CN114765551A - 基于区块链的sdp访问控制方法及装置 - Google Patents

基于区块链的sdp访问控制方法及装置 Download PDF

Info

Publication number
CN114765551A
CN114765551A CN202110001451.7A CN202110001451A CN114765551A CN 114765551 A CN114765551 A CN 114765551A CN 202110001451 A CN202110001451 A CN 202110001451A CN 114765551 A CN114765551 A CN 114765551A
Authority
CN
China
Prior art keywords
sdp
host
connection
block chain
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110001451.7A
Other languages
English (en)
Other versions
CN114765551B (zh
Inventor
阎军智
杨波
粟栗
何申
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110001451.7A priority Critical patent/CN114765551B/zh
Priority to PCT/CN2021/143076 priority patent/WO2022143898A1/zh
Priority to US18/260,315 priority patent/US20240056439A1/en
Priority to EP21914629.7A priority patent/EP4266625A4/en
Priority to JP2023540730A priority patent/JP2024501729A/ja
Publication of CN114765551A publication Critical patent/CN114765551A/zh
Application granted granted Critical
Publication of CN114765551B publication Critical patent/CN114765551B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

基于区块链的SDP访问控制方法和装置,SDP连接发起主机向区块链系统节点提交身份认证信息,验证后认证结果反馈给SDP连接发起主机;SDP连接发起主机向区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,查询请求中包括区块链系统节点对SDP连接发起主机的认证结果,区块链系统节点验证查询请求后,查询SDP连接发起主机能够访问的SDP连接接受主机列表记录到区块链账本;SDP连接发起主机向SDP连接接受主机发起连接请求;查询SDP连接发起主机能够访问的SDP连接接受主机列表,若存在待访问的SDP连接接受主机则提供接入服务。本发明避免SDP控制器遭受DDoS攻击,防止SDP控制器实施错误授权。

Description

基于区块链的SDP访问控制方法及装置
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于区块链的SDP访问控制方法及装置。
背景技术
软件定义边界(Software Defined Perimeter,SDP),目的在于使应用程序所有者能够在需要时部署边界安全,以便将服务与不安全的网络隔离开来。SDP使用应用所有者可控的逻辑组件取代了物理设备,只有在设备认证和身份认证之后,SDP才允许访问应用基础设施。
参见图1,SDP包含两部分:SDP主机和SDP控制器。SDP主机可以创建连接或者接受连接。SDP控制器(Controller)主要进行主机认证和策略下发。SDP主机和SDP控制器之间通过一个安全的控制信道进行交互。SDP主机又分为SDP连接发起主机(IH)和SDP连接接受主机(AH)。
SDP改变了传统的网站连接方式。在传统的连接中,客户端需要建立与服务器端的连接,这一步骤使服务端暴露在公网中,若服务端有漏洞,则有可能被利用;用户通过登录页面输入用户名和密码,该方式有可能使用户名和密码被窃取;另外,除用户名和密码外还可使用多因素认证,通过多因素认证,可以抵抗用户名和密码的丢失,但是多因素认证对于用户而言不是很友好。
现阶段,SDP系统中,SDP控制器控制了IH的可访问服务列表,以及AH的IP地址、连接参数(如端口号、协议等)等信息。由于SDP控制器是中心化设备,其被暴露在网络中,容易遭受DDoS(Distributed Denial of Service,分布式拒绝服务)等网络攻击。一旦控制器受到网络攻击停止服务,有可能导致整个系统无法正常运行,IH将无法进行任何数据访问。
发明内容
本发明提供一种基于区块链的SDP访问控制方法及装置,以区块链的方式向客户提供SDP服务,解决SDP控制器遭受DDoS攻击和SDP控制器实施错误的授权问题。
为了解决上述技术问题,本发明是这样实现的:第一方面,提供一种基于区块链的SDP访问控制方法,包括以下步骤:
SDP连接接受主机将待验证信息发送给区块链系统节点,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略,以使得所述区块链系统节点验证所述待验证信息,并在验证通过后记录到区块链账本中;
所述SDP连接接受主机接收SDP连接发起主机发送的连接请求;
所述SDP连接接受主机在区块链账本中查询所述SDP连接发起主机能够访问的SDP连接接受主机列表,若所述SDP连接接受主机处于所述SDP连接接受主机列表中,向所述SDP连接发起主机提供接入服务。
可选的,所述SDP连接接受主机信息包括以下至少一项:IP地址、端口和协议信息;所述支持的连接策略包括以下至少一项:接入用户的登录ID、IP地址、地理位置以及区块链节点验证或背书策略。
可选的,所述待验证信息还包括:所述SDP连接接受主机的主机信息和支持的连接策略的签名。
第二方面,提供一种基于区块链的SDP访问控制方法,包括:
区块链系统节点接收SDP连接接受主机发送的待验证信息,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略;
所述区块链系统节点验证所述待验证信息,并在验证通过后记录到区块链账本中;
所述区块链系统节点接收SDP连接发起主机提交的身份认证请求信息;
所述区块链系统节点对所述SDP连接发起主机提交的身份认证请求信息进行验证,验证成功后,所述区块链系统节点接收所述SDP连接发起主机发送的能够访问的SDP连接接受主机列表的查询请求;
所述区块链系统节点对所述查询请求进行验证,验证通过后,区块链系统节点查询所述SDP连接发起主机能够访问的SDP连接接受主机列表并将所述SDP连接接受主机列表记录到区块链账本。
可选的,所述待验证信息还包括:所述SDP连接接受主机的主机信息和支持的连接策略的签名。
可选的,若所述身份认证请求中SDP连接发起主机采用自身的私钥对时间戳进行签名;
所述区块链系统节点对所述身份认证请求信息进行验证包括:
所述区块链系统节点对SDP连接发起主机提交的签名和时间戳进行验证。
可选的,若所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息;
所述区块链系统节点对所述身份认证请求信息进行验证包括:
所述区块链系统节点验证所述KDF是否正确。
可选的,若所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息;
所述区块链系统节点对所述身份认证请求信息进行验证包括:
所述区块链系统节点验证所述令牌是否正确。
第三方面,提供一种基于区块链的SDP访问控制方法,包括:
SDP连接发起主机向区块链系统节点提交身份认证请求信息;
所述SDP连接发起主机接收所述区块链系统节点对所述SDP连接发起主机提交的身份认证请求信息的验证结果;
所述SDP连接发起主机向所述区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,所述查询请求中包括区块链系统节点对所述SDP连接发起主机的身份认证请求信息的验证结果;
所述SDP连接发起主机向SDP连接接受主机发起连接请求;
所述SDP连接发起主机接收所述SDP连接接受主机列表中的SDP连接接受主机提供的接入服务。
可选的,在所述身份认证请求中,所述SDP连接发起主机采用自身的私钥对时间戳进行签名。
可选的,若所述SDP连接发起主机与认证节点A1有共享的用户名和秘密信息,所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息。
可选的,若所述SDP连接发起主机有认证节点A2提供的令牌,所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息。
第四方面,提供一种基于区块链的SDP访问控制装置,包括:
第一信息验证模块,用于将待验证信息发送给区块链系统节点,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略,以使得所述区块链系统节点验证所述待验证信息,并在验证通过后记录到区块链账本中;
连接请求发起模块,用于接收SDP连接发起主机发送的连接请求;
第一请求响应模块,用于在区块链账本中查询所述SDP连接发起主机能够访问的SDP连接接受主机列表,若所述SDP连接接受主机处于所述SDP连接接受主机列表中,向所述SDP连接发起主机提供接入服务。
进一步的,所述SDP连接接受主机信息包括以下至少一项:IP地址、端口和协议信息;所述支持的连接策略包括以下至少一项:接入用户的登录ID、IP地址、地理位置以及区块链节点验证或背书策略。
进一步的,所述待验证信息还包括:所述SDP连接接受主机的主机信息和支持的连接策略的签名。
第五方面,提供一种基于区块链的SDP访问控制装置,包括:
第二信息验证模块,用于接收SDP连接接受主机发送的待验证信息,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略;验证所述待验证信息,并在验证通过后记录到区块链账本中;
第一身份认证请求模块,用于接收SDP连接发起主机提交的身份认证请求信息;
身份验证模块,用于对所述SDP连接发起主机提交的身份认证请求信息进行验证;
第一查询请求模块,用于接收所述SDP连接发起主机发送的能够访问的SDP连接接受主机列表的查询请求;
查询验证模块,用于对所述查询请求进行验证,验证通过后,查询所述SDP连接发起主机能够访问的SDP连接接受主机列表并将所述SDP连接接受主机列表记录到区块链账本。
进一步的,所述待验证信息还包括:所述SDP连接接受主机的主机信息和支持的连接策略的签名。
进一步的,若所述身份认证请求中SDP连接发起主机采用自身的私钥对时间戳进行签名;
所述对所述身份认证请求信息进行验证包括:对SDP连接发起主机提交的签名和时间戳进行验证。
进一步的,若所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息;
所述对所述身份认证请求信息进行验证包括:验证所述KDF是否正确。
进一步的,若所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息;
所述对所述身份认证请求信息进行验证包括:验证所述令牌是否正确。
第六方面,提供一种基于区块链的SDP访问控制装置,包括:
第二身份认证请求模块,用于向区块链系统节点提交身份认证请求信息;
验证反馈模块,用于接收所述区块链系统节点对所述SDP连接发起主机提交的身份认证请求信息的验证结果;
第二查询请求模块,用于向所述区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,所述查询请求中包括区块链系统节点对所述SDP连接发起主机的身份认证请求信息的验证结果;
连接请求接收模块,用于向SDP连接接受主机发起连接请求;
第二请求响应模块,用于接收所述SDP连接接受主机列表中的SDP连接接受主机接入服务。
进一步的,在所述身份认证请求中,所述SDP连接发起主机采用自身的私钥对时间戳进行签名。
进一步的,若所述SDP连接发起主机与认证节点A1有共享的用户名和秘密信息,所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息。
进一步的,若所述SDP连接发起主机有认证节点A2提供的令牌,所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息。
第七方面,提供一种SDP连接接受主机,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现第一方面或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤。
第八方面,提供一种区块链系统节点,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现第二方面或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤。
第九方面,提供一种SDP连接发起主机,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现第三方面或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤。
第十方面,提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤;
或者,所述计算机程序被处理器执行时实现第二方面或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤;
或者,所述计算机程序被处理器执行时实现第三方面或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤。
在本发明中,SDP连接接受主机将SDP连接接受主机信息、支持的连接策略发送到区块链系统节点;将SDP连接接受主机信息和支持的连接策略进行区块链节点验证及共识,区块链节点验证及共识之后的SDP连接接受主机信息和支持的连接策略记录到区块链账本中;SDP连接发起主机向区块链系统节点提交身份认证信息;通过区块链系统节点对SDP连接发起主机提交的身份认证信息进行验证,将验证后的认证结果反馈给SDP连接发起主机;SDP连接发起主机向区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,查询请求中包括区块链系统节点对SDP连接发起主机的认证结果,区块链系统节点验证查询请求后,查询SDP连接发起主机能够访问的SDP连接接受主机列表,并将SDP连接接受主机列表记录到区块链账本;SDP连接发起主机向待访问的SDP连接接受主机发起连接请求;待访问的所述SDP连接接受主机在区块链账本中查询所述SDP连接发起主机能够访问的SDP连接接受主机列表,若待访问的SDP连接接受主机处于SDP连接接受主机列表中,向SDP连接发起主机提供接入服务。本发明以区块链的方式向客户提供SDP服务,认证和请求等均进行验证,一方面可以避免SDP控制器遭受DDoS攻击,另一方面可以防止SDP控制器实施错误的授权。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为现有技术中的SDP控制示意图;
图2为本发明实施例中提供的区块链系统节点架构;
图3为本发明实施例中提供的基于区块链的SDP访问控制线程图;
图4为本发明实施例1中提供的基于区块链的SDP访问控制方法流程图;
图5为本发明实施例2中提供的基于区块链的SDP访问控制方法流程图;
图6为本发明实施例3中提供的基于区块链的SDP访问控制方法流程图;
图7为本发明实施例4中提供的基于区块链的SDP访问控制装置示意图;
图8为本发明实施例5中提供的基于区块链的SDP访问控制装置示意图;
图9为本发明实施例6中提供的基于区块链的SDP访问控制装置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
辅助图1、图2、图3,参见图4,提供一种基于区块链的SDP访问控制方法,包括以下步骤:
S11:SDP连接接受主机将待验证信息发送给区块链系统节点,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略,以使得所述区块链系统节点验证所述待验证信息,并在验证通过后记录到区块链账本中;
S12:所述SDP连接接受主机接收SDP连接发起主机发送的连接请求;
S13:所述SDP连接接受主机在区块链账本中查询所述SDP连接发起主机能够访问的SDP连接接受主机列表,若所述SDP连接接受主机处于所述SDP连接接受主机列表中,向所述SDP连接发起主机提供接入服务。
本实施例中,所述SDP连接接受主机信息包括IP地址、端口和协议信息;所述支持的连接策略包括接入用户的登录ID、IP地址、地理位置以及区块链节点验证、背书策略。SDP连接接受主机将SDP连接接受主机信息(例如IP地址、端口和协议信息等)、支持的连接策略(例如支持接入的用户登录ID、IP地址、地理位置,以及区块链节点验证/背书策略等信息)发送到区块链系统节点。
具体的,还可以将SDP连接接受主机对SDP连接接受主机信息和支持的连接策略的签名发送到区块链系统节点,区块链节点验证SDP连接接受主机提交的信息及其签名。验证通过后,区块链节点将SDP连接接受主机提交的SDP连接接受主机信息以及支持的连接策略记录到区块链账本中。
辅助图2,区块链系统节点由SDP控制器与认证节点相互连接构成,SDP控制器和认证节点都是区块链节点,SDP连接接受主机和SDP连接发起主机都可以向区块链提交交易,并且可以从区块链读取账本数据。
具体的,SDP连接发起主机向所述区块链系统节点提交身份认证请求的方式为:SDP连接发起主机采用自身的私钥对时间戳进行签名。
具体的,区块链系统节点对SDP连接发起主机提交的身份认证请求信息进行签名和时间戳验证。SDP连接发起主机用自己的私钥对时间戳签名,如果SDP连接发起主机用自己的私钥对时间戳进行签名,那么验证签名和时间戳。
本实施例中,当SDP连接发起主机与认证节点A1有共享的用户名和秘密信息时,身份认证请求中包括KDF(timestamp,username,password),使用认证节点A1的公钥对KDF(timestamp,username,password)进行加密;步骤S4中,区块链系统节点对SDP连接发起主机提交的身份认证请求信息验证KDF(timestamp,username,password)是否正确。
具体的,如果SDP连接发起主机与认证节点A1有共享的用户名和秘密信息如用户口令,那么认证请求中包含KDF(timestamp,username,password),使用认证节点A1的公钥对其加密,例如,Epk_A1(KDF(timestamp,username,password))。
KDF是实现key stretching的方法,具体就是从一个master key,password或者passphrase派生出一个或者多个密钥,派生的过程,使用PRF(Pseudo Random Function伪随机函数)可以是某种哈希算法。
比如,PBKDF2是基于密码派生出密钥的算法,需要消耗很多算力,为了是防止暴力破解加密。Scrypt是一种基于password的KDF算法,比起PBKDF2需要消耗更多的资源,有效防止专有硬件ASIC/FPGA的暴力破解。Scrypt内部用的是PBKDF2算法,不过内部会长时间地维护一组比特数据,这些数据会在生成复杂的salt的过程中反复加密(Salsa20,一种流密码)得到。
具体的,当SDP连接发起主机拥有认证节点A2提供的令牌时,身份认证请求中包含令牌Token,使用认证节点A2的公钥对令牌Token进行加密。
具体的,区块链系统节点对SDP连接发起主机提交的身份认证请求信息验证令牌Token是否正确。身份认证成功后,区块链节点查找账本中的SDP连接接受主机以及策略信息,将SDP连接发起主机能够访问的SDP连接接受主机列表作为响应结果返回给SDP连接发起主机,其中包括区块链节点对响应结果的签名,可以是一个节点或多个节点的签名。如果SDP连接接受主机在策略中指定了验证/背书节点,那么需要SDP连接接受主机指定的节点对响应结果进行签名。
具体的,Token即标志、记号的意思,在IT领域也叫作令牌。在计算机身份认证中是令牌(临时)的意思,一般作为邀请、登录系统使用。在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。例如在USB1.1协议中定义了4类数据包:Token包、data包、handshake包和special包。主机和USB设备之间连续数据的交换可以分为三个阶段,第一个阶段由主机发送Token包,不同的Token包内容不一样(暗号不一样)可以告诉设备做不同的工作,第二个阶段发送data包,第三个阶段由设备返回一个handshake包。
本实施例中,SDP连接发起主机向所述区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,区块链节点验证查询请求,若认证结果正确,则查询SDP连接发起主机可访问的SDP连接接受主机列表,并将SDP连接发起主机及其可访问的SDP连接接受主机列表记录到区块链账本。
具体的,SDP连接发起主机及其可访问的SDP连接接受主机列表记录可以加密后记录到区块链,此方式可以避免SDP连接接受主机查询SDP连接发起主机的访问列表,SDP连接接受主机仅可获知是否可以访问自己的结果。
具体的,将SDP连接发起主机及其可访问的SDP连接接受主机信息标记为info_IH_AH,该信息可加密如下:
(Epk_IH(K),Ek(info_IH_AH)),其中pk_I H为IH的公钥。
本实施例中,若待访问的SDP连接接受主机未处于SDP连接接受主机列表中,待访问的所述SDP连接接受主机不予响应。
SDP连接发起主机向SDP连接接受主机提交访问请求,其中可选的包括SDP连接发起主机能够访问的SDP连接接受主机列表在区块链账本中位置信息。
此外,如果SDP连接发起主机及其可访问的SDP连接接受主机列表记录经过加密,那么还应携带解密密钥信息,例如:
(Epk_AH(K)),其中pk_AH为AH的公钥。
具体的,SDP连接接受主机查询区块链账本,如果SDP连接接受主机位于SDP连接发起主机能够访问的SDP连接接受主机列表中,则建立连接;否则不予响应。
此外,如果SDP连接接受主机及其可访问的SDP连接接受主机列表记录经过加密,那么SDP连接接受主机还需要使用自己的私钥sk_AH解密出密钥K,利用K进行解密:DK(Ek(info_IH_AH)),得出info_IH_AH。
综上,在本实施例中,SDP连接接受主机将SDP连接接受主机信息、支持的连接策略发送到区块链系统节点;将SDP连接接受主机信息和支持的连接策略进行区块链节点验证及共识,区块链节点验证及共识之后的SDP连接接受主机信息和支持的连接策略记录到区块链账本中;SDP连接发起主机向区块链系统节点提交身份认证信息;通过区块链系统节点对SDP连接发起主机提交的身份认证信息进行验证,将验证后的认证结果反馈给SDP连接发起主机;SDP连接发起主机向区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,查询请求中包括区块链系统节点对SDP连接发起主机的认证结果,区块链系统节点验证查询请求后,查询SDP连接发起主机能够访问的SDP连接接受主机列表,并将SDP连接接受主机列表记录到区块链账本;SDP连接发起主机向待访问的SDP连接接受主机发起连接请求;待访问的所述SDP连接接受主机在区块链账本中查询所述SDP连接发起主机能够访问的SDP连接接受主机列表,若待访问的SDP连接接受主机处于SDP连接接受主机列表中,向SDP连接发起主机提供接入服务。本发明以区块链的方式向客户提供SDP服务,认证和请求等均进行验证,一方面可以避免SDP控制器遭受DDoS攻击,另一方面可以防止SDP控制器实施错误的授权。
实施例2
辅助图1、图2、图3,参见图5,提供一种基于区块链的SDP访问控制方法,包括:
S21:区块链系统节点接收SDP连接接受主机发送的待验证信息,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略;
S22:所述区块链系统节点验证所述待验证信息,并在验证通过后记录到区块链账本中;
S23:所述区块链系统节点接收SDP连接发起主机提交的身份认证请求信息;
S24:所述区块链系统节点对所述SDP连接发起主机提交的身份认证请求信息进行验证,验证成功后,所述区块链系统节点接收所述SDP连接发起主机发送的能够访问的SDP连接接受主机列表的查询请求;
S25:所述区块链系统节点对所述查询请求进行验证,验证通过后,区块链系统节点查询所述SDP连接发起主机能够访问的SDP连接接受主机列表并将所述SDP连接接受主机列表记录到区块链账本。
本实施例中,所述待验证信息还包括:所述SDP连接接受主机的主机信息和支持的连接策略的签名。
具体的,若所述身份认证请求中SDP连接发起主机采用自身的私钥对时间戳进行签名;
所述区块链系统节点对所述身份认证请求信息进行验证包括:
所述区块链系统节点对SDP连接发起主机提交的签名和时间戳进行验证。
可选的,若所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息;
所述区块链系统节点对所述身份认证请求信息进行验证包括:
所述区块链系统节点验证所述KDF是否正确。
具体的,若所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息;
所述区块链系统节点对所述身份认证请求信息进行验证包括:
所述区块链系统节点验证所述令牌是否正确。
本实施例2中的基于区块链的SDP访问控制方法,为对应于实施例1的区块链系统节点侧的实施方案,具体的实施细节同实施例1在此不再赘述。
实施例3
辅助图1、图2、图3,参见图6,提供一种基于区块链的SDP访问控制方法,包括:
S31:SDP连接发起主机向区块链系统节点提交身份认证请求信息;
S32:SDP连接发起主机接收所述区块链系统节点对所述SDP连接发起主机提交的身份认证请求信息的验证结果;
S33:SDP连接发起主机向所述区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,所述查询请求中包括区块链系统节点对所述SDP连接发起主机的身份认证请求信息的验证结果;
S34:SDP连接发起主机向SDP连接接受主机发起连接请求;SDP连接发起主机接收所述SDP连接接受主机列表中的SDP连接接受主机提供的接入服务。
具体的,在所述身份认证请求中,所述SDP连接发起主机采用自身的私钥对时间戳进行签名。
具体的,若所述SDP连接发起主机与认证节点A1有共享的用户名和秘密信息,所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息。
具体的,若所述SDP连接发起主机有认证节点A2提供的令牌,所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息。
本实施例3中的基于区块链的SDP访问控制方法,为对应于实施例1的SDP连接发起主机侧的实施方案,具体的实施细节同实施例1在此不再赘述。
实施例4
辅助图1、图2、图3,参见图7,提供一种基于区块链的SDP访问控制装置,包括:
第一信息验证模块41,用于将待验证信息发送给区块链系统节点,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略,以使得所述区块链系统节点验证所述待验证信息,并在验证通过后记录到区块链账本中;
连接请求发起模块42,用于接收SDP连接发起主机发送的连接请求;
第一请求响应模块43,用于在区块链账本中查询所述SDP连接发起主机能够访问的SDP连接接受主机列表,若所述SDP连接接受主机处于所述SDP连接接受主机列表中,向所述SDP连接发起主机提供接入服务。
具体的,所述SDP连接接受主机信息包括以下至少一项:IP地址、端口和协议信息;所述支持的连接策略包括以下至少一项:接入用户的登录ID、IP地址、地理位置以及区块链节点验证或背书策略。
具体的,所述待验证信息还包括:所述SDP连接接受主机的主机信息和支持的连接策略的签名。
本发明实施例4中的基于区块链的SDP访问控制装置,为对应于实施例1的产品实施方案,具体的实施细节同实施例1在此不再赘述。
实施例5
辅助图1、图2、图3,参见图8,提供一种基于区块链的SDP访问控制系统,包括:
第二信息验证模块51,用于接收SDP连接接受主机发送的待验证信息,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略;验证所述待验证信息,并在验证通过后记录到区块链账本中;
第一身份认证请求模块52,用于接收SDP连接发起主机提交的身份认证请求信息;
身份验证模块53,用于对所述SDP连接发起主机提交的身份认证请求信息进行验证;
第一查询请求模块54,用于接收所述SDP连接发起主机发送的能够访问的SDP连接接受主机列表的查询请求;
查询验证模块55,用于对所述查询请求进行验证,验证通过后,查询所述SDP连接发起主机能够访问的SDP连接接受主机列表并将所述SDP连接接受主机列表记录到区块链账本。
具体的,所述待验证信息还包括:所述SDP连接接受主机的主机信息和支持的连接策略的签名。
具体的,若所述身份认证请求中SDP连接发起主机采用自身的私钥对时间戳进行签名;
所述对所述身份认证请求信息进行验证包括:对SDP连接发起主机提交的签名和时间戳进行验证。
具体的,若所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息;
所述对所述身份认证请求信息进行验证包括:验证所述KDF是否正确。
具体的,若所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息;
所述对所述身份认证请求信息进行验证包括:验证所述令牌是否正确。
本发明实施例5中的基于区块链的SDP访问控制装置,为对应于实施例2的产品实施方案,具体的实施细节同实施例2在此不再赘述。
实施例6
辅助图1、图2、图3,参见图9,提供一种基于区块链的SDP访问控制装置,包括:
第二身份认证请求模块61,用于向区块链系统节点提交身份认证请求信息;
验证反馈模块62,用于接收所述区块链系统节点对所述SDP连接发起主机提交的身份认证请求信息的验证结果;
第二查询请求模块63,用于向所述区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,所述查询请求中包括区块链系统节点对所述SDP连接发起主机的身份认证请求信息的验证结果;
连接请求接收模块64,用于向SDP连接接受主机发起连接请求;
第二请求响应模块65,用于接收所述SDP连接接受主机列表中的SDP连接接受主机接入服务。
具体的,在所述身份认证请求中,所述SDP连接发起主机采用自身的私钥对时间戳进行签名。
具体的,若所述SDP连接发起主机与认证节点A1有共享的用户名和秘密信息,所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息。
具体的,若所述SDP连接发起主机有认证节点A2提供的令牌,所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息。
本发明实施例6中的基于区块链的SDP访问控制装置,为对应于实施例3的产品实施方案,具体的实施细节同实施例3在此不再赘述。
实施例7
提供一种SDP连接接受主机,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现实施例1或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤。
实施例8
提供一种区块链系统节点,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现实施例2或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤。
实施例9
提供一种SDP连接发起主机,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现实施例3或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤。
实施例10
提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现实施例1或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤;
或者,所述计算机程序被处理器执行时实现实施例2或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤;
或者,所述计算机程序被处理器执行时实现实施例3或其任意可能实现方式的基于区块链的SDP访问控制方法的步骤。
具体的,计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidStateDisk、SSD))等。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
具体的,中央处理单元(CPU)根据只读存储器(ROM)中存储的程序或从存储部分加载到随机存取存储器(RAM)的程序执行各种处理。在RAM中,还根据需要存储当CPU执行各种处理等等时所需的数据。CPU、ROM和RAM经由总线彼此连接。输入/输出接口也连接到总线。
下述部件连接到输入/输出接口:输入部分(包括键盘、鼠标等等)、输出部分(包括显示器,比如阴极射线管(CRT)、液晶显示器(LCD)等,和扬声器等)、存储部分(包括硬盘等)、通信部分(包括网络接口卡比如LAN卡、调制解调器等)。通信部分经由网络比如因特网执行通信处理。根据需要,驱动器也可连接到输入/输出接口。可拆卸介质比如磁盘、光盘、磁光盘、半导体存储器等等可以根据需要被安装在驱动器上,使得从中读出的计算机程序根据需要被安装到存储部分中。
在通过软件实现上述系列处理的情况下,从网络比如因特网或存储介质比如可拆卸介质安装构成软件的程序。
本领域的技术人员应当理解,这种存储介质不局限于其中存储有程序的、与设备相分离地分发以向用户提供程序的可拆卸介质。可拆卸介质的例子包含磁盘(包含软盘(注册商标))、光盘(包含光盘只读存储器(CD-ROM)和数字通用盘(DVD))、磁光盘(包含迷你盘(MD)(注册商标))和半导体存储器。或者,存储介质可以是ROM、存储部分中包含的硬盘等等,其中存有程序,并且与包含它们的设备一起被分发给用户。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。

Claims (19)

1.一种基于区块链的SDP访问控制方法,其特征在于,包括:
SDP连接接受主机将待验证信息发送给区块链系统节点,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略,以使得所述区块链系统节点验证所述待验证信息,并在验证通过后记录到区块链账本中;
所述SDP连接接受主机接收SDP连接发起主机发送的连接请求;
所述SDP连接接受主机在区块链账本中查询所述SDP连接发起主机能够访问的SDP连接接受主机列表,若所述SDP连接接受主机处于所述SDP连接接受主机列表中,向所述SDP连接发起主机提供接入服务。
2.根据权利要求1所述的基于区块链的SDP访问控制方法,其特征在于,所述SDP连接接受主机信息包括以下至少一项:IP地址、端口和协议信息;所述支持的连接策略包括以下至少一项:接入用户的登录ID、IP地址、地理位置以及区块链节点验证或背书策略。
3.根据权利要求1所述的基于区块链的SDP访问控制方法,其特征在于,所述待验证信息还包括:所述SDP连接接受主机的主机信息和支持的连接策略的签名。
4.一种基于区块链的SDP访问控制方法,其特征在于,包括:
区块链系统节点接收SDP连接接受主机发送的待验证信息,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略;
所述区块链系统节点验证所述待验证信息,并在验证通过后记录到区块链账本中;
所述区块链系统节点接收SDP连接发起主机提交的身份认证请求信息;
所述区块链系统节点对所述SDP连接发起主机提交的身份认证请求信息进行验证,验证成功后,所述区块链系统节点接收所述SDP连接发起主机发送的能够访问的SDP连接接受主机列表的查询请求;
所述区块链系统节点对所述查询请求进行验证,验证通过后,所述区块链系统节点查询所述SDP连接发起主机能够访问的SDP连接接受主机列表并将所述SDP连接接受主机列表记录到区块链账本。
5.根据权利要求4所述的基于区块链的SDP访问控制方法,其特征在于,所述待验证信息还包括:所述SDP连接接受主机的主机信息和支持的连接策略的签名。
6.根据权利要求4所述的基于区块链的SDP访问控制方法,其特征在于,若所述身份认证请求中SDP连接发起主机采用自身的私钥对时间戳进行签名;
所述区块链系统节点对所述身份认证请求信息进行验证包括:
所述区块链系统节点对SDP连接发起主机提交的签名和时间戳进行验证。
7.根据权利要求4所述的基于区块链的SDP访问控制方法,其特征在于,若所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息;
所述区块链系统节点对所述身份认证请求信息进行验证包括:
所述区块链系统节点验证所述KDF是否正确。
8.根据权利要求4所述的基于区块链的SDP访问控制方法,其特征在于,若所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息;
所述区块链系统节点对所述身份认证请求信息进行验证包括:
所述区块链系统节点验证所述令牌是否正确。
9.一种基于区块链的SDP访问控制方法,其特征在于,包括:
SDP连接发起主机向区块链系统节点提交身份认证请求信息;
所述SDP连接发起主机接收所述区块链系统节点对所述SDP连接发起主机提交的身份认证请求信息的验证结果;
所述SDP连接发起主机向所述区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,所述查询请求中包括所述区块链系统节点对所述SDP连接发起主机的身份认证请求信息的验证结果;
所述SDP连接发起主机向SDP连接接受主机发起连接请求;
所述SDP连接发起主机接收所述SDP连接接受主机列表中的SDP连接接受主机提供的接入服务。
10.根据权利要求9所述的基于区块链的SDP访问控制方法,其特征在于,在所述身份认证请求中,所述SDP连接发起主机采用自身的私钥对时间戳进行签名。
11.根据权利要求9所述的基于区块链的SDP访问控制方法,其特征在于,
若所述SDP连接发起主机与认证节点A1有共享的用户名和秘密信息,所述身份认证请求中包含KDF或者使用认证节点A1的公钥对KDF的加密信息。
12.根据权利要求9所述的基于区块链的SDP访问控制方法,其特征在于,若所述SDP连接发起主机有认证节点A2提供的令牌,所述身份认证请求中包含令牌或者使用认证节点A2的公钥对令牌的加密信息。
13.一种基于区块链的SDP访问控制装置,其特征在于,包括:
第一信息验证模块,用于将待验证信息发送给区块链系统节点,所述待验证信息包括:SDP连接接受主机的主机信息和支持的连接策略,以使得所述区块链系统节点验证所述待验证信息,并在验证通过后记录到区块链账本中;
连接请求发起模块,用于接收SDP连接发起主机发送的连接请求;
第一请求响应模块,用于在区块链账本中查询所述SDP连接发起主机能够访问的SDP连接接受主机列表,若所述SDP连接接受主机处于所述SDP连接接受主机列表中,向所述SDP连接发起主机提供接入服务。
14.一种基于区块链的SDP访问控制装置,其特征在于,包括:
第二信息验证模块,用于接收SDP连接接受主机发送的待验证信息,所述待验证信息包括:所述SDP连接接受主机的主机信息和支持的连接策略;验证所述待验证信息,并在验证通过后记录到区块链账本中;
第一身份认证请求模块,用于接收SDP连接发起主机提交的身份认证请求信息;
身份验证模块,用于对所述SDP连接发起主机提交的身份认证请求信息进行验证;
第一查询请求模块,用于接收所述SDP连接发起主机发送的能够访问的SDP连接接受主机列表的查询请求;
查询验证模块,用于对所述查询请求进行验证,验证通过后,查询所述SDP连接发起主机能够访问的SDP连接接受主机列表并将所述SDP连接接受主机列表记录到区块链账本。
15.一种基于区块链的SDP访问控制装置,其特征在于,包括:
第二身份认证请求模块,用于向区块链系统节点提交身份认证请求信息;
验证反馈模块,用于接收所述区块链系统节点对SDP连接发起主机提交的身份认证请求信息的验证结果;
第二查询请求模块,用于向所述区块链系统节点发送能够访问的SDP连接接受主机列表的查询请求,所述查询请求中包括区块链系统节点对所述SDP连接发起主机的身份认证请求信息的验证结果;
连接请求接收模块,用于向SDP连接接受主机发起连接请求;
第二请求响应模块,用于接收所述SDP连接接受主机列表中的SDP连接接受主机提供的接入服务。
16.一种SDP连接接受主机,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至3中任一项所述的基于区块链的SDP访问控制方法的步骤。
17.一种区块链系统节点,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求4至8中任一项所述的基于区块链的SDP访问控制方法的步骤。
18.一种SDP连接发起主机,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求9至12中任一项所述的基于区块链的SDP访问控制方法的步骤。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3中任一项所述的基于区块链的SDP访问控制方法的步骤;
或者,所述计算机程序被处理器执行时实现如权利要求4至8中任一项所述的基于区块链的SDP访问控制方法的步骤;
或者,所述计算机程序被处理器执行时实现如权利要求9至12中任一项所述的基于区块链的SDP访问控制方法的步骤。
CN202110001451.7A 2021-01-04 2021-01-04 基于区块链的sdp访问控制方法及装置 Active CN114765551B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN202110001451.7A CN114765551B (zh) 2021-01-04 2021-01-04 基于区块链的sdp访问控制方法及装置
PCT/CN2021/143076 WO2022143898A1 (zh) 2021-01-04 2021-12-30 基于区块链的sdp访问控制方法及装置
US18/260,315 US20240056439A1 (en) 2021-01-04 2021-12-30 Blockchain-based sdp access control method and apparatus
EP21914629.7A EP4266625A4 (en) 2021-01-04 2021-12-30 METHOD AND APPARATUS FOR CONTROLLING BLOCKCHAIN-BASED SDP ACCESS
JP2023540730A JP2024501729A (ja) 2021-01-04 2021-12-30 ブロックチェーンに基づくsdpアクセス制御方法及び装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110001451.7A CN114765551B (zh) 2021-01-04 2021-01-04 基于区块链的sdp访问控制方法及装置

