CN114172665A - 区块链零信任系统以及用于区块链零信任系统的方法 - Google Patents
区块链零信任系统以及用于区块链零信任系统的方法 Download PDFInfo
- Publication number
- CN114172665A CN114172665A CN202111484839.3A CN202111484839A CN114172665A CN 114172665 A CN114172665 A CN 114172665A CN 202111484839 A CN202111484839 A CN 202111484839A CN 114172665 A CN114172665 A CN 114172665A
- Authority
- CN
- China
- Prior art keywords
- access
- trust
- network entity
- distributed
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 36
- 238000012795 verification Methods 0.000 claims abstract description 160
- 230000006399 behavior Effects 0.000 claims description 147
- 239000011159 matrix material Substances 0.000 claims description 53
- 238000013475 authorization Methods 0.000 claims description 43
- 230000004044 response Effects 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及一种区块链零信任系统以及用于区块链零信任系统的方法,所述系统包括多个网络实体,由区块链网络中的多个区块链节点组成的分布式信任代理节点集合,由多个区块链节点组成的分布式可信验证节点集合,任意网络实体通过分布式信任代理节点集合访问多个网络实体中的其他网络实体;分布式信任代理节点集合用于,在接收到第一网络实体针对目标网络实体的第一访问请求的情况下,向分布式可信验证节点集合发送可信验证请求,第一网络实体为所述多个网络实体中的任一网络实体;分布式可信验证节点集合用于,响应于所述可信验证请求,对第一网络实体进行可信验证;在所述可信验证通过的情况下,所述第一网络实体访问所述目标网络实体。
Description
技术领域
本公开涉及区块链技术领域,具体地,涉及一种区块链零信任系统以及用于区块链零信任系统的方法。
背景技术
在传统的网络安全中,通常依赖防火墙这样的物理边界进行防御。在这种防御模型中,企业所有的办公设备和数据资源都在内网,并且内网是完全可信的。但是,随着云计算、大数据、物联网等技术不断兴起,互联网架构正在从“有边界”向“无边界”转变,而传统的网络安全架构无法满足新的网络安全需求。
为此,相关技术中通过零信任架构来进行网络访问控制,但是这种架构还存在着诸多安全性问题。
发明内容
本公开的目的是提供一种区块链零信任系统以及用于区块链零信任系统的方法,以解决上述相关技术问题。
为了实现上述目的,根据本公开实施例的第一方面,提供一种区块链零信任系统,包括多个网络实体,由区块链网络中的多个区块链节点组成的分布式信任代理节点集合,由多个区块链节点组成的分布式可信验证节点集合,其中,任意所述网络实体通过所述分布式信任代理节点集合访问所述多个网络实体中的其他网络实体;
所述分布式信任代理节点集合用于,在接收到第一网络实体针对目标网络实体的第一访问请求的情况下,向所述分布式可信验证节点集合发送可信验证请求,所述第一网络实体为所述多个网络实体中的任一网络实体;
所述分布式可信验证节点集合用于,响应于所述可信验证请求,对所述第一网络实体进行可信验证;
其中,在所述可信验证通过的情况下,所述第一网络实体访问所述目标网络实体。
可选地,所述分布式信任代理节点集合还用于,在所述可信验证通过的情况下,将所述第一访问请求转发至所述目标网络实体。
可选地,还包括由多个区块链节点组成的分布式授权管理节点集合,所述分布式授权管理节点集合在数字身份区块链网络中注册,
所述分布式授权管理节点集合用于,在所述可信验证通过的情况下,生成访问凭证,并将所述访问凭证发送至所述第一网络实体,其中,所述访问凭证包括所述数字身份区块链网络的访问地址,以及所述分布式授权管理节点集合基于在数字身份区块链网络中注册的私钥生成的签名信息;
所述第一网络实体用于,向所述目标网络实体发送第二访问请求,所述第二访问请求包括所述访问凭证;
所述目标网络实体用于,在接收到所述第二访问请求之后,基于所述访问地址获取所述分布式授权管理节点集合的第一数字身份信息,并通过所述第一数字身份信息对所述访问凭证进行验证;
其中,在所述访问凭证验证通过的情况下,所述目标网络实体执行与所述第二访问请求相对应的操作。
可选地,所述区块链网络中部署有可信验证智能合约,所述分布式可信验证节点集合具体用于,通过所述可信验证智能合约对所述第一网络实体进行可信验证。
可选地,所述第一访问请求还包括所述第一网络实体在数字身份区块链网络中注册得到的第二数字身份信息,以及所述数字身份区块链网络的访问地址,所述分布式可信验证节点集合包括身份认证节点集合,
所述身份认证节点集合用于,响应于所述可信验证请求,获取所述第一网络实体的目标数字身份信息,并通过所述目标数字身份信息对所述第一网络实体的身份进行身份可信验证;
其中,所述目标数字身份信息为所述数字身份区块链网络的区块链中保存的所述第一网络实体的数字身份信息。
可选地,所述分布式可信验证节点集合还包括信任认证节点集合,所述信任认证节点集合用于执行如下步骤:
响应于所述可信验证请求,获取所述第一网络实体的历史访问数据;
根据所述历史访问数据确定所述第一网络实体的历史访问行为;
基于所述历史访问行为,以及各种访问行为类型所对应的信任权重参数,计算所述第一网络实体的信任描述参数;
根据所述信任描述参数以及预设的信任认证策略对所述第一网络实体进行访问可信验证。
可选地,所述访问行为类型为一种或多种,所述访问行为类型包括多个访问行为子类别,所述信任权重参数通过如下方式确定:
针对同一访问行为类型所包括的多个访问行为子类别,确定每一访问行为子类别的访问信任等级;
基于同一访问行为类型所包括的多个访问行为子类别的访问信任等级,构建所述访问行为类型的模糊一致性矩阵;
通过所述模糊一致性矩阵计算所述访问行为类型的信任权重参数。
可选地,所述信任认证节点集合具体通过如下方式计算所述第一网络实体的信任描述参数:基于所述第一网络实体的历史访问行为以及所述历史访问行为所属的访问行为子类别构建所述第一网络实体的访问行为矩阵;计算所述第一网络实体的访问行为矩阵与所述信任权重参数的乘积,得到信任描述矩阵,所述信任描述参数包括所述信任描述矩阵;
所述信任认证节点集合具体通过如下方式对所述第一网络实体进行可信验证:计算所述信任描述矩阵的行列式取值,得到所述第一网络实体的访问信任度;根据所述访问信任度以及预设的访问信任度区间范围确定所述第一网络实体的访问行为是否可信。
根据本公开实施例的第二方面,提供用于区块链零信任系统的方法,应用于上述第一方面中任一项所述的区块链零信任系统,所述方法包括:
分布式信任代理节点集合在接收到第一网络实体针对目标网络实体的第一访问请求的情况下,向所述分布式可信验证节点集合发送可信验证请求,所述第一网络实体为所述多个网络实体中的任一网络实体;
所述分布式可信验证节点集合响应于所述可信验证请求,对所述第一网络实体进行可信验证;
其中,在所述可信验证通过的情况下,所述第一网络实体访问所述目标网络实体。
可选地,所述区块链零信任系统还包括由多个区块链节点组成的分布式授权管理节点集合,所述分布式授权管理节点集合在数字身份区块链网络中注册,所述方法还包括:
所述分布式授权管理节点集合在所述可信验证通过的情况下,生成访问凭证,并将所述访问凭证发送至所述第一网络实体,其中,所述访问凭证包括所述数字身份区块链网络的访问地址,以及所述分布式授权管理节点集合基于在数字身份区块链网络中注册的私钥生成的签名信息;
所述第一网络实体向所述目标网络实体发送第二访问请求,所述第二访问请求包括所述访问凭证;
所述目标网络实体在接收到所述第二访问请求之后,基于所述访问地址获取所述分布式授权管理节点集合的第一数字身份信息,并通过所述第一数字身份信息对所述访问凭证进行验证;
其中,在所述访问凭证验证通过的情况下,所述目标网络实体执行与所述第二访问请求相对应的操作。
可选地,还包括:
所述分布式信任代理节点在所述可信验证通过的情况下,将所述第一访问请求转发至所述目标网络实体。
可选地,所述区块链网络中部署有可信验证智能合约,所述分布式可信验证节点集合响应于所述可信验证请求,对所述第一网络实体进行可信验证,包括:
所述分布式可信验证节点集合响应于所述可信验证请求,通过所述可信验证智能合约对所述第一网络实体进行可信验证。
可选地,所述第一访问请求还包括所述第一网络实体在数字身份区块链网络中注册得到的第二数字身份信息,以及所述数字身份区块链网络的访问地址,所述分布式可信验证节点集合包括身份认证节点集合,所述分布式可信验证节点集合响应于所述可信验证请求,对所述第一网络实体进行可信验证,包括:
所述身份认证节点集合响应于所述可信验证请求,获取所述第一网络实体的目标数字身份信息,并通过所述目标数字身份信息对所述第一网络实体的身份进行身份可信验证;
其中,所述目标数字身份信息为所述数字身份区块链网络的区块链中保存的所述第一网络实体的数字身份信息。
可选地,所述分布式可信验证节点集合还包括信任认证节点集合,所述分布式可信验证节点集合响应于所述可信验证请求,对所述第一网络实体进行可信验证,包括:
所述信任认证节点集合响应于所述可信验证请求,获取所述第一网络实体的历史访问数据;
所述信任认证节点集合根据所述历史访问数据确定所述第一网络实体的历史访问行为;
所述信任认证节点集合基于所述历史访问行为,以及各种访问行为类型所对应的信任权重参数,计算所述第一网络实体的信任描述参数;
所述信任认证节点集合根据所述信任描述参数以及预设的信任认证策略对所述第一网络实体进行访问可信验证。
可选地,所述访问行为类型为一种或多种,所述访问行为类型包括多个访问行为子类别,所述信任权重参数通过如下方式确定:
针对同一访问行为类型所包括的多个访问行为子类别,确定每一访问行为子类别的访问信任等级;
基于同一访问行为类型所包括的多个访问行为子类别的访问信任等级,构建所述访问行为类型的模糊一致性矩阵;
通过所述模糊一致性矩阵计算所述访问行为类型的信任权重参数。
可选地,所述信任认证节点集合基于所述历史访问行为,以及各种访问行为类型所对应的信任权重参数,计算所述第一网络实体的信任描述参数,包括:
所述信任认证节点集合基于所述第一网络实体的历史访问行为以及所述历史访问行为所属的访问行为子类别构建所述第一网络实体的访问行为矩阵;
所述信任认证节点集合计算所述第一网络实体的访问行为矩阵与所述信任权重参数的乘积,得到信任描述矩阵,所述信任描述参数包括所述信任描述矩阵;
所述信任认证节点集合根据所述信任描述参数以及预设的信任认证策略对所述第一网络实体进行访问可信验证,包括:
所述信任认证节点集合计算所述信任描述矩阵的行列式取值,得到所述第一网络实体的访问信任度;根据所述访问信任度以及预设的访问信任度区间范围确定所述第一网络实体的访问行为是否可信。
上述系统包括多个网络实体、分布式信任代理节点集合以及分布式可信验证节点集合。其中,任意所述网络实体可以通过所述分布式信任代理节点集合访问所述多个网络实体中的其他网络实体。所述分布式信任代理节点集合则可以将各个网络实体的访问请求转发至分布式可信验证节点集合进行可信验证,在可信验证通过之后,所述网络实体可以进行对应的访问操作。上述技术方案构建了一种零信任系统,在所述零信任系统中,网络实体的访问入口为分布式信任代理节点集合,网络实体的可信验证由分布式可信验证节点集合进行。由于所述分布式信任代理节点集合和分布式可信验证节点集合由区块链网络中的多个区块链节点组成,因而能够保证所述分布式信任代理节点集合和分布式可信验证节点集合的处理结果不可篡改。通过这样的方式,能够提升所述区块链零信任系统的安全性和可靠性。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是本公开一示例性实施例所示出的一种零信任模型的框图。
图2是本公开一示例性实施例所示出的一种区块链零信任系统的框图。
图3是本公开一示例性实施例所示出的一种信任权重参数的计算流程图。
图4是本公开一示例性实施例所示出的一种访问行为类型的示意图。
图5是本公开一示例性实施例所示出的一种区块链零信任系统的框图。
图6是本公开一示例性实施例所示出的一种用于区块链零信任系统的方法的流程图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
在介绍本公开的区块链零信任系统以及用于区块链零信任系统的方法之前,首先对本公开的应用场景进行介绍。
图1是本公开所示出的一种零信任模型的框图,所述零信任模型包括数据平面、控制平面和身份安全基础设施。其中,数据平面包括信任代理组件。所述信任代理组件作为各类访问主体进行安全访问的交互入口,可以用于执行动态访问控制。例如,信任代理组件可以将资源访问请求转发至控制平面的动态访问控制引擎进行处理,从而由动态访问控制引擎通过身份认证、权限判定等过程实现访问主体的合法性验证。这样,在合法性验证通过后,业务请求被放行。在一些实施场景中,信任代理组件还支持对资源、访问信息进行按需加密,从而有助于提升访问过程的安全性。
仍参照图1,控制平面包括动态访问控制引擎、信任评估引擎等组件。动态访问控制引擎能够基于身份认证、授权服务、访问控制等基础设施实现与信任代理组件的协同联动,从而确保所有访问请求都被强制认证和动态信任。所述信任评估引擎支持与动态访问控制引擎联动,从而基于信任评估结果确定各类实体的授权策略。
此外,身份保障基础设施能够为各类访问主体提供身份管理和权限服务功能,从而为零信任架构提供支持。
申请人发现,上述零信任模型中的相关组件(例如数据平面)还容易受到攻击,从而导致相关组件的处理结果不可信,进而降低了整个网络架构的安全性。
为此,本公开提供一种区块链零信任系统。图2是本公开所示出的一种区块链零信任系统的框图,所述区块链零信任系统包括多个网络实体(图2中以第一网络实体和目标网络实体示意),由区块链网络中的多个区块链节点组成的分布式信任代理节点集合,由多个区块链节点组成的分布式可信验证节点集合。
其中,所述网络实体可以是网络空间中的用户、设备、软件等等,任意所述网络实体通过所述分布式信任代理节点集合访问所述多个网络实体中的其他网络实体。例如在图2的示例中,第一网络实体在需要访问目标网络实体时(或是需要向目标网络实体发起事务流程时),可以向所述分布式信任代理节点集合发送第一访问请求,从而经由所述分布式信任代理节点集合进行可信校验。
所述分布式信任代理节点集合用于,在接收到第一网络实体针对目标网络实体的第一访问请求的情况下,向所述分布式可信验证节点集合发送可信验证请求。需要说明的是,这里针对第一网络实体的示例也同样适用于所述区块链零信任系统中的任意网络实体。
所述分布式可信验证节点集合用于,响应于所述可信验证请求,对所述第一网络实体进行可信验证。
这里,所述可信验证可以包括身份可信验证。例如在一种可能的实施方式中,所述第一访问请求还包括所述第一网络实体在数字身份区块链网络中注册得到的第二数字身份信息,以及所述数字身份区块链网络的访问地址,所述分布式可信验证节点集合包括身份认证节点集合。在这种情况下,可以通过所述身份认证节点集合对所述第一网络实体进行身份可信验证。
其中,所述身份认证节点集合用于,响应于所述可信验证请求,获取所述第一网络实体的目标数字身份信息,并通过所述目标数字身份信息对所述第一网络实体的身份进行身份可信验证。
示例地,所述身份认证节点集合例如可以基于所述访问地址访问所述数字身份区块链网络,从而从所述数字身份区块链网络中获取所述第一网络实体的目标数字身份信息。所述目标数字身份信息为所述数字身份区块链网络的区块链中保存的所述第一网络实体的数字身份信息。
这样,通过对比获取到的数字身份信息以及所述第一访问请求中的第二数字身份信息,可以实现对所述第一网络实体的身份可信验证。例如,在获取到的目标数字身份信息与所述第一访问请求中的第二数字身份信息相同时,第一网络实体的身份可信验证通过;在获取到的目标数字身份信息与所述第一访问请求中的第二数字身份信息不同时,第一网络实体的身份可信验证不通过。
此外,在一些实施场景中,所述第一访问请求还可以包括所述第一网络实体的数字签名。这里,数字签名可以是基于第一网络实体在数字身份区块链中的注册私钥生成的。在这种情况下,所述身份认证节点集合例如还可以从所述数字身份区块链中获取所述第一网络实体的注册公钥,从而通过所述注册公钥对所述数字签名进行验证。
这样,在身份可信验证通过之后,所述第一网络实体可以访问所述目标网络实体。
值得说明的是,在传统的CA(Certification Authority,数字证书认证中心)认证方式中,不同CA之间构成不同的身份体系,彼此之间不能够互相认证。例如,CA 1颁发认证的身份不能够得到CA 2的认证。而上述技术方案可以通过第一网络实体的数字身份进行身份验证,由于数字身份拥有统一的组成形式,且是注册在数字身份区块链中的。因此,相对于传统CA认证方式,上述技术方案能够提供统一可验证的数字身份,从而能够解决现有认证方式中的,不同身份体系之间不能互通,无法统一验证的问题。
此外,所述可信验证也可以包括访问可信验证。值得说明的是,网络实体的历史访问行为也可以反映网络实体是否可信。示例地,第一网络实体在历史访问过程中可能存在多次违规操作(例如猜测系统秘钥)。在这种情况下,即便第一网络实体拥有可信的实体身份,所述第一网络实体也是不可信的。
为此,在一种可能的实施方式中,所述分布式可信验证节点集合还包括信任认证节点集合,所述信任认证节点集合用于执行如下步骤:
响应于所述可信验证请求,获取所述第一网络实体的历史访问数据;根据所述历史访问数据确定所述第一网络实体的历史访问行为。
基于所述历史访问行为,以及各种访问行为类型所对应的信任权重参数,计算所述第一网络实体的信任描述参数。
其中,所述访问行为类型可以为一种或多种,所述访问行为类型包括多个访问行为子类别。参照图3所示出的一种信任权重参数的计算流程图,在一些实施场景中,所述信任权重参数可以通过如下方式确定:
S31,针对同一访问行为类型所包括的多个访问行为子类别,确定每一访问行为子类别的访问信任等级。
示例地,参照图4所示出的一种访问行为类型的示意图,所述访问行为类型例如可以包括常规访问行为、威胁访问行为以及灰色访问行为。其中,常规访问行为类型包括登录次数、查询次数、上传次数以及下载次数四个访问行为子类别;威胁访问行为类型包括访问敏感服务次数、非法链接次数、修改文件权限次数以及越级操作次数四个访问行为子类别;灰色访问行为类型包括创建的线程数、猜测密码次数、猜测用户名次数以及扫描端口次数四个访问行为子类别。
这样,可以根据应用需求对各个访问行为子类别设置访问信任等级。示例地,图4中各个所述访问行为子类别的访问信任等级如下:
在常规访问行为类型中:登录次数<查询次数<上传次数=下载次数,则访问信任等级为上传次数=下载次数为3,查询次数为2,登录次数为1。
在威胁访问行为类型中:访问敏感服务次数=非法链接次数<修改文件权限次数=越级操作次数,则访问信任等级为修改文件权限次数=越级操作次数为2,访问敏感服务次数=非法链接次数为1。
在灰色访问行为类型中:创建的线程数<猜测密码次数=猜测用户名次数<扫描端口次数,则信任等级为扫描端口次数为3,猜测密码次数=猜测用户名次数为2,创建的线程数为1。
这样,在S32中,基于同一访问行为类型所包括的多个访问行为子类别的访问信任等级,构建所述访问行为类型的模糊一致性矩阵。
沿用图4的例子,构建得到的模糊一致性矩阵如下:
常规访问行为类型的模糊一致性矩阵QA:
威胁访问行为类型的模糊一致性矩阵QB:
灰色访问行为类型的模糊一致性矩阵QC:
模糊一致性矩阵的构建方式请参照相关技术中的说明,为了说明书的简洁,本公开在此不做赘述。
S33,通过所述模糊一致性矩阵计算所述访问行为类型的信任权重参数。
示例地,可以通过如下计算式计算所述信任权重参数:
其中,ωi为第i种访问行为类型的信任权重参数,m为模糊一致性矩阵的矩阵阶数,在上述示例中取值为4,qij为第i种访问行为类型的模糊一致性矩阵Q中的第i行第j个元素。
沿用上述例子,通过上述计算式计算得到的信任权重参数为:
常规访问行为类型权重参数ωA,ωA=(0.131.0.331,0.331,0.207);
威胁访问行为类型权重参数ωB,ωB=(0.1875,0.3125,0.1875,0.3125);
灰色访问行为类型权重参数ωC,ωC=(0.236,0.236,0.146,0.382)。
这样,可以根据第一网络实体的历史访问行为,以及各种访问行为类型所对应的信任权重参数,计算所述第一网络实体的信任描述参数。
例如在一种可能的实施方式中,所述信任认证节点集合具体通过如下方式计算所述第一网络实体的信任描述参数:
基于所述第一网络实体的历史访问行为以及所述历史访问行为所属的访问行为子类别构建所述第一网络实体的访问行为矩阵;计算所述第一网络实体的访问行为矩阵与所述信任权重参数的乘积,得到信任描述矩阵。
示例地,基于所述第一网络实体的历史访问行为以及所述历史访问行为所属的访问行为子类别构建的所述第一网络实体的访问行为矩阵U如下所示:
这样,可以计算访问行为矩阵与所述信任权重参数的乘积,得到信任描述矩阵,所述信任描述参数包括所述信任描述矩阵。
得到信任描述参数之后,所述信任认证节点集合可以根据所述信任描述参数以及预设的信任认证策略对所述第一网络实体进行访问可信验证。
例如在一种可能的实施方式中,所述信任认证节点集合具体通过如下方式对所述第一网络实体进行可信验证:
计算所述信任描述矩阵的行列式取值,得到所述第一网络实体的访问信任度;根据所述访问信任度以及预设的访问信任度区间范围确定所述第一网络实体的访问行为是否可信。
这里,访问信任度区间范围可以根据应用需求进行设置。当所述访问信任度不满足所述访问信任度区间范围时,则可以确定所述第一网络实体的访问行为不可信,当所述访问信任度满足所述访问信任度区间范围时,则可以确定所述第一网络实体的访问行为可信。在一些实施场景中,所述信任认证节点集合还可以从区块链中获取信任认证策略(例如可以包括访问信任度区间范围、授权有效期,权限内容等等),并根据所述信任认证策略对第一网络实体授予相关访问权限。
在一些实施场景中,所述信任度区间范围也可以是多个。当第一网络实体的访问信任度处于不同的信任度区间范围时,所述信任认证节点集合可以根据信任认证策略为所述第一网络实体授予不同的权限。示例地,当第一网络实体的访问信任度处于可信度较低的第一信任度区间范围时,所述信任认证节点集合可以为所述第一网络实体授予数据读取权限;当第一网络实体的访问信任度处于可信度较高的第二信任度区间范围时,所述信任认证节点集合可以为所述第一网络实体授予数据读取权限以及数据写入权限。通过这样的方式,能够根据第一网络实体的访问信任度为第一网络实体动态的分配权限,有助于进行权限管理。
在一些实施场景中,也可以根据所述信任描述矩阵的对角线元素来对所述第一网络实体进行访问可信判断。沿用上述例子,将访问行为矩阵U与所述信任权重参数ωA,ωB,ωC所构成的矩阵相乘,可以得到3×3的信任描述矩阵。其中所述信任描述矩阵的第一行的第一个元素为第一网络实体的常规访问行为数据与所述信任权重参数ωA的乘积结果;所述信任描述矩阵的第二行的第二个元素为第一网络实体的威胁访问行为数据与所述信任权重参数ωB的乘积结果;所述信任描述矩阵的第三行的第三个元素为第一网络实体的灰色访问行为数据与所述信任权重参数ωC的乘积结果。因此,在一些实施方式中,可以取所述信任描述矩阵的对角线元素,并通过对比所述对角线元素与相应的预设取值范围来确定所述第一网络实体的访问行为是否可信。其中,所述预设取值范围例如可以通过预先标定得到。
上述技术方案能够基于第一网络实体的历史访问行为来对第一访问实体的访问行为进行度量,得到第一网络实体的访问信任度。这样,可以通过所述访问信任度与访问信任度区间范围来判断第一网络实体的访问行为是否可信。通过这样的方式,能够从访问行为的角度对第一网络实体进行可信验证,从而提升了网络实体可信验证的维度,有助于提升不可信网络实体的识别率。
接着,在所述访问可信验证通过之后,所述第一网络实体可以访问所述目标网络实体。
上述技术方案构建了一种零信任系统,在所述零信任系统中,网络实体的访问入口为分布式信任代理节点集合,网络实体的可信验证由分布式可信验证节点集合进行。由于所述分布式信任代理节点集合和分布式可信验证节点集合由区块链网络中的多个区块链节点组成,因而能够保证所述分布式信任代理节点集合和分布式可信验证节点集合的处理结果不可篡改。通过这样的方式,能够提升所述区块链零信任系统的安全性和可靠性。
此外值得注意的是,以上实施例分别从身份可信验证以及访问可信验证的角度,对所述第一网络实体的可信验证过程进行了说明。但本领域技术人员知晓,在具体实施时,也可以同时应用上述的身份可信验证过程以及访问可信验证过程。在这种情况下,第一网络实体需要通过身份可信验证以及访问可信验证才能够访问目标网络实体。
示例地,在一种可能的实施方式中,所述分布式信任代理节点集合还用于,在所述可信验证(身份可信验证以及访问可信验证)通过的情况下,将所述第一访问请求转发至所述目标网络实体。
也就是说,在第一网络实体的可信验证通过之后,第一访问请求可以由分布式信任代理节点集合转发至目标网络实体。这样,实现了对第一网络实体的临时访问授权。
在一种可能的实施方式中,也可以基于访问凭证对第一网络实体进行访问授权。
在这种情况下,所述区块链零信任系统还包括由多个区块链节点组成的分布式授权管理节点集合,所述分布式授权管理节点集合在数字身份区块链网络中注册,所述分布式授权管理节点集合用于,在所述可信验证通过的情况下,生成访问凭证,并将所述访问凭证发送至所述第一网络实体。
其中,所述访问凭证包括所述数字身份区块链网络的访问地址,以及所述分布式授权管理节点集合基于在数字身份区块链网络中注册的私钥生成的签名信息。在一些实施场景中,所述访问凭证还可以包括授权信息,如第一网络实体获得的数据读权限、数据写权限以及各权限的有效期等等。
所述第一网络实体用于,向所述目标网络实体发送第二访问请求,所述第二访问请求包括所述访问凭证。
所述目标网络实体用于,在接收到所述第二访问请求之后,基于所述访问地址获取所述分布式授权管理节点集合的第一数字身份信息,并通过所述第一数字身份信息对所述访问凭证进行验证。
示例地,所述目标网络实体例如可以基于所述访问地址访问所述数字身份区块链网络,从而从所述数字身份区块链网络中获取所述分布式授权管理节点集合的第一数字身份信息。
这样,可以基于所述第一数字身份信息获得所述分布式授权管理节点集合的注册公钥,并通过所述注册公钥对所述访问凭证进行验证。这样,在所述访问凭证验证通过的情况下,所述目标网络实体执行与所述第二访问请求相对应的操作。例如在第二访问请求用于请求获取目标数据时,所述目标网络实体可以向所述第一网络实体反馈所述目标数据。
此外,在一些实施场景中,第二访问请求也可以包括第一网络实体在所述数字身份区块链中注册得到的数字身份信息。在这种情况下,目标网络实体也可以基于所述访问地址访问所述数字身份区块链网络,从而对所述第二访问请求中的第一网络实体的数字身份信息进行验证,本公开对此不做限制。
上述技术方案可以通过分布式授权管理节点集合的数字身份信息生成访问凭证,由于数字身份拥有统一的组成形式,且是注册在数字身份区块链中的。因此,各个网络实体可以从数字身份区块链中获取所述分布式授权管理节点集合的数字身份,从而对所述分布式授权管理节点集合所签发的访问凭证进行验证。相对于传统CA认证方式,上述技术方案能够提供统一可验证的数字身份,从而能够解决现有认证方式中的,不同身份体系之间不能互通,无法统一验证的问题。
此外值得说明的是,在一些可能的实施方式中,所述区块链网络中部署有可信验证智能合约,所述分布式可信验证节点集合具体用于,通过所述可信验证智能合约对所述第一网络实体进行可信验证。其中,所述可信验证节点集合可以由所述可信验证智能合约的各个背书节点组成。
当然,上述实施例中所述的区块链零信任系统中的其他分布式节点集合(如分布式信任代理节点集合、分布式授权管理节点集合)所执行的步骤也可以基于智能合约实现。在这种情况下,各个分布式节点集合中的各个区块链节点例如可以是对应的智能合约的背书节点。
示例地,图5是本公开所示出的一种区块链零信任系统的框图,所述区块链零信任系统中部署有信任代理智能合约、信任评估智能合约、身份认证智能合约以及授权管理智能合约。
其中,第一网络实体可以在分布式数字身份区块链中注册数字身份。在需要访问目标网络实体时,所述第一网络实体可以向信任代理区块链中部署的信任代理智能合约发送访问请求。所述访问请求还可以包括第一网络实体的数字身份信息以及数字身份区块链的访问地址。
所述信任代理智能合约在接收到第一网络实体的访问请求之后,可以基于所述访问地址访问数字身份区块链,从而请求所述第一网络实体的数字身份信息。在获取到所述第一网络实体的数字身份信息之后,所述信任代理智能合约例如还可以将所述第一网络实体的数字身份信息保存至信任代理区块链中。
此外,所述信任代理智能合约还可以请求信任认证智能合约对所述第一网络实体进行访问可信验证。所述信任代理智能合约还可以请求身份认证智能合约对所述第一网络实体进行身份可信认证。在所述第一网络实体的数字身份信息保存至信任代理区块链的情况下,所述身份认证智能合约可以从信任代理区块链获取第一网络实体的数字身份信息,并进行身份可信验证。其中,访问可信验证的过程请参照上述关于信任认证节点集合的实施例说明,身份可信验证的过程请参照上述关于身份认证节点集合的实施例说明,本公开对此不做赘述。
接着,在访问可信验证以及身份可信验证均通过的情况下,授权管理智能合约可以为第一网络实体签发访问凭证,所述第一网络实体则可以基于所述访问凭证访问目标网络实体。
所述目标网络实体在接收到第一网络实体的访问请求之后,可以通过所述数字身份区块链对所述访问请求中的访问凭证进行验证。在验证通过的情况下,目标网络实体对所述第一网络实体的访问请求进行响应。
在一些实施场景中,上述步骤的结果也可以保存在信任代理区块链中(例如身份认证智能合约的身份可信验证结果、信任认证智能合约的访问可信验证结果等等),以便于后续的审计和追溯。
上述技术方案构建了一种零信任系统,在所述零信任系统中,网络实体的访问入口为信任代理智能合约,网络实体的可信验证由身份认证智能合约以及信任认证智能合约进行。由于智能合约保存在区块链中,因而能够保证所述信任代理智能合约、身份认证智能合约以及信任认证智能合约的处理结果不可篡改。通过这样的方式,能够提升所述区块链零信任系统的安全性和可靠性。
基于同一发明构思,本公开还提供一种用于区块链零信任系统的方法,所述方法可以应用于上述任一实施例中所述的区块链零信任系统。图6是本公开所示出的一种用于区块链零信任系统的方法的流程图,参照图6,所述方法包括:
在步骤S61中,分布式信任代理节点集合在接收到第一网络实体针对目标网络实体的第一访问请求的情况下,向分布式可信验证节点集合发送可信验证请求,所述第一网络实体为多个网络实体中的任一网络实体。
在步骤S62中,所述分布式可信验证节点集合响应于所述可信验证请求,对所述第一网络实体进行可信验证。
这里,所述可信验证可以包括身份可信验证。例如在一种可能的实施方式中,所述第一访问请求还包括所述第一网络实体在数字身份区块链网络中注册得到的第二数字身份信息,以及所述数字身份区块链网络的访问地址,所述分布式可信验证节点集合包括身份认证节点集合,所述分布式可信验证节点集合响应于所述可信验证请求,对所述第一网络实体进行可信验证,包括:
所述身份认证节点集合响应于所述可信验证请求,获取所述第一网络实体的目标数字身份信息,并通过所述目标数字身份信息对所述第一网络实体的身份进行身份可信验证;
其中,所述目标数字身份信息为所述数字身份区块链网络的区块链中保存的所述第一网络实体的数字身份信息。
示例地,所述身份认证节点集合例如可以基于所述访问地址访问所述数字身份区块链网络,从而从所述数字身份区块链网络中获取所述第一网络实体的目标数字身份信息。所述目标数字身份信息为所述数字身份区块链网络的区块链中保存的所述第一网络实体的数字身份信息。
这样,通过对比获取到的数字身份信息以及所述第一访问请求中的第二数字身份信息,可以实现对所述第一网络实体的身份可信验证。例如,在获取到的目标数字身份信息与所述第一访问请求中的第二数字身份信息相同时,第一网络实体的身份可信验证通过;在获取到的目标数字身份信息与所述第一访问请求中的第二数字身份信息不同时,第一网络实体的身份可信验证不通过。
此外,在一些实施场景中,所述第一访问请求还可以包括所述第一网络实体的数字签名。这里,数字签名可以是基于第一网络实体在数字身份区块链中的注册私钥生成的。在这种情况下,所述身份认证节点集合例如还可以从所述数字身份区块链中获取所述第一网络实体的注册公钥,从而通过所述注册公钥对所述数字签名进行验证。
这样,在身份可信验证通过之后,所述第一网络实体可以访问所述目标网络实体。
值得说明的是,在传统的CA认证方式中,不同CA之间构成不同的身份体系,彼此之间不能够互相认证。例如,CA 1颁发认证的身份不能够得到CA 2的认证。而上述技术方案可以通过第一网络实体的数字身份进行身份验证,由于数字身份拥有统一的组成形式,且是注册在数字身份区块链中的。因此,相对于传统CA认证方式,上述技术方案能够提供统一可验证的数字身份,从而能够解决现有认证方式中的,不同身份体系之间不能互通,无法统一验证的问题。
此外,所述可信验证也可以包括访问可信验证。例如在一种可能的实施方式中,所述分布式可信验证节点集合还包括信任认证节点集合,所述分布式可信验证节点集合响应于所述可信验证请求,对所述第一网络实体进行可信验证,包括:
所述信任认证节点集合响应于所述可信验证请求,获取所述第一网络实体的历史访问数据,所述信任认证节点集合根据所述历史访问数据确定所述第一网络实体的历史访问行为。
所述信任认证节点集合基于所述历史访问行为,以及各种访问行为类型所对应的信任权重参数,计算所述第一网络实体的信任描述参数;
所述信任认证节点集合根据所述信任描述参数以及预设的信任认证策略对所述第一网络实体进行访问可信验证。
可选地,所述访问行为类型为一种或多种,所述访问行为类型包括多个访问行为子类别,所述信任权重参数通过如下方式确定:
针对同一访问行为类型所包括的多个访问行为子类别,确定每一访问行为子类别的访问信任等级;
基于同一访问行为类型所包括的多个访问行为子类别的访问信任等级,构建所述访问行为类型的模糊一致性矩阵;
通过所述模糊一致性矩阵计算所述访问行为类型的信任权重参数。
可选地,所述信任认证节点集合基于所述历史访问行为,以及各种访问行为类型所对应的信任权重参数,计算所述第一网络实体的信任描述参数,包括:
所述信任认证节点集合基于所述第一网络实体的历史访问行为以及所述历史访问行为所属的访问行为子类别构建所述第一网络实体的访问行为矩阵;
所述信任认证节点集合计算所述第一网络实体的访问行为矩阵与所述信任权重参数的乘积,得到信任描述矩阵,所述信任描述参数包括所述信任描述矩阵;
所述信任认证节点集合根据所述信任描述参数以及预设的信任认证策略对所述第一网络实体进行访问可信验证,包括:
所述信任认证节点集合计算所述信任描述矩阵的行列式取值,得到所述第一网络实体的访问信任度;根据所述访问信任度以及预设的访问信任度区间范围确定所述第一网络实体的访问行为是否可信。
其中关于访问可信验证的实施方式请参照上述区块链零信任系统的实施例说明,为了说明书的简洁,本公开对此不再赘述。
上述技术方案能够基于第一网络实体的历史访问行为来对第一访问实体的访问行为进行度量,得到第一网络实体的访问信任度。这样,可以通过所述访问信任度与访问信任度区间范围来判断第一网络实体的访问行为是否可信。通过这样的方式,能够从访问行为的角度对第一网络实体进行可信验证,从而提升了网络实体可信验证的维度,有助于提升不可信网络实体的识别率。
接着,在所述访问可信验证通过之后,所述第一网络实体可以访问所述目标网络实体。
上述技术方案构建了一种零信任系统,在所述零信任系统中,网络实体的访问入口为分布式信任代理节点集合,网络实体的可信验证由分布式可信验证节点集合进行。由于所述分布式信任代理节点集合和分布式可信验证节点集合由区块链网络中的多个区块链节点组成,因而能够保证所述分布式信任代理节点集合和分布式可信验证节点集合的处理结果不可篡改。通过这样的方式,能够提升所述区块链零信任系统的安全性和可靠性。
可选地,所述区块链零信任系统还包括由多个区块链节点组成的分布式授权管理节点集合,所述分布式授权管理节点集合在数字身份区块链网络中注册,所述方法还包括:
所述分布式授权管理节点集合在所述可信验证通过的情况下,生成访问凭证,并将所述访问凭证发送至所述第一网络实体,其中,所述访问凭证包括所述数字身份区块链网络的访问地址,以及所述分布式授权管理节点集合基于在数字身份区块链网络中注册的私钥生成的签名信息;
所述第一网络实体向所述目标网络实体发送第二访问请求,所述第二访问请求包括所述访问凭证;
所述目标网络实体在接收到所述第二访问请求之后,基于所述访问地址获取所述分布式授权管理节点集合的第一数字身份信息,并通过所述第一数字身份信息对所述访问凭证进行验证;
其中,在所述访问凭证验证通过的情况下,所述目标网络实体执行与所述第二访问请求相对应的操作。
可选地,还包括:
所述分布式信任代理节点在所述可信验证通过的情况下,将所述第一访问请求转发至所述目标网络实体。
可选地,所述区块链网络中部署有可信验证智能合约,所述分布式可信验证节点集合响应于所述可信验证请求,对所述第一网络实体进行可信验证,包括:
所述分布式可信验证节点集合响应于所述可信验证请求,通过所述可信验证智能合约对所述第一网络实体进行可信验证。
关于上述方法实施例,其中各个步骤的具体实现方式已经在系统实施例中进行了详细描述,具体请参照执行该步骤的系统组件的说明,此处将不做详细阐述说明。
在另一示例性实施例中,还提供一种计算机程序产品,该计算机程序产品包含能够由可编程的装置执行的计算机程序,该计算机程序具有当由该可编程的装置执行时用于执行上述的用于区块链零信任系统的方法的代码部分。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
Claims (10)
1.一种区块链零信任系统,其特征在于,包括多个网络实体,由区块链网络中的多个区块链节点组成的分布式信任代理节点集合,由多个区块链节点组成的分布式可信验证节点集合,其中,任意所述网络实体通过所述分布式信任代理节点集合访问所述多个网络实体中的其他网络实体;
所述分布式信任代理节点集合用于,在接收到第一网络实体针对目标网络实体的第一访问请求的情况下,向所述分布式可信验证节点集合发送可信验证请求,所述第一网络实体为所述多个网络实体中的任一网络实体;
所述分布式可信验证节点集合用于,响应于所述可信验证请求,对所述第一网络实体进行可信验证;
其中,在所述可信验证通过的情况下,所述第一网络实体访问所述目标网络实体。
2.根据权利要求1所述的区块链零信任系统,其特征在于,所述分布式信任代理节点集合还用于,在所述可信验证通过的情况下,将所述访问请求转发至所述目标网络实体。
3.根据权利要求1所述的区块链零信任系统,其特征在于,还包括由多个区块链节点组成的分布式授权管理节点集合,所述分布式授权管理节点集合在数字身份区块链网络中注册,
所述分布式授权管理节点集合用于,在所述可信验证通过的情况下,生成访问凭证,并将所述访问凭证发送至所述第一网络实体,其中,所述访问凭证包括所述数字身份区块链网络的访问地址,以及所述分布式授权管理节点集合基于在数字身份区块链网络中注册的私钥生成的签名信息;
所述第一网络实体用于,向所述目标网络实体发送第二访问请求,所述第二访问请求包括所述访问凭证;
所述目标网络实体用于,在接收到所述第二访问请求之后,基于所述访问地址获取所述分布式授权管理节点集合的第一数字身份信息,并通过所述第一数字身份信息对所述访问凭证进行验证;
其中,在所述访问凭证验证通过的情况下,所述目标网络实体执行与所述第二访问请求相对应的操作。
4.根据权利要求1所述的区块链零信任系统,其特征在于,所述区块链网络中部署有可信验证智能合约,所述分布式可信验证节点集合具体用于,通过所述可信验证智能合约对所述第一网络实体进行可信验证。
5.根据权利要求1至4任一项所述的区块链零信任系统,其特征在于,所述第一访问请求还包括所述第一网络实体在数字身份区块链网络中注册得到的第二数字身份信息,以及所述数字身份区块链网络的访问地址,所述分布式可信验证节点集合包括身份认证节点集合,
所述身份认证节点集合用于,响应于所述可信验证请求,获取所述第一网络实体的目标数字身份信息,并通过所述目标数字身份信息对所述第一网络实体的身份进行身份可信验证;
其中,所述目标数字身份信息为所述数字身份区块链网络的区块链中保存的所述第一网络实体的数字身份信息。
6.根据权利要求1至4任一项所述的区块链零信任系统,其特征在于,所述分布式可信验证节点集合还包括信任认证节点集合,所述信任认证节点集合用于执行如下步骤:
响应于所述可信验证请求,获取所述第一网络实体的历史访问数据;
根据所述历史访问数据确定所述第一网络实体的历史访问行为;
基于所述历史访问行为,以及各种访问行为类型所对应的信任权重参数,计算所述第一网络实体的信任描述参数;
根据所述信任描述参数以及预设的信任认证策略对所述第一网络实体进行访问可信验证。
7.根据权利要求6所述的区块链零信任系统,其特征在于,所述访问行为类型为一种或多种,所述访问行为类型包括多个访问行为子类别,所述信任权重参数通过如下方式确定:
针对同一访问行为类型所包括的多个访问行为子类别,确定每一访问行为子类别的访问信任等级;
基于同一访问行为类型所包括的多个访问行为子类别的访问信任等级,构建所述访问行为类型的模糊一致性矩阵;
通过所述模糊一致性矩阵计算所述访问行为类型的信任权重参数。
8.根据权利要求7所述的区块链零信任系统,其特征在于,所述信任认证节点集合具体通过如下方式计算所述第一网络实体的信任描述参数:基于所述第一网络实体的历史访问行为以及所述历史访问行为所属的访问行为子类别构建所述第一网络实体的访问行为矩阵;计算所述第一网络实体的访问行为矩阵与所述信任权重参数的乘积,得到信任描述矩阵,所述信任描述参数包括所述信任描述矩阵;
所述信任认证节点集合具体通过如下方式对所述第一网络实体进行可信验证:计算所述信任描述矩阵的行列式取值,得到所述第一网络实体的访问信任度;根据所述访问信任度以及预设的访问信任度区间范围确定所述第一网络实体的访问行为是否可信。
9.一种用于区块链零信任系统的方法,其特征在于,应用于权利要求1至8任一项所述的区块链零信任系统,所述方法包括:
分布式信任代理节点集合在接收到第一网络实体针对目标网络实体的第一访问请求的情况下,向分布式可信验证节点集合发送可信验证请求,所述第一网络实体为多个网络实体中的任一网络实体;
所述分布式可信验证节点集合响应于所述可信验证请求,对所述第一网络实体进行可信验证;
其中,在所述可信验证通过的情况下,所述第一网络实体访问所述目标网络实体。
10.根据权利要求9所述的方法,其特征在于,所述区块链零信任系统还包括由多个区块链节点组成的分布式授权管理节点集合,所述分布式授权管理节点集合在数字身份区块链网络中注册,所述方法还包括:
所述分布式授权管理节点集合在所述可信验证通过的情况下,生成访问凭证,并将所述访问凭证发送至所述第一网络实体,其中,所述访问凭证包括所述数字身份区块链网络的访问地址,以及所述分布式授权管理节点集合基于在数字身份区块链网络中注册的私钥生成的签名信息;
所述第一网络实体向所述目标网络实体发送第二访问请求,所述第二访问请求包括所述访问凭证;
所述目标网络实体在接收到所述第二访问请求之后,基于所述访问地址获取所述分布式授权管理节点集合的第一数字身份信息,并通过所述第一数字身份信息对所述访问凭证进行验证;
其中,在所述访问凭证验证通过的情况下,所述目标网络实体执行与所述第二访问请求相对应的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111484839.3A CN114172665A (zh) | 2021-12-07 | 2021-12-07 | 区块链零信任系统以及用于区块链零信任系统的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111484839.3A CN114172665A (zh) | 2021-12-07 | 2021-12-07 | 区块链零信任系统以及用于区块链零信任系统的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114172665A true CN114172665A (zh) | 2022-03-11 |
Family
ID=80483837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111484839.3A Pending CN114172665A (zh) | 2021-12-07 | 2021-12-07 | 区块链零信任系统以及用于区块链零信任系统的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114172665A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114785577A (zh) * | 2022-04-12 | 2022-07-22 | 中国联合网络通信集团有限公司 | 一种零信任验证方法、系统及存储介质 |
CN115242479A (zh) * | 2022-07-15 | 2022-10-25 | 东软集团股份有限公司 | 基于区块链网关的通信方法、装置、存储介质及电子设备 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110121860A (zh) * | 2017-01-03 | 2019-08-13 | 华为技术有限公司 | 基于区块链的数据处理方法、设备和系统 |
CN110290094A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种数据访问权限的控制方法和装置 |
CN110475249A (zh) * | 2018-05-10 | 2019-11-19 | 华为技术有限公司 | 一种认证方法、相关设备及系统 |
CN111371739A (zh) * | 2020-02-14 | 2020-07-03 | 重庆邮电大学 | 一种基于区块链技术的物联网数据接入控制方法 |
CN112055023A (zh) * | 2020-09-09 | 2020-12-08 | 工银科技有限公司 | 基于预言机的访问请求处理方法、装置、设备和介质 |
CN112788048A (zh) * | 2021-01-22 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
US20210314305A1 (en) * | 2018-08-17 | 2021-10-07 | Yoti Holding Limited | Blockchain autonomous agents |
-
2021
- 2021-12-07 CN CN202111484839.3A patent/CN114172665A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110121860A (zh) * | 2017-01-03 | 2019-08-13 | 华为技术有限公司 | 基于区块链的数据处理方法、设备和系统 |
CN110290094A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种数据访问权限的控制方法和装置 |
CN110475249A (zh) * | 2018-05-10 | 2019-11-19 | 华为技术有限公司 | 一种认证方法、相关设备及系统 |
US20210314305A1 (en) * | 2018-08-17 | 2021-10-07 | Yoti Holding Limited | Blockchain autonomous agents |
CN111371739A (zh) * | 2020-02-14 | 2020-07-03 | 重庆邮电大学 | 一种基于区块链技术的物联网数据接入控制方法 |
CN112055023A (zh) * | 2020-09-09 | 2020-12-08 | 工银科技有限公司 | 基于预言机的访问请求处理方法、装置、设备和介质 |
CN112788048A (zh) * | 2021-01-22 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114785577A (zh) * | 2022-04-12 | 2022-07-22 | 中国联合网络通信集团有限公司 | 一种零信任验证方法、系统及存储介质 |
CN114785577B (zh) * | 2022-04-12 | 2024-02-06 | 中国联合网络通信集团有限公司 | 一种零信任验证方法、系统及存储介质 |
CN115242479A (zh) * | 2022-07-15 | 2022-10-25 | 东软集团股份有限公司 | 基于区块链网关的通信方法、装置、存储介质及电子设备 |
CN115242479B (zh) * | 2022-07-15 | 2023-10-31 | 东软集团股份有限公司 | 基于区块链网关的通信方法、装置、存储介质及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102792311B (zh) | 安全动态权力委派 | |
US8474031B2 (en) | Access control method and apparatus | |
Ryutov et al. | Adaptive trust negotiation and access control | |
US8015594B2 (en) | Techniques for validating public keys using AAA services | |
CA2448853C (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
US8689292B2 (en) | Method and systems for dynamically providing communities of interest on an end user workstation | |
US10333930B2 (en) | System and method for transparent multi-factor authentication and security posture checking | |
CN112055029A (zh) | 零信任电力物联网设备和用户实时信任度评估方法 | |
CN109688119B (zh) | 一种云计算中的可匿名追踪性身份认证方法 | |
CN114172665A (zh) | 区块链零信任系统以及用于区块链零信任系统的方法 | |
CN112580006A (zh) | 一种多云系统的访问权限控制方法、装置及认证服务器 | |
CN116708037B (zh) | 云平台访问权限控制方法及系统 | |
US20230262052A1 (en) | Method and apparatus for securely managing computer process access to network resources through delegated system credentials | |
CN113676447A (zh) | 基于区块链的科技服务平台跨域身份认证方案 | |
CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
US20230091851A1 (en) | Techniques for protecting web-access | |
JP2013529822A (ja) | 委託型認証方法 | |
CN116996305A (zh) | 一种多层次安全认证方法、系统、设备、存储介质及入口网关 | |
US11177958B2 (en) | Protection of authentication tokens | |
US7743145B2 (en) | Verifying measurable aspects associated with a module | |
CN114978544A (zh) | 一种访问认证方法、装置、系统、电子设备及介质 | |
CN114024682A (zh) | 跨域单点登录方法、服务设备及认证设备 | |
US10412097B1 (en) | Method and system for providing distributed authentication | |
Singh et al. | Resilient Risk-Based Adaptive Authentication and Authorization (RAD-AA) Framework | |
CN111682941A (zh) | 基于密码学的集中式身份管理、分布式认证与授权的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |