CN113839945A - 一种基于身份的可信接入控制系统和方法 - Google Patents
一种基于身份的可信接入控制系统和方法 Download PDFInfo
- Publication number
- CN113839945A CN113839945A CN202111116736.1A CN202111116736A CN113839945A CN 113839945 A CN113839945 A CN 113839945A CN 202111116736 A CN202111116736 A CN 202111116736A CN 113839945 A CN113839945 A CN 113839945A
- Authority
- CN
- China
- Prior art keywords
- user
- identity
- authentication
- access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/66—Trust-dependent, e.g. using trust scores or trust relationships
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于身份的可信接入控制系统和方法,通过建立“用户身份—通信行为—用户信誉—安全控制”的链接关系,形成了通信行为动态闭环反馈机制,实现了接入用户身份可溯源、网络通信行为可追溯、用户信誉动态计算更新的基于用户身份的细粒度安全管控。本发明实施例可以对用户身份、通信行为、用户信誉进行实时动态的安全管控,可以提升网络的安全能力。
Description
技术领域
本发明涉及网络接入控制技术领域,尤其涉及一种基于身份的可信接入控制系统和方法。
背景技术
5G网络的飞速发展让万物互联成为现实。用户数量激增、接入设备复杂多样的物联网场景给网络安全带来了新的挑战,如何在海量连接的物联网场景下设计智能可信通信新架构成为亟需解决的问题。从接入用户的角度出发,目前提升网络的接入控制安全能力主要通过以下几种方法来实现:
在用户身份认证方面。常见的方法为设计可信的用户身份认证协议,在用户接入网络时对用户身份进行鉴别,确保接入网络用户身份的安全可信。现有的常见的用户身份认证方法例如基于公钥基础设施的身份认证、基于身份的签名认证方法等往往强调接入用户身份的安全,对认证成功后的用户后续通信行为并不关注。因此,如何设计一种既能对用户身份进行鉴别,又能根据用户上网行为反馈结果进行动态调整的用户身份认证方法称为亟待解决的问题。
在访问控制方法方面。合理的访问控制方法,能够在用户访问网络资源前对用户行为进行甄别,实现用户访问行为的管控,保障网络资源的安全。传统的访问控制方法大体可以分为三类:基于角色的访问控制方法、基于属性的访问控制方法和基于使用控制模型的访问控制方法。目前常见的访问控制方法着重于关注用户的访问行为的安全,保障被访问对象的安全。一旦用户获取了相关资源的访问许可,便无法阻止合法用户对访问资源的非法通信行为(例如对访问资源发动分布式拒绝服务攻击等)。此外,现有的访问控制策略一旦匹配生成便难以根据用户的通信行为进行实时动态的调整,难以实时阻断用户非法通信行为。因此,设计一种动态、高效且具有反馈的访问控制方法也是目前的研究重点。
在用户信誉评估方面。完善的用户信誉评价体系通过对用户通信行为进行评价,能够实现基于信誉值的用户网络行为安全管控。现有的信誉评价体系缺乏多维度的用户信誉评价指标,难以全方面的对用户信誉进行评定。此外,用户信誉评价系统往往缺乏信誉计算触发条件以及细粒度用户安全管控方案,难以针对动态变化的网络情况进行用户信誉计算,并根据用户不同的信誉值执行细粒度的用户行为管控。
发明内容
本发明的实施例提供了一种基于身份的可信接入控制系统和方法,用于解决现有技术中存在的问题。
为了实现上述目的,本发明采取了如下技术方案。
一种基于身份的可信接入控制系统,包括:
身份认证模块,用于基于接收的用户的身份注册信息和身份认证信息,构建用户属性与身份标识的映射关系,通过分布式区块链存储用户的身份注册信息、身份认证信息和认证过程记录信息;
访问控制模块,用于基于资源属性、用户属性和设备属性,对用户的资源访问请求进行控制;
信誉评估模块,用于基于存储的用户的身份认证信息和资源访问记录信息,计算获得存储的所有用户的信誉值;
访问控制模块还用于基于所有用户的信誉值,对所有用户进行排序和归类,并基于归类结果进行访问控制。
优选地,其特征在于,
身份认证模块具体用于:
接收并映射用户的身份注册信息和身份认证信息;
通过调用身份认证智能合约,将用户的身份注册信息和身份认证信息存储在分布式区块链中;
向用户返回包含用户的属性信息的用户的身份注册信息和身份认证信息;
基于用户的身份注册信息和身份认证信息,通过身份认证智能合约,查询用户的密码和当前最新区块哈希值;
基于该当前最新区块哈希值和该用户的密码,生成用户认证挑战信息,发送包含该用户认证挑战信息的认证挑战信息的挑战报文,使得用户能够基于用户的密码和该挑战报文生成认证响应信息;
基于接收的该认证响应信息,与认证挑战信息进行比对,完成用户身份识别,并将识别结果存储在区块链中;
接收并映射资源访问请求;
通过调用身份认证和访问控制智能合约,对用户属性和资源属性进行策略匹配,获得访问控制结果;
向用户返回访问控制结果,并将访问控制结果存储在分布式区块链中;
信誉评估模块具体用于:
实时获得恶意用户地址;
通过查询用用户身份信息表,获得该恶意用户地址映射的用户标识列表;
通过调用行为管控智能合约,获得用户标识列表中对应用户的历史身份认证记录和历史用户访问记录,并基于该历史身份认证记录和历史用户访问记录计算生成所有用户的信誉值;
访问控制模块基于所有用户的信誉值,对所有用户进行排序和归类,并基于归类结果进行访问控制的过程包括:
对所有用户的信誉值进行排序;
基于该排序结果,对用户的信誉值排序前40%的用户不采取附加管控策略,对用户的信誉值排序后60%的用户进行流量实时阻断,对用户的信誉值排序前41%—70%的用户进行风险用户访问行为重访问控制,对用户的信誉值排序后30%的用户进行危险用户访问行为重访问控制。
优选地,用户的身份注册信息包括:用户密钥、注册标识位、随机数、用户设备名、接入网关设备名、用户属性、用户密码和用户注册/认证标识;用户的身份认证信息包括:用户密钥、认证标识位、随机数、用户设备名、接入网关设备名、用户属性和用户注册/认证标识。
优选地,基于该历史身份认证记录和历史用户访问记录计算生成用户的信誉值具体包括:
基于历史身份认证记录和历史用户访问记录获得用户历史认证成功次数、用户历史认证总次数、用户历史访问成功次数和用户历史访问总次数;
通过式
计算生成用户的信誉值。
第二方面,本发明提供一种基于身份的可信接入控制方法,包括用户身份认证过程、通信行为管控过程、用户信誉评估过程和安全控制过程;
用户身份认证过程包括:基于接收的用户的身份注册信息和身份认证信息,构建用户属性与身份标识的映射关系,通过分布式区块链存储用户的身份注册信息、身份认证信息和认证过程记录信息;
通信行为管控过程包括:基于资源属性、用户属性和设备属性,对用户的资源访问请求进行控制;
用户信誉评估过程包括:基于存储的用户的身份认证信息和资源访问记录信息,计算获得存储的所有用户的信誉值;
安全控制过程包括:基于所有恶意用户的信誉值,对所有恶意用户进行排序和归类,并基于归类结果进行访问控制。
优选地,其特征在于,
用户身份认证过程具体包括:
接收并映射用户的身份注册信息和身份认证信息;
通过调用身份认证智能合约,将用户的身份注册信息和身份认证信息存储在分布式区块链中;
向用户返回包含用户的属性信息的用户的身份注册信息和身份认证信息;
基于用户的身份注册信息和身份认证信息,通过身份认证智能合约,查询用户的密码和当前最新区块哈希值;
基于该当前最新区块哈希值和该用户的密码,生成用户认证挑战信息,发送包含该用户认证挑战信息的认证挑战信息的挑战报文,使得用户能够基于用户的密码和该挑战报文生成认证响应信息;
基于接收的该认证响应信息,与认证挑战信息进行比对,完成用户身份识别,并将识别结果存储在区块链中;
通信行为管控过程具体包括:
接收并映射资源访问请求;
通过调用身份认证和访问控制智能合约,对用户属性和资源属性进行策略匹配,获得访问控制结果;
向用户返回访问控制结果,并将访问控制结果存储在分布式区块链中;
用户信誉评估过程包括:
实时获得恶意用户地址;
通过查询用用户身份信息表,获得该恶意用户地址映射的用户标识列表;
通过调用行为管控智能合约,获得用户标识列表中对应用户的历史身份认证记录和历史用户访问记录,并基于该历史身份认证记录和历史用户访问记录计算生成所有用户的信誉值;
安全控制过程包括:
对所有用户的信誉值进行排序;
基于该排序结果,对用户的信誉值排序前40%的用户不采取附加管控策略,对用户的信誉值排序后60%的用户进行流量实时阻断,对用户的信誉值排序前41%—70%的用户进行风险用户访问行为重访问控制,对用户的信誉值排序后30%的用户进行危险用户访问行为重访问控制。
优选地,基于该历史身份认证记录和历史用户访问记录计算生成用户的信誉值具体包括:
基于历史身份认证记录和历史用户访问记录获得用户历史认证成功次数、用户历史认证总次数、用户历史访问成功次数和用户历史访问总次数;
通过式
计算生成用户的信誉值。
由上述本发明的实施例提供的技术方案可以看出,本发明提供的一种基于身份的可信接入控制系统和方法,通过建立“用户身份—通信行为—用户信誉—安全控制”的链接关系,形成了通信行为动态闭环反馈机制,实现了接入用户身份可溯源、网络通信行为可追溯、用户信誉动态计算更新的基于用户身份的细粒度安全管控。本发明实施例可以对用户身份、通信行为、用户信誉进行实时动态的安全管控,可以提升网络的安全能力。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于身份的可信接入控制系统的结构示意图;
图2为本发明提供的一种基于身份的可信接入控制系统的身份认证模块中用户身份注册的流程示意图;
图3为本发明提供的一种基于身份的可信接入控制系统的身份认证模块中用户身份认证过程的流程示意图;
图4为本发明提供的一种基于身份的可信接入控制系统的访问控制模块中通信行为管控的流程示意图;
图5为本发明提供的一种基于身份的可信接入控制系统的信誉评估模块中用户信誉评估的流程示意图;
图6为本发明提供的一种基于身份的可信接入控制系统的信誉评估模块中安全控制的流程示意图;
图7为本发明提供的一种基于身份的可信接入控制方法的流程示意图。
图中:
10.身份认证模块20.访问控制模块30.信誉评估模块。
具体实施方式
下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
参见图1,本发明提供一种基于身份的可信接入控制系统,包括:
身份认证模块10,用于基于接收的用户的身份注册信息和身份认证信息,构建用户属性与身份标识的映射关系,通过分布式区块链存储用户的身份注册信息、身份认证信息和认证过程记录信息;
访问控制模块20,用于基于资源属性、用户属性和设备属性,对用户的资源访问请求进行控制;
信誉评估模块30,用于基于存储的用户的身份认证信息和资源访问记录信息,计算获得存储的所有用户的信誉值;
访问控制模块20还用于基于所有恶意用户的信誉值,对所有恶意用户进行排序和归类,并基于归类结果进行访问控制。
在本发明提供的优选实施例中,身份认证模块10,具体部署在接入网关处,通过运行模块进程开放网关端口,实现接入用户的无线、有线接入。身份认证模块10部署在接入网关处接收用户注册和认证请求信息,并将注册、认证请求信息中的用户属性表征映射为全局唯一的用户标识。身份认证模块10通过调用身份认证智能合约执行注册或认证过程,在区块链上存储用户身份注册和认证记录,并向接入用户返回用户注册、认证结果。
进一步的,用户注册请求信息包括用户密钥、注册标识位、随机数、用户设备名、接入网关设备名、用户属性、用户密码、用户注册/认证标识。用户认证请求信息包括用户密钥、认证标识位、随机数、用户设备名、接入网关设备名、用户属性、用户注册/认证标识。
用户密钥可由对称密钥算法生成的密钥、由非对称密钥算法生成的公私钥对。若采用对称密钥算法,则用户注册、认证请求信息中的用户密钥为用户和网关共同维护的加密密钥;若采用非对称密钥算法,则用户注册、认证请求信息中的用户密钥为用户生成的用户公钥。
注册标志位,数值为0-4,在用户注册过程中,用于用户与接入网关对发送和接收的身份注册消息识别。所述的认证标志位,数值为0-4,在用户认证过程中,用于用户与接入网关对发送和接收的身份认证消息识别。
随机数,为用户或接入网关随机生成的整数,用于防止重放攻击。
用户属性,包括用户名属性、用户角色属性、用户群组属性、用户权限属性等。用户名属性用户表征用户的用户名。用户角色属性用于表征用户所属的角色,例如管理员、一般用户等。用户群组属性用户表征用户所属的群组,例如A、B小组等。用户权限属性用于表征用户对资源所具有的操作权限等级,例如1级、2级等。
用户注册/认证标识,用于对用户注册阶段报文和用户认证阶段报文进行区分。
用户标识由用户属性进行映射生成,具有时间和空间上的全局唯一性,能够对用户身份进行细粒度表征。
区块链平台可以选择Ethereum以太坊区块链平台、HyperLedger Fabric超级账本区块链平台等分布式区块链平台。
在本发明提供的实施例中,智能合约为部署在区块链平台中实现特定功能、自动化执行的自行编写的程序。其中,身份认证智能合约在用户身份注册、认证过程中行使以下两个功能:实现用户身份注册、认证过程;存储更新用户身份注册、认证结果,向信誉评估模块提供用户身份认证记录。
用户注册结果包括“用户身份注册成功”、“用户身份注册失败,用户身份注册信息已存在”。
用户认证结果包括“用户身份认证成功”、“用户身份认证失败,用户身份信息未注册”、“用户身份认证失败,用户密码错误”。
用户身份注册记录由用户标识、用户密码、用户注册时间、用户注册标志位所组成,以身份认证智能合约内容的形式存储在分布式区块链节点中。用户注册标志位用来判别用户是否完成身份注册。
用户身份认证记录由用户标识、用户认证时间、用户认证成功次数、用户认证失败次数、用户认证标志位所组成,以身份认证智能合约内容的形式存储在分布式区块链节点中。用户认证成功次数用来记录该用户历史认证成功次数信息,用户认证失败次数用来记录该用户历史认证失败次数信息。用户认证标志位用来判别用户是否完成身份认证。
在本发明提供的优选实施例中,访问控制模块20,具体部署在接入网关处。访问控制模块20采用基于属性的访问控制方法,构建多种属性、多维度实体对象,制定细粒度访问控制策略,实现对用户行为的安全管控。访问控制模块20在接入网关处接收用户资源访问请求,并将用户资源访问请求中的用户属性、设备属性进行标识映射生成表征用户身份的身份标识。随后,访问控制模块20通过访问控制调用智能合约获取身份标识、资源标识所对应的属性,并进行基于属性的访问控制策略的匹配生成。一方面,访问控制模块20通过调用访问控制智能合约中的函数接口,充分利用区块链的存储与计算资源,实现基于用户标识的分布式实体属性存储,保证实体属性不被篡改。另一方面,访问控制模块20结合分布式区块链架构,实现了用户访问行为记录存储上链,保证了用户访问行为可溯源,提升了网络的安全能力。
进一步的,基于属性的访问控制方法围绕访问实体属性与被访问资源实体属性进行构建。访问实体属性由用户属性和设备属性组成,被访问资源实体属性由资源实体固有属性和资源实体被允许访问属性组成。
所述的用户属性与身份认证模块10接收处理的用户属性一致。
设备属性,包括设备名称、设备IP地址、设备MAC地址、设备系统名和设备系统版本。设备IP地址用来表征访问实体设备的IP地址。设备MAC地址用来表征访问实体设备的MAC地址。设备系统名用来表征访问实体设备的系统名称。设备系统版本用来表征访问实体设备的系统版本号。
资源实体固有属性用于表征被访问资源实体所具备的固有属性,由资源名称、资源群组、资源类型、资源IP地址、资源MAC地址组成。资源群组用于表征被访问资源实体所述的具体群组,例如FTP Server(文件服务器)、Web Server(Web服务器)等。资源类型用于表征被访问资源实体所归属的场景类型,例如eMBB场景(增强移动宽带场景)、URLLC场景(超高可靠超低时延通信场景)、mMTC场景(大规模机器通信场景)等。资源IP地址用于表征被访问资源实体的IP地址。资源MAC地址用于表征被访问资源实体的MAC地址。
资源实体被允许访问属性包含允许访问的角色、允许访问的权限、允许访问的动作、允许访问的IP地址、允许访问的系统名和允许访问的系统版本。允许访问的角色用于表征资源实体允许访问的访问实体的角色,例如管理员、一般员工等。允许访问的权限用于表征资源实体允许访问的访问实体的权限等级,例如1、2级等。允许访问的动作用于表征资源实体允许访问的访问实体所能够进行的操作,例如读、写、删除等。允许访问的IP地址用于表征资源实体允许访问的访问实体的IP地址范围,可以是单一的、具体的IP地址,也可以是IP地址池。允许访问的系统名用来表征资源实体允许访问的访问实体的系统,例如Windows、Linux、IOS等。允许访问的系统版本用于表征资源实体允许访问的访问实体的系统版本号,例如Ubuntu-18.04,IOS 12等。
用户资源访问请求包括访问实体设备名、接入网关设备名、访问实体用户属性、访问实体设备属性、被访问资源标识、访问动作。
被访问资源标识由资源实体固有属性和资源实体被允许访问属性映射生成,具有时间和空间的全局唯一性,能够对资源身份进行细粒度表征。用户在访问互联网资源时,需要获取所访问资源的全局唯一资源标识信息。
访问动作用来表征访问实体对被访问资源的特定访问操作,例如读、写、删除等。
身份标识由访问实体的用户属性、设备属性映射表征生成,具有时间和空间的全局唯一性,能够对访问实体身份进行细粒度表征。身份标识在接入网关处映射生成,访问实体无法知晓自身的身份标识信息,这样能够防止用户身份信息泄露所带来的安全风险。
访问控制模块20根据身份标识、资源标识以及访问动作,调用访问控制智能合约,根据存储在分布式区块链中的用户属性表和资源属性表进行基于属性的访问控制策略匹配生成。
在本发明提供的实施例中,访问控制智能合约在用户资源访问过程中行使以下三个功能:为访问实体和被访问实体提供属性注册功能,并将注册属性存储在区块链中;根据资源访问请求,生成基于属性的访问控制策略;存储更新用户访问控制结果,向信誉评估模块提供用户访问记录。
用户属性表由身份标识、用户属性、设备属性、用户属性注册时间、用户属性注册标志位所组成,以访问控制智能合约内容的形式存储在分布式区块链节点中。用户属性注册时间用于记录用户属性存储注册上链的时间,用户属性注册标志位用来判别该身份标识下的用户是否完成了属性注册。
资源属性表由资源标识、资源实体固有属性、资源实体被允许访问属性、资源属性注册时间、资源属性注册标志位所组成,以访问控制智能合约内容的形式存储在分布式区块链节点中。资源属性注册时间用于记录资源属性存储注册上链的时间,资源属性注册标志位用来判别该资源标识下的用户是否完成了属性注册。
访问控制模块20生成基于属性的访问控制策略后,调用访问控制智能合约,将用户访问记录储存上链,实现用户访问行为可溯源。
用户访问记录由用户标识、资源标识、访问实体属性、被访问资源实体属性、访问动作、访问时间、访问控制结果、访问成功次数和访问失败次数组成。访问控制结果用来表征访问实体对被访问资源实体的访问情况,包括“允许访问”、“不允许访问”。访问成功次数用来记录该用户对相应资源历史访问成功次数信息,访问失败次数用来记录该用户对相应资源历史访问失败次数信息。
在本发明提供的优选实施例中,信誉评估模块30,具体部署在接入网关处,通过将检测模块实时反馈回来的恶意流量地址与用户身份进行匹配映射,多维度对恶意用户信誉值进行评估。信誉评估模块30利用身份认证模块10记录的用户认证信息以及访问控制模块20记录的访问控制信息进行用户信誉评估,并通过信誉值排序,将信誉值低的用户通过模块接口反馈给身份认证模块10和访问控制模块20,实现用户细粒度安全管控。
检测模块可以是防火墙、深度包检测系统、神经网络等具有恶意流量检测功能的网络实体。
恶意流量地址与用户身份匹配映射方法,信誉评估模块30根据反馈回来的恶意流量地址,通过查询信誉评估模块30所维护的用户身份信息表,得到恶意流量地址所映射的一个或多个用户的用户标识。
用户身份信息表,在用户访问网络资源时由信誉评估模块30生成,由用户设备IP地址、用户标识、身份标识所组成。
信誉评估模块30查询用户身份信息表获取恶意流量地址对应的用户标识列表,调用身份认证智能合约获取用户标识列表中对应用户的历史身份认证记录。同时,根据生成的用户标识列表调用访问控制智能合约获取用户标识列表中对应用户的历史用户访问记录。信誉评估模块30根据历史身份认证记录和历史用户访问记录进行用户信誉评估。
具体的,在一个优选的方式中,用户信誉评估办法如下:
在本发明提供的优选实施例中,信誉评估模块30根据计算得到的用户的信誉值进行排序,并依据用户信誉值进行细粒度的安全管控。
细粒度安全管控针对不同信誉值的用户执行不同的安全控制策略。信誉值前40%的用户被认为信誉良好用户,不采取安全控制办法;信誉值后60%的用户被认为可疑用户,需要将可疑用户流量进行实时阻断,保障网络的安全性能。前50%的可疑用户视为风险用户,需要对风险用户的访问行为进行管控。信誉评估模块30调用模块接口将风险用户信息反馈给访问控制模块20,进行用户访问行为重访问控制;后50%的可疑用户视为危险用户,需要对危险用户的身份以及访问行为同时进行管控。信誉评估模块30调用模块接口将危险用户信息反馈给身份认证模块10,对用户身份进行重认证。重认证后的危险用户,仍需进行重访问控制才能访问网络资源。
第二方面,本发明提供一种基于身份的可信接入控制方法,应用于上述的系统,包括用户身份认证过程、通信行为管控过程、用户信誉评估过程和安全控制过程四个方面。
用户身份认证过程包括:基于接收的用户的身份注册信息和身份认证信息,构建用户属性与身份标识的映射关系,通过分布式区块链存储用户的身份注册信息、身份认证信息和认证过程记录信息;
通信行为管控过程包括:基于资源属性、用户属性和设备属性,对用户的资源访问请求进行控制;
用户信誉评估过程包括:基于存储的用户的身份认证信息和资源访问记录信息,计算获得存储的所有用户的信誉值;
安全控制过程包括:基于所有恶意用户的信誉值,对所有恶意用户进行排序和归类,并基于归类结果进行访问控制。
进一步的,所述的用户身份认证过程具体包括:
接收并映射用户的身份注册信息和身份认证信息;
通过身份认证智能合约,将用户的身份注册信息和身份认证信息存储在分布式区块链中;
向用户返回包含用户的属性信息的用户的身份注册信息和身份认证信息;
基于所述用户的身份注册信息和身份认证信息,通过身份认证智能合约,查询用户的密码和当前最新区块哈希值;
基于该当前最新区块哈希值和该用户的密码,生成用户认证挑战信息,发送包含该用户认证挑战信息的认证挑战信息的挑战报文,使得用户能够基于用户的密码和该挑战报文生成认证响应信息;
基于接收的该认证响应信息,与所述认证挑战信息进行比对,完成用户身份识别,并将识别结果存储在区块链中;
所述的通信行为管控过程具体包括:
接收并映射资源访问请求;
通过访问控制智能合约,对用户属性和资源属性进行策略匹配,获得访问控制结果;
向用户返回访问控制结果,并将访问控制结果存储在分布式区块链中;
所述的用户信誉评估过程包括:
实时获得恶意用户地址;
通过查询用用户身份信息表,获得该恶意用户地址映射的用户标识列表;
通过身份认证和访问控制智能合约,获得用户标识列表中对应用户的历史身份认证记录和历史用户访问记录,并基于该历史身份认证记录和历史用户访问记录计算生成用户信誉值;
所述的安全控制过程包括:
对所述用户的信誉值进行排序;
基于该排序结果,对用户的信誉值排序前40%的用户不采取附加管控策略,对用户的信誉值排序后60%的用户进行流量实时阻断,对用户的信誉值排序前41%—70%的用户进行风险用户访问行为重访问控制,对用户的信誉值排序后30%的用户进行危险用户访问行为重访问控制。
更进一步的,基于该历史身份认证记录和历史用户访问记录计算生成用户信誉值具体包括:
基于历史身份认证记录和历史用户访问记录获得用户历史认证成功次数、用户历史认证总次数、用户历史访问成功次数和用户历史访问总次数;
通过式
计算生成用户信誉值。
本发明还提供了一个实施例,用于显示本发明提供的系统和方法的应用,如图1所示,包括:身份认证模块、访问控制模块和信誉评估模块。
身份认证模块10,用于提供用户接入注册、认证服务,实现用户身份注册认证功能。
访问控制模块20,用于对用户通信行为进行管控,通过匹配访问控制策略对用户访问行为进行约束,保障网络服务资源的安全。
信誉评估模块30,用于根据用户历史的认证行为和访问控制行为对用户实体的可信度进行评估。
具体的,上述身份认证模块提供了一种基于身份的用户身份注册、认证方法。用户身份注册方法包括:用户向身份认证模块注册自身属性和密码;身份认证模块对注册请求中的用户属性进行标识映射;身份认证模块调用智能合约,将用户标识、用户密码存储在分布式区块链中。用户身份认证方法包括:用户向身份认证模块发送包含用户属性的用户认证请求信息;身份认证模块将认证请求信息中的用户属性与用户标识进行映射;身份认证模块调用智能合约,查询存储的用户密码以及当前最新区块哈希值;身份认证模块生成用户认证挑战信息,并向用户发送包含用户认证挑战信息和最新区块哈希值的认证挑战信息报文;用户根据用户密码和认证挑战信息报文中携带的最新区块哈希值生成认证挑战信息,并将认证挑战信息发送给身份认证模块;身份认证模块比对用户生成的认证挑战信息以及身份认证模块自身所生成的认证挑战信息,完成用户身份的鉴别,并调用用户认证智能合约将用户认证结果存储于区块链中。
具体的,图2为本发明实施例提供的身份认证模块中用户身份注册的流程示意图。用户身份注册包括如下步骤:
(1)用户向身份认证模块发送注册请求报文RR,注册请求报文中包含标志位Lr、生成的随机数N1、用户设备名IDA、用户公钥PKA、用户注册/认证标识r/a;
(2)身份认证模块收到注册请求报文后,向用户发送使用用户公钥PKA加密的注册请求响应报文RR-Response。注册响应报文中包含注册标志位Lr、接收的随机数N1、生成的随机数N2、用户设备名IDA、接入网关设备名IDB、接入网关公钥PKB、用户注册/认证标识r/a;
(3)用户收到注册请求响应报文后,使用用户私钥SKA对报文进行解密,并向身份认证模块发送使用网关公钥PKB加密的用户注册请求信息报文RRI。用户注册请求信息报文中包含注册标志位Lr、接收的随机数N2、生成的随机数N3、用户设备名IDA、接入网关设备名IDB、用户属性Ua、用户密码Up、用户注册/认证标识r/a;
(4)身份认证模块使用接入网关私钥SKB对报文解密,获取用户属性Ua和用户密码Up,并将用户属性Ua表征映射为全局唯一的用户标识IDu;
(5)身份认证模块调用智能合约将用户标识IDu、用户密码Up等信息存储在区块链中;
(6)身份认证模块向用户返回使用用户公钥PKA加密的用户注册结果报文RRR。用户注册结果报文中包含注册标志位Lr、接收的随机数N3、生成的随机数N4、用户设备名IDA、接入网关设备名IDB、用户注册结果Rr、用户注册/认证标识r/a。
(7)用户收到用户注册结果报文后,使用用户私钥SKA进行解密,获取用户注册结果Rr,用户身份注册完毕。
具体的,图3为本发明实施例提供的身份认证模块中用户身份认证的流程示意图。用户身份认证包括如下步骤:
(1)用户向身份认证模块发送认证请求报文AR,认证请求报文中包含认证标志位La、生成的随机数N1、用户设备名IDA、用户公钥PKA、用户注册/认证标识r/a;
(2)身份认证模块收到认证请求报文后,向用户发送使用用户公钥PKA加密的认证请求响应报文AR-Response。认证请求响应报文中包含用户认证标识位La、接收的随机数N1、生成的随机数N2、用户设备名IDA、接入网关设备名IDB、接入网关公钥PKB、用户注册/认证标识r/a;
(3)用户收到认证请求响应报文后,使用用户私钥SKA对报文进行解密,并向身份认证模块发送使用网关公钥PKB加密的用户认证请求信息报文ARI。用户认证请求信息报文中包含用户认证标识位La、接收的随机数N2、生成的随机数N3、用户设备名IDA、接入网关设备名IDB、用户属性Ua、用户注册/认证标识r/a;
(4)身份认证模块使用接入网关私钥SKB对报文解密,获取用户属性Ua,并将用户属性表征映射为全局唯一的用户标识IDu;
(5)身份认证模块调用身份认证智能合约查询存储的用户密码和最新区块哈希值hash;
(6)身份认证模块根据用户密码和最新区块哈希值生成用户认证挑战信息MD5B;
(7)身份认证模块向用户发送使用用户公钥PKA加密的认证挑战信息报文AC。认证挑战信息报文中包含用户认证标识位La、接收的随机数N3、生成的随机数N4、用户设备名IDA、接入网关设备名IDB、最新区块哈希值hash、用户注册/认证标识r/a;
(8)用户使用用户私钥SKA对认证挑战信息报文解密,获取报文中的最新区块哈希值,并根据自身密码和最新区块哈希值生成用户认证响应信息MD5A;
(9)用户向身份认证模块发送使用网关公钥PKB加密的认证挑战响应信息报文AC-Response。认证挑战响应信息报文中包含用户认证标识位La、接收的随机数N4、生成的随机数N5、用户设备名IDA、接入网关设备名IDB、用户认证响应信息MD5B、用户注册/认证标识r/a;
(10)身份认证模块使用网关私钥SKB对报文进行解密,将报文中的用户认证响应信息MD5B与步骤(6)生成的用户挑战信息MD5A进行比对,进行用户身份认证;
(11)用户身份认证成功后,身份认证模块生成用户认证结果Ra,并向用户返回使用用户公钥PKA加密的用户认证结果报文ARR。用户认证结果报文中包含认证标识位La、接收的随机数N5、生成的随机数N6、用户设备名IDA、接入网关设备名IDB、用户认证结果Ra、用户注册/认证标识r/a;
(12)身份认证模块调用身份认证智能合约将用户身份认证信息UAI记录存储在区块链中;
(13)用户收到用户认证结果报文后,使用用户私钥SKA进行解密,获取用户注册结果Ra,用户身份认证完毕。
具体的,上述访问控制模块提供了一种基于属性的通信行为访问控制方法,包括:用户向访问控制模块发送资源访问请求;访问控制模块将资源访问请求中的用户信息进行身份标识映射;访问控制模块调用访问控制智能合约,对用户属性和资源属性进行策略匹配生成,实现基于属性的访问控制;访问控制模块向用户返回访问控制结果,并将用户访问记录信息存储在区块链中。
具体的,图4为本发明实施例提供的访问控制模块中通信行为管控的流程示意图。通信行为管控包括如下步骤:
(1)用户向访问控制模块发送使用接入网关公钥PKB加密的资源访问请求报文RAR。资源访问请求报文中包含用户设备名IDA、接入网关设备名IDB、生成的随机数N7,用户属性Ua、设备属性Da、资源标识IDr、访问动作a;
(2)访问控制模块使用网关私钥SKB对资源访问请求报文进行解密,获取用户属性Ua、设备属性Da、资源标识IDr、访问动作a。并将用户属性Ua和设备属性Da表征映射为表征用户身份的全局唯一身份标识IDi;
(3)访问控制模块调用访问控制智能合约,查询储存在区块链中的身份标识IDi和资源标识IDr对应的身份属性和资源属性,并根据访问动作a和访问控制策略生成访问控制结果Rc;
(4)访问控制模块向用户发送使用用户公钥PKA加密的资源访问请求响应报文RAR-Response。资源访问请求响应报文中包含用户设备名IDA、接入网关设备名IDB、接收的随机数N7、生成的随机数N8、访问控制结果Rc;
(5)访问控制模块调用访问控制智能合约,将用户访问记录信息UVI存储在区块链中;
(6)用户收到资源访问请求响应报文后,使用用户私钥SKA进行解密,获取访问控制结果Rc,并根据访问控制结果对资源进行访问,通信行为管控完毕。
具体的,上述信誉评估模块提供了一种基于用户历史行为的信誉评估方法,包括:调用监听接口,实时获取反馈的恶意用户地址;查询用户身份信息表,得到恶意流量地址映射的用户标识列表;调用身份认证和访问控制智能合约获取用户标识列表中对应用户的历史身份认证记录和历史用户访问记录,计算生成用户信誉值。
具体的,图5为本发明实施例提供的信誉评估模块中用户信誉评估的流程示意图。用户信誉评估包括如下步骤:
(1)信誉评估模块调用监听接口,获取检测模块反馈的恶意用户地址列表Ma;
(2)信誉评估模块根据恶意用户地址列表Ma,查询用户身份信息表,将恶意用户地址列表Ma映射为恶意用户标识列表Mu;
(3)信誉评估模块调用身份认证智能合约获取用户身份认证记录信息UAI;
(4)信誉评估模块调用访问控制智能合约获取用户访问记录信息UVI;
(5)信誉评估模块用户认证记录UAI和用户访问记录UVI中的信息,采用用户信誉评估方法对恶意用户标识列表中Mu的用户信誉值进行计算;
具体的,上述信誉评估模块提供了一种细粒度安全管控方法,包括:对用户信誉值进行排序;对可疑用户流量实时阻断;对风险用户进行访问行为重访问控制;对危险用户进行身份重认证和通信行为重访问控制;
具体的,图6为本发明实施例提供的信誉评估模块中安全控制的流程示意图。安全控制包括如下步骤:
(1)信誉评估模块对生成的用户信誉值进行排序,生成用户信誉值由高到低所组成的用户信誉表Rt。
(2)信誉评估模块通过接口将用户信誉表Rt中后60%的用户信息SUI发送给接入网关,进行可疑用户SU流量实时阻断;
(3)信誉评估模块通过接口将用户信誉表Rt中前41%-70%的用户信息RUI发送给访问控制模块,进行风险用户RU访问行为重访问控制;
(4)信誉评估模块同过接口将用户信誉表Rt中后30%的用户信息DUI发送给身份认证模块,进行危险用户DU身份重认证和通信行为重访问控制;
实施例二
图7为本发明实例提供的一种基于身份的可信接入的装置的工作流程示意图,包括:身份认证模块对用户身份进行身份注册;身份认证模块对用户身份进行认证;访问控制模块生成用户访问控制结果;信誉评估模块对用户信誉进行评估;信誉评估模块依据用户信誉值,执行安全控制。
具体的,基于身份的可信接入控制方法包括如下步骤:
(1)用户向身份认证模块注册用户身份信息;
(2)身份认证模块向用户返回用户身份注册结果;
(3)用户向身份认证模块进行用户身份认证;
(4)身份认证模块向用户返回用户身份认证结果;
(5)用户向访问控制模块进行通信行为访问控制;
(6)访问控制模块向用户返回访问控制结果;
(7)用户根据访问控制结果,对资源进行访问;
(8)信誉评估模块实时获取检测模块反馈恶意用户地址;
(9)信誉评估模块对恶意用户地址进行映射,计算用户信誉值;
(10)信誉评估模块根据用户不同的信誉值,向接入网关、身份认证模块、访问控制模块发送恶意用户信息,执行细粒度的安全控制。
综上所述,本发明提供的一种基于身份的可信接入控制系统和方法,系统基于分布式区块链平台,由身份认证模块、访问控制模块、信誉评估模块组成,其中:身份认证模块构建用户属性与身份标识间的映射关系,利用区块链对用户身份凭据和认证记录进行存储,完成接入用户的身份注册与认证功能;访问控制模块结合区块链实现了用户访问行为的管控,基于资源属性、用户属性和设备属性生成访问控制策略,实现基于属性的用户细粒度访问控制;信誉评估模块综合考虑存储于区块链中的用户身份认证记录和访问行为记录,对用户身份信誉进行评估。同时,信誉评估模块通过身份认证模块和访问控制模块的反馈接口,将用户信誉反馈给身份认证模块和访问控制模块以实现细粒度的用户安全管控。本发明实施例可以对用户身份、通信行为、用户信誉进行实时动态的安全管控,可以提升网络的安全能力。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (7)
1.一种基于身份的可信接入控制系统,其特征在于,包括:
身份认证模块,用于基于接收的用户的身份注册信息和身份认证信息,构建用户属性与身份标识的映射关系,通过分布式区块链存储用户的身份注册信息、身份认证信息和认证过程记录信息;
访问控制模块,用于基于资源属性、用户属性和设备属性,对用户的资源访问请求进行控制;
信誉评估模块,用于基于存储的用户的身份认证信息和资源访问记录信息,计算获得存储的所有用户的信誉值;
所述访问控制模块还用于基于所有用户的信誉值,对所有用户进行排序和归类,并基于归类结果进行访问控制。
2.根据权利要求1所述的系统,其特征在于,
所述身份认证模块具体用于:
接收并映射用户的身份注册信息和身份认证信息;
通过调用身份认证智能合约,将用户的身份注册信息和身份认证信息存储在分布式区块链中;
向用户返回包含用户的属性信息的用户的身份注册信息和身份认证信息;
基于所述用户的身份注册信息和身份认证信息,通过身份认证智能合约,查询用户的密码和当前最新区块哈希值;
基于该当前最新区块哈希值和该用户的密码,生成用户认证挑战信息,发送包含该用户认证挑战信息的认证挑战信息的挑战报文,使得用户能够基于用户的密码和该挑战报文生成认证响应信息;
基于接收的该认证响应信息,与所述认证挑战信息进行比对,完成用户身份识别,并将识别结果存储在区块链中;
接收并映射资源访问请求;
通过调用身份认证和访问控制智能合约,对用户属性和资源属性进行策略匹配,获得访问控制结果;
向用户返回访问控制结果,并将访问控制结果存储在分布式区块链中;
所述信誉评估模块具体用于:
实时获得恶意用户地址;
通过查询用用户身份信息表,获得该恶意用户地址映射的用户标识列表;
通过调用行为管控智能合约,获得用户标识列表中对应用户的历史身份认证记录和历史用户访问记录,并基于该历史身份认证记录和历史用户访问记录计算生成所有用户的信誉值;
所述访问控制模块基于所有用户的信誉值,对所有用户进行排序和归类,并基于归类结果进行访问控制的过程包括:
对所述所有用户的信誉值进行排序;
基于该排序结果,对用户的信誉值排序前40%的用户不采取附加管控策略,对用户的信誉值排序后60%的用户进行流量实时阻断,对用户的信誉值排序前41%—70%的用户进行风险用户访问行为重访问控制,对用户的信誉值排序后30%的用户进行危险用户访问行为重访问控制。
3.根据权利要求2所述的系统,其特征在于,所述用户的身份注册信息包括:用户密钥、注册标识位、随机数、用户设备名、接入网关设备名、用户属性、用户密码和用户注册/认证标识;所述用户的身份认证信息包括:用户密钥、认证标识位、随机数、用户设备名、接入网关设备名、用户属性和用户注册/认证标识。
4.根据权利要求2所述的系统,其特征在于,所述的基于该历史身份认证记录和历史用户访问记录计算生成用户的信誉值具体包括:
基于历史身份认证记录和历史用户访问记录获得用户历史认证成功次数、用户历史认证总次数、用户历史访问成功次数和用户历史访问总次数;
通过式
计算生成用户的信誉值。
5.一种基于身份的可信接入控制方法,其特征在于,包括用户身份认证过程、通信行为管控过程、用户信誉评估过程和安全控制过程;
所述的用户身份认证过程包括:基于接收的用户的身份注册信息和身份认证信息,构建用户属性与身份标识的映射关系,通过分布式区块链存储用户的身份注册信息、身份认证信息和认证过程记录信息;
所述的通信行为管控过程包括:基于资源属性、用户属性和设备属性,对用户的资源访问请求进行控制;
所述的用户信誉评估过程包括:基于存储的用户的身份认证信息和资源访问记录信息,计算获得存储的所有用户的信誉值;
所述的安全控制过程包括:基于所有恶意用户的信誉值,对所有恶意用户进行排序和归类,并基于归类结果进行访问控制。
6.根据权利要求5所述的方法,其特征在于,
所述的用户身份认证过程具体包括:
接收并映射用户的身份注册信息和身份认证信息;
通过调用身份认证智能合约,将用户的身份注册信息和身份认证信息存储在分布式区块链中;
向用户返回包含用户的属性信息的用户的身份注册信息和身份认证信息;
基于所述用户的身份注册信息和身份认证信息,通过身份认证智能合约,查询用户的密码和当前最新区块哈希值;
基于该当前最新区块哈希值和该用户的密码,生成用户认证挑战信息,发送包含该用户认证挑战信息的认证挑战信息的挑战报文,使得用户能够基于用户的密码和该挑战报文生成认证响应信息;
基于接收的该认证响应信息,与所述认证挑战信息进行比对,完成用户身份识别,并将识别结果存储在区块链中;
所述的通信行为管控过程具体包括:
接收并映射资源访问请求;
通过调用身份认证和访问控制智能合约,对用户属性和资源属性进行策略匹配,获得访问控制结果;
向用户返回访问控制结果,并将访问控制结果存储在分布式区块链中;
所述的用户信誉评估过程包括:
实时获得恶意用户地址;
通过查询用用户身份信息表,获得该恶意用户地址映射的用户标识列表;
通过调用行为管控智能合约,获得用户标识列表中对应用户的历史身份认证记录和历史用户访问记录,并基于该历史身份认证记录和历史用户访问记录计算生成所有用户的信誉值;
所述的安全控制过程包括:
对所述所有用户的信誉值进行排序;
基于该排序结果,对用户的信誉值排序前40%的用户不采取附加管控策略,对用户的信誉值排序后60%的用户进行流量实时阻断,对用户的信誉值排序前41%—70%的用户进行风险用户访问行为重访问控制,对用户的信誉值排序后30%的用户进行危险用户访问行为重访问控制。
7.根据权利要求6所述的方法,其特征在于,所述的基于该历史身份认证记录和历史用户访问记录计算生成用户的信誉值具体包括:
基于历史身份认证记录和历史用户访问记录获得用户历史认证成功次数、用户历史认证总次数、用户历史访问成功次数和用户历史访问总次数;
通过式
计算生成用户的信誉值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111116736.1A CN113839945B (zh) | 2021-09-23 | 2021-09-23 | 一种基于身份的可信接入控制系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111116736.1A CN113839945B (zh) | 2021-09-23 | 2021-09-23 | 一种基于身份的可信接入控制系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113839945A true CN113839945A (zh) | 2021-12-24 |
| CN113839945B CN113839945B (zh) | 2023-05-19 |
Family
ID=78969545
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111116736.1A Active CN113839945B (zh) | 2021-09-23 | 2021-09-23 | 一种基于身份的可信接入控制系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113839945B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051851A (zh) * | 2022-06-09 | 2022-09-13 | 北京交通大学 | 物联网场景下的用户访问行为管控系统和方法 |
| CN115277201A (zh) * | 2022-07-27 | 2022-11-01 | 国网河南省电力公司信息通信公司 | 一种动态代码封装的网站防御系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070008937A1 (en) * | 2003-07-22 | 2007-01-11 | Thomson Licensing S.A. | Method and apparatus for controlling credit based access (prepaid) to a wireless network |
| CN105282160A (zh) * | 2015-10-23 | 2016-01-27 | 绵阳师范学院 | 基于信誉的动态访问控制方法 |
| WO2020122292A1 (ko) * | 2018-12-14 | 2020-06-18 | 부경대학교 산학협력단 | 블록체인 기반의 익명 메시지 전달자 평판 시스템 및 평판 평가 방법 |
| CN111327568A (zh) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | 身份认证方法和系统 |
| CN111459769A (zh) * | 2020-03-31 | 2020-07-28 | 贵州电网有限责任公司 | 一种网络资源的数据展示方法及系统 |
| CN113115315A (zh) * | 2021-04-02 | 2021-07-13 | 青岛科技大学 | 一种基于区块链的iot设备行为可信监管方法 |
-
2021
- 2021-09-23 CN CN202111116736.1A patent/CN113839945B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070008937A1 (en) * | 2003-07-22 | 2007-01-11 | Thomson Licensing S.A. | Method and apparatus for controlling credit based access (prepaid) to a wireless network |
| CN105282160A (zh) * | 2015-10-23 | 2016-01-27 | 绵阳师范学院 | 基于信誉的动态访问控制方法 |
| WO2020122292A1 (ko) * | 2018-12-14 | 2020-06-18 | 부경대학교 산학협력단 | 블록체인 기반의 익명 메시지 전달자 평판 시스템 및 평판 평가 방법 |
| CN111327568A (zh) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | 身份认证方法和系统 |
| CN111459769A (zh) * | 2020-03-31 | 2020-07-28 | 贵州电网有限责任公司 | 一种网络资源的数据展示方法及系统 |
| CN113115315A (zh) * | 2021-04-02 | 2021-07-13 | 青岛科技大学 | 一种基于区块链的iot设备行为可信监管方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王海勇;潘启青;郭凯璇;: "基于区块链和用户信用度的访问控制模型" * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051851A (zh) * | 2022-06-09 | 2022-09-13 | 北京交通大学 | 物联网场景下的用户访问行为管控系统和方法 |
| CN115277201A (zh) * | 2022-07-27 | 2022-11-01 | 国网河南省电力公司信息通信公司 | 一种动态代码封装的网站防御系统 |
| CN115277201B (zh) * | 2022-07-27 | 2023-09-26 | 国网河南省电力公司信息通信公司 | 一种动态代码封装的网站防御系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113839945B (zh) | 2023-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11973781B2 (en) | Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking | |
| US7752320B2 (en) | Method and apparatus for content based authentication for network access | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| CN113839945B (zh) | 一种基于身份的可信接入控制系统和方法 | |
| CN111464563A (zh) | 一种工业控制网络的防护方法及对应的装置 | |
| Li et al. | BCTrustFrame: enhancing trust management via blockchain and IPFS in 6G era | |
| Hasan et al. | Towards a threat model and privacy analysis for v2p in 5g networks | |
| Kotenko et al. | Detection of stego-insiders in corporate networks based on a hybrid NoSQL database model | |
| CN111585813A (zh) | 一种物联网环境下网络节点的管理方法及系统 | |
| US11991192B2 (en) | Intruder detection for a network | |
| Feng et al. | Autonomous Vehicles' Forensics in Smart Cities | |
| Ganeshkumar et al. | Strategies of cybercrime: Viruses and security sphere | |
| CN116633693B (zh) | 一种基于全要素网络标识的可信安全网关实现方法 | |
| Sharma et al. | Fog computing: An overview of IoT applications with security issues and challenges | |
| Vaca | An Ensemble Learning Based Multi-level Network Intrusion Detection System for Wi-Fi Dominant Networks | |
| US20240187437A1 (en) | Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking | |
| Plósz | Security and safety services for automation IoT systems and their application for mobile visual localization | |
| Kumar et al. | Hybrid Encryption Model for Protecting the Stakeholders’ Data in NGWN Environment | |
| Gupta et al. | 1 Fog Computing and Its Security Challenges | |
| Razouk et al. | A new approach based on fog and cloud to provide security for Internet of Things constrained devices | |
| CN117097546A (zh) | 一种终端安全微隔离方法、装置、设备及存储介质 | |
| CN117834195A (zh) | 一种云主站安全防护系统、方法、设备和存储介质 | |
| Vieweg | A Concept for a Trustworthy Integration of Smartphones in Business Environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |