CN114338701A - 基于区块链的物联网零信任系统及访问方法 - Google Patents
基于区块链的物联网零信任系统及访问方法 Download PDFInfo
- Publication number
- CN114338701A CN114338701A CN202111640065.9A CN202111640065A CN114338701A CN 114338701 A CN114338701 A CN 114338701A CN 202111640065 A CN202111640065 A CN 202111640065A CN 114338701 A CN114338701 A CN 114338701A
- Authority
- CN
- China
- Prior art keywords
- access
- trust
- subject
- policy
- zero
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于区块链的物联网零信任系统,包括访问主体、访问客体和零信任安全系统,零信任安全系统包括分布式策略决策点DPDP和分布式策略执行点DPEP,DPDP,初始化访问策略、对访问主体、访问客体进行信任评估、并对整个访问过程进行持续安全检测、信任评估、访问决策和动态更新访问策略;DPEP,接收访问主体的访问请求并重定向到DPDP,启动、监测或关闭主体和客体的通信连接,并加密和转发流量。还公开了基于区块链的物联网零信任访问方法。本发明将零信任与物联网系统架构结合,统一管理主客体信任关系的策略,设备或资源集合能够灵活执行策略,实现了物联网设备动态的、细粒度的安全访问控制。
Description
技术领域
本发明涉及区块链技术领域,具体的说,是一种基于区块链的物联网零信任系统及访问方法。
背景技术
如今的网络时刻处于威胁中,包括来自外部和内部的威胁,传统的边界安全保护技术包括使用防火墙、VPN等各种安全防护设备检测和过滤访问网络资源的请求,并依据网络位置判定对象的可信程度。但是这种情况下,一旦攻击者突破其中一个安全边界,就可以任意访问网络内的资源。因此,传统的边界安全防护在如今的网络环境下并不适用,需要采用零信任架构,保证所有的设备、用户和网络流量都是经过认证和授权的,并保证访问策略是基于环境和访问历史动态调整的。
零信任的核心思想是:默认情况下,企业内/外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。零信任技术响应了企业网络发展趋势下的安全需求,适用于网络安全访问控制和资源保护。越来越多的用户安全的远程接入企业内部网络、用户使用自己的设备安全办公、企业在云服务上安全部署和访问应用系统等。
现有技术中的零信任框架NIST如图1所示,包括主体、企业资源、代理主体访问请求的系统、PDP和PEP。其中,PDP/PEP拆分成为了两个逻辑功能组件。PEP负责实施主体的访问请求,PDP包括策略引擎(PE,Policy Engine)和策略管理(PA,Policy Administrator)两个主要部分。PA负责接受PEP的访问请求,找到对应策略信息,并转发给PE。PE负责策略的决策过程,即根据策略信息、主体和资源信任情况,判断是否允许主体访问资源。其余周边组件主要功能如下:ID Management负责资源标识管理;PKI负责证书管理和认证,DataAccess Policy负责数据访问策略管理;Activity Logs负责记录网络流量、资源访问动作、其它会影响主体和资源信任度的安全事件;Threat Intelligence负责向PE输入外部威胁情报,动态配置主体和资源的信任度;CDM系统负责对资源的安全风险的持续评估和响应,并向PE提供资源当前的状态,例如是否运行更新补丁后的系统、软件的完整性、以及资源是否具有某些脆弱性;Industry Compliiance系统负责策略的合规性;SIEM负责收集用于后续安全分析的信息,用于后续修正访问策略。
但是,其NIST架构针对企业资源访问,不是针对物联网资源(特别是设备资源)的访问控制系统,相较于一般IT网络,物联网中由于数量庞大的物联网设备资源异构接入网络,并且设备状态可能持续变化,物联网的分布式系统架构导致访问策略不便于根据设备信任关系灵活实施,物联网的安全边界更不容易定义。由于任意设备间的信任关系难以定义,基于设备间信任关系的访问策略难以统一管理,难以针对单独设备或自定义设备资源集合灵活实施访问控制,传统的NIST架构不适用于物联网资源。如何将零信任与物联网系统架构结合,统一管理主客体信任关系的策略以及具体设备或自定义设备资源集合灵活执行策略,现有技术中尚没有一种可行的方法。
发明内容
本发明的目的在于提供一种基于区块链的物联网零信任系统,用于解决现有技术中尚没有一种可行的方法能够将零信任与物联网系统架构结合,统一管理主客体信任关系的策略以及具体设备或自定义设备资源集合灵活执行策略的问题。
本发明通过下述技术方案解决上述问题:
一种基于区块链的物联网零信任系统,包括访问主体、访问客体和零信任安全系统,零信任安全系统包括分布式策略决策点DPDP和分布式策略执行点DPEP,其中:
访问主体,用于向区块链进行身份注册和身份验证,向零信任安全系统上报安全状态,通过零信任安全系统向访问客体发起访问请求,在获得授权后与访问客体进行通信;
访问客体,用于向区块链进行身份注册和身份验证,向零信任安全系统上报安全状态,通过零信任安全系统与访问主体进行通信;
分布式策略决策点DPDP,用于初始化访问策略、对访问主体、访问客体进行信任评估、并对整个访问过程进行持续安全检测、信任评估、访问决策和动态更新访问策略;
分布式策略执行点DPEP,用于接收访问主体的访问请求并重定向到DPDP,根据DPDP的访问策略启动、监测或关闭访问主体和访问客体之间的通信连接;以及在访问主体和访问客体之间加密流量和转发流量;
访问主体可以是用户、进程和设备,访问客体可以是物联网数据、物联网设备,甚至是单一物联网设备或设备的某个功能,访问主体通过自身组件或者其他物联网系统接收并相应零信任安全系统的指令,向零信任安全系统的控制中心上报安全状态,通过DPEP向访问客体发起访问请求,并与访问客体通信;零信任安全系统的管理者可以是物联网安全提供商,也可以是某个联盟或组织的安全部门。DPDP具备对整个访问过程的持续安全监测、信任评估、访问决策和动态更新访问控制策略等功能,DPEP具备访问流量的重定向和访问控制策略执行、流量加密等功能,分布式策略执行点DPEP的作用还包括为设备生成唯一标识、采集终端设备安全信息、安全保管设备密钥;访问主体能否对访问客体进行访问,取决于零信任安全系统的持续安全监测、信任评估和授权决策。访问主体对访问客体的访问,不允许绕过零信任安全系统,且访问主体需要事先通过身份认证。本方案将零信任与物联网系统架构结合,实现了由DPDP统一管理主客体信任关系的策略,由DPEP灵活执行策略。
所述分布式策略决策点DPDP包括基于智能合约实现且运行在区块链节点上、能够同步到所有区块链节点的策略管理模块PA、信任引擎模块TE和策略引擎模块PE,智能合约执行结果通过区块链共识机制能够在整个区块链网络达到一致,智能合约相当于进程,它们之间通过合约间接口调用实现通信功能,其中:
策略管理模块PA,用于设置对访问策略执行读写操作的控制逻辑,以及用于根据策略引擎模块PE的决策结果控制DPEP建立/关闭访问主体和访问客体之间的通信通道;
信任引擎模块TE,用于监测多源数据,并根据多源数据进行持续的安全分析,实时评估访问主体和访问客体当前的信任状态,维护访问主体和访问客体之间的信任关系;多源数据包括访访问主体状态、访问客体状态、访问客体反馈的信息、通信链路和外部威胁情报;
策略引擎模块PE,用于根据信任引擎模块TE对访问主体的信任评估结果和策略管理模块PA返回的访问策略,判断是否授权访问主体对访问客体进行访问,以及根据信任评估结果动态更新访问策略。所述策略引擎模块PE还用于实现基于角色的访问控制、基于属性的访问控制、基于能力的访问控制以及细粒度的访问控制,粒度达到对单一资源的单次请求进行授权,甚至针对物联网设备资源的单一功能进行授权。
DPDP通过以上三个模块实现对整个访问过程的持续安全监测、信任评估、访问决策和动态更新访问控制策略等功能。
一种基于区块链的物联网零信任访问方法,包括:
步骤S10、访问主体和访问客体向区块链进行身份注册及验证,建立设备间信任管理,初始化访问策略和策略执行代理;
步骤S20、访问主体发起对访问客体的访问请求,分布式策略执行点DPEP重定向访问请求到分布式策略决策点DPDP,DPDP查找针对访问主体、访问客体的访问策略,并分别对访问主体、访问客体进行信任评估,信任评估通过则根据查找到的访问策略授权访问主体对访问客体进行访问,并控制DPEP建立访问主体、访问客体之间的安全通信信道;
步骤S30、DPEP执行访问策略,在访问主体与访问客体之间安全的转发流量;DPDP持续监测访问过程,更新信任关系,对访问主体的访问权限进行动态调整。
所述步骤S20具体包括:
步骤S21、访问主体发起对访问客体的访问请求,分布式策略执行点DPEP重定向访问请求,并发送到分布式策略决策点DPDP,DPDP查找针对访问主体、访问客体的访问策略,并对访问主体进行信任评估,并根据信任评估结果判断是否对访问主体授权,若授权,进入步骤S22,否则DPDP终结本次访问并通知访问主体,并通知DPEP阻断本次访问操作;
步骤S22、DPDP通知DPEP创建一条到访问主体到访问客体的安全通信信道,DPDP对访问客体进行信任评估,如果信任评估通过,进入步骤S30;否则通知DPEP阻断本次访问操作。
分布式策略执行点DPEP分别部署在访问主体侧和访问客体侧,当访问主体的信任评估不通过时,DPDP通知访问主体侧的DPEP阻断本次访问操作;当访问客体的信任评估不通过时,DPDP通知访问客体侧的DPEP阻断本次访问操作。
访问主体侧的DPEP和访问客体侧的DPEP为终端DPEP或统一DPEP。
所述步骤S10具体包括:
步骤S11、访问主体和访问客体向区块链注册身份和验证身份信息,经过验证后的身份信息与零信任安全系统中的区块链网络共享并安全管理;
步骤S12、建立设备间信任关系并相互验证;
步骤S13、初始化访问策略:根据物联网场景配置对应的访问策略,配置参数包括用户信息、应用信息、设备信息、信任等级和访问权限;
步骤S14、初始化DPDP组件:初始化区块链网络,部署智能合约,部署基于智能合约实现且运行在区块链节点上的策略引擎模块、策略管理模块和信任引擎模块,将访问策略和设备间信任关系记录在区块链上;
步骤S15、初始化策略执行代理:为访问主体配置策略执行点并配置参数,为访问客体配置策略执行点并配置域名解析指向该策略执行点。
对访问主体的访问权限进行动态调整包括修改访问策略以及更新访问主体和访问客体的信任关系。
DPEP还用于为设备生成唯一标识、采集终端设备安全信息、安全保管设备密钥以及加密流量。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明基于区块链实现了分布式的PDP/PEP,将零信任与物联网系统架构结合,统一管理主客体信任关系的策略,具体设备或自定义设备资源集合能够灵活执行策略,实现了物联网设备动态的、细粒度的安全访问控制。
(2)本发明构建更安全的物联网访问网络,增强对物联网设备和终端数据的保护,降低了内部攻击的可能性。
附图说明
图1为现有技术的零信任安全系统框架图;
图2为本发明的系统框架图;
图3为本发明的流程图;
图4为区块链芯片功能示意图;
图5为区块链模组功能示意图;
图6为区块链网关功能示意图;
图7为有终端代理-访问客体代理网关模式的物联网零信任安全系统示意图;
图8为轻节点终端代理模式的物联网零信任安全系统示意图;
图9为多终端代理模式的物联网零信任安全系统示意图;
图10为无终端代理-应用代理网关模式的物联网零信任安全系统示意图;
图11为无终端代理-统一门户模式的物联网零信任安全系统示意图;
图12为设备应用沙盒模式的物联网零信任安全系统示意图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1:
结合附图2所示,一种基于区块链的物联网零信任系统,包括访问主体、访问客体和零信任安全系统,零信任安全系统包括分布式策略决策点DPDP和分布式策略执行点DPEP,其中:
访问主体,用于向区块链进行身份注册和身份验证,向零信任安全系统上报安全状态,通过零信任安全系统向访问客体发起访问请求,在获得授权后与访问客体进行通信;
访问客体,用于向区块链进行身份注册和身份验证,向零信任安全系统上报安全状态,通过零信任安全系统与访问主体进行通信;
分布式策略决策点DPDP,用于初始化访问策略、对访问主体、访问客体进行信任评估、并对整个访问过程进行持续安全检测、信任评估、访问决策和动态更新访问策略;
分布式策略执行点DPEP,用于接收访问主体的访问请求并重定向到DPDP,根据DPDP的访问策略启动、监测或关闭访问主体和访问客体之间的通信连接;以及在访问主体和访问客体之间加密流量和转发流量;
基于区块链的物联网零信任系统中,控制平面Control Plane实现对访问行为的安全分析评估\授予或拒绝对访问客体的访问,控制访问主体到访问客体之间的通信路径;数据平面Data Plane用于访问主体对访问客体的实际通信,直接处理访问主体到访问客体的所有流量。系统架构包括以下逻辑功能组件:访问主体(用户、进程、设备)、访问客体/物联网资源(主要是物联网设备,还可以是单一物联网设备或设备的某个功能)、零信任安全系统。零信任安全系统包括分布式策略决策点(DPDP,Distributed Policy DecisionPoint)和分布式策略执行点(DPEP,Distributed Policy Enforcement Point)。
访问主体通过自身组件或者其他物联网系统接收并相应零信任安全系统的指令,向零信任安全系统的控制中心上报安全状态,通过DPEP向访问客体发起访问请求,并与访问客体通信;
零信任安全系统的管理者可以是物联网安全提供商,也可以是某个联盟或组织的安全部门。DPDP具备对整个访问过程的持续安全监测、信任评估、访问决策和动态更新访问控制策略等功能,DPEP具备访问流量的重定向和访问控制策略执行、流量加密等功能。访问主体能否对访问客体进行访问,取决于零信任安全系统的持续安全监测、信任评估和授权决策。访问主体对访问客体的访问,不允许绕过零信任安全系统,且访问主体需要事先通过身份认证。
本方案将零信任与物联网系统架构结合,实现了由DPDP统一管理主客体信任关系的策略,由DPEP灵活执行策略。
所述分布式策略决策点DPDP包括基于智能合约实现且运行在区块链节点上、能够同步到所有区块链节点的策略管理模块PA、信任引擎模块TE和策略引擎模块PE,智能合约执行结果通过区块链共识机制能够在整个区块链网络达到一致,智能合约相当于进程,它们之间通过合约间接口调用实现通信功能,其中:
策略管理模块PA,用于设置对访问策略执行读写操作的控制逻辑,以及用于根据策略引擎模块PE的决策结果控制DPEP建立/关闭访问主体和访问客体之间的通信通道;
信任引擎模块TE,用于监测多源数据,并根据多源数据进行持续的安全分析,实时评估访问主体和访问客体当前的信任状态,维护访问主体和访问客体之间的信任关系;多源数据包括访访问主体状态、访问客体状态、访问客体反馈的信息、通信链路和外部威胁情报;
策略引擎模块PE,用于根据信任引擎模块TE对访问主体的信任评估结果和策略管理模块PA返回的访问策略,判断是否授权访问主体对访问客体进行访问,以及根据信任评估结果动态更新访问策略。所述策略引擎模块PE还用于实现基于角色的访问控制、基于属性的访问控制、基于能力的访问控制以及细粒度的访问控制,粒度达到对单一资源的单次请求进行授权,甚至针对物联网设备资源的单一功能进行授权。
DPDP通过以上三个模块实现对整个访问过程的持续安全监测、信任评估、访问决策和动态更新访问控制策略等功能。
分布式策略执行点DPEP的作用还包括为设备生成唯一标识、采集终端设备安全信息、安全保管设备密钥,对访问流量进行加密转发。
DPEP是物联网零信任系统的逻辑功能组件,可根据需要拆分成不同的物理组件,DPEP按工作位置可分为三类:访问主体侧的安全访问代理,访问客体侧的安全访问网关,或者是一个在访问主体和客体之间起到安全控制作用的门户组件。在本方案中,DPEP为访问主体侧的安全访问代理和访问客体侧的安全访问网关,或者为门户组件。
DPEP按照形态可分为两类:终端DPEP和统一DPEP。终端DPEP基于单一物联网设备执行策略,可以直接将主体的访问请求重定向到DPDP,并直接在物联网设备上执行策略,即访问物联网设备(实施功能操作)。或者将访问主体的访问请求重定向到统一DPEP,这种情况下终端DPEP主要用于采集终端设备安全信息和生成设备唯一标识。统一DPEP为物联网设备集合执行策略,为访问客体执行策略时能够定位到具体的目标设备(客体);为主体执行策略时,支持将终端DPEP的访问请求重定向到统一DPEP,支持通过访问代理、浏览器或混合等模式进行流量重定向。主体侧和客体侧的DPEP可同时包含以上两种DPEP,门户类型的DPEP一般是统一DPEP。
对于联盟链来说,DPEP充当区块链客户端的角色,与区块链进行通信。终端DPEP可以运行在设备的通信模组上,也可以集成在设备的SDK中。统一DPEP可以运行在服务器上,也可以运行在网关上,可为网络层到应用层的不同业务提供零信任策略执行功能。对于公链来说,终端DPEP可以运行在用户钱包上,也可以集成在设备SDK上运行在区块链轻节点(物联网设备)上。统一DPEP与联盟链的相同,可以运行在服务器上,也可以运行在网关上。
基于区块链的物联网零信任系统基于智能合约、区块链客户端、模组、芯片等技术实施,DPDP基于智能合约实现,运行在区块链节点上。DPDP要实现策略和信任关系等访问决策参数的存储和访问,可以基于多链环境实现;DPEP基于区块链终端(区块链客户端、区块链钱包,区块链轻节点或网关)实现,并通过集成具备DPEP核心功能的SDK、模组、芯片来完成DPEP的功能。因此本发明给出对区块链终端、模组、芯片的规格,通信能力,存储能力和加密计算能力的参数举例:
1、区块链参数要求:
1.1数据存储要求
a)区块链的数据存储方式应配置为:支持MPT(Merkle Patricia Tries)的数据存储方式,应支持KV(key/value)的数据存储方式及基于SQL的数据存储方式。
b)区块链使用分布式数据存储,配置为支持levelDB、mysql、Oracle等数据驱动。
c)数据库加密算法配置为支持MD5、3DES、RSA等。
d)区块链配置为支持群签名、环签名等隐私保护算法。
1.2共识算法配置要求
a)共识算法配置为支持PBFT、RAFT,默认算法是PBFT。
1.3用户权限配置要求(外部账户访问链上数据权限的配置要求)
a)对零信任系统使用者、部署、维护区块链信息系统的人员身份信息进行认证。
b)按权限最小化原则对相关人员的设备、网络访问权限进行分配,并定期进行权限回收。
1.4智能合约配置要求
a)智能合约应配置预编译期、EVM、可信执行环境(如SGX、TEE)。在相同的输入和相同的历史状态下,不同的节点执行相同的交易可获得一致的结果;
b)智能合约应配置安全处理异常调用的机制,在发生异常时,能对事件进行回滚。
c)智能合约应支持一个区块链能够接收和验证另一个区块链的数据;
d)智能合约应支持资产或信息跨链的系统,由一个区块链发起的以变更双方状态为目的且有状态一致性要求的跨链请求,需要满足原子性,即或者在源链和目标链都执行成功,或者在两个链都执行失败;
1.5接口层配置要求
a)区块链业务对外开放API接口,支持Channel、WebSocket、JSONRPC等RPC接口调用方式,并提供JAVA、C、C++、Python、Go语言的SDK,确保终端用户与区块链业务之间的安全通信,防止数据被恶意篡改,保证重要数据以有效手段进行加密传输并进行完整性保护。
b)区块链业务提供者制定权限管理机制,不同的用户只能访问、操作应用层不同的资源。账户对应用层的接口访问做好权限分级。
2、芯片参数要求
2.1处理器能力要求
支持公有链和联盟链时,芯片至少需要达到32bit微处理器在100MHz左右频率的运算处理能力,完成一次区块链交易或智能合约调用相关的密码学运算,约需1秒(不含网络通信时间)。具体时间随不同区块链协议有所不同。具体功耗和时延根据具体场景要求。
2.2存储能力要求
支持公有链和联盟链时,芯片至少需要满足:
RAM(全局变量、堆、栈):约30kB;
Flash(代码和只读数据):约180kB;
Flash(持久性读写数据):100Byte;
EFUSE(一次性可编程存储器):96bit。
2.3密码学运算硬件加速要求(可选)
若芯片支持密码学运算硬件加速,可以提高密码运算性能。支持公有链和联盟链时,芯片至少需要如下密码学运算:
椭圆曲线签名ECDSA(secp256k1曲线)和SM2;
SHA256和SM3;
TRNG真随机数发生器。
2.4安全能力要求
支持安全启动Secure Boot
支持数据安全存储
支持可信执行环境TEE
支持芯片远程验证
区块链芯片功能如图4所示。
3、模组参数要求
3.1硬件通信协议要求
Wi-Fi模组2.4GHz/5GHz支持IEEE802.11b/g/n
NB-IOT模组支持网络频段B1/B3/B5/B8
4G模组支持网络频段LTE-TDD/LTE-FDD/WCDM/GSM
5G模组支持网络制式5G NR/LTE-TDD/LTE-FDD/WCDMA
3.2软件通信协议要求
支持HTTP/HTTPS、CoAP、MQTT、TCP通信协议。
3.3操作系统要求
模组应具有RTOS、Linux、Android等系统中一种;
支持动态内存分配/释放;
支持互斥量保护机制;
支持按指定时长挂起线程(可选);若不支持,则区块链轻客户端不支持超时或轮询功能,其他功能不受影响。
区块链模组功能如图5所示。
4、区块链终端参数要求
4.1区块链客户端/钱包
区块链客户端/钱包的终端参数要求:
RAM(全局变量、堆、栈):约2MB;
Flash(代码和只读数据):约1MB;
非对称算法ECC签名速率大于200TPS;
非对称算法ECC验签速率大于100TPS;
随机数产生速率大于1800KB/S;
摘要算法SHA256速率大于1500KB/S。
4.2块链轻节点
轻节点的配置要求:
CPU 1.5GHz;
内存1GB;
核心1核;
带宽1Mb。
4.3区块链网关
网关存储容量要求:
RAM(全局变量、堆、栈):约5MB;
Flash(代码和只读数据):约10MB;
Flash(持久性读写数据):100KB;
EFUSE(一次性可编程存储器):96bit。
通信协议转换要求:
支持ZigBee、Lora、蓝牙协议转换成广域网通信;
支持TCP、HTTP、MQTT协议传输到区块链节点。
密码算法要求:
非对称算法ECC签名速率大于200TPS;
非对称算法ECC验签速率大于100TPS;
随机数产生速率大于1800KB/S;
摘要算法SHA256速率大于1500KB/S。
区块链网关功能如图6所示。
以上给出了实施本发明的参数举例,但是,值得说明的是,以上参数不作为实施本方案的限制,在实际应用中可根据不同的应用场景选用相应的参数。
实施例2:
结合图3所示,一种基于区块链的物联网零信任访问方法,包括:
一、准备阶段
步骤S10、访问主体和访问客体向区块链进行身份注册及验证,建立设备间信任管理,初始化访问策略和策略执行代理,具体包括:
步骤S11、访问主体和访问客体向区块链注册身份和验证身份信息,经过验证后的身份信息与零信任安全系统中的区块链网络共享并安全管理;具体的注册流程如下:
a.1)设备制造商向区块链注册其唯一标识;
a.2)设备制造商向区块链注册设备类型、版本,以及功能等信息;
a.3)设备制造商请求权威机构对设备注册信息进行合规性测试,并将合规性测试证明存储在区块链上;
a.4)设备制造商为设备生成设备唯一标识。设备制造时生成与唯一身份标识绑定的密钥对,私钥使用区块链模组或采用TEE技术安全保存在设备硬件中,公钥与设备唯一标识注册在区块链上;
a.5)用户访问请求代理系统向区块链注册其唯一标识。用户访问请求代理系统一般指物联网应用或服务平台,可创建新用户;
a.6)用户向区块链注册其唯一标识;
a.7)设备访问请求代理系统向区块链注册其唯一标识。用户购买设备、部署设备并绑定到设备访问请求代理系统。设备访问请求代理系统一般指物联网设备管理平台、物联网应用或服务平台;
a.8)设备访问请求代理系统向区块链请求设备制造商的合规性测试证明并验证;然后,此系统向设备制造商请求设备身份的验证,可利用存储在区块链上的设备标识和公钥;
a.9)用户设备身份验证成功后,设备访问请求系统向区块链请求获取设备的类型和功能等信息,为用户设备生成身份验证凭证,或功能接口的验证凭证,此凭证可存储在区块链上;
a.10)当用户在用户访问请求代理系统上创建物联网应用,并需要获取设备的访问权限时,用户访问请求系统向设备访问请求代理系统发起设备验证,可由区块链进行验证并返回结果;
步骤S12、建立设备间信任关系并相互验证,不同用户的设备间信任关系通过建立用户间信任关系来计算完成,新的设备对建立信任关系必须经过相互验证,可利用步骤S11中的设备身份验证凭证,在区块链上验证实现;零信任安全系统会记录每一次访问的历史信息,包括主体和客体的访问流量、访问行为、访问决策结果,结合外部输入的设备状态风险评估结果,动态计算设备间的信任关系;
步骤S13、初始化访问策略:根据物联网场景配置对应的访问策略,配置参数包括用户信息、应用信息、设备信息、信任等级和访问权限;
步骤S14、初始化DPDP组件:初始化区块链网络,部署智能合约,部署基于智能合约实现且运行在区块链节点上的策略引擎模块、策略管理模块和信任引擎模块,将访问策略和设备间信任关系记录在区块链上;
步骤S15、初始化DPEP组件:为访问主体配置策略执行点并配置参数,为访问客体配置策略执行点并配置域名解析指向该策略执行点。DPEP根据访问场景的不同可配置为不同形态。
二、访问过程
步骤S20、访问主体发起对访问客体的访问请求,分布式策略执行点DPEP重定向访问请求到分布式策略决策点DPDP,请求的实际接收对象是区块链通信节点上运行的策略管理合约;DPDP查找针对访问主体、访问客体的访问策略,并分别对访问主体、访问客体进行信任评估,信任评估通过则根据查找到的访问策略授权访问主体对访问客体进行访问,控制DPEP建立访问主体、访问客体之间的安全通信信道;
步骤S30、DPEP执行访问策略,在访问主体与访问客体之间安全的转发流量;DPDP持续监测访问过程,更新信任关系,对访问主体的访问权限进行动态调整。对访问主体的访问权限进行动态调整包括修改访问策略以及更新访问主体和访问客体的信任关系。
所述步骤S20具体包括:
步骤S21、访问主体发起对访问客体的访问请求,分布式策略执行点DPEP重定向访问请求,并发送到分布式策略决策点DPDP,DPDP查找针对访问主体、访问客体的访问策略,并对访问主体进行信任评估,并根据信任评估结果判断是否对访问主体授权,若授权,进入步骤S22,否则DPDP终结本次访问并通知访问主体,并通知DPEP阻断本次访问操作;
步骤S22、DPDP通知DPEP创建一条到访问主体到访问客体的安全通信信道,DPDP对访问客体进行信任评估,如果信任评估通过,进入步骤S30;否则通知DPEP阻断本次访问操作。
当分布式策略执行点DPEP分别部署在访问主体侧和访问客体侧时,当访问主体的信任评估不通过时,DPDP通知访问主体侧的DPEP阻断本次访问操作;当访问客体的信任评估不通过时,DPDP通知访问客体侧的DPEP阻断本次访问操作。
根据是否要在设备上安装终端DPEP,基于区块链的物联网零信任DPEP的实现可分为:有终端代理模式和无终端代理模式。根据访问客体使用的协议类型(HTTP或者其他协议),统一DPEP的实现可以分为应用代理网关和流量代理网关模式。终端代理为安装在终端设备上的软件或硬件模组,通常具备生成终端唯一标识、采集终端设备安全信息、加固终端设备系统安全等功能。应用代理网关接收终端设备上Agent或浏览器通过7层应用层代理方式重定向的访问请求,实现请求转发到访问客体,并反馈响应到访问主体;流量代理网关接收终端设备上Agent使用hook、虚拟网卡、网络过滤驱动等方式获取的4层访问流量,实现请求转发到访问客体,并反馈响应到访问主体。
以下列举出不同应用场景的DPEP实现方式:
有终端代理-客体代理网关模式
这种模式适合非资源受限、通信能力强,支持HTTP、MQTT等协议,且缺乏设备运营平台,能够直接接入区块链的物联网设备,或者是边缘设备,如图7所示。访问客体侧可同时支持流量和应用网关模式,访问HTTP资源、C/S系统资源等。适用于某业务独立且单一的企业、厂区,部署代理网关访问物联网资源。适合需要对访问设备进行严格身份认证和授权的场景。
针对公链,物联网设备可同时作为区块链轻节点,运行在区块链网络中,设备间可利用区块链网络实现通信。一般是边缘设备。需要利用区块链实现设备身份认证,如图8所示。访问客体侧可同时支持流量和应用网关模式,访问HTTP资源、C/S系统资源等。适用于某业务独立且单一的企业、厂区,部署代理网关访问物联网资源。适合需要对访问设备进行严格身份认证和授权的场景,适合设备做区块链节点的物联网场景。
多终端代理模式
适合访问主体和客体都是非资源受限、通信能力强,支持HTTP、MQTT等协议,且缺乏设备运营平台,能够直接接入区块链的物联网设备,或者是边缘设备,如图9所示。适合需要对访问设主体和客体进行严格身份访问控制,并实施监控的场景。
无终端代理-应用代理网关模式
无终端代理适合因为各种原因无法在终端设备上安装代理软件时(如非企业可控制的设备)的情况,如图10所示。由于终端设备上没有代理,无法实现对设备的身份认证,也无法监测到终端设备的安全情况;因此不能实现严格的零信任,并且只能支持HTTP类协议的业务访问,可作为特殊情况下的妥协实现方案。
无终端代理-统一门户模式
同以上方案,只是统一门户方案更适合业务范围较小,且访问主体和客体(资源)属于同一家物联网企业或平台的情况,如图11所示。
设备应用沙盒模式
适合需要对设备上某些关键应用或功能进行保护的场景。应用代理网关部署在云端,以服务的形式提供给物联网设备,如图12所示。
可知,本发明的基于区块链的物联网零信任系统架构适用于多种物联网应用场景。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。
Claims (10)
1.一种基于区块链的物联网零信任系统,其特征在于,包括访问主体、访问客体和零信任安全系统,零信任安全系统包括分布式策略决策点DPDP和分布式策略执行点DPEP,其中:
访问主体,用于向区块链进行身份注册和身份验证,向零信任安全系统上报安全状态,通过零信任安全系统向访问客体发起访问请求,在获得授权后与访问客体进行通信;
访问客体,用于向区块链进行身份注册和身份验证,向零信任安全系统上报安全状态,通过零信任安全系统与访问主体进行通信;
分布式策略决策点DPDP,用于初始化访问策略、对访问主体、访问客体进行信任评估、并对整个访问过程进行持续安全检测、信任评估、访问决策和动态更新访问策略;
分布式策略执行点DPEP,用于接收访问主体的访问请求并重定向到DPDP,根据DPDP的访问策略启动、监测或关闭访问主体和访问客体之间的通信连接;以及在访问主体和访问客体之间加密流量和转发流量。
2.根据权利要求1所述的基于区块链的物联网零信任系统,其特征在于,所述分布式策略决策点DPDP包括基于智能合约实现且运行在区块链节点上的策略管理模块PA、信任引擎模块TE和策略引擎模块PE,其中:
策略管理模块PA,用于设置对访问策略执行读写操作的控制逻辑,以及用于根据策略引擎模块PE的决策结果控制DPEP建立/关闭访问主体和访问客体之间的通信通道;
信任引擎模块TE,用于监测多源数据,并根据多源数据进行持续的安全分析,实时评估访问主体和访问客体当前的信任状态,维护访问主体和访问客体之间的信任关系;多源数据包括访访问主体状态、访问客体状态、访问客体反馈的信息、通信链路和外部威胁情报;
策略引擎模块PE,用于根据信任引擎模块TE对访问主体的信任评估结果和策略管理模块PA返回的访问策略,判断是否授权访问主体对访问客体进行访问,以及根据信任评估结果动态更新访问策略。
3.根据权利要求2所述的一种基于区块链的物联网零信任系统,其特征在于,所述策略引擎模块PE还用于实现基于角色的访问控制、基于属性的访问控制、基于能力的访问控制以及细粒度的访问控制。
4.一种基于区块链的物联网零信任访问方法,其特征在于,包括:
步骤S10、访问主体和访问客体向区块链进行身份注册及验证,建立设备间信任管理,初始化访问策略和策略执行代理;
步骤S20、访问主体发起对访问客体的访问请求,分布式策略执行点DPEP重定向访问请求到分布式策略决策点DPDP,DPDP查找针对访问主体、访问客体的访问策略,并分别对访问主体、访问客体进行信任评估,信任评估通过则根据查找到的访问策略授权访问主体对访问客体进行访问,并控制DPEP建立访问主体、访问客体之间的安全通信信道;
步骤S30、DPEP执行访问策略,在访问主体与访问客体之间安全的转发流量;DPDP持续监测访问过程,更新信任关系,对访问主体的访问权限进行动态调整。
5.根据权利要求4所述的基于区块链的物联网零信任访问方法,其特征在于,所述步骤S20具体包括:
步骤S21、访问主体发起对访问客体的访问请求,分布式策略执行点DPEP重定向访问请求,并发送到分布式策略决策点DPDP,DPDP查找针对访问主体、访问客体的访问策略,并对访问主体进行信任评估,并根据信任评估结果判断是否对访问主体授权,若授权,进入步骤S22,否则DPDP终结本次访问并通知访问主体,并通知DPEP阻断本次访问操作;
步骤S22、DPDP通知DPEP创建一条到访问主体到访问客体的安全通信信道,DPDP对访问客体进行信任评估,如果信任评估通过,进入步骤S30;否则通知DPEP阻断本次访问操作。
6.根据权利要求5所述的基于区块链的物联网零信任访问方法,其特征在于,分布式策略执行点DPEP分别部署在访问主体侧和访问客体侧,当访问主体的信任评估不通过时,DPDP通知访问主体侧的DPEP阻断本次访问操作;当访问客体的信任评估不通过时,DPDP通知访问客体侧的DPEP阻断本次访问操作。
7.根据权利要求6所述的基于区块链的物联网零信任访问方法,其特征在于,访问主体侧的DPEP和访问客体侧的DPEP为终端DPEP或统一DPEP。
8.根据权利要求4所述的基于区块链的物联网零信任访问方法,其特征在于,所述步骤S10具体包括:
步骤S11、访问主体和访问客体向区块链注册身份和验证身份信息,经过验证后的身份信息与零信任安全系统中的区块链网络共享并安全管理;
步骤S12、建立设备间信任关系并相互验证;
步骤S13、初始化访问策略:根据物联网场景配置对应的访问策略,配置参数包括用户信息、应用信息、设备信息、信任等级和访问权限;
步骤S14、初始化DPDP组件:初始化区块链网络,部署智能合约,部署基于智能合约实现且运行在区块链节点上的策略引擎模块、策略管理模块和信任引擎模块,将访问策略和设备间信任关系记录在区块链上;
步骤S15、初始化策略执行代理:为访问主体配置策略执行点并配置参数,为访问客体配置策略执行点并配置域名解析指向该策略执行点。
9.根据权利要求4所述的基于区块链的物联网零信任访问方法,其特征在于,对访问主体的访问权限进行动态调整包括修改访问策略以及更新访问主体和访问客体的信任关系。
10.根据权利要求4所述的基于区块链的物联网零信任访问方法,其特征在于,DPEP还用于为设备生成唯一标识、采集终端设备安全信息、安全保管设备密钥以及加密流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111640065.9A CN114338701B (zh) | 2021-12-29 | 2021-12-29 | 基于区块链的物联网零信任系统及访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111640065.9A CN114338701B (zh) | 2021-12-29 | 2021-12-29 | 基于区块链的物联网零信任系统及访问方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338701A true CN114338701A (zh) | 2022-04-12 |
| CN114338701B CN114338701B (zh) | 2023-03-07 |
Family
ID=81016545
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111640065.9A Active CN114338701B (zh) | 2021-12-29 | 2021-12-29 | 基于区块链的物联网零信任系统及访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338701B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114745140A (zh) * | 2022-06-13 | 2022-07-12 | 天津市城市规划设计研究总院有限公司 | 基于聚合加密的城市规划领域区块链共识验证方法及系统 |
| CN114760136A (zh) * | 2022-04-20 | 2022-07-15 | 中科星启(北京)科技有限公司 | 基于微隔离的安全预警系统及方法 |
| CN115118465A (zh) * | 2022-06-13 | 2022-09-27 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
| CN115242479A (zh) * | 2022-07-15 | 2022-10-25 | 东软集团股份有限公司 | 基于区块链网关的通信方法、装置、存储介质及电子设备 |
| CN115622785A (zh) * | 2022-10-24 | 2023-01-17 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
| CN116015930A (zh) * | 2022-12-30 | 2023-04-25 | 四川启睿克科技有限公司 | 基于工业互联网的零信任接入安全管理系统 |
| CN116260656A (zh) * | 2023-05-09 | 2023-06-13 | 卓望数码技术(深圳)有限公司 | 基于区块链的零信任网络中主体可信认证方法和系统 |
| CN116319026A (zh) * | 2023-03-23 | 2023-06-23 | 北京神州泰岳软件股份有限公司 | 一种零信任架构中的信任评估方法、装置及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190319861A1 (en) * | 2018-04-13 | 2019-10-17 | The Curators Of The University Of Missouri | Method and system for secure resource management utilizing blockchain and smart contracts |
| US20190334886A1 (en) * | 2018-04-26 | 2019-10-31 | Radware, Ltd. | Method and system for blockchain based cyber protection of network entities |
| CN110855637A (zh) * | 2019-10-28 | 2020-02-28 | 西北工业大学 | 一种基于属性的区块链物联网分布式访问控制方法 |
| CN112261155A (zh) * | 2020-12-21 | 2021-01-22 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于联盟区块链具有动态共识的物联网访问控制方法 |
| US20210037060A1 (en) * | 2019-08-02 | 2021-02-04 | Dell Products L.P. | System And Method For Distributed Network Access Control |
| CN112333159A (zh) * | 2020-10-22 | 2021-02-05 | 北京梆梆安全科技有限公司 | 基于区块链的移动物联网终端访问控制方法、装置及系统 |
| CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
| CN113051602A (zh) * | 2021-01-22 | 2021-06-29 | 东南大学 | 一种基于零信任架构的数据库细粒度访问控制方法 |
-
2021
- 2021-12-29 CN CN202111640065.9A patent/CN114338701B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190319861A1 (en) * | 2018-04-13 | 2019-10-17 | The Curators Of The University Of Missouri | Method and system for secure resource management utilizing blockchain and smart contracts |
| US20190334886A1 (en) * | 2018-04-26 | 2019-10-31 | Radware, Ltd. | Method and system for blockchain based cyber protection of network entities |
| US20210037060A1 (en) * | 2019-08-02 | 2021-02-04 | Dell Products L.P. | System And Method For Distributed Network Access Control |
| CN110855637A (zh) * | 2019-10-28 | 2020-02-28 | 西北工业大学 | 一种基于属性的区块链物联网分布式访问控制方法 |
| CN112333159A (zh) * | 2020-10-22 | 2021-02-05 | 北京梆梆安全科技有限公司 | 基于区块链的移动物联网终端访问控制方法、装置及系统 |
| CN112261155A (zh) * | 2020-12-21 | 2021-01-22 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于联盟区块链具有动态共识的物联网访问控制方法 |
| CN113051602A (zh) * | 2021-01-22 | 2021-06-29 | 东南大学 | 一种基于零信任架构的数据库细粒度访问控制方法 |
| CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
Non-Patent Citations (1)
| Title |
|---|
| 罗可人: "基于区块链共识机制的SDWAN零信任网络架构", 《集成电路应用》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114760136A (zh) * | 2022-04-20 | 2022-07-15 | 中科星启(北京)科技有限公司 | 基于微隔离的安全预警系统及方法 |
| CN114760136B (zh) * | 2022-04-20 | 2024-03-08 | 中科星启(北京)科技有限公司 | 基于微隔离的安全预警系统及方法 |
| CN114745140A (zh) * | 2022-06-13 | 2022-07-12 | 天津市城市规划设计研究总院有限公司 | 基于聚合加密的城市规划领域区块链共识验证方法及系统 |
| CN114745140B (zh) * | 2022-06-13 | 2022-08-23 | 天津市城市规划设计研究总院有限公司 | 基于聚合加密的城市规划领域区块链共识验证方法及系统 |
| CN115118465A (zh) * | 2022-06-13 | 2022-09-27 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
| CN115118465B (zh) * | 2022-06-13 | 2023-11-28 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
| CN115242479B (zh) * | 2022-07-15 | 2023-10-31 | 东软集团股份有限公司 | 基于区块链网关的通信方法、装置、存储介质及电子设备 |
| CN115242479A (zh) * | 2022-07-15 | 2022-10-25 | 东软集团股份有限公司 | 基于区块链网关的通信方法、装置、存储介质及电子设备 |
| CN115622785A (zh) * | 2022-10-24 | 2023-01-17 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
| CN115622785B (zh) * | 2022-10-24 | 2024-06-07 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
| CN116015930A (zh) * | 2022-12-30 | 2023-04-25 | 四川启睿克科技有限公司 | 基于工业互联网的零信任接入安全管理系统 |
| CN116015930B (zh) * | 2022-12-30 | 2024-05-28 | 四川启睿克科技有限公司 | 基于工业互联网的零信任接入安全管理系统 |
| CN116319026A (zh) * | 2023-03-23 | 2023-06-23 | 北京神州泰岳软件股份有限公司 | 一种零信任架构中的信任评估方法、装置及电子设备 |
| CN116260656A (zh) * | 2023-05-09 | 2023-06-13 | 卓望数码技术(深圳)有限公司 | 基于区块链的零信任网络中主体可信认证方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338701B (zh) | 2023-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114338701B (zh) | 基于区块链的物联网零信任系统及访问方法 | |
| EP3937424B1 (en) | Blockchain data processing methods and apparatuses based on cloud computing | |
| US10581873B2 (en) | Securing micro-services | |
| US10341321B2 (en) | System and method for policy based adaptive application capability management and device attestation | |
| CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
| US8924577B2 (en) | Peer-to-peer remediation | |
| US8898459B2 (en) | Policy configuration for mobile device applications | |
| US10747875B1 (en) | Customizing operating system kernels with secure kernel modules | |
| CN114615328A (zh) | 一种安全访问控制系统和方法 | |
| TW201728195A (zh) | 無縣裝置平台認證及管理 | |
| US11595426B2 (en) | Risk based virtual workspace delivery | |
| Niakanlahiji et al. | {ShadowMove}: A Stealthy Lateral Movement Strategy | |
| Hamad et al. | A communication framework for distributed access control in microkernel-based systems | |
| CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
| CN115879099A (zh) | 一种dcs控制器、操作处理方法和防护子系统 | |
| KR101265474B1 (ko) | 모바일 가상화 서비스를 위한 보안 서비스 제공 방법 | |
| US20230254302A1 (en) | Authentication of device in network using cryptographic certificate | |
| Karmakar et al. | Towards a dynamic policy enhanced integrated security architecture for SDN infrastructure | |
| KR20150114921A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
| Bennasar et al. | State-of-The-Art of cloud computing cyber-security | |
| CN115801292A (zh) | 访问请求的鉴权方法和装置、存储介质及电子设备 | |
| CN115795493A (zh) | 访问控制策略部署方法和相关装置、以及访问控制系统 | |
| SS et al. | A Survey Paper on Cloud Security Based on Distributed Ledgers of Blockchain | |
| Kaviyazhiny et al. | Fog computing perspective: technical trends, security practices, and recommendations | |
| KR20150041613A (ko) | 기업내 보안망 제공시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |