CN111478890A - 一种基于智能合约的网络服务访问控制方法和系统 - Google Patents

一种基于智能合约的网络服务访问控制方法和系统 Download PDF

Info

Publication number
CN111478890A
CN111478890A CN202010236945.9A CN202010236945A CN111478890A CN 111478890 A CN111478890 A CN 111478890A CN 202010236945 A CN202010236945 A CN 202010236945A CN 111478890 A CN111478890 A CN 111478890A
Authority
CN
China
Prior art keywords
user
fraud
intelligent contract
network service
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010236945.9A
Other languages
English (en)
Other versions
CN111478890B (zh
Inventor
胡斌
赵晓芳
龚循武
赵阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Computing Technology of CAS
Original Assignee
Institute of Computing Technology of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Computing Technology of CAS filed Critical Institute of Computing Technology of CAS
Priority to CN202010236945.9A priority Critical patent/CN111478890B/zh
Publication of CN111478890A publication Critical patent/CN111478890A/zh
Application granted granted Critical
Publication of CN111478890B publication Critical patent/CN111478890B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例提供了一种基于智能合约的网络服务访问控制方法和系统,本发明在用户端本地通过智能合约在本地保存用户端访问网络服务端的历史行为数据,以实现收集的历史行为数据的全面性,而且由于收集数据的过程是基于智能合约执行的且设有抗欺诈的技术措施,具有较高的可信度,在用户端对某一网络服务端发起访问时,基于该网络服务端的分析需求对本地的历史行为数据进行分析得到分析结果,将该分析结果作为确定访问权限的依据发送给网络服务端,以获取网络服务端的访问权限,该过程既按照网络服务端的分析需求对历史行为数据进行评价,又仅将分析结果发送给了网络服务端,不会将原始的历史行为数据发送给网络服务端,保护了用户的隐私。

Description

一种基于智能合约的网络服务访问控制方法和系统
技术领域
本发明涉及网络安全领域,具体来说涉及应用于网络服务的访问控制、数据共享、隐私保护的领域,更具体地说,涉及一种基于智能合约的网络服务访问控制方法和系统。
背景技术
网络服务经常面临用户有意或者无意的行为威胁,例如:无意的越权访问服务、有意的长时间越权访问服务、有意的身份欺骗等等。网络服务与用户之间维护着一种脆弱的信任关系。为应对威胁,网络服务建立了许多的安全机制。其中,动态访问控制是一种重要的方法。它基于用户的历史行为表现,结合网络服务自定义的数据分析模型动态给出一个标量值作为调整访问控制权限的依据。然而,用户的历史行为数据分布于许多不同的网络服务中,无论从用户行为数据准确性抑或全面性来看,其数据收集都是一项困难的工作。前述数据分析所依赖的用户行为的数据准确性以及全面性极大制约了动态访问控制的可靠性。与此同时,极少有工作详细阐述了互联网数据收集是如何完成的。
动态访问控制是保护服务内容安全的一种重要的方法,它基于对用户历史行为数据的分析,为网络服务动态调整访问权限提供依据。然而,无中心网络环境下,用户的历史行为数据的准确收集是一项困难的工作。为了提升动态访问控制方法的可靠性,许多研究在无法得到关于用户的准确、全面的直接交互行为数据时,引入了看法、意见以及推荐等间接数据来修正分析结果。这种方法一方面无法确保间接数据的信息准确性,例如:其它网络服务有意欺骗或者因主观因素导致结果偏差。另一个方面间接数据来源于其它网络服务,而网络连接、协作意愿等都导致间接数据的收集困难。这直接导致动态访问控制依赖的用户行为数据准确性以及全面性得不到保障,进而使得网络服务在运用动态访问控制技术的情况下,也难以确保服务资源的安全。此外,准确和全面的数据收集又与网络用户的隐私保护诉求冲突,因此如何调和数据收集及分享和隐私保护之间的冲突成为现有动态访问控制技术的难点。
在无中心网络中,不存在中心化的机构或者服务来收集用户的历史行为数据。用户与服务之间交互所产生的行为数据,往往分散在许多不同的服务之中。因此,指定用户的行为数据收集是一项困难的工作。例如:服务(评估者)收集指定用户(被评估者)的所有历史行为数据,它需要用户所访问过的其它服务协助提供关于用户的行为数据。
网络数据收集中影响数据质量的三个因素:第一、网络连接不确定性;第二、协助提供网络数据的服务的可信度的影响;第三、协助提供网络数据的服务的主观不确定性影响。例如:协作式入侵检测依赖于不同入侵检测系统(IDS)之间的数据共享来提供更全面的网络数据。IDS之间的信任、信息责任以及共识达成问题阻碍了数据收集的过程。此外,用户的行为数据收集过程本身与用户的隐私保护诉求存在冲突。目前,用户的隐私保护方面面临着挑战,例如:用户隐私信息售卖。因此,从周围其它服务节点收集关于用户的客观历史交互数据(又称之为直接数据)是一件困难的工作。一些现有的技术方案通过收集周围其它服务节点的主观信息,例如:看法、意见、推荐等(又称之为间接数据),来协助修正数据分析中由数据全面性引发的可靠性问题。但是,这些周围其它服务节点的主观不确定性也是不可忽略的重要影响因素,尤其是当这些节点对于提供协助不关心或者它本身在有利可图的情况下会故意提供一些错误的信息。
发明内容
因此,本发明的目的在于克服上述现有技术的缺陷,提供一种基于智能合约的网络服务访问控制方法和系统。
本发明的目的是通过以下技术方案实现的:
根据本发明的第一方面,提供一种基于智能合约的数据管理方法,所述基于智能合约的数据管理方法包括:
在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,在智能合约中约定在用户本地执行以下操作:
对发起访问请求的用户端,先将基于保存在本地的用户所有的历史行为数据中的不当行为计算的本地哈希值与区块链上的抗欺诈账本中保存的抗欺诈哈希值比对以进行抗欺诈验证;
对历史行为数据通过抗欺诈验证的用户端,根据网络服务端的分析需求对其本地的历史行为数据进行分析,并将分析结果作为确定访问权限的依据发送给网络服务端。
优选的,在智能合约中还约定在用户本地执行以下操作:
在根据所述访问权限访问网络服务端的信息时,根据网络服务端的评价需求对用户端的访问过程进行监督得到评价结果;
在评价结果显示存在不当行为的情况下,将不当行为的哈希值封装成交易记录以作为更新抗欺诈哈希值的依据上报至抗欺诈账本,并在抗欺诈账本反馈成功更新抗欺诈哈希值后根据评价结果更新用户本地的历史行为数据;
在评价结果显示无异常的情况下,在用户端访问结束后更新用户本地的历史行为数据。
优选的,在智能合约中还约定在用户本地执行以下操作:
在更新的用户的历史行为数据中存在新增的不当行为的情况下,即时更新本地哈希值。
优选的,在智能合约中还约定在用户本地执行以下操作:
从网络服务端获取需要监督的不当行为类型和发生相应不当行为的惩罚措施,在评价结果显示存在相应不当行为时,根据该不当行为的惩罚措施对用户端进行惩罚。
优选的,在智能合约中还约定在用户本地执行以下操作:
将用户的历史行为数据以预设的标准格式存储在本地的用户信任证书中且在每次更新用户的历史行为数据后更新用于验证证书有效性的证书签名,其中,证书签名用于每次在进行抗欺诈验证前对用户信任证书进行的证书签名验证,在证书签名验证通过后才进行抗欺诈验证。
根据本发明的第二方面,提供一种基于智能合约的网络服务访问控制方法,包括:
在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,智能合约中约定执行以下操作:
在收到使用如第一方面所述的基于智能合约的访问方法的用户端发送的分析结果后,所述网络服务端根据所述分析结果确定该用户端的访问权限。
根据本发明的第三方面,提供一种基于智能合约的网络服务访问控制系统,包括:
使用如第一方面所述的基于智能合约的数据管理方法的用户端;以及
使用如第二方面所述的基于智能合约的网络服务访问控制方法的网络服务端。
根据本发明的第四方面,提供一种基于智能合约的网络服务访问控制系统,包括用户端和网络服务端,所述用户端配置有:
第一智能合约管理模块,用于在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,以基于智能合约在用户端按约定执行以下模块:
用户信任证书管理模块,用于对发起访问请求的用户端,先将保存在本地的用户所有的历史行为数据中的不当行为的本地哈希值与区块链上的抗欺诈账本中保存的抗欺诈哈希值比对以进行抗欺诈验证;
数据分析模块,用于对历史行为数据通过抗欺诈验证的用户端,根据网络服务端的分析需求对其本地的历史行为数据进行分析,并将分析结果作为确定访问权限的依据发送给网络服务端;
数据收发模块,用于在获得网络服务端确定的访问权限后,根据所述访问权限访问网络服务端的信息;
所述网络服务端配置有:
第二智能合约管理模块,用于在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,以基于智能合约在网络服务端按约定执行以下模块:
访问权限管理模块,用于在收到用户端发送的分析结果后,根据所述分析结果确定该用户端的访问权限。
优选的,用户端是全节点的用户端或者轻节点的用户端,全节点的用户端,在用户本地保存一份抗欺诈账本以供查询;
轻节点的用户端,从区块链上保存的抗欺诈账本中查询其所需的抗欺诈哈希值。
优选的,所述抗欺诈账本包括花名册路由、花名册页树以及花名册页节点,其中,花名册路由是对所有用户端进行分区管理的一级索引,所述花名册页树是基于红黑树的分页账本,每个花名册页节点存储有一个用户端对应的抗欺诈哈希值。
优选的,在所述花名册页节点的节点体内以默克勒可信树的方式对用户端所有的不当行为的哈希值进行存储和组织,并在所述花名册页节点的节点头部内保存基于用户端所有的不当行为的哈希值计算的抗欺诈哈希值,每次更新抗欺诈哈希值后对所述花名册页节点的节点头部进行基于区块链的共识机制的节点签名。
与现有技术相比,本发明的优点在于:
本发明在用户端本地通过智能合约在本地保存用户端访问网络服务端的历史行为数据,以实现收集的历史行为数据的全面性,而且由于收集数据的过程是基于智能合约执行的且设有抗欺诈的技术措施,具有较高的可信度,在用户端对某一网络服务端发起访问时,基于该网络服务端的分析需求对本地的历史行为数据进行分析得到分析结果,将该分析结果作为确定访问权限的依据发送给网络服务端,以获取网络服务端的访问权限,该过程既按照网络服务端的分析需求对历史行为数据进行评价,又仅将分析结果发送给了网络服务端,不会将原始的历史行为数据发送给网络服务端,保护了用户的隐私。
附图说明
以下参照附图对本发明实施例作进一步说明,其中:
图1为根据本发明实施例的访问控制方法的流程示意图;
图2为根据本发明实施例的校验用户信任证书正确性的流程示意图;
图3为根据本发明实施例的根据网络服务端的分析需求对用户本地的历史行为数据进行分析的流程示意图;
图4为根据本发明实施例的根据网络服务端的评价需求对用户端的访问过程进行监督的流程示意图;
图5为根据本发明实施例的将不当行为的哈希值上报抗欺诈账本的流程示意图;
图6为根据本发明实施例的抗欺诈账本的数据查询的流程示意图。
图7为根据本发明实施例的一种基于智能合约的网络服务访问控制系统的系统示意图;
图8为根据本发明实施例的一种基于智能合约的网络服务访问控制系统中用户端的模块示意图;
图9为根据本发明实施例的抗欺诈账本的结构示意图;
图10为根据本发明实施例的花名册页节点的结构示意图;
图11为根据本发明实施例的花名册页节点新增不当行为的哈希值后的结构示意图。
具体实施方式
为了使本发明的目的,技术方案及优点更加清楚明白,以下结合附图通过具体实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如在背景技术部分提到的,发明人在进行动态访问控制研究时,发现影响其结果可靠性的核心要素在于用户行为数据的质量。其中,数据质量包含两个方面:第一是指从网络中收集关于指定对象的历史行为数据的准确性;第二是指收集关于指定对象的数据的全面性。准确性越高意味着所收集的数据越符合客观事实,全面性越高意味着收集的数据越完整。而无中心网络环境下,用户的所有交互信息分布在不同的网络服务中。评估者试图分析被评估者的行为表现就需要许多其他的网络服务的参与以及协助,而其他网络服务的参与以及协助存在许多的不确定性因素,例如:网络因素、网络服务自身的主观因素等,在这些因素影响下,准确和全面收集用户行为数据困难重重。此外,从隐私保护的角度来看,网络用户的行为数据收集违背了其隐私保护的诉求,这也加重了对被评估者的历史行为数据收集的困难。目前,无中心网络中,不存在中心化的机构或者服务来收集用户的历史行为数据,想要全面、可信地收集用户的历史行为存在难点,而且,用户的历史行为数据收集过程本身与用户的隐私保护诉求存在冲突。发明人经过对问题的数学建模分析以及当前区块链技术的优势研究,发现可以通过区块链以及智能合约的方法来解决用户行为数据质量问题。首先,智能合约是一段可执行代码,它完全依照合约代码逻辑自动强制运行,对于感性实体的操纵有一定抵抗力。本发明将智能合约作为可信的理性代理,依照规则在用户端管理和维护用户的所有交互行为信息。这样就具备了提供准确、全面的交互数据的前提;此外,智能合约作为可信第三方容器,在服务过程中,动态将用户的数据以及网络服务的数据分析模型纳入智能合约中,在合约中执行计算和分析过程,仅反馈分析结果给网络服务,这样一方面网络服务看不到关于用户的行为数据信息细节,即:用户数据的隐私得到保护,另一方面又实现了历史行为数据的共享,为网络服务提供了关于指定对象的高质量数据信息,可以有效提高动态访问控制的可靠性。
总的来说,本发明通过智能合约在本地保存用户端访问网络服务端的历史行为数据,以实现收集的历史行为数据的全面性,而且由于收集数据的过程是基于智能合约执行的且设有抗欺诈的技术措施,具有较高的可信度。而在用户端对某一网络服务端发起访问时,基于该网络服务端的分析需求对本地的历史行为数据进行分析得到分析结果,将该分析结果作为确定访问权限的依据发送给网络服务端,以获取网络服务端的访问权限,该过程既按照网络服务端的分析需求对历史行为数据进行评价,又仅将分析结果发送给了网络服务端,不会将原始的历史行为数据发送给网络服务端,保护了用户的隐私。
在对本发明的实施例进行具体介绍之前,先对其中使用到的部分术语作如下解释:
智能合约,是一种无需中介、自我验证、自动执行合约条款的计算机交易协议,或者说,智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议,智能合约允许在没有第三方的情况下进行可信交易。
用户端,是指客户端,也可理解为用户,是指与服务器相对应,为客户提供本地服务的程序。
网络服务端,也可理解为服务端或者网络服务,是指为用户端服务的服务程序,服务的内容诸如向客户端提供资源保存客户端数据,运行网络服务端的计算设备即为网络服务器。
根据本发明的一个实施例,提供一种基于智能合约的数据管理方法,该数据管理方法包括:
在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,用于在用户管理其所有的历史行为数据,在智能合约中约定在用户本地执行以下操作:
对发起访问请求的用户端,先将基于保存在本地的用户所有的历史行为数据中的不当行为得到的本地哈希值与区块链上的抗欺诈账本中保存的抗欺诈哈希值比对以进行抗欺诈验证;
对历史行为数据通过抗欺诈验证的用户端,根据网络服务端的分析需求对其本地的历史行为数据进行分析,并将分析结果作为确定访问权限的依据发送给网络服务端。优选的,获得网络服务端确定的访问权限的用户端根据访问权限访问网络服务端的信息。应当理解的是,保存在本地的用户所有的历史行为数据可以是指基于本发明的智能合约的基础上该用户端与每个建立过智能合约的网络服务端交互的所有的历史行为数据。即,如果一些网络服务端未采用本发明的基于智能合约的网络服务访问控制方法,则与这部分的网络服务端交互的历史行为数据可以排除在外。该实施例的技术方案至少能够实现以下有益技术效果:智能合约作为理性代理,在用户本地管理用户端与网络服务端之间的交互信息,并且在向网络服务端获取访问请求时,仅将根据网络服务端的分析需求对其本地的历史行为数据进行分析得到的分析结果作为确定访问权限的依据发送给网络服务端,相当于是提供基于隐私保护的数据共享,有效的避免了用户的隐私被泄露的问题;而且用户端是根据网络服务端的分析需求对其本地的历史行为数据进行分析,可以支持网络服务端根据自身需要,进行个性化、灵活可配置的安全控制,确定适应其安全需要的分析需求。
优选的,计算抗欺诈哈希值的方式和计算本地哈希值的方式相同,如果本地的不当行为未经篡改,则两者的数值是相同的。在抗欺诈验证的过程中,是将本地哈希值与区块链上的抗欺诈账本中保存的抗欺诈哈希值进行对比,两者的哈希值一致则通过验证,否则验证失败。
优选的,基于保存在本地的用户所有的历史行为数据中的不当行为得到的本地哈希值和抗欺诈哈希值都是基于历史的不当行为的哈希值和每次更新的不当行为的哈希值累积地更新。这种方式的好处是不需要每次再对前期的所有历史行为再计算哈希值,减轻了计算量,而且,也便于抗欺诈账本的抗欺诈哈希值在无需获取原始的历史行为数据的基础上进行更新,以保护用户的隐私。比如,在抗欺诈账本中,获得一个用户端的不当行为的哈希值后,将其以默克勒可信树的方式进行存储和组织,据此计算出抗欺诈哈希值,新增不当行为的哈希值后,基于前期的哈希值和新增的哈希值更新抗欺诈哈希值。本地哈希值也基于相同的方式进行存储、组织和更新。
优选的,网络服务端的分析需求可以通过数据分析模型和用于配置数据分析模型的参数来实现。即,网络服务端可以在其本地先配置好其数据分析模型以及用于配置数据分析模型的参数,在用户端请求访问网络服务端时,通过用户端和网络服务端建立的智能合约自动执行将网络服务端的数据分析模型以及用于配置数据分析模型的参数传输给用户端,用户端得到数据分析模型以及用于配置数据分析模型的参数后,根据数据分析模型以及用于配置数据分析模型的参数对用户本地的历史行为数据进行分析,得到网络服务端确认其访问权限所需的分析结果,比如得分,并反馈给网络服务端,网络服务端得到分析结果后,根据分析结果确定该用户的访问权限。
优选的,网络服务端可以设置不同的分析需求,针对不同分类的用户端,设置与其适配的分析需求。比如,假设一个网络服务端,将用户分为内部用户和外部用户,对于内部用户,可以为之分配一个评价相对宽松的分析需求,例如把一些不当行为对分析结果得分的影响权重参数调低,让其在同等历史行为数据下比外部用户获得更多的访问权限;对于外部用户,可以为之分配一个评价相对严格的分析需求,例如把一些不当行为对分析结果得分的影响权重参数调高,让其在同等历史行为数据下比内部用户获得更多的访问权限。由此,可以差异化的管理不同的类型的用户,以差异化对不同类型的用户的访问管理。还有其他可能的应用方式,比如对曾经来访的用户按风险等级分类,并根据其风险等级,选择与之适配的分析需求,又比如,对曾经来访的用户按信誉等级分类,并根据其信誉等级,选择与之适配的分析需求,此处仅为举例,本发明对此不作任何限制。
优选的,用户端将分析结果作为确定访问权限的依据发送给网络服务端,网络服务端可以据此确定用户端的访问权限。比如,按照分析结果的分值确定用户端的访问权限,分析结果的分值越高,为其确定的访问权限越高。访问权限包括允许访问的信息和允许对信息执行的操作方法。
根据本发明的一个实施例,在智能合约中还约定在用户本地执行以下操作:
在根据访问权限访问网络服务端的信息时,根据网络服务端的评价需求对用户端的访问过程进行监督得到评价结果;
在评价结果显示存在不当行为的情况下,将不当行为的哈希值封装成交易记录以作为更新抗欺诈哈希值的依据上报至抗欺诈账本,并在抗欺诈账本反馈成功更新抗欺诈哈希值后根据评价结果更新用户本地的历史行为数据;
在评价结果显示无异常的情况下,在用户端访问结束后更新用户本地的历史行为数据。如果在存在不当行为时先更新本地的历史行为数据再更新抗欺诈账本,可能存在更新失败的概率增加的问题。因为更新本地的历史行为记录的操作是本地操作,失败的概率极低,更新抗欺诈账本是网络更新,且需要基于区块链的共识机制实现,需要一定的响应时间。如果先更新本地的历史行为数据再更新抗欺诈账本,可能遇到本地的历史行为数据更新完成,而抗欺诈账本更新失败的过程,而导致本地哈希值与抗欺诈哈希值不一致,不论是数据回滚还是重复请求更新,都会有一定的延迟或者失败的可能性,这会影响用户端的正常访问。该实施例的技术方案至少能够实现以下有益技术效果:本发明在用户端存在不当行为时先更新抗欺诈账本,确定抗欺诈账本更新成功了才会更新本地的历史行为数据,减少因更新问题导致本地哈希值与抗欺诈哈希值不一致而出现的抗欺诈验证失败的情况,保障基于本发明的用户端高效、正常地访问相应的网络服务端。
根据本发明的一个实施例,在智能合约中还约定在用户本地执行以下操作:在更新的用户的历史行为数据中存在新增的不当行为的情况下,即时更新本地哈希值。该实施例的技术方案至少能够实现以下有益技术效果:每次历史行为数据中新增的不当行为时即时更新本地哈希值,可以便于在下次比对时直接获取最新的本地哈希值而无需每次实时计算,降低了获得访问权限前的时延。
根据本发明的一个实施例,在智能合约中还约定在用户本地执行以下操作:从网络服务端获取需要监督的不当行为类型和发生相应不当行为的惩罚措施,在评价结果显示存在相应不当行为时,根据该不当行为的惩罚措施对用户端进行惩罚。
优选的,不当行为类型例如是无意的越权访问服务、有意的长时间越权访问服务、有意的身份欺骗、超过预设频率的高频率访问。不同的网络服务端可以根据其具体的监督需求设置不当行为类型。
优选的,惩罚措施例如是降低访问权限、拒绝访问、访问频率限制、流量限制。此处仅是举例,本发明对此不作任何限制。不同的网络服务端可以根据其具体的安全需求设置各不当行为对应的惩罚措施。
优选的,获取发生不当行为的惩罚措施可以包括针对不同的不当行为的惩罚措施。即,针对不同的不当行为,设置与之对应的惩罚措施。比如,如果一个用户端高频率访问网络服务端达到预设的访问频率阈值,根据智能合约中的约定,该行为是不当行为,惩罚是对其进行访问频率限制,或者拒绝访问等。
根据本发明的一个实施例,在智能合约中还约定在用户本地执行以下操作:在用户端访问网络服务端的过程中用户的历史行为数据发生更新时,更新分析结果并将更新的分析结果作为动态调整访问权限的依据发送给网络服务端;获得网络服务端确定的调整后的访问权限后,根据调整后的访问权限访问网络服务端的信息。比如,监督到用户端访问过程中存在不当访问行为后,更新分析结果显示其得分降低,则下调其访问权限、限制其访问频率或者拒绝其访问。该实施例的技术方案至少能够实现以下有益技术效果:在用户端访问网络服务端的过程中用户的历史行为发生更新时则说明用户当前存在不当行为,有可能是该网络服务端交互过程中发生的,也可能是和其他网络服务端交互过程中发生的,在此情况下,更新分析结果并动态调整其访问权限,可以提高访问的安全性。
根据本发明的一个实施例,在智能合约中还约定在用户本地执行以下操作:将用户的历史行为数据以预设的标准格式存储在本地的用户信任证书中且在每次更新用户的历史行为数据后更新用于验证证书有效性的证书签名,其中,证书签名用于每次在进行抗欺诈验证前对用户信任证书进行的证书签名验证,在证书签名验证通过后才进行抗欺诈验证。该实施例的技术方案至少能够实现以下有益技术效果:本发明相当于是对本地的历史行为数据进行了证书签名验证和抗欺诈验证两次保护,有效地降低了用户本地的历史行为数据被篡改的可能性,提高用户的历史行为数据的可信度,进一步保障了访问安全。
优选的,本发明在用户端存储和管理用户的历史交互信息,即历史行为数据,可以一方面本地保护用户行为历史的隐私,另一个方面快速提供数据服务。这需要一个明确的存储结构来管理和存储用户的行为记录,进而实现统一和有效的数据理解和分析。本发明为每个用户分配了一个用户信任证书(Trust Certification,简称TC),用于在用户端记录和存储用户访问记录,用户信任证书由智能合约服务自动维护和更新。
为了理解用户信任证书的结构形式,下面给出一段示意性的伪代码来进行说明。
Figure BDA0002431318340000111
Figure BDA0002431318340000121
上述伪代码中各行表示的含义如下:
1~2行:给用户或者说用户信任证书分配一个唯一编号(idvalue);
3~6行:记录该用户的交互访问总量,即所有的访问行为的次数;记录该用户的良好行为的次数;记录该用户的不当行为的次数;
7~11行:记录用于指示其对应的行为在用户的所有行为中的发生顺序的行为顺序索引,以及各行为顺序索引对应行为记录的评价结果;
12行:记录本地哈希值;
13行:记录用户信任证书的证书签名。
总的来说,用户信任证书的数据结构可以包含一个唯一编码(idvalue)、交互访问总量(totalcount)、良好行为的次数(benigncount)、不当行为的次数(misbehaviorcount)、包含行为顺序索引(index)以及评价结果(judgement)、用户信任证书的本地哈希值(hashcodevalue)以及用户信任证书的证书签名(signaturevalue)。评价结果可以是以交互序列的形式存在。通过用户信任证书,可以清晰的了解用户的历史行为表现情况。最重要的是,可以对用户异常行为的发生顺序有准确的把握。有助于网络服务从时间顺序上更准确的了解用户。该实施例的技术方案至少能够实现以下有益技术效果:通过用户信任证书的预设结构,在用户端以统一可理解的数据存储结构维护和管理用户历史行为数据,便于后期根据用户信任证书内的历史行为数据分析用户的行为。
根据本发明的一个实施例,提供一种基于智能合约的访问控制方法,包括:在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,在智能合约中约定在网络服务端执行以下操作:
在收到基于如前述实施例所述的基于智能合约的数据管理方法的用户端发送的分析结果后,网络服务端根据分析结果确定该用户端的访问权限。
优选的,为了更好的提供服务,避免较远时间的不当行为过多的影响用户端的访问,可以在分析用户行为时引入了时间权重函数以体现过去的行为随时间流逝对当前行为的影响力的变化。即,网络服务端的分析可以按需设置用于配置数据分析模型的参数,将距离越远的行为对分析结果的影响设置得越小。例如:某个用户的异常行为发生在上一个月,本月表现很正常。那么网络服务可能会认定此用户目前处于比较正常的状态,对于网络服务的威胁较小。而如果该用户最近几天异常行为较多,那么网络服务可能会认定此用户对接下来的网络服务存在较大的威胁。
为了更好的理解基于智能合约的网络服务访问控制方法,下面结合附图进行详细说明,如图1所示,包括:
A101、用户发起访问网络服务端的访问请求;
A102、用户端的根智能合约初始化读取网络服务端的数据分析模型和用于配置数据分析模型的参数;
A103、网络服务端与用户建立根智能合约;
A104、根智能合约管理模块读取用户信任证书;
A105、用户信任证书管理模块校验证书的正确性,如果用户信任证书正确,则转至步骤A106,否则转至步骤A116;
A106、用户端的数据分析模块运行数据分析模型,该数据分析模型根据用于配置数据分析模型的参数进行配置;
A107、网络服务端收到分析结果;
A108、网络服务端依据分析结果判断是否提供服务,如果是,则转至步骤A109,如果否,则转至步骤A116;
A109、当前服务请求是否合法,如果是,则转至步骤A110,如果否,则转至步骤A114;
A110、建立服务智能合约,服务智能合约获取网络服务端的评价规则;
A111、服务智能合约根据评价规则自动监督和评价用户行为;
A112、服务智能合约将评价结果发送给根智能合约;
A113、评价结果显示用户的行为是否是良好行为,如果是,则转至步骤A115,如果否,则转至步骤A114;
A114、将不当行为的哈希值上报抗欺诈账本;
A115、更新用户信任证书;
A116、服务终止。
优选的,根据基于智能合约的网络服务访问控制方法在对用户的历史行为数据进行数据管理时,包括:(1)读取用户的历史行为数据并由校验数据正确性、(2)基于隐私保护的数据共享、(3)建立服务智能合约并由其监管用户和网络服务端之间的交互行为和自动对行为进行评价、(4)结果上报、异常处理和历史行为数据更新。
对于(1)读取用户的历史行为数据并由校验数据正确性,用户信任证书的证书验证和抗欺诈验证的示意性算法如下:
Figure BDA0002431318340000141
其中,该算法1表示对用户信任证书进行证书验证,表示如果进行证书验证后表明证书签名是正确的,则进行抗欺诈验证,否则,反馈证书签名是错误的。进行抗欺诈验证时,根据用户的id从抗欺诈账本获取抗欺诈哈希值,如果抗欺诈哈希值等于本地哈希值,则反馈本地哈希值是正确的,否则,反馈本地哈希值是错误的。
校验用户信任证书正确性大致的流程为:用户信任证书管理模块首先读取和解析用户的用户信任证书;验证签名有效性(signVerification);对正确签名的用户信任证书文件(verfiySign为true)校验其是否存在信息欺诈,即:通过用户信任证书的证书编号id向抗欺诈账本Debt查询(queryCode)用户的花名册页节点RPN中的抗欺诈哈希值(verifyCode),如果抗欺诈哈希值与用户信任证书中的本地哈希值(hashcode)一致,则无欺诈。通过验签且没有欺诈则用户信任证书正确,否则用户信任证书不正确。校验用户信任证书正确性的示意性的流程如图2所示,包括:
B101、用户信任证书管理模块读取和解析用户信任文件;
B102、抽取用户信任证书的证书编号、证书签名以及本地哈希值;
B103、用户信任证书管理模块校验证书签名是否正确,如果是,则转至步骤B104,如果否,则转至步骤B107;
B104、通过用户信任证书的证书编号向抗欺诈账本查询用户的抗欺诈哈希值;
B105、比较抗欺诈哈希值是否与本地哈希值相等,如果是,则转至步骤B106,如果否,则转至步骤B107;
B106、用户信任证书通过抗欺诈验证;
B107、用户信任证书正确性检查失败。
对于(2)基于隐私保护的数据共享,主要是指用户根据网络服务端的分析需求在本地对其历史行为数据进行分析,仅将分析得到的分析结果作为确定访问权限的依据发送给网络用户端。大致的流程为:根智能合约的数据分析模块接收用户信任证书管理模块校验后的历史行为数据(用户信任证书,TC文件);根智能合约从网络服务端的需求配置模块获取网络服务端配置的数据分析模型(TM)以及用于配置数据分析模型的参数;根智能合约的数据分析模块执行分析运算,其算法步骤见算法2;最后将结果反馈给网络服务。
Figure BDA0002431318340000151
算法2首先依据网络服务端本身的评价策略(policy),将TC中的标准代码评价(judgement)根据转换规则转换(transform)为符合网络服务端的分析评价标准的结果(BehaviorData);第二步用数据分析模型与上步转换后的结果进行运算(compute)得到分析结果(trustworthValue);第三步立即销毁数据分析模块获得的原始数据(destroy);最后将分析结果发送给网络服务端。基于算法2的执行步骤,网络服务端实现了对用户的准确的分析,同时用户的历史行为数据也没有泄露隐私信息(网络服务仅得到分析结果)。根据网络服务端的分析需求对用户本地的历史行为数据进行分析的示意性的流程如图3所示,包括:
C101、数据分析模块获取用户信任证书数据;
C102、数据分析模块基于转换规则将用户信任证书中的标准评价结果转换为符合网络服务端的分析评价标准的结果;
C103、数据分析模块基于网络服务端的数据分析模型以及上步数据运行分析;
C104、数据分析模块销毁获得的用户信任证书数据;
C105、数据分析模块返回分析结果给网络服务端。
对于(3)建立服务智能合约并由其监管用户和网络服务端之间的交互行为和自动对行为进行评价,主要是指通过在根据访问权限访问网络服务端的信息时,根据网络服务端的评价需求对用户端的访问过程进行监督得到评价结果。根据网络服务端的评价需求对用户端的访问过程进行监督的示意性的流程如图4所示,包括:
D101、服务智能合约管理模块从分析需求配置模块获取网络服务端发布的评价规则;
D102、服务智能合约管理模块建立服务智能合约;
D103、服务智能合约基于评价规则开始监督用户与网络服务端之间的交互行为。
对于(4)结果上报、异常处理和历史行为数据更新,主要是指在评价结果显示存在不当行为的情况下,将不当行为的哈希值封装成交易记录以作为更新抗欺诈哈希值的依据上报至抗欺诈账本,并在抗欺诈账本反馈成功更新抗欺诈哈希值后根据评价结果更新用户本地的历史行为数据;在评价结果显示无异常的情况下,在用户端访问结束后更新用户本地的历史行为数据。其算法步骤见算法3,大致的流程为:服务智能合约将评价结果(evaluation)发给根智能合约,根智能合约依据评价结果(evaluation)以及转换规则(matchRule)将符合网络服务端的分析评价标准的结果转换为标准代码评价结果(judgement),即:预设的一个标准的代码评价规则。如果标准代码评价结果是含有不当行为的(judgement<0),则首先将结果封装(transaction)成交易记录(record)并将记录上报(updateLedger)至抗欺诈账本Debt,再更新用户信任证书(updateTC)。
Figure BDA0002431318340000171
将不当行为的哈希值上报抗欺诈账本的示意性的工作流程如图5所示,包括:
E101、服务智能合约将评价结果发送至根智能合约的用户信任证书管理模块;
E102、根智能合约将网络服务端的评价结果转换为标准代码评价;
E103、评价是否包含不当行为,如果是,则转至步骤E104,如果否,则转至步骤E106;
E104、根据不当行为的哈希值形成账本交易记录;
E105、将账本交易记录上报至扛欺诈账本;
E106、更新用户信任证书。
抗欺诈账本的数据查询流程如图6所示,包括:
F101、根据用户信任证书的证书编号查询其抗欺诈哈希值;
F102、根据证书编号的哈希值定位用户所属分区的花名册页树;
F103、花名册页数查询是否有该证书编号的用户,如果是,转至步骤F105,如果否,转至步骤F104;
F104、返回空值(null);
F105、返回该用户对应的抗欺诈哈希值。
根据本发明的一个实施例,一种基于智能合约的网络服务访问控制系统,包括:
使用如前述实施例所述的基于智能合约的数据管理方法的用户端;以及
使用如前述实施例所述的基于智能合约的访问控制方法的网络服务端。
根据本发明的一个实施例,参见图7,一种基于智能合约的网络服务访问控制系统,包括用户端和网络服务端,
其中,用户端配置有:
第一智能合约管理模块,用于在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,以基于智能合约在用户按约定执行以下模块:
用户信任证书管理模块,用于对发起访问请求的用户端,先将保存在本地的用户所有的历史行为数据中的不当行为的本地哈希值与区块链上的抗欺诈账本中保存的抗欺诈哈希值比对以进行抗欺诈验证;
数据分析模块,用于对历史行为数据通过抗欺诈验证的用户端,根据网络服务端的分析需求对其本地的历史行为数据进行分析,并将分析结果作为确定访问权限的依据发送给网络服务端;
网络服务端配置有:
第二智能合约管理模块,用于在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,以按约定执行以下模块:
访问权限管理模块,用于在收到用户端发送的分析结果后,根据分析结果确定该用户端的访问权限。在本发明中,应当理解的是,用户端和网络服务端是相对的关系,在一个用户端作为服务提供者响应其他设备的访问请求时,其相对于其他设备而言是网络服务端;在一个网络服务端请求访问其他设备的信息时,该网络服务端相对于其他设备而言是用户端。
优选的,基于智能合约在用户按约定执行的模块还包括:服务智能合约管理模块,用于在根据访问权限访问网络服务端的信息时,根据网络服务端的评价需求对用户端的访问过程进行监督得到评价结果;在评价结果显示存在不当行为的情况下,将不当行为的哈希值封装成交易记录以作为更新抗欺诈哈希值的依据上报至抗欺诈账本,并在抗欺诈账本反馈成功更新抗欺诈哈希值后根据评价结果更新用户本地的历史行为数据;在评价结果显示无异常的情况下,在用户端访问结束后更新用户本地的历史行为数据。用户端和抗欺诈账本之间、网络服务端和抗欺诈账本之间可以通过区块链网络基础设施进行通信。
优选的,基于智能合约在网络服务端按约定执行的模块还包括:需求配置模块,用于将网络服务端对相应的用户端的分析需求传输给该用户端。需求配置模块,还用于接收网络服务端的配置,修改为特定用户端或者特定用户端群体对应的分析需求。该实施例的技术方案至少能够实现以下有益技术效果:使得本发明可以根据对不同用户的访问控制的需要,差异化地设置具体的分析需求,即差异化的设置承载分析需求的分析需求的数据分析模型和用于配置数据分析模型的参数,实现差异化的访问控制管理。
参见图7,本发明把用户端的历史行为数据保存在本地的用户信任证书中,用户信任证书除证书签名外,还通过本地哈希值与区块链上的抗欺诈账本的抗欺诈哈希值的比对进行抗欺诈验证,以防止用户篡改历史行为数据而获得其不应当获得的访问权限。本发明的功能实现主要包括:基于智能合约的数据管理、抗欺诈账本以及需求配置模块三个组成部分。具体来说:
对于基于智能合约的数据管理,其主要基于智能合约的数据管理负责在用户端记录用户交互行为数据,并以隐私保护的方式将用户的历史行为数据分享给网络服务端。它的核心在于利用智能合约服务于用户行为数据的记录与共享,包括智能合约服务于用户与网络服务之间的交互行为监控以及智能合约服务于用户行为数据的记录和提供隐私保护的数据共享。在一个示例中,参见图7,基于智能合约的数据管理主要由第一智能合约管理模。第一智能合约管理模块在用户端执行,主要负责用户访问行为的自动监督和管理。在第一智能合约管理模块与网络服务端的第二智能合约管理模块建立智能合约后,基于智能合约在用户端按约定执行的模块包括:用户信任证书管理模块、数据分析模块和服务智能合约管理模块,这几个模块相当于是根据其对应条件触发执行的子合约。第二智能合约管理模块在网络服务端执行,主要负责网络服务端与用户端建立智能合约、访问权限管理和分析需求配置。基于智能合约在网络服务端按约定执行的模块包括:访问权限管理模块和需求配置模块。在区块链上,抗欺诈账本可以分布保存在多个节点中。对于全节点,其存储空间充足,可以作为存储抗欺诈账本的节点,例如图7中示出的网络服务端。对于轻节点,其存储空间不够充足,则不能作为存储抗欺诈账本的节点,例如图7中示出的用户端。抗欺诈账本记录用户的行为信息以及查询用户的信息。
在另一个实施例中,如图8所示,基于智能合约的数据管理主要包括由根智能合约模块和服务相关智能合约管理模块实现。根智能合约模块包括用户信任证书管理模块和数据分析模块,分别负责用户信任证书的更新和提供基于隐私保护的数据共享。提供基于隐私的数据共享即为根据用户的分析需求对历史行为数据进行分析,得到分析结果并反馈给网络服务端。服务智能合约管理模块用于管理所有的服务智能合约,包括服务智能合约的创建和撤销。服务智能合约主要帮助监控用户与网络服务端之间交互的行为数据。
根据本发明的一个实施例,提供一种基于智能合约的网络服务访问控制方法,智能合约包括根智能合约和服务智能合约,该方法包括:网络服务端与用户之间建立根智能合约;网络服务端获取由用户在本地基于根智能合约自动执行数据分析模型得到的对通过基于区块链技术的抗欺诈账本的抗欺诈验证的用户的历史行为数据的分析结果,其中,该用户的历史行为数据保存在用户本地;网络服务端根据分析结果确定该用户的访问权限;在网络服务端和用户进行交互时,网络服务端获取由用户在本地执行服务智能合约监督用户与网络服务端的交互行为和自动对交互行为进行评价得到的评价结果,并根据评价结果确定用户的访问权限,根智能合约根据评价结果更新用户的历史行为数据和将评价结果中不当行为的哈希值上报抗欺诈账本以更新用于后期的抗欺诈验证抗欺诈哈希值。
优选的,抗欺诈验证包括:由根智能合约读取保存在用户本地的用户信任证书;通过根智能合约自动执行对用户信任证书的签名检查,通过签名检查后通过根智能合约自动执行对保存在用户本地的用户信任证书中的历史行为数据的抗欺诈验证,验证时获取保存在抗欺诈账本的抗欺诈哈希值和保存在用户本地的本地哈希值,在本地哈希值和抗欺诈哈希值一致时通过抗欺诈验证。相当于抗欺诈验证中,包括一个本地的签名检查以及和区块链上保存的抗欺诈哈希值的联网检查,以降低用户的历史行为数据遭到篡改的可能性。优选的,抗欺诈哈希值是根据上报的用户的所有不当行为的哈希值以默克勒可信树的方式进行存储和组织后计算出的根哈希值。本地哈希值是根据保存在用户本地的所有不当行为的哈希值以默克勒可信树的方式进行存储和组织后计算出的根哈希值。由此,如果本地的所有不当行为的参数如果没有被篡改,则本地哈希值和抗欺诈哈希值应当是相同的,而抗欺诈哈希值是保存在区块链上的,受到区块链的共识机制的保护,被篡改的可能性极低。而且,本发明仅是将不当行为的哈希值上传,会避免抗欺诈账本过于臃肿,使之保持极高的存储和查询效率,因为良好行为可以说对网络服务端判断访问权限的帮助作用不大但是基数相对于不当行为而言却很大,如果将良好行为和不当行为的哈希值都保存在抗欺诈账本上将导致区块链上保存的数据过多,一是要占用较多的区块链的资源,二是对计算、查询方面的效率都存在影响。
优选的,用户信任证书包括:用户的唯一身份标识、本地哈希值、用户信任证书的签名以及用户的历史行为数据,其中,历史行为数据包括:交互访问总量、良好记录数、不当记录数、指示行为交互顺序的顺序索引号以及各行为的评价结果。优选的,用户信任证书中良好行为对应的评价结果为空值,用户信任证书中不当行为对应的评价结果包括各不当行为的类型和发生时间。
根据本发明的一个实施例,网络服务端首先创建其所需的数据分析模型以及相应的行为评价规则,并在需求配置模块中设置和发布。用户试图访问网络服务端。此时,基于智能合约的访问控制方法的大致流程为:第一步,网络服务端与用户之间建立根智能合约;第二步,根智能合约读取用户的历史行为数据并由用户信任证书管理模块校验数据正确性,数据校验通过后交由数据分析模块按照网络服务端的分析需求进行分析,得到分析结果;第三步,网络服务端依据分析结果给出接受服务与否的判断,如果拒绝则终止,如果接受则更新其访问权限并进入下一步;第四步,网络服务端与用户之间建立服务智能合约并由其监管二者之间的交互行为和自动对行为进行评价;第五步,如评价结果无异常,网络服务端与用户之间服务智能合约正常结束,服务智能合约管理模块结束服务智能合约,根智能合约更新用户的历史行为数据,如有不当行为异常,则进入下一步;第六步,服务智能合约将异常报告给根智能合约并由根智能合约的用户信任证书管理模块上报至抗欺诈账本并更新用户的历史行为数据。服务智能合约可以由根智能合约统一管理,包括创建、结束等。其次,服务智能合约管理和监控一段时间周期内的用户与网络服务端的交互过程。因此,服务智能合约会结束,结束后也由根智能合约判断是否需要创建新的服务智能合约继续提供服务。如果没有任何服务智能合约需要生成和提供服务,那么根智能合约才会结束。即:根智能合约相对于服务智能合约而言,相当于一个守护程序或者说守护进程。
对于合约式的计算信任模型,其利用合约式信任的天然优势,将网络服务端的分析需求以数据分析模型和用于配置数据分析模型的参数的方式实现,采用智能合约的理念,允许网络服务端将服务管理策略合约化、规则化,一方面智能合约利用业务规则实现用户访问行为的自动监督和管理;另一方面智能合约作为可信第三方容器,在服务过程中,动态将用户的数据以及网络服务端的数据分析模型纳入智能合约中,在智能合约中执行计算和分析过程,仅反馈分析结果给网络服务,实现隐私保护下的数据分享。智能合约按规则执行的理性特性、自动化强制执行特性以及隐私保护的共享模式为服务提供了可信计算支撑。需求配置模块允许网络服务端配置其特定的分析需求和访问评价需求。分析需求例如是分析模型以及分析模型所需的配置参数。分析模型所需的配置参数即前面提及的分析模型视网络服务的需求而定。例如:分析模型可以是信任偶像或者风险模型,网络服务可以通过相应的配置参数去配置信任模型或者风险模型来分析用户的行为数据得到用户的可信度或者风险值。可信度或者风险值即为前面所说的分析结果。访问监督需求包括根据访问权限确定的允许的访问行为和不允许的访问行为。在用户进行不允许的访问行为时,将其当前的访问行为定义为不当行为。访问评价需求包括评价规则,用于用户端获得访问权限后根据评价规则价用户的访问行为。或者说,访问评价需求包括网络服务允许的访问权限以及违背后的惩罚措施。访问权限可以包括操作权限和操作方法。例如,网络服务可以设定用户访问某项服务的频率(操作方法),可以要求用户访问某项服务应该具备哪种资质等(操作权限)。如果超出访问权限,则执行惩罚措施。可能的惩罚措施比如是访问权限的动态下调、拒绝服务、访问频率控制、网速控制。
对于抗欺诈账本,抗欺诈账本作为用户端记录和存储用户历史行为数据的文件,可以很容易地被访问和操作。
根据本发明的一个实施例,抗欺诈账本包括花名册路由、花名册页树以及花名册页节点,其中,花名册路由是对所有用户端进行分区管理的一级索引,花名册页树是基于红黑树的分页账本,每个花名册页节点存储有一个用户端对应的抗欺诈哈希值。用户本地维护其历史行为数据并为网络服务端提供数据,就有可能带来用户对网络服务端进行信息欺诈的可能,而基于区块链的抗欺诈账本技术天然具备抵抗信息欺诈的优势,它可以将用户的行为以交易的形式记录在抗欺诈账本中,有效应对用户的信息欺诈。然而,现有的区块链账本是一个简单时序账本,即:所有用户的交易按照时间顺序的一个有序组合,这个结构无法为查询指定用户的信息提供高效的数据检索能力。因此,本发明针对区块链账本做了新的设计,对用户采用分区管理,具有快速查询的优点,减少查询所需的时间,不仅可以提供快速检索服务进而通过抗欺诈验证抵御信息欺诈带来的安全威胁,还可避免用户获得访问权限前等待过久,提高用户体验。优选的,用户端分为全节点的用户端或者轻节点的用户端。全节点的用户端,在用户本地保存一份抗欺诈账本以供查询;轻节点的用户端,从区块链上保存的抗欺诈账本中查询其所需的抗欺诈哈希值。
根据本发明的一个实施例,在花名册页节点的节点体内以默克勒可信树(merkle树)的方式对用户端所有的不当行为的哈希值进行存储和组织,并在花名册页节点的节点头部内保存基于用户端所有的不当行为的哈希值计算的抗欺诈哈希值,每次更新抗欺诈哈希值后对花名册页节点的节点头部进行基于区块链的共识机制的节点签名。优选的,抗欺诈账本每次收到上报的不当行为的哈希值时,响应于收到不当行为的哈希值的操作更新对应用户端的抗欺诈哈希值。由此,抗欺诈账本相当于每次收到新增的不当行为的哈希值后,就会即时更新对应用户端的抗欺诈哈希值,以便在用户端下次要访问网络服务端向抗欺诈账本进行查询时快速地向用户端反馈最新的抗欺诈哈希值,而不是查询时才计算更新抗欺诈哈希值,以提高查询抗欺诈哈希值时的反馈效率。
使用本发明的抗欺诈账本,可以较好的防止用户端进行数据欺诈。例如:在t1时刻用户表现良好,其可信度较高,可能获得较好的访问控制权。将此刻的用户信任证书表示为TC1文件,并假设用户保留了此TC1文件的副本。在t2时刻,假设此用户执行了一些不当的操作,例如:越权访问,并且可获得的访问控制权限显著下降。将此刻的用户信任证书表示为TC2文件。显然,用户为了能够继续能够拥有较高的访问权限,可以用旧的TC1来顶替TC2以达成欺骗网络服务的目的,这称之为用户信任证书欺诈。这之所以会发生,是因为用户可以从用户信任证书欺诈中获益,即:获得超过该用户本该获得的更多资源或权限。存在两种用户信任证书欺诈方法:1)客户用TC1替换TC2;2)客户将TC1复制到新设备。第一种方法,由于两个TC文件皆是有合法签名的,难以判断时效性。第二种方法在新设备中也难以判断用户当前TC是否是最新的,也存在时效问题。而得益于区块链账本技术的优点,上述两种欺诈行为都可以得到良好的解决。下面根据附图来进一步说明抗欺诈账本的结构,如图9所示,包含花名册路由(Roster Router/RR)、花名册页树(Roster Page Tree/RPT)以及花名册页节点(Roster Page Node/RPN,即:用户区块)。其中花名册路由RR是对所有网络用户进行分区的一级索引,采用分区机制让指定用户迅速定位其所在的花名册页树RPT。花名册页树RPT是基于红黑树的分页账本,即:仅包含某些用户的信息。Page i表示该花名册路由RR包括i个页,每个页对应一个分区,每个分区内仅记录部分用户对应的信息。用户属于哪个分区例如可以是根据该用户在物理上的地区进行分区或者根据用户的用户信任证书的id计算出的哈希值所属的分区范围值来确定该用户的分区。当然,还可能由其他的分区方式,此处仅是举例,本发明对此不作任何限制。本发明的抗欺诈账本能够提供快速查询指定用户的花名册页节点RPN服务。花名册页节点RPN则包含了关于指定用户的TC的众多行为记录的根哈希(Root Hash/RH)。其中,根哈希RH被通过与用户信任证书中的本地哈希值比对实现迅速校验用户的用户信任证书是否存在欺骗。图中的黑色实心点表示黑点,图中的黑色圆圈表示红点。抗欺诈账本是以网络用户为核心,以特定结构形成的一个可以追溯、不可抵赖的交易链结构。它通过花名册路由RR的分区机制以及花名册页树RPT分页账本机制可以极大的加速用户信息查询定位,可以提供在线快速查询服务。对于花名册页节点RPN,参见图10,其中,图10表示的是一颗RPT树中的一个RPN节点(代表某个用户)的内部数据结构。花名册页节点RPN包含:一个RPN头和一个RPN体。其中,RPN头包含用户ID和抗欺诈哈希值(RootHash)。用户ID也可以称为TC编号、用户信任证书的编号,代表了谁拥有这个RPN。RPN体包括生成前述抗欺诈哈希值所需的所有的不当行为的哈希值。这些不当行为的哈希值以merkle树的方式进行存储和组织,也是基于merkle树的方法计算得到前述抗欺诈哈希值。在用户信任证书中,对于不当行为记录有行为顺序索引以及评价结果和行为时间。相当于在用户信任证书中记录了第几次交互、什么时间、谁之间、因什么事情、做了什么不当行为的信息。不当行为上报给账本的时候,相当于会直接基于“第几次交互、什么时间、谁之间、因什么事情、做了什么不良的行为”运算一个不当行为的哈希值给账本,例如:sha256。因此,抗欺诈账本不会存详细的“第几次交互、什么时间、谁之间、因什么事情、做了什么不良的行为”,而是存储了不当行为对应的一个哈希值。这一方面节约了账本存储空间,另一方面可以不存详细信息在抗欺诈账本中以保障用户隐私。例如,图10中的记录1、记录2、记录3、记录4则是不当行为的记录,RPN体中存储的是不当行为的哈希值,即图中的hash(记录1)、hash(记录2)、hash(记录3)、hash(记录4),简写为H1、H2、H3、H4,其中,在Merkle树中,基于哈希值H1、H2进行哈希计算得到了哈希值H5,基于哈希值H3、H4进行哈希计算得到了哈希值H6,最后基于哈希值H5、H6进行哈希计算得到了根哈希值(Root Hash),即抗欺诈哈希值。图11表示的是一个新的不当行为的哈希值上报进来后,如何存储这个不当行为的哈希值。首先,它也会依据Merkle树的结构插入到相应的位置,并依据Merkle树的哈希算法生成一个新的根哈希值。得到的新的根哈希值Root Hash结果就会替换RPN头部的Root Hash值。即插入新的不当行为的哈希值hash(记录5)(对应哈希值H8)时,基于H5、H6计算出哈希值H7,然后基于H7和H8进行哈希计算的哈希值更新根哈希值。在使用过程中,对于用户的RPN存在两种操作,第一种:新的不当行为的哈希值进来后,存储这个新的不当行为的哈希值和更新根哈希值;第二种:查询这个用户的根哈希值,则直接读取头部的根哈希值的结果。花名册页节点RPN存在防止节点内的数据被篡改的保护措施。用户篡改它的花名册页节点RPN有两种方法:第一、篡改某一个行为的hash值;第二、直接删除某一个或者某一些hash值,从而构造生成新的根哈希值。首先,在RPN头,会对RPN头内的信息进行节点签名。这里插入新的不当行为的哈希值记录并更新根哈希值后,会对整体头部内容做节点签名。节点签名是由区块链的共识机制完成的。用户要是篡改或者删除某条、某些信息,那么根哈希值也就必须修改。而节点签名确保了用户可以篡改RPN体,可以修改根哈希值,但是由于需要经过区块链的共识机制的确认,用户难以修改节点签名。其次,红黑树的每个RPN都含有一个根哈希值,基于红黑树的这些RPN的根哈希值roothash又可以计算得到一个hash值(可以简单理解成账本的hash值),会保存在花名册路由RR中。花名册路由RR中的这个哈希值,就是用来确定某个账本是否有问题的关键因素。首先用户篡改RPN体却没法合法修改根哈希值,因此,用户可以做的就是直接删除RPN,这样就不涉及RPN头中的签名没法修改的问题了(改不了节点签名,那删除RPN,就无所谓节点签名了)。但是由于这个RPN的根哈希值root hash涉及到计算RR中的哈希值,这意味着它必须再去修改花名册路由RR中的哈希值,而这个哈希值是受花名册路由RR加密保护的,没法直接去修改。整体上,这里的抗欺诈账本的结构是以用户为中心的账本结构,而不完全是现有区块链的那种基于时间顺序组成hash链条的方式。在RPN内部像现有区块链结构,但又辅以共识签名来保障安全。在RPN外,则以树的结构串联所有的RPN,并加密保存它们共同hash运算得到的结果用于校验账本的正确性。当然,这个模型与区块链的账本也存在同样的问题,比如,如果有用户能够篡改51%以上的账本,那么最终篡改的账本是可以成为新的合法账本的。这也仅仅是理论层面的可行,具体实施中篡改51%以上的账本的工作量和难度非常大。总的来说,用户的用户信任证书作为网络服务展开分析的核心数据以本地存储和本地维护的方式由根智能合约提供服务。而为了预防用户信息欺诈和提供快速的检索服务,本发明设计了抗欺诈账本Debt。每个参与区块链网络的服务都可以拥有一份完整的花名册路由RR。花名册路由RR可以通过哈希算法提供一个分区定位机制,能够迅速定位指定用户所在分区。每个分区包含一颗RPT树,通过RPT树可以快速定位指定用户对应的花名册页节点RPN。花名册页节点RPN则提供了关于用户的信息,其中核心关键参数是根哈希值(Root Hash/RH),也就是抗欺诈哈希值。当需要验证用户的用户信任证书是否存在欺诈时,依据用户信任证书中的id号,即可从抗欺诈账本Debt迅速定位用户对应的花名册页节点RPN,从而从中读取抗欺诈哈希值,并与用户信任证书中的哈希编码(本地哈希值)进行比对。其中,抗欺诈账本Debt的数据写入流程为:抗欺诈账本Debt接收到上报的用户的不当行为的哈希值;抗欺诈账本Debt对用户的id执行哈希运算定位用户所属的花名册路由RR的分区;进一步依据用户的id从分区中的RPT树查找是否存在此用户;如果不存在,则构建此用户的RPN并保存上报的不当行为的哈希值且更新RPN的根哈希值,如果存在,则保存上报的不当行为的哈希值并更新RPN的根哈希值。
需要说明的是,虽然上文按照特定顺序描述了各个步骤,但是并不意味着必须按照上述特定顺序来执行各个步骤,实际上,这些步骤中的一些可以并发执行,甚至改变顺序,只要能够实现所需要的功能即可。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
计算机可读存储介质可以是保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以包括但不限于电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (11)

1.一种基于智能合约的数据管理方法,其特征在于,所述基于智能合约的数据管理方法包括:
在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,在智能合约中约定在用户本地执行以下操作:
对发起访问请求的用户端,先将基于保存在本地的用户所有的历史行为数据中的不当行为计算的本地哈希值与区块链上的抗欺诈账本中保存的抗欺诈哈希值比对以进行抗欺诈验证;
对历史行为数据通过抗欺诈验证的用户端,根据网络服务端的分析需求对其本地的历史行为数据进行分析,并将分析结果作为确定访问权限的依据发送给网络服务端。
2.根据权利要求1所述的基于智能合约的数据管理方法,其特征在于,在智能合约中还约定在用户本地执行以下操作:
在根据所述访问权限访问网络服务端的信息时,根据网络服务端的评价需求对用户端的访问过程进行监督得到评价结果;
在评价结果显示存在不当行为的情况下,将不当行为的哈希值封装成交易记录以作为更新抗欺诈哈希值的依据上报至抗欺诈账本,并在抗欺诈账本反馈成功更新抗欺诈哈希值后根据评价结果更新用户本地的历史行为数据;
在评价结果显示无异常的情况下,在用户端访问结束后更新用户本地的历史行为数据。
3.根据权利要求2所述的基于智能合约的数据管理方法,其特征在于,在智能合约中还约定在用户本地执行以下操作:
在更新的用户的历史行为数据中存在新增的不当行为的情况下,即时更新本地哈希值。
4.根据权利要求2所述的基于智能合约的数据管理方法,其特征在于,在智能合约中还约定在用户本地执行以下操作:
从网络服务端获取需要监督的不当行为类型和发生相应不当行为的惩罚措施,在评价结果显示存在相应不当行为时,根据该不当行为的惩罚措施对用户端进行惩罚。
5.根据权利要求1至4任一项所述的基于智能合约的数据管理方法,其特征在于,在智能合约中还约定在用户本地执行以下操作:
将用户的历史行为数据以预设的标准格式存储在本地的用户信任证书中且在每次更新用户的历史行为数据后更新用于验证证书有效性的证书签名,其中,证书签名用于每次在进行抗欺诈验证前对用户信任证书进行的证书签名验证,在证书签名验证通过后才进行抗欺诈验证。
6.一种基于智能合约的网络服务访问控制方法,其特征在于,包括:
在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,智能合约中约定执行以下操作:
在收到使用如权利要求1至5任一项所述的基于智能合约的访问方法的用户端发送的分析结果后,所述网络服务端根据所述分析结果确定该用户端的访问权限。
7.一种基于智能合约的网络服务访问控制系统,其特征在于,包括:
使用如权利要求1至5任一项所述的基于智能合约的数据管理方法的用户端;以及
使用如权利要求6所述的基于智能合约的网络服务访问控制方法的网络服务端。
8.一种基于智能合约的网络服务访问控制系统,包括用户端和网络服务端,其特征在于,所述用户端配置有:
第一智能合约管理模块,用于在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,以基于智能合约在用户端按约定执行以下模块:
用户信任证书管理模块,用于对发起访问请求的用户端,先将保存在本地的用户所有的历史行为数据中的不当行为的本地哈希值与区块链上的抗欺诈账本中保存的抗欺诈哈希值比对以进行抗欺诈验证;
数据分析模块,用于对历史行为数据通过抗欺诈验证的用户端,根据网络服务端的分析需求对其本地的历史行为数据进行分析,并将分析结果作为确定访问权限的依据发送给网络服务端;
数据收发模块,用于在获得网络服务端确定的访问权限后,根据所述访问权限访问网络服务端的信息;
所述网络服务端配置有:
第二智能合约管理模块,用于在用户端向网络服务端发起访问请求时,在用户端与网络服务端之间建立智能合约,以基于智能合约在网络服务端按约定执行以下模块:
访问权限管理模块,用于在收到用户端发送的分析结果后,根据所述分析结果确定该用户端的访问权限。
9.根据权利要求8所述的基于智能合约的网络服务访问控制系统,其特征在于,用户端是全节点的用户端或者轻节点的用户端,全节点的用户端,在用户本地保存一份抗欺诈账本以供查询;
轻节点的用户端,从区块链上保存的抗欺诈账本中查询其所需的抗欺诈哈希值。
10.根据权利要求8所述的基于智能合约的网络服务访问控制系统,其特征在于,所述抗欺诈账本包括花名册路由、花名册页树以及花名册页节点,其中,花名册路由是对所有用户端进行分区管理的一级索引,所述花名册页树是基于红黑树的分页账本,每个花名册页节点存储有一个用户端对应的抗欺诈哈希值。
11.根据如权利要求10所述的基于智能合约的网络服务访问控制系统,其特征在于,在所述花名册页节点的节点体内以默克勒可信树的方式对用户端所有的不当行为的哈希值进行存储和组织,并在所述花名册页节点的节点头部内保存基于用户端所有的不当行为的哈希值计算的抗欺诈哈希值,每次更新抗欺诈哈希值后对所述花名册页节点的节点头部进行基于区块链的共识机制的节点签名。
CN202010236945.9A 2020-03-30 2020-03-30 一种基于智能合约的网络服务访问控制方法和系统 Active CN111478890B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010236945.9A CN111478890B (zh) 2020-03-30 2020-03-30 一种基于智能合约的网络服务访问控制方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010236945.9A CN111478890B (zh) 2020-03-30 2020-03-30 一种基于智能合约的网络服务访问控制方法和系统

Publications (2)

Publication Number Publication Date
CN111478890A true CN111478890A (zh) 2020-07-31
CN111478890B CN111478890B (zh) 2021-12-03

Family

ID=71749279

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010236945.9A Active CN111478890B (zh) 2020-03-30 2020-03-30 一种基于智能合约的网络服务访问控制方法和系统

Country Status (1)

Country Link
CN (1) CN111478890B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112308714A (zh) * 2020-10-12 2021-02-02 联合汽车电子有限公司 一种区块链网络架构
CN113723759A (zh) * 2021-07-30 2021-11-30 北京淇瑀信息科技有限公司 基于设备意向度和设备风险度为设备提供互联网服务的方法及装置
CN115720148A (zh) * 2022-10-12 2023-02-28 上海慧程工程技术服务有限公司 一种工业物联网信息可视化方法、服务器和存储介质
CN113723759B (zh) * 2021-07-30 2024-06-04 北京淇瑀信息科技有限公司 基于设备意向度和设备风险度为设备提供互联网服务的方法及装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8839435B1 (en) * 2011-11-04 2014-09-16 Cisco Technology, Inc. Event-based attack detection
CN105719185A (zh) * 2016-01-22 2016-06-29 杭州复杂美科技有限公司 区块链的数据对比及共识方法
CN107273759A (zh) * 2017-05-08 2017-10-20 上海点融信息科技有限责任公司 用于保护区块链数据的方法、设备以及计算机可读存储介质
CN108647361A (zh) * 2018-05-21 2018-10-12 中国工商银行股份有限公司 一种基于区块链的数据存储方法、装置及系统
US10108791B1 (en) * 2015-03-19 2018-10-23 Amazon Technologies, Inc. Authentication and fraud detection based on user behavior
CN109670930A (zh) * 2018-09-13 2019-04-23 深圳壹账通智能科技有限公司 欺诈设备识别方法、装置、设备及计算机可读存储介质
CN110839030A (zh) * 2019-11-15 2020-02-25 内蒙古大学 一种区块链访问控制中的权限传递方法
CN110888935A (zh) * 2019-11-12 2020-03-17 北京芯际科技有限公司 一种基于区块链的数据交易方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8839435B1 (en) * 2011-11-04 2014-09-16 Cisco Technology, Inc. Event-based attack detection
US10108791B1 (en) * 2015-03-19 2018-10-23 Amazon Technologies, Inc. Authentication and fraud detection based on user behavior
CN105719185A (zh) * 2016-01-22 2016-06-29 杭州复杂美科技有限公司 区块链的数据对比及共识方法
CN107273759A (zh) * 2017-05-08 2017-10-20 上海点融信息科技有限责任公司 用于保护区块链数据的方法、设备以及计算机可读存储介质
CN108647361A (zh) * 2018-05-21 2018-10-12 中国工商银行股份有限公司 一种基于区块链的数据存储方法、装置及系统
CN109670930A (zh) * 2018-09-13 2019-04-23 深圳壹账通智能科技有限公司 欺诈设备识别方法、装置、设备及计算机可读存储介质
CN110888935A (zh) * 2019-11-12 2020-03-17 北京芯际科技有限公司 一种基于区块链的数据交易方法
CN110839030A (zh) * 2019-11-15 2020-02-25 内蒙古大学 一种区块链访问控制中的权限传递方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112308714A (zh) * 2020-10-12 2021-02-02 联合汽车电子有限公司 一种区块链网络架构
CN113723759A (zh) * 2021-07-30 2021-11-30 北京淇瑀信息科技有限公司 基于设备意向度和设备风险度为设备提供互联网服务的方法及装置
CN113723759B (zh) * 2021-07-30 2024-06-04 北京淇瑀信息科技有限公司 基于设备意向度和设备风险度为设备提供互联网服务的方法及装置
CN115720148A (zh) * 2022-10-12 2023-02-28 上海慧程工程技术服务有限公司 一种工业物联网信息可视化方法、服务器和存储介质
CN115720148B (zh) * 2022-10-12 2024-04-26 上海慧程工程技术服务有限公司 一种工业物联网信息可视化方法、服务器和存储介质

Also Published As

Publication number Publication date
CN111478890B (zh) 2021-12-03

Similar Documents

Publication Publication Date Title
US11296863B2 (en) Blockchain enterprise data management
US10924514B1 (en) Machine learning detection of fraudulent validation of financial institution credentials
US20190207751A1 (en) Blockchain enterprise data management
EP3709568A1 (en) Deleting user data from a blockchain
AU2021210206B2 (en) Index structure for blockchain ledger
CN111478890B (zh) 一种基于智能合约的网络服务访问控制方法和系统
CN113946875B (zh) 一种基于区块链的身份认证方法及系统
US10192262B2 (en) System for periodically updating backings for resource requests
CN115456773B (zh) 基于区块链的支付控制方法、装置、设备及介质
CN114117264A (zh) 基于区块链的非法网站识别方法、装置、设备及存储介质
CN113886841A (zh) 一种面向云数据操作行为的可信溯源方法
US20210406876A1 (en) Permissioned eventing in a decentralized database
CN103235918B (zh) 可信文件的收集方法及系统
NL2031466B1 (en) System and method for active detection of malicious network resources
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
Kairaldeen et al. Data integrity time optimization of a blockchain IoT smart home network using different consensus and hash algorithms
US10013237B2 (en) Automated approval
CN111915308A (zh) 一种区块链网络的交易处理方法及区块链网络
CN109697368B (zh) 用户信息数据安全使用的方法、设备及系统、存储介质
CN112769739B (zh) 数据库操作违规处理方法、装置及设备
Yamany et al. Intelligent security and access control framework for service-oriented architecture
CN111917760A (zh) 一种基于标识解析的网络协同制造跨域融合信任管控方法
CN115022008A (zh) 一种访问风险评估方法、装置、设备及介质
CN111898886A (zh) 一种集体资产清产核资系统
CN113949578B (zh) 基于流量的越权漏洞自动检测方法、装置及计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant