CN112368690A - 受保护实体的基于区块链的准入过程 - Google Patents

受保护实体的基于区块链的准入过程 Download PDF

Info

Publication number
CN112368690A
CN112368690A CN201980041504.9A CN201980041504A CN112368690A CN 112368690 A CN112368690 A CN 112368690A CN 201980041504 A CN201980041504 A CN 201980041504A CN 112368690 A CN112368690 A CN 112368690A
Authority
CN
China
Prior art keywords
access
client
type
transaction
protected entity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201980041504.9A
Other languages
English (en)
Inventor
阿隆·莱尔丘克
大卫·阿维夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Radworth Ltd
Original Assignee
Radworth Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Radworth Ltd filed Critical Radworth Ltd
Publication of CN112368690A publication Critical patent/CN112368690A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/045Payment circuits using payment protocols involving tickets
    • G06Q20/0457Payment circuits using payment protocols involving tickets the tickets being sent electronically
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0655Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash managed centrally
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/381Currency conversion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • Development Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Computer And Data Communications (AREA)

Abstract

提供了一种用于基于区块链对受保护实体进行访问的方法和系统。该方法包括:向客户端授予第一类型的访问通证;在区块链网络中识别转换交易,该转换交易识别将第一类型的访问通证与第二类型的访问通证进行转换的请求,其中,该交易至少指定受保护实体;确定用于将第一类型的访问通证转换为第二类型的访问通证的转换值,其中,转换值基于至少一个访问参数来确定;基于所确定的转换值,将第一类型的访问通证的第一总和转换为第二类型的访问通证的第二总和;以及当接收第二类型的访问通证的总和作为对受保护实体的支付时,向客户端授予对受保护实体的访问。

Description

受保护实体的基于区块链的准入过程
相关申请的交叉引用
本申请是于2018年5月31日提交的现在未决的美国专利申请No.15/994,414的继续,该未决的美国专利申请No.15/994,414要求于2018年4月26日提交的美国临时申请No.62/663,132的权益,该未决的美国专利申请No.15/994,414的内容通过引用并入本文。
技术领域
本公开总体涉及网络安全技术,并且更具体地涉及使用区块链分散式账本允许对受保护实体的差异准入的准入控制。
背景技术
在相关技术中,传统的准入控制解决方案通常是请求访问的第三方服务。例如,
Figure BDA0002847354550000011
Figure BDA0002847354550000012
使用用于准入控制的OAuth协议来提供这样的服务。
在许多企业中,内部利用类似的技术以允许访问。例如,基于NT LAN Manager(NTLM)和Kerberos的
Figure BDA0002847354550000013
单点登录(SSO)被用作客户端、服务器和应用的集中式准入服务。通常,准入服务在作出准入判决时可考虑许多参数。例如,基于角色的访问控制(RBAC),其是一种基于企业内各个用户的角色来调节对计算机或网络资源的访问的方法。准入判决通常是允许或拒绝属性。
即,准入服务考虑可用参数,并且如果参数满足安全准入通证(token)(例如,证书或会话密钥)形式的角色,则仅最终判定被暴露给受保护实体。这种准入控制系统的允许或拒绝二元属性在历史上是足够的,因为假设所有的客户端都来自相对可信的环境。在新兴的、主要是云驱动的环境中,明确需要一种能够在评估与访问请求相关联的风险之后提供粒度准入(granular admission)的解决方案。
在大多数情况下,对受保护实体的准入要求用户通过网络并且有时通过因特网暴露私有信息(例如,用户名、电话号码、登录证书等),因此准入服务易受隐私侵犯的攻击。
一些现有的准入控制系统基于可信的第三方服务或基础设施。例如,在公钥基础设施(PKI)中使用认证机构(CA)来推断实体之间的信任。
重放攻击是由准入控制器和认证技术的脆弱性引起的一种安全风险。在重放攻击中,第三方对手监听准入控制器和客户端(或准入服务)之间的通信,并“重放”所捕获的通信以获得非法准入。解决这种风险是大多数准入控制系统和协议的核心。通常,在受保护的交互会话上执行准入控制器与客户端(或服务)之间的通信。现有解决方案的交互特性在系统架构、规模和系统可用性方面强加了许多限制,从而导致昂贵且不灵活的解决方案。
在许多情况下,准入请求源自诸如网上机器人(Bot)的恶意实体。解决网上机器人风险也在准入系统的问题域中多次出现。然而,大多数准入系统不能内部地解决这种风险,因此依赖于外部第三方解决方案。这进一步增加了准入控制的复杂性和不灵活性。
区块链是允许在以新的方式应用的已证明的技术的组合上构建的数字商品(例如,金钱和知识产权)的快速、安全和透明的点对点传输的技术。具体地,区块链的基本原理基于因特网、私钥加密技术、共识性算法和管理激励的协议。
区块链提供了用于数字交互的系统,其提供了交易的透明度并且不需要可信的第三方。区块链的基础设施可被看作分散式不可变数据库(decentralized immutabledatabase),该分散式不可变数据库由高级加密技术保护,并且存在于在大型网络中的多个节点中。
分散式不可变数据库是由每个节点独立地保持和更新的分布式账本。该分布是唯一的,因为记录不是由中央机构传递到各个节点的,而是由每个节点独立地构造和保持的。即,网络上的每个单个节点处理每个交易,得出自我结论,然后对这些结论进行投票以确保多数同意该结论。一旦达成共识,则更新分布式账本,并且每个节点维护同一账本的其自己的相同副本。
区块链技术的主要用途是虚拟货币或加密货币,诸如比特币、以太币和莱特币。例如,在比特币中,每次发生交易(例如一方直接向另一方发送比特币)时,交易的细节(例如,源、目的地和日期/时间戳)被添加到所谓的区块。例如,区块包含具有最近提交的交易的其他相似类型的交易。然后,通过网络中的节点(矿工(miners))的集体计算能力来检查和确认密码保护区块内的交易的有效性。达成共识技术和基于博弈论的松散/增益程序被用来确保所有节点具有相同的信息,节点(矿工)例如是被配置为利用其处理能力来解决复杂数学问题(诸如复杂哈希算法)直到达成共识为止的计算机。一旦解决,区块及其所有相应的交易都被验证为合法的。当区块内的交易被认为合法时,区块被附加到链中大部分最近验证的区块,创建可由所有期望者查看的连续账本。
该过程永久地继续,从而扩充区块链的内容并提供可信的公共记录。除了被不断地更新之外,链及其所有区块都被分布到网络中的所有其它节点。这确保了该分散式账本的最新版本实际上到处存在,使得几乎不可能伪造。
大多数基于区块链的应用涉及虚拟货币的相关金融交易。然而,随着区块链技术的进步,提出了其他基于区块链的应用和用途。这样的应用包括建立数字身份而不暴露易受攻击的用户的个人信息、记录智能法律合约、审计金融交易以及自动规章遵循。
在相关技术中讨论的与区块链相关的网络安全解决方案主要针对保护区块链的交易或基础设施(例如,分布式账本等)。没有可用的解决方案来使用基于区块链的技术来保护区块链基础设施外部的实体(例如,服务器、数据中心等)。例如,不存在可以识别对web服务器的访问请求是从合法用户还是恶意的网上机器人接收的基于区块链的解决方案。
因此,提供一种将克服现有安全准入解决方案的缺陷、同时受益于区块链优点的有效解决方案将是有利的。
发明内容
下面是本公开的几个示例性实施例的概述。提供本概述是为了方便提供读者对这些实施例的基本理解,而不是完全限定本公开的广度。该概述不是对所有预期实施例的广泛综述,并且既不旨在识别所有实施例的关键或重要元素,也不旨在描绘任何或所有方面的范围。其唯一目的是以简化的形式呈现一个或更多个实施例的一些思想,作为稍后呈现的更详细描述的序言。为了方便起见,术语“某些实施例”在本文中可用于指本公开的单个实施例或多个实施例。
本文公开的某些实施例包括一种基于区块链对受保护实体进行访问的方法。该方法包括:向客户端授予第一类型的访问通证;在区块链网络中识别转换交易,所述转换交易识别将第一类型的访问通证转换为第二类型的访问通证的请求,其中所述交易至少指定受保护实体;确定用于将第一类型的访问通证转换为第二类型的访问通证的转换值,其中该转换值基于至少一个访问参数来确定;基于所确定的转换值,将第一类型的访问通证的第一总和转换为第二类型的访问通证的第二总和;以及当接收第二类型的访问通证的总和作为对受保护实体的支付时,授予客户端对受保护实体的访问。
本文公开的某些实施例还包括一种用于基于区块链对受保护实体进行访问的访问系统。该系统包括处理电路以及存储器,该存储器包含指令,该指令在由处理电路执行时将访问系统配置为:向客户端授予第一类型的访问通证;在区块链网络中识别转换交易,该转换交易识别第一类型的访问通证与第二类型的访问通证的转换,其中交易至少指定受保护实体;确定用于将第一类型的访问通证转换为第二类型的访问通证的转换值,其中,转换值基于至少一个访问参数来确定;基于所确定的转换比率,将第一类型访问通证的第一总和转换为第二类型访问通证的第二总和;以及当接收第二类型的访问通证的总和作为对受保护实体的支付时,授予客户端对受保护实体的访问。
附图说明
在说明书的结尾处的权利要求书中特别指出并清楚地要求保护本文公开的主题。根据下面结合附图的详细描述,本公开的实施例的前述和其它目的、特征和优点将变得显而易见。
图1是用于描述各种公开的实施例的网络图。
图2是示出了根据实施例的非加权的基于区块链的准入过程的流程图。
图3是示出了根据实施例的基于成本和基于区块链的准入过程的流程图。
图4是示出了根据实施例的加权的基于区块链的准入过程的流程图。
图5是示出了根据实施例的对受保护实体的基于区块链的准入的方法的示例流程图。
图6是根据实施例的准入系统的示例框图。
图7是示出了由根据实施例的准入系统利用的挑战(challenge)过程的流程图。
具体实施方式
本文公开的实施例仅是本文呈现的创新教导的许多可能的有利用途和实现的示例。通常,在本申请的说明书中所做的陈述不一定限制各种要求保护的实施例中的任何一个。此外,一些陈述可以应用于一些发明特征而不是其它特征。通常,除非另有说明,否则单数元件可以是复数,反之亦然,而不失一般性。在附图中,相同的附图标记在各个视图中表示相同的部件。
根据所公开的实施例,提供了允许对受保护实体的基于区块链的准入的技术。在授予区块链中的多个一个或更多个访问通证之后,给予客户端对受保护实体的准入(或访问)。这种通证的“花费(spending)”也经由区块链网络执行。在实施例中,访问通证以及因此对受保护实体的访问的准入基于非线性模型,其中存在与每个准入请求相关联的权重或“成本”。这不同于由现有网络安全系统和准入服务(例如基于角色的访问控制(RBAC))实现的传统准入模型,传统准入模型中,在满足访问规则时准入是二元的。相反,根据所公开的实施例,基于一个或更多个访问参数对准入进行加权,所述一个或更多个访问参数被设置成对攻击者准入的假阳性检测的风险以及对合法用户准入拒绝的假阴性检测的风险进行加权。此外,根据所公开的实施例,准入可以可选地包括多个加权参数,多个加权参数指示在多个方面中关联的风险,诸如但不限于阅读中的风险、修改中的风险、共享中的风险等。因此,本公开的实施例提供了提高的时间准确度的访问通证验证,因此提供了比现有的准入解决方案更安全的准入。本公开的实施例还允许检测和减轻与网上机器人相关联的风险。现在将更详细地公开各种公开的实施例。
图1示出了用于描述各种所公开的实施例的示例网络图100。图1中所示的网络图100包括准入系统110、客户端120、区块链点对点网络130(仅出于简化目的,下文中被称为区块链网络130)和受保护实体140。网络图100中的实体经由网络150通信、存在于网络150中、或两者。如下面将详细讨论的,准入系统110通过向客户端120发布将由受保护实体140消耗的访问通证来控制和调节客户端120的准入。在某些实施方式中,信任中介(broker)160也连接到网络150,并且通信地连接到区块链网络130。如下所述,信任中介160被配置为部分基于例如使用e-ct作为倍增因子的非线性转换模型来用一种类型的访问通证替换另一种类型的访问通证,其中ct从上一次准入的时间起算。
在实施例中,本文所讨论的各种实体、准入系统110、客户端120、受保护实体140、信任中介160和审计系统170充当在没有中介机构的情况下访问的区块链网络130中的完全对等成员。在实施例中,审计系统170被集成在准入系统中。
在另一个实施例中,这些实体可以全部是非区块链成员。在这样的配置中,一些或所有这些实体可以招募第三方加密货币钱包服务或应用的服务,以提供对区块链网络130的访问以及持有所有相关的加密元素,诸如密钥。在又一实施例中,客户端120和受保护实体140可以可选地包括用于维护由准入系统110发布的或者利用本文描述的加密货币钱包的通证的装置。
网络150可以是但不限于局域网、广域网、因特网、一个或更多个数据中心、云计算基础设施、蜂窝网络、城域网(MAN)或它们的任意组合。准入系统110、受保护实体140或两者可以在云计算平台中被托管,云计算平台诸如但不限于私有云、公共云、混合云或它们的任意组合。客户端120可以是PC、移动电话、智能电话、平板计算机、服务器等。客户端120可以由合法用户、程序操作,或者客户端120可以是攻击工具。
受保护实体140是要被保护以免受恶意威胁的实体。受保护实体140可以是任何网络或计算元件,所述任何网络或计算元件包括可由客户端120访问的资源。例如,受保护实体140可以是无服务器架构、应用服务器、web服务器、云应用、数据中心、网络设备(例如,路由器、ADC等)、防火墙(例如,web应用防火墙)等中的功能。
在某些实施方式中,网络图100还包括审计系统170,所述审计系统170用于记录或登记在准入系统110、客户端120、信任中介160、受保护实体140中的两个或更多个之间执行的任何交易。例如,审计系统170被配置为记录是否接受准入请求、为不同类型的访问通证设置的转换值、客户端120请求的准入请求的数目等。在另一实施例中,审计系统170的登记交易的功能在区块链网络130上(即通过区块链网络130的分布式账本)执行。
根据实施例,准入系统110可与受保护实体140通信地连接,其中,准入系统110和受保护实体140都是区块链点对点(P2P)网络中的点,并且可充当P2P网络的代理服务器。例如,从HTTPS消息转换为可以在P2P网络上传输的消息。准入系统110和受保护实体140可以被配置成各自或两者接收或以其它方式拦截由客户端120生成的请求(例如但不限于HTTP/HTTPS请求)。使用设备代理功能或使用本地协议重定向功能将请求定向到准入系统110。安全数据中心可以在云计算基础设施、托管服务器数据中心、服务提供商网络或协作网络中操作。
应当注意,尽管仅为了简单起见在图1中示出了一个客户端120和一个受保护实体140,但是本文公开的实施例可以应用于多个客户端、多个受保护实体或两者。此外,可以利用多个准入系统,或者可以在分布式实施方式中配置准入系统110。客户端可以位于不同的地理位置。此外,单个客户端120可以由多个准入服务器110同时服务。
还应当注意,在某些实施例中,准入系统110和信任中介160可以在单个系统中实现或者实现为分布式系统。此外,上述每个元件还可以集成在单个系统中,例如,准入系统110和受保护实体140被实现为单个统一网关。
在另一实施例中,准入系统110、信任中介160和/或受保护实体140可以在已经部署在网络150中的网络设备中实现。这种网络设备的示例包括应用交付控制器(ADC)、负载均衡器、网络应用防火墙(WAF)、路由器、防火墙等。
如上所述,区块链网络130是用于维护分布式账本和经验证的区块的(未标记)节点的集合。节点可以是物理机器,或者是由具有足够计算能力来验证区块的机器执行的虚拟机。在实施例中,区块链网络130的节点可以被配置为处理专有通证(例如,用于转换专有通证的交易的经验证的区块)。专有通证可以是不同类型的。
在另一实施例中,区块链网络130的节点可被配置为处理标准虚拟货币(例如但不限于比特币、以太币、莱特币等)的通证。例如,以太坊区块链网络的基础设施是基于实现为以网状连接的以太坊虚拟机(EVM)的节点的集合的。每个这样的节点运行整个区块链的副本,并竞争以挖掘下一个区块或确认交易。此外,被实现为以太坊的区块链网络130中的每个节点维护整个以太坊区块链的更新的副本。在实施例中,区块链网络130可被配置为私用网络。在该实施例中,可由连接到私用网络(例如,区块链网络130)的节点访问的通证(或合约)以私用模式操作。在又一实施例中,私用通证被用作公共或私用以太坊区块链的一部分。
在另一个实施例中,准入系统110和受保护实体140使用加密EVM能力参与智能合约以授予和跟踪客户端到客户端120的准入。智能合约是旨在数字地促进、验证或实施合约的协商或执行的计算机协议,合约被定义为以许多可能的计算机语言中的一种的可执行计算机代码的集合,计算机语言诸如但不限于“Python”、“Java”、“R”、“Solidity”或现在或将来用于实现基于区块链的智能合约的任何其他计算机语言。智能合约允许在不存在可信第三方情况下的可靠交易的执行。这些交易是易处理的和不可逆的。
在一个实施例中,智能合约由准入系统110生成(“写入”)。准入系统110可以确定智能合约的先决条件或条件。这样的条件可以基于例如客户端120、受保护实体140、登记的历史记录等来确定。智能合约虽然由例如EVM(网络130)来履行,但是由系统110生成的合约独立于网络。
应当注意,利用基于共识的技术的其它形式的其它实施例可用于实现准入系统110。例如,拜占庭容错算法可用于控制,并在Linux基金会超级账本实施方式上、在Corda上等达成共识。
应当理解,在一些实施例中,利用区块链网络130进行准入过程允许维护访问受保护实体140的用户的隐私,同时提供准入交易的透明度。此外,区块链网络130可容易地扩展,因此提供了可扩展的解决方案。
在关于图1描述的示例性实施方式中,对受保护实体140的准入被委托给准入系统110并由准入系统110调节,并且部分地基于由准入系统110提供的访问通证。访问通证可以是相同类型或不同类型的。此外,通证可为专有通证或可以基于例如上文所描述的那些标准虚拟货币或合约。
根据所公开的实施例,各种基于区块链的准入过程可以由准入系统110实施。在实施例中,准入系统110在接收到授予此类通证的请求时向客户端120提供访问通证。通过区块链网络130授予访问通证。换言之,访问通证的授予被记录为包括在由区块链网络130维护的区块链的区块中的交易。在由客户端120请求访问受保护实体140时,客户端120向受保护实体140“支付”访问通证。
这可以通过撤销(花费)授予客户端120的访问通证来执行以便获得访问。换言之,访问通证的使用被记录为交易,并被包括在由区块链网络130维护的区块链的区块中。因此,通过区块链网络130来执行交易(访问请求)的确认。在实施例中,可以在准许对受保护实体140的访问之前执行确认。在又一实施例中,在准入被有条件地授予客户端之后执行确认。如果确认失败,则客户端120从受保护实体140断开连接。
在实施例中,在客户端120执行计算挑战(challenge)之后,访问通证可以由准入系统110授予。这种挑战的示例可以包括求解数学函数的要求。照此,客户端120被要求投资计算资源来求解该函数。对于合法用户,这将是一次性挑战,但是对于生成数千个请求的攻击者(网上机器人),这将消耗它们的计算资源。
在示例性实施例中,准入系统110向客户端120发布挑战的复杂性可以由准入系统110动态地控制。准入系统110可以根据本文所讨论的一个或更多个访问参数来增加或降低挑战复杂性。
在实施例中,准入系统110被配置为保护多个受保护实体140,可以通过参考访问多个受保护实体的客户端120的组合行动来控制动态挑战成本。这允许准入系统110充当反网上机器人服务。
随着挑战复杂性的增加,实施例可以在一个或更多个访问参数上设置阈值并且使用指定的阈值来识别网上机器人威胁。一旦已经识别了网上机器人威胁,实施例就可以改变动态挑战策略并且设置新的挑战策略(例如,设置指数增长的挑战复杂性),因此风险可以被快速地减缓。
根据另一实施例,特定成本与受保护实体140的访问相关联。例如,由实体140提供的各种服务将要求不同数量的访问通证。即,在本实施例中,成本由访问通证的数量和类型限定。访问的成本可以由准入系统110或由受保护实体140或由它们的任何组合维持在集中位置。客户端120被配置为检查用于访问受保护实体140的准入成本。如果客户端120不具有足够的(如区块链中记录的)访问通证,那么客户端120向准入系统110请求附加的访问通证。该请求可以指定多个访问通证及其类型的任意组合。为了访问受保护实体140,通过区块链网络130提供访问通证。
在另一个实施例中,准入成本被动态地加权,并且利用两个或更多个不同类型的访问通证。在该实施例中,为了访问受保护实体140,客户端120首先从准入系统110取得多个第一类型访问通证。受保护实体140还要求多个第二类型访问通证。因此,客户端120被配置为使用信任中介服务160来将第一类型访问通证转换为第二类型访问通证。该转换值可以例如基于一个或更多个参数针对每个访问请求被动态地确定。这样的参数可以与客户端120、受保护实体140、全局指示或其组合有关。例如,由区块链130网络或审计系统170提供的信誉、地理位置或历史记录和访问通证花费的比率可以是与客户端120相关的参数。正被访问的服务和当前负载可以是与受保护实体140相关的参数。对外部源(未示出)正在进行的攻击活动或内部反网上机器人功能的状态的指示可以是对正在进行的攻击的指示。
准入系统110可以在单个交易中向客户端120发布多于一种类型的访问通证。在实施例中,所发布的交易可以包括多个加密货币通证以及发布到客户端120的SSL证书,SSL证书由证书发布者(未示出)生成,并且如果提供客户端120身份信息以及客户端120公钥,那么SSL证书可以包括客户端120身份信息。证书可以具有受准入控制器110一个或更多个访问参数影响的撤销日期。
所发布的证书可以用于建立不具有例如现有VPN、web或电子邮件解决方案的区块链访问的遗留安全服务。
将参考图2-4进一步详细讨论用于准入控制的各种实施例。
图2是示出根据实施例的非加权的基于区块链的准入过程的示例流程图200。图2中示出的包括准入系统110、客户端120、区块链网络130和受保护实体140的元件在上文参见图1进行了描述。
在S210处,客户端120发送从准入系统110授予(“购买”)访问通证的请求(201)。访问通证可以被用于访问受保护实体140。在一些实施例中,仅在客户端120成功地完成由准入系统110选择和设置的挑战之后发送请求(201)。参见图7更详细地讨论挑战过程。
请求(201)可以包括客户端120的公钥并且可以进一步指定要访问的实体。从客户端120发送的请求(201)不需要包括客户端120的用户的任何识别信息。可使用标准第7层协议(诸如HTTP或HTTPS)来发送请求(201)。在又一实施例中,请求(201)可作为准入服务的非交互式支付经由区块链网络130发送。准入系统110可实现各种已知和未知程序(例如但不限于客户端证书、一次性密码(OTP)等),以识别、鉴定、确认、检查客户端120的平衡(balance)或历史记录位置或它们的组合。当保持客户端120的隐私是强制的时,可以使用诸如SK-SNAKS和Zcach等的知识论证(argument),而不是直接暴露客户端身份。
在一些实施例中,可以在客户端120未能直接访问受保护对象140之后触发请求(201)。在这种情况下,受保护对象140可以将来自客户端120的请求重定向到准入系统110。
在S220处,在识别、确认和批准客户端120的准入请求时,准入系统110被配置为向客户端120授予(202)多个访问通证。使用客户端120的公钥通过区块链网络130向客户端120授予(例如,付给)访问通证。在又一实施例中,当使用证明加密技术的零知识论证(诸如在Zcash中使用的ZK-SNARK)来实施访问通证时,可以不要求客户端120的公钥。
应当注意,在一些配置中,当客户端120成功地通过由准入系统110所设置的挑战时,可以跳过S210和S220,因为当客户端120通过挑战时授予访问通证。
在S230处,客户端120被配置为在区块链网络130上识别持有授予客户端120的访问通证的交易ID。
在S240处,客户端120被配置为将交易(203)添加到区块链网络130。交易(203)包括交易数据、交易哈希值和(一个或更多个)先前交易的哈希值。在实施例中,交易还可以包括如由准入系统110、客户端120或受保护对象140指定和请求的任意数量的元数据元素。在示例实施例中,交易数据可以包括唯一的交易ID、为访问支付的访问通证的数量、准入系统110作为授予访问通证的源的标识、以及客户端120请求访问的受保护实体140处的目标服务、应用或资源。交易(203)不强制包括识别客户端120或使用客户端120的用户的任何信息。交易的哈希是交易的内容的加密哈希。交易的所有者(例如,准入系统204)用其私钥或其他加密身份对交易进行签名。可以使用交易所有者的公钥来验证交易。
在S250处,客户端120向受保护实体140发送访问请求(204)以访问服务或资源。例如,访问请求(204)可以是登录用户账户、执行动作(例如,下载文件)、访问受保护资源等。可使用标准第7层协议(诸如HTTP或HTTPS)来发送请求(204)。访问请求(204)可以包括交易(203)的交易ID以便于保护实体140查找交易,受保护实体140可以在未提供这样的交易ID的情况下搜索相关的交易。
应当注意,从客户端120发送到受保护实体140的任何访问请求保持未决,直到受保护实体140准入。可以迭代发送访问请求,直到授予访问。还应当注意,通过区块链网络130来执行交易(访问请求)的确认。如上所述,可以在准许对受保护实体140的访问之前执行确认。可替代地,在准入被有条件地授予客户端之后执行确认。如果确认失败,则客户端120与受保护实体140断开连接。此外,审计系统170可登记成功完成挑战的任何失败,以至少确定客户端的访问值的确定信任,如下文详细讨论的。
在S260处,受保护实体140被配置为通过区块链网络130确认交易(203)。在实施例中,通过立即花费在交易(203)中指定为向准入系统110支付的访问通证来执行这样的确认。结果,交易(203)被标记为在区块链网络130中维护的相应区块中的“花费”并且不能被客户端再次引用。应当注意,交易永远不会从网络130中维护的区块中删除。
在S270处,一旦交易被确认并且访问通证被支付,就将访问授予客户端120以访问受保护实体140处的目标资源或服务。在实施例中,受保护实体140可以使用支付的访问通证的数量和类型来在访问客户端120上设置时间ACL。即,可以基于正被支付的访问通证的数量和类型实时限制访问。
应当注意,访问通证通常在履行访问请求(204)时向准入系统110支付。访问请求(204)的履行可以包括允许客户端120访问受保护对象140、有条件地允许客户端120访问受保护对象140、或拒绝对受保护对象140的访问。
应进一步注意,每个交易(203)都是在客户端120、系统110和实体140之间的访问通证的特定值的传输。区块链块签名还防止交易一旦被发布就被改变。尽管图2中未示出,但所有交易都在区块链网络130的节点之间广播且通过挖掘过程确认。
应进一步注意,为了授予访问通证,准入系统110和客户端120可以交换它们的公钥。为了撤销访问通证,系统110和受保护实体140可以交换它们的公钥。即,不存在关于客户端120与受保护实体140之间的访问通证的使用的直接交易。密钥(私钥或公钥)可以是加密密钥。可替代地或共同地,受保护实体140和准入系统110可以采用其他安全通信方法,例如预共享密钥。此外,准入系统110、客户端120和受保护实体140可以在公钥基础设施(PKI)或证书机构(CA)机制下运行。
作为示例,访问通证可以是数字签名的链。系统110可以通过对先前交易的哈希和受保护实体140的公钥进行数字签名来向客户端传输访问通证。签名(哈希值)可以被附加到每个访问通证。为了授予对客户端120的访问,实体可以确认签名以验证所有权的链。
图3示出了说明根据另一实施例的基于成本的准入过程的示例流程图300。图3中所示的包括准入系统110、客户端120、区块链网络130和受保护实体140的元件在上文参见图1进行了描述。
在该实施例中,存在访问受保护实体140的动态准入成本。成本由可基于需要访问的受保护实体140处的目标服务、应用或资源来设置的访问通证的数量、客户端120的行为或两者来定义。成本被在成本表301中维护。在实施例中,成本表301可以被管理并且存在准入系统110中。或者,成本表301可以由准入系统110管理,但是保存在集中式储存库(未示出)中。这将允许准入系统110、受保护实体140或另一仲裁者(未示出)控制跨越不同受保护实体、跨越不同客户端或两者的准入成本。
在又一实施例中,成本表301被保存在受保护实体140中,包括访问其服务或资源的准入成本。成本表301可以由受保护实体140或准入系统110管理。
在又一实施例中,成本表301可作为分布式账本中的分布式记录被维护在区块链网络130中。这将允许成本值的共识维护。在这样的实施例中,成本表301可以由准入系统110或受保护实体140管理。
应注意,下文论述的成本表301指代利用如本文中所描述的成本表的所有不同实施例。
在S310处,客户端120被配置为查询在受保护实体140处访问特定服务或资源所需的准入成本(即,访问通证的数量)。查询是针对成本表301的。
在S320处,如果客户端120在其钱包中不具有足够的访问通证值,则客户端120发送由准入系统110授予访问通证的请求(302)。访问通证可以被用于访问受保护实体140。如下所述,准入系统110可以实现不同的业务流来识别、鉴定或确认客户端120或其组合。在一些实施例中,仅在客户端120成功地完成由准入系统110选择和设置的挑战之后发送请求(302)。参见图7更详细地讨论挑战过程。
在S330处,在识别、鉴定或确认和批准客户端120的准入请求时,准入系统110被配置为向客户端120授予(202)多个访问通证。使用准入系统110的公钥通过区块链网络130向客户端120授予(例如,付给)访问通证。授予的访问通证的数量应该足以满足在成本表301中指定的准入成本。应当注意,如果客户端120已经具有足够的(例如,如经由区块链网络130验证的)通证,或者客户端120成功地通过,则不执行挑战S320和S330。
在S340处,客户端120在区块链网络130上识别持有授予客户端120的访问通证的交易ID。所识别的通证可被存储在客户端120中包含的加密货币钱包中。
在S350处,客户端120被配置为将交易(303)添加到由区块链网络130维护的区块链。交易(303)包括交易数据、交易哈希值和(一个或更多个)先前交易的哈希值。在示例实施例中,交易数据可以包括为访问支付的访问通证的数量、准入系统110作为授予访问通证的源的标识、以及客户端120请求访问的受保护实体140处的目标服务、应用或资源。交易(303)不包括识别客户端120或其用户的任何信息。在实施例中,交易还可以包括如由准入系统110、客户端120或受保护对象140指定和请求的任意数量的元数据元素。
在S360处,客户端120被配置为向受保护实体140发送访问请求(304)。访问请求(304)包括添加到区块链的交易的交易ID。如上所述,访问请求(304)可以包括交易(303)的交易ID以便于受保护实体140查找交易,在没有提供这样的交易ID的情况下,受保护实体140可以搜索相关的交易。如以上进一步指出的,从客户端120发送到受保护实体140的任何访问请求都是由受保护实体140未决的准入。
在S370处,受保护实体140被配置为通过区块链网络130确认交易(303)。如上所述,通过立即花费在交易(304)中指定的访问通证作为对准入系统110的支付来执行这样的确认。结果,交易(304)被从区块链网络130中维护的相应区块移除,并且不能被客户端120再次引用。
在S380处,一旦交易被确认并且通证被支付,就向客户端120授予访问以访问受保护实体140处的目标资源或服务。如上所述,受保护实体140可以使用支付的访问通证的数量和类型来在访问客户端120上设置临时ACL。即,可以基于正被支付的访问通证的数量和类型实时限制访问。
在一些实施例中,S380可以进一步包括更新成本表301,例如,增加或减少与访问受保护实体140相关联的成本。成本可以由管理成本表301的实体(例如,准入系统110、受保护实体140等)基于在上文中讨论的参数来更新。
如上所述,每个交易(例如,交易304)都是客户端120、准入系统110和受保护实体140之间的访问通证的特定值的传输,客户端120、准入系统110和受保护实体140中的每一个都可以维护加密货币钱包。进一步,为了授予访问通证,准入系统110和客户端120可以交换它们的公钥。为了撤销访问通证,准入系统110和受保护实体140可以交换它们的公钥。即,不存在关于客户端120与受保护实体140之间的访问通证的使用的直接交易。密钥(私钥或公钥)是加密密钥。
图4示出了说明根据实施例的加权的基于区块链的准入过程的示例流程图400。图4中示出的包括准入系统110、客户端120、区块链网络130、受保护实体140和信任中介160的元件在上文参见图1进行了描述。
在该实施例中,使用两种类型的访问通证,其中动态地确定用于将第一类型的访问通证转换为第二类型的访问通证的转换值。例如,转换值可根据访问请求、根据转换通证交易、根据会话或其组合来确定。本质上,转换值确定准入成本,但在该实施例中,这样的成本是基于多个访问参数而动态更新。进一步,不需要维护任何数据结构(例如,图3的成本表301)。在实施例中,转换值由信任中介160来确定。
加权准入过程将攻击者准入的假阳性检测的风险与合法用户拒绝准入的假阴性检测的风险进行加权。加权准入过程允许防御者扩展成本以随着攻击线性地访问受保护实体,同时以指数方式增加准入成本,例如攻击的量、攻击的类型以及与攻击相关联的其他风险因素。
为此,基于一个或更多个访问参数、访问参数之间的交互、或两者动态地确定转换值。第一组访问参数与客户端120相关。由系统110确定或从外部服务接收的客户端120的信誉可被用来确定转换值。即,不良的信誉将导致更高的转换值,反之亦然。客户端120的地理位置可以确定转换值。例如,来自“信誉”国家(例如,USA)的客户端120将正面影响转换值。客户端120的行动也可以确定转换值。准入系统110、信任中介160或两者可以监控客户端120跨越多个受保护实体、非受保护实体或两者的活动,以检测任何可疑活动并确定其相应的转换值。例如,频繁请求附加的访问通证的客户端可以被分类为可疑的(例如,网上机器人),这将导致更高的转换值。作为另一个示例,不执行任何恶意行动的客户端120可以被分类为合法的,这将导致更低的转换值。
可以在表示不同粒度准入权限的多个访问通证上确定转换值。例如,指示客户端120准入的读取访问通证可以引起比指示客户端许可编辑数据的写入访问通证更低的成本,并且为此引起在如由风险分析和受保护实体准入粒度所指示的多个方面上以精细粒度控制客户端时间授权的更高成本。
第二组访问参数与受保护实体140相关。例如,受保护实体140的敏感资源或服务将需要更高的转换值,而不管客户端120的可信度。作为另一示例,受保护实体140上的当前负载可以影响转换值,即,负载越高,转换值越高。
在实施例中,部署在网络150中的在客户端120或受保护实体140的路径中的任何地方的网络负载均衡器或ADC(未示出)可以用于提供负载和作为该外部数据的利用数据。
第三组访问参数是全局指示。针对受保护实体或网络中的其他实体的正在进行的网络攻击的指示被认为是全局参数。正在进行的攻击的量也被认为是全局参数。这样的指示可以从连接到准入系统110、信任中介160或两者的外部系统(未示出)接收。例如,正在进行的网络攻击的指示将导致更高的转换值。全局参数的其他示例可包括一天中的时间、某一天(周末、工作日或假日)等。
在所有以上示例的访问参数中,权重(即,转换值)可以被适配为非线性函数。非线性函数不影响偶尔访问受保护实体140的合法用户,但是这样的函数显著地影响频繁访问受保护实体140的攻击者。因此,使用访问参数来确定转换值允许在客户端之间“区分”,而客户端可以维护它们的隐私。上述示例提及的访问参数可以基于登记在审计系统170中的历史数据来确定。例如,这样的数据可以包括识别的转换交易、确定的转换值等。
在S410处,客户端120被配置为发送从准入系统110授予(购买)访问通证的请求(401)。访问通证可以仅在被转换之后用于访问受保护实体140。即,需要第一类型的访问通证。在实施例中,请求(401)包括客户端120的公钥并且可以进一步指定要访问的实体。在另一个实施例中,第一类型的访问通证基于零知识加密技术并且不需要公钥。作为示例,可以使用Zcash技术来实现访问通证。
从客户端120发送的请求(401)不需要包括关于客户端120的用户的任何识别信息。请求(401)可使用标准第7层协议(诸如HTTP或HTTPS)来发送。准入系统110可以实施不同的业务流来识别、鉴定或确认客户端120或其组合。
如上所述,在一些实施例中,可以在客户端120未能直接访问受保护对象140之后触发请求(401)。在这种情况下,受保护对象140可以将来自客户端120的请求重定向到准入系统110。在一些实施例中,仅在客户端120成功地完成由准入系统110选择和设置的挑战之后发送请求(401)。参见图7更详细地讨论挑战过程。
在S420处,在识别、确认和批准客户端120的准入请求时,准入系统110被配置为向客户端120授予多个第一类型访问通证。使用客户端120的公钥通过区块链网络130向客户端120授予(例如,付给)访问通证。在又一实施例中,当使用证明加密技术的零知识论证(诸如在Zcash中使用的ZK-SNARK)来实现访问通证时,可以不需要客户端120的公钥。当准入系统110授予第一类型访问通证时,系统110在区块链网络130的交易记录中添加元数据。
在S430处,客户端120被配置为在区块链网络130上识别持有授予客户端120的第一类型访问通证的交易ID。通证可被存储在客户端120中包含的加密货币钱包中。
应当注意,如果客户端120持有例如来自(一个或更多个)先前交易的足够的第一类型访问通证,则可以不执行S410-S430。
在S440处,客户端120被配置为将交易(402)添加至区块链网络130以便将第一类型的访问通证与第二类型的访问通证进行转换。交易(402)包括交易数据、交易哈希值和(一个或更多个)先前交易的哈希值。在示例实施例中,交易数据可以包括唯一的交易ID、可用的第一类型访问通证的数量、准入系统110作为授予访问通证的源的标识、以及客户端120请求访问的受保护实体140处的目标服务或资源。交易(402)不需要包括识别客户端120或使用客户端120的用户的任何信息。
在S450处,信任中介160被配置为基于一个或更多个访问参数识别交易(402)的交易ID并确定交易(402)的转换值。如上所述,这样的参数可以与客户端120、受保护实体140或任何全局指示相关。应当注意,在一些实施例中,信任中介160可以被集成在准入系统110中。因此,准入系统110可以执行转换操作。进一步,准入系统110、信任中介160或两者可以被实现为分布式系统。
在实施例中,转换交易可以实现为在以太坊网络EVN或其他区块链网络上写入的智能合约。在另一实施例中,可使用链外Oracle来实现转换交易。
结果,准入系统110被配置为基于转换值向客户端120授予多个第二类型访问通证。此类第二类型访问通证使用例如客户端120的公钥通过区块链网络130支付给客户端120。在示例实施方式中,第一访问通证和第二访问通证可以是不同类型的密码货币。例如,第一类型通证可以是Zcash币,第二类型通证可以是以太币。
应注意的是,可以在不同的会话期间授予第一类型的访问通证和第二类型的访问通证。即,第一类型访问通证和第二类型访问通证的转换可以不在授予第一类型的访问通证之后立即发生。即,客户端110可将第一类型访问通证保存在其钱包中或作为账本中的未用完的交易,并且仅在需要访问受保护实体时请求转换。进一步,第一类型的访问通证可以是全局货币,而第二类型的访问通证可以特定于某些类型的受保护实体。即,可以使用不同类型的“第二类型”通证。还应当注意,一旦第二类型的访问通证被授予给客户端,则先前的交易(即,交易(402))从在区块链网络130中维护的区块花费并且不能被客户端120再次引用。
在S460处,客户端120被配置为在区块链网络130上识别持有第二类型的访问通证的交易ID。通证可被存储在客户端120中包含的加密货币钱包中。
在S470处,客户端120被配置为将新交易(403)添加至区块链网络130以便将第一类型访问通证与第二类型访问通证进行转换。交易(403)包括交易数据、交易哈希值和(一个或更多个)先前交易的哈希值。在示例实施例中,交易数据可以包括唯一的交易ID、可用的第二类型访问通证的数量、准入系统110作为授予访问通证的源的标识、以及客户端120请求访问的受保护实体140处的目标服务或资源。在实施例中,交易还可以包括如由准入系统110、客户端120或受保护对象140指定和请求的任意数量的元数据元素。
在S480处,客户端120被配置为向受保护实体140发送访问请求(404)。如上所述,访问请求(404)可以包括交易(403)的交易ID以方便受保护实体140查找交易,在没有提供这样的交易ID的情况下,受保护实体140可以搜索相关交易。如以上进一步指出的,从客户端120发送到受保护实体140的任何访问请求都是由受保护实体140未决的准入。
在S490处,受保护实体140被配置为通过区块链网络130确认交易(403)。在实施例中,通过立即花费在交易(403)中指定为向准入系统110支付的第二类型访问通证来执行这样的确认。结果,交易(403)被标记为花费在区块链网络130中维护的相应区块中,并且不能被客户端120再次引用。
在S495处,一旦交易被确认并且访问通证被支付,就向客户端120授予访问,以访问受保护实体140处的目标资源或服务。
如上所述,每个交易(例如,交易402和403)都是客户端120、准入系统110和受保护实体140之间的访问通证的特定值的传输,客户端120、准入系统110和受保护实体140中的每一个都可以维护加密货币钱包。此类信息可被登记在审计系统(例如,图1的审计系统170)中。这允许准入系统110和信任中介160导出客户端120、准入系统110和信任中介160之间的交易的完整历史。进一步,为了提供访问通证,准入系统110和客户端120可以交换它们的公钥。为了“花费”访问通证,准入系统110和受保护实体140可以交换它们的公钥。即,不存在关于客户端120与受保护实体140之间的访问通证的使用的直接交易。密钥(私钥或公钥)是加密密钥。
应当理解的是,所公开的实施例提供了改进的安全解决方案,因为网上机器人将不能够访问受保护实体并且用访问请求来加载受保护实体。即,(通过访问通证处理)将处理转移到恶意客户端,受保护实体将保持空闲以处理具有更多可用计算资源的合法请求。进一步,受保护实体将不需要执行认证过程,由此进一步减少这样的实体对计算资源的使用。
图5是示出了根据实施例的对受保护实体的基于区块链的准入的方法的示例流程图。
在S510处,从客户端接收授予第一类型的访问通证的请求。客户端使用第一类型访问通证作为稍后访问受保护实体的方式。
在S520处,在确认和批准请求时,将第一类型的访问通证授予客户端。如上所述,此类通证可被直接或通过区块链网络向客户端支付(发送)。
在S530处,在区块链网络上识别将第一类型的访问通证与第二类型的访问通证进行转换的交易。转换交易的交易数据可以指定例如要访问的受保护实体和可用的第一类型访问通证的数量。转换交易还可以被定向为在第一访问通证的所有者和第二访问通证的所有者之间交换加密身份(例如,密钥或知识论证)。为此,转换交易可指定例如信任中介和客户端的公钥。
应注意的是,授予第一类型的通证的请求和转换交易是分开的,并且在此类请求之间不共享加密身份。进一步,没有实体(用户、信任中介的所有者等)需要揭示其(真实)身份来接收和/或转换通证。应当进一步注意的是,接收第一类型的访问通证的实体和请求转换至第二实体的实体可以是不同的实体。
在S540处,确定用于将第一类型的访问通证转换为第二类型的访问通证的转换值。如以上详细讨论的,转换值是基于一个或更多个访问参数来确定的。以上提供了其示例。
在S550处,基于所确定的转换值,将第一类型的访问通证的第一总和转换为第二类型的访问通证的第二总和。第一类型的访问通证和第二类型的访问通证可以是不同的加密货币。第二类型的访问通证被支付或发送到客户端或请求转换的任何其他实体。如上所述,客户端使用第二类型的访问通证来访问受保护实体。为此,从客户端向受保护实体发送访问请求。为了允许访问或准入,受保护实体在区块链网络130中识别客户端的第二类型的访问通证,并且进一步花费这样的通证来允许支付准入系统。应当注意,通证的撤销不删除任何交易记录。
作为响应,在S560处,从受保护实体接收第二类型的访问通证作为支付。在S570处,当接收到第二类型的访问通证时,向客户端授予对受保护实体的准入或访问。需要说明的是,待转换的第二类型的访问通证的数量由转换值确定。存在访问受保护实体所需的最小数量的访问通证。无论访问参数如何,都确定这样的数量。访问参数限定需要转换以达到最小数量的访问通证的第一类型的访问通证的数量。例如,如果第二类型访问通证的最小数量是10个,则客户端A可能需要转换40个第一类型的访问通证,而客户端B可能需要仅转换5个第一类型的访问通证。
在实施例中,在本文讨论的方法可以由准入系统(110)执行。在这样的实施例中,准入系统实现或包括信任中介(160)。
图6是根据实施例的准入系统110的示例框图。准入系统110包括耦接到存储器620、存储装置630和网络接口640的处理电路610。在实施例中,准入系统110的部件可以经由总线650通信连接。
处理电路610可以被实现为一个或更多个硬件逻辑部件和电路。例如但非限制,可使用的硬件逻辑部件的示例类型包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、GPU、片上系统(SOC)、通用微处理器、微控制器、数字信号处理器(DSP)等,或能够执行对信息的计算或其他操纵的任何其他硬件逻辑部件。在实施例中,处理电路610(或整个系统110)可以被实现为区块链网络上的图灵机。
存储器620可以是易失性的(例如,RAM等)、非易失性的(例如,ROM、闪存等)、或其组合。在一个配置中,用以实现本文所公开的一个或更多个实施例的计算机可读指令可被存储在存储器630中。
在另一个实施例中,存储器620被配置为存储软件。软件应当被广义地解释为意指任何类型的指令,无论其被称为软件、固件、中间件、微代码、硬件描述语言或其他。指令可包括(例如,以源代码格式、二进制代码格式、可执行代码格式、或任何其他合适的代码格式的)代码。指令在由一个或更多个处理器执行时,使得处理电路210执行本文描述的各个过程。具体地,当指令被执行时,使处理电路610执行如上文所讨论的基于区块链的准入。在进一步的实施例中,存储器620还可以包括存储器部分625,所述存储器部分625包括指令。
存储装置630可以是磁存储装置、光存储装置等,并且可以被实现为例如闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)、硬盘驱动器、SSD或可以用于存储期望信息(如交易日志、公钥等)的任何其他介质。
网络接口640允许准入系统110与区块链网络、客户端、信任中介和受保护实体通信。网络接口640进一步与这些元件进行点对点通信。
应当理解,在本文所描述的实施例不限于图6中所示出的具体架构,并且在不脱离所公开的实施例的范围的情况下可以同等地使用其他架构。
应进一步注意的是,可以使用类似于图6中所示的架构的计算架构来实现信任中介160,并且在不脱离所公开的实施例的范围的情况下可以同等地使用其他架构。进一步,存储器620可以包括用于执行信任中介160的功能的指令。
图7是示例流程图700,该流程图700示出了在上述任何准入过程中使用的挑战过程。图7中所示的包括准入系统110、客户端120、区块链网络130和受保护实体140的元件在上文参见图1进行了描述。
在S710处,客户端120发送请求(701)以创建反网上机器人客户端身份并请求挑战。所请求的身份将被客户端120用来访问一个或更多个受保护实体140。在实施例中,请求(701)可能已经包含客户端120的公钥。在另一实施例中,请求(701)不包括这样的密钥,并且准入系统110可以向客户端120分配密钥并生成通证ID。
从客户端120发送的请求(701)不需要包括客户端120的用户的任何识别信息。请求(701)可使用标准第7层协议(诸如HTTP或HTTPS)来发送。在又一实施例中,可使用区块链网络130来递送请求(701)。准入系统110可实现各个已知和未知程序(诸如但不限于客户端指纹识别、客户端证书、人类识别技术(诸如CAPTHA)和其他知识证明技术)以进一步加强对客户端120性质的理解。
在一些实施例中,可以在客户端120未能直接访问受保护实体140之后触发请求(701)。在这种情况下,受保护实体140可以将来自客户端120的请求重定向到准入系统110。
在S720处,在识别、确认和批准请求(701)时,准入系统110选择挑战并且将该挑战与诸如会话ID或通证ID的其他所需信息一起发送到客户端120。
在实施例中,准入系统110可以在选择挑战之前向其他源询问信息。这样的源的示例包括外部数据库、信誉服务、反网上机器人系统历史记录、受保护实体历史记录等。
所选择的挑战的特征在于类型和可选地复杂性,并且可以包含随机可选择的种子值。作为示例,准入系统110生成随机种子号,然后选择SHA256挑战并且设置复杂度,该复杂度请求客户端120找到字符串,该字符串与种子一起将以特定概率产生SHA256数字。
在另一实施例中,如果客户端120选择遵循非交互式挑战路径,则可以一起跳过请求701和响应702。在这样的非交互式实施例中,客户端120可以从外部注册表(未示出)中的可用挑战池中选择挑战。该注册表可以是区块链网络130的一部分。在又一实施例中,挑战可基于一天中的时间以及所选择的一天中的时间与703区块链消息存储中的实际时间戳之间的时间间隔。
在S730处,客户端120完成挑战并且将挑战的结果存储在区块链网络130中。
在S740处,准入系统110确认所存储的挑战。这可以通过监控区块链网络130或通过从客户端120接收通知来执行。
在S750处,在确认挑战的结果时,准入系统110被配置为经由交易704将访问通证直接存储在区块链网络130中,而不等待来自客户端120的明确请求。可替代地,准入系统110可以经由消息705向客户端120通知这种存储。
应注意的是,如果挑战失败,则不向客户端120存储访问通证。审计系统170可登记成功完成挑战的任何失败,以至少确定客户端的访问值的确定信任,如上文所述。
本文公开的各个实施例可以被实现为硬件、固件和软件的任何组合。此外,软件优选地被实现为有形地呈现在程序存储单元或计算机可读介质上的应用程序。应用程序可以被上传到包括任何合适架构的机器并且由该机器执行。优选地,机器在具有硬件(如一个或更多个中央处理单元(“CPU”)、存储器和输入/输出接口)的计算机平台上实现。计算机平台还可以包括操作系统和微指令代码。本文描述的各个过程和功能可以是微指令代码的一部分或应用程序的一部分或其任何组合,其可以由CPU执行,无论这样的计算机或处理器是否被明确示出。此外,诸如附加数据存储单元和打印单元的各种其他外围单元可以被连接到计算机平台。此外,非暂时性计算机可读介质是除了暂时性传播信号之外的任何计算机可读介质。
应当理解,本文中使用诸如“第一”、“第二”等的名称对元件的任何引用通常不限制那些元件的数量或顺序。相反,这些名称在本文中通常用作在两个或更多个元件或元件的实例之间进行区分的便利方法。因此,对第一元件和第二元件的引用并不意味着在那里仅可以采用两个元件或者第一元件必须以某种方式在第二元件之前。同样,除非另有说明,否则一组元件包括一个或更多个元件。此外,在说明书或权利要求书中使用的“A、B或C中的至少一个”或“A、B或C中的一个或更多个”或“包括A、B和C的组中的至少一个”或“A、B和C中的至少一个”形式的术语是指“A或B或C或这些元素的任何组合”。例如,该术语可包括A或B或C、或A和B、或A和C、或A和B和C、或2A、或2B、或2C等。
本文叙述的所有示例和条件性语言都旨在用于教学目的以帮助读者理解所公开的实施例和发明人为促进本领域所贡献的思想,并且将被解释为不限于此类具体叙述的示例和条件。此外,在本文叙述本发明的原理、方面和实施例以及其具体示例的所有陈述旨在涵盖其结构和功能等同物两者。另外,这种等同物旨在包括当前已知的等同物以及将来开发的等同物(即,不论结构如何,执行相同功能的开发的任何元件)。

Claims (27)

1.一种用于基于区块链对受保护实体进行访问的方法,包括:
向客户端授予第一类型的访问通证;
在区块链网络中识别转换交易,所述转换交易识别将所述第一类型的访问通证与第二类型的访问通证进行转换的请求,其中,所述交易至少指定所述受保护实体;
确定用于将所述第一类型的访问通证转换为所述第二类型的访问通证的转换值,其中,所述转换值基于至少一个访问参数来确定;
基于所确定的转换值,将所述第一类型的访问通证的第一总和转换为所述第二类型的访问通证的第二总和;以及
当接收所述第二类型的访问通证的总和作为对所述受保护实体的支付时,授予所述客户端对所述受保护实体的访问。
2.根据权利要求1所述的方法,还包括:
基于至少一个预定条件确认所述客户端;以及
在确认所述客户端时,授予第一类型访问通证。
3.根据权利要求1所述的方法,其中,所述第一类型访问通证和第二类型访问通证是不同的类型。
4.根据权利要求3所述的方法,其中,所述第一类型访问通证和所述第二类型访问通证是具有不同的加密身份的加密货币通证。
5.根据权利要求1所述的方法,其中,所述至少一个访问参数将对非法客户端授予访问的假阳性的风险和拒绝对合法客户端的访问的假阴性的风险进行加权。
6.根据权利要求1所述的方法,其中,所述至少一个访问参数与以下中的任一项相关:所述客户端、所述受保护实体以及至少一个全局指示。
7.根据权利要求1所述的方法,其中,确定所述转换值还包括:
基于至少一个访问参数动态地改变所述转换值。
8.根据权利要求7所述的方法,其中,基于以下中的任一项动态地改变所述转换值:每个交易、来自所述客户端的每个访问请求以及每个会话。
9.根据权利要求1所述的方法,还包括:
有条件地授予所述客户端对所述受保护实体的访问;以及
当在所述区块链网络上未识别持有所述第二类型的访问通证的总和的交易时,撤销所述有条件的授予的访问。
10.根据权利要求1所述的方法,其中,所述转换交易包括:交易数据、交易哈希值和先前交易哈希值;其中,所述交易数据包括:唯一的交易标识符(ID)、可用的第一类型访问通证的数量、授予所述第一类型访问通证的源的标识以及所述受保护实体的标识符。
11.根据权利要求10所述的方法,其中,所述转换交易不包括识别所述客户端和所述客户端的用户中的至少一个的信息。
12.根据权利要求1所述的方法,其中,所述转换交易被实现为以下中的至少一个:所述区块链网络上的智能合约以及所述区块链网络上的链外Oracle。
13.根据权利要求1所述的方法,还包括:
至少登记所识别的转换交易和所确定的转换值。
14.一种计算机可读介质,具有存储在所述计算机可读介质上的指令,所述指令用于使一个或更多个处理单元执行根据权利要求1所述的方法。
15.一种用于基于区块链对受保护实体进行访问的访问系统,包括:
处理电路;以及
存储器,所述存储器包含指令,所述指令在由所述处理电路执行时将所述访问系统配置为:
向客户端授予第一类型的访问通证;
在区块链网络中识别转换交易,所述转换交易识别所述第一类型的访问通证与第二类型的访问通证的转换,其中,所述交易至少指定所述受保护实体;
确定用于将所述第一类型的访问通证转换为所述第二类型的访问通证的转换值,其中,所述转换值基于至少一个访问参数来确定;
基于所确定的转换值,将所述第一类型访问通证的第一总和转换为第二类型访问通证的第二总和;以及
当接收所述第二类型的访问通证的总和作为对所述受保护实体的支付时,授予所述客户端对所述受保护实体的访问。
16.根据权利要求15所述的系统,其中,所述系统还被配置为:
基于至少一个预定条件来确认所述客户端;以及
在确认所述客户端时,授予所述第一类型访问通证。
17.根据权利要求15所述的系统,其中,所述第一类型访问通证和所述第二类型访问通证是不同的类型。
18.根据权利要求15所述的系统,其中,所述第一类型访问通证和所述第二类型访问通证是具有不同加密身份的加密货币通证。
19.根据权利要求15所述的系统,其中,所述至少一个访问参数将对非法客户端授予准入的假阳性的风险和拒绝对合法客户端的准入的假阴性的风险进行加权。
20.根据权利要求15所述的系统,其中,所述至少一个访问参数与以下中的任一项相关:所述客户端、所述受保护实体以及至少一个全局指示。
21.根据权利要求15所述的系统,其中,所述系统还被配置为:
基于至少一个访问参数动态地改变所述转换值。
22.根据权利要求21所述的系统,其中,基于以下中的任一项动态地改变所述转换值:每个交易、来自所述客户端的每个访问请求以及每个会话。
23.根据权利要求15所述的系统,其中,所述系统还被配置为:
有条件地授予所述客户端对所述受保护实体的访问;以及
当在所述区块链网络上未识别持有所述第二类型的访问通证的总和的交易时,撤销所述有条件的授予的访问。
24.根据权利要求15所述的系统,其中,所述转换交易包括:交易数据、交易哈希值和先前交易哈希值;其中,所述交易数据包括:唯一的交易标识符(ID)、可用的第一类型访问通证的数量、授权所述第一类型访问通证的源的标识以及所述受保护实体的标识符。
25.根据权利要求24所述的系统,其中,所述转换交易不包括识别所述客户端和所述客户端的用户中的至少一项的信息。
26.根据权利要求15所述的系统,其中,所述转换交易被实现为以下中的至少一个:所述区块链网络上的智能合约以及所述区块链网络上的链外Oracle。
27.根据权利要求15所述的系统,其中,所述系统还被配置为:
至少登记所识别的转换交易和所确定的转换值。
CN201980041504.9A 2018-04-26 2019-04-18 受保护实体的基于区块链的准入过程 Pending CN112368690A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862663132P 2018-04-26 2018-04-26
US62/663,132 2018-04-26
US15/994,414 2018-05-31
US15/994,414 US11019059B2 (en) 2018-04-26 2018-05-31 Blockchain-based admission processes for protected entities
PCT/US2019/028029 WO2019209610A1 (en) 2018-04-26 2019-04-18 Blockchain-based admission processes for protected entities

Publications (1)

Publication Number Publication Date
CN112368690A true CN112368690A (zh) 2021-02-12

Family

ID=68290763

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201980042983.6A Pending CN112424775A (zh) 2018-04-26 2019-04-15 用于网络实体的基于区块链的网络保护的方法和系统
CN201980041504.9A Pending CN112368690A (zh) 2018-04-26 2019-04-18 受保护实体的基于区块链的准入过程

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201980042983.6A Pending CN112424775A (zh) 2018-04-26 2019-04-15 用于网络实体的基于区块链的网络保护的方法和系统

Country Status (4)

Country Link
US (8) US11019059B2 (zh)
EP (4) EP3583531A4 (zh)
CN (2) CN112424775A (zh)
WO (4) WO2019209565A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113890753A (zh) * 2021-09-24 2022-01-04 网易(杭州)网络有限公司 数字身份管理方法、装置、系统、计算机设备和存储介质
CN114697380A (zh) * 2022-03-11 2022-07-01 杭州盈高科技有限公司 访问请求的重定向方法、系统、装置以及存储介质

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11356482B2 (en) * 2017-11-27 2022-06-07 ArmorBlox, Inc. Message validation using machine-learned user models
US11403958B2 (en) * 2017-12-13 2022-08-02 T-Mobile Usa, Inc. Lesson determination for dynamic gamification application
US11102190B2 (en) 2018-04-26 2021-08-24 Radware Ltd. Method and system for blockchain based cyber protection of network entities
US11019059B2 (en) 2018-04-26 2021-05-25 Radware, Ltd Blockchain-based admission processes for protected entities
US10855448B2 (en) * 2018-05-03 2020-12-01 Honeywell International Inc. Apparatus and method for using blockchains to establish trust between nodes in industrial control systems or other systems
KR101947760B1 (ko) * 2018-09-04 2019-02-13 김종현 스마트콘트랙트의 보안 인증 서버
US10848449B2 (en) * 2018-09-19 2020-11-24 Salesforce.Com, Inc. Token-based message exchange system
US11368446B2 (en) * 2018-10-02 2022-06-21 International Business Machines Corporation Trusted account revocation in federated identity management
US11218409B2 (en) * 2018-10-16 2022-01-04 Eluvio, Inc. Decentralized content fabric
CN110060152B (zh) * 2018-11-27 2020-10-30 创新先进技术有限公司 一种基于多个区块链网络的数据读取方法及系统
US10937096B2 (en) 2019-07-15 2021-03-02 Advanced New Technologies Co., Ltd. Transaction processing in a service blockchain
CN110471984B (zh) * 2019-07-15 2020-08-25 阿里巴巴集团控股有限公司 基于区块链的业务处理方法及装置、电子设备
US11496518B2 (en) * 2019-08-02 2022-11-08 Dell Products L.P. System and method for distributed network access control
WO2021039453A1 (ja) * 2019-08-29 2021-03-04 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 制御方法、サーバ、および、プログラム
WO2021063030A1 (zh) * 2019-09-30 2021-04-08 东南大学 一种区块链增强的开放物联网接入架构
US11381558B2 (en) * 2019-10-18 2022-07-05 Avaya Inc. Blockchain-based device enrollment service
US11538006B2 (en) * 2020-01-31 2022-12-27 Salesforce.Com, Inc. Systems, methods, and apparatuses for conducting transactions between bots using distributed ledger technology in a cloud based computing environment
US11489844B2 (en) * 2020-04-17 2022-11-01 Twistlock Ltd. On-the-fly creation of transient least privileged roles for serverless functions
US20220141658A1 (en) * 2020-11-05 2022-05-05 Visa International Service Association One-time wireless authentication of an internet-of-things device
CN112263838B (zh) * 2020-12-23 2021-04-27 武汉斗鱼鱼乐网络科技有限公司 一种基于区块链识别作弊用户的方法、装置、介质及设备
CN112769871B (zh) * 2021-03-30 2021-11-19 支付宝(杭州)信息技术有限公司 跨链访问控制方法和装置
US11790093B2 (en) 2021-04-29 2023-10-17 Bank Of America Corporation Cognitive tokens for authorizing restricted access for cyber forensics
CN113973115B (zh) * 2021-10-28 2024-02-27 南方电网科学研究院有限责任公司 一种自定义通证流通方法及其相关装置
US20230214373A1 (en) * 2021-12-30 2023-07-06 Teradata Us, Inc. Access management of data objects in databases, including massively parallel database processing systems
US11695772B1 (en) * 2022-05-03 2023-07-04 Capital One Services, Llc System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105450624A (zh) * 2014-12-12 2016-03-30 苏州蜗牛数字科技股份有限公司 一种实现虚拟币价值转换的交互式方法
WO2017136956A1 (en) * 2016-02-12 2017-08-17 Royal Bank Of Canada Methods and systems for digital reward processing
US20170293912A1 (en) * 2016-04-12 2017-10-12 Digicash Pty Ltd. Secure transaction controller for value token exchange systems
CN107483144A (zh) * 2016-06-07 2017-12-15 中兴通讯股份有限公司 前向纠错反馈信息传输方法、装置
CN107624238A (zh) * 2015-05-19 2018-01-23 微软技术许可有限责任公司 对基于云的应用的安全访问控制

Family Cites Families (99)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191215B2 (en) * 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
US20070150934A1 (en) 2005-12-22 2007-06-28 Nortel Networks Ltd. Dynamic Network Identity and Policy management
US7721107B2 (en) 2006-02-10 2010-05-18 Palo Alto Research Center Incorporated Physical token for supporting verification of human presence in an online environment
JP4343242B2 (ja) 2007-10-04 2009-10-14 株式会社コナミデジタルエンタテインメント ネットワークゲームシステム、サーバ、不正行為防止方法、不正行為検出方法、および、プログラム
US20100017890A1 (en) * 2008-07-16 2010-01-21 Amy Tucker Symbol Based Cipher Code Registration System and Method
US8316310B2 (en) * 2008-08-05 2012-11-20 International Business Machines Corporation System and method for human identification proof for use in virtual environments
US20100037319A1 (en) 2008-08-08 2010-02-11 Microsoft Corporation Two stage access control for intelligent storage device
US20100162357A1 (en) 2008-12-19 2010-06-24 Microsoft Corporation Image-based human interactive proofs
US20100318669A1 (en) * 2009-06-16 2010-12-16 Kevin Chugh Human Interactive Proof System and Apparatus that Enables Public Contribution of Challenges for Determining Whether an Agent is a Computer or a Human
US8671058B1 (en) * 2009-08-07 2014-03-11 Gary Isaacs Methods and systems for generating completely automated public tests to tell computers and humans apart (CAPTCHA)
US8812668B2 (en) * 2009-11-06 2014-08-19 Microsoft Corporation Enhanced human interactive proof (HIP) for accessing on-line resources
US20110231913A1 (en) * 2010-03-17 2011-09-22 State of Oregon acting by and through the State Board of Education on Behalf of Portland State System and methods of determining computational puzzle difficulty for challenge-response authentication
US8839346B2 (en) * 2010-07-21 2014-09-16 Citrix Systems, Inc. Systems and methods for providing a smart group
JP5054177B2 (ja) * 2010-09-28 2012-10-24 楽天株式会社 認証システム、認証方法、認証装置、情報端末、プログラム及び情報記録媒体
US9450971B2 (en) 2010-11-29 2016-09-20 Biocatch Ltd. Device, system, and method of visual login and stochastic cryptography
US9621567B2 (en) 2010-11-29 2017-04-11 Biocatch Ltd. Device, system, and method of detecting hardware components
US20120144501A1 (en) 2010-12-03 2012-06-07 Salesforce.Com, Inc. Regulating access to protected data resources using upgraded access tokens
US8752157B2 (en) * 2011-08-15 2014-06-10 Bank Of America Corporation Method and apparatus for third party session validation
US8935671B2 (en) 2011-10-11 2015-01-13 Apple Inc. Debugging a graphics application executing on a target device
WO2013093209A1 (en) 2011-12-21 2013-06-27 Ssh Communications Security Oyj Automated access, key, certificate, and credential management
US20170149560A1 (en) 2012-02-02 2017-05-25 Netspective Communications Llc Digital blockchain authentication
US9185095B1 (en) 2012-03-20 2015-11-10 United Services Automobile Association (Usaa) Behavioral profiling method and system to authenticate a user
US20130347067A1 (en) * 2012-06-21 2013-12-26 Microsoft Corporation Dynamic human interactive proof
US9426182B1 (en) 2013-01-07 2016-08-23 Workspot, Inc. Context-based authentication of mobile devices
US9807092B1 (en) 2013-07-05 2017-10-31 Dcs7, Llc Systems and methods for classification of internet devices as hostile or benign
US9705895B1 (en) 2013-07-05 2017-07-11 Dcs7, Llc System and methods for classifying internet devices as hostile or benign
US20180094953A1 (en) 2016-10-01 2018-04-05 Shay C. Colson Distributed Manufacturing
US20160048662A1 (en) * 2013-11-01 2016-02-18 Google Inc. Computerized CAPTCHA Systems Using A Direct Connection With User Computing Device
US20150128236A1 (en) * 2013-11-04 2015-05-07 Google Inc. Systems and Methods for Verifying a User Based on Reputational Information
US10049202B1 (en) 2014-03-25 2018-08-14 Amazon Technologies, Inc. Strong authentication using authentication objects
US9424414B1 (en) * 2014-03-28 2016-08-23 Amazon Technologies, Inc. Inactive non-blocking automated agent detection
US9361446B1 (en) 2014-03-28 2016-06-07 Amazon Technologies, Inc. Token based automated agent detection
US10097583B1 (en) 2014-03-28 2018-10-09 Amazon Technologies, Inc. Non-blocking automated agent detection
US10003592B2 (en) * 2014-05-05 2018-06-19 Schneider Electric Software, Llc Active directory for user authentication in a historization system
US9818092B2 (en) 2014-06-04 2017-11-14 Antti Pennanen System and method for executing financial transactions
US9452355B1 (en) 2014-06-16 2016-09-27 Kabam, Inc. Game design based CAPTCHAs
US20150363769A1 (en) * 2014-06-16 2015-12-17 Bank Of America Corporation Cryptocurrency Real-Time Conversion System
AU2015287566A1 (en) * 2014-07-11 2017-03-09 Loyyal Corporation Distributed ledger protocol to incentivize transactional and non-transactional commerce
US9723005B1 (en) * 2014-09-29 2017-08-01 Amazon Technologies, Inc. Turing test via reaction to test modifications
US20160162897A1 (en) * 2014-12-03 2016-06-09 The Filing Cabinet, LLC System and method for user authentication using crypto-currency transactions as access tokens
US9465928B2 (en) * 2014-12-31 2016-10-11 Verizon Patent And Licensing Inc. No-CAPTCHA CAPTCHA
DE102016101665A1 (de) * 2015-01-29 2016-08-04 Affectomatics Ltd. Auf datenschutzüberlegungen gestützte filterung von messwerten der affektiven reaktion
CN107580767B (zh) * 2015-03-12 2020-12-29 眼锁有限责任公司 使用生物特征来管理网络活动的方法和系统
AU2016235539B2 (en) * 2015-03-20 2019-01-24 Rivetz Corp. Automated attestation of device integrity using the block chain
AU2016242888A1 (en) * 2015-03-31 2017-11-16 Nasdaq, Inc. Systems and methods of blockchain transaction recordation
US11226975B2 (en) * 2015-04-03 2022-01-18 Oracle International Corporation Method and system for implementing machine learning classifications
US10304143B2 (en) 2016-05-05 2019-05-28 Lance Timothy Kasper Consensus system for manipulation resistant digital record keeping
US10002240B2 (en) * 2015-05-08 2018-06-19 International Business Machines Corporation Conducting a sequence of surveys using a challenge-response test
US11025625B2 (en) 2015-05-08 2021-06-01 A10 Networks, Incorporated Integrated bot and captcha techniques
US9870562B2 (en) * 2015-05-21 2018-01-16 Mastercard International Incorporated Method and system for integration of market exchange and issuer processing for blockchain-based transactions
US20160359904A1 (en) * 2015-06-04 2016-12-08 Radware, Ltd. Method and system for detection of headless browser bots
US20170048234A1 (en) * 2015-07-14 2017-02-16 Fmr Llc Social Aggregating, Fractionally Efficient Transfer Guidance, Conditional Triggered Transaction, Datastructures, Apparatuses, Methods and Systems
US11488147B2 (en) * 2015-07-14 2022-11-01 Fmr Llc Computationally efficient transfer processing and auditing apparatuses, methods and systems
WO2017021154A1 (en) 2015-07-31 2017-02-09 British Telecommunications Public Limited Company Access control
WO2017021153A1 (en) * 2015-07-31 2017-02-09 British Telecommunications Public Limited Company Expendable access control
US11195177B1 (en) * 2015-08-21 2021-12-07 United Services Automobile Association (Usaa) Distributed ledger systems for tracking recurring transaction authorizations
IL257849B2 (en) * 2015-09-05 2023-12-01 Mastercard Tech Canada Ulc Systems and methods for detecting and scoring anomalies
US10320827B2 (en) 2015-10-28 2019-06-11 Fractal Industries, Inc. Automated cyber physical threat campaign analysis and attribution
WO2017084337A1 (zh) 2015-11-16 2017-05-26 腾讯科技(深圳)有限公司 一种身份验证方法、装置和系统
US10282557B1 (en) * 2015-11-19 2019-05-07 Veritas Technologies Llc Systems and methods for protecting sensitive data against data loss
US10164952B2 (en) 2016-02-16 2018-12-25 Xerox Corporation Method and system for server based secure auditing for revisioning of electronic document files
US10462138B2 (en) * 2016-02-19 2019-10-29 Google Llc Application programming interface access controls
US10679215B2 (en) 2016-02-22 2020-06-09 Bank Of America Corporation System for control of device identity and usage in a process data network
US10142312B2 (en) 2016-02-22 2018-11-27 Bank Of America Corporation System for establishing secure access for users in a process data network
WO2017145004A1 (en) * 2016-02-23 2017-08-31 nChain Holdings Limited Universal tokenisation system for blockchain-based cryptocurrencies
US10587596B1 (en) 2016-03-31 2020-03-10 EMC IP Holding Company LLC Framework for authenticating new users
US10581820B2 (en) 2016-05-11 2020-03-03 Oracle International Corporation Key generation and rollover
US10530578B2 (en) 2016-08-05 2020-01-07 Oracle International Corporation Key store service
WO2018039312A1 (en) * 2016-08-23 2018-03-01 BBM Health LLC Blockchain-based mechanisms for secure health information resource exchange
US10282558B2 (en) 2016-09-02 2019-05-07 The Toronto-Dominion Bank System and method for maintaining a segregated database in a multiple distributed ledger system
US11151245B2 (en) 2016-09-09 2021-10-19 Hewlett-Packard Development Company, L.P. User authentication
CN106390456B (zh) 2016-09-30 2018-09-18 腾讯科技(深圳)有限公司 游戏中角色行为的生成方法和装置
EP3454238B1 (en) 2016-12-23 2022-02-09 CloudMinds (Shanghai) Robotics Co., Ltd. Registration and authorization method, device and system
KR101837170B1 (ko) 2016-12-29 2018-04-19 주식회사 코인플러그 영지식 증명 알고리즘을 사용하여 블록체인 기반 비밀 전자 투표 서비스를 제공하기 위한 방법, 및 이를 이용한 투표 코인 발행 서버, 투표 토큰 분배 서버 및 투표 지원 서버
KR101837169B1 (ko) 2016-12-29 2018-03-09 주식회사 코인플러그 영지식 증명 알고리즘을 사용하여 머클 트리 구조의 블록체인 기반 비밀 전자 투표 서비스를 제공하기 위한 방법, 및 이를 이용한 투표 코인 발행 서버, 투표 토큰 분배 서버 및 투표 지원 서버
US10572872B2 (en) 2017-01-06 2020-02-25 FirstBlood Technologies, Inc. Decentralized competitive arbitration using digital ledgering
CN106850654B (zh) * 2017-02-23 2020-08-21 布比(北京)网络技术有限公司 一种分布式信息的授权访问方法及系统
US10675544B2 (en) 2017-03-31 2020-06-09 Sony Interactive Entertainment LLC Personalized user interface based on in-application behavior
US10447718B2 (en) 2017-05-15 2019-10-15 Forcepoint Llc User profile definition and management
CN107222478B (zh) * 2017-05-27 2019-09-17 暨南大学 基于区块链的软件定义网络控制层安全机制构建方法
US10055715B1 (en) * 2017-07-26 2018-08-21 Square, Inc. Cryptocurrency payment network
DE102017117598A1 (de) * 2017-08-03 2019-02-07 Innogy Innovation Gmbh System zum austauschen von energie
CN107563846B (zh) * 2017-08-10 2021-01-12 深圳市易成自动驾驶技术有限公司 共享车辆管理方法、服务器、系统和计算机可读存储介质
CN107730258A (zh) * 2017-09-01 2018-02-23 上海点融信息科技有限责任公司 基于区块链的资源处理方法、装置及计算机可读存储介质
CN107801059B (zh) * 2017-09-26 2018-09-04 武汉斗鱼网络科技有限公司 一种鉴权方法及服务器
US20190172026A1 (en) 2017-12-02 2019-06-06 Alchemy Limited LLC Cross blockchain secure transactions
US10872136B2 (en) * 2017-12-28 2020-12-22 Paypal, Inc. Using an NP-complete problem to deter malicious clients
US20190299105A1 (en) * 2018-03-27 2019-10-03 Truly Simplistic Innovations Inc Method and system for converting digital assets in a gaming platform
US20190305968A1 (en) 2018-03-27 2019-10-03 Ca, Inc. Human-solved puzzles as proof-of-work for blockchain
US20190306235A1 (en) * 2018-03-27 2019-10-03 Makecents Llc Private Blockchain With Decentralized External Gateway
US11019059B2 (en) * 2018-04-26 2021-05-25 Radware, Ltd Blockchain-based admission processes for protected entities
GB2573563B (en) 2018-05-11 2021-06-02 Arm Ip Ltd Methods and apparatus for authenticating devices
US20190370793A1 (en) 2018-06-04 2019-12-05 Decentralized Finance Labs, Inc. Hybrid consensus for blockchain using proof of work and proof of stake
US11568415B2 (en) 2018-06-04 2023-01-31 Strong Force TX Portfolio 2018, LLC Decentralized safeguard against fraud
US11025638B2 (en) 2018-07-19 2021-06-01 Forcepoint, LLC System and method providing security friction for atypical resource access requests
CN112740252A (zh) 2018-07-20 2021-04-30 珊瑚协议有限公司 使用智能合约的区块链交易安全性
US10268817B1 (en) 2018-10-05 2019-04-23 Capital One Services, Llc Methods, mediums, and systems for establishing and using security questions
US10693872B1 (en) 2019-05-17 2020-06-23 Q5ID, Inc. Identity verification system
US20220272084A1 (en) 2021-02-19 2022-08-25 Lenworth Alexander Hyatt 5G-WiFi inside secure iris biometrics' login

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105450624A (zh) * 2014-12-12 2016-03-30 苏州蜗牛数字科技股份有限公司 一种实现虚拟币价值转换的交互式方法
CN107624238A (zh) * 2015-05-19 2018-01-23 微软技术许可有限责任公司 对基于云的应用的安全访问控制
WO2017136956A1 (en) * 2016-02-12 2017-08-17 Royal Bank Of Canada Methods and systems for digital reward processing
US20170293912A1 (en) * 2016-04-12 2017-10-12 Digicash Pty Ltd. Secure transaction controller for value token exchange systems
CN107483144A (zh) * 2016-06-07 2017-12-15 中兴通讯股份有限公司 前向纠错反馈信息传输方法、装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113890753A (zh) * 2021-09-24 2022-01-04 网易(杭州)网络有限公司 数字身份管理方法、装置、系统、计算机设备和存储介质
CN113890753B (zh) * 2021-09-24 2024-04-09 网易(杭州)网络有限公司 数字身份管理方法、装置、系统、计算机设备和存储介质
CN114697380A (zh) * 2022-03-11 2022-07-01 杭州盈高科技有限公司 访问请求的重定向方法、系统、装置以及存储介质
CN114697380B (zh) * 2022-03-11 2023-07-14 杭州盈高科技有限公司 访问请求的重定向方法、系统、装置以及存储介质

Also Published As

Publication number Publication date
WO2019209611A1 (en) 2019-10-31
EP3583507A1 (en) 2019-12-25
US10924484B2 (en) 2021-02-16
EP3586263A1 (en) 2020-01-01
EP3583507B1 (en) 2024-04-17
US20230283609A1 (en) 2023-09-07
US20230007002A1 (en) 2023-01-05
EP3586263A4 (en) 2021-01-13
EP3583531A1 (en) 2019-12-25
WO2019209610A1 (en) 2019-10-31
US11438336B2 (en) 2022-09-06
US20190334717A1 (en) 2019-10-31
US10742658B2 (en) 2020-08-11
WO2019209565A1 (en) 2019-10-31
US20200366680A1 (en) 2020-11-19
US20210152557A1 (en) 2021-05-20
US11019059B2 (en) 2021-05-25
US20240064146A1 (en) 2024-02-22
US11677753B2 (en) 2023-06-13
EP3583531A4 (en) 2020-10-28
EP3583508A1 (en) 2019-12-25
WO2019209612A1 (en) 2019-10-31
US11979407B2 (en) 2024-05-07
EP3583508A4 (en) 2021-01-06
US20190334904A1 (en) 2019-10-31
EP3583507A4 (en) 2020-10-28
US11943224B2 (en) 2024-03-26
EP3586263B1 (en) 2022-11-23
US20190334905A1 (en) 2019-10-31
CN112424775A (zh) 2021-02-26
EP3583508B1 (en) 2024-04-17

Similar Documents

Publication Publication Date Title
US11943224B2 (en) Blockchain-based admission processes for protected entities
Alfandi et al. A survey on boosting IoT security and privacy through blockchain: Exploration, requirements, and open issues
US11985116B2 (en) Method and system for blockchain based cyber protection of network entities
Li et al. Blockchain-based trust management in cloud computing systems: a taxonomy, review and future directions
EP3756328B1 (en) Identity-based certificate authority system architecture
JP2023524659A (ja) 低信頼の特権アクセス管理
Ghaffari et al. Identity and access management using distributed ledger technology: A survey
Chai et al. BHE-AC: A blockchain-based high-efficiency access control framework for Internet of Things
US20230421543A1 (en) Method, apparatus, and computer-readable medium for secured data transfer over a decentrlaized computer network
Padma et al. DAuth—Delegated Authorization Framework for Secured Serverless Cloud Computing
Tiwari et al. Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos
Otta et al. Cloud identity and access management solution with blockchain
Megala et al. A Review on Blockchain-Based Device Authentication Schemes for IoT
JIN et al. An Efficient Blockchain-Based Verification Scheme with Transferable Authentication Authority
Al-Aqrabi et al. Dynamic authentication for intelligent sensor clouds in the Internet of Things
WO2024062400A1 (en) Mediation systems and methods for a federated confidential computing environment
Ghaffari Orange Labs, Institut Polytechnique de Paris, IMT, Telecom SudParis fariba. ghaffari@ orange. com;(Correspond author) Komal. gilani@ orange. com emmanuel. bertin@ orange. com;(Correspond author)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination