CN111666553A - 一种基于分布式pki的区块链身份权限管理方法 - Google Patents

Abstract

本发明公开了一种基于分布式PKI的区块链身份权限管理方法，包括访问业务平台前，首先进行身份认证；通过预置的摄像头采集预设区域范围内的目标用户的的一组活体动作，将目标用户的活体动作的图像信息与存储的合法用户的人脸图像信息进行比较，若检测到所述目标用户的活体动作的图像信息与所述合法用户的人脸图像信息不匹配，则向关联的移动终端发送包括目标用户的活体动作的图像信息的告警消息，以提醒所述移动终端的用户确认所述目标用户的身份是否合法；身份认证成功后，用户在业务平台的登录页面上进行登录验证；对用户输入的用户名和密码采用RSA非对称加密(公私钥)，进行数据加密，多重验证，大大提高用户身份鉴别的安全性。

Description

一种基于分布式PKI的区块链身份权限管理方法

技术领域

本发明涉及计算机信息处理以及区块链技术，特别是基于区块链内部通过系统合约的方式提供一种基于分布式PKI的区块链身份权限管理方法。

背景技术

区块链技术，区块链是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案，是比特币、以太币等数字货币的底层技术。通俗一点说，区块链技术就指一种全民参与记账的方式。区块链上的交易确认由区块链上的所有节点共识完成，共识成功后打包写入区块。区块链维护一个公共的账本，用于存储区块链网络上所有交易，所有的系统背后都有一个数据库，你可以把数据库看成是就是一个大账本。那么谁来记这个账本就变得很重要。目前就是谁的系统谁来记账，微信的账本就是腾讯在记，淘宝的账本就是阿里在记。这种方式，我们就称它为区块链技术。

现有区块链中对于一般不存储的用户身份，由中心化的可信第三方CA提供身份证书。现有区块链中也少有权限管理，一般通过设立用户组等方式，控制粗粒度的权限，而且使用中心化的PKI身份要保证安全，必须要依靠可信第三方CA提供可靠的服务，但是近几年一直都有核心CA滥发证书，中继根证书泄露等问题爆出。

为此我们急需一种基于分布式PKI的区块链身份权限管理方法，由分布式的区块链承载整个身份体系使得用户身份自主可控，不依赖其他服务机构。同时通过权限、策略和审批的三把锁，让区块链中不同用户在平等平权的基础上，根据需要去申请权限，并通过策略所需的其他用户审批同意，才能通过。

发明内容

针对现有技术存在的不足，本发明目的是提供一种基于分布式PKI的区块链身份权限管理方法。本发明由分布式的区块链承载整个身份体系使得用户身份自主可控，不依赖其他服务机构，每个用户的身份不是由可信第三方控制，而是由其所有者控制，个人能自主管理自己的身份，而不是依赖于应用方；个人可以携带自己的身份，从一处漫游到另一处，而非仅仅局限于某一个平台或某一个系统之中，通过分布式认证使认证的过程不需要依赖于提供身份的应用方，任何人都可以创建身份标识，同时通过权限、策略和审批的三把锁，让区块链中不同用户在平等平权的基础上，根据需要去申请权限，并通过策略所需的其他用户审批同意，才能通过。

本发明需要解决的技术问题是：

(1)身份自主控制：每个用户的身份不是由可信第三方控制，而是由其所有者控制，个人能自主管理自己的身份，而不是依赖于应用方；

(2)身份可移植：个人可以携带自己的身份，从一处漫游到另一处，而非仅仅局限于某一个平台或某一个系统之中；

(3)分布式认证：认证的过程不需要依赖于提供身份的应用方，任何人都可以创建身份标识；

(4)权限可控：所有用户的身份都是平级的，通过权限、策略与审批管控权限。

本发明的目的可以通过以下技术方案实现：一种基于分布式PKI的区块链身份权限管理方法，包括如下步骤：

步骤一：访问业务平台前，必须进行身份认证；具体认证方法包括：

S14：通过预置的摄像头采集预设区域范围内的目标用户的的一组活体动作；具体步骤包括：

S141：要求用户做一组活体动作；

S142：获取用户的该组活体动作的图像信息；进行活体信息获取的目的是为了确保当前正在进行操作的是用户本人；由于后台服务器的图像比对是基于静态的照片进行，为了防止冒用他人照片进行身份验证的欺诈行为，会进行活体验证；通过要求用户在镜头前做一组活体动作并获取该一组活体动作的图像，通过一组记录不同活体动作的照片图像的综合比对，能有效甄别并防止冒用他人照片进行诈骗的行为；通常，活体动作是诸如眨眼之类的面部表情动作，拍摄的角度依旧是正面照片，以便于后续的比对和核实的动作；

S15：将目标用户的活体动作的图像信息与存储的合法用户的人脸图像信息进行比较，检测所述目标用户的活体动作的图像信息是否与所述合法用户的人脸图像信息相匹配；具体检测步骤如下：

S151：将目标用户的活体动作的图像信息与存储的多个合法用户的人脸图像信息进行比较，检测目标用户的活体动作的图像信息是否与多个所述合法用户的人脸图像信息中的任一个人脸图像信息相匹配；

S152：若目标用户的活体动作的图像信息与多个所述合法用户的人脸图像信息中的任一个人脸图像信息均不匹配，则确定目标用户的活体动作的图像信息与所述合法用户的人脸图像信息不匹配；

S153：若检测到所述目标用户的活体动作的图像信息与所述合法用户的人脸图像信息不匹配，则向关联的移动终端发送包括目标用户的活体动作的图像信息的告警消息，以提醒所述移动终端的用户确认所述目标用户的身份是否合法；具体过程如下：

S1531：检测是否接收到移动终端确认目标用户的身份合法后发送的信息存储消息；若接收到信息存储消息，则将所述目标用户的活体动作的图像信息作为合法用户的人脸图像信息存储至图像数据库中；

S1532：当接收到用户针对告警消息输入的确认目标用户的身份不合法的确认指令时，控制预置的警报器发出报警；

步骤二：身份认证成功后，用户在业务平台的登录页面上进行登录验证；用户的登录采用单点登录方式，用户输入用户名和密码后，传输过程中采用RSA公钥对用户名、密码进行加密，向服务器端发送请求；

步骤三：服务端接收到登录请求，采用RSA私钥对用户名、密码进行解密，再采用SHA256算法，同时采用随机数加“盐”策略存放于数据库中；

步骤四：验证用户名、密码；如果用户名和密码正确，则记录登录成功日志；

如果用户名和密码不正确，则记录登录失败日志，如果当前用户连续错误超过一定次数，则锁定当前用户，并提示当前用户已锁定，需要管理员解锁，如果当前用户连续错误没有超过一定次数，则判断当前IP连续错误是否超过一定次数，如果当前IP连续错误超过一定次数，则锁定当前IP，提示当前用户已锁定，需要管理员解锁，如果当前IP连续错误没有超过一定次数，则提示用户名、密码错误，返回步骤二中重新输入用户名和密码；

步骤五：登录验证结束，用户进入业务平台；其中，业务平台基于角色的访问控制，通过给角色授权、用户绑定角色的机制确定用户是否具有访问权，平台管理员对用户设定功能权限与数据权限，所述功能权限管控用户请求本平台的所有请求，所述数据权限限制用户能访问到的数据。

在步骤四中，对当前IP连续错误是否超过一定次数进行判断时，首先对访问业务平台的IP进行拦截和白名单验证；具体步骤如下：

S21：生成业务平台网络访问白名单；根据业务平台登录的具体环境，设定允许访问该业务平台的网络IP及其拥有的访问权限，生成该业务平台特有的网络访问白名单；

S22：获取业务平台网络访问恶意IP组库；对已有的业务平台网络访问IP进行时间、空间特性和恶意性分析，并最终生成恶意IP组库；

S23：当外部IP试图访问业务平台时，首先对该访问IP进行白名单验证，若该访问IP在白名单范围内，且权限允许，则允许其访问业务平台，对当前IP连续错误是否超过一定次数进行判断；

S24：对不在白名单中的访问IP进行恶意性分析；具体分析方法如下：

S241：将该IP节点标记为Aj，其连通度为标记为m，将该IP节点相应连接的域名标记为Dji，将域名对应的长度标记为dji，则节点IP的恶意性M(Aj)为：

当Dji为非恶意域名，S(Dji)＝0；当Dji为恶意域名，S(Dji)＝1；i＝1……m；

S242：将IP组标记为B，所述IP组共包含n个IP节点，则IP组的恶意性为：

j＝1……n；

S243：根据该访问IP在恶意IP组库中找到对应的IP组，计算出该恶意IP组中恶意IP的恶意性期望值

若M(Aj)>E(M(B))，则将该访问IP判定为恶意IP，并对其进行安全预警和访问控制；否则将其判定为可疑IP，对其进行访问控制；

S324：对无法确定的访问IP将其保存到可疑IP库中；对于既不在已有白名单列表中，也未被判定为恶意的访问IP，将其保存到可疑IP库中；当白名单和恶意IP组库更新时还要进行重复验证。

所述合法用户的人脸图像信息的获取方法为：

S11：接收基于用户操作触发的信息预置指令；

S12：输出提示信息，所述提示信息用于提示输入待验证信息；

S13：用户输入待验证信息，业务平台验证待验证信息是否与预设的验证信息相匹配；若匹配，则通过预置的摄像头采集当前用户的人脸图像信息，将所述当前用户的人脸图像信息作为合法用户的人脸图像信息存储至图像数据库中。

所述方法还包括如下步骤：

S31：设置登录界面锁定的时间值；

S32：当登录界面锁定的时间超过设置的时间值，则登录界面解锁，接收用户的登录验证请求。

本发明的有益效果是：

(1)由分布式的区块链承载整个身份体系使得用户身份自主可控，不依赖其他服务机构；个人可以携带自己的身份，从一处漫游到另一处，而非仅仅局限于某一个平台或某一个系统之中；认证的过程不需要依赖于提供身份的应用方，任何人都可以创建身份标识；同时通过权限、策略和审批的三把锁，让区块链中不同用户在平等平权的基础上，根据需要去申请权限，并通过策略所需的其他用户审批同意，才能通过。

(2)本发明对HTTP服务的其他需要鉴权的接口增加身份认证和登录验证来验证身份；通过预置的摄像头采集预设区域范围内的目标用户的的一组活体动作，将目标用户的活体动作的图像信息与存储的多个合法用户的人脸图像信息进行比较，来确认该目标用户的身份的合法性，当检测到两者不匹配时向关联的终端发送告警消息，使得用户外出时，能够及时地掌握到该预设区域的动态，了解到是否有非法分子闯入，从而避免了用户隐私泄露及财物损失；

(3)本发明采用对用户输入的用户名和密码采用RSA非对称加密(公私钥)，进行数据加密，保证每次请求的密文不会重复，避免了明文传输密码与暴力破解，然后采用SHA256算法，同时采用随机数加“盐”策略存放于数据库中，保证了即使相同数据，加密后也不重复，也不可逆向运算，大大提高用户身份鉴别的安全性，本发明对用户的每次请求，都会对该用户进行访问频次统计，对恶意的超高频访问进行拦截，防止负载攻击，对当前IP连续错误是否超过一定次数进行判断时，首先对访问业务平台的IP进行拦截和白名单验证，多重验证，大大提高用户身份鉴别的安全性。

附图说明

为了便于本领域技术人员理解，下面结合附图对本发明作进一步的说明。

图1为本发明一种基于分布式PKI的区块链身份权限管理方法的流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，一种基于分布式PKI的区块链身份权限管理方法，包括如下步骤：

X1：在区块链节点上提供HTTP服务，增加/did/create接口；

X2：定义用户的数字身份格式为did:rongzer:<id>；

X3：<Document>定义两个公钥，main为主私钥对应的公钥，recovery为备私钥对应的公钥；

X4：私钥由用户生成时，需传入加密算法名，支持RSA与SM2；

X5：可由区块链创建公私钥，同样需传入加密算法名，支持RSA与SM2，根据所选算法创建两对公私钥；

X6：由以上字段拼接为完整<Document>

X7：<id>采用双hash算出<id>＝base58(ripemd160(sha256(<Document>)))；

X8：在<Document>中加入字段"id":<id>；

X9：将<Document>交由区块链以<id>＝<Document>的形式作为数据上链；

X10：对HTTP服务的其他需要鉴权的接口增加身份认证和登录验证来验证身份；

X11：其他接口先使用did参数在区块链的世界状态中查询到<Document>，使用其中记录的主公钥对接口参数首字母排序后的所有参数字符串签名，比对两个签名是否一致；

X12：增加/permission/create权限接口，用同did创建的方式记录一个did与一种权限的映射关系<Permission>，其中增加status字段值为false，以及审批需要人数approval为所有did的总数

X13：增加/permission/approval审批接口，同did创建的方式记录一个did与一个权限审批的映射关系did_<id>_xxx＝true/false,如审批同意，则从世界状态中读取所有审批同意记录数量是否满足<Permission>中approval数量，如满足则修改其中status为true；

X14：其他需要权限控制的接口中，根据传入的did参数从世界状态中查询是否拥有权限进行调用；

所述步骤X10中对HTTP服务的其他需要鉴权的接口增加身份认证和登录验证来验证身份；具体验证方法包括：

步骤一：访问业务平台前，必须进行身份认证；具体认证方法包括：

S14：通过预置的摄像头采集预设区域范围内的目标用户的的一组活体动作；具体步骤包括：

S141：要求用户做一组活体动作；

S142：获取用户的该组活体动作的图像信息；

S15：将目标用户的活体动作的图像信息与存储的合法用户的人脸图像信息进行比较，检测所述目标用户的活体动作的图像信息是否与所述合法用户的人脸图像信息相匹配；具体检测步骤如下：

S151：将目标用户的活体动作的图像信息与存储的多个合法用户的人脸图像信息进行比较，检测目标用户的活体动作的图像信息是否与多个所述合法用户的人脸图像信息中的任一个人脸图像信息相匹配；

S152：若目标用户的活体动作的图像信息与多个所述合法用户的人脸图像信息中的任一个人脸图像信息均不匹配，则确定目标用户的活体动作的图像信息与所述合法用户的人脸图像信息不匹配；

S153：若检测到所述目标用户的活体动作的图像信息与所述合法用户的人脸图像信息不匹配，则向关联的移动终端发送包括目标用户的活体动作的图像信息的告警消息，以提醒所述移动终端的用户确认所述目标用户的身份是否合法；具体过程如下：

S1531：检测是否接收到移动终端确认目标用户的身份合法后发送的信息存储消息；若接收到信息存储消息，则将所述目标用户的活体动作的图像信息作为合法用户的人脸图像信息存储至图像数据库中；

S1532：当接收到用户针对告警消息输入的确认目标用户的身份不合法的确认指令时，控制预置的警报器发出报警；

步骤二：身份认证成功后，用户在业务平台的登录页面上进行登录验证；用户的登录采用单点登录方式，用户输入用户名和密码后，传输过程中采用RSA公钥对用户名、密码进行加密，向服务器端发送请求；

步骤三：服务端接收到登录请求，采用RSA私钥对用户名、密码进行解密，再采用SHA256算法，同时采用随机数加“盐”策略存放于数据库中；

步骤四：验证用户名、密码；如果用户名和密码正确，则记录登录成功日志；

如果用户名和密码不正确，则记录登录失败日志，如果当前用户连续错误超过一定次数，则锁定当前用户，并提示当前用户已锁定，需要管理员解锁，如果当前用户连续错误没有超过一定次数，则判断当前IP连续错误是否超过一定次数，如果当前IP连续错误超过一定次数，则锁定当前IP，提示当前用户已锁定，需要管理员解锁，如果当前IP连续错误没有超过一定次数，则提示用户名、密码错误，返回步骤二中重新输入用户名和密码；

步骤五：登录验证结束，用户进入业务平台；其中，业务平台基于角色的访问控制，通过给角色授权、用户绑定角色的机制确定用户是否具有访问权，平台管理员对用户设定功能权限与数据权限，所述功能权限管控用户请求本平台的所有请求，所述数据权限限制用户能访问到的数据。

在步骤四中，对当前IP连续错误是否超过一定次数进行判断时，首先对访问业务平台的IP进行拦截和白名单验证；具体步骤如下：

S21：生成业务平台网络访问白名单；根据业务平台登录的具体环境，设定允许访问该业务平台的网络IP及其拥有的访问权限，生成该业务平台特有的网络访问白名单；

S22：获取业务平台网络访问恶意IP组库；对已有的业务平台网络访问IP进行时间、空间特性和恶意性分析，并最终生成恶意IP组库；

S23：当外部IP试图访问业务平台时，首先对该访问IP进行白名单验证，若该访问IP在白名单范围内，且权限允许，则允许其访问业务平台，对当前IP连续错误是否超过一定次数进行判断；

S24：对不在白名单中的访问IP进行恶意性分析；具体分析方法如下：

S241：将该IP节点标记为Aj，其连通度为标记为m，将该IP节点相应连接的域名标记为Dji，将域名对应的长度标记为dji，则节点IP的恶意性M(Aj)为：

当Dji为非恶意域名，S(Dji)＝0；当Dji为恶意域名，S(Dji)＝1；i＝1……m；

S242：将IP组标记为B，所述IP组共包含n个IP节点，则IP组的恶意性为：

j＝1……n；

S243：根据该访问IP在恶意IP组库中找到对应的IP组，计算出该恶意IP组中恶意IP的恶意性期望值

若M(Aj)>E(M(B))，则将该访问IP判定为恶意IP，并对其进行安全预警和访问控制；否则将其判定为可疑IP，对其进行访问控制；

S324：对无法确定的访问IP将其保存到可疑IP库中；对于既不在已有白名单列表中，也未被判定为恶意的访问IP，将其保存到可疑IP库中；当白名单和恶意IP组库更新时还要进行重复验证。

进一步地，所述合法用户的人脸图像信息的获取方法为：

S11：接收基于用户操作触发的信息预置指令；

S12：输出提示信息，所述提示信息用于提示输入待验证信息；

S13：用户输入待验证信息，业务平台验证待验证信息是否与预设的验证信息相匹配；若匹配，则通过预置的摄像头采集当前用户的人脸图像信息，将所述当前用户的人脸图像信息作为合法用户的人脸图像信息存储至图像数据库中。

还包括如下步骤：

S31：设置登录界面锁定的时间值；

S32：当登录界面锁定的时间超过设置的时间值，则登录界面解锁，接收用户的登录验证请求。

一种基于分布式PKI的区块链身份权限管理方法，在工作时，身份自主控制：每个用户的身份不是由可信第三方控制，而是由其所有者控制，个人能自主管理自己的身份，而不是依赖于应用方；身份可移植：个人可以携带自己的身份，从一处漫游到另一处，而非仅仅局限于某一个平台或某一个系统之中；分布式认证：认证的过程不需要依赖于提供身份的应用方，任何人都可以创建身份标识，权限可控：所有用户的身份都是平级的，通过权限、策略与审批管控权限；由分布式的区块链承载整个身份体系使得用户身份自主可控，不依赖其他服务机构。同时通过权限、策略和审批的三把锁，让区块链中不同用户在平等平权的基础上，根据需要去申请权限，并通过策略所需的其他用户审批同意，才能通过；

本发明对HTTP服务的其他需要鉴权的接口增加身份认证和登录验证来验证身份；通过预置的摄像头采集预设区域范围内的目标用户的的一组活体动作，将目标用户的活体动作的图像信息与存储的多个合法用户的人脸图像信息进行比较，来确认该目标用户的身份的合法性，当检测到两者不匹配时向关联的终端发送告警消息，使得用户外出时，能够及时地掌握到该预设区域的动态，了解到是否有非法分子闯入，从而避免了用户隐私泄露及财物损失；

对用户输入的用户名和密码采用RSA非对称加密(公私钥)，进行数据加密，保证每次请求的密文不会重复，避免了明文传输密码与暴力破解，然后采用SHA256算法，同时采用随机数加“盐”策略存放于数据库中，保证了即使相同数据，加密后也不重复，也不可逆向运算，大大提高用户身份鉴别的安全性，本发明对用户的每次请求，都会对该用户进行访问频次统计，对恶意的超高频访问进行拦截，防止负载攻击，对当前IP连续错误是否超过一定次数进行判断时，首先对访问业务平台的IP进行拦截和白名单验证，多重验证，大大提高用户身份鉴别的安全性。

上述公式均是由采集大量数据进行软件模拟及相应专家进行参数设置处理，得到与真实结果符合的公式。

以上内容仅仅是对本发明结构所作的举例和说明，所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离发明的结构或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。

Claims (4)

1.一种基于分布式PKI的区块链身份权限管理方法，其特征在于，包括如下步骤：

步骤一：访问业务平台前，首先进行身份认证；具体认证方法包括：

S14：通过预置的摄像头采集预设区域范围内的目标用户的的一组活体动作；具体步骤包括：

S141：要求用户做一组活体动作；

S142：获取用户的该组活体动作的图像信息；

S15：将目标用户的活体动作的图像信息与存储的合法用户的人脸图像信息进行比较，检测所述目标用户的活体动作的图像信息是否与所述合法用户的人脸图像信息相匹配；具体检测步骤如下：

S151：将目标用户的活体动作的图像信息与存储的多个合法用户的人脸图像信息进行比较，检测目标用户的活体动作的图像信息是否与多个所述合法用户的人脸图像信息中的任一个人脸图像信息相匹配；

S152：若目标用户的活体动作的图像信息与多个所述合法用户的人脸图像信息中的任一个人脸图像信息均不匹配，则确定目标用户的活体动作的图像信息与所述合法用户的人脸图像信息不匹配；

S153：若检测到所述目标用户的活体动作的图像信息与所述合法用户的人脸图像信息不匹配，则向关联的移动终端发送包括目标用户的活体动作的图像信息的告警消息，以提醒所述移动终端的用户确认所述目标用户的身份是否合法；具体过程如下：

S1531：检测是否接收到移动终端确认目标用户的身份合法后发送的信息存储消息；若接收到信息存储消息，则将所述目标用户的活体动作的图像信息作为合法用户的人脸图像信息存储至图像数据库中；

S1532：当接收到用户针对告警消息输入的确认目标用户的身份不合法的确认指令时，控制预置的警报器发出报警；

步骤二：身份认证成功后，用户在业务平台的登录页面上进行登录验证；用户的登录采用单点登录方式，用户输入用户名和密码后，传输过程中采用RSA公钥对用户名、密码进行加密，向服务器端发送请求；

步骤三：服务端接收到登录请求，采用RSA私钥对用户名、密码进行解密，再采用SHA256算法，同时采用随机数加“盐”策略存放于数据库中；

步骤四：验证用户名、密码；如果用户名和密码正确，则记录登录成功日志；

如果用户名和密码不正确，则记录登录失败日志，如果当前用户连续错误超过一定次数，则锁定当前用户，并提示当前用户已锁定，需要管理员解锁，如果当前用户连续错误没有超过一定次数，则判断当前IP连续错误是否超过一定次数，如果当前IP连续错误超过一定次数，则锁定当前IP，提示当前用户已锁定，需要管理员解锁，如果当前IP连续错误没有超过一定次数，则提示用户名、密码错误，返回步骤二中重新输入用户名和密码；

步骤五：登录验证结束，用户进入业务平台；其中，业务平台基于角色的访问控制，通过给角色授权、用户绑定角色的机制确定用户是否具有访问权，平台管理员对用户设定功能权限与数据权限，所述功能权限管控用户请求本平台的所有请求，所述数据权限限制用户能访问到的数据。

2.一种基于分布式PKI的区块链身份权限管理方法，其特征在于，在步骤四中，对当前IP连续错误是否超过一定次数进行判断时，首先对访问业务平台的IP进行拦截和白名单验证；具体步骤如下：

S21：生成业务平台网络访问白名单；根据业务平台登录的具体环境，设定允许访问该业务平台的网络IP及其拥有的访问权限，生成该业务平台特有的网络访问白名单；

S22：获取业务平台网络访问恶意IP组库；对已有的业务平台网络访问IP进行时间、空间特性和恶意性分析，并最终生成恶意IP组库；

S23：当外部IP试图访问业务平台时，首先对该访问IP进行白名单验证，若该访问IP在白名单范围内，且权限允许，则允许其访问业务平台，对当前IP连续错误是否超过一定次数进行判断；

S24：对不在白名单中的访问IP进行恶意性分析；具体分析方法如下：

S241：将该IP节点标记为Aj，其连通度为标记为m，将该IP节点相应连接的域名标记为Dji，将域名对应的长度标记为dji，则节点IP的恶意性M(Aj)为：

当Dji为非恶意域名，S(Dji)＝0；当Dji为恶意域名，S(Dji)＝1；i＝1……m；

S242：将IP组标记为B，所述IP组共包含n个IP节点，则IP组的恶意性为：

j＝1……n；

S243：根据该访问IP在恶意IP组库中找到对应的IP组，计算出该恶意IP组中恶意IP的恶意性期望值

若M(Aj)>E(M(B))，则将该访问IP判定为恶意IP，并对其进行安全预警和访问控制；否则将其判定为可疑IP，对其进行访问控制；

S324：对无法确定的访问IP将其保存到可疑IP库中；对于既不在已有白名单列表中，也未被判定为恶意的访问IP，将其保存到可疑IP库中；当白名单和恶意IP组库更新时还要进行重复验证。

3.一种基于分布式PKI的区块链身份权限管理方法，其特征在于，所述合法用户的人脸图像信息的获取方法为：

S11：接收基于用户操作触发的信息预置指令；

S12：输出提示信息，所述提示信息用于提示输入待验证信息；

S13：用户输入待验证信息，业务平台验证待验证信息是否与预设的验证信息相匹配；若匹配，则通过预置的摄像头采集当前用户的人脸图像信息，将所述当前用户的人脸图像信息作为合法用户的人脸图像信息存储至图像数据库中。

4.一种基于分布式PKI的区块链身份权限管理方法，其特征在于，所述方法还包括如下步骤：

S31：设置登录界面锁定的时间值；

S32：当登录界面锁定的时间超过设置的时间值，则登录界面解锁，接收用户的登录验证请求。

Images