CN110622490A - 核心网络访问提供商 - Google Patents
核心网络访问提供商 Download PDFInfo
- Publication number
- CN110622490A CN110622490A CN201880030967.0A CN201880030967A CN110622490A CN 110622490 A CN110622490 A CN 110622490A CN 201880030967 A CN201880030967 A CN 201880030967A CN 110622490 A CN110622490 A CN 110622490A
- Authority
- CN
- China
- Prior art keywords
- network
- node
- ledger
- core network
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 92
- 238000000034 method Methods 0.000 claims abstract description 78
- 230000008569 process Effects 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims description 51
- 230000006855 networking Effects 0.000 claims description 18
- 230000000694 effects Effects 0.000 claims description 14
- 238000013475 authorization Methods 0.000 claims description 2
- 238000010200 validation analysis Methods 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 28
- 230000008859 change Effects 0.000 description 18
- 238000013461 design Methods 0.000 description 16
- 230000001276 controlling effect Effects 0.000 description 15
- 238000012544 monitoring process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 5
- 230000004888 barrier function Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012797 qualification Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 229940079593 drug Drugs 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2365—Ensuring data consistency and integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Abstract
披露了一种向比如数据结构和设备等节点提供对网络的访问权限的计算机实施方法和一种相应的网络架构。至少一个核心网络访问提供商跨网络的协议栈的层控制对网络的实时访问,并顺序地向访问请求节点或每个访问请求节点分配网络通信地址。所分配的网络地址与该节点的唯一参数和节点用户的唯一参数一起编码在顺序标识符分类账中,该分类账被实时分发到所有联网节点。每个节点处理分类账以验证其顺序完整性,并在确定丢失顺序完整性时,标识导致该丢失的分类账记录,并向网络上的节点广播包括所标识记录的警报。核心网络访问提供商在验证步骤标识分类账记录或接收到警报时,取消被分配有与所标识分类账记录相对应的网络通信地址的节点的网络访问。
Description
技术领域
本发明涉及一种用于管理数据处理设备对网络的访问的系统和方法。更具体地,本发明涉及用于通过集成了地址协议和用户的身份属性的分布式分类账来管理数据处理设备对网络的访问的系统和方法。
背景技术
如今,在永久或半永久性网络使用中的计算设备远远超出了过去的传统计算机和膝上型计算机而延伸到个人通信终端,比如智能电话、工业和家用电器、个人车辆和甚至包括玩具的许多其他设备,所有这些通常都被称为‘物联网(Internet of Things)’这一表达中的‘物(things)’,其中,这些物的总数已经在相对较短的二十至三十年的时间跨度内从几十增加到数十万、到现在至少数千万,而与此同时,网络连接被部署为接近无所不在。
这种发展的步伐一直在不断加大,在任何特定时间在网络使用中的计算设备的总数很快就会、或者已经轻松地超过同一时间正在使用它们的人口。
这种情况产生了两个本质上相互关联的问题。首先,在网络的任何特定节点(无论是连接到互联网的计算机、同样连接到互联网的冰箱、连接到蜂窝网络的智能电话、或是任一平台上的独立的软件即服务会话)处,在相关时间建立并在一段时间内维持与远程节点相关联的用户身份的置信水平的问题。其次,考虑到与任何特定个人相关联的网络节点的数量不断增加,跨在不同协议下操作并且具有广泛变化的认证要求和容量的多个网络扩展此置信水平的问题。
减轻上述窘境的最近尝试依赖于基于区块链的技术,已知这些技术会消耗大量的计算机处理能力用于验证的目的,并且其对于适应变化的应用情境表现出受限的灵活性。进一步地,在面向节点的解决方案的情况下,互联网固有的匿名设计导致技术的无关中立性:在TCP/IP协议中,数据发送方可能是匿名的,并且出于弹性、便捷和有效性,情报处于节点中而不是网络中。这种设计结构防止了网络范围的认证,替代地需要特定于会话的认证,例如使用传输层安全协议。
对上述问题的技术解决方案的研究通常在身份控制和个人或国家安全考虑的行政背景之外进行。数字领域与诸如边界、国籍和其他管辖规则等行政结构之间的这种脱节导致了大量政府资源出于安全目的而专用于网络数据审计和监视,因为在数字网络中尝试和执行用户问责制和边界仍然是非常不切实际的。
认证、问责制和合规性监控是创建稳定、可预测和安全的环境的先决条件。因此,考虑到上述情况,期望的是易于认证和监控用户、设备和/或数据结构的身份的可扩展网络架构,而不是将任务推迟到分立实体自组织。
发明内容
本发明涉及一种结合用于信息、通信、交易的完整性和安全性的分类账和系统的网络架构,该网络架构通过由与所有层接口连接的一个或多个核心网络访问提供商(CNAP)执行的方法来实施,所有层包括通信网络中用于控制用户对分类账和系统的访问以及交互的最低基础设施层,其中一个分类账将节点的身份、系统和通信地址的分布式分类账与用户或节点的地址协议和身份属性集成在一起。本发明涉及一种架构和操作系统,其能够使用通信网络中的不同基础设施层以及附接的系统、网络和分类账,利用针对信息、通信、交易、身份和访问的完整性和安全性的权限和策略执行来实现系统、网络和分类账的设计,从而控制系统网络和分类账的使用,该方法由核心网络访问提供商(CNAP)系统执行,这些系统用于获得对所有可以与其他平台、应用、分类账和网络互操作的可信系统的许可访问权限。
因此,根据本发明的方面,提供了一种向网络的每个节点提供对该网络(以及基于网络的系统、或在网络上运行或附接到网络的系统、和/或连接到网络的任何其他节点)的访问权限的计算机实施的方法,其中,该网络包括至少一个包括多个层的协议栈,该方法包括以下步骤:由至少一个核心网络访问提供商控制对该协议栈中的每一层的网络的实时访问和该网络上的活动,其中,该核心网络访问提供商包括至少一个数字和/或物理实体;在该核心网络访问提供商处顺序地向该访问请求节点或每个访问请求节点分配网络通信地址;在该核心网络访问提供商处将所分配的网络通信地址与该节点的唯一参数和节点用户的唯一参数一起编码在完整性标识符分类账中;将该完整性标识符分类账实时分发到每个联网节点;在每个联网节点或一个或多个已认证的节点处接收该分布式标识符分类账并处理该分布式标识符分类账,以验证其与所有相关方面相关的完整性;在确定该分类账丢失完整性时,标识导致该丢失的分类账记录并向每个联网节点或一个或多个已认证的节点广播包括所标识的分类账记录的警报;以及在标识导致丢失完整性的分类账记录或在该核心网络访问提供商处接收到警报时,取消或控制具有与所标识的分类账记录相对应的标识符的节点或已经采用该通信地址的节点对该网络及其连接的节点和系统的访问。与所有相关方面相关的完整性可以包括其顺序、身份因子和进程完整性。在一个实施例中,这可以被监控或者CNAP中的任何其他功能或其他附接的系统能力。在一个实施例中,核心网络访问提供商被配置用于接收计算机程序和信息,这些计算机程序和信息包含控制对不同系统的访问的条件、以及关于操作要求和这些CNAP能力的使用的情报。在一个实施例中,将完整性标识符实时分发到每个联网节点是指分发到经认证的CNAP、由系统规范预先设定的一组用户/节点(例如,一组银行)、或者每个联网的节点。在一个实施例中,完整性验证进一步包括立即检测用户识别属性(例如,身份/IP/机器代码)的变化或泄漏并根据节点的预设系统做出反应(比如,CNAP阻止被泄漏的用户、或访问数据库阻止或限制用户)的能力。在一个实施例中,如果某个节点被标识为缺乏完整性,则可以以警报通知一个或多个已认证的节点。
本发明的方法有利地组合和集成了分布式透明分类账技术、通信网络中固有的通信层和可识别属性、以及与通信网络连接的设备和系统,以进行安全识别并且使状态的任何变化对分类账的参与节点立即可见。分类账由一个或多个核心网络访问提供商操作并通过其被全局地访问,该一个或多个核心网络访问提供商的全部或部分可由被多个参与者或单个机构控制的公共平台管理。
利用本发明的方法,核心网络访问提供商具有或可以获得对物理网络和虚拟网络上的节点及其能力和功能的完全控制。其中从核心网络访问提供商管理访问的系统和分类账可以在跨如互联网的广域网的所有参与网络中指定和实施,因为由每个核心网络访问提供商向分类账或系统实施的访问系统被准许。每个核心网络访问提供商用作认证访问的中心点,因为它们适用于控制网络的物理功能和虚拟功能及其使用,由此,即使核心网络访问提供商无法控制如互联网的整个广域网,他们也可以控制其系统的使用。他们还可以控制其用户以及可以给与用户以访问网络、系统和分类账或其部分的条款。通过这种方式,可以从用户的CNAP控制用户对整个广域网的访问。随着越来越多的CNAP遵从不同的系统、网络和分类账条件,不同的系统集成和执行遍布越来越多的用户和越来越多的地理区域。
因此,本发明的方法有利地在更广泛的网络内的网络中设置了标准,其中,可以执行认证,并且安装安全密钥泄漏通知以在所有通信上实现适当的问责制和完整性。本发明的核心网络访问提供商的基础网络架构和能力、分类账和系统的访问技术、以及分类账的特征都导致网络架构允许易于扩展和实施、不同的系统与分类账之间增加的灵活性和互操作性。分类账和CNAP验证顺序的完整性和所有已注册的身份属性(密码、物理、数字或其他属性等)的完整性。这将使得在不使分类账和id的状态对于具有分类账的访问权限的节点变得明显的情况下无法改变这两者的状态。与分类账的分布和身份泄漏的警报相关的这种通信可以使用经加密并且保证消息递送的专用系统和/或电路交换网络。
在该方法的实施例中,顺序地分配网络通信地址的步骤优选地进一步包括将数据结构或设备/硬件的至少一个唯一参数、和/或数据处理设备用户的至少一个唯一参数与一个或多个预定访问参数进行匹配。该预定访问参数或每个预定访问参数可以有利地选自包括以下各项的组:全球定位系统(GPS)坐标、网络接口连接点的地理坐标、由区域互联网注册管理机构(RIR)发布的IP地址或自治系统编号、由应用服务提供商(ASP)发布的会话密钥或授权令牌。
优选地,将例如MAC地址、IP地址和其他静态或半静态技术标识符的基本事实加密地导出、合成、散列和/或附加到虚拟标识符,使得在分类账上将可见到物理网络协议、套接字地址、端口号或与此类相关信息相对应的其他基本信息的潜在变化。因此,在该方法的实施例中,编码步骤优选地进一步包括对经编码的网络通信地址、节点唯一参数和节点用户唯一参数进行散列,并且其中,该完整性标识符分类账是区块链数据结构。在该方法的替代实施例中,编码步骤可以替代地或者还包括以下进一步的步骤:将所分配的网络通信地址处理成数字签名或数字密钥。在该方法的替代实施例中,散列被加密地附加到基本物理通信地址和/或其他身份属性,并且基本事实的变化将破坏散列并在分类账上以警报形式通知。
优选地,核心网络访问提供商应该被认证以进行操作,并且因此如果其符合使用连接到网络的系统的、适用于核心网络访问提供商和网络节点两者的特定技术和行政条件,则授予或防止对网络或其系统的访问。不同的系统可能需要不同的条件才能接受核心网络访问提供商。这些条件可以涉及核心网络访问提供商的能力之一或全部的一个或多个不同功能,这些能力可用于控制其网络及由网络节点对网络的使用。某些系统可能需要核心网络访问提供商部署其所有资源,以控制、增强或停止网络上的功能和活动。
因此,该方法的实施例可以包括以下进一步的步骤:根据选自硬件属性、软件属性、通信属性和规则集的预定核心网络访问提供商属性的列表,将至少一个联网节点认证为第二核心网络访问提供商。
某些系统还可以或替代地将到多个已认证的核心网络访问提供商的认证任务实施或推迟为投票要求,其中,该多个已认证的核心网络访问提供商必须投票以批准并由此认证新的核心网络访问提供商。随着符合各种网络系统的累积条件的已认证的核心网络访问提供商的数量增加,节点完整性的执行和系统在网络及其细分部分上的执行有利地增加。
因此,在包括进一步的认证步骤的方法的实施例中,在包括多个核心网络访问提供商的网络上,将联网节点认证为另一核心网络访问提供商的步骤优选地进一步包括进行投票以在多个核心网络访问提供商中的每一个处认证节点的步骤。在一个实施例中,节点或CNAP中的投票系统包括新CNAP必须由一定数量的或全部的现有CNAP批准的情况。
包括进一步的认证步骤的方法的实施例可以包括以下进一步的步骤:对每个核心网络访问提供商进行地理定位。
包括进一步的认证步骤的方法的实施例可以包括以下进一步的步骤:当核心网络访问提供商未能维持系统、网络和分类账的预定核心网络访问提供商属性的列表中的、CNAP必须符合的一个或多个属性时,解除对所述核心网络访问提供商的认证。在一个实施例中,此进一步的步骤可以包括通过与计算机程序相关的自动技术过程来取消CNAP及其节点/用户的访问,该计算机程序构成了分类账或系统,并在被认证用于系统或分类账的所有CNAP中起作用。
根据本发明的另一方面,还提供了一种系统,该系统包括:至少一个协议栈,该至少一个协议栈包括多个层;至少一个核心网络访问提供商,该至少一个核心网络访问提供商可操作地与该协议栈中的每一层接口连接,并且被配置用于接收附接到网络的系统、子网和分类账上的信息,并用于控制节点对该网络的实时访问以及这些节点在该网络上的活动,其中,该核心网络访问提供商包括至少一个数字和/或物理实体;一个或多个节点,该一个或多个节点连接到该网络,其中,在该节点或每个节点请求网络访问时,该核心网络访问提供商顺序地向该节点或每个节点分配网络通信地址;以及完整性标识符分类账,该完整性标识符分类账针对每个节点包括所分配的网络通信地址,所分配的网络通信地址与该节点的唯一参数和节点用户的唯一参数一起编码在该完整性标识符分类账中,其中,该完整性标识符分类账被实时分发到每个联网节点;其中,该核心网络访问提供商或每个核心网络访问提供商和每个节点进一步被配置用于:处理接收到的分类账以验证其完整性,标识导致丢失完整性的分类账记录,在网络上广播包括所标识的分类账记录的警报;并且其中,该核心网络访问提供商或每个核心网络访问提供商进一步被配置用于取消或控制已经丢失其完整性的节点对网络或特定系统或其他节点的访问(例如,通过使该节点具有与所标识的分类账记录相对应的网络通信地址)。在实施例中,与协议栈的每一层接口连接的至少一个核心网络访问提供商被配置用于控制节点对网络的实时访问并控制节点在网络上的可能活动。在实施例中,如果存在与基本节点身份的不一致,则在分类账上发送警报。可以由CNAP或直接在分类账中检测身份的变化。
在系统的实施例中,该核心网络访问提供商或每个核心网络访问提供商可以进一步被配置用于验证每个节点用户的一个或多个唯一参数的准确性,其中,可由网络中的该核心网络访问提供商或每个核心网络访问提供商分配的网络通信地址的最大数量等于已在该核心网络访问提供商或每个核心网络访问提供商处验证的身份的数量。
在系统的另一个实施例中,该核心网络访问提供商或每个核心网络访问提供商可以进一步被配置用于将分配给节点的每个网络通信地址处理成数字签名或数字密钥。
在本文披露的方法和系统的任一实施例中,节点的该唯一参数或每个唯一参数优选地选自包括以下各项的组:媒体访问控制(MAC)地址、国际移动设备识别(IMEI)码、移动设备标识符(MEID)码、电子序列号(ESN)、Android_ID十六进制字符串或使得硬件能够在网络上通信的其他类型的标识符。
在本文披露的方法和系统的任一实施例中,节点用户的该唯一参数或每个唯一参数优选地选自包括以下各项的组:全球定位系统(GPS)坐标、生物特征数据、个人识别号(PIN)、密码、护照序列号、通用唯一标识符(UUID)或可以标识用户的任何其他类型的标识符。
根据本发明的另一个方面,还提供了一种数据结构,该数据结构包括:至少一个网络通信地址、网络节点的至少一个唯一参数、以及网络节点用户的至少一个唯一参数,该数据结构用于与本文披露的方法一起使用,并且用于在本文披露的网络架构中与以下各项一起使用(a)CNAP,(b)其通信、注册和处理数据库/服务器(300),(c)所有CNAP能力,(d)外部系统、网络、数据库、分类账和其他连接的系统和节点,(e)用户身份分类账。这为设计可以注册和实施到CNAP中的系统、网络和分类账提供了框架,以使得所有这些部件和所附接的系统根据系统的设计进行操作。CNAP(300)中的接收和处理数据库被配置用于外部通信,可以注册、存储、更新和运行与所有上文提及的能力、以及外部系统和分类账接口连接的计算机程序。数据库(300)具有使得数据程序/系统能够利用所有内部能力和外部能力的操作系统。操作系统包括通信配置、程序/系统注册、实施和更新系统、信息处理单元、以及与用于执行(例如访问和阻止条件)所注册的程序/系统的所有能力和系统的接口。CNAP 300提供了一个情报中枢,该情报中枢可以跨网络、系统和分类账并通过不同层的技术手段容易地部署和更新隐含功能的系统。系统/程序设计(要求和条件)经由数据程序实施到CNAP(300)中,以便操作CNAP能力向系统所有者(例如政府、公司、组织、人员、财团等)所需要和设计的系统提供支持。为了与被设计成用于在CNAP 300的操作系统上运行的系统、网络和分类账相关的网络上的安全统一的性能和对程序的合规性,操作系统和/或在其上运行的程序可以是完全或部分地开源的,以使得所有变化能够被分发到所有已认证的节点。CNAP 300模块也可以完全或部分透明,以使得其他已认证的CNAP可以控制不同系统的实际实时操作和通信。该程序还可以设计成仅以预期的方式起作用,或者如果被篡改则自毁。第三方、一组节点或其他独立系统也可以管理针对CNAP的程序。已认证的CNAP及其用户必须始终遵从程序/系统才能具有访问权限。该程序可以被设计成使得预先设计的系统被自动执行,使得CNAP和用户都不能在未自动失去访问权限的情况下违反系统的条件。CNAP通过其能力和与外部单元的接口来注册和执行系统/程序,以便符合不同的程序/系统和不同的用户。标识符分类账系统可以起作用使得CNAP不能在未在分类账上注册用户的情况下分配用于通信的地址。可以使与分类账及其基本信息相关的进程和所有属性对所有已认证的节点透明。任何泄漏都会在其发生时分发在分类账上。可以在系统/程序中调节具有对关于分类账的信息的访问权限的节点(例如,仅已认证的CNAP、一组节点和数据库、包括所有用户的所有连接的节点)。CNAP是网守,是具有不同的访问权限和操作条件的多个网络、系统和分类账的中介,为系统、网络和分类账的功能和通信提供情报。随着CNAP、其能力和连接的系统的增加,可以在CNAP 300中实施的程序/系统的潜在设计也在增加。这些系统通过身份分类账和CNAP 300操作系统进行互操作。CNAP确保系统、网络和双方用户之间的认证和访问的完整性。这实现了增加的系统和网络设计机会,从而可以利用CNAP的能力。网络(WAN)中的网络、系统和分类账可以针对不同的用户进行设计。这些网络、系统和分类账可以通过CNAP、id分类账和外部连接的系统进行互操作。因此,id分类账和CNAP为连接到网络的系统、分类账、应用和子网络之间的互操作提供了平台。因此,本发明提供了一种用于接收和存储程序和系统的接口,其具有用于在网络及其连接的系统、子网和分类账上使用和访问的要求和参数。因此,根据本发明的方面,提供了一种用于为网络的每个节点提供对网络(以及基于网络的系统、或在网络上运行或附接到网络的系统)的访问权限的计算机实施的方法,该方法包括以下步骤:利用至少一个核心网络访问提供商跨网络的协议栈的层来控制对网络的实时访问;在该核心网络访问提供商处顺序地向该访问请求节点或每个访问请求节点分配网络通信地址;在该核心网络访问提供商处将所分配的网络通信地址与该节点的唯一参数和节点用户的唯一参数一起编码在顺序标识符分类账中;将该顺序标识符分类账实时分发到每个联网节点;在每个联网节点处接收该分布式标识符分类账并处理该分布式标识符分类账,以验证其顺序完整性;在确定丢失顺序完整性时,标识导致该丢失的分类账记录并向每个联网节点广播包括所标识的分类账记录的警报;以及在标识导致丢失顺序完整性的分类账记录或在该核心网络访问提供商处接收到警报时,取消具有与所标识的分类账记录相对应的网络通信地址的节点或已经采用该IP的节点对该网络的访问。根据本发明的另一方面,还提供了一种网络架构,该网络架构包括:至少一个协议栈;至少一个核心网络访问提供商,该至少一个核心网络访问提供商与协议栈的每一层接口连接,并且被配置用于控制节点对网络的实时访问;一个或多个节点,该一个或多个节点连接到该网络,其中,在该节点或每个节点请求网络访问时,该核心网络访问提供商顺序地向该节点或每个节点分配网络通信地址;以及顺序标识符分类账,该顺序标识符分类账针对每个节点包括所分配的网络通信地址,所分配的网络通信地址与该节点的唯一参数和节点用户的唯一参数一起编码在该完整性标识符分类账中,其中,该顺序标识符分类账被实时分发到每个联网节点;其中,该核心网络访问提供商或每个核心网络访问提供商和每个节点进一步被配置用于:处理接收到的分类账以验证其顺序完整性、标识导致丢失顺序完整性的分类账记录、在网络上广播包括所标识的分类账记录的警报;并且其中,该核心网络访问提供商或每个核心网络访问提供商进一步被配置用于取消具有与所标识的分类账记录相对应的网络通信地址的节点对网络的访问权限。
在所附权利要求中陈述了本发明的其他方面。
附图说明
参考附图,将从下文仅作为示例给出的本发明实施例的描述中更清楚地理解本发明,在附图中:-
图1是根据本发明实施例的网络架构的逻辑表示,包括连接到核心网络访问提供商的多个节点。
图2是部署在广域网内的图1的网络的逻辑表示。
图3描绘了关于每个访问请求节点在图1和图2的网络的协议栈上执行的核心网络访问提供商的示例性能力的概述。
图4示出了根据本发明的示例完整性标识符分类账,其由图1至图3的网络中的核心网络访问提供商和联网节点维护。
图5展示了网络架构的扩展及其在多个核心网络访问提供商上的完整性标识符分类账、以及其与其他系统、网络、分类账和应用的接口。
图6是在核心网络访问提供商处执行的、实施本发明的网络架构的方法的实施例的逻辑图。
图7是在网络中的每个节点处执行的、实施本发明的网络架构的方法的实施例的逻辑图。
图8是在网络中的多个核心网络访问提供商处执行的、实施本发明的网络架构的方法的两个替代实施例的逻辑图。
图9展示了用于多个核心网络访问提供商中的每一个的第一地理定位方法。
图10展示了用于多个核心网络访问提供商中的每一个的第二地理定位方法。
具体实施方式
在以下描述中,出于解释的目的,阐述了具体细节以便提供对本发明的理解。本领域技术读者将容易理解,可以在不结合这些具体细节的情况下实践本文披露的发明原理,并且可以以各种方式将本发明的实施例实施为有形计算机可读介质上的过程、装置、系统、设备或方法。
图中所示的部件和/或模块是本发明的示例性实施例的说明,并且被示出和描述以便于理解本文披露的发明原理。本领域技术读者将容易理解,这些部件和/或模块可以被实施为单独的部件,或者被集成到更小或更大的范围以包括在单个系统或部件内;这些部件和/或模块可以用软件、硬件或其组合来实施;并且本文描述的功能或操作可以被实施为部件。
本说明书中对附图内的部件、模块、系统或设备之间的连接的引用不旨在局限于直接连接,而是可以扩展到通过一个或多个中间设备进行的间接连接、无线连接,并且可以使用另外的或更少的连接。本说明书中对消息、块和数据的引用涉及能够在网络上通信的一组比特。这些术语不应被解释为将本发明的实施例限制于任何特定配置,并且可以被互换地使用或替换为比如数据流量、信息和涉及一组比特的任何其他术语等这类术语。说明书中对实施例(an embodiment)的引用意指结合该实施例所描述的具体特征、结构或特性可以在多于一个实施例中被表征。
本说明书中对“用户”的引用可以被认为是指具有在通信网络上进行通信的手段的人、组织、企业、组、家庭、系统、分类账、应用、数据库、服务器、可联网设备和其他可识别物或组。本说明书中对“区块链”的引用可以被认为是指限定数量的数字资产、数字签名、身份以及身份之间的转移的记录,该记录被注册并散列到被公布给所有参与身份的完整区块链中,并且其中,通过由网络中验证最长交易链的大部分计算机处理能力对交易顺序的验证来防止重复消费。本说明书中对“分布式分类账”的引用可以被认为是指被公布给所有参与节点的用户和数字资产的登记。本说明书中对“气隙”的引用可以被认为是指无法通过连接到电子数据网络来克服的物理障碍、虚拟障碍、数学或密码障碍、或系统定义的障碍。
本说明书中对“核心网络访问提供商”(本文中的‘CNAP’)的引用可以被认为是指至少一个数字和/或物理实体,该至少一个数字和/或物理实体为新节点及其用户提供对网络的访问,并通过易于影响针对已连接节点的网络功能的能力来控制对已连接节点的该访问的维护。本说明书中对CNAP的“能力”的引用至少扩展为:访问、核算、计费、认证、管理、对物理基础设施和电缆、链路层、IP层的控制、存储并通过物理电缆执行预设通信路径、IP路由方案、链路层控制、监视、深度包检测、域名系统阻塞、数据流和行为的分析工具、解密、以及能够影响网络或网络的一部分的能力和功能的任何其他功能。
现在参考附图并且首先参考图1和图2,其示出了根据本发明实施例的网络架构的逻辑表示,包括连接到核心网络访问提供商(CNAP)101的多个节点。
图1在功能上展示了CNAP 101的网络网守功能,用于授予各种有访问需要的节点对不同远程系统和分类账的访问权限,这些节点被以各种方式展示为左侧的平板计算机110、台式计算机112、智能电话114、网络116、第一服务器1181和存储在另一终端118N处的第一数据库1202,这些远程系统和分类账被以各种方式展示为在左侧的已连接的应用140、第二服务器1181、存储在第二服务器1182处的第二数据库1202并且包括标识符分类账150。
图2示出了与图1相同的网络,该网络被部署为更广泛的广域网(在示例中为互联网105)的部分,并且分别通过各种网络协议与其连接,其中,每个终端的网络连接和可互操作的网络协议允许终端根据本文描述的方法彼此连接、将数据传送到彼此并从彼此接收数据。
在WAN 105内,网络架构可以包括可操作地与CNAP 101接口连接的任何数量的子网络132。在该网络结构中,CNAP 101适于认证连接到核心网络的每个访问请求节点110、112、114、118N,并且CNAP 101和被授予访问权限的每个已认证节点110、112、114、118N中的每一个都适于监控每个已连接节点的持续认证状态。
网络架构中的一种类型的数据处理终端110可以是由用户操作的移动个人计算机终端,并且在示例中是平板计算机110。平板计算机110通过符合IEEE 802.11(‘Wi-FiTM’)标准的无线数据传输133发射和接收被编码为数字信号的数据,其中,该信号由将平板计算机110接口连接至WAN通信网络105的本地路由器设备131分别中继到平板计算机或从该平板计算机进行中继。平板计算机110进一步包括实施近场通信(NFC)互操作性和数据通信协议的高频射频识别(RFID)网络接口,用于促进相应配备的设备(比如用户的移动电话110和/或NFC使能的设备,例如,电子支付卡)在短距离上的无线数据通信。平板计算机110可以例如是由美国加利福尼亚州库比蒂诺市的苹果公司制造的iPadTM或由美国华盛顿州雷德蒙德的微软公司制造的SurfaceTM。
网络架构中的另一种类型的用户数据处理终端114可以是由用户操作的、与移动个人通信设备110相同的用户或可替代地由另一个用户来操作的移动个人通信设备。终端114通过无线数据传输137发射和接收被编码为数字信号的包括语音和/或字母数字数据的数据,其中,该信号由多个通信链路中继138中地理位置最近的通信链路中继分别中继到设备114或从该设备进行中继。多个通信链路中继138N允许数字信号借助于远程网关139在移动设备(如用户终端114)与其预期接收方之间进行路由。网关139例如是通信网络交换机,其在无线电信网络(比如其中发生无线数据传输137的网络)与WAN 105之间耦合数字信号流量。例如,如果终端114使用无线应用协议(‘WAP’)或安全超文本传输协议(‘HTTPS’)来传达数据,则网关139进一步根据需要提供协议转换。
网络架构中的另外类型的数据处理终端可以是由相应用户出于个人或行政目的而操作的台式个人通信设备112和服务器118N。所有这些终端通过有线(132)或无线(137)数据传输来发射和接收被编码为数字信号的包括语音和/或字母数字数据的数据,其中,这些信号由将计算机112、118N接口连接到WAN通信网络105的本地路由器设备131分别中继到每个终端或从每个终端进行中继。
网络架构中的又另外类型的数据处理终端可以是通常被称为“物”的可联网的特定用途的设备,这些设备以各种方式包括:家庭情境中的家用电器和家庭自动化接口、监视摄像机和位置访问控制接口、工业自动化接口等。取决于其目的与联网协议配置和兼容性两者,这样的设备可以通过有线或无线连接联网到广域网105、或者到与广域网105接口连接的局域网116N(在任一情况下都通过CNAP 101)。
核心网络由CNAP 101(在示例中,其被实施在比如服务器118N等计算机终端上)维护。CNAP通过有线数据传输130来发射和接收被编码为数字信号的数据,其中,所述信号由根据IEEE 802.3-2008千兆位以太网传输协议实施有线局域网操作的本地路由器设备131分别中继到服务器或从服务器进行中继。路由器131本身通过有线电信网络132经由传统光纤连接而连接至WAN 105。
图3描绘了用于关于每个访问请求节点110N、114N、116N、118N、140N在图1和图2的网络的协议栈301上执行的核心网络访问提供商101的示例性能力的概述,该核心网络访问提供商作为用于设计网络、以及该网络上的或附接到该网络的系统的计算机程序的接收器和存储器。作为网络架构的固有部分的本发明的基本方面是识别协议和分布式分类账150、以及能够监控和控制网络的CNAP。因此,CNAP可以被视为系统和分类账访问网守。本发明还涉及设计这样的系统:其使用其能力影响网络及网络的使用,并且因此使得能够设计由CNAP管理的系统和分类账。这是通过以下方式来建立的:基于通信地址/套接字地址(比如在TCP/IP上下文中)将本文描述的特定分布式分类账150与广域网系统的网络协议301合并,并且使用向通信网络提供硬件和软件访问权限的CNAP 101作为参考节点,以便根据不同系统的预设设计授予和确保对其上的分类账和系统的访问。
CNAP 300被配置用于外部通信,用于接收数据程序和分类账并与之接口连接。其被配置用于注册和实施至少与访问系统和一个或多个网络功能能力接口连接的程序和操作系统。因此,CNAP 101必须与网络协议栈301中的每一层可操作地接口连接:基础物理“硬件”基础设施层302、将数字信令内容与基础层302接口连接的链路层303、管理通过(互联网)网络用信号发送的数据的格式的互联网协议‘IP’层304、向应用140提供主机到主机通信服务的传输层(传输控制协议(TCP)305、以及向应用140提供进程到进程通信的通信服务的应用层306。该网络协议栈和层设计是出于示例性目的而描述的,并且本发明可以使用其他网络设计。
因此,CNAP 101还必须包括以下属性中的一个或多个以及这些属性各自的实施网络管理能力的功能:访问处理模块311,用于处理和授予或拒绝远程节点的网络访问请求,并且在授予后控制这些远程节点的访问;IP管理模块312,用于控制网络地址池,并且被访问处理模块311轮询以将网络地址分配给任何经认证的访问请求节点;认证模块313,用于控制节点的注册和用户唯一参数U参数,并且被访问处理模块311轮询以验证任何访问请求节点的凭证;域名系统模块314,与跟踪和搜索模块319相关联,用于基于被分配给核心网络中的节点的网络地址来定位和识别这些节点,并且由访问处理模块311进行控制以控制节点通信并视情况阻止节点通信;可选的核算模块315,用于管理已注册用户的订阅并处理电子支付;流量监控模块316,与深度包检测模块317相关联,用于检测网络通信内容,并且具体地用于识别恶意软件、病毒、垃圾邮件或其他这样的恶意网络活动;网络设计和管理模块318,用于监控并更新或以其他方式修改合格的核心网络访问提供商属性,包括预定的一组硬件属性、软件属性、通信属性、和一个或多个的面向服务条件(CoS)的规则集,这些规则集共同实施用于获得对核心网络和CNAP 300中的注册系统(比如,ID分类账或专门设计的网络或访问数据库)的访问权限的条件;以及可选的网络分析和控制模块320,用于监控并更新或以其他方式修改核心网络属性,包括预定的一组硬件属性、软件属性、通信属性、和一个或多个面向服务质量(QoS)的规则集,这些规则集共同定义核心网络内的最佳带宽及其使用。
对核心网络内的系统的每次访问和使用都必须始终符合预设标准:CNAP 101可以使用其所有可能的工具311至320来对用户终端、网络通信、连接的数据库或其他网络活动进行标记、跟踪、阻止和做任何其他事情。核心网络和/或标识符分类账150(或实际上CNAP已认证可以访问的任何其他系统)可以被设计为具有系统设计者认为合适的针对任何类型的组织和用户的任何合适的访问条件。例如,第三方可以与CNAP 101一起操作,并且通过CNAP 101向用户授予访问权限,例如,银行授予客户对支付分类账的访问权限。
CNAP 101可以通过要求对某些预先设计的网络、分类账或系统策略和条件的认证和/或合规性来阻止用户访问开放网络,这些策略和条件由CNAP模块311至320根据分布式系统或分类账的条件、特定的网络系统或分类账(其采用被传送到并安装在CNAP(300)中的数据程序或操作系统的形式)的条件来实施。例如,监管机构或政府可能希望阻止用户访问不受监管和匿名的金融区块链分类账(基于区块链的加密货币),这些分类账可用于资助恐怖主义、毒品、非法交易或其他非法活动,其中,网络设计和管理模块318在由网络改变能力(比如,例如电路交换网络硬件、与DPI联合的流量监控模块、阻止特定的系统、源、链路和通信,仅允许白名单(肯定定义的)通信)中的任何一个或组合执行的相关阻止规则集中指定这类不受监管和匿名的金融区块链分类账,并且流量监控模块316与深度包检测模块317联合检查节点活动以检测与被阻止的区块链分类账相对应的数据包。
图4示出了根据本发明的示例完整性标识符分类账,其由核心网络访问提供商的模块311至320与图1至图3的网络中的联网节点110N、114N、116N、118N、140N协作地维护。
完整性标识符分类账150是由网络中的每个联网节点110N、114N、116N、118N、140N用作单一数字身份的分布式分类账,该单一数字身份可以在可通过核心网络访问的所有数据处理环境中使用,其中,需要节点用户的识别,其示例包括例如数据库访问权限、电子支付程序、电子投票程序、电子合同签名和节点保护。
在图4的具体示例中,联网的应用节点140例如是政府办公室的旅行签证申请,其要求申请电子签证的任何连接的用户设备110N、114N、116N、118N的用户的识别。识别可以被示出以通过完整性标识符分类账150来详细考察用户申请的真实性。必须验证要建立的唯一分类账条目401N的组成部分、序列和进程的完整性,并且基于CNAP 101处的基本物理IP地址通过导出针对每个核心网络地址或被分配给节点的其他标识符的数字签名或加密数字而将每个条目编码为公共密钥。
根据本文描述的方法,由CNAP 101执行的核心网络访问授予程序所固有的是:由CNAP 101将每个网络节点110N、114N、116N、118N、140N的唯一参数U参数编码为标识符分类账150中节点各自的分类账记录或条目401N,顺序地将要被授予对所结合的核心网络的访问权限的前一节点110N-1、114N-1、116N-1、118N-1、140N-1的那些相应参数编码为前一节点自己的唯一分类账记录或条目401N-1。将节点的例如MAC、IP地址和/或其他技术标识符的基本事实加密地导出、合成、散列和/或附加到标识符,使得在标识符分类账150上将可见到节点的物理网络协议、套接字地址、端口号或其他基本信息的潜在变化。在替代实施例中,CNAP能力可以检测基本物理环境中的不符合分类账的任何变化,向分类账及其连接的CNAP发出警报,并在自己的系统中执行适当的动作。在检测到泄漏时,可以自动完成此过程和动作。
身份及其通信地址不需要改变,因此在标识符分类账150中记录的交易数量受限,并且在与分布标识符分类账150相关联的网络中的信令相应地受限。当新的身份用新通信地址注册时,当通信地址改变身份时,当用户破坏会导致身份破坏的基本物理特性(例如,退出登录或被其他实体侵入)时,当节点越过网络边界导致提供访问的CNAP和网络地址变化时,或者如果用户改变其CNAP并接收到新IP,或者如果地址被改变(例如,被代理)以伪装个人或组织的身份和/或位置,或者当身份被侵入并且IP由未经授权的用户使用时,会发生变化。
对于基于区块链技术的标识符分类账150的实施例,也在图4中通过附加的每个节点的经编码唯一参数U参数的散列402N进行了展示,由于CNAP 101可分配的核心网络地址数量有限,因此与工作量证明区块链审计相关联的处理开销受限,该核心网络地址数量最高等于分类账150上的身份的准确数量(一个ID可以具有多个IP地址)。此外,由于ID或IP的实际变化与CNAP或其他分类账附加节点相关,因此工作量证明对于直接密钥泄漏功能并不是至关重要的,因为其目的是检测“任何消费”而不仅仅是“重复消费”。
由于所分配的网络地址和识别数据在由CNAP 101记录在标识符分类账150中时与系统相符,因此注册的完整性在其被分发时是不可逆的:从基本物理因子中得到的数据被散列到链中,因此在该数据对附接到分类账的所有节点都不明显的情况下,该数据就不会被泄漏。核心网络中的所有节点和处理单元都可以独立于其他节点和处理单元来处理工作量证明并且不需要一致,因为例如如果通信地址移位,如果通信地址、机器地址或其他标识符的基本物理值相对于利用由CNAP 101锁定到分布式分类账150中信息散列的那些值而变得不准确,则节点的经编码用户标识符或经编码物理因子(例如,MAC、IMEI)中的任何变化或变型总是会销毁分类账记录密钥。具有分类账的访问权限的用户可以是已认证的CNAP,也可以是所有连接的节点、或连接的访问数据库以及必须被立即通知潜在密钥泄漏的其他系统。应注意的是,不必要依赖最长的工作量证明链。首先,CNAP或其他连接节点必须能够接收有关任何泄漏的信息,并根据在密钥泄漏时要采取的预设动作自动做出反应(例如拒绝用户对访问数据库的访问、终止ID和IP对网络的网络连接等)。
本发明的这些方面有助于改进核心网络架构的可扩展性,并在隐私与问责制之间提供最优平衡。
在区块链分类账中,交易被加时间戳并且被散列成经验证为包含准确信息的块。工作量证明要求不能改变,除非其在具有区块链副本的所有连接节点之后和之上的所有被加时间戳的后续块中都被改变。为了防止重复消费并适应对可信第三方的需求,交易顺序通过能够产生最长的链(当用户返回网络时,其被视为工作量证明)的网络所收集的且最佳的计算机处理能力来证明。如果有敌意的行动者控制网络的大部分处理能力,并且能够改变工作量证明并赶上和超越网络的合法处理能力,则链、其序列和注册值都可能变得不正确。
利用本发明的标识符分类账150,联网节点可以永久地见证所有访问和分类账记录活动,并且因此不返回链、也不必要返回链。实际上,实施例考虑不存在块、而只存在在分类账上被连续加时间戳和注册的一系列事件的替代方案。此外,重复消费、以及用户之间的通信地址的交易的确切顺序也不是关键的,因为记录401的第一次变化是连接节点最感兴趣的。在这方面,应该理解,所有变化都可以与控制用户和身份相关,但是为了保护数据库或网络,关键部分是对第一次变化立即作出反应。
因此,这种方法实现了唯一性身份和在核心网络上的每个联网的节点的重复可追溯性和问责制,其中,随时间推移在节点的网络会话期间唯一性分类账记录或条目401N随着被CNAP更新而立即违反分类账的完整性的任何变化可立即被节点自身对分类账150的完整性检查检测到,并自动导致CNAP 101终止网络会话和/或阻止与变化的分类账条目401相关联的节点的流量,或者实际上阻止其他活动,比如由相关CNAP监视网络中的IP地址或身份、或者来自连接节点的其他活动(例如,访问数据库终止用户的访问)。
图5展示了网络架构及其完整性标识符分类账150如何在多个核心网络访问提供商的1011-6上进行扩展,其中,应用1401-N、分布式分类账5001-N、分布式系统1181-N、子网络1161-N都可以使用标识符分类账150和连接的CNAP 1011-6的网络作为用于与多个系统和节点进行互操作的中介。
在图5所示的实施例中,多个CNAP 1011-6用作统一网守,用于控制从作为节点的用户和物110-112-114、系统116-118、数据库120、应用140和其他连接的分类账500到其他类似用户和物110-112-114、系统116-118、数据库120、应用140和其他连接的分类账500的访问。
每个CNAP独立地控制其注册用户及注册用户各自的节点对核心网络的访问,并在标识符分类账150中记录其各自的网络访问授予。由CNAP 1011附加到用户的访问权限可以通过在公共标识符分类账150中进行编码而对其他CNAP2-6透明,从而跟随用户跨越核心网络的分立区域和节点,但是任何节点对核心网络的访问同样可以由任何CNAP 1011-6停止。
一些基于区块链的或其他分布式分类账500分类账、系统118、应用140和分立网络区域116可以通过在CNAP 300中注册、实施和验证的并由其各个模块301至320处理的相应规则集而使每个或所有CNAP 1011-6不可访问,同时维持其在完整性标识符分类账150中强制进行识别并记录识别的共同任务,用于授予和维持网络访问权限或对在CNAP 300中注册和实施的其他系统的权限。
图6是在核心网络访问提供商处执行的、实施本发明的网络架构的方法的实施例的逻辑图。
在步骤601处,CNAP 101考虑来自远程节点(例如,110)的网络访问请求是否未决,该远程节点对包括表示唯一设备标识符(例如,MAC地址或IMEI码)的至少一个参数U参数的各种节点数据进行编码。在肯定的情况下,在步骤602处,CNAP 101处理网络访问请求以进行解码,并且然后将唯一参数U参数与在CNPA 101处注册的节点的所存储唯一参数U参数进行比较。
在步骤603处,CNAP 101考虑该比较是否已返回匹配。在否定的情况下,在步骤604处,CNAP 101将网络访问请求作为未注册节点的第一请求进行处理,并且继续注册该请求节点以存储其唯一参数U参数和唯一用户参数U参数两者以与其相关联。步骤604优选地涉及注册程序,该注册程序要求请求节点110的用户提交识别证明,该证明或其一部分、参考或一方面可以然后被记录为唯一用户参数U参数。
此后,或可替代地,当在步骤603处返回将请求节点110识别为注册节点的匹配时,在步骤605处,CNPA 101将有限可分配核心网络地址池中的下一可用网络地址分配给请求节点110。在步骤606处,CNAP 101将分别分配给节点110的通信地址及其各自的认证参数(包括其注册的唯一参数U参数和注册的唯一用户参数U参数)在标识符分类账150中编码为其中的顺序下一条目。接着,CNAP 101在注册时自动将包含经更新条目的标识符分类账150广播到连接到核心网络的所有节点110N、114N、116N、118N、140N,包括也连接到这些节点的任何其他CNAP 101N。此后,控制返回到步骤601的问题,以便处理下一节点110N、114N、116N、118N的下一访问请求。应注意的是,分类账可以被分发给所有用户,但这不是必需的。其可以只分发给已认证的CNAP。其还可以分发到需要获知ID的实时完整性的其他连接的系统和数据库。重要的是,不同的分类账和系统可以设计对其系统的许可访问权限。它们可以针对用户设置条件,还可以针对谁将获得对分类账的信息的访问权限设置条件(例如,CNAP可以有机会在由系统通过在CNAP 300中实施的数据程序设置的某些条件下授予该CNAP的用户许可访问权限,并且系统也可以具有对分类账的信息的许可访问权限)。
与参考步骤601至607描述的网络访问控制功能和其固有的节点认证并行地,作为核心网络的节点本身,CNAP 101还验证标识符分类账150的完整性以便标识与具有自步骤606的编码以来失效的认证参数的节点相对应的无效分类账记录,并且作为核心网络的网守节点,通过取消对如此标识的任何节点的网络访问来执行完整性。
因此,CNAP 101的第二处理线程与步骤601至607的网络访问控制功能同时运行,其中,在步骤608处询问关于是否已从远程节点接收到包括无效分类账记录的警报的问题。如果答案是否定的,则在步骤609处,CNAP 101例如通过利用已知的工作量证明算法处理经编码的分类账来处理标识符分类账以验证其完整性。有利地,由于可分配核心网络地址的数量有限,因此与步骤609相关联的处理开销相对于(无论是区块链类型还是其他类型的)完整性分类账(其条目的数量不受约束或限制并且众所周知地例如在货币交易的特定领域中在数量上显著非凡地增长)保持相对适度。接着,在步骤610处,询问关于验证步骤是否已经输出无效分类账记录的问题。如果答案是否定的,则控制返回到608的问题,其中,只要尚未接收到远程警报,验证线程就继续不间断地检查标识符分类账150的完整性。应理解的是,任何变化都会立即被以警报通知,并且CNAP基于其关注的用户以及与此用户相关的系统具有对该信息的预设和自动的动作(这些动作和程序在CNAP 300中注册和实施)。
如果接收到远程警报并且肯定地回答步骤608的问题,或可替代地如果在步骤609处CNAP 101在本地标识了无效分类账记录并且肯定地回答步骤610的问题,则在步骤611处,CNAP 101标识节点110N、114N、116N、118N、140N与无效分类账记录相对应,并将该无效分类账记录与最后分配给该节点的核心网络地址进行匹配。如果由于密钥泄漏和分类账的变化(其可以通过基本状态的物理变化来触发)而接收到警报,则可以对CNAP进行编程以立即采取与涉及分类账变化的身份和地址相关的相关动作。例如,CNAP 101可以提取和解码经编码的核心网络地址,将经解码的核心网络地址与节点的注册的唯一参数U参数和唯一的用户参数U参数进行匹配,并将注册的认证参数与编码在分类账记录中的被认定无效的那些参数进行比较,以验证其无效字符。在步骤612处,CNAP 101从节点110解除分配核心网络地址,从而使先前分配的核心网络地址与该节点的注册的唯一参数U参数和唯一用户参数U参数解除关联,其中,该节点与核心网络的连接自动切断,并且其中,解除分配的地址返回到可分配网络地址池,可用于步骤601处的下一请求节点。控制随后返回到步骤608的问题。
图7是在网络中的每个节点110N、114N、116N、118N处执行的实施本发明的网络架构的方法的实施例的逻辑图。每个节点最初需要加电,并且通常在步骤701处配置有包括用于管理其硬件部件的基本数据处理、相互依赖性和互操作性的指令的操作系统,包括用于配置节点以经由最终与路由器131N或基站138N连接的一个或多个相关的接口来进行双向网络通信的数据通信子例程。在步骤702处,节点在CNAP 101处请求核心网络访问权限或对系统的访问权限,并且在请求中至少包括其节点唯一参数U参数。在步骤703处,根据本文描述的步骤601至607,节点在由CNAP 101分配了核心网络地址之后获得对核心网络的访问权限,并从CNAP接收到标识符分类账150的副本。
只要节点保持连接到核心网络,下一例程就随时间推移关于连接到核心网络的其他远程节点来更新节点,并且通过处理标识符分类账以验证其完整性(例如通过使用与CNAP 101相同的已知工作量证明算法处理经编码的分类账)来辅助CNPA 101协同维护标识符分类账150的完整性的任务。
因此在步骤704处询问关于节点是否已经接收到相对于先前在步骤703接收的版本的下一版本的标识符分类账150的问题。如果该问题被否定地回答,则在步骤705处询问关于是否已从远程节点接收到包括无效分类账记录的警报的下一问题。当步骤705的问题被否定地回答时,或者替代地,当前一步骤704的问题被肯定地回答并且已经接收到下一版本的标识符分类账150时,在步骤706处,该节点例如通过利用与在步骤609处CNAP相同的工作量证明算法处理经编码的分类账来处理标识符分类账以验证其顺序完整性。接着,在步骤707处,询问关于验证步骤是否已经输出无效分类账记录的问题。如果答案是否定的,则控制返回到704的问题以检查经更新的标识符分类账150,其中,只要尚未接收到远程警报并且已经接收到标识符分类账150的顺序版本,验证线程就继续不间断地检查标识符分类账150的完整性。
当步骤707的问题被肯定地回答时,或者替代地,当前一步骤705的问题被肯定地回答并且已经接收到警报时,在步骤708处,节点从标识符分类账中标识不匹配的分类账记录,考虑到与编码在分类账中的节点参数的字符、顺序和进程的完整性,在一个实施例中,该步骤可以包括选择相对于其较早迭代或与在分类账的上一次迭代中由CNAP持续监控和检测的核心网络中的实际状态相比具有不匹配的所分配网络地址(或表示该网络地址的数字密钥)的记录。在步骤709处,节点将包括不匹配的分类账记录的警报作为无效分类账记录广播到连接到核心网络的所有节点(因此包括将根据步骤608到612处理该不匹配分类账记录的CNAP 101)。
随后在步骤710处询问关于节点的用户是否已经输入中断命令以便停止操作节点的问题,是以到核心网络的连接模式操作节点还是完全停止操作节点。当步骤707的问题被否定地回答时,控制自动返回到步骤704的问题,从而检查下一版本的标识符分类账150以进行验证。可替代地,步骤707的问题被肯定地回答,并且用户最终可以关闭实施该节点的计算设备。利用在每个连接节点处执行的该方法,有利地,核心网络中的节点可以信任其自己的工作量证明,并且为了检测身份泄漏,每个节点可以依赖于其自己对标识符分类账150的历史、顺序和标识符的评估,而并不需要依赖具有最佳计算机处理能力的远程节点验证的内容,也不需要依赖于其他节点关于分类账的变化是否一致,而是简单地将验证提交给CNAP 101,从而完成其分散的节点变化检测任务。
图8是在网络中的多个核心网络访问提供商处执行的、实施参考图6描述的本发明的网络架构的方法的两个替代实施例的逻辑图,其中,相同的附图标记指代相同的数据处理步骤。这两个实施例构成与参考步骤601至607描述的网络访问控制功能及其固有的节点认证、以及参考步骤608至612描述的无效分类账记录的标识和核心网络地址解除分配同时运行的进一步处理线程。
在第一替代实施例中,在步骤607每次广播下一版本的标识符分类账150之后,在步骤801处询问关于CNAP 101是否已经从网络中的远程节点110N、114N、116N、118N接收到认证请求的问题。如果步骤801的问题被否定地回答,则控制返回到步骤601的节点访问请求问题。可替代地,当步骤801的问题被肯定地回答时,远程节点正在选择要被认证为CNAP101N+1,并且是通过请求接收、投票CNAP 101来征求认证投票的候选CNAP。
在步骤802处,投票CNAP 101查找候选CNAP被预期与其完全接口连接的合格核心网络参数,在示例中为核心网络协议栈的特性301CN。
在步骤803处,投票CNAP 101查找合格的核心网络访问提供商属性attr1,在示例中为如参考CNAP 101的功能模块311CN至320CN所描述的一组预定硬件属性、软件属性、通信属性和一个或多个规则集,并且候选CNAP被预期完全实施和复制这些属性以在网络中执行CNAP的网守作用。确保CNAP符合由CNAP 300中安装的数据程序所设置的系统/分类账条件和功能的验证程序可以是开源的,以确保合规性的透明度。还可以执行用于向用户提供访问权限和对身份泄漏的响应的自动化程序的实时测试。
在步骤804处,投票CNAP 101从候选CNAP获得节点属性attr2,在示例中为候选CNAP的特定硬件属性、软件属性、通信属性和一个或多个规则集3112至3202,并且在下一步骤805处,将这些属性与枚举的核心网络参数301CN和枚举的CNAP属性attr1两者进行比较,以获得合规性和功能身份两者。在另一实施例中,验证过程是基于性能的,并且通过测试新CNAP及其系统的适当功能来实现。
投票CNAP 101在步骤806处根据比较步骤805的输出用公式表示其投票,其中,当候选CNAP的一个或多个属性attr2不匹配合格核心网络参数301CN和合格核心网络访问提供商属性attr1时不输出投票(通过负投票的方式),相反,当候选CNAP的属性attr2完全匹配合格核心网络参数301CN和合格核心网络访问提供商属性attr1时输出正投票。替代实施例可以考虑在步骤805仅输出部分匹配(例如基于相对于可选或较低加权属性而仅匹配了优先或加权属性)时输出正投票。
在正投票时,投票CNAP因此在步骤807处将候选CNAP 101认证为CNAP 101N+1,其中,已认证的CNAP 101N+1然后可以与投票CNAP并行地且合作地执行如本文(特别是本文参考图6)描述的网守功能,从而有效地共享网络访问控制处理开销。在不投票替代方案中,候选CNAP 101保持未认证。
在通过以与第一替代实施例的步骤801至807形成对比的方式在图中以虚线示出的第二替代实施例中,本发明的核心网络中的投票要求被分发到多个CNAP 1011-N之中,其中,候选CNAP 101N+1应从所有投票CNAP 1011-N接收多数票或一致投票,并且每个投票CNAP101应基本上如参考上文的步骤801到807描述的那样执行对候选CNAP 101N+1的认证。
在第一CNAP 101如参考步骤801至807描述地那样认证第二CNAP 101时,可以有用地将该第二替代实施例与上述第一替代实施例组合,其中,核心网络因此包括易于输出关于下一候选第三CNAP 1013的一致投票或分裂投票的至少两个投票CNAP 1011,2。
在该第二替代实施例中,当步骤801的问题被肯定地回答并且已经从网络中的远程节点110N、114N、116N、118N接收到CNAP认证请求时,还询问关于投票要求是否将从对等CNAP接收独立认证投票的问题902。如果步骤902的问题被否定地回答,则控制返回到步骤802到807的序列。
在替代方案中,当步骤902的问题被肯定地回答时,控制被分裂为独立地进行以处理关于请求节点的CNAP自己的投票的步骤802到807的序列和远程投票整理逻辑,并且该远程投票整理逻辑在步骤903处开始于根据核心网络规则集查找适用的投票阈值(例如,预定的最小投票数、或者在多数票的情况下网络中已认证的CNAP 101的数量的一半加一、或者在一致投票的情况下网络中已认证的CNAP 101的总数)。在步骤904处,投票CNAP轮询核心网络以获得每个远程对等CNAP的相应投票决定,从而获得当前投票计数。
当在步骤806处输出投票CNAP 101的独立投票决定时,然后在步骤905处,步骤904的当前投票计数要么在该投票是认证投票时递增CNAP自己的投票,要么递减CNAP的替代性决定以输出不投票。接着,在步骤906处,询问关于步骤905的递增或递减的投票计数是否满足或超过在步骤903处获得的核心网络阈值的问题。如果步骤906的问题被肯定地回答,则控制前进到步骤807,并且投票CNAP因此将候选CNAP 101认证为CNAP 101N+1,其中,已认证的CNAP 101N+1然后可以与所有其他投票CNAP并行地且合作地执行如本文所述的网守和CNPA认证功能,从而更进一步有效地共享网络访问控制处理开销。在替代方案中,当步骤906的问题被否定地回答时,投票CNAP 101向网络上的其对等CNAP广播其投票决定,其中,每个对等CNAP可以在其自己进行步骤904的实例化处处理其自己的投票计数时接收该投票决定。
根据本文所述的数据处理步骤,如果CNAP 101符合适用于CNAP和其用户的网络的技术和行政条件,则其被认证用于操作和给与访问权限或阻止访问网络及其连接的系统。不同的系统针对待认证的CNAP可能需要不同的条件,这可能涉及一个或所有CNAP控制对网络的访问和与其连接的系统的使用的功能和能力,并且可能需要部署所有的CNAP属性以增强、控制和停止网络上的选项、功能和活动。CNAP需要遵从的系统可以是开源系统,其不可逆地集成在分布式分类账上、或由第三方平台或另一个CNAP监督以实现实施过程中的完整性和透明性。代码程序还可以被设计成在任何代码或条件被篡改、添加、删除或重组时通知其他已认证的CNAP。系统可以被设计成用于验证和检查并检测其他节点或系统本身的变化,以在最终认证之前以警报通知系统中的变化。
认证程序的技术合规性有利地使得单个节点或CNAP不可能篡改网络架构和功能。被认证并符合核心网络属性和策略的所有CNAP 101可以根据网络架构规范从标识符分类账和连接到网络的系统获得信息,并且给与对用户节点的访问权限。特定系统的跨越网络执行随着越来越多的CNAP被认证并符合该系统的条件而有利地增加,从而相应地在核心网络上进行扩展。
如果已认证的CNAP 101不符合核心网络属性和规则集,或者如果其用户节点不符合核心网络使用规则集,则其可能会失去其认证,并且相应地失去其提供对一个或多个节点、系统和分类账的访问权限的能力。例如,在存在以下情况时,默认情况下可以自动执行这种解除认证:如果CNAP的属性311至320无法跟踪核心网络属性和规则集的更新,并且因此CNAP本身丢失到核心网络的连接;或者,例如如果标识符分类账中的节点信息也与CNAP标识符相关联,并且当节点的所分配网络地址或用户U参数变得与恶意软件、计算机病毒、垃圾邮件或此类其他恶意网络活动相关联时,则CNAP通过其标识符与节点相关联。
图9和图10展示了根据本发明的在每种情况下都由多个CNAP 1011-N控制的核心网络架构的对应实施例,其中,每个CNAP由通过其地理坐标属性和核心网络规则集的设计分别地理定位到图9的实施例中的欧盟成员国和图10的实施例中的地理大陆。
在任一实施例中,在CNAP处控制请求节点对核心网络的访问包括在CNAP处对节点进行地理定位以确定从节点相对于核心网络边界的距离。该程序可以通过各种技术来实施,比如,通过注册附加节点或用户唯一地理定位参数U参数(x,y);或者例如利用跟踪和搜索模块319来实时地地理定位节点的地理坐标;或者实时估计从请求节点的IP地址或节点的先前分配的核心网络地址得到的节点地理坐标;或者这些技术的任何组合。还可以基于行政信息来注册相关节点地理定位数据(比如,网络的自治系统号、向区域互联网注册机构或其他号码追索组织的注册、或者来自本地电信许可证颁发者的许可证的部分等)。该程序的目的是确定节点存在于处理该节点的访问请求的CNAP的地理范围之内还是之外,以授予或拒绝该访问请求。
因此,本发明提供了用于通过广域网管理对核心网络的访问的方法和系统,其方式为通过使核心网络所连接的用户有资格访问或阻止这些用户访问在核心网络基础设施上运行或附接到核心网络基础设施的不同分类账和系统。这些分类账中的至少一个包括由核心网络访问提供商管理的系统,这些核心网络访问提供商通过符合技术规范并从当前核心网络访问提供商获得预定数量的投票以获得对其认证的批准来获得作为分类账网守的认证。在认证时,如果核心网络访问提供商的用户符合系统的用户规范,则核心网络访问提供商可以授予这些用户对身份分类账的访问权限。因此,本发明使用基础设施、信息网络协议、分布式分类账和连接的计算系统来提供实现保护身份、信息、权限和策略的高效网络设计的架构,该架构包括防止在另外不受控制的环境中对连接的系统进行篡改和其他非法使用的保护机制。
分类账将可识别的技术属性(比如,MAC、IMEI、IP地址和/或网络协议的其他通信地址)与其用户的地址资源(比如从可识别的技术属性(MAC、IMEI等)中得到的公共密钥)的分布式注册合并,使得状态的任何变化在具有分类账的访问权限的所有节点的通信地址后面的身份中立即透明。其他网络、系统、应用、分类账可以与核心网络资格赋予方法和标识符分类账接口连接,并且用户基于一个数字身份与其互操作,其中,该CNAP 101或每个CNAP101和标识符实施用于所有系统和分类账的中介:该架构的核心是将控制基础设施和对其的访问(通过气隙路径、链路层块)的一个或多个CNAP用作预先资格赋予的点和不同分布式系统和分类账的条目,并使用区块链技术的一部分与通信地址系统相结合地将每个这样的条目(设备110至118、数据库120、系统116至118)记录在标识符分类账150中,以便实施防篡改记录和连接节点对所有节点的公开,由此,对节点标识符的任何变化都会立即对所有连接节点变得明显,并通知到所有连接的节点。该标识符分类账150和CNAP系统101可以用作其他系统的基础,并且可以提供其他分类账与系统之间的互操作性。
参考参照图10描述的实施例,这样的分类账和平台的示例可以是全局系统,该全局系统适于根据由权限所有者使用(例如,区块链类型的)分布式分类账设置的算法基于初始工作发布查看权限和副本,其中,权限通过CNAP规则集规范执行,并且其中,通过仅给予在标识符分类账记录上有效的所允许用户访问权限来防止非法查看或复制。与使用CNAP功能的CNAP一起安装的权限系统规范可以防止非法使用并针对其用户在网络上执行权限。因此,本发明的实施例可以用于设计、执行和控制所有类型的行政和商业策略,其中,CNAP101网守对策略和其他监管机构实施的网络系统的访问权限,并且遵从这些网络系统。
例如,可以通过CNAP访问系统直接访问国家货币交易分类账。根据例如本地中央银行的策略,这种货币可以与在货币分类账上登记的数量单位或量单位一起发行,并且数量可以透明地登记在分布式分类账上。货币可以使用基于算法和/或来自外部源的输入来执行货币发行策略的数据程序,并且该数据程序可以在CNAP中实施或与其接口连接。不同的国家、外国或全球应用和分类账(例如,控制不同货币的多个分布式分类账)可以通过标识符分类账150进行互操作,该标识符分类账提供跨所有分类账/货币的安全识别,并且其中来自多个附接系统和分类账的值可以与标识符分类账150上注册的不同身份相关联,并且不可撤销地附加到这些不同身份。监管系统规范可以防止非法交易和/或货币,该规范使用CNAP能力来执行策略并防止用户之间的交易。如果用户具有无效的标识符分类账记录或未被授权和识别,则可以阻止去往和来自这些用户的交易。CNAP可以防止与非法货币相关的信令、通信、链路以及对应用和系统的使用。支付运营商、银行和其他金融组织可以获得对身份分类账150的访问权限,以在用户身份被泄漏时得到通知。
同样,参考图9的示例实施例,可以通过共同认证的协作CNAP1-N在国家和地区管理数字护照,以通过基于指定的访问条件授予和阻止对不同系统和分类账的访问来维护用户隐私和问责制,并且其中,在标识符分类账150中产生的无效记录会引起身份泄漏通知。地理边界也可以通过技术指定,并通过CNAP访问系统拒绝其过境。
这些实施例可以围绕地理定位的数字数据处理系统(比如数据库、系统和网络边界)提供高效的边界。具有对标识符分类账150的访问权限的节点110N、114N、116N、118N可以被赋予具有CNAP能力的自动接口,包括用于削弱被认为构成身份泄漏的节点的通信的网络管理工具。在这样的实施例中,对用户个人信息U参数的要求可以适于系统规范,其中,选择足以维持系统的隐私保护功能的最少量的个人信息。因此,本发明能够提供一种在不必信任第三方的情况下易于检测身份泄漏的系统,这被认为在网络安全领域中和政府之间特别相关。
本发明的网络架构有利地防止在开放WAN的背景下例如经由非法分类账、通过涵盖物理硬件、电路交换网络和CNAP处的所有网络能力的访问和控制程序来篡改核心网络和与其连接的各种节点,其中,所有用户必须遵从与至少访问处理器311和核心网络功能312至320中的一个或多个接口连接的系统规范,这些核心网络功能能够根据系统的条件规范来更改核心网络的功能和可能的使用。
本发明的实施例可以利用用于一个或多个处理器或处理单元的指令在一个或多个非暂态计算机可读介质上编码,以使得步骤被执行。应注意的是,一个或多个非暂态计算机可读介质应包括易失性存储器和非易失性存储器。应注意的是,替代实施方式是可能的,包括硬件实施方式、软件实施方式或软件/硬件实施方式。可以使用(多个)ASIC、可编程阵列、数字信号处理电路系统等来实现硬件实施的功能。因此,任何权利要求中的“装置(means)”术语旨在涵盖软件实施方式和硬件实施方式。类似地,如本文使用的术语“一个或多个计算机可读介质(computer-readable medium ormedia)”包括具有在其上实施的指令的程序的软件和/或硬件、或其组合。考虑到这些实施方式的替代方案,应理解的是,附图和所附的描述提供了本领域技术人员编写程序代码(即,软件)和/或制造电路(即,硬件)以执行所需的处理所需的功能信息。
应注意的是,本发明的实施例可以进一步涉及具有非暂态有形计算机可读介质的计算机产品,该计算机产品上具有用于执行各种计算机实施的操作的计算机代码。介质和计算机代码可以是为本发明的目的而专门设计和构造的代码,或者它们可以是相关领域的技术人员已知或可获得的类型。有形计算机可读介质的示例包括但不限于:磁性介质,比如硬盘、软盘和磁带;光学介质,比如CD-ROM和全息设备;磁光介质;以及专门配置用于存储或用于存储并执行程序代码的硬件设备,比如专用集成电路(ASIC)、可编程逻辑器件(PLD)、闪存设备以及ROM和RAM设备。计算机代码的示例包括比如由编译器产生的机器代码,以及包含由计算机使用解释器执行的更高级代码的文件。本发明的实施例可以全部或部分地实施为可以在由处理设备执行的程序模块中的机器可执行指令。程序模块的示例包括库、程序、例程、对象、部件和数据结构。在分布式计算环境中,程序模块可以物理地位于本地、远程或两者的设置中。本发明的所有方面可以虚拟地并且在应用层上实施。本发明可以使用任何类型的数据处理和通信技术来服务实施本发明的发明原理的目的。
本领域技术人员将认识到,任何计算系统或编程语言对于本发明的实践都不是关键的。本领域技术人员还将认识到,上文描述的多个要素可以在物理上和/或功能上分成子模块或组合在一起。
在本说明书中,术语“包括(comprise)、包括(comprises)、包括(comprised)和包括(comprising)”或其任何变体以及术语“包含(include)、包含(includes)、包含(included)和包含(including)”或其任何变体被认为是完全可互换的,并且它们应该都被提供尽可能最广泛的解释,并且反之亦然。
本发明不限于上文所述的实施例,而是可以在结构和细节两者上变化。
Claims (14)
1.一种向网络的每个节点提供对所述网络和/或对连接到所述网络的其他节点和系统的访问的计算机实施的方法,其中,所述网络包括至少一个包括多个层的协议栈,所述方法包括以下步骤:
由至少一个核心网络访问提供商控制对所述协议栈中的每一层的网络的实时访问和其上的活动,其中,所述核心网络访问提供商包括至少一个数字和/或物理实体;
在所述核心网络访问提供商处顺序地向所述访问请求节点或每个访问请求节点分配网络通信地址;
在所述核心网络访问提供商处将所分配的网络通信地址与所述节点的唯一参数和节点用户的唯一参数一起编码在完整性标识符分类账中;
将所述完整性标识符分类账实时分发到每个联网节点;
在每个联网节点或一个或多个已认证的节点处接收所述分布式标识符分类账并处理所述分布式标识符分类账,以验证其顺序、身份因子和进程完整性;
在确定所述分类账丢失完整性时,标识导致所述丢失的分类账记录并向每个联网节点或一个或多个已认证的节点广播包括所标识的分类账记录的警报;以及
在标识导致丢失完整性的分类账记录或在所述核心网络访问提供商处接收到警报时,取消或控制具有与所标识的分类账记录相对应的标识符的节点对所述网络、系统或分类账的访问。
2.根据权利要求1所述的方法,其中,所述顺序地分配所述网络通信地址的步骤进一步包括:将数据结构或设备的至少一个唯一参数和/或数据处理设备用户的至少一个唯一参数与一个或多个预定访问参数进行匹配。
3.根据权利要求2所述的方法,其中,所述预定访问参数或每个预定访问参数选自包括以下各项的组:全球定位系统(GPS)坐标、网络接口连接点的地理坐标、由区域互联网注册管理机构(RIR)发布的IP地址或自治系统编号、由应用服务提供商(ASP)发布的会话密钥或授权令牌。
4.根据权利要求1或2所述的方法,其中,所述编码步骤进一步包括对经编码的网络通信地址、节点唯一参数和节点用户唯一参数进行散列,并且其中,所述完整性标识符分类账是区块链数据结构。
5.根据权利要求1至4所述的方法,其中,所述编码步骤进一步包括将所分配的网络通信地址处理成数字签名或数字密钥。
6.根据权利要求1至5所述的方法,包括以下进一步的步骤:根据如下列表来将至少一个联网节点认证为第二核心网络访问提供商:选自硬件属性、软件属性、通信属性和规则集的预定核心网络访问提供商属性的列表。
7.根据权利要求6所述的方法,其中,在包括多个核心网络访问提供商的网络上,将联网节点认证为另一核心网络访问提供商的步骤进一步包括进行投票以在所述多个核心网络访问提供商中的每一个处认证节点的步骤。
8.根据权利要求6或7所述的方法,包括以下进一步的步骤:对每个核心网络访问提供商进行地理定位。
9.根据权利要求6至8所述的方法,包括以下进一步的步骤:当核心网络访问提供商未能维持预定核心网络访问提供商属性的所述列表中的一个或多个属性时,解除对所述核心网络访问提供商的认证。
10.一种系统,包括:
至少一个协议栈,所述至少一个协议栈包括多个层;
至少一个核心网络访问提供商,所述至少一个核心网络访问提供商可操作地与所述协议栈中的每一层接口连接,并且被配置用于接收附接到网络的系统、子网和分类账上的信息,并用于控制节点对所述网络的实时访问以及所述节点在所述网络上的活动,其中,所述核心网络访问提供商包括至少一个数字和/或物理实体;
一个或多个节点,所述一个或多个节点连接到所述网络,其中,在所述节点或每个节点请求网络访问时,所述核心网络访问提供商顺序地向所述节点或每个节点分配网络通信地址;以及
完整性标识符分类账,所述完整性标识符分类账针对每个节点包括所分配的网络通信地址,所分配的网络通信地址与所述节点的唯一参数和节点用户的唯一参数一起编码在所述完整性标识符分类账中,其中,所述完整性标识符分类账被实时分发到每个联网节点;
其中,所述核心网络访问提供商或每个核心网络访问提供商和每个节点进一步被配置用于:处理接收到的分类账以验证其完整性
标识导致丢失完整性的分类账记录
在所述网络上广播包括所标识的分类账记录的警报,并且
其中,所述核心网络访问提供商或每个核心网络访问提供商进一步被配置用于取消或控制具有与所标识的分类账记录相对应的所述网络通信地址的节点对所述网络的访问。
11.如权利要求10所述的系统,其中,所述核心网络访问提供商或每个核心网络访问提供商进一步被配置用于验证每个节点用户的一个或多个唯一参数的准确性,并且其中,可由所述网络中的所述核心网络访问提供商或每个核心网络访问提供商分配的网络通信地址的最大数量等于已在所述核心网络访问提供商或每个核心网络访问提供商处验证的身份的数量。
12.如权利要求10或11所述的系统,其中,所述核心网络访问提供商或每个核心网络访问提供商进一步被配置用于将分配给节点的每个网络通信地址处理成数字签名或数字密钥。
13.如权利要求10至12所述的系统,其中,节点的所述唯一参数或每个唯一参数选自包括以下各项的组:媒体访问控制(MAC)地址、国际移动设备识别(IMEI)码、移动设备标识符(MEID)码、电子序列号(ESN)、Android_ID十六进制字符串。
14.如权利要求10至12所述的系统,其中,节点用户的所述唯一参数或每个唯一参数选自包括以下各项的组全球定位系统(GPS)坐标、生物特征数据、个人识别号(PIN)、密码、护照序列号、通用唯一标识符(UUID)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310903948.7A CN116938558A (zh) | 2017-03-09 | 2018-03-08 | 向网络的每个节点提供访问的计算机实施方法和核心网络访问系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17160170.1 | 2017-03-09 | ||
| EP17160170 | 2017-03-09 | ||
| PCT/EP2018/055846 WO2018162687A1 (en) | 2017-03-09 | 2018-03-08 | Core network access provider |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310903948.7A Division CN116938558A (zh) | 2017-03-09 | 2018-03-08 | 向网络的每个节点提供访问的计算机实施方法和核心网络访问系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110622490A true CN110622490A (zh) | 2019-12-27 |
Family
ID=58347085
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310903948.7A Pending CN116938558A (zh) | 2017-03-09 | 2018-03-08 | 向网络的每个节点提供访问的计算机实施方法和核心网络访问系统 |
| CN201880030967.0A Pending CN110622490A (zh) | 2017-03-09 | 2018-03-08 | 核心网络访问提供商 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310903948.7A Pending CN116938558A (zh) | 2017-03-09 | 2018-03-08 | 向网络的每个节点提供访问的计算机实施方法和核心网络访问系统 |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US11438338B2 (zh) |
| EP (1) | EP3593519B1 (zh) |
| JP (1) | JP7162350B2 (zh) |
| KR (1) | KR102571829B1 (zh) |
| CN (2) | CN116938558A (zh) |
| AU (1) | AU2018232853B2 (zh) |
| BR (1) | BR112019018544A2 (zh) |
| CA (1) | CA3055428A1 (zh) |
| ES (1) | ES2887378T3 (zh) |
| IL (1) | IL269177B (zh) |
| MX (1) | MX2019010625A (zh) |
| RU (1) | RU2765567C2 (zh) |
| WO (1) | WO2018162687A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112101963A (zh) * | 2020-09-17 | 2020-12-18 | 中国信息通信研究院 | 一种防伪设备及实现防伪的分布式标识解析系统 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112166619A (zh) * | 2018-04-16 | 2021-01-01 | 斯洛克It有限公司 | 使用最小检验客户端的去信任、无状态激励远程节点网络 |
| US11544782B2 (en) | 2018-05-06 | 2023-01-03 | Strong Force TX Portfolio 2018, LLC | System and method of a smart contract and distributed ledger platform with blockchain custody service |
| US11669914B2 (en) | 2018-05-06 | 2023-06-06 | Strong Force TX Portfolio 2018, LLC | Adaptive intelligence and shared infrastructure lending transaction enablement platform responsive to crowd sourced information |
| AU2019267454A1 (en) | 2018-05-06 | 2021-01-07 | Strong Force TX Portfolio 2018, LLC | Methods and systems for improving machines and systems that automate execution of distributed ledger and other transactions in spot and forward markets for energy, compute, storage and other resources |
| US11550299B2 (en) | 2020-02-03 | 2023-01-10 | Strong Force TX Portfolio 2018, LLC | Automated robotic process selection and configuration |
| US10409783B1 (en) | 2018-06-06 | 2019-09-10 | Capital One Services, Llc | Distributed work data management |
| DE102018208962A1 (de) * | 2018-06-06 | 2019-12-12 | Siemens Mobility GmbH | Verfahren und System zum fehlerkorrigierenden Übertragen eines Datensatzes über eine unidirektionale Kommunikationseinheit |
| WO2020068027A1 (ru) * | 2018-09-25 | 2020-04-02 | Дмитрий Валерьевич ХАЧАТУРОВ | Система и способ сбора, обработки, хранения и передачи цифровых данных |
| US10951615B1 (en) | 2018-10-16 | 2021-03-16 | Sprint Communications Company L.P. | Wireless network access for data appliances |
| US10986500B1 (en) | 2018-11-06 | 2021-04-20 | Sprint Communications Company L.P. | Hardware-trusted ledger client for distributed ledgers that serve wireless network slices |
| US11895223B2 (en) * | 2019-02-06 | 2024-02-06 | International Business Machines Corporation | Cross-chain validation |
| US11729078B2 (en) * | 2019-03-21 | 2023-08-15 | Rheinisch-Westfälische Technische Hochschule (Rwth) Aachen | Method and devices for a load allocation and monitoring for a supply security-critical resource to be allocated in a network |
| CN112241888B (zh) * | 2019-07-19 | 2024-03-26 | 傲为有限公司 | 基于公链的地址管理系统 |
| JPWO2021039453A1 (zh) * | 2019-08-29 | 2021-03-04 | ||
| US11929163B1 (en) | 2020-10-16 | 2024-03-12 | Express Scripts Strategic Development, Inc. | Automated device efficacy determination systems for health monitoring devices |
| US11515035B1 (en) | 2020-10-16 | 2022-11-29 | Express Scripts Strategic Development, Inc. | Automated device efficacy determination systems for health monitoring devices |
| WO2023281517A1 (en) * | 2021-07-05 | 2023-01-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Monitoring wireless devices in a communication network |
| CN113905411B (zh) * | 2021-10-28 | 2023-05-02 | 中国联合网络通信集团有限公司 | 深度包检测识别规则的检测方法、装置、设备及存储介质 |
| US11799826B1 (en) * | 2021-11-24 | 2023-10-24 | Amazon Technologies, Inc. | Managing the usage of internet protocol (IP) addresses for computing resource networks |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
| WO2013105863A1 (en) * | 2012-01-10 | 2013-07-18 | Gulbrandsen Magnus Skraastad | System and method related to drm |
| GB201604789D0 (en) * | 2016-03-22 | 2016-05-04 | Bitcred Ltd | Methods for creating and verifying an electronic user identity |
| US20160283920A1 (en) * | 2015-03-28 | 2016-09-29 | Justin Fisher | Authentication and verification of digital data utilizing blockchain technology |
| CN106357405A (zh) * | 2016-09-19 | 2017-01-25 | 弗洛格(武汉)信息科技有限公司 | 一种基于区块链技术一致性算法的数据管理方法及系统 |
| US20170048235A1 (en) * | 2015-07-14 | 2017-02-16 | Fmr Llc | Crypto Captcha and Social Aggregating, Fractionally Efficient Transfer Guidance, Conditional Triggered Transaction, Datastructures, Apparatuses, Methods and Systems |
| CN106452785A (zh) * | 2016-09-29 | 2017-02-22 | 财付通支付科技有限公司 | 区块链网络、分支节点及区块链网络应用方法 |
| CN106487801A (zh) * | 2016-11-03 | 2017-03-08 | 江苏通付盾科技有限公司 | 基于区块链的信息验证方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2281599T3 (es) * | 2003-06-26 | 2007-10-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable. |
| US7997485B2 (en) * | 2006-06-29 | 2011-08-16 | Microsoft Corporation | Content presentation based on user preferences |
| JP2008305188A (ja) * | 2007-06-07 | 2008-12-18 | Softbank Telecom Corp | ネットワークシステム、認証局設定方法、及び認証局設定プログラム |
| SI22941A (sl) * | 2008-12-19 | 2010-06-30 | ISKRATEL@@d@o@o@@@Kranj | Postopek za izvedbo večponudniškega multikast članstva |
| WO2015002545A1 (en) * | 2013-07-05 | 2015-01-08 | Sgx As | Method and system related to authentication of users for accessing data networks |
-
2018
- 2018-03-08 WO PCT/EP2018/055846 patent/WO2018162687A1/en unknown
- 2018-03-08 CN CN202310903948.7A patent/CN116938558A/zh active Pending
- 2018-03-08 CN CN201880030967.0A patent/CN110622490A/zh active Pending
- 2018-03-08 JP JP2019571103A patent/JP7162350B2/ja active Active
- 2018-03-08 US US16/491,843 patent/US11438338B2/en active Active
- 2018-03-08 BR BR112019018544A patent/BR112019018544A2/pt not_active Application Discontinuation
- 2018-03-08 EP EP18713812.8A patent/EP3593519B1/en active Active
- 2018-03-08 CA CA3055428A patent/CA3055428A1/en active Pending
- 2018-03-08 ES ES18713812T patent/ES2887378T3/es active Active
- 2018-03-08 MX MX2019010625A patent/MX2019010625A/es unknown
- 2018-03-08 AU AU2018232853A patent/AU2018232853B2/en active Active
- 2018-03-08 KR KR1020197029654A patent/KR102571829B1/ko active IP Right Grant
- 2018-03-08 RU RU2019131257A patent/RU2765567C2/ru active
-
2019
- 2019-09-08 IL IL269177A patent/IL269177B/en unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
| WO2013105863A1 (en) * | 2012-01-10 | 2013-07-18 | Gulbrandsen Magnus Skraastad | System and method related to drm |
| US20160283920A1 (en) * | 2015-03-28 | 2016-09-29 | Justin Fisher | Authentication and verification of digital data utilizing blockchain technology |
| US20170048235A1 (en) * | 2015-07-14 | 2017-02-16 | Fmr Llc | Crypto Captcha and Social Aggregating, Fractionally Efficient Transfer Guidance, Conditional Triggered Transaction, Datastructures, Apparatuses, Methods and Systems |
| GB201604789D0 (en) * | 2016-03-22 | 2016-05-04 | Bitcred Ltd | Methods for creating and verifying an electronic user identity |
| CN106357405A (zh) * | 2016-09-19 | 2017-01-25 | 弗洛格(武汉)信息科技有限公司 | 一种基于区块链技术一致性算法的数据管理方法及系统 |
| CN106452785A (zh) * | 2016-09-29 | 2017-02-22 | 财付通支付科技有限公司 | 区块链网络、分支节点及区块链网络应用方法 |
| CN106487801A (zh) * | 2016-11-03 | 2017-03-08 | 江苏通付盾科技有限公司 | 基于区块链的信息验证方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112101963A (zh) * | 2020-09-17 | 2020-12-18 | 中国信息通信研究院 | 一种防伪设备及实现防伪的分布式标识解析系统 |
| CN112101963B (zh) * | 2020-09-17 | 2024-02-27 | 中国信息通信研究院 | 一种防伪设备及实现防伪的分布式标识解析系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020516202A (ja) | 2020-05-28 |
| JP7162350B2 (ja) | 2022-10-28 |
| EP3593519A1 (en) | 2020-01-15 |
| KR102571829B1 (ko) | 2023-08-28 |
| RU2019131257A3 (zh) | 2021-08-03 |
| KR20190136011A (ko) | 2019-12-09 |
| CA3055428A1 (en) | 2018-09-13 |
| IL269177B (en) | 2022-03-01 |
| CN116938558A (zh) | 2023-10-24 |
| AU2018232853B2 (en) | 2023-02-02 |
| ES2887378T3 (es) | 2021-12-22 |
| EP3593519B1 (en) | 2021-05-05 |
| MX2019010625A (es) | 2019-12-19 |
| US20200412731A1 (en) | 2020-12-31 |
| RU2019131257A (ru) | 2021-04-10 |
| US11438338B2 (en) | 2022-09-06 |
| RU2765567C2 (ru) | 2022-02-01 |
| IL269177A (en) | 2019-11-28 |
| WO2018162687A1 (en) | 2018-09-13 |
| AU2018232853A1 (en) | 2019-10-17 |
| BR112019018544A2 (pt) | 2020-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438338B2 (en) | Core network access provider | |
| US11134058B1 (en) | Network traffic inspection | |
| Shammar et al. | A survey of IoT and blockchain integration: Security perspective | |
| US8769068B2 (en) | System and method for policy based management for a high security MANET | |
| Kouzinopoulos et al. | Using blockchains to strengthen the security of internet of things | |
| WO2019033116A1 (en) | SYSTEMS AND METHODS FOR RIGHTS CONTROL OF NETWORK CONNECTED DEVICES OR IOT DEVICES USING INFORMATION STORED IN A DISTRIBUTED REGISTER | |
| Borky et al. | Protecting information with cybersecurity | |
| KR20130085472A (ko) | 클라우드 컴퓨팅 서비스에서의 보안 시스템 | |
| Rashid et al. | RC-AAM: blockchain-enabled decentralized role-centric authentication and access management for distributed organizations | |
| WO2016134482A1 (en) | License management for device management system | |
| Chaudhry et al. | Zero‐trust‐based security model against data breaches in the banking sector: A blockchain consensus algorithm | |
| Musonda et al. | Security, Privacy and Integrity in Internet of Things–A Review | |
| Boussard et al. | A process for generating concrete architectures | |
| Alkhresheh | Dynamic Access Control Framework for Internet of Things | |
| Sabbari et al. | A security model and its strategies for web services | |
| Hameed et al. | A Blockchain-based Decentralised and Dynamic Authorisation Scheme for the Internet of Things | |
| Yaici et al. | Context-Aware Trust-Based Access Control for Ubiquitous Systems | |
| Egala et al. | Access Control and Authentication in IoT | |
| Olsson et al. | 5G zero trust–A Zero-Trust Architecture for Telecom | |
| Wong et al. | Emerging issues and challenges for cloud data at the edge | |
| Rudra et al. | Exploration of access control mechanisms for service-oriented network architecture | |
| Al Barakati | An Ownership-based IoT Security Model Using Blockchain. | |
| Partanen et al. | Device life cycle management requirements for identity and access management in the factory of future environment | |
| Sharma | Security model of ad hoc cloud computing | |
| Nordbotten | Cross-domain access control in a military SOA |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191227 |
|
| RJ01 | Rejection of invention patent application after publication |