CN110679113B - 使用区块链进行访问控制的工业网络以及访问控制方法 - Google Patents
使用区块链进行访问控制的工业网络以及访问控制方法 Download PDFInfo
- Publication number
- CN110679113B CN110679113B CN201780091408.6A CN201780091408A CN110679113B CN 110679113 B CN110679113 B CN 110679113B CN 201780091408 A CN201780091408 A CN 201780091408A CN 110679113 B CN110679113 B CN 110679113B
- Authority
- CN
- China
- Prior art keywords
- network
- trusted
- transaction
- connection
- industrial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Abstract
用于现场自动化的工业网络包括多个网络节点,所述多个网络节点被配置成:托管存储多个经确认的事务的区块链,交换未确认的事务,仅当在所述多个网络节点之间达成共识时,将未确认的事务作为已确认的事务中的已确认的事务添加到区块链。所述多个网络节点包括工业网络的可信骨干网,并且由区块链存储的经确认的事务包括由可信骨干网授权的经确认的连接事务,所述经确认的连接事务指示连接设备并且描述该连接设备访问工业网络的权利。进一步地,提出了一种访问控制方法。
Description
技术领域
本发明涉及一种包括多个网络节点的工业网络及其访问控制方法。本发明的领域是工业现场自动化。
背景技术
用于现场自动化的工业网络通常使用如以太网之类的工业标准连接来互连多个控制单元。工业网络可以覆盖其中不可能实现物理访问控制的大区域。因此,入侵者可能很容易到达远程位置并将便携式计算机加入到工业网络。期望执行计算访问控制以防止入侵者获得对工业网络的访问,但是允许合法的维护设备在远程位置处加入工业网络。这常规地可以使用虚拟私人网络(VPN)来实现。然而,一旦入侵者设法进入VPN,则该入侵者将具有对网络的完全访问。一旦发生这种情况,就很难知道入侵者损害了哪些控制单元。此外,可以使用集中式认证数据库来实现基于凭证(credential)的访问。然而,在这种情况下,如果由于网络错误而暂时丢失了与集中式认证数据库的连接,则可能无法在远程位置处连接合法的维护设备来进行诊断。
发明内容
本发明的目的是提供用于工业网络的安全且有弹性的访问控制。
根据第一方面,工业网络包括多个网络节点。该多个网络节点互连并且被配置成托管区块链。区块链是分布式无许可的可信数据库,其被配置成存储多个经确认的事务。该多个网络节点进一步被配置成在彼此之间交换未确认的事务,并且仅在由区块链的共识协议确定的共识在该多个网络节点之间达成的条件下,将未确认的事务作为该多个经确认的事务中的经确认的事务添加到区块链。该多个网络节点进一步包括形成工业网络的可信骨干网的多个可信网络节点。由区块链存储的经确认的事务包括由可信骨干网授权的经确认的连接事务,该经确认的连接事务指示连接设备并且描述该连接设备访问工业网络的权利。
如本文所使用的“网络节点”可以指代被配置成参与区块链的托管的任何单元。网络节点可以体现在软件和/或硬件中。特别地,可以使用例如工业网络的控制单元、嵌入式设备、个人计算机设备、服务器计算机设备或专用集成电路设备来实现网络节点。每个相应的单元或设备可以实现一个或多个网络节点。
可以使用任何合适的连接技术(如例如以太网、现场总线(Fieldbus)、EtherCAT、Wi-Fi、蓝牙)、以及在任何合适的拓扑结构(包括星形拓扑结构、线形拓扑结构、网状拓扑结构或随机拓扑结构)中将多个网络节点互连。
如本文所使用的“事务”可以指代任何数据序列。换句话说,事务的语义取决于在参考事务的内容时网络节点如何解释该事务。特别地,在下文中,将描述存储在区块链中的事务的不同可能的语义。
如果事务被区块链存储,则该事务被称为“经确认的事务”;并且如果事务没有或尚未被区块链存储,则该事务被称为“未确认的事务”。
多个网络节点可以以对等方式在彼此之间交换未确认的事务,其中该多个网络节点中的每一个都知道如何到达至少一个另外的网络节点,但是可能不知道如何到达所有的该多个网络节点。未确认的事务可以从网络节点传递到网络节点,直到它最终在整个网络上传播为止。
区块链是分布式无许可的可信数据库。区块链可以将多个经确认的事务存储为链接的块链,每个块包括该多个经确认的事务中的至少一个。区块链可以分布在多个网络节点上,即,例如,多个网络主机可以通过该多个网络主机中的每一个来托管区块链,该多个网络主机将链接的块链的副本存储在每个网络主机中包括的存储装置中。在不需要凭证(如用户名和密码)以便从区块链读取事务或向区块链添加事务的意义上来说,区块链可能是无许可的。
可以配置区块链的共识协议,使得将在多个网络节点之间交换的未确认的事务添加到存储在区块链中的多个经确认的事务需要分配、使用或花费大量计算资源,从而使得入侵者难以将恶意事务引入区块链中。如本文所使用的计算资源可以是例如计算能力、存储空间、类似物。
特别地,可以配置共识协议,使得使用恶意网络节点并且试图将恶意的未确认的事务添加到区块链中和/或操纵由区块链存储的现有经确认的事务的入侵者将必须分配、使用或花费类似或更高量的计算资源,作为参与达成共识的所有合法网络节点的组合计算资源,以便使多个网络节点达成将恶意的未确认的事务作为经确认的事务添加到区块链的共识。共识协议因此可以被视为对由区块链构成的分布式数据库所存储的事务内容的信任的来源,尽管在至少一些网络节点中不存在信任。
换句话说,即使工业网络在多个网络节点当中包括已经通过入侵者加入网络的至少一个恶意网络节点,但区块链仍可能能够用作可信数据库。
区块链存储的经确认的事务包括经确认的连接事务。本文中的术语“连接事务”用于描述具有特定语义的事务,即,包括指示连接设备并且描述该连接设备访问工业网络的权利的数据的事务。
本文中的连接设备可以指代试图加入并访问工业网络的任何设备。例如,连接设备可以是试图访问由工业网络提供的资源的设备。例如,连接设备可以是由维护操作者操作的便携式计算机。维护操作者可以在远程位置处将便携式用户加入到工业网络,并使用它来尝试获得对工业网络的远程控制单元的访问。
通过在区块链中存储指示连接设备并且描述该连接设备访问工业网络的权利的数据,任何网络节点都能够参考区块链,以便确定试图访问网络节点提供的资源的连接设备是否已被授予这样做的权利。即,例如,工业网络的远程控制单元可以包括如下网络节点:该网络节点被配置成参考区块链来确定该便携式计算机是否是合法的维护设备。
以这种方式,根据第一方面的工业网络能够基于存储在区块链中的经确认的连接事务的内容来实现计算访问控制。如上所指出,尽管在工业网络的任何特定网络节点中都不存在信任,但区块链还是可信的数据库。即,即使一个或多个恶意网络节点连接到工业网络,但存储在区块链中的连接事务还是可信的并且被保护以免受操纵。因此改进了对由工业网络提供的资源的计算访问控制的安全性。
根据第一方面的工业网络进一步包括由多个可信网络节点组成的可信骨干网。可信网络节点可以是位于一个或多个区域(诸如,一个或多个安全室)中的可以使用物理访问控制来保护的网络节点,和/或仅对工业网络的可信操作者可访问的节点。
可信骨干网可用于决定向哪些连接设备授予对工业网络的访问。换句话说,可信骨干网可以被配置成创建连接事务。即,由可信骨干网做出的决定可以通过存储在区块链中的经确认的连接事务而被表示在区块链中。存储在区块链中的经确认的连接事务由可信骨干网授权。即,经确认的连接事务可以包括由可信骨干网创建的授权数据,作为经确认的连接事务合法的证明。
工业网络的所有者或操作者可以有利地使用可信骨干网,以保持对授予哪些连接设备访问工业网络的权利的控制,而同时利用区块链作为分布式无许可的可信数据库的益处。
根据一实施例,区块链可以将多个经确认的事务存储为块链,其中块链中的每个块包括一个或多个经确认的事务、该块所包括的经确认的事务的哈希值、以及参考回到块链的前一个块的参考值,从而形成块链。
参考回到块链的前一个块的参考值可以是块链的前一个块所包括的整个数据的哈希值。
该块所包括的经确认的事务的哈希值可以是该块所包括的每个经确认的事务的哈希值或哈希值的默克尔树的默克尔根。在一些实施例中,该块所包括的经确认的事务的哈希值可以是该块的每个经确认的事务的哈希值列表中的哈希值,或者是该块的每个经确认的事务的串联(concatenation)的哈希值。
例如,每个哈希值可以是通过将哈希函数应用于序列数据而计算出的值。可以选择哈希函数,使得为给定的一组序列数据计算哈希值在计算上是容易的,但是为给定的哈希值计算数据序列在计算上是困难的。哈希函数可以选自以下各项之一:SHA-1、SHA-2、SHA-3、SHA256、SHA256d和Keecak函数。
多个网络节点可以被配置成将未确认的事务添加到区块链,这是通过将包括多个未确认的事务(包括该未确认的事务)的候选块附加到块链而进行的,由此该候选块成为该块链中的块,并且该候选块所包括的未确认的事务成为多个经确认的事务中的经确认的事务。
将未确认的事务作为经确认的事务添加到区块链的共识可以是将包括多个未确认的事务(包括该未确认的事务)的候选块附加到块链的共识。
根据区块链的共识协议将候选块附加到块链的共识可以通过以下方式来实现:多个网络节点中的每一个可以本地存储一个或多个本地块链,其中,相应的网络节点将本地块链之一视为区块链的块链的真实表示。多个网络节点中的至少一些可以是被配置成从多个未确认的事务形成候选块的挖矿(mining)网络节点。多个网络节点可以被配置成在彼此之间交换候选块。多个网络节点中的每一个可以被配置成仅在如下情况时将所交换的候选块添加到一个或多个本地块链中的相应本地块链:仅在所交换的候选块包括工作证明时,该工作证明是在形成所交换的候选块时由已经形成所交换的候选块的挖矿网络节点所分配、使用或花费的资源的证明;以及仅在所交换的候选块的参考值要么参考回到相应本地块链的最后一个块时,在这种情况下,所交换的候选块被附加到相应本地块链以成为相应本地块链的新的最后一个块;要么仅在所交换的候选块的参考值参考回到相应本地块链中的不是该相应本地块链的最后一个块的任何其他块时,在这种情况下,该相应本地块链被分叉,从而创建另外的本地块链,并且所交换的候选块被附加到该另外的本地块链,以成为该另外的本地块链的新的最后一个块。对于多个网络节点中的每一个,如果存在多个本地块链,则可以将多个本地块链中的最长的本地块链视为区块链的块链的真实表示,并且多个本地块链中的任何其他本地块链可以被丢弃。
在一些变型中,工作证明可以是候选块所包括的并且被选择为使得候选块的哈希值小于预定阈值的任意随机数值。
应当领会的是,由于哈希函数的性质,选择适当的随机数值在计算上是困难的,并且将需要诸如处理能力和时间之类的计算资源。
在一些变型中,可能不需要所交换的候选块包括工作证明,并且可以确定在形成所交换的候选块时由已经形成所交换的候选块的挖矿网络节点所分配、使用或花费的资源量,而不是使用权益证明(proof-of-stake)、燃烧证明、活动证明或抽奖证明(proof-of-raffle)方法。
通过仅将最长的块链视为区块链的真实表示,其中每个块都包括工作证明或所分配、使用或花费的计算资源的其他证明,对于要操纵存储在区块链中的经确认的事务中的数据和/或向区块链添加新的恶意事务的恶意入侵者而言,这在必须被分配、使用或花费的计算能力和/或其他计算资源方面变得极其困难。
此外,由于相应的网络节点存储本地块链,因此即使发生暂时的网络连接丢失,区块链也是有弹性的。当连接设备连接到工业网络中的远程网络节点时,该远程网络节点可以参考最长的本地块链,以便确定其是否包括描述该连接设备访问工业网络的权利的经确认的连接事务,即使一些或全部的网络连接已经暂时丢失亦如此。
根据进一步的实施例,未确认的事务是未确认的连接事务,可信骨干网被配置成对未确认的连接事务进行授权,并且该多个网络节点进一步被配置成:仅在未确认的连接事务由可信骨干网授权的条件下,达成将未确认的连接事务作为多个经确认的事务中的经确认的连接事务添加到区块链的共识。
共识协议可能需要任何未确认的事务满足一定的有效性标准,以便将其作为多个经确认的事务中的经确认的事务而添加到区块链。有效性标准可以取决于相应事务的语义。如果未确认的事务是未确认的连接事务,则根据本实施例,用于添加未确认的连接事务的有效性标准可以是:未确认的连接事务应由可信骨干网授权。即,可能需要未确认的连接事务包括由可信骨干网的可信网络节点创建的授权信息。
以这种方式,即使恶意网络节点与多个网络节点交换了恶意的未确认的连接事务,没有被可信骨干网授权的恶意的未确认的连接事务、至少多个网络节点中的非恶意网络节点也将遵守共识协议,并且不会将恶意的未确认的连接事务添加到区块链。因此,进一步改进了由工业网络实现的计算访问控制的安全性。
可信骨干网可以被配置成:仅在未确认的连接事务已经由可信骨干网的节点发起时对该未确认的连接事务进行授权。例如,任何可信网络节点都只能对已经由相应节点发起的未确认的连接事务进行授权。以这种方式,确保了只有可信网络节点才能够创建有效的未确认的连接事务。换句话说,只有可信网络节点的可信操作者才将能够使描述访问工业网络的权利的未确认的连接事务作为经确认的连接事务被添加到区块链。
根据进一步的实施例,多个网络节点进一步包括:被配置成提供网络资源的提供商网络节点。提供商网络节点进一步被配置成:如果连接设备请求访问由提供商网络节点提供的网络资源,则仅在区块链存储了由可信骨干网授权的第一预定数量的经确认的连接事务的条件下授予连接设备对提供商网络节点提供的网络资源的访问,该第一预定数量的经确认的连接事务指示连接设备并且描述该连接设备访问提供商网络节点提供的网络资源的权利。第一预定数量是一个或多个。
提供商网络节点可以是例如由工业网络中的控制单元体现的网络节点。由提供商网络节点提供的网络资源可以是允许连接设备利用控制单元执行控制操作和/或从控制单元读取状态数据的服务。提供商网络节点还可以是例如由工业网络的服务器计算机体现的网络节点,并且网络资源还可以是网站、共享目录、可下载的文件、或被设计成使得仅可用于某些经授权的连接设备的任何其他网络资源。
如果可信骨干网被配置成使得可信骨干网的一个或多个可信网络节点全部对指示连接设备的相同连接事务进行授权,则该预定数量可以是一个;或者,如果可信骨干网被配置成使得一个或多个可信网络节点均对指示连接设备的单独连接事务进行授权,则该预定数量可以大于一个。
访问提供商网络节点提供的网络资源的权利是访问工业网络的权利的示例。相应的连接事务可以通过包括访问权利数据来指示访问由提供商网络节点提供的网络资源的权利。访问权利数据可以指定由提供商网络节点提供的网络资源的标识符,并且可以进一步指定访问权利,如从网络资源读取和/或写入的权利。在一个变型中,访问权利数据可以是访问控制列表(ACL)。
根据进一步的实施例,相应的连接事务通过包括连接设备的标识信息来指示连接设备。
如本文中所使用的“相应的连接事务”用于要么指代未确认的连接事务、要么指代第一预定数量的经确认的连接事务中的经确认的连接事务或指代其两者。
多个网络节点中的至少提供商网络节点被配置成:通过基于相应连接事务所包括的标识信息验证由连接设备传输的身份信息,来确定连接设备的身份,其中该相应连接事务可以是第一预定数量的经确认的连接事务中的经确认的连接事务。
身份信息可以是适合于明确地标识连接设备的数据。例如,它可以是难以伪造的硬件地址、或者是由连接设备传输的密码信息。为了验证身份信息,提供商网络节点可以将身份信息与由区块链存储的连接事务所包括的标识信息进行比较,或者对身份信息和标识信息执行验证算法,以便确定连接设备的身份。
当连接设备请求访问由提供商网络节点提供的网络资源时,提供商网络节点可以以上述方式确定连接设备的身份,并且仅在成功确定连接设备的身份时授予访问。
根据进一步的实施例,工业网络进一步包括可信证书颁发机构。指示连接设备的连接事务所包括的连接设备的标识信息包括数字证书,该数字证书包括连接设备的公钥并且由可信证书颁发机构签名,并且由连接设备传输的身份信息可以包括:数字签名。
可信证书颁发机构或CA是被配置成对数字证书进行签名的单元,其中由CA签名的数字证书受多个网络节点信任。相应的数字证书可以包括标识符、公钥和CA的签名。
在本实施例中,提供商网络节点可以通过以下方式确定连接设备的身份:提供商使用连接设备的公钥来验证由连接设备传输的身份信息所包括的数字签名,连接设备的该公钥由指示连接设备的连接事务中包括的数字证书所包括。该验证将仅在数字签名已经由连接设备使用秘密存储在连接设备中且仅对连接设备已知的私钥而创建时给出肯定的结果,其中私钥是先前在生成数字证书时使用的相同私钥。
以这种方式,以密码方式确定连接设备的身份,从而进一步增强了工业网络中的计算访问控制的安全性。
根据进一步的实施例,可信骨干网被配置成通过可信骨干网的第二预定数量的可信网络节点中的每一个向未确认的事务添加数字签名,来对该未确认的事务进行授权。在此,多个经确认的事务中的经确认的事务是由可信骨干网授权的经确认的事务,如果该事务包括可信骨干网的至少第二预定数量的可信网络节点的数字签名的话。第二预定数量可以是一个或多个。
在本实施例中,可信骨干网被配置成对未确认的连接事务进行数字签名。以这种方式,多个网络节点可以通过验证可信骨干网的数字签名,来在达成将未确认的事务添加到骨干网的共识时确定未确认的连接是否被可信骨干网授权。类似地,作为防止伪造的附加保护措施,多个网络节点中的任一个(如例如提供商网络节点)还可以在稍后阶段处检查由骨干网存储的经确认的事务是否由可信骨干网授权。
例如,可信骨干网可能仅在未确认的连接事务已经由可信骨干网发起时对该未确认的连接事务进行数字签名。
根据进一步的实施例,由区块链存储的多个经确认的事务进一步包括一个或多个经确认的可信节点标识事务,其中可信节点标识事务指示至少一个可信网络节点并描述该至少一个可信网络节点属于可信骨干网的权利。多个网络节点被配置成:在确定相应的连接事务是否被可信骨干网授权时,通过参考存储在区块链中的一个或多个经确认的可信节点标识事务来确定可信骨干网。
根据本实施例,区块链用于存储指示可信骨干网的信息。以这种方式,指示形成可信骨干网的可信网络节点的信息可以以安全的方式被存储,并且被保护以免受操纵。例如,如果可信骨干网的可信网络节点被配置成通过向事务添加数字签名来对该事务进行授权,则对应的可信节点标识事务可以包括可信网络节点的公钥。
可信节点标识事务可以具有与连接事务的语义类似的语义。即,可信节点标识事务可以以与指示连接设备的连接事务相同的方式指示可信网络节点,例如通过包括可信网络节点的数字证书,该数字证书包括可信网络节点的公钥。可信节点标识事务可以进一步描述可信网络节点作为可信骨干网的一部分的权利。将作为可信骨干网的一部分的权利是访问工业网络的权利的进一步示例。例如,可信节点标识事务可以包括访问控制列表(ACL),该访问控制列表包括指示如下内容的标志:由可信节点标识事务指示的网络节点是可信网络节点。
要注意的是,“与对应的公钥相关联的私钥”指代如下事实:私钥和对应的公钥根据非对称的公共-私有密码方法而一起构成公钥-私钥对。有权访问私钥的第一网络节点能够创建数字签名,并且有权访问公钥的第二网络节点能够验证该签名,即验证该数字签名已经由第一网络节点所创建。
根据第二方面,提供了一种工业控制系统,其包括第一方面的工业网络、工业设施和多个控制单元,控制单元中的每一个包括多个网络节点中的网络节点。相应控制单元的网络节点是提供商网络节点,该提供商网络节点被配置成提供网络资源,该网络资源在被访问时允许对工业设施执行控制操作。
以这种方式,第一方面的工业网络的特征可以有利地用于控制和强制执行用于访问工业设施的控制单元的配额。
根据第一方面的实施例和特征也是第二方面的实施例。
根据第二方面的进一步的实施例,工业设施是包括多个铁路道岔(railroadswitch)的调车场(shunting yard)。每个铁路道岔都与控制单元中的一个相关联。控制操作包括用于改变铁路道岔的位置的操作和/或用于读取铁路道岔的状态的操作。
调车场是用于以特定方式对铁路卡进行分类的设施。根据本实施例,可以有效地防止已经设法通过进入铁路道岔并且将个人计算机连接到在铁路道岔附近延伸的线缆而将个人计算机加入工业网络的入侵者对调车场的铁路操作造成严重破坏。
根据第三方面,提出了一种用于工业网络的访问控制方法,该工业网络包括互连的多个网络节点。该访问控制方法包括以下步骤:在多个网络节点上托管区块链,其中区块链是被配置成存储多个经确认的事务的分布式无许可的可信数据库;从多个网络节点所包括的网络节点形成工业网络的可信骨干网;由可信骨干网对未确认的连接事务进行授权,从而在多个网络节点之间交换未确认的连接事务;仅在由区块链的共识协议确定的共识在多个网络节点之间达成的条件下,将未确认的事务作为多个经确认的事务中的经确认的连接事务添加到区块链;其中,经确认的连接事务指示连接设备,并描述该连接设备访问工业网络的权利。
根据第三方面的实施例,一种用于工业网络的访问控制方法进一步包括以下步骤:由多个网络节点所包括的提供商网络节点提供网络资源;以及如果连接设备请求访问提供商网络节点提供的网络资源,则仅在区块链存储了由可信骨干网授权的第一预定数量的经确认的连接事务的条件下,授予连接设备对提供商网络节点提供的网络资源的访问,该第一预定数量的经确认的连接事务指示连接设备,并描述该连接设备访问提供商网络节点提供的网络资源的权利;其中,第一预定数量是一个或多个。
根据第一方面的实施例和特征也是第二方面的实施例。
根据第四方面,提出了一种计算机程序产品,其中该计算机程序产品包括程序代码,以用于当该程序代码在至少一个计算机上运行时执行第三方面或第三方面的实施例之一的方法。
诸如计算机程序装置之类的计算机程序产品可以被体现为存储器卡、USB棒、CD-ROM、DVD或者体现为可以从网络中的服务器下载的文件。例如,可以通过从无线通信网络传送包括计算机程序产品的文件来提供这种文件。
本发明的进一步可能的实现方式或替代解决方案还涵盖本文中未明确提及的上面或下面关于实施例所描述的特征的组合。本领域技术人员还可以向本发明的最基本形式添加单独或孤立的方面和特征。
附图说明
结合附图,本发明的进一步的实施例、特征和优点将从随后的描述和从属权利要求变得显而易见,在附图中:
图1示出了根据第一实施例的工业网络的示意图;
图2示出了根据第二实施例的包括工业设施和工业网络的工业控制系统的示意图;
图3示出了根据第二实施例的连接事务的语义的示意图;
图4示出了根据第三实施例的包括工业设施和工业网络的工业控制系统的示意图;
图5图示了根据实施例的用于工业网络的访问控制方法;
图6图示了根据进一步的实施例的用于工业网络的访问控制方法;以及
在附图中,除非另有指示,否则相同的附图标记表示相同或功能上等同的元件。
具体实施方式
图1示出了根据第一实施例的工业网络1。工业网络1包括第一网络节点10、第二网络节点20和第三网络节点30。工业网络1被示为云,以便说明多个网络节点10、20和30可以以任何合适的拓扑结构而互连。
工业网络1的多个网络节点10、20、30托管区块链5。区块链5包括多个经确认的事务51、52、53……。区块链5将多个经确认的事务51、52、53……存储在块链(未图示)中。每个块包括多个经确认的事务51、52、53……中的至少一个,并且使用其前一个块的哈希值作为参考值而链接到该前一个块。多个网络节点10、20、30中的每一个包括存储装置(未图示),并且将块链的本地副本存储在存储装置中。
当要将新事务添加到区块链5时,网络节点中的一个(例如,网络节点10)创建未确认的事务6。然后,未确认的事务6以对等方式在网络节点10、20、30之间被传递或交换。
网络节点10、20、30根据共识协议来处理未确认的事务6,以便达成用以下方式将未确认的事务6添加到区块链5的共识:
例如,网络节点20可以被配置为挖矿网络节点。网络节点20包括存储器(未图示),并将未确认的事务6与在网络节点10、20、30之间交换的另外的未确认的事务一起存储在存储器中。网络节点20然后执行操作以便确定随机数值,当该随机数值与存储在存储器中的未确认的事务以及与区块链5中的当前最后一个块的哈希值组合时,将产生满足由共识协议要求的有效性标准的新块。例如,共识协议要求新块的哈希值低于预定值。适当随机数值的确定在计算上是困难的并且花费时间。如果网络节点20在网络节点10、20、30中的任何其他节点设法创建在共识协议下有效的新块之前设法这样做,则网络节点20将该新块添加到其本地块链(区块链5的副本),并在网络节点10、20、30之间以对等方式交换该新块。其他网络节点20、30在看到该新块后,根据共识协议验证该新块,并且将该新块添加到其相应的区块链5副本。以这种方式,未确认的事务6被添加到区块链5作为经确认的事务54。
应当注意的是,区块链不仅是分布式的,而且是无许可的,即,另外的网络节点可以加入工业网络1,并开始参与托管区块链5,而不必提供任何凭证。然而,共识协议使得在所需的计算资源方面极其难以操纵区块链的内容。
图1进一步示出了连接设备4。连接设备4可以是膝上型计算机。膝上型计算机4正在试图访问工业网络1。尽管共识协议保护区块链5不受膝上型计算机4的操纵,但应领会的是,有必要确保膝上型计算机4实际上具有访问由工业网络1提供的现场自动化功能的权利。因此,工业网络1包括定义了工业网络1的访问权利的数据库。根据本实施例,区块链5用作定义工业网络1中的访问权利的数据库。
区块链5在经确认的事务51、52、53、54当中包括经确认的连接事务52。经确认的连接事务52包括指示连接设备4的数据,并且进一步包括描述连接设备4访问工业网络1的权利的数据。
如上所描述,区块链5被配置成使得极其难以操纵经确认的连接事务52。
工业网络1包括可信骨干网7。可信骨干网7包括作为第一可信网络节点的第一网络节点10和作为第二可信网络节点的第二网络节点20,但是不包括第三网络节点30。可信骨干网7可以位于安全室中,并且对可信骨干网7的访问可以限于可信操作者。
经确认的连接事务52是已经由可信骨干网7授权的事务。
以这种方式,工业网络1的每个网络节点10、20、30能够通过针对由可信骨干网7授权的经确认的连接事务52的存在而检查区块链5(即,其相应的本地块链),来确定连接设备4访问工业网络1的权利。由于区块链5的特定特性和相关联的共识协议,即使恶意网络节点连接到工业网络1并且还有甚至在没有完全网络连接的情况下,该确定也是高度可靠和有弹性的。
图2中所示的未确认的事务6可以是未确认的连接事务6。工业网络1的区块链5的共识规则要求多个网络节点10、20、30将包括未确认的连接事务6的新块添加到区块链5,由此未确认的连接事务6仅在未确认的连接事务6已经由可信骨干网7授权的条件下成为多个经确认的事务51、52、53、54……中的经确认的连接事务。
图2示出了根据第二实施例的包括工业设施8、控制单元3和工业网络1的工业控制系统100的示意图。
工业设施8是包括多个铁路道岔的调车场。在81处图示了铁路道岔中的一个铁路道岔。
控制单元3与铁路道岔81相关联并且体现网络节点30。网络节点30是提供了对网络资源32的访问的提供商网络节点。网络资源32是在被访问时允许使用控制单元3对调车场执行控制操作的网站、API或网络端口。特别地,可以读取网络资源32,以便读取铁路道岔81的道岔状态或位置。可以对网络资源32进行写入,以便改变铁路道岔81的道岔位置。
如果膝上型计算机4请求访问网络资源32,则提供商网络节点30将针对由可信骨干网7授权的预定数量的经确认的事务连接52的存在来检查区块链5,该预定数量的经确认的事务连接52指示膝上型计算机4并且描述膝上型计算机4访问网络资源32的权利。在本实施例中,预定数量是一个。然而,在一个变型中,预定数量也可以是直至可信骨干网7的可信网络节点10、20的数量的任何数量,即,在本实施例中,预定数量也可以是2。然后,如果在区块链5中存在经确认的连接事务52(预定数量的经确认的连接事务),则提供商网络节点30将仅为连接设备4授予对网络资源32的访问。
在图2中,工业网络1的可信骨干网7包括第一服务器计算机71、第二服务器计算机72和第三服务器计算机73。第一服务器计算机71体现第一可信网络节点10。第二服务器计算机72体现第二可信网络节点20。第三服务器计算机73体现可信证书颁发机构(CA)。
图3示出了说明连接事务6的语义的示意图。特别地,图3示出了图1和2的未确认的连接事务6的语义。然而,相同的语义也可以适用于图1和图2的经确认的连接事务52。因此,在下文中,将共同地引用“连接事务6、52”。
连接事务6、52以以下方式指示连接设备4:连接事务6、52包括标识信息63。标识信息63包括被适配成用于标识连接设备4的数据。在本实施例中,标识信息63是连接设备4的数字证书。数字证书63包括连接设备4的公钥631、连接设备4的标识符632和由可信证书颁发机构7创建的数字签名633。
例如,提供商网络节点30通过如下方式来确定经确认的连接事务52是否指示连接设备4:通过将连接设备4所传输作为身份信息的一部分的标识符与标识信息63所包括的标识符632进行比较;通过使用数字证书63所包括的连接设备4的公钥631来验证连接设备4所传输的作为身份信息的一部分的数字签名;以及通过使用可信证书颁发机构73的公钥(未示出)来验证数字证书63所包括的数字签名633,该公钥可以被预先存储在提供商网络节点30和/或区块链5中。如果所有的三个验证都是肯定的,则确定经确认的连接事务52指示连接设备4。
连接事务6、52用以下方式描述了连接设备4访问工业网络1的权利:连接事务6、62包括权利数据64,权利数据64包括描述连接设备4的访问权利的访问控制列表(ACL)。
连接事务6、52例如由可信骨干网7通过以下方式授权:当新的连接设备将被授权时,可信网络节点10例如在经授权的操作者的操作下创建未确认的连接事务6。第一可信网络节点10将第一可信网络节点10的第一数字签名61添加到未确认的连接事务6,并且以对等方式与其他网络节点20、30交换未确认的事务连接6。当第二可信网络节点20看到未确认的连接事务6并且看到第一可信网络节点20的数字签名61时,第二可信网络节点20将第二可信网络节点20的第二数字签名62添加到未确认的连接事务6。
当通过网络节点10、20、30的挖矿网络节点将未确认的连接事务6添加到区块链5时,相应的挖矿网络节点使用第一可信网络节点10的公钥来验证第一可信网络节点10的数字签名61,并使用第二可信网络节点20的公钥来验证第二可信网络节点20的数字签名62,以确定未确认的连接事务6是否由可信骨干网7授权。
区块链5包括经确认的可信节点标识事务51,该标识事务包括可信网络节点10的公钥。类似地,区块链5进一步包括经确认的可信节点标识事务(未示出),该标识事务包括可信网络节点20的公钥。经确认的可信节点标识事务具有与连接事务类似的语义,即,经确认的可信节点标识交互通过包括可信网络节点10的数字证书来指示可信网络节点10。挖矿网络节点参考存储在区块链5中的经确认的可信节点标识事务,以确定可信骨干网网7,即确定可信网络节点10、20的数字证书,该数字证书包括可信网络节点10、20的相应公钥。
可以在现场部署工业网络1之前将经确认的可信节点标识事务51预先存储在区块链5中。
还要注意的是,网络节点10、20、30中的任一个都能够以与挖矿网络节点能够验证由未确认的连接事务6的可信骨干网7进行的授权相同的方式,来验证由经确认的连接事务52的可信骨干网7进行的授权。
图4示出了根据第三实施例的包括工业设施和工业网络的工业控制系统的示意图。
在图4中,网络节点10、20、30中的每一个进一步包括相应的第一数字钱包11、第二数字钱包22和第三数字钱包31。膝上型计算机4进一步包括第四网络节点40。换句话说,膝上型计算机4在其中体现了网络节点40,该网络节点40在将膝上型计算机4加入工业网络时成为了形成工业网络1并托管区块链5的网络节点10、20、30、40中的一个。第四网络节点40进一步包括第四数字钱包41。
图5图示了根据实施例的用于工业网络的访问控制方法。
在步骤S51中,将区块链5设置成被托管在多个网络节点10、20、30上。
在步骤S52中,由可信网络节点10和20形成可信骨干网7。
在步骤S53中,可信骨干网7创建未确认的连接事务6,该未确认的连接事务6指示连接设备4并且描述连接设备5访问工业网络1的权利。然后,可信骨干网7对由可信骨干网7创建的未确认的连接事务6进行授权。
在步骤S54中,在多个网络节点10、20、30之间交换未确认的连接事务6。
在步骤S55中,仅在由区块链5的共识协议确定的共识在多个网络节点10、20、30之间达成的条件下,将未确认的连接事务6作为多个经确认的事务51、52、53、54中的经确认的事务52添加到区块链5。特别地,共识协议要求未确认的连接事务6由可信骨干网7授权。
图6图示了根据进一步的实施例的用于工业网络的访问控制方法。
在步骤S61中,提供商网络节点30提供网络资源32。
在步骤S62中,提供商网络节点30确定区块链5是否存储了由可信骨干网7授权的经确认的连接事务52,该连接事务52指示连接设备4并且描述了连接设备4访问提供商网络节点30提供的网络资源32的权利。
如果确定是肯定的,则在步骤S63中,提供商网络节点30授予连接设备4对网络资源32的访问。否则,在步骤S64中拒绝访问。
尽管已经根据优选实施例描述了本发明,但是对于本领域技术人员显而易见的是,修改在所有实施例中都是可能的。
参考数字
1 工业网络
10 第一网络节点
11 第一数字钱包
20 第二网络节点
21 第二数字钱包
3 控制单元
30 第三网络节点
31 第三数字钱包
32 网络资源
4 连接设备
40 第四网络节点
41 第四数字钱包
5 区块链
51 第一经确认的事务
52 第二经确认的事务
53 第三经确认的事务
54 第四经确认的事务
6 未确认的事务
61 第一签名
62 第二签名
63 标识信息
631 连接设备的公钥
632 连接设备的标识符
633 可信证书颁发机构的签名
64 权利信息
7 可信骨干网
71 第一服务器计算机
72 第二服务器计算机
73 第三服务器计算机
8 工业设施
81 铁路道岔
100 工业控制系统
S51-S55 方法步骤
S61-S64 方法步骤
Claims (13)
1.一种工业网络(1),包括多个网络节点(10、20、30),所述多个网络节点互连并且被配置成:
- 托管区块链(5),其中区块链(5)是被配置成存储多个经确认的事务(51、52、53、54)的分布式无许可的可信数据库,
- 在彼此之间交换未确认的事务(6),
- 仅在由区块链(5)的共识协议确定的共识在所述多个网络节点(10、20、30)之间达成的条件下,将未确认的事务(6)作为所述多个经确认的事务(51、52、53、54)中的经确认的事务(54)添加到区块链(5),
其中,所述多个网络节点(10、20、30)包括形成工业网络(1)的可信骨干网(7)的多个可信网络节点(10、20),以及形成可信骨干网(7)的可信网络节点(10,20)位于可通过物理访问控制来保护的一个或多个区域内,和/或形成所述可信骨干网(7)的可信网络节点(10,20)是仅工业网络的可信操作者才能访问的节点,
其中,由区块链(5)存储的经确认的事务(51、52、53、54)包括由可信骨干网(7)授权的经确认的连接事务(52),所述经确认的连接事务(52)指示连接设备(4)并且描述所述连接设备(4)访问工业网络(1)的权利。
2.根据权利要求1所述的工业网络,其中
未确认的事务(6)是未确认的连接事务,
可信骨干网(7)被配置成对未确认的连接事务(6)进行授权,以及
所述多个网络节点(10、20、30)进一步被配置成:仅在未确认的连接事务(6)由可信主干网(7)授权的条件下,达成将未确认的连接事务(6)作为所述多个经确认的事务(51、52、53、54)中的经确认的连接事务(52)添加到区块链的共识。
3.根据权利要求1或2所述的工业网络,其中,所述多个网络节点(10、20、30)进一步包括提供商网络节点(30),所述提供商网络节点被配置成:
- 提供网络资源(32),以及
- 如果所述连接设备(4)请求访问提供商网络节点(30)提供的网络资源(32),则仅在区块链(5)存储了由可信骨干网(7)授权的第一预定数量的经确认的连接事务(52)的条件下,授予所述连接设备(4)对提供商网络节点(30)提供的网络资源(32)的访问,所述第一预定数量的经确认的连接事务(52)指示所述连接设备(4),并且描述所述连接设备(4)访问提供商网络节点(30)提供的网络资源(32)的权利,
其中,所述第一预定数量是一个或多个。
4.根据权利要求3所述的工业网络,其中
相应连接事务(6、52)通过包括所述连接设备(4)的标识信息(63)来指示所述连接设备(4),以及
所述多个网络节点(10、20、30)中的至少提供商网络节点(30)被配置成:通过基于相应连接事务(6、52)所包括的标识信息(63)验证由所述连接设备传输的身份信息,来确定所述连接设备(4)的身份。
5.根据权利要求4所述的工业网络,进一步包括:
可信证书颁发机构(7),其中
指示所述连接设备(4)的连接事务(6、52)所包括的所述连接设备(4)的标识信息(63)包括数字证书(63),所述数字证书(63)包括所述连接设备(4)的公钥(631)并且由所述可信证书颁发机构(7)签名(633),以及
由所述连接设备(4)传输的身份信息可以包括数字签名。
6.根据权利要求1所述的工业网络,其中
可信骨干网(7)被配置成通过可信骨干网(7)的第二预定数量的可信网络节点(10、20)中的每一个将数字签名(61、62)添加到未确认的事务(6),来对未确认的事务(6)进行授权,以及
如果所述多个经确认的事务(51、52、53、54)中的经确认的事务包括可信骨干网(7)的至少所述第二预定数量的可信网络节点(10、20)的数字签名(61、62),则其是由可信骨干网(7)授权的经确认的事务;
所述第二预定数量是一个或多个。
7.根据权利要求1所述的工业网络,其中
区块链(5)存储的所述多个经确认的事务(51、52、53、54)进一步包括一个或多个经确认的可信节点标识事务(51),其中可信节点标识事务(51)指示至少一个可信网络节点(10、20),并且描述所述至少一个可信网络节点(10、20)属于可信骨干网(7)的权利,
所述多个网络节点(10、20、30)被配置成:当确定相应连接事务(6、52)是否由可信骨干网(7)授权时,通过参考存储在区块链(5)中的所述一个或多个经确认的可信节点标识事务(51)来确定可信骨干网(7)。
8.一种工业控制系统(100),包括根据权利要求1至7中任一项所述的工业网络(1)、工业设施(8)和多个控制单元(3),控制单元(3)中的每一个包括多个网络节点(10、20、30)中的网络节点(30),
其中,相应控制单元(3)的网络节点是提供商网络节点(30),所述提供商网络节点(30)被配置成提供网络资源(32),所述网络资源(32)在被访问时允许对工业设施(8)执行控制操作。
9.根据权利要求8所述的工业控制系统,其中
工业设施(8)是包括多个铁路道岔(81)的调车场,
每个铁路道岔(81)与控制单元(3)中的一个相关联,
控制操作包括用于改变铁路道岔(81)的位置的操作、和/或用于读取铁路道岔(81)的状态的操作。
10.根据权利要求8所述的工业控制系统,其中所述一个或多个区域是一个或多个安全室。
11.一种用于工业网络(1)的访问控制方法,所述工业网络(1)包括互连的多个网络节点(10、20、30),所述访问控制方法包括以下步骤:
在所述多个网络节点(10、20、30)上托管(S51)区块链(5),其中区块链(5)是被配置成存储多个经确认的事务(51、52、53、54)的分布式无许可的可信数据库,
所述多个网络节点(10、20、30)所包括的多个网络节点(10、20)形成(S53)工业网络(1)的可信骨干网(7),其中,形成所述可信骨干网(7)的可信网络节点(10,20)位于可通过物理访问控制来保护的一个或多个区域内,和/或形成所述可信骨干网(7)的可信网络节点(10,20)是仅工业网络的可信操作者才能访问的节点,
由可信骨干网(7)对未确认的连接事务(6)进行授权(S54),
在所述多个网络节点(10、20、30)之间交换(S55)未确认的连接事务(6),
仅在由区块链(5)的共识协议确定的共识在所述多个网络节点(10、20、30)之间达成的条件下,将未确认的连接事务(6)作为所述多个经确认的事务(51、52、53、54)中的经确认的连接事务(52)添加(S55)到区块链(5),以及
其中,经确认的连接事务(52)指示连接设备(4),并且描述所述连接设备(4)访问工业网络(1)的权利。
12.根据权利要求11所述的用于工业网络的访问控制方法,进一步包括以下步骤:
由所述多个网络节点(10、20、30)所包括的提供商网络节点(30)提供网络资源(32),以及
如果所述连接设备(4)请求访问提供商网络节点(30)提供的网络资源(32),则仅在区块链(5)存储了由可信骨干网(7)授权的第一预定数量的经确认的连接事务(52)的条件下,授予所述连接设备(4)对提供商网络节点(30)提供的网络资源(32)的访问,所述第一预定数量的经确认的连接事务(52)指示所述连接设备(4),并且描述所述连接设备(4)访问所述提供商网络节点(30)提供的网络资源(32)的权利,
其中,所述第一预定数量是一个或多个。
13.根据权利要求11所述的用于工业网络的访问控制方法,其中所述一个或多个区域是一个或多个安全室。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/RU2017/000371 WO2018222066A1 (en) | 2017-05-30 | 2017-05-30 | Industrial network using a blockchain for access control, and access control method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110679113A CN110679113A (zh) | 2020-01-10 |
| CN110679113B true CN110679113B (zh) | 2023-09-05 |
Family
ID=59485406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780091408.6A Active CN110679113B (zh) | 2017-05-30 | 2017-05-30 | 使用区块链进行访问控制的工业网络以及访问控制方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210176251A1 (zh) |
| EP (1) | EP3613171B1 (zh) |
| CN (1) | CN110679113B (zh) |
| WO (1) | WO2018222066A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB201709518D0 (en) * | 2017-06-15 | 2017-08-02 | Nchain Holdings Ltd | Computer-implemented system and method |
| CN107360001B (zh) | 2017-07-26 | 2021-12-14 | 创新先进技术有限公司 | 一种数字证书管理方法、装置和系统 |
| CN111066018B (zh) * | 2017-09-14 | 2023-12-05 | 索尼公司 | 信息处理设备、信息处理方法以及程序 |
| EP3692699A4 (en) * | 2017-10-04 | 2021-08-25 | Algorand Inc. | DECLARATIVE INTELLIGENT CONTRACTS |
| EP3534287A1 (en) * | 2018-02-28 | 2019-09-04 | Siemens Healthcare GmbH | Inserting a further data block into a first ledger |
| US11373202B2 (en) * | 2018-07-16 | 2022-06-28 | Mastercard International Incorporated | Method and system for referral fraud prevention via blockchain |
| US11405180B2 (en) | 2019-01-15 | 2022-08-02 | Fisher-Rosemount Systems, Inc. | Blockchain-based automation architecture cybersecurity |
| US11115218B2 (en) | 2019-01-15 | 2021-09-07 | Fisher-Rosemount Systems, Inc. | System for secure metering from systems of untrusted data derived from common sources |
| US10962965B2 (en) | 2019-01-15 | 2021-03-30 | Fisher-Rosemount Systems, Inc. | Maintaining quality control, regulatory, and parameter measurement data using distributed ledgers in process control systems |
| US11042147B2 (en) | 2019-01-15 | 2021-06-22 | Fisher-Rosemount Systems, Inc. | Machine-to-machine transactions using distributed ledgers in process control systems |
| US11960473B2 (en) | 2019-01-15 | 2024-04-16 | Fisher-Rosemount Systems, Inc. | Distributed ledgers in process control systems |
| US11009859B2 (en) | 2019-05-06 | 2021-05-18 | Fisher-Rosemount Systems, Inc. | Framework for privacy-preserving big-data sharing using distributed ledger |
| DE102019209004A1 (de) * | 2019-06-20 | 2020-12-24 | Siemens Mobility GmbH | Eisenbahntechnische Anlage und Verfahren zum Betrieb einer eisenbahntechnischen Anlage |
| WO2021005751A1 (ja) * | 2019-07-10 | 2021-01-14 | 日本電信電話株式会社 | データ共有システム、管理端末、データ共有方法、および、データ共有プログラム |
| GB2588659A (en) * | 2019-10-31 | 2021-05-05 | Nchain Holdings Ltd | Communication protocol using blockchain transactions |
| CN111680282B (zh) * | 2020-06-01 | 2021-08-24 | 腾讯科技(深圳)有限公司 | 基于区块链网络的节点管理方法、装置、设备及介质 |
| CN113379419B (zh) * | 2021-06-25 | 2022-08-16 | 远光软件股份有限公司 | 交易信息的访问方法、系统及计算机设备 |
| CN114760073B (zh) * | 2022-06-13 | 2022-08-19 | 湖南华菱电子商务有限公司 | 基于区块链的仓储商品配送方法、装置、电子设备及介质 |
| CN115766170B (zh) * | 2022-11-08 | 2023-09-26 | 敏于行(北京)科技有限公司 | 可信的sdp网络的控制方法、装置、存储介质及电子装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016128491A1 (en) * | 2015-02-11 | 2016-08-18 | British Telecommunications Public Limited Company | Validating computer resource usage |
| CN106330452A (zh) * | 2016-08-13 | 2017-01-11 | 深圳市樊溪电子有限公司 | 一种用于区块链的安全网络附加装置及方法 |
| WO2017021153A1 (en) * | 2015-07-31 | 2017-02-09 | British Telecommunications Public Limited Company | Expendable access control |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160112406A1 (en) * | 2014-10-20 | 2016-04-21 | Schneider Electric Industries S.A.S. | Authentication and authorization in an industrial control system using a single digital certificate |
| AU2016255340A1 (en) * | 2015-02-27 | 2017-07-06 | Visa International Service Association | Transaction signing utilizing asymmetric cryptography |
| US9948467B2 (en) * | 2015-12-21 | 2018-04-17 | Mastercard International Incorporated | Method and system for blockchain variant using digital signatures |
| JP6550353B2 (ja) * | 2016-07-21 | 2019-07-24 | 株式会社日立製作所 | 署名検証システム、署名検証方法及びプログラム |
| GB201705749D0 (en) * | 2017-04-10 | 2017-05-24 | Nchain Holdings Ltd | Computer-implemented system and method |
-
2017
- 2017-05-30 EP EP17745894.0A patent/EP3613171B1/en active Active
- 2017-05-30 US US16/616,845 patent/US20210176251A1/en active Pending
- 2017-05-30 WO PCT/RU2017/000371 patent/WO2018222066A1/en unknown
- 2017-05-30 CN CN201780091408.6A patent/CN110679113B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016128491A1 (en) * | 2015-02-11 | 2016-08-18 | British Telecommunications Public Limited Company | Validating computer resource usage |
| WO2017021153A1 (en) * | 2015-07-31 | 2017-02-09 | British Telecommunications Public Limited Company | Expendable access control |
| CN106330452A (zh) * | 2016-08-13 | 2017-01-11 | 深圳市樊溪电子有限公司 | 一种用于区块链的安全网络附加装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018222066A1 (en) | 2018-12-06 |
| EP3613171B1 (en) | 2021-06-30 |
| CN110679113A (zh) | 2020-01-10 |
| US20210176251A1 (en) | 2021-06-10 |
| EP3613171A1 (en) | 2020-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110679113B (zh) | 使用区块链进行访问控制的工业网络以及访问控制方法 | |
| US11456879B2 (en) | Secure processing of an authorization verification request | |
| WO2018112946A1 (zh) | 注册及授权方法、装置及系统 | |
| US10958437B2 (en) | Object signing within a cloud-based architecture | |
| EP3197121B1 (en) | Information security realizing method and system based on digital certificate | |
| CN106452782B (zh) | 为终端设备生成安全通信信道的方法和系统 | |
| EP3014847B1 (en) | Secure hybrid file-sharing system | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| CN106559408B (zh) | 一种基于信任管理的sdn认证方法 | |
| JP4486023B2 (ja) | 無許可の人によるパーソナル・コンピュータの使用を防止するためのセキュリティ方法 | |
| CN110546604A (zh) | 基于未确定数据保护区块链交易 | |
| CN100504717C (zh) | 具有基于进程的密钥库的计算装置和操作计算装置的方法 | |
| CN101669128A (zh) | 级联认证系统 | |
| EP3292495B1 (en) | Cryptographic data | |
| JP4525609B2 (ja) | 権限管理サーバ、権限管理方法、権限管理プログラム | |
| CN110661779B (zh) | 基于区块链网络的电子证件管理方法、系统、设备及介质 | |
| CN113572791B (zh) | 一种视频物联网大数据加密服务方法、系统及装置 | |
| WO2020213125A1 (ja) | 入退管理システム、入退管理システムの認証装置、入退管理システムの管理装置、入退管理システムの携帯端末、入退管理データのデータ構造、入退管理プログラム、および入退管理システムの構築方法 | |
| CN110912703B (zh) | 一种基于网络安全的多级密钥管理方法、装置及系统 | |
| KR20120084631A (ko) | 고유식별자 기반 인증시스템 및 방법 | |
| CN115935318B (zh) | 一种信息处理方法、装置、服务器、客户端及存储介质 | |
| CN108390892B (zh) | 一种远程存储系统安全访问的控制方法和装置 | |
| RU2709281C1 (ru) | Способ и система авторизации носителя цифрового ключа | |
| US20180307852A1 (en) | System and method for data security | |
| CN115987636B (zh) | 一种信息安全的实现方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |