CN114070573A - 一种网络访问的认证方法、装置与系统 - Google Patents

一种网络访问的认证方法、装置与系统 Download PDF

Info

Publication number
CN114070573A
CN114070573A CN202010773072.5A CN202010773072A CN114070573A CN 114070573 A CN114070573 A CN 114070573A CN 202010773072 A CN202010773072 A CN 202010773072A CN 114070573 A CN114070573 A CN 114070573A
Authority
CN
China
Prior art keywords
service
access request
block
service access
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010773072.5A
Other languages
English (en)
Inventor
陈善席
林俊杰
梁乔忠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alpha Cloud Computing Shenzhen Co ltd
Original Assignee
Alpha Cloud Computing Shenzhen Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alpha Cloud Computing Shenzhen Co ltd filed Critical Alpha Cloud Computing Shenzhen Co ltd
Priority to CN202010773072.5A priority Critical patent/CN114070573A/zh
Publication of CN114070573A publication Critical patent/CN114070573A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出一种网络访问的安全认证方法,所述安全认证方法应用于云端,所述云端还包括业务服务集群,所述业务服务集群包含至少一个业务服务。所述安全认证方法为:接收业务访问请求消息,根据所述业务访问请求消息确定业务访问源端与业务访问的关联端,根据所述源端与关联端的相关信息,验证所述业务关联的真实性,从而确定所述业务访问及相关接入设备的安全性。这种通过业务关联的真实性作安全认证的方法,能够更准确地识别与拦截业务风险,减少云计算环境下因为接入的灵活性与不确定带来的安全困扰,从而提供更高等级的云安全服务,加快云业务的普及过程。

Description

一种网络访问的认证方法、装置与系统
技术领域
本申请涉及云业务的安全认证,主要为零信任网络安全架构下业务访问过程中的安全认证。
背景技术
随着云计算的普及与业务云化全面实施,业务应用与业务服务的环境变得跟传统IT架构有很大不同。一方面是业务应用与业务服务的接入形式越来越无法限制,另一方面是云化后的业务部署边界也越来越模糊。这就给云化业务安全带来了挑战。
因应这种挑战,人们提出了零信任(Zero Trust)的网络安全架构,并在谷歌BeyongCorp方案之上,对这类安全架构作了更多的细化与改进。所谓零信任网络,另一个名词叫做无边界网络,它可以在不增加安全基础能力的情况下,通过安全架构的重组与安全设备的重新部署,来应对云化环境的安全挑战、满足云化业务场景的安全要求。但云化场景下,更灵活与更不可控的业务接入方式本身会带来安全基础能力的挑战,如业务关联性欺诈、发起端高仿作假等。所有这些因为业务接入灵活性带来的深度安全问题,并不在安全架构重组与安全能力重新部署的目标之内。
发明内容
因此,本申请提出基于零信任网络的一种基础安全能力的网络访问认证方法、以解决上述业务关联性欺诈等深度安全问题。这些方法,应用于不特定的端侧、设备、系统甚至数据中心或云化中心,从而构成一种面向零信任网络的网络访问装置与系统。为此,本发明:
一方面,提出一种云业务的安全认证方法,所述安全认证方法应用于云端,所述云端还包括业务服务集群,所述业务服务集群包含至少一个业务服务。所述安全认证方法的特征在于,包括:
接收第一源端的业务访问请求消息,所述业务访问请求指向对至少一个业务服务的访问,所述业务访问请求消息还包括第一源端标识与第二关联端标识;解析所述业务访问请求消息中的第一源端标识与第二关联端标识,所述第二关联端标识包含一个或多个标识,所述第一源端标识与所述第二关联端标识用于指示所述业务访问的关联性;根据所述第一源端标识与所述第二关联端标识,验证所述业务关联真实性。进一步,还包括,解析业务访问请求消息中所包含的业务访问序号;发送业务关联性请求消息,所述业务关联性请求消息发送给所述业务服务,所述业务关联性请求消息包含所述业务访问序号与所述第一源端标识。进一步,还包括,接收业务关联性应答消息,所述业务关联性应答消息发送自所述业务服务;根据所述应答消息中所包含的关联端标识,验证所述业务关联真实性。进一步,还包括,解析并获取所述业务访问请求消息中所对应的业务访问请求上链区块标识,所述上链区块作为操作日志记录所述业务访问请求,所述区块标识用于唯一标识所述上链区块;发送上链区块核查消息,所述核查消息发送给所述关联端标识对应的关联端,所述核查消息包含所述区块标识。进一步,还包括,接收所述关联端对所述上链区块核查消息的应答消息;根据所述应答消息,得到作为所述业务访问请求操作日志的所述区块对所述关联端的可访问性;根据所述可访问性,确认所述业务关联真实性。进一步,还包括,获取所述业务访问请求消息中所对应的业务访问请求上链区块标识,所述上链区块作为操作日志记录所述业务访问请求,所述区块标识用于唯一标识所述上链区块;根据所述上链区块标识,确认区块链上是否存在对应目标区块;根据对所述目标区块的确认结果,验证所述业务关联真实性。进一步,还包括,解析并取得第一上链区块标识,所述第一上链区块标识对应于第一上链区块,所述第一上链区块包含第一业务访问请求的操作日志,所述第一业务访问请求为所述第一源端的业务访问请求;解析并取得第二上链区块标识,所述第二上链区块标识对应于第二上链区块,所述第二上链区块包含一个或多个区块,所述第二上链区块包含第二业务访问请求的操作日志,所述第二业务访问请求为所述第一业务访问请求的关联业务访问请求,所述第二业务访问请求为来自于所述第二关联端的业务访问请求;根据所述第一上链区块标识与所述第二上链区块标识,确认区块链上是否存在对应目标区块;根据对所述目标区块的确认结果,验证所述业务关联真实性。
在一个为各种形态与方式的业务接入作服务的、包含业务服务与安全认证能力的数据中心或云化环境中,通过提供一种业务关联作真实性认证的安全认证方法,可以大大提升部署于云化场景中的业务服务的安全性。所述安全认证方法包含如下安全认证过程:接收来自于源端的业务访问请求消息,所述业务访问请求消息中包含所述源端的标识以及跟所述业务访问请求相关联业务的关联源端的标识;从所述业务访问请求消息中提取所述源端标识与所述关联端标识;根据所述源端标识与所述关联端标识,验证所述业务关联真实性。所述对业务关联真实性的验证方法,进一步,还包括从所述业务访问请求消息中提取所包含的业务访问序号,根据所述业务访问序号与所述源端标识及所述关联端标识,生成业务关联性核实请求消息,将所述核实请求消息发送给所述业务服务;接收所述业务服务对所述核实请求消息的回应消息,从所述回应消息中取得业务关联真实性结果,从而得到确认后的业务关联真实性。所述对业务关联真实性的验证方法,进一步,还包括获取跟所述业务访问请求消息所对应的业务访问请求上链区块标识;生成上链区块核查消息,所述核查消息中包含所述上链区块标识,发送所述核查消息到所述关联端标识对应的关联端;接收来自于所述关联端的核查结果消息,所述核查结果消息为对所述核查消息的应答;从所述核查结果消息中取得所述上链区块对所述关联端的可访问性,根据所述可访问性,核验所述业务关联真实性。所述对业务关联真实性的验证方法,进一步,还包括获取跟所述业务访问请求消息所对应的业务访问请求上链区块标识,根据所述上链区块标识,确认是否存在所述区块标识对应的目标区块,根据对所述目标区块是否存在的确认结果,核验所述业务关联真实性。所述对业务关联真实性的验证方法,进一步,还包括获取跟所述业务访问请求消息所对应的业务访问请求上链区块标识,所述业务访问请求上链区块标识为第一区块标识,所述第一区块标识对应第一区块,所述第一区块作为所述业务访问请求操作的操作日志记录体,所述业务访问请求操作来自于第一源端,所述业务请求操作对应于关联业务请求操作,所述关联业务请求操作来自于第二关联端;取得第二上链区块标识,所述第二区块标识对应于第二区块,所述第二区块包含一个或多个区块,所述第二区块作为所述关联业务访问请求操作的操作日志记录体;根据所述第一区块标识与所述第二区块标识,确认区块链上是否存在对应目标区块;根据所述是否存在目标区块的确认结果,验证所述业务关联真实性。
这样,实施了包含上述部分或全部方法与步骤的产品与服务系统,能够基于云端增强的安全能力作业务关联的真实性认证,识别与拦截业务风险,减少云计算环境下因为接入的灵活性与不确定带来的安全困扰,从而提供更高等级的云安全服务,加快云业务的普及过程。
另一方面,提出一种基于云端增强的安全能力作业务关联性认证的系统与装置,所述系统与装置包含访问控制单元,所述访问控制单元一方面连接发出业务访问请求的接入端设备,再一方面连接提供服务的业务服务端,另一方面,在必要情况下连接到安全策略控制器,以及其它云化的安全能力设备。进一步,所述执行关联性认证的访问控制单元,包括:
认证接入前端模块:该模块用于提供业务访问的认证接入与安全认证拦截等功能。如果云化场景下需要将业务访问与安全认证以负载均衡方式部署,则该模块需要实现将业务访问请求消息向另一个访问控制单元作前转等;
区块链客户端:该客户端用于提供操作日志的上链请求、上链区块的查询以及区块内容的查询能力、根据区块标识来判别目标区块是否存在或是否可访问、从而为业务关联真实性判断提供依据;
认证策略客户端:该客户端用于根据整个系统的安全认证策略来决定业务关联真实性的认证,如关联真实性认证的级别设置、作为业务访问请求操作日志的区块副本模式等;
终端认证模块:该模块提供针对终端身份的安全认证与控制授权的功能;
用户认证模块:该模块提供针对用户身份的安全认证与控制授权的功能;
业务认证模块:该模块提供针对业务服务的前置安全认证与控制授权的功能;
关联认证模块:该模块用于提供业务关联的真实性认证,如通过业务服务端维护的业务关联信息、或者通过业务访问请求操作日志上链区块的可见性等,来验证目标业务请求所给出关联的真实性;
认证接入后端模块:该模块提供授权与认证后的消息向业务服务后转的功能,从而使用确认安全的业务访问请求消息可达对应的业务服务。
本发明提出的上述模块,同产品实际实施时所需要的其它单元、模块以及相关平台与相关引擎一起,共同实现一个面向云化服务的业务关联性认证装置。体现在:业务关联性认证装置接收来自于源端的业务访问请求消息,所述业务访问请求消息中包含所述源端的标识以及跟所述业务访问请求相关联业务的关联源端的标识;业务关联性认证装置从所述业务访问请求消息中提取所述源端标识与所述关联端标识;根据所述源端标识与所述关联端标识,业务关联性认证装置验证所述业务关联真实性。所述对业务关联真实性的验证方法,进一步,还包括,业务关联性认证装置从所述业务访问请求消息中提取所包含的业务访问序号,根据所述业务访问序号与所述源端标识及所述关联端标识,生成业务关联性核实请求消息,将所述核实请求消息发送给所述业务服务;业务关联性认证装置接收所述业务服务对所述核实请求消息的回应消息,从所述回应消息中取得业务关联真实性结果,从而得到确认后的业务关联真实性。所述对业务关联真实性的验证方法,进一步,还包括,业务关联性认证装置获取跟所述业务访问请求消息所对应的业务访问请求上链区块标识;业务关联性认证装置生成上链区块核查消息,所述核查消息中包含所述上链区块标识,发送所述核查消息到所述关联端标识对应的关联端;业务关联性认证装置接收来自于所述关联端的核查结果消息,所述核查结果消息为对所述核查消息的应答;业务关联性认证装置从所述核查结果消息中取得所述上链区块对所述关联端的可访问性,根据所述可访问性,核验所述业务关联真实性。所述对业务关联真实性的验证方法,进一步,还包括,业务关联性认证装置获取跟所述业务访问请求消息所对应的业务访问请求上链区块标识,根据所述上链区块标识,确认是否存在所述区块标识对应的目标区块,根据对所述目标区块是否存在的确认结果,核验所述业务关联真实性。所述对业务关联真实性的验证方法,进一步,还包括,业务关联性认证装置获取跟所述业务访问请求消息所对应的业务访问请求上链区块标识,所述业务访问请求上链区块标识为第一区块标识,所述第一区块标识对应第一区块,所述第一区块作为所述业务访问请求操作的操作日志记录体,所述业务访问请求操作来自于第一源端,所述业务请求操作对应于关联业务请求操作,所述关联业务请求操作来自于第二关联端;业务关联性认证装置取得第二上链区块标识,所述第二区块标识对应于第二区块,所述第二区块包含一个或多个区块,所述第二区块作为所述关联业务访问请求操作的操作日志记录体;根据所述第一区块标识与所述第二区块标识,业务关联性认证装置确认区块链上是否存在对应目标区块;根据所述是否存在目标区块的确认结果,业务关联性认证装置验证所述业务关联真实性。
这样,实施了包含上述部分或全部方法与步骤的产品与服务系统,能够基于云端增强的安全能力作业务关联的真实性认证,识别与拦截业务风险,减少云计算环境下因为接入的灵活性与不确定带来的安全困扰,从而提供更高等级的云安全服务,加快云业务的普及过程。
另一方面,提供了一种计算机可读存储介质,该计算机存储介质存储有程序指令,该程序指令当被处理器运行时,该处理器(分别)具有执行上述关于方法的实施过程。
另一方面,提供了一种管理的装置,包括存储组件,处理组件和通信组件,存储组件,处理组件和通信组件相互连接。其中,存储组件用于存储数据处理代码,通信组件用于与外部设备进行信息交互;处理组件被配置用于调用程序代码,分别行使上述关于装置的功能。
附图说明
为了更清楚地说明本发明实施的技术方案,更清楚地阐述发明目标的达成要素、方式与过程,下面将对本发明实施中所需要使用的附图进行说明:
图1是本申请所提出发明的系统组成图之一;
图2是本申请所提出发明的系统组成图之一;
图3是本申请所提出发明的系统组成图之一;
图4是本申请所提出发明的系统组成图之一;
图5是本申请所提出发明的系统组成图之一;
图6是本申请所提出发明的系统组成图之一;
图7是本申请所提出发明的系统组成图之一;
图8是本申请所提出发明的实现操作执行流程之一;
图9是本申请所提出发明的实现操作执行流程之一;
图10是本申请所提出发明的实现操作执行流程之一;
图11是本申请所提出发明的实现操作执行流程之一;
图12是本申请所提出发明的实现操作执行流程之一。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例进行描述。
本申请的说明书和权利要求书及所述附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象,而不是用于描述特定顺序。此外,“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本申请书中使用的术语“服务器”、“设备”、“装置”、“单元”、“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如,服务器可以是但不限于,处理器,数据处理平台,计算设备,计算机,两个或更多个计算机等;单元可以是但不限于,在处理器上运行的进程、可运行对象、可执行文件、执行线程、或其它任何可执行的计算机程序。一个或多个单元可驻留在进程和/或执行线程中,一个单元也可位于一个计算机上和/或分布在2个或更多个计算机之间。此外,这些单元可从在上面存储有各种数据结构的各种计算机可读介质执行。单元可根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一单元交互的二个单元的数据,例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。
首先,对本申请中的部分用语进行解释说明,以便于本领域技术人员理解。所列用语包含如下:
(1) 云计算:即Cloud Computing,指那种拥有集成度优势、连接在网络环境中、以服务方式向用户提供计算、存储、网络甚至功能软件的新型计算范式。这种新的计算范式跟旧有的计算范式的差异,体现在可感观与可用性上就是,它对用户而言并不存在可见的固定形态、也没有固定的物理边界、甚至基本不存在无资源可用的状态,故被叫做云计算。云计算打破原有范式下的计算使用方式,因此对原有范式下的安全形成严峻的挑战;
(2) 零信任网络:也叫做无边界网络。前云计算的网络范式是基于边界的,即划分某个物理边界,在这个边界的两侧有完全不同的权限(是否信任)与安全(是否可复制)。云计算带来对网络边界的重大突破,因此它要求一种新的网络安全范式。这种新安全范式下,组织网络不再基于网络边界或者简单信任,故叫做零信任网络,或者叫做无边界网络;
(3) 区块链:也叫分布式账本。区块链属于广义的分布式存储技术的一种,但它更强调“去中心化”概念。相比于一般的去中心化存储,区块链技术的特点有:以区块为副本的扩散机制,关联区块间的链式结构。在区块链的发展过程中,出现了新的技术特征:智能合约机制。考虑到副本传播机制,尤其是全网完全副本的情况,很少有将区块用来保存作为原内容的数据,即通常用区块来存储作为“凭证”或“日志”等管理或验证类的数据;
(4) 关联性:这里指业务服务的关联性。业务服务的关联性是用来说明,业务接入端在开户正常的业务访问请求中,需要以在线方式获取协作甚至授权等而形成的相关性。这种关联性,可以成为业务访问过程中的安全认证要素之一。
其次,对本发明的目标问题、解决目标问题的技术方法作概览。随着云计算的普及,云化业务服务的接入方式、尤其是针对组织机构所提供业务服务的接入,会面临越来越复杂的情况。因应这种复杂的业务服务与接入方式,业界提出并实施基于无边界的零信任网络,以重构安全能力与重新部署安全组件来应对这种挑战。但这种重构的方式,并没有针对性为那些更深层次的安全风险而增加防护抵御与抗击能力。本发明即通过业务关联性的识别、确认与保障方法,来提升云化业务的安全能力。
再次,结合各附图,对发明内容作进一步的阐述。其中:
如图1为本申请所提出发明的系统组成图之一。该组成图示意了实现本发明所提出业务关联性验证所需要的基本结构与连接组成方式。其中所包含的基本组成结构中包含业务接入的端侧设备、对业务接入作访问控制的云侧设备、业务集群单元或业务集群设备等;连接组成方式包含通常的传输网络、基于区块链的网络等。其中:101所示为业务接入设备之一,102所示为业务接入设备之一,103所示为实施业务访问控制的访问控制设备,104所示为提供业务服务的业务服务集群,105所示为区块链设备、或者区块链系统,所述区块链根据策略设置副本数与副本部署方式;111所示为提供系统访问接入的前端网络,112所示为提供区块所保存日志提交与访问的区块链网络,113为连接到业务服务的后端网络。
如图2为本申请所提出发明的系统组成图之一。该图示意了零信任网络安全架构下的一种针对访问接入作负载均衡与多点部署的网络部署结果。其中:
201~209-业务接入设备:该设备针对业务服务的业务访问提供接入能力。在进行业务访问时,通过系统的负载策略,这些设备连接到所分配的访问控制设备上;
211~216-访问控制设备:该设备向接入设备提供访问控制,从而为业务服务提供安全认证;
221~222-业务集群:该集群设备提供具体的、可能相同、也可能不同类型的业务服务;
231-策略控制器:该策略控制器用来向访问控制器提供与下发安全策略,所述安全策略包括关联性验证的深浅等。
如图3为本申请所提出发明的系统组成图之一。该图示意了业务接入设备与访问控制设备对于业务访问请求时的安全认证的功能组成与模块分解。其中,300所示为业务接入设备,310为访问控制设备的访问控制单元,320为业务集群。进一步,300与310还包括:
301-业务管理单元:该单元提供业务访问的用户端能力以及必要的用户端界面。进一步,所述业务管理单元还包括302;
302-业务认证客户端:该客户端提供业务服务的连接初始化能力,并基于安全策略维护跟业务服务连接的信息,在必要时将这些信息作为认证要素用于业务服务的访问请求消息中;进一步,该客户端还具有跟云端的业务认证功能协商与维护访问请求所需要的加密机制与加解密密钥。进一步,根据业务访问请求的关联性,该客户端维护跟业务访问请求的关联性信息,在必要时提供这些信息以用于业务服务的访问请求消息中;
303-用户管理单元:该单元提供用户身份相关的管理能力与用户端界面。进一步,所述业务管理单元还包括304;
304-用户认证客户端:该客户端提供用户身份信息的动态维护能力,在必要时提供这些信息作为认证要素以用于业务服务的访问请求消息中;进一步,该客户端还具有跟云端的用户认证功能协商与维护访问请求所需要的加密机制与加解密密钥等;
305-终端管理单元:该单元提供接入设备所需要的管理功能以及用户端界面,进一步所述管理单元还包括306;
306-终端认证客户端:该客户端提供终端管理信息的动态维护能力,在必要时提供这些信息作为认证要素以用于业务服务的访问请求消息中;进一步,该客户端还具有跟云端的终端认证功能协商与维护访问请求所需要的加密机制与加解密密钥等;
307-安全认证客户端:该客户端提供业务访问消息中的安全认证所需认证要素。必要时,所述客户端或者通过跟业务认证客户端交互、或者跟用户客户端交互、或者跟终端认证客户端交互、或者跟这三者中的任何一个或全部进行交互,从而获取到其所维护的必要认证信息,将这些信息组合到业务访问请求消息中;
308-区块链客户端:该客户端用于提供操作日志的上链请求、上链区块的查询以及区块内容的查询能力;
311-认证接入前端模块:该模块用于提供业务访问的认证接入与安全认证拦截等功能。如果云化场景下需要将业务访问与安全认证以负载均衡方式部署,则该模块实现将业务访问请求消息向另一个访问控制单元作前转等;
312-业务认证模块:该模块提供针对业务服务的前置安全认证与控制授权的功能;
313-用户认证模块:该模块提供针对用户身份的安全认证与控制授权的功能;
314-终端认证模块:该模块提供针对终端身份的安全认证与控制授权的功能;
315-认证接入后端模块:该模块提供授权与认证后的消息向业务服务后转的功能,从而使用确认安全的业务访问请求消息可达对应的业务服务;
316-认证策略客户端:该客户端用于根据整个系统的安全认证策略来决定业务关联真实性的认证,如关联真实性认证的级别设置、作为业务访问请求操作日志的区块副本模式等;
318-区块链客户端:该客户端用于提供操作日志的上链请求、上链区块的查询以及区块内容的查询能力、根据区块标识来判别目标区块是否存在或是否可访问、从而为业务关联真实性判断提供依据。
如图4为本申请所提出发明的系统组成图之一。该图示意了业务接入设备与访问控制设备对于访问接入时的安全认证的功能组成与分解,所述功能组成包含图3所示的所有单元、模块与客户端,还包含图4所具有的417所示的关联认证模块。进一步:
315-认证接入后端模块:该模块进一步还提供获取目标业务访问请求消息所对应的业务关联信息的功能;
417-关联认证模块:该模块提供关联认证功能,所述关联认证执行从业务访问请求消息获得跟业务序号或业务消息序号,根据所述序号来请求验证业务关联性信息、并验证业务关联的真实性。
如图5为本申请所提出发明的系统组成图之一。该图示意了作为链式存储的区块链的实现方式。其中,510所示为入链区块所组成的链式网络,550所示为一个或多个待入链区块的情况。510包含由520~530所示的至少一个入链区块。520所示为初始块,即链式结构中的第一个入链区块,530与540所示为所有入链区块中的两个后续块。进一步:
521-区块头:该区块头包含522所示的根哈希、523所示的前块指针与524所示的时间戳记录;
522-根哈希:该根哈希用于指示初始区块的哈希值;
523-前块指针:该指针用于指示前一区块,或者存储前一区块的哈希值;
524-时间戳:该时间戳用于记录对应区块的生成时间;
526-块数据:该块数据用于表示上链区块所记录的内容,它主要由两部分构成,即527所示作为操作日志的访问请求,以及528所示的日志摘要;
527-访问请求日志:该访问请求日志包含至少一条日志,所述日志用于记录接入端对业务服务的访问请求操作,从而使得这些请求操作可以作为上链日志得以记录、以方便后续对操作过程作回溯核查;
528-日志摘要:该摘要用于记录针对操作日志生成的摘要或指纹信息,从而使得摘要内容的真实性具有进一步的核实等作用。
如图6为本申请所提出发明的系统组成图之一。该图示意了基于区块链功能的业务访问请求关联性验证的功能组成,所述功能组成主要包含区块链客户端、以及基于区块记录信息来组织关联性验证所需要的操作要素。图6示意了接入设备(610所示或630所示)与访问控制设备(620所示)基于操作要素的组成情况。进一步:
611/631-区块链客户端M/N:该客户端运行在接入设备上,用于对访问请求操作日志的上链与操作核查;
612/632-信息管理模块:该模块用于缓存区块内跟业务访问请求消息相关的信息;
613/633-区块索引信息:该索引信息用于维护跟业务访问请求的操作日志相关的区块信息,如通过Key/Value来维护操作日志与区块的双向快速查找、或者业务访问请求消息的序号跟区块标识的双向快速查找等;
614/634-区块内容摘要:该内容摘要用于维护业务访问请求的操作日志摘要,如通过Key/Value来维护操作日志与业务访问请求消息序号的双向快速查找等;
622-区块链客户端:该客户端运行在访问控制设备上,用于核查相关访问请求消息对应的区块及上链日志;
623-信息管理模块:该模块用于缓存跟访问请求消息相关的区块信息。
如图7为本申请所提出发明的系统组成图之一。该图示意了一种基于子网关系而作安全认证的访问控制功能组成与连接关系。其中,700示意了由认证终端与非认证终端组成的用户子网之一,710示意了业务访问网关,720示意了由业务服务与相关功能组成的业务子网之一,730示意了由访问控制与安全认证功能组成的接入网关。进一步:
701-认证接入终端:该认证接入终端包含发明的至少三方面功能:用户UI、区块链客户端以及安全认证客户端;
702-业务应用与用户UI:该用户UI提供业务应用与用户输入输出等交互界面;
703-安全认证客户端:该客户端提供针对安全认证的信息封装功能,如针对终端设备的安全认证信息、针对用户身份的安全认证信息、针对业务应用的安全认证信息等认证要素到业务访问请求消息的封装;
704-区块链客户端:该客户端提供对访问请求操作日志的上链与操作核查等功能;
705-非认证接入终端:该终端提供包含发明的至少三方面功能:用户UI、区块链客户端以及安全认证客户端;
706-业务应用与用户UI:该用户UI提供业务应用与用户输入输出等交互界面;
707-安全认证客户端:该客户端提供针对安全认证的信息封装功能,如针对用户身份的安全认证信息、针对业务应用的安全认证信息等认证要素到业务访问请求消息的封装;
708-区块链客户端:该客户端提供对访问请求操作日志的上链与操作核查等功能;
711-业务集成代理:该代理提供业务访问请求消息所对应业务服务的定位与负载均衡功能;
712-业务访问代理:该代理提供业务访问请求消息到所对应业务服务的消息前转与回传功能;
721-业务服务:该业务服务为接入端提供业务访问请求消息所需要的业务响应与数据加工的功能;
722-可信信息收集模块:该模块针对活动业务服务连接来收集业务关联信息,所述关联性信息包括但不限于请求与回应的消息序号、网络连接地址与端口、业务服务内部编号等;
723-可信信息反馈模块:该模块用于向认证模块提供业务服务的关联信息,以此协助作业务关联的真实性验证;
731-认证接入前端模块:该模块用于从业务访问请求消息中提取安全认证所需要的认证要素,并针对待进行安全认证的请求消息作缓存与中转队列,以增加安全认证的并发能力;
732-认证单元:该单元包含终端认证模块、用户认证模块、业务认证模块、关联认证模块等访问控制与安全认证相关的功能模块;
733-区块链客户端:该客户端提供目标区块的查询确认功能;
734-终端认证模块:该模块提供针对终端身份的安全认证与控制授权的功能;
735-用户认证模块:该模块提供针对用户身份的安全认证与控制授权的功能;
736-业务认证模块:该模块提供针对业务服务的前置安全认证与控制授权的功能;
737-关联认证模块:该模块提供针对业务服务关联的真实性认证功能;
738-认证接入后端模块:该模块提供安全认证的后端功能,包括但不限于关联信息的查询确认功能等。
如图8为本发明提出的操作执行流程之一。该图示意了从设备启动到业务服务运转过程的全部实现流程。所述实现流程,主要包含设备、用户、业务等的安全认证与业务服务所需要的运行过程。进一步:
01A-设备启动:该操作用于指示设备被加电的启动过程;
01B-终端认证请求:该操作用于在接入设备侧向云服务中心发送终端认证的消息,认证成功完成后,云服务中心会将认证设备加入已认证的列表中;相反的,如果存在因后续操作的认证失败或业务请求过程将该设备标识为不可信的情况,云服务中心会将该设备从已认证的列表中剔除;
01C-用户客户端启动:该操作用于表示接入设备内里的用户管理客户端的启动过程;
01D-用户身份认证请求:该操作用于在接入设备侧向云服务中心发送用户身份认证的消息,认证成功完成后,云服务中心会将用户身份加入已认证的列表中;相反的,如果存在因后续操作的认证失败或业务请求过程将该用户标识为不可信的情况,云服务中心会将该用户从已认证的列表中剔除;
01E-业务模块启动:该操作用于表示接入设备内的业务功能模块的启动过程;
01F-业务模块认证请求:该操作用于在接入设备侧向云服务中心发送业务认证的消息,认证成功完成后,云服务中心会将业务客户端加入已认证的列表中;相反的,如果存在因后续操作的认证失败或业务请求过程将该用户标识为不可信的情况,云服务中心会将该用户从已认证的列表中剔除;
01G-准备业务访问:该操作用于执行打包业务访问请求消息的功能;
01H-准备综合认证:该操作用于针对业务访问请求消息加入综合认证所需要的信息内容,如已经通过安全认证的设备信息、用户身份信息、业务客户端信息等;
01J-发送综合认证:该操作用于发送加入综合认证信息的业务访问请求消息;
01K-终端执行业务操作:该操作用于在终端通过综合安全认证后执行正常的业务操作。
如图9为本发明提出的操作执行流程之一。该图示意了云服务中心的相关功能设备响应接入设备的认证请求、执行安全认证操作的实现流程。所述实现流程,主要体现为针对设备、用户与业务作安全认证的过程。进一步:
02A-接收终端认证请求:该操作用于在云服务中心接收接入设备端发送的终端设备认证请求消息;
02B-执行终端认证操作:该操作用于执行终端设备安全认证的操作过程;
02C-接收用户客户端认证请求:该操作用于在云服务中心接收接入设备发送的用户身份认证请求消息;
02D-执行用户认证操作:该操作用于执行用户身份安全认证的操作过程;
02E-接收业务模块认证请求:该操作用于在云服务中心接收接入设备发送的业务认证请求消息;
02F-执行业务模块认证操作:该操作用于执行业务安全认证的操作过程;
02G-接收综合认证请求:该操作用于在云服务中心接收包含在业务访问请求消息中的综合认证信息;
02H-执行综合认证操作:该操作用于执行综合安全认证的操作过程;
02J-业务访问消息前转:该操作用于在综合安全认证完成后将业务访问请求消息前转,以便进一步执行业务服务。
如图10为本发明提出的操作执行流程之一,该图示意了一个综合认证的实现流程。所述实现流程,包含对业务访问请求消息中所包含的认证相关信息的获取与验证执行过程。进一步:
03A-接收综合认证请求:该操作用于在云服务中心接收接入设备发送的综合认证请求,所述综合认证请求的认证相关信息包含在业务访问请求消息中;
03B-请求业务访问相关方信息:该操作用于请求业务请求相关方信息,所述相关方包括但不限于业务的授权方、被授权方、协助方等,所述相关方信息包含相关的接入设备、用户身份、业务标识、业务序号、消息编号等,所述相关方信息的请求消息,通过云服务中心或者发送给业务接入方、或者发送给后端对应的业务服务等。可选的,在业务访问请求消息包含业务相关方信息的情况下,该请求操作可以省略;
03C-接收业务相关方信息:该操作用于接收基于请求而回应的业务相关方信息。可选的,在业务访问请求消息包含业务相关方信息的情况下,直接从业务访问请求消息中提取对应的相关方信息;
03D-校验业务相关方信息:该操作用于校验业务相关方的信息,确认所述业务关联的真实性;
03E-执行综合认证操作:该操作用于在云服务中心执行综合安全认证操作;
03F-确认综合认证结果:该操作用于得到并确认综合认证的结果,根据此结果来选择是拒绝业务访问请求、还是将业务访问请求消息前转;
03G-业务访问消息前转:该操作用于在关联真实性验证与综合安全认证通过后,策略业务访问请求消息的前转路径与目的业务服务单元。
如图11为本发明提出的操作执行流程之一。该图示意了业务关联真实性验证的实现流程。所述业务关联真实性验证的实现流程,包含一般性验证和深度验证。其中:
04A-发送关联方请求消息:该操作用于在云服务中心请求业务关联方信息的消息,所述请求消息发送给目标业务服务单元。作为所述请求消息的响应,目标业务服务单元根据请求目标,提取其所维持的业务关联性信息;
04B-接收关联方应答消息:该操作用于接收来自于目标业务服务单元的关联方信息的消息。根据所述关联方信息,执行业务关联真实性的一般性验证;
04C-发起业务关联方身份校验:该操作用于启动对业务关联真实性的深度验证,所述深度验证即通过区块链的区块甚至操作日志来进一步验证业务关联的真实性;
04D-获取关联方区块链客户端ID:该操作用于在云服务中心获取业务关联方的区块链客户端ID,所述客户端ID或者通过业务访问请求消息由源端直接提供、或者通过新的交互请求消息来获得;
04E-获取链上关联区块ID:该操作用于向关联方区块链客户端发送请求消息,所述请求消息为对业务访问请求消息的关联消息的操作日志作请求,所述对操作日志请求的回应为日志上链结果的区块ID;
04F-确认关联区块是否存在:该操作用于确认关联区块链客户端应答给出的区块ID是否存在对应的区块,所述确认操作或者通过云服务中心的访问控制单元所在的区块链客户端来完成,或者通过源端所对应的区块链客户端来完成,或者通过关联方所对应的区块链客户端来完成。这个确认操作的执行方选择,由区块链的副本部署机制来决定。如全副本部署下,访问控制单元的区块链客户端即通过区块ID来确认是否存在对应的目标区块;在基于业务关联性来放置副本的机制中,源端即对业务关联操作所记日志的目标区块可见,反之关联方对业务访问操作所记日志的区块可见,从而他们能够相互确认对方的操作日志区块是否存在。根据目标区块是否存在,从而验证业务关联的真实性;
04G-确认链上内容的真实性:该操作用于,可选的,读取目标区块,提取业务访问请求消息的操作日志,从而确认内容的真实性,也即业务关联的真实性。
如图12为本发明提出的操作执行流程之一。该图示意了业务访问请求与相关业务访问请求以操作日志形式上链的实现流程。所述实现流程,还包括认证云服务中心在接收到业务访问请求消息后、使用所述上链操作日志来作安全认证的过程。其中:
05A-业务访问操作发起:该操作用于在接入设备端发起业务访问操作;
05B-业务访问操作日志上链:该操作用于将所述业务访问操作以日志形式上链保存;
05C-上链数据块在区块链节点间同步:该操作用于将所述完成上链的区块在区块链节点间同步,所述区块同步由区块副本的部署策略决定;
05D-提取上链区块标识:该操作用于得到所述业务访问操作以日志形式上链保存的区块标识;
05E-发送业务访问请求消息:该操作用于向业务服务所在的云服务中心发送业务访问请求消息;可选的,所述请求消息中包含关联方信息;
05F-接收业务访问请求消息:该操作用于在云服务中心接收接入终端设备发出的业务访问请求消息;
05G-提取终端/用户/业务认证信息:该操作用于根据所述业务访问请求消息来获取作为认证要素的终端、用户、业务等相关信息;
05H-启动与执行综合认证:该操作用于根据前述认证要素来启动与执行完成业务访问所需要的综合认证操作;
05J-业务关联信息请求消息:该操作用于准备与发送业务关联信息的请求消息,所述请求消息发送给业务访问请求对应的业务服务单元;
05K-接收业务关联信息请求消息:该操作用于在业务服务间单元接收来自于访问控制所发送的业务关联信息请求消息;
05L-查询并返回业务关联信息:该操作用于向访问控制发送业务服务单元所维护的业务关联信息;
05M-业务关联一般性验证:该操作用于执行业务关联的一般性验证;
05N-请求关联业务的上链区块标识:该操作用于请求关联业务的上链区块标识。基于系统的区块副本策略,所述请求操作或者直接由云服务中心的访问控制自行执行以响应、或者以请求消息的方式发送给目标接入端作查询并响应、或者以请求消息的方式发送给关联端作查询并响应;
05P-提取并发送上链区块标识:该操作用于提取操作日志上链的区块标识。可选的,一种快速提取目标区块标识的方法是,根据所在单元所维护的区块索引信息与区块内容摘要进行得到区块标识;
05Q-接收关联业务的上链区块标识:该操作用于接收并得到关联业务的上链区块标识;
05R-提取区块并执行业务关联深度验证:该操作用于根据所得的区块标识读取目标区块。如果存在一个可读取的目标区块,则进一步提取区块中的操作日志,然后根据关联信息查询目标操作日志。如果获取到目标操作日志,则关联深度验证成功;如果不存在目标区块或不存在目标操作日志,则关联深度验证不成功;
05S-根据关联验证结果决定业务访问前转:该操作用于在云服务中心根据关联验证结果,确定业务访问请求消息是否前转到目标业务服务。
在本申请中,所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于单个网络节点内,或者也可以分布到多个网络节点上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,根据具体约束与实现所需,在本申请各个实施例中的各功能组件可以集成在一个组件也可以是各个组件单独物理存在,也可以是两个或两个以上组件集成在一个组件中。上述集成的组件既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的组件如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台或一台以上计算机设备 (可以是个人计算机,服务器,或者网络设备等) 执行各个本发明实施例所述方法的全部或部分步骤。而前述的存储介质包括:U 盘、移动硬盘、只读存储器 (ROM,Read-Only Memory)、随机存取存储器 (RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着先后执行的严格顺序,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。尽管在此结合各实施例对本申请进行了描述,然而,在实施例所要求保护的本申请过程中,本领域技术人员可理解并实现公开实施例的其他变化。

Claims (10)

1.一种云业务的安全认证方法,所述安全认证方法应用于云端,所述云端还包括业务服务集群,所述业务服务集群包含至少一个业务服务,所述安全认证方法的特征在于,包括:
接收第一源端的业务访问请求消息,所述业务访问请求指向对至少一个业务服务的访问,所述业务访问请求消息还包括第一源端标识与第二关联端标识;
解析所述业务访问请求消息中的第一源端标识与第二关联端标识,所述第二关联端标识包含一个或多个标识,所述第一源端标识与所述第二关联端标识用于指示所述业务访问的关联性;
根据所述第一源端标识与所述第二关联端标识,验证所述业务关联真实性。
2.根据权利要求1所述方法,其特征在于,验证所述业务关联真实性,还包括:
解析业务访问请求消息中所包含的业务访问序号;
发送业务关联性请求消息,所述业务关联性请求消息发送给所述业务服务,所述业务关联性请求消息包含所述业务访问序号与所述第一源端标识。
3.根据权利要求2所述方法,其特征在于,验证所述业务关联真实性,还包括:
接收业务关联性应答消息,所述业务关联性应答消息发送自所述业务服务;
根据所述应答消息中所包含的关联端标识,验证所述业务关联真实性。
4.根据权利要求1所述方法,其特征在于,验证所述业务关联真实性,还包括:
解析所述业务访问请求消息中所包含的业务访问请求上链区块标识,所述上链区块作为操作日志记录所述业务访问请求,所述区块标识用于唯一标识所述上链区块;
发送上链区块核查消息,所述核查消息发送给所述关联端标识对应的关联端,所述核查消息包含所述区块标识。
5.根据权利要求4所述方法,其特征在于,验证所述业务关联真实性,还包括:
接收所述关联端对所述上链区块核查消息的应答;
根据所述应答消息,得到作为所述业务访问请求操作日志的所述区块对所述关联端的可访问性;
根据所述可访问性,确认所述业务关联真实性。
6.根据权利要求1所述方法,其特征在于,验证所述业务关联真实性,还包括:
解析所述业务访问请求消息中所包含的业务访问请求上链区块标识,所述上链区块作为操作日志记录所述业务访问请求,所述区块标识用于唯一标识所述上链区块;
根据所述上链区块标识,确认区块链上是否存在对应目标区块;
根据对所述目标区块的确认结果,验证所述业务关联真实性。
7.根据权利要求1所述方法,其特征在于,验证所述业务关联真实性,还包括:
解析并取得第一上链区块标识,所述第一上链区块标识对应于第一上链区块,所述第一上链区块包含第一业务访问请求的操作日志,所述第一业务访问请求为所述第一源端的业务访问请求;
解析并取得第二上链区块标识,所述第二上链区块标识对应于第二上链区块,所述第二上链区块包含一个或多个区块,所述第二上链区块包含第二业务访问请求的操作日志,所述第二业务访问请求为所述第一业务访问请求的关联业务访问请求,所述第二业务访问请求为来自于所述第二关联端的业务访问请求;
根据所述第一上链区块标识与所述第二上链区块标识,确认区块链上是否存在对应目标区块;
根据对所述目标区块的确认结果,验证所述业务关联真实性。
8.一种计算机程序,其特征在于,所述计算机程序包含执行权利要求1-7任一所述的方法。
9.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。
10.一种执行计算机程序的装置,其特征在于,包括处理组件、存储组件和通信模组件,处理组件、存储组件和通信组件相互连接,其中,存储组件用于存储数据处理代码,通信组件用于与外部设备进行信息交互;处理组件被配置用于调用程序代码,执行如权利要求1-6任一项所述的方法。
CN202010773072.5A 2020-08-04 2020-08-04 一种网络访问的认证方法、装置与系统 Pending CN114070573A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010773072.5A CN114070573A (zh) 2020-08-04 2020-08-04 一种网络访问的认证方法、装置与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010773072.5A CN114070573A (zh) 2020-08-04 2020-08-04 一种网络访问的认证方法、装置与系统

Publications (1)

Publication Number Publication Date
CN114070573A true CN114070573A (zh) 2022-02-18

Family

ID=80231924

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010773072.5A Pending CN114070573A (zh) 2020-08-04 2020-08-04 一种网络访问的认证方法、装置与系统

Country Status (1)

Country Link
CN (1) CN114070573A (zh)

Similar Documents

Publication Publication Date Title
US20230224167A1 (en) Access control method based on zero-trust security, device, and storage medium
CN111429254B (zh) 一种业务数据处理方法、设备以及可读存储介质
US8196186B2 (en) Security architecture for peer-to-peer storage system
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
CN112000951B (zh) 一种访问方法、装置、系统、电子设备及存储介质
CN110430065B (zh) 一种应用服务调用方法、装置及系统
US9398024B2 (en) System and method for reliably authenticating an appliance
US20140013390A1 (en) System and method for out-of-band application authentication
KR102137122B1 (ko) 보안 체크 방법, 장치, 단말기 및 서버
CN108347428A (zh) 基于区块链的应用程序的注册系统、方法和装置
KR100850191B1 (ko) 제 3 티어 서버 시스템 인증 방법 및 서버 시스템, 제 3 티어 서버 시스템 인증 클라이언트 시스템 및 내부 메모리
GB2554082B (en) User sign-in and authentication without passwords
US20150281211A1 (en) Network security
CN108769029A (zh) 一种对应用系统鉴权认证装置、方法及系统
US8650392B2 (en) Ticket authorization
KR102125784B1 (ko) 블록체인을 활용한 음성 녹취 데이터 검증 방법
CN114244508A (zh) 数据加密方法、装置、设备及存储介质
KR101273285B1 (ko) 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템
WO2019144948A1 (en) Decentralized biometric authentication platform
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
CN115001714B (zh) 资源访问方法及装置、电子设备、存储介质
CN111817860B (zh) 一种通信认证方法、装置、设备及存储介质
CN114070573A (zh) 一种网络访问的认证方法、装置与系统
US20230129128A1 (en) Secure and documented key access by an application

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20220218

WD01 Invention patent application deemed withdrawn after publication