一种基于5G多网多链设备认证方法与流程

一种基于5g多网多链设备认证方法
技术领域
1.本发明涉及5g通信领域，具体涉及一种基于5g多网多链设备认证方法。


背景技术：

2.随着5g的d2d技术推进，d2d通信用户组成的分散式网路中，每个用户节点都能发送和接收信号，并具有自动路由(转发消息)的功能，以及5g基站连接能力提升，可以在5g信号无法覆盖地区搭建基于设备互联与5g基站自组网的独立5g网络，但5g终端在各个独立5g网络移动终端的认证带来新的技术难题。


技术实现要素：

3.为了解决上述技术问题，本发明提供了一种基于5g多网多链设备认证方法。
4.一种基于5g多网多链设备认证方法，包括以下步骤：
5.s1、终端使用终端5g通信模块通过5g网络接入使用无线连接到5g网络中；
6.1.1终端5g通信模块与5g网络接入能通过5g的d2d技术直接连接，也能通过5g网络接入作为5g基站接入终端5g通信模块；
7.1.2终端5g通信模块把supi用户永久标识使用5g网络接入下发的公钥生成suci隐私保护标识符，用于终端认证模块查询；
8.1.3终端认证模块从终端5g通信模块获取suci隐私保护标识符；
9.s2、终端认证模块向服务端认证链存储模块获取认证链地址l1，终端认证模块通知终端地址生成模块生成认证链的终端地址a1；
10.s3、终端地址生成模块生成终端在每条认证链上的终端地址，使用在每个认证链都不同的终端地址，可以避免终端的信息supi用户永久标识被泄露，提升终端信息安全性；终端地址生成模块把终端的supi用户永久标识与获取的认证链地址进行字符串连接合并，进行使用md5计算字符串的hash值，把该值作为该终端在认证链的终端地址；
11.s4、终端地址生成模块生成认证链的终端地址a1，向服务端认证模块(7)发起注册请求，携带终端地址a1与suci隐私保护标识符；
12.s5、服务端认证模块处理注册请求流程：
13.5.1服务端认证模块通过suci隐私保护标识符向5g网络接入获取终端的supi用户永久标识；
14.5.2 5g网络接入接收终端5g通信模块无线连接，无线连接成功下发给终端5g通信模块公钥；
15.5.3 5g网络接入接收服务端认证模块通过suci隐私保护标识符向5g网络接入获取终端的supi；
16.5.4 5g网络接入使用私钥对suci隐私保护标识符解密得到获取终端的supi，返回给服务端认证模块；
17.5.5服务端认证模块接收supi与认证链地址l1进行字符串连接后md5得到hash值，
与终端地址a1进行比较，如果不相同拒绝该请求；
18.5.6如果两个地址相同，服务端认证模块则从服务端终端管理模块获取该终端是否已经登记；
19.5.7如果该终端已经登记，服务端认证模块则通知终端认证模块的服务注册成功；
20.5.8终端把支持担保的认证链地址发送给服务端认证模块；
21.5.9服务端认证模块接收担保的认证链地址，如果该认证链的担保契约已有，通知服务端契约管理模块该终端支持认证链的担保契约，如果该认证链的契约没有生成，则通知服务端契约管理模块生成认证链地址的担保契约；
22.5.10如果终端没有登记，服务端认证模块从服务端契约管理模块取有效的担保契约的认证链地址，通知终端认证模块未注册需发起多链担保认证请求，携带用于担保的认证链的地址；
23.5.11终端认证模块从终端认证链存储池模块根据有效的担保契约的认证链地址选出用于授权的认证链，把认证链的地址l2、在该认证链的终端地址a2、包含终端信息区块节点地址、区块节点地址偏移位置，发送给服务端认证模块；
24.5.12服务端认证模块通知服务端契约执行模块执行担保契约；
25.5.13服务端契约执行模块执行担保契约流程对终端登记授权后，服务端契约执行模块通知服务端认证模块，服务端认证模块通知终端认证模块重新进行认证登录；
26.s6、服务端契约管理模块对使用不同认证链进行担保上线进行管理；
27.6.1接收的服务端认证模块的担保契约生成请求，生成认证链地址的担保契约，契约代码包含使用该认证链担保终端需要置信度消耗，以及需要执行担保契约的终端数；
28.6.2接收的服务端认证模块的终端支持担保契约通知，当有更多终端支持该认证链的担保契约的担保，则认为该认证链是可信的，降低对应担保契约担保终端需要置信度消耗，降低对每个终端的置信度的消耗；
29.6.3服务端契约执行模块根据认证链地址从服务端契约管理模块获取担保契约；
30.s7、担保契约执行流程：
31.7.1服务端契约执行模块根据认证链地址从服务端契约管理模块获取担保契约，以及支持担保终端，取担保契约中担保终端需要置信度消耗k，以及需要执行担保契约的终端数n；
32.7.2服务端契约执行模块过滤出置信度k/n的终端，通知这些终端的终端契约执行模块执行担保契约，携带参数为用于担保的认证链地址；
33.7.3服务端契约执行模块收集终端契约执行模块结果反馈；
34.7.4终端契约执行模块根据认证链地址从服务端契约执行模块下载担保契约，包含认证链地址、被担保终端的在认证链上终端地址、包含担保终端信息的区块节点地址、区块节点地址的偏移位置；
35.7.5终端契约执行模块按照认证链地址从终端认证链存储池模块取出用于认证的认证链；
36.7.6终端契约执行模块从终端认证链存储池模块取出用于认证的认证链；
37.7.7终端契约执行模块判断区块节点地址的偏移位置是否大于认证链长度，如果是说明认证链过老，通知服务端契约执行模块无法认证；
38.7.8服务端契约执行模块收到如果终端契约执行模块无法认证通知，标识该终端无法认证，则忽略该消息；如果判断出剩余终端无法达到担保契约的终端数n，已经无法担保认证，终止该契约执行；
39.7.9终端契约执行模块按照区块节点地址偏移位置找到对应区块节点地址p，匹配区块节点的地址p与契约中包含担保终端信息区块节点地址是否相同；如果不相同，则反馈给服务端契约执行模块的错误认证；
40.7.10终端契约执行模块判断区块节点地址如果相同，则判断区块节点的上一个区块节点地址与被担保终端地址进行字符串连接合并，进行使用md5计算字符串的hash值，得到区块节点地址计算值，与在认证链的对应区块节点地址p进行匹配是否相同，如果不相同，则该认证链存在错误或伪造，则反馈给服务端契约执行模块的错误认证；
41.7.11服务端契约执行模块收到终端契约执行模块错误认证通知，判定认证链出现伪造，则直接终止该契约执行；
42.7.12终端契约执行模块区块节点地址计算值与区块节点地址p如果相同，则通知服务端契约执行模块的成功认证；
43.7.13服务端契约执行模块接收终端契约执行模块成功认证计数，反馈数量超过n，则认证成功；服务端契约执行模块通知服务端终端管理模块添加被担保终端的终端地址，服务端契约执行模块通知服务端区块节点生成模块生成新的节点，服务端契约执行模块通知服务端终端置信度模块参与担保的终端进行置信度扣除；服务端契约执行模块通知服务端认证模块终端添加成功，可以重新认证；
44.s8、服务端区块节点生成模块生成区块节点：
45.8.1服务端区块节点生成模块接收服务端契约执行模块生成新的区块节点通知，携带被担保终端的终端地址，以及参与担保的终端的终端地址，用于担保的认证链的认证链地址；
46.8.2服务端区块节点生成模块从服务端认证链存储模块获取认证链的最后一个区块的区块地址编码l；服务端区块节点生成模块被担保终端的终端地址与区块地址编码l进行字符串连接合并，进行使用md5计算字符串的hash值，该hash值作为服务端认证链存储模块的认证链的新区块的区块节点地址；
47.8.3新区块的节点内容存储担保终端的终端地址，以及参与担保的终端的终端地址，用于担保的认证链的认证链地址，用于后续审计；
48.8.4服务端区块节点生成模块把新区块节点存储到服务端认证链存储模块；
49.s9、终端认证链存储池模块接收服务端区块节点生成模块新增区块节点请求，保存区块节点到认证链中；
50.s10、终端认证链存储池模块从服务端认证链存储模块获取该5g网络中的认证链a，用于终端在其他5g网络为同拥有认证链a的其他终端做担保认证，由终端契约执行模块读取终端认证链存储池模块的认证链的地址数据；终端认证链存储池模块只获取服务端认证链存储模块的认证链地址与区块节点地址，不获取服务端认证链存储模块的认证链的区块节点数据；第一避免服务端认证链存储模块的区块节点的管理数据泄露给终端，同时也减少终端的终端认证链存储池模块数据存储量；终端认证链存储池模块保存终端在各个5g网络中的认证链，用于协助给其他终端担保做认证；
51.s11、服务端终端管理模块接收服务端认证模块通过终端地址来查询终端是否登记；接收服务端契约执行模块的担保契约结果添加增加登记终端；这样实现在一些独立5g网络，采用认证链进行担保契约流程来自动增加登记终端，实现无人自管理；
52.s12、服务端终端置信度模块接收服务端契约执行模块通知所有参加担保终端的置信度减去k/n；服务端终端置信度模块为避免一个终端给过多非登记终端担保登记，使用终端置信度控制终端担保的数量；终端刚添加时，设置该终端的置信度为s，当终端每在5g网络运行一天，服务端终端置信度模块给终端置信度增加a,当终端进行担保契约流程被担当登记时需要置信度消耗k，所有参与的n个终端平分置信度k，所有参加担保终端的置信度减去k/n。
53.本发明的有益效果是：使用多个自组网的独立5g网络的认证链，由终端执行担保契约流程，实现终端间的基于认证链的担保，实现在偏远独立5g网络中设备认证无人化自管理。
附图说明
54.图1是本发明一种基于5g多网多链设备认证方法各模块间的连接关系的示意图。
55.图2是本发明一种基于5g多网多链设备认证方法中的认证链的示意图。
56.图中标号：1
‑
终端认证模块；2
‑
终端地址生成模块；3
‑
终端契约执行模块；4
‑
终端认证链存储池模块；5
‑
终端5g通信模块；6
‑
5g网络接入；7
‑
服务端认证模块；8
‑
服务端终端管理模块；9
‑
服务端终端置信度模块；10
‑
服务端契约管理模块；11
‑
服务端契约执行模块；12
‑
服务端区块节点生成模块；13
‑
服务端认证链存储模块。
具体实施方式
57.以上述依据本发明的理想实施例为启示，通过上述的说明内容，相关工作人员完全可以在不偏离本项发明技术思想的范围内，进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容，必须要根据权利要求范围来确定其技术性范围。
58.如图1所示，本发明提供一种基于5g多网多链设备认证方法。包括以下步骤：
59.s1、终端使用终端5g通信模块5通过5g网络接入6使用无线连接到5g网络中；
60.1.1终端5g通信模块5与5g网络接入6能通过5g的d2d技术直接连接，也能通过5g网络接入6作为5g基站接入终端5g通信模块5；
61.1.2终端5g通信模块5把supi用户永久标识使用5g网络接入6下发的公钥生成suci隐私保护标识符，用于终端认证模块1查询；
62.1.3终端认证模块1从终端5g通信模块5获取suci隐私保护标识符；
63.s2、终端认证模块1向服务端认证链存储模块13获取认证链地址l1，终端认证模块1通知终端地址生成模块2生成认证链的终端地址a1；
64.s3、终端地址生成模块2生成终端在每条认证链上的终端地址，使用在每个认证链都不同的终端地址，可以避免终端的信息supi用户永久标识被泄露，提升终端信息安全性；终端地址生成模块2把终端的supi用户永久标识与获取的认证链地址进行字符串连接合并，进行使用md5计算字符串的hash值，把该值作为该终端在认证链的终端地址；
65.s4、终端地址生成模块2生成认证链的终端地址a1，向服务端认证模块7发起注册
请求，携带终端地址a1与suci隐私保护标识符；
66.s5、服务端认证模块7处理注册请求流程：
67.5.1服务端认证模块7通过suci隐私保护标识符向5g网络接入6获取终端的supi用户永久标识；
68.5.2 5g网络接入6接收终端5g通信模块5无线连接，无线连接成功下发给终端5g通信模块5公钥；
69.5.3 5g网络接入6接收服务端认证模块7通过suci隐私保护标识符向5g网络接入6获取终端的supi；
70.5.4 5g网络接入6使用私钥对suci隐私保护标识符解密得到获取终端的supi，返回给服务端认证模块7；
71.5.5服务端认证模块7接收supi与认证链地址l1进行字符串连接后md5得到hash值，与终端地址a1进行比较，如果不相同拒绝该请求；
72.5.6如果两个地址相同，服务端认证模块7则从服务端终端管理模块8获取该终端是否已经登记；
73.5.7如果该终端已经登记，服务端认证模块7则通知终端认证模块1的服务注册成功；
74.5.8终端把支持担保的认证链地址发送给服务端认证模块7；
75.5.9服务端认证模块7接收担保的认证链地址，如果该认证链的担保契约已有，通知服务端契约管理模块10该终端支持认证链的担保契约，如果该认证链的契约没有生成，则通知服务端契约管理模块10生成认证链地址的担保契约；
76.5.10如果终端没有登记，服务端认证模块7从服务端契约管理模块10取有效的担保契约的认证链地址，通知终端认证模块1未注册需发起多链担保认证请求，携带用于担保的认证链的地址；
77.5.11终端认证模块1从终端认证链存储池模块4根据有效的担保契约的认证链地址选出用于授权的认证链，把认证链的地址l2、在该认证链的终端地址a2、包含终端信息区块节点地址、区块节点地址偏移位置，发送给服务端认证模块7；
78.5.12服务端认证模块7通知服务端契约执行模块11执行担保契约；
79.5.13服务端契约执行模块11执行担保契约流程对终端登记授权后，服务端契约执行模块11通知服务端认证模块7，服务端认证模块7通知终端认证模块1重新进行认证登录；
80.s6、服务端契约管理模块10对使用不同认证链进行担保上线进行管理；
81.6.1接收的服务端认证模块7的担保契约生成请求，生成认证链地址的担保契约，契约代码包含使用该认证链担保终端需要置信度消耗，以及需要执行担保契约的终端数；
82.6.2接收的服务端认证模块7的终端支持担保契约通知，当有更多终端支持该认证链的担保契约的担保，则认为该认证链是可信的，降低对应担保契约担保终端需要置信度消耗，降低对每个终端的置信度的消耗；
83.6.3服务端契约执行模块11根据认证链地址从服务端契约管理模块10获取担保契约；
84.s7、担保契约执行流程：
85.7.1服务端契约执行模块11根据认证链地址从服务端契约管理模块10获取担保契
约，以及支持担保终端，取担保契约中担保终端需要置信度消耗k，以及需要执行担保契约的终端数n；
86.7.2服务端契约执行模块11过滤出置信度k/n的终端，通知这些终端的终端契约执行模块3执行担保契约，携带参数为用于担保的认证链地址；
87.7.3服务端契约执行模块11收集终端契约执行模块3结果反馈；
88.7.4终端契约执行模块3根据认证链地址从服务端契约执行模块11下载担保契约，包含认证链地址、被担保终端的在认证链上终端地址、包含担保终端信息的区块节点地址、区块节点地址的偏移位置；
89.7.5终端契约执行模块3按照认证链地址从终端认证链存储池模块4取出用于认证的认证链；
90.7.6终端契约执行模块3从终端认证链存储池模块4取出用于认证的认证链；
91.7.7终端契约执行模块3判断区块节点地址的偏移位置是否大于认证链长度，如果是说明认证链过老，通知服务端契约执行模块11无法认证；
92.7.8服务端契约执行模块11收到如果终端契约执行模块3无法认证通知，标识该终端无法认证，则忽略该消息；如果判断出剩余终端无法达到担保契约的终端数n，已经无法担保认证，终止该契约执行；
93.7.9终端契约执行模块3按照区块节点地址偏移位置找到对应区块节点地址p，匹配区块节点的地址p与契约中包含担保终端信息区块节点地址是否相同；如果不相同，则反馈给服务端契约执行模块11的错误认证；
94.7.10终端契约执行模块3判断区块节点地址如果相同，则判断区块节点的上一个区块节点地址与被担保终端地址进行字符串连接合并，进行使用md5计算字符串的hash值，得到区块节点地址计算值，与在认证链的对应区块节点地址p进行匹配是否相同，如果不相同，则该认证链存在错误或伪造，则反馈给服务端契约执行模块11的错误认证；
95.7.11服务端契约执行模块11收到终端契约执行模块3错误认证通知，判定认证链出现伪造，则直接终止该契约执行；
96.7.12终端契约执行模块3区块节点地址计算值与区块节点地址p如果相同，则通知服务端契约执行模块11的成功认证；
97.7.13服务端契约执行模块11接收终端契约执行模块3成功认证计数，反馈数量超过n，则认证成功；服务端契约执行模块11通知服务端终端管理模块8添加被担保终端的终端地址，服务端契约执行模块11通知服务端区块节点生成模块12生成新的节点，服务端契约执行模块11通知服务端终端置信度模块9参与担保的终端进行置信度扣除；服务端契约执行模块11通知服务端认证模块7终端添加成功，可以重新认证；
98.s8、服务端区块节点生成模块12生成区块节点：
99.8.1服务端区块节点生成模块12接收服务端契约执行模块11生成新的区块节点通知，携带被担保终端的终端地址，以及参与担保的终端的终端地址，用于担保的认证链的认证链地址；
100.8.2服务端区块节点生成模块12从服务端认证链存储模块13获取认证链的最后一个区块的区块地址编码l；服务端区块节点生成模块12被担保终端的终端地址与区块地址编码l进行字符串连接合并，进行使用md5计算字符串的hash值，该hash值作为服务端认证
链存储模块13的认证链的新区块的区块节点地址；
101.8.3新区块的节点内容存储担保终端的终端地址，以及参与担保的终端的终端地址，用于担保的认证链的认证链地址，用于后续审计；
102.8.4服务端区块节点生成模块12把新区块节点存储到服务端认证链存储模块13；
103.s9、终端认证链存储池模块4接收服务端区块节点生成模块12新增区块节点请求，保存区块节点到认证链中；
104.s10、终端认证链存储池模块4从服务端认证链存储模块13获取该5g网络中的认证链a，用于终端在其他5g网络为同拥有认证链a的其他终端做担保认证，由终端契约执行模块3读取终端认证链存储池模块4的认证链的地址数据；终端认证链存储池模块4只获取服务端认证链存储模块13的认证链地址与区块节点地址，不获取服务端认证链存储模块13的认证链的区块节点数据；第一避免服务端认证链存储模块13的区块节点的管理数据泄露给终端，同时也减少终端的终端认证链存储池模块4数据存储量；终端认证链存储池模块4保存终端在各个5g网络中的认证链，用于协助给其他终端担保做认证；
105.s11、服务端终端管理模块8接收服务端认证模块7通过终端地址来查询终端是否登记；接收服务端契约执行模块11的担保契约结果添加增加登记终端；这样实现在一些独立5g网络，采用认证链进行担保契约流程来自动增加登记终端，实现无人自管理；
106.s12、服务端终端置信度模块9接收服务端契约执行模块11通知所有参加担保终端的置信度减去k/n；服务端终端置信度模块9为避免一个终端给过多非登记终端担保登记，使用终端置信度控制终端担保的数量；终端刚添加时，设置该终端的置信度为s，当终端每在5g网络运行一天，服务端终端置信度模块9给终端置信度增加a,当终端进行担保契约流程被担当登记时需要置信度消耗k，所有参与的n个终端平分置信度k，所有参加担保终端的置信度减去k/n。
107.本发明提供一种基于5g多网多链设备认证系统，包含：终端认证模块1，终端地址生成模块2，终端契约执行模块3，终端认证链存储池模块4，终端5g通信模块5，5g网络接入6，服务端认证模块7，服务端终端管理模块8，服务端终端置信度模块9，服务端契约管理模块10，服务端契约执行模块11，服务端区块节点生成模块12，服务端认证链存储模块13。
108.其中，终端认证模块1是终端的认证登录模块；
109.终端地址生成模块2用于生成终端在每条认证链上的终端地址，使用在每个认证链都不同的终端地址，可以避免终端的信息supi用户永久标识被泄露，提升终端信息安全性；
110.终端契约执行模块3是对新入网终端做认证担保契约的模块；
111.终端认证链存储池模块4保存终端在各个5g网络中的认证链，用于协助给其他终端担保做认证；
112.终端5g通信模块5：终端通过终端5g通信模块(5)使用5g无线信号连接到5g网络接入6；
113.5g网络接入6接收终端5g通信模块5无线连接，无线连接成功下发给终端5g通信模块5公钥；
114.服务端认证模块7是接收终端认证登录模块；
115.服务端终端管理模块8是终端增删改登记管理模块，在一些独立5g网络，采用认证
链进行担保契约流程来自动增加登记终端，实现无人自管理；
116.服务端终端置信度模块9使用终端置信度控制终端担保的数量，为避免一个终端给过多非登记终端担保登记；
117.服务端契约管理模块10对使用不同认证链进行担保上线进行管理，接收的服务端认证模块7的担保契约生成请求，生成认证链地址的担保契约；
118.服务端契约执行模块11执行担保契约流程；
119.服务端区块节点生成模块12接收服务端契约执行模块11生成新的节点通知，携带被担保终端的终端地址，以及参与担保的终端的终端地址，用于担保的认证链的认证链地址；服务端区块节点生成模块12从服务端认证链存储模块13获取认证链的最后一个区块的区块地址编码l；服务端区块节点生成模块12被担保终端的终端地址与区块地址编码l进行字符串连接合并，进行使用md5(hash算法)计算字符串的hash值，该hash值作为服务端认证链存储模块13的认证链的新区块的区块节点地址，新区块的节点内容存储担保终端的终端地址，以及参与担保的终端的终端地址，用于担保的认证链的认证链地址，用于后续审计。把新区块节点存储到服务端认证链存储模块13。
120.服务端认证链存储模块13是5g网络的认证链存储模块，提供终端认证模块1的认证链地址查询，服务端认证链存储模块13提供终端认证链存储池模块4给读取认证链的地址数据。
121.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。