CN111200584A - 一种基于区块链技术优化黑白名单机制的系统和方法 - Google Patents
一种基于区块链技术优化黑白名单机制的系统和方法 Download PDFInfo
- Publication number
- CN111200584A CN111200584A CN201811381587.XA CN201811381587A CN111200584A CN 111200584 A CN111200584 A CN 111200584A CN 201811381587 A CN201811381587 A CN 201811381587A CN 111200584 A CN111200584 A CN 111200584A
- Authority
- CN
- China
- Prior art keywords
- black
- block chain
- white list
- module
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种基于区块链技术优化黑白名单机制的系统和方法,采用基于区块链技术的方式,黑白名单通过区块链技术得以分布式存储在各个客户端和服务器中,并通过区块链的账本实时同步,保障黑白名单的可靠不会破坏;同时通过区块链的共识机制,能够实现对黑白名单的实时更新和可靠认证。涉及计算机安全中的黑、白名单技术、以及区块链的分布记账技术,对黑、白名单机制进行优化,解决黑白名单机制的弊端。
Description
技术领域
本发明涉及一种基于区块链技术优化黑白名单机制的系统和方法,涉及计算机安全中的黑、白名单技术、以及区块链的分布记账技术,对黑、白名单机制进行优化,解决黑白名单机制的弊端。
缩略语及名词解释
区块链:狭义来讲,区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构,并以密码学方式保证的不可篡改和不可伪造的分布式账本。广义来讲,区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。
背景技术
在电脑系统里,有很多软件都应用到了黑白名单规则,操作系统、防火墙、杀毒软件、邮件系统、应用软件等,凡是涉及到控制方面几乎都应用了黑白名单规则。黑名单启用后,被列入到黑名单的用户(或IP地址、IP包、邮件、病毒等)不能通过。如果设立了白名单,则只有在白名单中的用户(或IP地址、 IP包、邮件等)才能通过。将其含义扩展一步,那么凡有黑名单功能的应用,就会有白名单功能与其对应。
白名单是设置能通过的用户,白名单以外的用户都不能通过。黑名单是设置不能通过的用户,黑名单以外的用户都能通过。所以多数情况下白名单比黑名单限制的用户要更多一些。
与黑名单工作原理类似,白名单的工作原理是,通过识别系统中的进程或文件是否具有经批准的属性、常见进程名称、文件名称、发行商名称、数字签名,白名单技术能够让企业批准哪些进程被允许在特定系统运行。有些供应商产品只包括可执行文件,而其他产品还包括脚本和宏,并可以阻止更广泛的文件。其中,一种越来越受欢迎的白名单方法被称为“应用控制”,这种方法专门侧重于管理端点应用的行为。
因此,基于黑白名单体系的技术目前正广泛应用于计算机安全领域中。
然而,通常基于黑白名单体系的信息安全系统都是中心化的系统,黑白名单由中心服务器定义,并将黑白名单下发给各客户端,由客户端执行。这样的体系下黑白名单技术有着致命的弱点:
1)服务器一旦遭受攻击,黑背名单遭到破坏或篡改,所有的客户端无法正确执行控制。例如目前发生的勒索病毒对服务器的破坏。
2)黑白名单的设置都是静态更新的,白名单的更新缓慢会导致防护过于死板,黑名单的更新缓慢会导致防护实时性和全面性下降。
因此,本发明涉及一种基于区块链技术优化黑白名单机制的系统和方法,采用基于区块链技术的方式,黑白名单通过区块链技术得以分布式存储在各个客户端和服务器中,并通过区块链的账本实时同步,保障黑白名单的可靠不会破坏;同时通过区块链的共识机制,能够实现对黑白名单的实时更新和可靠认证。
发明内容
本发明所述的涉及一种基于区块链技术优化黑白名单机制的系统,采用中心化和去中心化(基于区块链技术)结合的C/S架构体系,如图1所示,其中服务器主要由黑白名单决策模块、API模块、分布式记账模块和区块链账本组成;客户端主要由黑白名单决策模块、API模块、状态统计模块,分布式记账模块和区块链账本组成。其中:
1.服务器部分
1.1.黑白名单决策模块
通过调用API模块获取区块链中区块数据,对状态数据进行统计分析,决策(采用单位时间内新增状态占比进行判断,超过阀值则调整)更新黑白名单,一旦发现黑白名单需要更新时,产生新的区块,并通过调用API 模块将新的区块加入到区块链中;然后通过区块链的同步账本机制将更新后的黑白名单同步给所有客户端。
服务器部分只能创建黑白名单区块。
1.2.API模块
API模块提供接口方法,为在服务器上提取区块链账本、验证区块链账本、和加入区块链账本提供接口。
1.3.分布式记账模块
服务器作为区块链体系的一个节点,分布式记账模块采用区块链中的点对点通信技术,实现和区块链体系中其他节点(客户端)之间同步区块链账本。
1.4.区块链账本
区块链账本用于存储两类区块,一是状态区块,一是黑白名单区块。数据以如图2所示的区块链结构进行存储。服务器存放完整区块。
2.客户端部分
2.1.黑白名单决策模块
通过调用API模块,从区块链账本中获取最新的黑白名单,并通知上层防护系统。黑白名单决策模块应根据上层防护系统开发不同的接口。
2.2.API模块
API模块提供接口方法,为在客户端上提取区块链账本、验证区块链账本、和加入区块链账本提供接口。
2.3.状态统计模块
实时根据上层防护系统的日志、告警或接口,从上层防护系统获取上层防护系统依据黑白名单拦截或放行的状态信息,进行统计和筛选(筛选方式主要包括去重),并将新的状态值写入新的区块中,然后通过调用API 模块将新的区块加入到区块链中;然后通过区块链的同步账本机制将状态统计同步给所有客户端和服务器。
状态统计模块应根据上层防护系统开发不同的接口。例如,在反垃圾邮件系统中存在有黑白名单设计,对于黑名单中发件人直接进行拦截,对于白名单中的发件人直接放行,对于不在黑白名单中的发件人,是通过用户自行判断的,一旦用户判断为垃圾邮件,则状态统计模块会将此发件人状态标识并写入新创建的区块。
客户端部分只能创建状态区块。
2.4.分布式记账模块
客户端作为区块链体系的一个节点,分布式记账模块采用区块链中的点对点通信技术,实现和区块链体系中其他节点(客户端和服务器)之间同步区块链账本。
2.5.区块链账本
区块链账本用于存储两类区块,一是状态区块,一是黑白名单区块。数据以如图2所示的区块链结构进行存储。客户端存放完整区块。
本发明所述的涉及一种基于区块链技术优化黑白名单机制的方法,采用本发明所述的涉及一种基于区块链技术优化黑白名单机制的系统,首先在服务器上创建初始黑白名单区块,并通过分布式记账模块将黑白名单同步到各个客户端;客户端的黑白名单决策模块通过调用API模块,从区块链账本中获取最新的黑白名单,并通知上层防护系统进行应用;客户端的状态统计模块实时根据上层防护系统的日志、告警或接口,从上层防护系统获取上层防护系统依据黑白名单拦截或放行的状态信息,进行统计和筛选,并将新的状态值写入新的区块中,然后通过调用API模块将新的区块加入到区块链中;然后通过区块链的同步账本机制将状态统计同步给所有客户端和服务器;服务器的黑白名单决策模块通过调用API模块获取区块链中区块数据,对状态数据进行统计分析,决策更新黑白名单,一旦发现黑白名单需要更新时,产生新的区块,并通过调用API模块将新的区块加入到区块链中;然后通过区块链的同步账本机制将更新后的黑白名单同步给所有客户端。
具体实施方式
本系统的服务器部分部署在上层防护系统的服务器中,本系统的客户端部分部署在上层防护系统所管控的每台终端计算机中。
附图说明
图1为一种基于区块链技术优化黑白名单机制的系统结构;
图2为比特币区块链的区块结构。
Claims (10)
1.本发明所述的涉及一种基于区块链技术优化黑白名单机制的系统,其特征在于,采用中心化和去中心化结合的C/S架构体系,由服务器和客户端两部分组成;服务器部分主要包括黑白名单决策模块、API模块、分布式记账模块和区块链账本,客户端部分主要包括黑白名单决策模块、API模块、状态统计模块,分布式记账模块和区块链账本,其中:
A.服务器的黑白名单决策模块,通过对区块链中状态数据进行统计分析,决策更新黑白名单,一旦发现黑白名单需要更新时,产生新的区块;
B.服务器的API模块提供接口方法,为在服务器上提取区块链账本、验证区块链账本、和加入区块链账本提供接口;
C.服务器的分布式记账模块,采用区块链中的点对点通信技术,实现和区块链体系中其他节点之间同步区块账本;
D.服务器的区块链账本,采用比特币的区块结构,存储状态数据和黑白名单数据;
E.客户端的黑白名单决策模块,从区块链账本中获取最新的黑白名单,并通知上层防护系统;
F.客户端的API模块,为在客户端上提取区块链账本、验证区块链账本、和加入区块链账本提供接口;
G.客户端的状态统计模块实时根据上层防护系统的日志、告警或接口,从上层防护系统获取上层防护系统依据黑白名单拦截或放行的状态信息,进行统计和筛选,并将新的状态值写入新的区块中;
H.客户端的分布式记账模块模块采用区块链中的点对点通信技术,实现和区块链体系中其他节点之间同步区块账本;
I.客户端的区块链账本,采用比特币的区块结构,存储状态数据和黑白名单数据。
2.如权利要求1所述的一种基于区块链技术优化黑白名单机制的系统,其特征在于,服务器的黑白名单决策模块只能创建黑白名单区块;并通过调用服务器的API模块获取区块链中区块数据和将新的区块加入到区块链中。
3.如权利要求1所述的一种基于区块链技术优化黑白名单机制的系统,其特征在于,服务器的区块链账本是区块链中的完备节点,存储完整区块。
4.如权利要求1所述的一种基于区块链技术优化黑白名单机制的系统,其特征在于,客户端的黑白名单决策模块应根据上层防护系统开发不同的接口。
5.如权利要求1所述的一种基于区块链技术优化黑白名单机制的系统,其特征在于,客户端的黑白名单决策模块通过调用客户端API模块获取区块链中区块数据。
6.如权利要求1所述的一种基于区块链技术优化黑白名单机制的系统,其特征在于,客户端的状态统计模块应根据上层防护系统开发不同的接口。
7.如权利要求1所述的一种基于区块链技术优化黑白名单机制的系统,其特征在于,客户端的状态统计模块通过调用客户端的API模块将新的区块加入到区块链中。
8.如权利要求1所述的一种基于区块链技术优化黑白名单机制的系统,其特征在于,客户端的状态统计模块只能创建状态区块。
9.如权利要求1所述的一种基于区块链技术优化黑白名单机制的系统,其特征在于,客户端的是区块链中的完备节点,存储完整区块。
10.本发明所述的涉及一种基于区块链技术优化黑白名单机制的方法,其特征在于采用权利要求1-9任一所述的一种基于区块链技术优化黑白名单机制的系统,首先在服务器上创建初始黑白名单区块,并通过分布式记账模块将黑白名单同步到各个客户端;客户端的黑白名单决策模块通过调用API模块,从区块链账本中获取最新的黑白名单,并通知上层防护系统进行应用;客户端的状态统计模块实时根据上层防护系统的日志、告警或接口,从上层防护系统获取上层防护系统依据黑白名单拦截或放行的状态信息,进行统计和筛选,并将新的状态值写入新的区块中,然后通过调用API模块将新的区块加入到区块链中;然后通过区块链的同步账本机制将状态统计同步给所有客户端和服务器;服务器的黑白名单决策模块通过调用API模块获取区块链中区块数据,对状态数据进行统计分析,决策更新黑白名单,一旦发现黑白名单需要更新时,产生新的区块,并通过调用API模块将新的区块加入到区块链中;然后通过区块链的同步账本机制将更新后的黑白名单同步给所有客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811381587.XA CN111200584B (zh) | 2018-11-20 | 2018-11-20 | 一种基于区块链技术优化黑白名单机制的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811381587.XA CN111200584B (zh) | 2018-11-20 | 2018-11-20 | 一种基于区块链技术优化黑白名单机制的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111200584A true CN111200584A (zh) | 2020-05-26 |
| CN111200584B CN111200584B (zh) | 2023-08-11 |
Family
ID=70747408
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811381587.XA Active CN111200584B (zh) | 2018-11-20 | 2018-11-20 | 一种基于区块链技术优化黑白名单机制的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111200584B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112329570A (zh) * | 2020-10-27 | 2021-02-05 | 湖北邮电规划设计有限公司 | 一种融合5g、区块链技术的机场海关智能卡口系统 |
| US11343313B1 (en) | 2021-01-28 | 2022-05-24 | International Business Machines Corporation | Fault tolerant periodic leader rotation for blockchain |
| CN115967697A (zh) * | 2022-12-27 | 2023-04-14 | 暨南大学 | 一种基于区块链的邮件黑名单共享方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018018992A1 (zh) * | 2016-07-25 | 2018-02-01 | 中兴通讯股份有限公司 | 一种应用区块链的方法、装置及系统 |
| CN107729471A (zh) * | 2017-10-13 | 2018-02-23 | 上海策赢网络科技有限公司 | 一种区块链及其生成方法与设备 |
| US20180211043A1 (en) * | 2017-01-24 | 2018-07-26 | SparkCognition, Inc. | Blockchain Based Security for End Points |
| CN108769750A (zh) * | 2018-05-02 | 2018-11-06 | 中广热点云科技有限公司 | 一种基于区块链技术的数字内容银行系统 |
-
2018
- 2018-11-20 CN CN201811381587.XA patent/CN111200584B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018018992A1 (zh) * | 2016-07-25 | 2018-02-01 | 中兴通讯股份有限公司 | 一种应用区块链的方法、装置及系统 |
| US20180211043A1 (en) * | 2017-01-24 | 2018-07-26 | SparkCognition, Inc. | Blockchain Based Security for End Points |
| CN107729471A (zh) * | 2017-10-13 | 2018-02-23 | 上海策赢网络科技有限公司 | 一种区块链及其生成方法与设备 |
| CN108769750A (zh) * | 2018-05-02 | 2018-11-06 | 中广热点云科技有限公司 | 一种基于区块链技术的数字内容银行系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112329570A (zh) * | 2020-10-27 | 2021-02-05 | 湖北邮电规划设计有限公司 | 一种融合5g、区块链技术的机场海关智能卡口系统 |
| US11343313B1 (en) | 2021-01-28 | 2022-05-24 | International Business Machines Corporation | Fault tolerant periodic leader rotation for blockchain |
| CN115967697A (zh) * | 2022-12-27 | 2023-04-14 | 暨南大学 | 一种基于区块链的邮件黑名单共享方法 |
| CN115967697B (zh) * | 2022-12-27 | 2024-07-26 | 暨南大学 | 一种基于区块链的邮件黑名单共享方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111200584B (zh) | 2023-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721461B (zh) | 利用专用计算机安全服务的系统和方法 | |
| US11374769B2 (en) | Efficient and secure distributed ledger maintenance | |
| CN108270874B (zh) | 应用程序的更新方法及装置 | |
| CN111133733B (zh) | 用于基于云平台的自动区块链部署的方法和系统 | |
| US9461963B2 (en) | Systems and methods for detecting undesirable network traffic content | |
| CN111045855B (zh) | 备份数据的方法、装置和计算机程序产品 | |
| CN111034146B (zh) | 用于两步认证的方法、计算机存储介质以及计算机系统 | |
| US20180211043A1 (en) | Blockchain Based Security for End Points | |
| US7793335B2 (en) | Computer-implemented method, system, and program product for managing log-in strikes | |
| CN111200584A (zh) | 一种基于区块链技术优化黑白名单机制的系统和方法 | |
| US10698879B1 (en) | Data management for extended multi-cloud environment | |
| CN111786812B (zh) | 节点管理方法、装置、计算机设备和存储介质 | |
| CN103841111A (zh) | 一种防止数据重复提交的方法和服务器 | |
| JP2024505692A (ja) | ブロックチェーンネットワークに基づくデータ処理方法、装置及びコンピュータ機器 | |
| US20170339174A1 (en) | Computer security apparatus | |
| CN113469371B (zh) | 联邦学习方法和装置 | |
| CN109495874B (zh) | Profile下载的方法和装置 | |
| CN112714158A (zh) | 事务处理方法、中继网络、跨链网关、系统、介质和设备 | |
| EP3465528B1 (en) | Apparatus and method of creating a data chain in a data structure that can be cryptographically proven to contain valid data | |
| US10318385B2 (en) | Service recovery using snapshots and interservice messages | |
| CN115412547A (zh) | 一种文件上传方法及文件上传系统 | |
| Tapas et al. | Blockchain-based publicly verifiable cloud storage | |
| US20200401317A1 (en) | Method, device, and computer program product for managing data placement | |
| CN117407437A (zh) | 一种基于区块链的数据处理方法、设备以及可读存储介质 | |
| CN111131409A (zh) | 一种响应请求的方法、装置以及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200525 Address after: 215123 5th floor, golden house building, no.280, Dongping street, Suzhou Industrial Park, Suzhou City, Jiangsu Province Applicant after: Hui shield information security technology (Suzhou) Limited by Share Ltd. Address before: 215000 5 / F, golden house building, No. 280, Dongping street, Suzhou Industrial Park, Jiangsu Province Applicant before: Hui shield information security technology (Suzhou) Limited by Share Ltd. Applicant before: Wang Xiaobo Applicant before: Fang Ping |
|
| TA01 | Transfer of patent application right | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |