知財ポータルサイト「IP Force」
▶ 中国移動通信有限公司研究院の特許一覧 ▶ 中国移動通信集団有限公司の特許一覧
特表2024-501326アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-01-11
(54)【発明の名称】アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
(51)【国際特許分類】
G06F 21/44 20130101AFI20231228BHJP
G06F 21/64 20130101ALI20231228BHJP
【FI】
G06F21/44
G06F21/64
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023539818
(86)(22)【出願日】2021-12-27
(85)【翻訳文提出日】2023-07-06
(86)【国際出願番号】 CN2021141520
(87)【国際公開番号】W WO2022143498
(87)【国際公開日】2022-07-07
(31)【優先権主張番号】202011591112.0
(32)【優先日】2020-12-29
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】518389015
【氏名又は名称】中国移動通信有限公司研究院
【氏名又は名称原語表記】China Mobile Communication Co., Ltd Research Institute
【住所又は居所原語表記】32 Xuanwumen West Street, Xicheng District, Beijing 100053, China
(71)【出願人】
【識別番号】518301095
【氏名又は名称】中国移動通信集団有限公司
(74)【代理人】
【識別番号】100118256
【弁理士】
【氏名又は名称】小野寺 隆
(74)【代理人】
【識別番号】100166338
【弁理士】
【氏名又は名称】関口 正夫
(72)【発明者】
【氏名】閻 軍智
(72)【発明者】
【氏名】楊 波
(72)【発明者】
【氏名】粟 栗
(57)【要約】
本開示は、アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノードを提供し、ここで、アクセス制御方法は、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得することと、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることとを含む。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
第1ネットワーク側機器に適用するアクセス制御方法であって、前記方法は、
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む、アクセス制御方法。
【請求項2】
前記端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することは、前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、
前記端末の送信するアクセス要求を受信し、
前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、
前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む
請求項1に記載のアクセス制御方法。
【請求項3】
前記プリセット情報が前記端末の公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、
前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む
請求項1に記載のアクセス制御方法。
【請求項4】
前記プリセット情報が前記第1端末識別子情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む
請求項1に記載のアクセス制御方法。
【請求項5】
前記プリセット情報が前記第2端末識別子情報及び公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む
請求項1に記載のアクセス制御方法。
【請求項6】
前記プリセット情報が前記第2端末識別子情報及び公開鍵のハッシュ値を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、
前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む
請求項1に記載のアクセス制御方法。
【請求項7】
前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものであり、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含み、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記タイムスタンプが有効期内にあるか否かを確認することと、
前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む
請求項1又は2に記載のアクセス制御方法。
【請求項8】
前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含み、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、
前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む
請求項1に記載のアクセス制御方法。
【請求項9】
前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報として前記ブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記方法は、さらに、
前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得ることと、
前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得ることと、を含み、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む
請求項1に記載のアクセス制御方法。
【請求項10】
前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む
請求項9に記載のアクセス制御方法。
【請求項11】
端末に適用するアクセス制御方法であって、前記方法は、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む、アクセス制御方法。
【請求項12】
前記アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することは、検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、
アクセス要求を第1ネットワーク側機器に送信し、
前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、
前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む
請求項11に記載のアクセス制御方法。
【請求項13】
前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものであり、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含む
請求項11又は12に記載のアクセス制御方法。
【請求項14】
前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記端末の属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含む請求項11に記載のアクセス制御方法。
【請求項15】
前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報としてブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む
請求項11に記載のアクセス制御方法。
【請求項16】
前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む
請求項15に記載のアクセス制御方法。
【請求項17】
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する前に、前記方法は、さらに、前記端末の認証されるべき情報を第1ブロックチェーンノードに送信することを含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む
請求項11に記載のアクセス制御方法。
【請求項18】
第1ブロックチェーンノードに適用するアクセス制御方法であって、前記方法は、
端末の送信する認証されるべき情報を受信することと、
前記認証されるべき情報を認証することと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることと、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む、アクセス制御方法。
【請求項19】
前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む
請求項18に記載のアクセス制御方法。
【請求項20】
前記認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることは、暗号化用の第1鍵をランダムに生成することと、
前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む
請求項18に記載のアクセス制御方法。
【請求項21】
暗号化用の第1鍵をランダムに生成した後、前記方法は、さらに、前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させることを含む
請求項20に記載のアクセス制御方法。
【請求項22】
前記認証されるべき情報を認証することは、第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、
第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含む
請求項18に記載のアクセス制御方法。
【請求項23】
前記認証されるべき情報を認証することは、第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、
第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む
請求項18に記載のアクセス制御方法。
【請求項24】
前記認証されるべき情報を認証することは、前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む
請求項18に記載のアクセス制御方法。
【請求項25】
第1ネットワーク側機器に適用するアクセス制御装置であって、前記アクセス制御装置は、
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信するように構成される第1受信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1受信モジュールと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得するように構成される第1取得モジュールと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証するように構成される第1検証モジュールと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得するように構成される第2受信モジュールと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックするように構成される第1フィードバックモジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む、アクセス制御装置。
【請求項26】
端末に適用するアクセス制御装置であって、前記アクセス制御装置は、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信するように構成される第1送信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1送信モジュールと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信するように構成される第3受信モジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む、アクセス制御装置。
【請求項27】
第1ブロックチェーンノードに適用するアクセス制御装置であって、前記アクセス制御装置は、
端末の送信する認証されるべき情報を受信するように構成される第4受信モジュールと、
前記認証されるべき情報を認証するように構成される第1認証モジュールと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させるように構成される第1記憶モジュールと、を含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む、アクセス制御装置。
【請求項28】
ネットワーク側機器であって、前記ネットワーク側機器は、第1ネットワーク側機器であり、プロセッサ及び送受信機を含み、
前記プロセッサは、
前記送受信機を介して、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、前記送受信機を介して、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む、ネットワーク側機器。
【請求項29】
端末であって、プロセッサ及び送受信機を含み、
前記プロセッサは、前記送受信機を介して、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記送受信機を介して、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む、端末。
【請求項30】
ブロックチェーンノードであって、前記ブロックチェーンノードは、第1ブロックチェーンノードであり、プロセッサ及び送受信機を含み、
前記プロセッサは、前記送受信機を介して、端末の送信する認証されるべき情報を受信することと、
前記認証されるべき情報を認証することと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることと、を実行するように構成され、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む、ブロックチェーンノード。
【請求項31】
ネットワーク側機器であって、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、
ここで、前記プロセッサが前記プログラムを実行するとき、請求項1から10のいずれか1項に記載のアクセス制御方法を実現する、ネットワーク側機器。
【請求項32】
端末であって、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、
ここで、前記プロセッサが前記プログラムを実行するとき、請求項11から17のいずれか1項に記載のアクセス制御方法を実現する、端末。
【請求項33】
ブロックチェーンノードであって、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、
ここで、前記プロセッサが前記プログラムを実行するとき、請求項18から24のいずれか1項に記載のアクセス制御方法を実現する、ブロックチェーンノード。
【請求項34】
プログラムが記憶されている可読記憶媒体であって、ここで、該プログラムがプロセッサによって実行されるとき、請求項1から10のいずれか1項に記載のアクセス制御方法におけるステップを実現し、
又は、
該プログラムがプロセッサによって実行されるとき、請求項11から17のいずれか1項に記載のアクセス制御方法におけるステップを実現し、
又は、
該プログラムがプロセッサによって実行されるとき、請求項18から24のいずれか1項に記載のアクセス制御方法におけるステップ実現する、可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の相互参照)
本開示は、2020年12月29日に中国に提出された出願番号が202011591112.0である中国特許出願に基づく優先権を主張し、その全ての内容が参照によって本開示に組み込まれる。
本開示は、2020年12月29日に中国に提出された出願番号が202011591112.0である中国特許出願に基づく優先権を主張し、その全ての内容が参照によって本開示に組み込まれる。
【0002】
本開示は、通信技術分野に関し、特に、アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノードに関する。
【背景技術】
【0003】
アクセス制御とは、システムがユーザアイデンティティ及びその所属するポリシーグループに対してデータリソース能力の使用を制限する手段である。アクセス制御は、システムの機密性、完全性、可用性、合法的な使用性の重要な基礎であり、ネットワークのセキュリティ防止と資源保護の重要なポリシーの1つであり、主体が特定の制御ポリシー又は権限に基づいて客体自身又はそのリソースに対して行う異なる許可アクセスでもある。
【0004】
アクセス制御の主な目的は、アクセス主体の客体へのアクセスを制限することにより、データリソースが合法的な範囲内で有効に使用され、管理されることを保証することである。例えば、システム管理者は、サーバ、ディレクトリ、ファイルなどのネットワークリソースへのユーザーアクセスを制御する。上記目的を達成するために、アクセス制御は、システムにアクセスしたユーザを識別及び確認し、そのユーザがあるシステムリソースにどのタイプのアクセスを行うことができるかを決定するという2つのタスクを完了する必要がある。
【0005】
アクセス制御機能は、客体にアクセス制御を実現することができ、集中的に配置されたデバイスにアクセス制御を実現することができる。前者では、客体機器に対する要求が高く、アクセス量が多い場合に客体性能に深刻な影響を与える。集中的に配置されたアクセス制御機能は、現在一般的に使用されている技術的手段であり、アクセス主体は、集中的なアクセス制御システムに要求を開始し、認証と許可を経た後、アクセス主体はゲストにアクセスを開始する。
【0006】
従来技術では、アクセス制御システムは、中心化された機器であるがネットワークに暴露されているため、分散型拒否サービス(Distributed Denial of Service、DDoS)などのネットワーク攻撃を受けやすいことを理解される。コントローラがネットワーク攻撃を受けてサービスを停止すると、システム全体が正常に動作しなくなる可能性がある。
【0007】
つまり、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害の問題が関連技術に存在している。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本開示、関連技術に存在している従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害の問題を解決するために、アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノードを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記技術的問題を解決するために、本開示の実施例は、第1ネットワーク側機器に適用するアクセス制御方法を提供し、前記方法は、
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0010】
選択可能に、前記端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することは、
前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、
前記端末の送信するアクセス要求を受信し、
前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、
前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む。
前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、
前記端末の送信するアクセス要求を受信し、
前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、
前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む。
【0011】
選択可能に、前記プリセット情報が前記端末の公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、
前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む。
前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、
前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む。
【0012】
選択可能に、前記プリセット情報が前記第1端末識別子情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
【0013】
選択可能に、前記プリセット情報が前記第2端末識別子情報及び公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
【0014】
選択可能に、前記プリセット情報が前記第2端末識別子情報及び公開鍵のハッシュ値を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、
前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む。
前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、
前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む。
【0015】
選択可能に、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得する。
検証に成功した場合、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得する。
【0016】
選択可能に、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0017】
選択可能に、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含み、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記タイムスタンプが有効期内にあるか否かを確認することと、
前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む。
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記タイムスタンプが有効期内にあるか否かを確認することと、
前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む。
【0018】
選択可能に、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含み、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、
前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む。
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、
前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む。
【0019】
選択可能に、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報として前記ブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記方法は、さらに、
前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得ることと、
前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得ることと、を含み、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記方法は、さらに、
前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得ることと、
前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得ることと、を含み、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0020】
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0021】
本開示の実施例は、さらに、端末に適用するアクセス制御方法を提供し、前記方法は、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0022】
選択可能に、前記アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することは、
検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、
アクセス要求を第1ネットワーク側機器に送信し、
前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、
前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む。
検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、
アクセス要求を第1ネットワーク側機器に送信し、
前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、
前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む。
【0023】
選択可能に、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0024】
選択可能に、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含む。
【0025】
選択可能に、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記端末の属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含む。
【0026】
選択可能に、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報としてブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0027】
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0028】
選択可能に、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する前に、前記方法は、さらに、
前記端末の認証されるべき情報を第1ブロックチェーンノードに送信することを含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
前記端末の認証されるべき情報を第1ブロックチェーンノードに送信することを含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
【0029】
本開示の実施例は、さらに、第1ブロックチェーンノードに適用するアクセス制御方法を提供し、前記方法は、
端末の送信する認証されるべき情報を受信することと、
前記認証されるべき情報を認証することと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることと、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
端末の送信する認証されるべき情報を受信することと、
前記認証されるべき情報を認証することと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることと、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0030】
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0031】
選択可能に、前記認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることは、
暗号化用の第1鍵をランダムに生成することと、
前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む。
暗号化用の第1鍵をランダムに生成することと、
前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む。
【0032】
選択可能に、暗号化用の第1鍵をランダムに生成した後、前記方法は、さらに、
前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させることを含む。
前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させることを含む。
【0033】
選択可能に、前記認証されるべき情報を認証することは、
第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、
第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含む。
第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、
第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含む。
【0034】
選択可能に、前記認証されるべき情報を認証することは、
第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、
第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、
第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
【0035】
選択可能に、前記認証されるべき情報を認証することは、
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
【0036】
本開示の実施例は、さらに、第2ブロックチェーンノードに適用するアクセス制御方法を提供し、前記方法は、
第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信すること、
及び、
前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、及び/又は、
前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、を含み、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信すること、
及び、
前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、及び/又は、
前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、を含み、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
【0037】
本開示の実施例は、さらに、第2ネットワーク側機器に適用するアクセス制御方法を提供し、前記方法は、
ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信することと、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名することと、
前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックすることと、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信することと、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名することと、
前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックすることと、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
【0038】
本開示の実施例は、さらに、第3ネットワーク側機器に適用するアクセス制御方法を提供し、前記方法は、
ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信することと、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名することと、
前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックすることと、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信することと、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名することと、
前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックすることと、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
【0039】
本開示の実施例は、さらに、第1ネットワーク側機器に適用するアクセス制御装置を提供し、前記装置は、
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信するように構成される第1受信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1受信モジュールと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得するように構成される第1取得モジュールと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証するように構成される第1検証モジュールと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得するように構成される第2受信モジュールと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックするように構成される第1フィードバックモジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信するように構成される第1受信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1受信モジュールと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得するように構成される第1取得モジュールと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証するように構成される第1検証モジュールと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得するように構成される第2受信モジュールと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックするように構成される第1フィードバックモジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0040】
選択可能に、前記端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することは、
前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、
前記端末の送信するアクセス要求を受信し、
前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、
前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む。
前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、
前記端末の送信するアクセス要求を受信し、
前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、
前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む。
【0041】
選択可能に、前記プリセット情報が前記端末の公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、
前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む。
前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、
前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む。
【0042】
選択可能に、前記プリセット情報が前記第1端末識別子情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
【0043】
選択可能に、前記プリセット情報が前記第2端末識別子情報及び公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
【0044】
選択可能に、前記プリセット情報が前記第2端末識別子情報及び公開鍵のハッシュ値を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、
前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む。
前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、
前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む。
【0045】
選択可能に、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得する。
検証に成功した場合、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得する。
【0046】
選択可能に、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0047】
選択可能に、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含み、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記タイムスタンプが有効期内にあるか否かを確認することと、
前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む。
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記タイムスタンプが有効期内にあるか否かを確認することと、
前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む。
【0048】
選択可能に、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含み、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、
前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む。
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、
前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む。
【0049】
選択可能に、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報として前記ブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、
前記アクセス制御装置は、さらに、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得るように構成される第1復号モジュールと、
前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得るように構成される第2復号モジュールと、を含み、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
前記アクセス制御装置は、さらに、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得るように構成される第1復号モジュールと、
前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得るように構成される第2復号モジュールと、を含み、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0050】
本開示の実施例は、さらに、端末に適用するアクセス制御装置を提供し、前記装置は、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信するように構成される第1送信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1送信モジュールと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信するように構成される第3受信モジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信するように構成される第1送信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1送信モジュールと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信するように構成される第3受信モジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0051】
選択可能に、前記アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することは、
検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、
アクセス要求を第1ネットワーク側機器に送信し、
前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、
前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む。
検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、
アクセス要求を第1ネットワーク側機器に送信し、
前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、
前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む。
【0052】
選択可能に、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0053】
選択可能に、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含む。
【0054】
選択可能に、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記端末の属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含む。
【0055】
選択可能に、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報としてブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0056】
選択可能に、さらに、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する前に、前記端末の認証されるべき情報を第1ブロックチェーンノードに送信するように構成される第2送信モジュールを含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する前に、前記端末の認証されるべき情報を第1ブロックチェーンノードに送信するように構成される第2送信モジュールを含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
【0057】
本開示の実施例は、さらに、第1ブロックチェーンノードに適用するアクセス制御装置を提供し、前記装置は、
端末の送信する認証されるべき情報を受信するように構成される第4受信モジュールと、
前記認証されるべき情報を認証するように構成される第1認証モジュールと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させるように構成される第1記憶モジュールと、を含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
端末の送信する認証されるべき情報を受信するように構成される第4受信モジュールと、
前記認証されるべき情報を認証するように構成される第1認証モジュールと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させるように構成される第1記憶モジュールと、を含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0058】
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0059】
選択可能に、前記認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることは、
暗号化用の第1鍵をランダムに生成することと、
前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む。
暗号化用の第1鍵をランダムに生成することと、
前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む。
【0060】
選択可能に、さらに、
暗号化用の第1鍵をランダムに生成した後、前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させるように構成される第1処理モジュールを含む。
暗号化用の第1鍵をランダムに生成した後、前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させるように構成される第1処理モジュールを含む。
【0061】
選択可能に、前記認証されるべき情報を認証することは、
第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、
第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含む。
第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、
第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含む。
【0062】
選択可能に、前記認証されるべき情報を認証することは、
第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、
第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、
第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
【0063】
選択可能に、前記認証されるべき情報を認証することは、
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
【0064】
本開示の実施例は、さらに、第2ブロックチェーンノードに適用するアクセス制御装置を提供し、前記装置は、
第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信するように構成される第5受信モジュール、
及び、
前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックするように構成される第2処理モジュール、及び/又は、
前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックするように構成される第3処理モジュール、を含み、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信するように構成される第5受信モジュール、
及び、
前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックするように構成される第2処理モジュール、及び/又は、
前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックするように構成される第3処理モジュール、を含み、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
【0065】
本開示の実施例は、さらに、第2ネットワーク側機器に適用するアクセス制御装置を提供し、前記装置は、
ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信するように構成される第6受信モジュールと、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名するように構成される第4処理モジュールと、
前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックするように構成される第2フィードバックモジュールと、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信するように構成される第6受信モジュールと、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名するように構成される第4処理モジュールと、
前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックするように構成される第2フィードバックモジュールと、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
【0066】
本開示の実施例は、さらに、第3ネットワーク側機器に適用するアクセス制御装置を提供し、前記装置は、
ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信するように構成される第7受信モジュールと、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名するように構成される第5処理モジュールと、
前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックするように構成される第3フィードバックモジュールと、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信するように構成される第7受信モジュールと、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名するように構成される第5処理モジュールと、
前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックするように構成される第3フィードバックモジュールと、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
【0067】
本開示の実施例は、さらに、ネットワーク側機器を提供し、
前記ネットワーク側機器は、第1ネットワーク側機器であり、プロセッサ及び送受信機を含み、
前記プロセッサは、
前記送受信機を介して、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、前記送受信機を介して、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
前記ネットワーク側機器は、第1ネットワーク側機器であり、プロセッサ及び送受信機を含み、
前記プロセッサは、
前記送受信機を介して、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、前記送受信機を介して、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0068】
選択可能に、前記端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することは、
前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、
前記端末の送信するアクセス要求を受信し、
前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、
前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む。
前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、
前記端末の送信するアクセス要求を受信し、
前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、
前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む。
【0069】
選択可能に、前記プリセット情報が前記端末の公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、
前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む。
前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、
前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む。
【0070】
選択可能に、前記プリセット情報が前記第1端末識別子情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
【0071】
選択可能に、前記プリセット情報が前記第2端末識別子情報及び公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
【0072】
選択可能に、前記プリセット情報が前記第2端末識別子情報及び公開鍵のハッシュ値を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、
前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む。
前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、
前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む。
【0073】
選択可能に、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得する。
検証に成功した場合、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得する。
【0074】
選択可能に、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0075】
選択可能に、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含み、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記タイムスタンプが有効期内にあるか否かを確認することと、
前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む。
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記タイムスタンプが有効期内にあるか否かを確認することと、
前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む。
【0076】
選択可能に、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含み、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、
前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む。
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、
前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む。
【0077】
選択可能に、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報として前記ブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、
前記プロセッサは、さらに、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする之前、前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得ることと、
前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得ることと、を実行するように構成され、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記プロセッサは、さらに、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする之前、前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得ることと、
前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得ることと、を実行するように構成され、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0078】
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0079】
本開示の実施例は、さらに、プロセッサ及び送受信機を含む端末を提供し、
前記プロセッサは、
前記送受信機を介して、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記送受信機を介して、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
前記プロセッサは、
前記送受信機を介して、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記送受信機を介して、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0080】
選択可能に、前記アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することは、
検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、
アクセス要求を第1ネットワーク側機器に送信し、
前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、
前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む。
検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、
アクセス要求を第1ネットワーク側機器に送信し、
前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、
前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む。
【0081】
選択可能に、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0082】
選択可能に、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含む。
【0083】
選択可能に、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記端末の属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含む。
【0084】
選択可能に、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報としてブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0085】
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0086】
選択可能に、前記プロセッサは、さらに、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する之前、前記送受信機を介して、前記端末の認証されるべき情報を第1ブロックチェーンノードに送信することを実行するように構成され、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する之前、前記送受信機を介して、前記端末の認証されるべき情報を第1ブロックチェーンノードに送信することを実行するように構成され、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
【0087】
本開示の実施例は、さらに、ブロックチェーンノードを提供し、前記ブロックチェーンノードは、第1ブロックチェーンノードであり、プロセッサ及び送受信機を含み、
前記プロセッサは、
前記送受信機を介して、端末の送信する認証されるべき情報を受信することと、
前記認証されるべき情報を認証することと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることと、を実行するように構成され、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記プロセッサは、
前記送受信機を介して、端末の送信する認証されるべき情報を受信することと、
前記認証されるべき情報を認証することと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることと、を実行するように構成され、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0088】
選択可能に、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0089】
選択可能に、前記認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることは、
暗号化用の第1鍵をランダムに生成することと、
前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む。
暗号化用の第1鍵をランダムに生成することと、
前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む。
【0090】
選択可能に、前記プロセッサは、さらに、
暗号化用の第1鍵をランダムに生成した後、前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させることを実行するように構成される。
暗号化用の第1鍵をランダムに生成した後、前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させることを実行するように構成される。
【0091】
選択可能に、前記認証されるべき情報を認証することは、
第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、
第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含む。
第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、
第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含む。
【0092】
選択可能に、前記認証されるべき情報を認証することは、
第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、
第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、
前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、
第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
【0093】
選択可能に、前記認証されるべき情報を認証することは、
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
【0094】
本開示の実施例は、さらに、ブロックチェーンノードを提供し、前記ブロックチェーンノードは第2ブロックチェーンノードであり、プロセッサ及び送受信機を含み、
前記プロセッサは、
前記送受信機を介して、第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信すること、
及び、
前記送受信機を介して、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、及び/又は、
前記送受信機を介して、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、を実行するように構成され、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
前記プロセッサは、
前記送受信機を介して、第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信すること、
及び、
前記送受信機を介して、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、及び/又は、
前記送受信機を介して、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、を実行するように構成され、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
【0095】
本開示の実施例は、さらに、ネットワーク側機器を提供し、前記ネットワーク側機器は、第2ネットワーク側機器であり、プロセッサ及び送受信機を含み、
前記プロセッサは、
前記送受信機を介して、ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信することと、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名することと、
前記送受信機を介して、前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックすることと、を実行するように構成され、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
前記プロセッサは、
前記送受信機を介して、ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信することと、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名することと、
前記送受信機を介して、前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックすることと、を実行するように構成され、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
【0096】
本開示の実施例は、さらに、ネットワーク側機器を提供し、前記ネットワーク側機器は、第3ネットワーク側機器であり、プロセッサ及び送受信機を含み、
前記プロセッサは、
前記送受信機を介して、ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信することと、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名することと、
前記送受信機を介して、前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックすることと、を実行するように構成され、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
前記プロセッサは、
前記送受信機を介して、ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信することと、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名することと、
前記送受信機を介して、前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックすることと、を実行するように構成され、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
【0097】
本開示の実施例は、さらに、ネットワーク側機器を提供し、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行するとき、上記第1ネットワーク側機器側のアクセス制御方法を実現し、又は、前記プロセッサが前記プログラムを実行するとき、上記第2ネットワーク側機器側のアクセス制御方法を実現し、又は、前記プロセッサが前記プログラムを実行するとき、上記第3ネットワーク側機器側のアクセス制御方法を実現する。
【0098】
本開示の実施例は、さらに、端末を提供し、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行するとき、上記端末側のアクセス制御方法を実現する。
【0099】
本開示の実施例は、さらに、ブロックチェーンノードを提供し、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行するとき、上記第1ブロックチェーンノード側のアクセス制御方法を実現し、又は、前記プロセッサが前記プログラムを実行するとき、上記第2ブロックチェーンノード側のアクセス制御方法を実現する。
【0100】
本開示の実施例は、さらに、プログラムが記憶されている可読記憶媒体を提供し、該プログラムがプロセッサによって実行されるとき、上記第1ネットワーク側機器側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記端末側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記第1ブロックチェーンノード側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記第2ブロックチェーンノード側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記第2ネットワーク側機器側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記第3ネットワーク側機器側のアクセス制御方法におけるステップを実現する。
【発明の効果】
【0101】
本開示の上記技術的解決手段は、以下の有益な効果を有する。
【0102】
上記技術的解決手段において、前記アクセス制御方法によれば、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含み、続いて、前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得し、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証し、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得し、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックし、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0103】
本開示の実施例の技術的解決手段をより明確に説明するために、以下、本開示の実施例の説明に使用する必要がある図面を簡単に説明する。明らかに、以下の説明における図面は、本開示のいくつかの実施例にすぎず、当業者にとっては、創造的な労働を払わずに、これらの図面に基づいて他の図面を得ることができる。
【図面の簡単な説明】
【0104】
【図1】本開示の実施例のアクセス制御方法フロー模式図である(その一)。
【図2】本開示の実施例のアクセス制御方法フロー模式図である(その二)。
【図3】本開示の実施例のアクセス制御方法フロー模式図である(その三)。
【図4】本開示の実施例のアクセス制御方法フロー模式図である(その四)。
【図5】本開示の実施例のアクセス制御方法フロー模式図である(その五)。
【図6】本開示の実施例のアクセス制御方法フロー模式図である(その六)。
【図7】本開示の実施例のアクセス制御方法の実現アーキテクチャの模式図である。
【図8a】本開示の実施例のアクセス制御方法の具体な実現フローの模式図である(その一)。
【図8b】本開示の実施例のアクセス制御方法の具体な実現フローの模式図である(その二)。
【図9】本開示の実施例の認証されるべき情報の認証アーキテクチャの模式図である(その一)。
【図10】本開示の実施例の認証されるべき情報の認証アーキテクチャの模式図である(その二)。
【図11】本開示の実施例のアクセス制御装置構成模式図である(その一)。
【図12】本開示の実施例のアクセス制御装置構成模式図である(その二)。
【図13】本開示の実施例のアクセス制御装置構成模式図である(その三)。
【図14】本開示の実施例のアクセス制御装置構成模式図である(その四)。
【図15】本開示の実施例のアクセス制御装置構成模式図である(その五)。
【図16】本開示の実施例のアクセス制御装置構成模式図である(その六)。
【図17】本開示の実施例のネットワーク側機器構造模式図である(その一)。
【図18】本開示の実施例の端末構造模式図である。
【図19】本開示の実施例のブロックチェーンノード構造模式図である(その一)。
【図20】本開示の実施例のブロックチェーンノード構造模式図である(その二)。
【図21】本開示の実施例のネットワーク側機器構造模式図である(その二)。
【図22】本開示の実施例のネットワーク側機器構造模式図である(その三)。
【発明を実施するための形態】
【0105】
本開示が解決しようとする技術的問題、技術的解決手段及び利点をより明確にするために、以下に図面及び具体な実施例を参照しながら詳細に説明する。
【0106】
関連技術に存在している従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害の問題について、本開示は、第1ネットワーク側機器に適用するアクセス制御方法を提供し、図1に示すように、以下のステップ11~15を含む。
【0107】
ステップ11において、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む。
【0108】
ステップ12において、前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得する。
【0109】
ステップ13において、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証する。
【0110】
ステップ14において、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得する。
【0111】
ステップ15において、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックし、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0112】
具体的には、ステップ15は、前記属性情報及び端末識別子情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることであってもよく、前記端末識別子情報は、上記の第1端末識別子情報、第2端末識別子情報又は第3端末識別子情報ことであってもよい。
【0113】
本開示の実施例に係る上記アクセス制御方法によれば、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含み、続いて、前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得し、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証し、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得し、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックし、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0114】
ここで、前記端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することは、前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、前記端末の送信するアクセス要求を受信し、前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む。
【0115】
本開示の実施例では、前記プリセット情報が前記端末の公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む。
【0116】
ここで、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることは、前記第3端末識別子情報及び属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることを含んでもよい。
【0117】
本開示の実施例では、前記プリセット情報が前記第1端末識別子情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
【0118】
ここで、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることは、前記第1端末識別子情報及び属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることを含む。
【0119】
本開示の実施例では、前記プリセット情報が前記第2端末識別子情報及び公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
【0120】
ここで、前記プリセット情報が前記第2端末識別子情報及び公開鍵のハッシュ値を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む。
【0121】
本開示の実施例では、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、検証に成功した場合、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
【0122】
ここで、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることは、前記第2端末識別子情報及び属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることを含む。
【0123】
本開示の実施例では、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0124】
ここで、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含み、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記タイムスタンプが有効期内にあるか否かを確認することと、前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む。
【0125】
具体的には、タイムスタンプ自体の確認に基づいてタイムスタンプが有効期内にあるか否かを決定することができるが、これに限定されていない。
【0126】
本開示の実施例では、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含み、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む。
【0127】
「前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認する」について、具体的には、まず、ブロックチェーン帳簿に記憶されている有効期情報(第2情報の有効期情報)に基づいてプリセット情報における有効期情報を照合し、続いて、核対に成功した場合、前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することであってもよい。
【0128】
ここで、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報として前記ブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記方法は、さらに、前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得ることと、前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得ることと、を含み、ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0129】
さらに、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0130】
本開示の実施例は、さらに、端末に適用するアクセス制御方法を提供し、図2に示すように、ステップ21~22を含む。
【0131】
ステップ21において、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信し、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む。
【0132】
ステップ22において、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信し、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0133】
本開示の実施例に係る上記アクセス制御方法によれば、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含み、続いて、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信し、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0134】
ここで、前記アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することは、検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、アクセス要求を第1ネットワーク側機器に送信し、前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む。
【0135】
本開示の実施例では、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0136】
ここで、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含む。
【0137】
本開示の実施例では、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記端末の属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含む。
【0138】
ここで、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報としてブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0139】
さらに、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0140】
本開示の実施例では、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する前に、前記方法は、さらに、前記端末の認証されるべき情報を第1ブロックチェーンノードに送信することを含み、ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
【0141】
本開示の実施例は、さらに、第1ブロックチェーンノードに適用するアクセス制御方法を提供し、図3に示すように、ステップ31~33を含む。
【0142】
ステップ31において、端末の送信する認証されるべき情報を受信する。
【0143】
ステップ32において、前記認証されるべき情報を認証する。
【0144】
ステップ33において、認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させ、ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0145】
ステップ32は、具体的に、共通認識メカニズムを用いて前記認証されるべき情報を認証することであってもよい。
【0146】
本開示の実施例に係る上記アクセス制御方法によれば、端末の送信する認証されるべき情報を受信し、前記認証されるべき情報を認証し、認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させ、ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、前記少なくとも1つの認証情報は、前記端末の属性情報、前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、及び、前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0147】
さらに、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0148】
ここで、前記認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることは、暗号化用の第1鍵をランダムに生成することと、前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む。
【0149】
さらに、暗号化用の第1鍵をランダムに生成した後、前記方法は、さらに、前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させることを含む。
【0150】
マルチプラットフォームによる認証を用いた状況について、本開示の実施例では、前記認証されるべき情報を認証することは、第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含み、
及び/又は、
前記認証されるべき情報を認証することは、第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
及び/又は、
前記認証されるべき情報を認証することは、第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
【0151】
ここで、第1プリセットポリシー、第3プリセットポリシー及び/又は第3プリセットポリシーは、予め設定されたポリシー又はスマート契約で約定されたポリシーである。
【0152】
中間ノードを介して、マルチプラットフォームによる認証を用いた状況について、本開示の実施例では、前記認証されるべき情報を認証することは、
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
【0153】
ここで、第3プリセットポリシー及び/又は第3プリセットポリシーは、予め設定されたポリシー又はスマート契約で約定されたポリシーである。
【0154】
本開示の実施例は、さらに、第2ブロックチェーンノードに適用するアクセス制御方法を提供し、図4に示すように、ステップ41~42を含む。
【0155】
ステップ41において、第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信する。
【0156】
ステップ42において、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、及び/又は、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、を含み、ここで、前記ユーザ証明情報は、端末識別子情報を含む。
【0157】
本開示の実施例に係る上記アクセス制御方法によれば、第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信し、及び、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックし、及び/又は、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックし、ここで、前記ユーザ証明情報は、端末識別子情報を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0158】
本開示の実施例は、さらに、第2ネットワーク側機器に適用するアクセス制御方法を提供し、図5に示すように、ステップ51~53を含む。
【0159】
ステップ51において、ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信する。
【0160】
ステップ52において、前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名する。
【0161】
ステップ53において、前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックし、ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、前記ユーザ証明情報は、端末識別子情報を含む。
【0162】
本開示の実施例に係る上記アクセス制御方法によれば、ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信し、前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名し、前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックし、ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、前記ユーザ証明情報は、端末識別子情報を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0163】
本開示の実施例は、さらに、第3ネットワーク側機器に適用するアクセス制御方法を提供し、図6に示すように、ステップ61~63を含む。
【0164】
ステップ61において、ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信する。
【0165】
ステップ62において、前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名する。
【0166】
ステップ63において、前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックし、ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
【0167】
本開示の実施例に係る上記アクセス制御方法によれば、ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信し、前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名し、前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックし、ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0168】
以下、第1ネットワーク側機器、第2ネットワーク側機器、第3ネットワーク側機器、端末、第1ブロックチェーンノード及び第2ブロックチェーンノードなどの複数の方面から、本開示の実施例に係る上記アクセス制御方法をさらに説明する。
【0169】
上記技術的問題に対し、本開示の実施例は、アクセス制御方法を提供し、具体的にブロックチェーンを用いてアクセス制御を実現する方法として実現することができ、ブロックチェーンの方式で認証及び検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害の問題を回避することができる。
【0170】
本開示の実施例に係るアクセス制御方法の実現アーキテクチャは、具体的には、図7に示すように、ユーザ(上記端末に対応)、ブロックチェーンシステム(第1ブロックチェーンノード及び第2ブロックチェーンノードを含む上記ブロックチェーンに対応)、及び、アプリケーション(上記第1ネットワーク側機器に対応)に関するものである。具体なブロックチェーンシステムにおけるブロックチェーンネットワークノードは、複数の認証ノードから構成され、そのうち、認証ノードは、主に、ユーザアイデンティティ(上記ユーザ証明情報に対応)を認証し、ユーザの属性(上記属性情報に対応)を認証し、認証後の結果をブロックチェーン帳簿に記録することを担当するものである。ユーザは、サービスシステム(上記第1ネットワーク側機器に対応)にアクセス時、サービスシステムは、ブロックチェーンでユーザアイデンティティ及び属性情報をクエリする。ユーザ(クライアント端)及びサービスシステム(具体的には、該システムにおけるアプリケーション(サーバ)である)は、いずれも、独自の公開鍵及び秘密鍵を所有している。
【0171】
本方法において、ユーザ(クライアント端)は、まず、アイデンティティ認証情報(上記ユーザ証明情報に対応)及び属性情報を含む認証要求(上記認証されるべき情報に対応)をブロックチェーンシステムに提出し、ブロックチェーンシステムにおける認証ノードは、アイデンティティ認証情報と属性情報をそれぞれ認証し、認証と共通認識を経った情報をブロックチェーン帳簿に記録し、主な流れは以下の通りである。
【0172】
操作1. ユーザ(クライアント端)は、アイデンティティ認証情報及び/又は属性情報をブロックチェーンシステムに提出する。
【0173】
操作2. ブロックチェーンノード(即ち上記第1ブロックチェーンノード)は、上記情報(アイデンティティ認証情報及び/又は属性情報)を認証する(具体的に、これらの情報の正確性を認証してもよい)。
【0174】
操作3. 上記情報がブロックチェーンノード認証及び共通認識を経った後、ブロックチェーンノードは、ユーザID(上記ユーザ証明情報に対応し、具体的に上記第1端末識別子情報、第2端末識別子情報又は第3端末識別子情報に対応することができる)、及び/又は、ユーザ公開鍵ハッシュ値及び/又はユーザ公開鍵、ユーザ属性情報(即ち上記端末の属性情報)、有効期(即ち上記有効期情報)などをブロックチェーン帳簿に記録する。
【0175】
選択可能に、情報漏洩を防ぐために、データを暗号化して記憶することができる。例えば、記録する必要があるデータのプレーンテキストをinfoと表記し、ブロックチェーン帳簿に記録されている暗号文を(Epk_C(K)、Ek(info))と表記する。ここで、pk_Cは、ユーザの公開鍵である。Eは、暗号化を表し、Eの下付き文字は、使用される鍵を表し、括弧内は、データを表し、Kは、ブロックチェーンノードによってランダムに生成される第1鍵である。
【0176】
操作4. ユーザは、アプリケーションサーバ(上記第1ネットワーク側機器に対応)にアクセス要求を開始する。
【0177】
a) 方式一(タイムスタンプ署名)
タイムスタンプ、タイムスタンプに対するユーザ秘密鍵の署名(即ち、上記第1署名情報)、ユーザID及び/又はユーザ公開鍵ハッシュ値及び/又はユーザ公開鍵、ユーザ属性情報、有効期などの情報のブロックチェーン内の位置(即ち、上記位置情報)を含み、操作3にユーザ公開鍵が記録されていない場合(ハッシュ値が記録されている場合)、本操作ではユーザ公開鍵も付帯する必要がある。
タイムスタンプ、タイムスタンプに対するユーザ秘密鍵の署名(即ち、上記第1署名情報)、ユーザID及び/又はユーザ公開鍵ハッシュ値及び/又はユーザ公開鍵、ユーザ属性情報、有効期などの情報のブロックチェーン内の位置(即ち、上記位置情報)を含み、操作3にユーザ公開鍵が記録されていない場合(ハッシュ値が記録されている場合)、本操作ではユーザ公開鍵も付帯する必要がある。
【0178】
b) 方式二(ランダム数署名)
ユーザ情報を付帯しないことを要求し、アプリケーションサーバは、ランダム数を返し、ユーザは、秘密鍵を用いてランダム数を署名し(即ち上記第2署名情報)、そして、署名及びユーザID及び/又はユーザ公開鍵ハッシュ値及び/又はユーザ公開鍵、ユーザ属性情報、有効期なおの情報のブロックチェーン内の位置をアプリケーションサーバに送信し、操作3にユーザ公開鍵が記録されていない場合本操作ではユーザ公開鍵も付帯する必要がある。
ユーザ情報を付帯しないことを要求し、アプリケーションサーバは、ランダム数を返し、ユーザは、秘密鍵を用いてランダム数を署名し(即ち上記第2署名情報)、そして、署名及びユーザID及び/又はユーザ公開鍵ハッシュ値及び/又はユーザ公開鍵、ユーザ属性情報、有効期なおの情報のブロックチェーン内の位置をアプリケーションサーバに送信し、操作3にユーザ公開鍵が記録されていない場合本操作ではユーザ公開鍵も付帯する必要がある。
【0179】
なお、データが暗号化されて記憶されている場合、上記2種の方式において、アクセス要求には、さらに、(Epk_S(K))である復号鍵(即ち、上記前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵)が含まれるべきであり、ここで、pk_Sは、アプリケーションサーバの公開鍵である。
【0180】
操作5. アプリケーションサーバは、ブロックチェーン帳簿で関連情報をクエリしてユーザ(クライアント端)を検証する。
【0181】
a) 方式一(タイムスタンプ署名)
ユーザ公開鍵を用いてタイムスタンプに対する署名が正確であるか否か、タイムスタンプが有効期内にあるか否かを検証し、ユーザ公開鍵又はハッシュ値が帳簿に記録されているものと一致(又はマッチング)しているか否かを検証する。検証に成功した場合、該ユーザが帳簿内のユーザであり、帳簿に記録されている属性情報が該ユーザの属性であることを説明し、アプリケーションサーバは、さらに、その属性情報及びユーザIDを用いてアクセス許可(制御アクセス)を行うことができる。
ユーザ公開鍵を用いてタイムスタンプに対する署名が正確であるか否か、タイムスタンプが有効期内にあるか否かを検証し、ユーザ公開鍵又はハッシュ値が帳簿に記録されているものと一致(又はマッチング)しているか否かを検証する。検証に成功した場合、該ユーザが帳簿内のユーザであり、帳簿に記録されている属性情報が該ユーザの属性であることを説明し、アプリケーションサーバは、さらに、その属性情報及びユーザIDを用いてアクセス許可(制御アクセス)を行うことができる。
【0182】
b) 方式二(ランダム数署名)
ユーザ公開鍵を用いてランダム数に対する署名が正確であるか否かを検証し、ユーザ公開鍵又はハッシュ値が帳簿に記録されているものと一致(又はマッチング)しているか否かを検証する。検証に成功した場合、該ユーザが帳簿内のユーザであり、帳簿に記録されている属性情報が該ユーザの属性であることを説明し、アプリケーションサーバは、さらに、その属性情報及びユーザIDを用いてアクセス許可を行うことができる。
ユーザ公開鍵を用いてランダム数に対する署名が正確であるか否かを検証し、ユーザ公開鍵又はハッシュ値が帳簿に記録されているものと一致(又はマッチング)しているか否かを検証する。検証に成功した場合、該ユーザが帳簿内のユーザであり、帳簿に記録されている属性情報が該ユーザの属性であることを説明し、アプリケーションサーバは、さらに、その属性情報及びユーザIDを用いてアクセス許可を行うことができる。
【0183】
なお、データが暗号化されて記憶されている場合、上記2種の方式において、アプリケーションサーバは、さらに、サーバ秘密鍵を用いてKを復号し、さらに、帳簿内の暗号文に対して復号操作(DK(Ek(info)))を行い、info、即ちユーザ情報(ユーザID)及び属性情報を得るべきであり、ここで、Dは、復号を表す。
【0184】
具体的には、いくつかの実施例において、本開示の実施例に係る上記アクセス制御方法は、図8aに示すように(アプリケーションサーバ(ゲートウェイ)である第1ネットワーク側機器を例とする)、ステップ81~88を含むことができる。
【0185】
ステップ81において、ユーザ(クライアント端)は、認証要求(上記認証されるべき情報に対応)をブロックチェーンノード(即ち上記第1ブロックチェーンノード)に送信する。
【0186】
ステップ82において、ブロックチェーンノードは、認証操作を実行する。
【0187】
ステップ83において、認証に成功した場合、ブロックチェーン帳簿に記録する(ユーザID及び/又は公開鍵、属性情報)。
【0188】
ステップ84において、ブロックチェーンノードは、認証応答をユーザ(クライアント端)にフィードバックする。
【0189】
ステップ85において、ユーザ(クライアント端)は、アクセス要求をアプリケーションサーバ(ゲートウェイ)に送信する。
【0190】
ステップ86において、アプリケーションサーバ(ゲートウェイ)は、ブロックチェーン帳簿でユーザ認証情報及び属性情報をクエリする。
【0191】
ステップ87において、アプリケーションサーバ(ゲートウェイ)は、クエリされた情報に基づいてユーザ(クライアント端)を検証する。
【0192】
ステップ88において、アプリケーションサーバ(ゲートウェイ)は、要求応答をユーザ(クライアント端)にフィードバックする。
【0193】
別の実施例において、本開示の実施例のアクセス制御方法は、さらに、ソフトウェア定義境界(Software Defined Perimeter、SDP)シーンにも適用することができ、具体な実現フローは、図8b(SDP接続受付ホスト(Accepting SDP Hosts、AH)である第1ネットワーク側機器を例とする)に示すように、該方法は、ステップ810~880を含む。
【0194】
ステップ810において、SDP接続開始ホスト(Initiating SDP Hosts、IH)は、認証要求(上記認証されるべき情報に対応)をブロックチェーンノード(即ち上記第1ブロックチェーンノード)に送信する。
【0195】
ステップ820において、ブロックチェーンノードは、認証操作を実行する。
【0196】
ステップ830において、認証に成功した場合、ブロックチェーン帳簿に記録する(IHのID及び/又は公開鍵、属性情報)。
【0197】
ステップ840において、ブロックチェーンノードは、認証応答をIHにフィードバックする。
【0198】
ステップ850において、IHは、アクセス要求をAHに送信する。
【0199】
ステップ860において、AHは、ブロックチェーン帳簿でIH認証情報及び属性情報をクエリする。
【0200】
ステップ870において、AHは、クエリされた情報に基づいてIHを検証する。
【0201】
ステップ880において、AHは、要求応答をIHにフィードバックする。
【0202】
なお、上記操作2の認証過程において、アイデンティティ認証情報及び属性情報が、異なるノードによって認証される必要がある場合、具体なフローは、以下のようにすることができる。
【0203】
方式一
該方式について、認証情報(即ちアイデンティティ認証情報)及び属性情報のために認証ポリシー(上記第1プリセットポリシー、第2プリセットポリシー及び第3プリセットポリシーを含む)を制定する必要があり、ポリシーには、情報転送ポリシー(即ち上記第1プリセットポリシー)が含まれるべきであり、図9に示すように、
a) ブロックチェーンノードは、アイデンティティ認証情報及び属性情報を受信した後、ポリシーに基づいて認証情報と属性情報をそれぞれ対応する認証ノードに転送し(上記前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することに対応)、異なる認証ノードは、異なる認証情報又は属性情報を認証することができ、例えば、属性認証ノード1は、属性1を認証し、属性認証ノード2は、属性2を認証し、ここでは限定されない。
該方式について、認証情報(即ちアイデンティティ認証情報)及び属性情報のために認証ポリシー(上記第1プリセットポリシー、第2プリセットポリシー及び第3プリセットポリシーを含む)を制定する必要があり、ポリシーには、情報転送ポリシー(即ち上記第1プリセットポリシー)が含まれるべきであり、図9に示すように、
a) ブロックチェーンノードは、アイデンティティ認証情報及び属性情報を受信した後、ポリシーに基づいて認証情報と属性情報をそれぞれ対応する認証ノードに転送し(上記前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することに対応)、異なる認証ノードは、異なる認証情報又は属性情報を認証することができ、例えば、属性認証ノード1は、属性1を認証し、属性認証ノード2は、属性2を認証し、ここでは限定されない。
【0204】
b) 認証情報認証ノードと属性認証ノードは、それぞれ、上記情報を認証し、認証結果を署名する。
【0205】
具体的には、認証情報認証ノードは、認証サーバであってもよい。例えば、ユーザは、ユーザ名パスワード認証情報を提出しており、ブロックチェーンノードは、認証情報を認証情報認証ノードに転送し、認証情報認証ノードは、ユーザ名パスワードを認証する。ここで、認証情報認証ノード1及び認証情報認証ノード2は、微信及び支付宝と類比することができ、ユーザが一方のパスワードを提出すると、ブロックチェーンノードは、認証情報を対応する認証情報認証ノードに提出する。
【0206】
c) 認証情報認証ノード及び属性認証ノードは、検証結果(上記第1認証結果、第2認証結果に対応)及びその結果に対する署名(上記第3署名情報、第4署名情報に対応)を返す。
【0207】
d) ブロックチェーンノードは、受信した認証結果及び署名に基づいて、最終認証結果(上記第1最終結果、第2最終結果に対応)を決定する。
【0208】
方式二
該方式について、中間ノード(即ち上記第2ブロックチェーンノード)を用いる必要があり、図10に示すように、
a) ブロックチェーンノード(即ち上記第1ブロックチェーンノード)は、アイデンティティ認証情報及び属性情報を受信した後、認証情報及び属性情報を中間ノードに転送する。
該方式について、中間ノード(即ち上記第2ブロックチェーンノード)を用いる必要があり、図10に示すように、
a) ブロックチェーンノード(即ち上記第1ブロックチェーンノード)は、アイデンティティ認証情報及び属性情報を受信した後、認証情報及び属性情報を中間ノードに転送する。
【0209】
b) 中間ノードは、認証情報及び属性情報を対応する認証ノード(上記前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することに対応)に転送し、異なる認証ノードは、異なる認証情報又は属性情報を認証することができ、例えば、属性認証ノード1は、属性1を認証し、属性認証ノード2は、属性2を認証し、ここでは限定されない。
【0210】
c) 認証情報認証ノード及び属性認証ノードは、それぞれ、上記情報を認証し、認証結果を署名する。
【0211】
具体的には、認証情報認証ノードは、認証サーバであってもよく、例えば、ユーザは、ユーザ名パスワード認証情報を提出しており、ブロックチェーンノードは、認証情報を認証情報認証ノードに転送し、認証情報認証ノードは、ユーザ名パスワードを認証する。ここで、認証情報認証ノード1及び認証情報認証ノード2は、微信及び支付宝と類比することができ、ユーザが一方のパスワードを提出すると、ブロックチェーンノードは、認証情報を対応する認証情報認証ノードに提出する。
【0212】
d) 認証情報認証ノード及び属性認証ノードは、認証結果(上記第1認証結果、第2認証結果に対応)及びその結果に対する署名(上記第3署名情報、第4署名情報に対応)を中間ノードに送信する。
【0213】
e) ブロックチェーンノードは、中間ノードから認証結果及び署名を取得し、最終認証結果(上記第1最終結果、第2最終結果に対応)を決定する。
【0214】
このような方式は、オーバーヘッドを削減し、情報インタラクションを低減することができる。
【0215】
以下、例を挙げて本開示の実施例に係る態様を説明する。
【0216】
例1:統括認証(本例では、上記操作5に対して別の実現方式を提供する)
該例では、ブロックチェーンは、統括認証プラットフォームの役割を果たし、ユーザは、認証要求をブロックチェーンシステムに提出し、ブロックチェーンノード(上記第1ブロックチェーンノードに対応)は、ユーザを認証し、ユーザ情報、公開鍵情報及び属性情報をブロックチェーン帳簿に記録する。ユーザがアクセス要求をアプリケーションシステムに提出する場合、アプリケーションシステムは、ユーザ署名を検証してユーザ公開鍵の正確性を確保する必要があり、その後、公開鍵に基づいてブロックチェーンでユーザ情報及び属性情報をクエリしてユーザに対する認証を実現する。
該例では、ブロックチェーンは、統括認証プラットフォームの役割を果たし、ユーザは、認証要求をブロックチェーンシステムに提出し、ブロックチェーンノード(上記第1ブロックチェーンノードに対応)は、ユーザを認証し、ユーザ情報、公開鍵情報及び属性情報をブロックチェーン帳簿に記録する。ユーザがアクセス要求をアプリケーションシステムに提出する場合、アプリケーションシステムは、ユーザ署名を検証してユーザ公開鍵の正確性を確保する必要があり、その後、公開鍵に基づいてブロックチェーンでユーザ情報及び属性情報をクエリしてユーザに対する認証を実現する。
【0217】
1. ユーザは、認証されるべき情報が付帯されている認証要求をブロックチェーンに開始する。
【0218】
2. ブロックチェーンシステムは、ユーザからの認証されるべき情報を認証し、認証に成功した後、ユーザのアイデンティティ又は属性情報をブロックチェーン帳簿に記録する。
【0219】
3. ユーザは、ユーザ秘密鍵のタイムスタンプに対する署名が付帯されているアクセス要求をアプリケーションシステムに開始し、又は、アプリケーションシステムは、あるランダム数をユーザに送信し、ユーザは、秘密鍵を用いてランダム数を署名してアプリケーションシステムに送信する。選択可能に、アクセス要求には、さらに、ユーザアイデンティティ又は属性情報のブロックチェーン内の記録位置が付帯され得る。
【0220】
4. アクセス要求に公開鍵が付帯されている場合、アプリケーションシステムは、直接公開鍵を用いてユーザの署名を検証することができ、署名が正確である場合、ブロックチェーンで公開鍵を用いてユーザのアイデンティティ(ユーザID)及び属性情報をクエリすることができる。
【0221】
5. アプリケーションシステムは、さらに、その属性情報及びユーザのアイデンティティを用いてアクセス許可を行うことができる。
【0222】
例2:二重認証(上記図9及び図10の認証方式に対応)
いくつかのセキュリティレベルの高い適用シーンについて、ユーザアイデンティティを非常に厳格に認証する必要があり、例えば、2つ以上の認証機構が提供する認証情報が必要である。該実施例では、ユーザは、2つの認証プラットフォーム(例えば、微信プラットフォーム及び支付宝プラットフォーム)の認証情報を有し、ユーザは、複数の認証プラットフォーム(例えば、微信プラットフォーム及び支付宝プラットフォーム)の認証データが含まれ得る認証要求をブロックチェーンシステムに提出し、ブロックチェーンノードは、ユーザ認証データを抽出し、ユーザ認証データを図9又は図10のように対応する認証プラットフォームにそれぞれ送信して認証し、認証プラットフォームは、ユーザの認証データに基づいてユーザを認証し、認証結果をブロックチェーンノードに返す。ブロックチェーンノードは、受信した認証結果に基づいて、予め設定されたポリシー又はスマート契約で約定されたポリシーを用いて認証結果を処理する。認証ノードは、上記2つの認証プラットフォームのユーザに対する認証結果を取得できるため、ユーザアイデンティティに対する二重認証を実現することができる。
いくつかのセキュリティレベルの高い適用シーンについて、ユーザアイデンティティを非常に厳格に認証する必要があり、例えば、2つ以上の認証機構が提供する認証情報が必要である。該実施例では、ユーザは、2つの認証プラットフォーム(例えば、微信プラットフォーム及び支付宝プラットフォーム)の認証情報を有し、ユーザは、複数の認証プラットフォーム(例えば、微信プラットフォーム及び支付宝プラットフォーム)の認証データが含まれ得る認証要求をブロックチェーンシステムに提出し、ブロックチェーンノードは、ユーザ認証データを抽出し、ユーザ認証データを図9又は図10のように対応する認証プラットフォームにそれぞれ送信して認証し、認証プラットフォームは、ユーザの認証データに基づいてユーザを認証し、認証結果をブロックチェーンノードに返す。ブロックチェーンノードは、受信した認証結果に基づいて、予め設定されたポリシー又はスマート契約で約定されたポリシーを用いて認証結果を処理する。認証ノードは、上記2つの認証プラットフォームのユーザに対する認証結果を取得できるため、ユーザアイデンティティに対する二重認証を実現することができる。
【0223】
以上から分かるように、本開示の実施例に係る態様は、具体的には、ブロックチェーンに基づくアクセス制御方法に関し、該方法では、ユーザ(クライアント端)は、認証要求をブロックチェーンシステムに提出し、ブロックチェーンは、認証情報及び属性情報を認証し、認証と共通認識を経った情報をブロックチェーン帳簿に記録し、ユーザは、サービスシステムにアクセスする時、サービスシステムは、ブロックチェーンでユーザアイデンティティ及び属性情報をクエリする。
【0224】
ここで、具体的には、ユーザ(クライアント端)は、認証情報及び属性情報が含まれる認証要求をブロックチェーンシステムに提出し、ブロックチェーンノードは、認証要求を対応する認証情報認証ノード及び属性情報認証ノードに送信し、対応する認証情報認証ノード及び属性情報認証ノードは、要求を認証して認証結果をフィードバックし、ブロックチェーンノードは、認証結果を処理する。
【0225】
以上により、本開示の実施例に係る態様によれば、シングルポイント障害の問題を回避することができ、そして、スマート契約を用いて認証許可を実現することにより、ノードが改ざんされても正常サービスに影響を与えることはない。
【0226】
本開示の実施例は、さらに、第1ネットワーク側機器に適用するアクセス制御装置を提供し、図11に示すように、
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信するように構成される第1受信モジュール111であって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1受信モジュール111と、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得するように構成される第1取得モジュール112と、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証するように構成される第1検証モジュール113と、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得するように構成される第2受信モジュール114と、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックするように構成される第1フィードバックモジュール115と、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信するように構成される第1受信モジュール111であって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1受信モジュール111と、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得するように構成される第1取得モジュール112と、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証するように構成される第1検証モジュール113と、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得するように構成される第2受信モジュール114と、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックするように構成される第1フィードバックモジュール115と、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0227】
本開示の実施例に係る前記アクセス制御装置によれば、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含み、続いて、前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得し、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証し、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得し、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックし、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0228】
ここで、前記端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することは、前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、前記端末の送信するアクセス要求を受信し、前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む。
【0229】
本開示の実施例では、前記プリセット情報が前記端末の公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む。
【0230】
ここで、前記プリセット情報が前記第1端末識別子情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
【0231】
本開示の実施例では、前記プリセット情報が前記第2端末識別子情報及び公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
【0232】
ここで、前記プリセット情報が前記第2端末識別子情報及び公開鍵のハッシュ値を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む。
【0233】
本開示の実施例では、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、検証に成功した場合、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
【0234】
ここで、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0235】
本開示の実施例では、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含み、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記タイムスタンプが有効期内にあるか否かを確認することと、前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む。
【0236】
ここで、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含み、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む。
【0237】
本開示の実施例では、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報として前記ブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、前記アクセス制御装置は、さらに、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得るように構成される第1復号モジュールと、前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得るように構成される第2復号モジュールと、を含み、ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0238】
さらに、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0239】
ここで、上記第1ネットワーク側機器側のアクセス制御方法の上記実現実施例は、いずれも、該アクセス制御装置の実施例に適用することができ、同様の技術的効果を奏することができる。
【0240】
本開示の実施例は、さらに、端末に適用するアクセス制御装置を提供し、図12に示すように、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信するように構成される第1送信モジュール121であって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1送信モジュール121と、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信するように構成される第3受信モジュール122と、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信するように構成される第1送信モジュール121であって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含む第1送信モジュール121と、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信するように構成される第3受信モジュール122と、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0241】
本開示の実施例に係る前記アクセス制御装置によれば、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含み、続いて、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信し、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0242】
ここで、前記アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することは、検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、アクセス要求を第1ネットワーク側機器に送信し、前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む。
【0243】
本開示の実施例では、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0244】
ここで、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含む。
【0245】
さらに、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記端末の属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含む。
【0246】
ここで、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報としてブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0247】
さらに、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0248】
さらに、前記のアクセス制御装置は、さらに、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する前に、前記端末の認証されるべき情報を第1ブロックチェーンノードに送信するように構成される第2送信モジュールを含み、ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
【0249】
ここで、上記端末側のアクセス制御方法の上記実現実施例は、いずれも、該アクセス制御装置の実施例に適用することができ、同様の技術的効果を奏することができる。
【0250】
本開示の実施例は、さらに、第1ブロックチェーンノードに適用するアクセス制御装置を提供し、図13に示すように、
端末の送信する認証されるべき情報を受信するように構成される第4受信モジュール131と、
前記認証されるべき情報を認証するように構成される第1認証モジュール132と、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させるように構成される第1記憶モジュール133と、を含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
端末の送信する認証されるべき情報を受信するように構成される第4受信モジュール131と、
前記認証されるべき情報を認証するように構成される第1認証モジュール132と、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させるように構成される第1記憶モジュール133と、を含み、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0251】
本開示の実施例に係る前記アクセス制御装置によれば、端末の送信する認証されるべき情報を受信し、前記認証されるべき情報を認証し、認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させ、ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、前記少なくとも1つの認証情報は、前記端末の属性情報、前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、及び、前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0252】
さらに、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0253】
ここで、前記認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることは、暗号化用の第1鍵をランダムに生成することと、前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む。
【0254】
さらに、前記のアクセス制御装置は、さらに、暗号化用の第1鍵をランダムに生成した後、前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させるように構成される第1処理モジュールを含む。
【0255】
ここで、前記認証されるべき情報を認証することは、第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含む。
【0256】
本開示の実施例では、前記認証されるべき情報を認証することは、第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
【0257】
ここで、前記認証されるべき情報を認証することは、
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
【0258】
ここで、上記第1ブロックチェーンノード側のアクセス制御方法の上記実現実施例は、いずれも、該アクセス制御装置の実施例に適用することができ、同様の技術的効果を奏することができる。
本開示の実施例は、さらに、第2ブロックチェーンノードに適用するアクセス制御装置を提供し、図14に示すように、
第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信するように構成される第5受信モジュール141、
及び、
前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックするように構成される第2処理モジュール142、及び/又は、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックするように構成される第3処理モジュール143、を含み、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
本開示の実施例は、さらに、第2ブロックチェーンノードに適用するアクセス制御装置を提供し、図14に示すように、
第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信するように構成される第5受信モジュール141、
及び、
前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックするように構成される第2処理モジュール142、及び/又は、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックするように構成される第3処理モジュール143、を含み、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
【0259】
本開示の実施例に係る前記アクセス制御装置によれば、第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信し、及び、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックし、及び/又は、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックし、ここで、前記ユーザ証明情報は、端末識別子情報を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0260】
ここで、上記第2ブロックチェーンノード側のアクセス制御方法の上記実現実施例は、いずれも、該アクセス制御装置の実施例に適用することができ、同様の技術的効果を奏することができる。
【0261】
本開示の実施例は、さらに、第2ネットワーク側機器に適用するアクセス制御装置を提供し、図15に示すように、
ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信するように構成される第6受信モジュール151と、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名するように構成される第4処理モジュール152と、
前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックするように構成される第2フィードバックモジュール153と、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信するように構成される第6受信モジュール151と、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名するように構成される第4処理モジュール152と、
前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックするように構成される第2フィードバックモジュール153と、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
【0262】
本開示の実施例に係る前記アクセス制御装置によれば、ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信し、前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名し、前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックし、ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、前記ユーザ証明情報は、端末識別子情報を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0263】
ここで、上記第2ネットワーク側機器側のアクセス制御方法の上記実現実施例は、いずれも、該アクセス制御装置の実施例に適用することができ、同様の技術的効果を奏することができる。
【0264】
本開示の実施例は、さらに、第3ネットワーク側機器に適用するアクセス制御装置を提供し、図16に示すように、
ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信するように構成される第7受信モジュール161と、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名するように構成される第5処理モジュール162と、
前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックするように構成される第3フィードバックモジュール163と、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信するように構成される第7受信モジュール161と、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名するように構成される第5処理モジュール162と、
前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックするように構成される第3フィードバックモジュール163と、を含み、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
【0265】
本開示の実施例に係る前記アクセス制御装置によれば、ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信し、前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名し、前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックし、ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0266】
ここで、上記第3ネットワーク側機器側のアクセス制御方法の上記実現実施例は、いずれも、該アクセス制御装置の実施例に適用することができ、同様の技術的効果を奏することができる。
【0267】
本開示の実施例は、さらに、ネットワーク側機器を提供し、前記ネットワーク側機器は、第1ネットワーク側機器であり、図17に示すように、プロセッサ171及び送受信機172を含み、
前記プロセッサ171は、
前記送受信機172を介して、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、前記送受信機172を介して、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
前記プロセッサ171は、
前記送受信機172を介して、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、前記送受信機172を介して、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0268】
本開示の実施例に係る前記ネットワーク側機器によれば、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含み、続いて、前記位置情報に基づいて、ブロックチェーンから前記プリセット情報を取得し、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証し、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得し、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックし、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0269】
ここで、前記端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することは、前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、前記端末の送信するアクセス要求を受信し、前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む。
【0270】
本開示の実施例では、前記プリセット情報が前記端末の公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む。
【0271】
ここで、前記プリセット情報が前記第1端末識別子情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
【0272】
本開示の実施例では、前記プリセット情報が前記第2端末識別子情報及び公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む。
【0273】
ここで、前記プリセット情報が前記第2端末識別子情報及び公開鍵のハッシュ値を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む。
【0274】
本開示の実施例では、前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、検証に成功した場合、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む。
【0275】
ここで、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0276】
本開示の実施例では、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含み、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記タイムスタンプが有効期内にあるか否かを確認することと、前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む。
【0277】
ここで、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含み、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む。
【0278】
本開示の実施例では、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報として前記ブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、前記プロセッサは、さらに、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得ることと、前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得ることと、を実行するように構成され、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得ることと、前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得ることと、を実行するように構成され、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0279】
さらに、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0280】
ここで、上記第1ネットワーク側機器側のアクセス制御方法の上記実現実施例は、いずれも、該ネットワーク側機器の実施例に適用することができ、同様の技術的効果を奏することができる。
【0281】
本開示の実施例は、さらに、端末を提供し、図18に示すように、プロセッサ181及び送受信機182を含み、
前記プロセッサ181は、
前記送受信機182を介して、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記送受信機182を介して、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
前記プロセッサ181は、
前記送受信機182を介して、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含むことと、
前記送受信機182を介して、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【0282】
本開示の実施例に係る前記端末によれば、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン内のプリセット情報の位置情報を含み、続いて、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信し、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0283】
本開示の実施例では、前記アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することは、検証されるべき関連情報が付帯されているアクセス要求を第1ネットワーク側機器に送信すること、又は、アクセス要求を第1ネットワーク側機器に送信し、前記第1ネットワーク側機器が前記アクセス要求に基づいてフィードバックするランダム数を受信し、前記ランダム数に基づいて、検証されるべき関連情報を前記第1ネットワーク側機器に送信すること、を含む。
【0284】
ここで、前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものである。
【0285】
本開示の実施例では、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含む。
【0286】
ここで、前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記端末の属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含む。
【0287】
本開示の実施例では、前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報としてブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0288】
さらに、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0289】
本開示の実施例では、前記プロセッサは、さらに、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する前に、前記送受信機を介して、前記端末の認証されるべき情報を第1ブロックチェーンノードに送信することを実行するように構成され、ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信する前に、前記送受信機を介して、前記端末の認証されるべき情報を第1ブロックチェーンノードに送信することを実行するように構成され、ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含む。
【0290】
ここで、上記端末側のアクセス制御方法の上記実現実施例は、いずれも、該端末の実施例に適用することができ、同様の技術的効果を奏することができる。
【0291】
本開示の実施例は、さらに、ブロックチェーンノードを提供し、前記ブロックチェーンノードは、第1ブロックチェーンノードであり、図19に示すように、プロセッサ191及び送受信機192を含み、
前記プロセッサ191は、
前記送受信機192を介して、端末の送信する認証されるべき情報を受信することと、
前記認証されるべき情報を認証することと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることと、を実行するように構成され、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
前記プロセッサ191は、
前記送受信機192を介して、端末の送信する認証されるべき情報を受信することと、
前記認証されるべき情報を認証することと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることと、を実行するように構成され、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む。
【0292】
本開示の実施例に係る前記ブロックチェーンノードによれば、端末の送信する認証されるべき情報を受信し、前記認証されるべき情報を認証し、認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させ、ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、前記少なくとも1つの認証情報は、前記端末の属性情報、前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、及び、前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0293】
ここで、前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む。
【0294】
本開示の実施例では、前記認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることは、暗号化用の第1鍵をランダムに生成することと、前記第1鍵を用いて前記少なくとも1つの認証情報を暗号化してからブロックチェーン帳簿に記憶させることと、を含む。
【0295】
ここで、前記プロセッサは、さらに、
暗号化用の第1鍵をランダムに生成した後、前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させることを実行するように構成される。
暗号化用の第1鍵をランダムに生成した後、前記端末の公開鍵を用いて前記第1鍵を暗号化してからブロックチェーン帳簿に記憶させることを実行するように構成される。
【0296】
本開示の実施例では、前記認証されるべき情報を認証することは、第1プリセットポリシーに基づいて、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証することと、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信することと、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ることと、を含む。
【0297】
ここで、前記認証されるべき情報を認証することは、第1プリセットポリシーに基づいて、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証することと、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信することと、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ることと、を含む。
【0298】
本開示の実施例では、前記認証されるべき情報を認証することは、
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
前記認証されるべき情報を第2ブロックチェーンノードに送信すること、
及び、
前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報におけるユーザ証明情報に対応する第1認証結果及び対応する第3署名情報を受信し、第2プリセットポリシー、前記第1認証結果及び第3署名情報に基づいて、前記ユーザ証明情報の認証に成功したか否かの第1最終結果を得ること、及び/又は、前記第2ブロックチェーンノードのフィードバックする、前記認証されるべき情報における属性情報に対応する第2認証結果及び対応する第4署名情報を受信し、第3プリセットポリシー、前記第2認証結果及び第4署名情報に基づいて、前記属性情報の認証に成功したか否かの第2最終結果を得ること、を含む。
【0299】
ここで、上記第1ブロックチェーンノード側のアクセス制御方法の上記実現実施例は、いずれも、該ブロックチェーンノードの実施例に適用することができ、同様の技術的効果を奏することができる。
【0300】
本開示の実施例は、さらに、ブロックチェーンノードを提供し、前記ブロックチェーンノードは第2ブロックチェーンノードであり、図20に示すように、プロセッサ201及び送受信機202を含み、
前記プロセッサ201は、
前記送受信機202を介して、第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信すること、
及び、
前記送受信機202を介して、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、及び/又は、
前記送受信機202を介して、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、を実行するように構成され、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
前記プロセッサ201は、
前記送受信機202を介して、第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信すること、
及び、
前記送受信機202を介して、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、及び/又は、
前記送受信機202を介して、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックすること、を実行するように構成され、
ここで、前記ユーザ証明情報は、端末識別子情報を含む。
【0301】
本開示の実施例に係る前記ブロックチェーンノードによれば、第1ブロックチェーンノードの送信する端末の認証されるべき情報を受信し、及び、前記認証されるべき情報におけるユーザ証明情報を少なくとも1つの第2ネットワーク側機器に送信して認証し、前記少なくとも1つの第2ネットワーク側機器のフィードバックする、第1認証結果及び対応する第3署名情報を受信して前記第1ブロックチェーンノードにフィードバックし、及び/又は、前記認証されるべき情報における属性情報を少なくとも1つの第3ネットワーク側機器に送信して認証し、前記少なくとも1つの第3ネットワーク側機器のフィードバックする、第2認証結果及び対応する第4署名情報を受信して前記第1ブロックチェーンノードにフィードバックし、ここで、前記ユーザ証明情報は、端末識別子情報を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0302】
ここで、上記第2ブロックチェーンノード側のアクセス制御方法の上記実現実施例は、いずれも、該ブロックチェーンノードの実施例に適用することができ、同様の技術的効果を奏することができる。
【0303】
本開示の実施例は、さらに、ネットワーク側機器を提供し、前記ネットワーク側機器は、第2ネットワーク側機器であり、図21に示すように、プロセッサ211及び送受信機212を含み、
前記プロセッサ211は、
前記送受信機212を介して、ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信することと、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名することと、
前記送受信機212を介して、前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックすることと、を実行するように構成され、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
前記プロセッサ211は、
前記送受信機212を介して、ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信することと、
前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名することと、
前記送受信機212を介して、前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックすることと、を実行するように構成され、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、
前記ユーザ証明情報は、端末識別子情報を含む。
【0304】
本開示の実施例に係る前記ネットワーク側機器によれば、ブロックチェーンノードの送信する端末の認証されるべきユーザ証明情報を受信し、前記ユーザ証明情報を認証し、第1認証結果を得て、第3署名情報を用いて署名し、前記第1認証結果及び第3署名情報を前記ブロックチェーンノードにフィードバックし、ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、前記ユーザ証明情報は、端末識別子情報を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0305】
ここで、上記第2ネットワーク側機器側のアクセス制御方法の上記実現実施例は、いずれも、該ネットワーク側機器の実施例に適用することができ、同様の技術的効果を奏することができる。
【0306】
本開示の実施例は、さらに、ネットワーク側機器を提供し、前記ネットワーク側機器は、第3ネットワーク側機器であり、図22に示すように、プロセッサ221及び送受信機222を含み、
前記プロセッサ221は、
前記送受信機222を介して、ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信することと、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名することと、
前記送受信機222を介して、前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックすることと、を実行するように構成され、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
前記プロセッサ221は、
前記送受信機222を介して、ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信することと、
前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名することと、
前記送受信機222を介して、前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックすることと、を実行するように構成され、
ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードである。
【0307】
本開示の実施例に係る前記ネットワーク側機器によれば、ブロックチェーンノードの送信する端末の認証されるべき属性情報を受信し、前記属性情報を認証し、第2認証結果を得て、第4署名情報を用いて署名し、前記第2認証結果及び第4署名情報を前記ブロックチェーンノードにフィードバックし、ここで、前記ブロックチェーンノードは、第1ブロックチェーンノード、又は、前記第1ブロックチェーンノードと通信する第2ブロックチェーンノードであり、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【0308】
ここで、上記第3ネットワーク側機器側のアクセス制御方法の上記実現実施例は、いずれも、該ネットワーク側機器の実施例に適用することができ、同様の技術的効果を奏することができる。
【0309】
本開示の実施例は、さらに、ネットワーク側機器を提供し、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行するとき、上記第1ネットワーク側機器側のアクセス制御方法を実現し、又は、前記プロセッサが前記プログラムを実行するとき、上記第2ネットワーク側機器側のアクセス制御方法を実現し、又は、前記プロセッサが前記プログラムを実行するとき、上記第3ネットワーク側機器側のアクセス制御方法を実現する。
【0310】
ここで、上記第1ネットワーク側機器側、第2ネットワーク側機器側又は第3ネットワーク側機器側のアクセス制御方法の上記実現実施例は、いずれも、該ネットワーク側機器の実施例に適用することができ、同様の技術的効果を奏することができる。
【0311】
本開示の実施例は、さらに、端末を提供し、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行するとき、上記端末側のアクセス制御方法を実現する。
【0312】
ここで、上記端末側のアクセス制御方法の上記実現実施例は、いずれも、該端末の実施例に適用することができ、同様の技術的効果を奏することができる。
【0313】
本開示の実施例は、さらに、ブロックチェーンノードを提供し、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、前記プロセッサが前記プログラムを実行するとき、上記第1ブロックチェーンノード側のアクセス制御方法を実現し、又は、前記プロセッサが前記プログラムを実行するとき、上記第2ブロックチェーンノード側のアクセス制御方法を実現する。
【0314】
ここで、上記第1ブロックチェーンノード側又は第2ブロックチェーンノード側のアクセス制御方法の上記実現実施例は、いずれも、該ブロックチェーンノードの実施例に適用することができ、同様の技術的効果を奏することができる。
【0315】
本開示の実施例は、さらに、プログラムが記憶されている可読記憶媒体を提供し、該プログラムがプロセッサによって実行されるとき、上記第1ネットワーク側機器側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記端末側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記第1ブロックチェーンノード側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記第2ブロックチェーンノード側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記第2ネットワーク側機器側のアクセス制御方法におけるステップを実現し、又は、該プログラムがプロセッサによって実行されるとき、上記第3ネットワーク側機器側のアクセス制御方法におけるステップを実現する。
【0316】
ここで、上記第1ネットワーク側機器側、端末側、第1ブロックチェーンノード側、第2ブロックチェーンノード側、第2ネットワーク側機器側又は第3ネットワーク側機器側のアクセス制御方法の上記実現実施例は、いずれも、該可読記憶媒体の実施例に適用することができ、同様の技術的効果を奏することができる。
【0317】
なお、本明細書に記載されている多くの機能部品は、その実現方式の独立性をより具体的に強調するためにモジュールと呼ばれている。
【0318】
本開示の実施例では、モジュールは、様々なタイプのプロセッサによって実行されるようにソフトウェアで実現することができる。例えば、識別された実行可能コードモジュールは、オブジェクト、プロセス、又は関数として構築されうるコンピュータ命令の1つ又は複数の物理的ブロック又は論理的ブロックを含むことができる。それでも、識別されたモジュールの実行可能コードは、物理的に一緒に位置する必要はなく、異なるビットに格納された異なる命令を含むことができ、これらの命令が論理的に結合されると、モジュールを構成し、モジュールの所定の目的を達成することができる。
【0319】
実際には、実行可能コードモジュールは、単一又は複数の命令であってもよく、複数の異なるコードセグメント、異なるプログラム、及び複数のメモリデバイスにわたって分配されてもよい。同様に、操作データは、モジュール内で識別することができ、任意の適切な形式に従って実現することができ、任意の適切なタイプのデータ構造内に編成することができる。オペレーティングデータは、単一のデータセットとして収集されてもよく、又は異なる場所(異なる記憶装置に含まれる)に分散されてもよく、少なくとも部分的にはシステム又はネットワーク上に電子信号としてのみ存在してもよい。
【0320】
モジュールがソフトウェアを利用して実現できる場合、既存のハードウェアプロセスのレベルを考慮したため、ソフトウェアで実現可能なモジュールについて、コストを考慮せずに、従来の超大規模集積(VLSI)回路又はゲートアレイ、及び論理チップ、トランジスタなどの既存の半導体、又は他の個別の素子を含む対応するハードウェア回路を含む、ソフトウェアで実現されたモジュールを構築して、対応する機能を実現することができる。モジュールは、フィールドプログラマブルゲートアレイ、プログラマブルアレイ論理、プログラマブル論理デバイスなどのプログラマブルハードウェアデバイスで実現することもできる。
【0321】
当業者であれば、本明細書に開示された実施形態に関連して説明された各例のユニット及びアルゴリズムステップは、電子ハードウェア、又はコンピュータソフトウェアと電子ハードウェアの組み合わせで実現できることを認識することができる。これらの機能は、テクノロジの特定のアプリケーション及び設計制約に応じて、ハードウェア又はソフトウェアで実行され得る。当業者は、説明された機能を実現するために、特定のアプリケーションごとに異なる方法を使用することができるが、この実現は本開示の範囲を超えているとは考えられない。
【0322】
上述したシステム、装置、及びユニットの特定の動作過程は、説明の便利及び簡潔のために上述した方法の実施形態における対応過程を参照することができ、ここではこれ以上説明しないことを当業者は明らかにすることができる。
【0323】
本願によるいくつかの実施例では、開示された機器及び方法は、他の方式で実現されてもよいことが理解されるべきである。上述した機器実施例は、1つの論理機能分割にすぎず、実際に実現される場合には、複数のユニット又はコンポーネントが結合されてもよいし、別のシステムに統合されてもよいし、いくつかの特徴が無視されてもよいし、実行されなくてもよいなど、別の分割方法があり得る。また、表示又は議論される各構成要素相互間の結合、又は直接結合、又は通信接続は、いくつかのインタフェース、デバイス又はユニットの間接結合又は通信接続を介して、電気的、機械的、又は他の形態であってもよい。
【0324】
上記分離手段として説明した手段は、物理的に分離されていてもよく、又は物理的に分離されていなくてもよく、手段として表示される手段は、物理的に分離されていてもよく、又は物理的に分離されていなくてもよく、即ち、1箇所に位置していてもよく、複数のネットワーク手段に分布していてもよく、本実施例の目的を達成するために、実際の必要に応じてその一部又は全部のユニットを選択することができる。
【0325】
また、本願の各実施例における各機能ユニットは、すべて1つの処理ユニットに集積するもよいし、各ユニットがそれぞれ1つのユニットとして単独であってもよいし、2つ以上のユニットが1つのユニットに集積するもよい。
【0326】
前記機能がソフトウェア機能モジュールとして実現され、独立した製品として販売又は使用される場合には、コンピュータ読み取り可能な記憶媒体に格納されてもよい。このような理解に基づいて、本願の各実施例に記載された方法のすべて又は一部を実行するためのいくつかの命令を含む記憶媒体に格納された、本願の実施例の技術的態様の本質的又は先行技術に寄与する部分は、1台のコンピュータデバイス(パーソナルコンピュータ、サーバ、又はネットワークデバイスなど)によって実行されるソフトウェア製品の形態で具現化することができる。前述の記憶媒体は、モバイル記憶装置、ROM、RAM、磁気ディスク、又は光ディスクなど、プログラムコードを記憶することができる様々な媒体を含む。
【0327】
本開示の実施形態に記載したこれらの実施例は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード又はそれらの組み合わせで実現できることを理解される。ハードウェアによる実現について、モジュール、ユニット、サブモジュール、サブユニットなどは、1つ又は複数の専用集積回路(Application Specific Integrated Circuits、ASIC)、デジタル信号プロセッサ(Digital Signal Processing、DSP)、デジタル信号処理機器(DSP Device、DSPD)、プログラマブル論理機器(Programmable Logic Device、PLD)、フィールドプログラマブルゲートアレイ(Field-Programmable Gate Array、FPGA)、汎用プロセッサ、コントローラ、マイクコントローラ、マイクロプロセッサ、及び本開示に記載した上記機能を実行するための他の電子ユニット又はその組み合わせで実現することができる。
【0328】
以上述べたのは本開示の好ましい実施形態であり、本開示の原理を逸脱することなく、本開示の保護範囲とみなすべきいくつかの改良および仕上げを、当業者にとって行うことができることを指摘すべきである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8a】
【図8b】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【手続補正書】
【提出日】2023-07-06
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
第1ネットワーク側機器に適用するアクセス制御方法であって、前記方法は、
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む、アクセス制御方法。
【請求項2】
前記端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することは、前記端末の送信する、検証されるべき関連情報が付帯されているアクセス要求を受信すること、又は、
前記端末の送信するアクセス要求を受信し、
前記アクセス要求に基づいて、ランダム数を前記端末にフィードバックし、
前記端末が前記ランダム数に基づいて送信する検証されるべき関連情報を受信すること、を含む
請求項1に記載のアクセス制御方法。
【請求項3】
前記プリセット情報が前記端末の公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記公開鍵情報を用いて前記秘密鍵署名情報を検証することを含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記公開鍵情報に基づいて、ブロックチェーン帳簿から対応する第3端末識別子情報を取得することと、
前記第3端末識別子情報を取得した場合、ブロックチェーン帳簿から前記端末の属性情報として前記第3端末識別子情報に対応する属性情報を取得することと、を含む
請求項1に記載のアクセス制御方法。
【請求項4】
前記プリセット情報が前記第1端末識別子情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第1端末識別子情報に基づいて、検証されるべき公開鍵情報を得るとともにブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報及び前記秘密鍵署名情報を検証することと、を含み、
前記検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することは、
検証に成功した場合、前記第1端末識別子情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することを含む
請求項1に記載のアクセス制御方法。
【請求項5】
前記プリセット情報が前記第2端末識別子情報及び公開鍵情報を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得し、取得した前記端末の公開鍵情報に基づいて、前記プリセット情報における公開鍵情報を検証すること、
又は、
前記プリセット情報における公開鍵情報を用いて前記秘密鍵署名情報を検証し、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵のハッシュ値を取得し、前記プリセット情報における公開鍵情報に基づいて、検証されるべきハッシュ値を得て、取得した前記端末の公開鍵のハッシュ値に基づいて、前記検証されるべきハッシュ値を検証すること、を含む
請求項1に記載のアクセス制御方法。
【請求項6】
前記プリセット情報が前記第2端末識別子情報及び公開鍵のハッシュ値を含む場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、前記第2端末識別子情報に基づいて、ブロックチェーン帳簿から記憶された前記端末の公開鍵情報を取得することと、
前記プリセット情報における公開鍵のハッシュ値に基づいて、検証されるべき公開鍵情報を得ることと、
前記検証されるべき公開鍵情報に基づいて、前記秘密鍵署名情報を検証し、取得した前記端末の公開鍵情報に基づいて、前記検証されるべき公開鍵情報を検証することと、を含む
請求項1に記載のアクセス制御方法。
【請求項7】
前記秘密鍵署名情報は、第1署名情報又は第2署名情報を含み、前記第1署名情報は、前記端末の秘密鍵を用いてタイムスタンプを署名するものであり、前記第2署名情報は、前記端末の秘密鍵を用いて、前記第1ネットワーク側機器がアクセス要求に応答して送信するランダム数を署名するものであり、前記秘密鍵署名情報が第1署名情報を含む場合、前記検証されるべき関連情報は、さらに、前記タイムスタンプを含み、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記タイムスタンプが有効期内にあるか否かを確認することと、
前記タイムスタンプが有効期内にある場合、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、を含む
請求項1又は2に記載のアクセス制御方法。
【請求項8】
前記プリセット情報は、さらに、第1情報の有効期情報を含み、前記第1情報は、前記属性情報、前記第1端末識別子情報及び前記第2端末識別子情報のうちの少なくとも1つを含み、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することは、
前記有効期情報に基づいて、前記第1情報が有効期内にあるか否かを確認することと、
前記第1情報が有効期内にある場合、前記秘密鍵署名情報、及び、前記プリセット情報における前記有効期情報を除いた他の情報に基づいて、前記端末を検証することと、を含む
請求項1に記載のアクセス制御方法。
【請求項9】
前記端末に関連する少なくとも1つの認証情報は、第1鍵で暗号化された暗号化情報として前記ブロックチェーン帳簿に記憶され、前記検証されるべき関連情報は、さらに、前記第1ネットワーク側機器の公開鍵で暗号化された前記第1鍵を含み、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックする前に、前記方法は、さらに、
前記第1ネットワーク側機器の秘密鍵を用いて、前記公開鍵で暗号化された前記第1鍵を復号し、前記第1鍵を得ることと、
前記第1鍵に基づいて、前記ブロックチェーン帳簿から取得された前記暗号化情報を復号し、前記少なくとも1つの認証情報を得ることと、を含み、
ここで、前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む
請求項1に記載のアクセス制御方法。
【請求項10】
前記少なくとも1つの認証情報は、さらに、前記端末に対応するタイムスタンプ、及び/又は、第2情報の有効期情報を含み、ここで、前記タイムスタンプは、前記端末の秘密鍵を用いて署名して第1署名情報を得るタイムスタンプであり、
前記第2情報は、前記属性情報、第1端末識別子情報、第2端末識別子情報及び第3端末識別子情報のうちの少なくとも1つを含む
請求項9に記載のアクセス制御方法。
【請求項11】
端末に適用するアクセス制御方法であって、前記方法は、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む、アクセス制御方法。
【請求項12】
第1ブロックチェーンノードに適用するアクセス制御方法であって、前記方法は、
端末の送信する認証されるべき情報を受信することと、
前記認証されるべき情報を認証することと、
認証に成功した場合、前記認証されるべき情報に対応する少なくとも1つの認証情報をブロックチェーン帳簿に記憶させることと、
ここで、前記認証されるべき情報は、ユーザ証明情報及び/又は属性情報を含み、前記ユーザ証明情報は、端末識別子情報を含み、
前記少なくとも1つの認証情報は、
前記端末の属性情報、
前記端末の公開鍵に基づいた第1端末識別子情報又は前記端末の公開鍵に関連しない第2端末識別子情報又は前記端末の公開鍵に対応する第3端末識別子情報、
及び、
前記端末の公開鍵情報又は前記端末の公開鍵のハッシュ値、のうちの少なくとも1つを含む、アクセス制御方法。
【請求項13】
ネットワーク側機器であって、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、
ここで、前記プロセッサが前記プログラムを実行するとき、請求項1から10のいずれか1項に記載のアクセス制御方法を実現する、ネットワーク側機器。
【請求項14】
端末であって、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、
ここで、前記プロセッサが前記プログラムを実行するとき、請求項11に記載のアクセス制御方法を実現する、端末。
【請求項15】
ブロックチェーンノードであって、メモリ、プロセッサ、及び、前記メモリに記憶されて前記プロセッサで実行可能なプログラムを含み、
ここで、前記プロセッサが前記プログラムを実行するとき、請求項12に記載のアクセス制御方法を実現する、ブロックチェーンノード。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0009
【補正方法】変更
【補正の内容】
【0009】
上記技術的問題を解決するために、本開示の実施例は、第1ネットワーク側機器に適用するアクセス制御方法を提供し、前記方法は、
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0021
【補正方法】変更
【補正の内容】
【0021】
本開示の実施例は、さらに、端末に適用するアクセス制御方法を提供し、前記方法は、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0039
【補正方法】変更
【補正の内容】
【0039】
本開示の実施例は、さらに、第1ネットワーク側機器に適用するアクセス制御装置を提供し、前記装置は、
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信するように構成される第1受信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む第1受信モジュールと、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得するように構成される第1取得モジュールと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証するように構成される第1検証モジュールと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得するように構成される第2受信モジュールと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックするように構成される第1フィードバックモジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信するように構成される第1受信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む第1受信モジュールと、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得するように構成される第1取得モジュールと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証するように構成される第1検証モジュールと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得するように構成される第2受信モジュールと、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックするように構成される第1フィードバックモジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正5】
【補正対象書類名】明細書
【補正対象項目名】0050
【補正方法】変更
【補正の内容】
【0050】
本開示の実施例は、さらに、端末に適用するアクセス制御装置を提供し、前記装置は、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信するように構成される第1送信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む第1送信モジュールと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信するように構成される第3受信モジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信するように構成される第1送信モジュールであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む第1送信モジュールと、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信するように構成される第3受信モジュールと、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正6】
【補正対象書類名】明細書
【補正対象項目名】0067
【補正方法】変更
【補正の内容】
【0067】
本開示の実施例は、さらに、ネットワーク側機器を提供し、
前記ネットワーク側機器は、第1ネットワーク側機器であり、プロセッサ及び送受信機を含み、
前記プロセッサは、
前記送受信機を介して、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、前記送受信機を介して、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
前記ネットワーク側機器は、第1ネットワーク側機器であり、プロセッサ及び送受信機を含み、
前記プロセッサは、
前記送受信機を介して、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、前記送受信機を介して、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正7】
【補正対象書類名】明細書
【補正対象項目名】0079
【補正方法】変更
【補正の内容】
【0079】
本開示の実施例は、さらに、プロセッサ及び送受信機を含む端末を提供し、
前記プロセッサは、
前記送受信機を介して、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記送受信機を介して、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
前記プロセッサは、
前記送受信機を介して、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記送受信機を介して、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正8】
【補正対象書類名】明細書
【補正対象項目名】0102
【補正方法】変更
【補正の内容】
【0102】
上記技術的解決手段において、前記アクセス制御方法によれば、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含み、続いて、前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得し、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証し、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得し、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックし、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【手続補正9】
【補正対象書類名】明細書
【補正対象項目名】0107
【補正方法】変更
【補正の内容】
【0107】
ステップ11において、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む。
【手続補正10】
【補正対象書類名】明細書
【補正対象項目名】0108
【補正方法】変更
【補正の内容】
【0108】
ステップ12において、前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得する。
【手続補正11】
【補正対象書類名】明細書
【補正対象項目名】0113
【補正方法】変更
【補正の内容】
【0113】
本開示の実施例に係る上記アクセス制御方法によれば、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含み、続いて、前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得し、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証し、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得し、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックし、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【手続補正12】
【補正対象書類名】明細書
【補正対象項目名】0131
【補正方法】変更
【補正の内容】
【0131】
ステップ21において、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信し、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む。
【手続補正13】
【補正対象書類名】明細書
【補正対象項目名】0133
【補正方法】変更
【補正の内容】
【0133】
本開示の実施例に係る上記アクセス制御方法によれば、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含み、続いて、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信し、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【手続補正14】
【補正対象書類名】明細書
【補正対象項目名】0226
【補正方法】変更
【補正の内容】
【0226】
本開示の実施例は、さらに、第1ネットワーク側機器に適用するアクセス制御装置を提供し、図11に示すように、
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信するように構成される第1受信モジュール111であって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む第1受信モジュール111と、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得するように構成される第1取得モジュール112と、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証するように構成される第1検証モジュール113と、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得するように構成される第2受信モジュール114と、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックするように構成される第1フィードバックモジュール115と、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信するように構成される第1受信モジュール111であって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む第1受信モジュール111と、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得するように構成される第1取得モジュール112と、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証するように構成される第1検証モジュール113と、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得するように構成される第2受信モジュール114と、
前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックするように構成される第1フィードバックモジュール115と、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正15】
【補正対象書類名】明細書
【補正対象項目名】0227
【補正方法】変更
【補正の内容】
【0227】
本開示の実施例に係る前記アクセス制御装置によれば、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含み、続いて、前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得し、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証し、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得し、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックし、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【手続補正16】
【補正対象書類名】明細書
【補正対象項目名】0240
【補正方法】変更
【補正の内容】
【0240】
本開示の実施例は、さらに、端末に適用するアクセス制御装置を提供し、図12に示すように、
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信するように構成される第1送信モジュール121であって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む第1送信モジュール121と、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信するように構成される第3受信モジュール122と、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信するように構成される第1送信モジュール121であって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含む第1送信モジュール121と、
前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信するように構成される第3受信モジュール122と、を含み、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正17】
【補正対象書類名】明細書
【補正対象項目名】0241
【補正方法】変更
【補正の内容】
【0241】
本開示の実施例に係る前記アクセス制御装置によれば、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含み、続いて、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信し、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【手続補正18】
【補正対象書類名】明細書
【補正対象項目名】0267
【補正方法】変更
【補正の内容】
【0267】
本開示の実施例は、さらに、ネットワーク側機器を提供し、前記ネットワーク側機器は、第1ネットワーク側機器であり、図17に示すように、プロセッサ171及び送受信機172を含み、
前記プロセッサ171は、
前記送受信機172を介して、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、前記送受信機172を介して、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
前記プロセッサ171は、
前記送受信機172を介して、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得することと、
前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証することと、
検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得することと、
前記属性情報に基づいて、前記送受信機172を介して、アクセス制御に対する要求応答を前記端末にフィードバックすることと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正19】
【補正対象書類名】明細書
【補正対象項目名】0268
【補正方法】変更
【補正の内容】
【0268】
本開示の実施例に係る前記ネットワーク側機器によれば、端末の送信する、アクセス要求に対応する検証されるべき関連情報を受信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含み、続いて、前記位置情報に基づいて、ブロックチェーン帳簿から前記プリセット情報を取得し、前記秘密鍵署名情報及び前記プリセット情報に基づいて、前記端末を検証し、検証に成功した場合、前記プリセット情報に基づいて、ブロックチェーン帳簿から前記端末の属性情報を取得し、前記属性情報に基づいて、アクセス制御に対する要求応答を前記端末にフィードバックし、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【手続補正20】
【補正対象書類名】明細書
【補正対象項目名】0281
【補正方法】変更
【補正の内容】
【0281】
本開示の実施例は、さらに、端末を提供し、図18に示すように、プロセッサ181及び送受信機182を含み、
前記プロセッサ181は、
前記送受信機182を介して、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記送受信機182を介して、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
前記プロセッサ181は、
前記送受信機182を介して、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信することであって、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含むことと、
前記送受信機182を介して、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信することと、を実行するように構成され、
ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含む。
【手続補正21】
【補正対象書類名】明細書
【補正対象項目名】0282
【補正方法】変更
【補正の内容】
【0282】
本開示の実施例に係る前記端末によれば、アクセス要求に対応する検証されるべき関連情報を第1ネットワーク側機器に送信し、ここで、前記検証されるべき関連情報は、前記端末の秘密鍵署名情報及びブロックチェーン帳簿内のプリセット情報の位置情報を含み、続いて、前記第1ネットワーク側機器のフィードバックする、アクセス制御に対する要求応答を受信し、ここで、前記プリセット情報は、前記端末の公開鍵情報、又は、前記端末の公開鍵に基づいた第1端末識別子情報、又は、前記端末の公開鍵に関連しない第2端末識別子情報及び前記端末の公開鍵情報、又は、前記第2端末識別子情報及び前記端末の公開鍵のハッシュ値を含み、このように、ブロックチェーンを用いてアクセス制御を行う手段の実現を支持でき、ブロックチェーンの方式で属性検証サービスをクライアントに提供することにより、従来の認証サーバがDDoS攻撃を受けたことによるシングルポイント障害のような問題を回避することができる。
【手続補正22】
【補正対象書類名】図面
【補正対象項目名】図1
【補正方法】変更
【補正の内容】
【図1】
【国際調査報告】