CN111159736B - 一种区块链的应用管控方法及系统 - Google Patents
一种区块链的应用管控方法及系统 Download PDFInfo
- Publication number
- CN111159736B CN111159736B CN201911357067.XA CN201911357067A CN111159736B CN 111159736 B CN111159736 B CN 111159736B CN 201911357067 A CN201911357067 A CN 201911357067A CN 111159736 B CN111159736 B CN 111159736B
- Authority
- CN
- China
- Prior art keywords
- cloud
- mobile equipment
- application
- information
- organization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 87
- 230000008520 organization Effects 0.000 claims abstract description 142
- 238000004891 communication Methods 0.000 claims abstract description 11
- 238000013475 authorization Methods 0.000 claims description 57
- 238000013468 resource allocation Methods 0.000 claims description 49
- 238000007726 management method Methods 0.000 claims description 39
- 230000005540 biological transmission Effects 0.000 claims description 19
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 9
- 238000010200 validation analysis Methods 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 claims description 5
- 230000008030 elimination Effects 0.000 claims description 2
- 238000003379 elimination reaction Methods 0.000 claims description 2
- 238000004064 recycling Methods 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 description 8
- 238000010276 construction Methods 0.000 description 4
- 210000001503 joint Anatomy 0.000 description 4
- 238000005065 mining Methods 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5072—Grid computing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了区块链的应用管控方法及系统,所述系统包括一种区块链的应用管控系统,包括组织核心云、边缘云以及至少一个移动设备;本发明使用了区块链以在区块链成员的所有移动设备中记录组织核心云中应用的权限信息,即不同用户使用不同移动设备在不同地理位置在访问组织核心云中应用的权限信息,并使用边缘云的计算资源更接近移动设备的特性,减轻了区块链网络中移动设备构建区块链的工作量;分布式认证的应用管控方法不仅防止权限信息被恶意篡改,避免了传统集中式管理认证信息易被攻击的情况,也降低了进行应用管理的成本。本发明可以广泛应用于通信技术领域。
Description
技术领域
本发明涉及通信技术领域,尤其是一种区块链的应用管控方法及系统。
背景技术
目前通过移动终端访问组织核心网络/组织核心云的场景越加广泛和复杂,如组织员工使用智能终端如手机、平板设备在任意位置访问组织核心网络/组织核心云;还如物联网环境下,各种类型的移动终端接入组织核心网络/组织核心云,并与其中的应用进行交互。
但随着移动终端访问组织核心网络/组织核心云的场景越加广泛和复杂,渐渐也暴露出以下问题:
(1)一个用户可能关联多个移动终端,而不同移动终端的安全性不同,对于同一应用的操作权限可能不同;同时对于设备所处的地理位置不同(如国外),那么应用的操作权限也可能不同;
(2)基于安全的考虑,认证中心和应用管理中心的物理或逻辑上采用集中部署的方式,一旦受到攻击,认证管理将失控;
(3)移动终端的种类繁多,计算能力也不全相同;对于计算能力薄弱的终端,其无法独立完成区块链的构建工作。
发明内容
为至少解决上述技术问题之一,本发明的目的在于:提供一种区块链的应用管控系统及方法,可实现对不同用户使用不同设备在不同的地理位置访问组织组织核心云应用的管控同时提升移动通信方式访问组织组织核心云上应用权限的授权安全。
本发明所采取的第一种技术方案是:
一种区块链的应用管控方法,包括以下步骤:
组织核心云接收移动设备发送的应用权限申请需求、用户身份信息、移动设备身份信息、应用名以及位置信息;
组织核心云对所述应用权限申请需求进行审批并生成应用授权数据项;
组织核心云将所述应用授权数据项发送至移动设备,使移动设备生成区块的区块体信息,并进行广播;
组织核心云接收移动设备发送的资源分配请求,对所述移动设备所需工作资源进行预估;
组织核心云获取边缘云资源信息,并根据预估结果进行边缘云资源分配;
组织核心云将分配资源信息发送至移动设备,使移动设备通过边缘云协同完成计算工作;
组织核心云将资源分配授权信息发送至边缘云,使边缘云协同移动设备完成计算工作。
进一步,还包括以下步骤:
组织核心云接收移动设备发送的认证信息,对所述认证信息进行权限认证和合法认证;
组织核心云从移动设备获取存储的区块链记录;
组织核心云根据所述区块链记录中的认证信息进行去重操作;
组织核心云对访问操作授权并监控访问操作过程,在访问操作过程中进行认证信息的重新确认。
进一步,所述认证信息包括用户身份信息、移动设备身份信息、应用认证信息、当前位置信息以及需访问的应用及操作;所述用户身份信息包括用户姓名、ID、所属组织;所述应用认证信息包括应用的ID、密码、以及身份信息。
本发明提供的第二种技术方案是:
一种区块链的应用管控方法,包括以下步骤:
边缘云接收组织核心云的资源分配授权信息以及移动设备的资源请求,对移动设备的资源请求进行合法性认证;
边缘云根据所述资源请求向移动设备分配资源协同完成计算工作并更新资源使用情况;
边缘云对所述资源进行回收并安全清零。
本发明提供的第三种技术方案是:
一种区块链的应用管控方法,包括以下步骤:
移动设备向组织核心云发送应用权限申请需求、用户身份信息、移动设备身份信息、应用名以及位置信息,使组织核心云进行需求审批并生成应用授权;
移动设备接收组织核心云的授权数据项,生成区块的区块体信息并进行广播;
移动设备向组织核心云发送资源分配请求,使组织核心云完成对移动设备所需工作资源的预估并进行边缘云资源分配;
移动设备接收获取组织核心云的分配资源信息;
移动设备根据所述分配资源信息想边缘云发送资源请求,使边缘云进行资源分配;
移动设备根据所述资源分配结果通过边缘云协同完成计算工作。
进一步,还包括以下步骤:移动设备接收到其他区块链成员的广播信息,对新区块的授权信息进行合法验证;移动设备根据所述资源分配结果通过边缘云协同完成计算工作。
进一步,还包括以下步骤:移动设备向组织核心云发送认证信息,使组织核心云完成对访问操作的授权;移动设备获取访问操作授权并访问组织核心云中的应用。
进一步,所述计算工作包括:移动设备根据组织核心云返回的应用授权数据项创建区块的区块体信息;移动设备通过边缘云完成记账和共识确认工作,创建区块并将所述区块添加到区块链中。
本发明所采取的第四种技术方案是:
一种区块链的应用管控系统,包括组织核心云、边缘云以及至少一个移动设备;
所述组织核心云包括:
应用监管模块,用于接收移动设备发送的应用权限申请需求、用户身份信息、移动设备身份信息、应用名、位置信息,对应用权限申请需求进行审批并生成应用授权数据项,和用于接收移动设备发送的认证信息,对访问操作进行授权;
安全运维模块,用于将应用授权数据项发送至移动设备,使移动设备生成区块的区块体信息,并进行广播;和用于将分配资源信息发送至移动设备,使移动设备通过边缘云协同完成计算工作,将资源分配授权信息发送至边缘云,使边缘云协同移动设备完成计算工作;
区块链管理模块,用于选取一个移动设备读取其存储的区块链记录,并协同应用监管模块完成认证信息去重操作;
边缘计算能力编排模块,用于接收移动设备发送的资源分配请求,对移动设备所需工作资源进行预估;和用于获取边缘云资源信息,并根据预估结果进行边缘云资源分配;
所述边缘云包括:
计算能力分配模块,用于根据资源请求向移动设备分配资源协同完成计算工作并更新资源使用情况,和用于对资源进行回收并安全清零;
权限认证模块,用于接收组织核心云的资源分配授权信息以及移动设备的资源请求,对移动设备的资源请求进行合法性认证;
安全保护模块,用于保护边缘云计算资源共享平台自身的安全;
安全传输模块,用于加密与组织核心云和与移动设备之间的通信;
所述移动设备包括:
区块链管理模块,用于创建区块的区块体信息;和用于使用边缘云的计算资源完成记账以及共识确认工作,创建区块并将区块添加到区块链中;
许可验证模块,用于向组织核心云发送应用权限申请需求、用户身份信息、移动设备身份信息、应用名以及位置信息,使组织核心云进行需求审批并生成应用授权;
