具体实施方式

以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本公开，并不用于限制本公开。

需要说明的是，在本公开中，说明书和权利要求书以及附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必理解为描述特定的顺序或先后次序。同理，术语“S301”、“S401”等用于区别步骤，而不必理解为按照特定的顺序或先后次序执行方法步骤。

在介绍本公开提供的移动网络接入系统、方法、存储介质及电子设备之前，首先对本公开的应用场景进行介绍。本公开提供的移动网络接入系统可以允许用户设备在通过EAP-TLS认证协议完成认证后接入运营商的移动网络，其中，用户设备例如可以是智能手机，智能手表，智能手环等具备移动通讯功能的电子设备。

发明人发现，相关技术在接入认证时，虽然采用了非对称密钥，但是，若用户设备非法获得了鉴权服务器的公钥，则可以非法接入移动网络，移动网络接入的安全性同样较低。并且，相关技术中，UE只能支持对应移动网络的接入，无法在不同的运营商的移动网络之间漫游，因而，在UE处于没有对应的运营商的移动网络的情况下，即使UE所处地区存在其他运营商的移动网络，UE也无法接入该移动网络，也会导致UE接入移动网络不便捷。

为解决上述技术问题，本公开提供一种移动网络接入系统。图1是根据一示例性实施例示出的一种移动网络接入系统的框图，该系统100用于执行移动网络接入。如图1所示，所述系统100包括：处于区块链网络中的第一网络认证服务节点110、第一证书颁发节点120，其中，第一网络认证服务节点110以及第一证书颁发节点120属于第一运营商。

其中，第一证书颁发节点120用于向第一网络认证服务节点110颁发用于表明第一网络认证服务节点110的身份的第一认证证书，以及向第一运营商的用户设备颁发用于表明该用户设备的身份的第一UE证书，以及将第一UE证书撤销信息和表明所述第一证书颁发节点的身份的第一CA证书存储到区块链中；

第一网络认证服务节点110用于从区块链中获取第一UE证书撤销信息以及第一CA证书，并在接收到第一运营商的用户设备的第一接入认证消息的情况下，与该用户设备进行双向身份认证，在双向身份认证完成的情况下，接入该用户设备到所述移动网络。

第一网络认证服务节点110可以是AUSF((Authentication Server Function，鉴权服务器功能)，第一网络认证服务节点110与区块链的任一区块链节点通信连接，并可以从区块链获取第一UE证书撤销信息以及第一CA证书。

可选地，第一网络认证服务节点110可以通过EAP-TLS的认证协议与第一运营商的用户设备进行双向身份认证。第一运营商的用户设备可以优先与距离最近的第一网络认证服务节点110建立通信，进而与其进行双向身份认证。

可选地，第一证书颁发节点120还用于颁发第一UE证书撤销信息，第一UE证书撤销信息用于表征相应的第一UE证书失效。

可选地，第一CA证书以及第一证书颁发节点120向用户设备颁发的第一UE证书预置在该用户设备的身份识别卡中。具体地，该身份识别卡可以是USIM卡，USIM卡在出厂时存储由第一证书颁发节点120颁发的第一UE证书。进一步地，在该USIM卡安装到用户设备后，用户设备可以基于该第一UE证书生成私钥。该身份识别卡也可以是eSIM卡，在用户选择运营商套餐后，用户设备可以基于该第一UE证书生成私钥。

可选地，第一网络认证服务节点110和第一证书颁发节点120可以作为区块链网络的一个节点。

可选地，第一证书颁发节点120向第一网络认证服务节点110颁发的第一认证证书预置在第一网络认证服务节点110中或者存储在所述区块链中。

示例地，第一证书颁发节点120将表明自身身份的第一CA证书存储到区块链，可选地，也可以将该第一CA证书存储到任意第一网络认证服务节点110。并且，第一证书颁发节点120颁发表明第一运营商的用户设备的身份的第一UE证书，其中，第一UE证书与第一CA证书相对应。这样，在第一运营商的用户设备通过EAP-TLS的认证协议与第一网络认证服务节点110进行接入认证时，可以将第一UE证书与第一CA证书进行匹配。

进一步地，第一运营商可以通过第一证书颁发节点120颁发第一UE证书撤销信息，这样，区块链或者第一网络认证服务节点110可以基于多个第一UE证书撤销信息可以构成撤销列表，在接收到第一运营商的用户设备的第一接入认证信息的情况下，第一网络认证服务节点110可以通过撤销列表确定该第一运营商的用户设备是否被取消接入资格。

若第一网络认证服务节点110在确定撤销列表中存在该第一运营商的用户设备的第一UE证书撤销信息的情况下，生成用户设备撤销信息，并向该用户设备反馈该用户设备撤销信息。这样，便于用户及时了解到该用户设备的第一UE证书被撤销。

进一步地，第一网络认证服务节点110在确定撤销列表中不存在该第一运营商的用户设备的第一UE证书撤销信息，且第一UE证书与第一CA证书相互匹配的情况下，接入该用户设备到所述移动网络。

通过第一证书颁发节点向第一网络认证服务节点颁发用于表明第一网络认证服务节点的身份的第一认证证书，以及向第一运营商的用户设备颁发用于表明该用户设备的身份的第一UE证书，以及将第一UE证书撤销信息和表明所述第一证书颁发节点的身份的第一CA证书存储到区块链中；并通过第一网络认证服务节点从区块链中获取第一UE证书撤销信息以及第一CA证书，并在接收到第一运营商的用户设备的第一接入认证消息的情况下，与该用户设备进行双向身份认证，在双向身份认证完成的情况下，接入该用户设备到所述移动网络。第一运营商的用户设备可以就近进行移动网络接入认证，并且提高了移动网络接入的安全性。此外，可以在私有或隔离部署的移动网络中实现终端设备的接入，提高了移动网络接入的便捷性。

可选地，参考图2是所示的另一种移动网络接入系统的框图，如图2所示，所述系统100还包括处于区块链网络中的第二网络认证服务节点130以及第二证书颁发节点140，第二网络认证服务节点130以及第二证书颁发节点140属于第二运营商；

第一证书颁发节点120还用于，将为第二证书颁发节点140颁发的第一漫游许可证书写入区块链；

第二证书颁发节点140用于向第二网络认证服务节点130颁发用于表明第二网络认证服务节点130的身份的第二认证证书，以及向第二运营商的用户设备颁发用于表明该用户设备的身份的第二UE证书，以及将第二UE证书撤销信息和表明第二证书颁发节点140的身份的第二CA证书存储到区块链中，以及将为第一证书颁发节点120颁发的第二漫游许可证书写入区块链。

可选地，第一网络认证服务节点110、第一证书颁发节点120第二网络认证服务节点130和第二证书颁发节点140可以作为区块链网络的一个节点。

具体实施时，第一运营商和第二运营商需要达成漫游协议，并且第一运营商通过第一证书颁发节点120为第二证书颁发节点140颁发的第一漫游许可证书，并且第二运营商通过第二证书颁发节点140为第一证书颁发节点120颁发的第二漫游许可证书。第一证书颁发节点120将第一漫游许可证书上传到区块链存储，第二证书颁发节点140将第二漫游许可证书上传到区块链存储。

进一步地，第二证书颁发节点140颁发表明第二证书颁发节点140的身份的第二CA证书，用户设备的USIM卡内预置有第一证书颁发节点120颁发的第一UE证书以及第二证书颁发节点140颁发的第二UE证书。

进一步地，第一证书颁发节点120将颁发的第一UE证书撤销信息写入到区块链网络中，第二证书颁发节点140将颁发的第二UE证书撤销信息也写入到区块链网络中，进而在区块链网络中根据多个第一UE证书撤销信息和多个第二UE证书撤销信息构建成撤销列表。进而，在任意网络认证服务节点接收到任意用户设备发送的接入认证信息的情况下，相应的网络认证服务节点可以从区块链的撤销列表中确定是否存在相应的UE证书撤销信息，从而确定该用户设备的第一UE证书或者第二UE证书是否被撤销。

值得说明的是，本公开实施例的系统并不局限于第5代移动通信网络，在其他采用类似基于证书的认证接入方式的场景，均可采用此系统，以实现单一服务主体或跨服务主体的接入认证。

采用上述系统，可以实现UE在不同运营商的移动网络的漫游就近接入，在弥补基于EAP-TLS认证方式下不支持UE在不同运营商的移动网络漫游的缺陷的同时，也避免了接入认证必须到UE归属地进行认证带来的不便以及资源开销，提高了终端设备接入移动网络的便捷性。