Publications (2)

Publication Number Publication Date
CN114765551A true CN114765551A (zh) 2022-07-19
CN114765551B CN114765551B (zh) 2023-10-27

Family

ID=82260279

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110001451.7A Active CN114765551B (zh) 2021-01-04 2021-01-04 基于区块链的sdp访问控制方法及装置

Country Status (5)

Country Link
US (1) US20240056439A1 (zh)
EP (1) EP4266625A4 (zh)
JP (1) JP2024501729A (zh)
CN (1) CN114765551B (zh)
WO (1) WO2022143898A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115766170B (zh) * 2022-11-08 2023-09-26 敏于行(北京)科技有限公司 可信的sdp网络的控制方法、装置、存储介质及电子装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018214165A1 (zh) * 2017-05-26 2018-11-29 深圳前海达闼云端智能科技有限公司 通信方法、装置、系统、电子设备及计算机可读存储介质
WO2019104690A1 (zh) * 2017-11-30 2019-06-06 深圳前海达闼云端智能科技有限公司 移动网络接入认证方法、装置、存储介质及区块链节点
CN111181944A (zh) * 2019-12-24 2020-05-19 达闼科技成都有限公司 通信系统及信息发布方法、装置、介质、设备
CN111835528A (zh) * 2020-07-16 2020-10-27 广州大学 一种去中心化的物联网跨域访问授权方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102007913B1 (ko) * 2018-06-19 2019-08-06 지니언스(주) 엔드포인트 그룹 라벨 기반 소프트웨어 정의 경계에서의 네트워크 제어 방법 및 시스템
CN109561066B (zh) * 2018-10-15 2022-02-01 达闼机器人有限公司 数据处理方法、装置、终端及接入点计算机

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018214165A1 (zh) * 2017-05-26 2018-11-29 深圳前海达闼云端智能科技有限公司 通信方法、装置、系统、电子设备及计算机可读存储介质
US20190207762A1 (en) * 2017-05-26 2019-07-04 Cloudminds (Shenzhen) Robotics Systems Co., Ltd. Communication method, apparatus and system, electronic device, and computer readable storage medium
WO2019104690A1 (zh) * 2017-11-30 2019-06-06 深圳前海达闼云端智能科技有限公司 移动网络接入认证方法、装置、存储介质及区块链节点
CN111181944A (zh) * 2019-12-24 2020-05-19 达闼科技成都有限公司 通信系统及信息发布方法、装置、介质、设备
CN111835528A (zh) * 2020-07-16 2020-10-27 广州大学 一种去中心化的物联网跨域访问授权方法及系统

Also Published As

Publication number Publication date
US20240056439A1 (en) 2024-02-15
JP2024501729A (ja) 2024-01-15
EP4266625A1 (en) 2023-10-25
CN114765551B (zh) 2023-10-27
WO2022143898A1 (zh) 2022-07-07
EP4266625A4 (en) 2024-05-15

Similar Documents

Publication Publication Date Title
CN110537346B (zh) 安全去中心化域名系统
RU2417422C2 (ru) Услуга распределенной единой регистрации в сети
JP4746333B2 (ja) コンピューティングシステムの効率的かつセキュアな認証
US8196186B2 (en) Security architecture for peer-to-peer storage system
EP2351316B1 (en) Method and system for token-based authentication
US8532620B2 (en) Trusted mobile device based security
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
US20090113537A1 (en) Proxy authentication server
KR20140127303A (ko) 다중 팩터 인증 기관
US20110162053A1 (en) Service assisted secret provisioning
WO2022143935A1 (zh) 基于区块链的sdp访问控制方法及系统
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
US20240064021A1 (en) Access control method, apparatus, network side device, terminal and blockchain node
CN114553480B (zh) 跨域单点登录方法、装置、电子设备及可读存储介质
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
WO2022143898A1 (zh) 基于区块链的sdp访问控制方法及装置
JP6266170B2 (ja) 3層セキュリティおよび算出アーキテクチャ
CN115473655A (zh) 接入网络的终端认证方法、装置及存储介质
US11520937B2 (en) NVMe over fabrics authentication system
CN117081783A (zh) 分布式网络下的身份认证方法、系统、终端、介质及应用
JP2001325228A (ja) ネットワーク利用者認証方法およびネットワーク利用者認証システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant