CN111740973A - 一种区块链服务与应用的智能防御系统及方法 - Google Patents
一种区块链服务与应用的智能防御系统及方法 Download PDFInfo
- Publication number
- CN111740973A CN111740973A CN202010549284.5A CN202010549284A CN111740973A CN 111740973 A CN111740973 A CN 111740973A CN 202010549284 A CN202010549284 A CN 202010549284A CN 111740973 A CN111740973 A CN 111740973A
- Authority
- CN
- China
- Prior art keywords
- application
- service
- block chain
- access
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种区块链服务与应用的智能防御系统及方法,所述系统包括节点访问监听与采集引擎、区块链服务与应用安全接入认证单元、区块链服务与应用访问代理单元、敏感数据资源安全服务单元,所述节点访问监听与采集引擎,用于将访问者对区块链服务与应用的访问请求进行过滤;所述区块链服务与应用安全接入认证单元,用于对区块链服务与应用的访问请求进行强制接入认证;所述敏感数据资源安全服务单元,用于按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行加密或脱敏,然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。采用本发明的技术方案,可保障基于区块链系统的业务应用能够持续稳定安全运行。
Description
技术领域
本发明涉及区块链领域,尤其涉及一种区块链服务与应用智能的防御系统及方法。
背景技术
当前随着区块链技术的发展,区块链技术的应用范围已经延伸到物联网、智能制造、供应链管理、数字资产交易等多个领域,区块链服务与应用系统的部署规模也呈现指数级增加,由于区块链系统是一个典型的分布式系统,其管理、计算与存储节点均存在访问客户端身份冒用、业务数据泄露与外部攻击等信息安全风险,特别是在跨越多个网络结构上部署的区块链系统其面临的风险更大,如何防护区块链系统的各类节点,保障基于区块链系统的业务应用能够持续稳定安全运行,是亟待解决的重要问题。
发明内容
针对现有技术中部署于物理主机和虚拟主机上的区块链服务与应用节点无法有效防止身份冒用、数据泄露与外部攻击等安全问题,本发明提出了一种区块链服务与应用的智能防御系统及方法。
本发明实施例中,提供了一种区块链服务与应用的智能防御系统,其包括节点访问监听与采集引擎、区块链服务与应用安全接入认证单元、区块链服务与应用访问代理单元、敏感数据资源安全服务单元,
所述节点访问监听与采集引擎,用于将访问者对区块链服务与应用的访问请求进行过滤,并实时提取所述访问请求的安全属性信息;
所述区块链服务与应用安全接入认证单元,用于对区块链服务与应用的访问请求进行强制接入认证;
所述区块链服务与应用访问代理单元,用于为通过接入认证的访问者建立区块链服务与应用的网络安全代理通道,并从区块链服务与应用数据流中获取敏感数据;
所述敏感数据资源安全服务单元,用于按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行加密或脱敏,然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。
本发明实施例中,所述的区块链服务与应用的智能防御系统,还包括:
访问者终端代理单元,用于将访问者对区块链服务与应用的访问请求导入到所述服务访问监听与采集引擎。
本发明实施例中,所述的区块链服务与应用的智能防御系统,还包括:
统一管理服务单元,用于配置区块链服务与应用系统中每个区块链服务与应用的安全防护策略。
本发明实施例中,所述的区块链服务与应用的智能防御系统,还包括:
区块链服务与应用动态访问控制单元,用于使用动态评估模型对区块链服务与应用系统的整体安全态势进行全方位评估,并实时调整对区块链服务与应用访问请求的安全等级,根据安全等级实施防护策略和访问通道控制。
本发明实施例中,所述的区块链服务与应用的智能防御系统,还包括:
资源目录管控单元,用于为通过接入认证的用户动态生成该用户可以查看的区块链服务与应用清单,并对区块链服务与应用的地址进行动态随机化加密。
本发明实施例中,所述的区块链服务与应用的智能防御系统,还包括:
区块链服务与应用访问监控审计单元,用于采用大数据分析技术手段,对所有区块链服务与应用的访问规律进行统计分析,生成访问图谱。
本发明实施例中,所述访问请求的安全属性信息包括请求者、运行环境、区块链服务与应用、访问通道。
本发明实施例中,所述区块链服务与应用安全接入认证单元对未通过认证的访问请求进行资源隔离和隐藏,对通过认证的访问请求按照安全策略进行服务与应用资源授权和细粒度访问控制。
本发明实施例中,还提供了一种区块链服务与应用的智能防御方法,其包括:
对区块链服务与应用的访问请求进行强制接入认证;
为通过接入认证的访问者建立区块链服务与应用的网络安全代理通道,并从区块链服务与应用数据流中获取敏感数据;
按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行加密或脱敏,然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。
本发明实施例中,所述的区块链服务与应用的智能防御方法,还包括:
为通过接入认证的访问者动态生成该访问者可以查看的区块链服务与应用清单,并对区块链服务与应用的地址进行动态随机化加密。
与现有技术相比较,采用本发明的区块链服务与应用的智能防御和方法, 为区块链业务应用提供集访问防护、权限控制、数据资源加密与脱敏等安全防御功能于一体的综合智能安全服务,可以满足未来大型企业和机构数据中心的区块链服务与业务应用系统的安全防御要求,有效降低区块链系统的管理、计算与存储节点的访问客户端身份冒用、业务数据泄露与外部攻击等信息安全风险,保障基于区块链系统的业务应用能够持续稳定安全运行。
附图说明
图1是本发明实施例的区块链服务与应用的智能防御系统的结构示意图;
图2是本发明实施例的区块链服务与应用的智能防御系统的网络部署示意图;
图3是本发明实施例的区块链服务与应用的智能防御系统的工作流程图。
具体实施方式
如图1所示,本发明实施例提供了一种区块链服务与应用的智能防御系统,其包括:节点访问监听与采集引擎、区块链服务与应用安全接入认证单元、资源目录管控单元、区块链服务与应用访问代理单元、敏感数据资源安全服务单元、区块链服务与应用动态访问控制单元、统一管理服务单元、区块链服务与应用访问监控审计单元和访问者终端代理单元。下面分别进行说明。
所述节点访问监听与采集引擎,用于将访问者对区块链服务与应用的访问请求进行过滤,并实时提取所述访问请求的安全属性信息。所述访问请求的安全属性信息包括请求者、运行环境、区块链服务与应用、访问通道。
所述区块链服务与应用安全接入认证单元,用于对区块链服务与应用的访问请求进行强制接入认证。所述区块链服务与应用安全接入认证单元对未通过认证的访问请求进行资源隔离和隐藏,对通过认证的访问请求按照安全策略进行服务与应用资源授权和细粒度访问控制。
所述资源目录管控单元,用于为通过接入认证的用户动态生成该用户可以查看的区块链服务与应用清单,并对区块链服务与应用的地址进行动态随机化加密。
所述区块链服务与应用访问代理单元,用于为通过接入认证的访问者建立区块链服务与应用的网络安全代理通道,并从区块链服务与应用数据流中获取敏感数据。
所述敏感数据资源安全服务单元,用于按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行加密或脱敏,然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。
所述统一管理服务单元,用于配置区块链服务与应用系统中每个区块链服务与应用的安全防护策略。
区块链服务与应用动态访问控制单元,用于使用动态评估模型对区块链服务与应用系统的整体安全态势进行全方位评估,并实时调整对区块链服务与应用访问请求的安全等级,根据安全等级实施防护策略和访问通道控制。
所述区块链服务与应用访问监控审计单元用于采用大数据分析技术手段,对所有区块链服务与应用访问规律进行统计分析,生成访问图谱,并支持访问过程回溯和定责。
所述访问者终端代理单元,用于将访问者对区块链服务与应用的访问请求导入到所述服务访问监听与采集引擎。
图2示出了所述区块链服务与应用的智能防御系统在网络中的部署。
下面结合图3对所述区块链服务与应用的智能防御系统的工作过程进行说明。
在进行安全防护之前,首先需要配置区块链服务与应用防护策略,具体过程如下:
采用区块链节点智能扫描工具自动扫描数据中心内所有区块链服务与应用,生成区块链服务与应用清单,并采用所述统一管理单元配置每个区块链服务与应用的安全防护策略。
当检测到对区块链服务与应用的访问请求时,采用上述安全防护策略进行防护,具体防护过程包括:
首先,对区块链服务与应用的访问请求进行强制接入认证;
然后,为通过接入认证的访问者建立区块链服务与应用的网络安全代理通道,并从区块链服务与应用数据流中获取敏感数据;
最后,按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行加密或脱敏,然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。
其中,区块链服务与应用安全接入认证过程如下:
首先进行访问者接入认证与控制,采用安全网卡捕获所有访问数据流,对数据流进行网络层安全过滤与内容检测,通过检测的流量会被强制重定向到上述服务安全接入认证单元中进行接入认证,对于通过接入认证的访问者,系统通过所述资源与目录管控单元动态生成该访问者可以查看的区块链服务与应用清单,并对服务与应用链接地址进行动态随机化加密,保障任意服务与应用资源的一人一链接。
构建安全代理通道与提取敏感数据资源过程如下:
采用所述区块链服务与应用访问代理单元为点击区块链服务与应用链接的访问者建立网络安全代理通道,所述区块链服务与应用访问代理单元捕获交互数据流,并对数据流进行区块链服务与应用协议解析,根据敏感数据字典或数据安全标识提取协议文本、文件内容和音视频内容等数据资源,从区块链服务与应用数据流中获取敏感数据资源。
实施敏感数据多级防护过程如下:
按照配置的数据安全防护策略对数据进行多级加密或脱敏,或者根据数据资源访问权限配置直接拦截该敏感数据资源,然后将加密与脱敏后的数据封装入新数据包,将该新数据包替换原有数据包,并嵌入数据流中,发送到访问者侧或服务侧,实现区块链服务与应用系统的透明数据防护能力。
进一步地,所述区块链服务与应用的智能防御系统还对区块链服务与应用访问行为监控及审计分析,具体过程如下:
实时提取访问者访问行为并实时发送到监控平台,同时将行为数据存入日志数据库中,进行行为图谱分析、时空热点分析、特征提取与智能分析等分析审计工作,发现异常访问行为和潜在数据泄露风险,并实时提出预警,同时根据审计分析结果调整安全防护策略,从而实现区块链服务与应用智能防御工作的PDCA循环与防护策略持续优化。
综上所述,采用本发明的技术方案,为区块链服务与应用构建集安全访问控制、区块链数据透明加解密、区块链数据脱敏、区块链数据访问行为分析等功能为一体的智能防御系统,为请求者访问区块链服务与应用构建透明多维度联合接入认证服务,对区块链服务与应用实施动态授权和细粒度控制,持续分析区块链服务与应用访问行为,全方位动态评估访问风险,给出安全对策和实时控制,并实时阻断区块链服务与应用的恶意请求;提供多密级、颗粒化高效透明加密和脱敏服务,具备灵活的脱敏、加密策略配置,满足多区块链业务应用程序敏感数据在线应用与协同实时交互需求,防止未经授权访问者在访问区块链服务与应用时,造成敏感数据泄漏;分析并构建区块链服务与应用访问图谱,对访问服务与应用过程回溯与定责;可以满足未来大型企业和机构数据中心的区块链服务与业务应用系统的安全防御要求,为区块链业务应用提供集访问防护、权限控制、数据资源加密与脱敏等安全防御功能于一体的综合智能安全服务,有效降低区块链系统的管理、计算与存储节点的访问客户端身份冒用、业务数据泄露与外部攻击等信息安全风险,保障基于区块链系统的业务应用能够持续稳定安全运行。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种区块链服务与应用的智能防御系统,其特征在于,包括节点访问监听与采集引擎、区块链服务与应用安全接入认证单元、区块链服务与应用访问代理单元、敏感数据资源安全服务单元,
所述节点访问监听与采集引擎,用于将访问者对区块链服务与应用的访问请求进行过滤,并实时提取所述访问请求的安全属性信息;
所述区块链服务与应用安全接入认证单元,用于对区块链服务与应用的访问请求进行强制接入认证;
所述区块链服务与应用访问代理单元,用于为通过接入认证的访问者建立区块链服务与应用的网络安全代理通道,并从区块链服务与应用数据流中获取敏感数据;
所述敏感数据资源安全服务单元,用于按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行加密或脱敏,然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。
2.如权利要求1所述的区块链服务与应用的智能防御系统,其特征在于,还包括:
访问者终端代理单元,用于将访问者对区块链服务与应用的访问请求导入到所述服务访问监听与采集引擎。
3.如权利要求1所述的区块链服务与应用的智能防御系统,其特征在于,还包括:
统一管理服务单元,用于配置区块链服务与应用系统中每个区块链服务与应用的安全防护策略。
4.如权利要求1所述的区块链服务与应用的智能防御系统,其特征在于,还包括:
区块链服务与应用动态访问控制单元,用于使用动态评估模型对区块链服务与应用系统的整体安全态势进行全方位评估,并实时调整对区块链服务与应用访问请求的安全等级,根据安全等级实施防护策略和访问通道控制。
5.如权利要求1所述的区块链服务与应用的智能防御系统,其特征在于,还包括:
资源目录管控单元,用于为通过接入认证的用户动态生成该用户可以查看的区块链服务与应用清单,并对区块链服务与应用的地址进行动态随机化加密。
6.如权利要求1所述的区块链服务与应用的智能防御系统,其特征在于,还包括:
区块链服务与应用访问监控审计单元,用于采用大数据分析技术手段,对所有区块链服务与应用的访问规律进行统计分析,生成访问图谱。
7.如权利要求1所述的区块链服务与应用的智能防御系统,其特征在于,所述访问请求的安全属性信息包括请求者、运行环境、区块链服务与应用、访问通道。
8.如权利要求1所述的区块链服务与应用的智能防御系统,其特征在于,
所述区块链服务与应用安全接入认证单元对未通过认证的访问请求进行资源隔离和隐藏,对通过认证的访问请求按照安全策略进行服务与应用资源授权和细粒度访问控制。
9.一种区块链服务与应用的智能防御方法,其特征在于,包括:
对区块链服务与应用的访问请求进行强制接入认证;
为通过接入认证的访问者建立区块链服务与应用的网络安全代理通道,并从区块链服务与应用数据流中获取敏感数据;
按照配置的数据安全防护策略对从区块链服务与应用数据流中的敏感数据进行加密或脱敏,然后将加密或脱敏后的数据替换原来的敏感数据并嵌入到数据流中。
10.如权利要求9所述的区块链服务与应用的智能防御方法,其特征在于,还包括:
为通过接入认证的访问者动态生成该访问者可以查看的区块链服务与应用清单,并对区块链服务与应用的地址进行动态随机化加密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010549284.5A CN111740973A (zh) | 2020-06-16 | 2020-06-16 | 一种区块链服务与应用的智能防御系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010549284.5A CN111740973A (zh) | 2020-06-16 | 2020-06-16 | 一种区块链服务与应用的智能防御系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111740973A true CN111740973A (zh) | 2020-10-02 |
Family
ID=72649430
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010549284.5A Pending CN111740973A (zh) | 2020-06-16 | 2020-06-16 | 一种区块链服务与应用的智能防御系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111740973A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114297652A (zh) * | 2021-12-30 | 2022-04-08 | 方滨兴 | 一种可防范未知网络攻击的背书链系统 |
CN115190162A (zh) * | 2022-06-27 | 2022-10-14 | 杭州溪塔科技有限公司 | 区块链中的代理服务配置方法及代理服务系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106407843A (zh) * | 2016-10-17 | 2017-02-15 | 深圳中兴网信科技有限公司 | 数据脱敏方法和数据脱敏装置 |
CN108306887A (zh) * | 2018-02-05 | 2018-07-20 | 徐正伟 | 基于区块链的物联网安全与数据隐私保护系统 |
CN109462570A (zh) * | 2018-09-03 | 2019-03-12 | 众安信息技术服务有限公司 | 基于区块链的跨云平台的计算系统及应用其的计算方法 |
CN110321721A (zh) * | 2019-07-02 | 2019-10-11 | 石家庄铁道大学 | 基于区块链的电子病历访问控制方法 |
CN111262872A (zh) * | 2020-01-20 | 2020-06-09 | 新晨科技股份有限公司 | 一种企业区块链服务平台 |
-
2020
- 2020-06-16 CN CN202010549284.5A patent/CN111740973A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106407843A (zh) * | 2016-10-17 | 2017-02-15 | 深圳中兴网信科技有限公司 | 数据脱敏方法和数据脱敏装置 |
CN108306887A (zh) * | 2018-02-05 | 2018-07-20 | 徐正伟 | 基于区块链的物联网安全与数据隐私保护系统 |
CN109462570A (zh) * | 2018-09-03 | 2019-03-12 | 众安信息技术服务有限公司 | 基于区块链的跨云平台的计算系统及应用其的计算方法 |
CN110321721A (zh) * | 2019-07-02 | 2019-10-11 | 石家庄铁道大学 | 基于区块链的电子病历访问控制方法 |
CN111262872A (zh) * | 2020-01-20 | 2020-06-09 | 新晨科技股份有限公司 | 一种企业区块链服务平台 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114297652A (zh) * | 2021-12-30 | 2022-04-08 | 方滨兴 | 一种可防范未知网络攻击的背书链系统 |
CN115190162A (zh) * | 2022-06-27 | 2022-10-14 | 杭州溪塔科技有限公司 | 区块链中的代理服务配置方法及代理服务系统 |
CN115190162B (zh) * | 2022-06-27 | 2023-11-28 | 杭州溪塔科技有限公司 | 区块链中的代理服务配置方法及代理服务系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111600856B (zh) | 数据中心运维的安全系统 | |
CN112270012B (zh) | 一种用于分布式数据安全防护的装置、方法及其系统 | |
CN104065651B (zh) | 一种面向云计算的信息流可信保障方法 | |
CN111488598A (zh) | 访问控制方法、装置、计算机设备和存储介质 | |
CN109413000B (zh) | 一种防盗链方法及防盗链网关系统 | |
CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
Kebande et al. | Real-time monitoring as a supplementary security component of vigilantism in modern network environments | |
CN112270011A (zh) | 对现存应用系统的业务及数据安全防护方法、装置及系统 | |
US11882147B2 (en) | Method and apparatus for determining a threat using distributed trust across a network | |
Lin et al. | Internet of things intrusion detection model and algorithm based on cloud computing and multi-feature extraction extreme learning machine | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN111740973A (zh) | 一种区块链服务与应用的智能防御系统及方法 | |
Akremi et al. | A comprehensive and holistic knowledge model for cloud privacy protection | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
CN111510463A (zh) | 异常行为识别系统 | |
CN114218194A (zh) | 数据银行安全系统 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
Ahmed et al. | A Method for Eliciting Security Requirements from the Business Process Models. | |
US9143517B2 (en) | Threat exchange information protection | |
Dorigo | Security information and event management | |
CN114297639A (zh) | 一种接口调用行为的监测方法、装置、电子设备及介质 | |
Zeng et al. | Based on the role of Internet of Things security in the management of enterprise human resource information leakage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201002 |
|
RJ01 | Rejection of invention patent application after publication |