基于相同的发明构思，本公开还提供一种移动网络的接入方法，所述方法应用于移动网络接入系统中的第一网络认证服务节点，图3是根据一示例性实施例示出的一种移动网络的接入方法的流程图。参照图3，所述方法包括以下步骤：

在步骤S301中，接收第一运营商的用户设备发送的第一接入认证信息。

其中，所述第一接入认证信息包括所述第一UE证书；

在步骤S302中，从区块链中获取第一UE证书撤销信息以及第一CA证书。

在步骤S303中，根据第一CA证书中的公钥验证第一UE证书是否由第一证书颁发节点颁发，并根据第一UE证书撤销信息确定第一UE证书是否被撤销。

在步骤S304中，在确定第一UE证书由第一证书颁发节点颁发，且第一UE证书未被撤销的情况下，向第一运营商的用户设备发送第二接入认证消息。

其中，第二接入认证消息包括第一认证证书，第一认证证书用于第一运营商的用户设备对第一网络认证服务节点进行身份认证，并在身份认证通过的情况下，接入第一运营商的用户设备到移动网络。

具体实施时，第一网络认证服务节点从第一接入认证信息中提取第一UE证书，进而基于第一UE证书查找区块链的撤销列表中是否存在该第一运营商的用户设备的UE证书撤销信息。

可选地，第一网络认证服务节点在确定区块链的撤销列表中存在该第一运营商的用户设备的UE证书撤销信息的情况下，确定该第一运营商的用户设备已被撤销，进而生成相应的用户设备撤销信息，并向该用户设备反馈该用户设备撤销信息。这样，便于用户及时了解到该用户设备的第一UE证书被撤销，该用户设备无法接入到移动网络。

进一步地，第一网络认证服务节点在确定区块链的撤销列表中不存在该第一运营商的UE证书撤销信息的情况下，确定该第一运营商的用户设备未被撤销。

进一步地，第一网络认证服务节点在确定该第一运营商的用户设备未被撤销的情况下，从第一CA证书中获取公钥，并根据该公钥验证第一UE证书是否由第一证书颁发节点颁发。例如，可以根据该公钥验证第一UE证书的私钥，若该公钥与私钥相匹配，则确定第一UE证书由第一证书颁发节点颁发。

进一步地，第一网络认证服务节点在确定第一UE证书由第一证书颁发节点颁发的情况下，生成第二接入认证消息，并向第一运营商的用户设备发送该第二接入认证消息，以便于第一运营商的用户设备根据第一认证证书的私钥验证第一网络认证服务节点的身份。从而实现第一网络认证服务节点对第一运营商的用户设备的身份认证。这样，可以提高移动网络接入的安全性和便捷性。

可选地，图4是根据一示例性实施例示出的另一种移动网络的接入方法的流程图。参照图4，所述方法还包括以下步骤：

在步骤S401中，接收第二运营商的用户设备发送的第三接入认证信息。

其中，所述第三接入认证信息包括所述第二UE证书。

在步骤S402中，从区块链中获取第一CA证书、第一漫游许可证书、以及第二漫游许可证书。

在步骤S403中，在获取到第一CA证书、第二UE证书、第一漫游许可证书以及第二漫游许可证书的情况下，根据第一CA证书中的公钥验证第一漫游许可证书是否由第一证书颁发节点颁发，根据第二漫游许可证书中的第二证书颁发节点的公钥验证第二UE证书是否由第二证书颁发节点颁发。

在步骤S404中，在确定第一漫游许可证书由第一证书颁发节点颁发，且第二UE证书由第二证书颁发节点颁发的情况下，向第二运营商的用户设备发送第四接入认证消息。

其中，第四接入认证消息包括第一认证证书以及第一漫游许可证书，第一认证证书以及第一漫游许可证书用于第二运营商的用户设备对第一网络认证服务节点进行身份认证，在身份认证通过的情况下，接入第二运营商的用户设备到移动网络。

具体实施时，在第二运营商的用户设备的身份识别卡预置有第一证书颁发节点颁发的第一UE证书以及第二证书颁发节点颁发的第二UE证书。示例地，在USIM卡安装到第二运营商的用户设备后，第二运营商的用户设备可以基于该第一UE证书生成第一私钥，基于该第二UE证书生成第二私钥。第二运营商的用户设备基于EAP-TLS的认证协议向第一运营商的第一网络认证服务节点发送第三接入认证信息，第一网络认证服务节点在接收到该第三接入认证信息时，从第三接入认证信息中提取第二UE证书。

进一步地，在提取到第二UE证书的情况下，从区块链中获取第一CA证书、第一漫游许可证书、以及第二漫游许可证书，进而根据第一CA证书中的公钥验证第一漫游许可证书是否由第一证书颁发节点颁发，根据第二漫游许可证书中的第二证书颁发节点的公钥验证第二UE证书是否由第二证书颁发节点颁发。

例如，可以根据第一CA证书中的公钥验证第一漫游许可证书的私钥，若该公钥与私钥相匹配，则确定第一漫游许可证书由第一证书颁发节点颁发，并可以根据第二漫游许可证书中的第二证书颁发节点的公钥验证第二UE证书的私钥，若该公钥与私钥相匹配，则确定第二UE证书由第二证书颁发节点颁发。

进一步地，第一网络认证服务节点生成第四接入认证消息，并将该第四接入认证消息发送到第二运营商的用户设备，以便于第二运营商的用户设备根据第一认证证书的私钥以及第一漫游许可证书的私钥，验证第一网络认证服务节点的身份。

进一步地，在确定第一漫游许可证书不是由第一证书颁发节点颁发的情况下，即第一CA证书中的公钥与第一漫游许可证书的私钥不匹配，或者第二UE证书不是由第二证书颁发节点颁发的情况下，即第二漫游许可证书中的第二证书颁发节点的公钥与第二UE证书的私钥不匹配，第一网络认证服务节点生成非法接入信息，并向第二运营商的用户设备发送该非法接入信息，以便用户及时了解接入认证失败的信息。

值得说明的是，第一运营商的用户设备也可以在身份识别卡预置有第一证书颁发节点颁发的第一UE证书以及第二证书颁发节点颁发的第二UE证书，进而可以向第二运营商的第二网络认证服务节点发送接入认证消息，进而将第一运营商的用户设备漫游到第二运营商的移动网络中。

采用上述技术方案，可以将第二运营商的用户设备漫游接入第一运营商的移动网络中，从而增加了实现UE在不同运营商的移动网络的漫游就近接入，提高了终端设备接入移动网络的便捷性。

基于相同的发明构思，本公开还提供一种移动网络的接入方法，所述方法应用于第一运营商的用户设备，图5是根据一示例性实施例示出的一种移动网络的接入方法的流程图。参照图5，所述方法包括以下步骤：

在步骤S501中，向第一网络认证服务节点发送第一接入认证信息。

其中，第一网络认证服务节点为移动网络接入系统100中的第一网络认证服务节点110，第一接入认证信息包括第一UE证书。

在步骤S502中，接收第一网络认证服务节点发送的第二接入认证消息，第二接入认证消息包括所述第一认证证书。

在步骤S503中，根据预置的第一CA证书中的公钥验证第一认证证书是否由第一颁发节点颁发。

在步骤S504中，在确定第一认证证书由第一颁发节点颁发的情况下，接入移动网络。

示例地，在用户设备装入USIM卡后，或者在用户设备在移动网络断开连接后，重新接入移动网络的情况下，第一运营商的用户设备向第一网络认证服务节点发送第一接入认证信息。

进一步地，在接收到第一网络认证服务节点发送的第二接入认证消息的情况下，从第二接入认证消息中提取第一认证证书，并对第一认证证书进行验证。例如，根据预置的第一CA证书中的公钥验证第一认证证书的私钥，在第一CA证书中的公钥与第一认证证书的私钥相互匹配的情况下，确定第一认证证书由第一颁发节点颁发。进而完成第一运营商的用户设备对第一网络认证服务节点的身份认证。进而将第一运营商的用户设备接入第一运营商的移动网络中。

进一步地，在确定第一认证证书不是由第一颁发节点颁发的情况下，不将第一运营商的用户设备接入第一运营商的移动网络。这样可以提高移动网络接入的安全性和便捷性。

可选地，图6是根据一示例性实施例示出的另一种移动网络的接入方法的流程图。参照图6，所述方法还包括以下步骤：

在步骤S601中，向第二网络认证服务节点发送第五接入认证信息。

其中，第二网络认证服务节点为移动网络接入系统100中的第二网络认证服务节点130，第五接入认证信息包括第二UE证书。

在步骤S602中，接收第二网络认证服务节点发送的第六接入认证消息，第六接入认证消息包括第二认证证书以及第一漫游许可证书。

在步骤S603中，根据预置的第一CA证书中的公钥验证第一漫游许可证书是否由第一证书颁发节点颁发，根据第一漫游许可证书中的第二证书颁发节点的公钥验证第二认证证书是否由第二证书颁发节点颁发。

在步骤S604中，在确定第一漫游许可证书由第一证书颁发节点颁发，且第二认证证书由第二证书颁发节点颁发的情况下，接入移动网络。

具体实施时，第一运营商的用户设备可以在USIM卡预置有第一证书颁发节点颁发的第一UE证书以及第二证书颁发节点颁发的第二UE证书，在确定第一运营商的用户设备需要漫游接入第二运营商的移动网络的情况下，基于第二UE证书生成第五接入认证信息，并向第二网络认证服务节点发送第五接入认证信息。

进一步地，在接收到第六接入认证消息的情况下，从第六接入认证消息中提取第二认证证书以及第一漫游许可证书，并根据预置的第一CA证书中的公钥验证第一漫游许可证书的私钥，在确定第一CA证书中的公钥与第一漫游许可证书的私钥相互匹配的情况下，确定第一漫游许可证书由第一证书颁发节点颁发。

进一步地，根据第一漫游许可证书中的第二证书颁发节点的公钥验证第二认证证书的私钥，在确定第一漫游许可证书中的第二证书颁发节点的公钥与第二认证证书的私钥相互匹配的情况下，确定第二认证证书由第二证书颁发节点颁发。

进一步地，在确定第一漫游许可证书不是由第一证书颁发节点颁发，或者在确定第二认证证书不是由第二证书颁发节点颁发的情况下，不将第一运营商的用户设备接入第二运营商的移动网络。

值得说明的是，第二运营商的用户设备也可以采用相同的方法漫游接入第一运营商的移动网络中。此处不再赘述。

采用上述技术方案，第一运营商的用户设备可以向第二运营商的第二网络认证服务节点发送接入认证消息，进而将第一运营商的用户设备漫游到第二运营商的移动网络中，提高了接入移动网络的便捷性。

基于相同的发明构思，本公开实施例还提供一种电子设备700，图7是根据一示例性实施例示出的一种电子设备700的框图。可选地，该电子设备700可以被提供为一上述的用户设备，如图7所示，该电子设备700可以包括：处理器701，存储器702。该电子设备700还可以包括多媒体组件703，输入/输出(I/O)接口704，以及通信组件705中的一者或多者。

其中，处理器701用于控制该电子设备700的整体操作，以完成上述的用户设备侧的移动网络的接入方法中的全部或部分步骤。存储器702用于存储各种类型的数据以支持在该电子设备700的操作，这些数据例如可以包括用于在该电子设备700上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器702可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(Static Random Access Memory，简称SRAM)，电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，简称EEPROM)，可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，简称EPROM)，可编程只读存储器(Programmable Read-Only Memory，简称PROM)，只读存储器(Read-OnlyMemory，简称ROM)，磁存储器，快闪存储器，磁盘或光盘。多媒体组件703可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器702或通过通信组件705发送。音频组件还包括至少一个扬声器，用于输出音频信号。I/O接口704为处理器701和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件705用于该电子设备700与其他设备之间进行有线或无线通信。无线通信，例如Wi-Fi，蓝牙，近场通信(NearField Communication，简称NFC)，2G、3G、4G、NB-IOT、eMTC、或其他5G等等，或它们中的一种或几种的组合，在此不做限定。因此相应的该通信组件705可以包括：Wi-Fi模块，蓝牙模块，NFC模块等等。

在一示例性实施例中，电子设备700可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit，简称ASIC)、数字信号处理器(DigitalSignal Processor，简称DSP)、数字信号处理设备(Digital Signal Processing Device，简称DSPD)、可编程逻辑器件(Programmable Logic Device，简称PLD)、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述的用户设备侧的移动网络的接入方法。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述的用户设备侧的移动网络的接入方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器702，上述程序指令可由电子设备700的处理器701执行以完成上述的用户设备侧的移动网络的接入方法。

基于相同的发明构思，本公开实施例还提供一种电子设备1900，图8是根据一示例性实施例示出的一种电子设备1900的框图。可选地，电子设备1900可以被提供为一移动网络接入系统中的第一网络认证服务节点。参照图8，电子设备1900包括处理器1922，其数量可以为一个或多个，以及存储器1932，用于存储可由处理器1922执行的计算机程序。存储器1932中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理器1922可以被配置为执行该计算机程序，以执行上述的第一网络认证服务节点侧的移动网络的接入方法。

另外，电子设备1900还可以包括电源组件1926和通信组件1950，该电源组件1926可以被配置为执行电子设备1900的电源管理，该通信组件1950可以被配置为实现电子设备1900的通信，例如，有线或无线通信。此外，该电子设备1900还可以包括输入/输出(I/O)接口1958。电子设备1900可以操作基于存储在存储器1932的操作系统，例如WindowsServer^TM，Mac OS X^TM，Unix^TM，Linux^TM等等。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述的第一网络认证服务节点侧的移动网络的接入方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器1932，上述程序指令可由电子设备1900的处理器1922执行以完成上述的第一网络认证服务节点侧的移动网络的接入方法。

在另一示例性实施例中，还提供一种计算机程序产品，该计算机程序产品包含能够由可编程的装置执行的计算机程序，该计算机程序具有当由该可编程的装置执行时用于执行上述的第一网络认证服务节点侧的移动网络的接入方法的代码部分。

以上结合附图详细描述了本公开的优选实施方式，但是，本公开并不限于上述实施方式中的具体细节，在本公开的技术构思范围内，可以对本公开的技术方案进行多种简单变型，这些简单变型均属于本公开的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合，为了避免不必要的重复，本公开对各种可能的组合方式不再另行说明。

此外，本公开的各种不同的实施方式之间也可以进行任意组合，只要其不违背本公开的思想，其同样应当视为本公开所公开的内容。

实施例

1、一种移动网络接入系统，所述系统包括处于区块链网络中的第一网络认证服务节点、第一证书颁发节点，其中，所述第一网络认证服务节点以及所述第一证书颁发节点属于第一运营商；

所述第一证书颁发节点用于向所述第一网络认证服务节点颁发用于表明所述第一网络认证服务节点的身份的第一认证证书，以及向所述第一运营商的用户设备颁发用于表明该用户设备的身份的第一UE证书，以及将第一UE证书撤销信息和表明所述第一证书颁发节点的身份的第一CA证书存储到区块链中；

所述第一网络认证服务节点用于从所述区块链中获取所述第一UE证书撤销信息以及所述第一CA证书，并在接收到所述第一运营商的用户设备的第一接入认证消息的情况下，与该用户设备进行双向身份认证，在所述双向身份认证完成的情况下，接入该用户设备到所述移动网络。

2、根据实施例1所述的系统，其中，所述系统还包括处于所述区块链网络中的第二网络认证服务节点以及第二证书颁发节点，所述第二网络认证服务节点以及所述第二证书颁发节点属于第二运营商；

所述第一证书颁发节点还用于，将为所述第二证书颁发节点颁发的第一漫游许可证书写入所述区块链；

所述第二证书颁发节点用于向所述第二网络认证服务节点颁发用于表明所述第二网络认证服务节点的身份的第二认证证书，以及向所述第二运营商的用户设备颁发用于表明该用户设备的身份的第二UE证书，以及将第二UE证书撤销信息和表明所述第二证书颁发节点的身份的第二CA证书存储到区块链中，以及将为所述第一证书颁发节点颁发的第二漫游许可证书写入所述区块链。

3、根据实施例1或2所述的系统，其中，所述第一CA证书以及所述第一证书颁发节点向用户设备颁发的所述第一UE证书预置在该用户设备的身份识别卡中；

所述第一证书颁发节点向所述第一网络认证服务节点颁发的所述第一认证证书预置在所述第一网络认证服务节点中或者存储在所述区块链中。

4、一种移动网络接入方法，所述方法应用于移动网络接入系统中的第一网络认证服务节点，所述方法包括：

接收所述第一运营商的用户设备发送的第一接入认证信息，其中，所述第一接入认证信息包括所述第一UE证书；

从所述区块链中获取所述第一UE证书撤销信息以及所述第一CA证书；

根据所述第一CA证书中的公钥验证所述第一UE证书是否由所述第一证书颁发节点颁发，并根据所述第一UE证书撤销信息确定所述第一UE证书是否被撤销；

在确定所述第一UE证书由所述第一证书颁发节点颁发，且所述第一UE证书未被撤销的情况下，向所述第一运营商的所述用户设备发送第二接入认证消息，所述第二接入认证消息包括所述第一认证证书，所述第一认证证书用于所述第一运营商的所述用户设备对所述第一网络认证服务节点进行身份认证，并在所述身份认证通过的情况下，接入所述第一运营商的所述用户设备到所述移动网络。

5、根据实施例4所述的方法，所述方法应用于实施例2中的第一网络认证服务节点，所述方法还包括：

接收所述第二运营商的用户设备发送的第三接入认证信息，其中，所述第三接入认证信息包括所述第二UE证书；

从所述区块链中获取所述第一CA证书、所述第一漫游许可证书、所述第二漫游许可证书；

在获取到所述第一CA证书、所述第二UE证书、所述第一漫游许可证书以及所述第二漫游许可证书的情况下，根据所述第一CA证书中的公钥验证所述第一漫游许可证书是否由所述第一证书颁发节点颁发，根据所述第二漫游许可证书中的所述第二证书颁发节点的公钥验证所述第二UE证书是否由所述第二证书颁发节点颁发；

在确定所述第一漫游许可证书由所述第一证书颁发节点颁发，且所述第二UE证书由所述第二证书颁发节点颁发的情况下，向所述第二运营商的所述用户设备发送第四接入认证消息，所述第四接入认证消息包括所述第一认证证书以及所述第一漫游许可证书，所述第一认证证书以及所述第一漫游许可证书用于所述第二运营商的所述用户设备对所述第一网络认证服务节点进行身份认证，在所述身份认证通过的情况下，接入所述第二运营商的所述用户设备到所述移动网络。

6、一种移动网络接入方法，所述方法应用于第一运营商的用户设备，所述方法包括：

向第一网络认证服务节点发送第一接入认证信息，其中，所述第一网络认证服务节点为实施例1-3任一项所述的系统中的所述第一网络认证服务节点，所述第一接入认证信息包括所述第一UE证书；

接收所述第一网络认证服务节点发送的第二接入认证消息，所述第二接入认证消息包括所述第一认证证书；

根据预置的所述第一CA证书中的公钥验证所述第一认证证书是否由所述第一颁发节点颁发；

在确定所述第一认证证书由所述第一颁发节点颁发的情况下，接入所述移动网络。

7、根据实施例6所述的方法，所述方法还包括：

向第二网络认证服务节点发送第五接入认证信息，其中，所述第二网络认证服务节点为权利要求2所述的系统中的所述第二网络认证服务节点，所述第五接入认证信息包括所述第二UE证书；

接收所述第二网络认证服务节点发送的第六接入认证消息，所述第六接入认证消息包括所述第二认证证书以及所述第一漫游许可证书；

根据预置的所述第一CA证书中的公钥验证所述第一漫游许可证书是否由所述第一证书颁发节点颁发，根据所述第一漫游许可证书中的所述第二证书颁发节点的公钥验证所述第二认证证书是否由所述第二证书颁发节点颁发；

在确定所述第一漫游许可证书由所述第一证书颁发节点颁发，且所述第二认证证书由所述第二证书颁发节点颁发的情况下，接入所述移动网络。

8、一种网络认证服务器存储介质，其上存储有计算机程序，该程序被处理器执行时实现实施例4或5中所述移动网络的接入方法的步骤。

9、一种用户设备存储介质，其上存储有计算机程序，该程序被处理器执行时实现实施例6或7中所述移动网络的接入方法的步骤。

10、一种网络认证服务器，包括：

存储器，其上存储有计算机程序；

处理器，用于执行所述存储器中的所述计算机程序，以实现实施例4或5中所述移动网络的接入方法的步骤。

11、一种用户设备，包括：

存储器，其上存储有计算机程序；

处理器，用于执行所述存储器中的所述计算机程序，以实现实施例6或7中所述移动网络的接入方法的步骤。