许可申报模块,用于移动设备向组织核心云发送认证信息,使组织核心云完成对访问操作的授权;
计算资源调用模块,用于向组织核心云发送资源分配请求,使组织核心云完成对移动设备所需工作资源的预估并进行边缘云资源分配;和用于根据分配资源信息想边缘云发送资源请求,使边缘云进行资源分配;
安全传输模块,用于保护移动设备与组织核心云以及移动设备与边缘云之间通信的加密安全传输;
安全保护模块,用于保护移动应用管理模块自身的安全。
进一步,所述组织核心云、边缘云以及至少一个移动设备通过5G网络进行数据传输。
本发明的有益效果是:本发明使用了区块链以记录组织组织核心云中应用的权限信息,即不同用户使用不同移动设备在不同地理位置在访问组织组织核心云中应用的权限信息,并使用边缘云的计算资源更接近移动设备的特性,减轻了区块链网络中移动设备构建区块链的工作量;分布式认证的应用管控方法不仅防止权限信息被恶意篡改,避免了传统集中式管理认证信息易被攻击的情况,也降低了进行应用管理的成本。
附图说明
图1为本发明一种区块链的应用管控方法与系统的区块结构示意图;
图2为本发明一种区块链的应用管控方法的应用权限申请流程图;
图3为本发明一种区块链的应用管控方法的边缘云计算资源编排流程图;
图4为本发明一种区块链的应用管控方法的移动设备访问组织核心云应用流程图;
图5为本发明一种区块链的应用管控系统的架构图;
图6为本发明一种区块链的应用管控系统的网络拓扑图。
具体实施方式
下面结合说明书附图和具体的实施例对本发明的方法进行进一步的说明。
参照图1,本发明实施例所采用的区块链结构包含区块头和区块体;其中区块头包括哈希数值Hash(n-1)、时间戳、随机数、默克尔树(即本区块的哈希值);区块体记录4个信息:
1)用户身份信息:用户姓名、ID、所属组织;
2)移动设备身份信息,即异构移动设备的身份/指纹信息,如智能手机/平板的指纹信息(如IMEI)、嵌入设备证书、手机号、通信芯片(如USIM/eSIM卡),如笔记本电脑的CPU编号、BIOS编号、网卡MAC地址、显卡编号、硬盘序列号;
3)其他身份信息:第三方认证所需信息;
4)允许访问的应用、使用权限、使用位置标识。
本实施例中,每个移动设备都是参与记账者(即参与竞争构建区块链的区块链成员),共同存储当前的所有的区块链信息,包括三个主要流程应用权限申请流程、边缘云计算资源编排流程和移动设备访问组织核心云应用流程。
参照图2,本实施的应用权限申请流程具体为:在移动设备上登录移动应用,若未注册则完成应用注册以获取应用的用户名和密码信息;用户使用移动设备向组织核心云(核心云认证平台)以安全的传输方式提出应用权限申请(如新增权限、更新权限、删除权限)的需求;同时向组织核心云(核心云认证平台)以安全的传输方式发送用户身份信息、移动设备身份信息、应用名、位置信息;其中用户身份信息包括用户姓名、ID、所属组织;组织核心云认证平台对用户的应用使用权限申请进行审批;若审批不通过,则组织核心云拒绝授权操作,将拒绝授权的信息传送回移动设备,并进行日志记录,结束并退出本流程;若审批通过,组织核心云生成应用授权数据项,并将此应用授权数据项安全存储在内存中,然后将此应用授权数据项传送回用户的移动设备,最后进行日志记录;移动设备在收到授权信息(即授权数据项)后,创建模块构建区块的区块体信息,并向其他区块链成员广播,等待其他成员响应。
其他区块链成员收到广播信息后,向组织核心云验证新区块的区块体所记录的授权信息是否合法(组织核心云通过存储在内存中的应用授权数据项信息进行验证);若不是合法授权,组织核心云认证平台向此区块链成员返回非合法授权信息,并形成日志记录,此区块链成员放弃创建区块链,本流程结束;若是合法授权,则移动设备向组织核心云认证平台申请边缘云的计算资源,然后协同所分配的边缘云资源完成区块的创建工作(即记账(挖矿)工作和共识确认工作,具体见后文“边缘云计算编排流程”);完成记账(挖矿)和共识确认工作,并记录随机数和时间戳至区块中;将此区块添加到区块链中,区块链创建完成。若在将此区块添加到区块链中发现其他区块链成员已经完成区块链创建,则停止添加工作,并同步更新区块链。
组织核心云(核心云认证平台)将对应的应用授权数据项从内存中安全删除,应用权限申请流程完成。
参照图3,本实施的边缘云计算资源编排流程具体为:移动设备向组织核心云发送计算资源分配请求以使用边缘云的计算资源完成计算工作;组织核心云对移动设备所需的工作资源进行估算,并取当前移动设备地理位置附近的边缘云资源信息,边缘云资源信息包含边缘云的计算资源信息(运算速度、进程队列)、存储资源信息(剩余容量)、网络资源信息(带宽,传输时间;组织核心云基于预估的工作资源量、移动设备与边缘云的通信状态(位置、距离、带宽)、边缘云资源信息以分配边缘云计算资源;组织核心云将所分配资源的信息安全传输回移动设备,其中所分配资源的信息包括资源在边缘云中的位置、IP地址、允许使用时间,并将将资源分配(授权)信息通知到边缘云。
用户的移动设备可根据核心云认证平台返回的的资源信息向指定的边缘云发起资源请求;边缘云根据组织核心云的资源分配(授权)信息,验证移动设备的资源请求是否合法;
若请求不合法,边缘云拒绝分配资源,并向组织核心云告警并形成日志记录;本流程结束。
若请求合法,边缘云向移动设备分配资源,然后向组织核心云更新资源使用情况;移动设备获取资源并完成计算工作;待移动设备完成计算工作之后,边缘云并对资源进行安全清零操作,向组织核心云更新资源使用情况,结束流程。
其中,计算工作包括:移动应用管理模块的区块链管理模块使用边缘云的计算资源完成区块的创建工作;移动设备的移动应用管理模块完成记账(挖矿)和共识确认工作以将区块添加到区块链中。
此外,区块链工作资源的首次估计是由管理员为移动设备选定运算资源,手动分配资源,使其进行区块链的创建工作。成功试运行后记录所需的最小运算资源,包含CPU、内存、存储的最小参数,同时记录此时的区块链长度和区块链网络中的终端数;并以此作为首次计算资源的确定。若预估的计算资源小于实际使用资源,根据管理员预先设定的算法进行调整;若调整3次后仍不能满足运算需求,则由管理员重新选定运算资源并手动分配。
不同哈希算法的区块链长度影响因子、区块链成员数影响因子、预估调整因子不一定相同:
(a)区块链长度影响因子与区块链创建使用的哈希算法、现区块链长度、上一次区块链长度,这3个因素相关;
(b)区块链成员数影响因子与区块链创建使用的哈希算法、现区块链成员数、上一次区块链成员数,这3个因素相关;
(c)预估调整因子与区块链创建使用的哈希算法、上一次实际使用资源、上一次预估的计算资源,这3个因素相关;
(d)哈希算法包括SHA-256、Scrypt内存依赖型、X11、Equihash、NeoScrypt、Ethash、X11Gost、CryptoNight、Blake(14r);
(e)区块链工作资源估计的值=上次运算资源*区块链长度影响因子*区块链成员数影响因子*预估调整因子其中:“上次运算资源”包括计算资源、内存资源、存储资源,
这3个资源是分别计算;
(f)每次区块链创建成功后,边缘云向组织核心云返回此次运算所用的资源信息。
参照图4,本实施例的移动设备访问组织核心云应用流程具体为:用户移动设备向组织核心云进行操作权限验证,以安全的方式发送认证信息;所述认证信息包括:
a)用户身份信息:用户姓名、ID、所属组织;
b)移动设备身份信息;
c)应用认证信息:应用的ID和密码,其他身份信息(如人脸,指纹,及第三方认证所需信息)
d)当前位置信息;
e)需访问的应用及操作。
组织核心云首先对应用中用户权限进行判断以验证是否为合法用户:若不为合法用户,则组织核心云拒绝用户操作,并进行告警以及形成日志记录,结束本流程;若为合法用户,则组织核心云从区块链成员中随机选取一个移动设备,并从此移动设备中获取其存储的区块链记录;然后组织核心云根据用户ID和应用搜索区块链上相关的区块,进行去重操作,最后生成当前用户使用当前设备访问组织核心云应用的最新授权信息;组织核心云比对移动设备提交的用户身份信息、移动设备身份信息、其他身份信息、位置信息、需访问的应用及操作这些信息,根据最新授权信息,判断此操作是否合法:若不合法,组织核心云拒绝用户操作,并调用应用监管模块的应用监控模块告警并形成日志记录;本流程结束;若合法,则组织核心云允许用户进行访问;在访问的过程中,组织核心云根据平台设置的时间间隔重新扫描确认,查看是否用户、使用设备、设备物理位置、应用操作其中之一发生变化:若有,则更新认证信息,重新进行权限认证;若过程中用户认证信息未发生变化,组织核心云则持续监控至用户结束对应用的操作,记录日志并删除此次访问的相关缓存数据。
其中,去重操作是由于区块链是不可删改的,在后续应用授权信息发生变更或删除操作时,会在区块链加入新区块说明。将x用户使用y设备对z应用的区块体信息从区块链提取出,以最新加入区块链的区块信息为准,删除旧有信息。
在用户访问组织核心云的步骤中,组织核心云首先对应用中用户权限进行判断,若用户访问的为第三方应用,组织核心云则调用应用认证接口的第三方应用认证接口进行验证;若此应用为组织开发的应用,则调用应用认证接口的组织应用认证接口进行验证。
参照图5,本发明提供的另一种实施例:一种区块链的应用管控系统用于实现本说明书中提供的第一个实施例一种区块链的应用管控方法,包括组织核心云、边缘云以及至少一个移动设备,共同执行如图2、图3和图4所示的方法;
所述组织核心云,部署有核心云认证平台,负责访问方式的应用授权认证管理,包括:
应用监管模块,负责对用户使用移动设备对组织核心云应用的操作进行监管,包括应用监控模块和应用权限管理模块;应用监控模块负责监控移动设备在对组织核心云应用的操作,并对违规操作进行告警、同时形成日志记录;应用权限管理模块负责移动设备对组织核心云应用的权限管理,其又包括应用授权模块和应用验证模块;在本发明的方法实施例中,用于接收移动设备发送的应用权限申请需求、用户身份信息、移动设备身份信息、应用名、位置信息,对应用权限申请需求进行审批并生成应用授权数据项,和用于接收移动设备发送的认证信息,对访问操作进行授权。
安全运维模块,负责核心云认证平台的安全运行维护工作,包括运维管理模块、安全传输模块、安全监护模块、日志管理模块;在本发明的方法实施中,用于将应用授权数据项发送至移动设备,使移动设备生成区块的区块体信息,并进行广播;和用于将分配资源信息发送至移动设备,使移动设备通过边缘云协同完成计算工作,将资源分配授权信息发送至边缘云,使边缘云协同移动设备完成计算工作;
区块链管理模块,负责从区块链成员中随机提取应用权限区块链的和查找目标区块,包括区块提取模块、区块查找模块;在本法发明的方法实施例中,用于从区块链成员中随机选取一个移动设备读取其存储的区块链记录,并协同应用监管模块完成认证信息去重操作;
边缘计算能力编排模块,负责将某移动设备构建区块链的计算需求分配到适合的边缘云,包括边缘云计算资源记录模块、计算资源预估模块、计算资源分配模块;在本发明的方法实施例中,用于接收移动设备发送的资源分配请求,对移动设备所需工作资源进行预估;和用于获取边缘云资源信息,并根据预估结果进行边缘云资源分配。
还包括:
应用认证接口:实现与应用认证的安全对接,包含第三方应用认证接口和组织应用认证接口,其中第三方应用认证接口负责实现与第三方应用的安全对接验证工作,其中组织应用认证接口负责实现与组织应用的安全对接验证工作。
数据库:包括用户操作日志数据库、边缘云计算资源数据库。
所述边缘云,部署有计算资源部署平台,接受核心云认证平台分配给其的计算工作,在对移动应用管理模块请求进行验证后向其提供计算工作,包括:
计算能力分配模块,是根据所需向移动设备提供的计算工作量、移动设备的地理位置,基于自身的计算、网络、存储资源,分配资源以供移动设备使用,并且在整个协助工作的过程中提供服务;在本发明的方法实施中,用于根据资源请求向移动设备分配资源协同完成计算工作并更新资源使用情况,和用于对资源进行回收并安全清零。
权限认证模块,对核心云认证平台和移动应用管理模块的服务请求进行验证,确保平台和移动设备是真实的、其服务请求是合法的;在本发明的方法实施中,用于接收组织核心云的资源分配授权信息以及移动设备的资源请求,对移动设备的资源请求进行合法性认证。
安全保护模块,在本发明的方法实施中,用于保护边缘云计算资源共享平台自身的安全。
安全传输模块,确保与核心云认证平台和移动应用管理模块之间通信是加密安全传输的;在本发明的方法实施中,用于加密与组织核心云和移动设备之间的通信。
所述移动设备,部署有移动应用管理模块,负责移动设备的应用访问控制和区块链构建工作,包括:
区块链管理模块,负责区块链构建工作,由区块体创建模块、记账模块(提供区块链记账/挖矿服务)、共识确认模块组成;在本发明的方法实施中,用于创建区块的区块体信息;和用于使用边缘云的计算资源完成记账以及共识确认工作,创建区块并将区块添加到区块链中。
许可验证模块,负责向核心云的核心云认证平台进行操作权限验证;在本发明的方法实施中,用于向组织核心云发送应用权限申请需求、用户身份信息、移动设备身份信息、应用名以及位置信息,使组织核心云进行需求审批并生成应用授权。
许可申报模块,负责当前移动设备访问组织核心云应用的权限许可申报服务;在本发明的方法实施中,用于移动设备向组织核心云发送认证信息,使组织核心云完成对访问操作的授权。
计算资源调用模块,负责向核心云认证平台申请计算资源分并协调其分配边缘云以完成区块链构建相关的计算工作,包括计算资源申请模块、计算协同模块;在本发明的方法实施中,移动设备向组织核心云发送资源分配请求,使组织核心云完成对移动设备所需工作资源的预估并进行边缘云资源分配;和用于根据分配资源信息向边缘云发送资源请求,使边缘云进行资源分配。
安全传输模块,在本发明的方法实施中,用于保护移动设备与组织核心云以及移动设备与边缘云之间通信的加密安全传输;
安全保护模块,在本发明的方法实施中,用于保护移动应用管理模块自身的安全。
参照图6,作为进一步优选实施方式,所述组织核心云、边缘云以及至少一个移动设备通过5G网络进行数据传输;本实施例的网络环境由组织核心云、边缘云、移动设备组成。其中移动设备是区块链的成员。核心云认证平台部署在组织核心云、边缘云计算资源共享平台部署在边缘云、移动应用管理模块部署在移动设备;本实施例使用5G网络,支持多设备接入和快速传输数据,受网络的影响明显降低,避免了计算中断等情况。
综上所述,相对于现有技术,本发明一种区块链的应用管控方法及系统具有以下优点:1.本发明使用了区块链来记录组织核心云中应用的权限信息;这就形成了分布式认证的基础,避免了传统集中式管理认证信息而形成了易被攻击的情况;同时由于区块链不可否认的特性,增强了权限管理的安全性;
2.本发明的权限控制能细化到不同用户使用每个不同设备在不同的地理位置访问应用的权限,比现有技术具备更细致的权限控制能力;
3.本发明进行应用管控时将应用认证与访问组织资源的权限管控分开进行,这样组织不需要对其使用的应用进行专门的改造,降低了组织进行应用管理的成本和安全威胁;
4.本发明应用权限与传统的集中式存储在数据库中的方式不同,应用权限存储在区块成员的区块链上;并且仅在用户使用移动设备向核心云认证平台提出应用权限申请到区块链构建成功的这段时间内加密保存在内存中,这个时间极短,减少了受攻击面,从而提升了管理员分配应用权限的安全性;并且在组织核心去进行应用权限审核时,随机从分布式的移动设备中提取应用权限信息,这就避免了攻击者针对特定权限信息存储进行攻击的情况,提升了应用权限保护的安全性;
5.本专利基于5G网络支持多设备接入和快速传输数据的特性,使用边缘云的计算资源更接近移动设备的特性,减轻了移动设备构建区块链的工作量(这样能支持各类移动设备,而不只是笔记本或平板电脑这样计算能力强的移动终端),最终使得移动设备能作为区块链网络的成员直接进行区块链的构建工作,为实现强有力的应用管控提供了基础。
对于上述方法实施例中的步骤编号或顺序,其仅为了便于阐述说明而设置,对步骤之间的顺序不做任何限定,实施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。
以上是对本发明的较佳实施进行了具体说明,但本发明并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (8)
1.一种区块链的应用管控方法,其特征在于:包括以下步骤:
组织核心云接收移动设备发送的应用权限申请需求、用户身份信息、移动设备身份信息、应用名以及位置信息;
组织核心云对所述应用权限申请需求进行审批并生成应用授权数据项;
组织核心云将所述应用授权数据项发送至移动设备,使移动设备生成区块的区块体信息并进行广播;
组织核心云接收移动设备发送的资源分配请求,对所述移动设备所需工作资源进行预估;
组织核心云获取边缘云资源信息,并根据预估结果进行边缘云资源分配;
组织核心云将分配资源信息发送至移动设备,使移动设备通过边缘云协同完成计算工作;
组织核心云将资源分配授权信息发送至边缘云,使边缘云协同移动设备完成计算工作;
组织核心云接收移动设备发送的认证信息,对所述认证信息进行权限认证和合法认证;
组织核心云从移动设备获取存储的区块链记录;
组织核心云根据所述区块链记录中的认证信息进行去重操作;
组织核心云对访问操作授权并监控访问操作过程,在访问操作过程中进行认证信息的重新确认。
2.根据权利要求1所述的一种区块链的应用管控方法,其特征在于,所述认证信息包括用户身份信息、移动设备身份信息、应用认证信息、当前位置信息以及需访问的应用及操作;
所述用户身份信息包括用户姓名、ID、所属组织;
所述应用认证信息包括应用的ID、密码、以及身份信息。
3.一种区块链的应用管控方法,其特征在于:包括以下步骤:
移动设备向组织核心云发送应用权限申请需求、用户身份信息、移动设备身份信息、应用名以及位置信息,使组织核心云进行需求审批并生成应用授权;
移动设备接收组织核心云的授权数据项,生成区块的区块体信息并进行广播;
移动设备向组织核心云发送资源分配请求,使组织核心云完成对移动设备所需工作资源的预估并进行边缘云资源分配,和/或,使组织核心云对访问操作授权并监控访问操作;
移动设备接收获取组织核心云的分配资源信息;
移动设备根据所述分配资源信息想边缘云发送资源请求,使边缘云进行资源分配;
移动设备根据所述资源分配结果通过边缘云协同完成计算工作;
移动设备向组织核心云发送的认证信息,以使对访问操作授权并监控访问操作,其中进行认证信息的重新确认包括以下步骤:
使组织核心云接收移动设备发送的认证信息,对所述认证信息进行权限认证和合法认证;
使组织核心云从移动设备获取存储的区块链记录;
使组织核心云根据所述区块链记录中的认证信息进行去重操作;
使组织核心云对访问操作授权并监控访问操作过程,在访问操作过程中进行认证信息的重新确认。
4.根据权利要求3所述的一种区块链的应用管控方法,其特征在于:还包括以下步骤:
移动设备接收到其他区块链成员的广播信息,对新区块的授权信息进行合法验证;
移动设备根据所述资源分配结果通过边缘云协同完成计算工作。
5.根据权利要求3或4任一项所述的一种区块链的应用管控方法,其特征在于:还包括以下步骤:
移动设备向组织核心云发送认证信息,使组织核心云完成对访问操作的授权;
移动设备获取访问操作授权并访问组织核心云中的应用。
6.根据权利要求3或4任一项所述的一种区块链的应用管控方法,其特征在于,所述计算工作包括:
移动设备根据组织核心云返回的应用授权数据项创建区块的区块体信息;
移动设备通过边缘云完成记账和共识确认工作,创建区块并将所述区块添加到区块链中。
7.一种区块链的应用管控系统,其特征在于:包括组织核心云、边缘云以及至少一个移动设备;
所述组织核心云包括:
应用监管模块,用于接收移动设备发送的应用权限申请需求、用户身份信息、移动设备身份信息、应用名、位置信息,对应用权限申请需求进行审批并生成应用授权数据项,和用于接收移动设备发送的认证信息,对访问操作进行授权;
安全运维模块,用于将应用授权数据项发送至移动设备,使移动设备生成区块的区块体信息,并进行广播;和用于将分配资源信息发送至移动设备,使移动设备通过边缘云协同完成计算工作,将资源分配授权信息发送至边缘云,使边缘云协同移动设备完成计算工作;
区块链管理模块,用于选取一个移动设备读取其存储的区块链记录,并协同应用监管模块完成认证信息去重操作;
边缘计算能力编排模块,用于接收移动设备发送的资源分配请求,对移动设备所需工作资源进行预估;和用于获取边缘云资源信息,并根据预估结果进行边缘云资源分配;
所述边缘云包括:
计算能力分配模块,用于根据资源请求向移动设备分配资源协同完成计算工作并更新资源使用情况,和用于对资源进行回收并安全清零;
权限认证模块,用于接收组织核心云的资源分配授权信息以及移动设备的资源请求,对移动设备的资源请求进行合法性认证;
安全保护模块,用于保护边缘云计算资源共享平台自身的安全;
安全传输模块,用于加密与组织核心云和与移动设备之间的通信;
所述移动设备包括:
区块链管理模块,用于创建区块的区块体信息;和用于使用边缘云的计算资源完成记账以及共识确认工作,创建区块并将区块添加到区块链中;
许可验证模块,用于向组织核心云发送应用权限申请需求、用户身份信息、移动设备身份信息、应用名以及位置信息,使组织核心云进行需求审批并生成应用授权;
许可申报模块,用于移动设备向组织核心云发送认证信息,使组织核心云完成对访问操作的授权;
计算资源调用模块,用于向组织核心云发送资源分配请求,使组织核心云完成对移动设备所需工作资源的预估并进行边缘云资源分配;和用于根据分配资源信息想边缘云发送资源请求,使边缘云进行资源分配;
安全传输模块,用于保护移动设备与组织核心云以及移动设备与边缘云之间通信的加密安全传输;
安全保护模块,用于保护移动应用管理模块自身的安全。
8.根据权利要求7所述的一种区块链的应用管控系统,其特征在于,所述组织核心云、边缘云以及至少一个移动设备通过5G网络进行数据传输。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911357067.XA CN111159736B (zh) | 2019-12-25 | 2019-12-25 | 一种区块链的应用管控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911357067.XA CN111159736B (zh) | 2019-12-25 | 2019-12-25 | 一种区块链的应用管控方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111159736A CN111159736A (zh) | 2020-05-15 |
CN111159736B true CN111159736B (zh) | 2022-03-25 |
Family
ID=70558306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911357067.XA Active CN111159736B (zh) | 2019-12-25 | 2019-12-25 | 一种区块链的应用管控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111159736B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114679467A (zh) * | 2022-03-23 | 2022-06-28 | 中国联合网络通信集团有限公司 | 多区块链协同服务方法、区块链服务系统和协同服务系统 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101977242A (zh) * | 2010-11-16 | 2011-02-16 | 西安电子科技大学 | 一种分层分布式云计算体系结构及服务提供方法 |
CN103067338B (zh) * | 2011-10-20 | 2017-04-19 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
EP3454238B1 (en) * | 2016-12-23 | 2022-02-09 | CloudMinds (Shanghai) Robotics Co., Ltd. | Registration and authorization method, device and system |
CN108259438B (zh) * | 2016-12-29 | 2021-02-05 | 中移(苏州)软件技术有限公司 | 一种基于区块链技术的认证的方法和装置 |
CN106875254B (zh) * | 2017-01-20 | 2021-03-19 | 暨南大学 | 一种基于区块链技术的Android恶意应用程序控制方法 |
CN107222485B (zh) * | 2017-06-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 一种授权方法以及相关设备 |
CN108243182B (zh) * | 2017-10-26 | 2020-08-18 | 招商银行股份有限公司 | 区块链的管理授权方法、子管理端、根管理端及存储介质 |
US20190132350A1 (en) * | 2017-10-30 | 2019-05-02 | Pricewaterhousecoopers Llp | System and method for validation of distributed data storage systems |
CN108809953B (zh) * | 2018-05-22 | 2020-09-01 | 飞天诚信科技股份有限公司 | 一种基于区块链的匿名身份认证的方法及装置 |
CN109450877B (zh) * | 2018-10-25 | 2021-05-25 | 北京九州云腾科技有限公司 | 基于区块链的分布式IDaaS身份统一认证系统 |
CN109447641B (zh) * | 2018-10-26 | 2022-03-04 | 众安信息技术服务有限公司 | 向区块链浏览器传输区块链数据的方法和设备 |
CN109787815B (zh) * | 2018-12-27 | 2019-11-12 | 云南财经大学 | 基于区块链的政务信息资源共享系统 |
CN109768988B (zh) * | 2019-02-26 | 2021-11-26 | 安捷光通科技成都有限公司 | 去中心化物联网安全认证系统、设备注册和身份认证方法 |
CN109918926B (zh) * | 2019-02-28 | 2023-03-14 | 浪潮软件股份有限公司 | 基于区块链的数据分级分类鉴权方法、节点及区块链系统 |
-
2019
- 2019-12-25 CN CN201911357067.XA patent/CN111159736B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111159736A (zh) | 2020-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109510849B (zh) | 云存储的帐号鉴权方法和装置 | |
CN111488598B (zh) | 访问控制方法、装置、计算机设备和存储介质 | |
CN107579958B (zh) | 数据管理方法、装置及系统 | |
EP3258663B1 (en) | Verification method, apparatus and system for network application access | |
US20150007264A1 (en) | Secure hybrid file-sharing system | |
CN110837491B (zh) | 一种区块链金融大数据处理系统及方法 | |
CN110856174B (zh) | 一种接入认证系统、方法、装置、计算机设备和存储介质 | |
US20140052994A1 (en) | Object Signing Within a Cloud-based Architecture | |
CN202663444U (zh) | 一种云安全数据迁移模型 | |
CN111447220B (zh) | 认证信息管理方法、应用系统的服务端及计算机存储介质 | |
CN112702402A (zh) | 基于区块链技术实现政务信息资源共享和交换的系统、方法、装置、处理器及其存储介质 | |
CN111064718A (zh) | 一种基于用户上下文及策略的动态授权方法和系统 | |
CN113572791B (zh) | 一种视频物联网大数据加密服务方法、系统及装置 | |
CN115333840B (zh) | 资源访问方法、系统、设备及存储介质 | |
CN111010396A (zh) | 一种互联网身份认证管理方法 | |
CN105704094A (zh) | 应用访问权限控制方法及装置 | |
CN111159736B (zh) | 一种区块链的应用管控方法及系统 | |
CN110910110A (zh) | 一种数据处理方法、装置及计算机存储介质 | |
KR101991340B1 (ko) | 보안 관리를 위한 장치 및 방법 | |
CN114157470B (zh) | 一种令牌管理方法和装置 | |
US20220255970A1 (en) | Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices | |
CN112422292B (zh) | 一种网络安全防护方法、系统、设备及存储介质 | |
CN114244568A (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
CN108449358B (zh) | 基于云的低延时安全计算方法 | |
CN111064695A (zh) | 一种认证方法及认证系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |