1.本发明实施例涉及移动通信
技术领域:
:,具体涉及一种基站认证方法、查询节点、系统及设备。
背景技术:
::2.移动通信网络中的节点包括运营商服务器、运营商基站和移动终端。证书机构(ca,certificationauthority)的账本中包括运营商基站的信息。移动终端在执行连接到目标基站的操作时,获取当前所在的位置区,并从账本中获取该位置区中的运营商基站的信息;检测位置区中的运营商基站的信息中是否包括目标基站的信息;若包括目标基站的信息,则移动终端接入目标基站;若位置区中的运营商基站的信息中不包括目标基站的信息,则移动终端拒绝接入目标基站。3.在实现本发明实施例的过程中,发明人发现:现有基站准入认证机制中,以ca为认证的起点,一旦ca由于自身或其他原因造成服务不可用时,将影响使用该ca及信任该机构的所有用户。技术实现要素:4.鉴于上述问题,本发明实施例提供了一种基站认证的方法、查询节点、验证节点及系统,用于解决现有技术中存在的证书机构单点故障时造成无法进行基站准入认证的问题。5.根据本发明实施例的一个方面,提供了一种基站认证方法,包括:6.查询节点接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息;7.当从所述第一验证节点查询所述基站的数字证书信息失败时,所述查询节点向第二验证节点发送证书查询请求;8.所述查询节点接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;9.所述查询节点根据所述基站的数字证书信息对所述基站进行认证。10.一种可选实施方式中,所述查询节点接收到基站发送的鉴权请求之前包括:11.所述基于区块链的数字证书系统接收提交节点发送的所述基站的数字证书信息;12.所述数字证书系统中多个验证节点通过pbft共识算法一致地存储所述基站的数字证书信息。13.一种可选实施方式中,所述基于区块链的数字证书系统包括主验证节点和从验证节点;14.所述基于区块链的数字证书系统接收提交节点发送的所述基站的数字证书信息;数字证书系统中多个验证节点通过pbft共识算法一致地存储所述基站的数字证书信息包括:15.所述提交节点与所述基站协商生成所述基站的数字证书信息;16.所述基于区块链的数字证书系统中的主验证节点接收所述提交节点发送的证书发布申请,其中包含所述基站的数字证书信息;17.所述主验证节点通过pbft共识算法在所述主验证节点和从验证节点中一致地存储所述基站的数字证书信息;所述主验证节点和从验证节点向所述提交节点返回证书发布结果。18.一种可选实施方式中,所述鉴权请求中包括所述基站自身存储的第一数字证书;所述基站的数字证书信息中包含所述基站的第二数字证书;19.所述根据所述基站数字证书信息对所述基站的数字证书进行认证包括:20.所述查询节点比对所述第一数字证书与第二数字证书是否一致,如果一致则验证通过所述第一数字证书,否则所述基站认证失败。21.一种可选实施方式中,所述鉴权请求中包括所述基站的传递参数;所述基站的数字证书信息包括所述基站的证书状态信息;22.所述验证通过所述第一数字证书之后包括:23.所述查询节点根据所述证书状态信息对所述传递参数进行计算得到鉴权参数;24.所述查询节点向所述基站发送鉴权请求响应,将所述鉴权参数发送给所述基站。25.一种可选实施方式中,所述查询节点向基站发送鉴权请求响应之后包括:26.所述基站根据接收到的所述鉴权参数验证所述第一数字证书是否通过合法性校验,验证通过则所述基站认证成功,否则,所述基站认证失败。27.根据本发明实施例的另一方面,提供了一种查询节点,所述查询节点包括:28.第一查询请求发送模块,用于在接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息;29.第二查询请求发送模块,用于当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;30.查询响应接收模块,用于接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;31.认证模块,用于根据所述基站的数字证书信息对所述基站进行认证。32.根据本发明实施例的另一方面,提供了一种基站认证系统,所述系统包括:33.查询节点,用于在接收到基站发送的鉴权请求后,向第一验证节点发送证书查询请求,查询所述基站的数字证书信息;当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;根据所述基站的数字证书信息对所述基站进行认证;34.第一验证节点,用于与第二验证节点一致地存储所述基站的数字证书信息;接收所述查询节点发送的证书查询请求;35.第二验证节点,用于与第一验证节点一致地存储所述基站的数字证书信息;接收查询节点发送的证书查询请求;查询所述基站的数字证书信息;向查询节点返回证书查询响应,其中包含所述基站的数字证书信息。36.一种可选实施方式中,所述系统还包括:37.提交节点,用于与所述基站协商生成所述基站的数字证书信息,向第二验证节点发送证书发布申请,其中包含所述基站的数字证书信息;38.所述第二验证节点,还用于接收所述提交节点发送的证书发布申请;通过pbft共识算法在所述第一验证节点和第二验证节点中一致地存储所述基站的数字证书信息;向所述提交节点返回证书发布结果;39.所述第一验证节点,还用于通过pbft共识算法在所述第一验证节点和第二验证节点中一致地存储所述基站的数字证书信息;向所述提交节点返回证书发布结果。40.根据本发明实施例的另一方面,提供了一种基站认证设备,所述设备包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;41.所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的基站认证方法的操作。42.本发明实施例中通过上述基站认证方法,当查询节点收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,查询节点可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。43.上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。附图说明44.附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:45.图1示出了本发明实施例提供的基站认证方法的流程图;46.图2示出了本发明实施例提供的pbft算法的三阶段共识流程示意图;47.图3示出了本发明实施例提供的查询节点的结构示意图;48.图4示出了本发明实施例提供的基站认证系统的结构示意图;49.图5示出了本发明实施例提供的基站认证设备的结构示意图。具体实施方式50.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。51.本发明实施例主要应用于基站需要通信服务时,对基站进行认证的场景下。例如,通信运营商、设备商、政府机构、研究机构等实体组织形成产业联盟共同参与记账的区块链场景下,当有新的基站接入移动网络时,以实用拜占庭容错算法(pbft,practicalbyzantinefaulttolerance)在联盟成员节点之间通过多中心的互信来达成共识。运营商节点、设备商节点等联盟成员节点共同参与,共同验证上链数据(即基站的数字证书及状态信息),建立多方信任关系。上述联盟成员节点可称为共识排序节点,是区块链应用的数据处理中枢。在基站需要进行通信时,利用基于区块链的数字证书系统为该基站提供认证服务。52.图1示出了本发明实施例提供的基站认证方法的流程图。如图1所示,该方法包括以下步骤:53.步骤110:查询节点接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息。54.上述基站包括无线接入网基站(如enodeb、gnodeb等)、5g-cep(customerpremiseequipment,客户前置设备)、路由器及无线网卡等通信接入设备。上述查询节点主要提供数字证书查询服务,具体可为安全网关或智能网关等认证设备,一般归属于通信运营商或信任服务机构。上述验证节点主要用于验证设备商发布的基站数字证书的合法性,如验证证书发布申请、证书格式等,产生区块数据,具体可为上述共识排序节点。上述数字证书信息包括基站的数字证书及证书状态信息。具体的,步骤110可包括:55.步骤111:基站在需要进行通信时,向查询节点发送鉴权请求。56.该鉴权请求具体可以是ike(internetkeyexchange,网络密钥交换协议)鉴权请求。在发送鉴权请求之前,基站可通过ike初始交换请求与查询节点协商加密参数。57.步骤112:查询节点收到上述鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求。58.基于区块链的数字证书系统中包含多个验证节点,这些验证节点一致地存储有基站的数字证书信息,即每个验证节点均存储有该基站相同的数字证书信息。查询节点可在多个验证节点中任意选择一个向其发送证书查询请求。59.步骤120:当从所述第一验证节点查询所述基站的数字证书信息失败时,所述查询节点向第二验证节点发送证书查询请求。60.不可避免的,在一些情况下上述第一验证节点可能出现问题,如第一验证节点自身发生故障或网络链路中断,造成向第一验证节点发送的请求的长时间无响应。这时查询节点判断从该第一验证节点查询数字证书信息失败,便从多个验证节点中选择第二验证节点向其发送证书查询请求,以获取上述基站的数字证书信息。61.步骤130:所述查询节点接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;62.具体的,上述第二验证节点在自身存储的区块中查找该基站的最新的数字证书信息,并通过证书查询响应消息将该基站的数字证书信息发送给查询节点。63.步骤140:所述查询节点根据所述基站的数字证书信息对所述基站进行认证。64.具体的,上述查询节点收到的基站发送的鉴权请求中包括该基站自身存储的第一数字证书;上述第二验证节点返回的基站的数字证书信息中包含该基站的第二数字证书。步骤140包括:65.步骤141:该查询节点比对第一数字证书与第二数字证书是否一致,如果一致则验证通过所述第一数字证书,否则所述基站认证失败。66.在基站认证失败时,查询节点直接向基站返回认证失败消息,该基站无法在网络上注册以进行通信。67.上述鉴权请求中可包括该基站的传递参数;上述基站的数字证书信息可包括该基站的证书状态信息。优选的,步骤141之后可进一步包括:68.步骤142:所述查询节点根据所述证书状态信息对所述传递参数进行计算得到鉴权参数。69.具体的,查询节点可根据该基站的证书状态信息,如证书私钥,计算基站发送的鉴权请求中的传递参数,生成鉴权参数。70.步骤143:所述查询节点向所述基站发送鉴权请求响应,将所述鉴权参数发送给所述基站。71.步骤144:所述基站根据接收到的所述鉴权参数验证所述第一数字证书是否通过合法性校验,验证通过则所述基站认证成功,否则,所述基站认证失败。72.具体的,该基站根据查询节点发送的鉴权参数和数字证书信息,进行鉴权参数计算,对自身存储第一数字证书进行合法性校验,验证通过则该基站认证成功,可在网络上注册以便终端设备通过该基站进行通信。73.在查询节点向验证节点查询基站的数字证书信息之前,需在基于区块链的数字证书系统中各验证节点分布式一致地存储基站的数字证书信息。优选的,在步骤110之前,上述基站认证方法还包括:74.步骤150:所述基于区块链的数字证书系统接收提交节点发送的所述基站的数字证书信息。75.上述提交节点用于提交基站的数字证书信息,可以是基于区块链的数字证书系统分配给设备商、运营商或服务商的客户端。上述基于区块链的数字证书系统包括主验证节点和从验证节点。优选的,步骤150具体包括:76.步骤151:所述提交节点与所述基站协商生成所述基站的数字证书信息。77.具体的,该步骤包含两种情况:1、在基站出厂或在入网时,设备商为该基站配置基站数字证书信息,通过提交节点发送给主验证节点;2、在基站需要更新其数字证书信息时,该基站与提交节点交互,生成新的数字证书信息,通过提交节点发送给主验证节点。该新的数字证书信息与原数字证书信息具有相同的dn(distinguishedname,证书持有人唯一标识符)。78.步骤152:所述基于区块链的数字证书系统中的主验证节点接收所述提交节点发送的证书发布申请,其中包含所述基站的数字证书信息。79.步骤160:所述数字证书系统中多个验证节点通过pbft共识算法一致地存储所述基站的数字证书信息。80.pbft共识算法主要目的是在多个验证节点(即上述共识排序节点)中对于一个基站共同维护同一个数字证书信息,即多个验证节点行动一致地存储维护该基站的数字证书信息,以达到分布式多中心存储基站的数字证书信息。为此,需要在多个验证节点上运行一致性协议。一致性协议要求来自客户端(即提交节点)的请求在每一个节点上都按照一个确定的顺序执行,该协议将节点分为两类:主节点(即主验证节点)和从节点(即从验证节点)。主节点仅有一个并负责请求的排序,从节点按照主节点排序来处理请求。上述证书发布申请即为提交节点(即客户端)发送给主验证节点的请求。每一个验证节点有一个节点编号,主节点的“选举”方法是通过一个模运算p=vmod|r|来产生,其中p为主节点编号、v为视图编号,|r|为验证节点数量。也可选择当前有效的验证节点中编号最小的验证节点成为新的主节点。81.优选的,步骤160具体包括:82.步骤161:所述主验证节点通过pbft共识算法在所述主验证节点和从验证节点中一致地存储所述基站的数字证书信息;所述主验证节点和从验证节点向所述提交节点返回证书发布结果。83.上述pbft共识算法一致性协议基本流程为:主节点接收客户端发送的请求;主节点广播请求给其它节点,各节点执行pbft算法的三阶段共识流程;各节点处理完三阶段共识流程后,返回答复消息给客户端;客户端收到来自f 1个节点的相同的答复消息后,代表对于上述请求的处理已在有效节点上达成共识。上述f为有可能失效的节点的最大个数。84.上述三阶段共识流程为pbft算法的核心流程,分别为pre-prepare阶段(预准备阶段)、prepare阶段(准备阶段)和commit阶段(提交阶段)。如图2所示,为本发明实施例提供的pbft算法的三阶段共识流程示意图。图2中c代表客户端,0、1、2、3分别为节点的编号,代表各个验证节点,其中节点3可能是一个失效节点,即发生故障或者产生问题的节点,节点0为主节点。85.优选的,主验证节点收到提交节点发送的证书发布申请后,可按照上述pbft共识算法一致性协议在主验证节点和从验证节点中一致地存储所述基站的数字证书信息;主验证节点和从验证节点向所述提交节点返回证书发布结果。具体步骤如下:86.步骤1611:主节点0收到客户端发送的请求(其中包含基站的数字证书信息),为该请求分配一个编号n。请求编号n主要用于对客户端的请求进行排序。然后向从节点发送pre-prepare消息,其中包含参数:视图编号v,客户端请求摘要d,客户端请求内容m。该步骤为pre-prepare阶段。87.步骤1612:有效从节点i(图2中节点1或节点2)收到pre-prepare消息后,对该消息进行校验:当从节点i之前已经收到了具有相同参数v和n,但其他内容不同的消息时拒绝当前pre-prepare消息,或者请求编号n不在水位区间[h,h]内则等待。校验通过则从节点i向其它节点(即主节点和其他从节点)发送prepare消息,包含参数v、n、d、m。在一定时间范围内,如果从节点i收到超过2f个不同节点的prepare消息,就代表prepare阶段已经完成。[0088]步骤1613:有效节点i(图2中节点0、节点1或节点2)向所有节点(包括自己)广播commit消息,当节点i收到2f 1个commit消息后,代表大多数节点(即所有有效节点)已经达成共识,各有效节点就会行动一致地执行客户端的请求,写入数据。具体的,各节点将证书发布申请中的基站的数字证书信息一致地存储在各自的账本中。该步骤为commit阶段。[0089]步骤1614:有效节点i(图2中节点0、节点1或节点2)向客户端返回reply答复消息,其中包含对于请求的操作结果(即证书发布结果)。[0090]通过上述pbft共识算法一致性协议,在多个验证节点中对于一个基站共同维护同一个数字证书信息,即多个验证节点行动一致地存储维护该基站的数字证书信息,达到分布式多中心存储基站的数字证书信息的目的,避免某个验证节点单点故障问题,提高基站数字证书配置和验证效率,提升基于区块链的数字证书系统的记账效率与容错性。另外,在基站的数字证书发布申请过程中,不需要人工干预,避免因人工参与造成私钥泄露的安全风险。[0091]可选的,为了保证各个验证节点对于客户端请求处理同步性,可在多个验证节点中运行pbft算法的检查点协议。首先,对于检查点checkpoint、稳定检查点stablecheckpoint和高低水位进行说明:checkpoint是当前节点处理的最新请求编号;stablecheckpoint是大部分节点(如2f 1个节点)已经按照一致性协议共识完成的最大请求编号。所谓低水位可以理解为stablecheckpoint对应的请求编号,而高水位指的是在stablecheckpoint上加上一个设定的值l。[0092]例如,a节点当前checkpoint为1100,b节点的checkpoint为1099,stablecheckpoint为1000,l为100,那么高水位h=1000 100=1100,低水位h=1000。此时由于a节点当前处理的请求编号超过高水位,则处于等待状态。当b节点处理速度跟上之后(比如b节点的checkpoint变为1100),高低水位发生变化,比如高水位变更为1200,低水位变更为1100时(也就是2f 1个节点已经共识完成请求编号1100之前的请求),同时请求编号在1100之前的请求日志数据都可以从节点本地删除,这个时候a节点就可以继续处理请求了。[0093]上述pbft共识算法的检查点协议有两个功能:一是可以确保网络中有效节点当前处理的请求在同一水位范围内。由于节点的处理速度可能不同,会出现一些节点掉队,通过该协议可保证各有效节点对于客户端请求处理的同步性。二是进行垃圾数据回收。由于一致性协议流程的运行会产生各种较小的请求数据,如消息日志数据等,这些都保存在各节点本地,为了保证各节点有效运转,需定期清理垃圾数据,检查点协议设置了稳定检查点,请求编号在稳定检查点之前的请求的日志数据都可以删除,以保证各节点稳定运行。[0094]在一些情况下,当主节点失效了(如超时无响应)或者从节点集体认为主节点是问题节点(如主节点作恶,给不同的请求编上相同的序号,或者不去分配请求编号)时,需要进行视图的变更。一个优选实施方式中,可在多个验证节点中运行pbft共识算法的视图更换协议。具体的,视图更换协议分为三个阶段:视图变更阶段、视图变更确认阶段、新建视图阶段。[0095]视图变更阶段:从节点认为主节点有问题时,会向其它节点发送view-change消息,当前节点编号最小的有效节点将成为新的主节点。[0096]视图变更确认阶段:当新的主节点收到2f个其它节点发送的view-change消息,证明有足够多的节点认为主节点有问题,于是就会向其它节点发送new-view消息。[0097]新建视图阶段:对于新主节点,发送new-view消息后会继续执行上个视图未处理完的请求,从pre-prepare阶段开始。其它节点校验new-view消息通过后,就会处理新主节点发来的pre-prepare消息。视图变更完成后,视图编号v将会加1。[0098]通过上述pbft共识算法的视图更换协议,可在主节点失效情况下,自动更换新的主节点,使基于区块链的数字证书系统具有自动修复功能,保证各验证节点提供服务的稳定性和容错性。[0099]步骤170:所述提交节点将所述数字证书系统返回的证书发布结果发送给所述基站。[0100]具体的,在提交节点收到有效节点i(图2中节点0、节点1或节点2)返回的相同的reply答复消息后,代表对于上述证书发布申请请求的处理已在有效节点上达成共识,则向上述基站发送证书发布结果,如该基站数字证书信息已一致地存储在各验证节点中。[0101]本发明实施例中通过上述基站认证方法,当查询节点收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,查询节点可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。[0102]图3示出了本发明实施例提供的查询节点的结构示意图。如图3所示,该查询节点300包括:[0103]第一查询请求发送模块310,用于在接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息;[0104]第二查询请求发送模块320,用于当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;[0105]查询响应接收模块330,用于接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;[0106]认证模块340,用于根据所述基站的数字证书信息对所述基站进行认证。[0107]优选的,上述鉴权请求中包括所述基站自身存储的第一数字证书;上述基站的数字证书信息中包含所述基站的第二数字证书;所述认证模块340包括:[0108]比对单元341,用于比对所述第一数字证书与第二数字证书是否一致,如果一致则验证通过所述第一数字证书,否则所述基站认证失败。[0109]优选的,上述鉴权请求中可包括该基站的传递参数;上述基站的数字证书信息可包括该基站的证书状态信息;所述认证模块340还包括:[0110]参数计算单元342,用于根据所述证书状态信息对所述传递参数进行计算得到鉴权参数。[0111]请求响应单元343,用于向所述基站发送鉴权请求响应,将所述鉴权参数发送给所述基站;使所述基站根据接收到的所述鉴权参数验证所述第一数字证书是否通过合法性校验,验证通过则所述基站认证成功,否则,所述基站认证失败。[0112]本发明实施例所提供的查询节点,当其收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,查询节点可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。[0113]需要说明的是,上述查询节点与本发明实施例提供的基站认证方法基于同一构思,具体内容可参见本发明基站认证方法实施例中的描述,此处不再赘述。[0114]图4示出了本发明实施例提供的基站认证系统的结构示意图。如图4所示,该系统400包括:[0115]查询节点300,用于在接收到基站发送的鉴权请求后,向第一验证节点发送证书查询请求,查询所述基站的数字证书信息;当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;根据所述基站的数字证书信息对所述基站进行认证;[0116]第一验证节点410,用于与第二验证节点一致地存储所述基站的数字证书信息;接收所述查询节点发送的证书查询请求;[0117]第二验证节点420,用于与第一验证节点一致地存储所述基站的数字证书信息;接收查询节点发送的证书查询请求;查询所述基站的数字证书信息;向查询节点返回证书查询响应,其中包含所述基站的数字证书信息。[0118]所述查询节点300具体结构与图3所示的查询节点300的结构一致,在此不再赘述。[0119]为了在各验证节点分布式一致地存储基站的数字证书信息,优选的,该系统400还包括:[0120]提交节点430,用于与所述基站协商生成所述基站的数字证书信息,向第二验证节点发送证书发布申请,其中包含所述基站的数字证书信息;[0121]所述第二验证节点420,还用于接收所述提交节点发送的证书发布申请;通过pbft共识算法在所述第一验证节点和第二验证节点中一致地存储所述基站的数字证书信息;向所述提交节点返回证书发布结果;[0122]所述第一验证节点410,还用于通过pbft共识算法在所述第一验证节点和第二验证节点中一致地存储所述基站的数字证书信息;向所述提交节点返回证书发布结果。[0123]具体的,所述第二验证节点420可包括:[0124]查询请求接收模块421,用于接收查询节点发送的证书查询请求;[0125]查询模块422,用于查询所述基站的数字证书信息;[0126]查询响应发送模块423,用于向查询节点返回证书查询响应,其中包含所述基站的数字证书信息。[0127]优选的,所述第二验证节点420为所述基站认证系统中的主验证节点,第一验证节点410为所述基站认证系统中的从验证节点;所述第二验证节点420还包括:[0128]发布申请接收模块424,用于接收提交节点发送的证书发布申请,其中包含所述基站的数字证书信息;[0129]共识算法模块425,用于通过pbft共识算法在所述第二验证节点420和第一验证节点410中一致地存储所述基站的数字证书信息;[0130]证书发布响应模块426,用于向所述提交节点返回证书发布结果。[0131]本发明实施例中通过上述基站认证系统,当查询节点收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,查询节点可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。[0132]需要说明的是,上述基站认证系统与本发明实施例提供的基站认证方法基于同一构思,具体内容可参见本发明基站认证方法实施例中的描述,此处不再赘述。[0133]图5示出了本发明实施例提供的基站认证设备的结构示意图,本发明具体实施例并不对基站认证设备的具体实现做限定。[0134]如图5所示,该基站认证设备可以包括:处理器(processor)502、通信接口(communicationsinterface)504、存储器(memory)506、以及通信总线508。[0135]其中:处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。通信接口504,用于与其它设备比如客户端或其它服务器等的网元通信。处理器502,用于执行程序510,具体可以执行上述基站认证方法实施例中的相关步骤。[0136]具体的,程序510可以包括程序代码,该程序代码包括计算机可执行指令。[0137]处理器502可能是中央处理器cpu,或者是特定集成电路asic(applicationspecificintegratedcircuit),或者是被配置成实施本发明实施例的一个或多个集成电路。基站认证设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个cpu;也可以是不同类型的处理器,如一个或多个cpu以及一个或多个asic。[0138]存储器506,用于存放程序510。存储器506可能包含高速ram存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。[0139]程序510具体可以被处理器502调用使基站认证设备执行以下操作:[0140]接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息;[0141]当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;[0142]接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;[0143]根据所述基站的数字证书信息对所述基站进行认证。[0144]优选的,上述鉴权请求中包括所述基站自身存储的第一数字证书;上述基站的数字证书信息中包含所述基站的第二数字证书;所述根据所述基站数字证书信息对所述基站的数字证书进行认证包括:[0145]比对所述第一数字证书与第二数字证书是否一致,如果一致则验证通过所述第一数字证书,否则所述基站认证失败。[0146]优选的,上述鉴权请求中包括所述基站的传递参数;上述基站的数字证书信息包括所述基站的证书状态信息;所述验证通过所述第一数字证书之后包括:[0147]根据所述证书状态信息对所述传递参数进行计算得到鉴权参数;[0148]向所述基站发送鉴权请求响应,将所述鉴权参数发送给所述基站;使所述基站根据接收到的所述鉴权参数验证所述第一数字证书是否通过合法性校验,验证通过则所述基站认证成功,否则,所述基站认证失败。[0149]本发明实施例所提供的基站认证设备,当其收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,基站认证设备可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。[0150]上述基站认证设备可执行本发明实施例所提供的基站认证方法,具备相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明所提供的基站认证方法实施例。[0151]本发明实施例提供了一种计算机可读存储介质,所述存储介质存储有至少一可执行指令,该可执行指令在基站认证设备上运行时,使得所述基站认证设备执行上述方法实施例中的基站认证方法。未在本实施例中详尽描述的技术细节,可参见本发明所提供的基站认证方法实施例。[0152]在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。[0153]在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。[0154]类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。[0155]本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。[0156]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。当前第1页12当前第1页12
技术领域:
:,具体涉及一种基站认证方法、查询节点、系统及设备。
背景技术:
::2.移动通信网络中的节点包括运营商服务器、运营商基站和移动终端。证书机构(ca,certificationauthority)的账本中包括运营商基站的信息。移动终端在执行连接到目标基站的操作时,获取当前所在的位置区,并从账本中获取该位置区中的运营商基站的信息;检测位置区中的运营商基站的信息中是否包括目标基站的信息;若包括目标基站的信息,则移动终端接入目标基站;若位置区中的运营商基站的信息中不包括目标基站的信息,则移动终端拒绝接入目标基站。3.在实现本发明实施例的过程中,发明人发现:现有基站准入认证机制中,以ca为认证的起点,一旦ca由于自身或其他原因造成服务不可用时,将影响使用该ca及信任该机构的所有用户。技术实现要素:4.鉴于上述问题,本发明实施例提供了一种基站认证的方法、查询节点、验证节点及系统,用于解决现有技术中存在的证书机构单点故障时造成无法进行基站准入认证的问题。5.根据本发明实施例的一个方面,提供了一种基站认证方法,包括:6.查询节点接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息;7.当从所述第一验证节点查询所述基站的数字证书信息失败时,所述查询节点向第二验证节点发送证书查询请求;8.所述查询节点接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;9.所述查询节点根据所述基站的数字证书信息对所述基站进行认证。10.一种可选实施方式中,所述查询节点接收到基站发送的鉴权请求之前包括:11.所述基于区块链的数字证书系统接收提交节点发送的所述基站的数字证书信息;12.所述数字证书系统中多个验证节点通过pbft共识算法一致地存储所述基站的数字证书信息。13.一种可选实施方式中,所述基于区块链的数字证书系统包括主验证节点和从验证节点;14.所述基于区块链的数字证书系统接收提交节点发送的所述基站的数字证书信息;数字证书系统中多个验证节点通过pbft共识算法一致地存储所述基站的数字证书信息包括:15.所述提交节点与所述基站协商生成所述基站的数字证书信息;16.所述基于区块链的数字证书系统中的主验证节点接收所述提交节点发送的证书发布申请,其中包含所述基站的数字证书信息;17.所述主验证节点通过pbft共识算法在所述主验证节点和从验证节点中一致地存储所述基站的数字证书信息;所述主验证节点和从验证节点向所述提交节点返回证书发布结果。18.一种可选实施方式中,所述鉴权请求中包括所述基站自身存储的第一数字证书;所述基站的数字证书信息中包含所述基站的第二数字证书;19.所述根据所述基站数字证书信息对所述基站的数字证书进行认证包括:20.所述查询节点比对所述第一数字证书与第二数字证书是否一致,如果一致则验证通过所述第一数字证书,否则所述基站认证失败。21.一种可选实施方式中,所述鉴权请求中包括所述基站的传递参数;所述基站的数字证书信息包括所述基站的证书状态信息;22.所述验证通过所述第一数字证书之后包括:23.所述查询节点根据所述证书状态信息对所述传递参数进行计算得到鉴权参数;24.所述查询节点向所述基站发送鉴权请求响应,将所述鉴权参数发送给所述基站。25.一种可选实施方式中,所述查询节点向基站发送鉴权请求响应之后包括:26.所述基站根据接收到的所述鉴权参数验证所述第一数字证书是否通过合法性校验,验证通过则所述基站认证成功,否则,所述基站认证失败。27.根据本发明实施例的另一方面,提供了一种查询节点,所述查询节点包括:28.第一查询请求发送模块,用于在接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息;29.第二查询请求发送模块,用于当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;30.查询响应接收模块,用于接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;31.认证模块,用于根据所述基站的数字证书信息对所述基站进行认证。32.根据本发明实施例的另一方面,提供了一种基站认证系统,所述系统包括:33.查询节点,用于在接收到基站发送的鉴权请求后,向第一验证节点发送证书查询请求,查询所述基站的数字证书信息;当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;根据所述基站的数字证书信息对所述基站进行认证;34.第一验证节点,用于与第二验证节点一致地存储所述基站的数字证书信息;接收所述查询节点发送的证书查询请求;35.第二验证节点,用于与第一验证节点一致地存储所述基站的数字证书信息;接收查询节点发送的证书查询请求;查询所述基站的数字证书信息;向查询节点返回证书查询响应,其中包含所述基站的数字证书信息。36.一种可选实施方式中,所述系统还包括:37.提交节点,用于与所述基站协商生成所述基站的数字证书信息,向第二验证节点发送证书发布申请,其中包含所述基站的数字证书信息;38.所述第二验证节点,还用于接收所述提交节点发送的证书发布申请;通过pbft共识算法在所述第一验证节点和第二验证节点中一致地存储所述基站的数字证书信息;向所述提交节点返回证书发布结果;39.所述第一验证节点,还用于通过pbft共识算法在所述第一验证节点和第二验证节点中一致地存储所述基站的数字证书信息;向所述提交节点返回证书发布结果。40.根据本发明实施例的另一方面,提供了一种基站认证设备,所述设备包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;41.所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的基站认证方法的操作。42.本发明实施例中通过上述基站认证方法,当查询节点收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,查询节点可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。43.上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。附图说明44.附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:45.图1示出了本发明实施例提供的基站认证方法的流程图;46.图2示出了本发明实施例提供的pbft算法的三阶段共识流程示意图;47.图3示出了本发明实施例提供的查询节点的结构示意图;48.图4示出了本发明实施例提供的基站认证系统的结构示意图;49.图5示出了本发明实施例提供的基站认证设备的结构示意图。具体实施方式50.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。51.本发明实施例主要应用于基站需要通信服务时,对基站进行认证的场景下。例如,通信运营商、设备商、政府机构、研究机构等实体组织形成产业联盟共同参与记账的区块链场景下,当有新的基站接入移动网络时,以实用拜占庭容错算法(pbft,practicalbyzantinefaulttolerance)在联盟成员节点之间通过多中心的互信来达成共识。运营商节点、设备商节点等联盟成员节点共同参与,共同验证上链数据(即基站的数字证书及状态信息),建立多方信任关系。上述联盟成员节点可称为共识排序节点,是区块链应用的数据处理中枢。在基站需要进行通信时,利用基于区块链的数字证书系统为该基站提供认证服务。52.图1示出了本发明实施例提供的基站认证方法的流程图。如图1所示,该方法包括以下步骤:53.步骤110:查询节点接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息。54.上述基站包括无线接入网基站(如enodeb、gnodeb等)、5g-cep(customerpremiseequipment,客户前置设备)、路由器及无线网卡等通信接入设备。上述查询节点主要提供数字证书查询服务,具体可为安全网关或智能网关等认证设备,一般归属于通信运营商或信任服务机构。上述验证节点主要用于验证设备商发布的基站数字证书的合法性,如验证证书发布申请、证书格式等,产生区块数据,具体可为上述共识排序节点。上述数字证书信息包括基站的数字证书及证书状态信息。具体的,步骤110可包括:55.步骤111:基站在需要进行通信时,向查询节点发送鉴权请求。56.该鉴权请求具体可以是ike(internetkeyexchange,网络密钥交换协议)鉴权请求。在发送鉴权请求之前,基站可通过ike初始交换请求与查询节点协商加密参数。57.步骤112:查询节点收到上述鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求。58.基于区块链的数字证书系统中包含多个验证节点,这些验证节点一致地存储有基站的数字证书信息,即每个验证节点均存储有该基站相同的数字证书信息。查询节点可在多个验证节点中任意选择一个向其发送证书查询请求。59.步骤120:当从所述第一验证节点查询所述基站的数字证书信息失败时,所述查询节点向第二验证节点发送证书查询请求。60.不可避免的,在一些情况下上述第一验证节点可能出现问题,如第一验证节点自身发生故障或网络链路中断,造成向第一验证节点发送的请求的长时间无响应。这时查询节点判断从该第一验证节点查询数字证书信息失败,便从多个验证节点中选择第二验证节点向其发送证书查询请求,以获取上述基站的数字证书信息。61.步骤130:所述查询节点接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;62.具体的,上述第二验证节点在自身存储的区块中查找该基站的最新的数字证书信息,并通过证书查询响应消息将该基站的数字证书信息发送给查询节点。63.步骤140:所述查询节点根据所述基站的数字证书信息对所述基站进行认证。64.具体的,上述查询节点收到的基站发送的鉴权请求中包括该基站自身存储的第一数字证书;上述第二验证节点返回的基站的数字证书信息中包含该基站的第二数字证书。步骤140包括:65.步骤141:该查询节点比对第一数字证书与第二数字证书是否一致,如果一致则验证通过所述第一数字证书,否则所述基站认证失败。66.在基站认证失败时,查询节点直接向基站返回认证失败消息,该基站无法在网络上注册以进行通信。67.上述鉴权请求中可包括该基站的传递参数;上述基站的数字证书信息可包括该基站的证书状态信息。优选的,步骤141之后可进一步包括:68.步骤142:所述查询节点根据所述证书状态信息对所述传递参数进行计算得到鉴权参数。69.具体的,查询节点可根据该基站的证书状态信息,如证书私钥,计算基站发送的鉴权请求中的传递参数,生成鉴权参数。70.步骤143:所述查询节点向所述基站发送鉴权请求响应,将所述鉴权参数发送给所述基站。71.步骤144:所述基站根据接收到的所述鉴权参数验证所述第一数字证书是否通过合法性校验,验证通过则所述基站认证成功,否则,所述基站认证失败。72.具体的,该基站根据查询节点发送的鉴权参数和数字证书信息,进行鉴权参数计算,对自身存储第一数字证书进行合法性校验,验证通过则该基站认证成功,可在网络上注册以便终端设备通过该基站进行通信。73.在查询节点向验证节点查询基站的数字证书信息之前,需在基于区块链的数字证书系统中各验证节点分布式一致地存储基站的数字证书信息。优选的,在步骤110之前,上述基站认证方法还包括:74.步骤150:所述基于区块链的数字证书系统接收提交节点发送的所述基站的数字证书信息。75.上述提交节点用于提交基站的数字证书信息,可以是基于区块链的数字证书系统分配给设备商、运营商或服务商的客户端。上述基于区块链的数字证书系统包括主验证节点和从验证节点。优选的,步骤150具体包括:76.步骤151:所述提交节点与所述基站协商生成所述基站的数字证书信息。77.具体的,该步骤包含两种情况:1、在基站出厂或在入网时,设备商为该基站配置基站数字证书信息,通过提交节点发送给主验证节点;2、在基站需要更新其数字证书信息时,该基站与提交节点交互,生成新的数字证书信息,通过提交节点发送给主验证节点。该新的数字证书信息与原数字证书信息具有相同的dn(distinguishedname,证书持有人唯一标识符)。78.步骤152:所述基于区块链的数字证书系统中的主验证节点接收所述提交节点发送的证书发布申请,其中包含所述基站的数字证书信息。79.步骤160:所述数字证书系统中多个验证节点通过pbft共识算法一致地存储所述基站的数字证书信息。80.pbft共识算法主要目的是在多个验证节点(即上述共识排序节点)中对于一个基站共同维护同一个数字证书信息,即多个验证节点行动一致地存储维护该基站的数字证书信息,以达到分布式多中心存储基站的数字证书信息。为此,需要在多个验证节点上运行一致性协议。一致性协议要求来自客户端(即提交节点)的请求在每一个节点上都按照一个确定的顺序执行,该协议将节点分为两类:主节点(即主验证节点)和从节点(即从验证节点)。主节点仅有一个并负责请求的排序,从节点按照主节点排序来处理请求。上述证书发布申请即为提交节点(即客户端)发送给主验证节点的请求。每一个验证节点有一个节点编号,主节点的“选举”方法是通过一个模运算p=vmod|r|来产生,其中p为主节点编号、v为视图编号,|r|为验证节点数量。也可选择当前有效的验证节点中编号最小的验证节点成为新的主节点。81.优选的,步骤160具体包括:82.步骤161:所述主验证节点通过pbft共识算法在所述主验证节点和从验证节点中一致地存储所述基站的数字证书信息;所述主验证节点和从验证节点向所述提交节点返回证书发布结果。83.上述pbft共识算法一致性协议基本流程为:主节点接收客户端发送的请求;主节点广播请求给其它节点,各节点执行pbft算法的三阶段共识流程;各节点处理完三阶段共识流程后,返回答复消息给客户端;客户端收到来自f 1个节点的相同的答复消息后,代表对于上述请求的处理已在有效节点上达成共识。上述f为有可能失效的节点的最大个数。84.上述三阶段共识流程为pbft算法的核心流程,分别为pre-prepare阶段(预准备阶段)、prepare阶段(准备阶段)和commit阶段(提交阶段)。如图2所示,为本发明实施例提供的pbft算法的三阶段共识流程示意图。图2中c代表客户端,0、1、2、3分别为节点的编号,代表各个验证节点,其中节点3可能是一个失效节点,即发生故障或者产生问题的节点,节点0为主节点。85.优选的,主验证节点收到提交节点发送的证书发布申请后,可按照上述pbft共识算法一致性协议在主验证节点和从验证节点中一致地存储所述基站的数字证书信息;主验证节点和从验证节点向所述提交节点返回证书发布结果。具体步骤如下:86.步骤1611:主节点0收到客户端发送的请求(其中包含基站的数字证书信息),为该请求分配一个编号n。请求编号n主要用于对客户端的请求进行排序。然后向从节点发送pre-prepare消息,其中包含参数:视图编号v,客户端请求摘要d,客户端请求内容m。该步骤为pre-prepare阶段。87.步骤1612:有效从节点i(图2中节点1或节点2)收到pre-prepare消息后,对该消息进行校验:当从节点i之前已经收到了具有相同参数v和n,但其他内容不同的消息时拒绝当前pre-prepare消息,或者请求编号n不在水位区间[h,h]内则等待。校验通过则从节点i向其它节点(即主节点和其他从节点)发送prepare消息,包含参数v、n、d、m。在一定时间范围内,如果从节点i收到超过2f个不同节点的prepare消息,就代表prepare阶段已经完成。[0088]步骤1613:有效节点i(图2中节点0、节点1或节点2)向所有节点(包括自己)广播commit消息,当节点i收到2f 1个commit消息后,代表大多数节点(即所有有效节点)已经达成共识,各有效节点就会行动一致地执行客户端的请求,写入数据。具体的,各节点将证书发布申请中的基站的数字证书信息一致地存储在各自的账本中。该步骤为commit阶段。[0089]步骤1614:有效节点i(图2中节点0、节点1或节点2)向客户端返回reply答复消息,其中包含对于请求的操作结果(即证书发布结果)。[0090]通过上述pbft共识算法一致性协议,在多个验证节点中对于一个基站共同维护同一个数字证书信息,即多个验证节点行动一致地存储维护该基站的数字证书信息,达到分布式多中心存储基站的数字证书信息的目的,避免某个验证节点单点故障问题,提高基站数字证书配置和验证效率,提升基于区块链的数字证书系统的记账效率与容错性。另外,在基站的数字证书发布申请过程中,不需要人工干预,避免因人工参与造成私钥泄露的安全风险。[0091]可选的,为了保证各个验证节点对于客户端请求处理同步性,可在多个验证节点中运行pbft算法的检查点协议。首先,对于检查点checkpoint、稳定检查点stablecheckpoint和高低水位进行说明:checkpoint是当前节点处理的最新请求编号;stablecheckpoint是大部分节点(如2f 1个节点)已经按照一致性协议共识完成的最大请求编号。所谓低水位可以理解为stablecheckpoint对应的请求编号,而高水位指的是在stablecheckpoint上加上一个设定的值l。[0092]例如,a节点当前checkpoint为1100,b节点的checkpoint为1099,stablecheckpoint为1000,l为100,那么高水位h=1000 100=1100,低水位h=1000。此时由于a节点当前处理的请求编号超过高水位,则处于等待状态。当b节点处理速度跟上之后(比如b节点的checkpoint变为1100),高低水位发生变化,比如高水位变更为1200,低水位变更为1100时(也就是2f 1个节点已经共识完成请求编号1100之前的请求),同时请求编号在1100之前的请求日志数据都可以从节点本地删除,这个时候a节点就可以继续处理请求了。[0093]上述pbft共识算法的检查点协议有两个功能:一是可以确保网络中有效节点当前处理的请求在同一水位范围内。由于节点的处理速度可能不同,会出现一些节点掉队,通过该协议可保证各有效节点对于客户端请求处理的同步性。二是进行垃圾数据回收。由于一致性协议流程的运行会产生各种较小的请求数据,如消息日志数据等,这些都保存在各节点本地,为了保证各节点有效运转,需定期清理垃圾数据,检查点协议设置了稳定检查点,请求编号在稳定检查点之前的请求的日志数据都可以删除,以保证各节点稳定运行。[0094]在一些情况下,当主节点失效了(如超时无响应)或者从节点集体认为主节点是问题节点(如主节点作恶,给不同的请求编上相同的序号,或者不去分配请求编号)时,需要进行视图的变更。一个优选实施方式中,可在多个验证节点中运行pbft共识算法的视图更换协议。具体的,视图更换协议分为三个阶段:视图变更阶段、视图变更确认阶段、新建视图阶段。[0095]视图变更阶段:从节点认为主节点有问题时,会向其它节点发送view-change消息,当前节点编号最小的有效节点将成为新的主节点。[0096]视图变更确认阶段:当新的主节点收到2f个其它节点发送的view-change消息,证明有足够多的节点认为主节点有问题,于是就会向其它节点发送new-view消息。[0097]新建视图阶段:对于新主节点,发送new-view消息后会继续执行上个视图未处理完的请求,从pre-prepare阶段开始。其它节点校验new-view消息通过后,就会处理新主节点发来的pre-prepare消息。视图变更完成后,视图编号v将会加1。[0098]通过上述pbft共识算法的视图更换协议,可在主节点失效情况下,自动更换新的主节点,使基于区块链的数字证书系统具有自动修复功能,保证各验证节点提供服务的稳定性和容错性。[0099]步骤170:所述提交节点将所述数字证书系统返回的证书发布结果发送给所述基站。[0100]具体的,在提交节点收到有效节点i(图2中节点0、节点1或节点2)返回的相同的reply答复消息后,代表对于上述证书发布申请请求的处理已在有效节点上达成共识,则向上述基站发送证书发布结果,如该基站数字证书信息已一致地存储在各验证节点中。[0101]本发明实施例中通过上述基站认证方法,当查询节点收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,查询节点可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。[0102]图3示出了本发明实施例提供的查询节点的结构示意图。如图3所示,该查询节点300包括:[0103]第一查询请求发送模块310,用于在接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息;[0104]第二查询请求发送模块320,用于当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;[0105]查询响应接收模块330,用于接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;[0106]认证模块340,用于根据所述基站的数字证书信息对所述基站进行认证。[0107]优选的,上述鉴权请求中包括所述基站自身存储的第一数字证书;上述基站的数字证书信息中包含所述基站的第二数字证书;所述认证模块340包括:[0108]比对单元341,用于比对所述第一数字证书与第二数字证书是否一致,如果一致则验证通过所述第一数字证书,否则所述基站认证失败。[0109]优选的,上述鉴权请求中可包括该基站的传递参数;上述基站的数字证书信息可包括该基站的证书状态信息;所述认证模块340还包括:[0110]参数计算单元342,用于根据所述证书状态信息对所述传递参数进行计算得到鉴权参数。[0111]请求响应单元343,用于向所述基站发送鉴权请求响应,将所述鉴权参数发送给所述基站;使所述基站根据接收到的所述鉴权参数验证所述第一数字证书是否通过合法性校验,验证通过则所述基站认证成功,否则,所述基站认证失败。[0112]本发明实施例所提供的查询节点,当其收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,查询节点可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。[0113]需要说明的是,上述查询节点与本发明实施例提供的基站认证方法基于同一构思,具体内容可参见本发明基站认证方法实施例中的描述,此处不再赘述。[0114]图4示出了本发明实施例提供的基站认证系统的结构示意图。如图4所示,该系统400包括:[0115]查询节点300,用于在接收到基站发送的鉴权请求后,向第一验证节点发送证书查询请求,查询所述基站的数字证书信息;当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;根据所述基站的数字证书信息对所述基站进行认证;[0116]第一验证节点410,用于与第二验证节点一致地存储所述基站的数字证书信息;接收所述查询节点发送的证书查询请求;[0117]第二验证节点420,用于与第一验证节点一致地存储所述基站的数字证书信息;接收查询节点发送的证书查询请求;查询所述基站的数字证书信息;向查询节点返回证书查询响应,其中包含所述基站的数字证书信息。[0118]所述查询节点300具体结构与图3所示的查询节点300的结构一致,在此不再赘述。[0119]为了在各验证节点分布式一致地存储基站的数字证书信息,优选的,该系统400还包括:[0120]提交节点430,用于与所述基站协商生成所述基站的数字证书信息,向第二验证节点发送证书发布申请,其中包含所述基站的数字证书信息;[0121]所述第二验证节点420,还用于接收所述提交节点发送的证书发布申请;通过pbft共识算法在所述第一验证节点和第二验证节点中一致地存储所述基站的数字证书信息;向所述提交节点返回证书发布结果;[0122]所述第一验证节点410,还用于通过pbft共识算法在所述第一验证节点和第二验证节点中一致地存储所述基站的数字证书信息;向所述提交节点返回证书发布结果。[0123]具体的,所述第二验证节点420可包括:[0124]查询请求接收模块421,用于接收查询节点发送的证书查询请求;[0125]查询模块422,用于查询所述基站的数字证书信息;[0126]查询响应发送模块423,用于向查询节点返回证书查询响应,其中包含所述基站的数字证书信息。[0127]优选的,所述第二验证节点420为所述基站认证系统中的主验证节点,第一验证节点410为所述基站认证系统中的从验证节点;所述第二验证节点420还包括:[0128]发布申请接收模块424,用于接收提交节点发送的证书发布申请,其中包含所述基站的数字证书信息;[0129]共识算法模块425,用于通过pbft共识算法在所述第二验证节点420和第一验证节点410中一致地存储所述基站的数字证书信息;[0130]证书发布响应模块426,用于向所述提交节点返回证书发布结果。[0131]本发明实施例中通过上述基站认证系统,当查询节点收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,查询节点可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。[0132]需要说明的是,上述基站认证系统与本发明实施例提供的基站认证方法基于同一构思,具体内容可参见本发明基站认证方法实施例中的描述,此处不再赘述。[0133]图5示出了本发明实施例提供的基站认证设备的结构示意图,本发明具体实施例并不对基站认证设备的具体实现做限定。[0134]如图5所示,该基站认证设备可以包括:处理器(processor)502、通信接口(communicationsinterface)504、存储器(memory)506、以及通信总线508。[0135]其中:处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。通信接口504,用于与其它设备比如客户端或其它服务器等的网元通信。处理器502,用于执行程序510,具体可以执行上述基站认证方法实施例中的相关步骤。[0136]具体的,程序510可以包括程序代码,该程序代码包括计算机可执行指令。[0137]处理器502可能是中央处理器cpu,或者是特定集成电路asic(applicationspecificintegratedcircuit),或者是被配置成实施本发明实施例的一个或多个集成电路。基站认证设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个cpu;也可以是不同类型的处理器,如一个或多个cpu以及一个或多个asic。[0138]存储器506,用于存放程序510。存储器506可能包含高速ram存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。[0139]程序510具体可以被处理器502调用使基站认证设备执行以下操作:[0140]接收到基站发送的鉴权请求后,向基于区块链的数字证书系统中第一验证节点发送证书查询请求,查询所述基站的数字证书信息;所述数字证书系统包含多个验证节点,所述验证节点一致地存储有所述基站的数字证书信息;[0141]当从所述第一验证节点查询所述基站的数字证书信息失败时,向第二验证节点发送证书查询请求;[0142]接收所述第二验证节点返回的证书查询响应,其中包含所述基站的数字证书信息;[0143]根据所述基站的数字证书信息对所述基站进行认证。[0144]优选的,上述鉴权请求中包括所述基站自身存储的第一数字证书;上述基站的数字证书信息中包含所述基站的第二数字证书;所述根据所述基站数字证书信息对所述基站的数字证书进行认证包括:[0145]比对所述第一数字证书与第二数字证书是否一致,如果一致则验证通过所述第一数字证书,否则所述基站认证失败。[0146]优选的,上述鉴权请求中包括所述基站的传递参数;上述基站的数字证书信息包括所述基站的证书状态信息;所述验证通过所述第一数字证书之后包括:[0147]根据所述证书状态信息对所述传递参数进行计算得到鉴权参数;[0148]向所述基站发送鉴权请求响应,将所述鉴权参数发送给所述基站;使所述基站根据接收到的所述鉴权参数验证所述第一数字证书是否通过合法性校验,验证通过则所述基站认证成功,否则,所述基站认证失败。[0149]本发明实施例所提供的基站认证设备,当其收到基站发送的鉴权请求后,向基于区块链的数字证书系统中验证节点发送证书查询请求,根据验证节点返回的基站的数字证书信息对所述基站进行认证,由于数字证书系统包含多个验证节点,这些验证节点一致地存储有该基站的数字证书信息,当第一验证节点出现问题,如发生故障或长时间无响应,基站认证设备可向第二验证节点查询基站的数字证书信息,完成对于该基站的准入认证,避免了因单点故障造成无法进行基站认证的问题,增加了基站认证服务的可靠性。[0150]上述基站认证设备可执行本发明实施例所提供的基站认证方法,具备相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明所提供的基站认证方法实施例。[0151]本发明实施例提供了一种计算机可读存储介质,所述存储介质存储有至少一可执行指令,该可执行指令在基站认证设备上运行时,使得所述基站认证设备执行上述方法实施例中的基站认证方法。未在本实施例中详尽描述的技术细节,可参见本发明所提供的基站认证方法实施例。[0152]在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。[0153]在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。[0154]类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。[0155]本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。[0156]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
